23 найкращих налаштування безпеки, які варто змінити у Windows 11 (2026)

• Windows 11 за замовчуванням безпечна, але ви можете ще більше посилити захист у 2026 році, увімкнувши ключові функції, такі як захист від програм-вимагачів та фішингу, Smart App Control, Core Isolation та шифрування BitLocker. Регулярні оновлення, сканування на віруси та перехід на стандартний обліковий запис ще більше знижують ризики. Для додаткової конфіденційності увімкніть DNS через HTTPS, Windows Sandbox та випадкові MAC-адреси.

ОНОВЛЕНО 02.01.2026: Хоча Windows 11 є найбезпечнішою версією операційної системи, ви все ще можете додати деякі власні конфігурації та дотримуватися рекомендацій для покращення безпеки вашого пристрою.

Як частину найкращих практик безпеки, ви можете перевіряти наявність оновлень системи та сканувати комп’ютер на наявність вірусів. Ви також можете налаштувати функції безпеки, такі як захист від програм-вимагачів та фішингу, брандмауер, біометричну автентифікацію, шифрування та інші найпопулярніші функції, такі як Smart App Control та Core Isolation.

Якщо вам потрібно встановити програму з ненадійного джерела, ви можете скористатися Windows Sandbox для створення легкої віртуальної машини для тестування програми без ризику для основної інсталяції.

У цьому посібнику я опишу добірку найкращих налаштувань безпеки для Windows 11 у 2026 році. 

Найкращі налаштування безпеки Windows 11, які потрібно змінити у 2026 році

Це найкращі параметри безпеки для ввімкнення, налаштування або вимкнення у Windows 11. (Вам не потрібно налаштовувати кожен з них. Використовуйте лише ті, які ви вважаєте найкращими для вашої ситуації.)

1. Встановіть оновлення системи

У Windows 11 встановлення останніх оновлень – один із найкращих способів захистити ваш пристрій і файли, оскільки оновлення можуть виправляти помилки, підвищувати безпеку та покращувати продуктивність системи.

Щоб встановити оновлення Windows 11 вручну, виконайте такі дії:

1. Відкрийте «Налаштування» у Windows 11.

    

    

2. Натисніть на «Центр оновлення Windows» .

3. Натисніть кнопку «Перевірити наявність оновлень» .

   

4. (Необов’язково) Увімкніть перемикач «Отримувати останні оновлення, щойно вони стануть доступними» .

5. Натисніть кнопку «Завантажити та встановити» , щоб застосувати попередній перегляд майбутнього оновлення (якщо є).

   Коротке зауваження: Додаткові оновлення зазвичай містять зміни, не пов’язані з безпекою, які Microsoft планує випустити під час наступного випуску Patch Tuesday.

6. Натисніть кнопку «Перезавантажити зараз» .

Після виконання цих кроків, якщо оновлення доступне, воно автоматично завантажиться та встановиться у Windows 11.

Окрім використання налаштувань Windows Update, ви можете оновлювати систему різними способами , такими як командний рядок, PowerShell та веб-сайт каталогу Microsoft Update.

1. Перевірте комп'ютер на наявність вірусів

Windows 11 містить антивірус Microsoft Defender для виявлення та видалення практично всіх шкідливих програм, включаючи віруси, програми-вимагачі, шпигунські програми та руткіти. Якщо ви підозрюєте, що ваш комп’ютер було скомпрометовано, виконайте повне або автономне сканування (особливо для серйозних інфекцій), щоб переконатися, що ваш пристрій не містить шкідливих програм. Навіть зі стороннім антивірусним програмним забезпеченням періодичне сканування є гарною практикою безпеки.

Повне сканування на віруси 

Щоб виконати повне сканування на віруси у Windows 11 , виконайте такі дії:

1. Відкрийте Пуск .

2. Знайдіть «Безпека Windows» і натисніть перший результат, щоб відкрити програму.

3. Натисніть на Захист від вірусів і загроз .

4. Натисніть кнопку «Параметри сканування» в розділі «Поточні загрози».

   

5. Виберіть опцію «Повне сканування» , щоб перевірити всю систему на наявність вірусів та будь-яких інших типів шкідливих програм.

   

6. Натисніть кнопку « Сканувати зараз» .

Після виконання цих кроків антивірусна програма Microsoft Defender просканує комп’ютер на наявність шкідливого програмного забезпечення. Якщо щось буде виявлено, антивірусне програмне забезпечення автоматично видаляє (або поміщає в карантин) загрози.

Ви також можете використовувати антивірус за допомогою командного рядка та PowerShell .

Перевірка на віруси в автономному режимі

Щоб запустити автономне сканування на віруси у Windows 11 , виконайте такі дії:

1. Відкрийте програму «Безпека Windows» .

2. Натисніть на Захист від вірусів і загроз .

3. Натисніть кнопку «Параметри сканування» в розділі «Поточні загрози».

   

4. Позначте опцію «Сканування Microsoft Defender Offline» .

