Мы привыкли думать, что Windows — это что-то вроде большого гостеприимного дома с кучей дверей и ни одного замка. Антивирус есть, UAC попискивает, а дальше как повезёт. Но что если можно усилить безопасность системы так, чтобы она стала действительно трудной целью для атак? Без магии, без стороннего софта и без боли. Именно это делает проект Harden-Windows-Security .
Что это вообще такое?
Проект создан пользователем под ником HotCakeX, и это не антивирус , не фаервол и даже не что-то интерактивное. Это набор PowerShell-скриптов и политик, которые помогают жёстко (но адекватно) харденить Windows — то есть усиливать её защиту на всех уровнях: от базовых настроек Defender до отключения Windows Script Host и защиты от ransomware.
Короче говоря, это как взять системного администратора параноика, закинуть его в консоль и попросить сделать всё, чтобы система жила под девизом: «Доверяй, но всё блочь».
Что конкретно делает скрипт?
Проект делится на две части:
- Enable-Harden-Windows-Features.ps1 — включает рекомендуемые функции Windows, которые обычно отключены или работают не на полную мощность. Это, например:
- Defender Application Guard
- Exploit Protection
- Smart App Control (если доступно)
- Credential Guard
- Изоляция ядра (Core Isolation)
- Set-Strong-Windows-Defender-Settings.ps1 — меняет параметры защиты Windows Defender на более строгие, включая:
- Максимальные уровни эвристики
- Включение всех модулей защиты в реальном времени
- Блокировку скриптов, макросов и подозрительных исполняемых файлов
И это ещё не всё: скрипты настраивают защиту от эксплойтов, блокируют уязвимые протоколы, отключают SMBv1, запрещают WSH и даже скрывают системные инструменты типа regedit и cmd. Звучит жёстко? Так и есть. Но именно этого и хотят от «закалённой» машины.
Как это выглядит в деле?
Вот простой пример: вы запускаете PowerShell с повышенными правами, скачиваете скрипт, запускаете — и Windows начинает «чистку». Никаких сторонних приложений, только встроенные средства и групповые политики.
Set-ExecutionPolicy Bypass -Scope Process -Force iwr -useb https://raw.githubusercontent.com/HotCakeX/Harden-Windows-Security/main/Enable-Harden-Windows-Features.ps1 | iex
И так же — для второго скрипта, касающегося Defender:
iwr -useb https://raw.githubusercontent.com/HotCakeX/Harden-Windows-Security/main/Set-Strong-Windows-Defender-Settings.ps1 | iex
После применения вы можете перезагрузить систему и удивиться тому, как много всего стало «нельзя». Сторонние утилиты откажутся запускаться, cmd будет отключён, скрипты — под запретом, Defender — на максималках. В общем, скучать вирусам точно будет некогда.
А если вдруг всё сломается?
Разработчик предусмотрел и это. У него есть отдельный restore-скрипт (в той же репе), который откатывает всё, если вы почувствуете, что переборщили. Можно точечно откатить отдельные настройки или весь харденинг целиком.
Это особенно удобно, если вы сначала делаете копию системы или используете проект в корпоративной среде на тестовом стенде. А ещё скрипты полностью комментированы, так что можно понять, что именно меняется.
Зачем вообще это всё?
Причин несколько:
- Безопасность домашних пользователей — если у вас ПК с важной информацией (документы, фото, криптокошельки), лишняя защита не повредит.
- Компьютеры в офисе — минимизация рисков заражения от флешек, вредоносных документов и макросов.
- Тестирование — можно на практике увидеть, как Windows ведёт себя с агрессивными настройками безопасности.
- Ускорение обучения — для начинающих админов это наглядный способ узнать, какие настройки влияют на защиту.
Плюсы и минусы
✅ Плюсы:
- Работает без установки стороннего софта
- Чистый PowerShell и Windows API
- Откат всех изменений возможен
- Чётко структурированный код, можно править под себя
❌ Минусы:
- Некоторые функции могут конфликтовать с ПО (особенно корпоративным)
- Неподготовленный пользователь может «запереть себя в клетке»
- После применения часть скриптов и программ просто перестанет работать (что, впрочем, и было целью)
О разработчике
HotCakeX — активный участник сообщества Microsoft Edge, GitHub и Windows Insider. Он создал не один полезный проект, включая утилиты для кастомизации, телеметрии и конфиденциальности. Harden-Windows-Security — один из самых зрелых и поддерживаемых его проектов.
Итоги: стоит ли это использовать?
Если вам нужно сделать Windows как можно более защищённой без установки «200 антивирусов», если вы не боитесь PowerShell и готовы к небольшому дискомфорту — да, определённо. Этот проект не делает чуда, он просто грамотно включает всё, что Microsoft уже встроила, но по умолчанию «прикрутила». Именно так и должен выглядеть разумный харденинг: нативный, гибкий, понятный.
