пятница, 1 февраля 2019 г.

10 настроек групповой политики Windows 10 Pro, которые вы должны получить правильно


Один из наиболее распространенных способов настройки офиса, полного компьютеров под управлением Microsoft Windows, - групповая политика. В большинстве случаев групповые политики - это параметры, помещаемые в реестр компьютера для настройки параметров безопасности и других режимов работы. Групповые политики могут быть вытеснены из Active Directory (фактически снесены клиентом) или настроены локально.

Я занимаюсь компьютерной безопасностью Windows с 1990 года, поэтому видел много групповых политик. В своей работе с клиентами я тщательно проверяю каждый параметр групповой политики в каждом объекте групповой политики. Например, в Windows 8.1 и Windows Server 2012 R2 существует более 3700 настроек только для операционной системы.

Я открою вам маленький секрет: мне нужны только 10 настроек.

Я не говорю, что вы должны остановиться на этих 10, поскольку каждый правильно настроенный параметр групповой политики может снизить риск. Я говорю, что 10 настроек определяют большую часть вашего риска - все остальное подливка. Когда я начинаю смотреть на новую групповую политику, первым делом я сканирую эти 10 настроек. Если они установлены правильно, я знаю, что клиент делает правильные вещи, и моя работа будет легче.

Правильно настройте эти 10 параметров, и вы значительно улучшите свою среду Windows. Каждый из них находится в разделе Конфигурация компьютера \ Конфигурация Windows \ Параметры безопасности.

1. Переименуйте локальную учетную запись администратора.
Если злоумышленники не знают имя вашей учетной записи администратора, им будет гораздо сложнее ее взломать. Переименование учетной записи администратора не является автоматическим, поэтому вам придется сделать это самостоятельно.

2. Отключите гостевую учетную запись
Одна из худших вещей, которые вы можете сделать, - включить эту учетную запись. Он предоставляет достаточный объем доступа на компьютере Windows и не имеет пароля. К счастью, по умолчанию он отключен.

3. Отключить LM и NTLM v1
Протоколы аутентификации LM (LAN Manager) и NTLMv1 имеют уязвимости. Принудительное использование NTLMv2 и Kerberos. По умолчанию большинство систем Windows принимают все четыре протокола. Если у вас нет старых (то есть более 10 лет) незапатченных систем, редко есть причина использовать старые протоколы. По умолчанию они отключены.

4. Отключить хранение хэша LM
Хеши паролей LM легко конвертируются в текстовые эквиваленты паролей. Не позволяйте Windows хранить их на диске, где хакерский хэш-дамп найдет их. Это отключено по умолчанию.

5. Минимальная длина пароля
Минимальная длина пароля для обычных пользователей должна быть не менее 12 символов - 15 символов или более для учетных записей с повышенными правами. Пароли Windows даже близко не защищены, пока они не будут длиной 12 символов. Чтобы быть по-настоящему безопасным, 15 символов - это магическое число в мире аутентификации Windows. Доберись туда, и он закроет всякие бэкдоры. Все остальное принимает на себя ненужный риск. (По умолчанию это ноль символов, поэтому вам необходимо указать это требование.)

К сожалению, традиционные параметры групповой политики допускают максимальное значение только 14 символов при установке минимального размера пароля. Вместо этого используйте более новые детальные политики паролей. Его не так просто установить и настроить в Windows Server 2008 R2 (и более ранних версиях), но его действительно легко установить - с графическим интерфейсом - в Windows Server 2012 и более поздних версиях.

6. Максимальный срок действия пароля
Пароли длиной не более 14 символов должны использоваться не более 90 дней. Максимальный срок действия пароля Windows по умолчанию составляет 42 дня, поэтому вы можете либо принять значение по умолчанию, либо увеличить его до 90 дней, если хотите. Некоторые эксперты по безопасности считают правильным использовать один и тот же пароль на срок до одного года, если его длина составляет 15 символов или более. Имейте в виду, однако, что продление срока действия пароля увеличивает риск того, что кто-то может его украсть и использовать повторно для доступа к другим учетным записям, принадлежащим тому же лицу. Более короткие сроки действия пароля всегда лучше.

7. Журналы событий
Подавляющее большинство жертв нападения обнаружило бы нарушение раньше, если бы их журналы событий были включены, и они имели привычку проверять их. Убедитесь, что вы используете параметры, рекомендуемые в инструменте Microsoft Security Compliance Manager, и используете подкатегории аудита вместо устаревших параметров категории.

8. Отключите перечисление анонимного SID
Идентификаторы безопасности (SID) - это номера, назначенные каждому пользователю, группе и другому субъекту безопасности в Windows или Active Directory. В ранних версиях Windows пользователи, не прошедшие проверку подлинности, могли запрашивать эти номера, чтобы идентифицировать важных пользователей (например, администраторов) и группы, и этот факт хакеры любили использовать. К счастью, перечисление по умолчанию отключено.

9. Не позволяйте анонимной учетной записи находиться в группе «все»
Этот и предыдущий параметры, если они установлены неправильно, могут позволить анонимному (или нулевому) хакеру гораздо больший доступ в систему, чем должно быть предоставлено. Обе настройки были включены по умолчанию (отключение анонимного доступа) с 2000 года. Убедитесь, что они остаются такими.

