همان طور که می دانید ویندوز یکی از سیستم عامل های پر استفاده میان کاربران هست. خیلی می گویند امنیت سیستم عامل ویندوز پایین هست یا جملات شبیه به این به طور کلی در دنیای امنیت سایبری هر برنامه یا هر سیستم عاملی که تعداد یوزر بیشتری داشته باشد بیشترین محققین امنیتی بر روی آن آنالیز انجام می دهند یا بیشترین هکرها روی آن زوم می کنند. ویندوز یکی از تارگت ها بوده و خواهد بود.
با اجرای چند نکته می توانید سیستم عامل ویندوز کلاینت خود را تا حدی زیادی در برابر حملات سایبری ( سرقت اطلاعات شخصی) ایمن کنید.

۱-پاک کردن برنامه های که بدون استفاده هستند.معمولا برنامه های قدیمی که شرکت سازنده یا توسعه دهنده برایشان اپدیتی منشتر نمیکند در صورت کشف آسیب پذیری مورد سو استفاده هکرها قرار می گیرند.از کرک استفاده نکنید مخصوصا در سیستم های حساس هیچ کرکی قابل اعتماد نیست. یکی از روش های نفوذ پخش کردن کرک های نرم افزارهای کاربردی مثل IDM و … است.

۲-حتما از آنتی ویروس استفاده کنید مخصوصا که بیشتر استفاده روزمره شما کار با اینترنت هست نسخه های Internet security محصولات آنتی ویروس کمک بسیاری زیادی در برابر ایمن ماندن مقابل حملات Phishing می کنند.اگر آنتی ویروس خریداری نکردید از آنتی ویروس های مجانی حتما استفاده کنید و هیچ گاه آنتی ویروس خود را خاموش نکنید.

۳-تنظیمات UAC ویندوز دستکاری نکنید و بزارید حالت Default بمونه UAC و Smart screen ویندوز تا حد زیادی از اجرا شدن بدافزارها جلوگیری می کنند.

smart screen جزو تنظیمات app & browser control هست برای جلوگیری از اجرای فایل های مخرب مثل اکسپلویت ها

۴- در سریع ترین زمان سیستم عامل خود را آپدیت کنید
حتما سعی کنید از آخرین نسخه های ویندوز استفاده کنید نسخه های ویندوز که End of line شده باشند دیگر هیچ بروزرسانی برای آنها توسط مایکروسافت ارایه نمی شود و امنیت آن ها بسیار پایین است.
Patch Tuesday & hack Wednesday
سشنبه پچ کن یا چهارشنبه هک شو! از سال ۲۰۰۳ بین تمامی کمپانی ها باب شد که سشنبه دوم هر ماه و گاهی چهارمین پچ های امنیتی را منشتر می کنند.
Security Patch:به وصله های امنیتی که پس از کشف آسیب پذیری از سمت شرکت ها مثل مایکروسافت ارایه می شود.
Hotfix:خیلی به ندرت به صورت عمومی منتشر می شود مگر مشکل خیلی حساسی باشد و معمولا در قالب دو مورد دیگر ارایه می شود.
Service packمجموعه ای وصله های امنیتی و hotfix ها هست که معمولا در قالب sp1,SP2,SP3 و … در مایکروسافت بهش برخوردید.

۵-استفاده از پسورد complex منظور از complex یا پیچده استفاده از حرف عدد کاراکتر هست مثلا p@ssW0d596

۶-بستن سرویس هایی که به عنوان ویندوز کلاینت به آن ها نیاز نداریم مثلا Netbios,SMB غیر فعال کردن IPV6
برای فهمیدن مراحل به ترتیب اسکرین گرفته شده است دنبال کنید:



به صورت پیش فرض تیک خورده با برداشتن سرویس هایی sharing و IPV6 که در ویندوز شخصی (منزل) مورد استفاده قرار نمی دهید غیر فعال خواهند شد!

