Windows ですぐに実行する必要がある 10 の重要なグループ ポリシー設定

Microsoft Windows マシンを構成する一般的な方法の 1 つは、グループ ポリシーを使用することです。パソコンへの登録やセキュリティの設定、本機を操作する際の動作に関する設定です。グループ ポリシーは、Active Directory から (クライアントから) 開くことも、マシン上で直接構成することもできます (ローカル)。 Windows 8.1 および Windows Server 2012 R2 マシンには、オペレーティング システムの設定が 3,700 以上あります。

以下に、注意が必要な10 の重要なグループ ポリシー設定を示します。それぞれの適切な設定がリスクの軽減に役立つため、これら 10 個の設定だけにとどまらないでください。しかし、この 10 個の選択肢でほぼすべてが決まります。

これら 10 個の名前を正しく設定すると、より安全な Windows 環境が作成されます。すべては [コンピューターの構成]/[Windows の設定]/[セキュリティの設定] にあります。

1. ローカル管理者アカウントの名前を変更します

悪意のある人が管理者アカウント名を知らない場合、ハッキングにはさらに時間がかかります。管理者アカウントの名前変更は自動的に行うことはできないため、自分で行う必要があります。

2. ゲストアカウントを無効にする

最もやってはいけないことの 1 つは、このアカウントをオンにすることです。 Windows マシンに複数のアクセス権を与え、パスワードを必要としません。幸いなことに、この機能をデフォルトで無効にするオプションがあります。

グループ ポリシーを正しく設定して、Windows マシンのセキュリティを確保します。

3. LM および NTLM v1 を無効にする

LM (LAN Manager)および NTLM v1 認証プロトコルには脆弱性があります。NTLM v2とKerberosを使用します。デフォルトでは、ほとんどの Windows マシンは 4 つのプロトコルすべてを受け入れます。古いマシン (10 年以上前) を使用していてパッチが適用されていない限り、古いプロトコルの使用が推奨されることはほとんどありません。デフォルトでは無効にすることができます。

4. LMストレージを無効にする

LM パスワード ハッシュは簡単にプレーン テキストに変換されます。ハッカーがツールを使用してそれらを見つけることができるドライブ上に Windows にファイルを保存させないでください。デフォルトでは無効になっています。

5. パスワードの最小長

通常のユーザーのパスワードの長さは少なくとも 12 文字、高レベルのアカウントの場合は 15 文字以上である必要があります。 Windows パスワードは 12 文字未満の場合、あまり安全ではありません。 Windows 認証の世界で最も安全にするには、15 にする必要があります。これにより、ほぼすべてのバックドアが閉じられます。

残念ながら、古いグループ ポリシー設定では最大 14 文字しか使用できませんでした。きめ細かいパスワード ポリシーを使用する: Windows Server 2008 R2 (およびそれ以前) でのセットアップと構成は簡単ではありませんが、Windows Server 2012 以降では非常に簡単です。

6. パスワードの最大有効期間

14 文字以下のパスワードは 90 日を超えて使用することはできません。 Windows のデフォルトの最大パスワード有効期間は 42 日であるため、この数値を使用するか、必要に応じて 90 日に増やすことができます。一部のセキュリティ専門家は、パスワードが 15 文字以上であれば、最長 1 年間使用しても問題ないと述べています。ただし、期限が長ければ長いほど、誰かがそれを盗んで同じ人の別のアカウントにアクセスするために使用するリスクが高くなることに注意してください。短期使用ならまだマシです。

7. イベントログ

攻撃の被害者の多くは、イベント ログを有効にしてチェックする習慣を身につけていれば、早期に発見できたはずです。Microsoft Security Compliance Managerツールの推奨設定を使用し、監査サブカテゴリを使用していることを確認してください。

8. 匿名 SID 出席を無効にする

セキュリティ識別子(SID - セキュリティ識別子) は、Windows またはActive Directory 上の各ユーザー、グループ、およびセキュリティ オブジェクトに割り当てられる番号です。 Windows の初期バージョンでは、認証されていないユーザーがこれらの番号をクエリして重要なユーザー (管理者など) やグループを特定することができ、ハッカーが悪用するのが好まれていました。この出席はデフォルトで無効にできます。

9. 匿名アカウントを全員のグループに入れないでください

この設定と以前の設定を誤って設定すると、匿名のユーザーが許可を超えてシステムにアクセスすることが可能になります。 2000 年以降、どちらの設定もデフォルトで有効になっています (匿名アクセスを無効にします)。

10. ユーザー アカウント制御 (UAC) を有効にする

Windows Vista 以降、UAC は Web ブラウズ時の最大の保護ツールです。ただし、ソフトウェアの互換性の問題に関する古い情報のため、多くの人がこれをオフにしています。これらの問題のほとんどは解消されており、残っている問題は Microsoft の無料の非互換性検出ユーティリティを使用して解決できます。 UAC を無効にすると、Windows NT では新しい OS よりも大きなリスクが発生します。 UAC はデフォルトで有効になっています。

新しい OS バージョンには多くの正しいデフォルト設定が含まれています

注意してみると、Windows Vista、Windows Server 2008 以降のバージョンでは、これらの設定の 10 個のうち 7 個が正しく構成されていることがわかります。 3,700 のグループ ポリシー設定をすべて学習するのに時間を無駄にする必要はありません。上記の 10 の設定を正しく構成するだけで完了です。