Windows 11 из коробки защищена неплохо — Microsoft за последние годы реально подтянула безопасность. Но когда в наш сервис приносят ноутбук после заражения вирусом или утечки данных, выясняется: три четверти случаев — следствие стандартных настроек, которые никто не трогал после покупки.
Вот пять вещей, которые я меняю сразу после установки Windows 11 — на своих устройствах и на клиентских.
**Телеметрия — первое, что нужно выключить**
Windows по умолчанию собирает кучу данных: что открываешь, где кликаешь, какие ошибки вылетают. Формально — для улучшения системы. По факту — для Microsoft. Иди в Параметры → Конфиденциальность и безопасность → Диагностика и отзывы, переключи всё в «Выкл». Там же удали уже накопленные данные.
Отдельно выключи рекламный идентификатор — ищи в поиске «реклама» и отключи слежку за активностью. Если хочешь закрыть вопрос фундаментально — скачай Win11Debloat или O&O ShutUp10++. Они одним махом вычищают телеметрию и рекламный мусор, который Microsoft встраивает в систему всё плотнее с каждым обновлением.
**Безопасность устройства — проверь, всё ли включено**
В разделе Безопасность Windows → Безопасность устройства есть настройки, которые по логике должны работать из коробки. Но нет. У нас в сервисе регулярно встречаем машины, где ключевые защитные механизмы выключены — особенно на ноутбуках после переустановки системы сторонними мастерами.
Зайди туда и убедись, что включены изоляция ядра, защита памяти и безопасная загрузка. Это серьёзный барьер против атак, которые пытаются внедриться ещё до загрузки ОС.
**Защита от шифровальщиков — Controlled Folder Access**
Скрыта в разделе «Защита от программ-вымогателей» внутри Безопасности Windows. Включи «Контролируемый доступ к папкам» — функция блокирует любое приложение, которое пытается без разрешения изменить файлы в защищённых папках. Именно так шифровальщики и уничтожают данные. 🔒
Честно предупреждаю: иногда легитимные программы тоже попадают под раздачу. Некоторые версии Adobe или архиваторов могут попросить разрешения — просто добавляешь их в исключения один раз и забываешь. Стоит того.
**Windows Hello — это не просто PIN**
Многие думают, что Hello это вход по четырёхзначному коду. Большое заблуждение. За ним стоит TPM-чип на материнской плате — физический модуль, который хранит криптографический ключ. PIN это лишь одна часть пары ключей, вторая хранится в железе.
Поэтому Windows Hello с отпечатком пальца или распознаванием лица надёжнее обычного пароля. Когда в последний раз ты терял лицо? Настраивается в Параметры → Учётные записи → Варианты входа.
**Безопасный DNS — самое недооценённое изменение**
Поменяй DNS на Quad9: адрес 9.9.9.9. Бесплатный сервер из Швейцарии, не логирует запросы и автоматически блокирует фишинговые и вредоносные домены. 🛡️
Настраивается за минуту: Параметры → Сеть и интернет → Дополнительные сетевые параметры → твой адаптер → DNS-сервер IPv4 → вводишь 9.9.9.9. Ещё лучше — прописать на роутере, тогда вся домашняя сеть получит защиту.
Примерно раз в месяц к нам приносят ноутбуки, где пользователь попал на фишинговый сайт банка просто потому, что DNS его не заблокировал. Это не паранойя — это базовая гигиена, которая занимает три минуты.
Если после всех настроек что-то пошло не так, или ноутбук уже подхватил вирус — приходи на бесплатную диагностику в iClub.pro, Новосибирск, ул. Коммунистической 35. Разберёмся.
