FAQ – Velká příručka bezpečnosti logo

OS Windows

Windows se jakožto nejrozšířenější desktopový OS těší velké pozornosti hackerů, jeho dostatečné zabezpečení je proto nezbytné.

Podporovanými verzemi Windows jsou Windows 10 May 2020 Update jakožto aktuální verze OS a Windows 8.1 Update 3. Starší verze OS by neměly být používány. Informace pro Windows 8.1 jsou v kapitole standardně označeny dodatkem „(starší verze Windows)“.

Tato část příručky je určena běžným a středně pokročilým uživatelům. Část pro pokročilé naleznete zde.

Sekce kapitoly:


Základní bezpečnostní nastavení

Práce pod Standardním uživatelem:

OS Windows má dva typy uživatelských účtů: Standardní uživatel a Správce.

Z hlediska bezpečnosti je nezbytné provádět denní činnosti pod Standardním uživatelem, jelikož má omezená oprávnění, která jsou pro práci plně dostačující. Pokud se do OS i přes všechny vrstvy ochrany dostane malware, infikuje pouze uživatelský účet – na infikaci OS nebude mít potřebná oprávnění.

Varování
Jedná se o naprostý základ zabezpečení OS, bez kterého jsou veškerá další opatření zbytečná.

► Přidání účtu Správce a změna stávajícího uživatele na Standardního
  • Otevřete si Nastavení. Rozklikněte kategorii Účty a následně zvolte podkategorii Rodina a jiní uživatelé.
  • Klikněte na tlačítko Přidat do tohoto počítače někoho dalšího.
  • wntus
  • Otevře se dialog pro přidání nového uživatele. V levém dolním rohu klikněte na Nemám přihlašovací údaje této osoby.
  • V levém dolním rohu zvolte možnost Přidat uživatele bez účtu Microsoft.
  • Zadejte název účtu Správce (např. Admin) a zvolte pro něj silné bezpečné heslo. Vyplňte bezpečnostní otázky a klikněte na Další.
  • wntus1
  • V seznamu jiných uživatelů se zobrazí účet Admin. Klikněte na něj a následně zvolte Změnit typ účtu.
  • wntus2
  • Zobrazí se dialog pro změnu typu účtu. Ze seznamu zvolte možnost Správce a klikněte na OK.
  • wntus3
  • Odhlaste se z vašeho účtu a přihlaste se jako Admin.
  • Otevřete si Nastavení. Rozklikněte kategorii Účty a následně zvolte podkategorii Rodina a jiní uživatelé.
  • V seznamu jiných uživatelů nalezněte svůj účet, klikněte na něj a následně zvolte Změnit typ účtu.
  • Zobrazí se dialog pro změnu typu účtu. Ze seznamu zvolte možnost Standardní uživatel a klikněte na OK.
  • Odhlaste se z administrátorského účtu a přihlaste se zpět na svůj uživatelský účet.
► Přidání účtu Správce a změna stávajícího uživatele na Standardního (starší verze Windows)
  • Otevřete si Nastavení. Rozklikněte kategorii Účty a následně zvolte podkategorii Jiné účty.
  • Zvolte možnost Přidat účet.
  • Otevře se dialog pro přidání nového uživatele. V pravém dolním rohu klikněte na Přihlásit se bez účtu Microsoft.
  • Klikněte na tlačítko Místní účet.
  • Zadejte název účtu Správce (např. Admin) a zvolte pro něj silné bezpečné heslo.
  • Potvrďte přidání uživatele (Dokončit).
  • V seznamu dalších účtů se zobrazí účet Admin. Klikněte na něj a následně zvolte Upravit.
  • wntusleg
  • Zobrazí se dialog pro změnu typu účtu. Ze seznamu zvolte možnost Správce a klikněte na OK.
  • wntusleg1
  • Odhlaste se z vašeho účtu a přihlaste se jako Admin.
  • Otevřete si Nastavení. Rozklikněte kategorii Účty a následně zvolte podkategorii Jiné účty.
  • V seznamu dalších účtů nalezněte svůj účet, klikněte na něj a následně zvolte Upravit.
  • Zobrazí se dialog pro změnu typu účtu. Ze seznamu zvolte možnost Standardní uživatel a klikněte na OK.
  • Odhlaste se z administrátorského účtu a přihlaste se zpět na svůj uživatelský účet.

User Account Control:

User Account Control je důležitá součást bezpečnostního modelu již OS od Windows Vista, kde se dočkala obrovské kritiky ze strany uživatelů a v novějších verzích OS je od té doby ve výchozím nastavením oslabena. Je důrazně doporučeno konfiguraci UAC zvýšit na nejpřísnější úroveň.

► Nastavení UAC
  • Stiskněte kláv. zkratku win + R, do textového pole zadejte:
  • useraccountcontrolsettings
    a stiskněte Enter.
  • Otevře se konfigurace UAC. Posuvník nastavte na nejvyšší úroveň.
  • uac
  • Klikněte na OK.

Bezpečné nastavení služeb a funkcí Windows:

batch WNTSec:

  • Stáhněte si WNTSec.
  • Uložte a obsah archivu vyextrahujte na Plochu.
  • Na skript jménem wntsec klikněte pravým tlačítkem a zvolte možnost: admin Spustit jako správce.
  • Nechte skript pracovat, na konci procesu vám řekne o souhlas k restartu OS.
► Nastavení SmartScreen (starší verze Windows)
  • Stiskněte kláv. zkratku win + R, do textového pole zadejte:
  • smartscreensettings
    a stiskněte Enter.
  • Otevře se nastavení SmartScreen filtru. Upravte jej dle obrázku:
  • smartscreen
  • Klikněte na OK.

Bezpečné nastavení sítě:

► Konfigurace síťového adaptéru + DNS
  • Stiskněte kláv. zkratku win + R, do textového pole zadejte:
  • ncpa.cpl
    a stiskněte Enter.
  • Otevře se seznam síťových adaptérů. Klikněte na první adaptér (obvykle ethernet) pravým tlačítkem a zvolte možnost Vlastnosti.
  • wntnet
  • V seznamu odškrtněte všechny nepotřebné položky. Běžným uživatelům stačí ponechat pouze Sdílení souborů a tiskáren v sítích Microsoft, Protokol IP verze 4 (TCP/IPv4) a Protokol IP verze 6 (TCP/IPv6).
  • Pokud nesdílíte žádnou tiskárnu v síti a nepoužíváte IPv6 (pokud nevíte, zdali používáte IPv6, můžete to zjistil pomocí následujícího rychlého online testu), můžete pro vyšší bezpečnost ponechat zaškrtnutý pouze Protokol IP verze 4 (TCP/IPv4).
  • wntnet1
  • Klikněte na Protokol IP verze 4 (TCP/IPv4) a zvolte možnost Vlastnosti.
  • wntnet2

Úspěch
Potenciálně nebezpečné protokoly jsou nyní vypnuty. Dále nastavíme bezpečné DNS servery.

  • Pokud vám zkratka DNS nic neříká, přečtěte si tento krátký článek.
  • Klikněte na Použít následující adresy serverů DNS a do kolonek vepište následující DNS servery:
  • 193.17.47.1
    185.43.135.1
  • wntnet3
  • Klikněte na tlačítko Upřesnit…
  • V horním panelu se přesuňte do záložky WINS a zvolte možnost Zakázat rozhraní NetBIOS nad protokolem TCP/IP.
  • wntnet4
  • Klikněte na OK.
  • Klikněte na OK a okno zavřete.

Varování
Pro dosáhnutí kýženého efektu je nutné kompletní postup aplikovat pro všechny síťové adaptéry v seznamu – obvykle Wi-Fi modul.


Další bezpečnostní nastavení:

  • Vypněte Usnadnění přístupu na přihlašovací obrazovce – součást skriptu WinSecOpt.
  • Vypněte AutoPlay:
  • ► Návod
    • Otevřete si Nastavení. Rozklikněte kategorii Zařízení a následně zvolte podkategorii Automatické přehrávání.
    • Automatické přehrávání vypněte.
    • autoplay
  • Vypněte Remote Assistance:
  • ► Návod
    • Stiskněte kláv. zkratku win + R, do textového pole zadejte:
    • sysdm.cpl
      a stiskněte Enter.
    • Zobrazí se Vlastnosti systému.
    • Přesuňte se do záložky Vzdálený přístup a odstraňte zatržítko u položky Povolit připojení vzdálené pomoci k tomuto počítači.
    • sysdm
    • Klikněte na OK.




Ochrana proti malware

Jako nejúčinnější metoda ochrany proti malware se osvědčila bezpečnostní konfigurace skládající se z více vrstev („layered config“) – pokud selže jedna vrstva, nastupuje druhá. Bohužel stále není neobvyklé spoléhání se pouze na jednu tradiční vrstvu – antivirus – což je z hlediska bezpečnosti tristní.

Samotný OS poskytuje jistou úroveň ochrany proti malware, která se liší v závislosti na verzi a edici OS. V základním nastavení nejsou všechny bezpečnostní funkce zapnuty či korektně nastaveny.


Aktualizace OS a SW:

Je důležité mít aktuální verzi veškerého SW, jelikož nové verze často opravují mnoho bezpečnostních chyb. Neaktuální děravý SW je implicitně nebezpečný.

Windows by se měly ve výchozím nastavení aktualizovat samy (v edici Home automatické aktualizace dokonce nelze vypnout). Důležité aplikace (např. prohlížeče, Adobe Reader) se zpravidla aktualizují automaticky.

Pro kontrolu aktualizací ostatního SW aktuálně neexistuje ideální aplikace.

► Kontrola nastavení aktualizací OS (starší verze Windows)
  • Stiskněte kláv. zkratku win + R, do textového pole zadejte:
  • wuapp
    a stiskněte Enter.
  • V levém panelu klikněte na tlačítko Změnit nastavení.
  • Zkontrolujte, že důležité aktualizace mají zvolenou možnost Instalovat aktualizace automaticky (doporučeno), případně napravte.
  • Zkontrolujte, že je odstraněné zatržítko u možnosti Získávat doporučené aktualizace stejným způsobem jako důležité aktualizace, případně napravte.
  • Klikněte na OK a okno zavřete.

Windows Defender:

Windows Defender je integrovaný komplexní bezpečnostní systém, jenž spolehlivě pokrývá vrstvy zabezpečení antivirus / antimalware, firewall i anti-exploit.

Antivirus nebo antimalware (AV/M) je uživateli často chápán jako vrstva zabezpečení, která sama o sobě stačí k zabezpečení OS. Tato teze již dlouhou dobu není pravdivá. Tradiční antimalware ochrana nicméně má v bezpečnostní konfiguraci své místo, a je integrována v rámci systému Windows Defender.

Varování
Instalace antivirových řešení třetích stran je důrazně nedoporučena.

Vestavěný bezpečnostní systém je vysoce robustní a pro běžné využití plně dostačující. Výjimku z výše uvedeného tvoří profesionální kvalitní bezpečnostní produkty, kterých na trhu pro domácí použití není mnoho, za které si uživatel musí řádně zaplatit, a o jejichž reálném přínosu lze polemizovat. Jako nejrozumnější takovou investicí se v současnosti jeví Sophos Home Premium, který představuje přívětivou možnost vysoké úrovně ochrany až pro deset zařízení v domácnosti (Windows/Mac) a nabízí další užitečné funkce, mezi které zatím ovšem nepatří česká lokalizace.

► Rozebrání problematiky antivirů

Tradiční mechanismus antiviru je založen na detekci známého malware, jehož otisk má v databázi. Pokud otisk pro malware neexistuje, nebude vyhodnocen jako škodlivý.

Novější technologií je heuristika: škodlivost kódu je vyhodnocena podle aktivity po jeho spuštění (vzorek je testován v izolovaném prostředí), na základě předvolených pravidel a indikací, které jsou u vzorku pozorovány. Provede-li malware nekalou činnost, která není heuristickými pravidly označena jako škodlivá, malware bude vyhodnocen jako neškodný.

