• Windows 11 w środowisku biznesowym – zaawansowane mechanizmy zabezpieczeń, które warto włączyć (2025)
    Windows 11

    Windows 11 w środowisku biznesowym – zaawansowane mechanizmy zabezpieczeń, które warto włączyć (2025)

    Marek „Netbe” Lampart Opublikowane w

    Windows 11 w środowisku biznesowym – zaawansowane mechanizmy zabezpieczeń, które warto włączyć (2025)

    Windows 11 w wersjach Pro, Enterprise i Education oferuje szereg zaawansowanych funkcji bezpieczeństwa, które — odpowiednio włączone i skonfigurowane — znacząco zmniejszają ryzyko ataków ransomware, kradzieży danych i kompromitacji kont administratorów. Poniżej znajdziesz kompletny przewodnik po najważniejszych mechanizmach, które każda firma powinna wdrożyć w 2025 roku.

    1. WDAC — Windows Defender Application Control (kontrola uruchamiania aplikacji)

    Najsilniejszy poziom ochrony przed ransomware i malware.

    WDAC pozwala stworzyć politykę, która decyduje, jakie aplikacje mogą się uruchomić w firmowych komputerach. To w praktyce „allow-listing” na poziomie jądra.

    Korzyści:

    • blokowanie wykonywania nieautoryzowanego kodu,
    • odporność na większość exploitów i malware,
    • możliwość tworzenia polityk testowych (audit mode),
    • integracja z Intune, GPO i Microsoft Defender for Endpoint.
    Czytaj  Ataki na kopie zapasowe – dlaczego backup nie zawsze ratuje przed ransomware

    Rekomendowane podejście:

    • zacznij od trybu audytu,
    • zbierz logi z 2–4 tygodni,
    • skonstruuj właściwą politykę produkcyjną.

    2. Credential Guard (ochrona poświadczeń)

    Blokuje przejęcie haseł i hashy z pamięci (atak Pass-the-Hash/Pass-the-Ticket).

    Credential Guard izoluje LSASS w dedykowanym obszarze wirtualizacji sprzętowej (VBS), co praktycznie uniemożliwia atakującemu odczytanie poświadczeń.

    Zalecenia:

    • wymuś w firmie Windows 11 + TPM 2.0 + UEFI,
    • włącz VBS i HVCI (Hypervisor-protected Code Integrity),
    • kontroluj logi: Events → Security → LSA protection.

    Efekt: nawet z uprawnieniami lokalnego admina atakujący nie odczyta hashy NTLM.

    3. HVCI – Hypervisor-Protected Code Integrity

    HVCI zapewnia weryfikację integralności sterowników i kodu jądra przy użyciu warstwy hypervisora.

    Daje to:

    • znacznie mniejsze ryzyko rootkitów,
    • wymuszanie ładowania tylko podpisanego i zaufanego kodu,
    • większą odporność na exploit kits.

    W środowisku biznesowym powinno być obowiązkowo włączone.

     

    Windows 11 w środowisku biznesowym – zaawansowane mechanizmy zabezpieczeń, które warto włączyć (2025)
    Windows 11 w środowisku biznesowym – zaawansowane mechanizmy zabezpieczeń, które warto włączyć (2025)

    4. Defender for Endpoint – tryb „Enhanced” + atak Surface Reduction (ASR)

    Firmy często mają EDR, ale nie korzystają z najważniejszych funkcji.

    Funkcje, które należy włączyć:

    • ASR Rules: blokuj makra, skrypty Office, nieautoryzowane .exe z folderów użytkownika,
    • Network Protection — blokowanie phishingu i złośliwych domen na poziomie systemu,
    • Controlled Folder Access — ochrona plików firmowych przed szyfrowaniem przez ransomware,
    • EDR in block mode — Defender blokuje zagrożenia, nawet jeśli korzystasz z innego AV.

    To jedne z najbardziej skutecznych funkcji anty-ransomware w Windows 11.

