10 важных настроек групповой политики в Windows, которые необходимо выполнить немедленно

Одним из популярных методов настройки компьютеров с Microsoft Windows является использование групповой политики. Это настройки, связанные с регистрацией на компьютере, настройкой параметров безопасности и поведением при работе с аппаратом. Групповую политику можно открыть из Active Directory (с клиента) или настроить прямо на машине (локально). На компьютерах с Windows 8.1 и Windows Server 2012 R2 имеется более 3700 настроек операционной системы.

Ниже приведены 10 важных параметров групповой политики , на которые вам следует обратить внимание. Не останавливайтесь на этих 10 настройках, поскольку каждая разумная настройка помогает снизить риск. Но эти 10 вариантов решат почти все.

Если вы правильно настроите эти 10 имен, вы создадите более безопасную среду Windows. Все они находятся в разделе «Конфигурация компьютера», «Параметры Windows», «Параметры безопасности».

1. Переименуйте учетную запись локального администратора.

Если злоумышленники не знают имя учетной записи администратора, им потребуется больше времени для взлома. Переименование учетной записи администратора невозможно выполнить автоматически, вам придется сделать это самостоятельно.

2. Отключите гостевую учетную запись.

Одна из худших вещей, которые вы можете сделать, — это включить эту учетную запись. Он предоставляет несколько прав доступа к компьютерам с Windows и не требует пароля. К счастью, есть возможность отключить эту функцию по умолчанию.

Правильно настройте групповую политику, чтобы обеспечить безопасность вашего компьютера с Windows.

3. Отключите LM и NTLM v1.

LM (LAN Manager) и протокол аутентификации NTLM v1 уязвимы. Используйте NTLM v2 и Kerberos. По умолчанию большинство компьютеров Windows принимают все четыре протокола. Если у вас не древняя машина (более 10 лет) и не пропатченная, редко рекомендуется использовать старый протокол. Их можно отключить по умолчанию.

4. Отключите хранилище LM.

Хэши паролей LM легко конвертируются в обычный текст. Не позволяйте Windows сохранять их на диске, где хакеры смогут использовать инструменты для их поиска. По умолчанию он отключен.

5. Минимальная длина пароля

Длина пароля для обычных пользователей должна составлять не менее 12 символов, а для учетных записей более высокого уровня — 15 символов и более. Пароли Windows не очень безопасны, если их длина менее 12 символов. Чтобы быть наиболее безопасным в мире аутентификации Windows, оно должно быть 15. Это закроет почти все задние двери.

К сожалению, старая настройка групповой политики содержала не более 14 символов. Используйте детальные политики паролей.Хотя установить и настроить в Windows Server 2008 R2 (и более ранних версиях) непросто, в Windows Server 2012 и более поздних версиях это очень просто.

6. Максимальный срок действия пароля

Пароли длиной 14 символов и менее нельзя использовать дольше 90 дней. Максимальный срок действия пароля Windows по умолчанию составляет 42 дня, поэтому вы можете использовать это число или увеличить его до 90 дней, если хотите. Некоторые эксперты по безопасности утверждают, что можно использовать пароль сроком до года, если он содержит 15 символов и более. Однако помните, что чем дольше срок, тем выше риск того, что кто-то украдет его и использует для доступа к другой учетной записи того же человека. Кратковременное использование все же лучше.

7. Журналы событий

Многих жертв атак можно было бы обнаружить раньше, если бы они включили журналы событий и привыкли их проверять. Убедитесь, что вы используете рекомендуемые параметры в инструменте Microsoft Security Compliance Manager и используете подкатегории аудита.

8. Отключите анонимное посещение SID.

Идентификаторы безопасности (SID — идентификатор безопасности) — это номера, присвоенные каждому пользователю, группе и объекту безопасности в Windows или Active Directory. В ранних версиях Windows неаутентифицированные пользователи могли запрашивать эти номера, чтобы идентифицировать важных пользователей (например, администраторов) и группы, чем хакеры любили пользоваться. По умолчанию эту посещаемость можно отключить.

9. Не позволяйте анонимным учетным записям находиться в общей группе.

Этот параметр и предыдущий параметр, если они настроены неправильно, позволят анонимному лицу получить доступ к системе дальше, чем разрешено. Обе настройки включены по умолчанию (отключить анонимный доступ) с 2000 года.

10. Включите контроль учетных записей пользователей (UAC).

Начиная с Windows Vista, UAC является инструментом защиты №1 при просмотре веб-страниц. Однако многие люди отключают его из-за старой информации о проблемах совместимости программного обеспечения. Большинство из этих проблем ушли; оставшиеся можно решить с помощью бесплатной утилиты обнаружения несовместимости Microsoft. Если вы отключите UAC, вы подвергаетесь большему риску в Windows NT, чем в новых ОС. UAC включен по умолчанию.

В новых версиях ОС много правильных настроек по умолчанию.

Если вы обратите внимание, то увидите, что 7 из 10 этих параметров настроены правильно в Windows Vista, Windows Server 2008 и более поздних версиях. Не нужно тратить время на изучение всех 3700 параметров групповой политики, просто правильно настройте 10 вышеуказанных параметров, и все готово.