Roger A. Grimesは1990年からWindowsコンピュータのセキュリティに携わっており、12年にわたる企業経験により、数多くのグループポリシーに精通し、使いこなしてきました。、3,700以上の設定があります。その膨大な数の設定の中から、Roger A. Grimesはセキュリティの基本的なグループポリシーの設定を10個まとめました。
これら10個のWindowsグループポリシーを正しく設定することで、Windows環境は長期間より安全に保たれます。これらのグループポリシーは、Computer ConfigurationWindows SettingsのSecurity Settingsにあります。
ローカル管理者アカウントの名前を変更する:管理者アカウントのセキュリティを向上させることで、漏洩のリスクを大幅に減らすことができます。
ゲストアカウントを無効にする:一番やってはいけないことは、このアカウントを使うことです。パスワードなしで誰でもWindowsコンピュータにアクセスできるようになるからです!
LM および NTLM v1 を無効にする:LM および NTLMv1 認証プロトコルは脆弱である。NTLMv2 と Kerberos を使用する: デフォルトでは、ほとんどの Windows システムは 4 つのプロトコルすべてをサポートしています。よほど古く、パッチが適用されていないシステムでない限りは。
LM ハッシュの保存を無効にする:LM ハッシュ化されたパスワードは容易に平文パスワードに変換されます。ハッシュダンプツールを使ってハッカーに見つかってしまいます。
パスワードの最低文字数:パスワードの最低文字数は12文字以上であるべきです。Windowsのパスワードは12文字以上でなければ安全ではありません。
パスワードの最大使用期間:ほとんどのパスワードは90日以上使用すべきではありません。しかし、15文字を使用する場合は、基本的に1年でも問題ありません。12文字以上のパスワードはクラックに時間がかかるため、比較的安全であることが複数の公的および私的研究で実証されています。
イベント・ログ:イベント・ログに注意。ほとんどのコンピュータ被害者は、ハッカーが侵入する前にログを見ていることに気づいています。
匿名SIDを無効にする:SIDとは、WindowsやActive Directoryの各ユーザー、グループ、その他のセキュリティオブジェクトに割り当てられた番号です。以前のバージョンのオペレーティングシステムでは、匿名ユーザーがこのデータを調べて重要なユーザーやグループを特定することができましたが、もちろんハッカーはこれを利用するのが大好きです。
すべてのグループに匿名アカウントを設定しない:この2つの設定が正しくない場合、匿名のハッカーがより多くのシステム・コンテンツにアクセスできるようになります。
ユーザーアカウント制御を有効にする:Windows Vistaのおかげで、ついにUACはウェブを閲覧する人々の一番の保護ツールになりました。マイクロソフトの無料アプリケーション互換性トラブルシューターは、多くの問題を解決することができます。
朗報:Windows Vista/Server 2008では、これらの設定はすべてデフォルトで正しく設定されています。
グループポリシーの設定を気にし始める前に、完璧なパッチ適用やユーザーによるトロイの木馬のインストール防止など、もっと重要なことがあります。
