Качественное укрепление системы Windows 7?

7

Исторически я парень из Linux и использую Windows только тогда, когда мне абсолютно необходимо использовать VM. Тем не менее, я недавно приобрел новую буровую установку, чтобы я мог поддерживать выделенную машину Windows 7 для тяжелой работы (кашель, игры, кашель) и для программного обеспечения, которое просто не будет работать в Linux.

Я более чем немного нервничаю. Я очень опытен в усилении систем Linux, но я - рыба из воды, когда дело доходит до Windows. Я установил Microsoft Security Essentials и у меня включен брандмауэр Windows, но я все еще чувствую, что этого недостаточно (я видел, как несколько вирусов прошли мимо Security Essentials, прежде чем я переключил свою жену с Windows Vista на Linux. Конечно, она помогла им ... она быстро щелкает вещами).

Какие действия должен предпринять параноидальный пользователь, чтобы сделать его установку Windows 7 максимально безопасной, помимо перерезания сетевого кабеля?

jbwiv
источник
Запустите 64-битную версию W7, она гораздо более безопасна, чем ее 32-битная версия.
Moab
@Moab Как 64-разрядная версия более безопасна, чем 32-разрядная?
abstrask
Так как Vista 64 bit использует KPP или Patchguard, она защищена от вредоносных программ, которые пытаются исправить ядро, чтобы получить привилегии суперпользователя .... en.wikipedia.org/wiki/Kernel_Patch_Protection
Moab

Ответы:

11

Настройте Windows 7 с обычной учетной записью пользователя рядом с учетной записью администратора, как в Linux. Практически невозможно по-настоящему испортить весь компьютер с помощью обычной учетной записи пользователя.

Таким образом, любая подозрительная деятельность потребует пароль администратора в приглашении повышения прав (эквивалент sudo)

MSalters
источник
2
Этот простой шаг дает вам много защиты.
LawrenceC
Вы можете сделать это, просто изменив настройки UAC.
Ben Voigt
Переименование администратора & amp; гостевые аккаунты также возможны. Запустите «secpol.msc», затем перейдите в «Настройки безопасности» -> «Локальные политики» -> Учетные записи: переименовать учетную запись администратора / переименовать гостевую учетную запись. Кроме того, в этом диалоговом окне вы найдете множество других параметров безопасности, которые обеспечат вам жесткую защиту!
Chad Harrison
Стандартный пользователь FTW.
surfasb
8

Я думаю, что, учитывая, что вы пришли из среды, которая требует от вас понимания того, что происходит, у вас не будет проблем с обеспечением безопасности в Windows. По моему опыту, большинство проблем возникает из-за неопытных или ленивых пользователей, стреляющих себе (и своим системам) в ногу. Windows обеспечивает разумный уровень безопасности, но, конечно, не мешает вам (пользователю) ослабить его. Следующий список является довольно простым здравым смыслом, но IMHO - то, где большинство проблем возникает:

  1. Обратите внимание на запросы UAC - даже если у вашего пользователя есть права администратора, Windows все равно будет требовать вашего подтверждения для всего, что требует повышения прав. Обратите внимание на то, что вы разрешаете.
  2. Убедитесь, что вы позволяете Windows оставаться в курсе обновлений.
  3. Не устанавливайте программное обеспечение, которому вы не доверяете, особенно держитесь подальше от таких шейдеров, как кейгены, взломы игр и т. Д.
  4. Понять, как работает брандмауэр - если вы использовали iptables тогда это будет на порядок проще. Использовать Расширенный брандмауэр Windows экран, чтобы проверить и управлять тем, что выставлено.
  5. Само собой разумеется, не нажимайте на эту рекламу Виагры!
Geoff
источник
4
И включите UAC полностью. В Vista это было лучше: установка по умолчанию в Windows 7 позволяет различным атакам с использованием инъекций на исполняемые файлы, подписанные Microsoft, запускать произвольный код, повышенный без запроса.
Ben Voigt
2
  1. Помимо Windows Security Essentials и брандмауэра я бы также установил EMET (Расширенный инструментарий по снижению риска от Microsoft) не забудьте прочитать руководство пользователя EMET.
  2. Всегда используйте стандартную учетную запись пользователя в качестве учетной записи по умолчанию. Поверните настройки UAC полностью вверх.
  3. Если вы много скачиваете из интернета, установите бесплатную версию Malwarebytes и пусть он сканирует иногда ваш компьютер.
  4. Скачать хороший диспетчер задач, как Процесс Хакер или же Процесс исследователь потому что встроенный в Windows 7 не так хорош (Встроенная в Windows 8 намного лучше). Но вы можете использовать ресурс Монитор (введите в поиске resmon.exe), что хорошо.
  5. Используйте 64-битную версию Windows 7/8
  6. Если вы загрузили Java, отключите Java в браузере из Панель управления Java
  7. Скачать инструменты с NirSoft или же Sysinternals как TcpView, может помочь вам если вы ловите какую-то вредоносную программу.
  8. Включи Предотвращение выполнения данных для всех программ.
  9. Я бы использовал Chrome, потому что он безопасен, и я думаю, что это более безопасный, чем другие браузеры (только мое мнение).
  10. Измените Advanced Sharing Settings, отключите обнаружение сети.
  11. Всегда устанавливайте последние обновления Windows
  12. Я бы лично обновился до Windows 8.1, которая более безопасна, чем Windows 7

