您需要正确的10个Windows组策略设置 - 行业动态 - 沐鸣官网资讯 - 沐鸣网络电子科技有限公司

全国统一热线:0755-29925678

沐鸣娱乐新闻

沐鸣平台资讯

行业动态

沐鸣相关新闻

您需要正确的10个Windows组策略设置

浏览次数:566日期:2019-04-30小编:沐鸣

欢迎访问沐鸣娱乐网址www.huayu21.com,配置完整Microsoft Windows计算机的办公室的最常用方法之一是使用组策略。在大多数情况下,组策略是将设置推送到计算机的注册表中以配置安全设置和其他操作行为。组策略可以从Active Directory下推(实际上,由客户端下拉)或在本地配置。


自1990年以来,我一直在做Windows计算机安全,因此我看到了很多组策略。在我与客户的合作中,我仔细检查每个组策略对象中的每个组策略设置。例如,对于Windows 8.1和Windows Server 2012 R2,仅操作系统就有超过3,700个设置。


我会告诉你一个小秘密:我只关心10个设置。


我不是说你应该停在这10个,因为每个正确配置的组策略设置都可以降低风险。我说10个设置决定了你的大部分风险 - 其他一切都是肉汁。当我开始查看新的组策略时,我要做的第一件事是扫描这10个设置。如果设置正确,我知道客户正在做正确的事情,我的工作会更容易。


正确地获取这10个设置,您将大大提高Windows环境的安全性。其中每个都属于计算机配置\ Windows设置\安全设置页面。


1.重命名本地管理员帐户

如果坏人不知道您的管理员帐户的名称,他们将更难以黑客攻击它。重命名管理员帐户不是自动的,因此您必须自己完成。


2.禁用来宾帐户

您可以做的最糟糕的事情之一是启用此帐户。它在Windows计算机上授予相当大的访问权限,并且没有密码。幸运的是,它默认是禁用的。


3.禁用LM和NTLM v1

LM(LAN Manager)和NTLMv1身份验证协议存在漏洞。强制使用NTLMv2和Kerberos。默认情况下,大多数Windows系统将接受所有四种协议。除非您有古老的(即超过10年)未修补的系统,否则很少有理由使用旧协议。它们默认是禁用的。

您需要正确的10个Windows组策略设置

4.禁用LM哈希存储

LM密码哈希很容易转换为明文密码等价物。不允许Windows将它们存储在磁盘上,黑客哈希转储工具会在磁盘上找到它们。默认情况下禁用它。


5.最小密码长度

常规用户的最小密码长度应至少为12个字符 - 对于提升的用户帐户,最长为15个字符或更长。 Windows密码在12个字符长之前甚至都不安全。为了真正安全,15个字符是Windows身份验证领域中的神奇数字。到达那里,它关闭了各种各样的后门。其他任何事情都在接受不必要的风险。 (默认情况下它是零个字符,因此您必须指定此要求。)


遗憾的是,传统的组策略设置在设置最小密码大小时接受的最大值仅为14个字符。请改用较新的细粒度密码策略。在Windows Server 2008 R2(及更早版本)中设置和配置并不容易,但在Windows Server 2012及更高版本中使用GUI进行设置非常简单。


6.密码最长使用期限

密码长度不超过14个字符不应超过90天。 Windows的默认最长密码有效期为42天,因此您可以接受默认值,也可以将其增加到90天(如果您愿意)。一些安全专家认为,如果长度不超过15个字符,可以使用相同的密码长达一年。但请注意,延长密码有效期会增加某人窃取并重复使用该密码以访问同一个人拥有的其他帐户的风险。更短的密码有效期总是更好。


7.事件日志

如果他们的事件日志已经打开并且他们养成了检查它们的习惯,绝大多数攻击受害者都会很快发现漏洞。确保您使用的是Microsoft Security Compliance Manager工具中建议的设置,并使用审核子类别而不是旧版类别设置。


8.禁用匿名SID枚举

安全标识符(SID)是分配给Windows或Active Directory中的每个用户,组和其他安全主题的编号。在早期的Windows版本中,未经过身份验证的用户可以查询这些数字以识别重要用户(例如管理员)和群组,这是黑客喜欢利用的事实。幸运的是,默认情况下禁用枚举。


9.不要让匿名帐户驻留在所有人组中

此设置和前一个设置(如果设置不正确)可能允许匿名(或空)黑客在系统上获得的访问权限比应该给出的多得多。默认情况下,这两个设置都已启用(禁用匿名访问)。确保它们保持这种状态。


10.启用用户帐户控制

最后,自Windows Vista以来,UAC一直是人们浏览网络的首选保护工具。我发现许多客户端由于有关应用程序兼容性问题的旧信息而将其关闭。大多数问题已经消失,其余许多问题都可以通过Microsoft的免费应用程序兼容性故障排除实用程序来解决。如果禁用UAC,则比现代操作系统更接近Windows NT安全性。默认情况下启用UAC。


如果您一直在关注,您会注意到默认情况下,Windows Vista,Windows Server 2008和更高版本中的10个设置中有7个正确调整。我的大多数Windows安全书都解决了我希望您更安全地强化的设置。这些天,我最好的建议是只改变你所拥有的东西,不要破坏大多数默认值。当我看到问题时,通常是因为人们不顾一切地削弱默认值。这永远不会好。


在开始担心组策略之前,还有一些更重要的事情要做,例如完美的修补和阻止用户安装特洛伊木马程序。一旦您掌控了这些努力,正确配置您的组策略就是下一步。


我也是启用BitLocker的巨大粉丝(在Windows Vista / 2008及更高版本中)。但请注意,规划BitLocker的实现需要花费时间和思考,尽管您可以使用组策略来实现它。


无论你做什么,不要浪费你的生命来研究所有3,700个设置。相反,确保你获得前十名,你就是那里的大部分。


如果你对我们的服务感兴趣,可以给我们留言,我们会第一时间联系您。

扫描关注微信

Copyright © 2017 沐鸣网络科技有限公司 版权所有