FAQ – Velká příručka bezpečnosti logo

FAQ – OS Windows

Windows se jakožto nejrozšířenější desktopový OS těší velké pozornosti hackerů, jeho dostatečné zabezpečení je proto nezbytné.

Podporovanou verzí Windows v následující sekci je Windows 10 September 2018 Update jakožto nejnovější OS s podporou do roku 2025. Obsažené informace jsou platné také pro Windows 8.1 Update 3. Starší verze OS Windows již postrádají důležité bezpečnostní mitigace/funkce a zanedlouho jim skončí – pokud již neskončil – cyklus rozšířené podpory. Majitelé starých verzí OS by proto měli přejít na novější OS, dovoluje-li jim to jejich HW. I přesto je většina obsažených informací platná i pro starší verze OS, pouze se bude lišit přesný postup aplikace různých kroků – přesný postup pro staré verze zde nebude uváděn.

Tato sekce FAQ je určena běžným a středně pokročilým uživatelům. Sekci pro pokročilé naleznete zde.

FAQ se dělí na několik sekcí:


Základní bezpečnostní nastavení

Práce pod Standardním uživatelem:

OS Windows má dva typy uživatelských účtů: Standardní uživatel a Správce.

Z hlediska bezpečnosti je důležité pracovat pod Standardním uživatelem, jelikož má omezená oprávnění. Pokud se tedy do OS i přes všechna zdejší doporučení dostane malware, infikuje pouze uživatelský účet – na infikaci OS nemá potřebná oprávnění.

Varování
Jedná se o naprostý základ zabezpečení OS, bez kterého jsou veškerá další opatření naprosto zbytečná.

► Přidání účtu Správce a změna stávajícího uživatele na Standardního
  • Otevřete si Nastavení. Rozklikněte kategorii Účty a následně zvolte podkategorii Rodina a jiní uživatelé.
  • Klikněte na tlačítko Přidat do tohoto počítače někoho dalšího.
  • wntus
  • Otevře se dialog pro přidání nového uživatele. V levém dolním rohu klikněte na Nemám přihlašovací údaje této osoby.
  • V levém dolním rohu zvolte možnost Přidat uživatele bez účtu Microsoft.
  • Zadejte název účtu Správce (např. Admin) a zvolte pro něj silné zapamatovatelné heslo. Vyplňte bezpečnostní otázky a klikněte na Další.
  • wntus1
  • V seznamu jiných uživatelů se zobrazí účet Admin. Klikněte na něj a následně zvolte Změnit typ účtu.
  • wntus2
  • Zobrazí se dialog pro změnu typu účtu. Ze seznamu zvolte možnost Správce a klikněte na OK.
  • wntus3
  • Odhlaste se z vašeho účtu a přihlaste se jako Admin.
  • Otevřete si Nastavení. Rozklikněte kategorii Účty a následně zvolte podkategorii Rodina a jiní uživatelé.
  • V seznamu jiných uživatelů nalezněte svůj účet, klikněte na něj a následně zvolte Změnit typ účtu.
  • Zobrazí se dialog pro změnu typu účtu. Ze seznamu zvolte možnost Standardní uživatel a klikněte na OK.
  • Přihlaste se zpět na svůj uživatelský účet.
► Přidání účtu Správce a změna stávajícího uživatele na Standardního (starší verze Windows)
  • Otevřete si Nastavení. Rozklikněte kategorii Účty a následně zvolte podkategorii Jiné účty.
  • Zvolte možnost Přidat účet.
  • Otevře se dialog pro přidání nového uživatele. V pravém dolním rohu klikněte na Přihlásit se bez účtu Microsoft.
  • Klikněte na tlačítko Místní účet.
  • Zadejte název účtu Správce (např. Admin) a zvolte pro něj silné zapamatovatelné heslo.
  • Potvrďte přidání uživatele (Dokončit).
  • V seznamu dalších účtů se zobrazí účet Admin. Klikněte na něj a následně zvolte Upravit.
  • wntusleg
  • Zobrazí se dialog pro změnu typu účtu. Ze seznamu zvolte možnost Správce a klikněte na OK.
  • wntusleg1
  • Odhlaste se z vašeho účtu a přihlaste se jako Admin.
  • Otevřete si Nastavení. Rozklikněte kategorii Účty a následně zvolte podkategorii Jiné účty.
  • V seznamu dalších účtů nalezněte svůj účet, klikněte na něj a následně zvolte Upravit.
  • Zobrazí se dialog pro změnu typu účtu. Ze seznamu zvolte možnost Standardní uživatel a klikněte na OK.
  • Přihlaste se zpět na svůj uživatelský účet.

User Account Control:

User Account Control je důležitá součást bezpečnostního modelu OS od Windows Vista, kde se dočkala obrovské kritiky a ve Windows 7 proto byla v základním nastavení oslabena. Vypnutí UAC je z hlediska bezpečnosti sebevražda, naopak je doporučeno konfiguraci UAC nastavit na ještě přísnější úroveň.

► Nastavení UAC
  • Stiskněte kláv. zkratku win + R, do textového pole zadejte:
  • useraccountcontrolsettings
    a stiskněte Enter.
  • Otevře se konfigurace UAC. Zkontrolujte, že je nastavena na nejvyšší úroveň. Případně napravte.
  • uac
  • Klikněte na OK.

Bezpečné nastavení služeb a funkcí Windows:

Info
Pokročilejší si skript mohou upravit – je v něm několik zakomentovaných bezpečnostních opatření, které nemohou být aplikovány širokopásmově…

batch SafeSVC:

  • Stáhněte si SafeSVC.
  • Uložte a obsah archivu vyextrahujte na Plochu.
  • Na skript jménem safesvc klikněte pravým tlačítkem a zvolte možnost: admin Spustit jako správce.
  • Nechte skript pracovat, na konci procesu vám řekne o souhlas k restartu OS.
► Nastavení SmartScreen (starší verze Windows)
  • Stiskněte kláv. zkratku win + R, do textového pole zadejte:
  • smartscreensettings
    a stiskněte Enter.
  • Otevře se nastavení SmartScreen filtru. Upravte jej dle obrázku:
  • smartscreen
  • Klikněte na OK.

Bezpečné nastavení sítě:

► Konfigurace síťového adaptéru + DNS
  • Stiskněte kláv. zkratku win + R, do textového pole zadejte:
  • ncpa.cpl
    a stiskněte Enter.
  • Otevře se seznam síťových adaptérů. Klikněte na první adaptér (obvykle ethernet) pravým tlačítkem a zvolte možnost Vlastnosti.
  • wntnet
  • V seznamu odškrtněte všechny nepotřebné položky. Běžným uživatelům stačí ponechat pouze Sdílení souborů a tiskáren v sítích Microsoft, Protokol IP verze 4 (TCP/IPv4) a Protokol IP verze 6 (TCP/IPv6).
  • Pokud nesdílíte žádnou tiskárnu v síti a nepoužíváte IPv6 (pokud nevíte, zdali používáte IPv6, můžete to zjistil pomocí následujícího rychlého online testu), můžete pro vyšší bezpečnost ponechat zaškrtnutý pouze Protokol IP verze 4 (TCP/IPv4).
  • wntnet1
  • Klikněte na Protokol IP verze 4 (TCP/IPv4) a zvolte možnost Vlastnosti.
  • wntnet2

Úspěch
Potenciálně nebezpečné protokoly jsou nyní vypnuty. Dále nastavíme bezpečné DNS servery.

  • Pokud nevíte, co DNS je, přečtěte si tento krátký článek.
  • Doporučuji použít DNSSEC. Ale můžete si vybrat z mnoha DNS serverů, zde je pár příkladů:
  • CZ.NIC DNSSEC:        217.31.204.130, 193.29.206.206
    Adguard DNS:          176.103.130.130, 176.103.130.131
    OpenDNS:              208.67.222.222, 208.67.220.220
  • Po zvolení DNS serverů se přepněte zpět do okna Vlastností IPv4 protokolu.
  • Klikněte na Použít následující adresy serverů DNS a do kolonek vepište vámi zvolené DNS.
  • wntnet3
  • Klikněte na tlačítko Upřesnit…
  • V horním panelu se přesuňte do záložky WINS a zvolte možnost Zakázat rozhraní NetBIOS nad protokolem TCP/IP.
  • wntnet4
  • Klikněte na OK.
  • Klikněte na OK a okno zavřete.

Varování
Pro dosáhnutí kýženého efektu je nutné kompletní postup aplikovat pro všechny síťové adaptéry v seznamu (obvykle WLAN).


Další bezpečnostní nastavení:

  • Vypněte Usnadnění přístupu na přihlašovací obrazovce – součást skriptu SafeSVC.
  • Vypněte AutoPlay:
  • ► Návod
    • Otevřete si Nastavení. Rozklikněte kategorii Zařízení a následně zvolte podkategorii Automatické přehrávání.
    • Automatické přehrávání vypněte.
    • autoplay
  • Vypněte Remote Assistance:
  • ► Návod
    • Stiskněte kláv. zkratku win + R, do textového pole zadejte:
    • sysdm.cpl
      a stiskněte Enter.
    • Zobrazí se Vlastnosti systému.
    • Přesuňte se do záložky Vzdálený přístup a odstraňte zatržítko u položky Povolit připojení vzdálené pomoci k tomuto počítači.
    • sysdm
    • Klikněte na OK.




Ochrana proti malware

Jako nejúčinnější metoda ochrany proti malware se osvědčila bezpečnostní konfigurace skládající se z více vrstev („layered config“) – pokud selže jedna vrstva, nastupuje druhá. Spousta běžných uživatelů stále spoléhá pouze na jednu tradiční vrstvu – antivirus – což je z hlediska bezpečnosti tristní.

Samotný OS poskytuje jistou úroveň ochrany proti malware, která se liší v závislosti na verzi a edici OS. V základním nastavení ovšem bohužel nejsou všechny bezpečnostní funkce zapnuty a/nebo korektně nastaveny.

Vrstev existuje mnoho, níže jsou zmíněny pouze vrstvy vyhodnoceny jako důležité.

  • antivirus / antimalware
  • firewall
  • anti-exploit
  • anti-executable
  • virtualizace

Aktualizace OS a SW:

Je důležité mít aktuální verzi veškerého SW, jelikož nové verze často opravují mnoho bezpečnostních chyb. Neaktuální děravý SW je implicitně nebezpečný.

Windows by se měly ve výchozím nastavení aktualizovat samy (v edici Home automatické aktualizace dokonce nelze vypnout). Mnohé důležité aplikace (např. prohlížeče) se obvykle aktualizují automaticky.

Pro kontrolu aktualizací ostatního SW můžete použít např. aplikaci Kaspersky Software Updater, která vás v případě neaktuálního SW upozorní a umožní jeho aktualizaci – automatické aktualizace ovšem teoreticky mohou způsobit problémy. Návod ke Kaspersky Software Updater naleznete v sekci Ostatní aplikace.

► Kontrola nastavení aktualizací OS (starší verze Windows)
  • Stiskněte kláv. zkratku win + R, do textového pole zadejte:
  • wuapp
    a stiskněte Enter.
  • V levém panelu klikněte na tlačítko Změnit nastavení.
  • Zkontrolujte, že důležité aktualizace mají zvolenou možnost Instalovat aktualizace automaticky (doporučeno), případně napravte.
  • Zkontrolujte, že je odstraněné zatržítko u možnosti Získávat doporučené aktualizace stejným způsobem jako důležité aktualizace, případně napravte.
  • Klikněte na OK a okno zavřete.

Windows Defender:

Windows Defender je komplexní řešení, jenž kompletně pokrývá následující vrstvy zabezpečení: antimalware, firewall, anti-exploit. Dále zasahuje i do jiných vrstev jako anti-ransomware atd.

Ochrana proti tradičnímu malware:

Antivirus nebo antimalware (AV/M) je uživateli chápán jako základní vrstva zabezpečení, která sama o sobě stačí k zabezpečení OS. Tato teze již ovšem nějakou dobu není pravdivá.

► Rozebrání problematiky antivirů

Tradiční mechanismus antiviru pracuje na bázi databáze – detekuje známý malware, jejichž otisk má v databázi. Tento systém má vcelku očividnou slabinu – pokud otisk pro malware neexistuje, antivir jej nevyhodnotí jako škodlivý. Další technologií je tzv. heuristika, kdy je škodlivost kódu vyhodnocována na základě jeho aktivit po spuštění (vzorek je zpravidla testován v izolovaném prostředí – sandboxu). Tato technologie má také slabinu – škodlivost je posuzována na základě předvolených pravidel a indikací, které u vzorku pozoruje. Pokud malware provede činnost, která není zaznamenána heuristickým systémem jako škodlivá, antivir jej nevyhodnotí jako škodlivý. Tvůrci malware tedy používají různé postupy, aby heuristickou detekcí jejich kód prošel.

Další problém antivirů je ten, že většina z nich je stará – mají starý kód, který je tak komplexní, že jej vývojáři nepřepisují, pouze záplatují a přidávají nové funkce. V důsledku je mnoho antivirů náchylných na hackerské útoky staré 10 let.

Z výše uvedených důvodů tedy není bezpečné mít antivirus jako hlavní – natož jedinou – vrstvu zabezpečení. Antivirus ovšem má v bezpečnostní konfiguraci místo.

► Porovnání Windows Defender a AV/M řešení třetích stran

Do příchodu Windows 8.1 Update 3 byla AV/M řešení třetích stran brána jako nutné zlo, jelikož být bez žádného AV/M řešení je výrazně horší, nežli být s AV/M řešením třetí strany, a OS tehdy neobsahoval použitelné vestavěné AV/M řešení. S příchodem Windows 10 byl Windows Defender z velké části přepsán a s každou novou verzí OS se dočkává vylepšení. V aktuálním stavu se jedná o kvalitní moderní AV/M řešení.

Ostatní AV/M řešení nejsou vestavěná v OS – kvalita jejich kódu nemusí (může) být na úrovni zbytku OS, s každým řádkem kódu navíc se ovšem zvětšuje prostor pro exploitaci. Na rozdíl od Windows Defender nejsou korektně integrovány do OS – operují proto na bázi hacku a zásahu do bezpečnostního modelu OS (a aplikací jako internetových prohlížečů). V porovnání s integrovaným řešením navíc zpravidla postrádají/nevyužívají moderní mitigace proti exploitaci, které mají všechny systémové aplikace.

Detekce Windows Defender je na velmi dobré úrovni. Jedná se o výchozí AV/M řešení na instalacích aktuálních verzí OS – počet uživatelů zvyšuje šanci zachytit nový malware. Implementuje vyspělý cloudový systém, díky kterému nabízí užitečné pokročilé funkce (např. block on first sight).

Windows Defender integrovaný ve Windows 8.1 Update 3 a Windows 10 dosáhl úrovně, kdy dostatečně pokrývá tradiční vrstvu zabezpečení. Již tedy není nutné instalovat antivirus třetí strany, jehož kvalita kódu je řádově menší a s OS mnohdy provádí oproti integrovanému řešení naprosté šílenosti.

► Ochrana před viry a hrozbami – nastavení
  • Otevřete si Centrum zabezpečení v programu Windows Defender.
  • Přesuňte se do kategorie Ochrana před viry a hrozbami a otevřete Nastavení ochrany před viry a hrozbami.
  • Zkontrolujte konfiguraci ochrany a případně opravte:
  • wd
► Řízení aplikací a prohlížečů – nastavení
  • Přesuňte se do kategorie Řízení aplikací a prohlížečů.
  • Zkontrolujte konfiguraci SmartScreen filtru a případně opravte:
  • wd1
► Zabezpečení zařízení – nastavení
  • Přesuňte se do kategorie Zabezpečení zařízení.
  • V sekci Izolace jádra otevřete Podrobnosti o izolaci jádra.
  • Zkontrolujte konfiguraci virtualizace a případně opravte:
  • wd2
  • Potvrďte případný restart OS.
► Konfigurace Řízeného přístupu ke složkám
  • Přesuňte se do kategorie Ochrana před viry a hrozbami a otevřete Ochranu před ransomwarem.
  • Zapněte Řízený přístup ke složkám a následně otevřete Chráněné složky.
  • wd3
  • Kliknutím na Přidat chráněnou složku přidejte na seznam veškeré důležité osobní složky na disku, které nejsou v seznamu.
► Povolení aplikace v Řízeném přístupu ke složkám (příklad: Kaspersky Software Updater)
  • Při instalaci aplikací budete muset dočasně Řízený přístup ke složkám zakázat.
  • Otevřete povolené aplikace v Řízeném přístupu ke složkám.
  • wd3b
  • Klikněte na Přidat povolenou aplikaci. Zvolte možnost Procházet všechny aplikace.
  • wd4
  • Nalezněte Kaspersky Software Updater a přidejte postupně jeho spustitelné programy na seznam.
  • Řízený přístup ke složkám následně opětovně povolte.

Tip
Používáte-li lokální uživatelský účet bez propojení s účtem Microsoftu, Windows Defender bude zobrazovat varování o nezabezpečení účtu. Zmíněného varování se snadno zbavíte otevřením Centra zabezpečení v programu Windows Defender a kliknutím na Zavřít v sekci Ochrana účtu.

Ve verzi OS Windows 8.1 Update 3 obsahuje Windows Defender méně funkcí, stále se ovšem jedná o nejlepší volbu. Pro nižší verze OS poté existuje substituce Defenderu – Microsoft Security Essentials.

► Ochrana před viry a hrozbami – nastavení (starší verze Windows)
  • Otevřete si Windows Defender.
  • Přesuňte se do záložky Nastavení a zvolte podkategorii Ochrana v reálném čase.
  • Zkontrolujte zatržítko u volby Zapnout ochranu v reálném čase.
  • Přesuňte se do podkategorie Upřesnit. Zkontrolujte konfiguraci ochrany a případně opravte:
  • wdleg
  • Přesuňte se do podkategorie Komunita MAPS. Zkontrolujte konfiguraci ochrany a případně opravte:
  • wdleg1
  • Přesuňte se do podkategorie Správce a zkontrolujte zatržítko u volby Zapnout tuto aplikaci.
  • Případné změny uložte a aplikaci zavřete.

Firewall:

Firewall je velmi důležitá vrstva zabezpečení, která chrání OS před útoky ze sítě. Windows obsahují vestavěný Windows Defender Firewall (WDF), který je na velmi dobré úrovni a plně dostačující. Poznámka na okraj: základem síťového zabezpečení v domácnosti je rozumný router.

Windows Defender Firewall je v základu nastaven na blokování příchozí komunikace, která není explicitně povolena. Chcete-li posunout bezpečnost na výrazně vyšší úroveň, je nutné nastavit FW na blokování veškeré odchozí komunikace, která není explicitně povolena. V nejnovější verzi Windows je ovšem taková konfigurace značně problematická, návod proto naleznete pouze v FAQ pro pokročilé.

Firewall aplikace třetích stran jako Comodo Firewall jsou důrazně nedoporučeny.


Ochrana proti exploitaci:

Každý kód obsahuje minimálně jednu chybu. Toho zneužívají exploity, které tyto chyby zneužívají.

Windows využívají velké množství nejmodernějších mitigací, exploitace samotného OS je tedy velmi nákladná. Některé aplikace (např. Google Chrome) jsou z hlediska mitigací proti exploitům také na velmi vysoké úrovni. Pak jsou zde ovšem aplikace, které žádné mitigace neimplementují/nevyužívají, a někdy je bohužel užívání takových aplikací nezbytné. V takovém případě existují anti-exploit řešení, která umí exploitaci těchto aplikací ztížit.

Od verze Windows 10 Fall Creators Update je schopnost mitigace aplikací třetích stran integrována přímo v OS, rozhraní pro konfiguraci poskytuje Windows Defender.

► Konfigurace celosystémových anti-exploit mitigací
  • Otevřete si Centrum zabezpečení v programu Windows Defender.
  • Přesuňte se do kategorie Řízení aplikací a prohlížečů.
  • Sjeďte na konec stránky a otevřete Nastavení Ochrany Exploit Protection.
  • wd5
  • Zkontrolujte konfiguraci celosystémových mitigací a případně opravte:
  • wd6
► Konfigurace anti-exploit mitigací pro jednotlivé aplikace (příklad: VoodooShield)
  • V horním panelu se přesuňte do záložky Nastavení programu.
  • Klikněte na Přidat program, který chcete přizpůsobit a Zvolit přesnou cestu k souboru.
  • wd7
  • Nalezněte a zvolte požadovanou aplikaci, kterou chcete mitigovat.
  • wd8
  • Upravte konfiguraci dle obrázku:
  • wd9
  • Klikněte na tlačítko Použít.
► Konfigurace anti-exploit mitigací pro Microsoft Office
  • V horním panelu se přesuňte do záložky Nastavení programu.
  • Klikněte na Přidat program, který chcete přizpůsobit a zvolte Přidat podle názvu aplikace.
  • Do textového pole zadejte:
  • WINWORD.EXE
  • Upravte konfiguraci dle obrázku:
  • wd10
  • Klikněte na tlačítko Použít.
  • Obdobný způsob proveďte pro aplikaci MS Excel:
  • EXCEL.EXE
  • Obdobný způsob proveďte pro aplikaci MS PowerPoint:
  • POWERPNT.EXE

Ochrana proti exploitaci starších verzí Windows:

EMET je anti-exploit řešení od MS určeno pro starší verze OS, které anti-exploit mitigace nemají integrovány.

