Przewodnik Zabezpieczen Systemu Win 8 1
-
Upload
mateusz-halicki -
Category
Documents
-
view
221 -
download
0
Transcript of Przewodnik Zabezpieczen Systemu Win 8 1
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
1/197
PRZEWODNIK ZABEZPIECZEO
SYSTEMU WINDOWS 8ORAZ
WINDOWS 8.1WRAZ Z
ZACZNIKIEM SCM
WERSJA 1.0
Opracwanie pwsta w ramach prgramu wsppracy w bszarze bezpieczeostwa
Security Cooperation Program (SCP)
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
2/197
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
3/197
2.20. Ataki na usug zintegrwaneg uwierzytelniania systemu Winws plegajce na
przekazywaniu pwiaczeo............................................................................................................. 48
3. Spsby chrny prze zliwym prgramwaniem................................................................ 50
3.1. Funkcje zabezpieczeo stswane w systemie Winws 8.................................................... 50
3.2. Konsola Centrum Akcji .......................................................................................................... 51
3.3. Bezpieczny rozruch (Secure Boot) ......................................................................................... 54
3.4. Mechanizm Kntrla Knta Uytkwnika (User Accunt Cntrl UAC) ............................ 55
3.5. Zabezpieczenia biometryczne ............................................................................................... 62
3.6. Oprogramowanie Windows Defender .................................................................................. 67
3.7. Narzzie usuwania zliweg prgramwania........................................................... 72
3.8. Zapora systemu Windows 8 oraz Windows 8.1 .................................................................... 74
3.9. Ograniczanie stpu aplikacji - AppLocker..................................................................... 77
3.10. Zasay graniczeo prgramwania................................................................................. 79
3.11. Bezpieczne uwierzytelnianie za pmc kart inteligentnych........................................... 79
3.12. Owieanie i przywracanie kmputera stanu pierwtneg....................................... 81
3.13. Dodatkowe informacje i wskazwki.................................................................................. 82
4. Ochrna wraliwych anych.......................................................................................................... 84
4.1. Szyfrwanie i chrna yskw z zastswaniem funkcji BitLcker...................................... 85
4.2. Tryby pracy BitLcker raz zarzzanie ukaem TPM......................................................... 874.3. Ochrna anych znajujcych siyskach systemwych raz yskach staych................... 89
4.4. Zastswanie ustawieo zasa grup wrenia BitLcker w celu minimalizacji ryzyka ... 93
4.5. Ochrona danych przechowywanych na wymiennych dyskach danych z zastosowaniem
funkcji BitLocker To Go .................................................................................................................... 103
4.6. Zastswanie ustawieo zasa grup wrenia BitLcker T G w celu minimalizacji
ryzyka 105
4.7. BitLocker a Connected StandBy .......................................................................................... 108
4.8. Wsparcie FIPS chrny zyskiwania hasa................................................................... 109
4.9. System szyfrwania plikw EFS........................................................................................... 110
4.10. Szczegwe ustawienia systemu EFS zapewniajce chrn wraliwych anych........ 113
4.11. Usugi zarzzania prawami infrmacji (RMS)........................................................... 116
4.12. Zastosowanie ustawieo zasa grup wrenia usugi RMS....................................... 119
4.13. Instalacja i zarzzanie urzzeniami w systemie Winws 8........................................ 119
4.14. Zastswanie ustawieo zasa grupwych nazrwania instalacji urzzeo........... 121
4.15. Zastswanie ustawieo zasa grupwych kntrli bsugi urzzeo....................... 125
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
4/197
4.16. Zastswanie ustawieo zasa grup kntrli i blkwania funkcji autstartu i
autoodtwarzania ............................................................................................................................. 127
4.17. Windows To Go ............................................................................................................... 128
4.18. Datkwe infrmacje i wskazwki................................................................................ 129
5. Zapewnienie kmpatybilnci aplikacji w kntekcie bezpieczeostwa stacji z Winws 8........ 131
5.1. Testwanie zgnci aplikacji z systemem Winws 8.................................................... 131
5.2. Znane prblemy zgnci aplikacji w kntekcie rzszerznych mechanizmw chrny131
5.3. Zmiany i ulepszenia systemu operacyjnego Windows 8 oraz Windows 8.1 ....................... 132
5.4. Omwienie stswanych narzzi w celu zapewnienia zgnci aplikacji z systemem
Windows 8 oraz Windows 8.1 ......................................................................................................... 133
6. Klient Hyper-V ............................................................................................................................. 134
6.1 Knfiguracja funkcji zabezpieczeo....................................................................................... 1346.1.1 Zabezpieczanie systemw peracyjnych zarzzania................................................. 134
6.1.2 Zabezpieczenia maszyn wirtualnych ........................................................................... 136
7. a krpracyjny, zarzzanie ryzykiem raz zgnd ze stanarami w IT (IT GRC).............. 137
7.1. Wprowadzenie .................................................................................................................... 138
7.2. Omwieniei budowa IT GRC PMP ...................................................................................... 139
7.3. Krzyci wynikajce ze stswania IT GRC PMP................................................................. 142
7.4. Terminy i definicje ............................................................................................................... 143
7.5. Cykl ycia prcesu zgnci w parciu IT GRC PMP....................................................... 144
7.6. Datkwe infrmacje i wskazwki.................................................................................... 146
8. Narzzie Security Compliance Manager (SCM) w praktyce ...................................................... 147
8.1 Wprowadzenie .................................................................................................................... 150
8.2 Praca z programem SCM ..................................................................................................... 150
8.3 Rozpczcie pracy z prgramem SCM................................................................................. 152
8.4 Kluczwe elementy sekcji Welcme t SCM................................................................... 153
8.4.1 Zarzzanie ustawieniami (Setting management)...................................................... 153
8.4.2 Narzzie wiersza plecenia LcalGPO....................................................................... 157
8.5 Kluczwe elementy sekcji Getting starte with SCM....................................................... 162
8.5.1 Zarzzaj ustawieniami bazwymi knfiguracji - Get knowledge ............................... 162
8.5.2 Dstsuj ustawienia bazwe knfiguracji wasnych ptrzeb - Customize knowledge
165
8.5.3 Eksportuj ustawienia bazowe konfiguracji- Export knowledge ................................... 175
9. Zarzzanie urzzeniami........................................................................................................... 176
10. Ochrna prze zliwym prgramwaniem........................................................................ 177
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
5/197
11. Bezpieczny rozruch systemu ................................................................................................... 178
11.1 Trusted Boot ........................................................................................................................ 179
12 Mel kntrli stpu systemu Winws....................................................................... 179
12.1 Dynamic Access Control ...................................................................................................... 179
12.2 Ochrna publicznych certyfikatw i kluczy......................................................................... 179
12.3 Tryb Restricte Amin la pczeo pulpitu zalneg........................................................ 180
12.4 Schwek la pwiaczeo - Credential Locker .................................................................... 180
13 Biometria ................................................................................................................................. 180
14 Dodatekustawienia bezpieczeostwa w Grup Plicy la Winws 8.1 raz Winws Server
2012 R2 ................................................................................................................................................ 183
14.2. Zmiany w ustawieniach zaleceo................................................................................................. 185
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
6/197
1. WstpPrzewodnik Zabezpieczeo systemu Winws 8 zawiera instrukcje i rekmenacje, ktre pmg
wzmcnid pzim zabezpieczenia kmputerw stacjnarnych i kmputerw przennych
pracujcychpod kntrlsystemu Windows 8 w domenie Active Directory Domain Services (AD DS).
Datkw w prczniku tym zostan zaprezentwane narzzia, szczegwe instrukcje,
rekomendacje oraz prcesy, ktre usprawni w znacznym stpniu prces wrenia systemu
Windows 8.
Kolejnym elementem bzie wprwazenie prcesu zarzzania zgnci wraz z atkwymi
informacjami i syaczami na temat narzzi zapewniajcych zgnd IT oraz zaleceniami
Microsoft.
Kluczowym rekomendowanym narzziem jest Security Compliance Manager 1 (SCM), ktry w
pczeniu z Przewnikiem Zabezpieczeo systemu Winws 8, zapewnia mliwci eksprtwania
wszystkich ustawieo zasa grupwych, w celu wykorzystania wytycznych bezpieczeostwa wpraktyczny spsb we wasnym rowisku.
Autrzy kumentu starali si uczynid ten przewnik:
Sprawdzonymbazujcym na zebranym wiaczeniu w tej ziezinie
Autorytatywnymferujc najlepsze stpne bre praktyki w tym zakresie
Dkanymprzekazujc rzwizanie sprawzne i przetestowane od strony technicznej
Gtwym uyciazapewniajc niezbne krki wreniazakoczneg sukcesem
Uytecznymbejmujcym rzeczywiste prblemy zwizane z bezpieczeostwem
W dokumencie zamieszczono najlepsze praktyki stosowane w celu implementacji Windows 8,
Windows 7 SP1, Windows Vista SP2, Windows Server 2003 SP2, Windows Server 2008 SP2, and
Windows Server 2008 R2 SP1 oraz Windows Server 2012 w rnrnych rwiskach.
W przypadku procesu oszacwania wrenia Winws 8we wasnym rwisku mna skrzystad
z pomocy oferowanej przez narzzieMicrosoft Assessment and Planning Toolkit2, ktre wspme
krelenie gtwci infrastruktury na uruchomienie systemu Windows 8 dla rganizacji reniej
wielkci, pprzez knanie inwentaryzacji sprztu, krelenie scenariusza wsparcia raz uzyskanie
infrmacji i wskazanie kmputerw wymagajcych aktualizacji sprztu.
Niniejszy przewodnik przedstawia funkcjnalnci, zwikszajce pzim zabezpieczeo systemuWindows 8. Zawarte informacje zstaysprawdzone i przetestowane z wykrzystaniem kmputerw
pracujcych w menie jak i rwnie kmputerw autnmicznych, niepracujcychw domenie.
Uwaga: Wszystkie niesienia systemu Winws XP w niniejszym przewniku tycz systemu Winws XP
Prfessinal SP3, a niesienia tyczce systemu Winws Vista tycz systemu Winws Vista SP2.
1.1. Streszczenie wykonawcze
Niezalenie wielkci rwiskarganizacji, naley sprawy bezpieczeostwa teleinfrmatyczneg
traktwad barz pwaanie, wiele rganizacji nie zawsze cenia wartd i znaczenie, jak stanwi
1http://go.microsoft.com/fwlink/?LinkId=113940
2http://go.microsoft.com/fwlink/?LinkId=105520
http://go.microsoft.com/fwlink/?LinkId=113940http://go.microsoft.com/fwlink/?LinkId=113940http://go.microsoft.com/fwlink/?LinkId=105520http://go.microsoft.com/fwlink/?LinkId=105520http://go.microsoft.com/fwlink/?LinkId=105520http://go.microsoft.com/fwlink/?LinkId=105520http://go.microsoft.com/fwlink/?LinkId=113940 -
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
7/197
nowoczesne technologie informatyczne. W przypadku skutecznego przeprowadzonego ataku na
serwery rganizacji, me kazad si, i skutki takieg ziaania czuwalne b la nrmalneg
funkcjnwania rganizacji, a kluczwe prcesy bizneswe zstan zakcne. Na przyka: W
przypaku zainfekwania kmputerw klienckich przez prgramwanie zliwe we wasnej sieci,
rganizacja me utracid ane wraliwe i pnied krelne kszty na przywrcenie stanu sprze
ataku. Przeprwazenie ataku na firmw witryn internetw, me przyczynid si jej
niestpnci raz narazid rganizacj na straty finanswe raz utrat zaufania przez klientw,
cznie z utrat reputacji.
Zgnd z przepisami i stanarami staje si kluczw kwesti la ziaania rganizacji, a rgany
urzwe zalecaj lub nakazuj stswanie si wytycznych i zaleceo la zapewnienia zgnci ze
stanarami. Auytrzy wyknujc cen jrzaci rganizacji przewanie wymagaj rganizacji
ptwierzenia pjtych ziaao i weryfikuj ziaania krelne w wymaganiach i wytycznych
zawartych w regulacjach. Brak pjtych ziaao w kierunku zapewnienia zgnci z
bwizujcymi wytycznymi i regulacjami, me narazid rganizacj na straty finanswe, utarte
reputacji lub naenia kary grzywny lub innych kar przewizianych w bwizujcym prawie.
Przeprwazenie analizy patnci p ktem bezpieczeostwa, wystpujcych ryzyk i
wystpwania zagreo pzwala na znalezienie kmprmisu pmizy zapewnieniem
bezpieczeostwa a funkcjnalnci la wszystkich systemw infrmatycznych pracujcych w
organizacji. Przewodnik niniejszy przedstawi najwaniejsze rki zaracze nszce si
aspektw bezpieczeostwa i jenczenie mwi stpne funkcjnalnci systemu Winws 8,
wskazujc na ptencjalne niebezpieczeostwa i negatywny wpyw, (jeli taki wystpuje) pczas
wraania mawianych rkw zaraczych w celu pniesienia pzimu bezpieczeostwa w
organizacji.
Przewnik bezpieczeostwa prezentuje w stpny spsb niezbne infrmacje raz
wspmagajce narzzia zapewniajc:
Wrenie i zastswanie ustawieo bazwych zapewniajcych wyszy pziom
bezpieczeostwa w rwisku rganizacji.
Zapznanie i wykrzystanie funkcjnalnci zwizanych z bezpieczeostwem systemu
Windows 8 w najbardziej popularnych scenariuszach.
Zapznanie i mwienie pszczeglnych ustawieo zabezpieczeo wraz z kreleniem ich
znaczenia
W celu przeprwazenia testw i wrenia ustawieo zabezpieczeo, naley skrzystad z narzzia
Security Compliance Manager (SCM). Narzzie t uatwi w znacznym stpniu i zautmatyzuje prces
wraania bazwych ustawieo bezpieczeostwa. Szczegwy pranik jak krzystad z narzzia SCM
zsta przestawiny, jak atek Narzzie Security Cmpliance Manager (SCM) w praktyce.
Pmim, i przewnik ten kierwany jest uych rganizacji, t wikszd z zawartych tutaj
informacji jest odpowienia la kaej rganizacji bez wzglu na jej wielkd. Najlepszy efekt mna
signd zapznajc si z caym przewnikiem, jenake mliwe jest zapznanie si z
pszczeglnymi i wybranymi czciami materiau, aby signd pstawiny cel zapewnienia
zapewnienie pwienieg pzimu bezpieczeostwa la rganizacji i twarzyszcych jej celmbiznesowym.
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
8/197
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
9/197
2. Infrmacje techniczne niezbne implementacji kaeg rka zaraczeg
minimalizujceg ryzyko.
3. Infrmacje techniczne niezbne szacwania stanu kaeg rka zaraczeg
minimalizujceg ryzyk, ktre pzwl na autmatyczne skanwanie stanu zgnci wraz
utwrzeniem raprtu z przeprwaznej czynnci.
4. Uprzkwane ustawienia zgrupwane zstay w elementy knfiguracji (ang. Configuration
Item (CI)) stanwice isttny element pwizania IT Governance, Risk, and Compliance (IT
GRC) Process Management Pack (PMP) z czynnciami kntrlnymi.
W jaki spsb signd krzyci ze stswania bazwych ustawieo knfiguracji?
W pierwszej klejnci rekmenwane s ientyfikacje systemw peracyjnych i aplikacji
wykrzystywanych we wasnej sieci kmputerwej w celu krelenia waciwych ustawieo bazwych
knfiguracji, ktre zstan zaimplementwane, czynnci te mna przeprwazid w kilku krkach:
Przeprwazenie inwentaryzacji psiaanych zasbw w sieci mna wyknad krzystajc z
bezpatneg i autmatyczneg narzziaMicrosoft Assessment and Planning Toolkit3,ktre
upraszcza i zautmatyzuje prces inwentaryzacji bniajc nakay pracy na wyknanie tej
czynnci.
Dokonanie wybru waciwych bazwych ustawieo knfiguracji krzystajc z
przygtwanych rzwizao Micrsft lub innych upwaninych rganizacji, jak punkt
wyjcia.
Analiza i skrygwanie bazwych ustawieo knfiguracji, tak, aby speniay wymagania
ptrzeb bizneswych rganizacji raz rganw wyajcych regulacje, krzystajc z infrmacji
ustpninych w narzziu SCM, przewnikw zabezpieczeo, raz InformationTechnology Governance, Risk, and Compliance (IT GRC) Process Management Pack for
System Center Service Manager4.
Zastswanie celw kntrlnych i czynnci kntrlnych w pczeniu z ustawieniami
bazwymi w celu waciwej knfiguracji i utrzymania stanu zgnci IT zarzzanych
systemw.
Knfiguracja ustawieo la pruktw Micrsft takich jak systemy Winws, Micrsft Office, raz
Internet Explrer me byd zarzzana poprzez wykorzystanie zasad grupowych (Group Policy),
krzystajc z narzzia SCM w celu paswania ustawieo bazwych wasnych ptrzeb. P
przygtwaniu ustawieo naley je wyeksprtwad w pstaci arkusza Excel w celu przeprwazenia
rzmw ze strnami zaintereswanymi caej rganizacji. P zatwierzeniu ustawieo, naley je
wyeksprtwad w pstaci kpi zapaswej zasa grupwych, i wryd je w rwisku testwym
wykrzystujc mechanizm zasa grupwych usug katalgwych Active Directry. W przypaku
kmputerw niepracujcych w menie, naley zastswad narzzie Lcal Plicy Tl, ktre
stpne jest w narzziu SCM (narzzie t bzie mwine rzziale 2.5).
3http://go.microsoft.com/fwlink/?LinkId=105520
4http://go.microsoft.com/fwlink/?LinkId=201578
http://go.microsoft.com/fwlink/?LinkId=105520http://go.microsoft.com/fwlink/?LinkId=105520http://go.microsoft.com/fwlink/?LinkId=105520http://go.microsoft.com/fwlink/?LinkId=105520 -
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
10/197
1.3. Praca z rekomendowanymi bazowymi ustawieniami konfiguracji
(baseline)
Narzzie SCM zawiera rekmenwane bazwe ustawienia knfiguracji la pruktw Micrsft,
ktre mg byd zarzzane i stswywane wasnych ptrzeb. P wprwazeniu zmian
speniajcych wymagania rganizacji bazwych ustawieo knfiguracji, mna przeprwazidproces weryfikacji ustawieo zasa grupwych la kaeg kmputera pprzez wygenerwanie
stswanych ustawieo bazwych w narzziu SCM. W celu signicia stanaryzacji i zgnci ze
stanarami mna signd pprzez utwrzenie pakietw Desire Cnfiguratin Management
(DCM) la bazwych ustawieo a nastpnie zaimprtwanie tych ustawieo rzwizania System
Center Cnfiguratin Manager. Zastswanie funkcjnalnci DCM la System Center Cnfiguratin
Manager zautmatyzuje prces wrenia ustawieo zapewniajcych zgnd ze stanarami.
Datkw narzzie SCM pzwala na wyknanie eksprtu bazwych ustawieo knfiguracji w
formacie Security Content Automation Protocol (SCAP). Format SCAP jest wspierany przez wiele
narzzi sucych zarzzania zabezpieczeniami i knfiguracj starcznych przez Micrsft
raz firmy trzecie. W celu uzyskania atkwych infrmacji na temat frmatu SCAP, naleyzapznad si infrmacjami umieszcznymi strnie National Institute of Standards and Technology
(NIST)5.
Kntrl pjtych czynnci majcych na celu zapewnienie zgnci mna wyknad pprzez
zastswanie i integracj pruktw Micrsft System Center Service Manager i IT GRC Process
Management Pack. Czynnd ta wspmaga rganizacje w signiciu celu implementacji prcesu
au krpracyjneg, zarzzania ryzykiem i zgnci ze stanarami IT (IT GRC). Prukt System
Center Service Manager umliwia przygtwanie autmatycznych raprtw przeznacznych la
kar kierwniczych, auytrw IT raz innych sb bircych uzia w prjekcie. Prces IT GRC
zstanie mwiny szerzej w rzziale rugim a krpracyjny, zarzzanie ryzykiem razzgnd ze stanarami w IT (IT GRC).
Narzzie SCM wspmaga zarzzania bazwymi ustawieniami knfiguracji la pruktw Micrsft,
ktrych nie mna knfigurwad pprzez zasay grupwe (Grup Plicy), takie jak serwer Micrsft
Exchange. SCM zawiera zestaw skryptw PwerShell la teg typu pruktw, ktre umliwi
wrenie bazwych ustawieo knfiguracji la jeneg lub wielu serwerw krzystajc z prcesu
autmatyzacji, ktry pprzez wykrzystanie skryptw (prgramw) uatwiajcych wyknanie zaao
pwtarzajcych si graniczajc w tym prcesie czynnci wyknywane przez luzi.
Ten sam zestaw skryptw mna rwnie wykrzystad w celu przeskanwania kmputerw pktem zgnci, mliwe jest rwnie skrzystanie z funkcji eksprtwania pakietw
knfiguracyjnych DCM w narzziu SCM. W celu uzyskania atkwych infrmacji naley zapznad
si kumentem Exchange Server PwerShell Script Kit User Guie, ktry stpny jest wewntrz
narzzia SCM w bszarze Attachments \ Guides.
Na Rys. 1.3.1. przedstawiono prces zarzzania bezpieczeostwem i zgnci ze stanarami z
zastosowaniem technologii dla potrzeb organizacji.
5http://scap.nist.gov/
http://scap.nist.gov/http://scap.nist.gov/http://scap.nist.gov/http://scap.nist.gov/http://scap.nist.gov/ -
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
11/197
Wicej infrmacji na temat narzzia SCM, znajuje si na strnie Microsoft Security Compliance
Manager6. Wart rwnie wiezidwitrynSCM Wiki7na stronach TechNet.
Rys. 1.3.1. Zarzzaniebezpieczeostwem i zgnci ze stanarami z zastswaniem technologii
dla potrzeb organizacji
1.4. Dla kg przeznaczny jest ten prcznik?Prcznik przeznaczny jest w gwnej mierze la specjalistw zarzzajcych bezpieczeostwem,
architektw sieciwych, Aministratrw IT, specjalistw IT raz knsultantw planujcych
wrenie infrastruktury IT, wrenie systemu Winws 8 na kmputerach klienckich w rwisku
domenowym jak i poza domenowym.
1.5. Datkwe infrmacje i wskazwkiPniej przestawin atkwe zasby zawierajce infrmacje na tematy zwizane z
bezpieczeostwem systemu Microsoft Windows 8: Federal Desktop Core Configuration (FDCC)8.
Microsoft Assessment and Planning Toolkit9.
Microsoft Security Compliance Manager10.
SCM Wiki11.
