Neste blog post junto com o vídeo eu exploro algumas politicas de segurança bem interessantes, são simples mas são valiosas na hora de criar um baseline de segurança.
1 – Proibir acesso ao Painel de Controle.
Muitas configurações podem ser feitas através do Painel de Controle e usuários não deve ter acesso a esses recursos.
Politica : Prohibit access to Control Panel and PC settings
Caminho: User Configuration\Administrative Templates\Control Panel\
2 – Não armazenar LAN Manager Hash
O Windows gera e armazena senhas de contas de usuário em “hashes” gerando um ash do LAN Manager (LM hash) e um hash do Windows NT (NT hash) de senhas. Ele os armazena no banco de dados local do Security Accounts Manager (SAM) ou no Active Directory.
Politica : Do not store LAN Manager hash value on next password changes
Caminho: Computer Configuration\Windows Settings\Local Policies\Security Options\
3 – Bloquear acesso ao Prompt de comando
Simples e eficiente. Através da linha comando é possível executar diversos comandos que podem revelar informações ou permitir brechas no sistemas
Politica : Prevent access to the command prompt
Caminho: User Configuration\Administrative Templates\System\
4 – Não permitir usar dispositivos removíveis
Se você habilitar essa configuração de política, nenhum acesso será permitido a nenhuma classe de armazenamento removível.
Politica : All Removable Storage classes: Deny all access
Caminho: User Configuration\Administrative Templates\System\Removable Storage Access\
5 – Restringir instalação e softwares
Usuários podem instalar aplicativos indesejados que comprometem seu sistema. Para garantir a segurança, é recomendável impedir instalações de software.
Politica : Prohibit User Installs
Caminho: Computer Configuration\Administrative Templates\Windows Components\Windows Installer\
6 – Desabilitar a Conta Guest
Usando a conta de convidado, os usuários podem acessar dados confidenciais. Essas contas concedem acesso a um computador Windows e não exigem uma senha.
Politica : Accounts: Guest Account Status
Caminho: Computer Configuration\Windows Settings\Local Policies\Security Options\
7 – Não permitir a enumeração anonima de contas SAM e compartilhamentos.
O AD atribui um número exclusivo a todos os objetos de segurança no Active Directory; incluindo Usuários, Grupos e outros, esse é o SID o Identificador de Segurança . Nas versões mais antigas do Windows, os usuários podiam consultar os SIDs para identificar usuários e grupos importantes.
Politica : Network Access: Do not allow anonymous of SAM accounts and shares
Caminho: Computer Configuration\Windows Settings\Local Policies\Security Options\
8 – Não exibir o ultimo usuário logado.
Pensando em engenharia social, não exibir o ultimo usuário logado, permite que se um atacante tenha acesso local ao computador ele terá que saber também o nome do usuário e não somente tentar descobrir a senha.
Politica : Interactive Logon: Do not display last user name
Caminho: Computer Configuration\Windows Settings\Local Policies\Security Options\
9 – Bloquear a máquina por tempo de inatividade.
Ainda no campo da engenharia social, deixar uma maquina sem bloquear pode ser muito perigoso. Vamos então definir um tempo de inatividade para bloquear automaticamente o computador.
Politica : Interactive Logon: Machine inactivity limit
Caminho: Computer Configuration\Windows Settings\Local Policies\Security Options\
10 – Bloquear a conta após 3 tentativas de logon errando a senha
Tentar adivinhar uma senha é uma das mais antigas ameaças que existe. O clássico bloqueio depois de 3 tentativas sem sucesso é sempre muito bem-vindo.
Politica : Account Lockout Threshold
Caminho: Computer Configuration\Windows Settings\Account Policies\Account Lockout Policy\
Gostei do artigo, show de bola Daniel.
Uma pergunta, sabe me dizer se teria como bloquear instalação de plugins nos navegadores tipo chrome ? Tenho algumas maquinas no AD do windows 2008R2 e preciso barrar a instalação desses treco. Usuários não tem permissões de instalar nada, porem plugins estão conseguindo.
Cleyton, existe como fazer sim. Eu mesmo nunca fiz. Se funcionar me avise. https://support.google.com/chrome/a/answer/7532015?hl=en
Muito obrigado Daniel.
Fiz alguns testes aqui porem sem sucesso, inclusive encontrei esse site http://woshub.com/how-to-configure-google-chrome-via-group-policies/#comment-4048 que esta bem detalhado, porem não explica como bloquear a instalação todo sos plugins
Daniel blz!!! seria legal se tivesse um curso sobre Microsoft Security Hardening na plataforma Udemy.
Daniel, boa tarde! É possível automatizar via GPO a ativação e retenção da key do Bitlocker das máquinas?
Olá Luiz, É possível.
https://www.linkedin.com/pulse/como-armazenar-chaves-do-bitlocker-active-directory-adds-pereira/