Windows 10 telepítése munkaállomásként

Innen: AdminWiki

Ebben a leírásban magyar nyelvű Windows 10 (v1809 October 2018 Update (Redstone 5) - elsősorban Pro) operációs rendszerből alakítunk ki a lehetőségekhez mérten biztonságosan üzemeltethető, átlagosan felszerelt irodai munkaállomást. A hagyományos beviteli eszközökkel vezérelt asztali gépekre és notebookokra fókuszálunk, így a feladatokat elsősorban asztali alkalmazásokkal (és nem a modern design applikációkkal) igyekszünk megoldani. Emiatt ez a leírás kevéssé vonatkozik az okostelefonokra és táblagépekre.

Gyorslisták verziófrissítésekhez:

Work in progress - kritikával használd!

Tartalomjegyzék

Házirend

Elméleti szakasz, nyugodtan átléphető, amennyiben csak telepítési checklistként használjuk ezt a leírást.

Részletesen lásd: Windows munkaállomás házirendje

Elhatározások

A házirendben megfogalmazott irányelveket ebben a leírásban az alábbiak szerint fogjuk alkalmazni:

A felhasználók kezelésénél:

  • saját tulajdonú, egyetlen felhasználójához erősen kötődő gép kivételével egyetlen, nem személyes jellegű rendszergazda felhasználót és tetszőleges számú, személyes jellegű, korlátozott felhasználót hozunk létre.
  • ha lehetséges, a rendszergazda és szponzor szerepeket összekötjük.

Ha a gép:

  • hordozható és személyes használatú, a Windowst tartalmazó teljes partíciót 3rd party eszközzel titkosítjuk;
  • hordozható és közös használatú, csak az egyes felhasználók érzékeny adatait helyezzük külön-külön titkosított meghajtóra;
  • helyhez kötött (és védett), nem használunk titkosított háttértárat.

A fájlrendszerben:

  • a rendszermeghajtó (C:\) gyökerében általában nem hozunk létre sem program-, sem adatmappákat, mert itt gyenge a jogosultság-kezelés - ha egy alkalmazás telepítője kérdés nélkül a C:\-be telepítene, a telepítés után mozgassuk el az állományokat és kövessük ezt junction-nel (mklink /j ...);
  • Minden közös, futtatható program a C:\Program Files (64 bites rendszeren emellett a C:\Program Files (x86)) alá kerül; az általunk telepített eszközök ezen belül a Tools, a biztonsági eszközök a Security almappába kerülnek, a nagyobb alkalmazások számára a szokásos módon külön-külön mappák készíthetőek. A driver, stb. telepítők által kérdés nélkül elkészített (pl. gyártói: \ASUS\, stb.) mappákat - kénytelen-kelletlen - vegyük tudomásul. Ha egy program (helytelen gyakorlattal!) működés közben a kódkönyvtárába írna, erre a könyvtárra adjunk a felhasználók csoportjának módosítási jogot.
  • Amennyiben a felhasználó nagyobb számban használ játékokat (különösen régebbieket - ezek jellemzően a kódkönyvtárukba írnak), akkor felmerül a Program Files helyett egy C:\Games mappa létrehozatala, a felhasználók csoportjának módosítási joggal - így a problémás játékok egy helyre gyűjthetőek.
  • Minden felhasználói állomány kerüljön a felhasználó C:\Users\[profil neve] mappájába;
  • Minden, helyi felhasználók között megosztandó adatállomány kerüljön lehetőség szerint a C:\Users\Public\Documents mappába.

A Windows-zal együtt települő programok és alkalmazások tekintetében:

  • a közös telepítésű, hagyományos programokat (notepad, paint, stb.) változatlanul megtartjuk;
  • a felhasználó számára szükségtelen (bloatware) alkalmazásokat igyekszünk (ha lehet) letörölni, vagy legalább a Start menü jobb oldaláról leszedni;
  • a felhasználó számára várhatóan szükséges alkalmazásokat igyekszünk a Start menü jobb oldalára kitűzni.

A grafikus felhasználói felületen, a végfelhasználónak átadáskor:

  • az Asztalt igyekszünk a dokumentumok számára fenntartani, csak az Ez a gép, a felhasználó mappája és a Lomtár parancsikonokat tesszük ide.
  • a Start menü (csempés) jobb oldalát Asztal kiterjesztésnek tekintjük, és ide a releváns programindítókat igyekszünk összegyűjteni. Mivel itt kevés (kb. 30 db. közepes méretű) csempe fér el, nem készítünk csempét olyan programnak, ami megjelenítő, médiakezelő, stb. (ezek tipikusan az általuk kezelt adattípusokra kattintva indulnak el), illetve amelyik automatikusan elindul, és az értesítési területről elérhető.
  • Minimális számú gyorsindító parancsikont használunk.

Telepítés

Feltételezett környezet

A Windows 10 telepítőkészletét a tetszőleges(?) Windows gépen futtatható Media Creation Tool (Eszköz letöltése nyomógomb) segítségével írhatjuk alkalmas telepítési adathordozóra (pendrive, DVD).

Szükségünk lesz széles sávú (lehetőleg forgalomkorlát nélküli) Internet kapcsolatra akkor is, ha van letöltött Windows 10 telepítőkészletünk. Ha nem kell takarékoskodnunk az adatkapcsolattal, akkor érdemes minden telepítő állományt frissen (hiteles forrásból!) letölteni.

Erősen ajánlott a telepítést NAT-olt belhálózaton, csomagszűrő tűzfal mögött végezni legalább addig, amíg a védelmi szoftver(eke)t nem telepítjük. Végszükség esetén :-) közvetlenül az Internetre csatlakoztatott géppel is elvégezhető a Windows 10 telepítése, mert a Windows Defender és a Windows Tűzfal alapértelmezetten be vannak kapcsolva, de egy csomagszűrő broadband router plusz biztonságot ad.

Szükségünk van egy biztonságosnak tartott másik gépre a driverek letöltéséhez (amennyiben ez szükséges lenne) és az esetleges ellenőrző levelek fogadásához - ez nem lehet a telepítés alatt álló gép. Ez utóbbin, a védelem telepítéséig, kerüljük a webes keresést(!) és szörfölést; csak ismert és biztonságosnak tartott URL-eket keressünk fel.

Ezen kívül szükségünk lehet egy olyan Microsoft fiókra, amely feljogosít bennünket fizetős alkalmazások letöltésére az App Store-ból (az ingyenes alkalmazások jelenleg anonim módon letölthetőek az Áruházból). A szoftverek finanszírozása és telepítése üzemeltetői és nem felhasználói feladat, így ez a fiók céges környezetben jellemzően nem egy konkrét felhasználó (munkavállaló) fiókja, hanem a céget (az IT szolgáltatást) megtestesítő, vásárlásra (nemcsak ingyenes letöltésre, hanem pénzköltésre) is jogosult fiók.

A telepítés megkezdése előtt a telepítendő gép hardveres óráját (BIOS RTC) az UTC szerinti dátumra és időre állítsuk be.

Új telepítés vagy alapállapotra visszaállítás

Feltételezzük, hogy a gépen egyetlen operációs rendszer fog futni (a most telepítendő Windows 10 - monoboot) és nincsenek megtartandó állományok illetve alkalmazások, azaz "üres lapra" telepítünk.

A telepítő médiumról bootolva:

  • Nyelv, régió, billentyűzet értelemszerűen (esetünkben általában magyar), Telepítés;
  • Új telepítéskor a termékkulcsot meg kell adni (újratelepítéskor Nincs termékkulcsom, és kiválasztandó az újratelepítendő termék), a licencet fogadjuk el és Egyéni telepítés;
  • Particionálás szükség szerint, monoboot elrendezésben általában nem kell változtatni.

Az újraindulás után:

  • (Alapok fül) Régió, billentyűzet értelemszerűen (alternatív kiosztás általában nem szükséges - Kihagyás);
  • (Hálózat fül) Ha van a gépben (a Windows 10 által felismert) WiFi adapter, már most beállíthatjuk a WiFi kapcsolatot (Csatlakozás - működő ethernet kábelkapcsolat esetén ezt elhalaszthatjuk - Most kihagyom). Csatlakozás után a hálózat profilja legyen Nyilvános (azaz Nem engedélyezzük a telepítés alatti gép észlelését).

Az első felhasználó létrehozatalánál, Windows 10 Pro esetén, választhatunk Azure AD vagy Windows domain alapú azonosítást (Beállítás szervezeti használatra), illetve mindig rendelkezésre áll a Microsoft fiókkal összekötött (helyi), illetve hagyományos (helyi) felhasználóként történő azonosítás (Beállítás személyes használatra). Ebben a leírásban a telepítés alatt álló gép első (és egyetlen) rendszergazda felhasználóját mindig hagyományos helyi felhasználóként hozzuk létre - így mi határozhatjuk meg a profilmappa (C:\Users\[profile]) nevét - és ha szükséges, az első bejelentkezés után konvertáljuk Microsoft fiókkal összekötött hozzáféréssé. Ennek megfelelően a gépet most (Fiók fül):

  • Beállítjuk személyes használatra;
  • Offline fiókot választunk (nem hagyjuk magunkat rábeszélni :)), az első (hagyományos, helyi) felhasználó általában legyen Adminisztrátor, egyelőre triviális jelszóval (esetleg jelszó nélkül);
  • Állítsuk be a három biztonsági kérdést (hümm...);
  • A tevékenységelőzményeket Nem osztjuk meg a Microsofttal.

Az adatvédelmi beállításoknál (Szolgáltatások fül - ezeket a beállításokat később még ellenőrizzük):

  • Az online beszédfelismerést mellőzzük (TODO!);
  • A helyadatok használatát opcionálisan kikapcsolhatjuk (meggondolni TODO!), az Eszköz nyomon követését egyelőre kapcsoljuk ki;
  • Diagnosztika legyen Alapszintű;
  • Szabadkézi műveletek javítása (megosztása) Nem engedélyezett;
  • Testreszabott szolgáltatások a diagnosztikai adatok felhasználásával Nem engedélyezettek,a hirdetési azonosító használata Nem engedélyezett.

Több kérdés nincs, további molyolások (és lelkesítő biztatások megtekintése) után megérkezünk az Adminisztrátor asztalára. Az elinduló önreklámot csukjuk be :) - helyette az Edge ablakába behívhatjuk ezt a weblapot.

Rendszergazdai Microsoft fiókra váltás

Opcionális lépés, elsősorban kisvállalati (céges) környezetben megfontolandó.

Feltételezzük, hogy a rendszergazdai Microsoft fiókot (másik gépen) előzetesen már elkészítettük és beállítottuk. A továbbiakhoz Internet kapcsolat szükséges, ennek hiányában ezt a lépést halasszuk el!

  • Gépház, Fiókok, Az Ön adatai, Bejelentkezés Microsoft fiókkal; Microsoft fiók email címének és jelszavának megadása; helyi jelszó megadása (lehet, hogy üres); (másik gépen fogadott) e-mailben kapott biztonsági kód megadása (két lépcsős bejelentkezés);
  • Érdemes beállítani PIN kódot, amivel az esetleg bonyolult fiókjelszó helyett (csak ezen a gépen) egyszerűbben tudunk bejelentkezni. A PIN kód lokális beállítás, nem szinkronizálódik. Opcionálisan a PIN kód beállítását mellőzhetjük (Lépés kihagyása);
  • A teljes értékű használathoz (a beállítások tényleges szinkronizálásához) még egyszer igazolnunk kell a személyazonosságunkat: (Gépház, Fiókok) Ellenőrzés; a biztonsági kódot kérjük emailben és (másik gépen megtekintve a levelet) adjuk meg;
  • (Gépház, Fiókok) Beállítások szinkronizálása, minden kapcsoló BE (jelenleg ez az alapértelmezés, csak ellenőrizni kell).

Várjunk pár percig, amíg a OneDrive és a beállítások szinkronizálódnak (ezt a lemezaktivitás jelzi). Ezután célszerű újraindítani a gépet.


Automatizálási lehetőségek

Az alábbiakban ismertetett beállításokat és szoftvertelepítéseket - a leírást követve - végrehajthatjuk manuálisan, a szokványos felhasználói felületen (GUI-n). Saját célra történő, egyszeri telepítésnél érdemes így eljárni, mert jobban követhetőek a teendők és beállítások, illetve egyszerűen felülbírálhatjuk vagy módosíthatjuk a leírt javaslatokat. Ha ezt a módszert választjuk, lépjünk tovább az Alapbeállításokhoz.

Alternatívaként a leírásban alább közölt, bemásolható vagy letölthető PowerShell kódrészletekkel is elvégezhető mindez. Minden közölt script szabad szoftver, ám csak szerzői felelősségvállalás, támogatás és garancia nélkül, "AS IS" használhatóak!

Scriptelt telepítésre többféle lehetőségünk is van.

Manuális scriptelt telepítés

A leírást követve, az abban közölt kódrészleteket egy - emelt jogosultságokkal, rendszergazdaként indított - PowerShell ablakba bemásolva, sorban lefuttathatjuk. A kódok általában pontosan a GUI lépéseknek megfelelő tevékenységeket hajtják végre, az esetleges eltéréseket a kódblokk alatti megjegyzések részletezik. Ezzel a módszerrel - a GUI telepítéshez hasonlóan - folyamatosan ellenőrizhetőek, igény és szükség szerint módosíthatóak vagy kihagyhatóak a leírásban javasolt lépések.

Szakaszonkénti scriptelt telepítés

A legtöbb szakasz elejéről letölthető a szakaszban közölt kódrészletek összefűzéséből álló, a szakasz összes beállítását egy menetben végrehajtó parancsfájl, amely letöltés után a jobbklikk - Run with PowerShell GUI művelettel egyszerűen lefuttatható (az adminisztrátorként futtatott parancsfájlok indítás után emelt jogosultságokat fognak kérni). Ezzel a módszerrel gyorsabban haladhatunk, de az esetleges módosításokhoz a letöltött parancsfájlok tartalmát kell (futtatásuk előtt) megváltoztatni.

Playbook telepítés

Disclaimer: az Ansible playbookkal meglévő névhasonlóság kizárólag a véletlen műve!

Ez esetben a szakaszonkénti parancsfájlok sorban történő végrehajtását nem manuálisan, hanem egy vezérlő scripttel oldjuk meg. A vezérlő script gondoskodik a gyakoribb hibák és a szükséges újraindítások kezeléséről is. Ezzel a módszerrel majdnem teljesen automatizálható (lesz, majd) a telepítés.

Kísérleti állapot, egyelőre ne vedd komolyan! 
  • Töltsük le (hamarosan!) a telepítés adminisztrátori részét biztosító .zip állományt és tömörítsük ki (célszerűen az adminisztrátor asztalára, a playbook_admin könyvtárba).
  • A kitömörített könyvtárba belépve, a jobbklikk - Run with PowerShell GUI művelettel indítsuk el a playbook_admin.ps1 parancsfájlt (indítás után emelt jogosultságokat fog kérni). A megjelenő kérésre manuálisan indítsuk újra a gépet.
  • Újraindítás után bejelentkezve, a parancsfájl figyelmeztet, hogy manuálisan végezzük el a driverek telepítését (az eltérő hardverek miatt ez a rész nehezen automatizálható). A megjelenő parancsablakban NE engedélyezzük a playbook további futtatását mindaddig, amíg az összes driver telepítést és Windows frissítést (a Driverek telepítése szakasz első, nem scriptelt részében leírtak szerint) végre nem hajtottuk!
  • A driverek telepítése után ellenőrizzük a Windows aktiválását (pl. Vezérlőpult, Rendszer, jobb oldal alja). Ne haladjunk tovább, amíg a Windows aktiválása nem sikerül!
  • Ideiglenesen állítsuk be az aktuális felhasználó (az adminisztrátor) automatikus bejelentkeztetését a továbbiakban szükséges újraindítások utáni folytatás automatizálásához. Ehhez használjuk a kitömörített könyvtár AutoLogon könyvtárában megtalálható (vagy eredeti helyéről letölthető) autologon.exe állományt (külön telepítést nem igényel, elég helyben elindítani). Az emelt jogosultság és az adminisztrátor jelszavának megadása után az Enable nyomógombbal állítható be az automatikus beléptetés. Ezután indítsuk újra a gépet, és az automatikus bejelentkezés után megjelenő parancsablakban engedélyezzük a playbook folytatását.
  • A playbook esetleges elakadásáról a képernyőn megjelenő parancsablak tájékoztat. A hiba felderítésében a kitömörített könyvtárban létrejövő playbook_admin.log naplóállomány tartalma segíthet. A hiba elhárítása után a playbook futása a gép újraindításával folytatható. Nehezen kiküszöbölhető probléma esetén a parancsablakban engedélyezzük a playbook törlését, majd az autologon.exe újbóli lefuttatásával (ezúttal a Disable nyomógomb használatával) szüntessük meg az adminisztrátor automatikus bejelentkeztetését és más módszerrel folytassuk a telepítést.
  • A playbook sikeres lefutása után az autologon.exe újbóli lefuttatásával (ezúttal a Disable nyomógomb használatával) szüntessük meg az adminisztrátor automatikus bejelentkeztetését.
  • Végül tekintsük át (esetleg mentsük el) a a kitömörített könyvtárban található playbook_admin.log naplóállományt, majd töröljük a már szükségtelen kitömörített könyvtárat és lépjünk tovább az Alapvető szoftverek szakaszhoz.

Megjegyzés: a playbook akkor lesz igazán használható, ha első lépésben a Felhasználó felvétele szakaszig, majd a felhasználók felvételére is ki lesz dolgozva (TODO!).

Alapbeállítások

Ebben a szakaszban ellenőrizzük a telepítés során már kiválasztott adatvédelmi beállításokat is (revízió).

Szakaszonkénti scriptelt telepítéshez a szakasz összes beállítását egy menetben végrehajtó parancsfájl innen tölthető le. Ezt a jobbklikk - Run with PowerShell GUI művelettel futtassuk le (ha rákérdezne az ExecutionPolicy módosításra: y (yes); indulása után emelt jogosultságokat kér), majd a képernyőn megjelenő utasítások követésével lépjünk tovább a Driverek telepítése szakaszhoz.

Alapbeállítások a Vezérlőpulton

A v1703 óta a Start menü, jobbklikk listaelemei közül száműzték a Vezérlőpultot és elemeit(!), ezért opcionálisan célszerű lehet azt a rendszergazda profilban a Keresés, Vez(érlőpult) paranccsal (vagy a Start menü, Windows Rendszer alól) történt elindítása után, a tálcára rögzíteni.

<# PowerShell: TODO! - seems to be simple, but isn't:
   https://github.com/Disassembler0/Win10-Initial-Setup-Script/issues/147 #>
  • Vezérlőpult, Kis ikonok.
PowerShell kódrészlet 
<# Control Panel, Classic View
   https://gist.github.com/alirobe/7f3b34ad89a159e6daa1
#>
$registryPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "StartupPage"  -Value 1 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "AllItemsIconView"  -Value 1 -PropertyType "DWord" -Force | Out-Null
  • Vezérlőpult, Fájlkezelő beállításai, Nézet fül, Megosztás varázsló KI, Az operációs rendszer védett fájljainak elrejtése maradjon BE (pl. a desktop.ini-k miatt), Ismert fájltípusok kiterjesztésinek elrejtése KI (soha nem fogják megtanulni...), Rejtett fájlok, mappák és meghajtók megjelenítése (BE), Üres meghajtók elrejtése (KI).
PowerShell kódrészlet 
<# Explorer tweaks - disable sharing wizard, show extensions, hidden files, empty drives

   https://superuser.com/questions/898495/disable-sharing-wizard-with-batch
   https://stackoverflow.com/questions/4491999/configure-windows-explorer-folder-options-through-powershell/28016877
#>
$registryPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "SharingWizardOn" -Value 0 -PropertyType "DWord" -Force | Out-Null;`
New-ItemProperty -Path $registryPath -Name "HideFileExt" -Value 0 -PropertyType "DWord" -Force | Out-Null;`
New-ItemProperty -Path $registryPath -Name "Hidden" -Value 1 -PropertyType "DWord" -Force | Out-Null;`
New-ItemProperty -Path $registryPath -Name "HideDrivesWithNoMedia" -Value 0 -PropertyType "DWord" -Force | Out-Null
  • Vezérlőpult, Rendszer, Távoli beállítások, Távsegítség KI.
PowerShell kódrészlet 
<# Disable remote assistance
   https://superuser.com/questions/786383/how-to-enable-remote-assistance-and-add-an-exception-for-it-in-windows-firewall
#>
$registryPath = "HKLM:\System\CurrentControlSet\Control\Remote Assistance"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "fAllowToGetHelp" -Value 0 -PropertyType "DWord" -Force | Out-Null
  • Vezérlőpult, Rendszer, Rendszervédelem, Beállítás, bekapcsolás és ésszerű mennyiségű tárterület (3-5 GB) megadása.
PowerShell kódrészlet 
<# Set and enable shadow storage (computer restore) on Windows drive
   https://www.tenforums.com/tutorials/33460-change-system-protection-max-storage-size-drive-windows-10-a.html
   https://docs.microsoft.com/hu-hu/powershell/module/Microsoft.PowerShell.Management/Enable-ComputerRestore?view=powershell-5.1
#>
vssadmin Resize ShadowStorage /for=$env:SystemDrive /on=$env:SystemDrive /maxsize=3GB | Out-Null;`
Enable-ComputerRestore -Drive $env:SystemDrive | Out-Null
  • Vezérlőpult, Rendszer, Speciális beállítások, Indítás és helyreállítás, Automatikus újraindítás KI (hogy látsszon a kék halál).
PowerShell kódrészlet 
<# Disable automatic reboot on BSOD
   https://social.technet.microsoft.com/Forums/windowsserver/en-US/7badba7b-3157-443e-a3bf-7e6067bbdc25/disabling-bsod-automatic-restart-via-gpo?forum=winserverGP
#>
$registryPath = "HKLM:\System\CurrentControlSet\Control\CrashControl"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "AutoReboot" -Value 0 -PropertyType "DWord" -Force | Out-Null
  • Vezérlőpult, Rendszer, Számítógépnév, töltsük ki a helyi szokásoknak megfelelően, munkacsoport-váltás esetén az újraindítást halasszuk el.
<# PowerShell: TODO! #>
  • Vezérlőpult, Dátum és idő, Internetes idő, kiszolgáló Magyarországon time.kfki.hu, ha van IP kapcsolat, akkor azonnali frissítés.
PowerShell kódrészlet 
<# Change the BIOS timezone to UTC and set a new Internet time server;
   start synchronization service whenever any network interface comes up

   https://social.technet.microsoft.com/Forums/en-US/636865b1-9211-48ca-9430-58f7a4b890ba/update-internet-time-using-batch-script-or-powershell?forum=winserversetup
   https://gist.github.com/alirobe/7f3b34ad89a159e6daa1
#>
$TimeServer = "time.kfki.hu";`
Stop-Service -Name "w32time";`
$registryPath = "HKLM:\SYSTEM\CurrentControlSet\Control\TimeZoneInformation"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -path $registryPath -Name "RealTimeIsUniversal" -Value 1 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "0" -Value $TimeServer -PropertyType "String" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "(Default)" -Value "0" -PropertyType "String" -Force | Out-Null; `
sc.exe triggerinfo w32time start/networkon stop/networkoff | Out-Null; `
Start-Service -Name "w32time" | Out-Null; ` 
w32tm /config /manualpeerlist:$TimeServer,0x9 /update | Out-Null; `
w32tm /resync /force | Out-Null
Megjegyzés: a fenti kód azt is beállítja, hogy a BIOS-ban tárolt időt ne a helyi időzóna idejének (az MS-DOS alapértelmezése), hanem UTC időnek tekintsük (a Un*x rendszerek - így a Linux, MacOSX, stb. - alapértelmezése). A beállítás multiboot munkaállomások esetén hasznos, monoboot Windows 10 esetén irreleváns. Maga a BIOS idő itt nem módosul (a Windowsnak nincsen hwclock jellegű eszköze - TODO!), így azt érdemes ellenőrizni, ha kell, manuálisan beállítani. A kód beállítja továbbá az időszinkron szolgáltatás elindítását a hálózatra kapcsolódáskor (a tényleges szinkronizálásról azonban alább, külön kell gondoskodni). Fentiek beállítására jelenleg nincs felhasználói felület.
  • Vezérlőpult, Energiagazdálkodási lehetőségek, Alvó állapotba lépés idejének módosítása, asztali munkaállomás esetén a használt (általában a kiegyensúlyozott) sémában sose menjen alvó állapotba (ez megakadályozná az esetleges távoli bejelentkezést); opcionálisan a képernyő kikapcsolása is letiltható vagy hosszabbra állítható. Hordozható gép esetén ugyanezt csak az Áramforráshoz csatlakoztatva állapotra állítsuk be. Notebook esetén vizsgáljuk felül a főkapcsolók funkcióját is (opcionálisan de javasoltan a főkapcsoló megnyomására Alvás helyett Leállítás).
PowerShell kódrészlet 
<# Power settings (current power scheme - the balanced - only)
   https://stackoverflow.com/questions/33790965/set-a-one-line-powershell-for-sleep-and-hibernate-to-turn-off
#>
powercfg /CHANGE monitor-timeout-ac 10;`
powercfg /CHANGE monitor-timeout-dc 5;`
powercfg /CHANGE standby-timeout-ac 0;`
powercfg /CHANGE standby-timeout-dc 15;`
powercfg /CHANGE disk-timeout-ac 0;`
powercfg /CHANGE disk-timeout-dc 15;`
powercfg /CHANGE hibernate-timeout-ac 0;`
powercfg /CHANGE hibernate-timeout-dc 0;`
powercfg /SETACVALUEINDEX SCHEME_CURRENT sub_buttons pbuttonaction 3;`
powercfg /SETDCVALUEINDEX SCHEME_CURRENT sub_buttons pbuttonaction 3
  • Vezérlőpult, Hang, Hangok fül, Nincsenek hangok hangséma betöltése, Rendszerindítási hangjelzés lejátszása opcionálisan BE.
PowerShell kódrészlet 
<# No event sounds except the startup sound

   https://www.tenforums.com/tutorials/5838-change-event-sounds-sound-scheme-windows-10-a.html
   https://superuser.com/questions/1300539/change-sound-scheme-in-windows-via-register
   https://www.sevenforums.com/tutorials/179448-startup-sound-enable-disable.html
#>
$registryPath = "HKCU:\AppEvents\Schemes\Apps"; `
Get-ChildItem -Path $registryPath | Select Name | ForEach-Object { `
    $app = $_.Name -replace "HKEY_CURRENT_USER", "HKCU:"; `
    Get-ChildItem -Path $app | Select Name | ForEach-Object { `
        $event = $_.Name -replace "HKEY_CURRENT_USER", "HKCU:"; `
        $eventnone = "$event\.None"; $eventcurrent = "$event\.Current"; `
        IF(!(Test-Path $eventnone)) { `
            New-Item -Path $eventnone -Force | Out-Null; `
            New-ItemProperty -Path $eventnone -Name '(Default)' -Type 'ExpandString' -Value '' | Out-Null }; `
        New-ItemProperty -Path $eventcurrent -Name '(Default)' -Type 'String' -Value '' | Out-Null }}; `
$registryPath = "HKCU:\AppEvents\Schemes"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "(Default)" -Value ".None" -PropertyType "String" -Force | Out-Null;`
$registryPath = "HKLM:\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\BootAnimation"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "DisableStartupSound" -Value 0 -PropertyType "DWord" -Force | Out-Null

Alapbeállítások a Gépházban

Az alábbiakhoz be kell lépni a Gépházba (Start menü, Gépház).

  • Gépház, Rendszer, Értesítések és műveletek, Mutassa a Windows üdvözlő képernyőjét... KI, Tippek, trükkök és javaslatok megjelenítése a Windows használata közben KI; Több alkalmazás, Javaslatok az idővonalon KI; Megosztott funkciók, Megosztás közeli eszközön KI (meggondolni: TODO!), Megosztás az eszközök között KI (meggondolni: TODO!); Távoli asztal KI (kivéve, ha bármelyik felhasználó számára szükséges lenne).
PowerShell kódrészlet 
<# PC settings, System tweaks - Notifications and actions: disable Windows Welcome Experience and
   tips notifications; Multitasking: hide timeline suggestions; Shared experiences, disable Nearby
   sharing and Share across devices; Remote desktop: disable

   https://www.tenforums.com/tutorials/76252-turn-off-windows-welcome-experience-windows-10-a.html
   https://winaero.com/blog/disable-tips-about-windows-10/
   https://www.tenforums.com/tutorials/102071-turn-off-timeline-suggestions-windows-10-a.html
   https://www.tenforums.com/tutorials/97582-turn-off-nearby-sharing-windows-10-a.html
   https://www.tenforums.com/tutorials/70947-turn-off-share-across-devices-apps-window-10-a.html
   https://www.tenforums.com/tutorials/92433-enable-disable-remote-desktop-connections-windows-10-pc.html
#>
$registryPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "SubscribedContent-310093Enabled" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "SubscribedContent-338389Enabled" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "SubscribedContent-353698Enabled" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\CDP"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "CdpSessionUserAuthzPolicy" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "NearShareChannelUserAuthzPolicy" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "RomeSdkChannelUserAuthzPolicy" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\CDP\SettingsPage"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "BluetoothLastDisabledNearShare" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "NearShareChannelUserAuthzPolicy" -Value 1 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "RomeSdkChannelUserAuthzPolicy" -Value 1 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "fDenyTSConnections" -Value 1 -PropertyType "DWord" -Force | Out-Null
  • Gépház, Eszközök, Nyomtatók és szkennerek, A Windows válassza ki az alapértelmezett nyomtatót opcionálisan KI; Gépelés, Elgépelt szavak automatikus javítása opcionálisan KI, Gépelési elemzések KI (meggondolni: TODO!); Automatikus lejátszás opcionálisan KI.
PowerShell kódrészlet 
<# PC Settings, Devices tweaks - Printers and Scanners, don't let Windows to manage my printers;  
   Typing, Spelling, disable Autocorrect, disable Typing insights; Autoplay, disable

   https://www.thewindowsclub.com/let-windows-manage-default-printer
   https://www.tenforums.com/tutorials/25843-turn-off-spell-checking-windows-10-a.html
   https://www.tenforums.com/tutorials/113073-turn-off-typing-insights-windows-10-a.html
   https://winaero.com/blog/disable-tips-about-windows-10/
#>
$registryPath = "HKCU:\Software\Microsoft\Windows NT\CurrentVersion\Windows"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "LegacyDefaultPrinterMode" -Value 1 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\TabletTip\1.7"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "EnableAutocorrection" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\Input\Settings"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "InsightsEnabled" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "DisableAutoplay" -Value 1 -PropertyType "DWord" -Force | Out-Null
  • Gépház, Telefon TODO!
<# PowerShell: TODO! #>
  • Gépház, Hálózat és Internet, Állapot, Kapcsolat tulajdonságainak módosítása, Hálózati profil legyen Nyilvános (revízió); Mobil elérési pont (hotspot), Távoli bekapcsolás KI (meggondolni: TODO!).
PowerShell kódrészlet 
<# PC Settings, Network and Internet tweaks - Status, Network status, Your network properties, 
   public (restrictive) network profile; Hotspot, disable to turn on remotely

   https://github.com/Disassembler0/Win10-Initial-Setup-Script/blob/master/Win10.psm1
#>
Set-NetConnectionProfile -NetworkCategory Public; `
$registryPath = "HKLM:\Software\Microsoft\WcmSvc\Tethering"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "RemoteStartupDisabled" -Value 1 -PropertyType "DWord" -Force | Out-Null
  • Gépház, Személyre szabás, Háttér ízlés szerint (meghagyható a csodálatos lézerfüstös); Színek, Automatikus témaszín opcionálisan BE, Témaszín megjelenítése... opcionálisan mindenütt BE; Zárolási képernyő, Háttér legyen Kép (választás: TODO!), Érdekességek, hasznos ötletek... (reklám) KI, Képernyőkímélő beállításai ízlés szerint (nekem üres); Témák, Az asztali ikonbeállításai, Számítógép, Felhasználó fájljai, Lomtár; Start, A legutóbb felvett alkalmazások KI, Javaslatok megjelenítése alkalmanként... (reklám) KI, a Start menüben... megjelenő mappáknál Hálózat opcionálisan BE; Tálca, a Tálca zárolása KI, kis tálcagombok használata BE, Betekintés az asztal tartalmába... BE, A Parancssor menüpont lecserélése... KI; A tálcán megjelenő ikonok kiválasztása: csak a valóban lényegtelenek maradjanak elrejtve (opcionálisan beállíthatjuk, hogy mindig látsszon az összes ikon), Névjegyek megjelenítése a tálcán opcionálisan KI;
PowerShell kódrészlet 
<# PC Settings, Personalisation tweaks - Colors, Automatically pick an Accent Color,
   Show Accent Color for all surfaces; Lock screen, background is Picture instead of Spotlight,
   disable Get fun facts etc.; Themes, Desktop icon settings, show This PC and User Folder shortcuts; 
   Start, disable Show recently added (TODO: per user!), disable Show suggestions occasionally; 
   Taskbar, unlock (be resizeable), small icons, enable peek at desktop, cmd instead of PS from Start, 
   show all tray icons, no contacts on taskbar

   https://www.tenforums.com/tutorials/3380-change-accent-color-windows-10-a.html
   https://www.tenforums.com/tutorials/5768-turn-off-start-taskbar-action-center-color-windows-10-a.html
   https://www.tenforums.com/tutorials/32174-turn-off-show-color-title-bars-borders-windows-10-a.html
   https://www.tenforums.com/general-support/74639-all-registry-commands-privacy-settings.html
   https://www.tenforums.com/tutorials/104828-enable-disable-recently-added-apps-start-menu-windows-10-a.html
   https://www.tenforums.com/tutorials/24117-turn-off-app-suggestions-start-windows-10-a.html
   https://www.tenforums.com/tutorials/53449-lock-unlock-taskbar-windows-10-a.html
   https://www.tenforums.com/tutorials/47266-turn-off-peek-desktop-windows-10-a.html
   https://gist.github.com/alirobe/7f3b34ad89a159e6daa1
#>
$registryPath = "HKCU:\Control Panel\Desktop"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "AutoColorization" -Value 1 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\Themes\Personalize"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "ColorPrevalence" -Value 1 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\Windows\DWM"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "ColorPrevalence" -Value 1 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\Lock Screen"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "SlideshowEnabled" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "RotatingLockScreenEnabled" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "RotatingLockScreenOverlayEnabled" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "{20D04FE0-3AEA-1069-A2D8-08002B30309D}" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "{59031a47-3f72-44a7-89c5-5595fe6b30ee}" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Explorer"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "HideRecentlyAddedApps" -Value 1 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "SubscribedContent-338388Enabled" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "TaskBarSizeMove" -Value 1 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "TaskBarSmallIcons" -Value 1 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "DisablePreviewDesktop" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "DontUsePowerShellOnWinX" -Value 1 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "EnableAutoTray" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\People"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "Peopleband" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
Stop-Process -ProcessName Explorer
Megjegyzés: a fenti kód nem veszi fel a Hálózat ikont a Start menüben megjelenő mappák közé (TODO!). A Start menü felhasználónkénti beállításai (amelyet a felhasználói felület kezel) jelenleg az alábbi registry kulcs - nyilvánosan nem dokumentált - Data binárisában vannak elrejtve:
HKCU\Software\Microsoft\Windows\CurrentVersion\CloudStore\Store\Cache\DefaultAccount\$$windows.data.unifiedtile.startglobalproperties\Current
Ugyanezért használ a kód policy beállítást a legutóbb felvett alkalmazások listájának elrejtésére.
  • Gépház, Alkalmazások, Alkalmazások és szolgáltatások, Az alkalmazások beszerzési helyének kiválasztása, Bárhonnan, de értesítést kérek...
PowerShell kódrészlet 
<# PC Settings, Apps tweaks - Apps & Features, Installing apps, Show me app recommendations

   https://www.tenforums.com/tutorials/78213-choose-where-apps-can-installed-windows-10-a.html
#>
$registryPath = "HKLM:\Software\Microsoft\Windows\CurrentVersion\Explorer"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "AicEnabled" -Value "Recommendations" -PropertyType "String" -Force | Out-Null
  • Gépház, Fiókok, Bejelentkezési lehetőségek, Adatvédelem, A bejelentkezési adataim használata... opcionálisan KI.
PowerShell kódrészlet 
<# PC Settings, Accounts tweaks - Sign-in options, Privacy, disable Use my sign-in info...

   https://www.tenforums.com/tutorials/49963-use-sign-info-auto-finish-after-update-restart-windows-10-a.html
#>
$userSID=[System.Security.Principal.WindowsIdentity]::GetCurrent().User.Value; `
$registryPath = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserARSO"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
$registryPath = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserARSO\$userSID"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "OptOut" -Value 1 -PropertyType "DWord" -Force | Out-Null
  • Gépház, Játék, Játék üzemmód, Játék mód KI (meggondolni: TODO!).
PowerShell kódrészlet 
<# PC Settings, Gaming tweaks - Game mode, disable Game mode

   https://www.tenforums.com/tutorials/75936-turn-off-game-mode-windows-10-a.html
#>
$registryPath = "HKCU:\Software\Microsoft\GameBar"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "AutoGameModeEnabled" -Value 0 -PropertyType "DWord" -Force | Out-Null
  • Gépház, Cortana TODO!
<# PowerShell: TODO! #>
  • Gépház, Adatvédelem, Windows engedélyek alatti Általános, hirdetési azonosító KI (revízió), releváns helyi tartalmak KI, Az alkalmazásindítások nyomon követése KI, Jelenjenek meg a javasolt tartalmak KI; Beszédfelismerés KI (revízió); Szabadkézi műveletek... helyi felhasználói szótár opcionálisan KI (meggondolni: TODO!); Diagnosztika és visszajelzés, Diagnosztika legyen Alapszintű (revízió), Szabadkézi műveletek... (keylogger!) KI (revízió), Testreszabott élmény KI (revízió), Diagnosztikai adatok megjelenítése KI (revízió), Visszajelzés gyakorisága legyen Soha; Tevékenységelőzmények, Tevékenységelőzmények tárolása (= idővonal) opcionálisan KI, elküldés a Microsoftnak KI (revízió); Microsoft fiók használata esetén Tevékenységek megjelenítése ezekből a fiókokból KI.
PowerShell kódrészlet 
<# PC Settings, Privacy tweaks (Windows permissions) - General, Change privacy options, 
   disable using ad ID, disable locally relevant content, disable tracking app launch, 
   disable showing suggested content (ads) in Settings app; Speech, disable Online speech 
   recognition; Inking & typing personalisation, disable Getting to know you; Diagnostics
   and feedbacks, Diagnostic data, Basic, Inking and typing, disable Improve inking and
   typing recognition (keylogger!), disable Tailored experiences, disable View diagnostic 
   data, Feedback frequency, Never; Activity history, disable Let Windows store... and 
   Let Windows sync... features both (per user - TODO!, Show activities from these accounts,
   disable all.

   https://www.tenforums.com/tutorials/76453-enable-disable-advertising-id-relevant-ads-windows-10-a.html
   https://www.tenforums.com/tutorials/82980-turn-off-website-access-language-list-windows-10-a.html
   https://www.tenforums.com/tutorials/82967-turn-off-app-launch-tracking-windows-10-a.html
   https://www.tenforums.com/tutorials/100541-turn-off-suggested-content-settings-app-windows-10-a.html
   https://www.tenforums.com/tutorials/101902-turn-off-online-speech-recognition-windows-10-a.html
   https://www.tenforums.com/tutorials/118127-turn-off-inking-typing-personalization-windows-10-a.html
   https://github.com/Disassembler0/Win10-Initial-Setup-Script/blob/master/Win10.psm1
   https://www.tenforums.com/tutorials/107050-turn-off-improve-inking-typing-recognition-windows-10-a.html
   https://www.tenforums.com/tutorials/76426-turn-off-tailored-experiences-diagnostic-data-windows-10-a.html
   https://www.tenforums.com/tutorials/103059-enable-disable-diagnostic-data-viewer-windows-10-a.html
   https://www.tenforums.com/tutorials/2441-change-feedback-frequency-windows-10-a.html
   https://www.tenforums.com/tutorials/100341-enable-disable-collect-activity-history-windows-10-a.html
   https://www.tenforums.com/tutorials/110063-enable-disable-sync-activities-pc-cloud-windows-10-a.html
#>
$registryPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\AdvertisingInfo"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "Enabled" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Control Panel\International\User Profile"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "HttpAcceptLanguageOptOut" -Value 1 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "Start_TrackProgs" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "SubscribedContent-338393Enabled" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "SubscribedContent-353694Enabled" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "SubscribedContent-353696Enabled" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\Speech_OneCore\Settings\OnlineSpeechPrivacy"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "HasAccepted" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\InputPersonalization"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "RestrictImplicitInkCollection" -Value 1 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "RestrictImplicitTextCollection" -Value 1 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\InputPersonalization\TrainedDataStore"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "HarvestContacts" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\Personalization\Settings"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "AcceptedPrivacyPolicy" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "AllowTelemetry" -Value 1 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "MaxTelemetryAllowed" -Value 1 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies\DataCollection"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "AllowTelemetry" -Value 1 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "MaxTelemetryAllowed" -Value 1 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\Input\TIPC"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "Enabled" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\Privacy"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "TailoredExperiencesWithDiagnosticDataEnabled" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Diagnostics\DiagTrack\EventTranscriptKey"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "EnableEventTranscript" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\Siuf"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
$registryPath = "HKCU:\Software\Microsoft\Siuf\Rules"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "NumberOfSIUFInPeriod" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
Remove-ItemProperty -Path $registryPath -Name "PeriodInNanoSeconds" -ErrorAction SilentlyContinue | Out-Null; `
$registryPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\System"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "EnableActivityFeed" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "PublishUserActivities" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "UploadUserActivities" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
IF ((Get-LocalUser -Name $ENV:USERNAME | Select -ExpandProperty Principalsource) -eq "MicrosoftAccount") {
    $registryPath = "HKCU:\Software\Microsoft\IdentityCRL\UserExtendedProperties\"; `
    $email = (Get-ChildItem -Path $registryPath -ErrorAction SilentlyContinue | Select Name -First 1 ).Name; `
    $email = Split-Path -Path $email -Leaf; `
    IF ([bool]($email -as [Net.Mail.MailAddress])) {
        $registryPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\ActivityDataModel\ReaderRevisionInfo"; `
        $hash = (Get-Item -Path $registryPath -ErrorAction SilentlyContinue | Select-Object -ExpandProperty Property -First 1); `
        IF ($hash) {
            $registryPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\ActivityDataModel\ActivityAccountFilter"; `
            IF (!($email -in (Get-Item -Path $registryPath -ErrorAction SilentlyContinue | Select-Object -ExpandProperty Property))) {
                New-ItemProperty -Path $registryPath -Name $email -Value $hash -PropertyType "String" -Force | Out-Null  } } } }
Megjegyzés: a felhasználói felülettel ellentétben a fenti kód policy beállítással kezeli a Tevékenységelőzményeket (felhasználónkénti beállítás TODO!). A Tevékenységek tárolása sajnos bejelölve marad, de a tevékenységek nem tárolódnak (ellenőrizni: TODO!).
  • Gépház, Adatvédelem, Alkalmazásengedélyek alatti Egyéb eszközök, Kommunikáció nem párosított eszközökkel KI; Alkalmazásdiagnosztika, A más alkalmazásokkal kapcsolatos... KI (meggondolni: TODO!); Hangaktiválás, Hangaktiválás használatának engedélyezése általában és zárolt eszközön is KI (meggondolni: TODO!).
PowerShell kódrészlet 
<# PC Settings, Privacy tweaks (App permissions) - Other devices, disable Communicate 
   with unpaired devices; App diagnostics, disable Allow apps to access diagnostic 
   info about your other apps; Voice activation, disable Allow apps to use to use 
   (when locked and generally - both) 

