Fórumok
Sziasztok!
Holnap (02.09., kora délután), itthonra a 13 éves fiamnak telepítek egy Win10 Pro OS-et.
Nem vagyok jártas MS környezetben, milyen szabad felhasználású védelmi programokat célszerű telepíteni, esetleg meglévő MS termékeket aktiválni.
Arra kérlek titeket, hogy felsorolás jelleggel adjatok tippeket.
Előre is köszönöm.
Szerk.:Nem a fiam kora miatt, hanem alapvetően MS védelem miatt kérdezem.
Hozzászólások
AppLocker. Csinálj neki egy korlátozott usert, ami futtathat a C:\Windows-ból és a C:\Program Files (ill. (x86)) mappákból, magadnak bármit.
Szerk.: Mégse, úgytűnik az Enterprise-specifikus :(
Szerk 2.: mrceeka, ha már úgyis olvasod a topicot: van valami belsős doksi arról, hogy mi ebben a logika? Mmint. hogy Enterprise-specifikus feature az AppLocker? Esetleg akár úgy, mint a Home-okban levő tűzfal, minimális beállításokkal nem lehetne betenni (akár valami más néven is :) ) a kisebb verziókba is (jól rémlik, hogy nincs mmc vezérlő a tűzfalhoz home-on, igaz?)? Sok usert lehetne egyszerűen megvédeni saját magától vele...
Szerk 3.: Félreérthető: belsős doksi alatt természetesen nem arra gondoltam, hogy üzleti titkokat, hanem bármilyen magyarázat rá (azon túl, hogy valami plusz kell az enterspájzba :) ).
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
Arról a Product Group tudna mesélni, miért van így csomagolva.
Szerintem a Felhasználó életét nem kell bonyolítani.
Nálunk a gyerekek adminok a gépükön, adataik felhőben is meg mentve is vannak. Ha szétberhelik a gépet, újrarakjuk. Még sose kellett. Javítani se.
Amúgy milyen vicces! A mi szüleink bekapcsolni se tudták a gépet, azt csináltunk vele, amit bírtunk. Az itt lévők nem kis része így tanulta meg...
Erre szülőként meg miért védeném a gépet a gyerektől?
Üdv,
Marci
Ebben egyetértünk, de egy összerakott gépen az átlaguser szvsz. nem nagyon akar a Program files-on és a Windows-on kívül dolgokat futtatni (vagyis nem találkozna vele), és ha adsz egy viszonylag egyszerű megoldást a kikapcsolásra/ideiglenes felülütésre (ha nem bonyolultabb, mint egy standard víruskereső "de, igen, biztosan akarom használni" promptja), még kényelmes is lehet :)
Majd keresek jól egy Windows feature request izét (pár topciban írtad, hogy van valami feedback izé valahol :) ), és feedbackelek egyet, hátha :) Bár nincsenek illúzióim... [az infrastruktúra már meg van hozzá, csak le kell butítani (meg összeszedni a kivételeket, pl. egy user profilba települő chrome-ot), és újabb killer secu. feature-ként lehet hirdetni]
Ha már szerkesztetted közben, akkor én is csak leírom: én egyébként pont a gyerektől/nagymamáktól féltem kevésbé, előbbi már jó eséllyel tudja, hogy mit csinál (ha meg nem, most megtanulja :) ), utóbbinak meg egyszer kell elmagyarázni, hogy ha furcsa dolgokat kérdez a gép, inkább csörgessen meg. A kettő közti a veszélyes, aki nagyon tudja, hogy ő mit csinál, mert már több tíz éve használ számítógépet, de valójában... finoman szólva is hiányosak az ismeretei :)
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
Amúgy milyen vicces! A mi szüleink bekapcsolni se tudták a gépet, azt csináltunk vele, amit bírtunk...Erre szülőként meg miért védeném a gépet a gyerektől?
Ez valahol a fejlődés velejárója. Apám még maga szerelte a trabantot, és ha kellet csavarokra bontotta a motort is benne, én viszont már csak akkor nyitom fel a motorháztetőt, ha ablakmosót töltök bele. Egy trabi még talán kibírná, ha megbütykölöm, egy mai gép viszont tuti belepusztulna.
Hasonló mód, egy C64-nek, vagy egy hálót sohasem látott DOS-os 286-os gépnél még lehetett bátran nekiesni, de ma már szerintem túlléptünk ezen a korszakon.
Nem kell ide product group sem, teljesen egyértelműnek látszik.
Kevés pénzért az alap OS-t kapod, a többi, fejlettebb szolgáltatás feláras. (AD, Bitlocker, AppLocker, stb...)
