bij elke opdracht doe je steeds dit:
kijken wat er mis kan zijn
checken met een commando
zeggen waarom dat gevaarlijk is
zeggen wat je adviseert
1. bestanden & mappen (basiscontrole)
wat check ik
staan hier bestanden die ik niet verwacht?
zijn er verborgen bestanden?
hoe check ik
windows
dir dir /a tree
linux
ls ls -la tree
waarom check ik dit
malware verstopt zich vaak
vreemde bestanden = risico
2. rechten (HEEL BELANGRIJK)
wat check ik
wie mag bestanden lezen, schrijven of uitvoeren?
hoe check ik
windows
icacls bestand.txt
linux
ls -l
waar let ik op
te veel rechten
iedereen mag alles
waarom check ik dit
slechte rechten = datalek of overname
3. gebruikers & accounts (aaa)
wat check ik
wie zijn admins?
wie is nu ingelogd?
hoe check ik
windows
net user net localgroup administrators whoami query user
linux
whoami id users last
waarom check ik dit
te veel admins = hoog risico
onbekende login = mogelijk incident
4. netwerk (DIT KOMT ALTIJD)
wat check ik
ip-adres
dns
gateway
hoe check ik
windows
ipconfig /all
linux
ip a ip r
waarom check ik dit
verkeerde dns → verkeerde website
verkeerde gateway → verkeer kan onderschept worden
5. verkeerde interne website (klassiek examen!)
wat check ik (volgorde!)
dns
hosts file
cache
webserver
hoe check ik
nslookup intranet.amerijck.local notepad c:\windows\system32\drivers\etc\hosts ipconfig /flushdns systemctl status apache2
waarom check ik dit
dns poisoning
lokale omleiding
oude dns-cache
verkeerde webserver
6. open poorten (ZEER BELANGRIJK)
wat check ik
staan er poorten open die niet nodig zijn?
hoe check ik
windows
netstat -ano
linux
ss -tulpn
waar let ik op
poort 3389 (rdp)
onbekende service
draait als root
waarom check ik dit
open poort = ingang voor aanvaller
7. processen & services
wat check ik
draait er iets wat ik niet ken?
hoge cpu?
hoe check ik
windows
tasklist services.msc
linux
ps aux top systemctl status apache2
waarom check ik dit
malware draait als proces
remote tools vallen hier op
8. logs (accounting!)
wat check ik
mislukte logins
vreemde acties
hoe check ik
windows
eventvwr.msc
(kijk in security log)
linux
journalctl cat /var/log/auth.log
waarom check ik dit
logs laten zien of het incident nog bezig is
9. firewall & antivirus (simpel maar verplicht)
wat check ik
staat de firewall aan?
is antivirus actief?
hoe check ik
windows
netsh advfirewall show allprofiles
linux
ufw status
waarom check ik dit
zonder firewall/av is het systeem open
10. verborgen / schadelijke bestanden
wat check ik
verborgen bestanden
vreemde namen
rare locaties
hoe check ik
windows
dir /a reg query hkcu\software\microsoft\windows\currentversion\run
linux
ls -la find / -name ".*" 2>/dev/null
waarom check ik dit
malware wil onzichtbaar blijven
autostart = persistent malware
11. webserver (basis)
wat check ik
https aan?
oude software?
directory listing?
hoe check ik
systemctl status apache2 ss -tulpn browser → https + slotje
waarom check ik dit
webservers zijn vaak doelwit
misconfiguratie = datalek
12. active directory (theorie + check)
wat check ik
te veel admins?
zwak beleid?
hoe check ik
get-adgroupmember "domain admins" gpresult /r
waarom check ik dit
1 admin = hele domein kwijt
13. incident response (ALTIJD benoemen)
wat doe ik
identificeren
isoleren
onderzoeken
oplossen
herstellen
documenteren
voorkomen
waarom
zo werk je gecontroleerd en veilig
14. datalek (avg)
wat check ik
wat is gelekt?
wie is getroffen?
wat doe ik
melden
communiceren
documenteren
waarom
wettelijke verplichting
15. cryptografie (heel simpel)
wat check ik
gebruikt de site https?
hoe check ik
browser → slotje
waarom
encryptie beschermt vertrouwelijke data
16. beveiligingsadvies (ALTIJD noemen)
zeg altijd:
mfa
least privilege
updates
backups
monitoring
awareness
logging