Větší vyztužení Windows proti potenciálním útokům není nová myšlenka. Jde o koncept zabezpečení, který je vyzkoušený už desítky let. Namísto zvyšování zabezpečení systému pomocí dalších nástrojů jde Windows hardening opačným směrem: omezením počtu funkcí systému se zmenšuje počet cílů potenciálních útoků. Problém je, že Microsoft žádný nástroj pro vyztužení Windows nenabízí. Uživatelé často sahají po ručních úpravách registru, což je časové náročné a může do systému vnést chyby.
Bezplatný nástroj Hard Configurator pracuje při posílení Windows se zásadami softwarových omezení (Software Restriction Policies – SRP) čili omezuje rozsah funkcí. Tato strategie je dobrá, ale jsou s ní spojena i jistá rizika. Pokud sáhnete vedle, může se také stát, že váš systém bude nepoužitelný; například se nespustí programy. Vše má ale dobrý začátek: po prvním spuštění nástroj vytvoří bod obnovení systému. A co je ještě lepší, nejprve si vytvořte zálohu Windows pomocí zálohovacího programu, a teprve poté se pusťte do vyztužování systému.
Hard Configurator 6.0 Final
Pomocí bezplatného nástroje Hard Configurator můžete zmenšit počet cílů potenciálních bezpečnostních útoků na Windows.
Na uživatelské rozhraní je potřeba si zvyknout
Grafika není ani krásná, ani přehledná, ale o to přeci nejde. Poskytuje alespoň nápovědu v angličtině. | Zdroj: Hard_Configurator
Grafické rozhraní programu není ani elegantní, ani přehledné, a dodávané skiny tomu moc nepomáhají. Důležitý ale není ani tak vzhled, jako spíš rozsah dodávaných funkcí, který je působivý. Dva sloupce v základní obrazovce programu, jsou stěžejní. Vlevo je sloupec SRP se zásadami omezení softwaru, vpravo jsou ostatní omezení především pro zvýšení bezpečnosti systému Windows.
Tlačítko Update vlevo nahoře stáhne novou verzi, která se ale stále oficiálně nazývá beta. Nabízí ale přeci jen poněkud přehlednější rozhraní. Téměř u všech položek je k dispozici samostatné tlačítko nápovědy s dalšími informacemi. Před změnou nastavení je dobré si je přečíst.
Přijímání návrhů šetří práci
Programy z bílé listiny lze spustit jako obvykle. | Zdroj: Hard_Configurator
Dobrá taktika je hned kliknout na tlačítko "Recommended Settings". Poté nástroj nastaví pro jednotlivé položky smysluplné hodnoty, např. blokuje vzdálený přístup a umožňuje spouštění pouze určitých typů souborů. Doporučená nastavení programu lze použít jako rychlé řešení.
Potom ale už například nepůjde instalovat nové programy jednoduše poklepáním. Místo toho budete muset přejít do kontextové nabídky a vybrat možnost "Run As SmartScreen". Stažené soubory z internetu pomocí prohlížeče také nepůjde spustit hned. Budete je muset nejprve stáhnout a poté opět spustit přes kontextové menu. Přenosné nástroje je dobré přidat do seznamu bílé listiny. Jak je vidět na těchto příkladech, vyztužení Windows přeci jen omezuje uživatelský komfort systému.
Doporučená výchozí nastavení Hard Configuratoru ale nemusíte použít. Můžete postupovat cíleně krok za krokem a upravit každé jednotlivé nastavení. Nejlepší praxe je vždy změnit jedno nastavení a poté otestovat jeho dopad. Je to těžkopádné a pomalé, ale vyztužování Windows pro větší odolnost vůči útokům nejde rychle. Změny se projeví po stisku "Apply Changes", což zpravidla vyžaduje i restart systému.
Vyztužení Windows Defenderu
Pro vyšší odolnost proti případným útokům můžete vyztužit i Windows Defender. | Zdroj: Hard_Configurator
Pokud používáte Windows Defender, můžete k nastavení mnoha antivirových možností použít volbu "Configure Defender". Existují tři rychlá předdefinovaná nastavení: "Default", "High" a "Max". "Default" jsou výchozí nastavení po instalaci. Volbou "High" aktivujete několik dodatečných možností, jako např. Exploit Guard. Při nastavení "Max" budou všechna bezpečnostní nastavení provedena na nejvyšší úroveň. Zároveň bude modul Zabezpečení systému Windows skrytý. K nastavení poté můžete přistupovat pouze přes volbu "Configure Defender". Kromě výběru úrovní zabezpečení můžete také podrobně přizpůsobit jednotlivá nastavení. Zajistíte tím, aby Windows Defender fungoval tak, jak chcete.
V PŘÍPADĚ PROBLÉMŮ ZACHOVEJTE chladnou hlavu
Ještě jednou prosím pozor. Vyztužení Windows znamená omezení funkcí a pohodlí. Je to cena za snížení počtu vektorů útoku. Pokud ale nastavíte něco příliš omezujícího, Windows také můžete snadno zablokovat. Pro podobné případy máte v Hard Configuratoru vestavěné možnosti k řešení nastalého problému. Pomocí zelených tlačítek "Switch OFF/ON SRP" a "Switch OFF/ON Restrictions" omezení odpojíte. Vše by mělo začít fungovat tak, jako před omezením.
V části "Tools" lze také obnovit výchozí nastavení systému Windows anebo odstranit instalaci Hard Configuratoru. Tím se obnoví i výchozí nastavení všech změněných hodnot registru.
Vyztužení Windows má smysl, ale ne pro každého
Metody SRP mají při zabezpečení Windows své místo. Problém je, že to není úplně snadné a vyžaduje čas. Ani pomocí nástrojů, jako je Hard Configurator, to není nijak triviální. Vše je činností spíš pro pokročilé uživatele. K dobré praxi patří si před experimenty s vyztužováním systému vytvořit zálohu. Ušetří vám to spoustu času a práce v okamžiku, pokud byste to s nastavením odolnosti systému přehnali.