Belangrijkste instellingen voor groepsbeleid voor het voorkomen van beveiligingsinbreuken

Groepsbeleid-editor kan uw beste metgezel zijn als u bepaalde functies of opties wilt in- of uitschakelen die niet beschikbaar zijn in het GUI-formulier. Of het nu gaat om beveiliging, personalisatie, maatwerk of iets anders. Daarom hebben we enkele van de belangrijkste groepsbeleidsinstellingen voor het voorkomen van beveiligingsinbreuken op Windows 11/10-computers geconsolideerd.

Voordat u aan de slag gaat met de volledige lijst, moet u weten waar we het over gaan hebben. Er zijn bepaalde gebieden die behandeld moeten worden als u een volledig veilige thuiscomputer voor u of uw gezinsleden wilt maken. Zij zijn:

• Software installatie
• Wachtwoordbeperkingen
• Netwerktoegang
• Logboeken
• USB-ondersteuning
• Uitvoering van opdrachtregelscript
• Computer afgesloten en opnieuw opgestart
• Windows-beveiliging

Sommige instellingen moeten worden ingeschakeld, terwijl andere precies het tegenovergestelde nodig hebben.

Belangrijkste instellingen voor groepsbeleid voor het voorkomen van beveiligingsinbreuken

De belangrijkste groepsbeleidsinstellingen voor het voorkomen van beveiligingsinbreuken zijn:

1. Schakel Windows Installer uit
2. Verbied het gebruik van Restart Manager
3. Installeer altijd met verhoogde rechten
4. Voer alleen gespecificeerde Windows-applicaties uit
5. Wachtwoord moet voldoen aan de complexiteitsvereisten
6. Drempel en duur van accountvergrendeling
7. Netwerkbeveiliging: sla de LAN Manager-hashwaarde niet op bij de volgende wachtwoordwijziging
8. Netwerktoegang: Sta geen anonieme opsomming van SAM-accounts en shares toe
9. Netwerkbeveiliging: NTLM beperken: NTLM-authenticatie in dit domein controleren
10. NTLM blokkeren
11. Systeemgebeurtenissen controleren
12. Alle verwijderbare opslagklassen: Alle toegang weigeren
13. Alle verwijderbare opslag: sta directe toegang toe in externe sessies
14. Schakel Scriptuitvoering in
15. Voorkom toegang tot registerbewerkingstools
16. Voorkom toegang tot de opdrachtprompt
17. Schakel scriptscannen in
18. Windows Defender Firewall: uitzonderingen zijn niet toegestaan

Lees verder voor meer informatie over deze instellingen.

1] Schakel Windows Installer uit

Computerconfiguratie > Beheersjablonen > Windows-componenten > Windows installatie

Het is de belangrijkste beveiligingsinstelling die u moet controleren wanneer u uw computer overhandigt aan uw kind of aan iemand die niet weet hoe hij moet controleren of een programma of de bron van het programma legitiem is of niet. Het blokkeert onmiddellijk alle soorten software-installaties op uw computer. U moet de optie Ingeschakeld en Altijd kiezen in de vervolgkeuzelijst lijst.

2] Verbied het gebruik van Restart Manager

Computerconfiguratie > Beheersjablonen > Windows-componenten > Windows installatie

Sommige programma’s moeten opnieuw worden opgestart om volledig op uw computer te kunnen werken of om het installatieproces te voltooien. Als u geen ongeautoriseerde programma’s wilt gebruiken die door derden op uw computer kunnen worden gebruikt, kunt u deze instelling gebruiken om Restart Manager voor Windows Installer uit te schakelen. U moet de optie Manager opnieuw opstarten uit kiezen in het vervolgkeuzemenu.

3] Installeer altijd met verhoogde rechten

Computerconfiguratie > Beheersjablonen > Windows-componenten > Windows installatie

Gebruikersconfiguratie > Beheersjablonen > Windows-componenten > Windows installatie

Sommige uitvoerbare bestanden hebben beheerderstoestemming nodig om geïnstalleerd te worden, terwijl andere dat niet nodig hebben. Aanvallers gebruiken dergelijke programma’s vaak om in het geheim apps op afstand op uw computer te installeren. Daarom moet u deze instelling inschakelen. Een belangrijk ding om te weten is dat u deze instelling zowel via Computerconfiguratie als Gebruiksconfiguratie moet inschakelen.

