Hem / Hårdvara / Hårdvaruguider
How-To

Skydda din integritet i Windows – inställningarna du bör känna till

Följ med så visar vi hur Windows 11 håller dig säker och hur du maximerar ditt integritetsskydd i den nya versionen av Microsofts operativsystem.
Av Martin Appel och Anders Lundberg
PC för Alla
Integritet
Bild: Microsoft

Microsoft har gjort en stor affär av den höjda säkerheten i Windows 11. De höga systemkraven som har gjort att många användare med även hyfsat nya datorer inte kan installera den nya versionen beror enligt Microsoft framför allt på just säkerhetsfunktioner. Så vad är grejen och hur kan du se till att du drar nytta av det?

I den här artikeln ger vi svaren på det och även visar hur du bättre skyddar din integritet – både från Microsoft och andra. Ju mer av våra liv som levs digitalt desto viktigare är det.

Säkerhetsfunktioner du inte visste fanns

Flera av Windows 11:s systemkrav gäller säkerhetsfunktioner som har funnits flera år i Windows 10 men få utanför storföretagens it-avdelningar har brytt sig om. Vissa av dessa slås inte på automatiskt om du uppdaterar från Windows 10, men kommer vara aktiverade på alla nya datorer som säljs direkt med Windows 11. Några är väldigt vettiga och inverkar inte alls på datorns prestanda – andra kan inverka negativt och vi visar här nedan hur du stänger av dessa om du värderar prestanda högre.

Secure Boot och TPM

För att över huvud taget kunna installera Windows 11 på din pc behöver den en modern processor (Intels åttonde generation eller AMD Zen 2 eller nyare) och två säkerhetsfunktioner: Secure Boot och en så kallad trusted platform module (tpm).

Secure Boot har funnits i många år men de flesta pc-användare har inte haft det igång eftersom det inte har varit något tvång, och mest har känts som onödigt krångel. Funktionen är en del av uefi, den moderna ersättaren till bios. Det handlar om att datorns basmjukvara kan upptäcka – och stoppa – ett operativsystem som har modifierats, genom att kontrollera dess kryptografiska signaturer.

Med Secure Boot aktiverat stoppas effektivt lömska skadeprogram som till exempel installerar sig under Windows som ett så kallat bootkit och helt dolt kan läsa av allt som händer i systemet. Du aktiverar Secure Boot i datorns bios-inställningar, men faktum är att det inte är något krav för att installera eller köra Windows 11 – kravet är att datorn ska kunna använda Secure Boot.

Tpm däremot är ett krav för att installera och köra det nya systemet. Det finns sätt att kringgå det, men Microsoft varnar för att du då kan komma att gå miste om framtida uppdateringar och det är hur som helst inte speciellt troligt att just tpm-kravet är det enda som hindrar sig att installera Windows 11 eftersom nästan alla Intel- och AMD-processorer från 2013 och framåt har en inbyggd tpm-modul.

Tpm

Till skillnad från Secure Boot, vars fördelar är lite mer esoteriska, är det tydligare varför tpm är en jättebra idé. De grundläggande funktionerna i tpm är säker lagring av krypteringsnycklar, certifikat och liknande, samt säkert skapande av nya nycklar och kontroll av dessa. Det kan till exempel vara krypteringsnyckeln till Bitlocker som säkrar alla data på hårddisken, eller krypteringsnyckeln som används med Windows Hello för snabbinloggning med pinkod eller ansiktsigenkänning. Tredjepartsprogram som Firefox och Chrome använder också tpm om den finns, även i Windows 10.

Det här fungerar ungefär som Apples ”säkra enklav” som har skyddat Iphone och Ipad i många år, och liknande funktioner i mobilprocessorer från Qualcomm, Samsung och andra tillverkare.

Med en tpm aktiverad kan Windows och enskilda program som behöver skapa krypteringsnycklar be tpm:en göra det. De genererade nycklarna lagras bara där och kan aldrig extraheras eller kopieras till andra platser. Det här är mycket säkrare än när nycklar skapas av den vanliga processorn eftersom en trojan eller annat skadeprogram i teorin kan fånga upp sådana nycklar.

Ett bra exempel på hur tpm skyddar dig är Windows Hello. I Windows 11 förespråkar Microsoft att du använder ett Microsoft-konto och stänger av inloggning med kontolösenordet så att det bara går att logga in med Windows Hello – normalt en pinkod men kan även vara ansiktsigenkänning eller fingeravtryck.

Säg att du drabbas av ett skadeprogram med en så kallad keylogger som fångar upp allt du skriver på tangentbordet. Där ingår din pinkod, men tack vare att pinkoden är kopplad till en krypteringsnyckel på just den här datorn kommer skaparna av skadeprogrammet inte kunna logga in på ditt Microsoft-konto på en annan maskin. Om du istället hade loggat in med kontolösenordet hade du enbart haft tvåfaktorautentisering kvar som skydd mot ett hackat konto.

Enhetssäkerhet

Virtualiseringsbaserad säkerhet

Det hårdvarukrav som egentligen ligger bakom att Windows 11 kräver en så ny dator är något som kallas virtualiseringsbaserad säkerhet eller vbs. Det innebär att systemet använder moderna processorers möjlighet att köra kod i virtuella maskiner med egna, avskilda delar av arbetsminnet.

Virtualisering användes först till att köra andra operativsystem inuti Windows eller ett annat system så att du till exempel kan testa mjukvara eller köra ett program som inte fungerar på ditt vanliga system. Ett vanligt exempel är Macanvändare som kör Windows med en virtuell maskin för att komma åt Windows-specifika program.

Virtualiseringsbaserad säkerhet använder samma tekniker för att separera vissa delar av Windows så att andra delar av systemet inte kommer åt dem. Det består av flera olika komponenter, av vilka vissa bara finns i företagsversionerna av Windows och inte i Home-versionen.

Minnesintegritet

Minnesintegritet

Öppna Windows-säkerhet och välj Enhetssäkerhet. Om vbs är aktivt kommer du se en grön bock intill Kärnisolering och det står att ”virtualiseringsbaserad säkerhet skyddar kärndelarna i din enhet”. Klicka på Information om Kärnisolering så kommer du till en undermeny där du kan aktivera eller stänga av något som heter Minnesintegritet (tekniken bakom heter ”hypervisor-enforced code integrity” eller hvci).

Där här är en av de funktioner vbs möjliggör, som innebär att Windows placerar känslig kod i en virtuell maskin som resten av systemet inte har åtkomst till, ens med admin-behörighet. Det ökar säkerheten och ger ett bättre skydd mot vissa skadeprogram, men kan också leda till lägre prestanda – upp till 25 procent mindre på vissa maskiner.

Om du har uppdaterat från Windows 10 är Minnesintegritet inte aktiverat som standard. På nya datorer som levereras med systemet är det det. Upplever du prestandaproblem med datorn kan du kolla om funktionen är aktiv och testa att stänga av den. Har du inget problem med den är det så klart bäst att ha den aktiv så att din dator är så skyddad som möjligt.

Integritetsskydd – Microsoft har bättrat sig

En av de saker Microsoft fick mest kritik för efter lanseringen av Windows 10 är hur systemet skickar analysdata till företaget och hur svårt det är att stänga av denna delning, samt hur Start-menyn var full av reklam.

I Windows 11 har Microsoft lyssnat på kritiken och inställningarna för integritetsskydd och delning av användaruppgifter har blivit betydligt bättre. Inställningarna både för själva Windows och tredjepartsprograms behörighet att komma åt funktioner som kamera och ditt bildbibliotek ligger samlade i Inställningar -> Sekretess & Säkerhet. Så här använder du dem och stänger av all delning du inte vill ha.

Inställningspanelen har tre avdelningar: Säkerhet, Windows-behörigheter och Appbehörigheter. Säkerhet är mest genvägar till det separata programmet Windows-säkerhet och det är de två andra du kommer använda mest.

Reklam-id

Windows-behörigheter

Allmänt har till exempel den viktiga inställningen för reklam-id, den unika kod som om du tillåter det kan användas för att spåra dig, så att reklamköpare till exempel kan spåra ett köp av en produkt till en reklambanner du klickade på. Stäng av rubbet här om du inte gillar reklam i systemet.

Anpassning av handskrift och inmatning: Om du använder en penna och skriver direkt på skärmen ibland hittar du här inställningen för om huruvida Windows ska skapa en egen ordlista för just dig.

Tal handlar om huruvida du vill använda Microsofts mer avancerade taligenkänning online, vilket så klart skickar det du säger till Microsofts servrar. Om du stänger av det får du nöja dig med den mindre avancerade taligenkänningen direkt på datorn.

Diagnosdata

Diagnostik & feedback – här finns inställningar för hur ditt användande av datorn får användas i analyssyfte. Sådan data är anonymiserad och är tänkt att hjälpa Microsoft förbättra Windows och andra produkter. Systemet skickar alltid ”nödvändiga data” men du kan välja att skicka ytterligare data, vilket är ett krav om du vill ansluta datorn till Windows Insider-programmet. En viktig funktion här är Radera diagnostikdata. Om du har haft diagnostikdatadelning påslaget och nu har stängt av det kan det vara en god idé att radera alla redan insamlade data.

Aktivitetshistorik är en funktion för Microsoft-kontot som gör att du kan fortsätta vad du har gjort på en enhet när du sitter vid en annan som är inloggad på samma konto. Stäng av om du bara har en dator eftersom det då är helt onödigt.

Sök behörigheter [så!] – här finns två viktiga inställningar, dels huruvida du vill ha porrskydd i Windows sökfunktion och dels om du vill spara sökhistorik för att kunna hitta sånt du tidigare har letat efter snabbare.

