Impostazioni di criteri di gruppo più importanti per prevenire violazioni della sicurezza
L’Editor criteri di gruppo può essere il tuo miglior compagno quando desideri abilitare o disabilitare determinate funzionalità o opzioni che non sono disponibili nel modulo della GUI. Non importa se è per sicurezza, personalizzazione, personalizzazione o qualsiasi altra cosa. Ecco perché abbiamo consolidato alcune delle impostazioni di Criteri di gruppo più importanti per prevenire violazioni della sicurezza sui computer Windows 11/10.
Prima di iniziare con l’elenco completo, dovresti sapere di cosa parleremo. Ci sono alcune aree che devono essere coperte quando desideri realizzare un computer di casa a prova di errore per te o i tuoi familiari. Sono:
- Installazione software
- Restrizioni sulla password
- Accesso alla rete
- Registri
- Supporto USB
- Esecuzione di script da riga di comando
- Spegnere e riavviare il computer
- Sicurezza di Windows
Alcune impostazioni devono essere attivate, mentre per altre è necessario l’esatto contrario.
Impostazioni di criteri di gruppo più importanti per prevenire violazioni della sicurezza
Le impostazioni di Criteri di gruppo più importanti per prevenire violazioni della sicurezza sono:
- Disattiva il programma di installazione di Windows
- Proibire l’uso di Restart Manager
- Installare sempre con privilegi elevati
- Esegui solo le applicazioni Windows specificate
- La password deve soddisfare i requisiti di complessità
- Soglia e durata del blocco dell’account
- Sicurezza di rete: non archiviare il valore hash di LAN Manager alla successiva modifica della password
- Accesso alla rete: non consentire l’enumerazione anonima di account e condivisioni SAM
- Sicurezza di rete: Limita NTLM: controlla l’autenticazione NTLM in questo dominio
- Blocca NTLM
- Controllare gli eventi del sistema
- Tutte le classi di archivi rimovibili: nega ogni accesso
- Tutti gli archivi rimovibili: consente l’accesso diretto nelle sessioni remote
- Attiva l’esecuzione dello script
- Impedisci l’accesso agli strumenti di modifica del registro
- Impedire l’accesso al prompt dei comandi
- Attiva la scansione degli script
- Windows Defender Firewall: non consentire eccezioni
Per saperne di più su queste impostazioni, continua a leggere.
1] Disattiva Windows Installer
Configurazione computer > Modelli amministrativi > Componenti di Windows > Programma di installazione di Windows
È l’impostazione di sicurezza principale che devi controllare quando consegni il tuo computer a tuo figlio o a qualcuno che non sa come verificare se un programma o la fonte del programma sono legittimi o meno. Blocca istantaneamente tutti i tipi di installazione di software sul tuo computer. Devi scegliere l’opzione Abilitato e Sempre dal menu a discesa elenco.
2] Proibisci l’uso di Restart Manager
Configurazione computer > Modelli amministrativi > Componenti di Windows > Programma di installazione di Windows
Alcuni programmi necessitano di un riavvio per iniziare a funzionare completamente sul computer o completare il processo di installazione. Se non desideri utilizzare programmi non autorizzati che possano essere utilizzati da terze parti sul tuo computer, puoi utilizzare questa impostazione per disabilitare Gestione riavvio per Windows Installer. Devi scegliere l’opzione Riavvia Manager disattivato dal menu a discesa.
3] Installa sempre con privilegi elevati
Configurazione computer > Modelli amministrativi > Componenti di Windows > Programma di installazione di Windows
Configurazione utente > Modelli amministrativi > Componenti di Windows > Programma di installazione di Windows
Alcuni file eseguibili necessitano dell’autorizzazione di amministratore per essere installati, mentre altri non ne hanno bisogno. Gli aggressori utilizzano spesso tali programmi per installare segretamente app sul tuo computer da remoto. Ecco perché è necessario attivare questa impostazione. Una cosa importante da sapere è che è necessario abilitare questa impostazione da Configurazione computer e Usa configurazione.
4] Esegui solo le applicazioni Windows specificate
Configurazione utente > Modelli amministrativi > Sistema
Se non desideri eseguire app in background senza la tua previa autorizzazione, questa impostazione fa al caso tuo. Puoi consentire agli utenti del tuo computer di eseguire solo app predefinite sul tuo computer. A tale scopo, puoi abilitare questa impostazione e fare clic sul pulsante Mostra per elencare tutte le app che desideri eseguire.
