Oto lista typowych zasad grupy (GPO) usługi Active Directory, które należy wdrożyć w środowisku Active Directory ze względów bezpieczeństwa i wygody administracyjnej. Należy pamiętać, że nie wszystkie te ustawienia mogą być odpowiednie dla danego środowiska, dlatego należy je dokładnie rozważyć. Podobnie jak w przypadku innych ustawień GPO, przed wdrożeniem należy je przetestować na niewielkiej grupie użytkowników i komputerów.
Włącz dzienniki audytu
Włączenie dzienników audytu pomaga monitorować aktywność w sieci i stanowi doskonałe narzędzie bezpieczeństwa do identyfikacji zagrożeń w infrastrukturze.
Co najmniej należy włączyć funkcję audytu zdarzeń systemowych. Ta zasada znajduje się w Konfiguracja komputera -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Zasady audytu. (Computer Configuration -> Windows Settings –> Security Settings –> Audit Policy).
Zmień opcję „Audyt zdarzeń systemowych” na Sukces, Niepowodzenie („Audit System Events” zaznacz Success, Failure).
Czas blokady ekranu
Włącz blokadę czasową bezczynności na komputerach w domenie, aby chronić dane i prywatność. Zazwyczaj przyjmuje się 10–15 minut, ale w razie potrzeby można ją skrócić. Warto nauczyć użytkowników blokowania komputerów, gdy odchodzą od biurek. Plan awaryjny jest jednak zawsze idealny.
To ustawienie znajduje się w Konfiguracja komputera –> Ustawienia systemu Windows –> Ustawienia zabezpieczeń –> Zasady lokalne –> Opcje zabezpieczeń. (Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options.)
Zmodyfikuj czas dla opcji Logowanie interaktywne: Limit bezczynności komputera. (Interactive Logon: Machine inactivity limit)
Polityka haseł
Egzekwowanie silnych zasad dotyczących haseł ma kluczowe znaczenie dla bezpieczeństwa Twojej domeny.
Te ustawienia znajdują się w Konfiguracja komputera –> Ustawienia systemu Windows –> Ustawienia zabezpieczeń –> Zasady konta –> Zasady dotyczące haseł. (Computer Configuration –> Windows Settings –> Security Settings –> Account Policies –> Password Policy).
Zasady blokowania kont
Egzekwowanie zasad blokady konta pomoże utrzymać bezpieczeństwo komputerów w domenie. Osoba atakująca może próbować odgadnąć hasła do konta w domenie.
Te ustawienia znajdują się w Konfiguracja komputera –> Ustawienia systemu Windows –> Ustawienia zabezpieczeń –> Zasady konta –> Zasady blokady konta. (Computer Configuration –> Windows Settings –> Security Settings –> Account Policies –> Account Lockout Policy).
Removable Media
Zezwalanie użytkownikom na podłączanie dysków USB, zewnętrznych dysków twardych lub wkładanie płyt CD i DVD powinno być wyłączone. Naraża to sieć na infekcję wirusami lub złośliwym oprogramowaniem.
Te ustawienia znajdują się w Konfiguracja użytkownika –> Zasady –> Szablony administracyjne –> System –> Dostęp do nośników wymiennych. (User Configuration –> Policies –> Administrative Templates –> System –> Removable Storage Access).
Możesz włączyć opcję „Odmów odczytu i wykonywania na określonych urządzeniach” lub „Włącz wszystkie klasy nośników wymiennych: Odmów wszelkiego dostępu” („Deny read and execute on specific devices” lub „Enable All Removable Storage classes: Deny all access„), aby zablokować wszystkie urządzenia.
Ogranicz dostęp do wiersza poleceń i programu PowerShell
Ogranicz dostęp do wiersza poleceń i programu PowerShell, aby uniemożliwić uruchamianie poleceń przez zwykłe konta użytkowników. W przypadku ataku na system, wiersz poleceń lub program PowerShell mogą zostać użyte do podniesienia uprawnień konta użytkownika. Program PowerShell może również służyć do uruchamiania złośliwych skryptów i jest często wykorzystywany do rozprzestrzeniania oprogramowania ransomware.
Aby uniemożliwić dostęp do wiersza poleceń, włącz opcję „Zapobiegaj dostępowi do wiersza poleceń”. (“Prevent access to the command prompt”).
Ustawienie to znajduje się w Konfiguracja użytkownika –> Szablony administracyjne –> System. (User Configuration –> Administrative Templates –> System.)
Ogranicz dostęp do opcji Panelu sterowania
Należy ograniczyć dostęp do zmian, które użytkownicy mogą wprowadzać w Panelu sterowania. Użytkownicy mogą zmieniać wiele ustawień systemowych w Panelu sterowania, takich jak ustawienia sieciowe, dodawanie i usuwanie oprogramowania oraz dodawanie i usuwanie użytkowników. Wszystkie te działania mogą prowadzić do naruszenia bezpieczeństwa.
Aby zablokować dostęp do Panelu sterowania, należy włączyć opcję „Zabroń dostępu do Panelu sterowania i ustawień komputera”. („Prohibit access to Control Panel and PC Settings”).
To ustawienie znajduje się w Konfiguracja użytkownika –> Szablony administracyjne –> Panel sterowania (User Configuration –> Administrative Templates –> Control Panel).
Ogranicz liczbę osób, które mogą instalować oprogramowanie
Każde oprogramowanie powinno zostać przetestowane i zatwierdzone przed instalacją w sieci. Ponadto, zwykłe konta użytkowników nie powinny mieć możliwości instalowania oprogramowania. Ma to na celu zarówno bezpieczeństwo, jak i ograniczenie problemów, jakie oprogramowanie może powodować.
To ustawienie znajduje się w Konfiguracja komputera –> Szablony administracyjne –> Składniki systemu Windows –> Instalator systemu Windows. (Computer Configuration –> Administrative Templates –> Windows Components –> Windows Installer).
Kliknij „Zabroń instalacji użytkowników” i włącz tę zasadę. („Prohibit User Installs”).
Ustawienia konta gościa
Konta gościnne umożliwiają dostęp do komputera bez hasła. Stanowi to zagrożenie zarówno dla bezpieczeństwa, jak i dostępu do danych. Najlepiej wyłączyć dostęp gościa.
To ustawienie znajduje się w Konfiguracja komputera –> Ustawienia systemu Windows –> Ustawienia zabezpieczeń –> Zasady lokalne -> Opcje zabezpieczeń. (Computer Configuration –> Windows Settings –> Security Settings –> Local Policies -> Security Options).
Kliknij „Konta: Stan konta gościa” i wybierz opcję wyłączone. („Accounts: Guest Account Status”).
Zapobiegaj przechowywaniu skrótu LAN Managera
LAN Manager przechowuje hasła kont w skrótach w lokalnej bazie danych SAM. Skrót jest słaby i bardzo podatny na ataki hakerów. Tę opcję należy wyłączyć.
Ustawienie to znajduje się w Konfiguracja komputera –> Ustawienia systemu Windows –> Ustawienia zabezpieczeń –> Zasady lokalne –> Opcje zabezpieczeń. (Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options).
Ustaw zasadę „Zabezpieczenia sieci: Nie przechowuj wartości skrótu LAN Manager przy następnej zmianie hasła” na Włączone. („Network Security: Do not store LAN Manager hash value on next password change” ).
Ogranicz używanie pustego hasła na koncie lokalnym tylko do konsoli
Puste hasła stanowią poważne zagrożenie bezpieczeństwa. W przypadku, gdy administrator przypadkowo utworzy konto lokalne bez hasła przed dodaniem go do domeny, można zablokować możliwość korzystania z tego konta za pośrednictwem RDP, Telnet i FTP.
To ustawienie znajduje się w Konfiguracja komputera –> Ustawienia systemu Windows –> Ustawienia zabezpieczeń –> Zasady lokalne –> Opcje zabezpieczeń. (Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options).
Ustaw opcję „Konta: Ogranicz używanie pustego hasła przez konta lokalne tylko do logowania do konsoli” na Włączone. („Accounts: Limit local account use of blank password to console logon only”).
Wyłącz wymuszone ponowne uruchamianie
Jeśli korzystasz z usługi Windows Update, wyłącz automatyczne ponowne uruchamianie po zalogowaniu użytkowników. Pozwoli to uniknąć wielu nieprzyjemnych wiadomości e-mail i telefonów.
To ustawienie znajduje się w Konfiguracja komputera –> Szablony administracyjne –> Składniki systemu Windows –> Aktualizacje systemu Windows. (Computer Configuration –> Administrative Templates –> Windows Components –> Windows Updates).
Włącz zasadę „Bez automatycznego ponownego uruchamiania z zalogowanymi użytkownikami w przypadku zaplanowanych instalacji automatycznych aktualizacji”. („No auto-restart with logged on users for scheduled automatic updates installations”).
Monitoruj zmiany w ustawieniach GPO
Śledzenie zmian w ustawieniach obiektu zasad grupy jest bardzo pomocne, gdy zmiany wprowadza wielu administratorów.
To ustawienie znajduje się w Konfiguracja komputera –> Zasady –> Ustawienia systemu Windows –> Ustawienia zabezpieczeń –> Zaawansowana konfiguracja zasad inspekcji –> Zasady inspekcji/Dostęp do usługi DS. (Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Advanced Audit Policy Configuration –> Audit Policies/DS Access).
Wybierz opcję Przeprowadź inspekcję zmian w usłudze katalogowej i kliknij przycisk Powodzenie. (Audit Directory Service Changes).
Zablokuj Microsoft Store
Użytkownicy mogą popaść w przesadę, uruchamiając aplikacje ze sklepu Microsoft Store. To z kolei może być koszmarem dla administratora.
Aby zablokować Microsoft Store, włącz opcję „Wyłącz aplikację sklepu”. („Turn off the store application”).
To ustawienie znajduje się w Konfiguracja komputera –> Szablony administracyjne –> Składniki systemu Windows –> Sklep. (Computer Configuration –> Administrative Templates -> Windows Components –> Store).
Niektóre aplikacje nadal wymagają aktualizacji za pośrednictwem Microsoft Store. Możesz to zezwolić, przechodząc do Konfiguracja komputera –> Szablony administracyjne –> Składniki systemu Windows –> Sklep. (Computer Configuration –> Administrative Templates –> Windows Components –> Store).
Wybierz zasadę „Wyłącz automatyczne pobieranie i instalowanie aktualizacji” i wybierz opcję „Wyłącz”. („Turn off automatic download and install of updates”).
Wyłącz anonimową translację SID/nazw
Jeśli ta opcja jest włączona, możliwe jest użycie identyfikatora SID do uzyskania nazwy wbudowanego konta administratora, nawet jeśli nazwa konta administratora została zmieniona na inną.
Ustawienie znajduje się w Konfiguracja komputera –> Ustawienia systemu Windows –> Ustawienia zabezpieczeń –> Zasady lokalne –> Opcje zabezpieczeń. (Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options).
Zmień zasadę „Dostęp sieciowy: Zezwalaj na anonimową translację identyfikatora SID/nazwy” na Wyłączoną. („Network access: Allow anonymous SID/Name translation”).
Ogranicz dostęp do rejestru
Zmiana ustawień rejestru zawsze stanowi poważny problem dla administratorów. Można zablokować rejestr, aby użytkownicy nie mogli go modyfikować.
