Твикинг Windows 11. Настраиваем автообновления, антивирус и шифрование

Marat_1162

Стаж на ФС с 2014 г
ЖУРНАЛИСТ
Private Club
Старожил
Migalki Club
Меценат
Регистрация
25/3/16
Сообщения
4.625
Репутация
8.866
Реакции
22.633
RUB
0
Сделок через гаранта
4
Депозит
3 500 рублей

3c62270a85c5fcf62fa9e.png

ОБНОВЛЕНИЕ И ЕГО ОТКЛЮЧЕНИЕ​

Для самого обновления системы тебе ничего не нужно делать — оно выполняется в фоновом режиме, а когда обновления будут загружены, они установятся при следующем перезапуске компа. При этом в меню завершения работы появятся новые варианты: завершение работы с последующей установкой обновления или без таковой. Например, можно просто перезагрузить компьютер, а можно перезагрузить и обновить систему.

Наконец‑то в Microsoft догадались, что установка обновлений занимает немало времени и не всегда у пользователя есть возможность ждать, пока они будут установлены. А еще наконец‑то в Windows 11 поменяли цвет фона экрана обновлений — он стал черным, а не синим, как было раньше (все мы знаем, что еще с Windows 98 синий цвет ассоциируется с экраном смерти Windows).

1.png

Тайна черного экрана. Можешь прогуляться на кухню и выпить чашку такого же черного кофе. И не одну…

Экран «Параметры, Центр обновления Windows» позволяет управлять обновлениями системы. Например, пользователь может приостановить обновления на некоторое время. Для их возобновления раньше указанного периода используется кнопка «Возобновить обновления».

Здесь же можно вызвать журнал обновлений, позволяющий просмотреть, какие обновления были установлены до этого. Кнопка «Удалить обновления» позволяет удалить загруженные, но еще не установленные обновления.
2.png

Журнал обновлений

В дополнительных параметрах спрятаны различные настройки обновлений. Самые полезные из них — «Период активности», «Скачивать обновления через лимитные подключения» и «Уведомлять меня о необходимости перезагрузки для завершения обновления».
3.png

Дополнительные параметры обновления
«Период активности» говорит системе, чтобы она не мешала тебе предложениями обновить систему, когда ты работаешь за компом. По умолчанию используется значение с 8:00 до 17:00, думаю, нужно изменить как минимум с 8:00 до 20:00, учитывая современный «удаленный» график.

Обязательно нужно убедиться, что выключен параметр «Скачивать обновления через лимитные подключения» и включен «Уведомлять меня о необходимости перезагрузки для завершения обновления». Когда ты в отпуске или в командировке, ты будешь пользоваться услугами роуминга или тарифицируемым Wi-Fi. В такие периоды нужно, чтобы твое соединение, через которое ты подключаешься к интернету, было помечено как лимитное. Кстати, это один из простых способов отключить обновления навсегда — если у тебя стационарный компьютер или ноутбук, который используется только дома, и ты подключаешься постоянно к сети через одно и то же соединение (неважно, Ethernet или Wi-Fi), просто пометь его как лимитное (так можно пометить даже Ethernet-соединение).
4.png

Помечаем соединение как лимитное
Стоит включить параметр «Уведомлять меня о необходимости перезагрузки для завершения обновления» — тогда перезагрузка при обновлении не станет неожиданностью.

Теперь о том, как отключить обновления насовсем. Во‑первых, можно пометить соединение как лимитное, как я уже предлагал выше. Но при подключении к сети через другое соединение, которое не помечено как лимитное, система начнет загружать обновления снова.

Не хочется долго дискутировать на тему, нужно ли отключать обновления или нет, лучше расскажу, как их выключить, а там уже каждый сам решает — воспользоваться советом или нет. Итак, для отключения обновлений выполни следующие действия:
  1. Нажми Win + R и запусти редактор групповой политики gpedit.msc.
  2. Перейди в раздел «Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Центр обновления Windows → Управление интерфейсом пользователя» и найди политику «Настройка автоматического обновления».
  3. Дважды щелкни по политике и задай значение «Отключено. Нажми кнопку OK.
  4. Перезагрузи компьютер.
  5. Открой окно «Параметры» и перейди в раздел «Центр обновления Windows», чтобы убедиться, что обновления выключены. Ты должен увидеть сообщение, что «что‑то пошло не так». Хотя в Windows 10 в этом случае было уведомление о том, что обновлениями управляет организация. Но в любом случае цель достигнута.
5.png

Редактор групповой политики
6.png

Отключение обновлений
7.png

Обновления выключены

НАСКОЛЬКО БЕЗОПАСЕН BITLOCKER? КАК ВЗЛОМАТЬ И КАК ЗАЩИТИТЬСЯ​

BitLocker — очень надежная система, но и она всего лишь компромисс между скоростью, удобством для пользователя и надежностью. Все эти три фактора плохо сочетаются друг с другом: если выбрать скорость и удобство, то не будет надежности (что‑то вроде современных автомобилей).

Если надежность и скорость (например, спортивный автомобиль), то вряд ли такое решение будет удобным. Если же ты голосуешь за надежность и удобство (туристический автобус), то решение нельзя назвать быстрым. В BitLocker разработчики попытались все эти три качества совместить. Получилось довольно быстро, очень удобно и в меру надежно.

С надежностью защиты данных есть нюансы. Конечно, это не EFS, где с помощью утилиты сторонних разработчиков можно расшифровать зашифрованные тобой файлы. Нет. С шифрованием все как раз нормально. Проблема в самой реализации. Самая опасная штука в BitLocker — это ключ восстановления. Представим, что есть два диска: системный и диск Е:, который был зашифрован с помощью BitLocker, и на нем хранятся самые важные данные. Кому‑то нужно получить доступ к этой информации. Как он это сделает?

Да достаточно просто: поищет по системному диску текстовые файлы со строкой «Ключ восстановления». Если у пользователя хватило ума сохранить его на локальном компьютере, можно быть уверенным — защиту с легкостью вскроют.
К BitLocker претензий нет — это чистой воды человеческий фактор. Чтобы такого не произошло, нужно придерживаться следующих простых правил:
  1. Сохрани файл восстановления под именем, отличным от имени по умолчанию. Например, software.key. Лучше всего сохранять на флешку или на SD-карту смартфона — чтобы никто не нашел. Сохранять ключ на локальном компьютере — плохая идея.
  2. Открой сохраненный файл в любом текстовом редакторе. Подойдет обычный блокнот. Удали из него все, кроме самого ключа восстановления. Ключ восстановления сойдет за серийник к какой‑то программе, и даже если злоумышленник обнаружит его на флешке, то подумает, что это нечто иное. Для большей маскировки можно несколько раз скопировать его и заменить некоторые символы, а напротив каждой копии написать название какой‑то программы, чтобы точно можно было подумать, что это серийники к разным программам.
  3. У правильного ключа замени одну‑две цифры. Например, пусть ключ будет следующим: 326304-090167-116930-346555-351241-488092-701602-527483. Первую и последнюю тройки замени девятками, то есть получится 926304-090167-116930-346555-351241-488092-701602-527489. Даже если злоумышленник скопирует этот ключ и вставит в окно восстановления, открыть диск у него не получится. Главное потом не забыть, какие цифры и на какие поменял.
  4. Не храни ключи восстановления в учетной записи Microsoft. Ты уверен, что ее невозможно взломать? А есть уверенность, что Microsoft не передаст эти ключи восстановления по официальному запросу? Если ты так сглупил и сохранил ключ в ней, перейди по адресу и удали все имеющиеся там ключи. Это спасет только от хакеров, которые взломают твою учетную запись. А вот от самой Microsoft вряд ли, поскольку твои ключи уже наверняка скопированы. На всякий случай поменяй пароли ко всем зашифрованным дискам и больше не сохраняй ключи в учетке.
Итак, мы только что закрыли самую большую проблему BitLocker. Но это еще далеко не все. Попробуй зашифровать диск с данными.

Даже если на нем сейчас нет данных — просто скачай несколько фильмов из интернета, чтобы заполнить диск хотя бы на 20–30%.

Включи шифрование BitLocker. Шифрование займет некоторое время — все зависит от объема информации, хранящейся на диске, и от производительности самого диска (на SSD все пройдет быстрее).

А теперь попробуй отключить шифрование (команда «Отключить BitLocker»). Отключение произойдет мгновенно. Оказывается, при отключении BitLocker не расшифровывает данные. Все секторы так и останутся зашифрованными ключом FVEK (Full Volume Encryption Key — ключ шифрования всего тома). Но доступ к этому ключу больше никак не будет ограничиваться. Все проверки будут выключены, а VMK (Volume Master Key — мастер‑ключ тома) просто останется записанным среди метаданных в открытом виде. Если ты зашифровал системный диск, то загрузчик операционной системы считает VMK, автоматически расшифрует FVEK, а после и все файлы — по мере обращения к ним. Для пользователя все это будет выглядеть как отсутствие шифрования, но на самом деле шифрование все еще включено, и будет наблюдаться некоторое снижение производительности.

