Безопасность Windows Как защитить свои домашние компьютеры и компьютеры малого бизнеса

Безопасность Windows Как обезопасить домашние компьютеры и компьютеры малого бизнеса

Когда речь идет о цифровой безопасности дома и в вашем малом бизнесе, вам приходится справляться самостоятельно. Большим компаниям обычно назначают IT-сотрудников, которые отвечают за обеспечение безопасности корпоративной сети и предотвращение кражи данных или установку рэнсомваров со стороны третьих лиц. А вот вам приходится делать это… сами.

Особенность

Лучшие практики кибербезопасности для защиты ваших цифровых активов

Сите ли, ваши личные и деловые данные находятся под угрозой 24/7, и защита этих цифровых активов при совершении покупок, проведении банковских операций и онлайн-развлечений остается на первом месте. Вот хорошие новости: сейчас доступно больше инструментов и стратегий, которые фокусируются на безопасности. Наши самые актуальные руководства по кибербезопасности предоставляют практические советы о сохранении безопасности и эффективности сегодняшний день в изменяющейся среде угроз.

Худшее время, чтобы начать задумываться о безопасности ПК в вашей сети, – это после того, как вы столкнулись с катастрофическим инцидентом. Лучшее время – прямо сейчас. Поэтому мы составили этот руководство.

Следуя изложенным здесь шагам, вы сможете понять, какие проблемы безопасности являются наиболее важными и, исходя из этого, установить базовый уровень безопасности. К сожалению, это не задача, которую можно настроить и забыть. Онлайн-злоумышленники настойчивы, а угрозы постоянно развиваются. Поддержание эффективной безопасности требует постоянного внимания и усилий.

• Лучшие крепления для ТВ на стену (и как выбрать правильный размер)
• NLCS игра 7 Как смотреть сегодня Phillies против Diamondbacks без к...
• Обзор Xiaomi Watch 2 Pro убийца Pixel Watch 2? | ENBLE

Кажется ли вам, что это сложно? Поддержка эффективной безопасности не должна занимать слишком много времени. Проводите несколько минут каждую неделю для проверки статуса безопасности Windows и убедитесь, что не появились никакие красные или желтые индикаторы, а также делайте более всеобъемлющую проверку каждый месяц после обновления в день патчей.

В этом руководстве я рассмотрю не только само устройство Windows, так как угрозы могут исходить извне. Чтобы оставаться в безопасности, вам необходимо обращать особое внимание на сетевой трафик, электронные почтовые аккаунты, механизмы аутентификации и малоподготовленных пользователей.

Эта статья в основном ориентирована на владельцев ПК, управляющих компьютерами Windows в домашней или малом бизнес-среде, без полноценных IT-сотрудников. При подключении к корпоративной сети вам потребуется согласовать свою персональную конфигурацию безопасности с корпоративными политиками. В некоторых случаях политики управления устройствами могут предотвратить внесение изменений в некоторые настройки.

Также: Как защитить свою учетную запись Microsoft от атак

В данном руководстве также предоставлены рекомендации, помогающие понять различия между Windows 10 и Windows 11, а также различные версии, доступные для обеих операционных систем (Home, Pro, Enterprise, Education). Мы знаем, что по-прежнему существует множество ПК, работающих под управлением Windows 10 и не соответствующих требованиям системы для обновления до Windows 11.

Прежде чем вносить изменения в настройки Windows, посвятите некоторое время для оценки уровня угроз. В частности, будьте в курсе ваших юридических и регуляторных обязательств в случае нарушения безопасности данных или другого события, связанного с безопасностью. Даже малому бизнесу могут быть предъявлены требования в области соответствия правилам; если это относится к вам, рассмотрите возможность нанять специалиста, который знает вашу отрасль и может гарантировать соблюдение всех применимых требований.

Где я могу получить обзор безопасности Windows?

В Windows 10 Microsoft представила приложение Windows Security, которое объединяет настройки безопасности и информацию о статусе в одном месте. Версия Windows 11 этого приложения имеет то же основное оформление, но добавляет некоторые функции, специфичные для нового оборудования. Независимо от используемой операционной системы, это приложение должно являться постоянной частью вашего мониторинга безопасности.

