Je hebt phishingmails zo door en je hebt natuurlijk een firewall en een antivirustool draaien, maar zijn je systeem en je (thuis)netwerk nu helemaal veilig? Microsoft en andere softwareontwikkelaars waarschuwen namelijk geregeld voor nieuwe kwetsbaarheden. Hoe detecteer je die en hoe dicht je de gaten in Windows en in je netwerk?

Elke softwareontwikkelaar hoort zich ook met vulnerability management bezig te houden. Anders gezegd: hij dient grondig na te gaan welke mogelijke kwetsbaarheden de (systeem)software op elk moment bevat, bij voorkeur voor ze daadwerkelijk worden geëxploiteerd. Dat is een arbeidsintensieve en lastige taak. Immers, dat er vandaag geen kwetsbaarheid is, betekent niet dat die er morgen ook niet is. Het zou namelijk best kunnen dat er nieuwe en krachtiger aanvalstechnieken ontwikkeld worden die een eerdere beveiliging zomaar onderuithalen.

Ook Microsoft is zich daarvan bewust (zie ook www.tiny.cc/msvulna). Zo zijn er, naast allerlei ‘bug bounty’-programma’s en geautomatiseerde kwetsbaarheidsscans op basis van AI, ook zogeheten red teams van ethisch hackers die continu bezig zijn met het uitvoeren van penetratiestests.

Dat neemt niet weg dat er nog vaak nieuwe kwetsbaarheden worden gemeld en niet alleen door of van Microsoft. Als (thuis)systeembeheerder doe je er dus goed aan hiervan zo goed mogelijk op de hoogte te zijn. Bruikbare en doorzoekbare informatiebronnen zijn onder meer https://cve.mitre.org/cve (Common Vulnerabilities and Exposures), https://seclists.org/fulldisclosure en www.exploit-db.com (met onder meer de Google Hacking Database).

In deze masterclass gaan we na op welk niveaus kwetsbaarheden zich zoal kunnen voordoen en hoe je die, met behulp van veelal gratis tools, kunt opsporen en als het goed is, neutraliseren.

©PXimport

Kwetsbaarheidsniveaus

Elke goed geïnformeerde gebruiker weet dus dat er altijd wel kwetsbaarheden zijn die zijn systeem of netwerk kunnen compromitteren. De vraag is wel: op welke niveaus komen ze voor? Als we fysieke bedreigingen buiten beschouwing laten, waarbij een aanvaller zich toegang weet te verschaffen tot de fysieke machine, resten eigenlijk alleen aanvallen van buitenaf, via het internet of het netwerk. Dat maakt dat je router (alias de centrale toegangspoort) van cruciaal belang is, zeker wanneer je services bewust van buitenaf toegankelijk wilt maken, zoals een web- of mailserver. In dat geval kan een netwerkscanner absoluut zinvol zijn. Een web-kwetsbaarheidsscanner is ook nuttig wanneer je een dynamische site of webapplicatie draaien hebt, zoals op basis van JavaScript en/of een SQL-database.

Naast de ‘network edge’ dien je ook de individuele netwerkclients op potentiële kwetsbaarheden te scannen. Ongeacht het gebruikte besturingssysteem focus je je hierbij het best op diverse aspecten. We denken onder meer aan updates van het besturingssysteem en van (kritische) applicaties, accountbeheer en (netwerkgerelateerde) configuratie-instellingen, zoals die van je firewall, browser en netwerkprofielen (privé, openbaar, domein). Laten we met zulke clientcontroles beginnen. We richten ons hier op Windows-systemen.

Security suite

©PXimport

Updatebeheer

Kwetsbaarheidsbeheer kan niet zonder gestructureerd update- en patchbeheer. Nu is het wel zo dat Windows (ga naar Instellingen / Bijwerken en beveiliging / Windows Update) en veel applicaties automatisch op updates kunnen checken en die vaak ook downloaden en installeren. Maar je doet er toch goed aan de update-instellingen regelmatig te controleren en na te gaan of alle nodige updates daadwerkelijk zijn geïnstalleerd.

Twee populaire tools om eventuele lacunes op te sporen (Secunia PSI en MBSA oftewel Microsoft Baseline Security Analyzer) worden helaas niet langer doorontwikkeld en zijn dus ook niet langer betrouwbaar. Het probleem met zulke tools is niet zozeer het bijwerken van de GUI-app maar het actualiseren van de koppeling met achterliggende databases. Verderop in dit artikel bespreken we een paar alternatieven in de vorm van scripts.

Wel zijn er nog diverse tools die nagaan in hoeverre geïnstalleerde applicaties up-to-date zijn en je geautomatiseerde downloads aanbieden. We zijn helaas geen voorstander van dit laatste, omdat niet altijd de juiste downloads (in de gewenste taal) worden opgehaald.

Een gratis en tegelijk een van de grondigste tools is SUMo. Klik na het opstarten op Geïnstalleerde software automatisch detecteren en vervolgens op Controleren. Je ziet nu welke applicaties aan een (grote of minder grote) update toe zijn en welke dat is, waarna je de update na controle zelf kunt downloaden van de ontwikkelaarssite. Via SUMO kan dat alleen als je de PRO-versie aanschaft.

©PXimport

WSUS offline scan

Tools als SUMo richten zich vooral op updates van bekende applicatiesoftware. Om zeker te weten dat je ook over de alle nodige updates en patches voor Windows zelf beschikt moet je dus naar een andere geautomatiseerde oplossing uitkijken. Een bruikbaar alternatief voor MBSA is de ingebouwde Windows Update Agent (WUA) in combinatie met een WSUS offline scanbestand. Die richt zich in de eerste plaats op domeinnetwerken, maar is ook elders inzetbaar. Download eerst het betreffende scanbestand via www.tiny.cc/wsus2. (let op: het cab-bestand in kwestie wordt gelijk gedownload). Via een script kun je dan op basis van dit bestand een grondige offline scan uitvoeren. Dat kan zowel een VBS-script zijn als een PowerShell-script. Je vindt een voorbeeld voor een VBS-script via www.tiny.cc/wsusvbs (dit verwacht het scanbestand standaard in C:\) en een voorbeeld voor een PowerShell-script via www.bit.ly/wsuspower (zoekt naar het scanbestand in C:\Temp).

We kijken kort naar het PowerShell-script, maar de werking van beide is vergelijkbaar. Start PowerShell als administrator op (wij werken met PowerShell 7.x) en voer het volgende commando uit:

Install-Script -Name Scan-UpdatesOffline

Voeg met Y het scriptpad toe aan de path-variabele en bevestig dat je het script van de repository wilt downloaden. Met:

Set-PSRepository -Name "PSGallery" -InstallationPolicy Trusted

geef je aan dat je deze vertrouwt.

Ten slotte voer je Scan-UpdatesOffline.ps1 uit. Na afloop van de (langdurige) scan verschijnt het resultaat.

©PXimport

WES-NG

Een andere, snelle methode om kwetsbaarheden op te sporen is met de Python-tool Windows Exploit Suggester - Next Generation (WES-NG). Deze tool richt zich op informatie gegenereerd door de ingebouwde opdrachtregeltool systeminfo.exe, waarna die tegen databases met kwetsbaarheden wordt afgezet: Microsoft Security Bulletin, MSRC en NVD (NIST National Vulnerability Database).

Ga naar de GitHub-pagina van WES-NG via www.bit.ly/gitwesng en download het code-zipbestand. Pak dit uit naar een lege map, bijvoorbeeld naar C:\wesng. Download en installeer de complete Python-installer voor Windows via www.python.org/downloads/windows. Gemakshalve plaatst je hier ook een vinkje bij Add Python [x.y] to PATH. Vervolgens voer je de drie volgende commando’s uit op de opdrachtprompt:

pip install chardet

systeminfo.exe > sysinfo.txt

wes.py sysinfo.txt

Met het eerste commando installeer je een (aanbevolen) Python-library en het tweede zorgt ervoor dat de uitvoer van systeminfo in een tekstbestand terechtkomt. Het derde commando voert de eigenlijke kwetsbaarheidsscan uit, op basis van de gegevens uit sysinfo.txt. Als het goed is, krijg je een overzicht van de gedetecteerde kwetsbaarheden met onderaan de aangewezen patches om die gaten te dichten (zie ook kader ‘Knowledge base’). Na de installatie van de patch(es) en de herstart van Windows voer je het best opnieuw een scan uit. Via parameters kun je de uitvoer van WES-NG ook filteren, als volgt:

wes.py sysinfo.txt -s critical of

wes.py sysinfo.txt -e

Het eerste commando somt alleen kritieke kwetsbaarheden op, met het tweede check je op kwetsbaarheden waar reeds exploits voor beschikbaar zijn.

©PXimport

Knowledge base

©PXimport

AutoLogger

AutoLogger is strikt genomen geen kwetsbaarheidsscanner, aangezien die vooral achteraf naar sporen zoekt. Anders gezegd, naar mogelijke indicaties dat je systeem al is besmet met enigerlei vorm van malware, spyware of adware. We bewandelen hier dus in zekere zin de omgekeerde weg: aan de hand van typische kenmerken van malwaresporen proberen we uit te zoeken aan welke exploits en dus kwetsbaarheden ons systeem wellicht blootstond of -staat. We bekijken kort de werking van het AutoLogger-script van Russische origine.

Met de installatie belanden onder meer de tools AVZ (zie ook www.tiny.cc/kasavz) en HiJackThis Fork (zie ook www.bit.ly/hijackfork) op je systeem.

Je downloadt AutoLogger via www.bit.ly/autologger via de oranje knop. Pak het zip-bestand uit naar een lege map en start AutoLogger.exe op. Even later start het script automatisch een voor een de geïnstalleerde tools op en wordt je systeem grondig gescand. Dit proces kan wel even duren. Na afloop wordt de logbestanden in een zip-bestand opgenomen, in de submap \AutoLogger. Nu kun je dit zip-bestand, na je aanmelding bij GitHub, wel uploaden via een bug-tracking issue-sectie waarna je mogelijk zinvolle feedback ontvangt, maar we raden je toch aan dit bestand eerst uit te pakken en de vier logbestanden zelf te bestuderen. Mogelijk schrikt de detaillering van de gegevens je toch wat af om die data zomaar te uploaden en bovendien zijn deze logs ook best leerzaam. In het kader vertellen we je wat meer over de logs van HiJackThis Fork.

©PXimport

HiJackThis

©PXimport

Poortscan

We verschuiven onze zoektocht naar mogelijke kwetsbaarheden nu naar de netwerkzijde van je systeem. Daar hoort natuurlijk een grondige poortscan bij. Je kunt weliswaar specifieke poorten scannen, bijvoorbeeld als je een ip-camera hebt waarvan je de beelden via een webinterface bekijkt en je wilt weten of die poort ook van buitenaf bereikbaar is. Dat kan heel eenvoudig door het adres www.grc.com/x/portprobe=<poortnummer> in je browser in te voeren. Is het juist je bedoeling dat die poort openstaat, dan ga je in elk geval na of de bijbehorende service up-to-date is en of er geen kwetsbaarheden of exploits van bekend zijn.

We raden je aan om een poortscan op een zo ruim mogelijk poortbereik uit te voeren. Immers, je kunt altijd wel een service of applicatie over het hoofd zien.

Een poortscan van binnenuit uitvoeren is uiteraard een optie, maar gezien hackpogingen doorgaans van buitenaf gebeuren, laat je er het best (ook) een online poortscan op los. Een populaire en snelle scan kan via ShieldsUP!. Klik op Proceed / All Service Ports, zodat de poorten 0 tot 1055 worden gescand.

Een blauw vakje wijst op een gesloten poort, maar nog veiliger is een groen vakje (stealth), aangezien die poort helemaal niet op binnenkomende datapakketjes reageert, wat maakt dat de hacker in principe niet weet dat er een poort aanwezig is. Een rood vakje geeft een open poort aan.

©PXimport

Poortscan: interpretatie

Klik op zo’n poortvakje voor meer details over het poortgebruik en eventuele kwetsbaarheden. Je moet wel even opletten met het interpreteren van de poortscanresultaten. Vergeet immers niet dat al het netwerkverkeer van buitenaf – dus ook de poortscans van ShieldsUP! – je router moet passeren. Voer je zo’n scan uit vanaf een netwerkclient en geven de resultaten open poorten aan, dan betekent dat niet noodzakelijk dat die openstaan op het systeem waarmee je de scan startte. Het zou zomaar kunnen dat je, ik noem maar wat, twee IoT-apparaten of ip-camera’s deze poorten gebruiken en dat je beide poorten via port forwarding (helaas) ongefilterd vanuit je router naar die apparaten hebt doorgelust. Maar het werkt ook in de andere richting: het zou kunnen dat je veel meer groene vakjes te zien krijgt, precies omdat je NAT-router deels ook als firewall fungeert.

