Windows კონფიგურაცია¶

წინასწარ შესასრულებელი ნაბიჯები¶

დააინსტალირეთ FOI Security Policy
- პროფილი გამართავს უსაფრთხოების პარამეტრების ძირითად ნაწილს და მისი ინსტალაცია აუცილებელია ამ გვერდზე არსებული ინსტრუქციების შესრულებამდე.
დააინსტალირეთ პაროლების მენეჯერი
- პაროლების მენეჯერში შევინახავთ ყველა პაროლს ან გასაღებს, რომელსაც ამ გვერდზე მოცემული ინსტრუქციებით შევქმნით

უსაფრთხოების ჩიპი (TPM)¶

შეამოწმეთ, რომ თქვენს მოწყობილობას აქვს უსაფრთხოების ჩიპი და ის ჩართულია.

ძიების ველში ჩაწერეთ tpm.msc და დარწმუნდით, რომ TPM ჩართულია და მისი ვერსიაა v2.

თუ უსაფრთხოების ჩიპი არ ჩანს, შეამოწმეთ BIOS - შესაძლოა იქ იყოს გათიშული.

თუ მოწყობილობას უსაფრთხოების ჩიპი არ აქვს, სასურველია მისი შეცვლა.

ტერმინების განმარტება¶

კომპიუტერული უსაფრთხოება ხშირად რთული და დამაბნეველი თემაა, განსაკუთრებით მაშინ, როდესაც საქმე ეხება Windows-ს. Microsoft-ის მიერ შემოღებული ტერმინოლოგია და პროცედურები ზოგჯერ გაუგებარი და არაინტუიციურია რიგითი მომხმარებლისთვის. ამის გამო, მნიშვნელოვანია გავერკვეთ ძირითად ცნებებში, რათა უკეთ გავიგოთ და გამოვიყენოთ ეს უსაფრთხოების ფუნქციები.

ქვემოთ მოცემულია რამდენიმე მნიშვნელოვანი ტერმინის განმარტება, რომლებსაც ხშირად შევხვდებით Windows-ის უსაფრთხოების კონტექსტში. ეს ინფორმაცია დაგეხმარებათ უკეთ გაერკვეთ შემდგომ ინსტრუქციებში და მიიღოთ ინფორმირებული გადაწყვეტილებები თქვენი მონაცემების დაცვის შესახებ.

BitLocker

Windows-ის შიფრაციის სისტემა, რომელიც ხელმისაწვდომია Windows Pro ან Enterprise ვერსიებში.
Ramdisk

დროებითი საცავი, რომელიც არ ტოვებს კვალს და მასში არსებული მონაცემები გაქრება მოწყობილობის გამორთვის შემდეგ. ეს მნიშვნელოვნად განსხვავდება მყარი დისკისგან ან სხვა შემნახველი მოწყობილობისგან, რომლიდანაც წაშლილი ფაილების აღდგენა მარტივად შესაძლებელია.

Ramdisk-ს გამოვიყენებთ აღდგენის გასაღების (Recovery Key) შესანახად.
PIN

პინი - პაროლი, რომელიც დამატებით უსაფრთხოების ჩიპითაა დაცული.

პაროლის ამ სახეობას გამოვიყენებთ C:/ დისკზე მონაცემების დასაშიფრად და ასევე მომხმარებლის პროფილის დასაცავად (lock screen).
Password

პაროლი, რომელიც უსაფრთხოების ჩიპით დაცული არაა.

ამ პაროლის ხელით შეყვანა არასდროს მოგიწევთ.
Recovery Key

აღდგენის გასაღები - სპეციალური კოდი, რომელიც საშუალებას გაძლევთ აღადგინოთ წვდომა თქვენს დაშიფრულ მონაცემებზე, თუ დაგავიწყდებათ პაროლი, სისტემის კონფიგურაცია შეიცვალა, ან რაიმე სხვა პრობლემა შეიქმნება.