6http://go.microsoft.com/fwlink/?LinkId=113940
7http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-manager-
scm.aspx#comment-25858
http://fdcc.nist.gov/9http://go.microsoft.com/fwlink/?LinkId=105520
10http://go.microsoft.com/fwlink/?LinkId=113940
http://go.microsoft.com/fwlink/?LinkId=113940http://go.microsoft.com/fwlink/?LinkId=113940http://go.microsoft.com/fwlink/?LinkId=113940http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-manager-scm.aspx#comment-2585http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-manager-scm.aspx#comment-2585http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-manager-scm.aspx#comment-2585http://fdcc.nist.gov/http://fdcc.nist.gov/http://go.microsoft.com/fwlink/?LinkId=105520http://go.microsoft.com/fwlink/?LinkId=105520http://go.microsoft.com/fwlink/?LinkId=113940http://go.microsoft.com/fwlink/?LinkId=113940http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-manager-scm.aspx#comment-2585http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-manager-scm.aspx#comment-2585http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-manager-scm.aspx#comment-2585http://go.microsoft.com/fwlink/?LinkId=113940http://go.microsoft.com/fwlink/?LinkId=105520http://fdcc.nist.gov/http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-manager-scm.aspx#comment-2585http://go.microsoft.com/fwlink/?LinkId=113940http://go.microsoft.com/fwlink/?LinkId=113940http://go.microsoft.com/fwlink/?LinkId=113940 -
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
12/197
Security and Compliance Management Forum12
.
11
http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-manager-scm.aspx#comment-258512
http://social.technet.microsoft.com/Forums/en-us/compliancemanagement/threads
http://social.technet.microsoft.com/Forums/en-us/compliancemanagement/threadshttp://social.technet.microsoft.com/Forums/en-us/compliancemanagement/threadshttp://social.technet.microsoft.com/Forums/en-us/compliancemanagement/threads -
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
13/197
2. Wraanie rekmenwanych zasa bezpieczeostwa w kntekcie
bazwych ustawieo systemu Winws 8
2.1. Wprowadzenie
Firma Micrsft wraz z kaym nw ustpnianym systemem peracyjnym wprwaza nwe
rzwizania w zakresie bezpieczeostwa. Ich ua rnrnd w Winws 8 pwuje, e jest n
aktualnie najlepiej zabezpieczonym systemem Windows, ktry zsta tej pry wydany.
Knfiguracja pcji zabezpieczeo w rnieniu wczeniejszych wersji Winws bywa si
obecnie poprzez Zasady polityk grupowych GPO (z ang. Group Policy Object). Mechanizm GPO
zapewnia centraln infrastruktur umliwiajc w parciu struktur hierarchiczn zarzzanie
ustawieniami kmputerw i/lub uytkwnikw wczajc w t ustawienia zabezpieczeo.
Znane pprzeni kategrie niesienia la ustawieo bezpieczeostwa Specialize Security Limited
Functionality (SSLF) oraz Enterprise Client (EC) zstay zastpine pzimami wanci (ang. severity
level):
Krytyczny
Ustawienia na tym pzimie maj wyski stpieo wpywu na bezpieczeostw kmputera
i/lub przechwywanych na nim anych. Zaleca si stswanie wszystkich ustawieo
krytycznych w organizacji
Istotny
Ustawienia na tym pzimie maj znaczcy wpyw na bezpieczeostw kmputera i/lub
przechwywanych na nim anych. S ne knfigurwane w rganizacjach, ktre
przechwuj wraliwe ane a tym samym s ne ukierunkwane na chrn swich
systemw informatycznych.
Opcjonalny
Ustawienia na tym pzimie maj niewielki wpyw na bezpieczeostw, przez c wikszd
rganizacji pmija je na etapie prjektwania zasa bezpieczeostwa. Nie znacza t jenak
wlnci w zakresie ich stswania. Dla przykau - wiele ustawieo tyczcych Winws,
Internet Explrer czy Office ukrywa elementy interfejsu uytkwnika, ktre upraszczaj prac
a nie maj bezprenieg wpywu na bezpieczeostw.
NiezdefiniowanyJest t mylny pzim wanci w Security Cmpliance Manager. Ustawienia, ktre nie
byy stpne wczeniej s znaczne takim pzimem. Przyjmuje si, e ich znaczenie
prwnywalne jest z pzimem Opcjonalny, przez c maj barz may lub zerwy wpyw na
bezpieczeostw.
W zalenci wybraneg frmatu eksprtu la regu, pzimy wanci przyjmuj nazwy zgodnie
z pnisz tabel:
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
14/197
Security Compliance Manager
(SCM)
Desired Configuration Management
(DCM)
Security Content
Automation Protocol
(SCAP)
Krytyczny Krytyczny Wysoki
Istotny Ostrzegawczy reni
Opcjonalny Informacyjny Niski
Niezdefiniowany Inny Nieznany
Tab. 2.1.1 Wykaz nazw pzimw wanci w zalenci wybraneg frmatu eksprtu
2.2. Projektowanie struktur jednostek organizacyjnych (OU) ze
szczeglnym uwzglnieniem zasa bezpieczeostwaUsuga katalgwa Active Directry umliwia scentralizwane zarzzanie infrastruktur
przesibirstwa. Dziki hierarchicznej buwej mna stwrzyd mel, ktry bzie uwzglnia
narzucne i pane aspekty bezpieczeostwa rganizacji.
Jednostka organizacyjna OU (z ang. Organizatinal Unit) jest kntenerem wewntrz meny Active
Directry Dmain Services (AD DS), ktry me zawierad uytkwnikw, grupy, kmputery raz inne
jenstki rganizacyjne. Wyrniamy narzne raz przne jenstki rganizacyjne.
Jen z wanych cech jenstek rganizacyjnych jest mliwd czania nich zbirw zasa
grupwych GPO. Dziki temu zaeklarwane ustawienia mg byd przekazywane znajujcych si
wewntrz biektw uytkwnikw i kmputerw. Datkw istnieje mliwd elegwania
kontroli administracyjnej (rys. 2.2.1) na jenstkami rganizacyjnymi, ziki czemu upraszcza si
zarzzanie.
Rys. 2.2.1 Kreator delegowania kontroli w Uytkwnicy i kmputery Active Directry.
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
15/197
Dziki jenstkm rganizacyjnym mna rwnie twrzyd granice aministracyjne zielajce
uytkwnikw kmputerw. Takie rzwizanie iealnie sprawza si w scenariuszach stswania
ustawieo wycznie eykwanych kmputerm raz wyczenie eykwanych uytkwnikm.
Najwaniejszym celem prjektwania struktury jenstek rganizacyjnych pwinna byd mliwd
jenlitej implementacji zasa grupwych z uwzglnieniem spenienia wszystkich stanarw izaleceo w zakresie bezpieczeostwa.
Na rysunku 2.2.2 zaprezentwana zstaa przykawa struktura uwzglniajca mliwe
zastswania pzimy jenstek rganizacyjnych w typwych rzwizaniach usug katalgwych
Active Directory.
Serwery
cznkwskie
Krzeo dmeny
Windows
Server 2012
Rola
serwerowa
1
Rola
serwerowa
2
Rola
serwerowa
3
Rola
serwerowa
4
Departament
Windows
8
Kontrolery
domeny
Uytkwnicy
Windows 8
Komputery
Windows 8
Rys. 2.2.2 Przykawa struktura jenstek rganizacyjnych la kmputerw raz uytkwnikw.
Krzeo meny
Ustawienia, ktre tycz zabezpieczeo caej meny mna stswad w ramach GPO czneg
meny. Na tym pzimie nie s zarzzane kmputery raz uytkwnicy.
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
16/197
Jednostki organizacyjne
Serwery penice rle kntrlerw meny przechwuj wiele wraliwychanych, w tym ane, ktre
kntrluj knfiguracj zabezpieczeo ich samych. Stswanie GPO na pzimie jenstki
organizacyjnej Kontrolery domeny umliwia knfiguracj i chrn kntrlerw meny.
Serwery cznkwskie
Stswanie zasa GPO preniej jenstki rganizacyjnej Serwery cznkwskie zapewnia
mliwd knfiguracji staych pcji la wszystkich serwerw bez uwzglniania pziau na penine
przez ni role.
Role serwerowe
Dbr praktyk jest twrzenie eykwanych jenstek rganizacyjnych la wszystkich rl
serwerwych w rganizacji. Dziki temu zachwuje si ujenlicny mel, ktry umliwia
stosowanie zasad GPO opartych na rolach serwerowych.
Dla serwerw utrzymujcych wiele rl mna twrzyd atkwe jenstki rganizacyjne zgnie z
ich knfiguracj. W klejnym krku takiej jenstki rganizacyjnej cza si zbiry GPO
eykwane krelnym rlm serwerwym. Naley zwrcid szczegln uwag na mieszane
knfiguracje, aby uwzglnid klejnd przetwarzania zasa GPO a tym samym uzyskiwane,
wynikowe ustawienia.
Departament
Wymagania w zakresie zabezpieczeo s rne i czst zalene s struktury rganizacyjnej. Tym
samym tworzenie jenstek rganizacyjnych la pszczeglnych kmrek pzwala na stswanie
ustawieo zabezpieczeo la kmputerw i uytkwnikw w zgzie z przyziaem bizneswym.
Uytkwnicy Winws 8
Stswanie specjalnych jenstek rganizacyjnych, w ktrych przechwywane s knta
uytkwnikw aje mliwd stswania eykwanych la nich zasa zabezpieczeo.
Komputery Windows 8
Stswanie eykwanych jenstek rganizacyjnych, w ktrych przechwywane s knta
kmputerw pzwala na stswanie ustawieo zabezpieczeo zarwn la kmputerw stacjnarnych
jak i mobilnych.
2.3. Prjektwanie biektw zasa grupwych(GPO) struktur jednostek
rganizacyjnych ze szczeglnym uwzglnieniem zasa bezpieczeostwaGPO jest zbirem zawierajcym ustawienia zasa grupwych, ktry efiniuje si w przystawce
Zarzzanie zasaami grupy (Rys. 2.3.1).
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
17/197
Rys. 2.3.1 Przystawka Zarzzanie zasaami grupy.
Ustawienia tam zawarte s przechwywane na pzimie meny i mg ziaywad na
uytkwnikw i/lub kmputery znajujce si w lkacji, domenach i jednostkach organizacyjnych.
Knfiguracja rczna ustawieo zapewniajcych ientyczne efekty me prwazid niespjnci. W
knsekwencji me t wymusid zapewnienie pwieniej ilci sb, ktre b pwiaay za
jenlite wrenie narzucnych zasad.
Wykrzystanie zasa grupwych w rnieniu rcznej knfiguracji ustawieo upraszcza pna t
zarzzanie raz zapewnia natychmiastw aktualizacj zmian la wielu kmputerw i
uytkwnikw. Zasay GPO zefiniwane w brbie meny napisuj ustawienia zasad lokalnych,c pzwala na utrzymanie centralneg melu zarzzania knfiguracj.
Klejnd przetwarzania GPO przestawina zstaa na rysunku 2.3.2.
1 Zasady lokalne
2 Zasady lokacji
3 Zasady domeny
4 Nadrzdne zasady OU
5 Pdrzdne zasady OU
Rys.2.3.2 Klejnd przetwarzania zasa GPO.
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
18/197
Jak pierwsze przetwarzane s zasay lkalne, nastpnie na pzimie lkacji, meny raz jenstek
rganizacyjnych. Zbiry znajujce si na pzimie jenstek rganizacyjnych s przetwarzane
hierarchicznie najwyszeg OU najniej pneg OU.
