Как я могу сделать Windows PC пуленепробиваемым для домашних пользователей?

16709
Andrew Garrison

Я понимаю, что защита от вирусов на ПК с Windows далеко не годится, но в целях минимизации времени, затрачиваемого на «семейную техническую поддержку», я ищу идеи, чтобы заблокировать компьютер до такой степени, чтобы он очень трудно собирать рекламные / шпионские программы, вредоносные программы или вирусы.

Предположим, что пользователь - моя мама, которая редко, если вообще когда-либо, нуждается в доступе администратора и в основном использует компьютер для MS Office и просмотра веб-страниц.

102
Заверните это в свинец;) DisgruntledGoat 14 лет назад 35
Я думал о Кевларе! Pauk 14 лет назад 23
Отключите интернет-соединение. Scott 14 лет назад 36
не совсем, обсуждение там не распространяется на программное обеспечение, в основном о настройке окон для безопасности Jake McGraw 14 лет назад 0
Вау, мой вопрос только что слился? Jake McGraw 14 лет назад 0
Отключите кабель питания. zildjohn01 14 лет назад 31
Сила это с криптонитом! Moab 13 лет назад 2
Выкинь это в окно! studiohack 13 лет назад 2
Переключиться на Ubuntu Aki 13 лет назад 7
Материнский компьютер, скорее всего, ничего не получит. Только их стандартные веб-сайты. Многие из них почти не выходят в Интернет. Или сделать это очень консервативно. barlop 13 лет назад 0
Как сказал Аки, убери ее от уязвимой ОС. Ubuntu позволит ей использовать Open Office, Firefox и множество медиа-плееров. dotancohen 10 лет назад 0

23 ответа на вопрос

84
Kirill Strizhak

Наверное, лучший совет, который я когда-либо слышал по этой теме: « Прекратите работать от имени администратора .

Это самый простой и быстрый способ. RANU. Will 14 лет назад 1
Самый простой? На Windows XP? Ты, должно быть, шутишь. (Я однажды попробовал это.) grawity 14 лет назад 27
@ Grawity: ммм, стараться? :] Хорошо, извини. Плохая шутка, просто не удержался;) Да, это не так просто, как кажется, и требует некоторой настройки. Но, имхо, это оказывает наибольшее влияние, к которому может приблизиться только скрытие за NAT и межсетевым экраном. Kirill Strizhak 14 лет назад 1
Да, просто. Даже мои мама и папа могут это сделать. Treb 14 лет назад 0
Я не согласен. Я пробовал это сделать, но многие программы Windows плохо написаны, и предположим, что у вас есть окна по умолчанию со всем по умолчанию. Я также пытался переместить папки «Мои документы» на другой диск, и некоторые программы просто писали на C: ... Manu 14 лет назад 5
Да, это не * NIX:] У меня было много проблем даже с этой новой и блестящей Win7. Вот почему мне лично больше нравится ответ Gnoupie. Не могу винить в этом только одну ОС. Разработчики программного обеспечения предполагают, что запуск в качестве администратора - единственный способ, которым кто-либо использует Windows, усугубляет проблему. Ну, я думаю, что это должно прекратиться в какой-то момент - может быть, больше людей должны начать работать как пользователи и начать ворчать о том, как это не работает в некоторых случаях? Я сомневаюсь, что это сделает заметную часть существующего программного обеспечения исправленной, но, возможно, по крайней мере люди, пишущие новое программное обеспечение, примут это во внимание? Kirill Strizhak 14 лет назад 0
Я делаю это, но я действительно скучаю по "sudo". mmyers 14 лет назад 0
Я всегда заменяю дрянное программное обеспечение более качественным программным обеспечением, которое учитывает мой выбор привилегий учетной записи и расположение хорошо известных папок. UAC в Vista заставил многих авторов программного обеспечения улучшить свои приложения. macbirdie 14 лет назад 0
mmyers - используй sudowin;) macbirdie 14 лет назад 0
Раньше было настоящей проблемой работать без прав администратора, однако, так как досадная подсказка UAC в перспективе многие крупные компании реинжинирировали свое программное обеспечение, чтобы не нуждаться в правах администратора так часто. Если вы не пробовали это в течение нескольких лет, возможно, пришло время попробовать еще раз. Col 14 лет назад 5
50
EvilChookie

Я становлюсь очень раздражительным, когда вижу эти вопросы, потому что слишком много людей просто хотят сменить компьютер, а не пользователя (когда именно пользователь неизменно вызывает проблемы).

Учтите: почти в каждой сети имеется устройство NAT между локальной сетью и Интернетом. Это останавливает случайное дерьмо от просто блуждания, поэтому подавляющее большинство машин будет в порядке.

Только когда пользователь на месте, это проблема. Мое решение: исправить пользователя.

Мой список, чтобы сохранить пуленепробиваемый компьютер вашей мамы:

  1. Обучите ее компьютерной безопасности и использованию компьютера:

    • Не учите ее, как выполнять определенные задачи («нажмите здесь и т. Д.»). Научи ее ЧЕМ и ПОЧЕМУ. Подумайте о том, когда вы впервые открываете новую программу. Большинство компьютерных грамотных людей будут иметь хорошее представление о том, как их использовать. Это потому, что вы понимаете ЧЕГО вы хотите достичь и ПОЧЕМУ вы хотите этого достичь. HOW следует очень быстро после, потому что вы знакомы с HOW из других программ. Когда-нибудь менялись почтовые клиенты? Вы поймете, о чем я.
    • Золотое правило: если ты не знаешь, не делай этого.
    • Вторично золотому правилу: прочитайте, что говорится в сообщении об ошибке, и подумайте о том, что вы сделали, чтобы его вызвать, - не просто вскидывайте руки и ругайтесь
    • Обучите ее, что только потому, что что-то бесплатно, у нее нет подписки на нее или попытайтесь установить это.
  2. Установите Google Chrome - быстрый и компактный браузер.

  3. Установите на ваш выбор бесплатный антивирус. Что-то с низким уровнем преследования это хорошо.

  4. Убедитесь, что автоматические обновления включены, и что ваша мама знает, как с ними справиться. Примите их, установите их, перезагрузите компьютер.

Мои родители работали с Windows XP в течение 4 лет без программного брандмауэра - только Firefox и AVG. Они проверяли свою электронную почту, занимались онлайн-банкингом, играли в некоторые Guild Wars онлайн, и у них не было вирусов. У меня было много проблем от случайных людей, которые пытались найти вирусы на моих компьютерах, но они всегда просто теряли свое время.

Я согласен с тем, что в конечном итоге лучше всего обучить пользователя, но, к сожалению, это невозможно во всех ситуациях. Andrew Garrison 14 лет назад 17
Я бы не согласился - единственное время, когда невозможно обучить кого-либо, это когда он не хочет учиться. EvilChookie 14 лет назад 5
знания> автоматизация Paul Nathan 14 лет назад 4
В качестве альтернативы обучению пользователя, может быть, если пользователь отказывается от обучения, вам просто нужно забрать компьютер. Мы не просто позволяем случайным Yahoo прыгать в машину и водить ее, не так ли? ... о, подожди. Jay R. 14 лет назад 1
@Jay: Как правило, большинство людей, которые водят, должны иметь лицензию на вождение. Плохие драйверы обычно являются результатом плохих инструкций. На мой взгляд, плохие водители = плохие инструкции (или их отсутствие). Проблемы с компьютерами = плохая инструкция (или ее отсутствие). EvilChookie 14 лет назад 1
Msgstr "Прочитать, что говорит сообщение об ошибке". Техническим специалистам можно посоветовать не воспринимать значение описания сообщения об ошибке слишком серьезно, а гуглить сообщение об ошибке. Конечные пользователи иногда воспринимают это слишком серьезно. Или они говорят: «Компьютер говорит, что я не могу этого сделать». barlop 13 лет назад 0
По моему опыту, все, что появляется с сообщением об ошибке, просто вызывает реакцию «щелкни, чтобы убрать». В ожидании образования, я все еще буду искать другие решения ... Benjol 12 лет назад 5
Я должен сказать, я согласен с этим * до некоторой степени *. Вам не нужно узнавать о безопасности и дополнительных настройках, чтобы использовать компьютер. Ни одна другая бытовая техника не требует таких знаний, и на самом деле настало время настигнуть компьютеры. Тем не менее, ваш список вещей для изучения звучит очень разумно, ИМО. Django Reinhardt 12 лет назад 1
Не могу согласиться с рекомендацией Chrome. Chrome больше не быстр и не чист. Попробуйте свободный браузер, такой как Firefox. Darth Egregious 10 лет назад 0
30
Bruce McLeod

Я не люблю просто давать ссылки в качестве ответов, но взгляну на это всеобъемлющее руководство по блокировке .

Подробности контрольного списка конфигурации Windows XP Professional

  • Убедитесь, что все разделы диска отформатированы с NTFS
  • Защита файловых ресурсов
  • Использовать общий доступ к подключению к Интернету для общих подключений к Интернету
  • Включить брандмауэр подключения к Интернету
  • Убедитесь, что обновление Windows выполняется регулярно
  • Использовать политики ограниченного использования программ
  • Используйте пароли аккаунта
  • Отключить ненужные сервисы
  • Отключить или удалить ненужные учетные записи
  • Убедитесь, что учетная запись гостя отключена
  • Установить более надежные политики паролей
  • Установить политику блокировки учетной записи
  • Установите антивирусное программное обеспечение и обновления
  • Будьте в курсе последних обновлений безопасности
  • Не запускайте с правами администратора по умолчанию
  • Не используйте WEP для беспроводных сетей
http://www.nsa.gov/ia/guidance/security_configuration_guides/current_guides.shtml Имеет множество руководств по блокировке различных операционных систем. Kenneth Cochran 14 лет назад 9
Хороший контрольный список! Ivo Flipse 14 лет назад 0
Нужно добавить «запускать как обычный пользователь» или «не запускать с правами администратора по умолчанию» Joel Coehoorn 14 лет назад 2
Этот список имеет проблемы для домашних пользователей ... ICS позади большинства домашних маршрутизаторов приводит к двойной NATing. SRP довольно тяжелый для администрации (я считаю, что лучше в win7). Кроме того, отсутствие пароля учетной записи помогает удаленному доступу к учетной записи. Ari Pernick 14 лет назад 1
@ Сомнение - ваш комментарий должен быть ответом. Andrew Garrison 14 лет назад 0
По моему опыту, пользователи каким-то образом придумают очень креативные способы обойти любые меры безопасности и установить шпионское ПО / вирусы. Travis 14 лет назад 0
По теме блокировки - [TrustNoExe] (http://www.beyondlogic.org/solutions/trust-no-exe/trust-no-exe.htm) реализует белый список исполняемых файлов Caspar 12 лет назад 0
Было бы приятно, если бы подобное руководство было опубликовано для Win 7, 8.1 и 10 Alex S 7 лет назад 0
14
Gnoupi

Помимо того, что я учу ее избегать глупостей, я не вижу в этом никакого пути.

Конечно, обновите систему и установите антивирус (в конце концов, брандмауэр).

Но в целом, если вы хотите избежать «семейной технической поддержки», реального пути нет. Потому что, если вы начнете добавлять вещи, чтобы заблокировать контент, заблокировать то, что она может сделать, вас не вызовут в «техподдержку», а в «почему я не могу это сделать?».

Да, возможно, ваш ответ лучше:] Если пользователь хочет что-то установить, он сделает это ... Самый эффективный способ - обучить пользователя. К сожалению, это также самый трудоемкий способ. У меня просто немного терпения кончается sad Kirill Strizhak 14 лет назад 0
14
cust0s

Купите ей Mac, серьезно вся моя семья перешла на Apple Mac, и это намного легче исправить (если что-то пойдет не так, что случается не часто).

В качестве альтернативы, если она / вы не можете позволить себе установить Ubuntu.

Вы можете пометить этот ответ как «бесполезный», но когда дело доходит до него, Windows не предназначена для мамы или тех, кто некомпетентен с компьютерами.

+1 Я тоже так делал несколько лет назад. Мало того, что он отбросил мои звонки в техподдержку ZERO (серьезно!), Моя мама очень любит ее iMac с iTunes, FireFox и Mail. Matt Rogish 14 лет назад 3
Я говорю своим друзьям и семье, что я отказываюсь помогать им с их компьютерными проблемами, если они не используют Mac или Linux. Они жалуются, что Маки стоят дорого, но потом я объясняю, что это иллюзия, потому что это правда, только если они считают, что мое время бесполезно. Сейчас почти все они используют Mac, за исключением моей младшей сестренки, которая использует Ubuntu. И у меня намного больше свободного времени :-) KaptajnKold 12 лет назад 3
Я бы согласился, если бы кто-то сказал, что это не отвечает на настоящий вопрос, но я думаю, что заслуживает того, чтобы быть в списке решений. Я поменял 4 семьи (плюс моя семья из 7 на Ubuntu). Я переключил их не потому, что они компьютерные фанаты, а потому, что они совершенно нетехнические, и я устал от бесконечных звонков в службу поддержки. Когда я нахожу обновление дистрибутива, которое того стоит, я обновляю их, иначе я просто позволяю им работать день за днем, месяц за месяцем. Они обычно 1) Просматривают, 2) Музыка + Видео, 3) Офисный тип работы. Dennis 12 лет назад 1
12
Ari Pernick

