23 nejlepších nastavení zabezpečení, která je třeba změnit ve Windows 11 (2026)

• Systém Windows 11 je ve výchozím nastavení zabezpečený, ale v roce 2026 můžete ochranu dále vylepšit povolením klíčových funkcí, jako je ochrana před ransomwarem a phishingem, Smart App Control, Core Isolation a šifrování BitLocker. Pravidelné aktualizace, antivirové kontroly a přechod na standardní účet dále snižují rizika. Pro větší soukromí povolte DNS přes HTTPS, Windows Sandbox a náhodné MAC adresy.

AKTUALIZOVÁNO 2. 1. 2026: Přestože je Windows 11 nejbezpečnější verzí operačního systému, stále můžete přidat vlastní konfigurace a dodržovat osvědčené postupy pro zlepšení zabezpečení svého zařízení.

V rámci osvědčených bezpečnostních postupů můžete kontrolovat aktualizace systému a prohledávat počítač na přítomnost virů. Můžete také nakonfigurovat bezpečnostní funkce, jako je ochrana před ransomwarem a phishingem, firewall, biometrické ověřování, šifrování a další nejpoužívanější funkce, jako je Smart App Control a Core Isolation.

Pokud potřebujete nainstalovat aplikaci z nedůvěryhodného zdroje, můžete použít Windows Sandbox k vytvoření odlehčeného virtuálního počítače pro testování aplikace, aniž byste riskovali hlavní instalaci.

V této příručce nastíním sbírku nejlepších nastavení zabezpečení pro Windows 11 v roce 2026. 

Nejlepší nastavení zabezpečení systému Windows 11, která se mají změnit v roce 2026

Toto jsou nejlepší nastavení zabezpečení, která můžete ve Windows 11 povolit, nakonfigurovat nebo zakázat. (Nemusíte konfigurovat každé z nich. Měli byste používat pouze ta, která považujete za nejlepší pro vaši situaci.)

1. Nainstalujte aktualizace systému

V systému Windows 11 je instalace nejnovějších aktualizací jedním z nejlepších způsobů, jak chránit zařízení a soubory, protože aktualizace mohou opravit chyby, zvýšit zabezpečení a zlepšit výkon systému.

Chcete-li aktualizace systému Windows 11 nainstalovat ručně, použijte tyto kroky:

1. Otevřete Nastavení ve Windows 11.

    

    

2. Klikněte na Aktualizace systému Windows .

3. Klikněte na tlačítko Zkontrolovat aktualizace .

   

4. (Volitelné) Zapněte přepínač „Získejte nejnovější aktualizace, jakmile budou k dispozici“ .

5. Kliknutím na tlačítko „Stáhnout a nainstalovat“ zobrazíte náhled nadcházející aktualizace (pokud je k dispozici).

   Rychlá poznámka: Volitelné aktualizace obvykle zahrnují změny, které se netýkají zabezpečení a které společnost Microsoft plánuje vydat v rámci příštího vydání Patch Tuesday.

6. Klikněte na tlačítko Restartovat nyní .

Jakmile dokončíte kroky, pokud je k dispozici aktualizace, automaticky se stáhne a nainstaluje v systému Windows 11.

Kromě použití nastavení služby Windows Update můžete systém aktualizovat různými metodami , například pomocí příkazového řádku, PowerShellu a webu katalogu Microsoft Update.

1. Prohledejte počítač na přítomnost virů

Systém Windows 11 obsahuje antivirový program Microsoft Defender, který detekuje a odstraňuje prakticky veškerý malware, včetně virů, ransomwaru, spywaru a rootkitů. Pokud máte podezření, že byl váš počítač napaden, spusťte úplnou nebo offline kontrolu (zejména v případě závažných infekcí), abyste se ujistili, že vaše zařízení neobsahuje malware. I při použití antivirového softwaru třetích stran je pravidelná kontrola dobrým bezpečnostním postupem.

Úplná antivirová kontrola 

Chcete-li provést úplnou antivirovou kontrolu v systému Windows 11 , použijte tyto kroky:

1. Otevřete Start .

2. Vyhledejte Zabezpečení systému Windows a kliknutím na první výsledek otevřete aplikaci.

3. Klikněte na Ochrana před viry a hrozbami .

4. Klikněte na Možnosti skenování v části „Aktuální hrozby“.

   

5. Vyberte možnost Úplná kontrola , chcete-li zkontrolovat celý systém na přítomnost virů a jiného typu malwaru.

   

6. Klikněte na tlačítko Skenovat nyní .

Po dokončení kroků prohledá antivirový program Microsoft Defender počítač a zjistí přítomnost malwaru. Pokud je cokoli zjištěno, antivirový program hrozby automaticky odstraní (nebo přesune do karantény).

Antivirus můžete také použít s příkazovým řádkem a PowerShellem .

