MINI-GIDS
VOOROP IN TECH
WINDOWS BEHEREN TIMMER WINDOWS 10 HELEMAAL DICHT IS WINDOWS NOG DE BESTE KEUZE VOOR EEN SERVER? BEHEER AL JE PC’S MET OPSI
MASTERCLASS WINDOWS 10 ALS SERVER
Linux, nas ... of toch gewoon Windows 10 als server? JOCHEM DE GOEDE
WINDOWS 10 ALS SERVER EIGENLIJK WIL JE WEL JE EIGEN SERVER OPZETTEN, MAAR JE HEBT NIET ECHT ZIN OF TIJD OM VEEL WERK IN EEN LINUX-SERVER OF EEN NIEUWE NAS TE STEKEN. BEGRIJPELIJK, DAAROM GAAN WE IN DIT ARTIKEL ONDERZOEKEN IN HOEVERRE WINDOWS 10 ALS SERVER KAN DIENEN – EN OF HET WEL EEN GOED IDEE IS.
Voordat je aan de slag gaat met Windows
veel meer aanvalsvectoren, zoals de gehele
Windows als server te willen
10 als server, zijn er wel een paar dingen
grafische interface, alle ingebouwde Win-
gebruiken. Zoals gezegd is het
die je moet overwegen. Windows 10 is een
dows-desktopapplicaties en veel overbodige
eenvoudig, je hoeft niet met een
desktop-besturingssysteem. Dat maakt
services en diensten. Het is bovendien een
nieuwe omgeving overweg te
het inherent onveiliger dan een server-be-
groot nadeel dat er niet een centrale package-
kunnen. Ook kan het je helpen
sturingssysteem, omdat er simpelweg veel
manager is, zoals op Linux, en dat je dus zelf
om wat meer ervaring te krijgen
onderdelen op gebruiksvriendelijkheid zijn
alles in de gaten moet houden en handmatig
met Windows als server, wat
ingesteld in plaats van op veiligheid. Daar-
zult moeten patchen. Dat gezegd hebbende,
bijvoorbeeld zakelijk handig is in
naast heeft een desktop-systeem natuurlijk
kun je toch een aantal redenen hebben om
een omgeving waar veel Microsoft-producten aanwezig zijn.
OPSLAGRUIMTEN Eén van de misschien wat vergeten functies van Windows 10 is Opslagruimten. Dat is een softwarematige raidfunctie die erg eenvoudig te gebruiken is. Je vindt het in het Configuratiescherm, onder Opslagruimten. Het lijkt veel op de functie Drive Extender uit Windows Home Server, handig dat die functie zelfs nu nog in Windows 10 aanwezig is. Je kunt er meerdere mee schijven combineren, zodat je bijvoorbeeld maar één netwerkschijf hoeft te delen over het netwerk, en je kunt er je data mee beschermen door gebruik te maken van redundantie. Je hebt de keuze uit een aantal modi, zoals een two- of threeway-mirror en parity, vergelijkbaar met raid5.
Windows 10 bevat standaard erg veel software.
2
MASTERCLASS WINDOWS 10 ALS SERVER
Alternatieven Als je het toch anders wilt aanpakken, kun je kiezen tussen Windows-servers, Linux of Unix. Voor Windows was er dus Windows Home Server, maar de laatste versie daarvan komt uit 2011 en is gebaseerd op Windows 7. Deze versie is niet meer verkrijgbaar. De spirituele opvolger is Windows Server Essentials 2016. Het grote voordeel dat je dan hebt ten opzichte van Windows 10 is het gecentraliseerd maken van back-ups voor je pc’s en gecentraliseerd je pc’s controleren op problemen. Wel is Windows Server Essentials een stuk ingewikkelder én duur. Als je liever Linux wilt, blijft Ubuntu Server een aanrader. Wil je meer een nas-achtige opzet, kijk dan ook eens naar FreeNAS.
Met Opslagruimten zorg je dat je data gespiegeld wordt.
BESTANDEN DELEN Het delen van een bestand, map of schijf is op zich niet lastig. Bij het Eigenschappen-venster vind je alle instellingen om te delen. Voeg dan bij
Zorg voor het juiste netwerktype en zet dan delen met een wachtwoord uit.
permissies Iedereen toe bij het delen. Daarna is het nodig om delen met een wachtwoord uit te
zetten. Tegenwoordig heb je Ubuntu Bash op
met de ontwikkeling van deze module. Je
zetten, als je niet wilt worden las-
Windows en daarop kun je openssh installe-
kunt de laatste build van ssh voor PowerShell
tiggevallen met gebruikersnaam
ren met sudo apt install openssh-server.
hier vandaan halen: www.tiny.cc/7bhzjy.
en wachtwoord. Dat verander je
Je kunt het dan zoals in Ubuntu configure-
Pak de inhoud van de zip uit in C:\Program
door naar het Netwerkcentrum
ren. Windows 10 zelf bevat een ingebouwde
Files\OpenSSH en start dan PowerShell als
te gaan. Zorg er dan eerst dat
ssh-server zodra je de developermodus aanzet
administrator en cd naar de map van zojuist.
het netwerktype privé is. Is dat
die in heel sommige gevallen nodig is voor
Installeer sshd met het commando:
niet zo, dan verander je dat het
het uitrollen van uwp-apps en die niet voor
eenvoudigst door een thuisgroep
de eindgebruiker bedoeld is. Die conflicteert
aan te maken in het Netwerkcen-
met je ssh-server in Ubuntu Bash. Schakel die
Achteraf kun je de ssh-sleutels genereren met:
trum. Heb je dat eenmaal gedaan,
daarom uit door services.msc te openen, en
.\ssh-keygen.exe -A. Je kunt het geheel dan
dan klik je in het Netwerkcen-
de SSH Server Broker en SSH Server Proxy
starten met Start-Service ssh-agent en
trum links op Geavanceerde
uit te schakelen.
daarna Start-Service sshd. Dan is het nog
instellingen voor delen wijzigen.
powershell -executionpolicy bypass -file install-sshd.ps1
wel nodig om de firewall open te zetten, met:
Klap dan het onderdeel Alle net-
BASSH
netsh advfirewall firewall add rule
werken uit en zet de optie om te
Je kunt nu dus een beveiligde verbin-
name='SSH Port' dir=in action=allow
delen met een wachtwoord uit.
ding opzetten met je Windows-pc. Niet echt
protocol=TCP localport=22
handig als je daarmee nog niets kunt behe-
Test toegang tot ssh vanaf bash of met Putty,
SSH
ren. Tenzij je dus al je services onder Ubuntu
door in te loggen op localhost of het ip-adres
Op een beetje nas of
Bash gaat draaien, kom je niet heel ver. Je
en je eigen gebruikersnaam en wachtwoord
server kun je waar dan ook
kunt ssh ook gebruiken in combinatie met
van je Windows-pc. Typ powershell en je zit in
inloggen met ssh om zo de server
PowerShell. Dan heb je meer mogelijkheden
een PowerShell-sessie op je Windows-pc. Om
te onderhouden. In Windows 10
over Windows en kun je veel meer met alle
ssh direct mee te starten met Windows, open
is dat wat meer werk om op te
PowerShell-modules. Microsoft is zelf bezig
je de Opdrachtprompt met admin-rechten:
MINI-GIDS
WWW.PCMWEB.NL
3
MASTERCLASS WINDOWS 10 ALS SERVER
Set-Service sshd -StartupType Automatic
om het te installeren. Als je php wilt draaien,
de linkerbalk op Sites rechts te
Set-Service ssh-agent -StartupType
vink bij World Wide Web-services / Toepas-
klikken en te kiezen voor Website
Automatic
singsontwikkelingsfuncties meteen CGI aan.
toevoegen. Voer een eigen site-
In de map C:\Program Files\PowerShell vind
Eenmaal geïnstalleerd, open je de IIS-beheer-
naam en hostnaam in. Bij Fysiek
je overigens het bestand sshd_config waar je
dersconsole om het te configureren.
pad kies je een lege map. De rest
de instellingen van ssh kunt aanpassen.
