INLEIDING

We zijn ervan op de hoogte dat er gedetailleerde informatie en hulpprogramma's kunnen worden gebruikt voor toegang tot bestanden op verwisselbare apparaten. Deze hulpprogramma's kunnen NTFS-bestandsmachtigingen op distributies van Microsoft Windows die niet op een server staan omzeilen. Dit probleem kan van invloed zijn op interne schijven, vaste schijven die zijn gemarkeerd als verwisselbaar en externe media zoals USB, Firewire, E-SATA, SD en andere verwisselbare media. We zijn op de hoogte van situaties waarin schijven op bepaalde opslagcontrollers mogelijk zijn gemarkeerd als verwisselbaar, ongeacht de fysieke positie binnen of buiten de computerbehuizing of het soort verbinding waarvan de schijf gebruikmaakt.

Dit probleem heeft geen invloed op het primaire systeemvolume (het apparaat waarop Windows wordt uitgevoerd).

Systemen die door het probleem worden beïnvloed in een standaardconfiguratie vormen het grootste risico. Dit zijn bijvoorbeeld systemen met verschillende schijven met Windows Vista, Windows 7 en Windows 8.

Meer informatie

Hoe weet u of uw omgeving is beïnvloed?

  1. Open een opdrachtregelvenster met verhoogde rechten. Klik hiervoor op Start, typ CMD, klik met de rechtermuisknop op Cmd.exe en klik vervolgens op Als administrator uitvoeren.

  2. Typ de volgende opdracht bij de opdrachtprompt met verhoogde rechten en druk op Enter:

    PowerShell

  3. Typ de volgende opdracht bij de PowerShell-opdrachtprompt:

    Get-WmiObject -Class Win32_DiskDrive | Indeling - Tabelnaam, model, mediatype




Dit script geeft uitvoer die lijkt op het volgende:



Naam

Model

Mediatype

\\.\PHYSICALDRIVE0

ST31000528AS

Vaste harde schijven

\\.\PHYSICALDRIVE3

WD Ext HDD 1021 USB-apparaat

Externe harde schijven

\\.\PHYSICALDRIVE4

Corsair Voyager 3.0 USB-apparaat

Verwisselbare media

Als het weergegeven mediatype Verwijderbaar medium of Externe vaste schijfmedia is, wordt de configuratie beïnvloed door het probleem dat in dit artikel wordt beschreven.

Oplossing

We raden klanten die schijfmachtigingen op besturingssysteemniveau willen behouden voor secundaire schijven die zijn gemarkeerd als verwisselbaar aan om een van de volgende beveiligingsstappen uit te voeren:

Besturingselementen voor lees- en schrijftoegang tot verwisselbare apparaten of media inschakelen

Ga als volgt te werk als u besturingselementen voor lees- en schrijftoegang tot verwisselbare apparaten of media wilt inschakelen:

  1. Druk op de Windows-toets en R om het menu Uitvoeren te openen.

  2. Typ MMC.exe en druk op Enter.

  3. Klik in het menu Bestand op Module toevoegen/verwijderen (CTRL+M) en selecteer Groepsbeleidsobjecteditor. Klik op OK.

  4. Klik op Bladeren, klik op het tabblad Gebruikers en dubbelklik vervolgens op Gebruikers die geen administrators zijn.

  5. Klik op Voltooien en klik op OK.

  6. Vouw in het navigatievenster Beleid voor lokale computer/gebruikers die geen administrators zijn uit, vouw Gebruikersconfiguratie uit, vouw Beheersjablonen uit, vouw Systeem uit en klik vervolgens op Toegang tot verwisselbare opslag.

  7. Dubbelklik op Alle verwisselbare-opslagklassen: alle toegang weigeren en selecteer vervolgens de optie Ingeschakeld.

  8. Klik op Toepassen en vervolgens op OK.

Als u deze beveiligingsstappen niet kunt uitvoeren, raden we u aan geen gevoelige informatie op de betroffen schijven of apparaten op te slaan. Sla bijvoorbeeld geen persoonlijke gegevens of verificatiegegevens op wanneer verschillende gebruikers een werkstation of back-ups van het bestandssysteem delen. Neem voor meer informatie contact op met de fabrikant van de hardware van uw schijfcontroller.  