Offline antivirová kontrola

Chcete-li spustit offline antivirovou kontrolu ve Windows 11 , postupujte takto:

1. Otevřete Zabezpečení systému Windows .

2. Klikněte na Ochrana před viry a hrozbami .

3. V části „Aktuální hrozby“ klikněte na Možnosti skenování .

   

4. Zaškrtněte možnost „Offline kontrola v programu Microsoft Defender“ .

   

5. Klikněte na tlačítko Skenovat nyní .

6. Klikněte na tlačítko Skenovat .

Po dokončení kroků se počítač automaticky restartuje v prostředí pro obnovení a program Microsoft Defender spustí úplnou antivirovou kontrolu. Pokud antivirový program systému Windows 11 zjistí jakýkoli virus, rootkit nebo jiný typ malwaru, automaticky jej odstraní.

Povolit pravidelné skenování

Pokud máte jiné antivirové řešení, dalším osvědčeným bezpečnostním postupem je povolit v systému Windows 11 „pravidelné skenování“ , což je funkce, která pravidelně skenuje a odstraňuje hrozby, které jiný antivirový software mohl přehlédnout.

Chcete-li v antivirovém programu Microsoft Defender pro Windows 11 povolit „pravidelné skenování“, postupujte takto:

1. Otevřete Zabezpečení systému Windows .

2. Klikněte na Ochrana před viry a hrozbami .

3. Klikněte na nastavení „Možnosti antivirové ochrany Microsoft Defender“ .

4. Zapněte přepínač Periodické skenování .

   

Po dokončení kroků antivirový program Windows 11 použije funkci „Automatická údržba“ ke spuštění skenování v optimálních časech, aby se minimalizoval dopad na výkon a výdrž baterie.

3. Povolte ochranu před ransomwarem

„Řízený přístup ke složkám“ ve Windows 11 je další nejlepší vestavěná bezpečnostní funkce navržená k ochraně počítače před útoky ransomwaru. Sleduje změny souborů aplikací. Pokud se aplikace na černé listině pokusí upravit soubory v chráněné složce, systém vás o podezřelé aktivitě upozorní.

Chcete-li v systému Windows 11 povolit ochranu proti ransomwaru s kontrolovaným přístupem ke složkám, postupujte takto:

1. Otevřete Zabezpečení systému Windows .

2. Klikněte na Ochrana před viry a hrozbami .

3. V části „ Ochrana před ransomwarem“ klikněte na nastavení „Spravovat ochranu před ransomwarem“ .

   

4. Zapněte přepínač „Řízený přístup ke složkám“ .

   

Jakmile dokončíte tyto kroky, bude antivirový program Microsoft Defender monitorovat chráněné složky, protože se aplikace pokoušejí upravovat vaše soubory. Pokud dojde k podezřelé aktivitě, dostanete oznámení o hrozbě.

Kromě povolení funkce je to jen polovina rovnice. Tyto pokyny můžete vždy použít k tomu, abyste zabránili funkci v blokování důvěryhodných aplikací a chránili umístění složek mimo výchozí nastavení.

4. Povolte ochranu proti phishingu

Windows 11 nabízí vylepšenou ochranu proti phishingu prostřednictvím filtru Microsoft Defender SmartScreen, který chrání vaše hesla před škodlivými weby a aplikacemi. Tato funkce funguje třemi klíčovými způsoby:

• Varování před nedůvěryhodnými weby nebo aplikacemi: Upozorní vás, když zadáte heslo k účtu na nedůvěryhodných webech nebo v aplikacích.
• Upozornění na hesla v prostém textu: Upozorní vás, pokud se pokusíte uložit hesla v prostém textu v jakékoli aplikaci.
• Oznámení o opakovaném použití hesla: Varuje před opakovaným použitím hesla napříč různými účty, což může hackerům usnadnit ohrožení vašich informací.

Tato ochrana se vztahuje na účty Microsoft, místní účty, služby Active Directory a Azure Active Directory. Funguje však pouze při použití hesla. Pro aktivaci ochrany proti phishingu je proto nutné zakázat funkci Windows Hello.

Tuto funkci bych doporučil pouze v případě potřeby nebo pokud Windows Hello ještě nepoužíváte. V opačném případě bude pravděpodobně lepší používat přístupové klíče (viz pokyny níže).

Chcete-li povolit ochranu proti phishingu ve Windows 11, postupujte takto: 

1. Otevřete Nastavení .

2. Klikněte na Účty .

3. Klikněte na kartu Možnosti přihlášení .

4. V části „Další nastavení“ vypněte přepínač „ Pro lepší zabezpečení povolovat přihlášení k Windows Hello pouze pro účty Microsoft na tomto zařízení“ .

   

5. V části „Způsoby přihlášení“ vyberte aktivní možnost Windows Hello (rozpoznávání obličeje, rozpoznávání otisků prstů nebo PIN).

6. Klikněte na tlačítko Odebrat .

7. Znovu klikněte na tlačítko Odebrat .

8. Potvrďte heslo k účtu Microsoft.

9. Klikněte na tlačítko OK .

10. Otevřete Zabezpečení systému Windows .

11. Klikněte na Ovládání aplikací a prohlížeče.

12. Klikněte na možnost „Nastavení ochrany založené na reputaci“ .

    

13. Zapněte přepínač „Ochrana proti phishingu“ , abyste aktivovali bezpečnostní funkci.

    

14. Zaškrtněte možnost „Upozorňovat na škodlivé aplikace a weby“, chcete-li zobrazit varování při návštěvě nedůvěryhodného webu nebo programu.