Ez csak ott nem stimmel, hogy még az IoT Core-ban is van BitLocker, AD-ba léptetést egy Pro is tud, csak az AppLocker maradt ki :(
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
Applocker is not a security feature.
Windows 7 AppLocker Executive Overview https://msdn.microsoft.com/en-us/library/dd548340(v=ws.10).aspx
Szerk.: (kiemelés tőlem)
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
Az a sales szöveg. ;)
(Nem véletlenül indul a legtöbb malware úgy, hogy "rundll32.exe encryptmystuff.dll,now". (try to blacklist that :P))
Ezt jó tudni :)
A rundll-t nem tudták hardeningelni (brr..) Redmondba' hogy csak saját signed dll-t futtasson ha bekapcsolsz vmi Security flag-et?
--
Fogjuk rá +1. (bár az AL-el a scriptek is szűrhetők)
Egyébként lekopogom, _szerencsére_ crypto cuccot még nem szívtunk meg, viszont mielőtt kicsapattam az AppLocker-t, hogy Program Files ill. Windows mappa, meg kézzel felvéve azokat az ipari hulladékokat, amik random mappákba okádják be magukat a C: gyökerébe vagy a user profiljából akarnak futni (akinek nem inge, mindenki más nyugodtan érezze magát leb...va), időnként volt egy-egy gyanús elem a víruskergetők karanténjaiban. Terror lett, azóta nincs, úgyhogy a semminél több :)
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
Tipikus Microsoft.
A "kivégzési összesítőt" az IT-laikus főnöködnek / felsővezető-hülyéknek írják, abban még minden heppi és zöld. Neked melósnak nem oda kell fókuszálnod, hanem a technet-fórumokba panaszkodó hasonszőrűek valóságára, meg a végeláthatatlan KB article-tenger "whooopss, something happened" szopásra.
Ezt a cinikus odaböfögést ("Applocker is not a Security feature", holott a PR anyagban indirekten az ellentéte van sugallva), már én is hallottam pár helyről. Na ezért nem kell elhinni semmit a microsoftnak, mindig hazudnak. Illetve ezért kell sajátmagadnak kilaborozni, tesztelni, megköpködni, végül a selejtjüket a kukába kidobni.
--
Ok, te most a Pro-t telepíted, de attól az állítás még igaz.
Nagyon távolról nézve a Home az alap. Ha kell az AD, Bitlocker, akkor kicsit drágábban vehetsz Pro-t. Ha AppLockert, Windows To Go-t szeretnél, akkor meg megveheted az Enterprise változatot.
Jól is van ez így, hiszen az otthoni felhasználónak, akinek az OS tulajdonképpen csak egy absztrakciós réteg a HW és a böngésző között nehezen lehetne lenyomni 100 000 Ft + árat a torkán. Viszont nagy cégeknél, ahol munkabért lehet spórolni a plusz fícsörökkel, a warez meg nem opció - na ott el lehet adni.
Persze, ezt értem. (Bár Enterprise afaik csak volume license-ben érhető el)
Viszont kategórikusan kijelenteni, hogy 1-1 feature nem lehet hasznos otthoni/kisvállalati usernek, nos... izé... Én még akár egy olyanban is benne lennék, hogy per-feature előfizetéses/megvásárlásos móka, veszel egy alap Win-t (persze ha zárolnak most kapott feature-öket, akkor azok árával alacsonyabb áron), és ha mondjuk RDP-t akarsz rajta engedélyezni, plusz 2 USD. Ha AppLockert, akkor 5 USD. Stb. (hasraütés).
Egyrészt így nem kéne telemetriázniuk, hogy valós felhasználási képet kapjanak, másrészt egy-egy hasznos feature-rel extra pénzeket kaphatnának azoktól a userektől, akik VL-re úgysem fizetnek elő, de használnák; harmadrészt ezt is el lehet adni mint security feature-t, mert ami nincs engedélyezve, azon nem lehet betörni :)
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
Szerintem Enterpriseból bérelhetsz akár egyet is.
https://technet.microsoft.com/en-us/itpro/windows/deploy/windows-10-ent…
De majd Marci kijavít ha tévedek. :)
Pontos!
Üdv,
Marci
off: a Home-ban is van 1st party FDE, csak nem BitLockernek hívják. :)
Arra gondolsz, amihez TPM kell, meg feltölti a titkosító kulcsomat a MS szervereire? :)
Igen.
"miért védeném a gépet a gyerektől?"
"Ha szétberhelik a gépet, újrarakjuk."
