Professional Documents
Culture Documents
WERSJA 1.0
Spis treci
1.
Wstp .............................................................................................................................................. 6
1.1.
1.2.
1.3.
1.4.
Wprowadzenie ...................................................................................................................... 13
2.6.
2.7.
2.8.
2.8.1
2.9.
2.10.
2.11.
2.12.
2.13.
2.14.
2.15.
2.16.
2.17.
2.18.
Szczegowa konfiguracja zapory systemu Windows Firewall with Advanced Security ... 45
2.19.
2.20.
Ataki na usug zintegrowanego uwierzytelniania systemu Windows polegajce na
przekazywaniu powiadczeo ............................................................................................................. 48
3.
4.
3.2.
3.3.
3.4.
3.5.
3.6.
3.7.
3.8.
3.9.
3.10.
3.11.
3.12.
3.13.
4.2.
4.3.
4.4.
Zastosowanie ustawieo zasad grup do wdroenia BitLocker w celu minimalizacji ryzyka ... 93
4.8.
4.9.
4.10.
Szczegowe ustawienia systemu EFS zapewniajce ochron wraliwych danych ........ 113
4.11.
4.12.
4.13.
4.14.
4.15.
4.16.
Zastosowanie ustawieo zasad grup do kontroli i blokowania funkcji autostartu i
autoodtwarzania ............................................................................................................................. 127
4.17.
4.18.
5.
5.2.
5.3.
Zmiany i ulepszenia systemu operacyjnego Windows 8 oraz Windows 8.1 ....................... 132
7.
6.1.1
6.1.2
ad korporacyjny, zarzdzanie ryzykiem oraz zgodnod ze standardami w IT (IT GRC) .............. 137
7.1.
7.2.
7.3.
7.4.
7.5.
7.6.
8.
8.2
8.3
8.4
8.4.1
8.4.2
8.5
9.
10.
8.5.1
8.5.2
8.5.3
11.
11.1
12
12.1
12.2
12.3
12.4
13
14
Dodatek ustawienia bezpieczeostwa w Group Policy dla Windows 8.1 oraz Windows Server
2012 R2 ................................................................................................................................................ 183
14.2. Zmiany w ustawieniach zaleceo ................................................................................................. 185
1. Wstp
Przewodnik Zabezpieczeo systemu Windows 8 zawiera instrukcje i rekomendacje, ktre pomog
wzmocnid poziom zabezpieczenia komputerw stacjonarnych i komputerw przenonych
pracujcych pod kontrol systemu Windows 8 w domenie Active Directory Domain Services (AD DS).
Dodatkowo w podrczniku tym zostan zaprezentowane narzdzia, szczegowe instrukcje,
rekomendacje oraz procesy, ktre usprawni w znacznym stopniu proces wdroenia systemu
Windows 8.
Kolejnym elementem bdzie wprowadzenie do procesu zarzdzania zgodnoci wraz z dodatkowymi
informacjami i odsyaczami na temat narzdzi zapewniajcych zgodnod IT oraz zaleceniami
Microsoft.
Kluczowym rekomendowanym narzdziem jest Security Compliance Manager 1 (SCM), ktry w
poczeniu z Przewodnikiem Zabezpieczeo systemu Windows 8, zapewnia moliwoci eksportowania
wszystkich ustawieo zasad grupowych, w celu wykorzystania wytycznych bezpieczeostwa w
praktyczny sposb we wasnym rodowisku.
Autorzy dokumentu starali si uczynid ten przewodnik:
1.1.
Streszczenie wykonawcze
http://go.microsoft.com/fwlink/?LinkId=113940
http://go.microsoft.com/fwlink/?LinkId=105520
1.2.
Zarzdzanie bezpieczeostwem i zgodnoci ze standardami z
zastosowaniem technologii
Organizacje wymagaj od swoich dziaw IT dostarczenia bezpiecznej infrastruktury w sprawny i
podlegajcy kontroli sposb, a jednoczenie takiej, ktra bdzie zgodna z obowizujcymi
regulacjami, standardami oraz najlepszymi praktykami. Dzia IT musi dokonywad cigej kontroli
zgodnoci, aby zapewnid i sprostad wymaganiom stawianym organizacjom przez obowizujce
regulacje, stosowane standardy certyfikacji oraz najlepsze praktyki branowe zgodne z biec
polityk bezpieczeostwa. Zapewnienie zgodnoci wymaga cigego procesu dostosowywania si do
pojawiajcych si nowych technologii wraz z ich zoonoci, ktrym dziay IT musz sprostad poprzez
cigy nadzr, kontrol oraz raportowanie. W celu dostarczenia zgodnej ze standardami
infrastruktury, dziay IT musz zabezpieczad organizacje, poprzez wdroenia efektywnej metody
aktualizacji systemw, utwardzania i procesu automatyzacji zapewnienia zgodnoci IT. Niniejszy
przewodnik stanowi doskonay punkt wyjciowy dla zwikszenia i zapewnienia bezpieczeostwa
informacji dla zarzdzanych systemw. Firma Microsoft opracowaa zbir przewodnikw i narzdzi,
ktre wspomagaj organizacje niezalenie od jej wielkoci. Przewodniki te wspomagaj zespoy IT w
procesie implementacji, wsparcia i weryfikacji bazowych ustawieo systemw wykorzystujcych
rnorodne produkty Microsoft w swoim rodowisku.
Ustawienia bazowe s kluczowym pojciem okrelajcym zbir rekomendowanych i zalecanych
ustawieo wykorzystywanych w caym przewodniku i innych powizanych dokumentach oraz
narzdziach wydanych przez Microsoft.
Co oznacza termin ustawienia bazowe (ang. baseline)?
Ustawienia bazowe to zbir rekomendowanych ustawieo konfiguracji elementw dla poszczeglnych
produktw Microsoft, ktre dostarczaj zalecane wartoci ustawieo do minimalizacji okrelonego
ryzyka, poprzez okrelone czynnoci kontrolne.
Czynnoci kontrolne s w obszarze zainteresowania szczeglnie osb na stanowisku Compliance
Manager oraz kadej osoby odpowiedzialnej za bezpieczeostwo w organizacji z uwagi na
podejmowane dziaania zwizane z wystpujcym ryzykiem w organizacjach, co, do ktrych musz
zostad okrelone zasady jak zarzdzad danym ryzykiem i w jaki sposb je minimalizowad, korzystajc z
okrelonych technologii. Firma Microsoft przez wiele lat publikowaa zbiory ustawieo bazowych
zwracajc szczegln uwag na ustawienia konfiguracji dotyczcej zabezpieczeo komputerw w celu
podniesienia poziomu produktw Microsoft. Zbiory te zawieray gotowe rekomendowane ustawienia
do bezporedniego zastosowania i wykorzystania przez administratorw IT we wasnym rodowisku
produkcyjnym.
Po wprowadzeniu produktu IT GRC Process Management Pack dla Manager 2012, zostay
opublikowane bazowe ustawienia konfiguracji dla zapewnienia zgodnoci ze standardami (ang.
compliance baselines).
Na potrzeby wytycznych opisanych w przewodniku, bazowe ustawienia konfiguracji zawieraj
nastpujce elementy:
1. Lista rekomendowanych rodkw zaradczych majcych na celu zwikszenie poziomu
zabezpieczeo produktw Microsoft.
3
4
http://go.microsoft.com/fwlink/?LinkId=105520
http://go.microsoft.com/fwlink/?LinkId=201578
1.3.
Praca z rekomendowanymi bazowymi ustawieniami konfiguracji
(baseline)
Narzdzie SCM zawiera rekomendowane bazowe ustawienia konfiguracji dla produktw Microsoft,
ktre mog byd zarzdzane i dostosowywane do wasnych potrzeb. Po wprowadzeniu zmian
speniajcych wymagania organizacji do bazowych ustawieo konfiguracji, mona przeprowadzid
proces weryfikacji ustawieo zasad grupowych dla kadego komputera poprzez wygenerowanie
dostosowanych ustawieo bazowych w narzdziu SCM. W celu osignicia standaryzacji i zgodnoci ze
standardami mona osignd poprzez utworzenie pakietw Desired Configuration Management
(DCM) dla bazowych ustawieo a nastpnie zaimportowanie tych ustawieo do rozwizania System
Center Configuration Manager. Zastosowanie funkcjonalnoci DCM dla System Center Configuration
Manager zautomatyzuje proces wdroenia ustawieo zapewniajcych zgodnod ze standardami.
Dodatkowo narzdzie SCM pozwala na wykonanie eksportu bazowych ustawieo konfiguracji w
formacie Security Content Automation Protocol (SCAP). Format SCAP jest wspierany przez wiele
narzdzi sucych do zarzdzania zabezpieczeniami i konfiguracj dostarczonych przez Microsoft
oraz firmy trzecie. W celu uzyskania dodatkowych informacji na temat formatu SCAP, naley
zapoznad si informacjami umieszczonymi stronie National Institute of Standards and Technology
(NIST) 5.
Kontrol podjtych czynnoci majcych na celu zapewnienie zgodnoci mona wykonad poprzez
zastsoowanie i integracj produktw Microsoft System Center Service Manager i IT GRC Process
Management Pack. Czynnod ta wspomaga organizacje w osigniciu celu implementacji procesu
adu korporacyjnego, zarzdzania ryzykiem i zgodnoci ze standardami IT (IT GRC). Produkt System
Center Service Manager umoliwia przygotowanie automatycznych raportw przeznaczonych dla
kard kierowniczych, audytorw IT oraz innych osb biorcych udzia w projekcie. Proces IT GRC
zostanie omwiony szerzej w rozdziale drugim ad korporacyjny, zarzdzanie ryzykiem oraz
zgodnod ze standardami w IT (IT GRC).
Narzdzie SCM wspomaga zarzdzania bazowymi ustawieniami konfiguracji dla produktw Microsoft,
ktrych nie mona konfigurowad poprzez zasady grupowe (Group Policy), takie jak serwer Microsoft
Exchange. SCM zawiera zestaw skryptw PowerShell dla tego typu produktw, ktre umoliwi
wdroenie bazowych ustawieo konfiguracji dla jednego lub wielu serwerw korzystajc z procesu
automatyzacji, ktry poprzez wykorzystanie skryptw (programw) uatwiajcych wykonanie zadao
powtarzajcych si ograniczajc w tym procesie czynnoci wykonywane przez ludzi.
Ten sam zestaw skryptw mona rwnie wykorzystad w celu przeskanowania komputerw pod
ktem zgodnoci, moliwe jest rwnie skorzystanie z funkcji eksportowania pakietw
konfiguracyjnych DCM w narzdziu SCM. W celu uzyskania dodatkowych informacji naley zapoznad
si dokumentem Exchange Server PowerShell Script Kit User Guide, ktry dostpny jest wewntrz
narzdzia SCM w obszarze Attachments \ Guides.
Na Rys. 1.3.1. przedstawiono proces zarzdzania bezpieczeostwem i zgodnoci ze standardami z
zastosowaniem technologii dla potrzeb organizacji.
http://scap.nist.gov/
Wicej informacji na temat narzdzia SCM, znajduje si na stronie Microsoft Security Compliance
Manager6. Warto rwnie odwiedzid witryn SCM Wiki7 na stronach TechNet.
1.4.
1.5.
SCM Wiki11.
http://go.microsoft.com/fwlink/?LinkId=113940
http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-managerscm.aspx#comment-2585
8
http://fdcc.nist.gov/
9
http://go.microsoft.com/fwlink/?LinkId=105520
10
http://go.microsoft.com/fwlink/?LinkId=113940
7
11
http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-managerscm.aspx#comment-2585
12
http://social.technet.microsoft.com/Forums/en-us/compliancemanagement/threads
Wprowadzenie
Firma Microsoft wraz z kadym nowo udostpnianym systemem operacyjnym wprowadza nowe
rozwizania w zakresie bezpieczeostwa. Ich dua rnorodnod w Windows 8 powoduje, e jest on
aktualnie najlepiej zabezpieczonym systemem Windows, ktry zosta do tej pory wydany.
Konfiguracja opcji zabezpieczeo w odrnieniu od wczeniejszych wersji Windows odbywa si
obecnie poprzez Zasady polityk grupowych GPO (z ang. Group Policy Object). Mechanizm GPO
zapewnia centraln infrastruktur umoliwiajc w oparciu o struktur hierarchiczn zarzdzanie
ustawieniami komputerw i/lub uytkownikw wczajc w to ustawienia zabezpieczeo.
Znane poprzednio kategorie odniesienia dla ustawieo bezpieczeostwa Specialized Security Limited
Functionality (SSLF) oraz Enterprise Client (EC) zostay zastpione poziomami wanoci (ang. severity
level):
Krytyczny
Ustawienia na tym poziomie maj wysoki stopieo wpywu na bezpieczeostwo komputera
i/lub przechowywanych na nim danych. Zaleca si stosowanie wszystkich ustawieo
krytycznych w organizacji
Istotny
Ustawienia na tym poziomie maj znaczcy wpyw na bezpieczeostwo komputera i/lub
przechowywanych na nim danych. S one konfigurowane w organizacjach, ktre
przechowuj wraliwe dane a tym samym s one ukierunkowane na ochron swoich
systemw informatycznych.
Opcjonalny
Ustawienia na tym poziomie maj niewielki wpyw na bezpieczeostwo, przez co wikszod
organizacji pomija je na etapie projektowania zasad bezpieczeostwa. Nie oznacza to jednak
dowolnoci w zakresie ich stosowania. Dla przykadu - wiele ustawieo dotyczcych Windows,
Internet Explorer czy Office ukrywa elementy interfejsu uytkownika, ktre upraszczaj prac
a nie maj bezporedniego wpywu na bezpieczeostwo.
Niezdefiniowany
Jest to domylny poziom wanoci w Security Compliance Manager. Ustawienia, ktre nie
byy dostpne wczeniej s oznaczone takim poziomem. Przyjmuje si, e ich znaczenie
porwnywalne jest z poziomem Opcjonalny, przez co maj bardzo may lub zerowy wpyw na
bezpieczeostwo.
W zalenoci od wybranego formatu eksportu dla regu, poziomy wanoci przyjmuj nazwy zgodnie
z ponisz tabel:
Krytyczny
Istotny
Krytyczny
Ostrzegawczy
Security Content
Automation Protocol
(SCAP)
Wysoki
redni
Opcjonalny
Informacyjny
Niski
Niezdefiniowany
Inny
Nieznany
Tab. 2.1.1 Wykaz nazw poziomw wanoci w zalenoci od wybranego formatu eksportu
2.2.
Projektowanie struktur jednostek organizacyjnych (OU) ze
szczeglnym uwzgldnieniem zasad bezpieczeostwa
Usuga katalogowa Active Directory umoliwia scentralizowane zarzdzanie infrastruktur
przedsibiorstwa. Dziki hierarchicznej budowej mona stworzyd model, ktry bdzie uwzgldnia
narzucone i podane aspekty bezpieczeostwa organizacji.
Jednostka organizacyjna OU (z ang. Organizational Unit) jest kontenerem wewntrz domeny Active
Directory Domain Services (AD DS), ktry moe zawierad uytkownikw, grupy, komputery oraz inne
jednostki organizacyjne. Wyrniamy nadrzdne oraz podrzdne jednostki organizacyjne.
Jedn z wanych cech jednostek organizacyjnych jest moliwod doczania do nich zbiorw zasad
grupowych GPO. Dziki temu zadeklarowane ustawienia mog byd przekazywane do znajdujcych si
wewntrz obiektw uytkownikw i komputerw. Dodatkowo istnieje moliwod delegowania
kontroli administracyjnej (rys. 2.2.1) nad jednostkami organizacyjnymi, dziki czemu upraszcza si
zarzdzanie.
Korzeo domeny
Serwery
czonkowskie
Departament
Kontrolery
domeny
Windows
Server 2012
Rola
serwerowa
1
Windows
8
Uytkownicy
Windows 8
Komputery
Windows 8
Rola
serwerowa
2
Rola
serwerowa
3
Rola
serwerowa
4
Rys. 2.2.2 Przykadowa struktura jednostek organizacyjnych dla komputerw oraz uytkownikw.
Korzeo domeny
Ustawienia, ktre dotycz zabezpieczeo caej domeny mona stosowad w ramach GPO doczonego
do domeny. Na tym poziomie nie s zarzdzane komputery oraz uytkownicy.
Jednostki organizacyjne
Serwery penice role kontrolerw domeny przechowuj wiele wraliwych danych, w tym dane, ktre
kontroluj konfiguracj zabezpieczeo ich samych. Stosowanie GPO na poziomie jednostki
organizacyjnej Kontrolery domeny umoliwia konfiguracj i ochron kontrolerw domeny.
Serwery czonkowskie
Stosowanie zasad GPO do poredniej jednostki organizacyjnej Serwery czonkowskie zapewnia
moliwod konfiguracji staych opcji dla wszystkich serwerw bez uwzgldniania podziau na penione
przez ni role.
Role serwerowe
Dobr praktyk jest tworzenie dedykowanych jednostek organizacyjnych dla wszystkich rl
serwerowych w organizacji. Dziki temu zachowuje si ujednolicony model, ktry umoliwia
stosowanie zasad GPO opartych na rolach serwerowych.
Dla serwerw utrzymujcych wiele rl mona tworzyd dodatkowe jednostki organizacyjne zgodnie z
ich konfiguracj. W kolejnym kroku do takiej jednostki organizacyjnej docza si zbiory GPO
dedykowane okrelonym rolom serwerowym. Naley zwrcid szczegln uwag na mieszane
konfiguracje, aby uwzgldnid kolejnod przetwarzania zasad GPO a tym samym uzyskiwane,
wynikowe ustawienia.
Departament
Wymagania w zakresie zabezpieczeo s rne i czsto zalene s od struktury organizacyjnej. Tym
samym tworzenie jednostek organizacyjnych dla poszczeglnych komrek pozwala na stosowanie
ustawieo zabezpieczeo dla komputerw i uytkownikw w zgodzie z przydziaem biznesowym.
Uytkownicy Windows 8
Stosowanie specjalnych jednostek organizacyjnych, w ktrych przechowywane s konta
uytkownikw daje moliwod stosowania dedykowanych dla nich zasad zabezpieczeo.
Komputery Windows 8
Stosowanie dedykowanych jednostek organizacyjnych, w ktrych przechowywane s konta
komputerw pozwala na stosowanie ustawieo zabezpieczeo zarwno dla komputerw stacjonarnych
jak i mobilnych.
2.3.
Projektowanie obiektw zasad grupowych (GPO) struktur jednostek
organizacyjnych ze szczeglnym uwzgldnieniem zasad bezpieczeostwa
GPO jest zbiorem zawierajcym ustawienia zasad grupowych, ktry definiuje si w przystawce
Zarzdzanie zasadami grupy (Rys. 2.3.1).
5 Podrzdne zasady OU
4 Nadrzdne zasady OU
3 Zasady domeny
2 Zasady lokacji
1 Zasady lokalne
Rys.2.3.2 Kolejnod przetwarzania zasad GPO.
Jako pierwsze przetwarzane s zasady lokalne, nastpnie na poziomie lokacji, domeny oraz jednostek
organizacyjnych. Zbiory znajdujce si na poziomie jednostek organizacyjnych s przetwarzane
hierarchicznie od najwyszego OU do najniej pooonego OU.
Tym samym ustawienia zdefiniowane dla komputerw znajdujce si na najniszym poziomie
hierarchii jednostek organizacyjnych stosowane s, jako ostatnie i maj najwyszy priorytet. Takie
dziaanie obowizuje od systemw Windows Server 2003 SP2, Windows Server 2008, Windows XP
SP3 oraz Windows Vista. Dla uytkownikw model przetwarzania zasad jest identyczny.
Istnieje kilka zaleceo zwizanych z projektowaniem zasad grupowych, o ktrych warto jest pamitad.
Rys 2.3.3.. Zakadka Powizane obiekty zasad grupy definiujca kolejnod przetwarzania zasad
grupowych.
W ramach konfiguracji GPO dostpna jest opcja Wymuszone. Jej zastosowanie powoduje, e
zdefiniowane tam zasady nie bd nadpisywane przez inne zbiory bez wzgldu na ich
poziom doczenia.
Stosowanie ustawieo zasad grupowych cile zwizane jest z pooeniem obiektw
uytkownik i komputer w AD DS. W niektrych scenariuszach podane jest natomiast
stosowanie ustawieo dla uytkownika w oparciu o pooenie obiektu komputer. W takich
sytuacjach przydatna staje si opcja Tryb przetwarzania sprzenia zwrotnego zasad grupy
uytkownika. Umoliwia ona stosowanie ustawieo konfiguracji uytkownika pochodzcego
ze zbioru zawierajcego ustawienia konfiguracji komputera.
Na poziomie lokacji, domeny oraz jednostki organizacyjnej mona stosowad opcj Zablokuj
dziedziczenie. Jej wczenie powoduje, e ustawienia pochodzce od nadrzdnych zbiorw
GPO nie s przekazywane do obiektw podrzdnych. Przy konfiguracji zawierajcej opcje
Wymuszone oraz Zablokuj dziedziczenie waniejsz jest opcja Wymuszone.
Korzeo domeny
Zasadydla domeny
Serwery
czonkowskie
Departament
Kontrolery
domeny
Windows
Server 2012
Windows
8
Uytkownicy
Windows 8
Zasady uytkownika
Windows 8
Komputery
Windows 8
Zasady uytkownika
Office 2013
Zasady uytkownika
Windows 8
Zasady uytkownika
Internet Explorer 10
Zasady dla
serwerw AD DS
Zasady uytkownika
Internet Explorer 10
Zasady dla
serwerw DNS
Zasady dla
serwerw DHCP
Zasady uytkownika
Office 2013
Zasady dla
serwerw plikw
Zasady dla
serwerw Web
Zasady dla
serwerw AD CS
Zasady dla
serwerw wydruku
Zasady dla
serwerw RDS
Zasady dla
serwerw NPAS
Zasady dla
serwerw Hyper-V
Rys. 2.3.4 Przykadowa struktura jednostek organizacyjnych z dowizaniami GPO dla infrastruktury Windows 8
oraz Windows Server 2012.
2.4.
Zastosowanie filtrowania WMI w celu okrelenia dokadnej grupy
docelowej odbiorcw zasad GPO
Filtrowanie oparte o instrumentacj zarzdzania Windows WMI (z ang. Windows Management
Instrumentation) dostpne jest od Windows XP i Windows Server 2003. Mechanizm WMI umoliwia
dynamiczne sprawdzanie wartoci atrybutw dotyczcych komputerw, na ktre ma oddziaywad
sprztu
i/lub
rodzaj procesora,
wersja Windows,
producent komputera,
wolne miejsce na dysku,
liczba procesorw logicznych,
dane odczytywane z rejestru,
informacje o sterownikach,
elementy systemu plikw,
konfiguracja sieciowa
dane aplikacji.
Jeli ze zbiorem GPO zwizany jest filtr WMI nastpuje jego przetwarzanie na stacji. Dziki temu tylko
w sytuacji spenienia okrelonych filtrem WMI warunkw, ustawienia GPO zostan zastosowane.
Zapytania WMI tworzone s z wykorzystaniem jzyka WQL (z ang. WMI Query Language), ktry jest
jzykiem podobnym do SQL (z ang. Structured Query Language). Zapytania mog byd czone
operatorami AND i OR w zalenoci od potrzeb.
Kade zapytanie WMI jest wykonywane w przestrzeni nazewniczej WMI. Domyln przestrzeni jest
root\CIMv2.
Filtry WMI s oddzielnymi obiektami od GPO. Aby zastosowad filtr WMI naley go doczyd do zbioru
GPO (Rys. 2.4.1).
Kady zbir GPO moe posiadad tylko jeden filtr WMI. Natomiast pojedynczy filtr WMI moe byd
doczany do wielu GPO. Filtry WMI oraz powizane zbiory GPO musz znajdowad si w tej samej
domenie.
W tabeli 2.4.2 zawarte zostay przykady filtrw WMI.
Kryterium
Konfiguracja
Cel administracyjny
Zablokowanie wczania
Microsoft Network Monitor
(Netmon.exe) na stacjach,
ktre maj wczony ruch
grupowy.
Filtr WMI
SELECT * FROM Win32_NetworkProtocol
WHERE SupportsMulticasting = true
Strefa czasowa
Poprawki
Rodzaj
komputera
Stosowanie zasad na
wszystkich serwerach
zlokalizowanych w Polsce.
Stosowanie zasad na
komputerach z zainstalowan
okrelon poprawk.
Stlosowanie zasad tylko na
komputerach mobilnych.
Rodzaj baterii
Zastosowanie wycznie na
komputerach, ktre maj, co
najmniej 4GB wolnego miejsca
na dyskach lokalnych.
Tworzenie i zarzdzanie filtrami WMI moe byd wykonane za pomoc dodatkowych narzdzi:
2.5.
W ramach Security Compliance Manager dostpne jest narzdzie tekstowe LocalGPO. Umoliwia ono
wykonywanie wielu czynnoci obsugowych na zbiorach ustawieo zasad grupowych, wrd nich:
Narzdzie LocalGPO nie jest automatycznie instalowane wraz z SCM. W celu instalacji naley
uruchomid z lokalizacji c:\Program Files (x86)\Microsoft Security Compliance Manager\LGPO plik
LocalGPO.msi i wykorzystujc kreatora wybrad preferowane opcje instalacji.
Po pomylnym zainstalowaniu LocalGPO w ramach Menu Start dostpny jest folder LocalGPO:
2.6.
Omwienie i praktyczne zastosowanie narzdzia Attack Surface
Analyzer (ASA)
Firma Microsoft udostpnia narzdzie Attack Surface Analyzer (ASA), ktre umoliwia okrelenie
zmian dokonywanych na systemie operacyjnym komputera podczas instalacji oprogramowania.
Dziaanie narzdzia ASA poprzedzone jest kadorazowo wykonaniem migawki stanu komputera. Po
instalacji danego oprogramowania wywietlany jest raport o zmianach w zakresie:
usug
sterownikw
uruchomionych procesw
kontrolek COM
serwerw DCOM
zmian dokonanych w zakresie uprawnieo domylnych DCOM
skojarzeo rozszerzeo plikw
kontrolek Microsoft ActiveX
Internet Explorer Pluggable Protocol Handlers
Internet Explorer Silent Elevation Entries
Internet Explorer Preapproved Controls
portw
strumieni nazw
regu zapory
punktw koocowych wywoao RPC
wpisw cieek
grup i czonkostwa w nich
zasobw sieciowych
Dziki raportowi, ktry dostarcza ASA mona atwo okrelid wpyw instalacji oprogramowania na
funkcje Windows oraz mona w atwy sposb je zweryfikowad.
2.7.
Jedn z nowych funkcji w Windows 7 SP1 oraz Windows Server 2008 R2 s konta MSA (z ang.
Managed Service Accounts), ktre pozwalaj zmniejszyd ryzyko kompromitacji kont uywanych do
2.8.
Domylnie do obiektw usugi katalogowej Active Directory Domain Services stosowana jest
ograniczona liczba ustawieo zabezpieczeo. S one konfigurowane w obrbie wza Konfiguracja
komputera, w ramach:
Zasady hase
Zasady blokady konta
Poziom
wanoci
Ustawienie domylne
Ustawienie
zalecane przez
Microsoft
Wymuszaj tworzenie
historii hase
Krytyczny
24 pamitane hasa
24
pamitane
hasa
Maksymalny okres
wanoci hasa
Krytyczny
42 dni
60 dni
Krytyczny
0 dni
1 dzieo
Krytyczny
0 znakw
14 znakw
Krytyczny
Wyczone
Wczone
Krytyczny
Wyczone
Wyczone
Wielkie litery
Mae litery
Cyfry
Znaki specjalne
Zoonod hasa (w kontekcie zasady Haso musi speniad wymagania co do zoonoci)
oznacza, e s w nim wykorzystane znaki z co najmniej trzech powyszych grup.
Zapewnienie zmiany hase przez uytkownikw tylko w cile okrelonym momencie wymaga
ustalenia zasad dotyczcych minimalnego i maksymalnego wieku hasa. Dla zasad Minimalny
okres wanoci hasa oraz Maksymalny okres wanoci hasa obowizuj ponisze zalenoci.
2.9.
Konfigurowanie ustawieo hase granularnych oraz dla zbioru Zasady
blokady konta
Wrd ustawieo zwizanych z hasami uytkownikw istotn rol peni ustawienia hase
granularnych (ang. Fine-Grained Password) oraz Zasady blokady konta.
Hasa granularne to rozwizanie, ktre umoliwia wdroenie modelu ustawieo zasad hase
dedykowanego okrelonym uytkownikom lub grupom uytkownikw. Jest to moliwe w rodowisku
domenowym o poziomie funkcjonalnoci domeny od Windows Server 2008.
Zasady blokady konta zapewniaj ochron przed prbami odgadnicia hase uytkownikw.
Realizowane to jest przez zliczanie bdnych prb logowania i wykonanie okrelonej akcji zwizanej
ze stanem konta uytkownika. Zasady blokady konta znajduj si w gazi:
Konfiguracja komputera\Ustawienia
konta\Zasady blokady konta
systemu
Windows\Ustawienia
zabezpieczeo\Zasady
Zasada
Ustawienie domylne
Krytyczny
Brak
Krytyczny
0 nieudanych
zalogowania
Krytyczny
Brak
2.10.
Ustawienie zalecane
przez Microsoft
15 minut
prb
5 nieudanych
zalogowania
prb
15 minut
Zasady inspekcji
Przypisywanie praw uytkownika
Opcje zabezpieczeo
Dziennik zdarzeo
Zapora systemu Windows z zabezpieczeniami zaawansowanymi
Szablony administracyjne
2.11.
systemu
Windows\Ustawienia
zabezpieczeo\Zasady
Zasada
Przeprowad inspekcj
weryfikacji powiadczeo
Przeprowad inspekcj
usugi uwierzytelniania
Kerberos
Przeprowad inspekcj
operacji biletw usugi
Kerberos
Przeprowad inspekcj
innych zdarzeo logowania
na kontach
Przeprowad inspekcj
zarzdzania grupami
aplikacji
Przeprowad inspekcj
zarzdzania kontami
komputerw
Przeprowad inspekcj
zarzdzania grupami
dystrybucyjnymi
Przeprowad inspekcj
innych zdarzeo zarzdzania
kontami
Przeprowad inspekcj
zarzdzania grupami
zabezpieczeo
Przeprowad inspekcj
zarzdzania kontami
uytkownikw
Przeprowad inspekcj
dziaania DPAPI
Przeprowad inspekcj
tworzenia procesu
Poziom
wanoci
Ustawienie
domylne
Ustawienie
zalecane przez
Microsoft
Krytyczny
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Sukces i
Niepowodzenie
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Sukces i
Niepowodzenie
Krytyczny
Sukces
Sukces i
Niepowodzenie
Krytyczny
Sukces
Sukces i
Niepowodzenie
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Sukces
Przeprowad inspekcj
zakooczenia procesu
Przeprowad inspekcj
zdarzeo RPC
Przeprowad inspekcj
szczegowej replikacji
usugi katalogowej
Przeprowad inspekcj
dostpu do usugi
katalogowej
Przeprowad inspekcj
zmian usugi katalogowej
Przeprowad inspekcj
replikacji usugi
katalogowej
Przeprowad inspekcj
blokady konta
Przeprowad inspekcj
trybu rozszerzonego
protokou IPsec
Przeprowad inspekcj
trybu gwnego protokou
IPsec
Przeprowad inspekcj
trybu szybkiego protokou
IPsec
Przeprowad inspekcj
wylogowywania
Przeprowad inspekcj
logowania
Przeprowad inspekcj
serwera zasad sieciowych
Przeprowad inspekcj
innych zdarzeo
logowania/wylogowywania
Przeprowad inspekcj
logowania specjalnego
Przeprowad inspekcj
wygenerowanych przez
aplikacj
Przeprowad inspekcj
przemieszczania
centralnych zasad dostpu
Przeprowad inspekcj
usug certyfikacji
Przeprowad inspekcj
szczegowego udziau
plikw
Przeprowad inspekcj
udziau plikw
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Sukces
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Sukces
Sukces
Krytyczny
Sukces
Krytyczny
Krytyczny
Sukces i
niepowodzenie
Nie skonfigurowano
Sukces i
Niepowodzenie
Nie skonfigurowano
Krytyczny
Sukces
Sukces
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
Przeprowad inspekcj
systemu plikw
Przeprowad inspekcj
poczenia platformy
filtrowania
Przeprowad inspekcj
porzucania pakietw
platformy filtrowania
Przeprowad inspekcj
manipulowania dojciem
Przeprowad inspekcj
obiektu jdra
Przeprowad inspekcj
innych zdarzeo dostpu do
obiektw
Przeprowad inspekcj
rejestru
Przeprowad inspekcj
magazynu wymiennego
Przeprowad inspekcj
SAM
Przeprowad inspekcj
zmiany zasad inspekcji
Przeprowad inspekcj
zmiany zasad
uwierzytelniania
Przeprowad inspekcj
zmiany zasad autoryzacji
Przeprowad inspekcj
zmiany zasad platformy
filtrowania
Przeprowad inspekcj
zmiany zasad na poziomie
reguy MPSSVC
Przeprowad inspekcj
innych zdarzeo zmiany
zasad
Przeprowad inspekcj
niepoufnego uycia
uprawnieo
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Sukces
Krytyczny
Sukces
Sukces i
Niepowodzenie
Sukces
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Przeprowad inspekcj
innych zdarzeo uycia
uprawnieo
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Przeprowad inspekcj
poufnego uycia
uprawnieo
Krytyczny
Nie skonfigurowano
Sukces i
Niepowodzenie
Przeprowad inspekcj
sterownika IPsec
Krytyczny
Nie skonfigurowano
Sukces i
Niepowodzenie
Przeprowad inspekcj
innych zdarzeo
systemowych
Krytyczny
Sukces i
niepowodzenie
Nie skonfigurowano
Przeprowad inspekcj
zmiany stanu zabezpieczeo
Krytyczny
Sukces
Sukces i
Niepowodzenie
Przeprowad inspekcj
rozszerzenia systemu
zabezpieczeo
Krytyczny
Nie skonfigurowano
Sukces i
Niepowodzenie
Przeprowad inspekcj
integralnoci systemu
Krytyczny
Sukces i
niepowodzenie
Sukces i
Niepowodzenie
System plikw
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Rejestr
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
2.12.
Konfigurowanie szczegowych zasad zbioru Przypisywanie praw
uytkownika
Przypisywanie praw uytkownika jest zbiorem ustawieo, ktry mona definiowad zapewniajc
uytkownikom delegowanie cile okrelonych czynnoci na systemie operacyjnym.
Zbir Przypisywanie praw uytkownika znajduje si w gazi:
Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeo\Zasady
lokalne\Przypisywanie praw uytkownika
(Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights
Assignment)
Zasada
Poziom
wanoci
Ustawienie
domylne
Administratorzy
Ustawienie
zalecane przez
Microsoft
Istotny
Krytyczny
Administratorzy
Istotny
Istotny
Krytyczny
Administratorzy,
Usuga lokalna, Usuga
sieciowa
-
Administratorzy,
Usuga lokalna, Usuga
sieciowa
-
Generuj inspekcje
zabezpieczeo
Logowanie w trybie
usugi
Logowanie w trybie
wsadowym
aduj i zwalniaj
sterowniki urzdzeo
Modyfikuj etykiet
obiektu
Modyfikuj wartoci
rodowiskowe
oprogramowania
ukadowego
Obejd sprawdzanie przy
przechodzeniu
Odmawiaj logowania za
pomoc usug pulpitu
zdalnego
Odmowa dostpu do
tego komputera z sieci
Krytyczny
Istotny
Administratorzy,
Operatorzy kopii
zapasowych,
Uytkownicy
dziennikw wydajnoci
Administratorzy
Istotny
Krytyczny
Istotny
Istotny
Administratorzy
-
Administratorzy
Administratorzy
Krytyczny
Administratorzy,
Operatorzy kopii
zapasowych, Usuga
lokalna, Usuga
sieciowa, Uytkownicy,
Wszyscy
Administratorzy,
Usuga sieciowa, Usuga
lokalna, Uytkownicy
Opcjonalny
Gocie
Krytyczny
God
Gocie
Odmowa logowania
lokalnego
Krytyczny
God
Gocie
Odmowa logowania w
trybie usugi
Krytyczny
Odmowa logowania w
trybie wsadowym
Krytyczny
Okrel konta
komputerw i
uytkownikw jako
zaufane w kwestii
delegowania
Krytyczny
Personifikuj klienta po
uwierzytelnieniu
Istotny
Profiluj pojedynczy
proces
Istotny
Administratorzy,
Usuga, Usuga lokalna,
Usuga sieciowa
Administratorzy
Administratorzy,
Usuga, Usuga lokalna,
Usuga sieciowa
Administratorzy
Gocie
Profiluj wydajnod
systemu
Przejmij na wasnod pliki
lub inne obiekty
Przywracaj pliki i katalogi
Istotny
Istotny
Utwrz plik
stronicowania
Utwrz trwae obiekty
udostpnione
Uzyskaj dostp do
Menedera powiadczeo
jako zaufany obiekt
wywoujcy
Uzyskiwanie dostpu do
tego komputera z sieci
Istotny
Istotny
Opcjonalny
Administratorzy, NT
Administratorzy, NT
Service\WdiServiceHost Service\WdiServiceHost
Administratorzy
Administratorzy
Administratorzy,
Operatorzy kopii
zapasowych
-
Administratorzy
Krytyczny
Administratorzy,
Uytkownicy
Administratorzy
Administratorzy,
Usuga, Usuga lokalna,
Usuga sieciowa
Administratorzy
Administratorzy
Administratorzy,
Usuga, Usuga lokalna,
Usuga sieciowa
Administratorzy
Istotny
Istotny
Istotny
Istotny
Istotny
Krytyczny
Administratorzy,
Operatorzy kopii
zapasowych,
Uytkownicy, Wszyscy
Administratorzy,
Uytkownicy
Administratorzy
Istotny
Wykonuj zadania
konserwacji woluminw
Krytyczny
Administratorzy,
Operatorzy kopii
zapasowych
Administratorzy
Wymuszaj zamknicie z
systemu zdalnego
Krytyczny
Administratorzy
Administratorzy
Zamieo token na
poziomie procesu
Zamknij system
Zarzdzaj dziennikami
inspekcji i zabezpieczeo
Istotny
Istotny
Krytyczny
Administratorzy
Administratorzy
Zezwalaj na logowanie
lokalne
Krytyczny
Administratorzy,
Gocie, Operatorzy
kopii zapasowych,
Uytkownicy
Zezwalaj na logowanie za
pomoc usug pulpitu
zdalnego
Zmieo czas systemowy
Istotny
Istotny
Zwiksz priorytet
planowania
Zwiksz zestaw roboczy
procesu
Istotny
Administratorzy,
Uytkownicy pulpitu
zdalnego
Administratorzy,
Usuga lokalna
Administratorzy,
Usuga lokalna,
Uytkownicy
Administratorzy
Istotny
Uytkownicy
2.13.
Istotny
Administratorzy,
Uytkownicy
Administratorzy,
Usuga lokalna
Administratorzy,
Usuga lokalna,
Uytkownicy
Administratorzy
Administratorzy,
Usuga lokalna
Zasada
Poziom
wanoci
Ustawienie
domylne
Ustawienie
zalecane przez
Microsoft
Czonek domeny:
maksymalny wiek hasa
konta komputera
Krytyczny
30 dni
30 dni
Czonek domeny:
podpisuj cyfrowo dane
bezpiecznego kanau gdy to moliwe
Krytyczny
Wczone
Wczone
Krytyczny
Wczone
Wczone
Krytyczny
Wczone
Wczone
Krytyczny
Wyczone
Wyczone
Czonek domeny:
wymagaj silnego klucza
sesji (system Windows
2000 lub nowszy)
Krytyczny
Wyczone
Wczone
DCOM: Ograniczenia
dotyczce dostpu do
komputera w skadni
jzyka SDDL (Security
Descriptor Definition
Language)
DCOM: Ograniczenia
dotyczce uruchamiania
komputera w skadni
jzyka SDDL (Security
Descriptor Definition
Language)
Dostp sieciowy:
nazwane potoki, do
ktrych mona uzyskiwad
dostp anonimowo
Dostp sieciowy: nie
zezwalaj na anonimowe
wyliczanie kont SAM
Opcjonalny
Niezdefiniowane
Niezdefiniowane
Opcjonalny
Niezdefiniowane
Niezdefiniowane
Istotny
Niezdefiniowane
Krytyczny
Wczone
Wczone
Krytyczny
Wyczone
Wczone
Krytyczny
Wyczone
Niezdefiniowane
Dostp sieciowy:
ogranicz anonimowy
dostp do nazwanych
potokw i udziaw
Istotny
Wczone
Wczone
Istotny
Istotny
Dostp sieciowy:
udostpnianie i model
zabezpieczeo dla kont
lokalnych
Krytyczny
System\CurrentControl
Set\Control\ProductOp
tions
System\CurrentControl
Set\Control\Server
Applications
Software\Microsoft\Wi
ndows
NT\CurrentVersion
System\CurrentControl
Set\Control\Print\Print
ers
System\CurrentControl
Set\Services\Eventlog
Software\Microsoft\OL
AP Server
Software\Microsoft\Wi
ndows
NT\CurrentVersion\Pri
nt
Software\Microsoft\Wi
ndows
NT\CurrentVersion\Wi
ndows
System\CurrentControl
Set\Control\ContentInd
ex
System\CurrentControl
Set\Control\Terminal
Server
System\CurrentControl
Set\Control\Terminal
Server\UserConfig
System\CurrentControl
Set\Control\Terminal
Server\DefaultUserCon
figuration
Software\Microsoft\Wi
ndows
NT\CurrentVersion\Per
flib
System\CurrentControl
Set\Services\SysmonLo
g
Klasyczny
uwierzytelnianie
uytkownikw
lokalnych, jako samych
siebie
System\CurrentControl
Set\Control\ProductOp
tions
System\CurrentControl
Set\Control\Server
Applications
Software\Microsoft\Wi
ndows
NT\CurrentVersion
System\CurrentControl
Set\Control\Print\Print
ers
System\CurrentControl
Set\Services\Eventlog
Software\Microsoft\OL
AP Server
Software\Microsoft\Wi
ndows
NT\CurrentVersion\Pri
nt
Software\Microsoft\Wi
ndows
NT\CurrentVersion\Wi
ndows
System\CurrentControl
Set\Control\ContentInd
ex
System\CurrentControl
Set\Control\Terminal
Server
System\CurrentControl
Set\Control\Terminal
Server\UserConfig
System\CurrentControl
Set\Control\Terminal
Server\DefaultUserCon
figuration
Software\Microsoft\Wi
ndows
NT\CurrentVersion\Per
flib
System\CurrentControl
Set\Services\SysmonLo
g
Klasyczny
uwierzytelnianie
uytkownikw
lokalnych, jako samych
siebie
Istotny
Niezdefiniowane
Niezdefiniowane
Krytyczny
Wyczone
Wyczone
Dostp sieciowy:
zezwalaj na stosowanie
uprawnieo Wszyscy do
anonimowych
uytkownikw
Krytyczny
Wyczone
Wyczone
Inspekcja: inspekcjonuj
dostp do globalnych
obiektw systemu
Krytyczny
Wyczone
Niezdefiniowane
Inspekcja: inspekcjonuj
uycie prawa do
wykonywania kopii
zapasowych i
przywracania
Krytyczny
Wyczone
Niezdefiniowane
Inspekcja: wymu
ustawienia podkategorii
zasad inspekcji (system
Windows Vista lub
nowszy), aby zastpid
ustawienia kategorii
zasad inspekcji
Krytyczny
Niezdefiniowane
Wczone
Inspekcja: zamknij
system natychmiast, jeli
nie mona rejestrowad
wynikw inspekcji
Krytyczny
Wyczone
Wyczone
Krytyczny
Wczone
Wczone
Krytyczny
Wyczone
Wczone
Krytyczny
Wyczone
Wyczone
Konsola odzyskiwania:
zezwalaj na
automatyczne logowanie
administracyjne
Krytyczny
Wyczone
Wyczone
Konsola odzyskiwania:
zezwalaj na kopiowanie
na dyskietk oraz dostp
do wszystkich dyskw i
folderw
Konta: blokuj konta
Microsoft
Istotny
Wyczone
Wyczone
Krytyczny
Niezdefiniowane
Krytyczny
Wczone
Krytyczny
Wyczone
Wyczone
Krytyczny
Wyczone
Wyczone
Krytyczny
Administrator
Niezdefiniowane
Istotny
God
Niezdefiniowane
Wczone
Wczone
Krytyczny
Kontrola konta
uytkownika:
podnoszenie uprawnieo
tylko tych plikw
wykonywalnych, ktre s
podpisane i maj
sprawdzon poprawnod
Krytyczny
Wyczone
Wyczone
Kontrola konta
uytkownika: przecz na
bezpieczny pulpit przy
monitowaniu o
podniesienie uprawnieo
Krytyczny
Wczone
Wczone
Kontrola konta
uytkownika: tryb
zatwierdzania przez
administratora dla
wbudowanego konta
administratora
Krytyczny
Wyczone
Wczone
Kontrola konta
uytkownika:
uruchamianie wszystkich
administratorw w trybie
zatwierdzania przez
administratora
Krytyczny
Wczone
Wczone
Kontrola konta
uytkownika: wirtualizuj
bdy zapisu plikw i
rejestru w lokalizacjach
poszczeglnych
uytkownikw
Krytyczny
Wczone
Wczone
Kontrola konta
uytkownika:
wykrywanie instalacji
aplikacji i monitowanie o
podniesienie uprawnieo
Krytyczny
Wczone
Wczone
Kontrola konta
uytkownika: zachowanie
monitu o podniesienie
uprawnieo dla
administratorw w trybie
zatwierdzania przez
administratora
Krytyczny
Monituj o zgod na
pliki binarne
niepochodzce z
systemu Windows
Monituj o zgod na
bezpiecznym pulpicie
Kontrola konta
uytkownika: zachowanie
monitu o podniesienie
uprawnieo dla
uytkownikw
standardowych
Kontrola konta
uytkownika: zezwalaj
aplikacjom z poziomem
UIAccess na
monitowanie o
podniesienie uprawnieo
bez uywania
bezpiecznego pulpitu
Kryptografia systemu:
uyj zgodnych
algorytmw FIPS dla
celw szyfrowania,
tworzenia skrtu i
podpisywania
Kryptografia systemu:
wymu mocn ochron
klucza dla kluczy
uytkownikw
przechowywanych na
komputerze
Logowanie interakcyjne:
liczba poprzednich
zalogowao do
zbuforowania (w
przypadku
niedostpnoci
kontrolera domeny)
Logowanie interakcyjne:
Limit nieaktwynoci
komputera
Logowanie interakcyjne:
monituj uytkownika o
zmian hasa przed jego
wyganiciem
Logowanie interakcyjne:
nie wymagaj nacinicia
klawiszy CTRL+ALT+DEL
Logowanie interakcyjne:
nie wywietlaj nazwy
ostatniego uytkownika
Logowanie interakcyjne:
prg blokady konta
komputera
Krytyczny
Monituj o
powiadczenia
Automatycznie
odrzucaj dania
podniesienia
Krytyczny
Wyczone
Wyczone
Istotny
Wyczone
Wczone
Istotny
Wyczone
Niezdefiniowane
Krytyczny
10 logowao
4 logowania
Krytyczny
Niezdefiniowane
900 sekund
Krytyczny
14 dni
14 dni
Krytyczny
Niezdefiniowane
Wyczone
Krytyczny
Wyczone
Wczone
Krytyczny
Niezdefiniowane
10 nieprawidowych
prb logowania
Logowanie interakcyjne:
tekst komunikatu dla
uytkownikw
prbujcych si
zalogowad
Logowanie interakcyjne:
tytu komunikatu dla
uytkownikw
prbujcych si
zalogowad
Logowanie interakcyjne:
wymagaj karty
inteligentnej
Logowanie interakcyjne:
wymagaj
uwierzytelnienia
kontrolera domeny do
odblokowania stacji
roboczej
Logowanie interakcyjne:
wywietlaj informacje o
uytkowniku, gdy sesja
jest zablokowana
Logowanie interakcyjne:
zachowanie przy
usuwaniu karty
inteligentnej
Obiekty systemu:
wymagaj nierozrniania
wielkoci liter dla
podsystemw innych ni
Windows
Obiekty systemu:
wzmocnij uprawnienia
domylne wewntrznych
obiektw systemu (np.
czy symbolicznych)
Serwer sieci Microsoft:
okres bezczynnoci
wymagany dla
wstrzymania sesji
Serwer sieci Microsoft:
podpisuj cyfrowo
komunikacj (za zgod
klienta)
Serwer sieci Microsoft:
podpisuj cyfrowo
komunikacj (zawsze)
Krytyczny
Niezdefiniowane
Niezdefiniowane
Krytyczny
Niezdefiniowane
Niezdefiniowane
Istotny
Wyczone
Niezdefiniowane
Krytyczny
Wyczone
Wyczone
Istotny
Niezdefiniowane
Niezdefiniowane
Istotny
Brak akcji
Istotny
Wczone
Wczone
Krytyczny
Wczone
Wczone
Krytyczny
15 minut
15 minut
Krytyczny
Wyczone
Wczone
Krytyczny
Wyczone
Wczone
Krytyczny
Niezdefiniowane
Zaakceptuj, jeli
dostarczone przez
klienta
Krytyczny
Wczone
Wczone
Opcjonalny
Niezdefiniowane
Niezdefiniowane
Opcjonalny
Niezdefiniowane
Niezdefiniowane
Istotny
Wyczone
Niezdefiniowane
Opcjonalny
Wczone
Niezdefiniowane
Niezdefiniowane
Administratorzy i
uytkownicy
interakcyjni
Posix
Niezdefiniowane
Wyczone
Niezdefiniowane
Krytyczny
Wymagaj szyfrowania
128-bitowego
Wymaga zabezpieczeo
sesji NTLMv2, Wymagaj
szyfrowania 128bitowego
Krytyczny
Wymagaj szyfrowania
128-bitowego
Wymaga zabezpieczeo
sesji NTLMv2, Wymagaj
szyfrowania 128bitowego
Istotny
Opcjonalny
Istotny
Krytyczny
Wczone
Wczone
Krytyczny
Krytyczny
Negocjuj podpisywanie
Istotny
Niezdefiniowane
RC4/AES128/AES256/pr
zysze typy szyfrowania
Krytyczny
Niezdefiniowane
Niezdefiniowane
Krytyczny
Niezdefiniowane
Niezdefiniowane
Krytyczny
Niezdefiniowane
Niezdefiniowane
Krytyczny
Niezdefiniowane
Niezdefiniowane
Krytyczny
Niezdefiniowane
Niezdefiniowane
Krytyczny
Niezdefiniowane
Niezdefiniowane
Zabezpieczenia sieciowe:
Ograniczanie ruchu
NTLM: Wychodzcy ruch
NTLM do serwerw
zdalnych
Zabezpieczenia sieciowe:
Wymu wylogowanie
uytkownikw po
upyniciu czasu
logowania
Zabezpieczenia sieciowe:
Zezwalaj kontu
systemowi lokalnemu na
uywanie pustych sesji
Zabezpieczenia sieciowe:
Zezwalaj lokalnemu
systemowi na
uwierzytelnianie NTLM
przy uyciu tosamoci
komputera
Zabezpieczenia sieciowe:
Zezwalaj na wysyanie
dao uwierzytelniania
PKU2U do tego
komputera w celu
uywania tosamoci
online
Zamknicie: wyczyd plik
stronicowania pamici
wirtualnej
Zamknicie: zezwalaj na
zamykanie systemu bez
koniecznoci zalogowania
2.14.
Krytyczny
Niezdefiniowane
Niezdefiniowane
Istotny
Wyczone
Niezdefiniowane
Istotny
Niezdefiniowane
Wyczone
Istotny
Niezdefiniowane
Wczone
Istotny
Niezdefiniowane
Wyczone
Krytyczny
Wyczone
Wyczone
Istotny
Wczone
Wczone
Wrd wielu ustawieo zabezpieczeo istniej takie, ktre nie maj reprezentacji w postaci zasad GPO.
Mona je za to definiowad poprzez bezporednie wpisy w rejestrze. Ustawienia tego typu posiadaj
prefiks MSS (z ang. Microsoft Solutions for Security).
Wanym aspektem zarzdzania ustawieniami MSS jest, e nie s usuwane wraz z usuwaniem
szablonw zabezpieczeo. To wymusza ich rczn konfiguracj z poziomu rejestru systemu
(regedit32.exe).
2.15.
Potencjalne zagroenia zwizane z zasadami podpisywania cyfrowego
pakietw SMB
Protok SMB (z ang. Server Message Block) znany rwnie, jako CIFS (z ang. Common Internet File
System) zapewnia metody udostpniania zasobw komputerowych takich jak pliki, drukarki czy porty
szeregowe.
W sytuacji nawizywania przez klienta wykorzystujcego SMB w wersji 1 poczenia w sesji konta
innego ni konto God lub logowania nie anonimowego, kiedy zasady podpisywania SMB s wczone
klient wcza podpisywanie cyfrowe komunikacji dla serwera, a kolejne nawizane sesje bd
dziedziczyy i stosoway podpisan cyfrowo komunikacj SMB. W Windows 8 w celu zwikszenia
zasad bezpieczeostwa poczenia uwierzytelnione przez serwer s chronione przed degradacj do
poziomu sesji God lub Anonimowe.
Powysza zasada nie dotyczy scenariusza, w ktrym kontrolery domeny pracuj pod kontrol
Windows Server 2003 a stacjami klienckimi s Windows Vista SP2 lub Windows Server 2008.
Majc to na uwadze, aby zachowad jednolite zachowanie zasad podpisywania pakietw SMB naley
skonfigurowad ponisze ustawienia znajdujce si w gazi:
Konfiguracja komputera\Ustawienia
lokalne\Opcje zabezpieczeo
systemu
Windows\Ustawienia
zabezpieczeo\Zasady
Poziom
wanoci
Ustawienie
domylne
Ustawienie
zalecane przez
Microsoft
Krytyczny
Wczony
Wczony
Krytyczny
Wczony
Wczony
Poziom
wanoci
Ustawienie
domylne
Ustawienie
zalecane przez
Microsoft
Krytyczny
Wyczone
Wczony
Krytyczny
Wyczone
Wczony
Omawiane problemy zostay rozwizane w Windows Server 2008 SP2 oraz Windows Vista SP2.
2.16.
systemu
Windows\Ustawienia
zabezpieczeo\Zasady
i obejmuj:
w zakresie audytu:
o
w zakresie ograniczania
2.17.
2.18.
Szczegowa konfiguracja zapory systemu Windows Firewall with
Advanced Security
Precyzyjna konfiguracja narzdzia Zapora systemu Windows z zabezpieczeniami zaawansowanymi
jest moliwa z poziomu zasad grupowych w ramach gazi
Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeo\Zapora systemu
Windows z zabezpieczeniami zaawansowanymi
(Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced
Security)
Rys. 2.18.1 Ustawienia zasad grupowych dla Zapory systemu Windows z ustawieniami zaawansowanymi.
Profil prywatny
Profil stosowany jest, jeli uytkownik posiadajcych powiadczenia lokalnego administratora
przypisze go w ramach biecego poczenia sieciowego. Zaleca si, aby uywad profilu prywatnego
w sieciach zaufanych.
Profil publiczny
Jest to domylny profil i stosowany jest w scenariuszach, kiedy komputer nie jest doczony do
domeny. Stanowi on zbir najbardziej restrykcyjnych ustawieo, w ktrych wyczona jest
komunikacja wchodzca.
2.19.
Usuga Windows Update umoliwia systematyczne sprawdzanie komputera pod ktem wymaganych
aktualizacji. Wszystkie poprawki domylnie dystrybuowane s poprzez witryn Windows Update.
Alternatywnie mona utworzyd infrastruktur, ktra bdzie umoliwiaa lokaln dystrybucj
poprawek z centraln synchronizacj do witryny Windows Update. Realizuje si to za pomoc
serwera WSUS (z ang. Windows Server Update Services)13. Zastosowanie serwera WSUS zapewnia:
Konfiguracja klientw serwera WSUS realizowana jest poprzez ustawienia zasad grupowych dostpne
w gazi:
Konfiguracja komputera\Szablony administracyjne\Skadniki systemu Windows\Usuga Windows
Update
(Computer Configuration\Administrative Templates\Windows Components\Windows Update)
13
http://technet.microsoft.com/en-us/windowsserver/bb332157.aspx
Do prawidowego dziaania klienta z serwerem WSUS naley skonfigurowad minimum cztery zasady:
2.20.
Ataki na usug zintegrowanego uwierzytelniania systemu Windows
polegajce na przekazywaniu powiadczeo
Poradniki Bezpieczeostwa Microsoft MSA (z ang. Microsoft Security Advisory) zawieraj informacj
na temat ryzyka atakw zwizanych z przechwyceniem powiadczeo uytkownika wykorzystujcego
usug zintegrowanego uwierzytelniania systemu Windows IWA (z ang. Integrated Windows
Authentication). Tego typu naruszenia bezpieczeostwa mog wystpid poprzez ataki typu czowiek
porodku (ang. man-in-the-middle) lub poprzez sprowokowanie uruchomienia przez uytkownika
konkretnego odnonika.
Poniej przedstawione zostay dwa przykady tego typu atakw:
Przekazanie powiadczeo
W tym scenariuszu atak nastpuje, kiedy przechwycone powiadczenia s wykorzystywane
do logowania si do innych usug ni ofiara miaa dostp.
Odbicie powiadczeo
Tego typu atak zakada wykorzystanie przechwyconych powiadczeo do ponownego
logowania si na komputerze ofiary.
W celu zmniejszenia ryzyka tego typu atakw udostpniona zostaa funkcja EPA (z ang. Extended
Protection for Authentication) zawarta w Windows 8 oraz w Windows Server 2012. Dla poprzednich
wersji Windows EPA jest dostpna, czsto jako aktualizacja.
Szczegowe informacje o konfiguracji EPA dla wczeniejszych wersji Windows znajduj si w
KB968389 (http://support.microsoft.com/kb/976918).
W zaoeniach zintegrowanego uwierzytelniania Windows przyjto, e niektre odpowiedzi
uwierzytelniania s uniwersalne, co umoliwia ich atwe powtrne uycie lub przekazanie. Std zaleca
si, jako minimum konstrukcj, w ktrej konstrukcja odpowiedzi w komunikacji zawiera okrelne
informacje o kanale komunikacji. Dziki temu usugi maj zapewnion rozszerzon ochron w
zakresie odpowiedzi uwierzytelniania zawierajcych okrelone informacje dotyczce usug, takie jak
SPN (z ang. Service Principal Name).
3.1.
System Windows 8 zawiera nastpujce nowe i rozszerzone technologie, ktre zapewniaj ochron
przed zoliwym oprogramowaniem:
3.2.
Centrum akcji to centralne miejsce, gdzie uytkownik moe wywietlad alerty i podejmowad dziaania
majce na celu zapewnienie sprawnego funkcjonowania systemu Windows. W Centrum Akcji
wywietlana jest lista wanych komunikatw dotyczcych ustawieo zabezpieczeo oraz konserwacji,
ktre wymagaj uwagi uytkownika. Zakres wywietlanych komunikatw, ktre mog byd wyczone
lub wczone zosta przedstawiony w ustawieniach konsoli Zmieo ustawienia Centrum Akcji na
rysunku 3.2.1
14
http://www.microsoft.com/en-us/server-cloud/system-center/endpoint-protection-2012.aspx
Rys.
3.2.2 Widok okna Ustawienia raportowania problemw
Kady uytkownik moe przejrzed informacje dotyczce raportw problemw wysyane do firmy
Microsoft stosujc nastpujce kroki:
1. Prosz otworzyd gwne okno Centrum Akcji
2. Prosz kliknd na opcj Konserwacja
3. Poniej Wyszukaj rozwizania dotyczce raportw o problemach, prosz kliknd Wywietl
histori niezawodnoci
4. Na licie historii niezawodnoci, prosz kilknd dwukrotnie na dowolnym zdarzeniu aby
wywietlid techniczne szczegy dotyczce zdarzenia.
5. Zdarzenia wywietlone w sekcji Informacje zwykle zawieraj szczegy zmian dokonanych w
konfiguracji sprztu lub oprogramowania.
W celu uzyskania dodatkowych informacji na temat raportowania problemw i zasada zachowania
poufnoci informacji, naley odwiedzid witryn Microsoft Usuga raportowania bdw firmy
Microsoft zasady zachowania poufnoci informacji15
Zastosowanie ustawieo zasad grup w celu minimalizacji ryzyka dla Centrum Akcji
15
http://oca.microsoft.com/pl/dcp20.asp
Opis
Domylne ustawienie w
systemie Windows 8
Opis
Zapobiega wywietlaniu ikony
Centrum akcji w obszarze kontroli
systemu. Jeeli to ustawienie zostanie
wczone, ikona Centrum Akcji nie
bdzie wywietlana w obszarze
powiadomieo systemu.
Domylne ustawienie w
systemie Windows 8
Nie skonfigurowano
3.3.
System Windows 8 oferuje wsparcie dla protokou bezpiecznego rozruchu (ang. secure boot
protocol), ktry jest czci specyfikacji Unified Extensible Firmware Interface (UEFI), ktra zostaa
zaprojektowana, jako nastpca starszego systemu BIOS. System Windows 8 nadal wspiera starszy
system BIOS, ale UEFI rozszerza moliwoci systemu ukadowego (ang. firmware) wczajc w to
wsparcie dla wikszych dyskw (moliwoci rozruchu dyskw wikszych ni 2 TB korzystajcych z GPT
GUID Partition Table), ulepszone mechanizmy bezpieczeostwa, grafiki oraz zwikszone moliwoci
zarzdzania.
Ocena ryzyka
W nowoczesnych komputerach pracujcych w oparciu o starszy system BIOS, rodowisko rozruchu
systemu operacyjnego moe byd naraone na podatnoci zwizane z atakiem przekierowania moduu
adujcego rozruchu (ang. boot loader) systemu operacyjnego w taki sposb, aby kod zoliwy
wykona si przed waciwym startem systemu operacyjnego, umoliwiajc wykonanie
zaplanowanego ataku. W tym wypadku wektor ataku oznacza, i zoliwy kod zostanie wykonany
przed uruchomieniem systemu operacyjnego i stosowanego systemu zabezpieczeo, takich jak
ochrona przed zoliwym oprogramowaniem, uniemoliwiajc programom zapewniajcym ochron
na ich wykrycie, usunicie lub zablokowanie. Takie oprogramowanie zoliwe odnosi si czasem do
oprogramowania okrelanego, jako ang. rootkit lub ang. bootkit i stanowi due ryzyko dla
uytkownikw, ktrzy czsto czuj si bezpieczni korzystajc z oprogramowania do ochrony przez
oprogramowaniem zoliwym, ktre w tym wypadku nie wykryje zagroenia oraz nie ujawni
podejrzanych plikw, ktre powinny zostad usunite z systemu.
Minimalizacja ryzyka
Standard UEFI wprowadzi protok bezpiecznego rozruchu (ang. secure boot protocol), ktry jest
wspierany przez system Windows 8. Stosujc bezpieczny rozruch system UEFI sprawdza podczas
startu podpisany cyfrowo kod systemu ukadowego (ang. firmware), peryferia podczone do
komputera oraz modu adujcy rozruch (ang. boot loader) w celu upewnienia si, i dany kod moe
zostad wykonany jest podpisany cyfrowo. Bezpieczny rozruch jest wczony domylne na
komputerach pracujcych w oparciu o system Windows 8, na ktrych jest dostpny i skonfigurowany
system jest UEFI.
Zagadnienia minimalizacji ryzyka wymagajce rozwaenia
Bezpieczny rozruch wymaga systemu ukadowego (ang. firmware), ktry zgodny jest ze specyfikacj
UEFI w wersji, co najmniej 2.3.1 oraz wymaga skonfigurowania i wczenia bezpiecznego rozruchu w
odpowiednich opcjach dla systemu ukadowego UEFI.
3.4.
System Windows Vista wprowadzi mechanizm kontroli konta uytkownika (ang. User Account
Control UAC) w celu uatwienia wykorzystania konta uytkownika, ktry nie posiada uprawnieo
administracyjnych. Gdy na komputerze maj zostad dokonane zmiany wymagajce uprawnieo na
poziomie administratora, funkcja Kontrola Konta Uytkownika powiadamia o tym. Mechanizm UAC
skada si z kilku technologii:
Pomimo i stosowanie konta skonfigurowanego w trybie Protected Administrator (PA) jest nieco
bezpieczniejsze od trybu konta administratora niechronionego tym mechanizmem, to nadal
wykorzystanie konta standardowego uytkownika do codziennej pracy jest zalecanym i najbardziej
bezpiecznym rozwizaniem. Ryzyko zwizane z oprogramowaniem zoliwym, ktre wykorzystujc
wysokie uprawnienia uytkownika potrafi zainstalowad niechciane aplikacje lub dokonad
nieautoryzowanych zmian w systemie Windows mona zminimalizowad poprzez zastosowanie konta
zwykego uytkownika do wykonywania codziennych czynnoci na komputerze.
W systemie Windows 8 mona ustawid odpowiedni tryb i czstotliwod powiadamiania uytkownika.
Poniej przedstawiono cztery podstawowe poziomy powiadomieo, ktre mona odpowiednio
skonfigurowad w ustawieniach UAC w Centrum Akcji.
Ustawienie
Powiadamiaj
zawsze
Powiadamiaj
mnie tylko
wtedy, gdy
programy
prbuj
wprowadzad
zmiany na
komputerze
Opis
Uytkownik bdzie powiadamiany przed
wprowadzeniem przez programy zmian na
komputerze lub w systemie Windows
wymagajcych uprawnieo administratora.
Gdy zostanie wywietlone powiadomienie,
pulpit zostanie przyciemniony, a uytkownik
bdzie musied zaakceptowad lub odrzucid
danie w oknie dialogowym funkcji Kontrola
konta uytkownika, zanim bdzie mona
zrobid na komputerze cokolwiek innego.
Przyciemnienie pulpitu jest nazywane
bezpiecznym pulpitem, poniewa inne
programy nie mog dziaad, gdy pulpit jest
przyciemniony.
Uytkownik bdzie powiadamiany przed
wprowadzeniem przez programy zmian na
komputerze wymagajcych uprawnieo
administratora.
Uytkownik nie bdzie powiadamiany, gdy
sam bdzie wprowadzad zmiany w
ustawieniach systemu Windows wymagajce
uprawnieo administratora.
Uytkownik bdzie powiadamiany, gdy
program spoza systemu Windows bdzie
prbowa wprowadzid zmiany w ustawieniach
systemu Windows.
Wpyw na bezpieczeostwo
Jest to najbezpieczniejsze
ustawienie.
Po wywietleniu powiadomienia
uytkownik powinien starannie
przeczytad zawartod kadego z
okien dialogowych, nim zezwoli na
wprowadzenie zmian na
komputerze.
Windows 8
Powiadamiaj
mnie tylko
wtedy, gdy
programy
prbuj
wprowadzad
zmiany na
komputerze
(nie
przyciemniaj
pulpitu)
Nie
powiadamiaj
nigdy
Minimalizacja ryzyka
Rekomendowane jest stosowane do codziennych czynnoci i dziaao w systemach kont uytkownika
standardowego bez uprawnieo administracyjnych. Podczas stosowania mechanizmu UAC w celu
podniesienia uprawnieo i wprowadzenia powiadczeo dla konta administratora zaleca si otworzenie
innej sesji dla administratora stosujc mechanizm szybkiego przeczania uytkownikw.
Zagadnienia minimalizacji ryzyka wymagajce rozwaenia
16
http://go.microsoft.com/fwlink/?linkid=104243
Ustawienie zasad
Opis
Wyczone
To ustawienie zabezpieczeo
kontroluje, czy programy z funkcj
dostpnoci interfejsu uytkownika
(UIAccess lub UIA, User Interface
Wyczone
17
18
http://go.microsoft.com/fwlink/?linkid=148165
http://go.microsoft.com/fwlink/?linkid=84129
Monituj o powiadczenia
Wyczone
Wczone
Wczone
Wczone
Wczone
Wczone
Powysza tabela zawiera krtki opis dla kadego ustawienia. Wicej informacji na temat konkretnego
ustawienia, znajduje si w zakadce POMOC w ustawieniach w Edytorze obiektw zasad grupy.
3.5.
Zabezpieczenia biometryczne
Windows 8 zawiera struktur biometryczn systemu Windows (ang. Windows Biometric Framework)
obsugujc czytniki linii papilarnych oraz inne urzdzenia biometryczne w sposb uniwersalny przez
aplikacje wyszego poziomu. Wbudowane komponenty systemu Windows zapewniaj wsparcie na
poziomie systemu operacyjnego i uatwiaj obsug rozpoznawania linii papilarnych przez aplikacje
korzystajce z rozwizao biometrycznych. W poprzednich wersjach systemu Windows wydanych
przed wersj Windows 7 obsuga rozpoznawania linii papilarnych wymagaa sterownikw i aplikacji
firm trzecich do prawidowej obsugi i logowania do systemu z zastosowaniem linii papilarnych.
System Windows 7 i Windows 8 obsuguje natywnie rozwizania biometryczne wymagajc tylko
instalacji sterownika do urzdzenia czytnika biometrycznego.
W systemie Windows 8 wprowadzono dodatkowe rozszerzenia i wsparcie dla urzdzeo
biometrycznych. Funkcja szybkie przeczanie uytkownika (ang. fast user switching) jest w peni
obsugiwana i wspiera poprzez technologie rozpoznawania linii papilarnych, a dodatkowo
wprowadzono ulepszone mechanizmy synchronizacji hase i odciskw linii papilarnych.
Ocena ryzyka
Standardowe metody weryfikacji uytkownika z zastosowaniem hasa posiadaj liczne saboci i
podatnoci, ktre mog stwarzad zagroenia dla bezpieczeostwa zarzdzanego rodowiska
informatycznego. Jeli hasa s jedynym mechanizmem uwierzytelniajcym uytkownikw, to
mechanizm ten moe powodowad, e uytkownicy mog zapisywad hasa na kartkach, mog byd
czsto zapominane przez uytkownikw lub mog stad si atwym celem ataku siowego
przeprowadzonym na systemie w celu ujawnienia i pozyskania hase. W celu zwikszenia
bezpieczeostwa ochrony kont uytkownikw, naley stosowad wieloczynnikowe metody
uwierzytelnienia poprzez wdroenie urzdzeo takich jak karty inteligentne. Mechanizm ten wymaga
od uytkownika wprowadzenia informacji, ktr zna (PIN) oraz zastosowania czego, co posiada
fizycznie (karta inteligenta). Metoda ta zwiksza poziom bezpieczeostwa uwierzytelnienia, ale nadal
podatna jest na zgubienie lub w niewielkim stopniu na modyfikacj.
Minimalizacja ryzyka
Zastosowane wsparcie dla urzdzeo biometrycznych w systemie Windows 8 pozwala organizacjom na
implementacj dodatkowej warstwy weryfikacji tosamoci poprzez wymaganie przedstawienia
czego, co jest czci osoby, ktra jest weryfikowana. Proces ten minimalizuje ryzyko zwizane ze
stosowaniem hase oraz kart inteligentnych. Wbudowany mechanizm obsugi czytnikw
biometrycznych w Windows 8 moe wsppracowad z wieloma rnorodnymi typami
uwierzytelnienia biometrycznego. Coraz wiksza dostpnod i niska cena czynnikw linii papilarnych
sprawia, i forma uwierzytelnienia biometrycznego moe byd skutecznie wdroona w wielu
organizacjach.
Identyfikacja na podstawie linii papilarnych oferuje nastpujce zalety:
http://cryptome.org/gummy.htm
http://cryptome.org/gummy.htm
6.
7.
8.
9.
10.
Zastosowanie ustawieo zasad grup w celu minimalizacji ryzyka dla rozwizao biometrycznych
Konfiguracja tych ustawieo dostpna jest w gazi:
Konfiguracja komputera\Szablony administracyjne\Skadniki systemu Windows\Biometria
(Computer Configuration\Administrative Templates\Windows Components\Biometrics)
Ponisza tabela przedstawia szczegowe ustawienia zabezpieczeo dostpne w systemie Windows 8
dla omawianej technologii:
Ustawienie zasad
Zezwalaj na
uywanie biometrii
Zezwalaj
uytkownikom na
logowanie przy
uyciu biometrii
Opis
Jeeli to ustawienie
zasad zostanie
wczone lub
pozostanie
nieskonfigurowane,
Usuga biometryczna
systemu Windows
bdzie dostpna, a
uytkownicy bd
mogli uruchamiad w
systemie Windows
aplikacje uywajce
biometrii.
To ustawienie zasad
okrela, czy
uytkownicy mog
logowad si lub
podwyszad poziom
uprawnieo Kontroli
Nie skonfigurowano
konta uytkownika
przy uyciu
biometrii.
Domylnie
uytkownicy lokalni
bd mogli logowad
si do komputera
lokalnego.
Zezwalaj
uytkownikom
domeny na
logowanie przy
uyciu biometrii
To ustawienie zasad
okrela, czy
uytkownicy z
kontami w domenie
mog logowad si
lub podwyszad
poziom uprawnieo
przy uyciu funkcji
Kontrola konta
uytkownika za
pomoc biometrii.
Domylnie
uytkownicy domeny
nie mog uywad
biometrii w celu
logowania. Jeli to
ustawienie zasad
zostanie wczone,
uytkownicy domeny
bd mogli logowad
si do komputera z
systemem Windows
przyczonego do
domeny przy uyciu
biometrii. W
zalenoci od
uywanej biometrii
wczenie tego
ustawienia zasad
moe osabid
zabezpieczenia
uytkownikw
logujcych si przy
uyciu biometrii.
To ustawienie zasad
okrela liczb
sekund, przez ktr
oczekujce zdarzenie
szybkiego
przeczania
Nie skonfigurowano
Nie skonfigurowano
uytkownikw
pozostanie aktywne
przed
zainicjowaniem
przeczenia.
Domylnie zdarzenie
szybkiego
przeczania
uytkownikw jest
aktywne przez 10
sekund, a potem
staje si nieaktywne.
Tabela 3.4.1 Ustawienia zasad grupowych dla rozwizao biometrycznych
Powysza tabela zawiera krtki opis dla kadego ustawienia. Wicej informacji na temat konkretnego
ustawienia, znajduje si w zakadce POMOC w ustawieniach w Edytorze obiektw zasad grupy.
3.6.
Rys. 3.5.1 Widok okna ustawieo rekomendowanych automatycznego skanowania dla usugi
Windows Defender
W momencie, kiedy aplikacja prbuje zmodyfikowad chroniony obszar w systemie Windows 8,
Windows Defender wywietli powiadomienie w celu uzyskania potwierdzenia lub anulowania
procesu zmiany, ktra ma wpyw na dziaanie systemu i zapobiega instalacji szkodliwego
oprogramowania.
dodatkowej informacji na temat zasad zachowania poufnoci informacji naley przeczytad dokument
Zasady zachowania poufnoci informacji w systemach Windows 8 i Windows Server 2012 21
Ocena ryzyka
Oprogramowanie zoliwe stwarza liczne zagroenia dla organizacji, ktre musz je minimalizowad w
celu zapewnienia bezpieczeostwa danych poprzez niedopuszczenie do ujawnienia danych
przechowywanych na komputerach. Najbardziej zauwaalne ryzyka, ktre stwarza oprogramowanie
szpiegujce zawieraj:
Wraliwe dane organizacji mog zostad naraone na ryzyko ujawnienia przez osoby
nieupowanione
Dane osobiste pracownikw mog zostad naraone na ryzyko ujawnienia przez osoby
nieupowanione
Komputery mog zostad naraone na utrat kontroli nad systemem poprzez zewntrzne
osoby atakujce
Ryzyko dotyczce przestojw z powodu oprogramowania szpiegujcego wynikajce z
obnienia wydajnoci i stabilnoci systemw komputerowych.
Ryzyko dotyczce wzrost kosztw utrzymania i zapewnienia ochrony z powodu
oprogramowania szpiegujcego
Potencjalne ryzyko szantau organizacji i w przypadku, kiedy zainfekowany system ujawni
wraliwe dane
Minimalizacja ryzyka
Usuga Windows Defender zostaa zaprojektowana w celu minimalizacji ryzyka zwizanego z
oprogramowaniem zoliwym. Naley regularne i automatycznie pobierad aktualizacje definicji
korzystajc z usugi Windows Update lub poprzez usug Windows Server Update Services (WSUS).
Zagadnienia minimalizacji ryzyka wymagajce rozwaenia
Usuga Windows Defender domylnie jest wczona i uruchamiana automatycznie po wczeniu
komputera z systemem Windows 8, technologia ta zostaa zaprojektowana w taki sposb, aby nie
przeszkadzad zwykym uytkownikom w ich codziennej pracy. W celu efektywnego wdroenia
Windows Defender w organizacji, naley rozwayd nastpujce rekomendowane dziaania:
21
http://go.microsoft.com/fwlink/?LinkId=190175, http://windows.microsoft.com/pl-PL/windows-8/windows8-privacy-statement?ocid=W8_UI
Opis
Powoduje, e przed uruchomieniem
zaplanowanego skanowania nastpuje
sprawdzenie, czy s nowe sygnatury.
Domylne ustawienie w
systemie Windows
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
Powysza tabela zawiera krtki opis dla kadego ustawienia. Wicej informacji na temat konkretnego
ustawienia, znajduje si w zakadce POMOC w ustawieniach w Edytorze obiektw zasad grupy.
3.7.
Narzdzie do usuwania zoliwego oprogramowania (ang. MSRT - Malicious Software Removal Tool)
jest programem wykonywalnym o niewielkim rozmiarze, ktry uatwia usuwanie okrelonych
najbardziej rozpowszechnionych rodzajw zoliwego oprogramowania z komputerw z systemami
Windows.
Firma Microsoft dostarcza, co miesic now wersj programu MSRT poprzez usugi aktualizacji:
Microsoft Update, Windows Updates, WSUS oraz Centrum Pobierania Microsoft. Narzdzie do
usuwania zoliwego oprogramowania jest uruchamiane w trybie cichym i po zakooczeniu wywietli
raport, jeli zostanie wykryte oprogramowanie zoliwe. Narzdzie to nie jest instalowane w systemie
operacyjnym i nie posiada ustawieo zasad grupowych. Domylnie plik z raportem z
przeprowadzonego skanowania jest umieszczony w miejscu %SystemRoot%\Debug\mrt.log.
Program MSRT nie zosta zaprojektowany, jako program antywirusowy klasy Enterpise skierowana do
duych organizacji. Rozwizanie to nie zapewnia penego centralnego raportowania, monitorowania i
mechanizmw kontroli konfiguracji. W przypadku potrzeby dodatkowego elementu centralnego
zarzdzania i raportowania naley rozwayd wdroenie produktw zaawansowanych takich jak
Microsoft System Center 2012 Endpoint Protection22.
Ocena ryzyka
Rekomendowanym rozwizaniem jest stosowanie programu antywirusowego zainstalowanego na
kadym komputerze w organizacji, jako uzupenienie usug zapewniajcych bezpieczeostwo
dostpnych w systemach Windows 8. Pomimo instalacji waciwej ochrony antywirusowej naley
pamitad, i istniej dodatkowe ryzyka, ktre mog mied wpyw na bezpieczeostwo organizacji:
22
http://www.microsoft.com/en-us/server-cloud/system-center/endpoint-protection-2012.aspx
Program MSRT zajmuje okoo 9 MB, rwnoczesne pobieranie tego programu przez du
liczb uytkownikw, moe wpynd niekorzystnie na wydajnod poczenia internetowego
Narzdzie MSRT pierwotnie zostao zaprojektowane dla uytkownikw niekorporacyjnych,
ktrzy nie posiadaj zainstalowanych aktualnych rozwizao antywirusowych. Jednake,
moe stanowid uzupenienie istniejcego rozwizania ochrony antywirusowej, stanowicej
dodatkowy element strategii defense-in-depth. W celu wdroenia narzdzia MSRT w
rodowisku organizacji, mona wykorzystad nastpujce sposoby instalacji:
o Windows Server Update Services
o Pakiet instalacyjny SMS / SCCM
o Poprzez skrypt startowy komputera uruchamiany przez zasady grupowe
o Poprzez skrypt startowy uytkownika uruchamiany przez zasady grupowe
W przypadku duych rodowisk, rekomendowane jest zapoznanie si z dokumentem
Wdraanie Narzdzia Microsoft Windows do usuwania zoliwego oprogramowania w
rodowisku przedsibiorstwa24, Numer ID artykuu: 891716 bazy wiedzy Microsoft Knowledge
Base
23
24
Program MSRT nie zapewnia ochrony w czasie rzeczywistym, w zwizku z powyszym wysoce
rekomendowane jest zainstalowanie programu antywirusowego, ktry zapewnia ochron w
http://www.microsoft.com/pl-pl/security/pc-security/malware-families.aspx
http://support.microsoft.com/Default.aspx?kbid=891716
3.8.
Zapora osobista jest krytycznym elementem obrony przed wieloma rodzajami oprogramowania
zoliwego. Tak jak w przypadku poprzednich wersji systemu Windows od czasu wydania Windows XP
SP2 zapora osobista jest domylnie wczona w systemie Windows, w celu zapewnienia ochrony
komputera uytkownika od momentu jak tylko system operacyjny jest gotowy do pracy.
Zapora osobista w systemie Windows 8 oraz Windows 8.1 wykorzystuje ten sam mechanizm ochrony
jak w przypadku Windows Vista wczajc w to filtrowanie ruchu wchodzcego i wychodzcego dla
zapewnienia ochrony poprzez ograniczenie dostpu sieciowego do zasobw systemu operacyjnego.
W rozwizaniu tym zostaa zastosowana ta sama konsola interfejsu uytkownika zapory systemu
Windows z zabezpieczeniami zaawansowanymi, znana ju z poprzedniego systemu Windows Vista.
Konsola ta jest centralnym miejscem upraszczajcym zarzdzanie. Z poziomu tej konsoli moemy
zarzdzad filtrowaniem ruchu sieciowego przychodzcego i wychodzcego z interfejsw sieciowych
oraz ustawieniami protokou IPsec zapewniajcymi bezpieczeostwo poczenia dziki zastosowaniu
wymiany kluczy, uwierzytelniania, integralnoci danych i opcjonalnie szyfrowania danych.
25
http://www.microsoft.com/pl-pl/security/pc-security/malware-removal.aspx
W systemie Windows 8 istniej trzy profile aplikacji Zapora systemu Windows z zabezpieczeniami
zaawansowanymi:
Profil domenowy
Profil stosowany jest, wtedy, kiedy komputer zosta podczony do sieci oraz nastpio
uwierzytelnienie do kontrolera domeny, do ktrego naley komputer.
Profil publiczny
Jest to domylny profil i stosowany jest w scenariuszach, kiedy komputer nie jest doczony do
domeny. Ustawienia profilu publicznego powinny byd najbardziej restrykcyjne, poniewa komputer
jest poczony z sieci publiczn, w ktrej nie mona kontrolowad bezpieczeostwa.
Profil prywatny
Profil stosowany jest, jeli uytkownik posiadajcy powiadczenia lokalnego administratora przypisze
go w ramach biecego poczenia sieciowego do sieci wczeniej zdefiniowanej, jako sied publiczna.
Zaleca si, aby uywad profilu prywatnego w sieciach zaufanych.
W systemach Windows Vista w danej chwili moe byd aktywny na komputerze tylko jeden profil.
System Windows 8 zapewnia wsparcie dla wielu aktywnych profili na poziomie kart sieciowych. Jeli
istnieje wiele kart sieciowych poczonych z rnymi sieciami, dla wszystkich kart na komputerze jest
stosowany profil o najbardziej odpowiednich ustawieniach dla typu sieci, do ktrej zosta
przyczony. Na przykad:, jeli znajdujemy si w kawiarence i korzystamy z darmowego punktu
dostpowego sieci bezprzewodowej w celu poczenia si z sieci naszej organizacji stosujc
poczenie VPN, to profil publiczny w dalszym cigu zapewnia nam ochron ruchu sieciowego, ktry
nie jest transmitowany przez zestawiony tunel poczenia VPN. To samo odnosi si do karty sieciowej
niepodczonej do sieci lub do nierozpoznanej sieci, w tym przypadku zostanie przypisany profil
publiczny, a pozostae karty sieciowe bd uyway odpowiednich profili dla typu sieci, do ktrej
zostay przyczone.
Ocena ryzyka
Poczenie sieciowe jest niezbdnym elementem w nowoczesnym biznesie, ktre umoliwia z jednej
strony cznod z caym wiatem, a z drugiej strony to samo poczenie moe stad si gwnym celem
osb atakujcych. To zagroenie towarzyszce nawizywanym poczeniom musi byd
minimalizowane, aby zapewnid bezpieczeostwo i nie dopucid do ujawnienia wanych danych oraz
infekcji komputerw. Najczciej zidentyfikowane zagroenia dla organizacji wystpujce w
przypadku atakw z sieci obejmuj:
Komputery przenone mog zostad naraone na zewntrzne ataki sieciowe pracujc z sieci
niezaufanych poza kontrol firmowej zapory sieciowej.
Komputery pracujce w sieci wewntrznej mog zostad naraone na ataki sieciowej
pochodzce z zainfekowanych komputerw podczonych to tej samej sieci wewntrznej.
Potencjalne ryzyko szantau organizacji w przypadku, kiedy atakujcy zainfekuje komputery
pracujce w sieci wewntrznej.
Minimalizacja ryzyka
Zapora systemu Windows 8 zapewnia ochron komputera i jest dostpna bezporednio po wyjciu z
pudeka. Zapora sieciowa blokuje niechciane poczenia przychodzce do czasu, kiedy stosowanych
zmian nie dokona administrator lub odpowiednia zasada grupowa.
Zapora sieciowa zawiera rwnie funkcjonalnod filtrowania ruchu wychodzcego z komputera i jest
dostpna bezporednio po wyjciu z pudeka, regua ta domylnie ustawiona jest na zezwalaj dla
caego ruchu wychodzcego. Zastosowanie odpowiednich ustawieo zasad grupowych pozwala na
konfiguracj tych regu dostpnych w zaporze sieciowej, tak, aby pozostawid ustawienia
zabezpieczeo komputera klienckiego w stanie niezmiennym.
Zagadnienia minimalizacji ryzyka wymagajce rozwaenia
W przypadku rozwaania zastosowania zapory sieciowej, przedstawiono poniej list najwaniejszych
czynnikw uatwiajcych prawidowe planowanie wdroenia zapory sieciowej:
3.9.
http://go.microsoft.com/fwlink/?LinkId=69843
http://go.microsoft.com/fwlink/?LinkId=156033
3.10.
3.11.
W systemach Windows, karty inteligentne (ang. smart card) oferuj potencjalnie najlepsz metod
uwierzytelnienie i logowania uytkownikw do komputerw, stron internetowych oraz aplikacji.
Karty inteligentne wspierane s w kilku poprzednich edycjach systemu Windows, ale zmiany
28
http://go.microsoft.com/fwlink/?LinkId=154902
29
http://technet.microsoft.com/en-us/library/hh831740
W celu uzyskania dodatkowych informacji naley zapoznad si dokumentacj The Secure Access
Using Smart Cards Planning Guide30 oraz Understanding and Evaluating Virtual Smart Cards31.
3.12.
System Windows 8 oferuje dwa nowe sposoby na przywrcenie komputera do poprzedniego stanu z
okrelonego poprzedniego punktu w czasie.
Przywrd swj komputer (ang. Reset your PC) - Proces przywracania komputera uruchamia
komputer w trybie Windows Recovery Environment (Windows RE), wykasowuje i formatuje
partycje zawierajce dane systemu Windows oraz dane uytkownika, instaluje wie kopi
systemu Windows i na koniec restartuje komputer.
Odwie swj komputer (ang. Refresh your PC) - Proces odwieania komputera uruchamia
komputer w trybie Windows Recovery Environment (Windows RE), skanuje i zbiera
(zabezpiecza) dane i pliki uytkownika, konfiguracj ustawieo i aplikacji Windows 8,
nastpnie instaluje wie kopi systemu Windows i przywraca dane i pliki uytkownika,
konfiguracj ustawieo i aplikacji Windows 8. I na koniec restartuje komputer.
Zastosowanie opcji odwieania systemu moe zachowad ustawienia komputera, wczajc w to:
konfiguracj sieci bezprzewodowych i poczeo mobilnych, ustawieo mechanizmu szyfrowania
BitLocker i BitLocker To Go, przypisanych liter dyskw, personalizacji, takich jak tapeta.
30
31
http://technet.microsoft.com/en-us/library/cc170941.aspx
http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=29076
3.13.
32
33
32
38
39
http://technet.microsoft.com/en-us/library/hh831740
http://support.microsoft.com/Default.aspx?kbid=891716
http://cryptome.org/gummy.htm
35
http://www.microsoft.com/security/portal/Definitions/HowToWD.aspx
36
http://blogs.msdn.com/b/b8/archive/2011/09/15/protecting-you-from-malware.aspx
37
http://go.microsoft.com/fwlink/?LinkId=69843
38
http://www.microsoft.com/en-us/server-cloud/system-center/endpoint-protection-2012.aspx
39
http://go.microsoft.com/fwlink/?linkid=84129
40
http://go.microsoft.com/fwlink/?LinkId=51307
41
http://www.microsoft.com/security/malwareremove/families.aspx
42
http://go.microsoft.com/fwlink/?LinkId=113940
43
http://go.microsoft.com/fwlink/?linkid=62936
34
"The Microsoft Windows Malicious Software Removal Tool helps remove specific, prevalent
malicious software from computers that are running Windows Vista, Windows Server 2003,
Windows Server 2008, Windows XP, or Windows 2000": Knowledge Base article 890830.
Windows Defender Privacy Policy.
Windows Firewall.
Windows Server Group Policy.
Windows Server Update Services (WSUS).
"Windows Vista Application Development Requirements for User Account Control Compatibility"
article.
Understanding and Configuring User Account Control in Windows Vista.
User Account Control.
Using Software Restriction Policies to Protect Against Unauthorized Software.
W celu zapewnienia ochrony wraliwych danych w organizacji moemy skorzystad z funkcji Bitlocker,
EFS, RMS oraz mechanizmu instalacji i zarzdzania urzdzeniami. Kada z tych technologii spenia
okrelone zadania w rnych scenariuszach zastosowania. Zaprezentowane tutaj wbudowane
mechanizmy ochrony danych powinny byd czci strategii bezpieczeostwa organizacji a ich
stosowanie jest wysoce rekomendowane. Przedstawione w tabeli przykady pokazuj, w jakich
scenariuszach poszczeglne funkcje mog byd wykorzystane odnoszc si do najczciej spotykanych
konfiguracji w organizacjach.
Scenariusz
Ochrona danych komputerw
przenonych
Ochrona danych serwera biura
oddziau
Ochrona lokalnych plikw i
folderw uytkownika
Ochrona komputerw
stacjonarnych
Ochrona danych dyskw
wymiennych
Ochrona
plikw i folderw
wspuytkowanych
komputerw
Ochrona plikw i folderw
BitLocker
EFS
RMS
Zarzdzanie urzdzeniami
zdalnych
Ochrona administratora
dokumentw zdalnych
Ochrona treci podczas
wsppracy grupowej
Ochrona danych przed kradzie
4.1.
Szyfrowanie dyskw funkcj BitLocker jest mechanizmem szyfrowania caych woluminw, a nie tylko
poszczeglnych plikw, zapewniajc ochron danych przechowywanych na dyskach pracujcych pod
kontrol systemu Windows 8 oraz Windows 8.1. Mechanizm ten zapewnia bezpieczeostwo danych
rwnie w przypadku, kiedy dysk zostanie wymontowany i zainstalowany w innym komputerze.
Technologia BitLocker w systemie Windows 8 zapewnia ochron danych znajdujcych si na dyskach
twardych komputerw uytkownikw, wczajc w to ochron dyskw wymiennych, pamici
przenonych USB oraz dyskw podczonych poprzez interfejs IEEE 1394.
W momencie uruchomienia ochrony dyskw systemu operacyjnego BitLocker chroni sekwencj
rozruchu a do momentu wprowadzenia waciwych i uprawnionych danych uwierzytelniajcych
wymaganych przez mechanizm BitLocker. Funkcja BitLocker zezwala na zastosowanie pamici flash
USB do przechowywania kluczy deszyfrujcych, ale najwyszy stopieo bezpieczeostwa uzyskuje si
przy wykorzystaniu moduu TPM 1.2 (ang. Trusted Platform Module), ktry zapewnia sprztow
ochron kluczy szyfrujcych i zapobiega atakom programowym na bezpieczeostwo i integralnod
danych przechowywanych na dyskach. Funkcja BitLocker moe korzystad z moduu TPM do
weryfikowania integralnoci skadnikw biorcych udzia we wczesnej fazie uruchamiania oraz do
weryfikowania danych konfiguracji rozruchu. Dziki temu funkcja BitLocker umoliwia uzyskanie
dostpu do zaszyfrowanego dysku tylko wtedy, gdy te skadniki nie zostay naruszone, a
zaszyfrowany dysk znajduje si w oryginalnym komputerze.
44
http://go.microsoft.com/fwlink/?LinkId=156033
Usuga BitLocker w systemie Windows 8 oraz Windows 8.1 wprowadzia nastpujce nowe
funkcjonalnoci w celu zwikszenia poziomu bezpieczeostwa:
4.2.
Funkcja BitLocker zawiera kilka trybw pracy, ktre mona skonfigurowad i dostosowad do wasnych
wymagao. Tryb pracy, ktry zostanie wybrany i zastosowany w duym stopniu zaley od dostpnoci
moduu TPM na chronionych komputerach oraz przyjtego stopnia ochrony, ktry ma zostad
wyegzekwowany. Tryb pracy obejmuje stosowanie moduu TPM, numeru PIN oraz klucza
uruchomienia (ang. startup key). Klucz uruchomienia jest plikiem wygenerowanym w sposb
kryptograficzny i umieszczonym na oddzielnym noniku pamici flash USB.
Tryby pracy funkcji BitLocker:
Tylko modu TPM. Uywanie weryfikacji Tylko modu TPM nie wymaga adnej interakcji z
uytkownikiem w celu odszyfrowania i udostpnienia dysku, do startu systemu nie jest
potrzebne haso, numer PIN lub klucz uruchomienia. Jeli weryfikacja przy uyciu moduu
TPM powiedzie si, przebieg logowania jest z punktu widzenia uytkownika taki sam, jak
podczas logowania standardowego. Jeli brakuje moduu TPM lub zosta on zmieniony, lub
modu TPM wykryje zmiany w plikach startowych systemu operacyjnego o znaczeniu
krytycznym, lub nastpi prba uruchomienia dysku w innym komputerze, to funkcja
BitLocker przejdzie do trybu odzyskiwania i do odzyskania dostpu do danych bdzie
potrzebne haso odzyskiwania. Tryb ten zapewnia ochron rodowiska rozruchowego dla
systemu Windows 8 poprzez modu TPM. Sposb ten jest przykadem najsabszej
implementacji funkcji BitLocker z uwagi na fakt, i nie wymaga dodatkowego
uwierzytelnienia do uruchomienia systemu Windows.
Modu TPM z kluczem uruchomienia. Oprcz ochrony zapewnianej przez modu TPM czd
klucza szyfrowania jest przechowywana na dysku flash USB. Dostpu do danych na
zaszyfrowanym woluminie nie mona uzyskad bez klucza uruchomienia. Tryb ten wymaga
urzdzenia USB zawierajcego klucz uruchomienia podczonego do komputera podczas
procesu uruchomienia systemu Windows. Kiedy system nie odczyta poprawnie klucza
startujcego komputer przejdzie w tryb odzyskiwania (ang. Recovery mode). Tryb ten
rwnie zapewnia ochron rodowiska rozruchowego dla systemu Windows 8 poprzez modu
TPM.
Modu TPM z kodem PIN. Oprcz ochrony zapewnianej przez modu TPM funkcja BitLocker
wymaga od uytkownika wprowadzenia osobistego numeru identyfikacyjnego (PIN). Dostpu
do danych na zaszyfrowanym woluminie nie mona uzyskad bez podania kodu PIN.
Dodatkowo mona wymusid za pomoc zasad grup uywanie hasa zoonego zamiast
prostego numeru PIN. Jeli uytkownik nie wprowadzi prawidowego kodu PIN podczas
uruchomienia systemu, to komputer przejdzie w tryb odzyskiwania. Tryb ten zapewnia
ochron rodowiska rozruchowego dla systemu Windows 8 poprzez modu TPM.
Modu TPM z kluczem uruchomienia i kodem PIN. Opcj t mona skonfigurowad wycznie
przy uyciu narzdzia wiersza polecenia Manage-bde.exe oraz zasad grupowych. Oprcz
ochrony podstawowych skadnikw, ktr zapewnia sprztowy modu TPM, czd klucza
szyfrowania jest przechowywana na dysku flash USB, a w celu uwierzytelnienia uytkownika
w module TPM jest wymagane podanie kodu PIN. Uzyskane w ten sposb uwierzytelnianie
wieloczynnikowe gwarantuje, e nawet, jeli klucz USB zostanie zgubiony lub skradziony, nie
bdzie mona go uyd w celu uzyskania dostpu do dysku, poniewa jest rwnie wymagany
poprawny numer PIN. Tryb ten zapewnia ochron rodowiska rozruchowego dla systemu
Windows 8 poprzez modu TPM. Ustawienie tego trybu zalecane jest dla rodowisk gdzie
wymagany jest bardzo wysoki poziom bezpieczeostwa i zapewnia najwyszy stopnieo
ochrony danych w organizacji.
Tryb pracy funkcji BitLocker bez moduu TPM. Tryb ten zapewnia pene szyfrowanie caego
dysku, ale nie zapewnia ochrony rodowiska rozruchowego dla systemu Windows 8. To
ustawienie zalecane jest dla komputerw nieposiadajcych sprztowego moduu TPM. W
celu ustawienia tego trybu pracy niezbdna jest konfiguracja ustawieo zasad grupowych:
Konfiguracja komputera\Szablony administracyjne\Skadniki systemu
Windows\Szyfrowanie dyskw funkcj BitLocker\Dyski z systemem operacyjnym\Wymagaj
dodatkowego uwierzytelniania przy uruchamianiu.
(Computer Configuration\Administrative Templates\WindowsComponents\BitLocker Drive
Encryption\Operating System Drives\Require Additional Authentication At Startup)
W przypadku uruchomienia trybu pracy bez moduu TPM niezbdne jest urzdzenie pamici
flash USB z kluczem uruchomienia do startu systemu Windows.
45
46
http://go.microsoft.com/fwlink/?LinkId=93005
http://go.microsoft.com/fwlink/?LinkId=113151
Wartod tego parametru przechowana jest gazi rejestru HKey_Local_Machine, jako wartod
DWORD o nazwie TpmRefreshEntropyIntervalInMinutes i umieszczona w
\Software\Policies\Microsoft\Cryptography\RNG\, domyln wartoci tego ustawienia jest liczba
40 i konfigurowalna w zakresie od 0 do 40. Dodatkowo moemy skonfigurowad liczb milibitw (ang.
millibits) iloci danych (entropi) na kady bajt wychodzcy z generatora liczb losowych ukadu TPM.
Wartod tego parametru przechowana jest gazi rejestru HKey_Local_Machine, jako wartod
DWORD o nazwie TpmEntropyDensityInMillibitsPerByte i umieszczona w
\System\CurrentControlSet\Control\Cryptography\RNG\, domyln wartoci tego ustawienia jest
liczba 8000 i konfigurowalna w zakresie od 1 do 8000. Wicej informacji na temat technologii TPM
oraz jej specyfikacji mona uzyskad na stronie Trusted Computing Group47.
Naley podkrelid, i w przypadku niedostpnoci moduu TPM funkcja BitLocker moe nadal
zabezpieczad dane, ale nie mona zapewnid ochrony integralnoci systemu oraz ochrony rodowiska
rozruchowego, mona osignd ten cel w nastpujcych scenariuszach:
Uwaga: Funkcja BitLocker umoliwia zabezpieczenie danych w systemie Windows Server 2008, ale
scenariusz ten nie zosta opisany w niniejszym przewodniku.
Uwaga: Pomimo, e moliwe jest zapisywanie danych w programie Windows Virtual PC, jako
wirtualne dyski (VHD) wewntrz chronionego systemu plikw przez mechanizm BitLocker, to nie ma
moliwoci wykorzystania chronionych przez funkcj BitLocker wirtualnych dyskw (VHD) do
uruchomienia systemu Windows z pliku VHD (native VHD boot) oraz nie ma moliwoci uruchomienia
funkcji BitLocker na wolumenach, ktre zawarte s wewntrz plikw VHD.
4.3.
Ochrona danych znajdujcych si dyskach systemowych oraz dyskach
staych
W tym scenariuszu zastosowanie funkcji BitLocker umoliwi ochron wszystkich staych dyskw z
danymi (wewntrzne dyski twarde), ktre zawieraj pliki systemu operacyjnego a take inne dane.
Jest to zalecana konfiguracja w celu zapewnienia, i wszystkie dane w systemie s chronione przez
funkcj BitLocker.
Ocena ryzyka
Gwnym zagroeniem bezpieczeostwa jest utrata danych z komputerw przenonych, ktre zostay
utracone lub skradzione. Funkcja BitLocker zostaa zaprojektowana wanie w celu zmniejszenia tego
zagroenia. Sytuacja ta ma miejsce wtedy, kiedy atakujcy uzyska fizyczny dostp do
niezabezpieczonego komputera, potencjalne konsekwencje takiego czynu obejmuj nastpujce
dziaania:
Atakujcy moe si zalogowad do komputera z systemem Windows 8 i skopiowad dane
47
http://www.trustedcomputinggroup.org/
Nawet, jeli pliki s w postaci zaszyfrowanej z wykorzystaniem systemu szyfrowania plikw EFS, to
istnieje zagroenie, i nieostrony uytkownik systemu moe przenied lub skopiowad pliki z
zaszyfrowanego folderu do katalogu, na ktrym nie jest wczona funkcja EFS (np. katalogi
tymczasowe lub ukryte), co moe skutkowad pozostawieniem kopii plikw w postaci
niezaszyfrowanej i dostpnej dla atakujcego. Niewiadomi pracownicy dziaw IT mog dopucid si
zaniedbania poprzez nieszyfrowanie katalogw ukrytych, w ktrych mog byd przechowywane kopie
plikw wykonywanie przez aplikacje podczas normalnej pracy systemu i aplikacji. Istnieje rwnie
ryzyko operacyjne, w ktrym nieupowanione osoby dokonaj modyfikacji plikw systemowych lub
rozruchowych, ktre uniemoliwi normaln prac systemu operacyjnego.
Minimalizacja ryzyka
W celu zmniejszenia zagroenia zwizanego z powyszym ryzykiem, zaleca si skonfigurowad
komputery i wczyd funkcj BitLocker, ktra wykryje zmiany w plikach startowych systemu
operacyjnego o znaczeniu krytycznym oraz zapewnia ochron rodowiska rozruchowego dla systemu
Windows 8 wraz z wymuszeniem dodatkowego procesu uwierzytelnienia przed uruchomieniem
systemu i uzyskania dostpu do w peni zaszyfrowanego dysku. Co w rezultacie zapewni pen
ochron systemu operacyjnego oraz zabezpieczy dane przed nieautoryzowanym dostpem.
Zagadnienia minimalizacji ryzyka wymagajce rozwaenia
Funkcja BitLocker stosowana na dyskach, na ktrych zainstalowany jest system Windows (dysk
systemu operacyjnego) oraz staych dyskach z danymi (wewntrzne dyski twarde) moe zmniejszyd
zagroenie zdefiniowane w poprzedniej sekcji Ocena ryzyka, jednak przed zastosowaniem funkcji
BitLocker, wane jest, aby wzid pod uwag nastpujce wymagania i najlepsze praktyki dla tej
funkcji ochrony danych:
systemow, do ktrej nie jest przypisana adna litera dysku i jest ona ukryta przed
uytkownikami. Jeli system nie posiada oddzielnej aktywnej partycji systemowej, ukad
partycji zostanie zmodyfikowany w sposb automatyczny podczas wczania i inicjacji funkcji
BitLocker.
W przypadku, kiedy BitLocker bdzie wymaga nonika pamici USB lub kodu PIN, konieczne
jest ustalenie i wprowadzenie procedury, ktra przewiduje sytuacje awaryjne utraconych
kluczy uruchomienia lub zapomnianych kodw PIN i jednoczenie pozwoli na ich odzyskanie
przez uytkownikw.
Naley wzid pod uwag, i funkcja BitLocker ma niewielki wpyw na wydajnod komputera,
przewaanie jest to niedogodnod niezauwaalna przez wikszod uytkownikw. Jednake,
jeli wydajnod systemu jest krytycznym elementem systemu komputerowego warto
sprawdzid w fazie testw przedwdroeniowych czy BitLocker nie wpywa znaczco na
wydajnod pracy uytkownika.
W zalenoci od producenta komputerw, narzdzia suce do zarzdzania moduem TPM
mog wymagad rcznej konfiguracji komputera lub ustawieo BIOS, naley to wzid pod
uwag podczas planowania w peni zautomatyzowanego lub wykorzystujcego skrypty
procesu wdroenia funkcjonalnoci BitLocker w organizacji, zarwno podczas nowych
instalacji jak i aktualizacji z poprzednich systemw Windows.
W celu zastosowania klucza USB z kluczem uruchomienia do odblokowania procedury startu i
rozruchu systemu, BIOS komputera musi umoliwid odczyt danych z dysku USB w rodowisku
przed zainicjowaniem systemu operacyjnego.
BitLocker moe mied wpyw na proces dystrybucji oprogramowania, ktry zosta
zautomatyzowany i przewiduje zdalne instalacje lub aktualizacje aplikacji zaplanowane w
nocy lub poza godzinami pracy, podczas kiedy wymagany jest ponowny rozruch komputera
bez obecnoci uytkownika. Ponisze przykady ilustruj opisan sytuacj:
o Konfiguracja komputera przewiduje ochron wykorzystujca modu TPM wraz z
kodem PIN lub zastosowanie moduu TPM wraz z kluczem uruchomienia na noniku
USB, a czynnoci zaplanowana jest na godzin 2.00 w nocy. Kiedy proces wdroenia
aplikacji wymaga restartu komputera, to komputer nie zostanie poprawnie
zrestartowany z uwagi na wymaganie wprowadzenia kodu PIN lub obecnoci klucza
uruchomienia na noniku pamici USB.
o Jeli w organizacji wykorzystywana jest technologia Wake-on-LAN lub funkcja
automatycznego uruchomienia komputera poprzez BIOS w celu wykonania czynnoci
serwisowych, to takie komputery rwnie nie zostan automatycznie uruchomione z
powodu zastosowania moduu TPM z dodatkowym elementem uwierzytelniajcym w
postaci czynnoci wprowadzenia kodu PIN lub braku obecnoci klucza uruchomienia
na noniku pamici USB.
Wszelkie aktualizacje oprogramowania ukadowego (ang. firmware) mog wpynd
niekorzystnie na komputery z wczon funkcj BitLocker. Aktualizacja oprogramowania
BIOS, moe zostad wykryta przez BitLocker, jako modyfikacja rodowiska, co w efekcie
spowoduje, i komputer przejdzie w tryb odzyskiwania (ang. Recovery mode). Jeli funkcja
BitLocker jest ju wczona i zachodzi koniecznod zaktualizowania systemu BIOS, naley
tymczasowo wstrzymad dziaanie funkcji BitLocker przed zaktualizowaniem systemu BIOS, a
nastpnie wznowid dziaanie funkcji BitLocker po zakooczeniu aktualizacji.
Chocia jest mao prawdopodobne, e aktualizacje aplikacji mog mied wpyw na dziaanie
komputerw z wczon funkcj BitLocker, to naley zwrcid szczeglna uwag na
wprowadzane zmiany do systemu przez aktualizacje a szczeglnie na zmiany wprowadzone
do menadera rozruchu (ang. boot manager), ktre mog spowodowad bdy podczas
rozruchu systemu i spowoduj przejcie komputera w tryb odzyskiwania. Przed
przystpieniem do instalacji lub aktualizacji aplikacji, ktre moj wpyw na funkcje rozruchu
systemu Windows 8 zaleca si przetestowanie tych czynnoci na komputerze z wczon
funkcja BitLocker.
Wszystkie kontrolery domenowe musza pracowad pod systemem Windows Server 2003 z
dodatkiem service pack 2 (SP2) lub wyszym.
Uwaga: Windows serwer 2003 wymaga rozszerzenia schematu usugi katalogowej (Active Directory)
w celu poprawnej obsugi i przechowywania kopii zapasowej informacji odzyskiwania funkcji
BitLocker w usugach domenowych w usudze Active Directory (AD DS).
Proces minimalizacji ryzyka
Poniej przedstawiono proces minimalizacji ryzyka w celu oszacowania i wdroenia najlepszych
praktyk konfiguracji funkcji BitLocker, aby zapewnid ochron wraliwych danych znajdujcych si na
komputerach klienckich zarzdzanych w organizacji:
W celu minimalizacji ryzyka zaleca si zastosowanie czynnoci:
1. Sprawdzenie i przeprowadzenie testw technologii BitLocker
Uwaga: W celu uzyskania dodatkowych informacji na temat BitLocker, naley zapoznad si z
dokumentami: BitLocker Drive Encryption Deployment Guide for Windows 748 i Windows
BitLocker Drive Encryption Design and Deployment Guides49 umieszczonych na stronach
witryny Microsoft TechNet
2. Oszacowanie potrzeby wdroenia funkcji BitLocker w organizacji.
3. Sprawdzenie i oszacowanie niezbdnych wymagao do zastosowania ochrony BitLocker pod
ktem sprztu, oprogramowania oraz oprogramowania firmware.
4. Dokonanie identyfikacji i wskazanie komputerw, ktre wymagaj zapewnienia ochrony
przez funkcj BitLocker.
5. Dokonanie identyfikacji i oszacowania odpowiedniego poziomu ochrony wymaganego w
organizacji, majc na uwadze moliwod zastosowania kodw PIN lub nonikw pamici USB
z kluczem uruchomienia, biorc pod uwag, fakt, i system nie uruchomi si poprawnie bez
dodatkowych zabezpieczeo.
6. Instalacja niezbdnych sterownikw w systemie testowym.
7. Wykorzystanie obiektw zasad grup (GPO) w celu skonfigurowania funkcji BitLocker w
systemach testowych.
8. Po przeprowadzeniu testw naley wdroyd funkcjonalnod BitLocker w rodowisku
produkcyjnym.
9. Stosowanie zasad grup w celu kontrolowania opcji wczenia i zarzdzania poprawn
konfiguracj funkcji BitLocker.
48
49
http://go.microsoft.com/fwlink/?LinkId=140286
http://go.microsoft.com/fwlink/?LinkId=134201
4.4.
Zastosowanie ustawieo zasad grup do wdroenia BitLocker w celu
minimalizacji ryzyka
Poniej przedstawione zostan dwa szablony ustawieo zasad grup, ktre zaleca si stosowad do
zarzdzania konfiguracj funkcji BitLocker. Szablony te umoliwiaj zarzdzanie konfiguracj moduu
TPM oddzielnie od reszty funkcji BitLocker. Ponisza tabela przedstawia ustawienia zasad grup
dostpne dla funkcji BitLocker w szablonie VolumeEncryption.admx. Konfiguracja tych ustawieo
dostpna jest w nastpujcej lokalizacji w narzdziu Edytor obiektw zasad grupy:
Konfiguracja komputera\Szablony administracyjne\Skadniki systemu Windows\Szyfrowanie
dyskw funkcj BitLocker
(Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive
Encryption)
W systemie Windows 8 dostpne s trzy poziomy ustawieo zasady grupowych uporzdkowanych w
ramach tej cieki:
Zasada
Poziom
wanoci
Zapisuj informacje
umoliwiajce
odzyskiwanie dla funkcji
BitLocker w usugach
domenowych w usudze
Active Directory
(systemy Windows
Server 2008 i Windows
Vista)
Wybierz folder
Opcjonalny
Opis
To ustawienie zasad
umoliwia zarzdzanie
kopi zapasow
informacji
odzyskiwania
szyfrowania dyskw
funkcj BitLocker w
usugach
domenowych w
usudze Active
Directory (AD DS,
Active Directory
Domain Services)
Ta zasada dotyczy
tylko komputerw z
systemem Windows
Server 2008 lub
Windows Vista.
To ustawienie zasad
Domylne
ustawienie w
systemie
Windows 8
Ustawienie
zalecane przez
Microsoft
Nie
skonfigurowano
Nie
Nie
Wybierz metod
szyfrowania dyskw i
si szyfrowania
Istotny
Podaj unikatowe
identyfikatory dla
organizacji
Opcjonalny
Zapobiegaj
zastpowaniu pamici
podczas ponownego
uruchamiania
komputera
Opcjonalny
umoliwia okrelenie
domylnej cieki
wywietlanej w
monicie Kreatora
instalacji szyfrowania
dyskw funkcj
BitLocker o
wprowadzenie
lokalizacji folderu, w
ktrym ma zostad
zapisane haso
odzyskiwania.
To ustawienie zasad
umoliwia okrelenie,
czy w Kreatorze
instalacji szyfrowania
dyskw funkcj
BitLocker bdzie
mona wywietlid i
okrelid opcje
odzyskiwania funkcji
BitLocker.
To ustawienie zasad
umoliwia
skonfigurowanie
algorytmu i siy
szyfrowania
uywanych przez
szyfrowanie dyskw
funkcj BitLocker.
Funkcja BitLocker
bdzie uywad
domylnej metody
szyfrowania AES
128
To ustawienie zasad
umoliwia skojarzenie
unikatowych
identyfikatorw
organizacyjnych z
nowym dyskiem, dla
ktrego wczono
funkcj BitLocker.
To ustawienie zasad
steruje wydajnoci
ponownego
uruchamiania
komputera przy
naraeniu na ryzyko
ujawnienia tajnych
kluczy funkcji
skonfigurowano
skonfigurowano
Nie
skonfigurowano
Nie
skonfigurowano
Wczone
AES 256
Nie
skonfigurowano
Nie
skonfigurowano
Nie
skonfigurowano
Nie
skonfigurowano
BitLocker.
Sprawdzaj zgodnod
Opcjonalny To ustawienie zasad
Nie
Nie
uycia certyfikatu karty
umoliwia skojarzenie skonfigurowano skonfigurowano
inteligentnej z reguami
identyfikatora obiektu
pochodzcego z
certyfikatu karty
inteligentnej z
dyskiem chronionym
funkcj BitLocker.
Tabela 4.4.1 Ustawienia globalne szyfrowania dyskw funkcj BitLocker
Powysza tabela zawiera krtki opis dla kadego ustawienia. Wicej informacji na temat konkretnego
ustawienia, znajduje si w zakadce POMOC w ustawieniach w Edytorze obiektw zasad grupy.
Tabela poniej przedstawia ustawienia zasad grupowych dostpne dla moduu TPM w szablonie
TPM.admx. Konfiguracja tych ustawieo dostpna jest w nastpujcej lokalizacji w narzdziu Edytor
obiektw zasad grupy:
Konfiguracja komputera\Szablony administracyjne\System\Usugi moduu TPM
(Computer Configuration\Administrative Templates\System\Trusted Platform Module Services)
Ustawienie zasad
Opis
Domylne ustawienie w
systemie Windows 8
Nie skonfigurowano
Konfigurowanie listy
blokowanych poleceo moduu
TPM
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
Components\BitLocker
Drive
Ponisza tabela przedstawia ustawienia zasad grupowych, ktre s dostpne dla funkcji BitLocker w
szablonie VolumeEncryption.admx. Na poziomie Stae dyski danych nastpujce ustawienia zasad
grupowych s dostpne:
- Oznacza ustawienia zasad grupowych, ktre s nowoci w Windows 8.
Zasada
Wymu typ
szyfrowania dyskw na
staych dyskach
twardych
Poziom
wanoci
Istotny
Opis
To ustawienie zasad
umoliwia
skonfigurowanie typu
szyfrowania
uywanego przez
szyfrowanie dyskw
funkcj BitLocker. Jest
ono stosowane po
wczeniu funkcji
BitLocker. Wybranie
opcji penego
szyfrowania powoduje
szyfrowanie caego
dysku po wczeniu
funkcji BitLocker.
Wybranie opcji
szyfrowania tylko
zajtego miejsca
powoduje po
wczeniu funkcji
BitLocker szyfrowanie
tylko tej czci dysku,
na ktrej s
przechowywane dane.
Domylne
ustawienie w
systemie
Windows 8
Ustawienie
zalecane przez
Microsoft
Nie
skonfigurowano
Nie
skonfigurowano
Krytyczny
Odmawiaj dostpu do
zapisu do dyskw
staych niechronionych
funkcj BitLocker
Istotny
Zezwalaj na dostp do
staych dyskw danych
chronionych funkcj
BitLocker ze starszych
wersji systemu
Windows
Krytyczny
Konfiguruj uywanie
hase dla staych
dyskw danych
Istotny
To ustawienie zasad
umoliwia okrelenie,
czy mona uywad kart
inteligentnych do
uwierzytelniania
dostpu uytkownika
do staych dyskw
danych w komputerze,
ktre s chronione
funkcj BitLocker.
To ustawienie zasad
okrela, czy ochrona
funkcj BitLocker jest
wymagana, aby
komputer umoliwia
zapisywanie na staych
dyskach danych. To
ustawienie zasad jest
stosowane po
wczeniu funkcji
BitLocker.
To ustawienie zasad
okrela, czy stae dyski
danych sformatowane
za pomoc systemu
plikw FAT mona
odblokowywad i
przegldad na
komputerach z
systemem
operacyjnym Windows
Server 2008, Windows
Vista, Windows XP z
dodatkiem Service
Pack 3 (SP3) lub
Windows XP z
dodatkiem Service
Pack 2 (SP2).
To ustawienie zasad
okrela, czy do
odblokowania staych
dyskw z danymi
chronionych funkcj
BitLocker jest
wymagane haso. Jeli
zostanie wybrana
opcja zezwalania na
uywanie hasa, bdzie
mona wymagad
uywania hasa,
wymuszad
Nie
skonfigurowano
Wczone
Wymagaj uycia
kart
inteligentnych
na staych
dyskach
twardych
Nie
skonfigurowano
Nie
skonfigurowano
Nie
skonfigurowano
Wyczone
Nie
skonfigurowano
Wyczone
przestrzeganie
wymagao dotyczcych
zoonoci hasa oraz
skonfigurowad
minimaln dugod
hasa.
Krytyczny
To ustawienie zasad
umoliwia okrelenie,
w jaki sposb bd
odzyskiwane stae
dyski danych
chronione funkcj
BitLocker w przypadku
braku wymaganych
powiadczeo.
Nie
skonfigurowano
Wczone
Zezwalaj na
uywanie
agenta
odzyskiwania
danych
Zezwalaj na
uywanie 48cyfrowego hasa
odzyskiwania
Zezwalaj na
uywanie 256bitowego klucza
odzyskiwania
Zapisz
informacje
odzyskiwania
funkcji BitLocker
w usugach AD
DS
Ponisza tabela przedstawia ustawienia zasad grupowych, ktre s dostpne dla funkcji BitLocker w
szablonie VolumeEncryption.admx. Na poziomie Dyski z systemem operacyjnym nastpujce
ustawienia zasad grupowych s dostpne:
- Oznacza ustawienia zasad grupowych, ktre s nowoci w Windows 8.
Zasada
Poziom
wanoci
Wymu typ
szyfrowania dyskw na
dyskach z systemem
operacyjnym
Wymagaj dodatkowego
uwierzytelniania przy
uruchamianiu
Krytyczny
Opis
To ustawienie zasad
umoliwia
skonfigurowanie typu
szyfrowania
uywanego przez
szyfrowanie dyskw
funkcj BitLocker. Jest
ono stosowane po
wczeniu funkcji
BitLocker. Jeli dysk
zosta ju
zaszyfrowany lub trwa
proces szyfrowania,
zmiana typu
szyfrowania nie
przyniesie efektu.
Wybranie opcji
penego szyfrowania
powoduje szyfrowanie
caego dysku po
wczeniu funkcji
BitLocker. Wybranie
opcji szyfrowania tylko
zajtego miejsca
powoduje po
wczeniu funkcji
BitLocker szyfrowanie
tylko tej czci dysku,
na ktrej s
przechowywane dane.
To ustawienie zasad
umoliwia okrelenie,
czy funkcja BitLocker
bdzie wymagad
dodatkowego
uwierzytelniania przy
kadym uruchomieniu
komputera i czy
funkcja BitLocker ma
byd uywana wraz z
moduem TPM, czy
Domylne
ustawienie w
systemie
Windows 8
Ustawienie
zalecane przez
Microsoft
Nie
skonfigurowano
Nie
skonfigurowano
Nie
skonfigurowano
Wczone
Konfiguruj
uruchomienia
moduu TPM:
Nie zezwalaj na
uywanie
moduu TPM
Konfiguruj
numer PIN
bez niego.
uruchomienia
moduu TPM:
Wymagaj
startowego
kodu PIN z
moduem TPM
Nie zezwalaj
na uywanie
klucza
uruchomienia z
moduem TPM
Nie zezwalaj na
uywania klucza
i numeru PIN
uruchomienia z
moduem TPM
Wymagaj dodatkowego
uwierzytelniania przy
uruchamianiu (systemy
Windows Server 2008 i
Windows Vista)
Zezwalaj na uywanie
rozszerzonych
numerw PIN przy
uruchamianiu
Istotny
Konfiguruj minimaln
dugod numeru PIN
uruchomienia
Krytyczny
To ustawienie zasad
umoliwia okrelenie,
czy Kreator instalacji
szyfrowania dyskw
funkcj BitLocker
bdzie mied
moliwod
skonfigurowania
dodatkowej metody
uwierzytelniania,
ktrej uycie bdzie
wymagane przy
kadym uruchomieniu
komputera.
To ustawienie zasad
umoliwia okrelenie,
czy rozszerzone
numery PIN
uruchomienia bd
uywane z funkcj
BitLocker.
To ustawienie zasad
umoliwia
skonfigurowanie
minimalnej dugoci
numeru PIN
uruchomienia moduu
TPM. To ustawienie
zasad jest stosowane
po wczeniu funkcji
BitLocker. Minimalna
dugod numeru PIN
Nie
skonfigurowano
Nie
skonfigurowano
Wczone
Nie
skonfigurowano
Wczone
Minimalna
liczba znakw: 7
Wczone
Krytyczny
uruchomienia to 4
cyfry, a maksymalna
to 20 cyfr.
To ustawienie zasad
umoliwia okrelenie,
w jaki sposb bd
odzyskiwane dyski z
systemem
operacyjnym
chronione funkcj
BitLocker przy braku
wymaganych
informacji o kluczu
uruchomienia.
Nie
skonfigurowano
Wczone
Zezwalaj na
uywanie 48cyfrowego hasa
odzyskiwania
Nie zezwalaj na
uywanie 256bitowego klucza
odzyskiwania
Usuo opcje
odzyskiwania z
Kreatora
instalacji funkcji
BitLocker
Zapisz
informacje
odzyskiwania
funkcji BiLocker
w usugach AD
DS. dla dyskw z
systemem
operacyjnym
Konfiguruj
magazyn
informacji
odzyskiwania
funkcji BitLocker
w usugach AS
DS.
Przechowuj
hasa
odzyskiwania i
pakiety kluczy
Nie wczaj
funkcji
BitLocker,
dopki
informacje
odzyskowania
dla dyskw z
systemem
operacyjnym
nie bd
przechowywane
w usugach AD
DS.
Konfiguruj profil
sprawdzania
poprawnoci platformy
moduu TPM (Windows
Vista, Windows Server
2008, Windows 7,
Windows Server
2008R2)
Istotny
To ustawienie zasad
Nie
umoliwia
skonfigurowano
skonfigurowanie
sposobu
zabezpieczenia klucza
szyfrowania funkcji
BitLocker przez
zabezpieczenia
sprztowe moduu
TPM. To ustawienie
zasad nie jest
stosowane, gdy
komputer nie ma
zgodnego moduu
TPM ani gdy funkcja
BitLocker zostaa ju
wczona z ochron za
pomoc moduu TPM.
Tabela 4.4.4 Ustawienia dyski z systemem operacyjnym
Nie
skonfigurowano
Powysza tabela zawiera krtki opis dla kadego ustawienia. Wicej informacji na temat konkretnego
ustawienia, znajduje si w zakadce POMOC w ustawieniach w Edytorze obiektw zasad grupy.
Polityka bezpieczeostwa powinna skutecznie wspierad procedury dotyczce hase i procedury
zarzdzania kluczami stosowane dla funkcji BitLocker. Polityka ta powinna byd na tyle wszechstronna,
aby wystarczajco zabezpieczyd informacje, i jednoczenie nie utrudniad wsparcia normalnej pracy
funkcji BitLocker. Ponisza lista zawiera przykady takich zasad:
Zalecane jest stosowanie procedur, ktre zabraniaj przechowywania nonikw pamici USB
zawierajcych klucz uruchomienia wraz komputerem ( np. wsplna torba, czy pozostawienie
klucza USB w pobliu komputera)
Zalecane jest stosowanie bezpiecznej centralnej lokalizacji do przechowywania kluczy
odzyskiwania BitLocker w przypadku odzyskiwania danych po awarii.
Zalecane jest przechowywanie kopii materiaw zawierajcych informacje niezbdne do
odzyskiwania danych zaszyfrowanych w bezpiecznym miejscu poza gwn lokalizacj
organizacji.
4.5.
Ochrona danych przechowywanych na wymiennych dyskach danych z
zastosowaniem funkcji BitLocker To Go
Funkcja BitLocker To Go dostpna jest tylko w edycjach Professional i Enterprise systemw Windows
8. Na komputerach pracujcych pod kontrol systemw operacyjnych Windows 8 moliwe jest
skonfigurowanie urzdzeo USB, tak, aby wspieray funkcj BitLocker To Go. Pozostae edycje systemu
Windows 8, mog odczytad dane z zaszyfrowanego dysku USB i zapisad dane poza tym dyskiem USB,
ale nie mog skonfigurowad nowych urzdzeo USB do obsugi funkcji BitLocker To Go. Funkcja
BitLocker To Go pozwala na szyfrowanie dyskw przenonych i umoliwia korzystanie z tych urzdzeo
na innych komputerach, pod warunkiem posiadania odpowiedniego hasa. W tym scenariuszu
moliwe jest zastosowanie BitLocker To Go w celu ochrony danych na wymiennych dyskach, takich
jak zewntrzne dyski IEEE 1394, karty pamici, lub pamici flash USB. Funkcja BitLocker To Go
pomaga organizacjom na zabezpieczenie danych przechowywanych na tych nonikach przed
nieautoryzowanym dostpem nawet, jeli nonik zostanie zgubiony lub skradziony.
Ocena ryzyka
Przenone noniki danych stanowi istotne i kluczowe zagroenie dla wanych i wraliwych danych w
organizacji. Urzdzenia te szybko stay si powszechne z uwagi na cen i prostot stosowania
umoliwiajc jednoczenie moliwod kopiowania i przenoszenia bardzo duych iloci danych w
bardzo krtkim czasie. Dodatkowo komputery przenone i urzdzenia pamici flash USB s czsto
naraone na zagroenia zwizane z utrat i kradzie podczas ich przewoenia. Scenariusze te
powoduj, e dane wraliwe mog trafid do rk niepowoanych osb i na razid organizacj na
ogromne straty.
Minimalizacja Ryzyka
W celu zmniejszenia zagroenia zwizanego z powyszym ryzykiem, organizacje stosuj rne
ograniczenia zwizane z zakazem stosowania urzdzeo, wyczaniem portw i urzdzeo USB oraz
50
51
http://www.microsoft.com/pl-pl/windows/enterprise/products-and-technologies/mdop/mbam.aspx
http://onlinehelp.microsoft.com/en-us/mdop/gg703313.aspx
IEEE 1394, a take konfigurowanie komputerw chronic sekwencj startow w taki sposb, e
system bdzie si uruchamiad tylko, gdy bdzie to autoryzowany start wymagajcy dodatkowego
uwierzytelnienia. Ponadto, podejmowane s kroki w celu zapewnienia ochrony plikw systemu
operacyjnego i plikw danych. BitLocker To Go zapewnia skuteczn warstw ochronn, co oznacza,
e nawet, jeli atakujcy uzyska fizyczny dostp do dysku, to taka sytuacja nie musi jednoznacznie
oznaczad, e atakujcy ma dostp do danych zapisanych na dysku. Korzystajc z zasad grupowych,
organizacje mog wymusid, aby dyski wymienne korzystay z funkcji BitLocker To Go, przed tym
zanim dane zostan skopiowane na urzdzenie, wszystko po to, aby chronid dysk przed
nieautoryzowanym dostpem.
Zagadnienia minimalizacji ryzyka wymagajce rozwaenia
BitLocker To Go moe zmniejszyd zagroenie zdefiniowane w poprzedniej sekcji Ocena ryzyka,
jednak przed zastosowaniem funkcji BitLocker na wymiennych dyskach danych, wane jest, aby wzid
pod uwag nastpujce wymagania i najlepsze praktyki dla tej funkcji ochrony danych:
52
http://technet.microsoft.com/en-us/library/dd875532(WS.10).aspx
4.6.
Zastosowanie ustawieo zasad grup do wdroenia BitLocker To Go w
celu minimalizacji ryzyka
Ponisza tabela przedstawia ustawienia zasad grup dostpne dla funkcji BitLocker To Go w szablonie
VolumeEncryption.admx. Konfiguracja tych ustawieo dostpna jest w nastpujcej lokalizacji w
narzdziu Edytor obiektw zasad grupy:
Konfiguracja komputera\Szablony administracyjne\Skadniki systemu Windows\Szyfrowanie
dyskw funkcj BitLocker\Wymienne dyski danych
(Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive
Encryption\Removable Data Drives)
Na poziomie globalnym ustawieo nastpujce ustawienia zasad grupowych s dostpne:
53
54
http://go.microsoft.com/fwlink/?LinkId=140286
http://go.microsoft.com/fwlink/?LinkId=134201
Zasada
Poziom
wanoci
Wymu typ
szyfrowania dyskw na
wymiennych dyskach
danych
Istotny
Istotny
Krytyczny
Opis
To ustawienie zasad
umoliwia
skonfigurowanie typu
szyfrowania
uywanego przez
szyfrowanie dyskw
funkcj BitLocker. Jest
ono stosowane po
wczeniu funkcji
BitLocker. Jeli dysk
zosta ju
zaszyfrowany lub trwa
proces szyfrowania,
zmiana typu
szyfrowania nie
przyniesie efektu.
Wybranie opcji
penego szyfrowania
powoduje
szyfrowanie caego
dysku po wczeniu
funkcji BitLocker.
Wybranie opcji
szyfrowania tylko
zajtego miejsca
powoduje po
wczeniu funkcji
BitLocker szyfrowanie
tylko tej czci dysku,
na ktrej s
przechowywane dane.
To ustawienie zasad
kontroluje uycie
funkcji BitLocker na
wymiennych dyskach
danych.
To ustawienie zasad
umoliwia okrelenie,
czy mona uywad
kart inteligentnych do
uwierzytelniania
dostpu uytkownika
do wymiennych
dyskw danych w
komputerze, ktre s
Domylne
ustawienie w
systemie
Windows 8
Ustawienie
zalecane przez
Microsoft
Nie
Nie
skonfigurowano skonfigurowano
Nie
Nie
skonfigurowano skonfigurowano
Nie
Wczone
skonfigurowano
Wymagaj uycia
kart
inteligentnych na
wymiennych
dyskach danych
Odmawiaj dostpu do
zapisu do dyskw
wymiennych
niechronionych funkcj
BitLocker
Istotny
Zezwalaj na dostp do
wymiennych dyskw
danych chronionych
funkcj BitLocker ze
starszych wersji
systemu Windows
Istotny
Istotny
Krytyczny
chronione funkcj
BitLocker.
To ustawienie zasad
okrela, czy ochrona
funkcj BitLocker jest
wymagana, aby
komputer umoliwia
zapisywanie danych
na wymiennym dysku
danych.
To ustawienie zasad
okrela, czy wymienne
dyski danych
sformatowane za
pomoc systemu
plikw FAT mona
odblokowywad i
przegldad na
komputerach z
systemem
operacyjnym
Windows Server 2008,
Windows Vista,
Windows XP z
dodatkiem Service
Pack 3 (SP3) lub
Windows XP z
dodatkiem Service
Pack 2 (SP2).
