Windows-säätämisen historiaa

Keskusteluissa vilahtelee usein sana "säätäminen". Sana on samaistettu Linuxiin, mutta - yhdessähän tässä veljet samaa polkua kuljetaan (tosin te hieman horjuen ja ajoittain kaatuillen).

Tässä eräs ote:

"Pari uutta virustyyppiä sekä lukuisat uudet haittaohjelmat osaavat lamauttaa
windowsin palomuurin täysin ja tehdä sen toimintakyvyttömäksi.
Ongelma ei rajoitu vain palomuuriin vaan palomuurin rekisterin myötä
lähtee myös ICS -palvelu (Internet Connection Sharing) käytöstä.

Ennen korjaamista : Etsi vian aiheuttaja käyttäen esimerkiksi Symantecin
online tutkaa, jos et saa virusohjelmia käyntiin.
http://security.symantec.com/
Symantecin tutka löytää myös useimmat haittaohjelmat ja sivulta löytyy
ilmaiseksi poistotyökaluja. Korjaamisen ajaksi on hyvä asentaa joku
toinen palomuuri.


Ennen tarkastamista : Poista välimuistin tiedostot kaikilta
käyttäjiltä, sekä kaikkien käyttäjien väliaikaiset tiedostot. Pääset
helposti temp kansioon kirjoittamalla suorita riville %temp%

(Otettu kaksi ekaa ratkaisua pois.. Muokkasinpas sittenkin tätä! ..)

Ratkaisu 3: (VAIN SP2 koneeseen, mutta huomattavan toimiva)
Käynnistä liitteenä oleva rekisterijatke, joka korvaa vioittuneen
avaimen
HKEY_LOCAL_MACHINE\SYSTEM\CURRENT_CONTROLSET\SERVICES\Sharedaccess.
Tämän jälkeen käynnistä kone uudelleen. Jos palomuuri pysyy poissa
päältä ja käynnistys nappula on harmaana niin käynnistä vielä komento
NETSH FIREWALL RESET jolloin pitäisi kontrolli palata palomuuriin. "

----------------------------

"käynnistä liitteenä oleva rekisterijatke, joka korvaa vioittuneen
avaimen
HKEY_LOCAL_MACHINE\SYSTEM\CURRENT_CONTROLSET\SERVICES\Sharedaccess.
Tämän jälkeen käynnistä kone uudelleen. Jos palomuuri pysyy poissa
päältä ja käynnistys nappula on harmaana niin käynnistä vielä komento
NETSH FIREWALL RESET jolloin pitäisi kontrolli palata palomuuriin. "

-------------------------------

1) Alkuvalmistelut

A) Irroita tietokone fyysisesti netistä heti. Irroita siis nettikaapeli/piuha/modeemin johto tms. Suojaamaton Windows XP saastuu yleensä alle minuutissa vaikka et tekisi sillä yhtään mitään, riittää kun kone on kiinni verkossa.

B) Aloita asennus vasta sitten, mieluiten tekemällä kaksi eri levyosiota (toinen esim. 10Gt ja toinen loput), joista ensimmäiseen asennat Windowsin ja ohjelmat ja toiseen laitat omat dokumenttisi jne. Näin tehdessäsi turvaat dokumenttisi kiintolevyongelmien varalta ja toisaalta mahdollistat myöhemmin helpommat uudelleenasennukset. Alusta levyt NTFS tiedostojärjestelmään.


2) Älä laita omaa äläkä yrityksesi tai tietokoneesi oikeaa nimeä tietoihin.
Tietosuojan kannalta ei ole hyväksi antaa turhaan ylimääräisiä tietoja itsestään. Käyttöjärjestelmästä nämä tiedot ovat kaikkein helpoiten erilaisten sovellusten ja myös hakkerien saatavilla.


3) Älä laita järjestelmänvalvojalle / administratorille salasanaa vielä.
Tässä on kyse käytännöllisyydestä, koska joudut käynnistämään tietokoneen useaan kertaan uudelleen ja kirjautumaan sisään. Salasana tulee olla, erityisesti järjetelmänvalvojan tilissä, ja sen tulee olla hyvä (yli 14 merkkiä pitkä ja mahdollisimman vaikeasti arvattava), mutta älä laita sitä turhaan vielä.


4) Kun verkkoasetukset tulevat asetettavaksi, valitse "mukautetut asetukset".

A) Poista "Tiedostojen ja tulostimien jakaminen Windows-verkossa" osat, mikäli sinulla ei ole ulkoisella palomuurilla/reitittimellä/NAT:lla suojattua omaa verkkoa jo asennettuna JA haluat jakaa tiedostoja ja tulostimia Windows-verkossa omien tietokoneidesi välillä. Jos olet vähänkin epävarma asiasta, poista ne varmuuden vuoksi! Tiedostojen ja tulostimien jakaminen Windows-verkossa avaa helposti koko tietokoneesi muulle internetille, sekä näissä ominaisuuksissa havaitut tietoturva-aukot ovat olleet merkittäviä uhkia. Älä ota turhaan riskiä, jota et tarvitse, jos voit sen vain välttää.

B) Valitse "Internet protokolla (TCP/IP) ja valitse "ominaisuudet" ja edelleen "lisäasetukset".

C) Mene "WINS" välilehdelle ja poista "Käytä LMHOSTS-hakua", sekä valitse "Poista käytöstä NetBIOS TCP/IP:n päällä". Mikäli päätit käyttää tulostimien ja tiedostojen jakoa Windows-verkossa kohdassa 4B, älä valitse "Poista käytöstä NetBIOS TCP/IP:n päällä". Mikäli olet vähänkin epävarma asiasta, valitse "Poista käytöstä NetBIOS TCP/IP:n päällä! Netbios on "kaiken pahan alku ja juuri" Windows järjestelmissä, mitä tulee tietoturva-aukkoihin.


5) Valitse "Suojaa tietokone ja ota automaattiset päivitykset käyttöön"
Automaattiset päivitykset on syytä ottaa käyttöön, koska ilman ajantasaisia tietoturvapäivityksiä Windowsisi on erittäin haavoittuvainen. Automaattisuus takaa, että sinun ei tarvitse vähän väliä miettiä asiaa ja käydä itse hakemassa päivityksiä myöhemmin, vaan käyttöjärjestelmä huolehtii päivittämisestä automaattisesti. Voit itse vain silloin tällöin käydä kurkkaamassa päivityssivuilla ja varmistaa, että päivitykset ovat todellakin asentuneet automaattisesti kuten on pitänytkin.


6) Valitse "Ohita" kun Windows kysyy "Onko tässä tietokoneessa suora internet-yhteys vai muodostetaanko yhteys verkon kautta".
On turha lähteä tähän Windowsin leikkiin nyt mukaan, koska verkkoasetuksia jne. pitää kuitenkin myöhemmin säätää, vastaat tähän kohtaan sitten mitä tahansa.


7) Valitse "Ei nyt" kun Windows kysyy haluatko rekiteröityä Microsoftin onlinepalvelussa.
Parempi minimoida kaikkea tietoa, jota Microsoft saa sinusta ja käyttöjärjestelmästäsi, mikäli vain suinkin mahdollista.


8) Kirjoita oma käyttäjänimesi ja halutessasi muiden käyttäjien (esim. lapsesi tai puolisosi käyttäjätunnukset) nimet.
Käyttäjätilejä kannattaa luoda jokaista potentiaalista käyttäjää varten. Kun jokaisella on oma tilinsä, he eivät voi sotkea toistensa asetuksia ja muuta vastaavaa. Salasanasuojaus on tärkeä osa eri tilien luomista ja käyttöä, mutta unohda edelleenkin se, vielä vähäksi aikaa. Palataan siihen tuonnempana.


9) Anna tietokoneen käynnistyä. :)

Takaisin alkuun



10) Mene "Käynnistä" – "Ohjauspaneeli" – "Tietoturvakeskus"
Huom! Tietoturvakeskus näkyy vain jos koneessasi on jo SP2 päivitys! Mikäli et löydä Tietoturvakeskusta, mene "Verkkoyhteydet" ja valitse kaikki verkkoyhteytesi ja laita niiden ominaisuuksista/lisäasetuksista Windowsin Internet Connection Firewall päälle ja hyppää sitten kohtaan 11!

A) Mene "Automaattiset päivitykset" ja tarkista, että ne on asetettu "Automaattinen, lataa ja asenna suositeltavat päivitykset tietkoneeseeni automaattisesti" ja "Joka päivä" ja esimerkiksi kello "19:00" tai muuna aikana kun yleensä tietokoneesi on päällä ja netissä. Automaattipäivitykset ovat huoleton tapa pitää yhdestä tietoturvan kannalta olennaisesta asiasta hyvää huolta.

B) Mene "Windows palomuuri".
- Mene "Yleiset" -välilehdelle ja tarkista, että se on asetettu "Käytössä (suositellaan)" ja "Älä salli poikkeuksia" on valittuna. Huom! Mikäli käytät esim. Bittorrent ohjelmia, sinun on syytä sallia ne Windowsin palomuurista, tällöin älä laita ruksia kohtaan "Älä salli poikkeuksia". Palomuuri estää sisäänpäin tulevan liikenteen tietokoneeseesi, eli käytännössä estää matojen leviämisen ja useiden muiden tietoturva-aukkojen hyväksikäytön tietokoneessasi. Lisäksi se "peittää" toiminnallaan mahdollisesti epäturvallisia asetuksiasi jne. Palomuuri on ehdottoman välttämätön kaikissa tietokoneissa!
- Mene "Poikkeukset" -välilehdelle ja laita kruksi kohtaan "Näytä ilmoitus, kun Windowsin palomuuri estää ohjelman", jolloin saat tietoa kun joku ohjelma koettaa pitää portteja auki tietokoneessasi. Ota varmuuden vuoksi kruksit pois kaikista "poikkeuksia" kohdista, mutta mikäli käytät esim. Bittorrent ohjelmaa, joka vaatisi portit auki, anna sille poikkeuslupa täältä.
- Mene sitten "Lisäasetukset" -välilehdelle ja varmista, että kaikkien verkkoyhteyksien kohdalla on kruksi, eli että palomuuri myös on ihan oikeasti toiminassa kaikissa verkkoyhteyksissäsi.



11) Vasta nyt voit kytkeä nettipiuhan takaisin seinään ja fyysisesti kytkeytyä internettiin.
Nyt koneesi on alustavasti suojattu, joten se ei saastu itsestään ja voit ryhtyä niihin toimenpiteisiin, jotka vaativat internetin käyttöä.

A) Mikäli et pääse internettiin (älä surffaile turhia, tietokoneesi ei ole vielä suojattu kunnolla!), mene "Käynnistä" ja "Kaikki ohjelmat" ja "Apuohjelmat" ja "Tietoliikenneyhteydet" ja suorita "Ohjattu verkkoyhteyden muodostaminen".

B) Valitse valikoista yhteysmuotoosi sopivat valinnat. Yleensä laajakaistayhteyksissä valitaan "Muodosta Internet-yhteys" ja "Määritä yhteys manuaalisesti" ja "Muodosta laajakaistayhteys, joka on jatkuvasti päällä".

C) Mikäli nettiyhteytesi ei vieläkään toimi, varmista että ADSL-modeemisi toimii ja käy läpi netin asennusohjeet, jotka palveluntarjoajasi on sinulle antanut.

Takaisin alkuun



12) Käynnistä Internet Explorer -selain ja valitse "Työkalut" – "Windows Update".

A) Mikäli saat turvallisuusvaroituksia, hyväksy ne. Ne koskevat Windows Updaten toiminnalle välttämättömiä komponentteja, joita Internet Explorer yrittää asentaa. Windowsupdate -sivulla valitse "Mukautettu asennus", jotta pääset itse kurkistamaan ja valitsemaan mitä kaikkea Windows pyrkii itseensä päivittämään.

B) Mikäli ohjelma löytää sinulle päivityksiä, ne ilmestyvät ruudulle vasempaan reunaan. Valitse kaikki päivitykset (mikäli eivät ole jo valmiiksi valittuina) "Tarkasta ensisijaiset päivitykset" ja "Valitse valinnaiset laitteistopäivitykset" -kohdista. Laitteistopäivitykset ovat sinällään hyödyllisiä, koska ne sisältävät esim. uusia ajureita tietokoneesi komponentteihin jne. Et yleensä pysty valitsemaan heti kaikkia, vaan Windows valittaa että jotkin päivitykset on asennetta erillään muista. Tee näin ja asenna sitten vain ko. päivitykset jne.

C) Klikkaa vasemmassa reunassa olevasta "Valitse valinnaiset päivitykset" kohdasta, jotta sen alla oleva hakemistopuu aukeaa ja näet sen alla "Windows XP family" osankin. Valitse kaikki muut paitsi "Microsoft .NET Framework" näiden alta. Microsoft .NET Framework on mielestäni täysin tarpeentonta roskaa, joka vain lisää potentiaalisten tietoturva-aukkojen määrää tietokoneessasi. Muut "Valinnaiset päivitykset" sisältävät hyvinkin tärkeitä päivityksiä eri Windowsin komponentteihin, jotka yleensä parantavat sen toimintavarmuutta.

D) Kun olet valinnut siis kaikki muut päivitykset kaikista näistä kohdista (paitsi siis "Microsoft .NET Framework"), klikkaa "Siirry päivitysten asennukseen" ja edelleen "asenna".

E) Joskus asennettava on useita eri päivityksiä, eikä niitä kaikkia voida asentaa samanaikaisesti. Tällöin asenne ne mitä voit, käynnistä tietokone uudelleen ja palaa tänne Windows Updateen yhä uudestaan ja uudestaan kunnes olet saanut kaikki päivitykset asennettua. Käyntikertoja voi olla monia, mutta ole sitkeä! :)

F) Palaa silloin tällöin tänne Windows Update sivustoon kirjautuneena Järjestelmänvalvojana ja hae ja asenna päivityksiä joita katsot tarpeelliseksi (esimerkiksi ajuripäivityksiä jne.). Jos jaksat käydä muutaman kerran vuodessa, niin se on yleensä riittävää. Paranoidi käy tietysti joka kuukausi katsomassa uudet päivitykset. :)

Takaisin alkuun



13) Säädä käyttäjien oikeudet turvallisiksi

A) Suorita (ilman lainausmerkkejä) "control userpasswords2" ja aseta muut paitsi "Järjestelmänvalvoja" ja oma käyttäjätilisi "käyttäjät-ryhmään". Tämä onnistuu valitsemalla ko. käyttäjät ja "ominaisuudet" ja "ryhmäjäsenyys". Kruksaa samalla kohta "Tietokoneen käyttäminen vaatii käyttäjänimen ja salasanan". Laittamalla kaikki muut paitsi "Järjestelmänvalvoja" ja oman tilisi "käyttäjät" -ryhmään teet erittäin tärkeän tietoturvajutun, koska "käyttäjät" ryhmässä olevat eivät voi tuhota tietokonettasi kovinkaan helposti, vaikka he suorittaisivatkin viruksia tms. koneella. Yleensäkin, heidän tekosensa tietokoneella vaikuttavat yleensä vain heihin itseensä, jos edes siihen, eivätkä he pysty vaarantamaan koko tietokonetta ja muita käyttäjiä. "Järjestelmänvalvojan" oikeuksilla varustettu taas on tietokoneen "ylikäyttäjä", joka pystyy tekemään koneella mitä tahansa ja tämän vuoksi Järjestelmänvalvojan oikeuksin ei normaalisti pidä kirjautua lainkaan sisälle tietokoneeseen, koska järjestelmänvalvojana voi helposti tuhota koko tietokoneen. Järjestelmänvalvojan oikeudet omaavaa -tiliä tulee käyttää vain uusien, turvalliseksi tiedettyjen ohjelmistojen asennukseen, päivitysten asentamiseen sekä järjestelmän tärkeiden asetusten säätämiseen. EI KOSKAAN "normaaliin" netissä surffailuun tai tietokoneella työskentelyyn!!! Luo netissä surffailua varten itsellesi(kin) siis "käyttäjät" tason oikeuksilla varustettu tili!

B) Voit helposti lisätä käyttäjiä painamalla "Lisää", antamalla käyttäjänimen, salasanan ja sitten valitsemalla "Valitse tälle käyttäjälle myönnettävät oikeudet" kohdassa "Rajoitettu käyttöoikeus". Näin luoduilla käyttäjillä on vähemmän oikeuksia tietokoneella, eli he voivat sekoittaa sitä vähemmän ja aiheuttaa vähemmän tietoturvaongelmia muutenkin.

C) Mene "Lisäasetukset" välilehdelle ja edelleen "Lisäasetukset". Poista esiin tulevalta ruudulta kaikki muut käyttäjäryhmät paitsi "Järjestelmänvalvoja", "Vieras" sekä ne käyttäjät jotka olet (jos olet) aikaisemmin luonut (esim. perheenjäsenesi). Turhat käyttäjät ovat vain turhia tietoturvariskejä.

D) Kirjaudu nyt ulos ja sisään jokaisena käyttäjänä jonka olet luonut joko aikaisemmin vai viimeistään nyt. Voit muuttaa käyttäjien salasanoja tai poistaa niitä kirjautumalla ko. käyttäjänä ja menemällä "Ohjauspaneeli" - "Käyttäjätilit" ja "Luo" tai "Muuta" tai "Poista" salasana -valinnoilla. Vaihtoehtoisesti voit käyttää 13A kohdassa kerrottua kohtaa josta voit asettaa salasanat käyttäjille, myös "Järjestelmänvalvojalle". Näin jokainen käyttäjä voi itse määrittää haluamansa salasanan itselleen. Muista, että salasanan tulisi olla yli 14 merkkiä pitkä ja sisältää sekä numeroita että kirjaimia, mieluusti myös esim. !"#¤%&/()= merkkejäkin. Muista kuitenkin, että mikäli olet käyttänyt EFS-salausta tiedostojen suojaamiseen ja muutat salasanan jollakin muulla tapaa kuin kirjautumalla ko. käyttäjänä ja "normaalisti" vaihtamalla salasanasi, EFS:llä salattuja tiedostoja ei pystytä lukemaan/palauttamaan enää mitenkään! Mikäli pelkäät että käyttäjä unohtaa salasanansa, voit kirjautua sisään ko. käyttäjänä ja mennä tässä samassa ikkunassa "Aiheeseen liittyvät tehtävät" - "Estä unohdettu salasana" jolloin Windows tarjoaa mahdollisuuden tehdä levyke jolla ko. käyttäjän salasana on mahdollista myöhemmin resetoida (jos tälläisen levykkeen teet, pidä ko. levyke ehdottomasti turvallisessa paikassa säilössä!).

E) Kirjaudu lopuksi takaisin "Järjestelmänvalvojan" oikeudet omaavalle tilille. Mikäli et näe "Järjestelmänvalvoja" oikeudet omaavaa käyttäjää kirjautumisruudussa, paina Ctrl Alt Del pari kertaa napakasti ja kirjaudu sitten sellaiseen tiliin jolla ko. oikeudet ovat (joko siis "Järjestelmänvalvoja" tiliin tai siihen omaan tiliisi jolla on järjestelmänvalvojan oikeudet). Muista määrittää myös järjestelmänvalvojan oikeudet omaaville tileille vahva salasana, äläkä MISSÄÄN TAPAUKSESSA anna sitä tietokoneen muiden käyttäjien tietoon. He saavat luvan käyttää konetta "Rajoitettu käyttöoikeus" -oikeuksin ja vain sinä, järjestelmänvalvojana, käytät konetta tietokoneen ylläpitotehtävissä (esim. ohjelmien asennus) "Järjestelmänvalvoja" tiliin kirjautumalla! Ei muuten!



14) Säädä tiedostojärjestelmä turvalliseksi.

A) Mene "Oma Tietokone" ja "Työkalut" ja "Kansion asetukset". Mene "Näytä" välilehdelle ja kruksaa seuraavat valinnat:"Näytä piiloitetut tiedostot ja kansiot" ja "Näytä järjestelmäkansioiden sisältö". Ota kruksi pois seuraavista valinnoista:"Etsi verkkokansiot jne.", "Käytä yksinkertaista tiedostonjakoa jne.", "Piiloita suojatut käyttöjärjestelmätiedostot jne." ja "Piilota tunnettujen tiedostotyyppien tunnisteet". Nämä muutokset parantavat tietoturvaa antamalla sinulle enemmän tietoa tiedostoista joita kiintolevylläsi on.

B1) HUOM! Seuraavat ohjeet koskevat vain Windows XP Professional versiota! Mikäli sinulla on WindowsXP Home edition, hyppää eteenpäin kohtaan 12B2! Jos et tiedä mikä versio sinulla on, näet sen nopasti, koska Home editionissa ei ole mahdollista säätää seuraavia asetuksia...
- Valitse C-asema (tai minne Windowsin ikinä oletkin asentanut) ja "Ominaisuudet". Ota kruksi pois kohdasta "Nopeuta tiedostojen etsintää luomalla levyindeksi". Jälleen kerran, on turha luoda turhia lokeja tietokoneesi kiintolevyn sisällöstä, ne voivat olla merkittävä tietosuoja- ja tietoturvariski.
- Mene sitten "Suojaus" välilehdelle ja poista kaikki muut ryhmä- tai käyttäjänimet paitsi "Järjestelmänvalvojat" ja "SYSTEM" ja lisää "Vahvistetut käyttäjät". Mene sitten "Lisäasetukset" kohtaan ja kruksaa "Korvaa kaikkien alemman tason jne.". Näin saat säädettyä noin oletuksena kaikki kansioiden ja ohjelmien käyttöoikeudet turvallisiksi. :)
- Mene C:\windows\ kansioon ja aseta "Temp" kansion suojaus välilehdelle "Vahvistetut käyttäjät" -kohtaan "Täydet oikeudet". Tämä kansio on joidenkin ohjelmien väliaikaiskansiona, joten kaikilla käyttäjillä pitää olla sinne kaikki oikeudet.
- Mene C:\documents and settings\ kansioon ja aseta käyttäjille suojaukset siten, että poistat muilta käyttäjiltä kaikki oikeudet toistensa kansioihin (huom! Ei kuitenkaan "All Users", "Default User", "Local Service" ja "Network Service" kansioihin!), ja annat kullekin käyttäjälle itselleen täydet oikeudet omaan kansioonsa. Älä kuitenkaan poista "Järjestelmänvalvojat" ryhmän oikeuksia mihinkään kansioon! Muista kruksata "Korvaa kaikkien alemman tason jne." jotta asetukset siirtyvät kaikkiin alakansioihin myöskin! Kun olet tämän kaiken tehnyt, jokainen käyttäjä on saanut täydet oikeudet omiin hakemistoihinsa, mutta kenelläkään käyttäjällä (Järjestelmänvalvojaa lukuunottamatta) ei ole mitään oikeuksia toistensa kansioihin! :) Tämä on erinomaista tietoturvan ja tietosuojan kannalta!
- Jotkin ohjelmat, esimerkiksi Spybot S&D, Ad-Aware ja OpenOffice haluavat, että käyttäjät voivat muokata näiden ohjelmien asennuskansioiden sisältöä (esim. C:\Program Files\OpenOffice\). Asian huomaa parhaiten kokeilemalla, mikäli huomaat että ko. ohjelma ei toimi kunnolla käyttäjänä ajattuna tai se ei tallenna asetuksiaan, sinun pitää muuttaa ko. kansion asetuksia. Vaihda ko. kansioiden suojausasetuksia siten, että annat "Vahvistetut käyttäjät" ryhmälle täydet oikeudet ko. kansioihin. Jos olet paranoidi, voit lisäksi asettaa "Vahvistetut käyttäjät" ryhmälle "Estä" suojausmääritteen "Kirjoitus" kohtaan jokaisella ko. kansioissa oleville .exe ja .dll ja .scr tiedostolle, tämä estää heitä esim. korvaamasta olemassa olevia, luotettavia, tiedostoja joillakin troijalaisilla jne.
- Voit salakirjoittaa kansion sisällön EFS:llä (Windowsin oma salakirjoitussysteemi joka käyttää 128bit DESX, 168bit 3DES tai 128bit AES salausta riippuen mm. päivityksistäsi ja eräistä muista asetuksista), joka estää myös järjestelmänvalvojia lukemasta ko. kansioiden sisältämiä tiedostoja. Muista kuitenkin, että mikäli asennat käyttöjärjestelmän uudelleen tai resetoit salasanasi jollakin tapaa (eli et siis "Muuta" sitä ko. tilin asetuksista) niin et pysty mitenkään palauttamaan/lukemaan EFS:llä salattuja tiedostoja! Voit käyttää EFS:ää valitsemalla jonkin kansion ja "Ominaisuudet" - "Yleiset" - "Lisäasetukset" - "Suojaa tiedot salaamalla sisältö". Huomaa, että tämä ei suinkaan turvallisesti poista/ylikirjoita ko. kansiossa ennestään olleita tiedostoja, vaan ainoastaan poistaa ne, eli kyseiset tiedostot ovat selkokielisinä luettavissa kiintolevyltäsi kunnes pyyhit kiintolevyn vapaan tilan! Mikäli luot tiedostoja suoraan tähän hakemistoon, ne ovat tietenkin salattuina "aina" eikä mitään selkokielistä versiota niistä jää killumaan kiintolevyllesi. On suositeltavaa kryptata EFS:llä esim. omat dokumenttikansiot sekä tiettyjen ohjelmien (esim. sähköposti ja selainohjelmien) asetus/tilapäiskansiot (C:\documents and settings\käyttäjäX\application data\ohjelma se ja se\). Huomaa, että valitsemasi kansiot ja tiedostot salataan SILLE KÄYTTÄJÄLLE jona olet kirjautuneena sisälle sillä hetkellä kun ko. vaihtoehdon valitset! ÄLÄ siis salaa "Järjestelmänvalvojana" muiden käyttäjien hakemistoja tai tiedostoja!