IIS
laat je zoals het is. Sla de website
REVERSE PROXY
daarna op. Met de website gese-
Als je je eigen downloadplek draait,
lecteerd zie je dan in IIS de optie
Als je een website wilt hosten op
is het irritant om steeds weer die poorten
URL Rewrite. Klik daarop en klik
Windows 10, dan kun je daarvoor IIS ge-
te moeten onthouden en in te vullen. Dat
dan rechts op Add Rule(s). Kies
bruiken, aanwezig in Windows 10 Home en
verhelp je met IIS door een reverse-proxy op
uit de opties voor Reverse Proxy
Pro. Daarmee kun je bijvoorbeeld eenvoudig
te zetten. IIS ontvangt dan de webverzoeken
en klik op OK als een melding
Asp.Net-websites hosten, maar je draait er
en stuurt ze automatisch door op de juiste
verschijnt om proxy in te scha-
ook php- of Python-websites mee. Je schakelt
poort, zodat jij niet steeds poort 8080 in hoeft
kelen. Vul bovenaan het adres
IIS eenvoudig in door het als Windows-on-
te vullen. In IIS installeer je daarvoor URL
in waarnaar alles doorgestuurd
derdeel toe te voegen bij Programma’s en
Rewrite via www.tiny.cc/rdhzjy en Applicati-
moet worden, bijvoorbeeld lo-
onderdelen in het Configuratiescherm. Daar
on Request Routing via www.tiny.cc/fehzjy.
calhost:8000. Vink daaronder de
vink je Internet Information Services aan
Maak dan een nieuwe website aan door in
optie Rewrite the domain names of the links in HTTP responses aan en vul het ene veld in met
JE HEBT DE KEUZE UIT EEN AANTAL MODI, ZOALS EEN TWO- OF THREEWAY-MIRROR EN PARITY
Succes met ssh! Op afstand toegang tot Windows 10.
Je installeert ssh voor PowerShell met deze paar commando’s.
4
localhost:8000 en de andere met je gewenste domeinnaam, in ons geval sabnzbd.netwerk. Voeg dan aan je hosts-bestand een regel
Microsoft Web Installer Je kunt websites direct hosten, zonder gebruik te maken van IIS, namelijk met de Microsoft Web Platform Installer: www. tiny.cc/5ehzjy. Als je dan naar het tabblad Products gaat, kun je met een druk op de knop WordPress, Joomla, Drupal en phpBB installeren. Kies wat je wilt installeren en klik op Install om de installatie te starten. Hoewel de producten vaak wel up-to-date zijn, geldt dat niet altijd voor de onderliggende technologieën. Het beste is dus om dit niet in productie te draaien, want het is niet altijd even up-to-date. Leuk om er even mee te spelen of om alleen in je intranet te draaien.
MASTERCLASS WINDOWS 10 ALS SERVER
LetsEncrypt met IIS Als je daadwerkelijk een website of webapp in productie wilt draaien, ontkom je natuurlijk niet aan https. Dat heb je gelukkig zo voor elkaar met LetsEncrypt, dat ook IIS ondersteunt. Er zijn verschillende clients beschikbaar. Een van de fijnere is de letsencrypt-win-simple-client, die je downloadt vanaf: www.tiny.cc/letsencrypt. Voer alleen het exe-bestand uit en volg de stappen om je website met https te beveiligen, dat stelt allemaal niet zo veel voor. Een alternatief is Certify: https://certify.webprofusion.com. Certify heeft meer opties, zoals automatisch een omleiding naar https instellen, maar voor het downloaden moet je wel wat persoonlijke gegevens afstaan. Met LetsEncrypt voor Windows beveilig je eenvoudig je IIS-websites met https.
Met een IIS-reverse-proxy hoef je geen poortnummers meer in te typen.
toe om sabnzbd.netwerk door te verwijzen naar je eigen pc. Als je nu die link intypt in je browser, kom je uit op SABnzbd, zonder het poortnummer erachter. Je kunt dan hetzelfde doen voor Plex, SickBeard en andere applicaties met poortnummers.
WEBSITE HOSTEN Als je een echte website op wilt zetten in combinatie met IIS, doe je dat als volgt. Wij
HELAAS IS HET ZO DAT OWNCLOUD EN NEXTCLOUD NIET ONDERSTEUND WORDEN OP WINDOWS
zetten hier WordPress op. Daarvoor installeren we als eerste
je op de hoofdpagina rechts met Opnieuw
het commando USE wordpress; en geef de
php 7: https://secure.php.net/
opstarten.
gebruiker wordpress de benodigde rechten:
downloads.php. Pak de zip uit
GRANT ALL ON wordpress TO
en plaats deze bijvoorbeeld in C:\
WORDPRESS
Program Files. Pak php.ini-pro-
Daarna download en installeer je
'wordpress'@'%'; Nu het voorwerk is gedaan, download je
duction en maak daar php.ini
MySQL met de MySQL Installer: http://dev.
WordPress vanaf https://wordpress.org/
van. Open dan het bestand en
mysql.com/downloads/installer. Je hebt
download en pak je het uit naar een locatie
maak een paar kleine wijzigin-
alleen de MySQL Server nodig. Volg de in-
op de schijf waar je websites staan. Wij plaat-
gen, haal de puntkomma weg bij:
stallatiestappen, vul een rootwachtwoord in
sen het in C:\websites\wordpress. Zoek het
extension_dir = "ext"
en maak meteen een wordpress-databasege-
bestand wp-config-sample.php en verander
extension=php_curl.dll
bruiker aan. Open na de installatie de MySQL
de naam naar wp-config.php.
extension=php_mysqli.dll
Command Line Client en maak een database
Terug in IIS maak je daar een nieuwe website
extension=php_mbstring.dll
aan met CREATE DATABASE wordpress;. Maak
aan, door rechts op Sites te klikken. Vul de
en herstart daarna IIS. Dat doe
vervolgens de huidige database actief met
velden in en laat Fysiek pad verwijzen naar
MINI-GIDS
WWW.PCMWEB.NL
5
MASTERCLASS WINDOWS 10 ALS SERVER
waar je WordPress-bestanden
Het is altijd weer even zoeken waar die map
ssl-certificaat toevoegen met LetsEncrypt. Op
staan. Ga in de WordPress-site
ook alweer staat, hier dus: %APPDATA%\
Windows virtualiseer je dan wel Linux, wat
naar Handlertoewijzingen en
Microsoft\Windows\Start Menu\Programs\
extra rekenkracht kost, en je moet beschikken
klik rechts op Moduletoewijzing
Startup. Sommige van die programma’s kun
over Hyper-V. Een andere oplossing is om over
toevoegen. Bij Pad van aanvraag
je als Windows-service installeren. Voor
te stappen op Seafile, dat je downloadt vanaf:
vul je *.php in. Bij Module kies
bijvoorbeeld SABnzbd open je een Op-
www.seafile.com/en/download. Installeer Py-
je voor FastCgiModule en bij
drachtprompt als administrator. Voer dan in
thon 2.7 vanaf www.python.org/downloads
Uitvoerbaar bestand blader je
cd "C:\Program Files (x86)\Sabnzbd" en
en zorg dat die in je ‘path’ staat. Pak dan
naar het php-cgi.exe-bestand.
installeer de service met SABnzbd-helper.
Seafile uit naar bijvoorbeeld C:\Seafile en
Ga naar Standaarddocument,
exe install. Vervolgens start je de service
start run.bat. In conf/ccnet.conf kun je bij de
voer daar index.php aan toe en
automatisch met: sc config SABhelper
SERVICE_URL je domeinnaam aanpassen.
zet het bovenaan. Nu kun je naar
start=auto en nu direct met: net start
Je bezoekt Seafile via: http://127.0.0.1:8000.
je website gaan. Vergeet niet je
SABhelper. Let op dat SABnzbd geen picto-
Je kunt dan weer een reverse-proxy opzetten
dns te regelen of voeg een entry
gram rechtsonder in het systeemvak meer
of je zet FastCGI in op voor Python, zodat je
toe aan je hosts-bestand. Daarna
plaatst en dat de Windows Firewall waarschu-
Seafile direct host in IIS.
kun je WordPress zoals normaal
wingen voor SAB niet zal weergeven. Zorg
opzetten.
ervoor dat je met Transmission de webinterfa-
CONCLUSIE
ce mee-installeert tijdens de installatie, zodat
We hebben je laten zien hoe je eenvoudig
je er op andere pc’s via de browser bij kunt.
bestanden deelt, hoe je een Opslagruimte
DOWNLOADSERVER
aanmaakt om datacorruptie tegen te gaan
Een thuisserver moet natuurlijk ook mogelijkheden
CLOUDOPSLAG
en hoe je ssh en IIS opzet in Windows 10. Het
hebben om te downloaden. Het
Een essentieel onderdeel van een nas
is duidelijk dat Windows 10 als server-bestu-
opzetten van een downloadstack
of server is een cloudsysteem om je bestan-
ringssysteem zeker mogelijk is en dat je er
op Windows 10 is eenvoudig: de
den op elk apparaat beschikbaar te maken.
veel mee kan en dat het nuttig kan zijn om
meeste programma’s hebben
Helaas is het zo dat ownCloud en Nextcloud
ermee aan de slag te gaan om wat Win-
installatiebestanden of binary’s
niet ondersteund worden op Windows-ser-
dows-ervaring op te doen.
beschikbaar voor Windows. Denk
vers. De ontwikkelaars hebben expliciet die
dan aan SABnzbd of NZBGet,
keuze gemaakt. Als we dan rondkijken naar
Transmission, SickBeard en Plex.
alternatieven, zou je Docker op je server kun-
SickBeard heeft een Windows-
nen installeren en dan een Nextcloud-image
binary, geen installatiebestand.
kunnen draaien, bijvoorbeeld deze: https://
Download het zip-bestand, pak
hub.docker.com/r/wonderfall/nextcloud of
het uit en maak dan een snelkop-
voor ownCloud: https://hub.docker.com/r/
peling aan voor sickbeard.exe die
l3iggs/owncloud. Je kunt dan eenvoudig een
je toevoegt aan de map Opstarten.
reverse-proxy opzetten met IIS en veilig een
OwnCloud werkt niet op een Windows-server, maar Seafile is een goed alternatief.