   https://www.tenforums.com/tutorials/85048-turn-off-let-apps-sync-wireless-devices-windows-10-a.html
#>
$registryPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\DeviceAccess\Global\LooselyCoupled"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "Value" -Value "Deny" -PropertyType "String" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\CapabilityAccessManager\ConsentStore\appDiagnostics"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "Value" -Value "Deny" -PropertyType "String" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\Speech_OneCore\Settings\VoiceActivation\UserPreferenceForAllApps"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "AgentActivationEnabled" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "AgentActivationOnLockScreenEnabled" -Value 0 -PropertyType "DWord" -Force | Out-Null
  • Gépház, Frissítés és biztonság, Windows Update, Speciális beállítások, az egyéb Microsoft termékek frissítései is jelenjenek meg; Kézbesítésoptimalizálás, Letöltések engedélyezése más számítógépről (peer-to-peer) KI; Windows biztonság, A Windows biztonság megnyitása, Kezdőlap, Fiókvédelem (! ikon, Jelentkezzen be...), Bezárás, a Windows biztonság bezárása; Eszköz nyomon követése KI (revízió).
PowerShell kódrészlet 
<# PC Settings, Update and security tweaks - Windows Update, Advanced options, enable 
   Give me updates for other Microsoft products (policy here); Delivery optimization, 
   disallow download from other PCs; Windows security (open), close Account Protection 
   warning about not using a Microsoft account, (close); Find my device, Change, disable

   https://getadmx.com/?Category=Windows_10_2016&Policy=Microsoft.Policies.WindowsUpdate::AutoUpdateCfg&Language=hu-hu
   https://jaytuckey.name/2016/07/04/how-to-opt-in-and-detect-to-microsoft-update-for-other-microsoft-products-using-powershell/
   https://www.tenforums.com/tutorials/44926-turn-off-windows-updates-microsoft-products-windows-10-a.html
   https://www.tenforums.com/tutorials/4742-choose-how-windows-store-app-updates-downloaded-windows-10-a.html (modified)
   https://github.com/Disassembler0/Win10-Initial-Setup-Script/blob/master/Win10.psm1
   https://www.tenforums.com/tutorials/28946-turn-off-find-my-device-windows-10-a.html
#>
$registryPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "AllowMUUpdateService" -Value 1 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "NoAutoUpdate" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "AUOptions" -Value 3 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "ScheduledInstallDay" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "ScheduledInstallTime" -Value 3 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "ScheduledInstallEveryWeek" -Value 1 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "Registry::HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\DeliveryOptimization\Settings"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "DownloadMode" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKCU:\Software\Microsoft\Windows Security Health\State"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "AccountProtection_MicrosoftAccount_Disconnected" -Value 0 -PropertyType "DWord" -Force | Out-Null; `
$registryPath = "HKLM:\SOFTWARE\Microsoft\Settings\FindMyDevice"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "LocationSyncEnabled" -Value 0 -PropertyType "DWord" -Force | Out-Null
Megjegyzés: a felhasználói felülettel ellentétben a fenti kód policy beállítással kezeli az egyéb Microsoft termékek frissítésének engedélyezését (TODO!).
  • Gépház, Keresés, Engedélyek és előzmények, Biztonságos keresés opcionálisan KI, Windows felhőalapú keresés KI, Tevékenységjavaslatok KI, Eszközelőzmények KI.
PowerShell kódrészlet 
<# PC Settings, Search (Cortana & Search) tweaks - Permissions and History, SafeSearch off,
   disable Windows Cloud Search, Activity recommendations and My device history both.

   Note: this is a dirty hack. Modern apps (like Cortana) use an user-specific settings.dat
   file as a registry store. This file is always in use when the user is logged on. To modify
   it we need schedule a boot job and reboot the machine. In addition this registry hive
   contains custom data types, which aren't handled properly by reg.exe or PS commandlet API. 
   The scheduled job below loads the hive, exports the relevant keys to a temporary .reg file, 
   then modifies and reimports them.
   
   http://www.damirscorner.com/blog/posts/20150117-ManipulatingSettingsDatFileWithSettingsFromWindowsStoreApps.html
#>
$scriptPath = "$env:WINDIR\Temp\"+ `
              [System.IO.Path]::ChangeExtension([System.IO.Path]::GetRandomFileName(),"ps1"); `
Set-Content -Path $scriptPath -Value @'
<# Cortana & Search tweaks - PC Settings, Permissions and History, SafeSearch off,
   disable Windows Cloud Search, Activity recommendations and My device history both.
   http://www.damirscorner.com/blog/posts/20150117-ManipulatingSettingsDatFileWithSettingsFromWindowsStoreApps.html
#>
param([Parameter(Mandatory=$true)][string]$username)
$logPath = [System.IO.Path]::ChangeExtension($MyInvocation.MyCommand.Path,"log")
$tempSrc = "$env:WINDIR\Temp\" + [System.IO.Path]::GetRandomFileName()
$tempMod = "$env:WINDIR\Temp\" + [System.IO.Path]::GetRandomFileName()
$regPath = "HKLM\_TEMP\LocalState\Configuration"
$settings = "$env:SystemDrive\Users\$username\AppData\Local\Packages\" + `
            "Microsoft.Windows.Cortana_cw5n1h2txyewy\Settings\settings.dat"
try {
$process = Start-Process -FilePath "$env:WINDIR\system32\reg.exe" -ArgumentList "load HKLM\_TEMP $settings" `
                         -RedirectStandardError $logPath -WindowStyle Hidden -PassThru -Wait
IF($process.ExitCode){throw [Management.Automation.PSInvalidOperationException] `
                            ("Load error! `r`n" + (Get-Content -Path $logPath))}
$process = Start-Process -FilePath "$env:WINDIR\system32\reg.exe" -ArgumentList "export $regPath $tempSrc /y" `
                         -RedirectStandardError $logPath -WindowStyle Hidden -PassThru -Wait
IF($process.ExitCode){throw [Management.Automation.PSInvalidOperationException] `
                            ("Export error!`r`n" + (Get-Content -Path $logPath))}
(Get-Content -Path $tempSrc -First 3) + `
(Get-Content -Path $tempSrc | Where-Object {$_ -like '"CloudSearchEnabled"=*'}).replace('hex(5f5e10b):01,','hex(5f5e10b):00,') + `
(Get-Content -Path $tempSrc | Where-Object {$_ -like '"DeviceSearchHistoryEnabled"=*'}).replace('hex(5f5e10b):01,','hex(5f5e10b):00,') + `
(Get-Content -Path $tempSrc | Where-Object {$_ -like '"SafeSearchMode"=*'}).replace('hex(5f5e105):01,00,','hex(5f5e105):00,00,') + `
(Get-Content -Path $tempSrc | Where-Object {$_ -like '"PwiloNotificationsEnabled"=*'}).replace('hex(5f5e10b):01,','hex(5f5e10b):00,') | `
 Set-Content -Path $tempMod
$process = Start-Process -FilePath "$env:WINDIR\system32\reg.exe" -ArgumentList "import $tempMod" `
                         -RedirectStandardError $logPath -WindowStyle Hidden -PassThru -Wait
IF($process.ExitCode){throw [Management.Automation.PSInvalidOperationException] `
                            ("Import error!`r`n" + (Get-Content -Path $logPath))}
$process = Start-Process -FilePath "$env:WINDIR\system32\reg.exe" -ArgumentList "unload HKLM\_TEMP" `
                         -RedirectStandardError $logPath -WindowStyle Hidden -PassThru -Wait
IF($process.ExitCode){throw [Management.Automation.PSInvalidOperationException] `
                            ("Unload error!`r`n" + (Get-Content -Path $logPath))}
} catch { throw; break
} finally {
Unregister-ScheduledTask -TaskName "CortanaTweak-$username" -Confirm:$false; `
Remove-Item -Path $tempSrc,$tempMod -ErrorAction SilentlyContinue; `
IF(!(Get-Content -Path $logPath -ErrorAction SilentlyContinue)){Remove-Item -Path $logPath -ErrorAction SilentlyContinue} `
Remove-Item -LiteralPath $MyInvocation.MyCommand.Path -Force }
'@; `
Register-ScheduledTask -TaskName "CortanaTweak-$env:username" -Description "Dirty hack to write settings.dat" `
    -Action (New-ScheduledTaskAction `
                -Execute "powershell.exe" `
                -Argument "-NoExit -NonInteractive -ExecutionPolicy Bypass -File `"$scriptPath`" `"$env:username`"") `
    -Trigger (New-ScheduledTaskTrigger -AtStartup) `
    -Settings (New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries) `
    -User "SYSTEM" -Force | Out-Null
Megjegyzés: ez egy csúnya hack. A modern alkalmazások (így a Cortana is) felhasználói beállításaikat felhasználónként egy-egy settings.dat (registry) fájlban tartják, amelynek tartalma a futó registryben nem látható, és amelyet a háttérben futó szervizek nem is engednek módosítani, amíg a felhasználó be van jelentkezve. Ezért ennek módosítására egy (egyszeri lefuttatása után törlődő) AtStartup schedule-t állítunk be. További nehezítés, hogy a settings.dat registry elemei egyéni adattípusúak, ezért a reg.exe vagy a PowerShell commandletjei azokat nem kezelik helyesen. Átírásuk a settings.dat ideiglenes betöltése után a vonatkozó kulcsok .reg szövegfájlba exportálásával, ennek módosításával és visszaimportálásával lehetséges.
Figyelem: a scheduled job futása lehet sikertelen (race condition, a futásnak a következő bejelentkezés előtt be kell fejeződnie), erről az Eseménynapló (Alkalmazás- és szolgáltatásnaplók, Microsoft, Windows, PowerShell, Operational), illetve a C:\Windows\Temp alatt megjelenő (random nevű) .log fájl tartalma tájékoztat. Kivédése: TODO!

Egyéb alapbeállítások

  • Minden hálózatra kapcsolódáskor legyen időszinkron - Ez a gép, Kezelés, Feladatütemező, Művelet, Feladat létrehozása; Általános fülön Név Initial Time Synchronization, Felhasználói fiók SYSTEM, Futtatás akkor is, ha nincs bejelentkezve; Indítás fülön Új, Feladat megkezdése Eseménynél, Napló Microsoft-Windows-NetworkProfile/Műveletek, Forrás NetworkProfile, Eseményazonosító 10000, OK; Műveletek fülön Új, Program/parancsfájl w32tm, Argumentumok /resync, OK; Feltételek fülön Feladat indítása csak akkor, ha a számítógép hálózati áramról működik KI; OK.
PowerShell kódrészlet 
<# Set a schedule to make a time synchronisation whenever any network interface comes up

   https://secopsmonkey.com/windows-time-synchonization-the-battle-continues.html
   https://www.petri.com/import-scheduled-tasks-powershell
#>
IF(!(Get-ScheduledTask | Where TaskName -EQ "Initial Time Synchronization")){Register-ScheduledTask -Xml @'
<Task xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task" version="1.2">
    <Triggers>
        <EventTrigger>
            <Subscription>
                &lt;QueryList&gt;&lt;Query&gt;&lt;Select Path='Microsoft-Windows-NetworkProfile/Operational'&gt;
                *[System[Provider[@Name='Microsoft-Windows-NetworkProfile'] and (EventID=10000)]]&lt;/Select&gt;&lt;/Query&gt;&lt;/QueryList&gt;
            </Subscription>
        </EventTrigger>
    </Triggers>
    <Settings>
        <DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
        <StopIfGoingOnBatteries>false</StopIfGoingOnBatteries>
    </Settings>
    <Actions Context="Author">
        <Exec>
            <Command>w32tm</Command>
            <Arguments>/resync</Arguments>
        </Exec>
    </Actions>
    <Principals>
        <Principal id="Author">
            <UserId>S-1-5-18</UserId>
        </Principal>
    </Principals>
</Task>
'@ -TaskName "Initial Time Synchronization" | Out-Null}
Megjegyzés: a fenti kódban azért használtam XML-t, mert az schtasks nem tudja kikapcsolni a futtatás tiltását akkumulátoros üzemmódban, viszont a PowerShell New-ScheduledTaskTrigger nem ismeri az event triggert (TODO!).
  • Ez a gép, a rendszerlemezen (amely általában a C:) jobbklikk, Átnevezés, az új név legyen WINDOWS.
PowerShell kódrészlet 
IF (!(Get-Volume -DriveLetter ($env:SYSTEMDRIVE) -ErrorAction SilentlyContinue | `
      Select-Object -ExpandProperty FileSystemLabel)) {
    Set-Volume -DriveLetter (Get-Volume -DriveLetter ($env:SYSTEMDRIVE) -ErrorAction SilentlyContinue | `
                             Select-Object -ExpandProperty DriveLetter) `
               -NewFileSystemLabel "WINDOWS" }
Megjegyzés: a fenti kód csak akkor végzi el az átnevezést, ha a rendszerlemeznek még nincsen címkéje (a leírás szerinti telepítésnél így is van, de pl. sysprep után, vagy klónképből telepítésnél ez nem feltétlenül igaz).
  • Ez a gép, Kezelés, Lemezkezelés: az (első) optikai olvasó betűjele legyen R.
PowerShell kódrészlet 
<# Setup 1st optical drive (if any) as drive R: 

   https://wiki.geocom.hu/
#>
Get-WmiObject -Class Win32_volume -Filter 'DriveType=5' | Select-Object -First 1 | `
Set-WmiInstance -Arguments @{DriveLetter='R:'} | Out-Null
  • Asztalon jobbklikk, Nézet, Kis ikonok; ikonok elrendezése az asztalon.
PowerShell kódrészlet 
<# Small icons on desktop

   http://www.tenforums.com/tutorials/62393-desktop-icons-size-change-windows-10-a.html
#>
$registryPath = "HKCU:\Software\Microsoft\Windows\Shell\Bags\1\Desktop"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "IconSize" -Value 32 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "Mode" -Value 1 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "LogicalViewMode" -Value 3 -PropertyType "DWord" -Force | Out-Null; `
Stop-Process -ProcessName Explorer
Megjegyzés: a fenti kód nem rendezi el az ikonokat az asztalon (TODO!).
  • Az Áruház és Posta alkalmazások tálcára rögzítését (jobbklikk után) oldjuk fel.
PowerShell kódrészlet 
<# Unpin Mail and Store applications from the taskbar (Hungarian localized)
   https://stackoverflow.com/questions/45152335/unpin-the-microsoft-edge-and-store-taskbar-shortcuts-programmatically
#>
$appnames = "^Posta$|^Mail$|^Microsoft Store$"; `
((New-Object -Com Shell.Application).NameSpace('shell:::{4234d49b-0245-4df3-b780-3893943456e1}').Items() | `
  Where-Object{$_.Name -match $appnames}).Verbs() | `
  Where-Object{$_.Name.replace('&','') -match 'Unpin from taskbar|Levétel a tálcáról'} | `
  ForEach-Object{$_.DoIt(); $exec = $true}
  • Opcionálisan Start menü jobbklikk, Parancssor, fejlécen jobbklikk, Alapértelmezések, Betűtípus legyen Lucida Console 12-es; Elrendezés, Ablakméret legyen 80x25.
PowerShell kódrészlet 
<# Console window (cmd.exe) defaults - 80*25 chars, Lucida Console 12pt

   https://www.winhelponline.com/blog/set-cmd-prompt-default-window-size-position/
#>
$registryPath = "HKCU:\Console"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
New-ItemProperty -Path $registryPath -Name "WindowSize" -Value 1638480 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "FaceName" -Value "Lucida Console" -PropertyType "String" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "FontFamily" -Value 54 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "FontSize" -Value 786432 -PropertyType "DWord" -Force | Out-Null; `
New-ItemProperty -Path $registryPath -Name "FontWeight" -Value 400 -PropertyType "DWord" -Force | Out-Null

A fentiek elvégzése után a gépet újra kell indítani.

Driverek telepítése

E szakasz első része - elsősorban a hardverek különbözősége miatt - nehezen scriptelhető, még playbook telepítés esetén is a GUI használatára vagyunk utalva.

Az eszközkezelőben (pl. Ez a gép, Tulajdonságok, Eszközkezelő) ellenőrizzük a hardverek felismerését, és (pl. az alaplaphoz mellékelt CD/DVD-ről vagy Internetről beszerezve) pótoljuk a hiányzó drivereket. A telepítés alatti gép (nézetem szerint) nem jól védett és még nincs beállítva, ezért a driver vadászatot lehetőség szerint másik (biztonságosnak gondolt) gépen végezzük, és a letöltött állományokat pl. pendrive-on vigyük át a telepítés alatti gépre.

A telepítés célszerű sorrendje sok mindentől függhet:

  • ha a video beállítások munkára alkalmatlanok (ritka!), akkor először a video drivert telepítsük (ha van hálózat, akkor nem nagyon egzotikus hardver esetén ezt a háttérben futó Windows Update általában megoldja);
  • létesítsünk hálózati kapcsolatot az automatikus driver keresés érdekében, majd Gépház, Frissítés és biztonság, Windows Update, Frissítések keresése; lehetőség szerint minden (releváns) frissítést telepítsünk. Ezt a lépést csak akkor tekinthetjük befejezettnek, ha minden felajánlott drivert és frissítést feltelepítettünk;
  • ezt követően - elsősorban akkor, ha az eszközkezelőben nem kezelt rendszereszközt (pl. USB-3 portokat, stb.) látunk - az alaplapi chipkészlethez tartozó drivert célszerű feltenni (modernebb gép, illetve mainstream gyártótól származó eszköz esetén a Windows Update általában ezt is elintézi);
  • utána jöhet a többi meghajtóprogram;
  • nyomtatók illetve egyéb, hálózaton keresztül elérhető eszközök meghajtóit csak később, a védelem beüzemelése után telepítsük!

A driverek telepítése közben szükség lehet a gép többszöri újraindítására. Az utolsó driver telepítése után ezt érdemes még egyszer megtenni.

Sikeres telepítést követően érdemes a szükséges drivereket, a telepítési sorrend megjelölésével, pl. optikai adathordozón (CD, DVD) vagy felhőben archiválni. Ezután takarítsunk - ne feledkezzünk meg a gyári telepítők által a C: gyökerében (esetleg a C:\Program Files-ban, stb.) létrehozott ideiglenes könyvtárak, illetve a letöltött 3rd party telepítőkészletek törléséről!

Szakaszonkénti scriptelt telepítéshez a szakasz további beállításait egy menetben végrehajtó parancsfájl innen tölthető le. Ezt a jobbklikk - Run with PowerShell GUI művelettel futtassuk le (ha rákérdezne az ExecutionPolicy módosításra: y (yes); indulása után emelt jogosultságokat kér), majd a képernyőn megjelenő utasítások követésével lépjünk tovább a Windows aktiválása szakaszhoz.

Ezen a ponton érdemes egy rendszer-visszaállítási pontot is készíteni (Ez a gép, jobbklikk, Tulajdonságok, Rendszervédelem, Létrehozás, "Összes driver, összes update", Létrehozás).

PowerShell kódrészlet 
<# Make a system restore point at "all drivers, all updates" state 

   https://www.tenforums.com/tutorials/94682-change-system-restore-point-creation-frequency-windows-10-a.html
   https://www.tenforums.com/tutorials/4571-create-system-restore-point-windows-10-a.html
#>
$registryPath = "HKLM:\\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore"; `
IF(!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force | Out-Null}; `
$srpcf = (Get-ItemProperty -Path $registryPath -Name "SystemRestorePointCreationFrequency" `
                           -ErrorAction SilentlyContinue).SystemRestorePointCreationFrequency; `        
New-ItemProperty -Path $registryPath -Name "SystemRestorePointCreationFrequency" `
                 -Value 0 -PropertyType "DWord" -Force | Out-Null; `
Checkpoint-Computer -Description "Összes driver, összes update" -RestorePointType "MODIFY_SETTINGS"; `
IF($srcpf){New-ItemProperty -Path $registryPath -Name "SystemRestorePointCreationFrequency" `
                            -Value $srcpf -PropertyType "DWord" -Force | Out-Null} `
ELSE{Remove-ItemProperty -Path $registryPath -Name "SystemRestorePointCreationFrequency" | Out-Null}

A telepítést követően opcionálisan határozzuk meg a felhasználói élményindexet. Erre már nincsen grafikus felület, némi bűvészkedéssel állítható elő:

PowerShell kódrészlet 
<# Run the formal assessment test then display results 

   https://www.tenforums.com/tutorials/82029-get-windows-experience-index-wei-score-windows-10-a.html
#>
Write-Output "Formal assessment is running - be patient..."; winsat formal | Out-Null; `
Write-Output "Results are:"; Get-CimInstance Win32_WinSat
Az összesítés a WinSPRLevel elemben van. Az élményindex komponensei 1-10 közötti számok, a régebbi Windowsok ebből mindig a legkisebbet írták ki.

A Windows aktiválása

Alapértelmezésben a Windows kérés nélkül aktiválja magát, ha Internetet lát (ez a Vezérlőpult, Rendszer legalján ellenőrizhető). Nehézség esetén TODO!.

Ne haladjunk tovább, amíg a Windowst nem sikerült aktiválni!

Programtelepítés előtti beállítások

Ebben a szakaszban a jelenleg is használt adminisztrátori fiók telepített alkalmazásait és Start menüjét módosítjuk.