B1) HUOM! Seuraavat ohjeet koskevat vain Windows XP home versiota! Mikäli sinulla on Windows XP professional versio, hyppää tämä kohta ylitse ja siirry suoraan kohtaan 14C!
- Valitse C-asema (tai minne Windowsin ikinä oletkin asentanut) ja "Ominaisuudet". Ota kruksi pois kohdasta "Nopeuta tiedostojen etsintää luomalla levyindeksi". Jälleen kerran, on turha luoda turhia lokeja tietokoneesi kiintolevyn sisällöstä, ne voivat olla merkittävä tietosuoja- ja tietoturvariski.
- Voit suojata kunkin käyttäjän omat kansiot ja tiedot kirjautumalla sisään ko. käyttäjänä ja sitten valitsemalla C:\documents and settings\ kansion alta ko. käyttäjän kansion ja valitsemalla "Jakaminen ja suojaus" ja sitten laittamalla kruksi kohtaan "Tee tästä kansiosta yksityinen". Näin muut käyttäjät (paitsi järjestelmänvalvojan oikeuksilla varustetut) eivät näe eivätkä pysty muokkaamaan näiden kansioiden sisältöjä, joissa mm. ko. käyttäjän dokumenttitiedostot, kuvat ja asetukset ovat. Huomaa, että jos haluat jakaa joitain dokumentteja tms. sinun tulee laittaa sellaiset tiedostot "Jaetut tiedostot" kansion alle!

C) Toista "Kohta 14A" jokaiselle käyttäjälle kirjautumalla sisään ko. käyttäjänä ja tekemällä ko. muutokset.

Takaisin alkuun



15) Säädä muita asetuksia turvallisiksi

A) Suorita "Syskey" ja valitse "Käytä salausta" ja "Päivitä" ja "Tallenna salausavain paikallisesti". Paranoidi käyttäjä valitsee tietysti "Salasana käynnistyksessä" ja määrittää Syskey:lle vahvan salasanan. SYSKEY:tä käytetään salaamaan SAM, eli tiedosto jossa Windows säilyttää käyttäjätilejä koskevia tietoja, salasanoja ja salausavaimia. Se myös kätevästi estää tietokoneen käynnistämisen, mikäli SYSKEY salasanaa ei tunneta (erinomainen tapa rajoittaa jälkikasvun tietokoneen käyttöä on laittaa SYSKEY:lle salasana eikä kertoa sitä jälkikasvulle, jolloin he eivät voi omia aikojaan käyttää tietokonetta). Idiootinvarma tämäkään systeemi ei ole, koska netistä on saatavilla ohjelmia jotka rikkovat (huom, eivät murra vaan korvaavat/rikkovat tilapäisesti tai pysyvästi) SYSKEY suojauksen ja mahdollistavat tietokoneen käynnistämisen (mutta eivät SAM purkamisen, koska se on salattu).

B) Valitse "Oma tietokone" ja "Ominaisuudet" (tai vaihtoehtoisesti paina Windows-nappia Pause/Break-nappia). Mene "Laitteisto" ja "Ohjaimien allekirjoittaminen" ja valitse "Estä allekirjoittamattomien ohjaimien asentaminen"...tämä estää käyttämästä sellaisia ajureita, joiden yhteensopivuus Windowsin kanssa on kyseenalaista ja jotka voivat vahingoittaa tietokonettasi. Mene "Etäjärjestelmä" ja ota kruksi pois kohdasta "Salli tältä tietokoneelta lähtevät etätukipyynnöt"..tarvitseekohan tätä edes selittää? :) Mene "Automaattiset päivitykset" ja varmista että ne ovat "Automaattinen - lataa ja asenna suositeltavat päivitykset tietokoneeseeni" jonakin järkevänä aikana, esim. joka päivä kello 18...näitä on jo tarkisteltu useampaan otteeseen mutta tarkistetaampa vieläkin. Mene "Käynnistys ja palautuminen" välilehdelle ja valitse "Tallenna muistin sisältö" kohdasta (alasvetovalikosta) "Ei mitään" (Windows ruikuttaa nyt jotakin, älä välitä, poistu OK:sta)...tämä on pieni, varsin teoreettinen mutta mielestäni vakavasti otettava tietoturvariski näet...kun otat tuon muistin sisällön tallentamisen pois päältä, Windows ei tallenna muistia kiintolevylle häiriötapauksissa, eli kiintolevylle ei vahingossa tallennu esimerkiksi salasanojasi tai salausavaimiasi jne.