Obejít výše zmíněné postupy není příliš náročné. Nejnovějším trendem je využití velkých dat a AI pro detekci malware. Tyto pokročilé technologie jsou zpravidla implementovány pouze v enterprise placených produktech nepřístupných běžným uživatelům (např. SentinelOne), nicméně ani ty nejsou nepřůstřelné.

Detekce Windows Defender je na velmi dobré úrovni. Jedná se o výchozí AV/M řešení na instalacích aktuálních verzí OS – počet uživatelů zvyšuje šanci zachytit nový malware. Implementuje vyspělý cloudový systém, díky kterému nabízí užitečné pokročilé funkce (např. block on first sight).


Ochrana proti tradičnímu malware:

► Konfigurace Ochrany před viry a hrozbami
  • Otevřete si Centrum zabezpečení v programu Windows Defender.
  • Rozklikněte kategorii Ochrana před viry a hrozbami.
  • Tlačítkem Spravovat nastavení otevřete nastavení ochrany před viry a hrozbami.
  • Zkontrolujte konfiguraci ochrany a případně opravte:
  • wdmal
► Konfigurace Ochrany na základě reputace
  • Přesuňte se do kategorie Řízení aplikací a prohlížečů.
  • Otevřete Nastavení Ochrany na základě reputace.
  • Zkontrolujte konfiguraci SmartScreen filtru a případně opravte:
  • wdmal1

Ve starší verzi OS Windows 8.1 Update 3 obsahuje Windows Defender podstatně méně funkcí, stále jej ovšem lze rozumně použít pro bezplatnou ochranu proti tradičnímu malware.

► Konfigurace Ochrany před viry a hrozbami (starší verze Windows)
  • Otevřete si Windows Defender.
  • Přesuňte se do záložky Nastavení a zvolte podkategorii Ochrana v reálném čase.
  • Zkontrolujte zatržítko u volby Zapnout ochranu v reálném čase.
  • Přesuňte se do podkategorie Upřesnit. Zkontrolujte konfiguraci ochrany a případně opravte:
  • wdleg
  • Přesuňte se do podkategorie Komunita MAPS. Zkontrolujte konfiguraci ochrany a případně opravte:
  • wdleg1
  • Přesuňte se do podkategorie Správce a zkontrolujte zatržítko u volby Zapnout tuto aplikaci.
  • Případné změny uložte a aplikaci zavřete.

Ochrana proti ransomware:

Řízený přístup ke složkám je velice cenná a důležitá integrovaná bezpečnostní funkce, která spravuje přístup aplikací k obsahu uživatelských složek. Na základě pravidel zhodnotí, zdali je pokus o přístup ze strany aplikace legitimní, a pokud vyhodnotí pokus o přístup jako podezřelý/nestandardní, odepře jej.

Zmíněná funkce prozatím není ve výchozím nastavení aktivována, jelikož čas od času chybně vyhodnotí pokus o přístup legitimní aplikace k souborům a odepře jej. Takovým aplikacím se následně musí v nastavení povolit přístup několika kliknutími.

► Konfigurace Řízeného přístupu ke složkám
  • Otevřete si Centrum zabezpečení v programu Windows Defender.
  • Přesuňte se do kategorie Ochrana před viry a hrozbami.
  • Na konci stránky zvolte Spravovat ochranu před ransomwarem.
  • Zapněte Řízený přístup ke složkám.
  • wdrans
  • Ve výchozím nastavení jsou chráněny složky Dokumenty, Obrázky, Videa a Hudba.
  • Pro přidání chráněné složky (např. Plochy) klikněte na Chráněné složky, zvolte Přidat chráněnou složku, nalezněte cestu k dané složce a potvrďte.
► Manuální povolení aplikace v Řízeném přístupu ke složkám
  • Ve správě ochrany před ransomwarem zvolte Povolit aplikace v Řízeném přístupu ke složkám.
  • Klikněte na Přidat povolenou aplikaci. Můžete buď požadovanou aplikaci nalézt na seznamu aplikací, jimž byl nedávno odepřen přístup, nebo aplikaci nalézt v souborovém systému.
  • Nalezněte požadovanou aplikaci a přidejte ji (případně ostatní její spustitelné programy) na seznam.

Ve starší verzi OS Windows 8.1 Update 3 systém Windows Defender výše popisovanou funkcionalitu neobsahuje. Uživatelé mohou využít doporučený profesionální bezpečnostní systém Sophos Home Premium.


Ochrana proti exploitaci:

Každý kód obsahuje minimálně jednu chybu. Některé z těchto chyb kvůli své povaze přináší bezpečnostní riziko. Takových chyb následně využívají tzv. exploity za účelem kompromitace systému a provedení typicky nekalé činnosti. Windows implementují nejmodernějších mitigace, exploitace důležitých samotného OS je proto časově náročná a velmi nákladná. Některé důležité aplikace (např. prohlížeč Google Chrome) jsou z hlediska mitigací proti exploitům také na velmi vysoké úrovni. Poté jsou zde ovšem aplikace, které dostatečné mitigace neimplementují, a jsou bohužel pro uživatele nezbytné.

Systém Windows Defender integruje velice robustní a silnou ochranu proti exploitaci kritických částí OS na bázi virtualizace, která ovšem ve výchozím nastavení není povolena z důvodu nepatrné ztráty systémových prostředků. Je důrazně doporučeno funkcionalitu aktivovat.

► Konfigurace izolace jádra
  • Otevřete si Centrum zabezpečení v programu Windows Defender.
  • Přesuňte se do kategorie Zabezpečení zařízení.
  • Otevřete Podrobnosti o izolaci jádra.
  • Aktivujte fuknci Integrita paměti:
  • wd2
  • Potvrďte restart OS.

Dále integruje anti-exploit řešení, které umožňuje na libovolnou aplikaci nabalit různé mitigace a tím výrazně ztížit její exploitaci. Tuto funkcionalitu standardně ve výchozím nastavení aplikuje na některé důležité systémové procesy.