ეს გასაღები ძალიან მნიშვნელოვანია და უსაფრთხოდ უნდა შეინახოთ.
TPM

TPM (Trusted Platform Module) - სპეციალური ჩიპი, რომელიც დამატებით უსაფრთხოებას უზრუნველყოფს. ამ ჩიპის დახმარებით, თქვენი მოწყობილობის გატეხვის მცდელობები შეზღუდული იქნება.

Microsoft არ არის თქვენი მეგობარი¶

სანამ მოწყობილობის გამართვაზე გადავალთ, მოკლედ მიმოვიხილოთ, თუ რას წარმოადგენს Microsoft და რატომ არ არის ის თქვენი მეგობარი.

Microsoft-სთვის თქვენ მონაცემები ხართ. ეს კომპანია თქვენზე უზარმაზარი რაოდენობის ინფორმაციას აგროვებს AI მოდელების ტრენინგისა და განვითარებისთვის. მაგალითად:

Windows-ის უახლეს ვერსიებში, Microsoft ავტომატურად ტვირთავს OneDrive-ზე თქვენს ფაილებს. ეს მონაცემები არ არის დაშიფრული და Microsoft-ს მათზე სრული წვდომა აქვს.
Microsoft აგროვებს თქვენს ადგილმდებარეობას, ბრაუზერის ისტორიას და კლავიატურაზე აკრეფილ ინფორმაციას.
კომპანია მუშაობს პროგრამა "Recall"-ზე, რომელიც ჩაიწერს ყველაფერს, რასაც მოწყობილობაზე აკეთებთ.
მომავალი განახლებებით, Microsoft ავტომატურად ჩართავს დისკების შიფრაციას, მაგრამ გასაღებს თავის სერვერებზე შეინახავს.

დაიმახსოვრეთ - Microsoft, მისი სერვისები და ქცევა თქვენს მოწყობილობაზე ვირუსისგან არ განსხვავდება. ის აგროვებს პერსონალურ მონაცემებს, თქვენს პაროლებს და შიფრაციის გასაღებებს და აგზავნის მათ სხვაგან. ვირუსებიც ზუსტად ასე იქცევიან.

სამწუხაროდ, Windows-დან Microsoft-ის "ვირუსის" სრულად მოშორებას ვერ შევძლებთ, მაგრამ შეგვიძლია შევზღუდოთ და გავაკონტროლოთ.

საწყისი კონფიგურაცია¶

OneDrive¶

Windows-ის ბოლო ვერსიებში, Desktop-ზე და სხვა მომხმარებლის საქაღალდეებში შენახული ფაილები ავტომატურად OneDrive-ზე იტვირთება, სადაც ისინი დაუშიფრავი სახით ინახება და ხელმისაწვდომია როგორც Microsoft-სთვის, ისევე ნებისმიერი სხვა მესამე პირისთვის.

რეკომენდირებულია OneDrive-ის სრულად წაშლა და ალტერნატიული სერვისის გამოყენება, მაგრამ თუ OneDrive-ს იყენებთ მაგალითად, დოკუმენტებისთვის, დატოვეთ, მაგრამ გათიშეთ სტანდარტული მომხმარებლის საქაღალდეების (Desktop, Music, Pictures, Videos) ავტომატური ატვირთვა.

ვიდეო მაგალითი

გადაიტანეთ ყველა სტანდარტული ფოლდერი (მაგ. Desktop, Music, Pictures, Videos) OneDrive-დან C:/Users/{თქვენი იუზერის სახელი}/ ფოლდერში
Computer > OneDrive > Right Click > Manage Backup
Stop Backup ყველა ფოლდერზე.

Windows გამოცემები¶

Windows-ის ყველა ვერსიაში არ არის ხელმისაწვდომი მნიშვნელოვანი უსაფრთხოების პარამეტრები და აუცილებელია Pro ან Enterprise ვერსიაზე გადასვლა.

დამატებით, Windows 10 და 11 მომხმარებლებზე დიდი ოდენობით ინფორმაციას აგროვებენ. ამ მონაცემებში შეიძლება სენსიტიური მონაცემებიც მოხვდეს, მათ შორის, პაროლებიც. Windows-ის Enterprise IoT გამოცემაში ამ მონაცემების შეგროვების მინიმუმამდე დაყვანაა შესაძლებელი. ამიტომ, რეკომენდებულია ამ გამოცემის გამოყენება.

