Eine der beliebtesten Methoden zum Konfigurieren von Microsoft Windows-Computern ist die Verwendung von Gruppenrichtlinien. Hierbei handelt es sich um Einstellungen im Zusammenhang mit der Registrierung am Computer, der Konfiguration von Sicherheitseinstellungen und dem Verhalten beim Betrieb des Geräts. Gruppenrichtlinien können über Active Directory (vom Client) aus geöffnet oder direkt auf dem Computer (lokal) konfiguriert werden. Windows 8.1- und Windows Server 2012 R2-Maschinen verfügen über mehr als 3.700 Einstellungen für das Betriebssystem.
Nachfolgend finden Sie 10 wichtige Gruppenrichtlinieneinstellungen , auf die Sie achten müssen. Bleiben Sie nicht bei diesen 10 Einstellungen stehen, denn jede sinnvolle Einstellung trägt dazu bei, das Risiko zu reduzieren. Aber diese 10 Entscheidungen werden fast alles entscheiden.
Wenn Sie diese 10 Namen richtig einrichten, schaffen Sie eine sicherere Windows-Umgebung. Alle befinden sich unter Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen.
1. Benennen Sie das lokale Administratorkonto um
Wenn Bösewichte den Namen des Administratorkontos nicht kennen, dauert der Hack länger. Das Umbenennen des Admin-Kontos kann nicht automatisch erfolgen, Sie müssen es selbst tun.
2. Deaktivieren Sie das Gastkonto
Eines der schlimmsten Dinge, die Sie tun können, ist, dieses Konto zu aktivieren. Es gewährt mehrere Zugriffsrechte auf Windows-Rechner und erfordert kein Passwort. Glücklicherweise gibt es eine Option, diese Funktion standardmäßig zu deaktivieren.
Richten Sie die Gruppenrichtlinie richtig ein, um die Sicherheit Ihres Windows-Computers zu gewährleisten
3. Deaktivieren Sie LM und NTLM v1
LM (LAN Manager) und NTLM v1-Authentifizierungsprotokoll sind anfällig. Verwenden Sie NTLM v2 und Kerberos. Standardmäßig akzeptieren die meisten Windows-Computer alle vier Protokolle. Sofern Sie nicht über einen alten Rechner verfügen (älter als 10 Jahre) und nicht gepatcht wurden, wird die Verwendung des alten Protokolls nur selten empfohlen. Sie können standardmäßig deaktiviert werden.
4. Deaktivieren Sie den LM-Speicher
LM-Passwort-Hashes können problemlos in Klartext umgewandelt werden. Lassen Sie nicht zu, dass Windows sie auf dem Laufwerk speichert, wo Hacker sie mithilfe von Tools finden können. Es ist standardmäßig deaktiviert.
5. Mindestlänge des Passworts
Die Passwortlänge für normale Benutzer sollte mindestens 12 Zeichen betragen – 15 Zeichen oder mehr für Konten höherer Ebenen. Windows-Passwörter sind nicht sehr sicher, wenn sie weniger als 12 Zeichen lang sind. Um in der Welt der Windows-Authentifizierung am sichersten zu sein, sollte der Wert 15 betragen. Dadurch werden fast alle Hintertüren geschlossen.
Leider hatte die alte Gruppenrichtlinieneinstellung nur maximal 14 Zeichen. Verwenden Sie differenzierte Passwortrichtlinien. Obwohl die Einrichtung und Konfiguration unter Windows Server 2008 R2 (und älter) nicht einfach ist, ist sie mit Windows Server 2012 und höher sehr einfach.
6. Maximale Passwortlebensdauer
Passwörter mit 14 Zeichen oder weniger können nicht länger als 90 Tage verwendet werden. Die standardmäßige maximale Kennwortdauer von Windows beträgt 42 Tage. Sie können diese Zahl also verwenden oder bei Bedarf auf 90 Tage erhöhen. Einige Sicherheitsexperten sagen, dass die Verwendung eines Passworts für bis zu einem Jahr in Ordnung ist, wenn es 15 Zeichen oder mehr hat. Denken Sie jedoch daran: Je länger die Frist, desto größer ist das Risiko, dass jemand das Konto stiehlt und damit auf ein anderes Konto derselben Person zugreift. Eine kurzfristige Anwendung ist immer noch besser.
7. Ereignisprotokolle
Viele Opfer von Angriffen hätten frühzeitig erkannt werden können, wenn sie Ereignisprotokolle aktiviert und sich angewöhnt hätten, diese zu überprüfen. Stellen Sie sicher, dass Sie die empfohlenen Einstellungen im Microsoft Security Compliance Manager- Tool verwenden und Audit-Unterkategorien verwenden.
8. Deaktivieren Sie die anonyme SID-Anwesenheit
Sicherheitskennungen (SID – Sicherheitskennung) sind Nummern, die jedem Benutzer, jeder Gruppe und jedem Sicherheitsobjekt in Windows oder Active Directory zugewiesen werden. In früheren Windows-Versionen konnten nicht authentifizierte Benutzer diese Nummern abfragen, um wichtige Benutzer (z. B. Administratoren) und Gruppen zu identifizieren, was Hacker gerne ausnutzten. Diese Anwesenheit kann standardmäßig deaktiviert werden.
9. Lassen Sie nicht zu, dass anonyme Konten in jeder Gruppe vorhanden sind
Wenn diese Einstellung und die vorherige Einstellung falsch konfiguriert sind, kann eine anonyme Person weiter als zulässig auf das System zugreifen. Beide Einstellungen sind seit 2000 standardmäßig aktiviert (anonymen Zugriff deaktivieren).
10. Aktivieren Sie die Benutzerkontensteuerung (UAC)
Seit Windows Vista ist UAC das Schutztool Nr. 1 beim Surfen im Internet. Viele Leute schalten es jedoch aufgrund alter Informationen zu Softwarekompatibilitätsproblemen ab. Die meisten dieser Probleme sind verschwunden; die verbleibenden Probleme können mit dem kostenlosen Dienstprogramm zur Inkompatibilitätserkennung von Microsoft behoben werden. Wenn Sie die Benutzerkontensteuerung deaktivieren, besteht unter Windows NT ein größeres Risiko als unter neueren Betriebssystemen. UAC ist standardmäßig aktiviert.
Neue Betriebssystemversionen verfügen über viele korrekte Standardeinstellungen
Wenn Sie aufmerksam sind, werden Sie feststellen, dass 7 von 10 dieser Einstellungen unter Windows Vista, Windows Server 2008 und späteren Versionen korrekt konfiguriert wurden. Sie müssen keine Zeit damit verschwenden, alle 3.700 Gruppenrichtlinieneinstellungen zu erlernen. Konfigurieren Sie einfach die oben genannten 10 Einstellungen richtig und schon sind Sie fertig.
In diesem Artikel erfahren Sie, wie Sie den Internetzugriff für Benutzer oder Computer im Active Directory-Gruppenrichtlinienobjekt blockieren. Lernen Sie effektive Methoden, moderne Sicherheitsprotokolle und Best Practices kennen.
Das Formatieren eines USB-Sticks ähnelt dem Formatieren jedes anderen Laufwerks. Hier erfahren Sie, warum und wie Sie USB formatieren sollten, um optimale Ergebnisse zu erzielen.
Wenn beim Starten eines Spiels unter Windows 10 der Fehler „Game Security Violation Detected“ angezeigt wird, sind die Lösungen einfach und effektiv. Hier erfahren Sie, wie Sie dieses Problem beheben können.
Wechseln Sie mühelos zwischen Audiogeräten unter Windows 10 mit Tastenkombinationen. Erfahren Sie, wie Sie den Audio-Umschalter effizient nutzen.
Entdecken Sie 8 einfache Möglichkeiten, MSConfig in Windows 11 zu öffnen, um zahlreiche Probleme effizient zu beheben.
Freunde und Familienmitglieder zu trollen macht Spaß mit diesen harmlosen gefälschten Viren. Hier sind vier kreative Ideen, um Ihre Freunde zum Lachen zu bringen.
Entdecken Sie die Unterschiede zwischen Virtualisierung und Emulation sowie deren Vor- und Nachteile. Erfahren Sie, wie diese Technologien in modernen IT-Umgebungen eingesetzt werden.
Device Guard ist ein wichtiges Sicherheitsfeature in Windows 10, das sicherstellt, dass nur vertrauenswürdige Anwendungen ausgeführt werden. So aktivieren oder deaktivieren Sie es.
Erfahren Sie, wie Sie vDOS verwenden, um alte DOS-Software unter Windows 10 auszuführen. Dieser Emulator ist ideal für die Nutzung älterer Programme, bietet jedoch keine optimale Lösung für Spiele.
Wenn Sie Probleme mit USB-Geräten auf Ihrem Windows 11-Computer haben, sollten Sie die Funktion „USB Selective Suspend“ deaktivieren.
