Zo bescherm je bestanden tegen onbevoegden
Dankzij smartphones en laptops is het makkelijker dan ooit om altijd toegang te hebben tot je bestanden. Maar ben je de enige die altijd toegang heeft tot je bestanden of hebben veel meer mensen dat? Hoe beveilig je bestanden en schijven tegen ongeoorloofde toegang?
Tip 01: Authenticatie
De combinatie van een gebruikersnaam en wachtwoord zijn de bekendste manieren om bestanden te beveiligen. Helemaal correct is dat echter niet, gebruikersnaam en wachtwoord zijn geen methode voor beveiliging, maar voor authenticatie.
De combinatie van gebruikersnaam en wachtwoord kan wel enige zekerheid geven dat iemand ook echt de persoon is die hij zegt te zijn, maar het helpt op zichzelf niet de toegang tot een bestand te voorkomen. Daarvoor is een beveiligingstechniek nodig. Een bekende beveiligingstechniek is encryptie of versleuteling.
Daarvoor heb je in principe geen gebruikersnaam nodig, maar alleen een wachtwoord. Authenticatie en beveiliging zijn dus erg nauw met elkaar verbonden, maar het zijn toch verschillende onderdelen van dezelfde opdracht: gegevens beveiligen.
Tip 01 Een wachtwoord is een vorm om vast te stellen dat iemand de persoon is die hij zegt te zijn.
Tip 02: Beveiliging
Een tweede belangrijk punt voordat je begint met het beveiligen van je bestanden, is dat elke beveiligingsmaatregel voorwaarden stelt om succesvol te zijn. En die voorwaarden zijn vaak afhankelijk van de plek waar je de maatregel toepast.
Wil je echt niet dat iemand anders bij je bestanden kan, dan is de cloud niet de goede plek. Want in de cloud kan uiteindelijk altijd de beheerder van de server bij de bestanden. Een NAS in je thuisnetwerk is dan een betere plek, want daarvan ben je zelf de beheerder. En wil je je bestanden niet versleutelen maar alleen afschermen met een gebruikersnaam en wachtwoord, gebruik dan een bestandssysteem dat dit ook echt kan. Het FAT32-bestandssysteem dat Windows nog standaard gebruikt bij kleinere schijven en usb-sticks, kan dat bijvoorbeeld niet.
Het NTFS-bestandssysteem weer wel. Kies bij het formatteren daarom altijd voor Bestandssysteem / NTFS tenzij beveiliging niet nodig is of je de stick gaat gebruiken in combinatie met een pc met een oude versie van Windows, zoals Windows 95 of 98.
Tip 02 Het FAT32-bestandssysteem is niet ontworpen voor beveiliging en dus ongeschikt voor het afschermen van bestanden.
Tip 03: Gebruikersaccount
Beschermen van bestanden op de pc begint bij het maken van verschillende accounts voor de verschillende gebruikers van de pc. Ben je de enige gebruiker? Ook dan is het aan te raden één echt gebruikersaccount voor jezelf te maken en te voorzien van een wachtwoord.
Bij oudere versies van Windows is er bovendien ook nog een Administrator-of Beheerderaccount dat met een wachtwoord moet worden beveiligd. In alle gevallen dient het wachtwoord ervoor dat alleen jij kunt inloggen op de pc en het besturingssysteem dan ook weet dat je inlogt. Ga naar het Configuratiescherm, kies Gebruikersaccounts en Ouderlijk toezicht. Klik op Uw Windows-wachtwoord wijzigen wanneer je nog geen wachtwoord hebt of anderen je wachtwoord kennen. Klik dan op Een wachtwoord voor uw account instellen en typ het nieuwe wachtwoord inclusief de bevestiging.
Je kunt een geheugensteun opgeven voor als je het wachtwoord een keer niet direct herinnert. Bevestig met Wachtwoord instellen.
Tip 03 Pas met een wachtwoord is een gebruikersaccount ook echt een account voor één gebruiker.
Tip 04: Andere gebruikers
Deel je de pc met anderen, maak dan voor elke gebruiker een eigen account aan met een eigen wachtwoord. Open het onderdeel Gebruikersaccounts en Ouderlijk toezicht in het Configuratiescherm. Klik op Gebruikersaccounts toevoegen of verwijderen. Klik dan op Een nieuw account maken en geef het account een naam en kies voor Standaardgebruiker. Klik dan op Account maken.
Klik daarna op het account in het scherm waar alle accounts staan weergegeven en kies voor Een wachtwoord instellen. Typ dan het wachtwoord, de herhaling en de geheugensteun. Dit laatste kun je ook aan de gebruiker zelf overlaten als hij de volgende keer de pc gaat gebruiken. Hij kan je account dan niet meer gebruiken, maar logt in met zijn eigen account en kan van daaruit een wachtwoord instellen.
