Wireguard vraagt admin rechten (Windows 10) - Netwerken

zondag 20 maart 2022 11:05

Acties:

0 Henk 'm!

Topicstarter

Beste Tweakers,

Ik ben hier op alle apparaten Wireguard aan het installeren en het werkt op alle telefoons en iPads als een trein. Vooral het genereren van een QR code en daarmee de verbinding opzetten is echt een opluchting t.o.v. OpenVPN.

Nu ben ik alleen begonnen met de eerste laptop, maar loop tegen een probleem aan. De laptop wordt met 3 mensen gedeeld, en heb dus een administrator account en 3 lokale user account "standaard accounts". Echter geeft Wireguard aan dat hij admin rechten heeft voor de UI.

wireguard may only be used by users who are a member of the builtin administrators group

Uiteraard wil ik niet dat de 3 "standaard accounts" admin rechten hebben, maar ik wil wel dat deze gebruik kunnen maken van Wireguard. Ik heb al gezocht, maar kom overal tegen dat ik account in de admin groep moet gooien. Is dit echt de enige manier, of kan ik op een manier toch gebruik maken van Wireguard op de "standaard accounts"

Ik hoop dat ik iets over het hoofd zie, want het zou toch echt zonde zijn als je heel je Laptop "minder veilig" moet maken door iedereen administrator te maken, om vervolgens pas gebruik te kunnen maken van Wireguard.

[ Voor 9% gewijzigd door Wachten... op 20-03-2022 11:08 ]

Als je dit kunt lezen, dan werkt mij Signature!

zondag 20 maart 2022 11:54

Acties:

0 Henk 'm!

HKLM_

Wachten... schreef op zondag 20 maart 2022 @ 11:05:
Beste Tweakers,

Ik ben hier op alle apparaten Wireguard aan het installeren en het werkt op alle telefoons en iPads als een trein. Vooral het genereren van een QR code en daarmee de verbinding opzetten is echt een opluchting t.o.v. OpenVPN.

Nu ben ik alleen begonnen met de eerste laptop, maar loop tegen een probleem aan. De laptop wordt met 3 mensen gedeeld, en heb dus een administrator account en 3 lokale user account "standaard accounts". Echter geeft Wireguard aan dat hij admin rechten heeft voor de UI.

wireguard may only be used by users who are a member of the builtin administrators group

Uiteraard wil ik niet dat de 3 "standaard accounts" admin rechten hebben, maar ik wil wel dat deze gebruik kunnen maken van Wireguard. Ik heb al gezocht, maar kom overal tegen dat ik account in de admin groep moet gooien. Is dit echt de enige manier, of kan ik op een manier toch gebruik maken van Wireguard op de "standaard accounts"

Ik hoop dat ik iets over het hoofd zie, want het zou toch echt zonde zijn als je heel je Laptop "minder veilig" moet maken door iedereen administrator te maken, om vervolgens pas gebruik te kunnen maken van Wireguard.

Hier lijkt met wel een oplossing te staan doormiddel van een register aanpassing https://superuser.com/que...strator-ui-is-only-access

code:

Install wireguard 3.1+
Add your user to the "Network Operators Group". Open up explorer as admin right click "My Computer" > "Manage" > "Users/Groups" > Network Operators Group
Add an entry to the registry. Windows Key + R > regedit > create the key HKLM\SOFTWARE\WireGuard, then create a DWORD at HKLM\SOFTWARE\WireGuard\LimitedOperatorUI and set it to 1
Logout and log back in.
Run wireguard

[ Voor 13% gewijzigd door HKLM_ op 20-03-2022 11:55 ]

Cloud ☁️

zondag 20 maart 2022 12:09

Acties:

+1 Henk 'm!

Brahiewahiewa

boelkloedig

HKLM_ schreef op zondag 20 maart 2022 @ 11:54:
[...]
Hier lijkt met wel een oplossing te staan doormiddel van een register aanpassing...

Hmmz, dan maak je de users dus niet helemaal echte administrators maar je maakt ze halve administrators en je hebt geen idee welke privileges je ze eigenlijk toekent.

Snappen ze bij wireguard niet dat je zoiets implementeert als een service, die draait onder een service account met precies genoeg privileges en die een zeer beperkt aantal controls aanbiedt aan de end-user GUI?
[/rant]

QnJhaGlld2FoaWV3YQ==

zondag 20 maart 2022 13:12

Acties:

0 Henk 'm!

HKLM_

Brahiewahiewa schreef op zondag 20 maart 2022 @ 12:09:
[...]

Hmmz, dan maak je de users dus niet helemaal echte administrators maar je maakt ze halve administrators en je hebt geen idee welke privileges je ze eigenlijk toekent.

Snappen ze bij wireguard niet dat je zoiets implementeert als een service, die draait onder een service account met precies genoeg privileges en die een zeer beperkt aantal controls aanbiedt aan de end-user GUI?
[/rant]

T is een oplossing he

alleen niet de beste

Cloud ☁️

zondag 20 maart 2022 13:13

Acties:

+3 Henk 'm!

Thralas

Brahiewahiewa schreef op zondag 20 maart 2022 @ 12:09:
Snappen ze bij wireguard niet dat je zoiets implementeert als een service, die draait onder een service account met precies genoeg privileges en die een zeer beperkt aantal controls aanbiedt aan de end-user GUI?

Deze rant is totaal misplaatst gezien de staat van dienst van de auteur van WireGuard. Die snapt over het algemeen heel goed hoe security werkt. Zie ook de hele rationale achter WireGuard en het bijbehorende paper.

Over specifiek deze feature vond ik de volgende afweging:

quote: https://lore.kernel.org/a..._3XCa1KJQ@mail.gmail.com/
But the latter point I'm much more hesitant to change. You recalled that I was initially entirely wary of this feature all together. This is true. It was only upon hearing the excellent idea of the NCO group
that it became tenable for me. The reason is that the NCO group is a preexisting designation as part of the operating system that confers these privileges. And there's an easy argument to be made that adding
the ability to stop/start tunnels does not add anything extra beyond what NCO can already do (like changing IP addresses or disabling adapters). Therefore, the brilliance of the NCO suggestion, in my
mind, was that we're not adding any additional holes to the Windows security model. That makes it very compelling to me.

En die lijkt me vrij goed te volgen.

zondag 20 maart 2022 13:36

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

HKLM_ schreef op zondag 20 maart 2022 @ 13:12:
[...]
T is een oplossing he alleen niet de beste

Nou, eerlijk gezegd wil ik het geen oplossing noemen en zelfs de term "workaround" vind ik nog te veel.

Ik bedoel, met alle respect voor @Wachten..., maar hij heeft nauwelijks post-history in netwerken of PNS en toch voelt hij al op z'n klompen aan dat Admin rechten uitdelen geen oplossing is. En als hij dezelfde denktrant hanteert over de network operators group, dan komt hij tot dezelfde conclusie.

En ik begrijp wireguard niet. Die bieden onder het mom van security een vpn client aan en vergroten vervolgens de attack surface van je PC met pak'm beet 1000%

QnJhaGlld2FoaWV3YQ==

zondag 20 maart 2022 14:08

Acties:

+1 Henk 'm!

laurens0619

At present what you ask is not possible, on Windows.

Unlike other VPN tools and technologies, the Wireguard client creates a tunnel interface (showing up as a network adapter) for each connection you have configured when you try to connect, aka "on the fly". When you terminate the connection the client deletes the tunnel interface entirely. It does this outside the official VPN plumbing of Windows. That design has the severe limitation that you need to be an administrator of the machine so the software can create the interface.

I use Wireguard on Windows, Mac, and Linux. Windows is the only platform I have this issue with. Additionally, I only use the official client (version 0.38 at the time of this writing) from Wireguard. I do not know if there are others.

Helaas dus

Als ik kijk naar die rechten van de admin network group dan lijkt mij dat wel een ok alternatief (maar nog steeds ugly)

Membership in the Network Configuration Operators group allows a user to:

Modify the TCP/IP Properties for the LAN connection, including IP address, subnet mask, default gateway, and DNS servers.
Modify the Properties of Remote Access connection(s).
Delete Remote Access connection(s).
Rename the LAN connection(s).
Rename Remote Access connection(s).
Enable or Disable a LAN connection.
Issue Ipconfig /Release and Ipconfig / Renew commands.

[ Voor 27% gewijzigd door laurens0619 op 20-03-2022 14:14 ]

CISSP! Drop your encryption keys!

zondag 20 maart 2022 14:13

Acties:

0 Henk 'm!

Ben(V)

Misschien heb je hier iets aan:
https://blog.tommyku.com/...able-to-start-as-service/

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

zondag 20 maart 2022 14:18

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

laurens0619 schreef op zondag 20 maart 2022 @ 14:08:
[...]

Helaas dus

Hoezo helaas? Wanprestatie! Stel je koopt een alarmsysteem. Bij oplevering blijkt dat de monteur niet de moeite heeft genomen om een gaatje in je deurpost te boren. Er loopt een kabeltje door je deuropening naar buiten en nu kan de voordeur niet meer dicht en al helemaal niet meer op slot. Laat je die monteur daar mee wegkomen?

Het is echt geen rocket science om een service-je te schrijven dat on the fly netwerk adapters kan aanmaken en configureren en een socket heeft openstaan om commando's te ontvangen

QnJhaGlld2FoaWV3YQ==

zondag 20 maart 2022 14:58

Acties:

0 Henk 'm!

laurens0619

@Brahiewahiewa tja ik kan er alles van vinden, en dan?

Of stel je voor dat ts wireguard gaat aanklagen als wanprestatie oid?

Je hebt geen contract neem ik aan, je bent een gebruiker met weinig invloed.

De network admin group lijk trouwens als designed, in een oudere versie moest je admin zijn en het lijkt erop dat dit hun oplossing is voor unpriviliged users

https://arstechnica.com/g...e-been-waiting-for/?amp=1

CISSP! Drop your encryption keys!

zondag 20 maart 2022 15:07

Acties:

0 Henk 'm!

Wachten...

Topicstarter

Brahiewahiewa schreef op zondag 20 maart 2022 @ 13:36:
[...]

Nou, eerlijk gezegd wil ik het geen oplossing noemen en zelfs de term "workaround" vind ik nog te veel.

Ik bedoel, met alle respect voor @Wachten..., maar hij heeft nauwelijks post-history in netwerken of PNS en toch voelt hij al op z'n klompen aan dat Admin rechten uitdelen geen oplossing is. En als hij dezelfde denktrant hanteert over de network operators group, dan komt hij tot dezelfde conclusie.

En ik begrijp wireguard niet. Die bieden onder het mom van security een vpn client aan en vergroten vervolgens de attack surface van je PC met pak'm beet 1000%

Je slaat de spijker op zijn kop. Ik ben totaal geen netwerk nerd. Ik weet wel het één en ander, maar als het te diep gaat qua termen e.d. dan haak ik toch wel af (geen IT achtergrond) De basis dingen over rechten, firewall rulles etc., dat begrijp ik wel. Dat is precies ook de reden dat ik dit post (zoals jij ook al aangeeft) Ik snap niet dat je clients admin rechten moet geven, waarmee je je PC in groter gevaar brengt. Althans, dat is wat mij zo geleerd is.

