Windows hardening


Logovanie je neoddeliteľnou súčasťou Windows hardeningu, pretože poskytuje dôkazy, detekciu hrozieb, možnosť analýzy a celkovo zlepšenie ochrany systému. Bez riadneho logovania by bolo náročné monitorovať a ochraňovať systém pred rôznymi hrozbami a neoprávnenými aktivitami.

  1. Stlačte + R
  2. Napíšte eventvwr a stlačte OK
  3. Kliknite na Windows Logs v okne ktoré sa otvorí
  4. Vyhľadávajte medzi rôznymi druhmi logov, ktoré vás zaujímajú
Aké druhy udalostí je možné v logoch nájsť?

  • Application – incidenty spojené s aplikáciami nainštalovanými v zariadení
  • Security – informácie na základe Windows system's audit policies, napr. Pokusy o prihlásenie
  • Setup – informácie týkajúce sa inštalácie, aktualizácií a konfigurácie OS
  • System – udalosti špecifické k systému Windows, ako napr. Stav ovládačov zariadení
  • Forwarded - informácie prichádzajúce z iných zariadení v tej istej sieti

Rozšírené nastavenie logovania: (nie je dostupné vo verzii Windows Home)

  1. Stlačte + R
  2. Napíšte gpedit.msc a stlačte OK
  3. Konfigurácia počítača > Nastavenie systému Windows > Security Settings > Advanced Audit Policy Configuration > System Audit Policies
  • Account Logon > Audit Credential Validation > Vyberte Success a Failure
  • Account Management >
    → Audit Computer Account Management > Vyberte Success a Failure
    → Audit Other Account Management Events > Vyberte Success a Failure
    → Audit Security Group Management > Vyberte Success a Failure
    → Audit User Account Management > Vyberte Success a Failure

  • Detailed Tracking >
    → Audit PNP Activity > Vyberte Success a Failure
    → Audit Process Creation > Vyberte Success a Failure

  • Logon/Logoff >
    → Audit Account Lockout > Vyberte Success a Failure
    → Audit Logon > Vyberte Success a Failure
    → Audit Special Logon > Vyberte Success a Failure

  • Privilege Use > Audit Sensitive Privilege Use > Vyberte Success
  • System >
    → Audit IPsec Driver > Vyberte Success a Failure
    → Audit Security System Extension > Vyberte Success a Failure


Silné heslá sú kľúčovým prvkom v rámci procesu zabezpečenia systému Windows. Systémy Windows sú vystavené rôznym hrozbám, vrátane pokusov o neoprávnený prístup, útoky typu hrubou silou a rôzne formy iných kybernetických útokov. Silné heslá hrajú dôležitú úlohu pri minimalizovaní týchto rizík a zvýšení celkovej bezpečnosti systému. Tu je niekoľko krokov, ktoré vám pomôžu manuálne vytvoriť silné heslo:

  1. Heslo by malo mať minimálne 12 znakov, no 14 a viac je odporúčaná dĺžka.
  2. V hesle by sa mala nachádzať kombinácia malých a veľkých písmen, čísel a znakov.
  3. V hesle by sa nemali nachádzať slová nachádzajúce sa v slovníkoch, mená osôb či fiktívnych postáv, názvy produktov, miest či organizácií.
  4. Heslo by nemalo byť rovnaké, ani podobné heslu, ktoré ste už pred tým použili.
Pokiaľ je to možné, odporúčame používať správcov hesiel. Moderné aplikácie na správu hesiel umožňujú kontrolu hesiel voči známym únikom, generovanie bezpečných hesiel a ich automatické dopĺňanie na korektných doménach.
Medzi odporúčaných správcov hesiel patria napríklad riešenia KeePass (KeePass Password Safe či KeePassXC), Bitwarden, 1Password a ProtonPass.

Vynútenie dĺžky alebo komplexnosti hesiel sa dá nastaviť nasledovným spôsobom: (nie je dostupné vo verzii Windows Home)

  1. Stlačte + R
  2. Napíšte gpedit.msc a stlačte OK
  3. Konfigurácia počítača > Nastavenie systému Windows > Security Settings > Account Policies > Password Policy
  4. Vyberte si z nasledovných nastavení čo považujete za potrebné
Takisto je vhodné nastaviť čas, na ktorý sa zablokuje systém Windows, po určitom počte neúspešných pokusov prihlásenia. Na tomto mieste je možné nastaviť čas aj počet pokusov:

  1. Stlačte + R
  2. Napíšte gpedit.msc a stlačte OK
  3. Konfigurácia počítača > Nastavenie systému Windows > Security Settings > Account Policies > Account Lockout Policy


LM hash sa v dnešnej dobe považuje za slabý a ľahko prelomiteľný útokom hrubou silou. Heslá kratšie ako 15 znakov bývajú štandardne ukladané aj pomocou tohto hashu v zariadeniach užívateľov. Bezpečnejšou alternatívou je ukladanie hesiel iba pomocou NTLMv2, ktorá sa dá vynútiť nasledovným spôsobom:

  1. Stlačte + R
  2. Napíšte gpedit.msc a stlačte OK
  3. Konfigurácia počítača > Nastavenie systému Windows > Security Settings > Local Policies > Security Options > Network Security: Do not store LAN Manager hash value on next password change > Enable


Windows Hello je funkcionalita, ktorá dovoľuje zariadeniam s Windows 10 a 11 prístup do systému bez zadávania hesla. Prihlásenie je možné pomocou kódu PIN, rozpoznaním tváre alebo odtlačku prsta. Jej jedinečnou výhodou je, že ju nemožno zneužiť na diaľku. Aj keď používateľ vyberie možnosť prihlásenia pomocou PIN kódu, je stále potrebné, aby fyzicky interagoval s klávesnicou. Naopak heslo, by mohlo byť použité na vzdialený prístup bez fyzickej interakcie s konkrétnym zariadením.

  1. Vyberte položky Štart > Nastavenia > Kontá > Možnosti prihlásenia.
  2. Pri Windows 10 vyberte Spravovanie spôsobu prihlasovania do zariadenia a pri Windows 11 vyberte Spôsoby prihlásenia
  3. Zvoľte jednu z možností (PIN, odtlačok prsta alebo Rozpoznanie tváre)


Udržiavať operačný systém a softvér aktuálny je kľúčové pre zabezpečenie a správne fungovanie zariadenia. Nasledovné kroky, vám pomôžu nastaviť automatické aktualizácie pre Microsoft produkty.

  1. Vyberte položky Štart > Nastavenia
  2. Pri Windows 10 vyberte Aktualizácia a zabezpečenie a pri Windows 11 vyberte Windows Update
  3. Vyberte Rozšírené možnosti
  4. Zvoľte Prijímať/Získavať aktualizácie pre ďalšie produkty spoločnosti Microsoft.
Ako už bolo spomenuté, pravidelné aktualizácie sú veľmi dôležitou súčasťou bezpečnosti, preto odporúčame pravidelne aktualizovať akýkoľvek iný softvér, avšak to už treba robiť manuálne.

Nasledujúce nastavenia pomôžu vášmu zariadeniu pridať určitý stupeň anonymity pri vyhľadávaní, hlavne voči nástroju Cortana .

  1. Stlačte + R
  2. Napíšte gpedit.msc a stlačte OK
  3. Konfigurácia počítača > Administrative Templates > Windows Components > Search
  • Allow Cloud Search > Disabled
  • Allow Cortana > Disabled (nie je nutné)
  • Allow Cortana above lock screen > Disabled
  • Allow indexing of encrypted files > Disabled
  • Allow search and Cortana to use location > Disabled
  • Set what information is shared in Search > Enabled: Anonymous info
    •

BitLocker je šifrovacia technológia od Microsoftu pre ochranu dát na disku v systéme Windows. Jeho použitie v rámci Windows Hardeningu prináša výhody ako silné šifrovanie diskov, ochranu pred stratou dát pri krádeži alebo obmedzenie prístupu k citlivým dátam pre osoby s fyzickým prístupom k zariadeniu. Softvér je dostupný pre verzie Pro, Enterprise a Education. Home edícia túto možnosť neposkytuje.

Návod a bližšie informácie sú dostupné na našej stránke na nasledujúcom linku: Návod k BitLocker odporúčaniam

Na konci sa uistite, že je BitLocker zapnutý na každom disku nachádzajúcom sa v systéme.

  1. Control Panel
  2. System and Security
  3. Bitlocker Drive Encryption


Táto možnosť dovoľuje pridať jednu bezpečnostnú vrstvu do zariadenia tým, že chráni procesy pred nebezpečným kódom tak, že ich virtuálnym prostredím oddelí od pamäte. Spolu s izoláciou jadra sa využíva vlastnosť Integrita Pamäte.

  1. Nastavenia > Súkromie a zabezpečenie > Windows Zabezpečenie > Zabezpečenie zariadenia > Izolácia jadra > Podrobnosti o izolácii jadra
  2. Pod Integritou pamäte je potrebné kliknúť na tlačidlo Zapnúť


Správne nastavenie Microsoft Defendera môže byť v niektorých prípadoch účinnejšie ako niektoré dostupné antivírusové riešenia. V nasledujúcej časti budú popísané rozširujúce pravidlá, ktoré by mali pomôcť k hlbšiemu zabezpečeniu zariadenia. Nastavenia nie sú dostupné vo verzii Home a verziách starších ako Windows 10.
Ide o takzvané ASR (Attack Surface Reduction) pravidlá, ktoré sa používajú na zvýšenie bezpečnosti systému obmedzením rôznych potenciálne nebezpečných činností. Patrí medzi ne obmedzenie vykonávania potenciálne škodlivých skriptov, obmedzenie prístupu k dôležitým systémovým priečinkom a registrom, blokovanie manipulácie so systémovými nastaveniami a aplikáciami, blokovanie neoverených procesov z externých diskov, obmedzenie automatického spúšťania aplikácií z neznámych zdrojov a všeobecné zvýšenie bezpečnosti systému Windows obmedzením potenciálne rizikových operácií a činností, ktoré môžu útočníci zneužiť.

  1. Stlačte + R
  2. Napíšte gpedit.msc a stlačte OK
  3. Konfigurácia počítača > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Attack Surface Reduction > Vybrať Configure Attack Surface Reduction rules > Zakliknúť Enable > Stlačte tlačidlo Show > Vložte pravidlá
Pravidlo sa vytvorí vložením GUID do ľavého stĺpca tabuľky a do stĺpca Value je potrebné vložiť hodnotu 1.

Príklad pre pravidlo Block abuse of exploited vulnerable signed drivers:

Value Name Value
56a863a9-875e-4185-98a7-b882c64b5ce5 1

Nasledujúca tabuľka obsahuje zoznam všetkých pravidiel aj s ich GUID:

Názov pravidla GUID
Block abuse of exploited vulnerable signed drivers 56a863a9-875e-4185-98a7-b882c64b5ce5
Block Adobe Reader from creating child processes 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Block all Office applications from creating child processes d4f940ab-401b-4efc-aadc-ad5f3c50688a
Block credential stealing from the Windows local security authority subsystem (lsass.exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Block executable content from email client and webmail be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Block executable files from running unless they meet a prevalence, age, or trusted list criterion 01443614-cd74-433a-b99e-2ecdc07bfc25
Block execution of potentially obfuscated scripts 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Block JavaScript or VBScript from launching downloaded executable content d3e037e1-3eb8-44c8-a917-57927947596d
Block Office applications from creating executable content 3b576869-a4ec-4529-8536-b80a7769e899
Block Office applications from injecting code into other processes 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Block Office communication application from creating child processes 26190899-1602-49e8-8b27-eb1d0a1ce869
Block persistence through WMI event subscription e6db77e5-3df2-4cf1-b95a-636979351e5b
Block process creations originating from PSExec and WMI commands d1e49aac-8f56-4280-b9ba-993a6d77406c
Block untrusted and unsigned processes that run from USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Block Win32 API calls from Office macros 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Use advanced protection against ransomware c1db55ab-c21a-4637-bb3f-a12568109d35

Popis jednotlivých pravidiel nájdete na nasledovnom linku: Podrobný popis ASR pravidiel

Ďalším zaujímavým nastavením pre Microsoft Defender môže byť povolenie detekcie pre PUA (Potentially unwanted application) . Ide o softvér v zariadení, ktorý je nechcený, ako napríklad adware.

Konfigurácia počítača > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Configure detection for potentially unwanted applications > Enabled