4] Voer alleen gespecificeerde Windows-applicaties uit

Gebruikersconfiguratie > Beheersjablonen > Systeem

Als u geen apps op de achtergrond wilt uitvoeren zonder uw voorafgaande toestemming, is deze instelling iets voor u. U kunt uw computergebruikers toestaan ​​alleen vooraf gedefinieerde apps op uw computer uit te voeren. Daarvoor kunt u deze instelling inschakelen en op de knop Weergeven klikken om alle apps aan te melden die u wilt gebruiken.

5] Wachtwoord moet voldoen aan de complexiteitsvereisten

Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Accountbeleid > Wachtwoordbeleid

Het hebben van een sterk wachtwoord is het eerste dat u moet gebruiken om uw computer te beschermen tegen beveiligingsinbreuken. Standaard kunnen Windows 11/10-gebruikers vrijwel alles als wachtwoord gebruiken. Als u echter enkele specifieke vereisten voor het wachtwoord heeft ingeschakeld, kunt u deze instelling inschakelen om deze af te dwingen.

6] Drempel en duur van accountblokkering

Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Accountbeleid > Beleid voor accountvergrendeling

Er zijn twee instellingen genaamd Accountvergrendelingsdrempel en Accountvergrendelingsduur dat moet worden ingeschakeld. De eerste helpt u uw computer te vergrendelen na een bepaald aantal mislukte aanmeldingen. Met de tweede instelling kunt u bepalen hoe lang de uitsluiting blijft bestaan.

7] Netwerkbeveiliging: sla de LAN Manager-hashwaarde niet op bij de volgende wachtwoordwijziging

Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Lokaal beleid > Beveiligings opties

Omdat LAN Manager of LM relatief zwak is op het gebied van beveiliging, moet u deze instelling inschakelen zodat uw computer de hashwaarde van het nieuwe wachtwoord niet opslaat. Windows 11/10 slaat de waarde doorgaans op de lokale computer op en vergroot daarom de kans op een inbreuk op de beveiliging. Standaard is het ingeschakeld en moet het om veiligheidsredenen altijd ingeschakeld zijn.

8] Netwerktoegang: Sta geen anonieme opsomming van SAM-accounts en shares toe

Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Lokaal beleid > Beveiligings opties

Windows 11/10 staat standaard toe dat onbekende of anonieme gebruikers verschillende dingen uitvoeren. Als u als beheerder dit niet wilt toestaan ​​op uw computer(s), kunt u deze instelling inschakelen door de waarde Inschakelen te kiezen. Houd er rekening mee dat dit van invloed kan zijn op sommige clients en apps.

9] Netwerkbeveiliging: NTLM beperken: Controleer NTLM-authenticatie in dit domein

Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Lokaal beleid > Beveiligings opties

Met deze instelling kunt u de audit van de authenticatie door NTLM in-, uitschakelen en aanpassen. Omdat NTML verplicht is om de vertrouwelijkheid van gedeelde netwerk- en externe netwerkgebruikers te herkennen en te beschermen, moet u deze instelling wijzigen. Voor deactivering kiest u de optie Uitschakelen . Uit onze ervaring blijkt echter dat u Inschakelen voor domeinaccounts kiest als u een thuiscomputer heeft.

10] NTLM blokkeren

Computerconfiguratie > Beheersjablonen > Netwerk > Lanman-werkstation

Deze beveiligingsinstelling helpt u NTLM-aanvallen via SMB te blokkeren of Server Message Block, wat tegenwoordig heel gebruikelijk is. Hoewel u het kunt inschakelen met PowerShell, heeft de Local Group Policy Editor ook dezelfde instelling. U moet de optie Ingeschakeld kiezen om de klus te klaren.

11] Auditsysteemgebeurtenissen

Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Lokaal beleid > Auditbeleid

Standaard registreert uw computer verschillende gebeurtenissen niet, zoals de wijziging van de systeemtijd, afsluiten/opstarten, verlies van systeemcontrolebestanden en fouten, enz. Als u deze allemaal in het logboek wilt opslaan, moet u deze instelling inschakelen. Het helpt u te analyseren of een programma van derden een van deze dingen heeft of niet.

12] Alle verwijderbare opslagklassen: Weiger alle toegang

Computerconfiguratie > Beheersjablonen > Systeem > Verwijderbare opslagtoegang

Met deze groepsbeleidsinstelling kunt u alle USB-klassen en -poorten uitschakelen in één keer. Als u uw pc vaak op kantoor achterlaat, moet u deze instelling controleren, zodat anderen geen USB-apparaten kunnen gebruiken om lees- of schrijftoegang te krijgen.

