Одним із популярних методів налаштування машин Microsoft Windows є використання групової політики. Це параметри, пов’язані з реєстрацією на комп’ютері, конфігурацією параметрів безпеки та поведінкою під час роботи машини. Групову політику можна відкрити з Active Directory (з клієнта) або налаштувати безпосередньо на машині (локально). Машини з Windows 8.1 і Windows Server 2012 R2 мають понад 3700 параметрів операційної системи.
Нижче наведено 10 важливих параметрів групової політики , на які потрібно звернути увагу. Не зупиняйтеся лише на цих 10 налаштуваннях, оскільки кожне розумне налаштування допомагає зменшити ризик. Але ці 10 варіантів вирішать майже все.
Якщо ви правильно налаштуєте ці 10 імен, ви створите безпечніше середовище Windows. Усі вони розташовані в розділі Конфігурація комп’ютера/Параметри Windows/Параметри безпеки.
1. Перейменуйте обліковий запис локального адміністратора
Якщо погані хлопці не знають імені облікового запису адміністратора, їм знадобиться більше часу для злому. Перейменування облікового запису адміністратора не можна зробити автоматично, ви повинні зробити це самостійно.
2. Вимкніть обліковий запис гостя
Одна з найгірших речей, які ви можете зробити, це ввімкнути цей обліковий запис. Він надає кілька прав доступу до машин Windows і не потребує пароля. На щастя, є можливість вимкнути цю функцію за замовчуванням.
Правильно налаштуйте групову політику, щоб забезпечити безпеку вашої машини Windows
3. Вимкніть LM і NTLM v1
LM (LAN Manager) і протокол автентифікації NTLM v1 є вразливими. Використовуйте NTLM v2 і Kerberos. За замовчуванням більшість машин Windows приймають усі чотири протоколи. За винятком тих випадків, коли у вас є стара машина (більше 10 років) і не була виправлена, рідко рекомендується використовувати старий протокол. Їх можна вимкнути за замовчуванням.
4. Вимкніть зберігання LM
Хеші паролів LM легко перетворюються на звичайний текст. Не дозволяйте Windows зберігати їх на диску, де хакери можуть використовувати інструменти, щоб їх знайти. За замовчуванням він вимкнений.
5. Мінімальна довжина пароля
Довжина пароля для звичайних користувачів має бути не менше 12 символів - 15 символів або більше для облікових записів вищого рівня. Паролі Windows не дуже безпечні, якщо вони містять менше 12 символів. Щоб бути найбезпечнішим у світі автентифікації Windows, вона має бути 15. Це закриє майже всі задні двері.
На жаль, старе налаштування групової політики мало максимум 14 символів. Використовуйте детальну політику паролів Хоча встановити та налаштувати на Windows Server 2008 R2 (і старіших версіях) нелегко, у Windows Server 2012 і новіших версіях це дуже легко.
6. Максимальний термін дії пароля
Паролі з 14 символів або менше не можна використовувати довше 90 днів. Максимальна тривалість пароля Windows за замовчуванням становить 42 дні, тому ви можете використовувати це число або збільшити його до 90 днів, якщо хочете. Деякі експерти з безпеки кажуть, що використовувати пароль до року можна, якщо він містить 15 символів або більше. Пам’ятайте, однак, що довший термін, то вищий ризик того, що хтось його вкраде та використає для доступу до іншого облікового запису тієї ж особи. Короткочасне використання все ж краще.
7. Журнали подій
Багато жертв атак можна було б виявити на ранній стадії, якби вони ввімкнули журнали подій і звикли їх перевіряти. Переконайтеся, що ви використовуєте рекомендовані параметри в інструменті Microsoft Security Compliance Manager і використовуєте підкатегорії аудиту.
8. Вимкніть анонімне відвідування SID
Ідентифікатори безпеки (SID - ідентифікатор безпеки) - це номери, призначені кожному користувачеві, групі та об'єкту безпеки в Windows або Active Directory. У ранніх версіях Windows неавтентифіковані користувачі могли запитувати ці номери, щоб ідентифікувати важливих користувачів (наприклад, адміністраторів) і групи, якими любили користуватися хакери. Ця присутність може бути вимкнена за замовчуванням.
9. Не дозволяйте анонімним обліковим записам бути в групі кожного
Цей параметр і попередні параметри, якщо вони неправильно налаштовані, дозволять анонімній особі отримати доступ до системи далі, ніж це дозволено. Обидва налаштування ввімкнено за замовчуванням (вимкнути анонімний доступ) з 2000 року.
10. Увімкніть контроль облікових записів користувачів (UAC)
Починаючи з Windows Vista, UAC є інструментом захисту №1 під час перегляду веб-сторінок. Однак багато людей вимикають його через стару інформацію про проблеми сумісності програмного забезпечення. Більшість цих проблем зникли; те, що залишилося, можна вирішити за допомогою безкоштовної утиліти Microsoft для виявлення несумісності. Якщо ви вимкнете UAC, ви більше ризикуєте у Windows NT, ніж у новіших ОС. UAC увімкнено за замовчуванням.
Нові версії ОС мають багато правильних налаштувань за замовчуванням
Якщо ви звернете увагу, то побачите, що 7 із 10 із цих параметрів налаштовано правильно у Windows Vista, Windows Server 2008 і пізніших версіях. Не потрібно витрачати час на вивчення всіх 3700 налаштувань групової політики, просто правильно налаштуйте 10 наведених вище налаштувань, і готово.
Scareware — це шкідлива комп’ютерна програма, створена для того, щоб змусити користувачів подумати, що це законна програма, і просить вас витратити гроші на те, що нічого не робить.
cFosSpeed - це програмне забезпечення, яке збільшує швидкість підключення до Інтернету, зменшує затримку передачі та збільшує міцність з'єднання приблизно в 3 рази. Спеціально для тих, хто грає в онлайн-ігри, cFosSpeed буде підтримувати, щоб ви могли випробувати гру без проблем з мережею.
Брандмауер Windows із розширеною безпекою — це брандмауер, який працює на Windows Server 2012 і ввімкнено за замовчуванням. Параметрами брандмауера в Windows Server 2012 можна керувати в консолі Microsoft Management Console брандмауера Windows.
Під час зміни пароля адміністратора сторінки входу модема та маршрутизатора Vigor Draytek користувачі обмежать несанкціонований доступ до зміни пароля модему, захищаючи важливу мережеву інформацію.
На щастя, користувачі комп’ютерів Windows із процесорами AMD Ryzen можуть використовувати Ryzen Master для легкого розгону оперативної пам’яті, не торкаючись BIOS.
Порт USB-C став стандартом для передачі даних, виведення відео та заряджання на сучасних ноутбуках Windows. Хоча це зручно, може бути неприємно, коли ви підключаєте свій ноутбук до зарядного пристрою USB-C, а він не заряджається.
Помилка «Неможливо створити службу» в Ultraviewer виникає, коли ми встановлюємо програмне забезпечення з кодом помилки 1072.
Помилка невідображення ідентифікатора в Ultraviewer вплине на підключення до віддаленого комп’ютера.
Ultraviewer дистанційно керує комп'ютером і має режим надсилання та отримання файлів.
Хакери можуть використовувати Sniffer для підслуховування незашифрованих даних і перегляду інформації, якою обмінюються дві сторони. Щоб краще зрозуміти Packet Sniffer, а також механізм дії Packet Sniffer, ви можете переглянути статтю Wiki.SpaceDesktop нижче.