► Konfigurace mitigací pro jednotlivé aplikace (příklad: VoodooShield)

Info
Aplikace VoodooShield je rozebírána v sekci Anti-executable níže.

Varování
Níže uvedená konfigurace je určena pro aplikaci VoodooShield a nemusí být kompatibilní s jinými aplikacemi.

  • Otevřete si Centrum zabezpečení v programu Windows Defender.
  • Přesuňte se do kategorie Řízení aplikací a prohlížečů
  • Otevřete Nastavení Ochrany Exploit Protection.
  • V horním panelu se přesuňte do záložky Nastavení programu.
  • Klikněte na Přidat program, který chcete přizpůsobit a poté Zvolit přesnou cestu k souboru.
  • Nalezněte a potvrďte požadovanou aplikaci, kterou chcete mitigovat (VoodooShield.exe).
  • wdexpl
  • Upravte konfiguraci dle obrázku:
  • wdexplvs
  • Klikněte na Použít.
  • Postup zopakujte pro VoodooShieldService.exe ve stejném umístění s následující konfigurací:
  • wdexplvss
► Konfigurace mitigací pro Microsoft Office

Varování
Níže uvedená konfigurace je určena pro aplikace MS Office a nemusí být kompatibilní s jinými aplikacemi.

  • Klikněte na Přidat program, který chcete přizpůsobit a poté Přidat podle názvu aplikace.
  • Do textového pole zadejte:
  • WINWORD.EXE
  • Upravte konfiguraci dle obrázku:
  • wdexplmso
  • Klikněte na tlačítko Použít.
  • Obdobný způsob aplikujte pro aplikaci MS Excel:
  • EXCEL.EXE
  • Obdobný způsob aplikujte pro aplikaci MS PowerPoint:
  • POWERPNT.EXE

Ve starší verzi OS Windows 8.1 Update 3 systém Windows Defender žádnou z výše popisovaných funkcionalit neobsahuje. Uživatelé mohou využít doporučený profesionální bezpečnostní systém Sophos Home Premium. Alternativně mohou využít placený software HitmanPro.Alert, jehož funkcionalitu zmíněný systém integruje, chtějí-li pouze zaplnit anti-exploit vrstvu zabezpečení.


Firewall:

Firewall je velmi důležitá vrstva zabezpečení, která chrání OS před síťovými útoky. Systém Windows Defender integruje Windows Defender Firewall (WDF), který je pro standardní použití plně dostačující.

Varování
Instalace firewall řešení třetích stran je důrazně nedoporučena.

Firewall je v základu korektně nastaven na blokování příchozí komunikace, která není explicitně povolena. Pro citelné zvýšení bezpečnosti je možné nastavit FW na blokování veškeré odchozí komunikace, která není explicitně povolena. V novějších verzích OS je taková konfigurace ovšem nesnadný počin a rámcový návod je proto dostupný pouze v sekci pro pokročilé.

Info
Windows Defender může zobrazovat varování, pokud používáte lokální uživatelský účet bez propojení s účtem Microsoftu. Varování se snadno zbavíte otevřením Centra zabezpečení v programu Windows Defender a následně tlačítkem Zavřít.


Anti-executable:

Anti-executable je specifická vrstva ochrany. Jedná se o řešení, které na základě definovaných pravidel spravuje, jaký kód je v OS spuštěn. Tímto principem ideálně zachytí pokus o spuštění malware a zabrání mu. Většina řešení funguje na principu allowlistu – má nastaveno, které spustitelné soubory povolit, a při spuštění neznámého souboru zobrazí uživateli dialog pro povolení/zakázání, případně v závislosti na nastavení souboru přímo exekuci odepře. Nastavení allowlistu není triviální úkol, existují ovšem i řešení, která umí allowlist vytvořit s minimem uživatelské interakce.

Nejpřívětivějším řešením je software VoodooShield, jenž kromě placené verze nabízí i bezplatnou pro nekomerční využití, která poskytuje srovnatelnou ochranu, akorát nenabízí možnost rozšířené konfigurace. Jedinou zásadní nevýhodou je absence českého rozhraní.

► Instalace a konfigurace VoodooShield
  • Stáhněte si VoodooShield.
  • Aplikaci nainstalujte. Zadejte email pro bezplatnou registraci, zvolte Application Whitelisting Mode.
  • Vyčkejte na dokončení konfigurace. Uvítací okno následně zavřete.
  • Klikněte pravým tlačítkem na ikonu aplikace v hlavním panelu a vyberte možnost Hide Desktop Shield, čímž skryjete widget aplikace z pracovního prostoru.
  • Klikněte pravým tlačítkem na ikonu aplikace v hlavním panelu a zvolte mód TRAINING.
  • vs
  • VoodooShield se nyní učí aplikace, které používáte, aby je následně mohl povolit bez uživatelské interakce. Ideální je v tréninkovém módu zařízení používat jeden den, aby VoodooShield vše stihl zapsat.
  • Po ukončení tréninku VoodooShield klikněte pravým tlačítkem na ikonu aplikace v hlavním panelu a zvolte mód ALWAYS ON.
  • vs1

Úspěch
Nyní máte plně funkční anti-executable ochranu aplikace VoodooShield. Když budete chtít instalovat libovolnou aplikaci, dočasně přepněte mód ochrany na DISABLE / INSTALL.

► Ukázky a poznatky z provozu VoodooShield
  • Jakmile VS zablokuje neznámou, ale možná bezpečnou aplikaci, zobrazí následující bublinu:
  • vs2
  • Pokud chcete aplikaci povolit, na bublinu klikněte a v následujícím okně zvolte možnost Install.
  • vs3
  • Když VS zablokuje aplikaci, kterou detekuje alespoň 1 antivirový produkt nebo VoodooAI jako malware, zobrazí následující bublinu:
  • vs4
  • Zde je povolení o pár kliků delší, jedná-li se o legitimní aplikaci. Klikněte na bublinu, v následujícím okně zvolte možnost Allow False Positive a odsouhlaste veškerá vyskakovací okna.
  • vs5
  • Po povolení aplikace a provedení vámi požadované akce se vždy přesvědčte, že VS běží v módu ALWAYS ON.

