12 Thiết Lập Group Policy Quan Trọng Nhất cho Windows

1. Moderating Access to Control Panel

Chức năng: Giới hạn hoặc kiểm soát quyền truy cập vào Control Panel.

Mục đích: Ngăn chặn người dùng thay đổi các thiết lập hệ thống không mong muốn.

Hướng dẫn:

• Mở Group Policy Management Console (GPMC).
• Điều hướng tới: User Configuration -> Administrative Templates -> Control Panel.
• Chọn "Prohibit access to Control Panel and PC settings" và thiết lập thành "Enabled".

Command Prompt:

REG ADD "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer" /v NoControlPanel /t REG_DWORD /d 1 /f

2. Prevent Windows from Storing LAN Manager Hash

Chức năng: Ngăn chặn Windows lưu trữ hash LAN Manager.

Mục đích: Tăng cường bảo mật bằng cách loại bỏ phương pháp mã hóa cũ kém an toàn.

Hướng dẫn:

• Mở GPMC.
• Điều hướng tới: Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options.
• Tìm "Network security: Do not store LAN Manager hash value on next password change" và thiết lập thành "Enabled".

PowerShell:

Set-ItemProperty -Path "HKLM:\\SYSTEM\\CurrentControlSet\\Control\\Lsa" -Name "NoLMHash" -Value 1

3. Control Access to Command Prompt

Chức năng: Kiểm soát quyền truy cập vào Command Prompt.

Mục đích: Ngăn chặn người dùng thực thi các lệnh có thể gây hại cho hệ thống.

Hướng dẫn:

• Mở GPMC.
• Điều hướng tới: User Configuration -> Administrative Templates -> System.
• Chọn "Prevent access to the command prompt" và thiết lập thành "Enabled".

Command Prompt:

REG ADD "HKCU\\Software\\Policies\\Microsoft\\Windows\\System" /v DisableCMD /t REG_DWORD /d 1 /f

4. Disable Forced System Restarts

Chức năng: Vô hiệu hóa các khởi động lại hệ thống cưỡng bức.

Mục đích: Ngăn chặn việc mất dữ liệu do khởi động lại hệ thống không mong muốn.

Hướng dẫn:

• Mở GPMC.
• Điều hướng tới: Computer Configuration -> Administrative Templates -> Windows Components -> Windows Update.
• Chọn "No auto-restart with logged on users for scheduled automatic updates installations" và thiết lập thành "Enabled".

PowerShell:

New-ItemProperty -Path "HKLM:\\Software\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU" -Name "NoAutoRebootWithLoggedOnUsers" -Value 1 -PropertyType DWord -Force

5. Disallow Removable Media Drives, DVDs, CDs, and Floppy Drives

Chức năng: Ngăn chặn việc sử dụng các thiết bị lưu trữ di động như USB, DVD, CD, và ổ đĩa mềm.

Mục đích: Bảo vệ hệ thống khỏi phần mềm độc hại và lộ lọt dữ liệu.

Hướng dẫn:

• Mở GPMC.
• Điều hướng tới: Computer Configuration -> Administrative Templates -> System -> Removable Storage Access.
• Thiết lập các chính sách "Deny read access" và "Deny write access" cho các loại thiết bị lưu trữ tương ứng.

PowerShell:

$regPath = "HKLM:\\SOFTWARE\\Policies\\Microsoft\\Windows\\RemovableStorageDevices"
New-Item -Path $regPath -Force
Set-ItemProperty -Path "$regPath\\{53F56307-B6BF-11D0-94F2-00A0C91EFB8B}" -Name "Deny_Write" -Value 1 -Force
Set-ItemProperty -Path "$regPath\\{53F56307-B6BF-11D0-94F2-00A0C91EFB8B}" -Name "Deny_Read" -Value 1 -Force

6. Restrict Software Installations

Chức năng: Hạn chế việc cài đặt phần mềm.

Mục đích: Ngăn chặn việc cài đặt phần mềm trái phép hoặc không mong muốn.

Hướng dẫn:

• Mở GPMC.
• Điều hướng tới: Computer Configuration -> Administrative Templates -> Windows Components -> Windows Installer.
• Chọn "Prohibit User Installs" và thiết lập thành "Enabled".

