הגנה על סיסמאות של חשבונות מקומיים

[ Windows 10 ] … להלן אוסף מרוכז של שיטות ואמצעים שיאפשרו לך לשפר את ההגנה על הסיסמאות של חשבונות מקומיים (Local Accounts) בסביבת מערכת ההפעלה חלונות 10 ולצמצם את היכולת של גורמים עויינים להגיע אליהן. בחר את הפעולות המתאימות למשתמש, למחשב ו/או לסביבת העבודה והנסיבות, שים לב ! חלק (קטן) מהסעיפים חופפים ברמה כל שהיא לסעיפים אחרים, הפעל שיקול דעת והעדף את השיטות המתאימות ביותר.

  • וודא כי חשבון ה- Administrator המובנה (Built-in) מנוטרל (Disabled) וכי מוגדרת לחשבון סיסמה מורכבת (Complex), למרות היותו מנוטרל. שנה את שם החשבון, צור חשבון Admin חדש (במקום החשבון המובנה) והגדר גם עבורו (כמו בעבור כל הסיסמאות במחשב) סיסמה מורכבת. ראה הבהרות בסעיף ההערות.
  • כנס למחשב (Login) רק באמצעות חשבון User (שאינו אדמין) והשתמש ב- …Run as כדי לבצע פעולות המחייבות הרשאות Admin.
  • מנע עד כמה שניתן גישה פיזית של גורמים שאינם מורשים למחשב.
  • הגדר סיסמאות (Administrator/User) ייחודיות לכל מחשב. בסביבה ארגונית/עסקית (מבוסס AD) ניתן (מומלץ) להשתמש ב- LAPS
  • הצפן את הדיסק בו מותקנת מערכת ההפעלה באמצעות BitLocker.
  • מנע את האפשרות להתחבר למחשבים מרוחקים באמצעות חשבונות אדמין ! מקומיים (Deny network logon to all local Administrator accounts). שים לב ! פעולה זו תאפשר Remote Desktop Connection רק ל- Users (שאינם Admins).
  • כנס למחשב (Login) באמצעות Pin Code ולא באמצעות הסיסמה.
  • נטרל ב- Bios (ביוס) את האפשרות לאתחל את המחשב מהתקן חיצוני, אפשר Boot Secure ובמידה ונתמך והגן על ה- Bios באמצעות סיסמה.

הערות והבהרות:

  1. חשבונות מקומיים מאוחסנים ב- Security Account Manager / SAM שהוא חלק ממערכת הרישום (Registry).
  2. להלן הרחבות (ציטוטים) מתוך המסמך של חברת מיקרוסופט העוסק בחשבונות מקומיים:
    –  “The default Administrator account cannot be deleted or locked out, but it can be renamed or disabled”
    –   “…Even when the Administrator account has been disabled, it can still be used to gain access to a computer by using safe mode”

Security and Privacy..I

הרשם

מערכת האתר מזמינה אותך להצטרף לדף הפייסבוק Suppware-C ולדף ה- Linkedin

התגובות סגורות.