Windows XP suojaaminen ja tietoturva - ohjeita ja neuvoja suomeksi!

TÄLLÄ SIVULLA

Ensimmäiseksi
Alkuvalmistelut
Tietoturvakeskus
Päivittäminen
Käyttäjien oikeudet
Muut asetukset
Safe XP
Xp-antispy
IE & OE suojaus
Muut ohjelmat

LIBERTARISMI

Lue poliittisista
näkemyksistäni
omilta sivuiltaan...

PGP AVAIMENI

Lataa ja käytä
näitä avaimia
yksityisyytemme
turvaamiseksi.

BLOGI

Lue tietoturvaan ja politiikkaan keskittyvää blogiani

Windows XP suojaaminen

Kuinka suojata Windows XP? Miten turvata Windows XP siten, että se ei kovin helposti päädy hakkereiden käsiin? Nämä kysymykset lienevät jokaisen edes hitusen tietoturvasta kiinnostuneen XP:n omistajan mielessä. Pyrin antamaan nyt joitain tietoturvaohjeita, joilla peruskäyttäjäkin voi merkittävästi parantaa Windows XP turvallisuutta, vaikka hänellä ei olisi mitään tietoa Windowsista tai tietoturvasta ennestään. WindowsXP on mahdollista saattaa hyvinkin turvalliseksi käyttöjärjestelmäksi, vaikka se oletuksena onkin kaikkea muuta kuin turvallinen. Windows XP Service Pack 2 on merkittävästi parantunut Windowsin tietoturvaa, mutta sekään ei yksinomaan anna mielestäni edes tyydyttävää suojaa. Käyttäjän pitää valitettavasti itse säätää Windows XP kuntoon, mikäli haluaa tietoturvan kuntoon... Onneksi Windows XP:n turvaaminen ei kuitenkaan ole kovin vaikeaa!

Huomautan tässä yhteydessä, että miltei kaikki, mikä pätee Windows XP:n suojaamiseen, pätee myöskin Windows Vistan ja Windows 7 suojaamiseen!

Huomioi ihan alkuun...
Mikäli asennat WindowsXP SP2 koneellesi puhtaasti uutena asennuksena, toimi tämän ohjeen mukaan, kulkien alusta loppuun päin. Kaikki tässä kuvatut toimenpiteet tulee tehdä "Järjestelmänvalvoja" tiliin kirjautuneena tai sen valtuuksin, mikäli muuta ohjetta ei anneta. Windows XP Home Editionissa "Järjestelmänvalvoja" tilille pääsee kirjautumaan vain vikasietotilassa, eli joudut käyttämään jotakin muuta tiliä, jolla on järjestelmänvalvojan oikeudet. Mikäli et pääse kirjautumaan ko. tilille (sitä ei ole valittavissa kirjautumisruudussa), paina Ctrl+Alt+Del pari kertaa napakasti jolloin voit valita kirjautumisen sillekin tilille tai jollekin muulle tilille jolla on järjestelmänvalvojan oikeudet. Mikäli päivität tietokoneeseesi SP2 tai olet aikaisemmin asentanut WindowsXP:n jo koneellesi, mene listaa alaspäin ja hae ensimmäinen kohta jonka voit tehdä ja jatka siitä eteenpäin, hyppien ylitse niiden kohtien joita et pysty tekemään. :) Kiinnitä tällöin erityistä huomiota siihen, että kytkeydyt fyysisesti irti netistä ja laitat Windowsin ICF palomuurin päälle ennen kuin alat touhuamaan mitään muuta koneellasi ja ennen kuin kytkeydyt takaisin nettiin. WindowsXP (ilman SP2:ta) palomuuri laitetaan päällä "Verkkoyhteydet" kohdasta verkkojen ominaisuuksista!

Tämä tietoturvaohje on tarkoitettu ensisijaisesti kotikäyttäjälle. Mikäli tarkoituksesi on asentaa tai säätää Windows XP esimerkiksi yritysverkkoon tms. muuhun "ei-kotikäyttäjä-ympäristöön", suosittelen tutustumaan tämän sivun sijasta NSA:n ohjeisiin. Ohjeet ovat hyvät, mutta edellyttävät tietysti englanninkielen hallintaa ja melko hyvää käyttöjärjestelmätuntemusta. Jos taas olet kiinnostunut palveluiden (services) säätämisestä, Blackviperin sivuilta löytyy erinomaista tietoa asiaan liittyen, mutta valitettavasti englanniksi. Yleistä infoa tietoturvasta löytyy suomeksi esimerkisi tietoturvaopas.fi -sivustosta sekä Microsoftin omilta sivuilta.

Pieni varoituksen sana lienee paikallaan. Jokin voi mennä pieleen, mutta mikäli et ole itse viritellyt tietokonettasi tätä ennen esimerkiksi herra ties millä "turvaohjelmilla" tai käytä jotain omituista nettiliittymää, ongelmia tuskin tulee. Itse olen käyttänyt näitä ohjeita lukuisia kertoja korjatessani tuttavieni jne. koneita, ilman pienintäkään ongelmaa. Palaute on toki tervetullutta esim. foorumiini tai sähköpostiini!

PS. Mikäli haluat helposti tulostettavan ja/tai tallennettavan version tästä sivusta, jota voit lukea asennuksen aikanakin, ilman nettiyhteyttä, paina tästä.

PPS. Ja muistathan, että kun olet jonkun asetukset laittanut kohdalleen, poistu AINA painamalla "OK" tai "Kyllä", koska muuten tekemäsi asetukset eivät tule voimaan!

1) Alkuvalmistelut
Ennen kuin teet mitään muuta...siis yhtään mitään muuta. Ennen kuin edes mietit mitä pitäisi tehdä, ennen kuin edes käynnistät tietokonettasi tai alat kaivamaan cd-levyjä kaapeistasi...Aloita tästä. Muuten olet ongelmissa ennen kuin olet päässyt kunnolla edes vauhtiin.

A ) Irroita tietokone fyysisesti netistä heti. Irroita siis nettikaapeli/piuha/modeemin johto tms. Suojaamaton Windows XP saastuu yleensä alle minuutissa vaikka et tekisi sillä yhtään mitään, riittää kun kone on kiinni verkossa.

B) Huolehdi varmuuskopioistasi. Varmista, että sinulla on varmuuskopiot kaikista olennaisista dokumenteistasi, kirjainmerkeistäsi ja tarvittavat ohjelmat saatavilla. Mikäli et ole vielä tehnyt varmuuskopioita kiintolevyllä olevista tiedostoistasi (esim. vanha Windows on asennettuna koneessa yhä), käynnistä kone, mene Windowsiin ja esim. polta kaikki varmuuskopioitava materiaali esimerkiksi cd- tai dvd-levylle.

C) Käynnistä asennus Windows XP asennus cd:ltä. Seuraa ohjeita kunnes pääset kohtaan, jossa on mahdollista osioida kiintolevyjä. Aloita mieluiten tekemällä kaksi eri levyosiota (toinen esim. 20Gt ja toinen loput), joista ensimmäiseen asennat Windowsin ja ohjelmat ja toiseen laitat omat dokumenttisi jne. Näin tehdessäsi turvaat dokumenttisi kiintolevyongelmien varalta ja toisaalta mahdollistat myöhemmin helpommat uudelleenasennukset. Alusta levyt NTFS tiedostojärjestelmään.

2) Älä laita omaa äläkä yrityksesi tai tietokoneesi oikeaa nimeä tietoihin.
Tietosuojan kannalta ei ole hyväksi antaa turhaan ylimääräisiä tietoja itsestään. Käyttöjärjestelmästä nämä tiedot ovat kaikkein helpoiten erilaisten sovellusten ja myös hakkerien saatavilla.

3) Älä laita järjestelmänvalvojalle / administratorille salasanaa vielä.
Tässä on kyse käytännöllisyydestä, koska joudut käynnistämään tietokoneen useaan kertaan uudelleen ja kirjautumaan sisään. Salasana tulee olla, erityisesti järjetelmänvalvojan tilissä, ja sen tulee olla hyvä (yli 14 merkkiä pitkä ja mahdollisimman vaikeasti arvattava), mutta älä laita sitä turhaan vielä.

4) Kun verkkoasetukset tulevat asetettavaksi, valitse "mukautetut asetukset".
Oletusasetuksia ei kannata käyttää tai jättää päälle, koska ne sisältävät turhia "ominaisuuksia" ja tietoturvariskejä, jotka voit jo tässä vaiheessa ottaa pois päältä häiritsemästä sinua ja aiheuttamasta potentiaalisia ongelmia jatkossa. Vaikka tietäisitkin tarkasti mitä olet tekemässä ;) suosittelen, että tässä vaiheessa(kin) noudatat näitä ohjeita ja myöhemmin sitten säädät verkkoasetuksia Windowsista käsin jos tarvetta ilmenee.

A) Poista "Tiedostojen ja tulostimien jakaminen Windows-verkossa" osat, mikäli sinulla ei ole ulkoisella palomuurilla/reitittimellä/NAT:lla suojattua omaa verkkoa jo asennettuna JA haluat jakaa tiedostoja ja tulostimia Windows-verkossa omien tietokoneidesi välillä. Jos olet vähänkin epävarma asiasta, poista ne varmuuden vuoksi! Tiedostojen ja tulostimien jakaminen Windows-verkossa avaa helposti koko tietokoneesi muulle internetille, sekä näissä ominaisuuksissa havaitut tietoturva-aukot ovat olleet merkittäviä uhkia. Älä ota turhaan riskiä, jota et tarvitse, jos voit sen vain välttää.

B) Valitse "Internet protokolla (TCP/IP) ja valitse "ominaisuudet" ja edelleen "lisäasetukset".

C) Mene "WINS" välilehdelle ja poista "Käytä LMHOSTS-hakua", sekä valitse "Poista käytöstä NetBIOS TCP/IP:n päällä". Mikäli päätit käyttää tulostimien ja tiedostojen jakoa Windows-verkossa kohdassa 4B, älä valitse "Poista käytöstä NetBIOS TCP/IP:n päällä". Mikäli olet vähänkin epävarma asiasta, valitse "Poista käytöstä NetBIOS TCP/IP:n päällä! Netbios on "kaiken pahan alku ja juuri" Windows järjestelmissä, mitä tulee tietoturva-aukkoihin.

5) Valitse "Suojaa tietokone ja ota automaattiset päivitykset käyttöön"
Automaattiset päivitykset on syytä ottaa käyttöön, koska ilman ajantasaisia tietoturvapäivityksiä Windowsisi on erittäin haavoittuvainen. Automaattisuus takaa, että sinun ei tarvitse vähän väliä miettiä asiaa ja käydä itse hakemassa päivityksiä myöhemmin, vaan käyttöjärjestelmä huolehtii päivittämisestä automaattisesti. Voit itse vain silloin tällöin käydä kurkkaamassa päivityssivuilla ja varmistaa, että päivitykset ovat todellakin asentuneet automaattisesti kuten on pitänytkin.

6) Valitse "Ohita" kun Windows kysyy "Onko tässä tietokoneessa suora internet-yhteys vai muodostetaanko yhteys verkon kautta".
On turha lähteä tähän Windowsin leikkiin nyt mukaan, koska verkkoasetuksia jne. pitää kuitenkin myöhemmin säätää, vastaat tähän kohtaan sitten mitä tahansa. Lisäksi Windows vaan alkaa ihmettelemään, kun ei pääsekään internettiin jos vastaat myöntävästi (koska verkkopiuhahan on irti seinästä ja sen pitääkin olla irti seinästä vielä).

7) Valitse "Ei nyt" kun Windows kysyy haluatko rekiteröityä Microsoftin onlinepalvelussa.
Parempi minimoida kaikkea tietoa, jota Microsoft saa sinusta ja käyttöjärjestelmästäsi, mikäli vain suinkin mahdollista. Ja edelleenkin, koska verkkopiuha ei ole seinässä niin Windows ei voi tietoja kuitenkaan lähettää ja hyvä niin...

8) Kirjoita ensimmäiseksi yksi tietokoneen ylläpitoon tarkoitettu käyttäjätili (esim. "ylläpito") ja sitten oma käyttäjänimesi ja halutessasi muiden käyttäjien (esim. lapsesi tai puolisosi käyttäjätunnukset) nimet.
Käyttäjätilejä kannattaa luoda jokaista potentiaalista käyttäjää varten. Kun jokaisella on oma tilinsä, he eivät voi sotkea toistensa asetuksia ja muuta vastaavaa. Ylläpitoon tarkoitettu ensimmäinen tili on tärkeä, koska sitä käytät jatkossa kaikkien uusien ohjelmien asentamiseen ja olennaisten asetusten muuttamiseen, koska sillä on "järjestelmänvalvojan" oikeudet. Itse surffaat tietysti myös jatkossa oman käyttäjänimesi tilillä, etkä käytä tätä ylläpitoon tarkoitettua tiliä todellakaan mihinkään muuhun kuin tietokoneen ylläpitotehtäviin...netissä surffailuun ja arkipäiväiseen käyttöön ylläpitotilillä on aivan liikaa "valtaa" jos esimerkiksi virus tai spyware pääsee saastuttamaan koneesi sitä käyttäessäsi! Salasanasuojaus on tärkeä osa eri tilien luomista ja käyttöä, mutta unohda edelleenkin se, vielä vähäksi aikaa. Palataan siihen tuonnempana.

9) Anna tietokoneen käynnistyä. :)

10) Mene "Käynnistä" – "Ohjauspaneeli" – "Tietoturvakeskus"
Huom! Tietoturvakeskus näkyy vain jos koneessasi on jo SP2 päivitys! Mikäli et löydä Tietoturvakeskusta, mene "Verkkoyhteydet" ja valitse kaikki verkkoyhteytesi ja laita niiden ominaisuuksista/lisäasetuksista Windowsin Internet Connection Firewall päälle ja hyppää sitten kohtaan 11!

A) Mene "Automaattiset päivitykset" ja tarkista, että ne on asetettu "Automaattinen, lataa ja asenna suositeltavat päivitykset tietkoneeseeni automaattisesti" ja "Joka päivä" ja esimerkiksi kello "19:00" tai muuna aikana kun yleensä tietokoneesi on päällä ja netissä. Automaattipäivitykset ovat huoleton tapa pitää yhdestä tietoturvan kannalta olennaisesta asiasta hyvää huolta.

B) Mene "Windows palomuuri".
- Mene "Yleiset" -välilehdelle ja tarkista, että se on asetettu "Käytössä (suositellaan)" ja "Älä salli poikkeuksia" on valittuna. Huom! Mikäli käytät esim. Bittorrent ohjelmia, sinun on syytä sallia ne Windowsin palomuurista, tällöin älä laita ruksia kohtaan "Älä salli poikkeuksia". Palomuuri estää sisäänpäin tulevan liikenteen tietokoneeseesi, eli käytännössä estää matojen leviämisen ja useiden muiden tietoturva-aukkojen hyväksikäytön tietokoneessasi. Lisäksi se "peittää" toiminnallaan mahdollisesti epäturvallisia asetuksiasi jne. Palomuuri on ehdottoman välttämätön kaikissa tietokoneissa!
- Mene "Poikkeukset" -välilehdelle ja laita kruksi kohtaan "Näytä ilmoitus, kun Windowsin palomuuri estää ohjelman", jolloin saat tietoa kun joku ohjelma koettaa pitää portteja auki tietokoneessasi. Ota varmuuden vuoksi kruksit pois kaikista "poikkeuksia" kohdista, mutta mikäli käytät esim. Bittorrent ohjelmaa, joka vaatisi portit auki, anna sille poikkeuslupa täältä.
- Mene sitten "Lisäasetukset" -välilehdelle ja varmista, että kaikkien verkkoyhteyksien kohdalla on kruksi, eli että palomuuri myös on ihan oikeasti toiminassa kaikissa verkkoyhteyksissäsi.

11) Vasta nyt voit kytkeä nettipiuhan takaisin seinään ja fyysisesti kytkeytyä internettiin.
Nyt koneesi on alustavasti suojattu, joten se ei saastu itsestään ja voit ryhtyä niihin toimenpiteisiin, jotka vaativat internetin käyttöä. Jos olet kytkenyt tietokoneesi fyysisesti nettiin ennen tätä vaihetta, on erittäin todennäköistä että se on jo saastunut jostain madosta netin kautta ja joudut luultavasti palaamaan takaisin alkuun ja asentamaan koko systeemin uudelleen.

A) Mikäli et pääse internettiin (älä surffaile turhia, tietokoneesi ei ole vielä suojattu kunnolla!), mene "Käynnistä" ja "Kaikki ohjelmat" ja "Apuohjelmat" ja "Tietoliikenneyhteydet" ja suorita "Ohjattu verkkoyhteyden muodostaminen".

B) Valitse valikoista yhteysmuotoosi sopivat valinnat. Yleensä laajakaistayhteyksissä valitaan "Muodosta Internet-yhteys" ja "Määritä yhteys manuaalisesti" ja "Muodosta laajakaistayhteys, joka on jatkuvasti päällä".

C) Mikäli nettiyhteytesi ei vieläkään toimi, varmista että ADSL-modeemisi toimii ja käy läpi netin asennusohjeet, jotka palveluntarjoajasi on sinulle antanut.

12) Käynnistä Internet Explorer -selain ja valitse "Työkalut" – "Windows Update".
Nyt on aika mennä hakemaan ne tuhat ja yksi päivitystä, joita Windowsiin on sen hetken jälkeen jo tullut kun cd-levy, jolta sen asensit, on markkinoille toimitettu. Ilman näitä päivityksiä sinulla ei ole mitään asiaa internettiin surffailemaan, koska koneesi saastuu hetkessä haittaohjelmista jotka hyödyntävät tietoturva-aukkoja, joihin siis vielä et ole saanut päivityksiä asennettua.

A) Mikäli saat turvallisuusvaroituksia, hyväksy ne. Ne koskevat Windows Updaten toiminnalle välttämättömiä komponentteja, joita Internet Explorer yrittää asentaa. Windowsupdate -sivulla valitse "Mukautettu asennus", jotta pääset itse kurkistamaan ja valitsemaan mitä kaikkea Windows pyrkii itseensä päivittämään.

B) Mikäli ohjelma löytää sinulle päivityksiä, ne ilmestyvät ruudulle vasempaan reunaan. Valitse kaikki päivitykset (mikäli eivät ole jo valmiiksi valittuina) "Tarkasta ensisijaiset päivitykset" ja "Valitse valinnaiset laitteistopäivitykset" -kohdista. Laitteistopäivitykset ovat sinällään hyödyllisiä, koska ne sisältävät esim. uusia ajureita tietokoneesi komponentteihin jne. Et yleensä pysty valitsemaan heti kaikkia, vaan Windows valittaa että jotkin päivitykset on asennetta erillään muista. Tee näin ja asenna sitten vain ko. päivitykset jne.

C) Klikkaa vasemmassa reunassa olevasta "Valitse valinnaiset päivitykset" kohdasta, jotta sen alla oleva hakemistopuu aukeaa ja näet sen alla "Windows XP family" osankin. Valitse kaikki.

D) Kun olet valinnut siis kaikki muut päivitykset kaikista näistä kohdista, valitse "Siirry päivitysten asennukseen" ja edelleen "asenna".

E) Joskus asennettava on useita eri päivityksiä, eikä niitä kaikkia voida asentaa samanaikaisesti. Tällöin asenne ne mitä voit, käynnistä tietokone uudelleen ja palaa tänne Windows Updateen yhä uudestaan ja uudestaan kunnes olet saanut kaikki päivitykset asennettua. Käyntikertoja voi olla monia, mutta ole sitkeä! :)

F) Palaa silloin tällöin tänne Windows Update sivustoon kirjautuneena tietokoneen ylläpitoon tarkoitettuna tilillä (ks. kohta 8) ja hae ja asenna päivityksiä joita katsot tarpeelliseksi (esimerkiksi ajuripäivityksiä jne.). Jos jaksat käydä muutaman kerran vuodessa, niin se on yleensä riittävää, koska automaattipäivitys huolehtii muusta. Paranoidi käy tietysti joka kuukausi katsomassa uudet päivitykset. :)

13) Säädä käyttäjien oikeudet turvallisiksi
Windows XP mahdollistaa sen, että useat eri ja erilaiset käyttäjät voivat käyttää tietokonetta toisistaan riippumatta ja toisiaan häiritsemättä. Jos yksi käyttäjistä haluaa tietynlaisen työpöydän ja kuvakkeet ja toinen toisenlaisen, se onnistuu helposti, koska jokaisella on oma tilinsä. Tietoturvan kannalta tämä on myös merkittävä parannus, koska se, tietyllä tapaa säädettynä (kuten seuraavaksi kerron) takaa, että jos yksi käyttäjä hölmöilee, hän ei pysty sekoittamaan tietokonetta muiden käyttäjien osalta, eikä pysty useinkaan sekoittamaan sitä niin pahasti, että tietokone olisi käyttökelvoton. Tämä johtuu siitä, että tietokoneen käyttäjillä ei ole tietokoneen tärkeisiin asetuksiin ja tiedostoihin sellaisia oikeuksia, että he pystyisivät aiheuttamaan merkittäviä vahinkoja. Sellaiset oikeudet on jätetty vain järjestelmänvalvojat -oikeudet omaaville tileille tietokoneen ylläpitotehtäviä (esim. uusien ohjelmien asennusta) varten.

A) Suorita (ilman lainausmerkkejä) "control userpasswords2" ja aseta kaikki muut käyttäjät paitsi "Järjestelmänvalvoja" ja "ylläpito" (ks. kohta 8) "käyttäjät-ryhmään". Tämä onnistuu valitsemalla ko. käyttäjät ja "ominaisuudet" ja "ryhmäjäsenyys" ja "rajoitetut käyttäjät". Kruksaa samalla kohta "Tietokoneen käyttäminen vaatii käyttäjänimen ja salasanan". Laittamalla kaikki muut paitsi "Järjestelmänvalvoja" ja "ylläpito" tilit "käyttäjät" -ryhmään teet erittäin tärkeän tietoturvajutun, koska "käyttäjät" ryhmässä olevat eivät voi tuhota tietokonettasi kovinkaan helposti, vaikka he suorittaisivatkin viruksia tms. koneella. Yleensäkin, heidän tekosensa tietokoneella vaikuttavat yleensä vain heihin itseensä, jos edes siihen, eivätkä he pysty vaarantamaan koko tietokonetta ja muita käyttäjiä. "Järjestelmänvalvojan" oikeuksilla varustettu taas on tietokoneen "ylikäyttäjä", joka pystyy tekemään koneella mitä tahansa ja tämän vuoksi Järjestelmänvalvojan oikeuksin ei normaalisti pidä kirjautua lainkaan sisälle tietokoneeseen, koska järjestelmänvalvojana voi helposti tuhota koko tietokoneen. Järjestelmänvalvojan oikeudet omaavaa -tiliä tulee käyttää vain uusien, turvalliseksi tiedettyjen ohjelmistojen asennukseen, päivitysten asentamiseen sekä järjestelmän tärkeiden asetusten säätämiseen. EI KOSKAAN "normaaliin" netissä surffailuun tai tietokoneella työskentelyyn!!! Tämän vuoksi kohdassa 8 sinulle luotiin oma käyttäjänimi, siis oma tili, netissä surffailua varten!
+++> Selvennetään hieman Windowsin käyttäjäoikeuksia ja käyttötilejä: On siis eri tasoisia käyttäjäryhmiä, esim. "Järjestelmänvalvojat" ja "Käyttäjät". Tietty käyttäjänimi (esim. Matti, Maija, Järjestelmänvalvoja, ylläpito) kuuluu sitten johonkin näistä eri tasoisista käyttäjäryhmistä, hän omaa siis joko esimerkiksi järjestelmänvalvojan tai käyttäjien oikeuksia. Oletuksena "Järjestelmänvalvoja" käyttäjä kuuluu "Järjestelmänvalvojat" -ryhmään, samoin kohdassa 8 tekemäsi "ylläpito" tili kuuluu tähän ryhmään. Sen sijaan muut tietokoneen käyttäjät kuuluvat nyt "Käyttäjät" ryhmään, esimerkiksi Matti, Maija.

B) Voit helposti lisätä käyttäjiä painamalla "Lisää", antamalla käyttäjänimen, salasanan ja sitten valitsemalla "Valitse tälle käyttäjälle myönnettävät oikeudet" kohdassa "Rajoitettu käyttöoikeus". Näin luoduilla käyttäjillä on vähemmän oikeuksia tietokoneella, eli he voivat sekoittaa sitä vähemmän ja aiheuttaa vähemmän tietoturvaongelmia muutenkin.

C) Kirjaudu nyt ulos ja sisään jokaisena käyttäjänä jonka olet luonut joko aikaisemmin vai viimeistään nyt. Voit luoda käyttäjien salasanoja tai poistaa niitä kirjautumalla ko. käyttäjänä ja menemällä "Ohjauspaneeli" - "Käyttäjätilit" ja "Luo" tai "Muuta" tai "Poista" salasana -valinnoilla. Vaihtoehtoisesti voit kirjautua "Järjestelmänvalvojan" oikeudet omaavalle tilille (esim. "ylläpito") ja sitten käyttää 13A kohdassa kerrottua kohtaa (control userpasswords2) josta voit asettaa salasanat käyttäjille, myös "Järjestelmänvalvojalle". Muista, että salasanan tulisi olla yli 14 merkkiä pitkä ja sisältää sekä numeroita että kirjaimia, mieluusti myös esim. !"#¤%&/()= merkkejäkin. Kun käyttäjä määrittelee itselleen salasanan Ohjauspaneelin kautta, Windows kysyy, tehdäänkö hänen omista kansioistaan yksityisiä, johon kannattaa vastata "Kyllä". Muista kuitenkin, että mikäli olet käyttänyt EFS-salausta tiedostojen suojaamiseen ja muutat salasanan jollakin muulla tapaa kuin kirjautumalla ko. käyttäjänä ja "normaalisti" vaihtamalla salasanasi, EFS:llä salattuja tiedostoja ei pystytä lukemaan/palauttamaan enää mitenkään! Mikäli pelkäät että käyttäjä unohtaa salasanansa, voit kirjautua sisään ko. käyttäjänä ja mennä tässä samassa ikkunassa "Aiheeseen liittyvät tehtävät" - "Estä unohdettu salasana" jolloin Windows tarjoaa mahdollisuuden tehdä levyke jolla ko. käyttäjän salasana on mahdollista myöhemmin resetoida (jos tälläisen levykkeen teet, pidä ko. levyke ehdottomasti turvallisessa paikassa säilössä!).

D) Kirjaudu lopuksi takaisin "Järjestelmänvalvojan" oikeudet omaavalle tilille, eli siis "ylläpito" tilille jonka loit kohdassa 8. Muista määrittää myös järjestelmänvalvojan oikeudet omaaville tileille vahva salasana (käyttämällä "control userpasswords" komentoa ja sieltä eteenpäin valitsemalla salasanan muuttamisen ko. tileillä), äläkä MISSÄÄN TAPAUKSESSA anna sitä tietokoneen muiden käyttäjien tietoon. He saavat luvan käyttää konetta "rajoitet käyttäjät" -oikeuksin ja vain sinä, järjestelmänvalvojana, käytät konetta tietokoneen ylläpitotehtävissä (esim. ohjelmien asennus) "ylläpito" tiliin kirjautumalla! Muussa tietokoneen käytössä (netti, kirjoittelu, jne.) käytät omaa tiliäsi (jolla on siis vain “rajoitetut käyttäjät” oikeudet)!

14) Säädä tiedostojärjestelmä turvalliseksi.
Käyttäjätilien oikeuksien säätäminen, jonka äsken teimme, on erittäin tärkeä tietoturva- ja käytettävyys jippo. Se on kuitenkin vain osa kokonaisuutta, jossa eri käyttöoikeuksin rajoitetaan käyttäjien mahdollisesti aiheuttamia vahinkoja tietokoneelle. Nyt on tarkoitus ottaa kaikki hyöty irti äsken tehdyistä tilien ja käyttäjien asetusten säätämisistä!

A) Mene "Oma Tietokone" ja "Työkalut" ja "Kansion asetukset". Mene "Näytä" välilehdelle ja kruksaa seuraavat valinnat:"Näytä piiloitetut tiedostot ja kansiot" ja "Näytä järjestelmäkansioiden sisältö". Ota kruksi pois seuraavista valinnoista:"Etsi verkkokansiot jne.", "Käytä yksinkertaista tiedostonjakoa jne.", "Piiloita suojatut käyttöjärjestelmätiedostot jne." ja "Piilota tunnettujen tiedostotyyppien tunnisteet". Nämä muutokset parantavat tietoturvaa antamalla sinulle enemmän tietoa tiedostoista joita kiintolevylläsi on, tällöin et esimerkiksi vahingossa suorita .exe tiedostoja koska ne näyttäisivät dokumenttitiedostoilta tms.

