Windows PC Biztonsági Megerősítés – Tedd 95%-kal nehezebben feltörhetővé a gépedet

Alapul szolgál: Altsito videó – „Make your PC 95% HARDER to hack in 11 minutes (the easy way)” 
Verzió: 1.0 (2026. március)
GitHub projekt: [IWS - Increase Windows Security (Windows Biztonság növelése) - hamarosan – jelenleg fejlesztés alatt]

Bevezető

(A Cikk szerkesztés alatt, nem teljes!)

Sokan azt hiszik, hogy ha telepítettek egy jó antivírust (legyen az a beépített Windows Defender vagy bármelyik harmadik féltől származó), akkor már biztonságban vannak. A valóság sajnos más: a mai támadások nagy része nem klasszikus vírusokon keresztül történik, hanem exploitokon, elhomályosított script-eken, rosszindulatú makrókon, fizikai hozzáférésen vagy social engineeringen keresztül.

Ebben a részletes útmutatóban nulláról, lépésről lépésre mutatjuk be, hogyan erősítheted meg jelentősen a Windows rendszeredet – a BIOS szintjétől kezdve egészen a biztonsági mentésekig. A cél nem a „100%-os biztonság” (ilyen nem létezik), hanem hogy a gépedből nehéz, költséges (Nem kívánatos) célpont váljon a támadók számára.

A videó alapján készült cikk és a hozzá tartozó GitHub projekt kifejezetten azoknak készült, akik nem akarnak enterprise szintű eszközöket vagy bonyolult konfigurációkat, de komolyan szeretnék venni a saját digitális biztonságukat.

GitHub projekt célja: Egy egyszerű „egy kattintásos” telepítő kezdőknek (GUI), valamint külön PowerShell script-ek haladó felhasználóknak. Így bárki könnyen alkalmazhatja a lépéseket. (Figyelem! Kizárólag a felelősség teljes kizárása mellett használható! Amennyiben nem tudod, hogy mit csinálsz, inkább menj szakemberhez!)

1. UEFI BIOS szintű védelem – Az első védelmi vonal

A támadások egy része fizikai hozzáféréssel indul (pl. evil maid támadás, Rubber Ducky eszköz). Ezeket a BIOS szintjén lehet a leghatékonyabban megakadályozni.

Lépések:

• Erős BIOS/UEFI jelszó beállítása
  Indítsd újra a gépet és lépj be a BIOS-ba (általában Del, F2, F10 vagy F12). Állíts be egy erős, legalább 12 karakteres jelszót.
  
  
• Secure Boot engedélyezése
  Ez megakadályozza, hogy nem aláírt, rosszindulatú bootloaderek induljanak el.
  Figyelem: Ha Linuxot használsz dual-bootban, lehet, hogy extra lépések kellenek (pl. saját kulcsok regisztrálása).
  
  
• Kernel DMA Protection (Memory Protection) bekapcsolása
  Véd a Thunderbolt/USB-C alapú közvetlen memória-hozzáféréses (DMA) támadások ellen.

Miért fontos?

Ha valaki fizikailag hozzáfér a gépedhez, ezek nélkül percek alatt átveheti az irányítást.
GitHub támogatás: Részletes BIOS checklist és screenshot útmutató → (GitHub: /docs/bios-checklist.md)

2. Windows operációs rendszer megerősítése – A legfontosabb rész

Itt történik a legnagyobb ugrás a biztonságban.

Lépések:

1. Exploit Protection finomhangolása
   Nyisd meg a "Windows Security → App & browser control → Exploit protection".
   Állítsd be a rendszer- és programbeállításokat ajánlott értékekre (pl. Control Flow Guard, Data Execution Prevention).
   
