Windows 7システムの堅実な強化?
私は歴史的にLinuxの人であり、VMを経由する必要がある場合にのみWindowsを使用します。ただし、最近、新しいリグを購入して、ハードワーク(咳、ゲーム、咳)やLinuxで実行されないソフトウェア用に専用のWindows7マシンを維持できるようにしました。
少し緊張しています。私はLinuxシステムの強化に非常に熟練していますが、Windowsに関しては水が不足しています。 Microsoft Security Essentialsをインストールし、Windowsファイアウォールを有効にしましたが、それでも十分ではないと感じています(妻をWindows VistaからLinuxに切り替える前に、いくつかのウイルスがSecurity Essentialsを通過するのを見ました。確かに、彼女はおそらく...彼女は物事をクリックするのが速い)。
ネットワークケーブルを切断する以外に、偏執的なユーザーがWindows 7のセットアップを可能な限り安全にするために実行する必要がある手順は何ですか?
Linuxの場合と同じように、管理者アカウントの横に通常のユーザーアカウントを使用してWindows7をセットアップします。通常のユーザーアカウントだけでPC全体を台無しにすることは事実上不可能です。
このように、疑わしいアクティビティには、昇格プロンプトで管理者パスワードが必要になります(Sudoと同等)
何が起こっているのかを理解する必要がある環境から来ているのであれば、Windows上で物事を安全に保つのに問題はないと思います。私の経験では、ほとんどの問題は、経験の浅いまたは怠惰なユーザーが自分自身(およびそのシステム)を足で撃つことから発生します。 Windowsは妥当なレベルのセキュリティを提供しますが、もちろん、あなた(ユーザー)がそれを弱めるのを防ぐことはできません。次のリストはかなり基本的な常識ですが、IMHOはほとんどの問題が発生する場所です。
- UACプロンプトに注意してください-ユーザーが管理者権限を持っている場合でも、Windowsは昇格が必要なものについては確認を要求します。許可しているものに注意してください。
- Windowsが更新を常に把握できるようにしてください。
- 信頼できないソフトウェアをインストールしないでください。特に、keygenやゲームクラックなどの怪しげなものには近づかないでください。
- ファイアウォールがどのように機能するかを理解します。
iptablesを使用している場合、これは桁違いに簡単になります。 Windows Advanced Firewall 画面を使用して、公開されているものを確認および管理します。 - 言うまでもなく、そのバイアグラ広告をクリックしないでください!
これ自体は強化されていませんが、 Microsoft Baseline Security Analyzer を実行して、潜在的なセキュリティ問題を確認できます。
- Windows Security Essentialsとファイアウォールのほかに、 [〜#〜] emet [〜#〜] (Enhanced Mitigation MicrosoftのExperienceToolkit)は、EMETユーザーガイドを読むことを忘れないでください。
- 常に標準ユーザーアカウントをデフォルトアカウントとして使用してください。 UAC設定を完全に上げます。
- インターネットから多くをダウンロードしている場合は、無料バージョンの MalwareBytes をインストールし、PCをスキャンすることもあります。
- Process Hacker または Process Explorer のような優れたタスクマネージャーをダウンロードします。これは、Windows 7に組み込まれているものはそれほど良くないためです(Windows 8に組み込まれているものの方がはるかに優れています)。ただし、リソースモニター(検索resmon.exeと入力)を使用することはできます。
- 64ビットバージョンのWindows7/8を使用する
- Java disable JavaブラウザでJavaコントロールパネルからダウンロードした場合
- TcpViewのような Nirsoft または Sysinternals からツールをダウンロードすると、マルウェアを見つけた場合に役立つ可能性があります。
- すべてのプログラムで データ実行防止 をオンにします。
- Chromeは設計上安全であり、他のブラウザよりも安全だと思うので(私の意見ですが)使用します。
- 事前共有設定を変更し、ネットワーク検出をオフにします。
- 常に最新のWindowsUpdateをインストールする
- 私は個人的に、Windows7よりも安全なWindows8.1にアップグレードします。
さらに先に進むこともできますが、通常は2、3、11を実行するだけで済みます。経験豊富なユーザーなので安全です。
いくつかのポイントを追加/更新したいと思います:
優れたセキュリティソフトウェアを入手してください(Windowsで必要です)。 MSEは十分ではありません。あなたは無料/有料のもののためにインターネットを調べることができます。ここではお勧めできません。
少しextremeですが、もう1つのアイデアは、ドライブにWindowsをインストールし、他のドライブにソフトウェアをインストールすることです。ドキュメント/データをWindows以外のドライブに保持するWindows /ソフトウェアを構成してから、faronicsdeepfreezeなどを使用してWindowsパーティションを「フリーズ」します。
これにより、Windowsのファイルや設定が永続的に変更されるのを防ぐことができ、あらゆる種類のマルウェアから確実に保護されます。再起動するだけで、すべてのマルウェアとそのシステムへの影響を取り除くことができます。ウイルス対策ソフトウェアは、Windows以外のドライブ上のマルウェアを取り込みます。
WindowsマシンをWebクライアントとして使用している場合は、NoScriptアドオンでFirefoxを使用することをお勧めします。 (そしてもちろん、Adblock Plus;それは言うまでもありません。)
悪意のあるスクリプトが含まれているサイトに誤って移動した場合、NoScriptはお尻を保存します。
NoScriptは邪魔になる可能性があり、ユーザーの教育が必要です。 (ユーザーがすべてのスクリプトに対して盲目的に「はい」と言った場合、それは無意味です。)
PDFを読むためにEvinceをインストールします。アドビに近づかないでください。 (EvinceをFirefoxに埋め込んで表示する方法があります: http://www.libertexto.org/libertexto_en.html 。)
Windows MediaPlayerを使用しないでください。代替をインストールします。 Windows Media Playerを使用すると、メディアファイルでユーザーにダウンロードを促すことができます。 「このビデオを再生するには、特別なコーデックが必要です。クリックしてFOO.EXEをインストールしてください。」
電子メールで受信した信頼できない添付ファイルをダウンロードして開かないように、また予期しないダイアログボックスに「はい」と言わないようにユーザーをトレーニングしてください。
Windowsシステムを強化する方法はいくつかあります。最初の方法は、使用しない、または使用しないサービスを削除/無効にすることです。つまり、リモートサービスまたはtelnetです。次に、組み込みアカウントを無効化/名前変更します。あなたは管理者アカウントを持ちたいと思っていますが、それはあなたがあなた自身のためにユーザーアカウントを作成したいあなたが毎日ログインするであろうアカウントであるべきではなく、それはあなたが利用しているものでなければなりません。悪化していることは承知していますが、マルウェアがダウンロードされた場合、現在ログインしているレベルでしか実行できません。システムを最新の状態に保ち、優れたAVを使用することは非常に重要です。最後に、DISA、FISMA、またはNISTのいずれかからSTIGを使用すると、ビルドの適切なベースラインが得られます。それらのウェブサイトのいくつかはボックス内にあります https://web.nvd.nist.gov/view/ncp/repository または http://iase.disa.mil/stigs/Pages /index.aspx