حالا به تنظیمات IPV4 بروید

طبق عکس زیر Netbios را غیر فعال کنید

۷-برای بالا بردن اطلاعات شخصی و حساس مثل عکس فیلم متن از سرویس های EFS یا Bitlocker استفاده کنید EFS روی یک فایل و Bitlocker روی یک درایو ولی در کل هر جفتش باید فایل سیستم NTFS باشه. این مورد خیلی جدی بگیرید اگر لپ تابتان را به کسی قرض می دهید یا اگر PC مشترک با کسی دارید و عکس های خانوادگی دارید جهت عدم سواستفاده طبق مراحل زیر خود را ایمن کنید.
ابتدا فرض می کنم یک فولدر شخصی دارید و در آن کلیه موارد شخصی ریخته اید و یوزر دیگری بر روی ویندوز شما قرار دارد و نمی خواید فرضا مهمان یا دوستتان به فایل های شخصی شما دست داشته باشد


حالا با رفتن به Advanced تیک EFS بزنید همچنین شخص (یوزر دیگر) نمی تواند فایل ها را باز کند یا کپی کند

چون اطلاعات رمز می شوند حتما کلید خصوصی را بک اپ بگیرید
نکته خیلی مهم اگر پسورد سیستمتان فراموش کنید یا عوض کنید خودتان هم نمی توانید به این فایل ها دسترسی داشته باشید.


حتما کلید خصوصی را در جای امن نگه داری کنید خارج از ویندوزتان
اکنون فولدر رمز شده است:

خوب bitlocker یکی دیگر از ابزارهای رمزکردن که برای درایو های ویندوز می توانید استفاده کنید پیشنهاد می کنم به اندازه هر چقدر دیتا شخصی دارید یک درایو shrink کنید مثلا ۱ گیگ و بعد bitlocker فعال کنید به میزان حجم درایو زمان می برد تا رمز شود. هارددیسک های اکسترنالی که خودشان برنامه رمز کردن ندارند را می توانید با bitlocker رمزکنید و امنش کنید!



مثل EFS برای Bitlocker هم نسخه پشتیبان تهیه کنید و حتما در محل امن نگه داری کنید ! اگر پسورد یادتان برود و این فایل پشتیبان نداشته باشید نمی توانید دیتا برگردانید!!


برای رمز شدن می توانید از کامندلاین استفاده کنید یا کلیک راست کنید و Turn on bitlocker بزنید
manage-bde -lock E:
اکنون درایو رمز شده و بدون رمز باز نخواهد شد.

اگر کلیک کنید یک pop up password باز می شود که باید پسوردی که دادید و رمز کردید وارد کنید تا درایو قابل دسترس شود.

۸-دو نکته در مورد حملات Phishing پیشرفته معمولا توسط بدافزار که در اینترنت پخش می کنند یا با دسترسی فیزیکی سیستم های قربانی دستکاری می کنند HOST فایل و یا Trust root Certificate ویندوز یا مرورگر که می توانند فیشینگ راحتتر کنند همچنین ترافیک شما رو شنود کنند->SSLstrip2
C:\Windows\System32\drivers\etc

این فایل نباید دستکاری شده باشد معمولا سایت های محصولاتی که نرم افزار کرک می شوند به آدرس 127.0.0.1 اضافه می کنند که در صورتی DNS query نتواند به سایت برای چک کردن لایسنس شما وصل شود ولی دیگر هیچ موردی نباید اضافه شده باشد می تواند به عمد به جای وصل شدن بانک شما را به صفحه fake page وصل کند برای سرقت از شما!
حالا بریم مسیر Certificate ها رو ببینیم




حتما یوزر و سیستم انتخاب کنید تا بررسی کنید


certificate ها توسط یک CA سرور issued by میشه برای یک دامین یک شرکت issued to در مورد این مبحث یک مطلب آماده می کنم که متوجه بشید.
در مرورگر هم به همین صورت هست.


۹-برای امنیت مرورگر firefox خود حتما Dns over https یا Dns over TLS را در تنظیمات پراکسی فعال کنید.


10-چند نکته در مورد مرورگر حتما از master password( پسوردهایی که سیو میشه برای استفاده مجدد یک پسورد ازتون میخواد که متوجه باشه جز شما کسی دیگه ای نیست) استفاده کنید و همچنین webrtc روی مرورگرتون غیر فعال کنید.


این ۱۰ تا نکته نکات بسیاری ابتدایی هستند که می توانند امنیت ویندوز کلاینت شما را تا حد بسیار قابل قبولی افزایش دهند. برای افزایش آگاهی امنیت سایبری این مطالب با اشخاصی که آشنایی با این موارد ندارند به اشتراک بگذارید.
توضیحات بیشتر:

استفاده از شبکه های خصوصی مجازی چه مخاطراتی را به همراه دارد؟