10 مورد از مهمترین تنظیمات گروپ پالسی برای جلوگیری از نقض امنیت
برخی تنظیمات گروپ پالسی وجود دارد که در صورت پیکربندی مناسب می توانند به جلوگیری از نقض داده کمک کنند. شما می توانید با پیکربندی رفتارهای امنیتی و عملیاتی رایانه ها از طریق Group Policy ، شبکه سازمانی خود را ایمن تر کنید. از طریق Group Policy می توانید از دسترسی کاربران به منابع خاص ، اجرای اسکریپت ها و انجام کارهای ساده مانند مجبور کردن یک صفحه اصلی خاص برای باز کردن برای هر کاربر در شبکه جلوگیری کنید. در این مقاله با برخی از تنظیمات مهم Group Policy آشنا می شوید که به سادگی نمی توان آنها را نادیده گرفت.
نکته:
همواره به یاد داشته باشید که فقط GPO سفارشی (Custom GPO) را تغییر دهید یعنی یک GPO جدید ایجاد کنید و سپس آن را به دامنه لینک دهید که در زیر Domain Controller در کنسول مدیریت گروپ پالسی موجود است. بعد از اعمال تغییرات پیشنهادی، GPO خود را در مورد کل دامنه اعمال کنید و در نهایت بروزرسانی کنید.
مهمترین تنظیمات گروپ پالسی
1-تعدیل دسترسی به کنترل پنل
تنظیم محدودیت در کنترل پنل رایانه باعث ایجاد یک محیط تجاری امن تر می شود. از طریق Control Panel می توانید تمام جوانب رایانه خود را کنترل کنید. بنابراین ، با تعدیل افرادی که به رایانه دسترسی دارند می توانید داده ها و منابع دیگر را ایمن نگه دارید. مراحل این کار را میتوانید در مقاله “گروپ پالسی چیست و چطور می توان از آن استفاده کرد؟” مشاهده کنید.
2- از ذخیره Windows Manager Hash جلوگیری کنید
ویندوز پسوردِ اکانت کاربر را در Hashها تولید و ذخیره می کند. ویندوز هم یک هش مدیر Lan و هم یک هش NT ویندوز (NT Hash) از پسوردها تولید می کند و آن ها را در بخش پایگاه داده مدیریت اکانتهای محلی یا اکتیو دایرکتوری ذخیره می کند. هش مدیر Lan ضعیف و مستعد هک شدن است.بنابراین شما باید جلوی ویندوز را بگیرید تا یک هش مدیر Lan از پسوردهای شما را ذخیره نکند. برای اینکار مراحل زیر را انجام دهید:
1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:
Computer Configuration> Policies> Windows Setting> Security Setting> local policies> security options
2.در بخش سمت راست صفحه، روی پالسی Network security: Do not store LAN Manager hash value on next password change دبل کلیک کنید.
3.گزینه Define this policy setting را انتخاب کرده و روی Enable کلیک کنید.
4.در نهایت روی Apply و سپس ok کلیک کنید.
نکته 1 : بعد از اقدامات بالا، برای اینکه پالسی اعمال شود شما باید روی OU ای که پالسی را بر آن اعمال کرده اید کلیک راست کرده و Group policy update را بزنید. از آنجایی که بطور پیش فرض اعمال یک پالسی بین 90 تا 120 دقیقه طول می کشد، با نوشتن دستور “gpupdate /force” در cmd پالسی در همان لحظه اعمال می شود.
نکته 2 : تنظیمات computer configuration با Restart و تنظیمات user configuration با login و logoff تنظیم و ست می شود. بنابراین بعد از اینکه دستور در cmd اجرا شد. بسه به اینکه computer configuration یا user configuration می باشد یکی از دو کار ذکر شده را باید انجام دهید.
3-دسترسی به خط فرمان (CMD) را کنترل کنید.
خط فرمان را می توان برای اجرای دستوراتی که دسترسی سطح بالایی به کاربران می دهد و از دیگر محدودیت های سیستم می گریزد ، استفاده کرد. بنابراین ، برای اطمینان از امنیت منابع سیستم ، غیرفعال کردن Command Prompt عاقلانه است.