Er zijn geautomatiseerde Microsoft Fix It-oplossingen beschikbaar om systemen automatisch te configureren zodat lees- en schrijftoegang tot verwisselbare apparaten niet is toegestaan.
Als u het probleem door ons wilt laten oplossen, gaat u naar de sectie Het probleem voor mij oplossen.

Het probleem voor mij oplossen

Fix it-oplossingen voor Windows 7 of Windows 8



Als u deze Fix it-oplossing wilt in- of uitschakelen, klikt u op de knop Fix it, op de koppeling onder de kop Inschakelen of onder de kop Uitschakelen. Klik op Uitvoeren in het dialoogvenster Bestand downloaden en volg de stappen in de wizard.

Inschakelen

Uitschakelen

Fix it-oplossingen voor Windows Vista


Als u deze Fix it-oplossing wilt in- of uitschakelen, klikt u op de knop Fix it, op de koppeling onder de kop Inschakelen of onder de kop Uitschakelen. Klik op Uitvoeren in het dialoogvenster Bestand downloaden en volg de stappen in de wizard.

Inschakelen

Uitschakelen

Opmerkingen

  • Deze wizards zijn mogelijk alleen beschikbaar in het Engels. De automatische correcties werken echter ook voor andere taalversies van Windows.

  • Als u niet op de computer werkt waar het probleem optreedt, kunt u de automatische correctie opslaan op een flashstation of een cd, zodat u de correctie kunt uitvoeren op de computer waarop sprake is van het probleem.

Veelgestelde vragen

  • Waarom verschilt het Windows-beveiligingsbeleid voor verschillende soorten opslagmedia?
    Windows biedt ondersteuning voor veel opslagapparaten, van traditionele vaste schijven, zoals HDD- en SSD-stations, tot verwisselbare schijven, zoals SD-kaarten en USB-sticks. Dankzij de ondersteuning voor veel opslagapparaten kunnen klanten voor veel scenario's Windows gebruiken in combinatie met het uitgebreide ecosysteem aan Windows-compatibele hardware. Dit geldt ook voor consumentenapparatuur zoals camera's, mobiele telefoons enz. Windows biedt een uitstekende end-to-end-ervaring voor al deze scenario's en apparaten in alle omgevingen met Windows, thuis en in kleine en grote bedrijven.

    Om er bij de ontwikkeling voor te zorgen dat Windows ondersteuning biedt voor deze verschillende scenario's is kennis nodig van de verscheidene vereisten en prioriteiten die met elk scenario samenhangen. Ook moeten er overwegingen worden gemaakt met betrekking tot gebruiksvriendelijkheid, beveiliging, beheerbaarheid en andere functies. Daarom zijn er vanuit beveiligingsperspectief verschillen wat betreft het beheer van bepaalde categorieën opslagapparaten. Hierin spelen veel factoren een rol. Voorbeelden van factoren zijn de omgeving waarin het apparaat wordt gebruikt (bijvoorbeeld voornamelijk thuis of in een bedrijfsomgeving) en of het apparaat wordt gebruikt in combinatie met verschillende andere apparaten. Ook apparaten zonder Windows zijn hiervoor van belang.

  • Wat veroorzaakt dit probleem?
    Het voornaamste verschil in het beveiligingsbeleid is afhankelijk van het gebruik van traditionele, vaste schijven of verwisselbare media.

    Toegang tot gegevens op een traditionele vaste schijf wordt standaard beperkt door toegangsbeheerlijsten (ACL's) van het systeem, waarmee verhoogde beheerdersbevoegdheden worden vereist. Hiermee wordt een geschikt beveiligingsniveau tussen verschillende omgevingen bereikt. Zo kunnen zowel systemen voor één gebruiker als voor meerdere gebruikers worden beveiligd. Voor de meeste pc's geldt dat belangrijke gegevens, zoals het besturingssysteem, zich op de vaste schijf bevinden. ACL's vereisen verhoogde beheerdersreferenties voor toegang tot deze gegevens. Windows biedt verschillende hulpprogramma's voor beheersbaarheid, zodat dit beleid indien nodig nauwkeuriger kan worden beheerd. Dit zijn bijvoorbeeld Bitlocker, Groepsbeleid en aanvullende ACL's. Gebruikers met een niet-beheerdersaccount kunnen op vaste schijven geen hulpprogramma's op volumeniveau uitvoeren, zoals formatteren, of hebben op blokniveau directe toegang tot de inhoud van het bestandssysteem.  