Также: Лучший ноутбук на Windows, который вы можете купить

С этой отправной точки вы можете проверить (и настроить) настройки антивирусного и антишпионского программного обеспечения, безопасности устройства, брандмауэра и защиты сети и других важных параметров безопасности. Зеленые галочки указывают, что нет проблем, требующих немедленного внимания. Желтые и красные значки указывают на проблемы безопасности, с которыми необходимо разобраться.

Когда вы посещаете приложение подобное этому, естественное искушение – кликнуть в каждую категорию и включить каждую видимую опцию. Сопротивляйтесь этому искушению, особенно в разделе Управление приложениями и браузером > Защита от эксплойтов. Изменения, внесенные здесь, могут иметь непредвиденные последствия в повседневной деятельности, особенно с устаревшими приложениями. По умолчанию настройки должны быть достаточными для большинства систем. Если вы все же решите внести изменения, делайте это постепенно и не вносите дополнительные изменения, пока не будете уверены, что предыдущие настройки работают ожидаемым образом.

Как лучше всего обновлять Windows?

Самая важная настройка безопасности для любого ПК под управлением Windows – обеспечить регулярное и предсказуемое обновление системы. Это верно для каждого современного устройства, конечно, но “Windows как сервис” – модель, которую Microsoft ввела с Windows 10, меняет способ управления обновлениями.

Однако перед началом установки обновлений важно понять различные типы обновлений Windows и их работу.

• Обновления качества регулярно выпускаются через Windows Update по второму вторнику каждого месяца. Они решают проблемы безопасности и надежности и не включают новые функции. (Эти обновления также включают исправления уязвимостей микрокода процессоров Intel.) В случае особо серьезных проблем безопасности Microsoft может решить выпустить дополнительное обновление, не связанное с обычным ежемесячным графиком.

Все обновления качества являются кумулятивными, поэтому вам уже не нужно загружать десятки или даже сотни обновлений после чистой установки Windows. Вместо этого вы можете установить последнее кумулятивное обновление и быть полностью обновленным.

• Обновления функций это эквивалент тому, что ранее называлось обновлениями версий. Они включают новые функции и требуют загрузки мультигигабайтного файла и полной установки. Windows 10, быстро приближающийся к дедлайну окончания поддержки, больше не получает обновлений функций. Для Windows 11 текущая политика Microsoft заключается в выпуске одного функционального обновления ежегодно, во второй половине года. Обновления функций поставляются через Windows Update и не устанавливаются автоматически, пока текущая версия не достигнет конца срока службы поддержки.

Также: Лучшие компьютеры всё в одном, которые вы можете купить

По умолчанию современные устройства на Windows загружают и устанавливают обновления качества сразу, как только они становятся доступными на серверах обновлений Microsoft. Если администратор не запрещает это действие, отдельные пользователи могут приостановить все обновления до пяти недель, по одной неделе.

Как и при всех решениях о безопасности, выбор времени установки обновлений включает в себя компромисс. Установка обновлений сразу после их выпуска предлагает наилучшую защиту; откладывание обновлений позволяет минимизировать неопланированный простой, связанный с этими обновлениями.

На устройствах с Windows Pro, Enterprise и Education администраторы могут отложить установку обновлений качества на 30 дней после их выпуска. Также вы можете задержать обновления функций на этих версиях на 365 дней. На устройствах под управлением Windows Home нет поддерживаемого способа указать точное время установки этих обновлений.

Откладывание обновлений качества на 7-15 дней является незначительным способом избежать возможности установки ошибочного обновления, которое может вызвать проблемы стабильности или совместимости. Вы можете настроить параметры обновления Windows для бизнеса на отдельных ПК с помощью редактора локальной групповой политики (Gpedit.msc); нужные настройки доступны в разделе Локальная политика компьютера > Административные шаблоны > Компоненты Windows > Windows Update.

Также: 3 важных инструмента Windows для устранения неполадок (и как их использовать)

В крупных организациях администраторы могут применять настройки обновления Windows с помощью групповой политики или программного обеспечения управления мобильными устройствами (MDM). Вы также можете администрировать обновления централизованно, используя инструмент управления, такой как Configuration Manager System Center или службы обновления Windows Server.

