10 obaveznih bezbednosnih podešavanja za Windows grupne polise
Konfigurišite ovih 10 podešavanja Windows grupnih polisa radi veće bezbednosti.
Jedan od najčešćih metoda da se u kancelariji konfigurišu Microsoft Windows računari je preko grupnih polisa. Grupne polise definišu podešavanja za grupe korisnika (računara). U to spadaju polise vezane za Registry bazu, bezbednosna podešavanja, instalaciju softvera, skripte itd. Grupne polise se mogu uzeti iz Active Directory (odnosno, može ih povući klijent) ili se mogu konfigurisati lokalno.
Postoji na hiljade mogućih podešavanja grupnih polisa, ali sledećih 10 je možda i najbitnije.
1. Preimenujte nalog Local Administrator
Ukoliko potencijalni hakeri ne znaju ime vašeg admin naloga, biće im mnogo teže da vas hakuju. Preimenovanje se ne radi automatski već to morate sami da uradite.
2. Onemogućite nalog Guest
Jedna od najgorih stvari koju možete da uradite jeste da omogućite ovaj nalog. Ovaj nalog daje previše pristupa Windows računaru i nema lozinku. Na svu sreću, on je već onemogućen prema default postavkama.
3. Onemogućite LM i NTLMv1
LM (LAN menadžer) i NTLMv1 protokoli za autentifikaciju imaju ranjivosti. Umesto njih, preporuka je da koristite NTLMv2 i Kerberos. Većina Windows sistema prihvata sva 4 protokola. Nema potrebe da koristite stare protokole osim ukoliko ne koristite baš stari sistem (stariji od 10 godina). Pomenuti protokoli su onemogućeni prema default postavkama.
4. Onemogućite LM hash skladište
LM lozinke i hashovi se lako konvertuju u lozinke u plaintextu. Nemojte dozvoliti da ih Windows čuva na disku gde ih hakeri mogu naći. Ovo je takođe onemogućeno prema default postavkama.
5. Minimalna dužina lozinke
Minimalna dužina lozinke za obične korisnike je 12 karaktera, a za one sa višim privilegijama 15. Kraće lozinke od pomenutih su u Windowsu prilično nebezbedne. Za pravu bezbednost, magičan broj u svetu Windows autentifikacije je 15 karaktera. Držite se toga i sprečićete brojne backdoor pristupe. U suprotnom, preuzimate na sebe nepotreban rizik. Prema default postavkama, dužina lozinki je nula karaktera tako da ćete to morati da podesite sami.
Nažalost, tradicionalna podešavanja grupnih polisa prihvataju kao maksimalnu vrednost 14 karaktera kada je u pitanju podešavanje minimalne dužine lozinke. Zato umesto toga koristite Fine-Grained Password polise. To nije lako podesiti i konfigurisati u Windows Server 2008 R2 i ranijim verzijama, ali jeste lako podesiti preko GUI u Windows Server 2012 i kasnijim verzijama.
6. Maksimalna starost lozinke (maksimalni period trajanja lozinke)
Lozinke koje su dugačke 14 ili manje karaktera ne treba koristiti duže od 90 dana. Prema default postavkama, maksimalna dužina trajanja lozinke je 42 dana pa možete ostaviti tako ili produžiti rok na 90 dana. Neki stručnjaci smatraju da je prihvatljivo koristiti istu lozinku do godinu dana ukoliko je dugačka 15 i više karaktera. Ipak, budite oprezni jer produžavanje perioda trajanja lozinke povećava rizik da je hakeri ukradu i iskoriste za pristup vašim drugim nalozima. Kraći period trajanja lozinke je uvek bolja opcija.
7. Logovi događaja
Većina hakerskih napada je moglo biti detektovano ranije da je opcija čuvanja logova događaja bila uključena i da ih je žrtva napada redovno proveravala. Postarajte se da koristite podešavanja koja su preporučena u Microsoft Security Compliance Manager alatu i koristite podkategorije za proveru umesto zastarelih podešavanja kategorija.
8. Onemogućite anonimnu SID enumeraciju
Identifikatori bezbednosti (SIDs) su brojevi koji se dodeljuju svakom korisniku, grupi i drugom bezbednosnom subjektu u Windowsu ili Active Directory. U prvobitnim Windows verzijama, neautentifikovani korisnici su mogli preko tih brojeva da identifikuju važne korisnike (poput admina) i grupe, što su hakeri često eksploatisali. Srećom, prema default postavkama ova opcija je onemogućena.
9. Ne dozvolite da se anonimni nalog nađe u grupi „svi“
Kada ovo nije dobro podešeno, anonimni haker ima mnogo veći pristup sistemu nego što bi to trebalo da bude slučaj. Prema default postavkama, još od 2000. godine onemogućen je anonimni pristup. Postarajte se da tako i ostane.
10. Omogućite kontrolu korisničkog naloga
Još od Windows Viste, UAC (kontrola korisničkog naloga) je alat broj jedan u zaštiti korisnika koji surfuju internetom. Mnogi korisnici pak ovu opciju isključe zbog starih informacija o problemima sa kompatibilnošću aplikacija. Većina tih problema je prošlost, a mnogi koji su preostali mogu biti rešeni pomoću besplatnog Microsoft alata za rešavanje problema kompatibilnosti aplikacija. Ukoliko onemogućite UAC, mnogo ste bliži nivou bezbednosti u Windows NT nego bezbednosti koju pruža savremeni operativni sistem. UAC je, srećom, omogućen prema default postavkama.
Ukoliko se vratimo na ovih 10 podešavanja, možete primetiti da je 7 od 10 već unapred ispravno podešeno u Windows Vista, Windows Server 2008 i kasnijim verzijama. Ipak, s obzirom na njihovu važnost, nije na odmet da proverite da li je i kod vas sve ispravno podešeno. Možda i najbolji savet vezan za grupne polise je da menjate samo ono što morate, a da većinu default podešavanja ostavite. Mnogi problemi nastaju zbog toga što ljudi nepažnjom promene određena default podešavanja koja ne bi trebalo dirati.
Postoji par važnijih stvari koje biste trebalo da uradite pre nego što počnete da razmišljate o grupnim polisama, a to je da se postarate da su sve zakrpe savršeno odrađene i da sprečite korisnike da instaliraju trojance. Kada to stavite pod kontrolu, sledeći veliki korak je ispravno konfigurisanje grupnih polisa.