Windows PC Biztonsági Megerősítés – Tedd 95%-kal nehezebben feltörhetővé a gépedet

Alapul szolgál: Altsito videó – „Make your PC 95% HARDER to hack in 11 minutes (the easy way)” 
Verzió: 1.0 (2026. március)
GitHub projekt: [IWS - Increase Windows Security (Windows Biztonság növelése) - hamarosan – jelenleg fejlesztés alatt]

Bevezető

(A Cikk szerkesztés alatt, nem teljes!)

Sokan azt hiszik, hogy ha telepítettek egy jó antivírust (legyen az a beépített Windows Defender vagy bármelyik harmadik féltől származó), akkor már biztonságban vannak. A valóság sajnos más: a mai támadások nagy része nem klasszikus vírusokon keresztül történik, hanem exploitokon, elhomályosított script-eken, rosszindulatú makrókon, fizikai hozzáférésen vagy social engineeringen keresztül.

Ebben a részletes útmutatóban nulláról, lépésről lépésre mutatjuk be, hogyan erősítheted meg jelentősen a Windows rendszeredet – a BIOS szintjétől kezdve egészen a biztonsági mentésekig. A cél nem a „100%-os biztonság” (ilyen nem létezik), hanem hogy a gépedből nehéz, költséges (Nem kívánatos) célpont váljon a támadók számára.

A videó alapján készült cikk és a hozzá tartozó GitHub projekt kifejezetten azoknak készült, akik nem akarnak enterprise szintű eszközöket vagy bonyolult konfigurációkat, de komolyan szeretnék venni a saját digitális biztonságukat.

GitHub projekt célja: Egy egyszerű „egy kattintásos” telepítő kezdőknek (GUI), valamint külön PowerShell script-ek haladó felhasználóknak. Így bárki könnyen alkalmazhatja a lépéseket. (Figyelem! Kizárólag a felelősség teljes kizárása mellett használható! Amennyiben nem tudod, hogy mit csinálsz, inkább menj szakemberhez!)

1. UEFI BIOS szintű védelem – Az első védelmi vonal

A támadások egy része fizikai hozzáféréssel indul (pl. evil maid támadás, Rubber Ducky eszköz). Ezeket a BIOS szintjén lehet a leghatékonyabban megakadályozni.

Lépések:

• Erős BIOS/UEFI jelszó beállítása
  Indítsd újra a gépet és lépj be a BIOS-ba (általában Del, F2, F10 vagy F12). Állíts be egy erős, legalább 12 karakteres jelszót.
  
  
• Secure Boot engedélyezése
  Ez megakadályozza, hogy nem aláírt, rosszindulatú bootloaderek induljanak el.
  Figyelem: Ha Linuxot használsz dual-bootban, lehet, hogy extra lépések kellenek (pl. saját kulcsok regisztrálása).
  
  
• Kernel DMA Protection (Memory Protection) bekapcsolása
  Véd a Thunderbolt/USB-C alapú közvetlen memória-hozzáféréses (DMA) támadások ellen.

Miért fontos?

Ha valaki fizikailag hozzáfér a gépedhez, ezek nélkül percek alatt átveheti az irányítást.
GitHub támogatás: Részletes BIOS checklist és screenshot útmutató → (GitHub: /docs/bios-checklist.md)

2. Windows operációs rendszer megerősítése – A legfontosabb rész

Itt történik a legnagyobb ugrás a biztonságban.

Lépések:

1. Exploit Protection finomhangolása
   Nyisd meg a "Windows Security → App & browser control → Exploit protection".
   Állítsd be a rendszer- és programbeállításokat ajánlott értékekre (pl. Control Flow Guard, Data Execution Prevention).
   