   
2. Attack Surface Reduction (ASR) szabályok bekapcsolása
   Ezek a szabályok blokkolják a leggyakoribb támadási vektorokat (makrók, script-ek, exploitok).
   Ajánlott szabályok (Microsoft hivatalos referencia alapján):
1. Block obfuscated (rejtett) JS/VBS/PowerShell/makró kód
2. Block executable content from email client and webmail
3. Block abuse of exploited vulnerable signed drivers
4. Block credential stealing from lsass.exe
5. Use advanced protection against ransomware
6. További szabályok listája a GitHub mellékletben (Hamarosan).
   
   Hivatalos Microsoft dokumentáció: Attack surface reduction rules reference
   Ajánlott módszer: Először Audit mode-ban teszteld (csak naplózza a blokkolásokat), majd kapcsold Block módba (Ez egy minimális erőfeszítést, és hozzáértést kíván meg. - és türelmet!).
   
   
3. Felesleges szolgáltatások és bloatware letiltása
   Csökkentsd a támadási felületet felesleges programok eltávolításával.
   
   
4. Virtualization-Based Security (VBS) + Core Isolation (Memory Integrity)
   Ez virtualizációval izolálja a kernelt a támadásoktól – komolyabb védelem, de némi teljesítménycsökkenéssel járhat (5–15%).
   Útmutató: "Windows Security → Device security → Core isolation details → Memory integrity" bekapcsolása.
   További infó: Enable virtualization-based protection of code integrity
   
   
5. Microsoft Vulnerable Driver Blocklist engedélyezése
   Blokkolja a ismert sebezhető illesztőprogramokat.
   PowerShell parancs (adminisztrátorként):
   

            Set-MpPreference -EnableVulnerableDriverBlocklist $true

GitHub automatizálás (a projekt szíve):

Egyetlen script, ami ASR szabályokat, VBS-t, Vulnerable Driver Blocklist-et és debloatingot kezel → (GitHub: /scripts/harden-windows-core.ps1 - Hamarosan!)
Külön .reg fájlok és audit mode támogatással.

3. Hálózati védelem

1. Quad9 DNS + DNS over HTTPS (DoH)
   Encryptálja a DNS-lekérdezéseket, blokkolja a rosszindulatú domaineket.
   Beállítás Windows 11-en:
   Beállítások → Hálózat és internet → [Wi-Fi/Ethernet] → Szerkesztés → DNS server assignment → Manual → Preferred DNS: 9.9.9.9, Alternate: 149.112.112.112, DNS over HTTPS: On.
   Hivatalos útmutató: Quad9 Windows 11 Encrypted setup
   
   
2. SimpleWall outbound tűzfal
   Csak a szükséges alkalmazások mehetnek ki az internetre.
   Projekt: henrypp/simplewall

GitHub támogatás:

PowerShell script a Quad9 DoH beállításához → (GitHub: /scripts/set-quad9-doh.ps1 - Hamarosan...)

Ajánlott SimpleWall konfiguráció → (GitHub: /configs/simplewall/ - Hamarosan...)

4. Fizikai és OpSec védelem

• Engedély nélküli USB eszközök blokkolása (Group Policy vagy registry).
• Rubber Ducky / BadUSB támadások elleni védelem.
• Nyilvános helyen USB Condom (csak töltés, adatátvitel nélkül) használata.
  
  

GitHub:
USB restriction template → (GitHub: /configs/usb-restriction/ - hamarosan...)

5. Böngésző és identitásvédelem

• Böngésző hardening: uBlock Origin + script blokkolás (NoScript-szerű).
• Bitwarden jelszókezelő erős, egyedi jelszavakkal.
• Least Privilege elv: mindennapi használat standard felhasználói fiókkal (nem adminisztrátorként).
• Hardveres 2FA (Pl.: YubiKey) preferálása az SMS-sel szemben.
  
  

GitHub:
Böngésző beállítások export script → (GitHub: /scripts/browser-hardening.ps1 - Hamarosan...)

6. Monitoring és perzisztencia-ellenőrzés

• Autoruns (Sysinternals): mi fut el indításkor? Töltsd le innen: Sysinternals Autoruns
• Gyanús fájlok ellenőrzése VirusTotal-on + digitális aláírás ellenőrzése.
  
