Делаем Windows 10 безопаснее «с нуля»

Что подкрутить для безопасности и спокойствия Источник фото: pxfuel.com

Я купил подержанный ноутбук. Продавец уверял, что перед нашей встречей вернул Windows 10 «как с завода». Перед началом работы я обычно для большей безопасности подкручиваю кое-какие настройки и устанавливаю программы. Иногда это критически важные элементы. Иногда мои действия служат скорее для психологического комфорта. (А у вас так бывает?)

Эта статья не руководство для админов или менеджеров крупных офисов. Она для обычных пользователей, владельцев домашних десктопов и ноутбуков. Возможно, мои настройки подходят вам лишь частично. Скорее всего, ваш список настроек окажется короче или длиннее. Это естественно. У каждого своя модель угроз, свои представления о безопасности.

Обратите внимание: в операционных системах (включая Windows) названия и расположение пунктов меню могут зависеть от версии. Порой они не совпадают с тем, что вы прочтете здесь или в других материалах, включая официальный сайт Microsoft. Эта статья написана с использованием Windows 10 Pro, номер сборки 19041.

Активация Windows

Я покупал ноутбук с рук, и мне было интересно, как выполнена активация. Впереди маячила замена SSD на более емкий. Ожидают ли меня проблемы с переносом Windows и лицензией?

Параметры – Обновление и безопасность – Активация

В моем случае Windows 10 активирована с помощью цифровой лицензии. Операционная система привязана к моему компьютеру. Для замены SSD не нужно искать активационный ключ. Microsoft тем не менее рекомендует перед заменой оборудования привязать лицензию к учетной записи.

Обновления Windows

Параметры – Обновление и безопасность – Центр обновления Windows

«У вас установлены все последние обновления» – хорошо. Обновления операционной системы важны. В них разработчик нередко исправляет обнаруженные ошибки. 

Раздел обновлений Windows 10
Параметры Windows 10, раздел обновлений. Скриншот.

Защита входа

Параметры – Учетные записи – Варианты входа

На моем ноутбуке нет сканера отпечатка пальца, а то бы я задействовал его по принципу «если есть, пусть работает». Выбираю пароль или ПИН-код. Ключевая разница в том, что ПИН-код привязан к устройству (ну, и почему бы не использовать TPM-модуль, раз он имеется в ноутбуке). Кстати, вопреки распространенному мнению, ПИН-код не всегда короткий и состоит только из цифр. В Windows 10 он может быть длинным и включать буквы и спецсимволы, как пароль. 

Пользователь может, к примеру, установить относительно простой PIN для входа на физическое устройство, а пароль к учетной записи сделать длинным и сложным, и комплексным.

Кроме того, для входа в Windows 10 можно использовать «вспомогательное устройство» с Windows Hello. «В моем случае это смартфон, подключенный к ноутбуку по Bluetooth, – рассказывает эксперт по безопасности Михаил Ивановский. – Достаточно приложить палец к сенсору смартфона, и ноутбук будет разблокирован. Но возможны и другие варианты».

У каждого варианта входа есть плюсы и минусы, но какой-то вариант лучше выбрать. Совсем без защиты нехорошо.

Настройки конфиденциальности

По умолчанию Windows собирает обо мне дополнительную информацию. Например, чтобы предлагать «более интересную» рекламу. Иногда это называют «телеметрия». Иногда «а-а-а, Windows шпионит за мной». Пожалуй, можно отключить.

Параметры – Конфиденциальность – Общие

Я не хочу, чтобы Windows анализировала то, что я набираю на клавиатуре. Поэтому в пункте «Персонализация рукописного ввода и ввода с клавиатуры» я отключаю единственный рычажок. Впрочем, если вы часто и много набираете текст, эта функция может оказаться полезной.

Microsoft любезно включает по умолчанию функцию получения с моего компьютера широкого набора диагностических данных, в том числе сведения о посещаемых веб-сайтах и запущенных приложениях. Я отключаю эту опцию в пункте «Диагностика и отзывы». Чуть ниже в «Персонализированных возможностях» Microsoft предлагает мне персонализировать советы и рекламу. Ни к чему. В самом низу есть пункт «Частота формирования отзывов» (как часто корпорация будет просить меня писать отзывы). Указываю «Никогда».

