Świeży Windows 10 - jak się zabezpieczyć

Witam, cześć wam.
Przeinstalowałem świeżo windowsa 10 na nowo i z prośbą do was byłbym wdzięczny za porady

  • Czego najbardziej unikać żeby zmniejszać szansę infekcji lub podejrzany działań, chodzi o przeglądanie/przeglądarka i system/pliki.

  • Jak od samego początku jak najbardziej się zabezpieczyć? Również system i przeglądanie/przeglądarka? Jakich programów używać/antywirusów, jakie ustawienia czy też w zabezpieczeniach windows wszystko tam zaznaczyć?

  • Co pierwsze robić jak dojdzie do infekcji?

Zrobić wszystkie aktualizacje i przede wszytkim, założyć hasło na konto administratora, a następnie dodać konto użytkownika bez praw administracyjnych i na nim pracować.

To dotyczy dowolnego systemu i chroni przed wiekszością zagrożeń.

1 polubienie

Jeszcze się przyda jakiś VeraCrypt, bo hasło Windows nie chroni plików wystarczająco dobrze.

Dzięki za wypowiedzi, a w stronę jakiś /coś do skanowania co jakiś czas bądź /antywirusów(Czy windowsowy starczy)?, rozszerzeń(na przeglądarkę?)

zły pomysł. BitLocker wystarczy, to nie 2004. VeraCrypt modyfikuje bootloader, uszkadzając tym samym łańcuch zaufania.

Co do Windows, robi się to samo od 13 lat:

Zainstalować aplikację do tworzenia obrazu systemu, np. Macrium, darmowa wersja wystarczy.
Nie zapomnij utworzyć płytki ratunkowej
Kupić zewnętrzny dysk i tworzyć na nim np. co tydzień oraz przed każdą „wtorkową” aktualizacją obraz systemu.
Trwa to raptem ok. 7 minut. Jak coś pójdzie nie tak to przywrócisz system sprzed awarii wraz z programami w 7-8 minut.
Nie pobierać i instalować aktualizacji opcjonalnych. Nie badz testerem.
W drugi wtorek miesiaca i tak ci sie zainstaluja ale te dwa lub trzy tygodnie do tego czasu Microsoft na kims innym będzie sprawdzał ich prawidłowa działalność.
Po zainstalowaniu aktualizacji zawsze wykonuj sprawdzenie systemu poprzez skanowanie SFC.
Aktualizacje tez potrafia robic błędy.
Jeśli pozostaniesz przy Microsoft Defender to włącz Kontrolowany dostęp do folderu i dodaj dodatkowo wszystkie foldery na których przechowujesz swoje dane.
Normalnie ochrona dotyczy tylko folderów systemu Windows.
Zmnień lokalizację folderów systemowych typu Pobrane, Dokumenty, Obrazy itp z partycji systemowej na inną ( chyba ze nie bedziesz tam nic zapisywał)
I to ci w zupełnosci wystarczy.
A jak dojdzie do infekcji z którą AV sobie nie za bardzo poradzi (zdarza się) to w pare minut zastapisz aktualny obraz wczesniej zapisanym i nie będziesz musiał kombinować i tracić czas przy „zabawie” ze skanerami, FRST i co tam jeszcze wymyslono.

1 polubienie

Podnieś UAC na samą górę :slight_smile:

Jeśli chodzi o zabezpieczanie środowiska i prywatnych danych to ja polecam inną filozofię. Po pierwsze odseparować Windows od własnych danych, czyli założyć osobną partycję i na niej zapisywać, ignorując więc istnienie Moich Dokumentów. Jeśli nie wierzysz BitLockerowi (poza przechowywaniem kluczy w chmurze jeśli jesteś nieuważny to nie ma powodów, szczególnie jeśli rozważamy wyłącznie scenariusz np. kradzieży laptopa), i przy założeniu że uznajesz za nieistotne dla np. złodzieja meta dane i pliki tymczasowe w systemie, to polecam TrueCrypt v7.1a lub VeraCrypt i zaszyfrowanie tej partycji. Po drugie: stworzyć obraz wszystkich partycji Windowsa (to co montuje jako C i pozostałe ukryte i rzecz jasna bez tej zaszyfrowanej; polecam Clonezillę), dzięki czemu nie musisz robić regularnych kopii systemu, a tylko raz lub raz na jakiś czas.