Virtualizace:

Virtualizace může být velmi bezpečný způsob ochrany před malware v závislosti na způsobu implementace, jelikož odděluje požadovanou část OS od jeho zbytku. Standardních způsobů implementace virtualizace je několik:

  • virtuální stroj (VM; virtual machine)
  • semivirtuální stroj (např. docker)
  • sandbox

Virtuální stroj:

Nejpokročilejší způsob virtualizace je emulace na nejnižší úrovni, kdy je virtualizován celý OS. Za korektního použití a nastavení (např. snapshoty) může jít o vysoce robustní bezpečnostní vrstvu. Po patřičné konfiguraci můžete virtuální stroj používat např. k relativně bezpečnému brouzdání internetem. Virtualizován může být libovolný OS jako Windows nebo linuxová distribuce. Pro virtualizaci OS Windows pro něj ovšem budete potřebovat dodatečnou licenci, nebo členství v programu Insider.

Majitelé edic OS Windows Pro a Enterprise mohou využít vestavěné profesionální řešení Hyper-V. Majitelé nižších edic OS mají na výběr z několika bezplatných a mnoha placených řešení třětích stran.

Z bezplatných řešení je jedinou volbou integrující důležité bezpečnostní funkce (mj. snapshoty) software VirtualBox, populární bezplatné open-source řešení. Není ideální k profesionálnímu nasazení, spíše na hraní. Možnou robustnější alternativu tvoří VMware Workstation Player, který je zdarma pro nekomerční využití, nepodporuje ovšem tvorbu snapshotů a neobsahuje české rozhraní.

► Vytvoření VM pomocí VirtualBox
  • Stáhněte si .iso obraz OS, který chcete virtualizovat.
  • Stáhněte si VirtualBox.
  • Aplikaci nainstalujte.
  • Po otevření aplikace v horním menu klikněte na tlačítko Nový.
  • V dolním panelu zvolte Expertní režim.
  • Zvolte název VM a požadovaný OS. Následně určete velikost paměti OS a tlačítkem Vytvořit otevřete dialog k vytvoření virtuálního pevného disku.
  • Zvolte jeho velikost (alespoň 22 GB) a vytvořte jej.
  • Upravte nastavení VM dle potřeby a následně virtuální stroj spusťte. Vyberte bootovací disk požadovaného OS a klikněte na tlačítko Spustit.
  • Nainstalujte a nakonfigurujte OS. Po úspěšné konfiguraci pro požadované účely virtuální stroj vypněte.
  • V pravém horním menu rozklikněte nabídku Machine Tools a zvolte Snímky.
  • vbox
  • Tlačítkem Take vytvořte nový snapshot virtuálního stroje.
  • Snapshot pojmenujte a klikněte na OK.
  • vbox1
  • Při následujícím vypnutí virtuálního stroje nastavte automatické obnovení vytvořeného snapshotu.
  • Čas od času (např. 1x měsíčně) virtuální OS aktualizujte a vytvořte nový snapshot.
► Vytvoření VM pomocí VMware Workstation Player
  • Stáhněte si .iso obraz OS, který chcete virtualizovat.
  • Stáhněte si VMware Workstation Player.
  • Aplikaci nainstalujte a otevřete. Potvrďte nekomerční účel využití.
  • Klikněte na Create a New Virtual Machine.
  • Zvolte umístění instalace z Installer disc image file (iso) a nalezněte požadovaný ISO soubor. VMWare Player automaticky detekuje OS.
  • Projděte postupně konfigurací VM. Pojmenujte virtuální stroj, přidělte mu alespoň 25 GB místa na disku, zvolte variantu Store virtual disk as a single file. Na konci zvolte možnost Customize hardware….
  • V zařízení Memory přidělte virtuálnímu stroji alespoň 3072 MB paměti. V zařízení Processors přidělte virtuálnímu stroji minimálně polovinu jader vašeho CPU, ideálně alespoň 4.
  • Klikněte na Close a následně Finish.

Sandbox:

Sandbox je populární způsob implementace virtualizace. Existují dva druhy sandboxu:

  • sandbox nativně integrovaný v aplikaci (např. Microsoft Edge)
  • externí sandbox – např. Sandboxie

Sandbox nativně integrovaný v aplikaci je nejúčinnější možností implementace sandboxu, jelikož je nastaven přesně na míru dané aplikaci. Externí sandbox nemusí být nutně účinný jako sandbox integrovaný v aplikaci, jelikož není dělaný přesně na míru určité aplikaci, a při porovnání může ponechat větší prostor pro exploitaci. Stále ovšem může být velmi účinný a přirozeně je mnohem lepší, nežli žádný sandbox.

Bezplatné řešení Sandboxie poskytující externí sandbox pro aplikace, je spíše na hraní. Tato část sekce již nemá příliš praktické využití.

► Instalace a konfigurace Sandboxie
  • Stáhněte si Sandboxie.
  • Aplikaci nainstalujte a projděte úvodním tutoriálem.
  • Otevřete Ovládání Sandboxie.
  • Klikněte pravým tlačítkem na Sandbox DefaultBox a zvolte možnost Nastavení Sandboxu.
  • sbie
  • V pravém panelu rozbalte možnost Vymazat a klikněte na Smazat pracovní soubory.
  • Zatrhněte možnost Automaticky smazat obsah Sandboxu a klikněte na OK.
  • sbie1

Ostatní aplikace:

Užitečné aplikace související s bezpečností, které nelze zařadit pod určitou vrstvu zabezpečení.

