Каковы максимальные настройки безопасности после установки Windows 10?

Question

[nameqaw]

У меня настроено вот так:
1) Биос последний. Установленные программы и Windows 10 обновляются постоянно. Бэкапы файлов регулярно.
2) Установлен kaspersky internet security (с вкл. firewall, HIPS), базы обновляются регулярно, настройки максимальные.
3) В настройках безопасности включено: SmartScreen, Защита Windows от эксплойтов, UAC.

Что еще можно настроить или установить для безопасности? Компьютер в основном используется для интернета (через настроенный роутер).
Подобный вопрос был более трех лет назад, может быть что-то изменилось. Какие настройки безопасности Вы используете после установки Windows?

Comments

[Илья]

Хоспаде, боюсь представить, чем Вы занимаетесь на компе. Наверное работаете с супер-секретными файлами пентагона) (а kis успешно их сливает, лол))

[posters]

Каковы максимальные настройки безопасности после установки Windows 10?

Самая надежная настройка.

[Илья]

posters, выключить компухтер по-надёжнее будет)

[nameqaw]

posters, Илья, Шутки шутками, а максимальная безопасность нужна, пока что ваши комментарии неинформативны.

Answer 1

[#]

самая главная настройка безопасности - это эрудиция самого пользователя. чего не надо делать - к примеру ставить пиратские игры/софт с фалопомоек

Comments

[nameqaw]

1) Про файлопомойки понятно, но не всегда все так однозначно, например, ffmpeg для Windows на официальном сайте ffmpeg.org нет, но есть ссылка для скачивания со стороннего сайта. Как быть?
2) Для меня не понятно, comss.ru - это файлопомойка?
3) Программы требующие вносить изменения на компьютере, такие как CPUID HWMonitor, Reg Organizer могут содержать вредоносное по?

[#]

1,2 - можно скачанное ПО проверять на virustotal
3 - надо изучать репутацию ПО. не знаю про перечисленные, но просто для примера CCleaner - ПО крайне опасное само по себе

[Илья]

#, Сам не пользуюсь, но интересно, в чём опасность CCleaner?

[nameqaw]

Как научиться изучать репутацию ПО?

[#]

Илья, не интересно обсуждать. в гугле инфы полно. кратко - можно "выстрелить себе в ногу", что часто и случается (upd при чем, как говориться по самые помидоры ..

[#]

nameqaw,

Как научиться изучать репутацию ПО?

гуглить

upd а разве возможно что то еще???

[nameqaw]

#, Программе Sandboxie можно доверять?

[#]

nameqaw, не знаю. не пользовался (и я не гугл ;))

[#]

nameqaw, если я хочу сделать песочницу (изолированную среду запуска) чаще делаю виртуальную машину.. как то так

[nameqaw]

#, спасибо, тогда Hyper-V буду использовать

[#]

nameqaw, есть много нюансов. я много раз менял Hyper-V, VirtualBox и VMWare по кругу, прежде чем остановился (и то не факт ;).. ушло примерно 6 лет (при общем опыте виртуализации более 10 лет).. удачи ;)))

[Алексей Поздеев]

nameqaw, виртуалки и прочие sandbox'ы могут сделать только хуже. У многих нормальных зловредов есть проверка на песочницу

[nameqaw]

Алексей Поздеев, А что такие зловреды могут сделать если я скачаю его в виртуалке и там запущу? Они ведь в host-платформу не проникнут?

[#]

Алексей Поздеев, nameqaw, это верно. виртуалки не гарантия. в лучшем случае фильтр чайницких зловредов. давно доказано, что системы виртуализации имеют дыры (и если я не путаю, то на аппаратном уровне. но тогда гипервизор не важен

гипервизор надо выбирать исходя из круга задач. у всех есть +/- и нюансы

ps Sandboxie и подобное ПО, все так надо тщательно гуглить репутацию. в общем случае песочницы слабее виртуальных машин, как средство изоляции

[Алексей Поздеев]

nameqaw, дело в другом, вредоносный код в заражённом файле проверяет где он находится, и если это песочница или пустая виртуалка то он не будет вредить, и вы, будучи уверены в безопасности данного файла/приложения, выпустите в вашу внутреннюю сеть на "боевые" машины где он начнёт пакостить. Но от этого есть спасение - в интернетах можно найти утилиты, которые из тестовых виртуалок сделают аналог рабочей станции - загадят рабочий стол, наизменяют много-много веток реестра, насоздают кучу пользовательских директорий в разделах и т.д. Либо можно сделать по-другому: создать образ боевой машины, на которой работали достаточно долго, и развернуть в виде виртуалки и уже на ней тестить всё входящее извне.

[#]

nameqaw, поддержу камент выше. как итог - реальная защищенность растет во времени только с вашей эрудицией. о чем было сказано ))

в гонке вооружений между зловредами и защитами уже давно очень высокая скорость, как собственно во всех ИТ

при этом есть очень трезвый тезис - если у вас нет миллиона$ (или нескольких.. или гостайны)* супер крутые атаки вам не грозят. только мелкая шпана, а среди таковой на сегодня, самые опасные скорее всего криптовымогатели.. ну а тут уже и работает базовая защита, но только при условии достаточной эрудиции

удачи

* а если бы что то такое было, то скорее всего вас бы уже защищали профессионалы ;))

Answer 2

[АртемЪ]

Во первых надо оперировать не расплывчатым понятием - "безопасность" а четко знать от чего вы хотите защитить.

А вообще самая главная настройка безопасности - политика ограниченного использования программ.
Никакой антивирус даже рядом не стоял по эффективности и попросту не нужен.

Comments

[nameqaw]

Требуется максимальная безопасность при использовании интернета, с файлами все в порядке, бэкапы есть. Политика ограниченного использования программ - вот это действительно дельный совет, спасибо!

[АртемЪ]

nameqaw, Что такое максимальная безопасность в вашем понимании?
Защита от утечки данных, защита от утери данных, защита от подмены данных, защита от простоев?
Сколько вы готовы вложить в безопасность? В смысле денег, удобства, времени? У безопасности всегда есть цена. Хотя не всегда она выражена в деньгах.
Достичь какой-то мифической "максимальной безопасности" это на грани фантастики и очень дорого.
А вот защитится от основных типов угроз - вполне реально и доступно.

[АртемЪ]

Вот один из примеров - защита от утери данных и простоев.
Ставим windows, создаем трех пользователей - админ, юзер, бэкап. ставим все необходимые программы, настраиваем систему и программы для работы.
Включаем политику ограниченного использования программ и настраиваем ее - в итоге пользователь не сможет ни установить ни запустить никакой левый софт.
Настраиваем файервол в режиме белого списка.
Настраиваем регулярный бэкап, проверяем бэкап и скорость его развертывания.
Все.
И никаких антивирусов. В большинстве случаев и штатный можно отключить.

[nameqaw]

АртемЪ, А зачем под бэкап отдельного пользователя создавать? Чем юзер не подойдет?

[Дмитрий]

nameqaw, что бы юзер не мог вмешиваться в бекап и не имел доступа к файлам бекапа

[АртемЪ]

nameqaw, Доступ на запись к бэкапу должен быть только у пользователя бэкап и ни у кого больше.
Администратор и пользователь соответственно ни в коем случае не должны иметь этого доступа.
В итоге бэкап это такой юзер под которым никто никогда не работает и не запускает никаких программ кроме бэкапа. Он имеет доступ на чтение ко всем файлам, и он единственный имеет доступ на запись в сетевую шару куда делается бэкап.

Пользователь не имеет права ни читать ни писать бэкап.

Администратор имеет право читать бэкап, но не имеет права писать или изменять.

Answer 3

[xmoonlight]

1. Запуск любых программ (особенно, браузеров!) - только в "песочнице" Sandboxie.
2. Текущий пользователь должен иметь минимальные права для повседневной работы.
3. Корректно настроенные firewall и системные политики (тут) для всех пользователей.

Дополнительно можно поставить secure hunter с сертификацией:

Secure Hunter Anti-Malware PRO has just received OPSWAT Certification.

Comments

[nameqaw]

1. Собираюсь Hyper-V использовать.
2. В реальности не под админом половина софта не работает нормально, но при этом и вири можно запустить и многое другое остаётся доступным для злоумышленника.
3. Спасибо.

[xmoonlight]

nameqaw, софт можно запускать под любым пользователем. Свойства ярлыка -> Безопасность.

[Дядька Серёжа]

nameqaw, юзайте procmon чтобы понять на какие папки и т.д. надо дать права юзеру чтобы потом без прав админа запускать

Answer 4

[Сайпутдин Омаров]

Телеметрию отключи и включи на диск bitlocker

Comments

[nameqaw]

Настройки конфиденциальности максимально возможные - выключено все что можно было выключить. Требуется максимальная безопасность при использовании интернета, с файлами все в порядке, бэкапы есть.

[Сайпутдин Омаров]

это включается чтоб когда кто физически за пк кроме тебя не смог с других носителей загрузки вытащить данные.

Answer 5

[CityCat4]

Ничего не изменилось. Методики - они на то и методики, что меняются редко. Мы как всегда начинаем с вопроса - какова модель нарушителя? Ну то есть от кого будете защищаться?

Comments

[nameqaw]

Я не эксперт по безопасности чтобы знать эти угрозы, нужны максимальные настройки безопасности при использовании интернета. Про эрудицию самого пользователя и файлопомойки известно.

[CityCat4]

nameqaw, При чем тут угрозы? Вы же чего-то опасаетесь, раз хотите изменить настройки безопасности? Вирусов, хищения данных, чипирования через 5G (это был сарказм), слежки? Так вот обычно задача по безопасности начинается с вопроса - от чего я хочу защититься? (а потом второго - сколько средств на это я готов потратить и какие неудобства готов терпеть - потому что безопасность всегда ортогональна удобству)

[nameqaw]

CityCat4, Вирусы и хищение данных. И чтобы логины-пароли никому не стали известны.

[CityCat4]

Для защиты от вирусов - обычно ставят антивирус. Распространено мнение, что он тормозит систему, и это на самом деле так, но если хотите "поставить и не думать" - советую все же поставить, потому что иначе придется "бить себя по рукам" всякий раз когда захотите зайти на сайт с сомнительной репутацией, открыть подозрительное письмо, запустить кряк (есть еще способ для всего этого держать виртуалку)

Для защиты от хищения данных их обычно хранят так, чтобы к ним было добраться как можно сложнее - это создает немалые сложности и в обычной работе, а уж забытый пароль или проеб..ый ключ - это 100% гарантия их утраты :D (лежит у меня такой архив - зашифровал и пароль ... забыл!). То есть тут конечно годится даже Bitlocker, но нужно помнить, что сертификат шифрования не экспортируется и при перестановке системы, все зашифрованное bitlocker превращается в тыкву. Лучше использовать сторонний софт - VeraCrypt, AxCrypt, банальный rar :)

Для защиты от утечек credenitials (логинов-паролей) обычно ставят менеджеры паролей - в виде отдельных программ или аадонов, сами браузеры сейчас уже имеют такие же. Я использую Blur - он одновременно несет кучу полезностей. И разумеется, не тыкать в ссылки в письмах, не ходить по подозрительным сайтам - все как всегда, винда - средство, главная защита находится между стулом и клавой :D