Tym samym ustawienia zefiniwane la kmputerw znajujce si na najniszym pzimie
hierarchii jenstek rganizacyjnych stswane s, jak statnie i maj najwyszy prirytet. Takieziaanie bwizuje systemw Winws Server 2003 SP2, Winws Server 2008, Windows XP
SP3 oraz Windows Vista. Dla uytkwnikw mel przetwarzania zasa jest ientyczny.
Istnieje kilka zaleceo zwizanych z prjektwaniem zasa grupwych, ktrych wart jest pamitad.
Aministratr pwinien ustalid klejnd czenia wielu GPO do jednostki organizacyjnej.
Dmylnie s ne stswane zgnie z klejnci czania na etapie knfiguracji. Zasay
znajujce si wyej na licie Klejnd czy maj wyszy prirytet. Tym samym w
przypadku zdefiniowania takiego samego ustawienia w wch zbirach zasa grupwych
efektywnym staje si t pchzce zbiru majceg wyszy prirytet.
Rys 2.3.3.. Zakaka Pwizane biekty zasa grupy efiniujca klejnd przetwarzania zasagrupowych.
W ramach knfiguracji GPO stpna jest opcja Wymuszone. Jej zastswanie pwuje, e
zefiniwane tam zasay nie b napisywane przez inne zbiry bez wzglu na ich
pzim czenia.
Stswanie ustawieo zasa grupwych cile zwizane jest z peniem biektw
uytkwnik i kmputer w AD DS. W niektrych scenariuszach pane jest natmiast
stswanie ustawieo la uytkwnika w parciu penie biektu kmputer. W takich
sytuacjach przyatna staje si pcja Tryb przetwarzania sprzenia zwrtneg zasa grupy
uytkwnika. Umliwia na stswanie ustawieo knfiguracji uytkwnika pchzceg
ze zbiru zawierajceg ustawienia knfiguracji kmputera.
Na pzimie lkacji, meny raz jenstki rganizacyjnej mna stswad pcj Zablokuj
dziedziczenie. Jej wczenie pwuje, e ustawienia pchzce narznych zbirw
GPO nie s przekazywane biektw prznych. Przy knfiguracji zawierajcej pcje
Wymuszoneoraz Zablokuj dziedziczenie waniejsz jest pcja Wymuszone.
W niesieniu wczeniej zaprpnwanej struktury jenostek organizacyjnych (rys. 3.3.2) projekt
zakaajcy wykrzystanie zasa grupwych pwinien uwzglnid zbiry GPO zapewniajce:
zasady dla domeny
zasay la kntrlerw meny
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
19/197
zasay la serwerw cznkwskich
zasay la kaej rli serwerwej w rganizacji
zasay la uytkwnikw zgrmaznych w jenstce rganizacyjnej Windows 8
zasay la kmputerw znajujcych si w jenstce organizacyjnej Komputery
Struktura speniajce pwysze warunki zstaa przestawina na rysunku 2.3.4.
Serwery
cznkwskie
Krzeo dmeny
Windows
Server 2012
Departament
Windows
8
Kontrolery
domeny
Uytkwnicy
Windows 8
Komputery
Windows 8
Zasadydla domeny
Zasady uytkwnika
Windows 8
Zasady uytkwnika
Internet Explorer 10
Zasady uytkwnika
Office 2013
Zasady uytkwnika
Windows 8
Zasady u ytkwnika
Internet Explorer 10
Zasady u ytkwnika
Office 2013
Zbir pdstawwy zasad
dla kntrlerw dmeny
Zasady dla
serwerw AD DS
Zasady dla
serwerw DHCP
Zasady dla
serwerw DNS
Zasady dla
serwerw Web
Zasady dla
serwerw plikw
Zasady dla
serwerw wydruku
Zasady dla
serwerw AD CS
Zasady dla
serwerw NPAS
Zasady dla
serwerw RDS
Zasady dla
serwerw Hyper-V
Zbir pdstawwy zasad
dla serwerw Windws Server 2012
Rys. 2.3.4 Przykawa struktura jenstek rganizacyjnych z wizaniami GPO la infrastruktury Winws 8
oraz Windows Server 2012.
2.4. Zastswanie filtrwania WMI w celu krelenia kanej grupy
celwej bircw zasa GPFiltrwanie parte instrumentacj zarzzania Winws WMI (z ang. Winws Management
Instrumentatin) stpne jest Winws XP i Winws Server 2003. Mechanizm WMI umliwia
ynamiczne sprawzanie wartci atrybutw tyczcych kmputerw, na ktre ma ziaywad
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
20/197
krelny zbir GPO. Atrybuty mg tyczyd anych knfiguracyjnych sprztu i/lub
prgramwania. Przykawymi atrybutami mg byd:
rodzaj procesora,
wersja Windows,
producent komputera,
wolne miejsce na dysku,
liczba prcesrw lgicznych,
dane odczytywane z rejestru,
informacje o sterownikach,
elementy systemu plikw,
konfiguracja sieciowa
dane aplikacji.
Jeli ze zbirem GPO zwizany jest filtr WMI nastpuje jeg przetwarzanie na stacji. Dziki temu tylk
w sytuacji spenienia krelnych filtrem WMI warunkw, ustawienia GPO zstan zastswane.
Zapytania WMI twrzne s z wykrzystaniem jzyka WQL (z ang. WMI Query Language), ktry jest
jzykiem pbnym SQL (z ang. Structure Query Language). Zapytania mg byd czne
operatorami AND i OR w zalenci ptrzeb.
Kae zapytanie WMI jest wyknywane w przestrzeni nazewniczej WMI. Dmyln przestrzeni jest
root\CIMv2.
Filtry WMI s zielnymi biektami GPO. Aby zastswad filtr WMI naley g czyd zbiru
GPO (Rys. 2.4.1).
Rys. 2.4.1 Dczenie filtru WMI zbiru GPO.
Kay zbir GPO me psiaad tylk jeen filtr WMI. Natmiast pjeynczy filtr WMI me byd
czany wielu GPO. Filtry WMI raz pwizane zbiry GPO musz znajwad si w tej samej
domenie.
W tabeli 2.4.2 zawarte zstay przykay filtrwWMI.
Kryterium Cel administracyjny Filtr WMI
Konfiguracja Zablkwanie wczaniaMicrosoft Network Monitor
(Netmon.exe) na stacjach,
ktre maj wczny ruchgrupowy.
SELECT * FROM Win32_NetworkProtocol
WHERE SupportsMulticasting = true
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
21/197
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
22/197
P pmylnym zainstalwaniu LcalGPO w ramach Menu Start stpny jest fler LcalGPO:
Rys.2.5.1 Folder LocalGPO w Menu Start.
2.6. mwienie i praktyczne zastswanie narzzia Attack Surface
Analyzer (ASA)Firma Micrsft ustpnia narzzie Attack Surface Analyzer (ASA), ktre umliwia krelenie
zmian dokonywanych na systemie operacyjnym komputera podczas instalacji oprogramowania.
Dziaanie narzzia ASA pprzezne jest karazw wyknaniem migawki stanu kmputera. P
instalacji aneg prgramwania wywietlany jest raprt zmianach w zakresie:
usug
sterwnikw
uruchminych prcesw
kontrolek COM
serwerw DCOM
zmian knanych w zakresie uprawnieo mylnych DCOM
skjarzeo rzszerzeo plikw
kontrolek Microsoft ActiveX
Internet Explorer Pluggable Protocol Handlers
Internet Explorer Silent Elevation Entries
Internet Explorer Preapproved Controls
prtw
strumieni nazw
regu zapry punktw kocwych wywao RPC
wpisw cieek
grup i cznkstwa w nich
zasbw sieciwych
Dziki raprtwi, ktry starcza ASA mna atw krelid wpyw instalacji prgramwania na
funkcje Windows oraz mna w atwy spsbje zweryfikwad.
2.7. mwienie mechanizmu knt MSA
Jen z nwych funkcji w Winws 7 SP1 raz Winws Server 2008 R2 s k onta MSA (z ang.Manage Service Accunts), ktre pzwalaj zmniejszyd ryzyk kmprmitacji knt uywanych
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
23/197
zarzzania usugami. Na stacjach lkalnych aministratr me knfigurwad aplikacje
uruchamiania w kntekcie knt Usuga lkalna, Usuga sieciowe lub System lokalny. W przypadku
meny zasig ziaania uniemliwia jenak ich wykrzystanie.
Stsujc stanarwe knta uytkwnikw uruchamiania aplikacji naley zabad plityk
zwizan z zarzzaniem hasami. Knta MSA umliwiaj w tym zakresie pen autmatyzacj.Datkw zapewniaj mliwd ustawiania la nich nazwy gwnej usugi SPN (z ang. Service
Principal Name) raz elegwanie zarzzania SPN.
Zarzazanie kntami MSA bywa si wycznie z pzimu PwerShell.
Kontrolery domeny dziaajce p kntrl Winws Server 2008 i Winws Server 2003 psiaaj
wsparcie dla kont MSA.
W Winws 8 raz Winws Server 2012 wprwazn grupy MSA. Zapewniaj ne mliwd
uycia knt MSA w rwisku, gzie wicej ni jeen kmputer wymaga uruchmienia usug za
pmc teg sameg knta.
2.8. Ustawienia zasad domenowych
Dmylnie biektw usugi katalgwej Active Directry Dmain Services stswana jest
graniczna liczba ustawieo zabezpieczeo. S ne knfigurwane w brbie wza Konfiguracja
komputera, w ramach:
Zasay hase
Zasady blokady konta
Pniej mwine zstay szczegwe ustawienia w zakresie tych gazi.
Zalecenia tyczce ustawieo w zalenci rli serwerwej znajuj si w narzziu Security
Compliance Manager (SCM).
2.8.1 Konfigurowanie ustawieo la zbiru Zasay hase
Jenym z kluczwych zaeo bezpieczeostwa systemw IT jest brze brana i ustalnaplityka tyczca hase. Takie elementy jak znd hase, cyklicznd zmiany czy wiamdich przechwywania skaaj si na gln plityk bezpieczeostwa stanwic kluczwy aspektcaci.
Zasay tyczce hase zrganizwane s w brbie gaziKonfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeo\Zasadykonta\Zasay hase
(Computer Configuration\Windows Settings\Security Settings\Account Policies\Password
Policy)
ZasadaPoziom
wanciUstawienie mylne
Ustawienie
zalecane przez
Microsoft
Wymuszaj tworzenie
histrii haseKrytyczny 24 pamitane hasa 24 pamitane
hasa
Maksymalny okreswanci hasa
Krytyczny 42 dni 60 dni
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
24/197
Minimalny kres wancihasa
Krytyczny 0 dni 1 zieo
Minimalna ugd hasa Krytyczny 0 znakw 14 znakw
Has musi speniadwymagania, co do
znci
Krytyczny Wyczne Wczne
Zapisz hasa la wszystkichuytkwnikw w menie,krzystajc z szyfrwaniaodwracalnego
Krytyczny Wyczne Wyczne
W hasach mg byd stswane znaki z czterech grup:
Wielkie litery
Mae litery
Cyfry
Znaki specjalne
Znd hasa (w kntekcie zasay Has musi speniad wymagania c znci)znacza, e s w nim wykrzystane znaki z c najmniej trzech pwyszych grup.
Zapewnienie zmiany hase przez uytkwnikw tylk w cile krelnym mmencie wymagaustalenia zasa tyczcych minimalneg i maksymalneg wieku hasa. Dla zasa Minimalnykres wanci hasa raz Maksymalny kres wanci hasa bwizuj pnisze zalenci.
Minimalny kres wanci hasaWartd minimalna 0znacza, e has me byd zmieniane w wlnym mmencie.Wartd maksymalna 998znacza, e has me byd zmienine p upywie 998 ni.
