Wraz z wydaniem Windows Server 2025, Microsoft kontynuuje dążenie do zwiększenia bezpieczeństwa systemów serwerowych. Jednak nawet najnowsza wersja Windows wymaga ręcznego wyłączenia starszych, podatnych lub niezalecanych mechanizmów. Poniżej lista kluczowych elementów do wyłączenia oraz instrukcje, jak to zrobić.
Wyłączenie NTLM (NT LAN Manager)
NTLM to przestarzały protokół uwierzytelniania, podatny na ataki typu relay czy brute-force. W środowisku domenowym warto wymusić użycie Kerberos.
Co zrobić:
- Monitorować użycie NTLM.
- Wyłączyć NTLM tam, gdzie to możliwe.
Konfiguracja GPO:
Ścieżka:Computer Configuration - Windows Settings - Security Settings - Local Policies - Security Options
Opcje:
- Network security: LAN Manager authentication level: ustaw na
Send NTLMv2 response only. Refuse LM & NTLM. - Network security: Restrict NTLM: Incoming NTLM traffic: ustaw na
Deny all accounts.
Monitoring:
Włącz logowanie NTLM:
Event ID 4624,4776,8004– analiza z pomocą Advanced Security Audit i Windows Event Viewer.
Wyłączenie SMBv1
SMBv1 to bardzo stary protokół udostępniania plików – znany z podatności używanych m.in. przez ransomware WannaCry.
Deinstalacja:
|
1 |
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol |
Sprawdzenie:
|
1 |
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol |
Dodatkowo:
Zaleca się wymuszenie SMBv3 i szyfrowania SMB:
- W GPO:
Computer Configuration - Administrative Templates - Network - Lanman Workstation Enable insecure guest logons– ustaw na Disabled.
Wyłączenie starych wersji TLS/SSL
TLS 1.0 i 1.1 są uznawane za niespełniające dzisiejszych standardów bezpieczeństwa.
Rejestr systemowy (TLS):
|
1 |
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]<br>"Enabled"=dword:00000000 |
|
1 |
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]<br>"Enabled"=dword:00000000 |
Wymuszanie TLS 1.2 / 1.3:
W tym samym kluczu rejestru, upewnij się, że:
|
1 |
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]<br>"Enabled"=dword:00000001 |
Wyłączenie SSH z niepewnymi algorytmami
Jeśli używasz OpenSSH for Windows, wyłącz stare algorytmy:
Plik konfiguracyjny:
|
1 |
{!{code}!}czozMzpcIkM6XFxcXFByb2dyYW1EYXRhXFxcXHNzaFxcXFxzc2hkX2NvbmZpZ1wiO3tbJiomXX0={!{/code}!} |
Dodaj/zmodyfikuj:
|
1 |
Ciphers aes256-ctr,aes192-ctr,aes128-ctr<br>KexAlgorithms curve25519-sha256,ecdh-sha2-nistp521<br>MACs hmac-sha2-512,hmac-sha2-256 |
Po zmianach:
|
1 |
Restart-Service sshd |
Wyłączenie Windows Script Host (WSH)
Windows Script Host (cscript, wscript) może być używany do uruchamiania niebezpiecznych skryptów .vbs, .js itd.
Wyłączenie WSH przez rejestr:
|
1 |
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings]<br>"Enabled"=dword:00000000 |
Lub dla bieżącego użytkownika:
|
1 |
[HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings]<br>"Enabled"=dword:00000000 |
Podsumowanie
Wyłączenie przestarzałych technologii takich jak NTLM, SMBv1, TLS 1.0/1.1, stare algorytmy SSH czy Windows Script Host to kluczowy krok w hardeningu Windows Server 2025. Dzięki temu znacząco ograniczamy powierzchnię ataku i dostosowujemy serwer do aktualnych standardów bezpieczeństwa. To proste działania, które realnie podnoszą odporność systemu na współczesne zagrożenia.
Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.
Link do formularza tutaj: https://beitadmin.pl/pomysly
Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).
