10 svarīgi Windows grupas politikas iestatījumi, kas jāveic nekavējoties

Viena no populārākajām Microsoft Windows iekārtu konfigurēšanas metodēm ir grupas politikas izmantošana. Tie ir iestatījumi, kas saistīti ar reģistrāciju datorā, drošības iestatījumu konfigurāciju un darbību, lietojot iekārtu. Grupas politiku var atvērt no Active Directory (no klienta) vai konfigurēt tieši datorā (lokāli). Windows 8.1 un Windows Server 2012 R2 iekārtām ir vairāk nekā 3700 operētājsistēmas iestatījumu.

Tālāk ir norādīti 10 svarīgi grupas politikas iestatījumi , kuriem jums jāpievērš uzmanība. Neapstājies tikai pie šiem 10 iestatījumiem, jo ​​katrs saprātīgs iestatījums palīdz samazināt risku. Taču šīs 10 izvēles izšķirs gandrīz visu.

Ja pareizi iestatīsit šos 10 nosaukumus, jūs izveidosit drošāku Windows vidi. Visi atrodas sadaļā Datora konfigurācija/Windows iestatījumi/Drošības iestatījumi.

1. Pārdēvējiet vietējā administratora kontu

Ja ļaundari nezina administratora konta nosaukumu, uzlaušana prasīs vairāk laika. Administratora konta pārdēvēšanu nevar veikt automātiski, tas jādara pašam.

2. Atspējojiet viesa kontu

Viena no sliktākajām lietām, ko varat darīt, ir ieslēgt šo kontu. Tas nodrošina vairākas piekļuves tiesības Windows iekārtām un neprasa paroli. Par laimi, pēc noklusējuma ir iespēja atspējot šo funkciju.

Pareizi iestatiet grupas politiku, lai nodrošinātu Windows datora drošību

3. Atspējojiet LM un NTLM v1

LM (LAN pārvaldnieks) un NTLM v1 autentifikācijas protokols ir neaizsargāti. Izmantojiet NTLM v2 un Kerberos. Pēc noklusējuma lielākā daļa Windows iekārtu pieņem visus četrus protokolus. Ja vien jums nav senas mašīnas (vecāka par 10 gadiem) un tā nav lāpīta, reti ieteicams izmantot veco protokolu. Pēc noklusējuma tos var atspējot.

4. Atspējojiet LM krātuvi

LM paroļu jaucējkrāni ir viegli pārveidoti par vienkāršu tekstu. Neļaujiet Windows tos saglabāt diskā, kur hakeri var izmantot rīkus, lai tos atrastu. Pēc noklusējuma tas ir atspējots.

5. Minimālais paroles garums

Parastā lietotāja paroles garumam ir jābūt vismaz 12 rakstzīmēm — 15 vai vairāk rakstzīmēm augstāka līmeņa kontiem. Windows paroles nav īpaši drošas, ja tās ir mazākas par 12 rakstzīmēm. Lai būtu drošākais Windows autentifikācijas pasaulē, tam vajadzētu būt 15. Tādējādi tiks aizvērtas gandrīz visas aizmugurējās durvis.

Diemžēl vecajā grupas politikas iestatījumā bija tikai 14 rakstzīmes. Izmantojiet smalkas paroles politikas. Lai gan to nav viegli iestatīt un konfigurēt operētājsistēmā Windows Server 2008 R2 (un vecākām versijām), ar Windows Server 2012 un jaunākām versijām tas ir ļoti vienkārši.

6. Maksimālais paroles kalpošanas laiks

Paroles ar 14 vai mazāk rakstzīmēm nevar izmantot ilgāk par 90 dienām. Windows noklusējuma maksimālais paroles ilgums ir 42 dienas, tāpēc varat izmantot šo skaitli vai palielināt to līdz 90 dienām, ja vēlaties. Daži drošības eksperti saka, ka paroles izmantošana līdz pat gadam ir piemērota, ja tajā ir 15 vai vairāk rakstzīmes. Tomēr atcerieties, jo ilgāks termiņš, jo lielāks risks, ka kāds to nozags un izmantos, lai piekļūtu citam tās pašas personas kontam. Īslaicīga lietošana joprojām ir labāka.

7. Notikumu žurnāli

Daudzus uzbrukumu upurus varēja atklāt agri, ja viņi ieslēgtu notikumu žurnālus un ieradušies tos pārbaudīt. Noteikti izmantojiet Microsoft drošības atbilstības pārvaldnieka rīkā ieteiktos iestatījumus un izmantojiet audita apakškategorijas.

8. Atspējojiet anonīmo SID apmeklējumu

Drošības identifikatori (SID — drošības identifikators) ir numuri, kas piešķirti katram lietotājam, grupai un drošības objektam sistēmā Windows vai Active Directory. Sākotnējās Windows versijās neautentificēti lietotāji varēja pieprasīt šos numurus, lai identificētu svarīgus lietotājus (piemēram, administratorus) un grupas, kuras hakeri mīlēja izmantot. Šo apmeklējumu var atspējot pēc noklusējuma.

9. Neļaujiet anonīmiem kontiem būt ikviena grupā

Šis iestatījums un iepriekšējais iestatījums, ja tie ir nepareizi konfigurēti, ļaus anonīmai personai piekļūt sistēmai tālāk, nekā atļauts. Abi iestatījumi ir iespējoti pēc noklusējuma (atspējot anonīmo piekļuvi) kopš 2000. gada.

10. Lietotāja konta kontroles iespējošana (UAC)

Kopš operētājsistēmas Windows Vista UAC ir galvenais aizsardzības rīks, pārlūkojot tīmekli. Tomēr daudzi cilvēki to izslēdz vecas informācijas dēļ par programmatūras saderības problēmām. Lielākā daļa šo problēmu ir pazudušas; to, kas paliek, var atrisināt, izmantojot Microsoft bezmaksas nesaderības noteikšanas utilītu. Ja atspējojat UAC, Windows NT ir lielāks risks nekā jaunākās operētājsistēmās. UAC ir iespējots pēc noklusējuma.

Jaunajām OS versijām ir daudz pareizu noklusējuma iestatījumu

Ja pievērsīsiet uzmanību, redzēsiet, ka 7 no 10 šiem iestatījumiem ir pareizi konfigurēti operētājsistēmā Windows Vista, Windows Server 2008 un jaunākās versijās. Nav jātērē laiks, apgūstot visus 3700 grupas politikas iestatījumus, vienkārši pareizi konfigurējiet iepriekš minētos 10 iestatījumus un esat pabeidzis.