Best practices voor groepsbeleid – GPO-beveiligingsinstellingen

Handleidingen

Groepsbeleid Beste Praktijken – GPO Beveiligingsinstellingen. Een effectieve netwerkbeheer vereist een goed begrip van Groepsbeleidsobjecten (GPO’s). Deze verkenning richt zich op GPO beveiligingsinstellingen, waarbij fundamentele principes en strategieën worden ontrafeld om Active Directory-omgevingen te versterken. Dit artikel bespreekt meer over meerdere Groepsbeleid beste praktijken.

Ook Lezen Hoe je een GPO maakt en koppelt in Active Directory (Stap voor Stap)

Groepsbeleid Beste Praktijken – GPO Beveiligingsinstellingen

Bepaalde eenvoudige Groepsbeleid Instellingen, wanneer correct geconfigureerd, hebben het potentieel om het risico op gegevenslekken te verminderen. Het verbeteren van de beveiliging en operationele gedrag van computers binnen onze organisatie wordt bereikt door instellingen aan te passen in het computerregister via Groepsbeleid. Deze krachtige tool stelt ons in staat om de toegang van gebruikers te beperken tot specifieke bronnen, scripts uit te voeren, en routinetaken uit te voeren, zoals het afdwingen van een aangewezen startpagina voor elke gebruiker op het netwerk.

Ook Lezen Active Directory Back-upstrategieën en -tools (Best Practices)

Toegang tot het Configuratiescherm Beheren

Het instellen van limieten voor het Configuratiescherm van een computer creëert een veiligere zakelijke omgeving. Via het Configuratiescherm beheren we alle aspecten van onze computer. Dus, door te beheren wie toegang heeft tot de computer, houden we gegevens en andere middelen veilig. Voer de volgende stappen uit:

  1. In de Groepsbeleidbeheer-editor (geopend voor een door de gebruiker gecreëerd GPO), navigeer naar Gebruikersconfiguratie>Beheersjablonen>Configuratiescherm.
  2. Dubbelklik op de Verbied toegang tot het Configuratiescherm en PC-instellingen beleid in het rechterpaneel om de eigenschappen te tonen.
  3. Selecteer Ingeschakeld uit de drie opties.
  4. Klik Toepassen en OK.

Ook Lezen Probeer de InfraSOS Active Directory Rapportagetool

Voorkom dat Windows LAN Manager-hash opslaat

Windows genereert en slaat wachtwoorden van gebruikersaccounts op in hashes. Windows genereert zowel een LAN Manager-hash (LM-hash) als een Windows NT-hash (NT-hash) van wachtwoorden. Het slaat ze op in de lokale Security Accounts Manager (SAM)-database of Active Directory.

De LM-hash is zwak en gevoelig voor hacken. Daarom moeten we voorkomen dat Windows een LM-hash van onze wachtwoorden opslaat. Voer de volgende stappen uit om dit te doen:

  1. Zoek naar Beveiligingsopties onder Computerconfiguratie>Windows-instellingen>Beveiligingsinstellingen>Lokaal beleid in het venster van de Editor voor groepsbeleid dat verscheen voor een aangepast GPO.
  2. In het rechterdeelvenster, dubbelklik De LAN Manager-hashwaarde niet opslaan bij de volgende wachtwoordwijziging beleid.
  3. Selecteer het Definieer deze beleidsinstelling aankruisvakje en klik Ingeschakeld.
  4. Klik Toepassen en OK.

Beheer toegang tot de opdrachtprompt

We gebruiken opdrachtprompt om commando’s uit te voeren die gebruikers hoog niveau toegang geven en andere beperkingen op het systeem omzeilen. Dus, om de beveiliging van systeembronnen te waarborgen, is het verstandig om de Opdrachtprompt uit te schakelen.

Nadat we de Opdrachtprompt hebben uitgeschakeld en iemand probeert een opdrachtvenster te openen, toont het systeem een bericht waarin staat dat sommige instellingen deze actie voorkomen. Voer de volgende stappen uit:

  1. In het venster van de Group Policy Management Editor (geopend voor een aangepaste GPO), ga naar Gebruikersconfiguratie>Windows-instellingen>Beleidsregels>Administratieve sjablonen>Systeem.
  2. Dubbelklik in het rechterpaneel op het beleid Toegang tot de opdrachtprompt voorkomen.
  3. Klik op Ingeschakeld om het beleid toe te passen.
  4. Klik opToepassen en OK.

Lees ook Hoe u uw Windows Server kunt controleren en auditen op beveiligingsgebeurtenissen

Forceer systeemherstarts uitschakelen

Het forceren van een systeemherstart is gebruikelijk. Bijvoorbeeld, we bevinden ons in een scenario waar we onze computer moeten gebruiken. Een melding verschijnt op Windows waarin wordt aangegeven dat een beveiligingsupdate vereist dat we ons systeem herstarten.

De computer herstart vaak automatisch en we verliezen essentieel, niet-opgeslagen werk als we de melding negeren of even wachten met reageren. Om gedwongen herstarts uit te schakelen via GPO, voer de volgende stappen uit:

  1. Om toegang te krijgen tot Windows Update, navigeer naar Computer Configuratie>Administrative Templates>Windows Component in het Groepsbeleidsbeheer Editor venster dat is geopend voor een aangepaste GPO.</
  2. In het rechterdeelvenster, dubbelklik op Geen automatische herstart met ingelogde gebruikers voor geplande installaties van automatische updates beleid.
  3. Klik op Ingeschakeld om het beleid in te schakelen.
  4. Klik op Toepassen en OK.

Ook lezen Best Practices voor beveiliging van Active Directory: Bescherm uw omgeving

Weiger verwijderbare mediadragers

Verwijderbare mediadragers zijn zeer vatbaar voor infectie en kunnen ook een virus of malware bevatten. Als een gebruiker een geïnfecteerde schijf in een netwerkcomputer steekt, heeft dit invloed op het hele netwerk. Evenzo zijn dvd’s, cd’s en zelfs floppydrives, ondanks hun leeftijd, nog steeds vatbaar voor infectie.

Het is daarom het beste om al deze drives volledig uit te schakelen. Voer de volgende stappen uit om dit te doen:

  1. In het Group Policy Management Editor-venster (geopend voor een aangepaste GPO), ga naar Gebruikersconfiguratie>Beleidsregels>Administratieve sjablonen>Systeem>Toegang tot verwisselbare opslag.
  2. In het rechterdeelvenster, dubbelklik op Alle verwisselbare opslagklassen: Alle toegangen weigeren beleid.
  3. Klik op Ingeschakeld om het beleid in te schakelen.
  4. Klik op Toepassen en OK.

Software-installaties beperken

Wanneer we gebruikers de vrijheid geven om software te installeren, kunnen ze ongewenste apps installeren die ons systeem in gevaar brengen. Systeembeheerders moeten meestal regelmatig onderhoud en schoonmaak van dergelijke systemen uitvoeren. Het is raadzaam om software-installaties via Group Policy te voorkomen:

  1. In de Group Policy Management Editor (geopend voor een aangepaste GPO), ga naar Computerconfiguratie>Administratieve sjablonen>Windows-onderdelen>Windows Installer.
  2. In het rechterpaneel, dubbelklik op het Vermijd gebruikersinstallatie-beleid.
  3. Klik op Ingeschakeld om het beleid in te schakelen.
  4. Klik op Toepassen en OK.

Schakel het gastaccount uit

Via een gastaccount krijgen gebruikers toegang tot gevoelige gegevens. Dergelijke accounts verlenen toegang tot een Windows-computer zonder dat er een wachtwoord nodig is. Wanneer dit account is ingeschakeld, kan iedereen misbruik maken van toegang tot onze systemen.

We kunnen gelukkig deze accounts standaard deactiveren. Het is het beste om te controleren of dit het geval is in onze IT-omgeving, aangezien indien dit account is ingeschakeld in ons domein, het uitschakelen mensen ervan weerhoudt om toegang te misbruiken:

  1. In de Group Policy Management Editor (geopend voor een aangepaste GPO), ga naar Computerconfiguratie>Windows-instellingen>Beveiligingsinstellingen>Lokale beleidsinstellingen>Beveiligingsopties.
  2. In het rechterdeelvenster, dubbelklik Accounts: Gastaccountstatus beleid.
  3. Selecteer het Deze beleidsinstelling definiëren vakje en klik Uitgeschakeld.
  4. Klik Toepassen en OK.

Lees ook Probeer InfraSOS Active Directory GPO Rapportagegereedschap

Stel minimale wachtwoordlengte in op hogere limieten

Stel de minimale wachtwoordlengte in op hogere limieten. Bijvoorbeeld, voor verhoogde accounts, moeten we de wachtwoorden instellen op minimaal 15 tekens, en voor reguliere accounts, minimaal 12 tekens. Het instellen van een lagere waarde voor minimale wachtwoordlengte creëert onnodig risico. De standaardinstelling is “nul” tekens, dus we moeten een nummer opgeven:

  1. In het venster van de Groepsbeleidbeheer-editor (geopend voor een aangepast GPO), ga naar Computerconfiguratie>Windows-instellingen>Beveiligingsinstellingen>Accountbeleid>Wachtwoordbeleid.
  2. Dubbelklik op de beleidsinstelling Minimale wachtwoordlengte in het rechterpaneel en kies vervolgens het selectievakje Dit beleidsinstelling definiëren.
  3. Geef een waarde op voor de wachtwoordlengte.
  4. Klik op Toepassen en OK.

Stel Maximale Wachtwoordleeftijd in op Lagere Limieten

Als we de verloopleeftijd van het wachtwoord instellen op een lange periode, hoeven gebruikers het slechts af en toe te wijzigen, wat betekent dat het wachtwoord eerder gestolen kan worden. Kortere verloopperioden van het wachtwoord zijn altijd te verkiezen.

Windows stelt de standaard maximale wachtwoordleeftijd in op 42 dagen. De volgende schermafbeelding toont de beleidsinstelling voor het configureren van Maximale Wachtwoordleeftijd. Voer de volgende stappen uit:

  1. Ga naarComputerconfiguratie>Windows-instellingen>Beveiligingsinstellingen>Accountbeleid>Wachtwoordbeleid in het venster Groepsbeleidsbeheer dat verschijnt (geopend voor een aangepast GPO).
  2. Dubbelklik in het rechterdeelvenster op het beleid Maximum wachtwoordleeftijd.
  3. Selecteer het selectievakje Dit beleidsinstelling definiëren en geef een waarde op.
  4. Klik op Toepassen en OK.

Disable Anonieme SID Enumeratie

Active Directory kent een uniek nummer toe aan alle beveiligingsobjecten in Active Directory, inclusief Gebruikers, Groepen en anderen, genaamd Beveiligingsidentifiers (SID) nummers. In oudere Windows-versies konden gebruikers de SIDs opvragen om essentiële gebruikers en groepen te identificeren. Hackers maken misbruik van deze voorziening om ongeautoriseerde toegang tot gegevens te krijgen.

Standaard is deze instelling uitgeschakeld. Zorg ervoor dat dit zo blijft. Voer de volgende stappen uit:

  1. Navigeer naar Computer Configuration>Policies>Windows Settings>Security Settings>Local Policies>Security Options in het venster van de Groepsbeleidsbeheer-editor.
  2. Dubbelklik op de Network Access in het rechterdeelvenster. Do not permit the enumeration of SAM accounts and anonymously communicate beleidsinstellingen.
  3. Kies Enabled en klik vervolgens op Apply en OK om onze instellingen op te slaan.

Als we deze Groepsbeleidsinstellingen correct hebben ingesteld, wordt de beveiliging van onze organisatie automatisch beter. Deze lijst is misschien niet compleet, maar het is een uitstekende startgids om de beveiliging in ons domeinomgeving te versterken.

Lees ook Best Practices voor Active Directory Security Groups

Conclusie van de beste praktijken voor Groepsbeleid – GPO-beveiligingsinstellingen

Concluderend is het navigeren door de complexiteiten van best practices voor groepsbeleid een hoeksteen bij het versterken van de beveiliging en efficiëntie van elke netwerkomgeving. Door zich te houden aan deze richtlijnen, versterken beheerders niet alleen de veerkracht van hun systemen, maar zorgen ze ook voor een samenhangende en gestandaardiseerde configuratie binnen de organisatie. Naarmate het digitale landschap evolueert, wordt het omarmen van deze best practices imperatief voor de bescherming van gegevens, het verbeteren van de operationele integriteit en het handhaven van een robuuste basis voor een effectief netwerkbeheer.

Source:
https://infrasos.com/group-policy-best-practices-gpo-security-settings/