Configurações de Política de Grupo mais importantes para prevenir violações de segurança

O Editor de Política de Grupo pode ser seu melhor companheiro quando você deseja ativar ou desativar determinados recursos ou opções que não estão disponíveis no formulário GUI. Não importa se é para segurança, personalização, customização ou qualquer outra coisa. É por isso que consolidamos algumas das configurações de Política de Grupo mais importantes para evitar violações de segurança em computadores com Windows 11/10.

Antes de começar com a lista completa, você deve saber sobre o que vamos falar. Existem certas áreas que precisam ser abordadas quando você deseja fazer um computador doméstico totalmente resistente para você ou seus familiares. Eles são:

• Instalação de software
• Restrições de senha
• Acesso à rede
• Histórico
• Suporte USB
• Execução de script de linha de comando
• Computador desligue e reinicie
• Segurança do Windows

Algumas das configurações precisam ser ativadas, enquanto outras precisam exatamente do oposto.

Configurações de Política de Grupo mais importantes para prevenir violações de segurança

As configurações de Política de Grupo mais importantes para prevenir violações de segurança são:

1. Desligue o instalador do Windows
2. Proibir o uso do Restart Manager
3. Sempre instale com privilégios elevados
4. Execute apenas aplicativos específicos do Windows
5. A senha deve atender aos requisitos de complexidade
6. Limite e duração do bloqueio de conta
7. Segurança de rede: não armazene o valor hash do LAN Manager na próxima alteração de senha
8. Acesso à rede: não permitir enumeração anônima de contas e compartilhamentos SAM
9. Segurança de rede: Restringir NTLM: auditar a autenticação NTLM neste domínio
10. Bloquear NTLM
11. Auditar eventos do sistema
12. Todas as classes de armazenamento removível: negar todo o acesso
13. Todo o armazenamento removível: permite acesso direto em sessões remotas
14. Ative a execução de script
15. Impedir o acesso às ferramentas de edição do registro
16. Impedir o acesso ao prompt de comando
17. Ative a verificação de script
18. Firewall do Windows Defender: não permitir exceções

Para saber mais sobre essas configurações, continue lendo.

1]Desative o Windows Installer

Configuração do computador > Modelos Administrativos > Componentes do Windows > instalador do Windows

É a configuração de segurança mais importante que você precisa verificar ao entregar seu computador a um filho ou a alguém que não sabe como verificar se um programa ou a fonte do programa é legítimo ou não. Ele bloqueia todos os tipos de instalação de software em seu computador instantaneamente. Você precisa escolher a opção Ativadoe Sempre no menu suspenso lista.

2] Proibir o uso do Restart Manager

Configuração do computador > Modelos Administrativos > Componentes do Windows > instalador do Windows

Alguns programas precisam ser reiniciados para começarem a funcionar totalmente no seu computador ou concluir o processo de instalação. Se não quiser usar programas não autorizados em seu computador por terceiros, você pode usar esta configuração para desabilitar o Gerenciador de reinicialização do Windows Installer. Você precisa escolher a opção Reiniciar Gerenciador desligado no menu suspenso.

3] Sempre instale com privilégios elevados

Configuração do computador > Modelos Administrativos > Componentes do Windows > instalador do Windows

Configuração do usuário > Modelos Administrativos > Componentes do Windows > instalador do Windows

Alguns arquivos executáveis ​​precisam de permissão de administrador para serem instalados, enquanto outros não precisam disso. Os invasores costumam usar esses programas para instalar aplicativos secretamente em seu computador remotamente. É por isso que você precisa ativar essa configuração. Uma coisa importante a saber é que você deve habilitar essa configuração em Configuração do Computador e também em Usar Configuração.

4]Execute apenas aplicativos específicos do Windows

Configuração do usuário > Modelos Administrativos > Sistema

Se você não deseja executar aplicativos em segundo plano sem sua permissão prévia, esta configuração é para você. Você pode permitir que os usuários do seu computador executem apenas aplicativos predefinidos no seu computador. Para isso, você pode ativar esta configuração e clicar no botão Mostrar para listar todos os aplicativos que deseja executar.

