Maak van Windows Fort Knox: zo beveilig je je systeem en gegevens
Idealiter is het meest gebruikte besturingssysteem ook het veiligste besturingssysteem. Maar hoewel Windows met elke nieuwe versie meer beveiligingsopties biedt, is de beveiliging van dit besturingssysteem zeker nog niet perfect. Je kunt natuurlijk wachten tot Microsoft het oplost, maar wij gaan liever zelf aan de slag!
In dit artikel zorgen we er zelf voor dat de beveiliging van en in Windows helemaal up-to-date is, onder meer door:
- Handmatig te zoeken naar updates en ze te installeren
- Software te updaten met een package manager
- Bestanden te bewaren in de cloud (OneDrive)
- Bestanden te versleutelen met VeraCrypt
- De privacyinstellingen helemaal dicht te timmeren
- De accountbeveiliging aan te passen
Wil je niet alleen je computer, maar ook internet beter beveiligen, lees dan dit artikel: Met DNS-filtering houd je ongewenste websites buiten de deur
Om zorgeloos de pc te gebruiken, is een goede beveiliging essentieel. Je wilt je gewoon zeker weten dat al je bestanden, maar ook de gegevens van jezelf en je gezinsleden veilig zijn. Elke computer loopt het risico gehackt te worden, zoals elke gebruiker het slachtoffer kan worden van ransomware of een andere dreiging. Maar door bewezen werkwijzen toe te passen, en vooral ook de middelen die er zijn om de computer te beveiligen, kun je de risico’s vergaand beperken. Doordat Microsoft flinke stappen heeft gemaakt met de beveiliging van Windows is dit beter mogelijk dan ooit. Bovendien zijn voor de beveiligingsopties die ontbreken in de Home-versie of die alleen in de Pro-versie beschikbaar zijn, gemakkelijk alternatieven te vinden.
Een van de belangrijkste acties om Windows veiliger te maken, is updaten. Vooral de security-updates zijn van belang, omdat deze kwetsbaarheden in het besturingssysteem verhelpen. Dat kan alleen wanneer Microsoft daadwerkelijk security-updates uitbrengt. De oudste versie die nu nog updates krijgt, is Windows 10 22H2. Vanaf 14 oktober 2025 brengt Microsoft voor geen enkele versie van Windows 10 meer updates uit. Gebruik je een oudere versie van Windows, upgrade dan naar een versie die nog wel wordt ondersteund. Want wat niet meer bijgewerkt wordt, is zeker niet veilig.
1 Sneller updates
Hoewel Windows uiteindelijk zelf alle relevante updates installeert, is sneller hier ook echt beter. Via Instellingen / Windows Update / Naar updates zoeken, laat je Windows zoeken naar nieuwe updates. Zijn er updates, installeer deze dan via Downloaden en installeren.
Behalve echte updates biedt Microsoft ook previews van updates aan. Dit zijn bugfixes op eerdere updates en alleen nuttig wanneer zo’n eerdere update problemen geeft.
2 Niet alleen Windows
Leverde Windows Update eerst alleen updates voor Windows, inmiddels krijgen ook andere Microsoft-producten updates. Controleer via Instellingen / Windows Update / Geavanceerde opties of de optie Updates voor andere Microsoft-producten ontvangen is ingeschakeld. Soms is het nodig de pc opnieuw op te starten om een update ook echt te activeren. Vaak wordt dit uitgesteld of zelfs vergeten. Dwing jezelf ertoe het systeem zo snel mogelijk opnieuw op te starten. Schakel daarom bij de Geavanceerde opties de optie Zorg dat ik up-to-date ben in. Je krijgt dan altijd 15 minuten voor de herstart een melding en kunt rustig alle documenten opslaan en programma’s afsluiten. Zeker voor laptop-gebruikers is dit aan te raden, omdat zij vaak alleen de laptop dichtklappen – waarmee de laptop in slaapstand gezet wordt, maar niet herstart wordt.
3 Windows Package Manager
Er staat meer software op de pc dan alleen van Microsoft en ook die software bevat kwetsbaarheden. Omdat Windows Update deze software niet bijwerkt, is het aan te bevelen hiervoor een update- of packagemanager te gebruiken. Soms zit er een goede bij een antivirussuite. Ook Windows beschikt wel degelijk over een packagemanager die ook andere software updatet. Vanaf Windows 10 20H2 is deze Windows Package Manager zelfs standaard op elke pc aanwezig. Het mist een grafische weergave, maar kan wel zelf de applicaties updaten. Om het te gebruiken, start je de Opdrachtprompt op, liefst met administratorrechten. Voor een overzicht van alle software op de pc voer je het commando winget list uit. Achter elk programma zie je de geïnstalleerde versie, een eventueel nieuwere versie en de bron waar het die heeft gevonden. Winget gebruikt twee bronnen om naar updates te zoeken, dat is de Windows Store en een softwarebibliotheek op GitHub. Wil je een programma updaten, gebruik dan het commando winget upgrade gevolgd door de naam van de applicatie. Wil je alle updates installeren, voer dan het commando winget upgrade --all in. De voortgang kun je live volgen. Niet alleen succesvolle, maar ook mislukte updates worden gemeld, evenals een eventueel benodigde herstart van de pc.
Als je geen fan bent van Winget of je hebt te veel programma’s die niet door de Microsoft Updater worden ondersteund, kijk dan naar Ninite, Scoop of Patch My PC Home Updater. Allemaal zijn ze gratis voor thuisgebruik. Lange tijd was SUMo van KC Softwares onze favoriet, maar daarvan is onlangs plots de ontwikkeling gestopt.
Wingetui WingetUI is een grafische schil voor Winget. Het maakt Winget zondermeer vriendelijker, is opensource en gratis te gebruiken. Met het commando winget install wingetui laat het zich ook nog eens eenvoudig met Winget installeren. Omdat het programma enkele niet-digitaal getekende scripts en dll’s gebruikt is het echter niet geheel onomstreden.
4 Veilige opslag
Waar security gaat over het beschermen van data, gaat privacy over het beschermen van identiteit. Bij de keuze of je je eigen bestanden in de cloud wilt bewaren, wordt het verschil tussen de twee ineens heel duidelijk. In de cloud zijn documenten misschien wel het best beveiligd tegen bijvoorbeeld malware en verlies, maar staat tegelijk de privacy het meest onder druk. Naarmate de dreiging van ransomware groter wordt, lijkt daarmee de keuze voor de cloud als plek om de eigen documenten te bewaren logisch. Ook volgens Microsoft, dat natuurlijk ook gewoon geld wil verdienen als de gratis cloudopslag vol raakt. Het stuurt er daarom steeds nadrukkelijker op dat OneDrive de plek is waar Windows-gebruikers hun bestanden te bewaren. Het doet dit bijvoorbeeld door tijdens de initiële configuratie van Windows de gebruiker voor de keuze te zetten om zijn bestanden te back-uppen met OneDrive.
Kies je hiervoor, dan kopieert Windows de mappen Bureaublad, Documenten en Afbeeldingen naar OneDrive en daarmee belandt elk document en elke foto bij Microsoft in de cloud. Het is alleen de synchronisatiesoftware van OneDrive die ervoor zorgt dat in elk geval de bestanden die je regelmatig opent, ook nog echt op de pc staan. Hecht je meer waarde aan jouw privacy en besluit je daarom documenten alleen op de eigen pc te bewaren, dan zul je de veiligheid én de back-up zelf moeten verzorgen. Het risico op een succesvolle malware of zelfs ransomwarebesmetting is op een eigen pc vele malen groter dan in de cloud, en de kans op het falen van de harde schijf of ssd zo mogelijk nog meer. Veilig werken zonder cloud vereist dat je regelmatig een back-up maakt en deze ook controleert. Een back-up op je eigen pc geldt daarbij niet als back-up, dat is alleen een kopie.
5 Persoonlijke kluis
De persoonlijke kluis is een extra beveiligd onderdeel van OneDrive, bedoeld om persoonlijke gegevens in te bewaren. De kluis zit standaard dicht en om deze te openen is extra authenticatie nodig, bijvoorbeeld met een MFA-app zoals Microsoft Authenticator. Ook wordt de kluis na 20 minuten inactiviteit automatisch weer gesloten en stopt het delen van gedeelde documenten. Om de persoonlijke kluis te gebruiken, klik je op OneDrive in de Taakbalk, klik je op het pictogram en daarna Persoonlijke kluis.
6 Back-up
Je gegevens back-up je naar een NAS of een versleutelde externe schijf. Heb je een Pro-versie van Windows, dan kun je dit laatste doen met Microsoft BitLocker. Zodra je namelijk een extern opslagapparaat aansluit, biedt die software aan de opslag te versleutelen. Heb je Windows Home, dan is BitLocker geen optie. Je kunt dan uitwijken naar Veracrypt. Het vereist wel wat meer technisch inzicht, maar biedt ook veel meer mogelijkheden. Behalve van een deel van een schijf een versleutelde container maken, kun je ook hele schijven en zelfs de systeemschijf met VeraCrypt versleutelen. Het is een prima maatregel voor laptops die vaak meegaan of computers die op risicovolle locaties worden gebruikt. Eenmaal versleuteld heb je een wachtwoord nodig om het systeem op te starten. Zonder wachtwoord zijn het besturingssysteem en alle gegevens op de schijf onleesbaar. VeraCrypt kun je op zowel Windows 10 als 11 gebruiken.
7 Privacy
Los van of je kiest voor het bewaren van bestanden in de cloud, valt er aan de privacy in Windows 10 en 11 nog wel het een en ander te verbeteren. Hiervoor ga je bij de Instellingen naar Privacy en beveiliging. Klik op Algemeen en zet in elk geval de optie voor persoonlijke reclames door gebruik van een reclame-id uit. Bij Mijn apparaat zoeken kun je het doorgeven van de locatie aan Microsoft stoppen door Mijn apparaat zoeken uit te schakelen. Een verbetering is ook mogelijk bij de Diagnostische gegevens en feedback. Diagnostische gegevens gebruikt Microsoft om Windows te verbeteren en het belooft zelfs dat het er veiliger door wordt. Maar of het daarvoor ook nodig is de gegevens van jouw pc te delen, is maar de vraag. Schakel de opties hier zo veel mogelijk uit. Heb je eerder wel gegevens gedeeld en wil je dat Microsoft die verwijdert, dan kan dat via Diagnostische gegeven verwijderen / Verwijderen.
8 App-machtigingen
De laatste slag in het beschermen van je beveiliging en zeker ook privacy zijn de app-machtigingen. Bij Privacy en beveiliging / App-machtigingen staat een lijst met enkele specifieke functies en gegevens, zoals de locatie, camera, microfoon en nog meer. Per onderdeel kun je hier aangeven of de betreffende gegevens mogen worden gedeeld of toegankelijk zijn en voor welke applicaties wel en voor welke niet. Zit er standaard een camera in de pc of het beeldscherm, dan kun je bij Camera aangeven of iedereen die de computer gebruikt deze mag gebruiken en voor welke applicaties dat geldt. Wees kritisch en schakel applicaties en zelfs algehele toegang tot onderdelen uit waarvan je niet wilt dat onderdelen of applicaties die zomaar kunnen gebruiken.
9 Wachtwoord en pincode
Een ander punt waar je de beveiliging van Windows kunt verscherpen, is bij het inloggen. Behalve de keuze tussen wel of geen Microsoft-account, speelt ook het wachtwoord een rol. Alle login-opties schaart Microsoft sinds enige tijd onder Windows Hello. De opties hiervoor open je door op Start te klikken en naar Accountbeveiliging te zoeken. Bij Windows Hello kun je de Aanmeldingsopties aanpassen. Windows Hello biedt verschillende biometrische opties, zoals gezichtsherkenning, vingerafdrukherkenning, een pincode en een beveiligingssleutel. Welke opties mogelijk zijn, is afhankelijk van de hardware in de computer. Voor de gezichts- en vingerafdrukherkenning zijn specifieke scanners nodig, zoals een Windows Hello-compatibele webcam of een vingerafdrukscanner. Wil je inloggen met een vingerafdruk, dan is het aan te raden minimaal nog een tweede vinger te scannen en aan jouw profiel toe te voegen.
Behalve veilig is biometrisch inloggen ook handig, en daarom al snel favoriet. Dit geldt ook voor de pincode die je hier kunt instellen. Volgens Microsoft is zo’n pincode zelfs veiliger dan een wachtwoord, omdat het alleen op het betreffende apparaat geldt. Bovendien grijpt de beveiliging al in nadat een paar keer de verkeerde code is ingetypt, om te voorkomen dat iemand de pincode probeert te forceren. Via Pincode kun je een pincode aanmaken, aanpassen en ook weer verwijderen.