Tip 04 Geef elke gebruiker een eigen wachtwoord.
KeePass
Zodra je bestanden gaat beveiligen en gaat werken met accounts en versleutelingsprogramma's, wordt het beheren van de wachtwoorden belangrijk. KeePass helpt daarbij door alle gebruikersnamen en wachtwoorden in een versleutelde database te bewaren. Je hoeft alleen het hoofdwachtwoord nog maar te onthouden.
Ga naar deze website en klik op Downloads. Kies dan in de rechterkolom KeePass 2.24 (Installerer EXE for Windows) of de meest recente versie van dat moment. Bewaar het bestand op de pc en kies voor Uitvoeren. Na de installatie start KeePass vanzelf op. Kies voor File / New en maak in je map Documenten een nieuwe map aan genaamd KeePass.
Je kunt ook bladeren naar een map (bijvoorbeeld die van SkyDrive) die je al tussen je verschillende apparaten synchroniseert. Typ bij Bestandsnaam een naam voor het bestand en typ daarna tweemaal het wachtwoord in bij Master password. Dit is een belangrijk wachtwoord. Maak het niet te gemakkelijk maar zorg er wel voor dat je het goed onthoudt! Zonder dit hoofdwachtwoord kun je namelijk ook niet meer bij je database met accountgegevens en wachtwoorden.
Klik tweemaal op OK om de installatie af te ronden en de wachtwoorddatabase te maken. Klik dan in de linkerkolom op Windows. Klik dan in het rechterscherm en kies Add entry. Geef het als titel Windows-wachtwoord en zet bij Username de naam van je Windows-account. Typ bij Password en Repeat het wachtwoord en bevestig met OK. Doe dit voortaan voor elk account en elk wachtwoord.
Zet alle gebruikersnamen en wachtwoorden veilig in KeePass.
Tip 05: De juiste mappen
Door je bestanden binnen Windows in de juiste mappen te bewaren, worden ze automatisch afgeschermd voor andere gebruikers in hetzelfde netwerk en van dezelfde pc. De veilige mappen zijn alle mappen die je ziet in de Windows Verkenner binnen de map met je Windows-gebruikersnaam. Dat zijn de mappen Documenten, Afbeeldingen, Downloads, Favorieten enzovoort.
Alle andere mappen zijn niet afgeschermd voor andere gebruikers. Heb je meerdere schijven in de computer of is de harde schijf opgedeeld in meerdere partities, dan zijn die extra locaties waar je bestanden kunt bewaren dus niet standaard afgeschermd voor andere gebruikers. Ze zijn juist ideaal om bestanden te delen.
Tip 05 Andere gebruikers hebben geen toegang tot je standaardmappen.
Tip 06: Versleutelen
Wil je verder gaan dan bestanden afschermen, dan is versleuteling nodig. Krijgt iemand dan toch toegang tot de bestanden of tot een harde schijf, dan zijn de gegevens onleesbaar. Hét programma om hiervoor te gebruiken is TrueCrypt. Ga naar deze website en klik op Downloads. Klik op Download bij het besturingssysteem van je pc, dus Windows, Mac OS X of Linux.
Bewaar het bestand op de pc en start het om het te installeren. Tijdens de installatie kun je de standaardinstellingen laten staan. Met TrueCrypt maak je een groot bestand, liefst van vele gigabytes of zelfs terabytes groot. Dat bestand is onleesbaar zonder de sleutel (het wachtwoord) van de versleuteling. Heb je die sleutel, dan kun je met TrueCrypt het grote bestand (dit wordt een container genoemd) gebruiken alsof het een aparte harde schijf is. Je kunt er dus bestanden in opslaan.
Ben je klaar, dan ontkoppel je de container en zijn alle bestanden in de container voor buitenstaanders volkomen onbruikbaar.
Tip 06 TrueCrypt ziet er behoorlijk lastig uit maar is na enige gewenning eenvoudig te gebruiken.
Tip 07: Container maken
Om bestanden in een onleesbare en dus superveilige versleutelde container te bewaren, maak je eerst die container. Klik in TrueCrypt op Create volume. Kies voor Create an encrypted file container en klik op Next. Vervolg met Standard TrueCrypt volume en klik dan op Select File.
Selecteer nu de map waar je het versleutelde bestand wil bewaren en typ in het vak Bestandsnaam de naam van de container. Bevestig via Opslaan. Klik twee keer op Next en geef dan de grootte van de container op, dit kan in KB, MB of GB, het liefste kies je een wat grotere container, zodat er meerdere bestanden in passen. Klik op Next. Nu moet je het wachtwoord voor de container opgeven. Typ het bij Password en nogmaals bij Confirm.