    Verwisselbare media daarentegen zijn in feite ontworpen om te worden verplaatst van en naar verschillende apparaten. Deze apparaten zijn consumentenelektronica en apparaten zonder Windows, zoals camera's en mobiele telefoons. Voor toegang tot gegevens op verwisselbare media zijn standaard geen verhoogde beheerdersbevoegdheden vereist. Deze apparaten zijn doorgaans gekoppeld aan consumentenelektronica. Zorg ervoor dat de gegevens op deze apparaten eenvoudig te bereiken en beheren zijn. Als het bestandssysteem op een verwisselbaar apparaat bijvoorbeeld beschadigd raakt, kan elke gebruiker chkdsk uitvoeren en proberen de beschadiging te repareren. In omgevingen waarin extra beveiliging een prioriteit is, kunnen klanten extra elementen implementeren om toegang tot verwisselbare media te voorkomen of codering van alle verwisselbare media te vereisen. Dit beperkt het gebruik van verwisselbare media als onderdeel van beveiligingsvereisten.

  • Hoe bepaal ik of mijn configuratie kwetsbaar is?
    Gebruikers kunnen via het pictogram Hardware veilig verwijderen in het systeemvak bepalen of ze verwisselbare apparaten in hun omgeving hebben. Apparaten in dit menu zijn gemarkeerd als verwisselbaar.

    Gebruikers kunnen ook een lijst met verwisselbare apparaten weergeven via het Configuratiescherm. Open bijvoorbeeld Alle Configuratiescherm-onderdelen, open Apparaten en printers en klik op het tabblad Apparaten.

    Raadpleeg de sectie Hoe weet u of uw omgeving is beïnvloed? voor meer informatie over het gebruik van Windows PowerShell om te bepalen of uw configuratie kwetsbaar is.

  • Welke Windows-besturingssystemen worden beïnvloed in standaardconfiguraties?
    Windows Vista, Windows 7 en Windows 8 worden beïnvloed in standaardconfiguraties.

  • Wat zijn de mogelijke risico's van het afdwingen van lees- en schrijftoegang tot verwisselbare media via Groepsbeleid?
    Wanneer toegang tot verwisselbare opslagapparaten wordt beperkt via Groepsbeleid, kunnen er fouten optreden in bepaalde toepassingen of vereisen deze verhoogde rechten. Uw back-upsoftware voert bijvoorbeeld mogelijk geen back-ups meer uit van of naar de verwisselbare apparaten. Ook schijfcontroles (chkdsk) of -formatteringen vereisen beheerdersrechten. In de beperkte uitvoeringsmodus kunnen hierdoor fouten optreden in schijfbeheer- en manipulatiesoftware.

  • Wat zijn de mogelijke risico's van Bitlocker?
    Bitlocker is de aanbevolen oplossing voor gegevensbeveiliging bij verwisselbare apparaten. Het gebruik van Bitlocker veroorzaakt een lichte verslechtering van de prestaties bij de codering en decodering van gegevens.

  • Met welk doel kan een aanvaller het beveiligingslek misbruiken?
    Een aanvaller met toegang zonder beheerdersrechten kan een schijf lezen of er gegevens op zetten, ongeacht of hij of zij lokale beheerder is. Een aanvaller heeft dan willekeurige lees- en schrijftoegang tot het apparaat en het bestandssysteem. Dit kan leiden tot het vrijgeven van informatie.

Dankbetuiging


Microsoft bedankt de volgende partijen voor de samenwerking bij het verbeteren van de beveiliging voor klanten:



  • George Georgiev Valkov voor de samenwerking aan dit probleem.

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de vertaalkwaliteit?
Wat heeft uw ervaring beïnvloed?

Bedankt voor uw feedback.

×