שיעור 1שירותים לשקול להשבית או להגביל: רישום שירותים מסוכנים (למשל Remote Registry, SSDP, UPnP, תמיכת Bluetooth) והליך בטוח להשבתה דרך services.mscזיהוי שירותי Windows 7 שמגדילים שטח התקפה, כמו Remote Registry או UPnP, ולימוד שיטות בטוחות להשבתה או הגבלה באמצעות services.msc, כולל בדיקות תלות ותכנון שחזור.
Inventorying enabled Windows 7 servicesIdentifying high-risk legacy servicesDisabling services via services.mscChecking dependencies before changesRollback and monitoring after changesשיעור 2הגברת ניהול חשבונות: שינוי שם או השבתת חשבונות מובנים, הגבלת התחברויות אינטראקטיביות והגדרת שעות התחברותחיזוק ניהול חשבונות על ידי שינוי שם או השבתת חשבונות מובנים, הגבלת התחברויות אינטראקטיביות, אכיפת שעות התחברות ומעקב שימוש כדי להפחית שימוש לרעה בזהויות מקומיות ודומיין חזקות ב-Windows 7.
Renaming or disabling AdministratorRestricting Guest and shared accountsLimiting local interactive logonsConfiguring logon hours and workstationsReviewing account usage and anomaliesשיעור 3יומן מאובטח ושמירה: ריכוז יומני אירועים דרך Windows Event Forwarding או ייצואים מתוזמניםהבנת כיצד לרכז יומני אירועים של Windows 7 באמצעות Windows Event Forwarding או ייצואים, הגדרת תקופות שמירה, הגנה על שלמות יומן והבטחת זמינות יומנים לתגובה לאירועים וביקורות תאימות.
Key Windows 7 log types to collectConfiguring Windows Event ForwardingScheduled log export and archivalProtecting log integrity and accessDefining retention and storage limitsשיעור 4יישום הרשאה מינימלית: שימוש בחשבונות משתמש סטנדרטיים והליכי העלאת הרשאות (Run as)יישום הרשאה מינימלית ב-Windows 7 באמצעות חשבונות משתמש סטנדרטיים, העלאת הרשאות מבוקרת עם Run as והפרדה של משימות מנהליות. לימוד הפחתת שימוש במנהל מקומי תוך שמירה על זרימות תמיכה נדרשות.
Creating and using standard user accountsSeparating admin and daily use profilesUsing Run as and elevation promptsLimiting local administrator membershipAuditing privileged activity regularlyשיעור 5אפשרויות הצפנת דיסק (דרישות מקדימות BitLocker ב-Windows 7 Professional), מקרי שימוש ומשנה זהירות בחומרה ותיקההבנת בחירות הצפנת דיסק ל-Windows 7, כולל דרישות מקדימות ומגבלות BitLocker במהדורות Professional. לימוד מתי להצפין, כיצד לנהל מפתחות ומה לבדוק בחומרה ותיקה לפני הפצה.
BitLocker prerequisites and editionsSelecting volumes and data to encryptKey storage and recovery proceduresPerformance impact on legacy hardwareBackup and rollback considerationsשיעור 6הגדרת Windows Firewall with Advanced Security: יצירת כללי נכנס/יוצא, הגבלת שירותים ופורטים למערך מינימליחקירת Windows Firewall with Advanced Security להגבלת תעבורה נכנסת ויוצאת, יצירת כללים מפורטים לשירותים ופורטים, יישום פרופילים ובדיקת תצורות כדי למנוע שיבוש ליישומי ותיקים קריטיים.
Reviewing existing firewall profilesCreating inbound service rulesRestricting outbound application trafficUsing scope, users, and interface filtersTesting and documenting firewall changesשיעור 7אסטרטגיית תיקונים כשמערכת ההפעלה EOL: תיקון וירטואלי, הגבלת שטח התקפה, תיקוני עדיפות ליישומי צד שלישי ויישום עדכוני firmware/דרייבר אחרי בדיקותלימוד כיצד להגן על מערכות Windows 7 לא נתמכות על ידי הפחתת שירותים חשופים, יישום תיקון וירטואלי בשכבות רשת, קביעת עדיפויות לעדכוני צד שלישי והפצת תיקוני firmware ודרייברים בבטחה אחרי בדיקות.