5] A senha deve atender aos requisitos de complexidade

Configuração do computador > Configurações do Windows > Configurações de segurança > Políticas da conta > Política de senha

Ter uma senha forte é a primeira coisa que você precisa usar para proteger seu computador contra violações de segurança. Por padrão, os usuários do Windows 11/10 podem usar quase tudo como senha. No entanto, se você tiver habilitado alguns requisitos específicos para a senha, poderá ativar esta configuração para aplicá-la.

6]Limite e duração do bloqueio de conta

Configuração do computador > Configurações do Windows > Configurações de segurança > Políticas da conta > Política de bloqueio de conta

Existem duas configurações chamadas Limite de bloqueio da conta e Duração do bloqueio da conta que deve estar habilitado. O primeiro ajuda você a bloquear seu computador após um número específico de falhas de logon. A segunda configuração ajuda a determinar por quanto tempo o bloqueio permanecerá.

7] Segurança de rede: não armazene o valor hash do LAN Manager na próxima alteração de senha

Configuração do computador > Configurações do Windows > Configurações de segurança > Políticas Locais > Opções de segurança

Como o LAN Manager ou LM é comparativamente fraco em termos de segurança, você precisa habilitar esta configuração para que seu computador não armazene o valor hash da nova senha. O Windows 11/10 geralmente armazena o valor no computador local e é por isso que aumenta a chance de violação de segurança. Por padrão, ele está ativado e precisa estar ativado o tempo todo por motivos de segurança.

8] Acesso à rede: não permitir enumeração anônima de contas e compartilhamentos SAM

Configuração do computador > Configurações do Windows > Configurações de segurança > Políticas Locais > Opções de segurança

Por padrão, o Windows 11/10 permite que usuários desconhecidos ou anônimos executem várias coisas. Se, como administrador, você não quiser permitir isso em seus computadores, poderá ativar essa configuração escolhendo o valor Ativar. Uma coisa é ter em mente que isso pode afetar alguns clientes e aplicativos.

9] Segurança de rede: Restringir NTLM: auditar a autenticação NTLM neste domínio

Configuração do computador > Configurações do Windows > Configurações de segurança > Políticas Locais > Opções de segurança

Essa configuração permite ativar, desativar e personalizar a auditoria da autenticação por NTLM. Como o NTML é obrigatório para reconhecer e proteger a confidencialidade de usuários de redes compartilhadas e de redes remotas, você deve modificar essa configuração. Para desativação, escolha a opção Desativar. No entanto, de acordo com nossa experiência, você deve escolher Ativar para contas de domínio se tiver um computador doméstico.

10] Bloquear NTLM

Configuração do computador > Modelos Administrativos > Rede > Estação de trabalho Lanman

Essa configuração de segurança ajuda você a bloquear ataques NTLM por SMB ou Bloqueio de Mensagens do Servidor, que é muito comum hoje em dia. Embora você possa habilitá-lo usando o PowerShell, o Editor de Política de Grupo Local também possui a mesma configuração. Você precisa escolher a opção Ativadopara realizar o trabalho.

11] Auditar eventos do sistema

Configuração do computador > Configurações do Windows > Configurações de segurança > Políticas Locais > Política de Auditoria

Por padrão, seu computador não registra vários eventos, como mudança de horário do sistema, desligamento/inicialização, perda de arquivos de auditoria do sistema e falhas, etc. Ajuda você a analisar se um programa de terceiros contém alguma dessas coisas ou não.

12] Todas as classes de armazenamento removível: negar todo o acesso

Configuração do computador > Modelos Administrativos > Sistema > Acesso ao armazenamento removível

Essa configuração de Política de Grupo permite desativar todas as classes e portas USB de uma só vez. Se você costuma deixar seu computador pessoal em um escritório ou outro local, deverá verificar esta configuração para que outras pessoas não possam usar dispositivos USB para obter acesso de leitura ou gravação.