C) Suorita telnet.exe ja kirjoita (ilman lainausmerkkejä) "unset ntlm" ja paina enter. Näin estät Windows käyttäjätunnuksesi ja salasanasi pääsyn nettiin Telnetin kautta NTLM (heikko salaus)-muodossa.

D) Suorita regedit.exe ja mene HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ ja mikäli sieltä löytyy "DefaultPassword" niminen rekisteriarvo niin poista se sieltä. Tämä on rekisteriin joskus mahdollisesti tallentunut järjestelmänvalvojan salasana!



16) Muita säätöjä...

A) Klikkaa hiiren oikealla napilla työpöytää ja valitse "Ominaisuudet". Mene "Näytönsäästäjä" välilehdelle ja varmista että jokin näytönsäästäjä (esim. "Windows XP") on valittuna jollakin järkevällä ajalla (esim. 15 minuuttia) ja "Palaa Tervetuloa-ikkunaan, kun jatketaan" on kruksattuna. Näin varmistat, että jos olet poissa tietokoneen ääreltä tovin aikaa, kukaan muu ei pääse sinne nuuskimaan mitä olet tekemässä tms.

B) Mene edelleen "Virransäästö" napista eteenpäin ja valitse virrankäyttömalliksi "Aina päällä" ja jotkin järkevät ajat alla oleviin vaihtoehtoihin (esim. 30 min. molempiin jos kone toimii verkkovirralla ja 5 min. molempiin jos kone toimii akulla). Mikäli käytät kannettavaa tietokonetta ja haluat säästää akkua, valitse kuitenkinkin virrankäyttömalliksi "Kannettava tietokone". Mene vielä "Lisäasetukset" lehdelle ja varmista, että "Kysy salasanaa palattaessa lepotilasta normaalitilaan" on kruksattuna! Paina OK ja poistu. Tällä ei sinällään ole kovin paljon tekemistä turvallisuuden kanssa, mutta tehostaa koneesi toimintaa merkittävästi, koska Windows käyttää prosessoria jne. eri tavalla riippuen siitä pitääkö sen pihistellä sähkössä vaiko ei.

C) Mene takaisin kohdan A paikkaan ja välilehdelle "Asetukset" ja "Lisäasetukset" ja "Näyttölaite". Katso, että kohta "Piilota näytölle sopimattomat näyttötilat" on valittuna ja valitse sen jälkeen alasvetovalikosta virkistystaajuudeksi suurin mahdollinen. Tälläkään ei ole sinällään tekemistä turvallisuuden kanssa, mutta parantaa kuvanlaatua monitorissasi. :)

D) Voit ylikirjoittaa kiintolevyn vapaan tilan käyttämällä (Windows XP Professionalissa ainakin) Windowsin omaa cipher työkalua. Kun normaalisti poistat tiedoston tai kryptaat sen, alkuperäinen tiedosto ei itse asiassa katoa mihinkään! Windows vain merkitsee ko. tiedoston "poistetuksi" eli sen kohdan jossa se tiedosto oli, "vapaaksi tilaksi", mutta itse tiedosto on palautettavissa kiintolevyltä vapaasti netistä saatavilla työkaluilla! Ei, roskakorin tyhjentäminen ei auta mitään! Suorittamalla (ilman lainausmerkkejä) "cipher /w:c" saat ko. työkalun pyyhkimään kiintolevyn vapaan tilan, tässä tapauskessa C: asemalta. Mikäli haluat pyyhkiä vapaan tilan muilta kiintolevyiltä, vaihda "c:\" tilalle ko. kiintolevyn kirjain!

Takaisin alkuun



17) Lataa ja asenna SafeXP ohjelma koneellesi

A) Valitse ao. kuvan mukaiset asetukset ja paina "Apply settings". Ao. asetukset tukkivat ja rukkaavat pahimpia tietoturvan kannalta ongelmallisia asetuksia järkevämpään suuntaan, mm. sulkemalla tarpeettomia palveluita ja ominaisuuksia sekä ottamalla käyttöön Windowsin suojaustoimintoja. HUOM! Mikäli käytät tiedostojen tai kirjoittimien jakoa Windows-verkossa (jonka suojana on ulkoinen palomuuri/NAT), älä valitse "No File Sharing" ja "No Printer Sharing" asetuksia ko. ohjelmasta. Jos olet vähänkin epävarma mitä sinun pitäisi tehdä, laita asetukset kuten alla olevassa kuvassa näytetään.

B) Toista näiden asetusten laittaminen jokaisella käyttäjällä joka koneessa on kirjautumalla sisään ko. käyttäjänä ja tekemällä ko. muutokset.

C) Mikäli sinulle tulee ongelmia, voit resetoida tämän ohjelman asetukset painamalla "Recover back to the state in the first run" ruudun vasemmasta alareunasta.

Takaisin alkuun


18) Lataa ja asenna Windows Worms Doors Cleaner koneellesi

A) Paina "Close" jokaisen vaihtoehdon kohdalla, joka lopettaa Windowsia kuuntelemasta tiettyjä portteja koneessasi. Tämä on teoreettinen tietoturvan parannus, mutta se kannattaa luultavasti tehdä, koska siitä harvemmin on mitään haittaakaan. Useat tietoturva-aukot käyttävät hyväkseen näitä portteja, joten niiden sulkeminen "lopullisesti" on sinällään järkevää.

B) Toista varmuuden vuoksi ohjelma jokaisella käyttäjällä koneessasi kirjautumalla sisään ko. käyttäjänä ja tekemällä ko. muutokset.

C) Mikäli jostain syystä koet ongelmia, voit resetoida tämän ohjelman asetukset painamalla "Enable" nappia ko. kohdissa.




19) Klikkaa oikealla napilla "Käynnistä" painiketta ja valitse "Ominaisuudet".

