Przewodnik Zabezpieczen Systemu Win 8 1 PDF

PRZEWODNIK ZABEZPIECZEO
SYSTEMU WINDOWS 8 ORAZ

WINDOWS 8.1 WRAZ Z
ZACZNIKIEM SCM
WERSJA 1.0
Opracowanie powstao w ramach programu wsppracy w obszarze bezpieczeostwa

Security Cooperation Program (SCP)
Spis treci
1.
Wstp .............................................................................................................................................. 6
1.1.
Streszczenie wykonawcze ....................................................................................................... 6
1.2.
Zarzdzanie bezpieczeostwem i zgodnoci ze standardami z zastosowaniem technologii .. 8
1.3.
Praca z rekomendowanymi bazowymi ustawieniami konfiguracji (baseline)....................... 10
1.4.
Dla kogo przeznaczony jest ten podrcznik?......................................................................... 11
Podrcznik przeznaczony jest w gwnej mierze dla specjalistw zarzdzajcych

bezpieczeostwem, architektw sieciowych, Administratorw IT, specjalistw IT oraz konsultantw
planujcych wdroenie infrastruktury IT, wdroenie systemu Windows 8 na komputerach
klienckich w rodowisku domenowym jak i poza domenowym. ...................................................... 11
1.5.
Dodatkowe informacje i wskazwki ...................................................................................... 11
2. Wdraanie rekomendowanych zasad bezpieczeostwa w kontekcie bazowych ustawieo systemu

Windows 8 ............................................................................................................................................. 13
2.1.
Wprowadzenie ...................................................................................................................... 13
2.2. Projektowanie struktur jednostek organizacyjnych (OU) ze szczeglnym uwzgldnieniem

zasad bezpieczeostwa ....................................................................................................................... 14
2.3. Projektowanie obiektw zasad grupowych (GPO) struktur jednostek organizacyjnych ze
szczeglnym uwzgldnieniem zasad bezpieczeostwa....................................................................... 16
2.4. Zastosowanie filtrowania WMI w celu okrelenia dokadnej grupy docelowej odbiorcw
zasad GPO .......................................................................................................................................... 19
2.5.
Omwienie narzdzia Local Policy Tool ................................................................................ 21
2.6.
Omwienie i praktyczne zastosowanie narzdzia Attack Surface Analyzer (ASA) ................ 22
2.7.
Omwienie mechanizmu kont MSA ...................................................................................... 22
2.8.
Ustawienia zasad domenowych ............................................................................................ 23
2.8.1
2.9.
Konfigurowanie ustawieo dla zbioru Zasady hase ........................................................... 23

Konfigurowanie ustawieo hase granularnych oraz dla zbioru Zasady blokady konta ......... 24
2.10.
Ustawienia zasad Computer Policy Settings...................................................................... 25
2.11.
Konfigurowanie szczegowych ustawieo zbioru Zasady inspekcji ................................... 25
2.12.
Konfigurowanie szczegowych zasad zbioru Przypisywanie praw uytkownika ............. 29
2.13.
Konfigurowanie szczegowych zasad zbioru Opcje zabezpieczeo ................................... 32
2.14.
Konfigurowanie ustawieo MSS .......................................................................................... 42
2.15.
Potencjalne zagroenia zwizane z zasadami podpisywania cyfrowego pakietw SMB .. 42
2.16.
Ograniczenie stosowania mechanizmu uwierzytelnienia NTLM ....................................... 44
2.17.
Konfigurowanie szczegowych zasad zbioru Dziennik zdarzeo ....................................... 44
2.18.
Szczegowa konfiguracja zapory systemu Windows Firewall with Advanced Security ... 45
2.19.
Usuga Windows Update ................................................................................................... 47
2.20.
Ataki na usug zintegrowanego uwierzytelniania systemu Windows polegajce na
przekazywaniu powiadczeo ............................................................................................................. 48
3.
4.
Sposoby ochrony przed zoliwym oprogramowaniem ................................................................ 50

3.1.
Funkcje zabezpieczeo stosowane w systemie Windows 8 .................................................... 50
3.2.
Konsola Centrum Akcji .......................................................................................................... 51
3.3.
Bezpieczny rozruch (Secure Boot) ......................................................................................... 54
3.4.
Mechanizm Kontrola Konta Uytkownika (User Account Control UAC) ............................ 55
3.5.
Zabezpieczenia biometryczne ............................................................................................... 62
3.6.
Oprogramowanie Windows Defender .................................................................................. 67
3.7.
Narzdzie do usuwania zoliwego oprogramowania ........................................................... 72
3.8.
Zapora systemu Windows 8 oraz Windows 8.1 .................................................................... 74
3.9.
Ograniczanie dostpu do aplikacji - AppLocker..................................................................... 77
3.10.
Zasady ograniczeo oprogramowania................................................................................. 79
3.11.
Bezpieczne uwierzytelnianie za pomoc kart inteligentnych ........................................... 79
3.12.
Odwieanie i przywracanie komputera do stanu pierwotnego ....................................... 81
3.13.
Dodatkowe informacje i wskazwki .................................................................................. 82
Ochrona wraliwych danych.......................................................................................................... 84

4.1.
Szyfrowanie i ochrona dyskw z zastosowaniem funkcji BitLocker ...................................... 85
4.2.
Tryby pracy BitLocker oraz zarzdzanie ukadem TPM ......................................................... 87
4.3.
Ochrona danych znajdujcych si dyskach systemowych oraz dyskach staych................... 89
4.4.
Zastosowanie ustawieo zasad grup do wdroenia BitLocker w celu minimalizacji ryzyka ... 93
4.5. Ochrona danych przechowywanych na wymiennych dyskach danych z zastosowaniem

funkcji BitLocker To Go .................................................................................................................... 103
4.6. Zastosowanie ustawieo zasad grup do wdroenia BitLocker To Go w celu minimalizacji
ryzyka 105
4.7.
BitLocker a Connected StandBy .......................................................................................... 108
4.8.
Wsparcie FIPS do ochrony odzyskiwania hasa. .................................................................. 109
4.9.
System szyfrowania plikw EFS ........................................................................................... 110
4.10.
Szczegowe ustawienia systemu EFS zapewniajce ochron wraliwych danych ........ 113
4.11.
Usugi zarzdzania prawami do informacji (RMS) ........................................................... 116
4.12.
Zastosowanie ustawieo zasad grup do wdroenia usugi RMS ....................................... 119
4.13.
Instalacja i zarzdzanie urzdzeniami w systemie Windows 8........................................ 119
4.14.
Zastosowanie ustawieo zasad grupowych do nadzorowania instalacji urzdzeo........... 121
4.15.
Zastosowanie ustawieo zasad grupowych do kontroli obsugi urzdzeo ....................... 125
4.16.
Zastosowanie ustawieo zasad grup do kontroli i blokowania funkcji autostartu i
autoodtwarzania ............................................................................................................................. 127
4.17.
Windows To Go ............................................................................................................... 128
4.18.
Dodatkowe informacje i wskazwki ................................................................................ 129
5.
Zapewnienie kompatybilnoci aplikacji w kontekcie bezpieczeostwa stacji z Windows 8........ 131

5.1.
Testowanie zgodnoci aplikacji z systemem Windows 8 .................................................... 131
5.2.
Znane problemy zgodnoci aplikacji w kontekcie rozszerzonych mechanizmw ochrony 131
5.3.
Zmiany i ulepszenia systemu operacyjnego Windows 8 oraz Windows 8.1 ....................... 132
5.4. Omwienie stosowanych narzdzi w celu zapewnienia zgodnoci aplikacji z systemem

Windows 8 oraz Windows 8.1 ......................................................................................................... 133
6.
Klient Hyper-V ............................................................................................................................. 134

6.1
7.
Konfiguracja funkcji zabezpieczeo ....................................................................................... 134
6.1.1
Zabezpieczanie systemw operacyjnych zarzdzania ................................................. 134
6.1.2
Zabezpieczenia maszyn wirtualnych ........................................................................... 136
ad korporacyjny, zarzdzanie ryzykiem oraz zgodnod ze standardami w IT (IT GRC) .............. 137
7.1.
Wprowadzenie .................................................................................................................... 138
7.2.
Omwienie i budowa IT GRC PMP ...................................................................................... 139
7.3.
Korzyci wynikajce ze stosowania IT GRC PMP ................................................................. 142
7.4.
Terminy i definicje ............................................................................................................... 143
7.5.
Cykl ycia procesu zgodnoci w oparciu o IT GRC PMP ....................................................... 144
7.6.
Dodatkowe informacje i wskazwki .................................................................................... 146
8.
Narzdzie Security Compliance Manager (SCM) w praktyce ...................................................... 147

8.1
Wprowadzenie .................................................................................................................... 150
8.2
Praca z programem SCM ..................................................................................................... 150
8.3
Rozpoczcie pracy z programem SCM................................................................................. 152
8.4
Kluczowe elementy sekcji Welcome to SCM ................................................................... 153
8.4.1
Zarzdzanie ustawieniami (Setting management) ...................................................... 153
8.4.2
Narzdzie wiersza polecenia LocalGPO ....................................................................... 157
8.5
9.
10.
Kluczowe elementy sekcji Getting started with SCM....................................................... 162
8.5.1
Zarzdzaj ustawieniami bazowymi konfiguracji - Get knowledge............................... 162
8.5.2
Dostosuj ustawienia bazowe konfiguracji do wasnych potrzeb - Customize knowledge

165
8.5.3
Eksportuj ustawienia bazowe konfiguracji- Export knowledge................................... 175
Zarzdzanie urzdzeniami ........................................................................................................... 176

Ochrona przed zoliwym oprogramowaniem ........................................................................ 177
11.
11.1
12
Bezpieczny rozruch systemu ................................................................................................... 178

Trusted Boot ........................................................................................................................ 179
Model kontroli dostpu do systemu Windows ....................................................................... 179
12.1
Dynamic Access Control ...................................................................................................... 179
12.2
Ochrona publicznych certyfikatw i kluczy ......................................................................... 179
12.3
Tryb Restricted Admin dla poczeo pulpitu zdalnego ........................................................ 180
12.4
Schowek dla powiadczeo - Credential Locker .................................................................... 180
13
Biometria ................................................................................................................................. 180
14
Dodatek ustawienia bezpieczeostwa w Group Policy dla Windows 8.1 oraz Windows Server
2012 R2 ................................................................................................................................................ 183
14.2. Zmiany w ustawieniach zaleceo ................................................................................................. 185
1. Wstp
Przewodnik Zabezpieczeo systemu Windows 8 zawiera instrukcje i rekomendacje, ktre pomog
wzmocnid poziom zabezpieczenia komputerw stacjonarnych i komputerw przenonych
pracujcych pod kontrol systemu Windows 8 w domenie Active Directory Domain Services (AD DS).
Dodatkowo w podrczniku tym zostan zaprezentowane narzdzia, szczegowe instrukcje,
rekomendacje oraz procesy, ktre usprawni w znacznym stopniu proces wdroenia systemu
Windows 8.
Kolejnym elementem bdzie wprowadzenie do procesu zarzdzania zgodnoci wraz z dodatkowymi
informacjami i odsyaczami na temat narzdzi zapewniajcych zgodnod IT oraz zaleceniami
Microsoft.
Kluczowym rekomendowanym narzdziem jest Security Compliance Manager 1 (SCM), ktry w
poczeniu z Przewodnikiem Zabezpieczeo systemu Windows 8, zapewnia moliwoci eksportowania
wszystkich ustawieo zasad grupowych, w celu wykorzystania wytycznych bezpieczeostwa w
praktyczny sposb we wasnym rodowisku.
Autorzy dokumentu starali si uczynid ten przewodnik:
Sprawdzonym bazujcym na zebranym dowiadczeniu w tej dziedzinie

Autorytatywnym oferujc najlepsze dostpne dobre praktyki w tym zakresie
Dokadnym przekazujc rozwizanie sprawdzone i przetestowane od strony technicznej
Gotowym do uycia zapewniajc niezbdne kroki do wdroenia zakooczonego sukcesem
Uytecznym obejmujcym rzeczywiste problemy zwizane z bezpieczeostwem
W dokumencie zamieszczono najlepsze praktyki stosowane w celu implementacji Windows 8,

Windows 7 SP1, Windows Vista SP2, Windows Server 2003 SP2, Windows Server 2008 SP2, and
Windows Server 2008 R2 SP1 oraz Windows Server 2012 w rnorodnych rodowiskach.
W przypadku procesu oszacowania wdroenia Windows 8 we wasnym rodowisku mona skorzystad
z pomocy oferowanej przez narzdzie Microsoft Assessment and Planning Toolkit2 , ktre wspomoe
okrelenie gotowoci infrastruktury na uruchomienie systemu Windows 8 dla organizacji redniej
wielkoci, poprzez dokonanie inwentaryzacji sprztu, okrelenie scenariusza wsparcia oraz uzyskanie
informacji i wskazanie komputerw wymagajcych aktualizacji sprztu.
Niniejszy przewodnik przedstawia funkcjonalnoci, zwikszajce poziom zabezpieczeo systemu
Windows 8. Zawarte informacje zostay sprawdzone i przetestowane z wykorzystaniem komputerw
pracujcych w domenie jak i rwnie komputerw autonomicznych, niepracujcych w domenie.
Uwaga: Wszystkie odniesienia do systemu Windows XP w niniejszym przewodniku dotycz systemu Windows XP
Professional SP3, a odniesienia dotyczce systemu Windows Vista dotycz systemu Windows Vista SP2.
1.1.
Streszczenie wykonawcze
Niezalenie od wielkoci rodowiska organizacji, naley sprawy bezpieczeostwa teleinformatycznego

traktowad bardzo powaanie, wiele organizacji nie zawsze docenia wartod i znaczenie, jak stanowi
1
2
http://go.microsoft.com/fwlink/?LinkId=113940
nowoczesne technologie informatyczne. W przypadku skutecznego przeprowadzonego ataku na

serwery organizacji, moe okazad si, i skutki takiego dziaania odczuwalne bd dla normalnego
funkcjonowania organizacji, a kluczowe procesy biznesowe zostan zakcone. Na przykad: W
przypadku zainfekowania komputerw klienckich przez oprogramowanie zoliwe we wasnej sieci,
organizacja moe utracid dane wraliwe i ponied okrelone koszty na przywrcenie stanu sprzed
ataku. Przeprowadzenie ataku na firmow witryn internetow, moe przyczynid si do jej
niedostpnoci oraz narazid organizacj na straty finansowe oraz utrat zaufania przez klientw,
cznie z utrat reputacji.
Zgodnod z przepisami i standardami staje si kluczow kwesti dla dziaania organizacji, a organy
urzdowe zalecaj lub nakazuj stosowanie si do wytycznych i zaleceo dla zapewnienia zgodnoci ze
standardami. Audytorzy wykonujc ocen dojrzaoci organizacji przewanie wymagaj od organizacji
potwierdzenia podjtych dziaao i weryfikuj dziaania okrelne w wymaganiach i wytycznych
zawartych w regulacjach. Brak podjtych dziaao w kierunku zapewnienia zgodnoci z
obowizujcymi wytycznymi i regulacjami, moe narazid organizacj na straty finansowe, utarte
reputacji lub naoenia kary grzywny lub innych kar przewidzianych w obowizujcym prawie.
Przeprowadzenie analizy podatnoci pod ktem bezpieczeostwa, wystpujcych ryzyk i
wystpowania zagroeo pozwala na znalezienie kompromisu pomidzy zapewnieniem
bezpieczeostwa a funkcjonalnoci dla wszystkich systemw informatycznych pracujcych w
organizacji. Przewodnik niniejszy przedstawi najwaniejsze rodki zaradcze odnoszce si do
aspektw bezpieczeostwa i jednoczenie omwi dostpne funkcjonalnoci systemu Windows 8,
wskazujc na potencjalne niebezpieczeostwa i negatywny wpyw, (jeli taki wystpuje) podczas
wdraania omawianych rodkw zaradczych w celu podniesienia poziomu bezpieczeostwa w
organizacji.
Przewodnik bezpieczeostwa prezentuje w dostpny sposb niezbdne informacje oraz
wspomagajce narzdzia zapewniajc:
Wdroenie i zastosowanie ustawieo bazowych zapewniajcych wyszy poziom

bezpieczeostwa w rodowisku organizacji.
Zapoznanie i wykorzystanie funkcjonalnoci zwizanych z bezpieczeostwem systemu
Windows 8 w najbardziej popularnych scenariuszach.
Zapoznanie i omwienie poszczeglnych ustawieo zabezpieczeo wraz z okreleniem ich
znaczenia
W celu przeprowadzenia testw i wdroenia ustawieo zabezpieczeo, naley skorzystad z narzdzia

Security Compliance Manager (SCM). Narzdzie to uatwi w znacznym stopniu i zautomatyzuje proces
wdraania bazowych ustawieo bezpieczeostwa. Szczegowy poradnik jak korzystad z narzdzia SCM
zosta przedstawiony, jako dodatek Narzdzie Security Compliance Manager (SCM) w praktyce.
Pomimo, i przewodnik ten kierowany jest do duych organizacji, to wikszod z zawartych tutaj
informacji jest odpowiednia dla kadej organizacji bez wzgldu na jej wielkod. Najlepszy efekt mona
osignd zapoznajc si z caym przewodnikiem, jednake moliwe jest zapoznanie si z
poszczeglnymi i wybranymi czciami materiau, aby osignd postawiony cel zapewnienia
zapewnienie odpowiedniego poziomu bezpieczeostwa dla organizacji i towarzyszcych jej celom
biznesowym.
1.2.
Zarzdzanie bezpieczeostwem i zgodnoci ze standardami z
zastosowaniem technologii
Organizacje wymagaj od swoich dziaw IT dostarczenia bezpiecznej infrastruktury w sprawny i
podlegajcy kontroli sposb, a jednoczenie takiej, ktra bdzie zgodna z obowizujcymi
regulacjami, standardami oraz najlepszymi praktykami. Dzia IT musi dokonywad cigej kontroli
zgodnoci, aby zapewnid i sprostad wymaganiom stawianym organizacjom przez obowizujce
regulacje, stosowane standardy certyfikacji oraz najlepsze praktyki branowe zgodne z biec
polityk bezpieczeostwa. Zapewnienie zgodnoci wymaga cigego procesu dostosowywania si do
pojawiajcych si nowych technologii wraz z ich zoonoci, ktrym dziay IT musz sprostad poprzez
cigy nadzr, kontrol oraz raportowanie. W celu dostarczenia zgodnej ze standardami
infrastruktury, dziay IT musz zabezpieczad organizacje, poprzez wdroenia efektywnej metody
aktualizacji systemw, utwardzania i procesu automatyzacji zapewnienia zgodnoci IT. Niniejszy
przewodnik stanowi doskonay punkt wyjciowy dla zwikszenia i zapewnienia bezpieczeostwa
informacji dla zarzdzanych systemw. Firma Microsoft opracowaa zbir przewodnikw i narzdzi,
ktre wspomagaj organizacje niezalenie od jej wielkoci. Przewodniki te wspomagaj zespoy IT w
procesie implementacji, wsparcia i weryfikacji bazowych ustawieo systemw wykorzystujcych
rnorodne produkty Microsoft w swoim rodowisku.
Ustawienia bazowe s kluczowym pojciem okrelajcym zbir rekomendowanych i zalecanych
ustawieo wykorzystywanych w caym przewodniku i innych powizanych dokumentach oraz
narzdziach wydanych przez Microsoft.
Co oznacza termin ustawienia bazowe (ang. baseline)?
Ustawienia bazowe to zbir rekomendowanych ustawieo konfiguracji elementw dla poszczeglnych
produktw Microsoft, ktre dostarczaj zalecane wartoci ustawieo do minimalizacji okrelonego
ryzyka, poprzez okrelone czynnoci kontrolne.
Czynnoci kontrolne s w obszarze zainteresowania szczeglnie osb na stanowisku Compliance
Manager oraz kadej osoby odpowiedzialnej za bezpieczeostwo w organizacji z uwagi na
podejmowane dziaania zwizane z wystpujcym ryzykiem w organizacjach, co, do ktrych musz
zostad okrelone zasady jak zarzdzad danym ryzykiem i w jaki sposb je minimalizowad, korzystajc z
okrelonych technologii. Firma Microsoft przez wiele lat publikowaa zbiory ustawieo bazowych
zwracajc szczegln uwag na ustawienia konfiguracji dotyczcej zabezpieczeo komputerw w celu
podniesienia poziomu produktw Microsoft. Zbiory te zawieray gotowe rekomendowane ustawienia
do bezporedniego zastosowania i wykorzystania przez administratorw IT we wasnym rodowisku
produkcyjnym.
Po wprowadzeniu produktu IT GRC Process Management Pack dla Manager 2012, zostay
opublikowane bazowe ustawienia konfiguracji dla zapewnienia zgodnoci ze standardami (ang.
compliance baselines).
Na potrzeby wytycznych opisanych w przewodniku, bazowe ustawienia konfiguracji zawieraj
nastpujce elementy:
1. Lista rekomendowanych rodkw zaradczych majcych na celu zwikszenie poziomu
zabezpieczeo produktw Microsoft.
2. Informacje techniczne niezbdne do implementacji kadego rodka zaradczego

minimalizujcego ryzyko.
3. Informacje techniczne niezbdne do oszacowania stanu kadego rodka zaradczego
minimalizujcego ryzyko, ktre pozwol na automatyczne skanowanie stanu zgodnoci wraz
utworzeniem raportu z przeprowadzonej czynnoci.
4. Uporzdkowane ustawienia zgrupowane zostay w elementy konfiguracji (ang. Configuration
Item (CI)) stanowice istotny element powizania IT Governance, Risk, and Compliance (IT
GRC) Process Management Pack (PMP) z czynnociami kontrolnymi.
W jaki sposb osignd korzyci ze stosowania bazowych ustawieo konfiguracji?
W pierwszej kolejnoci rekomendowane s identyfikacje systemw operacyjnych i aplikacji
wykorzystywanych we wasnej sieci komputerowej w celu okrelenia waciwych ustawieo bazowych
konfiguracji, ktre zostan zaimplementowane, czynnoci te mona przeprowadzid w kilku krokach:
Przeprowadzenie inwentaryzacji posiadanych zasobw w sieci mona wykonad korzystajc z

bezpatnego i automatycznego narzdzia Microsoft Assessment and Planning Toolkit3, ktre
upraszcza i zautomatyzuje proces inwentaryzacji obniajc nakady pracy na wykonanie tej
czynnoci.
Dokonanie wyboru waciwych bazowych ustawieo konfiguracji korzystajc z
przygotowanych rozwizao Microsoft lub innych upowanionych organizacji, jako punkt
wyjcia.
Analiza i skorygowanie bazowych ustawieo konfiguracji, tak, aby speniay wymagania
potrzeb biznesowych organizacji oraz organw wydajcych regulacje, korzystajc z informacji
udostpnionych w narzdziu SCM, przewodnikw zabezpieczeo, oraz Information
Technology Governance, Risk, and Compliance (IT GRC) Process Management Pack for
System Center Service Manager4.
Zastosowanie celw kontrolnych i czynnoci kontrolnych w poczeniu z ustawieniami
bazowymi w celu waciwej konfiguracji i utrzymania stanu zgodnoci IT zarzdzanych
systemw.
Konfiguracja ustawieo dla produktw Microsoft takich jak systemy Windows, Microsoft Office, oraz
Internet Explorer moe byd zarzdzana poprzez wykorzystanie zasad grupowych (Group Policy),
korzystajc z narzdzia SCM w celu dopasowania ustawieo bazowych do wasnych potrzeb. Po
przygotowaniu ustawieo naley je wyeksportowad w postaci arkusza Excel w celu przeprowadzenia
rozmw ze stronami zainteresowanymi caej organizacji. Po zatwierdzeniu ustawieo, naley je
wyeksportowad w postaci kopi zapasowej zasad grupowych, i wdroyd je w rodowisku testowym
wykorzystujc mechanizm zasad grupowych usug katalogowych Active Directory. W przypadku
komputerw niepracujcych w domenie, naley zastosowad narzdzie Local Policy Tool, ktre
dostpne jest w narzdziu SCM (narzdzie to bdzie omwione rozdziale 2.5).
3
4
1.3.
Praca z rekomendowanymi bazowymi ustawieniami konfiguracji
(baseline)
Narzdzie SCM zawiera rekomendowane bazowe ustawienia konfiguracji dla produktw Microsoft,
ktre mog byd zarzdzane i dostosowywane do wasnych potrzeb. Po wprowadzeniu zmian
speniajcych wymagania organizacji do bazowych ustawieo konfiguracji, mona przeprowadzid
proces weryfikacji ustawieo zasad grupowych dla kadego komputera poprzez wygenerowanie
dostosowanych ustawieo bazowych w narzdziu SCM. W celu osignicia standaryzacji i zgodnoci ze
standardami mona osignd poprzez utworzenie pakietw Desired Configuration Management
(DCM) dla bazowych ustawieo a nastpnie zaimportowanie tych ustawieo do rozwizania System
Center Configuration Manager. Zastosowanie funkcjonalnoci DCM dla System Center Configuration
Manager zautomatyzuje proces wdroenia ustawieo zapewniajcych zgodnod ze standardami.
Dodatkowo narzdzie SCM pozwala na wykonanie eksportu bazowych ustawieo konfiguracji w
formacie Security Content Automation Protocol (SCAP). Format SCAP jest wspierany przez wiele
narzdzi sucych do zarzdzania zabezpieczeniami i konfiguracj dostarczonych przez Microsoft
oraz firmy trzecie. W celu uzyskania dodatkowych informacji na temat formatu SCAP, naley
zapoznad si informacjami umieszczonymi stronie National Institute of Standards and Technology
(NIST) 5.
Kontrol podjtych czynnoci majcych na celu zapewnienie zgodnoci mona wykonad poprzez
zastsoowanie i integracj produktw Microsoft System Center Service Manager i IT GRC Process
Management Pack. Czynnod ta wspomaga organizacje w osigniciu celu implementacji procesu
adu korporacyjnego, zarzdzania ryzykiem i zgodnoci ze standardami IT (IT GRC). Produkt System
Center Service Manager umoliwia przygotowanie automatycznych raportw przeznaczonych dla
kard kierowniczych, audytorw IT oraz innych osb biorcych udzia w projekcie. Proces IT GRC
zostanie omwiony szerzej w rozdziale drugim ad korporacyjny, zarzdzanie ryzykiem oraz
zgodnod ze standardami w IT (IT GRC).
Narzdzie SCM wspomaga zarzdzania bazowymi ustawieniami konfiguracji dla produktw Microsoft,
ktrych nie mona konfigurowad poprzez zasady grupowe (Group Policy), takie jak serwer Microsoft
Exchange. SCM zawiera zestaw skryptw PowerShell dla tego typu produktw, ktre umoliwi
wdroenie bazowych ustawieo konfiguracji dla jednego lub wielu serwerw korzystajc z procesu
automatyzacji, ktry poprzez wykorzystanie skryptw (programw) uatwiajcych wykonanie zadao
powtarzajcych si ograniczajc w tym procesie czynnoci wykonywane przez ludzi.
Ten sam zestaw skryptw mona rwnie wykorzystad w celu przeskanowania komputerw pod
ktem zgodnoci, moliwe jest rwnie skorzystanie z funkcji eksportowania pakietw
konfiguracyjnych DCM w narzdziu SCM. W celu uzyskania dodatkowych informacji naley zapoznad
si dokumentem Exchange Server PowerShell Script Kit User Guide, ktry dostpny jest wewntrz
narzdzia SCM w obszarze Attachments \ Guides.
Na Rys. 1.3.1. przedstawiono proces zarzdzania bezpieczeostwem i zgodnoci ze standardami z
zastosowaniem technologii dla potrzeb organizacji.
http://scap.nist.gov/
Wicej informacji na temat narzdzia SCM, znajduje si na stronie Microsoft Security Compliance
Manager6. Warto rwnie odwiedzid witryn SCM Wiki7 na stronach TechNet.
Rys. 1.3.1. Zarzdzanie bezpieczeostwem i zgodnoci ze standardami z zastosowaniem technologii

dla potrzeb organizacji
1.4.
Dla kogo przeznaczony jest ten podrcznik?
Podrcznik przeznaczony jest w gwnej mierze dla specjalistw zarzdzajcych bezpieczeostwem,

architektw sieciowych, Administratorw IT, specjalistw IT oraz konsultantw planujcych
wdroenie infrastruktury IT, wdroenie systemu Windows 8 na komputerach klienckich w rodowisku
domenowym jak i poza domenowym.
1.5.
Dodatkowe informacje i wskazwki
Poniej przedstawiono dodatkowe zasoby zawierajce informacje na tematy zwizane z

bezpieczeostwem systemu Microsoft Windows 8:
Federal Desktop Core Configuration (FDCC)8.
Microsoft Assessment and Planning Toolkit9.
Microsoft Security Compliance Manager10.
SCM Wiki11.
http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-managerscm.aspx#comment-2585
8
http://fdcc.nist.gov/
9
10
7
Security and Compliance Management Forum12.
11
http://social.technet.microsoft.com/wiki/contents/articles/microsoft-security-compliance-managerscm.aspx#comment-2585
12
http://social.technet.microsoft.com/Forums/en-us/compliancemanagement/threads
2. Wdraanie rekomendowanych zasad bezpieczeostwa w kontekcie

bazowych ustawieo systemu Windows 8
2.1.
Wprowadzenie
Firma Microsoft wraz z kadym nowo udostpnianym systemem operacyjnym wprowadza nowe
rozwizania w zakresie bezpieczeostwa. Ich dua rnorodnod w Windows 8 powoduje, e jest on
aktualnie najlepiej zabezpieczonym systemem Windows, ktry zosta do tej pory wydany.
Konfiguracja opcji zabezpieczeo w odrnieniu od wczeniejszych wersji Windows odbywa si
obecnie poprzez Zasady polityk grupowych GPO (z ang. Group Policy Object). Mechanizm GPO
zapewnia centraln infrastruktur umoliwiajc w oparciu o struktur hierarchiczn zarzdzanie
ustawieniami komputerw i/lub uytkownikw wczajc w to ustawienia zabezpieczeo.
Znane poprzednio kategorie odniesienia dla ustawieo bezpieczeostwa Specialized Security Limited
Functionality (SSLF) oraz Enterprise Client (EC) zostay zastpione poziomami wanoci (ang. severity
level):
Krytyczny
Ustawienia na tym poziomie maj wysoki stopieo wpywu na bezpieczeostwo komputera
i/lub przechowywanych na nim danych. Zaleca si stosowanie wszystkich ustawieo
krytycznych w organizacji
Istotny
Ustawienia na tym poziomie maj znaczcy wpyw na bezpieczeostwo komputera i/lub
przechowywanych na nim danych. S one konfigurowane w organizacjach, ktre
przechowuj wraliwe dane a tym samym s one ukierunkowane na ochron swoich
systemw informatycznych.
Opcjonalny
Ustawienia na tym poziomie maj niewielki wpyw na bezpieczeostwo, przez co wikszod
organizacji pomija je na etapie projektowania zasad bezpieczeostwa. Nie oznacza to jednak
dowolnoci w zakresie ich stosowania. Dla przykadu - wiele ustawieo dotyczcych Windows,
Internet Explorer czy Office ukrywa elementy interfejsu uytkownika, ktre upraszczaj prac
a nie maj bezporedniego wpywu na bezpieczeostwo.
Niezdefiniowany
Jest to domylny poziom wanoci w Security Compliance Manager. Ustawienia, ktre nie
byy dostpne wczeniej s oznaczone takim poziomem. Przyjmuje si, e ich znaczenie
porwnywalne jest z poziomem Opcjonalny, przez co maj bardzo may lub zerowy wpyw na
bezpieczeostwo.
W zalenoci od wybranego formatu eksportu dla regu, poziomy wanoci przyjmuj nazwy zgodnie
z ponisz tabel:
Security Compliance Manager

(SCM)
Desired Configuration Management

(DCM)
Krytyczny
Istotny
Krytyczny
Ostrzegawczy
Security Content
Automation Protocol
(SCAP)
Wysoki
redni
Opcjonalny
Informacyjny
Niski
Niezdefiniowany
Inny
Nieznany
Tab. 2.1.1 Wykaz nazw poziomw wanoci w zalenoci od wybranego formatu eksportu
2.2.
Projektowanie struktur jednostek organizacyjnych (OU) ze
szczeglnym uwzgldnieniem zasad bezpieczeostwa
Usuga katalogowa Active Directory umoliwia scentralizowane zarzdzanie infrastruktur
przedsibiorstwa. Dziki hierarchicznej budowej mona stworzyd model, ktry bdzie uwzgldnia
narzucone i podane aspekty bezpieczeostwa organizacji.
Jednostka organizacyjna OU (z ang. Organizational Unit) jest kontenerem wewntrz domeny Active
Directory Domain Services (AD DS), ktry moe zawierad uytkownikw, grupy, komputery oraz inne
jednostki organizacyjne. Wyrniamy nadrzdne oraz podrzdne jednostki organizacyjne.
Jedn z wanych cech jednostek organizacyjnych jest moliwod doczania do nich zbiorw zasad
grupowych GPO. Dziki temu zadeklarowane ustawienia mog byd przekazywane do znajdujcych si
wewntrz obiektw uytkownikw i komputerw. Dodatkowo istnieje moliwod delegowania
kontroli administracyjnej (rys. 2.2.1) nad jednostkami organizacyjnymi, dziki czemu upraszcza si
zarzdzanie.
Rys. 2.2.1 Kreator delegowania kontroli w Uytkownicy i komputery Active Directory.
Dziki jednostkom organizacyjnym mona rwnie tworzyd granice administracyjne oddzielajce

uytkownikw od komputerw. Takie rozwizanie idealnie sprawdza si w scenariuszach stosowania
ustawieo wycznie dedykowanych komputerom oraz wyczenie dedykowanych uytkownikom.
Najwaniejszym celem projektowania struktury jednostek organizacyjnych powinna byd moliwod
jednolitej implementacji zasad grupowych z uwzgldnieniem spenienia wszystkich standardw i
zaleceo w zakresie bezpieczeostwa.
Na rysunku 2.2.2 zaprezentowana zostaa przykadowa struktura uwzgldniajca moliwe do
zastosowania poziomy jednostek organizacyjnych w typowych rozwizaniach usug katalogowych
Active Directory.
Korzeo domeny
Serwery
czonkowskie
Departament
Kontrolery
domeny
Windows
Server 2012
Rola
serwerowa
1
Windows
8
Uytkownicy
Windows 8
Komputery
Windows 8
Rola
serwerowa
2
Rola
serwerowa
3
Rola
serwerowa
4
Rys. 2.2.2 Przykadowa struktura jednostek organizacyjnych dla komputerw oraz uytkownikw.
Korzeo domeny
Ustawienia, ktre dotycz zabezpieczeo caej domeny mona stosowad w ramach GPO doczonego
do domeny. Na tym poziomie nie s zarzdzane komputery oraz uytkownicy.
Jednostki organizacyjne
Serwery penice role kontrolerw domeny przechowuj wiele wraliwych danych, w tym dane, ktre
kontroluj konfiguracj zabezpieczeo ich samych. Stosowanie GPO na poziomie jednostki
organizacyjnej Kontrolery domeny umoliwia konfiguracj i ochron kontrolerw domeny.
Serwery czonkowskie
Stosowanie zasad GPO do poredniej jednostki organizacyjnej Serwery czonkowskie zapewnia
moliwod konfiguracji staych opcji dla wszystkich serwerw bez uwzgldniania podziau na penione
przez ni role.
Role serwerowe
Dobr praktyk jest tworzenie dedykowanych jednostek organizacyjnych dla wszystkich rl
serwerowych w organizacji. Dziki temu zachowuje si ujednolicony model, ktry umoliwia
stosowanie zasad GPO opartych na rolach serwerowych.
Dla serwerw utrzymujcych wiele rl mona tworzyd dodatkowe jednostki organizacyjne zgodnie z
ich konfiguracj. W kolejnym kroku do takiej jednostki organizacyjnej docza si zbiory GPO
dedykowane okrelonym rolom serwerowym. Naley zwrcid szczegln uwag na mieszane
konfiguracje, aby uwzgldnid kolejnod przetwarzania zasad GPO a tym samym uzyskiwane,
wynikowe ustawienia.
Departament
Wymagania w zakresie zabezpieczeo s rne i czsto zalene s od struktury organizacyjnej. Tym
samym tworzenie jednostek organizacyjnych dla poszczeglnych komrek pozwala na stosowanie
ustawieo zabezpieczeo dla komputerw i uytkownikw w zgodzie z przydziaem biznesowym.
Uytkownicy Windows 8
Stosowanie specjalnych jednostek organizacyjnych, w ktrych przechowywane s konta
uytkownikw daje moliwod stosowania dedykowanych dla nich zasad zabezpieczeo.
Komputery Windows 8
Stosowanie dedykowanych jednostek organizacyjnych, w ktrych przechowywane s konta
komputerw pozwala na stosowanie ustawieo zabezpieczeo zarwno dla komputerw stacjonarnych
jak i mobilnych.
2.3.
Projektowanie obiektw zasad grupowych (GPO) struktur jednostek
organizacyjnych ze szczeglnym uwzgldnieniem zasad bezpieczeostwa
GPO jest zbiorem zawierajcym ustawienia zasad grupowych, ktry definiuje si w przystawce
Zarzdzanie zasadami grupy (Rys. 2.3.1).
Rys. 2.3.1 Przystawka Zarzdzanie zasadami grupy.
Ustawienia tam zawarte s przechowywane na poziomie domeny i mog oddziaywad na

uytkownikw i/lub komputery znajdujce si w lokacji, domenach i jednostkach organizacyjnych.
Konfiguracja rczna ustawieo zapewniajcych identyczne efekty moe prowadzid do niespjnoci. W
konsekwencji moe to wymusid zapewnienie odpowiedniej iloci osb, ktre bd odpowiaday za
jednolite wdroenie narzuconych zasad.
Wykorzystanie zasad grupowych w odrnieniu od rcznej konfiguracji ustawieo upraszcza ponad to
zarzdzanie oraz zapewnia natychmiastow aktualizacj zmian dla wielu komputerw i
uytkownikw. Zasady GPO zdefiniowane w obrbie domeny nadpisuj ustawienia zasad lokalnych,
co pozwala na utrzymanie centralnego modelu zarzdzania konfiguracj.
Kolejnod przetwarzania GPO przedstawiona zostaa na rysunku 2.3.2.
5 Podrzdne zasady OU
4 Nadrzdne zasady OU
3 Zasady domeny
2 Zasady lokacji
1 Zasady lokalne
Rys.2.3.2 Kolejnod przetwarzania zasad GPO.
Jako pierwsze przetwarzane s zasady lokalne, nastpnie na poziomie lokacji, domeny oraz jednostek
organizacyjnych. Zbiory znajdujce si na poziomie jednostek organizacyjnych s przetwarzane
hierarchicznie od najwyszego OU do najniej pooonego OU.
Tym samym ustawienia zdefiniowane dla komputerw znajdujce si na najniszym poziomie
hierarchii jednostek organizacyjnych stosowane s, jako ostatnie i maj najwyszy priorytet. Takie
dziaanie obowizuje od systemw Windows Server 2003 SP2, Windows Server 2008, Windows XP
SP3 oraz Windows Vista. Dla uytkownikw model przetwarzania zasad jest identyczny.
Istnieje kilka zaleceo zwizanych z projektowaniem zasad grupowych, o ktrych warto jest pamitad.
Administrator powinien ustalid kolejnod doczenia wielu GPO do jednostki organizacyjnej.

Domylnie s one stosowane zgodnie z kolejnoci doczania na etapie konfiguracji. Zasady
znajdujce si wyej na licie Kolejnod czy maj wyszy priorytet. Tym samym w
przypadku zdefiniowania takiego samego ustawienia w dwch zbiorach zasad grupowych
efektywnym staje si to pochodzce od zbioru majcego wyszy priorytet.
Rys 2.3.3.. Zakadka Powizane obiekty zasad grupy definiujca kolejnod przetwarzania zasad
grupowych.
W ramach konfiguracji GPO dostpna jest opcja Wymuszone. Jej zastosowanie powoduje, e
zdefiniowane tam zasady nie bd nadpisywane przez inne zbiory bez wzgldu na ich
poziom doczenia.
Stosowanie ustawieo zasad grupowych cile zwizane jest z pooeniem obiektw
uytkownik i komputer w AD DS. W niektrych scenariuszach podane jest natomiast
stosowanie ustawieo dla uytkownika w oparciu o pooenie obiektu komputer. W takich
sytuacjach przydatna staje si opcja Tryb przetwarzania sprzenia zwrotnego zasad grupy
uytkownika. Umoliwia ona stosowanie ustawieo konfiguracji uytkownika pochodzcego
ze zbioru zawierajcego ustawienia konfiguracji komputera.
Na poziomie lokacji, domeny oraz jednostki organizacyjnej mona stosowad opcj Zablokuj
dziedziczenie. Jej wczenie powoduje, e ustawienia pochodzce od nadrzdnych zbiorw
GPO nie s przekazywane do obiektw podrzdnych. Przy konfiguracji zawierajcej opcje
Wymuszone oraz Zablokuj dziedziczenie waniejsz jest opcja Wymuszone.
W odniesieniu do wczeniej zaproponowanej struktury jednostek organizacyjnych (rys. 3.3.2) projekt

zakadajcy wykorzystanie zasad grupowych powinien uwzgldnid zbiory GPO zapewniajce:
zasady dla domeny

zasady dla kontrolerw domeny
zasady dla serwerw czonkowskich

zasady dla kadej roli serwerowej w organizacji
zasady dla uytkownikw zgromadzonych w jednostce organizacyjnej Windows 8
zasady dla komputerw znajdujcych si w jednostce organizacyjnej Komputery
Struktura speniajce powysze warunki zostaa przedstawiona na rysunku 2.3.4.
Korzeo domeny
Zasadydla domeny
Zbir podstawowy zasad

dla kontrolerw domeny
Serwery
czonkowskie
Departament
Kontrolery
domeny
Zbir podstawowy zasad

dla serwerw Windows Server 2012
Windows
Server 2012
Windows
8
Uytkownicy
Windows 8
Zasady uytkownika
Windows 8
Komputery
Windows 8
Zasady uytkownika
Office 2013
Zasady uytkownika
Windows 8
Zasady uytkownika
Internet Explorer 10
Zasady dla
serwerw AD DS
Zasady uytkownika
Internet Explorer 10
Zasady dla
serwerw DNS
Zasady dla
serwerw DHCP
Zasady uytkownika
Office 2013
Zasady dla
serwerw plikw
Zasady dla
serwerw Web
Zasady dla
serwerw AD CS
Zasady dla
serwerw wydruku
Zasady dla
serwerw RDS
Zasady dla
serwerw NPAS
Zasady dla
serwerw Hyper-V
Rys. 2.3.4 Przykadowa struktura jednostek organizacyjnych z dowizaniami GPO dla infrastruktury Windows 8
oraz Windows Server 2012.
2.4.
Zastosowanie filtrowania WMI w celu okrelenia dokadnej grupy
docelowej odbiorcw zasad GPO
Filtrowanie oparte o instrumentacj zarzdzania Windows WMI (z ang. Windows Management
Instrumentation) dostpne jest od Windows XP i Windows Server 2003. Mechanizm WMI umoliwia
dynamiczne sprawdzanie wartoci atrybutw dotyczcych komputerw, na ktre ma oddziaywad
okrelony zbir GPO. Atrybuty mog dotyczyd danych konfiguracyjnych

oprogramowania. Przykadowymi atrybutami mog byd:
sprztu
i/lub
rodzaj procesora,
wersja Windows,
producent komputera,
wolne miejsce na dysku,
liczba procesorw logicznych,
dane odczytywane z rejestru,
informacje o sterownikach,
elementy systemu plikw,
konfiguracja sieciowa
dane aplikacji.
Jeli ze zbiorem GPO zwizany jest filtr WMI nastpuje jego przetwarzanie na stacji. Dziki temu tylko
w sytuacji spenienia okrelonych filtrem WMI warunkw, ustawienia GPO zostan zastosowane.
Zapytania WMI tworzone s z wykorzystaniem jzyka WQL (z ang. WMI Query Language), ktry jest
jzykiem podobnym do SQL (z ang. Structured Query Language). Zapytania mog byd czone
operatorami AND i OR w zalenoci od potrzeb.
Kade zapytanie WMI jest wykonywane w przestrzeni nazewniczej WMI. Domyln przestrzeni jest
root\CIMv2.
Filtry WMI s oddzielnymi obiektami od GPO. Aby zastosowad filtr WMI naley go doczyd do zbioru
GPO (Rys. 2.4.1).
Rys. 2.4.1 Doczenie filtru WMI do zbioru GPO.
Kady zbir GPO moe posiadad tylko jeden filtr WMI. Natomiast pojedynczy filtr WMI moe byd
doczany do wielu GPO. Filtry WMI oraz powizane zbiory GPO musz znajdowad si w tej samej
domenie.
W tabeli 2.4.2 zawarte zostay przykady filtrw WMI.
Kryterium
Konfiguracja
Cel administracyjny
Zablokowanie wczania
Microsoft Network Monitor
(Netmon.exe) na stacjach,
ktre maj wczony ruch
grupowy.
Filtr WMI
SELECT * FROM Win32_NetworkProtocol
WHERE SupportsMulticasting = true
Strefa czasowa
Poprawki
Rodzaj
komputera
Stosowanie zasad na
wszystkich serwerach
zlokalizowanych w Polsce.
Stosowanie zasad na
komputerach z zainstalowan
okrelon poprawk.
Stlosowanie zasad tylko na
komputerach mobilnych.
Rodzaj baterii
Stosowanie zasad tylko na

komputerach z bateri litowojonow.
Inwentaryzacja
Przypisanie oprogramowanie
oprogramowania tylko do komputerw, ktre
maj zainstalowany jeden lub
wicej okrelonych pakietw
oprogramowania.
System
Zastosowanie wycznie na
operacyjny
komputerach z Windows 8.
Zasoby
Zastosowanie wycznie na
komputerach, ktre maj, co
najmniej 4GB wolnego miejsca
na dyskach lokalnych.
Root\cimv2 ; SELECT * FROM win32_timezone

WHERE bias =-60
Root\cimv2 ; SELECT * FROM
Win32_QuickFixEngineering WHERE HotFixID
= 'q147222'
Root\CimV2; SELECT * FROM
Win32_ComputerSystem WHERE
PCSystemType = 2
Root\CimV2; SELECT * FROM Win32_Battery
WHERE Chemistry = '6'
Root\cimv2; SELECT * FROM Win32_Product
WHERE name = "MSIPackage1" OR name =
"MSIPackage2"

Win32_OperatingSystem WHERE Version
>=6.2
Win32_LogicalDisk WHERE FreeSpace >
4294967296 AND MediaType = 12
Tab 2.4.2. Przykady filtrw WMI.
Tworzenie i zarzdzanie filtrami WMI moe byd wykonane za pomoc dodatkowych narzdzi:
WMI Administrative Tools

http://www.microsoft.com/en-us/download/details.aspx?id=24045
WMI Code Creator
Windows PowerShell Scriptomatic
2.5.
Omwienie narzdzia Local Policy Tool
W ramach Security Compliance Manager dostpne jest narzdzie tekstowe LocalGPO. Umoliwia ono
wykonywanie wielu czynnoci obsugowych na zbiorach ustawieo zasad grupowych, wrd nich:
stosowanie ustawieo zabezpieczeo w kontekcie lokalnych ustawieo zasad grupowych,

eksport lokalnych ustawieo zasad grupowych,
tworzenie pakietw zawierajcych ustawienia, ktre mona stosowad na stacjach bez
zainstalowanego narzdzie LocalGPO,
centralizacj lokalnych zbiorw zasad grupowych za pomoc Multiple Local GPO (MLGPO),
aktualizacj interfejsu graficznego do wywietlania dodatkowych ustawieo zbiorw zasad
grupowych w ramach grupy MSS (z ang. Microsoft Solutions for Security).
Narzdzie LocalGPO nie jest automatycznie instalowane wraz z SCM. W celu instalacji naley
uruchomid z lokalizacji c:\Program Files (x86)\Microsoft Security Compliance Manager\LGPO plik
LocalGPO.msi i wykorzystujc kreatora wybrad preferowane opcje instalacji.
Po pomylnym zainstalowaniu LocalGPO w ramach Menu Start dostpny jest folder LocalGPO:
Rys.2.5.1 Folder LocalGPO w Menu Start.
2.6.
Omwienie i praktyczne zastosowanie narzdzia Attack Surface
Analyzer (ASA)
Firma Microsoft udostpnia narzdzie Attack Surface Analyzer (ASA), ktre umoliwia okrelenie
zmian dokonywanych na systemie operacyjnym komputera podczas instalacji oprogramowania.
Dziaanie narzdzia ASA poprzedzone jest kadorazowo wykonaniem migawki stanu komputera. Po
instalacji danego oprogramowania wywietlany jest raport o zmianach w zakresie:
usug
sterownikw
uruchomionych procesw
kontrolek COM
serwerw DCOM
zmian dokonanych w zakresie uprawnieo domylnych DCOM
skojarzeo rozszerzeo plikw
kontrolek Microsoft ActiveX
Internet Explorer Pluggable Protocol Handlers
Internet Explorer Silent Elevation Entries
Internet Explorer Preapproved Controls
portw
strumieni nazw
regu zapory
punktw koocowych wywoao RPC
wpisw cieek
grup i czonkostwa w nich
zasobw sieciowych
Dziki raportowi, ktry dostarcza ASA mona atwo okrelid wpyw instalacji oprogramowania na
funkcje Windows oraz mona w atwy sposb je zweryfikowad.
2.7.
Omwienie mechanizmu kont MSA
Jedn z nowych funkcji w Windows 7 SP1 oraz Windows Server 2008 R2 s konta MSA (z ang.
Managed Service Accounts), ktre pozwalaj zmniejszyd ryzyko kompromitacji kont uywanych do
zarzdzania usugami. Na stacjach lokalnych administrator moe konfigurowad aplikacje do

uruchamiania w kontekcie kont Usuga lokalna, Usuga sieciowe lub System lokalny. W przypadku
domeny zasig dziaania uniemoliwia jednak ich wykorzystanie.
Stosujc standardowe konta uytkownikw do uruchamiania aplikacji naley zadbad o polityk
zwizan z zarzdzaniem hasami. Konta MSA umoliwiaj w tym zakresie pen automatyzacj.
Dodatkowo zapewniaj moliwod ustawiania dla nich nazwy gwnej usugi SPN (z ang. Service
Principal Name) oraz delegowanie zarzdzania SPN.
Zarzadzanie kontami MSA odbywa si wycznie z poziomu PowerShell.
Kontrolery domeny dziaajce pod kontrol Windows Server 2008 i Windows Server 2003 posiadaj
wsparcie dla kont MSA.
W Windows 8 oraz Windows Server 2012 wprowadzono grupy MSA. Zapewniaj one moliwod
uycia kont MSA w rodowisku, gdzie wicej ni jeden komputer wymaga uruchomienia usug za
pomoc tego samego konta.
2.8.
Ustawienia zasad domenowych
Domylnie do obiektw usugi katalogowej Active Directory Domain Services stosowana jest
ograniczona liczba ustawieo zabezpieczeo. S one konfigurowane w obrbie wza Konfiguracja
komputera, w ramach:
Zasady hase
Zasady blokady konta
Poniej omwione zostay szczegowe ustawienia w zakresie tych gazi.

Zalecenia dotyczce ustawieo w zalenoci od roli serwerowej znajduj si w narzdziu Security
Compliance Manager (SCM).
2.8.1 Konfigurowanie ustawieo dla zbioru Zasady hase

Jednym z kluczowych zaoeo bezpieczeostwa systemw IT jest dobrze dobrana i ustalona
polityka dotyczca hase. Takie elementy jak zoonod hase, cyklicznod zmiany czy wiadomod
ich przechowywania skadaj si na ogln polityk bezpieczeostwa stanowic kluczowy aspekt
caoci.
Zasady dotyczce hase zorganizowane s w obrbie gazi
Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeo\Zasady
konta\Zasady hase
(Computer Configuration\Windows Settings\Security Settings\Account Policies\Password
Policy)
Zasada
Poziom
wanoci
Ustawienie domylne
Ustawienie
zalecane przez
Microsoft
Wymuszaj tworzenie
historii hase
Krytyczny
24 pamitane hasa
24
pamitane
hasa
Maksymalny okres
wanoci hasa
Krytyczny
42 dni
60 dni
Minimalny okres wanoci

hasa
Minimalna dugod hasa
Krytyczny
0 dni
1 dzieo
Krytyczny
0 znakw
14 znakw
Haso musi speniad

wymagania, co do
zoonoci
Zapisz hasa dla wszystkich
uytkownikw w domenie,
korzystajc z szyfrowania
odwracalnego
Krytyczny
Wyczone
Wczone
Krytyczny
Wyczone
Wyczone
W hasach mog byd stosowane znaki z czterech grup:
Wielkie litery
Mae litery
Cyfry
Znaki specjalne
Zoonod hasa (w kontekcie zasady Haso musi speniad wymagania co do zoonoci)
oznacza, e s w nim wykorzystane znaki z co najmniej trzech powyszych grup.
Zapewnienie zmiany hase przez uytkownikw tylko w cile okrelonym momencie wymaga
ustalenia zasad dotyczcych minimalnego i maksymalnego wieku hasa. Dla zasad Minimalny
okres wanoci hasa oraz Maksymalny okres wanoci hasa obowizuj ponisze zalenoci.
Minimalny okres wanoci hasa

Wartod minimalna 0 oznacza, e haso moe byd zmieniane w dowolnym momencie.
Wartod maksymalna 998 oznacza, e haso moe byd zmienione po upywie 998 dni.
Maksymalny okres wanoci hasa

Wartod minimalna 0 oznacza, e wanod hasa nigdy nie wygasa.
Wartod maksymalna 999 oznacza, e wanod hasa wygasa po 999 dniach.
Midzy zasadami Minimalny okres wanoci hasa a Maksymalny okres wanoci hasa
obowizuje zalenod:
Maksymalny okres wanoci hasa = Minimalny okres wanoci hasa + 1
Domylnie uytkownicy mog zmienid swoje haso w interwale czasowym okrelonym parametrami
minimalny i maksymalny okres wanoci hasa. Jeli istnieje potrzeba zablokowania moliwoci
zmiany hasa przez uytkownika w interwale narzuconym powyszymi ustawieniami mona wczyd
polityk Usuo opcj Zmieo haso (dostpn po wciniciu klawiszy Ctrl+Alt+Delete) w ramach ustawieo
zasad grupowych w:
Konfiguracja uytkownika\Szablony administracyjne\System\Opcje klawiszy Ctrl+Alt+Delete
2.9.
Konfigurowanie ustawieo hase granularnych oraz dla zbioru Zasady
blokady konta
Wrd ustawieo zwizanych z hasami uytkownikw istotn rol peni ustawienia hase
granularnych (ang. Fine-Grained Password) oraz Zasady blokady konta.
Hasa granularne to rozwizanie, ktre umoliwia wdroenie modelu ustawieo zasad hase
dedykowanego okrelonym uytkownikom lub grupom uytkownikw. Jest to moliwe w rodowisku
domenowym o poziomie funkcjonalnoci domeny od Windows Server 2008.
Zasady blokady konta zapewniaj ochron przed prbami odgadnicia hase uytkownikw.
Realizowane to jest przez zliczanie bdnych prb logowania i wykonanie okrelonej akcji zwizanej
ze stanem konta uytkownika. Zasady blokady konta znajduj si w gazi:
Konfiguracja komputera\Ustawienia
konta\Zasady blokady konta
systemu
Windows\Ustawienia
zabezpieczeo\Zasady
(Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout

Policy)
Poziom
wanoci
Zasada
Ustawienie domylne
Czas trwania blokady

konta
Prg blokady konta
Krytyczny
Brak
Krytyczny
0 nieudanych
zalogowania
Wyzeruj licznik blokady

konta po
Krytyczny
Brak
2.10.
Ustawienie zalecane
przez Microsoft
15 minut
prb
5 nieudanych
zalogowania
prb
15 minut
Ustawienia zasad Computer Policy Settings
Ustawienia zabezpieczeo stosowane dla obiektw Komputer s skupione wok poniszych

gazi:
Zasady inspekcji
Przypisywanie praw uytkownika
Opcje zabezpieczeo
Dziennik zdarzeo
Zapora systemu Windows z zabezpieczeniami zaawansowanymi
Szablony administracyjne
2.11.
Konfigurowanie szczegowych ustawieo zbioru Zasady inspekcji
Zasady inspekcji umoliwiaj gromadzenie szczegowych informacji na temat aktywnoci

uytkownikw i systemu w okrelonych kategoriach.
W Windows 8 dostpnych jest 9 kategorii gwnych oraz ustawienia podkategorii dostpne w gazi
Inspekcja globalnego dostpu do obiektw.
Zasady inspekcji kategorii gwnych znajduj si w gazi:
lokalne\Zasady inspekcji
systemu
Windows\Ustawienia
zabezpieczeo\Zasady
(Computer Configuration\Windows Settings\Security Settings\Local Policies\Reguy Audytu)
Przeprowadzanie inspekcji zdarzeo logowania na kontach

Przeprowad inspekcj dostpu do obiektw
Przeprowad inspekcj dostpu do usugi katalogowej
Przeprowad inspekcj ledzenia procesw

Przeprowad inspekcj uycia uprawnieo
Przeprowad inspekcj zarzdzania kontami
Przeprowad inspekcj zdarzeo logowania
Przeprowad inspekcj zdarzeo systemowych
Zasady inspekcji podkategorii znajduj si w gazi:

Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeo\Konfiguracja
zaawansowanych zasad inspekcji
(Computer Configuration\Windows Settings\Security Settings\Zaawansowana Konfiguracja Regu
Audytu)
Zasada
Przeprowad inspekcj
weryfikacji powiadczeo
Przeprowad inspekcj
usugi uwierzytelniania
Kerberos
Przeprowad inspekcj
operacji biletw usugi
Kerberos
Przeprowad inspekcj
innych zdarzeo logowania
na kontach
Przeprowad inspekcj
zarzdzania grupami
aplikacji
Przeprowad inspekcj
zarzdzania kontami
komputerw
Przeprowad inspekcj
zarzdzania grupami
dystrybucyjnymi
Przeprowad inspekcj
innych zdarzeo zarzdzania
kontami
Przeprowad inspekcj
zarzdzania grupami
zabezpieczeo
Przeprowad inspekcj
zarzdzania kontami
uytkownikw
Przeprowad inspekcj
dziaania DPAPI
Przeprowad inspekcj
tworzenia procesu
Poziom
wanoci
Ustawienie
domylne
Ustawienie
zalecane przez
Microsoft
Krytyczny
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Sukces i
Niepowodzenie
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Sukces i
Niepowodzenie
Krytyczny
Sukces
Sukces i
Niepowodzenie
Krytyczny
Sukces
Sukces i
Niepowodzenie
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Sukces
Przeprowad inspekcj
zakooczenia procesu
Przeprowad inspekcj
zdarzeo RPC
Przeprowad inspekcj
szczegowej replikacji
usugi katalogowej
Przeprowad inspekcj
dostpu do usugi
katalogowej
Przeprowad inspekcj
zmian usugi katalogowej
Przeprowad inspekcj
replikacji usugi
katalogowej
Przeprowad inspekcj
blokady konta
Przeprowad inspekcj
trybu rozszerzonego
protokou IPsec
Przeprowad inspekcj
trybu gwnego protokou
IPsec
Przeprowad inspekcj
trybu szybkiego protokou
IPsec
Przeprowad inspekcj
wylogowywania
Przeprowad inspekcj
logowania
Przeprowad inspekcj
serwera zasad sieciowych
Przeprowad inspekcj
innych zdarzeo
logowania/wylogowywania
Przeprowad inspekcj
logowania specjalnego
Przeprowad inspekcj
wygenerowanych przez
aplikacj
Przeprowad inspekcj
przemieszczania
centralnych zasad dostpu
Przeprowad inspekcj
usug certyfikacji
Przeprowad inspekcj
szczegowego udziau
plikw
Przeprowad inspekcj
udziau plikw
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Sukces
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Sukces
Sukces
Krytyczny
Sukces
Krytyczny
Krytyczny
Sukces i
niepowodzenie
Nie skonfigurowano
Sukces i
Niepowodzenie
Nie skonfigurowano
Krytyczny
Sukces
Sukces
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
Przeprowad inspekcj
systemu plikw
Przeprowad inspekcj
poczenia platformy
filtrowania
Przeprowad inspekcj
porzucania pakietw
platformy filtrowania
Przeprowad inspekcj
manipulowania dojciem
Przeprowad inspekcj
obiektu jdra
Przeprowad inspekcj
innych zdarzeo dostpu do
obiektw
Przeprowad inspekcj
rejestru
Przeprowad inspekcj
magazynu wymiennego
Przeprowad inspekcj
SAM
Przeprowad inspekcj
zmiany zasad inspekcji
Przeprowad inspekcj
zmiany zasad
uwierzytelniania
Przeprowad inspekcj
zmiany zasad autoryzacji
Przeprowad inspekcj
zmiany zasad platformy
filtrowania
Przeprowad inspekcj
zmiany zasad na poziomie
reguy MPSSVC
Przeprowad inspekcj
innych zdarzeo zmiany
zasad
Przeprowad inspekcj
niepoufnego uycia
uprawnieo
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Sukces
Krytyczny
Sukces
Sukces i
Niepowodzenie
Sukces
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Przeprowad inspekcj
innych zdarzeo uycia
uprawnieo
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Przeprowad inspekcj
poufnego uycia
uprawnieo
Krytyczny
Nie skonfigurowano
Sukces i
Niepowodzenie
Przeprowad inspekcj
sterownika IPsec
Krytyczny
Nie skonfigurowano
Sukces i
Niepowodzenie
Przeprowad inspekcj
innych zdarzeo
systemowych
Krytyczny
Sukces i
niepowodzenie
Nie skonfigurowano
Przeprowad inspekcj
zmiany stanu zabezpieczeo
Krytyczny
Sukces
Sukces i
Niepowodzenie
Przeprowad inspekcj
rozszerzenia systemu
zabezpieczeo
Krytyczny
Nie skonfigurowano
Sukces i
Niepowodzenie
Przeprowad inspekcj
integralnoci systemu
Krytyczny
Sukces i
niepowodzenie
Sukces i
Niepowodzenie
System plikw
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
Rejestr
Krytyczny
Nie skonfigurowano
Nie skonfigurowano
2.12.
Konfigurowanie szczegowych zasad zbioru Przypisywanie praw
uytkownika
Przypisywanie praw uytkownika jest zbiorem ustawieo, ktry mona definiowad zapewniajc
uytkownikom delegowanie cile okrelonych czynnoci na systemie operacyjnym.
Zbir Przypisywanie praw uytkownika znajduje si w gazi:
lokalne\Przypisywanie praw uytkownika
(Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights
Assignment)
Zasada
Poziom
wanoci
Ustawienie
domylne
Administratorzy
Ustawienie
zalecane przez
Microsoft
Blokuj strony w pamici

Debuguj programy
Istotny
Krytyczny
Administratorzy
Dodaj stacje robocze do

domeny
Dostosuj przydziay
pamici dla procesw
Istotny
Istotny
Dziaanie jako czd

systemu operacyjnego
Krytyczny
Administratorzy,
Usuga lokalna, Usuga
sieciowa
-
Administratorzy,
sieciowa
-
Generuj inspekcje
zabezpieczeo
Logowanie w trybie
usugi
Logowanie w trybie
wsadowym
aduj i zwalniaj
sterowniki urzdzeo
Modyfikuj etykiet
obiektu
Modyfikuj wartoci
rodowiskowe
oprogramowania
ukadowego
Obejd sprawdzanie przy
przechodzeniu
Odmawiaj logowania za
pomoc usug pulpitu
zdalnego
Odmowa dostpu do
tego komputera z sieci
Krytyczny

sieciowa
NT Services\All services

sieciowa
-
Istotny
Administratorzy,
Operatorzy kopii
zapasowych,
Uytkownicy
dziennikw wydajnoci
Administratorzy
Istotny
Krytyczny
Istotny
Istotny
Administratorzy
-
Administratorzy
Administratorzy
Krytyczny
Administratorzy,
Operatorzy kopii
zapasowych, Usuga
lokalna, Usuga
sieciowa, Uytkownicy,
Wszyscy
Administratorzy,
Usuga sieciowa, Usuga
lokalna, Uytkownicy
Opcjonalny
Gocie
Krytyczny
God
Gocie
Odmowa logowania
lokalnego
Krytyczny
God
Gocie
Odmowa logowania w
trybie usugi
Krytyczny
Odmowa logowania w
trybie wsadowym
Krytyczny
Okrel konta
komputerw i
uytkownikw jako
zaufane w kwestii
delegowania
Krytyczny
Personifikuj klienta po
uwierzytelnieniu
Istotny
Profiluj pojedynczy
proces
Istotny
Administratorzy,
Usuga, Usuga lokalna,
Usuga sieciowa
Administratorzy
Administratorzy,
Usuga sieciowa
Administratorzy
Gocie
Profiluj wydajnod
systemu
Przejmij na wasnod pliki
lub inne obiekty
Przywracaj pliki i katalogi
Istotny
Synchronizuj dane usugi

katalogowej
Usuo komputer ze stacji
dokujcej
Utwrz cza symboliczne
Utwrz obiekt tokenu
Utwrz obiekty globalne
Istotny
Utwrz plik
stronicowania
Utwrz trwae obiekty
udostpnione
Uzyskaj dostp do
Menedera powiadczeo
jako zaufany obiekt
wywoujcy
Uzyskiwanie dostpu do
tego komputera z sieci
Istotny
Istotny
Opcjonalny
Administratorzy, NT
Administratorzy, NT
Service\WdiServiceHost Service\WdiServiceHost
Administratorzy
Administratorzy
Administratorzy,
Operatorzy kopii
zapasowych
-
Administratorzy
Krytyczny
Administratorzy,
Uytkownicy
Administratorzy
Administratorzy,
Usuga sieciowa
Administratorzy
Administratorzy
Administratorzy,
Usuga sieciowa
Administratorzy
Istotny
Istotny
Istotny
Istotny
Istotny
Krytyczny
Administratorzy,
Operatorzy kopii
zapasowych,
Uytkownicy, Wszyscy
Administratorzy,
Uytkownicy
Administratorzy
Wykonuj kopie zapasowe

plikw i katalogw
Istotny
Wykonuj zadania
konserwacji woluminw
Krytyczny
Administratorzy,
Operatorzy kopii
zapasowych
Administratorzy
Wymuszaj zamknicie z
systemu zdalnego
Krytyczny
Administratorzy
Administratorzy

sieciowa
Administratorzy,
Operatorzy kopii
zapasowych,
Uytkownicy
Administratorzy

sieciowa
Administratorzy,
Uytkownicy
Zamieo token na
poziomie procesu
Zamknij system
Zarzdzaj dziennikami
inspekcji i zabezpieczeo
Istotny
Istotny
Krytyczny
Administratorzy
Administratorzy
Zezwalaj na logowanie
lokalne
Krytyczny
Administratorzy,
Gocie, Operatorzy
kopii zapasowych,
Uytkownicy
Zezwalaj na logowanie za
pomoc usug pulpitu
zdalnego
Zmieo czas systemowy
Istotny
Zmieo stref czasow
Istotny
Zwiksz priorytet
planowania
Zwiksz zestaw roboczy
procesu
Istotny
Administratorzy,
Uytkownicy pulpitu
zdalnego
Administratorzy,
Usuga lokalna
Administratorzy,
Usuga lokalna,
Uytkownicy
Administratorzy
Istotny
Uytkownicy
2.13.
Istotny
Administratorzy,
Uytkownicy
Administratorzy,
Usuga lokalna
Administratorzy,
Usuga lokalna,
Uytkownicy
Administratorzy
Administratorzy,
Usuga lokalna
Konfigurowanie szczegowych zasad zbioru Opcje zabezpieczeo
Ustawienia w ramach gazi Opcje zabezpieczeo dostarczaj szerokich moliwoci konfiguracji

zabezpieczeo, ktre s uporzdkowane wedug grup.
lokalne\Opcje zabezpieczeo
(Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options)
Zasada
Poziom
wanoci
Ustawienie
domylne
Ustawienie
zalecane przez
Microsoft
Czonek domeny:
maksymalny wiek hasa
konta komputera
Krytyczny
30 dni
30 dni
Czonek domeny:
podpisuj cyfrowo dane
bezpiecznego kanau gdy to moliwe
Krytyczny
Wczone
Wczone
Czonek domeny: szyfruj

cyfrowo dane
bezpiecznego kanau gdy to moliwe
Krytyczny
Wczone
Wczone
Czonek domeny: szyfruj

lub podpisuj cyfrowo
dane bezpiecznego
kanau - zawsze
Krytyczny
Wczone
Wczone
Czonek domeny: wycz

zmiany hasa konta
komputera
Krytyczny
Wyczone
Wyczone
Czonek domeny:
wymagaj silnego klucza
sesji (system Windows
2000 lub nowszy)
Krytyczny
Wyczone
Wczone
DCOM: Ograniczenia
dotyczce dostpu do
komputera w skadni
jzyka SDDL (Security
Descriptor Definition
Language)
DCOM: Ograniczenia
dotyczce uruchamiania
komputera w skadni
jzyka SDDL (Security
Descriptor Definition
Language)
Dostp sieciowy:
nazwane potoki, do
ktrych mona uzyskiwad
dostp anonimowo
Dostp sieciowy: nie
zezwalaj na anonimowe
wyliczanie kont SAM
Opcjonalny
Niezdefiniowane
Niezdefiniowane
Opcjonalny
Niezdefiniowane
Niezdefiniowane
Istotny
Niezdefiniowane
Krytyczny
Wczone
Wczone
Dostp sieciowy: nie

zezwalaj na anonimowe
wyliczanie kont SAM i
udziaw
Krytyczny
Wyczone
Wczone
Dostp sieciowy: nie

zezwalaj na
przechowywanie hase
ani powiadczeo do
uwierzytelniania
sieciowego
Krytyczny
Wyczone
Niezdefiniowane
Dostp sieciowy:
ogranicz anonimowy
dostp do nazwanych
potokw i udziaw
Istotny
Wczone
Wczone
Dostp sieciowy: cieki

rejestru, do ktrych
mona uzyskiwad dostp
anonimowo
Istotny
Dostp sieciowy: cieki

rejestru, do ktrych
mona uzyskiwad dostp
anonimowo i cieki
podrzdne
Istotny
Dostp sieciowy:
udostpnianie i model
zabezpieczeo dla kont
lokalnych
Krytyczny
System\CurrentControl
Set\Control\ProductOp
tions
Set\Control\Server
Applications
Software\Microsoft\Wi
ndows
NT\CurrentVersion
Set\Control\Print\Print
ers
Set\Services\Eventlog
Software\Microsoft\OL
AP Server
ndows
NT\CurrentVersion\Pri
nt
ndows
NT\CurrentVersion\Wi
ndows
Set\Control\ContentInd
ex
Set\Control\Terminal
Server
Server\UserConfig
Server\DefaultUserCon
figuration
ndows
NT\CurrentVersion\Per
flib
Set\Services\SysmonLo
g
Klasyczny
uwierzytelnianie
uytkownikw
lokalnych, jako samych
siebie
Set\Control\ProductOp
tions
Set\Control\Server
Applications
ndows
NT\CurrentVersion
Set\Control\Print\Print
ers
Set\Services\Eventlog
Software\Microsoft\OL
AP Server
ndows
NT\CurrentVersion\Pri
nt
ndows
NT\CurrentVersion\Wi
ndows
Set\Control\ContentInd
ex
Server
Server\UserConfig
Server\DefaultUserCon
figuration
ndows
NT\CurrentVersion\Per
flib
Set\Services\SysmonLo
g
Klasyczny
uwierzytelnianie
uytkownikw
lokalnych, jako samych
siebie
Dostp sieciowy: udziay,

do ktrych mona
uzyskiwad dostp
anonimowo
Dostp sieciowy:
zezwalaj na anonimow
translacj
identyfikatorw
SID/nazw
Istotny
Niezdefiniowane
Niezdefiniowane
Krytyczny
Wyczone
Wyczone
Dostp sieciowy:
zezwalaj na stosowanie
uprawnieo Wszyscy do
anonimowych
uytkownikw
Krytyczny
Wyczone
Wyczone
Inspekcja: inspekcjonuj
dostp do globalnych
obiektw systemu
Krytyczny
Wyczone
Niezdefiniowane
Inspekcja: inspekcjonuj
uycie prawa do
wykonywania kopii
zapasowych i
przywracania
Krytyczny
Wyczone
Niezdefiniowane
Inspekcja: wymu
ustawienia podkategorii
zasad inspekcji (system
Windows Vista lub
nowszy), aby zastpid
ustawienia kategorii
zasad inspekcji
Krytyczny
Niezdefiniowane
Wczone
Inspekcja: zamknij
system natychmiast, jeli
nie mona rejestrowad
wynikw inspekcji
Krytyczny
Wyczone
Wyczone
Klient sieci Microsoft:

podpisuj cyfrowo
komunikacj (za zgod
serwera)
Krytyczny
Wczone
Wczone

podpisuj cyfrowo
komunikacj (zawsze)
Krytyczny
Wyczone
Wczone

wylij niezaszyfrowane
haso w celu nawizania
poczenia z innymi
serwerami SMB
Krytyczny
Wyczone
Wyczone
Konsola odzyskiwania:
zezwalaj na
automatyczne logowanie
administracyjne
Krytyczny
Wyczone
Wyczone
Konsola odzyskiwania:
zezwalaj na kopiowanie
na dyskietk oraz dostp
do wszystkich dyskw i
folderw
Konta: blokuj konta
Microsoft
Istotny
Wyczone
Wyczone
Krytyczny
Niezdefiniowane
Konta: ogranicz uywanie

pustych hase przez
konta lokalne tylko do
logowania do konsoli
Krytyczny
Wczone
Uytkownicy nie mog

dodawad kont
Microsoft ani logowad
si za ich pomoc
Wczone
Konta: Stan konta

administratora
Krytyczny
Wyczone
Wyczone
Konta: Stan konta gocia
Krytyczny
Wyczone
Wyczone
Konta: Zmienianie nazwy

konta administratora
Krytyczny
Administrator
Niezdefiniowane
Konta: Zmienianie nazwy

konta gocia
Kontrola konta
uytkownika:
podnoszenie uprawnieo
tylko tych aplikacji z
poziomem UIAccess,
ktre s zainstalowane w
bezpiecznych
lokalizacjach
Istotny
God
Niezdefiniowane
Wczone
Wczone
Krytyczny
Kontrola konta
uytkownika:
podnoszenie uprawnieo
tylko tych plikw
wykonywalnych, ktre s
podpisane i maj
sprawdzon poprawnod
Krytyczny
Wyczone
Wyczone
Kontrola konta
uytkownika: przecz na
bezpieczny pulpit przy
monitowaniu o
podniesienie uprawnieo
Krytyczny
Wczone
Wczone
Kontrola konta
uytkownika: tryb
zatwierdzania przez
administratora dla
wbudowanego konta
administratora
Krytyczny
Wyczone
Wczone
Kontrola konta
uytkownika:
uruchamianie wszystkich
administratorw w trybie
zatwierdzania przez
administratora
Krytyczny
Wczone
Wczone
Kontrola konta
uytkownika: wirtualizuj
bdy zapisu plikw i
rejestru w lokalizacjach
poszczeglnych
uytkownikw
Krytyczny
Wczone
Wczone
Kontrola konta
uytkownika:
wykrywanie instalacji
aplikacji i monitowanie o
Krytyczny
Wczone
Wczone
Kontrola konta
uytkownika: zachowanie
monitu o podniesienie
uprawnieo dla
zatwierdzania przez
administratora
Krytyczny
Monituj o zgod na
pliki binarne
niepochodzce z
systemu Windows
Monituj o zgod na
bezpiecznym pulpicie
Kontrola konta
uytkownika: zachowanie
monitu o podniesienie
uprawnieo dla
uytkownikw
standardowych
Kontrola konta
uytkownika: zezwalaj
aplikacjom z poziomem
UIAccess na
monitowanie o
bez uywania
bezpiecznego pulpitu
Kryptografia systemu:
uyj zgodnych
algorytmw FIPS dla
celw szyfrowania,
tworzenia skrtu i
podpisywania
Kryptografia systemu:
wymu mocn ochron
klucza dla kluczy
uytkownikw
przechowywanych na
komputerze
Logowanie interakcyjne:
liczba poprzednich
zalogowao do
zbuforowania (w
przypadku
niedostpnoci
kontrolera domeny)
Limit nieaktwynoci
komputera
monituj uytkownika o
zmian hasa przed jego
wyganiciem
nie wymagaj nacinicia
klawiszy CTRL+ALT+DEL
nie wywietlaj nazwy
ostatniego uytkownika
prg blokady konta
komputera
Krytyczny
Monituj o
powiadczenia
Automatycznie
odrzucaj dania
podniesienia
Krytyczny
Wyczone
Wyczone
Istotny
Wyczone
Wczone
Istotny
Wyczone
Niezdefiniowane
Krytyczny
10 logowao
4 logowania
Krytyczny
Niezdefiniowane
900 sekund
Krytyczny
14 dni
14 dni
Krytyczny
Niezdefiniowane
Wyczone
Krytyczny
Wyczone
Wczone
Krytyczny
Niezdefiniowane
10 nieprawidowych
prb logowania
tekst komunikatu dla
uytkownikw
prbujcych si
zalogowad
tytu komunikatu dla
uytkownikw
prbujcych si
zalogowad
wymagaj karty
inteligentnej
wymagaj
uwierzytelnienia
kontrolera domeny do
odblokowania stacji
roboczej
wywietlaj informacje o
uytkowniku, gdy sesja
jest zablokowana
zachowanie przy
usuwaniu karty
inteligentnej
Obiekty systemu:
wymagaj nierozrniania
wielkoci liter dla
podsystemw innych ni
Windows
Obiekty systemu:
wzmocnij uprawnienia
domylne wewntrznych
obiektw systemu (np.
czy symbolicznych)
Serwer sieci Microsoft:
okres bezczynnoci
wymagany dla
wstrzymania sesji
podpisuj cyfrowo
komunikacj (za zgod
klienta)
podpisuj cyfrowo
komunikacj (zawsze)
Krytyczny
Niezdefiniowane
Niezdefiniowane
Krytyczny
Niezdefiniowane
Niezdefiniowane
Istotny
Wyczone
Niezdefiniowane
Krytyczny
Wyczone
Wyczone
Istotny
Niezdefiniowane
Niezdefiniowane
Istotny
Brak akcji
Zablokuj stacj robocz
Istotny
Wczone
Wczone
Krytyczny
Wczone
Wczone
Krytyczny
15 minut
15 minut
Krytyczny
Wyczone
Wczone
Krytyczny
Wyczone
Wczone

poziom sprawdzania
poprawnoci docelowej
gwnej nazwy usugi
serwera
rozczaj klientw po
upywie limitu czasu
logowania
Urzdzenia: ogranicz
dostp do stacji CD-ROM
tylko do uytkownika
zalogowanego lokalnie
Urzdzenia: ogranicz
dostp do stacji
dyskietek tylko do
uytkownika
zalogowanego lokalnie
Urzdzenia: zapobiegaj
instalacji sterownikw
drukarek przez
uytkownikw
Urzdzenia: zezwalaj na
oddokowywanie bez
potrzeby logowania si
Urzdzenia: zezwolono
na formatowanie i
wysunicie wymiennego
nonika
Ustawienia systemowe:
opcjonalne podsystemy
Ustawienia systemowe:
uyj regu certyfikatw
do plikw
wykonywalnych systemu
Windows dla Zasad
ograniczeo
oprogramowania
Zabezpieczenia sieci:
minimalne
zabezpieczenia sesji dla
klientw opartych na
NTLM SSP (wczajc
secure RPC)
minimalne
zabezpieczenia sesji dla
serwerw opartych na
NTLM SSP (wczajc
secure RPC)
Krytyczny
Niezdefiniowane
Zaakceptuj, jeli
dostarczone przez
klienta
Krytyczny
Wczone
Wczone
Opcjonalny
Niezdefiniowane
Niezdefiniowane
Opcjonalny
Niezdefiniowane
Niezdefiniowane
Istotny
Wyczone
Niezdefiniowane
Opcjonalny
Wczone
Niezdefiniowane
Niezdefiniowane
Administratorzy i
uytkownicy
interakcyjni
Posix
Niezdefiniowane
Wyczone
Niezdefiniowane
Krytyczny
Wymagaj szyfrowania
128-bitowego
Wymaga zabezpieczeo
sesji NTLMv2, Wymagaj
szyfrowania 128bitowego
Krytyczny
Wymagaj szyfrowania
128-bitowego
Wymaga zabezpieczeo
sesji NTLMv2, Wymagaj
szyfrowania 128bitowego
Istotny
Opcjonalny
Istotny
Zabezpieczenia sieci: nie

przechowuj wartoci
skrtu (hash) programu
LAN Manager dla
nastpnej zmiany hasa
poziom uwierzytelniania
LAN Manager
wymagania
podpisywania klienta
LDAP
Zabezpieczenia sieciowe:
konfigurowanie typw
szyfrowania
dozwolonych dla
protokou Kerberos
Ograniczania ruchu
NTLM: Dodaj wyjtki dla
serwerw z tej domeny
Ograniczanie ruchu
NTLM: Dodaj wyjtki dla
serwerw zdalnych w
celu uwierzytelniania
NTLM
Ograniczanie ruchu
NTLM: Przeprowad
inspekcj
przychodzcego ruchu
NTLM
Ograniczanie ruchu
NTLM: Przeprowad
inspekcj
uwierzytelniania NTLM w
tej domenie
Ograniczanie ruchu
NTLM: Przychodzcy ruch
NTLM
Ograniczanie ruchu
NTLM: Uwierzytelnianie
NTLM w tej domenie
Krytyczny
Wczone
Wczone
Krytyczny
Wylij tylko odpowied

NTLMv2
Krytyczny
Negocjuj podpisywanie
Wylij tylko odpowied

NTLMv2. Odmw LM i
NTLM.
Negocjuj podpisywanie
Istotny
Niezdefiniowane
RC4/AES128/AES256/pr
zysze typy szyfrowania
Krytyczny
Niezdefiniowane
Niezdefiniowane
Krytyczny
Niezdefiniowane
Niezdefiniowane
Krytyczny
Niezdefiniowane
Niezdefiniowane
Krytyczny
Niezdefiniowane
Niezdefiniowane
Krytyczny
Niezdefiniowane
Niezdefiniowane
Krytyczny
Niezdefiniowane
Niezdefiniowane
Ograniczanie ruchu
NTLM: Wychodzcy ruch
NTLM do serwerw
zdalnych
Wymu wylogowanie
uytkownikw po
upyniciu czasu
logowania
Zezwalaj kontu
systemowi lokalnemu na
uywanie pustych sesji
Zezwalaj lokalnemu
systemowi na
uwierzytelnianie NTLM
przy uyciu tosamoci
komputera
Zezwalaj na wysyanie
dao uwierzytelniania
PKU2U do tego
komputera w celu
uywania tosamoci
online
Zamknicie: wyczyd plik
stronicowania pamici
wirtualnej
Zamknicie: zezwalaj na
zamykanie systemu bez
koniecznoci zalogowania
2.14.
Krytyczny
Niezdefiniowane
Niezdefiniowane
Istotny
Wyczone
Niezdefiniowane
Istotny
Niezdefiniowane
Wyczone
Istotny
Niezdefiniowane
Wczone
Istotny
Niezdefiniowane
Wyczone
Krytyczny
Wyczone
Wyczone
Istotny
Wczone
Wczone
Konfigurowanie ustawieo MSS
Wrd wielu ustawieo zabezpieczeo istniej takie, ktre nie maj reprezentacji w postaci zasad GPO.
Mona je za to definiowad poprzez bezporednie wpisy w rejestrze. Ustawienia tego typu posiadaj
prefiks MSS (z ang. Microsoft Solutions for Security).
Wanym aspektem zarzdzania ustawieniami MSS jest, e nie s usuwane wraz z usuwaniem
szablonw zabezpieczeo. To wymusza ich rczn konfiguracj z poziomu rejestru systemu
(regedit32.exe).
2.15.
Potencjalne zagroenia zwizane z zasadami podpisywania cyfrowego
pakietw SMB
Protok SMB (z ang. Server Message Block) znany rwnie, jako CIFS (z ang. Common Internet File
System) zapewnia metody udostpniania zasobw komputerowych takich jak pliki, drukarki czy porty
szeregowe.
W sytuacji nawizywania przez klienta wykorzystujcego SMB w wersji 1 poczenia w sesji konta
innego ni konto God lub logowania nie anonimowego, kiedy zasady podpisywania SMB s wczone
klient wcza podpisywanie cyfrowe komunikacji dla serwera, a kolejne nawizane sesje bd
dziedziczyy i stosoway podpisan cyfrowo komunikacj SMB. W Windows 8 w celu zwikszenia
zasad bezpieczeostwa poczenia uwierzytelnione przez serwer s chronione przed degradacj do
poziomu sesji God lub Anonimowe.
Powysza zasada nie dotyczy scenariusza, w ktrym kontrolery domeny pracuj pod kontrol
Windows Server 2003 a stacjami klienckimi s Windows Vista SP2 lub Windows Server 2008.
Majc to na uwadze, aby zachowad jednolite zachowanie zasad podpisywania pakietw SMB naley
skonfigurowad ponisze ustawienia znajdujce si w gazi:
systemu
Windows\Ustawienia
zabezpieczeo\Zasady
W zakresie kontrolera domeny pracujcego pod kontrol Windows Server 2003:

Zasada

podpisuj cyfrowo
komunikacj (za zgod
klienta)
podpisuj cyfrowo
komunikacj (zawsze)
Poziom
wanoci
Ustawienie
domylne
Ustawienie
zalecane przez
Microsoft
Krytyczny
Wczony
Wczony
Krytyczny
Wczony
Wczony
W zakresie komputerw bdcych czonkami domeny pracujcymi pod kontrol Windows

Vista SP1 lub Windows Server 2008
Zasada

podpisuj cyfrowo
komunikacj (za zgod
klienta)
podpisuj cyfrowo
komunikacj (zawsze)
Poziom
wanoci
Ustawienie
domylne
Ustawienie
zalecane przez
Microsoft
Krytyczny
Wyczone
Wczony
Krytyczny
Wyczone
Wczony
Omawiane problemy zostay rozwizane w Windows Server 2008 SP2 oraz Windows Vista SP2.
2.16.
Ograniczenie stosowania mechanizmu uwierzytelnienia NTLM
Uwierzytelnianie NT LAN Manager (NTLM) jest wszechobecne w wielu sieciach komputerowych

nawet, jeli dostpne s bardziej bezpieczne protokoy uwierzytelniania Windows. W Windows 8
pojawiy si nowe zasady zabezpieczeo pozwalajce na analiz i ograniczanie wykorzystania NTLM w
rodowisku IT. Funkcje te obejmuj zbieranie danych, analiz ruchu NTLM oraz proces metodyczny,
ktry wprowadza ograniczenia w ruchu NTLM na rzecz silniejszych protokow uwierzytelniania
takich jak Kerberos. Ograniczenie uycia protokou NTLM wymaga wiedzy na temat wykorzystania go
przez aplikacj oraz strategii i krokw potrzebnych do konfiguracji infrastruktury do pracy z innymi
protokoami.
Zasady umoliwiajce audyt oraz ograniczenie wykorzystania ruchu NTLM znajduj si w gazi:
systemu
Windows\Ustawienia
zabezpieczeo\Zasady
i obejmuj:
w zakresie audytu:
o
Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Przeprowad inspekcj

przychodzcego ruchu NTLM
Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Przeprowad inspekcj

uwierzytelniania NTLM w tej domenie
w zakresie ograniczania
2.17.
Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Przychodzcy ruch NTLM
Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Uwierzytelnianie NTLM w tej

domenie
Zabezpieczenia sieciowe: Ograniczanie ruchu NTLM: Wychodzcy ruch NTLM do

serwerw zdalnych
Konfigurowanie szczegowych zasad zbioru Dziennik zdarzeo
Rejestrowanie zdarzeo naley do najwaniejszych zadao realizowanych w obszarze bezpieczeostwa

Windows, ktre mona przegldad z poziomu Dziennika zdarzeo. Istotnym aspektem konfiguracji s
atrybuty dziennikw zwizane z ich rozmiarem, prawami dostpu oraz metod nadpisywania
zdarzeo.
Zasady umoliwiajce konfiguracj wymienionych atrybutw znajduj si gazi:
Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeo\Dziennik zdarzeo
(Computer Configuration\Windows Settings\Security Settings\Event Log)
Maksymalny rozmiar dziennika aplikacji

Maksymalny rozmiar dziennika systemu
Maksymalny rozmiar dziennika zabezpieczeo
Metoda przechowywania dziennika aplikacji
Metoda przechowywania dziennika systemu
Metoda przechowywania dziennika zabezpieczeo
Odmawiaj dostpu lokalnej grupie goci do dziennika aplikacji
Odmawiaj dostpu lokalnej grupie goci do dziennika systemu
Odmawiaj dostpu lokalnej grupie goci do dziennika zabezpieczeo
Przechowuj dziennik aplikacji przez
Przechowuj dziennik systemu przez
Przechowuj dziennik zabezpieczeo przez
2.18.
Szczegowa konfiguracja zapory systemu Windows Firewall with
Advanced Security
Precyzyjna konfiguracja narzdzia Zapora systemu Windows z zabezpieczeniami zaawansowanymi
jest moliwa z poziomu zasad grupowych w ramach gazi
Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeo\Zapora systemu
Windows z zabezpieczeniami zaawansowanymi
(Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced
Security)
Rys. 2.18.1 Ustawienia zasad grupowych dla Zapory systemu Windows z ustawieniami zaawansowanymi.
W ramach dostpnych ustawieo mona dokonywad zmian w zakresie:
Ustawieo oglnych zapory dostpnych we waciwociach narzdzia Zapora systemu

Wywietlanie i tworzenie regu wchodzcych i wychodzcych zapory
Wywietlanie i tworzenie regu w zakresie uwierzytelniania komunikacji midzy komputerami
Przystpujc do konfiguracji ustawieo naley sprecyzowad profil sieciowy, dla ktrego bd

definiowane ustawienia.
W ramach narzdzia Zapora systemu Windows z zabezpieczeniami zaawansowanymi dostpne s
poniej opisane profile sieciowe.
Profil domenowy
Profil stosowany jest, kiedy komputer zosta podczony do sieci oraz nastpio uwierzytelnienie do
kontrolera domeny, do ktrego naley komputer. Domylna konfiguracja profilu umoliwia
nawizywanie sesji Pulpitu zdalnego oraz Pomocy zdalnej.
Profil prywatny
Profil stosowany jest, jeli uytkownik posiadajcych powiadczenia lokalnego administratora
przypisze go w ramach biecego poczenia sieciowego. Zaleca si, aby uywad profilu prywatnego
w sieciach zaufanych.
Profil publiczny
Jest to domylny profil i stosowany jest w scenariuszach, kiedy komputer nie jest doczony do
domeny. Stanowi on zbir najbardziej restrykcyjnych ustawieo, w ktrych wyczona jest
komunikacja wchodzca.
2.19.
Usuga Windows Update
Usuga Windows Update umoliwia systematyczne sprawdzanie komputera pod ktem wymaganych
aktualizacji. Wszystkie poprawki domylnie dystrybuowane s poprzez witryn Windows Update.
Alternatywnie mona utworzyd infrastruktur, ktra bdzie umoliwiaa lokaln dystrybucj
poprawek z centraln synchronizacj do witryny Windows Update. Realizuje si to za pomoc
serwera WSUS (z ang. Windows Server Update Services)13. Zastosowanie serwera WSUS zapewnia:
Administracyjn kontrol nad synchronizacj poprawek z witryny Windows Update, ktre

bd dystrybuowane lokalnie,
Lokalny serwer Windows Update,
Administracyjn kontrol nad poprawkami,
Automatyczn aktualizacj komputerw (stacji roboczych i/lub serwerw).
Konfiguracja klientw serwera WSUS realizowana jest poprzez ustawienia zasad grupowych dostpne
w gazi:
Konfiguracja komputera\Szablony administracyjne\Skadniki systemu Windows\Usuga Windows
Update
(Computer Configuration\Administrative Templates\Windows Components\Windows Update)
13
Nie wywietlaj opcji Zainstaluj aktualizacje i zamknij system w oknie dialogowym

Zamykanie systemu Windows
Nie ustawiaj opcji domylnej na Zainstaluj aktualizacje i zamknij system w oknie
dialogowym Zamykanie systemu Windows
Nie skonfigurowano
Wczanie Opcji zasilania, aby funkcja Windows Update automatycznie wznawiaa system w
celu zainstalowania zaplanowanych aktualizacji
Konfigurowanie aktualizacji automatycznych
Okrel lokalizacj intranetowej usugi aktualizujcej firmy Microsoft
Czstotliwod wykrywania aktualizacji automatycznych
Zezwalaj, aby uytkownicy inni ni administratorzy otrzymywali powiadomienia aktualizacji
Wcz powiadomienia o oprogramowaniu
Zezwalaj na natychmiastow instalacj aktualizacji automatycznych
Wcz zalecane aktualizacje za pomoc aktualizacji automatycznych
http://technet.microsoft.com/en-us/windowsserver/bb332157.aspx
Bez automatycznego uruchamiania ponownego dla zaplanowanych instalacji aktualizacji

automatycznych przy zalogowanych uytkownikach
Ponw monit o ponowne uruchomienie komputera z zaplanowanymi instalacjami
Opniaj ponowne uruchomienie komputera dla zaplanowanych instalacji
Zaplanuj ponownie zaplanowane instalacje aktualizacji automatycznych
Wcz konfigurowanie docelowej strony klienta
Zezwalaj na podpisane aktualizacje z intranetowej lokalizacji usugi aktualizacji firmy
Microsoft
Do prawidowego dziaania klienta z serwerem WSUS naley skonfigurowad minimum cztery zasady:
Okrel lokalizacj intranetowej usugi aktualizujcej firmy Microsoft

Konfigurowanie aktualizacji automatycznych
Bez automatycznego uruchamiania ponownego dla zaplanowanych instalacji aktualizacji
automatycznych przy zalogowanych uytkownikach
Zaplanuj ponownie zaplanowane instalacji aktualizacji automatycznych
2.20.
Ataki na usug zintegrowanego uwierzytelniania systemu Windows
polegajce na przekazywaniu powiadczeo
Poradniki Bezpieczeostwa Microsoft MSA (z ang. Microsoft Security Advisory) zawieraj informacj
na temat ryzyka atakw zwizanych z przechwyceniem powiadczeo uytkownika wykorzystujcego
usug zintegrowanego uwierzytelniania systemu Windows IWA (z ang. Integrated Windows
Authentication). Tego typu naruszenia bezpieczeostwa mog wystpid poprzez ataki typu czowiek
porodku (ang. man-in-the-middle) lub poprzez sprowokowanie uruchomienia przez uytkownika
konkretnego odnonika.
Poniej przedstawione zostay dwa przykady tego typu atakw:
Przekazanie powiadczeo
W tym scenariuszu atak nastpuje, kiedy przechwycone powiadczenia s wykorzystywane
do logowania si do innych usug ni ofiara miaa dostp.
Odbicie powiadczeo
Tego typu atak zakada wykorzystanie przechwyconych powiadczeo do ponownego
logowania si na komputerze ofiary.
W celu zmniejszenia ryzyka tego typu atakw udostpniona zostaa funkcja EPA (z ang. Extended
Protection for Authentication) zawarta w Windows 8 oraz w Windows Server 2012. Dla poprzednich
wersji Windows EPA jest dostpna, czsto jako aktualizacja.
Szczegowe informacje o konfiguracji EPA dla wczeniejszych wersji Windows znajduj si w
KB968389 (http://support.microsoft.com/kb/976918).
W zaoeniach zintegrowanego uwierzytelniania Windows przyjto, e niektre odpowiedzi
uwierzytelniania s uniwersalne, co umoliwia ich atwe powtrne uycie lub przekazanie. Std zaleca
si, jako minimum konstrukcj, w ktrej konstrukcja odpowiedzi w komunikacji zawiera okrelne
informacje o kanale komunikacji. Dziki temu usugi maj zapewnion rozszerzon ochron w
zakresie odpowiedzi uwierzytelniania zawierajcych okrelone informacje dotyczce usug, takie jak
SPN (z ang. Service Principal Name).
3. Sposoby ochrony przed zoliwym oprogramowaniem

Oprogramowaniem zoliwym, malware (ang. malicious software) okrelany jest kady program
komputerowy lub skrypt, majcy szkodliwe lub zoliwe dziaanie w stosunku do uytkownika
komputera. Przykadami oprogramowania zoliwego s: wirusy, robaki, konie trojaoskie, rootkity
oraz oprogramowanie szpiegujce( ang. Spyware), ktre gromadz informacje na temat dziaalnoci
uytkownika bez uprzedniej zgody uytkownika systemu.
Windows 8 zosta zbudowany w oparciu o technologie wprowadzone w systemach Windows Vista i
Windows 7. Technologie te zawieraj kilka nowych rozwizao, ktre mog zostad wykorzystane w
celu zapewnienia ochrony przed oprogramowaniem zoliwym dla komputerw pracujcych pod
kontrol systemu Windows 8.
W systemie Windows 8 dostpna jest nowa wersja przegldarki internetowej Windows Internet
Explorer 10, zawierajca kilka znaczcych i ulepszonych funkcji pod ktem bezpieczeostwa, ktre
pomagaj zapobiec instalacji niechcianego oprogramowania. Funkcje te rwnie zwikszaj
bezpieczeostwo przegldarki i zapewniaj ochron prywatnoci danych zapobiegajc
nieautoryzowanym transmisjom prywatnych danych. W systemie Windows 8 uytkownik posiada
moliwod kompletnego usunicia przegldarki Internet Explorer 10, jeli tylko taka sytuacja jest
wymagana. Narzdzie Microsoft Security Compliance Manager (SCM) zawiera rekomendowane
ustawienia bazowe dedykowane przegldarce Internet Explorer 10 uatwiajce implementacj
bezpiecznej konfiguracji przegldarki internetowej.
Implementacje rekomendowanych ustawieo nowych funkcji zabezpieczeo wprowadzonych w
systemie Windows 8 moe zostad wdroona poprzez zastosowanie zasad grupowych, opisanych w
rozdziale Wdraanie rekomendowanych zasad bezpieczeostwa w kontekcie bazowych ustawieo
systemu Windows 8.
Jednake naley zauwayd, i wiele z tych ustawieo dla nowych funkcji zabezpieczeo wymaga
informacji charakterystycznych dla danego rodowiska systemu komputerowego, majcego wpyw na
wybr funkcji i ustawieo. Z tego powodu, wikszod rekomendowanych wartoci dla dodatkowych
ustawieo nie zostao zawarte w niniejszym przewodniku.
Wszystkie opisane funkcje z ustawionymi wartociami domylnymi zapewniaj dodatkowy poziom
ochrony komputerw pracujcych pod kontrol systemw Windows 8. Dostpne s jednak nowe
ustawienia zasad grupowych, ktre poprzez dostosowanie zachowania i funkcjonalnoci tych
technologii, mog zapewnid jeszcze lepsz ochron przed zoliwym oprogramowaniem dla wasnego
rodowiska.
3.1.
Funkcje zabezpieczeo stosowane w systemie Windows 8
System Windows 8 zawiera nastpujce nowe i rozszerzone technologie, ktre zapewniaj ochron
przed zoliwym oprogramowaniem:
Konsola Centrum Akcji (ang. Action Center)

Bezpieczny rozruch (ang. Secure Boot)
Kontrola Konta Uytkownika (ang. User Account Control UAC)
Zabezpieczenia biometryczne (ang. Biometric Security)

Windows Defender
Narzdzie do usuwania zoliwego oprogramowania (ang. Malicious Software Removal Tool)
Zapora systemu Windows
AppLocker
Ponadto, naley pamitad, i rekomendowan praktyk zwikszajc bezpieczeostwo jest logowanie

do systemu z wykorzystaniem konta zwykego uytkownika (nieposiadajcego uprawnieo
administracyjnych). Dodatkowo wysoce rekomendowane jest zainstalowanie programu
antywirusowego, ktry zapewnia ochron w czasie rzeczywistym przed nowymi zagroeniami, ktre
pojawiaj si kadego dnia, przykadem takiego rozwizania jest System Center 2012 Endpoint
14
Protection . Jeli dana organizacja stosuje strategi defense-in-depth zaleca si okrelenie
dodatkowych usug przeszukujcych zasoby pod katem zagroeo, Usugi te mog byd pobrane ze
stron firmy Microsoft stanowic skadnik systemu Windows 8 lub dodatkowy skadnik pobrany, jako
program lub usuga.
Naley podkrelid, i nawet zastosowanie wszystkich moliwych technologii zabezpieczeo nie uchroni
uytkownikw komputerw przed naraeniem na niebezpieczeostwo, jeli nie zabezpieczymy i nie
bdziemy kontrolowali w odpowiedni sposb dostpu do kont, ktre posiadaj uprawnienia na
poziomie administracyjnym do zabezpieczanych komputerw.
3.2.
Konsola Centrum Akcji
Centrum akcji to centralne miejsce, gdzie uytkownik moe wywietlad alerty i podejmowad dziaania
majce na celu zapewnienie sprawnego funkcjonowania systemu Windows. W Centrum Akcji
wywietlana jest lista wanych komunikatw dotyczcych ustawieo zabezpieczeo oraz konserwacji,
ktre wymagaj uwagi uytkownika. Zakres wywietlanych komunikatw, ktre mog byd wyczone
lub wczone zosta przedstawiony w ustawieniach konsoli Zmieo ustawienia Centrum Akcji na
rysunku 3.2.1
14
http://www.microsoft.com/en-us/server-cloud/system-center/endpoint-protection-2012.aspx
Rys. 3.2.1 Widok okna Zmieo ustawienia Centrum Akcji

Konsola Centrum Akcji poza raportowaniem i powiadamianiem uytkownikw systemu Windows 8 o
wystpujcych problemach, pozwala na kontrolowanie, jakie informacje s wysyane do firmy
Microsoft w celu wykrycia i rozwizania problemw. Ustawienia raportowania problemw zostay
przedstawione na rysunku 3.2.2.
Rys.
3.2.2 Widok okna Ustawienia raportowania problemw
Kady uytkownik moe przejrzed informacje dotyczce raportw problemw wysyane do firmy
Microsoft stosujc nastpujce kroki:
1. Prosz otworzyd gwne okno Centrum Akcji
2. Prosz kliknd na opcj Konserwacja
3. Poniej Wyszukaj rozwizania dotyczce raportw o problemach, prosz kliknd Wywietl
histori niezawodnoci
4. Na licie historii niezawodnoci, prosz kilknd dwukrotnie na dowolnym zdarzeniu aby
wywietlid techniczne szczegy dotyczce zdarzenia.
5. Zdarzenia wywietlone w sekcji Informacje zwykle zawieraj szczegy zmian dokonanych w
konfiguracji sprztu lub oprogramowania.
W celu uzyskania dodatkowych informacji na temat raportowania problemw i zasada zachowania
poufnoci informacji, naley odwiedzid witryn Microsoft Usuga raportowania bdw firmy
Microsoft zasady zachowania poufnoci informacji15
Zastosowanie ustawieo zasad grup w celu minimalizacji ryzyka dla Centrum Akcji
15
http://oca.microsoft.com/pl/dcp20.asp
Konfiguracja tych ustawieo dostpna jest dwch lokalizacjach w gaziach:

Konfiguracja komputera\Szablony administracyjne\Skadniki systemu Windows\Raportowanie
bdw systemu Windows
(Computer Configuration\Windows Components\Windows Error Reporting)
Ponisza tabela przedstawia szczegowe ustawienia zabezpieczeo dostpne w systemie Windows 8
dla omawianej technologii
Ustawienie zasad
Opis
Domylne ustawienie w
systemie Windows 8
Wycz funkcj Raportowanie

bdw systemu Windows
Jeeli to ustawienie zostanie

Nie skonfigurowano
wczone, funkcja Raportowanie
bdw systemu Windows nie bdzie
wysyad do firmy Microsoft adnych
informacji o problemach. Ponadto w
aplecie Centrum Akcji w Panelu
sterowania nie bd dostpne
informacje dotyczce rozwizania.
Tabela 3.2.1 Ustawienia Centrum Akcji w systemie Windows
Konfiguracja uytkownika\Szablony administracyjne\Menu Start i pasek zadao

(User Configuration\Start Menu and Taskbar\)
Ustawienie zasad
Usuo ikon Centrum akcji
Opis
Zapobiega wywietlaniu ikony
Centrum akcji w obszarze kontroli
systemu. Jeeli to ustawienie zostanie
wczone, ikona Centrum Akcji nie
bdzie wywietlana w obszarze
powiadomieo systemu.
systemie Windows 8
Nie skonfigurowano
Jeeli to ustawienie zostanie

wyczone lub nie zostanie
skonfigurowane, ikona Centrum Akcji
bdzie wywietlana w obszarze
powiadomieo systemu.
Tabela 3.2.2 Ustawienia Centrum Akcji w systemie Windows
3.3.
Bezpieczny rozruch (Secure Boot)
System Windows 8 oferuje wsparcie dla protokou bezpiecznego rozruchu (ang. secure boot
protocol), ktry jest czci specyfikacji Unified Extensible Firmware Interface (UEFI), ktra zostaa
zaprojektowana, jako nastpca starszego systemu BIOS. System Windows 8 nadal wspiera starszy
system BIOS, ale UEFI rozszerza moliwoci systemu ukadowego (ang. firmware) wczajc w to
wsparcie dla wikszych dyskw (moliwoci rozruchu dyskw wikszych ni 2 TB korzystajcych z GPT
GUID Partition Table), ulepszone mechanizmy bezpieczeostwa, grafiki oraz zwikszone moliwoci
zarzdzania.
Ocena ryzyka
W nowoczesnych komputerach pracujcych w oparciu o starszy system BIOS, rodowisko rozruchu
systemu operacyjnego moe byd naraone na podatnoci zwizane z atakiem przekierowania moduu
adujcego rozruchu (ang. boot loader) systemu operacyjnego w taki sposb, aby kod zoliwy
wykona si przed waciwym startem systemu operacyjnego, umoliwiajc wykonanie
zaplanowanego ataku. W tym wypadku wektor ataku oznacza, i zoliwy kod zostanie wykonany
przed uruchomieniem systemu operacyjnego i stosowanego systemu zabezpieczeo, takich jak
ochrona przed zoliwym oprogramowaniem, uniemoliwiajc programom zapewniajcym ochron
na ich wykrycie, usunicie lub zablokowanie. Takie oprogramowanie zoliwe odnosi si czasem do
oprogramowania okrelanego, jako ang. rootkit lub ang. bootkit i stanowi due ryzyko dla
uytkownikw, ktrzy czsto czuj si bezpieczni korzystajc z oprogramowania do ochrony przez
oprogramowaniem zoliwym, ktre w tym wypadku nie wykryje zagroenia oraz nie ujawni
podejrzanych plikw, ktre powinny zostad usunite z systemu.
Minimalizacja ryzyka
Standard UEFI wprowadzi protok bezpiecznego rozruchu (ang. secure boot protocol), ktry jest
wspierany przez system Windows 8. Stosujc bezpieczny rozruch system UEFI sprawdza podczas
startu podpisany cyfrowo kod systemu ukadowego (ang. firmware), peryferia podczone do
komputera oraz modu adujcy rozruch (ang. boot loader) w celu upewnienia si, i dany kod moe
zostad wykonany jest podpisany cyfrowo. Bezpieczny rozruch jest wczony domylne na
komputerach pracujcych w oparciu o system Windows 8, na ktrych jest dostpny i skonfigurowany
system jest UEFI.
Zagadnienia minimalizacji ryzyka wymagajce rozwaenia
Bezpieczny rozruch wymaga systemu ukadowego (ang. firmware), ktry zgodny jest ze specyfikacj
UEFI w wersji, co najmniej 2.3.1 oraz wymaga skonfigurowania i wczenia bezpiecznego rozruchu w
odpowiednich opcjach dla systemu ukadowego UEFI.
3.4.
Mechanizm Kontrola Konta Uytkownika (User Account Control UAC)
System Windows Vista wprowadzi mechanizm kontroli konta uytkownika (ang. User Account
Control UAC) w celu uatwienia wykorzystania konta uytkownika, ktry nie posiada uprawnieo
administracyjnych. Gdy na komputerze maj zostad dokonane zmiany wymagajce uprawnieo na
poziomie administratora, funkcja Kontrola Konta Uytkownika powiadamia o tym. Mechanizm UAC
skada si z kilku technologii:
Konto Protected Administrator (PA)

Podnoszenie uprawnieo (ang. UAC elevation prompts)
Wirtualizacja rejestru (ang. registry virtualization)

Wirtualizacja systemu plikw (ang. file system virtualization)
Poziomy integralnoci Windows (ang. Windows Integrity levels)
Pomimo i stosowanie konta skonfigurowanego w trybie Protected Administrator (PA) jest nieco
bezpieczniejsze od trybu konta administratora niechronionego tym mechanizmem, to nadal
wykorzystanie konta standardowego uytkownika do codziennej pracy jest zalecanym i najbardziej
bezpiecznym rozwizaniem. Ryzyko zwizane z oprogramowaniem zoliwym, ktre wykorzystujc
wysokie uprawnienia uytkownika potrafi zainstalowad niechciane aplikacje lub dokonad
nieautoryzowanych zmian w systemie Windows mona zminimalizowad poprzez zastosowanie konta
zwykego uytkownika do wykonywania codziennych czynnoci na komputerze.
W systemie Windows 8 mona ustawid odpowiedni tryb i czstotliwod powiadamiania uytkownika.
Poniej przedstawiono cztery podstawowe poziomy powiadomieo, ktre mona odpowiednio
skonfigurowad w ustawieniach UAC w Centrum Akcji.
Ustawienie
Powiadamiaj
zawsze
Powiadamiaj
mnie tylko
wtedy, gdy
programy
prbuj
wprowadzad
zmiany na
komputerze
Opis
Uytkownik bdzie powiadamiany przed
wprowadzeniem przez programy zmian na
komputerze lub w systemie Windows
wymagajcych uprawnieo administratora.
Gdy zostanie wywietlone powiadomienie,
pulpit zostanie przyciemniony, a uytkownik
bdzie musied zaakceptowad lub odrzucid
danie w oknie dialogowym funkcji Kontrola
konta uytkownika, zanim bdzie mona
zrobid na komputerze cokolwiek innego.
Przyciemnienie pulpitu jest nazywane
bezpiecznym pulpitem, poniewa inne
programy nie mog dziaad, gdy pulpit jest
przyciemniony.
komputerze wymagajcych uprawnieo
administratora.
Uytkownik nie bdzie powiadamiany, gdy
sam bdzie wprowadzad zmiany w
ustawieniach systemu Windows wymagajce
uprawnieo administratora.
Uytkownik bdzie powiadamiany, gdy
program spoza systemu Windows bdzie
prbowa wprowadzid zmiany w ustawieniach
systemu Windows.
Wpyw na bezpieczeostwo
Jest to najbezpieczniejsze
ustawienie.
Po wywietleniu powiadomienia
uytkownik powinien starannie
przeczytad zawartod kadego z
okien dialogowych, nim zezwoli na
wprowadzenie zmian na
komputerze.
Uytkownik bdzie powiadamiany

przed wprowadzeniem przez
programy zmian na komputerze
wymagajcych uprawnieo
administratora.
Uytkownik nie bdzie
powiadamiany, gdy sam bdzie
wprowadzad zmiany w ustawieniach
systemu Windows wymagajce
Uytkownik bdzie powiadamiany,
gdy program spoza systemu
Windows bdzie prbowa
wprowadzid zmiany w ustawieniach
systemu Windows.
Ustawienie domylne w systemie
Windows 8
Powiadamiaj
mnie tylko
wtedy, gdy
programy
prbuj
wprowadzad
zmiany na
komputerze
(nie
przyciemniaj
pulpitu)

komputerze wymagajcych uprawnieo
administratora.
Nie
powiadamiaj
nigdy
Uytkownik nie bdzie powiadamiany przed

wprowadzeniem jakichkolwiek zmian na
komputerze. Jeli uytkownik jest zalogowany
jako administrator, programy mog bez jego
wiedzy wprowadzad zmiany na komputerze.
Uytkownik nie bdzie powiadamiany, gdy

sam bdzie wprowadzad zmiany w
ustawieniach systemu Windows wymagajce
Uytkownik bdzie powiadamiany, gdy
program spoza systemu Windows bdzie
prbowa wprowadzid zmiany w ustawieniach
systemu Windows.
Jeli uytkownik jest zalogowany jako

uytkownik standardowy, wszelkie zmiany
wymagajce uprawnieo administratora
zostan automatycznie odrzucone.
W przypadku wybrania tego ustawienia bdzie
konieczne ponowne uruchomienie komputera
w celu ukooczenia procesu wyczania funkcji
Kontrola konta uytkownika. Po wyczeniu
funkcji Kontrola konta uytkownika
uytkownicy logujcy si jako administrator
zawsze bd mied uprawnienia
administratora.
To ustawienie jest identyczne jak

Powiadamiaj mnie tylko wtedy, gdy
programy prbuj wprowadzad
zmiany na komputerze, ale
powiadomienia nie s wywietlane
na bezpiecznym pulpicie.
Poniewa przy tym ustawieniu okno
dialogowe funkcji Kontrola konta
uytkownika nie znajduje si na
bezpiecznym pulpicie, inne programy
mog wpywad na wygld tego okna.
Jest to mae zagroenie dla
bezpieczeostwa, jeli zoliwy
program ju dziaa w komputerze.
Uytkownik nie bdzie
powiadamiany przed
wprowadzeniem jakichkolwiek zmian
na komputerze. Jeli uytkownik jest
zalogowany jako administrator,
programy mog bez jego wiedzy
wprowadzad zmiany na komputerze.
Jeli uytkownik jest zalogowany
jako uytkownik standardowy,
wszelkie zmiany wymagajce
uprawnieo administratora zostan
automatycznie odrzucone.
W przypadku wybrania tego

ustawienia bdzie konieczne
ponowne uruchomienie komputera
w celu ukooczenia procesu
wyczania funkcji Kontrola konta
uytkownika. Po wyczeniu funkcji
Kontrola konta uytkownika
uytkownicy logujcy si jako
administrator zawsze bd mied
uprawnienia administratora.
Ustawienie niezalecane.
Tabela. 3.3.1 - Opis ustawieo funkcji Kontrola konta uytkownika
W momencie wprowadzenia technologii UAC, zbyt czste powiadomienia uytkownika systemu,
powodowao, e wikszod uytkownikw wyczyo to ustawienie, zmniejszajc w ten sposb
poziom bezpieczeostwa komputera. W systemach Windows 7 SP1 oraz Windows 8, liczba pytao o
podniesienie powiadczeo zostaa obniona, tak, aby uytkownik mg wykonywad wicej zadao, jako
standardowy uytkownik. Dodatkowo podczas wykorzystania konta PA niektre programy zawarte w
systemie Windows 8, mog automatycznie podnosid poziom uprawnieo bez wywietlenia

powiadomienia.
Rekomendowanym minimalnym ustawieniem UAC jest domylny poziom Powiadamiaj mnie tylko
wtedy, gdy programy prbuj wprowadzad zmiany na komputerze, ale naley rozwayd ustawienie
poziomu Powiadamiaj zawsze w rodowiskach gdzie uytkownicy komputerw klienckich czsto
podczaj si i korzystaj z sieci publicznych lub kiedy wymagany jest wysoki poziom
bezpieczeostwa. Zastosowanie pozostaych mniej bezpiecznych poziomw zwiksza
prawdopodobieostwo dokonania nieautoryzowanych zmian w komputerze przez oprogramowanie
zoliwe.
Funkcja zatwierdzania przez administratora (ang. Administrator Approval Mode) w technologii UAC
zapewnia ograniczon ochron dla komputerw z systemem Windows 8, Windows 7 SP1 oraz
Windows Vista Service Pack 1 (SP1) przed niektrymi typami oprogramowania zoliwego. Wikszod
programw i czynnoci wykonywanych w systemie Windows 8 bdzie poprawnie dziaao dla
uytkownika standardowego, a w momencie, kiedy uytkownik bdzie potrzebuje wykonad czynnoci
administracyjne, takie jak instalacja oprogramowania lub modyfikacji ustawieo systemu, to system
powiadomi uytkownika i poprosi o udzielenie zgody na wykonanie tych czynnoci. Tryb ten jednak,
nie zapewnia tego samego poziomu zabezpieczeo jak w przypadku konta standardowego
uytkownika i nie gwarantuje, i oprogramowanie zoliwe, ktre ju znajduje si na komputerze, nie
bdzie mogo skorzystad z podniesienia uprawnieo dla wasnej aplikacji w celu wykonania czynnoci
szkodliwych dla komputera, na ktrym si znajduje.
Ocena ryzyka
Uytkownicy posiadajcy uprawnienia administracyjne podczas normalnej pracy w systemie, naraeni
s na wykonanie czynnoci administracyjnych w sposb przypadkowy lub szkodliwy bez ich wiedzy,
poniej przedstawiono kilka przykadw takiej sytuacji:
Uytkownik pobra i zainstalowa oprogramowanie szkodliwe ze strony internetowej, ktra

zostaa specjalnie spreparowana lub zaraona wirusem lub oprogramowaniem zoliwym.
Uytkownik zosta podstpnie zachcony do otworzenia zacznika z poczty elektronicznej
zawierajcego oprogramowanie zoliwe, ktre zainstalowao si w sposb automatyczny i
niezauwaalny na komputerze uytkownika.
Nonik pamici przenonej zosta podczony do komputera i funkcja auto odtwarzania
samoczynnie uruchomia i zainstalowaa zoliwe oprogramowanie.
Uytkownik zainstalowa niewspieran lub niesprawdzon aplikacj, ktra wpywa na
wydajnoci komputera i jego niezawodnod.
Rekomendowane jest stosowane do codziennych czynnoci i dziaao w systemach kont uytkownika
standardowego bez uprawnieo administracyjnych. Podczas stosowania mechanizmu UAC w celu
podniesienia uprawnieo i wprowadzenia powiadczeo dla konta administratora zaleca si otworzenie
innej sesji dla administratora stosujc mechanizm szybkiego przeczania uytkownikw.
Mechanizm UAC pomaga zminimalizowad zagroenie zdefiniowane w poprzedniej sekcji Ocena

ryzyka, jednak przed zastosowaniem technologii UAC, wane jest, aby wzid pod uwag nastpujce
dziaania:
16
Jeli wewntrzny dzia programistw dostarcza aplikacje we wasnym zakresie,

rekomendowane jest zapoznanie si z artykuem "Windows Vista Application Development
Requirements for User Account Control Compatibility"16. Dokument ten opisuje, w jaki
sposb naley projektowad i dostarcz aplikacje zgodne z mechanizmem UAC.
Aplikacje nie kompatybilne z technologi UAC mog spowodowad problemy z domylnie
wczonym poziomem mechanizmu UAC. Z tej przyczyny wane jest, aby przeprowadzid testy
aplikacji na zgodnod z technologi UAC zanim zostan wdroone w rodowisku
produkcyjnym. Wicej informacji na temat testw kompatybilnoci aplikacji znajduje si w
rozdziale 6.
Wczenie UAC w znaczny sposb zwiksza ilod dao podniesienia uprawnieo lub
stosowania kont administracyjnych podczas normalnych czynnoci wykonywanych przez
administratorw systemu. W przypadku, kiedy takie dziaanie wpywa w znacznym stopniu
na wydajnod pracy administratorw, mona rozwayd skonfigurowanie ustawienia zasady
grup Kontrola konta uytkownika: zachowanie monitu o podniesienie uprawnieo dla
administratorw w trybie zatwierdzania przez administratora korzystajc z opcji Podnie
uprawnienia bez monitowania. Jednake, zmiana ta obnia poziom bezpieczeostwa
konfiguracji komputerw i zwiksza ryzyko wystpienia oprogramowania zoliwego.
Uytkownik, ktry posiada uprawnienia administracyjne i posuguje si kontem Protected
Administrator (PA) moe wyczyd funkcj zatwierdzania przez administratora (ang.
Administrator Approval Mode), moe take wyczyd UAC tak, aby system nie powiadamia o
koniecznoci podnoszenia uprawnieo podczas instalacji aplikacji lub dokonywania zmian w
systemie. Z tego powodu nie mona zagwarantowad, i stosowane zasady grup dotyczce
mechanizmu UAC bd skuteczne, jeli uytkownicy posiadaj uprawnienia administracyjne
na komputerach w organizacji.
Rekomendowane jest stosowanie dwch kont dla administratorw systemw. Pierwsze do
wykonywania wszystkich normalnych czynnoci i zadao na komputerze, jako standardowy
uytkownik nieposiadajcy uprawnieo administracyjnych. W przypadku, kiedy wymagane jest
zastosowanie uprawnieo administracyjnych, administratorzy systemu powinni zalogowad si
korzystajc z drugiego i wykonad okrelone czynnoci administracyjne. Po wykonaniu dziaao
powinni wylogowad si i powrcid do normalnej pracy korzystajc z konta standardowego
uytkownika.
Ustawienia zasad grup wskazane w tym przewodniku wyczaj moliwod podnoszenia
uprawnieo standardowemu uytkownikowi, naley zauwayd, i jest to normlane zachowanie
komputerw, ktre korzystaj z domeny Active Directory. Jest to rekomendowane
ustawienie, ktre wymusza wykonywanie czynnoci administracyjnych tylko przez
uytkownikw posiadajcych konta z przypisanymi uprawnieniami administracyjnymi.
Jeli aplikacja zostanie niepoprawnie zidentyfikowana, jako aplikacja wymagajca uprawnieo
administracyjnych lub aplikacja uytkownika, to system Windows moe uruchomid ta
aplikacj w zym kontekcie zabezpieczeo.
http://go.microsoft.com/fwlink/?linkid=104243
Proces minimalizacji ryzyka

Proces minimalizacji ryzyka naley rozpoczd od zbadania i przetestowania penych moliwoci
mechanizmu UAC. Dodatkowe informacje w tym zakresie mona uzyskad na stronach Microsoft:
Understanding and Configuring User Account Control in Windows Vista17 oraz Getting Started with
User Account Control on Windows Vista18.
W celu minimalizacji ryzyka zaleca si zastosowanie dziaao:
1. Ustalenie liczby uytkownikw, ktrzy wykonuj zadania administracyjne.
2. Okrelenie jak czsto zadania administracyjne s wykonywane.
3. Okrelenie sposobu wykonywania czynnoci administracyjnych przez administratorw:
prostszy poprzez powiadomienie UAC i wyraanie zgody na wykonanie danej czynnoci lub
wymagajcy wprowadzenia okrelonych powiadczeo w celu wykonania zadao
administracyjnych.
4. Okrelenie czy standardowi uytkownicy powinni mied moliwod podniesienia uprawnieo w
celu wykonania zadao administracyjnych. Zastosowane ustawienia zasad grupowych
wskazane w tym przewodniku wyranie blokuj moliwod podnoszenia uprawnieo
standardowym uytkownikom.
5. Zidentyfikowanie sposobu obsugi procesu instalacji aplikacji na komputerach.
6. Konfiguracja ustawieo zasad grupowych dla UAC dopasowanych do wasnych potrzeb i
wymagao.
Zastosowanie ustawieo zasad grupowych w celu minimalizacji ryzyka dla UAC
Konfiguracja tych ustawieo dostpna jest w gazi:
lokalne\Opcje zabezpieczeo\
(Computer Configuration\Windows Settings\Security Settings\Local Policy\Security Options\)
systemie Windows 8
Ustawienie zasad
Opis
Kontrola konta uytkownika: tryb

zatwierdzania przez
administratora dla
wbudowanego konta
administratora
Kontrola konta uytkownika:
zezwalaj aplikacjom z poziomem
UIAccess na monitowanie o
podniesienie uprawnieo bez
To ustawienie zasad steruje sposobem

dziaania trybu zatwierdzania przez
administratora dla wbudowanego
konta administratora.
Wyczone
To ustawienie zabezpieczeo
kontroluje, czy programy z funkcj
dostpnoci interfejsu uytkownika
(UIAccess lub UIA, User Interface
Wyczone
17
18
uywania bezpiecznego pulpitu

zachowanie monitu o
podniesienie uprawnieo dla
zatwierdzania przez
administratora
zachowanie monitu o
podniesienie uprawnieo dla
uytkownikw standardowych
wykrywanie instalacji aplikacji i
monitowanie o podniesienie
uprawnieo
podnoszenie uprawnieo tylko
tych plikw wykonywalnych,
ktre s podpisane i maj
sprawdzon poprawnod

Podnie uprawnienia tylko tych
aplikacji z poziomem UIAccess,
ktre s zainstalowane w
bezpiecznych lokalizacjach
Accessibility) mog automatycznie

wyczad bezpieczny pulpit na
potrzeby monitowania o podniesienie
uprawnieo przez uytkownika
standardowego.
To ustawienie zabezpieczeo okrela
zachowanie monitu o podniesienie
uprawnieo dla administratorw.
Monituj o zgod na pliki

binarne niepochodzce z
systemu Windows
To ustawienie zabezpieczeo okrela

zachowanie monitu o podniesienie
uprawnieo dla uytkownikw
standardowych.
To ustawienie zabezpieczeo steruje
zachowaniem wykrywania instalacji
aplikacji dla komputera.
Monituj o powiadczenia
To ustawienie zabezpieczeo wymusza

sprawdzanie podpisw infrastruktury
kluczy publicznych (PKI) dla kadej
aplikacji interakcyjnej, ktra da
podniesienia uprawnieo.
Administratorzy przedsibiorstwa
mog kontrolowad list dozwolonych
aplikacji administratora przez dodanie
certyfikatw znajdujcych si w
magazynie zaufanych wydawcw na
komputerach lokalnych.
To ustawienie zabezpieczeo
kontroluje, czy aplikacje dajce
wykonywania z poziomem
integralnoci UIAccess musz
znajdowad si w bezpiecznej lokalizacji
w systemie plikw. Bezpieczne
lokalizacje ograniczaj si do
nastpujcych katalogw:
Wyczone
- \Program Files\ wraz z

podkatalogami,
- \Windows\system32,
- \Program Files (x86)\ wraz z
podkatalogami dla 64-bitowych wersji
systemu Windows.
Uwaga: system Windows wymusza
sprawdzanie podpisu infrastruktury
kluczy publicznych (PKI) w kadej
aplikacji interaktywnej, ktra da
wykonywania z poziomem
Wczone
Wczone

uruchamianie wszystkich
zatwierdzania przez
administratora
przecz na bezpieczny pulpit
przy monitowaniu o podniesienie
uprawnieo
wirtualizuj bdy zapisu plikw
i rejestru w lokalizacjach
poszczeglnych uytkownikw
integralnoci UIAccess, niezalenie od

stanu tego ustawienia zabezpieczeo.
To ustawienie zabezpieczeo kontroluje
zachowanie wszystkich zasad funkcji
Kontrola konta uytkownika dla
komputera.
zachowanie wszystkich zasad funkcji
Kontrola konta uytkownika dla
komputera.
przekierowywanie bdw zapisu
starszych aplikacji do zdefiniowanych
lokalizacji zarwno w rejestrze, jak i w
systemie plikw. Ta funkcja ogranicza
aplikacje, ktre wczeniej byy
uruchamiane z uprawnieniami
administratora i zapisyway dane
aplikacji w czasie wykonywania do
katalogw %ProgramFiles%,
%Windir%, %Windir%\system32 lub
HKLM\Software\.
Wczone
Wczone
Wczone
Powysza tabela zawiera krtki opis dla kadego ustawienia. Wicej informacji na temat konkretnego
ustawienia, znajduje si w zakadce POMOC w ustawieniach w Edytorze obiektw zasad grupy.
3.5.
Zabezpieczenia biometryczne
Windows 8 zawiera struktur biometryczn systemu Windows (ang. Windows Biometric Framework)
obsugujc czytniki linii papilarnych oraz inne urzdzenia biometryczne w sposb uniwersalny przez
aplikacje wyszego poziomu. Wbudowane komponenty systemu Windows zapewniaj wsparcie na
poziomie systemu operacyjnego i uatwiaj obsug rozpoznawania linii papilarnych przez aplikacje
korzystajce z rozwizao biometrycznych. W poprzednich wersjach systemu Windows wydanych
przed wersj Windows 7 obsuga rozpoznawania linii papilarnych wymagaa sterownikw i aplikacji
firm trzecich do prawidowej obsugi i logowania do systemu z zastosowaniem linii papilarnych.
System Windows 7 i Windows 8 obsuguje natywnie rozwizania biometryczne wymagajc tylko
instalacji sterownika do urzdzenia czytnika biometrycznego.
W systemie Windows 8 wprowadzono dodatkowe rozszerzenia i wsparcie dla urzdzeo
biometrycznych. Funkcja szybkie przeczanie uytkownika (ang. fast user switching) jest w peni
obsugiwana i wspiera poprzez technologie rozpoznawania linii papilarnych, a dodatkowo
wprowadzono ulepszone mechanizmy synchronizacji hase i odciskw linii papilarnych.
Ocena ryzyka
Standardowe metody weryfikacji uytkownika z zastosowaniem hasa posiadaj liczne saboci i
podatnoci, ktre mog stwarzad zagroenia dla bezpieczeostwa zarzdzanego rodowiska
informatycznego. Jeli hasa s jedynym mechanizmem uwierzytelniajcym uytkownikw, to
mechanizm ten moe powodowad, e uytkownicy mog zapisywad hasa na kartkach, mog byd
czsto zapominane przez uytkownikw lub mog stad si atwym celem ataku siowego
przeprowadzonym na systemie w celu ujawnienia i pozyskania hase. W celu zwikszenia
bezpieczeostwa ochrony kont uytkownikw, naley stosowad wieloczynnikowe metody
uwierzytelnienia poprzez wdroenie urzdzeo takich jak karty inteligentne. Mechanizm ten wymaga
od uytkownika wprowadzenia informacji, ktr zna (PIN) oraz zastosowania czego, co posiada
fizycznie (karta inteligenta). Metoda ta zwiksza poziom bezpieczeostwa uwierzytelnienia, ale nadal
podatna jest na zgubienie lub w niewielkim stopniu na modyfikacj.
Zastosowane wsparcie dla urzdzeo biometrycznych w systemie Windows 8 pozwala organizacjom na
implementacj dodatkowej warstwy weryfikacji tosamoci poprzez wymaganie przedstawienia
czego, co jest czci osoby, ktra jest weryfikowana. Proces ten minimalizuje ryzyko zwizane ze
stosowaniem hase oraz kart inteligentnych. Wbudowany mechanizm obsugi czytnikw
biometrycznych w Windows 8 moe wsppracowad z wieloma rnorodnymi typami
uwierzytelnienia biometrycznego. Coraz wiksza dostpnod i niska cena czynnikw linii papilarnych
sprawia, i forma uwierzytelnienia biometrycznego moe byd skutecznie wdroona w wielu
organizacjach.
Identyfikacja na podstawie linii papilarnych oferuje nastpujce zalety:
Odcisk palca pozostaje normalnie niezmienny przez cae ycie

Nie wystpuj dwa identyczne odciski palca (nawet w przypadku bliniakw)
Czytniki linii papilarnych stay si taosze i przez to dostpne w szerokim zakresie
Proces skanowania linii papilarnych jest prosty i szybki
Niezawodnod skanowanych prbek jest wysoka i posiada niski poziom bdnych prbek
biometrycznych (ang. false acceptance rate (FAR)) porwnujc do innych form
biometrycznego skanowania, takich jak rozpoznawanie twarzy lub analiza gosu.
Identyfikacja na podstawie linii papilarnych posiada rwnie wady:
Uytkownicy z uszkodzonymi (poprzez obraenia fizyczne naskrka) odciskami palcw nie

bd mogli si uwierzytelnid w sposb poprawny
Zostao udowodnione naukowo, i moliwe jest uzyskanie dostpu i oszukanie systemw
rozpoznajcych odciski palcw poprzez podstawienie spreparowanych odciskw palca, W
celu uzyskania dodatkowych informacji naley odwiedzid witryn Impact of Artificial
"Gummy" Fingers on Fingerprint Systems19.
Wiek uytkownika oraz zakres wykonywanej pracy fizycznej moe wpynd na niezawodnod
procesu skanowania linii papilarnych

W przypadku zastosowania mechanizmu weryfikacji biometrycznej, takiej jak odciski linii papilarnych,
bdcej czci wdroenia systemu Windows 8, naley rozwayd przed wdroeniem nastpujce
kwestie:
19
http://cryptome.org/gummy.htm
Systemy biometryczne zwykle wymagaj odpowiedniego przetwarzania wraliwych danych

biometrycznych uytkownikw, ktre przechowywane s na komputerach w celu dokonania
uwierzytelnienia. Sytuacja ta moe stanowid naruszenie prywatnoci oraz wymaga
waciwego sposobu przetwarzania wraliwych danych osobowych w organizacji.
Wikszod nowoczesnych komputerw przenonych posiada wbudowany czytnik linii
papilarnych, przez co proces wdroenia urzdzeo biometrycznych moe byd prostszy,
jednake wbudowane czytniki mog posiadad rnorodn precyzj skanowania i nie zawsze
najwyszej, jakoci, w stosunku do dedykowanych rozwizao biometrycznych. Zaleca si
przetestowanie i oszacowanie, jakoci czytnikw na podstawie przeprowadzonych testw w
zakresie biometrii: (FRR) - false rejection rate, (FAR) false acceptance rate, (CER) crossover
error rate, (FTE/FER) - failure to enroll rate oraz wskanika wydajnoci.
Jeli rodowisko pracy zawiera obszary, w ktrych nie moliwe jest utrzymanie czystych rk, z
uwagi na rodzaj wykonywanej pracy, czytniki linii papilarnych nie mog byd stosowane. W tej
sytuacji zaleca si rozwayd inne indywidualne cechy fizyczne, takie jak siatkwka oka,
rozpoznanie twarzy lub geometria doni.
Zaleca si, aby uytkownik wprowadza dodatkowy czynnik podczas uwierzytelnienia, taki jak
fraza kodujca, kod PIN lub karta inteligentna, z uwagi na fakt, i, znane s sposoby oszukania
czytnikw linii papilarnych przez podstawienie sztucznego odcisku palca wykonanego z elu
w celu ominicia zabezpieczeo. W celu uzyskania dodatkowych informacji naley odwiedzid
witryn Impact of Artificial "Gummy" Fingers on Fingerprint Systems20.

Naley pamitad, e kada organizacja posiada swoj specyfik pracy, ktra jest unikalna z uwagi na
rodowisko, w ktrym funkcjonuje. Przed wdroeniem naley dokadnie przeanalizowad rozwizanie i
upewnid si, e planowane rozwizanie speni postawione wymaganie zapewnienie zwikszenia
poziomu bezpieczeostwa procesu uwierzytelnienia.
W celu efektywnego wdroenia zabezpieczeo biometrycznych oraz minimalizacji ryzyka zaleca si
nastpujce dziaania:
1. Sprawdzenie i przeprowadzenie szeregu testw rnorodnych rozwizao weryfikacji
biometrycznych w celu wybrania najlepszego rozwizania speniajcego wymagania i
potrzeby organizacji.
2. Zapoznanie si z polityka prywatnoci obowizujc w danej organizacji, ze szczeglnym
uwzgldnieniem zasad przetwarzania wraliwych danych osobowych.
3. Okrelenie wymagao technicznych stawianych urzdzeniom biometrycznym oraz
zaplanowanie w czasie wdroenia fazy testowej, ktra sprawdzi zgodnod urzdzeo ze
stawianymi wymaganiami dla tych urzdzeo.
4. Okrelenie dodatkowych wymagao technicznych niezbdnych do wdroenia rozwizania
biometrycznego, takich jak infrastruktura klucza publicznego lub instalacja oprogramowania
klienckiego do obsugi biometrii.
5. Oszacowanie liczby pracownikw, ktrzy mog mied trudnoci podczas korzystania z
rozwizania biometrycznego z uwagi na ich cechy fizyczne, wraz zaproponowaniem
20
6.
7.
8.
9.
10.
alternatywnego rozwizania dla tych pracownikw. Naley rozwayd alternatywny sposb

uwierzytelnienia obejmujcy korzystanie z hase, lub kart inteligentnych wymagajcych
podania kodu PIN.
Uwiadomienie pracownikw w zakresie stosowania uwierzytelnienia biometrycznego oraz
poprawnego wykorzystania tego rozwizania, a przypadku braku moliwoci korzystania z
tego systemu wskazanie alternatywnego procesu uwierzytelnienia.
Przeprowadzenie wdroenia pilotaowego obejmujcego du grup osb w celu
identyfikacji a nastpnie rozwizania napotkanych problemw przed waciwym wdroeniem
rozwizania w rodowisku produkcyjnym.
Pobranie indywidualnych cech fizycznych do bazy rozwizania biometrycznego od
pracownikw stosujc si do instrukcji przekazanych przez dostawc rozwizania
biometrycznego obejmujcego proces skanowania i weryfikacji pobranych danych.
Przeszkolenie pracownikw w zakresie korzystania z systemu biometrycznego, oraz
zapewnienie wsparcia w przypadku napotkanych trudnoci.
Zaplanowanie wdroenie alternatywnego sposobu uwierzytelnienia dla osb, ktre odmwi
korzystania z systemu biometrycznego poprzez nie wyraenie zgody na przetwarzanie
wraliwych danych osobowych lub innych czynnikw.
Zastosowanie ustawieo zasad grup w celu minimalizacji ryzyka dla rozwizao biometrycznych
Konfiguracja tych ustawieo dostpna jest w gazi:
Konfiguracja komputera\Szablony administracyjne\Skadniki systemu Windows\Biometria
(Computer Configuration\Administrative Templates\Windows Components\Biometrics)
dla omawianej technologii:
Ustawienie zasad
Zezwalaj na
uywanie biometrii
Zezwalaj
uytkownikom na
logowanie przy
uyciu biometrii
Opis
Jeeli to ustawienie
zasad zostanie
wczone lub
pozostanie
nieskonfigurowane,
Usuga biometryczna
systemu Windows
bdzie dostpna, a
uytkownicy bd
mogli uruchamiad w
systemie Windows
aplikacje uywajce
biometrii.
To ustawienie zasad
okrela, czy
uytkownicy mog
logowad si lub
podwyszad poziom
uprawnieo Kontroli
Domylne ustawienie w systemie Windows 8

Nie skonfigurowano
Nie skonfigurowano
konta uytkownika
przy uyciu
biometrii.
Domylnie
uytkownicy lokalni
bd mogli logowad
si do komputera
lokalnego.
Zezwalaj
uytkownikom
domeny na
logowanie przy
uyciu biometrii
Okrel limit czasu

zdarzeo szybkiego
przeczania
uytkownikw
To ustawienie zasad
okrela, czy
uytkownicy z
kontami w domenie
mog logowad si
lub podwyszad
poziom uprawnieo
przy uyciu funkcji
Kontrola konta
uytkownika za
pomoc biometrii.
Domylnie
uytkownicy domeny
nie mog uywad
biometrii w celu
logowania. Jeli to
ustawienie zasad
zostanie wczone,
uytkownicy domeny
bd mogli logowad
si do komputera z
systemem Windows
przyczonego do
domeny przy uyciu
biometrii. W
zalenoci od
uywanej biometrii
wczenie tego
ustawienia zasad
moe osabid
zabezpieczenia
uytkownikw
logujcych si przy
uyciu biometrii.
To ustawienie zasad
okrela liczb
sekund, przez ktr
oczekujce zdarzenie
szybkiego
przeczania
Nie skonfigurowano
Nie skonfigurowano
uytkownikw
pozostanie aktywne
przed
zainicjowaniem
przeczenia.
Domylnie zdarzenie
szybkiego
przeczania
uytkownikw jest
aktywne przez 10
sekund, a potem
staje si nieaktywne.
Tabela 3.4.1 Ustawienia zasad grupowych dla rozwizao biometrycznych
3.6.
Oprogramowanie Windows Defender
Usuga Windows Defender jest oprogramowaniem antyszpiegowskim doczonym do systemu

Windows 8 i uruchamianym automatycznie po wczeniu systemu, w poprzedniej wersji systemu
Windows XP wymagaa opcjonalnego pobrania i zainstalowania. Uywanie oprogramowania
antyszpiegowskiego moe pomc w zapewnieniu ochrony komputera przed programami
szpiegujcymi i innymi potencjalnie niechcianymi programami takimi jak wirusy, robaki, roboty (ang.
bot) czy rootkity. Program szpiegujcy moe zostad zainstalowany na komputerze bez wiedzy
uytkownika podczas kadego poczenia z Internetem, a ponadto komputer moe zostad nim
zainfekowany podczas instalowania niektrych programw przy uyciu nonikw wymiennych.
Usuga Windows Defender oferuje dwa sposoby ochrony komputera przed zainfekowaniem
programami szpiegujcymi: ochrona w czasie rzeczywistym oraz zaplanowane skanowanie w celu
zapewnienia bezpieczeostwa, jako element automatycznej konserwacji.
W systemie Windows 8, skanowanie w celu zapewnienia bezpieczeostwa zostao przeniesione i stao
si czci Automatycznej Konserwacji, ktra zawiera rwnie mechanizm sprawdzenia dostpnych
aktualizacji oprogramowania oraz diagnostyk systemu.
W celu konfiguracji zaplanowanej automatycznej konserwacji naley wykonad czynnoci:
1. Prosz otworzyd gwne okno Centrum Akcji
2. Prosz kliknd w oknie Centrum Akcji na opcj Konserwacja a nastpnie naley wybrad
Zmieo ustawienia konserwacji.
3. W oknie Automatyczna Konserwacja, naley skonfigurowad dane ustawienia
automatycznej konserwacji i zatiwerdzid klikajc OK
4. Prosz zamknd okno Centrum Akcji.
Na rys. 3.5.1 przedstawiono rekomendowane ustawienia dla komputerw pracujcych w

systemie Windows 8 z wczon usug Windows Defender.
Rys. 3.5.1 Widok okna ustawieo rekomendowanych automatycznego skanowania dla usugi
Windows Defender
W momencie, kiedy aplikacja prbuje zmodyfikowad chroniony obszar w systemie Windows 8,
Windows Defender wywietli powiadomienie w celu uzyskania potwierdzenia lub anulowania
procesu zmiany, ktra ma wpyw na dziaanie systemu i zapobiega instalacji szkodliwego
oprogramowania.
Usuga Microsoft Active Protection (MAPS)

Microsoft Active Protection Service to spoecznod online, ktra moe doradzid, jaki sposb
reagowania na potencjalne zagroenia naley wybrad. Spoecznod pomaga te powstrzymad
rozprzestrzenianie si nowych infekcji. Mona zdecydowad si na wysyanie podstawowych lub
dodatkowych informacji o wykrytym oprogramowaniu. Dodatkowe informacje pomagaj firmie
Microsoft w tworzeniu nowych definicji oraz ochronie komputerw przez aplikacj Windows
Defender. Wysyane informacje mog obejmowad dane dotyczce lokalizacji wykrytych elementw
na komputerze w przypadku usunicia wirusa, programu szpiegujcego lub potencjalnie szkodliwego
oprogramowania. Informacje bd gromadzone i wysyane automatycznie. W celu uzyskania
dodatkowej informacji na temat zasad zachowania poufnoci informacji naley przeczytad dokument
Zasady zachowania poufnoci informacji w systemach Windows 8 i Windows Server 2012 21
Ocena ryzyka
Oprogramowanie zoliwe stwarza liczne zagroenia dla organizacji, ktre musz je minimalizowad w
celu zapewnienia bezpieczeostwa danych poprzez niedopuszczenie do ujawnienia danych
przechowywanych na komputerach. Najbardziej zauwaalne ryzyka, ktre stwarza oprogramowanie
szpiegujce zawieraj:
Wraliwe dane organizacji mog zostad naraone na ryzyko ujawnienia przez osoby
nieupowanione
Dane osobiste pracownikw mog zostad naraone na ryzyko ujawnienia przez osoby
nieupowanione
Komputery mog zostad naraone na utrat kontroli nad systemem poprzez zewntrzne
osoby atakujce
Ryzyko dotyczce przestojw z powodu oprogramowania szpiegujcego wynikajce z
obnienia wydajnoci i stabilnoci systemw komputerowych.
Ryzyko dotyczce wzrost kosztw utrzymania i zapewnienia ochrony z powodu
oprogramowania szpiegujcego
Potencjalne ryzyko szantau organizacji i w przypadku, kiedy zainfekowany system ujawni
wraliwe dane
Usuga Windows Defender zostaa zaprojektowana w celu minimalizacji ryzyka zwizanego z
oprogramowaniem zoliwym. Naley regularne i automatycznie pobierad aktualizacje definicji
korzystajc z usugi Windows Update lub poprzez usug Windows Server Update Services (WSUS).
Usuga Windows Defender domylnie jest wczona i uruchamiana automatycznie po wczeniu
komputera z systemem Windows 8, technologia ta zostaa zaprojektowana w taki sposb, aby nie
przeszkadzad zwykym uytkownikom w ich codziennej pracy. W celu efektywnego wdroenia
Windows Defender w organizacji, naley rozwayd nastpujce rekomendowane dziaania:
21
Przeprowadzenie testw interoperacyjnoci przed wdroeniem rozwizania firm trzecich

oprogramowania zapewniajcego ochron antywirusow i antyszpiegowsk w czasie
rzeczywistym
Zaprojektowanie systemu wspomagajcego zarzdzanie aktualizacj sygnatur i definicji w
przypadku zarzdzania dua iloci komputerw.
Przeszkolenie uytkownikw z moliwych atakw dokonywanych przez oprogramowanie
zoliwe oraz zapoznanie z metodami atakw socjotechnicznych
Dostosowanie zaplanowanego czasu wykonywania automatycznego skanowania do potrzeb
danej organizacji. Domylny czas uruchomienia skanowania codziennego to godzina 3:00 w
http://go.microsoft.com/fwlink/?LinkId=190175, http://windows.microsoft.com/pl-PL/windows-8/windows8-privacy-statement?ocid=W8_UI
nocy, komputer automatycznie wybudzi si si ze stanu upienia w celu przeprowadzenia

zaplanowanych zadao automatycznej konserwacji. Jeli komputer nie bdzie mg
przeprowadzid skanowania w zaplanowanym czasie, to uytkownik zostanie poinformowany i
zapytany o zgod na uruchomienie skanowania. Natomiast, jeli skanowanie nie odbdzie si
w cigu 2 nastpnych dni, to zostanie przeprowadzone automatycznie po okresie 10 minut
od startu komputera. W systemie Windows 8 proces skanowania uruchamiany jest z niskim
priorytetem w sposb minimalizujcy obcienie pracujcego komputera.
Windows Defender nie zosta zaprojektowany, jako aplikacja klasy Enterpise skierowana dla
duych organizacji. Rozwizanie to nie zapewnia penego centralnego raportowania,
monitorowania i mechanizmw kontroli konfiguracji. W przypadku potrzeby wykorzystania
dodatkowego elementu centralnego zarzdzania i raportowania naley rozwayd wdroenie
produktw zaawansowanych takich jak Microsoft System Center 2012 Endpoint Protection.
Okrelenie polityki poufnoci dla organizacji w zakresie wysyania i raportowania
ujawnionego oprogramowania zoliwego do programu spoecznoci MAPS.

Windows Defender jest domylnym skadnikiem systemu Windows 8 i nie wymaga dodatkowych
czynnoci w celu aktywacji tego produktu. Naley rozwayd kilka dodatkowych rekomendowanych
czynnodi ktre zapewni sta ochron organizacji poprzez rekomednowane dziaania:
1. Sprawdzenie i przeprowadzenie testw moliwoci usugi Windows Defender dziaajcego
pod kontrol systemu Windows 8.
2. Sprawdzenie i przeprowadzenie testw konfiguracji Windows Defender poprzez
zastosowanie zasad grup.
3. Oszacowanie i przetestowanie dodatkowej ochrony antywirusowej, wraz z okreleniem czy
oferowana ochrona zapewnia zabezpieczenie przed oprogramowaniem szpiegujcym wraz
ochron antywirusow.
4. Zaplanowanie optymalnych regularnych aktualizacji sygnatur i definicji dla wszystkich
komputerw, naley pamitad, i komputery przenone mog wymagad innej konfiguracji ni
komputery stacjonarne.
5. Przeprowadzid szkolenia uytkownikw w zakresie, ktry umoliwi samodzielne
identyfikowanie podejrzanych dziaao komputera i moliwych infekcji poprzez
oprogramowanie zoliwe.
6. Przeprowadzid szkolenia pracownikw dziau technicznego zapewniajcego wsparcie dla
uytkownikw z zakresu dziaania i dostpnych narzdzi wspomagajcych proces udzielania
wsparcia uytkownikom w zakresie usugi Windows Defender.
Zastosowanie ustawieo zasad grupowych w celu minimalizacji ryzyka dla Widnows Defender
Konfiguracja tych ustawieo dostpna jest w nastpujcej lokalizacji w narzdziu Edytor obiektw
zasad grupowych:
Konfiguracja komputera\Szablony administracyjne\Skadniki systemu Windows\Usuga Windows
Defender
(Computer Configuration\Administrative Templates\Windows Components\Windows Defender)

oraz Windows 8.1 dla omawianej technologii:
Ustawienie zasad
Sprawdzaj przed zaplanowanym
skanowaniem, czy s nowe
sygnatury
Opis
Powoduje, e przed uruchomieniem
zaplanowanego skanowania nastpuje
sprawdzenie, czy s nowe sygnatury.
systemie Windows
Nie skonfigurowano
Wczenie tego ustawienia zasad

spowoduje sprawdzanie dostpnoci
nowych sygnatur przed rozpoczciem
kadego zaplanowanego skanowania.
Jeli to ustawienie zasad zostanie
wyczone lub nie zostanie
skonfigurowane, zaplanowane
skanowania bd inicjowanie bez
pobierania nowych sygnatur.
Wycz usug Windows
Defender
Wycz monitorowanie w czasie

rzeczywistym
Wycz rutynowo podejmowan

akcj
To ustawienie zasad powoduje

wyczenie usugi Windows Defender.
wczone, usuga Windows Defender
nie bdzie uruchamiana, a komputery
nie bd skanowane w poszukiwaniu
zoliwego oprogramowania lub
innego potencjalnie niechcianego
oprogramowania.
To ustawienie zasad umoliwia
wyczenie monitw ochrony w czasie
rzeczywistym dotyczcych wykrywania
znanego zoliwego oprogramowania.
okrelenie, czy usuga Windows
Defender ma automatycznie
podejmowad akcj dla wszystkich
wykrytych zagroeo. Akcja
podejmowana w przypadku
okrelonego zagroenia jest ustalana
na podstawie kombinacji akcji
zdefiniowanej przez zasady, akcji
zdefiniowanej przez uytkownika i
akcji zdefiniowanej przez sygnatur.
wczone, usuga Windows Defender
nie bdzie automatycznie
podejmowad akcji dla wykrytych
zagroeo, ale bdzie monitowad
uytkownikw o wybranie jednej z
Nie skonfigurowano
Nie skonfigurowano
Nie skonfigurowano
akcji dostpnych dla danego

zagroenia.
wyczone lub pozostanie
nieskonfigurowane, usuga Windows
Defender bdzie automatycznie
podejmowad akcj dla wszystkich
wykrytych zagroeo po okoo
dziesiciu minutach (tego czasu nie
mona zmienid).
Skonfiguruj raportowanie
To ustawienie zasad pozwala
Nie skonfigurowano
spoecznoci Microsoft Active
skonfigurowad czonkostwo w
Protection Service
spoecznoci Microsoft Active
Protection Service.
Tabela 4.5.1 Ustawienia zasad grupowych dla usugi Windows Defender
3.7.
Narzdzie do usuwania zoliwego oprogramowania
Narzdzie do usuwania zoliwego oprogramowania (ang. MSRT - Malicious Software Removal Tool)
jest programem wykonywalnym o niewielkim rozmiarze, ktry uatwia usuwanie okrelonych
najbardziej rozpowszechnionych rodzajw zoliwego oprogramowania z komputerw z systemami
Windows.
Firma Microsoft dostarcza, co miesic now wersj programu MSRT poprzez usugi aktualizacji:
Microsoft Update, Windows Updates, WSUS oraz Centrum Pobierania Microsoft. Narzdzie do
usuwania zoliwego oprogramowania jest uruchamiane w trybie cichym i po zakooczeniu wywietli
raport, jeli zostanie wykryte oprogramowanie zoliwe. Narzdzie to nie jest instalowane w systemie
operacyjnym i nie posiada ustawieo zasad grupowych. Domylnie plik z raportem z
przeprowadzonego skanowania jest umieszczony w miejscu %SystemRoot%\Debug\mrt.log.
Program MSRT nie zosta zaprojektowany, jako program antywirusowy klasy Enterpise skierowana do
duych organizacji. Rozwizanie to nie zapewnia penego centralnego raportowania, monitorowania i
mechanizmw kontroli konfiguracji. W przypadku potrzeby dodatkowego elementu centralnego
zarzdzania i raportowania naley rozwayd wdroenie produktw zaawansowanych takich jak
Microsoft System Center 2012 Endpoint Protection22.
Ocena ryzyka
Rekomendowanym rozwizaniem jest stosowanie programu antywirusowego zainstalowanego na
kadym komputerze w organizacji, jako uzupenienie usug zapewniajcych bezpieczeostwo
dostpnych w systemach Windows 8. Pomimo instalacji waciwej ochrony antywirusowej naley
pamitad, i istniej dodatkowe ryzyka, ktre mog mied wpyw na bezpieczeostwo organizacji:
22
Zdarzenie, w ktrym program antywirusowy nie wykryje specyficznego rodzaju wystpienia

oprogramowania zoliwego
Oprogramowanie zoliwe wyczy lub zablokuje ochron antywirusow na atakowanym
komputerze
W sytuacji przedstawionej powyej, oprogramowanie MSRT dostarczy dodatkow warstw ochrony

w celu wykrycia i usunicia najbardziej rozpowszechnionych rodzajw zoliwego oprogramowania.
Pena lista zoliwego oprogramowania, ktre jest wykrywane i usuwane przez MSRT jest
aktualizowana na bieco i zostaa umieszczona na stronie internetowej: Rodziny programw
usuwane przez narzdzie do usuwania zoliwego oprogramowania23
W celu minimalizacji ryzyka rekomenduje si wczenie funkcji aktualizacje automatyczne na
komputerach klienckich. Wczenie funkcji Aktualizacje automatyczne gwarantuje automatyczne
otrzymywanie narzdzia MSRT, co miesic i moliwod uruchomienia tak szybko jak tylko uka si
nowa wersja tego narzdzia. MSRT zostaa zaprojektowany w celu minimalizacji ryzyka zwizanego z
oprogramowaniem zoliwym, ktre firma Microsoft zidentyfikowaa i zakwalifikowaa, jako wysokie
zagroenie i jednoczenie rozpowszechniajce si na szerok skal stanowice zagroenie dla
bezpieczeostwa uytkownikw systemu Windows.
W przypadku rozwaania zastosowanie omawianego narzdzia MSRT we wasnym rodowisku,
przedstawiono poniej list najwaniejszych czynnikw uatwiajcych prawidowe wdroenie:
Program MSRT zajmuje okoo 9 MB, rwnoczesne pobieranie tego programu przez du
liczb uytkownikw, moe wpynd niekorzystnie na wydajnod poczenia internetowego
Narzdzie MSRT pierwotnie zostao zaprojektowane dla uytkownikw niekorporacyjnych,
ktrzy nie posiadaj zainstalowanych aktualnych rozwizao antywirusowych. Jednake,
moe stanowid uzupenienie istniejcego rozwizania ochrony antywirusowej, stanowicej
dodatkowy element strategii defense-in-depth. W celu wdroenia narzdzia MSRT w
rodowisku organizacji, mona wykorzystad nastpujce sposoby instalacji:
o Windows Server Update Services
o Pakiet instalacyjny SMS / SCCM
o Poprzez skrypt startowy komputera uruchamiany przez zasady grupowe
o Poprzez skrypt startowy uytkownika uruchamiany przez zasady grupowe
W przypadku duych rodowisk, rekomendowane jest zapoznanie si z dokumentem
Wdraanie Narzdzia Microsoft Windows do usuwania zoliwego oprogramowania w
rodowisku przedsibiorstwa24, Numer ID artykuu: 891716 bazy wiedzy Microsoft Knowledge
Base
23
24
Program MSRT nie zapewnia ochrony w czasie rzeczywistym, w zwizku z powyszym wysoce
rekomendowane jest zainstalowanie programu antywirusowego, ktry zapewnia ochron w
http://www.microsoft.com/pl-pl/security/pc-security/malware-families.aspx
http://support.microsoft.com/Default.aspx?kbid=891716
czasie rzeczywistym przed nowymi zagroeniami, ktre pojawiaj si kadego dnia,

przykadem takiego rozwizania jest Microsoft System Center 2012 Endpoint Protection
zapewniajcy uniwersaln ochron przed oprogramowaniem zoliwym, stosowan na
komputerach przenonych, stacjonarnych oraz serwerach.
W trakcie uruchomienia programu MSRT, program tworzy tymczasowy katalog o losowej
nazwie wewntrz gwnego dysku napdu posiadajcego najwiksz moliw przestrzeo do
zapisu, ktry przewanie jest gwnym dyskiem systemu operacyjnego. Katalog ten zawiera
kilka plikw wczajc w to Mrtstub.exe, w wikszoci przypadkw katalog ten zostanie
usunity automatycznie po zakooczeniu procesu skanowania lub ponownym uruchomieniu
komputera. Ale moe zdarzyd si sytuacja, w ktrej folder ten nie zostanie usunity
automatycznie, w takim przypadku naley usund folder rcznie bez obawy o skutki uboczne
dla komputera.

W celu efektywnego wykorzystania narzdzia MSRT i minimalizacji ryzyka zaleca si zastosowad
dziaania:
Sprawdzenie i przeprowadzenie testw moliwoci narzdzia MSRT, W celu uzyskania

dodatkowych informacji naley odwiedzid witryn: Narzdzie do usuwania zoliwego
oprogramowania- Malicious Software Removal Tool25
Oszacowanie potrzeby wdroenia narzdzia MSRT we wasnym rodowisku
Okrelenie najbardziej odpowiedniego sposobu wdroenia narzdzia MSRT w organizacji.
Dokonanie identyfikacji systemw w organizacji, na ktrych wdroenie narzdzia MSRT
zapewni dodatkowy stopieo ochrony.
Wdroenie narzdzia z zastosowaniem okrelonej i waciwej metody wdroenia
3.8.
Zapora systemu Windows 8 oraz Windows 8.1
Zapora osobista jest krytycznym elementem obrony przed wieloma rodzajami oprogramowania
zoliwego. Tak jak w przypadku poprzednich wersji systemu Windows od czasu wydania Windows XP
SP2 zapora osobista jest domylnie wczona w systemie Windows, w celu zapewnienia ochrony
komputera uytkownika od momentu jak tylko system operacyjny jest gotowy do pracy.
Zapora osobista w systemie Windows 8 oraz Windows 8.1 wykorzystuje ten sam mechanizm ochrony
jak w przypadku Windows Vista wczajc w to filtrowanie ruchu wchodzcego i wychodzcego dla
zapewnienia ochrony poprzez ograniczenie dostpu sieciowego do zasobw systemu operacyjnego.
W rozwizaniu tym zostaa zastosowana ta sama konsola interfejsu uytkownika zapory systemu
Windows z zabezpieczeniami zaawansowanymi, znana ju z poprzedniego systemu Windows Vista.
Konsola ta jest centralnym miejscem upraszczajcym zarzdzanie. Z poziomu tej konsoli moemy
zarzdzad filtrowaniem ruchu sieciowego przychodzcego i wychodzcego z interfejsw sieciowych
oraz ustawieniami protokou IPsec zapewniajcymi bezpieczeostwo poczenia dziki zastosowaniu
wymiany kluczy, uwierzytelniania, integralnoci danych i opcjonalnie szyfrowania danych.
25
http://www.microsoft.com/pl-pl/security/pc-security/malware-removal.aspx
W systemie Windows 8 istniej trzy profile aplikacji Zapora systemu Windows z zabezpieczeniami
zaawansowanymi:
Profil domenowy
Profil stosowany jest, wtedy, kiedy komputer zosta podczony do sieci oraz nastpio
uwierzytelnienie do kontrolera domeny, do ktrego naley komputer.
Profil publiczny
Jest to domylny profil i stosowany jest w scenariuszach, kiedy komputer nie jest doczony do
domeny. Ustawienia profilu publicznego powinny byd najbardziej restrykcyjne, poniewa komputer
jest poczony z sieci publiczn, w ktrej nie mona kontrolowad bezpieczeostwa.
Profil prywatny
Profil stosowany jest, jeli uytkownik posiadajcy powiadczenia lokalnego administratora przypisze
go w ramach biecego poczenia sieciowego do sieci wczeniej zdefiniowanej, jako sied publiczna.
Zaleca si, aby uywad profilu prywatnego w sieciach zaufanych.
W systemach Windows Vista w danej chwili moe byd aktywny na komputerze tylko jeden profil.
System Windows 8 zapewnia wsparcie dla wielu aktywnych profili na poziomie kart sieciowych. Jeli
istnieje wiele kart sieciowych poczonych z rnymi sieciami, dla wszystkich kart na komputerze jest
stosowany profil o najbardziej odpowiednich ustawieniach dla typu sieci, do ktrej zosta
przyczony. Na przykad:, jeli znajdujemy si w kawiarence i korzystamy z darmowego punktu
dostpowego sieci bezprzewodowej w celu poczenia si z sieci naszej organizacji stosujc
poczenie VPN, to profil publiczny w dalszym cigu zapewnia nam ochron ruchu sieciowego, ktry
nie jest transmitowany przez zestawiony tunel poczenia VPN. To samo odnosi si do karty sieciowej
niepodczonej do sieci lub do nierozpoznanej sieci, w tym przypadku zostanie przypisany profil
publiczny, a pozostae karty sieciowe bd uyway odpowiednich profili dla typu sieci, do ktrej
zostay przyczone.
Ocena ryzyka
Poczenie sieciowe jest niezbdnym elementem w nowoczesnym biznesie, ktre umoliwia z jednej
strony cznod z caym wiatem, a z drugiej strony to samo poczenie moe stad si gwnym celem
osb atakujcych. To zagroenie towarzyszce nawizywanym poczeniom musi byd
minimalizowane, aby zapewnid bezpieczeostwo i nie dopucid do ujawnienia wanych danych oraz
infekcji komputerw. Najczciej zidentyfikowane zagroenia dla organizacji wystpujce w
przypadku atakw z sieci obejmuj:
Zainfekowanie komputera oraz przejcie kontroli nad komputerem cznie z uzyskaniem

uprawnieo administracyjnych przez nieupowanion osob atakujc.
Zastosowanie skanerw sieciowych przez osob atakujca w celu zdalnego ustalenia
otwartych portw (niezbdnych do dziaania usug w sieci internet), ktre mog zostad
wykorzystane do przeprowadzenia ataku z zewntrz.
Wraliwe dane organizacji mog zostad naraone na ryzyko ujawnienia przez osoby
nieupowanione, w przypadku, kiedy aplikacja typu koo trojaoski zainicjuje i nawie
poczenie sieciowe z wewntrz sieci bezporednio ze stacji roboczej wprost to komputera
atakujcego.
Komputery przenone mog zostad naraone na zewntrzne ataki sieciowe pracujc z sieci
niezaufanych poza kontrol firmowej zapory sieciowej.
Komputery pracujce w sieci wewntrznej mog zostad naraone na ataki sieciowej
pochodzce z zainfekowanych komputerw podczonych to tej samej sieci wewntrznej.
Potencjalne ryzyko szantau organizacji w przypadku, kiedy atakujcy zainfekuje komputery
pracujce w sieci wewntrznej.
Zapora systemu Windows 8 zapewnia ochron komputera i jest dostpna bezporednio po wyjciu z
pudeka. Zapora sieciowa blokuje niechciane poczenia przychodzce do czasu, kiedy stosowanych
zmian nie dokona administrator lub odpowiednia zasada grupowa.
Zapora sieciowa zawiera rwnie funkcjonalnod filtrowania ruchu wychodzcego z komputera i jest
dostpna bezporednio po wyjciu z pudeka, regua ta domylnie ustawiona jest na zezwalaj dla
caego ruchu wychodzcego. Zastosowanie odpowiednich ustawieo zasad grupowych pozwala na
konfiguracj tych regu dostpnych w zaporze sieciowej, tak, aby pozostawid ustawienia
zabezpieczeo komputera klienckiego w stanie niezmiennym.
W przypadku rozwaania zastosowania zapory sieciowej, przedstawiono poniej list najwaniejszych
czynnikw uatwiajcych prawidowe planowanie wdroenia zapory sieciowej:
Przeprowadzenie testw interoperacyjnoci aplikacji niezbdnych do pracy na komputerach

w organizacji. Kada z aplikacji powinna posiadad okrelone i zanotowane niezbdne porty do
prawidowej pracy, tak, aby zapora sieciowa umoliwia ich otwarcie.
Identycznie jak w przypadku Windows 7, zapora sieciowa systemu Windows 8 obsuguje trzy
profile: domenowy, publiczny i prywatny, po to, aby zapewnid odpowiedni poziom ochrony
komputerw klienckich, ktre pracuj w sieciach niezaufanych poza sieci wewntrzn
organizacji.
Okrelenie odpowiedniego poziomu zbierania logw generowanych przez zapor sieciow, w
celu dostosowania ich do istniejcych rozwizao raportowania i monitorowania w
organizacji.
Domylnie zapora sieciowa blokuje poczenia zdalnego sterowania oraz zdalnego
zarzdzania komputerw opartych o system Windows 8. Wewntrz zapory znajduj si
zdefiniowane wbudowane reguy umoliwiajce wykonywanie zdalnych zadao. W przypadku
potrzeby zdalnej kontroli wystarczy te reguy wczyd w odpowiednich profilach zapory. Na
przykad: mona wczyd regu Pulpit zdalny dla profilu domenowego, aby zezwolid
pracownikom dziau wsparcia na zdalne poczenia w celu wiadczenia usug pomocy zdalnej
uytkownikom. A w przypadku profili publicznego i prywatnego mona te reguy pozostawid
wyczone, aby zminimalizowad ryzyko ataku sieciowego na komputery znajdujce si poza
sieci wewntrzn.

System Windows 8 zawiera ustawienia zasad grupowych jak i rwnie odpowiednie narzdzia
graficzne, ktre wspomagaj administratorw w celu przeprowadzenia odpowiedniej konfiguracji
funkcjonalnoci zapory sieciowej. Zaawansowane ustawienia zabezpieczeo dostpne dla systemw

Windows 8 mona zastosowad rwnie dla komputerw pracujcych pod kontrol systemu Windows
7 SP1 oraz Windows Vista, ale nie mona z nich skorzystad w przypadku komputerw klienckich lub
obrazw systemw wirtualnych trybu XP Mode pracujcych pod kontrol systemu Windows XP.
W przypadku modyfikacji domylnej konfiguracji zapory sieciowej, rekomendowane jest
wykorzystanie ustawieo zasad grupowych dla Zapory systemu Windows z zabezpieczeniami
zaawansowanymi w celu zarzdzania komputerami pracujcymi po kontrol systemw Windows 8,
Windows 7 SP1 oraz Windows Vista.
Zasady dotyczce Zapory systemu Windows z zabezpieczeniami zaawansowanymi zorganizowane s
w obrbie gazi:
Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeo\Zapora systemu
(Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced
Security)
Rekomendowane jest wczenie Zapory systemu Windows z zabezpieczeniami zaawansowanymi dla
wszystkich trzech profili. Dodatkowo zapora systemu Windows z zabezpieczeniami zaawansowanymi
wspiera i obsuguje Reguy zabezpieczeo poczeo (ang. Connection security rules). Zabezpieczenia
poczeo obejmuj uwierzytelnianie dwu komputerw przed rozpoczciem komunikacji i
zabezpieczanie informacji wysyanych midzy dwoma komputerami. Aplikacja Zapora systemu
Windows z zabezpieczeniami zaawansowanymi uywa zabezpieczeo protokou internetowego
(IPsec), aby uzyskad bezpieczeostwo poczenia dziki zastosowaniu wymiany kluczy,
uwierzytelniania, integralnoci danych i opcjonalnie szyfrowania danych.
Wicej informacji na temat IPSec26 mona uzyskad odwiedzajc witryn Microsoft Technet.
Zbir ustawieo bazowych opisujcy zalecane ustawienia zapory systemu Windows z
zabezpieczeniami zaawansowanymi dla systemu Windows 8 oraz Windows 8.1 wraz z wskazaniem
zalecanych ustawieo dostpny jest w narzdziu Security Compliance Manager27 (SCM), narzdzie
SCM zostanie opisane w dodatku do niniejszego dokumentu.
3.9.
Ograniczanie dostpu do aplikacji - AppLocker
Windows 8 zawiera uaktualnion i ulepszon wersj zasad ograniczeo oprogramowania (ang.

Software Restriction Policies) nazywan AppLocker, ktra zastpuje funkcj Zasady ograniczania
oprogramowania. Funkcja AppLocker udostpnia nowe moliwoci i rozszerzenia, ktre zmniejszaj
ilod pracy zwizanej z administracj i uatwiaj administratorom kontrolowanie sposobu uzyskiwania
przez uytkownikw dostpu i uywania plikw, takich jak pliki wykonywalne, skrypty, pliki
Instalatora Windows i pliki DLL. Konfiguracja funkcji AppLocker moe zostad przeprowadzona z
zastosowaniem zasad grupowych w obrbie domeny Active Directory lub lokalnie na komputerze z
zastosowaniem konsoli Zasady Zabezpieczeo Lokalnych.
Ocena ryzyka
26
27
Kadorazowa prba instalacji nieautoryzowanej aplikacji stwarza ryzyko nieuprawnionych zmian w

systemie. Proces instalacyjny dokonuje zmian w systemie operacyjnym komputera oraz powstaje
ryzyko uruchomienia dodatkowych usug lub otworzenia dodatkowych portw zapory systemu
Windows. Ale nawet, jeli obawy te nie potwierdz si, to w systemie pozostaje zainstalowana
aplikacja, ktra wymaga sprawdzenia pod katem moliwego celu ataku, oraz wykorzystania
podatnoci tej aplikacji do przeprowadzenia ataku na t aplikacj. Nieautoryzowana aplikacja moe
byd szkodliwa (niebezpieczna) w zamierzeniu twrcw i zostaa zainstalowana omykowo lub celowo
przez uytkownika, a nastpnie moe przeprowadzid atak na systemy wewntrzne po podczeniu
komputera do sieci organizacji.
W systemie Windows 8 oraz Windows 8.1, Applocker moe rwnie kontrolowad nowe aplikacje
systemu Windows 8 oraz Windows 8.1. Z uwagi na fakt, i aplikacje Windows 8.x (nazywane
spakowanymi aplikacjami ang. packaged apps) powizane s z plikami instalacyjnymi i
wspdzielone s pod wsplna nazw wydawcy, nazwy aplikacji wraz z jej numerem wersji, co
oznacza, e mona tworzyd tylko regu wydawcy w AppLocker w celu kontrolowania instalacji i
uruchomienia aplikacji systemu Windows 8.x.
AppLocker umoliwia administratorom implementacj zestawu zasad sterowania aplikacjami, ktre
w znacznym stopniu zredukuj w organizacji ryzyko ataku, ktry moe byd efektem instalacji
nieautoryzowanego oprogramowania na komputerach w organizacji. AppLocker pozwala na
minimalizacj ryzyka zwizanego z instalacj oprogramowania poprzez dziaania:
1. Definiowanie regu na podstawie atrybutw plikw uzyskanych z podpisu cyfrowego, w tym
wydawcy, nazwy produktu, nazwy pliku i wersji pliku. Mona na przykadu utworzyd reguy na
podstawie atrybutu wydawcy, ktry zachowuje trwaod po dokonaniu aktualizacji, lub
utworzyd reguy dotyczce okrelonej wersji pliku.
2. Przypisywanie reguy do grupy zabezpieczeo lub uytkownika.
3. Tworzenie wyjtkw od regu. Mona na przykad utworzyd regu zezwalajc na
uruchamianie wszystkich procesw systemu Windows z wyjtkiem Edytora rejestru
(Regedit.exe).
4. Uycie trybu Tylko inspekcja w celu wdroenia i poznania wpywu zasady przed jej
wymuszeniem.
5. Importowanie i eksportowanie regu. Importowanie i eksportowanie wpywa na ca zasad.
Jeli na przykad zasada zostanie wyeksportowana, zostan wyeksportowane wszystkie
reguy ze wszystkich kolekcji regu, w tym ustawienia wymuszania dla kolekcji regu.
Zaimportowanie zasady powoduje zastpienie istniejcej zasady.
6. Prostsze tworzenie i zarzdzanie reguami zasad ograniczeo oprogramowania dziki
zastosowaniu apletw poleceo programu PowerShell dla zasad ograniczeo oprogramowania.
W przypadku rozwaania zastosowanie omawianej funkcji AppLocker we wasnym rodowisku,
przedstawiono poniej list najwaniejszych czynnikw uatwiajcych prawidowe wdroenie:
Przeprowadzenie dokadnych testw zasad sterowania aplikacjami przed wdroeniem ich w

rodowisku produkcyjnym. Wszelkie bdy popenione podczas procesu projektowania i
implementacji tej funkcjonalnoci mog spowodowad powane utrudnienia i wpynd
znaczco na wydajnod pracy uytkownika.
Zaplanowanie czasu na przeprowadzenie procesu oszacowania uytkowanych aplikacji w
organizacji poprzez uycie trybu Tylko inspekcja funkcji AppLocker majcy na celu
zapoznanie si z zakresem aplikacji wykorzystywanych przez uytkownikw przed
wdroeniem ograniczeo.
Rozwaenie stopniowego wdroenia ograniczeo, rozpoczynajc od uytkownikw gdzie
instalacja oprogramowania stanowi due zagroenie dla bezpieczeostwa lub komputerw
zawierajcych wraliwe dane.

Konfiguracja funkcji AppLocker dostpna jest w gazi Zasady sterowania aplikacjami w zasadach
grupowych. System Windows 8 nadal wspiera zasady ograniczeo oprogramowania (SRP).
Uwaga: Funkcja AppLocker nie jest dostpna w wersjach przeznaczonych dla uytkownika indywidualnego systemach
Windows 8 ( wersja Windows 8).
Zastosowanie zasad grupowych w celu minimalizacji ryzyka stosujc funkcj AppLocker

Konfiguracja ustawieo funkcji AppLocker znajduje si gazi:
Konfiguracja komputera\Ustawienia systemu Windows\Ustawienie zabezpieczeo\Zasady
sterowania aplikacjami
(Computer Configuration\Windows Settings\Security Settings\Application Control Policies)
Przewodnik ten nie zawiera rekomendacji, jakie aplikacje warto zablokowad na stacjach klienckich, z
uwagi na specyficzne wymagania kadej organizacji. W celu uzyskania dodatkowych informacji na
temat planowania i wdraania zasad AppLocker, naley zapoznad si z dokumentami AppLocker
Technical Documentation for Windows 7 and Windows Server 2008 R228.
3.10.
Zasady ograniczeo oprogramowania
Zasady ograniczeo oprogramowania (ang. Software Restriction Policies (SRP)) wprowadzone w

systemach Windows Vista, Windows XP, Windows Server 2003 oraz Windows Server 2008 nadal s
dostpne i wspierane w systemie Windows 8. Administratorzy nadal mog stosowad te zasady, jako
sposb okrelania i sterowania aplikacjami pracujcymi na lokalnych komputerach. Jednake, firma
Microsoft rekomenduje zastpienie zasad ograniczeo oprogramowania nowymi zasadami sterowania
aplikacjami oferujcymi nowe moliwoci i rozszerzenia wprowadzone w funkcji AppLocker systemu
Windows 8.
3.11.
Bezpieczne uwierzytelnianie za pomoc kart inteligentnych
W systemach Windows, karty inteligentne (ang. smart card) oferuj potencjalnie najlepsz metod
uwierzytelnienie i logowania uytkownikw do komputerw, stron internetowych oraz aplikacji.
Karty inteligentne wspierane s w kilku poprzednich edycjach systemu Windows, ale zmiany
28
wprowadzone w systemie Windows 8 sprawiy, i karty inteligentne s bardziej przystpne do celw

uwierzytelnienia w okrelonych typach dostpu.
Karta inteligentna w znacznym stopniu zwiksza bezpieczeostwo poprzez wczenie mechanizmu
dwu-czynnikowego uwierzytelnia (ang. two-factor authentication). Pojcie dwu-czynnikowego
uwierzytelnienia odnosi si do faktu logowania si do komputera lub witryny internetowej, ktra
wymaga posiadania fizycznego elementu, jakim jest fizyczna karta inteligentna (co co uytkownik
posiada ang. something you have) oraz posiadania informacji przewanie jest to kod PIN ( co co
jest znane uytkownikowi ang. something you know). Dlatego, jeli intruz posiada tylko jeden
element z dwch wymienionych, np. intruz odgadnie kod PIN, to osoba atakujca nadal nie moe
uwierzytelnid si w systemie bez posiadania fizycznej karty.
W systemie Windows 8, mona wykorzystad wirtualne karty inteligentne, ktre zastpuj fizyczne
karty wykorzystywane do uwierzytelnienia w witrynach internetowych lub aplikacjach. Wirtualne
karty inteligentne uywaj podobnych mechanizmw bezpieczeostwa, ale magazyn, w ktrym
przechowywane s certyfikaty stanowi modu TPM (ang. Trusted Platform Module) znajdujcy si w
komputerze. W tym wypadku komputer zastpuje nam karty inteligentne, jako fizyczne elementy
wymagane do uwierzytelnienia (logowania). Wirtualne katy inteligentne oferuj adekwatny poziom
bezpieczeostwa w stosunku do fizycznych kart inteligentnych bez dodatkowych nakadw
finansowych w zakup czytnikw kart inteligentnych jak i samych kart.
Ocena ryzyka
Zdalny dostp sieciowy oraz dostp do danych jest powanym zagroeniem w przypadku, kiedy konto
danego uytkownika zostanie skompromitowane (przejte) przez atakujcego intruza, niezalenie od
tego czy zostao to wykonane zdalnie czy lokalnie. Osoba atakujca moe wykorzystad dostp do
komputera lub usugi poprzez odgadnicie nazwy uytkownika (np. drog dedukcji lub socjotechniki)
oraz odgadnicia hasa lub przeprowadzenia ataku siowego na haso uytkownika.
Wdroenie mechanizmu uwierzytelnienia za pomoc kart inteligentnych lub wirtualnych kart
inteligentnych wprowadza silny proces dwu-skadnikowego uwierzytelnienia. Powiadczenia
uytkownikw (ang. credentials) staj si trudniejszym celem atakujcych z uwagi na brak dostpu do
fizycznego elementu. Implementacja kart inteligentnych wymaga technologii infrastruktury klucza
publicznego PKI ( ang. Public Key Infrastructure). Wdroenie konfiguracji PKI jest zadaniem zoonym,
ktre powinno byd starannie zaplanowane przed wdroeniem. Technologia PKI moe zostad
wdroona w oparciu o rol serwera Windows Server 2012 Usugi certyfikatw Active Directory (ang.
Active Directory Certificate Services (AD CS)). Wicej informacji na ten temat mona uzyskad pod
adresem Active Directory Certificate Services Overview29.
W przypadku rozwaania wdroenia kart inteligentnych lub wirtualnych kart inteligentnych w naley
wzid pod uwag nastpujce dziaania:
29
http://technet.microsoft.com/en-us/library/hh831740
Wdroenie fizycznych kart inteligentnych moe wymagad znaczcych nakadw finansowych

w nowe wyposaenie. Naley zauwayd, i kady komputer bdzie wymaga czytnika kart
inteligentnych (czd z dostpnych na rynku komputerw moe posiadad takie czytniki) i
fizycznej karty inteligentnej dla kadego uytkownika. Dodatkowo wymagane jest posiadanie
odpowiedniej iloci karta zapasowych, dla nowych uytkownikw lub uytkownikw, ktrzy
utracili swoje karty poprzez zgubienie lub zniszczenie.
Jeli uytkownik utraci lub zapomni swojej karty, nie bdzie wstanie si zalogowad do
systemu, co wpynie negatywnie na jego wydajnod, szczeglnie podczas wdroenia.
Wirtualne karty inteligentne mog zmniejszyd ten problem w przypadku logowanie si do
witryn internetowych, ale naley pamitad, i karty wirtualne nie mog byd wykorzystane do
interaktywnego logowania si uytkownika do systemu Windows.
Karty inteligentne nie ochroni organizacji przed bdami ludzkimi wynikajcymi ze sabej
wiadomoci zagroeo. Karty inteligentne nie s panaceum na problemy wynikajce z faktu,
zapisywania przez uytkownikw swoich kodw PIN, a szczeglnie na kartach. Karty mog
zostad skradzione i mog stanowid podatnod. Naley szczeglnie zwrcid uwag na dobre
praktyki, ktre musz stosowad uytkownicy ze szczeglnym uwzgldnieniem ochrony kodw
PIN oraz nie pozostawiania kart bez opieki.
Wirtualne karty inteligentne wymagaj moduu TPM w komputerze. W zalenoci od
dostawcy komputera, narzdzia niezbdne do konfiguracji moduu TPM mog wymagad
rcznych czynnoci konfiguracyjnych zwizanych z urzdzeniem TPM. Takich jak wczenie
TPM w BIOSie lub zainicjowanie moduu i ustalenia hasa administratora podczas inicjacji
urzdzenia, ktry moe uniemoliwid proces automatycznego lub wykorzystujcego
automatyczne skrypty wdroenia albo aktualizacji.
W celu uzyskania dodatkowych informacji naley zapoznad si dokumentacj The Secure Access
Using Smart Cards Planning Guide30 oraz Understanding and Evaluating Virtual Smart Cards31.
3.12.
Odwieanie i przywracanie komputera do stanu pierwotnego
System Windows 8 oferuje dwa nowe sposoby na przywrcenie komputera do poprzedniego stanu z
okrelonego poprzedniego punktu w czasie.
Przywrd swj komputer (ang. Reset your PC) - Proces przywracania komputera uruchamia
komputer w trybie Windows Recovery Environment (Windows RE), wykasowuje i formatuje
partycje zawierajce dane systemu Windows oraz dane uytkownika, instaluje wie kopi
systemu Windows i na koniec restartuje komputer.
Odwie swj komputer (ang. Refresh your PC) - Proces odwieania komputera uruchamia
komputer w trybie Windows Recovery Environment (Windows RE), skanuje i zbiera
(zabezpiecza) dane i pliki uytkownika, konfiguracj ustawieo i aplikacji Windows 8,
nastpnie instaluje wie kopi systemu Windows i przywraca dane i pliki uytkownika,
konfiguracj ustawieo i aplikacji Windows 8. I na koniec restartuje komputer.
Zastosowanie opcji odwieania systemu moe zachowad ustawienia komputera, wczajc w to:
konfiguracj sieci bezprzewodowych i poczeo mobilnych, ustawieo mechanizmu szyfrowania
BitLocker i BitLocker To Go, przypisanych liter dyskw, personalizacji, takich jak tapeta.
30
31
http://technet.microsoft.com/en-us/library/cc170941.aspx
http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=29076
Administratorzy mog utworzyd wasny obraz odwieania komputera zawierajcy popularne

oprogramowanie, narzdzia lub odpowiednie sterowniki, ktre s wykorzystywane podczas procesu
odwieania lub przywracania komputera. Korzystajc z opcji przywracania komputera po wykryciu
zaraenia i obecnoci oprogramowania zoliwego, dostarczamy czysty komputer bez obecnoci
oprogramowania zoliwego. Opcja odwieania komputera wspomaga proces odtworzenia
komputera po wykryciu ataku oprogramowania zoliwego.
W przypadku, kiedy wystpi atak lub zaraenie komputera, za pomoc procesu odwieania
komputera bdziemy wstanie odtworzyd dane z komputera lub przywrcid komputer do punktu
stanu sprzed ataku.
Z kolei proces przywracania komputera wspomoe proces odtworzenia systemu operacyjnego
komputera po ataku lub zaraeniu przez oprogramowanie zoliwe wspomoe przywrcid komputer
do stanu niezainfekowanego. Proces przywracania nie odtworzy danych uytkownika, ale pozwoli
upewnid si, e przywrcony komputer jest czysty i nie posiada niechcianego oprogramowania.
3.13.
Poniej przedstawiono dodatkowe rda informacji na temat bezpieczeostwa systemu Windows 8

opublikowanych na stronach Microsoft.com
32
33
32
Active Directory Certificate Services Overview .

"Deployment of the Microsoft Windows Malicious Software Removal Tool in an enterprise
33
environment ": Knowledge Base article 891716.
34
Impact of Artificial "Gummy" Fingers on Fingerprint Systems .
35
Install the latest Windows Defender definition updates .
36
Protecting you from malware.
37
IPsec .
System Center 2012 Endpoint Protection
38
39
Getting Started with User Account Control on Windows Vista .

40
Malicious Software Removal Tool .
41
Malware Families Cleaned by the Malicious Software Removal Tool .
42
Microsoft Security Compliance Manager .
43
Privacy Statement for the Microsoft Error Reporting Service .
http://technet.microsoft.com/en-us/library/hh831740
http://support.microsoft.com/Default.aspx?kbid=891716
35
http://www.microsoft.com/security/portal/Definitions/HowToWD.aspx
36
http://blogs.msdn.com/b/b8/archive/2011/09/15/protecting-you-from-malware.aspx
37
38
39
40
41
http://www.microsoft.com/security/malwareremove/families.aspx
42
43
34
"The Microsoft Windows Malicious Software Removal Tool helps remove specific, prevalent
malicious software from computers that are running Windows Vista, Windows Server 2003,
Windows Server 2008, Windows XP, or Windows 2000": Knowledge Base article 890830.
Windows Defender Privacy Policy.
Windows Firewall.
Windows Server Group Policy.
Windows Server Update Services (WSUS).
"Windows Vista Application Development Requirements for User Account Control Compatibility"
article.
Understanding and Configuring User Account Control in Windows Vista.
User Account Control.
Using Software Restriction Policies to Protect Against Unauthorized Software.
4. Ochrona wraliwych danych

Firma Microsoft dostarczya nowe i rozszerzone funkcje oraz usugi zapewniajce organizacjom
ochron danych przechowywanych na komputerach klienckich wraz z mechanizmami zabezpieczenia
ich przed ryzykiem kradziey oraz ujawnienia danych.
W rozdziale tym zostan omwione rekomendowane ustawienia, ktre zostay zaprojektowane w
celu podwyszenia stopnia ochrony danych przechowywanych na komputerach klienckich
pracujcych po kontrol systemu Windows 8 oraz Windows 8.1. Konfiguracja poszczeglnych funkcji
ochrony zaley od wymagao i poziomu zabezpieczeo stawianych wasnemu rodowisku
informatycznemu. Rozdzia ten dostarczy niezbdnych informacji w celu identyfikacji,
zaprojektowania oraz dostosowania konfiguracji waciwej ochronny danych w organizacjach
nastpujcych funkcji i usug:
Szyfrowanie dyskw funkcj BitLocker

o Ochrona plikw przechowywanych na woluminie, na ktrym zainstalowany jest
system Windows (dysk systemu operacyjnego) oraz staych dyskach z danymi
o Ochrona danych znajdujcych si na dyskach wymiennych (zewntrzne dyski danych
lub dyski flash USB) z zastosowaniem funkcji BitLocker To Go.
System szyfrowania plikw (EFS)
Usugi zarzdzania prawami dostpu (RMS)
Mechanizm instalacji i zarzdzania urzdzeniami w systemie Windows
W celu zapewnienia ochrony wraliwych danych w organizacji moemy skorzystad z funkcji Bitlocker,
EFS, RMS oraz mechanizmu instalacji i zarzdzania urzdzeniami. Kada z tych technologii spenia
okrelone zadania w rnych scenariuszach zastosowania. Zaprezentowane tutaj wbudowane
mechanizmy ochrony danych powinny byd czci strategii bezpieczeostwa organizacji a ich
stosowanie jest wysoce rekomendowane. Przedstawione w tabeli przykady pokazuj, w jakich
scenariuszach poszczeglne funkcje mog byd wykorzystane odnoszc si do najczciej spotykanych
konfiguracji w organizacjach.
Scenariusz
Ochrona danych komputerw
przenonych
Ochrona danych serwera biura
oddziau
Ochrona lokalnych plikw i
folderw uytkownika
Ochrona komputerw
stacjonarnych
Ochrona danych dyskw
wymiennych
Ochrona
plikw i folderw
wspuytkowanych
komputerw
Ochrona plikw i folderw
BitLocker
EFS
RMS
Zarzdzanie urzdzeniami
zdalnych
Ochrona administratora
pracujcego w niezaufanej sieci

Egzekwowanie zasad ochrony
dokumentw zdalnych
Ochrona treci podczas
przesyania przez sied

Ochrona treci podczas
wsppracy grupowej
Ochrona danych przed kradzie
Tabela 4.1 - Porwnanie mechanizmw ochrony danych stosowanych w systemie Windows 8.

Ustawienia bazowe konfiguracji zaprezentowano w narzdziu Security Compliance Manager (SCM)
w arkuszach programu Excel, w ktrych wskazano rne powierzchnie atakw dla wybranych
produktw Microsoft. Skoroszyty zawierajce ustawienia wybranych produktw dostpne s w sekcji
Attachments\Guides po wybraniu i wskazaniu waciwego produktu w narzdziu SCM.
Uwaga: Dla kadego z obszarw wskazanych w tym rozdziale wraz z ustawieniami dla zasad
grupowych s uwydatnione w domylnej konfiguracji dla nowych instalacji systemu Windows 8.
Zalecane lub rekomendowane ustawienia zasad grupowych s oznaczone za pomoc symbolu .
Wicej informacji na temat podstawowych ustawieo bazowych i ich wartoci umieszczono w tabelach
dokumentu Windows 8 Security Baseline settings dostpnych w narzdziu Security Compliance
Manager44 (SCM).
4.1.
Szyfrowanie i ochrona dyskw z zastosowaniem funkcji BitLocker
Szyfrowanie dyskw funkcj BitLocker jest mechanizmem szyfrowania caych woluminw, a nie tylko
poszczeglnych plikw, zapewniajc ochron danych przechowywanych na dyskach pracujcych pod
kontrol systemu Windows 8 oraz Windows 8.1. Mechanizm ten zapewnia bezpieczeostwo danych
rwnie w przypadku, kiedy dysk zostanie wymontowany i zainstalowany w innym komputerze.
Technologia BitLocker w systemie Windows 8 zapewnia ochron danych znajdujcych si na dyskach
twardych komputerw uytkownikw, wczajc w to ochron dyskw wymiennych, pamici
przenonych USB oraz dyskw podczonych poprzez interfejs IEEE 1394.
W momencie uruchomienia ochrony dyskw systemu operacyjnego BitLocker chroni sekwencj
rozruchu a do momentu wprowadzenia waciwych i uprawnionych danych uwierzytelniajcych
wymaganych przez mechanizm BitLocker. Funkcja BitLocker zezwala na zastosowanie pamici flash
USB do przechowywania kluczy deszyfrujcych, ale najwyszy stopieo bezpieczeostwa uzyskuje si
przy wykorzystaniu moduu TPM 1.2 (ang. Trusted Platform Module), ktry zapewnia sprztow
ochron kluczy szyfrujcych i zapobiega atakom programowym na bezpieczeostwo i integralnod
danych przechowywanych na dyskach. Funkcja BitLocker moe korzystad z moduu TPM do
weryfikowania integralnoci skadnikw biorcych udzia we wczesnej fazie uruchamiania oraz do
weryfikowania danych konfiguracji rozruchu. Dziki temu funkcja BitLocker umoliwia uzyskanie
dostpu do zaszyfrowanego dysku tylko wtedy, gdy te skadniki nie zostay naruszone, a
zaszyfrowany dysk znajduje si w oryginalnym komputerze.
44
Usuga BitLocker w systemie Windows 8 oraz Windows 8.1 wprowadzia nastpujce nowe
funkcjonalnoci w celu zwikszenia poziomu bezpieczeostwa:
Szyfrowanie tylko zajtego miejsce na dysku w systemie Windows 8, uytkownik moe

dokonad wyboru czy szyfrowad tylko zajte miejsce na dysku czy cay wolumin. Szyfrowanie
tylko zajtego miejsca na dysku znacznie przypiesza proces szyfrowania.
Obsuga BitLocker - (ang. BitLocker provisioning) - w systemie Windows 8, moliwe jest
wczenie usugi BitLocker przed instalacj systemu. W przypadku wykorzystania opcji
szyfrowania tylko zajtego miejsca na dysku, obsuga BitLocker staje si szybsza i stanowi
nieprzerywany proces instalacji nowych komputerw. Jednake, naley pamitad, e po
zakooczeniu procesu instalacji nowego systemu bezpieczny klucz zostanie dodany do
chronionego wolumenu.
Odblokowywanie funkcj BitLocker przez sied (ang. Network unlock) wczona funkcja
BitLocker w systemie Windows 8 wykorzystujca ochron poprzez stosowanie moduu
TPM+PIN, moe uruchomid system w zaufanej kablowej sieci komputerowej bez wymagania
wprowadzenie kodu PIN przez uytkownika. Funkcja odblokowywanie funkcj BitLocker przez
sied pozwala administratorom na uruchomienie zaszyfrowanego systemu i chronionego za
pomoc moduu TPM+PIN w celu wykonania nienadzorowanego procesu aktualizacji lub
zadao konserwacji. Funkcja ta wymaga, aby sprzt kliencki zawiera sterownik Dynamic Host
Configuration Protocol (DHCP) zaimplementowany w oprogramowaniu UEFI (Unified
Extensible Firmware Interface).
Wsparcie dla systemu Windows dyskw sprztowo szyfrowanych w systemie Windows 8,
Bitlocker dostarcza wsparcia dla mechanizmu Full Disk Encryption (FDE) wykorzystujcego
specjalne dyski zapewniajce sprztowe szyfrowanie dyskw (Encrypted Hard Drive).
Szyfrowane dyski sprztowo mog byd wykorzystane do przeprowadzenia szyfrowania na
poziomie blokw dyskw. Operacje szyfrowania i deszyfrowania s przeprowadzane przez
kontroler dyskw, zmniejszc w ten sposb obcienie procesora komputera.
Zmiana kodu PIN lub hasa przez standardowego uytkownika (ang. - Standard user PIN
and password change) w systemie Windows 8 uytkownik nieposiadajcy uprawnieo
administracyjnych nie moe wykonywad konfiguracji funkcji BitLocker. Jednake,
wprowadzona zostaa moliwod zmiany kodu PIN lub hasa dla wolumenw zawierajcych
system operacyjny lub dyskw staych. Funkcja ta wcza moliwod standardowym
uytkownikom wyboru wasnego kodu PIN lub hasa w celu atwiejszego zapamitania.
Niemniej naley pamitad, i funkcja ta moe narazid organizacje na ryzyko odgadnicia przez
atakujcego hasa. Opcja ta moe byd kontrolowana przez zasady grupy.
Szyfrowanie urzdzeo w Windows 8.1 BitLocker dostarcza funkcjonalnod szyfrowania
urzdzeo bazujcych na procesorach x86 oraz x64 wspierajcych technologi Connected
Standby, czyli moliwod pracy urzdzenia w trybie upienia (np. komputer bdzie w stanie
wzbudzid si co jaki okrelony czas aby cignd poczt) wczeniej byo to dostpne tylko
dla urzdzeo z Windows RT
4.2.
Tryby pracy BitLocker oraz zarzdzanie ukadem TPM
Funkcja BitLocker zawiera kilka trybw pracy, ktre mona skonfigurowad i dostosowad do wasnych
wymagao. Tryb pracy, ktry zostanie wybrany i zastosowany w duym stopniu zaley od dostpnoci
moduu TPM na chronionych komputerach oraz przyjtego stopnia ochrony, ktry ma zostad
wyegzekwowany. Tryb pracy obejmuje stosowanie moduu TPM, numeru PIN oraz klucza
uruchomienia (ang. startup key). Klucz uruchomienia jest plikiem wygenerowanym w sposb
kryptograficzny i umieszczonym na oddzielnym noniku pamici flash USB.
Tryby pracy funkcji BitLocker:
Tylko modu TPM. Uywanie weryfikacji Tylko modu TPM nie wymaga adnej interakcji z
uytkownikiem w celu odszyfrowania i udostpnienia dysku, do startu systemu nie jest
potrzebne haso, numer PIN lub klucz uruchomienia. Jeli weryfikacja przy uyciu moduu
TPM powiedzie si, przebieg logowania jest z punktu widzenia uytkownika taki sam, jak
podczas logowania standardowego. Jeli brakuje moduu TPM lub zosta on zmieniony, lub
modu TPM wykryje zmiany w plikach startowych systemu operacyjnego o znaczeniu
krytycznym, lub nastpi prba uruchomienia dysku w innym komputerze, to funkcja
BitLocker przejdzie do trybu odzyskiwania i do odzyskania dostpu do danych bdzie
potrzebne haso odzyskiwania. Tryb ten zapewnia ochron rodowiska rozruchowego dla
systemu Windows 8 poprzez modu TPM. Sposb ten jest przykadem najsabszej
implementacji funkcji BitLocker z uwagi na fakt, i nie wymaga dodatkowego
uwierzytelnienia do uruchomienia systemu Windows.
Modu TPM z kluczem uruchomienia. Oprcz ochrony zapewnianej przez modu TPM czd
klucza szyfrowania jest przechowywana na dysku flash USB. Dostpu do danych na
zaszyfrowanym woluminie nie mona uzyskad bez klucza uruchomienia. Tryb ten wymaga
urzdzenia USB zawierajcego klucz uruchomienia podczonego do komputera podczas
procesu uruchomienia systemu Windows. Kiedy system nie odczyta poprawnie klucza
startujcego komputer przejdzie w tryb odzyskiwania (ang. Recovery mode). Tryb ten
rwnie zapewnia ochron rodowiska rozruchowego dla systemu Windows 8 poprzez modu
TPM.
Modu TPM z kodem PIN. Oprcz ochrony zapewnianej przez modu TPM funkcja BitLocker
wymaga od uytkownika wprowadzenia osobistego numeru identyfikacyjnego (PIN). Dostpu
do danych na zaszyfrowanym woluminie nie mona uzyskad bez podania kodu PIN.
Dodatkowo mona wymusid za pomoc zasad grup uywanie hasa zoonego zamiast
prostego numeru PIN. Jeli uytkownik nie wprowadzi prawidowego kodu PIN podczas
uruchomienia systemu, to komputer przejdzie w tryb odzyskiwania. Tryb ten zapewnia
ochron rodowiska rozruchowego dla systemu Windows 8 poprzez modu TPM.
Modu TPM z kluczem uruchomienia i kodem PIN. Opcj t mona skonfigurowad wycznie
przy uyciu narzdzia wiersza polecenia Manage-bde.exe oraz zasad grupowych. Oprcz
ochrony podstawowych skadnikw, ktr zapewnia sprztowy modu TPM, czd klucza
szyfrowania jest przechowywana na dysku flash USB, a w celu uwierzytelnienia uytkownika
w module TPM jest wymagane podanie kodu PIN. Uzyskane w ten sposb uwierzytelnianie
wieloczynnikowe gwarantuje, e nawet, jeli klucz USB zostanie zgubiony lub skradziony, nie
bdzie mona go uyd w celu uzyskania dostpu do dysku, poniewa jest rwnie wymagany
poprawny numer PIN. Tryb ten zapewnia ochron rodowiska rozruchowego dla systemu
Windows 8 poprzez modu TPM. Ustawienie tego trybu zalecane jest dla rodowisk gdzie
wymagany jest bardzo wysoki poziom bezpieczeostwa i zapewnia najwyszy stopnieo
ochrony danych w organizacji.
Tryb pracy funkcji BitLocker bez moduu TPM. Tryb ten zapewnia pene szyfrowanie caego
dysku, ale nie zapewnia ochrony rodowiska rozruchowego dla systemu Windows 8. To
ustawienie zalecane jest dla komputerw nieposiadajcych sprztowego moduu TPM. W
celu ustawienia tego trybu pracy niezbdna jest konfiguracja ustawieo zasad grupowych:
Konfiguracja komputera\Szablony administracyjne\Skadniki systemu
Windows\Szyfrowanie dyskw funkcj BitLocker\Dyski z systemem operacyjnym\Wymagaj
dodatkowego uwierzytelniania przy uruchamianiu.
(Computer Configuration\Administrative Templates\WindowsComponents\BitLocker Drive
Encryption\Operating System Drives\Require Additional Authentication At Startup)
W przypadku uruchomienia trybu pracy bez moduu TPM niezbdne jest urzdzenie pamici
flash USB z kluczem uruchomienia do startu systemu Windows.
Wikszod implementacji funkcji BitLocker przechowuje klucze szyfrujce w pamici (bezpieczny

magazyn danych) moduu TPM. W momencie wczenia i konfiguracji moduu TPM, system Windows
8 bdzie korzysta z niewielkiej informacji (ziarna - ang. seed) dostarczanej do generatora liczb
losowych systemu Windows (RNG- ang. Random Number Generator). System RNG odpowiada za
generowanie kluczy kryptograficznych dla rnych aplikacji w systemie Windows. Przypadkowod
kluczy kryptograficznych bdzie znacznie lepsza w przypadku stosowania TPM ni w sposb wycznie
programowy, w tym celu rekomendowane jest wczenie i skonfigurowanie sprztowego moduu
TPM w ustawieniach BIOS komputera.
Domylnie w systemach Windows 8 generator liczb losowych (RNG) pobiera wartod startow z
moduu TPM podczas startu systemu oraz nastpnie, co 40 minut. W systemie dostpne s trzy
konfiguracje tego mechanizmu suce do kontroli tego ustawienia. Parametry domylne s idealne
dla wikszoci scenariuszy zastosowao.
Ustawienie TPMBOOTENTROPY jest konfigurowalne przez mechanizm danych konfiguracji rozruchu
(ang. Boot Configuration Data BCD). W sytuacji, kiedy ustawienie to jest skonfigurowane na fasz
(ang. false), to mechanizm wycza pobieranie entropii z moduu TPM, dla komputerw z wczonym
ukadem TPM. Wartod domylna tego parametru ustawiona jest na prawd (ang. True) podczas
startu systemu a w trybie awaryjnym oraz trybie awaryjnym z obsuga sieci na fasz. Wicej informacji
na temat zarzdzania ustawieniami przechowywanymi w BCD mona przeczytad w dokumentach:
Boot Configuration Data in Windows Vista45 and BCDEdit Commands for Boot Environment46.
Parametr opisujcy czstotliwod odwieania (ang. refresh interval) okrela jak czsto (w minutach)
entropia danych jest pobierana z ukadu TPM. W momencie, kiedy ustawienie to wskazuje na zero,
entropia nie jest pobierana, w ten sposb, wartod ta nie wpywa na ilod danych (entropi)
pobieranych podczas startu systemu. Naley zwrcid szczeglna uwag podczas zmiany tego
parametru z uwagi na fakt, i nawet najmniejsza zmiana tego parametru moe wpynd na ustawienie
Mean Time To Failure w poszczeglnych implementacjach rnych dostawcw ukadu TPM.
45
46
Wartod tego parametru przechowana jest gazi rejestru HKey_Local_Machine, jako wartod
DWORD o nazwie TpmRefreshEntropyIntervalInMinutes i umieszczona w
\Software\Policies\Microsoft\Cryptography\RNG\, domyln wartoci tego ustawienia jest liczba
40 i konfigurowalna w zakresie od 0 do 40. Dodatkowo moemy skonfigurowad liczb milibitw (ang.
millibits) iloci danych (entropi) na kady bajt wychodzcy z generatora liczb losowych ukadu TPM.
Wartod tego parametru przechowana jest gazi rejestru HKey_Local_Machine, jako wartod
DWORD o nazwie TpmEntropyDensityInMillibitsPerByte i umieszczona w
\System\CurrentControlSet\Control\Cryptography\RNG\, domyln wartoci tego ustawienia jest
liczba 8000 i konfigurowalna w zakresie od 1 do 8000. Wicej informacji na temat technologii TPM
oraz jej specyfikacji mona uzyskad na stronie Trusted Computing Group47.
Naley podkrelid, i w przypadku niedostpnoci moduu TPM funkcja BitLocker moe nadal
zabezpieczad dane, ale nie mona zapewnid ochrony integralnoci systemu oraz ochrony rodowiska
rozruchowego, mona osignd ten cel w nastpujcych scenariuszach:
Ochrona danych znajdujcych si dyskach systemowych oraz dyskach staych

Ochrona danych przechowywanych na wymiennych dyskach danych z zastosowaniem funkcji
BitLocker To Go
Szczegy wskazanych scenariuszu opisane s w dalszej czci niniejszego rozdziau
Uwaga: Funkcja BitLocker umoliwia zabezpieczenie danych w systemie Windows Server 2008, ale
scenariusz ten nie zosta opisany w niniejszym przewodniku.
Uwaga: Pomimo, e moliwe jest zapisywanie danych w programie Windows Virtual PC, jako
wirtualne dyski (VHD) wewntrz chronionego systemu plikw przez mechanizm BitLocker, to nie ma
moliwoci wykorzystania chronionych przez funkcj BitLocker wirtualnych dyskw (VHD) do
uruchomienia systemu Windows z pliku VHD (native VHD boot) oraz nie ma moliwoci uruchomienia
funkcji BitLocker na wolumenach, ktre zawarte s wewntrz plikw VHD.
4.3.
Ochrona danych znajdujcych si dyskach systemowych oraz dyskach
staych
W tym scenariuszu zastosowanie funkcji BitLocker umoliwi ochron wszystkich staych dyskw z
danymi (wewntrzne dyski twarde), ktre zawieraj pliki systemu operacyjnego a take inne dane.
Jest to zalecana konfiguracja w celu zapewnienia, i wszystkie dane w systemie s chronione przez
funkcj BitLocker.
Ocena ryzyka
Gwnym zagroeniem bezpieczeostwa jest utrata danych z komputerw przenonych, ktre zostay
utracone lub skradzione. Funkcja BitLocker zostaa zaprojektowana wanie w celu zmniejszenia tego
zagroenia. Sytuacja ta ma miejsce wtedy, kiedy atakujcy uzyska fizyczny dostp do
niezabezpieczonego komputera, potencjalne konsekwencje takiego czynu obejmuj nastpujce
dziaania:
Atakujcy moe si zalogowad do komputera z systemem Windows 8 i skopiowad dane
47
http://www.trustedcomputinggroup.org/
Atakujcy moe uruchomid komputer z alternatywnego systemu operacyjnego w celu:

o Przejrzenia listy plikw
o Skopiowania plikw
o Odczytu danych z plikw hibernacji lub pliku stronicowania w celu odczytu informacji
przechowywanych jawnym tekstem lub dokumentw zwizanych z uruchomionym
procesem.
o Odczytu danych z pliku hibernacji w celu ujawnienia i pozyskania kopii kluczy
prywatnych przechowywanych w postaci tekstowej.
Nawet, jeli pliki s w postaci zaszyfrowanej z wykorzystaniem systemu szyfrowania plikw EFS, to
istnieje zagroenie, i nieostrony uytkownik systemu moe przenied lub skopiowad pliki z
zaszyfrowanego folderu do katalogu, na ktrym nie jest wczona funkcja EFS (np. katalogi
tymczasowe lub ukryte), co moe skutkowad pozostawieniem kopii plikw w postaci
niezaszyfrowanej i dostpnej dla atakujcego. Niewiadomi pracownicy dziaw IT mog dopucid si
zaniedbania poprzez nieszyfrowanie katalogw ukrytych, w ktrych mog byd przechowywane kopie
plikw wykonywanie przez aplikacje podczas normalnej pracy systemu i aplikacji. Istnieje rwnie
ryzyko operacyjne, w ktrym nieupowanione osoby dokonaj modyfikacji plikw systemowych lub
rozruchowych, ktre uniemoliwi normaln prac systemu operacyjnego.
W celu zmniejszenia zagroenia zwizanego z powyszym ryzykiem, zaleca si skonfigurowad
komputery i wczyd funkcj BitLocker, ktra wykryje zmiany w plikach startowych systemu
operacyjnego o znaczeniu krytycznym oraz zapewnia ochron rodowiska rozruchowego dla systemu
Windows 8 wraz z wymuszeniem dodatkowego procesu uwierzytelnienia przed uruchomieniem
systemu i uzyskania dostpu do w peni zaszyfrowanego dysku. Co w rezultacie zapewni pen
ochron systemu operacyjnego oraz zabezpieczy dane przed nieautoryzowanym dostpem.
Funkcja BitLocker stosowana na dyskach, na ktrych zainstalowany jest system Windows (dysk
systemu operacyjnego) oraz staych dyskach z danymi (wewntrzne dyski twarde) moe zmniejszyd
zagroenie zdefiniowane w poprzedniej sekcji Ocena ryzyka, jednak przed zastosowaniem funkcji
BitLocker, wane jest, aby wzid pod uwag nastpujce wymagania i najlepsze praktyki dla tej
funkcji ochrony danych:
W przypadku zastosowania optymalnej konfiguracji, pyta gwna komputera powinna

posiadad modu TPM 1.2 lub nowszy, obsugiwad system BIOS zgodny z wytycznymi Trusted
Computing Group. Zalecana konfiguracja wymaga stosowania kodu PIN nadanego przez
uytkownika w celu odblokowania systemu. Dodatkowo, opcjonalnie warto zastosowad klucz
uruchomienia umieszczony na noniku pamici flash USB.
Dysk twardy chronionego komputera powinien zawierad minimum 2 partycje: partycj z
systemem operacyjnym i aktywna partycj systemow. Partycja systemowa to miejsce gdzie
zostan zainstalowane pliki systemu operacyjnego w postaci zaszyfrowanej a aktywna
partycja systemowa w postaci niezaszyfrowanej musi posiadad rozmiar minimalny o wielkod
350 MB i jest przeznaczona na pliki umolwiajce start systemu. Domylnie podczas instalacji
systemu Windows 8, instalator systemu Windows tworzy automatycznie partycj
systemow, do ktrej nie jest przypisana adna litera dysku i jest ona ukryta przed
uytkownikami. Jeli system nie posiada oddzielnej aktywnej partycji systemowej, ukad
partycji zostanie zmodyfikowany w sposb automatyczny podczas wczania i inicjacji funkcji
BitLocker.
W przypadku, kiedy BitLocker bdzie wymaga nonika pamici USB lub kodu PIN, konieczne
jest ustalenie i wprowadzenie procedury, ktra przewiduje sytuacje awaryjne utraconych
kluczy uruchomienia lub zapomnianych kodw PIN i jednoczenie pozwoli na ich odzyskanie
przez uytkownikw.
Naley wzid pod uwag, i funkcja BitLocker ma niewielki wpyw na wydajnod komputera,
przewaanie jest to niedogodnod niezauwaalna przez wikszod uytkownikw. Jednake,
jeli wydajnod systemu jest krytycznym elementem systemu komputerowego warto
sprawdzid w fazie testw przedwdroeniowych czy BitLocker nie wpywa znaczco na
wydajnod pracy uytkownika.
W zalenoci od producenta komputerw, narzdzia suce do zarzdzania moduem TPM
mog wymagad rcznej konfiguracji komputera lub ustawieo BIOS, naley to wzid pod
uwag podczas planowania w peni zautomatyzowanego lub wykorzystujcego skrypty
procesu wdroenia funkcjonalnoci BitLocker w organizacji, zarwno podczas nowych
instalacji jak i aktualizacji z poprzednich systemw Windows.
W celu zastosowania klucza USB z kluczem uruchomienia do odblokowania procedury startu i
rozruchu systemu, BIOS komputera musi umoliwid odczyt danych z dysku USB w rodowisku
przed zainicjowaniem systemu operacyjnego.
BitLocker moe mied wpyw na proces dystrybucji oprogramowania, ktry zosta
zautomatyzowany i przewiduje zdalne instalacje lub aktualizacje aplikacji zaplanowane w
nocy lub poza godzinami pracy, podczas kiedy wymagany jest ponowny rozruch komputera
bez obecnoci uytkownika. Ponisze przykady ilustruj opisan sytuacj:
o Konfiguracja komputera przewiduje ochron wykorzystujca modu TPM wraz z
kodem PIN lub zastosowanie moduu TPM wraz z kluczem uruchomienia na noniku
USB, a czynnoci zaplanowana jest na godzin 2.00 w nocy. Kiedy proces wdroenia
aplikacji wymaga restartu komputera, to komputer nie zostanie poprawnie
zrestartowany z uwagi na wymaganie wprowadzenia kodu PIN lub obecnoci klucza
uruchomienia na noniku pamici USB.
o Jeli w organizacji wykorzystywana jest technologia Wake-on-LAN lub funkcja
automatycznego uruchomienia komputera poprzez BIOS w celu wykonania czynnoci
serwisowych, to takie komputery rwnie nie zostan automatycznie uruchomione z
powodu zastosowania moduu TPM z dodatkowym elementem uwierzytelniajcym w
postaci czynnoci wprowadzenia kodu PIN lub braku obecnoci klucza uruchomienia
na noniku pamici USB.
Wszelkie aktualizacje oprogramowania ukadowego (ang. firmware) mog wpynd
niekorzystnie na komputery z wczon funkcj BitLocker. Aktualizacja oprogramowania
BIOS, moe zostad wykryta przez BitLocker, jako modyfikacja rodowiska, co w efekcie
spowoduje, i komputer przejdzie w tryb odzyskiwania (ang. Recovery mode). Jeli funkcja
BitLocker jest ju wczona i zachodzi koniecznod zaktualizowania systemu BIOS, naley
tymczasowo wstrzymad dziaanie funkcji BitLocker przed zaktualizowaniem systemu BIOS, a
nastpnie wznowid dziaanie funkcji BitLocker po zakooczeniu aktualizacji.
Chocia jest mao prawdopodobne, e aktualizacje aplikacji mog mied wpyw na dziaanie
komputerw z wczon funkcj BitLocker, to naley zwrcid szczeglna uwag na
wprowadzane zmiany do systemu przez aktualizacje a szczeglnie na zmiany wprowadzone
do menadera rozruchu (ang. boot manager), ktre mog spowodowad bdy podczas
rozruchu systemu i spowoduj przejcie komputera w tryb odzyskiwania. Przed
przystpieniem do instalacji lub aktualizacji aplikacji, ktre moj wpyw na funkcje rozruchu
systemu Windows 8 zaleca si przetestowanie tych czynnoci na komputerze z wczon
funkcja BitLocker.
Wszystkie kontrolery domenowe musza pracowad pod systemem Windows Server 2003 z
dodatkiem service pack 2 (SP2) lub wyszym.
Uwaga: Windows serwer 2003 wymaga rozszerzenia schematu usugi katalogowej (Active Directory)
w celu poprawnej obsugi i przechowywania kopii zapasowej informacji odzyskiwania funkcji
BitLocker w usugach domenowych w usudze Active Directory (AD DS).
Poniej przedstawiono proces minimalizacji ryzyka w celu oszacowania i wdroenia najlepszych
praktyk konfiguracji funkcji BitLocker, aby zapewnid ochron wraliwych danych znajdujcych si na
komputerach klienckich zarzdzanych w organizacji:
W celu minimalizacji ryzyka zaleca si zastosowanie czynnoci:
1. Sprawdzenie i przeprowadzenie testw technologii BitLocker
Uwaga: W celu uzyskania dodatkowych informacji na temat BitLocker, naley zapoznad si z
dokumentami: BitLocker Drive Encryption Deployment Guide for Windows 748 i Windows
BitLocker Drive Encryption Design and Deployment Guides49 umieszczonych na stronach
witryny Microsoft TechNet
2. Oszacowanie potrzeby wdroenia funkcji BitLocker w organizacji.
3. Sprawdzenie i oszacowanie niezbdnych wymagao do zastosowania ochrony BitLocker pod
ktem sprztu, oprogramowania oraz oprogramowania firmware.
4. Dokonanie identyfikacji i wskazanie komputerw, ktre wymagaj zapewnienia ochrony
przez funkcj BitLocker.
5. Dokonanie identyfikacji i oszacowania odpowiedniego poziomu ochrony wymaganego w
organizacji, majc na uwadze moliwod zastosowania kodw PIN lub nonikw pamici USB
z kluczem uruchomienia, biorc pod uwag, fakt, i system nie uruchomi si poprawnie bez
dodatkowych zabezpieczeo.
6. Instalacja niezbdnych sterownikw w systemie testowym.
7. Wykorzystanie obiektw zasad grup (GPO) w celu skonfigurowania funkcji BitLocker w
systemach testowych.
8. Po przeprowadzeniu testw naley wdroyd funkcjonalnod BitLocker w rodowisku
produkcyjnym.
9. Stosowanie zasad grup w celu kontrolowania opcji wczenia i zarzdzania poprawn
konfiguracj funkcji BitLocker.
48
49
4.4.
Zastosowanie ustawieo zasad grup do wdroenia BitLocker w celu
minimalizacji ryzyka
Poniej przedstawione zostan dwa szablony ustawieo zasad grup, ktre zaleca si stosowad do
zarzdzania konfiguracj funkcji BitLocker. Szablony te umoliwiaj zarzdzanie konfiguracj moduu
TPM oddzielnie od reszty funkcji BitLocker. Ponisza tabela przedstawia ustawienia zasad grup
dostpne dla funkcji BitLocker w szablonie VolumeEncryption.admx. Konfiguracja tych ustawieo
dostpna jest w nastpujcej lokalizacji w narzdziu Edytor obiektw zasad grupy:
Konfiguracja komputera\Szablony administracyjne\Skadniki systemu Windows\Szyfrowanie
dyskw funkcj BitLocker
(Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive
Encryption)
W systemie Windows 8 dostpne s trzy poziomy ustawieo zasady grupowych uporzdkowanych w
ramach tej cieki:
Dyski z systemem operacyjnym

Stae dyski danych
Wymienne dyski danych
Na poziomie globalnym ustawieo nastpujce ustawienia zasad grupowych s dostpne:

- Oznacza ustawienia zasad grupowych, ktre s nowoci w Windows 8.
Zasada
Poziom
wanoci
Zapisuj informacje
umoliwiajce
odzyskiwanie dla funkcji
BitLocker w usugach
domenowych w usudze
Active Directory
(systemy Windows
Server 2008 i Windows
Vista)
Wybierz folder
Opcjonalny
Opis
To ustawienie zasad
umoliwia zarzdzanie
kopi zapasow
informacji
odzyskiwania
szyfrowania dyskw
funkcj BitLocker w
usugach
domenowych w
usudze Active
Directory (AD DS,
Active Directory
Domain Services)
Ta zasada dotyczy
tylko komputerw z
systemem Windows
Server 2008 lub
Windows Vista.
To ustawienie zasad
Domylne
ustawienie w
systemie
Windows 8
Ustawienie
zalecane przez
Microsoft
Nie
skonfigurowano
Nie
Nie
domylny dla hasa

odzyskiwania
Okrel, jak uytkownicy

mog odzyskiwad dyski
chronione funkcj
BitLocker (systemy
Windows Server 2008 i
Windows Vista)
Wybierz metod
szyfrowania dyskw i
si szyfrowania
Istotny
Podaj unikatowe
identyfikatory dla
organizacji
Opcjonalny
Zapobiegaj
zastpowaniu pamici
podczas ponownego
uruchamiania
komputera
Opcjonalny
umoliwia okrelenie
domylnej cieki
wywietlanej w
monicie Kreatora
instalacji szyfrowania
dyskw funkcj
BitLocker o
wprowadzenie
lokalizacji folderu, w
ktrym ma zostad
zapisane haso
odzyskiwania.
To ustawienie zasad
umoliwia okrelenie,
czy w Kreatorze
instalacji szyfrowania
dyskw funkcj
BitLocker bdzie
mona wywietlid i
okrelid opcje
odzyskiwania funkcji
BitLocker.
To ustawienie zasad
umoliwia
skonfigurowanie
algorytmu i siy
szyfrowania
uywanych przez
szyfrowanie dyskw
funkcj BitLocker.
Funkcja BitLocker
bdzie uywad
domylnej metody
szyfrowania AES
128
To ustawienie zasad
umoliwia skojarzenie
unikatowych
identyfikatorw
organizacyjnych z
nowym dyskiem, dla
ktrego wczono
funkcj BitLocker.
To ustawienie zasad
steruje wydajnoci
ponownego
uruchamiania
komputera przy
naraeniu na ryzyko
ujawnienia tajnych
kluczy funkcji
skonfigurowano
skonfigurowano
Nie
skonfigurowano
Nie
skonfigurowano
Wczone
AES 256
Nie
skonfigurowano
Nie
skonfigurowano
Nie
skonfigurowano
Nie
skonfigurowano
BitLocker.
Sprawdzaj zgodnod
Opcjonalny To ustawienie zasad
Nie
Nie
uycia certyfikatu karty
umoliwia skojarzenie skonfigurowano skonfigurowano
inteligentnej z reguami
identyfikatora obiektu
pochodzcego z
certyfikatu karty
inteligentnej z
dyskiem chronionym
funkcj BitLocker.
Tabela 4.4.1 Ustawienia globalne szyfrowania dyskw funkcj BitLocker
Tabela poniej przedstawia ustawienia zasad grupowych dostpne dla moduu TPM w szablonie
TPM.admx. Konfiguracja tych ustawieo dostpna jest w nastpujcej lokalizacji w narzdziu Edytor
obiektw zasad grupy:
Konfiguracja komputera\Szablony administracyjne\System\Usugi moduu TPM
(Computer Configuration\Administrative Templates\System\Trusted Platform Module Services)
Ustawienie zasad
Opis
systemie Windows 8
Wcz tworzenie kopii zapasowej

moduu TPM w usugach
domenowych Active Directory

zarzdzanie kopiami zapasowymi
informacji o wacicielu zgodnego
sprztowego moduu
zabezpieczajcego TPM (Trusted
Platform Module) w usugach
domenowych usugi Active Directory
(AD DS).
Nie skonfigurowano
Konfigurowanie listy
blokowanych poleceo moduu
TPM

zarzdzanie list zasad grupy poleceo
moduu TPM (Trusted Platform
Module) blokowanych w systemie
Windows.
Nie skonfigurowano
Ignorowanie listy domylnej

TPM

wymuszanie lub ignorowanie
domylnej listy poleceo moduu TPM
(Trusted Platform Module)
zablokowanych na komputerze.
Nie skonfigurowano
Ignorowanie listy lokalnej

TPM

wymuszanie lub ignorowanie lokalnej
listy poleceo moduu TPM (Trusted
Platform Module) zablokowanych na
komputerze.
Nie skonfigurowano
Tabela 4.4.2 Ustawienia moduu Trusted Platform Module

Dostpne opcje dla ustawieo: Stae dyski danych
Ustawienia charakterystyczne dla dyskw staych (wewntrzne dyski twarde) zawierajcych dane
uytkownika lub aplikacji, ale nie s to dyski, na ktrych zainstalowany jest system Windows (dysk
systemu operacyjnego) zawarte s w nastpujcej lokalizacji w Edytorze obiektw zasad grupy:
dyskw funkcj BitLocker\Stae dyski danych
(Computer Configuration\Administrative Templates\Windows
Encryption\Fixed Data Drives)
Components\BitLocker
Drive
Ponisza tabela przedstawia ustawienia zasad grupowych, ktre s dostpne dla funkcji BitLocker w
szablonie VolumeEncryption.admx. Na poziomie Stae dyski danych nastpujce ustawienia zasad
grupowych s dostpne:
Zasada
Wymu typ
szyfrowania dyskw na
staych dyskach
twardych
Poziom
wanoci
Istotny
Opis
To ustawienie zasad
umoliwia
skonfigurowanie typu
szyfrowania
uywanego przez
szyfrowanie dyskw
funkcj BitLocker. Jest
ono stosowane po
wczeniu funkcji
BitLocker. Wybranie
opcji penego
szyfrowania powoduje
szyfrowanie caego
dysku po wczeniu
funkcji BitLocker.
Wybranie opcji
szyfrowania tylko
zajtego miejsca
powoduje po
wczeniu funkcji
BitLocker szyfrowanie
tylko tej czci dysku,
na ktrej s
przechowywane dane.
Domylne
ustawienie w
systemie
Windows 8
Ustawienie
zalecane przez
Microsoft
Nie
skonfigurowano
Nie
skonfigurowano
Konfiguruj uycie kart

inteligentnych na
staych dyskach danych
Krytyczny
Odmawiaj dostpu do
zapisu do dyskw
staych niechronionych
funkcj BitLocker
Istotny
Zezwalaj na dostp do
staych dyskw danych
chronionych funkcj
BitLocker ze starszych
wersji systemu
Windows
Krytyczny
Konfiguruj uywanie
hase dla staych
dyskw danych
Istotny
To ustawienie zasad
umoliwia okrelenie,
czy mona uywad kart
inteligentnych do
uwierzytelniania
dostpu uytkownika
do staych dyskw
danych w komputerze,
ktre s chronione
funkcj BitLocker.
To ustawienie zasad
okrela, czy ochrona
funkcj BitLocker jest
wymagana, aby
komputer umoliwia
zapisywanie na staych
dyskach danych. To
ustawienie zasad jest
stosowane po
wczeniu funkcji
BitLocker.
To ustawienie zasad
okrela, czy stae dyski
danych sformatowane
za pomoc systemu
plikw FAT mona
odblokowywad i
przegldad na
komputerach z
systemem
operacyjnym Windows
Server 2008, Windows
Vista, Windows XP z
dodatkiem Service
Pack 3 (SP3) lub
Windows XP z
dodatkiem Service
Pack 2 (SP2).
To ustawienie zasad
okrela, czy do
odblokowania staych
dyskw z danymi
chronionych funkcj
BitLocker jest
wymagane haso. Jeli
zostanie wybrana
opcja zezwalania na
uywanie hasa, bdzie
mona wymagad
uywania hasa,
wymuszad
Nie
skonfigurowano
Wczone
Wymagaj uycia
kart
inteligentnych
na staych
dyskach
twardych
Nie
skonfigurowano
Nie
skonfigurowano
Nie
skonfigurowano
Wyczone
Nie
skonfigurowano
Wyczone
przestrzeganie
wymagao dotyczcych
zoonoci hasa oraz
skonfigurowad
minimaln dugod
hasa.
Okrel, jak mog byd

odzyskiwane dyski stae
chronione funkcj
BitLocker
Krytyczny
To ustawienie zasad
umoliwia okrelenie,
w jaki sposb bd
odzyskiwane stae
dyski danych
chronione funkcj
BitLocker w przypadku
braku wymaganych
powiadczeo.
Nie
skonfigurowano
Wczone
Zezwalaj na
uywanie
agenta
odzyskiwania
danych
Zezwalaj na
uywanie 48cyfrowego hasa
odzyskiwania
Zezwalaj na
uywanie 256bitowego klucza
odzyskiwania
Zapisz
informacje
odzyskiwania
funkcji BitLocker
w usugach AD
DS
Tabela 4.4.3 Ustawienia Stae dyski danych

Dostpne opcje dla ustawieo: Dyski z systemem operacyjnym
Ustawienia charakterystyczne dla woluminw, na ktrych zainstalowany jest system Windows (dysk
systemu operacyjnego) zawarte s w nastpujcej lokalizacji w Edytorze obiektw zasad grupy:
dyskw funkcj BitLocker\Dyski z systemem operacyjnym
Encryption\Operating System Drives)
Ponisza tabela przedstawia ustawienia zasad grupowych, ktre s dostpne dla funkcji BitLocker w
szablonie VolumeEncryption.admx. Na poziomie Dyski z systemem operacyjnym nastpujce
ustawienia zasad grupowych s dostpne:
Zasada
Poziom
wanoci
Wymu typ
dyskach z systemem
operacyjnym
Wymagaj dodatkowego
uwierzytelniania przy
uruchamianiu
Krytyczny
Opis
To ustawienie zasad
umoliwia
szyfrowania
uywanego przez
szyfrowanie dyskw
ono stosowane po
wczeniu funkcji
BitLocker. Jeli dysk
zosta ju
zaszyfrowany lub trwa
proces szyfrowania,
zmiana typu
szyfrowania nie
przyniesie efektu.
Wybranie opcji
penego szyfrowania
powoduje szyfrowanie
caego dysku po
wczeniu funkcji
BitLocker. Wybranie
opcji szyfrowania tylko
zajtego miejsca
powoduje po
wczeniu funkcji
na ktrej s
przechowywane dane.
To ustawienie zasad
umoliwia okrelenie,
czy funkcja BitLocker
bdzie wymagad
dodatkowego
kadym uruchomieniu
komputera i czy
funkcja BitLocker ma
byd uywana wraz z
moduem TPM, czy
Domylne
ustawienie w
systemie
Windows 8
Ustawienie
zalecane przez
Microsoft
Nie
skonfigurowano
Nie
skonfigurowano
Nie
skonfigurowano
Wczone
Konfiguruj
uruchomienia
moduu TPM:
Nie zezwalaj na
uywanie
moduu TPM
Konfiguruj
numer PIN
bez niego.
uruchomienia
moduu TPM:
Wymagaj
startowego
kodu PIN z
moduem TPM
Nie zezwalaj
na uywanie
klucza
uruchomienia z
moduem TPM
Nie zezwalaj na
uywania klucza
i numeru PIN
uruchomienia z
moduem TPM
Wymagaj dodatkowego
uruchamianiu (systemy
Windows Server 2008 i
Windows Vista)
Zezwalaj na uywanie
rozszerzonych
numerw PIN przy
uruchamianiu
Istotny
Konfiguruj minimaln
dugod numeru PIN
uruchomienia
Krytyczny
To ustawienie zasad
umoliwia okrelenie,
czy Kreator instalacji
szyfrowania dyskw
funkcj BitLocker
bdzie mied
moliwod
skonfigurowania
dodatkowej metody
uwierzytelniania,
ktrej uycie bdzie
wymagane przy
kadym uruchomieniu
komputera.
To ustawienie zasad
umoliwia okrelenie,
czy rozszerzone
numery PIN
uruchomienia bd
uywane z funkcj
BitLocker.
To ustawienie zasad
umoliwia
skonfigurowanie
minimalnej dugoci
numeru PIN
uruchomienia moduu
TPM. To ustawienie
zasad jest stosowane
po wczeniu funkcji
BitLocker. Minimalna
dugod numeru PIN
Nie
skonfigurowano
Nie
skonfigurowano
Wczone
Nie
skonfigurowano
Wczone
Minimalna
liczba znakw: 7
Wczone
Okrel, jak mog byd

odzyskiwane dyski z
systemem operacyjnym
chronione funkcj
BitLocker
Krytyczny
uruchomienia to 4
cyfry, a maksymalna
to 20 cyfr.
To ustawienie zasad
umoliwia okrelenie,
w jaki sposb bd
odzyskiwane dyski z
systemem
operacyjnym
chronione funkcj
BitLocker przy braku
wymaganych
informacji o kluczu
uruchomienia.
Nie
skonfigurowano
Wczone
Zezwalaj na
odzyskiwania
Nie zezwalaj na
odzyskiwania
Usuo opcje
odzyskiwania z
Kreatora
instalacji funkcji
BitLocker
Zapisz
informacje
odzyskiwania
funkcji BiLocker
w usugach AD
DS. dla dyskw z
systemem
operacyjnym
Konfiguruj
magazyn
informacji
odzyskiwania
funkcji BitLocker
w usugach AS
DS.
Przechowuj
hasa
odzyskiwania i
pakiety kluczy
Nie wczaj
funkcji
BitLocker,
dopki
informacje
odzyskowania
dla dyskw z
systemem
operacyjnym
nie bd
przechowywane
w usugach AD
DS.
Konfiguruj profil
sprawdzania
poprawnoci platformy
moduu TPM (Windows
Vista, Windows Server
2008, Windows 7,
Windows Server
2008R2)
Istotny
To ustawienie zasad
Nie
umoliwia
skonfigurowano
skonfigurowanie
sposobu
zabezpieczenia klucza
szyfrowania funkcji
BitLocker przez
zabezpieczenia
sprztowe moduu
TPM. To ustawienie
zasad nie jest
stosowane, gdy
komputer nie ma
zgodnego moduu
TPM ani gdy funkcja
BitLocker zostaa ju
wczona z ochron za
pomoc moduu TPM.
Tabela 4.4.4 Ustawienia dyski z systemem operacyjnym
Nie
skonfigurowano
Polityka bezpieczeostwa powinna skutecznie wspierad procedury dotyczce hase i procedury
zarzdzania kluczami stosowane dla funkcji BitLocker. Polityka ta powinna byd na tyle wszechstronna,
aby wystarczajco zabezpieczyd informacje, i jednoczenie nie utrudniad wsparcia normalnej pracy
funkcji BitLocker. Ponisza lista zawiera przykady takich zasad:
Zalecane jest wymaganie stosowania kopii zapasowej informacji odzyskiwania szyfrowania

dyskw funkcj BitLocker w usugach domenowych w usudze Active Directory
Zalecane jest wymaganie stosowania kopii zapasowej informacji o wacicielu zgodnego
sprztowego moduu zabezpieczajcego TPM (Trusted Platform Module) w usugach
domenowych usugi Active Directory (AD DS).
Zalecane jest stosowanie kluczy odzyskiwania danych oraz hase odzyskiwania, jako metody
dostpu do zaszyfrowanych danych na wypadek awarii.
W przypadku korzystania z moduu TPM w poczeniu z numerem PIN lub nonikiem USB
zawierajcym klucz uruchomienia, naley zmieniad hasa i numery PIN w regularnych
odstpach czasu.
Dla komputerw z wczonym i skonfigurowanym moduem TPM, zalecane jest zaoenie
hasa administratora dla BIOS w celu zapobiegania modyfikacji ustawieo BIOS przez
nieupowanione osoby.
Zalecane jest stosowanie procedur, ktre zabraniaj przechowywania nonikw pamici USB
zawierajcych klucz uruchomienia wraz komputerem ( np. wsplna torba, czy pozostawienie
klucza USB w pobliu komputera)
Zalecane jest stosowanie bezpiecznej centralnej lokalizacji do przechowywania kluczy
odzyskiwania BitLocker w przypadku odzyskiwania danych po awarii.
Zalecane jest przechowywanie kopii materiaw zawierajcych informacje niezbdne do
odzyskiwania danych zaszyfrowanych w bezpiecznym miejscu poza gwn lokalizacj
organizacji.
Dodatkowym narzdziem wspomagajcym funkcj BitLocker jest MBAM (ang. BitLocker

Administration and Monitoring). Narzdzie to pozwala na atwiejsze wdraanie i odzyskiwaniu kluczy,
centralizacj zapewniania dostpu, monitorowanie i raportowanie stanu szyfrowania dyskw staych
i wymiennych oraz minimalizacji kosztw obsugi. MBAM jest czeci czci pakietu Microsoft
Desktop Optimization Pack dla Software Assurance50. Wicej informacji na temat MBAM mona
uzyskad odwiedzajc stron dokumentacji produktu MBAM51.
4.5.
Ochrona danych przechowywanych na wymiennych dyskach danych z
zastosowaniem funkcji BitLocker To Go
Funkcja BitLocker To Go dostpna jest tylko w edycjach Professional i Enterprise systemw Windows
8. Na komputerach pracujcych pod kontrol systemw operacyjnych Windows 8 moliwe jest
skonfigurowanie urzdzeo USB, tak, aby wspieray funkcj BitLocker To Go. Pozostae edycje systemu
Windows 8, mog odczytad dane z zaszyfrowanego dysku USB i zapisad dane poza tym dyskiem USB,
ale nie mog skonfigurowad nowych urzdzeo USB do obsugi funkcji BitLocker To Go. Funkcja
BitLocker To Go pozwala na szyfrowanie dyskw przenonych i umoliwia korzystanie z tych urzdzeo
na innych komputerach, pod warunkiem posiadania odpowiedniego hasa. W tym scenariuszu
moliwe jest zastosowanie BitLocker To Go w celu ochrony danych na wymiennych dyskach, takich
jak zewntrzne dyski IEEE 1394, karty pamici, lub pamici flash USB. Funkcja BitLocker To Go
pomaga organizacjom na zabezpieczenie danych przechowywanych na tych nonikach przed
nieautoryzowanym dostpem nawet, jeli nonik zostanie zgubiony lub skradziony.
Ocena ryzyka
Przenone noniki danych stanowi istotne i kluczowe zagroenie dla wanych i wraliwych danych w
organizacji. Urzdzenia te szybko stay si powszechne z uwagi na cen i prostot stosowania
umoliwiajc jednoczenie moliwod kopiowania i przenoszenia bardzo duych iloci danych w
bardzo krtkim czasie. Dodatkowo komputery przenone i urzdzenia pamici flash USB s czsto
naraone na zagroenia zwizane z utrat i kradzie podczas ich przewoenia. Scenariusze te
powoduj, e dane wraliwe mog trafid do rk niepowoanych osb i na razid organizacj na
ogromne straty.
Minimalizacja Ryzyka
W celu zmniejszenia zagroenia zwizanego z powyszym ryzykiem, organizacje stosuj rne
ograniczenia zwizane z zakazem stosowania urzdzeo, wyczaniem portw i urzdzeo USB oraz
50
51
http://www.microsoft.com/pl-pl/windows/enterprise/products-and-technologies/mdop/mbam.aspx
http://onlinehelp.microsoft.com/en-us/mdop/gg703313.aspx
IEEE 1394, a take konfigurowanie komputerw chronic sekwencj startow w taki sposb, e
system bdzie si uruchamiad tylko, gdy bdzie to autoryzowany start wymagajcy dodatkowego
uwierzytelnienia. Ponadto, podejmowane s kroki w celu zapewnienia ochrony plikw systemu
operacyjnego i plikw danych. BitLocker To Go zapewnia skuteczn warstw ochronn, co oznacza,
e nawet, jeli atakujcy uzyska fizyczny dostp do dysku, to taka sytuacja nie musi jednoznacznie
oznaczad, e atakujcy ma dostp do danych zapisanych na dysku. Korzystajc z zasad grupowych,
organizacje mog wymusid, aby dyski wymienne korzystay z funkcji BitLocker To Go, przed tym
zanim dane zostan skopiowane na urzdzenie, wszystko po to, aby chronid dysk przed
nieautoryzowanym dostpem.
BitLocker To Go moe zmniejszyd zagroenie zdefiniowane w poprzedniej sekcji Ocena ryzyka,
jednak przed zastosowaniem funkcji BitLocker na wymiennych dyskach danych, wane jest, aby wzid
pod uwag nastpujce wymagania i najlepsze praktyki dla tej funkcji ochrony danych:
52
Funkcja BitLocker To Go nie wymaga moduu TPM.

Dyski wymienne zaszyfrowane przy pomocy BitLocker To Go mona skonfigurowad tak, aby
wymagay podania hasa lub zastosowania karty inteligentnej z odpowiednim certyfikatem w
celu dostpu do danych. W przypadku zastosowania kart inteligentnych naley pamitad o
wyposaeniu komputerw w odpowiednie czytniki kart inteligentnych, na ktrych bd
odczytywane dane z nonikw wymiennych.
Funkcja BitLocker ma niewielki wpyw na wydajnod komputera, przewaanie jest to
niedogodnod niezauwaalna przez wikszod uytkownikw. Jednake, jeli wydajnod
systemu jest krytycznym elementem systemu komputerowego warto sprawdzid w fazie
testw przedwdroeniowych czy BitLocker nie wpywa znaczco na wydajnod pracy
uytkownika.
Naley pamitad, e dyski mog byd dostpne, jako urzdzenia tylko do odczytu w
komputerach z systemem Windows XP lub Windows Vista. Uytkownicy starszych wersji
systemu Windows bd widzied drug partycj na urzdzeniu, ktra zazwyczaj jest ukryta w
systemach Windows 8. Funkcjonalnod ta jest znana, jako dysk odnajdywalny (ang. discovery
drive), dysk ten zawiera aplikacj BitLocker To Go Reader. Uytkownicy mog odblokowad
zaszyfrowany dysk za pomoc tej aplikacji poprzez podanie hasa lub hasa odzyskiwania.
Moliwe jest rwnie skonfigurowanie zasad grupowych Zezwalaj na dostp do wymiennych
dyskw danych chronionych funkcj BitLocker ze starszych wersji systemu Windows w celu
kontroli czy dysk odnajdywalny jest utworzony i czy na nim zostanie umieszczona aplikacja
BitLocker To Go podczas wczenia obsugi ochrony BitLocker dla dysku wymiennego, wicej
informacji na ten temat mona przeczytad w dokumencie Best Practices for BitLocker in
Windows 752.
Wszystkie kontrolery domenowe w domenie musz pracowad pod kontrol systemu
Windows Server 2003 SP2 lub wyszy.
Uwaga: Windows serwer 2003 wymaga rozszerzenia schematu usugi katalogowej (Active
Directory) w celu poprawnej obsugi i przechowywania kopii zapasowej informacji
odzyskiwania funkcji BitLocker w usugach domenowych w usudze Active Directory (AD DS).
http://technet.microsoft.com/en-us/library/dd875532(WS.10).aspx

praktyk konfiguracji funkcji BitLocker, aby zapewnid ochron wraliwych danych przechowywanych
na wymiennych dyskach danych w komputerach klienckich zarzdzanych w organizacji:
W celu minimalizacji ryzyka zaleca si stosowad czynnoci:
1. Sprawdzenie i przeprowadzenie testw technologii BitLocker To Go
Uwaga: W celu uzyskania dodatkowych informacji na temat BitLocker, naley zapoznad si z
dokumentami: BitLocker Drive Encryption Deployment Guide for Windows 753 i Windows
BitLocker Drive Encryption Design and Deployment Guides54 umieszczonych na stronach
witryny Microsoft TechNet
2. Oszacowanie potrzeby wdroenia funkcji BitLocker To Go na wymiennych dyskach danych w
organizacji.
3. Sprawdzenie i oszacowanie niezbdnych wymagao do zastosowania ochrony BitLocker To Go
na wymiennych dyskach danych pod ktem sprztu i oprogramowania.
przez funkcj BitLocker To Go na wymiennych dyskach danych.
5. Przeprowadzenie niezbdnych testw urzdzeo wymiennych dyskw wczajc w to wszelkie
noniki pamici flash USB.
6. Wykorzystanie obiektw zasad grupowych (GPO) w celu skonfigurowania funkcji BitLocker na
wymiennych dyskach w systemach testowych.
7. Przeszkolenie uytkownikw w zakresie prawidowego uytkowania funkcji BitLocker To Go
na dyskach wymiennych w ich wasnym rodowisku.
8. Po przeprowadzeniu testw naley wdroyd funkcjonalnod BitLocker na wymiennych
dyskach danych w rodowisku produkcyjnym.
W celu wyczenia ochrony BitLocker na dyskach wymiennych naley skorzystad z opcji Szyfrowanie
dyskw funkcj BitLocker dostpn w Panelu Sterowania.
4.6.
Zastosowanie ustawieo zasad grup do wdroenia BitLocker To Go w
celu minimalizacji ryzyka
Ponisza tabela przedstawia ustawienia zasad grup dostpne dla funkcji BitLocker To Go w szablonie
VolumeEncryption.admx. Konfiguracja tych ustawieo dostpna jest w nastpujcej lokalizacji w
narzdziu Edytor obiektw zasad grupy:
dyskw funkcj BitLocker\Wymienne dyski danych
Encryption\Removable Data Drives)
Na poziomie globalnym ustawieo nastpujce ustawienia zasad grupowych s dostpne:
53
54
Zasada
Poziom
wanoci
Wymu typ
wymiennych dyskach
danych
Istotny
Kontroluj uycie funkcji

BitLocker na dyskach
wymiennych
Istotny
Konfiguruj uycie kart

inteligentnych na
wymiennych dyskach
danych
Krytyczny
Opis
To ustawienie zasad
umoliwia
szyfrowania
uywanego przez
szyfrowanie dyskw
ono stosowane po
wczeniu funkcji
BitLocker. Jeli dysk
zosta ju
zaszyfrowany lub trwa
proces szyfrowania,
zmiana typu
szyfrowania nie
przyniesie efektu.
Wybranie opcji
penego szyfrowania
powoduje
szyfrowanie caego
dysku po wczeniu
funkcji BitLocker.
Wybranie opcji
szyfrowania tylko
zajtego miejsca
powoduje po
wczeniu funkcji
na ktrej s
przechowywane dane.
To ustawienie zasad
kontroluje uycie
funkcji BitLocker na
wymiennych dyskach
danych.
To ustawienie zasad
umoliwia okrelenie,
czy mona uywad
kart inteligentnych do
uwierzytelniania
dostpu uytkownika
do wymiennych
dyskw danych w
komputerze, ktre s
Domylne
ustawienie w
systemie
Windows 8
Ustawienie
zalecane przez
Microsoft
Nie
Nie
skonfigurowano skonfigurowano
Nie
Nie
skonfigurowano skonfigurowano
Nie
Wczone
skonfigurowano
Wymagaj uycia
kart
inteligentnych na
wymiennych
dyskach danych
Odmawiaj dostpu do
zapisu do dyskw
wymiennych
niechronionych funkcj
BitLocker
Istotny
Zezwalaj na dostp do
wymiennych dyskw
danych chronionych
funkcj BitLocker ze
starszych wersji
systemu Windows
Istotny
Konfiguruj uycie hase

dla wymiennych
dyskw danych
Istotny
Okrel, jak mog byd

odzyskiwane dyski
wymienne chronione
Krytyczny
chronione funkcj
BitLocker.
To ustawienie zasad
okrela, czy ochrona
wymagana, aby
komputer umoliwia
zapisywanie danych
na wymiennym dysku
danych.
To ustawienie zasad
okrela, czy wymienne
dyski danych
sformatowane za
pomoc systemu
plikw FAT mona
odblokowywad i
przegldad na
komputerach z
systemem
operacyjnym
Windows Server 2008,
Windows Vista,
Windows XP z
dodatkiem Service
Pack 3 (SP3) lub
Windows XP z
dodatkiem Service
Pack 2 (SP2).
To ustawienie zasad
okrela, czy do
odblokowania
wymiennych dyskw z
danymi chronionych
wymagane haso. Jeli
zostanie wybrana
opcja zezwalania na
uywanie hasa,
bdzie mona
wymagad uywania
hasa, wymuszad
przestrzeganie
wymagao dotyczcych
zoonoci hasa oraz
skonfigurowad jego
minimaln dugod.
To ustawienie zasad
umoliwia okrelenie,
w jaki sposb bd
Nie
Wczone
skonfigurowano
Nie zezwalaj na
dostp do zapisu
do urzdzeo
skonfigurowanych
w innej
organizacji
Nie
Wyczone
skonfigurowano
Nie
Wyczone
skonfigurowano
Nie
Wczone
skonfigurowano
Zezwalaj na
funkcj BitLocker
odzyskiwane
wymienne dyski
danych chronione
funkcj BitLocker w
przypadku braku
wymaganych
powiadczeo.
uywanie agenta
odzyskiwania
danych
Nie zezwalaj na
odzyskiwania
Nie zezwalaj na
odzyskiwania
Usuo opcje
odzyskiwania z
Kreatora instalacji
funkcji bitlocker
Wykonaj kopie
zapasowe hase
odzyskiwania i
pakietw kluczy
Tabela 4.6.1 Ustawienia funkcji BitLocker dla Wymienne dyski danych

4.7.
BitLocker a Connected StandBy
Szyfrowanie urzdzenia pozwala ochronid dane na komputerze uytkownika. Pozwala na

blokowanie dostpu do plikw poprzez np. fizyczne wyjcie dysku z komputera i instalacj w innym
urzdzeniu. Szyfrowanie urzdzenia chroni dysk systemu operacyjnego oraz pozostae dyski za
pomoc AES-128. Szyfrowanie to moe byd uzyte z kontem domenowym oraz kontem Microsoft. Aby
moliwe byo uruchomienie szyfrowania urzdzeo system musi speniad technologie Connected
Standby i speniad wymagania Windows Hardware Certification Kit (HCK).
Wymagania s dostpne w nastpujcych sekcjach:
System.Fundamentals.Security.DeviceEncryption Oglne wymagania do szyfrowania urzdzeo.
System.Fundamentals Wymagania systemw dla Connected Standby.
System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby - Wymagania dla TPM 2.0
oraz Secure Boot systemw z technologi Connected StandBy.
W przeciwieostwie do standardowego BitLockera szyfrowanie urzdzenia jest wczone

automatycznie, dlatego te urzdzenie jest zawsze chronione.
Wczenie lub wyczenie szyfrowania urzdzenia.

Po wykonaniu czystej instalacji Windows 8.1 szyfrowanie urzdzenia jest wczone
automatycznie. Jeli system by aktualizowany do wersji 8.1 moliwe jest wczenie szyfrowania
urzdzenia uywajc opcji PC Info (opcja dostpna w ustawieniach komputera).
Wyczenie automatycznego szyfrowania
Jeli podczas instalacji nie chcemy automatycznie chronid systemu szyfrowaniem urzdzenia
to naley przygotowad plik unattend z nastpujcymi ustawieniami rejestru:
ceika: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
Wartod: PreventDeviceEncryption rwne True (1)
Typw: REG_DWORD
Konflikty z ustawieniami Group Policy

Szyfrowanie urzdzenia jest elementem ustawieo BitLockera w Group Policy. Jednak
standardowe ustawienia mog kolidowad z ustawieniami Group Policy. Ponisza lista przedstawia
ustawienia, ktre powinny byd ustawione jako nie konfigurowane/not configured a w przypadku
konfiguracji powinnimy mied pewnod, e nasze urzdzenie wspiera szyfrowanie urzdzenia.
Computer Configuration\Administrative Templates\Skadniki systemu Windows\BitLocker

Drive Encryption\Operating System Drives\Require additional authentication at startup:
Drive Encryption\Operating System Drives\Choose how BitLocker-protected operating
system drives can be recovered
Drive Encryption\Fixed Data Drives\Choose how BitLocker-protected fixed data drives can be
recovered
4.8.
Wsparcie FIPS do ochrony odzyskiwania hasa.
Standard FIPS 140-1 okrela wymagania, ktre musz speniad sprztowe i programowe moduy
kryptograficzne suce do szyfrowania danych, ktre s wane, ale nie poufne (SBU).
Standard FIPS dostpny by w poprzedniej wersji systemu zmiany Windows 8.1 zawieraj midzy
innymi:
Ochrona odzyskiwania hase zgodna z FIPS moe byd utworzona w momencie, gdy Windows pracuje
w trybie FIPS, kiedy moliwe jest potwierdzenie jego algorytmw.
Odzyskane hasa utworzone w trybie FIPS w Windows 8.1 mog byd rozrniane od odzyskanych
hase w innych systemach.
Kiedy odzyskane haso zgodne z FIPS odblokuje dyski, to pozwalaj one na prac w trybie
zapis/odczyt nawet, jeli pracuj w trybie FIPS.
Moliwe jest eksportowanie i przechowywanie w AD odzyskanych hase zgodnych z FIPS jeli
pracujemy w trybie FIPS.
4.9.
System szyfrowania plikw EFS
System szyfrowania plikw (EFS) pozwala na zaszyfrowanie plikw i folderw w celu zabezpieczenia
ich przed nieautoryzowanym dostpem. Funkcjonalnod ta jest jednym z elementw systemu plikw
NTFS i jest cakowicie przezroczysta dla uytkownika i aplikacji. Podczas normalnej pracy, kiedy
uytkownik lub aplikacja prbuje uzyskad dostp do zaszyfrowanego pliku, system operacyjny w
sposb automatyczny uzyskuje dostp do klucza deszyfrujcego zawartod pliku, operacja
szyfrowania i deszyfrowania odbywa si w tle a system wykonuje te dziaania w imieniu uytkownika.
Uytkownicy, ktrzy posiadaj dostp do waciwych kluczy szyfrujcych pracuj z plikami
zaszyfrowanymi tak samo jak z innymi plikami, podczas gdy inni uytkownicy otrzymuj odmow
dostpu do plikw zaszyfrowanych.
W systemie Windows 8 wprowadzono zmiany w architekturze, ktre w chwili obecnej wspieraj
kryptografi oparta na krzywych eliptycznych ( ECC ang. Eliptic Curve Cryptography).
Funkcjonalnod ta jest zgodna z wymaganiami SUITE B, zestawem algorytmw kryptograficznych
zdefiniowanych przez NSA (National Security Agency) na potrzeby amerykaoskich agencji rzdowych
w celu zapewnienie ochrony informacji niejawnych. Zdefiniowany zestaw Suite B wymaga
zastosowania kryptograficznych algorytmw AES, SHA oraz ECC w celu zapewnienia najwyszego
stopnia ochrony i nie zezwala na stosowanie algorytmw kryptografii RSA, ale system szyfrowania
plikw (EFS) w systemie Windows 8 wspiera i obsuguje nowy tryb mieszany obsugujcy algorytmy
ECC i RSA. Tryb ten zapewnia zgodnod plikw zaszyfrowanych utworzonych przy zastosowaniu
algorytmw dostpnych w poprzednich wersjach systemw Windows. Funkcjonalnod ta moe byd
bardzo uyteczna dla organizacji, ktre stosuj kryptograficzne algorytmy RSA i jednoczenie
zamierzaj ju wykorzystywad algorytmy ECC w celu przygotowania wasnego rodowiska do
zapewnienia zgodnoci z zestawem Suite B.
Uwaga: Zaleca si stosowanie rwnoczesne mechanizmw BitLocker oraz EFS w celu zapewnienia
najwyszego stopnia ochrony danych.
Ocena ryzyka
Nieautoryzowany dostp do danych moe wpynd negatywnie na procesy w organizacji, zwaszcza w
tam, gdzie wielu uytkownikw ma dostp do tego samego systemu lub korzysta z przenonych
systemw komputerowych, co w rezultacie powoduje due ryzyko ujawnienia danych. EFS zosta
zaprojektowany w celu minimalizacji ryzyka kradziey danych oraz ujawnienia wraliwych danych w
przypadku zgubienia lub kradziey komputerw przenonych a w szczeglnoci ryzyka ujawnienia

danych wraliwych przez pracownikw wewntrznych posiadajcych do nich dostp. Komputery
oglnodostpne i wspdzielone s rwnie naraone na powysze ryzyko.
Sytuacja ta ma miejsce wtedy, kiedy atakujcy uzyska fizyczny dostp do niezabezpieczonego
komputera, potencjalne konsekwencje takiego czynu obejmuj nastpujce dziaania:
Atakujcy moe uruchomid ponownie komputer i podwyszyd swoje uprawnienia do poziomu

lokalnego administratora w celu uzyskania dostpu do danych uytkownika. Atakujcy moe
rwnie pobrad programy narzdziowe i wykonad atak siowy w celu uzyskania hasa
uytkownika. Po skutecznym ataku bdzie moliwe zalogowanie si do systemu korzystajc z
konta i ujawnionego hasa uytkownika, a w konsekwencji uzyskanie dostpu do danych
uytkownika.
Atakujcy moe zalogowad si do komputera z systemem Windows 8 w celu przekopiowania
dostpnych danych na noniki przenone, przesania ich poprzez wiadomod pocztow
(email) lub przekopiowania ich przez sied komputerow lub przetransferowad je do zdalnego
serwera z wykorzystaniem protokou FTP.
Atakujcy moe ponownie uruchomid komputer z alternatywnego systemu operacyjnego i
przekopiowad je bezporednio z lokalnego dysku twardego.
Atakujcy moe poczyd komputer do innej sieci komputerowej, uruchomid skradziony
komputer i nastpnie zalogowad si do niego zdalnie.
Jeli uytkownik buforuje swoje pliki sieciowe w trybie offline, atakujcy moe wykorzystad je
do podwyszenia swoich uprawnieo do poziomu lokalnego administratora / systemu
lokalnego a nastpnie sprawdzid zawartod plikw buforowanych w trybie offline.
Atakujcy moe ponownie uruchomid komputer z alternatywnego systemu operacyjnego i
dokonad odczytu zawartoci pliku stronicowania w celu odczytu informacji przechowywanych
jawnym tekstem lub kopii dokumentw w postaci otwartego tekstu zintegrowanych z
uruchomionym procesem.
Ciekawski wsppracownik moe otworzyd wraliwe pliki nalece do innych uytkownikw
oglnodostpnego i wspdzielonego komputera.
W celu zmniejszenia zagroenia zwizanego z powyszym ryzykiem, zaleca si zaszyfrowanie danych
przechowywanych na dyskach twardych. Ulepszenia w technologii EFS zastosowane w systemie
Windows 8 pozwol na zmniejszenie nastpujcego ryzyka i wymusz zwikszenie bezpieczeostwa:
Naley stosowad szyfrowanie (EFS) plikw i folderw, aby uniemoliwid atakujcemu odczyt
plikw za porednictwem innego systemu operacyjnego, ktry wymaga uzyskania
stosownego klucza deszyfrujcego w celu odszyfrowania zawartoci pliku. Klucz taki moe
zostad umieszczony na karcie inteligentnej w celu zapewnienia zwikszenia bezpieczeostwa.
Naley wymuszad silne mechanizmy szyfrowania stosowane przez EFS poprzez zastosowanie
zasad grup.
Naley udaremnid dziaania atakujcej osoby, ktra prbuje uzyskad dostp do danych
uytkownika poprzez przeprowadzenie ataku siowego na haso uytkownika stosujc karty
inteligentne, jako magazyn dla kluczy szyfrujcych EFS lub stosujc poczenie obu
technologii szyfrowania jednoczenie Bitlocker i EFS w celu uniemoliwienia dostpu do

skrtu (ang. hash) hasa uytkownika i buforowanych powiadczeo uytkownika.
Naley uniemoliwid atakujcemu dostp do wraliwych danych uytkownikw poprzez
wymuszenia szyfrowania folderu moje dokumenty uytkownika stosujc zasady grupowe.
Alternatywnie mona wymusid szyfrowanie innych lokalizacji zawierajcych dane
uytkownika lub szyfrujc ca partycj z danymi uytkownika poprzez skrypty logowania.
Naley stosowad system szyfrowania plikw EFS, aby zapewnid szyfrowanie na wielu dyskach
i udziaach sieciowych.
Naley stosowad system szyfrowania plikw EFS, aby zapewnid ochron pliku stronicowania i
buforowanych podrcznych plikw sieciowych trybu offline.

