RaazNet

رازنتبتا

دانشنامه
در این صفحه

ایمن‌سازی سیستم‌عامل دسکتاپ و پیشگیری از بدافزار

راهنمای جامع ایمن‌سازی محیط‌های ویندوز، macOS و لینوکس در برابر نظارت دولتی، بدافزار و توقیف فیزیکی، به‌طور خاص متناسب با فضای تهدید ایران.

Time25 minutes

امن‌سازی سیستم‌عامل دسکتاپ و پیشگیری از بدافزار

برای کاربران در ایران، امنیت دسکتاپ نبردی در دو جبهه است. شما باید هم‌زمان در برابر تهدیدات از راه دور—مانند بدافزارهای دولتی، کمپین‌های فیشینگ و فیلترشکن‌های جعلی—دفاع کنید و در عین حال دستگاه خود را در برابر توقیف فیزیکی توسط نیروهای امنیتی مقاوم‌سازی کنید.

این راهنما بهترین روش‌های امنیتی برای ویندوز، مک (macOS) و لینوکس را با تمرکز بر کاهش "سطح حمله" (تعداد راه‌هایی که یک مهاجم می‌تواند نفوذ کند) و کاهش ریسک‌های استفاده از تکنولوژی در محیطی با نظارت شدید، گردآوری کرده است.

۱. اصول جهانی امن‌سازی (Universal Hardening)

صرف‌نظر از نوع سیستم‌عامل شما، این اصول بنیادی برای همه صدق می‌کند.

۱. رمزنگاری کامل دیسک (FDE)

توقیف فیزیکی لپ‌تاپ‌ها در ایست‌های بازرسی، در حین یورش به منازل یا در گذرگاه‌های مرزی، یک تهدید اصلی در ایران محسوب می‌شود.

  • قانون: رمزنگاری (Encryption) باید فعال باشد. اگر هارد درایو رمزنگاری نشده باشد، داشتن رمز عبور (Password) برای ورود به سیستم بی‌فایده است.
  • وضعیت: زمانی که دستگاه خاموش است، کلیدهای رمزنگاری از روی حافظه موقت (RAM) پاک می‌شوند (در اکثر تنظیمات مدرن). همیشه دستگاه خود را کاملاً خاموش کنید (Shut Down) و هنگام حمل‌ونقل یا زمانی که احتمال یورش وجود دارد، هرگز آن را فقط در حالت Sleep قرار ندهید.

۲. خطر نرم‌افزارهای "کرک‌شده"

به دلیل تحریم‌ها و نبود روش‌های پرداخت بین‌المللی، استفاده از نرم‌افزارهای کرک‌شده (دزدی) در ایران به یک هنجار تبدیل شده است.

  • ریسک: نرم‌افزارهای کرک‌شده اغلب آلوده به بدافزار، کی‌لاگر (Keylogger) یا درهای پشتی (Backdoors) هستند. همچنین این نرم‌افزارها قابلیت به‌روزرسانی ندارند و آسیب‌پذیری‌های شناخته‌شدۀ آن‌ها برای همیشه باز می‌ماند.
  • راه‌حل: به سمت نرم‌افزارهای آزاد و متن‌باز (FOSS) کوچ کنید.
    • جایگزین Microsoft Office: از LibreOffice استفاده کنید.
    • جایگزین Adobe Photoshop: از GIMP یا Krita استفاده کنید.
    • جایگزین Cracked IDM: از FDM (Free Download Manager) استفاده کنید.

۳. به‌روزرسانی‌های نرم‌افزاری

هکرهای دولتی از آسیب‌پذیری‌های "روز صفر" (Zero-day) یا حفره‌های امنیتی شناخته‌شده در نرم‌افزارهای قدیمی بهره‌برداری می‌کنند.

  • اقدام: به‌روزرسانی خودکار را فعال کنید.
  • چالش: اگر سرورهای آپدیت توسط فیلترینگ یا تحریم‌ها مسدود شده‌اند، اتصال خود را از طریق یک VPN امن یا Tor عبور دهید تا اطمینان حاصل کنید که آپدیت‌ها اعمال می‌شوند.