► Instalace a konfigurace EMET (starší verze Windows)
  • Stáhněte si nejnovější verzi EMET.
  • Aplikaci nainstalujte.
  • V průběhu instalace se zobrazí okno se základním nastavením aplikace. Zvolte možnost Use Recommended Settings a klikněte na Finish.
  • emet
  • Otevřete si EMET GUI.
  • V horním menu EMET klikněte na tlačítko Apps.
  • Zobrazí se seznam mitigovaných aplikací, pro přidání nové klikněte na tlačítko Add Application.
  • emet1
  • Nalezněte a zvolte požadovanou aplikaci, kterou chcete mitigovat.
  • wd8
  • Upravte konfiguraci dle obrázku:
  • emet2
  • Po dokončení nastavení všech aplikací zkontrolujte nastavení mitigací, případně opravte dle obrázku:
  • emet3
  • Klikněte na OK a zavřete EMET spolu s vyskakovacím oknem, které se objeví.

Info
Jaké další aplikace mitigovat? Veškerý rizikový SW třetí strany – např. VLC, 7-Zip, PDF prohlížeč, Steam apod.

TIP pro rychlou konfiguraci aplikace:

  • Pro rychlou konfiguraci aplikace danou aplikaci nejprve spusťte.
  • Otevřete si EMET GUI.
  • V listu běžících procesů nalezněte danou aplikaci, klikněte na ni pravým tlačítkem a zvolte možnost Configure Process…
  • Otevře se nastavení aplikací s nově přidanou zvolenou aplikací, pro kterou následně nakonfigurujte mitigace, a klikněte na OK.
  • emet4

HitmanPro.Alert je placená aplikace, která nabízí komplexní zabezpečení včetně mitigací proti exploitům. Investice do něj má smysl u starších verzí OS, verze Windows 10 Fall Creators Update a novější ovšem mají většinu hlavních funkcí HMP.A integrovanou v OS.

► Instalace a konfigurace HMP.A (starší verze Windows)
  • Stáhněte si HMP.A.
  • Aplikaci nainstalujte, ponechte doporučené nastavení a možnost skenu po instalaci.
  • Aplikaci otevřete.
  • Klikněte na ozubené kolo v pravém horním rohu a zvolte možnost Advanced interface.
  • Následně v dolní části klikněte na možnost Safety notification a zvolte možnost At application start.
  • hmpa
  • Následně klikněte na kategorii Risk reduction a zapněte všechny její funkce, které nejsou vypnuté. Funkce, které již jsou zapnuté, ponechte na výchozím nastavení.
  • Při otevření prohlížeče nebo jiné chráněné aplikace se při ponechání myši na pár sekund na kraji jejího okna zobrazí ohraničení, které signalizuje, že HMP.A chrání danou aplikaci a také ukazuje, které funkce HMP.A jsou pro danou aplikaci zapnuté. Mimo jiné se objeví notifikace o zapnutí ochrany pro danou aplikaci.
  • hmpa1
  • hmpa2
  • Při zachycení útoku HMP.A školivou aplikaci ukončí a zobrazí následující hlášku:
  • hmpa3

Tip
Více informací můžete nalézt v manuálu [EN].


Anti-executable:

Anti-executable je velmi účinná vrstva ochrany. Jak název napovídá, anti-executable řešení zabraňuje spouštění spustitelných souborů, tedy i malware.

Většina řešení funguje na principu whitelistu – má nastaveno, které spustitelné soubory povolit, a při spuštění neznámého souboru zobrazí uživateli dialog pro povolení/zakázání, případně souboru rovnou zabraní ve spuštění. Nastavení whitelistu není úkol pro běžné uživatele, existují ovšem i řešení, která umí whitelist vytvořit s minimem uživatelské interakce.

Přehled anti-executable řešení:

NVT Anti-AutoExec je drobná aplikace, která automaticky zabraňuje šíření USB malware. Stačí nainstalovat a ochrana je aktivní bez jakékoli interakce.

VoodooShield je nejpřívětivější anti-executable a vhodná volba pro obyčejné uživatele, pro profesionální nasazení z důvodů implementace ochrany již ne. Kromě placené verze poskytuje i bezplatnou pro nekomerční využití, která poskytuje srovnatelnou ochranu, akorát nenabízí možnost rozšířené konfigurace – což běžného uživatele nemusí trápit. V základu je aplikace nakonfigurována bezpečně. Bohužel (zatím) nenabízí české rozhraní.

► Instalace a konfigurace VoodooShield
  • Stáhněte si VoodooShield.
  • Aplikaci nainstalujte.
  • Vyčkejte na dokončení konfigurace aplikace a při dotázání zvolte Application Whitelisting Mode. Uvítací okno následně zavřete.
  • Klikněte pravým tlačítkem na ikonu aplikace v hlavním panelu a vyberte možnost Hide, čímž skryjete widget aplikace z pracovního prostoru.
  • Klikněte pravým tlačítkem na ikonu aplikace v hlavním panelu a zvolte mód Training.
  • vs
  • Nyní se VoodooShield učí aplikace, které používáte, a povoluje je. V tréninkovém módu postupně spusťte všechny aplikace, které používáte. Ideální je v tréninkovém módu PC používat jeden den, aby VoodooShield vše stihl zapsat.
  • Po ukončení tréninku VoodooShield klikněte pravým tlačítkem na ikonu aplikace v hlavním panelu a zvolte mód Always On.
  • vs1

Úspěch
Nyní máte plně funkční anti-executable ochranu aplikace VoodooShield. Když budete chtít instalovat libovolnou aplikaci, zvolte Disable/Install Mode.

Ukázky a poznatky z provozu:

(obrázky jsou pouze ilustrativní)

  • Když VS zablokuje neznámou, ale možná bezpečnou aplikaci, zobrazí následující bublinu:
  • vs2
  • Pokud chcete aplikaci povolit, na bublinu klikněte a v následujícím okně zvolte možnost Install.
  • vs3
  • Když VS zablokuje aplikaci, kterou detekuje alespoň 1 antivirový produkt nebo VoodooAI jako malware, zobrazí následující bublinu:
  • vs4
  • Zde je povolení o pár kliků delší. Klikněte na bublinu, v následujícím okně zvolte možnost Allow False Positive a odsouhlaste veškerá vyskakovací okna.
  • vs5
  • Po povolení aplikace a provedení vámi požadované akce se vždy přesvědčte, že VS běží v módu Always On.

AppLocker je anti-executable integrovaný ve Windows v edicích Ultimate, Education a Enterprise. Umožňuje ovládání spustitelných souborů, skriptů, DLL knihoven, MSI instalátorů a ModernUI (metro) aplikací. Poskytuje vcelku slušnou ochranu, na druhou stranu existují známé způsoby jeho obejití.

Software Restriction Policy je funkčně velmi omezený anti-executable dostupný ve všech edicích Windows. Umožňuje ovládání spustitelných souborů a skriptů. Jeho pravidla jsou ovšem vázána na proces explorer.exe, který je vlastněn uživatelem, není tedy ideální k profesionálnímu nasazení.


Virtualizace:

Virtualizace může být velmi bezpečný způsob ochrany před malware (záleží na způsobu aplikace), jelikož odděluje požadovanou část OS od fyzického OS. Základních možností aplikace virtualizace je několik.

  • virtuální stroj (VM; virtual machine)
  • částečná virtualizace OS
  • sandbox

Virtuální stroj:

Nejbezpečnější způsob virtualizace je emulace virtuálního zařízení, kdy je virtualizován celý OS – za korektního nastavení a využití snapshotů. Po správné konfiguraci můžete virtuální stroj používat např. k vcelku bezpečnému brouzdání internetem.

Virtualizován může být libovolný OS jako Windows nebo linuxová distribuce. Pro virtualizaci OS Windows pro něj ovšem budete potřebovat dodatečnou licenci. Přehled populárních řešení naleznete níže:

Hyper-V je integrované řešení OS Windows v edicích Pro a Enterprise.

VMware Workstation Player je bezplatný virtualizační software, který je oproti své placené mutaci značně funkčně omezený.

VirtualBox je populární bezplatné open-source řešení, které umožňuje důležitou konfiguraci bezpečnostních funkcí jako snapshotů. Není ideální k profesionálnímu nasazení.

► Příklad vytvoření VM s linuxovou distribucí pomocí VirtualBox
  • Stáhněte si VirtualBox.
  • Aplikaci nainstalujte.
  • Po otevření aplikace v horním menu klikněte na tlačítko Nový.
  • V dolním panelu zvolte Expertní režim.
  • Zvolte název VM a požadovaný OS. Následně určete velikost paměti OS a tlačítkem Vytvořit otevřete dialog k vytvoření virtuálního pevného disku.
  • Zvolte jeho velikost (alespoň 20 GB) a vytvořte jej.
  • Upravte nastavení VM dle potřeby a následně virtuální stroj spusťte. Vyberte bootovací disk požadovaného OS a klikněte na tlačítko Spustit.
  • Nainstalujte a nakonfigurujte OS. Po úspěšné konfiguraci pro požadované účely virtuální stroj vypněte.
  • V pravém horním menu rozklikněte nabídku Machine Tools a zvolte Snímky.
  • vbox
  • Tlačítkem Take vytvořte nový snapshot virtuálního stroje.
  • Snapshot pojmenujte a klikněte na OK.
  • vbox1
  • Při následujícím vypnutí virtuálního stroje nastavte automatické obnovení vytvořeného snapshotu.
  • Čas od času (např. 1x měsíčně) virtuální OS aktualizujte a vytvořte nový snapshot.

Částečná virtualizace OS:

Implementací částečné virtualizace OS je mnoho. Může spočívat ve virtualizaci jádra či jiné části OS, nebo např. ve vrácení změn v OS při restartu (Shadow Defender,…).

Od verze Windows 10 September 2018 update je částečná virtualizace implementována v OS. Konfigurace je možná pomocí Centra zabezpečení v programu Windows Defender v sekci Zabezpečení zařízení.


Sandbox:

U sandboxu velmi záleží na implementaci, např. bezplatné řešení Sandboxie poskytující externí sandbox pro aplikace, je spíše na hraní. Windows implementují svůj vestavěný sandbox (AppContainer), pokročilejší virtualizaci integrují ve verzích pro firemní sféru.

► Instalace a konfigurace Sandboxie
  • Stáhněte si Sandboxie.
  • Aplikaci nainstalujte a projděte úvodním tutoriálem.
  • Otevřete Ovládání Sandboxie.
  • Klikněte pravým tlačítkem na Sandbox DefaultBox a zvolte možnost Nastavení Sandboxu.
  • sbie
  • V pravém panelu rozbalte možnost Vymazat a klikněte na Smazat pracovní soubory.
  • Zatrhněte možnost Automaticky smazat obsah Sandboxu a klikněte na OK.
  • sbie1

Ostatní aplikace:

Užitečné aplikace, které nelze zařadit pod určitou vrstvu zabezpečení.

Doporučené ostatní aplikace:

► Instalace a konfigurace Kaspersky Software Updater
  • Stáhněte si Kaspersky Software Updater.
  • Máte-li nastavený Řízený přístup ke složkám ve Windows Defender, dočasně jej po dobu instalace vypněte.
  • Odsouhlaste všechny podmínky a aplikaci nainstalujte.
  • Po startu aplikace otevřete nastavení kliknutím na ozubené kolo v levém dolním rohu.
  • Ujistěte se, že režim vyhledávání aktualizací je nastaven na Úplné vyhledávání.
  • Zvolte si požadovaný čas vyhledávání aktualizací, časový interval ponechte na jednou týdně.
  • Odeberte zatržítko u položky Chci, aby mi společnost Kaspersky Lab zasílala zprávy s novinkami a speciálními nabídkami.
  • ksu
  • Nastavení uložte a vraťte se zpět na úvodní obrazovku aplikace.
  • Klikněte na Vyhledat aktualizace.
  • Kaspersky Software Updater zobrazí dostupné aktualizace vašich aplikací. Aktualizaci můžete provést ručně přes stránky výrobce, nebo pomocí KSU kliknutím na tlačítko Aktualizovat.
  • Aplikaci zavřete. Marketingovou řečnickou otázku v horní liště aplikace okázale ignorujte.
  • ksu1
  • Aplikaci pravděpodobně budete muset povolit v Řízeném přístupu ke složkám, který nyní opětovně zapněte. Návod zde.

Info
Ačkoli je Kaspersky Software Updater kvalitní aplikace, automatická aktualizace aplikací otevírá prostor problémům. Na druhou stranu se jedná o menší zlo v porovnání s neaktuálními aplikacemi. Pokud tedy takto konfigurujete OS člověku, který si s PC nerozumí a nebude aplikace aktualizovat, povolení automatických aktualizací zvažte.

► Instalace a konfigurace Unchecky
  • Stáhněte si Unchecky.
  • Aplikaci nainstalujte.
  • Otevřete rozhraní aplikace a přesuňte se do sekce Nastavení.
  • Vypněte zobrazování ikony v oznamovací oblasti a klikněte na Použít.
  • un
► Instalace a konfigurace HashTab
  • Stáhněte si HashTab.
  • Aplikaci nainstalujte.
  • Nalezněte libovolný soubor na disku a otevřete jeho Vlastnosti.
  • V horním panelu se přesuňte do záložky File Hashes a klikněte na tlačítko Settings.
  • ht
  • Upravte konfiguraci dle obrázku a klikněte na OK.
  • ht1




Zabezpečení internetového prohlížeče

  • bezpečnější nastavení (vypnutí nebezpečných funkcí, ideálně vč. javascriptu)
  • blokování reklamy
  • oddělení prohlížeče od dat a fyzického OS (sandbox < VM < live OS)
► Porovnání prohlížečů z ohledu bezpečnosti

Všechny prohlížeče jsou po korektním nastavení relativně bezpečné, velmi důležitým faktorem je také samotný uživatel. Níže v sekci naleznete návody na zabezpečení Google Chrome, Microsoft Edge, Mozilla Firefox a Internet Explorer, z důvodu jejich dominantního postavení. Také zde naleznete Chromium (open-source prohlížeč, ze kterého vychází Google Chrome) a Brave (open-source prohlížeč vycházející z prohlížeče Chromium, v základu integruje blokování reklam a trackerů).