Jeśli o utwardzanie to podstawy:

  • konto użytkownika zamiast administratora
  • UAC na max
  • DEP dla tylko wybranych programów (biała lista)
  • ogniomurek aktywny (domyślnie jest od czasów XP SP2)
  • włączenie Windowsowego AV (inne AV oferują np. piaskownice itp. ficzery ale bywają także targetowane (Avast :*), moim zdaniem wystarczy ten wbudowany w 10/11)
  • dodatki do przeglądarek blokujące: javascript z poza domeny (np. NoScript, uMatrix) plus reklamy (np. uBlock Origin). Przy założeniu, że ufasz twórcom owych dodatków, i nie zapomnij o ich konfiguracji. Czasami twórca dodatku sprzedaje go i nowy właściciel dodaje spyware, więc rozważ wyłączenie ich automatycznych aktualizacji.
  • unikanie przeglądarek-forków made by Czesiek z bramy obok, o których nic nie wiadomo
  • upośledzenie IE o ile jeszcze jest w systemie i o ile respektuje swoje ustawienia (do zmiany w control)
  • nieinstalowanie WSL/WSL2
  • wyłączenie autostartu dla nośników wymiennych
  • nie używam MSO, ale chyba da się wyłączyć tam VBS
  • wyłączenie obsługi Pythona w LibreOffice
  • wyłączenie obsługi skryptów w przeglądarce PDF
  • kosmetyka, ale wyłączenie ukrywania rozszerzeń tak aby uniknąć sytuacji kiedy „faktura.pdf.exe” ma ikonę popularnej przeglądarki PDF, a exe jest ukryty, więc ofiara dwuklika (choć są podobne sposoby oparte na kodowaniu znaków dla języków arabskich)

To tak na szybko z głowy.


A jak dojdzie do infekcji z którą AV sobie nie za bardzo poradzi (zdarza się) to w pare minut zastapisz aktualny obraz wczesniej zapisanym i nie będziesz musiał kombinować i tracić czas przy „zabawie” ze skanerami, FRST i co tam jeszcze wymyslono.

No chyba, że zainfekuje UEFI, przebierze się za USB HID, wgra do fw np. pendrive lub do przestrzeni systemu plików (ale AUTORUN.INF to chyba są już od dawna ignorowane). Aczkolwiek szanse na to są bliskie zeru.

Co pierwsze robić jak dojdzie do infekcji?

Tryb paranoiczny: odcięcie od WAN i LAN; identyfikacja zła; format nośników (systemami z rodziny innej niż zainfekowany czyli np. z poziomu Linuksa i po wszystkim nadpisanie tablicy partycji tegoż nośnika zanim wyłączysz komputer), które miały kontakt z systemem w oszacowanym okresie rozpoczęcia infekcji; nadpisanie fw wszystkich urządzeń w tym routera i reset do ustawień fabrycznych.

:slight_smile:

Ja sugeruję nie tyle ignorowanie lokalnych Dokumentów, co trzymanie danych na drugim dysku i podpięcie go do biblioteki „Dokumenty”. Podobnie Obrazy i Muzykę

Skoro bliske zeru to po co o tym pisać? Oprócz tego wiodące AV sa wyposazone w uefi skaner, nawet defender.
No i kto zabrania włączyć bezpieczny rozruch.

Skoro bliske zeru to po co o tym pisać? Oprócz tego wiodące AV sa wyposazone w uefi skaner, nawet defender.

Po to aby być świadomym. Takie ataki są profilowane, stąd bliskie zeru, ale nie niemożliwe.

No i kto zabrania włączyć bezpieczny rozruch.

Zabezpieczenie SecureBoot polegnie na UEFI do których klucze wypłynęły. Bardzo lubisz guglować to gugluj dlaczego: golden keys. :slight_smile:

Jak cos wykryją to będziesz sie martwił. Co sie wtedy robi?
Dowiedz się i proszę juz dalej nie nuuuudzić.
Idź sobie na blog i tam wymyslaj „co by było gdyby”

Nie mam żadnego „wiodącego AV” więc nie wiem co dokładnie robi „uefi skaner”, ale nawet jeśli ma dostęp do UEFI to nie może przeprowadzać na nim heurystyki, z czego wniosek że skanowanie odbywa się wyłącznie posygnaturowo. Co w dobie pakerów jest mało użyteczne…

:man_facepalming:
Moze najpierw dowiedz sie u źródeł o co chodzi. Co ci zależy.
Dla ułatwienia dodam ze to fragment HIPS.
I przestań nudzić.

Ja polecam zainstalować DoNotSpy11, a w nim wyłączyć cały bloatware.
Na dodatek usunąć Edge za pomocą wiersza poleceń, niektóre wirusy mają tendencję do podszywania się pod niego

Ale jakich źródeł? Ze źródeł programów komercyjnych, które nie są otwarte czy może dla Ciebie źródłem jest marketingowa papka na stronie lub w helpie?

Po za tym ja doskonale sobie zdaję sprawę jakie są techniczne możliwości wyższych warstw niż UEFI, stąd mój osąd. Parafrazując: nie wiesz z kim tańczysz. :wink:

Trik erystyczny polegający na zaciemnianiu tekstu/wypowiedzi wplatający jak największą ilość skrótów, akronimów etc. A najzabawniejsze, że za powyższym stoi - jak już pisałem - sam marketing, który musi jakoś wytłumaczyć ludziom nietechnicznym pewne zawiłości.

