十項Windows組策略設置為業務環境保駕護航
譯文【51CTO精選譯文】在企業當中,最常見的微軟Windows計算機配置方案就是采用組策略。在大多數情況下,組策略代表著一整套設置方案,能夠直接被納入目標計算機的注冊表從而實現安全設置及其它操作活動。組策略既可以由Active Directory負責向下推送(實際上是由客戶端提取),也可以通過配置本地組策略實現。
利用組策略來設定并配置安全設置的能力一直都是Windows計算機的一大優勢所在。沒錯,當下的很多操作系統都提供類似的管理系統,但Windows無疑是這類方案的先驅者——組策略早在1998年10月發布的Windows NT 4.0 SP4上就已經出現了。哦,我還記得利用secedit.exe進行本地組策略配置的時光。基于Active Directory的組策略機制直到2000年2月Windows 2000發布時才正式誕生,但十余年的實踐經驗證明,這是一套出色的企業計算機安全管理方案。
我自1990年開始就一直從事Windows計算機安全領域的相關工作,多年的從業經歷也讓我不斷跟組策略打交道。在為客戶服務的時候,我最常做的就是幫助他們在每個組策略對象當中進行仔細檢查各項組策略設置。在Windows 8.1與Windows Server 2012 R2中,兩款操作系統各自擁有超過3700項設置。至于與IE相關的設定或者針對微軟Office等應用程序的組策略方案更是成百上千,我幾乎無法準確計算出其具體數量。
但今天我要跟大家分享一個小秘密:我只需要關注其中十項設置,就能基本搞定安全問題。
并不是說只靠這十項設置就可以高枕無憂,畢竟每和項經過合理配置的組策略都能讓風險水平有所降低。我只是希望與大家分享自己的一點心得,幫助各位了解能夠決定大部分風險水平的這十種設置——其它設置在它們面前只能算是錦上添花。當我面對一種自己此前從未見過的新型組策略時,第一件事就是重新回顧下面要提到的這十項基本設置。只要它們得到合理配置,我就可以松一口氣——因為我知道客戶基本上做好了設置工作,我的任務也會變得比較簡單。
十大Windows組策略設置
只要將這一項設置處理好,大家就可以算是在保障Windows環境安全性的道路上取得了階段性勝利。這十項設置全部位于Computer Configuration\Windows Setting\Security Settings之下。
對本地管理員賬戶進行重新命名:如果惡意人士不知道管理員賬戶的名稱,則很可能需要花掉大量時間才能找到攻擊突破口。
禁用訪客賬戶:我們所作出的最糟糕的安全決定之一就是啟用訪客賬戶。它能夠對Windows計算機進行相當程度的訪問,同時又不設密碼——說到這里,相信大家已經明白我的意思了。
禁用LM與NTLM v1:LM(即局域網管理器)與NTLMv1認證協議存在漏洞。請務必使用NTLMv2與Kerberos。在默認情況下,大部分Windows系統都會接收全部四種協議。除非大家仍然在使用陳舊不堪而且沒有安裝更新補丁的老爺系統(也就是超過十年的系統版本),否則我們真的沒什么理由非要使用早期協議版本。
禁用LM散列存儲:LM密碼散列極易被轉換成明文密碼內容,因此絕對不要允許Windows系統將其儲存在磁盤上——黑客轉儲工具會輕松地將其找出來。
最低密碼長度值:我們應該將密碼的最低長度值設置在12位或者更高。不要滿足于區區8位的系統密碼(這也是我最常見到的密碼長度)。Windows密碼即使達到12位長度,其安全效果其實也不容樂觀——真正的安全性要到15位才有保障。在Windows驗證領域,15位是個魔術般的臨界點。只要能夠達到這樣的長度,所有形式的后門都會被緊緊關閉。而低于15位的任何密碼長度設置都等于是在增加不必要的風險。
最長密碼使用期限:大部分密碼的使用周期都不應該超過九十天。不過如果大家選擇了15位乃至更長的密碼內容,那么一年的使用周期也是可以接受的。已經有很多公共以及私人研究證實,長度在12個字符乃至以上的密碼的破解時耗更長,因此在以九十天為基準的密碼輪換機制下安全性也相對更好。
事件日志:啟用事件日志,利用它來記錄所有成功以及失敗的操作流程。正如我之前多次提到,如果堅持關注事件日志內容,大部分計算機犯罪活動的受害者本應該更早發現端倪、進而防止嚴重違規事件的發生。
禁用匿名SID枚舉:SID(即安全標識符)是針對Windows系統或者Active Directory之下每一個用戶、群組以及其它安全主體所分配的數字。在早期系統版本當中,未通過身份驗證的用戶可以通過查詢這些數字來判斷用戶(例如管理員)及群組的重要性,而這一特性也使其成為黑客們的最愛。
不要讓匿名賬戶駐留在每個群組當中:這兩種設置一旦出現失誤,就會導致匿名(或者為空)黑客以遠超權限范圍的方式訪問系統。自2000年以來,這些設置就已經被默認禁用——大家要做的就是確認自己沒有對默認方案作出改動。
啟用用戶賬戶控制:最后,自從Windows Vista開始,UAC機制就成了保護網絡瀏覽者們的頭號工具。我發現很多客戶會將這項功能關閉,僅僅是為了能讓某些陳舊應用的兼容性問題不再每次都進行詢問。目前大部分這類問題已經得到解決,剩下尚未解決的部分在微軟提供的免費應用兼容性故障排查工具面前也不再令人頭痛。總之,如果大家禁用了UAC,那么相當于遠離現代操作系統而重新回到Windows NT時代——這可不太明智。
再來告訴大家一個好消息:前面提到的所有設置在Windows Vista/Server 2008以及更新版本當中都會以默認狀態調整到位。大部分Windows安全指南資料都希望指導大家如何在現有基礎之上進一步提升安全保護效果。但根據我個人的感受,目前各位最好別去輕易改動這些設置。每一次發現問題,都是因為用戶改變了其初始運作方式、從而導致安全效果遭到削弱——這絕對不是什么好事。
在大家著手梳理組策略之前,還有其它一些重要事項值得關注,例如完善補丁安裝以及預防用戶安裝木馬程序等。不過在搞定了這些工作之后,確保組策略配置的正確有效就是邁向下一個輝煌成功的起點。
如果各位想利用最少的資源實現最具性價比的安全保護效果,那么請拋開那3700多種設置——只需以上十項,大家的業務環境就將擁有相當可靠的運行狀態。
原文鏈接:http://www.infoworld.com/t/security/the-10-windows-group-policy-settings-you-need-get-right-231623
原文標題:The 10 Windows group policy settings you need to get right