To ustawienie znajduje się w Konfiguracja użytkownika –> Szablony administracyjne –> System. (User Configuration –> Administrative Templates –> System).
Wybierz zasadę „Blokuj dostęp do narzędzi do edycji rejestru” i ustaw ją na Włączone. („Prevent access to registry editing tools”).
Następnie w sekcji Wyłącz ciche uruchamianie programu regedit zmień opcję na Tak. (Disable regedit from running silently).
Usuń anonimowych użytkowników z uprawnień wszystkich
Ta opcja powinna być domyślnie wyłączona. Sprawdziłbym to dokładnie. Jeśli jest włączona, użytkownicy anonimowi będą mieli dostęp do wszystkich zasobów, do których mają uprawnienia wszyscy.
To ustawienie znajduje się w Konfiguracja komputera –> Ustawienia systemu Windows –> Ustawienia zabezpieczeń –> Zasady lokalne –> Opcje zabezpieczeń. (Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options).
Opcja „Dostęp sieciowy: Zezwalaj wszystkim na stosowanie uprawnień do użytkowników anonimowych” powinna być wyłączona. („Network access: Let everyone permissions apply to anonymous users”).
Włącz audyt protokołu NTLM, aby mieć pewność, że go nie używasz.
NTLM to starszy protokół uwierzytelniania, który ma kilka luk w zabezpieczeniach. Został zastąpiony przez Kerberos w systemie Windows 2000. Przed jego wyłączeniem upewnij się, że żaden ze starszych klientów nie korzysta już z tych metod uwierzytelniania.
Kontrola użycia NTLM
To ustawienie znajduje się w Konfiguracja komputera –> Ustawienia systemu Windows –> Ustawienia zabezpieczeń –> Zasady lokalne –> Opcje zabezpieczeń. (Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options).
Wybierz zasadę „Zabezpieczenia sieciowe: Ogranicz NTLM: Przeprowadź kontrolę uwierzytelniania NTLM w tej domenie” i włącz wszystkie. („Network Security: Restrict NTLM: Audit NTLM authentication in this domain”).
Możesz wyświetlić Podgląd zdarzeń w Dzienniku aplikacji i usług – Microsoft – Windows – NTLM, aby sprawdzić, czy używany jest NTLM. Wyszukaj NTLM w wartości Pakiet uwierzytelniania. Nazwa pakietu pokaże, która wersja NTLM jest używana.
Po upewnieniu się, że Twoja domena nie używa NTLM, możesz go wyłączyć.
Wyłącz NTLM (upewnij się, że najpierw przeprowadziłeś audyt sieci).
To ustawienie znajduje się w Konfiguracja komputera –> Ustawienia systemu Windows –> Ustawienia zabezpieczeń –> Zasady lokalne –> Opcje zabezpieczeń. (Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options).
Wybierz zasadę „Zabezpieczenia sieci: Ogranicz NTLM: Uwierzytelnianie NTLM w tej domenie” i wybierz Odmów wszystkim. „Network Security: Restrict NTLM: NTLM authentication in this domain”.
Wyłącz LLMNR
Link Local Multicast Name Resolution (LLMNR) to protokół używany do tłumaczenia adresów IP na nazwy hostów. Zasadniczo wykonuje on wyszukiwanie nazw domen bez serwera DNS. Działa poprzez wysyłanie rozgłoszenia w sieci w poszukiwaniu adresu, na które może odpowiedzieć każde urządzenie w sieci. Atakujący może to łatwo wykorzystać do odpowiedzi na te rozgłoszenia i połączenia się z komputerami. W sieci firmowej urządzenia powinny korzystać z kontrolowanego lub zatwierdzonego przez Ciebie serwera DNS.
LLMNR można wyłączyć za pomocą tego ustawienia zasad.
Konfiguracja komputera -> Szablony administracyjne -> Sieć -> Włącz klienta DNS. Wyłącz zasadę Multicast Name Resolution, zmieniając jej wartość na Włączone. (Computer Configuration -> Administrative Templates -> Network -> DNS ClientEnable Turn Off Multicast Name Resolution).
