Самое лучшее время начать думать о безопасности ПК в вашей сети - прямо сейчас.
Когда речь идет о компьютерной безопасности дома или в малом бизнесе, вы предоставлены сами себе. В крупных компаниях обычно есть специальный ИТ-персонал, которому поручено обеспечивать безопасность корпоративной сети и предотвращать кражу данных или распространение программ-вымогателей. У вас ... самостоятельно
Худшее время для того, чтобы начать думать о безопасности ПК в вашей сети, - это время после катастрофического инцидента. Лучшее время - прямо сейчас, поэтому мы и подготовили это руководство.
Выполнение изложенных здесь шагов поможет вам понять, какие вопросы безопасности являются наиболее важными, и на основе этих знаний установить базовый уровень безопасности. К сожалению, это не задача "поставил и забыл". Злоумышленники в Интернете настроены решительно, а ландшафт угроз постоянно меняется. Поддержание эффективной безопасности требует постоянной бдительности и многих усилий.
В этом руководстве мы уделяем внимание не только самому устройству с Windows 11, поскольку многие угрозы приходят извне. Чтобы оставаться в безопасности, необходимо уделять пристальное внимание сетевому трафику, учетным записям электронной почты, механизмам аутентификации и "чайникам" - неискушенным пользователям.
Это руководство в первую очередь ориентировано на потребности владельцев ПК, управляющих ПК с Windows 11 в домашней среде или среде малого бизнеса без штатного ИТ-персонала. В тех случаях, когда требуется подключение к корпоративной сети, необходимо согласовать личную конфигурацию безопасности с корпоративными политиками. В некоторых случаях политики управления устройствами не позволят вам настроить некоторые параметры.
Windows Defender прекрасно справится с защитой вашего ПК, если его немного усилить.
Однако прежде чем трогать отдельные параметры Windows, уделите время оценке угроз. В частности, помните о своих юридических и нормативных обязанностях в случае утечки данных или других событий, связанных с безопасностью. Даже малые предприятия могут быть подвержены требованиям соответствия; если это относится к вам, подумайте о найме специалиста, который знает вашу отрасль и сможет обеспечить соответствие ваших систем всем применимым требованиям.
Где можно получить обзор безопасности Windows 11
☑ Регулярно следите за приложением "Безопасность Windows".
В Windows 10 компания Microsoft представила приложение "Безопасность Windows", которое объединяет параметры безопасности и информацию о состоянии в одном месте. В версии этого приложения для Windows 11 добавлены некоторые функции, и оно должно стать регулярной частью вашего мониторинга безопасности.
Из этой отправной точки вы можете проверить (и отрегулировать) настройки антивирусного и антивирусного ПО, безопасности устройств, брандмауэра и сетевой защиты, а также других важных параметров безопасности. Зеленые галочки означают отсутствие проблем, требующих немедленного внимания. Желтые и красные значки указывают на проблемы безопасности, требующие решения.
При посещении такого приложения возникает естественное искушение щелкнуть по каждой категории и включить все опции, которые вы видите. Не поддавайтесь этому желанию, особенно в разделе "Защита от эксплойтов". Внесенные здесь изменения могут иметь непредвиденные последствия в повседневной деятельности, особенно в старых приложениях. Настройки по умолчанию должны быть достаточными для большинства систем. Если вы решили внести здесь изменения, делайте это постепенно и не вносите никаких дополнительных изменений, пока не убедитесь, что предыдущие настройки сработали так, как ожидалось.
Как лучше всего поддерживать Windows 11 в актуальном состоянии?
☑ Установите политику установки/отсрочки для обновлений безопасности
Самым важным параметром безопасности для любого ПК с Windows 11 является обеспечение регулярной и предсказуемой установки обновлений. Конечно, это справедливо для каждого современного вычислительного устройства, но модель "Windows как сервис", которую Microsoft представила в Windows 10, меняет способ управления обновлениями.
Однако прежде чем приступить к работе, важно понять различные типы обновлений Windows и принцип их работы.
Качественные обновления предоставляются ежемесячно через Windows Update во второй вторник каждого месяца. Они направлены на решение проблем безопасности и надежности и не содержат новых функций. (Эти обновления также включают исправления для дефектов микрокода в процессорах Intel). Для особо серьезных проблем безопасности компания Microsoft может выпустить внеплановое обновление, которое не привязано к обычному ежемесячному графику.