Sajnálatos módon az általános (nem testre szabott) telepítőkészlettel installált Windows 10 egy halom reklámcélú, illetőleg feleslegesnek tűnő alkalmazást (bloatware) telepít külön-külön minden felhasználói profilba, és nagy részüket a Start menü csempéi közé is kitűzi. A felesleges alkalmazások és kitűzések általában zavaróak, ezért érdemes ezeket már most, a tényleges szoftvertelepítések előtt eltávolítani.

A beállítások végrehajtása opcionális - személyes fiók esetén mindenkinek szíve joga megválasztani a saját profiljából elérhető (a Windows Áruházból telepített, ingyenes) alkalmazásokat, és úgy elrendezni a Start menü jobb oldalát, ahogy neki tetszik. Szerepfiók esetén viszont célszerű valamilyen egységességre törekedni, ebben segíthet az alábbi javaslat.

Szakaszonkénti scriptelt telepítéshez a szakasz összes beállítását egy menetben végrehajtó parancsfájl innen tölthető le. Ezt a jobbklikk - Run with PowerShell GUI művelettel futtassuk le (ha rákérdezne az ExecutionPolicy módosításra: y (yes); indulása után emelt jogosultságokat kér), majd a képernyőn megjelenő utasítások követésével lépjünk tovább az Alapvető szoftverek szakaszhoz.

Alkalmazások revíziója adminisztrátorként

A Start menü bal oldalán opcionálisan:

  • távolítsuk el (listában jobbklikk és Eltávolítás) a Microsoft bloatware-eket: 3D megjelenítő, Az Office letöltése, Filmek és TV, Groove Zene, Hírek (nincs magyar hírfolyam), Mixed Reality Portal, Mobiladat-forgalmi díjcsomagok, Pénzügyek (ha van), OneNote (Microsoft fiókot igényel), Posta, Sway (ha van), Tippek, Visszajelzési központ.
PowerShell kódrészlet 
<# Uninstall bloatwares from current account only, step #1 - Microsoft apps
   3D Viewer, My Office, Movies & TV, Groove Music, News, Mixed Reality Portal, Paid WiFi & Cellular, 
   Money, OneNote, Mail and Calendar, Sway, Microsoft Tips, Feedback Hub, Wallet

   https://docs.microsoft.com/en-us/windows/application-management/apps-in-windows-10
#>
"Microsoft.Microsoft3DViewer","Microsoft.MicrosoftOfficeHub", "Microsoft.ZuneVideo", "Microsoft.ZuneMusic", 
"Microsoft.BingNews", "Microsoft.MixedReality.Portal", "Microsoft.OneConnect", "Microsoft.Money", `
"Microsoft.Office.OneNote", "microsoft.windowscommunicationsapps", "Microsoft.Office.Sway", `
"Microsoft.GetStarted", "Microsoft.WindowsFeedbackHub", "Microsoft.Wallet" | `
ForEach-Object -Process {Get-AppxPackage $_ | Remove-AppxPackage -ErrorAction SilentlyContinue}
  • távolítsuk el a különféle demókat és játékokat is (a lista változhat!)
PowerShell kódrészlet 
<# Uninstall bloatwares from current account only, step #2 - Various 3rd party vendors
   
   https://github.com/Disassembler0/Win10-Initial-Setup-Script/blob/master/Win10.psm1
#>
"2414FC7A.Viber", "41038Axilesoft.ACGMediaPlayer", "46928bounde.EclipseManager", `
"4DF9E0F8.Netflix", "64885BlueEdge.OneCalendar", "7EE7776C.LinkedInforWindows", `
"828B5831.HiddenCityMysteryofShadows", "89006A2E.AutodeskSketchBook", "9E2F88E3.Twitter", `
"A278AB0D.DisneyMagicKingdoms", "A278AB0D.DragonManiaLegends", "A278AB0D.MarchofEmpires", `
"ActiproSoftwareLLC.562882FEEB491", "AdobeSystemsIncorporated.AdobePhotoshopExpress", `
"CAF9E577.Plex", "D52A8D61.FarmVille2CountryEscape", "D5EA27B7.Duolingo-LearnLanguagesforFree", `
"DB6EA5DB.CyberLinkMediaSuiteEssentials", "DolbyLaboratories.DolbyAccess", "Drawboard.DrawboardPDF",`
"E046963F.LenovoCompanion", "Facebook.Facebook", "flaregamesGmbH.RoyalRevolt2", `
"GAMELOFTSA.Asphalt8Airborne", "KeeperSecurityInc.Keeper", "king.com.BubbleWitch3Saga", `
"king.com.CandyCrushSaga", "king.com.CandyCrushFriends", "king.com.CandyCrushSodaSaga", `
"LenovoCorporation.LenovoID", "LenovoCorporation.LenovoSettings", "Nordcurrent.CookingFever", `
"PandoraMediaInc.29680B314EFC2", "SpotifyAB.SpotifyMusic", "WinZipComputing.WinZipUniversal", "XINGAG.XING" | `
ForEach-Object -Process {Get-AppxPackage $_ | Remove-AppxPackage -ErrorAction SilentlyContinue}
Megjegyzés: a fenti kód egy óvatos, opt-out megközelítéssel dolgozik (azt sorolja fel, amit eltávolítunk, nem azt, ami maradhat). Mivel a Microsoft állandóan változtatja a reklámozott anyagot, csak remélhető (nem garantálható), hogy egy adott telepítés során a fentiekkel a Start menü bal oldaláról minden bloatware-t kipucolunk.
  • Néhány, feleslegesnek tűnő alkalmazás törlését a felhasználói felület nem teszi lehetővé: Csatolt telefon (Android telefonnal összekötés), Csatlakozás, Kapcsolatok, Segítség kérése, Üzenetek. Ezeket pl. az alábbi PowerShell kódrészlet lefuttatásával tüntethetjük el:
PowerShell kódrészlet 
<# Uninstall bloatwares from current account only, step #3 - Microsoft apps W/O uninstall 
   option on GUI: Your Phone, Connect, People, Get Help, Microsoft Messaging
   
   https://docs.microsoft.com/en-us/windows/application-management/apps-in-windows-10
#>
"Microsoft.YourPhone", "Microsoft.PPIProjection", "Microsoft.People", "Microsoft.GetHelp", "Microsoft.Messaging" | `
ForEach-Object -Process {Get-AppxPackage $_ | Remove-AppxPackage -ErrorAction SilentlyContinue}
  • Végül - irodai telepítésről és nem játékgépről lévén szó - eltüntethetjük az Xbox alkalmazásokat is (erre sincsen felhasználói felület):
PowerShell kódrészlet 
<# Uninstall bloatwares from current account only, step #4 - Xbox apps and features
   except Identity provider and Gaming overlay
   
   https://docs.microsoft.com/en-us/windows/application-management/apps-in-windows-10
#>
$registryPath = "HKCU:\System\GameConfigStore"; `
"Microsoft.XboxApp", "Microsoft.XboxSpeechToTextOverlay", "Microsoft.XboxGameOverlay", "Microsoft.Xbox.TCUI" | `
ForEach-Object -Process {Get-AppxPackage $_ | Remove-AppxPackage -ErrorAction SilentlyContinue}

A Start menü testreszabása adminisztrátorként

W10 v1903 startright before programs.png

A Start menü jobb oldalán opcionálisan hozzunk létre négy csoportot:

  • a Böngészés csoportba tegyük ki a két böngészőt és a Skype alkalmazást;
  • az Irodai alkalmazások csoportba tegyük ki a Jegyzettömb, Számológép, Stickies alkalmazásokat;
  • a Lejátszás csoportba tegyük ki a Fényképeket, és az Időjárás alkalmazást;
  • a Játék csoportba tegyük ki a Microsoft Solitaire Colletcion-t :)

Ezzel a jobb oldali ábrának megfelelő layout-ot hozunk létre (az alábbi kódrészlet ugyanezt teszi).

PowerShell kódrészlet 
<# Customize the Start menu layout for current account only

   https://ccmcache.wordpress.com/2017/10/15/use-powershell-to-dynamically-manage-windows-10-start-menu-layout-xml-files/
   https://ccmexec.com/2015/09/customizing-the-windows-10-start-menu-and-add-ie-shortcut-during-osd/
   https://www.tenforums.com/tutorials/3087-reset-start-layout-windows-10-a.html
#>
$XMLFile = "$env:LOCALAPPDATA\Microsoft\Windows\Shell\LayoutModification.xml"; `
@'
<LayoutModificationTemplate xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout" 
                            xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout" Version="1" 
                            xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification">
  <LayoutOptions StartTileGroupsColumnCount="2" StartTileGroupCellWidth="6" />
  <DefaultLayoutOverride>
    <StartLayoutCollection>
      <defaultlayout:StartLayout GroupCellWidth="6">
        <start:Group Name="Böngészés">
          <start:Tile Size="2x2" Column="4" Row="0" AppUserModelID="Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge" />
          <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk" />
          <start:Tile AppUserModelID="Microsoft.SkypeApp_kzf8qxf38zg5c!App" Row="2" Column="2" Size="2x2"/>
        </start:Group>
        <start:Group Name="Irodai alkalmazások">
          <start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.lnk" />
          <start:Tile Size="2x2" Column="4" Row="0" AppUserModelID="Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe!App" />
          <start:Tile Size="2x2" Column="2" Row="0" AppUserModelID="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
          <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\LibreOffice 6.0\LibreOffice Calc.lnk" />
        </start:Group>
        <start:Group Name="Játék">
          <start:Tile Size="2x2" Column="0" Row="0" AppUserModelID="Microsoft.MicrosoftSolitaireCollection_8wekyb3d8bbwe!App" />
        </start:Group>
        <start:Group Name="Lejátszás">
          <start:Tile Size="2x2" Column="4" Row="0" AppUserModelID="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
          <start:Tile Size="2x2" Column="0" Row="0" AppUserModelID="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
        </start:Group>
      </defaultlayout:StartLayout>
    </StartLayoutCollection>
  </DefaultLayoutOverride>
</LayoutModificationTemplate>
'@ | Set-Content -Path $XMLFile -Encoding UTF8; `
Remove-Item -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\CloudStore\Store\Cache\DefaultAccount" `
            -Recurse -ErrorAction SilentlyContinue | Out-Null; `
Stop-Process -ProcessName Explorer; Start-Sleep -Seconds 2; `
Remove-Item -Path $XMLFile
Megjegyzés: ez egy csúnya hack. A Microsoft nem ad egyszerű felhasználói felületet a Start menü csempéinek programból történő kezeléséhez - a fenti kód a provisioning-hez használt XML layout definíciót használja úgy, hogy azt bemásolja az aktuális felhasználó létrehozatalakor használt template mellé (overlay), majd a registryben törli a jelenlegi elrendezést és újraindítja az explorer processzt, ezzel megismételve az első belépéskori layout beállítást. Mellékhatásként a csempék minden korábbi esetleges manuális testreszabása elvész.

Alapvető szoftverek

Ezek mindegyike ingyenes, illetőleg jogszerű Windows birtokában ingyenesen használható - az esetleges eltéréseket külön jelezzük. Az alapszoftverek telepítésekor fontos a sorrend.

Böngészőprogramok

A Windows 10 két, beépített böngészőprogramot tartalmaz: az Internet Explorer asztali alkalmazást és a Microsoft Edge modern design alkalmazást. Ezek mellett (helyett) célszerűnek gondolom alternatív böngészőt használni (tessék nyugodtan lerasszistázni); önkényes választásként ebben a leírásban a Mozilla Firefox és a Google Chrome támogatott.

Internet Explorer

A Windows része, így akkor is kötelező beállítani, ha általában nem használjuk - kivéve, ha teljesen eltávolítjuk (letiltjuk).

Ha az Internet Explorer eltávolítását (letiltását) választjuk (mely esetben az a munkaállomás egyik felhasználója számára sem lesz elérhető):

  • Vezérlőpult, Programok és szolgáltatások, Windows szolgáltatások ki- és bekapcsolása, Internet Explorer 11 KI, újraindítás.
PowerShell kódrészlet 
<# Disable Internet Explorer 11 for all users - requires reboot! 
   https://www.tenforums.com/tutorials/27095-install-uninstall-internet-explorer-windows-10-a.html#option3
#>
Disable-WindowsOptionalFeature –FeatureName "Internet-Explorer-Optional-amd64" -Online

<# Reverse command is here (requires reboot also):
Enable-WindowsOptionalFeature –FeatureName "Internet-Explorer-Optional-amd64" -All -Online
#>

Ha megtartjuk az Internet Explorert, indítsuk el;

  • A gyorsbeállításokat fogadjuk el;
  • Ablakfejlécen jobbklikk, Menüsor jelenjen meg;
  • Eszközök, Internetbeállítások: kezdőlap üres lap (about:blank), Alkalmaz;
  • Általános, Lapok, Új lap megnyitásakor jelenjen meg Egy üres oldal, OK;
  • Tartalom, Automatikus kiegészítés, Beállítások, Űrlapok és keresések KI, Rákérdezés a jelszavak mentése előtt BE, Felhasználónevek és jelszavak az űrlapokon KI;
  • Programok, Bővítmények kezelése, Keresésszolgáltatók, További keresésszolgáltatók keresése, Add-Ons, Google Search, Hozzáadás, ez legyen az alapértelmezett keresésszolgáltató, utolsó két IE ablak bezárása; Újra megnyitva ugyanezt a listát a Bing eltávolítható;
  • Programok, Bővítmények kezelése, Gyorssegédek, minden gyorssegéd letiltása.
  • Gyorsteszt: Macromedia Flash player

Microsoft Edge

A Windows része, így akkor is kötelező beállítani, ha általában nem használjuk.

Alapértelmezetten a tálcára rögzített, indítsuk el:

  • Ha kérdezné, ne hagyjuk átvenni az alapértelmezett böngésző szerepet;
  • Menü (... ikon), Beállítások
    • Általános fülön Új lappal induljon, az Új lapok tartalma legyen üres lap, Gyakran felkeresett webhelyek lista opcionálisan KI, Microsoft fiók használata esetén szinkronizálás opcionálisan KI (Meggondolni, TODO!);
    • Adatvédelem és biztonság fülön Követés letiltása BE, Lapelőrejelzés KI, Előugró ablakok blokkolása KI;
    • Jelszavak és automatikus kitöltés fülön minden KI;
    • Speciális fülön Webhelyek megnyitása alkalmazásokkal opcionálisan KI.
  • Gyorsteszt: Macromedia Flash player

Kilépés után:

  • A tálcára rögzítést oldjuk fel;
  • Az alapértelmezetten létrehozott asztali parancsikont töröljük.

Mozilla Firefox

Opcionális telepítés; akkor hagyhatjuk el, ha a leendő felhasználó(k) egységesen más alternatív böngészőt (pl. Google Chrome-ot) fognak használni - ez esetben a rendszergazda fiókban mi is azzal fogunk dolgozni.

Töltsük le a legfrissebb stabil változatot. 64 bites operációs rendszer esetén javasolt a 64 bites Mozilla telepítése (jelenleg ez az alapértelmezés - más verziók a Speciális telepítési beállítások és más platformok linken takálhatóak). Telepítéskor semmit nem kérdez.

Telepítés után automatikusan elindul:

  • Ne legyen teljes képernyős a megjelenés;
  • Ablakfejlécen jobbklikk, menüsor BE;
  • Eszközök, Beállítások:
    • Általános fülön, Indítás, amennyiben a Mozilla Firefox lesz a felhasználó alapértelmezett böngészője, Beállítás alapértelmezettként (a Gépházba visz, a Rendszer, Alapértelmezett alkalmazások oldalra; itt a Webböngésző elemnél válasszuk a Firefoxot);
    • Általános fülön Lapok, Hivatkozás új lapon való megnyitásakor átváltás rá azonnal opcionálisan BE; Letöltések, mindig kérdezzen rá a fájlok letöltési helyére;
    • Kezdőlap fülön Kezdőlap és új ablakok legyen Üres lap, Új lapok legyen üres lap;
    • Adatvédelem és biztonság fülön Bejelentkezések és jelszavak, Felhasználónevek és jelszavak megjegyzése KI; Előzmények, Egyéni beállításokat használ, Keresőmezők és űrlapmezők előzményeinek megjegyzése KI; Engedélyek, Felugró ablakok tiltása KI; Firefox adatgyűjtés és felhasználás, műszaki és interakciós adatok küldése KI;
    • A többi alapértelmezés jónak tűnik (TODO!).

Kilépés után:

  • Amennyiben a Mozilla Firefox lesz a felhasználó alapértelmezett böngészője, rögzítsük az ikonját a tálcán;
  • Az automatikusan létrejövő asztali parancsikont töröljük;
  • Tűzzük ki a program csempéjét a Start menü jobb oldalán, a Böngészés csoportba.

A Firefox jelenleg nem hozza magával automatikusan az elavulóban lévő Flash playert, így érdemes ezt pótolnunk:

  • Firefoxban, az Adobe weboldaláról kiindulva (a letöltési link jelenleg a weboldal láblécében van) töltsük le az Adobe Flash Player Firefox verzióját (az esetleges árukapcsolások - pl. McAfee Scan - mellőzésével!) és telepítsük (erre az időre zárjuk be a böngészőt). Az automata frissítést engedélyezzük. Telepítés után a böngésző automatikusan újra megnyílik.
  • Gyorsteszt: Macromedia Flash player

Google Chrome

Opcionális telepítés, csak akkor telepítsük, ha a leendő felhasználó(k) igényli(k) ezt a böngészőt. A rendszergazda fiókban csak akkor használjuk a Chrome-ot, ha a Mozilla Firefox nincs telepítve; ez esetben ez legyen az alapértelmezett böngésző.

Töltsük le a legfrissebb stabil változatot. Letöltéskor az adatküldéseket kapcsoljuk KI és engedjük futni a letöltött telepítőt (semmit sem kérdez, a végén a Chrome automatikusan elindul).

  • Az üdvözlő képernyőn ne hagyjuk magunkat semmire rávenni :);
  • Menü (jobb felül három vonal), Beállítások;
    • Automatikus kitöltés, Jelszavak, Jelszavak mentése KI, Automatikus bejelentkezés KI; Fizetési módok, Fizetési módok mentése KI; Címek és egyebek, Címek mentése KI;
    • Megjelenés, Kezdőoldal gomb megjelenítése BE;
    • Alapértelmezett böngésző, amennyiben a Google Chrome lesz a felhasználó alapértelmezett böngészője Legyen alapértelmezett (a Gépházba visz, a Rendszer, Alapértelmezett alkalmazások oldalra; itt a Webböngésző elemnél válasszuk a Chrome-ot);
  • Speciális beállítások lenyitása után:
    • Adatvédelem és biztonság, Chrome-bejelentkezés engedélyezése KI (így megnézhető a GMail anélkül, hogy a Chrome-session hozzárendelődne a megnézett postafiók felhasználójához), Nincs nyomon követés BE, Elmentett fizetési módok ellenőrzése KI, Oldalak előtöltése KI;
    • Nyelvek, helyesírás-ellenőrzés a megadott nyelvekre opcionálisan BE;
    • Letöltések, A letöltés előtt kérdezze meg... BE.
  • A többi alapértelmezés jónak tűnik (TODO!).
  • Gyorsteszt: Macromedia Flash player
  • Amennyiben a Google Chrome lesz a felhasználó alapértelmezett böngészője, rögzítsük az ikonját a tálcán;
  • Az automatikusan létrejövő asztali parancsikont töröljük;
  • Tűzzük ki a program csempéjét a Start menü jobb oldalán, a Böngészés csoportba.

Futtató környezetek

Néhány alapvető futtató környezet a Windows 10 telepítésekor automatikusan települ (pl. .Net Framework 4, DirectX), és a Windows Update a háttérben frissíti őket; másokat az azokat használó alkalmazások telepítői a háttérben installálnak (pl. Visual C++ Runtime) - ezek frissítése kétséges lehet. Minden egyéb futtató környezet telepítéséről és karbantartásáról nekünk kell gondoskodnunk.

Java futtató környezet

Általános célú munkaállomáson jelenleg opcionális, de ajánlott telepítés, pl. a magyarországi adóbevallást támogató natív (desktop) alkalmazás elterjedtsége miatt.

2019 óta az Oracle nem biztosít hosszú távon támogatott, vállalati környezetben is ingyenesen használható Java futtató környezetet (bővebben ld. pl. itt). Magánszemélyek számára továbbra is telepíthető az Oracle JRE, vállalati környezetben az AdoptOpenJRE használata javasolt. Hosszabb távon valószínűleg magánszemélyek esetében is ez utóbbi lesz az előnyösebb választás.

AdoptOpen JRE 8 (LTS) telepítése

Töltsük le a telepítőkészletet (version: OpenJDK 8 (LTS), JVM: Hotspot, platform Windows x64 vagy Windows x32 (utóbbi csak 32 bites gépen), a megjelenő letöltési oldalon Install JRE installer) és indítsuk el. A felajánlott komponensek és az alapértelmezett célmappa megfelelő.

  • Gyorsteszt: parancssorban java -version.

Rendszeres és automatikus frissítés biztosítása: TODO!

Oracle JRE 8 (LTS) telepítése
  • Töltsük le (Java download, Agree and Start Free Download) a telepítőkészletet és indítsuk el. A telepítőben (Java SE Runtime Environment) jelenleg nincs megválaszolandó kérdés, az alapértelmezett célmappa megfelelő.
  • Gyorsteszt: parancssorban java -version.

Virtuális eszközök és fájlrendszerek

TODO: NetDrive

Virtual CloneDrive

Opcionális telepítés, mert a Windows 10 alapértelmezésben lehetővé teszi iso és dmg lemezképfájlok meghajtóként történő csatolását. Telepítése csak akkor indokolt, ha más formátumú (bin, ccd, stb.) lemezképek csatolására is szükség lehet.

A Virtual CloneDrive az Elaborate Bytes CloneCD-DVD (fizetős) programcsomag része, azonban ez a komponens külön is letölthető és minden felhasználásra ingyenes.

  • Töltsük le a telepítőkészletet és indítsuk el. Ne kérjünk desktop ikont, a társítások rendben vannak, a telepítési mappa legyen C:\Program Files\Tools\VirtualCloneDrive (Start menü mappát sajnos nem kérdez). Ha kérdezné, engedjük települni a virtuális lemezmeghajtót (de vegyük ki a pipát a "Mindig megbízom... mellől!).
  • Amennyiben a tálcaikon nem látszana, Tálca, jobbklikk, Tulajdonságok, Testreszabás alatt állítsuk be, hogy mindig látsszék.
  • Ez a gép, Kezelés, Lemezkezelés, a meghajtó betűjele legyen V: (virtual). Tálcaikon, jobbklikkel ellenőrizzük a hozzárendelt betűjelet.
  • Tálcaikon, Settings, Virtual sheep-et érdemes kipipálni, így az Intézőben a virtuális drive ikonja mindig a bárány lesz :).

Fájlszinkronizáló eszközök

Az ebben a szakaszban felsorolt egyéb eszközöket opcionálisan, csak akkor telepítsük, ha a munkaállomás bármelyik felhasználója az ezekhez kapcsolódó felhő tárhely szolgáltatást kívánja használni (és vállalati környezetben ezt a házirend megengedi).

TODO: Google Drive, iCloud, NextCloud, ownCloud

OneDrive

A fájlszinkronizáló eszközök közül a Windows 10 beépítetten tartalmazza a OneDrive-ot, amely egy Microsoft fiókhoz tartozó felhő tárhellyel szinkronizál. Amennyiben a rendszergazda (szerep)fiókot Microsoft fiókhoz csatlakoztattuk, a OneDrive szinkronizálás már automatikusan elkezdődött.

  • Beállítás: TODO!

Amennyiben a rendszergazda szerepfiók nem Microsoft fiók, a OneDrive-ra nincs szükség, így célszerű azt inaktiválni: a tálcaikonra jobbklikkelve Beállítások, Beállítások fül, automatikus indítás KI, OK; újabb jobbklikk a tálcaikonon, A OneDrive bezárása.

Adatmentő eszközök

TODO!

Titkosító eszközök

Az alábbiakban a tárterület (részben vagy egészben) titkosítására, illetve az elektronikus levelezés titkosítására és digitális aláírására szolgáló szoftvereket telepítünk. A tárterületet titkosító programok közül, a jelen leírásban az egyébként széles palettáról csak a BitLocker és VeraCrypt megoldásokkal foglalkozunk.

BitLocker

Külön telepítést nem igényel, a Windows 10 üzleti célra szánt (Pro, Enterprise) változataiban alapértelmezetten rendelkezésre áll.

Lehetővé teszi a meglévő meghajtók (ez lehet az operációs rendszert tartalmazó meghajtó is) titkosított használatát. Lényegében megkerülhetetlenné teszi a Windows authentikációt - idegen gépben vagy idegen operációs rendszer alatt a titkosított meghajtó csak jelkulcs megadásával olvasható. Eredeti gépben és saját operációs rendszerrel használva a felhasználó számára teljesen transzparens.

A BitLocker használata feltételezi, hogy megbízunk a Microsoft adatkezelési gyakorlatában. Nem tudjuk, hogy létezik-e a BitLockerhez olyan eszköz vagy eljárás, amelynek birtokában a titkosítás gyártói közreműködéssel feltörhető.

A lemeztitkosítást ebben a leírásban a programtelepítések után végezzük el.

VeraCrypt

Hordozható gépen (hacsak nem használunk BitLockert) kötelező, asztali munkaállomáson opcionális telepítés.

Lehetővé teszi titkosított (a felhasználói munkamenet elején jelszóval "kinyitható") meghajtók használatát. Titkosított meghajtó lehet egy különálló partíció (akár az operációs rendszert tartalmazó partíció is), vagy a fájlrendszeren belül egyetlen állományként is mutatkozhat - utóbbi esetben, amikor nincs felcsatolva, a szokványos fájlkezelőkkel egyben másolható, felhőbe vagy külső adathordozóra menthető anélkül, hogy tartalma ennek során megismerhetővé válna.

A VeraCrypt használata mellett szól, hogy ingyenes és open source, valamint létezik MacOS és Linux platformra is, vagyis egy elmentett VeraCrypt drive gyakorlatilag mindenütt felcsatolható. A VeraCrypt a TrueCrypt projektből származik, ez utóbbit az NSA botrány kapcsán, közösségi kezdeményezésre auditálták, ennek kapcsán nem derült fény backdoor-ra vagy biztonsági problémára, vagyis (a projekt akkori állapota) megbízhatónak mondható. A TrueCrypt fejlesztését (nem teljesen világos körülmények között) 2014-ben befejezték; a VeraCrypt, mint utód mellett és ellen egyaránt lehet érvelni.

Töltsük le és indítsuk el a telepítőt:

  • Install, célmappa legyen C:\Program Files\Security\VeraCrypt, desktop ikont nem kérünk, a többit igen, Install; a tutorialt nem kell elolvasnunk :-).

A Start menüből indítsuk el a programot:

  • Settings, Language, Magyar, OK;
  • Beállítások, Beállítások, Windowsba bejelentkezéskor elvégzendő műveletek között Háttér feladatként indítsa el... BE, OK;

Kilépés után:

  • Amennyiben a tálcaikon nem látszana, Tálca, jobbklikk, Tulajdonságok, Testreszabás alatt állítsuk be, hogy mindig látsszék.

Teljes lemez titkosításának beállítását ebben a leírásban a programtelepítések után végezzük el; csak egyes tárterületek védelmének beállítását lásd a felhasználói beállításoknál.

GnuPG 2

Tartalomtitkosításra - pl. elektronikus levelezés esetén nem a kapcsolat rejtjelezésére, hanem maguknak az emaileknek digitális aláírására illetve tartalmuk elrejtésére - használható titkosító eszköz.

Mozilla Thunderbird használata, illetve más, GnuPG-n alapuló kriptográfiát használó program használata esetén kötelező telepítés.

Töltsük le a telepítőkészletet (a $0 donation is legális) és telepítsük:

  • a komponensek közül
    • a Mozilla Thunderbird-höz csak a GnuPG kell;
    • a Microsoft Outlook használata esetén a GpgOL kiterjesztés is;
  • célmappa C:\Program Files (x86)\Security\GnuPG (jelenleg mást nem kérdez).

Gyorsteszt: parancssorban gpg --version

Védelmi szoftverek

Szükséges legalább:

  • egy csomagszűrő tűzfal;
  • egy állandóan futó víruskereső;
  • egy állandóan futó viselkedéselemző (korábbi nevén személyi tűzfal, a hálózaton belüli esetleges támadások kivédésére és a saját gépen futó esetleges malware tevékenységek lebuktatására).

Ezek lehetnek önálló programok, vagy mindhárom szerepet betöltheti egy all-in-wonder alkalmazás.

A Windows régóta tartalmaz csomagszűrő tűzfalat, illetve a víruskeresést ellátó Windows Defender a Windows 10-ben már rezidens, azonban még mindig a gyengébb víruskeresők közé sorolható (igazán mélyről indult 2012-ben), valamint nem tartalmaz(?) személyi tűzfal funkcionalitást, ezért a védelmet jobbnak tűnik 3rd party megoldásra bízni. Ennek kiválasztásánál érdemes figyelembe venni az AV-Test illetve az AV Comparatives aktuális tesztjeit.

Avast Free Antivirus

Antivírus- és viselkedéselemző (személyi tűzfal) komponenseket tartalmazó, csak magánhasználatra ingyenes védelmi szoftver. Az ingyenes kiadásnak csomagszűrő tűzfal komponense nincsen, erre a Windows beépített tűzfalát használjuk.

Megjegyzés: az Avast - mind telepítését, mind beállítását tekintve - kicsit pilótavizsgás, ezért, nézetem szerint, nem ideális nagymama-szoftver.

Töltsük le a telepítőkészletet (Free download for PC), és indítsuk el.

  • Utasítsuk el az esetleges árukapcsolást (jelenleg Avast Secure Browser), Testreszabás:
    • Célmappa legyen C:\Program Files\Security\Avast;
    • a komponensek közül csak a valóban ingyeneseket és hasznosakat (TODO!) engedélyezzük: Fájl-, Viselkedés-, Web-, Levelezés védelem, opcionálisan Böngésző takarító, Wi-Fi vizsgáló, Biztonsági böngészőbővítmény; Telepítés.

Némi molyolás után települ és elindul - itt az Első lépések során:

  • Tiltsuk le az anonym adatgyűjtést;
  • Az elinduló Okos vizsgálat során a Speciális problémák megoldását NE kérjük (Kihagyás, Mellőzés) - itt (és a használat során később még sokszor) extra védelmek kéretlen felajánlásával próbál bennünket rávenni az Avast a fizetős változat használatára.

A kezelőfelületen maradva Menü, Beállítások:

  • Általános fülön
    • Értesítések, Avast ikon animálása opcionálisan BE;
    • Személyes adatvédelem, Ossza meg... KI;
  • Védelem fülön
    • Alapvető védelmek, Vírusok, Rákérdezés; Potenciálisan nemkívánatos programok, Rákérdezés; legörgetve Védelem beállításainak konfigurálása, Levelezésvédelem, Aláírás hozzáadása az elküldött levelekhez KI.
  • A többi alapértelmezés jónak tűnik (TODO!), zárjuk be a Beállítások ablakot.

A kezelőfelület bezárása után:

  • Az automatikusan létrejövő asztali parancsikont töröljük;
  • Amennyiben a tálcaikon nem látszana, Tálca, jobbklikk, Tulajdonságok, Testreszabás alatt állítsuk be, hogy mindig látsszék.
  • Web védelem gyorsteszt: tetszőleges böngészőprogrammal próbáljuk meg letölteni bármelyik EICAR tesztállományt - az Avast megszakítja a kapcsolatot és figyelmeztetést ad. A védelem felajánlott kiterjesztésére (fizetőssé tételére) most nincs szükségünk :).

Comodo Internet Security

Mind céges, mind magánhasználatra ingyenes antivírus, csomagszűrő és személyi tűzfal (alkalmazásfelügyelő). Más védelmet nem kell mellé telepíteni.

Megjegyzés: sajnos az AV-Test.org tesztjein korábban (2014 augusztus, 2014 december, 2015 április, 2015 augusztus, 2015 december) a CIS nem szerepelt fényesen; elsősorban nem a zero day, hanem a régebbi malware-ek azonosításában hibázott sokat. Javuló tendenciája ellenére használata erősen megfontolandó.

TODO!

Szükséges alkalmazások

Az alábbi szoftverek a mindennapi felhasználói igényekre (pl. fájlkezelés, dokumentumkezelés, CD/DVD írás, alapszintű képszerkesztés, chat, stb.) adnak egy-egy lehetséges megoldást. Természetesen mindezek más programokkal is megoldhatóak, valamilyen megoldást azonban szállítanunk kell.

Fájlkezelők

Az Intézőnél szofisztikáltabb(?), illetve távoli állománymegosztókat (WebDAV, FTP(s), sFTP, stb.) kezelni képes eszközök.

TODO: Cyberduck.

Free Commander XE

Hagyományos kétpaneles fájlkezelő. Hasznos segédprogram mindazoknak, akiknek az Intéző nehézkes. Tekintettel arra, hogy a Lister (F3 - View) funkcióra, illetve a rendszergazdaként futtatásra szükség lehet, kötelező telepítés (kivéve, ha telepítünk más, hasonló szoftvert - pl. Total Commandert).

Töltsük le a legfrissebb, a súgót is tartalmazó telepítőkészletet (With Setup program, with help file) és kicsomagolás után telepítsük:

  • Magyar nyelv;
  • célmappa a C:\Program Files (x86)\Tools\FreeCommander XE;
  • Start menüben az alapértelmezett FreeCommander XE mappa jó;
  • sem desktop ikon, sem gyorsindító nem kell.

Első indításkor:

  • ha angol nyelven indulna el, Tools, Settings, Language, hungarian.lng;
  • Extrák, Beállítások,
    • Program indítása, Start/Temp mappából fül, érdemes lehet fix mappákat megadni (pl. C:\ a bal, és a felhasználó alapkönyvtára a jobboldalra);
    • Megtekintés, a fájl/mappa lista, Rejtett fájlok mutatása BE; Rendszerfájlok mutatása BE, Időbélyeg formátuma legyen Windows;
    • Funkció gomb sáv, Funkció gomb sáv látható BE;
    • a többi beállítás jónak tűnik.
  • Mindkét panelen részletes nézet, Extrák, Beállítások mentése.
  • Gyorsteszt: F1-re az (angol nyelvű) súgó jelenik meg.
  • Tűzzük ki a program csempéjét a Start menü jobb oldalán, az Irodai alkalmazások csoportba.

Total Commander

Hagyományos kétpaneles fájlkezelő, mely rengeteg hasznos beépülővel rendelkezik. Opcionális telepítés; sajnos nem ingyenes (olyan shareware, amely fizetés nélkül az egy hónapos kipróbálási időszak után is bármeddig, teljes funkcionalitással működik), ezért használatánál, vállalati környezetben a szoftvergazdálkodási szempontokat is figyelembe kell venni.

Nemzetközi vagy magyar honlapjáról töltsük le a 32/64 bites telepítőkészletet és a magyar súgót is. Indítsuk el a telepítőkészletet:

  • magyar nyelv, többi nyelvi fájl nem kell;
  • célkönyvtár legyen C:\Program Files\Tools\Total Commander (NE, ismétlem, NE telepítsük a C:\ gyökerébe!);
  • az .ini fájlok legyenek az Application data alatt tárolva Minden felhasználóra érvényes... beállítással;
  • csak Start menü parancsikon készüljön Mindenki számára (Start menü mappát nem kérdez).

A súgó magyarításához a program első indítása előtt, a magyar súgó .zip állományából kitömörített totalcmd.chm fájlt másoljuk be a programtelepítés célkönyvtárába (felülírva ezzel a már ott lévő, angol nyelvű súgó állományt).

A Start menüből indítsuk el a programot, az első indításkor megjelenő beállító ablakban:

  • Képernyő, Rejtett fájlok megjelenítése BE, Rendszer fájlok megjelenítése BE, Mutassa gyorstipp szerűen... BE;
  • Ikonok, Minden hozzárendelt; Működés, Kijelölés egérrel, Bal gombbal (Windows módszer);
  • FTP, Passzív mód legyen az alapértelmezett BE;
  • a többi alapértelmezés jónak tűnik.
  • Gyorsteszt: F1-re a magyar nyelvű súgó jelenik meg.
  • Tűzzük ki a program csempéjét a Start menü jobb oldalán, az Irodai alkalmazások csoportba.

Opcionálisan érdemes a Total Commanderen belül letölteni (Beállítások, Általános beállítások, Beépülők, Letöltés) és a letöltött .zip állományt a Total Commanderben megnyitva, az ott felajánlott mappába Rendszergazdaként opcióval, mindenki számára telepíteni az alábbi beépülőket: Cloud, DiskInternals Reader, WebDAV.

Tömörítőprogramok

A Windows 10 alapértelmezetten csak a jelszó nélküli zip állományokat ismeri, így gondoskodni kell az egyéb, elterjedt tömörítvények (jelszóval védett zip, rar, tgz, stb.) kezeléséről.

7-Zip

Opcionális, de javasolt telepítés; vállalati környezetben is ingyenesen használható.

Töltsük le a legfrissebb (lehetőleg 64 bites) stabil verziót és telepítsük; célmappa legyen C:\Program Files\Tools\7-Zip (mást nem is kérdez).

Az első indításnál indítsuk Rendszergazdaként(!):

  • Eszközök, Beállítások
    • Rendszer fülön, az All users oszlopban kattintással rendeljük hozzá a 7-Zipet legalább a rar, arj kiterjesztésekhez;
    • 7-Zip fülön a parancsértelmező helyi menüjéhez hozzáadás pipákat vegyük KI - így a 7-Zip lehetőségek nem hizlalják feleslegesen(?) az Intézőben a jobbklikkel előhozható helyi menü tartalmát.

WinRAR

Opcionális telepítés; sajnos nem ingyenes (olyan shareware, amely fizetés nélkül a 40 napos kipróbálási időszak után is bármeddig, teljes funkcionalitással működik), ezért használatánál, vállalati környezetben a szoftvergazdálkodási szempontokat is figyelembe kell venni.

Célszerűen a magyar honlapjáról töltsük le, és telepítsük:

  • Célmappa legyen C:\Program Files\Tools\WinRAR; a felmásolás után ne társítsuk a .zip kiterjesztéshez (a többi, bejelölt kiterjesztés jó), a Kezelőfelületnél és a Keretprogram integrációnál semmit se kérjünk (a WinRAR-t csak a háttérben, a tömörítvények MIME típus kezelőjeként szeretnénk használni).

CD/DVD író szoftverek

A Windows 10 közvetlenül, az Intézőből támogatja fájlok és mappák (Megosztás fül, Lemezre írás) illetve lemezkép (jobbklikk, Lemezkép írása) CD/DVD-re írását, így külön lemezíró programot opcionálisan, csak akkor kell telepíteni, ha szofisztikáltabb írásműveletek lennének szükségesek, vagy a felhasználók az Intézőtől különböző felhasználói felületet igénylik illetve preferálják.

ImgBurn

Rengeteg beállítással és funkcióval rendelkező ingyenes (szabad?) szoftver.

Töltsük le a telepítőkészletet (a magyar nyelvi fordítással együtt) és indítsuk el:

  • Az Icons and Shortcuts közül csak a Start menü kell;
  • célmappa C:\Program Files\Tools\ImgBurn;
  • a Start menü mappa az alapértelmezett ImgBurn legyen;
  • az esetleges árukapcsolást utasítsuk el, a frissítések keresését engedélyezzük.

Még ne indítsuk el a programot, előtte másoljuk a nyelvi csomagból kibontott .lng állományt a célmappa alatti Languages mappába.

Első indításkor:

  • ha nem magyarul indulna el: Tools, Settings és állítsuk be a magyar nyelvet.
  • Gyorsteszt: TODO!

Dokumentumolvasók

PDF formátum

A PDF alapvető dokumentumformátum, kezelését minden munkaállomáson támogatni kell.

A Microsoft Edge rendelkezik PDF megjelenítő funkcióval. A 3rd party (asztali) PDF olvasó alkalmazások közül valószínűleg az Adobe (Acrobat) Reader a leggyakrabban használt (és emiatt leginkább támadott!), ennek ellenére irodai környezetben telepítése nem tűnik mellőzhetőnek (kivéve, ha pl. Adobe Creative Studio-t is fogunk telepíteni).

A Windows 10 alapértelmezésben (végre) telepít PDF nyomtatót, így egyszerű PDF generálásához a PDF Creator telepítése általában már nem szükséges.

Adobe Acrobat Reader DC

Irodai környezetben gyakorlatilag kötelező telepítés.

Az Adobe weboldaláról kiindulva töltsük le (a letöltési link jelenleg a weboldal láblécében van; a letöltő oldalon Más nyelv vagy operációs rendszer, Windows 10, Hungarian, Reader DC - a Választható ajánlatokat mellőzzük) és telepítsük (ekkor már semmit sem kérdez).

Első indításkor:

  • az elinduló varázslót követve állítsuk be a Readert alapértelmezett PDF olvasóként;
  • Sajnos a letölthető telepítőkészlet nem mindig a legfrissebb kiadás, ezért Súgó, Frissítések keresése - ha talál, frissítsünk, ehhez átmenetileg csukjuk be, majd a frissítés után nyissuk meg újra a Readert. Mindaddig ismételjük, amíg nem mondja magát napra késznek!
  • Gyorstesztként a beépített PDF nyomtatóval nyomtassunk egy tesztoldalt (Vezérlőpult, Eszközök és nyomtatók, Microsoft Print to PDF, jobbklikk, Nyomtató tulajdonságai, Tesztoldal nyomtatása, Tesztoldal.pdf) és duplakattintással jelenítsük meg. A dokumentumot hagyjuk a helyén, jelezve, hogy a teszt megtörtént.
  • Automatikusan létrehozott asztali parancsikonját töröljük le, hiszen a Readert csak a háttérben, a PDF MIME típus kezelőjeként szeretnénk használni.
PDF Creator

Telepítése csak akkor szükséges, ha tudjuk, hogy a Windows beépített PDF nyomtatója számunkra nem megfelelő!

Töltsük le a legfrissebb stabil, ingyenes változatot (PDF Creator Free) és telepítsük:

  • (3.x változat) magyar nyelv, Haladó beállítások(!), a nyomtató neve PDFCreator (alapértelmezés), a célmappa C:\Program Files\Tools\PDFCreator, összetevők közül a PDF Architect-et vegyük ki (ez a "lebutított" ingyenes változat), Start menü mappa legyen PDFCreator, ikon nem kell, keretprogramba beépülés (entry menüpont létrehozása...) opcionálisan engedélyezhető, esetleges egyéb árukapcsolás nem kell (No, thanks illetve Skip), a súgót nem kell elolvasnunk :).
  • Gyorsteszt: Vezérlőpult, Eszközök és Nyomtatók, PDFCreator, Tulajdonságok, Tesztoldal nyomtatása.

Ebook formátumok

Egyre inkább terjedő, azonban (általános, magyar) irodai környezetben mindennaposnak még nem mondható, jellemzően csak olvasható dokumentumformátumok, megjelenítésük támogatása opcionális.

Icecream Ebook Reader

Opcionális telepítés, EPub, FB2 (FictionBook) és Mobi (Amazon Kindle) formátumú (ebook) dokumentumokat megjelenítő utility. Sajnos a DjVu formátumot jelenleg még nem támogatja.

Töltsük le a legfrissebb változatot és telepítsük:

  • Válasszunk magyar nyelvet, a programkönyvtár legyen C:\Program Files\Tools\Icecream Ebook Reader. Asztali parancsikont ne kérjünk. Hírlevélre feliratkoznunk nem kell (Skip).
  • Beállítást nem igényel (TODO!).
WinDjView

Opcionális telepítés, DjVu formátumú (ebook) dokumentumokat megjelenítő utility.

Töltsük le a legfrissebb változatot és telepítsük:

  • A komponensek megfelelőek, programkönyvtár legyen C:\Program Files\Tools\WinDjView - egyebet nem kérdez.
  • Beállítást nem igényel (TODO!).

Képek kezelése

Képek (elsősorban pixelgrafikus fényképek) átméretezésére, alapszintű javítására (pl. vörös szem eltüntetése, gamma korrekció), gyűjtemények kezelésére és publikálására alkalmas programok. Egyet kötelező telepíteni, de több telepítése sem hiba.

TODO: GIMP, IrfanView (csak nonprofit használatra ingyenes), XnView (csak nonprofit használatra ingyenes).

Fényképek (Pictures) alkalmazás

A Windows 10-zel települő, el nem távolíthatónak jelölt, modern design alkalmazás. Az adminisztrátori profilban nem kell beállítani, de a mindennapi felhasználóknál igen (akkor is, ha nem használják).

  • Helyezzük át a program csempéjét a Start menü jobb oldalán, a Lejátszás csoportba.

PhotoScape

Egyszerű és vállalati felhasználásra is ingyenes pixelgrafikus képszerkesztő program.

Töltsük le és telepítsük:

  • Options, Create program group BE, Create shortcut on desktop KI (csempét fogunk használni), Add shortcut to quick launch KI; a programkönyvtár legyen C:\Program Files\Tools\PhotoScape (csak tallózni engedi), esetleges árukapcsolás nem kell.

Első indításkor:

  • Ne legyen teljes képernyős, és a "szemet" (random Flickr! fotó mutatása) csukjuk be.
  • Tűzzük ki a program csempéjét a Start menü jobb oldalán, a Lejátszás csoportba.


Médialejátszók

A Windows 10 alaptelepítésben képtelen egy behelyezett DVD film lejátszására - részben a kodekek hiánya miatt, részben mert a Windows Media Player, az előző verziókhoz képest, csökkentett funkcionalitású.

A médialejátszók (DVD film, különböző audio- és videofájlok, webTV, stb. megtekintésére alkalmas programok) kérdése az egyik örökös hitvita a Windows felhasználók körében; előre leszögezném, hogy az alábbi csak egy lehetséges megoldás, amely alapértelmezett audio lejátszóként a Windows 10 részeként (is) települő Windows Media Player asztali alkalmazást, video (pl. DVD) lejátszásra a Media Player Classic asztali alkalmazást használja, a szükséges kodekeket és könyvtárakat pedig (minden, a DirectShow-t támogató lejátszó számára használhatóan) a K-Lite gyűjteményből telepíti.

TODO: .mov lejátszása, Groove Zene alkalmazás beállítása, Filmek + TV alkalmazás beállítása.

K-Lite Codec Pack

Igen sok médiaformátumot ismerő, ingyenes kodekgyűjtemény. Kötelező telepítés.

Töltsük le a csomag legfrissebb Standard verzióját, és telepítsük:

  • Advanced mode;
    • a Preferred video player legyen a Media Player Classic, a Preferred audio player a Windows Media Player, társítások nem kellenek (Create file associations KI);
    • a célmappa legyen C:\Program Files\Tools\K-Lite Codec Pack;
    • a telepítési profil Standard playback;
    • a Start menü mappa maradhat az alapértelmezett K-Lite Codec Pack;
    • az Additional tasks and Options alapértelmezései megfelelőek (illetve nem értek hozzájuk);
    • az MPC-HC beállításai jók (illetve nem értek hozzájuk);
    • a Hardware Acceleration MPC-HC Decoding method beállításai jók (illetve nem értek hozzájuk);
    • a nyelvi beállítások (feliratokhoz) általában jók;
    • ne állítsunk(!) file társításokat;
    • az audio konfigurációt a gépnek megfelelően módosítsuk (általában a Stereo elég);
    • a Thumbnails beállítások megfelelőek (illetve nem értek hozzájuk);
    • az esetleges árukapcsolásokat (Additional software offers) utasítsuk el (Decline, No, thanks.);
    • Telepítés után a dekódereket nem kell konfigurálnunk (illetve nem értek hozzá);
    • a DirectX-et NE frissítsük.
  • A telepítő bezárásakor megnyílik a Codec Guide weblapja, ahonnan töltsük le a codec pack minor verzió frissítését és telepítsük (minden felajánlott komponenst kérjünk).

A fenti csomag tartalmaz egy DVD lejátszásra alkalmas lejátszóprogramot, és a telepített eszközöket ezután minden, a DirectShow API-t alkalmazó médialejátszó képes használni.

  • Gyorsteszt: tegyünk be egy gyári DVD filmet az optikai olvasóba, és ellenőrizzük, hogy az MPC-HC kiválasztható lejátszónak és működik is!
    • Amennyiben indítás után a lejátszó összeomlana, AMD videovezérlő esetén indítsuk el csak a lejátszót, és a Nézet, Beállítások, Belső szűrők, Videó dekóder, Hardware acceleration legördülőben a gyorsítást állítsuk None-ra.
    • Amennyiben a lejátszás hangereje (pl. a rendszerhangokhoz képest) alacsony lenne, a lejátszóban a Nézet, Beállítások, Belső szűrők, Audio-váltó lapon az Erősítés csúszka feltolásával jelentősen növelhető.

Windows Media Player

A Windows részeként már telepítve van.

  • Az adminisztrátor profiljában nem kell beállítani.

Kommunikáció és távsegítség

Skype

Elterjedt VoIP és csevegőkliens - a Microsoft megvásárolta és a Windows részeként kezeli (beleolvasztotta a korábbi Messengert is). Alkalmilag használható webfelületen is, de jelenleg még sokkal kényelmesebb kliensprogramot használni, ha a felhasználó aktívan skype-ol.

A Skype kliens hagyományos asztali, és teljes értékű modern design változatban is létezik, utóbbi jelenleg automatikusan települ. Az asztali változat jelentősen kisebb ablakban elfér (képernyő-takarékosabb), mint az érintőképernyőre tervezett, modern design változat (ezzel együtt a Microsoft valószínűleg megszünteti ezt a változatot).

Asztali változat opcionális (de javasolt) telepítéséhez töltsük le (itt a letöltési nyomógomb legördíthető, válasszuk A klasszikus Skype letöltése opciót), és indítsuk el a telepítőkészletet:

  • Kérjük a További beállításokat, a célmappa maradhat C:\Program Files\Skype\, az asztali ikon létrehozását nem kérjük (csempét fogunk használni); a gyors Skype hívás nem kell; esetleges árukapcsolás nem kell.
  • Telepítés után automatikusan elindul, ekkor ne hozzunk lére fiókot, az Eszközök - Kapcsolódás-opciók alatt ne engedjük a 80-as illetve 443-as port használatát(!), megadható pl. a 23388-as port.
  • Keressünk (ha van, telepítsünk) frissítést a Súgó, Programfrissítés keresése menüponttal.
  • Tűzzük ki a program csempéjét a Start menü jobb oldalán, a Felfedezés csoportba (Start menü alkalmazás listájában vagy a keresés eredményében az alkalmazásra jobbklikk, Startra kitűzés; a csempét méretezzük közepesre). Ha a Windows a telepítéskor a modern design változatú Skype csempéjét automatikusan kitűzte volna, azt érdemes innen eltávolítani.
  • Az értesítési terület testre szabásánál írjuk elő, hogy a tray icon mindig látsszék. Ezután a tray icon segítségével zárjuk is be az alkalmazást.
  • A telepítő előírja a Skype belépéskori elindítását, ezt érdemes letiltanunk: Tálcán jobbklikk, Feladatkezelő, Több részlet, Indítás fül, Letiltás.
  • Gyorsteszt: TODO!

TeamViewer Quick Support

Alkalmankénti távvezérlést (távsegítség igénybe vételét) lehetővé tévő szolgáltatás. Használatakor a segítségkérő és a segítségnyújtó a TeamViewer szolgáltatáson keresztül kapcsolódnak egymáshoz (a szokásos tűzfalak így nem képeznek akadályt), ezután a segítségnyújtó látja a segítségkérő gépének képernyőjét, billentyűzettel és egérrel kezelni tudja azt és képes fájlátvitelre is. A Quick Support változatban a kapcsolathoz a segítségkérő aktív közreműködése szükséges, és végig felügyelheti a munkamenetet, ami valamelyest biztonságosabbá teszi a megoldást.

Opcionális de javasolt telepítés minden esetben, amikor a távsegítség szóba jön.

  • Töltsük le a További letöltések listájából a Quick Support klienst (ügyeljünk rá, hogy ne a teljes TeamViewer-t töltsük le), a C:\Felhasználók\Nyilvános mappába (így egy esetleg szükséges frissítést később bárki elvégezhet). A kliens egyetlen (portable) végrehajtható állomány, külön telepítést nem igényel.
  • Készítsünk egy parancsikont az asztalra TeamViewer Quick Support néven, és innen helyezzük át a C:\ProgramData\Microsoft\Windows\Start Menu\Programs mappába - így a parancsikon a Start menü jobboldalán, az alkalmazások listájában, minden felhasználó számára megjelenik.
  • Tűzzük ki a parancsikont a Start menü jobb oldalán a Böngészés csoportba.
  • Gyorsteszt: TODO!

Irodai programcsomag

A (fejlettebb, irodai jellegű) szövegszerkesztést, adatforrás- és táblázatkezelést, bemutató készítést, stb. biztosító programcsomagot gyakran az office suite vagy productivity software névvel illetik.

Ha a munkaállomás rendelkezik Microsoft Office licence-szel, általában azt; ellenkező esetben a LibreOffice legfrissebb kiadását telepítjük. Ha mindkettőt telepítjük (pl. mert a használni kívánt Microsoft Office változat nem ismeri az OpenDocument formátumokat, és mindkettőt támogatni kell), akkor ügyeljünk arra, hogy előbb a Microsoft Office-t telepítsük - így a LibreOffice frissítések nem fogják elvenni a .doc, .xls, stb. társításokat a Microsoft Office-tól.

Microsoft Office

TODO!

LibreOffice

Kötelező telepítés, kivéve, ha a munkaállomás minden felhasználója Microsoft Office-t használ.

A Sun StarOffice projektből, később a jelenlegi Apache OpenOffice projektből elágaztatott, a Microsoft Office-szal a mindennapi használat szintjén megfelelően kompatibilis szabad szoftver irodai programcsomag, amely szövegszerkesztőt (Writer), táblázatkezelőt (Calc), prezentációkészítőt (Impress), adatbázis-kezelőt (Base) és egyéb alkalmazásokat tartalmaz.

Töltsük le a legfrissebb, magyar nyelvű telepítőkészletet (64 bites rendszerhez a letöltésre kattintás előtt Operációs rendszer módosítása - 64 bit Vista and newer) valamint a súgó csomagot, és indítsuk el előbb az alkalmazás telepítőt:

  • A telepítő varázslóban Egyéni telepítés; a célmappa legyen C:\Program Files\LibreOffice (verziószám nélkül), a választható összetevők közül a LibreLogo általában nem kell (de nem hiba meghagyni), és a Gyorsindítót is kivehetjük, a többi alapértelmezés jó; minden dokumentumkiterjesztést (Microsoft Word-dokumentumok is) érdemes a LibreOffice-nak odaadni; asztali parancsikon nem kell (csempét használunk).
  • A sikeres telepítés után indítsuk el a súgó telepítőkészletét is, ebben csak azt kell ellenőriznünk, hogy felismeri-e a telepítési mappát (ugyanaz legyen, mint amit az alkalmazásnak megadtunk - C:\Program Files\LibreOffice). Más beállítás nem szükséges.
  • Tűzzük ki a LibreOffice csempéjét a Start menü jobb oldalán, a Létrehozás csoportba (Start menü alkalmazás listájában vagy a keresés eredményében az alkalmazásra jobbklikk, Startra kitűzés; a csempét méretezzük közepesre).
  • Gyorsteszt: indítsuk el a programot, és ellenőrizzük a komponensek, illetve a súgó (F1) behívhatóságát.

A felhasználói beállítások az adminisztrátori profilban elhagyhatóak.

Levelezés, címjegyzék, naptár, teendők

A fenti tevékenységeket támogató szoftvereket szokták personal information manager programoknak nevezni és PIM-mel rövidíteni.

  • Számos szolgáltató illetve szolgáltatás web böngésző felületen használható, teljes körű PIM funkciókat biztosít (pl. Google Mail, ownCloud, NAS megoldások, stb.). Amennyiben tudjuk, hogy a telepítendő gép összes felhasználója ilyen, és csak ilyen megoldással fog dolgozni, akkor helyi PIM szoftverek telepítése mellőzhető.
  • Amennyiben a telepítendő gépen a Microsoft Office (az Outlookot is tartalmazó változata) telepítve van, és tudjuk, hogy a gép összes felhasználója az Outlookot fogja használni, akkor más PIM szoftver telepítése mellőzhető.
  • Minden más esetben érdemes helyi PIM szoftvert telepíteni. A Windows 10 beépített (modern design) alkalmazásai (Posta, Naptár, Kapcsolatok) jelenleg csak nagyon alapvető funkciókkal rendelkeznek (TODO!), így a jelen leírásban ezt a feladatot a Mozilla Thunderbird és pluginjai fogják ellátni.

Mozilla Thunderbird

Telepítése csak akkor hagyható el, ha tudjuk, hogy a munkaállomás minden felhasználója kizárólag webfelületű, vagy Microsoft Office alapú PIM megoldást használ.

  • Töltsük le a legfrissebb stabil változatot (Windows környezetben jelenleg csak 32 bites változat létezik), és telepítsük: egyéni telepítés, alapértelmezett levelező legyen kipipálva (úgy van); célmappa az alapértelmezett; a desktop ikon nem kell (csempét használunk); telepítés után ne engedjük elindulni.
  • Tűzzük ki a Thunderbird csempéjét a Start menü jobb oldalán, a Felfedezés csoportba (Start menü Minden alkalmazás listájában vagy a keresés eredményében az alkalmazásra jobbklikk, Start menübe kitűzés; a csempét méretezzük közepesre).
  • Első indításkor az integrációs ablakban legyen ez az alapértelmezett levelezőprogram, később konfiguráljuk a postafiókot, a Lightning kiterjesztést megtartjuk, jogainkat nem olvassuk el :). Fejlécen jobbklikk, a menüsor jelenjen meg.

Az adminisztrátori profilban nem használunk PIM funkciókat, így nem kellenek a beállítások illetve a kiegészítők, és ne rögzítsük a tálcára a programot.

Frissítések kezelése

TODO!

Egyéb beállítások

O&O ShutUp 10 telepítése

Az O&O ShutUp 10 egy ingyenes, grafikus frontend alkalmazás a Windows 10 kémkedésgyanús beállításainak egyszerű módosítására - a felület kapcsolói a háttérben valószínűleg registry beállításokat módosítanak. Használata opcionális, de javasolt (feltéve, hogy megbízunk benne - TODO!).

  • Töltsük le az eszközt a C:\Felhasználók\Nyilvános mappába (így egy esetleg szükséges frissítést később bárki elvégezhet). A kliens egyetlen (portable) végrehajtható állomány, külön telepítést nem igényel.
  • Készítsünk egy parancsikont az asztalra O&O ShutUp 10 néven, és innen helyezzük át a C:\ProgramData\Microsoft\Windows\Start Menu\Programs mappába - így a parancsikon a Start menü jobboldalán, az alkalmazások listájában, minden felhasználó számára megjelenik.

Beállítások: TODO!

Nyomtatókezelés módosítása

Ezt a lépést mindig hajtsuk végre, ha a Microsoft Office telepítve van! (Megjegyzés: ennek a beállításnak a szükségességét ellenőrizni kellene - TODO!)

A Windows 8 óta az operációs rendszer alapértelmezésben elszigeteli az alkalmazásokat a nyomtatóillesztőtől (Printer Driver Isolation - PDI), ezért a nyomtatóillesztő esetleges hibája nem várakoztatja (fagyasztja le) a hívó alkalmazást (bővebben ld. pl. itt). Sajnos, a gyakorlatban néhány program - pl. a Microsoft Office (verzió? TODO!) - nem tud ezzel jól együttműködni, így az ezekből indított nyomtatások meg sem jelennek a nyomtatási sorban (tünet: a tesztoldal jó, de az alkalmazásból nem lehet nyomtatni). Ezért Microsoft Office telepítése esetén rutinszerűen, más esetben csak akkor, ha ilyen hibát észlelünk, célszerű a PDI kikapcsolása.

  • Windows 10 Pro esetén a csoportházirendben (gpedit.msc, futtatás rendszergazdaként!) a Számítógép konfigurációja, Felügyeleti sablonok, Nyomtatók alatt a Nyomtató-illesztőprogramok elkülönítése az alkalmazásoktól legyen letiltva.
  • Ha a gpedit.msc nem áll rendelkezésre, akkor az alábbi (rendszergazdaként végzett) registry beállítás ugyanezen eredményre vezet:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers]
"ApplicationDriverIsolation"=dword:00000000

A beállítás a következő újraindításkor érvényesül.

Leállítás módosítása

A Windows 8 óta az operációs rendszer alapértelmezésben a hybrid boot mechanizmust használja, azaz leállításkor hibernációs állományt készít, és elinduláskor Windows (ha lehetséges) ebből inicializál. Az eljárás jelentősen gyorsítja a rendszerindítást, cserébe:

  • leállított gépen a Windows partíció bejegyzése mindig hibernált (és nem natív NTFS), ami átlagos napi használatban irreleváns, de pl. több operációs rendszer használata esetén egy másikból felcsatolásnál, vagy egyes szerviz műveletek (pl. klónozás) esetén nehézségeket okozhat;
  • a leállítás (a hibernációs állomány kiírása miatt) lassabb, amit a fejlesztők úgy lepleznek, hogy egy huszárvágással a videokimenetet már a folyamat elején lekapcsolják (a tápellátást, illetve a háttértár működését jelző LED-ek azonban árulkodnak). Ha ilyenkor áramtalanítjuk asztali gépünket, a hibernációs állomány sérült lehet.

Nem hibernációs leállításra nincs kattintható menüpont, azt alkalmanként parancssorból pl. a

shutdown /s /t 0

paranccsal kezdeményezhetjük. Érdemes erre egy Start menü parancsikont készíteni:

  • Asztalon jobbklikk, Új, Parancsikon; a parancssor legyen shutdown /s /t 0; a parancsikon neve Leállítás; a parancsikonon jobbklikk, Tulajdonságok; Futtatás legyen Kis méretű, Megjegyzés (tooltip) legyen A számítógép teljes leállítása., az Ikoncsere nyomógombbal válasszuk ki a kikapcsológomb ikont, OK:
  • Az elkészített parancsikont mozgassuk át a C:\ProgramData\Microsoft\Windows\Start Menu\Programs mappába, így az (minden felhasználó számára) megjelenik a Start menü, Minden alkalmazás listájában. Opcionálisan, a rendszergazda számára kitűzhetjük csempeként is, a Start menü jobb oldalán, pl. a Létrehozás csoportba.

Lehetőség van a hybrid boot teljes letiltására is, ami csak speciális esetekben - pl. több operációs rendszer párhuzamos használatánál - indokolt. Ha mégis szeretnénk tartósan megtiltani, a gyorsindítást, ezt a Vezérlőpult, Energiagazdálkodási lehetőségek, A főkapcsolók funkciójának megadása, A jelenleg el nem érhető beállítások módosítása(!) opciót választva, a Leállítási beállítások, Gyors rendszerindítás bekapcsolása KI kapcsolóval megtehetjük.

Telepítési utómunkálatok

A rendszergazda szerepfiók egyéb beállításai

Amennyiben az adminisztrátori fiókot mindennapi munkára használjuk, akkor a beállításokat a mindennapi felhasználó beállításánál leírtak szerint érdemes elvégezni.

  • A Gépház, Rendszer, Alapértelmezett alkalmazások alatt ellenőrizzük és állítsuk be az esetleg hiányzó alapértelmezéseket;
  • Böngészők előzményeinek, gyorsítótárának törlése;
  • Az adminisztrátor profil \AppData\Local\Temp kiürítése;
  • A fiók jelszóvédelme - ne hagyjunk meg triviális jelszót, illetve Microsoft fiók használata esetén triviális PIN kódot!
  • Opcionálisan az avatar kép cseréje - előbb szerezzünk be egyet (eredetileg innen van, remélem, nem copyrightos!), és mentsük pl. az adminisztrátor profiljának gyökerébe, majd a Gépház, Fiókok, Az Ön adatai, Kép készítése, Tallózás alatt állítsuk be;
  • TODO!

Takarítás

A fentieket követően, lehetőség szerint takarítsuk ki a telepítést:

  • A gyári driver- és egyéb telepítők által a C:\-ben vagy a C:\Program Files-ban létrehozott, de nem használt könyvtárak törlése;
  • A letöltött 3rd party telepítőkészletek törlése, Lomtár ürítése;
  • Opcionálisan lemezkarbantartó futtatása a C:\ lemezen (Ez a gép, lemezen jobbklikk, Tulajdonságok, Általános fül - Lemezkarbantartó);
  • Opcionálisan teljes merevlemez-vizsgálat (víruskeresés) lefuttatása;
  • Opcionálisan HDD esetén (SSD-nél nem!) töredezettségmentesítés (Ez a gép, rendszerlemezen jobbklikk, Tulajdonságok, Eszközök fül - Töredezettségmentesítés).
  • TODO!

