Zo deel je je Windows-pc veilig met meer gebruikers

© Laurie and Charles/Monkey Business - stock.adobe.com

Zo deel je je Windows-pc veilig met meer gebruikers

Geplaatst: 8 februari 2023 - 11:32

Toon van Daele

Je Windows-computer wordt misschien door verschillende gezinsleden of collega’s gebruikt. Je wilt elkaar natuurlijk niet in de weg zitten en alleen die data delen waar ieder zich prettig bij voelt. Ook wanneer je de pc zowel persoonlijk als zakelijk gebruikt, wil je beide zoveel mogelijk gescheiden houden. Hoe regel je dit alles efficiënt in Windows? ID.nl geeft je handige 12 tips.

 

Tip 01: Administratoraccount 

Een Windows-pc voor gedeeld gebruik opzetten, begint steevast met het maken van een account voor elke gebruiker. Daar heb je dus een beheerder voor nodig: we veronderstellen dat jij dit bent en dat je dus met een administratoraccount bij Windows bent aangemeld. Je checkt dit via Instellingen / Accounts / Uw info: onder je accountnaam staat (als het goed is) Administrator vermeld. 

 

Aangezien Microsoft je al tijdens de installatie in de richting van een Microsoft-account duwt, is de kans groot dat je eigen account ook van dit type is. Op zich is dat geen probleem, maar je moet er wel voor opletten dat je persoonlijke bestanden dan niet automatisch in OneDrive worden opgeslagen – tenzij je dit niet erg vindt natuurlijk. Je kunt je account op elk moment nog omzetten in een lokaal account als je dit wenst. Open opnieuw Instellingen / Accounts / Uw info en klik op In plaats daarvan aanmelden met een lokaal account en volg de verdere instructies. Even later kun je je dan met een lokaal (administrator)account aanmelden. 

 

Uit veiligheidsredenen zou je je voor dagelijks gebruik overigens toch het best met een standaardaccount moeten aanmelden. Immers, zo’n account geef malware of hackers minder speelruimte. 

adminaccount

We hebben voor onszelf een lokaal administrator-account gemaa

Tip 02: Standaardaccount 

Hoe ga je nu te werk om voor elk van je medegebruikers een afzonderlijk account te maken? Open Instellingen / Accounts / Gezin en andere gebruikers en klik op Account toevoegen. Als je de instructies zonder meer volgt, kom je automatisch uit bij een Microsoft-account. Geef je de voorkeur aan een lokaal account, klik hier dan op Ik beschik niet over de aanmeldgegevens van deze persoon en vervolgens op Gebruiker zonder Microsoft-account toevoegen. Vul een naam en wachtwoord (2x) in, evenals een drietal beveiligingsvragen en -antwoorden. De gebruiker kan het wachtwoord naderhand zelf aanpassen, tenzij je dit bewust niet wilt (zie ook kader ‘Accountbeheer’). Druk op Volgende om het account toe te voegen. Klik op het toegevoegde account en op Accounttype wijzigen. Doorgaans staat hier Standaardgebruiker, zoals het hoort. Mocht je voor een gebruiker (tijdelijk) een administratoraccount willen (om bijvoorbeeld bepaalde bewerkingen die administratorrechten vereisen te kunnen uitvoeren), dan kun je dit hier dus aanpassen. 

Accounttype

Met enige moeite kun je ook een lokaal (standaard)account maken. 

Accountbeheer 

Vanuit het venster Instellingen van Windows kun je accounts maken, verwijderen en het type aanpassen, maar dat is het ongeveer. Gebruikers van Windows Pro en hoger hebben ook de tool Lokale gebruikers en groepen voorhanden (druk op Windows-toets+R en voer lusrmgr.msc uit). Wanneer je hier Gebruikers opent en op een account dubbelklikt, kun je bijvoorbeeld zorgen dat deze zijn wachtwoord niet kan wijzigen. 

Heb je Windows Home, dan zijn er vanaf de Opdrachtprompt nog diverse mogelijkheden. Met dit commando bijvoorbeeld zorg je ook dat iemand zijn wachtwoord niet zelf mag aanpassen: 

net user <accountnaam> /passwordchg:no 

Of voer dit commando uit om allerlei eigenschappen van een account op te vragen: 

net user <accountnaam> 

Je kunt ook een externe, portable tool als Quick User Manager gebruiken om allerlei aspecten van je accounts te beheren. Hiermee verander je bijvoorbeeld makkelijk het accounttype, schakel je het account tijdelijk uit. Andere opties zijn het vastzetten of wijzigen van het wachtwoord of het aanpassen van het accountlogo. Bevestig je keuzes met Save changes / Yes

Quick user manager

Quick User Manager biedt een handig grafisch venster voor je accountbeheer. 

 

Tip 03: Profielmap 

Door elke gebruiker een afzonderlijk account te geven, en met een wachtwoord of Windows Hello-token te beveiligen, heb je al een aardige aanzet gegeven tot een werkbare omgeving met meerdere gebruikers. Immers, elke gebruiker krijgt automatisch een eigen profielmap toegekend, in de standaardlocatie C:\Users\<accountnaam>. Je eigen profielmap bereik je snel door Windows-toets+R in te drukken en %userprofile% in te tikken. 

 

Alleen administrators kunnen zich makkelijk toegang verschaffen tot de bestanden in die profielmap: het volstaat in Verkenner op de map te klikken en op de knop Doorgaan te drukken. Standaardgebruikers kunnen dit niet (tenzij ze de pc bijvoorbeeld via een live Linux-stick opstarten en zo de ingebouwde Windows-beveiligingen omzeilen). 

 

Wil je hoe dan ook vermijden dat een andere gebruiker bij de gegevens in je profielmap kan, dan kun je inhoud eventueel versleutelen, maar het werkt handiger als je een afzonderlijke map gebruikt voor je privacygevoelige gegevens en die met behulp van NTFS-machtigingen voor andere gebruikers dichttimmert. Hoe je dit doet lees je in de volgende tip. 

Profiel map

Administrators geven zichzelf moeiteloos toegang tot de profielmap van medegebruikers. 

 

Tip 04: Selectieve toegang 

Stel, je wilt een map hebben waarbij je helemaal zelf bepaalt welke gebruikers wel of geen toegang krijgen, en of dat volledige toegang dan wel alleen leestoegang mag zijn. Dit kan met elke willekeurige map. We gaan er wel van uit dat deze zich op een NTFS-partitie bevindt. 

 

Klik nu in Verkenner met rechts op de mapnaam, kies Eigenschappen en open het tabblad Beveiliging. Vervolgens klik je op Bewerken en op Toevoegen. Bij Geef de objectnamen op vul je de exacte naam (of het e-mailadres) van het account in dat je toegang tot de map wilt geven. Zodra je op Namen controleren klikt, wordt de volledige aanmeldnaam ingevuld. Bevestig met OK en met Toepassen. Selecteer het account bij Namen van groepen of gebruikers en plaats bij Machtigingen voor <accountnaam> een vinkje bij Volledig beheer in de kolom Toestaan. Wil je een ander account alleen leesrechten geven, dan herhaal je deze procedure voor dat account, maar plaats je alleen een vinkje bij Lezen en uitvoeren, Mapinhoud weergeven en Lezen. Accounts die je de toegang wilt ontzeggen, voeg je simpelweg niet toe. 

 

Terug op het tabblad Beveiliging kies je Geavanceerd / Overname uitschakelen. Kies Converteer de overgenomen machtigingen voor dit object in expliciete machtigingen en bevestig met OK. Druk op Bewerken, selecteer Geverifieerde gebruikers in de namenlijst en klik op Verwijderen. Herhaal dit voor de groep Gebruikers. De overige gebruikers(groepen), zoals SYSTEM en Administrators laat je ongemoeid. Je hebt nu precies de machtigingen die je wenst. 

Map machtigingen

Je kunt voor elke map precies bepalen wie welke machtigingen krijgt toebedeeld. 

 

Tip 05: Delen via netwerk 

De machtigingen die we in de vorige tip hebben toegekend werken enkel op lokaal niveau (NTFS). Maar wat als je ook toegang wilt geven aan medegebruikers die vanaf een andere pc via je thuisnetwerk de map willen benaderen? Dan moet je nog share-machtigingen instellen (gedeelde netwerkmappen worden dus ook wel ‘shares’ genoemd) en dit vergt enige voorbereiding. 