Identifying critical exposed servicesVirtual patching with network controlsPrioritizing third-party application fixesTesting firmware and driver updatesDocumenting patch exceptions and risksשיעור 8בקרות פיזיות ותפעוליות: מדיניות מדיה נשלפת, הגבלות USB ומדיניות סיסמת אתחול/BIOS מאובטחתיישום בקרות פיזיות ותפעוליות ל-Windows 7, כולל סיסמאות BIOS ואתחול, הגבלות מדיה נשלפת ומדיניות התקני USB, למניעת גישה לא מורשית והוצאת נתונים בקצוות ותיקים.
Setting BIOS and boot passwordsRestricting boot order and mediaUSB storage and device control optionsHandling lost or stolen legacy devicesOperational procedures for techniciansשיעור 9שינויי מדיניות אבטחה מקומית: מדיניות ביקורת מיושמות, הקצאת הרשאות משתמש ואפשרויות אבטחה (למשל SMB signing, רמת אימות LAN Manager)הגברת Windows 7 באמצעות Local Security Policy על ידי כוונון מדיניות ביקורת, User Rights Assignment ואפשרויות אבטחה כמו SMB signing ורמות LAN Manager, תוך מעקב אחר בעיות תאימות בדומיינים ותיקים.
Configuring detailed audit policiesAdjusting User Rights AssignmentTuning SMB signing requirementsSetting LAN Manager auth levelsExporting and reusing policy templatesשיעור 10חלוקת רשת והגבלות מבוססות מארח: הגדרת כללי חומת אש להגבלת גישה רק לשרתי ניהולשימוש בחלוקת רשת ובכללי חומת אש מבוססי מארח כדי להגביל גישה של Windows 7 רק לשרתים ומערכות ניהול נדרשות. לימוד מיפוי זרימות, הגבלת תת-רשתות ואימות שהפרדה לא שובשת שירותים.
Mapping required network communicationRestricting access to admin subnetsLimiting exposure to user networksFirewall rules for management hostsValidating segmentation with testingשיעור 11אפשרויות רשימת אישור יישומים זמינות ב-Windows 7 (חלופות Applocker, Software Restriction Policies) ושיקולים להפצהסקירת אפשרויות רשימת אישור יישומים ב-Windows 7, כולל Software Restriction Policies ומצבי AppLocker מוגבלים. לימוד תכנון כללים, בדיקה במצב ביקורת והפצת תצורות עם שיבוש מינימלי.
Choosing SRP versus AppLocker optionsDesigning path and hash-based rulesUsing audit mode before enforcementDeploying policies to multiple hostsMaintaining allowlists over timeשיעור 12הגדרת מדיניות משתמש וסיסמה מקומית: מורכבות סיסמה, אורך, תפוגה, חסימת חשבון דרך Local Security Policy (secpol.msc)הגדרת מדיניות סיסמאות וחסימת חשבונות מקומיים במערכות Windows 7 עצמאיות. לימוד הגדרת מורכבות, אורך, תפוגה וספות חסימה באמצעות Local Security Policy תוך הימנעות מחסימת משתמשים.
Password length and complexity rulesPassword history and expiration tuningAccount lockout thresholds and timersConfiguring policies in secpol.mscBalancing usability with brute-force riskשיעור 13הגדרת יציבה אבטחה מקובלת שמאזנת יציבות ושינויים מינימלייםהגדרת בסיס אבטחה ריאלי ל-Windows 7 שמאזן הפחתת סיכונים עם יציבות מערכת. לימוד סיווג מערכות, קביעת בקרות מינימום, תיעוד סיכונים מקובלים ותכנון שיפורים הדרגתיים לאורך זמן.
Classifying legacy system criticalitySetting minimum baseline controlsEvaluating impact versus security gainDocumenting accepted residual risksPlanning phased hardening improvementsשיעור 14אסטרטגיית אנטי-וירוס/אנטי-תוכנות זדוניות תואמת Windows 7 ושיטות עדכון לא מקוונותלימוד כיצד לבחור כלי אנטי-וירוס ואנטי-תוכנות זדוניות שתומכים עדיין ב-Windows 7, להגדיר סריקות בזמן אמת ומתוזמנות ולשמור הגנה ברשתות מבודדות באמצעות עדכוני הגדרות לא מקוונים והפצה ידנית.
Supported AV products for Windows 7Configuring real-time and scheduled scansOffline definition downloads and stagingUpdating isolated and air-gapped hostsVerifying AV health and event alerts