«Журнал действий» я тоже отключаю (хотя многим пользователям он может пригодиться в случае каких-либо проблем).

В пункте «Расположение» я убираю галочку из квадратика «Разрешить доступ к местоположению на этом устройстве».

Что касается камеры, она нужна для коммуникаций: видеочатов, конференций, вебинаров. Но можно выбрать, каким приложениям разрешен доступ к камере. 

Параметры wi-fi

Параметры – Сеть и Интернет – Wi-Fi

«Случайные аппаратные адреса» (речь идет о MAC-адресе): при подключении к беспроводным сетям ваш адрес меняется. Так вас становится труднее отследить. По умолчанию эта интересная функция почему-то отключена. Включаю.

Если этой функции в настройках вы не видите, попробуйте обновить драйвер адаптера wi-fi.

Отключение автозапуска

Параметры – Устройства – Автозапуск

Старая функция Windows, которая позволяет запускать различные сценарии, например, при подключении флешки к USB-порту. Отключаю.

Шифрование дисков и файлов

В Windows 10 (версии Pro) есть встроенная система шифрования под названием Bitlocker. Ее можно включить. Полнодисковое шифрование позволяет защитить данные в ситуации, когда злоумышленник вынимает диск из вашего компьютера и подключает его к другому компьютеру. Если диск зашифрован, злодей не доберется до файлов. Хороший способ защиты данных на диске от такой беды, как кража ноутбука.

Панель управления – Система и безопасность – Шифрование диска BitLocker

BitLocker можно включить правым щелчком мыши по букве диска в «Проводнике». (Если вы хотите попробовать эту опцию не на «свежей» Windows 10, а на компьютере, где уже созданы и хранятся важные данные, лучше сначала сделать их резервную копию.) Лично я не использую BitLocker. Почему? Во-первых, Windows 10 – моя вторая операционная система. В основном я работаю на Linux Mint, и вот там-то полнодисковое шифрование включено. Во-вторых, самые важные данные у меня размещены в облаке. Для отдельных задач я использую шифрованные флешки и файловые контейнеры Veracrypt. Это кросс-платформенная бесплатная программа с открытым исходным кодом. 

Мастер создания томов Veracrypt
Мастер создания зашифрованных томов программы Veracrypt. Скриншот.

Брандмауэр

Брандмауэр (файруолл, межсетевой экран) – программный или аппаратный фильтр. Он следит, чтобы в «правильном» трафике не оказался какой-нибудь вредный или паразитный поток данных. Брандмауэр не позволяет злоумышленнику проникнуть из сети на ваш компьютер. А если вредоносная программа уже обосновалась внутри, брандмауэр способен перехватить ее попытку связаться с хозяином. По умолчанию брандмауэр Windows включен. Однако я не раз наблюдал истории, когда брандмауэр отключали (например, чтобы протестировать какую-либо программу), а потом забывали включать. Лучше, чтобы брандмауэр был включен.

Параметры – Обновление и безопасность – Безопасность Windows – Брандмауэр и защита сети

Давным-давно, во времена Windows XP, встроенный брандмауэр был примитивным и работал «в одну сторону». Считалось разумным скачать и установить дополнительный брандмауэр. Сегодня, на мой взгляд, в этом большого смысла нет.

Антивирус

«А как же антивирус?» – спросит читатель, привыкший к тому, что в новостях слова «Windows» и «вирусы» стоят где-то рядом. Полагаю, Windows 10 не даст вам спокойно работать с отключенным антивирусом. Но если вам хочется убедиться, что он включен, проверьте настройки: 

Параметры – Обновление и безопасность – Безопасность Windows – Защита от вирусов и угроз – Параметры защиты от вирусов и угроз – Управление настройками – Защита в режиме реального времени

Отдельный, дополнительный антивирус, как в былые времена, я не устанавливаю.

