۵ تنظیم امنیتی حیاتی که در هر نصب جدید ویندوز ۱۱ تغییر می‌دهم

تصور کنید کلیدهای یک عمارت باشکوه و مدرن را به شما داده‌اند که از پیشرفته‌ترین سیستم‌های حفاظتی بهره می‌برد، اما برخی از پنجره‌ها نیمه‌باز مانده یا حصارهای پشتی هنوز برق‌دار نشده‌اند. ویندوز ۱۱ دقیقاً همین وضعیت را دارد؛ یک سیستم‌عامل ذاتا امن که با اعتماد‌به‌نفس بالایی عرضه شده، اما برای رسیدن به حداکثر پتانسیل حفاظتی، نیاز به کارهایی از سوی کاربر دارد. بسیاری از ما پس از اتمام نصب، بلافاصله به سراغ نصب نرم‌افزارهای مورد نیاز می‌رویم و فراموش می‌کنیم که لایه‌های پنهان امنیتی در بخش تنظیمات، منتظر یک کلیک ساده برای فعال‌سازی هستند.

حقیقت این است که مایکروسافت برای تعادل میان راحتی کاربر و امنیت، برخی گزینه‌ها را در حالت پیش‌فرض رها کرده است. در این مقاله، از زاویه دید یک متخصص امنیت به سراغ زیر و بم تنظیمات امنیتی ویندوز 11 می‌رویم تا حفره‌های احتمالی را پیش از آنکه تهدیدی متوجه داده‌های شما شود، مسدود کنیم. هدف ما فراتر از یک تغییر ساده است؛ ما می‌خواهیم سیستم شما را در برابر باج‌افزارها و ابزارهای جاسوسی بهینه‌سازی کنیم.

۰۱

مدیریت حریم خصوصی و قطع دسترسی‌های تلمتری

ویندوز ۱۱ در عین امنیت بالا، تمایل زیادی به زیر نظر گرفتن رفتارهای شما دارد. سیستم تلمتری مایکروسافت به صورت پیش‌فرض فعال است و داده‌های مختلفی را از نحوه تعامل شما با سیستم‌عامل جمع‌آوری کرده و به سرورهای مقصد می‌فرستد. اگرچه مایکروسافت ادعا می‌کند این کار برای بهبود تجربه کاربری است، اما از دیدگاه امنیتی، هرگونه خروج داده بدون کنترل دقیق، یک نقص محسوب می‌شود. برای شروع، به بخش تنظیمات و سپس Privacy & Security بروید و در منوی Diagnostics & feedback، تمام گزینه‌های ارسال داده را به حالت خاموش تغییر دهید. همچنین پاکسازی داده‌های تشخیصی قبلی گام هوشمندانه‌ای است. فراتر از آن، در نوار جستجوی تنظیمات کلمه Advertising را تایپ کنید و شناسه تبلیغاتی (Advertising ID) را غیرفعال کنید تا ردگیری حرکات شما در اپلیکیشن‌ها متوقف شود. برای کاربرانی که به دنبال پاکسازی عمیق‌تر هستند، ابزارهایی مانند Win11Debloat یا O&O ShutUp10++ پیشنهاد می‌شود که می‌توانند کدهای جاسوسی و نفخ‌افزارهای سیستمی را که به سختی حذف می‌شوند، ریشه‌کن کنند.

۰۲

فعال‌سازی لایه‌های حفاظتی هسته سیستم (Device Security)

برخی از حیاتی‌ترین ویژگی‌های امنیتی ویندوز ۱۱ در بخش Device Security نهفته‌اند که ممکن است بر اساس نوع سخت‌افزار شما، به طور خودکار فعال نشده باشند. یکی از این موارد، Secured-core PC است که ترکیبی از محافظت‌های فریم‌ور و حافظه را برای مقابله با حملات پیشرفته فراهم می‌کند.

مورد بعدی Core isolation و قابلیت Memory integrity است؛ این ویژگی هسته سیستم‌عامل یا همان کرنل را در یک محیط مجازی‌سازی شده اجرا می‌کند تا کدهای مخرب نتوانند به بخش‌های حساس حافظه نفوذ کنند. اگرچه TPM 2.0 برای نصب ویندوز ۱۱ الزامی است، اما حتماً وضعیت فعال بودن آن را در این بخش چک کنید.

نکته مهم دیگر Secure Boot است؛ این قابلیت تضمین می‌کند که در هنگام بالا آمدن سیستم، فقط کدهای تایید شده و قابل اعتماد اجرا شوند و از بارگذاری بوت‌کیت‌ها و روت‌کیت‌ها جلوگیری می‌کند. فعال کردن تمامی این گزینه‌ها، امنیت دستگاه شما را در برابر تهدیدات سطح پایین سخت‌افزاری چندین برابر می‌کند.