Ale ucz mnie dalej mistrzu. :slight_smile:

Dziękuje wszystkim za wypowiedzi
Czyli z prostszych i szybszych akcji póki co to zrozumiałem, bo też może trochę nie wszystko rozumiem bo może ciut więcej się orientuje co zielonych(groszek)

  • Pilnować o aktualizacje i nie pomijać i tak dalej
  • UAC ustawiony na samą górę
  • Nie korzystać z konta administratora ale mimo to ustawić tam pamiętne hasło
  • W Zabezpieczeniach windows wszystko na ptaszek zaznaczone: ochrona przed wirusami i zagrożeniami, ochrona konta, zapora i ochrona sieci, kontrola aplikacji i przeglądarki, zabezpieczenia urządzenia
  • Pomijać foldery w systemowym jak zapisy w nim jak pobrane,dokumenty i tak dalej( Czyli mam rozumieć że po prostu zapisywać dane na innym dysku niż systemowych a tym bardziej w tych folderach?
  • Punkty przywracania systemu na zapas(Co dokładnie daje punkt przywracania? Jakby systemowi coś się stało to przywróci ale kwestii wirusowe zostaną takie same?)
    Tak?

Z Nie wiem to:

  • Czy ustawić w zabezpieczeniach? "Możesz nadal korzystać z bieżącego dostawcy i używać programu antywirusowego microsoft defender do okresowego monitora zagrożeń. włączone/wyłączone? I gdzie zapisuje tak pozatym historie plików podanne kwarantannie?
  • Pomijać przeglądarke edge tak? Korzystanie z chrome ewentualnie mozilla jest ok?
  • Adblock to lepiej zwykły czy adblock plus? Bo takie wyskakują i czy coś jeszcze można dołożyć? Bo z tymi reklamami mimo że większość zamyka pomija to i tak czasami coś wyskoczy albo się otworzy że przeglądarke można dodatkowo jeszcze zabezpieczyć jakoś.
  • A z programów dodatkowych to takowo nigdy nie instalowałem dla dodatkowych zabezpieczeń i też z drugiej strony nie wiem czy chciałbym instalować nie wiadomo ile tych programów bo każdy poleca co innego, oczywiście nie piszę że to złe i że nie powinienem tego nie robić i też mogą powstać komplikacje instalowaniu kilku programów i ustawień(Pewnie się mylę) nie licząć AV
  • Czy dodatkowe skanowanie adwcleanerem i Malwarebytes częśto nie zaszkodzi póki jest defender?
  • Czy programy bez asysty z dobreprogramy są weryfikowane pod kątem virusów i można smiało pobierać?

Adblock to lepiej zwykły czy adblock plus? Bo takie wyskakują i czy coś jeszcze można dołożyć?

Wybierz UBlock Origin zamiast adblock plusa

Edge’owi nic nie dolega. „Problemem” jest auto-logon do MSA, podobnie jak w Chrome auto-logon do Google. Dlatego lepiej mieć dwie przeglądarki: jedną na życie w botnecie, logującą się do google’a, GOV-a (same thing) i innych oficjalnych portali. I drugą, na syf, do codziennego przeglądania bez logowań itp.

Antywirusy i tak są ślepe na nowe zagrożenia, who cares.

Im więcej programów do zabezpieczania, tym więcej zewnętrznego oprogramowania musi pracować z dodatkowymi uprawnieniami pomijającymi systemowe granice - tym gorzej. Odkurzacze, , skanery, oczyszczacze itp mają podważalny sens. Antywirusy często także. Defender wystarczy. Jest równie nieskuteczny, co reszta :smiley:

Programy bez asystenta nie są pobierane z DP (DPCDN) tylko, coraz częściej, bezpośrednio od dostawcy. W ten sposób na przykład nie ma „Google Chrome” z DP, jest Google Chrome od Google.

Czyli z programów interesować się typu:

*Bitlocker,veracrypt,donotspy?

*Robiąć hasło na administratora i robiąć konto dla swojego użytkowania zwykłe bez uprawnień administratora To dobrze tak?. Czemu nadal mogę zmienić z poziomu drugiego konta bez uprawnien hasło dla administratora? Tak musi być po prostu? I czy jakby był komunikat jakiś bo kiedyś miałem ale nie pamiętam że użytkowałem zwykłym bez uprawnien kontem że administrator zrobił coś tam , to znaczy że jakiś szpieg czy windows sam w sobie też coś może?

  • To jak miałbym zamiar pobierać programy z dobre programy to lepiej z asystentem czy nie? I mam oczywiście rozumieć że czytać i pobierać z rozwagą mimo to?

  • Windows 10 bardziej w home czy w pro powinien być? i czym w skrócie się różnią?

  • Tutaj wszystko ok tak?