Przewodnik Zabezpieczen Systemu Win 8 1

7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1

1/197

PRZEWODNIK ZABEZPIECZEO

SYSTEMU WINDOWS 8ORAZ

WINDOWS 8.1WRAZ Z

ZACZNIKIEM SCM

WERSJA 1.0

Opracwanie pwsta w ramach prgramu wsppracy w bszarze bezpieczeostwa

Security Cooperation Program (SCP)


2/197


3/197

2.20. Ataki na usug zintegrwaneg uwierzytelniania systemu Winws plegajce na

przekazywaniu pwiaczeo............................................................................................................. 48

3. Spsby chrny prze zliwym prgramwaniem................................................................ 50

3.1. Funkcje zabezpieczeo stswane w systemie Winws 8.................................................... 50

3.2. Konsola Centrum Akcji .......................................................................................................... 51

3.3. Bezpieczny rozruch (Secure Boot) ......................................................................................... 54

3.4. Mechanizm Kntrla Knta Uytkwnika (User Accunt Cntrl UAC) ............................ 55

3.5. Zabezpieczenia biometryczne ............................................................................................... 62

3.6. Oprogramowanie Windows Defender .................................................................................. 67

3.7. Narzzie usuwania zliweg prgramwania........................................................... 72

3.8. Zapora systemu Windows 8 oraz Windows 8.1 .................................................................... 74

3.9. Ograniczanie stpu aplikacji - AppLocker..................................................................... 77

3.10. Zasay graniczeo prgramwania................................................................................. 79

3.11. Bezpieczne uwierzytelnianie za pmc kart inteligentnych........................................... 79

3.12. Owieanie i przywracanie kmputera stanu pierwtneg....................................... 81

3.13. Dodatkowe informacje i wskazwki.................................................................................. 82

4. Ochrna wraliwych anych.......................................................................................................... 84

4.1. Szyfrwanie i chrna yskw z zastswaniem funkcji BitLcker...................................... 85

4.2. Tryby pracy BitLcker raz zarzzanie ukaem TPM......................................................... 874.3. Ochrna anych znajujcych siyskach systemwych raz yskach staych................... 89

4.4. Zastswanie ustawieo zasa grup wrenia BitLcker w celu minimalizacji ryzyka ... 93

4.5. Ochrona danych przechowywanych na wymiennych dyskach danych z zastosowaniem

funkcji BitLocker To Go .................................................................................................................... 103

4.6. Zastswanie ustawieo zasa grup wrenia BitLcker T G w celu minimalizacji

ryzyka 105

4.7. BitLocker a Connected StandBy .......................................................................................... 108

4.8. Wsparcie FIPS chrny zyskiwania hasa................................................................... 109

4.9. System szyfrwania plikw EFS........................................................................................... 110

4.10. Szczegwe ustawienia systemu EFS zapewniajce chrn wraliwych anych........ 113

4.11. Usugi zarzzania prawami infrmacji (RMS)........................................................... 116

4.12. Zastosowanie ustawieo zasa grup wrenia usugi RMS....................................... 119

4.13. Instalacja i zarzzanie urzzeniami w systemie Winws 8........................................ 119

4.14. Zastswanie ustawieo zasa grupwych nazrwania instalacji urzzeo........... 121

4.15. Zastswanie ustawieo zasa grupwych kntrli bsugi urzzeo....................... 125


4/197

4.16. Zastswanie ustawieo zasa grup kntrli i blkwania funkcji autstartu i

autoodtwarzania ............................................................................................................................. 127

4.17. Windows To Go ............................................................................................................... 128

4.18. Datkwe infrmacje i wskazwki................................................................................ 129

5. Zapewnienie kmpatybilnci aplikacji w kntekcie bezpieczeostwa stacji z Winws 8........ 131

5.1. Testwanie zgnci aplikacji z systemem Winws 8.................................................... 131

5.2. Znane prblemy zgnci aplikacji w kntekcie rzszerznych mechanizmw chrny131

5.3. Zmiany i ulepszenia systemu operacyjnego Windows 8 oraz Windows 8.1 ....................... 132

5.4. Omwienie stswanych narzzi w celu zapewnienia zgnci aplikacji z systemem

Windows 8 oraz Windows 8.1 ......................................................................................................... 133

6. Klient Hyper-V ............................................................................................................................. 134

6.1 Knfiguracja funkcji zabezpieczeo....................................................................................... 1346.1.1 Zabezpieczanie systemw peracyjnych zarzzania................................................. 134

6.1.2 Zabezpieczenia maszyn wirtualnych ........................................................................... 136

7. a krpracyjny, zarzzanie ryzykiem raz zgnd ze stanarami w IT (IT GRC).............. 137

7.1. Wprowadzenie .................................................................................................................... 138

7.2. Omwieniei budowa IT GRC PMP ...................................................................................... 139

7.3. Krzyci wynikajce ze stswania IT GRC PMP................................................................. 142

7.4. Terminy i definicje ............................................................................................................... 143

7.5. Cykl ycia prcesu zgnci w parciu IT GRC PMP....................................................... 144

7.6. Datkwe infrmacje i wskazwki.................................................................................... 146

8. Narzzie Security Compliance Manager (SCM) w praktyce ...................................................... 147

8.1 Wprowadzenie .................................................................................................................... 150

8.2 Praca z programem SCM ..................................................................................................... 150

8.3 Rozpczcie pracy z prgramem SCM................................................................................. 152

8.4 Kluczwe elementy sekcji Welcme t SCM................................................................... 153

8.4.1 Zarzzanie ustawieniami (Setting management)...................................................... 153

8.4.2 Narzzie wiersza plecenia LcalGPO....................................................................... 157

8.5 Kluczwe elementy sekcji Getting starte with SCM....................................................... 162

8.5.1 Zarzzaj ustawieniami bazwymi knfiguracji - Get knowledge ............................... 162

8.5.2 Dstsuj ustawienia bazwe knfiguracji wasnych ptrzeb - Customize knowledge

165

8.5.3 Eksportuj ustawienia bazowe konfiguracji- Export knowledge ................................... 175

9. Zarzzanie urzzeniami........................................................................................................... 176

10. Ochrna prze zliwym prgramwaniem........................................................................ 177


5/197

11. Bezpieczny rozruch systemu ................................................................................................... 178

11.1 Trusted Boot ........................................................................................................................ 179

12 Mel kntrli stpu systemu Winws....................................................................... 179

12.1 Dynamic Access Control ...................................................................................................... 179

12.2 Ochrna publicznych certyfikatw i kluczy......................................................................... 179

12.3 Tryb Restricte Amin la pczeo pulpitu zalneg........................................................ 180

12.4 Schwek la pwiaczeo - Credential Locker .................................................................... 180

13 Biometria ................................................................................................................................. 180

14 Dodatekustawienia bezpieczeostwa w Grup Plicy la Winws 8.1 raz Winws Server

2012 R2 ................................................................................................................................................ 183

14.2. Zmiany w ustawieniach zaleceo................................................................................................. 185


6/197

1. WstpPrzewodnik Zabezpieczeo systemu Winws 8 zawiera instrukcje i rekmenacje, ktre pmg

wzmcnid pzim zabezpieczenia kmputerw stacjnarnych i kmputerw przennych

pracujcychpod kntrlsystemu Windows 8 w domenie Active Directory Domain Services (AD DS).

Datkw w prczniku tym zostan zaprezentwane narzzia, szczegwe instrukcje,

rekomendacje oraz prcesy, ktre usprawni w znacznym stpniu prces wrenia systemu

Windows 8.

Kolejnym elementem bzie wprwazenie prcesu zarzzania zgnci wraz z atkwymi

informacjami i syaczami na temat narzzi zapewniajcych zgnd IT oraz zaleceniami

Microsoft.

Kluczowym rekomendowanym narzziem jest Security Compliance Manager 1 (SCM), ktry w

pczeniu z Przewnikiem Zabezpieczeo systemu Winws 8, zapewnia mliwci eksprtwania

wszystkich ustawieo zasa grupwych, w celu wykorzystania wytycznych bezpieczeostwa wpraktyczny spsb we wasnym rowisku.

Autrzy kumentu starali si uczynid ten przewnik:

Sprawdzonymbazujcym na zebranym wiaczeniu w tej ziezinie

Autorytatywnymferujc najlepsze stpne bre praktyki w tym zakresie

Dkanymprzekazujc rzwizanie sprawzne i przetestowane od strony technicznej

Gtwym uyciazapewniajc niezbne krki wreniazakoczneg sukcesem

Uytecznymbejmujcym rzeczywiste prblemy zwizane z bezpieczeostwem

W dokumencie zamieszczono najlepsze praktyki stosowane w celu implementacji Windows 8,

Windows 7 SP1, Windows Vista SP2, Windows Server 2003 SP2, Windows Server 2008 SP2, and

Windows Server 2008 R2 SP1 oraz Windows Server 2012 w rnrnych rwiskach.

W przypadku procesu oszacwania wrenia Winws 8we wasnym rwisku mna skrzystad

z pomocy oferowanej przez narzzieMicrosoft Assessment and Planning Toolkit2, ktre wspme

krelenie gtwci infrastruktury na uruchomienie systemu Windows 8 dla rganizacji reniej

wielkci, pprzez knanie inwentaryzacji sprztu, krelenie scenariusza wsparcia raz uzyskanie

infrmacji i wskazanie kmputerw wymagajcych aktualizacji sprztu.

Niniejszy przewodnik przedstawia funkcjnalnci, zwikszajce pzim zabezpieczeo systemuWindows 8. Zawarte informacje zstaysprawdzone i przetestowane z wykrzystaniem kmputerw

pracujcych w menie jak i rwnie kmputerw autnmicznych, niepracujcychw domenie.

Uwaga: Wszystkie niesienia systemu Winws XP w niniejszym przewniku tycz systemu Winws XP

Prfessinal SP3, a niesienia tyczce systemu Winws Vista tycz systemu Winws Vista SP2.

1.1. Streszczenie wykonawcze

Niezalenie wielkci rwiskarganizacji, naley sprawy bezpieczeostwa teleinfrmatyczneg

traktwad barz pwaanie, wiele rganizacji nie zawsze cenia wartd i znaczenie, jak stanwi

1http://go.microsoft.com/fwlink/?LinkId=113940

http://go.microsoft.com/fwlink/?LinkId=113940http://go.microsoft.com/fwlink/?LinkId=113940http://go.microsoft.com/fwlink/?LinkId=105520http://go.microsoft.com/fwlink/?LinkId=105520http://go.microsoft.com/fwlink/?LinkId=105520http://go.microsoft.com/fwlink/?LinkId=105520http://go.microsoft.com/fwlink/?LinkId=113940


7/197

nowoczesne technologie informatyczne. W przypadku skutecznego przeprowadzonego ataku na

serwery rganizacji, me kazad si, i skutki takieg ziaania czuwalne b la nrmalneg

funkcjnwania rganizacji, a kluczwe prcesy bizneswe zstan zakcne. Na przyka: W

przypaku zainfekwania kmputerw klienckich przez prgramwanie zliwe we wasnej sieci,

rganizacja me utracid ane wraliwe i pnied krelne kszty na przywrcenie stanu sprze

ataku. Przeprwazenie ataku na firmw witryn internetw, me przyczynid si jej

niestpnci raz narazid rganizacj na straty finanswe raz utrat zaufania przez klientw,

cznie z utrat reputacji.

