Was kann getan werden, um den Zugriff auf Computer oder Netzwerke zu schützen?
Es gibt eine Vielzahl an Möglichkeiten den ungewollten Zugriff auf die Infrastruktur zu schützen. Zur besseren und zentralisierten Steuerung setze ich dazu auf die Gruppenrichtlinien.
Die meisten Punkte lassen sich über Gruppenrichtlinien steuern und umsetzen.
Die Auflistung erfolgt nach Stichpunkten:
- Beschränken und schützen von hochprivilegierten Domänenkonten
- Setzen von starken und komplexen Passwörtern
- Verwendung von 2 Domänenkonten
- Beschränkung von Benutzerrechten
- Domänenkontoanmeldung beschränken
- Domänenkonto als vertraulich und nicht delegierbar setzen
- Domänen-Standardbenutzer aus der lokalen Administratorgruppe entfernen
- Sicherstellen das Anwendungen als Domänen-Standardbenutzer ausgeführt werden
- Sicherstellen, das neue Software und Updates ohne Domänen-Admin-Rechte bereitgestellt werden
- Lokale Konten beschränken
- Lokalen Administrator umbenennen und deaktivieren
- Nutzung verschiedener Passwörter für lokale und Domänenkonten
- Benutzerrechte auf das minimale einschränken
- Den Zugriff auf das Netzwerk einschränken
- Passwörter regelmäßig ändern
- Eingehenden Datenverkehr mit der Windows Firewall einschränken
- Konfiguration vertrauenswürdiger Quellen
- Surfen nur mit Standard-Domänenkonten erlauben
- Benutzerkontensteuerung auf höchster Ebene ausführen
- Privilegierten Domänenkonten kein Postfach zuweisen
- WSUS als Updatequelle einsetzen
- Die Anzahl der privilegierten Konten auf die Gruppen; Organisations-Admins, Schema-Admins, Domänen-Admins, Administratoren, DNS-Admins, DHCP-Admins, Gruppenrichtlinien-Ersteller, Sicherungs-Operatoren und Kontenoperatoren beschränken
- Anwendungen auf Domänen-Controllern reduzieren
- Anonymen Zugriff verhindern
- LM-Hashes entfernen
- LM-Hash nicht speichern
- LM und NTLM abschalten und verweigern
- Dienstkonten dürfen sich nicht an Arbeitsstation und Servern anmelden dürfen
- Passwort von Dienstkonten darf nur ein Administrator zurücksetzen
- Nutzung von Group Managed Services Accounts für Tasks und Services
- Administratoren sollten das Passwort alle 90 Tage ändern
- Standardbenutzer sollten das Passwort alle 60-180 Tage ändern
- Dienstkonten sollten das Passwort alle 180-360 Tage ändern
- Physische Sicherheit
Windows Passwörter und damit die Computer und das Netzwerk schützen