Все качественные обновления являются кумулятивными, поэтому вам больше не придется загружать десятки или даже сотни обновлений после чистой установки Windows 11. Вместо этого можно установить последнее кумулятивное обновление для достижения актуального состояния защиты ПК.
Обновления функций - это эквивалент того, что раньше называлось обновлением версии. Они включают новые функции и требуют загрузки нескольких гигабайт и полной установки. Текущая политика Microsoft заключается в выпуске одного обновления Windows 11 в год, во второй половине года. Обновления доставляются через Windows Update и не устанавливаются автоматически, если текущая версия не достигла конца жизненного цикла поддержки.
При использовании настроек по умолчанию Windows 11 загружает и устанавливает качественные обновления вскоре после того, как они становятся доступны на серверах обновлений Microsoft. На устройствах под управлением Windows 11 Home нет поддерживаемого способа указать точное время установки этих обновлений; на ПК под управлением бизнес-версий Windows 11 (Pro, Enterprise или Education) можно использовать параметры групповой политики для автоматической отсрочки установки качественных обновлений на ПК на срок до 30 дней после их выпуска. Независимо от того, какая редакция установлена, пользователи могут вручную приостановить установку всех обновлений на срок до пяти недель.
Как и при принятии любых решений в области безопасности, выбор времени установки обновлений подразумевает компромисс. Установка обновлений сразу после их выпуска обеспечивает наилучшую защиту; отсрочка установки обновлений позволяет минимизировать незапланированные простои, связанные с этими обновлениями.
Используя функции Windows Update for Business, встроенные в Windows 11 Pro, Enterprise и Education, можно отложить установку качественных обновлений на срок до 30 дней. Также можно отложить установку обновлений функций на срок до двух лет, в зависимости от редакции.
Отсрочка установки качественных обновлений на 7-15 дней - это способ избежать установки некачественного обновления, которое может вызвать проблемы со стабильностью или совместимостью. В Windows 11 единственным способом настройки параметров Windows Update for Business является использование диспетчера локальной групповой политики (Gpedit.msc); соответствующие политики находятся в разделе Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Windows Update.
В корпоративных сетях администраторы могут управлять обновлениями с помощью групповой политики или программного обеспечения для управления мобильными устройствами (MDM). Обновлениями также можно управлять централизованно с помощью таких средств управления, как System Center Configuration Manager или Windows Server Update Services.
Наконец, стратегия обновления программного обеспечения не должна ограничиваться только самой Windows. Убедитесь, что обновления для приложений Windows, включая Microsoft Office и приложения Adobe, устанавливаются автоматически.
Как настроить учетные записи пользователей для обеспечения максимальной безопасности?
☑ Войдите в систему, используя учетную запись Microsoft с многофакторной аутентификацией
☑ Создайте стандартные учетные записи для неопытных пользователей
☑ Установите менеджер паролей для каждого пользователя
☑ Установите многофакторную аутентификацию для всех учетных записей в Интернете
☑ Для домашних компьютеров рассмотрите возможность установки семейных функций безопасности.
Компания Microsoft вызвала споры своим решением требовать учетную запись Microsoft при первой настройке ПК с Windows 11 Home. Я также наблюдал в Интернете недовольство по поводу недавнего заявления о том, что компания Microsoft планирует распространить это требование на машины с Windows 11 Pro, установленные для личного использования.
Если у вас уже есть личная учетная запись Microsoft, привязанная к таким службам, как Microsoft 365 Home or Family или Xbox Live, вход с учетной записью Microsoft упрощает доступ к приложениям Office, хранилищу OneDrive и онлайн-играм.
Однако даже если вы не пользуетесь услугами Microsoft, это решение имеет весомые преимущества с точки зрения безопасности. При входе в систему под учетной записью Microsoft системный диск по умолчанию шифруется, а ключ восстановления сохраняется в защищенном месте, доступ к которому можно получить, войдя под этой учетной записью Microsoft. Это минимизирует риск того, что забытый пароль может привести к катастрофической потере данных.
Если вы не пользуетесь услугами Microsoft, не стесняйтесь создать совершенно новую учетную запись Microsoft "на лету", в процессе установки, и используйте эту новую учетную запись исключительно для входа в Windows 11. Вы получите преимущества полного шифрования системного диска, многофакторной аутентификации и (если вы решите использовать ее) 5 ГБ хранилища OneDrive без дополнительной платы. Считайте, что это локальная учетная запись с именем пользователя @microsoft.com на конце
Если вы все же решили использовать локальную учетную запись, сначала настройте ее с помощью случайной (одноразовой) учетной записи Microsoft, а затем перейдите на локальную учетную запись. Только учтите, что для этого вам придется найти другой вариант шифрования, и у вас не будет механизма восстановления, если вы забудете свои учетные данные.
