Czy twój Windows 7 jest bezpieczny?

Czy twój Windows 7 jest bezpieczny?

  • Comments 11
  • Likes

Na tytułowe pytanie odpowiedź zwykle brzmi "w zasadzie tak...". Ale nie ma takiej rzeczy, której nie dałoby się popsuć. Możliwe jest więc, że całkiem niezły system (obojętne czy Windows czy nie) ktoś skonfigurował tak, że bezpieczny już nie jest.

W ramach swoich prac, dostałem ostatnio prośbę o opracowanie krótkiej listy z serii "co sprawdzić". Opracowałem i można uznać, że swoje zadanie spełniła. A skoro mam taką listę – po pierwsze ją opublikuję, a po drugie – chętnie poddam pod dyskusję. W oryginalnej postaci mam 8 punktów do sprawdzenia, ale może być ich więcej a może mniej. Jestem otwarty na sugestie. Jak dopracuję się wspólnie z Wami finalnej formy – dorobię (ewentualnie razem z ochotnikami) do każdego punktu instrukcję "krok po kroku", może z obrazkami, może z krótkimi filmami, może z gotowymi skryptami... Zobaczymy.

Założenie listy jest proste: sprawdzamy czy system jest bezpieczny, przy czym użytkownikiem listy ma być prosty człowiek. Nie używamy debuggera ani innych naprawdę pożytecznych narzędzi, bo to za trudne w domowym użyciu. Nie chciałbym też, żeby lista była zbyt długa, bo to zniechęci zamiast pomóc. I na razie tylko hasłowo, do czasu ustabilizowania listy.

A co sprawdzać kokretnie:

  1. UAC – czy jest włączony?
  2. Bitlocker lub inne szyfrowanie wolumenów – czy jest włączone i czy dyski są chronione?
  3. Czy w grupie lokalnych administratorów są tylko ci, którzy tego potrzebują?
  4. Firewall. Czy jest włączony w każdym z trzech profili widocznych w wf.msc?
  5. Windows Update – czy jest włączony i ustawiony na pracę automatyczną?
  6. Oprogramowanie antywirusowe i antymalware – czy jest i czy aktualne?
  7. Jakie strony są w strefach zaufanych i w intranecie w IE – czy faktycznie tylko intranetowe i zaufane?
  8. Jakie add-ons są zainstalowane w IE? Wszystkie znasz i zainstalowałeś świadomie?

Zastanawiam się, czy nie warto dla części punktów odesłać użytkownika do Action Center? Będzie to prostsze i da całkiem dobre efekty... Słowem – sugestie bardzo mile widziane, również te upraszczające.

W głowie mam jeszcze co najmniej drugie tyle pomysłów dla bieglejszych użytkowników. Ale jak ktoś jest biegły to radzi sobie bez takiej listy i wie, że zabawa nigdy nie ma końca. Wolałbym, żeby to było proste.

Sugestie, uwagi, krytykę itp. poproszę przez komentarze na blogu.

Autor: Grzegorz Tworek [MVP]

Comments
  • 1) SEHOP

    2) bcdedit /set nx AlwaysOn

  • a może coś na temat Baseline security analyser ?

  • Skoro mowa tu o "prostym" użyszkodniku, to chyba trochę za dużo... Do rzeczy jednak.

    1. Jak najbardziej zgadzam się.

    2. W domowych warunkach jest to raczej zbytek, chyba, że ktoś faktycznie czuję taką potrzebę.

    3. Chyba jednak powinna być tam tylko jedna nazwa, reszta to konta ograniczone.

    4. Ów prosty człek patrząc na wf.msc (i w ten sposób wywołane) raczej się zgubi niż zrozumie.

    5. Zgoda.

    6. Absolutnie za a nawet przeciw.

    7. W domowych warunkach raczej o intranecie pewnie mowy nie będzie, więc skupiłbym się raczej na zaufanych.

    8. Tak, choć jest inne wyjście. :)

    A dodałbym:

    9. Aktualizacje nie tylko OS ale także oprogramowania - najlepiej automatycznie jeśli jest taka możliwość.

    10. Hasło do OS - mocne i regularnie zmieniane.

  • @RaFi: nx i sehop - to ma sens, choć równocześnie boję się, że coś przestanie działać. Ale do pomyślenia.

    @Marcin - mbsa jest super, ale ludzie lubią checklisty... można dodać na końcu i sobie wybiorą jak wolą

    @Amandi: dzięki za komentarze. Za punkt 10 się wstydzę ;)

    2. jako opcja, przy czym trzeba uświadomić, że to zabezpieczy przed atakami osób, które "na chwilę" mają dostęp do wyłączonego komputera.

    3. zależy od sytuacji, ale generalnie się zgadzam

    4. może racja...

    8. mów jakie. Inne przeglądarki? Czemu nie. Ale je też trzeba utrzymać w bezpiecznym stanie...

    9. za!

    10. już pisałem...

  • gramy dalej:

    3) Microsoft Security Essentials

    4) BitLocker ToGo (to ma sens nawet większy niż BitLocker na HDD)

    5) Najlepiej Protected Mode dla wszystkich zone w MSIE

    6) MicrosoftUpdate zamiast zwykłego WindowsUpdate

  • z powodu http://vreugdenhilresearch.nl/Pwn2Own-2010-Windows7-InternetExplorer8.pdf zalecana ilość pluginów w MSIE wynosi 0 (zero) :-)

  • Ad bitLocker

    Tu mam pewne wątpliwości - bo... czy mówimy o użytkownikach domowych? Jeśli tak, to ilu z nich kupi wersję ultimate? A przynajmniej będzie trzeba to mocno zaznaczyć :) (wymaganie do tej funkcjonalności)

  • @Zygmunt: Oczywiście to trzeba zaznaczyć. A wersję Ultimate jednak sporo osób ma... :)

  • 1) jeżeli ktoś się boi "DEP AlwaysOn", to przynajmniej trzeba włączyć DEP dla MSIE (http://support.microsoft.com/kb/981374#FixItForMeAlways)

    2) i podobnie dla Office'a (http://support.microsoft.com/kb/971766)

  • Nie, no raczej byłbym za AlwaysOn...

    A tak swoją drogą, włączenie DEP, to niezła niespodzianka dla tych, którzy mają BitLockera z TPM...

  • @Rafi

    (...) 5) Najlepiej Protected Mode dla wszystkich zone w MSIE (...)

    To temat głębszy jest w zasadzie - dla zwykłego użytkownika trzebaby opracować zestaw takich różnych ustawień IE który i jest bezpieczny i funkcjonalny. Protected Mode to dobry start ... coś tam jeszcze by się dalo ustawić dodatkowo.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment