Windows veilig gebruiken op je laptop

Noud van Kruysbergen
0

Inhoudsopgave

Wil je Windows veilig gebruiken op een laptop dan moet je rekening houden met de risico’s van mobiel gebruik. Dat varieert van een nieuwsgierige blik in een trein of vergaderzaal tot de risico’s van vreemde netwerken en dreigend dataverlies door diefstal, vergeetachtigheid en hardwaredefecten. Daar kun je je echter tegen wapenen – en meestal zelfs met de standaardprogramma’s van Windows.

Iedereen die met zijn Windows-notebook of -tablet onderweg is, moet extra beschermingsmaatregelen nemen, of je nu naar het strand gaat, naar de VS of naar de dichtstbijzijnde conferentiezaal. Met de eigen programma’s van Windows en een paar eenvoudige voorbereidingen bereid je je apparaat optimaal voor. Zorg dat een meekijker je wachtwoord niet kan lezen als je je aanmeldt bij Windows, reduceer het netwerkverkeer tot het allernoodzakelijkste, bescherm jezelf tegen gegevensverlies en schakel de locatiefunctie in. Je vindt hier tips hoe je dat kunt doen. Het is ook aan te raden om de interne schijf en je usb-sticks te versleutelen – en zorg ervoor dat de douane niets te zeuren heeft.

Over versleutelen van schijven en aanpassen van privacy-instellingen lees je meer in c’t 12/2024

In een ander artikel gaan we in op meer algemene informatie om Windows veilig te gebruiken. De tips die we hier geven zijn helaas alleen geldig voor Windows 10 omdat Windows 7 niet beschikt over de noodzakelijke hulpmiddelen. Daarom willen we je alsnog aanraden na te denken over een overstap van Windows 7 naar Windows 10.

Veilig aanmelden

In het openbaar vervoer en in vergaderzalen ben je zelden alleen wanneer je je notebook of tablet gebruikt. De kans dat iemand naast je bij het invoeren je aanmeldingswachtwoord voor Windows kan zien, is daarom groot. Je kunt dat voorkomen door een erg lang wachtwoord te kiezen en vervolgens veel te oefenen om het sneller in te kunnen typen dan een meekijker kan volgen.

Nog beter is het om geen wachtwoord te gebruiken voor de authenticatie, maar een van de alternatieve aanmeldingsmethodes van Windows 10. Daarmee bedoelen we niet dat je een pincode gebruikt, want die is nog makkelijker op te pikken als je niet oppast. Een voordeel van een pincode ten opzichte van een wachtwoord is wel dat die pincode aan het apparaat gekoppeld is. Een aanvaller die een pincode heeft bemachtigd, kan zich alleen aanmelden bij die computer, maar niet bij een ander apparaat in je Microsoft-­account.

Windows veilig op laptop aanmelden pincode

Het gebruik van een pincode heeft het voordeel dat die aan het apparaat gekoppeld is, maar het nadeel dat hij makkelijker af te kijken is.

Onderweg is Windows Hello dé manier bij uitstek om je aan te melden met biometrische functies. Feitelijk gaat het om je gezicht of je vingerafdruk. Gezichts­detectie vereist een speciale webcam die een 3D-scan van je gezicht of op zijn minst een infraroodbeeld kan maken. Sommige notebooks en tablets, zoals de Surface-serie van Microsoft, zijn er al mee uitgerust. Losse usb-camera’s zijn onderweg geen handige oplossing omdat je ze voor elke aanmelding op je notebook of tablet moet klemmen. Als er geen Hello-camera geïnstalleerd is, moet je in plaats daarvan kiezen voor een compatibele usb-vingerafdrukscanner. Die zijn bij verschillende fabrikanten al voor ongeveer 30 euro te koop. Die steken slechts een paar millimeter uit de usb-poort en kunnen daarom gedurende de hele reis in het apparaat blijven zitten. Je stelt Windows Hello in via de Instellingen bij ‘Account / Aanmeldingsopties’.

Als je met een Hello-camera werkt, kun je het beste de optie ‘Scherm automatisch ontgrendelen als uw gezicht wordt herkend’ uitschakelen, want anders is het mogelijk dat Windows het notebook automatisch ontgrendelt zodra hij je herkent. Als dat op een verkeerd moment gebeurt, kan degene die naast je zit mogelijk een glimp opvangen van vertrouwelijke gegevens. Wees je ervan bewust dat biometrische authenticatie, net als bij smartphones, niet 100% Windows veilig maakt qua inloggen. Onderzoekers laten keer op keer zien dat je met enige moeite vingerafdrukscanners, infraroodcamera’s en dergelijke kunt misleiden. Degene die toevallig naast je zit is daartoe waarschijnlijk echter niet in staat.

BitLocker

De invoer van het BitLocker-wachtwoord voor het opstarten van Windows kan niet door Windows Hello vervangen worden. Dat is te verhelpen met een klein apparaat dat er uitziet als een usb-stick, de YubiKey van Yubico (www.yubico.com). Die meldt zich als een usb-toetsenbord op het systeem aan en verzendt het wachtwoord na een druk op een knop als toetsenbordinvoer naar de computer. De apparaten zijn verkrijgbaar in verschillende maten. De kleinste versie, de YubiKey Nano, is ongeveer zo groot als een vingernagel. De YubiKey moet je veilig bewaren in je portemonnee of aan een sleutelhanger. Maar reken er niet te vast op. Als je hem verliest, moet je het wachtwoord toch weten of op papier in een kluis hebben liggen.

Vergrendelen

Zorg er ook voor dat de computer vergrendeld is als je er niet aan werkt. Met de toetsencombinatie Windows+L gaat dat in een oogwenk. Doe dat om je laptop met Windows veilig op slot te zetten als je even wegloopt. Schakel bij de aanmeldingsopties ‘Dynamisch vergrendelen’ in, zodat Windows het notebook vergrendelt wanneer gekoppelde Bluetooth-apparaten zoals je smartphone buiten bereik zijn. Dat is een extra reddingsboei als je van je computer wegloopt en het systeem vergat te vergrendelen. Het is natuurlijk nog veel beter om het apparaat onderweg steeds onder toezicht te houden of veilig in een kluis te bewaren, omdat anders het gevaar bestaat dat het een nieuwe eigenaar krijgt.

Veilig online

Hoewel wifi-hotspots onderweg heel aantrekkelijk kunnen lijken door de ontbrekende databeperking, blijft een mobiele verbinding veiliger. Die is vaak ook in het buitenland betaalbaar, met dank aan EU-roaming en simkaarten van lokale aanbieders. Om te voorkomen dat je in een kostenval trapt of het datapakket sneller dan nodig verbruikt, moet je Windows erop wijzen dat je een mobiele dataverbinding hebt; in Microsoft-taal een ‘verbinding met een datalimiet’.

Stel dat ook in als je met Windows internet opgaat met behulp van de mobiele hotspot van je smartphone. Die databesparende modus zorgt ervoor dat Windows alleen updates downloadt die Microsoft bijzonder belangrijk acht. Dat vermindert het dataverkeer, terwijl updates voor acute bedreigingen toch binnenkomen. Bovendien stopt Windows onder andere ook met het synchroniseren van offline-bestanden en het vernieuwen van de live-tegels. Apps kunnen de verbindingsmodus opvragen en hun gegevensbehoefte eveneens aanpassen.

Datalimiet activeren

Als je de modus wilt inschakelen, klik je in de rechterbenedenhoek van de taakbalk op het netwerkpictogram en op ‘Netwerk- en internetinstellingen’ bij de actieve netwerkverbinding. Vervolgens stel je onder ‘Verbinding met datalimiet’ de schakelaar bij ‘Instellen als verbinding met datalimiet’ op ‘Aan’. Daaronder staat de link ‘Een datalimiet instellen om het datagebruik op dit netwerk te beperken’. Via de betreffende pagina met instellingen kun je opgeven hoeveel data de computer via de mobiele verbinding mag verbruiken. Zo kun je met Windows veilig internetten op je laptop zonder onverwachte datakosten. Op verzoek wordt de teller op een bepaalde dag van de maand teruggezet.

Windows veilig op laptop datalimiet gegevenslimiet verbinding

Als je Windows gebruikt met een mobiel netwerk of een ander netwerk met datalimiet, stel Windows dan in op de optie ‘Verbinding met datalimiet’ om de gegevenshonger van het besturingssysteem in te perken.

Openbaar wifi

Om openbare wifi-hotspots kun je beter met een boog heenlopen omdat daar niemand instaat voor de veiligheid van je gegevens. Hotspot-netwerken zijn meestal niet versleuteld, wat betekent dat iedereen in het zendbereik je dataverkeer kan meelezen. Als je dan toch een openbaar wifinetwerk moet gebruiken, bijvoorbeeld omdat de ontvangst van de mobiele telefoon slecht is, moet je je dataverkeer zo veel mogelijk versleutelen. Daarvoor kun je het beste een van de vele VPN-providers gebruiken. Je computer bouwt daarmee een versleutelde tunnel op en stuurt al het internetverkeer daardoorheen.

