Alapvető védelem? - Win10 Pro

Microsoft Windows

Sziasztok!

Holnap (02.09., kora délután), itthonra a 13 éves fiamnak telepítek egy Win10 Pro OS-et.
Nem vagyok jártas MS környezetben, milyen szabad felhasználású védelmi programokat célszerű telepíteni, esetleg meglévő MS termékeket aktiválni.
Arra kérlek titeket, hogy felsorolás jelleggel adjatok tippeket.

Előre is köszönöm.

Szerk.:Nem a fiam kora miatt, hanem alapvetően MS védelem miatt kérdezem.

( SzBlackY | 2017. 02. 08., sze – 23:15 )

AppLocker. Csinálj neki egy korlátozott usert, ami futtathat a C:\Windows-ból és a C:\Program Files (ill. (x86)) mappákból, magadnak bármit.

Szerk.: Mégse, úgytűnik az Enterprise-specifikus :(

Szerk 2.: mrceeka, ha már úgyis olvasod a topicot: van valami belsős doksi arról, hogy mi ebben a logika? Mmint. hogy Enterprise-specifikus feature az AppLocker? Esetleg akár úgy, mint a Home-okban levő tűzfal, minimális beállításokkal nem lehetne betenni (akár valami más néven is :) ) a kisebb verziókba is (jól rémlik, hogy nincs mmc vezérlő a tűzfalhoz home-on, igaz?)? Sok usert lehetne egyszerűen megvédeni saját magától vele...

Szerk 3.: Félreérthető: belsős doksi alatt természetesen nem arra gondoltam, hogy üzleti titkokat, hanem bármilyen magyarázat rá (azon túl, hogy valami plusz kell az enterspájzba :) ).

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Arról a Product Group tudna mesélni, miért van így csomagolva.
Szerintem a Felhasználó  életét nem kell bonyolítani.
Nálunk a gyerekek adminok a gépükön, adataik felhőben is meg mentve is vannak. Ha szétberhelik a gépet, újrarakjuk. Még sose kellett. Javítani se.

Amúgy milyen vicces! A mi szüleink bekapcsolni se tudták a gépet, azt csináltunk vele, amit bírtunk. Az itt lévők nem kis része így tanulta meg...
Erre szülőként meg  miért védeném a gépet a gyerektől?

Üdv,
Marci

Szerintem a Felhasználó életét nem kell bonyolítani.

Ebben egyetértünk, de egy összerakott gépen az átlaguser szvsz. nem nagyon akar a Program files-on és a Windows-on kívül dolgokat futtatni (vagyis nem találkozna vele), és ha adsz egy viszonylag egyszerű megoldást a kikapcsolásra/ideiglenes felülütésre (ha nem bonyolultabb, mint egy standard víruskereső "de, igen, biztosan akarom használni" promptja), még kényelmes is lehet :)

Majd keresek jól egy Windows feature request izét (pár topciban írtad, hogy van valami feedback izé valahol :) ), és feedbackelek egyet, hátha :) Bár nincsenek illúzióim... [az infrastruktúra már meg van hozzá, csak le kell butítani (meg összeszedni a kivételeket, pl. egy user profilba települő chrome-ot), és újabb killer secu. feature-ként lehet hirdetni]

Ha már szerkesztetted közben, akkor én is csak leírom: én egyébként pont a gyerektől/nagymamáktól féltem kevésbé, előbbi már jó eséllyel tudja, hogy mit csinál (ha meg nem, most megtanulja :) ), utóbbinak meg egyszer kell elmagyarázni, hogy ha furcsa dolgokat kérdez a gép, inkább csörgessen meg. A kettő közti a veszélyes, aki nagyon tudja, hogy ő mit csinál, mert már több tíz éve használ számítógépet, de valójában... finoman szólva is hiányosak az ismeretei :)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Amúgy milyen vicces! A mi szüleink bekapcsolni se tudták a gépet, azt csináltunk vele, amit bírtunk...Erre szülőként meg miért védeném a gépet a gyerektől?

Ez valahol a fejlődés velejárója. Apám még maga szerelte a trabantot, és ha kellet csavarokra bontotta a motort is benne, én viszont már csak akkor nyitom fel a motorháztetőt, ha ablakmosót töltök bele. Egy trabi még talán kibírná, ha megbütykölöm, egy mai gép viszont tuti belepusztulna.

