Tiszta Brave Böngésző: Registry Beállítások a "CleanBraveWin.reg" használata az elérhető Repóból

FIGYELEM!

Ez a bejegyzés és az abból elérhető GitHub-on elérhező .reg fájl Neonity-nek köszönhető!
A Videója ITT érhető el erről, és az Ő GitHub repójában is megtalálható a .reg fájl!
Ez a cikk alapértelmezetten az Ő anyagára támaszkodik, a későbbiekben, amint saját fejlesztéseket adtam hozzá, külön cikkben írok majd arról is!
Addig mindkettőt tudjátok használni!

A Brave böngésző kiváló privacy-fókuszú alternatíva a Chrome-hoz, de alapértelmezetten tartalmaz "felesleges" funkciókat, mint AI chat, crypto wallet vagy telemetry.

A GitHub-on található CleanBraveTest_WinReg repository (https://github.com/LordAthis/CleanBraveTest_WinReg) .reg fájlokkal segíti a "debloating"-ot (Puffadást, duzzadást, memória-foglalást!), azaz ezek letiltását a Windows registry módosításával.

Ez a cikk részletesen bemutatja az összes README.md-ben említett beállítást, leírásukat és hatásukat.

Miért érdemes használni?

Ezek a policy-kulcsok  (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\BraveSoftware\Brave) biztonságosak, nem törölnek fájlokat, csak letiltanak funkciókat, csökkentve a CPU/memória használatot és adatgyűjtést.
Alkalmazás:

Mentsd .reg fájlba (Vagy töltsd le a fájlt, pl innen: KATT IDE!), futtasd admin joggal, indítsd újra a Brave-et. (Cikk)

FIGYELEM!

Előtte mindig mentsd a registry-t! (Regedit > Export).

Teljes Beállítás-Lista, Leírással

Íme az összes kulcs a repóból, csoportosítva, dword értékekkel (1=letiltva/kikapcsolva, 0=engedélyezve). (Egy másik ember REPÓ-ja)

1; AI és Chat Funkciók:

• BraveAIChatEnabled=0: Leo AI chat kikapcsolása – csökkenti a háttér AI hívásokat, gyorsabb böngészés. (Cikk)

2; Rewards, Wallet, VPN:

• BraveRewardsDisabled=1: Brave Rewards (BAT jutalmak) letiltása – nincs crypto farmolás háttérben. (Cikk)
  
• BraveWalletDisabled=1: Crypto wallet kikapcsolása – nincs beépített tárcakezelés, kisebb támadási felület. (Cikk)
  
• BraveVPNDisabled=1: Beépített VPN letiltása – elkerüli a fizetős upsell-t. (Cikk)

3; Hálózat, Privacy, Telemetry:

• TorDisabled=1: Tor integráció kikapcsolása – gyorsabb, ha nem használod. (Cikk)
  
• BraveP3AEnabled=0: P3A telemetria kikapcsolása – kevesebb adatküldés a Brave-nek. (Cikk)
  
• BraveStatsPingEnabled=0: Statisztika pingek kikapcsolása – teljes privacy. (Cikk)
  
• BraveWebDiscoveryEnabled=0: Web Discovery (hírfolyam) kikapcsolása – nincs ajánlórendszer. (Cikk)

4; Brave Extra Funkciók:

• BraveNewsDisabled=1: Hírfolyam letiltása – tisztább felület, kevesebb distraction. (Cikk)
  
• BraveTalkDisabled=1: Videohívás (Talk) letiltása – nincs integrált meeting tool. (Cikk)
  
• BraveSpeedreaderEnabled=0: Speedreader kikapcsolása – ha nem kell gyorsolvasó mód. (Cikk)
  
• BraveWaybackMachineEnabled=0: Wayback Machine archívum kikapcsolása – kisebb overhead. (Cikk)
  
• BravePlaylistEnabled=0: Playlist funkció kikapcsolása – nincs videó lista kezelés. (Cikk)

5; Sync, Autofill, Egyéb:

• SyncDisabled=0: Szinkron marad engedélyezve – profilok szinkronizálhatók (opcionálisan módosítsd). (Cikk)
  
• PasswordManagerEnabled=0: Jelszókezelő kikapcsolása – használd külső managert privacy miatt. (Cikk)
  
• AutofillAddressEnabled=0: Cím autofill kikapcsolása – kevesebb személyes adat tárolás. (Cikk)
  
• AutofillCreditCardEnabled=0: Bankkártya autofill kikapcsolása – biztonságosabb bevitel. (Cikk)
  
• TranslateEnabled=0: Fordítás kikapcsolása – használd külső szolgáltatót, ha kell. (Cikk)

Teljes .reg Fájl Példa:

text
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\BraveSoftware\Brave]
"BraveAIChatEnabled"=dword:00000000
"BraveRewardsDisabled"=dword:00000001
"BraveWalletDisabled"=dword:00000001
"BraveVPNDisabled"=dword:00000001
"TorDisabled"=dword:00000001
"BraveP3AEnabled"=dword:00000000
"BraveStatsPingEnabled"=dword:00000000
"BraveWebDiscoveryEnabled"=dword:00000000
"BraveNewsDisabled"=dword:00000001
"BraveTalkDisabled"=dword:00000001
"BraveSpeedreaderEnabled"=dword:00000000
"BraveWaybackMachineEnabled"=dword:00000000
"BravePlaylistEnabled"=dword:00000000
"SyncDisabled"=dword:00000000
"PasswordManagerEnabled"=dword:00000000
"AutofillAddressEnabled"=dword:00000000
"AutofillCreditCardEnabled"=dword:00000000
"TranslateEnabled"=dword:00000000

Másold ki, mentsd clean_brave.reg-ként, futtasd Rendszergazdaként! (Reddit posztok)

Hatások és Tippek

• Előnyök: 20-30% kevesebb RAM/CPU, nincs telemetry, minimalista UI. (Cikk)
• Hátrányok: Elvesznek kényelmi funkciók – ha kell valamelyik, állítsd 0-ra.
• Visszaállítás: Töröld a kulcsokat Regedit-ben vagy importálj üres .reg-et.
• Kompatibilitás: Brave legújabb verzióra (2026 Q1), Windows 10/11. Teszteld VM-ben először! (Cikk)

Ez a setup teszi a Brave-et igazán "tiszta"-vá – oszd meg, ha kipróbáltad!

Dolgozom egy bővített verzión, ami futás közben megkérdezi, hogy mit szeretnél ki-be kapcsolni, így lehetőséged van az automata visszaállításra, illetve automatikusan mentést készít, mielőtt bármin változtatna!

REFERENCIÁK többek között:

- https://www.reddit.com/r/brave_browser/comments/1efzjfh/found_a_native_way_to_debloat_brave/

- https://support.brave.com/hc/en-us/articles/360039248271-Group-Policy#h_01HE8CWCDW9FWDWB74VCGZZEMR
- https://www.reddit.com/r/brave_browser/comments/1efzjfh/found_a_native_way_to_debloat_brave/
- Miért érdemes a regisztry-t használni, és mire jó? Cikk ITT!

- 

Digitális régészet felsőfokon – Hogyan mentsünk adatot ésszel?

Véget vethetünk az Adat-káosznak!

Elkészült az intelligens, önmagát tanító adatmentő eszközrendszerem !

(FIGYELEMFIGYELEM: Friss, 2026-os kiadás. Még nem éles, nem tesztelt több terabájton! Kizárólag saját felelősségre használd! Rendszergazdaként futtasd, és mindig készíts kézi biztonsági másolatot a célmappáról!)

Sokunk fiókjának mélyén hevernek azok a bizonyos „majd egyszer átnézem” HDD-k/SSD-k, amikre sietve telepítettünk egy új rendszert, miután a régi összeomlott. A HDD-k/SSD-k, amikről csak lementettük az „egészet” egy mappába, aztán ott maradtak a káoszban, azóta is várva a "megváltást" -----> átnézést, rendszerezést, takarítást.

Ha te is gyűjtögeted a régi adatokat, mert „majd egyszer rendet rakok bennük” , akkor pontosan tudod, miről beszélek.

A szervizemben is hetente hoznak olyan gépeket, ahol a felhasználó sietve telepített új Windows-t, az összes régi adatot egy óriási mappába (Másik partícióra/külső adathordozóra) dobta, és most ott áll egy 500GB-4 TB-os káosz: ezer mappaszinten elszórt Desktop, Downloads, AppData, a gyerekek kiskori képei, videói, böngészőprofilok, kriptotárcák, félbehagyott torrentek, plugin-beállítások…

..mindenkinek más a fontos!

A klasszikus megoldások rendre kudarcot vallanak, vagy gyökeret eresztesz az asztalnál, mire végzel! Ezek:

• Kézi válogatás = hetekig tartó munka.
  
• Egyszerű másolás = duplikációk ezrei (ugyanaz a Chrome-profil háromszor, különböző dátumokkal).
  
• Kereskedelmi eszközök = vagy fizetős, vagy nem tudják a Tor/Brave/Opera specifikus útvonalait, a wallet.dat fájlokat, vagy a .torrent + .part fájlpárokat. Nem tanítható, szabható testre!
  
  

Ezért építettem fel egy háromlépcsős, PowerShell-alapú, teljesen hordozható rendszert a saját igényeimre (több terrabájt saját archívum + szervizmunka).

A neve: Data Rescue Toolkit (RescueData.ps1 + delete.ps1 + merge.ps1). A GitHub-on „RescueData.ps1 ” néven találod, egyetlen .zip-ben vagy git clone-nal azonnal futtatható.

A probléma ilyenkor kettős:

1. Idő: Senkinek nincs hete arra, hogy kézzel válogassa ki a fontos családi fotót a Windows System32 vagy a Chrome Cache mappái közül.
   
2. Duplikáció: Ha háromszor mentettük le ugyanazt a gépet az évek alatt, tízszer lesz meg ugyanaz a fájl, de más-más (gyakran értelmezhetetlen) mappaszerkezetben.
   
   

Erre készítettem egy háromlépcsős, automatizált megoldást, aminek most a leírását is megosztom veletek.

1. fázis: A „Mindent bele”, de okosan (RescueData.ps1)

Az első script nem csak másol, ez nem egy egyszerű "robocopy". Rendszergazdaként futtatva intelligensen vadászik a fontos dolgokra, és már az elején szűr.

1. Automatikusan kimenti:
   
   
1. Teljes felhasználói profilmappákat (Desktop, Documents, Pictures, Videos, Downloads – opcionálisan).
   
2. Minden böngésző teljes profilját (Chrome, Edge, Firefox, Brave, Opera, Tor Browser) → könyvjelzők, jelszavak, sütik, Extensions és Local Extension Settings mappákkal együtt (így az AdBlock saját tiltólistáid, plugin-beállításaid is megmaradnak).
   
3. Kriptotárcákat: rekurzív keresés .wallet, wallet.dat, *.key, seed.txt stb. után.
   
4. Torrenteket: külön Torrents_and_Data mappába gyűjti a .torrent fájlokat + a félbehagyott letöltéseket (.part, .lut).
   
   
2. Okos szűrések már induláskor:

1. Böngésző cache: csak az 50 KB feletti fájlok (a parányi ikonok/szemét marad kint).
   
2. Telepítőfájlok (setup.exe, *.msi, vcredist stb.) a Downloads-ból alapból kizárva.
   
3. Windows gyári sallangok (Wallpaper, Themes) automatikusan blacklistelve.
   
4. Nullás fájlok és 50 KB alatti cache-elemek szemétként kezelve.
   
   
1. A script két módban fut:
   
   
1. Interaktív (config.json üres) → bekér azonosítót (pl. „60GB-os SSD Win10 – 2026.04.02”), forrást (meghajtó vagy mappa), rákérdez a választható modulokra, tömörítésre.
   
2. Silent/RTS-mód (config.json kitöltve) → kérdés nélkül lefut, tökéletes keretrendszer-integrációra.
   
   


Minden lépés logolva → rescue_log.txt. A mentés végén opcionális ZIP (de az eredeti mappa megmarad a későbbi merge-hez).

2. fázis: A feketelista és a „Tanulás” (delete.ps1)

Ez a kedvencem, mert önmagát okosítja. Ha a mentés után látom, hogy egy mappa felesleges (pl. egy régi játék textúrái), nem csak letörlöm. „Megmutatom” a scriptnek, és ő felveszi a blacklist.json fájlba. Legközelebb, ha egy másik lemezen találkozik vele, már rá sem néz. Ez egy folyamatosan okosodó szűrő, ami idővel teljesen kitisztítja a munkafolyamatot.

- A blacklist.json tartalmazza:


1. GlobalFolderBlacklist (pl. RECYCLE.BIN, System Volume Information, Windows\Web\Wallpaper…).
   
2. ExtensionBlacklist (*.sys, *.tmp, *.log…).
   
3. InstallerExtensions (setup.exe, vcredist*.exe…).
   
4. BrowserCacheRules (méret- és üresfájl-szabályok).
   
   
- Két tanulási mód:


1. Manuális/interaktív: A takarítás végén a script megkérdezi: „Szeretnél új elemet hozzáadni?” → beírod a mappa nevét vagy kiterjesztést, és máris frissül a JSON.
   
2. Tömeges tanulás (a nagy trükk): .\delete.ps1 -LearnFolder "C:\Szemeteskosar"
   
3. Bedobálsz egy mappába mindent, amit soha többé nem akarsz látni → a script végigmegy rajta, és minden mappa nevet + minden fájl kiterjesztést automatikusan felvesz a blacklistbe. Legközelebb már egyik mentésnél sem fogja másolni.
   
   
Takarítás után pontosan megmondja, hány elemet törölt, és mindig helyi logot ír (még RTS-módban is).

