Computerbeveiliging - Hoe je bad guys buiten de deur houdt

[Verwijderd]

20-02-2013, 21:52 door [Account Verwijderd], 11 reacties
[Verwijderd]
Reacties (11)
20-02-2013, 22:00 door [Account Verwijderd]
[Verwijderd]
20-02-2013, 22:11 door [Account Verwijderd]
[Verwijderd]
20-02-2013, 22:46 door [Account Verwijderd]
[Verwijderd]
20-02-2013, 22:49 door Spiff has left the building
Door astip, 21:52 uur:
Nu lees ik vandaag over het gebruik van een gast account.
Een gast account zou nog minder rechten hebben dan een standaard account en daarnaast elke keer "schoon" starten?
Astip,
Kun je aangeven wat je bronnen zijn?

Ik vermoed dat je Windows 7 "Guest Mode" verwart met "Guest Account".
Als ik me niet vergis was "Guest Mode" een steady state optie die werd aangeboden in de Windows 7 bèta, en/of release candidates, en/of Windows 7 preview.
In Windows 7 RTM werd het echter niet meer aangeboden, maar werd alleen nog "Parental Controls" aangeboden, met veel beperktere functionaliteit, niet meer de "Guest Mode" steady state functionaliteit.

Over Windows 7 "Guest Mode",
twee bronnen van vóór het uitkomen van Windows 7 RTM:
http://lifehacker.com/5176876/windows-7-guest-mode-creates-bomb+proof-accounts
http://www.addictivetips.com/windows-tips/what-is-windows-7-guest-mode-and-how-to-enable-it/

Over Windows 7 "Parental Controls":
http://windows.microsoft.com/nl-NL/windows7/products/features/parental-controls
http://windows.microsoft.com/nl-NL/windows7/What-can-I-control-with-Parental-Controls
http://windows.microsoft.com/nl-NL/windows7/Set-up-Parental-Controls

En nogmaals, Astip, ik ben erg benieuwd wat jouw bronnen precies waren.
20-02-2013, 23:55 door Ilja. _V V
De ingebouwde Gast-account behorende tot de Groep Gasten (Guest/Guests) is inderdaad een effectiefe methode om de rechten zwaar te beperken. Ik stel het sowieso op de meeste van mijn eigen computers in, & ook indien nodig/gewenst op die van anderen wanneer die aan mij in (tijdelijk) beheer worden gegeven.

Voor mezelf gebruik ik het dan als ik "gevaarlijke" sites (bv. porno - valt mee -, gokken - kritiek -, of hack - risico -) wil bezoeken. Daarnaast mag visite er gebruik van maken. Bankieren doe ik op een aparte computer, die uitsluitend daarvoor gebruikt word, & elke 3 maanden gewist & geherinstalleerd word.

Extra truc, buiten daarop nog eens het Ouderlijk toezicht voor in te stellen zoals Spiff al schreef, is de standaard-instelling van Windows dat accounts zonder wachtwoord niet via het netwerk benaderd kunnen worden (leeg wachtwoord = alleen consoletoegang).

Nog een truc is dat je via Lokaal beveiligingsbeleid de naam van de Gast-account kan wijzigen. Maar: Daarvoor kan je het beste eerst via (een) Beheerder de naam van het Gast-account aanzetten en Naam wijzigen in het Configuratiescherm.
Daarna in Lokaal beveiligingsbeleid hernoem je de Gast-account nog eens met dezelfde naam als in het Configuratiescherm (Toepassen, OK, Lokaal beveiligingsbeleid sluiten, opnieuw openen).
Zelfde kan overigens ook met de ingebouwde Administrator-account.
Dit scheelt in ieder geval dat 39 geautomatiseerde hackpogingen per uur op de standaard-accountnamen geen succes meer hebben, ook als er wel een wachtwoord is ingesteld.

Tot slot heb ik een of twee maanden terug toevallig een Technet-artikel tegen gekomen hierover, & de schrijver daarvan die maakt het nog veel bonter - Access Denied - :

http://technet.microsoft.com/en-us/magazine/ff687018.aspx
21-02-2013, 00:20 door Anoniem
Het is een leuk idee maar een beetje de omgekeerde wereld. Je wil een "schoon" account, niet zozeer een ingeperkt account. Inperkingen op het huidige account heb je namelijk niets aan als er al vanalles in de achtergrond elke toetsaanslag meeleest. Aan de andere kant is bankieren zoveel mogelijk gescheiden houden van de rest zeker geen slecht idee, en dus als dat op dezelfde machine doet dan minstens zorgen dat a) je nooit met administratorrechten gaat zitten surfen (dus je normale account mag geen administratierechten hebben; de naam is van secundair belang!) en b) dat je een apart account hebt voor bankieren. Dat mag een gastaccount zijn maar ook een normaal account.

Een apart gastaccount is ook goed om te hebben voor het geval er ineens iemand "even" wat op je computer wil. Je wil weer niet dat je bankieraccount hetzelfde gastaccount is als wat je voor gasten gebruikt. Dan moet je er dus twee hebben.

Blijft staan dat windows notoir slecht is met het hele idee van meerdere accounts en dat het onder andere daarom een beter idee is om voor je bankieren van een usb stick of een "live cd" te booten, liefst met iets anders dan windows, linux of een andere telg uit de unix familie bijvoorbeeld, maar er zijn nog meer opties dan dat.
21-02-2013, 01:11 door Erik van Straten
Door astip: Een gast account zou nog minder rechten hebben dan een standaard account en daarnaast elke keer "schoon" starten?
In elk geval is het standaard NIET zo dat een gast account elke keer "schoon" start; instellingen in het laatst gebruikte profiel blijven gewoon bewaard.

