Whonix is een alternatief besturingssysteem dat vooral bedoeld is voor wie anonimiteit en privacy hoog in het vaandel heeft staan. Whonix gaat in principe van twee virtuele machines uit, een gateway en een werkstation. Zo kun je Whonix installeren.

Eerder keken we al naar een soortgelijk OS, namelijk Tails. Dat mag door de configuratie-opties en extra tools een veiliger omgeving zijn voor bedreigingen van buitenaf, Whonix geeft hoog op over een nog betere beveiliging en is gebaseerd op Kicksecure, een Debian-Linux-distributie, speciaal met het oog op veiligheid. Via www.kwikr.nl/kicks lees je welke veiligheidsfuncties zoal zijn geïmplementeerd. 

Om er maar enkele te noemen: gebruik van AppArmor-profielen om systeemtoegang door applicaties te beperken, toepassing van diverse kernel hardening-technieken van het KSPP (Kernel Self Protection Project) en een versleutelde swapfile voor een optimale bescherming van lokale data.

Kenmerken

Whonix werd in 2012 aanvankelijk uitgebracht onder de naam TorBOX, waarbij een virtuele machine als een transparante proxy fungeert die alle internetverkeer via het Tor-netwerk laat lopen.

Wie zich verder wil verdiepen in de veiligheidsfuncties van Whonix, kan de tabellen via www.kwikr.nl/whovs raadplegen. Die komen weliswaar van Whonix zelf – de auteurs zijn niet te beroerd toe te geven dat dit (ongewilde) partijdigheid in de hand kan werken – maar de informatie blijft interessant. 

In de rubriek Security worden talloze veiligheidsfuncties op elf vlakken, waaronder Network, Browser Plugin Security, Forensics en Hardening, vergeleken tussen Whonix en onder meer Tails en Tor Browser.

Downloads

Zoals gezegd draait het bij Whonix om twee machines: een gateway en een werkstation. Hoewel je hiervoor twee fysieke machines kunt inzetten, waarbij je de gateway op de ene machine en het werkstation (gevirtualiseerd) op de andere machine installeert, houden wij het in ons scenario bij slechts één fysieke machine, weliswaar met twee VM’s.

Whonix laat zich op verschillende systemen installeren en met enige moeite op een usb-stick, maar een usb-image is vooralsnog niet beschikbaar. De meest gebruikelijke methode is via een hypervisor, en Whonix zelf stelt voor VirtualBox een nagenoeg kant-en-klare ova-applicatie beschikbaar (Open Virtual Appliance). De hypervisor zelf download je gratis. We gaan ervan uit dat je deze reeds hebt geïnstalleerd, op Linux, macOS of Windows.

Wie in de repository van Whonix is geïnteresseerd, kan terecht op https://gitlab.com/whonix. De makkelijkste manier om de VM te downloaden, is via www.kwikr.nl/whovm. Je zult zien dat er twee edities van Whonix beschikbaar zijn: een CLI-variant (command line interface) en een GUI-versie (met een Xfce-desktopomgeving). Het is ook mogelijk een Xfce-werkstation te combineren met een CLI-gateway (zie verderop de paragraaf ‘GUI en CLI’).

Whonix installeren

Om Whonix te installeren, start je VirtualBox op, open je het menu Bestand en kies je Appliance importeren. Verwijs via het mapicoon naar het gedownloade ova-bestand. Bij Instellingen Appliance merk je meteen dat het om twee VM’s gaat. Je kunt hier trouwens bepaalde eigenschappen aanklikken en aanpassen, mocht je dat willen. Bevestig met Importeren en met Akkoord (2x).

Als het goed is, vind je nu twee VM’s in de Virtualbox-beheermodule. Vanuit Instellingen kun je alsnog onderdelen wijzigen. Houd er rekening mee dat sommige opties slechts aan te passen zijn als de VM is uitgeschakeld.

Met een dubbelklik start je alvast de gateway-VM op. Nadat je op Understood (2x) hebt geklikt, vraagt een wizard je hoe je met het Tor-netwerk wilt verbinden. Dat kan ‘automatisch’ via Connect, maar ook via Configure, waar je zelf een Tor-bridge op kunt geven. Na het bootstrappen hoor je dan over een Tor-connectie te beschikken.

Over naar de VM van het werkstation, waar je na je een akkoord de gewenste applicaties kunt opstarten. Open Tor Browser en surf naar https://check.torproject.org om na te gaan of je wel degelijk via Tor surft. Je krijgt hier ook het ip-adres van de Tor-relay te zien.

