در این صفحه
حریم خصوصی و ایمنسازی ویندوز
راهنمای جامع برای ایمنسازی مایکروسافت ویندوز، به حداقل رساندن تلهمتری (جمعآوری داده)، و مقاومسازی سیستم در برابر نظارت و تحلیلهای فارنزیک.
حریم خصوصی و مقاومسازی ویندوز
مایکروسافت ویندوز پرکاربردترین سیستمعامل دسکتاپ در جهان است که همین امر آن را به هدف اصلی بدافزارها و سیستمهای نظارتی تبدیل کرده است. ویندوز به صورت پیشفرض به گونهای تنظیم شده که حجم قابل توجهی از دادههای کاربری (تلهمتری) را جمعآوری کرده و وابستگی زیادی به یکپارچگی با سرویسهای ابری (Cloud) دارد. برای کاربران ایرانی که با نظارت دولتی و سانسور اینترنت مواجه هستند، مقاومسازی (Hardening) ویندوز برای کاهش «سطح حمله» (Attack Surface) و به حداقل رساندن ردپای دیجیتال، امری حیاتی است.
این راهنما شامل انتخاب نسخه مناسب، انجام نصب تمیز (Clean Install)، پیکربندی تنظیمات حریم خصوصی و استفاده از ابزارهای پیشرفته برای ایمنسازی سیستمعامل است.
۱. انتخاب نسخه و ویرایش مناسب
ویندوز ۱۰ در مقابل ویندوز ۱۱
مایکروسافت اعلام کرده است که ویندوز ۱۰ در تاریخ ۱۴ اکتبر ۲۰۲۵ (۲۲ مهر ۱۴۰۴) به پایان عمر (EOL) خود میرسد. پس از این تاریخ، این نسخه دیگر بهروزرسانیهای امنیتی را دریافت نخواهد کرد و در برابر حملات جدید آسیبپذیر خواهد بود.
- توصیه: اگر سختافزار شما پشتیبانی میکند، به ویندوز ۱۱ ارتقا دهید.
- محدودیتهای سختافزاری: اگر دستگاه شما نمیتواند ویندوز ۱۱ را به صورت امن اجرا کند، قبل از ضربالاجل ۲۰۲۵، مهاجرت به یک توزیع لینوکس (مانند اوبونتو یا فدورا) را در نظر بگیرید.
ویرایشهای ویندوز: Home در برابر Pro و Enterprise
ویژگیهای حریم خصوصی و امنیتی بسته به ویرایش ویندوز تفاوت چشمگیری دارند.
- نسخه خانگی (Windows Home): توصیه نمیشود. این نسخه فاقد قابلیتهای BitLocker (رمزنگاری کامل دیسک)، ویرایشگر گروپ پالیسی (Group Policy) و سندباکس (Sandbox) است. همچنین ایجاد حساب کاربری محلی (Local) در آن دشوارتر است.
- نسخه حرفهای (Windows Pro): نسخه پیشنهادی برای کاربران عادی. شامل BitLocker و ویرایشگر گروپ پالیسی (
gpedit.msc) است که برای پیکربندیهای پیشرفته حریم خصوصی ضروری میباشد. - نسخه سازمانی/آموزشی (Enterprise / Education): استاندارد طلایی برای حریم خصوصی که اجازه بالاترین سطح محدودسازی تلهمتری را میدهد. اگرچه معمولاً برای خرید خرد در دسترس نیست، اما لایسنسهای Education ممکن است برای دانشجویان دانشگاهها در دسترس باشد.
[!warning] از ویندوزهای "دستکاری شده" یا "کرک شده" دوری کنید در ایران، استفاده از نسخههای کپی یا از پیش فعالسازی شدهی ویندوز رایج است. از این نسخهها پرهیز کنید.
- فایلهای ISO دستکاری شده (مانند "Tiny10"، "Windows AME"): اغلب فاقد بهروزرسانیهای امنیتی حیاتی هستند و ممکن است مکانیزمهای دفاعی آنها خراب شده باشد.
- فعالسازها/کرکها (Activators): اغلب حاوی درهای پشتی (Backdoors) یا بدافزار هستند.
بهترین روش: فایل ISO رسمی را مستقیماً از مایکروسافت دانلود کنید. اگر امکان خرید لایسنس را ندارید، اجرای یک نسخه رسمی اما فعالسازی نشده (Unactivated) بسیار امنتر از استفاده از نسخه کرک شده است.
۲. نصب و راهاندازی
نصب تمیز (Clean Installation)
همیشه به جای استفاده از ویندوز پیشفرضی که روی لپتاپهای نو نصب است، یک «نصب تمیز» (پاک کردن کامل درایو) انجام دهید. ویندوزهای شرکتی اغلب حاوی «نرمافزارهای اضافی و ناخواسته» (Bloatware) و نسخههای آزمایشی شخص ثالث هستند که حریم خصوصی را تضعیف میکنند.
استفاده از حساب کاربری محلی (Local Account)
بهصورت پیشفرض، ویندوز ۱۱ شما را مجبور میکند با یک حساب مایکروسافت وارد شوید که فعالیتهای شما را به هویت آنلاینتان متصل میکند.
