FAQ – Velká kniha bezpečnosti logo

OS Windows


► Obsah

FAQ – OS Windows

Windows se jakožto nejrozšířenější desktopový OS těší velké pozornosti hackerů, jeho dostatečné zabezpečení je proto velmi důležité. Jako nejúčinnější metoda ochrany proti malware se osvědčila bezpečnostní konfigurace skládající se z více vrstev (tzv. layered config) – pokud selže jedna vrstva, nastupuje druhá. Spousta běžných uživatelů spoléhá pouze na jednu tradiční vrstvu – antivir – což je z hlediska bezpečnosti tristní. Samotný OS poskytuje jistou úroveň ochrany proti malware, která se liší v závislosti na verzi a edici OS. V základním nastavení ovšem nejsou všechny bezpečnostní funkce zapnuty a/nebo korektně nastaveny.

Podporovanou verzí Windows v následující sekci je Windows 10 April 2018 Update jakožto nejnovější OS s podporou do roku 2025. Obsažené informace jsou platné také pro Windows 8.1 Update 3. Starší verze OS Windows již postrádají důležité bezpečnostní mitigace/funkce a zanedlouho jim skončí – pokud již neskončil – cyklus rozšířené podpory. Majitelé starých verzí OS by proto měli přejít na novější OS, dovoluje-li jim to jejich HW. I přesto je většina obsažených informací platná i pro starší verze OS, pouze se bude lišit přesný postup aplikace různých kroků – přesný postup pro staré verze zde nebude uváděn.

Tato sekce FAQ je určena běžným a středně pokročilým uživatelům. Sekci pro pokročilé naleznete zde.

FAQ se dělí na několik sekcí:

  • bezpečné nastavení OS
  • vrstvy zabezpečení
  • zabezpečení internetového prohlížeče
  • doporučené bezpečnostní konfigurace

Bezpečné nastavení OS

Práce pod Standardním uživatelem:

OS Windows má dva typy uživatelských účtů: Standardní uživatel a Správce.

Z hlediska bezpečnosti je důležité pracovat pod Standardním uživatelem, jelikož má omezená oprávnění. Pokud se tedy do OS i přes všechna zdejší doporučení dostane malware, infikuje pouze uživatelský účet – na infikaci OS nemá potřebná oprávnění. Jedná se o naprostý základ zabezpečení OS, bez kterého jsou veškerá další opatření naprosto zbytečná.

Od verze OS Windows 10 April 2018 Update je nutné při vytváření lokálního účtu přes nastavení zvolit tři bezpečnostní otázky. Nechcete-li nastavovat bezpečnostní otázky, můžete jejich zadání obejít vytvořením účtu pomocí příkazového řádku.

► Přidání účtu Správce a změna stávajícího uživatele na Standardního
  • Otevřete si Nastavení. Rozklikněte kategorii Účty a následně zvolte podkategorii Rodina a jiní uživatelé.
  • Klikněte na tlačítko Přidat do tohoto počítače někoho dalšího.
  • wntus
  • Otevře se dialog pro přidání nového uživatele. V levém dolním rohu klikněte na Nemám přihlašovací údaje této osoby.
  • V levém dolním rohu zvolte možnost Přidat uživatele bez účtu Microsoft.
  • Zadejte název účtu Správce (např. Admin) a zvolte pro něj silné zapamatovatelné heslo. Vyplňte bezpečnostní otázky a klikněte na Další.
  • wntus1
  • V seznamu jiných uživatelů se zobrazí účet Admin. Klikněte na něj a následně zvolte Změnit typ účtu.
  • wntus2
  • Zobrazí se dialog pro změnu typu účtu. Ze seznamu zvolte možnost Správce a klikněte na OK.
  • wntus3
  • Odhlaste se z vašeho účtu a přihlaste se jako Admin.
  • Otevřete si Nastavení. Rozklikněte kategorii Účty a následně zvolte podkategorii Rodina a jiní uživatelé.
  • V seznamu jiných uživatelů nalezněte svůj účet, klikněte na něj a následně zvolte Změnit typ účtu.
  • Zobrazí se dialog pro změnu typu účtu. Ze seznamu zvolte možnost Standardní uživatel a klikněte na OK.
  • Přihlaste se zpět na svůj uživatelský účet.
► Přidání účtu Správce a změna stávajícího uživatele na Standardního (příkazový řádek)
  • Stiskněte kláv. zkratku win + X a z nabídky vyberte Windows PowerShell (správce).
  • wx
  • Vymyslete název účtu Správce (např. Admin) a zvolte pro něj silné zapamatovatelné heslo.
  • Pomocí příkazové řádky vytvořte následujícím způsobem účet Správce:
  • net user "uživatelské_jméno" "heslo_uživatele" /add
  • Příklad:
  • net user "Admin" "Mila mele maso." /add
  • Použijete-li heslo delší než 14 znaků, zobrazí se varování o zpětné kompatibilitě. To stisknutím klávesy Enter potvrďte.
  • Nově vytvořeného uživatele přidejte do administrátorské skupiny:
  • net localgroup Administrators "Admin" /add
  • Odhlaste se z vašeho účtu a přihlaste se jako Admin.
  • Otevřete si Nastavení. Rozklikněte kategorii Účty a následně zvolte podkategorii Rodina a jiní uživatelé.
  • V seznamu jiných uživatelů nalezněte svůj účet, klikněte na něj a následně zvolte Změnit typ účtu.
  • wntus
  • Zobrazí se dialog pro změnu typu účtu. Ze seznamu zvolte možnost Standardní uživatel a klikněte na OK.
  • wntus1
  • Přihlaste se zpět na svůj uživatelský účet.
► Přidání účtu Správce (starší verze Windows)
  • Otevřete si Nastavení. Rozklikněte kategorii Účty a následně zvolte podkategorii Jiné účty.
  • Zvolte možnost Přidat účet.
  • Otevře se dialog pro přidání nového uživatele. V pravém dolním rohu klikněte na Přihlásit se bez účtu Microsoft.
  • Klikněte na tlačítko Místní účet.
  • Zadejte název účtu Správce (např. Admin) a zvolte pro něj silné zapamatovatelné heslo.
  • Potvrďte přidání uživatele (Dokončit).
  • V seznamu dalších účtů se zobrazí účet Admin. Klikněte na něj a následně zvolte Upravit.
  • wntusleg
  • Zobrazí se dialog pro změnu typu účtu. Ze seznamu zvolte možnost Správce a klikněte na OK.
  • wntusleg1
  • Odhlaste se z vašeho účtu a přihlaste se jako Admin.
  • Otevřete si Nastavení. Rozklikněte kategorii Účty a následně zvolte podkategorii Jiné účty.
  • V seznamu dalších účtů nalezněte svůj účet, klikněte na něj a následně zvolte Upravit.
  • Zobrazí se dialog pro změnu typu účtu. Ze seznamu zvolte možnost Standardní uživatel a klikněte na OK.
  • Přihlaste se zpět na svůj uživatelský účet.

Aktualizace OS a SW:

Je důležité mít aktuální verzi veškerého SW, jelikož nové verze často opravují mnoho bezpečnostních chyb. Neaktuální děravý SW je implicitně nebezpečný.

Windows by se měly ve výchozím nastavení aktualizovat samy (v edici Home automatické aktualizace dokonce nelze vypnout). Mnohé důležité aplikace (např. prohlížeče) se obvykle aktualizují automaticky.

Pro kontrolu aktualizací ostatního SW můžete použít aplikaci Heimdal Free, která běží na pozadí a upozorní vás v případě neaktuálního SW, případně jej sama aktualizuje, automatické aktualizace ovšem teoreticky mohou způsobit problémy. Návod k Heimdal Free naleznete v sekci Ostatní aplikace.

► Kontrola nastavení aktualizací OS (starší verze Windows)
  • Stiskněte kláv. zkratku win + R, do textového pole zadejte:
  • wuapp
    a stiskněte Enter.
  • V levém panelu klikněte na tlačítko Změnit nastavení.
  • Zkontrolujte, že důležité aktualizace mají zvolenou možnost Instalovat aktualizace automaticky (doporučeno), případně napravte.
  • Zkontrolujte, že je odstraněné zatržítko u možnosti Získávat doporučené aktualizace stejným způsobem jako důležité aktualizace, případně napravte.
  • Klikněte na OK a okno zavřete.

User Account Control:

User Account Control je důležitá součást bezpečnostního modelu OS od Windows Vista, kde se dočkala obrovské kritiky a ve Windows 7 proto byla v základním nastavení oslabena. Vypnutí UAC je z hlediska bezpečnosti sebevražda, naopak je doporučeno konfiguraci UAC nastavit na ještě přísnější úroveň.

Od verze Windows 10 April 2018 Update je konfigurace UAC v základu nastavena na nejvyšší možnou úroveň.

► Nastavení UAC (starší verze Windows)
  • Stiskněte kláv. zkratku win + R, do textového pole zadejte:
  • useraccountcontrolsettings
    a stiskněte Enter.
  • Otevře se nastavení UAC. To změňte na nejvyšší možnost.
  • uac
  • Klikněte na OK.

Bezpečné nastavení služeb a funkcí Windows:

Info
Pokročilejší si skript mohou upravit – je v něm několik zakomentovaných bezpečnostních opatření, které nemohou být aplikovány širokopásmově...

batch SafeSVC:

  • Stáhněte si SafeSVC.
  • Uložte a obsah archivu vyextrahujte na Plochu.
  • Na skript jménem safesvc klikněte pravým tlačítkem a zvolte možnost: admin Spustit jako správce.
  • Nechte skript pracovat, na konci procesu vám řekne o souhlas k restartu OS.
► Nastavení SmartScreen (starší verze Windows)
  • Stiskněte kláv. zkratku win + R, do textového pole zadejte:
  • smartscreensettings
    a stiskněte Enter.
  • Otevře se nastavení SmartScreen filtru. Upravte jej dle obrázku:
  • smartscreen
  • Klikněte na OK.

Bezpečné nastavení sítě:

► Konfigurace síťového adaptéru + DNS
  • Stiskněte kláv. zkratku win + R, do textového pole zadejte:
  • ncpa.cpl
    a stiskněte Enter.
  • Otevře se seznam síťových adaptérů. Klikněte na první adaptér (obvykle ethernet) pravým tlačítkem a zvolte možnost Vlastnosti.
  • wntnet
  • V seznamu odškrtněte všechny nepotřebné položky. Běžným uživatelům stačí ponechat pouze Sdílení souborů a tiskáren v sítích Microsoft, Protokol IP verze 4 (TCP/IPv4) a Protokol IP verze 6 (TCP/IPv6).
  • Pokud nesdílíte žádnou tiskárnu v síti a nepoužíváte IPv6 (pokud nevíte, zdali používáte IPv6, můžete to zjistil pomocí následujícího rychlého online testu), můžete pro vyšší bezpečnost ponechat zaškrtnutý pouze Protokol IP verze 4 (TCP/IPv4).
  • wntnet1
  • Klikněte na Protokol IP verze 4 (TCP/IPv4) a zvolte možnost Vlastnosti.
  • wntnet2

Úspěch
Potenciálně nebezpečné protokoly jsou nyní vypnuty. Dále nastavíme bezpečné DNS servery.

  • Pokud nevíte, co DNS je, přečtěte si tento krátký článek.
  • Doporučuji použít DNSSEC. Ale můžete si vybrat z mnoha DNS serverů, zde je pár příkladů:
  • CZ.NIC DNSSEC:        217.31.204.130, 193.29.206.206
    Adguard DNS:          176.103.130.130, 176.103.130.131
    OpenDNS:              208.67.222.222, 208.67.220.220
  • Po zvolení DNS serverů se přepněte zpět do okna Vlastností IPv4 protokolu.
  • Klikněte na Použít následující adresy serverů DNS a do kolonek vepište vámi zvolené DNS.
  • wntnet3
  • Klikněte na tlačítko Upřesnit...
  • V horním panelu se přesuňte do záložky WINS a zvolte možnost Zakázat rozhraní NetBIOS nad protokolem TCP/IP.
  • wntnet4
  • Klikněte na OK.
  • Klikněte na OK a okno zavřete.

Varování
Pro dosáhnutí kýženého efektu je nutné kompletní postup aplikovat pro všechny síťové adaptéry v seznamu (obvykle WLAN).


Ostatní bezpečnostní nastavení:

  • Vypněte Usnadnění přístupu na přihlašovací obrazovce – součást skriptu SafeSVC.
  • Vypněte AutoPlay:
  • ► Návod
    • Otevřete si Nastavení. Rozklikněte kategorii Zařízení a následně zvolte podkategorii Automatické přehrávání.
    • Automatické přehrávání vypněte.
    • autoplay
  • Vypněte Remote Assistance:
  • ► Návod
    • Stiskněte kláv. zkratku win + R, do textového pole zadejte:
    • sysdm.cpl
      a stiskněte Enter.
    • Zobrazí se Vlastnosti systému.
    • Přesuňte se do záložky Vzdálený přístup a odstraňte zatržítko u položky Povolit připojení vzdálené pomoci k tomuto počítači.
    • sysdm
    • Klikněte na OK.




Vrstvy zabezpečení OS Windows

  • antivirus / antimalware
  • firewall
  • anti-executable
  • anti-exploit
  • virtualizace
  • užitečné aplikace

Vrstev zabezpečení existuje násobně více, výše jsou zmíněny pouze vrstvy vyhodnoceny jako důležité. Kombinování příliš mnoha vrstev rozšiřuje prostor pro exploitaci a ve finále má spíše opačný účinek. Cílem by mělo být použít co nejméně kódu třetí strany k dosáhnutí účinného zabezpečení.


Antivirus / Antimalware:

Antivirus nebo antimalware (AV/M) je uživateli chápán jako základní vrstva zabezpečení, která stačí k zabezpečení OS. Tato teze již ovšem nějakou dobu není pravdivá.

► Rozebrání problematiky antivirů

Tradiční mechanismus antiviru pracuje na bázi databáze – detekuje známý malware, jejichž otisk má v databázi. Tento systém má vcelku očividnou slabinu – pokud otisk pro malware neexistuje, antivir jej nevyhodnotí jako škodlivý. Další technologií je tzv. heuristika, kdy je škodlivost kódu vyhodnocována na základě jeho aktivit po spuštění (vzorek je zpravidla testován v izolovaném prostředí – sandboxu). Tato technologie má také slabinu – škodlivost je posuzována na základě předvolených pravidel a indikací, které u vzorku pozoruje. Pokud malware provede činnost, která není zaznamenána heuristickým systémem jako škodlivá, antivir jej nevyhodnotí jako škodlivý. Tvůrci malware tedy používají různé postupy, aby heuristickou detekcí jejich kód prošel.

Další problém antivirů je ten, že většina z nich je stará – mají starý kód, který je tak komplexní, že jej vývojáři nepřepisují, pouze záplatují a přidávají nové funkce. V důsledku je mnoho antivirů náchylných na hackerské útoky 10 let staré.

Z výše uvedených důvodů tedy není bezpečné mít antivirus jako hlavní – natož jedinou – vrstvu zabezpečení. Antivirus ovšem má v bezpečnostní konfiguraci místo.

Windows Defender integrovaný ve Windows 8.1 Update 3 a Windows 10 dosáhl úrovně, kdy dostatečně pokrývá tradiční vrstvu zabezpečení. Již tedy není nutné instalovat antivirus třetí strany, jehož kvalita kódu je řádově menší a v OS mnohdy provádí v porovnání s integrovaným řešením naprosté šílenosti.

► Porovnání Windows Defender vs. AV/M řešení třetích stran

Do příchodu Windows 8.1 Update 3 byla AV/M řešení třetích stran brána jako nutné zlo, jelikož být bez žádného AV/M řešení je výrazně horší, nežli být s AV/M řešením třetí strany, a OS tehdy neobsahoval použitelné vestavěné AV/M řešení. S příchodem Windows 10 byl Windows Defender z velké části přepsán a s každou novou verzí OS se dočkává vylepšení. V aktuálním stavu se jedná o kvalitní moderní AV/M řešení.

Ostatní AV/M řešení nejsou vestavěná v OS – kvalita jejich kódu nemusí (může) být na úrovni zbytku OS, s každým řádkem kódu navíc se ovšem zvětšuje prostor pro exploitaci. Na rozdíl od Windows Defender nejsou korektně integrovány do OS – operují proto na bázi hacku a zásahu do bezpečnostního modelu OS (a aplikací jako internetových prohlížečů). V porovnání s integrovaným řešením navíc zpravidla postrádají/nevyužívají moderní mitigace proti exploitaci, které mají všechny systémové aplikace.

Detekce Windows Defender je na velmi dobré úrovni. Jedná se o výchozí AV/M řešení na instalacích aktuálních verzí OS – počet uživatelů zvyšuje šanci zachytit nový malware. Implementuje vyspělý cloudový systém, díky kterému nabízí užitečné pokročilé funkce (např. block on first sight).

Ve verzi OS Windows 10 Fall Creators Update se Windows Defender dočkal výrazného zlepšení. Mimo jiné nově nabízí možnost nastavení chráněných složek, do kterých je následně zakázán přístup podezřelým procesům (tzv. Řízený přístup ke složkám) a GUI pro ovládání anti-exploit mitigací implementovaných v samotném OS (více informací k tomuto naleznete v sekci anti-exploit). Tyto funkce byly dále rozšířeny ve verzi April 2018 Update.

► Ochrana před viry a hrozbami – nastavení
  • Otevřete si Centrum zabezpečení v programu Windows Defender.
  • Přesuňte se do kategorie Ochrana před viry a hrozbami a otevřete Nastavení ochrany před viry a hrozbami.
  • Zkontrolujte konfiguraci ochrany a případně opravte:
  • wd
► Řízení aplikací a prohlížečů – nastavení
  • Přesuňte se do kategorie Řízení aplikací a prohlížečů.
  • Zkontrolujte konfiguraci SmartScreen filtru a případně opravte:
  • wd1
► Konfigurace Řízeného přístupu ke složkám
  • Přesuňte se do kategorie Ochrana před viry a hrozbami a otevřete Ochranu před ransomwarem.
  • Zapněte Řízený přístup ke složkám a následně otevřete Chráněné složky.
  • wd2a
  • Kliknutím na Přidat chráněnou složku přidejte na seznam veškeré důležité osobní složky na disku, které nejsou v seznamu.
► Povolení aplikace v Řízeném přístupu ke složkám (příklad: Heimdal Free)
  • Při instalaci některých aplikací budete muset dočasně Řízený přístup ke složkám zakázat.
  • Otevřete povolené aplikace v Řízeném přístupu ke složkám.
  • wd2
  • Klikněte na Přidat povolenou aplikaci.
  • wd3
  • Nalezněte Heimdal Free a přidejte postupně jeho spustitelné programy na seznam.
  • hf2
  • Řízený přístup ke složkám následně opětovně povolte.

Ve verzi OS Windows 8.1 Update 3 obsahuje Windows Defender méně funkcí, stále se ovšem jedná o nejlepší volbu. Pro nižší verze OS poté existuje substituce Defenderu – Microsoft Security Essentials.

► Ochrana před viry a hrozbami – nastavení (starší verze Windows)
  • Otevřete si Windows Defender.
  • Přesuňte se do záložky Nastavení a zvolte podkategorii Ochrana v reálném čase.
  • Zkontrolujte zatržítko u volby Zapnout ochranu v reálném čase.
  • Přesuňte se do podkategorie Upřesnit. Zkontrolujte konfiguraci ochrany a případně opravte:
  • wdleg
  • Přesuňte se do podkategorie Komunita MAPS. Zkontrolujte konfiguraci ochrany a případně opravte:
  • wdleg1
  • Přesuňte se do podkategorie Správce a zkontrolujte zatržítko u volby Zapnout tuto aplikaci.
  • Případné změny uložte a aplikaci zavřete.

Firewall:

Firewall je velmi důležitá vrstva zabezpečení, která chrání OS před útoky ze sítě. Windows obsahují vestavěný Windows Defender Firewall (WDF), který je na velmi dobré úrovni a plně dostačující (spousta AV/M produktů přestala vyvíjet vlastní FW a maximálně nabízet alternativní rozhraní pro WDF). Poznámka na okraj: základem síťového zabezpečení v domácnosti je rozumný router.

Základní nevýhoda WDF pro běžné uživatele je absence pokročilejšího intuitivního rozhraní. Jednoduché rozhraní naleznete v Centru zabezpečení v programu Windows Defender.

Windows Defender Firewall je v základu nastaven na blokování příchozí komunikace, která není explicitně povolena. Chcete-li posunout bezpečnost na výrazně vyšší úroveň, je nutné nastavit FW na blokování veškeré odchozí komunikace, která není explicitně povolena. V nejnovější verzi Windows je ovšem taková konfigurace značně problematická, návod proto naleznete pouze v FAQ pro pokročilé.

Firewall aplikace třetích stran jako Comodo Firewall jsou nedoporučeny.


Anti-executable:

Anti-executable je jedna z nejúčinnějších vrstev ochrany. Jak napovídá název, anti-executable řešení zabraňuje spuštění malware.

Většina řešení funguje na principu whitelistu – má nastaveno, které spustitelné soubory povolit, a při spuštění neznámého souboru zobrazí uživateli dialog pro povolení/zakázání, případně souboru rovnou zabraní ve spuštění. Nastavení whitelistu není úkol pro běžné uživatele, existují ovšem i řešení, která umí whitelist vytvořit s minimem uživatelské interakce.