Instellingen als schermresolutie en toetsenbordindeling kun je eventueel aanpassen via Applications / Settings. Of je gebruikt de console om het een en ander in te stellen. Via www.kwikr.nl/whocli vind je een overzicht van de belangrijkste commando’s.

©PXimport

Netwerk

Je zult merken dat je vanuit de gateway niet zomaar met Tor Browser aan de slag kunt. Het is namelijk de bedoeling dat je dit alleen vanuit het werkstation doet. Daartoe heeft Whonix een intern virtueel netwerk opgezet. Dit merk je wanneer je in VirtualBox de instellingen van de VM van het werkstation opent en Netwerk selecteert. De Netwerkadapter is gekoppeld aan het Intern netwerk met de naam Whonix.

Bij de VM van de gateway zijn twee virtuele netwerkadapters ingeschakeld: de ene is eveneens met dat interne netwerk verbonden, terwijl de andere via NAT is gekoppeld. Deze NAT-modus zorgt ervoor dat de netwerkengine van VirtualBox als een router fungeert die zich tussen elke VM en de hostmachine plaatst. Hierdoor kan de gateway wel het externe netwerk bereiken, maar kan de host de VM niet benaderen, tenzij je poortdoorverwijzingsregels definieert. 

Beide VM’s kunnen elkaar onderling evenmin bereiken, maar door deze aan hetzelfde interne netwerk te koppelen, wordt dit toch mogelijk, zodat je vanuit het werkstation het internet op kunt via de gateway, die alle verkeer via het Tor-netwerk verstuurt.

©PXimport

GUI en CLI

Zoals gezegd is het eveneens mogelijk een Xfce-werkstation te koppelen aan een headless gateway. Dat kan bijvoorbeeld als volgt: download het ova-bestand van de CLI-gateway en open dit bestand in de 7-Zip File Manager. Selecteer het bijbehorende vmdk-bestand en sleep het bijvoorbeeld naar je bureaublad.

Ga daarna naar VirtualBox, waar je ervoor zorgt dat beide Whonix-VM’s uitgeschakeld zijn. Creëer een nieuwe VM in VirtualBox, geef hem een geschikte naam (bijvoorbeeld Whonix-Gateway-CLI), stel hem in op Linux, Debian (64-bit) en ken er voldoende geheugen aan toe. Selecteer Gebruik een bestaand virtuele harde schijf bestand, klik op het mapicoon en op Toevoegen en verwijs naar je uitgepakte vmdk-bestand.

Voor je de nieuwe VM opstart, vergelijk je alle instellingen van de reeds geïnstalleerde Xfce-gateway met de CLI-machine en zo nodig pas je deze laatste aan. Zo zal je onder meer een tweede netwerkadapter moeten inschakelen om die aan het Intern Netwerk met de naam Whonix te koppelen.

Bij het opstarten van de CLI-gateway kun je je in eerste instantie aanmelden met de gegevens user en changeme en vervolgens Tor inschakelen. Na de systeemcheck kun je ook je werkstation opstarten.

©PXimport

Bij ID.nl zijn we gek op producten waar je niet de hoofdprijs voor betaalt. Een paar keer per week speuren we daarom binnen een bepaald thema naar zulke deals. Deze zomer klussen? Goed gereedschap is dan onontbeerlijk. Ee digitale waterpas bijvoorbeeld, ook wel kruislijnlaser genoemd. Dankzij een duidelijke lijn van laserlicht kun je alles mooi waterpas ophangen, zetten of plaatsen.

Een digitale waterpas met laser, ook wel kruislijnlaser genoemd, helpt je om alles perfect recht of waterpas te krijgen, bijvoorbeeld bij het ophangen van een schilderij, het plaatsen van een plank of het tegelen van een muur. De ingebouwde laser projecteert een strakke lijn op de muur, zodat je grotere afstanden gemakkelijk kunt uitlijnen zonder steeds opnieuw te hoeven meten. Handig bij het klussen, verbouwen of inrichten van je huis! Wij vonden vijf betaalbare kruislijnlasers.

