הקשחת עמדה מקומית

Rami

3 months ago

בין אם אתם צריכים להקשיח עמדה בודדת או לבצע Group Policy על השרת- המדריך הבא בשבילכם

עדכון: על מנת לקצר תהליכים ניתן להשתמש במדריך המומלץ הבא.

תוכן העניינים

איך נכנסים מקומית ל-Local Group Policy Editor ?

כניסה ל-Group Policy בשרת מתבצעת מכאן

קליק ימני בעכבר על כפתור חלונות ולחיצה על Run

כאן נכתוב gpedit.msc ונלחץ אנטר

יוקפץ החלון הבא:

שינוי תוקף סיסמה

שימו לב:

שימו לב: כלל ההגדרות נמצאות באזור Password Policy אשר נמצא ב-gpedit.msc

על מנת להגדיר שינוי הזמן המיועד בו הסיסמה של המשתמש תפוג, נכנסים אל:

Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy

מקליקים פעמיים על Maximum password age

בחלונית שקפצה מכניסים את המספר הרצוי (לצורך הדוגמה 90) ואז לוחצים על OK

לחילופין ניתן להגדיר זאת בפקודת cmd פשוטה (להריץ כאדמין):

net accounts /maxpwage:90

מניעת חזרה על 10 סיסמאות אחרונות

על מנת למנוע מהמשתמש מלחזור על הקלדת 10 סיסאות אחרונות ניגש אל Password Policy:

נקליק פעמיים על Enforce password history

נבחר לצורך העניין ב-10 ונלחץ על OK

לחילופין ניתן לבצע זאת על ידי שימוש בפקודה הבאה:

net accounts /uniquepw:10

צפייה במצב הפוליסי

טריק קטן לצפייה במצב הפוליסי המוגדרת כרגע:

כותבים בחלונית cmd את net accounts ואנטר

התוצאה תהיה:

C:\Users\David>net accounts
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              0
Length of password history maintained:                None
Lockout threshold:                                    10
Lockout duration (minutes):                           10
Lockout observation window (minutes):                 10
Computer role:                                        WORKSTATION
The command completed successfully.

הגדרת מספר תווים לשימוש בסיסמה

על מנת להגדיר מספר תווים מינימלי לשימוש המשתמש בסיסמה, נגש אל Password Policy:

נקליק פעמיים על Minimum password length

נסמן לצורך העניין 8 ונלחץ על OK

לחילופין ניתן לבצע זאת על ידי הפקודה הבאה:

net accounts /minpwlen:8

הגדרת מורכבות סיסמה

הגדרת סיסמה כך שתהיה מורכבת מתווים רגילים (Aa-ZZ), ספרות (0-9) ותווים מיוחדים ($&%), מתבצעת דרך כניסה אל Password Policy:

נקליק פעמיים על Password must meet complexity requirements

נסמן על Enabled ונלחץ עם OK

מטעמי אבטחת מידע, ב-Windows 10 וצפונה, אין פקודת cmd למורכבות סיסמה.

נעילת חשבון לאחר מספר ניסיונות כושלים

על מנת להגדיר פוליסי של נעילת חשבון לאחר מספר ניסיונות עוקבים כושלים, נגש אל:

Computer Configuration > Windows Settings > Security Settings > Account Policies > Account Lockout Policy

כאן נקליק פעמיים על Account lockout threshold

בחלונית שקפצה נקליד 5 ונלחץ על OK

לחילופין ניתן להשתמש בפקודה הבאה:

net accounts /lockoutthreshold:5

הגדרת משך זמן הנעילה

על מנת להגדיר נעילת מחשב באמצעות שומר מסך מוגן סיסמא לאחר 5 דקות, נגש אל Account Lockout Policy ,ונקליק פעמיים על Account lockout duration:

כאן נשים זמן של 15 דקות ונלחץ על OK

לחילופין ניתן להשתמש בפקודה הבאה:

net accounts /lockoutduration:15

רשימת כלל הפקודות ב-CMD

כאן תוכלו למצוא את כל הפקודות המוזכרות לעיל בעניין Password Policy

net accounts /maxpwage:90

net accounts /uniquepw:10

net accounts /minpwlen:8

net accounts /lockoutthreshold:5

net accounts /lockoutduration:15

תוספת אבטחת מידע ADMX

הגדרות אבטחת מידע נוספות ששווה ליישם, נמצאות כאן

יש להוריד את הקובץ, להתקין כאדמין, ולבצע ריסטרט למחשב/שרת.

אנו לא נתעכב כעת על כל ההגדרות, אבל טעימה קטנה בהחלט ניתן:

המשך יבוא