 

Open Instellingen / Netwerk en internet. Klik op Ethernet en zorg dat Privé als netwerkprofieltype is geselecteerd bij je netwerk. Of je kiest Wifi / Bekende netwerken beheren, je klikt op het actieve netwerk en selecteert ook hier Privé

Je gaat tevens het volgende na: open het Configuratiescherm en kies Netwerk en internet / Netwerkcentrum / Geavanceerde instellingen voor delen wijzigen. Vouw de rubriek Particulier netwerk uit en zorg dat zowel Netwerkdetectie inschakelen als Bestands- en printerdeling inschakelen zijn geselecteerd. Bevestig met Wijzigingen opslaan. Bij het profiel Gast of Openbaar horen beide opties om veiligheidsredenen te zijn uitgeschakeld. 

 

Vouw het profiel Alle netwerken uit en selecteer je bij voorkeur Met wachtwoord beveiligd delen inschakelen. Dit zorgt ervoor dat gebruikers het wachtwoord van een account op de pc met de gedeelde map moeten kennen om via het netwerk toegang tot je pc te krijgen (zie ook kader ‘Geen wachtwoord’). 

Tot slot druk je op Windows-toets+R en voer je sysdm.cpl uit. Druk op de knop Wijzigen en zorg dat de computernaam uniek is binnen je netwerk. Bij Werkgroep daarentegen vul je wel overal dezelfde naam in. Bevestig met OK en herstart je pc. 

Netwerk instellingen

Controleer vooraf enkele instellingen voor je met gedeelde netwerkmappen aan de slag gaat. 

Onveilige gastaanmeldingen inschakelen

Gedeelde mappen zonder aanmelding: niet de veiligste oplossing, maar het kan wel. 

Tip 06: Eenvoudig delen 

Alles is nu klaar om data via het netwerk met anderen te delen, maar je moet natuurlijk zelf nog aangeven welke mappen je precies wilt delen. De eenvoudigste manier is als volgt: klik in Verkenner met rechts op de beoogde map en kies (Meer opties weergeven) / Toegang verlenen tot / Specifieke personen. Verschijnt deze optie niet, ga dan naar het menu Beeld in Verkenner, druk op de knop Opties, open het tabblad Weergave en zet een vinkje bij Wizard Delen gebruiken (aanbevolen). Nu zou Specifieke personen wel beschikbaar moeten zijn. Vervolgens selecteer je de gewenste account(s) in het uitklapmenu. Wil je alle gebruikers in één keer toegang verschaffen, dan kies je Iedereen. Bevestig met Toevoegen en selecteer de gewenste machtigingen voor elk toegevoegd account. Als je de machtigingen wilt intrekken, dan kun je een account hier trouwens ook altijd weer verwijderen. Windows toont je nu het zogeheten UNC-pad (Universal Naming Convention) naar de gedeelde map: \\<computernaam>\<sharenaam>

wizarddelen

Een wizard helpt je bij het snel en eenvoudig delen van mappen. 

 

Tip 07: Geavanceerd delen 

Als je in de vorige tip Toegang verlenen had geselecteerd, dan heb je naast Specifieke Personen nog een tweede optie opgemerkt: Geavanceerd delen. Deze kun je trouwens ook bereiken door het eigenschappenvenster van een map op te vragen en op het tabblad Delen de optie Geavanceerd delen te selecteren. Via deze weg kun je de machtigingen nog fijnmaziger instellen. 

 

Plaats een vinkje bij Deze map delen en vul een naam voor je gedeelde map in. Handig om weten: als je deze naam afsluit met het teken $, dan wordt de gedeelde map standaard niet zichtbaar in de netwerkomgeving van de andere pc’s. 

 

Vervolgens kies je Machtigingen / Toevoegen en vul je de accountnamen in, gescheiden door een puntkomma. Bevestig met OK. Selecteer een account en duid bij Toestaan aan of je die de machtigingen Lezen, Wijzigen of Volledig beheer wilt toekennen. Met deze laatste wordt het bijvoorbeeld ook mogelijk de lokale NTFS-machtigingen aan te passen. Wil je niet dat alle gebruikers zomaar toegang krijgen, dan selecteer je hier best Iedereen en haal je die gebruikersgroep weg met Verwijderen

Geavanceerd delen 

Delen zonder wizard vergt logischerwijze iets meer configuratiewerk. 

Machtigingen voor mijnmap

Windows houdt bij het benaderen van een gedeelde map ook rekening met de lokaal ingestelde machtigingen. 