10 Vergrendelen
Aanvullend op een goed wachtwoord doe je er ook goed aan de computer te vergrendelen als je je werkplek even verlaat. Laat bij terugkomst de pc weer naar je pincode of een ander ingestelde authenticatie vragen. Met Windows-toets+L vergrendel je de computer. Een andere optie is dynamisch vergrendelen. Daarvoor moet je smartphone via bluetooth met de computer worden verbonden. Eenvoudiger is om een schermbeveiliging in te stellen die om een wachtwoord vraagt. Dit kan door met de rechtermuisknop op het Bureaublad te klikken. Kies dan Aan persoonlijke voorkeur aanpassen / Vergrendelingsscherm / Schermbeveiliging. Kies in het venster een tijd in minuten voordat het scherm vergrendelt en zet een vinkje bij Aanmeldingsscherm weergeven bij hervatten.
Fysieke beveiliging vaak vergeten Wanneer je enige gereedschap een hamer is, ben je geneigd elk probleem als een spijker te zien. Dit geldt ook voor beveiligingsproblemen. Als Windows het probleem is, zoek je al snel elke oplossing in het besturingssysteem. Niet geheel terecht. Integendeel zelfs, want je zult grote risico’s niet opmerken. Heb je bijvoorbeeld alle gegevens keurig versleuteld, maar raak je de laptop kwijt of wordt deze gestolen, dan ben je alsnog alles kwijt en kun je alleen nog maar hopen dat de beveiliging standhoudt. Voorkom dit door de laptop met een beveiligingskabel vast te leggen aan een radiator, verwarmingsbuis of ander vast object. Bijna elke laptop beschikt over een zogeheten Kensington-slot waar je de beveiligingskabel eenvoudig inhaakt en vastmaakt.
Al is het vaak niet eens nodig om je laptop te stelen om aan jouw gegevens te komen. Meelezen op het scherm is vaak al voldoende. Werk je vaak in een drukke omgeving of reis je regelmatig met trein of het vliegtuig, schaf dan een privacyscherm aan. Dat is een dun voorzetscherm dat je op het beeldscherm plakt. Hiermee wordt de inkijkhoek van het scherm fors verkleind. Zelf zit je recht achter het scherm en kun je alles lezen, maar de personen naast je zien alleen nog maar een zwart scherm. Het zijn eenvoudige maatregelen die de digitale veiligheid flink verbeteren.
Slot erop!
Met een Kensington-slot wordt je laptop niet zomaar gejat
11 Windows Beveiliging
Behalve heel veel opties die je zelf kunt gebruiken en instellen, zitten er ook steeds meer geavanceerde technieken in de moderne computerhardware. Deze worden veelal ook door Windows 10 en 11 ondersteund. De mogelijkheden zitten eigenlijk allemaal in Windows-beveiliging. Klik op Start en zoek naar Windows-beveiliging. Het scherm toont acht onderdelen en laat meteen zien welke een groen vinkje scoren en waar nog verbetering mogelijk is. Vaak gaat het om twee onderdelen: App- en browserbeheer en Apparaatbeveiliging. Tot het eerste onderdeel behoort onder meer Smart App Control, dat helpt bij het blokkeren van mogelijk ongewenste apps. Het is een reputatieservice die alleen ingeschakeld kan worden op een net nieuwe Windows-installatie. Dit geldt niet voor een andere beveiligingsfunctie, de kernisolatie. Deze is beschikbaar op alle computers met een processor met hardwarevirtualisatie en meer specifiek hypervisor beveiligde code-integriteit (HVCI). Het bestaat eigenlijk uit twee delen: een waarbij onveilige stuurprogramma’s worden geblokkeerd zodat malware deze niet kan misbruiken en een tweede waarbij wordt voorkomen dat malware het geheugen manipuleert en van code die als niet-uitvoerbaar wordt geladen ineens een wel uitvoerbare code maakt. Op Windows 10 was deze kernisolatie nog optioneel, op moderne Windows 11-machines wordt deze bijna altijd standaard ingeschakeld. Via Apparaatbeveiliging / Ga naar instellingen kun je zien of deze optie beschikbaar is en mogelijk al is ingeschakeld. Zo niet, klik dan op de schuif zodat deze Aan gaat. Na een controle op kwaadaardige stuurprogramma’s moet de computer opnieuw opgestart worden om deze geavanceerde beveiliging in te schakelen.