A) Valitse "Tehtäväpalkki" ja pidä huolta, että sinulla ei ole valittuina "Ryhmitä samankaltaiset tehtäväpalkin kuvakkeet" ja "Piilota passiiviset kuvakkeet". Pidä lisäksi huolta että sinulla on valittuina "Pidä tehtäväpalkki aina päällimmäisenä". Tämä auttaa sinällään tietoturvassa, että näet helpommin mitä koneessasi tapahtuu.

B) Valitse "Käynnistä-valikko" ja "Mukauta". Valitse "Lisäasetukset" välilehti ja "Käynnistä-valikon kohteet:" kohdasta valitse "Järjestelmän valvontatyökalut – Näytä kaikki ohjelmat -valikossa" ja "Verkkoyhteydet – Linkki Verkkoyhteydet-kansioon". Näin tarjoat helpon mahdollisuuden järjestelmänvalvojan päästä säätämään tarvittavia asetuksia koneessasi jos siihen ilmenee tarvetta.

C) Toista näiden asetusten laittaminen jokaisella käyttäjällä joka koneessa on kirjautumalla sisään ko. käyttäjänä ja tekemällä ko. muutokset.

Takaisin alkuun


20) Mene "Internet Explorer" ja "Työkalut" ja "Internet asetukset"

A) Mene "Suojaus" -välilehdelle ja valitse "Internet" ja mene "Mukautettu taso" ja valitse "Palauta" kohdasta "Suuri"ja paina "Palauta" / "Kyllä". Skrollaa asetuksia alaspäin ja laita "Tiedostojen lataaminen" - "Ota käyttöön". Poistu painamalla "OK" ja vastaa "Kyllä". Internet Explorerin oletusasetukset ovat erittäin epäturvalliset ja saat tietokoneesi täyteen vakoilukomponentteja ja viruksia pelkästää menemällä (päivittämättömällä tai useasti päivitetylläkin) ko. selaimella turvattomille www-sivuille. Laittamalla asetuksia edes hieman turvallisemmaksi IE:stä saat edes jonkin verran suojaa.

B) Valitse nyt "Luotetut sivustot" ja mene "Sivustot" ja poista kruksi kohdasta "Edellytä palvelimen vahvistus jne..." ja kirjoita "Lisää tämä Web-sivusto vyöhykkeeseen" kohtaan seuraavat sivustot täsmälleen kuten ne on tuossa kirjoitettuna (kuitenkin ilman lainausmerkkejä) "*.microsoft.com" ja "*.microsoft.net" ja paina kummankin sivuston kirjoitettuasi "Lisää" painiketta jolloin ne ilmestyvät alapuolella olevaan listaan. Nyt IE kohtelee ko. sivustoja luotettavina ja tarjoaa siis niille höllemmät asetukset, joten esimerkiksi erilaisten ohjelmien asentuminen niiltä sivuilta onnistuu kätevästi, samoin erilaiset "ominaisuudet" joita sivuilla on. Mutta ei muualta, eli sivuilta, joihin et voi oikein luottaa.

C) Mene "Tietosuoja" -välilehdelle ja ota kruksi pois kohdasta "Estä ponnahdusikkunat" ja mene sitten "Lisäasetukset" ja kruksaa "Ohita automaattinen evästeiden käsittely" ja valitse "Ensimmäisen osapuolen evästeet" – "Hyväksy" ja "Kolmannen osapuolen evästeet" – "Estä" ja kruksaa kohta "Salli istunnon evästeet aina". Nyt olet estänyt pahimmat evästeisiin liittyvät tietosuojaongelmat.

D) Mene "Sisältöön liittyvät asetukset" -välilehdelle ja mene "Automaattinen täydennys" ja poista kruksit kaikista kohdista ja lopuksi vielä mene "Tyhjennä lomakkeet" ja "Tyhjennä salasanat". IE:hen ei missään tapauksessa pidä tallentaa mitään salasanoja, koska ne ovat erittäin helposti sieltä noukittavissa talteen! Mikäli haluat tallentaa salasanasi jonnekin, käytä esimerkiksi Password Safe ohjelmaa, joka tarjoaa huipputurvallisen ja helppokäyttöisen, kryptatun salasana"pankin". Linkit löydät "Linkit ja ohjelmat" sivultani.

E) Mene "Ohjelmat" -välilehdelle ja poista kruksi kohdasta "Internet Explorer tarkistaa, onko se oletusselain". Näin IE ei kaappaa itseään selaimeksesi kun asennat jonkin paremman selaimen sen tilalle.

F) Mene "Lisäasetukset" -välilehdelle ja pidä huolta että sinulla on kruksattuna/valittuna ainakin seuraavat "Käytä http1.1 protokollaa välityspalvelinyhteyksien kautta", "Käytä kolmannen osapuolen selainlaajennuksia", "Käytä passiivista FTP:tä)", Käytä SSL2.0 suojausta", "Käytä SSL3.0 suojausta", "Käytä TLS1.0 suojausta", "Tarkista ladattujen ohjelmien allekirjoitukset", "Varmista että julkaisijan sertifikaattia ei ole kumottu", "Varmista, että sertifikaattia ei ole kumottu", "Varoita, jos lomakkeiden lähetys ohjataan uudelleen", "Varoita, jos web-sivujen sertifikaatti ei kelpaa" ja "Älä tallenna salattuja sivuja levylle" sekä varmista, että sinulla ei ole kruksattuna seuraavat "Ota kuvatyökalupalkki käyttöön", "Toista web.sivujen videot", "Asennus tarvittaessa (Muu)", "Käytä automaattista täydennystä", "Ota käyttöön Asennus tarvittaessa -toiminto", "Ota käyttöön offline-kohteiden synkronointi määrätyin väliajoin", "Ota käyttöön profiiliapuohjelma", "Salli aktiivisen sisällön suorittaminen Oma tietokone -tiedostoille", " Salli CD-levyjen sisältämän aktiivisen sisällön suorittaminen", "Salli integroitu Windows-käyttöoikeuksien tarkistaminen", "Salli ohjelman suorittaminen tai asentaminen, vaikka allekirjoitus ei ole kelvollinen".

G) Toista näiden asetusten laittaminen jokaisella käyttäjällä joka koneessa on kirjautumalla sisään ko. käyttäjänä ja tekemällä ko. muutokset.