Ze zmíněných prohlížečů jsou na vrcholu Microsoft Edge a Chromium, případně jeho proprietární varianta Google Chrome.

Chrome / Chromium využívá špičkovou implementaci vestavěného sandboxu OS (LP-AC). Také integruje všechny moderní mitigace včetně CFG, což je významné plus. Prohlížeč Brave je na tom obdobně.

Microsoft Edge je nový a moderní prohlížeč využívající implementaci vestavěného sandboxu OS (AC). Používá moderní mitigace jako CFG, což je významné plus.

Mozilla Firefox. Tento prohlížeč z hlediska zabezpečení v porovnání s ostatními zmíněnými prohlížeči stále o něco zaostává. Oproti svým konkurentům má starý kód nižší kvality a postrádá moderní mitigace proti exploitaci. Na druhou stranu již integruje solidní implementaci sandboxu a tvrdě pracuje na nápravě.

Prohlížeč Internet Explorer již není v aktivním vývoji, jeho denní užívání tedy není doporučeno.


ch_icon Google Chrome

► Instalace
  • Stáhněte si nejnovější verzi Google Chrome.
  • Aplikaci nainstalujte.
► Bezpečnější nastavení
  • Do adresního řádku prohlížeče zadejte:
  • chrome://settings
    a stiskněte Enter.
  • Zobrazí se nastavení. Sjeďte na konec stránky a klikněte na tlačítko ch
  • V sekci Ochrana soukromí klikněte na tlačítko Nastavení obsahu...
  • ch1
  • V sekci Soubory cookie zatrhněte možnost Blokovat soubory cookie třetích stran a data webových stránek.
  • ch2
  • V sekci Flash zablokujte spouštění obsahu Flash na webech.
  • ch3
  • V sekci Synchronizace na pozadí zablokujte nedávno zavřeným webům dokončit odeslání a příjem dat.
  • ch4
  • V sekci Přístup pluginu mimo izolovaný prostor zablokujte webům přístup do počítače pomocí pluginu.
  • ch5
  • V sekci Schránka zablokujte webům přístup k datům ve schránce.
  • ch6
  • Prohlížeč restartujte.
► Omezení JavaScript
  • Do adresního řádku prohlížeče zadejte:
  • chrome://settings
    a stiskněte Enter.
  • Zobrazí se nastavení. Sjeďte na konec stránky a klikněte na tlačítko ch
  • V sekci Ochrana soukromí klikněte na tlačítko Nastavení obsahu
  • ch1
  • V sekci JavaScript zablokujte spouštění JS.
  • ch7
  • Klikněte na tlačítko Přidat v sekci Povolit.
  • Zadejte adresu důvěryhodného webu, na kterém se může spouštět JS. Syntax je jednoduchý.
  • ch8
  • Klikněte na Přidat.
  • Prohlížeč restartujte.
► Blokování reklamy
  • Nainstalujte si následující bezpečnostní doplněk: uBlock Origin

Nastavení uBlock:

  • Klikněte na ikonu uBlock v panelu ikon a následně klikněte na nápis uBlock Origin.
  • chublock
  • Zobrazí se nastavení uBlock Origin. V sekci Soukromí zatrhněte možnost Předejít úniku lokálních IP adres přes WebRTC.
  • Následně se přesuňte do záložky Filtry třetích stran.
  • ublock
  • Zde vyberte filtry pro blokování webového obsahu. Doporučuji kromě výchozích zvolit následující:
  • ublock1
  • Následně v pravém horním rohu klikněte na tlačítko: ublock2
  • Přesuňte se na začátek stránky, zkontrolujte zatržítko u položky Automaticky aktualizovat seznamy filtrů a klikněte na tlačítko Aktualizovat nyní. Během aktualizace panel nezavírejte.
  • ublock3
► Oddělení prohlížeče od OS a dat

Chromium používá špičkovou implementaci sandboxu.


brv_icon Brave

► Instalace
  • Stáhněte si nejnovější verzi Brave.
  • Aplikaci nainstalujte.
► Bezpečnější nastavení
  • Do adresního řádku prohlížeče zadejte:
  • chrome://settings
    a stiskněte Enter.
  • Zobrazí se nastavení. V sekci Brave shields defaults zkontrolujte konfiguraci a případně opravte:
  • brv
  • Sjeďte na konec stránky a klikněte na tlačítko ch
  • V sekci Ochrana soukromí klikněte na tlačítko Nastavení obsahu...
  • ch1
  • V sekci Flash zablokujte spouštění obsahu Flash na webech.
  • ch3
  • V sekci Synchronizace na pozadí zablokujte nedávno zavřeným webům dokončit odeslání a příjem dat.
  • ch4
  • V sekci Přístup pluginu mimo izolovaný prostor zablokujte webům přístup do počítače pomocí pluginu.
  • ch5
  • V sekci Schránka zablokujte webům přístup k datům ve schránce.
  • ch6
  • Prohlížeč restartujte.
► Omezení JavaScript
  • Do adresního řádku prohlížeče zadejte:
  • chrome://settings
    a stiskněte Enter.
  • Zobrazí se nastavení. V sekci Brave shields defaults upravte konfiguraci dle obrázku:
  • brv1
  • Prohlížeč restartujte.
► Blokování reklamy

Prohlížeč v základu integruje blokování reklam a trackerů.

► Oddělení prohlížeče od OS a dat

Brave používá špičkovou implementaci sandboxu.


chm_icon Chromium:

Nechcete-li používat Google Chrome, doporučuji použít open-source Chromium, na kterém je Google Chrome založen. Chromium na Windows se bohužel neumí automaticky aktualizovat. Můžete ovšem použít komunitní open-source nástroj.

► Instalace a nastavení chrlauncher
  • Stáhněte si nejnovější verzi Chrlauncher.
  • Archiv extrahujte. V závislosti na bitové verzi vašeho OS určete, kterou složku z archivu budete potřebovat (64-bit OS – složka 64), a následně ji přesuňte na důstojné místo (ideálně %localappdata%, ale stačí Dokumenty). Také je vhodné ji přejmenovat.
  • Ve složce nalezněte a otevřete konfigurační soubor chrlauncher.ini.
  • Nalezněte řádek začínající na ChromiumArchitecture a za rovnítko vepište požadovanou architekturu (na novějších zařízeních 64):
  • chrl
  • Sjeďte níže na řádek začínající na ChromiumType a za rovnítko vepište druh prohlížeče, který chcete použít. Stable-codecs-nosync je verze s kodeky a bez služeb Google, je tedy doporučena. Naopak ungoogled-chromium je neoficiální nebezpečný fork a jeho užití je důrazně nedoporučeno.
  • Zkontrolujte nastavení ChromiumCheckPeriod, případně opravte.
  • chrl1
  • Dále zkontrolujte a případně opravte nastavení následujících argumentů:
  • ChromiumAutoDownload=true
    ChromiumBringToFront=true
    ChromiumWaitForDownloadEnd=true
  • Změny uložte a konfigurační soubor zavřete.
  • Spusťte aplikaci chrlauncher.
  • Chcete-li nastavit chrlauncher jako výchozí prohlížeč, klikněte pravým tlačítkem na skript SetDefaultBrowser ve složce a zvolte možnost: admin Spustit jako správce.
  • Na Windows 10 budete muset následně výchozí prohlížeč ještě zvolit v Nastavení.
  • chrl2
► Bezpečnější nastavení a blokování reklam

Použijte postup pro Google Chrome výše, je identický.


edge_icon Microsoft Edge

► Bezpečnější nastavení
  • V pravém panelu otevřete Nastavení.
  • Sjeďte na konec stránky a klikněte na Zobrazit upřesňující nastavení.
  • Zkontrolujte konfiguraci a případně upravte:
  • edge
  • Prohlížeč restartujte.
► Blokování reklamy
  • Nainstalujte si následující bezpečnostní doplněk: uBlock Origin

Nastavení uBlock:

  • Klikněte na ikonu uBlock v panelu ikon a následně otevřete Nastavení.
  • edublock
  • Zobrazí se nastavení uBlock Origin. V sekci Soukromí zatrhněte možnost Předejít úniku lokálních IP adres přes WebRTC.
  • Následně se přesuňte do záložky Filtry třetích stran.
  • ublock
  • Zde vyberte filtry pro blokování webového obsahu. Doporučuji kromě výchozích zvolit následující:
  • ublock1
  • Následně v pravém horním rohu klikněte na tlačítko: ublock2
  • Přesuňte se na začátek stránky, zkontrolujte zatržítko u položky Automaticky aktualizovat seznamy filtrů a klikněte na tlačítko Aktualizovat nyní. Během aktualizace panel nezavírejte.
  • ublock3
► Oddělení prohlížeče od OS a dat

Microsoft Edge používá špičkovou implementaci sandboxu.


ff_icon Mozilla Firefox

► Instalace
  • Stáhněte si nejnovější verzi Mozilla Firefox.
  • Aplikaci nainstalujte.
► Bezpečnější nastavení
  • Do adresního řádku prohlížeče zadejte:
  • about:preferences
    a stiskněte Enter.
  • V levém panelu se přesuňte do záložky Soukromí a zabezpečení.
  • V sekci Nastavení soukromí zapněte blokování Všech nalezených sledovacích prvků a Cookies třetích stran.
  • U nastavení blokování zvolte možnost Vždy, u nastavení cookies třetích stran zvolte Cookies sledovacích prvků. Následně klikněte na tlačítko Změnit seznam blokací.
  • ff
  • V seznamu vyberte možnost Přísná ochrana s Disconnect.me a klikněte na Uložit změny.
  • Sjeďte níže do sekce Oprávnění.
  • Zatrhněte položku Zabránit službám pro přístupnost v přístupu k vašemu prohlížeči a potvrďte restart aplikace.

  • ff1
  • Do adresního řádku prohlížeče zadejte:
  • about:config
    a stiskněte Enter.
  • Varování potvrďte tlačítkem Beru to na vědomí!.
  • Do vyhledávacího pole ve vrchní části stránky zadejte:
  • ocsp
  • Vyhledávání zobrazí veškeré hodnoty s OCSP v názvu. Dvakrát poklepejte levým myšítkem na následující hodnotu:
  • security.OCSP.require
  • Tím změníte konfiguraci hodnoty (zapnete/vypnete požadovanou funkci).
  • ff2 ff3
  • Výše uvedeným způsobem vyhledejte a změňte nastavení následujících hodnot (pokud se neshoduje):
  • accessibility.blockautorefresh  ---  automatické přesměrování; true
    security.mixed_content.block_display_content  ---  nezabezpečený obsah; true
    security.mixed_content.block_object_subrequest --- true
    media.peerconnection.ice.no_host --- true
    javascript.options.asmjs  ---  false
    shumway.disabled  ---  true
    network.negotiate-auth.allow-insecure-ntlm-v1  ---  false
    security.insecure_password.ui.enabled  ---  true
    network.allow-experiments --- false
  • Do vyhledávacího pole ve vrchní části stránky zadejte:
  • flash
  • Vyhledávání zobrazí veškeré hodnoty s flash v názvu. Dvakrát poklepejte levým myšítkem na následující hodnotu:
  • plugin.state.flash
  • Tím otevřete okno pro změnu hodnoty položky. Nastavte hodnotu na 0 a klikněte na OK.
  • Postup zopakujte pro následující položku:
  • plugin.state.java
► Blokování reklamy
  • Nainstalujte si následující bezpečnostní doplněk: uBlock Origin

Nastavení uBlock:

  • Klikněte na ikonu uBlock v panelu ikon a následně klikněte na nápis uBlock Origin.
  • ffublock
  • Zobrazí se nastavení uBlock Origin. V sekci Soukromí zatrhněte možnost Předejít úniku lokálních IP adres přes WebRTC.
  • Následně se přesuňte do záložky Filtry třetích stran.
  • ublock
  • Zde vyberte filtry pro blokování webového obsahu. Doporučuji kromě výchozích zvolit následující:
  • ublock1
  • Následně v pravém horním rohu klikněte na tlačítko: ublock2
  • Přesuňte se na začátek stránky, zkontrolujte zatržítko u položky Automaticky aktualizovat seznamy filtrů a klikněte na tlačítko Aktualizovat nyní. Během aktualizace panel nezavírejte.
  • ublock3
► Oddělení prohlížeče od OS a dat

Sandbox Firefoxu je v aktivním vývoji a již nyní je v celkem použitelném stavu.


ie_icon Internet Explorer

► Bezpečnější nastavení
  • Stiskněte kláv. zkratku win + R, do textového pole zadejte:
  • inetcpl.cpl
    a stiskněte Enter.
  • Zobrazí se Vlastnosti internetu. V horní liště se přesuňte do záložky Zabezpečení.
  • Zobrazí se nastavení úrovně zabezpečení internetových zón.
  • ie
  • V zóně Internet se ujistěte, že má nastavenou výchozí úroveň zabezpečení. Pokud nemá, klikněte na tlačítko Výchozí úroveň, čímž nastavení opravíte.
  • Přesuňte se do zóny Místní intranet a upravte její úroveň zabezpečení dle obrázku:
  • ie1
  • Stejným způsobem upravte úroveň zabezpečení zóny Důvěryhodné weby.
  • V horní liště se přesuňte do záložky Osobní údaje, případně napravte.
  • Nastavení upravte na 3. nebo 2. nejvyšší možnost (Vyšší nebo Vysoká).
  • ie2
  • V horní liště se přesuňte do záložky Upřesnit.
  • V sekci Procházení odstraňte zatržítko u položky Povolit rozšíření prohlížečů jiných výrobců.
  • V sekci Zabezpečení odstraňte zatržítko u následujících položek:
    • Používat protokol SSL 3.0
    • Povolit úložiště DOM (volitelné, může znefunkčnit některé stránky)
  • A naopak přidejte zatržítko k následujícím položkám:
    • Blokovat nezabezpečené bitové kopie s ostatním smíšeným obsahem
    • Povolit filtr SmartScreen
    • Povolit rozšířený chráněný režim
    • Povolit striktní ověřování P3P
  • V dolním panelu aplikace klikněte na tlačítko OK a nastavení zavřete.

  • Otevřete prohlížeč.