Szyfrowany system plikw (EFS) moe zmniejszyd zagroenie zdefiniowane w poprzedniej sekcji
Ocena ryzyka, jednak przed zastosowaniem funkcji EFS, wane jest, aby wzid pod uwag
nastpujce wymagania:
Naley wdroyd sprawdzone procedury zarzdzania kluczami stosowanych do odzyskiwania

danych oraz procedur odzyskiwania danych. W przypadku braku niezawodnych i poprawnie
zdefiniowanych procedur, krytyczne dane organizacji mog byd niedostpne i nie moliwe do
odszyfrowania w momencie utraty kluczy deszyfrujcych.
Funkcjonalnod EFS ma niewielki wpyw na wydajnod komputera, przewaanie jest to
niedogodnod niezauwaalna przez wikszod uytkownikw podczas normalnej pracy.
Jednake, jeli wydajnod systemu jest krytycznym elementem systemu komputerowego
warto sprawdzid w fazie testw przedwdroeniowych czy EFS nie wpywa znaczco na
wydajnod pracy uytkownika.
W przypadku koniecznoci zapewnienia zgodnoci z zestawem Suite B w organizacji, naley
wdroyd algorytm ECC w celu przygotowania systemu komputerowego do spenienia
wymagao wdroenia poziomu standardu szyfrowania.
W przypadku wczenia szyfrowania plikw EFS nie jest moliwe rwnoczesne
kompresowanie plikw na tym samym wolumenie, funkcja kompresji wbudowana jest w
system plikw NTFS.
Uytkownicy i pracownicy dziau IT musz byd odpowiednio przeszkoleni, aby uniknd
moliwych problemw, takich jak:
o Kopiowanie oraz przenoszenie plikw z miejsc zaszyfrowanych do miejsc
niezaszyfrowanych, operacje, ktre mog pozostawid pliku w postaci jawnej.
o Niezastosowanie szyfrowania plikw ukrytych folderw, w ktrych aplikacje
przechowuj i zarzdzaj swoje wasne kopie zapasowe.
Naley bardzo dokadnie przetestowad konfiguracj EFS w celu sprawdzenia, czy szyfrowanie
EFS zostao wdroone na wszystkich lokalizacjach plikw wraliwych danych, wliczajc w to
moje dokumenty, pulpit oraz foldery z plikami tymczasowymi.

praktyk konfiguracji funkcji EFS, aby zapewnid ochron wraliwych danych znajdujcych si na
komputerach klienckich zarzdzanych w organizacji:
1. Sprawdzenie i przeprowadzenie testw technologii szyfrowania EFS
Uwaga: W celu uzyskania dodatkowych informacji na temat EFS, naley zapoznad si z
artykuem: Best practices for the Encrypting File System"55 umieszczonym na stronach firmy
Microsoft.
2. Oszacowanie potrzeby wdroenia funkcji szyfrowania EFS.
3. Sprawdzenie i przeprowadzenie testw konfiguracji EFS poprzez zastosowanie zasad grup.
przez szyfrowanie EFS.
5. Dokonanie identyfikacji i oszacowania odpowiedniego wymaganego poziomu ochrony, np.
Czy organizacja wymaga stosowania kart inteligentnych w poczeniu z systemem EFS.
6. Konfiguracja szyfrowania EFS w sposb odpowiedni dla rodowiska z wykorzystaniem zasad
grupowych.
4.10.
Szczegowe ustawienia systemu EFS zapewniajce ochron
wraliwych danych
W celu zarzdzania konfiguracj systemu szyfrowania plikw EFS poprzez mechanizm zasad grup,
dostpne jest kilka ustawieo konfiguracyjnych. Konfiguracja ustawieo dostpna jest w nastpujcej
lokalizacji:
Konfiguracja Komputera\Ustawienia systemu Windows\Ustawienie zabezpieczeo\Zasady kluczy
publicznych\System szyfrowania plikw
(Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Encrypting File
System)
W celu dodania lub utworzenia agenta odzyskiwania danych (DRA ang. Data Recovery Agent) naley
kliknd prawym przyciskiem myszki System szyfrowania plikw a nastpnie wybrad Dodaj agenta
odzyskiwania danych
W celu wywietlenia ustawieo dotyczcych EFS naley prawym przyciskiem myszki System
szyfrowania plikw a nastpnie kliknd na opcj Waciwoci w celu otworzenia okna Waciwoci:
System szyfrowania plikw.
55
http://support.microsoft.com/default.aspx?scid=kb;en-us;223316
Rys. 4.8.1 Waciwoci System Szyfrowania plikw widok zakadka Oglne

Ustawienie opcji Kryptografia oparta na krzywej eliptycznej (ECC) w tryb Zezwalaj pokazanej na
rysunku 4.8.1 ustawia system szyfrowania plikw (EFS) w tryb mieszany, ktry pozwoli
komputerom na stosowanie algorytmw RSA lub ECC. W przypadku kiedy rodowisko wymaga
zgodnoci z wymaganiami zestawu Suite B naley ustawid opcj Wymagaj przy ustawieniu
Kryptografia oparta na krzywej eliptycznej (ECC) a nastpnie naley wybrad odpowiedni rozmiar
klucza dla certyfikatw kryptografii opartej na krzywej eliptycznej z podpisem wasnym pokazany
na Rys. 4.8.2.
Rys. 4.8.2 Waciwoci System Szyfrowania plikw widok zakadka Certyfikaty

Wana uwaga naley pamitad, e przedstawione ustawienie zasad grupowych zostanie
zastosowane tylko wtedy, kiedy plik lub folder bdzie zaszyfrowany po wczeniu tej opcji. A w
przypadku, kiedy plik lub folder zosta zaszyfrowany zanim przedstawiona opcja zostaa
skonfigurowana, uytkownik bdzie korzysta z algorytmu, ktry zosta wybrany przy szyfrowaniu.
Opcja Wymagaj przy ustawieniu Kryptografia oparta na krzywej eliptycznej (ECC) nie wymusza
stosowania algorytmu AES dla toworzonych kluczy szyfrujcych, opcja ta wymusza tylko
zastosowanie algorytmu ECC
Rys.4.8.3 Waciwoci System Szyfrowania plikw widok zakadka Pamied podrczna

Ponisza tabela przedstawia 4 szablony ustawieo zasad grup dla funkcji Systemu szyfrowania plikw
EFS.
Szablon oraz ustawienia
GroupPolicy.admx
Konfiguruj przetwarzanie zasad
odzyskiwania systemu
cieka oraz opis

Konfiguracja komputera\Szablony
administracyjne\System\Zasady grupy
Ustawienia te okrelaj, kiedy zasady
dotyczce szyfrowania s
systemie Windows 8
Nie skonfigurowano
szyfrowania plikw
aktualizowane.
EncryptFilesonMove.admx
Konfiguracja komputera \ Szablony

administracyjne \ System
Nie szyfruj automatycznie

plikw przenoszonych do
zaszyfrowanych folderw.
OfflineFiles.admx
Szyfruj pamid podrczn
plikw offline
Nie skonfigurowano
To ustawienie zasad zapobiega

szyfrowaniu przez Eksploratora plikw
tych plikw, ktre s przenoszone do
zaszyfrowanego folderu.
administracyjne \ Sied \Pliki trybu
offline\
Nie skonfigurowano
To ustawienie zasad okrela, czy pliki

trybu offline s szyfrowane.
Uwaga W systemach Windows XP SP3,
pliki s szyfrowane za pomoc klucza
systemu a wprzypadku Windows Vista
SP1 lub pniejszy ,, pliki s szyfrowane
kluczem uytkownika.
Search.admx
Zezwalaj na indeksowanie
zaszyfrowanych plikw

administracyjne \ Skadniki system
Windows \Wyszukaj\
Nie skonfigurowano

indeksowanie zaszyfrowanych
elementw
Tabela 4.8.1 Ustawienia systemu szyfrowania plikw EFS
4.11.
Usugi zarzdzania prawami do informacji (RMS)
Usugi zarzdzania prawami do informacji (RMS ang. Rights Management Services) zostay
zaprojektowane w celu zapewnienia ochrony i egzekwowania zasad uytkowania zawartoci
wraliwych treci informacji przechowywanych w wiadomociach poczty elektronicznej,
dokumentw, zawartoci stron internetowych oraz innych rodzajw informacji. RMS zapewnia
bezpieczeostwo zawartoci dokumentw przez trway mechanizm szyfrowania informacji i
przypisania praw uytkowania zawartoci. Zawartod kadej wiadomoci pocztowej oraz pliku
podczas przesyania jej przez sied w organizacji lub sied internet z zastosowaniem rozwizania RMS,
dostpna jest tylko i wycznie dla uytkownikw uwierzytelnionych i upowanionych poprzez
nadanie uprawnieo. Kada nieuprawniona osoba pomimo dostpu do pliku nie bdzie wstanie
odczytad treci tej informacji, ktra jest chroniona poprzez odpowiednio nadane uprawnienia i
mechanizm szyfrowania. RMS skada si trzech gwnych komponentw:
Serwer RMS system Windows 8 wymaga Usugi zarzdzania prawami dostpu w systemie
Windows dla systemu Windows Server 2003 lub nowszy.
Oprogramowanie klienta RMS oprogramowanie to wbudowane jest w system Windows 8 i

nie wymaga dodatkowej instalacji.
Platforma lub aplikacja RMS jest to platforma lub aplikacja zaprojektowana w celu obsugi
RMS poprzez mechanizm szyfrowania i kontroli dostpu do treci informacji zarzdzanych
przez ten mechanizm.
Uwaga: Pomimo, i oprogramowanie klienta usug zarzdzania prawami (RMS) wbudowane jest w
systemie Windows 8, to wymaga zakupienia oddzielnej licencji dostpowej RMS CAL, aby mc
skorzystad z tego oprogramowania.
Ocena ryzyka
Usugi zarzdzania prawami (RMS) pozwalaj na zmniejszenie ryzyka w organizacjach, w ktrych
nieuprawnione osoby mog zapoznad si i przejrzed dane wraliwe. Informacje wraliwe mog zostad
rozpowszechnione lub udostpnione osobom nieuprawnionym w wyniku pomyki lub zaplanowanych
dziaao zoliwych. Kilka przykadw zawierajcych moliwe scenariusze ryzyka opisano poniej:
Nieuprawnieni uytkownicy mog uzyskad dostp do informacji poprzez podsuchanie ruchu

sieciowego, uzyskanie fizycznego dostpu do urzdzeo przenonych pamici flash lub dyskw
twardych lub uzyskuj dostp do niewaciwie zabezpieczonych udziaw sieciowych
serwerw lub magazynw danych.
Uprawnieni uytkownicy mog wysad informacje wraliwe to nieuprawnionych odbiorcw
wewntrz lub na zewntrz organizacji.
Uprawnieni uytkownicy mog skopiowad lub przenied dane wraliwe do
nieautoryzowanych lokalizacji lub aplikacji, a take mog wykonad kopie danych z
autoryzowanego miejsca przechowywania danych do nieautoryzowanych pamici
przenonych flash lub dyskw twardych (noniki zewntrzne).
Uprawnieni uytkownicy, ktrzy przypadkowo udzielili dostpu do wraliwych informacji
nieuprawnionym uytkownikom poprzez sieci P2P (peer-to-peer) lub komunikatory
internetowe.
Uprawnieni uytkownicy, ktrzy wydrukowali wraliwe informacje, i nie zabezpieczyli ich w
sposb waciwy, przez co na razili na ryzyko pozyskania wydrukw przez nieuprawnione
osoby, ktre mog te informacje skopiowad, przefaksowad lub przesad je poprzez
wiadomoci poczty elektronicznej (email).
W celu skutecznej ochrony danych wspdzielonych poprzez wsppracownikw poprzez zasoby
sieciowe niezalenie od mechanizmu ich wykorzystania, zaleca si zabezpieczenie zawartoci
informacji korzystajc z usugi zarzdzania prawami do informacji (RMS). Mechanizm RMS doskonale
chroni tred informacji, ktre s przesyane pomidzy serwerami, urzdzeniami oraz wspdzielonymi
zasobami sieciowymi. Informacja, ktra zostaa pozyskana w sposb nieautoryzowany nadal
pozostaje w postaci zabezpieczonej i zaszyfrowanej przez mechanizm RMS.

Usugi zarzdzania prawami do informacji (RMS) mog zmniejszyd zagroenie zdefiniowane w
poprzedniej sekcji Ocena ryzyka, jednak przed zastosowaniem i wdroeniem usugi zarzdzania
prawami do informacji (RMS), wane jest, aby wzid pod uwag nastpujce wymagania i najlepsze
praktyki dla tej funkcji ochrony danych:
RMS wymaga zainstalowanej usugi zarzdzania prawami dostpu na serwerze RMS w

systemie Windows dla systemu Windows Server 2003 lub nowszym, a take zainstalowania
aplikacji obsugujcych technologi RMS zainstalowanych na stacjach klienckich
uytkownikw.
Microsoft Office SharePoint Server lub nowszy wymagany jest w przypadku zastosowania
komponentu SharePoint-RMS integration ( mechanizm RMS chroni dokumenty i informacje
przed nieupowanionym dostpem przechowywane w witrynach programu SharePoint
W przypadku zastosowania opcjonalnej integracji kart inteligentnych (SMART CARD) , naley
upewnid si i sprawdzid czy kada stacja kliencka, ktra bdzie korzystaa z chronionej
zawartoci informacji jest w peni kompatybilna ze stosowanymi kartami inteligentnymi.
W przypadku zastosowania aplikacji internetowych (ang. web based) takich jak Microsoft
Outlook Web Access (OWA) z komponentem RMS, naley pamitad, i wymagany jest
dodatek do programu Internet Explorer, ktry umoliwi korzystanie z RMS.
Zalecane jest przeszkolenie osb dziau IT z zakresu wdroenia, wsparcia technicznego oraz
rozwizywania problemw zwizanych z technologi RMS.

praktyk konfiguracji usugi zarzdzania prawami (RMS), aby zapewnid ochron wraliwych danych
przechowywanych w komputerach klienckich zarzdzanych w organizacji:
56
Sprawdzenie i przeprowadzenie testw technologii usugi zarzdzania prawami (RMS)

Uwaga: W celu uzyskania dodatkowych informacji na temat RMS, naley zapoznad si z
artykuem: Active Directory Rights Management Services"56 umieszczonym na stronach
firmy Microsoft.
Oszacowanie potrzeby wdroenia usugi zarzdzania prawami (RMS).
Przeprowadzid identyfikacj aplikacji i usug wspieranych przez RMS.
Okrelid i oszacowad scenariusze wdroenia usugi zarzdzania prawami (RMS), takie jak:
o Pojedynczy serwer RMS (lub pojedynczy klaster) - Single server (or single cluster)
o Single certification, single license
o Single certification, multiple license
o Multiple certification, single license
o Multiple certification, multiple license
Dokonanie identyfikacji i oszacowania zakresu chronionych informacji korzystajc z
technologii RMS
w jzyku polskim - http://technet.microsoft.com/pl-pl/library/cc771234(v=ws.10).aspx ,

w jzyku angielskim http://go.microsoft.com/fwlink/?LinkId=153465
Dokonanie identyfikacji i oszacowania grup uytkownikw, ktrzy wymagaj dostpu do

okrelonych i chronionych informacji.
Konfiguracja usugi zarzdzania prawami (RMS) w sposb, ktry zezwala na dostp do
okrelonych informacji tylko osobom uprawnionym.
4.12.
Zastosowanie ustawieo zasad grup do wdroenia usugi RMS
Ustawienia zasad grup do konfigurowania usugi zarzdzania prawami (RMS) nie s czci instalacji
systemu Windows 8. RMS to przede wszystkim rozwizanie oparte na konfiguracji serwera, w
zwizku z powyszym konfiguracja usugi zarzdzania prawami (RMS) powinna byd wykonana na
serwerze penicego rol serwera RMS. Ponadto aplikacje wsppracujce z rozwizaniem usugi
zarzdzania prawami (RMS) mog posiadad indywidulane ustawienia, ktre okrelaj, w jaki sposb
zarzdzad chronion zawartoci informacji.
4.13.
Instalacja i zarzdzanie urzdzeniami w systemie Windows 8
Technologia urzdzeo Plug and Play (PnP) daje uytkownikom du swobod w uytkowaniu
wszelkich urzdzeo w tym rwnie przenonych na ich stacjach roboczych. Z drugiej strony
urzdzenia takie jak pamici przenone USB lub przenone dyski twarde stanowi powane problemy
i wyzwania w utrzymaniu waciwego poziomu bezpieczeostwa dla administratorw i pracownikw
IT. Zagroenie to, to nie tylko trudnod w utrzymaniu i zarzdzaniu instalacji niekompatybilnego i
nieautoryzowanego sprztu na stacji klienckich, ale rwnie sytuacja ta stwarza powane zagroenie
dla bezpieczeostwa przetwarzanych danych. W systemie Windows 8 wprowadzono szereg zmian w
zasadach grup, ktre maj pomc administratorom IT w zarzdzaniu i kontroli kadej prby instalacji
nieobsugiwanych i nieautoryzowanych urzdzeo. Wane jest jednak, aby mied wiadomod, i kade
urzdzenie zainstalowane w systemie, dostpne jest dla kadego uytkownika tego systemu a nie
tylko dla konkretnego uytkownika. System Windows 8, Windows 7 oraz Windows Vista zapewniaj
wsparcie na poziomie uytkownika w zapewnieniu kontroli dostpu w trybie do odczytu lub zapisu
dla urzdzenia zainstalowanego w systemie. Na przykad, mona zapewnid peny dostp do zapisu i
odczytu do zainstalowanego urzdzenia, takiego, jako przenona pamid USB dla specyficznego
uytkownika, a dla innych uytkownikw ju tylko dostp do odczytu dla tego urzdzenia na tym
samym komputerze. Wicej informacji na temat zarzdzania i instalacji urzdzeo oraz w jaki sposb
ustawienia zasad grupowych mog pomc w utrzymaniu i zarzdzaniu urzdzeo, mona przeczytad w
artykule Step-By-Step Guide to Controlling Device Installation Using Group Policy57
Ocena ryzyka
Nieautoryzowane dodawanie lub usuwanie urzdzeo do komputerw stanowi bardzo wysokie
zagroenie dla bezpieczeostwa organizacji, poniewa dziaania takie mog pozwolid atakujcemu na
uruchomienie szkodliwego oprogramowania, usunicie danych oraz zainstalowanie oprogramowania
lub innych danych. Urzdzenia te stanowi gwne rdo wycieku danych. Kilka przykadw
zawierajcych moliwe scenariusze ryzyka przedstawiono poniej:
57
Uprawnieni uytkownicy mog skopiowad lub przenied dane wraliwe zawarte na

autoryzowanych nonikach lub urzdzeniach do nieautoryzowanych pamici masowych lub
dyskw twardych (noniki zewntrzne), czynnoci te mog zostad wykonane w sposb wiadomy
lub niewiadomy przez uytkownikw. Sytuacja taka moe obejmowad kopiowanie danych z
zaszyfrowanych nonikw danych lub lokalizacji do nieautoryzowanych i nieszyfrowanych
oglnodostpnych pamici przenonych.
Atakujcy moe zalogowad si do komputerw autoryzowanych uytkownikw, a nastpnie
skopiowad dane na noniki pamici przenonych.
Atakujcy moe wykorzystad noniki pamici przenonych lub udziay sieciowe zawierajce
oprogramowanie szkodliwe w celu automatycznego uruchomienia skryptu wykorzystujc
mechanizm auto uruchomienia (ang. AutoRun) w celu instalacji oprogramowania zoliwego na
nienadzorowanych komputerach klienckich.
Atakujcy moe zainstalowad nieautoryzowane oprogramowanie lub urzdzenie przechwytujce
wszystkie wprowadzane dane z klawiatury (ang. Keyloger), ktre mog zostad wykorzystane do
przechwycenia nazwy konta, hasa lub innych danych wraliwych w celu przeprowadzenia
pniejszego ataku.
W celu zmniejszenia zagroenia zwizanego z powyszym ryzykiem, zaleca si ochron systemw
komputerowych ze szczeglnym uwzgldnieniem kontroli i nadzoru instalacji oraz uytkowania
nieautoryzowanych urzdzeo podczanych do komputerw. Do kontroli i nadzoru urzdzeo PnP,
takich jak pamici przenone USB lub przenone dyski twarde mona wykorzystad ustawienia zasad
grup.
Zastosowanie ustawieo zasad grup dotyczcych instalacji urzdzeo w systemie Windows 8 moe
zmniejszyd zagroenie zdefiniowane w poprzedniej sekcji Ocena ryzyka. Jednak przed wdroeniem
ustawieo dotyczcych instalacji i zarzdzania urzdzeo w komputerach klienckich, wane jest, aby
wzid pod uwag nastpujce zagadnienia zwizane z minimalizacj ryzyka:
Ograniczenie korzystania z urzdzeo moe zablokowad moliwod korzystania z udostpniania

danych uprawnionym uytkownikom lub zmniejszyd efektywnod uytkownikw mobilnych
poprzez zablokowanie dostpu do urzdzeo przenonych.
Ograniczenie korzystania z urzdzeo przenonych moe uniemoliwid zastosowanie klucza USB,
jako czci procesu wdroenia szyfrowania dyskw korzystajc z technologii BitLocker. Na
przykad, jeli zastosujemy ustawienie zasad grupowych: Dyski wymienne: Odmowa prawa do
zapisu, pomimo, i ustawienie to przeznaczone jest dla uytkownikw, to bdzie obowizywao
ono rwnie w przypadku uytkownika z prawami administratora, co w efekcie spowoduje, e
program instalacyjny BitLocker nie bdzie mg zapisad, klucza uruchomienia na dysku
przenonym USB.
Pewna czed urzdzeo, jest identyfikowana podwjnie w systemie, jako urzdzenie magazynu
wymiennego (ang. removable storage ID) oraz jako urzdzenie magazynu lokalnego (ang. local
storage ID). Na przykad, takiej identyfikacji dokonaj niektre typy dyskw przenonych USB
uruchamianych podczas startu systemu w zalenoci od momentu podczenia urzdzenia, przed
startem systemu lub w czasie, kiedy system jest ju uruchomiony. Dlatego wane jest, aby
dokadnie przetestowad ustawienia zasad grupowych (GPO), aby zapewnid waciw ochron dla
odpowiednich typw urzdzeo i okrelid czy wykorzystanie tych urzdzeo jest zabronione czy
zezwolone w rodowisku organizacji.
praktyk dla instalacji i zarzdzania urzdzeniami w systemie Windows 8, aby zapewnid ochron
wraliwych danych znajdujcych si zarzdzanych na komputerach:
1. Sprawdzenie i przeprowadzenie testw dotyczcych zagadnienia instalacji i zarzdzania
urzdzeniami w systemie Windows 8
Uwaga: W celu uzyskania dodatkowych informacji na ten temat, naley zapoznad si z
dokumentami: Step-By-Step Guide to Controlling Device Installation Using Group Policy58
umieszczonych na stronach witryny Microsoft.
2. Oszacowanie potrzeby wdroenia mechanizmu instalacja i zarzdzanie urzdzeniami w
systemie Windows 8.
3. Sprawdzenie i przeprowadzenie testw dotyczcych ustawieo zasad grup dla mechanizmu
instalacja i zarzdzanie urzdzeniami w systemie Windows 8.
4. Dokonanie identyfikacji niezbdnych urzdzeo przenonych pracujcych w rodowisku
organizacji, i przygotowanie listy ustawieo dla tych urzdzeo ze szczeglnym uwzgldnieniem
identyfikatorw sprztu (ang. Hardware ID) oraz identyfikatorw zgodnych(ang. Compatible
ID).
5. Dokonanie identyfikacji i wskazanie komputerw oraz uytkownikw, ktrzy wymagaj
codziennej pracy z urzdzeniami przenonymi.
6. Wdroenie i zastosowanie ustawieo zasad grupowych w celu wczenia moliwoci instalacji
niezbdnych i odpowiednich klas urzdzeo.
7. Wdroenie i zastosowanie ustawieo zasad grupowych w celu wczenia moliwoci instalacji
na wybranych komputerach, na ktrych jest to niezbdne do codziennej pracy.
4.14.
Zastosowanie ustawieo zasad grupowych do nadzorowania instalacji
urzdzeo
W celu nadzorowania instalacji i zarzdzania urzdzeo rekomendowane jest zastosowanie ustawieo
zasad grupowych dostpnych w szablonie zasad grupowych Deviceinstallation.admx. Tabela poniej
przedstawia zasady grupowe dostpne w tym szablonie. Konfiguracja tych ustawieo dostpna jest w
gazi:
Konfiguracja komputera\Szablony administracyjne\System\Instalacja urzdzenia\Ograniczenia
dotyczce instalacji urzdzeo
(Computer Configuration\Administrative Templates\System\Device Installation\Device Installation
Restrictions)
58
Ustawienie zasad
Opis
systemie Windows 8
Nie skonfigurowano
Zezwalaj administratorom na
zastpowanie zasad
ograniczajcych instalacj
urzdzeo

okrelenie, czy czonkowie grupy
Administratorzy mog instalowad i
aktualizowad sterowniki dowolnego
urzdzenia, bez wzgldu na inne
ustawienia zasad.
Zezwalaj na instalacj urzdzeo

za pomoc sterownikw
odpowiadajcych tym klasom
konfiguracji urzdzeo
Nie skonfigurowano
okrelenie listy unikatowych
identyfikatorw globalnych (GUID)
klasy konfiguracji urzdzeo dla
sterownikw urzdzeo, ktrych
instalacja w systemie Windows ma byd
dozwolona.
wczone, w systemie Windows bdzie
dozwolona instalacja lub aktualizacja
identyfikatory GUID klasy konfiguracji
urzdzeo znajduj si na utworzonej
licie, chyba e inne ustawienie zasad
zapobiega instalacji (np. ustawienie
zasad Zapobiegaj instalacji urzdzeo
o identyfikatorach odpowiadajcych
tym identyfikatorom urzdzeo,
Zapobiegaj instalacji urzdzeo tych
klas lub Zapobiegaj instalacji
urzdzeo wymiennych).
Nie zezwalaj na instalacj

urzdzeo za pomoc
sterownikw odpowiadajcych
tym klasom konfiguracji urzdzeo

okrelenie listy unikatowych
identyfikatorw globalnych (GUID)
klasy konfiguracji urzdzeo dla
instalacja w systemie Windows ma byd
niedozwolona. To ustawienie zasad
ma pierwszeostwo przed kadym
innym ustawieniem zasad, ktre
zezwala na instalacj urzdzenia w
systemie Windows.
Nie skonfigurowano
Wywietl niestandardowy
komunikat, jeli ustawienie zasad
uniemoliwia instalacj

wywietlanie uytkownikom
niestandardowego komunikatu w
powiadomieniu w sytuacji, gdy
podjto prb instalacji urzdzenia, a
jakie ustawienie zasad uniemoliwia
instalacj.
Nie skonfigurowano
wczone, wwczas w przypadku gdy

jakie ustawienie zasad uniemoliwi
instalacj urzdzenia, w systemie
Windows bdzie wywietlany tekst
wpisany przez uytkownika w polu
Szczegy.
Wywietl niestandardowy tytu
komunikatu, jeli ustawienie
zasad uniemoliwia instalacj

wywietlanie powiadomienia
niestandardowego tytuu komunikatu
w sytuacji, gdy podjto prb
instalacji urzdzenia i jakie
ustawienie zasad uniemoliwia
instalacj.
Nie skonfigurowano

Windows jako tytu powiadomienia
bdzie wywietlany tekst wpisany
przez uytkownika w polu Tred.
Zezwalaj na instalacj urzdzeo o
identyfikatorach
odpowiadajcych tym
identyfikatorom urzdzeo

wywietlanie powiadomienia
niestandardowego tytuu komunikatu
w sytuacji, gdy podjto prb
instalacji urzdzenia i jakie
ustawienie zasad uniemoliwia
instalacj.
Nie skonfigurowano

Windows jako tytu powiadomienia
bdzie wywietlany tekst wpisany
przez uytkownika w polu Tred.
Zapobiegaj instalacji urzdzeo o
identyfikatorach
odpowiadajcych tym
identyfikatorom urzdzeo

okrelenie listy identyfikatorw
sprztu typu Plug and Play oraz
zgodnych identyfikatorw urzdzeo,
ktrych instalacja w systemie
Windows ma byd niedozwolona. To
ustawienie zasad ma pierwszeostwo
przed kadym innym ustawieniem
zasad, ktre zezwala na instalacj
urzdzenia w systemie Windows.
wczone, w systemie Windows nie
Nie skonfigurowano
bdzie dozwolona instalacja urzdzeo,

ktrych identyfikatory sprztu lub
zgodne identyfikatory znajduj si na
utworzonej licie.
Czas (w sekundach), po jakim jest
wymuszany ponowny rozruch,
jeli jest on wymagany do
zastosowania zmian zasad

okrelenie listy identyfikatorw
sprztu typu Plug and Play oraz
zgodnych identyfikatorw urzdzeo,
ktrych instalacja w systemie
Windows ma byd niedozwolona. To
ustawienie zasad ma pierwszeostwo
przed kadym innym ustawieniem
zasad, ktre zezwala na instalacj
urzdzenia w systemie Windows.
Nie skonfigurowano

wczone, w systemie Windows nie
bdzie dozwolona instalacja urzdzeo,
ktrych identyfikatory sprztu lub
zgodne identyfikatory znajduj si na
utworzonej licie.
Zapobiegaj instalacji urzdzeo
wymiennych
Za pomoc tego ustawienia zasad

mona zapobiec instalowaniu w
systemie Windows urzdzeo
wymiennych. Urzdzenie jest uwaane
za wymienne, jeli sterownik
urzdzenia, do ktrego jest ono
podczone, wskazuje, e urzdzenie
jest wymienne. Na przykad
urzdzenie USB jest zgaszane jako
wymienne przez sterowniki
koncentratora USB, do ktrego jest
ono podczone. To ustawienie zasad
ma pierwszeostwo przed kadym
innym ustawieniem zasad, ktre
zezwala na instalacj urzdzenia w
systemie Windows.
Nie skonfigurowano
Zapobiegaj instalacji urzdzeo

nieopisanych w innych
ustawieniach zasad
To ustawienie zasad pozwala zapobiec

instalacji urzdzeo, ktre nie s w
sposb wyrany opisane w adnym
innym ustawieniu zasad.
Nie skonfigurowano
Jeli to ustawienie zostanie wczone,

w systemie Windows nie bdzie
moliwe zainstalowanie ani
zaktualizowanie sterownika adnego
urzdzenia, ktre nie jest opisane w
ustawieniu zasad Zezwalaj na
instalacj urzdzeo o identyfikatorach
odpowiadajcych tym identyfikatorom

urzdzeo lub Zezwalaj na instalacj
urzdzeo tych klas.
Tabela 4.12.1 Ustawienia zasad grupowych do nadzorowania instalacji urzdzeo
4.15.
Zastosowanie ustawieo zasad grupowych do kontroli obsugi urzdzeo
Dodatkowo w celu zapewnienia nadzorowania instalacji urzdzeo, system Windows 8 pozwala na

nadzorowanie poziomu dostpu uytkownikw do poszczeglnych klas urzdzeo, ktre uprzednio
zostay zainstalowane. Szablon RemovableStorage.admx zawiera ustawienia dla urzdzeo magazynu
wymiennego, konfiguracja tych ustawieo dostpna jest w gazi:
Konfiguracja komputera\Szablony administracyjne\System\Dostp do magazynu wymiennego
(Computer Configuration\Administrative Templates\System\Removable Storage Access)
Ustawienie zasad
Czas (w sekundach) do
wymuszenia ponownego
uruchomienia
Opis
To ustawienie zasad pozwala zapobiec
instalacji urzdzeo, ktre nie s w
sposb wyrany opisane w adnym
innym ustawieniu zasad.
systemie Windows 8
Nie skonfigurowano
Jeli to ustawienie zostanie wczone,

w systemie Windows nie bdzie
moliwe zainstalowanie ani
zaktualizowanie sterownika adnego
urzdzenia, ktre nie jest opisane w
ustawieniu zasad Zezwalaj na
instalacj urzdzeo o identyfikatorach
odpowiadajcych tym identyfikatorom
urzdzeo lub Zezwalaj na instalacj
urzdzeo tych klas.
Dysk CD i DVD: odmowa dostpu
do wykonywania

odmow dostpu do wykonywania w
przypadku klasy magazynw
wymiennych CD i DVD.
Nie skonfigurowano
Dysk CD i DVD: odmowa dostpu

do odczytu

odmow dostpu do odczytu w
Nie skonfigurowano
Dysk CD i DVD: odmowa prawa

do zapisu

odmow prawa do zapisu w
Nie skonfigurowano
Klasy niestandardowe: odmowa
dostpu do odczytu

przypadku niestandardowych klas
magazynw wymiennych.
Nie skonfigurowano
Klasy niestandardowe: odmowa

prawa do zapisu

przypadku niestandardowych klas
Nie skonfigurowano
Stacje dyskietek: odmowa

dostpu do wykonywania

wymiennych Stacje dyskietek,
obejmujcej te stacje dyskietek USB.
Nie skonfigurowano

dostpu do odczytu

przypadku klasy magazynu
wymiennego stacje dyskietek,
Nie skonfigurowano

dostpu do zapisu

wymiennego stacje dyskietek,
Nie skonfigurowano
Dyski wymienne: odmowa

dostpu do wykonywania

odmow dostpu do wykonywania do
dyskw wymiennych.
Nie skonfigurowano
Dyski wymienne: odmowa

dostpu do odczytu

odmow dostpu do odczytu dyskw
wymiennych.
Nie skonfigurowano
Dyski wymienne: odmowa prawa

do zapisu
Nie skonfigurowano
odmow dostpu do zapisu do dyskw
wymiennych.
Wszystkie klasy magazynw

wymiennych: odmowa dostpu
Konfiguruje dostp do wszystkich klas

Nie skonfigurowano
To ustawienie zasad ma
pierwszeostwo przed wszystkimi
ustawieniami zasad dla
poszczeglnych magazynw
wymiennych. Aby zarzdzad
poszczeglnymi klasami, naley uyd
ustawieo zasad dla kadej klasy.
Wszystkie magazyny wymienne:
Zezwalaj na dostp bezporedni
w sesjach zdalnych
To ustawienie zasad zapewnia

zwykym uytkownikom bezporedni
dostp do wymiennych urzdzeo
Nie skonfigurowano
pamici masowej w sesjach zdalnych.

Stacje tam: odmowa dostpu do
wykonywania

wymiennych Stacja tam.
Nie skonfigurowano

odczytu

wymiennego stacja tam.
Nie skonfigurowano

odczytu

wymiennego stacja tam.
Nie skonfigurowano
Urzdzenia WPD: odmowa prawa

do zapisu

wymiennych, ktre mog obejmowad
odtwarzacze multimedialne, telefony
komrkowe, wywietlacze
pomocnicze i urzdzenia z systemem
Windows CE.
Nie skonfigurowano
Urzadzenia WPD: odmowa prawa

do zapisu

wymiennych, ktre mog obejmowad
odtwarzacze multimedialne, telefony
komrkowe, wywietlacze
pomocnicze i urzdzenia z systemem
Windows CE.
4.16.
Zastosowanie ustawieo zasad grup do kontroli i blokowania funkcji
autostartu i autoodtwarzania
Szablon Autoplay.admx zawiera nastpujce ustawienia majce wpyw na zachowanie funkcji
autoodtwarzania i autouruchamiania dla wymiennych urzdzeo magazynujcych oraz nonikw
wymiennych w systemie Windows 8. Konfiguracja tych ustawieo dostpna jest w gazi:
Konfiguracja komputera\Szablony administracyjne\Skadniki systemu Windows\Zasady funkcji
Autoodtwarzanie
(Computer Configuration\Administrative Templates\Windows Components\AutoPlay Policies)
Ustawienie zasad
Wycz funkcj Autoodtwarzanie
Opis
systemie Windows 8
Nie skonfigurowano
wyczenie funkcji Autoodtwarzanie.

Wycz zapamitywanie
wyborw uytkownika przez
funkcj Autoodtwarzanie

wyczenie funkcji Autoodtwarzanie.
Nie skonfigurowano
Wycz funkcj Autoodtwarzanie

dla urzdzeo niezawierajcych
woluminw

wyczenie funkcji Autoodtwarzanie
dla urzdzeo MTP, takich jak aparaty
fotograficzne lub telefony.
Nie skonfigurowano
Ustaw domylne zachowanie

autouruchamiania
To ustawienie zasad okrela domylne

zachowanie poleceo
autouruchamiania.
Nie skonfigurowano
Ustawienia powysze dostpne s rwnie w gazi:

Konfiguracja uytkownika\Szablony Administracyjne\Skadniki systemu Windows\Zasady funkcji
Autoodtwarzanie
(User Configuration\Administrative Templates\Windows Components\AutoPlay Policies)
Jeli ustawienia dotyczce nadzorowania instalacji urzdzeo powoduj konflikt, to ustawienie dla
konfiguracji komputera zastpi ustawienie konfiguracji uytkownika.
4.17.
Windows To Go
Obszar roboczy Windows To Go umoliwia utworzenie rozruchowej kopii systemu Windows 8 na

dysku USB i uruchomienie jej z dysku USB na dowolnym komputerze. Windows To Go pozwala
uytkownikom systemu Windows otwierad wszystkie niezbdne aplikacje oraz pliki i korzystad z tych
elementw przy pomocy przenonej wersji Windows umieszczonej na dysku USB razem z
moliwoci pracy zdalnej.
Ocena ryzyka
W pewnych organizacjach, praca zdalna lub z domu jest atrakcyjn i elastyczn metod wsppracy
pracownika z organizacj, ktra zwiksza satysfakcj uytkownika z wykonywanej pracy oraz
redukuje koszty. Jednake w scenariuszu pracy zdalnej z domu, podczas kiedy uytkownik z wasnego
domowego komputera czy si z firmowa sieci za pomoc VPN, to takie rozwizanie niesie ze sob
pewne niebezpieczeostwa i zwiksza ryzyko zaraenie oprogramowaniem zoliwym. Dodatkowo
jakiekolwiek wraliwe dane zapisane na domowym komputerze pozostaj niezabezpieczone.
Korzystajc z systemu Windows 8 administratorzy mog utworzyd rozruchowy obraz systemu
Windows To Go na dysku USB i dostarczyd uytkownikom korzystajcym z pracy zdalnej. Uytkownik
bdzie musia tylko uruchomid system z dostarczonego dysku USB na domowym komputerze. Tak
przygotowany system bdzie zblionym systemem, z ktrego korzysta uytkownik na co dzieo w
swojej organizacji, dodatkowo system ten moe posiadad zainstalowane niezbdne aplikacje oraz
narzdzia do bezpiecznego poczenia zdalnego.

nastpujce korzyci:
W scenariuszu tym Windows To Go posiada
Lokalne dyski twarde na komputerze domowym nie s dostpne w uruchomionym obrazie

systemu Windows To Go.
Przenony system Windows To Go moe zostad zabezpieczony i zaszyfrowany za pomoc
funkcji BitLocker. System ten pozostaje nie dostpny dla uytkownika dopki nie wprowadzi
on niezbdnego hasa lub innych elementw zabezpieczeo.
Najnowsza wersja systemu Windows pozostaje skonfigurowana w sposb zbliony do
domowego komputera i nie wymaga dodatkowego sprztu oraz dodatkowym nakadw
finansowych.
Windows To Go pozwala na peen dostp do lokalnych urzdzeo peryferyjnych, takich jak
drukarka albo elementy dotykowe.
W celu uzyskania informacji na temat Windows To Go, naley zapoznad si informacjami

umieszczonymi Windows To Go: Scenario Overview59.
4.18.

opublikowanych na stronach Microsoft.com:
59
Active Directory Rights Management Services60

BCDEdit Commands for Boot Environment61.
Best Practices for BitLocker in Windows 762.
Best practices for the Encrypting File System63.
BitLocker Drive Encryption Deployment Guide for Windows 764.
BitLocker Drive Encryption Overview65.
Boot Configuration Data in Windows Vista66.
First Look: New Security Features in Windows Vista67 for general information about security
features in Windows Vista SP1.
How Setup Selects Drivers68.
Microsoft Security Compliance Manager69.
Office 2003 Policy Template Files and Deployment Planning Tools70.
http://technet.microsoft.com/library/hh831833.aspx
61
62
http://technet.microsoft.com/en-us/library/dd875532(WS.10).aspx
63
http://support.microsoft.com/default.aspx?scid=kb;en-us;223316
64
65
66
67
https://www.microsoft.com/technet/technetmag/issues/2006/05/FirstLook/default.aspx
68
http://msdn.microsoft.com/en-us/library/ff546228.aspx
69
60
70
Step-By-Step Guide to Controlling Device Installation Using Group Policy71.

The Encrypting File System72.
Trusted Computing Group73.
Windows BitLocker Drive Encryption Design and Deployment Guides74.
Active Directory Rights Management Services75.
Windows Vista Security and Data Protection Improvements76: "Data Protection."
http://office.microsoft.com/en-us/assistance/HA011513711033.aspx
72
http://www.microsoft.com/technet/security/topics/cryptographyetc/efs.mspx
73
http://www.trustedcomputinggroup.org/
74
75
76
71
5. Zapewnienie kompatybilnoci aplikacji w kontekcie bezpieczeostwa

stacji z Windows 8
Od wprowadzenia Windows Vista zaszo wiele zmian w zakresie ochrony wsppracy na linii
aplikacja jdro systemu. Z tego powodu pojawiy si problemy z kompatybilnoci aplikacji.
Mimo wprowadzenia w Windows 8 nowego rodzaju aplikacji skupionych wok AppContainer
model architektury aplikacji Win32 pozostaje taki sam. To z kolei wymusza skupienie si na
weryfikacji planowanego do wykorzystania oprogramowania w organizacji pod ktem moliwoci
pracy w rodowisku Windows 8.
Funkcjonalnoci takie jak Kontrola konta uytkownika UAC (z ang. User Account Control) czy
Ochrona zasobw system Windows WRP (z ang. Windows Resource Protection) mog powodowad,
e aplikacje zaprojektowane dla starszych systemw nie bd prawidowo funkcjonoway w Windows
8.
5.1.
Testowanie zgodnoci aplikacji z systemem Windows 8
Testowanie zgodnoci stanowi podstawow czynnod, ktr naley wykonad przed wdroeniem
oprogramowania w rodowisku Windows 8.
Testowanie zgodnoci aplikacji z Windows 8 powinno obejmowad nastpujce kroki.
1. Instalacj Windows 8 na komputerze testowym i zalogowanie si na konto z uprawnieniami
administracyjnymi.
2. Uruchomienie instalacji oprogramowania.
3. W przypadku bdw instalatora naley go uruchomid w trybie Uruchom jako
administrator. Jeli nie s zgaszane bdy kolejnym krokiem jest czynnod w punkcie 5.
4. W przypadku kolejnych bdw naley we waciwociach instalatora ustawid tryb
kompatybilnoci na Windows XP Professional SP3 i powtrzyd czynnod w punkcie 2. W
przypadku dalszych bdw naley wykonad czynnod w punkcie 7.
5. Zalogowanie si na konto bez uprawnieo administracyjnych.
6. Uruchomienie aplikacji. Jeli wywietlane s bdy naley wczyd tryb kompatybilnoci
Windows XP Professional SP3 i ponownie uruchomid aplikacj.
7. Jeli aplikacja uruchomia si prawidowo naley wykonad szereg testw zwizanych z
czynnociami obsugowymi wykonywanymi w ramach testowanego oprogramowania. Po
przejciu wszystkich testw aplikacja jest gotowa do prawidowego dziaania w systemie
Windows 8.
8. Jeli aplikacja nie zainstalowaa si lub nie uruchomia prawidowo, przestaje odpowiadad,
wywietla bdy oznacza problemy z kompatybilnoci i naley przeprowadzid dodatkow
analiz dziaania oprogramowania.
5.2.
Znane problemy zgodnoci aplikacji w kontekcie rozszerzonych
mechanizmw ochrony
Istnieje kilka znanych powodw, dla ktrych kompatybilnod aplikacji nie jest zachowana. Mog one
wynikad z wbudowanych w Windows 8 mechanizmw ochrony, ktre opisane zostay poniej.
Kontrola konta uytkownika

Funkcja dostpna w Windows Vista, Windows 7 SP1 oraz Windows 8 zapewnia separacj
standardowych uprawnieo uytkownika i zadao od tych, ktre wymagaj dostpu administracyjnego.
Dziki kontroli konta uytkownika podnoszony jest poziom bezpieczeostwa, co pozwala wykonywad
standardowym uytkownikom wicej czynnoci bez koniecznoci korzystania z kont posiadajcych
uprawnienia administracyjne. Jedn z cech mechanizmu jest rwnie moliwod wirtualizacji na
poziomie rejestru i systemu plikw. Dziki temu mona zapewnid kompatybilnod aplikacji, ktre
zaprojektowane zostay do korzystania z chronionych obecnie obszarw w rejestrze i systemie
plikw.
Ochrona zasobw systemu Windows
Dostpny od Windows Vista mechanizm ochrony zasobw systemu Windows zapewnia ochron
kluczy rejestru i folderw na tych samych zasadach, w jaki zabezpieczane s kluczowe pliki
systemowe. Aplikacje, ktre prbuj uzyskad dostp do chronionych przez mechanizm plikw mog
nieprawidowo funkcjonowad w Windows 8, dlatego wymagana jest w takiej sytuacji modyfikacja
sposobu dziaania aplikacji.
Tryb chroniony
Funkcja Internet Explorer 10 uatwia ochron komputerw pracujcych pod kontrol Windows przed
instalacj zoliwego oprogramowania i innych aplikacji powodujcych niestabilnod. Jeli Internet
Explorer pracuje w trybie chronionym przegldarka wsppracuje wycznie z okrelonymi obszarami
systemu plikw i rejestru. Domylnie tryb chroniony jest wczony od Internet Explorer 8, kiedy
odbywa si prba dostpu do witryn zlokalizowanych w strefie Intranet i/lub strefie witryn
zaufanych.
5.3.
8.1
Zmiany i ulepszenia systemu operacyjnego Windows 8 oraz Windows
W Windows 8 oraz Windows 8.1 wprowadzone zostay zmiany, ktre mog powodowad brak
kompatybilnoci aplikacji firm trzecich. Nale do nich:
Nowy interfejs programowania aplikacji API (z ang. Application Programming Interface)

Dostpny od Windows Vista interfejs programowania aplikacji w odmienny sposb zapewnia
komunikacj midzy programami. Przykadami s oprogramowanie antywirusowe oraz
zapora ogniowa, ktre opierajc si na nowym API zapewniaj lepsz ochron, ale
wymuszaj jednoczenie uwzgldnienie ich istnienia dla dziaajcych w Windows 8 aplikacji.
64-bitowa wersja Windows
Aplikacje 16-bitowe oraz sterowniki 32-bitowe nie s wspierane w rodowisku 64-bitowym
Windows 8. Automatyczne przekierowanie rejestru i plikw systemowych jest dostpne
wycznie dla aplikacji 32-bitowych. Z tego powodu aplikacje 64-bitowe musz byd napisane
w penej zgodzie ze standardami aplikacji Windows Vista, Windows 7 SP1 oraz Windows 8.
Wersje systemu operacyjnego
Zdarza si, e starsze aplikacje sprawdzaj wersje Windows. W przypadku wykrycia innej
wersji ni ta, dla ktrej s dedykowane zatrzymywane jest ich dziaanie. Jednym z rozwizao
jest uruchomienie w trybie kompatybilnoci z wczeniejszymi systemami.
5.4.
Omwienie stosowanych narzdzi w celu zapewnienia zgodnoci
aplikacji z systemem Windows 8 oraz Windows 8.1
W ramach Windows 8 oraz Windows 8.1 dostpnych jest wiele narzdzi, ktre przeznaczone s do
zapewnienia kompatybilnoci aplikacji.
Asystent zgodnoci programw
Funkcja Asystent zgodnoci programw stworzona zostaa w celu umoliwienia uruchamiania
aplikacji zaprojektowanych dla wczeniejszych wersji Windows. W sytuacji, kiedy Windows 8 wykryje
aplikacj, ktra wymaga trybu kompatybilnoci dla Windows 2000, Windows XP Professional SP3
bd innych Windows automatycznie ustawia odpowiedni tryb dziaania aplikacji. Asystent zgodnoci
programw uruchamia si automatycznie.
Kreator kompatybilnoci programw
Funkcja ta umoliwia w ramach dostpnego kreatora okrelid problemy kompatybilnoci wybranej
aplikacji i wykryd powody z jednoczesnym zaproponowanej rozwizania. Uruchomienie kreatora
kompatybilnoci programw jest moliwe z poziomu Panelu sterowania, w sekcji Programy po
klikniciu opcji Uruchom programy napisane dla starszych wersji systemu Windows.
Application Compatibility Toolkit (ACT)
Pakiet ACT jest zbiorem narzdzi oraz dokumentacji umoliwiajcy okrelanie i zarzdzanie
aplikacjami w organizacji pod ktem zapewnienia ich kompatybilnoci w rodowisku Windows 8. ACT
umoliwia inwentaryzacj oprogramowania, zarzdzanie aplikacjami krytycznymi oraz wskazywania
rozwizao, ktre zapewni prawidowe wdroenie Windows 8. Pakiet jest dostpny bezpatnie ze
stron Microsoft.
Wirtualizacja Windows
Szereg rozwizao wirtualizacji dostpny w i dla rodziny Windows umoliwia uruchamianie aplikacji
wewntrz maszyny wirtualnej. Dziki przeniesieniu jej dziaania na platform wirtualn zapewniana
jest pena kompatybilnod dziaania.
6. Klient Hyper-V
Windows 8 zawiera Hyper-V, ktry jest technologi wirtualizacji klasy Enterprise stanowic
integraln czd rodowiska Windows Server 2012. Wirtualizacja stanowi rozwizanie umoliwiajce
uruchomienie dodatkowego systemu operacyjnego pracujcego w izolacji, ale z zapewnieniem
dostpu do elementw sprztowych takich jak karty sieciowej czy dyski. Hyper-V sprawdza si w
wielu scenariuszach umoliwiajc testowanie aplikacji, rozwizao IT oraz zapewniajc
kompatybilnod.
6.1 Konfiguracja funkcji zabezpieczeo

Po zainstalowaniu roli Hyper-V wszystkie instancje systemu operacyjnego na komputerze
fizycznym uruchamiane s jako maszyny wirtualne. Dotyczy to rwnie instancji Windows 8, ktra
zostaa uyta do utworzenia i zarzdzania maszynami wirtualnym. Ta instancja nazywa si systemem
operacyjnym zarzdzania.
Hypervisor bdcy gwnym elementem funkcji Hyper-V stanowi cienk warstw programow
midzy sprztem a systemem operacyjnym. Hypervisor umoliwia prac wielu systemom
operacyjnym na fizycznym komputerze w tym samym czasie.
Istniej dwa obszary obejmujce tematyk ochrony rodowisk wirtualnych:
zabezpieczenia systemw operacyjnych zarzdzania,

zabezpieczenia maszyn wirtualnych.
6.1.1 Zabezpieczanie systemw operacyjnych zarzdzania

Dostarczajc komputer kadorazowo wykonujemy czynnoci, ktre maj zwikszyd jego oglne
bezpieczeostwo. Przykadowo - instalacja oddzielnych kart sieciowych w celu separacji czynnoci
zarzdzania systemem operacyjnym i maszynami wirtualnymi od zapewnienia dostpu maszynom
wirtualnym do logicznych magazynw danych.
Funkcja Hyper-V zawiera narzdzia zarzdzania Hyper-V, na ktre skadaj si:
konsola Menedera funkcji Hyper-V,

modu Hyper-V dla Windows PowerShell.
Dziki moduowi Hyper-V dla Windows PowerShell uprawnieni administratorzy maj moliwod
zdalnego zarzdzania serwerami z funkcj Hyper-V.
Sieci Hyper-V
Klient Hyper-V umoliwia konfiguracj rnego rodzaju przecznikw wirtualnych, dziki
czemu mona osignd podane rozwizanie zapewniajce komunikacj midzy maszynami
wirtualnymi.
W ramach klienta Hyper-V mona uyd nastpujcych typw przecznikw wirtualnych:
Zewntrzny
Przeczniki tego typu umoliwiaj komunikacj poprzez fizyczn kart sieciow, dziki czemu
kada maszyna wirtualna ma zapewniony dostp do sieci fizycznej.
Wewntrzny
Wewntrzny przecznik wirtualny moe byd uywany tylko przez maszyny wirtualne
uruchomione na tym komputerze fizycznym oraz do komunikacji midzy maszynami
wirtualnymi a komputerem fizycznym. Wewntrzny przecznik wirtualny nie zapewnia
cznoci z sieci fizyczn.
Prywatny
Ten typ przecznika moe byd uywany tylko przez maszyny wirtualne uruchomione na tym
komputerze fizycznym.
Ochrona dedykowanych magazynw danych

Pliki, ktre zawieraj informacje konfiguracyjne na temat kadej maszyny wirtualnej s
przechowywane domylnie w lokalizacji:
%ProgramData%\Microsoft\Windows\Hyper-V
Pliki konfiguracyjne maszyn wirtualnych s relatywnie mae i dlatego domylna lokalizacja jest
akceptowalna dla wikszoci scenariuszy. Pliki VHD mog byd rodzaju dynamicznego lub o staym
rozmiarze.
Rozmiar plikw dynamicznych *.vhdx zwiksza si wraz ze zmian danych. Pliki o staym
rozmiarze maj od samego pocztku dostp do cakowitego, zadeklarowanego przy ich tworzeniu
rozmiaru. Przykadowo dysk o rozmiarze 80GB w przypadku dyskw dynamicznych bdzie zajmowa
tylko tyle miejsca, ile potrzebuj dane. Natomiast dysk o staym rozmiarze od samego pocztku
bdzie mia taki rozmiar na dysku fizycznym.
Rekomendowane jest wykorzystywanie dyskw o staym rozmiarze dla zapewnienia wysokiej
wydajnoci oraz zapobieganiu niespodziewanemu wyczerpaniu miejsca.
Domylnie pliki .vhdx s przechowywane w lokalizacji %users%\Public\Documents\Hyper-V\Virtual
Hard Disks. Powysza cieka moe byd zmieniona w ramach ustawieo z poziomu Menedera funkcji
Hyper-V. Wybierajc inn lokalizacj naley upewnid si, e do folderu zostay nadane uprawnienia
zgodnie z ponisz tabel.
Obiekt
Uprawnienia
Dotyczy
Administratorzy
System
Pena kontrola
Ten folder, podfoldery i pliki
TwrcaWaciciel
Pena kontrola
Tylko podfoldery i pliki
Maszyny
wirtualne
Tworzenie plikw/Zapis
danych
Tworzenie
folderw/Doczanie danych
Wywietlanie zawartoci
folderu//Odczyt danych
Odczyt atrybutw
Odczyt atrybutw
rozszerzonych
Odczyt uprawnie
Ten folder, podfoldery i pliki
W celu uproszczenia zarzdzania mona przechowywad wszystkie pliki konfiguracyjne, pliki

dyskw wirtualnych, pliki VFD oraz pliki ISO w oddzielnych folderach na tym samym woluminie.
Przykadowa struktura reprezentujca takie rozwizanie moe przedstawiad si nastpujco:
V:\Virtualization Resources\Virtual Machines

V:\Virtualization Resources\Virtual Hard Disks
V:\Virtualization Resources\Virtual Floppy Disks
V:\Virtualization Resources\ISO files
Instalujc oprogramowanie antywirusowe w systemie operacyjnym z rol Hyper-V naley

skonfigurowad wykluczenie skanowania w czasie rzeczywistym dla folderw przechowujcych pliki
maszyn wirtualnych oraz programw vmms.exe i vmwp.exe znajdujcych si w lokalizacji
C:\Windows\System32. Nie wykonanie powyszej czynnoci moe powodowad bdy przy tworzeniu
i uruchamianiu maszyn wirtualnych.
6.1.2 Zabezpieczenia maszyn wirtualnych
Utrzymywanie wielu maszyn wirtualnych powoduje pewne konsekwencje w zakresie
bezpieczeostwa narzucajc koniecznod dodatkowej konfiguracji ustawieo. Czd z nich mona
zrealizowad na poziomie maszyny wirtualnej, inne z poziomu Menedera Hyper-V.
Konfiguracja maszyn wirtualnych
Poniej przedstawiono zalecenia i rekomendacje w kontekcie konfiguracji maszyn wirtualnych
na komputerach Windows 8 z uruchomionym Hyper-V.
Okrelenie miejsca przechowywania plikw maszyn wirtualnych oraz plikw VHD.

Miejsce, w ktrym bd przechowywane pliki maszyn wirtualnych oraz pliki VHD powinno
byd wybrane z najwiksz starannoci o ich bezpieczeostwo. Naley pamitad, e dostp do
tych danych jest praktycznie rwnowany dostpowi do konfiguracji i zawartoci maszyn
wirtualnych.
Okrelenie iloci pamici operacyjnej oraz procentowy limit uycia procesora, ktre zostan
przyznane maszynom wirtualnym.
Wprowadzenie limitw w zakresie iloci pamici operacyjnej oraz moliwego uycia
procesora(-w) przez maszyny wirtualne zapewnia zachowanie wysokiej dostpnoci i
wydajnoci rodowiska.
Konfiguracja dostpu wycznie do potrzebnych urzdzeo masowych.
Naley zapewnid dostp maszynom wirtualnym tylko do wymaganych urzdzeo masowych,
aby nie stanowiy one rda dostpu do danych, ktre mog byd uyte np. do instalacji
niepodanego oprogramowania.
Wczenie wsparcia w zakresie synchronizacji czasu.
Synchronizacja czasu stanowi jeden w podstawowych elementw poprawnej i bezpiecznej
konfiguracji rodowiska, wymaganym na przykad przy wdraaniu polityk kontroli. Z tego
powodu naley zapewnid instalacj usug integracji w obrbie maszyn wirtualnych.
Konfiguracja maszyn wirtualnych na zblionym poziomie zabezpieczeo w obrbie tego
samego komputera fizycznego.
Maszyny wirtualne s tak samo naraone na niebezpieczeostwo jak komputery fizyczne. Z

tego powodu naley zadbad o zbliony poziom zabezpieczeo maszyn wirtualnych w obrbie
komputera, na ktrym s one uruchomione.
Usunicie zbdnych plikw VHD zawierajcych poufne dane.
Dla maszyn wirtualnych, ktre przechowuj wane i poufne dane naley ustalid proces
kasowania plikw VHD kiedy ju nie bd one potrzebne. W tym celu mona uyd narzdzie
SDelete v.1.61 (http://technet.microsoft.com/en-us/sysinternals/bb897443.aspx).
Bezpieczne przechowywanie plikw migawek.
Migawka (ang. snapshot) jest obrazem maszyny wirtualnej wykonanym w okrelonej chwili
czasu pozwalajcym na powrcenie do jej stanu w przyszoci.
7. ad korporacyjny, zarzdzanie ryzykiem oraz zgodnod ze standardami

w IT (IT GRC)
System adu korporacyjnego, zarzdzania ryzykiem i zgodnoci ze standardami - GRC (ang.
Governance, Risk, and Compliance), to system, na ktry skadaj si ludzie, procesy i technologie w
ramach caej infrastruktury, przynoszcy danej organizacji nastpujce korzyci:
Ograniczenie ryzyka
Ujednolicenie procesw biznesowych
Poprawa efektywnoci
Uwolnienie zasobw
Usprawnienie zarzdzania zmianami
W poniszym rozdziale zostay przedstawione zastosowania produktw Microsoft w kontekcie
bazowych ustawieo systemu korzystajc z IT Governance, Risk, and Compliance (IT GRC) Process
Management Pack (PMP) dla systemu Microsoft System Center Service Manager 2012, w taki sposb,
aby utrzymanie adu korporacyjnego, zarzdzania ryzykiem i zgodnoci ze standardami w IT
przynioso korzyci organizacji wspierajcych system IT GRC. Process management pack jest pakietem
administracyjnym dla produktu System Center Service Manager, ktry wspomaga proces zarzdzania
IT bazujc na regulacjach, midzynarodowych standardach oraz najlepszych praktykach, takich jak
Microsoft Operations Framework (MOF) oraz Information Technology Infrastructure Library (ITIL). IT
GRC Process Management Pack wraz z ustawieniami bazowymi systemu pomaga zapewnid
automatyczny proces zgodnoci dla komputerw klienckich oraz serwerw. W celu uzyskania
dodatkowych informacji na temat rozwizao Microsoft wspierajcych system GRC, naley zapoznad
si z przewodnikami Compliance Solution Accelerators 77 opisanymi na stronach przewodnikw
Microsoft Solution Accelerators.
Poniszy rysunek przedstawia umiejscowienie IT GRC w strukturze zarzdzania ryzykiem i zgodnoci
caej organizacji. IT GRC Process Management Pack skupia si wycznie na systemie IT GRC bez
uwzgldniania innych aspektw zarzdzania ryzykiem i zgodnoci caej organizacji.
77
Zarzdzanie ryzykiem i
zgodnoci w caej
organizacji
Enterprise GRC
zgodnoci w finasach
zgodnoci w IT
Finance GRC
IT GRC
zgodnoci w dziaaniach
biznesowych organizacji
Business Operations GRC
IT GRC
Operacje IT
Zarzdzanie
Informacj
Rozwj i
Kontrola Jakoci
Portfel inwestycyjny
i Architektura
Organizacji
\
Procesy IT
Zarzdzanie IT i Bezpieczeostwo
Rys. 7.1 Umiejscowienie IT GRC w strukturze zarzdzania ryzykiem i zgodnoci caej organizacji
7.1.
Wprowadzenie
W rozdziale tym zostay opisane procesy oraz wskazane dodatkowe zasoby opisujce wykorzystanie
IT GRC Process Management Pack dla produktu System Center Service Manager. W celu uzyskania
dodatkowych informacji naley zapoznad si z przewodnikami:
IT GRC Process Management Pack Deployment Guide. Przewodnik ten opisuje proces
wdroenia IT GRC Process Management Pack.
IT GRC Process Management Pack Operations Guide. Przewodnik ten zawiera informacje na
temat wykorzystania IT GRC Process Management Pack oraz budowania wasnych pakietw.
IT GRC Process Management Pack Developers Guide. Przewodnik ten opisuje proces
dostosowania i konfiguracji do wasnych potrzeb IT GRC Process Management Pack.
Wymienione przewodniki dostpne s do pobrania ze strony IT GRC Process Management Pack SP1
for System Center Service Manager78 w dziale Centrum Pobierania Microsoft. W celu uzyskania
dodatkowych informacji naley zapoznad si z dodatkowymi zasobami:
IT Compliance Management Library Deployment Guide, ktry zawarty jest w kadej

bibliotece obejmujcej zarzdzanie zgodnoci ze standardami IT. Przewodnik ten zawiera
informacje na temat wdroenia IT GRC Process Management Pack oraz pakietw
konfiguracyjnych Microsoft System Center Configuration Manager.
Microsoft System Center Service Manager79.
Microsoft System Center Configuration Manager80.
7.2.
Omwienie i budowa IT GRC PMP
IT GRC Process Management Pack dostarcza informacji na temat moliwoci i sposobu zarzdzania
procesem IT GRC w obrbie caej organizacji oraz okrela moliwoci automatyzacji tego procesu. IT
GRC Process Management Pack dostarcza moliwoci wykorzystania poprzez importowanie
gotowych bibliotek zgodnoci ze standardami, ktre mog byd zastosowane w celu okrelenie
punktw kontrolnych niezbdnych dla wymagao stawianych systemowi IT GRC w organizacjach.
Biblioteki zgodnoci przeznaczone dla IT GRC Process Management Pack okrelaj punkty kontrolne
wykorzystywane do zapewnienia zgodnoci z dokumentami organw nadrzdnych IT GRC, powoujc
si na wytyczne okrelone przez midzynarodowe, rzdowe oraz branowe instytucje opracowujce
oglne wytyczne IT GRC. Dokumenty te zawieraj wytyczne oraz okrelaj wymagania szczegowe
stawiane procesom biznesowym oraz technologiom rnych sektorw organizacji i instytucji.
Dodatkowe pakiety administracyjne i informacje dla produktw System Center dostpne s
Microsoft System Center Marketplace 81 oferuj zintegrowane rozwizania i automatyzacj,
pomagajc organizacjom w sprawnym spenieniu wymagao GRC.
Korzyci wynikajce ze stosowania integracji produktw System Center Service Manager, System
Center Configuration Manager oraz System Center Operations Manager:
Efektywny sposb na monitorowanie, sprawdzenie oraz raportowanie stanu zgodnoci

wdroonych produktw Microsoft.
Stosowanie jednoczesne wymienionych rozwizao wspomaga zrozumienie i poczenie
zoonych celw biznesowych, ktrym musi sprostad infrastruktura organizacji.
Przedstawiony rysunek poniej ilustruje rozwizanie IT GRC Process Management Pack.

78
80
81
79
Rys.7.2.1 - Ilustracja rozwizania IT GRC Process Management Pack
Kadra kierownicza oraz audytorzy wykorzystuj raporty IT GRC Process Management Pack w celu
przeanalizowania pod ktem zgodnoci i poddania ocenie procesw IT GRC organizacji. Ta grupa
uytkownikw przewanie wymaga dostpu tylko do odczytu oraz moliwoci wykonania raportw
dotyczcych informacji zarzdzanych przez proces GRC Process Management Pack.
W przedstawionym rozwizaniu, IT Compliance Manager oraz specjalici IT steruj scentralizowanym
procesem zapewnienia zgodnoci IT GRC korzystajc z narzdzia Service Manager Console. Narzdzie
to zapewnia osobie penicej rol IT Compliance Manager moliwod zarzdzania wieloma
programami IT GRC oraz postawionymi celami kontrolnymi, ktre odnosz si do wytycznych oraz
wymagao szczegowych przedstawionych w dokumentach wydanych przez organy nadrzdne.
Specjalici IT korzystajc z centralnego narzdzia mog dokonad oszacowania wynikw zgodnoci IT
GRC dla wszystkich celw kontrolnych okrelonych w systemie IT GRC. Wyniki z przeprowadzonych
testw zgodnoci mog byd osignite w nastpujcy sposb:
Automatycznie. Funkcjonalnod zarzdzania docelow konfiguracj (ang. Desired

Configuration Management (DCM)) zawarta w System Center Configuration Manager oraz IT
CML Configuration Packs, wspomaga osignd rezultaty zgodnoci dla zautomatyzowanych
celw kontrolnych. Automatyczne cele kontrolne w znacznym stopniu redukuj nakad pracy
wymagany do osignicia zgodnoci IT GRC.
Rcznie specjalici IT mog w sposb rczny ocenid wyniki zgodnoci:
Technologia zawiera ustawienia zgodnoci IT GRC, ktre nie mog byd oszacowanie
metodami automatycznymi
Procesy zawiera procesy zgodnoci stosowane w organizacji i powizane z IT GRC,
takie jak waciwe i bezpieczne usuwanie danych z systemw wycofywanych z
organizacji a zawierajcych informacje wraliwe.
Ludzie zawiera aspekty ergonomii pracy w zakresie zgodnoci z IT GRC, takie jak
dokadne sprawdzenie pracownika przed udzieleniem dostpu do informacji
wraliwych
Zastosowanie integracji opartej na produktach System Center Service Manager oraz System Center
Configuration Manager zapewnia nastpujce funkcjonalnoci i korzyci:
System Center Configuration Manager analizuje docelow oczekiwan konfiguracj z

aktualn konfiguracj zarzdzanych zasobw wykorzystujc pakiety DCM, ktre zostay
umieszczone poziomie konfiguracji elementu, aby zapewnid obsug celw kontrolnych.
Element konfiguracji znajdujcy si w Service Manager CMDB (baza danych zarzdzania
konfiguracj) moe byd automatycznie wypeniony informacjami dostarczonymi przez System
Center Configuration Manager.
Przeprowadzone testy zgodnoci dla zautomatyzowanych celw kontrolnych mog byd
aktualizowane w Service Manager CMDB
Produkt System Center Service Manager umoliwia tworzenie i wykorzystanie wasnych cznikw
(ang. connector), za pomoc, ktrych mona zdefiniowad poczenia z innymi systemami,
umoliwiajc zebranie informacji na temat zgodnoci z innych systemw stosowanych w organizacji.
Funkcjonalnod ta rozszerza proces automatyzacji testw i zbierania wynikw z wczeniej
zdefiniowanych celw kontrolnych.
7.3.
Korzyci wynikajce ze stosowania IT GRC PMP
Rozwizanie zarzdzania procesem zgodnoci oraz zarzdzania ryzykiem oferowane przez IT GRC
Process Management Pack, IT Compliance Management Libraries, System Center Service Manager,
oraz System Center Configuration Manager oferuje nastpujce moliwoci i korzyci:
Mapowanie celw biznesowych bezporednio na cele i dziaania IT GRC. Mechanizm ten w

atwy sposb odwzorowuje cele biznesowe okrelone przez kadr zarzdzajc na cele i
dziaania dla programu zgodnoci dziau IT. Rozwizanie to:
Zawiera bibliotek tysicy dokumentw zgodnoci cytowanych dokumentw
urzdowych pochodzcych z setek dokumentw urzdowych, ktre zostay
dostosowane w ujednolicony zestaw celw kontrolnych.
Tworzy bibliotek zgodnoci zawierajce cele kontrolne, dziaania i ustawienia dla
kluczowych produktw Microsoft oraz nowych systemw Windows 8 oraz Windows
Server 2012 w postaci zbioru zaktualizowanych ustawieo bazowych dla konfiguracji.
Zauwaalne zwikszenie zgodnoci ze standardami uytkownicy w atwy sposb mog
zidentyfikowad niezgodnoci korzystajc z raportw IT GRC Process Management Pack.
Utworzenie pojedynczego punktu sterowania zarzdzaniem programw IT GRC organizacje mog zarzdzad wieloma programami zgodnoci IT GRC speniajc jednoczenie
wymagania wielu zoonych dokumentw urzdowych. IT GRC Process Management Pack
wprowadza kontrol obejmujc wszystkie rda dokumentw urzdowych, redukujc
problemy maej wydajnoci w przypadku regulacji wzajemnie si pokrywajcych.
Wykorzystanie najlepszych branowych praktyk do zarzdzania procesami Procesy
zaimplementowane w IT GRC PMP zostay utworzone w oparciu o najlepsze praktyki
wykorzystywane do zarzdzania incydentami i zarzdzania zmianami bazujc na MOG oraz
ITIL.
Redukcja nakadu pracy Proces automatyzacji testw uwzgldniajcy integracj
funkcjonalnoci DCM w System Center Configuration Manager redukuje rczny nakad pracy,
ktry jest wymagany do przeprowadzanie testw sprawdzajcych zgodnod ze standardami.
Obnienie kosztw kontroli i raportowania Redukcja nakadu pracy powiconego na
przygotowanie i wykonywania czynnoci kontrolujcych stan zgodnoci ze standardami
wpywa na obnienie kosztw zwizanych z przygotowaniem audytw.
Minimalizacja ryzyka Uytkownicy mog w atwy sposb zidentyfikowad niezgodnoci, a co
za tym idzie mog kontrolowad na bieco wystpujce ryzyko, co w konsekwencji prowadzi
do zmniejszenia ryzyka zwizanego z zapewnieniem zgodnoci.
Uatwienie zmian zachodzcych w biznesie Biznes wymaga cigych zmian, w zwizku z
tym opisywane rozwizanie zarzdzania zgodnoci wykrywa zachodzce zmiany z
zarzdzanej infrastrukturze i stosuje odpowiednie mechanizmy kontroli zgodnoci.
Przygotowanie do audytw zewntrznych - Przygotowane predefiniowane raporty IT
Compliance Management Pack odzwierciedlaj wikszod informacji na temat zgodnoci ze
standardami wymaganych przez audytorw. Wykorzystujc te raporty organizacje mog w
szybki i atwy sposb przedstawid stan zgodnoci ze standardami na prob audytorw,
konsultantw lub Zarzdu organizacji.
Podejmowanie czynnoci korygujcych w celu wyeliminowania niezgodnoci - Osoby

penice funkcje IT GRC Manager mog zidentyfikowad niezgodne ze standardami ustawienia
konfiguracji i korzystajc z procesu zarzdzania i ledzenie incydentw, w atwy sposb mog
zlecid specjalistom IT zadanie przywrcenia ustawieo konfiguracji do stanu zapewniajcego
zgodnod ze standardami.
7.4.
Terminy i definicje
W poniszej tabeli przedstawiono podstawowe terminy i pojcia zwizane z wykorzystaniem IT GRC

Process Management Pack.
Termin lub pojcie
Opis
Regulacje dotyczce adu

korporacyjnego, zarzdzania
ryzykiem oraz zgodnoci ze
standardami (GRC)
(ang. GRC authority
document)
Dokumenty obejmujce regulacje w zakresie GRC zawieraj

wymagania opublikowane przez organy urzdowe w postaci
rozporzdzeo lub wytycznych, opisanych standardw lub polityki
organizacji. Regulacje GRC mog obejmowad wymagania dotyczce
procesw minimalizacji ryzyka, ktre okrelaj specyficzne bd
oglne opisy konfiguracji, uytkowania lub inne parametry obsugi,
ktre dotycz organizacji, personelu, procesw biznesowych oraz
technologii. Rnorodne regulacje zwracaj uwag na te same
aspekty ryzyka zgodnoci, pomimo to, dokumenty te pozwalaj na
spojrzenie z rnych perspektyw czsto odmiennych strategii
minimalizacji ryzyka oraz stawianych wymagao. Wymagania
wskazane przez regulacje GRC przeksztacone na cele kontrolne i
odnosz si do czynnoci kontrolnych zaprojektowanych w celu
zapewnienia, i towarzyszce ryzyka s minimalizowane w
odpowiedni i uzasadniony sposb.
IT GRC Process Management Pack zawiera cele kontrolne,
przytoczone z odpowiednich regulacji i speniajcych stawiane im
wymagania. Regulacje obejmuj swoim zakresem ustawy dotyczce
finansw, polityki prywatnoci oraz ochrony zdrowia, takie jak
SarbanesOxley (SOX), European Union Data Protection Directive
(EUDPD), oraz Health Insurance Portability and Accountability Act
(HIPAA).
Pena lista regulacji zawarta w produkcie IT GRC Process
Management Pack, znajduje si w sekcji Library, konsoli Service
Manager - Library | Authority Documents .
Definiuje zbir ryzyk, celw kontrolnych, dziaao oraz wynikw
zgodnoci. Programy definiuj rwnie role uytkownika i
towarzyszcych mu praw w obrbie okrelonego zakresu, poprzez
zdefiniowanie
uytkownikowi
odpowiednich
uprawieo.
Zdefiniowane zakresy zezwalaj osobie penicego role menadera
programu na zarzdzanie ryzykiem i kontrol w obrbie tego
programu.
Programy zostay utworzone w celu okrelenia zgodnoci z jednym
lub wieloma dokumentami regulacji oraz ryzyk towarzyszcych
programowi zarzdzania IT GRC.
Sprecyzowane okrelenie wymagao i wytycznych zawartych w
regulacjach GRC. Cele kontrolne mog byd wymagane przez jeden
lub wiele zbiorw regulacji w celu spenienia jednego lub wielu
czynnoci kontrolnych.
Program
Cele Kontrolne (ang. Control

objectives)
Powoywanie si na
dokumenty organw w
zakresie regulacji
(ang. Authority dokument
citation)
Czynnoci kontrolne
(ang. Control Activities)
Odniesienie w obrbie celw kontrolnych do jednego lub wielu

szczegowych wymagao w obrbie obowizujcych przepisw i
regulacji.
Szczegowe, podlegajce zaskareniu stopnie konfigurowania i

obsugi produktu poprzez okrelenie zgodnoci z wymaganiami
celw kontrolnych. Dziaania kontrolne mog obejmowad jeden lub
wiele celw kontrolnych.
Ryzyko
Moliwod wystpienia szansy lub zagroenia, majcego wpyw na
(ang. Risk)
osignicie wyznaczonych celw biznesowych lub celw IT danej
organizacji. Ryzyko jest mierzone z wykorzystaniem okreleo wpyw
lub prawdopodobieostwo. Pojcie ryzyka zwizane jest celami
kontrolnymi, czynnociami kontrolnymi lub innymi ryzykami.
Prg
Minimalny udzia procentowy obowizujcy dla zarzdzanych
(ang. Threshold)
jednostek w zakresie programu, ktry musi byd zgodny dla czynnoci
kontrolnych, aby zosta uznany za zgodny.
Zatwierdzanie przepywu
Proces, w ktrym wszystkie zmiany zachodzce dla jednostek
pracy
zarzdzanych przez IT GRC PMP s zatwierdzone. Zazwyczaj zmiany
(ang. Approval workflow)
wykonuje ten sam proces zatwierdzania jak w przypadku dania
zmiany przez System Center Service Manager.
Automatyzacja
Zastosowanie komponentw IT w celu wykonania zadao lub krokw
(ang. Automation)
wymaganych do rozwizania jednego lub wielu celw kontrolnych,
ktre zawieraj automatycznie zgormadzone wyniki zgodnoci IT
GRC.
Rezultaty testw kontroli
Rezultaty testw zgodnoci, ktre zostay wykonane na zarzdzanej
(ang. Managed entity result) jednostce, takiej jak pojedynczy komputer.
Tabela 7.4.1 Terminy i definicje zwizane z IT GRC
7.5.
Cykl ycia procesu zgodnoci w oparciu o IT GRC PMP
Narzdzia IT GRC Process Management Pack, System Center Service Manager, oraz System Center
Configuration Manager dostarczaj zamknity i peny cykl ycia zarzdzania dla procesu zgodnoci IT.
Cykl ycia zgodnoci integruje procesy oraz wiedz poprzez mechanizm mapowania szczegowych
wymagao w obrbie obowizujcych przepisw i regulacji na konfiguracj i dziaania dla okrelonych
produktw a nastpnie ledzenie zachodzcych tam zmian poprzez raporty kontrolne.
Poniszy rysunek ilustruje gwne zadania i obowizki osb zaangaowanych w cykl ycia zgodnoci IT
w obrbie kadego kroku procesu.
Rozpoznanie wytycznych
IT GRC uwzgldniajc
obowizujce prawo,
regulacje, standardy,
kontrakty oraz polityki
1
2
Przegld raportw
okrelajcych stan
zgodnoci IT GRC
Kadra
Zarzdzajca
Wykonanie kontroli (audytu)

dziaao podjtych przez
organizacj w celu
zapewnienia zgodnoci IT GRC
Okrelenie moliwoci
zastosowania wytycznych
IT GRC
Planowanie i wdroenie celw

kontrolnych i dziaao programu
IT GRC wymaganych przez
regulacje i przepisy
Konfiguracja i wprowadzenie
dziaao opartych na
technologiach i procesach
organizacji w celu zapewnienia
zgodnoci z regulacjami i
przepisami.
Audytorzy
IT Compliance
Manager
Wykonanie raportw ktre

okrelaj stan zgodnoci
IT GRC w organizacji
Pomiary stanu zgodnoci

IT GRC w organizacji
Specjalici IT
Zarzdzanie
Zgodnoci
Ze Standardami
Zarzdzane Komputery
Rys. 7.5.1 - Gwne zadania i obowizki osb zaangaowanych w cykl ycia procesu zgodnoci IT
Naley zwrcid uwag, e przepyw cyklu ycia zgodnoci IT zaprezentowany na rysunku 2.5.1 Jest
cile okrelony na wysokim szczeblu kadry zarzdzajcej oraz wskazuje precyzyjny przepyw
procesw pomidzy rolami, ale celowo zosta uproszczony. Kady osoba wykonujca swoj prac,
musi komunikowad si z innymi na temat nastpujcych cech wymagao stawianych przez IT GRC:
Zastosowanie cecha ta zawiera proces rozpoznania wymagao w obrbie obowizujcych przepisw
i regulacji, ktre s znaczce i peni istotn rol dla organizacji. Na przykad Payment Card Industry
Data Security Standard (PCI DSS) bdzie dotyczyo organizacji prowadzcych dziaalnod biznesow z
uytkownikami kart kredytowych przetwarzajcych ich dane zawarte na kartach kredytowych w
ramach utrzymywanej infrastruktury IT.
Wystarczalnod cecha ta zawiera proces rozpoznania wymagao w obrbie obowizujcych regulacji
i rozpoznanie czy przedstawione regulacje s wystarczajce i pozwol na zapewnienie zgodnoci. Na
przykad: ustawienie minimalnej dugoci hasa na wartod 8 znakw dla wszystkich uytkownikw
jest elementem wystarczajcym dla wszystkich obowizujcych i stosowanych regulacji.
Zasadnod cecha ta zawiera proces rozpoznania wymagao w obrbie obowizujcych regulacji i
rozpoznanie czy przedstawione regulacje s rozsdne, racjonalne i praktyczne do wdroenia. Na
przykad, decyzja o wymaganiu minimalnej dugoci hasa o wartoci 16 znakw, moe byd
technicznie wykonalna, ale nie praktyczna do wdroenia z uwagi na fakt, i uytkownicy mog nie
zapamitad swoich hase.
Dodatkowe informacje na temat stosowanie IT GRC w kontekcie cyklu ycia usug IT oraz innych rl
uytkownikw dziau IT, naley zapoznad si z dokumentem Governance, Risk, and Compliance
Service Management Function82 w kontekcie MOF 4.0.
7.6.

opublikowanych na stronach Microsoft.com
82
Compliance Solution Accelerators83

Governance, Risk, and Compliance Service Management Function84 w oparciu o MOF 4.0.
IT GRC Process Management Pack SP1 for System Center Service Manager85.
Microsoft System Center Marketplace.86
System Center Configuration Manager.87
System Center Service Manager.88
System Center Service Manager team blog.89
84
85
86
87
88
89
http://blogs.technet.com/servicemanager/
83
8. Narzdzie Security Compliance Manager (SCM) w praktyce

Microsoft Security Compliance Manager (SCM)90 jest bezpatnym narzdziem udostpnionym przez
zesp Microsoft Solution Accelerators, pozwalajcym na szybk konfiguracj i zarzdzanie
ustawieniami komputerw przez zasady grupowe GPO oraz produkt System Center Configuration
Manager. SCM udostpnia gotowe zasady grupowe do wdroenia w organizacji oraz paczki
konfiguracyjne DCM, w peni przetestowane i wspierane. Elementy te oparte s na rekomendacjach
zawartych w dokumencie zawartych w niniejszym przewodniku i najlepszych praktykach w
rodowiskach produkcyjnych, pozwalaj take na ich konfiguracj.
Korzyci wynikajce z zastosowania narzdzia SCM
Integracja z systemem System Center 2012 Process Pack for IT GRC: Konfiguracje ustawieo dla
produktw s zintegrowane w paczkach Process Pack for IT GRC zapewniajc monitorowanie i
raportowanie czynnoci zapewniajcych zgodnod z zaleceniami.
Gwne rdo wsparcia: Funkcja importowania ustawieo zapewnia maksymalne korzyci
wykorzystania zasad grupy w celu utworzenia wzorcowego komputera zapewniajcego maksymaln
ochron.
Konfiguracja komputerw autonomicznych (ang. standalone): Proces wdroenia dostosowanych
konfiguracji ustawieo dla komputerw nieprzyczonych do domeny korzystajc z nowej
funkcjonalnoci GPO Pack.
Aktualne wytyczne z zakresu bezpieczeostwa: Osignicie korzyci poprzez zastosowanie dogbnej
znajomoci aspektw bezpieczeostwa oraz najlepszych praktyk umieszczonych w najnowszych
wytycznych przewodnika bezpieczeostwa. Zastosowujc asystowan pomoc w zmniejszaniu obszaru
atakw dla systemw Windows w celu minimalizacji ryzyka zwizanego z bezpieczeostwem
teleinformatycznym.
Zcentralizowane zarzdzanie ustawieniami bazowych konfiguracji dla penej gamy produktw
Microsoft Zcentralizowana konsola programu SCM dostarcza ujednolicone i kompleksowe
rodowisko pozwalajce na planowanie, dostosowywanie oraz eksport ustawieo bazowych
konfiguracji. Narzdzie to zapewnia peny dostp do rekomendowanych ustawieo bazowych
konfiguracji dla systemw klienckich oraz serwerw Windows oraz aplikacji. SCM dodatkowo
pozwala na szybkie uaktualnienie najnowszych wytycznych i rekomendacji w zakresie bazowych
ustawieo konfiguracji stosujc kontrole wydawanych wersji ustawieo bazowych (baselines).
Dostosowanie bazowych ustawieo konfiguracji do wasnych potrzeb i wytycznych: Proces
dostosowywania, porwnywania, czenia i peny wgld w bazowe ustawienie konfiguracji zosta
uproszczony i ulepszony. Moliwod dostosowanie ustawieo bazowych konfiguracji dla wasnych
potrzeb korzystajc z narzdzia SCM zapewnia szybkie wykonanie duplikatu danego zbioru ustawieo
zawierajcego rekomendowane ustawienia a nastpnie modyfikacj tych ustawieo wedug
wytycznych i standardw obowizujcych w danej organizacji.
90
http://social.technet.microsoft.com/wiki/contents/articles/774.microsoft-security-compliance-managerscm-en-us.aspx
Moliwoci eksportu ustawieo do wielu formatw: Proces eksportu ustawieo bazowych konfiguracji
pozwala na wykorzystywanie formatw, takich jak: XLS, Group Policy objects (GPO), Desired
Configuration Management (DCM) packs, oraz Security Content Automation Protocol (SCAP) w celu
zapewnienia procesu automatyzacji wdroenia tych ustawieo a take monitorowania zgodnoci z
rekomendowanymi ustawieniami.
Dostpne zbiory ustawieo bazowych konfiguracji (ang. Baselines) zapewniaj wsparcie dla
produktw: Windows Server 2012, Windows 8, Windows Server 2008 R2 SP1, Windows Server 2008
SP2, Windows Server 2003 SP2, Hyper-V, Windows 7 SP1, Windows Vista SP2, Windows XP SP3,
BitLocker Drive Encryption, Internet Explorer 10, Internet Explorer 9, Internet Explorer 8, Microsoft
Office 2010 SP1, Microsoft Office 2007 SP2, Exchange Server 2010 SP2 oraz Exchange Server 2007
SP3
Przyjte definicje pojd w programie SCM:
Baseline. Program SCM pracuje na zbiorach ustawieo bazowych konfiguracji, ktre stanowi kolekcje
ustawieo dla programw zwanych elementami konfiguracji (ang. configuration items (CIs)). Kady
element konfiguracji zosta stworzony z myl o zapewnieniu najwyszego poziomu bezpieczeostwa
w organizacji.
CCE-ID (Common Configuration Enumeration) - CCE-ID numer identyfikacyjny, unikalny i
powizany bezporednio z danym opisem problemu konfiguracji systemu.
Opis ten zawiera
szczegowe informacje na temat sposobu zmiany konfiguracji oraz wskazuje na preferowane lub
wymagane ustawienie systemu dotyczce kluczy rejestru, plikw lub ustawieo zasad grupy.
DCM Configuration Pack zbir ustawieo (ang. Configuration Items (CIs)) wykorzystywanych i
stosowanych w funkcjonalnoci Desired Configuration Management (DCM) w systemie Microsoft
System Center Configuration Manager w celu zapewnienia skanowania oraz monitorowania
komputerw pod katem zapewnienia zgodnoci z wytycznymi.
Excel workbook. Arkusz programu Excel stosowany do zapoznania si i porwnania zbioru
ustawieo bazowych konfiguracji z innymi zbiorami ustawieo bazowych konfiguracji.
GPO backup folder - folder zasad grupy (GPO) zawierajcy obiekty GPO, ktre mona w szybki i
elastyczny sposb importowad bezporednio do usugi katalogowej (Active Directory) w celu
dostarczenia dnych ustawieo konfiguracji dla grup komputerw i uytkownikw.
SCAP data file pliki w formacie Security Content Automation Protocol (SCAP) speniajce
wymagania dla standardw dostarczonych przez National Institute of Standards and Technology
(NIST).
Setting ustawienie - najniszy poziom kontroli technicznej odpowiedzialny za stan systemu
operacyjnego lub aplikacji. Np. Minimalna dugod hasa jest ustawieniem zawiera liczb cakowit w
celu wymuszenia ustawieo specyficznych dla funkcjonalnoci logowania. Ustawienie posiada 2
rodzaje przechowywanej informacji: definicja ustawienia oraz wartod ustawienia zasady.
Setting definition. Definicja ustawienia zestaw waciwoci powizany z ustawieniami danego

systemu operacyjnego lub aplikacji zdefiniowane przez waciciela tworzcego dane ustawienie. Np.
ga z ustawieniem rejestru, cieka lub dane okrelone przez definicj. Definicja ustawienia nie
zmienia swojej wartoci po opublikowaniu.
Setting policy ustawienia zasady, jest to zbir waciwoci powizanych z okrelonych ustawieniem
i zdefiniowanym przez danego uytkownika, dla ktrego zostao zastosowane to ustawienie zasady.
Np. minimalna dugod hasa musi byd wiksza lub rwna 8.
Minimalne wymagania systemowe dla instalacji SCM:
Windows Vista Service Pack 2 (SP2), Windows Server 2008 R2, Windows Server 2012,
Windows 7, Windows 8
Microsoft .NET Framework 3.5
SQL Server 2008 Express edition uruchomiony na komputerze zawierajcym instalacj
programu SCM*
Uprawnienia administracyjne do uruchomienia z linii komend narzdzia LocalGPO
500 MB pamici RAM lub wicej.
40 MB wolnej przestrzeni na dysku twardym.
Windows Installer w wersji 4.5.
Microsoft Visual C++ 2010 (zawarty w instalatorze programu SCM).
Microsoft Word lub Microsoft Word Viewer do przegldania dokumentw.
Microsoft Excel 2007 lub nowszy (opcjonalnie do wykonania exportu ustawieo w formacie
arkusza programu Excel).
Poczenie internetowe do pobrania ze strony Microsoft aktualnych ustawieo bazowych
konfiguracji (baselines)
* Uwaga: Do poprawnego dziaania wymagane jest posiadanie przynajmniej Microsoft SQL

Server Express. Jeli nie mamy zainstalowanego serwera SQL, to instalator Microsoft Security
Compliance Manager automatycznie go pobierze i zainstaluje.
Instalacja programu SCM (Security Compliance Manager):

Program SCM naley pobrad z witryny: Microsoft Security Compliance Manager 91 a nastpnie
uruchomid plik Security_Compliance_Manager_Setup.exe.
Instalator sprawdzi wymagania wstpne dla produktu SCM i w przypadku braku danego komponentu,
zaproponuje instalacj tego komponentu lub poinformuje o jego braku, w dalszej kolejnoci
instalator pobierze program Microsoft SQL Server Express i zainstaluje ten produkt na lokalnym
komputerze. Po zakooczeniu instalacji otrzymamy komunikat o poprawnej instalacji produktu SCM.
91
Uwaga: Aktualna wersja programu w chwili tworzenia dokumentu to wersja 3.0.60. - przed instalacj naley
sprawdzid czy dostpna jest nowsza wersja produktu, w przypadku wystpienia nowszej wersji, zaleca si
dokonanie instalacji najnowszej wersji produktu SCM.
8.1 Wprowadzenie
Podczas pierwszego uruchomienia SCM, narzdzie przechodzi w tryb pierwszego uycia i prbuje
poczyd si z witryn Centrum Pobierania Microsoft (ang. Microsoft Download Center), aby pobrad
dostpne najnowsze bazowe ustawienia (ang. Baseline). W trybie tym SCM zainstaluje najnowsze
gotowe bazowe ustawienia (baseline) przygotowane przez firm Microsoft do lokalnego folderu
komputera, na ktrym uruchomione zostao narzdzie SCM.
Rys. 8.1.1 - Widok pasku postpu podczas procesu importu ustawieo bazowych.
Uwaga: Naley upewnid si, e proces importu zakooczy si pomylnie.
8.2 Praca z programem SCM

Widok konsoli programu SCM zawiera kilka kluczowych elementw:
Bibliotek ustawieo bazowych (ang. Baseline Library) zlokalizowan w lewym okienku

konsoli programu. Biblioteka wywietla zawartod zbioru dostpnych lokalnie ustawieo
bazowych w postaci drzewa z dokonanym podziaem na sekcje:
o Custom Baselines zbir wasnych indywidulanie dostosowanych ustawieo
bazowych
o Microsoft Baselines zbir gotowych ustawieo bazowych pobranych z witryny
Microsoft Dowload Center
o Other Baselines zbir innych ustawieo bazowych
Informacja na temat poszczeglnych ustawieo bazowych (ang. Baseline Information)
informacje umieszczone w rodkowym okienku konsoli. Wywietlane w tym miejscu
informacje zale od kontekstu. Na przykad podczas uruchomienia programu pojawi si
ekran powitalny, ale w momencie wybrania z lewego okienka okrelonego zbioru ustawieo
bazowych, w okienku centralnym uka si informacje szczegowe na temat wybranego
zbioru ustawieo bazowych.
Okienko akcji (ang. Action Pane) umieszczone w prawym okienku konsoli wywietla list
poleceo oraz czynnoci moliwych do wykonania.
Rys. 8.2.1 - Widok konsoli programu SCM ekran startowy
Konsola programu SCM wywietla znaczn ilod informacji na temat poszczeglnych opcji
ustawieo bazowych konfiguracji po wybraniu okrelnego ustawienia bazowego, z tego
powodu zaleca si wybranie opcji maksymalizacji widoku okna na ekranach o duych
rozdzielczociach, szerokod okien mona dostosowad do wasnych potrzeb. Widok konsoli
SCM mona uprocid poprzez ukrycie lewego oraz prawego okna. Za pomoc skrtw
klawiaturowych mona ukrywad lub wywietlad zawartod okna:
Ctrl+L wywietlenie/ukrycie lewego okna (Baseline Library).
Ctrl+R wywietlenie/ukrycie prawego okna (Action Pane).
Pozostae przydatne skrty klawiaturowe:
Ctrl+O otwiera okienko Options z dostpnymi opcjami, w ktrym mona zarzdzad
ustawieniem automatycznego sprawdzenia czy istniej nowe zbiory ustawieo bazowych
podczas uruchomienia programu.
Ctrl+U otwiera okienko Download Updates, w ktrym mona wykonad rczne sprawdzenie
dostpnoci nowych zbiorw ustawieo bazowych.
Ctrl+I otwiera okienko Import Baselines Wizard, ktre umoliwia rczne zaimportowanie
wasnych ustawieo bazowych.
Delete usuwa wybrane i zaznaczone przez uytkownika ustawienie bazowe (baseline).
Ctrl+Delete - usuwa wybrane i zaznaczone przez uytkownika ustawienie bazowe (baseline).
Shift+Delete - usuwa wybran i zaznaczon przez uytkownika grup wszystkich ustawieo
bazowych (baseline) dotyczcych danego produktu, np. Windows 7 SP1.
8.3 Rozpoczcie pracy z programem SCM
Rys. 8.3.1 - Widok gwnego ekranu programu SCM
Gwny ekran programu SCM rodkowe okno zawiera dwie sekcje:
Welcome to SCM:
1. Whats new in this release - sekcja informacyjna, z ktrej dowiemy si, co nowego w
tej wersji narzdzia SCM
2. How to perform common tasks sekcja omawiajca jak wykonywad typowe zadania
w programie SCM
3. Working with SCM - pomoc na temat pracy z programem SCM i dodatkowych
narzdzi
Getting started with SCM:
1. Get knowledge obsuga i zarzdzanie zbiorami udostpnionych zestaww ustawieo
bazowych (Baseline).
2. Customize knowledge sekcja, ktra pozwoli na dostosowanie ustawieo bazowych
do wasnych potrzeb oraz porwnanie wasnych ustawieo do rekomendowanych
ustawieo zawartych w zestawach ustawieo bazowych.
3. Export knowledge sekcja, w ktrej mona wyeksportowad przygotowane

ustawienia bazowe konfiguracji do formatu kopii zapasowej zasady grupowej (Group
Policy Backup), paczki SCAP oraz DCM a take utworzyd pliki SCM .cab.
8.4 Kluczowe elementy sekcji Welcome to SCM

8.4.1 Zarzdzanie ustawieniami (Setting management)
Ustawienia bazowe zawieraj liczne opcje konfiguracji ustawieo. Narzdzie SCM upraszcza w znaczny
sposb proces przegldania i zarzdzania tymi ustawieniami poprzez pogrupowanie ich w
poszczeglne kategorie.
W celu zapoznania si z ustawieniami bazowymi wraz z ich szczegowymi ustawieniami oraz
dodatkow informacj naley:
1. Wybrad z okna Baseline Information okrelony zestaw ustawieo bazowych (produkt), po
wybraniu w centralnym oknie zostan wywietlone szczegowe informacje na temat
ustawieo dostpnych w danym zestawie ustawieo bazowych. Na grze okna zostanie
wywietlona cakowita liczba dostpnych ustawieo w danym zestawie.
Uwaga: Aby uzyskad wicej informacji na temat zabezpieczeo oraz zapewnienia zgodnoci na
temat wszystkich ustawieo, w oknie Baseline Information, poniej nazwy wybranego
produktu, naley przejd do sekcji Attachments \ Guides i otworzyd waciwy dokument.
2. W oknie wybranej grupy ustawieo bazowych, poniej Advanced View naley wybrad
waciwe ustawienie klikajc w nazw okrelonego ustawienia, po wybraniu ustawienia
zostan wywietlone rekomendowane przez Microsoft domylne ustawienia zabezpieczeo.
Rys. 8.4.1.1 widok wybranego ustawienia Minimum password length wraz z rekomendowanymi
wartociami
3. W celu wywietlenia dodatkowych informacji na temat danego ustawienia naley wybrad i

kliknd w Setting Details, dodatkowe informacje na temat wybranego ustawienia:
UI Path: Okrela dokadn ga zasady, w ktrej znajduje si ustawienie.
Additional Details: Dostarcza dodatkowych informacji na temat klucza rejestru lub CCE-ID.
Vulnerability: Wyjania, w jaki sposb atakujcy moe przeprowadzid atak w przypadku,
kiedy ustawienie jest skonfigurowane w mniej bezpieczny sposb.
Potential Impact: Okrela potencjalne negatywny wpyw zastosowanych ustawieo
zapobiegajcych podatnoci w systemie.
Countermeasure: Okrela, w jaki sposb naley implementowad rodki zaradcze.
Rys. 8.4.1.2 widok wybranego ustawienia Minimum password length wraz z dodatkowymi
informacjami
4. Aby powrcid na najwyszy poziom, do widoku wszystkich ustawieo w danym zbiorze, naley
kliknd opcj Collapse.
Wskazwka:, Aby przypieszyd wyszukiwanie okrelonego ustawienia, wystarczy wprowadzid czd
nazwy ustawienia w polu Settings search w widoku Advanced View w prawym grnym rogu okienka
Baseline Information.
Zastosowanie widoku zaawansowanego Advanced View

Domylny widok wywietla ustawienia pogrupowane wedug nazwy ustawienia, widok mona
pogrupowad klikajc w nazw kolumny nagwka tabeli. Dodatkowo mona skorzystad z opcji
filtrowania ustawieo korzystajc z widoku zaawansowanego Advanced View.
Rys. 8.4.1.3 - Widok zaawansowany Advanced View
Korzystajc z Advanced moemy skorzystad nastpujcych moliwoci filtrowania:
Setting search - pozwala na filtrowanie ustawieo tabeli wedug wprowadzonego sowa

kluczowego bdcego nazw ustawienia w polu wyszukiwania.
Uwaga: Nie mona stosowad rwnoczenie filtru Setting Search oraz Path filter.
Group View - opcja ta pozwala na wybr trybu wywietlenia ustawieo stosujc sortowanie
ustawieo wedug grupy ustawieo (domylny widok) lub Simple View w przypadku widoku
prostego wywietlane s wszystkie ustawienia bez grupowania.
Path - Kolumna wywietla pen ciek lokalizacji ustawienia w systemie operacyjnym
Windows lub nazw aplikacji Microsoft ustawienia bazowego (baseline), do ktrego si
odwouje w narzdziu SCM.
Choose Columns opcja ta pozwala na modyfikacj widoku wywietlanych kolumn poprzez
usuwanie lub dodawanie kolumn wedug wasnego wyboru.
Aby powrcid do widoku domylnych kolumn w widoku zaawansowanych naley nacisnd czerwony
krzyyk Zarzdzanie plikami zacznikw (Attachments) ustawieo bazowych
W narzdziu SCM mona zarzdzad rnorodnymi zacznikami doczonymi do ustawieo bazowych
(Baseline), ktre dostarczaj dodatkowych informacji, jako uzupenienie i rozszerzenie wiedzy na
temat ustawieo bazowych. Korzystajc z SCM mona wyszczeglnione dokumenty mona otwierad,
edytowad, tworzyd kopi lub wydrukowad. Wspierane formaty zacznikw: .cab, .doc, .docx, .mp,
.rtf, .txt, .url, .xls, .xlsx, .xlsm, .zip
Rys. 8.4.1.4 Widok sekcji zarzdzania zacznikami przypisanymi do grupy produktu ustawieo bazowych
SCM zezwala rwnie na umieszczanie rwnie wasnych dodatkowych informacji na temat

stosowanych lub niestosowanych ustawieo wraz z ich objanieniem. Operacje dodawania lub
usuwania plikw zacznikw mona wykonad tylko dla plikw umieszczonych we wasnej bibliotece
ustawieo - sekcja Baselines Library, podsekcja Custom Baselines.
Rys. 8.4.1.5 Widok sekcji zarzdzania zacznikami przypisanymi do biblioteki wasnych ustawieo bazowych.
8.4.2 Narzdzie wiersza polecenia LocalGPO

Po zainstalowaniu narzdzia SCM, dostpne jest narzdzie wiersza polecenia LocalGPO, ktre
pozwala na zarzdzanie i stosowanie ustawieo dla komputerw nieprzyczonych do domeny.
LocalGPO pozwala na wykonanie kopii zapasowej ustawieo zasad grupowych przeznaczonych dla
rodowisk domenowych a nastpnie implementacj tych ustawieo w rodowiskach komputerw
nieprzyczonych do domeny.
Uwaga: SCM zawiera narzdzie LocalGPO, ale wymaga ono dodatkowego procesu instalacji.
W celu instalacji narzdzia wiersza polecenia LocalGPO naley uruchomid plik LocalGPO.msi
zlokalizowany w folderze C:\Program Files (x86)\Microsoft Security Compliance Manager\LGPO. Po
poprawnej instalacji narzdzia LocalGPO , naley zweryfikowad pojawienie si narzdzia na licie
programw.
Rys. 8.4.2.1 widok narzdzia LocalGPO po poprawnej instalacji w systemie
Rys. 8.4.2.2 Widok ekranu powitalnego po uruchomieniu narzdzia LocalGPO
Narzdzie LocalGPO pozwala na wykonanie okrelonych zadao:
Zastosowanie bazowych ustawieo zabezpieczeo do lokalnych zasad grupy komputera

LocalGPO wykonuje import ustawieo przygotowanych w pliku kopii zapasowej ustawieo
zasad grupy (GPO backup) przez SCM. Plik kopii naley przygotowad korzystajc z narzdzia
SCM.
W celu wyeksportowania kopii zapasowej ustawieo zasad grupy (GPO backup) do lokalnych
zasad grupy komputera naley:
o Zalogowad si do komputera, jako Administrator
o Uruchomid narzdzie LocalGPO stosujc opcj Uruchom jako administrator
o Wykonad polecenie z linii poleceo:
cscript LocalGPO.wsf /Path:<cieka> - gdzie <cieka> to cieka do
pliku GPO backup
Aby przywrcid ustawienia lokalnych zasad grupy naley wykonad polecenie w kolejnoci jak
wyej: cscript LocalGPO.wsf /Restore
Eksport lokalnych zasad grupy komputera do pliku kopii zapasowej zasad grupy (Group
Policy backup)
Korzystajc z narzdzia LocalGPO moemy wykonad eksport ustawieo lokalnych zasad
komputera w celu zaimplementowania tych ustawieo w innym komputerze lub w celu
wykonania importu do usugi katalogowej.
W celu wykonania eksportu lokalnych zasad grupy komputera, naley wykonad czynnoci:
cscript LocalGPO.wsf /Path:"c:\GPOBackups" /Export
Utworzenie paczki GPOPack do zastosowania tych samych ustawieo bazowych

zabezpieczeo bez instalacji narzdzia LocalGPO
W celu utworzenia paczki GPOPack, naley wykonad czynnoci:
cscript LocalGPO.wsf /Path:"c:\GPOBackups" /Export /GPOPack
Uwaga: W przypadku zastosowania przecznika /GPOPack z podan nazw, np. /GPOPack:GPONazwa,
nie bdzie moliwe dokonanie importu wyniku korzystajc z edytora zasad grupy (GPMC). Podanie
nazwy w tym wypadku nie usprawni wykonania polecenia, poniewa nie jest wymagane
wprowadzenie identyfikatora GUID.
W wyniku dziaania utworzenia GPOPack zostan utworzone 3 pliki przedstawione poniej:
Dodatkowe informacje na temat wykorzystania i stosowania GPOPack uzyskad mona na stronie bloga
92
SCM: LocalGPO Rocks!
Wskazwka: Moliwe jest wykorzystanie nowej funkcjonalnoci LocalGPO aby zintegrowad skrypty
wynikowe stosujc narzdzie Microsoft Deployment Toolkit (MDT) aby przypieszyd i zautomatyzowad
92
http://blogs.technet.com/b/secguide/archive/2011/07/05/scm-v2-beta-localgpo-rocks.aspx.
proces wdroenia systemw Windows 8 oraz Windows Server 2012. Aby uzyskad wicej informacji na
93
ten temat naley odwiedzid witryn produktu Microsoft Deployment Toolkit (MDT)
Zastosowanie Multiple local GPO w celu edycji kolekcji ustawieo lokalnych zasad komputera.
Funkcjonalnod ta zostaa zaprojektowana w celu ulepszenia procesu zarzdzanie
komputerami nieprzyczonymi do domeny. Wykorzystanie przecznika /MLGPO pozwoli
zastosowad ustawienia uytkownika korzystajc z pliku GPOBackup lub paczki GPOPack do
okrelonego MLGPO na komputerze z systemem Windows. Aby skorzystad z tej
funkcjonalnoci naley okrelid grup lokalnych Administratorw lub Uytkownikw, ale
mona rwnie okrelid grup Inni ni administratorzy (Non-Administrators) lub dowoln
nazw uytkownika lokalnego.
W celu utworzenia edycji kolekcji ustawieo lokalnych zasad komputera, naley wykonad
czynnoci:
o Wykonad polecenia z linii poleceo:
cscript LocalGPO.wsf /Path:"c:\GPO Backups\GPO Backup 1"
/MLGPO:<nazwa lokalnego uytkownika lub lokalnej grupy>
cscript GPOPack.wsf /MLGPO:<nazwa lokalnego uytkownika lub
lokalnej grupy>
Aktualizacja interfejsu uytkownika w narzdziu Edytor obiektw zasad grupy. Ustawienia

posiadajce prefiks MSS (Microsoft Solutions for Security), ktre zostay dostarczone przez
grup Microsoft Solutions nie s standardowo wywietlanie w narzdziach GPMC oraz
Security Configuration Editor (SCE). W celu poprawnego wywietlenia ustawieo MSS naley
rozszerzyd funkcjonalnod wspomnianych narzdzi. Ponisza procedura prezentuje sposb
aktualizacji narzdzia SCE na komputerach, w ktrych planowane jest zarzdzanie zasadami
grupy utworzonych narzdziem SCM.
W celu aktualizacji narzdzia SCE do poprawnego wywietlania ustawieo MSS, naley
wykonad czynnoci, wczeniej upewniajc si, i komputer jest przyczony do domeny oraz
narzdzie SCM jest zainstalowane:
o
o
o
Zalogowad si do komputera, jako Administrator

