Как улучшить безопасность Windows 10 Home?

Question

[Александр Смирнов]

Есть мощный компьютер с лицензионной коробочной версией Windows 10 Home (v1703) без антивируса (включен встроенный Defender). Стоит задача - усилить безопасность. Человек, который будет пользоваться этим компьютером дольно грамотный, но, как показывает практика, иногда бывает всякое. Флешки, CD/DVD, карты и прочее не используются, поэтому с этой стороны нет проблем - остается только интернет, который за NAT и роутером с динамическим IP.

Что можно сделать для повышения уровня безопасности для защиты от угроз с интернета?

Что сделано:

1. Создана локальная учетка админа с надежным паролем и учетка обычного пользователя, под которой и будет работать человек
   
2. Установлены все обновления, настроено получение и автоматическая установка обновлений
   
3. Встроенный защитник настроен на максимум
   
4. Включен UAC и установлен на максимальный уровень предупреждений
   

Слышал, что можно еще разрешить запуск программ только из Program Files, но не нашел как это сделать.

Comments

[chupasaurus]

Defender не так плох, как вам кажется.

[theurs]

В хоме версии нет ограничения на запуск программ.

[Александр Смирнов]

chupasaurus: Я и не говорю, что он плох :) Помоему довольно неплохо справляется

[Dark Hole]

theurs: ну AppLocker там должен быть, просто его настраивают политиками, а их в Home низя редактировать

[Johnny Gat]

Defender не просто плох, а отвратителен. Я бы посоветовал Kaspersky Free (бесплатная версия, только антивирус), а лучше Kaspersky Internet Security (платная версия, антивирус+фаерволл). Если вы не из Украины конечно.

[Александр Смирнов]

Johnny Gat: Чем Defender отвратителен? Я не рассматриваю антивирусы, хотя много лет и использовал KIS. Современные антивирусы ухудшают безопасность, а не улучшают. В них достаточно много серьезных дыр, которые используют вирусы, а т.к. антивирус проникает на все уровни системы, особенно Касперский, то уязвимость в антивирусе дает открытыю широкую двень ко всей системе.

[Johnny Gat]

Александр Смирнов: Defender настроенный на максимальную параноидальность пропустил мне в систему вирус.

[Ульрих]

Это же очевидно. Не использовать ОС, в которых годами не закрываются уязвимости

[Александр Смирнов]

Ульрих: И какие это ОС? Необновляемый Debian?

P.S. Есть еще такое понятие, как рабочая необходимость.

[Александр Смирнов]

Johnny Gat: Так он и не является лучшим средсвом защиты. Но заметную часть по обеспечению безопасности он делает. А вирус пропускал и Касперский, а потом еще и не мог его удалить.

[Ульрих]

Александр Смирнов: не срача ради. А с чего это Debian стал необновляемый?

[Александр Смирнов]

Ульрих: Софт к нему из официальных репо выходит с заметной задержкой

[Ульрих]

Александр Смирнов: кредо дебиана - стабильность. Для тех, кому не нужна стабильность, а нужна свежесть - есть тестинг репозитории или убунту

Answer 1

[Dark Hole]

Итак, вы уточнили вопрос, поэтому напишу конкретно.
1. Настроить виндовый брэндмауер в параноидальном режиме, отрубив все, что не должно иметь доступ в Интернет и из Интернета.
2. Если на роутере есть брэнмауэр, настроить аналогично.
3. Регулярно ставить обновляния вручную(или централизированно, в крайнем случае) или включить автообновления.
4. Если компьютер в домене, запретить посредством групповых политик и AppLocker'а запуск из не-системных и Program Files папок приложений. Ограничить круг пользователей, имеющих доступ к этому компьютеру. В идеале доступ должен быть у администратора домена и аккаунта пользователя.
5. Отключить стандартного Администратора, создать аккаунт с такимим же именем и сложным паролем. Разумеется, нужно создать другого администратора с еще более сложным паролем.
Вроде бы все, но если уже разыгралась паранойя то можно еще IDS прикупить :D

Comments

[Александр Смирнов]

Цель - защититься от автоматических атака на системы через интернет. Например, как было недавно, когда через найденную уязвимость заражали системы шифровалищиком. Постродали те, кто не обновлялся, но все-таки это пример когда от пользователя ничего не зависило, хоть дурак, хоть умный :)

[Dark Hole]

Александр Смирнов:
> построали все
Ну я, например, не пострадал :DD
Сейчас дополню ответ.