  • Klikněte na ozubené kolo v pravém horním rohu.
  • Rozbalte záložku Zabezpečení.
  • Klikněte na tlačítko Filtrování ActiveX.
  • ie3
► Blokování reklamy
  • Otevřete v IE následující stránku.
  • Zobrazí se seznam filtrů pro Tracking Protection (vestavěný blokátor nejen reklam).
  • Ze seznamu doporučuji přidat filtry EasyList, EasyList Czech and Slovak a EasyPrivacy.

Přidání filtru pro Tracking Protection:

  • Klikněte na takto vypadající odkaz: ie4
  • V zobrazeném vyskakovacím okně klikněte na tlačítko Přidat seznam.

Další český filtr naleznete např. zde.

► Oddělení prohlížeče od OS a dat

Prohlížeč je částečně oddělen od OS díky technologii Protected Mode.





Doporučené bezpečnostní konfigurace

Zde naleznete několik příkladů bezpečnostních konfigurací. Není tedy je slovo od slova kopírovat, stačí se inspirovat. Na druhou stranu níže zmíněné příklady konfigurací jsou plně funkční a relativně účinné. Pokud byste chtěli příklad aplikovat, počítá se s prostudováním celé sekce OS Windows v FAQ – hlavně návodů na jednotlivé programy – a aplikací zmíněných doporučení.

Bezplatná konfigurace pro BFU, který neumí anglicky (např. prarodiče):

► Konfigurace
  • OS – Windows 10 September 2018 Update
  • bezpečné nastavení OS – kompletní
  • AV/M – Windows Defender
  • FW – Windows Defender Firewall
  • anti-exploit – Windows Defender Exploit Guard
  • anti-executable – NVT Anti-AutoExec
  • virtualizace – integrovaná v OS
  • internetový prohlížeč – MS Edge, Google Chrome / Brave
  • zabezpečení prohlížeče – kompletní
  • užitečné aplikace – Unchecky, Kaspersky Software Updater
  • konfigurace pro pokročilé – dle znalostí

Je nutné proškolit BFU, jak se má chovat na PC a na internetu. Bezpečně nastavit OS. MS Edge používat pro bankovní účely a podobné citlivé věci, Google Chrome či Brave pro běžné brouzdání.


Bezplatná konfigurace pro středně pokročilého, který umí anglicky:

► Konfigurace
  • OS – Windows 10 September 2018 Update / 8.1 Update 3
  • bezpečné nastavení OS – kompletní
  • AV/M – Windows Defender
  • FW – Windows Defender Firewall
  • anti-exploit – Windows Defender Exploit Guard / EMET
  • anti-executable – VoodooShield, NVT Anti-AutoExec
  • virtualizace – integrovaná v OS, virtuální stroj
  • internetový prohlížeč – MS Edge, Chromium / Brave
  • zabezpečení prohlížeče – kompletní
  • užitečné aplikace – Kaspersky Software Updater, HashTab
  • konfigurace pro pokročilé – dle znalostí



To je vše. Stay safe! smile

Changelog



FAQ 2.3 (17.11.2018):

  • Základní informace
    • přidána sekce Bezpečné používání mobilních zařízení
    • Bitwarden v sekci Doporučené klíčenky
  • Internetové prohlížeče
    • přidán prohlížeč Brave
    • aktualizace pro Firefox
  • OS Windows
    • restrukturalizace
    • aktualizováno pro September 2018 Update
    • rozšířena sekce Virtualizace
    • Heimdal Free vyměněn za Kaspersky Software Updater
    • návod na VirtualBox a Unchecky
  • OS Windows pro pokročilé
    • přepracována sekce Bezpečnostní aplikace
  • OS Linux
    • aktualizováno pro GNOME 3.30
    • návod na vytváření snapshotů v GNOME Boxes
  • OS Linux pro pokročilé
    • odebrána sekce Ostatní doporučení
    • odebrán linux-hardened
  • OS Android
    • restrukturalizace
    • rozšířena sekce Bezpečná zařízení
    • odebrán CopperheadOS
► Starší změny

FAQ 2.2.1 (18.02.2018):

  • OS Windows
    • srovnání úrovně podpory aktuální a starší verze OS
    • nová verze SafeSVC
    • rozšířena sekce Bezpečné nastavení sítě
    • rozšířena sekce Antivirus / Antimalware
  • OS Android – rozšíření sekce Bezpečné nastavení OS

FAQ 2.2 (04.12.2017):

  • Základní informace – revize bezpečnostních doporučení
  • OS Windows
    • poznámka o podporovaných verzích OS
    • přidáno upozornění k NVT Anti-AutoExec
    • rozšířena sekce Anti-exploit
  • OS Linux
    • přepracováno pro GNOME 3.26 a Fedora 27
    • rozšířena sekce Virtualizace, návod na GNOME Boxes
    • revize sekce Flatpak
  • Internetové prohlížeče
    • přidán prohlížeč Epiphany (GNOME Web)
    • aktualizace pro Firefox 57
  • OS Android
    • přepracováno pro 8.1
    • Blokada v sekci Blokování reklamy

FAQ 2.1 (12.08.2017):

  • WWW – změna URL
  • Základní informace – nová sekce doporučené klíčenky
  • OS Windows
    • přepracováno pro Fall Creators Update
    • nová verze skriptu SafeSVC
    • návod na Heimdal Free a HashTab
    • návod na zakázání AutoPlay
  • OS Windows pro pokročilé
    • přepracováno pro Fall Creators Update
    • restrukturalizace, odebrány zbytečné sekce
  • OS Linux – aktualizace/rozšíření sekce Flatpak, odebrána sekce firejail
  • OS Linux pro pokročilé – odebráno/nahrazeno grsecurity, aktualizace příkazů
  • Internetové prohlížeče
    • návod na používání Chromium na Windows
    • návod na omezení JS ve Chromium / Google Chrome
    • stabilní blokování reklamy pro MS Edge
    • částečná aktualizace nastavení Mozilla Firefox
  • OS Android – přepracováno pro O

FAQ 2.0 a starší:

  • 16.04.2017 – FAQ v2 dokončeno
    • WWW – upraven design
    • OS Windows – revize, nyní primárně soustředěno na nejnovější verzi OS (W10 CU)
    • OS Linux – revize, přidáno openSUSE a Flatpak
    • OS Windows pro pokročilé – revize pro W10 CU, rozšířena sekce FW, přidány sekce AppContainer, FIDES, MemProtect
    • OS Linux pro pokročilé – overhaul
  • 15.04.2017 – FAQ pro pokročilé – OS Windows – dokončeno
  • 14.04.2017 – započat přechod na FAQ v2 (chybí FAQ pro pokročilé)
  • 12.11.2016 – aktualizace FAQ dokončena
  • 15.10.2016
    • OS Windows – započata revize sekce, chybí konfigurace pro pokročilé
    • OS Linux – přidán návod na bezpečné nastavení Chromium
  • 27.07.2016
    • OS Linux – dokončeno
    • OS Windows – zrevidována sekce Anti-exploit
    • OS Windows – odebrán audit ovladačů kvůli nízké účinnosti proti moderním rootkitům
    • návod na uBlock Origin přepsán do češtiny
  • 14.04.2016 – OS Windows – dokončeno
  • 16.11.2015 – započat převod na stable release včetně Linuxu
  • 02.07.2015 – uvedena beta verze – chybí Linux
  • 21.03.2015 – uvedena alfa verze
Top