Вторая дыра BitLocker связана как раз с VMK. Ключи шифрования хранятся в оперативной памяти — иначе пользователю пришлось бы отдельно расшифровывать каждый файл при обращении к нему. Это означает, что можно сделать дамп памяти, например с помощью программы RAM Capture, найти ключ и получить доступ к диску. К примеру, когда ты отойдешь от компьютера на перекур или попить кофе, твой коллега может легко сделать дамп памяти на флешку — флешки с поддержкой USB 3.0 уже давно доступны, а размер памяти в большинстве случаев составляет 8–16 Гбайт, так что на создание дампа не уйдет много времени.

Защититься от этого можно, если установить сложный пароль для учетной записи (или настроить биометрию, например по отпечатку пальца) и установить небольшой интервал для экранной заставки, скажем в одну минуту. При использовании биометрии для входа в учетную запись это вообще не составит никаких неудобств. Просто приложи палец к сканеру, и компьютер будет разблокирован. Если же используется разблокировка по паролю, то вводить каждый раз сложный пароль неудобно — это факт.

Также VMK может храниться в файле гибернации hiberfil.sys. Это означает, что если кто‑то извлечет жесткий диск из твоего компьютера и пороется в hiberfil.sys, то сможет найти мастер‑ключ для разблокировки BitLocker-диска. Чтобы такого не произошло, нужно отключить режим гибернации (команда powercfg -h off от имени админа) и удалить файл hiberfil.sys. В результате ты не только обезопасишь себя, но еще и сэкономишь немного места на диске. Недостаток — Windows будет загружаться немного медленнее.

Наконец, последний нюанс. Если твой компьютер — часть домена Active Directory, то все твои ключи восстановления хранятся на контроллере AD. Другими словами, админ AD может разблокировать любой диск на предприятии. От этого никак не уйти и не избавиться (если администратор сам не отключит данную фичу с помощью групповых политик). Просто нужно знать об этом. Может, и к лучшему — если потеряется ключ восстановления, то администратор сможет помочь.

РАЗРЕШЕННЫЕ УГРОЗЫ — ИСКЛЮЧЕНИЯ ДЛЯ АНТИВИРУСА​

Штатный антивирус Windows довольно хорош, вот только не все доверяют его возможностям и устанавливают сторонние решения. А поскольку устанавливаются, как правило, бесплатные антивирусы, то толку от них немного.

Иногда антивирус неправильно определяет угрозы и может «жаловаться» на необходимые для пользователя программы. Чтобы антивирус и такие программы смогли уживаться на компьютере, их нужно добавить в список исключения.
Для этого выполни следующие действия:
  1. В окне «Безопасность Windows» перейди в раздел «Защита от вирусов и угроз».
  2. Пролистай экран и найди ссылку «Управление настройками», перейди по ней.
  3. Пролистай экран в самый низ и нажми ссылку «Добавление или удаление исключений».
  4. Нажми кнопку «Добавить исключение», выбери типа исключения: файл, папка, программа и так далее.
  5. Выбери объект для исключения. На следующем рисунке показано, что в список для исключений добавлена папка C:\temp.
8.png

Управление исключениями

ВРЕМЕННОЕ ОТКЛЮЧЕНИЕ АНТИВИРУСА​

Антивирус в Windows 11 нельзя выключить навсегда. Можно его временно деактивировать, но через непродолжительное время он обязательно запустится снова.

Существует только один способ полностью выключить антивирус: установить нештатную антивирусную программу, например тот же Avast. Используя интерфейс антивируса, нужно его полностью выключить. Когда в системе установлен нештатный антивирус, стандартный отключается, пока не будет удален сторонний продукт.

Для временного отключения антивируса в разделе «Параметры защиты от вирусов и других угроз» выключи единственный переключатель в секции «Защита в режиме реального времени».
9.png

Антивирус временно выключен

БЛОКИРОВКА ПОТЕНЦИАЛЬНО НЕЖЕЛАТЕЛЬНЫХ ПРОГРАММ ИЛИ ЗАЩИТА НА ОСНОВЕ РЕПУТАЦИИ​

В одной из последних сборок Windows 10 появилась защита от потенциально нежелательных программ. Эта функция есть и в Windows 11. Открой приложение «Безопасность Windows» и перейди в раздел «Управление приложениями/браузером». Здесь и находится новый раздел «Защита на основе репутации».
10.png