   
2. Attack Surface Reduction (ASR) szabályok bekapcsolása
   Ezek a szabályok blokkolják a leggyakoribb támadási vektorokat (makrók, script-ek, exploitok).
   Ajánlott szabályok (Microsoft hivatalos referencia alapján):
1. Block obfuscated (rejtett) JS/VBS/PowerShell/makró kód
2. Block executable content from email client and webmail
3. Block abuse of exploited vulnerable signed drivers
4. Block credential stealing from lsass.exe
5. Use advanced protection against ransomware
6. További szabályok listája a GitHub mellékletben (Hamarosan).
   
   Hivatalos Microsoft dokumentáció: Attack surface reduction rules reference
   Ajánlott módszer: Először Audit mode-ban teszteld (csak naplózza a blokkolásokat), majd kapcsold Block módba (Ez egy minimális erőfeszítést, és hozzáértést kíván meg. - és türelmet!).
   
   
3. Felesleges szolgáltatások és bloatware letiltása
   Csökkentsd a támadási felületet felesleges programok eltávolításával.
   
   
4. Virtualization-Based Security (VBS) + Core Isolation (Memory Integrity)
   Ez virtualizációval izolálja a kernelt a támadásoktól – komolyabb védelem, de némi teljesítménycsökkenéssel járhat (5–15%).
   Útmutató: "Windows Security → Device security → Core isolation details → Memory integrity" bekapcsolása.
   További infó: Enable virtualization-based protection of code integrity
   
   
5. Microsoft Vulnerable Driver Blocklist engedélyezése
   Blokkolja a ismert sebezhető illesztőprogramokat.
   PowerShell parancs (adminisztrátorként):
   

            Set-MpPreference -EnableVulnerableDriverBlocklist $true

GitHub automatizálás (a projekt szíve):

Egyetlen script, ami ASR szabályokat, VBS-t, Vulnerable Driver Blocklist-et és debloatingot kezel → (GitHub: /scripts/harden-windows-core.ps1 - Hamarosan!)
Külön .reg fájlok és audit mode támogatással.

3. Hálózati védelem

1. Quad9 DNS + DNS over HTTPS (DoH)
   Encryptálja a DNS-lekérdezéseket, blokkolja a rosszindulatú domaineket.
   Beállítás Windows 11-en:
   Beállítások → Hálózat és internet → [Wi-Fi/Ethernet] → Szerkesztés → DNS server assignment → Manual → Preferred DNS: 9.9.9.9, Alternate: 149.112.112.112, DNS over HTTPS: On.
   Hivatalos útmutató: Quad9 Windows 11 Encrypted setup
   
   
2. SimpleWall outbound tűzfal
   Csak a szükséges alkalmazások mehetnek ki az internetre.
   Projekt: henrypp/simplewall

GitHub támogatás:

PowerShell script a Quad9 DoH beállításához → (GitHub: /scripts/set-quad9-doh.ps1 - Hamarosan...)

Ajánlott SimpleWall konfiguráció → (GitHub: /configs/simplewall/ - Hamarosan...)

4. Fizikai és OpSec védelem

• Engedély nélküli USB eszközök blokkolása (Group Policy vagy registry).
• Rubber Ducky / BadUSB támadások elleni védelem.
• Nyilvános helyen USB Condom (csak töltés, adatátvitel nélkül) használata.
  
  

GitHub:
USB restriction template → (GitHub: /configs/usb-restriction/ - hamarosan...)

5. Böngésző és identitásvédelem

• Böngésző hardening: uBlock Origin + script blokkolás (NoScript-szerű).
• Bitwarden jelszókezelő erős, egyedi jelszavakkal.
• Least Privilege elv: mindennapi használat standard felhasználói fiókkal (nem adminisztrátorként).
• Hardveres 2FA (Pl.: YubiKey) preferálása az SMS-sel szemben.
  
  

GitHub:
Böngésző beállítások export script → (GitHub: /scripts/browser-hardening.ps1 - Hamarosan...)

6. Monitoring és perzisztencia-ellenőrzés

• Autoruns (Sysinternals): mi fut el indításkor? Töltsd le innen: Sysinternals Autoruns
• Gyanús fájlok ellenőrzése VirusTotal-on + digitális aláírás ellenőrzése.
  
