Параметры групповой политики
Помимо изменения самого реестра, изменение локальной групповой политики является самым мощным способом изменения многих аспектов вашей системы без установки сторонних инструментов. Для изменения этих настроек требуется Pro Edition или выше.
Эти настройки должны быть установлены на совершенно новой установке Windows. Установка их на существующей установке должна работать, но может привести к непредсказуемому поведению и выполняется на ваш страх и риск.
Все эти параметры имеют пояснение, прикрепленное к ним в редакторе групповой политики, которое объясняет, что именно они делают, обычно очень подробно. Пожалуйста, обращайте внимание на эти описания, когда вносите изменения, чтобы вы точно знали, что мы здесь рекомендуем. Мы также объяснили некоторые из наших выборов ниже, когда пояснение, включенное в Windows, неадекватно.
Административные шаблоны
Вы можете найти эти настройки, открыв gpedit.mscи перейдя в Local Computer Policy > Computer Configuration > Administrative Templates на левой боковой панели. Заголовки на этой странице соответствуют папкам/подпапкам в Administrative Templates, а маркеры соответствуют отдельным политикам.Чтобы изменить любую групповую политику, дважды щелкните ее и выберите Включено или Отключено в верхней части окна, которое появляется в зависимости от рекомендаций ниже. Некоторые групповые политики имеют дополнительные параметры, которые можно настроить, и в этом случае соответствующие параметры также указаны ниже.
Система
Устройство Guard
- Включить безопасность на основе виртуализации: включено
- Уровень безопасности платформы: безопасная загрузка и защита DMA
- Конфигурация безопасного запуска: включена
Управление интернет-коммуникациями
- Отключить программу улучшения качества программного обеспечения Windows: включено
- Отключить отчеты об ошибках Windows: Включено
- Отключить программу улучшения качества обслуживания клиентов Windows Messenger: включено
Политики ОС
- Разрешить историю буфера обмена: отключено
- Разрешить синхронизацию буфера обмена между устройствами: отключено
- Включает ленту активности: Отключено
- Разрешить публикацию действий пользователя: Отключено
- Разрешить загрузку действий пользователя: Отключено
Профили пользователей
- Отключить рекламный идентификатор: Включено
Компоненты Windows
Политики автозапуска
AutoRun и AutoPlay — это функции, которые позволяют Windows запускать скрипт или выполнять некоторые другие задачи при подключении устройства, иногда обходя меры безопасности, которые требуют согласия пользователя. Это может позволить ненадежным устройствам запускать вредоносный код без вашего ведома. Лучшая практика безопасности — отключить эти функции и просто открывать файлы на внешних дисках вручную.- Отключить автозапуск: Включено
- Запретить автовоспроизведение для негромких устройств: Включено
- Установить поведение по умолчанию для AutoRun: Включено
- Поведение AutoRun по умолчанию: не выполнять команды AutoRun
Шифрование диска BitLocker
После изменения этих настроек вам может потребоваться повторно зашифровать диск операционной системы.- Выберите метод шифрования диска и стойкость шифра (Windows Vista, Windows Server 2008, Windows 7): Включено
- Выберите метод шифрования: AES-256
Диски операционной системы
- Требовать дополнительную аутентификацию при запуске: Включено
- Разрешить расширенные PIN-коды для запуска: Включено
Облачный контент
- Отключить оптимизированный для облака контент: Включено
- Отключить содержимое состояния учетной записи потребителя облака: Включено
- Не показывать советы Windows: Включено
- Отключить возможности Microsoft для потребителей: Включено
Интерфейс пользователя для учетных данных
- Требовать доверенный путь для ввода учетных данных: Включено
- Запретить использование контрольных вопросов для локальных учетных записей: Включено
Сбор данных и предварительные сборки
- Разрешить диагностические данные: Включено
- Варианты: отправка необходимых диагностических данных (Pro Edition); или
- Параметры: Диагностические данные отключены (Enterprise или Education Edition)
- Ограничить сбор диагностических журналов: включено
- Ограничить сбор дампа: включено