 

Tip 08: Sharebeheer 

Je gedeelde mappen (shares) zijn klaar en wachten op de eerste gebruikers. Om een gedeelde map te bereiken hoeven ze doorgaans alleen maar Verkenner te openen en onderaan het navigatievenster de rubriek Netwerk uit te vouwen. Windows kan hier weleens nukkig doen, maar dan kun je een gedeelde map altijd nog bereiken door in de Verkenner-balk het UNC-pad van de map in te tikken: \\<computernaam>\<sharenaam>. Dit is trouwens ook de gangbare methode wanneer het om een verborgen share gaat (zie ook tip 7). 

 

Open je een gedeelde map die met een wachtwoord is afgeschermd, dan verschijnt er een venster waarin je je moet aanmelden. Om te vermijden dat je dit telkens opnieuw moet invullen, plaats je hier een vinkje bij Mijn referenties onthouden. Heb je per ongeluk de verkeerde referenties ingevuld en krijg je niet zomaar toegang meer tot de gedeelde map, open dan het Configuratiescherm van Windows en kies Gebruikersaccounts / Referentiebeheer. Open Windows-Referenties, selecteer de foutieve referentie en kies Verwijderen

 

Wil je een snel overzicht van de gedeelde mappen die je op je pc beschikbaar hebt gemaakt, dan hoef je in de Verkenner-balk slechts \\localhost in te tikken. 

 

Een handige beheertool is verder nog Gedeelde mappen. Je opent deze door Windows-toets+R in te drukken en het commando fsmgmt.msc uit te voeren. Ook hier krijg je een overzicht van de shares, evenals van de actieve deelsessies en de geopende bestanden. 

Gedeelde mappen

De app Gedeelde mappen toont je alle shares, actieve sessies en geopende bestanden. 

 

Tip 09: Duaal gebruik 

Je weet inmiddels hoe je je computer optimaal instelt voor medegebruikers, zowel op lokaal als op netwerkniveau. Maar we kunnen ons voorstellen dat je zelf (en eventueel ook andere gebruikers) in twee ‘hoedanigheden’ achter je pc zit: enerzijds voor persoonlijk gebruik, anderzijds voor zakelijke activiteiten, zoals in een thuiswerksituatie. 

 

Dan wil je beide profielen wellicht gescheiden houden en (vooral) de zakelijke gegevens afschermen voor medegebruikers. Zoiets is ook prettig als onverhoopt een computer wordt verloren of gestolen. We komen dan al snel uit bij dataencryptie. Windows Pro en hoger is voor zulke situaties het best uitgerust, maar met wat externe hulp kom je ook met Windows Home een heel eind. 

 

Om te beginnen maak je in zo’n situatie voor jezelf twee aparte Windows-accounts, bij voorkeur lokale accounts. Zorg er tevens voor dat je je zakelijke account omzet in een Administrator-type (zie ook tips 1 en 2). 

Accounttype wijzigen

Je maakt het best een afzonderlijk account voor je zakelijke computeractiviteiten. 

 

Tip 10: Container (Pro) 

Het is nu de bedoeling dat (vooral) je zakelijke data veilig worden afgeschermd. Je zou hiervoor in principe je complete pc of partitie kunnen versleutelen, maar dat werkt niet handig. Daarom is het een beter idee een afzonderlijk containerbestand te maken dat je vervolgens versleutelt. We tonen eerst hoe je dit kunt aanpakken in Windows Pro en hoger, al geven we in tip 12 een alternatief dat ook in Windows Home werkt. 

 

In Windows Pro gaan we aan de slag met een virtuele harde schijf. Maak alvast een map, druk op Windows-toets+R en voer diskmgmt.msc uit. Selecteer de betreffende partitie en kies Actie / Virtuele harde schijf maken. Selecteer VHDX, verwijs via Bladeren naar de zojuist gemaakte map en noem je virtuele schijf bijvoorbeeld werk.vhdx. Stel de maximale schijfgrootte in (bijvoorbeeld 1 TB), maar laat de optie Dynamisch uitbreiden (aanbevolen) bij voorkeur geselecteerd, zodat de schijf met je actuele behoefte meegroeit tot het ingestelde maximum. Bevestig met OK

 

Je virtuele schijf verschijnt nu onderaan het grafische overzicht. Klik met rechts op de schijf (bijvoorbeeld Schijf 3) en kies Schijf initialiseren, laat de partitiestijl bij voorkeur ingesteld op GPT en druk op OK. Klik vervolgens met rechts op de niet-toegewezen ruimte van je schijf en kies Nieuw eenvoudig volume. Druk op Volgende (2x), selecteer bij voorkeur een stationsletter achteraan het alfabet, druk weer op Volgende, vul een herkenbare volumenaam in en druk nogmaals op Volgende / Voltooien

 

Je virtuele schijf is klaar, maar die moet je dus nog wel versleutelen. 

