Professional Documents
Culture Documents
ELEMENTW BEZPIECZESTWA
KOMPUTERW PRACUJCYCH POD
KONTROL SYSTEMU MICROSOFT
WINDOWS 8
Opracowanie powstao w ramach programu wsppracy w obszarze bezpieczestwa
Security Cooperation Program (SCP)
Spis treci
1.
Wstp .............................................................................................................................................. 3
Centrum akcji................................................................................................................................... 3
Windows Defender.......................................................................................................................... 3
Windows SmartScreen .................................................................................................................... 3
Kontrola konta uytkownika ............................................................................................................ 3
Historia plikw ................................................................................................................................. 3
Windows Update ............................................................................................................................. 4
Zapora systemu Windows ............................................................................................................... 4
2.
3.
6.
7.
8.
9.
10.
Sprawdzenie stanu zabezpiecze komputera za pomoc narzdzia MBSA (Microsoft Baseline
Security Analyzer) .................................................................................................................................. 26
11.
1. Wstp
Przewodnik Zabezpiecze systemu Windows 8 zawiera wybrane i podstawowe instrukcje
i rekomendacje, ktre pomog oceni i zweryfikowa poziom zabezpieczenia komputerw
stacjonarnych i komputerw przenonych pracujcych w grupie roboczej lub pracujcych, jako
samodzielne stanowiska pod kontrol systemu Windows 8.
Niniejszy podrcznik stanowi wstp do zabezpieczenia systemw Windows 8 i wskazuje w sposb
praktyczny, w jaki sposb zweryfikowa i skonfigurowa podstawowe ustawienia rekomendowane
przez firm Microsoft, zawiera rwnie zalecenia korzystania z wybranych wbudowanych funkcji
zabezpiecze systemu Windows 8. W przypadku systemu Windows 8 warto skorzysta z wszystkich
wbudowanych mechanizmw i sposobw uatwiajcych ochron i zabezpieczanie komputera, poniej
przedstawiono list kontroln zabezpiecze systemu Windows 8. Wybrane elementy zabezpiecze
zostan omwione w poszczeglnych rozdziaach niniejszego opracowania.
Lista kontrolna zabezpiecze systemu Windows 8
Centrum akcji
Centrum akcji pozwala zagwarantowa, e zapora jest wczona, ochrona przed zoliwym kodem
jest zaktualizowana, a aktualizacje s automatycznie instalowane przez komputer.
Windows Defender
Usuga Windows Defender uatwia zapobieganie instalowaniu na komputerze wirusw,
programw szpiegujcych i innego zoliwego lub niechcianego oprogramowania bez wiedzy
uytkownika.
Windows SmartScreen
Filtr Windows SmartScreen pomaga w zwikszeniu bezpieczestwa komputera przez ostrzeganie
przed uruchomieniem nierozpoznanych aplikacji i plikw pobranych z Internetu.
Historia plikw
Historia plikw umoliwia regularne automatyczne tworzenie kopii zapasowych plikw osobistych,
takich jak zdjcia, dokumenty lub pliki muzyczne. Jeli wystpi awaria sprztu zainstalowanego w
komputerze, moesz przywrci dowolne wersje najwaniejszych plikw. Aby uzyska wicej
informacji, zobacz Jak uywa historii plikw1.
Windows Update
Usuga Windows Update umoliwia automatyczne pobieranie i instalowanie najnowszych
aktualizacji dla komputera.
1
2
http://windows.microsoft.com/pl-pl/windows-8/how-use-file-history
http://windows.microsoft.com/pl-PL/windows7/products/features/windows-update
3
4
http://windows.microsoft.com/pl-pl/windows-8/windows-firewall-from-start-to-finish
http://technet.microsoft.com/pl-pl/library/cc754274(v=ws.10).aspx
2. W lewym okienku nacinij lub kliknij pozycj Wcz lub wycz Zapor systemu Windows.
Do potwierdzenia wyboru moe by wymagane podanie hasa administratora.
Rys. 4.1 Widok okna ustawie rekomendowanych dla usugi Windows Defender
Na rys. 4.2 przedstawiono rekomendowane ustawienia dla usugi Windows Defender dla
komputerw pracujcych w systemie Windows 8 - konfiguracja ochrona w czasie rzeczywistym
Rys. 4.2 Widok okna ustawie rekomendowanych dla usugi Windows Defender - ochrona w czasie
rzeczywistym
5
6
http://www.microsoft.com/en-us/server-cloud/system-center/endpoint-protection-2012.aspx
http://windows.microsoft.com/en-us/windows-8/windows-defender
Zakres wywietlanych komunikatw, ktre mog by wyczone lub wczone zosta przedstawiony w
ustawieniach konsoli Zmie ustawienia Centrum Akcji na rysunku poniej.
Aby zweryfikowa ustawienia wywietlanych komunikatw Centrum Akcji naley:
1. Na ekranie startowym szybko przesu do rodka od prawej krawdzi ekranu i nacinij pozycj
Wyszukiwanie. (Jeli uywasz myszy, wska prawy grny rg ekranu i przesu w d, a
nastpnie kliknij pozycj Wyszukiwanie).
W polu wyszukiwania wpisz cig Centrum akcji, wybierz opcj Ustawienia, a nastpnie pozycj
Centrum akcji.
2. Nastpnie naley wybra pozycj Zmie ustawienia Centrum akcji, i ustawi rekomendowane
ustawienia (przedstawione na poniszym rysunku) i klikn przycisk OK.
Wicej informacji na temat Centrum akcji w systemie Windows 8 mona uzyska na stronie
http://windows.microsoft.com/pl-pl/windows-8/get-apps-devices-working7
zbyt krtkie - im wicej znakw w hale tym wicej moliwoci kombinacji. Czas potrzebny do
zamania hasa zdecydowanie si wydua przy duszym hale.
zawierajce znaki tylko jednego rodzaju, np. tylko mae litery. Uycie znakw spord
rnych grup znakw daje moliwoci ich skomplikowanego i zwikszenia zoonoci
sownikowe, czyli skadajce si wycznie (lub niemal wycznie) z nazw wasnych, np:
krzysztof, krzys12, auto, gruszka, etc. Sw zapisanych od tyu, czstych bdw
ortograficznych i skrtw
zawierajce dane osobiste: imi, data urodzenia, numer dowodu, PESEL lub podobne dane.
nie zmieniane przez duszy czas (np. od ponad 3 miesicy).
Wicej informacji na temat tworzenia silnych hase mona uzyska pod adresem
http://windows.microsoft.com/pl-PL/windows7/Tips-for-creating-strong-passwords-andpassphrases8
oraz
http://www.microsoft.com/pl-pl/security/online-privacy/passwords9
create.aspx
Wielkie litery
Mae litery
Cyfry
Znaki specjalne
http://windows.microsoft.com/pl-pl/windows-8/get-apps-devices-working
http://windows.microsoft.com/pl-PL/windows7/Tips-for-creating-strong-passwords-and-passphrases
9
http://www.microsoft.com/pl-pl/security/online-privacy/passwords-create.aspx
8
Zoono hasa (w kontekcie zasady Haso musi spenia wymagania co do zoonoci) oznacza, e
s w nim wykorzystane znaki z co najmniej trzech powyszych grup.
Zapewnienie zmiany hase przez uytkownikw tylko w cile okrelonym momencie wymaga ustalenia
zasad dotyczcych minimalnego i maksymalnego wieku hasa. Dla zasad Minimalny okres wanoci
hasa oraz Maksymalny okres wanoci hasa obowizuj ponisze zalenoci.
2.
W obszarze Haso i informacje zabezpieczajce naley wybra lub klikn pozycj Edytuj
informacje zabezpieczajce.
3.
Postpuj zgodnie z instrukcjami wywietlanymi na ekranie, aby doda lub zmieni informacje
zabezpieczajce, takie jak:
10
11
http://windows.microsoft.com/pl-pl/windows-8/get-back-blocked-hacked-account
http://go.microsoft.com/fwlink/?linkid=164220
Dodatkowe zaufane komputery (np. laptop crki lub komputer, ktrego uywasz w pracy)
Pytanie zabezpieczajce wraz z odpowiedzi, ktrej nie moe zna haker lub kto obcy (np.
miejsce urodzenia rodzica, imi maskotki z dziecistwa albo nazwa ulubionego klubu
sportowego)
4.
konieczne. Konto gocia jest przeznaczone gwnie dla osb potrzebujcych tymczasowego dostpu
do komputera.
Standardowe konto uytkownika umoliwia korzystanie z wikszoci funkcji komputera.
Wprowadzenie zmian dotyczcych innych uytkownikw lub zabezpiecze komputera wymaga jednak
zgody administratora.
Uytkownik korzystajcy z konta standardowego moe uywa wikszoci programw zainstalowanych
na komputerze, nie moe jednak instalowa oprogramowania ani sprztu, usuwa plikw niezbdnych
do pracy komputera ani zmienia ustawie dotyczcych innych uytkownikw tego komputera.
W przypadku korzystania z konta standardowego niektre programy mog wymaga podania hasa
administratora w celu wykonania okrelonych zada.
