10 wichtige Gruppenrichtlinieneinstellungen unter Windows, die sofort vorgenommen werden müssen

Eine der beliebtesten Methoden zum Konfigurieren von Microsoft Windows-Computern ist die Verwendung von Gruppenrichtlinien. Hierbei handelt es sich um Einstellungen im Zusammenhang mit der Registrierung am Computer, der Konfiguration von Sicherheitseinstellungen und dem Verhalten beim Betrieb des Geräts. Gruppenrichtlinien können über Active Directory (vom Client) aus geöffnet oder direkt auf dem Computer (lokal) konfiguriert werden. Windows 8.1- und Windows Server 2012 R2-Maschinen verfügen über mehr als 3.700 Einstellungen für das Betriebssystem.

Nachfolgend finden Sie 10 wichtige Gruppenrichtlinieneinstellungen , auf die Sie achten müssen. Bleiben Sie nicht bei diesen 10 Einstellungen stehen, denn jede sinnvolle Einstellung trägt dazu bei, das Risiko zu reduzieren. Aber diese 10 Entscheidungen werden fast alles entscheiden.

Wenn Sie diese 10 Namen richtig einrichten, schaffen Sie eine sicherere Windows-Umgebung. Alle befinden sich unter Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen.

1. Benennen Sie das lokale Administratorkonto um

Wenn Bösewichte den Namen des Administratorkontos nicht kennen, dauert der Hack länger. Das Umbenennen des Admin-Kontos kann nicht automatisch erfolgen, Sie müssen es selbst tun.

2. Deaktivieren Sie das Gastkonto

Eines der schlimmsten Dinge, die Sie tun können, ist, dieses Konto zu aktivieren. Es gewährt mehrere Zugriffsrechte auf Windows-Rechner und erfordert kein Passwort. Glücklicherweise gibt es eine Option, diese Funktion standardmäßig zu deaktivieren.

Richten Sie die Gruppenrichtlinie richtig ein, um die Sicherheit Ihres Windows-Computers zu gewährleisten

3. Deaktivieren Sie LM und NTLM v1

LM (LAN Manager) und NTLM v1-Authentifizierungsprotokoll sind anfällig. Verwenden Sie NTLM v2 und Kerberos. Standardmäßig akzeptieren die meisten Windows-Computer alle vier Protokolle. Sofern Sie nicht über einen alten Rechner verfügen (älter als 10 Jahre) und nicht gepatcht wurden, wird die Verwendung des alten Protokolls nur selten empfohlen. Sie können standardmäßig deaktiviert werden.

4. Deaktivieren Sie den LM-Speicher

LM-Passwort-Hashes können problemlos in Klartext umgewandelt werden. Lassen Sie nicht zu, dass Windows sie auf dem Laufwerk speichert, wo Hacker sie mithilfe von Tools finden können. Es ist standardmäßig deaktiviert.

5. Mindestlänge des Passworts

Die Passwortlänge für normale Benutzer sollte mindestens 12 Zeichen betragen – 15 Zeichen oder mehr für Konten höherer Ebenen. Windows-Passwörter sind nicht sehr sicher, wenn sie weniger als 12 Zeichen lang sind. Um in der Welt der Windows-Authentifizierung am sichersten zu sein, sollte der Wert 15 betragen. Dadurch werden fast alle Hintertüren geschlossen.

Leider hatte die alte Gruppenrichtlinieneinstellung nur maximal 14 Zeichen. Verwenden Sie differenzierte Passwortrichtlinien. Obwohl die Einrichtung und Konfiguration unter Windows Server 2008 R2 (und älter) nicht einfach ist, ist sie mit Windows Server 2012 und höher sehr einfach.

6. Maximale Passwortlebensdauer

Passwörter mit 14 Zeichen oder weniger können nicht länger als 90 Tage verwendet werden. Die standardmäßige maximale Kennwortdauer von Windows beträgt 42 Tage. Sie können diese Zahl also verwenden oder bei Bedarf auf 90 Tage erhöhen. Einige Sicherheitsexperten sagen, dass die Verwendung eines Passworts für bis zu einem Jahr in Ordnung ist, wenn es 15 Zeichen oder mehr hat. Denken Sie jedoch daran: Je länger die Frist, desto größer ist das Risiko, dass jemand das Konto stiehlt und damit auf ein anderes Konto derselben Person zugreift. Eine kurzfristige Anwendung ist immer noch besser.

7. Ereignisprotokolle

Viele Opfer von Angriffen hätten frühzeitig erkannt werden können, wenn sie Ereignisprotokolle aktiviert und sich angewöhnt hätten, diese zu überprüfen. Stellen Sie sicher, dass Sie die empfohlenen Einstellungen im Microsoft Security Compliance Manager- Tool verwenden und Audit-Unterkategorien verwenden.

8. Deaktivieren Sie die anonyme SID-Anwesenheit

Sicherheitskennungen (SID – Sicherheitskennung) sind Nummern, die jedem Benutzer, jeder Gruppe und jedem Sicherheitsobjekt in Windows oder Active Directory zugewiesen werden. In früheren Windows-Versionen konnten nicht authentifizierte Benutzer diese Nummern abfragen, um wichtige Benutzer (z. B. Administratoren) und Gruppen zu identifizieren, was Hacker gerne ausnutzten. Diese Anwesenheit kann standardmäßig deaktiviert werden.

9. Lassen Sie nicht zu, dass anonyme Konten in jeder Gruppe vorhanden sind

Wenn diese Einstellung und die vorherige Einstellung falsch konfiguriert sind, kann eine anonyme Person weiter als zulässig auf das System zugreifen. Beide Einstellungen sind seit 2000 standardmäßig aktiviert (anonymen Zugriff deaktivieren).

10. Aktivieren Sie die Benutzerkontensteuerung (UAC)

Seit Windows Vista ist UAC das Schutztool Nr. 1 beim Surfen im Internet. Viele Leute schalten es jedoch aufgrund alter Informationen zu Softwarekompatibilitätsproblemen ab. Die meisten dieser Probleme sind verschwunden; die verbleibenden Probleme können mit dem kostenlosen Dienstprogramm zur Inkompatibilitätserkennung von Microsoft behoben werden. Wenn Sie die Benutzerkontensteuerung deaktivieren, besteht unter Windows NT ein größeres Risiko als unter neueren Betriebssystemen. UAC ist standardmäßig aktiviert.

Neue Betriebssystemversionen verfügen über viele korrekte Standardeinstellungen

Wenn Sie aufmerksam sind, werden Sie feststellen, dass 7 von 10 dieser Einstellungen unter Windows Vista, Windows Server 2008 und späteren Versionen korrekt konfiguriert wurden. Sie müssen keine Zeit damit verschwenden, alle 3.700 Gruppenrichtlinieneinstellungen zu erlernen. Konfigurieren Sie einfach die oben genannten 10 Einstellungen richtig und schon sind Sie fertig.