  

GitHub:
Egyszerű wrapper script jelentés készítéséhez → (GitHub: /scripts/check-autoruns.ps1 - Hamarosan...)

7. Biztonsági mentések – 3-2-1 szabály

• 3 példány az adatokról
• 2 különböző típusú eszköz (pl. külső HDD + felhő)
• 1 offline / off-site (titkosított külső meghajtó, lehetőleg nem mindig csatlakoztatva)
  
  

Ajánlott eszközök és egyszerű ellenőrző script a GitHub-on (Hamarosan...).

Következtetés

Nincs tökéletes biztonság, de ezekkel a lépésekkel a géped már jelentősen nehezebb célpont lesz a támadók számára. Az antivírus csak az utolsó védelmi vonal – a valódi erő a támadási felület csökkentésében van.

Ez a cikk és a GitHub projekt a sorozat első része.
A folytatásban még mélyebb témák jönnek (pl. Windows Defender Application Control / WDAC, teljes rendszer imaging, advanced logging).

Hogyan járulhatsz hozzá a projekthez?

• Teszteld a script-eket különböző hardvereken
• Jelents hibákat az Issues szekcióban (GitHub-en)
• Küldj pull request-et

Kapcsolat:

A GitHub repo Issues oldala vagy az Elérhetőségek menüponton keresztül

GYIK (Gyakran Ismételt Kérdések)

1. Mi történik, ha bekapcsolom a VBS + Core Isolation-t? Lassabb lesz a gép?
   
   Igen, 5–15%-os teljesítménycsökkenés lehetséges (főleg játékoknál vagy nehéz alkalmazásoknál). Teszteld Audit módban először, és ha problémád van, kikapcsolhatod. Sok modern gépen (2024–2026-os processzorok) alig érezhető.
   
   
   
2. Audit mód vagy Block mód? Melyiket válasszam először?
   
   Mindig Audit móddal kezdd!
   A script alapértelmezett Audit módot állít be. Így csak naplózza a blokkolásokat, de nem akadályoz semmit. 1–2 hét használat után kapcsold Block módra (a script paraméterrel).
   
   
   
3. Kompatibilitási probléma lép fel (pl. bizonyos programok nem indulnak). Mit tegyek?
   
   
1. Ellenőrizd az Eseménynaplót (Event Viewer → Applications and Services Logs → Microsoft → Windows → Windows Defender → Operational).
2. ASR szabályoknál kizárásokat adhatsz hozzá (a GitHub script később támogatni fogja).
3. VBS esetén: ha nem kompatibilis a hardver, a Windows Security automatikusan jelezni fogja.
   
   
   
4. Kell-e reboot minden lépés után?
   
   ASR és Vulnerable Driver Blocklist esetén nem feltétlenül, de VBS/Core Isolation után igen. A script a végén mindig figyelmeztet.
   
   
   
5. Működik Windows 10-en és Windows 11-en is?
   
   Igen (Windows 10 1709+ és Windows 11 bármely verzió). Windows Server esetén néhány szabály korlátozott.
   
   
   
6. Mi van, ha nem tudom a BIOS-t elérni vagy Secure Boot-ot bekapcsolni?
   
   Ez a cikk Windows-oldali részére koncentrál. A BIOS rész külön checklist-ben lesz a GitHub-on.
   
   
   
7. Biztonságosabb lesz, mint a sima Windows Defender?
   
   Igen – drasztikusan csökkenti a támadási felületet. A Defender továbbra is fut, csak most sokkal kevesebb dolgot kell védenie.
   
   
   
8. Kell-e fizetni valamiért?
   
   Nem. Minden ingyenes (beépített Windows eszközök + nyílt forráskódú SimpleWall, Bitwarden stb.).

Mellékletek

Melléklet A – Ajánlott ASR szabályok listája (a cikkben használt 5 legfontosabb)

Szabály neve	GUID	Leírás rövidítve	Ajánlott mód
Block abuse of exploited vulnerable signed drivers	56a863a9-875e-4185-98a7-b882c64b5ce5	Sebezhető driver-ek blokkolása	Block
Block credential stealing from lsass.exe	9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2	Jelszavak lopása elleni védelem	Block
Block execution of potentially obfuscated scripts	5beb7efe-fd9a-4556-801d-275e5ffc04cc	Elhomályosított script-ek blokkolása	Block
Block executable content from email client…	be9ba2d9-53ea-4cdc-84e5-9b1eeee46550	Emailből érkező futtatható fájlok	Block
Use advanced protection against ransomware	c1db55ab-c21a-4637-bb3f-a12568109d35	Fejlett ransomware védelem	Block

Melléklet B – PowerShell script-ek indexe (GitHub terv)

• harden-windows-core.ps1 ← most készül (lásd hamarosan)
• set-quad9-doh.ps1
• check-autoruns.ps1
• browser-hardening.ps1
• usb-restriction.ps1 (később)

Melléklet C – Teljesítmény- és kompatibilitás (VBS bekapcsolása után) ellenőrzés

(ide később képernyőképek és parancsok kerülnek)

Hogyan tiltsuk le, hogy a Windows10 Windows11-re frissítse magát?

 Eleged van az erőszakos Windows 11 frissítésből? Itt a megoldás!

Sok laptop és asztali gép felhasználó szembesül azzal a dühítő jelenséggel, hogy a Microsoft akkor is erőlteti a Windows 11-re való frissítést, ha a gép hardveresen nem kompatibilis vele.

Ez gyakran összeomláshoz és teljes újratelepítéshez vezet.

Az alábbi szkript segítségével végleg megállíthatod ezt a folyamatot.

A vezérlő kód (Batch fájl)

Másold ki az alábbi kódot, mentsd el win11_stop.bat néven, vagy töltsd le a GitHub tárolómból (Katt ide a linkhez) vagy (Közvetlen letöltési Link) és futtasd Rendszergazdaként:

batch

@echo off
setlocal enabledelayedexpansion
title Windows 11 Frissites Kezelo + Naplozas

set LOGFILE=%~dp0win11_update_log.txt

:MENU
cls
echo ===========================================
echo    Windows 11 Frissites Tiltas/Engedelyezes
echo ===========================================
echo.
echo 1. Windows 11 frissites LETILTASA (Win 10 rogzitese)
echo 2. Eredeti allapot VISSZAALLITASA (Frissites engedelyezese)
echo 3. Kilepes
echo.
set /p choice="Valassz egy opciot (1-3): "

if "%choice%"=="1" goto LOCK
if "%choice%"=="2" goto UNLOCK
if "%choice%"=="3" exit
goto MENU

:LOCK
cls
echo [%date% %time%] - LETILTAS INDITVA >> "%LOGFILE%"
echo Szolgaltatasok leallitasa a biztos beallitashoz...
net stop wuauserv >nul 2>&1
net stop bits >nul 2>&1

for /f "tokens=3" %%a in ('reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion" /v DisplayVersion') do set WIN_VER=%%a
if "%WIN_VER%"=="" (
    for /f "tokens=3" %%a in ('reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion" /v ReleaseId') do set WIN_VER=%%a
)

echo Aktualitas Windows 10 verzio: %WIN_VER%
echo Beallitasok alkalmazasa a Registry-ben...

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v TargetReleaseVersion /t REG_DWORD /d 1 /f >nul
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v ProductVersion /t REG_SZ /d "Windows 10" /f >nul
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v TargetReleaseVersionInfo /t REG_SZ /d "%WIN_VER%" /f >nul

echo [%date% %time%] - SIKERES: Win 10 rogzitve (%WIN_VER%) >> "%LOGFILE%"
echo.
echo SIKERES: A rendszer rogzitve a Windows 10 %WIN_VER% verziojanal.
goto REBOOT_PROMPT