Als je dit kunt lezen, dan werkt mij Signature!

zondag 20 maart 2022 15:10

Acties:

0 Henk 'm!

Wachten...

Topicstarter

Ben(V) schreef op zondag 20 maart 2022 @ 14:13:
Misschien heb je hier iets aan:
https://blog.tommyku.com/...able-to-start-as-service/

Dank je,

Ik heb het nog niet helemaal gelezen, maar als ik het zo begrijp MOET het via een workaround?

Kan iemand mij uitleggen (beetje Jip en Janneke taal) waarom er voor gekozen is om dit te hanteren?
Ik heb in het verleden wel eens vaker VPN`s opgezet, maar dit ben ik dus nog nooit tegen gekomen.

Ik snap het niet zo goed

Overigens had ik nog gehoopt dat ik Wireguard als administrator kon draaien op een standaard user account (had het probleem ook deels verholpen), maar ook dat werkt niet. Je moet dus echt volledig als "admin user" ingelogd zijn om het te kunnen gebruiken.

[ Voor 18% gewijzigd door Wachten... op 20-03-2022 15:12 ]

Als je dit kunt lezen, dan werkt mij Signature!

zondag 20 maart 2022 15:20

Acties:

0 Henk 'm!

laurens0619

@Wachten...
Waarom weet ik niet

De reden is dat ze on the fly een vpn network interface genereren wanneer je verbinding maakt en daarna de interface weggooien, daar heb je admin rechten voor nodig. Bij een reguliere vpn maakt de setup de interface aan en doet een user een connect of disconnect

Zal vast een goede reden zijn maar ik vind het idioot

tegelijk zou ik niet te wakker liggen van network admin rechten geven, die rechten lijken enorm beperkt tov full admin

[ Voor 5% gewijzigd door laurens0619 op 20-03-2022 15:20 ]

CISSP! Drop your encryption keys!

zondag 20 maart 2022 15:20

Acties:

0 Henk 'm!

Wachten...

Topicstarter

Ik kwam dit ook nog tegen

https://www.reddit.com/r/...ireguard_on_windows_as_a/

y solution has been to name our VPN connection the same on every computer I set it up on, and then set a command to run on startup via group policy (make sure to change <YOURTUNNELNAME>:

sc.exe sdset WireGuardTunnel$<YOURTUNNELNAME> "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;WD)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

This gives the builtin "everyone" group access to read, stop, and start the wireguard service. At that stage, you can create a couple batch files on the users desktop to sc stop and sc start the service, and voila! User can control the VPN as needed.

Alleen nogmaals, liever gebruik ik dit soort "workarounds" niet, want dit is nooit het idee geweest van Wireguard. Ik zou het alleen graag willen begrijpen en willen weten hoe, wat en waarom je bepaalde dingen wel of niet wilt doen.

Ik wil graag alles veilig houden, dat is heel de reden dat ik nu een VPN ga gebruiken, Ik heb er dan niks aan als ik elders mijn beveiliging omlaag ga brengen.

Als je dit kunt lezen, dan werkt mij Signature!

zondag 20 maart 2022 15:24

Acties:

0 Henk 'm!

Wachten...

Topicstarter

laurens0619 schreef op zondag 20 maart 2022 @ 15:20:
@Wachten...
Waarom weet ik niet

De reden is dat ze on the fly een vpn network interface genereren wanneer je verbinding maakt en daarna de interface weggooien, daar heb je admin rechten voor nodig. Bij een reguliere vpn maakt de setup de interface aan en doet een user een connect of disconnect

Zal vast een goede reden zijn maar ik vind het idioot tegelijk zou ik niet te wakker liggen van network admin rechten geven, die rechten lijken enorm beperkt tov full admin

Ja dus omdat je geen login (username & password) gebruikt, is dit de manier waarop ze werken?
Maar nog steeds blijft dan de vraag, waarom moet ik de gehele user admin rechten geven, en kan ik niet gewoon Wireguard als administrator draaien binnen een non admin user account. Dat lijk mij toch veel logischer? Nu ben ik de hele tijd ingelogd als admin om enkel een VPN op te zetten.

Ik weet dat er hier heel veel Wireguard gebruikers zijn op Tweakers. Dus iemand zal hier vast meer over kunnen vertellen.

Hoe werkt het overigens om enkel netwerk admin rechten te geven aan non admin users binnen Windows 10 Home? Kan dit uberhaupt binnen Windows 10 Home?

Als je dit kunt lezen, dan werkt mij Signature!

zondag 20 maart 2022 15:28

Acties:

0 Henk 'm!

laurens0619

@Wachten...
Nee heeft denk ik niets te maken met username/password. Gewoon hoe het opgezet is. Als je dat wilt weten moet je de devs mailen denk ik

Dat run as admin niet werkt is wel gek, dat zou gewoon moeten werken zou je denken.

Die network admin rechten las ik dit over, geen idee of dat met home kan

To make the WireGuard windows app better (for non-admin users) you need to make your user(s) a member of the "Network Configuration Operators" group.
This allows you enable/disable (or choose if you have multiple) the VPN without needing to be a member of the Administrators group. You also need to add a line to the registry.
Here's the powershell code to do that:
New-ItemProperty "hklm:\software\wireguard" -Name "LimitedOperatorUI" -Value 1 -PropertyType "DWord" -Force

Add-LocalGroupMember -Group "Network Configuration Operators" -Member "$username"

Edit:
Onder windows 10 home
Is t wat lastiger maar volgens post zou het moeten werken
https://superuser.com/que...ttings-in-windows-10-home

Echter lees ik ook:
Same here with Windows 10 Home. Even "run as administrator" doesn't work, so there is no chance to run WireGuard on Home Editions without an admin account.

