Настройка антивируса и шифрования Windows 11

Windows 11 появившаяся в прошлом году отличается от своих предков не только обновленным нтерфейсом. В ней так же присутствуют обновления которые не выставлены на показ. В этой статье мы рассмотрим конкретнее данные инструменты и непосредственно разберем как происходит настройка антивируса и шифрования Windows 11.

В сегодняшней статье мы расскажем, как полностью настроить или отключить автоматические обновления, как отключить встроенный в Windows 11 антивирус или добавить нужные элементы в список его исключений. Давайте обсудим, так ли надежен BitLocker, как кажется, и поговорим о способах предотвратить его взлом. Наконец, давайте взглянем на функцию облачной загрузки и переустановки Windows.

Отключение обновлений

Для обновления самой системы ничего делать не нужно — она работает в фоновом режиме и после загрузки обновлений они будут установлены при следующей перезагрузке компьютера. В этом случае в меню выключения появятся новые опции: выключение с установкой другого обновления или без него. Например, вы можете просто перезагрузить компьютер или перезагрузить и обновить систему. Наконец-то в Microsoft поняли, что установка обновлений занимает много времени и что у пользователя не всегда есть возможность дождаться их установки. И, наконец, в Windows 11 изменился цвет фона экрана обновления — он стал черным, а не синим, как было раньше (все мы знаем, что начиная с Windows 98 синий ассоциируется с экраном смерти Windows).

Установка обновлений Windows 11

Экран «Настройки», «Центр обновления Windows» позволяет управлять обновлениями системы. Например, пользователь может на время приостановить обновления. Чтобы возобновить их до указанного срока, используйте кнопку «Возобновить обновления».

Здесь же мож­но выз­вать жур­нал обновле­ний, поз­воля­ющий прос­мотреть, какие обновле­ния были уста­нов­лены до это­го. Кноп­ка «Уда­лить обновле­ния» поз­воля­ет уда­лить заг­ружен­ные, но еще не уста­нов­ленные обновле­ния.

Журнал обновлений

В дополнительных параметрах скрыто несколько настроек обновления. Наиболее полезными из них являются «Активный период», «Загрузка обновлений при лимитных подключениях» и «Уведомить меня о перезапуске для завершения обновления».

Дополнительные параметры обновления

«Активный период» предписывает системе не беспокоить вас предложениями обновить систему, пока вы работаете за компьютером. По умолчанию с 8:00 до 17:00, я думаю, что его следует изменить как минимум на 8:00 до 20:00, учитывая современный «удаленный» график.

Убедитесь, что параметр «Загружать обновления через лимитные подключения» отключен, а параметр «Уведомлять меня о перезагрузке для завершения обновления» включен. Находясь в отпуске или в командировке, вы будете пользоваться услугами роуминга или платным Wi-Fi. В эти периоды необходимо, чтобы ваше соединение, через которое вы подключаетесь к Интернету, было помечено как ограниченное. Кстати, это один из самых простых способов отключить обновления навсегда — если у вас десктоп или ноутбук, используемый только дома и вы постоянно подключены к сети через одно и то же соединение (не важно, ethernet или wifi) , просто отметьте его как ограниченный (даже Ethernet-соединение может быть помечено таким образом).

Помечаем соединение как лимитное

Стоит включить опцию «Уведомлять меня, когда вам нужно перезагрузиться для завершения обновления» — тогда перезагрузка во время обновления не станет неожиданностью.

Теперь, как отключить обновления навсегда. Во-первых, можно пометить соединение как измеренное, как я предлагал выше. Но при подключении к сети через другое подключение, не помеченное как лимитное, система снова начнет скачивать обновления.

Не хочу долго рассуждать, надо отключать обновления или нет, я предпочитаю рассказать как их отключать, а там каждый сам для себя решает, следовать совету или нет. Итак, чтобы отключить обновления, выполните следующие действия:

1. Наж­ми Win + R и запус­ти редак­тор груп­повой полити­ки gpedit.msc.
2. Перей­ди в раз­дел «Кон­фигура­ция компь­юте­ра → Адми­нис­тра­тив­ные шаб­лоны → Ком­понен­ты Windows → Центр обновле­ния Windows → Управле­ние интерфей­сом поль­зовате­ля» и най­ди полити­ку «Нас­трой­ка авто­мати­чес­кого обновле­ния».
3. Дваж­ды щел­кни по полити­ке и задай зна­чение «Отклю­чено. Наж­ми кноп­ку OK.
4. Перезаг­рузи компь­ютер.
5. Открой окно «Парамет­ры» и перей­ди в раз­дел «Центр обновле­ния Windows», что­бы убе­дить­ся, что обновле­ния вык­лючены. Ты дол­жен уви­деть сооб­щение, что «что‑то пош­ло не так». Хотя в Windows 10 в этом слу­чае было уве­дом­ление о том, что обновле­ниями управля­ет орга­низа­ция. Но в любом слу­чае цель дос­тигну­та.