Om echt te weten hoe je eigen systeem scoort, kun je dat ofwel rechtstreeks met je modem verbinden ofwel als DMZ in je router configureren. Je kunt ook nagaan in hoeverre het in- of uitschakelen van je firewall een verschil maakt. Besef wel dat het systeem tijdens zo’n test mogelijk onbeschermd is tegen potentiële aanvallen!

©PXimport

Virtueel testlab

Er bestaan natuurlijk ook gespecialiseerde kwetsbaarheidsscanners en wanneer je googelt naar ‘vulnerability scanner’ kom je al snel bij enkele kandidaten uit. Wil je het gratis doen, dan kun je de pentesting-distributie Kali Linux overwegen. Deze heeft namelijk een fraaie rubriek Vulnerability Analysis beschikbaar.

Kali Linux is beschikbaar voor WSL, maar laat zich net zo goed bare metal of in dual boot, als live bootmedium of in een virtuele machine (VM) installeren. Voor je hiermee in een productieomgeving aan de slag gaat, doe je er goed aan ervaring op te bouwen in een virtueel testlab, bijvoorbeeld met VirtualBox.

Start de tool op en ga naar Bestand / Voorkeuren. Bij Netwerk ga je naar het tabblad NAT-netwerken, klik je op de groene plus-knop en dubbelklik je op het toegevoegde item. Eventueel pas je hier de Netwerknaam (NatNetwork) en/of de Netwerk-CIDR (10.0.2.0./24) aan. Plaats een vinkje bij Inschakelen netwerk en bevestig met OK.

Je kunt nu Kali Linux ophalen, bijvoorbeeld via www.osboxes.org/kali-linux (pak het gedownloade 7z-archiefbestand uit) en als VM installeren. Bij deze download is de standaard login voor Kali Linux osboxes (User) en osboxes.org (Password; ook voor root).

Vervolgens installeer je de gewenste doelsystemen in afzonderlijke VM’s. Dat kan net zo goed ook een geïnstalleerd Windows-systeem zijn dat je met de gratis tool Disk2vhd naar een virtuele harde schijf (VHD) hebt omgezet. Deze is in PCM 11/2021 aan bod gekomen, op pagina 92.

©PXimport

Kali: kwetsbaarheidsscanners

Kali bevat al een paar handige kwetsbaarheidsscanners, zoals de populaire en krachtige tool Nikto voor het scannen op kwetsbaarheden in webservers en -applicaties. Sommige hiervan tref je helaas niet meer in Kali Linux aan, maar laten zich met wat moeite alsnog integreren, zoals netwerk-kwetsbaarheidsscanner OpenVAS (Open Vulnerability Assessment System).

OpenVAS is eigenlijk een afgeleide van de ooit zo populaire kwetsbaarheidsscanner Nessus, toen die nog opensource was. Nessus is intussen gecommercialiseerd, maar er bestaan talloze plug-ins voor, geschreven in de scripttaal NASL (Nessus Attack Scripting Language). Handig is wel dat ook OpenVAS met NASL-scripts overweg kan.

Voer de volgende gebruikelijke commando’s uit om alles te updaten:

sudo apt update

sudo apt dist-upgrade

Nu kun je OpenVAS installeren met:

sudo apt install -y openvas

Voor de verdere configuratie en het opstarten vind je meer informatie via www.bit.ly/openvas.

©PXimport

Nessus Essentials

Spreekt de kwetsbaarheidsscanner in Kali je toch niet aan en vind je het integreren van extra tools, zoals OpenVAS, wat lastig, dan heb je aan Nessus Essentials een uitstekend alternatief (dat je overigens ook wel in Kali kunt opnemen: zie www.bit.ly/kaliness).