Защита на основе репутации

Однако не спеши нажимать кнопку «Включить». Щелкни по ссылке «Параметры защиты на основе репутации». На новой странице параметров сгруппированы настройки, позволяющие включить или отключить отдельные компоненты защиты: «Проверка приложений и файлов», «SmartScreen для Microsoft Edge», «SmartScreen для приложений из Microsoft Store», а также новая опция «Блокировка потенциально нежелательного приложения», которая позволяет включить или отключить защиту от нежелательных программ в защитнике Windows.
11.png

Блокировка потенциально нежелательного приложения

КОНТРОЛИРУЕМЫЙ ДОСТУП К ПАПКАМ​

Штатный антивирус Windows 11 обладает одной очень важной функцией — он может контролировать доступ к папкам. Работает это так. Пользователь создает список контролируемых («охраняемых» папок). Если какая‑то программа попытается изменить файлы, находящиеся в этих папках, антивирус заблокирует операцию. Конечно, можно указать, каким программам разрешено изменять файлы в контролируемых папках.

Например, если защищаем папку с документами и таблицами, целесообразно дать доступ к этим документам программам Word и Excel.

Контролируемый доступ к папкам позволит сохранить важные данные, даже если на компьютер проникнет вирус‑шифровальщик или другая вредоносная программа.
Настроить контролируемый доступ к папкам можно так:
  1. Открой приложение «Безопасность Windows».
  2. Нажми кнопку «Защита от вирусов и угроз».
  3. Пролистай появившийся экран в самый низ и выбери ссылку «Управление защитой от программ‑шантажистов».
  4. Включи параметр «Контролируемый доступ к папкам. Защита включена». После этого в случае попытки вируса‑шифровальщика зашифровать твои данные или при других неодобренных системой изменениях в файлах ты будешь получать уведомление о том, что недопустимые изменения заблокированы.
  5. По умолчанию защищаются системные папки документов пользователей, но при желании можно перейти в раздел «Защищенные папки → Добавить защищенную папку» и указать любую другую папку или даже целый диск, который необходимо защитить от несанкционированных изменений. Системный диск не нужно добавлять в этот список — по понятным причинам.
  6. Выбери команду «Разрешить работу приложения через контролируемый доступ к папкам». Используя кнопку «Добавление разрешенного приложения», добавь приложения, которым можно работать с файлами из защищенных папок.
12.png

Выбери команду «Управление защитой от программ‑шантажистов»
13.png

Включение контролируемого доступа к папкам
14.png

Какие папки защищены
15.png

Добавление приложений

ЗАГРУЗКА ИЗ ОБЛАКА​

В Windows 10 May 2020 Update появилась функция «Загрузка из облака». Однако поскольку многие пользователи так и не получили это обновление, то все считают, что эта функция присуща только Windows 11.
Работает загрузка и переустановка системы из облака так: вместо переустановки Windows с помощью файлов из локальной системы Windows самостоятельно скачает самую актуальную версию ОС и установит ее на компьютер.

Функция «Загрузка из облака» позволит сэкономить время на установку необходимых обновлений. Раньше для этого нужно было создавать отдельный установочный носитель Windows или обновлять систему до сброса к заводским настройкам. Другими словами, используя эту опцию, можно не только переустановить Windows, но и при этом получить самую новую версию. Раньше же мы откатывались назад, а затем нам пришлось бы устанавливать выпущенные обновления, чтобы поддерживать систему в актуальном состоянии. Новая функция позволяет существенно сэкономить время переустановки Windows.
16.png

Получить доступ к функции «Загрузка из облака» можно через экран «Система, Восстановление»

При использовании облачной переустановки имей в виду, что, возможно, придется обновить некоторые свои программы: может выйти так, что использовалась одна версия Windows, она долго не обновлялась, а при облачной установке была загружена самая новая версия и некоторые программы не смогут с ней работать. Их и придется переустанавливать. К таким программам часто относят системное ПО вроде сторонних антивирусов, средств виртуализации (VMware) и некоторые другие.

ЗАКЛЮЧЕНИЕ​

Станет ли такой же популярной Windows 11 — сказать сложно... С одной стороны, со временем переход на одиннадцатую или более новую версию Windows неизбежен. С другой стороны, «десятка» на фоне «семерки» выглядит как что‑то космическое, и действительно заметен прорыв, чего нельзя сказать, если сравнивать Windows 10 и Windows 11. Более того, весьма много нововведений Windows 11 появились на самом деле в последних обновлениях Windows 10. Тем не менее прогресс не стоит на месте, и lifetime Windows 10 рано или поздно закончится. А значит, сейчас самое время изучать возможности новой версии популярной ОС от Microsoft.
Денис Колисниченко, xakep.ru
 
Сверху Снизу