3. fázis: Az intelligens összefésülés (merge.ps1)

Itt történik a varázslat. Ha megvan 3-10 különböző mentésed, ez a script egyetlen „Master” mappába gyúrja össze őket, de egy szigorú döntési fa alapján:

• MD5 alapú duplikáció-eltávolítás: azonos tartalmú fájlok közül csak egy marad.
  
• Heurisztikus pontozás: a mappa neve alapján dönt.
  Példa: /Karácsony/Család/Fotók/ → magas pontszám. 
  /001/temp/2023/backup/ → alacsony pontszám. A „szebb” helyen marad a fájl..
  
• Biztonsági háló: Amikor egy duplikátumot töröl, a megmaradó fájl mellé tesz egy *.mentett.txt fájlt, amibe beleírja az összes korábbi elérési utat. Így ha később mégis keresnél egy régi mappanevet, meg fogod találni, hol volt eredetileg.
  
• Eredmény: egyetlen tiszta „Master” mappa, ahol nincs káosz, de minden visszakereshető.
  
  
  

Mire jó ez neked?

Akár a saját adataidat rakod rendbe (ahogy én is küzdöttem már több terabájtnyi régi mentéssel), akár szervizben kell gyorsan, telepítés nélkül kimenteni egy ügyfél adatait újratelepítés előtt, ez a készlet megspórolja a munka (és az IDŐ!) 90%-át!

- Miért jobb ez, mint bármi más?


1. Zero install: tiszta PowerShell (Windows 7/10/11-en is fut).
   
2. Teljesen hordozható: szervizgépra is bedobhatod USB-ről.
   
3. Tanuló rendszer: minél többet használod, annál kevesebb szemetet hoz.
   
4. RTS-integráció: config.json-on keresztül a nagyobb keretrendszerből is indítható (silent mód).
   
5. Átláthatóság: minden lépés logolva, semmi rejtett mágia.
   
   
- Hogyan kezdd?


1. Töltsd le a repót (GitHub: RescueData.ps1).
   
2. Olvasd el a README.md-t (tartalmazza a pontos fájlstruktúrát, .gitignore-t, példa config.json-t és blacklist.json-t).
   
3. Futtasd RescueData.ps1-t rendszergazdaként.
   
4. Utána delete.ps1-vel takaríthatsz és taníthatsz.
   
5. Később merge.ps1-vel egyesítheted a mentéseket.
   
   

A projekt az RTS (Repairing – Tuning – Setting’s) keretrendszer adatmentő moduljaként is él, de teljesen önállóan is használható.

Ha neked is eleged van a régi meghajtók káoszából, és szeretnél egy eszközt, ami nem csak másol, hanem gondolkodik és tanul, akkor ez neked is készült!

Készült (saját használatra és a szervizmunka megkönnyítésére) az RTS (Reparing's - Tuning's - Setting's ) projekt keretében. Használható önállóan vagy a keretrendszer moduljaként is!

PowerShell alapú, tehát nem kell telepíteni semmit, csak futtatni és hagyni, hogy a gép dolgozzon helyetted...

Használd okosan, mentsd el a fontos adatokat, és élvezd, hogy végre rend van az archívumban!

Jó mentést!

Link: GitHub – " RescueData.ps1 ", vagy keress rá „Data Rescue Toolkit” a GitHub-en.

Ha van kérdésed, specifikus böngésző-plugin, számlázószoftver-adatbázis vagy bármi egyedi igényed, írd meg – bővítjük tovább a blacklistet vagy a merge logikát.

Windows PC Biztonsági Megerősítés – Tedd 95%-kal nehezebben feltörhetővé a gépedet

Alapul szolgál: Altsito videó – „Make your PC 95% HARDER to hack in 11 minutes (the easy way)” 
Verzió: 1.0 (2026. március)
GitHub projekt: [IWS - Increase Windows Security (Windows Biztonság növelése) - hamarosan – jelenleg fejlesztés alatt]

Bevezető

(A Cikk szerkesztés alatt, nem teljes!)

Sokan azt hiszik, hogy ha telepítettek egy jó antivírust (legyen az a beépített Windows Defender vagy bármelyik harmadik féltől származó), akkor már biztonságban vannak. A valóság sajnos más: a mai támadások nagy része nem klasszikus vírusokon keresztül történik, hanem exploitokon, elhomályosított script-eken, rosszindulatú makrókon, fizikai hozzáférésen vagy social engineeringen keresztül.

Ebben a részletes útmutatóban nulláról, lépésről lépésre mutatjuk be, hogyan erősítheted meg jelentősen a Windows rendszeredet – a BIOS szintjétől kezdve egészen a biztonsági mentésekig. A cél nem a „100%-os biztonság” (ilyen nem létezik), hanem hogy a gépedből nehéz, költséges (Nem kívánatos) célpont váljon a támadók számára.

