用於防止安全漏洞的最重要的群組原則設置

當您想要啟用或停用 GUI 表單中不可用的某些功能或選項時，群組原則編輯器可能是您的最佳伴侶。無論是為了安全、個人化、客製化或其他任何目的。因此，我們整合了一些最重要的群組原則設置，以防止 Windows 11/10 電腦上的安全漏洞.

在開始完整清單之前，您應該知道我們要討論的內容。當您想為您或您的家人製作一台功能齊全的家用電腦時，需要涵蓋某些領域。他們是：

• 軟體安裝
• 密碼限制
• 網路存取
• 紀錄
• USB支援
• 命令列腳本執行
• 電腦關閉並重新啟動
• Windows安全

有些設定需要打開，而有些則需要完全相反的設定。

用於防止安全漏洞的最重要的群組原則設置

用於防止安全漏洞的最重要的群組原則設定是：

1. 關閉 Windows 安裝程式
2. 禁止使用重新啟動管理器
3. 始終以提升的權限進行安裝
4. 僅運行指定的 Windows 應用程式
5. 密碼必須滿足複雜性要求
6. 帳戶鎖定閾值和持續時間
7. 網路安全：下次變更密碼時不儲存 LAN Manager 雜湊值
8. 網路存取：不允許匿名枚舉 SAM 帳戶和共享
9. 網路安全：限制 NTLM：審核此網域中的 NTLM 驗證
10. 阻止 NTLM
11. 審計系統事件
12. 所有可移動存儲類別：拒絕所有訪問
13. 所有可移動儲存：允許在遠端會話中直接存取
14. 開啟腳本執行
15. 阻止存取註冊表編輯工具
16. 阻止存取命令提示符
17. 開啟腳本掃描
18. Windows Defender 防火牆：不允許例外

要了解有關這些設置的更多信息，請繼續閱讀。

1]關閉Windows安裝程式

電腦設定>管理模板> Windows 元件 > Windows安裝程式

當您將電腦交給您的孩子或不知道如何檢查程式或程式來源是否合法的人時，這是您需要檢查的最重要的安全設定。它會立即阻止您電腦上的各種軟體安裝。您需要從下拉清單中選擇啟用和始終選項清單。< /span>

2]禁止使用重啟管理器

電腦設定>管理模板> Windows 元件 > Windows安裝程式

某些程式需要重新啟動才能在您的電腦上完全執行或完成安裝程序。如果您不想讓第三方在您的電腦上使用未經授權的程序，您可以使用此設定來停用 Windows Installer 的重新啟動管理器。您需要從下拉式選單中選擇重新啟動管理器關閉選項。

3]始終以提升的權限安裝

電腦設定>管理模板> Windows 元件 > Windows安裝程式

用戶配置>管理模板> Windows 元件 > Windows安裝程式

有些可執行檔需要管理員權限才能安裝，而其他執行檔則不需要這樣的權限。攻擊者經常使用此類程式在您的電腦上遠端秘密安裝應用程式。這就是您需要打開此設定的原因。要知道的一件重要的事情是，您必須從電腦配置和使用配置中啟用此設定。

4]僅運行指定的Windows應用程式

用戶配置>管理模板>系統

如果您不想在未經事先許可的情況下在後台運行應用程序，則此設定適合您。您可以允許電腦使用者僅在您的電腦上執行預先定義的應用程式。為此，您可以啟用此設定並點擊顯示按鈕以列出您要執行的所有應用程式。

5]密碼必須符合複雜度要求

電腦設定> Windows 設定 >安全設定>帳戶政策>密碼政策

為了保護您的電腦免受安全漏洞的侵害，您首先需要使用一個強密碼。預設情況下，Windows 11/10 使用者幾乎可以使用任何內容作為密碼。但是，如果您啟用了密碼的某些特定要求，則可以開啟此設定來強制執行。

6]帳戶鎖定閾值和持續時間

電腦設定> Windows 設定 >安全設定>帳戶政策>帳戶鎖定政策

有兩個設置，分別為帳戶鎖定閾值和帳戶鎖定持續時間。第二個設定可幫助您確定鎖定將持續多長時間。在登入失敗達到一定次數後鎖定電腦 應該啟用。第一個可以幫助您

7]網路安全：下次變更密碼時不儲存 LAN Manager 雜湊值

電腦設定> Windows 設定 >安全設定>地方政策>安全選項

由於 LAN Manager 或 LM 在安全性方面相對較弱，因此您需要啟用此設置，以便您的電腦不會儲存新密碼的雜湊值。 Windows 11/10 通常將值儲存在本機上，這就是為什麼它增加了安全漏洞的機會。預設情況下，它是開啟的，出於安全考慮，需要始終啟用它。