TrueCrypt wil graag dat je een sterk wachtwoord gebruikt dus met hoofdletters, leestekens en cijfers. Dit wachtwoord bewaar je dan weer in KeePass met erbij de naam van het bestand. Je kunt dan voor elke container een ander wachtwoord gebruiken. Klik dan op Next / Format om de container aan te maken. Het versleutelde gebied formatteren duurt langer naarmate de container groter is en kan bij enkele terabytes al snel een paar uur duren.
Tip 07 Maak in TrueCrypt een containerbestand aan waarin je je bestanden veilig kunt gaan opslaan.
Tip 08: Container gebruiken
Om een versleutelde container te gebruiken als veilige plek om je bestanden te bewaren, moet je die container mounten oftewel koppelen. Start TrueCrypt en kies Select File. Selecteer dan het versleutelde bestand en kies in de lijst met stationsletters, de letter waaronder je het versleutelde bestand wil gebruiken. Klik dan op Mount. Typ nu het wachtwoord in en klik op OK of druk op Enter.
Start dan Windows Verkenner en zie dat er een harde schijf is bijgekomen, met de stationsletter die je net geselecteerd hebt. Je kunt deze schijf gewoon openen in de verkenner en er bestanden in opslaan en bewerken. Je hoeft bestanden die je wil gebruiken dus niet eerst uit de container te kopiëren om ze te bewerken. Je kunt de bestanden die in de versleutelde container zitten, precies zo behandelen als andere bestanden die op een gewone harde schijf staan.
Mits je de hele tijd het station gemount laat. Ben je klaar met de bestanden, sluit dan de container veilig af via Dismount of Dismount All wanneer je meerdere containerbestanden gebruikt.
Tip 08 Koppel de TrueCrypt-container aan een stationsletter om de bestanden toegankelijk te maken.
Tip 09: Windows Firewall
De Windows Firewall controleert elke uitgaande en binnenkomende verbinding op de pc. Wanneer vanaf een andere computer in het netwerk of via het internet geprobeerd wordt toegang te krijgen tot de bestanden op de pc, dan ziet de firewall dat en zal dat in de standaard configuratie afwijzen.
Je hoeft met de Windows Firewall ingeschakeld dan ook niet bang te zijn dat anderen zomaar bij de bestanden op je pc kunnen. Controleer de werking van de Windows Firewall via Configuratiescherm / Windows Firewall / Status van firewall controleren. De firewall moet zijn ingeschakeld. Is dit niet het geval, klik dan op Windows Firewall in- of uitschakelen en kies voor Windows Firewall inschakelen zowel bij de Instellingen voor netwerklocatie Thuis of Bedrijf als bij Instellingen voor netwerklocatie Openbaar.
Deze netwerklocaties zijn de profielen die de Windows Firewall gebruikt. Zodra je de pc met een nieuw netwerk verbindt, zal het vragen wat voor netwerk het is. Kies dan alleen voor Thuisnetwerk en Bedrijfsnetwerk wanneer je dat netwerk vertrouwt. Kies in alle andere gevallen voor Openbaar netwerk. De firewall is dan extra alert en zorgt ervoor dat anderen in hetzelfde netwerk je pc helemaal niet kunnen zien.
Tip 09 Wanneer je op een ander netwerk dan thuis bent, selecteer je het profiel Openbaar netwerk om de bestanden maximaal te beschermen.
Tip 10: Firewall router
Behalve de firewall op de pc is er nog een belangrijke firewall op het netwerk. Dat is de firewall op de router: de firewall die je pc's en tablets en alle bestanden op die apparaten, mede beschermt. Dat een onbekend persoon via het internet toegang krijgt tot je bestanden is wel de grootste nachtmerrie.
Deze firewall heeft een belangrijke rol om dit te voorkomen. Open de browser en ga naar de beheerpagina van je router. Typ de gebruikersnaam en het wachtwoord in en log in op de router. Waar de instellingen staan, is per merk/type router verschillend, er kunnen dus andere termen gebruikt worden. Ga naar het onderdeel Beveiliging of Firewall. Controleer of de firewall is ingeschakeld. Doe dat voor IPv4 en ook voor IPv6. Selecteer opties om je pc en thuisnetwerk te verbergen zoals Niet reageren op PING of Anonieme internetverzoeken filteren.
Kijk ook bij de DMZ en het onderdeel voor Portforwarding of Toepassingen en Games. Bij deze laatste onderdelen kun je systemen op het thuisnetwerk opgeven die wel vanaf het internet toegankelijk mogen zijn. Heel veel redenen zijn daar echter niet voor. Verwijder eventuele uitzonderingen die daar opgesomd staan of schakel een regel tijdelijk uit (disable) om te ervaren wat er dan niet meer werkt. Hoe minder uitzonderingen, des te veiliger de bestanden op het thuisnetwerk.
