Windows Server - Hardening - Logi

Windows Server 2025 – Hardening Systemu – Logi cz.10

przez
Print Friendly, PDF & Email

Bezpieczeństwo systemów serwerowych to jeden z kluczowych elementów infrastruktury IT każdej organizacji. Nowoczesne zagrożenia wymagają nie tylko aktualnego oprogramowania antywirusowego czy firewalla, ale przede wszystkim odpowiedniego utwardzenia (hardeningu) systemu operacyjnego. Windows Server 2025 oferuje szereg mechanizmów, które – przy właściwej konfiguracji polityk grupowych (GPO) i logowania zdarzeń – pozwalają znacząco ograniczyć ryzyko ataków i nieautoryzowanego dostępu. W tym wpisie przyjrzymy się najważniejszym ustawieniom hardeningu, które warto wdrożyć, aby zabezpieczyć serwer oraz zapewnić pełną kontrolę nad tym, co dzieje się w środowisku.

Podstawy bezpieczeństwa (Baseline)

Microsoft od lat publikuje Security Baselines dla Windows Server.
Pobierzesz je z Microsoft Security Compliance Toolkit (SCT).
Dla Windows Server 2025 baseline zawiera gotowe GPO z ustawieniami:

  • Account Policies (np. minimalna długość hasła, blokada konta).
  • User Rights Assignment (kto może logować się lokalnie, przez RDP, kto ma prawa admina).
  • Security Options (np. wyłączanie SMBv1, podpisywanie SMB, NTLM restrictions).
  • Audit Policy (pełna konfiguracja logowania zdarzeń).
  • Advanced Audit Policy (szczegółowe śledzenie działań w logach).

Logi i audytowanie

Dobrze skonfigurowane logi są kluczowe, żeby widzieć co się dzieje w systemie.

Kategorie audytu (GPO → Computer Configuration → Policies → Windows Settings → Security Settings → Advanced Audit Policy Configuration)

Najważniejsze do włączenia:

  • Logon/Logoff → sukcesy i porażki (monitorowanie logowania użytkowników).
  • Account Logon → logowania do AD.
  • Object Access → dostęp do plików, rejestru.
  • Policy Change → zmiany w politykach bezpieczeństwa.
  • Privilege Use → użycie uprawnień admina.
  • System → np. restart, crash.
  • DS Access (dla DC) → dostęp do obiektów w AD.
  • Detailed Tracking → uruchamianie procesów.

Logi pojawią się w Event Viewer → Security log.
Można też skonfigurować centralne zbieranie logów (Windows Event Forwarding, SIEM, np. Sentinel/Zabbix/ELK).

Przykładowe ustawienia GPO Hardening

Hasła:

  • Minimum length: 14+ znaków
  • Complexity: włączona
  • Max password age: 60-90 dni
  • Lockout threshold: 5 prób

RDP:

  • Wymuszaj NLA (Network Level Authentication)
  • Wyłącz stare protokoły TLS < 1.2
  • Ogranicz logowanie RDP tylko dla grupy np. „Remote Desktop Users”

SMB / sieć:

  • Wyłącz SMBv1
  • Wymuś SMB podpisywanie i szyfrowanie (SMBv3)
  • Blokuj NTLM tam, gdzie możliwe

UAC / prawa lokalne:

  • „Deny log on locally” – dla wszystkich oprócz administratorów i serwisów
  • „Deny access to this computer from the network” – dla Everyone/Guests
  • Ogranicz lokalnych adminów tylko do konta wbudowanego + ewentualnie grupy z AD

Monitorowanie i alerty

  • Skonfiguruj Audit Policy + Log Retention (np. 1–2 GB Security log, overwrite as needed).
  • Wysyłaj logi do centralnego SIEM (np. Graylog, ELK, Sentinel, Splunk, Zabbix).
  • Ustaw alerty na kluczowe zdarzenia (np. ID 4625 – failed logon, ID 4720 – utworzenie nowego konta).

Dobre praktyki dodatkowe

  • Włącz Windows Defender Exploit Guard / ASR rules.
  • Zablokuj PowerShell v2 (stara wersja, brak logowania).
  • Wymuś TLS 1.2/1.3 jako minimum.
  • Regularne skany za pomocą Defender AV / Defender for Endpoint.
  • Zasada least privilege – tylko to, co potrzebne.

Proponowane rozwiązanie:

  • Zainstalować Microsoft Security Baseline dla Windows Server 2025.
  • Uzupełnić ją własnymi politykami (logi, RDP, SMB, hasła).
  • Wdrożyć centralny system zbierania logów i testować scenariusze (np. nieudane logowanie, tworzenie konta).

Podsumowanie

Hardening Windows Server 2025 to proces, który wymaga przemyślanej konfiguracji, konsekwencji i ciągłego monitorowania. Odpowiednie polityki GPO pozwalają zminimalizować powierzchnię ataku, a dobrze ustawione logowanie i audyt zapewniają pełną widoczność działań użytkowników oraz systemu. Wdrożenie bazowych wytycznych Microsoftu, w połączeniu z dodatkowymi dobrymi praktykami, stanowi solidny fundament bezpiecznego środowiska serwerowego. Warto pamiętać, że bezpieczeństwo nie jest jednorazowym działaniem, lecz ciągłym procesem – dlatego konfiguracja GPO i analiza logów powinny stać się stałym elementem administracji Windows Server 2025.

Print Friendly, PDF & Email

Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.

Link do formularza tutaj: https://beitadmin.pl/pomysly

Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).

Dodaj komentarz

beitadmin.pl - Droga Administratora IT