En af de populære metoder til at konfigurere Microsoft Windows-maskiner er at bruge gruppepolitik. Disse er indstillinger relateret til registrering på computeren, konfiguration af sikkerhedsindstillinger og adfærd ved betjening af maskinen. Gruppepolitik kan åbnes fra Active Directory (fra klienten) eller konfigureres direkte på maskinen (lokalt). Windows 8.1 og Windows Server 2012 R2-maskiner har mere end 3.700 indstillinger for operativsystemet.
Nedenfor er 10 vigtige gruppepolitikindstillinger, som du skal være opmærksom på. Stop ikke bare ved disse 10 indstillinger, fordi hver rimelig indstilling hjælper med at reducere risikoen. Men disse 10 valg vil afgøre næsten alt.
Hvis du opsætter disse 10 navne korrekt, vil du skabe et mere sikkert Windows-miljø. Alle er placeret i Computerkonfiguration/Windows-indstilling/Sikkerhedsindstillinger.
1. Omdøb den lokale administratorkonto
Hvis skurkene ikke kender navnet på administratorkontoen, vil det tage dem længere tid at hacke. Omdøbning af admin-kontoen kan ikke ske automatisk, du skal gøre det selv.
2. Deaktiver gæstekontoen
En af de værste ting, du kan gøre, er at slå denne konto til. Det giver flere adgangsrettigheder til Windows-maskiner og kræver ikke en adgangskode. Heldigvis er der en mulighed for at deaktivere denne funktion som standard.

Konfigurer gruppepolitik korrekt for at sikre sikkerheden på din Windows-maskine
3. Deaktiver LM og NTLM v1
LM (LAN Manager) og NTLM v1-godkendelsesprotokol er sårbare. Brug NTLM v2 og Kerberos. Som standard accepterer de fleste Windows-maskiner alle fire protokoller. Medmindre du har en gammel maskine (mere end 10 år gammel) og ikke er blevet lappet, anbefales det sjældent at bruge den gamle protokol. De kan som standard deaktiveres.
4. Deaktiver LM-lagring
LM password hashes konverteres nemt til almindelig tekst. Lad ikke Windows gemme dem på drevet, hvor hackere kan bruge værktøjer til at finde dem. Den er som standard deaktiveret.
5. Minimum adgangskodelængde
Adgangskodelængden for normale brugere skal være mindst 12 tegn - 15 tegn eller mere for konti på højere niveau. Windows-adgangskoder er ikke særlig sikre, hvis de er mindre end 12 tegn. For at være sikrest i Windows-godkendelsesverdenen bør den være 15. Dette vil lukke næsten alle bagdøre.
Desværre havde den gamle gruppepolitikindstilling kun et maksimum på 14 tegn. Brug finkornede adgangskodepolitikker Selvom det ikke er nemt at konfigurere og konfigurere på Windows Server 2008 R2 (og ældre), er det meget nemt med Windows Server 2012 og nyere.
6. Maksimal adgangskodelevetid
Adgangskoder med 14 tegn eller mindre må ikke bruges længere end 90 dage. Windows' standard maksimale adgangskodevarighed er 42 dage, så du kan bruge dette tal eller øge det til 90 dage, hvis du vil. Nogle sikkerhedseksperter siger, at det er okay at bruge en adgangskode i op til et år, hvis den har 15 tegn eller mere. Husk dog, at jo længere fristen er, jo større er risikoen for, at nogen stjæler den og bruger den til at få adgang til en anden konto tilhørende den samme person. Kortvarig brug er stadig bedre.
7. Hændelseslogs
Mange ofre for angreb kunne være blevet opdaget tidligt, hvis de aktiverede hændelseslogfiler og fik for vane at tjekke dem. Sørg for, at du bruger de anbefalede indstillinger i Microsoft Security Compliance Manager- værktøjet , og brug Audit Underkategorier.
8. Deaktiver anonym SID-deltagelse
Security Identifiers (SID - security identifier) er numre, der er tildelt hver bruger, gruppe og sikkerhedsobjekt på Windows eller Active Directory. I tidlige versioner af Windows kunne uautoriserede brugere forespørge på disse numre for at identificere vigtige brugere (som administratorer) og grupper, som hackere elskede at udnytte. Denne deltagelse kan deaktiveres som standard.
9. Lad ikke anonyme konti være i alles gruppe
Denne indstilling og den tidligere indstilling, når den er forkert konfigureret, vil tillade en anonym person at få adgang til systemet længere end tilladt. Begge indstillinger har været aktiveret som standard (deaktiver anonym adgang) siden 2000.
10. Aktiver brugerkontokontrol (UAC)
Siden Windows Vista er UAC det bedste beskyttelsesværktøj, når du surfer på nettet. Men mange mennesker slår det fra på grund af gamle oplysninger om softwarekompatibilitetsproblemer. De fleste af disse problemer er væk; det, der er tilbage, kan løses ved hjælp af Microsofts gratis inkompatibilitetsdetektionsværktøj. Hvis du deaktiverer UAC, er du i større risiko på Windows NT end på nyere operativsystemer. UAC er aktiveret som standard.

Nye OS-versioner har mange korrekte standardindstillinger
Hvis du er opmærksom, vil du se, at 7 ud af 10 af disse indstillinger er konfigureret korrekt på Windows Vista, Windows Server 2008 og senere versioner. Ingen grund til at spilde tid på at lære alle 3.700 gruppepolitikindstillinger, bare konfigurer ovenstående 10 indstillinger korrekt, og du er færdig.