Maksymalny kres wanci hasaWartd minimalna 0znacza, e wand hasa nigy nie wygasa.Wartd maksymalna 999znacza, e wand hasa wygasa p 999 niach.
Mizy zasaami Minimalny kres wanci hasa a Maksymalny kres wanci hasabwizuje zalend:
Maksymalny kres wanci hasa= Minimalny kres wanci hasa+ 1
Dmylnie uytkwnicy mg zmienid swje has w interwale czaswym krelnym parametrami
minimalny i maksymalny kres wanci hasa. Jeli istnieje ptrzeba zablkwania mliwci
zmiany hasa przez uytkwnika w interwale narzucnym pwyszymi ustawieniami mna wczyd
polityk Usuo pcj Zmieo has (stpn p wciniciu klawiszy Ctrl+Alt+Delete) w ramach ustawieo
zasad grupowych w:
Konfiguracja uytkwnika\Szablony administracyjne\System\Opcje klawiszy Ctrl+Alt+Delete
2.9. Konfigurowanie ustawieo hase granularnychoraz dla zbioru Zasady
blokady konta
Wr ustawieo zwizanych z hasami uytkwnikw isttn rl peni ustawienia hase
granularnych (ang. Fine-Grained Password) oraz Zasady blokady konta.
Hasa granularne t rzwizanie, ktre umliwia wrenie melu ustawieo zasa hase
eykwaneg krelnym uytkwnikm lub grupm uytkwnikw. Jest t mliwe w rwisku
menwym pzimie funkcjnalnci meny Winws Server 2008.
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
25/197
Zasay blkay knta zapewniaj chrn prze prbami ganicia hase uytkwnikw.
Realizwane t jest przez zliczanie bnych prb lgwania i wyknanie krelnej akcji zwizanej
ze stanem knta uytkwnika. Zasay blkay knta znajuj si w gazi:
Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeo\Zasady
konta\Zasady blokady konta
(Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout
Policy)
ZasadaPoziom
wanciUstawienie mylne
Ustawienie zalecane
przez Microsoft
Czas trwania blokady
kontaKrytyczny Brak 15 minut
Prg blkay knta Krytyczny 0 nieuanych prb
zalogowania
5 nieuanych prb
zalogowaniaWyzeruj licznik blokady
konta poKrytyczny Brak 15 minut
2.10. Ustawienia zasad Computer Policy Settings
Ustawienia zabezpieczeo stswane la biektw Kmputer sskupine wk pniszych
gazi:
Zasady inspekcji
Przypisywanie praw uytkwnika
Opcje zabezpieczeo
Dziennik zarzeo
Zapora systemu Windows z zabezpieczeniami zaawansowanymi
Szablony administracyjne
2.11. Knfigurwanie szczegwych ustawieo zbiru Zasay inspekcjiZasay inspekcji umliwiaj grmazenie szczegwych infrmacji na temat aktywnci
uytkwnikw i systemu w krelnych kategriach.
W Windows 8 stpnych jest 9 kategrii gwnych raz ustawienia podkategorii stpne w gazi
Inspekcja globalneg stpu biektw.
Zasady inspekcji kategrii gwnych znajuj si w gazi:
Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeo\Zasady
lokalne\Zasady inspekcji
(Computer Configuration\Windows Settings\Security Settings\Local Policies\Reguy Auytu)
Przeprwazanie inspekcji zarzeo lgwania na kntach
Przeprwa inspekcj stpu biektw
Przeprwa inspekcj stpu usugi katalgwej
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
26/197
Przeprwa inspekcj lezenia prcesw
Przeprwa inspekcj uycia uprawnieo
Przeprwa inspekcj zarzzania kntami
Przeprwa inspekcj zarzeo lgwania
Przeprwa inspekcj zarzeo systemwych
Zasay inspekcji pkategrii znajuj si w gazi:
Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeo\Konfiguracja
zaawansowanych zasad inspekcji
(Computer Configuration\Windows Settings\Security Settings\Zaawanswana Knfiguracja Regu
Audytu)
Zasada
Poziom
wanci
Ustawienie
mylne
Ustawienie
zalecane przezMicrosoft
Przeprwa inspekcjweryfikacji pwiaczeo
Krytyczny Nie skonfigurowano Sukces i
Niepowodzenie
Przeprwa inspekcjusugi uwierzytelnianiaKerberos
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjperacji biletw usugiKerberos
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcj
innych zarzeo lgwaniana kontach
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjzarzzania grupamiaplikacji
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjzarzzania kntamikmputerw
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjzarzzania grupamidystrybucyjnymi
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjinnych zarzeo zarzzaniakontami
Krytyczny Nie skonfigurowano Sukces iNiepowodzenie
Przeprwa inspekcjzarzzania grupamizabezpieczeo
Krytyczny Sukces Sukces i
Niepowodzenie
Przeprwa inspekcjzarzzania kntamiuytkwnikw
Krytyczny Sukces Sukces i
Niepowodzenie
Przeprwa inspekcjziaania DPAPI
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjtworzenia procesu
Krytyczny Nie skonfigurowano Sukces
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
27/197
Przeprwa inspekcjzakoczenia prcesu
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjzarzeo RPC
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcj
szczegwej replikacjiusugi katalgwej
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjstpu usugikatalogowej
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjzmian usugi katalgwej
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjreplikacji usugikatalogowej
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcj
blokady konta
Krytyczny Sukces Nie skonfigurowano
Przeprwa inspekcjtrybu rozszerzonego
prtku IPsec
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjtrybu gwneg prtkuIPsec
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjtrybu szybkieg prtkuIPsec
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcj
wylogowywania
Krytyczny Sukces Sukces
Przeprwa inspekcjlogowania
Krytyczny Sukces Sukces i
Niepowodzenie
Przeprwa inspekcjserwera zasad sieciowych
Krytyczny Sukces i
niepowodzenie
Nie skonfigurowano
Przeprwa inspekcjinnych zarzeologowania/wylogowywania
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjlogowania specjalnego
Krytyczny Sukces Sukces
Przeprwa inspekcj
wygenerowanych przezaplikacj
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjprzemieszczania
centralnych zasa stpu
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjusug certyfikacji
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjszczegweg uziauplikw
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcj
uziau plikw
Krytyczny Nie skonfigurowano Nie skonfigurowano
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
28/197
Przeprwa inspekcjsystemu plikw
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjpczenia platfrmyfiltrowania
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjprzucania pakietwplatformy filtrowania
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjmanipulwania jciem
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjbiektu jra
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjinnych zarzeo stpu biektw
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcj
rejestru
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjmagazynu wymiennego
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjSAM
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjzmiany zasad inspekcji
Krytyczny Sukces Sukces i
Niepowodzenie
Przeprwa inspekcjzmiany zasad
uwierzytelniania
Krytyczny Sukces Sukces
Przeprwa inspekcj
zmiany zasad autoryzacji
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjzmiany zasad platformy
filtrowania
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjzmiany zasad na poziomie
reguy MPSSVC
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcjinnych zarzeo zmianyzasad
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcj
niepufneg uyciauprawnieo
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcj
innych zarzeo uycia
uprawnieo
Krytyczny Nie skonfigurowano Nie skonfigurowano
Przeprwa inspekcj
pufneg uycia
uprawnieo
Krytyczny Nie skonfigurowano Sukces i
Niepowodzenie
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
29/197
Przeprwa inspekcj
sterownika IPsec
Krytyczny Nie skonfigurowano Sukces i
Niepowodzenie
Przeprwa inspekcj
innych zarzeo
systemowych
Krytyczny Sukces i
niepowodzenie
Nie skonfigurowano
Przeprwa inspekcj
zmiany stanu zabezpieczeo
Krytyczny Sukces Sukces i
Niepowodzenie
Przeprwa inspekcj
rozszerzenia systemu
zabezpieczeo
Krytyczny Nie skonfigurowano Sukces i
Niepowodzenie
Przeprwa inspekcj
integralnci systemu
Krytyczny Sukces i
niepowodzenie
Sukces i
Niepowodzenie
System plikw Krytyczny Nie skonfigurowano Nie skonfigurowano
Rejestr Krytyczny Nie skonfigurowano Nie skonfigurowano
2.12. Knfigurwanie szczegwych zasa zbioru Przypisywanie praw
uytkwnikaPrzypisywanie praw uytkwnika jest zbirem ustawieo, ktry mna efiniwad zapewniajc
uytkwnikm elegwanie cile krelnych czynnci na systemie peracyjnym.
Zbir Przypisywanie praw uytkwnika znajuje si w gazi:
Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeo\Zasady
lokalne\Przypisywanie praw uytkwnika
(Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights
Assignment)
ZasadaPoziom
wanciUstawienie
mylne
Ustawienie
zalecane przezMicrosoft
Blkuj strny w pamici Istotny - -
Debuguj programy Krytyczny Administratorzy Administratorzy
Dodaj stacje robocze do
domeny
Istotny - -
Dstsuj przyziaypamici la prcesw
Istotny Administratorzy,
Usuga lkalna, Usugasieciowa
Administratorzy,
Usuga lkalna, Usugasieciowa
Dziaanie jak czd
systemu operacyjnego
Krytyczny - -
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
30/197
Generuj inspekcje
zabezpieczeoKrytyczny Usuga lkalna, Usuga
sieciowa
Usuga lkalna, Usugasieciowa
Logowanie w trybie
usugiKrytyczny NT Services\All services -
Logowanie w trybie
wsadowym
Istotny Administratorzy,
Operatorzy kopiizapasowych,
Uytkwnicyziennikw wyajnci
-
auj i zwalniajsterwniki urzzeo
Istotny Administratorzy Administratorzy
Myfikuj etykietobiektu
Istotny - -
Myfikuj wartcirwiskweoprogramowania
ukaweg
Istotny Administratorzy Administratorzy
Obej sprawzanie przy
przechodzeniu
Krytyczny Administratorzy,
Operatorzy kopii
zapaswych, Usuga
lkalna, Usuga
sieciwa, Uytkwnicy,
Wszyscy
Administratorzy,
Usuga sieciwa, Usuga
lkalna, Uytkwnicy
Odmawiaj logowania za
pomoc usug pulpituzdalnego
Opcjonalny - Gcie
Omwa stpu
tego komputera z sieci
Krytyczny Gd Gcie
Odmowa logowania
lokalnego
Krytyczny Gd Gcie
Odmowa logowania w
trybie usugi
Krytyczny - -
Odmowa logowania w
trybie wsadowym
Krytyczny - Gcie
Okrel knta
kmputerw i
uytkwnikw jak
zaufane w kwestii
delegowania
Krytyczny - -
Personifikuj klienta po
uwierzytelnieniu
Istotny Administratorzy,
Usuga, Usuga lkalna,Usuga sieciwa
Administratorzy,
Usuga, Usuga lkalna,Usuga sieciowa
Profiluj pojedynczy
proces
Istotny Administratorzy Administratorzy
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
31/197
Prfiluj wyajndsystemu
Istotny Administratorzy, NT
Service\WdiServiceHost
Administratorzy, NT
Service\WdiServiceHost
Przejmij na wasnd plikilub inne obiekty
Istotny Administratorzy Administratorzy
Przywracaj pliki i katalogi Istotny Administratorzy,
Operatorzy kopiizapasowych
Administratorzy
Synchrnizuj ane usugikatalogowej
Istotny - -
Usuo kmputer ze stacjikujcej
Opcjonalny Administratorzy,
Uytkwnicy-
Utwrz cza symbliczne Istotny Administratorzy Administratorzy
Utwrz biekt tkenu Istotny - -
Utwrz biekty glbalne Istotny Administratorzy,Usuga, Usuga lkalna,Usuga sieciwa
Administratorzy,
Usuga, Usuga lkalna,Usuga sieciwa
Utwrz plikstronicowania
Krytyczny Administratorzy Administratorzy
Utwrz trwae biektyustpnine
Istotny - -
Uzyskaj stp Meneera pwiaczeo
jako zaufany obiekt
wywujcy
Istotny - -
Uzyskiwanie stpu
tego komputera z sieci
Krytyczny Administratorzy,
Operatorzy kopii
zapasowych,
Uytkwnicy, Wszyscy
Administratorzy,
Uytkwnicy
Wykonuj kopie zapasowe
plikw i katalgwIstotny Administratorzy,
Operatorzy kopii
zapasowych
Administratorzy
Wykonuj zadania
knserwacji wluminw
Krytyczny Administratorzy Administratorzy
Wymuszaj zamknicie z
systemu zdalnego
Krytyczny Administratorzy Administratorzy
Zamieo tken napoziomie procesu
Istotny Usuga lkalna, Usugasieciowa
Usuga lkalna, Usugasieciowa
Zamknij system Istotny Administratorzy,
Operatorzy kopii
zapasowych,
Uytkwnicy
Administratorzy,
Uytkwnicy
Zarzzaj ziennikami
inspekcji i zabezpieczeo
Krytyczny Administratorzy Administratorzy
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
32/197
Zezwalaj na logowanie
lokalne
Krytyczny Administratorzy,
Gcie, Operatrzy
kopii zapasowych,
Uytkwnicy
Administratorzy,
Uytkwnicy
Zezwalaj na logowanie zapmc usug pulpituzdalnego
Istotny Administratorzy,Uytkwnicy pulpituzdalnego
-
Zmieo czas systemwy Istotny Administratorzy,Usuga lkalna
Administratorzy,
Usugalokalna
Zmieo stref czasw Istotny Administratorzy,Usuga lkalna,Uytkwnicy
Administratorzy,
Usuga lkalna,Uytkwnicy
Zwiksz prirytetplanowania
Istotny Administratorzy Administratorzy
Zwiksz zestaw rbczy
procesu
Istotny Uytkwnicy Administratorzy,
Usuga lkalna
2.13. Knfigurwanie szczegwych zasa zbiru pcje zabezpieczeo
Ustawienia w ramach gazi Opcje zabezpieczeo starczaj szerkich mliwci knfiguracji
zabezpieczeo, ktre s uprzkwane weug grup.
Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeo\Zasady
lokalne\pcje zabezpieczeo
(Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options)
ZasadaPoziom
wanciUstawienie
mylne
Ustawienie
zalecane przez
Microsoft
Cznek meny:
maksymalny wiek hasa
konta komputera
Krytyczny 30 dni 30 dni
Cznek meny:
podpisuj cyfrowo dane
bezpieczneg kanau -
gy t mliwe
Krytyczny Wczne Wczne
Cznek meny: szyfruj
cyfrowo dane
bezpieczneg kanau -
gdy to mliwe
Krytyczny Wczne Wczne
Cznek meny: szyfruj
lub podpisuj cyfrowo
dane bezpiecznego
kanau - zawsze
Krytyczny Wczne Wczne
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
33/197
Cznek meny: wycz
zmiany hasa knta
komputera
Krytyczny Wyczne Wyczne
Cznek meny:
wymagaj silnego klucza
sesji (system Windows
2000 lub nowszy)
Krytyczny Wyczne Wczne
DCOM: Ograniczenia
tyczce stpu kmputera w skani
jzyka SDDL (SecurityDescriptor Definition
Language)
Opcjonalny Niezdefiniowane Niezdefiniowane
DCOM: Ograniczenia
tyczce uruchamianiakmputera w skani
jzyka SDDL (SecurityDescriptor Definition
Language)
Opcjonalny Niezdefiniowane Niezdefiniowane
Dstp sieciwy:nazwane potoki, do
ktrych mna uzyskiwadstp annimw
Istotny - Niezdefiniowane
Dstpsieciowy: nie
zezwalaj na anonimowe
wyliczanie kont SAM
Krytyczny Wczne Wczne
Dstp sieciwy: nie
zezwalaj na anonimowe
wyliczanie kont SAM i
uziaw
Krytyczny Wyczne Wczne
Dstp sieciwy: nie
zezwalaj na
przechwywanie hase
ani pwiaczeo
uwierzytelniania
sieciowego
Krytyczny Wyczne Niezdefiniowane
Dstp sieciwy:ogranicz anonimowy
stp nazwanychptkw i uziaw
Istotny Wczne Wczne
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
34/197
Dstp sieciwy: ciekirejestru, ktrychmna uzyskiwad stpanonimowo
Istotny System\CurrentControl
Set\Control\ProductOp
tions
System\CurrentControl
Set\Control\Server
ApplicationsSoftware\Microsoft\Wi
ndows
NT\CurrentVersion
System\CurrentControl
Set\Control\ProductOp
tions
System\CurrentControl
Set\Control\Server
ApplicationsSoftware\Microsoft\Wi
ndows
NT\CurrentVersion
Dstp sieciwy: ciekirejestru, ktrychmna uzyskiwad stpannimw i ciekiprzne
Istotny System\CurrentControl
Set\Control\Print\Print
ers
System\CurrentControl
Set\Services\Eventlog
Software\Microsoft\OL
AP Server
Software\Microsoft\Windows
NT\CurrentVersion\Pri
nt
Software\Microsoft\Wi
ndows
NT\CurrentVersion\Wi
ndows
System\CurrentControl
Set\Control\ContentInd
ex
System\CurrentControlSet\Control\Terminal
Server
System\CurrentControl
Set\Control\Terminal
Server\UserConfig
System\CurrentControl
Set\Control\Terminal
Server\DefaultUserCon
figuration
Software\Microsoft\Wi
ndows
NT\CurrentVersion\Per
flib
System\CurrentControl
Set\Services\SysmonLo
g
System\CurrentControl
Set\Control\Print\Print
ers
System\CurrentControl
Set\Services\Eventlog
Software\Microsoft\OL
AP Server
Software\Microsoft\Windows
NT\CurrentVersion\Pri
nt
Software\Microsoft\Wi
ndows
NT\CurrentVersion\Wi
ndows
System\CurrentControl
Set\Control\ContentInd
ex
System\CurrentControlSet\Control\Terminal
Server
System\CurrentControl
Set\Control\Terminal
Server\UserConfig
System\CurrentControl
Set\Control\Terminal
Server\DefaultUserCon
figuration
Software\Microsoft\Wi
ndows
NT\CurrentVersion\Per
flib
System\CurrentControl
Set\Services\SysmonLo
g
Dstp sieciwy:
ustpnianie i mel
zabezpieczeo la knt
lokalnych
Krytyczny Klasyczny
uwierzytelnianie
uytkwnikw
lokalnych, jako samych
siebie
Klasyczny
uwierzytelnianie
uytkwnikw
lokalnych, jako samych
siebie
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
35/197
Dstp sieciwy: uziay, ktrych mnauzyskiwad stpanonimowo
Istotny Niezdefiniowane Niezdefiniowane
Dstp sieciwy:
zezwalaj na annimwtranslacj
ientyfikatrw
SID/nazw
Krytyczny Wyczne Wyczne
Dstp sieciwy:
zezwalaj na stosowanie
uprawnieo Wszyscy
anonimowych
uytkwnikw
Krytyczny Wyczne Wyczne
Inspekcja: inspekcjonuj
stp glbalnych
biektw systemu
Krytyczny Wyczne Niezdefiniowane
Inspekcja: inspekcjonuj
uycie prawa
wykonywania kopii
zapasowych i
przywracania
Krytyczny Wyczne Niezdefiniowane
Inspekcja: wymu
ustawienia podkategorii
zasad inspekcji (system
Windows Vista lub
nwszy), aby zastpid
ustawienia kategorii
zasad inspekcji
Krytyczny Niezdefiniowane Wczne
Inspekcja: zamknij
system natychmiast, jeli
nie mna rejestrwad
wynikw inspekcji
Krytyczny Wyczne Wyczne
Klient sieci Microsoft:
podpisuj cyfrowo
kmunikacj (za zg
serwera)
Krytyczny Wczne Wczne
Klient sieci Microsoft:
podpisuj cyfrowo
kmunikacj (zawsze)
Krytyczny Wyczne Wczne
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
36/197
Klient sieci Microsoft:
wylij niezaszyfrwane
has w celu nawizania
pczenia z innymi
serwerami SMB
Krytyczny Wyczne Wyczne
Konsola odzyskiwania:
zezwalaj na
automatyczne logowanie
administracyjne
Krytyczny Wyczne Wyczne
Konsola odzyskiwania:
zezwalaj na kopiowanie
na yskietk raz stp wszystkich yskw iflerw
Istotny Wyczne Wyczne
Konta: blokuj konta
Microsoft
Krytyczny Niezdefiniowane Uytkwnicy nie mgawad kntMicrsft ani lgwadsi za ich pmc
Knta: granicz uywanie
pustych hase przez
konta lokalne tylko do
logowania do konsoli
Krytyczny Wczne Wczne
Konta: Stan konta
administratora
Krytyczny Wyczne Wyczne
Knta: Stan knta gcia Krytyczny Wyczne Wyczne
Konta: Zmienianie nazwy
konta administratora
Krytyczny Administrator Niezdefiniowane
Konta: Zmienianie nazwy
knta gciaIstotny Gd Niezdefiniowane
Kontrola konta
uytkwnika:
pnszenie uprawnieo
tylko tych aplikacji z
poziomem UIAccess,
ktre s zainstalowane w
bezpiecznych
lokalizacjach
Krytyczny Wczne Wczne
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
37/197
Kontrola konta
uytkwnika:
pnszenie uprawnieo
tylk tych plikw
wyknywalnych, ktre s
ppisane i maj
sprawzn pprawnd
Krytyczny Wyczne Wyczne
Kontrola konta
uytkwnika: przecz na
bezpieczny pulpit przy
monitowaniu o
pniesienie uprawnieo
Krytyczny Wczne Wczne
Kontrola konta
uytkwnika: trybzatwierdzania przez
administratora dla
wbudowanego konta
administratora
Krytyczny Wyczne Wczne
Kontrola konta
uytkwnika:
uruchamianie wszystkich
aministratrw w trybie
zatwierdzania przez
administratora
Krytyczny Wczne Wczne
Kontrola konta
uytkwnika: wirtualizuj
by zapisu plikw i
rejestru w lokalizacjach
pszczeglnych
uytkwnikw
Krytyczny Wczne Wczne
Kontrola kontauytkwnika:
wykrywanie instalacji
aplikacji i monitowanie o
pniesienie uprawnieo
Krytyczny Wczne Wczne
Kontrola konta
uytkwnika: zachwaniemonitu o podniesienie
uprawnieo laaministratrw w trybiezatwierdzania przez
administratora
Krytyczny Mnituj zg napliki binarne
niepchzce zsystemu Windows
Mnituj zg nabezpiecznym pulpicie
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
38/197
Kontrola konta
uytkwnika: zachwaniemonitu o podniesienie
uprawnieo lauytkwnikw
standardowych
Krytyczny Monituj o
pwiaczeniaAutomatycznie
rzucaj aniapodniesienia
Kontrola konta
uytkwnika: zezwalajaplikacjom z poziomem
UIAccess na
monitowanie o
pniesienie uprawnieobez uywaniabezpiecznego pulpitu
Krytyczny Wyczne Wyczne
Kryptografia systemu:
uyj zgnych
algrytmw FIPS lacelw szyfrwania,twrzenia skrtu ipodpisywania
Istotny Wyczne Wczne
Kryptografia systemu:
wymu mcn chrnklucza dla kluczy
uytkwnikwprzechowywanych na
komputerze
Istotny Wyczne Niezdefiniowane
Logowanie interakcyjne:
liczba poprzednichzalgwao zbuforowania (w
przypadku
niestpncikontrolera domeny)
Krytyczny 10 lgwao 4 logowania
Logowanie interakcyjne:
Limit nieaktwyncikomputera
Krytyczny Niezdefiniowane 900 sekund
Logowanie interakcyjne:
mnituj uytkwnika
zmian hasa prze jegwyganiciem
Krytyczny 14 dni 14 dni
Logowanie interakcyjne:
nie wymagaj naciniciaklawiszy CTRL+ALT+DEL
Krytyczny Niezdefiniowane Wyczne