A videó alapján készült cikk és a hozzá tartozó GitHub projekt kifejezetten azoknak készült, akik nem akarnak enterprise szintű eszközöket vagy bonyolult konfigurációkat, de komolyan szeretnék venni a saját digitális biztonságukat.

GitHub projekt célja: Egy egyszerű „egy kattintásos” telepítő kezdőknek (GUI), valamint külön PowerShell script-ek haladó felhasználóknak. Így bárki könnyen alkalmazhatja a lépéseket. (Figyelem! Kizárólag a felelősség teljes kizárása mellett használható! Amennyiben nem tudod, hogy mit csinálsz, inkább menj szakemberhez!)

1. UEFI BIOS szintű védelem – Az első védelmi vonal

A támadások egy része fizikai hozzáféréssel indul (pl. evil maid támadás, Rubber Ducky eszköz). Ezeket a BIOS szintjén lehet a leghatékonyabban megakadályozni.

Lépések:

• Erős BIOS/UEFI jelszó beállítása
  Indítsd újra a gépet és lépj be a BIOS-ba (általában Del, F2, F10 vagy F12). Állíts be egy erős, legalább 12 karakteres jelszót.
  
  
• Secure Boot engedélyezése
  Ez megakadályozza, hogy nem aláírt, rosszindulatú bootloaderek induljanak el.
  Figyelem: Ha Linuxot használsz dual-bootban, lehet, hogy extra lépések kellenek (pl. saját kulcsok regisztrálása).
  
  
• Kernel DMA Protection (Memory Protection) bekapcsolása
  Véd a Thunderbolt/USB-C alapú közvetlen memória-hozzáféréses (DMA) támadások ellen.

Miért fontos?

Ha valaki fizikailag hozzáfér a gépedhez, ezek nélkül percek alatt átveheti az irányítást.
GitHub támogatás: Részletes BIOS checklist és screenshot útmutató → (GitHub: /docs/bios-checklist.md)

2. Windows operációs rendszer megerősítése – A legfontosabb rész

Itt történik a legnagyobb ugrás a biztonságban.

Lépések:

1. Exploit Protection finomhangolása
   Nyisd meg a "Windows Security → App & browser control → Exploit protection".
   Állítsd be a rendszer- és programbeállításokat ajánlott értékekre (pl. Control Flow Guard, Data Execution Prevention).
   
   
2. Attack Surface Reduction (ASR) szabályok bekapcsolása
   Ezek a szabályok blokkolják a leggyakoribb támadási vektorokat (makrók, script-ek, exploitok).
   Ajánlott szabályok (Microsoft hivatalos referencia alapján):
1. Block obfuscated (rejtett) JS/VBS/PowerShell/makró kód
2. Block executable content from email client and webmail
3. Block abuse of exploited vulnerable signed drivers
4. Block credential stealing from lsass.exe
5. Use advanced protection against ransomware
6. További szabályok listája a GitHub mellékletben (Hamarosan).
   
   Hivatalos Microsoft dokumentáció: Attack surface reduction rules reference
   Ajánlott módszer: Először Audit mode-ban teszteld (csak naplózza a blokkolásokat), majd kapcsold Block módba (Ez egy minimális erőfeszítést, és hozzáértést kíván meg. - és türelmet!).
   
   
3. Felesleges szolgáltatások és bloatware letiltása
   Csökkentsd a támadási felületet felesleges programok eltávolításával.
   
   
4. Virtualization-Based Security (VBS) + Core Isolation (Memory Integrity)
   Ez virtualizációval izolálja a kernelt a támadásoktól – komolyabb védelem, de némi teljesítménycsökkenéssel járhat (5–15%).
   Útmutató: "Windows Security → Device security → Core isolation details → Memory integrity" bekapcsolása.
   További infó: Enable virtualization-based protection of code integrity
   
   
5. Microsoft Vulnerable Driver Blocklist engedélyezése
   Blokkolja a ismert sebezhető illesztőprogramokat.
   PowerShell parancs (adminisztrátorként):
   

            Set-MpPreference -EnableVulnerableDriverBlocklist $true

GitHub automatizálás (a projekt szíve):

Egyetlen script, ami ASR szabályokat, VBS-t, Vulnerable Driver Blocklist-et és debloatingot kezel → (GitHub: /scripts/harden-windows-core.ps1 - Hamarosan!)
Külön .reg fájlok és audit mode támogatással.

3. Hálózati védelem

1. Quad9 DNS + DNS over HTTPS (DoH)
   Encryptálja a DNS-lekérdezéseket, blokkolja a rosszindulatú domaineket.
   Beállítás Windows 11-en:
   Beállítások → Hálózat és internet → [Wi-Fi/Ethernet] → Szerkesztés → DNS server assignment → Manual → Preferred DNS: 9.9.9.9, Alternate: 149.112.112.112, DNS over HTTPS: On.
   Hivatalos útmutató: Quad9 Windows 11 Encrypted setup
   
   
2. SimpleWall outbound tűzfal
   Csak a szükséges alkalmazások mehetnek ki az internetre.
   Projekt: henrypp/simplewall

GitHub támogatás:

PowerShell script a Quad9 DoH beállításához → (GitHub: /scripts/set-quad9-doh.ps1 - Hamarosan...)

Ajánlott SimpleWall konfiguráció → (GitHub: /configs/simplewall/ - Hamarosan...)

4. Fizikai és OpSec védelem

• Engedély nélküli USB eszközök blokkolása (Group Policy vagy registry).
• Rubber Ducky / BadUSB támadások elleni védelem.
• Nyilvános helyen USB Condom (csak töltés, adatátvitel nélkül) használata.
  
  

GitHub:
USB restriction template → (GitHub: /configs/usb-restriction/ - hamarosan...)

5. Böngésző és identitásvédelem

• Böngésző hardening: uBlock Origin + script blokkolás (NoScript-szerű).
• Bitwarden jelszókezelő erős, egyedi jelszavakkal.
• Least Privilege elv: mindennapi használat standard felhasználói fiókkal (nem adminisztrátorként).
• Hardveres 2FA (Pl.: YubiKey) preferálása az SMS-sel szemben.
  
  

GitHub:
Böngésző beállítások export script → (GitHub: /scripts/browser-hardening.ps1 - Hamarosan...)

6. Monitoring és perzisztencia-ellenőrzés

• Autoruns (Sysinternals): mi fut el indításkor? Töltsd le innen: Sysinternals Autoruns
• Gyanús fájlok ellenőrzése VirusTotal-on + digitális aláírás ellenőrzése.
  
  

GitHub:
Egyszerű wrapper script jelentés készítéséhez → (GitHub: /scripts/check-autoruns.ps1 - Hamarosan...)

7. Biztonsági mentések – 3-2-1 szabály

• 3 példány az adatokról
• 2 különböző típusú eszköz (pl. külső HDD + felhő)
• 1 offline / off-site (titkosított külső meghajtó, lehetőleg nem mindig csatlakoztatva)
  
  

Ajánlott eszközök és egyszerű ellenőrző script a GitHub-on (Hamarosan...).

Következtetés

Nincs tökéletes biztonság, de ezekkel a lépésekkel a géped már jelentősen nehezebb célpont lesz a támadók számára. Az antivírus csak az utolsó védelmi vonal – a valódi erő a támadási felület csökkentésében van.

Ez a cikk és a GitHub projekt a sorozat első része.
A folytatásban még mélyebb témák jönnek (pl. Windows Defender Application Control / WDAC, teljes rendszer imaging, advanced logging).

Hogyan járulhatsz hozzá a projekthez?

• Teszteld a script-eket különböző hardvereken
• Jelents hibákat az Issues szekcióban (GitHub-en)
• Küldj pull request-et

Kapcsolat:

A GitHub repo Issues oldala vagy az Elérhetőségek menüponton keresztül

GYIK (Gyakran Ismételt Kérdések)

1. Mi történik, ha bekapcsolom a VBS + Core Isolation-t? Lassabb lesz a gép?
   
   Igen, 5–15%-os teljesítménycsökkenés lehetséges (főleg játékoknál vagy nehéz alkalmazásoknál). Teszteld Audit módban először, és ha problémád van, kikapcsolhatod. Sok modern gépen (2024–2026-os processzorok) alig érezhető.
   
   
   
2. Audit mód vagy Block mód? Melyiket válasszam először?
   
   Mindig Audit móddal kezdd!
   A script alapértelmezett Audit módot állít be. Így csak naplózza a blokkolásokat, de nem akadályoz semmit. 1–2 hét használat után kapcsold Block módra (a script paraméterrel).
   
   
   
3. Kompatibilitási probléma lép fel (pl. bizonyos programok nem indulnak). Mit tegyek?
   
   
1. Ellenőrizd az Eseménynaplót (Event Viewer → Applications and Services Logs → Microsoft → Windows → Windows Defender → Operational).
2. ASR szabályoknál kizárásokat adhatsz hozzá (a GitHub script később támogatni fogja).
3. VBS esetén: ha nem kompatibilis a hardver, a Windows Security automatikusan jelezni fogja.
   
   
   
4. Kell-e reboot minden lépés után?
   
   ASR és Vulnerable Driver Blocklist esetén nem feltétlenül, de VBS/Core Isolation után igen. A script a végén mindig figyelmeztet.
   
   
   
5. Működik Windows 10-en és Windows 11-en is?
   
   Igen (Windows 10 1709+ és Windows 11 bármely verzió). Windows Server esetén néhány szabály korlátozott.
   
   
   
6. Mi van, ha nem tudom a BIOS-t elérni vagy Secure Boot-ot bekapcsolni?
   
   Ez a cikk Windows-oldali részére koncentrál. A BIOS rész külön checklist-ben lesz a GitHub-on.
   
   
   
7. Biztonságosabb lesz, mint a sima Windows Defender?
   
   Igen – drasztikusan csökkenti a támadási felületet. A Defender továbbra is fut, csak most sokkal kevesebb dolgot kell védenie.
   
   
   
8. Kell-e fizetni valamiért?
   
   Nem. Minden ingyenes (beépített Windows eszközök + nyílt forráskódú SimpleWall, Bitwarden stb.).

Mellékletek

Melléklet A – Ajánlott ASR szabályok listája (a cikkben használt 5 legfontosabb)

Szabály neve	GUID	Leírás rövidítve	Ajánlott mód
Block abuse of exploited vulnerable signed drivers	56a863a9-875e-4185-98a7-b882c64b5ce5	Sebezhető driver-ek blokkolása	Block
Block credential stealing from lsass.exe	9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2	Jelszavak lopása elleni védelem	Block
Block execution of potentially obfuscated scripts	5beb7efe-fd9a-4556-801d-275e5ffc04cc	Elhomályosított script-ek blokkolása	Block
Block executable content from email client…	be9ba2d9-53ea-4cdc-84e5-9b1eeee46550	Emailből érkező futtatható fájlok	Block
Use advanced protection against ransomware	c1db55ab-c21a-4637-bb3f-a12568109d35	Fejlett ransomware védelem	Block

Melléklet B – PowerShell script-ek indexe (GitHub terv)

• harden-windows-core.ps1 ← most készül (lásd hamarosan)
• set-quad9-doh.ps1
• check-autoruns.ps1
• browser-hardening.ps1
• usb-restriction.ps1 (később)

Melléklet C – Teljesítmény- és kompatibilitás (VBS bekapcsolása után) ellenőrzés

(ide később képernyőképek és parancsok kerülnek)

Hogyan tiltsuk le, hogy a Windows10 Windows11-re frissítse magát?

 Eleged van az erőszakos Windows 11 frissítésből? Itt a megoldás!

Sok laptop és asztali gép felhasználó szembesül azzal a dühítő jelenséggel, hogy a Microsoft akkor is erőlteti a Windows 11-re való frissítést, ha a gép hardveresen nem kompatibilis vele.

Ez gyakran összeomláshoz és teljes újratelepítéshez vezet.

Az alábbi szkript segítségével végleg megállíthatod ezt a folyamatot.

A vezérlő kód (Batch fájl)

Másold ki az alábbi kódot, mentsd el win11_stop.bat néven, vagy töltsd le a GitHub tárolómból (Katt ide a linkhez) vagy (Közvetlen letöltési Link) és futtasd Rendszergazdaként:

batch

@echo off
setlocal enabledelayedexpansion
title Windows 11 Frissites Kezelo + Naplozas

set LOGFILE=%~dp0win11_update_log.txt

:MENU
cls
echo ===========================================
echo    Windows 11 Frissites Tiltas/Engedelyezes
echo ===========================================
echo.
echo 1. Windows 11 frissites LETILTASA (Win 10 rogzitese)
echo 2. Eredeti allapot VISSZAALLITASA (Frissites engedelyezese)
echo 3. Kilepes
echo.
set /p choice="Valassz egy opciot (1-3): "

if "%choice%"=="1" goto LOCK
if "%choice%"=="2" goto UNLOCK
if "%choice%"=="3" exit
goto MENU

:LOCK
cls
echo [%date% %time%] - LETILTAS INDITVA >> "%LOGFILE%"
echo Szolgaltatasok leallitasa a biztos beallitashoz...
net stop wuauserv >nul 2>&1
net stop bits >nul 2>&1

for /f "tokens=3" %%a in ('reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion" /v DisplayVersion') do set WIN_VER=%%a
if "%WIN_VER%"=="" (
    for /f "tokens=3" %%a in ('reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion" /v ReleaseId') do set WIN_VER=%%a
)

echo Aktualitas Windows 10 verzio: %WIN_VER%
echo Beallitasok alkalmazasa a Registry-ben...