15. Zaškrtněte možnost „Upozornit na opakované použití hesla“ , abyste se vyhnuli používání stejného hesla při vytváření nového účtu nebo aktualizaci informací na webových stránkách nebo v programu.

16. Zaškrtněte možnost „Upozorňovat na nebezpečné ukládání hesel“ , abyste byli varováni před ukládáním hesla v textovém editoru jako prostý text.

Jakmile dokončíte kroky, funkce „Vylepšená ochrana proti phishingu“ vás upozorní při zadávání hesla v nedůvěryhodné aplikaci nebo na nedůvěryhodném webu s možností změnit heslo, abyste snížili pravděpodobnost, že někdo získá neoprávněný přístup k vašemu účtu.

Protože textové editory ani aplikace Office nebyly navrženy tak, aby chránily vaše přihlašovací údaje, zobrazí se vám také varování, když se v těchto aplikacích pokusíte o opětovné použití hesla nebo jeho uložení.

5. Vytvořte přístupové klíče pro webové stránky a aplikace

Přístupové klíče nabízejí bezpečnou a pohodlnou alternativu k tradičním heslům pro přihlašování na webové stránky a do aplikací, které tuto metodu ověřování podporují. Místo spoléhání se na hesla využívají přístupové klíče kryptografii s veřejným klíčem, čímž vytvářejí jedinečný kryptografický pár klíčů přidružený k vašemu účtu. Tento pár klíčů je bezpečně uložen ve vašem zařízení s Windows 11. Při dalším přístupu ke službě budete k ověření používat Windows Hello (s využitím biometrických údajů, jako je rozpoznávání obličeje, otisk prstu nebo PIN), čímž eliminujete potřebu hesla.

Tento přístup zlepšuje zabezpečení odstraněním hesel z procesu přihlašování, což hackerům výrazně ztěžuje kompromitaci vašich účtů. Přístupové klíče jsou součástí širšího bezpečnostního standardu, který přijaly velké společnosti, včetně Microsoftu, Googlu, Apple, Amazonu a PayPalu, s cílem poskytnout jednotný a bezpečný proces ověřování napříč platformami.

Chcete-li vytvořit přístupový klíč , přejděte do nastavení zabezpečení účtu podporované služby nebo aplikace a postupujte podle pokynů k nastavení ověřování pomocí přístupového klíče. Po konfiguraci se vaše přístupové klíče mohou synchronizovat mezi zařízeními používajícími váš účet Microsoft, což umožňuje bezproblémový přístup na jakémkoli zařízení se systémem Windows 11. Některé online služby mohou dokonce nabízet nastavení přístupového klíče během procesu přihlašování.

Následující příklad vytvoří přístupový klíč pro váš účet Google:

1. Otevřete Microsoft Edge (nebo Google Chrome ).

2. Otevřete si svůj účet Google .

3. Přihlaste se a otevřete nastavení účtu webové služby.

4. Zapněte možnost „Přihlášení pomocí hesla“ .

5. Klikněte na možnost „Vytvořit přístupový klíč“ .

   

6. Klikněte na tlačítko Pokračovat .

   

7. Potvrďte přihlašovací údaje k účtu ve Windows Hello.

   

8. Klikněte na tlačítko OK .

9. Klikněte na tlačítko Hotovo .

Jakmile dokončíte kroky, přístupový klíč bude stažen jako token do vašeho počítače. Až budete chtít příště přistupovat ke službě (nebo aplikaci), můžete k dokončení procesu přihlášení použít ověřování Windows Hello namísto použití hesla služby.

Token je platný pouze pro jedno zařízení, což znamená, že si musíte vytvořit přístupový klíč na každém zařízení, na kterém chcete službu používat. Přístupové klíče si můžete zobrazit a smazat v části Nastavení > Účet > Přístupové klíče .

6. Zkontrolujte nastavení firewallu

Brána firewall v programu Microsoft Defender dokáže monitorovat příchozí a odchozí síťový provoz a povolit nebo blokovat připojení na základě předdefinovaných pravidel, aby chránila váš počítač a informace před neoprávněným přístupem. Tato funkce by měla být ve výchozím nastavení povolena, ale pokud není, je vždy dobré ji zkontrolovat a povolit.

Chcete-li povolit bránu firewall prostřednictvím služby Zabezpečení systému Windows, postupujte takto: 

1. Otevřete Zabezpečení systému Windows .

2. Klikněte na Brána firewall a ochrana sítě .

3. Klikněte na možnost aktivní sítě.

   

4. Zapněte přepínač „Firewall Microsoft Defenderu“, chcete-li firewall vypnout.

   

Po dokončení kroků se firewall pro aktivní síťový profil zapne.

7. Povolte DNS přes HTTPS (DoH)

Pokud chcete při surfování na internetu další vrstvu zabezpečení a soukromí, musíte povolit DNS přes HTTPS (DoH).

DNS přes HTTPS je síťový protokol určený k šifrování dotazů DNS (Domain Name System) pomocí protokolu HTTPS (Hypertext Transfer Protocol Secure), čímž se zvyšuje soukromí a minimalizují útoky hackerů, kteří mohou prohlížet a manipulovat s provozem DNS.

Některé aplikace jako Google Chrome a Mozilla Firefox tuto funkci již podporují, ale můžete ji nakonfigurovat i ve Windows 11. Zde je návod:

1. Otevřete Nastavení.

2. Klikněte na Síť a internet .

3. Klikněte na kartu Ethernet nebo Wi-Fi (v závislosti na aktivním připojení).

   Rychlá poznámka: Pokud máte připojení k Wi-Fi, klikněte na vlastnosti připojení pro přístup k nastavení.

4. V nastavení „Přiřazení DNS serveru“ klikněte na tlačítko Upravit .

   

5. V rozbalovací nabídce vyberte možnost Ručně .

6. Zapněte přepínač IPv4 .

7. V sekcích „Preferovaný DNS“ a „Alternativní DNS“ zadejte primární a sekundární IP adresu DoH z jedné z podporovaných služeb. Můžete například použít Cloudflare (1.1.1.1 a 1.0.0.1) nebo Google (8.8.8.8 a 8.8.4.4).

   

8. Použijte rozbalovací nabídku „DNS přes HTTPS“ a vyberte možnost Zapnuto (automatická šablona)  , protože tato možnost odesílá veškerý provoz DNS se šifrováním, ale můžete si také zvolit jiné předvolby šifrování.

9. Vypněte přepínač „Záložní text“ .

   Rychlý tip: Pokud tuto funkci povolíte, systém bude šifrovat provoz DNS, ale umožní odesílání dotazů bez šifrování.

10. Klikněte na tlačítko Uložit .

Jakmile dokončíte kroky, počítač zašifruje provoz DNS přes protokol HTTPS, aby byl zajištěn bezpečnější a soukromější zážitek.

Více podrobností a informací o tom, jak ověřit, zda nastavení DoH fungují, naleznete v těchto pokynech.

8. Povolte Windows Hello Face nebo otisk prstu

V rámci nejlepších nastavení zabezpečení pro Windows 11 můžete také používat Windows Hello, které umožňuje zvýšit zabezpečení počítače přidáním biometrických prvků (jako je obličej nebo otisk prstu) pro přihlášení do profilu. Pokud nemáte zařízení s integrovaným biometrickým hardwarem, musíte si pro jeho nastavení zakoupit kompatibilní kameru pro rozpoznávání obličeje nebo čtečku otisků prstů.

Povolit ověřování rozpoznáváním obličeje

Chcete-li nakonfigurovat rozpoznávání obličeje ve Windows Hello pro odemknutí počítače v systému Windows 11, postupujte takto:

1. Otevřete Nastavení .

2. Klikněte na Účty .

3. Klikněte na stránku Možnosti přihlášení na pravé straně.

4. V části „Způsoby přihlášení“ vyberte nastavení „Rozpoznávání obličeje (Windows Hello)“ .

5. Klikněte na tlačítko Nastavit .

   

6. Klikněte na tlačítko Začít .

   

7. Potvrďte své aktuální heslo (nebo PIN).

8. Dívejte se přímo do kamery ve Windows 11 a vytvořte si profil rozpoznávání obličeje.

   

9. Klikněte na tlačítko Zavřít .

Jakmile dokončíte kroky, můžete zamknout počítač ( klávesa Windows + L ) a podívat se do kamery pro přihlášení.

Povolit ověřování otiskem prstu

Chcete-li nastavit Windows Hello se čtečkou otisků prstů, postupujte takto: 

1. Otevřete Nastavení .

2. Klikněte na Účty .

3. Klikněte na Možnosti přihlášení .

4. V části „Způsoby přihlášení“ vyberte nastavení „Rozpoznávání otisků prstů“ .

5. Kliknutím na tlačítko Nastavit povolte možnost otisku prstu Windows Hello.

   

6. Klikněte na tlačítko Začít .

   

7. Potvrďte heslo k účtu.

8. Dotkněte se snímače otisků prstů podle pokynů v průvodci.

   

9. Pokračujte podle pokynů na obrazovce a sejměte otisk prstu z různých úhlů.

Po dokončení kroků můžete zařízení uzamknout a přihlásit se prstem pomocí čtečky otisků prstů.

9. Povolte dynamický zámek

Dynamický zámek je bezpečnostní funkce zabudovaná do systému Windows 11, která uzamkne počítač, když se od něj vzdálíte, na základě blízkosti zařízení spárovaného přes Bluetooth (například telefonu nebo nositelného zařízení), a přidává tak další vrstvu zabezpečení.

