Hardening stacji roboczych Windows w firmie – krok po kroku

Czym jest hardening i dlaczego Twoja firma go potrzebuje

Hardening (utwardzanie) to proces zmiany domyślnej konfiguracji systemu operacyjnego tak, by zminimalizować liczbę możliwych wektorów ataku. Windows instalowany fabrycznie jest skonfigurowany pod kątem wygody użytkownika, nie bezpieczeństwa. Wiele domyślnie włączonych funkcji, usług i ustawień to otwarte drzwi dla cyberprzestępców.

Według raportów branżowych ponad 70% incydentów bezpieczeństwa w firmach MŚP zaczyna się od skompromitowanej stacji roboczej. Phishing, złośliwe makra w dokumentach Office, drive-by download – wszystkie te ataki uderzają w punkt końcowy. Dobrze zahardowany komputer zatrzyma lub istotnie ograniczy szkody nawet wtedy, gdy pracownik kliknie w podejrzany link.

Punktem odniesienia dla administratorów są benchmarki CIS (Center for Internet Security) – darmowe, szczegółowe wytyczne dla Windows 10 i Windows 11, które precyzyjnie definiują, co i jak skonfigurować. Dostępne są w dwóch wariantach:

• Poziom 1 (L1): zalecenia dla typowych środowisk biurowych, minimalne utrudnienia dla pracowników.
• Poziom 2 (L2): środowiska o podwyższonych wymaganiach – finanse, ochrona zdrowia, obsługa danych wrażliwych.

Opisane poniżej kroki obejmują najważniejsze punkty poziomu L1, które każda firma MŚP powinna wdrożyć niezależnie od branży.

Krok 1: Aktualizacje systemu i oprogramowania firm trzecich

Niezałatane luki w zabezpieczeniach to najprostszy wektor ataku – hakerzy masowo skanują internet w poszukiwaniu podatnych systemów. Zarządzanie aktualizacjami jest absolutnym fundamentem hardeningu.

Windows Update:

1. Skonfiguruj automatyczne instalowanie aktualizacji krytycznych i poprawek zabezpieczeń przez zasady grupy (GPO) lub Microsoft Intune.
2. Ustaw okno konserwacji (np. godziny nocne), by aktualizacje nie przerywały pracy.
3. Monitoruj zgodność – każda niezaktualizowana maszyna to akceptowane ryzyko, o którym administrator powinien wiedzieć.

Oprogramowanie firm trzecich:

• Przeglądarki (Chrome, Edge, Firefox) aktualizują się automatycznie – upewnij się, że ta funkcja nie jest zablokowana przez politykę.
• Pakiet Microsoft 365 Apps aktualizuj przez wbudowany mechanizm Click-to-Run lub WSUS.
• Pozostałe aplikacje (Adobe Acrobat, 7-Zip, VLC itp.) inwentaryzuj i aktualizuj narzędziem Winget, Chocolatey lub rozwiązaniem klasy RMM.

Odinstaluj nieużywane oprogramowanie: każda zainstalowana aplikacja to potencjalna powierzchnia ataku. Usuń wszystko, czego firma nie potrzebuje – przestarzałe wersje Java, stare środowiska uruchomieniowe .NET, demo aplikacje producenta czy programy zainstalowane przez jednego pracownika i nigdy nieużywane.

Krok 2: Zarządzanie kontami i zasada minimalnych uprawnień

Zasada minimalnych uprawnień (Least Privilege) to jeden z najważniejszych filarów bezpieczeństwa. Złośliwe oprogramowanie uruchomione przez zwykłego użytkownika ma ograniczone możliwości – nie może zainstalować sterowników, modyfikować kluczy rejestru systemowego ani wyłączyć antywirusa.

Wyłącz wbudowane konto Administrator:

1. Przez GPO przejdź do Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options i ustaw Accounts: Administrator account status na Disabled.
2. Zamiast wspólnego konta Administrator wdroż Windows LAPS – każdy komputer otrzyma unikalne, automatycznie rotowane hasło administratora lokalnego.

Pracownicy na kontach standardowych:

• Żaden pracownik nie powinien na co dzień pracować na koncie z uprawnieniami administratora lokalnego.
• Do instalacji oprogramowania używaj dedykowanego konta technicznego lub mechanizmu podniesienia uprawnień (UAC) z osobnym logowaniem admina.
• Regularnie audytuj, kto należy do grupy Local Administrators na każdej stacji.

Konfiguracja UAC: ustaw poziom 3 lub 4 w zasadach grupy (User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode). Użytkownicy powinni widzieć monit przy każdej próbie podniesienia uprawnień – to skuteczny sygnał ostrzegawczy, gdy złośliwy kod próbuje działać bez ich wiedzy.

Krok 3: Ochrona przed złośliwym oprogramowaniem i kodem

Wbudowane narzędzia Windows oferują zaawansowaną ochronę – pod warunkiem prawidłowej konfiguracji. Nie wymagają dodatkowych licencji i są dostępne w każdej wersji Windows 10/11 Pro oraz Enterprise.

Microsoft Defender Antivirus:

• Upewnij się, że ochrona w czasie rzeczywistym jest włączona i nie może być wyłączona przez użytkownika (GPO: Turn off Microsoft Defender Antivirus – Disabled).
• Włącz Tamper Protection – zapobiega wyłączeniu Defendera przez złośliwe oprogramowanie nawet z uprawnieniami administratora.
• Włącz Cloud-delivered protection i automatyczne przesyłanie próbek – skraca czas wykrywania nowych zagrożeń z dni do minut.

