ทำให้คอมฯที่บ้าน(พ่อ-)แม่ปลอดภัย — How I harden my mom computer
นอกจากผมทำงานเกี่ยวกับ security ทำให้ลูกค้าปลอดภัยแล้วกลับมาบ้านอยู่กับคุณแม่ก็เอาเรื่อง security มาใช้ประโยชน์เช่นกันวันนี้ก็จะมาแชร์ว่าทำอะไรยังไง หลาย ๆ อันคนส่วนมากก็คงรู้อยู่แล้ว ไม่ได้มีอะไรใหม่-พิเศษ แต่เผื่อมีประโยชน์ต่อสาธาณะใครอยากเอา ข้อไหนที่ยังไม่ได้ทำไปปรับใช้งานบ้าง
- ใช้ Windows 10 เปิด auto-update เพราะว่า Windows 10 มี exploit mitigation สูงสุด (เทียบกับ XP, 7, 8.1) ต่อให้มีช่องโหว่ก็โดนแฮกยากกว่ามาก อ่านเพิ่มเติม
2. ใช้ซอฟต์แวร์แท้ทั้งหมดเท่าที่ทำได้ เพราะ crack มักจะคือ Trojan เกือบทั้งหมด
3. ให้ใช้ Chrome แทน IE / Edge อย่าลืมเอาไอคอนไปซ่อนไกล ๆ ด้วย
4. ลงส่วนเสริม Chrome ชื่อ uBlock Origin ไว้บล็อคโฆษณากับ HTTPS Everywhere ไว้ enforce ให้เว็บที่รองรับ HTTPS ถูกเข้าเป็น HTTPS และรีวิวว่าไม่มีส่วนเสริมที่เป็นมัลแวร์ติดตั้งอยู่ในเครื่อง
5. ลงซอฟต์แวร์ anti-virus ดี ๆ ซักตัว ซื้อเอา ก่อนหน้านี้เคยใช้ของ Symantec ซื้อออนไลน์ตอนนี้ลองมาใช้ Kaspersky เพราะมีขายในห้างไม่ได้เชียร์ค่ายไหน ใครชอบชื่อไหนก็ใช้อันนั้น ระลึกไว้เสมอว่า anti-virus ทุกตัว bypass ได้ (ใครว่าไม่ได้หรือตัวไหนดีสุดมาวางเงินให้ผมลองเอามัลแวร์-โทรจัน มาลงได้)
6. ปิด WPAD, LLMNR และ Netbios-NS ป้องกันการโจมตีด้วย MITM บางท่า และทำ static ARP entry ระหว่างเครื่องกับ gw ป้องกัน ARP poisoning
7. Enforce NTLMv2 only เพื่อป้องกัน downgrade attack โดยมัลแวร์ขโมย hash ของ Windows user
8. ตั้งรหัสผ่านคอมที่จำง่ายแต่เดา หรือ bruteforce ยากเช่น drinksomemoremilk ไม่ต้องเปลี่ยนรหัสผ่านบ่อย แค่ตั้งที่ไม่ซ้ำกับที่อื่นก็เพียงพอแล้ว
9. ปิด Remote Desktop และ service อื่น ๆ ที่ไม่จำเป็นบนเครื่อง โดย default ไม่มีอยู่แล้ว แค่เช็คให้แน่ใจ รวมถึงเปิด Windows Firewall = On (ปกติเปิดไว้อยู่แล้ว)
10. สร้าง user 2 อัน อันนึงเป็นสิทธิ์ local admin อีกอันเป็น user ธรรมดา ให้คุณแม่ใช้อันที่เป็นสิทธิ์ user เกิดในกรณีโดน malware จะไม่สามารถทำอันตราย file system หรือแก้ไขค่าหลาย ๆ อย่างได้ ข้อนี้สำคัญจริง ควรทำ
11. เปิด User Account Control (UAC) อันนี้สำคัญมาก โดย default มันเปิดอยู่แล้ว อย่าไปปิดมัน ที่มันเป็น pop-up ขึ้นมาถามเวลาลงโปรแกรมหรือแก้อะไร อันนี้ในทางเทคนิคมันเป็นการ ใส่ token สิทธิ์เพิ่มชั่วคราวให้ user เป็น admin
12. ลบโปรแกรมที่ไม่จำเป็นออกจากเครื่องเป็นการลด attack surface เช่น Java (JRE) ถ้าไม่จำเป็นต้องใช้จริง ๆ ลบออกให้ได้มากที่สุด
13. เน้นโปรแกรมสายที่ open source และฟรี เช่น 7-Zip, VLC, KeepassX และคอยเข้ามาอัปเดตให้เรื่อย ๆ ตลอด เดือนละครั้ง ใส่ปฏิทิน monthly ตั้งเป็น auto เตือนไว้
14. สอนให้ แม่ใช้ KeepassX เก็บรหัสผ่านและตั้งรหัสผ่านหลาย ๆ ที่แบบสุ่มเดายากแต่ไม่ต้องจำ จำแต่ master key แทน
15. เปิด 2FA ให้อีเมลและบัญชี social media ต่าง ๆ อธิบายให้เข้าใจว่าอีเมลสำคัญมาก ถ้ามีปัญหา จะทำให้บัญชีเว็บอื่น ๆ โดนแฮกได้หมด ผลกระทบสูงต้องระวัง
16. มีอีกหลายอย่างต้องทำแต่ใช้โปรแกรมชื่อ hardentools ช่วยได้โหลดมาลงกดคลิ๊กเดียว เช่นการปิด auto-run, ปิด MS Office macro, ActiveX, DDE และอื่น ๆ
จบแล้วกับ 16 ข้อที่หวังว่า บทความนี้จะเป็นประโยชน์ทำให้เพื่อน ๆ พี่ ๆ น้อง ๆ เอาไปใช้หรือเอาไปทำให้คุณพ่อ คุณแม่ที่บ้านใช้งานกัน เพื่อความปลอดภัยในการใช้ชีวิตออนไลน์ครับ ใครเห็นว่าเป็นประโยชน์ กด บวก กดแชร์ ส่งต่อด้วยจ้า
ทิ้งท้ายมีอีกหลาย ท่าที่ควรทำใน Windows network ขององค์กรแต่ผมมองว่าค่าความเสี่ยงไม่คุ้มกับ performance/productivity ที่เสียไปถ้าจะเอามาทำกับคอมฯใช้งานที่บ้าน เช่นการทำ full disk encryption, การตั้งรหัส BIOS, การลง host-based firewall เพิ่มเติม, การตั้ง lock screen เร็ว ๆ, การ manage ด้วย AD, strong password policy, การใส่ข้อความเตือนในหน้า login ฯลฯ แต่ใครจะไปอีก level นึงทำด้วยก็ได้
