Hardening (utwardzanie) to proces zwiększania bezpieczeństwa systemów informatycznych poprzez eliminację potencjalnych luk i słabych punktów, aby utrudnić cyberataki. Polega na konfiguracji systemu w taki sposób, aby zminimalizować podatność na zagrożenia, co obejmuje wyłączanie zbędnych usług, aktualizowanie oprogramowania, wzmocnienie polityk dostępu oraz usuwanie niepotrzebnych programów i protokołów. Jest to ciągły proces, a nie jednorazowe działanie.
Wdrożenie hardeningu znacznie podnosi poziom cyberbezpieczeństwa danej organizacji, zmniejszając ryzyko wycieków danych, nieautoryzowanego dostępu i infekcji złośliwym oprogramowaniem.
Zapisz się już dziś!
Sprawdź szczegóły: https://asdevops.pl/kurs-zabbix
Standardy i wytyczne
Niezależnie od wybranego narzędzia, kluczowe jest oparcie się na uznanych standardach bezpieczeństwa, takich jak:
- Microsoft Security Baselines
- CIS Benchmarks (Center for Internet Security)
- DISA STIG (Defense Information Systems Agency Security Technical Implementation Guides)
W tym artykule skupię się na tym, jak w praktyce wzmocnić bezpieczeństwo Windows 11 za pomocą Microsoft Security Compliance Toolkit oraz narzędzia LGPO. Korzystam z najnowszego Windows 11 25H2 Security Baseline oraz gotowych szablonów STIG GPO, aby krok po kroku przeprowadzić pełny hardening systemu, zgodnie ze standardami CIS/DoD. Jeśli chcesz szybko podnieść poziom bezpieczeństwa swojego Windowsa i wdrożyć profesjonalne benchmarki w praktyce.
Instalacja i wdrożenie Microsoft Security Compliance Toolkit 1.0
Przejdź na stronę i Kliknij „Download” :
https://www.microsoft.com/en-us/download/details.aspx?id=55319
Zaznacz Windows (wersja zależnie od twojego sytemu) Security Baseline.zip oraz LGPO.zip, następnie „Download”:
Dodatkowo ściągnij program do skanowania polityk zabezpieczeń (w celu weryfikacji hardeningu) z strony:
https://dl.dod.cyber.mil/wp-content/uploads/stigs/zip/scc-5.12.1_Windows_bundle.zip
Po ściągnięciu wypakuj wszystkie pliki. Przejdź do folderu „scc-xxx_Windows_bundle” uruchom program instalacyjny „SCC_xx_Windows_Setup”. Wyskoczy niebieskie okno, kliknij „Więcej informacji” a następnie kliknij „Uruchom mimo to”:
Zainstaluj program. Uruchom program z skrótu na pulpicie lub wciskając klawisz Windows, wyszukaj „scap”:
Po uruchomieniu programu, prawym myszy kliknij na „Windows” a następnie „Clear All”:
Wybierz 3 opcje. „Microsoft_Windows_xx_STIG” (zależnie od wersji Windowsa), „MA_Defender_Antivirus oraz „Windows_Firewall_with_Advanced_Security”:
Następnie wykonaj pierwsze skanowanie „Start Scan”, potwierdź skanowanie „Continue” i Cierpliwie czekaj na wyniki:
Po skanowaniu pojawi się przycisk „View Results”
Wyniki są podane procentowo tak jak na screenie (u mnie to odpowiedni 25%, 43,9% oraz 31.74%). Kiepski wynik, ale spokojnie zaraz znacznie poprawimy te wyniki 😉
Klikając Windows, wpisz „cmd” i „Uruchom jako administrator”:
Następnie przejdź do folderu gdzie wypakowałeś/aś „LGPO” i skopuj adres ścieżki:
W wierszu poleceń wpisz „cd” spacja i wklej tą ścieżkę, enter i już jesteśmy w folderze, gdzie będziemy Uruchamiać skrypty z politykami zabezpieczeń:
By skopiować ową ścieżkę, wejdź do folderu Windows xxx Security Baseline:
Skopiuj ścieżkę i wklej pomiędzy cudzysłowy:
Teraz wpisz w wierszu poleceń:
LGPO.exe /g "Ścieżka_do_polityk_bezpieczeństwa", wciśnij "Enter" by uruchomić skrypty:
Po zainstalowaniu polityk bezpieczeństwa jeszcze raz przeskanuj system, programem „SCAP Compliance Checker” i sprawdź wyniki:
Nieźle! U mnie wyniki prezentują się o wiele lepiej. Windows_firewall 100% ! MS_Defender 73.17% oraz Microsoft_Windows 70.87%
Instalacja i wdrożenie STIG GPO
Na świeżym systemie Windows, alogicznie ściągnij program do skanowania polityk zabezpieczeń (w celu weryfikacji hardeningu) z strony:
MOŻESZ POMINĄĆ TEN KROK JEŚLI CHCESZ. ZALECAM PRZEJŚĆ TEN PROCESZ OD POCZĄTKU W CELACH UTRWALENIA PROCESU I BAZOWEJ REFERENCJI WYNIKÓW.
https://dl.dod.cyber.mil/wp-content/uploads/stigs/zip/scc-5.12.1_Windows_bundle.zip
Po ściągnięciu wypakuj wszystkie pliki. Przejdź do folderu „scc-xxx_Windows_bundle” uruchom program instalacyjny „SCC_xx_Windows_Setup”. Wyskoczy niebieskie okno, kliknij „Więcej informacji” a następnie kliknij „Uruchom mimo to”:
Zainstaluj program. Uruchom program z skrótu na pulpicie lub wciskając klawisz Windows, wyszukaj „scap”:
Po uruchomieniu programu, prawym myszy kliknij na „Windows” a następnie „Clear All”:
Wybierz 3 opcje. „Microsoft_Windows_xx_STIG” (zależnie od wersji Windowsa), „MA_Defender_Antivirus oraz „Windows_Firewall_with_Advanced_Security”:
Następnie wykonaj pierwsze skanowanie „Start Scan”, potwierdź skanowanie „Continue” i Cierpliwie czekaj na wyniki:
Po skanowaniu pojawi się przycisk „View Results”
Wyniki są podane procentowo tak jak na screenie (u mnie to odpowiedni 25%, 43,9% oraz 31.74%). Kiepski wynik, ale spokojnie zaraz znacznie poprawimy te wyniki 😉
Ściągnij STIG GPO – polityki bezpieczeństwa oraz LGPO:
https://www.cyber.mil/stigs/gpo
https://download.microsoft.com/download/8/5/C/85C25433-A1B0-4FFA-9429-7E023E7DA8D8/LGPO.zip
Wypakuj, ponownie wciśnij klawisz Windows, wpisz „cmd” i „Uruchom jako administrator”:
Następnie przejdź do folderu gdzie wypakowałeś/aś „LGPO” i skopuj adres ścieżki:
W wierszu poleceń wpisz „cd” spacja i wklej tą ścieżkę, enter i już jesteśmy w folderze, gdzie będziemy Uruchamiać skrypty z politykami zabezpieczeń:
Przejdź do folderu „U_STIG_GPO_PAKAGE_October_2025” (wersja na stronie może się różnić):
W tej lokalizacji znajduje się sporo folderów (wybierz foldery, które odpowiadają Twojej wersji systemu), w moim przypadku będzie to „DoD Windows 11 v2r5”, następnie wybierz „DoD Widdows Defender Firewall v2r2 oraz „DoD Microsoft Defender Antivirus STIG…
Po kolei kopiuj u instaluj polityki bezpieczeństwa w wierszu poleceń:
Przypominam składnie:
LGPO.exe /g "Ścieżka_do_polityk_bezpieczeństwa", wciśnij "Enter" by uruchomić skrypty:
Po zainstalowaniu wszystkich polityk z tych forderów, przeskanuj ponownie Swój system. U mnie wyniki prezentują się następująco:
Podsumowanie
Wdrożenie Windows Security Baseline oraz STIG GPO pozwala znacząco podnieść poziom bezpieczeństwa systemów, poprzez wprowadzenie sprawdzonych i zweryfikowanych konfiguracji systemowych. Baseline zapewnia zestaw rekomendowanych ustawień od Microsoftu, które wzmacniają system bez utraty funkcjonalności, natomiast STIG dodaje bardziej rygorystyczne polityki zgodne ze standardami DISA/DoD. Efektem jest system skonfigurowany zgodnie z najlepszymi praktykami branżowymi i gotowy na wymagające środowiska bezpieczeństwa.
W materiale przedstawiłem najprostszy sposób wdrożenia hardeningu Windows 11, czyli użycie Windows Security Baseline oraz STIG GPO za pomocą Microsoft Security Compliance Toolkit i LGPO — bez konieczności ręcznej konfiguracji po wdrożeniu. Istnieją jednak także inne metody, takie jak PowerShell/DSC do automatyzacji ustawień, Ansible do większych środowisk czy narzędzia typu CIS-CAT i Wazuh do kontroli zgodności.
Dla pojedynczych komputerów rekomenduję LGPO + Security Baseline, dla małych firm PowerShell DSC, a dla większych środowisk domenowych GPO z centralnym zarządzaniem lub Ansible. Dzięki temu każdy może dobrać rozwiązanie do swoich potrzeb i poziomu skomplikowania infrastruktury.
Zapisz się już dziś!
Sprawdź szczegóły: https://asdevops.pl/kurs-zabbix