Přehled anti-executable řešení:

VoodooShield je nejpřívětivější anti-executable a nejlepší volba pro obyčejné uživatele. Pro profesionální nasazení není z důvodů implementace ochrany vhodný. Kromě placené verze poskytuje i bezplatnou pro nekomerční využití, která poskytuje srovnatelnou ochranu, akorát nenabízí možnost rozšířené konfigurace – což běžného uživatele nemusí trápit. V základu je nakonfigurován bezpečně. Bohužel zatím nenabízí české rozhraní.

► Instalace a konfigurace VoodooShield
  • Stáhněte si VoodooShield.
  • Aplikaci nainstalujte.
  • Vyčkejte na dokončení konfigurace aplikace a při dotázání zvolte Application Whitelisting Mode. Uvítací okno následně zavřete.
  • Klikněte pravým tlačítkem na ikonu aplikace v hlavním panelu a vyberte možnost Hide, čímž skryjete widget aplikace z pracovního prostoru.
  • Klikněte pravým tlačítkem na ikonu aplikace v hlavním panelu a zvolte mód Training.
  • vs
  • Nyní se VoodooShield učí aplikace, které používáte, a povoluje je. V tréninkovém módu postupně spusťte všechny aplikace, které používáte. Ideální je v tréninkovém módu PC používat jeden den, aby VoodooShield vše stihl zapsat.
  • Po ukončení tréninku VoodooShield klikněte pravým tlačítkem na ikonu aplikace v hlavním panelu a zvolte mód Always On.
  • vs1

Úspěch
Nyní máte plně funkční anti-executable ochranu aplikace VoodooShield. Když budete chtít instalovat libovolnou aplikaci, zvolte Disable/Install Mode.

Ukázky a poznatky z provozu:

(obrázky jsou pouze ilustrativní)

  • Když VS zablokuje neznámou, ale možná bezpečnou aplikaci, zobrazí následující bublinu:
  • vs2
  • Pokud chcete aplikaci povolit, na bublinu klikněte a v následujícím okně zvolte možnost Install.
  • vs3
  • Když VS zablokuje aplikaci, kterou detekuje alespoň 1 antivirový produkt nebo VoodooAI jako malware, zobrazí následující bublinu:
  • vs4
  • Zde je povolení o pár kliků delší. Klikněte na bublinu, v následujícím okně zvolte možnost Allow False Positive a odsouhlaste veškerá vyskakovací okna.
  • vs5
  • Po povolení aplikace a provedení vámi požadované akce se vždy přesvědčte, že VS běží v módu Always On.

NVT Anti-AutoExec je drobná aplikace, která automaticky zabraňuje šíření USB malware. Stačí nainstalovat a ochrana je aktivní bez jakékoli interakce. Bohužel v současném stavu nefunguje s nejnovější verzí April 2018 Update, snad brzy dojde k nápravě.

AppGuard je profesionální anti-executable určený převážně pro firemní sféru, je ovšem dostupný i v domácí verzi. Jeho nastavení je vcelku komplikované a uzpůsobené pro odborníky.

AppLocker je anti-executable integrovaný ve Windows v edicích Ultimate, Education a Enterprise. Umožňuje ovládání spustitelných souborů, skriptů, DLL knihoven, MSI instalátorů a ModernUI (metro) aplikací. Poskytuje vcelku slušnou ochranu, na druhou stranu existují známé způsoby jeho obejití.

Software Restriction Policy je velmi funkčně omezený anti-executable dostupný ve všech edicích Windows. Umožňuje ovládání spustitelných souborů a skriptů. Jeho pravidla jsou ovšem vázána na proces explorer.exe, který je vlastněn uživatelem, není tedy ideální k použití v profesionálním prostředí.


Anti-exploit:

Každý kód obsahuje minimálně jednu chybu. Toho zneužívají exploity šířící se internetem. Anti-exploit aplikace přicházejí s mitigacemi, které mají za cíl znemožnit využití jednoduchých způsobů exploitace a proces exploitace výrazně ztížit.

Windows využívají velké množství mitigací a exploitace samotného OS a aplikací OS je tedy velmi nákladná. Některé aplikace (např. Chrome) jsou také na velmi vysoké úrovni a jejich exploitace je nákladná. Jsou zde ovšem aplikace, které žádné anti-exploit mitigace nepoužívají a někdy je používání těchto aplikací nezbytné. V takovém případě existují anti-exploit řešení, která umí exploitaci zmíněných aplikací výrazně ztížit.

Přehled anti-exploit řešení:

Od verze Windows 10 Fall Creators Update jsou anti-exploit mitigace implementovány přímo do OS. Konfiguraci mitigací umožňuje GUI vestavěného AV/M řešení Windows Defender.

► Konfigurace celosystémových anti-exploit mitigací
  • Otevřete si Centrum zabezpečení v programu Windows Defender.
  • Přesuňte se do kategorie Řízení aplikací a prohlížečů.
  • Sjeďte na konec stránky a otevřete Nastavení Ochrany Exploit Protection.
  • wd4
  • Zkontrolujte konfiguraci celosystémových mitigací a případně opravte:
  • wd5
► Konfigurace anti-exploit mitigací pro jednotlivé aplikace (příklad: VoodooShield)
  • V horním panelu se přesuňte do záložky Nastavení programu.
  • Klikněte na Přidat program, který chcete přizpůsobit a Zvolit přesnou cestu k souboru.
  • wd6
  • Nalezněte a zvolte požadovanou aplikaci, kterou chcete mitigovat.
  • wd7
  • Upravte konfiguraci dle obrázku:
  • wd8
  • Klikněte na tlačítko Použít.
► Konfigurace anti-exploit mitigací pro Microsoft Office
  • V horním panelu se přesuňte do záložky Nastavení programu.
  • Klikněte na Přidat program, který chcete přizpůsobit a Přidat podle názvu aplikace.
  • Do textového pole zadejte:
  • WINWORD.EXE
  • Upravte konfiguraci dle obrázku:
  • wd8
  • Klikněte na tlačítko Použít.
  • Obdobný způsob proveďte pro aplikaci MS Excel:
  • EXCEL.EXE
  • Obdobný způsob proveďte pro aplikaci MS PowerPoint:
  • POWERPNT.EXE

EMET je anti-exploit řešení od MS určeno pro starší verze OS, které nemají anti-exploit mitigace integrovány.

► Instalace a konfigurace EMET (starší verze Windows)
  • Stáhněte si nejnovější verzi EMET.
  • Aplikaci nainstalujte.
  • V průběhu instalace se zobrazí okno se základním nastavením aplikace. Zvolte možnost Use Recommended Settings a klikněte na Finish.
  • emet
  • Otevřete si EMET GUI.
  • V horním menu EMET klikněte na tlačítko Apps.
  • Zobrazí se seznam mitigovaných aplikací, pro přidání nové klikněte na tlačítko Add Application.
  • emet1
  • Nalezněte a zvolte požadovanou aplikaci, kterou chcete mitigovat.
  • wd7
  • Upravte konfiguraci dle obrázku:
  • emet2
  • Po dokončení nastavení všech aplikací zkontrolujte nastavení mitigací, případně opravte dle obrázku:
  • emet3
  • Klikněte na OK a zavřete EMET spolu s vyskakovacím oknem, které se objeví.

Info
Jaké další aplikace mitigovat? Veškerý rizikový SW třetí strany – např. VLC, 7-Zip, PDF prohlížeč, Steam apod.