Openvpn can do that much better.

[ Voor 18% gewijzigd door laurens0619 op 20-03-2022 15:33 ]

CISSP! Drop your encryption keys!

zondag 20 maart 2022 15:31

Acties:

+1 Henk 'm!

Thralas

Wachten... schreef op zondag 20 maart 2022 @ 15:24:
Maar nog steeds blijft dan de vraag, waarom moet ik de gehele user admin rechten geven, en kan ik niet gewoon Wireguard als administrator draaien binnen een non admin user account. Dat lijk mij toch veel logischer? Nu ben ik de hele tijd ingelogd als admin om enkel een VPN op te zetten.

Omdat dat voor ieder gangbaar OS zo werkt: netwerkinstellingen wijzigen is inherent iets waar je adminrechten voor nodig hebt. WireGuard heeft de keuze gemaakt om de aanname te doen dat de meeste (non-AD) gebruikers admin zijn: dat is niet onredelijk.

Ik begrijp ook niet helemaal waarom je een apart user-account gebruikt: Windows heeft UAC om te voorkomen dat applicaties zomaar als Administrator worden gestart. Dat werkt voor zover ik kan zien best redelijk.

Microsoft maakt niet voor niets de eerste gebruiker van een systeem vanzelf Administrator.

Hoe werkt het overigens om enkel netwerk admin rechten te geven aan non admin users binnen Windows 10 Home? Kan dit uberhaupt binnen Windows 10 Home?

In de eerste reply van je topic kreeg je de juiste uitleg: HKLM_ in "Wireguard vraagt admin rechten (Windows 10)"

Als je dat in de documentatie van WireGuard wilt nalezen dan kan dat hier: Registry Keys for Admins

Je moet twee dingen doen: jezelf Network Configuration Operator maken en die GUI registry toggle zetten.

[ Voor 10% gewijzigd door Thralas op 20-03-2022 15:33 ]

zondag 20 maart 2022 15:36

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Thralas schreef op zondag 20 maart 2022 @ 15:31:
[...]
dat is niet onredelijk...

Begrijp ik goed dat wireguard zich nadrukkelijk niet richt op gebruikers die in een fatsoenlijk beheerde omgeving werken of uit zichzelf security aware zijn?

QnJhaGlld2FoaWV3YQ==

zondag 20 maart 2022 15:48

Acties:

0 Henk 'm!

laurens0619

Het is wel ironisch

WireGuard is a modern, simple, and secure VPN that utilizes start-of-the-art cryptography. Considered an alternative to OpenVPN, it can be used to create secure connections. Its goals are to be fast, simple, lean, and easy to configure. Wireguard consists of two components: userspace tools and a kernel module.

Het zou mij niets verbazen dat er een security reden is dat de vpn werkt zoals die nu werkt en dus admin rechten nodig heeft.
Dus super veilige architectuur maar wel verlangen dat de user admin is

maarja nogmaals kan er van alles van vinden, je moet t er maar mee doen als je wireguard wilt gebruiken

CISSP! Drop your encryption keys!

zondag 20 maart 2022 15:54

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

laurens0619 schreef op zondag 20 maart 2022 @ 15:48:
... als je wireguard wilt gebruiken ...

Dat, dus

QnJhaGlld2FoaWV3YQ==

zondag 20 maart 2022 21:02

Acties:

0 Henk 'm!

Wachten...

Topicstarter

@Thralas

Ik begrijp ook niet helemaal waarom je een apart user-account gebruikt: Windows heeft UAC om te voorkomen dat applicaties zomaar als Administrator worden gestart. Dat werkt voor zover ik kan zien best redelijk.

Maar een UAC doet niet hetzelfde als een admin account. Een admin account is enkel voor mij geldig, maar niet voor de rest binnen het gezin. Met UAC hoef je enkel OK te klikken en je kunt door. Dit is dus niet echt admin beheer in mijn ogen. Ik stel altijd alles zelf in en beheer alles. Ik wil echter wel dat mijn vrouw en kinderen op de VPN in kunnen loggen, en dat kan dus niet niet.

@laurens0619

Dat run as admin niet werkt is wel gek, dat zou gewoon moeten werken zou je denken.

Dat vind ik dus ook. Mij lijkt dat je dan volledige rechten krijgt tot alles, en dan kan ik die login in ieder geval delen met mijn vrouw. Maar dat werkt dus niet. Het account waar je op zit moet echt admin rechten hebben, en dan werk je dus volledig in een admin omgeving (wat je in mijn ogen nooit wilt).

Ik ga even kijken naar die oplossing die je stuurde. Ik had het echter niet verwacht dat het op deze manier zou werken.

@laurens0619 @Brahiewahiewa @Thralas (en de rest)
Mag ik dan vragen of jullie Wireguard ook gebruiken? En zo ja, hebben jullie hier nooit bij stil gestaan en/of gebruiken jullie je windows account altijd als admin?

Misschien doe ik gewoon echt iets overbodigs o.i.d. en ben ik TE streng op alle rechten etc.
Ik hoor graag hoe jullie met dit soort dingen omgaan, want misschien moet ik iets flexibeler zijn en een stukje "security" loslaten t.o.v. gebruiksvriendelijkheid.

Als je dit kunt lezen, dan werkt mij Signature!

zondag 20 maart 2022 21:15

Acties:

0 Henk 'm!

corset

Brahiewahiewa schreef op zondag 20 maart 2022 @ 13:36:
[...]

Nou, eerlijk gezegd wil ik het geen oplossing noemen en zelfs de term "workaround" vind ik nog te veel.