10. Включить контроль учетных записей
Наконец, с момента выхода Windows Vista UAC является средством защиты No 1 для людей, просматривающих Интернет. Я считаю, что многие клиенты отключают его из-за устаревшей информации о проблемах совместимости приложений. Большинство из этих проблем исчезли, и многие из оставшихся могут быть решены с помощью бесплатной утилиты устранения неполадок совместимости приложений от Microsoft. Если вы отключите UAC, вы гораздо ближе к безопасности Windows NT, чем к современной операционной системе. UAC включен по умолчанию.

Если вы обратили внимание, вы заметите, что семь из 10 параметров по умолчанию настроены правильно в Windows Vista, Windows Server 2008 и более поздних версиях. Большинство моих книг по безопасности Windows посвящены настройкам, которые я хотел, чтобы вы были более надежно защищены. В наши дни мой лучший совет - менять только то, что вам нужно, и не прятать большинство значений по умолчанию. Когда я вижу проблемы, обычно это происходит потому, что люди стараются ослабить настройки по умолчанию. Это никогда не хорошо.

Перед тем, как начать беспокоиться о групповой политике, нужно сделать несколько важных вещей, например, совершенные исправления и запрет на установку пользователями программ-троянов. После того, как вы возьмете эти усилия под контроль, правильная настройка вашей групповой политики станет отличным следующим шагом.

Я также большой поклонник включения BitLocker (в Windows Vista / 2008 и более поздних версиях). Но имейте в виду, что планирование реализации BitLocker требует времени и обдумывания, хотя вы можете реализовать его с помощью групповой политики.

Что бы вы ни делали, не тратьте свою жизнь на изучение всех 3700 настроек. Вместо этого убедитесь, что вы правильно выбрали топ-10, и вы прошли большую часть пути.

Загрузите Windows 10 Pro [Официальные файлы ISO]

Это первая розничная версия Microsoft Windows 10 Pro Build 10240. Загрузите Windows 10 Pro - оригинальный и официальный файл ISO. Прямая загрузка в один клик, предоставляемая Softlay. Пользователи Windows 7 и 8 могут бесплатно обновиться до полной версии Windows 10, не заходя в Windows Store.

Windows 10 Pro ISO бесплатно скачать полную версию для 32-разрядных и 64-разрядных. Вы можете загрузить оригинальный ISO 10 (Windows) Windows 10 Pro с официального сайта Microsoft Link с ключом продукта Windows 8.

Обзор Microsoft Windows 10 Pro Build 10240

Windows 10 является самой простой и легкой из всех окон на сегодняшний день. Это на самом деле смесь и обновление Windows 7 и Windows 8 с некоторыми совершенно новыми функциями, которые просто удивительны. Пользователи никогда не покинут Windows. Windows 10 Pro Build 10240 может работать не только на ПК и смартфонах, встраиваемых системах, Xbox One, планшетах, Surface Hub и объективе Holo. Для разумного и простого обзора я бы сказал, что эта версия была пересмотрена в целом, тогда как в большинстве мест вы могли бы реализовать какую-то старую особенность. Тем не менее, эти старые функции получили новый штрих.

Вы получите отличный и новый пользовательский опыт. Когда я говорю о пользовательском опыте, это касается дизайна, производительности и его функций. Программа Windows Insider, представляющая собой глобальное сообщество поклонников, которые просто любят Windows. Инсайдеры видят операционную систему на самых ранних этапах и играют определенную роль в ее формировании. По этой причине Windows 10 Pro Build 10240 выглядит практически без проблем.

Начиная функции с самого начала, вы начинаете чувствовать удивительное и новое чувство. Прежде всего, полностью новый экран блокировки с повышенной безопасностью с 4 контактов в Windows 8.1 до 35+ в Windows 10 (Pro + Enterprise). Переезд на экран приветствия. Тогда у вас есть новые темы, которые вам обязательно понравятся. Новейшая и броская вещь - это ваш значок Windows в левом нижнем углу, который будет нажат, и пользователь получит совершенно новый опыт. Меню «Пуск» довольно полезно, так как в нем есть сочетание Windows 7 «Пуск» и «8». Итак, теперь никто не будет скучать по ним.

Справа от значка Windows вы увидите что-то новое. Кортана, наша личная помощница, у которой красивый голос. Мы рассказываем ей вещи, которые нас интересуют, и она будет держать их в уме. На наши вопросы она иногда приходила с удивительными ответами или обращалась к Интернету. Она также делает предложения и делает необычные вещи, как если бы она пела вам песню или колыбельную. Мы еще не закончили, не нужно привлекать ваше внимание, да, броский (е) для края Microsoft.

Это заменило предыдущий Internet Explorer на дополнительную оптимизированную производительность, предоставляемую его пользователям. Существуют многочисленные функции, такие как панель уведомлений справа на панели задач. Возможность, которой пользуются пользователи Windows Phone, - это изменение цвета темы и вида задачи.
Удаленные функции в Windows 10 Pro

Ранее доступные функции, которые были прекращены:

Windows Media Center

Windows DVD проигрыватель

One Drive встроенный клиент синхронизации

Ваш собственный выбор для обновления Windows завершен.

Не беспокойтесь, дополнения лучше, чем эти.

Особенности Windows 10

Ниже приведены основные функции Windows 10 (Pro + Enterprise).

Знаковое меню «Пуск»

Браузер Windows 10: Microsoft Edge

Магазин Windows 10 и универсальные приложения

Windows 10 Привет и безопасность

Режим Континуума

Расширенный поиск

Оптимизация рабочего стола

Многозадачность

Улучшенный Snap Snap

Ножницы

Несколько рабочих столов

Паспорт Microsoft

Мультимедиа и игры

Windows 10 Кортана

Windows 10 офис

Защитник Windows 10 (антивирус)