Group Policy ข้อใดบ้าง
ช่วยเพิ่มความปลอดภัยให้องค์กร
การเพิ่มความปลอดภัยให้กับองค์กรโดยใช้ Group Policy (GPO) ในระบบ Windows Server เป็นแนวทางที่สำคัญในการจัดการ และควบคุมการตั้งค่าความปลอดภัยของเครื่องลูกข่ายในองค์กร ข้อกำหนดที่ควรตั้งค่าใน Group Policy เพื่อเพิ่มความปลอดภัย มีดังนี้
1. กำหนดนโยบายรหัสผ่าน (Password Policy)• Enforce password history -> บังคับไม่ให้ตั้งรหัสผ่านซ้ำของเดิม
• Maximum password age -> กำหนดบังคับอายุของรหัสผ่าน
• Minimum password age -> กำหนดให้ต้องใช้รหัสผ่านอย่างน้อยกี่วันถึงเปลี่ยนได้
• Minimum password length -> กำหนดความยาวขั้นต่ำของรหัสผ่าน
• Password must meet complexity requirements -> ต้องมีตัวอักษรพิมพ์ใหญ่, พิมพ์เล็ก, ตัวเลข และสัญลักษณ์
• Store passwords using reversible encryption -> ควรตั้งค่าเป็น Disabled เพื่อไม่ให้เก็บรหัสผ่านในรูปแบบที่ถอดรหัสได้
-------------------------------------------------
2. บัญชีผู้ใช้และล็อกอิน (Account & Login Security)• Account lockout threshold -> ล็อกบัญชีหลังจากใส่รหัสผิดกี่ครั้ง
• Account lockout duration -> เวลาล็อกบัญชีก่อนปลดล็อกอัตโนมัติ
• Reset account lockout counter after -> กำหนดเวลาล้างค่านับการพิมพ์ผิด
• Interactive logon: Message text for users attempting to log on -> แสดงข้อความแจ้งเตือนเกี่ยวกับนโยบายความปลอดภัยก่อนเข้าสู่ระบบ
-------------------------------------------------
3. นโยบายการเข้าถึงระบบ (Access Control)• Deny log on locally -> ป้องกันบัญชีที่ไม่ต้องการเข้าสู่ระบบโดยตรง
• Deny log on through Remote Desktop Services -> จำกัดบัญชีที่ไม่ควรเข้าผ่าน RDP
• Limit local administrator account use of RDP -> ป้องกันการใช้บัญชี Administrator เพื่อเข้าสู่ระบบผ่าน RDP
• Enable Secure Boot & TPM -> เปิดใช้การบูตแบบปลอดภัยและโมดูลรักษาความปลอดภัย (หากฮาร์ดแวร์รองรับ)
-------------------------------------------------
4. นโยบายควบคุมแอปพลิเคชัน (Application & Software Control)• AppLocker -> กำหนดว่าซอฟต์แวร์ใดสามารถรันได้ในระบบ
• Block legacy authentication protocols -> ปิดใช้งานโปรโตคอลรับรองความถูกต้องที่ล้าสมัย
• Prevent users from installing software -> ปิดกั้นผู้ใช้จากการติดตั้งโปรแกรมโดยไม่ได้รับอนุญาต
-------------------------------------------------
5. นโยบายการเข้าถึงข้อมูล (Data Protection & Encryption)• Enable BitLocker for system drives -> เปิดใช้งาน BitLocker เพื่อเข้ารหัสดิสก์
• Prevent users from turning off BitLocker -> ป้องกันผู้ใช้จากการปิดการเข้ารหัส
• Encrypt File System (EFS) Policy -> บังคับให้เข้ารหัสไฟล์ที่สำคัญ
-------------------------------------------------
6. นโยบายเกี่ยวกับอุปกรณ์จัดเก็บข้อมูล (Removable Media & Device Control)• Prevent installation of removable devices -> ปิดการใช้งานอุปกรณ์ USB หรือกำหนดให้เฉพาะอุปกรณ์ที่อนุญาต
• Deny write access to removable drives not protected by BitLocker -> ป้องกันการเขียนข้อมูลลง USB ที่ไม่มี BitLocker
• Restrict use of external storage devices -> กำหนดสิทธิ์การใช้แฟลชไดรฟ์หรืออุปกรณ์พกพา
-------------------------------------------------
7. นโยบายอัปเดตและแพตช์ (Windows Update & Patch Management)• Configure Automatic Updates -> บังคับให้อัปเดต Windows อัตโนมัติ
• Specify intranet Microsoft update service location -> กำหนดให้เครื่องลูกข่ายอัปเดตผ่าน WSUS
• Do not allow users to disable Windows Update -> ป้องกันผู้ใช้จากการปิดการอัปเดต
• Enable Windows Defender & Anti-malware Protection -> เปิดใช้งานโปรแกรมป้องกันไวรัสและมัลแวร์
-------------------------------------------------
8. นโยบายการตรวจสอบและบันทึก (Auditing & Logging)• Audit logon events -> บันทึกการเข้าสู่ระบบทุกครั้ง
• Audit privilege use -> บันทึกการใช้งานสิทธิ์ของผู้ดูแลระบบ
• Audit object access -> ตรวจสอบการเข้าถึงไฟล์และโฟลเดอร์สำคัญ
• Increase event log size -> เพิ่มขนาดของ Log เพื่อให้เก็บข้อมูลได้นานขึ้น
การกำหนด Group Policy (GPO) สำหรับองค์กรช่วยเพิ่มความปลอดภัยและลดความเสี่ยงจากการโจมตีระบบ ควรตั้งค่านโยบายในทุกด้านทั้ง รหัสผ่าน, การล็อกอิน, การเข้าถึงระบบ, การใช้ซอฟต์แวร์, การเข้ารหัสข้อมูล, ป้องกันอุปกรณ์ภายนอก, การอัปเดตแพตช์ และการตรวจสอบ เพื่อให้มั่นใจว่าระบบมีความปลอดภัย และสามารถป้องกันภัยคุกคามได้อย่างมีประสิทธิภาพสำหรับทุกองค์กร
ไม่มีความคิดเห็น:
แสดงความคิดเห็น