10 importanti impostazioni di Criteri di gruppo su Windows che devono essere eseguite immediatamente

Uno dei metodi più diffusi per configurare le macchine Microsoft Windows è l'utilizzo dei Criteri di gruppo. Si tratta di impostazioni relative alla registrazione sul computer, alla configurazione delle impostazioni di sicurezza e al comportamento durante l'utilizzo della macchina. I criteri di gruppo possono essere aperti da Active Directory (dal client) o configurati direttamente sulla macchina (locale). I computer Windows 8.1 e Windows Server 2012 R2 dispongono di più di 3.700 impostazioni per il sistema operativo.

Di seguito sono riportate 10 importanti impostazioni di Criteri di gruppo a cui è necessario prestare attenzione. Non limitarti a queste 10 impostazioni perché ogni impostazione ragionevole aiuta a ridurre il rischio. Ma queste 10 scelte decideranno quasi tutto.

Se imposti correttamente questi 10 nomi, creerai un ambiente Windows più sicuro. Si trovano tutti in Configurazione computer/Impostazioni di Windows/Impostazioni di sicurezza.

1. Rinominare l'account dell'amministratore locale

Se i malintenzionati non conoscono il nome dell'account amministratore, ci vorrà più tempo per hackerarlo. La ridenominazione dell'account amministratore non può essere eseguita automaticamente, devi farlo tu stesso.

2. Disabilita l'account ospite

Una delle cose peggiori che puoi fare è attivare questo account. Fornisce più diritti di accesso alle macchine Windows e non richiede una password. Fortunatamente, esiste un'opzione per disabilitare questa funzione per impostazione predefinita.

Configura correttamente i Criteri di gruppo per garantire la sicurezza del tuo computer Windows

3. Disabilita LM e NTLM v1

I protocolli di autenticazione LM (LAN Manager) e NTLM v1 sono vulnerabili. Utilizza NTLM v2 e Kerberos. Per impostazione predefinita, la maggior parte delle macchine Windows accetta tutti e quattro i protocolli. A meno che tu non abbia una macchina vecchia (più di 10 anni) a cui non sono state apportate patch, raramente è consigliabile utilizzare il vecchio protocollo. Possono essere disabilitati per impostazione predefinita.

4. Disabilitare l'archiviazione LM

Gli hash delle password LM possono essere facilmente convertiti in testo semplice. Non lasciare che Windows li salvi sull'unità, dove gli hacker possono utilizzare strumenti per trovarli. È disabilitato per impostazione predefinita.

5. Lunghezza minima della password

La lunghezza della password per gli utenti normali deve essere di almeno 12 caratteri - 15 caratteri o più per account di livello superiore. Le password di Windows non sono molto sicure se contengono meno di 12 caratteri. Per essere più sicuri nel mondo dell'autenticazione di Windows, dovrebbe essere 15. Questo chiuderà quasi tutte le backdoor.

Sfortunatamente, la vecchia impostazione dei Criteri di gruppo prevedeva solo un massimo di 14 caratteri. Utilizzare criteri password dettagliati Anche se non è facile da impostare e configurare su Windows Server 2008 R2 (e versioni precedenti), è molto semplice con Windows Server 2012 e versioni successive.

6. Durata massima della password

Le password con 14 caratteri o meno non possono essere utilizzate per più di 90 giorni. La durata massima predefinita della password di Windows è 42 giorni, quindi puoi utilizzare questo numero o aumentarlo a 90 giorni, se lo desideri. Alcuni esperti di sicurezza affermano che l'utilizzo di una password per un massimo di un anno va bene se contiene 15 o più caratteri. Ricorda, però, che più è lunga la scadenza, maggiore è il rischio che qualcuno lo rubi e lo utilizzi per accedere a un altro account della stessa persona. L'uso a breve termine è ancora migliore.

7. Registri eventi

Molte vittime di attacchi avrebbero potuto essere rilevate precocemente se avessero attivato i registri eventi e preso l’abitudine di controllarli. Assicurati di utilizzare le impostazioni consigliate nello strumento Microsoft Security Compliance Manager e di utilizzare le sottocategorie di controllo.

8. Disabilitare la partecipazione SID anonima

Gli identificatori di sicurezza (SID - identificatore di sicurezza) sono numeri assegnati a ciascun utente, gruppo e oggetto di sicurezza su Windows o Active Directory. Nelle prime versioni di Windows, gli utenti non autenticati potevano interrogare questi numeri per identificare utenti e gruppi importanti (come gli amministratori), che gli hacker amavano sfruttare. Questa partecipazione può essere disabilitata per impostazione predefinita.

9. Non lasciare che gli account anonimi siano presenti nel gruppo di tutti

Questa impostazione e l'impostazione precedente, se configurate in modo errato, consentiranno a una persona anonima di accedere al sistema oltre quanto consentito. Entrambe le impostazioni sono abilitate per impostazione predefinita (disabilita accesso anonimo) dal 2000.

10. Abilita il controllo dell'account utente (UAC)

A partire da Windows Vista, l'UAC è lo strumento di protezione n. 1 durante la navigazione sul Web. Tuttavia, molte persone lo disattivano a causa di vecchie informazioni sui problemi di compatibilità del software. La maggior parte di questi problemi sono scomparsi; ciò che rimane può essere risolto utilizzando l'utilità gratuita di rilevamento dell'incompatibilità di Microsoft. Se disabiliti l'UAC, corri un rischio maggiore su Windows NT rispetto ai sistemi operativi più recenti. L'UAC è abilitato per impostazione predefinita.

Le nuove versioni del sistema operativo hanno molte impostazioni predefinite corrette

Se presti attenzione, vedrai che 7 su 10 di queste impostazioni sono state configurate correttamente su Windows Vista, Windows Server 2008 e versioni successive. Non c'è bisogno di perdere tempo ad apprendere tutte le 3.700 impostazioni di Criteri di gruppo, basta configurare correttamente le 10 impostazioni precedenti e il gioco è fatto.