Если ты хочешь защититься от вирусов, тебе нужен антивирус, верно? Вовсе не обязательно. У антивирусов множество недостатков, поэтому если у тебя на плечах голова и ты готов ее использовать, то можешь сам свести риски заражения к минимуму. Достаточно следовать правилам цифровой гигиены и сделать несколько важных настроек системы. Именно об этих настройках и поговорим.
Думаю, проблемы антивирусов тебе хорошо знакомы. Для меня решающий момент — это риски, связанные с конфиденциальностью. О них открыто сообщается в любом пользовательском соглашении антивируса — от дефолтного «Защитника» Windows до широко известных платных решений.
К тому же антивирус, как известно, не дает стопроцентной гарантии защиты. Поэтому, даже если ты не планируешь отказываться от него, дополнительная защита никогда не помешает.
Важное предупреждение: часть инструментов, о которых я рассказываю в статье, производят глубинные изменения в Windows и не будут предупреждать тебя, если ты сделаешь что‑то не так. При неумелом использовании можно легко повредить систему. Зато в руках профессионала эти утилиты превращаются в грозное оружие против уязвимостей.
Тюнингуем Windows
Надо понимать, что вирус — это всего лишь программа, которая исполняется в ОС. Поэтому первый шаг к противодействию вирусу — правильно настроить окружение.Первым делом нужно создать пользователя с ограниченными правами. Да, все уже миллион раз читали и слышали рекомендации не сидеть под админом, в том числе и в Windows, но почему‑то упорно продолжают.
Если хочешь обходиться без антивируса, заведи привычку сразу после установки ОС и драйверов делать учетку обычного юзера. Это обломает зубы всем вредоносным программам, которые не умеют поднимать себе права. Ну а про то, что система всегда должна быть обеспечена последними патчами, и говорить не стоит, это знают даже малые дети.
Работая от имени пользователя, ты заодно получишь некоторую защиту системных файлов и настроек от несанкционированных изменений. Если вирус или какая‑то другая гадость полезет менять системные файлы, то столкнется с ограничениями доступа.
А дальше нужно уменьшить, насколько это возможно, поверхность атаки на тебя.
Даже если у тебя стоят последние патчи, ты все равно не можешь быть уверен, что нет ни одной уязвимости в компонентах ОС или софте. Бывают и баги нулевого дня, и мы знаем немало историй, когда они становились неожиданностью для огромного числа пользователей.
Значит, если какой‑то компонент или служба не используется, смело отключай ее. Не юзаешь OneDrive? Удаляй! Microsoft Edge? Туда же! У тебя нет принтера? Отключи службу печати. В Windows по умолчанию напихан вагон софта и служб, которыми ты никогда не воспользуешься. Поэтому берем скальпель и вырезаем всё лишнее.
Причем удалять можно как из самой системы, так и сразу из установочного образа, чтобы в случае чего не приходилось повторять те же действия после переустановки системы. Я предпочитаю совмещать эти два способа.
MSMG Toolkit
Несмотря на весьма допотопный интерфейс,Будь ласка,
Увійти
або
Реєстрація
щоб переглянути вміст URL-адреси!
— это очень полезная тулза для создания собственных сборок Windows. Она позволяет удалить кучу всего ненужного (да и нужного — тоже), включая предустановленное ПО и телеметрию. Здесь же можно, например, отключить проверку конфигурации компьютера при установке Windows 11.
MSMG Toolkit
MSMG помогает и добавлять некоторые вещи: например, DirectX, Visual C++ Redistributable Runtimes и другие. Что круто: работа происходит на уровне образа установщика, на выходе будет файл .iso, можно записать его на флешку и устанавливать себе (или какому‑то счастливцу) уже прокаченную версию Windows.
AutoSettings
Будь ласка,
Увійти
або
Реєстрація
щоб переглянути вміст URL-адреси!
— это скрипт с форума
Будь ласка,
Увійти
або
Реєстрація
щоб переглянути вміст URL-адреси!
, созданный пользователями westlife и LeX333666. Поскольку это просто сценарий PowerShell, ты можешь прочесть его от начала и до конца, чтобы убедиться, что ничего вредоносного в нем нет. Но полезного — просто масса. Если MSMG Toolkit не осилил какие‑то настройки, то AutoSettings точно довершит дело.
AutoSettings
Для скрипта есть пресеты, которые позволяют детально настроить то, что он будет делать. Плюс есть интерфейс, в котором можно посмотреть, что включено или выключено в системе в данный момент.
Если ты обратил внимание на скриншот, то заметил предупреждение, что Windows 11 не поддерживается. Но на самом деле автор, похоже, просто не исследовал все фичи последней версии Windows и некоторые новые настройки пока не реализованы. Но те, что есть, прекрасно работают! Кроме того, код скрипта можно дорабатывать и добавлять любые настройки самостоятельно.
Файрвол
Переходим к сетевой защите. Все знают, что в Windows есть встроенный файрвол. У многих к нему весьма предвзятое отношение, но он достаточно неплох, особенно если его правильно настроить.В сторонних файрволах присутствует HIPS (Host-based Intrusion Prevention System) — система, которая защищает сам файрвол от воздействия других, в том числе вредоносных, программ. В Windows тоже есть механизмы, мониторящие целостность системных компонентов. Но все‑таки это не классический HIPS, и это нужно понимать.
Сторонние файрволы
Почему бы не использовать сторонние файрволы? Здесь меня останавливает все та же любимая паранойя. Ставишь в систему что‑то новое, и вот нужно доверять еще одной компании.Ты можешь возразить, что есть опенсорсный Portmaster, за который можно не переживать. Но заметил ли ты, что у него нет офлайнового установщика? Сообщество давно ждет от разработчиков возможность ставить Portmaster обычным инсталлятором, который не делал бы запросов к серверу, но такой возможности до сих пор нет.
Я нахожу это странным и пока не рискую использовать Portmaster. К тому же у него есть проблемы с производительностью на быстрых каналах.
Что до дополнительной настройки стандартного файрвола, то тут нам пригодится тулза Malwarebytes Windows Firewall Control.
Windows Firewall Control
Это просто удобная панель управления встроенным файрволом Windows. Как его настроить самому? Я в первую очередь наглухо запрещаю входящие соединения. Затем удаляю все правила файрвола и включаю оповещения на любое сетевое взаимодействие. Хочет программа или компонент ОС сходить в интернет? Windows Firewall Control скажет тебе от этом, а ты уже примешь решение. Если на твою машину попал стилер, то он как минимум не сможет достучаться до управляющего сервера и передать награбленное своим хозяевам.
Из минусов утилиты — закрытый исходный код. Но если тебя одолевает паранойя, то можешь установить Windows Firewall Control, сделать все настройки, а затем удалить. Все созданные правила останутся в системе, если ты откажешься от предложения вернуть всё как было.
Настраиваем UEFI
Не стоит забывать про буткиты, а для борьбы с ними поможет небольшая настройка UEFI. Вот что нужно сделать обязательно для его защиты.Во‑первых, нужно регулярно обновлять UEFI. К сожалению, это узкое место в безопасности устройства: в UEFI регулярно находят новые уязвимости, а старые не всегда закрывают оперативно.
Во‑вторых, рекомендую выключить Secure Boot. Это функция, которая проверяет подпись загружаемых модулей EFI, чтобы убедиться, что они не были изменены злоумышленником. Казалось бы, это должно повышать безопасность, но на деле в самом этом механизме часто находят уязвимости.
Вспомогательный софт
Естественно, настройками одной ОС не обойтись, и нам все же понадобится сторонний софт — безопасный либо обеспечивающий безопасность.Librewolf
Браузер — критичное в плане безопасности и конфиденциальности приложение. Его могут попытаться отслеживать, атаковать через эксплоит‑паки и скрипты. Поэтому к выбору браузера и его плагинов нужно отнестись серьезно.Мне в этом плане приглянулся форк Firefox под названием Librewolf. В нем вырезан код, отвечающий за телеметрию, централизованную установку обновлений и другие функции, которые могут повредить конфиденциальности. Но на него по‑прежнему можно устанавливать все плагины, доступные в стандартном каталоге Firefox.
Вот минимальный набор плагинов, которые я рекомендую установить для того, чтобы сделать браузер более устойчивым к попыткам воздействия:
-
Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!— для блокировки JavaScript;
-
Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!— блокирует рекламу, трекеры и вредоносные компоненты на сайтах;
-
Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!— позволяет запускать каждую вкладку в отдельном изолированном контейнере.
Понимаю, что выбор браузера — тема извечного холивара. Если ты сторонник браузеров на Chromium, то найдутся варианты и для тебя, например
Будь ласка,
Увійти
або
Реєстрація
щоб переглянути вміст URL-адреси!
.Sandboxie
Перед нами часто стоит дилемма: запустить новое приложение любопытства ради или лучше все же не стоит — из соображений безопасности. Программа Sandboxie избавляет от этого выбора. Она позволяет создавать изолированные пространства для запуска потенциально уязвимых или опасных приложений. Виртуализация производится на уровне фильтрующего драйвера, что дает неплохую защиту, особенно если ты уже воспользовался рекомендацией сидеть под учеткой юзера.Приложение платное, но есть и бесплатные возможности, которых может вполне хватить. Код Sandboxie полностью открыт и доступен
Будь ласка,
Увійти
або
Реєстрація
щоб переглянути вміст URL-адреси!
.Такие вещи, как браузер и читалка PDF, можно всегда запускать в Sandboxie — на случай если в них все же найдется уязвимость, которую не успел закрыть разработчик. И конечно, в Sandboxie стоит открывать неизвестные приложения и всякие подозрительные, но любопытные штуки, скачанные из темных уголков интернета.
Еще лучше будет настроить самоочистку изолированной среды. Когда открытые в ней программы завершатся, она может сбросить все изменения. Этим ты еще и обеспечишь повышенную конфиденциальность: если, например, работать в таком режиме с браузером, то куки будут значительно менее эффективным средством слежения за тобой.
Портативные версии приложений
Для установки приложений часто нужны права администратора, а это повышает риск компрометации, особенно если ставить софт из неизвестных источников. Минимизировать риск (но не исключить его полностью) можно, используя портативные версии программ. Они не требуют установки, и, даже если в них и будет заложена вредоносная функциональность, далеко в системе вирус не продвинется. А правильно настроенный файрвол не даст утечь твоим данным на сторону.ESET Sysinspector
Это хороший монитор компонентов, установленных у тебя в системе. ЧемБудь ласка,
Увійти
або
Реєстрація
щоб переглянути вміст URL-адреси!
отличается от антивируса? Он не требует установки, не встраивается в систему и не находится постоянно в активном состоянии. То есть модель работы с ним такова: запустил, проверил, нет ли в Windows следов непрошеных гостей, и выключил.Это явно лучше, чем находиться под неусыпным мониторингом одного из классических антивирусов. Кроме того, ESET Sysinspector не требует для работы соединения с интернетом, так что никакие данные он не украдет. Но есть и минус: исходный код приложения закрыт.