:UNLOCK
cls
echo [%date% %time%] - VISSZAALLITAS INDITVA >> "%LOGFILE%"
echo Szolgaltatasok leallitasa a visszaallitashoz...
net stop wuauserv >nul 2>&1
net stop bits >nul 2>&1

echo Korlatozasok eltavolitasa...
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v TargetReleaseVersion /f >nul
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v ProductVersion /f >nul
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v TargetReleaseVersionInfo /f >nul

echo [%date% %time%] - SIKERES: Korlatozasok torolve >> "%LOGFILE%"
echo.
echo SIKERES: A korlatozasok torolve.
goto REBOOT_PROMPT

:REBOOT_PROMPT
echo.
echo ====================================================
echo FIGYELEM: A valtozasok ervenybe leptetesehez
echo UJRAINDITAS SZUKSEGES!
echo ====================================================
echo.
set /p rb="Szeretned most ujrainditani a gepet? (I/N): "
if /i "%rb%"=="I" (
    echo [%date% %time%] - Rendszer ujrainditasa... >> "%LOGFILE%"
    shutdown /r /t 5 /c "A Windows Update beallitasok veglegesitese..."
    exit
)
if /i "%rb%"=="N" (
    echo Szolgaltatasok ujrainditasa...
    net start bits >nul 2>&1
    net start wuauserv >nul 2>&1
    goto MENU
)
exit

Körültekintően használja a kódot!

---

Hogyan működik a szkript? (Lépésről lépésre)

A program lényege, hogy nem csak "kikapcsolja" a frissítéseket (ami veszélyes lenne a biztonsági javítások elmaradása miatt), hanem rögzíti a Windows 10-et mint végcélt (pp. 1-2).

1. Előkészítés és Naplózás

A szkript elején beállítunk egy naplófájlt (win11_update_log.txt), amely ugyanabba a mappába kerül, ahol a futtatható fájl van (pp. 11, 13). Ez rögzíti minden módosítás dátumát és sikerességét.

2. Szolgáltatások leállítása (net stop)

Mielőtt bármit módosítanánk, a szkript leállítja a Windows Update (wuauserv) és a Belső intelligens háttérátviteli szolgáltatást (bits) (pp. 8-9). Erre azért van szükség, hogy a rendszer ne próbáljon meg frissíteni vagy fájlokat zárolni, miközben mi átírjuk a szabályokat (p. 10).

3. Verziószám automatikus detektálása

A kód lekérdezi a Registry-ből (Rendszerleíró adatbázis), hogy pontosan melyik Windows 10 verziót használod (pl. 22H2) (pp. 3, 7). Erre azért van szükség, mert a Windows Update-nek pontosan meg kell adni, hogy melyik szinten álljon meg a rendszer (p. 4).

4. A Registry módosítása (A kulcsfontosságú lépés)

A szkript három értéket hoz létre vagy módosít a HKEY_LOCAL_MACHINE\...\WindowsUpdate útvonalon (pp. 1, 5):

• TargetReleaseVersion: Aktiválja a verziókövetési korlátozást.
• ProductVersion: Megmondja a rendszernek, hogy a céltermék a "Windows 10", és ne keressen magasabb verziót (Windows 11).
• TargetReleaseVersionInfo: Beírja a detektált verziószámot (pl. 22H2), így a Windows ezen a szinten marad (p. 4).

5. Visszaállítás (Unlock)

Ha később mégis kompatibilis gépre kerülsz, vagy meggondolod magad, az UNLOCK rész egyszerűen törli ezeket a korlátozó bejegyzéseket, visszaállítva a gyári állapotot (pp. 5-6).

6. Újraindítás és érvényesítés

A folyamat végén a szkript felajánlja a gép újraindítását (p. 7). Ez kritikus, mivel a Windows Update szolgáltatásai gyakran csak egy teljes rendszerindítás után veszik figyelembe az új Registry-szabályokat (pp. 6, 10). Ha nem indítod újra, a szkript visszakapcsolja a szolgáltatásokat, hogy a biztonsági javítások továbbra is érkezzenek (pp. 10, 12).