10 pomembnih nastavitev pravilnika skupine v sistemu Windows, ki jih morate opraviti takoj

Eden od priljubljenih načinov za konfiguriranje strojev Microsoft Windows je uporaba pravilnika skupine. To so nastavitve, povezane z registracijo v računalniku, konfiguracijo varnostnih nastavitev in obnašanjem pri upravljanju stroja. Pravilnik skupine je mogoče odpreti iz imenika Active Directory (iz odjemalca) ali konfigurirati neposredno na računalniku (lokalno). Stroji Windows 8.1 in Windows Server 2012 R2 imajo več kot 3700 nastavitev za operacijski sistem.

Spodaj je 10 pomembnih nastavitev pravilnika skupine , na katere morate biti pozorni. Ne ustavite se samo pri teh 10 nastavitvah, saj vsaka razumna nastavitev pomaga zmanjšati tveganje. Toda teh 10 izbir bo odločilo skoraj vse.

Če pravilno nastavite teh 10 imen, boste ustvarili bolj varno okolje Windows. Vse se nahajajo v Konfiguracija računalnika/Nastavitve sistema Windows/Varnostne nastavitve.

1. Preimenujte račun lokalnega skrbnika

Če negativci ne poznajo imena skrbniškega računa, bodo potrebovali več časa za vdor. Preimenovanja skrbniškega računa ni mogoče izvesti samodejno, to morate storiti sami.

2. Onemogočite račun gosta

Ena najslabših stvari, ki jih lahko naredite, je, da vklopite ta račun. Omogoča več pravic dostopa do naprav Windows in ne zahteva gesla. Na srečo obstaja možnost, da to funkcijo privzeto onemogočite.

Pravilno nastavite pravilnik skupine, da zagotovite varnost vašega računalnika Windows

3. Onemogočite LM in NTLM v1

LM (LAN Manager) in protokol za preverjanje pristnosti NTLM v1 sta ranljiva. Uporabite NTLM v2 in Kerberos. Privzeto večina naprav Windows sprejema vse štiri protokole. Razen če imate star stroj (star več kot 10 let) in ni bil popravljen, je le redko priporočljiva uporaba starega protokola. Privzeto jih je mogoče onemogočiti.

4. Onemogočite shranjevanje LM

Zgoščene vrednosti gesel LM se zlahka pretvorijo v navadno besedilo. Ne dovolite, da jih sistem Windows shrani na pogon, kjer jih lahko hekerji najdejo z orodji. Privzeto je onemogočen.

5. Najmanjša dolžina gesla

Dolžina gesla za običajne uporabnike mora biti vsaj 12 znakov - 15 znakov ali več za račune višje ravni. Gesla za Windows niso zelo varna, če so krajša od 12 znakov. Da bi bili najvarnejši v svetu preverjanja pristnosti sistema Windows, bi moralo biti 15. To bo zaprlo skoraj vsa zadnja vrata.

Na žalost je imela stara nastavitev pravilnika skupine največ 14 znakov. Uporabite natančne pravilnike o geslih Čeprav nastavitev in konfiguracija v sistemu Windows Server 2008 R2 (in starejših) ni enostavna, je v sistemu Windows Server 2012 in novejših zelo preprosta.

6. Najdaljša življenjska doba gesla

Gesel s 14 znaki ali manj ni mogoče uporabljati dlje kot 90 dni. Privzeto najdaljše trajanje gesla sistema Windows je 42 dni, zato lahko uporabite to število ali ga podaljšate na 90 dni, če želite. Nekateri varnostni strokovnjaki pravijo, da je uporaba gesla do enega leta v redu, če ima 15 znakov ali več. Ne pozabite pa, da daljši kot je rok, večje je tveganje, da ga nekdo ukrade in uporabi za dostop do drugega računa iste osebe. Kratkotrajna uporaba je še vedno boljša.

7. Dnevniki dogodkov

Številne žrtve napadov bi lahko odkrili zgodaj, če bi vklopili dnevnike dogodkov in se navadili, da jih preverjajo. Prepričajte se, da uporabljate priporočene nastavitve v orodju Microsoft Security Compliance Manager in uporabite podkategorije revizije.

8. Onemogočite anonimno prisotnost SID

Varnostni identifikatorji (SID - varnostni identifikator) so številke, dodeljene vsakemu uporabniku, skupini in varnostnemu objektu v sistemu Windows ali Active Directory. V zgodnjih različicah sistema Windows so lahko nepreverjeni uporabniki poizvedovali po teh številkah, da bi identificirali pomembne uporabnike (kot so skrbniki) in skupine, kar so hekerji radi izkoriščali. Ta prisotnost je lahko privzeto onemogočena.

9. Ne dovolite, da bi bili anonimni računi v skupini vseh

Če sta ta in prejšnja nastavitev napačno konfigurirani, bosta anonimni osebi omogočili dostop do sistema dlje, kot je dovoljeno. Obe nastavitvi sta od leta 2000 privzeto omogočeni (onemogoči anonimni dostop).

10. Omogočite nadzor uporabniškega računa (UAC)

Od operacijskega sistema Windows Vista je UAC prvo orodje za zaščito pri brskanju po spletu. Vendar ga veliko ljudi izklopi zaradi starih informacij o težavah z združljivostjo programske opreme. Večina teh težav je izginila; kar ostane, je mogoče rešiti z Microsoftovim brezplačnim pripomočkom za odkrivanje nezdružljivosti. Če onemogočite UAC, ste v sistemu Windows NT izpostavljeni večjemu tveganju kot v novejših operacijskih sistemih. UAC je privzeto omogočen.

Nove različice OS imajo veliko pravilnih privzetih nastavitev

Če ste pozorni, boste videli, da je bilo 7 od 10 teh nastavitev pravilno konfiguriranih v sistemih Windows Vista, Windows Server 2008 in novejših različicah. Ni vam treba izgubljati časa z učenjem vseh 3700 nastavitev pravilnika skupine, samo pravilno konfigurirajte zgornjih 10 nastavitev in končali ste.