To ustawienie zasad
okrela, czy do
odblokowania
wymiennych dyskw z
danymi chronionych
funkcj BitLocker jest
wymagane haso. Jeli
zostanie wybrana
opcja zezwalania na
uywanie hasa,
bdzie mona
wymagad uywania
hasa, wymuszad
przestrzeganie
wymagao dotyczcych
zoonoci hasa oraz
skonfigurowad jego
minimaln dugod.
To ustawienie zasad
umoliwia okrelenie,
w jaki sposb bd
Nie
Wczone
skonfigurowano
Nie zezwalaj na
dostp do zapisu
do urzdzeo
skonfigurowanych
w innej
organizacji
Nie
Wyczone
skonfigurowano
Nie
Wyczone
skonfigurowano
Nie
Wczone
skonfigurowano
Zezwalaj na
funkcj BitLocker
odzyskiwane
wymienne dyski
danych chronione
funkcj BitLocker w
przypadku braku
wymaganych
powiadczeo.
uywanie agenta
odzyskiwania
danych
Nie zezwalaj na
uywanie 48cyfrowego hasa
odzyskiwania
Nie zezwalaj na
uywanie 256bitowego klucza
odzyskiwania
Usuo opcje
odzyskiwania z
Kreatora instalacji
funkcji bitlocker
Wykonaj kopie
zapasowe hase
odzyskiwania i
pakietw kluczy
4.7.
4.8.
Standard FIPS 140-1 okrela wymagania, ktre musz speniad sprztowe i programowe moduy
kryptograficzne suce do szyfrowania danych, ktre s wane, ale nie poufne (SBU).
Standard FIPS dostpny by w poprzedniej wersji systemu zmiany Windows 8.1 zawieraj midzy
innymi:
Ochrona odzyskiwania hase zgodna z FIPS moe byd utworzona w momencie, gdy Windows pracuje
w trybie FIPS, kiedy moliwe jest potwierdzenie jego algorytmw.
Odzyskane hasa utworzone w trybie FIPS w Windows 8.1 mog byd rozrniane od odzyskanych
hase w innych systemach.
Kiedy odzyskane haso zgodne z FIPS odblokuje dyski, to pozwalaj one na prac w trybie
zapis/odczyt nawet, jeli pracuj w trybie FIPS.
Moliwe jest eksportowanie i przechowywanie w AD odzyskanych hase zgodnych z FIPS jeli
pracujemy w trybie FIPS.
4.9.
System szyfrowania plikw (EFS) pozwala na zaszyfrowanie plikw i folderw w celu zabezpieczenia
ich przed nieautoryzowanym dostpem. Funkcjonalnod ta jest jednym z elementw systemu plikw
NTFS i jest cakowicie przezroczysta dla uytkownika i aplikacji. Podczas normalnej pracy, kiedy
uytkownik lub aplikacja prbuje uzyskad dostp do zaszyfrowanego pliku, system operacyjny w
sposb automatyczny uzyskuje dostp do klucza deszyfrujcego zawartod pliku, operacja
szyfrowania i deszyfrowania odbywa si w tle a system wykonuje te dziaania w imieniu uytkownika.
Uytkownicy, ktrzy posiadaj dostp do waciwych kluczy szyfrujcych pracuj z plikami
zaszyfrowanymi tak samo jak z innymi plikami, podczas gdy inni uytkownicy otrzymuj odmow
dostpu do plikw zaszyfrowanych.
W systemie Windows 8 wprowadzono zmiany w architekturze, ktre w chwili obecnej wspieraj
kryptografi oparta na krzywych eliptycznych ( ECC ang. Eliptic Curve Cryptography).
Funkcjonalnod ta jest zgodna z wymaganiami SUITE B, zestawem algorytmw kryptograficznych
zdefiniowanych przez NSA (National Security Agency) na potrzeby amerykaoskich agencji rzdowych
w celu zapewnienie ochrony informacji niejawnych. Zdefiniowany zestaw Suite B wymaga
zastosowania kryptograficznych algorytmw AES, SHA oraz ECC w celu zapewnienia najwyszego
stopnia ochrony i nie zezwala na stosowanie algorytmw kryptografii RSA, ale system szyfrowania
plikw (EFS) w systemie Windows 8 wspiera i obsuguje nowy tryb mieszany obsugujcy algorytmy
ECC i RSA. Tryb ten zapewnia zgodnod plikw zaszyfrowanych utworzonych przy zastosowaniu
algorytmw dostpnych w poprzednich wersjach systemw Windows. Funkcjonalnod ta moe byd
bardzo uyteczna dla organizacji, ktre stosuj kryptograficzne algorytmy RSA i jednoczenie
zamierzaj ju wykorzystywad algorytmy ECC w celu przygotowania wasnego rodowiska do
zapewnienia zgodnoci z zestawem Suite B.
Uwaga: Zaleca si stosowanie rwnoczesne mechanizmw BitLocker oraz EFS w celu zapewnienia
najwyszego stopnia ochrony danych.
Ocena ryzyka
Nieautoryzowany dostp do danych moe wpynd negatywnie na procesy w organizacji, zwaszcza w
tam, gdzie wielu uytkownikw ma dostp do tego samego systemu lub korzysta z przenonych
systemw komputerowych, co w rezultacie powoduje due ryzyko ujawnienia danych. EFS zosta
zaprojektowany w celu minimalizacji ryzyka kradziey danych oraz ujawnienia wraliwych danych w
Minimalizacja Ryzyka
W celu zmniejszenia zagroenia zwizanego z powyszym ryzykiem, zaleca si zaszyfrowanie danych
przechowywanych na dyskach twardych. Ulepszenia w technologii EFS zastosowane w systemie
Windows 8 pozwol na zmniejszenie nastpujcego ryzyka i wymusz zwikszenie bezpieczeostwa:
Naley stosowad szyfrowanie (EFS) plikw i folderw, aby uniemoliwid atakujcemu odczyt
plikw za porednictwem innego systemu operacyjnego, ktry wymaga uzyskania
stosownego klucza deszyfrujcego w celu odszyfrowania zawartoci pliku. Klucz taki moe
zostad umieszczony na karcie inteligentnej w celu zapewnienia zwikszenia bezpieczeostwa.
Naley wymuszad silne mechanizmy szyfrowania stosowane przez EFS poprzez zastosowanie
zasad grup.
Naley udaremnid dziaania atakujcej osoby, ktra prbuje uzyskad dostp do danych
uytkownika poprzez przeprowadzenie ataku siowego na haso uytkownika stosujc karty
inteligentne, jako magazyn dla kluczy szyfrujcych EFS lub stosujc poczenie obu
4.10.
Szczegowe ustawienia systemu EFS zapewniajce ochron
wraliwych danych
W celu zarzdzania konfiguracj systemu szyfrowania plikw EFS poprzez mechanizm zasad grup,
dostpne jest kilka ustawieo konfiguracyjnych. Konfiguracja ustawieo dostpna jest w nastpujcej
lokalizacji:
Konfiguracja Komputera\Ustawienia systemu Windows\Ustawienie zabezpieczeo\Zasady kluczy
publicznych\System szyfrowania plikw
(Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Encrypting File
System)
W celu dodania lub utworzenia agenta odzyskiwania danych (DRA ang. Data Recovery Agent) naley
kliknd prawym przyciskiem myszki System szyfrowania plikw a nastpnie wybrad Dodaj agenta
odzyskiwania danych
W celu wywietlenia ustawieo dotyczcych EFS naley prawym przyciskiem myszki System
szyfrowania plikw a nastpnie kliknd na opcj Waciwoci w celu otworzenia okna Waciwoci:
System szyfrowania plikw.
55
http://support.microsoft.com/default.aspx?scid=kb;en-us;223316
Domylne ustawienie w
systemie Windows 8
Nie skonfigurowano
szyfrowania plikw
aktualizowane.
EncryptFilesonMove.admx
OfflineFiles.admx
Szyfruj pamid podrczn
plikw offline
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
4.11.
Usugi zarzdzania prawami do informacji (RMS ang. Rights Management Services) zostay
zaprojektowane w celu zapewnienia ochrony i egzekwowania zasad uytkowania zawartoci
wraliwych treci informacji przechowywanych w wiadomociach poczty elektronicznej,
dokumentw, zawartoci stron internetowych oraz innych rodzajw informacji. RMS zapewnia
bezpieczeostwo zawartoci dokumentw przez trway mechanizm szyfrowania informacji i
przypisania praw uytkowania zawartoci. Zawartod kadej wiadomoci pocztowej oraz pliku
podczas przesyania jej przez sied w organizacji lub sied internet z zastosowaniem rozwizania RMS,
dostpna jest tylko i wycznie dla uytkownikw uwierzytelnionych i upowanionych poprzez
nadanie uprawnieo. Kada nieuprawniona osoba pomimo dostpu do pliku nie bdzie wstanie
odczytad treci tej informacji, ktra jest chroniona poprzez odpowiednio nadane uprawnienia i
mechanizm szyfrowania. RMS skada si trzech gwnych komponentw:
Serwer RMS system Windows 8 wymaga Usugi zarzdzania prawami dostpu w systemie
Windows dla systemu Windows Server 2003 lub nowszy.
Uwaga: Pomimo, i oprogramowanie klienta usug zarzdzania prawami (RMS) wbudowane jest w
systemie Windows 8, to wymaga zakupienia oddzielnej licencji dostpowej RMS CAL, aby mc
skorzystad z tego oprogramowania.
Ocena ryzyka
Usugi zarzdzania prawami (RMS) pozwalaj na zmniejszenie ryzyka w organizacjach, w ktrych
nieuprawnione osoby mog zapoznad si i przejrzed dane wraliwe. Informacje wraliwe mog zostad
rozpowszechnione lub udostpnione osobom nieuprawnionym w wyniku pomyki lub zaplanowanych
dziaao zoliwych. Kilka przykadw zawierajcych moliwe scenariusze ryzyka opisano poniej:
Minimalizacja Ryzyka
W celu skutecznej ochrony danych wspdzielonych poprzez wsppracownikw poprzez zasoby
sieciowe niezalenie od mechanizmu ich wykorzystania, zaleca si zabezpieczenie zawartoci
informacji korzystajc z usugi zarzdzania prawami do informacji (RMS). Mechanizm RMS doskonale
chroni tred informacji, ktre s przesyane pomidzy serwerami, urzdzeniami oraz wspdzielonymi
zasobami sieciowymi. Informacja, ktra zostaa pozyskana w sposb nieautoryzowany nadal
pozostaje w postaci zabezpieczonej i zaszyfrowanej przez mechanizm RMS.
56
4.12.
Ustawienia zasad grup do konfigurowania usugi zarzdzania prawami (RMS) nie s czci instalacji
systemu Windows 8. RMS to przede wszystkim rozwizanie oparte na konfiguracji serwera, w
zwizku z powyszym konfiguracja usugi zarzdzania prawami (RMS) powinna byd wykonana na
serwerze penicego rol serwera RMS. Ponadto aplikacje wsppracujce z rozwizaniem usugi
zarzdzania prawami (RMS) mog posiadad indywidulane ustawienia, ktre okrelaj, w jaki sposb
zarzdzad chronion zawartoci informacji.
4.13.
Technologia urzdzeo Plug and Play (PnP) daje uytkownikom du swobod w uytkowaniu
wszelkich urzdzeo w tym rwnie przenonych na ich stacjach roboczych. Z drugiej strony
urzdzenia takie jak pamici przenone USB lub przenone dyski twarde stanowi powane problemy
i wyzwania w utrzymaniu waciwego poziomu bezpieczeostwa dla administratorw i pracownikw
IT. Zagroenie to, to nie tylko trudnod w utrzymaniu i zarzdzaniu instalacji niekompatybilnego i
nieautoryzowanego sprztu na stacji klienckich, ale rwnie sytuacja ta stwarza powane zagroenie
dla bezpieczeostwa przetwarzanych danych. W systemie Windows 8 wprowadzono szereg zmian w
zasadach grup, ktre maj pomc administratorom IT w zarzdzaniu i kontroli kadej prby instalacji
nieobsugiwanych i nieautoryzowanych urzdzeo. Wane jest jednak, aby mied wiadomod, i kade
urzdzenie zainstalowane w systemie, dostpne jest dla kadego uytkownika tego systemu a nie
tylko dla konkretnego uytkownika. System Windows 8, Windows 7 oraz Windows Vista zapewniaj
wsparcie na poziomie uytkownika w zapewnieniu kontroli dostpu w trybie do odczytu lub zapisu
dla urzdzenia zainstalowanego w systemie. Na przykad, mona zapewnid peny dostp do zapisu i
odczytu do zainstalowanego urzdzenia, takiego, jako przenona pamid USB dla specyficznego
uytkownika, a dla innych uytkownikw ju tylko dostp do odczytu dla tego urzdzenia na tym
samym komputerze. Wicej informacji na temat zarzdzania i instalacji urzdzeo oraz w jaki sposb
ustawienia zasad grupowych mog pomc w utrzymaniu i zarzdzaniu urzdzeo, mona przeczytad w
artykule Step-By-Step Guide to Controlling Device Installation Using Group Policy57
Ocena ryzyka
Nieautoryzowane dodawanie lub usuwanie urzdzeo do komputerw stanowi bardzo wysokie
zagroenie dla bezpieczeostwa organizacji, poniewa dziaania takie mog pozwolid atakujcemu na
uruchomienie szkodliwego oprogramowania, usunicie danych oraz zainstalowanie oprogramowania
lub innych danych. Urzdzenia te stanowi gwne rdo wycieku danych. Kilka przykadw
zawierajcych moliwe scenariusze ryzyka przedstawiono poniej:
57
dyskw twardych (noniki zewntrzne), czynnoci te mog zostad wykonane w sposb wiadomy
lub niewiadomy przez uytkownikw. Sytuacja taka moe obejmowad kopiowanie danych z
zaszyfrowanych nonikw danych lub lokalizacji do nieautoryzowanych i nieszyfrowanych
oglnodostpnych pamici przenonych.
Atakujcy moe zalogowad si do komputerw autoryzowanych uytkownikw, a nastpnie
skopiowad dane na noniki pamici przenonych.
Atakujcy moe wykorzystad noniki pamici przenonych lub udziay sieciowe zawierajce
oprogramowanie szkodliwe w celu automatycznego uruchomienia skryptu wykorzystujc
mechanizm auto uruchomienia (ang. AutoRun) w celu instalacji oprogramowania zoliwego na
nienadzorowanych komputerach klienckich.
Atakujcy moe zainstalowad nieautoryzowane oprogramowanie lub urzdzenie przechwytujce
wszystkie wprowadzane dane z klawiatury (ang. Keyloger), ktre mog zostad wykorzystane do
przechwycenia nazwy konta, hasa lub innych danych wraliwych w celu przeprowadzenia
pniejszego ataku.
Minimalizacja Ryzyka
W celu zmniejszenia zagroenia zwizanego z powyszym ryzykiem, zaleca si ochron systemw
komputerowych ze szczeglnym uwzgldnieniem kontroli i nadzoru instalacji oraz uytkowania
nieautoryzowanych urzdzeo podczanych do komputerw. Do kontroli i nadzoru urzdzeo PnP,
takich jak pamici przenone USB lub przenone dyski twarde mona wykorzystad ustawienia zasad
grup.
Zagadnienia minimalizacji ryzyka wymagajce rozwaenia
Zastosowanie ustawieo zasad grup dotyczcych instalacji urzdzeo w systemie Windows 8 moe
zmniejszyd zagroenie zdefiniowane w poprzedniej sekcji Ocena ryzyka. Jednak przed wdroeniem
ustawieo dotyczcych instalacji i zarzdzania urzdzeo w komputerach klienckich, wane jest, aby
wzid pod uwag nastpujce zagadnienia zwizane z minimalizacj ryzyka:
odpowiednich typw urzdzeo i okrelid czy wykorzystanie tych urzdzeo jest zabronione czy
zezwolone w rodowisku organizacji.
Proces minimalizacji ryzyka
Poniej przedstawiono proces minimalizacji ryzyka w celu oszacowania i wdroenia najlepszych
praktyk dla instalacji i zarzdzania urzdzeniami w systemie Windows 8, aby zapewnid ochron
wraliwych danych znajdujcych si zarzdzanych na komputerach:
W celu minimalizacji ryzyka zaleca si zastosowanie czynnoci:
1. Sprawdzenie i przeprowadzenie testw dotyczcych zagadnienia instalacji i zarzdzania
urzdzeniami w systemie Windows 8
Uwaga: W celu uzyskania dodatkowych informacji na ten temat, naley zapoznad si z
dokumentami: Step-By-Step Guide to Controlling Device Installation Using Group Policy58
umieszczonych na stronach witryny Microsoft.
2. Oszacowanie potrzeby wdroenia mechanizmu instalacja i zarzdzanie urzdzeniami w
systemie Windows 8.
3. Sprawdzenie i przeprowadzenie testw dotyczcych ustawieo zasad grup dla mechanizmu
instalacja i zarzdzanie urzdzeniami w systemie Windows 8.
4. Dokonanie identyfikacji niezbdnych urzdzeo przenonych pracujcych w rodowisku
organizacji, i przygotowanie listy ustawieo dla tych urzdzeo ze szczeglnym uwzgldnieniem
identyfikatorw sprztu (ang. Hardware ID) oraz identyfikatorw zgodnych(ang. Compatible
ID).
5. Dokonanie identyfikacji i wskazanie komputerw oraz uytkownikw, ktrzy wymagaj
codziennej pracy z urzdzeniami przenonymi.
6. Wdroenie i zastosowanie ustawieo zasad grupowych w celu wczenia moliwoci instalacji
niezbdnych i odpowiednich klas urzdzeo.
7. Wdroenie i zastosowanie ustawieo zasad grupowych w celu wczenia moliwoci instalacji
na wybranych komputerach, na ktrych jest to niezbdne do codziennej pracy.
4.14.
Zastosowanie ustawieo zasad grupowych do nadzorowania instalacji
urzdzeo
W celu nadzorowania instalacji i zarzdzania urzdzeo rekomendowane jest zastosowanie ustawieo
zasad grupowych dostpnych w szablonie zasad grupowych Deviceinstallation.admx. Tabela poniej
przedstawia zasady grupowe dostpne w tym szablonie. Konfiguracja tych ustawieo dostpna jest w
gazi:
Konfiguracja komputera\Szablony administracyjne\System\Instalacja urzdzenia\Ograniczenia
dotyczce instalacji urzdzeo
(Computer Configuration\Administrative Templates\System\Device Installation\Device Installation
Restrictions)
58
http://go.microsoft.com/fwlink/?LinkId=130390
Ustawienie zasad
Opis
Domylne ustawienie w
systemie Windows 8
Nie skonfigurowano
Zezwalaj administratorom na
zastpowanie zasad
ograniczajcych instalacj
urzdzeo
Nie skonfigurowano
To ustawienie zasad umoliwia
okrelenie listy unikatowych
identyfikatorw globalnych (GUID)
klasy konfiguracji urzdzeo dla
sterownikw urzdzeo, ktrych
instalacja w systemie Windows ma byd
dozwolona.
Jeli to ustawienie zasad zostanie
wczone, w systemie Windows bdzie
dozwolona instalacja lub aktualizacja
sterownikw urzdzeo, ktrych
identyfikatory GUID klasy konfiguracji
urzdzeo znajduj si na utworzonej
licie, chyba e inne ustawienie zasad
zapobiega instalacji (np. ustawienie
zasad Zapobiegaj instalacji urzdzeo
o identyfikatorach odpowiadajcych
tym identyfikatorom urzdzeo,
Zapobiegaj instalacji urzdzeo tych
klas lub Zapobiegaj instalacji
urzdzeo wymiennych).
Nie skonfigurowano
Wywietl niestandardowy
komunikat, jeli ustawienie zasad
uniemoliwia instalacj
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
4.15.
Opis
To ustawienie zasad pozwala zapobiec
instalacji urzdzeo, ktre nie s w
sposb wyrany opisane w adnym
innym ustawieniu zasad.
Domylne ustawienie w
systemie Windows 8
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
wymiennych CD i DVD.
Klasy niestandardowe: odmowa
dostpu do odczytu
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
To ustawienie zasad powoduje
odmow dostpu do zapisu do dyskw
wymiennych.
Nie skonfigurowano
To ustawienie zasad ma
pierwszeostwo przed wszystkimi
ustawieniami zasad dla
poszczeglnych magazynw
wymiennych. Aby zarzdzad
poszczeglnymi klasami, naley uyd
ustawieo zasad dla kadej klasy.
Wszystkie magazyny wymienne:
Zezwalaj na dostp bezporedni
w sesjach zdalnych
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
4.16.
Zastosowanie ustawieo zasad grup do kontroli i blokowania funkcji
autostartu i autoodtwarzania
Szablon Autoplay.admx zawiera nastpujce ustawienia majce wpyw na zachowanie funkcji
autoodtwarzania i autouruchamiania dla wymiennych urzdzeo magazynujcych oraz nonikw
wymiennych w systemie Windows 8. Konfiguracja tych ustawieo dostpna jest w gazi:
Konfiguracja komputera\Szablony administracyjne\Skadniki systemu Windows\Zasady funkcji
Autoodtwarzanie
(Computer Configuration\Administrative Templates\Windows Components\AutoPlay Policies)
Ustawienie zasad
Wycz funkcj Autoodtwarzanie
Opis
To ustawienie zasad umoliwia
Domylne ustawienie w
systemie Windows 8
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
4.17.
Windows To Go
4.18.
59
http://technet.microsoft.com/library/hh831833.aspx
http://go.microsoft.com/fwlink/?LinkId=153465
61
http://go.microsoft.com/fwlink/?LinkId=113151
62
http://technet.microsoft.com/en-us/library/dd875532(WS.10).aspx
63
http://support.microsoft.com/default.aspx?scid=kb;en-us;223316
64
http://go.microsoft.com/fwlink/?LinkId=140286
65
http://technet.microsoft.com/en-us/library/cc732774.aspx
66
http://go.microsoft.com/fwlink/?LinkId=93005
67
https://www.microsoft.com/technet/technetmag/issues/2006/05/FirstLook/default.aspx
68
http://msdn.microsoft.com/en-us/library/ff546228.aspx
69
http://go.microsoft.com/fwlink/?LinkId=113940
60
70
http://office.microsoft.com/en-us/assistance/HA011513711033.aspx
http://go.microsoft.com/fwlink/?LinkId=130390
72
http://www.microsoft.com/technet/security/topics/cryptographyetc/efs.mspx
73
http://www.trustedcomputinggroup.org/
74
http://go.microsoft.com/fwlink/?LinkId=134201
75
http://go.microsoft.com/fwlink/?LinkId=153465
76
http://technet.microsoft.com/en-us/library/cc507844.aspx
71
5.1.
Testowanie zgodnoci stanowi podstawow czynnod, ktr naley wykonad przed wdroeniem
oprogramowania w rodowisku Windows 8.
Testowanie zgodnoci aplikacji z Windows 8 powinno obejmowad nastpujce kroki.
1. Instalacj Windows 8 na komputerze testowym i zalogowanie si na konto z uprawnieniami
administracyjnymi.
2. Uruchomienie instalacji oprogramowania.
3. W przypadku bdw instalatora naley go uruchomid w trybie Uruchom jako
administrator. Jeli nie s zgaszane bdy kolejnym krokiem jest czynnod w punkcie 5.
4. W przypadku kolejnych bdw naley we waciwociach instalatora ustawid tryb
kompatybilnoci na Windows XP Professional SP3 i powtrzyd czynnod w punkcie 2. W
przypadku dalszych bdw naley wykonad czynnod w punkcie 7.
5. Zalogowanie si na konto bez uprawnieo administracyjnych.
6. Uruchomienie aplikacji. Jeli wywietlane s bdy naley wczyd tryb kompatybilnoci
Windows XP Professional SP3 i ponownie uruchomid aplikacj.
7. Jeli aplikacja uruchomia si prawidowo naley wykonad szereg testw zwizanych z
czynnociami obsugowymi wykonywanymi w ramach testowanego oprogramowania. Po
przejciu wszystkich testw aplikacja jest gotowa do prawidowego dziaania w systemie
Windows 8.
8. Jeli aplikacja nie zainstalowaa si lub nie uruchomia prawidowo, przestaje odpowiadad,
wywietla bdy oznacza problemy z kompatybilnoci i naley przeprowadzid dodatkow
analiz dziaania oprogramowania.
5.2.
Znane problemy zgodnoci aplikacji w kontekcie rozszerzonych
mechanizmw ochrony
Istnieje kilka znanych powodw, dla ktrych kompatybilnod aplikacji nie jest zachowana. Mog one
wynikad z wbudowanych w Windows 8 mechanizmw ochrony, ktre opisane zostay poniej.
5.3.
8.1
W Windows 8 oraz Windows 8.1 wprowadzone zostay zmiany, ktre mog powodowad brak
kompatybilnoci aplikacji firm trzecich. Nale do nich:
5.4.
Omwienie stosowanych narzdzi w celu zapewnienia zgodnoci
aplikacji z systemem Windows 8 oraz Windows 8.1
W ramach Windows 8 oraz Windows 8.1 dostpnych jest wiele narzdzi, ktre przeznaczone s do
zapewnienia kompatybilnoci aplikacji.
Asystent zgodnoci programw
Funkcja Asystent zgodnoci programw stworzona zostaa w celu umoliwienia uruchamiania
aplikacji zaprojektowanych dla wczeniejszych wersji Windows. W sytuacji, kiedy Windows 8 wykryje
aplikacj, ktra wymaga trybu kompatybilnoci dla Windows 2000, Windows XP Professional SP3
bd innych Windows automatycznie ustawia odpowiedni tryb dziaania aplikacji. Asystent zgodnoci
programw uruchamia si automatycznie.
Kreator kompatybilnoci programw
Funkcja ta umoliwia w ramach dostpnego kreatora okrelid problemy kompatybilnoci wybranej
aplikacji i wykryd powody z jednoczesnym zaproponowanej rozwizania. Uruchomienie kreatora
kompatybilnoci programw jest moliwe z poziomu Panelu sterowania, w sekcji Programy po
klikniciu opcji Uruchom programy napisane dla starszych wersji systemu Windows.
Application Compatibility Toolkit (ACT)
Pakiet ACT jest zbiorem narzdzi oraz dokumentacji umoliwiajcy okrelanie i zarzdzanie
aplikacjami w organizacji pod ktem zapewnienia ich kompatybilnoci w rodowisku Windows 8. ACT
umoliwia inwentaryzacj oprogramowania, zarzdzanie aplikacjami krytycznymi oraz wskazywania
rozwizao, ktre zapewni prawidowe wdroenie Windows 8. Pakiet jest dostpny bezpatnie ze
stron Microsoft.