Wat jij bedoelt is een mandatory profile, zie bijv. http://oakdome.com/k5/tutorials/windows-7-mandatory-roaming-profile.php.

Is een gast account daardoor nog logischer/veiliger om als speciaal bankier-account te gebruiken dan een standaard account?
Nee. Het verschil tussen een "ordinary user" en een "guest" is niet zo heel groot. Het feit dat je een account alleen voor internetbankieren gebruikt en niet voor het bezoeken van willekeurige websites verkleint de kans dat dit account gecompromiteerd raakt. En als je een account uitsluitend voor internetbankieren gebruikt zijn mandatory profiles wel een beetje overkill lijkt me.

In principe kun je beter internetten met een Guest account en een "Ordinary User" account gebruiken voor internetbankieren, maar in de praktijk is de scheiding tussen verschillende "Ordinary User" accounts voldoende.
21-02-2013, 10:32 door Spiff has left the building
Door astip, wo.20-2, 21:52 uur:
Een gast account zou nog minder rechten hebben dan een standaard account en daarnaast elke keer "schoon" starten?
Door Erik van Straten, do.21-2, 01:11 uur:
In elk geval is het standaard NIET zo dat een gast account elke keer "schoon" start; instellingen in het laatst gebruikte profiel blijven gewoon bewaard.
Dat is waarom ik gisteravond stelde:
Door Spiff, wo.20-2, 22:49uur:
Ik vermoed dat je Windows 7 "Guest Mode" verwart met "Guest Account".
Als ik me niet vergis was "Guest Mode" een steady state optie die werd aangeboden in de Windows 7 bèta, en/of release candidates, en/of Windows 7 preview.
In Windows 7 RTM werd het echter niet meer aangeboden, maar werd alleen nog "Parental Controls" aangeboden, met veel beperktere functionaliteit, niet meer de "Guest Mode" steady state functionaliteit.

Over Windows 7 "Guest Mode",
twee bronnen van vóór het uitkomen van Windows 7 RTM:
http://lifehacker.com/5176876/windows-7-guest-mode-creates-bomb+proof-accounts
http://www.addictivetips.com/windows-tips/what-is-windows-7-guest-mode-and-how-to-enable-it/

Die twee genoemde bronnen vermeldden over Windows 7 "Guest Mode":
• Prevents system setting changes. Any attempts to change the system while running under a safeguarded account are prevented.
• Prevents the installation of applications and other software. Once you’ve enabled Guest Mode, it is impossible to install or permanently configure already installed software applications.
• Prevents the user from writing to the disk outside of their user profile.
• Data saved inside of the user profile is deleted when the user logs off.
Een account waarvoor "Guest Mode" was ingeschakeld startte na uitloggen en opnieuw inloggen dus wél 'schoon'.
Maar zoals al aangegeven, "Guest Mode" wordt inmiddels niet meer aangeboden.
Ik vermoed nog steeds dat Astip "Guest Account" en het niet meer bestaande Windows 7 "Guest Mode" verwarde.
Ik ben ter bevestiging daarvan nog steeds benieuwd naar Astips bronnen.
21-02-2013, 11:16 door [Account Verwijderd]
[Verwijderd]
21-02-2013, 11:26 door golem
Het alleen gebruiken van een gast-account voor bankieren en vervolgens normaal en admin account
gebruiken voor de rest is eigenlijk beetje verkeerd om.
De kans dat je PC besmet raakt tijdens het internetbankieren (een gehackte/besmette internetbankieren-website)
is wel erg klein denk ik.

Dus je gebruikt een een laag-rechten account voor alles en pas admin account als dat echt nodig is.

Je besmet mogelijk de PC op je admin of normale account en verwacht dan als je inlogt op je gast-account dat
het weer veilig (genoeg) is om te kunnen bankieren ?
Dat kan je dus vergeten.

Als het te omslachtig is om van boot-cd op te starten zou je ook kunnen kiezen voor een dual-boot
systeem. Dus bij aanzetten PC de keuze voor of Windows of Linux voor internetbankieren.
Maar dat is wel weer minder veilig dan de boot-cd.
21-02-2013, 11:32 door Spiff has left the building
Door astip, 11:16 uur:
mijn bron was de discussie op deze site vorige week naar aanleiding van de wekelijkse security tip, in dit geval over bankieren vanaf linux cd. Eén van de reacties ging over het gebruik van een gastaccount.
Dankjewel, astip.

Ik zie het:
https://www.security.nl/artikel/45019/1/Security_Tip_van_de_Week%3A_internetbankieren_via_boot_cd.html
Door Anoniem, 05-02-2013, 11:58 uur:
En voor internet bankieren kun je dan ook nog je gast account gebruiken. Zodra je daar uitlogt worden alles gewist. Als je daar weer inlogt wordt er dus gewoon weer een clean account aangemaakt.
Ik vermoed dat die poster "Guest Account" en het niet meer bestaande Windows 7 "Guest Mode" verwarde.
Ik zal in die thread ook nog een reactie plaatsen om daarop te wijzen.

Fijn dat de bron van die verwarring nu duidelijk is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.