Постійна загартовування системи Windows 7?

Я історично хлопець в Linux, і використовую Windows лише тоді, коли мені це потрібно через VM. Однак я нещодавно придбав нову платформу, щоб я міг підтримувати спеціальну машину Windows 7 для важкої роботи (кашель, ігри, кашель) та програмного забезпечення, яке просто не працюватиме в Linux.

Я більше ніж трохи нервую. Я дуже кваліфікований у загартовуванні систем Linux, але, якщо мова йде про Windows, то я риба поза водою. Я встановив Microsoft Security Essentials і ввімкнув брандмауер Windows, але я все ще відчуваю, що цього недостатньо (я бачив, як кілька вірусів минули Essentials Security, перш ніж я перейшов дружину з Windows Vista на Linux. Зрозуміло, вона, ймовірно, допомогла їм ... вона швидко натискає речі).

Які кроки повинен зробити параноїдальний користувач, щоб зробити його налаштування Windows 7 максимально безпечним, окрім вирізання мережевого кабелю?

Налаштуйте Windows 7 із звичайним обліковим записом користувача поруч із обліковим записом адміністратора, як ви це робили в Linux. Насправді неможливо реально викрутити весь ПК лише за допомогою звичайного облікового запису користувача.

Таким чином, будь-яка підозріла активність вимагатиме пароля адміністратора під час підняття (еквівалент sudo)

Я думаю, що, якщо ви походите з середовища, яке вимагає, щоб ви зрозуміли, що відбувається, у вас не буде проблем із збереженням безпеки в Windows. На мій досвід, більшість питань виникає у недосвідчених або ледачих користувачів, які знімають себе (та їх системи) в ногу. Windows надає вам розумний рівень безпеки, але, звичайно, не заважає вам (користувачеві) послабити його. Наступний перелік є досить базовим здоровим глуздом, але в більшості проблем виникає ІМХО:

1. Зверніть увагу на підказки UAC - навіть якщо ваш користувач має права адміністратора, Windows все одно вимагатиме підтвердження для всього, що потребує підвищення. Зверніть увагу на те, що ви авторизуєте.
2. Переконайтеся, що ви дозволяєте Windows залишатися в курсі оновлень.
3. Не встановлюйте програмне забезпечення, якому ви не довіряєте - особливо тримайтеся подалі від тіньових програм, таких як кейгени, ігрові тріщини тощо.
4. Зрозумійте, як працює брандмауер - якщо ви використовували, iptablesце буде на порядок простіше. Скористайтеся екраном брандмауера Windows Advanced, щоб перевірити та керувати експозицією.
5. Само собою зрозуміло, не натискайте на рекламу Віагри!

Це не є загартовувачем, але ви можете запустити Microsoft Baseline Security Analyzer, щоб перевірити можливі проблеми безпеки.

1. Поруч із засобами безпеки Windows та брандмауером я також би встановив EMET (Інструментарій покращеного досвіду щодо зменшення наслідків від Microsoft), не забудьте прочитати посібник користувача EMET.
2. Завжди використовуйте Стандартний обліковий запис користувача як свій обліковий запис за замовчуванням. Поверніть налаштування UAC повністю вгору.
3. Якщо ви багато завантажуєте з Інтернету, встановіть безкоштовну версію MalwareBytes і нехай вона сканує інколи ваш ПК.
4. Завантажте хорошого диспетчера завдань, як Process Hacker або Process Explorer , оскільки вбудований в Windows 7 не такий вже й гарний (Windows 8, вбудований в один, набагато краще). Але ви можете використовувати Монітор ресурсів (наберіть у пошуку resmon.exe), що добре.
5. Використовуйте 64-бітну версію Windows 7/8
6. Якщо ви завантажили Java, відключіть Java у браузері з панелі керування Java
7. Завантажуйте такі інструменти від Nirsoft або Sysinternals, як TcpView, можуть допомогти вам, якщо ви знайдете якісь зловмисні програми.
8. Увімкніть запобігання виконанню даних для всіх програм.
9. Я б використовував Chrome, оскільки він захищений дизайном, і я вважаю, що він більш безпечний, ніж інші браузери (просто моя думка).
10. Змініть параметри попереднього обміну, вимкніть пошук мережі.
11. Встановлюйте завжди останні оновлення Windows
12. Я особисто хотів би оновити до Windows 8.1, яка є більш захищеною, ніж Windows 7

Ви можете піти ще далі, але зазвичай вам потрібно зробити 2,3 і 11. А оскільки ви досвідчений користувач, ви будете в безпеці.

Якщо машина Windows використовується як веб-клієнт, хорошою ідеєю є використання Firefox з додатком NoScript. (І звичайно Adblock Plus; це само собою зрозуміло.)

Якщо ви випадково зайшли на сайт із шкідливими сценаріями, NoScript збереже вашу дупу.

NoScript може бути нав’язливим і вимагає освіти користувачів. (Якщо користувач просто сліпо каже так всім сценаріям, це безглуздо.)

Встановіть Evince для читання PDF-файлів; тримайтеся подалі від Adobe. (Є спосіб заставити Evince показати вбудований у Firefox: http://www.libertexto.org/libertexto_en.html .)

Не використовуйте програвач Windows Media Player; встановити альтернативу. Windows Media Player дозволяє медіа-файлам спонукати користувача до завантаження речей. "Для відтворення цього відео вам потрібен спеціальний кодек. Клацніть, щоб встановити FOO.EXE."

Навчіть своїх користувачів не завантажувати та не відкривати будь-які недовірені вкладені файли, отримані по електронній пошті, і ніколи не говорити так жодному несподіваному діалоговому вікні.

Я хотів би додати / оновити кілька пунктів:

Отримайте хороше програмне забезпечення для безпеки (необхідне для Windows). MSE недостатньо. Ви можете шукати Інтернет безкоштовно / платно. Я не можу рекомендувати один тут.

Хоча трохи екстремальним , ще одна ідея - встановити Windows на накопичувач та програмне забезпечення на інших. Зберігайте документи / дані на приводі без вікна Налаштуйте вікна / програмне забезпечення, а потім «Заморожте» розділ Windows, використовуючи щось на кшталт фаронічного глубокого заморожування.

Це, безумовно, захистить вас від усіх видів зловмисного програмного забезпечення, запобігаючи постійним змінам файлів або налаштувань Windows. Досить лише перезавантаження, щоб позбутися від усіх шкідливих програм та їх впливу на систему. Антивірусне програмне забезпечення візьме зловмисне програмне забезпечення на диск, який не працює на Windows.

Існує кілька способів загартування системи Windows. Перший - це видалення / відключення будь-яких служб, які ви не використовуєте або не будете використовувати. тобто віддалені послуги або telnet. Далі потрібно вимкнути / перейменувати вбудовані акаунти. Ви хочете мати обліковий запис і адміністратор, але це не повинен бути той обліковий запис, на який ви б входили щодня, ви хочете створити для себе обліковий запис користувача, і це саме те, що ви використовуєте. Я знаю, що це обтяжує, але якщо завантажується зловмисне програмне забезпечення, воно може працювати лише на тому рівні, на якому ви зараз увійшли. Підтримувати оновлення системи та мати гарний AV - це дуже важливо. Нарешті, якщо ви їдете на STIG або від DISA, або FISMA, або NIST, це дасть вам хорошу базову лінію для складання. Деякі з цих веб-сайтів знаходяться у вікні https://web.nvd.nist.gov/view/ncp/repository абоhttp://iase.disa.mil/stigs/Pages/index.aspx