Wirtualizacja Windows
Szereg rozwizao wirtualizacji dostpny w i dla rodziny Windows umoliwia uruchamianie aplikacji
wewntrz maszyny wirtualnej. Dziki przeniesieniu jej dziaania na platform wirtualn zapewniana
jest pena kompatybilnod dziaania.
6. Klient Hyper-V
Windows 8 zawiera Hyper-V, ktry jest technologi wirtualizacji klasy Enterprise stanowic
integraln czd rodowiska Windows Server 2012. Wirtualizacja stanowi rozwizanie umoliwiajce
uruchomienie dodatkowego systemu operacyjnego pracujcego w izolacji, ale z zapewnieniem
dostpu do elementw sprztowych takich jak karty sieciowej czy dyski. Hyper-V sprawdza si w
wielu scenariuszach umoliwiajc testowanie aplikacji, rozwizao IT oraz zapewniajc
kompatybilnod.
Dziki moduowi Hyper-V dla Windows PowerShell uprawnieni administratorzy maj moliwod
zdalnego zarzdzania serwerami z funkcj Hyper-V.
Sieci Hyper-V
Klient Hyper-V umoliwia konfiguracj rnego rodzaju przecznikw wirtualnych, dziki
czemu mona osignd podane rozwizanie zapewniajce komunikacj midzy maszynami
wirtualnymi.
W ramach klienta Hyper-V mona uyd nastpujcych typw przecznikw wirtualnych:
Zewntrzny
Przeczniki tego typu umoliwiaj komunikacj poprzez fizyczn kart sieciow, dziki czemu
kada maszyna wirtualna ma zapewniony dostp do sieci fizycznej.
Wewntrzny
Wewntrzny przecznik wirtualny moe byd uywany tylko przez maszyny wirtualne
uruchomione na tym komputerze fizycznym oraz do komunikacji midzy maszynami
wirtualnymi a komputerem fizycznym. Wewntrzny przecznik wirtualny nie zapewnia
cznoci z sieci fizyczn.
Prywatny
Ten typ przecznika moe byd uywany tylko przez maszyny wirtualne uruchomione na tym
komputerze fizycznym.
Uprawnienia
Dotyczy
Administratorzy
System
Pena kontrola
TwrcaWaciciel
Pena kontrola
Maszyny
wirtualne
Tworzenie plikw/Zapis
danych
Tworzenie
folderw/Doczanie danych
Wywietlanie zawartoci
folderu//Odczyt danych
Odczyt atrybutw
Odczyt atrybutw
rozszerzonych
Odczyt uprawnie
77
http://go.microsoft.com/fwlink/?LinkId=199861
Zarzdzanie ryzykiem i
zgodnoci w caej
organizacji
Enterprise GRC
Zarzdzanie ryzykiem i
zgodnoci w finasach
Zarzdzanie ryzykiem i
zgodnoci w IT
Finance GRC
IT GRC
Zarzdzanie ryzykiem i
zgodnoci w dziaaniach
biznesowych organizacji
Business Operations GRC
IT GRC
Operacje IT
Zarzdzanie
Informacj
Rozwj i
Kontrola Jakoci
Portfel inwestycyjny
i Architektura
Organizacji
\
Procesy IT
Zarzdzanie IT i Bezpieczeostwo
Rys. 7.1 Umiejscowienie IT GRC w strukturze zarzdzania ryzykiem i zgodnoci caej organizacji
7.1.
Wprowadzenie
W rozdziale tym zostay opisane procesy oraz wskazane dodatkowe zasoby opisujce wykorzystanie
IT GRC Process Management Pack dla produktu System Center Service Manager. W celu uzyskania
dodatkowych informacji naley zapoznad si z przewodnikami:
IT GRC Process Management Pack Deployment Guide. Przewodnik ten opisuje proces
wdroenia IT GRC Process Management Pack.
IT GRC Process Management Pack Operations Guide. Przewodnik ten zawiera informacje na
temat wykorzystania IT GRC Process Management Pack oraz budowania wasnych pakietw.
IT GRC Process Management Pack Developers Guide. Przewodnik ten opisuje proces
dostosowania i konfiguracji do wasnych potrzeb IT GRC Process Management Pack.
Wymienione przewodniki dostpne s do pobrania ze strony IT GRC Process Management Pack SP1
for System Center Service Manager78 w dziale Centrum Pobierania Microsoft. W celu uzyskania
dodatkowych informacji naley zapoznad si z dodatkowymi zasobami:
7.2.
IT GRC Process Management Pack dostarcza informacji na temat moliwoci i sposobu zarzdzania
procesem IT GRC w obrbie caej organizacji oraz okrela moliwoci automatyzacji tego procesu. IT
GRC Process Management Pack dostarcza moliwoci wykorzystania poprzez importowanie
gotowych bibliotek zgodnoci ze standardami, ktre mog byd zastosowane w celu okrelenie
punktw kontrolnych niezbdnych dla wymagao stawianych systemowi IT GRC w organizacjach.
Biblioteki zgodnoci przeznaczone dla IT GRC Process Management Pack okrelaj punkty kontrolne
wykorzystywane do zapewnienia zgodnoci z dokumentami organw nadrzdnych IT GRC, powoujc
si na wytyczne okrelone przez midzynarodowe, rzdowe oraz branowe instytucje opracowujce
oglne wytyczne IT GRC. Dokumenty te zawieraj wytyczne oraz okrelaj wymagania szczegowe
stawiane procesom biznesowym oraz technologiom rnych sektorw organizacji i instytucji.
Dodatkowe pakiety administracyjne i informacje dla produktw System Center dostpne s
Microsoft System Center Marketplace 81 oferuj zintegrowane rozwizania i automatyzacj,
pomagajc organizacjom w sprawnym spenieniu wymagao GRC.
Korzyci wynikajce ze stosowania integracji produktw System Center Service Manager, System
Center Configuration Manager oraz System Center Operations Manager:
http://go.microsoft.com/fwlink/?LinkId=201578
http://go.microsoft.com/fwlink/?LinkId=155958
80
http://go.microsoft.com/fwlink/?LinkId=206193
81
http://go.microsoft.com/fwlink/?LinkId=82105
79
Kadra kierownicza oraz audytorzy wykorzystuj raporty IT GRC Process Management Pack w celu
przeanalizowania pod ktem zgodnoci i poddania ocenie procesw IT GRC organizacji. Ta grupa
uytkownikw przewanie wymaga dostpu tylko do odczytu oraz moliwoci wykonania raportw
dotyczcych informacji zarzdzanych przez proces GRC Process Management Pack.
W przedstawionym rozwizaniu, IT Compliance Manager oraz specjalici IT steruj scentralizowanym
procesem zapewnienia zgodnoci IT GRC korzystajc z narzdzia Service Manager Console. Narzdzie
to zapewnia osobie penicej rol IT Compliance Manager moliwod zarzdzania wieloma
programami IT GRC oraz postawionymi celami kontrolnymi, ktre odnosz si do wytycznych oraz
wymagao szczegowych przedstawionych w dokumentach wydanych przez organy nadrzdne.
Specjalici IT korzystajc z centralnego narzdzia mog dokonad oszacowania wynikw zgodnoci IT
GRC dla wszystkich celw kontrolnych okrelonych w systemie IT GRC. Wyniki z przeprowadzonych
testw zgodnoci mog byd osignite w nastpujcy sposb:
Zastosowanie integracji opartej na produktach System Center Service Manager oraz System Center
Configuration Manager zapewnia nastpujce funkcjonalnoci i korzyci:
Produkt System Center Service Manager umoliwia tworzenie i wykorzystanie wasnych cznikw
(ang. connector), za pomoc, ktrych mona zdefiniowad poczenia z innymi systemami,
umoliwiajc zebranie informacji na temat zgodnoci z innych systemw stosowanych w organizacji.
Funkcjonalnod ta rozszerza proces automatyzacji testw i zbierania wynikw z wczeniej
zdefiniowanych celw kontrolnych.
7.3.
Rozwizanie zarzdzania procesem zgodnoci oraz zarzdzania ryzykiem oferowane przez IT GRC
Process Management Pack, IT Compliance Management Libraries, System Center Service Manager,
oraz System Center Configuration Manager oferuje nastpujce moliwoci i korzyci:
7.4.
Terminy i definicje
Opis
Program
Powoywanie si na
dokumenty organw w
zakresie regulacji
(ang. Authority dokument
citation)
Czynnoci kontrolne
(ang. Control Activities)
7.5.
Narzdzia IT GRC Process Management Pack, System Center Service Manager, oraz System Center
Configuration Manager dostarczaj zamknity i peny cykl ycia zarzdzania dla procesu zgodnoci IT.
Cykl ycia zgodnoci integruje procesy oraz wiedz poprzez mechanizm mapowania szczegowych
wymagao w obrbie obowizujcych przepisw i regulacji na konfiguracj i dziaania dla okrelonych
produktw a nastpnie ledzenie zachodzcych tam zmian poprzez raporty kontrolne.
Poniszy rysunek ilustruje gwne zadania i obowizki osb zaangaowanych w cykl ycia zgodnoci IT
w obrbie kadego kroku procesu.
Rozpoznanie wytycznych
IT GRC uwzgldniajc
obowizujce prawo,
regulacje, standardy,
kontrakty oraz polityki
1
2
Przegld raportw
okrelajcych stan
zgodnoci IT GRC
Kadra
Zarzdzajca
Okrelenie moliwoci
zastosowania wytycznych
IT GRC
Konfiguracja i wprowadzenie
dziaao opartych na
technologiach i procesach
organizacji w celu zapewnienia
zgodnoci z regulacjami i
przepisami.
Audytorzy
IT Compliance
Manager
Specjalici IT
Zarzdzanie
Zgodnoci
Ze Standardami
Zarzdzane Komputery
Rys. 7.5.1 - Gwne zadania i obowizki osb zaangaowanych w cykl ycia procesu zgodnoci IT
Naley zwrcid uwag, e przepyw cyklu ycia zgodnoci IT zaprezentowany na rysunku 2.5.1 Jest
cile okrelony na wysokim szczeblu kadry zarzdzajcej oraz wskazuje precyzyjny przepyw
procesw pomidzy rolami, ale celowo zosta uproszczony. Kady osoba wykonujca swoj prac,
musi komunikowad si z innymi na temat nastpujcych cech wymagao stawianych przez IT GRC:
Zastosowanie cecha ta zawiera proces rozpoznania wymagao w obrbie obowizujcych przepisw
i regulacji, ktre s znaczce i peni istotn rol dla organizacji. Na przykad Payment Card Industry
Data Security Standard (PCI DSS) bdzie dotyczyo organizacji prowadzcych dziaalnod biznesow z
uytkownikami kart kredytowych przetwarzajcych ich dane zawarte na kartach kredytowych w
ramach utrzymywanej infrastruktury IT.
Wystarczalnod cecha ta zawiera proces rozpoznania wymagao w obrbie obowizujcych regulacji
i rozpoznanie czy przedstawione regulacje s wystarczajce i pozwol na zapewnienie zgodnoci. Na
przykad: ustawienie minimalnej dugoci hasa na wartod 8 znakw dla wszystkich uytkownikw
jest elementem wystarczajcym dla wszystkich obowizujcych i stosowanych regulacji.
Zasadnod cecha ta zawiera proces rozpoznania wymagao w obrbie obowizujcych regulacji i
rozpoznanie czy przedstawione regulacje s rozsdne, racjonalne i praktyczne do wdroenia. Na
przykad, decyzja o wymaganiu minimalnej dugoci hasa o wartoci 16 znakw, moe byd
technicznie wykonalna, ale nie praktyczna do wdroenia z uwagi na fakt, i uytkownicy mog nie
zapamitad swoich hase.
Dodatkowe informacje na temat stosowanie IT GRC w kontekcie cyklu ycia usug IT oraz innych rl
uytkownikw dziau IT, naley zapoznad si z dokumentem Governance, Risk, and Compliance
Service Management Function82 w kontekcie MOF 4.0.
7.6.
82
http://go.microsoft.com/fwlink/?LinkId=115630
http://go.microsoft.com/fwlink/?LinkId=199861
84
http://go.microsoft.com/fwlink/?LinkId=115630
85
http://go.microsoft.com/fwlink/?LinkId=201578
86
http://go.microsoft.com/fwlink/?LinkId=82105
87
http://go.microsoft.com/fwlink/?LinkId=206193
88
http://go.microsoft.com/fwlink/?LinkId=155958
89
http://blogs.technet.com/servicemanager/
83
http://social.technet.microsoft.com/wiki/contents/articles/774.microsoft-security-compliance-managerscm-en-us.aspx
Moliwoci eksportu ustawieo do wielu formatw: Proces eksportu ustawieo bazowych konfiguracji
pozwala na wykorzystywanie formatw, takich jak: XLS, Group Policy objects (GPO), Desired
Configuration Management (DCM) packs, oraz Security Content Automation Protocol (SCAP) w celu
zapewnienia procesu automatyzacji wdroenia tych ustawieo a take monitorowania zgodnoci z
rekomendowanymi ustawieniami.
Dostpne zbiory ustawieo bazowych konfiguracji (ang. Baselines) zapewniaj wsparcie dla
produktw: Windows Server 2012, Windows 8, Windows Server 2008 R2 SP1, Windows Server 2008
SP2, Windows Server 2003 SP2, Hyper-V, Windows 7 SP1, Windows Vista SP2, Windows XP SP3,
BitLocker Drive Encryption, Internet Explorer 10, Internet Explorer 9, Internet Explorer 8, Microsoft
Office 2010 SP1, Microsoft Office 2007 SP2, Exchange Server 2010 SP2 oraz Exchange Server 2007
SP3
Przyjte definicje pojd w programie SCM:
Baseline. Program SCM pracuje na zbiorach ustawieo bazowych konfiguracji, ktre stanowi kolekcje
ustawieo dla programw zwanych elementami konfiguracji (ang. configuration items (CIs)). Kady
element konfiguracji zosta stworzony z myl o zapewnieniu najwyszego poziomu bezpieczeostwa
w organizacji.
CCE-ID (Common Configuration Enumeration) - CCE-ID numer identyfikacyjny, unikalny i
powizany bezporednio z danym opisem problemu konfiguracji systemu.
Opis ten zawiera
szczegowe informacje na temat sposobu zmiany konfiguracji oraz wskazuje na preferowane lub
wymagane ustawienie systemu dotyczce kluczy rejestru, plikw lub ustawieo zasad grupy.
DCM Configuration Pack zbir ustawieo (ang. Configuration Items (CIs)) wykorzystywanych i
stosowanych w funkcjonalnoci Desired Configuration Management (DCM) w systemie Microsoft
System Center Configuration Manager w celu zapewnienia skanowania oraz monitorowania
komputerw pod katem zapewnienia zgodnoci z wytycznymi.
Excel workbook. Arkusz programu Excel stosowany do zapoznania si i porwnania zbioru
ustawieo bazowych konfiguracji z innymi zbiorami ustawieo bazowych konfiguracji.
GPO backup folder - folder zasad grupy (GPO) zawierajcy obiekty GPO, ktre mona w szybki i
elastyczny sposb importowad bezporednio do usugi katalogowej (Active Directory) w celu
dostarczenia dnych ustawieo konfiguracji dla grup komputerw i uytkownikw.
SCAP data file pliki w formacie Security Content Automation Protocol (SCAP) speniajce
wymagania dla standardw dostarczonych przez National Institute of Standards and Technology
(NIST).
Setting ustawienie - najniszy poziom kontroli technicznej odpowiedzialny za stan systemu
operacyjnego lub aplikacji. Np. Minimalna dugod hasa jest ustawieniem zawiera liczb cakowit w
celu wymuszenia ustawieo specyficznych dla funkcjonalnoci logowania. Ustawienie posiada 2
rodzaje przechowywanej informacji: definicja ustawienia oraz wartod ustawienia zasady.
Setting policy ustawienia zasady, jest to zbir waciwoci powizanych z okrelonych ustawieniem
i zdefiniowanym przez danego uytkownika, dla ktrego zostao zastosowane to ustawienie zasady.
Np. minimalna dugod hasa musi byd wiksza lub rwna 8.
Minimalne wymagania systemowe dla instalacji SCM:
Windows Vista Service Pack 2 (SP2), Windows Server 2008 R2, Windows Server 2012,
Windows 7, Windows 8
Microsoft .NET Framework 3.5
SQL Server 2008 Express edition uruchomiony na komputerze zawierajcym instalacj
programu SCM*
Uprawnienia administracyjne do uruchomienia z linii komend narzdzia LocalGPO
500 MB pamici RAM lub wicej.
40 MB wolnej przestrzeni na dysku twardym.
Windows Installer w wersji 4.5.
Microsoft Visual C++ 2010 (zawarty w instalatorze programu SCM).
Microsoft Word lub Microsoft Word Viewer do przegldania dokumentw.
Microsoft Excel 2007 lub nowszy (opcjonalnie do wykonania exportu ustawieo w formacie
arkusza programu Excel).
Poczenie internetowe do pobrania ze strony Microsoft aktualnych ustawieo bazowych
konfiguracji (baselines)
http://www.microsoft.com/en-us/download/details.aspx?id=16776
Uwaga: Aktualna wersja programu w chwili tworzenia dokumentu to wersja 3.0.60. - przed instalacj naley
sprawdzid czy dostpna jest nowsza wersja produktu, w przypadku wystpienia nowszej wersji, zaleca si
dokonanie instalacji najnowszej wersji produktu SCM.
8.1 Wprowadzenie
Podczas pierwszego uruchomienia SCM, narzdzie przechodzi w tryb pierwszego uycia i prbuje
poczyd si z witryn Centrum Pobierania Microsoft (ang. Microsoft Download Center), aby pobrad
dostpne najnowsze bazowe ustawienia (ang. Baseline). W trybie tym SCM zainstaluje najnowsze
gotowe bazowe ustawienia (baseline) przygotowane przez firm Microsoft do lokalnego folderu
komputera, na ktrym uruchomione zostao narzdzie SCM.
Rys. 8.1.1 - Widok pasku postpu podczas procesu importu ustawieo bazowych.
Uwaga: Naley upewnid si, e proces importu zakooczy si pomylnie.
Konsola programu SCM wywietla znaczn ilod informacji na temat poszczeglnych opcji
ustawieo bazowych konfiguracji po wybraniu okrelnego ustawienia bazowego, z tego
powodu zaleca si wybranie opcji maksymalizacji widoku okna na ekranach o duych
rozdzielczociach, szerokod okien mona dostosowad do wasnych potrzeb. Widok konsoli
SCM mona uprocid poprzez ukrycie lewego oraz prawego okna. Za pomoc skrtw
klawiaturowych mona ukrywad lub wywietlad zawartod okna:
Ctrl+L wywietlenie/ukrycie lewego okna (Baseline Library).
Ctrl+R wywietlenie/ukrycie prawego okna (Action Pane).
Pozostae przydatne skrty klawiaturowe:
Ctrl+O otwiera okienko Options z dostpnymi opcjami, w ktrym mona zarzdzad
ustawieniem automatycznego sprawdzenia czy istniej nowe zbiory ustawieo bazowych
podczas uruchomienia programu.
Ctrl+U otwiera okienko Download Updates, w ktrym mona wykonad rczne sprawdzenie
dostpnoci nowych zbiorw ustawieo bazowych.
Ctrl+I otwiera okienko Import Baselines Wizard, ktre umoliwia rczne zaimportowanie
wasnych ustawieo bazowych.
Delete usuwa wybrane i zaznaczone przez uytkownika ustawienie bazowe (baseline).
Ctrl+Delete - usuwa wybrane i zaznaczone przez uytkownika ustawienie bazowe (baseline).
Shift+Delete - usuwa wybran i zaznaczon przez uytkownika grup wszystkich ustawieo
bazowych (baseline) dotyczcych danego produktu, np. Windows 7 SP1.
Welcome to SCM:
1. Whats new in this release - sekcja informacyjna, z ktrej dowiemy si, co nowego w
tej wersji narzdzia SCM
2. How to perform common tasks sekcja omawiajca jak wykonywad typowe zadania
w programie SCM
3. Working with SCM - pomoc na temat pracy z programem SCM i dodatkowych
narzdzi
Getting started with SCM:
1. Get knowledge obsuga i zarzdzanie zbiorami udostpnionych zestaww ustawieo
bazowych (Baseline).
2. Customize knowledge sekcja, ktra pozwoli na dostosowanie ustawieo bazowych
do wasnych potrzeb oraz porwnanie wasnych ustawieo do rekomendowanych
ustawieo zawartych w zestawach ustawieo bazowych.
Rys. 8.4.1.1 widok wybranego ustawienia Minimum password length wraz z rekomendowanymi
wartociami
Rys. 8.4.1.2 widok wybranego ustawienia Minimum password length wraz z dodatkowymi
informacjami
4. Aby powrcid na najwyszy poziom, do widoku wszystkich ustawieo w danym zbiorze, naley
kliknd opcj Collapse.
Wskazwka:, Aby przypieszyd wyszukiwanie okrelonego ustawienia, wystarczy wprowadzid czd
nazwy ustawienia w polu Settings search w widoku Advanced View w prawym grnym rogu okienka
Baseline Information.
Group View - opcja ta pozwala na wybr trybu wywietlenia ustawieo stosujc sortowanie
ustawieo wedug grupy ustawieo (domylny widok) lub Simple View w przypadku widoku
prostego wywietlane s wszystkie ustawienia bez grupowania.
Path - Kolumna wywietla pen ciek lokalizacji ustawienia w systemie operacyjnym
Windows lub nazw aplikacji Microsoft ustawienia bazowego (baseline), do ktrego si
odwouje w narzdziu SCM.
Choose Columns opcja ta pozwala na modyfikacj widoku wywietlanych kolumn poprzez
usuwanie lub dodawanie kolumn wedug wasnego wyboru.
Aby powrcid do widoku domylnych kolumn w widoku zaawansowanych naley nacisnd czerwony
krzyyk Zarzdzanie plikami zacznikw (Attachments) ustawieo bazowych
W narzdziu SCM mona zarzdzad rnorodnymi zacznikami doczonymi do ustawieo bazowych
(Baseline), ktre dostarczaj dodatkowych informacji, jako uzupenienie i rozszerzenie wiedzy na
temat ustawieo bazowych. Korzystajc z SCM mona wyszczeglnione dokumenty mona otwierad,
edytowad, tworzyd kopi lub wydrukowad. Wspierane formaty zacznikw: .cab, .doc, .docx, .mp,
.rtf, .txt, .url, .xls, .xlsx, .xlsm, .zip
Rys. 8.4.1.4 Widok sekcji zarzdzania zacznikami przypisanymi do grupy produktu ustawieo bazowych
Rys. 8.4.1.5 Widok sekcji zarzdzania zacznikami przypisanymi do biblioteki wasnych ustawieo bazowych.
W celu instalacji narzdzia wiersza polecenia LocalGPO naley uruchomid plik LocalGPO.msi
zlokalizowany w folderze C:\Program Files (x86)\Microsoft Security Compliance Manager\LGPO. Po
poprawnej instalacji narzdzia LocalGPO , naley zweryfikowad pojawienie si narzdzia na licie
programw.
Eksport lokalnych zasad grupy komputera do pliku kopii zapasowej zasad grupy (Group
Policy backup)
Korzystajc z narzdzia LocalGPO moemy wykonad eksport ustawieo lokalnych zasad
komputera w celu zaimplementowania tych ustawieo w innym komputerze lub w celu
wykonania importu do usugi katalogowej.
W celu wykonania eksportu lokalnych zasad grupy komputera, naley wykonad czynnoci:
o Zalogowad si do komputera, jako Administrator
o Uruchomid narzdzie LocalGPO stosujc opcj Uruchom jako administrator
o Wykonad polecenie z linii poleceo:
cscript LocalGPO.wsf /Path:"c:\GPOBackups" /Export
Dodatkowe informacje na temat wykorzystania i stosowania GPOPack uzyskad mona na stronie bloga
92
SCM: LocalGPO Rocks!
Wskazwka: Moliwe jest wykorzystanie nowej funkcjonalnoci LocalGPO aby zintegrowad skrypty
wynikowe stosujc narzdzie Microsoft Deployment Toolkit (MDT) aby przypieszyd i zautomatyzowad
92
http://blogs.technet.com/b/secguide/archive/2011/07/05/scm-v2-beta-localgpo-rocks.aspx.
proces wdroenia systemw Windows 8 oraz Windows Server 2012. Aby uzyskad wicej informacji na
93
ten temat naley odwiedzid witryn produktu Microsoft Deployment Toolkit (MDT)
Zastosowanie Multiple local GPO w celu edycji kolekcji ustawieo lokalnych zasad komputera.
Funkcjonalnod ta zostaa zaprojektowana w celu ulepszenia procesu zarzdzanie
komputerami nieprzyczonymi do domeny. Wykorzystanie przecznika /MLGPO pozwoli
zastosowad ustawienia uytkownika korzystajc z pliku GPOBackup lub paczki GPOPack do
okrelonego MLGPO na komputerze z systemem Windows. Aby skorzystad z tej
funkcjonalnoci naley okrelid grup lokalnych Administratorw lub Uytkownikw, ale
mona rwnie okrelid grup Inni ni administratorzy (Non-Administrators) lub dowoln
nazw uytkownika lokalnego.
W celu utworzenia edycji kolekcji ustawieo lokalnych zasad komputera, naley wykonad
czynnoci:
o Zalogowad si do komputera, jako Administrator
o Uruchomid narzdzie LocalGPO stosujc opcj Uruchom jako administrator
o Wykonad polecenia z linii poleceo:
cscript LocalGPO.wsf /Path:"c:\GPO Backups\GPO Backup 1"
/MLGPO:<nazwa lokalnego uytkownika lub lokalnej grupy>
cscript GPOPack.wsf /MLGPO:<nazwa lokalnego uytkownika lub
lokalnej grupy>
W kreatorze naley wybrad opcj Select package files a nastpnie kliknd w opcj
Add w celu wywietlenia okna pozwalajcego na wskazanie wybranego pliku
przeznaczonego do importu.
Dodatkowo mona zaznaczyd opcj Create modifiable copies of each baseline to be imported, ktra
umoliwi jednoczesne wykonanej kopii przeznaczonej do modyfikacji ustawieo bazowych a nastpnie
dokonad importu ustawieo bazowych do programu SCM.
Import a Group Policy Backup importowanie pliku kopi zapasowej ustawieo zasad grupy
W celu wykonania importu pliku kopii zapasowej ustawieo zasad grupy, naley wykonad czynnoci:
o
W prawym oknie Action, naley kliknd w opcj GPO Backup (folder), nastpnie w
oknie Przegldanie w poszukiwaniu folderu (Browse for folder) naley wybrad folder
zawierajcy plik kopii zapasowej ustawieo grupy i kliknd OK.