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v TargetReleaseVersion /t REG_DWORD /d 1 /f >nul
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v ProductVersion /t REG_SZ /d "Windows 10" /f >nul
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v TargetReleaseVersionInfo /t REG_SZ /d "%WIN_VER%" /f >nul

echo [%date% %time%] - SIKERES: Win 10 rogzitve (%WIN_VER%) >> "%LOGFILE%"
echo.
echo SIKERES: A rendszer rogzitve a Windows 10 %WIN_VER% verziojanal.
goto REBOOT_PROMPT

:UNLOCK
cls
echo [%date% %time%] - VISSZAALLITAS INDITVA >> "%LOGFILE%"
echo Szolgaltatasok leallitasa a visszaallitashoz...
net stop wuauserv >nul 2>&1
net stop bits >nul 2>&1

echo Korlatozasok eltavolitasa...
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v TargetReleaseVersion /f >nul
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v ProductVersion /f >nul
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v TargetReleaseVersionInfo /f >nul

echo [%date% %time%] - SIKERES: Korlatozasok torolve >> "%LOGFILE%"
echo.
echo SIKERES: A korlatozasok torolve.
goto REBOOT_PROMPT

:REBOOT_PROMPT
echo.
echo ====================================================
echo FIGYELEM: A valtozasok ervenybe leptetesehez
echo UJRAINDITAS SZUKSEGES!
echo ====================================================
echo.
set /p rb="Szeretned most ujrainditani a gepet? (I/N): "
if /i "%rb%"=="I" (
    echo [%date% %time%] - Rendszer ujrainditasa... >> "%LOGFILE%"
    shutdown /r /t 5 /c "A Windows Update beallitasok veglegesitese..."
    exit
)
if /i "%rb%"=="N" (
    echo Szolgaltatasok ujrainditasa...
    net start bits >nul 2>&1
    net start wuauserv >nul 2>&1
    goto MENU
)
exit

Körültekintően használja a kódot!

---

Hogyan működik a szkript? (Lépésről lépésre)

A program lényege, hogy nem csak "kikapcsolja" a frissítéseket (ami veszélyes lenne a biztonsági javítások elmaradása miatt), hanem rögzíti a Windows 10-et mint végcélt (pp. 1-2).

1. Előkészítés és Naplózás

A szkript elején beállítunk egy naplófájlt (win11_update_log.txt), amely ugyanabba a mappába kerül, ahol a futtatható fájl van (pp. 11, 13). Ez rögzíti minden módosítás dátumát és sikerességét.

2. Szolgáltatások leállítása (net stop)

Mielőtt bármit módosítanánk, a szkript leállítja a Windows Update (wuauserv) és a Belső intelligens háttérátviteli szolgáltatást (bits) (pp. 8-9). Erre azért van szükség, hogy a rendszer ne próbáljon meg frissíteni vagy fájlokat zárolni, miközben mi átírjuk a szabályokat (p. 10).

3. Verziószám automatikus detektálása

A kód lekérdezi a Registry-ből (Rendszerleíró adatbázis), hogy pontosan melyik Windows 10 verziót használod (pl. 22H2) (pp. 3, 7). Erre azért van szükség, mert a Windows Update-nek pontosan meg kell adni, hogy melyik szinten álljon meg a rendszer (p. 4).

4. A Registry módosítása (A kulcsfontosságú lépés)

A szkript három értéket hoz létre vagy módosít a HKEY_LOCAL_MACHINE\...\WindowsUpdate útvonalon (pp. 1, 5):

• TargetReleaseVersion: Aktiválja a verziókövetési korlátozást.
• ProductVersion: Megmondja a rendszernek, hogy a céltermék a "Windows 10", és ne keressen magasabb verziót (Windows 11).
• TargetReleaseVersionInfo: Beírja a detektált verziószámot (pl. 22H2), így a Windows ezen a szinten marad (p. 4).

5. Visszaállítás (Unlock)

Ha később mégis kompatibilis gépre kerülsz, vagy meggondolod magad, az UNLOCK rész egyszerűen törli ezeket a korlátozó bejegyzéseket, visszaállítva a gyári állapotot (pp. 5-6).

6. Újraindítás és érvényesítés

A folyamat végén a szkript felajánlja a gép újraindítását (p. 7). Ez kritikus, mivel a Windows Update szolgáltatásai gyakran csak egy teljes rendszerindítás után veszik figyelembe az új Registry-szabályokat (pp. 6, 10). Ha nem indítod újra, a szkript visszakapcsolja a szolgáltatásokat, hogy a biztonsági javítások továbbra is érkezzenek (pp. 10, 12).