Редактор групповой политики

Отключение обновлений

Обновления выключены

Bitlocker. Как взломать и как защитится

BitLocker — очень безопасная система, но это всего лишь компромисс между скоростью, удобством использования и надежностью. Эти три фактора плохо сочетаются: если выбирать скорость и удобство, то не будет надежности (что-то вроде современных автомобилей). Если надежность и скорость (например, спорткар), то такое решение вряд ли будет практичным. Если голосовать за надежность и удобство (туристический автобус), то решение нельзя назвать быстрым. В BitLocker разработчики постарались совместить эти три качества. Получилось достаточно быстро, очень удобно и в меру надежно.

Есть нюансы по надежности защиты данных. Очевидно, что это не EFS, где вы можете использовать сторонний инструмент для расшифровки зашифрованных файлов. Нет. С шифрованием все нормально. Проблема в самой реализации. Самое опасное в BitLocker — это ключ восстановления. Представьте, что есть два диска: системный и диск E:, который зашифрован с помощью BitLocker, и на нем хранятся самые важные данные. Кто-то должен получить доступ к этой информации. Как он это сделает? Да очень просто: он будет искать на системном диске текстовые файлы со строкой «Ключ восстановления». Если пользователь был достаточно умен, чтобы сохранить его на локальный компьютер, вы можете быть уверены, что ценная бумага будет легко вскрыта.

К BitLocker претензий нет — чисто человеческий фактор. Чтобы этого не произошло, нужно соблюдать следующие простые правила:

1. Сохраните файл восстановления с именем, отличным от имени по умолчанию. Например, software.key. Лучше всего сохранять на флешку или SD-карту смартфона, чтобы никто не смог найти. Сохранение ключа на локальном компьютере — плохая идея.
2. Откройте сохраненный файл в любом текстовом редакторе. Достаточно обычного блокнота. Удалите из него все, кроме самого ключа восстановления. Ключ восстановления выдаст вам серийный номер какой-то программы, и даже если злоумышленник найдет ее на флешке, он подумает, что это что-то другое. Для большей степени сокрытия можно скопировать несколько раз и поменять местами некоторые символы, а перед каждой копией написать название программы, чтобы точно можно было подумать, что это порядковые номера разных программ.
3. У пра­виль­ного клю­ча замени одну‑две циф­ры. Нап­ример, пусть ключ будет сле­дующим: 326304-090167-116930-346555-351241-488092-701602-527483. Пер­вую и пос­леднюю трой­ки замени девят­ками, то есть получит­ся 926304-090167-116930-346555-351241-488092-701602-527489. Даже если зло­умыш­ленник ско­пиру­ет этот ключ и вста­вит в окно вос­ста­нов­ления, открыть диск у него не получит­ся. Глав­ное потом не забыть, какие циф­ры и на какие поменял.
4. Не храните ключи восстановления в учетной записи Microsoft. Вы уверены, что его нельзя взломать? Есть ли уверенность, что Microsoft не предоставит эти ключи восстановления по официальному запросу? Если вы были настолько глупы и сохранили ключ в нем, перейдите на https://account.microsoft.com/devices/recoverykey и удалите оттуда все ключи. Это только убережет вас от взлома вашей учетной записи хакерами. А вот от самой Майкрософт вряд ли, так как их ключи наверняка уже скопированы. В качестве меры предосторожности смените пароли всех зашифрованных дисков и больше не сохраняйте ключи в своей учетной записи.

Вот мы закрыли самую большую проблему с BitLocker. Но это еще не все. Попробуйте зашифровать диск с данными. Даже если данных по нему в данный момент нет, достаточно скачать несколько фильмов из интернета, чтобы заполнить диск хотя бы на 20-30%. Включите шифрование BitLocker. Шифрование займет некоторое время — все зависит от объема хранимой на диске информации и производительности самого диска (на SSD все будет быстрее).