۴. سطح دسترسی حساب‌ها

  • اصل حداقل امتیاز (Least Privilege): برای کارهای روزمره از حساب "Administrator" استفاده نکنید.
  • تنظیمات: یک کاربر ثانویه از نوع "Standard" برای استفاده روزانه بسازید. در این صورت، اگر بدافزاری تلاش کند نصب شود، به دلیل نداشتن مجوز دسترسی برای نوشتن روی فایل‌های سیستمی، شکست خواهد خورد.

۲. امن‌سازی ویندوز (Windows Hardening)

ویندوز هدفمندترین سیستم‌عامل در جهان و همچنین در ایران است.

۱. حفاظت از سیستم

  • نسخه: اطمینان حاصل کنید که از یک نسخه پشتیبانی‌شده (ویندوز ۱۱ یا بالاتر) استفاده می‌کنید. ویندوز ۱۰ در صورت پایان یافتن دوره پشتیبانی (End of Life)، دیگر امن نیست.
  • Microsoft Defender: از آنتی‌ویروس داخلی مایکروسافت (Defender) استفاده کنید. این ابزار برای اکثر کاربران کافی است و بهتر از ابزارهای شخص ثالث که ممکن است داده‌های شما را جمع‌آوری کنند، با سیستم یکپارچه می‌شود.
  • SmartScreen: مطمئن شوید گزینه "App & Browser Control" فعال است تا برنامه‌های ناشناخته مسدود شوند.

۲. حریم خصوصی و تله‌متری

مایکروسافت حجم عظیمی از داده‌های کاربری را جمع‌آوری می‌کند.

  • حساب محلی (Local Account): در حین نصب (یا از طریق تنظیمات)، به جای اکانت مایکروسافت از یک Local Account استفاده کنید. این کار از همگام‌سازی فعالیت‌های شما با فضای ابری مایکروسافت جلوگیری می‌کند.
  • حذف اضافات (Debloating): نرم‌افزارهای پیش‌فرض و اضافی (Bloatware) مانند بازی‌ها و اپ‌های خبری را حذف کنید تا سطح حمله کاهش یابد.
  • غیرفعال‌سازی هوش مصنوعی: ویژگی‌های "Copilot" و تشخیص صدا را که ممکن است از صفحه نمایش یا صدای شما ضبط انجام دهند، خاموش کنید.

۳. امنیت شبکه

  • فایروال: اطمینان حاصل کنید که فایروال ویندوز فعال است. شبکه خانگی خود را روی "Private" و سایر شبکه‌ها (کافه‌ها، دانشگاه) را روی "Public" تنظیم کنید.
  • پسوندها: گزینه "File Name Extensions" را در Explorer فعال کنید. مهاجمان اغلب فایل‌ها را با نام‌هایی مثل document.pdf.exe ذخیره می‌کنند. ویندوز به‌صورت پیش‌فرض .exe را مخفی می‌کند و شما را فریب می‌دهد تا روی فایل کلیک کنید.

۴. امن‌سازی پیشرفته (Hardentools)

برای کاربران با ریسک بالا، از Hardentools (ابزاری از گروه Security Without Borders) استفاده کنید. این ابزار ویژگی‌های پرخطر ویندوز (مانند PowerShell، CMD و ماکروهای آفیس) را که افراد عادی به‌ندرت استفاده می‌کنند اما بدافزارها شدیداً به آن‌ها وابسته‌اند، غیرفعال می‌کند.

۳. امن‌سازی مک (macOS Hardening)

با اینکه macOS سیستم قدرتمندی است، اما هدفی جذاب برای جاسوس‌افزارهای پیشرفته مانند "پگاسوس" (که توسط دشمنان منطقه‌ای استفاده می‌شود) به شمار می‌رود.

۱. حالت قرنطینه (Lockdown Mode)

این قابلیت که در iOS 16 و macOS Ventura معرفی شد، موثرترین محافظ در برابر جاسوس‌افزارهای اجاره‌ای است.

  • کارکرد: پیوست‌های پیام‌ها را مسدود می‌کند، تکنولوژی‌های پیچیده وب را غیرفعال کرده و تماس‌های FaceTime ناشناس را بلاک می‌کند.
  • توصیه: اگر فعال مدنی یا روزنامه‌نگار هستید، Lockdown Mode را فعال کنید. کاهش کارایی سیستم در برابر افزایش امنیتی که به دست می‌آورید، ناچیز است.

