Configuraciones de política de grupo más importantes para prevenir violaciones de seguridad

El Editor de políticas de grupo puede ser su mejor compañero cuando desee habilitar o deshabilitar ciertas características u opciones que no están disponibles en el formulario GUI. No importa si es por seguridad, personalización, personalización o cualquier otra cosa. Es por eso que hemos consolidado algunas de las configuraciones de políticas de grupo más importantes para prevenir violaciones de seguridad en computadoras con Windows 11/10.

Antes de empezar con la lista completa, debes saber de qué vamos a hablar. Hay ciertas áreas que deben cubrirse cuando desee fabricar una computadora doméstica a prueba de fallos para usted o los miembros de su familia. Ellos son:

• Instalación de software
• Restricciones de contraseña
• Acceso a la red
• Registros
• soporte USB
• Ejecución de script de línea de comandos
• La computadora se apaga y se reinicia
• Seguridad de Windows

Algunas de las configuraciones deben estar activadas, mientras que otras necesitan exactamente lo contrario.

Configuraciones de política de grupo más importantes para prevenir violaciones de seguridad

Las configuraciones de política de grupo más importantes para prevenir violaciones de seguridad son:

1. Apague el instalador de Windows
2. Prohibir el uso del Administrador de reinicio
3. Instale siempre con privilegios elevados
4. Ejecute solo aplicaciones de Windows específicas
5. La clave debe cumplir los requerimientos de complejidad
6. Umbral y duración del bloqueo de cuenta
7. Seguridad de red: no almacene el valor hash de LAN Manager en el próximo cambio de contraseña
8. Acceso a la red: no permita la enumeración anónima de cuentas y recursos compartidos SAM
9. Seguridad de red: Restringir NTLM: Auditar la autenticación NTLM en este dominio
10. Bloquear NTLM
11. Eventos del sistema de auditoría
12. Todas las clases de almacenamiento extraíble: denegar todo acceso
13. Todo el almacenamiento extraíble: permite el acceso directo en sesiones remotas
14. Activar la ejecución de scripts
15. Impedir el acceso a herramientas de edición del registro
16. Impedir el acceso al símbolo del sistema
17. Activar el escaneo de guiones
18. Firewall de Windows Defender: no permitir excepciones

Para obtener más información sobre estas configuraciones, continúe leyendo.

1]Apague el instalador de Windows

Configuración del ordenador > Plantillas administrativas > Componentes de Windows > instalador de ventanas

Es la configuración de seguridad más importante que debe verificar cuando le entrega su computadora a su hijo o a alguien que no sabe cómo verificar si un programa o la fuente del programa es legítimo o no. Bloquea todo tipo de instalación de software en su computadora al instante. Debes elegir la opción Activada y Siempre en el menú desplegable. lista.

2]Prohibir el uso del Administrador de reinicio

Configuración del ordenador > Plantillas administrativas > Componentes de Windows > instalador de ventanas

Algunos programas necesitan reiniciarse para comenzar a funcionar completamente en su computadora o completar el proceso de instalación. Si no desea utilizar programas no autorizados para que un tercero los utilice en su computadora, puede usar esta configuración para desactivar el Administrador de reinicio de Windows Installer. Debes elegir la opción Reiniciar administrador desactivado en el menú desplegable.

3]Instale siempre con privilegios elevados

Configuración del ordenador > Plantillas administrativas > Componentes de Windows > instalador de ventanas

Configuración de usuario > Plantillas administrativas > Componentes de Windows > instalador de ventanas

Algunos archivos ejecutables necesitan permiso de administrador para instalarse, mientras que otros no necesitan tal cosa. Los atacantes suelen utilizar este tipo de programas para instalar aplicaciones en secreto en su computadora de forma remota. Es por eso que necesitas activar esta configuración. Una cosa importante que debe saber es que debe habilitar esta configuración desde Configuración de la computadora así como Usar configuración.

4]Ejecute solo aplicaciones de Windows específicas

Configuración de usuario > Plantillas administrativas > Sistema

Si no desea ejecutar aplicaciones en segundo plano sin su permiso previo, esta configuración es para usted. Puede permitir que los usuarios de su computadora ejecuten solo aplicaciones predefinidas en su computadora. Para eso, puede habilitar esta configuración y hacer clic en el botón Mostrar para registrar todas las aplicaciones que desea ejecutar.

