6 群組原則編輯器調整以提高安全性
無論您是 IT 管理員還是希望進一步保護 Windows PC 的普通用戶,這些群組原則編輯器調整都將增強您 PC 的安全性。
安全用戶帳戶控制 (UAC)
UAC 是 Windows 安全功能,可防止對您的 PC 進行未經授權的變更。群組原則編輯器提供了許多可以控制 UAC 行為的調整。
在群組原則編輯器中,前往電腦設定-> Windows 設定->安全性設定->本機原則->安全性選項。
向下捲動到底部並調整每個策略設置,如下所列,以獲得更高的安全性:
- 使用者帳戶控制:內建管理員帳戶的管理員批准模式:啟用
- 使用者帳戶控制:允許 UIAccess 應用程式在不使用安全桌面的情況下提示提升:已停用
- 使用者帳戶控制:管理員批准模式下管理員的提升提示行為:提示同意
- 使用者帳號控制:標準使用者的提升提示行為:提示輸入憑證
- 使用者帳戶控制:偵測應用程式安裝並提示提升:已啟用
- 使用者帳戶控制:僅提升已簽署和驗證的可執行檔:啟用
- 使用者帳戶控制:僅提升安裝在安全位置的 UIAccess 應用程式:已啟用
- 使用者帳戶控制:以管理員批准模式執行所有管理員:啟用
- 使用者帳戶控制:提示提升時切換到安全桌面:已啟用
- 使用者帳戶控制:將檔案和註冊表寫入失敗虛擬化到每個使用者位置:已啟用
套用上述調整後,更頻繁地批准 UAC 提示,並可能還提供憑證,但這將提高整體安全性。
安全密碼
預設情況下,Windows 用戶帳號密碼要求相當寬鬆。使用本機群組原則編輯器,您可以強制執行確保密碼安全的規則。
前往群組原則編輯器中的電腦設定-> Windows 設定->安全設定->帳戶原則->密碼原則。
調整以下政策:
- 強制執行密碼歷史記錄:8 或以上
- 密碼最長期限:30-60 天
- 最小密碼長度:12位元或更多
- 密碼必須滿足複雜性要求:已啟用
停用訪客帳戶
儘管預設會停用 Windows 來賓帳戶,但有人可以使用不同的方法開啟來賓帳戶並存取您的敏感資料。訪客帳戶允許任何人免費存取您的電腦。儘管它提供了受限的存取權限,但它仍然可能被惡意軟體利用,或者您可能會意外地與「Everyone」群組共用資料。最好在群組編輯器策略中完全停用它。
前往「電腦設定」 -> 「Windows 設定」 -> 「安全性設定」-> 「本機原則」 -> 「安全性選項」,然後停用「帳戶:來賓帳戶狀態」原則。
啟用帳戶審核策略
在群組原則編輯器中啟用帳戶審核以記錄重要的安全訊息,例如檔案修改、安全設定變更、登入嘗試等。或非使用者配置。
在群組原則編輯器中,前往電腦設定-> Windows 設定->安全性設定->本機原則->審核原則。對於此處的所有這些選項,啟用成功和失敗審核。
您可以在 Windows 事件檢視器中查看產生的日誌。在 Windows 搜尋中鍵入“事件檢視器”,然後按一下“事件檢視器” 。前往Windows 日誌->安全性以查看日誌。
關機時清除虛擬內存
頁面檔案(虛擬記憶體)是您的電腦順利運作所必需的。但是,它保留了資料的碎片記錄,擁有正確存取權限和工具的人可能會竊取這些資料。如果您不想冒任何風險,請在關閉電腦時自動刪除它。
進入「電腦設定」 -> 「Windows 設定」 -> 「安全性設定」-> 「本機原則」 -> 「安全性選項」,啟用「關機:清除虛擬記憶體頁面檔案」原則。
請記住,啟用此策略會增加關閉過程的一些延遲。
管理帳戶鎖定設定
為了防止未經授權的存取嘗試,Windows 具有帳戶鎖定策略,可在多次錯誤登入嘗試後鎖定您的帳戶。但是,它有點寬鬆,因此您可能需要根據您的安全需求調整相關的群組原則編輯器策略。
若要存取鎖定策略,請導覽至電腦設定-> Windows 設定->安全設定->帳戶原則->帳戶鎖定原則。
您會發現四種需要調整的鎖定策略。根據您的需求調整它們。以下建議值試圖在強大的保護和流暢的使用者體驗之間取得平衡:
- 帳戶鎖定時間:30分鐘
- 帳號鎖定閾值:3次無效登入嘗試
- 允許管理員帳戶鎖定:已啟用
- 重設帳戶鎖定計數器後:30 分鐘
雖然所有這些群組原則設定可能會導致一些額外的確認(例如開啟任務管理器的 UAC 提示),但安全性的提升超過了輕微的不便。如果您不喜歡這些更改,請重設群組原則編輯器。
圖片來源:DALL-E。所有螢幕截圖均由 Karrar Haider 製作。
發佈留言