Je vindt dit op www.tenable.com/products/nessus. Deze gratis editie beperkt je wel tot het scannen van zestien ip-adressen, wat voor veel thuisnetwerken wellicht volstaat. De onbeperkte versie is helaas stevig aan de prijs: zo’n 3450 euro per jaar. Na je registratie met je e-mailadres kun je de tool downloaden, onder meer voor Windows.

De installatie is rechttoe rechtaan en na het invullen van de ontvangen activatiecode en het aanmaken van een beheerdersaccount haalt Nessus de nodige plug-ins op en compileert die. Dit proces kan wel even duren.

Na afloop kun je aan de slag vanuit de Nessus-webclient, standaard op het adres https://localhost:8834. In principe volstaat het om het gewenste ip-bereik of een subnet in CIDR-notatie (bijvoorbeeld 192.168.0.0/24) in te vullen, waarna een zogeheten host discovery en een poortscan worden uitgevoerd. Eventuele kwetsbaarheden vind je op een afzonderlijk tabblad, op basis van ernst (severity).

©PXimport

Nessus: plug-ins

Zoals vermeld, schuilt de ware kracht van Nessus in de ondersteuning van plug-ins. Die maken het mogelijk dat je voor je netwerkclients modulaire scans uitvoert, samengesteld uit de plug-ins van jouw keuze. Je vindt een overzicht van de meer dan 160.000 plug-ins op www.tenable.com/plugins, die samen bijna 65.000 CVE’s aanpakken.

Ga naar het tabblad Scans en klik op New Scan: in de Essentials-versie zijn er vijftien scan-sjablonen (templates) beschikbaar, zoals Basic Network Scan, Malware Scan, Spectre and Meltdown enzovoort. Geef een naam op en de gewenste doelsystemen, bevestig met Save en voer de scan uit. Je kunt ook eigen beleidsregels (policies) creëren, die dan als basis voor een scansjabloon fungeren.

We geven je hier al een eerste aanzet voor. Open de rubriek Policies en kies New Policy. Kies een basissjabloon en vul bij Settings / Basic een naam in. Op het tabblad Credentials vul je eventueel de nodige referenties of inloggegevens in. Ga vervolgens naar het tabblad Plugins en klik (eventueel) op Disable all. In het linkervenster open je bijvoorbeeld (een van) de drie Windows-collecties. Rechts verschijnen de bijbehorende plug-ins. Klik op Enable naast de plug-ins die je in je scan wilt opnemen. Bestig met Save. Wanneer je nu op New Scan klikt, vind je de aangepaste scan terug op het tabblad User Defined en kun je die op de gewenste doelsystemen uitvoeren.

©PXimport

AOC en AGON by AOC introduceren een nieuwe reeks monitoren die uiteenloopt van snelle esports-panelen tot ultrawide-schermen en 4K-modellen voor gamers die beeldkwaliteit vooropstellen. Daarmee richt het merk zich niet op één type gebruiker, maar op verschillende speelstijlen en budgetten.

Black Friday is bij uitstek het moment waarop veel gamers kijken naar een upgrade van hun setup. Monitoren verouderen namelijk niet zo snel als andere pc-componenten: een goed scherm kan jaren meegaan en is vaak de belangrijkste kwaliteitsboost die je kunt maken, zowel voor games als voor dagelijks gebruik. Een hogere verversingssnelheid maakt beweging vloeiender, een betere contrastverhouding haalt details naar voren, en een groter scherm kan letterlijk het verschil maken tussen een spel spelen en er middenin zitten. Dat maakt deze periode ideaal om iets te kiezen dat past bij hoe je speelt, werkt of kijkt, zonder dat je meteen het duurste model hoeft te nemen.

Oled voor wie beeld én snelheid belangrijk zijn

Aan de top van de line-up introduceert AOC twee QD-oledmonitoren. De AGON PRO AG276QZD2 heeft een 27-inch QHD-paneel met een verversingssnelheid van 240 Hz en een extreem lage responstijd van 0,03 ms. Dat maakt het scherm vooral geschikt voor competitieve shooters en snelle arena-games, waarbij vloeiende bewegingen en diepe contrasten belangrijk zijn. De adviesprijs is 449 euro.

Wie een groter beeldoppervlak wil, komt uit bij de AGON PRO AG326UD. Dit model biedt een 31,5-inch UHD-paneel met dezelfde QD-oledbeeldkwaliteit, maar dan met meer schermruimte voor RPG's en openwereldspellen. Dankzij PiP- en PbP-ondersteuning leent het scherm zich ook goed voor creatief werk of multitasken. De adviesprijs van dit scherm bedraagt 649 euro.

Snelle QHD-schermen voor het middensegment

Onder de oledtoplaag brengt AOC verschillende QHD-modellen die snelheid combineren met een vriendelijker prijskaartje. De Q27G4ZR is een 27-inch Fast IPS-monitor met een verversingssnelheid tot 260 Hz, bedoeld voor gamers die een competitief voordeel zoeken zonder meteen de hoofdprijs te betalen. Wie liever een betere HDR-ervaring heeft, kan terecht bij de Q27G3XMN/BK met miniLED-achtergrondverlichting en DisplayHDR 1000-ondersteuning. Voor wie vooral een degelijke allround QHD-monitor wil, is er de Q27G4XF met 180 Hz en een ergonomische standaard.

Ultrawide en curved voor meer immersie

Voor spelers die het liefst worden ondergedompeld in hun gamewereld, introduceert AOC twee curved-modellen die je blik letterlijk verbreden. De CU34G4 beschikt over een 34-inch ultrawide-paneel met UWQHD-resolutie en een gebogen 1500R-vorm, waardoor het beeld licht om je heen krult. Dat geeft een natuurlijker kijkhoek en maakt het makkelijker om details in je perifere zicht op te pikken; handig in simulators, openwereldgames en story-driven gameplay waarin overzicht en sfeer veel toevoegen.

De CQ32G4VE doet iets vergelijkbaars, maar dan in een traditionelere beeldverhouding: 31,5 inch met QHD-resolutie en eveneens 180 Hz. Daarmee is het een toegankelijke optie voor wie wel de gebogen kijkervaring wil, maar niet per se ultrawide hoeft. In beide gevallen ligt de nadruk minder op pure reactietijd en meer op beleving.

4K met flexibiliteit voor zowel scherpte als reactietijd

Tussen alle nieuwe modellen valt de U27G4R vooral op door zijn flexibiliteit. Dit 27-inch scherm toont 4K-games met een verversingssnelheid van 160 Hz, wat zorgt voor scherpe details zonder aan snelheid in te boeten. Maar het meest bijzondere is de Dual Mode: met één instelling kan de gebruiker schakelen naar Full HD bij 320 Hz. Daarmee biedt het scherm twee speelstijlen in één apparaat: één voor wanneer je beeldkwaliteit en detail wilt, en één voor wanneer elke milliseconde telt in competitieve matches. HDMI 2.1-ondersteuning maakt 'm bovendien geschikt voor PS5 en Xbox Series X, zonder kunstgrepen of compatibiliteitsgedoe.

Betaalbaar instappen met hoge verversingssnelheid

Onder aan de line-up bevinden zich twee modellen die vooral gericht zijn op toegankelijkheid zonder dat de speelervaring eronder lijdt. De 27G4HRE (27 inch) en 24G4HRE (24 inch) bieden allebei een verversingssnelheid van 200 Hz, waardoor bewegingen soepel en responsief blijven, ook bij competitieve titels of snelle camerabewegingen. De beeldkwaliteit is eenvoudiger en de resolutie lager dan bij de duurdere modellen, maar dat is precies het idee: zoveel mogelijk hertzen per euro. Met adviesprijzen van 109 euro en 89 euro openen deze schermen de deur voor gamers die hun eerste gamingmonitor willen kopen of voor wie een tweede scherm zoekt voor een slaapkamer, werkkamer of LAN-omgeving.

Niemand ontkomt aan ouder wordende ogen. Kleine letters, fel wit licht en drukke schermen maken het werken op de pc steeds vermoeiender. Windows 11 biedt gelukkig een schat aan verborgen opties om de tekst te vergroten, het contrast te verhogen en je vermoeide ogen rust te geven.

In Windows 11 pas je zonder extra software de beeldkwaliteit eenvoudig en snel aan, zodat alles weer prettig leest. Het type monitor of het tijdstip van de dag maakt daarbij niet uit. Bovendien profiteer je van nieuwe hulptechnologieën zoals live-ondertiteling en de Verteller met helder geluid.