Kapro Prolaser 862GS

Deze Kapro Prolaser 862GS verrast met een opvallend groen laserlijn die beter zichtbaar is in fel licht, perfect voor binnen én buiten gebruik. Hij werkt tot zo’n 20 m met indrukwekkende nauwkeurigheid van ± 0,2 mm/m en een zelfnivelleringsbereik van ± 3°. Je krijgt er zelfs een mini‑statief bij, waardoor je meteen aan de slag kunt. Compact, lichtgewicht – maar gebouwd om te presteren onder uiteenlopende omstandigheden dankzij zijn IP 54‑behuizing en lange batterijduur. Een slimme keuze voor wie zowel gemak als zichtbaarheid wil tijdens precisiewerk.

Lasertype: Kruislijn, horizontaal, verticaal
Nauwkeurigheid: 0,4 mm / meter
Automatische correctie: ± 3 °
Lijnzichtbaarheid: 20 meter
Stroombron: 2x AA-batterij

Parkside PKLL 7 D3

De Parkside PKLL 7 D3 is een betaalbare instapper die verrassend veel kan. Hij projecteert kruislijnen met automatische nivellering tot ± 4° en werkt tot ca. 7  meter afstand. Uniek is de mogelijkheid om de lasers onder vaste hoeken te projecteren – handig bij creatief-imaginair werk of wanneer precieze hoeken nodig zijn zonder automatisch corrigerend niveau. Hij is compact, licht en ideaal voor gebruik bij kleine klussen in huis. De nauwkeurigheid van deze kruislijnlaser is met een afwijking van 0,8 mm per meter echter wel iets minder goed, iets om rekening mee te houden.

Lasertype: Kruislijn, horizontaal, verticaal
Nauwkeurigheid: 0,8 mm / meter
Automatische correctie: 4°
Lijnzichtbaarheid: 7 meter
Stroombron: 2xAA-batterij

Makita SK105DZ

Deze Makita projecteert heldere rode lijnen tot 25 meter, ideaal voor zowel horizontale als verticale lijnprojectie. Dankzij de zelfnivellerende functie hoef je je nooit druk te maken over scheve hoeken: hij corrigeert automatisch tot zo'n 4° graden. Deze Makita werkt op en afzonderlijk te verkrijgen 12Volt CXT-accu. De nauwkeurigheid van de SK105DZ is met een afwijking van 0,3 mm per meter erg goed.

Lasertype: Kruislijn, horizontaal, verticaal
Nauwkeurigheid: 0,3 mm / meter
Automatische correctie: 4°
Lijnzichtbaarheid: 25 meter
Stroombron: Accu

Stanley STHT77502-1 Cross 90

Deze Stanley Cross 90 projecteert naast een horizontale en verticale ook nog een extra verticale lijn op exact 90°, waardoor hij ideaal is voor bijvoorbeeld tegelwerk, vloeren en het netjes uitlijnen van tussenschotten. De automatische nivellering zorgt voor een precieze uitlijning zonder gedoe. Een uitstekende keuze voor wie professioneel resultaat wil zonder poespas.

Lasertype: Kruislijn, horizontaal, verticaal
Nauwkeurigheid: 0,5 mm / meter
Automatische correctie: ± 4°
Bereik: 12 meter
Stroombron: 2xAA-batterij

Bosch Universal Level 2

De Bosch Universal Level 2 biedt drie handige modi: kruislijnen met automatische nivellering, verticale lijnen met puntenfunctie of een hellingsmodus voor schuine uitlijning. Dankzij de heldere rode laserstraal en de intuïtieve bediening ervaar je snel gemak en nauwkeurigheid. Compleet geleverd inclusief batterijen en opberghoes.

Lasertype: Kruislijn, horizontaal, verticaal
Nauwkeurigheid: 0,5 mm / meter
Automatische correctie: 4 °
Lijnzichtbaarheid: 10 meter
Stroombron: 3xAA-batterij

Wanneer je Windows 11 (opnieuw) installeert, vereist Microsoft dat je je aanmeldt met een Microsoft-account of dat je er eentje aanmaakt. En dat terwijl je je voorheen in Windows 10 gewoon met een offline account kunt aanmelden. Wij laten je zien hoe je dat ook in Windows 11 doet, rechtstreeks tijdens de installatieprocedure.

Microsoft wil maar al te graag dat je een Microsoft-account hebt en deze ook gebruikt bij het aanmelden van Windows 11. Behalve dat je hiermee in geval van het vergeten van je installatiecode het besturingssysteem makkelijker opnieuw kunt activeren, biedt een Microsoft-account niet heel veel extra voordelen in Windows 11 zelf. Het enige wat met zo'n account makkelijker gaat is het instellen van e-mail en OneDrive, maar dat zijn ook diensten waar je je later bij kunt aanmelden.