TIP pro rychlou konfiguraci aplikace:

  • Pro rychlou konfiguraci aplikace danou aplikaci nejprve spusťte.
  • Otevřete si EMET GUI.
  • V listu běžících procesů nalezněte danou aplikaci, klikněte na ni pravým tlačítkem a zvolte možnost Configure Process...
  • Otevře se nastavení aplikací s nově přidanou zvolenou aplikací, pro kterou následně nakonfigurujte mitigace, a klikněte na OK.
  • emet4

HitmanPro.Alert je placená aplikace, která nabízí komplexní zabezpečení včetně mitigací proti exploitům. Je to velmi solidní SW a investice do něj má smysl u starších verzí OS. Verze Windows 10 Fall Creators Update a novější mají většinu hlavních funkcí HMP.A integrovanou v OS, nejedná se tedy již o „must-have“.

► Instalace a konfigurace HMP.A
  • Stáhněte si HMP.A.
  • Aplikaci nainstalujte, ponechte doporučené nastavení a možnost skenu po instalaci.
  • Aplikaci otevřete.
  • Klikněte na ozubené kolečko v pravém horním rohu a zvolte možnost Advanced interface.
  • Následně v dolní části klikněte na možnost Safety notification a zvolte možnost At application start.
  • hmpa
  • Následně klikněte na kategorii Risk reduction a zapněte všechny její funkce, které nejsou vypnuté. Funkce, které již jsou zapnuté, ponechte na výchozím nastavení.
  • Při otevření prohlížeče nebo jiné chráněné aplikace se při ponechání myši na pár sekund na kraji jejího okna zobrazí ohraničení, které signalizuje, že HMP.A chrání danou aplikaci a také ukazuje, které funkce HMP.A jsou pro danou aplikaci zapnuté. Mimo jiné se objeví notifikace o zapnutí ochrany pro danou aplikaci.
  • hmpa1
  • hmpa2
  • Při zachycení útoku HMP.A školivou aplikaci ukončí a zobrazí následující hlášku:
  • hmpa3

Tip
Více informací můžete nalézt v manuálu [EN].


Virtualizace:

Virtualizace může být velmi bezpečný způsob ochrany před malware (záleží na způsobu aplikace), jelikož odděluje požadovanou část OS od fyzického OS.

Možnosti virtualizace:

Nejbezpečnější způsob virtualizace je virtuální počítač při korektním nastavení a využití snapshotů. Lehká virtualizace OS spočívá ve vrácení změn v OS při restartu, může být velmi užitečná proti např. ransomware. U sandboxu velmi záleží na implementaci, bezplatné řešení Sandboxie poskytující externí sandbox pro aplikace, je spíše na hraní.

► Instalace a konfigurace Sandboxie
  • Stáhněte si Sandboxie.
  • Aplikaci nainstalujte a projděte úvodním tutoriálem.
  • Otevřete Ovládání Sandboxie.
  • Klikněte pravým tlačítkem na Sandbox DefaultBox a zvolte možnost Nastavení Sandboxu.
  • sbie
  • V pravém panelu rozbalte možnost Vymazat a klikněte na Smazat pracovní soubory.
  • Zatrhněte možnost Automaticky smazat obsah Sandboxu a klikněte na OK.
  • sbie1

Ostatní aplikace:

Užitečné aplikace, které nespadají ani pod jednu kategorii vrstev zabezpečení.

Doporučené ostatní aplikace:

► Instalace a konfigurace Heimdal Free
  • Stáhněte si Heimdal Free.
  • Máte-li nastavený Řízený přístup ke složkám ve Windows Defender, dočasně jej po dobu instalace vypněte.
  • Aplikaci nainstalujte. (I want to activate Heimdal FREE)
  • V konfiguraci ponechte zapnuté pouze Software Update Notifications.
  • hf
  • Zapněte monitorování všech dostupných aplikací a případně i automatickou aktualizaci.

Info
Ačkoli je Heimdal Free velmi kvalitní aplikace, automatická aktualizace aplikací otevírá prostor problémům. Na druhou stranu se jedná o menší zlo v porovnání s neaktuálními aplikacemi. Pokud tedy takto konfigurujete OS člověku, který si s PC nerozumí a nebude aplikace aktualizovat, povolení automatických aktualizací zvažte.

  • Pro změnu nastavení – např. po instalaci nové aplikace, kterou Heimdal Free zatím nemonitoruje – otevřete Heimdal Free a přesuňte se do záložky Patching System.
  • hf1
  • Aplikaci povolte v Řízeném přístupu ke složkám, který následně opětovně povolte. Návod zde.
► Instalace a konfigurace HashTab
  • Stáhněte si HashTab.
  • Aplikaci nainstalujte.
  • Nalezněte libovolný soubor na disku a otevřete jeho Vlastnosti.
  • V horním panelu se přesuňte do záložky File Hashes a klikněte na tlačítko Settings.
  • hashtab
  • Upravte konfiguraci dle obrázku a klikněte na OK.
  • hashtab1




Zabezpečení internetového prohlížeče

  • bezpečnější nastavení (vypnutí nebezpečných funkcí, ideálně vč. javascriptu)
  • blokování reklamy
  • oddělení prohlížeče od dat a fyzického OS (sandbox < VM < live OS)
► Porovnání prohlížečů z ohledu bezpečnosti

Všechny prohlížeče jsou po korektním nastavení relativně bezpečné, nejvíce také záleží na vás. Proto zde rozeberu pouze teoretické zabezpečení prohlížečů z hlediska mitigací exploitů apod. Níže v sekci naleznete návody na zabezpečení Mozilla Firefox, Internet Explorer, Google Chrome a Microsoft Edge kvůli jejich dominantnímu postavení.

Ze zmíněných prohlížečů bych doporučil Microsoft Edge a Chromium, případně jeho proprietární variantu Google Chrome. S prohlížečem Internet Explorer není zásadní problém, na druhou stranu již není v aktivním vývoji, nepoužíval bych ho tedy pro každodenní účely.

Mozilla Firefox. Tento prohlížeč z hlediska zabezpečení v současném stavu nemohu doporučit, v porovnání s ostatními zmíněnými prohlížeči stále zaostává. Má starý kód výrazně nižší kvality nežli Edge či Chromium a postrádá moderní mitigace proti exploitům. Na druhou stranu tvrdě pracuje na nápravě.

Chrome(ium) používá vestavěný sandbox velmi dobré kvality. Také nabízí možnost využití vestavěného sandboxu ve Windows (AppContainer). Nové verze jsou kompilovány s CFG, což je významné plus.