13]Todo o armazenamento removível: permitir acesso direto em sessões remotas

Configuração do computador > Modelos Administrativos > Sistema > Acesso ao armazenamento removível

Sessões remotas são de alguma forma a coisa mais vulnerável quando você não tem nenhum conhecimento e conecta seu computador a uma pessoa desconhecida. Essa configuração ajuda você a desativar todo o acesso direto a dispositivos removíveis em todas as sessões remotas. Nesse caso, você terá a opção de aprovar ou rejeitar qualquer acesso não autorizado. Para sua informação, esta configuração precisa estar Desativada.

14]Ative a execução de script

Configuração do computador > Modelos Administrativos > Componentes do Windows > Windows PowerShell

Se você ativar essa configuração, seu computador poderá executar scripts por meio do Windows PowerShell. Nesse caso, você deve escolher a opção Permitir apenas scripts assinados . No entanto, seria melhor se você não permitisse a execução do script ou selecionasse a opção Desativado .

15]Impedir o acesso às ferramentas de edição do registro

Configuração do usuário > Modelos Administrativos > Sistema

O Editor do Registro é algo que pode alterar quase todas as configurações do seu computador, mesmo que não haja vestígios de uma opção GUI nas Configurações do Windows ou no Painel de Controle. Alguns invasores costumam alterar os arquivos do Registro para espalhar malware. É por isso que você precisa ativar esta configuração para bloquear o acesso dos usuários ao Editor do Registro.

16] Impedir o acesso ao prompt de comando

Configuração do usuário > Modelos Administrativos > Sistema

Assim como os scripts do Windows PowerShell, você também pode executar vários scripts por meio do prompt de comando. É por isso que você precisa ativar esta configuração de Política de Grupo. Após selecionar a opção Ativado, expanda o menu suspenso e selecione Sim opção. Isso também desativará o processamento do script do prompt de comando.

17]Ative a verificação de script

Configuração do computador > Modelos Administrativos > Componentes do Windows > Antivírus Microsoft Defender > Proteção em tempo real

Por padrão, a Segurança do Windows não verifica todos os tipos de scripts em busca de malware ou algo assim. É por isso que é recomendado habilitar esta configuração para que seu escudo de segurança possa verificar todos os scripts armazenados em seu computador. Como scripts podem ser usados ​​para injetar códigos maliciosos em seu computador, essa configuração permanece sempre importante.

18]Firewall do Windows Defender: não permitir exceções

Configuração do computador > Modelos Administrativos > Rede > Conexões de rede > Firewall do Windows Defender > Perfil de domínio

Computer Configuration > Administrative Templates > Network > Network Connections > Windows Defender Firewall > Standard Profile

O Firewall do Windows Defender geralmente pode permitir vários tráfegos de entrada e saída de acordo com os requisitos do usuário. No entanto, não é recomendável fazer isso a menos que você conheça muito bem o programa. Se não tiver 100% de certeza sobre o tráfego de saída ou entrada, você pode ativar esta configuração.

Deixe-nos saber se você tiver outras recomendações.

Quais são as três práticas recomendadas para GPOs?

Três das melhores práticas para GPO são: primeiro, você não deve ajustar uma configuração a menos ou até que saiba o que está fazendo. Em segundo lugar, não desative ou ative nenhuma configuração do Firewall, pois isso pode receber tráfego não autorizado. Terceiro, você deve sempre forçar a atualização manual da alteração se ela não se aplicar.

Qual configuração de Política de Grupo você deve definir?

Contanto que você tenha conhecimento e experiência suficientes, poderá definir qualquer configuração no Editor de Política de Grupo Local. Se você não tem esse conhecimento, deixe como está. No entanto, se quiser fortalecer a segurança do seu computador, você pode seguir este guia, pois aqui estão algumas das configurações de segurança da Política de Grupo mais importantes.