Rendszermeghajtó titkosítása

Opcionális lépés:

  • helyhez kötött és védett környezetben (pl. őrzött irodában) lévő munkaállomás esetén elhagyható;
  • hordozható, BitLockerre alkalmas (TPA chippel rendelkező, legalább Windows Pro-t futtató) gépen erősen ajánlott;
  • hordozható, csak egy felhasználó által használt (saját tulajdonú, erősen személyhez kötött), BitLockerre nem alkalmas gépen is ajánlott;
  • hordozható, több felhasználó által használt, céges tulajdonú gépen, az osztott titok elkerülésére, ehelyett inkább a szelektív titkosítás (felhasználónként külön-külön, személyes titkosított fájl konténerek használata) ajánlott.

A Windows partíció alapértelmezésben valamennyi felhasználó beállításait és dokumentumait (beleértve pl. a levelezése helyi másolatát) tartalmazza. Ez a titkosítás jó eséllyel megakadályozza a fenti adatok megszerzését akkor, ha a behatoló a (kikapcsolt) géphez fizikai hozzáférést szerez (pl. ellopja azt).

Nem véd ez a titkosítás az alábbi támadások ellen:

  • a támadó a gép működése közben távoli hozzáférést szerez;
  • a támadó a bekapcsolva elhagyott (le nem zárt) géphez szerez fizikai hozzáférést;
  • a támadó a bekapcsolt és lezárt géphez szerez fizikai hozzáférést és ismeri (kitalálja) a felhasználó Windows jelszavát vagy PIN kódját.

BitLocker használata

Csak a Windows 10 üzleti célra szánt (Pro, Enterprise) változataiban áll rendelkezésre.

TODO!

VeraCrypt használata

A VeraCrypt jelenleg csak jelszóval történő preboot azonosítást tesz lehetővé. A titkosítás feloldására használt (egyetlen, közös) jelszót a telepítés alatt álló gép összes felhasználójának ismernie kell!

  • VeraCrypt, System, Encrypt System Partition/Drive; Type of System Encription legyen Normal; Area legyen the Windows System Partition; ebben a leírásban Single boot az operációs rendszer; a titkosítási algoritmus a gép számításteljesítményétől függően (Benchmark nyomgomb teszteli) lehet csak AES vagy ennek valamilyen lehetséges kombinációja, az alapértelmezett SHA-256 hash megfelelő;
  • Jelszóként válasszunk legalább 20 karakteres, ékezeteket nem tartalmazó szöveget (ügyeljünk arra, hogy a VeraCrypt boot manager mindig angol billentyűkioszást használ!) és Use PIM kapcsoló BE. A hosszú jelszó azért szükséges, hogy alacsony PIM-et alkalmazhassunk - magas PIM esetén a rendszerindításkor a jelszó megadását követő várakozás percekig tarthat! Legalább 20 karakter jelszóhosszúság esetén megadható a PIM = 1 érték, ami gyakorlatilag nem jelent késleltetést.
  • Segítsünk a kulcsgenerálásban random egérmozgásokkal (Collecting random data), majd Next, Next és készítsük el a Rescue disk-et. Az iso állományt ajánlatos, de nem feltétlenül szükséges azonnal lemezre írni - a Fájlkezelőben duplaklikkelve a Windows 10 azt kiírás nélkül is felcsatolja, így a következő lépésben a lemezellenőrzés sikerül. A Wipe Mode (nem használt terület felülírása) SSD esetén lehet egymenetes (one pass), HDD esetén a három menetes ajánlott (3-pass - tovább tart).
  • Ezután egy teszt következik - újraindításkor már fel kell oldanunk a titkosítást (ne feledjük a PIM értéket is megadni!), de ha ez nem sikerülne, a lépés ESC-pel átugorható (valójában még nincs titkosítva a partíció), és a titkosítás visszavonható, majd újra kezdhető.
  • Sikeres tesztet követően a VeraCrypt automatikusan újra elindul és elvégezhető a tényleges titkosítás (Encrypt - hosszadalmas lehet!). Ezalatt a gépet ne használjuk, a titkosítás befejeztével pedig indítsuk újra. A titkosítás jeleként a VeraCrypt felületén, a felcsatolt meghajtók között, megtaláljuk a System drive-ot is.

A titkosítástól a Rescue disk-ről bootolva, vagy a VeraCrypt felületén a System, Permanently decrypt... menüpontban szabadulhatunk meg.

Felhasználó felvétele

Ez a szakasz a munkaállomás mindennapi felhasználójának felvételét és beállításait tartalmazza. Amennyiben saját tulajdonú, egyetlen felhasználójához erősen kötődő gépen mindennapi használatra is az egyetlen, adminisztrátori fiók szolgál, az ebben a szakaszban foglalt beállításokat erre a fiókra is végre kell hajtani.

Noha egy általános felhasználó a saját profiljában majdnem mindent önállóan is beállíthat (testre szabhat), nem várható el tőle a biztonsági szempontból célszerű alapértelmezések, vagy az egyes programok, alkalmazások első indításakor megadható, célszerű beállítások ismerete. Vállalati környezetben azt is szeretnénk, ha a felhasználó célszerűen (és egységesen) beállított grafikus felhasználói felülettel indulna. Ennek érdekében, az ebben a szakaszban foglalt beállításokat minden új profilban el kell végezni, beállítatlan profillal gépet átadni nem szabad (TODO: automatizálás!).

Minden felhasználót először helyi felhasználóként veszünk fel (így szabályozható a létrejövő profilkönyvtár neve), és ha szükséges, ezután konvertáljuk Microsoft fiók azonosítású hozzáféréssé. Ehhez a Gépház, Fiókok, Családtagok és más felhasználók fülön válasszuk a Más új személy felvétele a gépre lehetőséget. Itt ne adjunk meg email címet (Nem ismerem a személy bejelentkezési adatait); helyi felhasználó felvételét válasszuk (Microsoft-fiókkal nem rendelkező felhasználó hozzáadása), adjunk meg egy felhasználónevet és egyelőre ne adjunk meg jelszót. Az így létrehozott felhasználó korlátozott jogosultságú lesz (nem lesz tagja az Adminisztrátorok csoportjának).

Ha személyes használatú fiókot készítünk, vállalati környezetben elsősorban a leendő felhasználó nevét használhatjuk (pl. vezeteknev.keresztnev formában, de a vállalaton belül lehetőleg egységesen - ad-hoc elnevezések, becenevek használatát inkább kerüljük); ha nem ismerjük a felhasználó nevét vagy nem perszonalizált (szerep) fiókot készítünk, a felhasználónév utaljon a szerepre vagy legyen semleges (pl. user).

Ezután (újraindítással, kilépéssel vagy CTRL-ALT-DEL és felhasználóváltással) jelentkezzünk be a frissen felvett felhasználó profiljába. Amennyiben a Microsoft Edge böngésző elindulna, azt egyelőre csukjuk be.

Felhasználói Microsoft fiókra váltás

Opcionális, erősen meggondolandó lépés.

Noha a szinkronizálási lehetőségek és a felhő tárhelyszolgáltatás előnyösek, tudnunk kell, hogy a Microsoft fiókkal bejelentkezett felhasználó tevékenységét (a licencszerződésben foglaltak alapján, egyébként jogszerűen) a Microsoft sokkal inkább figyeli és követi, mint a Microsoft fiókkal össze nem kapcsolt, helyi felhasználó tevékenységét (nem is tudható pontosan, hogy mire nem terjed ki az adatgyűjtés). Emiatt a Microsoft fiók használata aggályos lehet. A mindennapi felhasználói tevékenységgel kapcsolatban Microsoft fiók(hoz kapcsolt hozzáférés) használata elsősorban magántulajdonú, egyetlen felhasználójához erősen kötődő gépen jön szóba, ha a felhasználónak már van Microsoft fiókja és több, Microsoft Windowst futtató, saját eszközzel (táblagép, okos telefon) is rendelkezik.

Feltételezzük, hogy a felhasználói Microsoft fiókot (másik gépen) előzetesen már elkészítettük és beállítottuk. A továbbiakhoz Internet kapcsolat szükséges!

  • Gépház, Fiókok, Az Ön adatai, Bejelentkezés Microsoft fiókkal; Microsoft fiók email címének és jelszavának megadása; helyi jelszó megadása (lehet, hogy üres); (másik gépen fogadott) e-mailben kapott biztonsági kód megadása (két lépcsős bejelentkezés);
  • Érdemes beállítani PIN kódot, amivel az esetleg bonyolult fiókjelszó helyett (csak ezen a gépen) egyszerűbben tudunk bejelentkezni. A PIN kód lokális beállítás, nem szinkronizálódik. Opcionálisan a PIN kód beállítását mellőzhetjük (Lépés kihagyása);
  • A teljes értékű használathoz (a beállítások tényleges szinkronizálásához) még egyszer igazolnunk kell a személyazonosságunkat: (Gépház, Fiókok) Ellenőrzés; a biztonsági kódot kérjük emailben és (másik gépen megtekintve a levelet) adjuk meg;
  • (Gépház, Fiókok) Beállítások szinkronizálása, minden kapcsoló BE (jelenleg ez az alapértelmezés, csak ellenőrizni kell).

Várjunk pár percig, amíg a OneDrive és a beállítások szinkronizálódnak (ezt a lemezaktivitás jelzi). Ezután célszerű újraindítani a gépet.


Felhasználói alapbeállítások

A beállításokat részben a hagyományos Vezérlőpultról, részben a Gépházból lehet elérni (jelentős átfedésekkel). A v1703 óta a Start menü, jobbklikk listaelemei közül száműzték a Vezérlőpultot és elemeit(!), ezért opcionálisan célszerű lehet azt a Keresés, Vez(érlőpult) paranccsal (vagy a Start menü, Windows Rendszer alól) történt elindítása után, a tálcára rögzíteni.

  • Vezérlőpult, Kis ikonok
  • Vezérlőpult, Fájlkezelő beállításai, Nézet fül, Megosztás varázsló KI, Az operációs rendszer védett fájljainak elrejtése maradjon BE (pl. a desktop.ini-k miatt), Ismert fájltípusok kiterjesztésinek elrejtése KI (soha nem fogják megtanulni...), Rejtett fájlok, mappák és meghajtók megjelenítése (BE), Üres meghajtók elrejtése (KI).
  • Vezérlőpult, Hang, Hangok fül, Nincsenek hangok hangséma betöltése, Rendszerindítási hangjelzés lejátszása (BE)
  • Tálcán jobbklikk, Tálcabeállítások (a Gépházba visz), a Tálca zárolása KI, kis tálcagombok használata BE, Betekintés az asztal tartalmába... BE, A Parancssor menüpont lecserélése... KI; A tálcán megjelenő ikonok kiválasztása: csak a valóban lényegtelenek maradjanak elrejtve (opcionálisan beállíthatjuk, hogy mindig látsszon az összes ikon); Kapcsolatok, Névjegyek megjelenítése a tálcán opcionálisan KI;
  • Az Áruház és Posta alkalmazások tálcára rögzítését (jobbklikk után) oldjuk fel.

Az alábbiakhoz be kell lépni a Gépházba (Start menü, Gépház):

  • Gépház, Rendszer, Értesítések és műveletek, Mutassa a Windows üdvözlő képernyőjét... KI, Tippek, trükkök és javaslatok megjelenítése a Windows használata közben KI; Kivetítés erre a gépre (Miracast) legyen Mindig kikapcsolva (meggondolni: TODO!); Megosztott funkciók KI (meggondolni: TODO!);
  • Gépház, Eszközök, Nyomtatók és szkennerek, A Windows válassza lki az alapértelmezett nyomtatót opcionálisan KI; Gépelés, Elgépelt szavak automatikus javítása opcionálisan KI; Automatikus lejátszás opcionálisan KI;
  • Gépház, Telefon TODO!;
  • Gépház, Hálózat és Internet, Wi-Fi, Díjcsomagok keresése... KI;
  • Gépház, Személyre szabás, Háttér ízlés szerint (meghagyható a csodálatos lézerfüstös); Színek, Automatikus témaszín opcionálisan BE, Átlátszósági effektusok BE, Témaszín megjelenítése... opcionálisan mindenütt BE, Alkalmazás-üzemmód legyen Világos; Zárolási képernyő, Háttér legyen Kép (választás: TODO!), Érdekességek, hasznos ötletek... (reklám) KI, Zárolási képernyő háttérképének megjelenítése a bejelentkezési képernyőn opcionálisan KI, Képernyőkímélő beállításai ízlés szerint (nekem üres); Témák, Az asztali ikonbeállításai, Számítógép, Felhasználó fájljai, Lomtár; Start, A legutóbb felvett alkalmazások KI, Esetenként javaslatok... KI, a Start menüben... megjelenő mappáknál Hálózat opcionálisan BE;
  • Gépház, Játék TODO!;
  • Gépház, Adatvédelem, releváns helyi tartalmak KI, Az alkalmazásindítások nyomon követése KI, Jelenjenek meg a javasolt tartalmak KI; Fiókadatok, a felhasználó nevének, képének és egyéb adatainak használata opcionálisan KI; Egyéb eszközök, Kommunikáció nem párosított eszközökkel KI (meggondolni: TODO!); Visszajelzés és Diagnosztika, diagnosztika legyen Alapszintű, visszajelzés gyakorisága Soha; Alkalmazásdiagnosztika opcionálisan KI (TODO!);
  • Gépház, Keresés, Engedélyek és előzmények, Biztonságos keresés opcionálisan KI, Windows felhő alapú keresés opcionálisan KI (meggondolni: TODO!);
  • Asztalon jobbklikk, Nézet, Kis ikonok; ikonok elrendezése az asztalon
  • Opcionálisan Start menü jobbklikk, Parancssor, fejlécen jobbklikk, Alapértelmezések, Betűtípus legyen Lucida Console 12-es; Elrendezés, Ablakméret legyen 80x25.

Programok és alkalmazások beállításai

Ne feledjük: minden, beállítást igénylő programot alkalmazást be kell állítani, nem szabad hagyni, hogy az első induláskor a felhasználótól kérdezzen! Az alábbiak sorrendje lényeges lehet; a beállítást egyáltalán nem igénylő programok és alkalmazások ebben a szakaszban nem szerepelnek.

Internet Explorer beállítása

A Windows része, így akkor is kötelező beállítani, ha általában nem használjuk.

A Start menü, Windows Kellékek alól indítsuk el:

  • A gyorsbeállításokat fogadjuk el;
  • Ablakfejlécen jobbklikk, Menüsor jelenjen meg;
  • Eszközök, Internetbeállítások: kezdőlap üres lap (about:blank), Alkalmaz;
  • Általános, Lapok, Új lap megnyitásakor jelenjen meg Egy üres oldal, OK;
  • Tartalom, Automatikus kiegészítés, Beállítások, Űrlapok és keresések KI, Rákérdezés a jelszavak mentése előtt BE, Felhasználónevek és jelszavak az űrlapokon KI;
  • Programok, Bővítmények kezelése, Keresésszolgáltatók, További keresésszolgáltatók keresése, Add-Ons, Google Search, Hozzáadás, ez legyen az alapértelmezett keresésszolgáltató, utolsó két IE ablak bezárása; Újra megnyitva ugyanezt a listát a Bing eltávolítható;
  • Programok, Bővítmények kezelése, Gyorssegédek, minden gyorssegéd letiltása.
  • Gyorsteszt: Macromedia Flash player

Kilépés után:

  • Amennyiben az Internet Explorer lesz a felhasználó alapértelmezett böngészője:
    • Gépház, Alkalmazások, Alapértelmezett alkalmazások, Webböngésző legyen az IE;
    • rögzítsük az IE ikonját a tálcán.
  • Tűzzük ki a program csempéjét a Start menü jobb oldalán, a Böngészés csoportba.

Microsoft Edge beállítása

A Windows része, így akkor is kötelező beállítani, ha általában nem használjuk.

Alapértelmezésben a tálcára rögzített, indítsuk el:

  • Ha kérdezné, ne hagyjuk átvenni az alapértelmezett böngésző szerepet;
  • Menü (... ikon), Beállítások
    • Általános fülön Új lappal induljon, az Új lapok tartalma legyen üres lap, Gyakran felkeresett webhelyek lista opcionálisan KI, Microsoft fiók használata esetén szinkronizálás opcionálisan KI (Meggondolni, TODO!);
    • Adatvédelem és biztonság fülön Követés letiltása BE, Lapelőrejelzés KI, Előugró ablakok blokkolása KI;
    • Jelszavak és automatikus kitöltés fülön minden KI;
    • Speciális fülön Webhelyek megnyitása alkalmazásokkal opcionálisan KI.
  • Gyorsteszt: Macromedia Flash player

Kilépés után:

  • Amennyiben nem a Microsoft Edge lesz a felhasználó alapértelmezett böngészője (alapértelmezésben az), a tálcára rögzítést feloldhatjuk.
  • Az alapértelmezetten létrehozott asztali parancsikont töröljük.

Mozilla Firefox beállítása

Ha telepítve van, akkor is be kell állítani, ha nem ez lesz a felhasználó alapértelmezett böngészője!

A Start menüből indítsuk el a programot:

  • Ne legyen teljes képernyős a megjelenés;
  • Ablakfejlécen jobbklikk, menüsor BE;
  • Eszközök, Beállítások:
    • Általános fülön, Indítás, amennyiben a Mozilla Firefox lesz a felhasználó alapértelmezett böngészője, Beállítás alapértelmezettként (a Gépházba visz, a Rendszer, Alapértelmezett alkalmazások oldalra; itt a Webböngésző elemnél válasszuk a Firefoxot);
    • Általános fülön Lapok, Hivatkozás új lapon való megnyitásakor átváltás rá azonnal opcionálisan BE; Letöltések, mindig kérdezzen rá a fájlok letöltési helyére;
    • Kezdőlap fülön Kezdőlap és új ablakok legyen Üres lap, Új lapok legyen üres lap;
    • Adatvédelem és biztonság fülön Bejelentkezések és jelszavak, Felhasználónevek és jelszavak megjegyzése KI; Előzmények, Egyéni beállításokat használ, Keresőmezők és űrlapmezők előzményeinek megjegyzése KI; Engedélyek, Felugró ablakok tiltása KI; Firefox adatgyűjtés és felhasználás, műszaki és interakciós adatok küldése KI;
    • A többi alapértelmezés jónak tűnik (TODO!).
  • Gyorsteszt: Macromedia Flash player

Kilépés után:

  • Amennyiben a Mozilla Firefox lesz a felhasználó alapértelmezett böngészője, rögzítsük az ikonját a tálcán;
  • Az automatikusan létrejövő asztali parancsikont töröljük;
  • Tűzzük ki a program csempéjét a Start menü jobb oldalán, a Böngészés csoportba.

Napi használat esetén megfontolandó az alábbi kiegészítők telepítése (Firefox - Eszközök, Kiegészítők, További kiegészítők keresése):

Google Chrome beállítása

Ha telepítve van, akkor is be kell állítani, ha nem ez lesz a felhasználó alapértelmezett böngészője!

A Start menüből indítsuk el a programot:

  • Menü (jobb felül három vonal), Beállítások;
    • Automatikus kitöltés, Jelszavak, Jelszavak mentése KI, Automatikus bejelentkezés KI; Fizetési módok, Fizetési módok mentése KI; Címek és egyebek, Címek mentése KI;
    • Megjelenés, Kezdőoldal gomb megjelenítése BE;
    • Alapértelmezett böngésző, amennyiben a Google Chrome lesz a felhasználó alapértelmezett böngészője Legyen alapértelmezett (a Gépházba visz, a Rendszer, Alapértelmezett alkalmazások oldalra; itt a Webböngésző elemnél válasszuk a Chrome-ot);
  • Speciális beállítások lenyitása után:
    • Adatvédelem és biztonság, Chrome-bejelentkezés engedélyezése KI (így megnézhető a GMail anélkül, hogy a Chrome-session hozzárendelődne a megnézett postafiók felhasználójához), Nincs nyomon követés BE, Elmentett fizetési módok ellenőrzése KI, Oldalak előtöltése KI;
    • Nyelvek, helyesírás-ellenőrzés a megadott nyelvekre opcionálisan BE;
    • Letöltések, A letöltés előtt kérdezze meg... BE.
  • A többi alapértelmezés jónak tűnik (TODO!).
  • Gyorsteszt: Macromedia Flash player

Kilépés után:

  • Amennyiben a Google Chrome lesz a felhasználó alapértelmezett böngészője, rögzítsük az ikonját a tálcán;
  • Az automatikusan létrejövő asztali parancsikont töröljük;
  • Tűzzük ki a program csempéjét a Start menü jobb oldalán, a Böngészés csoportba.

OneDrive beállítása

Amennyiben a felhasználó fiókja nem Microsoft fiók, a OneDrive-ra nincs szükség, így célszerű azt inaktiválni:

  • a tálcaikonra jobbklikkelve Beállítások, Beállítások fül, automatikus indítás KI, OK; újabb jobbklikk a tálcaikonon, Kilépés.

Virtual CloneDrive beállítása

Ha telepítve van, külön beállítás nélkül, automatikusan elindul.

  • Tray icon, Settings, Virtual sheep-et érdemes kipipálni, így az Intézőben a virtuális drive ikonja mindig a bárány lesz :-). Tray icon jobbklikkel ellenőrizzük a hozzárendelt betűjelet.

Free Commander XE beállítása

Érdemes korán beállítani, mert a következő lépésekben az Intézőnél kézre esőbb lehet.

