Hardening Windows 11: Zaawansowane Techniki Zabezpieczania Systemu przed Wykorzystaniem Luk
Kompletny przewodnik dla administratorów IT i zaawansowanych użytkowników

🔐 Czym jest „Hardening” i dlaczego ma znaczenie?

Hardening to proces wzmacniania systemu operacyjnego poprzez:

• redukcję powierzchni ataku,
• wyłączenie niepotrzebnych funkcji,
• wdrożenie polityk bezpieczeństwa.

Choć Windows 11 zawiera wiele zabezpieczeń domyślnie (jak Secure Boot, TPM 2.0, VBS, Defender), w środowiskach korporacyjnych i krytycznych to nie wystarcza.

📌 Celem tego poradnika jest pokazanie praktycznych i zaawansowanych kroków, które można wdrożyć, by znacząco utrudnić życie cyberprzestępcom.

🧰 1. Wyłączenie nieużywanych funkcji systemowych

📍 Panel sterowania → Programy → Włącz lub wyłącz funkcje systemu Windows
Zalecane do wyłączenia:

• SMBv1 (jeśli jeszcze aktywne)
• PowerShell 2.0
• Internet Explorer Mode
• Telnet Client
• Print and Document Services (jeśli nieużywane)

🎯 Cel: ograniczenie możliwości ataku przez stare lub niepotrzebne komponenty.

🛡️ 2. Włączenie i skonfigurowanie Windows Defender Application Control (WDAC)

WDAC to biała lista aplikacji, która ogranicza uruchamianie tylko do zatwierdzonego kodu.

📌 Możesz tworzyć reguły m.in. na podstawie:

• podpisu cyfrowego,
• lokalizacji pliku,
• atrybutów katalogu.

🛠️ Narzędzia pomocnicze:
Microsoft Defender Application Control Wizard, AppLocker, ConfigCI.

🔑 3. Wdrożenie Credential Guard i LSA Protection

Credential Guard izoluje dane uwierzytelniające w środowisku wirtualnym.
LSA Protection chroni proces lsass.exe przed dostępem zewnętrznym.

✅ Włącz przez GPO:
Computer Configuration > Administrative Templates > System > Device Guard > Turn on Credential Guard

🧪 Sprawdzenie:

msinfo32

Szukaj „Credential Guard: Włączone”.

🔍 4. Aktywacja i konfiguracja Smart App Control

Dostępne w edycji Windows 11 22H2 i nowszych.

• Analizuje aplikacje przy pierwszym uruchomieniu,
• Weryfikuje reputację w chmurze Microsoft,
• Automatycznie blokuje podejrzane pliki EXE/MSI/SCRIPT.

📌 Tryby: Evaluation | On | Off
Uwaga: Aktywacja możliwa tylko na świeżym systemie (fresh install).

🔒 5. Zabezpieczenie PowerShell

PowerShell to potężne narzędzie, ale często wykorzystywane przez malware.

✅ Zabezpieczenia:

• Włącz Constrained Language Mode dla nieadminów.
• Loguj każde polecenie (Module Logging, Script Block Logging).
• Użyj narzędzi takich jak Windows Event Forwarding + SIEM.

🧰 Edycja przez GPO:
Computer Configuration > Admin Templates > Windows Components > Windows PowerShell

🧱 6. Firewall i segmentacja sieci

📋 Reguły zapory:

• Zezwalaj tylko na ruch niezbędny dla danej roli maszyny,
• Zablokuj dostęp do portów RDP (3389), SMB (445), jeśli nie są wymagane.

🕸️ Segmentacja:

• Oddziel komputery użytkowników od serwerów,
• Użyj VLAN lub ACL do ograniczenia komunikacji lateralnej.

🧬 7. Zasady bezpieczeństwa lokalnego (Local Security Policy)

📌 Narzędzie: secpol.msc

Zalecenia:

• Wymuś silne hasła (min. 12 znaków, wielkie litery, cyfry, znaki specjalne),
• Wyłącz konta gościa i domyślne konta administracyjne,
• Zablokuj logowanie przez RDP z kont z grupy Administrators,
• Włącz kontrole logowania (account lockout policies).

📆 8. Automatyczne aktualizacje i zarządzanie łatkami

Nieaktualny system = otwarte drzwi.

✅ Wymuś instalację aktualizacji:

• Funkcjonalnych (Feature Updates),
• Zbiorczych (Cumulative Updates),
• Sterowników tylko z podpisem Microsoft.

🛠️ Narzędzia:
Windows Update for Business, WSUS, Intune.

📜 9. Logowanie i audyt zdarzeń

Aktywuj pełne logowanie:

• logowania lokalne i zdalne,
• zmiany uprawnień,
• uruchomione procesy i aplikacje,
• modyfikacje systemu.

📍 Użyj: gpedit.msc → Advanced Audit Policy Configuration

🔄 Integruj logi z: Microsoft Sentinel, Splunk, Graylog, ELK Stack.

🛠️ 10. Użycie narzędzi wspierających hardening

• Microsoft Security Compliance Toolkit – gotowe szablony GPO do hardeningu.
• Attack Surface Analyzer – analiza przed/po konfiguracji.
• Sysinternals Suite – sprawdzanie procesów, usług, uprawnień.
• Baseline Analyzer (MBSA) – ocena zgodności z wytycznymi bezpieczeństwa.

✅ Podsumowanie: Twój własny bastion Windows 11

Wzmocnienie Windows 11 to nie jednorazowe działanie, ale ciągły proces.
🔒 Twarda konfiguracja + monitorowanie + edukacja użytkowników = minimalizacja ryzyka.

🛡️ Celem hardeningu nie jest 100% ochrona (bo taka nie istnieje), ale uczynienie ataku kosztownym, czasochłonnym i zniechęcającym dla napastnika.

Polecane wpisy

Poradnik rozwiązywania problemów ze spadkami FPS w grach na Windows 11

🎮 Poradnik rozwiązywania problemów ze spadkami FPS w grach na Windows 11 ❓ Czym są spadki FPS i dlaczego występują? Czytaj dalej

Szyfrowanie dysków, folderów oraz nośników zewnętrznych w Windows 12 – Kompleksowy przewodnik

Szyfrowanie dysków, folderów oraz nośników zewnętrznych w Windows 12 – Kompleksowy przewodnik Wstęp W erze cyfrowej ochrona danych jest kluczowa. Czytaj dalej