Ook veel routers kunnen gebruikt worden als VPN-server en je daarmee het geld voor een VPN-dienst besparen. Als je geen VPN-toegang hebt voorbereid, benader websites dan altijd via HTTPS en zorg voor versleutelde verbindingen met e-mailservers en dergelijke. Een meeluisteraar weet dan wel dat je ct.nl bezoekt, maar niet wat je daar doet.

Firewall

Bij openbare netwerken is een firewall ook onmisbaar omdat die toegangs- en aanvalspogingen op de lokale diensten van je Windows-systeem blokkeert voor andere gebruikers. Bij de meeste hotspot-netwerken kan namelijk in principe iedereen met iedereen communiceren. Het goede nieuws is dat de ingebouwde firewall van Windows dat soort totale blokkering ingebouwd heeft. Je moet het besturingssysteem alleen melden dat je in een onveilig netwerk bent door het netwerk te markeren als ‘Openbaar’.

Windows vraagt wanneer je voor het eerst verbinding maakt iets onduidelijks als ‘Toestaan dat uw pc op dit netwerk kan worden gevonden door andere pc’s en apparaten’. Met ‘Nee’ geef je aan dat het netwerk openbaar is en schakel je de juiste firewall-regels in. Vervolgens staat Windows alleen de verzoeken aan lokale services toe waarvoor uitdrukkelijk uitzonderingen gedefinieerd zijn. Je kunt de instelling controleren en eventueel wijzigen door op het netwerkpictogram op de taakbalk te klikken en vervolgens ‘Netwerk- en internetinstellingen’ te kiezen. Die optie staat bovenaan, onder ‘Netwerkstatus’.

Windows veilig op laptop wifi beveiligd openbaar prive

Klein venster, grote gevolgen. Windows vraagt de eerste keer dat de verbinding met een netwerk wordt opgebouwd een beetje onduidelijk of de firewall actief moet worden. Met ‘Nee’ schakel je hem in.

Laptop vinden

Net als smartphonebesturingssystemen heeft ook Windows een functie voor het opsporen van een verdwenen apparaat: ‘Mijn apparaat zoeken’. Je vindt die optie bij de Instellingen onder ‘Bijwerken en beveiliging’. Het is wel nodig dat je je in Windows dan aanmeldt met een Microsoft-account met administratorbevoegd­heden. Dat mag echter niet het account zijn waarmee je gewoonlijk werkt. Er is geen bezwaar tegen om voor je werk een lokaal account te gebruiken en alleen voor de zoekfunctie een extra account aan te maken dat voor het aanmelden een Microsoft-­account gebruikt en administrator­bevoegdheden heeft.

Een probleem is wel dat Windows de locatie alleen aan Microsoft kan rapporteren als het online is. Als een dief de netwerkverbinding sluit of zelfs een nieuw besturingssysteem installeert, kun je de locatie van het notebook niet meer vinden. Als je de hele schijf hebt versleuteld, zoals we hierboven aanraden, wordt het lokaliseren nog nuttelozer omdat een dief dan toch niet kan inloggen op het notebook en Windows de locatie dus niet kan doorgeven. Uiteindelijk is ‘Mijn apparaat zoeken’ dus alleen handig als je je notebook ergens bent vergeten en niet weet waar. Maar zelfs dan kun je alleen achterhalen waar je het apparaat voor het laatst online hebt gebruikt en niet precies waar het nu is. Toch, als iemand onbevoegd gebruik maakt van je Windows-installatie, bijvoorbeeld omdat je het instellen van BitLocker te lang hebt uitgesteld, kun je het apparaat blokkeren via de website https://account.microsoft.com/devices.

Windows veilig op laptop vinden locatie zoeken

Windows kan aan Microsoft doorgeven waar het apparaat voor het laatst online was. Daar is wel een Microsoft-account voor nodig.

Doorlezen is gratis, maar eerst even dit:

Dit artikel is met grote zorg samengesteld door de redactie van c’t magazine – het meest toonaangevende computertijdschrift van Nederland en België. Met zeer uitgebreide tests en praktische workshops biedt c’t de diepgang die je nergens online vindt.

Bekijk de abonnementen   Lees eerst verder

Gegevensverlies voorkomen

Het is een bijzondere uitdaging om je onderweg te beschermen tegen gegevensverlies als gevolg van bedieningsfouten, malware enzovoort, want het is nu eenmaal niet altijd mogelijk om bestanden naar je NAS te kopiëren of op een usb-schijf te zetten, die je dan in een kluis opbergt. Het wordt nog moeilijker als je de omweg via de cloud wilt vermijden, of als je alleen maar een trage internet­verbinding hebt of zit met een datalimiet die grote back-ups onmogelijk maakt.

