Zabezpečení systému Windows se nachází v bodě zlomu: Malware se neustále vyvíjí a útočníci dolaďují své techniky., protože se naše počítače připojují odkudkoli a k jakékoli síti. Dobrou zprávou je, že Windows 11 a Windows 10 obsahují velmi seriózní vrstvy ochrany, které, pokud jsou správně aktivovány a nakonfigurovány, nabízejí prvotřídní ochranu bez kompromisů ve výkonu.
Tato praktická příručka shromažďuje a přepisuje na jednom místě vše, co potřebujete vědět pro skutečné zabezpečení svého počítače, kombinující ochranu hardwaru, systémů, sítí, aplikací, identit a datNaučíte se, jak používat Microsoft Defender, šifrovat pomocí BitLockeru, chránit přihlašovací údaje pomocí Windows Hello a Credential Guard, izolovat procesy pomocí VBS a HVCI, posílit zabezpečení prohlížeče, chránit se před phishingem a ransomwarem a spravovat vše z cloudu pomocí Microsoft Intune a přihlašovacího ID.
Moderní bezpečnostní architektura: Od čipu k systému
Výchozím bodem ve Windows 11 je zabezpečení již od návrhu a ve výchozím nastavení a architektonické problémy: TPM 2.0, UEFI Secure Boot a opatření pro integritu spouštění které vytvářejí hardwarový kořen důvěry. Tento základ ověřuje, že firmware, zavaděč a jádro nebyly před spuštěním upraveny.
Na tomto základě technologie jako např. Zabezpečení založené na virtualizaci (VBS) y Integrita kódu chráněná hypervizorem (HVCI), které izolují citlivou paměť a vynucují podepsání a ověření kódu v režimu jádra. To je klíčový krok vpřed proti rootkitům, injekcím ovladačů a útokům zaměřeným na paměť.
Pro pokročilé scénáře systém Windows 11 přidává ochrana proti DMA na vysokorychlostních externích portech a technikách Dynamic Boot Trust (DRTM), které posilují řetězec, i když se během bootování něco pokusí vplížit.
Pokud je vaše zařízení vybaveno, bezpečnostní procesor Microsoft Pluto Integruje klíč důvěryhodnosti do samotného procesoru a usnadňuje aktualizaci bezpečnostního firmwaru prostřednictvím Windows Update, čímž snižuje riziko fyzického útoku a problémy s aktualizací.
Microsoft Defender: První linie proti malwaru a phishingu
Antivirus Microsoft Defender je integrovaný a připravený k použití ihned po vybalení: Analýza v reálném čase, cloudové signatury, heuristika a strojové učeníPokud nainstalujete jiný antivirový program, Defender se sám deaktivuje a znovu aktivuje, pokud jej odinstalujete.
Obránce koordinuje s Ochrana proti změnám malware tak nemůže bez autorizace deaktivovat ochranu, mazat aktualizace ani upravovat výjimky. Tato vrstva zabraňuje překvapením, pokud se hrozba pokusí oslabit vaši obranu.
s Chytrá obrazovka a vylepšená ochrana proti zosobněníSystém Windows vás upozorní, když je web nebo soubor podezřelý, nebo když zadáte své přihlašovací údaje Microsoftu na rizikových místech, bez ohledu na prohlížeč nebo aplikaci. To je praktická bariéra proti skutečnému phishingu.
La ochrana sítě Rozšiřuje tyto ochranné mechanismy tak, aby blokovaly připojení k nebezpečným doménám nebo IP adresám, a to i mimo Edge, a lze je kombinovat s Microsoft Defenderem pro koncové body k použití filtrů na základě kategorií a specifických bloků ve spravovaných prostředích a také pomáhá objevit zařízení ve vaší Wi-Fi síti.
Zmenšete plochu útoku a blokujte nebezpečné chování
the Pravidla pro redukci útočné plochy Omezují akce, které malware obvykle zneužívá: zmateněné skripty, makra volající citlivá API, spustitelné soubory stahující nebo spouštějící škodlivé datové soubory atd. Jejich okamžité povolení snižuje pravděpodobnost tichého narušení.
La Ochrana před zranitelnostmi Aplikuje zmírňující opatření na systémové procesy a aplikace s režimem auditu pro posouzení dopadu před jejich zavedením. Užitečné pro vyvážení zabezpečení a kompatibility bez nutnosti omezovat dopady.
Pro kritická data, Řízený přístup ke složce Umožňuje pouze důvěryhodným aplikacím zapisovat do chráněných umístění. To je přímá bariéra pro ransomware, který se bezcílně snaží šifrovat uživatelské knihovny.
Potřebujete v Defenderu specifické výjimky pro konkrétní úlohy? Engine umožňuje vyloučit soubory, složky, typy souborů nebo procesy, ale dělejte to s rozvahou: Použijte minimální požadované vyloučení a následně jej zkontrolujte aby nezůstaly trvalé díry.
Vyloučení a zástupné znaky v Defenderu bez chyb
Pokud je kritický úkol zpožděn analýzou, můžete vytvořit velmi úzké výjimky. Možnosti: konkrétní soubor, celá složka, přípona nebo procesNezapomeňte, že se výjimka vztahuje na aplikace v reálném čase a nemusí ovlivnit kontroly na vyžádání z jiných řešení.
Pomocí zástupných znaků můžete vyloučit podle vzoru: například důkaz.* by ovlivnilo jakýkoli spustitelný soubor s tímto názvem s jinou příponou a v typech souborů *ulice by vyloučilo přípony končící na st. Použijte jej pouze tehdy, pokud neexistuje přesnější alternativa.
Proměnné prostředí pomáhají nezáviset na absolutních cestách a umožňují přenosnější zásady mezi týmy. Každé vyloučení zdokumentujte s důvodem a datem a naplánujte pravidelnou kontrolu, abyste jej odstranili, jakmile již nebude nutné.
Prohlížení, stahování a spouštění v izolaci
Aby se snížila rizika při otevírání neznámého, systém Windows nabízí vysokou úroveň izolace. Windows Sandbox Vytvoří dočasnou, čistou plochu pro spuštění nedůvěryhodného softwaru bez dotyku hostitelského systému; po zavření vše zmizí.
V riskantních navigačních úkolech, Aplikační stráž Microsoft Defender Izoluje relace Edge v chráněném kontejneru, aby hrozby prohlížeče neunikly ze systému.
Pokud potřebujete úplnou kontrolu nad tím, co běží a co ne, AppLocker a Správa aplikací pro firmy umožňují používat seznamy povolených podle vydavatele, stopy, cesty nebo typu balíčku. Kromě toho můžete konfigurace AppLockeru s pokročilými pravidly maximalizovat kontrolu v řízených prostředích.
Ve Windows 11 Inteligentní ovládání aplikací přidává prediktivní blokování nepodepsaných nebo nekvalitních aplikací.
El Izolace aplikací Win32 Posiluje model pomocí hranic AppContainer a deklarativních funkcí, takže i klasické aplikace běží s minimálními oprávněními a rozsahem.
Identity a přihlašovací údaje: od PINů po přístupové klíče
Hesla jsou nejvíce zneužívaným slabým místem. Windows Hello a Windows Hello pro firmy Nahrazují hesla biometrickými údaji nebo lokálním PINem propojeným s TPM, kompatibilním s FIDO2 a klíči pro ověřování odolné proti phishingu.
La Ochrana místního bezpečnostního orgánu zajišťuje, že do procesů ověřování je načítán pouze důvěryhodný kód, a Povědomí stráž Izoluje tajné klíče v kontejneru VBS, aby se zabránilo krádeži přihlašovacích údajů, a to i z vysoce privilegovaného malwaru.
Pro vzdálená prostředí, Vzdálený strážce přihlašovacích údajů Zabraňuje kopírování přihlašovacích údajů do cílových počítačů během relací vzdálené plochy. To je klíčové, pokud přecházíte na méně důvěryhodné počítače.
Systém Windows 11 také obsahuje zásady pro uzamčení účtů ve výchozím nastavení vs. hrubá síla a ochrana tokenů propojit tokeny s konkrétním zařízením a zabránit tak jejich opětovnému použití mimo autorizované vybavení.
Šifrování a ochrana dat: BitLocker a další
BitLocker Šifruje systémový disk a data pomocí AES a podporuje TPM, PIN, čipovou kartu a obnovení. Na podporovaných zařízeních lze šifrování zařízení automaticky povolit při prvním spuštění.
Pro vyměnitelná média, BitLocker To Go Chraňte USB a externí disky heslem nebo čipovou kartou. Na hardwaru s automatickým šifrováním může systém Windows využít šifrování s akcelerací disku ke zlepšení výkonu a spotřeby energie.
Windows 11 obsahuje Šifrování osobních údajů pro aplikace k ochraně obsahu propojeného s Windows Hello, a rozšíření ochrany na známé uživatelské složky, jako jsou Dokumenty, Obrázky nebo Plocha.
Ransomware a katastrofy: Porážka se strategií 3-2-1: minimálně tři kopie, na dvou různých médiích a jedna mimo tým. Hihistorie souborů, zálohy systému a OneDrive usnadňují obnovu verzí a zotavení po útokech.
Síť, šifrování při přenosu a služby
Windows upřednostňuje moderní a bezpečné protokoly: TLS 1.3 ve výchozím nastavení a DTLS 1.2 pro UDP se silnými balíčky a menším počtem navazování spojení. To poskytuje soukromí a nižší latenci u šifrovaných připojení.
Systém podporuje Šifrovaný DNS prostřednictvím DoH a DoT, konfigurovatelné pomocí zásad pro vynucení bezpečných řešení s důvěryhodným resolverem, odpovídající modelům Zero Trust, kde perimetr již není důvěryhodný.
Na Wi-Fi, WPA3 Je plně podporován, včetně 192bitové sady Enterprise Suite a EAP TLS s ověřením serveru, plus OWE pro oportunistické šifrování v otevřených sítích.
El Brána Windows Firewall Filtruje příchozí a odchozí provoz pomocí pravidel podle programu, portu, adresy nebo profilu, integruje IPSec pro ověřenou komunikaci a poskytuje podrobné trasování pro audit a ladění.
Malé a střední podniky, tisk a periferie: menší riziko, větší kontrola
SMB ve Windows 11 zvýšil laťku zabezpečení díky Povinný podpis ve výchozím nastavení, silné šifrování a opatření proti zneužitíSMB přes QUIC navíc umožňuje bezpečné sdílení souborů v nedůvěryhodných sítích bez odhalování tradičních portů.
V tištěné podobě Zabezpečený tisk ve Windows a univerzální tisk Modernizují zásobník, odstraňují starší ovladače na klientovi a zmenšují plochu pro zneužití historických ovladačů.
Bluetooth a další bezdrátové protokoly mají zpřísnění směrnic omezit akceptované profily, vyžadovat šifrování a deaktivovat rádia ve vysoce citlivých prostředích.
Na pokročilých zařízeních systém Windows obsahuje fyzické útoky DMA s izolací paměti a monitoruje privilegované režimy firmwaru, jako je SMM, což ztěžuje podvádění pod operačním systémem.
Řízení a zabezpečení podniku z cloudu
s ID Microsoft Entra y Microsoft Intune Zařízení můžete připojovat, registrovat a spravovat pomocí podmíněného přístupu, vícefaktorové ověření (MFA), základních bezpečnostních linií a konfigurace řízené zásadami.
La Vzdálená ověření Pomocí služby Azure Attestation můžete ověřit stav spouštění zařízení a bezpečnostní funkce a podmínit přístup k prostředkům na základě dodržování předpisů zařízením a propojit ho s dodržováním předpisů v Intune.
Autopilot systému Windows a Autopatch automatizují zřizování a aktualizace a Aktualizace systému Windows pro firmy Organizuje nasazení pomocí kroužků a odkladů, aby zaváděl záplaty bez překvapení.
Pro místní privilegia, KROKY Automaticky rotuje heslo správce pro každý počítač, bezpečně ho ukládá a zmírňuje jeho nežádoucí přesun pomocí hashování.
Základní osvědčené postupy proti malwaru a hackerským útokům
- vždy aktualizovat systém, ovladače, firmware a aplikace. Záplaty opravují skutečné zranitelnosti, které útočníci zneužívají, a to během hodin, nikoli týdnů.