Вы можете пойти еще дальше, но обычно вам нужно сделать 2,3 и 11. И поскольку вы опытный пользователь, вы будете в безопасности.

Devid
источник
0

Если машина Windows используется в качестве веб-клиента, рекомендуется использовать Firefox с надстройкой NoScript. (И, конечно, Adblock Plus; это само собой разумеется.)

Если вы случайно зашли на сайт с вредоносными скриптами, NoScript спасет вашу задницу.

NoScript может быть навязчивым и требует обучения пользователей. (Если пользователь просто слепо говорит «да» всем сценариям, это бессмысленно.)

Установите Evince для чтения PDF; держись подальше от Adobe. (Есть способ заставить Evince показать встроенный в Firefox: http://www.libertexto.org/libertexto_en.html .)

Не используйте Windows Media Player; установить альтернативу. Windows Media Player позволяет медиафайлам предлагать пользователю загружать файлы. "Вам нужен специальный кодек для воспроизведения этого видео. Нажмите, чтобы установить FOO.EXE."

Научите своих пользователей не загружать и открывать ненадежные вложения, полученные по электронной почте, и никогда не говорить «да» ни одному неожиданному диалоговому окну.

Kaz
источник
Примечание о NoScript, с оговоркой, что это было долго время назад (FireFox 1.5, кто-нибудь?) и я, возможно, был единственным, кто испытал это. У меня было несколько страниц, на которых, несмотря на то, что я помещал в белый список все, что мог найти, он продолжал работать и отключать некоторые сценарии на странице (я предполагаю, что у них были сценарии на основе разных серверов или что-то подобное), и это удалось продолжить даже после того, как я удалил дополнение. Я думаю, что это оставило некоторые когти в некоторых странных местах и ​​никогда полностью не удаляло их. Так что просто знайте об этом.
Margaret
0

Я хотел бы добавить / обновить несколько пунктов:

Получить хорошее программное обеспечение для обеспечения безопасности (его необходимо на Windows). MSE не достаточно. Вы можете искать в Интернете бесплатно / платные. Я не могу рекомендовать один здесь.

Хоть немного экстремальный Еще одна идея заключается в установке Windows на диске и программного обеспечения на других. Храните документы / данные на диске, отличном от Windows Сконфигурируйте windows / software, а затем «заморозьте» раздел windows, используя что-то вроде faronics deepfreeze

Это определенно защитит вас от всех видов вредоносных программ, предотвратив любые длительные изменения в файлах Windows или настройках. Достаточно просто перезагрузить компьютер, чтобы избавиться от всех вредоносных программ и их влияния на систему. Антивирусное программное обеспечение извлечет вредоносное ПО на диске, отличном от Windows.

tumchaaditya
источник
0

Существует несколько способов защитить систему Windows. Первый - это удалить / отключить любые службы, которые вы не используете или не будете использовать. т.е. удаленные службы или телнет. Далее вы хотите отключить / переименовать ваши встроенные учетные записи. Вы хотите иметь и учетную запись администратора, но это не должна быть учетная запись, в которую вы будете входить ежедневно, вы хотите создать учетную запись пользователя для себя, и это должна быть та, которую вы используете. Я знаю, что это усугубляет ситуацию, но если вредоносное ПО будет загружено, оно сможет работать только на том уровне, на котором вы в настоящее время вошли в систему. Поддерживать обновление системы и хорошее AV очень важно. Наконец, если вы выберете STIG из DISA, FISMA или NIST, это даст вам хорошую основу для вашей сборки. Некоторые из этих сайтов находятся в коробке https://web.nvd.nist.gov/view/ncp/repository или же http://iase.disa.mil/stigs/Pages/index.aspx

floating head
источник