   

5. Натисніть кнопку « Сканувати зараз» .

6. Натисніть кнопку « Сканувати» .

Після виконання цих кроків комп’ютер автоматично перезавантажиться в середовищі відновлення, а Microsoft Defender розпочне повне сканування на віруси. Якщо антивірус Windows 11 виявить будь-який вірус, руткіт або інший тип шкідливого програмного забезпечення, він автоматично видаляє його.

Увімкнути періодичне сканування

Якщо у вас є інше антивірусне рішення, ще однією найкращою практикою безпеки є ввімкнення «періодичного сканування» у Windows 11 – функції, яка періодично сканує та видаляє загрози, які інші антивірусні програми могли пропустити.

Щоб увімкнути «періодичне сканування» в антивірусі Microsoft Defender для Windows 11, виконайте такі дії:

1. Відкрийте програму «Безпека Windows» .

2. Натисніть на Захист від вірусів і загроз .

3. Клацніть параметр «Параметри антивірусної програми Microsoft Defender» .

4. Увімкніть перемикач «Періодичне сканування» .

   

Після виконання цих кроків антивірус Windows 11 використовуватиме функцію «Автоматичне обслуговування» для запуску сканувань в оптимальний час, щоб мінімізувати вплив на продуктивність і час роботи від акумулятора.

3. Увімкніть захист від програм-вимагачів

«Контрольований доступ до папок» у Windows 11 – ще одна найкраща вбудована функція безпеки, призначена для захисту вашого комп’ютера від атак програм-вимагачів. Вона відстежує зміни файлів програм. Якщо програма з чорного списку намагається змінити файли в захищеній папці, система повідомляє вас про підозрілу активність.

Щоб увімкнути захист від програм-вимагачів «Контрольований доступ до папок» у Windows 11, виконайте такі дії:

1. Відкрийте програму «Безпека Windows» .

2. Натисніть на Захист від вірусів і загроз .

3. У розділі «Захист від програм-вимагачів» натисніть налаштування «Керування захистом від програм-вимагачів».

   

4. Увімкніть перемикач «Контрольований доступ до папок» .

   

Після виконання цих кроків антивірус Microsoft Defender відстежуватиме захищені папки, оскільки програми намагатимуться змінити ваші файли. Якщо виникне підозріла активність, ви отримаєте сповіщення про загрозу.

Окрім увімкнення функції, це ще половина справи. Ви завжди можете скористатися цими інструкціями , щоб запобігти блокуванню надійних програм цією функцією та захистити розташування папок, окрім тих, що вказані за замовчуванням.

4. Увімкніть захист від фішингу

Windows 11 пропонує розширений захист від фішингу завдяки Microsoft Defender SmartScreen, який захищає ваші паролі від шкідливих сайтів і програм. Ця функція працює трьома основними способами:

• Попередження про ненадійні сайти або програми: воно сповіщає вас, коли ви вводите пароль свого облікового запису на ненадійних веб-сайтах або програмах.
• Сповіщення про паролі у звичайному тексті: воно сповіщає вас, якщо ви намагаєтеся зберегти паролі у звичайному тексті в будь-якій програмі.
• Сповіщення про повторне використання паролів: воно застерігає від повторного використання паролів для різних облікових записів, оскільки така практика може полегшити хакерам компрометацію вашої інформації.

Цей захист застосовується до облікових записів Microsoft, локальних облікових записів, Active Directory та Azure Active Directory. Однак він працює лише за використання пароля. Як наслідок, для ввімкнення захисту від фішингу необхідно вимкнути Windows Hello.

Я б рекомендував цю функцію лише за необхідності або якщо ви ще не використовуєте Windows Hello. В іншому випадку, вам, ймовірно, краще використовувати ключі доступу (див. інструкції нижче).

Щоб увімкнути захист від фішингу у Windows 11, виконайте такі дії: 

1. Відкрийте Налаштування .

2. Натисніть на Облікові записи .

3. Натисніть вкладку Параметри входу .

4. Вимкніть перемикач «Для покращення безпеки дозволяти вхід у Windows Hello лише для облікових записів Microsoft на цьому пристрої» в розділі «Додаткові налаштування».

   

5. Виберіть активну опцію Windows Hello (розпізнавання обличчя, розпізнавання відбитків пальців або PIN-код) у розділі «Способи входу».

6. Натисніть кнопку « Видалити ».

7. Знову натисніть кнопку « Видалити ».

8. Підтвердьте пароль свого облікового запису Microsoft.

9. Натисніть кнопку «ОК» .

10. Відкрийте програму «Безпека Windows» .

11. Натисніть на «Керування програмами та браузерами».

12. Натисніть опцію «Налаштування захисту на основі репутації» .

    

13. Увімкніть перемикач «Захист від фішингу», щоб увімкнути функцію безпеки.

    

14. Поставте галочку навпроти опції «Попереджати мене про шкідливі програми та сайти» , щоб відображати попередження під час перебування на ненадійному веб-сайті або в ненадійній програмі.

