Microsoft Security Hardening – Top 10 políticas de segurança

Neste blog post junto com o vídeo eu exploro algumas politicas de segurança bem interessantes, são simples mas são valiosas na hora de criar um baseline de segurança.

1 – Proibir acesso ao Painel de Controle.

Muitas configurações podem ser feitas através do Painel de Controle e usuários não deve ter acesso a esses recursos.

Politica : Prohibit access to Control Panel and PC settings
Caminho: User Configuration\Administrative Templates\Control Panel\

2 – Não armazenar LAN Manager Hash

O Windows gera e armazena senhas de contas de usuário em “hashes” gerando um ash do LAN Manager (LM hash) e um hash do Windows NT (NT hash) de senhas. Ele os armazena no banco de dados local do Security Accounts Manager (SAM) ou no Active Directory.

Politica : Do not store LAN Manager hash value on next password changes
Caminho: Computer Configuration\Windows Settings\Local Policies\Security Options\

3 – Bloquear acesso ao Prompt de comando

Simples e eficiente. Através da linha comando é possível executar diversos comandos que podem revelar informações ou permitir brechas no sistemas

Politica : Prevent access to the command prompt
Caminho: User Configuration\Administrative Templates\System\

4 – Não permitir usar dispositivos removíveis

Se você habilitar essa configuração de política, nenhum acesso será permitido a nenhuma classe de armazenamento removível.

Politica : All Removable Storage classes: Deny all access
Caminho: User Configuration\Administrative Templates\System\Removable Storage Access\

5 – Restringir instalação e softwares

Usuários podem instalar aplicativos indesejados que comprometem seu sistema. Para garantir a segurança, é recomendável impedir instalações de software.

Politica : Prohibit User Installs
Caminho: Computer Configuration\Administrative Templates\Windows Components\Windows Installer\

6 – Desabilitar a Conta Guest

Usando a conta de convidado, os usuários podem acessar dados confidenciais. Essas contas concedem acesso a um computador Windows e não exigem uma senha.

Politica : Accounts: Guest Account Status
Caminho: Computer Configuration\Windows Settings\Local Policies\Security Options\

7 – Não permitir a enumeração anonima de contas SAM e compartilhamentos.

O AD atribui um número exclusivo a todos os objetos de segurança no Active Directory; incluindo Usuários, Grupos e outros, esse é o SID o Identificador de Segurança . Nas versões mais antigas do Windows, os usuários podiam consultar os SIDs para identificar usuários e grupos importantes.

Politica : Network Access: Do not allow anonymous of SAM accounts and shares
Caminho: Computer Configuration\Windows Settings\Local Policies\Security Options\

8 – Não exibir o ultimo usuário logado.

Pensando em engenharia social, não exibir o ultimo usuário logado, permite que se um atacante tenha acesso local ao computador ele terá que saber também o nome do usuário e não somente tentar descobrir a senha.

Politica : Interactive Logon: Do not display last user name
Caminho: Computer Configuration\Windows Settings\Local Policies\Security Options\

9 – Bloquear a máquina por tempo de inatividade.

Ainda no campo da engenharia social, deixar uma maquina sem bloquear pode ser muito perigoso. Vamos então definir um tempo de inatividade para bloquear automaticamente o computador.

Politica : Interactive Logon: Machine inactivity limit
Caminho: Computer Configuration\Windows Settings\Local Policies\Security Options\

10 – Bloquear a conta após 3 tentativas de logon errando a senha

Tentar adivinhar uma senha é uma das mais antigas ameaças que existe. O clássico bloqueio depois de 3 tentativas sem sucesso é sempre muito bem-vindo.

Politica : Account Lockout Threshold
Caminho: Computer Configuration\Windows Settings\Account Policies\Account Lockout Policy\

Vídeo das configurações de politicas