Söka i Windows har istället andra inställningar för sökfunktionen som vi egentligen inte tycker hör hemma i integritetsinställningarna, till exempel vilka mappar som inte ska sökas igenom. Om du undrar varför det inte ligger under System i Inställningar har vi inget svar, men det är i alla fall här du kan ställa in Windows-sök att leta efter filer även utanför din hemmapp.

Positionering

Appbehörigheter

Här finns en lång rad underavdelningar för allt i datorn som rör privata saker. De viktigaste hittar du praktiskt nog längst upp: Positionering, som handlar om huruvida Windows och program ska kunna få reda på var du befinner dig, Kamera och Mikrofon som är rätt självklara, och funktioner som röstaktivering, meddelanden (aviseringar) och kontoinformation.

Under Kamera och Mikrofon kan du enkelt stänga av eller slå på åtkomst för enskilda program. Vi rekommenderar att du är sparsam med att ge behörighet och stänger av båda för de program du inte längre använder. Ju färre program som har tillgång desto bättre.

Positionering är inte alls lika användbart på en dator som på en mobil. För många användare är den enda nyttan med att låta Windows läsa av din plats att onlinebutiker enklare kan visa din närmsta fysiska butik, och att webbsökningar efter butiker, restauranger och liknande direkt kan visa resultat från ditt närområde. Om det inte är något du lockas av rekommenderar vi att du stänger av positionering helt och hållet.

Andra inställningar du kan vilja ändra

Utöver inställningarna i Sekretess och Säkerhet finns ytterligare ett gäng saker som rör vad Microsoft vet om dig, som du kanske också vill ändra.

Berätta inte om dina vanor

Microsoft vill veta hur du använder Windows. Funktionen kallas för Enhetsanvändning och Microsoft använder den för att anpassa systemet – och ge dig reklam. Du kan dock koppla bort den.

HUR? Öppna Inställningar, Anpassning och gå till Enhetsanvändning. Sätt allting i Av-läge om du inte vill uppge detta.

Integritet

Foundry

Justera ditt Microsoft-konto…

Vill du ha full koll på ditt Microsoft-konto kan du besöka din Sekretesspanel via webbläsaren.

HUR? Surfa till account.microsoft.com/privacy och logga in med ditt Microsoft-konto. Överst kan du välja Kom igång för att starta en guide som styr dina inställningar. Du kan även välja Hantera ditt aktivitetsdata för att göra ändringarna manuellt.

… och styr andra program

Du kan även göra motsvarande inställningar i andra Microsoft-produkter, exempelvis Xbox eller Microsoft Teams.

HUR? Öppna Sekretesspanelen (som ovan) och välj Sekretessinställningar i våra produkter.

Dela inte urklippen

Numera har Windows en kraftfull urklippshanterare som sparar många urklipp och som låter dig synkronisera dem mellan dina enheter i en gemensam urklippslista. Känns dessa som ett integritetsproblem går det att ta bort.

HUR? Öppna Inställningar, System och välj Urklipp. Slå av funktionen Urklippshistorik eller välj att inte synkronisera urklippen mellan enheterna. Du kan också välja Rensa för att ta bort historiken i molnet.

Integritet

Foundry

Bli anonym med vpn

För att bli mer anonym när du surfar kan du använda en vpn-tjänst (virtual private network). Den gör det svårare att spåra dig och den låter dig ”byta land” på din uppkoppling, vilket kan öppna upp låsta streamingtjänster.

HUR? Vpn är en betaltjänst som du prenumererar på. När du har tecknat ett abonnemang kan du installera ett speciellt Windowsprogram (eller app till mobilen). I dessa slår du på eller av tjänsten och väljer i vilket land du ska surfa. Läs mer i vårt stora test på pcforalla.se.

Ingen reklam

Om du vill kan du få förslag och tips från Microsoft. Tycker du däremot att de mest känns som reklam kan du stänga av dem.

HUR? Öppna Inställningar, System och gå till Ytterligare inställningar längst ned. Här finns det ett par inställningar som du kan stänga av.

Dölj vad du har gjort

Windows kan visa vilka dokument och annat du nyligen har öppnat. Det här går dock att dölja, vilket kan vara bra om fler än du använder datorn.

HUR? Öppna Inställningar och välja Anpassning, Start. Här kan du stänga av funktionen Nyligen använda objekt… Som du ser finns det även andra meddelanden du kan koppla bort.

Sluta dela mellan enheter

En ny funktion i Windows handlar om programinställningar och annan data kan synkas mellan olika datorer där du är inloggad på samma Microsoft-konto. Har du till exempel en stationär och en bärbar dator kan det vara väldigt praktiskt, men om du bara har en dator kan det verka onödigt att skicka data till molnet.

HUR? Öppna Inställningar och välja Appar, Avancerade inställningar för appar. Tryck på Dela mellan enheter och slå av funktionen eller välj hur den ska användas.