在企业当中,最常见的微软Windows计算机配置方案就是采用组策略,利用组策略来设定并配置安全设置的能力一直都是Windows计算机的一大优势所在。只要配置得当,这十项Windows组策略将让你的办公平台拥有更出色的安全表现。这十项设置全部位于Computer Configuration\Windows Setting\Security Settings之下。
对本地管理员账户进行重新命名:如果恶意人士不知道管理员账户的名称,则很可能需要花掉大量时间才能找到攻击突破口。
禁用访客账户:我们所作出的最糟糕的安全决定之一就是启用访客账户。它能够对Windows计算机进行相当程度的访问,同时又不设密码——说到这里,相信大家已经明白我的意思了。
禁用LM与NTLM v1:LM(即局域网管理器)与NTLMv1认证协议存在漏洞。请务必使用NTLMv2与Kerberos。在默认情况下,大部分Windows系统都会接收全部四种协议。除非大家仍然在使用陈旧不堪而且没有安装更新补丁的老爷系统(也就是超过十年的系统版本),否则我们真的没什么理由非要使用早期协议版本。
禁用LM散列存储:LM密码散列极易被转换成明文密码内容,因此绝对不要允许Windows系统将其储存在磁盘上——黑客转储工具会轻松地将其找出来。
最低密码长度值:我们应该将密码的最低长度值设置在12位或者更高。不要满足于区区8位的系统密码(这也是我最常见到的密码长度)。Windows密码即使达到12位长度,其安全效果其实也不容乐观——真正的安全性要到15位才有保障。在Windows验证领域,15位是个魔术般的临界点。只要能够达到这样的长度,所有形式的后门都会被紧紧关闭。而低于15位的任何密码长度设置都等于是在增加不必要的风险。
最长密码使用期限:大部分密码的使用周期都不应该超过九十天。不过如果大家选择了15位乃至更长的密码内容,那么一年的使用周期也是可以接受的。已经有很多公共以及私人研究证实,长度在12个字符乃至以上的密码的破解时耗更长,因此在以九十天为基准的密码轮换机制下安全性也相对更好。
事件日志:启用事件日志,利用它来记录所有成功以及失败的操作流程。正如我之前多次提到,如果坚持关注事件日志内容,大部分计算机犯罪活动的受害者本应该更早发现端倪、进而防止严重违规事件的发生。
禁用匿名SID枚举:SID(即安全标识符)是针对Windows系统或者Active Directory之下每一个用户、群组以及其它安全主体所分配的数字。在早期系统版本当中,未通过身份验证的用户可以通过查询这些数字来判断用户(例如管理员)及群组的重要性,而这一特性也使其成为黑客们的最爱。
不要让匿名账户驻留在每个群组当中:这两种设置一旦出现失误,就会导致匿名(或者为空)黑客以远超权限范围的方式访问系统。自2000年以来,这些设置就已经被默认禁用——大家要做的就是确认自己没有对默认方案作出改动。
启用用户账户控制:最后,自从Windows Vista开始,UAC机制就成了保护网络浏览者们的头号工具。我发现很多客户会将这项功能关闭,仅仅是为了能让某些陈旧应用的兼容性问题不再每次都进行询问。目前大部分这类问题已经得到解决,剩下尚未解决的部分在微软提供的免费应用兼容性故障排查工具面前也不再令人头痛。总之,如果大家禁用了UAC,那么相当于远离现代操作系统而重新回到Windows NT时代——这可不太明智。
再来告诉大家一个好消息:前面提到的所有设置在Windows Vista/Server 2008以及更新版本当中都会以默认状态调整到位。大部分Windows安全指南资料都希望指导大家如何在现有基础之上进一步提升安全保护效果。但根据我个人的感受,目前各位最好别去轻易改动这些设置。每一次发现问题,都是因为用户改变了其初始运作方式、从而导致安全效果遭到削弱——这绝对不是什么好事。
在大家着手梳理组策略之前,还有其它一些重要事项值得关注,例如完善补丁安装以及预防用户安装木马程序等。不过在搞定了这些工作之后,确保组策略配置的正确有效就是迈向下一个辉煌成功的起点。
如果各位想利用最少的资源实现最具性价比的安全保护效果,那么请抛开那3700多种设置——只需以上十项,大家的业务环境就将拥有相当可靠的运行状态。
