Det är en utmaning för organisationer att hantera en enorm IT-infrastruktur och samtidigt säkerställa säkerhet, produktivitet och en enhetlig användarupplevelse. Med grupprincip har nätverksadministratörer ett integrerat verktyg för att specificera hanterade konfigurationer för dina användare och datorer i Active Directory (AD). Med några få justeringar av grupprincipinställningarna kan du reglera användarnas arbetsmiljö och hantera operativsystem och program på ett smidigt sätt.
Användare kan göra omfattande ändringar i systeminställningarna med hjälp av kontrollpanelen, och dessa ändringar kan leda till säkerhetsproblem. För att uppnå en säkrare affärsmiljö bör du begränsa åtkomsten till kontrollpanelen till att endast gälla för privilegierade användare. Åtkomst till kontrollpanelen kan begränsas av att aktivera principen Förbjud åtkomst till kontrollpanels- och PC-inställningar.
User Configuration > Administrative Templates > Control PanelKommandotolken i Windows används för att köra kommandon som utför avancerade administrativa funktioner. I händerna på illasinnade användare kan kommandotolken dock användas för att äventyra systemets integritet. För att förhindra skada på nätverket bör du begränsa åtkomsten till kommandotolken med hjälp av principen Förhindra åtkomst till kommandotolken.
User Configuration > Administrative Templates > SystemFlyttbara enheter medför risk för virus och skadlig kod, och om användarna kan ansluta dem till sina datorer kan hela nätverket infekteras. Flyttbara enheter gör det också möjligt för illasinnade aktörer att ta bort stora mängder data på kort tid. Du kan förhindra användningen av flyttbara enheter genom att aktivera Alla flyttbara lagringsklasser: Neka alla åtkomstprinciper.
User Configuration > Administrative Templates > System > Removable Storage AccessNär användare installerar oönskad programvara på sina system leder det till rensning, vilket är en komplicerad underhållsprocess för IT-administratörer. Om du vill hindra användare från att installera programvara aktiverar du principen Förbjud installation av användare.
Computer Configuration > Administrative Templates > Windows Components > Windows InstallerDet inbyggda gästkontot gör det möjligt för användare att logga in på ett Windows-system utan att behöva ett lösenord för autentisering. Detta gör det möjligt för illasinnade aktörer att logga in på dina servrar och domänkontrollanter som gäst för att få åtkomst till dina resurser. Även om gästkonton är inaktiverade som standard kan hackare enkelt åsidosätta standardinställningarna och på så sätt skapa stora problem på ditt nätverk. Konfiguration av Konton: Principen Status på gästkonto säkerställer att försök från illasinnade aktörer blockeras.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security OptionsWindows lagrar lösenordshashar för LAN-hanterare (LM) i den lokala SAM-databasen (Security Accounts Manager). Dessa LM-hasahar är svaga och kan enkelt krypteras till sitt klartextformat av angripare. För att undvika detta kan du förhindra att Windows lagrar LM-hashar genom att aktivera Nätverkssäkerhet: Lagra inte hashvärde för LAN-hanterare vid nästa lösenordsändringsprincip.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security OptionsTvingade systemomstarter kan vara irriterande under Windows-uppdateringar. Omstarter avbryter ditt arbete och kan leda till att osparade objekt går förlorade. Aktivera principen Ingen automatisk omstart för inloggade användare vid schemalagda installationer av automatiska uppdateringar för att förhindra Windows från att starta om automatiskt.
Computer Configuration > Administrative Templates > Windows Component > Windows UpdateInställningar för grupprincipobjekt (GPO) ska endast vara åtkomliga för IT-administratörer. Alla obehöriga ändringar av dessa inställningar tyder på ett säkerhetsbrott. Att spåra alla ändringar till dina GPO-inställningar genom att definiera principerna Granska åtkomst till Directory Service och Granska ändringar till Directory Service leder till ett säkrare nätverk.
Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies/DS AccessGenom att konfigurera grupprincipinställningar kan du behålla kontrollen över nätverket, och det är viktigt för nätverkssäkerheten att hålla koll på principändringar och kritiska inställningar. ADAudit Plus i ManageEngine, en UBA-driven (analys av användarbeteende) lösning för AD-granskning, ger dig detaljerade granskningsrapporter om dina grupprincipinställningar. Dessa rapporter visar dig med några få klick vilken GPO-inställning som har ändrats, när, varifrån och av vem.
Ladda ner en 30-dagars kostnadsfri provversion.