5]La contraseña debe cumplir con los requisitos de complejidad.

Configuración del ordenador > Configuración de Windows > Configuración de seguridad > Políticas de cuenta > Política de contraseñas

Tener una contraseña segura es lo primero que debe utilizar para proteger su computadora de violaciones de seguridad. De forma predeterminada, los usuarios de Windows 11/10 pueden usar casi cualquier cosa como contraseña. Sin embargo, si ha habilitado algunos requisitos específicos para la contraseña, puede activar esta configuración para hacerla cumplir.

6]Umbral y duración del bloqueo de cuenta

Configuración del ordenador > Configuración de Windows > Configuración de seguridad > Políticas de cuenta > Política de bloqueo de cuenta

Hay dos configuraciones llamadas Umbral de bloqueo de cuenta y Duración del bloqueo de cuenta eso debería estar habilitado. El primero le ayuda a bloquear su computadora después de un número específico de inicios de sesión fallidos. La segunda configuración le ayuda a determinar cuánto tiempo permanecerá el bloqueo.

7]Seguridad de la red: no almacene el valor hash de LAN Manager en el próximo cambio de contraseña

Configuración del ordenador > Configuración de Windows > Configuración de seguridad > Políticas locales > Opciones de seguridad

Como LAN Manager o LM son comparativamente débiles en términos de seguridad, debe habilitar esta configuración para que su computadora no almacene el valor hash de la nueva contraseña. Windows 11/10 generalmente almacena el valor en la computadora local y es por eso que aumenta las posibilidades de que se produzca una violación de la seguridad. De forma predeterminada, está activado y debe estar activado todo el tiempo por motivos de seguridad.

8]Acceso a la red: no permita la enumeración anónima de cuentas y recursos compartidos SAM

Configuración del ordenador > Configuración de Windows > Configuración de seguridad > Políticas locales > Opciones de seguridad

De forma predeterminada, Windows 11/10 permite a usuarios desconocidos o anónimos ejecutar varias cosas. Si, como administrador, no desea permitirlo en su(s) computadora(s), puede activar esta configuración eligiendo el valor Activar . Una cosa es tener en cuenta que puede afectar a algunos clientes y aplicaciones.

9]Seguridad de red: Restringir NTLM: Auditar la autenticación NTLM en este dominio

Configuración del ordenador > Configuración de Windows > Configuración de seguridad > Políticas locales > Opciones de seguridad

Esta configuración le permite habilitar, deshabilitar y personalizar la auditoría de la autenticación por parte de NTLM. Como NTML es obligatorio para reconocer y proteger la confidencialidad de los usuarios de redes compartidas y remotas, debe modificar esta configuración. Para desactivarla, elija la opción Desactivar . Sin embargo, según nuestra experiencia, debes elegir Habilitar para cuentas de dominio si tienes una computadora en casa.

10]Bloquear NTLM

Configuración del ordenador > Plantillas administrativas > Red > Estación de trabajo Lanman

Esta configuración de seguridad le ayuda bloquear ataques NTLM a través de SMB o Bloqueo de mensajes del servidor, que es muy común hoy en día. Aunque puede habilitarlo usando PowerShell, el Editor de políticas de grupo local también tiene la misma configuración. Debe elegir la opción Activada para realizar el trabajo.

11]Auditar eventos del sistema

Configuración del ordenador > Configuración de Windows > Configuración de seguridad > Políticas locales > Política de auditoría

De forma predeterminada, su computadora no registra varios eventos, como cambio de hora del sistema, apagado/inicio, pérdida de archivos de auditoría del sistema y fallas, etc. Si desea almacenarlos todos en el registro, debe habilitar esta configuración. Le ayuda a analizar si un programa de terceros tiene alguna de esas cosas o no.

