23 03.2015

Standard bezpieczeństwa Windows

Gdy powierzamy komuś zarządzanie serwerami naszej firmy, pierwszą obawą, która przychodzi nam na myśl, jest obawa o bezpieczeństwo. Bezpieczeństwo rozumiane głównie jako możliwość utraty bądź wycieku danych, zatrzymania pracy przedsiębiorstwa, czy choćby nieautoryzowanego wykorzystania naszych serwerów do wysyłania spamu, kopania Bitcoinów itp. Wybierając dostawcę outsourcingu powinieneś wziąć pod uwagę m.in. oferowany poziom bezpieczeństwa. Poziom, który wynika zarówno z kompetencji poszczególnych pracowników dostawcy, jak i ze stosowanych przez dostawcę praktyk.

Poniżej znajdziesz nasze wewnętrzne wytyczne w zakresie bezpiecznego konfigurowania serwerów i usług w ramach systemu Windows. Wytyczne te możesz porównać z ofertą naszej konkurencji, jak również możesz je samodzielnie wdrożyć w swojej firmie (nawet jeśli prowadzisz działalność konkurencyjną).

Poniższa lista jest jednocześnie minimalnym zbiorem kryteriów, po spełnieniu których udzielamy na instalowane przez nas systemy gwarancji bezpieczeństwa. Jeśli na dowolny system spełniający w momencie zdarzenia poniższe kryteria zostanie dokonane włamanie (również od wewnątrz, ale nie dotyczy to problemów wywołanych awarią sprzętu lub fizycznym dostępem do wnętrza serwera przez napastnika), wszelkie prace administracyjne (np. analiza logów, odtworzenie systemu, migracja danych itp.) wykonamy całkowicie bezpłatnie, niezależnie od tego, czy jesteś naszym aktualnym klientem.

