IT Hardening : 7 krokov praktickej ochrany v práci aj doma

IT Hardening: Praktická ochrana v práci aj doma

Vedel si, že väčšina útokov nezačína nulovou dňovou zraniteľnosťou, ale niečím, čo si nechal zapnuté zbytočne? IT hardening je tvoj digitálny obranný val.

🔒 Čo je hardening a prečo ho potrebuješ

Hardening znamená posilnenie systému a jeho konfigurácie tak, aby odolal útokom. Odstraňuje slabé miesta, minimalizuje povrch útoku a zefektívňuje detekciu incidentov.
Správne nastavený systém znižuje šance útočníka ešte predtým, než začne skúšať náhodné heslá či známe zraniteľnosti. Hardening neznamená iba vypnutie služieb – je to komplexný proces, ktorý sa týka konfigurácie, prístupov, rolí, záloh a monitorovania.

• Znižuje riziko kompromitácie: Menej otvorených portov = menej ciest pre útočníka
• Zlepšuje odolnosť voči ransomwaru: Ak nemá kam zapisovať, nemá ako škodiť
• Zabezpečuje súlad s normami: ISO 27001, GDPR, NIS2, PCI DSS a iné
• Minimalizuje dopady útoku: Ak sa niečo stane, dôsledky budú menšie
• Zvyšuje dôveryhodnosť systému: Najmä ak ide o verejné alebo externé služby
• Umožňuje rýchlejšie odhalenie anomálií: Jasné logy a sledovanie udalostí pomáhajú pri odhalení útoko

🔎 7 pilierov IT hardeningu

1. ✅ Odstráň, čo nepotrebuješ

• Zbytočné služby? Preč.
• Staré kontá a default heslá? Zmazať.
• Vypni UPnP, WPS, FTP, SMBv1.
• Zablokuj telnet, rlogin a iné zastarané protokoly.
• Vypni nepotrebné API alebo webové rozhrania na routeroch a NAS zariadeniach.
• Odstráň neaktívne pluginy v CMS systémoch ako WordPress.

2. ⬆️ Aktualizuj a patchuj

• Automatické záplaty na OS, router, aplikácie aj IoT
• Sleduj CVE, najmä pre zariadenia dostupné zvonka
• Využívaj patch management systémy ako WSUS, Intune alebo open-source alternatívy
• Nezabudni na aktualizáciu BIOSu, firmvéru diskov a periférií
• Odporúčame nastaviť centrálnu správu aktualizácií v sieti – ušetrí čas a znižuje riziko

3. 🔐 Heslá a MFA

• Používaj unikátne heslá, nie meno + 123
• Zapni MFA všade, kde to ide (aj doma)
• Správca hesiel (Bitwarden, KeePassXC) je must
• Nikdy nepoužívaj rovnaké heslá v práci a doma
• Pre rodinné účty nastav zdieľané trezory s prístupom len pre dospelých
• Skontroluj, či tvoje heslá neunikli pomocou nástrojov ako HaveIBeenPwned

4. ⚖️ Princíp najmenších práv

• Bežný užívateľ nie je admin
• Skript nemá přístup k všetkým zložkám
• Deti nemajú prístup k Wi-Fi nastaveniam
• Admin účty používaj len na administráciu, nie na každodennú prácu
• Aplikáciám prideľuj len minimálne oprávnenia podľa ich účelu (sandboxovanie)
• Využívaj GPO alebo MDM nástroje na správu práv centrálne

5. 🚧 Firewall a segmentácia

• Blokuj, čo nepotrebuješ (default deny)
• Rozdeľ sieť na VLAN – IoT zvlášť, hostí zvlášť
• Oddel prácu od zábavy
• Používaj IDS/IPS (napr. Suricata, Snort) na odhalenie podozrivých vzorov
• Zváž fyzické oddelenie sieťových zón (napr. cez samostatný Wi-Fi AP pre návštevy)
• Pravidelne kontroluj firewall logy a analyzuj pravidlá – minimalizuj výnimky

6. 🛠️ Šifrovanie a zálohy

• Disk (BitLocker, LUKS), komunikácia (TLS/VPN), cloud
• Záloha raz denne = pokoj raz naveky
• Zálohuj minimálne 3-2-1 spôsobom (3 kópie, 2 rôzne médiá, 1 offline)
• Dôležité dáta zálohuj na externý disk, NAS aj cloud (napr. pCloud, Tresorit)
• Šifrovanie aj na mobiloch (Android/iOS) by malo byť zapnuté automaticky
• Otestuj obnovu dát – samotná záloha nestačí, ak nefunguje

7. 📊 Audity a logovanie

• Zapni logovanie udalostí
• Sleduj prihlásenia, zmeny práv, inštalácie
• Nastav si upozornenia na podozrivé aktivity
• Využívaj open-source log kolektory ako Wazuh, Graylog alebo ELK stack
• Pravidelne analyzuj záznamy – minimálne raz týždenne
• Automatizuj notifikácie pre podozrivé správanie pomocou SIEM nástrojov

🏛 Hardening vo firme

• Zakázané default kontá na serveroch (napr. „admin“, „test“)
• Patch management cez WSUS alebo cloudový RMM (napr. NinjaOne, Atera)
• Oddelenie kancelárskych staníc a serverov do VLAN
• Centrálny monitoring cez SIEM a EDR systémy (napr. SentinelOne, CrowdStrike)
• Zamestnanci školení o phishingu každý štvrťrok
• Firewall pravidlá definované na princípe najmenších oprávnení
• Testovanie zraniteľností (napr. cez Nessus alebo OpenVAS)
• Pravidelné simulované útoky – red teaming
• Implementácia politiky BYOD so zabezpečeným sandboxovaním
• Vytváranie dokumentácie ku každému hardening kroku a jeho schváleniu vedením

🏠 Hardening doma

• Vypni zbytočné funkcie na routeri (UPnP, WPS, vzdialený prístup)
• Vytvor oddelenú Wi-Fi pre smart TV a robotický vysávač
• Silné heslá na NAS, kameru, Wi-Fi – nepoužívaj predvolené
• Aktualizuj firmware pravidelne, nastav pripomienku aspoň mesačne
• Deti nech používajú vlastný užívateľský účet bez opráv a s obmedzeným prístupom
• Zálohuj: cloud, externý disk, offline snapshot – a testuj obnovu dát
• Vypni Bluetooth a NFC, ak ich nepoužívaš
• Nezdieľaj celé disky po sieti – nastav len konkrétne priečinky so špecifickými oprávneniami
• Overuj aplikácie, ktoré si inštaluješ – aj v smart TV alebo herných konzolách
• Používaj antivírusy vhodné pre domácnosť, napríklad ESET, Bitdefender alebo Kaspersky

🌐 Záver

Hardening nie je len jednorazový krok. Je to mindset, ktorý by mal mať každý, kto chce fungovať bezpečne – doma, v práci, v škole aj na cestách. Nejde o paranoidné nastavovanie každého detailu, ale o zdravý rozum a preventívne opatrenia.
Stačí aj 20 minút mesačne a tvoje systémy budú o niekoľko tried odolnejšie. Zmeň heslá, prebehni logy, vypni neznáme služby. A či si admin v korporáte alebo otec na materskej, jeden firewall naviac ešte nikomu neuškodil.
Hardening je ako poistenie. Neochráni ťa pred všetkým, ale keď príde problém, budeš pripravený. Tvoje dáta, súkromie aj reputácia ti za to poďakujú.

_{Zdroj : CIS Benchmarks , NIST SP 800-123 , Microsoft Security Baselines, Linux Security Guides, HaveIBeenPwned}