15. Поставте позначку навпроти опції «Попереджати мене про повторне використання пароля» , щоб уникнути використання того самого пароля під час створення нового облікового запису або оновлення інформації на веб-сайті чи в програмі.

16. Поставте галочку навпроти опції «Попереджати мене про небезпечне сховище паролів», щоб попередити вас не зберігати пароль у звичайному тексті в текстовому редакторі.

Після виконання цих кроків функція «Покращений захист від фішингу» попередить вас про введення пароля в ненадійному додатку або на веб-сайті з можливістю змінити пароль, щоб зменшити ймовірність отримання несанкціонованого доступу до вашого облікового запису.

Оскільки текстові редактори або програми Office не були розроблені для захисту ваших облікових даних, ви також отримаєте попередження, якщо спробуєте повторно використати пароль або зберегти паролі в цих програмах.

5. Створіть ключі доступу для веб-сайтів і програм

Ключі доступу пропонують безпечну та зручну альтернативу традиційним паролям для входу на веб-сайти та в програми, які підтримують цей метод автентифікації. Замість того, щоб покладатися на паролі, ключі доступу використовують криптографію з відкритим ключем, створюючи унікальну пару криптографічних ключів, пов’язану з вашим обліковим записом. Ця пара ключів безпечно зберігається на вашому пристрої Windows 11. Під час повторного доступу до служби ви використовуватимете Windows Hello (використовуючи біометричні дані, такі як розпізнавання обличчя, відбитків пальців або PIN-код) для автентифікації, що усуває потребу в паролі.

Такий підхід покращує безпеку, видаляючи паролі з процесу входу, що значно ускладнює хакерам компрометацію ваших облікових записів. Ключі доступу є частиною ширшого стандарту безпеки, прийнятого великими компаніями, включаючи Microsoft, Google, Apple, Amazon та PayPal, з метою забезпечення єдиного та безпечного процесу автентифікації на різних платформах.

Щоб створити ключ доступу , перейдіть до налаштувань безпеки облікового запису підтримуваної служби або програми та дотримуйтесь підказок, щоб налаштувати автентифікацію за допомогою ключа доступу. Після налаштування ваші ключі доступу можуть синхронізуватися на різних пристроях, що використовують ваш обліковий запис Microsoft, що забезпечує безперешкодний доступ на будь-якому пристрої Windows 11. Деякі онлайн-служби можуть навіть пропонувати налаштування ключа доступу під час процесу входу.

У наступному прикладі створюється ключ доступу для вашого облікового запису Google:

1. Відкрийте Microsoft Edge (або Google Chrome ).

2. Відкрийте свій обліковий запис Google .

3. Увійдіть у систему та відкрийте налаштування облікового запису веб-сервісу.

4. Увімкніть опцію «Вхід за допомогою пароля» .

5. Натисніть опцію «Створити ключ доступу» .

   

6. Натисніть кнопку « Продовжити» .

   

7. Підтвердьте облікові дані свого облікового запису у Windows Hello.

   

8. Натисніть кнопку «ОК» .

9. Натисніть кнопку «Готово» .

Після виконання цих кроків ключ доступу буде завантажено як токен на ваш комп’ютер. Наступного разу, коли ви захочете отримати доступ до служби (або програми), ви можете скористатися автентифікацією Windows Hello для завершення процесу входу замість використання пароля служби.

Токен дійсний лише для одного пристрою, тобто вам потрібно створити ключ доступу на кожному пристрої, з якого ви хочете отримати доступ до сервісу. Ви можете переглядати та видаляти ключі доступу в розділі Налаштування > Обліковий запис > Ключі доступу .

6. Перевірте налаштування брандмауера

Брандмауер Microsoft Defender може контролювати вхідний і вихідний мережевий трафік, щоб дозволяти або блокувати підключення на основі попередньо визначених правил для захисту вашого комп’ютера та інформації від несанкціонованого доступу. Ця функція має бути ввімкнена за замовчуванням, але завжди рекомендується перевірити та ввімкнути її, якщо вона не ввімкнена.

Щоб увімкнути брандмауер через службу безпеки Windows, виконайте такі дії: 

1. Відкрийте програму «Безпека Windows» .

2. Натисніть на Брандмауер і захист мережі .

3. Натисніть опцію активної мережі.

   

4. Увімкніть перемикач «Брандмауер Microsoft Defender» , щоб вимкнути брандмауер.

   

Після виконання цих кроків брандмауер увімкнеться для активного мережевого профілю.

7. Увімкніть DNS через HTTPS (DoH)

Якщо ви хочете отримати додатковий рівень безпеки та конфіденційності під час перегляду Інтернету, вам слід увімкнути DNS через HTTPS (DoH).

DNS через HTTPS — це мережевий протокол, призначений для шифрування запитів системи доменних імен (DNS) за допомогою протоколу HTTPS (Hypertext Transfer Protocol Secure), тим самим підвищуючи конфіденційність та мінімізуючи атаки хакерів, які можуть переглядати та маніпулювати DNS-трафіком.