۲. رمزنگاری FileVault

  • اقدام: به مسیر System Settings > Privacy & Security > FileVault بروید و آن را روشن (ON) کنید.
  • کلید بازیابی: کلید بازیابی (Recovery Key) خود را در iCloud ذخیره نکنید. آن را روی کاغذ یادداشت کرده و در جای امنی نگه دارید. اگر iCloud شما هک شود، رمزنگاری شما دور زده خواهد شد.

۳. Gatekeeper و فایروال

  • منبع برنامه‌ها: گزینه "Allow apps downloaded from" را فقط روی App Store and known developers تنظیم کنید. هرگز این گزینه را برای برنامه‌ای که از طریق تلگرام دریافت کرده‌اید، تغییر ندهید.
  • حالت مخفی (Stealth Mode): فایروال را در تنظیمات فعال کنید و تیک گزینه "Enable Stealth Mode" را بزنید تا مک شما در شبکه‌های عمومی به درخواست‌های Ping پاسخ ندهد و نامرئی بماند.

۴. امن‌سازی لینوکس (Linux Hardening)

لینوکس به دلیل قابلیت بازرسی کدها برای کاربران پرخطر توصیه می‌شود، اما جمله "لینوکس به‌طور پیش‌فرض امن است" یک افسانه است.

۱. انتخاب توزیع (Distribution)

  • استفاده عمومی: Ubuntu LTS یا Fedora (پشتیبانی سخت‌افزاری خوب، آپدیت‌های امنیتی قابل پیش‌بینی).
  • ریسک بالا: Qubes OS (امنیت از طریق بخش‌بندی یا Compartmentalization) یا Tails (سیستم فراموش‌کار/Amnesic) برای عملیات‌های حساس.

۲. رمزنگاری کامل دیسک (LUKS)

شما باید در حین پروسه نصب، گزینه "Encrypt drive" را انتخاب کنید. فعال‌سازی رمزنگاری کامل دیسک (FDE) پس از نصب بسیار دشوار است.

۳. فایروال (UFW/Gufw)

توزیع‌های لینوکس اغلب با فایروال غیرفعال عرضه می‌شوند.

  • دستور: sudo ufw enable
  • رابط گرافیکی: برنامه gufw را برای داشتن رابط بصری نصب کنید. ترافیک ورودی (Incoming) را به‌صورت پیش‌فرض روی Deny (رد کردن) بگذارید.

۴. سندباکس (Sandboxing)

  • Flatpak/Snap: ترجیحاً برنامه‌ها را از طریق Flatpak یا Snap نصب کنید تا اینکه فایل‌های .deb یا .rpm را از وب‌سایت‌ها دانلود کنید. این فرمت‌ها ایزولاسیون (Sandboxing) بهتری نسبت به بقیه سیستم ارائه می‌دهند.

۵. استراتژی‌های پیشگیری از بدافزار

در فضای ایران، بدافزارها اغلب از طریق "مهندسی اجتماعی" (فریب کاربر) وارد می‌شوند تا هک مستقیم سیستم.

۱. تهدید "فیلترشکن‌های تقلبی"

رایج‌ترین روش نفوذ بدافزار در ایران، ابزارهای جعلی دور زدن فیلترینگ است.

  • تله: فایل‌هایی با نام Anti-Filter-High-Speed.exe یا VPN-Free.apk که در تلگرام یا واتس‌اپ دست‌به‌دست می‌شوند.
  • پیشگیری:
    • هرگز نصب‌کننده (Installer) وی‌پی‌ان را از کانال‌های تلگرام دانلود نکنید.
    • نرم‌افزار را فقط از دامنه رسمی توسعه‌دهنده بگیرید (مانند getlantern.org یا torproject.org).
    • در صورت امکان، امضای PGP یا هش SHA256 فایل نصب را بررسی کنید.

۲. امن‌سازی مرورگر

مرورگر پنجره اصلی شما به اینترنت است.