Учитывая все вышесказанное, сделайте также следующее:
- Настройте многофакторную аутентификацию для своей учетной записи Microsoft.
- Создайте стандартные учетные записи для других пользователей (и даже для себя). Ваша основная учетная запись по умолчанию имеет привилегии администратора. Если другие люди (сотрудники или члены семьи) используют тот же компьютер, предоставьте им стандартные учетные записи, которые не смогут изменять системные настройки или устанавливать ненадежное программное обеспечение без вашего разрешения. Вы также можете завести стандартную учетную запись для повседневного использования, но это излишняя предосторожность, которая просто заставит вас ввести пароль вместо того, чтобы нажать OK в диалоговом окне User Account Control (UAC).
- Установите менеджер паролей и убедитесь, что все ваши учетные записи в Интернете имеют надежные, уникальные учетные данные для входа в систему.
- Установите многофакторную аутентификацию для учетных записей в Интернете везде, где она доступна.
Для домашних ПК настройте детский доступ с помощью стандартных учетных записей и рассмотрите возможность настройки функций семейной безопасности в Windows 11. Вы можете использовать эти опции, чтобы установить разрешенное время пребывания подростков в сети и не дать им забрести в неблагоприятные уголки Интернета.
Как обеспечить безопасность оборудования Windows 11?
☑ Проверьте состояние вашего TPM
☑ Убедитесь, что включена функция безопасной загрузки
☑ Включите Windows Hello, используя биометрическую аутентификацию, если она доступна.
Правила аппаратной совместимости Microsoft для Windows 11 повысили уровень безопасности ПК, хотя и не без противоречий. Ранее принцип управления каждой новой версией Windows предусматривал максимальную обратную совместимость, при этом даже 10-летние ПК могли устанавливать новую операционную систему.
Все изменилось с выходом Windows 11. Впервые в истории официальные спецификации аппаратного обеспечения были:
- значительно увеличены по сравнению с предыдущей версией
- применялись не только к новому оборудованию от производителей ПК, но и к обновленному.
Самым большим изменением является требование наличия модуля Trusted Platform Module (TPM) версии 2.0, а также требование включения Secure Boot (функция, использующая криптографические подписи для обеспечения загрузки устройства с операционной системой, которая не была подделана. (Если вы готовы внести несколько правок в реестр, вы можете установить Windows 11 на ПК со старой версией TPM и неподдерживаемым процессором).
На странице "Безопасность устройства" в приложении "Безопасность Windows" можно проверить оба этих параметра. Если вы видите записи для Security Processor и Secure Boot, все в порядке. Если одна или обе записи отсутствуют, вам придется зайти в настройки BIOS, чтобы снова включить эти параметры. Хотя существуют расширенные конфигурации, в которых вам может понадобиться отключить Secure Boot в целях устранения неполадок, лучше оставить этот параметр в покое.
Наконец, настройте PIN-код Windows Hello и включите биометрическую аутентификацию, если устройство оснащено сканером отпечатков пальцев или инфракрасной камерой с поддержкой распознавания лиц.
Как лучше всего защитить файлы данных?
☑ Включите шифрование BitLocker для всех дисков с данными
☑ Создавайте резервные копии ключей шифрования
☑ Резервное копирование файлов данных в облако
☑ Резервное копирование важных файлов данных в локальное хранилище
Замена украденного ноутбука - неудобное и дорогое удовольствие. Решение проблемы потерянных или украденных данных - это кошмар. Физическая безопасность имеет свои проблемы, но когда речь идет о защите данных, у вас есть две ключевые цели:
- Шифруйте свои файлы с данными. Если ваш компьютер или устройство хранения украдут, вор не сможет получить доступ к вашим файлам, защищенным надежным шифрованием и сложным паролем.
- Создавайте резервные копии файлов данных. При наличии хорошего плана резервного копирования вы сможете восстановить потерянные или поврежденные файлы (даже если причиной является отказ оборудования) и вернуться к работе с минимальным временем простоя.
Эти меры предосторожности особенно важны для файлов, содержащих конфиденциальную личную или финансовую информацию клиентов или заказчиков. Если вы работаете в регулируемой отрасли или на вас распространяются законы о нарушении данных, последствия будут еще более серьезными.