Logowanie interakcyjne:
nie wywietlajnazwystatnieg uytkwnika
Krytyczny Wyczne Wczne
Logowanie interakcyjne:
prg blkay kntakomputera
Krytyczny Niezdefiniowane 10 nieprawiwychprb lgwania
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
39/197
Logowanie interakcyjne:
tekst komunikatu dla
uytkwnikwprbujcych sizalogowad
Krytyczny Niezdefiniowane Niezdefiniowane
Logowanie interakcyjne:tytu kmunikatu lauytkwnikwprbujcych sizalgwad
Krytyczny Niezdefiniowane Niezdefiniowane
Logowanie interakcyjne:
wymagaj karty
inteligentnej
Istotny Wyczne Niezdefiniowane
Logowanie interakcyjne:
wymagaj
uwierzytelnienia
kontrolera domeny doodblokowania stacji
roboczej
Krytyczny Wyczne Wyczne
Logowanie interakcyjne:
wywietlaj infrmacje uytkwniku, gy sesja
jest zablokowana
Istotny Niezdefiniowane Niezdefiniowane
Logowanie interakcyjne:
zachowanie przy
usuwaniu karty
inteligentnej
Istotny Brak akcji Zablkuj stacj rbcz
Obiekty systemu:wymagaj nierzrnianiawielkci liter lapsystemw innych niWindows
Istotny Wczne Wczne
Obiekty systemu:
wzmocnij uprawnienia
mylne wewntrznychbiektw systemu (np.czy symblicznych)
Krytyczny Wczne Wczne
Serwer sieci Microsoft:
kres bezczynnciwymagany dla
wstrzymania sesji
Krytyczny 15 minut 15 minut
Serwer sieci Microsoft:
podpisuj cyfrowo
kmunikacj (za zgklienta)
Krytyczny Wyczne Wczne
Serwer sieci Microsoft:
podpisuj cyfrowo
kmunikacj (zawsze)
Krytyczny Wyczne Wczne
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
40/197
Serwer sieci Microsoft:
poziom sprawdzania
pprawnci celwejgwnej nazwy usugiserwera
Krytyczny Niezdefiniowane Zaakceptuj, jelidostarczone przez
klienta
Serwer sieci Microsoft:rzczaj klientw pupywie limitu czasulogowania
Krytyczny Wczne Wczne
Urzzenia: graniczstp stacji CD-ROMtylk uytkownikazalogowanego lokalnie
Opcjonalny Niezdefiniowane Niezdefiniowane
Urzzenia: graniczstp stacjidyskietek tylko do
uytkwnikazalogowanego lokalnie
Opcjonalny Niezdefiniowane Niezdefiniowane
Urzzenia: zapbiegajinstalacji sterwnikwdrukarek przez
uytkwnikw
Istotny Wyczne Niezdefiniowane
Urzzenia: zezwalaj naoddokowywanie bez
ptrzeby lgwania si
Opcjonalny Wczne Niezdefiniowane
Urzzenia: zezwlnna formatowanie i
wysunicie wymiennegnnika
Istotny Niezdefiniowane Administratorzy i
uytkwnicy
interakcyjni
Ustawienia systemowe:
opcjonalne podsystemy
Opcjonalny Posix Niezdefiniowane
Ustawienia systemowe:
uyj regu certyfikatw plikwwykonywalnych systemu
Windows dla Zasad
graniczeooprogramowania
Istotny Wyczne Niezdefiniowane
Zabezpieczenia sieci:minimalne
zabezpieczenia sesji dla
klientw partych naNTLM SSP (wczajcsecure RPC)
Krytyczny Wymagaj szyfrowania128-bitowego
Wymaga zabezpieczeosesji NTLMv2, Wymagaj
szyfrowania 128-
bitowego
Zabezpieczenia sieci:
minimalne
zabezpieczenia sesji dla
serwerw partych naNTLM SSP (wczajc
secure RPC)
Krytyczny Wymagaj szyfrowania
128-bitowego
Wymaga zabezpieczeosesji NTLMv2, Wymagaj
szyfrowania 128-
bitowego
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
41/197
Zabezpieczenia sieci: nie
przechowuj wartciskrtu (hash) prgramuLAN Manager dla
nastpnej zmiany hasa
Krytyczny Wczne Wczne
Zabezpieczenia sieci:poziom uwierzytelniania
LAN Manager
Krytyczny Wylij tylk pwieNTLMv2 Wylij tylk pwieNTLMv2. Omw LM iNTLM.
Zabezpieczenia sieci:
wymagania
podpisywania klienta
LDAP
Krytyczny Negocjuj podpisywanie Negocjuj podpisywanie
Zabezpieczenia sieciowe:
knfigurwanie typwszyfrowania
dozwolonych dla
prtku Kerbers
Istotny Niezdefiniowane RC4/AES128/AES256/pr
zysze typy szyfrowania
Zabezpieczenia sieciowe:
Ograniczania ruchu
NTLM: Daj wyjtki laserwerw z tej meny
Krytyczny Niezdefiniowane Niezdefiniowane
Zabezpieczenia sieciowe:
Ograniczanie ruchu
NTLM: Daj wyjtki laserwerw zalnych wcelu uwierzytelniania
NTLM
Krytyczny Niezdefiniowane Niezdefiniowane
Zabezpieczenia sieciowe:Ograniczanie ruchu
NTLM: Przeprwainspekcjprzychzceg ruchuNTLM
Krytyczny Niezdefiniowane Niezdefiniowane
Zabezpieczenia sieciowe:
Ograniczanie ruchu
NTLM: Przeprwainspekcjuwierzytelniania NTLM w
tej domenie
Krytyczny Niezdefiniowane Niezdefiniowane
Zabezpieczenia sieciowe:
Ograniczanie ruchu
NTLM: Przychzcy ruchNTLM
Krytyczny Niezdefiniowane Niezdefiniowane
Zabezpieczenia sieciowe:
Ograniczanie ruchu
NTLM: Uwierzytelnianie
NTLM w tej domenie
Krytyczny Niezdefiniowane Niezdefiniowane
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
42/197
Zabezpieczenia sieciowe:
Ograniczanie ruchu
NTLM: Wychzcy ruchNTLM serwerwzdalnych
Krytyczny Niezdefiniowane Niezdefiniowane
Zabezpieczenia sieciowe:Wymu wylgwanieuytkwnikw pupyniciu czasulogowania
Istotny Wyczne Niezdefiniowane
Zabezpieczenia sieciowe:
Zezwalaj kontu
systemowi lokalnemu na
uywanie pustych sesji
Istotny Niezdefiniowane Wyczne
Zabezpieczenia sieciowe:
Zezwalaj lokalnemu
systemowi nauwierzytelnianie NTLM
przy uyciu tsamcikomputera
Istotny Niezdefiniowane Wczne
Zabezpieczenia sieciowe:
Zezwalaj na wysyanieao uwierzytelnianiaPKU2U do tego
komputera w celu
uywania tsamcionline
Istotny Niezdefiniowane Wyczne
Zamknicie: wyczyd plikstrnicwania pamiciwirtualnej
Krytyczny Wyczne Wyczne
Zamknicie: zezwalaj nazamykanie systemu bez
kniecznci zalgwania
Istotny Wczne Wczne
2.14. Knfigurwanie ustawieo MSSWr wielu ustawieo zabezpieczeo istniej takie, ktre nie maj reprezentacji w pstaci zasa GPO.
Mna je za t efiniwad pprzez bezprenie wpisy w rejestrze. Ustawienia teg typu psiaaj
prefiks MSS (z ang. Microsoft Solutions for Security).
Wanym aspektem zarzzania ustawieniami MSS jest, e nie s usuwane wraz z usuwaniem
szablnw zabezpieczeo. T wymusza ich rczn knfiguracj z pzimu rejestru systemu
(regedit32.exe).
2.15. Ptencjalne zagrenia zwizane z zasaami ppisywania cyfrweg
pakietw SMBPrtk SMB (z ang. Server Message Blck) znany rwnie, jak CIFS (z ang. Cmmn Internet File
System) zapewnia mety ustpniania zasbw kmputerwych takich jak pliki, rukarki czy prty
szeregowe.
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
43/197
W sytuacji nawizywania przez klienta wykrzystujceg SMB w wersji 1 pczenia w sesji konta
inneg ni knt Gd lub logowania nie anonimowego, kiey zasay ppisywania SMB s wczne
klient wcza ppisywanie cyfrwe kmunikacji la serwera, a klejne nawizane sesje b
zieziczyy i stsway ppisan cyfrw kmunikacj SMB. W Windows 8 w celu zwikszenia
zasa bezpieczeostwa pczenia uwierzytelnine przez serwer s chrnine prze egraacj
poziomu sesji Gd lub Anonimowe.
Pwysza zasaa nie tyczy scenariusza, w ktrym kntrlery meny pracuj p kntrl
Winws Server 2003 a stacjami klienckimi s Winws Vista SP2 lub Winws Server 2008.
Majc t na uwaze, aby zachwad jenlite zachwanie zasa ppisywania pakietw SMB naley
sknfigurwad pnisze ustawienia znajujce si w gazi:
Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeo\Zasady
lokalne\pcje zabezpieczeo
(Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options)
W zakresie kontrolera domeny pracujceg p kntrl Winws Server 2003:
Zasada Poziom
wanciUstawienie
mylneUstawienie
zalecane przez
Microsoft
Serwer sieci Microsoft:
podpisuj cyfrowo
kmunikacj (za zg
klienta)
Krytyczny Wczny Wczny
Serwer sieci Microsoft:
podpisuj cyfrowo
kmunikacj (zawsze)
Krytyczny Wczny Wczny
W zakresie kmputerw bcych cznkami meny pracujcymi p kntrl Winws
Vista SP1 lub Windows Server 2008
Zasada Poziom
wanciUstawienie
mylneUstawienie
zalecane przez
Microsoft
Serwer sieci Microsoft:
podpisuj cyfrowo
kmunikacj (za zgklienta)
Krytyczny Wyczne Wczny
Serwer sieci Microsoft:
podpisuj cyfrowo
kmunikacj (zawsze)
Krytyczny Wyczne Wczny
Omawiane prblemy zstay rzwizane w Winws Server 2008 SP2 oraz Windows Vista SP2.