13] Alle verwijderbare opslag: sta directe toegang toe in externe sessies

Computerconfiguratie > Beheersjablonen > Systeem > Verwijderbare opslagtoegang

Sessies op afstand zijn op de een of andere manier het meest kwetsbaar als u geen kennis heeft en uw computer verbindt met een onbekende persoon. Met deze instelling kunt u alle directe toegang tot verwijderbare apparaten uitschakelen in alle externe sessies. In dat geval heeft u de mogelijkheid om ongeautoriseerde toegang goed te keuren of te weigeren. Ter informatie: deze instelling moet Uitgeschakeld zijn.

14] Schakel Scriptuitvoering in

Computerconfiguratie > Beheersjablonen > Windows-componenten > Windows PowerShell

Als u deze instelling inschakelt, kan uw computer scripts uitvoeren via Windows PowerShell. In dat geval dient u de optie Alleen ondertekende scripts toestaan ​​ te kiezen. Het zou echter het beste zijn als u de uitvoering van scripts niet toestaat of de optie Uitgeschakeld selecteert.

15] Voorkom toegang tot tools voor het bewerken van registers

Gebruikersconfiguratie > Beheersjablonen > Systeem

De Register-editor is zo’n ding dat vrijwel elke instelling op uw computer kan wijzigen, zelfs als er geen spoor is van een GUI-optie in de Windows-instellingen of het Configuratiescherm. Sommige aanvallers wijzigen vaak registerbestanden om malware te verspreiden. Daarom moet u deze instelling inschakelen om te voorkomen dat gebruikers toegang krijgen tot de Register-editor.

16] Voorkom toegang tot de opdrachtprompt

Gebruikersconfiguratie > Beheersjablonen > Systeem

Net als de Windows PowerShell-scripts kunt u ook verschillende scripts uitvoeren via de opdrachtprompt. Daarom moet u deze groepsbeleidsinstelling inschakelen. Nadat u de optie Ingeschakeld hebt geselecteerd, vouwt u het vervolgkeuzemenu uit en selecteert u Ja optie. Het zal ook de opdrachtpromptscriptverwerking uitschakelen.

17] Schakel scriptscannen in

Computerconfiguratie > Beheersjablonen > Windows-componenten > Microsoft Defender Antivirus > Realtime bescherming

Standaard scant Windows Security niet alle soorten scripts op malware of iets dergelijks. Daarom wordt aanbevolen om deze instelling in te schakelen, zodat uw beveiligingsschild alle scripts kan scannen die op uw computer zijn opgeslagen. Omdat scripts kunnen worden gebruikt om kwaadaardige codes in uw computer te injecteren, blijft deze instelling altijd belangrijk.

18] Windows Defender Firewall: Sta geen uitzonderingen toe

Computerconfiguratie > Beheersjablonen > Netwerk > Netwerkverbindingen > Windows Defender Firewall > Domeinprofiel

Computer Configuration > Administrative Templates > Network > Network Connections > Windows Defender Firewall > Standard Profile

Windows Defender Firewall kan vaak verschillende soorten inkomend en uitgaand verkeer toestaan, afhankelijk van de vereisten van de gebruiker. Het is echter niet aan te raden dit te doen, tenzij of totdat u het programma zeer goed kent. Als u niet 100% zeker bent van het uitgaande of binnenkomende verkeer, kunt u deze instelling inschakelen.

Laat het ons weten als u andere aanbevelingen heeft.

Wat zijn drie best practices voor GPO’s?

Drie van de beste praktijken voor GPO zijn: ten eerste moet u een instelling niet aanpassen tenzij of totdat u weet wat u doet. Ten tweede: schakel geen Firewall-instellingen uit of in, aangezien deze ongeautoriseerd verkeer kan verwelkomen. Ten derde moet u de wijziging altijd handmatig bijwerken als deze niet vanzelf wordt toegepast.

Welke groepsbeleidsinstelling moet u configureren?

Zolang u voldoende kennis en ervaring heeft, kunt u elke instelling configureren in de Local Group Policy Editor. Als je dergelijke kennis niet hebt, laat het dan zoals het is. Als u echter uw computerbeveiliging wilt verbeteren, kunt u deze handleiding doornemen, aangezien hier enkele van de belangrijkste beveiligingsinstellingen van Groepsbeleid staan.