Dlaczego naley korzysta ze standardowego konta uytkownika zamiast konta administratora?
Konto standardowe moe uatwi ochron komputera, uniemoliwiajc uytkownikom wprowadzanie
zmian dotyczcych wszystkich uytkownikw komputera.
Konto standardowe pozwala na tworzenie i zapis plikw, ale nie w kluczowych dla systemu Windows
katalogach, jak Windows czy Program Files. Pozwala rwnie na zmian ustawie systemu, ale tylko
tych, ktre dotycz danego konta, a nie caego systemu.
Oprogramowanie zoliwe, takie jak wirusy czy programy szpiegowskie, ktre zwykle wymagaj
wyszych uprawnie w celu instalacji oraz poprawnego dziaania oraz prbuj odwoa si
do globalnych funkcji i konfiguracji systemu, dostpnych tylko z poziomu konta administratora,
po prostu nie zadziaaj na koncie standardowym.
Atakujcy, ktremu uda si wama do komputera uruchomionego na koncie standardowym, nie
bdzie mia dostpu do dokumentw i plikw innych uytkownikw.
Zaleca si utworzenie konta standardowego dla kadego uytkownika korzystajcego z komputera.
Opis
Uytkownik bdzie powiadamiany przed
wprowadzeniem przez programy zmian na
komputerze lub w systemie Windows
wymagajcych uprawnie administratora.
Wpyw na bezpieczestwo
Jest to najbezpieczniejsze
ustawienie.
Powiadamiaj
mnie tylko
wtedy, gdy
programy
prbuj
wprowadza
zmiany na
komputerze
Powiadamiaj
mnie tylko
wtedy, gdy
programy
prbuj
wprowadza
zmiany na
komputerze
(nie
przyciemniaj
pulpitu)
Nie
powiadamiaj
nigdy
Po wywietleniu powiadomienia
uytkownik powinien starannie
przeczyta zawarto kadego z
okien dialogowych, nim zezwoli na
wprowadzenie zmian na
komputerze.
12
13
http://windows.microsoft.com/pl-PL/windows7/products/features/user-account-control
http://technet.microsoft.com/pl-pl/library/kontrola-konta-uzytkownika-windows-7-od-srodka.aspx
W zalenoci od tego, czy uytkownik pracuje w interfejsie Metro (ang. Modern UI) czy w klasycznym,
moe skorzysta z jednej z dwch wersji Internet Explorera 10. W trybie Modern UI po klikniciu ikony
kafelka IE programu uruchomi si on z zupenie nowym interfejsem, przystosowanym do urzdze
przenonych ukad okna zawiera jedynie pasek adresu na dole oraz kilka najwaniejszych przyciskw.
Sam pasek natomiast chowa si automatycznie podczas przegldania stron, dajc moliwo
wywietlania treci na caej powierzchni ekranu.
Wariant klasyczny nie odbiega od znanego z poprzedniej edycji Internet Explorera. Interfejs take jest
do minimalistyczny.
Program Microsoft Internet Explorer 10 zawiera nastpujce wybrane funkcje zabezpiecze, ktre
chroni uytkownika przed zagroeniami ze strony oprogramowania zoliwego podczas korzystania
z internetu:
Kliknij przycisk Narzdzia, wska polecenie Filtrowanie formantw ActiveX, tak aby opcja bya
wczona.
14
http://go.microsoft.com/fwlink/?LinkId=74522
Jeli witryna sieci Web ma certyfikat, po kolorze paska adresu mona rozpozna poziom
weryfikacji certyfikatu.
Znaczenie kolorw paska adresu jest opisane w poniszej tabeli.
Kolor
Znaczenie
Czerwony Certyfikat jest nieaktualny, niewany lub zawiera bdy. Aby uzyska wicej informacji,
zobacz Bdy certyfikatw: czsto zadawane pytania.
ty
Biay
Zielony
Przegldanie InPrivate, przy uyciu ktrego mona przeglda sie web bez zapisywania
wynikajcych z tego danych, jak pliki cookie i tymczasowe pliki internetowe.
Przegldarki przechowuj informacje, takie jak historia wyszukiwania, aby uatwi uytkownikowi
korzystanie z Internetu. Jeli uywasz karty InPrivate, hasa, historia wyszukiwania i historia
przegldania s usuwane po zamkniciu karty. Aby otworzy now kart InPrivate, nacinij lub kliknij
kolejno przycisk Narzdzia kart i pozycj Nowa karta InPrivate.
15
http://www.microsoft.com/en-us/download/details.aspx?id=7558
16
http://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx