Если вы хотите запретить другим пользователям менять параметры брандмауэра, спрячьте раздел «Брандмауэр и защита сети» через Редактор локальной групповой политики. Если у вас Windows Home или нет доступа к gpedit, используйте стандартные учётные записи, семейные инструменты или режим киоска.
Если в Windows Security отображается «Local Security Authority protection is off», сначала перезагрузите систему, установите обновления и проверьте Event Viewer (ID 5004). При необходимости просканируйте систему на malware и включите защиту LSA через реестр (RunAsPPL = 1) с резервной копией.
В Windows 10/11 включите обнаружение PUA через PowerShell, чтобы Defender автоматически помещал нежелательные программы в карантин. Проверьте историю угроз и не соглашайтесь на «специальные предложения» при установке.
Если обновление Microsoft Defender не устанавливается, сначала отключите сторонний антивирус, перезапустите службы обновления и службу Defender, затем сбросьте компоненты Windows Update или установите пакет вручную из Microsoft Update Catalog.
Если Microsoft Defender сообщил об угрозе — откройте журнал защиты, проанализируйте запись (статус, степень риска), выполните офлайн-сканирование и проверьте файл на VirusTotal перед тем, как разрешать или исключать его.
SmartScreen — это фильтр безопасности Windows, который проверяет приложения, файлы, загрузки и сайты. Отключать его не рекомендуется: это снижает безопасность. Если нужно, выключите в Windows Security → App and Browser Control → Reputation-based Protection Settings.
Если на ПК включена служба «Find My Device» и используется учётная запись Microsoft с правами администратора, вы можете заблокировать устройство через страницу своей учётной записи Microsoft. Устройство должно быть онлайн; после блокировки отобразится сообщение с контактами, а локальные учётные записи будут отключены.
Если вы не хотите, чтобы другие пользователи на вашем ПК меняли параметры брандмауэра, включите политику «Hide the Firewall and network protection area» в редакторе локальной групповой политики. Для отката повторите те же шаги и выберите «Disabled».
Включите получение обновлений Security Intelligence через Microsoft Update, чтобы Microsoft Defender регулярно получал актуальные сигнатуры и снижал поверхность атаки. Для доменных и корпоративных устройств рекомендуется включать настройку через групповую политику; при её недоступности примените правку реестра или скачайте обновление вручную.
WinPatrol — удобный инструмент для постоянного наблюдения за изменениями в Windows: автозапуск, планировщик задач, службы, куки и недавно запущенные процессы. Этот материал объясняет, какие вкладки использовать, как настроить интервалы проверки, как реагировать на оповещения и какие ограничения у WinPatrol по сравнению с профессиональными инструментами.
Встроенный Microsoft Defender можно запускать из командной строки для быстрой, полной и целевой проверки. Используйте MpCmdRun для сканов, восстановления из карантина и обновления сигнатур; PowerShell предлагает альтернативные cmdlet'ы для автоматизации.
Кнопка безопасности Windows запускает защищённый экран входа. На планшетах задайте действие кнопки в параметрах планшета, на ПК включите требование Ctrl+Alt+Delete через gpedit.msc или netplwiz.
Настройте локальную политику блокировки учётной записи, чтобы Windows временно блокировал вход после заданного числа неверных паролей. Это эффективно снижает риск подбора пароля и брутфорс‑атак, но не заменяет резервные механизмы восстановления пароля.
Включите аудит входов (Success и Failure), используйте Event Viewer для поиска Event ID 4624/4625, экспортируйте логи при подозрении и применяйте простой инцидентный план: смена паролей, анализ source IP и проверка persistence.
Microsoft включает SMB‑подпись по умолчанию в Windows 11 Insider Build 25381. Для временного отключения выполните в PowerShell: Set-SmbClientConfiguration -RequireSecuritySignature $false. Делайте это осторожно и с компенсационными мерами.
Notepad не умеет ставить пароли. Используйте EFS для локальной защиты на NTFS, архивы с AES или VeraCrypt для переносимости и резервное копирование ключей.
Настройка политики белого списка приложений в Windows 10 ограничивает запуск неподписанных или неразрешённых исполняемых файлов. Используйте встроенные механизмы Software Restriction Policies или AppLocker на Pro/Enterprise, а для домашних систем рассмотрите сторонние утилиты и чек-лист по внедрению.
Событие 4688 регистрирует создание процесса в Windows — кто и когда запустил программу, её родительский процесс и (при включении) командную строку. Это важный сигнал для расследования подозрительной активности и обнаружения вредоносного ПО. Включите аудит создания процессов и, по возможности, запись командной строки или используйте Sysmon для более детальных данных.