Czy twój Windows 7 jest bezpieczny?


Na tytulowe pytanie odpowiedz zwykle brzmi “w zasadzie tak…”. Ale nie ma takiej rzeczy, której nie daloby sie popsuc. Mozliwe jest wiec, ze calkiem niezly system (obojetne czy Windows czy nie) ktos skonfigurowal tak, ze bezpieczny juz nie jest.

W ramach swoich prac, dostalem ostatnio prosbe o opracowanie krótkiej listy z serii “co sprawdzic”. Opracowalem i mozna uznac, ze swoje zadanie spelnila. A skoro mam taka liste – po pierwsze ja opublikuje, a po drugie – chetnie poddam pod dyskusje. W oryginalnej postaci mam 8 punktów do sprawdzenia, ale moze byc ich wiecej a moze mniej. Jestem otwarty na sugestie. Jak dopracuje sie wspólnie z Wami finalnej formy – dorobie (ewentualnie razem z ochotnikami) do kazdego punktu instrukcje “krok po kroku”, moze z obrazkami, moze z krótkimi filmami, moze z gotowymi skryptami… Zobaczymy.

Zalozenie listy jest proste: sprawdzamy czy system jest bezpieczny, przy czym uzytkownikiem listy ma byc prosty czlowiek. Nie uzywamy debuggera ani innych naprawde pozytecznych narzedzi, bo to za trudne w domowym uzyciu. Nie chcialbym tez, zeby lista byla zbyt dluga, bo to zniecheci zamiast pomóc. I na razie tylko haslowo, do czasu ustabilizowania listy.

A co sprawdzac kokretnie:

  1. UAC – czy jest wlaczony?
  2. Bitlocker lub inne szyfrowanie wolumenów – czy jest wlaczone i czy dyski sa chronione?
  3. Czy w grupie lokalnych administratorów sa tylko ci, którzy tego potrzebuja?
  4. Firewall. Czy jest wlaczony w kazdym z trzech profili widocznych w wf.msc?
  5. Windows Update – czy jest wlaczony i ustawiony na prace automatyczna?
  6. Oprogramowanie antywirusowe i antymalware – czy jest i czy aktualne?
  7. Jakie strony sa w strefach zaufanych i w intranecie w IE – czy faktycznie tylko intranetowe i zaufane?
  8. Jakie add-ons sa zainstalowane w IE? Wszystkie znasz i zainstalowales swiadomie?

Zastanawiam sie, czy nie warto dla czesci punktów odeslac uzytkownika do Action Center? Bedzie to prostsze i da calkiem dobre efekty… Slowem – sugestie bardzo mile widziane, równiez te upraszczajace.

W glowie mam jeszcze co najmniej drugie tyle pomyslów dla bieglejszych uzytkowników. Ale jak ktos jest biegly to radzi sobie bez takiej listy i wie, ze zabawa nigdy nie ma konca. Wolalbym, zeby to bylo proste.

Sugestie, uwagi, krytyke itp. poprosze przez komentarze na blogu.

Autor: Grzegorz Tworek [MVP]

Comments (11)

  1. Anonymous says:

    Nie, no raczej byłbym za AlwaysOn…

    A tak swoją drogą, włączenie DEP, to niezła niespodzianka dla tych, którzy mają BitLockera z TPM…

  2. Anonymous says:

    @Zygmunt: Oczywiście to trzeba zaznaczyć. A wersję Ultimate jednak sporo osób ma… 🙂

  3. Anonymous says:

    @RaFi: nx i sehop – to ma sens, choć równocześnie boję się, że coś przestanie działać. Ale do pomyślenia.

    @Marcin – mbsa jest super, ale ludzie lubią checklisty… można dodać na końcu i sobie wybiorą jak wolą

    @Amandi: dzięki za komentarze. Za punkt 10 się wstydzę 😉

    2. jako opcja, przy czym trzeba uświadomić, że to zabezpieczy przed atakami osób, które "na chwilę" mają dostęp do wyłączonego komputera.

    3. zależy od sytuacji, ale generalnie się zgadzam

    4. może racja…

    8. mów jakie. Inne przeglądarki? Czemu nie. Ale je też trzeba utrzymać w bezpiecznym stanie…

    9. za!

    10. już pisałem…

  4. Anonymous says:

    Skoro mowa tu o "prostym" użyszkodniku, to chyba trochę za dużo… Do rzeczy jednak.

    1. Jak najbardziej zgadzam się.

    2. W domowych warunkach jest to raczej zbytek, chyba, że ktoś faktycznie czuję taką potrzebę.

    3. Chyba jednak powinna być tam tylko jedna nazwa, reszta to konta ograniczone.

    4. Ów prosty człek patrząc na wf.msc (i w ten sposób wywołane) raczej się zgubi niż zrozumie.

    5. Zgoda.

    6. Absolutnie za a nawet przeciw.

    7. W domowych warunkach raczej o intranecie pewnie mowy nie będzie, więc skupiłbym się raczej na zaufanych.

    8. Tak, choć jest inne wyjście. 🙂

    A dodałbym:

    9. Aktualizacje nie tylko OS ale także oprogramowania – najlepiej automatycznie jeśli jest taka możliwość.

    10. Hasło do OS – mocne i regularnie zmieniane.

  5. rafi says:

    1) SEHOP

    2) bcdedit /set nx AlwaysOn

  6. a może coś na temat Baseline security analyser ?

  7. rafi says:

    gramy dalej:

    3) Microsoft Security Essentials

    4) BitLocker ToGo (to ma sens nawet większy niż BitLocker na HDD)

    5) Najlepiej Protected Mode dla wszystkich zone w MSIE

    6) MicrosoftUpdate zamiast zwykłego WindowsUpdate

  8. rafi says:

    z powodu http://vreugdenhilresearch.nl/Pwn2Own-2010-Windows7-InternetExplorer8.pdf zalecana ilość pluginów w MSIE wynosi 0 (zero) 🙂

  9. Ad bitLocker

    Tu mam pewne wątpliwości – bo… czy mówimy o użytkownikach domowych? Jeśli tak, to ilu z nich kupi wersję ultimate? A przynajmniej będzie trzeba to mocno zaznaczyć 🙂 (wymaganie do tej funkcjonalności)

  10. rafi says:

    1) jeżeli ktoś się boi "DEP AlwaysOn", to przynajmniej trzeba włączyć DEP dla MSIE (http://support.microsoft.com/kb/981374#FixItForMeAlways)

    2) i podobnie dla Office’a (http://support.microsoft.com/kb/971766)

  11. ToMeK says:

    @Rafi

    (…) 5) Najlepiej Protected Mode dla wszystkich zone w MSIE (…)

    To temat głębszy jest w zasadzie – dla zwykłego użytkownika trzebaby opracować zestaw takich różnych ustawień IE który i jest bezpieczny i funkcjonalny. Protected Mode to dobry start … coś tam jeszcze by się dalo ustawić dodatkowo.

Skip to main content