بعد از غیرفعال کردن Command Prompt اگر شخصی سعی در باز کردن یک پنجره خط فرمان داشته باشد، سیستم پیامی را نشان می دهد که می گوید برخی تنظیمات از این کار جلوگیری می کنند. برای اینکار مراحل زیر را انجام دهید:
1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:
User Configuration>Policies>Windows Settings> Administrative Templates> System
2.در در بخش سمت راست صفحه، روی پالسی Prevent access to the command prompt
دبل کلیک کنید.
3.برای اعمال پالسی روی Enable کلیک کنید.
4.در نهایت روی Apply و سپس ok کلیک کنید.
4-راه اندازی مجدد اجباری سیستم را غیرفعال کنید
راه اندازی مجدد اجباری سیستم رایج است. به عنوان مثال ، ممکن است با شرایطی روبرو شوید که در رایانه کار می کنید و ویندوز پیامی را نشان می دهد که بیان می کند سیستم شما به دلیل بروزرسانی امنیتی نیاز به راه اندازی مجدد دارد.
در بسیاری از موارد ، اگر شما متوجه پیام نشوید یا مدتی که برای پاسخ به آن نیاز دارید ، رایانه به صورت خودکار مجدداً راه اندازی شود ممکن است کار مهم و غیر ذخیره شده ای را از دست دهید. برای غیرفعال کردن راه اندازی مجدد اجباری از طریق GPO ، مراحل زیر را انجام دهید:
1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:
Computer Configuration>Policies>Administrative Templates>Windows Component>Windows Update
2.در بخش سمت راست صفحه، روی پالسی No auto-restart with logged on users for scheduled automatic updates installations دبل کلیک کنید.
3.برای فعال کردن پالسی روی Enable کلیک کنید.
4.در نهایت روی Apply و سپس ok کلیک کنید.
5- درایوهای رسانه قابل جابجایی [usb] ، دی وی دی ، سی دی و درایوهای فلاپی را غیرفعال کنید
درایوهای رسانه قابل جابجایی بسیار مستعد ابتلا به آلودگی هستند ، همچنین ممکن است حاوی ویروس یا بدافزار باشند. اگر کاربر درایو آلوده را به رایانه شبکه وصل کند ، می تواند بر کل شبکه تأثیر بگذارد!. به طور مشابه ، دی وی دی ، سی دی و فلاپی درایو مستعد ابتلا به آلودگی هستند.
بنابراین بهتر است همه این درایوهای را به طور کامل غیرفعال کنید. برای انجام این کار مراحل زیر را انجام دهید:
1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:
User Configuration> Policies> Administrative Templates> System> Removable Storage Access
2.در بخش سمت راست صفحه، روی پالسی All removable storage classes: Deny all accesses دبل کلیک کنید.
3.برای فعال کردن پالسی روی Enable کلیک کنید.
4.در نهایت روی Apply و سپس ok کلیک کنید.
6-نصب نرم افزار را محدود کنید
وقتی آزادی نصب نرم افزار را به کاربران می دهید ، ممکن است برنامه های ناخواسته را نصب کنند که سیستم شما را به خطر بیاندازد. معمولاً سرپرست سیستم مجبور است تعمیر و نگهداری و تمیز کردن چنین سیستمهایی را انجام دهد. برای اینکه در جانب ایمن قرار داشته باشید ، توصیه می شود از طریق گروپ پالسی، از نصب نرم افزار جلوگیری کنید:
1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:
Computer Configuration>Policies> Administrative Templates> Windows Component> Windows Installer
2.در بخش سمت راست صفحه، روی پالسی Prohibit User Install دبل کلیک کنید.
3.برای فعال کردن پالسی روی Enable کلیک کنید.
4.در نهایت روی Apply و سپس ok کلیک کنید.
7-غیرفعال کردن حساب مهمان
از طریق یک حساب مهمان ، کاربران می توانند به داده های حساس دسترسی پیدا کنند. چنین حسابهایی امکان دسترسی به رایانه ویندوز را دارند و نیازی به رمز عبور ندارند.! فعال کردن این حساب به این معنی است که هر کسی می تواند از دسترسی به سیستمهای شما سوءاستفاده کند.