Деякі програми, такі як Google Chrome та Mozilla Firefox, вже підтримують цю функцію, але ви також можете налаштувати її у Windows 11. Ось як:

1. Відкрийте Налаштування.

2. Натисніть на Мережа та інтернет .

3. Натисніть вкладку Ethernet або Wi-Fi (залежно від активного підключення).

   Коротка примітка: Якщо у вас є підключення до Wi-Fi, натисніть на властивості підключення, щоб отримати доступ до налаштувань.

4. Натисніть кнопку «Редагувати» в налаштуваннях «Призначення DNS-сервера».

   

5. Виберіть опцію «Вручну» у випадаючому меню.

6. Увімкніть перемикач IPv4 .

7. У розділах «Бажаний DNS» та «Альтернативний DNS» вкажіть основну та додаткову IP-адреси DoH з одного з підтримуваних сервісів. Наприклад, ви можете використовувати Cloudflare (1.1.1.1 та 1.0.0.1) або Google (8.8.8.8 та 8.8.4.4)

   

8. Скористайтеся випадаючим меню «DNS через HTTPS» і виберіть опцію « Увімкнено (автоматичний шаблон),  оскільки це надсилає весь DNS-трафік із шифруванням, але ви також можете вибрати інші налаштування шифрування.

9. Вимкніть перемикач «Повернення до звичайного тексту» .

   Коротка порада: якщо ви ввімкнете цю функцію, система шифруватиме DNS-трафік, але дозволить надсилати запити без шифрування.

10. Натисніть кнопку « Зберегти ».

Після виконання цих кроків комп’ютер зашифрує DNS-трафік через протокол HTTPS для більш безпечного та конфіденційного використання.

Ви можете дізнатися більше деталей та як перевірити, чи працюють налаштування DoH, дотримуючись цих інструкцій.

8. Увімкніть розпізнавання обличчя або відбитка пальця у Windows Hello

Як частину найкращих налаштувань безпеки для Windows 11, ви також можете використовувати Windows Hello, що дозволяє підвищити безпеку комп’ютера, додаючи біометричні елементи (такі як обличчя або відбиток пальця) для входу до вашого профілю. Якщо у вас немає пристрою з інтегрованим біометричним обладнанням, вам потрібно придбати сумісну камеру для розпізнавання обличчя або зчитувач відбитків пальців, щоб налаштувати його.

Увімкнути автентифікацію за допомогою розпізнавання обличчя

Щоб налаштувати розпізнавання обличчя Windows Hello для розблокування комп’ютера у Windows 11, виконайте такі дії:

1. Відкрийте Налаштування .

2. Натисніть на Облікові записи .

3. Натисніть сторінку «Параметри входу» праворуч.

4. Виберіть параметр «Розпізнавання обличчя (Windows Hello)» у розділі «Способи входу».

5. Натисніть кнопку «Налаштувати» .

   

6. Натисніть кнопку « Почати» .

   

7. Підтвердьте свій поточний пароль (або PIN-код).

8. Дивіться прямо в камеру у Windows 11, щоб створити профіль розпізнавання обличчя.

   

9. Натисніть кнопку «Закрити» .

Після виконання цих кроків ви можете заблокувати комп’ютер ( клавіша Windows + L ) і подивитися в камеру, щоб увійти.

Увімкнути автентифікацію за відбитком пальця

Щоб налаштувати Windows Hello за допомогою зчитувача відбитків пальців, виконайте такі дії: 

1. Відкрийте Налаштування .

2. Натисніть на Облікові записи .

3. Натисніть на Параметри входу .

4. Виберіть налаштування «Розпізнавання відбитків пальців» у розділі «Способи входу».

5. Натисніть кнопку «Налаштувати» , щоб увімкнути опцію відбитка пальця Windows Hello.

   

6. Натисніть кнопку « Почати» .

   

7. Підтвердьте пароль свого облікового запису.

8. Торкніться датчика відбитків пальців, як зазначено в майстрі.

   

9. Продовжуйте дотримуватися інструкцій на екрані, щоб зняти відбиток пальця з різних ракурсів.

Після виконання цих кроків ви можете заблокувати пристрій і використовувати зчитувач відбитків пальців для входу пальцем.

9. Увімкнути динамічне блокування

Динамічне блокування – це функція безпеки, вбудована у Windows 11, яка блокує ваш комп’ютер, коли ви відходите від нього, залежно від близькості пристрою, підключеного через Bluetooth (наприклад, телефону або портативного пристрою), додаючи додатковий рівень безпеки.

Щоб увімкнути динамічне блокування у Windows 11, виконайте такі дії:

1. Увімкніть периферійний пристрій.

2. Увімкніть опцію сполучення Bluetooth на пристрої, щоб зробити його видимим.

3. Відкрийте «Налаштування» у Windows 11.

4. Натисніть на Bluetooth та пристрої .

5. Увімкніть перемикач Bluetooth , щоб увімкнути бездротовий радіозв'язок (якщо є).