Chcete-li povolit dynamický zámek ve Windows 11, postupujte takto:

1. Zapněte periferní zařízení.

2. Zapněte na zařízení možnost párování přes Bluetooth, aby bylo viditelné.

3. Otevřete Nastavení ve Windows 11.

4. Klikněte na Bluetooth a zařízení .

5. Zapněte přepínač Bluetooth , abyste povolili bezdrátové rádio (pokud je k dispozici).

6. Klikněte na tlačítko Přidat zařízení .

   

7. Vyberte možnost Bluetooth .

   

8. Vyberte zařízení Bluetooth ze seznamu.

   

9. Pokračujte podle pokynů na obrazovce (pokud jsou k dispozici).

10. Klikněte na Účty .

11. Klikněte na kartu Možnosti přihlášení .

12. Vyberte nastavení Dynamický zámek .

13. Zaškrtněte možnost „Povolit systému Windows automaticky uzamknout zařízení, když nejste doma“ .

    

Jakmile dokončíte kroky, když zařízení Bluetooth není v blízkosti počítače, systém Windows 11 po 30 sekundách nečinnosti vypne obrazovku a uzamkne váš účet.

10. Blokujte nežádoucí aplikace

Zabezpečení systému Windows má funkci, která chrání vaši instalaci před škodlivými aplikacemi. Tato funkce je známá jako „ochrana založená na reputaci“ a dokáže detekovat a blokovat aplikace s nízkou reputací, které mohou ve Windows 11 způsobovat neočekávané chování, například špatně navržené nebo škodlivé aplikace.

Chcete-li povolit ochranu založenou na reputaci a chránit tak systém Windows 11 před nežádoucími aplikacemi, postupujte takto:

1. Otevřete Zabezpečení systému Windows .

2. Klikněte na Ovládání aplikací a procházení .

3. V části „Ochrana založená na reputaci“  klikněte na možnost „Nastavení ochrany založené na reputaci“.

   

4. Zapněte přepínač „Blokování potenciálně nežádoucích aplikací“ .

   

5. Zaškrtněte možnost Blokovat aplikace .

6. Zaškrtněte možnost Blokovat stahování .

Po dokončení těchto kroků dokáže systém Windows 11 detekovat a blokovat aplikace s nízkou reputací, které mohou způsobovat problémy.

11. Povolte šifrování

BitLocker je další funkcí na seznamu, kterou lze považovat za jednu z nejlepších z hlediska zabezpečení, protože umožňuje používat šifrování na disku k ochraně dat před neoprávněným přístupem k dokumentům, obrázkům a dalším datům uloženým v počítači.

Tato funkce je k dispozici pouze v edicích Pro, Enterprise a Education systému Windows 11. V systému Windows 11 Home však můžete na některých zařízeních používat „šifrování zařízení“.

It’s important to note that starting with the release of Windows 11 24H2 and subsequent releases, the system will automatically enable device encryption on new installations.

Enable device encryption on Windows 11 Pro

To configure BitLocker on a Windows 11 drive, use these steps:

1. Open Settings.

2. Click on Storage.

3. Click on Advanced storage settings under the “Storage management” section.

4. Click on Disks & volumes.

   

5. Select the drive with the volume to encrypt.

6. Choose the volume to enable BitLocker encryption and click the Properties button.

   

7. Click the “Turn on BitLocker” option.

   

8. Click the “Turn on BitLocker” option under the “Operating system drive” section.

   

9. Select the “Save to your Microsoft account” option (recommended).

   

10. Click the Next button.

11. Select the “Encrypt used disk space only” option.

    

12. Click the Next button.

13. Select the “New encryption mode” option.

    

14. Click the Next button.

15. Check the “Run BitLocker system check” option.

    

16. Click the Restart now button.

After you complete the steps, the computer will restart to apply the encryption settings and enable BitLocker.

You can also enable encryption for secondary and external drives. And using BitLocker To Go, you can protect your data on USB flash drives.

Enable device encryption on Windows 11 Home

To configure BitLocker encryption on Windows 11 Home, use these steps:

1. Open Settings.

2. Click on Privacy & Security.

3. Click the Device encryption page under the “Security” section.

   

4. Turn on Device encryption to enable BitLocker on Windows 11 Home.

   

Once you complete the steps, the feature will encrypt the entire system drive.

If you no longer need encryption, it’s possible to decrypt the drive using the same instructions.

12. Enable Smart App Control

On Windows 11, Smart App Control (SAC) is a security feature that locks the system down, allowing it to run only trusted apps or apps with valid certificates to prevent unwanted behaviors from untrusted applications.

To enable Smart App Control on Windows 11, use these steps:

1. Open Windows Security.

2. Click on App & browse control.

3. Click on Smart App Control settings.

   

4. Select the Evaluation option. 

   

After you complete the steps, the feature will run quietly in the background but not block anything. However, in this stage, the system will learn from your applications to determine whether the feature can run without affecting the experience. 

If Smart App Control can run as expected, the system will turn it on automatically. If the feature gets in the way, the system will automatically turn it off.

Once the evaluation is complete, the feature will enable automatically, but you won’t be able to turn it off. Additionally, if the system blocks an app, you won’t be able to unblock it unless you disable the feature, which will require a complete reinstallation of the operating system.