Virtuele harde schijf

De vhdx-schijf verschijnt als een heus volume in het schijfbeheer van Windows. 

 

Tip 11: Encryptie (Pro) 

Voor de encryptie maken we gebruik van de ingebouwde functie BitLocker to Go. Klik met rechts op je virtuele station in Verkenner en kies BitLocker inschakelen. Kies Een wachtwoord gebruiken om het station te vergrendelen en vul tweemaal een wachtwoord in. Zodra je op Volgende drukt, krijg je de gelegenheid een back-up van de herstelsleutel op te slaan, wat we je alleen maar kunnen aanraden voor het geval je ooit het wachtwoord vergeet. Je kunt hier trouwens meerdere mogelijkheden na elkaar selecteren, zoals Opslaan in een bestand of De herstelsleutel afdrukken. Bevestig met Volgende en laat zeker de optie Alleen gebruikte schijfruimte versleutelen geselecteerd. Druk weer op Volgende (2x) en rond af met Versleutelen starten

 

Zolang je virtuele schijf als station is gekoppeld zijn de data onversleuteld bereikbaar vanuit Verkenner. Heb je de data een tijd niet meer nodig, klik dan met rechts op het station in Verkenner en kies Uitwerpen, waarna je het vhdx-bestand bijvoorbeeld kunt back-uppen. Om je vhdx-bestand weer te koppelen, dubbelklik je op het bestand, waarna het virtuele station weer in Verkenner verschijnt. Dubbelklik hierop en vul je wachtwoord in om het station weer te kunnen benaderen. 

 

Om het station bij je aanmelding automatisch te laten koppelen, druk je op Windows-toets+R, voer je shell:startup uit en maak je een snelkoppeling naar het vhdx-bestand in je persoonlijke map Opstarten. Je doet er wel goed aan telkens de schijf te ontkoppelen net voordat je je Windows-sessie afsluit. 

 

bitlocker encryptie

Met BitLocker To Go kun je ook een virtueel station versleutelen. 

 

Tip 12: VeraCrypt (Home) 

Gebruik je Windows Home, dan is er een prima alternatief (dat trouwens ook onder Windows Pro werkt): VeraCrypt (voor Windows, macOS en Linux). Download de software en voer de installatie uit, bij voorkeur via de optie Installeren (en niet Uitpakken). Je verwijdert ook het best het vinkje bij Installeren voor alle gebruikers. Start de tool na de installatie op. 

 

Klik op Volume aanmaken. Kies Een versleutelde bestandscontainer aanmaken, druk op Volgende, laat Standaard VeraCrypt-volume geselecteerd en druk op Volgende. Druk op Bestand selecteren, navigeer naar een geschikte locatie en vul de naam van een (niet-bestaand) bestand in, bijvoorbeeld veracrypt-container.txt. Bevestig met Volgende (2x) en vul een maximumgrootte in. Druk op Volgende en vul tweemaal een wachtwoord in. Druk nogmaals op Volgende, selecteer Ja als je bestanden groter dan 4 GB wilt kunnen opslaan, druk op Volgende en beweeg de muis tot de balk groen kleurt. Plaats eventueel een vinkje bij Snelformatteren en bij Dynamisch. Deze laatste optie zorgt ervoor dat je virtuele schijf zal meegroeien met de data die je erin plaatst; houd er wel rekening mee dat dit tot mindere prestaties kan leiden. Druk op Formatteren en bevestig na afloop met OK en met Sluiten

 

Druk in het VeraCrypt-venster op Bestand selecteren en verwijs naar je containerbestand. Selecteer een vrije stationsletter in de lijst, bij voorkeur achteraan het alfabet en klik op Koppelen. Vul je wachtwoord in en bevestig met OK. Je virtuele station is gebruiksklaar en kun je vanuit VeraCrypt op elk moment ontkoppelen (en weer opnieuw koppelen). 

Veracrypt

VeraCrypt is een flexibel alternatief voor de ingebouwde BitLocker-functie van Windows. 

0

Powered by

logo
Deel dit artikel
Voeg toe aan favorieten