B1) HUOM! Seuraavat ohjeet koskevat vain Windows XP Professional versiota! Mikäli sinulla on WindowsXP Home edition, hyppää eteenpäin kohtaan 14B2! Jos et tiedä mikä versio sinulla on, näet sen nopasti, koska Home editionissa ei ole mahdollista säätää seuraavia asetuksia...
- Valitse C-asema (tai minne Windowsin ikinä oletkin asentanut) ja "Ominaisuudet". Ota kruksi pois kohdasta "Nopeuta tiedostojen etsintää luomalla levyindeksi". Jälleen kerran, on turha luoda turhia lokeja tietokoneesi kiintolevyn sisällöstä, ne voivat olla merkittävä tietosuoja- ja tietoturvariski.
- Mene C:\documents and settings\ kansioon ja aseta käyttäjille suojaukset siten, että poistat muilta käyttäjiltä kaikki oikeudet toistensa kansioihin (huom! Ei kuitenkaan "All Users", "Default User", "Local Service" ja "Network Service" kansioihin!), ja annat kullekin käyttäjälle itselleen täydet oikeudet omaan kansioonsa. Älä kuitenkaan poista "Järjestelmänvalvojat" ryhmän oikeuksia mihinkään kansioon! Muista kruksata "Korvaa kaikkien alemman tason jne." jotta asetukset siirtyvät kaikkiin alakansioihin myöskin! Kun olet tämän kaiken tehnyt, jokainen käyttäjä on saanut täydet oikeudet omiin hakemistoihinsa, mutta kenelläkään käyttäjällä (Järjestelmänvalvojaa lukuunottamatta) ei ole mitään oikeuksia toistensa kansioihin! :) Tämä on erinomaista tietoturvan ja tietosuojan kannalta!
- Jotkin ohjelmat, esimerkiksi Spybot S&D, Ad-Aware ja OpenOffice haluavat, että käyttäjät voivat muokata näiden ohjelmien asennuskansioiden sisältöä (esim. C:\Program Files\OpenOffice\). Asian huomaa parhaiten kokeilemalla, mikäli huomaat että ko. ohjelma ei toimi kunnolla käyttäjänä ajattuna tai se ei tallenna asetuksiaan, sinun pitää muuttaa ko. kansion asetuksia. Vaihda ko. kansioiden suojausasetuksia siten, että annat "Vahvistetut käyttäjät" ryhmälle täydet oikeudet ko. kansioihin. Jos olet paranoidi, voit lisäksi asettaa "Vahvistetut käyttäjät" ryhmälle "Estä" suojausmääritteen "Kirjoitus" kohtaan jokaisella ko. kansioissa oleville .exe ja .dll ja .scr tiedostolle, tämä estää heitä esim. korvaamasta olemassa olevia, luotettavia, tiedostoja joillakin troijalaisilla jne.
- Voit salakirjoittaa kansion sisällön EFS:llä (Windowsin oma salakirjoitussysteemi joka käyttää 128bit DESX, 168bit 3DES tai 128bit AES salausta riippuen mm. päivityksistäsi ja eräistä muista asetuksista), joka estää myös järjestelmänvalvojia lukemasta ko. kansioiden sisältämiä tiedostoja. Muista kuitenkin, että mikäli asennat käyttöjärjestelmän uudelleen tai resetoit salasanasi jollakin tapaa (eli et siis "Muuta" sitä ko. tilin asetuksista) niin et pysty mitenkään palauttamaan/lukemaan EFS:llä salattuja tiedostoja! Voit käyttää EFS:ää valitsemalla jonkin kansion ja "Ominaisuudet" - "Yleiset" - "Lisäasetukset" - "Suojaa tiedot salaamalla sisältö". Huomaa, että tämä ei suinkaan turvallisesti poista/ylikirjoita ko. kansiossa ennestään olleita tiedostoja, vaan ainoastaan poistaa ne, eli kyseiset tiedostot ovat selkokielisinä luettavissa kiintolevyltäsi kunnes pyyhit kiintolevyn vapaan tilan! Mikäli luot tiedostoja suoraan tähän hakemistoon, ne ovat tietenkin salattuina "aina" eikä mitään selkokielistä versiota niistä jää killumaan kiintolevyllesi. On suositeltavaa kryptata EFS:llä esim. omat dokumenttikansiot sekä tiettyjen ohjelmien (esim. sähköposti ja selainohjelmien) asetus/tilapäiskansiot (C:\documents and settings\käyttäjäX\application data\ohjelma se ja se\). Huomaa, että valitsemasi kansiot ja tiedostot salataan SILLE KÄYTTÄJÄLLE jona olet kirjautuneena sisälle sillä hetkellä kun ko. vaihtoehdon valitset! ÄLÄ siis salaa "Järjestelmänvalvojana" muiden käyttäjien hakemistoja tai tiedostoja!

B2) HUOM! Seuraavat ohjeet koskevat vain Windows XP home versiota! Mikäli sinulla on Windows XP professional versio, hyppää tämä kohta ylitse ja siirry suoraan kohtaan 14C!
- Valitse C-asema (tai minne Windowsin ikinä oletkin asentanut) ja "Ominaisuudet". Ota kruksi pois kohdasta "Nopeuta tiedostojen etsintää luomalla levyindeksi". Jälleen kerran, on turha luoda turhia lokeja tietokoneesi kiintolevyn sisällöstä, ne voivat olla merkittävä tietosuoja- ja tietoturvariski.
- Voit suojata kunkin käyttäjän omat kansiot ja tiedot kirjautumalla sisään ko. käyttäjänä ja sitten valitsemalla C:\documents and settings\ kansion alta ko. käyttäjän kansion ja valitsemalla "Jakaminen ja suojaus" ja sitten laittamalla kruksi kohtaan "Tee tästä kansiosta yksityinen". Näin muut käyttäjät (paitsi järjestelmänvalvojan oikeuksilla varustetut) eivät näe eivätkä pysty muokkaamaan näiden kansioiden sisältöjä, joissa mm. ko. käyttäjän dokumenttitiedostot, kuvat ja asetukset ovat. Huomaa, että jos haluat jakaa joitain dokumentteja tms. sinun tulee laittaa sellaiset tiedostot "Jaetut tiedostot" kansion alle tai muuhun kansioon joka ei ole "yksityinen"!

C) Toista "Kohta 14A" jokaiselle käyttäjälle kirjautumalla sisään ko. käyttäjänä ja tekemällä ko. muutokset.

D) Kirjaudu sisälle jokaisena käyttäjänä ja siirrä "Omat tiedostot" pois C-asemalta D-asemalle, luo sinne vaikka jokaisella käyttäjälle oma kansio sitä varten. Valitse esimerkiksi käynnistä-valikosta "Omat tiedostot", paina oikeata hiiren nappia ja valitse "Ominaisuudet" - "Siirrä". Näin turvaat käyttäjien omat tiedostot tulevaisuuden varalle, jos sinun täytyy joskus asentaa uudestaan Windows C-asemalle.

15) Säädä muita asetuksia turvallisiksi
Hieman lisäsäätöjä. Kenties pikkujuttuja mutta, mutta... suosittelen silti niiden tekemistä.

A) Suorita "Syskey" ja valitse "Käytä salausta" ja "Päivitä" ja "Tallenna salausavain paikallisesti". Paranoidi käyttäjä valitsee tietysti "Salasana käynnistyksessä" ja määrittää Syskey:lle vahvan salasanan. SYSKEY:tä käytetään salaamaan SAM, eli tiedosto jossa Windows säilyttää käyttäjätilejä koskevia tietoja, salasanoja ja salausavaimia. Se myös kätevästi estää tietokoneen käynnistämisen, mikäli SYSKEY salasanaa ei tunneta (erinomainen tapa rajoittaa jälkikasvun tietokoneen käyttöä on laittaa SYSKEY:lle salasana eikä kertoa sitä jälkikasvulle, jolloin he eivät voi omia aikojaan käyttää tietokonetta). Idiootinvarma tämäkään systeemi ei ole, koska netistä on saatavilla ohjelmia jotka rikkovat (huom, eivät murra vaan korvaavat/rikkovat tilapäisesti tai pysyvästi) SYSKEY suojauksen ja mahdollistavat tietokoneen käynnistämisen (mutta eivät SAM purkamisen, koska se on salattu).

