ZEDA.nl

ZEDA.nl

Tips & Tweaks voor Windows

Gebruikerswaardering:  / 1
ZwakZeer goed 

Security Quick Wins

Vandaag wil ik enkele laagdrempelige manieren bespreken om de beveiliging van je Windows infrastructuur te verhogen. Misschien heb je al geavanceerde systemen ingericht zoals firewalls, patch management systemen of zelfs encrypted netwerk verkeer. Maar heb je ook gedacht aan de simpelere instellingen?

Dit artikel beschrijft een top 5 van quick wins.

1. Veilige service accounts

Er zijn applicaties die service account vereisen. Denk om misbruik van deze accounts te voorkomen aan de volgende punten:

  • Zorg ervoor dat service accounts alleen die rechten hebben die ze nodig hebben. Waarschijnlijk is er geen enkele reden om ze lid te maken van de Administrators groep.
  • Richt groepen in die rechten ontnemen, zoals Deny Logon Locally en groepen die rechten op gebruikersbestanden ontnemen. Maak de serviceaccounts zo mogelijk lid van deze groepen.
  • Wachtwoorden van service accounts wijzigen waarschijnlijk zo goed als nooit en worden zelden ingetypt. Er is dus geen enkele reden om geen belachelijk sterk wachtwoord te gebruiken (en op een veilige plaats op te slaan).
  • Gebruik Managed Service Accounts indien mogelijk.
  • Wees je er van bewust dat als je domein accounts als service account gebruikt, het opstarten van services kan mislukken. Het is dus niet verstandig services zoals je virusscanner onder een dergelijk account te draaien.

2. Ken geen rechten toe aan Domain Users of Everyone

Maak specifieke groepen aan om rechten toe te kennen en gebruik niet de build-in groepen Domain Users of Everyone. De kans bestaat dat je op een dag No Access gebruikers nodig hebt.

3. GPO: Firewall Settings

Gebruik een policy om de Windows firewall aan te zetten en er voor te zorgen dat remote toegang tot computers alleen mogelijk is als deze aan het domein gekoppeld is. Dit geldt met name voor laptops.

In group policy editor, ga naar:

Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security

Lees gedetailleerde instructies voor het configureren in het artikel Windows Firewall GPO's.

4. GPO: Vervang de Lokale Administrator

Het administrator account is de meeste favoriete om aan te vallen, omdat deze altijd aanwezig is en altijd dezelfde SID heeft. Hierom heb ik een Group Policy gemaakt met 3 settings:

Disable het Administrator Account

In group policy editor, ga naar:

Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Accounts: Administrator account status

Hernoem het Administrator Account

In group policy editor, ga naar:

Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Accounts: Rename administrator account

Maak een emergency administrator account

Omdat je er ooit spijt van krijgt als je helemaal geen administrator account hebt, maak ik een emergency administrator aan.

In group policy editor, ga naar:

Computer Configuration -> Preferences -> Control Panel Settings -> Local Users and Groups

De nieuw aangemaakte EMAD gebruiker voeg ik toe aan de Administrators groep d.m.v. restricted groups zoals uitgelegd in de volgende Quick Win.

5. GPO: Restricted Groups

Hoewel iedere Windows computer zijn eigen lokale groepen heeft zijn deze toch makkelijk te beheren door gebruik te maken van restricted groups in Group Policy’s.

Je vindt deze settings in Group Policy Editor onder:

Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Restricted Groups

Dit voorbeeld laat de restricted groepen zien die ik aan alle werkstations toeken.

Je ziet dat ik de meeste groepen geforceerd leeg maak. De lidmaatschap tot de groepen Administrators en Remote Desktop Users wordt beperkt tot de Domain Admins en 1 specifieke domein groep. Op deze manier kun je de rechten makkelijk op domeinniveau uitdelen. je ziet ook dat ik de lokale gebruiker EMAD toevoeg (zie vorige Quick Win).

Dit artikel is van toepassing op: Windows 2008, Windows 2012, Windows 7, Windows 8.

ZEDA.nl

Tips & Tweaks for Windows

Meest gelezen:

Ad:

Tools:

EU e-Privacy Directive

Deze site gebruikt cookies voor analytics, advertenties en voor functionele doeleinden. Wilt u de cookies toestaan?

You have declined cookies. This decision can be reversed.

You have allowed cookies to be placed on your computer. This decision can be reversed.