Качественное укрепление системы Windows 7?

Исторически я парень из Linux и использую Windows только тогда, когда мне абсолютно необходимо использовать VM. Тем не менее, я недавно приобрел новую буровую установку, чтобы я мог поддерживать выделенную машину Windows 7 для тяжелой работы (кашель, игры, кашель) и для программного обеспечения, которое просто не будет работать в Linux.

Я более чем немного нервничаю. Я очень опытен в усилении систем Linux, но я - рыба из воды, когда дело доходит до Windows. Я установил Microsoft Security Essentials и у меня включен брандмауэр Windows, но я все еще чувствую, что этого недостаточно (я видел, как несколько вирусов прошли мимо Security Essentials, прежде чем я переключил свою жену с Windows Vista на Linux. Конечно, она помогла им ... она быстро щелкает вещами).

Какие действия должен предпринять параноидальный пользователь, чтобы сделать его установку Windows 7 максимально безопасной, помимо перерезания сетевого кабеля?

Настройте Windows 7 с обычной учетной записью пользователя рядом с учетной записью администратора, как в Linux. Практически невозможно по-настоящему испортить весь компьютер с помощью обычной учетной записи пользователя.

Таким образом, любая подозрительная деятельность потребует пароль администратора в приглашении повышения прав (эквивалент sudo)

Я думаю, что, учитывая, что вы пришли из среды, которая требует от вас понимания того, что происходит, у вас не будет проблем с обеспечением безопасности в Windows. По моему опыту, большинство проблем возникает из-за неопытных или ленивых пользователей, стреляющих себе (и своим системам) в ногу. Windows обеспечивает разумный уровень безопасности, но, конечно, не мешает вам (пользователю) ослабить его. Следующий список является довольно простым здравым смыслом, но IMHO - то, где большинство проблем возникает:

1. Обратите внимание на запросы UAC - даже если у вашего пользователя есть права администратора, Windows все равно будет требовать вашего подтверждения для всего, что требует повышения прав. Обратите внимание на то, что вы разрешаете.
2. Убедитесь, что вы позволяете Windows оставаться в курсе обновлений.
3. Не устанавливайте программное обеспечение, которому вы не доверяете, особенно держитесь подальше от таких шейдеров, как кейгены, взломы игр и т. Д.
4. Понять, как работает брандмауэр - если вы использовали iptables тогда это будет на порядок проще. Использовать Расширенный брандмауэр Windows экран, чтобы проверить и управлять тем, что выставлено.
5. Само собой разумеется, не нажимайте на эту рекламу Виагры!

Это не закаливание само по себе, но вы можете запустить Microsoft Baseline Security Analyzer проверить на возможные проблемы с безопасностью.

1. Помимо Windows Security Essentials и брандмауэра я бы также установил EMET (Расширенный инструментарий по снижению риска от Microsoft) не забудьте прочитать руководство пользователя EMET.
2. Всегда используйте стандартную учетную запись пользователя в качестве учетной записи по умолчанию. Поверните настройки UAC полностью вверх.
3. Если вы много скачиваете из интернета, установите бесплатную версию Malwarebytes и пусть он сканирует иногда ваш компьютер.
4. Скачать хороший диспетчер задач, как Процесс Хакер или же Процесс исследователь потому что встроенный в Windows 7 не так хорош (Встроенная в Windows 8 намного лучше). Но вы можете использовать ресурс Монитор (введите в поиске resmon.exe), что хорошо.
5. Используйте 64-битную версию Windows 7/8
6. Если вы загрузили Java, отключите Java в браузере из Панель управления Java
7. Скачать инструменты с NirSoft или же Sysinternals как TcpView, может помочь вам если вы ловите какую-то вредоносную программу.
8. Включи Предотвращение выполнения данных для всех программ.
9. Я бы использовал Chrome, потому что он безопасен, и я думаю, что это более безопасный, чем другие браузеры (только мое мнение).
10. Измените Advanced Sharing Settings, отключите обнаружение сети.
11. Всегда устанавливайте последние обновления Windows
12. Я бы лично обновился до Windows 8.1, которая более безопасна, чем Windows 7

Вы можете пойти еще дальше, но обычно вам нужно сделать 2,3 и 11. И поскольку вы опытный пользователь, вы будете в безопасности.

Если машина Windows используется в качестве веб-клиента, рекомендуется использовать Firefox с надстройкой NoScript. (И, конечно, Adblock Plus; это само собой разумеется.)

Если вы случайно зашли на сайт с вредоносными скриптами, NoScript спасет вашу задницу.

NoScript может быть навязчивым и требует обучения пользователей. (Если пользователь просто слепо говорит «да» всем сценариям, это бессмысленно.)

Установите Evince для чтения PDF; держись подальше от Adobe. (Есть способ заставить Evince показать встроенный в Firefox: http://www.libertexto.org/libertexto_en.html .)

Не используйте Windows Media Player; установить альтернативу. Windows Media Player позволяет медиафайлам предлагать пользователю загружать файлы. "Вам нужен специальный кодек для воспроизведения этого видео. Нажмите, чтобы установить FOO.EXE."

Научите своих пользователей не загружать и открывать ненадежные вложения, полученные по электронной почте, и никогда не говорить «да» ни одному неожиданному диалоговому окну.

Я хотел бы добавить / обновить несколько пунктов:

Получить хорошее программное обеспечение для обеспечения безопасности (его необходимо на Windows). MSE не достаточно. Вы можете искать в Интернете бесплатно / платные. Я не могу рекомендовать один здесь.

Хоть немного экстремальный Еще одна идея заключается в установке Windows на диске и программного обеспечения на других. Храните документы / данные на диске, отличном от Windows Сконфигурируйте windows / software, а затем «заморозьте» раздел windows, используя что-то вроде faronics deepfreeze

Это определенно защитит вас от всех видов вредоносных программ, предотвратив любые длительные изменения в файлах Windows или настройках. Достаточно просто перезагрузить компьютер, чтобы избавиться от всех вредоносных программ и их влияния на систему. Антивирусное программное обеспечение извлечет вредоносное ПО на диске, отличном от Windows.

Существует несколько способов защитить систему Windows. Первый - это удалить / отключить любые службы, которые вы не используете или не будете использовать. т.е. удаленные службы или телнет. Далее вы хотите отключить / переименовать ваши встроенные учетные записи. Вы хотите иметь и учетную запись администратора, но это не должна быть учетная запись, в которую вы будете входить ежедневно, вы хотите создать учетную запись пользователя для себя, и это должна быть та, которую вы используете. Я знаю, что это усугубляет ситуацию, но если вредоносное ПО будет загружено, оно сможет работать только на том уровне, на котором вы в настоящее время вошли в систему. Поддерживать обновление системы и хорошее AV очень важно. Наконец, если вы выберете STIG из DISA, FISMA или NIST, это даст вам хорошую основу для вашей сборки. Некоторые из этих сайтов находятся в коробке https://web.nvd.nist.gov/view/ncp/repository или же http://iase.disa.mil/stigs/Pages/index.aspx