Reguły Attack Surface Reduction (ASR): to niedoceniana funkcja Defendera, blokująca konkretne techniki stosowane przez atakujących:

1. Blokada tworzenia procesów potomnych przez aplikacje Office (Block all Office applications from creating child processes).
2. Ochrona przed skryptami PowerShell z zaciemnionym kodem.
3. Blokada uruchamiania plików wykonywalnych pobranych z internetu z folderów tymczasowych.
4. Ochrona pamięci LSASS przed wykradaniem poświadczeń (credential dumping).

SmartScreen: włącz zarówno dla przeglądarki Edge, jak i dla aplikacji pobieranych spoza Microsoft Store. Blokuje znane złośliwe strony oraz niepodpisane lub rzadko pobierane pliki wykonywalne.

Ogranicz PowerShell: ustaw politykę wykonywania skryptów wyłącznie do podpisanych (Set-ExecutionPolicy AllSigned) i wyłącz przestarzały PowerShell v2, który pomija nowoczesne zabezpieczenia: Disable-WindowsOptionalFeature -Online -FeatureName MicrosoftWindowsPowerShellV2Root.

Krok 4: Szyfrowanie dysków i zabezpieczenie przed dostępem fizycznym

Skradziony lub zgubiony laptop bez szyfrowania dysku to gotowa katastrofa – wszystkie dane firmowe, hasła zapisane w przeglądarce i pliki są dostępne dla każdego, kto wyjmie dysk. Szyfrowanie jest obowiązkowym elementem hardeningu każdego urządzenia przenośnego.

BitLocker – szyfrowanie dysku systemowego:

1. Wymagaj TPM 2.0 – większość komputerów kupionych po 2017 roku go posiada. TPM przechowuje klucz deszyfrujący i uniemożliwia uruchomienie systemu na obcym sprzęcie.
2. Włącz BitLocker przez GPO: Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives.
3. Wymagaj klucza PIN przy starcie (Require additional authentication at startup) w środowiskach o podwyższonym ryzyku, np. u pracowników mobilnych.
4. Przechowuj klucze odzyskiwania w Microsoft Entra ID lub Active Directory – nigdy wyłącznie na papierze ani w Excelu na tym samym urządzeniu.

Secure Boot i UEFI: upewnij się, że Secure Boot jest włączony w BIOS/UEFI każdego komputera. Chroni przed bootkitami ładującymi się przed systemem operacyjnym i trudnymi do wykrycia przez oprogramowanie antywirusowe.

Automatyczne blokowanie ekranu:

• Skonfiguruj blokadę po maksymalnie 10 minutach bezczynności (GPO: Interactive logon: Machine inactivity limit).
• Wymagaj hasła lub PIN po wybudzeniu z uśpienia i hibernacji.
• Rozważ wdrożenie Windows Hello for Business – logowanie biometryczne lub PIN powiązany z TPM jest bezpieczniejsze od klasycznego hasła domenowego.

Krok 5: Zapora sieciowa, usługi systemowe i monitoring zdarzeń

Ostatnim elementem hardeningu jest ograniczenie tego, co komputer akceptuje z sieci, redukcja uruchomionych usług oraz zapewnienie widoczności tego, co dzieje się na stacji – bez logów nie ma możliwości wykrycia incydentu ani odpowiedzi na pytanie, co poszło nie tak.

Windows Defender Firewall:

• Sprawdź, czy zapora jest włączona dla wszystkich trzech profili: domenowego, prywatnego i publicznego. GPO nie pozwoli użytkownikowi jej wyłączyć.
• Na laptopach stosuj profil Public poza siecią firmową – blokuje udostępnianie plików i drukarek w kawiarniach czy hotelach.
• Rozważ blokadę protokołu SMBv1 (port 445) dla stacji roboczych, które nie pełnią roli serwera plików.

Wyłącz niepotrzebne usługi Windows: każda uruchomiona usługa to potencjalny wektor ataku. Sprawdź i wyłącz te, których firma nie używa:

• Remote Registry – umożliwia zdalne modyfikowanie rejestru,
• Print Spooler na stacjach bez drukarki lokalnej (podatność PrintNightmare),
• Routing and Remote Access na stacjach roboczych,
• Telnet Client i TFTP Client, jeśli są zainstalowane.

Polityki audytu i centralizacja logów:

1. Włącz szczegółowe zasady audytu przez GPO (Advanced Audit Policy Configuration): logowania, zmiany w grupach, uruchamianie procesów i dostęp do obiektów.
2. Zwiększ rozmiar logów zdarzeń (Security, System, Application) do minimum 100 MB każdy.
3. Wysyłaj zdarzenia do centralnego SIEM – lokalne logi na stacji roboczej są pierwszą rzeczą, którą atakujący próbują wyczyścić po kompromitacji.

Regularny przegląd konfiguracji – najlepiej co kwartał – pozwala utrzymać poziom hardeningu w czasie. Narzędzie CIS-CAT Pro Assessor (lub darmowy odpowiednik LGPO z zestawem Microsoft Security Compliance Toolkit) automatyzuje ocenę zgodności stacji z benchmarkiem CIS i generuje raport odchyleń.