۰۳

مقابله با باج‌افزارها از طریق Controlled Folder Access

باج‌افزارها یکی از خطرناک‌ترین تهدیدات دنیای دیجیتال هستند که فایل‌های شخصی شما را گروگان می‌گیرند. مایکروسافت ابزاری به نام Controlled Folder Access را در دل بخش Ransomware protection تعبیه کرده که به طور پیش‌فرض خاموش است. با فعال کردن این گزینه، سیستم‌عامل اجازه تغییر در پوشه‌های حساس مانند اسناد، تصاویر و دسکتاپ را فقط به نرم‌افزارهای تایید شده می‌دهد. این یعنی اگر یک بدافزار ناشناخته بخواهد فایل‌های شما را رمزگذاری کند، ویندوز بلافاصله جلوی دسترسی آن را می‌گیرد. البته باید در نظر داشته باشید که این ویژگی کمی وسواسی است؛ گاهی اوقات نرم‌افزارهای سالمی که امضای دیجیتال شناخته شده‌ای ندارند هم مسدود می‌شوند. در چنین شرایطی باید به صورت دستی اجازه دسترسی به آن نرم‌افزار خاص را صادر کنید، اما این زحمت کوچک در برابر امنیت فوق‌العاده‌ای که برای داده‌های حیاتی شما فراهم می‌کند، کاملاً ارزشمند است.

۰۴

پیکربندی صحیح Windows Hello و حذف رمزهای عبور سنتی

بسیاری تصور می‌کنند استفاده از PIN در Windows Hello ضعیف‌تر از رمز عبور معمولی است، در حالی که واقعیت کاملاً برعکس است. Windows Hello از چیپ TPM مادربرد استفاده می‌کند تا کلیدهای رمزنگاری را در سطح سخت‌افزار ذخیره کند. این یعنی پین کد شما فقط روی همان دستگاه کار می‌کند و حتی در صورت لو رفتن، در دستگاه دیگری قابل استفاده نیست. استفاده از تشخیص چهره یا اثر انگشت به عنوان بخش دوم این سیستم امنیتی، امنیت شما را به سطح نظامی می‌رساند. با حذف پسوردهای متنی و جایگزینی آن‌ها با کلیدهای عبور (Passkeys) و احراز هویت بیومتریک، عملاً راه نفوذ از طریق حملات فیشینگ یا حدس زدن رمز عبور را می‌بندید. تنظیم صحیح این بخش در اولین دقایق نصب ویندوز، سنگ‌بنای یک تجربه کاربری امن و در عین حال سریع خواهد بود.

۰۵

بهره‌گیری از DNS امن برای وب‌گردی محافظت‌شده

اگرچه این مورد مستقیماً در منوی تنظیمات امنیتی ویندوز نیست، اما تاثیر آن بر سلامت سیستم غیرقابل انکار است. استفاده از یک سرویس دهنده DNS امن مانند Quad9 (با آی‌پی 9.9.9.9) لایه جدیدی از فیلترینگ را در سطح شبکه اضافه می‌کند. این سرویس‌ها درخواست‌های شما را رمزنگاری کرده و دسترسی به دامنه‌های شناخته شده برای انتشار بدافزار و فیشینگ را به طور خودکار مسدود می‌کنند. ویندوز ۱۱ اکنون از DNS-over-HTTPS (DoH) پشتیبانی می‌کند، بنابراین می‌توانید این تنظیمات را مستقیماً در بخش شبکه وارد کنید تا حتی ارائه‌دهنده سرویس اینترنت شما (ISP) هم نتواند به راحتی فعالیت‌های آنلاین شما را رصد کند. این کار نه تنها حریم خصوصی شما را ارتقا می‌دهد، بلکه سرعت بارگذاری صفحات را نیز به دلیل حذف گره‌های واسطه غیرضروری بهبود می‌بخشد.

۰۶

تحلیل تخصصی: چرا ویندوز دیفندر به تنهایی کافی است؟

در سال‌های اخیر، فلسفه امنیت در مایکروسافت دچار تحولی بنیادین شده است. پژوهش‌های امنیتی نشان می‌دهند که آنتی‌ویروس‌های شخص ثالث به دلیل دسترسی‌های بسیار بالا به سطح کرنل، خود می‌توانند به دریچه‌ای برای حملات تبدیل شوند. مایکروسافت با ادغام مستقیم ابزارهای امنیتی در هسته سیستم‌عامل، تضاد میان کارایی و امنیت را حل کرده است. ویندوز دیفندر اکنون از یادگیری ماشین و تحلیل ابری برای شناسایی تهدیدات روز صفر (Zero-day) استفاده می‌کند که بسیاری از محصولات پولی هنوز در اجرای آن ناتوان هستند. بنابراین، به جای صرف هزینه برای نرم‌افزارهای سنگین جانبی که سرعت سیستم را کاهش می‌دهند، تمرکز بر بهینه‌سازی تنظیمات داخلی ویندوز ۱۱ و رعایت بهداشت دیجیتال، استراتژی بسیار هوشمندانه‌تری در دنیای مدرن محسوب می‌شود.

۰۷

سناریوی خطر: وقتی سیستم‌عامل رها می‌شود

فرض کنید یک لپ‌تاپ جدید خریداری کرده‌اید و بدون تغییر در تنظیمات امنیتی، شروع به استفاده از آن در یک کافی‌شاپ با وای‌فای عمومی می‌کنید. در صورتی که قابلیت‌هایی مثل ایزولاسیون هسته یا DNS امن فعال نباشد، یک مهاجم در همان شبکه می‌تواند با استفاده از تکنیک‌های شنود (Sniffing) یا مسموم‌سازی DNS، ترافیک شما را منحرف کند. همچنین در صورت عدم فعال‌سازی کنترل پوشه‌ها، دانلود تصادفی یک فایل پیوست آلوده می‌تواند در عرض چند ثانیه تمام آرشیو خانوادگی شما را رمزنگاری کند. تنظیمات امنیتی ویندوز ۱۱ که در اینجا بررسی کردیم، دقیقاً برای جلوگیری از چنین سناریوهای وحشتناکی طراحی شده‌اند. امنیت یک مقصد نیست، بلکه فرآیندی مداوم از تنظیمات درست و آگاهی کاربر است که از همان ثانیه اول پس از نصب آغاز می‌شود.

سوالات متداول هوشمند (Smart FAQ)