Наконец, ваша стратегия обновления программного обеспечения не должна заканчиваться на самой Windows. Убедитесь, что обновления для приложений Windows, включая Microsoft Office и приложения Adobe, устанавливаются автоматически.

Как настроить учетные записи пользователей для максимальной безопасности?

Microsoft вызвала контроверзу, когда они решили требовать учетную запись Microsoft при настройке ПК с операционной системой Windows 11 Home. Я также заметил некоторую онлайн-напряженность из-за последующего изменения политики, которое распространяет это требование на Windows 11 Pro для личного использования. Конечно, есть обходные пути, которые позволяют обойти это ограничение; для получения полной информации см. “Настройка Windows 11: Какой тип учетной записи пользователя следует выбрать?”

Если у вас уже есть персональная учетная запись Microsoft, связанная с такими службами, как Microsoft 365 Home или Family или учетная запись Xbox Live, вход с помощью учетной записи Microsoft облегчает доступ к ваши приложениям Office и хранилищу OneDrive и онлайн-играм.

Даже если у вас нет служб Microsoft, за этим решением скрывается серьезное преимущество безопасности. Вход с помощью учетной записи Microsoft в Windows 10 или Windows 11 автоматически шифрует содержимое системного диска, а ключ восстановления резервируется в безопасном месте, доступном при входе в эту учетную запись Microsoft. Это минимизирует риск того, что забытый пароль может привести к катастрофической потере данных.

Также: Помимо паролей: 4 важных шага по безопасности, которые вы, вероятно, забываете

Если вы не используете службы Microsoft, не стесняйтесь создать новую учетную запись Microsoft на ходу в процессе установки и использовать эту новую учетную запись исключительно для входа в Windows. Вы получаете преимущества полного шифрования системного диска, многофакторной аутентификации и (если решите использовать его) 5 ГБ хранилища OneDrive без дополнительной платы. Просто подумайте о нем как о локальной учетной записи с именем пользователя, в конце которого есть @outlook.com.

Если вы все же решили использовать локальную учетную запись, вы можете сначала настроить Windows, используя временную учетную запись Microsoft, а затем переключиться на локальную учетную запись. Просто имейте в виду, что в этом случае вам также придется найти другой вариант шифрования, и у вас не будет механизма восстановления, если вы забудете свои данные для входа.

После всего этого, выполните следующие действия:

• Настройте многофакторную аутентификацию для вашей учетной записи Microsoft. (Полные инструкции можно найти здесь: “Как защитить свою учетную запись Microsoft и обезопасить ее от внешних атакующих.”)
• Создайте стандартные учетные записи для других пользователей (и даже для себя). Ваша основная учетная запись по умолчанию имеет привилегии администратора. Если другие люди (сотрудники или члены семьи) используют тот же ПК, дайте им стандартные учетные записи, которые не могут изменять настройки системы или устанавливать непроверенное программное обеспечение без вашего разрешения. Вы также можете создать себе стандартную учетную запись для повседневного использования, но это бесполезная мера предосторожности, которая просто заставит вас вводить пароль вместо нажатия “ОК” в диалоговом окне User Account Control.
• Установите менеджер паролей и убедитесь, что все ваши онлайн-учетные записи имеют надежные учетные данные для входа.
• Настройте многофакторную аутентификацию для онлайн-учетных записей везде, где это возможно. (См. “Многофакторная аутентификация: Как включить 2FA, чтобы повысить безопасность”)

Для ПК дома настройте доступ детей с помощью стандартных учетных записей и рассмотрите возможность настройки функций безопасности семьи в Windows 10 и Windows 11. Вы можете использовать эти опции, чтобы установить разрешенные времена для пребывания в интернете и помочь им не заходить в нежелательные уголки Интернета. Вы найдете все необходимые ссылки в приложении Windows Security.

Как обеспечить безопасность аппаратного обеспечения Windows 11?

1. Проверьте состояние TPM.
2. Убедитесь, что включен Secure Boot.
3. Включите Windows Hello с использованием биометрической аутентификации, если она доступна.

Правила совместимости оборудования Microsoft для Windows 11 повысили уровень безопасности для ПК, хотя не без споров. Ранее, главным принципом каждой новой версии Windows была максимальная обратная совместимость, и даже 10-летние ПК могли установить новую операционную систему.

