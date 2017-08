Windows 10 heeft zelf een hoop opties om de beveiliging om te schroeven maar daarbuiten zijn er ook nog een hoop handige programma's te vinden. In dit artikel zetten we enkele handige Windows 10 security-tools op een rij.

Fix Windows 10 Privacy en Win10SpyBlocker

Windows 10 is niet goed voor je privacy. Gelukkig hebben veel ontwikkelaars programma’s gemaakt om die problemen eenvoudig te verhelpen. Een van die programma’s is Fix Windows 10 Privacy. Dit is een handige tool waaraan eenvoudig regels toegevoegd kunnen worden om de dataverzameling van Windows 10 tegen te gaan. Op dit moment zijn er zo’n 130 regels beschikbaar die je privacy verbeteren. De tool wordt continu uitgebreid, bijvoorbeeld als er een nieuwe Windows 10-versie uitkomt. Er zijn veel andere tools waar je uit kunt kiezen om het spioneren van Windows tegen te gaan. O&O ShutUp is een erg handig en gebruiksvriendelijk programma, waarmee je op basis van verschillende gebruiksvriendelijkheidsniveaus regels kunt toepassen. Een andere oplossing die ‘toolvrij’ is, is simpelweg om een lijst van te blokkeren domeinen en websites toe te voegen aan je hosts-bestand. Daarvoor kun je terecht in de GitHub-repo van Win10SpyBlocker, die een lijst bijhoudt van te blokkeren ip-adressen van domeinen waarmee Microsoft spioneert. Je kunt kiezen uit een lijst voor spionage, een extra lijst of een lijst voor Windows-updates. Handig is dat er ook lijsten zijn voor Windows 7 en 8.1 en dat de lijst in een aantal formaten te downloaden is, bijvoorbeeld voor OpenWRT zodat je het meteen blokkeert op netwerkniveau.

Bescherm tegen aanvallen vanaf usb

Een van de grotere aanvalsvectoren op hardware-niveau is usb. Iedereen kan zomaar een usb-stick aansluiten en dan is het game-over voor je pc. Het is daarom een goed idee om de controle over je usb-aansluitingen terug te nemen. Dat kan bijvoorbeeld met het programma van BiniSoft genaamd USB Flash Drives Control. Je kunt de Windows-pc dan eenvoudig in verschillende modi plaatsen. Je kunt Read Mode aanzetten, waarmee alleen gelezen kan worden van usb-schijven. Verder is er Write Mode en Execute Mode. Als je alle modi uitzet, kunnen usb-schijven niet gemount worden en zijn ze dus niet toegankelijk voor wie dan ook op de computer. Het programma werkt eenvoudig vanuit het systeemvak. Een extra maatregel die je kunt nemen om aanvallen via usb te voorkomen is het gebruik van Beamgun. Naast autorun-malware kan een usb-apparaat zich voordoen als netwerkadapter, waarna een aanvaller een backdoor kan installeren. Beamgun blokkeert actief usb-lan-adapters en blokkeert alle toetsaanslagen op een usb-toetsenbord. Je installeert Beamgun eenvoudig met de geleverde msi vanaf GitHub.

Ruim Windows 10 op met Tron

Tron is een handig script dat in één keer een Windows-systeem grondig opruimt. Het is aan te raden dit script even uit te voeren direct nadat je Windows een keer schoon hebt geïnstalleerd. Het voert veel commando’s uit: het ruimt tijdelijke bestanden op, verwijdert software van de systeemfabrikant, scant op malware met een aantal scanners, repareert het bestandssysteem en register, patcht eventueel aanwezige software zoals 7-Zip en Adobe-software én het maakt een net rapport van alles wat er gedaan is. Je kunt Tron eventueel nog verder uitbreiden met een aantal extra tools, zoals autoruns, aswMBR dat scant op rootkits en meer. Let wel op dat het script sfc uitvoert, waardoor een aantal van je privacy-instellingen opnieuw wordt ingesteld. Daarom voer je dit script het beste direct aan het begin uit. Zorg voordat je begint dat je even rustig het readme-bestand doorneemt. Het Tron-script kan tussen de drie en tien uur nodig hebben om je pc op te ruimen.

Ga nog dieper met EMET

Een goede manier om je veiligheid te vergroten is door EMET te gebruiken. De Enhanced Mitigation Toolkit biedt systeembrede dep, aslr en sehop bovenop applicatie-specifieke extraatjes, zoals heapspray-bescherming en alsr per app. Verder blokkeert het onbekende fonts en kun je er certificaten mee beheren. Met dep worden bepaalde gebieden geheugen gemarkeerd als niet-uitvoerbaar, wat je beschermt tegen misbruik. Met dep voorkom je dat de code in bepaalde geheugengebieden uitgevoerd kan worden. Aslr maakt het moeilijker voor de aanvaller door code op willekeurige plekken in het geheugen te plaatsen, waardoor je niet zomaar een vast adres kunt meegeven als aanvaller, maar meer moeite moet doen. Sehop controleert of het originele return-adres nog klopt en niet is overschreven. Hoewel Microsoft de ondersteuning voor dit programma staakt op 31 juli 2018, vinden sommige beveiligingsonderzoekers het programma toch nog steeds nuttig en blijven ze het gebruik ervan aanraden. Soms biedt EMET overigens enkel een gui-front-end voor functies die al in Windows zitten. Om bijvoorbeeld dep aan te zetten voor het hele system, voer je in cmd.exe met admin uit:



bcdedit.exe /set {current} nx AlwaysOn

Hetzelfde geldt voor aslr in het register, dat je zelf kunt aanzetten. Maak een tekstbestand van de volgende code en sla het op als *.reg om het als registersleutel toe te voegen.



Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management] "MoveImages"=dword:ffffffff