Om een dns-server op te zetten en je eigen domeinnaam in je netwerk beschikbaar te maken, gebruik je MaraDNS.
6
Dns-server Een belangrijk onderdeel van een server is een dns-server. Dat is erg handig in je netwerk, voor je lokale intranetwebsites. Windows 10 zelf heeft daar niets voor ingebouwd, dat is toch meer een functie voor Windows Server. Dat wil niet zeggen dat je helemaal geen opties hebt. Je kunt bijvoorbeeld aan de slag met MaraDNS als kleine, opensource-dns-server.
4-IN-1 WORKSHOP
MAAK VAN WINDOWS 10 EEN VESTING
PA G I N A
XX
DE EERSTE WORKSHOP OP DE VOLGENDE TWEE PAGINA’S VORMT DE BASIS VOOR DRIE ANDERE HANDELINGEN. ZO KUNNEN WIJ JE HEEL UITGEBREID EN COMPLEET VERTELLEN OVER EEN PRODUCT OF DIENST EN KIES JE ZELF MET WELKE ONDERDELEN JE AAN DE SLAG GAAT. JE KIEST NA DE EERSTE WORKSHOP, ÉÉN OF MEERDERE ONDERDELEN DIE JE WILT GAAN VOLGEN.
WORD WEER DE BAAS VAN WINDOWS 10
PA G I N A
XX
VERBETER JE PRIVACY VIA UEFI EN HARDWARE
PA G I N A
XX
WINDOWS 10-TOOLS EN EXTRA’S
PA G I N A
XX MINI-GIDS
WWW.PCMWEB.NL
7
4-IN-1 WORKSHOP
Basisinstellingen JOCHEM DE GOEDE
MAAK VAN WINDOWS 10 EEN VESTING JE HEBT NU WEL GEHOORD VAN ALLE PRIVACYZORGEN DIE ER ZIJN OVER WINDOWS 10, MAAR ECHT EEN ANDERE OPTIE HEB JE OOK NIET. IN DEZE WORKSHOP LATEN WE JE ZIEN HOE JE WINDOWS 10 ALS EEN VESTING KUNT INSTELLEN ZODAT ER NIEMAND MEER MEE KAN KIJKEN.
1
Windows 10 is het grote experiment van Microsoft: het is de eerste versie van Windows die continu afgeleverd wordt, Windows as a Service, oftewel WaaS, waardoor je altijd de nieuwste versie hebt. Daarmee is het de laatste versie, of in ieder geval de laatste traditionele versie, van Windows. Om dat grote experiment te doen slagen, heeft Microsoft de gewoonte gekregen om continu data op te
Vergeet ook de eerste pagina niet, met vooral de onderste van de drie.
vragen van elke Windows-installatie met daarin gegevens over hoe het systeem werkt en hoe je het systeem gebruikt. Dat verklaart natuurlijk deels waarom Windows 10 gratis is, zodat Microsoft het een en ander kan bijhouden
we daar hard mee af. Ga ook naar de lijst
optie om over te stappen op een
zonder dat al te veel mensen daarover gaan klagen.
met Achtergrond-apps en zet daar alles uit.
lokaal account. Zorg ervoor dat
In deze workshop gaan we aan de slag met de basis. We
De uwp-apps (Universal Windows Platform,
je gebruikersaccount natuurlijk
zorgen ervoor dat Windows 10 geen data meer doorstuurt
het officiële Windows 10 app platform) zijn
niet je echte naam bevat. Als je
en goed je privacy beschermt.
voornamelijk een privacyrisico. Let op dat
per se ingelogd wilt zijn met een
dit soort instellingen zich na een update nog
Microsoft-account, schakel dan
PRIVACY-INSTELLINGEN
weleens resetten. Houd er dus rekening mee
de synchronisatie uit door in die
We beginnen in de app Instellingen en gaan naar
dat je deze instellingen af en toe zult moeten
sectie bij Uw instellingen syn-
Privacy. Blader door de lijst en zet alles uit. Locatie,
wijzigen.
chroniseren alles uit te zetten.
Camera, Microfoon … blokkeer alles. Ga naar Feedback
We nemen overigens aan dat je een lokaal
en diagnose in de lijst en zorg dat Windows nooit om je
account gebruikt op je pc, die niet gekoppeld
TIPS EN TRUCS
feedback vraagt en zet Diagnose- en verbruiksgegevens
is aan een Microsoft-account. Op de pagina
Windows 10 heeft de nare
op Basis. Zet ook de optie daaronder uit. Later rekenen
Accounts / Uw info heb je in ieder geval de
gewoonte om advertenties te tonen in het menu Start en het
LET OP DAT SOMMIGE PRIVACY-INSTELLINGEN ZICH NA EEN UPDATE WEL EENS WILLEN RESETTEN 8
Vergrendelscherm. Om die uit te zetten ga je naar Persoonlijke Instellingen / Start / Af en toe suggesties in Start weergeven. Voor het vergrendelscherm ga je in diezelfde sectie naar Vergrendelingsscherm en zorg je dat Achtergrond niet op Windows-spotlight staat. Let op dat
4-IN-1 WORKSHOP
Voor sommige netwerkkaarten kun je hier een willekeurig mac-adres inschakelen voor je wifi-adapter. Verwijder oude Windows-onderdelen, die zijn toch alleen maar een privacy- en beveiligingsrisico.
vervolgens de optie Leuke weetjes, tips en trucs en meer op uw vergrendelsscherm weergeven tevoorschijn komt. Zet die optie dan dus meteen uit. Wil je de Windows 10-assistent Cortana voor altijd uitzet-
1
ten, ga dan in het register naar HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search. Maak een nieuwe DWORD (32-bit)-waarde aan genaamd AllowCortana en zet die op 0.
WINDOWS-UPDATES EN WIFI vooral om oude onderdelen die eigenlijk
Faxen en scannen kan ook beter
reren. Zorg ervoor dat je op Netwerk en internet / Wi-Fi
niet meer nodig zijn. Het beste schakel je de
verwijderd worden. Deze app
de opties voor Wi-Fi-inzicht, Hotspot-2.0-netwerken en
volgende onderdelen uit (daarvoor moet je
is een van de overblijfselen uit
Betaalde Wi-Fi-services uitschakelt. Soms is de optie om
zelfs in de makers-update nog steeds naar het
Windows Vista.
een willekeurig hardware-adres te gebruiken beschikbaar,
Configuratiescherm):
API-ondersteuning voor RDC
maar dat geldt alleen voor computers met nieuwere wi-
Internet Explorer 11: tenzij je een reden hebt
(Remote Differential Com-
fi-chips. Als die optie beschikbaar is kun je deze toepassen
om IE nog te gebruiken, kun je die het beste
pression): dit is een functie uit
om je privacy te verbeteren.
verwijderen uit Windows aangezien Micro-
Windows Server 2003 R2 die
Standaard deelt Microsoft updates van Windows met
soft Edge toch de toekomst is.
maar door een heel klein aantal
andere computers op het internet. In Instellingen bij Bij-
Oude onderdelen / DirectPlay: een onderdeel
applicaties wordt gebruikt. Het
werken en beveiliging kun je dat aanpassen. Klik dan op
dat je niet nodig hebt, tenzij een van je (oude)
beste verwijder je deze.
Geavanceerde opties / Kiezen op welke manier updates
games het nodig heeft.
Windows PowerShell 2.0: Po-
worden geleverd en zet dan die functie in zijn geheel uit.
Mediafuncties / Windows Media Player:
werShell is natuurlijk heel nuttig,
Microsoft updatet Windows Media Player al
maar de nieuwste versie is 5.0, dus
ONEDRIVE
sinds Windows Vista niet meer wat betreft
deze kun je rustig verwijderen.
Windows 10 heeft diepe integratie met OneDrive
functies. Het beste verwijder je deze oude
Werkmappen-client: dit is een
om daar bestanden in op te slaan. Je kunt OneDrive het
mediaspeler en gebruik je bijvoorbeeld VLC.
zakelijke functie waarmee je
beste in zijn geheel uitschakelen door via het register via
Microsoft Naar PDF afdrukken: de naam
toch toegang kunt krijgen tot
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\
spreekt voor zich. Tenzij je dit specifiek nodig
werkbestanden als je offline
Windows een nieuwe sleutel aan te maken genaamd
hebt, kun je het uitschakelen.
bent. Dit onderdeel kun je ook
OneDrive en daarin de DWORD (32-bit)-waarde Disable-
Afdruk- en documentservices: standaard
uitschakelen.
FileSyncNGSC te zetten met waarde 1.
staan Client voor afdrukken via internet en
XPS-services / XPS-viewer: Mi-
Windows Faxen en scannen aan. Met de eer-
crosofts mislukte concurrent voor
WINDOWS-ONDERDELEN
ste gaat het om het IPP. Die zet je het beste
pdf. Tenzij je ooit een xps-bestand
In Windows-onderdelen kun je veel dingen
uit als je alleen print via het lokale netwerk
hebt ontvangen of geopend, scha-
of helemaal niet afdrukt. De app Windows
kel je dit onderdeel het beste uit.
Ook voor wifi is er nog het een en ander te configu-
uitschakelen om je privacy te verbeteren. Het gaat dan
MINI-GIDS
WWW.PCMWEB.NL
9
4-IN-1 WORKSHOP
Voor de die-hards JOCHEM DE GOEDE
WORD WEER DE BAAS VAN WINDOWS 10 MICROSOFT GAAT MET WINDOWS 10 EEN ANDERE KANT OP, NAMELIJK DE KANT VAN MOBIEL. DAT HEEFT ALS GEVOLG DAT JE MINDER CONTROLE KRIJGT OVER HET BESTURINGSSYSTEEM. IN DEZE WORKSHOP NEMEN WE DIE CONTROLE WEER TERUG EN WORD JE WEER BAAS OVER EIGEN BESTURINGSSYSTEEM.
standaardopties aanvaardt. Het is belangrijk dat je bij de eerste keer niet kiest voor de standaard- oftewel expresinstellingen. Daarmee worden namelijk allerlei instellingen aangezet die niet goed zijn voor je privacy. Verwijder achteraf alle software van je fabrikant met een tool als PC Decrapifier (www.pcdecrapifier.com). Na de installatie schakel je direct encryptie van je volledige schijf in. Als je Windows 10 Pro gebruikt, is BitLocker hiervoor een
2
Microsoft heeft er duidelijk voor
om het systeem naar eigen hand te zetten. Deze workshop
goede optie. Hoewel BitLocker closed-source
gekozen dat het een andere kant
is bedoeld voor als je al de basis hebt doorlopen, maar nog
is en van Microsoft, heeft het wel voorde-
op wil met Windows. Een kant
steeds het gevoel hebt dat Satya Nadella bij elke muisklik
len. In combinatie met Uefi Secure Boot
waarin je geen controle meer
met je meekijkt.
wordt alleen vertrouwde code uitgevoerd
hebt over wat het besturingssys-
bij het starten. Bovendien kun je erbovenop
teem precies doet. Voor heel veel
WINDOWS-INSTALLATIE
gewoon VeraCrypt gebruiken. BitLocker
mensen is dat een goede zet: zij
Aangezien je PCM leest, nemen we aan dat je een
schakel je eenvoudig in door rechts op de
zijn simpelweg niet geschikt om
die-hard bent. Dat betekent dat we je nu het volgende
schijf te klikken in Windows Verkenner en
Windows te onderhouden. Voor
advies geven: verwijder Windows en begin opnieuw.
te kiezen voor BitLocker inschakelen. Zodra
de powerusers levert het echter
Maak op een aparte pc installatiemedia voor je pc.
BitLocker is ingeschakeld, kun je VeraCrypt
grote problemen op, omdat je
Verwijder alle partities en formatteer je schijf, verbind
installeren en een apart, versleuteld volume
steeds meer moeite moet doen
niet met een netwerk en zorg ervoor dat je geen van de
aanmaken.
STOP WINDOWS UPDATE Een van de duidelijke gevolgen van Microsofts strategie uit zich in Windows Update. Je hebt geen keuze meer welke updates je wanneer wilt installeren: Windows regelt het voor je. Dat is onacceptabel. Wij schakelen Windows Update uit en installeren handmatig updates met Wsus Offline Update. Je schakelt Windows Update uit door services. msc te openen. Zoek in de lijst naar Windows Update en schakel de service uit. Vergeet niet het opstarttype ook aan te passen. Gebruik dan Wsus Offline Update dat je pc scant en aangeeft welke updates ontbreken, waarna je handmatig kunt kiezen welke updates je wel en niet wilt installeren. Let er wel op dat je dat regelmatig doet.
Het is sinds de makers-update eenvoudiger om lokaal in je pc in te loggen.
10
4-IN-1 WORKSHOP
ANDERE SERVICES Er zijn Windows-services die je beter kunt uitschakelen. Open weer de Windows Services via services.msc. Zoek naar de volgende Windows-services en schakel ze stuk voor stuk uit. Microsoft(R) Diagnostics Hub Standard Collector-service HomeGroup Listener / HomeGroup Provider WinHTTP Web Proxy Auto-Discovery Service Windows Biometric Service Windows Media Player Network Sharing Service TCP/IP NetBIOS Helper Geolocation Service IP Helper
UWP Verwijder vervolgens in een Power-Shell met administrator-rechten alle
Sommige uwp-apps liggen te diep in Windows 10 om te verwijderen, maar je komt zo al een heel eind.
uwp-apps met de opdracht: Get-AppxPackage -allusers | Remove-AppxPackage Maar zelfs dat is niet genoeg;
adapterinstellingen. Klik rechts op een adapter / Eigen-
processen standaard met minder rechten ge-
schappen en haal het vinkje weg bij de volgende items.
start, zelfs als je bent ingelogd als administra-
Microsoft installeert regelmatig
Client voor Microsoft-netwerken
tor (tenzij anders aangegeven). Toch is het net
automatisch nieuwe apps op je
Bestands- en printerdeling voor Microsoft-netwerken
Ăets veiliger om ingelogd te zijn als standaard-
pc, zoals Candy Crush en andere
QoS-pakketplanner
gebruiker. Sowieso heb je tijdens normaal
troep. Om dat te voorkomen ga je
Microsoft-protocol voor netwerkadapter-multiplexor
gebruik die rechten niet nodig. Het beste
in het register naar HKEY_CUR-
Stuurprogramma voor Microsoft LLDP-protocol
kun je dus een apart administrator-account
RENT_USER\SOFTWARE\
Link-Layer Topology Discovery Responder
aanmaken en dagelijks inloggen als stan-
Microsoft\Windows\CurrentVer-
I/O-stuurprogramma van Link-Layer Topology Discovery
daardgebruiker.
sion\ContentDeliveryManager. Voeg of zet daar de 32-bits
Internet Protocol versie 6 (TCP/IPv6)
VIRTUALISATIE
DWORD-waarde genaamd
Klik op Internet Protocol versie 4 (TCP/IPv4) en klik op
SilentInstalledAppsEnabled
Eigenschappen / Geavanceerd. Op het tabblad DNS vink je
VirtualBox en draai al je software in een
op de waarde 0. Sommige tegels
De adressen van deze verbinding in DNS registeren uit en
virtual machine. Als Windows 10-insider kun
kunnen zelfs dan nog aanwezig
op het tabblad WINS kies je voor NetBIOS via TCP/IP uit-
je gratis gebruikmaken van het besturings-
blijven in het menu Start. Dat
schakelen. Herhaal die stappen voor al je netwerkadapters.
systeem. Die virtuele machine hoef je dan
zijn geen apps, maar is reclame
Installeer zowel VMware als
wat minder te beveiligen, omdat het toch een
in de vorm van een link naar de
GEBRUIKERSACCOUNT
VM is. Zolang het basissysteem waarmee je
Windows Store. Die tegel eraf
Je gebruikersaccount is standaard een adminis-
werkt maar goed beveiligd is. Hierin kun je
halen is genoeg.
2
tratoraccount. Dankzij Gebruikersaccountbeheer is dat
bijvoorbeeld een office suite installeren. Zorg
geheel al een stuk veiliger dan sinds Windows XP. Als
wel dat je gebruikmaakt van snapshots.