  

GitHub:
Egyszerű wrapper script jelentés készítéséhez → (GitHub: /scripts/check-autoruns.ps1 - Hamarosan...)

7. Biztonsági mentések – 3-2-1 szabály

• 3 példány az adatokról
• 2 különböző típusú eszköz (pl. külső HDD + felhő)
• 1 offline / off-site (titkosított külső meghajtó, lehetőleg nem mindig csatlakoztatva)
  
  

Ajánlott eszközök és egyszerű ellenőrző script a GitHub-on (Hamarosan...).

Következtetés

Nincs tökéletes biztonság, de ezekkel a lépésekkel a géped már jelentősen nehezebb célpont lesz a támadók számára. Az antivírus csak az utolsó védelmi vonal – a valódi erő a támadási felület csökkentésében van.

Ez a cikk és a GitHub projekt a sorozat első része.
A folytatásban még mélyebb témák jönnek (pl. Windows Defender Application Control / WDAC, teljes rendszer imaging, advanced logging).

Hogyan járulhatsz hozzá a projekthez?

• Teszteld a script-eket különböző hardvereken
• Jelents hibákat az Issues szekcióban (GitHub-en)
• Küldj pull request-et

Kapcsolat:

A GitHub repo Issues oldala vagy az Elérhetőségek menüponton keresztül

GYIK (Gyakran Ismételt Kérdések)

1. Mi történik, ha bekapcsolom a VBS + Core Isolation-t? Lassabb lesz a gép?
   
   Igen, 5–15%-os teljesítménycsökkenés lehetséges (főleg játékoknál vagy nehéz alkalmazásoknál). Teszteld Audit módban először, és ha problémád van, kikapcsolhatod. Sok modern gépen (2024–2026-os processzorok) alig érezhető.
   
   
   
2. Audit mód vagy Block mód? Melyiket válasszam először?
   
   Mindig Audit móddal kezdd!
   A script alapértelmezett Audit módot állít be. Így csak naplózza a blokkolásokat, de nem akadályoz semmit. 1–2 hét használat után kapcsold Block módra (a script paraméterrel).
   
   
   
3. Kompatibilitási probléma lép fel (pl. bizonyos programok nem indulnak). Mit tegyek?
   
   
1. Ellenőrizd az Eseménynaplót (Event Viewer → Applications and Services Logs → Microsoft → Windows → Windows Defender → Operational).
2. ASR szabályoknál kizárásokat adhatsz hozzá (a GitHub script később támogatni fogja).
3. VBS esetén: ha nem kompatibilis a hardver, a Windows Security automatikusan jelezni fogja.
   
   
   
4. Kell-e reboot minden lépés után?
   
   ASR és Vulnerable Driver Blocklist esetén nem feltétlenül, de VBS/Core Isolation után igen. A script a végén mindig figyelmeztet.
   
   
   
5. Működik Windows 10-en és Windows 11-en is?
   
   Igen (Windows 10 1709+ és Windows 11 bármely verzió). Windows Server esetén néhány szabály korlátozott.
   
   
   
6. Mi van, ha nem tudom a BIOS-t elérni vagy Secure Boot-ot bekapcsolni?
   
   Ez a cikk Windows-oldali részére koncentrál. A BIOS rész külön checklist-ben lesz a GitHub-on.
   
   
   
7. Biztonságosabb lesz, mint a sima Windows Defender?
   
   Igen – drasztikusan csökkenti a támadási felületet. A Defender továbbra is fut, csak most sokkal kevesebb dolgot kell védenie.
   
   
   
8. Kell-e fizetni valamiért?
   
   Nem. Minden ingyenes (beépített Windows eszközök + nyílt forráskódú SimpleWall, Bitwarden stb.).

Mellékletek

Melléklet A – Ajánlott ASR szabályok teljes listája (a cikkben használt 5 legfontosabb)