Zgnd z przepisami i stanarami staje si kluczw kwesti la ziaania rganizacji, a rgany

urzwe zalecaj lub nakazuj stswanie si wytycznych i zaleceo la zapewnienia zgnci ze

stanarami. Auytrzy wyknujc cen jrzaci rganizacji przewanie wymagaj rganizacji

ptwierzenia pjtych ziaao i weryfikuj ziaania krelne w wymaganiach i wytycznych

zawartych w regulacjach. Brak pjtych ziaao w kierunku zapewnienia zgnci z

bwizujcymi wytycznymi i regulacjami, me narazid rganizacj na straty finanswe, utarte

reputacji lub naenia kary grzywny lub innych kar przewizianych w bwizujcym prawie.

Przeprwazenie analizy patnci p ktem bezpieczeostwa, wystpujcych ryzyk i

wystpwania zagreo pzwala na znalezienie kmprmisu pmizy zapewnieniem

bezpieczeostwa a funkcjnalnci la wszystkich systemw infrmatycznych pracujcych w

organizacji. Przewodnik niniejszy przedstawi najwaniejsze rki zaracze nszce si

aspektw bezpieczeostwa i jenczenie mwi stpne funkcjnalnci systemu Winws 8,

wskazujc na ptencjalne niebezpieczeostwa i negatywny wpyw, (jeli taki wystpuje) pczas

wraania mawianych rkw zaraczych w celu pniesienia pzimu bezpieczeostwa w

organizacji.

Przewnik bezpieczeostwa prezentuje w stpny spsb niezbne infrmacje raz

wspmagajce narzzia zapewniajc:

Wrenie i zastswanie ustawieo bazwych zapewniajcych wyszy pziom

bezpieczeostwa w rwisku rganizacji.

Zapznanie i wykrzystanie funkcjnalnci zwizanych z bezpieczeostwem systemu

Windows 8 w najbardziej popularnych scenariuszach.

Zapznanie i mwienie pszczeglnych ustawieo zabezpieczeo wraz z kreleniem ich

znaczenia

W celu przeprwazenia testw i wrenia ustawieo zabezpieczeo, naley skrzystad z narzzia

Security Compliance Manager (SCM). Narzzie t uatwi w znacznym stpniu i zautmatyzuje prces

wraania bazwych ustawieo bezpieczeostwa. Szczegwy pranik jak krzystad z narzzia SCM

zsta przestawiny, jak atek Narzzie Security Cmpliance Manager (SCM) w praktyce.

Pmim, i przewnik ten kierwany jest uych rganizacji, t wikszd z zawartych tutaj

informacji jest odpowienia la kaej rganizacji bez wzglu na jej wielkd. Najlepszy efekt mna

signd zapznajc si z caym przewnikiem, jenake mliwe jest zapznanie si z

pszczeglnymi i wybranymi czciami materiau, aby signd pstawiny cel zapewnienia

zapewnienie pwienieg pzimu bezpieczeostwa la rganizacji i twarzyszcych jej celmbiznesowym.


8/197


9/197

2. Infrmacje techniczne niezbne implementacji kaeg rka zaraczeg

minimalizujceg ryzyko.

3. Infrmacje techniczne niezbne szacwania stanu kaeg rka zaraczeg

minimalizujceg ryzyk, ktre pzwl na autmatyczne skanwanie stanu zgnci wraz

utwrzeniem raprtu z przeprwaznej czynnci.

4. Uprzkwane ustawienia zgrupwane zstay w elementy knfiguracji (ang. Configuration

Item (CI)) stanwice isttny element pwizania IT Governance, Risk, and Compliance (IT

GRC) Process Management Pack (PMP) z czynnciami kntrlnymi.

W jaki spsb signd krzyci ze stswania bazwych ustawieo knfiguracji?

W pierwszej klejnci rekmenwane s ientyfikacje systemw peracyjnych i aplikacji

wykrzystywanych we wasnej sieci kmputerwej w celu krelenia waciwych ustawieo bazwych

knfiguracji, ktre zstan zaimplementwane, czynnci te mna przeprwazid w kilku krkach:

Przeprwazenie inwentaryzacji psiaanych zasbw w sieci mna wyknad krzystajc z

bezpatneg i autmatyczneg narzziaMicrosoft Assessment and Planning Toolkit3,ktre

upraszcza i zautmatyzuje prces inwentaryzacji bniajc nakay pracy na wyknanie tej

czynnci.

Dokonanie wybru waciwych bazwych ustawieo knfiguracji krzystajc z

przygtwanych rzwizao Micrsft lub innych upwaninych rganizacji, jak punkt

wyjcia.

Analiza i skrygwanie bazwych ustawieo knfiguracji, tak, aby speniay wymagania

ptrzeb bizneswych rganizacji raz rganw wyajcych regulacje, krzystajc z infrmacji

ustpninych w narzziu SCM, przewnikw zabezpieczeo, raz InformationTechnology Governance, Risk, and Compliance (IT GRC) Process Management Pack for

System Center Service Manager4.

Zastswanie celw kntrlnych i czynnci kntrlnych w pczeniu z ustawieniami

bazwymi w celu waciwej knfiguracji i utrzymania stanu zgnci IT zarzzanych

systemw.

Knfiguracja ustawieo la pruktw Micrsft takich jak systemy Winws, Micrsft Office, raz

Internet Explrer me byd zarzzana poprzez wykorzystanie zasad grupowych (Group Policy),

krzystajc z narzzia SCM w celu paswania ustawieo bazwych wasnych ptrzeb. P

przygtwaniu ustawieo naley je wyeksprtwad w pstaci arkusza Excel w celu przeprwazenia

rzmw ze strnami zaintereswanymi caej rganizacji. P zatwierzeniu ustawieo, naley je

wyeksprtwad w pstaci kpi zapaswej zasa grupwych, i wryd je w rwisku testwym

wykrzystujc mechanizm zasa grupwych usug katalgwych Active Directry. W przypaku

kmputerw niepracujcych w menie, naley zastswad narzzie Lcal Plicy Tl, ktre

stpne jest w narzziu SCM (narzzie t bzie mwine rzziale 2.5).


http://go.microsoft.com/fwlink/?LinkId=105520http://go.microsoft.com/fwlink/?LinkId=105520http://go.microsoft.com/fwlink/?LinkId=105520http://go.microsoft.com/fwlink/?LinkId=105520


10/197

1.3. Praca z rekomendowanymi bazowymi ustawieniami konfiguracji

(baseline)

Narzzie SCM zawiera rekmenwane bazwe ustawienia knfiguracji la pruktw Micrsft,

ktre mg byd zarzzane i stswywane wasnych ptrzeb. P wprwazeniu zmian

speniajcych wymagania rganizacji bazwych ustawieo knfiguracji, mna przeprwazidproces weryfikacji ustawieo zasa grupwych la kaeg kmputera pprzez wygenerwanie

stswanych ustawieo bazwych w narzziu SCM. W celu signicia stanaryzacji i zgnci ze

stanarami mna signd pprzez utwrzenie pakietw Desire Cnfiguratin Management

(DCM) la bazwych ustawieo a nastpnie zaimprtwanie tych ustawieo rzwizania System

Center Cnfiguratin Manager. Zastswanie funkcjnalnci DCM la System Center Cnfiguratin

Manager zautmatyzuje prces wrenia ustawieo zapewniajcych zgnd ze stanarami.

Datkw narzzie SCM pzwala na wyknanie eksprtu bazwych ustawieo knfiguracji w

formacie Security Content Automation Protocol (SCAP). Format SCAP jest wspierany przez wiele

narzzi sucych zarzzania zabezpieczeniami i knfiguracj starcznych przez Micrsft

raz firmy trzecie. W celu uzyskania atkwych infrmacji na temat frmatu SCAP, naleyzapznad si infrmacjami umieszcznymi strnie National Institute of Standards and Technology

(NIST)5.

Kntrl pjtych czynnci majcych na celu zapewnienie zgnci mna wyknad pprzez

zastswanie i integracj pruktw Micrsft System Center Service Manager i IT GRC Process

Management Pack. Czynnd ta wspmaga rganizacje w signiciu celu implementacji prcesu

au krpracyjneg, zarzzania ryzykiem i zgnci ze stanarami IT (IT GRC). Prukt System

Center Service Manager umliwia przygtwanie autmatycznych raprtw przeznacznych la

kar kierwniczych, auytrw IT raz innych sb bircych uzia w prjekcie. Prces IT GRC

zstanie mwiny szerzej w rzziale rugim a krpracyjny, zarzzanie ryzykiem razzgnd ze stanarami w IT (IT GRC).

Narzzie SCM wspmaga zarzzania bazwymi ustawieniami knfiguracji la pruktw Micrsft,

ktrych nie mna knfigurwad pprzez zasay grupwe (Grup Plicy), takie jak serwer Micrsft

Exchange. SCM zawiera zestaw skryptw PwerShell la teg typu pruktw, ktre umliwi

wrenie bazwych ustawieo knfiguracji la jeneg lub wielu serwerw krzystajc z prcesu

autmatyzacji, ktry pprzez wykrzystanie skryptw (prgramw) uatwiajcych wyknanie zaao

pwtarzajcych si graniczajc w tym prcesie czynnci wyknywane przez luzi.

Ten sam zestaw skryptw mna rwnie wykrzystad w celu przeskanwania kmputerw pktem zgnci, mliwe jest rwnie skrzystanie z funkcji eksprtwania pakietw

knfiguracyjnych DCM w narzziu SCM. W celu uzyskania atkwych infrmacji naley zapznad

si kumentem Exchange Server PwerShell Script Kit User Guie, ktry stpny jest wewntrz

narzzia SCM w bszarze Attachments \ Guides.

Na Rys. 1.3.1. przedstawiono prces zarzzania bezpieczeostwem i zgnci ze stanarami z

zastosowaniem technologii dla potrzeb organizacji.

5http://scap.nist.gov/
http://scap.nist.gov/http://scap.nist.gov/http://scap.nist.gov/http://scap.nist.gov/http://scap.nist.gov/


11/197

Wicej infrmacji na temat narzzia SCM, znajuje si na strnie Microsoft Security Compliance

Manager6. Wart rwnie wiezidwitrynSCM Wiki7na stronach TechNet.

Rys. 1.3.1. Zarzzaniebezpieczeostwem i zgnci ze stanarami z zastswaniem technologii

dla potrzeb organizacji

1.4. Dla kg przeznaczny jest ten prcznik?Prcznik przeznaczny jest w gwnej mierze la specjalistw zarzzajcych bezpieczeostwem,

architektw sieciwych, Aministratrw IT, specjalistw IT raz knsultantw planujcych

wrenie infrastruktury IT, wrenie systemu Winws 8 na kmputerach klienckich w rwisku

domenowym jak i poza domenowym.

1.5. Datkwe infrmacje i wskazwkiPniej przestawin atkwe zasby zawierajce infrmacje na tematy zwizane z

bezpieczeostwem systemu Microsoft Windows 8: Federal Desktop Core Configuration (FDCC)8.

Microsoft Assessment and Planning Toolkit9.

Microsoft Security Compliance Manager10.

SCM Wiki11.


7http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-manager-

scm.aspx#comment-25858

http://fdcc.nist.gov/9http://go.microsoft.com/fwlink/?LinkId=105520

http://go.microsoft.com/fwlink/?LinkId=113940http://go.microsoft.com/fwlink/?LinkId=113940http://go.microsoft.com/fwlink/?LinkId=113940http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-manager-scm.aspx#comment-2585http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-manager-scm.aspx#comment-2585http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-manager-scm.aspx#comment-2585http://fdcc.nist.gov/http://fdcc.nist.gov/http://go.microsoft.com/fwlink/?LinkId=105520http://go.microsoft.com/fwlink/?LinkId=105520http://go.microsoft.com/fwlink/?LinkId=113940http://go.microsoft.com/fwlink/?LinkId=113940http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-manager-scm.aspx#comment-2585http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-manager-scm.aspx#comment-2585http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-manager-scm.aspx#comment-2585http://go.microsoft.com/fwlink/?LinkId=113940http://go.microsoft.com/fwlink/?LinkId=105520http://fdcc.nist.gov/http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-manager-scm.aspx#comment-2585http://go.microsoft.com/fwlink/?LinkId=113940http://go.microsoft.com/fwlink/?LinkId=113940http://go.microsoft.com/fwlink/?LinkId=113940


12/197

Security and Compliance Management Forum12

.

11

http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-manager-scm.aspx#comment-258512

http://social.technet.microsoft.com/Forums/en-us/compliancemanagement/threads
http://social.technet.microsoft.com/Forums/en-us/compliancemanagement/threadshttp://social.technet.microsoft.com/Forums/en-us/compliancemanagement/threadshttp://social.technet.microsoft.com/Forums/en-us/compliancemanagement/threads


13/197

2. Wraanie rekmenwanych zasa bezpieczeostwa w kntekcie

bazwych ustawieo systemu Winws 8

2.1. Wprowadzenie

Firma Micrsft wraz z kaym nw ustpnianym systemem peracyjnym wprwaza nwe

rzwizania w zakresie bezpieczeostwa. Ich ua rnrnd w Winws 8 pwuje, e jest n

aktualnie najlepiej zabezpieczonym systemem Windows, ktry zsta tej pry wydany.

Knfiguracja pcji zabezpieczeo w rnieniu wczeniejszych wersji Winws bywa si

obecnie poprzez Zasady polityk grupowych GPO (z ang. Group Policy Object). Mechanizm GPO

zapewnia centraln infrastruktur umliwiajc w parciu struktur hierarchiczn zarzzanie

ustawieniami kmputerw i/lub uytkwnikw wczajc w t ustawienia zabezpieczeo.

Znane pprzeni kategrie niesienia la ustawieo bezpieczeostwa Specialize Security Limited

Functionality (SSLF) oraz Enterprise Client (EC) zstay zastpine pzimami wanci (ang. severity

level):

Krytyczny

Ustawienia na tym pzimie maj wyski stpieo wpywu na bezpieczeostw kmputera

i/lub przechwywanych na nim anych. Zaleca si stswanie wszystkich ustawieo

krytycznych w organizacji

Istotny

Ustawienia na tym pzimie maj znaczcy wpyw na bezpieczeostw kmputera i/lub

przechwywanych na nim anych. S ne knfigurwane w rganizacjach, ktre

przechwuj wraliwe ane a tym samym s ne ukierunkwane na chrn swich

systemw informatycznych.

Opcjonalny

Ustawienia na tym pzimie maj niewielki wpyw na bezpieczeostw, przez c wikszd

rganizacji pmija je na etapie prjektwania zasa bezpieczeostwa. Nie znacza t jenak

wlnci w zakresie ich stswania. Dla przykau - wiele ustawieo tyczcych Winws,

Internet Explrer czy Office ukrywa elementy interfejsu uytkwnika, ktre upraszczaj prac

a nie maj bezprenieg wpywu na bezpieczeostw.

NiezdefiniowanyJest t mylny pzim wanci w Security Cmpliance Manager. Ustawienia, ktre nie

byy stpne wczeniej s znaczne takim pzimem. Przyjmuje si, e ich znaczenie

prwnywalne jest z pzimem Opcjonalny, przez c maj barz may lub zerwy wpyw na

bezpieczeostw.

W zalenci wybraneg frmatu eksprtu la regu, pzimy wanci przyjmuj nazwy zgodnie

z pnisz tabel:


14/197

Security Compliance Manager

(SCM)

Desired Configuration Management

(DCM)

Security Content

Automation Protocol

(SCAP)

Krytyczny Krytyczny Wysoki

Istotny Ostrzegawczy reni

Opcjonalny Informacyjny Niski

Niezdefiniowany Inny Nieznany

Tab. 2.1.1 Wykaz nazw pzimw wanci w zalenci wybraneg frmatu eksprtu

2.2. Projektowanie struktur jednostek organizacyjnych (OU) ze

szczeglnym uwzglnieniem zasa bezpieczeostwaUsuga katalgwa Active Directry umliwia scentralizwane zarzzanie infrastruktur

przesibirstwa. Dziki hierarchicznej buwej mna stwrzyd mel, ktry bzie uwzglnia

narzucne i pane aspekty bezpieczeostwa rganizacji.

Jednostka organizacyjna OU (z ang. Organizatinal Unit) jest kntenerem wewntrz meny Active

Directry Dmain Services (AD DS), ktry me zawierad uytkwnikw, grupy, kmputery raz inne

jenstki rganizacyjne. Wyrniamy narzne raz przne jenstki rganizacyjne.

Jen z wanych cech jenstek rganizacyjnych jest mliwd czania nich zbirw zasa

grupwych GPO. Dziki temu zaeklarwane ustawienia mg byd przekazywane znajujcych si

wewntrz biektw uytkwnikw i kmputerw. Datkw istnieje mliwd elegwania

kontroli administracyjnej (rys. 2.2.1) na jenstkami rganizacyjnymi, ziki czemu upraszcza si

zarzzanie.

Rys. 2.2.1 Kreator delegowania kontroli w Uytkwnicy i kmputery Active Directry.


15/197

Dziki jenstkm rganizacyjnym mna rwnie twrzyd granice aministracyjne zielajce

uytkwnikw kmputerw. Takie rzwizanie iealnie sprawza si w scenariuszach stswania

ustawieo wycznie eykwanych kmputerm raz wyczenie eykwanych uytkwnikm.

Najwaniejszym celem prjektwania struktury jenstek rganizacyjnych pwinna byd mliwd

jenlitej implementacji zasa grupwych z uwzglnieniem spenienia wszystkich stanarw izaleceo w zakresie bezpieczeostwa.

Na rysunku 2.2.2 zaprezentwana zstaa przykawa struktura uwzglniajca mliwe

zastswania pzimy jenstek rganizacyjnych w typwych rzwizaniach usug katalgwych

Active Directory.

Serwery

cznkwskie

Krzeo dmeny

Windows

Server 2012

Rola

serwerowa

1

Rola

serwerowa

2

Rola

serwerowa

3

Rola

serwerowa

4

Departament

Windows

8

Kontrolery

domeny

Uytkwnicy

Windows 8

Komputery

Windows 8

Rys. 2.2.2 Przykawa struktura jenstek rganizacyjnych la kmputerw raz uytkwnikw.

Krzeo meny

Ustawienia, ktre tycz zabezpieczeo caej meny mna stswad w ramach GPO czneg

meny. Na tym pzimie nie s zarzzane kmputery raz uytkwnicy.


16/197

Jednostki organizacyjne

Serwery penice rle kntrlerw meny przechwuj wiele wraliwychanych, w tym ane, ktre

kntrluj knfiguracj zabezpieczeo ich samych. Stswanie GPO na pzimie jenstki

organizacyjnej Kontrolery domeny umliwia knfiguracj i chrn kntrlerw meny.

Serwery cznkwskie

Stswanie zasa GPO preniej jenstki rganizacyjnej Serwery cznkwskie zapewnia

mliwd knfiguracji staych pcji la wszystkich serwerw bez uwzglniania pziau na penine

przez ni role.

Role serwerowe

Dbr praktyk jest twrzenie eykwanych jenstek rganizacyjnych la wszystkich rl

serwerwych w rganizacji. Dziki temu zachwuje si ujenlicny mel, ktry umliwia

stosowanie zasad GPO opartych na rolach serwerowych.

Dla serwerw utrzymujcych wiele rl mna twrzyd atkwe jenstki rganizacyjne zgnie z

ich knfiguracj. W klejnym krku takiej jenstki rganizacyjnej cza si zbiry GPO

eykwane krelnym rlm serwerwym. Naley zwrcid szczegln uwag na mieszane

knfiguracje, aby uwzglnid klejnd przetwarzania zasa GPO a tym samym uzyskiwane,

wynikowe ustawienia.

Departament

Wymagania w zakresie zabezpieczeo s rne i czst zalene s struktury rganizacyjnej. Tym

samym tworzenie jenstek rganizacyjnych la pszczeglnych kmrek pzwala na stswanie

ustawieo zabezpieczeo la kmputerw i uytkwnikw w zgzie z przyziaem bizneswym.

Uytkwnicy Winws 8

Stswanie specjalnych jenstek rganizacyjnych, w ktrych przechwywane s knta

uytkwnikw aje mliwd stswania eykwanych la nich zasa zabezpieczeo.

Komputery Windows 8

Stswanie eykwanych jenstek rganizacyjnych, w ktrych przechwywane s knta

kmputerw pzwala na stswanie ustawieo zabezpieczeo zarwn la kmputerw stacjnarnych

jak i mobilnych.

2.3. Prjektwanie biektw zasa grupwych(GPO) struktur jednostek

rganizacyjnych ze szczeglnym uwzglnieniem zasa bezpieczeostwaGPO jest zbirem zawierajcym ustawienia zasa grupwych, ktry efiniuje si w przystawce

Zarzzanie zasaami grupy (Rys. 2.3.1).


17/197

Rys. 2.3.1 Przystawka Zarzzanie zasaami grupy.

Ustawienia tam zawarte s przechwywane na pzimie meny i mg ziaywad na

uytkwnikw i/lub kmputery znajujce si w lkacji, domenach i jednostkach organizacyjnych.