    5. Smart App Control (SAC) – inteligentny allow-listing na poziomie systemu

    Nowy mechanizm w Windows 11, wykorzystujący AI do oceny, który kod jest bezpieczny.

    Cechy:

    • działa nawet w małych firmach bez Intune,
    • używa sygnatur i zachowania aplikacji,
    • potrafi blokować aplikacje spoza Microsoft Store, jeśli nie spełniają wymogów bezpieczeństwa.

    SAC szczególnie sprawdza się na nowych urządzeniach (fresh install).

    6. Secure Boot + TPM 2.0 + Measured Boot (łańcuch zaufania uruchamiania)

    Podstawowa, ale często źle skonfigurowana warstwa bezpieczeństwa.

    Czytaj  Bezpieczeństwo systemów opartych na kluczu publicznym: zarządzanie certyfikatami

    Co włączyć:

    • Secure Boot z własnym zestawem kluczy (PK, KEK, DB/DBX),
    • Measured Boot → integracja z EDR/Attestation,
    • blokada zmian w BIOS/UEFI hasłem i polityką.

    Dzięki temu atakujący nie zmodyfikuje bootloadera ani firmware.

    7. Izolacja przeglądarki – Microsoft Edge Application Guard (WDAG)

    Oprogramowanie firmowe najczęściej infekowane jest przez przeglądarkę.

    Application Guard izoluje przeglądarkę w lekkiej maszynie wirtualnej:

    • każda strona jest wyizolowana od reszty systemu,
    • pobrane pliki nie mogą wykonać kodu poza piaskownicą,
    • integracja z Intune i MDE.

    Świetne dla działów księgowych, HR, logistyki — tam phishing działa najskuteczniej.

    8. BitLocker + MBAM/Intune – pełne szyfrowanie dysków z centralnym zarządzaniem

    Brak szyfrowania dysków to nadal ogromne ryzyko w firmach.

    Co wdrożyć:

    • pełne szyfrowanie systemu i nośników USB,
    • TPM+PIN lub TPM+Windows Hello for Business,
    • wymuszona kopia kluczy odzyskiwania do Azure AD/AD DS/Intune,
    • automatyczne raporty zgodności.

    BitLocker + Intune = bezobsługowy, audytowalny system szyfrowania.

    9. Windows Hello for Business – eliminacja haseł (passwordless)

    Hasła są największą słabością systemów.

    Windows Hello for Business pozwala:

    • logować się przez FIDO2, PIN sprzętowy, biometrię,
    • wykorzystać asymetryczną kryptografię i klucze w TPM,
    • całkowicie usunąć klasyczne hasła z procesu logowania.

    W połączeniu z Conditional Access znacząco ogranicza ryzyko ataków phishingowych.

    10. Network Level Authentication + izolacja RDP + Just-In-Time access

    RDP to jeden z najczęściej atakowanych protokołów.

    Należy:

    • włączyć NLA + TLS 1.2+ dla sesji,
    • wyłączyć RDP z internetu i przejść na JIT (Just-In-Time) dostęp w MDE,
    • dodatkowo zastosować Remote Credential Guard dla sesji administracyjnych,
    • wymusić MFA dla RDP przez Conditional Access (Azure AD).

    11. Automatyczne aktualizacje sterowników i firmware (Windows Update for Business)

    Sterowniki i firmware są częstym wektorem ataku (głównie przez luki w UEFI).

    Wymuś:

    • aktualizacje UEFI/BIOS przez Windows Update,
    • harmonogram ringów aktualizacyjnych (pilot → szeroka produkcja),
    • weryfikację podpisów sterowników (Driver Signing).
    Czytaj  Napraw błędy dostępu do folderów i plików w systemie Windows

    12. Hardening PowerShell i blokowanie makr w Office

    PowerShell to potężne narzędzie — i potężany wektor ataku, jeśli jest otwarty.

    Włącz:

    • PowerShell Constrained Language Mode,
    • logi Script Block Logging + Module Logging,
    • blokadę makr Office z Internetu,
    • ochronę przed VBA starych wersji plików.

    To minimalizuje ryzyko ataków file-less.

    13. Zero Trust + Conditional Access dla stacji roboczych

    Model Zero Trust nie jest tylko dla chmury.

    W Windows 11 wdrażamy go przez:

    • weryfikację stanu urządzenia (device compliance),
    • segmentację sieciową,
    • minimalne uprawnienia lokalne (brak local admin w całej firmie!),
    • kontrolę tożsamości w każdym kroku dostępu.

    14. Rekomendowane polityki do wdrożenia (Intune/GPO)

    • Włącz Credential Guard + HVCI
    • Włącz ASR (min. 7 kluczowych reguł)
    • Blokuj makra Office z Internetu
    • Włącz Network Protection
    • Włącz Controlled Folder Access
    • Włącz Smart App Control (na nowych urządzeniach)
    • Włącz Application Guard dla Edge
    • Szyfruj dyski BitLocker + wymuszony recovery backup
    • Włącz logs: PowerShell, AppLocker/WDAC, MDE EDR

    15. Najczęstsze błędy w firmach

    • Administratorzy lokalni na wszystkich komputerach.
    • Wyłączony HVCI/VBS „bo spowalnia” (na nowych CPU nie spowalnia).
    • RDP wystawiony do internetu (!).
    • Brak ASR mimo kupionego MDE.
    • Brak polityki backupu kluczy BitLocker.
    • Brak Application Guard mimo częstego phishingu.

    16. Podsumowanie — co włączyć od razu (TOP 10)

    1. Credential Guard
    2. HVCI
    3. ASR + Network Protection
    4. Controlled Folder Access
    5. BitLocker + centralne zarządzanie
    6. Smart App Control
    7. Application Guard
    8. Windows Hello for Business
    9. Just-In-Time dla RDP/administracji
    10. Hardening PowerShell + makra Office blokowane

     

    Polecane wpisy
    DirectStorage w Windows 11 – Wymagania sprzętowe i korzyści dla graczy
    DirectStorage w Windows 11 – Wymagania sprzętowe i korzyści dla graczy

    DirectStorage w Windows 11 – Wymagania sprzętowe i korzyści dla graczy Technologia DirectStorage to jedno z najważniejszych usprawnień dla graczy, Czytaj dalej

    Korzystanie z piaskownicy aplikacji i wirtualizacji w Androidzie: Izolacja zagrożeń dla danych
    Korzystanie z piaskownicy aplikacji i wirtualizacji w Androidzie: Izolacja zagrożeń dla danych

    Korzystanie z piaskownicy aplikacji i wirtualizacji w Androidzie: Izolacja zagrożeń dla danych 🔐 Wprowadzenie W dobie rosnących zagrożeń w internecie, Czytaj dalej

    Powiązane wpisy:

    1. Hardening Windows 11: Kompletny przewodnik po konfiguracji bezpieczeństwa
    2. Bezpieczeństwo Windows 11 w erze Zero Trust: Nowe podejście do zaufania
    3. Cyberbezpieczeństwo w Windows 11 i Windows 12 — jak Microsoft wzmacnia ochronę systemu przed współczesnymi zagrożeniami
    4. Praktyczne sposoby na wzmocnienie cyberbezpieczeństwa w Windows 11 i Windows 12 — kompletny poradnik ochrony systemu
    5. Konfiguracja sieci VLAN w Windows i Linux – izolacja ruchu w praktyce
    Otagowano:

    Marek „Netbe” Lampart
    Marek "Netbe" Lampart Inżynier informatyki Marek Lampart to doświadczony inżynier informatyki z ponad 25-letnim stażem w zawodzie. Specjalizuje się w systemach Windows i Linux, bezpieczeństwie IT, cyberbezpieczeństwie, administracji serwerami oraz diagnostyce i optymalizacji systemów. Na netbe.pl publikuje praktyczne poradniki, analizy i instrukcje krok po kroku, pomagając administratorom, specjalistom IT oraz zaawansowanym użytkownikom rozwiązywać realne problemy techniczne.
    Zobacz wszystkie wpisy

    Może ci się spodobać również