Tip 10 Elke DMZ en elke toepassing die je toestaat in de firewall, maakt het thuisnetwerk minder veilig.
Tip 11: Bestanden NAS
In een bedrijfsnetwerk is er veelal één centrale server die van alle gebruikers de logingegevens kent en die vervolgens voor alle plekken in het bedrijfsnetwerk waar gegevens staan, weet of die gebruiker die bestanden mag zien en openen of niet. In een thuisnetwerk ontbreekt zo'n server, waardoor de beveiliging op elk apparaat apart moet worden geregeld.
Dat geldt ook voor een NAS, een populaire centrale opslagplaats voor gegevens. Op de NAS draait geen Windows maar een versie van Linux gemaakt door de NAS-fabrikant. Om de beveiliging van de NAS te regelen, start je je browser.
Ga naar de configuratiepagina van de NAS en log in met een beheerdersaccount, veelal is dat de admin. Open het onderdeel waar gebruikersaccounts kunnen worden gemaakt. Klik op Maken en maak net als op de Windows-pc voor elke gebruiker een eigen account. Ga dan naar de lijst Gedeelde mappen en geef de gebruiker per map wel of geen toegang, en beperkt de toegang eventueel tot Alleen lezen. Bij Lezen/schrijven kan de gebruiker elk bestand behalve zien ook bewerken.
Geef elke gebruiker liefst minimaal één map met het recht tot lezen en schrijven, zodat men de NAS wel kan gebruiken voor het bewaren van de eigen bestanden. Geef andere gebruikers bij die map de instelling Geen toegang.
Tip 11 Ook op een NAS kun je de bestanden beveiligen door per gebruiker wel of geen recht op toegang te verlenen.
Tip 12: Toegang beheren
Anders dan Windows kent een NAS vele manieren om een verbinding te maken. Gebruikers kunnen een netwerkverbinding maken onder Windows met de eigen map. Dit doen ze door met de rechtermuisknop te klikken op (Deze) Computer / Netwerkverbinding maken.
Daarna kiezen ze de stationsletter en voeren bij map de url van de gedeelde netwerklocatie in. Die url is opgebouwd uit het IP-adres adres van de NAS (bijvoorbeeld 192.168.1.15) en de mapnaam van de gebruiker (bijvoorbeeld jasper), je krijgt dan \\192.168.1.15\jasper.
Een NAS ondersteunt ook ftp, WebDAV, toegang via internet. Om de beveiliging te optimaliseren stel je ook deze rechten in per gebruiker. Open het onderdeel Toepassingsmachtigingen en bekijk in het overzicht welke rechten elke gebruiker heeft. De bestanden zijn het veiligst bij zo min mogelijk manieren van verbinden. Verwijder dus bij elke gebruiker die rechten die hij toch niet zal gebruiken of zeker niet mag gebruiken.
Tip 12 Hoe minder manieren van toegang zijn toegestaan, hoe veiliger de bestanden op de NAS.
Tip 13: Netwerk beveiligen
Ook het netwerk zelf is een plek die je dient te beveiligen. Een onvoldoende beveiligd draadloos netwerk geeft al snel toegang tot de apparaten in het netwerk en de bestanden die op die apparaten staan. Het netwerk zelf afschermen is dus minstens zo belangrijk als het beveiligen van de rechten op elk apparaat. Log in op de webpagina van de router.
Ga naar het onderdeel Draadloos en controleer of bij elk draadloos netwerk is gekozen voor beveiliging met WPA2. Controleer ook of bij elk netwerk een sterk wachtwoord is ingesteld. Door het wachtwoord te veranderen, sluit je automatisch de toegang tot het netwerk uit voor alle apparaten die je niet meer gebruikt of waarvan je mogelijk vindt dat ze geen toegang meer mogen hebben. Klik op Bewerken en stel een nieuw wachtwoord in.
Kijk ook bij de MAC-filtering. Schakel deze in en voeg van alle apparaten die je vertrouwt het MAC-adres toe aan de lijst van apparaten die toegang tot het netwerk mogen hebben. Schakel andere methoden zoals WiFi-protected Setup en Simple Tap (die bewezen onveilig zijn) uit. Houd een lijst bij in Excel of KeePass van alle MAC-adressen die je opneemt in de lijst met apparaten met toegang, zodat je later weet welk apparaat en welke gebruiker bij welk MAC-adres hoort.
Je kunt de lijst in de toekomst dan ook eenvoudig inperken en gebruikers de toegang tot het netwerk ontzeggen.
Tip 13 Verander het wachtwoord van het draadloos netwerk om de toegang via oude apparaten tot je netwerk en de bestanden hierop, te blokkeren.