• Praktyczne zabezpieczenia Windows: konfiguracja ASR, AppLocker i analiza logów Sysmon krok po kroku
    Cyberbezpieczeństwo Windows 10 Windows 11

    Praktyczne zabezpieczenia Windows: konfiguracja ASR, AppLocker i analiza logów Sysmon krok po kroku

    Marek „Netbe” Lampart Opublikowane w

    Praktyczne zabezpieczenia Windows: konfiguracja ASR, AppLocker i analiza logów Sysmon krok po kroku

    Nowoczesne ataki na Windows coraz rzadziej używają klasycznego malware. Zamiast tego wykorzystują legalne narzędzia systemowe (LOLBins), co sprawia, że tradycyjny antywirus bywa bezradny. Właśnie dlatego ASR, AppLocker i Sysmon to dziś fundament realnego bezpieczeństwa systemów Windows 10 i Windows 11.

    Ten artykuł pokazuje konkretne konfiguracje, realne scenariusze ataków oraz praktyczną analizę logów.

    Attack Surface Reduction (ASR) – praktyczna konfiguracja

    Czym jest ASR?

    Attack Surface Reduction to zestaw reguł Windows Defendera, które blokują typowe techniki ataków — zanim kod zostanie uruchomiony.

    ASR działa behawioralnie, a nie sygnaturowo.

    Praktyczne zabezpieczenia Windows: konfiguracja ASR, AppLocker i analiza logów Sysmon krok po kroku
    Praktyczne zabezpieczenia Windows: konfiguracja ASR, AppLocker i analiza logów Sysmon krok po kroku

    Najważniejsze reguły ASR (must‑have)

    Reguła ASR Co blokuje Dlaczego ważne
    Block Office child processes Makra uruchamiające PowerShell phishing
    Block credential stealing from LSASS Dump haseł ochrona kont
    Block executable content from email Załączniki ransomware
    Block PowerShell obfuscation EncodedCommand LOLBins
    Block WMI and PSExec Lateral movement ataki sieciowe

    Włączanie ASR (PowerShell)

    Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled

    🔍 Tryb testowy:

    -AttackSurfaceReductionRules_Actions AuditMode

    Gdzie sprawdzać alerty ASR?

    • Event Viewer
      Microsoft → Windows → Windows Defender → Operational
    • Event ID: 1121, 1122, 1125
    Czytaj  Wbudowane zabezpieczenia Windows 11 – czy naprawdę wystarczą?

    AppLocker – kontrola uruchamiania aplikacji

    Kiedy używać AppLocker?

    • serwery produkcyjne,
    • stacje robocze użytkowników,
    • środowiska z wysokim poziomem bezpieczeństwa.

    AppLocker pozwala jawnie zezwolić tylko na to, co jest potrzebne.

    Typowe polityki AppLocker

    1. Zezwól tylko na systemowe aplikacje

    • %SystemRoot%\System32
    • %ProgramFiles%

    2. Zablokuj uruchamianie z:

    • Downloads
    • AppData
    • Temp

    Przykład reguły (blokada EXE z AppData)

    New-AppLockerPolicy -RuleType Path -Path "%OSDRIVE%\Users\*\AppData\*" -Deny

    Monitorowanie AppLocker

    Event Viewer:

    • Applications and Services Logs
    • Microsoft → Windows → AppLocker

    Najważniejsze Event ID:

    • 8003 – aplikacja zablokowana
    • 8004 – aplikacja dozwolona

    Sysmon – analiza logów na poziomie SOC

    Czym jest Sysmon?

    Sysmon to narzędzie Sysinternals, które daje pełną widoczność zdarzeń:

    • procesy,
    • połączenia sieciowe,
    • ładowanie DLL,
    • modyfikacje rejestru.

    To podstawa dla:

    • SOC,
    • SIEM,
    • analizy ataków LOLBins.

    Kluczowe Event ID Sysmon

    Event ID Co oznacza
    1 Utworzenie procesu
    3 Połączenie sieciowe
    7 Załadowanie DLL
    11 Utworzenie pliku
    13 Zmiana rejestru

    Przykład podejrzanego zdarzenia (PowerShell)

    EventID: 1
Image: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
CommandLine: powershell -nop -w hidden -enc SQBFAFgA
ParentImage: winword.exe

    🚩 Czerwone flagi:

    • -EncodedCommand
    • rodzic: Office
    • brak interakcji użytkownika

    Analiza połączeń C2 (Sysmon Event ID 3)

    DestinationPort: 443
Image: powershell.exe
Initiated: true

    ➡ PowerShell nie powinien nawiązywać połączeń HTTPS bez powodu.

    Praktyczny scenariusz: phishing → LOLBins → C2

    1. Użytkownik otwiera dokument Word
    2. Word uruchamia PowerShell (Event ID 1)
    3. PowerShell pobiera payload (Event ID 3)
    4. ASR blokuje wykonanie
    5. Alert trafia do Defendera / SIEM

    🎯 Efekt: atak zatrzymany bez malware

    Jak połączyć ASR + AppLocker + Sysmon?

    Warstwa Funkcja
    ASR Blokada technik ataku
    AppLocker Kontrola uruchamiania
    Sysmon Widoczność i analiza

    To minimalny standard bezpieczeństwa Windows w 2026 roku.

    Checklist bezpieczeństwa (gotowa do wdrożenia)

    ✔ ASR w trybie Enforced
    ✔ AppLocker z whitelistą
    ✔ Sysmon + centralne logi
    ✔ Defender ASR + Exploit Guard
    ✔ Brak lokalnych adminów
    ✔ Monitoring PowerShell

    Czytaj  Czy folder inetpub można usunąć bez wpływu na system Windows?

    Podsumowanie

    Jeśli chcesz realnie chronić Windows:

    • AV to za mało
    • LOLBins wymagają kontroli behawioralnej
    • Logi są kluczem do detekcji

    ASR, AppLocker i Sysmon to zestaw, który:

    • blokuje ataki bez plików,
    • daje pełną widoczność,
    • jest gotowy pod SIEM i SOC.

    Jeśli chcesz, mogę przygotować:

    • gotową politykę GPO,
    • konfigurację Sysmon pod MITRE ATT&CK,
    • przykłady zapytań do SIEM (Splunk / Sentinel).

     

    Polecane wpisy
    Prywatność w aplikacjach społecznościowych – jak chronić dane w 2026 roku
    Prywatność w aplikacjach społecznościowych – jak chronić dane w 2026 roku

          Prywatność w aplikacjach społecznościowych – jak chronić dane w 2026 roku Aplikacje społecznościowe pozostają największym źródłem danych Czytaj dalej

    Bezpieczeństwo w trybach awaryjnych i diagnostycznych – co wtedy przestaje działać
    Bezpieczeństwo w trybach awaryjnych i diagnostycznych – co wtedy przestaje działać

    Bezpieczeństwo w trybach awaryjnych i diagnostycznych – co wtedy przestaje działać Wprowadzenie: bezpieczeństwo „warunkowe” Tryby awaryjne i diagnostyczne istnieją po Czytaj dalej

    Powiązane wpisy:

    1. Ataki Living off the Land (LOLBins) – jak legalne narzędzia Windows są wykorzystywane do ataków
    2. Narzędzia do monitorowania aktywności systemu w poszukiwaniu oznak infekcji ransomware
    3. Living off the Land Binaries (LOLBins): Wykorzystanie natywnych narzędzi Windows do ataków
    4. Zaawansowane techniki ochrony przed ransomware w Windows i Linux
    5. Atak Pass-the-Hash (PtH) – kradzież tożsamości bez poznania hasła
    Otagowano:

    Marek „Netbe” Lampart
    Marek "Netbe" Lampart Inżynier informatyki Marek Lampart to doświadczony inżynier informatyki z ponad 25-letnim stażem w zawodzie. Specjalizuje się w systemach Windows i Linux, bezpieczeństwie IT, cyberbezpieczeństwie, administracji serwerami oraz diagnostyce i optymalizacji systemów. Na netbe.pl publikuje praktyczne poradniki, analizy i instrukcje krok po kroku, pomagając administratorom, specjalistom IT oraz zaawansowanym użytkownikom rozwiązywać realne problemy techniczne.
    Zobacz wszystkie wpisy

    Może ci się spodobać również