12]Todas las clases de almacenamiento extraíble: denegar todo acceso

Configuración del ordenador > Plantillas administrativas > Sistema > Acceso a almacenamiento extraíble

Esta configuración de política de grupo le permite deshabilitar todas las clases y puertos USB a la vez. Si suele dejar su computadora personal en una oficina, debe marcar esta configuración para que otras personas no puedan usar dispositivos USB para obtener acceso de lectura o escritura.

13]Almacenamiento totalmente extraíble: permite el acceso directo en sesiones remotas

Configuración del ordenador > Plantillas administrativas > Sistema > Acceso a almacenamiento extraíble

Las sesiones remotas son de alguna manera lo más vulnerable cuando no tienes ningún conocimiento y conectas tu computadora a una persona desconocida. Esta configuración le ayuda a deshabilitar todo el acceso directo a dispositivos extraíbles en todas las sesiones remotas. En ese caso, tendrá la opción de aprobar o rechazar cualquier acceso no autorizado. Para su información, esta configuración debe estar Desactivada.

14]Activar la ejecución de scripts

Configuración del ordenador > Plantillas administrativas > Componentes de Windows > WindowsPowerShell

Si habilita esta configuración, su computadora puede ejecutar scripts a través de Windows PowerShell. En ese caso, debe elegir la opción Permitir solo scripts firmados . Sin embargo, sería mejor si no permite la ejecución del script o selecciona la opción Desactivada .

15]Evitar el acceso a herramientas de edición del registro

Configuración de usuario > Plantillas administrativas > Sistema

El Editor del Registro es algo que puede cambiar casi cualquier configuración en su computadora, incluso si no hay rastro de una opción GUI en la Configuración de Windows o el Panel de control. Algunos atacantes suelen cambiar los archivos del Registro para difundir malware. Es por eso que necesita habilitar esta configuración para bloquear el acceso de los usuarios al Editor del Registro.

16]Evitar el acceso al símbolo del sistema

Configuración de usuario > Plantillas administrativas > Sistema

Al igual que los scripts de Windows PowerShell, también puede ejecutar varios scripts a través del símbolo del sistema. Es por eso que necesita activar esta configuración de Política de grupo. Después de seleccionar la opción Activada , expanda el menú desplegable y seleccione Sí opción. También deshabilitará el procesamiento del script del símbolo del sistema.

17]Activar escaneo de guiones

Configuración del ordenador > Plantillas administrativas > Componentes de Windows > Antivirus de Microsoft Defender > Protección en tiempo real

De forma predeterminada, Seguridad de Windows no analiza todo tipo de scripts en busca de malware. Es por eso que se recomienda habilitar esta configuración para que su escudo de seguridad pueda escanear todos los scripts almacenados en su computadora. Como se pueden utilizar scripts para inyectar códigos maliciosos en su computadora, esta configuración sigue siendo importante en todo momento.

18]Firewall de Windows Defender: no permitir excepciones

Configuración del ordenador > Plantillas administrativas > Red > Conexiones de red > Firewall de Windows Defender > Perfil de dominio

Computer Configuration > Administrative Templates > Network > Network Connections > Windows Defender Firewall > Standard Profile

El Firewall de Windows Defender a menudo puede permitir diversos tráficos entrantes y salientes según los requisitos del usuario. Sin embargo, no se recomienda hacerlo a menos que conozca muy bien el programa. Si no está 100% seguro del tráfico saliente o entrante, puede activar esta configuración.

Háganos saber si tiene otras recomendaciones.

¿Cuáles son las 3 mejores prácticas para los GPO?

Tres de las mejores prácticas para GPO son: en primer lugar, no debe modificar una configuración a menos o hasta que sepa lo que está haciendo. En segundo lugar, no deshabilite ni habilite ninguna configuración del Firewall, ya que puede recibir tráfico no autorizado. En tercer lugar, siempre debes forzar la actualización del cambio manualmente si no se aplica por sí solo.

¿Qué configuración de política de grupo debería configurar?

Siempre que tenga suficiente conocimiento y experiencia, puede configurar cualquier opción en el Editor de políticas de grupo local. Si no tienes ese conocimiento, déjalo como está. Sin embargo, si desea reforzar la seguridad de su computadora, puede consultar esta guía, ya que estas son algunas de las configuraciones de seguridad de Política de grupo más importantes.