B) Valitse "Oma tietokone" ja "Ominaisuudet" (tai vaihtoehtoisesti paina Windows-nappia + Pause/Break-nappia). Mene "Laitteisto" ja "Ohjaimien allekirjoittaminen" ja valitse "Estä allekirjoittamattomien ohjaimien asentaminen"...tämä estää käyttämästä sellaisia ajureita, joiden yhteensopivuus Windowsin kanssa on kyseenalaista ja jotka voivat vahingoittaa tietokonettasi. Mene "Etäjärjestelmä" ja ota kruksi pois kohdasta "Salli tältä tietokoneelta lähtevät etätukipyynnöt"..tarvitseekohan tätä edes selittää? :) Mene "Automaattiset päivitykset" ja varmista että ne ovat "Automaattinen - lataa ja asenna suositeltavat päivitykset tietokoneeseeni" jonakin järkevänä aikana, esim. joka päivä kello 19...näitä on jo tarkisteltu useampaan otteeseen mutta tarkistetaampa vieläkin. Mene "Käynnistys ja palautuminen" välilehdelle ja valitse "Tallenna muistin sisältö" kohdasta (alasvetovalikosta) "Ei mitään" (Windows ruikuttaa nyt jotakin, älä välitä, poistu OK:sta)...tämä on pieni, varsin teoreettinen mutta mielestäni vakavasti otettava tietoturvariski näet...kun otat tuon muistin sisällön tallentamisen pois päältä, Windows ei tallenna muistia kiintolevylle häiriötapauksissa, eli kiintolevylle ei vahingossa tallennu esimerkiksi salasanojasi tai salausavaimiasi jne.

C) Suorita telnet.exe ja kirjoita (ilman lainausmerkkejä) "unset ntlm" ja paina enter. Näin estät Windows käyttäjätunnuksesi ja salasanasi pääsyn nettiin Telnetin kautta NTLM (heikko salaus)-muodossa.

16) Muita säätöjä...
Lähinnä tietoturvan lisäksi käytettävyyteen liittyviä säätöjä, jotka suosittelen tekemään.

A) Klikkaa hiiren oikealla napilla työpöytää ja valitse "Ominaisuudet". Mene "Näytönsäästäjä" välilehdelle ja varmista että jokin näytönsäästäjä (esim. "Windows XP") on valittuna jollakin järkevällä ajalla (esim. 15 minuuttia) ja "Palaa Tervetuloa-ikkunaan, kun jatketaan" on kruksattuna. Näin varmistat, että jos olet poissa tietokoneen ääreltä tovin aikaa, kukaan muu ei pääse sinne nuuskimaan mitä olet tekemässä tms.

B) Mene edelleen "Virransäästö" napista eteenpäin ja valitse virrankäyttömalliksi "Aina päällä" ja jotkin järkevät ajat alla oleviin vaihtoehtoihin (esim. 30 min. molempiin jos kone toimii verkkovirralla ja 5 min. molempiin jos kone toimii akulla). Mikäli käytät kannettavaa tietokonetta ja haluat säästää akkua, valitse kuitenkinkin virrankäyttömalliksi "Kannettava tietokone". Mene vielä "Lisäasetukset" lehdelle ja varmista, että "Kysy salasanaa palattaessa lepotilasta normaalitilaan" on kruksattuna! Paina OK ja poistu. Tällä ei sinällään ole kovin paljon tekemistä turvallisuuden kanssa, mutta tehostaa koneesi toimintaa merkittävästi, koska Windows käyttää prosessoria jne. eri tavalla riippuen siitä pitääkö sen pihistellä sähkössä vaiko ei.

C) Mene takaisin kohdan A paikkaan ja välilehdelle "Asetukset" ja "Lisäasetukset" ja "Näyttölaite". Katso, että kohta "Piilota näytölle sopimattomat näyttötilat" on valittuna ja valitse sen jälkeen alasvetovalikosta virkistystaajuudeksi suurin mahdollinen. Tälläkään ei ole sinällään tekemistä turvallisuuden kanssa, mutta parantaa kuvanlaatua monitorissasi. :)

D) Voit ylikirjoittaa kiintolevyn vapaan tilan käyttämällä (Windows XP Professionalissa ainakin) Windowsin omaa cipher työkalua. Kun normaalisti poistat tiedoston tai kryptaat sen, alkuperäinen tiedosto ei itse asiassa katoa mihinkään! Windows vain merkitsee ko. tiedoston "poistetuksi" eli sen kohdan jossa se tiedosto oli, "vapaaksi tilaksi", mutta itse tiedosto on palautettavissa kiintolevyltä vapaasti netistä saatavilla työkaluilla! Ei, roskakorin tyhjentäminen ei auta mitään! Suorittamalla (ilman lainausmerkkejä) "cipher /w:c" saat ko. työkalun pyyhkimään kiintolevyn vapaan tilan, tässä tapauskessa C: asemalta. Mikäli haluat pyyhkiä vapaan tilan muilta kiintolevyiltä, vaihda "c:\" tilalle ko. kiintolevyn kirjain! Mikäli sinulla ei ole Windows XP Professionalia, voit käyttää tiedostojen ja vapaan levytilan pyyhkimiseen esimerkiksi ilmaista Eraser ohjelmaa.

17) Lataa ja asenna SafeXP ohjelma koneellesi
SafeXP ohjelma on aivan erinomainen työkalu yleisimpien Windowsin tietoturvaongelmien/aukkojen/ominaisuuksien sulkemiseksi tai rajoittamiseksi! Yhdellä ainoalla ohjelmalla pystyt helposti muuttamaan useita tietoturvan kannalta tärkeitä asetuksia, joiden säätäminen muulla tavoin vaatisi Windowsin syövereihin sukeltamista, rekisterieditorin ja group policyn käyttöä.

A) Valitse ao. kuvan mukaiset asetukset ja paina "Apply settings". Ao. asetukset tukkivat ja rukkaavat pahimpia tietoturvan kannalta ongelmallisia asetuksia järkevämpään suuntaan, mm. sulkemalla tarpeettomia palveluita ja ominaisuuksia sekä ottamalla käyttöön Windowsin suojaustoimintoja. HUOM! Mikäli käytät tiedostojen tai kirjoittimien jakoa Windows-verkossa (jonka suojana on ulkoinen palomuuri/NAT), älä valitse "No File Sharing" ja "No Printer Sharing" asetuksia ko. ohjelmasta. Jos olet vähänkin epävarma mitä sinun pitäisi tehdä, laita asetukset kuten alla olevassa kuvassa näytetään.

B) Toista näiden asetusten laittaminen jokaisella käyttäjällä joka koneessa on kirjautumalla sisään ko. käyttäjänä ja tekemällä ko. muutokset.