Браузер

Браузер по умолчанию в Windows 10 называется Microsoft Edge, считается наследником Explorer, но основан на Chromium. Чаще всего эксперты по безопасности советуют Mozilla Firefox. Признаться, мне нравятся решения на основе Chromium. Но не нравится Edge. Больше по душе Brave и Vivaldi. Оба имеют функции, упрощающие жизнь, например, опцию блокировки рекламы. Впрочем, какой бы браузер я ни устанавливал, ему требуется минимальная настройка. В частности я:

  • запрещаю браузеру сохранять пароли (для этого у меня есть парольный менеджер);
  • не позволяю браузеру при запуске отображать последние загруженные страницы;
  • отключаю функцию сохранения истории.

Разумеется, у браузера гораздо больше настроек безопасности.

Парольный менеджер

Для надежного хранения паролей я использую специальную программу – парольный менеджер. Это удобнее и безопаснее попыток хранить множество паролей в текстовых файлах или бумажных записях. Хорошее решение – KeePassXC, кросс-платформенный офлайновый парольный менеджер с открытым кодом. 

Другой неплохой вариант с открытым кодом – Bitwarden. Эта программа хранит пароли онлайн. Меньше контроля, чем в случае KeePassXC, но больше комфорта. В первую очередь – благодаря синхронизации парольной базы на разных устройствах.

Сайт KeePassXC в браузере Vivaldi
Сайт парольного менеджера KeePassXC в браузере Vivaldi. Скриншот.

VPN

Виртуальная частная сеть (virtual private network) – обязательный компонент современного компьютера. Сейчас я использую Private Internet Access, но в разные времена это были разные провайдеры. (Если вы не знаете, что такое VPN, можете прочитать эту статью.)

Список некоторых провайдеров VPN-услуг, рекомендованных «Роскомсвободой»: https://vpnlove.me

Если VPN вам нужен эпизодически, обратите внимание на Windscribe. Этот канадский провайдер предлагает 10 Гб ежемесячного трафика бесплатно, есть мобильное приложение. Для пользователей со скромными запросами есть CyberGhost VPN (браузерный плагин, бесплатно и без регистрации). Еще одно интересное решение – Psiphon, неплохо зарекомендовавший себя продукт с открытым кодом.

Tor

Tor Browser – инструмент для обеспечения анонимности. Я не пользуюсь им как основным браузером, но этот инструмент у меня всегда под рукой на случай, когда анонимность действительно важна. Поэтому я его сразу скачиваю и распаковываю в отдельную папку (устанавливать Tor Browser не надо).

Mailvelope

Как и многие мои коллеги, я пользуюсь шифрованием PGP для защиты email и отдельных файлов. Простой и эффективный инструмент для этой задачи – плагин Mailvelope. Обычно это первый плагин, который я устанавливаю в браузер. Следующий шаг – копирование связки ключей (это один файл) с прежнего компьютера на новый. И все, можно пользоваться.

Дополнительно

Некоторые шаги я не делаю, но другие люди считают их важными.

  • Права администратора. Наверное, большинство менеджеров и сисадминов согласится: лучше, если пользователи работают не с правами администратора. В общем случае это так. Однако сейчас речь идет о моем личном ноутбуке, где мне то и дело нужны права администратора.
  • Облачное хранилище. Microsoft, разумеется, продвигает свой OneDrive, но возможны варианты. Я пользуюсь разными облаками, но предпочитаю делать это через браузер. Приложения на диск не устанавливаю и папку не синхронизирую.
  • Резервное копирование. В Windows можно наладить бэкапы в упомянутый OneDrive. Я, как уже было сказано, на диске важные данные не держу.
  • Надежное удаление данных. Для ноутбука с жестким диском (HDD) я бы установил Eraser – программу надежного стирания отдельных файлов. Для внутреннего SSD в этом смысла нет. Я лишь убедился, что включена функция TRIM, и на всякий случай предусмотрел возможность удаления файлов путем «забывания» ключа-пароля от шифрованного файлового контейнера Veracrypt. 
  • Уборка мусора с помощью CCleaner и подобных программ. Как правило, на диске у меня скапливается очень мало мусора. Да и программ я устанавливаю  мало.

А какие настройки или программы используете вы, чтобы чувствовать себя в безопасности при работе в Windows 10?

Я благодарю Михаила Ивановского, эксперта и консультанта по цифровой безопасности, за помощь в создании этой статьи.