- هدف حریم خصوصی: از یک حساب محلی (آفلاین) استفاده کنید تا دادهها روی خود دستگاه باقی بمانند.
- نحوه دور زدن (ویندوز ۱۱): در حین راهاندازی، اگر مجبور به اتصال به وایفای شدید، اغلب میتوانید با قطع اینترنت یا استفاده از دستورات خاص (مانند
OOBE\BYPASSNROدر خط فرمانی که باShift + F10باز میشود) این مرحله را دور بزنید.
۳. مقاومسازی پایه سیستم
بهروزرسانیهای سیستمعامل
آسیبپذیریهای جدید روزانه کشف میشوند.
- اقدام: به مسیر Settings > Windows Update بروید و مطمئن شوید که سیستم بهروز است.
- ملاحظات کاربران ایران: با وجود اینکه پهنای باند ممکن است گران یا دارای اختلال باشد، بهروزرسانیهای امنیتی غیرقابل مذاکره هستند. Windows Update را غیرفعال نکنید.
رمزنگاری کامل دیسک (BitLocker)
رمزنگاری از دادههای شما در صورتی که لپتاپ توقیف یا دزدیده شود، محافظت میکند.
- نیازمندی: ویندوز Pro، Enterprise یا Education.
- اقدام: قابلیت BitLocker را روی درایو سیستمعامل خود فعال کنید.
- بهترین روش: یک پین پیش از بوت (Pre-boot PIN) تنظیم کنید. این کار شما را ملزم میکند قبل از اینکه ویندوز لود شود کدی را وارد کنید که از حملات راهاندازی سرد (Cold-boot attacks) جلوگیری میکند.
- مسیر گروپ پالیسی: Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives > Require additional authentication at startup.
امنیت ویندوز (Defender)
آنتیویروسهای شخص ثالث اغلب سطح حمله شما را افزایش میدهند (با اضافه کردن کدهای بیشتر که با دسترسی بالا اجرا میشوند) و ممکن است دادههای خاص خود را جمعآوری کنند.
- توصیه: به Microsoft Defender داخلی ویندوز بسنده کنید.
- پیکربندی:
- گزینه Real-time protection را فعال کنید.
- گزینه Tamper Protection را فعال کنید.
- گزینه Potentially Unwanted App (PUA) blocking را در بخش App & browser control فعال کنید.
پیکربندی فایروال
فایروال ویندوز قدرتمند است اما باید فعال باشد.
- اقدام: اطمینان حاصل کنید که Microsoft Defender Firewall برای شبکههای Public، Private و Domain روشن است.
- ابزار پیشرفته: استفاده از Simplewall را در نظر بگیرید. این یک ابزار متنباز است که به شما کمک میکند پلتفرم فیلترینگ ویندوز (WFP) را پیکربندی کنید تا تمام ترافیک را بهصورت پیشفرض مسدود کرده و تنها به برنامههای خاص اجازه عبور دهد. این ابزار برای جلوگیری از "اتصال به سرور مادر" (Phoning home) توسط برنامههای غیرمجاز عالی است.
۴. پیکربندی حریم خصوصی (برنامه Settings)
در منوی Settings > Privacy & security پیمایش کنید و موارد زیر را تنظیم نمایید:
حریم خصوصی عمومی (General Privacy)
- Advertising ID: روی Off قرار دهید. از ردیابی شما توسط برنامهها برای تبلیغات جلوگیری میکند.
- Suggested content: روی Off قرار دهید.
- Activity History: تیک گزینههای "Store my activity history on this device" و "Send my activity history to Microsoft" را بردارید.
مجوزهای برنامه (App Permissions)
مجوزها را با دقت بررسی کنید. دسترسی هر برنامهای که به آن نیاز مبرم ندارد را مسدود کنید.
- مکان (Location): اگر ممکن است به صورت سراسری Off کنید. در صورت نیاز، فقط به برنامههای خاص (مثل Maps) دسترسی "While using" (هنگام استفاده) بدهید.
- دوربین و میکروفون: دسترسی تمام برنامهها را قطع کنید مگر آنهایی که به آنها اعتماد دارید (مانند Signal یا Firefox).
- فعالسازی صوتی (Voice Activation): روی Off قرار دهید. از گوش دادن مداوم دستگاه برای کلمات کلیدی جلوگیری میکند.
عیبیابی و بازخورد (Diagnostics & Feedback)
- Diagnostic Data: روی Required data only (که قبلاً Basic نام داشت) تنظیم کنید.
- Feedback frequency: روی Never تنظیم کنید.
۵. مقاومسازی پیشرفته (Group Policy)
برای کاربران دارای Windows Pro/Enterprise، ویرایشگر Group Policy (gpedit.msc) امکان پیکربندی عمیقتری را که در برنامه Settings موجود نیست، فراهم میکند.
مسیر: Computer Configuration > Administrative Templates
| مسیر (Path) | تنظیم (Setting) | اقدام (Action) | دلیل |
|---|---|---|---|
| Windows Components > AutoPlay | Turn off AutoPlay | Enabled | جلوگیری از اجرای خودکار بدافزار هنگام اتصال USB. |
| Windows Components > Data Collection | Allow Diagnostic Data | Disabled (یا Limit to minimum) | کاهش ارسال تلهمتری به مایکروسافت. |
| Windows Components > Search | Allow Cortana | Disabled | حذف جمعآوری دادههای دستیار صوتی. |
| Windows Components > Search | Don't search the web... | Enabled | جلوگیری از ارسال جستجوهای محلی (مثلاً جستجوی فایل) به موتور جستجوی Bing. |
| Windows Components > OneDrive | Prevent the usage of OneDrive... | Enabled | توقف همگامسازی خودکار فایلها با فضای ابری. |
| Windows Components > Windows AI | Turn off Recall | Enabled | حیاتی: غیرفعال کردن هوش مصنوعی که هر چند ثانیه از صفحه نمایش شما عکس میگیرد. |
[!danger] قابلیت "Recall" را فوراً غیرفعال کنید قابلیت Recall (بخشی از Copilot+) به صورت دورهای از هر چیزی که در صفحه نمایش خود میبینید اسکرینشات میگیرد تا یک جدول زمانی قابل جستجو ایجاد کند. این ویژگی یک پایگاه داده عظیم جرمشناسی (Forensic) از فعالیتهای شما ایجاد میکند (رمزنگاری شده است، اما اگر لاگین باشید قابل دسترسی است).
- اقدام: مطمئن شوید Recall از طریق Settings یا Group Policy غیرفعال شده است.
۶. شبکه و اتصالات
امنیت DNS
ISPها در ایران درخواستهای DNS را به شدت رصد میکنند تا سایتها را مسدود و کاربران را ردیابی کنند.
- اقدام: قابلیت DNS over HTTPS (DoH) را در ویندوز فعال کنید.
- مسیر: Settings > Network & internet > Wi-Fi (یا Ethernet) > Hardware properties > DNS server assignment > Edit.
- تنظیم: گزینه "Encrypted only (DNS over HTTPS)" را انتخاب کرده و از یک ارائهدهنده معتبر (مانند Cloudflare، Quad9 یا یک سرور شخصی) استفاده کنید.
حریم خصوصی Wi-Fi
- آدرسهای سختافزاری تصادفی (Random Hardware Addresses): این گزینه را در Settings > Network & internet > Wi-Fi فعال کنید. این کار مک آدرس (MAC address) شما را تصادفی میکند تا از ردیابی در شبکههای وایفای مختلف جلوگیری شود.
- شبکههای عمومی: شبکه خانگی خود را روی Private و تمام شبکههای دیگر (کافهها، وایفای عمومی) را روی Public تنظیم کنید.
۷. ابزارها و اقدامات اضافی
ابزار Hardentools
برای کاربران در معرض خطر بالا، ابزار Hardentools (توسط Security Without Borders) به طور خودکار ویژگیهای پرخطر ویندوز (مانند PowerShell، cmd.exe و ماکروهای آفیس) را که به ندرت توسط افراد عادی استفاده میشوند اما مکرراً توسط بدافزارها مورد سوءاستفاده قرار میگیرند، غیرفعال میکند.
- نکته: این کار ممکن است برخی فرآیندهای کاری پیشرفته را مختل کند. با احتیاط استفاده کنید.
مرورگرهای متمرکز بر حریم خصوصی
از Microsoft Edge یا Google Chrome استفاده نکنید.
- توصیه: از Firefox یا Brave استفاده کنید. آنها را طوری تنظیم کنید که کوکیها را هنگام خروج حذف کنند و از حفاظت در برابر ردیابی سختگیرانه (Strict tracking protection) استفاده نمایند.
امنیت فیزیکی
- پوشش دوربین: وبکم خود را به صورت فیزیکی بپوشانید. سوئیچهای نرمافزاری توسط بدافزارها قابل دور زدن هستند.
- رمز عبور BIOS/UEFI: یک رمز عبور در بایوس خود تنظیم کنید تا مهاجم نتواند با استفاده از درایو USB سیستم را بوت کرده و امنیت سیستمعامل شما را دور بزند.
- بوت امن (Secure Boot): مطمئن شوید Secure Boot در بایوس فعال است تا از حملات موسوم به "Evil Maid" (دستکاری در بوتلودر) جلوگیری شود.
آگاهیهای جرمشناسی (Forensic Awareness)
اگر مشکوک هستید که دستگاه شما مورد نفوذ قرار گرفته است:
- بخش Task Manager > Startup apps را برای برنامههای ناشناس بررسی کنید.
- از ابزارهایی مانند Autoruns (محصول Sysinternals) استفاده کنید تا دقیقاً ببینید چه چیزی هنگام شروع سیستم اجرا میشود.
- مسیر Settings > Accounts > Access work or school را بررسی کنید تا اطمینان حاصل کنید هیچ پروفایل مدیریتی سازمانیِ ناشناسی اضافه نشده باشد.
آیا این مقاله مفید بود؟
بازخورد شما به بهبود محتوای ویکی کمک میکند.