PowerShell:

Set-ItemProperty -Path "HKLM:\\\\Software\\\\Policies\\\\Microsoft\\\\Windows\\\\Installer" -Name "DisableMSI" -Value 1 -PropertyType DWord -Force

7. Disable Guest Account

Chức năng: Vô hiệu hóa tài khoản Guest.

Mục đích: Tăng cường bảo mật bằng cách ngăn chặn truy cập từ tài khoản Guest.

Hướng dẫn:

• Mở GPMC.
• Điều hướng tới: Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options.
• Tìm "Accounts: Guest account status" và thiết lập thành "Disabled".

PowerShell:

Disable-LocalUser -Name "Guest"

8. Set Minimum Password Length to Higher Limits

Chức năng: Thiết lập độ dài mật khẩu tối thiểu cao hơn.

Mục đích: Tăng cường bảo mật mật khẩu.

Hướng dẫn:

• Mở GPMC.
• Điều hướng tới: Computer Configuration -> Windows Settings -> Security Settings -> Account Policies -> Password Policy.
• Chọn "Minimum password length" và thiết lập giá trị mong muốn (ví dụ: 12 ký tự).

PowerShell:

net accounts /minpwlen:12

9. Set Maximum Password Age to Lower Limits

Chức năng: Thiết lập tuổi thọ tối đa của mật khẩu thấp hơn.

Mục đích: Đảm bảo mật khẩu được thay đổi thường xuyên hơn để tăng cường bảo mật.

Hướng dẫn:

• Mở GPMC.
• Điều hướng tới: Computer Configuration -> Windows Settings -> Security Settings -> Account Policies -> Password Policy.
• Chọn "Maximum password age" và thiết lập giá trị mong muốn (ví dụ: 30 ngày).

PowerShell:

net accounts /maxpwage:30

10. Disable Anonymous SID Enumeration

Chức năng: Vô hiệu hóa việc liệt kê SID ẩn danh.

Mục đích: Ngăn chặn người dùng không xác thực truy cập thông tin về SID.

Hướng dẫn:

• Mở GPMC.
• Điều hướng tới: Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options.
• Tìm "Network access: Do not allow anonymous enumeration of SAM accounts and shares" và thiết lập thành "Enabled".

PowerShell:

Set-ItemProperty -Path "HKLM:\\\\SYSTEM\\\\CurrentControlSet\\\\Control\\\\Lsa" -Name "RestrictAnonymousSAM" -Value 1

11. Disable NTLM version 1

Chức năng: Vô hiệu hóa NTLM phiên bản 1.

Mục đích: Tăng cường bảo mật bằng cách sử dụng phiên bản NTLM mới hơn và an toàn hơn.

Hướng dẫn:

• Mở GPMC.
• Điều hướng tới: Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options.
• Tìm "Network security: LAN Manager authentication level" và thiết lập thành "Send NTLMv2 response only. Refuse LM & NTLM".

PowerShell:

Set-ItemProperty -Path "HKLM:\\\\SYSTEM\\\\CurrentControlSet\\\\Control\\\\Lsa" -Name "LmCompatibilityLevel" -Value 5

12. Disable SMB version 1

Chức năng: Vô hiệu hóa SMB phiên bản 1.

Mục đích: Tăng cường bảo mật bằng cách sử dụng phiên bản SMB mới hơn và an toàn hơn.

Hướng dẫn:

• Mở Control Panel.
• Điều hướng tới: Programs -> Turn Windows features on or off.
• Bỏ chọn "SMB 1.0/CIFS File Sharing Support" và nhấn OK.

PowerShell:

Disable-WindowsOptionalFeature -Online -FeatureName "SMB1Protocol" -NoRestart

Các thiết lập Group Policy này giúp tăng cường bảo mật, quản lý quyền truy cập và bảo vệ hệ thống khỏi các mối đe dọa tiềm ẩn. Việc thực hiện các thiết lập này cần phải thận trọng để đảm bảo hệ thống hoạt động bình thường và đáp ứng các yêu cầu bảo mật của tổ chức.