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
44/197
2.16. Ograniczenie stosowania mechanizmu uwierzytelnienia NTLM
Uwierzytelnianie NT LAN Manager (NTLM) jest wszechobecne w wielu sieciach komputerowych
nawet, jeli stpne s barziej bezpieczne prtky uwierzytelniania Winws. W Wi ndows 8
pjawiy si nwe zasay zabezpieczeo pzwalajce na analiz i graniczanie wykrzystania NTLM w
rwisku IT. Funkcje te bejmuj zbieranie anych, analiz ruchu NTLM raz prces metyczny,
ktry wprwaza graniczenia w ruchu NTLM na rzecz silniejszych prtkw uwierzytelniania
takich jak Kerbers. Ograniczenie uycia prtku NTLM wymaga wiezy na temat wykrzystania g
przez aplikacj raz strategii i krkw ptrzebnych knfiguracji infrastruktury pracy z innymi
prtkami.
Zasady umliwiajce auyt raz graniczenie wykrzystania ruchu NTLM znajuj si w gazi:
Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeo\Zasady
lokalne\pcje zabezpieczeo
(Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options)
i bejmuj:
w zakresie audytu:
o Zabezpieczenia sieciwe: Ograniczanie ruchu NTLM: Przeprwa inspekcjprzychzceg ruchu NTLM
o
Zabezpieczenia sieciwe: Ograniczanie ruchu NTLM: Przeprwa inspekcjuwierzytelniania NTLM w tej domenie
w zakresie ograniczania
o Zabezpieczenia sieciwe: Ograniczanie ruchu NTLM: Przychzcy ruch NTLM
o Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Uwierzytelnianie NTLM w tej
domenie
o Zabezpieczenia sieciwe: Ograniczanie ruchu NTLM: Wychzcyruch NTLM doserwerw zalnych
2.17. Knfigurwanie szczegwych zasa zbiru Dziennik zarzeoRejestrwanie zarzeo naley najwaniejszych zaao realizwanych w bszarze bezpieczeostwa
Winws, ktre mna przeglad z pzimu Dzienn ika zarzeo. Isttnym aspektem knfiguracji s
atrybuty ziennikw zwizane z ich rzmiarem, prawami stpu raz met napisywania
zarzeo.
Zasay umliwiajce knfiguracj wymieninych atrybutw znajuj si gazi:
Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeo\Dziennik zarzeo
(Computer Configuration\Windows Settings\Security Settings\Event Log)
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
45/197
Maksymalny rozmiar dziennika aplikacji
Maksymalny rozmiar dziennika systemu
Maksymalny rzmiar ziennika zabezpieczeo
Metoda przechowywania dziennika aplikacji
Metoda przechowywania dziennika systemu
Meta przechwywania ziennika zabezpieczeo
Omawiaj stpu lkalnej grupie gci ziennika aplikacji
Omawiaj stpu lkalnej grupie gci ziennika systemu
Omawiaj stpu lkalnej grupie gci ziennika zabezpieczeo
Przechowuj dziennik aplikacji przez
Przechowuj dziennik systemu przez
Przechwuj ziennik zabezpieczeo przez
2.18. Szczegwa knfiguracja zapry systemu Winws Firewall with
Advanced SecurityPrecyzyjna knfiguracja narzzia Zapra systemu Winws z zabezpieczeniami zaawanswanymi
jest mliwa z pzimu zasa grupwych w ramach gazi
Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeo\Zapora systemu
Windows z zabezpieczeniami zaawansowanymi
(Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced
Security)
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
46/197
Rys. 2.18.1 Ustawienia zasad grupowych dla Zapory systemu Windows z ustawieniami zaawansowanymi.
W ramach stpnych ustawieo mna knywad zmian w zakresie:
Ustawieo glnych zapry stpnych we waciwciach narzzia Zapra systemu
Windows z zabezpieczeniami zaawansowanymi
Wywietlanie i twrzenie regu wchzcych i wychzcych zapry
Wywietlanie i twrzenie regu w zakresie uwierzytelniania kmunikacji mizy kmputerami
Przystpujc knfiguracji ustawieo naley sprecyzwad prfil sieciwy, la ktreg b
definiowane ustawienia.
W ramach narzzia Zapra systemu Winws z zabezpieczeniami zaawanswanymi stpne s
pniej opisane profile sieciowe.
Profil domenowy
Prfil stswany jest, kiey kmputer zsta pczny sieci raz nastpi uwierzytelnienie
kntrlera meny, ktreg naley kmputer. Dmylna knfiguracja prfilu umliwia
nawizywanie sesji Pulpitu zdalnego oraz Pomocy zdalnej.
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
47/197
Profil prywatny
Prfil stswany jest, jeli uytkwnik psiaajcych pwiaczenia lkalneg aministratra
przypisze g w ramach bieceg pczenia sieciweg. Zaleca si, aby uywad prfilu prywatneg
w sieciach zaufanych.
Profil publicznyJest t mylny prfil i stswany jest w scenariuszach, kiey kmputer nie jest czny
meny. Stanwi n zbir najbarziej restrykcyjnych ustawieo, w ktrych wyczna jest
kmunikacja wchzca.
2.19. Usuga Winws UpateUsuga Winws Upate umliwia systematyczne sprawzanie kmputera p ktem wymaganych
aktualizacji. Wszystkie pprawki mylnie ystrybuwane s pprzez witryn Winws Upate.
Alternatywnie mna utwrzyd infrastruktur, ktra bzie umliwiaa lkaln ystrybucj
pprawek z centraln synchrnizacj witryny Winws Upate. Realizuje si t za pmc
serweraWSUS (z ang. Windows Server Update Services)13. Zastosowanie serwera WSUS zapewnia:
Aministracyjn kntrl na synchrnizacj pprawek z witryny Winws Upate, ktre
b ystrybuwane lkalnie,
Lokalny serwer Windows Update,
Aministracyjn kntrl na pprawkami,
Autmatyczn aktualizacj kmputerw (stacji rbczych i/lub serwerw).
Knfiguracja klientw serwera WSUS realizwana jest pprzez ustawienia zasa grupwych stpne
w gazi:
Konfiguracja komputera\Szablony administracyjne\Skaniki systemu Winws\Usuga Winws
Update
(Computer Configuration\Administrative Templates\Windows Components\Windows Update)
Nie wywietlaj pcji Zainstaluj aktualizacje i zamknij system w knie ialgwym
Zamykanie systemu Windows
Nie ustawiaj pcji mylnej na Zainstaluj aktualizacje i zamknij system w knie
dialogowym Zamykanie systemu Windows Nie skonfigurowano
Wczanie Opcji zasilania, aby funkcja Winws Upate autmatycznie wznawiaa system w
celu zainstalowania zaplanowanych aktualizacji
Konfigurowanie aktualizacji automatycznych
Okrel lkalizacj intranetwej usugi aktualizujcej firmy Micrsft
Czsttliwd wykrywania aktualizacji autmatycznych
Zezwalaj, aby uytkwnicy inni ni aministratrzy trzymywali pwiamienia aktualizacji
Wcz pwiamienia prgramwaniu
Zezwalaj na natychmiastw instalacj aktualizacji automatycznych
Wcz zalecane aktualizacje za pmc aktualizacji autmatycznych
13http://technet.microsoft.com/en-us/windowsserver/bb332157.aspx
http://technet.microsoft.com/en-us/windowsserver/bb332157.aspxhttp://technet.microsoft.com/en-us/windowsserver/bb332157.aspxhttp://technet.microsoft.com/en-us/windowsserver/bb332157.aspxhttp://technet.microsoft.com/en-us/windowsserver/bb332157.aspx -
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
48/197
Bez automatycznego uruchamiania ponownego dla zaplanowanych instalacji aktualizacji
autmatycznych przy zalgwanych uytkwnikach
Pnw mnit pnwne uruchmienie komputera z zaplanowanymi instalacjami
Opniaj pnwne uruchmienie kmputera la zaplanwanych instalacji
Zaplanuj ponownie zaplanowane instalacje aktualizacji automatycznych
Wcz knfigurwanie celwej strny klienta
Zezwalaj na podpisane aktualizacje z intranetwej lkalizacji usugi aktualizacji firmy
Microsoft
D prawiweg ziaania klienta z serwerem WSUS naley sknfigurwad minimum cztery zasay:
Okrel lkalizacj intranetwej usugi aktualizujcej firmy Micrsft
Konfigurowanie aktualizacji automatycznych
Bez automatycznego uruchamiania ponownego dla zaplanowanych instalacji aktualizacji
autmatycznych przy zalgwanych uytkwnikach
Zaplanuj ponownie zaplanowane instalacji aktualizacji automatycznych
2.20. Ataki na usug zintegrwaneg uwierzytelniania systemu Windows
plegajce na przekazywaniu pwiaczeoPraniki Bezpieczeostwa Micrsft MSA (z ang. Micrsft Security Avisry) zawieraj infrmacj
na temat ryzyka atakw zwizanych z przechwyceniem pwiaczeo uytkwnika wykrzystujceg
usug zintegrwaneg uwierzytelniania systemu Winws IWA (z ang. Integrate Winws
Authenticatin). Teg typu naruszenia bezpieczeostwa mg wystpid pprzez ataki typu czwiek
prku (ang. man-in-the-middle) lub poprzez sprowokowanie uruchomienia przez uytkwnika
knkretneg nnika.
Pniej przestawine zstay wa przykay teg typu atakw:
Przekazanie pwiaczeo
W tym scenariuszu atak nastpuje, kiey przechwycne pwiaczenia s wykrzystywane
lgwania si innych usug ni fiara miaa stp.
Obicie pwiaczeo
Teg typu atak zakaa wykrzystanie przechwycnych pwiaczeo pnwneg
lgwania si na kmputerze fiary.
W celu zmniejszenia ryzyka teg typu atakw ustpnina zstaa funkcja EPA (z ang. Extended
Protection for Authentication) zawarta w Windows 8 oraz w Windows Server 2012. Dla poprzednich
wersji Windows EPAjest stpna, czstjako aktualizacja.
Szczegwe infrmacje knfiguracji EPA la wczeniejszych wersji Winws znajuj si w
KB968389 (http://support.microsoft.com/kb/976918).
W zaeniach zintegrwaneg uwierzytelniania Winws przyjt, e niektre pwiezi
uwierzytelniania s uniwersalne, c umliwia ich atwe pwtrne uycie lub przekazanie. St zaleca
si, jak minimum knstrukcj, w ktrej knstrukcja pwiezi w kmunikacji zawiera krelne
infrmacje kanale kmunikacji. Dziki temu usugi maj zapewnin rzszerzn chrn w
http://support.microsoft.com/kb/976918http://support.microsoft.com/kb/976918http://support.microsoft.com/kb/976918http://support.microsoft.com/kb/976918 -
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
49/197
zakresie pwiezi uwierzytelniania zawierajcych krelne infrmacje tyczce usug, takie jak
SPN (z ang. Service Principal Name).
-
7/25/2019 Przewodnik Zabezpieczen Systemu Win 8 1
50/197
3. Spsby chrny prze zliwym prgramwaniem
Oprgramwaniem zliwym, malware (ang. malicious software) krelany jest kay program
kmputerwy lub skrypt, majcy szkliwe lub zliwe ziaanie w stsunku uytkwnika
kmputera. Przykaami prgramwania zliweg s: wirusy, rbaki, knie trjaoskie, rtkity
raz prgramwanie szpiegujce( ang. Spyware), ktre grmaz infrmacje na temat ziaalnci
uytkwnika bez uprzeniej zgy uytkwnika systemu.
Windows 8 zsta zbuwany w parciu technologie wprowadzone w systemach Windows Vista i
Windows 7. Technolgie te zawieraj kilka nwych rzwizao, ktre mg zstad wykrzystane w
celu zapewnienia ochrony przed oprogramowaniem zliwym la kmputerw prac