5] La password deve soddisfare i requisiti di complessità
Configurazione computer > Impostazioni di Windows > Impostazioni di sicurezza > Criteri dell’account > Politica sulla password
Avere una password complessa è la prima cosa che devi utilizzare per proteggere il tuo computer da violazioni della sicurezza. Per impostazione predefinita, gli utenti di Windows 11/10 possono utilizzare quasi qualsiasi cosa come password. Tuttavia, se hai abilitato alcuni requisiti specifici per la password, puoi attivare questa impostazione per applicarla.
6] Soglia e durata del blocco dell’account
Configurazione computer > Impostazioni di Windows > Impostazioni di sicurezza > Criteri dell’account > Politica di blocco dell’account
Sono disponibili due impostazioni denominate Soglia di blocco dell’account e Durata del blocco dell’account che dovrebbe essere abilitato. Il primo ti aiuta a bloccare il computer dopo un numero specifico di accessi non riusciti. La seconda impostazione ti aiuta a determinare per quanto tempo durerà il blocco.
7] Sicurezza di rete: non memorizzare il valore hash di LAN Manager alla successiva modifica della password
Configurazione computer > Impostazioni di Windows > Impostazioni di sicurezza > Politiche locali > Opzioni di sicurezza
Poiché LAN Manager o LM sono relativamente deboli in termini di sicurezza, è necessario abilitare questa impostazione in modo che il computer non memorizzi il valore hash della nuova password. Windows 11/10 generalmente memorizza il valore sul computer locale ed è per questo che aumenta la possibilità di violazione della sicurezza. Per impostazione predefinita, è attivato e deve essere sempre abilitato per motivi di sicurezza.
8] Accesso alla rete: non consentire l’enumerazione anonima di account e condivisioni SAM
Configurazione computer > Impostazioni di Windows > Impostazioni di sicurezza > Politiche locali > Opzioni di sicurezza
Per impostazione predefinita, Windows 11/10 consente agli utenti sconosciuti o anonimi di eseguire varie cose. Se, come amministratore, non desideri consentirlo sui tuoi computer, puoi attivare questa impostazione scegliendo il valore Abilita . Una cosa è tenere presente che potrebbe influire su alcuni client e app.
9] Sicurezza di rete: Limita NTLM: controlla l’autenticazione NTLM in questo dominio
Configurazione computer > Impostazioni di Windows > Impostazioni di sicurezza > Politiche locali > Opzioni di sicurezza
Questa impostazione consente di abilitare, disabilitare e personalizzare il controllo dell’autenticazione da parte di NTLM. Poiché NTML è obbligatorio per riconoscere e proteggere la riservatezza degli utenti della rete condivisa e della rete remota, è necessario modificare questa impostazione. Per la disattivazione, scegli l’opzione Disabilita . Tuttavia, secondo la nostra esperienza, dovresti scegliere Abilita per account di dominio se hai un computer di casa.
10] Blocca NTLM
Configurazione computer > Modelli amministrativi > Rete > Stazione di lavoro Lanmann
Questa impostazione di sicurezza ti aiuta a bloccare gli attacchi NTLM su SMB o Server Message Block, che è molto comune al giorno d’oggi. Sebbene sia possibile abilitarlo utilizzando PowerShell, anche l’Editor criteri di gruppo locali ha la stessa impostazione. Devi scegliere l’opzione Abilitata per portare a termine il lavoro.
11] Controlla gli eventi del sistema
Configurazione computer > Impostazioni di Windows > Impostazioni di sicurezza > Politiche locali > Politica di controllo
Per impostazione predefinita, il computer non registra diversi eventi come la modifica dell’ora del sistema, l’arresto/avvio, la perdita di file di controllo del sistema e gli errori, ecc. Se desideri memorizzarli tutti nel registro, devi abilitare questa impostazione. Ti aiuta ad analizzare se un programma di terze parti ha una di queste cose o meno.
12] Tutte le classi di archivi rimovibili: nega ogni accesso
Configurazione computer > Modelli amministrativi > Sistema > Accesso agli archivi rimovibili
Questa impostazione di Criteri di gruppo ti consente di disattivare tutte le classi e porte USB contemporaneamente. Se lasci spesso il tuo personal computer in ufficio o giù di lì, devi controllare questa impostazione in modo che altri non possano utilizzare dispositivi USB per ottenere l’accesso in lettura o scrittura.