1. Wymagania podstawowe:
  • instalacja od zera przez naszych pracowników lub pod naszym bezpośrednim nadzorem, albo przeprowadzenie przy rozpoczęciu współpracy osobno płatnego audytu bezpieczeństwa i ewentualnego dostosowania konfiguracji serwera
  • jeśli Windows jest członkiem domeny AD, oferta jest ważna pod warunkiem, że klient powierza nam również zarządzanie tą domeną AD, oraz wszystkimi kontrolerami domeny, a kontrolery domeny również spełniają określone tutaj wymagania
  • Windows w wersji z działającymi przystawkami lusrmgr.msc i secpol.msc (przystawki te nie działają w wersjach Home i Starter)
  • Windows w wersji ze wsparciem rozszerzonym oferowanym przynajmniej przez 12 miesięcy od momentu planowanego oddania serwera do użytkowania (np. wsparcie rozszerzone dla Windows 7 i Windows Server 2008 kończy się 14 stycznia 2020)
  • włączone aktualizacje Microsoft Update z domyślnymi ustawieniami (co najwyżej zmieniona godzina)
  • włączone zasady ograniczeń oprogramowania (SRP) na wszystkie dyski poza systemowym, a na dysku systemowym na wszystkie katalogi domowe zwykłych użytkowników (ogólna zasada: zwykły użytkownik nie może mieć do żadnego katalogu praw do zapisu plików i jednocześnie praw do wykonywania programów)
  • skonfigurowane zasady inspekcji: sukces i niepowodzenie dla inspekcji zdarzeń logowania, logowania na kontach i zarządzania kontami, niepowodzenie śledzenia procesów, użycia uprawnień i zmiany zasad
  • Event Log przekierowany do centralnego sysloga na osobnej maszynie z Linuxem, umieszczonej w tym samym segmencie sieciowym (za pomocą oprogramowania SNARE, Kiwi, CorreLog itp.), lub zainstalowane oprogramowanie niezależnie rejestrujące wszelkie aktywności w systemie
2. Konta użytkowników i administratorów:
  • klient posiada hasło administratora tylko na wszelki wypadek; użytkownicy ze strony klienta nie wykonują żadnych działań administracyjnych bez konsultacji
  • wszyscy użytkownicy mają założone konta imienne, bez uprawnień administratora; nie ma możliwości logowania na konta wspólne
  • wszyscy użytkownicy mają założone hasła, co najmniej jedną dużą literę i cyfrę w haśle, maksymalny okres ważności hasła 6 tygodni
  • do administracji używane są dodatkowe konta administratora, ręcznie założone (tj. nie konto domyślne, oraz nie konta zakładane przez instalatory dodatkowego oprogramowania)
  • logowanie zdalne dopuszczalne tylko na konta bez uprawnień administracyjnych (zarządzanie zdalne przez "Uruchom jako", bądź logowanie na fizyczny terminal)
  • zmieniona nazwa domyślnego konta administratora
  • domyślne konto gościa zablokowane + zmieniona nazwa konta
  • dla wszystkich użytkowników skonfigurowany wygaszacz ekranu chroniony hasłem, aktywujący się po 10 minutach lub mniej (w przypadku maszyn wirtualnych 60 minut lub mniej)
  • w zasadach kont wyłączona możliwość logowania lokalnego dla użytkowników, którzy mają się logować tylko zdalnie (i odwrotnie)
  • w zasadach kont wyłączone pokazywanie ostatnio zalogowanego użytkownika na ekranie logowania
  • w zasadach kont włączona możliwość wyłączenia systemu bez konieczności zalogowania (nie dotyczy instalacji serwerowych oraz wirtualnych)
  • jeśli Windows jest maszyną wirtualną, dostęp z prawami administratora dla naszych pracowników do systemu hosta, brak działających innych usług na hoście poza wirtualizacją, oraz zgoda na przegląd bezpieczeństwa hosta (bezpłatny)
3. Dostęp zdalny:
  • Pomoc zdalna jest wyłączona
  • usługi Zdalny pulpit (tcp 3389) i SNMP (udp 161, odpowiednie community) włączone i dostępne ze wskazanych pul adresowych (dla pojedynczych maszyn instalowanych w siedzibie klienta 79.173.0.0/18, dla większych instalacji z poziomu zestawionego VPN po adresacji prywatnej)
  • plan zasilania "stacjonarny" + wyłączona reakcja na zamknięcie klapy jeśli to laptop - aby komputer nie przechodził do stanu uśpienia
  • włączona Zapora Windows (firewall), wyłączone niepotrzebne wyjątki
4. Przeglądarki www:
  • domyślną przeglądarką www jest Firefox, uaktualniony do najnowszej wersji, z pluginami NoScript i Adblock Plus, całkowicie wyłączona Java, domyślnie wyłączony JavaScript dla niezaufanych stron
  • w Internet Explorer całkowicie wyłączona Java
  • w razie potrzeby może zostać utworzone dodatkowe konto Windows z osobną konfiguracją, np. do obsługi rozliczeń PFRON wymagających przeglądarki z włączoną Javą
  • brak zainstalowanych pluginów Flash (dla jakiejkolwiek przeglądarki)
  • Google Chrome jest niedostępne z uwagi na mechanizm SRP i specyficzny tryb, w jakim Chrome próbuje się instalować
5. Zainstalowane oprogramowanie:
  • zainstalowany komercyjny program antywirusowy (zalecany ESET), włączony monitor antywirusowy z najwyższym poziomem ochrony
  • brak zainstalowanego oprogramowania kwalifikowanego przez program antywirusowy (lub znanego skądinąd) jako niebezpieczne, hakerskie, nielegalne, p2p itp.
  • uaktualnione oprogramowanie w momencie oddawania do eksploatacji (zaciągnięte wszystkie poprawki z Microsoft Update, inne programy zainstalowane w najnowszych dostępnych wersjach, sprawdzona dostępność aktualizacji w programach posiadających mechanizmy powiadamiania o aktualizacjach)
6. Backup:
  • skonfigurowany cykliczny backup danych: co najmniej 1 raz na 2 tygodnie (zalecane 1 raz na 5 dni roboczych lub częściej) backup danych użytkowników, pozwalający na przywrócenie tych danych na nowo zainstalowanym systemie
  • dla maszyn wirtualnych, kopia zapasowa obrazu dysku wykonana zaraz po instalacji Windows i ew. Microsoft Office, wstępnej konfiguracji gołego systemu, pełnej aktualizacji oraz aktywacji, a przed instalacją oprogramowania dodatkowego, zaszyfrowaniem dysku i utworzeniem kont użytkowników
  • aktywacja systemu wykonana dopiero po uprzednim upewnieniu się, że system po wykonaniu pełnej aktualizacji prawidłowo się uruchamia i prawidłowo, stabilnie działa


Tomasz Klim
Administrator serwerów i baz danych, specjalista w zakresie bezpieczeństwa, architekt IT, przedsiębiorca. Ponad 15 lat w branży IT. Pracował dla największych i najbardziej wymagających firm, jak Grupa Allegro czy Wikia. Obecnie zajmuje się doradztwem dla klientów Fajne.IT, a w wolnych chwilach pisze artykuły. Chętnie podejmuje się ciekawych zleceń.


Wzbudziliśmy Twoje zainteresowanie?

Szukasz pomocy IT? formularz kontaktowy