На устройствах с Windows 11 самым важным изменением конфигурации является включение шифрования BitLocker Device Encryption на системном диске и на всех дополнительных дисках, включая флэш-накопители USB. (BitLocker - это торговое название, которое компания Microsoft использует для инструментов шифрования, доступных в бизнес-версиях Windows. Функции BitLocker идентичны в Windows 10 и Windows 11.)
При включенном BitLocker каждый бит данных на устройстве шифруется с помощью стандарта XTS-AES. BitLocker использует чип Trusted Platform Module (TPM) для хранения ключей шифрования.
Шаги по включению BitLocker Device Encryption отличаются в зависимости от того, какая редакция Windows 11 установлена:
- Windows 11 Домашняя: Эта редакция поддерживает надежное шифрование устройств, но только если вы вошли в систему под учетной записью Microsoft. Она не позволяет управлять устройством BitLocker.
- Windows 11 Pro, Enterprise или Education: Эти бизнес-версии предоставляют полный доступ к инструментам управления BitLocker. Для получения полных возможностей управления необходимо настроить BitLocker с помощью учетной записи Active Directory в домене Windows или учетной записи Azure Active Directory. На неуправляемом устройстве под управлением бизнес-версии Windows 11 можно настроить BitLocker с помощью локальной учетной записи или учетной записи Microsoft, но для включения шифрования на доступных дисках необходимо использовать инструменты управления BitLocker Management.
Очень важно создать резервную копию ключа восстановления для диска, зашифрованного BitLocker. В случае переустановки Windows или проблем с учетной записью вам понадобится этот 48-значный номер для доступа к данным.
Если вы вошли в систему под учетной записью Microsoft, ключ восстановления BitLocker по умолчанию сохраняется в OneDrive. Вы можете получить к нему доступ, войдя в систему по адресу onedrive.com/recoverykey. Я рекомендую вам распечатать копию этого ключа и сохранить его в надежном месте на всякий случай.
На управляемом ПК, использующем учетную запись домена или Azure Active Directory (AAD), ключ восстановления сохраняется в месте, доступном администратору домена или AAD. На персональном устройстве можно использовать приложение Manage BitLocker, чтобы сохранить или распечатать копию ключа восстановления.
Не забудьте зашифровать портативные устройства хранения данных. Флэш-накопители USB, карты MicroSD, используемые для расширения памяти, и портативные жесткие диски легко потерять, но данные можно защитить от посторонних глаз с помощью BitLocker To Go, который использует пароль для расшифровки содержимого диска.
Наконец, убедитесь, что резервные копии важных файлов данных хранятся в "облаке" и на локальных носителях (естественно, на зашифрованном диске). Эта мера предосторожности может оказаться бесценной в случае сбоя диска, а также является отличной защитой от атак программ-вымогателей.
Если вы опасаетесь размещать конфиденциальные файлы в "облаке", зашифруйте их с помощью стороннего программного обеспечения, например VeraCrypt, или воспользуйтесь сервисом с нулевым уровнем знаний, который не имеет доступа к вашим ключам шифрования, например SpiderOak CrossClave.
Как защитить ПК с Windows 11 от вредоносных программ?
☑ Настройте программное обеспечение безопасности
☑ Настройка защиты от спама
☑ Управление приложениями, которые разрешено запускать стандартным учетным записям пользователей.
Защитное программное обеспечение - это один из этапов оборонительной стратегии, направленной на предотвращение проникновения угроз на ПК. Это уже не самый важный уровень, но все еще очень важно иметь актуальное программное обеспечение безопасности.
Каждая установка Windows 11 включает встроенное антивирусное и антивирусное ПО под названием Microsoft Defender Antivirus, которое обновляется с помощью того же механизма, что и Windows Update. Microsoft Defender Antivirus разработан как функция "установил и забыл" и не требует ручной настройки. Если вы устанавливаете пакет безопасности стороннего производителя, Windows отключает встроенную защиту и позволяет этому ПО обнаруживать и удалять потенциальные угрозы.
Чтобы проверить состояние антивируса Microsoft Defender Antivirus, воспользуйтесь страницей "Защита от вирусов и угроз" в приложении "Безопасность Windows". (Параметры защиты от вымогательства вы найдете под заголовком "Защита от программ-шантажистов").
Крупные организации, использующие Windows Enterprise edition, могут развернуть Microsoft Defender for Endpoint - платформу безопасности, которая следит за ПК с Windows 11 и другими управляемыми устройствами с помощью поведенческих датчиков. Используя облачную аналитику, эти инструменты могут выявлять подозрительное поведение и предупреждать администраторов о потенциальных угрозах.
Для небольших компаний наиболее важной задачей является предотвращение попадания вредоносного кода на ПК в первую очередь. Технология SmartScreen от Microsoft - еще одна встроенная функция, которая сканирует загружаемые файлы и блокирует выполнение тех из них, которые известны как вредоносные. Технология SmartScreen также блокирует нераспознанные программы, но при необходимости позволяет пользователю отменить эти настройки.
Стоит отметить, что SmartScreen в Windows 11 работает независимо от браузерных технологий, таких как служба Safe Browsing от Google и служба SmartScreen Filter в Microsoft Edge.
На неуправляемых ПК SmartScreen - это еще одна функция, которая не требует ручной настройки. Вы можете настроить его конфигурацию с помощью параметров Управление приложениями / Браузером в приложении Безопасность Windows.
Еще одним важным вектором управления потенциально вредоносным кодом является электронная почта, где безобидные на первый взгляд вложения файлов и ссылки на вредоносные веб-сайты могут привести к заражению. Хотя программное обеспечение почтовых клиентов может обеспечить определенную защиту в этом отношении, блокирование этих угроз на уровне сервера является наиболее эффективным способом предотвращения атак на ПК.
Эффективным способом предотвращения запуска нежелательных программ (включая вредоносный код) пользователями со стандартными учетными записями является настройка ПК с Windows 11 таким образом, чтобы на нем не запускались никакие приложения, кроме тех, которые вы специально разрешили. Чтобы настроить эти параметры на одном ПК, перейдите в Настройки > Приложения > Приложения и функции; в разделе Выбор места получения приложений выберите Только магазин Microsoft. Эта настройка позволяет запускать ранее установленные приложения, но запрещает установку любых загруженных программ из других магазинов.
Как защититься от сетевых атак?
☑ Использовать аппаратный брандмауэр
☑ Оставить брандмауэр Windows включенным
☑ Защитите свою учетную запись Wi-Fi
Шлюз для вашего кабельного, оптоволоконного, DSL или другого проводного подключения к Интернету должен включать функцию брандмауэра, которая не позволяет посторонним подключаться к компьютерам, находящимся в вашей внутренней сети. Проверьте интерфейс управления этим устройством (доступ обычно осуществляется через веб-портал, который подключается к частному IP-адресу 192.168.1.1 или 10.0.0.1). Убедитесь, что эти функции безопасности включены, и подумайте об изменении учетных данных администратора по умолчанию (обычно это admin/admin) на более безопасные.
Все версии Windows, выпущенные за последние два десятилетия, включали брандмауэр с проверкой состояния. В Windows 11 этот брандмауэр включен по умолчанию и не нуждается в настройке, чтобы быть эффективным. Как и его предшественники, брандмауэр Windows 11 поддерживает три различные сетевые конфигурации: Доменная, Частная и Публичная. Приложения, которым необходим доступ к сетевым ресурсам, обычно могут настроить их самостоятельно в рамках первоначальной установки.
Чтобы настроить основные параметры брандмауэра Windows, используйте вкладку Брандмауэр и Безопасность сети в приложении Безопасность Windows. Для получения более полного набора инструментов настройки, доступного только специалистам, щелкните Дополнительные параметры, чтобы открыть устаревшую консоль Монитор брандмауэра защитника Windows. В управляемых сетях эти параметры можно контролировать с помощью комбинации групповой политики и параметров на стороне сервера.
С точки зрения безопасности, самые большие сетевые угрозы для ПК с Windows возникают при подключении к беспроводным сетям. Крупные организации могут значительно повысить безопасность беспроводных подключений, добавив поддержку стандарта 802.1x, который использует контроль доступа вместо общих паролей, как в беспроводных сетях WPA2. Windows 10 и Windows 11 при попытке подключения к сети такого типа запрашивает имя пользователя и пароль и отклоняет несанкционированные подключения. В сетях, использующих общий пароль, убедитесь, что посетители подключаются к отдельной гостевой сети.
В тех случаях, когда необходимо подключиться к ненадежной беспроводной сети, лучшей альтернативой будет создание виртуальной частной сети (VPN). Windows 11 поддерживает самые популярные пакеты VPN, используемые в корпоративных сетях; чтобы настроить этот тип подключения, перейдите в меню Настройки > Сеть и Интернет > VPN. Малые предприятия и частные лица могут выбирать из множества совместимых с Windows сторонних служб VPN.
