Перейти к содержанию

Базовые способы защиты Windows

IAM

  1. Рядовому пользователю - стандартная учётка.

  2. UAC придуман не зря, по хорошему его стоит держать в "Always Notify"

  3. Разработай и используй политику паролей. В общем случае она должна содержать требования к составу и длине пароля, определять порядок и периодичность проверки хэшей на возможные утечки, блокировку при переборе. На локальной станции для этого в помощь есть оснастка Local group policy

Сеть

  1. Не нужно пренебрегать встроенным файрволом. По хорошему, для публичных сетей всегда должен быть выбран режим Public для блокирования всего входящего трафика, с дальнейшим открытием нужных портов.

  2. Отключи неиспользуемые сетевые адаптеры - уменьши поверхности атаки.

  3. Начиная с Win10 дырявый SMBv1 не поставляется по умолчанию. Отключение же SMBv2 или SMBv3 может повлиять на некоторую функциональность. Однако, если машинка не в сети, отключить их всё же стоит. Кроме того, следует включать Подписывание SMB трафика (делается через GPO в AD)

  4. Используй системы класса HIPS/HIDS или прочие инструменты для контроля целостности файла hosts.

  5. При отсутсвии необходимости - отключай RDP или используй дополнительные меры: VPN, MFA и т.д.

Софт

  1. Используй доверенные источники Приложений.

  2. Используй средства защиты хоста: AV, HIDS/HIPS, EDR и т.д.

  3. Как минимум, заблокируй макросы для офисного ПО (если конечно ты ими не пользуешься). Так же, можно использовать рекомендации из этого скрипта.

  4. Обновляйся.

Хранилище

  1. Защити паролем доступ к BIOS/UEFI

  2. Используй шифрование диска (VeraCrypt, BitLocker, etc.), для зашиты данных в случае нелегетимного физического доступа к нему.

  3. У винды есть встроенная песочница (включается через компоненты Windows)

  4. Всегда помни про бэкапы.