Hasonló mód, egy C64-nek, vagy egy hálót sohasem látott DOS-os 286-os gépnél még lehetett bátran nekiesni, de ma már szerintem túlléptünk ezen a korszakon.

Windows 7 AppLocker Executive Overview https://msdn.microsoft.com/en-us/library/dd548340(v=ws.10).aspx

Prevent vulnerable, unauthorized applications from running in the desktop environment, including malware
...
Prevent users from running applications that destabilize their desktop environment and increase help desk support costs
...

You need tools that allow users to run the applications they need to be productive while providing effective defenses against unknown and unwanted software.

Szerk.: (kiemelés tőlem)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Fogjuk rá +1. (bár az AL-el a scriptek is szűrhetők)

Egyébként lekopogom, _szerencsére_ crypto cuccot még nem szívtunk meg, viszont mielőtt kicsapattam az AppLocker-t, hogy Program Files ill. Windows mappa, meg kézzel felvéve azokat az ipari hulladékokat, amik random mappákba okádják be magukat a C: gyökerébe vagy a user profiljából akarnak futni (akinek nem inge, mindenki más nyugodtan érezze magát leb...va), időnként volt egy-egy gyanús elem a víruskergetők karanténjaiban. Terror lett, azóta nincs, úgyhogy a semminél több :)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Tipikus Microsoft.

A "kivégzési összesítőt" az IT-laikus főnöködnek / felsővezető-hülyéknek írják, abban még minden heppi és zöld. Neked melósnak nem oda kell fókuszálnod, hanem a technet-fórumokba panaszkodó hasonszőrűek valóságára, meg a végeláthatatlan KB article-tenger "whooopss, something happened" szopásra.

Ezt a cinikus odaböfögést ("Applocker is not a Security feature", holott a PR anyagban indirekten az ellentéte van sugallva), már én is hallottam pár helyről. Na ezért nem kell elhinni semmit a microsoftnak, mindig hazudnak. Illetve ezért kell sajátmagadnak kilaborozni, tesztelni, megköpködni, végül a selejtjüket a kukába kidobni.
--

Ok, te most a Pro-t telepíted, de attól az állítás még igaz.
Nagyon távolról nézve a Home az alap. Ha kell az AD, Bitlocker, akkor kicsit drágábban vehetsz Pro-t. Ha AppLockert, Windows To Go-t szeretnél, akkor meg megveheted az Enterprise változatot.

Jól is van ez így, hiszen az otthoni felhasználónak, akinek az OS tulajdonképpen csak egy absztrakciós réteg a HW és a böngésző között nehezen lehetne lenyomni 100 000 Ft + árat a torkán. Viszont nagy cégeknél, ahol munkabért lehet spórolni a plusz fícsörökkel, a warez meg nem opció - na ott el lehet adni.

Persze, ezt értem. (Bár Enterprise afaik csak volume license-ben érhető el)

Viszont kategórikusan kijelenteni, hogy 1-1 feature nem lehet hasznos otthoni/kisvállalati usernek, nos... izé... Én még akár egy olyanban is benne lennék, hogy per-feature előfizetéses/megvásárlásos móka, veszel egy alap Win-t (persze ha zárolnak most kapott feature-öket, akkor azok árával alacsonyabb áron), és ha mondjuk RDP-t akarsz rajta engedélyezni, plusz 2 USD. Ha AppLockert, akkor 5 USD. Stb. (hasraütés).
Egyrészt így nem kéne telemetriázniuk, hogy valós felhasználási képet kapjanak, másrészt egy-egy hasznos feature-rel extra pénzeket kaphatnának azoktól a userektől, akik VL-re úgysem fizetnek elő, de használnák; harmadrészt ezt is el lehet adni mint security feature-t, mert ami nincs engedélyezve, azon nem lehet betörni :)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

"miért védeném a gépet a gyerektől?"
"Ha szétberhelik a gépet, újrarakjuk."

Sokkal nagyobb baj, ha látszólag minden rendben, közben a gyerek gépe hemzseg a vírusoktól, spywarektől. Nem mondom azt, hogy az fogja megvédeni, ha nem futtathat akármit, de ha korlátozva van mi futhat talán, ismétlem, talán a kártevők egy részét ki lehet szűrni.

Defender eseteben ha letiltom hogy a c:/users mappat figyelgesse akkor kb semmi ertelme mar hogy fusson?

Fenti link segitsegevel toroltem az osszes gyari szart es igy eleg jol muzsikal a Surface 3 tablet:) Mas amit erdemes csinalni? Chrome bongeszot hasznalok es ott bevan kapcsolva a bongeszo vedelem "vedje meg magat es az eszkozet ..."

( mrceeka v | 2017. 02. 08., sze – 22:30 )

Az enyéimen meg a család gépein Windows Defender van csak.
Szerintem a legfontosabb, hogy a felhasználói fileokról rendszeres mentés legyen külső eszközre. Erre legjobb a beépített backup (lánykori nevén File History).
Érdemes használni az 1TB OneDrive for Business-t és az Officet, ami jár neki. Regisztráció itt: https://o365.oh.gov.hu/

Üdv,
Marci
A Microsoftnál dolgozom.

Az olyan eszközök, mint pl. Spybotra, (és valami free antivírusra) vagy hasonlóak nem szükségesek a vírusok, trójaik, maleware-ek stb. kiszűréseire csupán a Windows Defender használata mellett???

MS Office-ra nem lesz pénzünk. LibreOffice-t használunk majd itthon. (Kompromisszumos megoldásként óra adó leszek az iskolában - óh, szerencsétlen diákok.)
Ezt az utolsó mondatodra reagáltam. mrceeka, kérlek, egyértelműsíts nekem: ha van Win10 Pro licencem, akkor mire is leszek jogosult? MS Office-ra is, és a 1TB OneDrive for Business-re is?

Nekem a Defender elég,  az elmúlt 8 évben ezt (és elődjeit) használom,  kártevővel nem volt gondom.

A fenti linken ingyen regisztrálhat a neki járó Office-ra és OneDrivera, mint a köznevelés résztvevője. Az Office egy időben 5 pc-re, 5 táblagépre és 5 okostelefonra telepíthető.

Üdv,
Marci

Egyik gépre Immunetet tettem, Full Scant indítottam, még nem végzett, eddig:
-Files Scanned: 267075
-Elapsed Time: 1:54:47
-Threats Detected: 0
és még dolgozik.

Másik gépre (ez az elsődleges gépem) Kaspersky Anti-Virus 30 napos trialt tettem, Full Scant indítottam, már végzett.
-Files Scanned: 1318748
-idő: 1h8'
-No threats detected

Üdv,
Marci

Köszönöm az infót. Még csak most fogok nekiállni a gép összeszerelésének. Akkor marad a Windows Defender, és utána járok az Office-nak is.
Innen offolok egyet - mint írtam, régen nem foglalkoztam Windows-zal -, szóval így rákerestem az lvm2-re, hogyan is telepítsem Win10Pro-ra. Nem röhögni :-), nem tudtam, hogy nem támogatott. Két merevlemezt hogyan lehet/célszerű összefűzni, hogy egy db merevlemezként kezelje az OS? (Nyálazom a netet, de nem futottam bele érthető leírásba.)

Jajjaj, ez nem Linux. Rendszert csak Basic diszkre tudsz telepíteni, az összefűzéshez Dynamic Disk kell.
Felejtsd el. Szerintem hagyd, hogy a Windows partícionálja és formázza meg az elsőt ahogy akarja, egybe.
A másikat partícionáld meg Te, egybe és formázd NTFS-re. Hacsak közben le nem maradtam valamiről, itt tart a tudomány 2017-ben.

Üdv,
Marci

Ehh.. Mégsem kell összefűzögetnem. Nem emlékeztem rá: a gépben, amit átalakítok, a winyók között találtam egy 2 Terrás WD-t. Az bőven sok adatnak. RAID-ben volt 4 db 750 GB-os, rémlik, hogy az egyik nagyon megpusztult, valószínűleg akkor tettem bele a 2 TB-osat (bizonyára az volt kéznél).

de nem látom, hogy Dynamic Disk-nek neveznék a programot.

"You'll be prompted to convert the hard drive from basic to dynamic, click Yes to complete the task."

Egyébként azért nem lehet ezekről bootolni, mert ahhoz valami initrd-szerűségre lenne szükség a Windowsban (de azt jóval macerásabb lenne megcsinálni).

A magyar közoktatásban részt vevő diákoknak az mrceeka által adott linken elérhető egy Office 365 szolgáltatáscsomag, ami tárhely, Office Online, Sharepoint online stb. ill. intézménytől függően "rendes" telepítős Office:

Az Office 365 Oktatási verzió egy olyan szolgáltatáscsomag, amely lehetővé teszi az iskolai feladatok megosztását és a rajtuk való közös munkát. Ez a csomag ingyen elérhető az oktatási intézmények jelenleg is aktív állományban lévő oktatóinak, illetve jelenleg is tanuló diákjainak. A szolgáltatás a következőket tartalmazza: Office Online (Word, PowerPoint, Excel és OneNote), 1 TB OneDrive-tárterület, Yammer, illetve SharePoint-webhelyek. Egyes iskolák lehetővé teszik az oktatóknak és a diákoknak a teljes Office-alkalmazások ingyenes telepítését is akár 5 PC vagy Mac gépre. Ha az Ön iskolája is biztosítja ezt a pluszlehetőséget, a regisztrálás után az Office 365 kezdőlapján látni fogja „Az Office telepítése” gombot.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Szerintem ahhoz, hogy pusztán a Deffenderrel védekezve ne legyen gond, bizony nem árt a megfelelő user sem :)

Nekem ugyan az elmúlt 10 évben egyszer nem jelzett vírusirtó egyik gépemen sem, így talán az is mindegy lett volna, ha semmi AV nincs rajta. De amikor a Windows 8-ra áttéréskor úgy döntöttünk, hogy próbáljunk meg a mezei felhasználóknak csupán a Defenderrel védett gépeket kiadni, pár hónap múlva olyan vírus-kollekciók voltak rajtuk, hogy inkább újrahúztuk az egészet, mint hogy lepucoltuk volna. Azóta én senkinek a kezébe nem adok windows-os gépet ESET nélkül.

Igy igaz. Nagyon fugg attol hogy ki hasznalja a gepet, Persze, sok minden fugg attol is hogy milyen kornyezetben van hasznalva.

Sajnos, en nem biznam az adataim vedelmet csak a defenderre, se az icloudra, se a onedrive és tarsaira. Az MS javitasi filozofiajat tekintve (és ez igaz az Applere is), csak akkor javit ha: uzletileg megeri, vagy a hiba nyilvanossagra kerult és muszaj javitani, mert botrany van belole.

Ma inkabb az adjunk ki egy uj verziot minden honapban a divat, és nem a minosegi Programok irasa. Arrol nem is beszelve, hogy az IDE-k koraban az elonyuk lett a hatranyuk. Arra gondolok, hogy mindent ossze lehet klikkelgetni és csak a 'hezagokat' kell kitolteni. Ezzel, azt akarom mondani, hogy nem tudjak mi, miert ugy és hogyan mukodik. Termeszetesen, tisztelet a kivetelnek.

( salaud v | 2017. 02. 08., sze – 22:36 )

Az MS Deffender védelmi programja maximum középszerű, sok ingyenes és fizetős vírusvédelemből választhatsz. Jobbfajta ingyenesek például: Avast, Avg, Tencent, Sophos, Qihoo360. Az Avira is nagyon jó, de agresszívan reklámoz, hamar megunja mindenki és inkább kikapcsolják.
Teljes körű védelmet nem fog adni egyik sem, 100%-os védelem nincs. Fizetős sincs. Böngészőbe μblock origin ajánlott, host file-ba érdemes valamelyik nagyobb blocklistát beletenni, például a http://winhelp2002.mvps.org/hosts.htm . És persze userként használja a gépet, nem rendszergazda fiókkal.

És ne maradjon ki az elbeszélgetés sem az internet biztonságos használatával kapcsolatosan a sráccal, mert az a legfontosabb.

Nem vagyok tévedhetetlen, lehet hozzáfűzni okosakat.

---
A Linux nem ingyenes. Meg kell fizetni a tanulópénzt.
Az emberek 66 százaléka nem tud számolni! Gondoljatok bele, ez majdnem a fele!!
Mindenki jó valamire. Ha másra nem, hát elrettentő példának.

Dehogy kell kikapcsolni, a "frissítésekkel ellátott és kényelmesre beállított Windows telepítő" már kikapcsolt UAC-kal jön le a torrentről... Idetennék egy szmájlit, de sajnos nem vicces :(

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( dcsaba v | 2017. 02. 08., sze – 22:48 )

Hálózati drivereket eltávolítani :)
https://digx.hu