Uruchomid narzdzie LocalGPO stosujc opcj Uruchom jako administrator
Wykonad polecenia z linii poleceo:
cscript LocalGPO.wsf /ConfigSCE
W celu przywrcenia domylnych ustawieo naley wykonad:

o
o
93
Zalogowad si do komputera, jako Administrator

Uruchomid narzdzie LocalGPO stosujc opcj Uruchom jako administrator
Microsoft Deployment Toolkit (MDT) - http://go.microsoft.com/fwlink/?LinkId=105753
Wykonad polecenia z linii poleceo:

cscript LocalGPO.wsf /ResetSCE
8.5 Kluczowe elementy sekcji Getting started with SCM

8.5.1
Zarzdzaj ustawieniami bazowymi konfiguracji - Get knowledge
Download Microsoft baselines automatically - Automatyczne pobieranie ustawieo bazowych

Microsoft
Po uruchomieniu opcji Download Microsoft baselines automatically widocznej w ekranie

powitalnym programu SCM, system pobierze nowe ustawienia bazowe konfiguracji lub aktualizacje
dla ju istniejcych ustawieo.
W celu automatycznego pobierania nowych ustawieo bazowych lub ich aktualizacji podczas startu
programu SCM mona skonfigurowad to ustawienie wybierajc opcj File -> Options lub posugujc
si skrtem klawiszowym (Ctrl+O).
Download Microsoft baselines manually - Rczne pobieranie ustawieo bazowych Microsoft
Po uruchomieniu opcji Download Microsoft baselines manually widocznej w ekranie powitalnym

programu SCM, program otworzy dedykowan stron dla ustawieo bazowych, z ktrej bdzie mona
pobrad najnowsze ustawienia bazowe dla produktw (Microsoft Baselines). Proces ten mona
uruchomid rwnie rcznie, wybierajc opcj File -> Check for Updates lub posugujc si skrtem
klawiszowym (Ctrl+U).
Import a baseline - importowanie ustawieo bazowych Microsoft
Narzdzie SCM pozwala na automatyczne pobieranie ustawieo bazowych ze strony Microsoft

Download Center, ale pozwala rwnie na wykonanie importu w sposb rczny bezporednio z
plikw.
W celu wykonania importu korzystajc z kreatora Import Baselines Wizard, naley wykonad
czynnoci:
o Naley uruchomid kreator opcj wybierad Import z prawego okna Action klikajc w
SCM (.cab) lub posugujc si skrtem klawiszowym (Ctrl+I).
W kreatorze naley wybrad opcj Select package files a nastpnie kliknd w opcj
Add w celu wywietlenia okna pozwalajcego na wskazanie wybranego pliku
przeznaczonego do importu.
Dodatkowo mona zaznaczyd opcj Create modifiable copies of each baseline to be imported, ktra
umoliwi jednoczesne wykonanej kopii przeznaczonej do modyfikacji ustawieo bazowych a nastpnie
dokonad importu ustawieo bazowych do programu SCM.
Import a Group Policy Backup importowanie pliku kopi zapasowej ustawieo zasad grupy
W celu wykonania importu pliku kopii zapasowej ustawieo zasad grupy, naley wykonad czynnoci:
o
W prawym oknie Action, naley kliknd w opcj GPO Backup (folder), nastpnie w
oknie Przegldanie w poszukiwaniu folderu (Browse for folder) naley wybrad folder
zawierajcy plik kopii zapasowej ustawieo grupy i kliknd OK.
W oknie GPO Name naley wprowadzid nazw dla kopii ustawieo zasad grupy
Po poprawnym imporcie zostanie wywietlony komunikat Import GPO completed

successfully, naley kliknd OK.
Plik kopii ustawieo zasad grupy dostpny bdzie w bibliotece ustawieo bazowych
Baselines Library w gazi Custom Baselines.
8.5.2 Dostosuj ustawienia bazowe konfiguracji do wasnych potrzeb - Customize knowledge

Program SCM pozwala na prac z gotowymi ustawieniami bazowymi dostarczonymi przez Microsoft
bez moliwoci dokonywania adnych zmian, ale przypuszczalnie pojawi si wymg dostosowania
rekomendowanych ustawieo dla wymogw stawianych wasnym organizacjom. Pracujc w programie
SCM nie ma moliwoci modyfikacji ustawieo bazowych Microsoft zawartych w SCM, ale dla
wasnych celw mona wykonad kopi danego ustawienia bazowego wraz z moliwoci edycji i
modyfikacji wedug wasnych wytycznych. Sekcja Customize knowledge pozwoli nam na wykonanie
dostosowania ustawieo bazowych do wasnych celw.
Find settings opcja to pozwoli nam na szybkie przeszukanie okrelonych ustawieo,

informacje na ten temat opisano w rozdziale 8.5.1.
Evaluate Microsoft recommendations analiza ustawieo domylnych, rekomendowanych

oraz wasnych kadego ustawienia.
SCM dostarcza rekomendowane ustawienia bazowe konfiguracji dla poszczeglnych
produktw, ktre s prezentowane w kadym ustawieniu bazowym konfiguracji (Baseline),
wywietlane s one w oknie zawierajcym szczegowe ustawienia. Kade z tych ustawieo
zawiera informacje o domylnej konfiguracji, rekomendowanej przez Microsoft oraz
ustawienia wasne wraz z okreleniem poziomu wanoci danego ustawienia.
Customize baselines dostosowanie ustawieo szczegowych dla bazowych konfiguracji dla

wasnych potrzeb
Ustawienia szczegowe dla bazowych ustawieo konfiguracji uporzdkowane s wedug grup
zblionych do ustawieo zasad grupy znane z narzdzia Edytor obiektw zasad grupy, ale dla
wasnych potrzeb mona dodawad, przenosid, kasowad ustawienia oraz tworzyd wasne
grupy. Wszystkie te operacje dostpne s dla ustawieo bazowych konfiguracji utworzonych w
sekcji Custom Baselines umieszczonej w bibliotece Baselines Library.
Dodawanie szczegowych ustawieo

W celu wykonania operacji dodawania szczegowych ustawieo dla wasnych ustawieo bazowych Add a setting, naley wykonad czynnoci:
Po wybraniu odpowiedniego wasnego szablonu ustawieo bazowych w sekcji Custom

Baselines umieszczonej w bibliotece Baselines Library W prawym oknie Action w
obszarze Setting naley kliknd opcj Add.
Domylnie okno znajduje si w szablonie ustawieo bazowych, do ktrego dodajemy

nowe ustawienie, w przedstawionym przykadzie jest to Windows 7 SP1, produkt
okrelony jest w polu wyboru Choose Source.
W nastpnej kolejnoci naley okrelid obszar docelowy Choose Target w oknie Add
Settings, po rozwiniciu listy Setting Group naley wybrad waciw grup, w ktrej
zostanie dodane ustawienie. Nastpnie za pomoc strzaek w razie koniecznoci
mona rozwind grupy w celu identyfikacji waciwego ustawienia, ktre chcemy
dodad.
Kolejno naley wskazad ustawienie, ktre chcemy dodad i je wybrad, na zakooczenie
naley kliknd opcj Add.
Przenoszenie jednego lub wielu szczegowych ustawieo

W celu wykonania operacji przenoszenia jednego lub wielu szczegowych ustawieo dla wasnych
ustawieo bazowych - Move a setting, naley wykonad czynnoci:
o

Baselines umieszczonej w bibliotece Baselines Library W prawym oknie Action w
obszarze Setting naley kliknd opcj Move. Wywietli si okno Move Settings
between Setting Groups.
Nastpnie naley wybrad po prawej stronie grup docelow, do ktre ma zostad

przeniesione jedno lub wiele ustawieo i wybrad OK. SCM wykona operacj
przenoszenia i wywietli ustawienie w nowej grupie, tak jak na przykadzie poniej.
Usunicia jednego lub wielu szczegowych ustawieo

W celu wykonania operacji usunicia jednego lub wielu szczegowych ustawieo dla wasnych
ustawieo bazowych - Delete a setting, naley wykonad czynnoci:
o

Baselines umieszczonej w bibliotece Baselines Library naley wybrad jedno lub wiele
ustawieo do usuniecia
Nastpnie w prawym oknie Action w obszarze Setting naley kliknd opcj Delete.
Dodanie grupy ustawieo

W celu wykonania operacji dodania grupy ustawieo dla wasnych ustawieo bazowych Add a setting
group, naley wykonad czynnoci:
o

Baselines umieszczonej w bibliotece Baselines Library, naley w prawym oknie
Action w obszarze Setting Group naley kliknd opcj Add.
Usuwanie grupy ustawieo

W celu wykonania operacji usunicia grupy ustawieo dla wasnych ustawieo bazowych Delete a
setting group, naley wykonad czynnoci:

Baselines umieszczonej w bibliotece Baselines Library, naley w prawym oknie
Action w obszarze Setting Group naley kliknd opcj Delete w celu wywietlenia
ona przedstawionego poniej.
Nastpnie po rozwiniciu listy grup naley wybrad grup do usunicia i zatwierdzid
operacj klikajc w przycisk Delete.
Compare with Microsoft recommendations porwnanie ustawieo bazowych z

rekomendowanymi ustawieniami Microsoft
Funkcjonalnod porwnania ustawieo bazowych pozwala na szybkie uzyskanie wynikw porwnania,

ktre mog zostad zapisane w arkuszu programu Microsoft Excel.
Porwnanie / pocznie dwch ustawieo bazowych konfiguracji w celu przejrzenia rnic pomidzy
ustawieniami bazowymi konfiguracji.
W celu wykonania operacji porwnania ustawieo bazowych Delete a setting group, naley wykonad
czynnoci:
o
Po wybraniu odpowiedniego szablonu ustawieo bazowych do porwnania naley w

prawym oknie Action w obszarze Baseline naley kliknd opcj Compare / Merge.
o
o
Raport Compare Baselines Summary wywietli wynik porwnania Baseline A

wybranego, jako pierwszy, z Baseline B wybranym, jako drugim.
Raport bdzie zawiera:
Cakowit liczb porwnanych unikalnych ustawieo
Cakowit liczb wsplnych ustawieo
Cakowit liczb ustawieo wystpujcych tylko w jednym z porwnywalnych
ustawieo bazowych
Usunicie ustawieo bazowych konfiguracji.

W celu wykonania operacji usunicia jednego lub wielu ustawieo bazowych, naley wykonad
czynnoci:
o
Po wybraniu odpowiedniego szablonu/w ustawieo bazowych naley w prawym

oknie Action wybrad opcj Delete i potwierdzid wykonanie operacji usunicia.
Usunicie ustawieo bazowych konfiguracji.

W celu wykonania operacji usunicia jednego lub wielu ustawieo bazowych, naley wykonad
czynnoci:
o
Po wybraniu odpowiedniego szablonu/w ustawieo bazowych naley w prawym

oknie Action wybrad opcj Delete i potwierdzid wykonanie operacji usunicia.
W dalszej kolejnoci mona dokonad poczenia ustawieo bazowych lub wyeksportowad

wynik do formatu arkusza Microsoft Excel. (opcja wymaga zainstalowanego programu
Microsoft Excel)
Duplikacja ustawieo bazowych konfiguracji.

W celu wykonania operacji duplikacji ustawieo bazowych, naley wykonad czynnoci:
Po wybraniu odpowiedniego szablonu ustawieo bazowych naley w prawym oknie

Action wybrad opcj Duplicate i potwierdzid lub wprowadzid now nazw ustawieo
bazowych.
Zablokowanie ustawieo bazowych konfiguracji.

W celu wykonania operacji zablokowanie zduplikowanego szablonu ustawieo bazowych, naley
wykonad czynnoci:
o
Po wybraniu odpowiedniego szablonu ustawieo bazowych naley w prawym oknie Action

wybrad opcj Lock i potwierdzid operacj.
8.5.3 Eksportuj ustawienia bazowe konfiguracji- Export knowledge

Export a GPO backup opcja ta pozwala na wyeksportowanie ustawieo bazowych konfiguracji
do postaci GPO backup, ktry pozwoli na szybk implementacj ustawieo w rodowisku usugi
katalogowej.
W celu wykonania operacji wyeksportowanie ustawieo bazowych konfiguracji do postaci GPO

backup, naley wykonad czynnoci:
o

w obszarze Export wybrad opcj GPO Backup (folder) i wskazad istniejcy folder lub
utworzyd nowy w docelowym miejscu na dysku i potwierdzid OK.
Export DCM Configuration Packs
Desired Configuration Management (DCM) jest funkcjonalnoci Microsoft System Center

Configuration Manager. Configuration Packs dostarczaj danych w formacie DCM, ktre pozwalaj na
przeskanowanie pod katem zgodnoci zarzdzanych komputerw.
W celu wykonania operacji wyeksportowanie ustawieo bazowych konfiguracji do formatu
Configuration Pack, naley wykonad czynnoci:
o

w obszarze Export wybrad opcj SCCM DCM 2007 (.cab) i wskazad istniejcy folder lub
utworzyd nowy w docelowym miejscu na dysku, nastpnie wprowadzid nazw pliku .cab i
potwierdzid klikajc na przycisk Save.
Nazwa utworzonego pliku bdzie zawieraa doczon informacje _DCM.
Export SCAP data files
The Security Content Automation Protocol (SCAP) jest standardem wprowadzonym przez National
Institute of Standards and Technology (NIST). SCAP skada si z danych w formacie XML i opisuje
podatnoci programw oraz elementy konfiguracji configuration items (CIs). W celu uzyskania
dodatkowych informacji na temat SCAP oraz formatu danych naley odwiedzid witryn
http://scap.nist.gov/94.
W celu wykonania operacji wyeksportowanie ustawieo bazowych konfiguracji do formatu SCAP,
naley wykonad czynnoci:
o
94

w obszarze Export wybrad opcj SCAP v1.0 (.cab) i wskazad istniejcy folder lub utworzyd
nowy w docelowym miejscu na dysku, nastpnie wprowadzid nazw pliku .cab i
Nazwa utworzonego pliku bdzie zawieraa doczon informacje _SCAP.
http://scap.nist.gov/.
Export SCM .cab files
SCM pozwala na eksportowanie ustawieo bazowych konfiguracji w tym samym formacie, z ktrego
sam korzysta. Format SCM moe pozwala na wspdzielenie i wymian plikw ustawieo bazowych
konfiguracji z innymi administratorami.
W celu wykonania operacji wyeksportowanie ustawieo bazowych konfiguracji do formatu SCAP,
naley wykonad czynnoci:
o

w obszarze Export wybrad opcj SCM (.cab) i wskazad istniejcy folder lub utworzyd
nowy w docelowym miejscu na dysku, nastpnie wprowadzid nazw pliku .cab i
Export Microsoft Excel workbooks
Ustawienia bazowe konfiguracji mog zostad wyeksportowane do formatu Microsoft Excel (opcja
wymaga zainstalowanego programu Microsoft Excel)
W celu wykonania operacji wyeksportowanie ustawieo bazowych konfiguracji do formatu Microsoft
Excel, naley wykonad czynnoci:
o

w obszarze Export wybrad opcj Excel (.xslm) i wskazad istniejcy folder lub utworzyd
nowy w docelowym miejscu na dysku, nastpnie wprowadzid nazw pliku dla arkusza
Excel i potwierdzid klikajc na przycisk Save.
9. Zarzdzanie urzdzeniami
Dziki wsparciu dla protokou Simple Certificate Enrollment Protocol (SCEP), ktry wykorzystuje
protok Open Mobile Alliance Device Management (OMA DM) moliwe jest zarzdzanie
urzdzeniami w bezpieczny sposb.
SCEP jest protokoem, ktry zosta zaprojektowany do zarzdzania urzdzeniami mobilnymi takimi jak
telefony czy tablety. SCEP jest rwnie protokoem wdraania certyfikatw, ktry zosta przewidziany
dla ruterw a ktrego to nie wspiera system Windows 8. Windows 8.1 udostpnia protok DM OMA
dla rozwizao zarzdzania urzdzeniami mobilnymi, ktre s dostarczane przez innych dostawcw ni
Microsoft.
Device encryption was introduced in Windows RT as an automatic data protection mechanism for
consumer devices. In enterprise editions of Windows 8, device encryption was limited to BitLocker. In
Windows 8.1, device encryption is available in all editions of Windows that are InstantGo certified to
support a connected standby state.
Some benefits of device encryption include:

Encryption of the operating system volume is automatic and configured by default.
Protection is enabled once an administrator uses a Microsoft Account to sign in.
If encryption is unmanaged, the key recovery password is stored in SkyDrive.
In Professional and Enterprise editions of Windows 8.1, device encryption can be reconfiguration to
use BitLocker features.
Device encryption in Windows 8.1 permits greater flexibility of personal device use within an
organization because it helps protect corporate data across a variety of Windows editions so that:
Data on a device in a connected standby state is always protected through encryption.
User data on all fixed volumes on a device in a connected standby state is always protected through
encryption.
When the device in a connected standby state is joined to the domain, it can comply with enterprise
security policies.
10.Ochrona przed zoliwym oprogramowaniem

Systemy Windows 8 oraz Windows 8.1 pracuj bezporednie z platform sprztow, ktra
zaprojektowana jest w taki sposb, aby ulepszyd sposoby agodzenia dziaania szkodliwego
oprogramowania a dokadnie przekada si to na nastpujce elementy:
Platforma TPM opisywana wczeniej
Losowej przestrzeni adresowej
Address space layout randomization (ASLR) jest technologi, ktra chroni przed bezporednim
zapisem w pamici systemu poprzez losowanie (randomizacj) jak i gdzie bd trzymane istotne dane
w pamici. Wraz z ASLR jest trudniejsze dla zoliwego oprogramowania odnalezienie specyficznej
lokalizacji do zaatakowania.
W systemie Windows 8.1 pamid losowana przez ASLR moe byd unikalna na poziomie rnych
urzdzeo czynic j jeszcze bardziej chronion i trudn do zaatakowania przez rnego rodzaju
exploity.
Zapobieganie wykonywania danych
Zapobieganie wykonywania danych (Data execution prevention - DEP) znacznie ogranicza
zakres pamici, ktrej zoliwy kod moe wykorzystad na swj uytek. DEP uywa bitu Never eXecute
(NX) na wspieranych procesorach w celu oznaczenia blokw pamici, w ktrych dane nie powinny
byd uruchamiane jako kod. Nawet jeli zoliwe oprogramowanie umieci fragment kodu w takim
obszarze pamici to nigdy nie zostanie on wykonany.
Systemy Windows 8 oraz Windows 8.1 s pierwszymi, ktre wymagaj procesorw zgodnych
sprztowo z DEP. Te systemy operacyjne nie powinny byd instalowane na komputerach, na ktrych
nie jest uruchomiony DEP.
11.
Bezpieczny rozruch systemu
Systemy Windows 8 oraz Windows 8.1 mog byd uruchomione tylko na certyfikowanych
komputerach PC. Certyfikacji czciowo podlega rwnie UEFI.
Interfejs UEFI (Unified Extensible Firmware Interface) to standardowy interfejs oprogramowania
ukadowego komputerw, zaprojektowany w celu zastpienia systemu BIOS. Standard ten
opracowao konsorcjum UEFI obejmujce ponad 140 firm technologicznych. Zaprojektowano go z
myl o zapewnieniu lepszej wsppracy oprogramowania i rozwizaniu problemw spowodowanych
ograniczeniami systemu BIOS. Oto niektre zalety oprogramowania ukadowego UEFI:
Wiksze bezpieczeostwo dziki atwiejszej ochronie procesu poprzedzajcego uruchomienie

(rozruch) przed atakami programw typu bootkit.
Szybsze uruchamianie i wznawianie pracy po hibernacji.
Obsuga dyskw o rozmiarze przekraczajcym 2,2 terabajtw (TB).
Obsuga nowoczesnych, 64-bitowych sterownikw urzdzeo w oprogramowaniu ukadowym,
przy uyciu ktrych system moe zaadresowad ponad 17,2 miliardw gigabajtw (GB)
pamici podczas uruchamiania.
Moliwod uywania systemu BIOS ze sprztem UEFI.
Bootkity s najgroniejsz form zoliwego oprogramowania. Uruchamiaj si tu przed startem

systemu Windows i kryj si midzy sprztem a systemem operacyjnym gdzie s waciwie
niewykrywalne i maj nieograniczony dostp do zasobw systemu.
Wczeniejsze implementacje UEFI byy w stanie uruchomid sprawdzenie wewntrznej integralnoci,
ktra weryfikowaa cyfrowy podpis firmware przed uruchomieniem go. Poniewa tylko producenci
sprztu PC mog kontrolowad, ktre certyfikaty maj moliwod tworzyd prawidowe podpisy dla
firmware UEFI oferuj ochron od rootkitw firmwareu. Dlatego te UEFI jest pierwszym czem w
aocuchu zaufania.
Wraz z usuga Secure Boot UEFI komputera weryfikuje czy bootloader Windowsa jest bezpieczny
przez zaadowaniem go. Jeli bootloader zosta zmodyfikowany (np. przez instalacj bootkita) lub
zamieniony to Secure Boot nie pozwoli na jego uruchomienie.
11.1 Trusted Boot

System Windows 8.1 zawiera rwnie funkcj Trusted Boot, ktra weryfikuje czy wszystkie
komponenty adowania system Windows zawieraj integralnod i mog byd zaufane. Bootloader
weryfikuje podpis cyfrowy kernela przed zaadowaniem go. Kernel w trakcie uruchamiania weryfikuje
kady komponent na licie startowej procesu Windows, wczajc w to sterowniki, pliki startowe oraz
komponenty ELAM.
W systemie Windows 8.1 funkcja Measured Boot zostaa dodana do procesu startu dla sytemw
zgodnych z ELAM. Measured Boot pozwala na zdalnym serwerze systemom niebazujcym na
Windows na weryfikacj bezpieczeostwa kadego adowanego komponentu w sposb trudny do
obejcia przez zoliwe oprogramowanie. Jeli zostanie wykryta prba adowania zoliwego
oprogramowania Trusted Boot naprawi system poprzez odtworzenie oryginalnego pliku.
12 Model kontroli dostpu do systemu Windows

12.1 Dynamic Access Control
Dynamic Access Control wykorzystuje dynamiczne polisy bazujce na rolach w celu ochrony
folderw, plikw oraz udostpnionych zasobw. Polisy te mog pozwolid na dostp lub zabronid
dostpu bazujc na kombinacji uytkownika, urzdzenia, waciwoci danych ni na statycznych
listach uytkownikw oraz grupach bezpieczeostwa.
Uywajac Dynamic Access Control administratorzy mog tworzyd szczegowe polisy audytowe, np.
do dokumentw zawierajcych dane podlegajce ochronie, aby moliwe byo spenienie zgodnoci
raportowej oraz wymagao analizy kryminalistycznej. W przeciwieostwie do tradycyjnych moliwoci
audytowych, w ktrych gromadzone s ogromne iloci danych priorytetyzowanych, DAC oraz jego
reguy bazujce na rolach pozwalaj na zbieranie wszystkich danych lub tylko tych, ktre nas
interesuj pod ktem audytu.
12.2 Ochrona publicznych certyfikatw i kluczy

W systemie Windows 8.1 powiadczenie certyfikatu dotyczy publicznych certyfikatw oraz
kluczy. Funkcjonalnod SmartScreen dostpna w Internet Explorer jest zgodna z usuga Web Service,
ktra dostarcza wczesne ostrzeenia dla uytkownika na temat podejrzanej strony WWW, ktra
moe byd wykorzystana do atakw lub dystrybucji zoliwego oprogramowania. Usuga ta jest w
stanie wykryd kiedy certyfikat jest wystawiony przez niespodziewane rdo a nastpnie moe
sprawdzid rnice ktre mog rozpoczd zaradcze akcje lub zasugerowad cofnicie certyfikatu.
12.3 Tryb Restricted Admin dla poczeo pulpitu zdalnego

Klient usugi Remote Desktop moe poczyd si w trybie Restricted Admin. Uywajc tego
trybu z uprawnieniami administratora RDS prbuje poczyd si interaktywnie do serwera, ktry
rwnie wspiera ten tryb bez wysyania powiadczeo. W momencie, kiedy host zweryfikuje, e konto
czcego si uytkownika ma uprawnienia administratora oraz wspiera tryb Restricted Admin to
poczenie bdzie udane. W trybie tym w adnym punkcie nie jest wysyane czystym tekstem lub
innych form poczenia do zdanych komputerw.
12.4 Schowek dla powiadczeo - Credential Locker

Schowek dla powiadczeo jest usug, ktra tworzy i zarzdza bezpiecznym magazynem, na lokalnym
komputerze, przechowujcym nazwy uytkownikw i hasa, ktre zostay zapisane dla stron
internetowych oraz aplikacji ze sklepu Windows. W Windows 8 zosta zaprezentowany Web
Authentication Broker aby wspierad poczenie aplikacji z zasobami dostpnymi w Internecie i aby
zarzdzad uprawnieniami.
Credential Locker wspiera jednolite logowanie przez uycie aplikacji z Windows Store, ktre
korzystaj z usugi Web Authentication Broker. Usuga ta pamita hasa dla takich serwisw jak
Facebook czy Twitter, dlatego te uytkownik nie musi podawad hasa wielokrotnie. Takie jednolite
logowanie zostao rozszerzone rwnie o urzdzenia korzystajce z Windows 8.1.
W przypadku, kiedy wiele uprawnieo jest przechowywanych dla tego samego zasobu nie ma
moliwoci okrelenia, ktry z nich jest podstawowym. W Windows 8.1 uytkownik moe
zdecydowad i okrelid podstawowe uprawnienia dla zasobu.
13 Biometria
Rozszerzenia dodane do platformy Windows Biometrics Framework (WBF) w Windows 8.1 pozwalaj
na dziaania w nowych scenariuszach. Wrd scenariuszy moemy wyrnid midzy innymi API dla
programistw do autoryzowania uytkownikw w aplikacjach udostpnionych w Windows Store.
Kolejn nowoci w Windows 8.1 jest wydzielenie z platformy WBF klasy sterownikw USB dla linii
papilarnych Biometric Input Device (BID).
W Windows 8.1 moliwe jest zintegrowanie czytnika linii ze sklepem Windows Store do zakupu
aplikacji
W ten sam sposb moliwy jest zakup rnych treci multimedialnych.

Windows 8.1 udostepnia rwnie platform dla Windows 8.1 RT i wykorzystanie jej we wasnych
aplikacjach
Dodatkowo moliwe jest uycie Group Policy do ustawieo uycia biometrii w systemie Windows 8.1
14 Dodatek ustawienia bezpieczeostwa w Group Policy dla Windows 8.1

oraz Windows Server 2012 R2
W poniszej tabeli przedstawione s nowe oraz sugerowane ustawienia dla Windows 8.1 oraz
Windows Server 2012 R2 dla Group Policy zgodne z przewodnikiem bezpieczeostwa.
cieka
Nazwa reguy
administracyjne\Panel
Sterowania\Personalizacja
Chroo przed
wczeniem
kamery na
ekranie
blokady
Chroo przed
administracyjne\Panel
wczeniem
Sterowania\Personalizacja
pokazu slajdw
na ekranie
blokady
Nie wywietlaj
administracyjne\System\Logowanie
interfejsu
uytkownika
wyboru sieci
Zezwalaj aby
administracyjne\Skadniki systemu konto Micrsoft
Windows\App runtime
byo
opcjoanlne
Loguj
administracyjne\Skadniki systemu automatycznie
Windows\Opcje logowania
ostatnio
Windows
dziaajcego
uytkownika
po restarcie
systemu
Konfiguracja
Odmowa
komputera\Ustawienia Systemu
dostpu do
Windows\Zasady
komputera z
Lokalne\Przypisywanie praw
sieci
uytkownika
Konfiguracja
Windows\Zasady
uytkownika
Odmowa
logowania
poprzez usug
Remote
Desktop
Poprzednia
warto
N/D
Nowa warto
N/D
Wczone
N/D
Wczone
N/D
Wczone
N/D
Wyczone
Gocie
Gocie, konta
lokalne
Gocie
Wczone
(dla czonkw
grup: Gocie,
Konto lokalne
oraz czonkw
grupy
Administratorzy)
Gocie, konta
lokalne
cieka
Nazwa reguy
Konfiguracja Uytkownika\Szablony
Administracyjne\Menu Start I
Pasek Zadao\Notyfikacje
Wycz
powiadomienia
typu toast na
ekranie
blokady
Poprzednia
warto
N/D
Nowa warto
Wczone
Nowe ustawienia dla Internet Explorer 11
Poniej znajduje si lista zalecanych ustawieo dla Internet Explorer 11

cieka
Nazwa reguy
Poprzednia
warto
N/D
Nowa warto
Konfiguracja
komputera\Szablony
administracyjne\Skadniki
systemu
Windows\Internet
Explorer\Panel
Ustawieo\Zaawansowane
Konfiguracja
komputera\Szablony
systemu
Windows\Internet
Explorer\Panel
Ustawieo\Zakadka
Bezpieczeostwo\Strefa
Internet
Konfiguracja
komputera\Szablony
systemu
Windows\Internet
Explorer\Panel
Ustawieo\Zakadka
Bezpieczeostwo\Lokalny
Intranet
Konfiguracja
komputera\Szablony
systemu
Windows\Internet
Explorer\Panel
Ustawieo\Zakadka
Lokalny komputer
Wcz tryb 64 bity dla

zakadek podczas pracy w
trybie zaawansowanej
ochrony w 64 bitowym
systemie Windows
Nie uruchamiaj
oprogramowania
antymalware na
kontrolkach ActiveX
N/D
Wyczone
Nie uruchamiaj
oprogramowania
antymalware na
kontrolkach ActiveX
N/D
Wyczone
Nie uruchamiaj
oprogramowania
antymalware na
kontrolkach ActiveX
N/D
Wyczone
Wczone
cieka
Nazwa reguy
Konfiguracja
komputera\Szablony
systemu
Windows\Internet
Explorer\Panel
Ustawieo\Zakadka
Witryny z ograniczeniami
Konfiguracja
komputera\Szablony
systemu
Windows\Internet
Explorer\Panel
Ustawieo\Zakadka
Zaufane Witryny
Nie uruchamiaj
oprogramowania
antymalware na
kontrolkach ActiveX
Poprzednia
warto
N/D
Nowa warto
N/D
Wyczone
Nie uruchamiaj
oprogramowania
antymalware na
kontrolkach ActiveX
Wyczone
14.2. Zmiany w ustawieniach zaleceo

Ataki typu Pass the Hash
Ponisze zalecenia rekomendowane s przed mitygowaniem zagroeo atakw typu Pass the Hash
oraz podobnych atakw.
Baseline
cieka
Nazwa reguy
Wszystkie
systemy
operacyjne
Konfiguracja
komputera\Ustawienia
Systemu
Windows\Security
Settings\Zasady
Lokalne\Przypisywanie
praw uytkownika
Odmowa dostpu do
komputera z sieci
Konfiguracja
Systemu
Windows\Security
Settings\Zasady
praw uytkownika
Odmowa logowania
poprzez usug Remote
Desktop
Wszystkie
systemy
operacyjne
Poprzednia
warto
Gocie
Gocie
Nowa warto
Gocie, konta
lokalne
(dla czonkw
grup: Gocie,
Konto lokalne
oraz czonkw
grupy
Administratorzy)
Gocie, Konto
lokalne
Baseline
cieka
Nazwa reguy
Wszystkie
systemy
operacyjne
Konfiguracja
Systemu
Windows\Security
Settings\Zasady
praw uytkownika
Konfiguracja
Systemu
Windows\Ustawienia
Bezpieczeostwa\Zasady
praw uytkownika
Konfiguracja
Systemu Windows\
Ustawienia
Bezpieczeostwa
\Zasady
praw uytkownika
Odmowa logowania jako

praca wsadowa
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Poprzednia
warto
Gocie
Nowa warto
Odmowa logowania jako

usuga
Gocie
Gocie
Odmowa logowania
lokalnego
Gocie
Gocie
Gocie
Blokowanie uycia przegldarek Web na kontrolerach domeny.

Powszechnie wiadomo, e ze wzgldw bezpieczeostwa uycie przegldarki internetowej na
serwerach z krytycznymi systemami, np. kontrolerem domeny nie jest wskazane. Poniej
przedstawione s zalecenia do ochrony takiego zachowania przez uycie AppLocker. Wiadomo
rwnie, e nie ma moliwoci ochrony przed tym, aby administratorzy nie omijali tego
zabezpieczenia, dlatego te regua ta ma chronid przed przypadkowym uyciem i uczynid
przegldark niedostpn na serwerach kontrolera domeny.
Ustawienia te mog byd rwnie uyte na serwerach z innymi krytycznymi systemami takimi jak
przykadowo serwery bazodanowe.
Baseline
Wszystkie
Serwery
Windows
Kontrolery
Domeny
cieka
Konfiguracja
Systemu
Windows\Ustawienia
Kontroli Aplikacji\AppLocker
Nazwa reguy
Wcz
wymuszanie
wykonywania
ragu
Nowa warto
Wczone
Baseline
Wszystkie
Serwery
Windows
Kontrolery
Domeny
cieka
Konfiguracja
Systemu
Windows\Ustawienia
Kontroli
Aplikacji\AppLocker\Reguy
uruchamiania
Nazwa reguy
Blokowanie IE
Wszystkie
Serwery
Windows
Kontrolery
Domeny
Konfiguracja
Systemu
Windows\Ustawienia
Kontroli
Aplikacji\AppLocker\ Reguy
uruchamiania
Konfiguracja
Systemu
Windows\Ustawienia
Kontroli
uruchamiania
Konfiguracja
Systemu
Windows\Ustawienia
Kontroli
uruchamiania
Konfiguracja
Systemu
Windows\Ustawienia
Bezpieczeostwa\Usugi
Systemu
Blokowanie
Chrome.exe
Wszystkie
Serwery
Windows
Kontrolery
Domeny
Wszystkie
Serwery
Windows
Kontrolery
Domeny
Wszystkie
Serwery
Windows
Kontrolery
Domeny
Blokowanie
Firefox
Reguy
podstawowe
Identyfikator
aplikacji
(AppIDSvc)
Nowa warto
FilePublisherRule: Deny
Everyone
PublisherName="O=MICROSOFT
CORPORATION,
L=REDMOND,
S=WASHINGTON, C=US"
ProductName="WINDOWS
INTERNET EXPLORER"
BinaryName="IEXPLORE.EXE"
Everyone
PublisherName="O=GOOGLE
INC, L=MOUNTAIN VIEW,
S=CALIFORNIA, C=US"
ProductName="GOOGLE
CHROME"
BinaryName="CHROME.EXE"
Everyone
PublisherName="O=MOZILLA
CORPORATION,
L=MOUNTAIN VIEW, S=CA,
C=US"
ProductName="FIREFOX"
BinaryName="FIREFOX.EXE"
Allow non-admins to run
executables in Program Files
Allow non-admins to run
executables in Windir
Allow admins to run
executables anywhere
Service startup mode =

Automatic
EMET
Rekomendowane jest instalowanie EMET na wszystkich stacjach roboczych oraz serwerach wraz z
poniszymi ustawieniami Group Policy.
Baseline
cieka
Nazwa reguy
Poprzednia
warto
Nowa warto
Baseline
cieka
Nazwa reguy
Wszystkie
systemy
operacyjne
Konfiguracja
komputera\Szablony
systemu Windows\EMET
Konfiguracja
komputera\Szablony
Konfiguracja
komputera\Szablony
Konfiguracja
komputera\Szablony
Konfiguracja
komputera\Szablony
Konfiguracja
komputera\Szablony
Podstawowa
ochrona dla
Internet
Explorer
Podstawowa
ochrona dla
Popular
Software
Podstawowa
ochrona dla
Recommended
Software
System ASLR
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Poprzednia
warto
N/D
Nowa warto
N/D
Wczone
N/D
Wczone
N/D
Wczone:
Application
Opt-In
System DEP
N/D
Wczone:
Application
Opt-Out
System SEHOP
N/D
Wczone:
Application
Opt-Out
Wczone
Zaktualizowany przewodnik
Poniej przedstawione s ustawienia, ktre powinny zostad dodane lub zmienione, aby byd zgodnym
z innymi liniami bazowymi.
Baseline
cieka
Nazwa reguy
Wszystkie
systemy
operacyjne
klienckie
Konfiguracja
komputera\Skadniki
systemu
Windows\Usuga
Dziennika
Zdarzeo\Aplikacje
Konfiguracja
komputera\Skadniki
systemu
Windows\Usuga
Dziennika
Zdarzeo\Bezpieczeostwo
Okrel
maksymalny
rozmiar pliku log
(KB)
Wszystkie
systemy
operacyjne
klienckie
Okrel
maksymalny
rozmiar pliku log
(KB)
Poprzednia
warto
20480
Nowa warto
20480
196608
32768
Baseline
cieka
Nazwa reguy
Wszystkie
systemy
operacyjne
klienckie
Konfiguracja
komputera\Skadniki
systemu
Windows\Usuga
Dziennika
Zdarzeo\System
Konfiguracja
komputera\Szablony
systemu
Windows\Wyszukiwanie
Konfiguracja komputera\
Ustawienia Systemu
Windows\ Ustawienia
Bezpieczeostwa \Reguy
Kont\Reguy blokowania
konta
Konfiguracja
Systemu
Windows\Ustawienia
Lokalne\Opcje
Bezpieczeostwa
Konfiguracja
Systemu
Windows\Ustawienia
Lokalne\Opcje
Bezpieczeostwa
Okrel
maksymalny
rozmiar pliku log
(KB)
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
Serwery w
czonkowstwie
Wszystkie
systemy
operacyjne
klienckie
Konfiguracja
Systemu
Windows\Ustawienia
Lokalne\Opcje
Bezpieczeostwa
Konfiguracja
Systemu
Windows\Ustawienia
praw uytkownika
Zaawansowane audytowanie
Poprzednia
warto
20480
Nowa warto
Pozwl na
indeksowanie
szyfrowanych
plikw
Nie
skonfigurowano
Wyczone
Ilod prb logowao
50 prb
bdnego
logowania
10 prb
bdnego
logowania
Bezpieczeostwo
sieci: Wymu
wylogowanie,
kiedy wygasn
godziny logowania
Nie
skonfigurowano
Wczone
Kontrola konta
uytkownika:
Zachowanie
podczas dania
elewacji
uprawnieo dla
standardowych
uytkownikw.
Bezpieczeostwo
sieci: Pozwl aby
Lokalny System
uywa
identyfikatora
komputera dla
NTLM
Dostp do
komputera z sieci
Zapytaj o
uprawnienia
Automatycznie
blokuj dania
elewacji
uprawnieo
Nie
zdefiniowane
Wczone
Uytkownicy,
Administratorzy
Uwierzytelnieni
uytkownicy,
Administratorzy
32768
W przewodniku bezpieczeostwa dla Windows 8 oraz Windows Server 2012 rekomendowane byo
ustawienie Brak audytowania. Pozwalao ono uytkownikowi na decyzj. W Windows 8.1 oraz
Windows Server 2012 rekomenduje si uycie wartoci Nie zdefiniowane.
Baseline
cieka
Nazwa reguy
Wszystkie
systemy
operacyjne
Konfiguracja
Systemu
Windows\Zaawansowana
Konfiguracja Regu
Audytu\Reguy
Audytu\Logowanie
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy
Audytu\Logowanie
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy
Audytu\Logowanie
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy
Audytu\Zarzdzanie
kontem
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy Audytu\
Zarzdzanie kontem
Audytuj usug
autentykacji Kerberos
Poprzednia
Nowa
warto
warto
Brak
Nie
audytowania zdefiniowane
Audytuj usug operacji

zgoszeo Kerberos
Brak
Nie
Audytuj inne zdarzenia

logowania konta
Brak
Nie
Audytuj zarzdzanie
grup aplikacji
Brak
Nie
Audytuj zarzdzanie
konta komputera
Brak
Nie
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
klienckie
Baseline
cieka
Nazwa reguy
Wszystkie
systemy
operacyjne
Konfiguracja
Systemu
Konfiguracja Regu
Zarzdzanie kontem
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy
Audytu\ledzenie
szczegowe
Konfiguracja
Systemu
Windows\Zaawansowane
Reguy
Audytu\Konfiguracja\
Reguy Audytu\ledzenie
szczegowe
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy
Audytu\ledzenie
szczegowe
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy
Audytu\Dostp Usuga
Katalogu
Konfiguracja
Systemu
Konfiguracja Regu
Dostp Usuga Katalogu
Audytu zarzdzanie
Grupami Dystrybucji
Poprzednia
Nowa
warto
warto
Brak
Nie
Audytuj aktywnoci
DPAPI
Brak
Nie
Audytuj wyganicie
procesu
Brak
Nie
Audytuj zdarzenia RPC
Brak
Nie
Audytuj usug
szczegowej replikacji
katalogu
Brak
Nie
Audytuj dostp usugi

katalogu
Brak
Nie
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
klienckie
Baseline
cieka
Nazwa reguy
Wszystkie
systemy
operacyjne
klienckie
Konfiguracja
Systemu
Konfiguracja Regu
Konfiguracja
Systemu
Konfiguracja Regu
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy
Audytu\Logon/Logoff
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy
Audytu\Logon/Logoff
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy
Audytu\Logon/Logoff
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy
Audytu\Logon/Logoff
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy
Audytu\Logon/Logoff
Audytuj zmiany usugi

katalogu
Poprzednia
Nowa
warto
warto
Brak
Nie
Audytuj replikacj usugi

katalogu
Brak
Nie
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Audytuj blokowanie
konta
Brak
audytowania
Sukces
Audytuj rozszerzony tryb

IPSec
Brak
Nie
Audytuj gwny tryb

IPSec
Brak
Nie
Audytuj szybki tryb IPSec
Brak
Nie
Audit Network Policy

Server
Brak
Nie
Baseline
cieka
Nazwa reguy
Wszystkie
systemy
operacyjne
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy
Audytu\Logon/Logoff
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy
Audytu\Dostp obiektw
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy
Audytuj inne zdarzenia

Logowania i wylogowania
Poprzednia
Nowa
warto
warto
Brak
Nie
Audit Certification
Services
Brak
Nie
Audytuj szczegowe
udostpnianie plikw
Brak
Nie
Audytuj udostpnianie
plikw
Brak
Nie
Audytuj system plikw
Brak
Nie
Audytuj manipulacj
uchwytem
Brak
Nie
Audytuj obiekty jdra
Brak
Nie
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Baseline
cieka
Nazwa reguy
Wszystkie
systemy
operacyjne
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy
Audytu\Zmiana reguy
Konfiguracja
Systemu
Konfiguracja Regu
Audytu\Reguy
Audytu\Zmiana reguy
Audytuj inne zadarzenia

dostpu obiektw
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Poprzednia
Nowa
warto
warto
Brak
Nie
Audytuj rejestr
Brak
Nie
Audytuj Magazyny
Wymienne
Brak
Nie
Audytuj SAM
Brak
Nie
Audytuj zmiany regu

autoryzacji
Brak
Nie
Audit inne zdarzenia

zmiany reguy
Brak
Nie
Usunite rekomendacje dla Windows

Sekcja ta zawiera list ustawieo, ktra powinna byd usunita z rekomendacji dla Windows.
Baseline
cieka
Nazwa reguy
Wszystkie
systemy
operacyjne
Konfiguracja
Windows\Ustawienia
Lokalne\Opcje Bezpieczeostwa
Wszystkie
systemy
operacyjne
Konfiguracja
Windows\Ustawienia
Wszystkie
systemy
operacyjne
Konfiguracja
Windows\Ustawienia
Kryptografia
system: Uywaj
algorytmw
zgodnych z FIPS
do szyfrowania,
hashowania
oraz
podpisywania
Interaktywne
logowanie:
Wymagaj
autentykacji
kontrolera
domeny do
odblokowania
stacji roboczej
Kontrola konta
uytkownika:
Podno
uprawnienia
tylko dla
podpisanych i
walidowanych
plikw
wykonywalnych
Wszystkie
systemy
operacyjne
Konfiguracja
Windows\Ustawienia
uytkownika
Konfiguracja
komputera\Szablony
systemu Windows\Usuga
Dziennika Zdarzeo\Aplikacja
Wszystkie
systemy
operacyjne
Wszystkie
systemy
operacyjne
Konfiguracja
komputera\Szablony
Dziennika
Zdarzeo\Bezpieczeostwo
Pomijanie
sprawdzania
omijania
Kontrola
zachowania
Dziennika
Zdarzeo kiedy
osignie
maksymalny
rozmiar
Kontrola
zachowania
Dziennika
Zdarzeo kiedy
osignie
maksymalny
rozmiar
Poprzednia
warto
Wczone
Nowa warto
Wczone
Nie
zdefiniowane
Wyczone
Nie
zdefiniowane
Administratorzy,
Uytkownicy,
Lokalny Serwis,
Usuga Sieciowa
Nie
zdefiniowane
Wyczone
Nie
zdefiniowane
Wyczone
Nie
zdefiniowane
Nie
zdefiniowane
Baseline
cieka
Nazwa reguy
Wszystkie
systemy
operacyjne
Konfiguracja
komputera\Szablony
Dziennika Zdarzeo\System
Kontrola
zachowania
Dziennika
Zdarzeo kiedy
osignie
maksymalny
rozmiar
Wszystkie
kontrolery
domen
Konfiguracja
Windows\Ustawienia
uytkownika
Zaloguj jako
zadanie
wsadowe
Poprzednia
warto
Wyczone
Nowa warto
Administratorzy
Nie
zdefiniowane
Nie
zdefiniowane
Usunite rekomendacje dla Internet Explorer

W tej czci zawiera list ustawieo, ktre powinny byd usunite z rekomendacji dla Internet Explorer.
W wielu przypadkach dostarczaj niewielk lub znikom wartod dla bezpieczeostwa.
Baseline
cieka
Nazwa reguy
Wszystkie
IE
Konfiguracja
uytkownika\Szablony
systemu
Windows\Internet
Explorer\menu
przegldarki
Konfiguracja
komputera\Szablony
systemu
Windows\Internet
Explorer\Panel Ustawieo
Konfiguracja
komputera\Szablony
systemu
Windows\Internet
Explorer\Panel Ustawieo
Wycz opcj zapisz

ten program na dysk
Wszystkie
IE
Wszystkie
IE
Poprzednia
warto
Wczone
Nowa warto
Nie
skonfigurowano
Wycz zakadk
zaawansowane
Wczone
Nie
skonfigurowano
Wycz zakadk
Bezpieczeostwo
Wczone
Nie
skonfigurowano
Baseline
cieka
Nazwa reguy
Wszystkie
IE
Konfiguracja
komputera\Szablony
systemu
Windows\Internet
Explorer\Panel
Ustawieo\Zakadka
Internet
Konfiguracja
komputera\Szablony
systemu
Windows\Internet
Explorer\Panel
Ustawieo\Zakadka
Witryny z ograniczeniami
Kana uprawnieo
oprogramowania
Poprzednia
Nowa warto
warto
Wysokie
Nie
bezpieczeostwo skonfigurowano
Kana uprawnieo
oprogramowania
Wysokie
Nie
bezpieczeostwo skonfigurowano
Wszystkie
IE

Przewodnik Zabezpieczen Systemu Win 8 1 PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Przewodnik Zabezpieczen Systemu Win 8 1 PDF

Uploaded by

Copyright:

Available Formats

PRZEWODNIK ZABEZPIECZEO

SYSTEMU WINDOWS 8 ORAZ

Opracowanie powstao w ramach programu wsppracy w obszarze bezpieczeostwa

Streszczenie wykonawcze ....................................................................................................... 6

Zarzdzanie bezpieczeostwem i zgodnoci ze standardami z zastosowaniem technologii .. 8

Praca z rekomendowanymi bazowymi ustawieniami konfiguracji (baseline)....................... 10

Dla kogo przeznaczony jest ten podrcznik?......................................................................... 11

Podrcznik przeznaczony jest w gwnej mierze dla specjalistw zarzdzajcych

Dodatkowe informacje i wskazwki ...................................................................................... 11

2. Wdraanie rekomendowanych zasad bezpieczeostwa w kontekcie bazowych ustawieo systemu

2.2. Projektowanie struktur jednostek organizacyjnych (OU) ze szczeglnym uwzgldnieniem

Omwienie narzdzia Local Policy Tool ................................................................................ 21

Omwienie i praktyczne zastosowanie narzdzia Attack Surface Analyzer (ASA) ................ 22

Omwienie mechanizmu kont MSA ...................................................................................... 22

Ustawienia zasad domenowych ............................................................................................ 23

Konfigurowanie ustawieo dla zbioru Zasady hase ........................................................... 23

Ustawienia zasad Computer Policy Settings...................................................................... 25

Konfigurowanie szczegowych ustawieo zbioru Zasady inspekcji ................................... 25

Konfigurowanie szczegowych zasad zbioru Przypisywanie praw uytkownika ............. 29

Konfigurowanie szczegowych zasad zbioru Opcje zabezpieczeo ................................... 32

Konfigurowanie ustawieo MSS .......................................................................................... 42

Potencjalne zagroenia zwizane z zasadami podpisywania cyfrowego pakietw SMB .. 42

Ograniczenie stosowania mechanizmu uwierzytelnienia NTLM ....................................... 44

Konfigurowanie szczegowych zasad zbioru Dziennik zdarzeo ....................................... 44

Usuga Windows Update ................................................................................................... 47

Sposoby ochrony przed zoliwym oprogramowaniem ................................................................ 50

Funkcje zabezpieczeo stosowane w systemie Windows 8 .................................................... 50

Konsola Centrum Akcji .......................................................................................................... 51

Bezpieczny rozruch (Secure Boot) ......................................................................................... 54

Mechanizm Kontrola Konta Uytkownika (User Account Control UAC) ............................ 55

Zabezpieczenia biometryczne ............................................................................................... 62

Oprogramowanie Windows Defender .................................................................................. 67

Narzdzie do usuwania zoliwego oprogramowania ........................................................... 72

Zapora systemu Windows 8 oraz Windows 8.1 .................................................................... 74

Ograniczanie dostpu do aplikacji - AppLocker..................................................................... 77

Zasady ograniczeo oprogramowania................................................................................. 79

Bezpieczne uwierzytelnianie za pomoc kart inteligentnych ........................................... 79

Odwieanie i przywracanie komputera do stanu pierwotnego ....................................... 81

Dodatkowe informacje i wskazwki .................................................................................. 82

Ochrona wraliwych danych.......................................................................................................... 84

Szyfrowanie i ochrona dyskw z zastosowaniem funkcji BitLocker ...................................... 85

Tryby pracy BitLocker oraz zarzdzanie ukadem TPM ......................................................... 87

Ochrona danych znajdujcych si dyskach systemowych oraz dyskach staych................... 89

4.5. Ochrona danych przechowywanych na wymiennych dyskach danych z zastosowaniem

BitLocker a Connected StandBy .......................................................................................... 108

Wsparcie FIPS do ochrony odzyskiwania hasa. .................................................................. 109

System szyfrowania plikw EFS ........................................................................................... 110

Usugi zarzdzania prawami do informacji (RMS) ........................................................... 116

Zastosowanie ustawieo zasad grup do wdroenia usugi RMS ....................................... 119

Instalacja i zarzdzanie urzdzeniami w systemie Windows 8........................................ 119

Zastosowanie ustawieo zasad grupowych do nadzorowania instalacji urzdzeo........... 121

Zastosowanie ustawieo zasad grupowych do kontroli obsugi urzdzeo ....................... 125

Windows To Go ............................................................................................................... 128

Dodatkowe informacje i wskazwki ................................................................................ 129

Zapewnienie kompatybilnoci aplikacji w kontekcie bezpieczeostwa stacji z Windows 8........ 131

Testowanie zgodnoci aplikacji z systemem Windows 8 .................................................... 131

Znane problemy zgodnoci aplikacji w kontekcie rozszerzonych mechanizmw ochrony 131

5.4. Omwienie stosowanych narzdzi w celu zapewnienia zgodnoci aplikacji z systemem

Klient Hyper-V ............................................................................................................................. 134

Konfiguracja funkcji zabezpieczeo ....................................................................................... 134

Zabezpieczanie systemw operacyjnych zarzdzania ................................................. 134

Zabezpieczenia maszyn wirtualnych ........................................................................... 136

Wprowadzenie .................................................................................................................... 138