C) Mikäli sinulle tulee ongelmia, voit resetoida tämän ohjelman asetukset painamalla "Recover back to the state in the first run" ruudun vasemmasta alareunasta.

22) Asenna muita ohjelmia tietoturvan ja käytettävyyden parantamiseksi.
Pelkkä Windows on tietysti vain raakile. Siinä ei ole toimistotyökaluja, kuten tekstinkäsittelyä ja taulukkolaskentaa, ei virustentorjuntaa eikä muutakaan tarpeellista. Nyt on aika asentaa ne. Ja, kuten jo lupailin, nekään eivät maksa euroakaan! Aivan, siis ovat saatavilla täysin ilmaiseksi ja laillisesti. :)

A) Virustentorjuntaohjelma tulee olla tietokoneessasi tietenkin! Suosittelen NOD32 ohjelmaa sekä Norton Antivirusta (juu, enkä saa penniäkään tästä mainostamisesta heiltä, valitettavasti). NOD32 on siitä hyvä, että se kuluttaa aivan mielettömän vähän tietokoneen resursseja ja se on vuosikaudet voittanut testejä toisensa perään. Mutta, minkä ohjelman ikinä valitsetkin, muista ehdottomasti tarkistaa sen asetukset, jotta se todellakin tarkistaa kaikki tiedostot ja poistaa automaattisesti löytämänsä virukset sekä päivittää itsensä jatkuvasti automaattisesti! Säätämättömästä virustentorjuntaohjelmasta ei ole kovinkaan paljon sinulle iloa, koska valitettava tosiasia on, että oletuksena useimpien virustentorjuntaohjelmien asetukset ovat huonot. Mikäli et halua maksaa virustentorjuntaohjelmasta, ilmaisiakin löytyy, esimerkiksi suomenkielinen Avast!

B) Mozilla Firefox selain ja siihen Sun Java sekä Adobe Flash ja Shockwave takaavat turvallisen ja jouhevan internet-surffailutuokion. Myös Kazaa Lite Mega Codec Pack kannattaa asentaa, koska sen avulla pystyt katsomaan kaikenlaisia elokuvia myös netissä. Outlook Express sähköposti- ja uutisryhmäohjelma kannattaa myös vaihtaa Mozilla Thunderbirdiin samasta syystä. Suosittelen Internet Explorerin sekä Outlook Expressin kuvaikkeiden poistamista kokonaan työpöydältä sekä pikakäynnistyspalkista. Lisäksi ko. ohjelmien pikakuvakkeet kannattaa "kätkeä" käynnistä -valikosta siten etteivät käyttäjät pääse mokomia ohjelmia edes käyttämään "vahingossa".

C) OpenOffice on sekin ilmainen ja turvallinen vaihtoehto Microsoft Officelle. Niin, aivan, se on ilmainen! Ja pystyy lukemaan ja kirjoittamaan Office dokumentteja, Powerpoint esityksiä ja Excel taulukoita, sekä lisäksi luomaan pdf-tiedostojakin. Asetuksista kannattaa kuitenkin "varmuuden vuoksi" napsaista java ja pluginit pois päältä, sekä asettaa oletustiedostomuodoiksi Microsoft Officen tiedostomuodot (jottet vahingossa tallenna tiedostoja OpenOffice muodossa jota kovinkaan moni tuttusi ei saa auki tietokoneellaan Microsoft Officella).

D) Muita hyviä ja ilmaisia ohjelmia ja infoa niistä, sekä latausosoitteet voit katsoa täältä.

E) Älä asenna liikaa ohjelmia. Älä asenna ohjelmia, joiden tarkkaa toimintaa tai tarkoitusperää et tunne. Ne vain vievät turhaan tilaa ja luovat lisää tietoturvauhkia tietokoneellesi. Osa niistä saattaa sisältää vakoilukomponenttejakin.

F) Kun olet asentanut jonkin ohjelman, vaikka esimerkiksi tuon Open Officen tai Avast! antiviruksen, katso sen asetukset läpi. Tämä toimenpide ei vie aikaa kuin hetken, mutta se on käytettävyyden ja tietoturvan kannalta tärkeätä. Älä oleta, että vain koska asennat jonkin ohjelman koneellesi, se toimii kuten odotat sen toimivan tai antaa jotain turvaa sinulle. Yleisesti ottaen voi sanoa, että mikään tietoturva- tai muu ohjelmakaan ei auta sinua mitenkään sinällään...vain silloin, kun säädät sen asetuksia kohdalleen ja opettelet käyttämään sitä kunnolla. Ilman hyviä tietoturva- ja muita ohjelmia tuskin pystyt käyttämään konettasi järkevästi ja turvallisesti, mutta pelkästään se, että asennat kyseiset ohjelmat koneellesi EI tarkoita että tietokoneen ja ohjelmiesi käyttö olisi järkevää ja turvallista!

23) Tarkista vielä kerran, varmuuden vuoksi, että
- Palomuuri on toiminnassa ja oikein säädettynä.
- Automaattiset päivitykset ovat toiminnassa ja oikein säädettynä.
- Koneessasi on ajantasalla oleva, oikein toimiva ja säädetty, sekä automaattisesti päivittyvä virustentorjuntaohjelmisto.
Testaa palomuurisi toiminta tällä sivulla valitsemalla erilaisia skannauksia sieltä. Testaa myös virustentorjuntaohjelmistosi toimivuus lataamalla tämä tiedosto, virustentorjuntaohjelmasi pitäisi varoittaa "Eicar test virus" viruksesta. Älä murehdi, se ei ole virus eikä se saastuta konettasi. Se on testi.

24) Tervemenoa internettiin ja käyttämään tietokonettasi turvallisesti!
Muista, että paraskaan virustentorjuntaohjelma tai säätö ei auta sinua, mikäli käytät tietokonettasi epäturvallisesti! Älä koskaan suorita ohjelmia tai tiedostoja ylipäätäänkään, joiden turvallisuudesta et voi olla varma. Älä asenna mitään ohjelmaa koneellesi jos et ehdottomasti tarvitse sitä ja voi luottaa siihen. Suosittelen, että luet vielä "Suojautuminen" sivuni läpi saadeksi jonkinlaisen kuvan erilaisista tietoturvaan liittyvistä ongelmista. "Hakkeroitu?" sivuni läpikäymisestä tuskin on siitäkään haittaa. :)