- Ограничить необязательные диагностические данные для Desktop Analytics: Включено
- Параметры: Отключить сбор данных Desktop Analytics
- Не показывать уведомления об отзывах: Включено
Проводник файлов
- Отключить аналитику на основе учетной записи, недавние, избранные и рекомендуемые файлы в проводнике: включено
МДМ
- Отключить регистрацию MDM: Включено
OneDrive
- Сохранение документов в OneDrive по умолчанию: отключено
- Запретить OneDrive генерировать сетевой трафик, пока пользователь не выполнит вход в OneDrive: включено
- Запретить использование OneDrive для хранения файлов: Включено
Нажмите, чтобы установить
- Отключить службу Push To Install: Включено
Поиск
- Разрешить Кортану: Отключено
- Не выполнять поиск в Интернете и не отображать результаты поиска в Интернете: включено
- Установить, какая информация будет предоставлена в Поиске: Включено
- Тип информации: Анонимная информация
Синхронизируйте свои настройки
- Не синхронизировать: Включено
Ввод текста
- Улучшение распознавания рукописного ввода и набора текста: отключено
Отчеты об ошибках Windows
- Не отправлять дополнительные данные: Включено
- Согласие > Настроить согласие по умолчанию: Включено
- Уровень согласия: Всегда спрашивайте перед отправкой данных
Дополнительные параметры конфиденциальности Windows
Объем телеметрических данных, собираемых Microsoft, ошеломляет и может свести на нет ваши попытки сохранить секреты. Вам нужно будет загрузить и использовать несколько утилит, чтобы (надеюсь) заставить Windows 10/11 не отправлять данные обратно в Microsoft.Вот подробные шаги:
- НИКОГДА НЕ ИСПОЛЬЗУЙТЕ УЧЕТНУЮ ЗАПИСЬ MICROSOFT ДЛЯ ВХОДА В СИСТЕМУ. Если вы это делаете, вам следует переустановить этот компьютер с Windows без подключения к сети и использовать вместо этого локальную учетную запись.
- Выполните эти шаги с другого компьютера. Не подключайте Windows 10/11 к Интернету, пока эти настройки не будут применены. Вы можете загрузить и скопировать их на USB-ключ (для переноса на новую установку Windows 10/11) или, если это виртуальная машина, вы можете перенести их на виртуальную машину в Virtualbox (Параметры виртуальной машины > Общие > Дополнительно > Перетаскивание > Включить хост в гостевую).
- (Для более продвинутых пользователей) Загрузите и установите W10Privacy с
Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!
- Откройте приложение от имени администратора (щелкните правой кнопкой мыши > еще > запустить от имени администратора)
- Проверьте все рекомендуемые (зеленые) настройки и сохраните.
- Необязательно, но рекомендуется (но это может привести к поломке, используйте на свой страх и риск), также проверьте настройки оранжевого/красного и сохраните.
- Перезагрузить
- Загрузите и запустите WindowsSpyBlocker с
Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!
- Введите 1 и перейдите в раздел «Телеметрия».
- Введите 1 и войдите в брандмауэр.
- Введите 2 и добавьте Spy Rules
- Перезагрузить
- Также рассмотрите возможность использования ShutUp10++ с
Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!
- Включите как минимум все рекомендуемые настройки.
- Наконец, для пользователей со средними навыками рассмотрите возможность установки Safing Portmaster с
Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!(Внимание: могут возникнуть проблемы с некоторыми VPN-клиентами. См.:Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!
- Вернитесь в последний раз к настройкам, чтобы удалить диагностику и удалить все данные.
Вам придется обновлять и перезапускать эти утилиты часто, а также после любого крупного обновления Windows, поскольку они, как правило, автоматически повторно включают телеметрию с помощью этих обновлений.
В качестве бонуса может быть интересно рассмотреть возможность усиления защиты вашей ОС Windows Host. См.
Будь ласка,
Увійти
або
Реєстрація
щоб переглянути вміст URL-адреси!
Будь ласка,
Увійти
або
Реєстрація
щоб переглянути вміст URL-адреси!
(Это руководство по безопасности, а не по конфиденциальности. Если вы используете это руководство, не включайте Hyper-V, так как он плохо работает с Virtualbox, и не включайте функции, которые были специально отключены ранее по соображениям конфиденциальности. Например, SmartScreen, защита облака...)
Останнє редагування:
