Windows 7系统的坚如磐石硬化?


7

我历史上是一个Linux人,只有在我必须通过虚拟机时才使用Windows。然而,我最近购买了一台新的钻机,这样我就可以保留专用的Windows 7机器来进行艰苦的工作(咳嗽,游戏,咳嗽)以及不能在Linux上运行的软件。

我有点紧张了。我非常擅长强化Linux系统,但就Windows来说,我是一个缺水的人。我已经安装了Microsoft Security Essentials并启用了Windows防火墙,但我仍觉得这还不够(在我将妻子从Windows Vista转换到Linux之前,我看到一些病毒已经超过了Security Essentials。但是,她可能帮助了他们......她很快就点击了一下。

除了切断网线之外,偏执狂用户应该采取哪些措施才能使Windows 7设置尽可能安全?


运行64位版本的W7,它比32位版本的开箱即用更安全。
Moab

@Moab 64位版本如何比32位更安全?
abstrask

由于Vista 64位使用KPP或Patchguard,因此可以防止恶意软件试图修补内核以获得超级root权限.... en.wikipedia.org/wiki/Kernel_Patch_Protection
Moab

Answers:


11

在管理员帐户旁边使用普通用户帐户设置Windows 7,就像在Linux上一样。用普通用户帐户真正搞砸整个PC几乎是不可能的。

这样,任何可疑活动都需要在提升提示下输入管理员密码(相当于sudo)


2
这个简单的步骤为您提供了很多保护。
LawrenceC

您可以通过调整UAC设置来完成此操作。
Ben Voigt

重命名管理员&客人帐户也是可能的。运行“secpol.msc”,然后导航到安全设置 - >本地策略 - >帐户:重命名管理员帐户/重命名访客帐户。此外,这些对话框提供了大量其他安全设置,为您提供加强乐趣!
Chad Harrison

标准用户FTW。
surfasb

8

我认为,鉴于您来自一个需要您了解正在发生的事情的环境,您将毫无疑问在Windows上保持安全。根据我的经验,大多数问题都来自缺乏经验或懒惰的用户在脚下拍摄自己(和他们的系统)。 Windows为您提供了合理的安全级别,但当然不会阻止您(用户)削弱它。以下列表是相当基本的常识,但恕我直言是大多数问题出现的地方:

  1. 注意UAC提示 - 即使您的用户具有管理员权限,Windows仍然需要您确认需要提升的任何内容。注意你授权的内容。
  2. 确保您允许Windows始终掌握更新。
  3. 不要安装你不信任的软件 - 尤其要远离像keygens,游戏破解等的阴暗软件。
  4. 了解防火墙的工作原理 - 如果您一直在使用 iptables 那么这将是一个数量级的简单。使用 Windows高级防火墙 屏幕检查和管理暴露的内容。
  5. 不言而喻,不要点击那个伟哥广告!

4
并将UAC一路提升。 Vista在这方面做得更好,Windows 7中的默认设置允许对Microsoft签名的可执行文件进行各种注入攻击,以便在没有提示的情况下运行任意代码。
Ben Voigt


2
  1. 除了Windows Security Essentials和防火墙,我也会安装 EMET (来自的增强型缓解体验工具包) Microsoft)不要忘记阅读EMET用户指南。
  2. 始终使用标准用户帐户作为默认帐户。完全打开UAC设置。
  3. 如果你从互联网上下载很多安装免费版本 的Malwarebytes 让它有时扫描你的电脑。
  4. 下载一个好的任务管理器 流程黑客 要么 处理 探险者 ,因为在Windows 7中内置的不是那么好 (Windows 8内置一个更好)。但是你可以使用资源 监控(输入搜索resmon.exe)这是好的。
  5. 使用64位版本的Windows 7/8
  6. 如果您已从浏览器中下载Java禁用Java Java控制面板
  7. 从中下载工具 Nirsoft 要么 Sysinternals的 像TcpView,可能会帮助你 如果你抓到一些恶意软件
  8. 打开 数据执行保护 适用于所有课程。
  9. 我会使用Chrome,因为它设计安全,我认为它是 比其他浏览器更安全(只是我的意见)。
  10. 更改高级共享设置,关闭网络发现。
  11. 始终安装最新的Windows更新
  12. 我个人会升级到Windows 8.1,这比Windows 7更安全

你可以走得更远,但通常你只需要做2,3和11.而且因为你是一位经验丰富的用户,你将是安全的。


0

如果将Windows计算机用作Web客户端,最好将Firefox与NoScript插件一起使用。 (当然还有Adblock Plus;不言而喻。)

如果您不小心导航到带有恶意脚本的网站,NoScript将保存您的屁股。

NoScript可能是突兀的,需要用户教育。 (如果用户只是盲目地对所有脚本说“是”,那就毫无意义了。)

安装Evince以阅读PDF文件;远离Adobe。 (有一种方法可以让Evince在Firefox中显示嵌入式: http://www.libertexto.org/libertexto_en.html 。)

不要使用Windows Media Player;安装替代方案。 Windows Media Player允许媒体文件提示用户下载内容。 “你需要一个特殊的编解码器来播放这个视频。点击安装FOO.EXE。”

培训您的用户不要下载和打开通过电子邮件收到的任何不受信任的附件,也不要对任何意外的对话框说“是”。


关于NoScript的说明,但需要注意的是 很久以前(FireFox 1.5,有人吗?)我可能是唯一一个体验它的人。我有一些页面,即使我已将所有内容列入白名单,我仍然可以继续操作并禁用页面上的某些脚本(我猜他们有不同的基于服务器的脚本或其他一些脚本) - 这甚至可以继续在我卸载了添加后。我认为它在一些奇怪的地方留下了一些爪子,从来没有完全删除它们。所以请注意这一点。
Margaret

0

我想补充/更新几点:

获得一个好的安全软件(在Windows上是必需的)。 MSE是不够的。 你可以在网上查看免费/付费的。 我不能在这推荐一个。

虽然有点 极端 还有一个想法是在驱动器上安装Windows,在其他驱动器上安装软件。 将文档/数据保存在非Windows驱动器上 配置窗口/软件,然后使用faronics deepfreeze之类的东西“冻结”Windows分区。

通过阻止对Windows文件或设置的任何持久更改,这肯定会保护您免受各种恶意软件的侵害。 只需重启就足以摆脱所有恶意软件及其对系统的影响。 防病毒软件将在非Windows驱动器上使用恶意软件。


0

有几种方法可以强化Windows系统,第一种方法是删除/禁用您不使用或不使用的任何服务。即远程服务或远程登录。接下来,您要禁用/重命名内置帐户。您希望拥有和管理员帐户,但这不应该是您每天要登录的帐户,您想为自己创建一个用户帐户,而该帐户应该是您正在使用的帐户。我知道这是加重但是如果下载恶意软件,它将只能在您当前登录的级别运行。保持系统更新和良好的AV非常重要。最后,如果您使用DISA,FISMA或NIST的STIG,它将为您的构建提供良好的基线。其中一些网站在盒子里 https://web.nvd.nist.gov/view/ncp/repository 要么 http://iase.disa.mil/stigs/Pages/index.aspx

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.