۱. آیا فعال کردن Core Isolation باعث کاهش سرعت سیستم در بازی‌ها می‌شود؟
در پردازنده‌های مدرن نسل جدید، تاثیر این قابلیت بر عملکرد بازی‌ها بسیار ناچیز و غیرقابل لمس است. لایه مجازی‌سازی شده از تکنولوژی سخت‌افزاری پردازنده استفاده می‌کند تا بار پردازشی اضافه‌ای به سیستم تحمیل نشود. با این حال، در سیستم‌های بسیار قدیمی ممکن است افت فریم جزئی مشاهده شود که در مقابل امنیت هسته سیستم قابل چشم‌پوشی است.
۲. تفاوت بین پین کد Windows Hello و پسورد معمولی در چیست؟
پسورد معمولی در سرورهای مایکروسافت ذخیره می‌شود و در صورت هک شدن دیتابیس یا فیشینگ، در هر جایی قابل استفاده است. اما پین کد به صورت محلی در تراشه TPM دستگاه شما ذخیره شده و هیچ‌گاه از دستگاه خارج نمی‌شود. این یعنی حتی اگر کسی پین شما را بداند، بدون دسترسی فیزیکی به دستگاه شما نمی‌تواند وارد حساب کاربریتان شود.
۳. اگر Controlled Folder Access را فعال کنیم، آیا نرم‌افزارهای کرک شده از کار می‌افتند؟
بسیاری از پچ‌ها و کرک‌ها به دلیل تغییر در فایل‌های سیستمی توسط این لایه امنیتی مسدود خواهند شد. این ابزار دقیقاً برای جلوگیری از تغییرات غیرمجاز توسط فایل‌های اجرایی ناشناس طراحی شده است. برای استفاده از آن‌ها باید به صورت دستی فایل مورد نظر را در لیست سفید قرار دهید که البته ریسک امنیتی بالایی دارد.
۴. چرا Quad9 به عنوان بهترین گزینه DNS امن پیشنهاد می‌شود؟
این سرویس تحت قوانین سخت‌گیرانه حریم خصوصی سوئیس فعالیت می‌کند و برخلاف گوگل، داده‌های شما را ذخیره نمی‌کند. کواد ۹ از تجمیع گزارش‌های امنیتی بیش از ۲۰ شرکت بزرگ برای شناسایی سایت‌های مخرب بهره می‌برد. استفاده از آن یک سد دفاعی رایگان و قدرتمند در برابر حملات فیشینگ ایجاد می‌کند.
۵. تلمتری ویندوز دقیقاً چه اطلاعاتی را از سیستم من خارج می‌کند؟
اطلاعات ارسالی شامل مشخصات سخت‌افزاری، گزارش خطاهای اپلیکیشن‌ها و نحوه استفاده از ویژگی‌های ویندوز است. در حالت پیشرفته، حتی ممکن است بخش‌هایی از متون تایپ شده برای بهبود تصحیح خودکار ارسال شود. غیرفعال کردن آن باعث می‌شود حریم خصوصی شما حفظ شده و پهنای باند اینترنت نیز بیهوده مصرف نشود.
۶. آیا استفاده از ابزارهای Debloat و حذف تلمتری باعث خرابی ویندوز آپدیت می‌شود؟
اگر از اسکریپت‌های غیرمعتبر و تهاجمی استفاده کنید، احتمال اختلال در سرویس آپدیت ویندوز وجود دارد. ابزارهای استانداردی مانند O&O ShutUp10++ گزینه‌های ایمن را با رنگ سبز مشخص کرده‌اند تا پایداری سیستم حفظ شود. همیشه پیشنهاد می‌شود قبل از اجرای این اسکریپت‌ها، یک نقطه بازگشت (Restore Point) ایجاد کنید.
۷. چگونه متوجه شوم که لپ‌تاپ من از Secured-core PC پشتیبانی می‌کند؟
در بخش Device Security ویندوز، اگر پیامی مبنی بر حمایت از این استاندارد مشاهده کردید، سخت‌افزار شما سازگار است. این ویژگی معمولاً در لپ‌تاپ‌های بیزنس و رده‌بالا که دارای پردازنده‌های مجهز به vPro یا Ryzen Pro هستند دیده می‌شود. فعال بودن آن به معنای داشتن بالاترین سطح امنیت سخت‌افزاری ممکن در اکوسیستم ویندوز است.
۸. آیا تغییر DNS در تنظیمات ویندوز برای تمام مرورگرها اعمال می‌شود؟
بله، اگر تنظیمات را در سطح Network Settings ویندوز انجام دهید، کل سیستم از آن پیروی خواهد کرد. با این حال، برخی مرورگرها مانند کروم تنظیمات داخلی DoH دارند که ممکن است بر تنظیمات ویندوز اولویت داشته باشد. بهتر است هر دو بخش را چک کنید تا از رمزنگاری ترافیک DNS خود کاملاً مطمئن شوید.
۹. چرا با وجود ویندوز دیفندر، هنوز حملات بدافزاری موفقیت‌آمیز هستند؟
بیشتر نفوذها نه به دلیل ضعف آنتی‌ویروس، بلکه به دلیل خطای انسانی و غیرفعال کردن لایه‌های حفاظتی توسط کاربر رخ می‌دهد. کلیک بر روی لینک‌های مشکوک یا اجرای فایل‌های ناشناس با دسترسی ادمین، هر سد دفاعی را دور می‌زند. امنیت ویندوز ۱۱ زمانی کامل می‌شود که با آگاهی و هوشیاری کاربر در هنگام کار با اینترنت همراه باشد.

جمع‌بندی نهایی

ویندوز ۱۱ بدون شک امن‌ترین نسخه از سیستم‌عامل‌های مایکروسافت تا به امروز است، اما این امنیت بالا نباید باعث ساده‌انگاری کاربران شود. با انجام تنظیمات پنج‌گانه‌ای که بررسی کردیم، از مدیریت تلمتری و حریم خصوصی گرفته تا فعال‌سازی محافظت‌های سخت‌افزاری هسته و DNS امن، شما لایه‌هایی از دفاع عمقی را ایجاد می‌کنید که نفوذ بدافزارها را تقریباً غیرممکن می‌سازد. به یاد داشته باشید که امنیت یک تنظیمات یک‌باره نیست، بلکه ترکیبی از ابزارهای هوشمند داخلی و رفتارهای آگاهانه شماست. با تکیه بر ویندوز دیفندر بهینه‌سازی شده، دیگر نیازی به سنگین کردن سیستم با آنتی‌ویروس‌های جانبی ندارید. سیستم شما اکنون آماده است تا با حداکثر توان و در کمال امنیت، به نیازهای دیجیتال شما پاسخ دهد.

دکتر علیرضا مجیدی
دکتر علیرضا مجیدی
پزشک، نویسنده و بنیان‌گذار وبلاگ «یک پزشک»
دکتر علیرضا مجیدی، نویسنده و بنیان‌گذار وبلاگ «یک پزشک».
با بیش از ۲۰ سال نویسندگی «ترکیبی» مستمر در زمینهٔ پزشکی، فناوری، سینما، کتاب و فرهنگ.
باشد که با هم متفاوت بیاندیشیم!

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
[wpcode id="260079"]