21) Mene "Outlook Express" ja "Työkalut" ja "Asetukset"

A) Mene "Yleiset" -välilehdelle ja poista valinta kohdasta "Kirjaudu automaattisesti palveluun Windows Messenger".

B) Mene "Lukeminen" -välilehdelle ja kruksaa kohta "Näytä kaikki viestit perustekstinä".

C) Mene "Lähettäminen" -välilehdelle ja ota pois valinta kohdasta "Täydennä sähköpostiosoitteet automaattisesti luotaessa" ja laita valinta kohtaan "Sähköpostin lähetysmuoto" - "Vain teksti".

D) Mene "Suojaus" -välilehdelle ja laita valinta kohtaan "Internet vyöhyke". Laita kruksit kohtiin "Näytä varoitus, jos muut sovellukset yrittävät lähettää sähköpostia nimissäni" ja "Estä html-sähköpostiviestien kuvat ja muu ulkoinen sisältö". Ota kruksi pois kohdasta "Estä sellaisten liitteiden tallentaminen ja avaaminen, jotka voivat sisältää viruksen" (tämä siksi, että jos tämä kohta on kruksattuna niin kykysi käsitellä sähköpostin liitetiedostoja putoaa melko lähelle nollaa...turvallisuusnäkökulmasta sähköpostin liitetiedostoja tulee käsitellä tietenkin kuten muitakin tiedostoja - älä ikinä suorita tai lataa niitä mikäli et voi olla ehdottoman varma niiden turvallisuudesta, se että sinä uskot tai luulet ko. tiedoston olevan turvallinen ei kerta kaikkiaan riitä, sinun pitää ihan oikeasti TIETÄÄ sen olevan turvallinen!).

Takaisin alkuun


22) Asenna muita ohjelmia tietoturvan ja käytettävyyden parantamiseksi.

A) Virustentorjuntaohjelma tulee olla tietokoneessasi tietenkin! Suosittelen NOD32 ohjelmaa sekä Norton Antivirusta (juu, enkä saa penniäkään tästä mainostamisesta heiltä, valitettavasti), mutta hätätapauksessa jopa McAfee, Norman tai F-Securekin saa luvan kelvata. NOD32 on siitä hyvä, että se kuluttaa aivan mielettömän vähän tietokoneen resursseja ja se on vuosikaudet voittanut testejä toisensa perään. Mutta, minkä ohjelman ikinä valitsetkin, muista ehdottomasti tarkistaa sen asetukset, jotta se todellakin tarkitaa kaikki tiedostot ja poistaa automaattisesti löytämänsä virukset sekä päivittää itsensä jatkuvasti automaattisesti! Säätämättömästä virustentorjuntaohjelmasta ei ole kovinkaan paljon sinulle iloa, koska valitettava tosiasia on, että oletuksena useimpien virustentorjuntaohjelmien asetukset ovat huonot. Mikäli et halua maksaa virustentorjuntaohjelmasta, ilmaisiakin löytyy, esimerkiksi AntiVir ja AVG ja Avast!

B) Mozilla Firefox selain ja siihen Sun Java sekä Macromedia Flash takaavat turvallisen ja jouhevan internet-surffailutuokion. Outlook Express sähköposti- ja uutisryhmäohjelma kannattaa myös vaihtaa Mozilla Thunderbirdiin samasta syystä. Suosittelen Internet Explorerin sekä Outlook Expressin kuvaikkeiden poistamista kokonaan työpöydältä sekä pikakäynnistyspalkista. Lisäksi ko. ohjelmien pikakuvakkeet kannattaa "kätkeä" käynnistä -valikosta siten etteivät käyttäjät pääse mokomia ohjelmia edes käyttämään "vahingossa".

C) OpenOffice on sekin ilmainen ja turvallinen vaihtoehto Microsoft Officelle. Niin, aivan, se on ilmainen! Ja pystyy lukemaan ja kirjoittamaan Office dokumentteja, Powerpoint esityksiä ja Excel taulukoita, sekä lisäksi luomaan pdf-tiedostojakin. Asetuksista kannattaa kuitenkin "varmuuden vuoksi" napsaista java ja pluginit pois päältä, sekä asettaa oletustiedostomuodoiksi Microsoft Officen tiedostomuodot (jottet vahingossa tallenna tiedostoja OpenOffice muodossa jota kovinkaan moni tuttusi ei saa auki tietokoneellaan Microsoft Officella).

D) Muita hyviä ja ilmaisia ohjelmia ja infoa niistä, sekä latausosoitteet voit katsoa täältä.

Takaisin alkuun



23) Tarkista vielä kerran, varmuuden vuoksi, että
- Palomuuri on toiminnassa ja oikein säädettynä.
- Automaattiset päivitykset ovat toiminnassa ja oikein säädettynä.
- Koneessasi on ajantasalla oleva, oikein toimiva ja säädetty, sekä automaattisesti päivittyvä virustentorjuntaohjelmisto.
Testaa palomuurisi toiminta tällä sivulla valitsemalla erilaisia skannauksia sieltä. Testaa myös virustentorjuntaohjelmistosi toimivuus lataamalla tämä tiedosto, virustentorjuntaohjelmasi pitäisi varoittaa "Eicar test virus" viruksesta. Älä murehdi, se ei ole virus eikä se saastuta konettasi. Se on testi.



24) Tervemenoa internettiin ja käyttämään tietokonettasi turvallisesti!
Muista, että paraskaan virustentorjuntaohjelma tai säätö ei auta sinua, mikäli käytät tietokonettasi epäturvallisesti! Älä koskaan suorita ohjelmia tai tiedostoja ylipäätäänkään, joiden turvallisuudesta et voi olla varma. Älä asenna mitään ohjelmaa koneellesi jos et ehdottomasti tarvitse sitä ja voi luottaa siihen. Suosittelen, että luet vielä "Suojautuminen" sivuni läpi saadeksi jonkinlaisen kuvan erilaisista tietoturvaan liittyvistä ongelmista. "Hakkeroitu?" sivuni läpikäymisestä tuskin on siitäkään haittaa. :)