NETWERK
eerste is het aan te raden om UAC op de maximale stand
Ga naar het Configura-
te zetten. Je vindt het bij Beveiliging en onderhoud / In-
tiescherm / Netwerk en internet
stellingen voor gebruikersaccountbeheer wijzigen. Zorg
/ Netwerkcentrum en wijzig je
dat er altijd een melding wordt weergegeven. Nu worden
HET BESTE KUN JE EEN BESTAANDE WINDOWS-INSTALLATIE HELEMAAL VERWIJDEREN EN OPNIEUW BEGINNEN MINI-GIDS
WWW.PCMWEB.NL
11
4-IN-1 WORKSHOP
Tot hier en niet verder JOCHEM DE GOEDE
WINDOWS 10-TOOLS EN EXTRA’S MET WINDOWS ZELF BEN JE ER NOG NIET HELEMAAL. OM WINDOWS 10 HELEMAAL OM TE BOUWEN TOT EEN VESTING, HEB JE HULP VAN BUITENAF NODIG. WE GEVEN JE DAAROM HANDIGE TOOLS EN ANDERE EXTRA’S OM JE DOEL TE BEREIKEN.
tool wordt continu uitgebreid, bijvoorbeeld als er een nieuwe Windows 10-versie uitkomt. Er zijn veel andere tools waar je uit kunt kiezen om het spioneren van Windows tegen te gaan. O&O ShutUp is een erg handig en gebruiksvriendelijk programma,
3
Op een gegeven ogenblik moeten we verder
WINDOWS-PRIVACY
waarmee je op basis van verschil-
kijken naar handige tools en extra’s om er-
Windows 10 is niet goed voor je privacy. Geluk-
lende gebruiksvriendelijkheidsni-
voor te zorgen dat Windows 10 niet naar huis
kig hebben veel ontwikkelaars programma’s gemaakt
veaus regels kunt toepassen.
belt en alsnog al je gegevens doorstuurt. Dat
om die problemen eenvoudig te verhelpen. Een van die
Een andere oplossing die ‘toolvrij’
kan bijvoorbeeld een service zijn die na een
programma’s is Fix Windows 10 Privacy (www.tiny.cc/
is, is simpelweg om een lijst
update toch weer aangezet is. We kijken naar
fixw10pr). Dit is een handige tool waaraan eenvoudig
van te blokkeren domeinen en
tools om je privacy binnen Windows 10 te ver-
regels toegevoegd kunnen worden om de dataverzameling
websites toe te voegen aan je
hogen, maar ook om je veiligheid te vergroten
van Windows 10 tegen te gaan. Op dit moment zijn er
hosts-bestand. Daarvoor kun je
en om hardware-aanvallen te voorkomen.
zo’n 130 regels beschikbaar die je privacy verbeteren. De
terecht in de GitHub-repo van
Installeer EMET en zet het programma op de maximumstand.
Controleer en herstel je Windows 10-privacy met de Fix Windows 10 Privacy-tool.
12
4-IN-1 WORKSHOP
Als je geen usb-sticks nodig hebt, zet je hier alles uit.
voor de aanvaller door code op willekeurige plekken in het geheugen te plaatsen, waardoor je niet zomaar een vast adres kunt Tron voer je uit in Veilige modus om zeker te zijn dat je systeem schoon is.
meegeven als aanvaller, maar meer moeite moet doen. Sehop controleert of het originele return-adres nog klopt en niet is overschreven.
Win10SpyBlocker (www.tiny.cc/win10spy),
Beamgun blokkeert actief usb-lan-adapters en blokkeert
Hoewel Microsoft de ondersteu-
die een lijst bijhoudt van te blokkeren
alle toetsaanslagen op een usb-toetsenbord. Je installeert
ning voor dit programma staakt
ip-adressen van domeinen waarmee Micro-
Beamgun eenvoudig met de geleverde msi vanaf GitHub.
op 31 juli 2018, vinden sommige beveiligingsonderzoekers het pro-
soft spioneert. Je kunt kiezen uit een lijst voor spionage, een extra lijst of een lijst voor Windows-updates. Handig is dat er ook
TRON
gramma toch nog steeds nuttig
Tron (www.tiny.cc/tronscript) is een handig script
en blijven ze het gebruik ervan
lijsten zijn voor Windows 7 en 8.1 en dat de
dat in één keer een Windows-systeem grondig opruimt.
aanraden. Soms biedt EMET
lijst in een aantal formaten te downloaden
Het is aan te raden dit script even uit te voeren direct
overigens enkel een gui-front-end
is, bijvoorbeeld voor OpenWRT zodat je het
nadat je Windows een keer schoon hebt geïnstalleerd. Het
voor functies die al in Windows
meteen blokkeert op netwerkniveau.
voert veel commando’s uit: het ruimt tijdelijke bestanden
zitten. Om bijvoorbeeld dep aan
op, verwijdert software van de systeemfabrikant, scant op
te zetten voor het hele system,
USB
malware met een aantal scanners, repareert het bestands-
voer je in cmd.exe met admin uit:
Een van de grotere aanvalsvectoren op
systeem en register, patcht eventueel aanwezige software
bcdedit.exe /set {current} nx AlwaysOn
hardware-niveau is usb. Iedereen kan zomaar
zoals 7-Zip en Adobe-software én het maakt een net
een usb-stick aansluiten en dan is het 'game
rapport van alles wat er gedaan is. Je kunt Tron eventueel
over' voor je pc. Het is daarom een goed idee
nog verder uitbreiden met een aantal extra tools, zoals
register, dat je zelf kunt aanzet-
om de controle over je usb-aansluitingen
autoruns, aswMBR dat scant op rootkits en meer. Let wel
ten. Maak een tekstbestand van
terug te nemen. Dat kan bijvoorbeeld met
op dat het script sfc uitvoert, waardoor een aantal van je
de volgende code en sla het op
het programma van BiniSoft genaamd USB
privacy-instellingen opnieuw wordt ingesteld. Daarom
als *.reg om het als registersleutel
Flash Drives Control (www.binisoft.org/usbc.
voer je dit script het beste direct aan het begin uit. Zorg
toe te voegen.
php). Je kunt de Windows-pc dan eenvoudig
voordat je begint dat je even rustig het readme-bestand
in verschillende modi plaatsen. Je kunt Read
doorneemt. Het Tron-script kan tussen de drie en tien uur
Mode aanzetten, waarmee alleen gelezen kan
nodig hebben om je pc op te ruimen.
worden van usb-schijven. Verder is er Write Mode en Execute Mode. Als je alle modi uitzet, kunnen usb-schijven niet gemount
3
Hetzelfde geldt voor aslr in het
Windows Registry Editor Version 5.00
EMET
[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\
Een goede manier om je veiligheid te vergroten
Session Manager\Memory
worden en zijn ze dus niet toegankelijk voor
is door EMET te gebruiken. De Enhanced Mitigation
wie dan ook op de computer. Het programma
Toolkit biedt systeembrede dep, aslr en sehop bovenop
werkt eenvoudig vanuit het systeemvak.
applicatie-specifieke extraatjes, zoals heapspray-bescher-
Het beste installeer je echter ge-
Een extra maatregel die je kunt nemen om
ming en alsr per app. Verder blokkeert het onbekende
woon EMET (www.tiny.cc/emet)
aanvallen via usb te voorkomen is het gebruik
fonts en kun je er certificaten mee beheren. Met dep
met de aanbevolen instellingen.
van Beamgun (www.beamgun.io). Naast
worden bepaalde gebieden geheugen gemarkeerd als
Activeer dan de Maximum
autorun-malware kan een usb-apparaat
niet-uitvoerbaar, wat je beschermt tegen misbruik. Met
Security-setting en schakel Early
zich voordoen als netwerkadapter, waarna
dep voorkom je dat de code in bepaalde geheugengebie-
Warning in. Herstart achteraf je
een aanvaller een backdoor kan installeren.
den uitgevoerd kan worden. Aslr maakt het moeilijker
systeem.
Management] “MoveImages”=dword:ffffffff
MINI-GIDS
WWW.PCMWEB.NL
13
4-IN-1 WORKSHOP
Starten bij de basis JOCHEM DE GOEDE
VERBETER JE PRIVACY VIA UEFI EN HARDWARE VAAK VERGETEN ZWAKKE PLEKKEN ZIJN JE UEFI EN JE POORTEN. ALS EEN AANVALLER DAAR BINNENKOMT, IS HET ZEKER DAT DE MALWARE ALTIJD ACTIEF BLIJFT OP JE PC. EEN HARDWARE-AANVAL KAN ZO SIMPEL ZIJN ALS EEN USB-STICK AANSLUITEN.