8]網路存取：不允許匿名列舉 SAM 帳戶和共享

電腦設定> Windows 設定 >安全設定>地方政策>安全選項

預設情況下，Windows 11/10 允許未知或匿名使用者執行各種操作。如果身為管理員，您不想在電腦上允許該設置，則可以透過選擇 啟用值來開啟此設定。一件事是要記住，它可能會影響某些客戶端和應用程式。

9]網路安全：限制NTLM：審核該網域中的NTLM驗證

電腦設定> Windows 設定 >安全設定>地方政策>安全選項

此設定可讓您啟用、停用和自訂 NTLM 驗證審核。由於 NTML 是強制識別和保護共用網路和遠端網路使用者的機密性的，因此您必須修改此設定。如需停用，請選擇停用選項。不過，根據我們的經驗，如果您有家用計算機，則應選擇為網域帳戶啟用。

10]阻止NTLM

電腦設定>管理模板>網路>蘭曼工作站

此安全性設定可協助您阻止透過 SMB 或伺服器訊息區塊進行 NTLM 攻擊，這在當今非常常見。儘管您可以使用 PowerShell 啟用它，但本機群組原則編輯器也具有相同的設定。您需要選擇啟用選項才能完成工作。

11]審計系統事件

電腦設定> Windows 設定 >安全設定>地方政策>審核政策

預設情況下，您的電腦不會記錄系統時間變更、關機/啟動、系統審核檔案遺失和故障等多個事件。如果您想將所有事件儲存在日誌中，則必須啟用此設定。它可以幫助您分析第三方程式是否具有這些功能。

12]所有可移動儲存類別：拒絕所有訪問

電腦設定>管理模板>系統>可移動存儲訪問

此群組原則設定可讓您立即停用所有 USB 類別和連接埠。如果您經常將個人電腦留在辦公室等地方，則必須檢查此設置，以便其他人無法使用 USB 裝置獲得讀取或寫入存取權限。

13]所有可移動儲存：允許在遠端會話中直接訪問

電腦設定>管理模板>系統>可移動存儲訪問

當您沒有任何知識並將電腦連接到未知人員時，遠端會話在某種程度上是最容易受到攻擊的事情。此設定可協助您停用所有遠端會話中的所有直接可移動裝置存取。在這種情況下，您可以選擇批准或拒絕任何未經授權的存取。供您參考，需要停用此設定。

14]開啟腳本執行

電腦設定>管理模板> Windows 元件 > Windows PowerShell

如果啟用此設置，您的電腦可以透過 Windows PowerShell 執行腳本。在這種情況下，您應該選擇僅允許簽署腳本選項。不過，最好不允許腳本執行或選擇停用選項。

15]阻止存取註冊表編輯工具

用戶配置>管理模板>系統

登錄編輯器幾乎可以更改電腦上的任何設置，即使 Windows 設定或控制面板中沒有任何 GUI 選項的痕跡。一些攻擊者經常更改註冊表檔案來傳播惡意軟體。這就是為什麼您需要啟用此設定來阻止使用者存取註冊表編輯器。

16]阻止存取命令提示符

用戶配置>管理模板>系統

與 Windows PowerShell 腳本一樣，您也可以透過命令提示字元執行各種腳本。這就是您需要開啟此群組原則設定的原因。選擇啟用選項後，展開下拉式選單並選擇是選項。它還將禁用命令提示字元腳本處理。

17]開啟腳本掃描

電腦設定>管理模板> Windows 元件 > Microsoft Defender 防毒軟體 >即時保護

預設情況下，Windows Security 不會掃描所有類型的腳本是否有惡意軟體等。這就是為什麼建議啟用此設置，以便您的安全防護罩可以掃描電腦上儲存的所有腳本。由於腳本可用於將惡意程式碼注入您的計算機，因此此設定始終很重要。

18]Windows Defender 防火牆：不允許例外

電腦設定>管理模板>網路>網路連線> Windows Defender 防火牆 >網域簡介

Computer Configuration > Administrative Templates > Network > Network Connections > Windows Defender Firewall > Standard Profile

Windows Defender 防火牆通常可以根據使用者的要求允許各種傳入和傳出流量。但是，除非或直到您非常了解該程序，否則不建議這樣做。如果您無法 100% 確定傳出或傳入流量，您可以開啟此設定。

如果您有其他建議，請告訴我們。

GPO 的 3 項最佳實踐是什麼？

GPO 的三個最佳實踐是：首先，除非或直到您知道自己在做什麼，否則不應調整設定。其次，不要停用或啟用任何防火牆設置，因為它可能會歡迎未經授權的流量。第三，如果變更不適用，您應該始終強製手動更新變更。

您應該配置哪個群組原則設定？

只要您有足夠的知識和經驗，您就可以在本機群組原則編輯器中配置任何設定。如果你沒有這樣的知識，那就順其自然吧。但是，如果您想加強電腦安全性，則可以閱讀本指南，因為這裡有一些最重要的群組原則安全設定。