А теперь попробуйте отключить шифрование (команда «Отключить BitLocker»). Отключение произойдет мгновенно. Оказывается, когда BitLocker отключен, он не расшифровывает данные. Все сектора останутся зашифрованными ключом FVEK (полный ключ шифрования тома). Но доступ к этому ключу больше не будет ограничен каким-либо образом. Все проверки будут отключены, а VMK (главный ключ тома) просто останется записанным между метаданными в виде открытого текста. Если вы зашифруете системный диск, загрузчик ОС прочитает VMK, автоматически расшифрует FVEK, а затем все файлы по мере обращения к ним. Пользователю все это будет казаться незашифрованным, но на самом деле шифрование все еще включено, и производительность будет несколько снижаться.

Вторая дыра в BitLocker связана с VMK. Ключи шифрования хранятся в оперативной памяти — иначе пользователю пришлось бы отдельно расшифровывать каждый файл при доступе к нему. Это значит, что можно сделать дамп памяти, например с помощью программы RAM Capture, найти ключ и получить доступ к диску. Например, когда вы уходите от компьютера на перекур или кофе, ваш коллега может легко сбросить память на флешку — флешки с поддержкой USB 3.0 выпускаются уже давно, а объем памяти в большинстве случаев 8–16 ГБ, поэтому создание дампа не займет много времени.

Вы можете защитить себя от этого, установив сложный пароль для учетной записи (или настроив биометрические данные, такие как отпечаток пальца) и установив короткий интервал заставки, например, в одну минуту. Использование биометрии для входа в аккаунт совсем не доставляет неудобств. Просто приложите палец к сканеру, и компьютер будет разблокирован. Если используется разблокировка паролем, неудобно каждый раз вводить сложный пароль — это факт.

VMK также можно хранить в файле гибернации hiberfil.sys. Это означает, что если кто-то вытащит жесткий диск вашего компьютера и покопается в файле hiberfil.sys, он сможет найти мастер-ключ для разблокировки диска BitLocker. Чтобы этого не произошло, необходимо отключить режим гибернации (команда powercfg -h off от имени администратора) и удалить файл hiberfil.sys. В результате вы не только обезопасите себя, но и сэкономите место на диске. Недостатком является то, что Windows будет загружаться немного медленнее.

Наконец, последний нюанс. Если ваш компьютер является частью домена Active Directory, все ваши ключи восстановления хранятся на контроллере AD. Другими словами, администратор AD может разблокировать любой диск в компании. От этого никак не избавиться (если только сам админ не отключит эту функцию с помощью групповой политики). Вам просто нужно знать об этом. Может и к лучшему — если ключ восстановления утерян, администратор сможет помочь.

Исключения для антивируса

Стандартный антивирус Windows довольно хорош, но не все доверяют его возможностям и устанавливают сторонние решения. А так как, как правило, устанавливаются бесплатные антивирусы, толку от них немного.

Иногда антивирусная программа некорректно определяет угрозы и может «пожаловаться» на программы, которые необходимы пользователю. Чтобы антивирус и подобные программы справлялись на компьютере, их необходимо поставить в список исключений.

Для это­го выпол­ни сле­дующие дей­ствия:

1. В окне «Безопас­ность Windows» перей­ди в раз­дел «Защита от вирусов и угроз».
2. Про­лис­тай экран и най­ди ссыл­ку «Управле­ние нас­трой­ками», перей­ди по ней.
3. Про­лис­тай экран в самый низ и наж­ми ссыл­ку «Добав­ление или уда­ление исклю­чений».
4. Наж­ми кноп­ку «Добавить исклю­чение», выбери типа исклю­чения: файл, пап­ка, прог­рамма и так далее.
5. Выбери объ­ект для исклю­чения. На сле­дующем рисун­ке показа­но, что в спи­сок для исклю­чений добав­лена пап­ка C:\temp.

Управление исключениями

Отклчение антивируса

Антивирус в Windows 11 нельзя отключить навсегда. Вы можете временно отключить его, но через короткое время он обязательно перезапустится.

Полностью отключить антивирус можно только одним способом: установить нестандартную антивирусную программу, например Avast. Используя антивирусный интерфейс, нужно отключить его полностью. Когда в системе установлен нестандартный антивирус, по умолчанию он отключен до тех пор, пока сторонний продукт не будет удален.

Чтобы временно отключить антивирус в разделе «Параметры защиты от вирусов и других угроз», выключите единственный переключатель в разделе «Постоянная защита».

Антивирус временно выключен

Блокировка потенциально нежелательных программ

В одной из последних версий Windows 10 появилась защита от потенциально нежелательных программ. Эта функция также доступна в Windows 11. Откройте приложение «Безопасность Windows» и перейдите в раздел «Управление приложениями/браузерами». Здесь находится новый раздел «Защита на основе репутации».