Sokkal nagyobb baj, ha látszólag minden rendben, közben a gyerek gépe hemzseg a vírusoktól, spywarektől. Nem mondom azt, hogy az fogja megvédeni, ha nem futtathat akármit, de ha korlátozva van mi futhat talán, ismétlem, talán a kártevők egy részét ki lehet szűrni.
Abban, hogy szülők lehetünk az a legjobb szerintem, hogy nincs recept.
Csináljuk, ahogy jónak látjuk, aztán majd lesz valami...
Mi így csináljuk.
Üdv,
Marci
Én ugyan életemben nem használtam, de van benne családbiztonsági központ.
+1
En epp egy surface 3 tablettel jatszom es jo lenne tanacs mivel xx eve nem volt win itthon.
Ez mas de talan hasznos : http://www.howtogeek.com/224798/how-to-uninstall-windows-10s-built-in-a…
Defender eseteben ha letiltom hogy a c:/users mappat figyelgesse akkor kb semmi ertelme mar hogy fusson?
Fenti link segitsegevel toroltem az osszes gyari szart es igy eleg jol muzsikal a Surface 3 tablet:) Mas amit erdemes csinalni? Chrome bongeszot hasznalok es ott bevan kapcsolva a bongeszo vedelem "vedje meg magat es az eszkozet ..."
Az enyéimen meg a család gépein Windows Defender van csak.
Szerintem a legfontosabb, hogy a felhasználói fileokról rendszeres mentés legyen külső eszközre. Erre legjobb a beépített backup (lánykori nevén File History).
Érdemes használni az 1TB OneDrive for Business-t és az Officet, ami jár neki. Regisztráció itt: https://o365.oh.gov.hu/
Üdv,
Marci
A Microsoftnál dolgozom.
Az olyan eszközök, mint pl. Spybotra, (és valami free antivírusra) vagy hasonlóak nem szükségesek a vírusok, trójaik, maleware-ek stb. kiszűréseire csupán a Windows Defender használata mellett???
MS Office-ra nem lesz pénzünk. LibreOffice-t használunk majd itthon. (Kompromisszumos megoldásként óra adó leszek az iskolában - óh, szerencsétlen diákok.)
Ezt az utolsó mondatodra reagáltam. mrceeka, kérlek, egyértelműsíts nekem: ha van Win10 Pro licencem, akkor mire is leszek jogosult? MS Office-ra is, és a 1TB OneDrive for Business-re is?
Nekem a Defender elég, az elmúlt 8 évben ezt (és elődjeit) használom, kártevővel nem volt gondom.
A fenti linken ingyen regisztrálhat a neki járó Office-ra és OneDrivera, mint a köznevelés résztvevője. Az Office egy időben 5 pc-re, 5 táblagépre és 5 okostelefonra telepíthető.
Üdv,
Marci
+1 Nem kell semmi third party antivirnyak /firewall, azok maximum +1 program a gepeden amik eszik az eroforrast es eleg gyakran meg a sajat sebezhetosegeiket is hozzak magukkal. Szvsz csak legyen a gep naprakeszen frissitve + rendes bongeszo beallitasok.
Nem +1, mert akkor a Defender kikapcsol, és máris lesz valami, ami nem zabálja az erőforrást úgy, mint a Defender.
A sebezhetőségekről és azok javításáról pedig két szóban fogalmaznám meg véleményem: patch kedd.
8 éve nem akad.... Vagy jelenlegi védelmi programod nem vett észre? Én mindig az Ementáli vs. másik tömbből hasított Ementáli-szeletekkel hasonlatban élek.
MS OS termékekkel utoljára XP korszakban foglalkoztam utoljára.
Megengedem magamnak azt a nemtörődömséget, hogy azt a (feltételezett) fertőzést, amit sem én, sem más nem észlel éveken át, semmilyen módon sem, nem veszem túl komolyan...
Üdv,
Marci
Ha ráuszítasz a teljes gyökére rekurzive egy ClamAV-t, akkor sem találsz semmi?
Egyik gépre Immunetet tettem, Full Scant indítottam, még nem végzett, eddig:
-Files Scanned: 267075
-Elapsed Time: 1:54:47
-Threats Detected: 0
és még dolgozik.
Másik gépre (ez az elsődleges gépem) Kaspersky Anti-Virus 30 napos trialt tettem, Full Scant indítottam, már végzett.
-Files Scanned: 1318748
-idő: 1h8'
-No threats detected
Üdv,
Marci
Immunet is végzett:
-Files Scanned: 453604
-Elapsed Time: 2:56:01
-Threats Detected: 0
Üdv,
Marci
Az Immunet rosszabb mint egy vírus. ;) (pedig az ötlet mögötte nem volt rossz)
Köszönöm az infót. Még csak most fogok nekiállni a gép összeszerelésének. Akkor marad a Windows Defender, és utána járok az Office-nak is.
