Задать вопрос
SashokSmir
@SashokSmir
Инженер

Как улучшить безопасность Windows 10 Home?

Есть мощный компьютер с лицензионной коробочной версией Windows 10 Home (v1703) без антивируса (включен встроенный Defender). Стоит задача - усилить безопасность. Человек, который будет пользоваться этим компьютером дольно грамотный, но, как показывает практика, иногда бывает всякое. Флешки, CD/DVD, карты и прочее не используются, поэтому с этой стороны нет проблем - остается только интернет, который за NAT и роутером с динамическим IP.

Что можно сделать для повышения уровня безопасности для защиты от угроз с интернета?

Что сделано:
  1. Создана локальная учетка админа с надежным паролем и учетка обычного пользователя, под которой и будет работать человек
  2. Установлены все обновления, настроено получение и автоматическая установка обновлений
  3. Встроенный защитник настроен на максимум
  4. Включен UAC и установлен на максимальный уровень предупреждений


Слышал, что можно еще разрешить запуск программ только из Program Files, но не нашел как это сделать.
  • Вопрос задан
  • 1338 просмотров
Подписаться 3 Оценить 13 комментариев
Решения вопроса 1
abyrkov
@abyrkov
JavaScripter
Итак, вы уточнили вопрос, поэтому напишу конкретно.
1. Настроить виндовый брэндмауер в параноидальном режиме, отрубив все, что не должно иметь доступ в Интернет и из Интернета.
2. Если на роутере есть брэнмауэр, настроить аналогично.
3. Регулярно ставить обновляния вручную(или централизированно, в крайнем случае) или включить автообновления.
4. Если компьютер в домене, запретить посредством групповых политик и AppLocker'а запуск из не-системных и Program Files папок приложений. Ограничить круг пользователей, имеющих доступ к этому компьютеру. В идеале доступ должен быть у администратора домена и аккаунта пользователя.
5. Отключить стандартного Администратора, создать аккаунт с такимим же именем и сложным паролем. Разумеется, нужно создать другого администратора с еще более сложным паролем.
Вроде бы все, но если уже разыгралась паранойя то можно еще IDS прикупить :D
Ответ написан
Пригласить эксперта
Ответы на вопрос 5
Jump
@Jump Куратор тега Windows
Системный администратор со стажем.
Дополнительно - в качестве DNS указать сервера яндекса, или аналогичных служб.
Поставить адблок на браузер.

Включить стандартную защиту системных файлов и настроить бэкап системы, чтобы можно было восстановиться в любой момент.
Бэкап обязательно делать под другой учетной записью.
Администратор и пользователь не должны иметь доступа к папке бэкапа.
Ответ написан
secsite
@secsite
Безопасные и быстрые сайты
Что можно сделать для повышения уровня безопасности для защиты от угроз с интернета?

Установить нормально настраиваемый фаервол и контроль автозагрузки в реальном времени.
Подключение к сети производить вручную, после полной загрузки винды и всех систем защиты.
Ответ написан
Комментировать
Sanes
@Sanes
Поставить блокировщик рекламы в браузер. И пусть учится не кликать куда-попало.
Ответ написан
@kalapanga
Добавлю к ответу АртемЪ, кроме настройки бэкапа системы научите пользователя делать бэкап пользовательских данных, возможно какую-нибудь автоматизацию ему в этом плане добавьте. В облака, на съемные носители - по вкусу. Если это домашний комп, то систему и переустановить недолго, а рабочие документы или любимые фотки пропадут - беда будет.
Ответ написан
Комментировать
n0b
@n0b
меньше знаешь - дольше живешь
Встроенный антивирус неплох. Делает свое дело молча и решительно )))
Однако есть пользователи которые запускают шифровальщики сами и на вопрос "Хотите ли уничтожить все свои файлы?" всегда отвечают ДА!

Из моей практики неплохо показал себя NOD32 в режиме молчаливой паранойи. Стоит совсем недорого. По логам вижу как он блокирует попытки скачать/запустить очередной сюрприз. В общем на 90% я доволен. Иногда он начинает блокировать нужные сайты из за сертификатов безопасности. Решается обновлением, пинком админу того сайта или внесением нужного сайта в белый список.

И все таки защить пользователя от желания выстрелить себе в ногу не поможет никакая защита. Только резервная нога. Как тут правильно написали к бекапу должен быть запрещен доступ всех пользователей кроме специального оператора бекапа.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы