Përdorni secpol.msc për të forcuar sigurinë e Windows-it: një udhëzues praktik dhe rregullime thelbësore

MundoWin » Tutorials » Përdorni secpol.msc për të forcuar sigurinë e Windows-it: një udhëzues praktik dhe rregullime thelbësore

Windows fsheh mjete shumë të fuqishme që, kur përdoren siç duhet, rrisin ndjeshëm mbrojtjen e sistemit; ndër to, Direktiva e Sigurisë Vendore i arritshëm me secpol.msc Ai dallohet për aftësinë e tij për të imponuar rregulla të qarta mbi fjalëkalimet, llogaritë dhe auditimin.

Nëse doni të kontrolloni se kush hyn, si krijohen fjalëkalimet dhe çfarë ndodh pas disa përpjekjeve të dështuara, kjo konsolë ju jep kontrollin; plus, ju lejon të forconi sigurinë pa instaluar asgjë (për shembull, blloko Windows për të rritur sigurinë) dhe me ndryshime të menjëhershme në vetë ekipin.

Cila është Politika e Sigurisë Lokale (secpol.msc)

Politika e Sigurisë Lokale — e quajtur edhe LSP ose Politika e Sigurisë Lokale — është një konsol MMC ku mund të përcaktoni Politikat e fjalëkalimeve, bllokimi i llogarisë, caktimi i të drejtave të përdoruesit dhe opsionet e sigurisë; fushëveprimi i tij është lokal, përveç nëse kompjuteri i përket një domeni dhe merr GPO që mbizotërojnë.

Ndryshe nga Redaktori i Politikave të Grupit (gpedit.msc), secpol.msc përqendrohet në cilësimet e sigurisë, kështu që Është mënyra më e drejtpërdrejtë për të përshtatur masat kritike siç është kompleksiteti minimal ose pragu bllokues për përpjekjet e dështuara.

Si të hapni secpol.msc në Windows

Ka disa mënyra për të hapur konsolën; zgjidhni atë që është më e rehatshme për ju dhe mbani mend se Është një mjet i integruar në botimet Pro, Education dhe Enterprise..

• Kërkimi në Menynë Start: Shkruani Security Policy ose secpol.msc dhe hapni rezultatin përkatës për akses të drejtpërdrejtë.
• Kutia e ekzekutimit (Win + R): shtypni Win + R, shkruani secpol.msc dhe konfirmoni me Enter për të hapur menjëherë konsolën.
• Paneli i kontrollit: hapni Panelin e Kontrollit, kaloni te Ikona të mëdha dhe hyj Mjetet e Windows > Politika e Sigurisë Lokale për ta ngarkuar atë në mënyrën klasike.
• Nëpërmjet gpedit.msc: Nëse preferoni redaktorin e politikave, shkoni te Konfigurimi i kompjuterit > Cilësimet e Windows > Cilësimet e sigurisë > Politikat e llogarisë, ku pasqyrohen të njëjtat kategori kryesore.

E rëndësishme: Nëse nuk hapet ose shihni një gabim, ndoshta po përdorni Windows Home, i cili nuk përfshin secpol.msc; për të konfirmuar, shtypni Win + R, shkruani winver dhe kontrolloni botimin e treguar në dritare.

Politikat e Llogarisë: Fjalëkalimet dhe Bllokimi

Brenda Politikave të Llogarisë do të gjeni dy blloqe vendimtare; të dyja janë përgjegjëse për rrit ndjeshëm nivelin e sigurisë kundër sulmeve me forcë brutale dhe fjalëkalimeve të dobëta.

Politikat e fjalëkalimeve

hap Politikat e Llogarisë > Politika e Fjalëkalimit për të konfiguruar se si duhet të jenë fjalëkalimet dhe sa shpesh duhet të rinovohen; këtu shënoni vijën e kuqe që Përdoruesit nuk do të jenë në gjendje të kalojnë.

• Fjalëkalimi duhet të përmbushë kërkesat e kompleksitetit: Të detyron të përdorësh kombinime me shkronja të mëdha, të vogla, numra dhe karaktere speciale, dhe shmang ngjashmëritë me emrin e llogarisë; kjo kuti është shtylla që i ndërlikon më shumë sulmet e automatizuara.
• Kërko historikun e fjalëkalimeve: parandalon ripërdorimin e fjalëkalimeve të fundit N; përcaktoni, për shembull, 20 hyrje në mënyrë që Askush nuk “riciklon” një çelës të vjetër që mund të kishte rrjedhur.
• Gjatësia minimale e fjalëkalimit: rrit numrin minimal të karaktereve; megjithëse kompleksiteti aktiv vendos 6 si bazë, synoni për 10-12 ose më shumë për të siguruar qëndrueshmëri të vërtetë.
• Vlefshmëria maksimale e fjalëkalimit: Përcakton se për sa ditë skadon një çelës (42 si parazgjedhje) për të detyruar ndryshimin e tij periodikisht; rinovojeni atë zvogëlon dritaren e ekspozimit në rast të rrjedhjeve.
• Mosha minimale e fjalëkalimit: shmangni ndryshimet e shumëfishta të lidhura me njëra-tjetrën që përpiqen të anashkalojnë historinë; nëse kërkoni fleksibilitet, mund të vazhdoni Ditë 0 në mënyrë që të mos pengohen rregullimet legjitime.
• Ruani fjalëkalimet me enkriptim të kthyeshëm: Mos e aktivizoni përveç nëse përputhshmëria është absolutisht e nevojshme, pasi ekuivalent me ruajtjen pothuajse të thjeshtë të tekstit dhe dobëson sistemin.

Direktiva e Bllokimit të Llogarisë

En Politikat e Llogarisë > Politika e Bllokimit të Llogarisë Ju përcaktoni se si reagon sistemi kur ka përpjekje të dështuara; konfiguruar siç duhet, ndal sulmet me forcë brutale që në fillim.

• Pragu i bllokimit të llogarisë: Numri i përpjekjeve të dështuara të lejuara para bllokimit; vendosni një vlerë të kujdesshme për të balancuar sigurinë dhe përdorshmërinë.
• Kohëzgjatja e bllokimit të llogarisë: Koha që llogaria mbetet e bllokuar; me 0, vetëm një administrator mund ta zhbllokojë atë, gjë që është më kufizuese.
• Rivendos bllokimin e llogarisë pas: dritarja kohore për të rivendosur numëruesin e dështimeve; rregulloni këtë periudhë për të shmangur përpjekjet e shpërndara me kalimin e kohës.

Pse të forconi fjalëkalimet me politika

Fjalëkalimet e dobëta mbeten një pikë hyrjeje e preferuar për sulmuesit; me politika të përcaktuara mirë, sistemi ju pengon të pranoni fjalëkalime të rrezikshme dhe ju kujton kur t'i ndryshoni ato.

avantazh

• Kompleksiteti dhe gjatësia: duke kërkuar larmi personazhesh dhe madhësi minimale, kombinime të shkurtra triviale dhe Ti ndalon forcën brutale.
• Regjistro: Ju shmangni përsëritjen e fjalëkalimeve dhe anuloni efektin "kthim te i njëjti fjalëkalim i vjetër", i cili zbut rreziqet pas rrjedhjeve.
• Brava: Me pragje dhe kohëmatës, i zvogëloni përpjekjet masive të hamendësimit të fjalëkalimeve në zero.
• Rinovimi dhe njoftimet: Ju i rifreskoni çelësat në mënyrë ciklike dhe mund të konfiguroni njoftimet para skadimit për të mos u kapni gishtat.
• Ruajtja e sigurt: Fjalëkalimet trajtohen me mekanizma të përshtatshëm enkriptimi, duke zvogëluar ekspozimin e brendshëm.

Disavantazhet dhe konsideratat

• Kompleksiteti i perceptuar: Nëse rregullat janë shumë të rrepta, disa përdorues frustrohen dhe përfundojnë duke krijuar modele të parashikueshme (p.sh., duke shtuar një “!” në fund).
• Harresa dhe mbështetja: Ndryshimet e shpeshta rrisin rrëzimet dhe tiketat e mbështetjes, diçka që duhet të jetë të jetë i planifikuar në mënyrë operative.
• compatibility: Disa programe të vjetra nuk pranojnë fjalëkalime komplekse, prandaj këshillohet që validoni aplikacionet e trashëguara.
• Vetëbesimi i tepërt: Të kesh politika nuk është "siguri totale"; pa arsim dhe 2FA, vrimat ende ekzistojnë.

Për sa i përket rrezikut, fjalëkalimet vetëm alfanumerike mund të deshifrohen brenda sekondash me GPU-të moderne; duke u rritur në gjatësi dhe larmi, Ti qëllon kombinime derisa forca brutale të bëhet e pazbatueshme. brenda afateve të arsyeshme.

Në mjedise me kërkesa shumë të larta, kompleksiteti mund të zgjatet me një Passfilt.dll i personalizuar për të bllokuar modele specifike ose për të kontrolluar fjalorët; kini kujdes, sa më i ngurtë të jetë rregulli, aq më shumë ka gjasa që rrit ngarkesën mbështetëse.

Si duhet të jetë një fjalëkalim i mirë

Një çelës i fortë duhet të jetë unike për shërbim për të shmangur efektet domino: nëse vjedhin një, nuk do të jenë në gjendje ta testojnë me sukses atë te të tjerat.

Shmangni të dhënat personale dhe fjalët e fjalorit; është e preferueshme që të jenë i rastësishëm dhe me një përzierje shkronjash të mëdha, të vogla, numrash dhe simbolesh, pa modele të dukshme.

Gjatësia ka rëndësi: çdo karakter shtesë shumëzon kombinimet; synon të 12 ose më shumë karaktere nëse është e mundur, pa sakrifikuar menaxhueshmërinë.

Konfiguroni politikat e fjalëkalimeve hap pas hapi

Qasja në secpol.msc > Politikat e Llogarisë > Politika e Fjalëkalimit dhe modifikoni çdo parametër sipas objektivave tuaja të sigurisë.

• Aktivizoni kompleksitetin: Aktivizo opsionin "Fjalëkalimet duhet të përmbushin kërkesat e kompleksitetit" për të kërkuar një shumëllojshmëri llojesh karakteresh dhe për të shmangur ngjashmëritë e emrave.
• Rrit gjatësinë minimale: shkon nga 6 në 10-12 si bazë, dhe nëse kritikaliteti e justifikon atë, rritet edhe më shumë.
• Konfiguro historikun: futni një vlerë si 20 në mënyrë që askush të mos mundet përsërit fjalëkalimet e fundit.
• Rregulloni datat e skadimit: Përcaktoni një vlefshmëri maksimale (p.sh., 30-60 ditë) dhe nëse doni të shmangni "kalimet" e fjalëkalimeve për të anashkaluar historikun, vendosni një minimum të arsyeshëm.
• Çaktivizo enkriptimin e kthyeshëm: Mbajeni këtë opsion të çaktivizuar përveç nëse përputhshmëria me protokollet e vjetra është e pashmangshme.

Nëse preferoni Redaktorin e Politikave të Grupit, shkoni te gpedit.msc > Konfigurimi i Kompjuterit > Cilësimet e Windows > Cilësimet e Sigurisë > Politikat e Llogarisë > Politika e Fjalëkalimit dhe aplikoni të njëjtat ndryshime; në domen, rregulli i GPO-ve të kontrolluesit të domenit.

Verifikoni që konfigurimi juaj funksionon

Shko te Fillimi > Cilësimet > Llogaritë > Opsionet e hyrjes dhe krijo një fjalëkalim që nuk i përmbahet rregullave tuaja (për shembull, 12345); Windows do të shfaqë një paralajmërim që tregon se politika është refuzuar.

Ky është testi më i mirë i tymit: nëse sistemi parandalon fjalëkalime të dobëta, politikat tuaja aplikohen në mënyrë korrekte dhe përdoruesit do të duhet të përshtaten me to.

Ndryshoni fjalëkalimin tuaj në Windows 10 dhe Windows 11

Në Windows 10, shkoni te Start > Settings > Accounts > Sign-in options, zgjidhni Fjalëkalimi > Ndrysho dhe përfundoni verifikimin e llogarisë për të përcaktuar fjalëkalimin e ri.

Në Windows 11, rruga është e ngjashme: Fillimi > Cilësimet > Llogaritë > Opsionet e hyrjes dhe pastaj Fjalëkalimi > NdryshoNëse përdorni një PIN, mund ta përditësoni atë edhe nga i njëjti ekran.

Rinovimi i kredencialeve tuaja me një politikë të vlefshme siguron që fjalëkalimi juaj i ri përmbushin gjatësinë, kompleksitetin dhe historinë, duke forcuar aksesin lokal.

Siguri plotësuese: përtej fjalëkalimit

Shtresa e dytë bën ndryshimin: aktive vërtetim me dy faktorë (2FA/MFA) sa herë që të jetë e mundur (email alternativ, SMS ose aplikacione si Authenticator), veçanërisht për llogaritë online.

Në skenarë të ndjeshëm, përdorni certifikata dixhitale (karta ose FNMT) Të nënshkruash aksesin dhe të caktosh përgjegjësi shton gjurmueshmërinë dhe ngre nivelin e sigurisë.

Për kërkesa ekstreme, filtri i fjalëkalimeve nga Passfilt.dll i personalizuar ju lejon të mohoni çelësa ose modele specifike dhe të kryeni kontrolle fjalori, me koston operative përkatëse.

Politika shtesë në gpedit që forcojnë Windows-in

Përtej fjalëkalimeve, gpedit.msc ofron rregullime që forcojnë kontrollin dhe sigurinë. cilësimet e sigurisë; i përdorur mirë, plotësojnë mbrojtjen e imponuar nga secpol.msc.

• Kufizo Panelin e Kontrollit/Cilësimet: Parandalon ndryshimet e padëshiruara në pajisjet e përbashkëta ose të shkollës.
• Parandaloni vijën e komandës: Bllokon ekzekutimin e CMD dhe .bat/.cmd për të zvogëluar sipërfaqen e sulmit.
• Çaktivizo instaluesin e Windows: Kufizon instalimet e paautorizuara të Win32, që përmbajnë malware dhe bloatware.
• Shmangni rinisjet e detyruara nga Windows Update: shtyn rinisjen ndërsa je i kyçur, duke i dhënë kontroll përdoruesit.
• Blloko përditësimet automatike të shoferit: Rregullon drajverët specifikë kur versioni gjenerik dështon.
• Çaktivizo disqet e lëvizshme: lexim/shkrim i shkurtër në media të lëvizshme, një vektor klasik i infeksionit.
• Fshih njoftimet: Zvogëloni shpërqendrimet dhe personalizoni shiritin e detyrave bazuar në përdorim.
• Parandaloni OneDrive: e dobishme nëse organizata përdor një ofrues tjetër të cloud-it ose dëshiron minimizo ekspozimin.
• Fiket Windows Defender (nëse përdorni një suitë tjetër): shmang konfliktet kur ekziston një zgjidhje e jashtme e sigurisë.
• Skripte gjatë nisjes/fikjes: Automatizon detyrat administrative gjatë nisjes, mbylljes dhe hyrjes/daljes.

Mjedise korporative: AD, GPO dhe aplikacione të palëve të treta

Në domen, politikat menaxhohen nga Kontrollues domeni me GPMC ose nëpërmjet MDM-së, dhe ato kanë përparësi ndaj cilësimeve lokale; dokumentojnë qartë rendin e përparësisë.

Nëse integroni aplikacione të jashtme (p.sh. Citrix), mund të ketë validimi kundrejt Active Directory me përdoruesit e pasqyruar në aplikacion; kontrolloni që të mos ketë konflikte midis politikës së vetë aplikacionit dhe asaj të trashëguar nga AD.

Kur ka çekuilibra, ndonjëherë mjafton të përditëso profilin ose ripajis qasjenEdhe pse dështimi i sistemit është i rrallë, faktori njerëzor shpesh shpjegon konfuzionin midis shtresave të autentifikimit.

Praktikat e mira për politika "neutrale" dhe të përdorshme

Hartimi i standardeve kërkuese, por të arritshme, është thelbësor: një politikë e pamundur shtyn drejt shkurtesave të pasigurta dhe ngop mbështetjen.

• Gjatësi dhe kompleksitet i arsyeshëm: Kërko shumëllojshmëri, por shmang kërkesat kapriçioze që nuk ofrojnë siguri të vërtetë.
• Ndalimi i të dhënave personale: Fshihni emrat, datat dhe modelet e parashikueshme për të ngre nivelin.
• Periudhat e balancuara të ndryshimit: përcaktoni datat e skadimit që nuk inkurajojnë variacione të vogla (p.sh. "T1", "T2"...).
• Trajnim dhe përkujtesa: i udhëzon përdoruesit me shembuj dhe njoftime skadimi për të zvogëluar incidentet.
• 2FA si një rrjet sigurie: kombinon një fjalëkalim të fortë me një faktor të dytë për të forcuar aksesin.
• accessibility: Merr në konsideratë nevojat e veçanta dhe kufizimet teknike në mënyrë që politika funksionon për të gjithë.

Kur rregulloni këto rregulla, mbështetuni në politikat GPO (domeni) ose lokale (kompjuterë individualë) dhe shoqërohet me edukimin në praktikat e mira: fjalëkalime unike, menaxherë çelësash dhe ndarje zero kredencialesh.

Me secpol.msc i keni të gjitha bazat e mbuluara: fjalëkalime të forta, skadime të arsyeshme dhe bllokim në rast dështimi. Nëse e përshtatni edhe gpedit.msc për të kufizuar sipërfaqen e sulmit dhe përdorni 2FA/AD aty ku është e përshtatshme, Dritaret janë dukshëm më të blinduara kundër gabimeve njerëzore dhe sulmeve të automatizuara.