10 svarbių „Windows“ grupės strategijos nustatymų, kuriuos reikia atlikti nedelsiant

Vienas iš populiariausių „Microsoft Windows“ įrenginių konfigūravimo būdų yra grupės strategijos naudojimas. Tai nustatymai, susiję su registracija kompiuteryje, saugos nustatymų konfigūracija ir elgesiu naudojant įrenginį. Grupės strategiją galima atidaryti iš „Active Directory“ (iš kliento) arba sukonfigūruoti tiesiai įrenginyje (vietinis). „Windows 8.1“ ir „Windows Server 2012 R2“ įrenginiuose yra daugiau nei 3700 operacinės sistemos nustatymų.

Žemiau yra 10 svarbių grupės politikos nustatymų , į kuriuos reikia atkreipti dėmesį. Nesustokite ties šiais 10 nustatymų, nes kiekvienas pagrįstas nustatymas padeda sumažinti riziką. Tačiau šie 10 pasirinkimų nulems beveik viską.

Jei teisingai nustatysite šiuos 10 pavadinimų, sukursite saugesnę „Windows“ aplinką. Visi yra Kompiuterio konfigūracija / „Windows“ nustatymai / saugos nustatymai.

1. Pervardykite vietinio administratoriaus paskyrą

Jei blogi vaikinai nežino administratoriaus paskyros pavadinimo, jiems nulaužti prireiks daugiau laiko. Administratoriaus paskyros pervadinimas negali būti atliekamas automatiškai, tai turite padaryti patys.

2. Išjunkite svečio paskyrą

Vienas iš blogiausių dalykų, kurį galite padaryti, yra įjungti šią paskyrą. Tai suteikia kelias prieigos teises prie „Windows“ įrenginių ir nereikalauja slaptažodžio. Laimei, pagal numatytuosius nustatymus yra galimybė išjungti šią funkciją.

Tinkamai nustatykite grupės strategiją, kad užtikrintumėte „Windows“ įrenginio saugumą

3. Išjunkite LM ir NTLM v1

LM (LAN Manager) ir NTLM v1 autentifikavimo protokolas yra pažeidžiami. Naudokite NTLM v2 ir Kerberos. Pagal numatytuosius nustatymus dauguma „Windows“ įrenginių priima visus keturis protokolus. Jei neturite senovinės mašinos (daugiau nei 10 metų) ir jos nepataisytos, retai rekomenduojama naudoti senąjį protokolą. Pagal numatytuosius nustatymus jie gali būti išjungti.

4. Išjunkite LM saugyklą

LM slaptažodžių maišos lengvai konvertuojamos į paprastą tekstą. Neleiskite „Windows“ išsaugoti jų diske, kur įsilaužėliai gali juos rasti naudodami įrankius. Pagal numatytuosius nustatymus jis išjungtas.

5. Minimalus slaptažodžio ilgis

Paprastų vartotojų slaptažodžio ilgis turi būti bent 12 simbolių – 15 ar daugiau simbolių aukštesnio lygio paskyrose. „Windows“ slaptažodžiai nėra labai saugūs, jei juos sudaro mažiau nei 12 simbolių. Kad būtų saugiausia Windows autentifikavimo pasaulyje, jis turėtų būti 15. Tai uždarys beveik visas galines duris.

Deja, senajame grupės strategijos nustatyme buvo ne daugiau kaip 14 simbolių. Naudokite išsamią slaptažodžio politiką. Nors tai nėra lengva nustatyti ir konfigūruoti naudojant „Windows Server 2008 R2“ (ir senesnę), tai labai lengva naudojant „Windows Server 2012“ ir naujesnę versiją.

6. Maksimali slaptažodžio naudojimo trukmė

Slaptažodžiai, sudaryti iš 14 ar mažiau simbolių, negali būti naudojami ilgiau nei 90 dienų. „Windows“ numatytoji maksimali slaptažodžio trukmė yra 42 dienos, todėl galite naudoti šį skaičių arba padidinti iki 90 dienų, jei norite. Kai kurie saugumo ekspertai teigia, kad iki metų naudoti slaptažodį yra gerai, jei jį sudaro 15 ar daugiau simbolių. Tačiau atminkite, kad kuo ilgesnis terminas, tuo didesnė rizika, kad kas nors jį pavogs ir pasinaudos prieigai prie kitos to paties asmens paskyros. Trumpalaikis naudojimas vis tiek yra geresnis.

7. Įvykių žurnalai

Daugelis atakų aukų galėjo būti aptiktos anksti, jei jos būtų įjungusios įvykių žurnalus ir įpratusios juos tikrinti. Įsitikinkite, kad naudojate rekomenduojamus „Microsoft Security Compliance Manager“ įrankio parametrus ir naudokite audito subkategorijas.

8. Išjunkite anoniminį SID lankymą

Saugos identifikatoriai (SID - saugos identifikatorius) yra numeriai, priskirti kiekvienam vartotojui, grupei ir saugos objektui sistemoje "Windows" arba " Active Directory". Ankstyvosiose „Windows“ versijose neautentifikuoti vartotojai galėjo prašyti šių skaičių, kad nustatytų svarbius vartotojus (pvz., administratorius) ir grupes, kurias įsilaužėliai mėgo išnaudoti. Šis dalyvavimas gali būti išjungtas pagal numatytuosius nustatymus.

9. Neleiskite anoniminėms paskyroms būti visų grupėje

Šis nustatymas ir ankstesnis nustatymas, netinkamai sukonfigūruotas, leis anoniminiam asmeniui prieiti prie sistemos toliau nei leidžiama. Abu nustatymai buvo įjungti pagal numatytuosius nustatymus (išjungti anoniminę prieigą) nuo 2000 m.

10. Įgalinkite vartotojo abonemento valdymą (UAC)

Nuo „Windows Vista“ UAC yra svarbiausias apsaugos įrankis naršant internete. Tačiau daugelis žmonių jį išjungia dėl senos informacijos apie programinės įrangos suderinamumo problemas. Dauguma šių problemų išnyko; tai, kas liko, gali būti išspręsta naudojant nemokamą „Microsoft“ nesuderinamumo aptikimo priemonę. Jei išjungsite UAC, „Windows NT“ sistemoje kyla didesnė rizika nei naujesnėse OS. UAC įjungtas pagal numatytuosius nustatymus.

Naujose OS versijose yra daug teisingų numatytųjų nustatymų

Jei atkreipsite dėmesį, pamatysite, kad 7 iš 10 šių nustatymų buvo tinkamai sukonfigūruoti „Windows Vista“, „Windows Server 2008“ ir vėlesnėse versijose. Nereikia gaišti laiko mokantis visų 3700 grupės strategijos nustatymų, tiesiog teisingai sukonfigūruokite aukščiau nurodytus 10 nustatymų ir viskas.