W oknie GPO Name naley wprowadzid nazw dla kopii ustawieo zasad grupy
wasnych celw mona wykonad kopi danego ustawienia bazowego wraz z moliwoci edycji i
modyfikacji wedug wasnych wytycznych. Sekcja Customize knowledge pozwoli nam na wykonanie
dostosowania ustawieo bazowych do wasnych celw.
o
o
The Security Content Automation Protocol (SCAP) jest standardem wprowadzonym przez National
Institute of Standards and Technology (NIST). SCAP skada si z danych w formacie XML i opisuje
podatnoci programw oraz elementy konfiguracji configuration items (CIs). W celu uzyskania
dodatkowych informacji na temat SCAP oraz formatu danych naley odwiedzid witryn
http://scap.nist.gov/94.
W celu wykonania operacji wyeksportowanie ustawieo bazowych konfiguracji do formatu SCAP,
naley wykonad czynnoci:
o
94
http://scap.nist.gov/.
SCM pozwala na eksportowanie ustawieo bazowych konfiguracji w tym samym formacie, z ktrego
sam korzysta. Format SCM moe pozwala na wspdzielenie i wymian plikw ustawieo bazowych
konfiguracji z innymi administratorami.
W celu wykonania operacji wyeksportowanie ustawieo bazowych konfiguracji do formatu SCAP,
naley wykonad czynnoci:
o
Ustawienia bazowe konfiguracji mog zostad wyeksportowane do formatu Microsoft Excel (opcja
wymaga zainstalowanego programu Microsoft Excel)
W celu wykonania operacji wyeksportowanie ustawieo bazowych konfiguracji do formatu Microsoft
Excel, naley wykonad czynnoci:
o
9. Zarzdzanie urzdzeniami
Dziki wsparciu dla protokou Simple Certificate Enrollment Protocol (SCEP), ktry wykorzystuje
protok Open Mobile Alliance Device Management (OMA DM) moliwe jest zarzdzanie
urzdzeniami w bezpieczny sposb.
SCEP jest protokoem, ktry zosta zaprojektowany do zarzdzania urzdzeniami mobilnymi takimi jak
telefony czy tablety. SCEP jest rwnie protokoem wdraania certyfikatw, ktry zosta przewidziany
dla ruterw a ktrego to nie wspiera system Windows 8. Windows 8.1 udostpnia protok DM OMA
dla rozwizao zarzdzania urzdzeniami mobilnymi, ktre s dostarczane przez innych dostawcw ni
Microsoft.
Device encryption was introduced in Windows RT as an automatic data protection mechanism for
consumer devices. In enterprise editions of Windows 8, device encryption was limited to BitLocker. In
Windows 8.1, device encryption is available in all editions of Windows that are InstantGo certified to
support a connected standby state.
In Professional and Enterprise editions of Windows 8.1, device encryption can be reconfiguration to
use BitLocker features.
Device encryption in Windows 8.1 permits greater flexibility of personal device use within an
organization because it helps protect corporate data across a variety of Windows editions so that:
Data on a device in a connected standby state is always protected through encryption.
User data on all fixed volumes on a device in a connected standby state is always protected through
encryption.
When the device in a connected standby state is joined to the domain, it can comply with enterprise
security policies.
zapisem w pamici systemu poprzez losowanie (randomizacj) jak i gdzie bd trzymane istotne dane
w pamici. Wraz z ASLR jest trudniejsze dla zoliwego oprogramowania odnalezienie specyficznej
lokalizacji do zaatakowania.
W systemie Windows 8.1 pamid losowana przez ASLR moe byd unikalna na poziomie rnych
urzdzeo czynic j jeszcze bardziej chronion i trudn do zaatakowania przez rnego rodzaju
exploity.
Zapobieganie wykonywania danych
Zapobieganie wykonywania danych (Data execution prevention - DEP) znacznie ogranicza
zakres pamici, ktrej zoliwy kod moe wykorzystad na swj uytek. DEP uywa bitu Never eXecute
(NX) na wspieranych procesorach w celu oznaczenia blokw pamici, w ktrych dane nie powinny
byd uruchamiane jako kod. Nawet jeli zoliwe oprogramowanie umieci fragment kodu w takim
obszarze pamici to nigdy nie zostanie on wykonany.
Systemy Windows 8 oraz Windows 8.1 s pierwszymi, ktre wymagaj procesorw zgodnych
sprztowo z DEP. Te systemy operacyjne nie powinny byd instalowane na komputerach, na ktrych
nie jest uruchomiony DEP.
11.
Systemy Windows 8 oraz Windows 8.1 mog byd uruchomione tylko na certyfikowanych
komputerach PC. Certyfikacji czciowo podlega rwnie UEFI.
Interfejs UEFI (Unified Extensible Firmware Interface) to standardowy interfejs oprogramowania
ukadowego komputerw, zaprojektowany w celu zastpienia systemu BIOS. Standard ten
opracowao konsorcjum UEFI obejmujce ponad 140 firm technologicznych. Zaprojektowano go z
myl o zapewnieniu lepszej wsppracy oprogramowania i rozwizaniu problemw spowodowanych
ograniczeniami systemu BIOS. Oto niektre zalety oprogramowania ukadowego UEFI:
Wraz z usuga Secure Boot UEFI komputera weryfikuje czy bootloader Windowsa jest bezpieczny
przez zaadowaniem go. Jeli bootloader zosta zmodyfikowany (np. przez instalacj bootkita) lub
zamieniony to Secure Boot nie pozwoli na jego uruchomienie.
moe byd wykorzystana do atakw lub dystrybucji zoliwego oprogramowania. Usuga ta jest w
stanie wykryd kiedy certyfikat jest wystawiony przez niespodziewane rdo a nastpnie moe
sprawdzid rnice ktre mog rozpoczd zaradcze akcje lub zasugerowad cofnicie certyfikatu.
13 Biometria
Rozszerzenia dodane do platformy Windows Biometrics Framework (WBF) w Windows 8.1 pozwalaj
na dziaania w nowych scenariuszach. Wrd scenariuszy moemy wyrnid midzy innymi API dla
programistw do autoryzowania uytkownikw w aplikacjach udostpnionych w Windows Store.
Kolejn nowoci w Windows 8.1 jest wydzielenie z platformy WBF klasy sterownikw USB dla linii
papilarnych Biometric Input Device (BID).
W Windows 8.1 moliwe jest zintegrowanie czytnika linii ze sklepem Windows Store do zakupu
aplikacji
Dodatkowo moliwe jest uycie Group Policy do ustawieo uycia biometrii w systemie Windows 8.1
cieka
Nazwa reguy
Konfiguracja komputera\Szablony
administracyjne\Panel
Sterowania\Personalizacja
Chroo przed
wczeniem
kamery na
ekranie
blokady
Konfiguracja komputera\Szablony
Chroo przed
administracyjne\Panel
wczeniem
Sterowania\Personalizacja
pokazu slajdw
na ekranie
blokady
Konfiguracja komputera\Szablony
Nie wywietlaj
administracyjne\System\Logowanie
interfejsu
uytkownika
wyboru sieci
Konfiguracja komputera\Szablony
Zezwalaj aby
administracyjne\Skadniki systemu konto Micrsoft
Windows\App runtime
byo
opcjoanlne
Konfiguracja komputera\Szablony
Loguj
administracyjne\Skadniki systemu automatycznie
Windows\Opcje logowania
ostatnio
Windows
dziaajcego
uytkownika
po restarcie
systemu
Konfiguracja
Odmowa
komputera\Ustawienia Systemu
dostpu do
Windows\Zasady
komputera z
Lokalne\Przypisywanie praw
sieci
uytkownika
Konfiguracja
komputera\Ustawienia Systemu
Windows\Zasady
Lokalne\Przypisywanie praw
uytkownika
Odmowa
logowania
poprzez usug
Remote
Desktop
Poprzednia
warto
N/D
Nowa warto
N/D
Wczone
N/D
Wczone
N/D
Wczone
N/D
Wyczone
Gocie
Gocie, konta
lokalne
Gocie
Wczone
(dla czonkw
grup: Gocie,
Konto lokalne
oraz czonkw
grupy
Administratorzy)
Gocie, konta
lokalne
cieka
Nazwa reguy
Konfiguracja Uytkownika\Szablony
Administracyjne\Menu Start I
Pasek Zadao\Notyfikacje
Wycz
powiadomienia
typu toast na
ekranie
blokady
Poprzednia
warto
N/D
Nowa warto
Wczone
Nazwa reguy
Poprzednia
warto
N/D
Nowa warto
Konfiguracja
komputera\Szablony
administracyjne\Skadniki
systemu
Windows\Internet
Explorer\Panel
Ustawieo\Zaawansowane
Konfiguracja
komputera\Szablony
administracyjne\Skadniki
systemu
Windows\Internet
Explorer\Panel
Ustawieo\Zakadka
Bezpieczeostwo\Strefa
Internet
Konfiguracja
komputera\Szablony
administracyjne\Skadniki
systemu
Windows\Internet
Explorer\Panel
Ustawieo\Zakadka
Bezpieczeostwo\Lokalny
Intranet
Konfiguracja
komputera\Szablony
administracyjne\Skadniki
systemu
Windows\Internet
Explorer\Panel
Ustawieo\Zakadka
Bezpieczeostwo\Strefa
Lokalny komputer
Nie uruchamiaj
oprogramowania
antymalware na
kontrolkach ActiveX
N/D
Wyczone
Nie uruchamiaj
oprogramowania
antymalware na
kontrolkach ActiveX
N/D
Wyczone
Nie uruchamiaj
oprogramowania
antymalware na
kontrolkach ActiveX
N/D
Wyczone
Wczone
cieka
Nazwa reguy
Konfiguracja
komputera\Szablony
administracyjne\Skadniki
systemu
Windows\Internet
Explorer\Panel
Ustawieo\Zakadka
Bezpieczeostwo\Strefa
Witryny z ograniczeniami
Konfiguracja
komputera\Szablony
administracyjne\Skadniki
systemu
Windows\Internet
Explorer\Panel
Ustawieo\Zakadka
Bezpieczeostwo\Strefa
Zaufane Witryny
Nie uruchamiaj
oprogramowania
antymalware na
kontrolkach ActiveX
Poprzednia
warto
N/D
Nowa warto
N/D
Wyczone
Nie uruchamiaj
oprogramowania
antymalware na
kontrolkach ActiveX
Wyczone
cieka
Nazwa reguy
Wszystkie
systemy
operacyjne
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Security
Settings\Zasady
Lokalne\Przypisywanie
praw uytkownika
Odmowa dostpu do
komputera z sieci
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Security
Settings\Zasady
Lokalne\Przypisywanie
praw uytkownika
Odmowa logowania
poprzez usug Remote
Desktop
Wszystkie
systemy
operacyjne
Poprzednia
warto
Gocie
Gocie
Nowa warto
Gocie, konta
lokalne
(dla czonkw
grup: Gocie,
Konto lokalne
oraz czonkw
grupy
Administratorzy)
Gocie, Konto
lokalne
Baseline
cieka
Nazwa reguy
Wszystkie
systemy
operacyjne
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Security
Settings\Zasady
Lokalne\Przypisywanie
praw uytkownika
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Ustawienia
Bezpieczeostwa\Zasady
Lokalne\Przypisywanie
praw uytkownika
Konfiguracja
komputera\Ustawienia
Systemu Windows\
Ustawienia
Bezpieczeostwa
\Zasady
Lokalne\Przypisywanie
praw uytkownika
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Poprzednia
warto
Gocie
Nowa warto
Gocie
Gocie
Odmowa logowania
lokalnego
Gocie
Gocie
Gocie
Baseline
Wszystkie
Serwery
Windows
Kontrolery
Domeny
cieka
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Ustawienia
Bezpieczeostwa\Zasady
Kontroli Aplikacji\AppLocker
Nazwa reguy
Wcz
wymuszanie
wykonywania
ragu
Nowa warto
Wczone
Baseline
Wszystkie
Serwery
Windows
Kontrolery
Domeny
cieka
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Ustawienia
Bezpieczeostwa\Zasady
Kontroli
Aplikacji\AppLocker\Reguy
uruchamiania
Nazwa reguy
Blokowanie IE
Wszystkie
Serwery
Windows
Kontrolery
Domeny
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Ustawienia
Bezpieczeostwa\Zasady
Kontroli
Aplikacji\AppLocker\ Reguy
uruchamiania
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Ustawienia
Bezpieczeostwa\Zasady
Kontroli
Aplikacji\AppLocker\ Reguy
uruchamiania
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Ustawienia
Bezpieczeostwa\Zasady
Kontroli
Aplikacji\AppLocker\ Reguy
uruchamiania
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Ustawienia
Bezpieczeostwa\Usugi
Systemu
Blokowanie
Chrome.exe
Wszystkie
Serwery
Windows
Kontrolery
Domeny
Wszystkie
Serwery
Windows
Kontrolery
Domeny
Wszystkie
Serwery
Windows
Kontrolery
Domeny
Blokowanie
Firefox
Reguy
podstawowe
Identyfikator
aplikacji
(AppIDSvc)
Nowa warto
FilePublisherRule: Deny
Everyone
PublisherName="O=MICROSOFT
CORPORATION,
L=REDMOND,
S=WASHINGTON, C=US"
ProductName="WINDOWS
INTERNET EXPLORER"
BinaryName="IEXPLORE.EXE"
FilePublisherRule: Deny
Everyone
PublisherName="O=GOOGLE
INC, L=MOUNTAIN VIEW,
S=CALIFORNIA, C=US"
ProductName="GOOGLE
CHROME"
BinaryName="CHROME.EXE"
FilePublisherRule: Deny
Everyone
PublisherName="O=MOZILLA
CORPORATION,
L=MOUNTAIN VIEW, S=CA,
C=US"
ProductName="FIREFOX"
BinaryName="FIREFOX.EXE"
Allow non-admins to run
executables in Program Files
Allow non-admins to run
executables in Windir
Allow admins to run
executables anywhere
EMET
Rekomendowane jest instalowanie EMET na wszystkich stacjach roboczych oraz serwerach wraz z
poniszymi ustawieniami Group Policy.
Baseline
cieka
Nazwa reguy
Poprzednia
warto
Nowa warto
Baseline
cieka
Nazwa reguy
Wszystkie
systemy
operacyjne
Konfiguracja
komputera\Szablony
administracyjne\Skadniki
systemu Windows\EMET
Konfiguracja
komputera\Szablony
administracyjne\Skadniki
systemu Windows\EMET
Konfiguracja
komputera\Szablony
administracyjne\Skadniki
systemu Windows\EMET
Konfiguracja
komputera\Szablony
administracyjne\Skadniki
systemu Windows\EMET
Konfiguracja
komputera\Szablony
administracyjne\Skadniki
systemu Windows\EMET
Konfiguracja
komputera\Szablony
administracyjne\Skadniki
systemu Windows\EMET
Podstawowa
ochrona dla
Internet
Explorer
Podstawowa
ochrona dla
Popular
Software
Podstawowa
ochrona dla
Recommended
Software
System ASLR
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Poprzednia
warto
N/D
Nowa warto
N/D
Wczone
N/D
Wczone
N/D
Wczone:
Application
Opt-In
System DEP
N/D
Wczone:
Application
Opt-Out
System SEHOP
N/D
Wczone:
Application
Opt-Out
Wczone
Zaktualizowany przewodnik
Poniej przedstawione s ustawienia, ktre powinny zostad dodane lub zmienione, aby byd zgodnym
z innymi liniami bazowymi.
Baseline
cieka
Nazwa reguy
Wszystkie
systemy
operacyjne
klienckie
Konfiguracja
komputera\Skadniki
systemu
Windows\Usuga
Dziennika
Zdarzeo\Aplikacje
Konfiguracja
komputera\Skadniki
systemu
Windows\Usuga
Dziennika
Zdarzeo\Bezpieczeostwo
Okrel
maksymalny
rozmiar pliku log
(KB)
Wszystkie
systemy
operacyjne
klienckie
Okrel
maksymalny
rozmiar pliku log
(KB)
Poprzednia
warto
20480
Nowa warto
20480
196608
32768
Baseline
cieka
Nazwa reguy
Wszystkie
systemy
operacyjne
klienckie
Konfiguracja
komputera\Skadniki
systemu
Windows\Usuga
Dziennika
Zdarzeo\System
Konfiguracja
komputera\Szablony
administracyjne\Skadniki
systemu
Windows\Wyszukiwanie
Konfiguracja komputera\
Ustawienia Systemu
Windows\ Ustawienia
Bezpieczeostwa \Reguy
Kont\Reguy blokowania
konta
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Ustawienia
Bezpieczeostwa\Zasady
Lokalne\Opcje
Bezpieczeostwa
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Ustawienia
Bezpieczeostwa\Zasady
Lokalne\Opcje
Bezpieczeostwa
Okrel
maksymalny
rozmiar pliku log
(KB)
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
Serwery w
czonkowstwie
Wszystkie
systemy
operacyjne
klienckie
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Ustawienia
Bezpieczeostwa\Zasady
Lokalne\Opcje
Bezpieczeostwa
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Ustawienia
Bezpieczeostwa\Zasady
Lokalne\Przypisywanie
praw uytkownika
Zaawansowane audytowanie
Poprzednia
warto
20480
Nowa warto
Pozwl na
indeksowanie
szyfrowanych
plikw
Nie
skonfigurowano
Wyczone
50 prb
bdnego
logowania
10 prb
bdnego
logowania
Bezpieczeostwo
sieci: Wymu
wylogowanie,
kiedy wygasn
godziny logowania
Nie
skonfigurowano
Wczone
Kontrola konta
uytkownika:
Zachowanie
podczas dania
elewacji
uprawnieo dla
standardowych
uytkownikw.
Bezpieczeostwo
sieci: Pozwl aby
Lokalny System
uywa
identyfikatora
komputera dla
NTLM
Dostp do
komputera z sieci
Zapytaj o
uprawnienia
Automatycznie
blokuj dania
elewacji
uprawnieo
Nie
zdefiniowane
Wczone
Uytkownicy,
Administratorzy
Uwierzytelnieni
uytkownicy,
Administratorzy
32768
W przewodniku bezpieczeostwa dla Windows 8 oraz Windows Server 2012 rekomendowane byo
ustawienie Brak audytowania. Pozwalao ono uytkownikowi na decyzj. W Windows 8.1 oraz
Windows Server 2012 rekomenduje si uycie wartoci Nie zdefiniowane.
Baseline
cieka
Nazwa reguy
Wszystkie
systemy
operacyjne
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\Logowanie
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\Logowanie
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\Logowanie
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\Zarzdzanie
kontem
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy Audytu\
Zarzdzanie kontem
Audytuj usug
autentykacji Kerberos
Poprzednia
Nowa
warto
warto
Brak
Nie
audytowania zdefiniowane
Brak
Nie
audytowania zdefiniowane
Brak
Nie
audytowania zdefiniowane
Audytuj zarzdzanie
grup aplikacji
Brak
Nie
audytowania zdefiniowane
Audytuj zarzdzanie
konta komputera
Brak
Nie
audytowania zdefiniowane
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
klienckie
Baseline
cieka
Nazwa reguy
Wszystkie
systemy
operacyjne
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy Audytu\
Zarzdzanie kontem
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\ledzenie
szczegowe
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowane
Reguy
Audytu\Konfiguracja\
Reguy Audytu\ledzenie
szczegowe
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\ledzenie
szczegowe
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\Dostp Usuga
Katalogu
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy Audytu\
Dostp Usuga Katalogu
Audytu zarzdzanie
Grupami Dystrybucji
Poprzednia
Nowa
warto
warto
Brak
Nie
audytowania zdefiniowane
Audytuj aktywnoci
DPAPI
Brak
Nie
audytowania zdefiniowane
Audytuj wyganicie
procesu
Brak
Nie
audytowania zdefiniowane
Brak
Nie
audytowania zdefiniowane
Audytuj usug
szczegowej replikacji
katalogu
Brak
Nie
audytowania zdefiniowane
Brak
Nie
audytowania zdefiniowane
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
klienckie
Baseline
cieka
Nazwa reguy
Wszystkie
systemy
operacyjne
klienckie
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy Audytu\
Dostp Usuga Katalogu
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy Audytu\
Dostp Usuga Katalogu
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\Logon/Logoff
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\Logon/Logoff
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\Logon/Logoff
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\Logon/Logoff
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\Logon/Logoff
Poprzednia
Nowa
warto
warto
Brak
Nie
audytowania zdefiniowane
Brak
Nie
audytowania zdefiniowane
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Audytuj blokowanie
konta
Brak
audytowania
Sukces
Brak
Nie
audytowania zdefiniowane
Brak
Nie
audytowania zdefiniowane
Brak
Nie
audytowania zdefiniowane
Brak
Nie
audytowania zdefiniowane
Baseline
cieka
Nazwa reguy
Wszystkie
systemy
operacyjne
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\Logon/Logoff
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\Dostp obiektw
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\Dostp obiektw
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\Dostp obiektw
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\Dostp obiektw
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\Dostp obiektw
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\Dostp obiektw
Poprzednia
Nowa
warto
warto
Brak
Nie
audytowania zdefiniowane
Audit Certification
Services
Brak
Nie
audytowania zdefiniowane
Audytuj szczegowe
udostpnianie plikw
Brak
Nie
audytowania zdefiniowane
Audytuj udostpnianie
plikw
Brak
Nie
audytowania zdefiniowane
Brak
Nie
audytowania zdefiniowane
Audytuj manipulacj
uchwytem
Brak
Nie
audytowania zdefiniowane
Brak
Nie
audytowania zdefiniowane
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Baseline
cieka
Nazwa reguy
Wszystkie
systemy
operacyjne
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\Dostp obiektw
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\Dostp obiektw
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\Dostp obiektw
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\Dostp obiektw
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\Zmiana reguy
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\Zmiana reguy
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Poprzednia
Nowa
warto
warto
Brak
Nie
audytowania zdefiniowane
Audytuj rejestr
Brak
Nie
audytowania zdefiniowane
Audytuj Magazyny
Wymienne
Brak
Nie
audytowania zdefiniowane
Audytuj SAM
Brak
Nie
audytowania zdefiniowane
Brak
Nie
audytowania zdefiniowane
Brak
Nie
audytowania zdefiniowane
Baseline
cieka
Nazwa reguy
Wszystkie
systemy
operacyjne
Konfiguracja
komputera\Ustawienia Systemu
Windows\Ustawienia
Bezpieczeostwa\Zasady
Lokalne\Opcje Bezpieczeostwa
Wszystkie
systemy
operacyjne
Konfiguracja
komputera\Ustawienia Systemu
Windows\Ustawienia
Bezpieczeostwa\Zasady
Lokalne\Opcje Bezpieczeostwa
Wszystkie
systemy
operacyjne
Konfiguracja
komputera\Ustawienia Systemu
Windows\Ustawienia
Bezpieczeostwa\Zasady
Lokalne\Opcje Bezpieczeostwa
Kryptografia
system: Uywaj
algorytmw
zgodnych z FIPS
do szyfrowania,
hashowania
oraz
podpisywania
Interaktywne
logowanie:
Wymagaj
autentykacji
kontrolera
domeny do
odblokowania
stacji roboczej
Kontrola konta
uytkownika:
Podno
uprawnienia
tylko dla
podpisanych i
walidowanych
plikw
wykonywalnych
Wszystkie
systemy
operacyjne
Konfiguracja
komputera\Ustawienia Systemu
Windows\Ustawienia
Bezpieczeostwa\Zasady
Lokalne\Przypisywanie praw
uytkownika
Konfiguracja
komputera\Szablony
administracyjne\Skadniki
systemu Windows\Usuga
Dziennika Zdarzeo\Aplikacja
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Konfiguracja
komputera\Szablony
administracyjne\Skadniki
systemu Windows\Usuga
Dziennika
Zdarzeo\Bezpieczeostwo
Pomijanie
sprawdzania
omijania
Kontrola
zachowania
Dziennika
Zdarzeo kiedy
osignie
maksymalny
rozmiar
Kontrola
zachowania
Dziennika
Zdarzeo kiedy
osignie
maksymalny
rozmiar
Poprzednia
warto
Wczone
Nowa warto
Wczone
Nie
zdefiniowane
Wyczone
Nie
zdefiniowane
Administratorzy,
Uytkownicy,
Lokalny Serwis,
Usuga Sieciowa
Nie
zdefiniowane
Wyczone
Nie
zdefiniowane
Wyczone
Nie
zdefiniowane
Nie
zdefiniowane
Baseline
cieka
Nazwa reguy
Wszystkie
systemy
operacyjne
Konfiguracja
komputera\Szablony
administracyjne\Skadniki
systemu Windows\Usuga
Dziennika Zdarzeo\System
Kontrola
zachowania
Dziennika
Zdarzeo kiedy
osignie
maksymalny
rozmiar
Wszystkie
kontrolery
domen
Konfiguracja
komputera\Ustawienia Systemu
Windows\Ustawienia
Bezpieczeostwa\Zasady
Lokalne\Przypisywanie praw
uytkownika
Zaloguj jako
zadanie
wsadowe
Poprzednia
warto
Wyczone
Nowa warto
Administratorzy
Nie
zdefiniowane
Nie
zdefiniowane
cieka
Nazwa reguy
Wszystkie
IE
Konfiguracja
uytkownika\Szablony
administracyjne\Skadniki
systemu
Windows\Internet
Explorer\menu
przegldarki
Konfiguracja
komputera\Szablony
administracyjne\Skadniki
systemu
Windows\Internet
Explorer\Panel Ustawieo
Konfiguracja
komputera\Szablony
administracyjne\Skadniki
systemu
Windows\Internet
Explorer\Panel Ustawieo
Wszystkie
IE
Wszystkie
IE
Poprzednia
warto
Wczone
Nowa warto
Nie
skonfigurowano
Wycz zakadk
zaawansowane
Wczone
Nie
skonfigurowano
Wycz zakadk
Bezpieczeostwo
Wczone
Nie
skonfigurowano
Baseline
cieka
Nazwa reguy
Wszystkie
IE
Konfiguracja
komputera\Szablony
administracyjne\Skadniki
systemu
Windows\Internet
Explorer\Panel
Ustawieo\Zakadka
Bezpieczeostwo\Strefa
Internet
Konfiguracja
komputera\Szablony
administracyjne\Skadniki
systemu
Windows\Internet
Explorer\Panel
Ustawieo\Zakadka
Bezpieczeostwo\Strefa
Witryny z ograniczeniami
Kana uprawnieo
oprogramowania
Poprzednia
Nowa warto
warto
Wysokie
Nie
bezpieczeostwo skonfigurowano
Kana uprawnieo
oprogramowania
Wysokie
Nie
bezpieczeostwo skonfigurowano
Wszystkie
IE