Ik bedoel, met alle respect voor @Wachten..., maar hij heeft nauwelijks post-history in netwerken of PNS en toch voelt hij al op z'n klompen aan dat Admin rechten uitdelen geen oplossing is. En als hij dezelfde denktrant hanteert over de network operators group, dan komt hij tot dezelfde conclusie.

En ik begrijp wireguard niet. Die bieden onder het mom van security een vpn client aan en vergroten vervolgens de attack surface van je PC met pak'm beet 1000%

Sorry, maar wat is dit een kul argument "Je post hier niet, dus je hebt geen recht van spreken".. ik ken genoeg security professionals die 0 posten op tweakers, en die vertrouw ik toch wat meer dan jou (met alle respect)

(en die hebben minder posts dus)

"Whatever their future, at the dawn of their lives, men seek a noble vision of man’s nature and of life’s potential."

zondag 20 maart 2022 21:26

Acties:

0 Henk 'm!

Wachten...

Topicstarter

corset schreef op zondag 20 maart 2022 @ 21:15:
[...]

Sorry, maar wat is dit een kul argument "Je post hier niet, dus je hebt geen recht van spreken".. ik ken genoeg security professionals die 0 posten op tweakers, en die vertrouw ik toch wat meer dan jou (met alle respect) (en die hebben minder posts dus)

Ik snap je reactie, maar het was slechts een aanname van @Brahiewahiewa. Het maakt mij dan ook niks uit, want ondanks ik niet een gehele noob ben, doe ik ook niet officieel iets in de IT. Hij had het hier dus bij het rechte eind.

Laten we het bij het topic zelf houden, hij geeft netjes antwoorden en suggesties op mijn vraag, dus heb er zelf geen last van

Echter snap ik je reactie wel, want er kan soms vrij hard en bot gereageerd worden door mede Tweakers. Dus ik begrijp je al te goed.

Als je dit kunt lezen, dan werkt mij Signature!

zondag 20 maart 2022 21:42

Acties:

0 Henk 'm!

laurens0619

@Wachten...
Nee ik gebruik geen vpn op mijn prive devices dus ik heb het probleem niet

Wat is eigenlijk de reden dat je op al je devices een vpn wilt?

Sowieso moet je security niet teveel “compliance achtig” benaderen en te breed gaan. Liever veel focus op de echte problemen dan te breed en oppervlakkig

Daarnaast is mijn motto ook:
Security at the expense of usability comes at the expense of security

[ Voor 45% gewijzigd door laurens0619 op 20-03-2022 21:47 ]

CISSP! Drop your encryption keys!

zondag 20 maart 2022 22:04

Acties:

0 Henk 'm!

Wachten...

Topicstarter

laurens0619 schreef op zondag 20 maart 2022 @ 21:42:
@Wachten...
Nee ik gebruik geen vpn op mijn prive devices dus ik heb het probleem niet
Wat is eigenlijk de reden dat je op al je devices een vpn wilt?

Sowieso moet je security niet teveel “compliance achtig” benaderen en te breed gaan. Liever veel focus op de echte problemen dan te breed en oppervlakkig

Daarnaast is mijn motto ook:
Security at the expense of usability comes at the expense of security

Simpel gezegd werken wij geregeld vanuit huis en heb ik hier aangeleerd dat wij alles vanuit de server doen en opslaan. Daarnaast beheren en bekijken wij geregeld foto's etc die ook allemaal op de server staan. Kortom onze workflow thuis draait volledig op de server (zo ooit aangeleerd op werk).

Nu zou ik ervoor kunnen kiezen om alles op laptops en apparaten lokaal op te slaan en deze te backuppen, maar dit werkt voor mij veel minder overzichtelijk.

Ook draai ik wat docker containers die ik wel eens van buitenaf wil benaderen/gebruiken.

Kortom heb ik wel diverse redenen waarom ik een VPN wil draaien. Ik zou oprecht ook niet weten hoe ik het anders moet doen. Alles centraal op een server werkt voor mijn workflow en beheer zoveel makkelijker.

Ik heb geen idee wat jij allemaal doet, of je voor jezelf werkt (en dus met veel bestanden e.d. werkt) of en een familielid hebt die bij je data moet kunnen voor boekhouding etc. Maar dit zijn wat redenen waarom een VPN voor ons wel fijn werkt.

Ik hoor heel graag waarom jij het niet gebruikt. Wellicht geeft het mij wat inzicht. Voor jouw idee, we gebruiken de server hier met 4 mensen (dagelijks gebruik).

Als je dit kunt lezen, dan werkt mij Signature!

zondag 20 maart 2022 22:15

Acties:

+1 Henk 'm!

laurens0619

@Wachten... ik snap je use case volledig en het is qua security beter om via een vpn bij je server te kunnen dan port mappings naar internet.

Maar het werken “op een fileshare” is wel een beetje ingehaald door werken via een sync tool zoals bv onedrive/teams/sharepoint. Ik heb dat op mijn nas ook voor prive via synology drive. Is een soort dropbox maar dan via je eigen server. Dan nog beter om die via een vpn te draajen

Maar met een synology drive oid vervang je maar 1 use case. misschien maar terug naar een vpn die wel zonder admin werkt, zoals openvpn. Of is je server windows? Dan is alwaysonvpn ook zeeeeer prettig

[ Voor 14% gewijzigd door laurens0619 op 20-03-2022 22:18 ]

CISSP! Drop your encryption keys!

zondag 20 maart 2022 22:26

Acties:

0 Henk 'm!

Wachten...

Topicstarter

laurens0619 schreef op zondag 20 maart 2022 @ 22:15:
@Wachten... ik snap je use case volledig en het is qua security beter om via een vpn bij je server te kunnen dan port mappings naar internet.

Maar het werken “op een fileshare” is wel een beetje ingehaald door werken via een sync tool zoals bv onedrive/teams/sharepoint. Ik heb dat op mijn server ook voor prive via synology drive. Is een soort dropbox maar dan via je eigen server.

Maar als dit je use case is, dan moet je misschien maar terug naar een vpn die wel zonder admin werkt, zoals openvpn.

Ja ik heb ook een Synology draaien, maar mij is geleerd (door veel lezen) dat je toch nog steeds altijd beter een VPN kunt draaien, dan bijvoorbeeld Synology drive te draaien. En ik snap dat je wel bestanden kunt syncen zodra je ik je netwerk komt (dus een soort backup) maar je kunt dan niet bij je bestanden als je niet poort 6690 open zet (poort voor Synology Drive)

Als je dan dus toch een poort open zet (wat wij willen) dan is volgens mij de nummer 1 regel dat je een VPN gebruikt toch?

Dus synology drive is leuk, maar ik zie dat meer als een soort "backup".

Verbeter me als ik het verkeerd heb hoor. Ik leer graag.

En wat betreft de VPN en admin. Ik vind Wireguard wel echt veel fijner werken. Het is enorm simpel ik begreep/begrijp het stukje gewoon niet dat ik Wireguard niet als administrator kan openen binnen een non admin user in Windows!

Als je dit kunt lezen, dan werkt mij Signature!

zondag 20 maart 2022 22:35

Acties:

0 Henk 'm!

laurens0619

Vpn is altijd beter ja dan direct de poort open zetten ja

Openvpn vind in persoonlijk maar een complex ding dus ik snap je voorkeur

CISSP! Drop your encryption keys!

zondag 20 maart 2022 22:54

Acties:

+1 Henk 'm!

Thralas

Wachten... schreef op zondag 20 maart 2022 @ 21:02:
Maar een UAC doet niet hetzelfde als een admin account. Een admin account is enkel voor mij geldig, maar niet voor de rest binnen het gezin. Met UAC hoef je enkel OK te klikken en je kunt door. Dit is dus niet echt admin beheer in mijn ogen. Ik stel altijd alles zelf in en beheer alles. Ik wil echter wel dat mijn vrouw en kinderen op de VPN in kunnen loggen, en dat kan dus niet niet.

Fair enough. In dat geval is het inderdaad niet handig als iedereen admin is in jouw situatie.

Mag ik dan vragen of jullie Wireguard ook gebruiken? En zo ja, hebben jullie hier nooit bij stil gestaan en/of gebruiken jullie je windows account altijd als admin?

Ik gebruik het niet op Windows, wel op Linux en daar moet ik óók root zijn om iets met WireGuard te kunnen doen.

Misschien doe ik gewoon echt iets overbodigs o.i.d. en ben ik TE streng op alle rechten etc.
Ik hoor graag hoe jullie met dit soort dingen omgaan, want misschien moet ik iets flexibeler zijn en een stukje "security" loslaten t.o.v. gebruiksvriendelijkheid.

De oplossing om gebruikers toe te voegen aan Network Configuration Operators is nog steeds prima, en zou ik implementeren.

Het is jammer dat er zoveel FUD wordt verspreid over deze oplossing. In mijn eerdere post haalde ik al de rationale aan, die wat mij betreft overtuigend genoeg is: NCO stelt je ook in staat om andere adaptersettings te wijzigen, maar dat is nu juist óók wat je doet als je een WireGuard tunnel mag starten. Dat geeft je ook de mogelijkheid om al het verkeer van de computer zo te routeren dat je er controle over hebt.

Thralas in "Wireguard vraagt admin rechten (Windows 10)"

maandag 21 maart 2022 01:00

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Thralas schreef op zondag 20 maart 2022 @ 22:54:
[...]
De oplossing om gebruikers toe te voegen aan Network Configuration Operators is nog steeds prima, en zou ik implementeren.

Het is jammer dat er zoveel FUD wordt verspreid over deze oplossing...

Ik vind het jammer dat je mijn kritiek qualificeert als FUD.
De oplossing met Network Configuration Operators is niet prima; het blijft een onwenselijke oplossing, want het geeft veel meer privileges weg dan strikt noodzakelijk. In jouw situatie misschien niet zo'n issue, maar voor de TS wel.

QnJhaGlld2FoaWV3YQ==

maandag 21 maart 2022 04:07

Acties:

0 Henk 'm!

laurens0619

@Brahiewahiewa dat “veel meer” valt toch wel mee?

De user kan dan zijn eigen ip aanpassen, of dns instellen of een interface (vpn) toevoegen.

Ik geloof dat dit prima is voor de ts, de enige vraag was of dit ging werken voor de home versie van windows 10.

Maar zie jij hier echt een security probleem in?
Ik vond het eerst ook een ugly oplossing (want ben gewend dat het niet nodig is) maar eigenlijk ben ik daar nu wel op teruggekomen.

[ Voor 17% gewijzigd door laurens0619 op 21-03-2022 04:09 ]

CISSP! Drop your encryption keys!

maandag 21 maart 2022 08:10

Acties:

0 Henk 'm!

Wachten...

Topicstarter

laurens0619 schreef op maandag 21 maart 2022 @ 04:07:
@Brahiewahiewa dat “veel meer” valt toch wel mee?

De user kan dan zijn eigen ip aanpassen, of dns instellen of een interface (vpn) toevoegen.

Ik geloof dat dit prima is voor de ts, de enige vraag was of dit ging werken voor de home versie van windows 10.

Maar zie jij hier echt een security probleem in?
Ik vond het eerst ook een ugly oplossing (want ben gewend dat het niet nodig is) maar eigenlijk ben ik daar nu wel op teruggekomen.

Wat ik zelf het meest vervelend vind en niet zo goed snapte. Is dat Wireguard echt enorm simpel werkt.

Het opzetten was makkelijk (pivpn). Het werken met QR codes voor mobiel en tablet werkt als een trein. Iedereen sprak er ook over dat het echt een fluitje van een cent was om te doen. En dan kom je op Windows en moet je dus "allerlei" fratsen uit gaan halen om het werkend te krijgen. Dit is ook denk ik waar @Brahiewahiewa een beetje op doelde. Mijn kennis is beperkt en ik vind het dan vervelend dat alles eigenlijk oud of the box werkt, maar dat je bij Windows tegen dit probleem aan loopt.

En nogmaals, mijn probleem was deels verholpen geweest als ik Wireguard gewoon als admin kon draaien binnen een non admin user.

Ik moet me nu dus gaan verdiepen in dat netwerk admin gebeuren......

De user kan dan zijn eigen ip aanpassen, of dns instellen of een interface (vpn) toevoegen.

Dat is compleet nieuw voor mij. En dan komt er een soort frustratie bij mij naar boven, van "het zal eens een keer allemaal vloeiend verlopen hier"

Voor alles is een oplossing, maar waar het vanaf android etc best wel noob friendly is, is dat voor Windows niet meer.

Het is slechts mijn mening hè. Voor jullie is het wellicht gesneden koek, maar als ik de eerder aangehaalde quote lees, dan krijg ik alweer jeuk en zie ik mezelf weer uren inlezen over die zaken, omdat ik het goed wil begrijpen.

Als je dit kunt lezen, dan werkt mij Signature!

maandag 21 maart 2022 08:37

Acties:

0 Henk 'm!

MsG

Forumzwerver

OpenVPN geen optie? Die biedt ook nog eens wachtwoord-bescherming, wat ik bij wireguard een beetje mistte.

Alleen met het certificaat kon je al verbinden.

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn

maandag 21 maart 2022 08:50

Acties:

+1 Henk 'm!

laurens0619

@Wachten... Adem in en adem uit

Je moet een gebruiker in een groep zetten zodat ze zaken mogen doen met netwerkverbindingen.
Dat zijn geen fratsen

Ja het regedit is een beetje geknutsel maar dat hoort een beetje bij (gratis) opensource software

En eerlijk, het gebruik maken van de network admin groep vind ik veel beter dan run as admin of een admin service die op de achtergrond draait. Bij run as admin krijgt het stukje code full admin rechten terwijl dat niet nodig is.

Zaken granulair doen is nu eenmaal complexer dan zwart wit. Het permissiemodel van windows is meestal vrij zwart zit ingericht, je bent user of admin.

Wil je het simpel, ga dan niet met 3rd party sofware aan de slag maar gebruik native vpn protocollen zoals L2TP/IPSec. Dat werkt zonder extra software op een windows, Linux, Android en iOS device

[ Voor 18% gewijzigd door laurens0619 op 21-03-2022 08:55 ]

CISSP! Drop your encryption keys!

maandag 21 maart 2022 10:30

Acties:

0 Henk 'm!

Wachten...

Topicstarter

laurens0619 schreef op maandag 21 maart 2022 @ 08:50:
@Wachten... Adem in en adem uit

Je moet een gebruiker in een groep zetten zodat ze zaken mogen doen met netwerkverbindingen.
Dat zijn geen fratsen Ja het regedit is een beetje geknutsel maar dat hoort een beetje bij (gratis) opensource software

En eerlijk, het gebruik maken van de network admin groep vind ik veel beter dan run as admin of een admin service die op de achtergrond draait. Bij run as admin krijgt het stukje code full admin rechten terwijl dat niet nodig is.

Zaken granulair doen is nu eenmaal complexer dan zwart wit. Het permissiemodel van windows is meestal vrij zwart zit ingericht, je bent user of admin.

Wil je het simpel, ga dan niet met 3rd party sofware aan de slag maar gebruik native vpn protocollen zoals L2TP/IPSec. Dat werkt zonder extra software op een windows, Linux, Android en iOS device

Ik zal blijven ademen, thx voor de tip

Ik ben bekend met de andere protocollen. Het mooie van Wireguard is dat het echt fijn werken is voor familieleden. Je zet een vinkje aan en ze zijn verboden. Dit werkte bij mijn weten echt wel een stuk minder gebruiksvriendelijk met OpenVPN toen der tijd. En plus dat (ik het in ieder geval) overal om me heen hoor en iedereen Wireguard aanraadt. Vandaar de keuze.

Ik had nog even gekeken naar jouw eerdere link, omdat ik geen users/groups optie heb in Windows 10 Home. Wederom erg jammer, want moet daar toch weer wat gaan downloaden etc. Ik kan het wel gewoon doen hoor, en het zal allemaal dan prima werken. Maar omdat ik er weinig kaas van heb gegeten, raak ik toch een beetje het overzicht kwijt. Ik had me net een beetje ingelezen in de user groups, en dacht, dit gaat wel goed komen. Maar ik moet dus vanwege de Windows 10 home toch weer verder "knutselen"

Ik ga toch nog even verder zoeken naar wat de meeste mooie oplossing is. Misschien moet ik anders mijn windows 10 home maar over zetten naar windows 10 pro.

@MsG
Zie reactie hierboven, Ik heb ooit jaren geleden OpenVPN gebruikt, maar vond het toen alles behalve fijn en elegant werken (zeker voor de familieleden).

Op zich doet Wireguard alles wat ik wil. behalve dit "onlogische" stukje wat betreft admin users gebruiken om te kunnen verbinden.

Als je dit kunt lezen, dan werkt mij Signature!

maandag 21 maart 2022 10:39

Acties:

0 Henk 'm!

Wachten...

Topicstarter

https://frameboxxindore.c...s-in-windows-10-home.html

zit hier iets tussen wat ik kan gebruiken, waardoor de rechten goed zijn voor Wireguard?
Ik krijg dan de volgende opties:

Afbeeldingslocatie: https://tweakers.net/i/xtXGnDUUo29dIA-3GzjuRxzSJxI=/x800/filters:strip_exif()/f/image/UtA7D0Osr9uhvrDk0pU0iEHT.png?f=fotoalbum_large

Als je dit kunt lezen, dan werkt mij Signature!

maandag 21 maart 2022 12:22

Acties:

0 Henk 'm!

laurens0619

Wireguard draaien als non admin heeft groepen nodig, en die zitten niet in de home versie.

Nu kom je dat probleem wel vaker tegen bij windows 10 home (ook rdp) en lees je vaker om de registersleutels vanuit pro in je home installatie te hacken. Omdat je het OS aan het aanpassen bent, moet je dus regedit vanuit SYSTEM rechten starten (rechter nog hoger dan administrator) via psexec.
De registry key zelf die je moet importeren is niet zo spannend, puur een verwijzing naar een groep.
Het is aan jou of je wilt gaan hacken of de upgrade naar pro wilt doen/andere techniek gebruiken

Overigens, ja het is gebruiksvriendelijker dan openvpn maar maakt dat zoveel uit? Je stelt het spul 1x in en daarna is het click & go. Het is geen dagelijkse handling (toch?).Je moet dus uit een van deze opties kiezen:
1. Windows 10 naar pro upgraden
2. Users admin maken
3. - Windows 10 groep in home "hacken"
4. Andere techniek gebruiken die wel onder user rechten kan draaien.

Je kunt blijven frusteren of zoeken, beter kun je kiezen want andere opties zijn er imho niet

Reg key import hack

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\0000022C]
"C"=hex:2c,02,00,00,00,00,00,00,e8,00,00,00,03,00,01,00,e8,00,00,00,3e,00,00,\
00,00,00,00,00,28,01,00,00,d8,00,00,00,00,00,00,00,00,02,00,00,1c,00,00,00,\
01,00,00,00,01,00,14,80,c8,00,00,00,d8,00,00,00,14,00,00,00,44,00,00,00,02,\
00,30,00,02,00,00,00,02,c0,14,00,13,00,05,01,01,01,00,00,00,00,00,01,00,00,\
00,00,02,c0,14,00,ff,ff,1f,00,01,01,00,00,00,00,00,05,07,00,00,00,02,00,84,\
00,04,00,00,00,00,00,14,00,0c,00,02,00,01,01,00,00,00,00,00,01,00,00,00,00,\
00,00,18,00,1f,00,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,\
00,18,00,1f,00,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,24,02,00,00,00,00,\
38,00,0c,00,02,00,01,0a,00,00,00,00,00,0f,03,00,00,00,00,04,00,00,de,a2,28,\
67,21,3e,d2,af,19,ad,5d,79,b0,c1,07,29,27,56,fc,20,d8,ad,66,f6,10,f2,68,fa,\
df,2a,f8,0f,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,\
00,00,05,20,00,00,00,20,02,00,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,\
20,00,43,00,6f,00,6e,00,66,00,69,00,67,00,75,00,72,00,61,00,74,00,69,00,6f,\
00,6e,00,20,00,4f,00,70,00,65,00,72,00,61,00,74,00,6f,00,72,00,73,00,00,00,\
4d,00,65,00,6d,00,62,00,65,00,72,00,73,00,20,00,69,00,6e,00,20,00,74,00,68,\
00,69,00,73,00,20,00,67,00,72,00,6f,00,75,00,70,00,20,00,63,00,61,00,6e,00,\
20,00,68,00,61,00,76,00,65,00,20,00,73,00,6f,00,6d,00,65,00,20,00,61,00,64,\
00,6d,00,69,00,6e,00,69,00,73,00,74,00,72,00,61,00,74,00,69,00,76,00,65,00,\
20,00,70,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,73,00,20,00,74,\
00,6f,00,20,00,6d,00,61,00,6e,00,61,00,67,00,65,00,20,00,63,00,6f,00,6e,00,\
66,00,69,00,67,00,75,00,72,00,61,00,74,00,69,00,6f,00,6e,00,20,00,6f,00,66,\
00,20,00,6e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,69,00,6e,00,67,00,20,00,\
66,00,65,00,61,00,74,00,75,00,72,00,65,00,73,00,01,05,00,00,00,00,00,05,15,\
00,00,00,a8,93,d1,46,16,fe,89,a7,56,ec,96,97,ed,03,00,00

[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\Names\Network Configuration Operators]
@=hex(22c):

[ Voor 5% gewijzigd door laurens0619 op 21-03-2022 12:25 ]

CISSP! Drop your encryption keys!

maandag 21 maart 2022 12:31

Acties:

0 Henk 'm!

Ben(V)

Wachten... schreef op maandag 21 maart 2022 @ 10:39:
https://frameboxxindore.c...s-in-windows-10-home.html

zit hier iets tussen wat ik kan gebruiken, waardoor de rechten goed zijn voor Wireguard?
Ik krijg dan de volgende opties:

[Afbeelding]

Je moet de groep "Netwerkconfiguratieoperators" hebben.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

Pagina: 1

Reageer