A Start menüből indítsuk el:

  • ha angol nyelven indulna el, Tools, Settings, Language, hungarian.lng;
  • Extrák, Beállítások,
    • Program indítása, Start/Temp mappából fül, érdemes lehet fix mappákat megadni (pl. C:\ a bal, és a felhasználó alapkönyvtára a jobboldalra);
    • Megtekintés, a fájl/mappa lista, Rejtett fájlok mutatása BE; Rendszerfájlok mutatása BE, Időbélyeg formátuma legyen Windows;
    • Funkció gomb sáv, Funkció gomb sáv látható BE;
    • a többi beállítás jónak tűnik.
  • Mindkét panelen részletes nézet, Extrák, Beállítások mentése.
  • Gyorsteszt: F1-re az (angol nyelvű) súgó jelenik meg.
  • Tűzzük ki a program csempéjét a Start menü jobb oldalán, az Irodai alkalmazások csoportba.

Total Commander beállítása

Érdemes korán beállítani, mert a következő lépésekben az Intézőnél kézre esőbb lehet.

A Start menüből indítsuk el a programot, az első indításkor megjelenő beállító ablakban:

  • Képernyő, Rejtett fájlok megjelenítése BE, Rendszer fájlok megjelenítése BE, Mutassa gyorstipp szerűen... BE;
  • Ikonok, Minden hozzárendelt; Működés, Kijelölés egérrel, Bal gombbal (Windows módszer);
  • FTP, Passzív mód legyen az alapértelmezett BE;
  • a többi alapértelmezés jónak tűnik.
  • Opcionálisan érdemes a TC, Beállítások, Beépülők, Fájl rendszer beépülők, Beállítás nyomógombbal előhívható ablakban hozzáadni a rendszergazdaként, korábban már letöltött és telepített Cloud, DiskInternals Reader, WebDAV beépülőket.
  • Tűzzük ki a program csempéjét a Start menü jobb oldalán, az Irodai alkalmazások csoportba.

VeraCrypt beállítása

  • A Start menü, minden alkalmazás listájából indítsuk el a programot; állítsunk be (jelenleg még hiányos fordítású) magyar nyelvet: Settings, Language, Magyar, OK; állítsuk be az automatikus indulást: Settings, Beállítások, Start VeraCrypt Background Task, OK; Kilépés.
  • Az értesítési terület testreszabásánál állítsuk be, hogy a tray icon mindig látsszék.
Titkosított meghajtó készítése

Hordozható számítógépen kötelező, ha a teljes meghajtó, illetve partíció nincsen titkosítva. Egyébként opcionális.

Ebben a szakaszban a helyben tárolt levelezésnek és a helyben tárolt bizalmas adatoknak dedikálunk egy VeraCrypt kötetet (történelmi okból T: (mint TrueCrypt) lemez). Mérete lehet pl. 4 GB, így a konténerfájl egy DVD-re egyszerűen felírható, archiválható.

Javasolt mappaszerkezet (TODO!):

T:\
   AppData\
      Local\
         Microsoft\
            Outlook   levelezés beállításai, csak ha Outlook felhasználó
         ownCloud     felhő beállításai, csak ha ownCloud felhasználó
         Thunderbird  levelezés beállításai, csak ha Thunderbird felhasználó
         ...
      Roaming\
         Microsoft\
            Outlook   levelezés beállításai és tartalma, csak ha Outlook felhasználó
         Thunderbird  levelezés beállításai és tartalma, csak ha Thunderbird felhasználó
         ...
   Documents          bizalmas tartalmú dokumentumok
   Keys               magánkulcsok (private keys)

A fenti elrendezés előnye, hogy egyértelműen látható, mit és hova kell a felhasználó profiljából átmozgatni és mklink-kel követni.

  • Készítsük el a konténert: Értesítési terület, VeraCrypt mutatása, Kötet létrehozása nyomógomb (varázslót indít)
    • Create an encrypted file container;
    • Standard VeraCrypt Volume;
    • a konténerfile legyen a felhasználói profil gyökerében (C:\Users\[Felhasználó]\securevolume.hc);
    • legalább két titkosítást használjunk, pl. AES+Twofish, hash-nek jó az alapértelmezett;
    • a kötet mérete legyen 4 GB (vagy amennyit szeretnénk);
    • ha lehet, adjunk hosszú passphrase-t (és mindenképpen változtattassuk azt meg a felhasználóval!), a PIM megadását mellőzhetjük;
    • a kötetet csak akkor formázzuk FAT-re (ami amúgy megfelelő lenne, mert a köteten belül nem szeretnénk jogosultságkezelést), ha nem tervezünk 2GB-nál nagyobb állományokat tárolni. Helyben szinkronizált levelezés esetén ez kevés lehet, így az NTFS a biztosabb tipp (viszont rendszergazda jóváhagyás kell a formázás befejezésénél, a jogosultságok beállításához);
    • segítsünk véletlen számokat gyűjteni :) - ha a formázás elkészült, kiléphetünk a varázslóból.
  • Az elkészített kötetet jelöljük meg a bejelentkezéskor automatikusan csatolódó kedvenc kötetként: manuálisan csatoljuk fel T:\ lemeznek (VeraCrypt, kötetlistában az üres T:\-re állni, Fájl kiválasztása, Mount nyomógomb, jelszó megadása - magas PIM esetén sokáig molyolhat!), a kötetlistában jobbklikk a köteten, Add to favorites és Mount selected volume upon logon kipipálása, opcionálisan kötetcímke (Label of ...) megadása. Ezután a VeraCrypt becsukható, a T:\ lemez csatolva marad a felhasználó kilépéséig, és minden további belépésekor a VeraCrypt megkísérli automatikusan visszacsatolni (azaz felugrik a jelszókérő ablak).
  • Ha NTFS-re formáztuk a kötetet, adjunk a gyökerére módosítási jogot a Felhasználók csoportnak és Mindenki-nek (így annak másolatát egy másik gépben felcsatolva sem lesz jogosultsági probléma - rendszergazda jóváhagyás kell!).
  • Ha az ajánlott mappaszerkezetet használjuk, készítsünk a T:\Documents mappára egy junction-t a felhasználó profilkönyvtárából pl. Védett néven:
C:\Users\Felhasználó> mklink /j Védett T:\Documents
Ezután a felhasználó profilkönyvtárában lesz egy Védett mappa, amelyben a titkosított meghajtón lévő dokumentumok látszanak.

Adobe (Acrobat) Reader beállítása

Indítsuk el:

  • az elinduló varázslót követve állítsuk be a Readert alapértelmezett PDF olvasóként;
  • Gyorstesztként a beépített PDF nyomtatóval nyomtassunk egy tesztoldalt (Vezérlőpult, Eszközök és nyomtatók, Microsoft Print to PDF, jobbklikk, Nyomtató tulajdonságai, Tesztoldal nyomtatása, Tesztoldal.pdf) és duplakattintással jelenítsük meg. A dokumentumot hagyjuk a helyén, jelezve, hogy a teszt megtörtént.
  • Automatikusan létrehozott asztali parancsikonját töröljük le, hiszen a Readert csak a háttérben, a PDF MIME típus kezelőjeként szeretnénk használni.

Icecream Ebook Reader beállítása

  • A Start menüből indítsuk el, beállítást nem igényel.

WinDjView beállítása

  • A Start menüből indítsuk el, a névjegyét csukjuk be. Egyéb beállítást nem igényel.

Fényképek (Pictures) alkalmazás beállítása

  • Tűzzük ki a program csempéjét a Start menü jobb oldalán, a Lejátszás csoportba (Start menü alkalmazás listájában vagy a keresés eredményében az alkalmazásra jobbklikk, Startra kitűzés; a csempét méretezzük közepesre).
  • Első indításkor csukjuk be a Microsoft fiókos bejelentkező ablakot és az újdonságok bemutatását. Az alkalmazás alapértelmezésben a felhasználó profiljának Képek mappáját indexeli, ez általában megfelelő.

PhotoScape beállítása

  • Tűzzük ki a program csempéjét a Start menü jobb oldalán, a Lejátszás csoportba (Start menü alkalmazás listájában vagy a keresés eredményében az alkalmazásra jobbklikk, Startra kitűzés; a csempét méretezzük közepesre).
  • Első indításkor ne legyen teljes képernyős, és a "szemet" (random Flickr! fotó mutatása) csukjuk be.

Windows Media Player beállítása

  • Indítsuk el (Kereső, vagy Start menü alkalmazáslista, Windows Kellékek). Válasszunk Egyéni beállításokat, az alapértelmezések megfelelnek; legyen a Windows Media Player az alapértelmezett lejátszó;
  • Amennyiben az előző lépésben nem nyílt meg a Gépház, a Start menü, Gépház, Alkalmazások, Alapértelmezett alkalmazások listájában ellenőrizzük, és szükség szerint korrigáljuk a Zenelejátszó (Windows Media Player) és a Videolejátszó (MPC-HC) bejegyzést.

Amennyiben a gépben van optikai olvasó, ellenőrizzük a DVD lejátszását egy gyári DVD film behelyezésével! DVD lejátszóként a fentebb beállított (a K-Lite Codec Pack-kel együtt települő) Media Player Classic-ot tudjuk kiválasztani - evvel a lejátszásnak működnie kell.

  • Amennyiben a lejátszás hangereje (pl. a rendszerhangokhoz képest) alacsony lenne, a lejátszóban a Nézet, Beállítások, Belső szűrők, Audio-váltó lapon az Erősítés csúszka feltolásával jelentősen növelhető.

Skype beállítása

  • Tűzzük ki a program csempéjét a Start menü jobb oldalán, a Felfedezés csoportba (Start menü alkalmazás listájában vagy a keresés eredményében az alkalmazásra jobbklikk, Startra kitűzés; a csempét méretezzük közepesre). Ha a Windows a telepítéskor a modern design változatú Skype csempéjét automatikusan kitűzte volna, azt érdemes innen eltávolítani.
  • Indítsuk el, ne jelentkezzünk be, az Eszközök - Kapcsolódás-opciók alatt ne engedjük a 80-as illetve 443-as port használatát(!), megadható pl. a 23388-as port.
  • Az értesítési terület testre szabásánál írjuk elő, hogy a tray icon mindig látsszék. Ezután a tray icon segítségével zárjuk is be az alkalmazást.
  • Gyorsteszt: TODO!

TeamViewer Quick Support beállítása

  • Tűzzük ki a program csempéjét a Start menü jobb oldalán, a Felfedezés csoportba (Start menü alkalmazás listájában az alkalmazásra jobbklikk, Startra kitűzés; a csempét méretezzük közepesre).
  • Gyorsteszt: TODO!

Irodai programcsomagok beállításai

Microsoft Office beállítása

Ha telepítve van, akkor is be kell állítani, ha nem ez lesz a felhasználó alapértelmezett irodai szoftvere!

TODO!

LibreOffice beállítása

Ha telepítve van, akkor is be kell állítani, ha nem ez lesz a felhasználó alapértelmezett irodai szoftvere!

  • Tűzzük ki a program csempéjét a Start menü jobb oldalán, a Létrehozás csoportba (Start menü alkalmazás listájában vagy a keresés eredményében az alkalmazásra jobbklikk, Startra kitűzés; a csempét méretezzük közepesre).
  • Indítsuk el, válasszuk a Writer dokumentum-ot.
    • Opcionálisan adjuk meg a felhasználó nevét, így az a változáskövetésnél megjelenhet: Eszközök - Beállítások - LibreOffice - Felhasználó adatai, Vezetéknév, Utónév és Monogram kitöltése.
    • Az Eszközök - Beállítások - Megnyitás és mentés - Általános lapon a szöveges dokumentumok, munkafüzetek és bemutatók alapértelmezett formátumát érdemes lehet Microsoft XML-re (docx, xlsx, pptx) állítani, mert ezek elterjedtebbek, mint az Open Document formátumok.
    • Ugyanitt, a LibreOffice Writer, alap betűkészletek lapon minden betűkészletet érdemes Times New Roman-re állítani.
    • Az Eszközök - Automatikus javítás beállításai - Beállítások lapon NE kérjük a Mondat első betűje nagybetű opciót (ettől van majd' minden Word dokumentumban nagybetűvel a "Január").
    • Az Eszközök - Automatikus javítás beállításai - Nyelvfüggő beállítások lapon opcionálisan vegyük KI a pipát az Egyszeres idézőjelek, Csere jelölőnégyzetből (így nem cseréli az aposztrófot francia « lúdláb » idézőjelre).
    • Az Eszközök - Automatikus helyesírás-ellenőrzés legyen bekapcsolva.
    • A Nézet, Szöveghatárok pipát érdemes kivenni.
    • Gyorsteszt: "felhőbe hanyatlott a drégeli illetve egri rom" - első betű nem vált nagyra, a "drégeli"-re van helyesírási javaslat, a nyelvhelyesség-ellenőrző szóvá teszi a vessző hiányát az "illetve" szó előtt.
    • Gyorsteszt: F1-re magyar nyelvű súgó indul el.

PIM beállítások

Microsoft Outlook beállítása

TODO!

Mozilla Thunderbird beállítása

Csak akkor kell beállítani, ha ez lesz a felhasználó alapértelmezett levelezőprogramja, illetve PIM szoftvere!

  • Tűzzük ki a Thunderbird csempéjét a Start menü jobb oldalán, a Felfedezés csoportba (Start menü alkalmazás listájában vagy a keresés eredményében az alkalmazásra jobbklikk, Startra kitűzés; a csempét méretezzük közepesre).
  • Első indításkor legyen ez az alapértelmezett levelezőprogram, később konfiguráljuk a postafiókot, a Lightning kiterjesztést megtartjuk, jogainkat nem olvassuk el :). Az alapértelmezést ellenőrizzük, szükség szerint állítsuk be a Start menü, Gépház, Alkalmazások, Alapértelmezett alkalmazások, E-mail pontban is.
  • A Thunderbird ablak fejlécén jobbklikk, a menüsor jelenjen meg.
  • Eszközök, Beállítások:
    • Általános fülön új üzenet érkezésekor hangjelzés ki;
    • Megjelenítés, Speciális fülön Csak a név megjelenítése KI;
    • Csevegés fülön a Thunderbird indításakor legyen kapcsolat nélküli mód;
    • Adatvédelem fülön Nem akarom, hogy a webhelyek kövessenek BE;
    • Biztonság, Szemét fülön a levélszemét kézi megjelölésekor áthelyezés és olvasott, Biztonság, Antivírus fülön a vírusellenes szoftverek karanténozhatnak;
    • Speciális, Adatküldések fülön Hibajelentő KI;
    • Naptár, általános fülön ellenőrizzük az időzónát;
    • A többi alapértelmezés jónak tűnik.
  • Opcionálisan érdemes a Levelező eszköztárat (felső ikonsor) testre szabni (jobbklikk, Testreszabás) úgy, hogy a(z általában) nem használt Csevegés, Gyorsszűrő, Enigmail Visszafejtés ikonokat levesszük, feltesszük viszont a Válasz, Válasz mindenkinek, Továbbítás, Szemét, Törlés és Leállítás kontrollokat.
  • Rögzítsük a tálcára a programot.
Thunderbird kiegészítők

Számos PIM funkció a Mozilla Thunderbird kiegészítők gyűjteményéből letölthető, felhasználónként külön-külön telepíthető, beépülő modulokkal van megvalósítva. Ezeket a Thunderbird elindítása után az Eszközök - Kiegészítők menüpontokkal elérhető felületen kezelhetjük.

Az alábbi modulok telepítése mindenképpen javasolt:

  • Enigmail (GPG alapú levéltitkosítás és -aláírás; keresőben enigmail, kiválasztás és telepítés);
  • Lightning naptárkliens - a Thunderbid 38.x verziója óta a Thunderbirddel együtt, automatikusan települ;
  • Lookout (a Microsoft Outlook MS-TNEF MIME típusú összetett levélformátumának kezelése; keresőben lookout, kiválasztás és telepítés);
  • a távoli CardDAV címjegyzékek kezelésére a SOGo projekt által karbantartott Inverse SOGo Connector kiegészítő: sajnos, nem szerepel a hivatalos gyűjteményben, ezért web böngészővel töltsük le a legfrissebb .xpi állományt és a Thunderbirdben az Eszközök, Kiegészítők, fogaskerék ikon, Kiegészítő telepítése fájlból eszközzel telepítsük.

Opcionális modul telepítések:

  • Provider for Google Calendar (GMail fiókkal rendelkezők számára az ehhez tartozó naptárak egyszerű szinkronizálása; keresőben google provider, kiválasztás és telepítés);
  • gContactSync (GMail fiókkal rendelkezők számára az ehhez tartozó névjegyzékek egyszerű szinkronizálása; keresőben gcontact, kiválasztás és telepítés);
  • ImportExportTools (levelező mappák egyszerű importálása és exportálása, helyi archiválása, biztonsági mentése; keresőben importexport, kiválasztás és telepítés).
  • Signature Switch (aláírások ki- és bekapcsolása, egy személyiséghez több aláírás; keresőben signature, kiválasztás és telepítés).
Üzemeltetés VeraCrypt meghajtón

Erősen javasolt, hogy ha rendelkezésre áll személyes titkosított meghajtó, a felhasználó a levelezést és annak beállításait ezen tárolja - a levelezési jelszavakat mindenki úgyis a géppel jegyezteti meg, és ha ezek titkosított meghajtón vannak, akkor a gép ellopása esetén sem válnak ismertté, valamint nem lehet az ellopott gépről a felhasználó nevében levelezni illetve postafiókjához könnyedén hozzáférni.

A T:\ lemezre költöztetéshez (a korábban ajánlott mappaszerkezet használata esetén), a Thunderbird leállítása után(!), végezzük el az alábbi mappa átmozgatásokat:

AppData\Local\Thunderbird   -> T:\AppData\Local\
AppData\Roaming\Thunderbird -> T:\AppData\Roaming\

Kövessük az áthelyezéseket junction-ökkel:

cd "AppData\Local"
mklink /J Thunderbird "T:\AppData\Local\Thunderbird"

cd "..\Roaming"
mklink /J Thunderbird "T:\AppData\Roaming\Thunderbird"

Ezután a Thunderbird a szokott módon elindítható és működik - az adatok már a T:\ lemezen vannak, de a junction-öknek köszönhetően erről a Thunderbird mit sem tud :).

Figyelem: ezután a Thunderbird elindítása a T:\ előzetes felcsatolása nélkül hibaüzenetet eredményez!

Postafiók beállításai
Naptár beállítások
Címjegyzék beállítások

Alkalmazások revíziója felhasználóként

W10 Start right.png

A Windows 10 mindenki számára telepít egy halom, átlagos irodai felhasználó számára általában szükségtelen alkalmazást (bloatware), és ezek csempéivel teleszemeteli a Start menü jobb oldalát. Személyes fiók esetén természetesen mindenkinek szíve joga megválasztani a saját profiljából elérhető (a Windows Áruházból telepített, ingyenes) alkalmazásokat, és úgy elrendezni a Start menü bal oldalát, ahogy neki tetszik, azonban - főképp céges környezetben - célszerűnek tűnik valamilyen egységes elrendezéssel átadni a telepített gépeket. Ebben segíthet az alábbi javaslat.

A Start menü bal oldalán opcionálisan:

  • távolítsuk el (listában jobbklikk és Eltávolítás) a bloatware-eket, pl.: Az Office letöltése, Hírek (nincs magyar hírfolyam), Mobiladat-forgalmi díjcsomagok, Saját Office, Skype (a modern design verziót, ha az asztali változatot használjuk), Tippek, Visszajelzési központ, különféle demók és játékok (a lista változhat!).

A Start menü jobb oldalán opcionálisan:

  • a Felfedezés csoportba tegyük ki az összes böngészőt, a levelezőprogramot, a Skype-ot és a TeamViewert;
  • a Lejátszás csoportba tegyük ki a Photoscape-et, a Fényképeket, és az Időjárás alkalmazást;
  • a Létrehozás csoportba tegyük ki a LibreOffice elemeit, a Jegyzettömb, Sticky Notes, Számológép, Free Commander XE (már ott van) alkalmazásokat.
  • a Játék csoportba tegyük ki a Microsoft Solitaire Colletcion-t :)

A Gépház, Rendszer, Alapértelmezett alkalmazások alatt ellenőrizzük és állítsuk be az esetleg hiányzó alapértelmezéseket.

Felhasználói adatmentő eszközök

TODO! - Fájlelőzmények (File History) beállítása

Felhasználói utómunkálatok

  • Állítsuk be, hogy a profilmappa neve helyett a felhasználó valódi neve (szerepneve, stb.) jelenjen meg publikusan (az Üdvözlőképernyőn, stb.): Vezérlőpult, Felhasználói fiókok, A fiókhoz tartozó név módosítása (rendszergazda jóváhagyás szükséges).
  • Védjük a felhasználói fiókot jelszóval (ami esetleg távoli bejelentkezést is lehetővé tesz), illetve opcionálisan (pl. Microsoft fiókhoz kötött bejelentkezés esetén) helyi (nem szinkronizálódó, távoli bejelentkezésre nem jogosító) PIN kóddal. Ehhez a Start menü, Gépház, Fiókok, Bejelentkezési lehetőségek alatt a felhasználóval adassunk meg egy (lehetőleg nem triviális) jelszót, majd opcionálisan ugyanott egy PIN kódot.
  • Opcionálisan adjunk meg egy avatar képet a felhasználónak - szerezzük be a képet és mentsük a felhasználó profiljának gyökerébe, majd a Start menü, Gépház, Fiókok, Az Ön fiókja, Kép alatt állítsuk be.
  • Takarítsuk (ürítsük) ki:
    • a Start menü Leggyakrabban használt listáját (jobbklikk az elemeken és Ne jelenjen meg ebben a listában);
    • a felhasználói profil \AppData\Local\Temp könyvtárát;
    • a Lomtárat;
    • a böngészők előzményeit és gyorsítótárát.

Irodalom

Biztonság Tippek, trükkök, tudnivalók
License
Applications
Mentés és szinkronizálás Verzióváltások