Все это изменилось с Windows 11. Впервые официальные технические характеристики включали (а) существенное увеличение по сравнению с предыдущей версией и (б) применялись не только к новому оборудованию от производителей ПК, но и к обновителям.

Также: Заботитесь о конфиденциальности? Храните Tails на USB-накопителе и обезопасьте большинство компьютеров

Самое главное изменение заключается в требовании к наличию модуля доверенной платформы (TPM) версии 2.0, а также в требовании включить защитный запуск (функция, использующая криптографические подписи для обеспечения того, что устройство загружается с операционной системой, которая не была изменена). Если вы готовы сделать несколько изменений в реестре, то вы можете бесплатно обновиться с Windows 10 на Windows 11 на ПК со старой версией TPM и не поддерживаемым процессором. Подробности можно найти в документе поддержки Microsoft: “Способы установки Windows 11.”

На странице “Безопасность устройства” в приложении Windows Security вы можете проверить оба этих параметра. Если вы видите записи о Компоненте безопасности и Защищенном загрузчике, то все в порядке. Если одна или обе записи отсутствуют, вам нужно будет зайти в настройки прошивки устройства, чтобы включить соответствующую опцию. Хотя есть расширенные конфигурации, в которых вам может потребоваться отключить защитный запуск для целей устранения неполадок, лучше оставить эту настройку без изменений.

Наконец, настройте PIN-код Windows Hello и включите биометрическую аутентификацию, если у вашего устройства есть считыватель отпечатков пальцев или инфракрасная камера, поддерживающая распознавание лица.

Как лучше защищать файлы данных?

1. Включите шифрование BitLocker для всех накопителей данных.
2. Сделайте резервную копию своих ключей шифрования.
3. Сделайте резервную копию файлов данных в облаке.
4. Сделайте резервную копию важных файлов данных на локальном носителе.

Замена украденного ноутбука неприятна и дорогостояща. Работа с потерянными или украденными данными превращается в кошмар. Физическая безопасность представляет свои собственные сложности, но когда дело доходит до обеспечения безопасности ваших данных, у вас есть две основные цели:

• Шифруйте ваши файлы данных. Если ваш компьютер или накопитель данных украдены, злоумышленник не сможет получить доступ к защищенным надежным шифрованием файлам без сильного пароля.
• Создавайте резервные копии ваших файлов данных. Благодаря хорошему плану резервного копирования вы сможете восстановить потерянные или поврежденные файлы (даже если причиной является отказ оборудования) и продолжить работу с минимальной простоем.

Эти меры особенно важны для файлов, содержащих чувствительную личную или финансовую информацию о клиентах или клиентах. Если вы работаете в регулируемой отрасли или подпадаете под законы о нарушении конфиденциальности данных, последствия могут быть еще хуже.

Наиболее важное изменение конфигурации, которое вы можете сделать, это включить шифрование устройства с помощью BitLocker на системном диске и всех дополнительных дисках, включая USB-накопители. (BitLocker – это торговая марка, которую Microsoft использует для инструментов шифрования, доступных в бизнес-версиях Windows. Возможности BitLocker в Windows 10 и Windows 11 идентичны.)

Также: Как зашифровать свою электронную почту (и почему это важно)

С включенным BitLocker каждый бит данных на устройстве шифруется с использованием стандарта XTS-AES. BitLocker использует модуль доверенной платформы (TPM) для хранения ключей шифрования.

Шаги по включению функций шифрования различаются в зависимости от установленной версии Windows:

• Windows 10/11 Домашняя: Эта версия поддерживает надежное шифрование устройства, но только при входе с учетной записью Microsoft. Она не позволяет управлять устройством BitLocker.
• Windows 10/11 Pro, Enterprise или Education: Эти бизнес-версии предоставляют полный доступ к инструментам управления BitLocker. Для полных возможностей управления вам потребуется настроить BitLocker с использованием учетной записи Active Directory в домене Windows или учетной записи Entra ID (ранее известной как Azure Active Directory). На независимом устройстве с бизнес-версией Windows вы можете настроить BitLocker с использованием локальной учетной записи или учетной записи Microsoft, но вам потребуется использовать инструменты управления BitLocker для включения шифрования доступных дисков.

Очень важно создать резервную копию ключа восстановления для зашифрованного диска BitLocker. В случае, если вам придется переустановить Windows или возникнут проблемы с учетной записью, вам понадобится эта 48-значная цифра для доступа к данным.

Если вы входите в систему с помощью учетной записи Microsoft, ключ восстановления BitLocker сохраняется по умолчанию в OneDrive. Вы можете получить к нему доступ, войдя по адресу onedrive.com/recoverykey. Я рекомендую напечатать копию этого ключа и сохранить его в надежном месте на случай, если что-то пойдет не так.

На управляемом компьютере с использованием доменной учетной записи или учетной записи Entra ID ключ восстановления сохраняется в месте, доступном администратору домена или учетной записи Entra ID. На персональном устройстве вы можете использовать приложение Manage BitLocker для сохранения или печати копии этого ключа восстановления.

Также: Не делайте эту ошибку с USB, защитите ваши данные с помощью этого зашифрованного гаджета

Не забудьте зашифровать портативные устройства хранения. USB-флешки, MicroSD-карты, используемые в качестве дополнительного хранилища, и портативные жесткие диски легко потерять, но данные можно защитить от посторонних глаз с помощью BitLocker To Go, который использует пароль для расшифровки содержимого диска. Для получения дополнительной информации см. “Защита доступных съемных носителей с помощью шифрования BitLocker.”)

Наконец, убедитесь, что критические файлы данных резервируются в облаке и на локальном устройстве хранения (на зашифрованном диске, конечно). Эта предосторожность может оказаться бесценной в случае сбоя диска, а также отлично защищает от атак вирусов-вымогателей.

Если вам не нравится идея размещать конфиденциальные файлы в облаке, зашифруйте их с помощью стороннего программного обеспечения, такого как Boxcryptor. OneDrive предлагает функцию Личного хранилища, которая требует дополнительной проверки для доступа к файлам, сохраненным там; Dropbox имеет аналогичную функцию под названием Dropbox Vault.

Как защитить свой компьютер с Windows 11 от вредоносного программного обеспечения?

1. Настройте антивирусное программное обеспечение.
2. Настройте анти-софт спам-защиты.
3. Управляйте тем, какие приложения разрешено запускать стандартным учетным записям пользователей.

Антивирусное программное обеспечение является одним из элементов в защитной стратегии, предназначенной для предотвращения попадания угроз на компьютер. Оно больше не является самым важным элементом, но все равно важно иметь обновленное антивирусное программное обеспечение.

В каждой установке Windows 10 и Windows 11 включено встроенное антивирусное программное обеспечение, называемое Microsoft Defender Antivirus, которое обновляется с помощью того же механизма, что и Windows Update. Microsoft Defender Antivirus создан таким образом, чтобы работать в автоматическом режиме без необходимости вручную настраивать его. Если вы устанавливаете сторонний пакет безопасности, Windows отключает встроенную защиту и позволяет этому программному обеспечению обнаруживать и удалять потенциальные угрозы.

Также: 9 основных угроз безопасности мобильных устройств и как ими избежать

Чтобы проверить состояние Microsoft Defender Antivirus, используйте страницу “Вирусы и угрозы” в приложении Windows Security. (Настройки защиты от вирусов-вымогателей находятся в разделе “Управление доступом к контролируемым папкам.”)

Большие организации, которые используют выпуск Windows Enterprise, могут развернуть Microsoft Defender для конечных точек, платформу безопасности, которая отслеживает компьютеры Windows 11 и другие управляемые устройства с помощью датчиков поведения. С использованием анализа в облаке эти инструменты могут выявлять подозрительное поведение и оповещать администраторов о возможных угрозах.

Для малых предприятий наиболее важной задачей является предотвращение попадания вредоносного кода на компьютер. Технология SmartScreen от Microsoft является еще одной встроенной функцией, которая сканирует загрузки и блокирует выполнение тех, которые известно, что являются вредоносными. Технология SmartScreen также блокирует нераспознанные программы, но позволяет пользователю изменять эти настройки при необходимости.

Также: произошел значительный рост фишинговых атак. Эта работает

Важно отметить, что SmartScreen в Windows работает независимо от технологий, связанных с браузером, таких как служба Safe Browsing от Google и служба фильтра SmartScreen в Microsoft Edge.

На неуправляемых компьютерах SmartScreen – это еще одна функция, которая не требует ручной настройки. Вы можете настроить его конфигурацию с помощью настроек App & Browser Control в приложении Windows Security.

Еще один важный вектор управления потенциально вредоносным кодом – это электронная почта, где невинные внешне приложения и ссылки на вредоносные веб-сайты могут вызвать инфицирование. Хотя программное обеспечение электронного клиента может предложить некоторую защиту в этом отношении, блокирование этих угроз на уровне сервера является наиболее эффективным способом предотвратить атаки на компьютеры.

Эффективный подход для предотвращения запуска нежелательных программ (в том числе вредоносного кода) пользователями со стандартными учетными записями – настроить компьютер с Windows таким образом, чтобы он не мог запускать приложения, кроме тех, которые вы специально разрешаете. Чтобы настроить эти параметры на одном компьютере, перейдите к Настройки > Приложения > Приложения и функции; под заголовком Выберите место получения приложений выберите Только из магазина Microsoft. Эта настройка позволяет запускать ранее установленные приложения, но запрещает установку любых загруженных программ извне магазина. (Обратите внимание, что множество традиционных настольных программ, включая такие популярные программы, как VLC Media Player и iTunes, теперь доступны в магазине Microsoft.)

Какой лучший способ предотвратить атаки через сеть?

1. Используйте аппаратный брандмауэр.
2. Оставьте включенным брандмауэр Windows.
3. Защитите свою учетную запись Wi-Fi.

Шлюз для вашего кабельного, оптоволоконного, DSL или другого ENBLE интернет-соединения должен включать функцию брандмауэра, которая не позволяет внешним лицам подключаться к компьютерам в вашей внутренней сети. Проверьте интерфейс управления этого устройства (доступ обычно осуществляется через веб-портал, подключающийся по частному IP-адресу, такому как 192.168.1.1 или 10.0.0.1). Убедитесь, что эти функции безопасности включены, и рассмотрите возможность изменить учетные данные администратора (admin/password обычно используется) на что-то более надежное.

В каждой версии Windows, выпущенной за последние два десятилетия, есть брандмауэр с состоянием проверки. В Windows 10 и Windows 11 этот брандмауэр включен по умолчанию и не требует специальных настроек для эффективной работы. Брандмауэр Windows поддерживает три разных конфигурации сети: Домен, Частная и Общественная. Приложения, которым требуется доступ к ресурсам сети, в основном настраиваются при начальной установке.

Для настройки основных параметров брандмауэра Windows используйте вкладку Брандмауэр и защита сети в приложении Windows Security. Для более полного набора инструментов настройки, предназначенных только для экспертов, нажмите на Расширенные настройки, чтобы открыть консоль устаревшего Брандмауэра Windows Defender с расширенными функциями безопасности. В управляемых сетях эти параметры можно контролировать с помощью комбинации политики группы и настроек на стороне сервера.

Также: Лучшие VPN для путешествий, протестированные и обзоры

С точки зрения безопасности, наиболее значительные угрозы, связанные с сетью, для компьютера с Windows возникают при подключении к беспроводным сетям. Большие организации могут существенно повысить безопасность беспроводных соединений, добавив поддержку стандарта 802.1x, который использует средства доступа вместо общих паролей, как в беспроводных сетях WPA2. Windows 10 и Windows 11 попросят ввести имя пользователя и пароль при попытке подключения к этому типу сети и отклонят неавторизованные подключения. На сетях, использующих общий пароль, убедитесь, что посетители подключаются к отдельной гостевой сети.

В тех случаях, когда вам необходимо подключиться, используя непроверенную беспроводную сеть, лучшей альтернативой является настройка виртуальной частной сети (VPN). Windows 10 и Windows 11 поддерживают самые популярные программы VPN, используемые в корпоративных сетях; чтобы настроить этот тип соединения, перейдите к Настройки > Сеть и интернет > VPN. Малые предприятия и отдельные лица могут выбрать из различных VPN-сервисов сторонних производителей, совместимых с Windows.

---

• Operating Systems
• Services & Software
• tech
• Windows