6 aanpassingen aan de Groepsbeleid-editor om de beveiliging te verbeteren

Of u nu een IT-beheerder bent of een gewone gebruiker die uw Windows-pc verder wil beveiligen, deze aanpassingen aan de Groepsbeleid-editor zullen de beveiliging van uw pc een boost geven.

Veilig gebruikersaccountbeheer (UAC)

UAC is een Windows-beveiligingsfunctie om ongeoorloofde wijzigingen aan uw pc te voorkomen. De Groepsbeleid-editor biedt veel aanpassingen die het UAC-gedrag kunnen controleren.

Ga in de Groepsbeleid-editor naar Computerconfiguratie -> Windows-instellingen -> Beveiligingsinstellingen -> Lokaal beleid -> Beveiligingsopties .

Scroll naar beneden en pas de beleidsinstelling voor elk aan, zoals hieronder vermeld, voor meer veiligheid:

• Gebruikersaccountbeheer: Beheerdergoedkeuringsmodus voor het ingebouwde beheerdersaccount: Ingeschakeld
• Gebruikersaccountbeheer: Sta toe dat UIAccess-applicaties om bevoegdheid vragen zonder gebruik te maken van het beveiligde bureaublad: Uitgeschakeld
• Gebruikersaccountbeheer: Gedrag van de vraag om bevoegdheden voor beheerders in de modus Goedkeuring door beheerder: Vraag om toestemming
• Gebruikersaccountbeheer: Gedrag van de prompt voor bevoegdheden voor standaardgebruikers: Vragen om referenties
• Gebruikersaccountbeheer: Applicatie-installaties detecteren en vragen om bevoegdheden: Ingeschakeld
• Gebruikersaccountbeheer: Verbeter alleen uitvoerbare bestanden die zijn ondertekend en gevalideerd: Ingeschakeld
• Gebruikersaccountbeheer: Verbeter alleen UIAccess-applicaties die op veilige locaties zijn geïnstalleerd: Ingeschakeld
• Gebruikersaccountbeheer: voer alle beheerders uit in de beheerdersgoedkeuringsmodus: ingeschakeld
• Gebruikersaccountbeheer: Schakel over naar het beveiligde bureaublad wanneer om bevoegdheid wordt gevraagd: Ingeschakeld
• Gebruikersaccountbeheer: Virtualiseer schrijffouten van bestanden en register naar locaties per gebruiker: Ingeschakeld

Na het toepassen van de bovenstaande aanpassingen, moet u UAC-prompts vaker goedkeuren en mogelijk ook inloggegevens opgeven, maar dit zal de algehele beveiliging verbeteren.

Veilige wachtwoorden

Standaard zijn de wachtwoordvereisten voor Windows-gebruikersaccounts vrij soepel. Met de Local Group Policy Editor kunt u regels afdwingen die de wachtwoordbeveiliging garanderen.

Ga naar Computerconfiguratie -> Windows-instellingen -> Beveiligingsinstellingen -> Accountbeleid -> Wachtwoordbeleid in de Groepsbeleid-editor.

Pas het volgende beleid als volgt aan:

• Wachtwoordgeschiedenis afdwingen: 8 of hoger
• Maximale wachtwoordleeftijd: tussen 30-60 dagen
• Minimale wachtwoordlengte: 12 of meer
• Wachtwoord moet voldoen aan de complexiteitsvereisten: Ingeschakeld

Schakel gastaccount uit

Hoewel het Windows-gastaccount standaard is uitgeschakeld, kan iemand het gastaccount op verschillende manieren inschakelen en toegang krijgen tot uw gevoelige gegevens. Met het gastaccount heeft iedereen gratis toegang tot uw pc. Ook al biedt het beperkte toegang, het kan nog steeds worden misbruikt door malware, of u kunt per ongeluk gegevens delen met de groep Iedereen . Het is beter om het volledig uit te schakelen in het Groepseditorbeleid.

Ga naar Computerconfiguratie -> Windows-instellingen -> Beveiligingsinstellingen -> Lokaal beleid -> Beveiligingsopties en schakel Accounts uit: Statusbeleid gastaccount .

Accountcontrolebeleid inschakelen

Schakel accountaudits in de Groepsbeleid-editor in om belangrijke beveiligingsinformatie vast te leggen, zoals bestandswijzigingen, wijzigingen in beveiligingsinstellingen, inlogpogingen, enz. U kunt deze informatie gebruiken om wijzigingen op uw pc bij te houden om ervoor te zorgen dat er geen ongeautoriseerde toegang of niet-gebruikersconfiguratie plaatsvindt .

Ga in de Groepsbeleid-editor naar Computerconfiguratie -> Windows-instellingen -> Beveiligingsinstellingen -> Lokaal beleid -> Auditbeleid . Schakel voor al deze opties hier Succes- en Mislukkingsaudits in .

U kunt de gegenereerde logboeken bekijken in de Windows Event Viewer. Typ ‘gebeurtenisviewer’ in de Windows-zoekopdracht en klik op Gebeurtenisviewer . Ga naar Windows-logboeken -> Beveiliging om de logboeken te bekijken.

Wis virtueel geheugen bij afsluiten

Pagefile (virtueel geheugen) is nodig om uw pc soepel te laten werken. Het houdt echter een gefragmenteerd overzicht van uw gegevens bij, dat kan worden gestolen door iemand met de juiste toegang en hulpmiddelen. Als u geen enkel risico wilt nemen, verwijdert u het automatisch wanneer u de pc afsluit.

Ga naar Computerconfiguratie -> Windows-instellingen -> Beveiligingsinstellingen -> Lokaal beleid -> Beveiligingsopties en schakel Afsluiten: Wis wisselbestandsbeleid voor virtueel geheugen in .

Houd er rekening mee dat het inschakelen van dit beleid enige vertraging in het afsluitproces zal veroorzaken.

Beheer accountvergrendelingsinstellingen

Om ongeautoriseerde toegangspogingen te voorkomen, heeft Windows een accountvergrendelingsbeleid dat uw account vergrendelt na meerdere onjuiste inlogpogingen. Het is echter een beetje soepel, dus misschien wilt u het gerelateerde beleid van de Groepsbeleid-editor aanpassen aan uw beveiligingsbehoeften.

Om toegang te krijgen tot het uitsluitingsbeleid, navigeert u naar Computerconfiguratie -> Windows-instellingen -> Beveiligingsinstellingen -> Accountbeleid -> Accountvergrendelingsbeleid .

U vindt vier uitsluitingsbeleidsregels die u kunt aanpassen. Pas ze aan uw behoeften aan. De onderstaande voorgestelde waarden proberen een evenwicht te vinden tussen sterke bescherming en een soepele gebruikerservaring:

• Duur van accountvergrendeling: 30 minuten
• Drempel voor accountvergrendeling: 3 ongeldige aanmeldingspogingen
• Vergrendeling van beheerdersaccount toestaan: Ingeschakeld
• Teller voor accountblokkering opnieuw instellen na: 30 minuten

Hoewel al deze groepsbeleidsinstellingen enkele extra bevestigingen kunnen veroorzaken (zoals de UAC-prompt voor het openen van Taakbeheer), weegt de beveiligingsverbetering zwaarder dan het kleine ongemak. Als de wijzigingen u niet bevallen, stelt u de Groepsbeleid-editor opnieuw in.

Afbeelding tegoed: DALL-E. Alle schermafbeeldingen door Karrar Haider.