Knfiguracja rczna ustawieo zapewniajcych ientyczne efekty me prwazid niespjnci. W

knsekwencji me t wymusid zapewnienie pwieniej ilci sb, ktre b pwiaay za

jenlite wrenie narzucnych zasad.

Wykrzystanie zasa grupwych w rnieniu rcznej knfiguracji ustawieo upraszcza pna t

zarzzanie raz zapewnia natychmiastw aktualizacj zmian la wielu kmputerw i

uytkwnikw. Zasay GPO zefiniwane w brbie meny napisuj ustawienia zasad lokalnych,c pzwala na utrzymanie centralneg melu zarzzania knfiguracj.

Klejnd przetwarzania GPO przestawina zstaa na rysunku 2.3.2.

1 Zasady lokalne

2 Zasady lokacji

3 Zasady domeny

4 Nadrzdne zasady OU

5 Pdrzdne zasady OU

Rys.2.3.2 Klejnd przetwarzania zasa GPO.


18/197

Jak pierwsze przetwarzane s zasay lkalne, nastpnie na pzimie lkacji, meny raz jenstek

rganizacyjnych. Zbiry znajujce si na pzimie jenstek rganizacyjnych s przetwarzane

hierarchicznie najwyszeg OU najniej pneg OU.

Tym samym ustawienia zefiniwane la kmputerw znajujce si na najniszym pzimie

hierarchii jenstek rganizacyjnych stswane s, jak statnie i maj najwyszy prirytet. Takieziaanie bwizuje systemw Winws Server 2003 SP2, Winws Server 2008, Windows XP

SP3 oraz Windows Vista. Dla uytkwnikw mel przetwarzania zasa jest ientyczny.

Istnieje kilka zaleceo zwizanych z prjektwaniem zasa grupwych, ktrych wart jest pamitad.

Aministratr pwinien ustalid klejnd czenia wielu GPO do jednostki organizacyjnej.

Dmylnie s ne stswane zgnie z klejnci czania na etapie knfiguracji. Zasay

znajujce si wyej na licie Klejnd czy maj wyszy prirytet. Tym samym w

przypadku zdefiniowania takiego samego ustawienia w wch zbirach zasa grupwych

efektywnym staje si t pchzce zbiru majceg wyszy prirytet.

Rys 2.3.3.. Zakaka Pwizane biekty zasa grupy efiniujca klejnd przetwarzania zasagrupowych.

W ramach knfiguracji GPO stpna jest opcja Wymuszone. Jej zastswanie pwuje, e

zefiniwane tam zasay nie b napisywane przez inne zbiry bez wzglu na ich

pzim czenia.

Stswanie ustawieo zasa grupwych cile zwizane jest z peniem biektw

uytkwnik i kmputer w AD DS. W niektrych scenariuszach pane jest natmiast

stswanie ustawieo la uytkwnika w parciu penie biektu kmputer. W takich

sytuacjach przyatna staje si pcja Tryb przetwarzania sprzenia zwrtneg zasa grupy

uytkwnika. Umliwia na stswanie ustawieo knfiguracji uytkwnika pchzceg

ze zbiru zawierajceg ustawienia knfiguracji kmputera.

Na pzimie lkacji, meny raz jenstki rganizacyjnej mna stswad pcj Zablokuj

dziedziczenie. Jej wczenie pwuje, e ustawienia pchzce narznych zbirw

GPO nie s przekazywane biektw prznych. Przy knfiguracji zawierajcej pcje

Wymuszoneoraz Zablokuj dziedziczenie waniejsz jest pcja Wymuszone.

W niesieniu wczeniej zaprpnwanej struktury jenostek organizacyjnych (rys. 3.3.2) projekt

zakaajcy wykrzystanie zasa grupwych pwinien uwzglnid zbiry GPO zapewniajce:

zasady dla domeny

zasay la kntrlerw meny


19/197

zasay la serwerw cznkwskich

zasay la kaej rli serwerwej w rganizacji

zasay la uytkwnikw zgrmaznych w jenstce rganizacyjnej Windows 8

zasay la kmputerw znajujcych si w jenstce organizacyjnej Komputery

Struktura speniajce pwysze warunki zstaa przestawina na rysunku 2.3.4.

Serwery

cznkwskie

Krzeo dmeny

Windows

Server 2012

Departament

Windows

8

Kontrolery

domeny

Uytkwnicy

Windows 8

Komputery

Windows 8

Zasadydla domeny

Zasady uytkwnika

Windows 8

Zasady uytkwnika

Internet Explorer 10

Zasady uytkwnika

Office 2013

Zasady uytkwnika

Windows 8

Zasady u ytkwnika

Internet Explorer 10

Zasady u ytkwnika

Office 2013

Zbir pdstawwy zasad

dla kntrlerw dmeny

Zasady dla

serwerw AD DS

Zasady dla

serwerw DHCP

Zasady dla

serwerw DNS

Zasady dla

serwerw Web

Zasady dla

serwerw plikw

Zasady dla

serwerw wydruku

Zasady dla

serwerw AD CS

Zasady dla

serwerw NPAS

Zasady dla

serwerw RDS

Zasady dla

serwerw Hyper-V

Zbir pdstawwy zasad

dla serwerw Windws Server 2012

Rys. 2.3.4 Przykawa struktura jenstek rganizacyjnych z wizaniami GPO la infrastruktury Winws 8

oraz Windows Server 2012.

2.4. Zastswanie filtrwania WMI w celu krelenia kanej grupy

celwej bircw zasa GPFiltrwanie parte instrumentacj zarzzania Winws WMI (z ang. Winws Management

Instrumentatin) stpne jest Winws XP i Winws Server 2003. Mechanizm WMI umliwia

ynamiczne sprawzanie wartci atrybutw tyczcych kmputerw, na ktre ma ziaywad


20/197

krelny zbir GPO. Atrybuty mg tyczyd anych knfiguracyjnych sprztu i/lub

prgramwania. Przykawymi atrybutami mg byd:

rodzaj procesora,

wersja Windows,

producent komputera,

wolne miejsce na dysku,

liczba prcesrw lgicznych,

dane odczytywane z rejestru,

informacje o sterownikach,

elementy systemu plikw,

konfiguracja sieciowa

dane aplikacji.

Jeli ze zbirem GPO zwizany jest filtr WMI nastpuje jeg przetwarzanie na stacji. Dziki temu tylk

w sytuacji spenienia krelnych filtrem WMI warunkw, ustawienia GPO zstan zastswane.

Zapytania WMI twrzne s z wykrzystaniem jzyka WQL (z ang. WMI Query Language), ktry jest

jzykiem pbnym SQL (z ang. Structure Query Language). Zapytania mg byd czne

operatorami AND i OR w zalenci ptrzeb.

Kae zapytanie WMI jest wyknywane w przestrzeni nazewniczej WMI. Dmyln przestrzeni jest

root\CIMv2.

Filtry WMI s zielnymi biektami GPO. Aby zastswad filtr WMI naley g czyd zbiru

GPO (Rys. 2.4.1).

Rys. 2.4.1 Dczenie filtru WMI zbiru GPO.

Kay zbir GPO me psiaad tylk jeen filtr WMI. Natmiast pjeynczy filtr WMI me byd

czany wielu GPO. Filtry WMI raz pwizane zbiry GPO musz znajwad si w tej samej

domenie.

W tabeli 2.4.2 zawarte zstay przykay filtrwWMI.

Kryterium Cel administracyjny Filtr WMI

Konfiguracja Zablkwanie wczaniaMicrosoft Network Monitor

(Netmon.exe) na stacjach,

ktre maj wczny ruchgrupowy.

SELECT * FROM Win32_NetworkProtocol

WHERE SupportsMulticasting = true


21/197


22/197

P pmylnym zainstalwaniu LcalGPO w ramach Menu Start stpny jest fler LcalGPO:

Rys.2.5.1 Folder LocalGPO w Menu Start.

2.6. mwienie i praktyczne zastswanie narzzia Attack Surface

Analyzer (ASA)Firma Micrsft ustpnia narzzie Attack Surface Analyzer (ASA), ktre umliwia krelenie

zmian dokonywanych na systemie operacyjnym komputera podczas instalacji oprogramowania.

Dziaanie narzzia ASA pprzezne jest karazw wyknaniem migawki stanu kmputera. P

instalacji aneg prgramwania wywietlany jest raprt zmianach w zakresie:

usug

sterwnikw

uruchminych prcesw

kontrolek COM

serwerw DCOM

zmian knanych w zakresie uprawnieo mylnych DCOM

skjarzeo rzszerzeo plikw

kontrolek Microsoft ActiveX

Internet Explorer Pluggable Protocol Handlers

Internet Explorer Silent Elevation Entries

Internet Explorer Preapproved Controls

prtw

strumieni nazw

regu zapry punktw kocwych wywao RPC

wpisw cieek

grup i cznkstwa w nich

zasbw sieciwych

Dziki raprtwi, ktry starcza ASA mna atw krelid wpyw instalacji prgramwania na

funkcje Windows oraz mna w atwy spsbje zweryfikwad.

2.7. mwienie mechanizmu knt MSA

Jen z nwych funkcji w Winws 7 SP1 raz Winws Server 2008 R2 s k onta MSA (z ang.Manage Service Accunts), ktre pzwalaj zmniejszyd ryzyk kmprmitacji knt uywanych


23/197

zarzzania usugami. Na stacjach lkalnych aministratr me knfigurwad aplikacje

uruchamiania w kntekcie knt Usuga lkalna, Usuga sieciowe lub System lokalny. W przypadku

meny zasig ziaania uniemliwia jenak ich wykrzystanie.

Stsujc stanarwe knta uytkwnikw uruchamiania aplikacji naley zabad plityk

zwizan z zarzzaniem hasami. Knta MSA umliwiaj w tym zakresie pen autmatyzacj.Datkw zapewniaj mliwd ustawiania la nich nazwy gwnej usugi SPN (z ang. Service

Principal Name) raz elegwanie zarzzania SPN.

Zarzazanie kntami MSA bywa si wycznie z pzimu PwerShell.

Kontrolery domeny dziaajce p kntrl Winws Server 2008 i Winws Server 2003 psiaaj

wsparcie dla kont MSA.

W Winws 8 raz Winws Server 2012 wprwazn grupy MSA. Zapewniaj ne mliwd

uycia knt MSA w rwisku, gzie wicej ni jeen kmputer wymaga uruchmienia usug za

pmc teg sameg knta.

2.8. Ustawienia zasad domenowych

Dmylnie biektw usugi katalgwej Active Directry Dmain Services stswana jest

graniczna liczba ustawieo zabezpieczeo. S ne knfigurwane w brbie wza Konfiguracja

komputera, w ramach:

Zasay hase

Zasady blokady konta

Pniej mwine zstay szczegwe ustawienia w zakresie tych gazi.

Zalecenia tyczce ustawieo w zalenci rli serwerwej znajuj si w narzziu Security

Compliance Manager (SCM).

2.8.1 Konfigurowanie ustawieo la zbiru Zasay hase

Jenym z kluczwych zaeo bezpieczeostwa systemw IT jest brze brana i ustalnaplityka tyczca hase. Takie elementy jak znd hase, cyklicznd zmiany czy wiamdich przechwywania skaaj si na gln plityk bezpieczeostwa stanwic kluczwy aspektcaci.

Zasay tyczce hase zrganizwane s w brbie gaziKonfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeo\Zasadykonta\Zasay hase

(Computer Configuration\Windows Settings\Security Settings\Account Policies\Password

Policy)

ZasadaPoziom

wanciUstawienie mylne

Ustawienie

zalecane przez

Microsoft

Wymuszaj tworzenie

histrii haseKrytyczny 24 pamitane hasa 24 pamitane

hasa

Maksymalny okreswanci hasa

Krytyczny 42 dni 60 dni


24/197

Minimalny kres wancihasa

Krytyczny 0 dni 1 zieo

Minimalna ugd hasa Krytyczny 0 znakw 14 znakw

Has musi speniadwymagania, co do

znci

Krytyczny Wyczne Wczne

Zapisz hasa la wszystkichuytkwnikw w menie,krzystajc z szyfrwaniaodwracalnego

Krytyczny Wyczne Wyczne

W hasach mg byd stswane znaki z czterech grup:

Wielkie litery

Mae litery

Cyfry

Znaki specjalne

Znd hasa (w kntekcie zasay Has musi speniad wymagania c znci)znacza, e s w nim wykrzystane znaki z c najmniej trzech pwyszych grup.

Zapewnienie zmiany hase przez uytkwnikw tylk w cile krelnym mmencie wymagaustalenia zasa tyczcych minimalneg i maksymalneg wieku hasa. Dla zasa Minimalnykres wanci hasa raz Maksymalny kres wanci hasa bwizuj pnisze zalenci.

Minimalny kres wanci hasaWartd minimalna 0znacza, e has me byd zmieniane w wlnym mmencie.Wartd maksymalna 998znacza, e has me byd zmienine p upywie 998 ni.

Maksymalny kres wanci hasaWartd minimalna 0znacza, e wand hasa nigy nie wygasa.Wartd maksymalna 999znacza, e wand hasa wygasa p 999 niach.

Mizy zasaami Minimalny kres wanci hasa a Maksymalny kres wanci hasabwizuje zalend:

Maksymalny kres wanci hasa= Minimalny kres wanci hasa+ 1

Dmylnie uytkwnicy mg zmienid swje has w interwale czaswym krelnym parametrami

minimalny i maksymalny kres wanci hasa. Jeli istnieje ptrzeba zablkwania mliwci

zmiany hasa przez uytkwnika w interwale narzucnym pwyszymi ustawieniami mna wczyd

polityk Usuo pcj Zmieo has (stpn p wciniciu klawiszy Ctrl+Alt+Delete) w ramach ustawieo

zasad grupowych w:

Konfiguracja uytkwnika\Szablony administracyjne\System\Opcje klawiszy Ctrl+Alt+Delete

2.9. Konfigurowanie ustawieo hase granularnychoraz dla zbioru Zasady

blokady konta

Wr ustawieo zwizanych z hasami uytkwnikw isttn rl peni ustawienia hase

granularnych (ang. Fine-Grained Password) oraz Zasady blokady konta.

Hasa granularne t rzwizanie, ktre umliwia wrenie melu ustawieo zasa hase

eykwaneg krelnym uytkwnikm lub grupm uytkwnikw. Jest t mliwe w rwisku

menwym pzimie funkcjnalnci meny Winws Server 2008.


25/197

Zasay blkay knta zapewniaj chrn prze prbami ganicia hase uytkwnikw.

Realizwane t jest przez zliczanie bnych prb lgwania i wyknanie krelnej akcji zwizanej

ze stanem knta uytkwnika. Zasay blkay knta znajuj si w gazi:

Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeo\Zasady

konta\Zasady blokady konta

(Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout

Policy)

ZasadaPoziom

wanciUstawienie mylne

Ustawienie zalecane

przez Microsoft

Czas trwania blokady

kontaKrytyczny Brak 15 minut

Prg blkay knta Krytyczny 0 nieuanych prb

zalogowania

5 nieuanych prb

zalogowaniaWyzeruj licznik blokady

konta poKrytyczny Brak 15 minut

2.10. Ustawienia zasad Computer Policy Settings

Ustawienia zabezpieczeo stswane la biektw Kmputer sskupine wk pniszych

gazi:

Zasady inspekcji

Przypisywanie praw uytkwnika

Opcje zabezpieczeo

Dziennik zarzeo

Zapora systemu Windows z zabezpieczeniami zaawansowanymi

Szablony administracyjne

2.11. Knfigurwanie szczegwych ustawieo zbiru Zasay inspekcjiZasay inspekcji umliwiaj grmazenie szczegwych infrmacji na temat aktywnci

uytkwnikw i systemu w krelnych kategriach.

W Windows 8 stpnych jest 9 kategrii gwnych raz ustawienia podkategorii stpne w gazi

Inspekcja globalneg stpu biektw.

Zasady inspekcji kategrii gwnych znajuj si w gazi:


lokalne\Zasady inspekcji

(Computer Configuration\Windows Settings\Security Settings\Local Policies\Reguy Auytu)

Przeprwazanie inspekcji zarzeo lgwania na kntach

Przeprwa inspekcj stpu biektw

Przeprwa inspekcj stpu usugi katalgwej


26/197

Przeprwa inspekcj lezenia prcesw

Przeprwa inspekcj uycia uprawnieo

Przeprwa inspekcj zarzzania kntami

Przeprwa inspekcj zarzeo lgwania

Przeprwa inspekcj zarzeo systemwych

Zasay inspekcji pkategrii znajuj si w gazi:

Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeo\Konfiguracja

zaawansowanych zasad inspekcji

(Computer Configuration\Windows Settings\Security Settings\Zaawanswana Knfiguracja Regu

Audytu)

Zasada

Poziom

wanci

Ustawienie

mylne

Ustawienie

zalecane przezMicrosoft

Przeprwa inspekcjweryfikacji pwiaczeo

Krytyczny Nie skonfigurowano Sukces i

Niepowodzenie

Przeprwa inspekcjusugi uwierzytelnianiaKerberos

Krytyczny Nie skonfigurowano Nie skonfigurowano

Przeprwa inspekcjperacji biletw usugiKerberos


Przeprwa inspekcj

innych zarzeo lgwaniana kontach


Przeprwa inspekcjzarzzania grupamiaplikacji


Przeprwa inspekcjzarzzania kntamikmputerw


Przeprwa inspekcjzarzzania grupamidystrybucyjnymi


Przeprwa inspekcjinnych zarzeo zarzzaniakontami

Krytyczny Nie skonfigurowano Sukces iNiepowodzenie

Przeprwa inspekcjzarzzania grupamizabezpieczeo

Krytyczny Sukces Sukces i

Niepowodzenie

Przeprwa inspekcjzarzzania kntamiuytkwnikw


Niepowodzenie

Przeprwa inspekcjziaania DPAPI


Przeprwa inspekcjtworzenia procesu

Krytyczny Nie skonfigurowano Sukces


27/197

Przeprwa inspekcjzakoczenia prcesu


Przeprwa inspekcjzarzeo RPC


Przeprwa inspekcj

szczegwej replikacjiusugi katalgwej


Przeprwa inspekcjstpu usugikatalogowej


Przeprwa inspekcjzmian usugi katalgwej


Przeprwa inspekcjreplikacji usugikatalogowej


Przeprwa inspekcj

blokady konta

Krytyczny Sukces Nie skonfigurowano

Przeprwa inspekcjtrybu rozszerzonego

prtku IPsec


Przeprwa inspekcjtrybu gwneg prtkuIPsec


Przeprwa inspekcjtrybu szybkieg prtkuIPsec


Przeprwa inspekcj

wylogowywania

Krytyczny Sukces Sukces

Przeprwa inspekcjlogowania


Niepowodzenie

Przeprwa inspekcjserwera zasad sieciowych

Krytyczny Sukces i

niepowodzenie

Nie skonfigurowano

Przeprwa inspekcjinnych zarzeologowania/wylogowywania


Przeprwa inspekcjlogowania specjalnego


Przeprwa inspekcj

wygenerowanych przezaplikacj


Przeprwa inspekcjprzemieszczania

centralnych zasa stpu


Przeprwa inspekcjusug certyfikacji


Przeprwa inspekcjszczegweg uziauplikw


Przeprwa inspekcj

uziau plikw



28/197

Przeprwa inspekcjsystemu plikw


Przeprwa inspekcjpczenia platfrmyfiltrowania


Przeprwa inspekcjprzucania pakietwplatformy filtrowania


Przeprwa inspekcjmanipulwania jciem


Przeprwa inspekcjbiektu jra


Przeprwa inspekcjinnych zarzeo stpu biektw


Przeprwa inspekcj

rejestru


Przeprwa inspekcjmagazynu wymiennego


Przeprwa inspekcjSAM


Przeprwa inspekcjzmiany zasad inspekcji


Niepowodzenie

Przeprwa inspekcjzmiany zasad

uwierzytelniania


Przeprwa inspekcj

zmiany zasad autoryzacji


Przeprwa inspekcjzmiany zasad platformy

filtrowania


Przeprwa inspekcjzmiany zasad na poziomie

reguy MPSSVC


Przeprwa inspekcjinnych zarzeo zmianyzasad


Przeprwa inspekcj

niepufneg uyciauprawnieo


Przeprwa inspekcj

innych zarzeo uycia

uprawnieo


Przeprwa inspekcj

pufneg uycia

uprawnieo


Niepowodzenie


29/197

Przeprwa inspekcj

sterownika IPsec


Niepowodzenie

Przeprwa inspekcj

innych zarzeo

systemowych

Krytyczny Sukces i

niepowodzenie

Nie skonfigurowano

Przeprwa inspekcj

zmiany stanu zabezpieczeo


Niepowodzenie

Przeprwa inspekcj

rozszerzenia systemu

zabezpieczeo


Niepowodzenie

Przeprwa inspekcj

integralnci systemu

Krytyczny Sukces i

niepowodzenie

Sukces i

Niepowodzenie

System plikw Krytyczny Nie skonfigurowano Nie skonfigurowano

Rejestr Krytyczny Nie skonfigurowano Nie skonfigurowano

2.12. Knfigurwanie szczegwych zasa zbioru Przypisywanie praw

uytkwnikaPrzypisywanie praw uytkwnika jest zbirem ustawieo, ktry mna efiniwad zapewniajc

uytkwnikm elegwanie cile krelnych czynnci na systemie peracyjnym.

Zbir Przypisywanie praw uytkwnika znajuje si w gazi:


lokalne\Przypisywanie praw uytkwnika

(Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights

Assignment)

ZasadaPoziom

wanciUstawienie

mylne

Ustawienie

zalecane przezMicrosoft

Blkuj strny w pamici Istotny - -

Debuguj programy Krytyczny Administratorzy Administratorzy

Dodaj stacje robocze do

domeny

Istotny - -

Dstsuj przyziaypamici la prcesw

Istotny Administratorzy,

Usuga lkalna, Usugasieciowa

Administratorzy,


Dziaanie jak czd

systemu operacyjnego

Krytyczny - -


30/197

Generuj inspekcje

zabezpieczeoKrytyczny Usuga lkalna, Usuga

sieciowa


Logowanie w trybie

usugiKrytyczny NT Services\All services -

Logowanie w trybie

wsadowym


Operatorzy kopiizapasowych,

Uytkwnicyziennikw wyajnci

-

auj i zwalniajsterwniki urzzeo

Istotny Administratorzy Administratorzy

Myfikuj etykietobiektu

Istotny - -

Myfikuj wartcirwiskweoprogramowania

ukaweg


Obej sprawzanie przy

przechodzeniu

Krytyczny Administratorzy,

Operatorzy kopii

zapaswych, Usuga

lkalna, Usuga

sieciwa, Uytkwnicy,

Wszyscy

Administratorzy,

Usuga sieciwa, Usuga

lkalna, Uytkwnicy

Odmawiaj logowania za

pomoc usug pulpituzdalnego

Opcjonalny - Gcie

Omwa stpu

tego komputera z sieci

Krytyczny Gd Gcie

Odmowa logowania

lokalnego

Krytyczny Gd Gcie

Odmowa logowania w

trybie usugi

Krytyczny - -

Odmowa logowania w

trybie wsadowym

Krytyczny - Gcie

Okrel knta

kmputerw i

uytkwnikw jak

zaufane w kwestii

delegowania

Krytyczny - -

Personifikuj klienta po

uwierzytelnieniu


Usuga, Usuga lkalna,Usuga sieciwa

Administratorzy,

Usuga, Usuga lkalna,Usuga sieciowa

Profiluj pojedynczy

proces



31/197

Prfiluj wyajndsystemu

Istotny Administratorzy, NT

Service\WdiServiceHost

Administratorzy, NT

Service\WdiServiceHost

Przejmij na wasnd plikilub inne obiekty


Przywracaj pliki i katalogi Istotny Administratorzy,

Operatorzy kopiizapasowych

Administratorzy

Synchrnizuj ane usugikatalogowej

Istotny - -

Usuo kmputer ze stacjikujcej

Opcjonalny Administratorzy,

Uytkwnicy-

Utwrz cza symbliczne Istotny Administratorzy Administratorzy

Utwrz biekt tkenu Istotny - -

Utwrz biekty glbalne Istotny Administratorzy,Usuga, Usuga lkalna,Usuga sieciwa

Administratorzy,

Usuga, Usuga lkalna,Usuga sieciwa

Utwrz plikstronicowania

Krytyczny Administratorzy Administratorzy

Utwrz trwae biektyustpnine

Istotny - -

Uzyskaj stp Meneera pwiaczeo

jako zaufany obiekt

wywujcy

Istotny - -

Uzyskiwanie stpu

tego komputera z sieci


Operatorzy kopii

zapasowych,

Uytkwnicy, Wszyscy

Administratorzy,

Uytkwnicy

Wykonuj kopie zapasowe

plikw i katalgwIstotny Administratorzy,

Operatorzy kopii

zapasowych

Administratorzy

Wykonuj zadania

knserwacji wluminw


Wymuszaj zamknicie z

systemu zdalnego


Zamieo tken napoziomie procesu

Istotny Usuga lkalna, Usugasieciowa


Zamknij system Istotny Administratorzy,

Operatorzy kopii

zapasowych,

Uytkwnicy

Administratorzy,

Uytkwnicy

Zarzzaj ziennikami

inspekcji i zabezpieczeo



32/197

Zezwalaj na logowanie

lokalne


Gcie, Operatrzy

kopii zapasowych,

Uytkwnicy

Administratorzy,

Uytkwnicy

Zezwalaj na logowanie zapmc usug pulpituzdalnego

Istotny Administratorzy,Uytkwnicy pulpituzdalnego

-

Zmieo czas systemwy Istotny Administratorzy,Usuga lkalna

Administratorzy,

Usugalokalna

Zmieo stref czasw Istotny Administratorzy,Usuga lkalna,Uytkwnicy

Administratorzy,

Usuga lkalna,Uytkwnicy

Zwiksz prirytetplanowania


Zwiksz zestaw rbczy

procesu

Istotny Uytkwnicy Administratorzy,

Usuga lkalna

2.13. Knfigurwanie szczegwych zasa zbiru pcje zabezpieczeo

Ustawienia w ramach gazi Opcje zabezpieczeo starczaj szerkich mliwci knfiguracji

zabezpieczeo, ktre s uprzkwane weug grup.


lokalne\pcje zabezpieczeo

(Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options)

ZasadaPoziom

wanciUstawienie

mylne

Ustawienie

zalecane przez

Microsoft

Cznek meny:

maksymalny wiek hasa

konta komputera


Cznek meny:

podpisuj cyfrowo dane

bezpieczneg kanau -

gy t mliwe

Krytyczny Wczne Wczne

Cznek meny: szyfruj

cyfrowo dane

bezpieczneg kanau -

gdy to mliwe


Cznek meny: szyfruj

lub podpisuj cyfrowo

dane bezpiecznego

kanau - zawsze



33/197

Cznek meny: wycz

zmiany hasa knta

komputera


Cznek meny:

wymagaj silnego klucza

sesji (system Windows

2000 lub nowszy)


DCOM: Ograniczenia

tyczce stpu kmputera w skani

jzyka SDDL (SecurityDescriptor Definition

Language)

Opcjonalny Niezdefiniowane Niezdefiniowane

DCOM: Ograniczenia

tyczce uruchamianiakmputera w skani

jzyka SDDL (SecurityDescriptor Definition

Language)


Dstp sieciwy:nazwane potoki, do

ktrych mna uzyskiwadstp annimw

Istotny - Niezdefiniowane

Dstpsieciowy: nie

zezwalaj na anonimowe

wyliczanie kont SAM


Dstp sieciwy: nie

zezwalaj na anonimowe

wyliczanie kont SAM i

uziaw


Dstp sieciwy: nie

zezwalaj na

przechwywanie hase

ani pwiaczeo

uwierzytelniania

sieciowego

Krytyczny Wyczne Niezdefiniowane

Dstp sieciwy:ogranicz anonimowy

stp nazwanychptkw i uziaw

Istotny Wczne Wczne


34/197

Dstp sieciwy: ciekirejestru, ktrychmna uzyskiwad stpanonimowo

Istotny System\CurrentControl

Set\Control\ProductOp

tions

System\CurrentControl

Set\Control\Server

ApplicationsSoftware\Microsoft\Wi

ndows

NT\CurrentVersion


Set\Control\ProductOp

tions


Set\Control\Server

ApplicationsSoftware\Microsoft\Wi

ndows

NT\CurrentVersion

Dstp sieciwy: ciekirejestru, ktrychmna uzyskiwad stpannimw i ciekiprzne

Istotny System\CurrentControl

Set\Control\Print\Print

ers


Set\Services\Eventlog

Software\Microsoft\OL

AP Server

Software\Microsoft\Windows

NT\CurrentVersion\Pri

nt

Software\Microsoft\Wi

ndows

NT\CurrentVersion\Wi

ndows


Set\Control\ContentInd

ex

System\CurrentControlSet\Control\Terminal

Server


Set\Control\Terminal

Server\UserConfig



Server\DefaultUserCon

figuration


ndows

NT\CurrentVersion\Per

flib


Set\Services\SysmonLo

g


Set\Control\Print\Print

ers


Set\Services\Eventlog

Software\Microsoft\OL

AP Server

Software\Microsoft\Windows

NT\CurrentVersion\Pri

nt


ndows

NT\CurrentVersion\Wi

ndows


Set\Control\ContentInd

ex

System\CurrentControlSet\Control\Terminal

Server



Server\UserConfig



Server\DefaultUserCon

figuration


ndows

NT\CurrentVersion\Per

flib


Set\Services\SysmonLo

g

Dstp sieciwy:

ustpnianie i mel

zabezpieczeo la knt

lokalnych

Krytyczny Klasyczny

uwierzytelnianie

uytkwnikw

lokalnych, jako samych

siebie

Klasyczny

uwierzytelnianie

uytkwnikw

lokalnych, jako samych

siebie


35/197

Dstp sieciwy: uziay, ktrych mnauzyskiwad stpanonimowo

Istotny Niezdefiniowane Niezdefiniowane

Dstp sieciwy:

zezwalaj na annimwtranslacj

ientyfikatrw

SID/nazw


Dstp sieciwy:

zezwalaj na stosowanie

uprawnieo Wszyscy

anonimowych

uytkwnikw


Inspekcja: inspekcjonuj

stp glbalnych

biektw systemu


Inspekcja: inspekcjonuj

uycie prawa

wykonywania kopii

zapasowych i

przywracania


Inspekcja: wymu

ustawienia podkategorii

zasad inspekcji (system

Windows Vista lub

nwszy), aby zastpid

ustawienia kategorii

zasad inspekcji

Krytyczny Niezdefiniowane Wczne

Inspekcja: zamknij

system natychmiast, jeli

nie mna rejestrwad

wynikw inspekcji


Klient sieci Microsoft:

podpisuj cyfrowo

kmunikacj (za zg

serwera)



podpisuj cyfrowo

kmunikacj (zawsze)



36/197


wylij niezaszyfrwane

has w celu nawizania

pczenia z innymi

serwerami SMB


Konsola odzyskiwania:

zezwalaj na

automatyczne logowanie

administracyjne


Konsola odzyskiwania:

zezwalaj na kopiowanie

na yskietk raz stp wszystkich yskw iflerw

Istotny Wyczne Wyczne

Konta: blokuj konta

Microsoft

Krytyczny Niezdefiniowane Uytkwnicy nie mgawad kntMicrsft ani lgwadsi za ich pmc

Knta: granicz uywanie

pustych hase przez

konta lokalne tylko do

logowania do konsoli


Konta: Stan konta

administratora


Knta: Stan knta gcia Krytyczny Wyczne Wyczne

Konta: Zmienianie nazwy

konta administratora

Krytyczny Administrator Niezdefiniowane

Konta: Zmienianie nazwy

knta gciaIstotny Gd Niezdefiniowane

Kontrola konta

uytkwnika:

pnszenie uprawnieo

tylko tych aplikacji z

poziomem UIAccess,

ktre s zainstalowane w

bezpiecznych

lokalizacjach



37/197

Kontrola konta

uytkwnika:

pnszenie uprawnieo

tylk tych plikw

wyknywalnych, ktre s

ppisane i maj

sprawzn pprawnd


Kontrola konta

uytkwnika: przecz na

bezpieczny pulpit przy

monitowaniu o

pniesienie uprawnieo


Kontrola konta

uytkwnika: trybzatwierdzania przez

administratora dla

wbudowanego konta

administratora


Kontrola konta

uytkwnika:

uruchamianie wszystkich

aministratrw w trybie

zatwierdzania przez

administratora


Kontrola konta

uytkwnika: wirtualizuj

by zapisu plikw i

rejestru w lokalizacjach

pszczeglnych

uytkwnikw


Kontrola kontauytkwnika:

wykrywanie instalacji

aplikacji i monitowanie o

pniesienie uprawnieo


Kontrola konta

uytkwnika: zachwaniemonitu o podniesienie

uprawnieo laaministratrw w trybiezatwierdzania przez

administratora

Krytyczny Mnituj zg napliki binarne

niepchzce zsystemu Windows

Mnituj zg nabezpiecznym pulpicie


38/197

Kontrola konta

uytkwnika: zachwaniemonitu o podniesienie

uprawnieo lauytkwnikw

standardowych

Krytyczny Monituj o

pwiaczeniaAutomatycznie

rzucaj aniapodniesienia

Kontrola konta

uytkwnika: zezwalajaplikacjom z poziomem

UIAccess na

monitowanie o

pniesienie uprawnieobez uywaniabezpiecznego pulpitu


Kryptografia systemu:

uyj zgnych

algrytmw FIPS lacelw szyfrwania,twrzenia skrtu ipodpisywania

Istotny Wyczne Wczne

Kryptografia systemu:

wymu mcn chrnklucza dla kluczy

uytkwnikwprzechowywanych na

komputerze

Istotny Wyczne Niezdefiniowane

Logowanie interakcyjne:

liczba poprzednichzalgwao zbuforowania (w

przypadku

niestpncikontrolera domeny)

Krytyczny 10 lgwao 4 logowania


Limit nieaktwyncikomputera

Krytyczny Niezdefiniowane 900 sekund


mnituj uytkwnika

zmian hasa prze jegwyganiciem



nie wymagaj naciniciaklawiszy CTRL+ALT+DEL

Krytyczny Niezdefiniowane Wyczne


nie wywietlajnazwystatnieg uytkwnika



prg blkay kntakomputera

Krytyczny Niezdefiniowane 10 nieprawiwychprb lgwania


39/197


tekst komunikatu dla

uytkwnikwprbujcych sizalogowad

Krytyczny Niezdefiniowane Niezdefiniowane

Logowanie interakcyjne:tytu kmunikatu lauytkwnikwprbujcych sizalgwad



wymagaj karty

inteligentnej



wymagaj

uwierzytelnienia

kontrolera domeny doodblokowania stacji

roboczej



wywietlaj infrmacje uytkwniku, gy sesja

jest zablokowana

Istotny Niezdefiniowane Niezdefiniowane


zachowanie przy

usuwaniu karty

inteligentnej

Istotny Brak akcji Zablkuj stacj rbcz

Obiekty systemu:wymagaj nierzrnianiawielkci liter lapsystemw innych niWindows

Istotny Wczne Wczne

Obiekty systemu:

wzmocnij uprawnienia

mylne wewntrznychbiektw systemu (np.czy symblicznych)


Serwer sieci Microsoft:

kres bezczynnciwymagany dla

wstrzymania sesji

Krytyczny 15 minut 15 minut


podpisuj cyfrowo

kmunikacj (za zgklienta)



podpisuj cyfrowo

kmunikacj (zawsze)



40/197


poziom sprawdzania

pprawnci celwejgwnej nazwy usugiserwera

Krytyczny Niezdefiniowane Zaakceptuj, jelidostarczone przez

klienta

Serwer sieci Microsoft:rzczaj klientw pupywie limitu czasulogowania


Urzzenia: graniczstp stacji CD-ROMtylk uytkownikazalogowanego lokalnie


Urzzenia: graniczstp stacjidyskietek tylko do

uytkwnikazalogowanego lokalnie


Urzzenia: zapbiegajinstalacji sterwnikwdrukarek przez

uytkwnikw


Urzzenia: zezwalaj naoddokowywanie bez

ptrzeby lgwania si

Opcjonalny Wczne Niezdefiniowane

Urzzenia: zezwlnna formatowanie i

wysunicie wymiennegnnika

Istotny Niezdefiniowane Administratorzy i

uytkwnicy

interakcyjni

Ustawienia systemowe:

opcjonalne podsystemy

Opcjonalny Posix Niezdefiniowane

Ustawienia systemowe:

uyj regu certyfikatw plikwwykonywalnych systemu

Windows dla Zasad

graniczeooprogramowania


Zabezpieczenia sieci:minimalne

zabezpieczenia sesji dla

klientw partych naNTLM SSP (wczajcsecure RPC)

Krytyczny Wymagaj szyfrowania128-bitowego

Wymaga zabezpieczeosesji NTLMv2, Wymagaj

szyfrowania 128-

bitowego

Zabezpieczenia sieci:

minimalne

zabezpieczenia sesji dla

serwerw partych naNTLM SSP (wczajc

secure RPC)

Krytyczny Wymagaj szyfrowania

128-bitowego

Wymaga zabezpieczeosesji NTLMv2, Wymagaj

szyfrowania 128-

bitowego


41/197

Zabezpieczenia sieci: nie

przechowuj wartciskrtu (hash) prgramuLAN Manager dla

nastpnej zmiany hasa


Zabezpieczenia sieci:poziom uwierzytelniania

LAN Manager

Krytyczny Wylij tylk pwieNTLMv2 Wylij tylk pwieNTLMv2. Omw LM iNTLM.

Zabezpieczenia sieci:

wymagania

podpisywania klienta

LDAP

Krytyczny Negocjuj podpisywanie Negocjuj podpisywanie

Zabezpieczenia sieciowe:

knfigurwanie typwszyfrowania

dozwolonych dla

prtku Kerbers

Istotny Niezdefiniowane RC4/AES128/AES256/pr

zysze typy szyfrowania


Ograniczania ruchu

NTLM: Daj wyjtki laserwerw z tej meny



Ograniczanie ruchu

NTLM: Daj wyjtki laserwerw zalnych wcelu uwierzytelniania

NTLM


Zabezpieczenia sieciowe:Ograniczanie ruchu

NTLM: Przeprwainspekcjprzychzceg ruchuNTLM



Ograniczanie ruchu

NTLM: Przeprwainspekcjuwierzytelniania NTLM w

tej domenie



Ograniczanie ruchu

NTLM: Przychzcy ruchNTLM



Ograniczanie ruchu

NTLM: Uwierzytelnianie

NTLM w tej domenie



42/197


Ograniczanie ruchu

NTLM: Wychzcy ruchNTLM serwerwzdalnych


Zabezpieczenia sieciowe:Wymu wylgwanieuytkwnikw pupyniciu czasulogowania



Zezwalaj kontu

systemowi lokalnemu na

uywanie pustych sesji

Istotny Niezdefiniowane Wyczne


Zezwalaj lokalnemu

systemowi nauwierzytelnianie NTLM

przy uyciu tsamcikomputera

Istotny Niezdefiniowane Wczne


Zezwalaj na wysyanieao uwierzytelnianiaPKU2U do tego

komputera w celu

uywania tsamcionline

Istotny Niezdefiniowane Wyczne

Zamknicie: wyczyd plikstrnicwania pamiciwirtualnej


Zamknicie: zezwalaj nazamykanie systemu bez

kniecznci zalgwania

Istotny Wczne Wczne

2.14. Knfigurwanie ustawieo MSSWr wielu ustawieo zabezpieczeo istniej takie, ktre nie maj reprezentacji w pstaci zasa GPO.

Mna je za t efiniwad pprzez bezprenie wpisy w rejestrze. Ustawienia teg typu psiaaj

prefiks MSS (z ang. Microsoft Solutions for Security).

Wanym aspektem zarzzania ustawieniami MSS jest, e nie s usuwane wraz z usuwaniem

szablnw zabezpieczeo. T wymusza ich rczn knfiguracj z pzimu rejestru systemu

(regedit32.exe).

2.15. Ptencjalne zagrenia zwizane z zasaami ppisywania cyfrweg

pakietw SMBPrtk SMB (z ang. Server Message Blck) znany rwnie, jak CIFS (z ang. Cmmn Internet File

System) zapewnia mety ustpniania zasbw kmputerwych takich jak pliki, rukarki czy prty

szeregowe.


43/197

W sytuacji nawizywania przez klienta wykrzystujceg SMB w wersji 1 pczenia w sesji konta

inneg ni knt Gd lub logowania nie anonimowego, kiey zasay ppisywania SMB s wczne

klient wcza ppisywanie cyfrwe kmunikacji la serwera, a klejne nawizane sesje b

zieziczyy i stsway ppisan cyfrw kmunikacj SMB. W Windows 8 w celu zwikszenia

zasa bezpieczeostwa pczenia uwierzytelnine przez serwer s chrnine prze egraacj

poziomu sesji Gd lub Anonimowe.

Pwysza zasaa nie tyczy scenariusza, w ktrym kntrlery meny pracuj p kntrl

Winws Server 2003 a stacjami klienckimi s Winws Vista SP2 lub Winws Server 2008.

Majc t na uwaze, aby zachwad jenlite zachwanie zasa ppisywania pakietw SMB naley

sknfigurwad pnisze ustawienia znajujce si w gazi:




W zakresie kontrolera domeny pracujceg p kntrl Winws Server 2003:

Zasada Poziom

wanciUstawienie

mylneUstawienie

zalecane przez

Microsoft


podpisuj cyfrowo

kmunikacj (za zg

klienta)

Krytyczny Wczny Wczny


podpisuj cyfrowo

kmunikacj (zawsze)

Krytyczny Wczny Wczny

W zakresie kmputerw bcych cznkami meny pracujcymi p kntrl Winws

Vista SP1 lub Windows Server 2008

Zasada Poziom

wanciUstawienie

mylneUstawienie

zalecane przez

Microsoft


podpisuj cyfrowo

kmunikacj (za zgklienta)

Krytyczny Wyczne Wczny


podpisuj cyfrowo

kmunikacj (zawsze)

Krytyczny Wyczne Wczny

Omawiane prblemy zstay rzwizane w Winws Server 2008 SP2 oraz Windows Vista SP2.


44/197

2.16. Ograniczenie stosowania mechanizmu uwierzytelnienia NTLM

Uwierzytelnianie NT LAN Manager (NTLM) jest wszechobecne w wielu sieciach komputerowych

nawet, jeli stpne s barziej bezpieczne prtky uwierzytelniania Winws. W Wi ndows 8

pjawiy si nwe zasay zabezpieczeo pzwalajce na analiz i graniczanie wykrzystania NTLM w

rwisku IT. Funkcje te bejmuj zbieranie anych, analiz ruchu NTLM raz prces metyczny,

ktry wprwaza graniczenia w ruchu NTLM na rzecz silniejszych prtkw uwierzytelniania

takich jak Kerbers. Ograniczenie uycia prtku NTLM wymaga wiezy na temat wykrzystania g

przez aplikacj raz strategii i krkw ptrzebnych knfiguracji infrastruktury pracy z innymi

prtkami.

Zasady umliwiajce auyt raz graniczenie wykrzystania ruchu NTLM znajuj si w gazi:




i bejmuj:

w zakresie audytu:

o Zabezpieczenia sieciwe: Ograniczanie ruchu NTLM: Przeprwa inspekcjprzychzceg ruchu NTLM

o

Zabezpieczenia sieciwe: Ograniczanie ruchu NTLM: Przeprwa inspekcjuwierzytelniania NTLM w tej domenie

w zakresie ograniczania

o Zabezpieczenia sieciwe: Ograniczanie ruchu NTLM: Przychzcy ruch NTLM

o Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Uwierzytelnianie NTLM w tej

domenie

o Zabezpieczenia sieciwe: Ograniczanie ruchu NTLM: Wychzcyruch NTLM doserwerw zalnych

2.17. Knfigurwanie szczegwych zasa zbiru Dziennik zarzeoRejestrwanie zarzeo naley najwaniejszych zaao realizwanych w bszarze bezpieczeostwa

Winws, ktre mna przeglad z pzimu Dzienn ika zarzeo. Isttnym aspektem knfiguracji s

atrybuty ziennikw zwizane z ich rzmiarem, prawami stpu raz met napisywania

zarzeo.

Zasay umliwiajce knfiguracj wymieninych atrybutw znajuj si gazi:

Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeo\Dziennik zarzeo

(Computer Configuration\Windows Settings\Security Settings\Event Log)


45/197

Maksymalny rozmiar dziennika aplikacji

Maksymalny rozmiar dziennika systemu

Maksymalny rzmiar ziennika zabezpieczeo

Metoda przechowywania dziennika aplikacji

Metoda przechowywania dziennika systemu

Meta przechwywania ziennika zabezpieczeo

Omawiaj stpu lkalnej grupie gci ziennika aplikacji

Omawiaj stpu lkalnej grupie gci ziennika systemu

Omawiaj stpu lkalnej grupie gci ziennika zabezpieczeo

Przechowuj dziennik aplikacji przez

Przechowuj dziennik systemu przez

Przechwuj ziennik zabezpieczeo przez

2.18. Szczegwa knfiguracja zapry systemu Winws Firewall with

Advanced SecurityPrecyzyjna knfiguracja narzzia Zapra systemu Winws z zabezpieczeniami zaawanswanymi

jest mliwa z pzimu zasa grupwych w ramach gazi

Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeo\Zapora systemu

Windows z zabezpieczeniami zaawansowanymi

(Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced

Security)


46/197

Rys. 2.18.1 Ustawienia zasad grupowych dla Zapory systemu Windows z ustawieniami zaawansowanymi.

W ramach stpnych ustawieo mna knywad zmian w zakresie:

Ustawieo glnych zapry stpnych we waciwciach narzzia Zapra systemu

Windows z zabezpieczeniami zaawansowanymi

Wywietlanie i twrzenie regu wchzcych i wychzcych zapry

Wywietlanie i twrzenie regu w zakresie uwierzytelniania kmunikacji mizy kmputerami

Przystpujc knfiguracji ustawieo naley sprecyzwad prfil sieciwy, la ktreg b

definiowane ustawienia.

W ramach narzzia Zapra systemu Winws z zabezpieczeniami zaawanswanymi stpne s

pniej opisane profile sieciowe.

Profil domenowy

Prfil stswany jest, kiey kmputer zsta pczny sieci raz nastpi uwierzytelnienie

kntrlera meny, ktreg naley kmputer. Dmylna knfiguracja prfilu umliwia

nawizywanie sesji Pulpitu zdalnego oraz Pomocy zdalnej.


47/197

Profil prywatny

Prfil stswany jest, jeli uytkwnik psiaajcych pwiaczenia lkalneg aministratra

przypisze g w ramach bieceg pczenia sieciweg. Zaleca si, aby uywad prfilu prywatneg

w sieciach zaufanych.

Profil publicznyJest t mylny prfil i stswany jest w scenariuszach, kiey kmputer nie jest czny

meny. Stanwi n zbir najbarziej restrykcyjnych ustawieo, w ktrych wyczna jest

kmunikacja wchzca.

2.19. Usuga Winws UpateUsuga Winws Upate umliwia systematyczne sprawzanie kmputera p ktem wymaganych

aktualizacji. Wszystkie pprawki mylnie ystrybuwane s pprzez witryn Winws Upate.

Alternatywnie mna utwrzyd infrastruktur, ktra bzie umliwiaa lkaln ystrybucj

pprawek z centraln synchrnizacj witryny Winws Upate. Realizuje si t za pmc

serweraWSUS (z ang. Windows Server Update Services)13. Zastosowanie serwera WSUS zapewnia:

Aministracyjn kntrl na synchrnizacj pprawek z witryny Winws Upate, ktre

b ystrybuwane lkalnie,

Lokalny serwer Windows Update,

Aministracyjn kntrl na pprawkami,

Autmatyczn aktualizacj kmputerw (stacji rbczych i/lub serwerw).

Knfiguracja klientw serwera WSUS realizwana jest pprzez ustawienia zasa grupwych stpne

w gazi:

Konfiguracja komputera\Szablony administracyjne\Skaniki systemu Winws\Usuga Winws

Update

(Computer Configuration\Administrative Templates\Windows Components\Windows Update)

Nie wywietlaj pcji Zainstaluj aktualizacje i zamknij system w knie ialgwym

Zamykanie systemu Windows

Nie ustawiaj pcji mylnej na Zainstaluj aktualizacje i zamknij system w knie

dialogowym Zamykanie systemu Windows Nie skonfigurowano

Wczanie Opcji zasilania, aby funkcja Winws Upate autmatycznie wznawiaa system w

celu zainstalowania zaplanowanych aktualizacji

Konfigurowanie aktualizacji automatycznych

Okrel lkalizacj intranetwej usugi aktualizujcej firmy Micrsft

Czsttliwd wykrywania aktualizacji autmatycznych

Zezwalaj, aby uytkwnicy inni ni aministratrzy trzymywali pwiamienia aktualizacji

Wcz pwiamienia prgramwaniu

Zezwalaj na natychmiastw instalacj aktualizacji automatycznych

Wcz zalecane aktualizacje za pmc aktualizacji autmatycznych

13http://technet.microsoft.com/en-us/windowsserver/bb332157.aspx
http://technet.microsoft.com/en-us/windowsserver/bb332157.aspxhttp://technet.microsoft.com/en-us/windowsserver/bb332157.aspxhttp://technet.microsoft.com/en-us/windowsserver/bb332157.aspxhttp://technet.microsoft.com/en-us/windowsserver/bb332157.aspx


48/197

Bez automatycznego uruchamiania ponownego dla zaplanowanych instalacji aktualizacji

autmatycznych przy zalgwanych uytkwnikach

Pnw mnit pnwne uruchmienie komputera z zaplanowanymi instalacjami

Opniaj pnwne uruchmienie kmputera la zaplanwanych instalacji

Zaplanuj ponownie zaplanowane instalacje aktualizacji automatycznych

Wcz knfigurwanie celwej strny klienta

Zezwalaj na podpisane aktualizacje z intranetwej lkalizacji usugi aktualizacji firmy

Microsoft

D prawiweg ziaania klienta z serwerem WSUS naley sknfigurwad minimum cztery zasay:

Okrel lkalizacj intranetwej usugi aktualizujcej firmy Micrsft

Konfigurowanie aktualizacji automatycznych

Bez automatycznego uruchamiania ponownego dla zaplanowanych instalacji aktualizacji

autmatycznych przy zalgwanych uytkwnikach

Zaplanuj ponownie zaplanowane instalacji aktualizacji automatycznych

2.20. Ataki na usug zintegrwaneg uwierzytelniania systemu Windows

plegajce na przekazywaniu pwiaczeoPraniki Bezpieczeostwa Micrsft MSA (z ang. Micrsft Security Avisry) zawieraj infrmacj

na temat ryzyka atakw zwizanych z przechwyceniem pwiaczeo uytkwnika wykrzystujceg

usug zintegrwaneg uwierzytelniania systemu Winws IWA (z ang. Integrate Winws

Authenticatin). Teg typu naruszenia bezpieczeostwa mg wystpid pprzez ataki typu czwiek

prku (ang. man-in-the-middle) lub poprzez sprowokowanie uruchomienia przez uytkwnika

knkretneg nnika.

Pniej przestawine zstay wa przykay teg typu atakw:

Przekazanie pwiaczeo

W tym scenariuszu atak nastpuje, kiey przechwycne pwiaczenia s wykrzystywane

lgwania si innych usug ni fiara miaa stp.

Obicie pwiaczeo

Teg typu atak zakaa wykrzystanie przechwycnych pwiaczeo pnwneg

lgwania si na kmputerze fiary.

W celu zmniejszenia ryzyka teg typu atakw ustpnina zstaa funkcja EPA (z ang. Extended

Protection for Authentication) zawarta w Windows 8 oraz w Windows Server 2012. Dla poprzednich

wersji Windows EPAjest stpna, czstjako aktualizacja.

Szczegwe infrmacje knfiguracji EPA la wczeniejszych wersji Winws znajuj si w

KB968389 (http://support.microsoft.com/kb/976918).

W zaeniach zintegrwaneg uwierzytelniania Winws przyjt, e niektre pwiezi

uwierzytelniania s uniwersalne, c umliwia ich atwe pwtrne uycie lub przekazanie. St zaleca

si, jak minimum knstrukcj, w ktrej knstrukcja pwiezi w kmunikacji zawiera krelne

infrmacje kanale kmunikacji. Dziki temu usugi maj zapewnin rzszerzn chrn w
http://support.microsoft.com/kb/976918http://support.microsoft.com/kb/976918http://support.microsoft.com/kb/976918http://support.microsoft.com/kb/976918


49/197

zakresie pwiezi uwierzytelniania zawierajcych krelne infrmacje tyczce usug, takie jak

SPN (z ang. Service Principal Name).


50/197

3. Spsby chrny prze zliwym prgramwaniem

Oprgramwaniem zliwym, malware (ang. malicious software) krelany jest kay program

kmputerwy lub skrypt, majcy szkliwe lub zliwe ziaanie w stsunku uytkwnika

kmputera. Przykaami prgramwania zliweg s: wirusy, rbaki, knie trjaoskie, rtkity

raz prgramwanie szpiegujce( ang. Spyware), ktre grmaz infrmacje na temat ziaalnci

uytkwnika bez uprzeniej zgy uytkwnika systemu.

Windows 8 zsta zbuwany w parciu technologie wprowadzone w systemach Windows Vista i

Windows 7. Technolgie te zawieraj kilka nwych rzwizao, ktre mg zstad wykrzystane w

celu zapewnienia ochrony przed oprogramowaniem zliwym la kmputerw prac

Documents

Przewodnik Zabezpieczen Systemu Win 8 1