Eerst pak je de algehele schaalinstelling aan, want die bepaalt hoe leesbaar alle vensters, apps en pictogrammen zijn. Klik op Start, ga naar Instellingen /Systeem /Beeldscherm. Onder het kopje Schaal stel je met het keuzemenu een percentage in, bijvoorbeeld 125 of 150. Gebruik daarna de optie Aangepaste schaal, via het pijltje rechts van het keuzemenu, als de standaardpercentages niet bevallen: typ bijvoorbeeld 138 en kies Toepassen.

Scrol in het menu Beeldscherm iets omlaag naar Resolutie; kies altijd de aanbevolen waarde om te voorkomen dat de letters korrelig worden. Zodra schaal en resolutie kloppen, vormt dit de basis voor verdere verfijning, daarmee bespaar je jezelf voortaan eindeloos turen en inzoomen.

Rustiger beeld

Fel wit licht werkt als een spotlight op vermoeide netvliezen, daarom verdient de ingebouwde donkere modus je aandacht. Ga naar Instellingen /Persoonlijke instellingen /Kleuren. Selecteer in het vervolgkeuzemenu Donker; Windows past zowel de taakbalk als systeemvensters onmiddellijk aan, zodat grote witte vlakken verdwijnen.

Vind je dat nog niet uitgesproken genoeg? Activeer dan een contrastrijk thema. Scrol omlaag naar Contrastthema’s en druk op Bewerken. Kies bijvoorbeeld Woestijn voor zachte beige tinten of Schemering voor hoog contrast met paarse accenten. Klik op Opslaan als en vervolgens Toepassen zodat je altijd kunt terugkeren naar het standaardthema zonder instellingen kwijt te raken. Controleer tot slot of de websites zich aanpassen door in Edge het instellingenvenster te openen, naar Vormgeving te gaan en Donker als standaardthema te kiezen. Zo genieten je ogen overal van een rustiger beeld, terwijl kleuren toch voldoende onderscheid blijven bieden voor tabellen, grafieken en programmeervensters, zelfs tijdens een lange avond achter het scherm.

Haarscherpe letters

Zelfs met de juiste schaal kan tekst nog wazig lijken, vooral op oudere monitoren. Windows 11 bevat daarom de ClearType-tuner waarmee je de pixelweergave precies op je beeldscherm afstemt. Typ ClearType in het zoekvak op de taakbalk en selecteer ClearType-tekst aanpassen. Vink ClearType inschakelen aan, klik op Volgende en doorloop de vijf testpagina’s. Lees steeds aandachtig welk tekstblok het scherpst oogt en bevestig na elke keuze met Volgende. Zodra je op Voltooien klikt, slaat Windows de subpixelmatrix permanent op, zodat letterranden niet meer rafelen.

Wil je daarnaast een groter basislettertype? Open dan Instellingen / Toegankelijkheid /Tekstgrootte. Schuif de balk naar rechts, controleer het voorbeeld en druk op Toepassen. Deze instelling schaalt alleen letters op, niet het volledige venster, zodat lay-outs intact blijven.

Maak ook gebruik van het nieuwe variabele systeemlettertype Segoe Fluent. Schakel naar Persoonlijke instellingen, open Lettertypen en klik op de downloadlink voor Segoe UI Variable als die nog ontbreekt. Dankzij het variabel gewicht en de breedte blijft de tekst leesbaar bij elke resolutie en zoomfactor. Dat is vooral nuttig voor programmeeromgevingen en uitgebreide spreadsheets, ook tijdens presentaties op grote projectieschermen.

Nachtlamp optimaal afstellen

Blauw licht verstoort niet alleen de slaapcyclus, maar prikkelt ook vermoeide ogen. Windows 11 beschikt over de instelbare functie Nachtlamp die de kleurtemperatuur automatisch naar warm oranje verschuift.

Open Instellingen /Systeem /Beeldscherm. Schakel de schuifregelaar Nachtlamp in. Klik vervolgens op het pijltje ernaast om het vervolgmenu te openen; hier bepaal je met een eenvoudige schuif hoe warm het scherm wordt. Een waarde rond 45 maakt het beeld zachter zonder dat foto- en videokleuren onherkenbaar worden.