  • مسدودسازی تبلیغات بدافزاری: افزونه uBlock Origin را نصب کنید (دقت کنید: نه فقط "uBlock" معمولی). این افزونه تبلیغاتی که بدافزار پخش می‌کنند و اسکریپت‌های ردیاب را مسدود می‌کند.
  • پاپ‌آپ‌ها: مطمئن شوید مسدودکننده پاپ‌آپ فعال است. هرگز روی دکمه‌های "Update Chrome" که درون صفحات وب ظاهر می‌شوند کلیک نکنید.
  • فقط HTTPS: حالت "HTTPS-Only Mode" را در فایرفاکس یا کروم فعال کنید تا از حملات تغییر پروتکل (SSL stripping) جلوگیری کنید.

۳. پاک‌سازی اسناد (Dangerzone)

مهاجمان اغلب فایل‌های PDF یا آفیس مخرب ارسال می‌کنند (مثلاً "Court Summons.docx" (احضاریه) یا "Protest_Plan.pdf").

  • ابزار: از Dangerzone استفاده کنید.
  • نحوه کار: این ابزار سند مشکوک را می‌گیرد، آن را در یک محیط ایزوله امن به پیکسل‌های بی‌خطر تبدیل می‌کند و یک فایل PDF تمیز و امن تحویل می‌دهد. این کار هرگونه اسکریپت یا اکسپلویت مخفی‌شده را از بین می‌برد.

۴. بهداشت استفاده از USB

"اسنیکرنت" (Sneakernet - انتقال فایل با فلش) در زمان قطعی اینترنت بسیار رایج است.

  • ریسک: فلش‌های USB می‌توانند حامل بدافزارهای خودکار باشند.
  • کاهش ریسک:
    • قابلیت "AutoPlay" یا "AutoRun" را در تنظیمات سیستم‌عامل خود غیرفعال کنید.
    • اگر گوشی خود را با کامپیوتر شارژ می‌کنید، از یک USB Data Blocker استفاده کنید.
    • درایوهای USB را به‌طور منظم فرمت کنید.

۶. واکنش به رخداد: اگر آلوده شدید

اگر نشانگر موس شما خودبه‌خود حرکت می‌کند، چراغ وب‌کم روشن می‌شود، یا حساب‌های "Admin" جدیدی در سیستم می‌بینید:

  1. قطع فوری اتصال: کابل شبکه را بکشید و وای‌فای/بلوتوث را خاموش کنید.
  2. عدم ورود به سیستم: هیچ رمز عبوری را تایپ نکنید؛ ممکن است کی‌لاگر فعال باشد.
  3. پاک‌سازی:
    • برای آلودگی‌های جزئی، سیستم را در حالت "Safe Mode" بالا بیاورید و با Microsoft Defender یا Malwarebytes اسکن کنید.
    • برای شک به جاسوس‌افزارهای دولتی: دستگاه را کاملاً وایپ (Wipe) کنید. سیستم‌عامل را مجدداً از روی یک فلش USB تمیز که در یک کامپیوتر امن دیگر ساخته شده است، نصب کنید.
  4. بررسی سخت‌افزاری: اگر دستگاه مدتی از دسترس شما خارج بوده (مثلاً توقیف شده و برگشت داده شده)، فرض را بر این بگذارید که سخت‌افزار دستکاری شده است. چنین دستگاهی دیگر نباید برای کارهای حساس استفاده شود.

چک‌لیست برای کاربران ایرانی

  • رمزنگاری: آیا هارد درایو من کاملاً رمزنگاری شده است (BitLocker/FileVault/LUKS)؟
  • آپدیت‌ها: آیا سیستم‌عامل روی آپدیت خودکار تنظیم شده است؟ آیا VPN مناسب برای عبور دادن آپدیت‌ها دارم؟
  • آنتی‌ویروس: آیا Microsoft Defender (ویندوز) یا فایروال لینوکس فعال است؟
  • نرم‌افزار: آیا تمام نرم‌افزارهای کرک‌شده را حذف و با FOSS جایگزین کرده‌ام؟
  • مرورگر: آیا uBlock Origin نصب شده است؟
  • فیزیکی: آیا قبل از عبور از ایست‌های بازرسی، دستگاه را کاملاً خاموش (Power off) می‌کنم؟
منبع:
Edit

آیا این مقاله مفید بود؟

بازخورد شما به بهبود محتوای ویکی کمک می‌کند.