De meest voor de hand liggende back-upoplossingen zijn usb-sticks of, afhankelijk van de ruimtebehoefte, externe schijven die je overdag in de kluis van een hotel kunt achterlaten en alleen ‘s avonds voor de dagelijkse back-up tevoorschijn haalt. Je kunt je ook redden zonder extra usb-schijven mee te nemen omdat je je smartphone toch altijd bij je hebt die, als daar nog voldoende ruimte op vrij is, als vervanging kan dienen. Bij Android moet je daarvoor na het aansluiten vanaf de bovenkant van het scherm vegen en dan op het usb-bericht tikken dat ‘meer opties’ aanbiedt. Kies je ‘Bestands­overdracht’, dan verschijnt de telefoon in Verkenner van de notebook en kun je hem net als een usb-stick vullen met gegevens. Sla bij die gelegenheid ook de smartphonefoto’s van die dag op je notebook op. Met een iPhone werkt de bestandsuitwisseling alleen via iTunes snel genoeg.

Als je de cloud vertrouwt, onderweg beschikt over voldoende internetvolume en bandbreedte en bereid bent je bij Windows aan te melden met een Microsoft-account, kun je de ingebouwde OneDrive-synchronisatie gebruiken om bestanden automatisch online te back-uppen. Microsoft stelt bij elk gebruikersaccount 5 GB cloudopslag beschikbaar. Je hoeft niets in te schakelen. OneDrive zit bij Verkenner in de boomstructuur links, onder het deel ‘Snelle toegang’. Je kunt die map gebruiken als een normale map. Alles wat je daar opslaat, wordt door Windows automatisch gesynchroniseerd met Microsofts cloudservers. Vervolgens belandt het op alle andere computers waar je je aanmeldt met hetzelfde Microsoft-account, zodra die computers de volgende keer gestart worden. In het snelmenu van de OneDrive-map op de systeembalk staat de optie ‘Instellingen’. Daar kom je ook door met rechts op de OneDrive-map in Verkenner te klikken. Daar kun je op het tabblad ‘Automatisch opslaan’ instellen of de inhoud van het Bureaublad, de map Documenten en de map Afbeeldingen automatisch in OneDrive moeten worden opgeslagen of niet (dat laatste is standaard).

Als die mogelijkheden je wat te summier lijken omdat het om echt belangrijke bestanden gaat, kom je met de standaardprogramma’s niet verder. Overweeg dan om de bestanden versleuteld te synchroniseren met je NAS thuis of een server van het bedrijf, waar dan weer regelmatig back-ups van de gesynchroniseerde bestanden gemaakt worden. Versleutelen kan op verschillende manieren, bijvoorbeeld met Crypto­mator, en synchroniseren van pc naar pc kan bijvoorbeeld rechtstreeks met Resilio Sync. Zakelijke reizigers moeten met hun thuisgebleven systeembeheerder regelen hoe ze in geval van nood toegang krijgen tot bestanden uit de back-ups. Als onderweg een werkend notebook essentieel is, overweeg dan om een usb-schijf met een image van je volledig geconfigureerde Windows-installatie mee te nemen. Bij een total-loss of verlies van het apparaat kun je die image dan op een ander snel aangeschaft notebook terugzetten. Als het terugzetten van een image zelfs niet voldoende is om snel genoeg weer aan de slag te kunnen, wordt een tweede, identiek geconfigureerde notebook onvermijdelijk. Die blijft overdag veilig in het hotel en wordt ‘s avonds gesynchroniseerd met alle belangrijke bestanden.

(Ronald Eikenberg en Axel Vahldiek, c’t magazine)

Meer tips, informatie en reviews van nieuwe laptops in c't magazine. Nieuwste uitgave: c’t 12/2024

Deel dit artikel

Noud van Kruysbergen
Noud van KruysbergenNoud heeft de 'American Dream' doorlopen van jongste bediende tot hoofdredacteur van c't, waar hij zo veel mogelijk de diepgang, betrouwbaarheid en diversiteit wil bewaken.

Lees ook

Met Raspberry Pi port knocking de computers in je netwerk beveiligen

Iedereen die een computer of server met het openbare internet verbindt, wordt al snel het doelwit van hackers. Sommige wetenschappers gaan ervan uit d...

Je Raspberry Pi op afstand bedienen? Zo krijg je het voor elkaar met SSH!

De Raspberry Pi op afstand bedienen is handig en kan op verschillende manieren. Via SSH is het makkelijkste op te zetten, we laten zien hoe.

0 Praat mee
avatar
  Abonneer  
Laat het mij weten wanneer er