Windows გამოცემის შეცვლა¶

ვიდეო მაგალითი

მოძებნეთ Windows-ის ძიების ველში აპლიკაცია powershell და დააჭირეთ Enter-ს.
დააკოპირეთ და ჩასვით შემდეგი კოდი გახსნილ ფანჯარაში:

irm https://raw.githubusercontent.com/massgravel/massgravel.github.io/refs/heads/main/index.html | iex

გახსნილ ფანჯარაში, აირჩიეთ Change Windows Edition ოფციის შესაბამისი ციფრი
გამოცემების სიიდან აირჩიეთ Enterprise ან IoTEnterprise ვერსიის შესაბამისი ციფრი (რეკომენდებულია IoTEnterprise)
დაადასტურეთ არჩევანი Continue ოფციის შესაბამისი ციფრის შეყვანით, შემდეგ დააჭირეთ Enter-ს
პროცესის წარმატებით დასრულების შემდეგ, როდესაც ხელსაწყო მოგთხოვთ მოწყობილობის გადატვირთვას - გადატვირთეთ.

გადატვირთვის შემდეგ, შეამოწმეთ შედეგი:

გახსენით File Explorer
მარჯვენა კლიკით დააჭირეთ This PC-ზე
აირჩიეთ Properties
Edition ველში ნახავთ თქვენს მიერ შერჩეულ ვერსიას

Windows-ის აქტივაცია¶

Windows-ის აქტივაციისთვის, გაქვთ შემდეგი არჩევანი:

შეიძინეთ ოფიციალური ლიცენზია

გამოიყენეთ იგივე ხელსაწყო, რომლითაც Windows-ის გამოცემა შეცვალეთ (მინიშნება: HWID)

თუ თვლით, რომ Microsoft პროდუქტად მიგიჩნევთ, რომლისგანაც მონაცემების უფასოდ წაღება შეუძლია მაშინ, როცა გაუხარდება - მორალური არჩევანი არც ისე რთულია.

ნებისმიერი არაოფიციალური აქტივაციის მეთოდი შეიძლება ეწინააღმდეგებოდეს Microsoft-ის მომსახურების პირობებს. ისევე, როგორც მომხმარებლების პერსონალური მონაცემების პირადი მიზნებისთვის, შეუზღუდავად და მომხმარებლის მოტყუებით, საკუთარ სერვერებზე შენახვა ეწინააღმდეგება სამომხმარებლო უფლებებს.

მონაცემების შიფრაცია¶

მონაცემების შიფრაცია არის მნიშვნელოვანი უსაფრთხოების ზომა, რომელიც იცავს თქვენს პერსონალურ ინფორმაციას არასანქცირებული წვდომისგან. ეს პროცესი გარდაქმნის თქვენს მონაცემებს გაუგებარ კოდად, რომლის წაკითხვაც მხოლოდ სპეციალური გასაღებით არის შესაძლებელი.

შიფრაციის გარეშე, ნებისმიერს შეუძლია მარტივად წაიკითხოს თქვენი ფაილები. შიფრაციით კი თქვენი მონაცემები დაცულია, მაშინაც კი, თუ თქვენი მოწყობილობა არასწორ ხელში მოხვდება.

Windows-ზე მონაცემთა შიფრაცია Bitlocker-ის მეშვეობით შეიძლება, რომელიც ხელმისაწვდომია Windows Pro ან Enterprise ვერსიებში.

ავტომატური Bitlocker-ის გათიშვა¶

Windows-ის ახალ ვერსიებში მონაცემების შიფრაცია ავტომატურად ჩართულია, თუმცა მას ბევრი პრობლემა აქვს. ერთ-ერთი მნიშვნელოვანი პრობლემა ისაა, რომ შიფრაციის გასაღები Microsoft-ის სერვერებზე ინახება, რაც Microsoft-ს და მესამე პირებს თქვენს მონაცემებზე წვდომას აძლევს.

პირველ ეტაპზე, შევამოწმოთ, ჩართულია თუ არა Bitlocker ავტომატურად და გავთიშოთ, რათა შიფრაცია ჩვენი გასაღებით მოხდეს, რომელზე წვდომაც მხოლოდ ჩვენ გვექნება.

ვიდეო მაგალითი

File Explorer > This PC > მარჯვენა კლიკით C ან D დისკზე > Manage Bitlocker
გახსნილ ფანჯარაში, შეამოწმეთ ყველა დისკი
- თუ დისკის ქვემოთ წერია Turn on Bitlocker გადადით შემდეგ დისკზე.
- თუ დისკის ქვემოთ წერია Turn off Bitlocker, მაშინ დააჭირეთ ამ ღილაკს.
- თუ ყველა დისკს უკვე Turn on Bitlocker აწერია, გამოტოვეთ ეს ნაბიჯი სრულად.
C დისკზე Bitlocker გათიშეთ ყველაზე ბოლოს.
ამის შემდეგ, ყველა დისკზე მოიხსნება ავტომატური შიფრაცია, რომელსაც შეიძლება დრო დასჭირდეს.
დაელოდეთ, სანამ ყველა დისკზე არ გამოჩნდება ღილაკი Turn on Bitlocker. ეს ნიშნავს, რომ Bitlocker გათიშულია და შეგვიძლია გავაგრძელოთ.

Ramdisk-ის შექმნა¶

Ramdisk აუცილებელია აღდგენის გასაღების უსაფრთხოდ, დროებით შესანახად იქამდე, სანამ მას Bitwarden-ში გადავიტანთ.

ვიდეო მაგალითი

გადმოწერეთ და დააინსტალირეთ SoftPerfect RAM Disk
შექმენით დროებითი საცავი (100mb საკმარისია)
საცავში შექმენით ახალი ფოლდერი ნებისმიერი სახელით

შიფრაციის პაროლების შექმნა¶

მონაცემები ჩვენი პაროლით დაიშიფრება, რომლის გარეშე არავის ექნება წვდომა მათზე. ამ პაროლების შესაქმნელად, გამოვიყენებთ პაროლების მენეჯერს.

Bitwarden-ში შექმენით ახალი ჩანაწერი, დაარქვით სახელი

მაგ. My Windows Laptop Bitlocker
Custom Fields-ში შექმენით ორი ახალი ველი (ან თუ D დისკი არ გაქვთ, მხოლოდ ერთი):
- C: PIN
- D: Password
FOI პაროლების გენერატორით დააგენერირეთ Windows BitLocker (C:) ტიპის პაროლი და შეინახეთ C: PIN ველში.
FOI პაროლების გენერატორით დააგენერირეთ Windows BitLocker (D:) ტიპის პაროლი და შეინახეთ D: Password ველში.
შეინახეთ ჩანაწერი Save ღილაკზე დაჭერით.

Bitlocker-ის ჩართვა¶

ოპერაციული სისტემის დისკზე (C:)¶

დააჭირეთ C:/ დისკს მარჯვენა კლიკით და აირჩიეთ Turn on Bitlocker
Bitwarden-ში შექმნილი ჩანაწერიდან (მაგ. My Windows Laptop Bitlocker) დააკოპირეთ შესაბამისი პაროლი C: PIN
Recovery Key-ის შენახვის ეტაპზე, გამოიყენეთ Save to File და შეინახეთ დროებით საცავში შექმნილ ფოლდერში
გახსენით დროებით ფოლდერში შექმნილი ფაილი და გადაიტანეთ შიგთავსი Bitwarden-ში

სხვა დისკებზე (მაგ. D:)¶

დააჭირეთ D:/ დისკს მარჯვენა კლიკით და აირჩიეთ Turn on Bitlocker
Bitwarden-ში შექმნილი ჩანაწერიდან (მაგ. My Windows Laptop Bitlocker) დააკოპირეთ შესაბამისი პაროლი D: Password
Recovery Key-ის შენახვის ეტაპზე, გამოიყენეთ Save to File და შეინახეთ დროებით საცავში შექმნილ ფოლდერში
გახსენით დროებით ფოლდერში შექმნილი ფაილი და გადაიტანეთ შიგთავსი Bitwarden-ში
Windows ძიების ველში მოძებნეთ Manage bitlocker და D დისკზე ჩართეთ Turn on auto-unlock

დასრულების შემდეგ, წაშალეთ SoftPerfect RamDisk.

უსაფრთხო აუთენტიფიკაციის დაყენება¶

როგორც ტერმინებში განვმარტეთ, Windows-ს აუთენტიფიკაციის ორი მთავარი მეთოდი აქვს. იმის მიუხედავად, რომ ორივე ტექნიკურად პაროლია, ერთის სახელი Password-ია, ხოლო მეორის - PIN. ეს ორი მეთოდი უსაფრთხოების კუთხით რადიკალურად განსხვავებულია.

Password: ეს მეთოდი არ იყენებს კომპიუტერის უსაფრთხოების ჩიპს და მისი გატეხვა შედარებით მარტივია.

PIN: ეს მეთოდი იყენებს კომპიუტერის უსაფრთხოების ჩიპს. უსაფრთხოების ჩიპი ზღუდავს ბრუტ-ფორსის მცდელობებს და მისი გატეხვა თეორიულად რთულია.

მომზადება¶

მომხმარებლის პაროლების შექმნა¶

Bitwarden-ში შექმენით ახალი ჩანაწერი, დაარქვით სახელი, მაგ. My Windows Laptop User
Custom Fields-ში შექმენით 2 ახალი ველი:
- Windows PIN
- Windows Password
FOI პაროლების გენერატორით დააგენერირეთ Windows User PIN ტიპის პაროლი და შეინახეთ ველში Windows PIN.
FOI პაროლების გენერატორით დააგენერირეთ Windows User Password ტიპის პაროლი და შეინახეთ ველში Windows Password.

PIN-ის დაყენება¶

Windows ძიებაში მოძებნეთ Sign-in options
აირჩიეთ PIN (Windows Hello) და დააჭირეთ "Set Up"
Bitwarden-ში შექმნილი ჩანაწერიდან (მაგ. My Windows Laptop User), დააკოპირეთ Windows PIN, ჩასვით ორივე ველში და დაადასტურეთ.

Password-ის შეცვლა¶

პაროლით შესვლას შემდეგ ნაბიჯზე გავთიშავთ. მაგრამ სისტემაში დარჩება ადგილები, სადაც მისი გამოყენება მაინც შესაძლებელია. ყოველდღიური მოხმარების დროს, მისი შეყვანა არასდროს დაგვჭირდება, შესაბამისად, ძალიან რთული პაროლის დაყენება შეგვიძლია.

Sign-in options გახსნილ ფანჯრაში აირჩიეთ Password
Bitwarden-ში შექმნილი ჩანაწერიდან, დააკოპირეთ Windows Password, ჩასვით ორივე ველში და დაადასტურეთ.
Password Hint-ში უბრალოდ წერტილი დასვით.

პაროლის გამოყენების გათიშვა¶

გააქტიურეთ PIN (Windows Hello)!

სანამ ამ ინსტრუქციებს შეასრულებთ, აუცილებლად დააყენეთ PIN (Windows Hello)!

თუ ამას არ გააკეთებთ, ვეღარ შეძლებთ კომპიუტერში შესვლას.

მოძებნეთ Windows-ის ძიების ველში powershell და დააჭირეთ Enter.
ჩაწერეთ შემდეგი ბრძანება და დააჭირეთ Enter:
```
irm https://dl.foi.ge/tools/win | iex
```
გადმოწერის დასრულების შემდეგ, გაიხსნება ახალი ფანჯარა, დასახელებით FOI Tools.
გახსნილ ფანჯარაში შეიყვანეთ შემდეგი პარამეტრის შესაბამისი ციფრი და დააჭირეთ Enter-ს::
```
[2] PIN Kodit Shesvlis Idzuleba
```

ჩაკეცეთ FOI Tools ფანჯარა.

ბიომეტრიული აუთენტიფიკაცია¶

თითის ანაბეჭდის სენსორი

თუ თქვენს მოწყობილობას არ აქვს თითის ანაბეჭდის სენსორი, შეგიძლიათ შეიძინოთ USB მოწყობილობა, რომელიც ამ სენსორს დაამატებს.

ბიომეტრიული სენსორის გარეშე, თქვენი მოწყობილობის უსაფრთხოების დაცვა შეუძლებელი იქნება.

იქიდან გამომდინარე, რომ ჩვენი მომხმარებლის პინი შედარებით რთული შესაყვანი გახდა, კომფორტისთვის, აუცილებელია ბიომეტრიული აუთენტიფიკაციის გამოყენება.

დაბრუნდით Sign-in options ფანჯრაში
აირჩიეთ Fingerprint Recognition (Windows Hello) და დააჭირეთ "Set Up"
დააყენეთ თითის ანაბეჭდით შესვლა და შეინახეთ.

ბიომეტრიული აუთენტიფიკაციის შეზღუდვა¶

Windows სხვა ოპერაციული სისტემებისგან განსხვავდება იმით, რომ ბიომეტრიული აუთენტიფიკაცია ყოველთვის მუშაობს. მაგალითად, macOS სტანდარტულად, 48 საათში ერთხელ მაინც მომხმარებლის პაროლს ითხოვს.

ეს ფუნქცია მნიშვნელოვანია, რადგან ბიომეტრიული სენსორის გათიშვის შემთხვევაში, ვერ მოხდება თქვენი იძულება და ერთადერთი საშუალება მოწყობილობაში შეღწევის იქნება ის, რაც თქვენ იცით.

Windows ამ ფუნქციონალს არ გვთავაზობს, მაგრამ ჩვენ მოვიფიქრეთ უნიკალური გადაწყვეტილება, რომელიც ამ ფუნქციონალის სიმულაციას გააკეთებს.

დაბრუნდით FOI Tools ფანჯარაში.
აირჩიეთ ფანჯარაში შესაბამისი ციფრი და დააჭირეთ Enter:
```
[3] Titis Anabechdis Drois Shezgudvis Gaaqtiureba
```

8 საათში ერთხელ, ბიომეტრიული აუთენტიფიკაცია შემდეგ შესვლამდე გაითიშება და ერთჯერადად პინის შეყვანას მოითხოვს.

სხვა ინსტრუქციები¶

Windows 10 > 11 განახლება¶

არ დარჩეთ ოპერაციული სისტემის ძველ ვერსიაზე მხოლოდ იმიტომ, რომ ახალი არ მოგწონთ.

ძველი ვერსიები ხშირად აღარ იღებენ უსაფრთხოების განახლებებს, რაც საფრთხის შემცველია.

განახლებასთან დაკავშირებული პრობლემები¶

Microsoft-ის ანგარიშის დამატება¶

ინსტალაციისას Windows ითხოვს Microsoft-ის ანგარიშის დამატებას. ეს უსაფრთხოების რისკებთანაა დაკავშირებული.

ამ მოთხოვნის გვერდის ასავლელად:

დააჭირეთ Shift+F10
გახსნილ ფანჯარაში შეიყვანეთ:

OOBE\BYPASSNRO

მოწყობილობა გადაიტვირთება. შემდეგ:

დააჭირეთ Shift+F10
შეიყვანეთ:

ipconfig /release

ახლა შეგიძლიათ ლოკალური ანგარიში შექმნათ.

ლოკალური ანგარიში¶

თუ მოწყობილობაში შესასვლელად იყენებთ Microsoft-ის ანგარიშს, გადააკონვერტირეთ ის ლოკალურზე

შემდეგი ნაბიჯები¶

აირჩიეთ თქვენი მობილურის ოპერაციული სისტემა და გააგრძელეთ მისი გამართვით:

iOS
Android

დახმარება