13. Enable Core Isolation

Core Isolation is a collection of security features that protect your computer from malicious code and hackers. One of the features available is memory integrity, which blocks different types of malware from compromising high-security processes in memory. 

The feature should be enabled by default on Windows 11, but if it’s not, you can use these steps:

1. Open Start.

2. Search for Windows Security and click the top result to open the app.

3. Click on Device Security.

4. Click the “Core isolation details” option under the “Core isolation” section.

   

5. Turn on the “Memory integrity” toggle switch to enable the Core isolation.

   

6. Restart the computer.

Once you complete the steps, the security feature will be enabled on Windows 11.

14. Windows Sandbox

The Windows Sandbox feature provides a full desktop virtualization experience for installing and testing untrusted applications, isolated from the main installation.

To enable Windows Sandbox on Windows 11, use these steps:

1. Open Settings.

2. Click on System.

3. Click the Optional features page.

   

4. Click the “More Windows features” setting under the “Related settings” section.

   

5. Check the Windows Sandbox option.

   

6. Click the OK button.

7. Click the Restart now button.

Once you complete the steps, you can run Windows Sandbox from the Start menu.

Windows 11 Sandbox with clipboard redirection / Image: Microsoft

If you need to install an application, you can download the installer from the internet using the browser available on the virtual machine or from the main installation. Then, copy and paste the file onto the Windows Sandbox desktop and install it in the isolated environment.

15. Full backup

On Windows 11, a full backup is one of the best security practices to create a copy of the entire system. This allows you to recover in case of critical system problems, malware attacks like ransomware, hardware failure, or upgrading the primary drive. In addition, a backup can help you roll back to a previous installation after upgrading to a new feature update or hard drive.

You can always choose a third-party solution, but you can still use the (deprecated) legacy “System Image Backup” tool to save a full backup to a USB hard drive. 

To create a full backup on Windows 11, use these steps:

1. Open Start.

2. Search for Control Panel and click the top result to open the app.

3. Click on System and Security.

4. Click on File History.

5. Click the “System Image Backup” option from the left pane.

   

6. Click the “Create a system image” option from the left pane.

   

7. Select the external drive to save the Windows 11 backup.

   

8. Click the Next button.

9. Click the Start backup button.

   

10. Click the No button.

11. Click the Close button.

Once you complete the steps, Windows 11 will create a full computer backup.

You will also receive the option to create a repair disk, but you can ignore it since you can use the Windows 11 bootable media to access the recovery settings to restore the backup.

In addition to periodically backing up your device, it’s recommended that you store your files in the cloud using third-party services like OneDrive. This approach will protect the files from hardware failure, ransomware, or theft.

Alternatively, copying your files to an external drive with a simple copy and paste (as long as you don’t have a lot of data) is another way to protect your documents, pictures, videos, and other files.

16. Switch from Administrator to Standard User account

Windows 11 offers two account types, including Administrator and Standard User, each with different permission levels. The Administrator type has full system access, enabling them to change settings, run elevated tasks, and perform any action. The Standard User type operates in a more restricted environment, able to use existing applications but unable to install new ones or modify system-wide settings.

Since using an account without restrictions can be a security risk, switching to a standard account is one of the best practices to improve security. You can create a new “Administrator” account only for management and change your account type to “Standard User.”

Create local administrator account

To create an administrator local account through the Settings app, use these steps:

1. Open Start.

2. Search for Settings and click the top result to open the app.

3. Click on Accounts.

4. Click the Other users page.

5. Click the Add account button under the “Other users” section.

   

6. Click the “I don’t have this person’s sign-in information” option.

   

7. Click the “Add a user without a Microsoft account” option.

   

8. Create an administrator account by confirming a name and password.

   

9. Create security questions and answers to recover your account if you lose your password.

10. Click the Next button.

11. Select the newly created account and click the “Change account type” button.

    

12. Select the Administrator option from the “Account type” setting.

    

13. Click the OK button.

Once you complete the steps, the new account will appear on your Windows 11 device.

Switch to standard account

To change an “Administrator” account to a “Standard Users” account on Windows 11, use these steps:

1. Sign out of your current account.

2. Sign in to the newly created administrator account.

3. Open Settings.

4. Click on Accounts.

5. Click the Other users page.

6. Select the primary account.

7. Click the “Change account type” button.

   

8. Select the Standard User option from the “Account type” setting.

   

9. Click the OK button.

After completing the steps, the original account will switch from “Administrator” to “Standard User” account type. You will be prompted to confirm the administrator credentials to make system changes or install new apps. You can still sign in to the administrator account to perform system changes.

17. Disable Remote Desktop 

Although the Remote Desktop feature allows you to access files and apps from another location or offer assistance without being present at the site, it also presents a security risk. It may help a malicious individual gain unauthorized access to the computer. As a best security practice, turn off the feature if you don’t use it.

To disable Remote Desktop on Windows 11, use these steps:

1. Open Settings.

2. Click on System.

3. Click on Remote Desktop.

4. Turn off the Remote Desktop toggle switch.

   

5. Click the Confirm button.

Once you complete the steps, malicious individuals should no longer be able to exploit the RDP protocol to gain unauthorized access to your computer.

