1

من همیشه نسبت به امنیت رایانه وسواس داشته‌ام. اما طی سال‌های اخیر، ویندوز واقعاً در زمینه‌ی امنیت پیشرفت چشمگیری داشته و برخی قابلیت‌های محافظتی قدرتمند را اضافه کرده که اغلب کاربران از آن‌ها غافل‌اند. این تنظیمات امنیتی درست جلوی چشمتان هستند ولی شما از آن‌ها استفاده نمی‌کنید. مهم‌تر از آن، مجرمان سایبری دقیقاً روی این حساب باز کرده‌اند که شما پیدایشان نکنید.

۴. Windows Sandbox – فایل‌های مشکوک را از سیستم اصلی شما دور نگه می‌دارد

Windows Sandbox یک محیط مجازی کاملاً ایزوله ایجاد می‌کند که در آن می‌توانید فایل‌های مشکوک را بدون ریسک به سیستم اصلی، تست کنید. وقتی فایلی مشکوک را دانلود می‌کنید، می‌توانید ابتدا آن را در Sandbox اجرا کنید. اگر بدافزار باشد، آسیب‌ها فقط در همان محیط باقی می‌مانند و با بستن آن، همه چیز پاک می‌شود.

البته این ویژگی فقط در نسخه‌های Windows 10 Pro یا Windows 11 Pro فعال است. اگر نسخه Home را دارید، باید از ابزارهای آنلاین رایگان برای محیط‌های ایزوله استفاده کنید. برای فعال‌سازی Windows Sandbox:

۱. دکمه‌های Windows + R را بزنید تا پنجره Run باز شود، سپس عبارت appwiz.cpl را وارد و Enter کنید.

۲. در سمت چپ، روی Turn Windows features on or off کلیک کنید.

۳. گزینه Windows Sandbox را تیک بزنید.

۴. پس از درخواست، سیستم را ری‌استارت کنید.

علاوه بر این روش، راه‌های دیگری هم برای فعال‌سازی Sandbox در ویندوز ۱۱ وجود دارد. پس از فعال‌سازی، می‌توانید آن را از منوی استارت اجرا کنید. هر بار که Sandbox را باز می‌کنید، نسخه‌ای تمیز از ویندوز در چند ثانیه بالا می‌آید. می‌توانید ضمیمه ایمیل را دانلود، نرم‌افزاری را تست یا روی لینکی مشکوک کلیک کنید، اگر چیزی اشتباه بود، فقط Sandbox را ببندید و تهدید از بین می‌رود.

۳. Core Isolation – جلوگیری از بدافزارهای پیشرفته در همان مرحله اول

Core Isolation با استفاده از سخت‌افزار کامپیوتر، یک دیوار امنیتی اطراف مهم‌ترین فرایندهای ویندوز ایجاد می‌کند. بخش اصلی این ویژگی، Memory Integrity است که از تزریق کدهای مخرب به حافظه سیستم جلوگیری می‌کند، ترفندی که مورد علاقه‌ی بسیاری از بدافزارهای پیشرفته است.

این ویژگی از امنیت مبتنی بر مجازی‌سازی (VBS) بهره می‌برد تا عملیات حساس را از سایر بخش‌های سیستم جدا کند. حتی اگر بدافزاری به سیستم نفوذ کند، نمی‌تواند به هسته سیستم دسترسی پیدا کند. برای فعال‌سازی Memory Integrity:

۱. دکمه‌های Windows + I را بزنید تا Settings باز شود، سپس به بخش Privacy & Security بروید.

۲. در پنل اصلی، روی Windows Security کلیک کنید و سپس Device Security را انتخاب کنید.

۳. به دنبال Core Isolation بگردید و Memory Integrity را فعال کنید.

۴. وقتی ویندوز درخواست ری‌استارت داد، سیستم را ری‌استارت کنید.

مزیت بزرگ Core Isolation این است که از حملات سطح هسته که معمولاً آنتی‌ویروس‌های معمولی از آن‌ها غافل می‌مانند، جلوگیری می‌کند. این ویژگی با نرم‌افزار امنیتی فعلی شما همکاری می‌کند و بخشی از سیستم دفاعی داخلی ویندوز است.

البته معایبی هم دارد. درایورهای قدیمی ممکن است مشکل ساز شوند و ممکن است افت اندکی در عملکرد بازی‌ها یا نرم‌افزارهای سنگین حس کنید. همچنین به سخت‌افزار مدرن با پشتیبانی از مجازی‌سازی نیاز دارد؛ پس کامپیوترهای قدیمی ممکن است قادر به استفاده از این ویژگی نباشند.

اگر گزینه‌ی Memory Integrity غیرفعال یا خاکستری است، ممکن است لازم باشد درایورها یا تنظیمات BIOS را به‌روز کنید. با وجود چنین قابلیت‌هایی، ممکن است حتی دیگر نیازی به نصب آنتی‌ویروس روی ویندوز ۱۱ نداشته باشید، هرچند این بستگی به عادات مرورگری شما دارد.

۲. App and Browser Control – جلوگیری از دانلودهای خطرناک

App and Browser Control یک سیستم محافظت داخلی در ویندوز است که از دانلود بدافزارها قبل از رسیدن به کامپیوتر جلوگیری می‌کند. ابزار SmartScreen فایل‌ها، وب‌سایت‌ها و برنامه‌ها را به‌صورت زنده با پایگاه داده تهدیدهای مایکروسافت مقایسه می‌کند.

این ویژگی در چند لایه عمل می‌کند: مرورگر، دانلود فایل‌ها و حتی برنامه‌های Microsoft Store. وقتی چیزی مشکوک دانلود می‌کنید، SmartScreen هشدار می‌دهد یا آن را به طور کامل مسدود می‌کند.

بیشتر مردم زمانی با SmartScreen مواجه می‌شوند که برنامه‌ای معتبر را مسدود کرده و پیغام “Windows protected your PC” نمایش می‌دهد. وسوسه اینجاست که آن را غیرفعال کنید؛ اما دقیقاً همین‌جاست که هکرها امیدوارند شما چنین کاری بکنید. برای پیکربندی صحیح App and Browser Control:

۱. وارد Settings شوید، سپس به Privacy & Security > Windows Security بروید.

۲. از داشبورد اصلی، App & browser control را انتخاب کنید.

۳. در بخش Reputation-based protection، روی Reputation-based protection settings کلیک کنید.

۴. مطمئن شوید که گزینه Check apps and files فعال باشد.

۵. اگر از مرورگر Edge استفاده می‌کنید، SmartScreen برای Edge را نیز فعال کنید.

۶. Potentially unwanted app blocking را نیز فعال کنید تا از نصب نرم‌افزارهای مزاحم همراه با نصب‌های دیگر جلوگیری شود.

گزینه Potentially unwanted app blocking بسیار مفید است زیرا از نصب نوار ابزارها و بهینه‌سازهای مشکوک که با دانلودهای دیگر همراه می‌شوند، جلوگیری می‌کند. SmartScreen بی‌نقص نیست، اما مقدار قابل توجهی از بدافزارها را که آنتی‌ویروس‌های سنتی از آن‌ها غافل می‌مانند، شناسایی می‌کند. چون این سیستم ابری است، به‌روزرسانی‌های حفاظتی به‌صورت لحظه‌ای انجام می‌شود، نه فقط در زمان آپدیت‌های برنامه‌ریزی‌شده.

۱. Controlled Folder Access

این ویژگی امنیتی پاسخ ویندوز به تهدیدات باج‌افزاری است. Controlled Folder Access یک سپر حفاظتی اطراف پوشه‌های حیاتی شما مانند Documents، Pictures، Desktop و سایر مسیرها ایجاد می‌کند و مانع از تغییر فایل‌ها توسط برنامه‌های غیرمجاز می‌شود.

این قابلیت بر اساس لیست سفید کار می‌کند: فقط برنامه‌های مورد اعتماد می‌توانند فایل‌های این پوشه‌ها را تغییر دهند، هر برنامه‌ی دیگری مسدود می‌شود. وقتی یک باج‌افزار تلاش می‌کند فایل‌های شما را رمزگذاری کند، با یک مانع مواجه می‌شود. باج‌افزارها معمولاً ابتدا پوشه‌های کاربری را هدف قرار می‌دهند، چون فایل‌های مهم شما در آنجاست اما Controlled Folder Access این رفتار را کاملاً متوقف می‌کند. برای فعال‌سازی آن:

۱. وارد Settings شوید و به Privacy & Security > Windows Security بروید.

۲. به بخش Virus & Threat Protection بروید.

۳. پایین بروید و روی Manage ransomware protection کلیک کنید.

۴. گزینه Controlled folder access را فعال کنید.

۵. روی Protected folders کلیک کنید تا لیست مسیرهای تحت محافظت را ببینید.

۶. با کلیک روی Allow an app through Controlled folder access، برنامه‌های مورد اعتماد خود را به لیست مجاز اضافه کنید.

باید به‌صورت دستی، اجازه دسترسی برنامه‌های معتبر را صادر کنید؛ در ابتدا ممکن است کمی آزاردهنده باشد، اما فعال‌سازی محافظت در برابر باج‌افزار در ویندوز ضروری است؛ چون یکی از مؤثرترین ابزارها در مقابله با بدافزارهای رمزگذار فایل است.

این ویژگی به‌صورت لحظه‌ای فعالیت سیستم فایل را رصد می‌کند، بنابراین وابسته به امضای بدافزار نیست. برخی برنامه‌های کاربردی ممکن است در ابتدا اخطار اشتباه ایجاد کنند، اما به‌راحتی می‌توانید آن‌ها را به لیست مجاز اضافه کنید.

این ویژگی‌های امنیتی مدت‌هاست در ویندوز وجود دارند. تنها با ده دقیقه زمان گذاشتن و فعال‌سازی آن‌ها می‌توانید خودتان را از تهدیدات سنگین مثل حملات باج‌افزاری یا آلودگی‌های بدافزاری نجات دهید.