6. Натисніть кнопку Додати пристрій .

   

7. Виберіть опцію Bluetooth .

   

8. Виберіть пристрій Bluetooth зі списку.

   

9. Продовжуйте дотримуватися інструкцій на екрані (якщо такі є).

10. Натисніть на Облікові записи .

11. Натисніть вкладку Параметри входу .

12. Виберіть налаштування динамічного блокування .

13. Поставте прапорець «Дозволити Windows автоматично блокувати пристрій, коли вас немає поруч» .

    

Після виконання цих кроків, коли пристрій Bluetooth не знаходиться поруч із комп’ютером, Windows 11 вимкне екран і заблокує ваш обліковий запис через 30 секунд бездіяльності.

10. Блокуйте небажані програми

Служба безпеки Windows має функцію для захисту вашої інсталяції від шкідливих програм. Ця функція відома як «захист на основі репутації», вона може виявляти та блокувати програми з низькою репутацією, які можуть спричиняти неочікувану поведінку у Windows 11, наприклад, погано розроблені або шкідливі програми.

Щоб увімкнути захист на основі репутації для захисту Windows 11 від небажаних програм, виконайте такі дії:

1. Відкрийте програму «Безпека Windows» .

2. Натисніть на «Керування програмами та переглядом» .

3. У розділі « Захист на основі репутації»  натисніть опцію «Налаштування захисту на основі репутації».

   

4. Увімкніть перемикач «Блокування потенційно небажаних програм» .

   

5. Позначте опцію «Блокувати програми» .

6. Позначте опцію «Блокувати завантаження» .

Після виконання цих кроків Windows 11 зможе виявляти та блокувати програми з низькою репутацією, які можуть спричиняти проблеми.

11. Увімкніть шифрування

BitLocker – це ще одна функція у списку, яку можна вважати однією з найкращих для безпеки, оскільки вона дозволяє використовувати шифрування на диску для захисту ваших даних від несанкціонованого доступу до ваших документів, зображень та будь-яких інших даних, що зберігаються на комп’ютері.

Ця функція доступна лише у випусках Pro, Enterprise та Education Windows 11. Однак у Windows 11 Home на деяких пристроях можна використовувати «шифрування пристрою».

It’s important to note that starting with the release of Windows 11 24H2 and subsequent releases, the system will automatically enable device encryption on new installations.

Enable device encryption on Windows 11 Pro

To configure BitLocker on a Windows 11 drive, use these steps:

1. Open Settings.

2. Click on Storage.

3. Click on Advanced storage settings under the “Storage management” section.

4. Click on Disks & volumes.

   

5. Select the drive with the volume to encrypt.

6. Choose the volume to enable BitLocker encryption and click the Properties button.

   

7. Click the “Turn on BitLocker” option.

   

8. Click the “Turn on BitLocker” option under the “Operating system drive” section.

   

9. Select the “Save to your Microsoft account” option (recommended).

   

10. Click the Next button.

11. Select the “Encrypt used disk space only” option.

    

12. Click the Next button.

13. Select the “New encryption mode” option.

    

14. Click the Next button.

15. Check the “Run BitLocker system check” option.

    

16. Click the Restart now button.

After you complete the steps, the computer will restart to apply the encryption settings and enable BitLocker.

You can also enable encryption for secondary and external drives. And using BitLocker To Go, you can protect your data on USB flash drives.

Enable device encryption on Windows 11 Home

To configure BitLocker encryption on Windows 11 Home, use these steps:

1. Open Settings.

2. Click on Privacy & Security.

3. Click the Device encryption page under the “Security” section.

   

4. Turn on Device encryption to enable BitLocker on Windows 11 Home.

   

Once you complete the steps, the feature will encrypt the entire system drive.

If you no longer need encryption, it’s possible to decrypt the drive using the same instructions.

12. Enable Smart App Control

On Windows 11, Smart App Control (SAC) is a security feature that locks the system down, allowing it to run only trusted apps or apps with valid certificates to prevent unwanted behaviors from untrusted applications.

To enable Smart App Control on Windows 11, use these steps:

1. Open Windows Security.

2. Click on App & browse control.

3. Click on Smart App Control settings.

   

4. Select the Evaluation option. 

   

After you complete the steps, the feature will run quietly in the background but not block anything. However, in this stage, the system will learn from your applications to determine whether the feature can run without affecting the experience. 

If Smart App Control can run as expected, the system will turn it on automatically. If the feature gets in the way, the system will automatically turn it off.

Once the evaluation is complete, the feature will enable automatically, but you won’t be able to turn it off. Additionally, if the system blocks an app, you won’t be able to unblock it unless you disable the feature, which will require a complete reinstallation of the operating system.

13. Enable Core Isolation

Core Isolation is a collection of security features that protect your computer from malicious code and hackers. One of the features available is memory integrity, which blocks different types of malware from compromising high-security processes in memory. 