[Александр Смирнов]

Dark Hole: Я тоже, т.к. 10-ка обновилась за 2 месяца до этого события :)

Answer 2

[АртемЪ]

Дополнительно - в качестве DNS указать сервера яндекса, или аналогичных служб.
Поставить адблок на браузер.

Включить стандартную защиту системных файлов и настроить бэкап системы, чтобы можно было восстановиться в любой момент.
Бэкап обязательно делать под другой учетной записью.
Администратор и пользователь не должны иметь доступа к папке бэкапа.

Comments

[Bjornie]

"бэкап системы, чтобы можно было восстановиться в любой момент."
это делается полностью образ системы, который можно сохранить внешне и восстановить, или функция восстановления системы, которая настраивается прямо в винде?

[АртемЪ]

Bjornie:
Стандартная защита системных файлов - это обычная теневая копия, и механизм восстановления системных файлов из нее.
Хорош быстротой и отсутствием накладных расходов, можно делать по десяток раз за день, т.к делается он мгновенно. Бэкапом не является.

Бэкап системы - образ системного диска восстанавливающий точную копию диска на момент создания, со всем содержимым. Делается как правило не чем раз в день, т.к занимает продолжительное время(зависит от объема диска), хранится на другом диске.

Answer 3

[Site Developer]

Что можно сделать для повышения уровня безопасности для защиты от угроз с интернета?

Установить нормально настраиваемый фаервол и контроль автозагрузки в реальном времени.
Подключение к сети производить вручную, после полной загрузки винды и всех систем защиты.

Answer 4

[Sanes]

Поставить блокировщик рекламы в браузер. И пусть учится не кликать куда-попало.

Comments

[Александр Смирнов]

Это уже есть :) Человек довольно грамотный, не кликает куда не нужно. Хотелось бы что-то из программных советов по политикам или чего-то в этом духе.

[Sanes]

Александр Смирнов: Этого будет достаточно.

[Dark Hole]

Александр Смирнов:
> по политикам
В Home нельзя настраивать локальные политики, только через домен.

[Александр Смирнов]

Dark Hole: А как-то можно запретить запускать .exe за пределами Program Files?

[Sanes]

Александр Смирнов:

А как-то можно запретить запускать .exe за пределами Program Files?

Человек довольно грамотный, не кликает куда не нужно.

[Dark Hole]

Sanes: существуют дыры с автозапуском.

[Александр Смирнов]

Sanes: Dark Hole: Именно!

[Sanes]

Dark Hole: Александр Смирнов: Это паранойя

[Dark Hole]

Sanes: WCry: правильно сынок, это паранойя

Answer 5

[kalapanga]

Добавлю к ответу АртемЪ, кроме настройки бэкапа системы научите пользователя делать бэкап пользовательских данных, возможно какую-нибудь автоматизацию ему в этом плане добавьте. В облака, на съемные носители - по вкусу. Если это домашний комп, то систему и переустановить недолго, а рабочие документы или любимые фотки пропадут - беда будет.

Answer 6

[Фёдор]

Встроенный антивирус неплох. Делает свое дело молча и решительно )))
Однако есть пользователи которые запускают шифровальщики сами и на вопрос "Хотите ли уничтожить все свои файлы?" всегда отвечают ДА!

Из моей практики неплохо показал себя NOD32 в режиме молчаливой паранойи. Стоит совсем недорого. По логам вижу как он блокирует попытки скачать/запустить очередной сюрприз. В общем на 90% я доволен. Иногда он начинает блокировать нужные сайты из за сертификатов безопасности. Решается обновлением, пинком админу того сайта или внесением нужного сайта в белый список.

И все таки защить пользователя от желания выстрелить себе в ногу не поможет никакая защита. Только резервная нога. Как тут правильно написали к бекапу должен быть запрещен доступ всех пользователей кроме специального оператора бекапа.