Doporučené ostatní aplikace:

► Instalace a konfigurace Unchecky
  • Stáhněte si Unchecky.
  • Aplikaci nainstalujte.
  • Otevřete rozhraní aplikace a přesuňte se do sekce Nastavení.
  • Vypněte zobrazování ikony v oznamovací oblasti a klikněte na Použít.
  • un
► Instalace a konfigurace NVT Anti-AutoExec
► Instalace a konfigurace HashTab
  • Stáhněte si HashTab.
  • Aplikaci nainstalujte.
  • Nalezněte libovolný soubor na disku a otevřete jeho Vlastnosti.
  • V horním panelu se přesuňte do záložky File Hashes a klikněte na tlačítko Settings.
  • ht
  • Upravte konfiguraci dle obrázku a klikněte na OK.
  • ht1




Zabezpečení internetového prohlížeče

  • bezpečnější nastavení (vypnutí nebezpečných funkcí, ideálně vč. JavaScriptu)
  • blokování reklamy
► Porovnání prohlížečů z ohledu bezpečnosti

Všechny prohlížeče jsou po korektním nastavení relativně bezpečné, kritickým důležitým faktorem je také samotný uživatel. V následující sekci naleznete postup pro bezpečnou konfiguraci Microsoft Edge, Google Chrome i Mozilla Firefox jakožto dominantních prohlížečů. Také zde naleznete prohlížeče Brave (open-source prohlížeč vycházející z Chromium, v základu integruje blokování reklam a trackerů) a Chromium (open-source prohlížeč, ze kterého vychází Google Chrome).

Z uvedených prohlížečů jsou z hlediska bezpečnosti nejlepší volbou Microsoft Edge a Chromium, případně jeho proprietární varianta Google Chrome či prohlížeč Brave.

Microsoft Edge / Google Chrome / Chromium využívají špičkovou implementaci vestavěného sandboxu OS (LP-AC) a integrují všechny moderní mitigace včetně CFG. Prohlížeč Brave je na tom obdobně. Mozilla Firefox z hlediska zabezpečení v porovnání s konkurencí stále zaostává, nicméně na OS Windows již situace není tak kritická jak dříve.


edge_icon Microsoft Edge

Info
Návod je určen pro novou verzi MS Edge, aktualizace dostupná zde: https://www.microsoft.com/cs-cz/edge

► Bezpečnější nastavení
  • Skrz nabídku v pravém horním rohu prohlížeče otevřete Nastavení.
  • Přesuňte se do sekce Ochrana osobních údajů a služby.
  • Zvolte vyvážený režim Prevence sledování.
  • edge
  • Ve spodní části stránky v sekci Služby zkontrolujte nastavení dle obrázku:
  • edge1
  • Přesuňte se do sekce Oprávnění pro web.
  • V sekci Soubory cookie a data webů zatrhněte možnost Blokovat soubory cookie třetích stran.
  • edge2
  • V sekci Reklamy povolte reklamy (blokování reklamy je ošetřeno lépe níže).
  • edge3
  • V sekci Synchronizace na pozadí zablokujte nedávno zavřeným webům dokončit odeslání a příjem dat.
  • edge4
  • V sekci Přístup k modulu plug-in mimo sandbox zablokujte webům přístup do počítače pomocí pluginu.
  • edge5
  • V sekci Úpravy souborů zakažte webům upravovat soubory nebo složky v zařízení.
  • edge6
  • V sekci Schránka zablokujte webům přístup k datům ve schránce.
  • edge7
  • Prohlížeč restartujte.
► Omezení JavaScript
  • Skrz nabídku v pravém horním rohu prohlížeče otevřete Nastavení.
  • Přesuňte se do sekce Oprávnění pro web
  • V sekci JavaScript zablokujte spouštění JS.
  • edge8
  • Chcete-li manuálně zadat weby, kde je spouštění JS povoleno (rychlejší zadání subdomén přes *), klikněte na tlačítko Přidat v sekci Povolit. Syntax je jednoduchý.
  • ch8
  • Klikněte na Přidat.
  • Spouštění JavaScript také můžete snadno povolovat při otevření webové stránky v pravém rohu prohlížeče.
  • edgejs
► Blokování reklamy
  • Nainstalujte si následující bezpečnostní doplněk: uBlock Origin

Nastavení uBlock:

  • Klikněte na ikonu uBlock v horním panelu prohlížeče a následně otevřete nastavení uBlock Origin.
  • chublock
  • V sekci Soukromí zatrhněte možnost Předejít úniku lokálních IP adres přes WebRTC.
  • Přesuňte do záložky Filtry třetích stran.
  • Upravte filtry dle obrázku a klikněte na Aktualizovat nyní. Během aktualizace panel nezavírejte.
  • ublock

ch_icon Google Chrome

► Instalace
  • Stáhněte si nejnovější verzi Google Chrome.
  • Aplikaci nainstalujte.
► Bezpečnější nastavení
  • Skrz nabídku v pravém horním rohu prohlížeče otevřete Nastavení.
  • V sekci Ochrana soukromí a zabezpečení otevřete Nastavení webu
  • V sekci Soubory cookie a data webových stránek zatrhněte možnost Blokovat soubory cookie třetích stran.
  • ch
  • V sekci Reklamy povolte reklamy (blokování reklamy je ošetřeno lépe níže).
  • ch1
  • V sekci Synchronizace na pozadí zablokujte nedávno zavřeným webům dokončit odeslání a příjem dat.
  • ch2
  • V sekci Přístup pluginu mimo izolovaný prostor zablokujte webům přístup do počítače pomocí pluginu.
  • ch3
  • V sekci Sériové porty zakažte webům přístup k sériovým portům.
  • ch4
  • V sekci Úprava souborů zakažte webům upravovat soubory nebo složky v zařízení.
  • ch5
  • V sekci Schránka zablokujte webům přístup k datům ve schránce.
  • ch6
  • Prohlížeč restartujte.
► Omezení JavaScript
  • Skrz nabídku v pravém horním rohu prohlížeče otevřete Nastavení.
  • V sekci Ochrana soukromí a zabezpečení otevřete Nastavení webu
  • V sekci JavaScript zablokujte spouštění JS.
  • ch7
  • Chcete-li manuálně zadat weby, kde je spouštění JS povoleno (rychlejší zadání subdomén přes *), klikněte na tlačítko Přidat v sekci Povolit. Syntax je jednoduchý.
  • ch8
  • Klikněte na Přidat.
  • Spouštění JavaScript také můžete snadno povolovat při otevření webové stránky v pravém rohu prohlížeče.
  • chjs
► Blokování reklamy
  • Nainstalujte si následující bezpečnostní doplněk: uBlock Origin