В общем,

  • Запуск от имени обычного пользователя (не администратора)
  • Запустите Vista или выше
  • Оставьте UAC включенным
  • Запустить 64 бит (больше защиты в 64 бит)
  • Установить автоматическое обновление
  • Запустите веб-браузер, который поддерживает песочницу (в настоящее время IE7 / 8 или Chrome).
из любопытства .. как x64 безопаснее 32bit? NoCarrier 14 лет назад 0
@NoCarrier, на ум приходят две причины. Во-первых, 64-битное ядро ​​требует, чтобы все драйверы устройств были подписаны, поэтому внедрить враждебный код в само ядро ​​намного сложнее. Во-вторых, на данный момент существует меньше машин x64, поэтому в дикой природе их меньше. Чем больше систем станет 64-битным, тем изменится их динамика ... RBerteig 14 лет назад 4
Другим фактором является Kernel Patch Protection, которая затрудняет связывание вредоносных программ со случайными точками в ядре. Ari Pernick 14 лет назад 0
12
DilbertDave

Ну, я бы уклонился от Нортона - по моему опыту, это просто останавливает ПК (McAfee тоже не намного лучше!)

У меня в доме есть 4 компьютера, которыми я пользуюсь, и «дети» (14, 18 и 20), и я установил следующее;

  • AntiVirus: Avast Home Edtion (он бесплатный и содержит несколько подозрительных файлов)
  • Spyware: я начал использовать SpyBot Search and Destroy, который, кажется, работает хорошо (опять же, это бесплатно)
  • AntiPorn: Я использую OpenDNS, который настроен на маршрутизаторе и настроить, чтобы блокировать порно, Adware, азартные игры и т.д.
  • Брандмауэр: Если вы используете маршрутизатор, он должен справиться с этим за вас, но если нет, то ZoneAlarm является хорошей альтернативой предложению Builtin для Windows. Сказав это, у меня не было никаких проблем с брандмауэром Windows при наборе номера через модем ASDL.
  • Разрешения: Предполагая, что вы будете использовать последнюю версию Windows, вы можете настроить их как пользователей без прав администратора, которые будут мешать им ковыряться там, где не должны.

В конце концов, я не думаю, что есть 100% надежное решение для этого. Моим детям все еще удается установить панели инструментов и тому подобное. Если вы заблокируете систему слишком далеко, она просто станет непригодной для использования.

Ха! Как это закончилось здесь - я отвечал на другой (связанный) вопрос ;-) DilbertDave 14 лет назад 0
@DilbertDave: Я отметил это как «внимание модератора», потому что это обман, и, видимо, мод объединил два вопроса. fretje 14 лет назад 0
Это объяснит это тогда - надеюсь, что мой ответ все еще имеет смысл ;-) DilbertDave 14 лет назад 0
11

Установите Ubuntu, и все ваши проблемы будут излечены!

У меня довольно давно Ubuntu на моем нетбуке, и я переустановил XP на своих родителях.

Всего через неделю у них появился вирус.

8
rookieb

Обучите пользователей!

Сказано уже несколько раз, но, думаю, всегда приятно повторить. Gnoupi 14 лет назад 2
7
Travis

Вот что я обычно делаю, прежде чем вернуть компьютер тому, кто дал мне его для очистки от шпионских программ и т. Д.

  • Измените тип учетной записи на Ограниченный; При необходимости создайте новую учетную запись администратора.
  • Установите Firefox + Adblock Plus ; Сделать браузер по умолчанию
  • Установите Spybot Search & Destroy с расписаниями и защитой в реальном времени
  • Обновите Windows полностью
  • Установить автоматическую загрузку и установку обновлений Windows

С другой стороны, вы можете просто установить что-то вроде DeepFreeze, которое будет возвращать ОС обратно в состояние, в котором она была при каждой перезагрузке (хотя и не бесплатно).

Изменить: Как Кек указал в своем ответе, у Microsoft есть бесплатная альтернатива DeepFreeze под названием Windows SteadyState .

+1 за Deepfreeze. Работает очень хорошо, если вы настроили второй раздел с разморозками и перенаправили папки рабочего стола / документов / данных на раздел с разморозками. Zoredache 13 лет назад 0