10 مورد از مهمترین تنظیمات گروپ پالسی برای جلوگیری از نقض امنیت
Group Policy یکی از ابزارهای مهم در سیستمعاملهای ویندوز است که به مدیران شبکه امکان میدهد تنظیمات و سیاستهای مختلف را بر روی کامپیوترهای موجود در شبکه اعمال کنند. این ابزار به مدیران اجازه میدهد تا به صورت مرکزی و از طریق Active Directory، تنظیمات امنیتی، نرمافزارها و تنظیمات کاربری را مدیریت کنند. با استفاده از Group Policy، میتوان به راحتی سیاستهای امنیتی را اعمال کرد و از دسترسی غیرمجاز به منابع شبکه جلوگیری کرد. این ابزار به بهبود کارایی و امنیت شبکه کمک میکند و مدیریت سیستمها را سادهتر میسازد.
برخی تنظیمات گروپ پالسی وجود دارد که در صورت پیکربندی مناسب میتوانند به جلوگیری از نقض داده کمک کنند. شما میتوانید با پیکربندی رفتارهای امنیتی و عملیاتی رایانهها از طریق Group Policy، شبکه سازمانی خود را ایمنتر کنید. با استفاده از Group Policy میتوانید از دسترسی کاربران به منابع خاص، اجرای اسکریپتها و انجام کارهای ساده مانند تنظیم یک صفحه اصلی خاص توسط هر کاربر در شبکه جلوگیری کنید. در این مقاله با برخی از تنظیمات مهم Group Policy آشنا میشوید که به سادگی نمیتوان آنها را نادیده گرفت.
فهرست مطالب
همواره به یاد داشته باشید که فقط GPO سفارشی (Custom GPO) را تغییر دهید یعنی یک GPO جدید ایجاد کنید و سپس آن را به دامنه لینک دهید که در زیر Domain Controller در کنسول مدیریت گروپ پالسی موجود است. بعد از اعمال تغییرات پیشنهادی، GPO خود را در مورد کل دامنه اعمال کنید و در نهایت بروزرسانی کنید.
مهمترین تنظیمات Group Policy
تعدیل دسترسی به کنترل پنل
تنظیم محدودیت در کنترل پنل رایانه باعث ایجاد یک محیط تجاری امن تر می شود. از طریق Control Panel می توانید تمام جوانب رایانه خود را کنترل کنید. بنابراین ، با تعدیل افرادی که به رایانه دسترسی دارند می توانید داده ها و منابع دیگر را ایمن نگه دارید. مراحل این کار را میتوانید در مقاله زیر مشاهده کنید.
گروپ پالسی چیست و چطور می توان از آن استفاده کرد؟
Group Policy یک ویژگی ویندوز است که شامل تنظیمات متنوع و پیشرفته، به ویژه برای مدیران شبکه است و به آنها کمک میکند تا این تنظیمات و سیاستها را روی سیستمهای درون شبکه اعمال کنند. تنظیمات Policy با استفاده از برنامه کنترلی مدیریت کنسول مایکروسافت (MMC) (Microsoft Management Console (MMC)
جلوگیری از ذخیره Windows Manager Hash
ویندوز پسوردِ اکانت کاربر را در Hashها تولید و ذخیره می کند. ویندوز هم یک هش مدیر Lan و هم یک هش NT ویندوز (NT Hash) از پسوردها تولید می کند و آن ها را در بخش پایگاه داده مدیریت اکانتهای محلی یا اکتیو دایرکتوری ذخیره می کند. هش مدیر Lan ضعیف و مستعد هک شدن است.بنابراین شما باید جلوی ویندوز را بگیرید تا یک هش مدیر Lan از پسوردهای شما را ذخیره نکند. برای اینکار مراحل زیر را انجام دهید:
1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:
Computer Configuration> Policies> Windows Setting> Security Setting> local policies> security options
2.در بخش سمت راست صفحه، روی پالسی Network security: Do not store LAN Manager hash value on next password change دبل کلیک کنید.
3.گزینه Define this policy setting را انتخاب کرده و روی Enable کلیک کنید.
4.در نهایت روی Apply و سپس ok کلیک کنید.
نکته 1 : بعد از اقدامات بالا، برای اینکه پالسی اعمال شود شما باید روی OU ای که پالسی را بر آن اعمال کرده اید کلیک راست کرده و Group policy update را بزنید. از آنجایی که بطور پیش فرض اعمال یک پالسی بین 90 تا 120 دقیقه طول می کشد، با نوشتن دستور “gpupdate /force” در cmd پالسی در همان لحظه اعمال می شود.
نکته 2 : تنظیمات computer configuration با Restart و تنظیمات user configuration با login و logoff تنظیم و ست می شود. بنابراین بعد از اینکه دستور در cmd اجرا شد. بسه به اینکه computer configuration یا user configuration می باشد یکی از دو کار ذکر شده را باید انجام دهید.
کنترل دسترسی به خط فرمان
خط فرمان را می توان برای اجرای دستوراتی که دسترسی سطح بالایی به کاربران می دهد و از دیگر محدودیت های سیستم می گریزد ، استفاده کرد. بنابراین ، برای اطمینان از امنیت منابع سیستم ، غیرفعال کردن Command Prompt عاقلانه است.
بعد از غیرفعال کردن Command Prompt اگر شخصی سعی در باز کردن یک پنجره خط فرمان داشته باشد، سیستم پیامی را نشان می دهد که می گوید برخی تنظیمات از این کار جلوگیری می کنند. برای اینکار مراحل زیر را انجام دهید:
1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:
User Configuration>Policies>Windows Settings> Administrative Templates> System
2.در در بخش سمت راست صفحه، روی پالسی Prevent access to the command prompt
دبل کلیک کنید.
3.برای اعمال پالسی روی Enable کلیک کنید.
4.در نهایت روی Apply و سپس ok کلیک کنید.
غیرفعال کردن راهاندازی مجدد اجباری سیستم
راه اندازی مجدد اجباری سیستم رایج است. به عنوان مثال ، ممکن است با شرایطی روبرو شوید که در رایانه کار می کنید و ویندوز پیامی را نشان می دهد که بیان می کند سیستم شما به دلیل بروزرسانی امنیتی نیاز به راه اندازی مجدد دارد.
در بسیاری از موارد ، اگر شما متوجه پیام نشوید یا مدتی که برای پاسخ به آن نیاز دارید ، رایانه به صورت خودکار مجدداً راه اندازی شود ممکن است کار مهم و غیر ذخیره شده ای را از دست دهید. برای غیرفعال کردن راه اندازی مجدد اجباری از طریق GPO ، مراحل زیر را انجام دهید:
1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:
Computer Configuration>Policies>Administrative Templates>Windows Component>Windows Update
2.در بخش سمت راست صفحه، روی پالسی No auto-restart with logged on users for scheduled automatic updates installations دبل کلیک کنید.
3.برای فعال کردن پالسی روی Enable کلیک کنید.
4.در نهایت روی Apply و سپس ok کلیک کنید.
غیرفعال کردن USB، DVD و CD
درایوهای رسانه قابل جابجایی بسیار مستعد ابتلا به آلودگی هستند ، همچنین ممکن است حاوی ویروس یا بدافزار باشند. اگر کاربر درایو آلوده را به رایانه شبکه وصل کند ، می تواند بر کل شبکه تأثیر بگذارد!. به طور مشابه ، دی وی دی ، سی دی و فلاپی درایو مستعد ابتلا به آلودگی هستند.
بنابراین بهتر است همه این درایوهای را به طور کامل غیرفعال کنید. برای انجام این کار مراحل زیر را انجام دهید:
1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:
User Configuration> Policies> Administrative Templates> System> Removable Storage Access
2.در بخش سمت راست صفحه، روی پالسی All removable storage classes: Deny all accesses دبل کلیک کنید.
3.برای فعال کردن پالسی روی Enable کلیک کنید.
4.در نهایت روی Apply و سپس ok کلیک کنید.
محدود کردن نصب نرمافزار
وقتی آزادی نصب نرم افزار را به کاربران می دهید ، ممکن است برنامه های ناخواسته را نصب کنند که سیستم شما را به خطر بیاندازد. معمولاً سرپرست سیستم مجبور است تعمیر و نگهداری و تمیز کردن چنین سیستمهایی را انجام دهد. توصیه می شود از طریق گروپ پالسی، از نصب نرم افزار جلوگیری کنید:
1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:
Computer Configuration>Policies> Administrative Templates> Windows Component> Windows Installer
2.در بخش سمت راست صفحه، روی پالسی Prohibit User Install دبل کلیک کنید.
3.برای فعال کردن پالسی روی Enable کلیک کنید.
4.در نهایت روی Apply و سپس ok کلیک کنید.
غیرفعال کردن حساب مهمان
از طریق یک حساب مهمان ، کاربران می توانند به داده های حساس دسترسی پیدا کنند. چنین حسابهایی امکان دسترسی به رایانه ویندوز را دارند و نیازی به رمز عبور ندارند.! فعال کردن این حساب به این معنی است که هر کسی می تواند از دسترسی به سیستمهای شما سوءاستفاده کند.
خوشبختانه ، این حسابها بصورت پیش فرض غیرفعال شده اند. بهتر است بررسی کنید که در محیط IT شما اینگونه است ، زیرا اگر این حساب در دامنه شما فعال باشد ، غیرفعال کردن آن باعث جلوگیری از سوء استفاده افراد از دسترسی می شود. برای غیر فعال کردن این حساب مراحل زیر را دنبال می کنیم:
1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:
Computer Configuration>Policies> Windows Settings> Security Settings> Local Policies> Security Options
2.در بخش سمت راست صفحه، روی پالسی Accounts: Guest Account Statusدبل کلیک کنید.
3.چکباکس Define this policy setting را انتخاب کرده سپس روی Disabledکلیک کنید.
4.در نهایت روی Apply و سپس ok کلیک کنید.
افزایش حداقل طول مورد نیاز گذرواژه
حداقل طول رمز عبور را در حد بالاتر قرار دهید!. به عنوان مثال ، برای حسابهای رده بالا ، رمزهای عبور باید حداقل 15 کرکتره و برای حسابهای عادی حداقل 12 کاراکتر تنظیم شوند. تنظیم مقدار پایین تر برای حداقل طول رمز عبور ، خطر غیرضروری را ایجاد می کند. تنظیم پیش فرض صفر کاراکتر است ، بنابراین شما باید یک شماره را مشخص کنید.! برای اینکار مراحل زیر را طی می کنیم:
1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:
Computer Configuration>Policies> Windows Settings> Security > Account Policies> Password Policy
2.در بخش سمت راست صفحه، روی پالسی Minimum password lengthدبل کلیک کرده و چکباکس Define this policy setting را انتخاب کنید.
3.مقداری برای طول رمز عبور مشخص کنید.
4.در نهایت روی Apply و سپس ok کلیک کنید.
کاهش حداکثر سن مورد قبول گذرواژه
اگر سن انقضاء رمز عبور را برای مدت زمانی طولانی تنظیم کنید ، کاربران مجبور نخواهند بود آنرا مرتباً تغییر دهند ، این بدان معنی است که به احتمال زیاد یک رمز عبور به سرقت می رود. برای حفظ بهتر امنیت دوره انقضاء رمز عبور کوتاه ترجیح داده می شود. حداکثر سن پیش فرض گذرواژه ویندوز 42 روز تنظیم شده است. تصویر زیر تنظیمات گروپ پالسی مورد استفاده برای پیکربندی “حداکثر سن رمز عبور” را نشان می دهد. مراحل زیر را انجام دهید:
1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:
Computer Configuration>Policies> Windows Settings> Security Settings> Account Policies> Password Policy
2.در بخش سمت راست صفحه، روی پالسی Maximum password ageدبل کلیک کنید.
3.چکباکس Define this policy setting را انتخاب کرده و یک مقدار را مشخص کنید.
4.در نهایت روی Apply و سپس ok کلیک کنید.
غیرفعال کردن شمارش ناشناس SID
Active Directory شماره منحصر به فردی را به تمام اشیاء امنیتی موجود در Active Directory اختصاص می دهد! از جمله کاربران ، گروه ها و افراد دیگر که به نام شماره شناسه های امنیتی (SID) نامیده می شود. در نسخه های قدیمی ویندوز ، کاربران می توانند SID ها را برای شناسایی کاربران و گروه های مهم استعلام کنند. برای دستیابی غیرمجاز به داده ها ، هکرها می توانند از این قانون استفاده کنند. به طور پیش فرض ، این تنظیم غیرفعال است ، اطمینان حاصل کنید که این روش همچنان باقی می ماند. برای این هدف مراحل زیر را انجام دهید:
1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:
Computer Configuration> Policies> Windows Settings> Security Settings> Local Policies> Security Options
2.در بخش سمت راست صفحه، روی پالسی Network Access: Do not allow anonymous enumeration of SAM accounts and shares دبل کلیک کنید.
3.برای فعال کردن پالسی روی Enable کلیک کنید.
4.در نهایت روی Apply و سپس ok کلیک کنید.
اگر این تنظیمات Group Policy را صحیح انجام دهید ، امنیت سازمان شما به طور خودکار در وضعیت بهتری قرار می گیرد. حتما اطمینان حاصل کنید که تغییرات GPO را برای همه اعمال شده است و گروپ پالسی را به روز کنید تا آنها را در همه کنترل کننده های دامنه در محیط خود منعکس کنید.
خدمات ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2022 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
هیچ دیدگاهی نوشته نشده است.