4
De uefi is de ideale plek voor een rootkit. Software daar overleeft eenvoudig een herinstallatie van Windows, het kan het platform onklaar maken en eenvoudig vanuit de uefi de rest van je besturingssysteem overnemen. Hetzelfde geldt voor fysieke aanvallen via usb. Naast softwaremaatregelen die je kunt nemen, is het ook een goed idee om eens te
Ga naar de Security-sectie van je uefi en kijk er eens rustig rond.
kijken naar hardwarematige bescherming van je poorten.
UEFI-INSTELLINGEN Een stap om je uefi beter te beschermen tegen aanvallen van buitenaf is door de uefi te beveiligen met
MEER UEFI-INSTELLINGEN
SED
Zorg er ook voor dat Secure Boot in je
We hadden het net al
een wachtwoord. Op die manier kan een aanvaller in ieder
uefi aan staat. Om in Windows te controleren
even over wachtwoorden in je
geval niet zomaar de uefi in en op die manier nieuwe firm-
of dat goed is ingesteld, geef je PowerShell
uefi. Er is een belangrijk verschil.
ware flashen. Bij sommige uefi’s kun je dan zelfs Windows
(met administratorrechten) het commando:
Als je een supervisorwachtwoord
niet starten zonder het uefi-wachtwoord in te voeren,
instelt, bescherm je daarmee
wat verdere bescherming biedt tegen andere soorten aan-
Confirm-SecureBootUEFI Als je dan True ziet, dan is alles in orde. Zie je
vallen. Soms zijn er nog andere beveiligingsinstellingen
False, dan staat het niet aan. Als je een mel-
je ook een schijfwachtwoord
beschikbaar, zoals een wachtwoord per harde schijf, een
ding krijgt dat de cmdlet niet ondersteund
instellen. Als je dat doet, wordt
wachtwoord bij herstarten en meer. Kijk zelf even rond in
wordt, heeft je pc geen Secure Boot.
je schijf transparant versleuteld.
je uefi en kies de geschikte beveiligingsinstellingen.
In je laptop heb je in de uefi vaak de optie om
Dat heeft echter alleen zin als je
Er is meer om door te nemen in je uefi. Zorg ervoor dat
de microfoon en camera uit te schakelen. Doe
een sed, oftewel Self-Encrypting
Intel AMT uit staat. Dat is een groot beveiligingslek waar-
dat, maar plak dan evengoed de camera en
Drive hebt, én als je moederbord
mee op afstand je pc overgenomen kan worden voor tech-
microfoon met een stukje tape af.
het ondersteunt, dus als je über-
je uefi-instellingen. Soms kun
nische ondersteuning. Intel AMT is onderdeel van Intel vPro. Je controleert via https://ark.intel.com eenvoudig met je processor-sku of jouw processor vPro heeft. Controleer je opstartapparaten in je uefi. Nadat je Windows compleet hebt geïnstalleerd, schakel je, indien mogelijk, alle opstartapparaten uit behalve de schijf waarop Windows staat. Schakel ook de optie uit om je uefi via Windows te updaten, indien beschikbaar. Dat is een beveiligingsrisico, omdat malware zo vanuit Windows vervalste firmware zou kunnen flashen.
14
DE UEFI IS DE IDEALE PLEK VOOR EEN ROOTKIT, MAAR JE KUNT WEL DE RISICO'S BEPERKEN
4-IN-1 WORKSHOP
Side-channel-analysis Je denkt misschien dat je veilig bent met het blokkeren van poorten en de genoemde bescherming tegen indringers. Helaas, zelfs dan ben je nog aan te vallen, maar dan komen we wel in het extreme. Met side-channel-analysis, oftewel nevenkanaalsanalyse, wordt fysieke informatie van de computer gebruikt om een aanval uit te voeren. Die fysieke informatie kan bijvoorbeeld bestaan uit em-golven of de warmte die een pc afgeeft. Die warmte veroorzaakt mechanische vervorming, waardoor geluid wordt afgegeven waarmee informatie kan worden verkregen over waar de pc mee bezig is. Met de verkregen fysieke data wordt naar een patroon gezocht dat wordt vergeleken met de patronen van bekende algoritmen, zoals bijvoorbeeld aes, waarbij je eenvoudig de patronen van de tien stappen van dat algoritme kunt herkennen en zo de privésleutel kunt afleiden. Verifieer via PowerShell dat Secure Boot aan staat.
haupt de optie ziet om een schijfwachtwoord in te stellen
kun je een poort blokkeren met een dopje.
teren of er iemand een onder-
(zoek naar ATA Password). Houd er rekening mee dat een
Dat dopje plaats je op de betreffende poor-
deel op je moederbord heeft
sed je alleen beschermt als de pc of laptop uit staat, niet in
ten die je wilt beschermen en kun je dan
gewijzigd of heeft toegevoegd.
slaapstand. Als de schijf door het moederbord ontgren-
alleen met de meegeleverde sleutel weer
Je schakelt de functie in je uefi
deld is, zou een aanvaller vanaf een Linux-usb kunnen
verwijderen. Op die manier kan er dus niet
in, check even de handleiding
starten en alsnog toegang kunnen krijgen tot je data.
zomaar iets aangesloten worden door derden
hoe precies. Een andere optie
zonder je medeweten.
is gewoon je kast met een zegel
USB-FIREWALL
Om te voorkomen dat iemand zomaar
beschermen met bijvoorbeeld
Een belangrijke dreiging zijn usb-apparaten. Nu
toegang krijgt tot je laptop of pc, heb je niet
een sticker of met speciale tape
kun je dat softwarematig al sterk inperken, door je pc in
zo veel opties. Voor je pc hebben sommige
die bedoeld is om knoeien tegen
de leesmodus te zetten of usb-apparaten in zijn geheel
moederborden de beschikking over chassis
te gaan. Hetzelfde kun je doen
niet te mounten. Een andere, hardwarematige oplossing
intrustion detection. Daarmee kun je detec-
met je laptop.
4
komt in de vorm van een usb-firewall genaamd usg. Gemaakt door beveiligingsonderzoekers isoleert deze usbfirewall niet-vertrouwde usb-apparaten. De usb-firewall werkt door alleen een beperkt aantal usb-commando’s toe te staan. Hiermee worden bijvoorbeeld usb-driverexploits geblokkeerd. Bovendien staat de usg maar een apparaat tegelijk toe waardoor een usb-stick zich niet als meerdere apparaten voor kan doen, en mag het zijn type tijdens gebruik niet wijzigen. Hierdoor kan een usb-stick niet opeens kwaadaardige acties uitvoeren. De usb-firewall werkt met alle besturingssystemen en kost ongeveer 56 euro, maar is matig verkrijgbaar.
FYSIEKE AANVALLEN Om andere fysieke aanvallen te voorkomen, kun je je poorten fysiek onbruikbaar maken. Daar bestaan meerdere opties voor. Een van die oplossingen is een usb-poortslot van bijvoorbeeld Kensington. Daarmee
Met zo’n slot blokkeer je niet alleen usb-poorten, maar kun je ook apparaten beveiligd aansluiten.
MINI-GIDS
WWW.PCMWEB.NL
15
MASTERCLASS SYSTEEMBEHEER
Eenvoudige installatie en beheer van al je pc’s JOCHEM DE GOEDE
JE EIGEN OPSI-SERVER WANNEER JE AARDIG WAT COMPUTERS ONDER JE BEHEER HEBT IN JE THUISNETWERK OF EEN KLEIN BEDRIJFSNETWERK, IS HET HANDIG OM DEZE CENTRAAL TE KUNNEN BEHEREN EN INVENTARISEREN. OOK HET AUTOMATISCH DOORLOPEN VAN EEN WINDOWS-INSTALLATIE WAARBIJ DE INSTELLINGEN EN SOFTWARE DIRECT WORDEN NEERGEZET BESPAART DAN EEN HOOP TIJD. WE GAAN MET OPSI AAN DE SLAG OM DIT TE REGELEN.
Met Opsi kun je eenvoudig nieuwe software
VOORBEREIDINGEN
ne voor VirtualBox of VMware.
uitrollen, zelfs via netboot. Je kunt dan bij-
Je kunt Opsi op twee manieren
Dat is de manier waarop je het
voorbeeld ook een Windows-versie geautoma-
installeren. Je kunt alles zelf doen en het
beste zo’n groot pakket als Opsi
tiseerd installeren. Verder kun je je hardware
dus installeren op één van de ondersteunde
draait en dan ben je in één keer
en software ermee inventariseren en kun
Linux-distro’s, zoals CentOS, openSUSE of
klaar om naar productie te gaan.
je software patchen en zelf nieuwe pakket-
Ubuntu. Dat is echter wel wat werk. Je hebt
ten toevoegen en uitrollen op je netwerk.
Samba en een MySQL-server nodig, moet
Opsi, oftewel Open PC Server Integration,
dan nog wat andere dependency’s installe-
is opensource en gratis, en is bedoeld om
ren, zelf Opsi configureren en installeren en
De Opsi-virtuele machine bevat
Windows-clients centraal mee te beheren.
nog veel meer. Je vindt alle stappen om Opsi
Opsi zelf en een dhcp-server. Die
Het draait echter op een Linux-server. Het
te installeren (en dat zijn er nogal wat) op
dhcp-server is nodig voor clients
werkt op vele soorten Linux, zoals openSUSE,
www.tiny.cc/opsi. Het kan ook makkelijker:
om te starten vanaf het netwerk.
CentOS, Ubuntu en Debian.
Opsi levert een kant-en-klare virtuele machi-
Als je al een dhcp-server in je
OPSI-VIRTUELE MACHINE
De kant-en-klare virtuele machine van Opsi is een Lubuntu-installatie.
Bij de eerste keer starten van de Opsi-virtuele machine vul je onder andere de servernaam in.
16
MASTERCLASS SYSTEEMBEHEER
Voordat we aan de slag gaan, moeten we eerst nog de Opsi-producten installeren.
Zo start je de installatie van de client-agent van Opsi.
OPSI LEVERT EEN KANTEN-KLARE VIRTUELE MACHINE VOOR VIRTUALBOX OF VMWARE
Daarna is het tijd om Opsi zelf te patchen en de Opsi-producten te installeren. Daarvoor voer je op het bureaublad het programma opsi-product-update FirstRun uit. Nadat alles klaar is, voer je als laatste nog op het bureaublad opsi-set-rights uit waarna je klaar bent om met de serverinterface aan de slag te gaan.
OPSI-SERVERINTERFACE Voor de configuratiepagina ga je naar
netwerk hebt, kun je ze combi-
naam, domeinnaam, ip-adres en meer instel-
https://<server-ip-adres>:4447/configed.jnlp.
neren. Stel dan je dhcp-server in
len. Doorloop de stappen, de meeste spreken
Zorg er dan wel voor dat poort 4447 open
met optie 066 naar het ip van je
voor zich. Zorg ervoor dat de domeinnaam
staat. In de Opsi-virtuele machine is dat stan-
Opsi-server en 067 op linux/pxe-
je servernaam bevat, en (om ip-conflicten
daard al het geval. Helaas moet de computer
linux.0 waarna je na de installa-
te voorkomen) zorg ervoor dat het ip-adres
waarmee je die pagina bezoekt beschikken
tie de dhcp-server uit kunt zetten
dat je invult voor de Opsi-server het ip-adres
over Java. Heb je dat niet, download en
met de opdracht:
is dat de router al aan je Opsi-server heeft
installeer het dan vanaf www.java.com. Zorg
sudo service dhcp3-server
toegekend. Vul ook een geldige dns-hostnaam
dat Java ook aanstaat in de browser, anders
stop
in als servernaam. Voer achteraf nog twee
kun je de configuratie van Opsi niet starten.
Download nu het zip-bestand
wachtwoorden in en na een herstart is dan
Download het jlnp-bestand en voer het uit.
met de Opsi server-virtuele ma-
de configuratie voltooid. Je kunt dan inloggen
Je kunt de configuratie-interface ook direct
chine via www.tiny.cc/opsidown
met het wachtwoord van zojuist voor de
in de Opsi-virtuele machine starten, zodat je
en pak het uit. Importeer
gebruiker adminuser. Firefox opent dan en
geen Java hoeft te gebruiken op je desktop-
vervolgens het bestand opsivm.
geeft je meer instructies. Controleer of je
pc. Daarvoor open je opsi-configed op het
ovf in je favoriete vm-software:
internet hebt. Is dat niet het geval, open dan
bureaublad van de Opsi-virtuele machine.
VMware Player, VirtualBox of een
een terminal en voer 1stboot.py uit waarna
ESXi-server. Importeer en start
je de netwerkconfiguratie opnieuw kunt aan-
OPSI OP DE CLIENT
de virtuele machine. De Opsi-vir-
passen. Herstart je virtuele machine achteraf.
Om een bestaande Windows-compu-
tuele machine is overigens een installatie van Lubuntu.
ter te verbinden met Opsi, open je Windows
UPDATEN
Verkenner en voeg je een nieuwe netwerk-
Het is belangrijk om nu als eerste de
schijf toe met als pad \\<je-opsi-server>\
CONFIGURATIE
server te updaten. Op het bureaublad vind je
opsi_depot en log je in met de gebruiker
Bij de eerste keer starten
de Update Manager, voer die uit om Lubun-
adminuser. Start vervolgens het script
verschijnt de configuratiewizard
tu te patchen. Start nu eerst MySQL via de
opsi-client-agent\service_setup.cmd in een
van Opsi. Je kunt de taal, server-
terminal met sudo service mysql start.
opdrachtregel met administratorrechten.
MINI-GIDS
WWW.PCMWEB.NL
17
MASTERCLASS SYSTEEMBEHEER
Druk op Enter om de installatie te starten. Als
NETBOOT
INSTALLATIE STARTEN
om een inlognaam gevraagd wordt, log je in
Opsi bevat een netboot-server waar-
Om nu de Windows-in-
met de gebruiker adminuser. Let op dat na de
door je er eenvoudig via het netwerk van
stallatie te starten, klik je links
configuratie Windows automatisch opnieuw
kunt opstarten. Om de producten te zien die
op de client waarop je het wilt
gestart wordt, dus zorg dat open bestanden
als netboot beschikbaar zijn, ga je naar het
uitvoeren en dan op het betref-
zijn opgeslagen. Na het starten wordt vanzelf
tabblad Netboot Products. Je hebt op die
fende besturingssysteem dat
verbinding gelegd met je Opsi-server. Terug
manier geen live-usb-sticks meer nodig, want
je wilt starten, in ons geval dus
in de configuratie-editor van Opsi selecteer je
je kunt hier een grote reeks aan besturings-
win10-x64. Klik je bij Requested
links de Client List en klik je rechtsboven op
systemen direct en eenvoudig vanaf het
Action op setup. Sla de wijzigin-
de vernieuwknop. Je net toegevoegde Win-
netwerk starten, zoals Windows 10, Windows
gen op in Opsi en herstart de be-
dows-pc komt dan vanzelf tevoorschijn.
8.1 en Windows 7, maar ook Windows Server
treffende client. Start de pc vanaf
en veel Linux-distributies. Wij gaan aan de
het netwerk. Open daarvoor het
SOFTWARE EN HARDWARE INVENTARISEREN
slag met een Windows 10-installatie vanaf
bootmenu van de computer of
het netwerk. Daarvoor installeer je als eerst
wijzig de opstartvolgorde in de
Een erg handige functie van Opsi is om een
de WinPE-omgeving vanaf www.tiny.cc/
uefi. Je kunt de installatie alleen
software- en hardware-inventarisatie te
windpe op je lokale pc die je al toegevoegd
starten vanaf clients die je al hebt
maken. Om daarmee aan de slag te gaan, ga
hebt aan Opsi. Pak de ADK for Windows 10
toegevoegd aan Opsi. Voordat de
je in de configuratie van Opsi naar Product
uit en volg de installatiestappen om de Win-
installatie gestart wordt, wordt
configuration en zoek je in de lijst naar swau-
PE-omgeving te installeren. In Opsi kies je
nog om bevestiging gevraagd in
dit. De Software Audit zoekt standaard niet
dan bij Product configuration in de lijst voor
het Duits. Let op dat als je hier op
naar de productsleutels. Om daarnaar wel te
opsi-winpe en klik je op once. Kies de juiste
Starten drukt, je schijven geleegd
zoeken, klik je rechts op de optie keyfinder
architectuur. Klik met rechts en kies voor
worden door Opsi zelf! Daarna
en zet je de optie op on. Je kunt een Opsi-pro-
Execute now. Op je client waar je WinPE
pas wordt de Windows-installatie
duct uitvoeren of installeren op een client
hebt geïnstalleerd is nu een map aangemaakt
gestart.
door eerst links je client aan te klikken en dan
genaamd C:\winpe_<ARCH>\media. Plaats
in de kolom Request Action voor set-up te
die map in \\<je-opsiserver>\opsi_depot_rw\
kiezen. Dan wordt voor het inloggen de audit
win10-x64\winpe\. Voer daarna op je Op-
automatisch gestart. Je kunt de actie ook
si-server de snelkoppeling opsi-set-rights uit.
Als je graag een volautomati-
direct starten: klik dan met rechts op swaudit
Zorg ervoor dat je de Windows 10-iso binnen-
sche installatie uit wilt voeren,
en kies voor Execute now (‘on_demand’).
haalt, opent en de bestanden daarvan plaatst
gebruik je daarvoor het bestand
Herhaal deze stappen voor hwaudit om ook
in een map hoger, genaamd installfiles.
unattend.xml in de map \\<je-op-
UNATTENDED INSTALLATIE
de hardware te inventariseren. Is de inventarisatie eenmaal klaar, dan kun je de resultaten inzien in Opsi via het tabblad Hardware information en Software inventory.
Met het product config-win10 kun je een aantal handige Windows 10-instellingen aanpassen.
Hier kun je de resultaten van de hardware-inventarisatie inzien.
18
MASTERCLASS SYSTEEMBEHEER
si-server>\opsi_depot_rw\
willen we er ook graag achteraf de instellin-
is geschreven in een scripttaal, maar die is
win10-x64\custom\unattend.xml.
gen in aanpassen. Daarvoor maak je gebruik
niet zo moeilijk om te leren. Laten we ons
Standaard levert Opsi al een
van het Opsi-product config-win10. Rechts zie
eigen pakket maken. Hiervoor open je een
sjabloon mee van unattend.xml. Je
alle opties die je in dat product kunt aanpas-
terminal op je Opsi-server en ga je naar de
kunt daar nu zelf doorheen lopen
sen. Je kunt op die manier bijvoorbeeld een-
map /home/opsiproducts. We maken dan
en de opties aanpassen. Handi-
voudig Windows Defender uitschakelen, het
een nieuw product aan met het commando
ger is om een unattend.xml te
vergrendelscherm uitschakelen, Windows-up-
opsi-newprod. Doorloop de stappen. Wij
genereren met bijvoorbeeld http://
dates instellen, fast boot aan- of uitzetten en
gaan Adobe Reader DC uitrollen als local-
windowsafg.no-ip.org/win10x86_
kiezen welke gegevens gedeeld worden met
boot-package, dat is een pakket dat lokaal
x64.html. Daar kun je je eigen
Microsoft. De waardes kun je aanpassen bij
op de pc draait, dus kies dat uit de lijst. Vul
opties kiezen en een unattend.xml-
Property configuration en spreken voor zich.
dan de gevraagde gegevens in, zoals product-id, bijvoorbeeld adobe-reader-dc, en een
bestand genereren. Vervang dan het bestand in het Opsi-depot met
JE EIGEN OPSI-PAKKET
productnaam. Bij Setup script vul je in setup.
je gegenereerde versie en start de
Om je eigen software uit te rollen
ins, bij Uninstall script vul je uninstall.ins in,
installatie opnieuw om deze dan
op je clients, is het nodig dat je een nieuw
automatisch uit te voeren.
Opsi-pakket aanmaakt. Alle producten die
dependency’s toe en ook geen producteigen-
je ziet in Product Configuration zijn een los
schappen, dus kies daar voor No en dan nog
Opsi-pakket en hebben dezelfde opbouw.
eens voor No. Vul nog wel een maintainer in,
Zo hebben ze een aantal installatiebestan-
dat is verplicht. Daarna is ons nieuwe pakket
Nu we Windows 10 eenvoudig
den en bevatten ze een script dat aangeeft
aangemaakt en kunnen we het script gaan
automatisch kunnen installeren,
wat er precies moet gebeuren. Dat script
maken.
WINDOWS 10-INSTELLINGEN
waarna je door kunt gaan. We voegen nu geen
INSTALLATIESCRIPT
OPSI BEVAT EEN NETBOOTSERVER WAARDOOR JE ER EENVOUDIG VIA HET NETWERK VANAF KUNT OPSTARTEN
Ga naar de map CLIENT_DATA in het net aangemaakte product. Open daar een terminal en haal de Adobe-installatie binnen met: w get ftp://ftp.adobe.com/pub/adobe/ reader/win/AcrobatDC/1502320070/ AcroRdrDC1502320070_en_US.exe m v AcroRdrDC1502320070_en_US.exe AdobeReader.exe Blader vooraf naar de map op de ftp-server om eventueel de link bij te werken naar de nieuwste versie. We maken dan ons setup-
Tijdens de wizard om een nieuw product aan te maken vul je onder andere een productnaam in.
Het installatiescript voor ons product.
MINI-GIDS
WWW.PCMWEB.NL
19
MASTERCLASS SYSTEEMBEHEER
bestand aan met touch setup.ins. Bewerk het bestand meteen door het te openen met Leafpad en plaats er het volgende in: [Actions] Message 'Adobe Reader DC installeren...' Winbatch_install [Winbatch_install] "%ScriptPath%\AdobeReader.exe" /sAll /rs /msi EULA_ACCEPT=yes Sla het bestand daarna op. We houden het nu nog simpel: bovenaan definieer je altijd het blok actions met daarin de secundaire acties die je uit wilt voeren. In dit geval voeren we maar één actie uit, namelijk het stilletjes installeren van Adobe. Winbatch is een losse, bekende scriptingtaal en voert dat commando uit met de Windows-api. %ScriptPath% is een globale variabele van Opsi die de huidige locatie aangeeft en daarin staat de Reader-installatie. We geven dan een aantal switches mee om de software stil mee te installeren.
VERWIJDERSCRIPT Nog twee stappen: het verwijderscript maken en het inpakken van ons product. Voor het verwijderscript maak je het bestand genaamd uninstall.ins aan met daarin: [Actions] Message "Adobe Reader DC verwijderen..." WinBatch_Adobe_uninstall [WinBatch_Adobe_uninstall]
Pak je Opsi-product in waarna je het kan installeren in Opsi … en kan uitrollen op clients.
MsiExec.exe /passive /x {AC76BA867AD7-1031-7B44-AC0F074E4100} Dat laatste is de GUID van Adobe Reader DC om de installatie weer ongedaan te maken. Het zou kunnen dat die niet meer up-to-da-
maakt zijn zeer eenvoudig. Zoals je misschien
hoe je bestanden kunt kopiëren
te is op het moment van publicatie. Om de
al hebt gemerkt, is het niet heel erg fijn om
en plakken, het register kunt
nieuwste te vinden, voer je wmic product get
scripts te moeten schrijven in de Opsi-virtue-
aanpassen en veel andere acties
uit in PowerShell. Om nu ons pakket in te
le machine. Er is een alternatief waardoor je
kunt uitvoeren. Een ander, han-
pakken, open je weer de terminal en ga je met
ook direct je scripts op een client kunt testen.
dig hulpmiddel voor het vinden
cd naar de hoofdmap van ons product, dus
Daarvoor mount je je Opsi-server en ga je
van producten voor Opsi is deze
/home/opsiproducts/adobe. Voer de opdracht
naar de map opsi_depot/opsi_winst/files.
wiki: https://forum.opsi.org/
opsi-makeproductfile uit gevolgd door
Voer dan het bestand winst32.exe uit, dat
wiki. Daar vind je extra Opsi-re-
opsi-package-manager -i *.opsi om het
is de Opsi-scriptrunner-gui. Je kunt simpel-
pository’s met software die je
pakket te installeren. Je kunt het nu zoals eer-
weg een nieuw tekstbestand aanmaken met
zo kunt installeren, maar ook
der testen door het uit te rollen op een client.
daarin je script. Kies dat bestand in de runner
kant-en-klare scripts voor vele
Om in de toekomst dit pakket te patchen,
bij Script. Klik op Start om het script uit te
programma’s. Je moet dan alleen
vervang je het nieuwe installatiebestand in de
voeren. Erg handig is dat je direct daaronder
een nieuw product aanmaken,
map van het Opsi-product. Daarna genereer
het volledige log ziet en kunt zien wat er
zoals hier eerder beschreven, en
je opnieuw de makefile van Opsi. Tijdens dat
precies allemaal goed en minder goed gaat.
de Opsi-wiki levert de scripts
proces zal worden gevraagd of je een nieuwe
Als je dan klaar bent, verplaats je alles naar je
kant-en-klaar aan. Handig is
versie wilt aanmaken, kies dan voor ja. Je
Opsi-virtuele machine en hoef je het pakket
dat je de tree-view ziet van de
kunt dan het pakket opnieuw uitrollen op
alleen nog maar in te pakken.
map CLIENT_DATA en dan dus meteen weet welke bestanden
de pc’s zodat de nieuwste versie automatisch geïnstalleerd wordt.
20
MEER
je nodig hebt. Vaak staat ook
Je kunt meer lezen over hoe de
beschreven waar je de msi’s van
LOKAAL TESTEN
scripttaal van Opsi werkt via de url www.
veel populaire programma’s kunt
De scripts die we tot nu toe hebben ge-
tiny.cc/opsiscript. Daar vind je bijvoorbeeld
vinden.