خوشبختانه ، این حسابها بصورت پیش فرض غیرفعال شده اند. بهتر است بررسی کنید که در محیط IT شما اینگونه است ، زیرا اگر این حساب در دامنه شما فعال باشد ، غیرفعال کردن آن باعث جلوگیری از سوء استفاده افراد از دسترسی می شود. برای غیر فعال کردن این حساب مراحل زیر را دنبال می کنیم:
1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:
Computer Configuration>Policies> Windows Settings> Security Settings> Local Policies> Security Options
2.در بخش سمت راست صفحه، روی پالسی Accounts: Guest Account Statusدبل کلیک کنید.
3.چکباکس Define this policy setting را انتخاب کرده سپس روی Disabledکلیک کنید.
4.در نهایت روی Apply و سپس ok کلیک کنید.
8-حداقل طول گذرواژه را در حد بالاتر تنظیم کنید
حداقل طول رمز عبور را در حد بالاتر قرار دهید!. به عنوان مثال ، برای حسابهای رده بالا ، رمزهای عبور باید حداقل 15 نویسه و برای حسابهای عادی حداقل 12 کاراکتر تنظیم شوند. تنظیم مقدار پایین تر برای حداقل طول رمز عبور ، خطر غیرضروری را ایجاد می کند. تنظیم پیش فرض صفر کاراکتر است ، بنابراین شما باید یک شماره را مشخص کنید.! برای اینکار مراحل زیر را طی می کنیم:
1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:
Computer Configuration>Policies> Windows Settings> Security > Account Policies> Password Policy
2.در بخش سمت راست صفحه، روی پالسی Minimum password lengthدبل کلیک کرده و چکباکس Define this policy setting را انتخاب کنید.
3.مقداری برای طول رمز عبور مشخص کنید.
4.در نهایت روی Apply و سپس ok کلیک کنید.
9-حداکثر سن رمز عبور را در حد پایین قرار دهید
اگر سن انقضاء رمز عبور را برای مدت زمانی طولانی تنظیم کنید ، کاربران مجبور نخواهند بود آنرا مرتباً تغییر دهند ، این بدان معنی است که به احتمال زیاد یک رمز عبور به سرقت می رود. برای حفظ بهتر امنیت دوره انقضاء رمز عبور کوتاه ترجیح داده می شود.
حداکثر سن پیش فرض گذرواژه ویندوز 42 روز تنظیم شده است.! تصویر زیر تنظیمات گروپ پالسی مورد استفاده برای پیکربندی “حداکثر سن رمز عبور” را نشان می دهد. مراحل زیر را انجام دهید:
1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:
Computer Configuration>Policies> Windows Settings> Security Settings> Account Policies> Password Policy
2.در بخش سمت راست صفحه، روی پالسی Maximum password ageدبل کلیک کنید.
3.چکباکس Define this policy setting را انتخاب کرده و یک مقدار را مشخص کنید.
4.در نهایت روی Apply و سپس ok کلیک کنید.
10- شمارش ناشناس SID را غیرفعال کنید
Active Directory شماره منحصر به فردی را به تمام اشیاء امنیتی موجود در Active Directory اختصاص می دهد! از جمله کاربران ، گروه ها و افراد دیگر که به نام شماره شناسه های امنیتی (SID) نامیده می شود. در نسخه های قدیمی ویندوز ، کاربران می توانند SID ها را برای شناسایی کاربران و گروه های مهم استعلام کنند. برای دستیابی غیرمجاز به داده ها ، هکرها می توانند از این قانون استفاده کنند. به طور پیش فرض ، این تنظیم غیرفعال است ، اطمینان حاصل کنید که این روش همچنان باقی می ماند. برای این هدف مراحل زیر را انجام دهید:
1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:
Computer Configuration> Policies> Windows Settings> Security Settings> Local Policies> Security Options
2.در بخش سمت راست صفحه، روی پالسی Network Access: Do not allow anonymous enumeration of SAM accounts and shares دبل کلیک کنید.
3.برای فعال کردن پالسی روی Enable کلیک کنید.
4.در نهایت روی Apply و سپس ok کلیک کنید.
اگر این تنظیمات Group Policy را صحیح انجام دهید ، امنیت سازمان شما به طور خودکار در وضعیت بهتری قرار می گیرد. حتما اطمینان حاصل کنید که تغییرات GPO را برای همه اعمال شده است و گروپ پالسی را به روز کنید تا آنها را در همه کنترل کننده های دامنه در محیط خود منعکس کنید.
هیواشبکه
خدمات ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور در خدمت شما عزیزان هستیم.
هیچ دیدگاهی نوشته نشده است.