6 tinh chỉnh Group Policy Editor giúp cải thiện bảo mật

Cho dù bạn là quản trị viên CNTT hay người dùng thông thường đang tìm cách bảo mật hơn nữa cho PC Windows của mình, thì những tinh chỉnh Group Policy Editor này sẽ tăng cường bảo mật cho PC.

Lưu ý: Group Policy Editor không có sẵn trong phiên bản Windows Home; bạn sẽ cần Windows Pro hoặc Enterprise. Bạn có thể tìm kiếm “group policy” trong tìm kiếm Windows và nhấp vào Edit group policy để mở. Nếu nó không xuất hiện, bạn có thể phải bật Group Policy Editor.

Bảo mật User Account Control (UAC)

UAC là một tính năng bảo mật của Windows nhằm ngăn chặn những thay đổi trái phép đối với PC. Group Policy Editor cung cấp nhiều tinh chỉnh có thể kiểm soát hành vi UAC.

Trong Group Policy Editor, đi tới Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options.

Cuộn xuống phía dưới và điều chỉnh cài đặt policy cho từng mục, như được liệt kê bên dưới, để bảo mật tốt hơn:

  • User Account Control: Admin Approval Mode for the built-in Administrator account: Enabled
  • User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop: Disabled
  • User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode: Prompt for consent
  • User Account Control: Behavior of the elevation prompt for standard users: Prompt for credentials
  • User Account Control: Detect application installations and prompt for elevation: Enabled
  • User Account Control: Only elevate executable files that are signed and validated: Enabled
  • User Account Control: Only elevate UIAccess applications that are installed in secure locations: Enabled
  • User Account Control: Run all administrators in Admin Approval Mode: Enabled
  • User Account Control: Switch to the secure desktop when prompting for elevation: Enabled
  • User Account Control: Virtualize file and registry write failures to per-user locations: Enabled
Cải thiện bảo mật UAC
Cải thiện bảo mật UAC

Sau khi áp dụng các chỉnh sửa ở trên, hãy phê duyệt lời nhắc UAC thường xuyên hơn và có thể cung cấp thông tin xác thực nhưng nó sẽ cải thiện tính bảo mật tổng thể.

Bảo mật mật khẩu

Theo mặc định, yêu cầu mật khẩu tài khoản người dùng Windows khá nhẹ nhàng. Sử dụng Local Group Policy Editor, bạn có thể thực thi các quy tắc nhằm đảm bảo bảo mật mật khẩu.

Đi tới Computer Configuration -> Windows Settings -> Security Settings -> Account Policies -> Password Policy trong Group Policy Editor.

Điều chỉnh các policy sau:

  • Enforce password history: 8 trở lên
  • Maximum password age: Khoảng 30 - 60 ngày
  • Minimum password length: 12 trở lên
  • Password must meet complexity requirements: Enabled

Vô hiệu hóa tài khoản khách

Mặc dù tài khoản khách Windows bị tắt theo mặc định nhưng ai đó có thể bật tài khoản khách bằng các phương pháp khác nhau và có quyền truy cập vào dữ liệu nhạy cảm của bạn. Tài khoản khách cung cấp cho mọi người quyền truy cập miễn phí vào PC. Mặc dù nó cung cấp quyền truy cập hạn chế nhưng vẫn có thể bị phần mềm độc hại khai thác hoặc bạn có thể vô tình chia sẻ dữ liệu với nhóm Everyone. Tốt hơn hết là tắt hoàn toàn nó trong Group Editor Policy.

Di chuyển đến Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options và vô hiệu hóa Accounts: Guest account status.

Vô hiệu hóa tài khoản khách
Vô hiệu hóa tài khoản khách

Kích hoạt policy kiểm tra tài khoản

Cho phép kiểm tra tài khoản trong Group Policy Editor để ghi lại thông tin bảo mật quan trọng, như sửa đổi file, thay đổi cài đặt bảo mật, số lần đăng nhập, v.v... Bạn có thể sử dụng thông tin này để theo dõi các thay đổi đối với PC của mình nhằm đảm bảo không có truy cập trái phép hoặc cấu hình không phải của người dùng .

Trong Group Policy Editor, đi tới Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy. Đối với tất cả các tùy chọn này ở đây, hãy bật kiểm tra SuccessFailure.

Kích hoạt kiểm tra tài khoản
Kích hoạt kiểm tra tài khoản

Bạn có thể xem nhật ký được tạo trong Windows Event Viewer. Nhập “event viewer” trong tìm kiếm của Windows và nhấp vào Event Viewer. Đi tới Windows Logs -> Security để xem nhật ký.

Xóa bộ nhớ ảo khi tắt máy

Pagefile (bộ nhớ ảo) cần thiết để PC hoạt động trơn tru. Tuy nhiên, nó giữ một bản ghi dữ liệu bị phân mảnh và có thể bị đánh cắp bởi ai đó có quyền truy cập và công cụ phù hợp. Nếu bạn không muốn gặp bất kỳ rủi ro nào, hãy tự động xóa nó bất cứ khi nào bạn tắt PC.

Đi tới Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options và kích hoạt policy Shutdown: Clear virtual memory pagefile.

Xóa bộ nhớ ảo khi tắt máy
Xóa bộ nhớ ảo khi tắt máy

Hãy nhớ rằng việc kích hoạt policy này sẽ làm chậm quá trình tắt máy một chút.

Quản lý cài đặt khóa tài khoản

Để ngăn chặn các nỗ lực truy cập trái phép, Windows có policy khóa tài khoản nhằm khóa tài khoản sau nhiều lần đăng nhập không chính xác. Tuy nhiên, bạn có thể muốn điều chỉnh các policy của Group Policy Editor có liên quan theo nhu cầu bảo mật của mình.

Để truy cập các policy khóa, hãy điều hướng đến Computer Configuration -> Windows Settings -> Security Settings -> Account Policies -> Account Lockout Policy.

Bạn sẽ tìm thấy 4 policy khóa để điều chỉnh. Tinh chỉnh chúng theo nhu cầu. Các giá trị đề xuất bên dưới cố gắng đạt được sự cân bằng giữa khả năng bảo vệ mạnh mẽ và trải nghiệm người dùng mượt mà:

  • Account lockout duration: 30 minutes
  • Account lockout threshold: 3 invalid logon attempts
  • Allow Administrator account lockout: Enabled
  • Reset account lockout counter after: 30 minutes
Điều chỉnh policy khóa tài khoản
Điều chỉnh policy khóa tài khoản

Mặc dù tất cả các cài đặt policy nhóm này có thể gây ra một số xác nhận bổ sung (như lời nhắc UAC để mở Task Manager), nhưng việc tăng cường bảo mật sẽ vượt qua sự bất tiện nhỏ. Nếu không thích những thay đổi, hãy reset Group Policy Editor.

Thứ Ba, 28/05/2024 07:30
51 👨 432
0 Bình luận
Sắp xếp theo
    ❖ Giải pháp bảo mật