Innen offolok egyet - mint írtam, régen nem foglalkoztam Windows-zal -, szóval így rákerestem az lvm2-re, hogyan is telepítsem Win10Pro-ra. Nem röhögni :-), nem tudtam, hogy nem támogatott. Két merevlemezt hogyan lehet/célszerű összefűzni, hogy egy db merevlemezként kezelje az OS? (Nyálazom a netet, de nem futottam bele érthető leírásba.)
Jajjaj, ez nem Linux. Rendszert csak Basic diszkre tudsz telepíteni, az összefűzéshez Dynamic Disk kell.
Felejtsd el. Szerintem hagyd, hogy a Windows partícionálja és formázza meg az elsőt ahogy akarja, egybe.
A másikat partícionáld meg Te, egybe és formázd NTFS-re. Hacsak közben le nem maradtam valamiről, itt tart a tudomány 2017-ben.
Üdv,
Marci
A "nem tudom nem fáj" (tm) gagyi fake raid (driverből) szerintem nálatok is megy.
Valóban, de ezt nem a Windows, hanem a hardver csinálja, ha tudja.
Üdv,
Marci
Relatív ha a hardver csinálná akkor a Windowsnak/Linuxnak nem kellene telepítéskor drivert töltögetni, hogy lássa a tömböt . (ha úgy vesszük a gyártó drivere csinálja :)).
Szerintem ez csak annyit jelent, hogy ez a driver nincs benne a Windows-zal szállított driverek listáján, ezért külön be kell tölteni.
Üdv,
Marci
A rendszerlemez oké, az marad, de adatoknak két vinyót akarok összefűzni. (Ezt találtam, de nem látom, hogy Dynamic Disk-nek neveznék a programot.)
Ja, úgy OK. Amit találtál, úgy kell. Nézd csak meg a képen a jobb oldali ablak bal szélén, mi van rendre a Disk 0, Disk 1, stb. alá írva...
Üdv,
Marci
Ehh.. Mégsem kell összefűzögetnem. Nem emlékeztem rá: a gépben, amit átalakítok, a winyók között találtam egy 2 Terrás WD-t. Az bőven sok adatnak. RAID-ben volt 4 db 750 GB-os, rémlik, hogy az egyik nagyon megpusztult, valószínűleg akkor tettem bele a 2 TB-osat (bizonyára az volt kéznél).
Nekem valami Tárolóhelyek (Storage Places) rémlik a 10-ből. De Windwos 7 óta raidel nem volt dolgom és akkor is a fenn említett fake raid volt (nem a Windowsé).
Igen, lehet Storage Spaces-zel is csinálni, rugalmasabb lesz a környezet.
Üdv,
Marci
de nem látom, hogy Dynamic Disk-nek neveznék a programot.
"You'll be prompted to convert the hard drive from basic to dynamic, click Yes to complete the task."
Egyébként azért nem lehet ezekről bootolni, mert ahhoz valami initrd-szerűségre lenne szükség a Windowsban (de azt jóval macerásabb lenne megcsinálni).
Én is CTRL+F-fel kerestem bele, és ezt a mondatot megtaláltam.
pont egy clamavot ? :D Pepo .. ez viccnek is rossz volt :)
A magyar közoktatásban részt vevő diákoknak az mrceeka által adott linken elérhető egy Office 365 szolgáltatáscsomag, ami tárhely, Office Online, Sharepoint online stb. ill. intézménytől függően "rendes" telepítős Office:
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
Szerintem ahhoz, hogy pusztán a Deffenderrel védekezve ne legyen gond, bizony nem árt a megfelelő user sem :)
Nekem ugyan az elmúlt 10 évben egyszer nem jelzett vírusirtó egyik gépemen sem, így talán az is mindegy lett volna, ha semmi AV nincs rajta. De amikor a Windows 8-ra áttéréskor úgy döntöttünk, hogy próbáljunk meg a mezei felhasználóknak csupán a Defenderrel védett gépeket kiadni, pár hónap múlva olyan vírus-kollekciók voltak rajtuk, hogy inkább újrahúztuk az egészet, mint hogy lepucoltuk volna. Azóta én senkinek a kezébe nem adok windows-os gépet ESET nélkül.
Igy igaz. Nagyon fugg attol hogy ki hasznalja a gepet, Persze, sok minden fugg attol is hogy milyen kornyezetben van hasznalva.
Sajnos, en nem biznam az adataim vedelmet csak a defenderre, se az icloudra, se a onedrive és tarsaira. Az MS javitasi filozofiajat tekintve (és ez igaz az Applere is), csak akkor javit ha: uzletileg megeri, vagy a hiba nyilvanossagra kerult és muszaj javitani, mert botrany van belole.
Ma inkabb az adjunk ki egy uj verziot minden honapban a divat, és nem a minosegi Programok irasa. Arrol nem is beszelve, hogy az IDE-k koraban az elonyuk lett a hatranyuk. Arra gondolok, hogy mindent ossze lehet klikkelgetni és csak a 'hezagokat' kell kitolteni. Ezzel, azt akarom mondani, hogy nem tudjak mi, miert ugy és hogyan mukodik. Termeszetesen, tisztelet a kivetelnek.
Az MS Deffender védelmi programja maximum középszerű, sok ingyenes és fizetős vírusvédelemből választhatsz. Jobbfajta ingyenesek például: Avast, Avg, Tencent, Sophos, Qihoo360. Az Avira is nagyon jó, de agresszívan reklámoz, hamar megunja mindenki és inkább kikapcsolják.
Teljes körű védelmet nem fog adni egyik sem, 100%-os védelem nincs. Fizetős sincs. Böngészőbe μblock origin ajánlott, host file-ba érdemes valamelyik nagyobb blocklistát beletenni, például a http://winhelp2002.mvps.org/hosts.htm . És persze userként használja a gépet, nem rendszergazda fiókkal.
És ne maradjon ki az elbeszélgetés sem az internet biztonságos használatával kapcsolatosan a sráccal, mert az a legfontosabb.
Nem vagyok tévedhetetlen, lehet hozzáfűzni okosakat.
---
A Linux nem ingyenes. Meg kell fizetni a tanulópénzt.
Az emberek 66 százaléka nem tud számolni! Gondoljatok bele, ez majdnem a fele!!
Mindenki jó valamire. Ha másra nem, hát elrettentő példának.
"userként használja a gépet, nem rendszergazda fiókkal." -- Ez már nem XP.
Üdv,
Marci
mrceeka meglátása (m)értékadó: valóban csak userként használja a fiam azt a gépet, melyen Win10 fog futni.
Az ellenkezőjére céloztam. Mivel Vista óta az admin se admin alapesetben, így akár admin is lehet a gyerek, csak tanulja meg, hogy az UAC prompt vajon mi.
Üdv,
Marci
Ez csak feligazsag. Az idegesito felbukkano ablakok elkerulese vegett az elso teendo lesz: kikapcsolni az UAC-t. ;)
Dehogy kell kikapcsolni, a "frissítésekkel ellátott és kényelmesre beállított Windows telepítő" már kikapcsolt UAC-kal jön le a torrentről... Idetennék egy szmájlit, de sajnos nem vicces :(
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
Hiteles forrast kell hasznalni a telepito letoltesehez. Hihihihi
Mivel Vista óta az admin se admin alapesetben
Alapesetben. Kivéve, ha visszakapcsolja az ember a lokál admint, és azt használja. Vagy en bloc kapcsolja le az az UAC-ot :D
Win7 telepítés után az az első, hogy kikapcsolom.
Csodálatos. Inkább fusson rootként adminként minden.
Grat, a win 7-hez is.
Mert a Win10 jobb? Egy rakás trágya. A Win7-nek legalább volt ideje "kikupálódni".
Lock.
-1 Szerintem az MS vírusírtó bőven elég és alig lassítja a gépet. A felsoroltak közül tapasztalatom, csak Avasttal és Avgvel van és szerintem mindkettő egy trágyadomb az MS féléhez képest.
Hálózati drivereket eltávolítani :)
https://digx.hu
Minek, egyszerubb ha nincs se wifi, se halozati kartya a gepben. :)
Telefonon gondolom meg lehet a Windows aktivalni.
Minek, egyszerubb ha nincs se wifi, se halozati kartya a gepben. :)
Telefonon gondolom meg lehet a Windows aktivalni.
Elnezest a dupla posztert, de Ez valami bug lesz. Ha elonezetbol posztolom nincs duplikalt poszt, ha siman bekuld akkor duplan jon letre a hozzaszolas.
Ezt épp mostanában találtam. Nem használom (linuxom van :)), de ígéretesnek tűnik:
https://github.com/securitywithoutborders/hardentools
-----
A problémáim velem kezdődtek és utánam megmaradnak. Ez az én hozzájárulásom az Emberiség Nagy Művéhez.
.
Egy jó tűzfal:
http://www.sphinx-soft.com/Vista/order.html