18. Sync time and date

On Windows 11, it’s also important to keep the system time and date correct. Otherwise, it could cause security problems, such as trying to sign in to a service or application on the network or the internet.

To update the time and date on Windows 11, use these steps:

1. Open Settings.

2. Click on Time & language.

3. Click the Date & time page.

4. Turn on the “Set time automatically” toggle switch.

5. Click the Sync now button under the “Additional settings” section.

   

After completing the steps, Windows 11 will update and display the correct time on your computer.

19. Create system restore point

System Restore allows you to create a copy of the system state as a “restore point” to protect the hard drive’s data if something goes wrong after an update, when installing an application, or when making system changes. The feature automatically creates a restore point when it detects system changes (such as installing a new update or driver), but you can always make a restore point manually.

To create a restore point on Windows 11, use these steps:

1. Open Start on Windows 11.

2. Search for Create a restore point and click the top result to open the app.

3. Select the system drive (C) and click the Configure button under the “Protection Settings” section.

   

4. Select the “Turn on system protection” option.

   

5. Click the Apply button.

6. Click the OK button.

7. Click the Create button to create a restore point on Windows 11.

   

8. Confirm a name for the restore point.

9. Click the Create button.

10. Click the Close button.

Once you complete the steps, the system will create a restore point that includes system files, installed applications, system settings, and a backup of the Registry. 

You can also follow these instructions to restore the device using a restore point. If the restoration doesn’t work, you may need to reset the system.

20. Disable Windows Recall

Windows Recall is a new AI feature designed to give your computer a “photographic memory” by taking snapshots of your screen every few seconds and then using AI to make that data searchable.

Although this feature can make it convenient to retrace your steps and find virtually anything you have seen or done in the past, it also raises significant privacy concerns, as it essentially records everything you do on your computer.

Storing all this data could make your computer a more attractive target for hackers, and taking and analyzing snapshots could impact system performance. 

If you have a Copilot+ PC, you can reset and disable Recall on Windows 11 by following a few simple steps.

To completely disable Recall on Windows 11, use these steps:

1. Open Settings.

2. Click on Privacy & security.

3. Click the Recall & snapshots page.

4. Click on Advanced settings.

   

5. Click the Reset Recall button.

   

6. Klikněte na tlačítko Obnovit .

Po dokončení těchto kroků systém Windows 11 odstraní všechny shromážděné snímky, filtry pro aplikace a webové stránky, obnoví všechna nastavení pro funkci Obnovit na původní výchozí hodnoty a funkci deaktivuje.

Funkci Odvolání můžete také z operačního systému odinstalovat, pokud máte stále obavy o bezpečnost a soukromí svého zařízení a dat.

21. Povolit náhodnou MAC adresu

Notebooky a další počítače vybavené Wi-Fi adaptéry neustále vyhledávají sítě a vysílají své MAC adresy, které lze použít ke sledování jejich polohy. Randomizace MAC adres (použití náhodných hardwarových adres) zvyšuje soukromí tím, že tuto adresu pravidelně mění, což ztěžuje její sledování.

Chcete-li povolit náhodné hardwarové adresy pro všechny bezdrátové sítě, postupujte takto:

1. Otevřete Nastavení .

2. Klikněte na Síť a internet .

3. Klikněte na stránku Wi-Fi .

4. Zapněte přepínač „Náhodné hardwarové adresy“ , abyste funkci povolili.

   

5. (Volitelné) Vypněte přepínač „Náhodné hardwarové adresy“, chcete-li funkci deaktivovat.

Jakmile dokončíte kroky, počítač použije náhodnou hardwarovou adresu k prohledání sítí a připojení k libovolnému přístupovému bodu.

Je také možné povolit náhodné hardwarové adresy v konkrétní síti .

22. Povolte blokování scareware v prohlížeči Microsoft Edge

V prohlížeči Microsoft Edge je Scareware Blocker bezpečnostní funkcí, která využívá umělou inteligenci k ochraně před online podvody, zejména před těmi, které jsou známé jako „scareware“.

Tato funkce byla natrénována k identifikaci varovných signálů podvodného softwaru, jako například:

• Vyskakovací okna na celou obrazovku, která se obtížně zavírají.
• Zprávy, které tvrdí, že je váš počítač infikovaný.
• Naléhavé výzvy k akci, tj. kontaktování falešné „technické podpory“.
• Design webových stránek napodobující oficiální systémová varování.

Na rozdíl od tradičních metod, které se spoléhají na známé hrozby, Scareware Blocker využívá umělou inteligenci k odhalování nových a vyvíjejících se podvodů v reálném čase.

Je důležité poznamenat, že Windows 11 a Microsoft Edge také implementují funkci Defender SmartScreen, podobnou technologii, která vás chrání před phishingem, online hrozbami a různými typy malwaru. Tato funkce se však k detekci hrozeb spoléhá na cloudovou databázi, jejíž aktualizace může nějakou dobu trvat. Blokování scarewaru analyzuje obrazovku pomocí umělé inteligence, aby určilo, zda je stránka legitimní, nebo představuje hrozbu, bez nutnosti databáze. 