Nastavení uBlock:

  • Klikněte na ikonu uBlock v horním panelu prohlížeče a následně otevřete nastavení uBlock Origin.
  • chublock
  • V sekci Soukromí zatrhněte možnost Předejít úniku lokálních IP adres přes WebRTC.
  • Přesuňte do záložky Filtry třetích stran.
  • Upravte filtry dle obrázku a klikněte na Aktualizovat nyní. Během aktualizace panel nezavírejte.
  • ublock

brv_icon Brave

► Instalace
  • Stáhněte si nejnovější verzi Brave.
  • Aplikaci nainstalujte.
► Bezpečnější nastavení
  • Skrz nabídku v pravém horním rohu prohlížeče otevřete Nastavení.
  • V sekci Brave shields defaults zkontrolujte konfiguraci a případně opravte:
  • brv
  • Vyjeďte na začátek stránky.
  • V sekci Ochrana soukromí a zabezpečení otevřete Nastavení webu
  • V sekci Soubory cookie a data webových stránek zatrhněte možnost Blokovat soubory cookie třetích stran.
  • ch
  • V sekci Reklamy povolte reklamy (blokování reklamy je ošetřeno lépe níže).
  • ch1
  • V sekci Synchronizace na pozadí zablokujte nedávno zavřeným webům dokončit odeslání a příjem dat.
  • ch2
  • V sekci Přístup pluginu mimo izolovaný prostor zablokujte webům přístup do počítače pomocí pluginu.
  • ch3
  • V sekci Sériové porty zakažte webům přístup k sériovým portům.
  • ch4
  • V sekci Úprava souborů zakažte webům upravovat soubory nebo složky v zařízení.
  • ch5
  • V sekci Schránka zablokujte webům přístup k datům ve schránce.
  • ch6
  • Prohlížeč restartujte.
► Omezení JavaScript
  • Skrz nabídku v pravém horním rohu prohlížeče otevřete Nastavení.
  • V sekci Brave shields defaults upravte konfiguraci dle obrázku:
  • brv1
  • Spouštění JavaScript také můžete snadno povolovat při otevření webové stránky v pravém rohu prohlížeče.
► Blokování reklamy

Prohlížeč v základu integruje blokování reklam a trackerů.


ff_icon Mozilla Firefox

► Instalace
  • Stáhněte si nejnovější verzi Mozilla Firefox.
  • Aplikaci nainstalujte.
► Bezpečnější nastavení
  • Skrz nabídku v pravém horním rohu prohlížeče otevřete Možnosti.
  • V levém panelu se přesuňte do Soukromí a zabezpečení.
  • V sekci Rozšířená ochrana proti sledování zvolte úroveň Vlastní, kterou nakonfigurujte dle obrázku:
  • ff
  • Sjeďte níže do sekce Oprávnění a upravte konfiguraci dle obrázku:
  • ff1
  • Do adresního řádku prohlížeče zadejte:
  • about:config
    a stiskněte Enter.
  • Varování potvrďte tlačítkem Beru na vědomí a chci pokračovat.
  • Do vyhledávacího pole ve vrchní části stránky zadejte:
  • ocsp
  • Vyhledávání zobrazí veškeré hodnoty s OCSP v názvu. Dvakrát poklepejte levým myšítkem na následující hodnotu:
  • security.OCSP.require
  • Tím změníte konfiguraci hodnoty (zapnete/vypnete požadovanou funkci).
  • ff2
  • Výše uvedeným způsobem vyhledejte a opravte nastavení následujících hodnot (pokud se neshoduje):
  • accessibility.blockautorefresh  ---  true
    security.mixed_content.block_display_content  ---  true
    security.mixed_content.block_object_subrequest --- true
    media.peerconnection.ice.no_host --- true
    javascript.options.asmjs  ---  false
► Blokování reklamy
  • Nainstalujte si následující bezpečnostní doplněk: uBlock Origin

Nastavení uBlock:

  • Klikněte na ikonu uBlock v horním panelu prohlížeče a následně otevřete nastavení uBlock Origin.
  • chublock
  • V sekci Soukromí zatrhněte možnost Předejít úniku lokálních IP adres přes WebRTC.
  • Přesuňte do záložky Filtry třetích stran.
  • Upravte filtry dle obrázku a klikněte na Aktualizovat nyní. Během aktualizace panel nezavírejte.
  • ublock




Doporučené bezpečnostní konfigurace

Zde naleznete několik příkladů bezpečnostních konfigurací, čistě pro inspiraci.

Bezplatná konfigurace pro běžného uživatele, který neumí anglicky:

► Konfigurace
  • OS – Windows 10 May 2020 Update (bezpečně nakonfigurován)
  • AV/M – Windows Defender
  • FW – Windows Defender Firewall
  • anti-exploit – Windows Defender
  • anti-ransomware – Windows Defender
  • anti-executable – N/A
  • virtualizace – integrovaná
  • internetový prohlížeč – MS Edge, Google Chrome / Brave
  • užitečné aplikace – Unchecky, NVT Anti-AutoExec
  • (konfigurace z kapitoly pro pokročilé dle znalostí)

Konfigurace pro středně pokročilého, který umí anglicky:

► Konfigurace
  • OS – Windows 10 May 2020 Update / 8.1 Update 3 (bezpečně nakonfigurován)
  • AV/M:
    • bezplatný – Windows Defender
    • placený – Sophos Home Premium /
  • FW – Windows (Defender) Firewall
  • anti-exploit:
    • W10 bezplatný – Windows Defender
    • placený – Sophos Home Premium
  • anti-ransomware:
    • W10 bezplatný – Windows Defender
    • placený – Sophos Home Premium
  • anti-executable – VoodooShield
  • virtualizace – integrovaná, virtuální stroj
  • internetový prohlížeč – MS Edge, Chromium / Brave
  • užitečné aplikace – HashTab
  • (konfigurace z kapitoly pro pokročilé dle znalostí)