The feature should be enabled by default on Windows 11, but if it’s not, you can use these steps:

1. Open Start.

2. Search for Windows Security and click the top result to open the app.

3. Click on Device Security.

4. Click the “Core isolation details” option under the “Core isolation” section.

   

5. Turn on the “Memory integrity” toggle switch to enable the Core isolation.

   

6. Restart the computer.

Once you complete the steps, the security feature will be enabled on Windows 11.

14. Windows Sandbox

The Windows Sandbox feature provides a full desktop virtualization experience for installing and testing untrusted applications, isolated from the main installation.

To enable Windows Sandbox on Windows 11, use these steps:

1. Open Settings.

2. Click on System.

3. Click the Optional features page.

   

4. Click the “More Windows features” setting under the “Related settings” section.

   

5. Check the Windows Sandbox option.

   

6. Click the OK button.

7. Click the Restart now button.

Once you complete the steps, you can run Windows Sandbox from the Start menu.

Windows 11 Sandbox with clipboard redirection / Image: Microsoft

If you need to install an application, you can download the installer from the internet using the browser available on the virtual machine or from the main installation. Then, copy and paste the file onto the Windows Sandbox desktop and install it in the isolated environment.

15. Full backup

On Windows 11, a full backup is one of the best security practices to create a copy of the entire system. This allows you to recover in case of critical system problems, malware attacks like ransomware, hardware failure, or upgrading the primary drive. In addition, a backup can help you roll back to a previous installation after upgrading to a new feature update or hard drive.

You can always choose a third-party solution, but you can still use the (deprecated) legacy “System Image Backup” tool to save a full backup to a USB hard drive. 

To create a full backup on Windows 11, use these steps:

1. Open Start.

2. Search for Control Panel and click the top result to open the app.

3. Click on System and Security.

4. Click on File History.

5. Click the “System Image Backup” option from the left pane.

   

6. Click the “Create a system image” option from the left pane.

   

7. Select the external drive to save the Windows 11 backup.

   

8. Click the Next button.

9. Click the Start backup button.

   

10. Click the No button.

11. Click the Close button.

Once you complete the steps, Windows 11 will create a full computer backup.

You will also receive the option to create a repair disk, but you can ignore it since you can use the Windows 11 bootable media to access the recovery settings to restore the backup.

In addition to periodically backing up your device, it’s recommended that you store your files in the cloud using third-party services like OneDrive. This approach will protect the files from hardware failure, ransomware, or theft.

Alternatively, copying your files to an external drive with a simple copy and paste (as long as you don’t have a lot of data) is another way to protect your documents, pictures, videos, and other files.

16. Switch from Administrator to Standard User account

Windows 11 offers two account types, including Administrator and Standard User, each with different permission levels. The Administrator type has full system access, enabling them to change settings, run elevated tasks, and perform any action. The Standard User type operates in a more restricted environment, able to use existing applications but unable to install new ones or modify system-wide settings.

Since using an account without restrictions can be a security risk, switching to a standard account is one of the best practices to improve security. You can create a new “Administrator” account only for management and change your account type to “Standard User.”

Create local administrator account

To create an administrator local account through the Settings app, use these steps:

1. Open Start.

2. Search for Settings and click the top result to open the app.

3. Click on Accounts.

4. Click the Other users page.

5. Click the Add account button under the “Other users” section.

   

6. Click the “I don’t have this person’s sign-in information” option.

   

7. Click the “Add a user without a Microsoft account” option.

   

8. Create an administrator account by confirming a name and password.

   

9. Create security questions and answers to recover your account if you lose your password.

10. Click the Next button.

11. Select the newly created account and click the “Change account type” button.

    

12. Select the Administrator option from the “Account type” setting.

    

13. Click the OK button.

Once you complete the steps, the new account will appear on your Windows 11 device.

Switch to standard account

To change an “Administrator” account to a “Standard Users” account on Windows 11, use these steps:

1. Sign out of your current account.

2. Sign in to the newly created administrator account.

3. Open Settings.

4. Click on Accounts.

5. Click the Other users page.

6. Select the primary account.

7. Click the “Change account type” button.

   

8. Select the Standard User option from the “Account type” setting.

   

9. Click the OK button.

After completing the steps, the original account will switch from “Administrator” to “Standard User” account type. You will be prompted to confirm the administrator credentials to make system changes or install new apps. You can still sign in to the administrator account to perform system changes.

17. Disable Remote Desktop 

Although the Remote Desktop feature allows you to access files and apps from another location or offer assistance without being present at the site, it also presents a security risk. It may help a malicious individual gain unauthorized access to the computer. As a best security practice, turn off the feature if you don’t use it.

To disable Remote Desktop on Windows 11, use these steps:

1. Open Settings.

2. Click on System.

3. Click on Remote Desktop.

4. Turn off the Remote Desktop toggle switch.

   

5. Click the Confirm button.

Once you complete the steps, malicious individuals should no longer be able to exploit the RDP protocol to gain unauthorized access to your computer.