Jinými slovy, Scareware Blocker je další vrstvou ochrany, která doplňuje funkci Defender SmartScreen.

Chcete-li v aplikaci Microsoft Edge povolit blokování scarewaru, postupujte takto:

1. Otevřete  Microsoft Edge .

2. Klikněte na  tlačítko „Nastavení a další“ v pravém horním rohu.

3. Klikněte na  možnost Nastavení  .

4. V levém panelu klikněte na  „Soukromí, vyhledávání a služby“  .

5. Klikněte na stránku Zabezpečení .

6. Zapněte  přepínač blokování Scareware  v části „Zabezpečení“.

   

7. Zapněte přepínač „Microsoft Defender SmartScreen“  (pokud je k dispozici).

Po dokončení kroků bude aktivována bezpečnostní funkce Scareware Blocker a pokud systém na obrazovce detekuje scareware, zobrazí se vám varování s možností blokování nebo pokračování, pokud se jedná o falešně pozitivní výsledek.

Blokátor scarewaru v Microsoft Edge v akci / Obrázek: Microsoft

23. Povolte snímání přítomnosti

V systému Windows 11 je Presence Sensing soubor funkcí, které mohou zlepšit zabezpečení zařízení a energetickou účinnost počítače. 

Tato funkce vyžaduje specializovaný hardware, jako jsou infračervené kamery nebo radarové senzory, k detekci, kdy se osoba nachází blízko nebo daleko od zařízení.

Tato funkce se obvykle nachází na prémiových počítačích a počítačích Copilot+. Pokud vaše zařízení nemá kompatibilní senzory přítomnosti, v aplikaci Nastavení nenajdete žádné možnosti.

Na podporovaném hardwaru dokáže počítač automaticky vypnout displej, když odcházíte, a znovu jej zapnout, když se vrátíte. Může také ztlumit obrazovku, když se podíváte jinam, a rozjasnit ji, když se podíváte zpět. Tato funkce zvyšuje zabezpečení, šetří baterii a zlepšuje pracovní postup.

Chcete-li nakonfigurovat nastavení detekce přítomnosti v systému Windows 11, postupujte takto:

1. Otevřete Nastavení .

2. Klikněte na Systém .

3. Klikněte na kartu Napájení a baterie .

4. Klikněte na nastavení „Časové limity obrazovky, režimu spánku a hibernace“ .

5. Zapněte  přepínač „Vypnout obrazovku, když odejdu“ , aby systém vypínal displej, když odcházíte.

   

6. Zapněte přepínač „Probudit zařízení, když se přiblížím“ , aby systém zapnul displej, jakmile detekuje vaši přítomnost.

7. Zapněte přepínač „Ztlumit obrazovku, když se odvrátím“ , aby operační systém mohl snížit intenzitu jasu, když se na obrazovku nedíváte.

8. Kliknutím na libovolné nastavení (z kroků 5, 6 nebo 7 ) otevřete stránku nastavení snímání přítomnosti .

9. Klikněte na  nastavení „Vypnout obrazovku, když odejdu“ .

   

10. V nastavení „Považovat mě za pryč, když jsem tak daleko“ vyberte počet stop, které má funkce použít k určení vzdálenosti, když jste opustili počítač.

11. V nastavení „Poté vypnout obrazovku po uplynutí této doby“ vyberte dobu, po které se má obrazovka po odchodu od počítače vypnout.

    Rychlá poznámka: Když se obrazovka vypne, systém také uzamkne zařízení, což znamená, že se budete muset znovu přihlásit, abyste mohli pokračovat v relaci.

12. Zaškrtněte možnost „Vypnout obrazovku při odchodu, pokud je připojen externí displej“ (pokud je k dispozici).

13. Klikněte na  nastavení „Probudit zařízení, když se přiblížím“ .

14. V nastavení „Probudit zařízení, když jsem takhle blízko“ vyberte počet stop, které má funkce použít k určení, jak blízko se k počítači musíte přiblížit, aby se probudil, když se k němu přiblížíte.

15. Zaškrtněte možnost „Probudit zařízení, když se přiblížím, když je připojen externí displej“ (pokud je k dispozici).

16. Klikněte na nastavení „Ztlumit obrazovku, když se odvrátím“ .

    

17. Zaškrtněte možnost „Ztlumit obrazovku, když se odvrátím, když je připojen externí displej“ (pokud je k dispozici).

Jakmile dokončíte kroky, systém bude v závislosti na vaší konfiguraci ovládat přístup k ploše, obrazovku a časovače spánku.

Nastavení soukromí pro funkci Snímání přítomnosti můžete také ovládat v nastavení „Soukromí a zabezpečení“.

Jaká nastavení zabezpečení měníte ve Windows 11? Dejte mi vědět v komentářích.

Aktualizace 2. ledna 2026: Tato příručka byla aktualizována, aby byla zajištěna její přesnost a odrážely se změny v procesu.