- Zapnutí a ponechání programu Microsoft Defender zapnutého, s ochranou v reálném čase, cloudovým úložištěm, doručováním vzorků a ochranou proti neoprávněné manipulaci. Plánujte analýzu a kontrolujte události.
- Posiluje Kontrola uživatelského účtu a vyhněte se spolupráci s administrátorem, pokud to není nezbytně nutné. Méně oprávnění, menší dopad. To můžete zlepšit tím, že Správa lokálního zabezpečení pomocí secpol.msc.
- Spojené státy americké silná hesla nebo ještě lépe přístupové klíčeŽádné opakované použití, žádné osobní údaje. Pokud budete i nadále používat hesla, používejte, kdykoli je to možné, správce hesel a vícefaktorovou autentizaci (MFA).
- Při prohlížení a nakupování používejte zdravý rozum: Zkontrolujte domény, vyhněte se podezřelým odkazům a neočekávaným přílohám. HTTPS šifruje cestu; nelegitimizuje cíl; podívejte se na adresu lupou.
Každodenní sandboxing a kontrola aplikací
Chcete-li otestovat utility nebo otevřít vzácné přílohy, vytáhněte Windows SandboxRiziko dramaticky klesá, pokud se daná aplikace nedotýká vašeho profilu ani skutečného systému.
Pokud spravujete vozový park, uložte seznamy povolených s aplikací App Control for Businessa nechte žít jen to, co vaše společnost potřebuje a co podepisuje. Méně šancí, více správy.
Podpořte tuto strategii tím, Inteligentní ovládání aplikací ve Windows 11 k blokování spustitelných souborů s nízkou reputací, které se vkrádají do každodenního života.
V prohlížečích izolujte relace v Aplikace Guard aby zero-day na webu neohrozil celý tým.
Zálohy, obnovy a odolnost vůči ransomwaru
Pokud se den zvrtne, váš záložní plán udělá rozdíl. Historie souborů a OneDrive umožňují návrat k předchozím verzím a zotavení po celé dny po útoku.
Konfigurovat offline kopie, přírůstkové kopie a kopie mimo pásmo aby se ransomware nedostal ke všem vašim zálohám; přírůstkové kopie zmenšit prostor a okna pro obnovení.
Ve Windows 11, obnova dat z ransomwaru v aplikaci OneDrive pomáhá obnovit synchronizované složky do jejich předchozího stavu, čímž snižuje poškození a prostoje.
Procvičte si zkušební restaurování. Neotestovaná záloha je naděje, ne plánZkoušejte, abyste neimprovizovali z popudu.
Kód, dodavatelský řetězec a kvalita systému
Systém Windows integruje ovládací prvky podepisování kódu a integrita v bootování, jádře a ovladačích. Spouštět by se měly pouze podepsané a schválené komponenty a existují seznamy blokovaných ovladačů pro známé zranitelné ovladače.
Platforma se posouvá směrem k více zabezpečený kód s Rustem v kritických oblastech jádra, čímž se snižuje počet klasických selhání paměti, které útočníci tolik zneužívají a které byly také pozorovány Chyby, které umožňují spouštění aplikací bez povolení.
Dodavatelský řetězec je posílen SBOM podepsán a vylepšené bezpečné inženýrské procesy, audity, odměny za chyby a validace FIPS a Common Criteria v klíčových modulech.
Pro uživatele to znamená, že Aktualizace nejsou rozmarZvyšují bezpečnostní laťku a opravují vektory, které včera neexistovaly, ale dnes existují.
Počítače, které stále používají systém Windows 10, mějte prosím na paměti oznámené ukončení podpory. Naplánujte si migraci na Windows 11 nebo rozšířená řešení podpory, jako například Rozšířené aktualizace zabezpečení (ESU), zejména pokud pracujete s citlivými daty nebo v regulovaném prostředí.
Díky vyladěnému vším nabízejí Windows 11 a Windows 10 velmi solidní platformu pro práci i zábavu bez jakýchkoli problémů. Klíčem je kombinace vrstev: důvěryhodný hardware, zesílený systém, identita bez hesla, kontrolované aplikace, šifrovaná síť a připravené kopie.S tímto receptem se z děsů stávají varování a z incidentů kontrolované anekdoty.
