Безопасная настройка Windows 7

7. Панель управления – Центр управления сетями и общим доступом – Изменение параметров адаптера – Свойства адаптера
Отключить Клиент для сетей Microsoft
Отключить Службу доступа к файлам и принтерам сетей Microsoft
Отключить Протокол Интернета версии 6
Отключить Драйвер в/в тополога канального уровня
Отключить Ответчик обнаружения топологии канального уровня

В win7 учетная запись администратора уже изначально ограничена на уровне токена. Фактически даже у администратора он уже весьма куцый. Именно это и приводит к срабатыванию UAC, когда приложение запущенное пытается воспользоваться администраторскими привилегиями. Именно по этому даже работая под учетной записью входящей в группу администраторов приходится ряд приложений запускать явно указав системе, что именно сейчас это приложение надо "запустить из под админстратора".
Однако, всё равно имеет смысл работать из под учетной записи обычного пользователя.

Установка антивирусов полезна не только сама по себе, но и в том случае если они совмещены с файерволом. Такие пакеты ловят не только попытки взлома браузера при посещении сомнительных сайтов, но и блокируют некоторые кукисы – "tracking cookie".
Хороший антивирус всегда содержит в себе IDS и потому позволяет создавать правила не только на сетевую активность приложений, но и для контроля куда именно лезут в системе. На предмет чтения/изменения данных о пользователе, конфигурации в ветках реестра или попытки доступа к системным файлам.

Нет смысла полагаться сугубо на настройки групповых политик в плане запрета автозапуска всякой хрени со сменных носителей (типа cd/dvd/blueray дисков и usb mass storage девайсов, сродни флешек, карт памяти), т.к. настройки могут быть изменены тихой сапой в ходе установки какого-нибудь из обновлений. Антивирусы же подходят именно как дополнительный уровень контроля. В том числе позволяют не только запретить автозапуск, но можно в них вообще запретить запуск каких либо приложений со сменных носителей. При этом профиль настроек антивируса для разных пользователей системы может быть разным. Например, при логоне под аккаунтом жены система сама по себе, да и антивирус будут запрещать практически всё, что только можно. А из под аккаунта мужа – будет уже несколько другой колленкор.

Настройки обновления имеет смысл выставить в "загружать, но сам решу когда устанавливать" или "не загружать автоматически". В таком случае система будет оповещать о выходе обновлений, но у пользователя будет возможность устанавливать лишь то, что сочтет нужные.

Учетная запись Гость нужна для возможности захода на сетевые шары этого компьютера без логина. При этом, у Гостя может быть отключена возможность интерактивного логона на машину. Т.е. ни по RDP, ни физически сев за машину никто не сможет использовать Гостя.

Если нет доверия к какому-то приложению, то его можно запустить из под специальной сильно ограниченной учетной записи. Зажимаем shift + правая кнопка на мыши – будет видно более расширенный вариант меню, с пунктом "Run as different user".

Ну вроде на первое время должно хватить, дальше уже нужно более детальное погружение.

Учетная запись Гость нужна для возможности захода на сетевые шары этого компьютера без логина

а зачем это нужно? необходимо явно указать кому и как разрешен доступ к расшаренным ресурсам. автоматика здесь неуместна. если уж говорить фундаментально о защите компа.

то его можно запустить из под специальной сильно ограниченной учетной записи

врядли это сильно ущемит приложение. скорее всего эффективно запустить его в песочнице из под пользователя с ограниченными правами.

8. Если Вы под юзером (а иначе и быть не должно), то Запуск от имени администратора – C:\Windows\system32\gpedit.msc
Конфигурация пользователя – Административные шаблоны – Меню Пуск и Панель задач
Не хранить сведения о недавно открывавшихся документах
Удалить меню Недавние документы из меню Пуск

Затем удалить все прежние ярлыки из
C:\Users\%USERPROFILE%\Recent

Konstantine (28/02/2013 23:46)
6. Панель управлени

имхо, сказанное в этом пункте справедливо, если включена учетная запись Гость. в таком случае допускается автоматический доступ к расшаренным ресурсам и справедливо, как вы пишите, рубить это все. НО если Гостя убрать, то к расшаренным ресурсам просто так не доберешься.

Удалить меню Недавние документы из меню Пуск

коль пошла такая пьянка, то вы достигнете неотображение явное, но здесь Recent все ссылки будут видны.

ЗЫ пардоньте ((((( не дочитал

C:\Users\%USERPROFILE%\Recent

еще раз сорри.

IPv6 можно вырубить как в Свойствах адаптера, так и целиком в системе.

7. Панель управления

есть смысл ОБЯЗАТЕЛЬНО оговариваться в каких случаях это отрубать. если пользователь возьмет предложенное бездумно, могут возникнуть проблемы в существующей локальной/домашней (если существует) сети.
наверно лучше оговорится изначально, что компьютер не является частью локальной/домашней сети и имеет прямое подключение к инету. есть ведь еще разные сетевые устройства, через которые возможен доступ к инет.

Учетная запись Гость нужна для возможности захода на сетевые шары этого компьютера без логина

Автоматика лишь в том, что это банальный автологон на те шары, которые были оттопырены с компа с правом доступа "для всех". Например, так может быть оттопырена папка с видео файлами. Дабы можно было скаченное с торрентов смотреть с ноута или планшета в другой комнате. Не вводя каждый раз имя пользователя и пароль.

то его можно запустить из под специальной сильно ограниченной учетной записи

Очередной линуксойд пытающийся что-то вещать относительно ОСь в системе безопасности которой не разбирается? Ну так сходи поучи, что такое MAC/DAC, ACL, ACE и как это используется в windows'ах.

Автоматика лишь в том

понеслись частности и оговорки. ну тогда нечего отключать Удаленный рабочий стол, а вдруг это кому то надо. да и про профилирование можно забыть, так же как и о UAC, если комп используется как игровая приставка или печатная машинка.. ну и т.д.

ну вот что за люди такие.. сразу хамить.

Ну так сходи поучи

не говорите что мне делать и я не скажу куда вам идти.

по поводу MAC/DAC, конечно знаю и вам советую почитать
и что вы хотите сказать что в Линуксе нет аналога ACL? ))) даже в Маках есть.
дальше продолжать расшифровывать аббревиатуры? ))) смешно.

Konstantine, интересно излагаете.
В особенности, 1 комментарий = 1 пункт.
Наверное, лучше от общего к частному, чтобы детали вытекали из общей картины. И компрессию увеличть, хотя бы до 10 пунктов на 1 камент. Но это так, личное видение вопроса.


Думаю, лучше вот так: Установка фаерволов не только полезна сама по себе, но и в том случае, если в них есть модуль проактивной защиты.


При таком подходе лучше сразу чисто сердечное написать.
Один комп, ноут, телефон – один пользователь.


Его не надо запускать вообще.
Ребята, эксперименты и тесты делаются на тестовых машинах. В работе импровизация подобного рода явно лишняя.


Как-то не очень стыкуется с анонимностью и безопасностью. Торренты, видео, шары, wi-fi в общем случае.

имхо, если говорить в общем случае о безопасности и о рядовом пользователе, коими являются, грубо, более 80 % всех пользователей ПК, то размышлять об установке антивируса и файервола неуместно. для означенных пользователей они нужны 100%, даже с настройками по умолчанию (!) ибо, практически все эти пользователи сидят под учеткой Administrator.