Microsoft Edge je nový a moderní prohlížeč využívající špičkovou implementaci sandboxu. Používá nejmodernější mitigace jako CFG, což je významné plus.


ch Google Chrome

► Bezpečnější nastavení
  • Do adresního řádku prohlížeče zadejte:
  • chrome://settings
    a stiskněte Enter.
  • Zobrazí se nastavení. Sjeďte na konec stránky a klikněte na tlačítko ch
  • V sekci Ochrana soukromí klikněte na tlačítko Nastavení obsahu...
  • ch1
  • V sekci Soubory cookie zatrhněte možnost Blokovat soubory cookie třetích stran a data webových stránek.
  • ch2
  • V sekci Flash zablokujte spouštění obsahu Flash na webech.
  • ch3
  • V sekci Synchronizace na pozadí zablokujte nedávno zavřeným webům dokončit odeslání a příjem dat.
  • ch4
  • V sekci Přístup pluginu mimo izolovaný prostor zablokujte webům přístup do počítače pomocí pluginu.
  • ch5
  • Prohlížeč restartujte.
► Omezení JavaScript
  • Do adresního řádku prohlížeče zadejte:
  • chrome://settings
    a stiskněte Enter.
  • Zobrazí se nastavení. Sjeďte na konec stránky a klikněte na tlačítko ch
  • V sekci Ochrana soukromí klikněte na tlačítko Nastavení obsahu
  • ch1
  • V sekci JavaScript zablokujte spouštění JS.
  • ch7
  • Klikněte na tlačítko Přidat v sekci Povolit.
  • Zadejte adresu důvěryhodného webu, na kterém se může spouštět JS. Syntax je jednoduchý.
  • ch8
  • Klikněte na Přidat.
  • Prohlížeč restartujte.
► Blokování reklamy
  • Nainstalujte si následující bezpečnostní doplněk: uBlock Origin

Nastavení uBlock:

  • Klikněte na ikonu uBlock v panelu ikon a následně klikněte na nápis uBlock Origin.
  • chublock
  • Zobrazí se nastavení uBlock Origin. V sekci Soukromí zatrhněte možnost Předejít úniku lokálních IP adres přes WebRTC.
  • Následně se přesuňte do záložky Filtry třetích stran.
  • ublock
  • Zde vyberte filtry pro blokování webového obsahu. Doporučuji kromě výchozích zvolit následující:
  • ublock1
  • Následně v pravém horním rohu klikněte na tlačítko: ublock2
  • Přesuňte se na začátek stránky, zkontrolujte zatržítko u položky Automaticky aktualizovat seznamy filtrů a klikněte na tlačítko Aktualizovat nyní. Během aktualizace panel nezavírejte.
  • ublock3
► Oddělení prohlížeče od OS a dat

Google Chrome používá velmi dobrou implementaci sandboxu.


chm Chromium:

Nechcete-li používat Google Chrome, doporučuji použít open-source Chromium, na kterém je Google Chrome založen. Chromium na Windows se bohužel neumí automaticky aktualizovat. Můžete ovšem použít komunitní open-source nástroj.

► Instalace a nastavení chrlauncher
  • Stáhněte si nejnovější verzi Chrlauncher.
  • Archiv extrahujte. V závislosti na bitové verzi vašeho OS určete, kterou složku z archivu budete potřebovat (64-bit OS – složka 64), a následně ji přesuňte na důstojné místo (ideálně %localappdata%, ale stačí Dokumenty). Také je vhodné ji přejmenovat.
  • Ve složce nalezněte a otevřete konfigurační soubor chrlauncher.ini.
  • Nalezněte řádek začínající na ChromiumArchitecture a za rovnítko vepište požadovanou architekturu (na novějších zařízeních 64):
  • chrl
  • Sjeďte níže na řádek začínající na ChromiumType a za rovnítko vepište druh prohlížeče, který chcete použít. Stable-codecs-nosync je verze s kodeky a bez služeb Google, je tedy doporučena. Naopak ungoogled-chromium je neoficiální nebezpečný fork a jeho užití je důrazně nedoporučeno.
  • Zkontrolujte nastavení ChromiumCheckPeriod, případně opravte.
  • chrl1
  • Dále zkontrolujte a případně opravte nastavení následujících argumentů:
  • ChromiumAutoDownload=true
    ChromiumBringToFront=true
    ChromiumWaitForDownloadEnd=true
  • Změny uložte a konfigurační soubor zavřete.
  • Spusťte aplikaci chrlauncher.
  • Chcete-li nastavit chrlauncher jako výchozí prohlížeč, klikněte pravým tlačítkem na skript SetDefaultBrowser ve složce a zvolte možnost: admin Spustit jako správce.
  • Na Windows 10 budete muset následně výchozí prohlížeč ještě zvolit v Nastavení.
  • chrl2
► Bezpečnější nastavení a blokování reklam

Použijte postup pro Google Chrome výše, je identický.


edge Microsoft Edge

► Bezpečnější nastavení
  • V pravém panelu otevřete Nastavení.
  • Sjeďte na konec stránky a klikněte na Zobrazit upřesňující nastavení.
  • Zkontrolujte konfiguraci a případně upravte:
  • edge
  • Prohlížeč restartujte.
► Blokování reklamy
  • Nainstalujte si následující bezpečnostní doplněk: uBlock Origin

Nastavení uBlock:

  • Klikněte na ikonu uBlock v panelu ikon a následně otevřete Nastavení.
  • edublock
  • Zobrazí se nastavení uBlock Origin. V sekci Soukromí zatrhněte možnost Předejít úniku lokálních IP adres přes WebRTC.
  • Následně se přesuňte do záložky Filtry třetích stran.
  • ublock
  • Zde vyberte filtry pro blokování webového obsahu. Doporučuji kromě výchozích zvolit následující:
  • ublock1
  • Následně v pravém horním rohu klikněte na tlačítko: ublock2
  • Přesuňte se na začátek stránky, zkontrolujte zatržítko u položky Automaticky aktualizovat seznamy filtrů a klikněte na tlačítko Aktualizovat nyní. Během aktualizace panel nezavírejte.
  • ublock3
► Oddělení prohlížeče od OS a dat

Microsoft Edge používá špičkovou implementaci sandboxu.


ie Internet Explorer

► Bezpečnější nastavení
  • Stiskněte kláv. zkratku win + R, do textového pole zadejte:
  • inetcpl.cpl
    a stiskněte Enter.
  • Zobrazí se Vlastnosti internetu. V horní liště se přesuňte do záložky Zabezpečení.
  • Zobrazí se nastavení úrovně zabezpečení internetových zón.
  • ie0
  • V zóně Internet se ujistěte, že má nastavenou výchozí úroveň zabezpečení. Pokud nemá, klikněte na tlačítko Výchozí úroveň, čímž nastavení opravíte.
  • Přesuňte se do zóny Místní intranet a upravte její úroveň zabezpečení dle obrázku:
  • ie1
  • Stejným způsobem upravte úroveň zabezpečení zóny Důvěryhodné weby.
  • V horní liště se přesuňte do záložky Osobní údaje, případně napravte.
  • Nastavení upravte na 3. nebo 2. nejvyšší možnost (Vyšší nebo Vysoká).
  • ie2
  • V horní liště se přesuňte do záložky Upřesnit.
  • V sekci Procházení odstraňte zatržítko u položky Povolit rozšíření prohlížečů jiných výrobců.
  • V sekci Zabezpečení odstraňte zatržítko u následujících položek:
    • Používat protokol SSL 3.0
    • Povolit úložiště DOM (volitelné, může znefunkčnit některé stránky)
  • A naopak přidejte zatržítko k následujícím položkám:
    • Blokovat nezabezpečené bitové kopie s ostatním smíšeným obsahem
    • Povolit filtr SmartScreen
    • Povolit rozšířený chráněný režim
    • Povolit striktní ověřování P3P
  • V dolním panelu aplikace klikněte na tlačítko OK a nastavení zavřete.
  • Otevřete prohlížeč.
  • Klikněte na ozubené kolo v pravém horním rohu.
  • Rozbalte záložku Zabezpečení.
  • Klikněte na tlačítko Filtrování ActiveX.
  • ie3
► Blokování reklamy
  • Otevřete v IE následující stránku.
  • Zobrazí se seznam filtrů pro Tracking Protection (vestavěný blokátor nejen reklam).
  • Ze seznamu doporučuji přidat filtry EasyList, EasyList Czech and Slovak a EasyPrivacy.