Kontroluj grupę administratorów lokalnych
Jeśli nie ograniczysz dostępu do lokalnej grupy administratorów, skąd będziesz wiedzieć, które konta mają pełne uprawnienia administratora? Z czasem pracownicy będą tworzyć i dodawać istniejące konta do lokalnej grupy administratorów na stacjach roboczych i laptopach. To nada im pełne uprawnienia do komputera, umożliwiając im instalowanie oprogramowania i sterowników, wprowadzanie zmian w systemie itd. Jest to zła praktyka bezpieczeństwa i żaden użytkownik nie powinien wykonywać swojej codziennej pracy z pełnymi uprawnieniami administratora.
Za pomocą zasad grupy możesz kontrolować, którzy użytkownicy są członkami tej grupy i uniemożliwić innym pracownikom wprowadzanie zmian.
Windows Firewall
Zalecam centralne zarządzanie zaporą systemu Windows za pomocą zasad grupy. Jest to podobne do problemu z uprawnieniami administratora lokalnego – jeśli nie zarządzasz centralnie, reguły mogą wymknąć się spod kontroli. Jeśli użytkownik otrzyma monit o zezwolenie lub zablokowanie czegoś, może łatwo klikać „Zezwalaj” za każdym razem. Wszelkie prośby o odblokowanie czegoś powinny być kierowane do zespołu IT/bezpieczeństwa.
Włącz kontrolę konta użytkownika (UAC)
Dzięki funkcji Kontrola konta użytkownika (UAC) aplikacje działają w kontekście zabezpieczeń zwykłego użytkownika (konta innego niż administrator) i wyświetlają monit o uprawnienia, gdy aplikacja potrzebuje dostępu na poziomie administratora.
To kolejna warstwa zabezpieczeń, która pomaga chronić użytkowników, komputery i sieć. To kolejne ustawienie, które użytkownicy lub inni pracownicy mogą wyłączyć. Użyj zasad grupy, aby centralnie wymusić włączenie funkcji Kontrola konta użytkownika i zapobiec jej wyłączeniu.
Zasady UAC znajdują się w następujących miejscach:
Konfiguracja komputera -> Zasady -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Zasady lokalne -> Opcje zabezpieczeń. (Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options).
Zasady dotyczące blokad aplikacji lub ograniczeń oprogramowania
Applocker to funkcja, która pozwala kontrolować, które aplikacje i pliki mogą być uruchamiane. Może to pomóc w zapobieganiu uruchamianiu niezatwierdzonego oprogramowania i plików. Na przykład, jeśli użytkownik pobierze oprogramowanie z internetu, które nie jest zatwierdzone w zasadach Applockera, oprogramowanie zostanie zablokowane.
Może to również pomóc w zapobieganiu instalowaniu i rozprzestrzenianiu się w sieci ransomware i innych złośliwych wirusów. Applocker jest dostępny tylko w systemie Windows Enterprise. Jeśli korzystasz z systemu Windows Pro, zapoznaj się z zasadami ograniczeń oprogramowania.
Zasady ograniczeń oprogramowania znajdują się poniżej:
Konfiguracja komputera -> Zasady -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Zasady ograniczeń oprogramowania. (Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Software restiriction policies).
Mam nadzieję, że ten artykuł Ci się spodobał. Jakich obiektów zasad grupy używasz do poprawy bezpieczeństwa?
Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.
Link do formularza tutaj: https://beitadmin.pl/pomysly
Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).
Cześć,
Applocker dostępny jest już od jakiegoś czasu we wszystkich wersjach W10/W11 o ile zainstalowana jest poprawka KB5024351
Źródło:
https://learn.microsoft.com/pl-pl/windows/security/application-security/application-control/app-control-for-business/applocker/requirements-to-use-applocker