Hardening Rock-solid de um sistema Windows 7?

Configure o Windows 7 com uma conta de usuário normal ao lado da conta de administrador, como faria no Linux. É praticamente impossível estragar todo o PC com apenas uma conta de usuário normal.

Dessa forma, qualquer atividade suspeita exigirá uma senha de administrador no prompt de elevação (sudo equivalente)

Acho que, considerando que você está vindo de um ambiente que exige que você entenda o que está acontecendo, não terá nenhum problema em manter as coisas seguras no Windows. Na minha experiência, a maioria dos problemas surge de usuários inexperientes ou preguiçosos que se fotografam (e seus sistemas) no pé. O Windows oferece um nível razoável de segurança, mas obviamente não o impede (o usuário) de enfraquecê-lo. A lista a seguir é bastante básica, mas a IMHO é onde a maioria dos problemas surge:

1. Observe os prompts do UAC - mesmo que seu usuário tenha privilégios de administrador, o Windows ainda precisará de sua confirmação para qualquer coisa que precise de elevação. Preste atenção ao que você está autorizando.
2. Certifique-se de permitir que o Windows fique atualizado sobre as atualizações.
3. Não instale software que você não confia - especialmente fique longe de shadyware como keygens, rachaduras de jogos, etc.
4. Entenda como o firewall funciona - se você estiver usando iptables , isso será uma ordem de grandeza mais simples. Use a tela Firewall avançado do Windows para verificar e gerenciar o que está exposto .
5. Deve ser óbvio, não clique no anúncio do Viagra!

Isso não está se fortalecendo, mas você pode executar Microsoft Baseline Security Analyzer para verificar possíveis problemas de segurança.

1. Além do Windows Security Essentials e do Firewall, eu também instalaria EMET (o Kit de ferramentas de experiência de atenuação aprimorada de Microsoft) não se esqueça de ler o guia do usuário do EMET.
2. Sempre use a conta de usuário padrão como sua conta padrão. Aumente as configurações do UAC.
3. Se você está baixando muito da internet instale a versão gratuita do MalwareBytes e deixe-o escanear algumas vezes seu PC.
4. Faça o download de um bom Gerenciador de Tarefas como Processar o Hacker ou Processo Explorer , porque o construído em um no Windows 7 não é tão bom (Windows 8 construído em um é muito melhor). Mas você pode usar o recurso Monitor (digite search resmon.exe), o que é bom.
5. Use a versão de 64 bits do Windows 7/8
6. Se você baixou o Java, desabilite o Java no navegador a partir do Painel de Controle Java
7. Faça o download de ferramentas em Nirsoft ou Sysinternals como o TcpView, pode ajudá-lo se você pegar algum malware.
8. Ativar Prevenção de execução de dados para todos programas.
9. Eu usaria o Chrome porque ele é seguro por design e acho que é mais seguro do que outros navegadores (Just my opinion).
10. Alterar as configurações de compartilhamento avançado, desative a descoberta de rede.
11. Instale sempre as atualizações mais recentes do Windows
12. Eu pessoalmente atualizaria para o Windows 8.1, que é mais seguro que o Windows 7

Você pode ir ainda mais longe, mas normalmente você só precisa fazer 2,3 e 11. E porque você é um usuário experiente, você estará seguro.

Se uma máquina Windows estiver sendo usada como um cliente web, uma boa idéia é usar o Firefox com o complemento NoScript. (E, claro, Adblock Plus; isso é evidente.)

Se você acidentalmente navegar em um site com scripts maliciosos, o NoScript salvará sua bunda.

NoScript pode ser intrusivo e requer educação do usuário. (Se o usuário apenas disser cegamente que sim a todos os scripts, isso é inútil.)

Instale o Evince para ler PDF's; fique longe da Adobe. (Existe uma maneira de mostrar o Evince incorporado no Firefox: link .)

Não use o Windows Media Player; instale uma alternativa. O Windows Media Player permite que os arquivos de mídia solicitem ao usuário o download de itens. "Você precisa de um codec especial para reproduzir este vídeo. Clique para instalar o FOO.EXE."

Treine seus usuários para não baixar e abrir anexos não confiáveis recebidos por e-mail e nunca dizer sim a qualquer caixa de diálogo inesperada.

Gostaria de adicionar / atualizar alguns pontos:

Obtenha um bom software de segurança (é necessário no Windows). MSE não é suficiente. Você pode procurar na internet gratuitamente / pagos. Eu não posso recomendar um aqui.

Apesar de um pouco extremo , mais uma ideia é instalar o Windows em uma unidade e softwares em outros. Manter documentos / dados na unidade que não é do Windows Configure janelas / softwares e, em seguida, "Congele" a partição do Windows usando algo como o deepfreeze faronics.

Isso definitivamente irá protegê-lo de todos os tipos de malware, impedindo quaisquer alterações duradouras nos arquivos ou configurações do Windows. Apenas uma reinicialização é suficiente para se livrar de todo malware e seu impacto no sistema. O software antivírus utilizará o malware na unidade que não seja o Windows.

Existem várias maneiras de endurecer um sistema Windows. A primeira é remover / desativar quaisquer serviços que você não usa ou não usará. isto é, serviços remotos ou telnet. Em seguida, você deseja desativar / renomear suas contas incorporadas. Você quer ter uma conta de administrador, mas essa não deve ser a conta na qual você estaria fazendo login diariamente. Você quer criar uma conta de usuário para você e essa deve ser a que você está utilizando. Eu sei que é agravante, mas se o malware é baixado, só seria capaz de executar no nível que você está logado no momento. Manter a atualização do seu sistema e com um bom AV é muito importante. Por fim, se você optar por um STIG da DISA, FISMA ou NIST, ele fornecerá uma boa base para sua criação. Alguns desses sites estão na caixa link ou link