Přidání filtru pro Tracking Protection:

  • Klikněte na takto vypadající odkaz: ie4
  • V zobrazeném vyskakovacím okně klikněte na tlačítko Přidat seznam.

Další český filtr naleznete např. zde.

► Oddělení prohlížeče od OS a dat

Prohlížeč je částečně oddělen od OS díky technologii Protected Mode.


ff Mozilla Firefox

► Bezpečnější nastavení
  • Do adresního řádku prohlížeče zadejte:
  • about:config
    a stiskněte Enter.
  • Tlačítkem Beru to na vědomí!, potvrďte varování.
  • Zobrazí se podrobné nastavení prohlížeče. Zde lze provést pár bezpečnostních opatření.
  • Do vyhledávacího pole ve vrchní části stránky zadejte:
  • ocsp
  • Vyhledávání zobrazí veškeré hodnoty s OCSP v názvu. Dvakrát poklepejte myší na následující hodnotu:
  • security.OCSP.GET.enabled
  • Tím změníte její výchozí nastavení (zapnete/vypnete požadovanou funkci).
  • ff0
  • ff1
  • Výše uvedeným způsobem vyhledejte a změňte nastavení následujících hodnot (pokud se neshoduje):
  • accessibility.blockautorefresh  ---  automatické přesměrování; true
    browser.pocket.enabled  ---  vypíná službu Pocket; false
    extensions.pocket.enabled ---  false
    pdfjs.disabled  ---  vypne otevírání PDF v prohlížeči; true
    security.mixed_content.block_display_content  ---  nezabezpečený obsah; true
    security.ssl3.rsa_null_sha  ---  false
    security.ssl3.rsa_null_md5  ---  false
    security.ssl3.ecdhe_rsa_null_sha  ---  false
    security.ssl3.ecdhe_ecdsa_null_sha  ---  false
    security.ssl3.ecdh_rsa_null_sha  ---  false
    security.ssl3.ecdh_ecdsa_null_sha  ---  false
    security.ssl3.rsa_seed_sha  ---  false
    security.ssl3.rsa_rc4_40_md5  ---  false
    security.ssl3.rsa_rc2_40_md5  ---  false
    security.ssl3.rsa_1024_rc4_56_sha  ---  false
    security.ssl3.rsa_camellia_128_sha  ---  false
    security.ssl3.ecdhe_rsa_aes_128_sha  ---  false
    security.ssl3.ecdhe_ecdsa_aes_128_sha  ---  false
    security.ssl3.ecdh_rsa_aes_128_sha  ---  false
    security.ssl3.ecdh_ecdsa_aes_128_sha  ---  false
    security.ssl3.dhe_rsa_camellia_128_sha  ---  false
    security.ssl3.dhe_rsa_aes_128_sha  ---  false
    security.ssl3.ecdh_ecdsa_rc4_128_sha  ---  false
    security.ssl3.ecdh_rsa_rc4_128_sha  ---  false
    security.ssl3.ecdhe_ecdsa_rc4_128_sha  ---  false
    security.ssl3.ecdhe_rsa_rc4_128_sha  ---  false
    security.ssl3.rsa_rc4_128_md5  ---  false
    security.ssl3.rsa_rc4_128_sha  ---  false
    security.tls.unrestricted_rc4_fallback  ---  false
    security.ssl3.dhe_dss_des_ede3_sha  ---  false
    security.ssl3.dhe_rsa_des_ede3_sha  ---  false
    security.ssl3.ecdh_ecdsa_des_ede3_sha  ---  false
    security.ssl3.ecdh_rsa_des_ede3_sha  ---  false
    security.ssl3.ecdhe_ecdsa_des_ede3_sha  ---  false
    security.ssl3.ecdhe_rsa_des_ede3_sha  ---  false
    security.ssl3.rsa_des_ede3_sha  ---  false
    security.ssl3.rsa_fips_des_ede3_sha  ---  false
    security.ssl3.ecdh_rsa_aes_256_sha  ---  false
    security.ssl3.ecdh_ecdsa_aes_256_sha  ---  false
    security.ssl3.rsa_camellia_256_sha  ---  false
    security.ssl3.dhe_rsa_camellia_256_sha  ---  false
    security.ssl3.dhe_rsa_aes_256_sha  ---  false
    security.ssl3.dhe_dss_aes_128_sha  ---  false
    security.ssl3.dhe_dss_aes_256_sha  ---  false
    security.ssl3.dhe_dss_camellia_128_sha  ---  false
    security.ssl3.dhe_dss_camellia_256_sha  ---  false
    media.peerconnection.ice.no_host --- true
    network.jar.open-unsafe-types  ---  false
    security.xpconnect.plugin.unrestricted  ---  false
    javascript.options.asmjs  ---  false
    shumway.disabled  ---  true
    plugins.click_to_play  ---  true
    network.negotiate-auth.allow-insecure-ntlm-v1  ---  false
    security.insecure_password.ui.enabled  ---  true
    plugins.update.notifyUser  ---  true
    
    
    Volitelné hodnoty:
    ========================
    (mohou znefunkčnit některé stránky, označené hvězdičkou obzvlášť)
    
    *dom.storage.enabled  ---  DOM úložiště; false
    *media.peerconnection.enabled  ---  WebRTC; false
    dom.serviceWorkers.enabled  ---  false
    dom.workers.enabled  ---  false
    geo.enabled  ---  false
    dom.mozTCPSocket.enabled  ---  false
    dom.telephony.enabled  ---  false
    beacon.enabled  ---  false
    media.webspeech.recognition.enable  ---  false
    media.webspeech.synth.enabled  ---  false
    device.sensors.enabled  ---  false
    browser.send_pings  ---  false
    dom.vr.enabled  ---  false
    dom.vibrator.enabled  ---  false
    webgl.disabled  ---  true
    camera.control.face_detection.enabled  ---  false
    keyword.enabled  ---  false
    gfx.font_rendering.opentype_svg.enabled  ---  false
    svg.disabled  ---  false
    devtools.webide.enabled  ---  false
    devtools.debugger.remote-enabled  ---  false
    network.allow-experiments  ---  false
    browser.uitour.enabled  ---  false
    dom.flyweb.enabled  ---  false
    privacy.trackingprotection.enabled  ---  true
    privacy.trackingprotection.pbmode.enabled  ---  true
    privacy.resistFingerprinting  ---  true
    browser.safebrowsing.downloads.remote.enabled  ---  false
    security.pki.sha1_enforcement_level  ---  1
    security.ssl.treat_unsafe_negotiation_as_broken  ---  true
  • Do vyhledávacího pole ve vrchní části stránky zadejte:
  • flash
  • Vyhledávání zobrazí veškeré hodnoty s OCSP v názvu. Dvakrát poklepejte myší na následující hodnotu:
  • plugin.state.flash
  • Tím otevřete okno pro změnu hodnoty položky. Nastavte hodnotu na 0 a klikněte na OK.
  • Postup zopakujte pro následující položku:
  • plugin.state.java
  • Do adresního řádku prohlížeče zadejte:
  • about:preferences
    a stiskněte Enter.
  • V levém panelu se přesuňte do záložky Aplikace.
  • Ve sloupci Akce rozklikněte pole v řádku Soubor PDF.
  • Zvolte vámi preferovanou metodu – buď se vždy zeptat nebo automaticky PDF soubory stahovat nebo použít na otevření výchozí PDF prohlížeč. Osobně preferuji použít výchozí PDF prohlížeč.
  • ff2
► Blokování reklamy
  • Nainstalujte si následující bezpečnostní doplněk: uBlock Origin