18. Sync time and date

On Windows 11, it’s also important to keep the system time and date correct. Otherwise, it could cause security problems, such as trying to sign in to a service or application on the network or the internet.

To update the time and date on Windows 11, use these steps:

1. Open Settings.

2. Click on Time & language.

3. Click the Date & time page.

4. Turn on the “Set time automatically” toggle switch.

5. Click the Sync now button under the “Additional settings” section.

   

After completing the steps, Windows 11 will update and display the correct time on your computer.

19. Create system restore point

System Restore allows you to create a copy of the system state as a “restore point” to protect the hard drive’s data if something goes wrong after an update, when installing an application, or when making system changes. The feature automatically creates a restore point when it detects system changes (such as installing a new update or driver), but you can always make a restore point manually.

To create a restore point on Windows 11, use these steps:

1. Open Start on Windows 11.

2. Search for Create a restore point and click the top result to open the app.

3. Select the system drive (C) and click the Configure button under the “Protection Settings” section.

   

4. Select the “Turn on system protection” option.

   

5. Click the Apply button.

6. Click the OK button.

7. Click the Create button to create a restore point on Windows 11.

   

8. Confirm a name for the restore point.

9. Click the Create button.

10. Click the Close button.

Once you complete the steps, the system will create a restore point that includes system files, installed applications, system settings, and a backup of the Registry. 

You can also follow these instructions to restore the device using a restore point. If the restoration doesn’t work, you may need to reset the system.

20. Disable Windows Recall

Windows Recall is a new AI feature designed to give your computer a “photographic memory” by taking snapshots of your screen every few seconds and then using AI to make that data searchable.

Although this feature can make it convenient to retrace your steps and find virtually anything you have seen or done in the past, it also raises significant privacy concerns, as it essentially records everything you do on your computer.

Storing all this data could make your computer a more attractive target for hackers, and taking and analyzing snapshots could impact system performance. 

If you have a Copilot+ PC, you can reset and disable Recall on Windows 11 by following a few simple steps.

To completely disable Recall on Windows 11, use these steps:

1. Open Settings.

2. Click on Privacy & security.

3. Click the Recall & snapshots page.

4. Click on Advanced settings.

   

5. Click the Reset Recall button.

   

6. Натисніть кнопку «Скинути» .

Після виконання цих кроків Windows 11 видалить усі зібрані знімки, фільтри для програм і веб-сайтів, відновить усі налаштування для функції «Відкликати» до їхніх початкових значень за замовчуванням і вимкне цю функцію.

Ви також можете видалити функцію «Відкликання» з операційної системи, якщо вас все ще турбує безпека та конфіденційність вашого пристрою та даних.

21. Увімкнути випадкову MAC-адресу

Ноутбуки та інші комп’ютери, оснащені адаптерами Wi-Fi, постійно сканують мережі, транслюючи свої MAC-адреси, які можна використовувати для відстеження їхнього місцезнаходження. Рандомізація MAC-адрес (використання випадкових апаратних адрес) підвищує конфіденційність, регулярно змінюючи цю адресу, що ускладнює її відстеження.

Щоб увімкнути випадкові апаратні адреси для всіх бездротових мереж, виконайте такі дії:

1. Відкрийте Налаштування .

2. Натисніть на Мережа та інтернет .

3. Натисніть сторінку Wi-Fi .

4. Увімкніть перемикач «Випадкові апаратні адреси», щоб увімкнути цю функцію.

   

5. (Необов’язково) Вимкніть перемикач «Випадкові апаратні адреси», щоб вимкнути цю функцію.

Після виконання цих кроків комп’ютер використовуватиме випадкову апаратну адресу для сканування мереж і підключення до будь-якої точки доступу.

Також можна ввімкнути випадкові апаратні адреси в певній мережі .

22. Увімкніть блокувальник програмного забезпечення Scareware у Microsoft Edge

У Microsoft Edge блокувальник програмного забезпечення Scareware — це функція безпеки, яка використовує штучний інтелект для захисту від онлайн-шахрайства, зокрема від програмного забезпечення, відомого як «scareware».

Цю функцію було навчено виявляти ознаки шахрайства з використанням програмного забезпечення для залякування, такі як:

• Спливаючі вікна на весь екран, які важко закрити.
• Повідомлення, в яких стверджується, що ваш комп'ютер заражений.
• Термінові заклики до дії, щоб зв’язатися з фальшивою «службою технічної підтримки».
• Дизайн веб-сторінки, що імітує офіційні системні попередження.

На відміну від традиційних методів, що спираються на відомі загрози, Scareware Blocker використовує штучний інтелект для виявлення нових та розвиваючихся шахрайств у режимі реального часу.

Важливо зазначити, що Windows 11 та Microsoft Edge також реалізують функцію Defender SmartScreen, подібну технологію, яка захищає вас від фішингу, онлайн-загроз та різних типів шкідливого програмного забезпечення. Однак ця функція використовує хмарну базу даних для виявлення загроз, оновлення якої може зайняти деякий час. Блокувальник Scareware аналізує екран за допомогою штучного інтелекту, щоб визначити, чи є сторінка легітимною, чи являє собою загрозу, без необхідності використання бази даних. 

Іншими словами, блокувальник Scareware – це додатковий рівень захисту, що доповнює функцію Defender SmartScreen.

Щоб увімкнути блокувальник програмного забезпечення Scareware у Microsoft Edge, виконайте такі дії:

1. Відкрийте  Microsoft Edge .

2. Натисніть  кнопку «Налаштування та інше» у верхньому правому куті.

3. Натисніть  опцію «Налаштування»  .

4. У лівій панелі натисніть  «Конфіденційність, пошук і служби»  .

5. Натисніть сторінку Безпека .

6. Увімкніть  перемикач блокування Scareware  у розділі «Безпека».

   

7. Увімкніть перемикач «Microsoft Defender SmartScreen»  (якщо є).

Після виконання цих кроків функція безпеки Scareware Blocker буде ввімкнена, і ви отримаєте попередження, якщо система виявить scareware на екрані, з можливістю блокування або продовження, якщо це хибнопозитивний результат.

Блокувальник Scareware в Microsoft Edge у дії / Зображення: Microsoft

23. Увімкніть датчик присутності

У Windows 11 функція «Відстеження присутності» – це набір функцій, які можуть покращити безпеку пристрою та енергоефективність вашого комп’ютера. 

Ця функція вимагає спеціалізованого обладнання, такого як інфрачервоні камери або радарні датчики, для визначення, коли людина знаходиться близько або далеко від пристрою.

Ця функція зазвичай є на преміум-комп’ютерах та ПК Copilot+. Якщо ваш пристрій не має сумісних датчиків присутності, ви не знайдете жодних опцій у програмі «Налаштування».

На підтримуваному обладнанні комп’ютер може автоматично вимикати дисплей, коли ви йдете, і знову вмикати його, коли ви повертаєтеся. Він також може затемнювати екран, коли ви відводите погляд, і робити його яскравішим, коли ви дивитеся назад. Ця функція підвищує безпеку, економить заряд батареї та покращує робочий процес.

Щоб налаштувати параметри виявлення присутності у Windows 11, виконайте такі дії:

1. Відкрийте Налаштування .

2. Натисніть на «Система» .

3. Натисніть вкладку Живлення та акумулятор .

4. Клацніть на налаштування «Час очікування екрана, сну та гібернації» .

5. Увімкніть  перемикач «Вимикати екран, коли я йду» , щоб система вимикала дисплей, коли ви йдете.

   

6. Увімкніть перемикач «Вмикати мій пристрій, коли я наближаюся» , щоб система вмикала дисплей, щойно виявить вашу присутність.

7. Увімкніть перемикач «Зменшувати яскравість екрана, коли я відводжу погляд» , щоб дозволити операційній системі зменшувати яскравість, коли ви не дивитеся на екран.

8. Клацніть будь-який із параметрів (з кроків 5, 6 або 7 ), щоб відкрити сторінку налаштувань датчика присутності .

9. Натисніть на  параметр «Вимкнути екран, коли я йду» .

   

10. Виберіть кількість футів, яку функція має використовувати для визначення відстані, коли ви залишили комп’ютер, у налаштуванні «Вважати мене відсутнім, коли я так далеко».

11. Виберіть час очікування перед вимкненням екрана після того, як ви залишили комп’ютер, у налаштуванні «Потім вимикати екран через цей проміжок часу».

    Коротке зауваження: Коли екран вимикається, система також блокує пристрій, а це означає, що вам потрібно буде знову ввійти, щоб відновити сеанс.

12. Поставте галочку навпроти опції «Вимикати екран, коли я йду, поки підключено зовнішній дисплей» (якщо є).

13. Натисніть на  налаштування «Вмикати пристрій, коли я наближаюся» .

14. Виберіть відстань, яку функція має використовувати, щоб визначити, наскільки близько до вас має бути, щоб комп’ютер виходив у режим сну, коли ви до нього наближаєтесь, у налаштуванні «Виводити пристрій у режим сну, коли я буду так близько».

15. Поставте галочку навпроти опції «Ввімкнути мій пристрій, коли я наближаюся, коли підключено зовнішній дисплей» (якщо є).

16. Натисніть на параметр «Затемнювати екран, коли я відводжу погляд» .

    

17. Поставте галочку навпроти опції «Зменшувати яскравість екрана, коли я відводжу погляд, поки підключено зовнішній дисплей» (якщо є).

Після виконання цих кроків система керуватиме доступом до робочого столу, екраном і таймерами сну, залежно від вашої конфігурації.

Ви також можете керувати налаштуваннями конфіденційності функції «Відстеження присутності» в розділі «Конфіденційність і безпека».

Які налаштування безпеки ви змінюєте у Windows 11? Повідомте мене в коментарях.

Оновлення від 2 січня 2026 року: Цей посібник оновлено для забезпечення точності та відображення змін у процесі.