13] Tutti gli archivi rimovibili: consente l’accesso diretto nelle sessioni remote
Configurazione computer > Modelli amministrativi > Sistema > Accesso agli archivi rimovibili
Le sessioni remote sono in qualche modo la cosa più vulnerabile quando non hai alcuna conoscenza e colleghi il tuo computer a una persona sconosciuta. Questa impostazione ti aiuta a disabilitare l’accesso diretto ai dispositivi rimovibili in tutte le sessioni remote. In tal caso, avrai la possibilità di approvare o rifiutare qualsiasi accesso non autorizzato. Per tua informazione, questa impostazione deve essere Disabilitata.
14] Attiva l’esecuzione dello script
Configurazione computer > Modelli amministrativi > Componenti di Windows > Windows PowerShell
Se abiliti questa impostazione, il tuo computer può eseguire script tramite Windows PowerShell. In tal caso, dovresti scegliere l’opzione Consenti solo script firmati . Tuttavia, sarebbe meglio non consentire l’esecuzione dello script o selezionare l’opzione Disabilitata .
15] Impedisci l’accesso agli strumenti di modifica del registro
Configurazione utente > Modelli amministrativi > Sistema
L’editor del Registro di sistema è qualcosa che può modificare quasi tutte le impostazioni del tuo computer, anche se non c’è traccia di un’opzione GUI nelle Impostazioni di Windows o nel Pannello di controllo. Alcuni aggressori modificano spesso i file di registro per diffondere malware. Ecco perché devi abilitare questa impostazione per impedire agli utenti di accedere all’editor del Registro di sistema.
16] Impedisci l’accesso al prompt dei comandi
Configurazione utente > Modelli amministrativi > Sistema
Come gli script di Windows PowerShell, puoi eseguire vari script anche tramite il prompt dei comandi. Ecco perché è necessario attivare questa impostazione di Criteri di gruppo. Dopo aver selezionato l’opzione Abilitato , espandere il menu a discesa e selezionare Sì opzione. Disabiliterà anche l’elaborazione dello script del prompt dei comandi.
17] Attiva la scansione degli script
Configurazione computer > Modelli amministrativi > Componenti di Windows > Microsoft Defender Antivirus > Protezione in tempo reale
Per impostazione predefinita, Sicurezza di Windows non esegue la scansione di tutti i tipi di script alla ricerca di malware o simili. Ecco perché si consiglia di abilitare questa impostazione in modo che il tuo scudo di sicurezza possa scansionare tutti gli script memorizzati sul tuo computer. Poiché gli script possono essere utilizzati per iniettare codici dannosi nel tuo computer, questa impostazione rimane sempre importante.
18] Windows Defender Firewall: non consentire eccezioni
Configurazione computer > Modelli amministrativi > Rete > Connessioni di rete > Windows Defender Firewall > Profilo del dominio
Computer Configuration > Administrative Templates > Network > Network Connections > Windows Defender Firewall > Standard Profile
Windows Defender Firewall può spesso consentire vari tipi di traffico in entrata e in uscita in base ai requisiti dell’utente. Tuttavia, non è consigliabile farlo a meno che o finché non si conosca molto bene il programma. Se non sei sicuro al 100% del traffico in uscita o in entrata, puoi attivare questa impostazione.
Fateci sapere se avete altri consigli.
Quali sono le 3 migliori pratiche per gli oggetti Criteri di gruppo?
Tre delle migliori pratiche per l’oggetto Criteri di gruppo sono: in primo luogo, non dovresti modificare un’impostazione a meno che o finché non sai cosa stai facendo. In secondo luogo, non disabilitare o abilitare alcuna impostazione del firewall poiché potrebbe accogliere traffico non autorizzato. In terzo luogo, dovresti sempre forzare l’aggiornamento manuale della modifica se non si applica da sola.
Quale impostazione di Criteri di gruppo dovresti configurare?
Finché disponi di conoscenza ed esperienza sufficienti, puoi configurare qualsiasi impostazione nell’Editor criteri di gruppo locali. Se non hai tale conoscenza, lascia che sia così com’è. Tuttavia, se desideri rafforzare la sicurezza del tuo computer, puoi seguire questa guida poiché qui ci sono alcune delle più importanti impostazioni di sicurezza dei Criteri di gruppo.
Lascia un commento