Nastavení uBlock:

  • Klikněte na ikonu uBlock v panelu ikon a následně klikněte na nápis uBlock Origin.
  • ffublock
  • Zobrazí se nastavení uBlock Origin. V sekci Soukromí zatrhněte možnost Předejít úniku lokálních IP adres přes WebRTC.
  • Následně se přesuňte do záložky Filtry třetích stran.
  • ublock
  • Zde vyberte filtry pro blokování webového obsahu. Doporučuji kromě výchozích zvolit následující:
  • ublock1
  • Následně v pravém horním rohu klikněte na tlačítko: ublock2
  • Přesuňte se na začátek stránky, zkontrolujte zatržítko u položky Automaticky aktualizovat seznamy filtrů a klikněte na tlačítko Aktualizovat nyní. Během aktualizace panel nezavírejte.
  • ublock3
► Oddělení prohlížeče od OS a dat

Sandbox Firefoxu je v aktivním vývoji a již nyní je v celkem použitelném stavu.





Doporučené bezpečnostní konfigurace

Zde naleznete několik příkladů bezpečnostních konfigurací. Není tedy je slovo od slova kopírovat, stačí se inspirovat. Na druhou stranu níže zmíněné příklady konfigurací jsou plně funkční a relativně účinné. Pokud byste chtěli příklad aplikovat, počítá se s prostudováním celé sekce OS Windows v FAQ – hlavně návodů na jednotlivé programy – a aplikací zmíněných doporučení.

Bezplatná konfigurace pro BFU, který neumí anglicky (např. prarodiče):

► Konfigurace

Info
Tato konfigurace by při správném použití měla spolehlivě zabránit malware infekci.

  • OS – Windows 10 April 2018 Update
  • bezpečné nastavení OS – kompletní
  • AV/M – Windows Defender
  • FW – Windows Defender Firewall
  • anti-exploit – Windows Defender Exploit Guard
  • anti-executable – NVT Anti-AutoExec (aktuálně nefunkční)
  • virtualizace – nic
  • internetový prohlížeč – MS Edge / Google Chrome
  • zabezpečení prohlížeče – kompletní
  • užitečné aplikace – Unchecky, Heimdal Free
  • konfigurace pro pokročilé – dle znalostí

Je nutné proškolit BFU, jak se má chovat na PC a na internetu. Bezpečně nastavit OS. MS Edge používat pro bankovní účely a podobné citlivé věci, Google Chrome pro běžné brouzdání. Heimdal Free nastavit na tichou automatickou aktualizaci aplikací. Samozřejmě, pokud zvládáte pokročilou konfiguraci popisovanou v FAQ pro pokročilé, úroveň zabezpečení můžete velmi výrazně zvýšit.


Bezplatná konfigurace pro středně pokročilého, který umí anglicky:

► Konfigurace

Info
Tato konfigurace by při správném použití měla spolehlivě zabránit malware infekci.

  • OS – Windows 10 April 2018 Update / 8.1 Update 3
  • bezpečné nastavení OS – kompletní
  • AV/M – Windows Defender
  • FW – Windows Defender Firewall
  • anti-exploit – Windows Defender Exploit Guard / EMET
  • anti-executable – VoodooShield, NVT Anti-AutoExec (aktuálně nefunkční)
  • virtualizace – nic
  • internetový prohlížeč – MS Edge / Google Chrome
  • zabezpečení prohlížeče – kompletní
  • užitečné aplikace – Unchecky, HashTab
  • konfigurace pro pokročilé – dle znalostí



To je vše. Stay safe! smile

Changelog



FAQ 2.2.1 (18.02.2018):

  • OS Windows
    • srovnání úrovně podpory aktuální a starší verze OS
    • nová verze SafeSVC
    • rozšířena sekce Bezpečné nastavení sítě
    • rozšířena sekce Antivirus / Antimalware
  • OS Android – rozšíření sekce Bezpečné nastavení OS
► Starší změny

FAQ 2.2 (04.12.2017):

  • Základní informace – revize bezpečnostních doporučení
  • OS Windows
    • poznámka o podporovaných verzích OS
    • přidáno upozornění k NVT Anti-AutoExec
    • rozšířena sekce Anti-exploit
  • OS Linux
    • přepracováno pro GNOME 3.26 a Fedora 27
    • rozšířena sekce Virtualizace, návod na GNOME Boxes
    • revize sekce Flatpak
  • Internetové prohlížeče
    • přidán prohlížeč Epiphany (GNOME Web)
    • aktualizace pro Firefox 57
  • OS Android
    • přepracováno pro 8.1
    • Blokada v sekci Blokování reklamy

FAQ 2.1 (12.08.2017):

  • WWW – změna URL
  • Základní informace – nová sekce doporučené klíčenky
  • OS Windows
    • přepracováno pro Fall Creators Update
    • nová verze skriptu SafeSVC
    • návod na Heimdal Free a HashTab
    • návod na zakázání AutoPlay
  • OS Windows pro pokročilé
    • přepracováno pro Fall Creators Update
    • restrukturalizace, odebrány zbytečné sekce
  • OS Linux – aktualizace/rozšíření sekce Flatpak, odebrána sekce firejail
  • OS Linux pro pokročilé – odebráno/nahrazeno grsecurity, aktualizace příkazů
  • Internetové prohlížeče
    • návod na používání Chromium na Windows
    • návod na omezení JS ve Chromium / Google Chrome
    • stabilní blokování reklamy pro MS Edge
    • částečná aktualizace nastavení Mozilla Firefox
  • OS Android – přepracováno pro O

FAQ 2.0 a starší:

  • 16.04.2017 – FAQ v2 dokončeno
    • WWW – upraven design
    • OS Windows – revize, nyní primárně soustředěno na nejnovější verzi OS (W10 CU)
    • OS Linux – revize, přidáno openSUSE a Flatpak
    • OS Windows pro pokročilé – revize pro W10 CU, rozšířena sekce FW, přidány sekce AppContainer, FIDES, MemProtect
    • OS Linux pro pokročilé – overhaul
  • 15.04.2017 – FAQ pro pokročilé – OS Windows – dokončeno
  • 14.04.2017 – započat přechod na FAQ v2 (chybí FAQ pro pokročilé)
  • 12.11.2016 – aktualizace FAQ dokončena
  • 15.10.2016
    • OS Windows – započata revize sekce, chybí konfigurace pro pokročilé
    • OS Linux – přidán návod na bezpečné nastavení Chromium
  • 27.07.2016
    • OS Linux – dokončeno
    • OS Windows – zrevidována sekce Anti-exploit
    • OS Windows – odebrán audit ovladačů kvůli nízké účinnosti proti moderním rootkitům
    • návod na uBlock Origin přepsán do češtiny
  • 14.04.2016 – OS Windows – dokončeno
  • 16.11.2015 – započat převod na stable release včetně Linuxu
  • 02.07.2015 – uvedena beta verze – chybí Linux
  • 21.03.2015 – uvedena alfa verze
Top