Schakel Nachtlamp instellen in en zet daarna Schema op Zonsondergang tot zonsopgang als je pc locatiegegevens mag gebruiken. Werk je op een geïsoleerd netwerk, kies dan Aangepast schema en vul je gebruikelijke werktijden in. Windows onthoudt de laatste handmatige wijziging, dus als je incidenteel een kleurkritische taak uitvoert, kun je de nachtlamp vanuit het Actiecentrum tijdelijk uitschakelen door op de tegel Nachtlamp te klikken. Vergeet niet dat de functie per monitor instelbaar is; bij een multi-monitoropstelling profiteer je optimaal door alle schermen dezelfde temperatuur te geven. Dan hoef je nooit meer handmatig te schuiven tijdens een laat avondje.

Nooit meer zoeken

Het muispijltje kwijtraken kost frustratie én tijd. Ga daarom naar Instellingen, open Bluetooth en apparaten en kies Muis. Klik op Aanvullende muisinstellingen, selecteer het tabblad Aanwijzers en wijzig het schema naar Windows Zwart (extra groot)(systeemschema) voor maximale zichtbaarheid. Bevestig met OK. De aanwijzer ligt nu duidelijk boven drukke achtergronden.

Ga vervolgens naar Tekstcursor in het menu Toegankelijkheid in de hoofdinstellingen van Windows 11. Zet de schakelaar Tekstcursorindicator aan, kies een opvallende kleur en vergroot de indicatorbreedte tot twee pixels. Wanneer je nu een Word-document bewerkt, verschijnt naast de dunne verticale streep een helder blokje dat direct opvalt. Met deze instellingen zie je veel sneller waar je typt. Bovendien spaar je je ogen doordat minder heen-en-weerbeweging nodig is tijdens intensief bureaubladwerk.

Snel inzoomen

Wanneer zelfs vergrote fonts tijdelijk onvoldoende zijn, biedt de Vergrootglas-tool soelaas. Druk op Windows-toets+Plus om het hulpmiddel direct te starten. Een zwevende balk verschijnt; hier stel je met Plus en Min het zoomniveau per stap van tien procent in. Voor volledige schermvullende vergroting selecteer je Volledig scherm; beweeg de muis dan om desoriëntatie te voorkomen.

Heb je snel een getal in Excel nodig, typ dan Ctrl+Alt+I voor de Inverted-weergave; de kleuren keren om, waardoor hoog contrast ontstaat zonder de rest van Windows te beïnvloeden. Sluit het Vergrootglas met Windows-toets+Esc om resources vrij te maken. Door deze sneltoetsen in het geheugen te prenten, schakel je binnen seconden tussen normaal en ingezoomd beeld zonder losse hulpmiddelen of browserplug-ins.

Verteller en ondertitels

Zelf lezen is niet altijd de snelste optie; af en toe laten voorlezen ontlast bovendien je ogen. Windows 11 levert daarom Verteller mee. Druk op Ctrl+Windows-toets+Enter om de schermlezer te starten. Een blauwe rand markeert het actieve element. Gebruik Ctrl+Caps Lock+K om de huidige paragraaf te laten voorlezen en pauzeer met Ctrl. Stel het spreektempo in door Caps Lock+Plus of Caps Lock+Min te drukken totdat de stem comfortabel klinkt. Ga naar Instellingen /Toegankelijkheid en klik op Verteller voor meer instellingen. Denk aan het automatisch aanzetten van de Verteller voordat je bent ingelogd en de knop die je gebruikt om het te bedienen.

Als je liever zelf leest maar wel ondertiteling wilt in vergaderingen, activeer dan de functie Live bijschriften via Ctrl+Windows-toets+L. Windows toont boven in beeld realtime tekst van elk audiosignaal, ook offline. Binnen het Ondertitels-venster klik je op Instellingen, en vervolgens op Voorkeuren / Bijschriftstijl voor extra opties voor lettergrootte en uiterlijk. Combineer beide tools door Verteller het ondertitelingsvenster te laten voorlezen. Zo krijg je tegelijk visuele en auditieve feedback en verminder je vermoeidheid na lange Teams-sessies op elke werkdag.