Najprostszym sposobem usprawnienia (pod kątem zabezpieczeń) Windows Home jest pewnie zakup dobrego programu antywirusowego, tzn. lepszego niż wbudowany w Windows Defender. Ale po pierwsze trzeba wiedzieć który jest lepszy, a po drugie nie po to kupujemy najtańszego laptopa żeby zaraz do niego dopłacać. Zresztą wypowiadałem się krytycznie o programach antywirusowych już sto lat temu i zdania nie zmieniłem. Tyle że dziś już każdy chcąc nie chcąc używa programu antywirusowego. A tzw. złośliwe oprogramowanie i tak jest krok do przodu, o czym niewątpliwie świadczy nieustająco duża liczba infekcji.
Na szczęście jest też sensowna darmowa alternatywa. Bo Windows oprócz słabego programu antywirusowego ma dość skuteczny mechanizm blokowania uruchamiania wszelkiego oprogramowania, więc także złośliwego. To AppLocker. Co ciekawe (od Windows 10) — wbrew potocznej opinii — AppLocker działa również na Windows Home, niestety ta radosna nowina chyba zbyt powoli dociera do potencjalnie zainteresowanych użytkowników. Może dlatego, że konfigurowanie AppLockera na Windows Home/Professional jest mówiąc oględnie nieco karkołomne i niezbyt bezpieczne, trzeba to robić skryptami powershella. Więc nikogo nie namawiam, ale tym bardziej nie zniechęcam. Da się: Applocker on Windows Home. Na wszelki wypadek jeszcze link do samego źródła czyli skryptów Sandy Zeng na githubie. Rzecz jasna rozsądek nakazuje poćwiczyć na zwirtualizowanych Windows, gdzie łatwo wrócić do niezepsutej kopii.
Oczywiście żeby mieć pełny pożytek z AppLockera trzeba przestać pracować na koncie z uprawnieniami administratora. Zresztą i tak lepiej przestać. Na pewno wygodniej jest pracować jako administrator, nie trzeba w koło macieju podawać hasła (tylko raz przy logowaniu), ale to niestety przepis na katastrofę. Na koncie z uprawnieniami administratora najlepiej mieć więc jakieś trudne do złamania ale w miarę łatwe do wpisywania hasło, niestety — jak już wspomniałem — jako standardowy użytkownik dość często musimy je podawać.
Więc jeśli właśnie kupiliśmy laptopa to od razu zakładamy drugie konto do codziennego użytku, bez uprawnień administratora. A jeśli do tej pory nierozważnie i lekkomyślnie działaliśmy na koncie z uprawnieniami administratora to zakładamy drugie konto z uprawnieniami administratora, sprawdzamy czy działa, a potem zabieramy prawa administratora sobie, czyli kontu, którego normalnie używaliśmy i nadal używać zamierzamy. Od tej pory działamy jako standardowy użytkownik, któremu nasze drugie ja (opiekuńczy administrator) odbiera prawo strzelania sobie w stopę z granatników.
Jako administrator za pomocą AppLockera powinniśmy uniemożliwić sobie/użytkownikowi (czyli i złośliwemu oprogramowaniu) uruchamianie wszystkiego, co nie zostało świadomie i porządnie zainstalowane z konta administratora. Oraz — zachowując dużą ostrożność — wszystkiego co już jest na komputerze (bo wchodzi w skład systemu operacyjnego Windows) i da się kreatywnie wykorzystywać do infekowania, a nam (w roli użytkownika) nie jest do życia potrzebne. Ponieważ dziś już każdy ma program antywirusowy (sprawdzający, czy sygnatura uruchamianego programu znajduje się w bazie wirusów), to źli ludzie posługują się coraz częściej i coraz sprawniej systemowymi programami Microsoftu. Wiadomo że na komputerze już są, a w bazie wirusów się nigdy nie znajdą. Lista ich jest długa i możliwość uruchamiania części z nich na pewno warto odebrać sobie jako standardowemu użytkownikowi.
Próba uruchomienia zablokowanego programu od razu rzuci się w oczy:
Żeby zobaczyć co zostało zablokowane trzeba zajrzeć do logu Microsoft-Windows-AppLocker%4EXE and DLL.evtx — rejestrowane są tam wszystkie próby uruchomienia programów, także dozwolone, czyli np. w przypadku Firefoksa czy innej przeglądarki każde otwarcie nowej zakładki, niestety podobno nie można tego inaczej ustawić.
Zaoszczędzone dzięki zrezygnowaniu z "lepszego programu antywirusowego" pieniądze można np. pożytecznie przeznaczyć na zakup klucza sprzętowego Yubico i zabezpieczyć np. swoje konto na Google (gdzie mamy pozapisywane wszystkie hasła).