Installatieprocedure

In een van de laatste stappen van de installatieprocedure, of wanneer je een Windows 11-laptop hebt gekocht, word je - om de laatste instellingen toe te passen - gevraagd om in te loggen bij een Microsoft-account, of er eentje aan te maken.

©MG | ID.nl

Wanneer je in bovenstaand scherm bent aangekomen, lijkt het alsof je hier niet meer uit kunt komen: je moet óf een account invullen, óf er eentje aanmaken, óf een stap terug gaan met de pijl rechtsboven in beeld. Toch kun je hier nog iets anders doen, namelijk een opdrachtprompt openen. En dat is handig, want met een opdrachtprompt tijdens de installatie van Windows 11 kun je alvast dingen regelen voordat Windows 11 zelf is opgestart. Het omzeilen van het aanmaken of invoeren van een Microsoft-account bijvoorbeeld. Om de opdrachtprompt te openen, moet je de volgende toetscombinatie intypen:

Shift+F10

Let op: bij sommige computers zoals laptops kan het zijn dat je ook de Functietoets Fn moet indrukken om de F10-knop te kunnen gebruiken. De opdracht wordt in dat geval dan:

Shift+Fn+F10

Na het indrukken van deze toetscombinatie wordt een zwart venster voor de opdrachtprompt geopend.

©MG | ID.nl

In dit scherm voor je een speciale opdracht in waarmee we de verplichte invoer voor een Microsoft-account gaan omzeilen. Zodra Windows 11 heeft gedetecteerd dat jouw computer een werkende verbinding heeft, blijf je op dat accountscherm hangen, maar ook wanneer er nog geen verbinding is gemaakt, wil Microsoft toch eerst dat je verbinding maakt en daarna alsnog met een Microsoft-account aan de slag gaat.

Nu de opdrachtprompt is geopend, schakelen we die online functie uit. Voer exact de volgende opdracht in:

start ms-cxh:localonly

Gevolgd door een druk op de Enter-toets. Dat zit eruit als hieronder:

©MG | ID.nl

Nadat je op Enter hebt gedrukt, verschijnt er een nieuw venster met de mogelijkheid om een lokaal account (dus zonder Microsoft-account) aan te maken. Goed om te weten: dit account is ook meteen een administrator-account.

©MG | ID.nl

Je kunt hier dus gewoon een normale (voor- en achter)naam opgeven, een e-mailadres is dan niet nodig. Je kunt ervoor kiezen om nu een wachtwoord in te vullen, maar als je dat doet, krijg je ook direct drie controlevragen die je moet opgeven; dat kun je niet skippen. Sla je het aanmaken van een wachtwoord nu over, dan kun je dat later in Windows 11 alsnog doen.

Nadat je de benodigde gegevens hebt ingevuld, worden de laatste installatiestappen voltooid, en wordt de computer nog een keertje opnieuw opgestart. Daarna kun je je aanmelden met het nieuwe account en voer je nog een aantal stappen uit met betrekking tot functies als locatie, diagnostische gegevens en handschriftherkenning.

Account aanpassen

Het account waarmee je je aanmeldt is een administrator-account. In dat geval doe je er goed aan om een wachtwoord in te stellen als je dat nog niet hebt gedaan in de hierboven uitgelegde stap. Om een wachtwoord in te stellen, klik je op de Startknop, en vervolgens op je accountnaam en kies je voor Mijn account beheren.

©MG | ID.nl

Je komt nu in het instellingenscherm terecht voor je account. Scroll naar de knop Aanmeldingsopties en daarna op Wachtwoord.

©MG | ID.nl

Nu kun je een wachtwoord naar wens opgeven, de eisen zijn hier niet streng, maar uiteraard kies je wel voor een lastig te raden wachtwoord. Wel ben je verplicht om een geheugensteuntje op te geven, maar dat is minder lastig dan drie extra beveiligingsvragen die je normaliter bij het installatiescherm moet opgeven. Bij de geheugensteun mag het wachtwoord (vanzelfsprekend) niet gebruikt worden .

©MG | ID.nl

Wachtwoord en geheugensteun ingevoerd? Dan ben je in principe klaar en kun je je systeem verder gaan configureren. Eventueel kun je nu ook nieuwe extra accounts aanmaken via het onderdeel Andere gebruikers in het instellingenscherm.