Защита на основе репутации

Однако не спешите нажимать кнопку «Активировать». Нажмите на ссылку «Настройки защиты на основе репутации». На новой странице настроек объединены параметры, позволяющие включать или отключать отдельные компоненты защиты: «Сканирование приложений и файлов», «SmartScreen для Microsoft Edge», «SmartScreen для приложений Microsoft Store», а также новый параметр «Приложение потенциально блокировка», которая позволяет включать или отключать защиту от нежелательного ПО в Защитнике Windows.

Блокировка потенциально нежелательного приложения

Доступ к папкам

У стандартного антивируса Windows 11 есть очень важная функция — он может контролировать доступ к папкам. Это работает так. Пользователь формирует список контролируемых («охраняемых» папок). Если программа попытается изменить файлы в этих папках, антивирусная программа заблокирует операцию. Конечно, вы можете указать, каким программам разрешено изменять файлы в контролируемых папках. Например, если мы защищаем папку с документами и электронными таблицами, желательно предоставить доступ к этим документам программам Word и Excel.

Контролируемый доступ к папкам позволяет сохранять важные данные, даже если ваш компьютер заражен программами-вымогателями или другими вредоносными программами.

Нас­тро­ить кон­тро­лиру­емый дос­туп к пап­кам мож­но так:

1. Открой при­ложе­ние «Безопас­ность Windows».
2. Наж­ми кноп­ку «Защита от вирусов и угроз».
3. Про­лис­тай появив­ший­ся экран в самый низ и выбери ссыл­ку «Управле­ние защитой от прог­рамм‑шан­тажис­тов».
4. Включите опцию «Контролируемый доступ к папкам». Безопасность включена.» После этого, если вирус-вымогатель попытается зашифровать ваши данные или внести другие изменения в файлы, не одобренные системой, вы получите уведомление о том, что недопустимые изменения заблокированы.
5. По умолчанию системные папки для пользовательских документов защищены, но при желании вы можете перейти в раздел «Защищенные папки → Добавить защищенную папку» и указать любую другую папку или даже весь диск, который вы хотите защитить от несанкционированного изменения. Системный диск в этот список добавлять не нужно — по понятным причинам.
6. Выберите команду «Разрешить приложению доступ через контролируемую папку». С помощью кнопки «Добавить разрешенное приложение» добавьте приложения, которые могут работать с файлами из защищенных папок.

Выбери команду «Управление защитой от программ-шантажистов»

Включение контролируемого доступа к папкам

Какие папки защищены

Добавление приложений

Загрузка из облака

Обновление Windows 10 за май 2020 г. представляет функцию облачной загрузки. Однако, поскольку многие пользователи никогда не получали это обновление, все считают, что эта функция уникальна для Windows 11.

Загрузка и переустановка системы из облака работает следующим образом: вместо переустановки Windows с использованием файлов из локальной системы Windows автоматически загружает и устанавливает на компьютер последнюю версию операционной системы.

Функция загрузки из облака экономит время на установку необходимых обновлений. Ранее для этого требовалось создать отдельный установочный носитель Windows или сбросить систему до заводских настроек. Другими словами, этот вариант позволяет не только переустановить Windows, но и одновременно получить последнюю версию. Раньше мы откатывались, а затем приходилось устанавливать выпущенные обновления, чтобы поддерживать систему в актуальном состоянии. Новая функция может сэкономить вам значительное количество времени при переустановке Windows.

Получить доступ к функции «Загрузка из облака» можно через экран «Система, Восстановление»

При использовании облачной переустановки имейте в виду, что вам может понадобиться обновить некоторые ваши программы: может оказаться, что вы использовали одну версию Windows, она давно не обновлялась, а при облачной установке была загружена самая новая версия, и некоторые программы не смогут с ней работать. Их придется переустанавливать. Такие программы часто включают в себя системное программное обеспечение, такое как сторонние антивирусы, средства виртуализации (VMware) и некоторые другие.

ЗАКЛЮЧЕНИЕ

Сейчас конечно трудно сказать станет ли последняя Windows довольно таки популярна. Но как мы знаем переход на новые версии системы становится неизбежным так как старые версии перестают поддерживаться. Но ведь если сравнивать например семерку с десяткой то тут очевидно что десятка болеепродумана и более приспособлена к пользователю. Но все же понятно что обслуживание Windows 10 тоже когда то закончится. Так что сейчас самое время приступать к изучению Windows 11.