اهم الــ Security Group Policies الي ممكن تستخدمها في تأمين الشبكه التي ملكك

ومن ضمن Layers الــ Security التي لا غني عنها في اي شبكه هي الـــ GPO or Group Policy.

وعلشان كده النهارده هنتكلم عن اهم الــ Group Policies الي من خلالها هنعمل improve and enhancement للــ Security في الــ Environment بتاعتنا.

في البدايه ياريت كل Policy هتعملها create تكون في New Policy مستقله ودا شئ تنظيمي ليك ….

1. Disable Guest Account and Local Administrator Accounts

من اهم الــ Policies الي حضرتك لازم تعملها وانت مغمض هو انك تعمل Disable للــ Administrator and Guest account
لان من خلال الــ accounts دي ممكن اي حد ياخد access علي اي sensitive server or data لان احيانا الــ Accounts دي مش بتتطلب passwords فمهم جداا انك تعملها disable
والكلام دا كله هتقدر تنفذه من هنا :

Go to Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options. Set both Accounts: Guest account status and Accounts: Administrator account status to Disabled.

2. Rename the Local Administrator Account

طيب ايه رأيك ما تيجي نصعبها شويتين علي اي هاكر بيحاول انه يعمل hacking علي الــ users دي … يلا نعمل rename بالمره بحيث نكون قفلنا المنطقه دي.
والكلام دا كله هتقدر تنفذه من هنا :

Go to Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options.
Rename administrator account.
Rename guest account.

3. Password Policy
مهم جداا انك تفرض سياسه علي الــ Passwords الخاصه بالــ Users ولازم تكون password قويه صعب تخمينها وتتغير بشكل دوري وسيبك من اي حد يقولك ايه يا عم دا !!! كل دي باسورد هو احنا هنحارب ؟
قوله اه احنا بنحارب
فلازم تجبر وتلزم كل الناس بــ password policy ما تخرش المايه
من طول الباسورد (يعني مثلا مهم جداا تخلي الــ elevated accounts الــ password بتاعتهم علي الاقل تكون 15 characters والــ regular accounts لازم علي الاقل تكون 12 characters) وعمرها وصعوبتها بأستخدام الــ uppercase and lowercase alphabets and have special characters

والكلام دا كله هتقدر تنفذه من هنا :
Go to Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy.

4. Account lockout policy
ومهم جداا تحدد عدد المحاولات عمليه الــ logon وفي حاله تكرار المحاولات الخطأ اعمل lock للــ user account وبعد فتره محدده فك الـ lock
والكلام دا كله هتقدر تنفذه من هنا :

Go to Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Account Lockout Policy where three lockout policy settings listed.

– Account Lockout duration … mins.
– Account lockout threshold … attempts.
– Reset Account lockout counter after … mins.

5. Disable Access to Removable Storage

مهم جدا جدا جدا حضرتك تقفل وتمنع الــ DVDs and external storage USB) وراد حد يحط فلاشه فيها virus or malware او يكون فيها اي hacking tool فمهم جداا تقفل الــ external storage and DVDs كلها وتمنعها
والكلام دا كله هتقدر تنفذه من هنا :

Go to Computer Configuration > Policies > Administrative Templates > System > Removable Storage Access.

6. Disable SMBv1 Client and Server

الــ SMB or Server Message Block دا protocol الــ Share والــ Protocol دا في منه versions
خلينا نرجع flashback لسنه 2017 وبعبع الــ Ransomware
في Environments كتيره اتصابت بالــ Ransomware (WannaCry and Petya) ودا كان بسبب vulnerability في SMBv1 ووقتها ميكروسوفت تزلت patches for SMBv1 ولكن للاسف كان في شركات كتيره اتصابت بسبب اهمال الــ Security updates
فمهم جداا تعمل disable للــ SMBv1 علي الرغم من الــ Security update الي نزلت بس خلينا في المضمون

To configure this using Group Policy:
https://blogs.technet.microsoft.com/…/disable-smb-v1-in-ma…/

7. Windows Update
مهم جدا جدا تحافظ علي update الــ Environment بتعتك سواء كان Server or Workstations في كل يوم في ثغرات جديده بتظهر وميكروسوفت اول ما بتشم خبر بترقعها علي طول فلازم يكون عندك Wsus وتتابعه كويس اسبوعيا بعد كل update بينزل
والكلام دا كله هتقدر تنفذه من هنا :

Go to Computer Configuration > Administrative Templates > Windows Components > Windows Update.

8. Enable the Security Auditing

الــ Policy دي مهمه فوق ما تتصور …. هتقدر تراقب اي تغير يحصل علي الشبكه بتعتك سواء علي الــ Servers or Workstations

– اكيد قابلت في يوم حد عمل Delete لملفات مهمه وكنت محتاج تعرف الشبح الي عمل كده 🤔

– اكيد صادفت في يوم حد عمل delete or rename or create لــ user account عندك وكله بيقولك مش انا يا سي دوني وعايز تعرف مين الي عمل كده؟

– حد عمل logon علي جهاز وعمل حاجه معينه وعايز تعرف مين هو ؟

فكل التفاصيل دي هتوصلها من الــ Event Viewer بعد ما تفعل الــ Audit Policy
والكلام دا كله هتقدر تنفذه من هنا :

Go to Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies.

– ما تنساش طبعا مفيش حد في الشركه يكون admin علي الماكينه بتعته ولو لزم الامر وكان في حد لازم يكون Admin علي الماكينه بتعته امنعه انه يعمل install لاي program وكمان امنه انه يفتح الــ CMD.

– مينفعش الــ Enterprise or Domain Admin ليه mailbox وبيفتح OWA.

– مينفعش تستخدم one account في الشغل بتاعك لازم يكون عندك 2 account واحد limited وبتخدل بيه علي جهازك وبتفتح بيه الــ Email بتاعك وواحد تاني للــ Servers.

– الــ Permissions بتاعت الــ Shared Folders ما ينفهش تعتمد علي Every one استخدك الــ Authenticated Users.

– لو عندك Exchange وشغال بالــ NTLM بلاش Version 1 اعمله disable واشتغل NTLMv2.

– لو عندك workstations قديمه زي مثلا windows XP, 7 او Server زي مثلا Windows server 2003 اعزلهم عن الشبكه وياريت لو تخرجهم من الـ Domain.