To je vše. Stay safe! smile

Changelog



Handbook 0.5.1 (09.06.2020):

► Seznam změn
  • přepsány úvody pro konzistenci
  • Základy – zkrácení, zjednodušení
  • Internetové prohlížeče – aktualizace Mozilla Firefox
  • OS Windows
    • opravy v sekci Windows Defender
    • odebrán návod pro HitmanPro.Alert
  • OS Linux
    • přidána sekce Práce pod Běžným uživatelem
    • úpravy pro konzistenci
  • OS Android – úpravy pro konzistenci

Starší změny:

► Seznam změn

Handbook 0.5 (01.06.2020):

  • Internetové prohlížeče
    • odebrán WNT Internet Explorer, Chromium
    • nová verze MS Edge
  • OS Windows
    • restrukturalizace
    • aktualizováno pro May 2020 Update
    • odstraněny postupy pro nepodporované verze OS
    • nový konfigurační skript
    • odebrán EOL Kaspersky Software Updater, EMET
    • přepracována sekce Ochrana proti malware
    • návod pro VMware Workstation Player
  • OS Linux
    • aktualizováno pro F32 a GNOME 3.36
    • přepracována sekce Flathub
  • OS Android
    • restrukturalizace
    • aktualizováno pro Q
    • odebrána teorie
    • odebrán účet hosta
    • přidána sekce Bezpečné ROM
  • OS Windows pro pokročilé
    • přepracována sekce ACL
    • odebrána sekce AppContainer
    • odebrán Smart Object Blocker a OSArmor
  • OS Linux pro pokročilé
    • přidána sekce Základní bezpečnostní nastavení
    • rozšířena sekce Hardened alokátor

FAQ 0.3 (17.11.2018):

  • Základní informace
    • přidána sekce Bezpečné používání mobilních zařízení
    • Bitwarden v sekci Doporučené klíčenky
  • Internetové prohlížeče
    • přidán prohlížeč Brave
    • aktualizace pro Firefox
  • OS Windows
    • restrukturalizace
    • aktualizováno pro September 2018 Update
    • rozšířena sekce Virtualizace
    • Heimdal Free vyměněn za Kaspersky Software Updater
    • návod na VirtualBox a Unchecky
  • OS Windows pro pokročilé
    • přepracována sekce Bezpečnostní aplikace
  • OS Linux
    • aktualizováno pro GNOME 3.30
    • návod na vytváření snapshotů v GNOME Boxes
  • OS Linux pro pokročilé
    • odebrána sekce Ostatní doporučení
    • odebrán linux-hardened
  • OS Android
    • restrukturalizace
    • rozšířena sekce Bezpečná zařízení
    • odebrán CopperheadOS

FAQ 0.2.2 (18.02.2018):

  • OS Windows
    • srovnání úrovně podpory aktuální a starší verze OS
    • nová verze SafeSVC
    • rozšířena sekce Bezpečné nastavení sítě
    • rozšířena sekce Antivirus / Antimalware
  • OS Android – rozšíření sekce Bezpečné nastavení OS

FAQ 0.2.1 (04.12.2017):

  • Základní informace – revize bezpečnostních doporučení
  • OS Windows
    • poznámka o podporovaných verzích OS
    • přidáno upozornění k NVT Anti-AutoExec
    • rozšířena sekce Anti-exploit
  • OS Linux
    • přepracováno pro GNOME 3.26 a Fedora 27
    • rozšířena sekce Virtualizace, návod na GNOME Boxes
    • revize sekce Flatpak
  • Internetové prohlížeče
    • přidán prohlížeč Epiphany (GNOME Web)
    • aktualizace pro Firefox 57
  • OS Android
    • přepracováno pro 8.1
    • Blokada v sekci Blokování reklamy

FAQ 0.2 (12.08.2017):

  • WWW – změna URL
  • Základní informace – nová sekce doporučené klíčenky
  • OS Windows
    • přepracováno pro Fall Creators Update
    • nová verze skriptu SafeSVC
    • návod na Heimdal Free a HashTab
    • návod na zakázání AutoPlay
  • OS Windows pro pokročilé
    • přepracováno pro Fall Creators Update
    • restrukturalizace, odebrány zbytečné sekce
  • OS Linux – aktualizace/rozšíření sekce Flatpak, odebrána sekce firejail
  • OS Linux pro pokročilé – odebráno/nahrazeno grsecurity, aktualizace příkazů
  • Internetové prohlížeče
    • návod na používání Chromium na Windows
    • návod na omezení JS ve Chromium / Google Chrome
    • stabilní blokování reklamy pro MS Edge
    • částečná aktualizace nastavení Mozilla Firefox
  • OS Android – přepracováno pro O

Nižší verze:

  • 16.04.2017 – FAQ v0.1.2 dokončeno
    • WWW – upraven design
    • OS Windows – revize, nyní primárně soustředěno na nejnovější verzi OS (W10 CU)
    • OS Linux – revize, přidáno openSUSE a Flatpak
    • OS Windows pro pokročilé – revize pro W10 CU, rozšířena sekce FW, přidány sekce AppContainer, FIDES, MemProtect
    • OS Linux pro pokročilé – overhaul
  • 15.04.2017 – FAQ pro pokročilé – OS Windows – dokončeno
  • 14.04.2017 – započat přechod na FAQ v0.1.2 (chybí FAQ pro pokročilé)
  • 12.11.2016 – aktualizace FAQ dokončena
  • 15.10.2016
    • OS Windows – započata revize sekce, chybí konfigurace pro pokročilé
    • OS Linux – přidán návod na bezpečné nastavení Chromium
  • 27.07.2016
    • OS Linux – dokončeno
    • OS Windows – zrevidována sekce Anti-exploit
    • OS Windows – odebrán audit ovladačů kvůli nízké účinnosti
    • návod na uBlock Origin přepsán do češtiny
  • 14.04.2016 – OS Windows – dokončeno
  • 16.11.2015 – započat převod na stable release včetně Linuxu
  • 02.07.2015 – uvedena beta verze – chybí Linux
  • 21.03.2015 – uvedena alfa verze
Top