• Group Policy ابزار یا کنسولی برای مدیران سیستم برای نظارت بر منابع شبکه مانند forests, domains, system settings, users’ settings و غیره است.
• Group Policy (GP) یک ویژگی مدیریت ویندوز است که به شما امکان می دهد تنظیمات چندین کاربر و رایانه را در یک محیط Active Directory کنترل کنید.
• با GP، تمام واحدهای سازمانی، سایت ها یا دامنه ها را می توان از یک مکان واحد و مرکزی پیکربندی کرد.

این ویژگی به مدیران شبکه در محیط‌های بزرگ ویندوز کمک می‌کند تا در زمان خود صرفه‌جویی کنند و مجبور نباشند برای هر رایانه تنظیم پیکربندی جدید  انجام دهند.

چرا باید از Group Policy استفاده کنیم؟

سرپرست سیستم می تواند با استفاده از GP موارد زیر را کنترل کند:

Local GP Objects: Local GP تنظیماتی  است که به local system مربوط می شود.
سایت: مدیر می تواند سیاست های خاصی را برای سایتی که رایانه ها به آن تعلق دارند اعمال کند.
دامنه: این GP برای کل سطح دامنه اعمال می شود. سایت‌ها و سیستم‌های مختلف تحت دامنه تحت این تنظیماتقرار می‌گیرند.
OU: این خط مشی را می توان در سطح OU اعمال کرد که بر کل دامنه و سایت هایی که OU به آنها تعلق دارند تأثیر می گذارد.

 Group Policy Management Console?

1. مجموعه ای از تنظیمات Group Policy (GP) که به عنوان یک شیء، خط مشی گروه (GPO) شناخته می شود، نحوه رفتار گروهی  کاربران و رایانه ها را تعیین می کند.
2. GPOها با کانتینرهای AD، از جمله  local computer, site, domain, and Organizational Unit (OU) مرتبط هستند.
3. Group Policies در کل AD forest را می توان از طریق Group Policy Management Console (GPMC) مدیریت کرد – یک ابزار مدیریت داخلی ویندوز سرور 2008 (و فراتر از آن).
4. GPMC از طریق snap-in کنسول مدیریت مایکروسافت (MMC) کار می کند.
5. شما همچنین می توانید یک کنترل دقیق برای ایجاد GPO داشته باشید که سیاست ها، گزینه های امنیتی، به روز رسانی نرم افزار، نصب، تنظیمات تعمیر و نگهداری، اسکریپت ها، تغییر مسیر پوشه ها و موارد دیگر را تعریف می کند.
6.  شما همچنین می توانید از GPO ها نسخه پشتیبان و آنها را بازیابی کنید.

Enforcement:

برای رسیدن به هدف از مدیریت مرکزی، گروهی از کامپیوترها، ماشین ها باید GPO ها را دریافت و اجرا کنند. برای اعمال یک پالیسی به گروهی از کامپیوترها، Group Policy برای توزیع به Active Directory متکی است. Active Directory برای سیستم هایی می تواند GPO ها را توزیع کند که متعلق به یک ویندوز دامین باشند. به صوزت پیش فرض، Microsoft Windows تنظیمات پالیسی هایش را هر 90 دقیقه تازه می کند با یک 30 دقیقه تصادفی.

در Domain Controller ها Microsoft Windows هر 5 دقیقه تازه می شود. در طول تازه شدن، کشف می کند، بازخوانی می کند و اعمال می کند به کاربران و سیستم هایی که پالیسی ها به آن اعمال شده است. مثل: software installation, drive mappings, startup scripts or logon scripts و غیره. و از ویندوز XP به بعد کاربران می توانند به صورت دستی با استفاده از دستور gpupdate در کامند پرامپت پالیسی اعمال شده را تازه و به روز کنند.

وراثت (Inheritance):

پالیسی موجود در ساختار سلسله مراتبی از راس تا زیرمجموعه را سپری می کند. و این مورد می تواند اجرا یا جلو گیری شود تا مشخص شود که پالیسی به کدام سطح اعمال می شود.

Filtering:

WMI Filteringُ فرایند منتخب برای حوزه پالیسی می باشد با انتخاب Windows Management Instrumentation، این فیلترینگ به مدیران شبکه این امکان را می دهد تا GPO فقط به کامپیوتری با نوع و مدل مشخص، میزان رم، نصب نرم افزار و یا هر چیز موجود از طریق دزخواست های WMI اعمال شود.

Group Policy preferences:

مجموعه ای از پسوندهای تنظیمات Group Policy وجود دارند که قبلا به عنوان PolicyMaker شناخته می شدند. مایکروسافت PolicyMaker را خریداری کرد و آنرا با ویندوز سرور 2008 یکپارچه کرد، مایکروسافت از زمانی که Migration Tool منتشر کرده است، به کاربران اجازه می دهد از موارد PolicyMaker به Group Policy Preferences مهاجرت کنند. Group Policy Preferences تعدادی از اقلام تنظیمات جدید را اضافه کرده است. این موارد همچنین شامل گزینه های هدفمند مشخصی می باشند که می توانند درخواست این تنظیمات را کنترل کنند. Group Policy Preferences با ویندوزهای XP 32بیتی، 64 بیتی، ویندوز سرور 2003 و ویندوز ویستا، با وجود Client Side Extensions سازگار می باشد. همچنین CSE در حال حاضر در ویندوز های Server 2008, Windows 7, Windows Server 2008 R2 موجود می باشد.

Advanced Group Policy Management:

Microsoft ابزاری را برای تغییر در پالیسی ها نیز عرضه کرد، با نام Advanced Group Policy Management. این ابزار برای هر سازمانی که مجوز Microsoft Desktop Optimization Pack را ذاشته باشد موجود می باشد. این ابزار پیشرفته و کارآمد این امکان را به مدیران شبکه می دهد تا ورودی یا خروجی یک پالیسی مشخص، پیگیری تغییرات در یک پالیسی و تغییرات پیاده سازی شده برای گردش کاری یک پالیسی را بررسی کنند.

AGMP شامل دو قسمت می شود که عبارتند از:

1.  Server: سرویس ویندوزی است که GPO هایش را در یکی از ارشیوهایش روی همان سیستم یا در محل به اشتراک گذاشته ای ذخیره می کند.
2.  snap-in :Client ای از Group Policy Management Console می باشد که به AGPM server متصل می باشد.

برای باز کردن GPMC، به Windows Server Manager بروید > Tools Menu > Group Policy Management را باز کنید.

 نصب Group Policy Management

• Open the Server Manager

به طور پیش فرض، برنامه Server Manager در نوار وظیفه پین شده است. اما اگر نتوانستید آن را در آنجا پیدا کنید، می توانید ترکیب کلیدهای Win + R را نگه دارید تا پنجره Run باز شود. سپس «Server Manager» را تایپ کرده و روی «OK» کلیک کنید.

در داشبوردServer Manager، روی «اAdd roles and featuresا» کلیک کنید.

• The Add Features and Roles Wizard will open

«Installation Type» را با مقادیر پیش‌فرض آن بگذارید: «Role-based or Feature-based installation».

• Select a server from your server pool
  

سروری را که در حال اجرا ویندوز است، جایی که می‌خواهید GPMC را نصب کنید، پیدا کنید. روی «NEXT» کلیک کنید.

از Server Roles رد شوید و به «Features» بروید. در بخش «Features»، باید ابزار «Group Policy Management» را پیدا کنید. کادر را علامت بزنید، روی «NEXT» کلیک کنید و روی «Install» کلیک کنید.

مراحل نصب چند دقیقه طول میکشد تا کامل شود.

چگونه از کنسول مدیریت خط مشی گروه استفاده کنیم؟

برای باز کردن GPMC، مجدداً به ابزار Administrator (Windows + R) بروید و «Administrator Tools» را تایپ کنید)، کنسول Group Policy Management را پیدا کرده و دوبار کلیک کنید.

چگونه یک شیء  (GPO)  جدید ایجاد کنیم؟

مهمترین تنظیمات گروپ پالسی:

1-تعدیل دسترسی به کنترل پنل

تنظیم محدودیت در کنترل پنل رایانه باعث ایجاد یک محیط تجاری امن تر می شود. از طریق Control Panel می توانید تمام جوانب رایانه خود را کنترل کنید. بنابراین ، با تعدیل افرادی که به رایانه دسترسی دارند می توانید داده ها و منابع دیگر را ایمن نگه دارید.

2- از ذخیره Windows Manager Hash جلوگیری کنید

ویندوز پسوردِ اکانت کاربر را در Hashها تولید و ذخیره می کند. ویندوز هم یک هش مدیر Lan و هم یک هش NT ویندوز (NT Hash) از پسوردها تولید می کند و آن ها را در بخش پایگاه داده مدیریت اکانتهای محلی یا اکتیو دایرکتوری ذخیره می کند. هش مدیر Lan ضعیف و مستعد هک شدن است.بنابراین شما باید جلوی ویندوز را بگیرید تا یک هش مدیر Lan از پسوردهای شما را ذخیره نکند. برای اینکار مراحل زیر را انجام دهید:

1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:

Computer Configuration> Policies> Windows Setting> Security Setting> local policies> security options

2.در بخش سمت راست صفحه، روی پالسی Network security: Do not store LAN Manager hash value on next password change دبل کلیک کنید.

3.گزینه Define this policy setting را انتخاب کرده و روی Enable کلیک کنید.

4.در نهایت روی Apply و سپس  ok کلیک کنید.

3-دسترسی به خط فرمان (CMD) را کنترل کنید.

خط فرمان را می توان برای اجرای دستوراتی که دسترسی سطح بالایی به کاربران می دهد و از دیگر محدودیت های سیستم می گریزد ، استفاده کرد. بنابراین ، برای اطمینان از امنیت منابع سیستم ، غیرفعال کردن Command Prompt عاقلانه است.

بعد از غیرفعال کردن Command Prompt اگر شخصی سعی در باز کردن یک پنجره خط فرمان داشته باشد، سیستم پیامی را نشان می دهد که می گوید برخی تنظیمات از این کار جلوگیری می کنند. برای اینکار مراحل زیر را انجام دهید:

1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:

User Configuration>Policies>Windows Settings> Administrative Templates> System

2.در در بخش سمت راست صفحه، روی پالسی Prevent access to the command prompt

دبل کلیک کنید.

3.برای اعمال پالسی روی Enable کلیک کنید.

4.در نهایت روی Apply و سپس  ok کلیک کنید.

4-راه اندازی مجدد اجباری سیستم را غیرفعال کنید

راه اندازی مجدد اجباری سیستم رایج است. به عنوان مثال ، ممکن است با شرایطی روبرو شوید که در رایانه کار می کنید و ویندوز پیامی را نشان می دهد که بیان می کند سیستم شما به دلیل بروزرسانی امنیتی نیاز به راه اندازی مجدد دارد.

در بسیاری از موارد ، اگر شما متوجه پیام نشدید یا مدتی برای پاسخ به آن نیاز دارید ، رایانه به صورت خودکار مجدداً راه اندازی می شود و کار مهم و غیر ذخیره شده ای را از دست می دهید. برای غیرفعال کردن راه اندازی مجدد اجباری از طریق GPO ، مراحل زیر را انجام دهید:

1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:

Computer Configuration>Policies>Administrative Templates>Windows Component>Windows Update

2.در بخش سمت راست صفحه، روی پالسی No auto-restart with logged on users for scheduled automatic updates installations  دبل کلیک کنید.

3.برای فعال کردن پالسی روی Enable کلیک کنید.

4.در نهایت روی Apply و سپس  ok کلیک کنید.

5- درایوهای رسانه قابل جابجایی [usb] ، دی وی دی ، سی دی و درایوهای فلاپی را غیرفعال کنید

درایوهای رسانه قابل جابجایی بسیار مستعد ابتلا به آلودگی هستند ، همچنین ممکن است حاوی ویروس یا بدافزار باشند. اگر کاربر درایو آلوده را به رایانه شبکه وصل کند ، می تواند بر کل شبکه تأثیر بگذارد!. به طور مشابه ، دی وی دی ، سی دی و فلاپی درایو مستعد ابتلا به آلودگی هستند.

بنابراین بهتر است همه این درایوهای را به طور کامل غیرفعال کنید. برای انجام این کار مراحل زیر را انجام دهید:

1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:

User Configuration> Policies> Administrative Templates> System> Removable Storage Access

2.در بخش سمت راست صفحه، روی پالسی All removable storage classes: Deny all accesses  دبل کلیک کنید.

3.برای فعال کردن پالسی روی Enable کلیک کنید.

4.در نهایت روی Apply و سپس  ok کلیک کنید.

6-نصب نرم افزار را محدود کنید

وقتی آزادی نصب نرم افزار را به کاربران می دهید ، ممکن است برنامه های ناخواسته را نصب کنند که سیستم شما را به خطر بیاندازد. معمولاً سرپرست سیستم مجبور است تعمیر و نگهداری و تمیز کردن چنین سیستمهایی را انجام دهد. برای اینکه در جانب ایمن قرار داشته باشید ، توصیه می شود از طریق گروپ پالسی، از نصب نرم افزار جلوگیری کنید:

1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:

Computer Configuration>Policies> Administrative Templates> Windows Component> Windows Installer

2.در بخش سمت راست صفحه، روی پالسی Prohibit User Install  دبل کلیک کنید.

3.برای فعال کردن پالسی روی Enable کلیک کنید.

4.در نهایت روی Apply و سپس  ok کلیک کنید.

7-غیرفعال کردن حساب مهمان

از طریق یک حساب مهمان ، کاربران می توانند به داده های حساس دسترسی پیدا کنند. چنین حسابهایی امکان دسترسی به رایانه ویندوز را دارند و نیازی به رمز عبور ندارند.! فعال کردن این حساب به این معنی است که هر کسی می تواند از دسترسی به سیستمهای شما سوءاستفاده کند.

خوشبختانه ، این حسابها بصورت پیش فرض غیرفعال شده اند. بهتر است بررسی کنید که در محیط IT شما اینگونه است ، زیرا اگر این حساب در دامنه شما فعال باشد ، غیرفعال کردن آن باعث جلوگیری از سوء استفاده افراد از دسترسی می شود. برای غیر فعال کردن این حساب مراحل زیر را دنبال می کنیم:

1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:

Computer Configuration>Policies> Windows Settings> Security Settings> Local Policies> Security Options

2.در بخش سمت راست صفحه، روی پالسی Accounts: Guest Account Statusدبل کلیک کنید.

3.چک‌باکس Define this policy setting را انتخاب کرده سپس روی Disabledکلیک کنید.

4.در نهایت روی Apply و سپس  ok کلیک کنید.

8-حداقل طول گذرواژه را در حد بالاتر تنظیم کنید

حداقل طول رمز عبور را در حد بالاتر قرار دهید!. به عنوان مثال ، برای حسابهای رده بالا ، رمزهای عبور باید حداقل 15 نویسه و برای حسابهای عادی حداقل 12 کاراکتر تنظیم شوند. تنظیم مقدار پایین تر برای حداقل طول رمز عبور ، خطر غیرضروری را ایجاد می کند. تنظیم پیش فرض صفر کاراکتر است ، بنابراین شما باید یک شماره را مشخص کنید.! برای اینکار مراحل زیر را طی می کنیم:

1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:

Computer Configuration>Policies> Windows Settings> Security > Account Policies> Password Policy

2.در بخش سمت راست صفحه، روی پالسی  Minimum password lengthدبل کلیک کرده و چک‌باکس Define this policy setting را انتخاب کنید.

3.مقداری برای طول رمز عبور مشخص کنید.

4.در نهایت روی Apply و سپس  ok کلیک کنید.

9-حداکثر سن رمز عبور را در حد پایین قرار دهید

اگر سن انقضاء رمز عبور را برای مدت زمانی طولانی تنظیم کنید ، کاربران مجبور نخواهند بود آنرا مرتباً تغییر دهند ، این بدان معنی است که به احتمال زیاد یک رمز عبور به سرقت می رود. برای حفظ بهتر امنیت دوره انقضاء رمز عبور کوتاه ترجیح داده می شود.

حداکثر سن پیش فرض گذرواژه ویندوز 42 روز تنظیم شده است.! تصویر زیر تنظیمات گروپ پالسی مورد استفاده برای پیکربندی “حداکثر سن رمز عبور” را نشان می دهد. مراحل زیر را انجام دهید:

1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:

Computer Configuration>Policies> Windows Settings> Security Settings> Account Policies> Password Policy

2.در بخش سمت راست صفحه، روی پالسی  Maximum password ageدبل کلیک کنید.

3.چک‌باکس Define this policy setting را انتخاب کرده و یک مقدار را مشخص کنید.

4.در نهایت روی Apply و سپس  ok کلیک کنید.

10- شمارش ناشناس SID را غیرفعال کنید

Active Directory شماره منحصر به فردی را به تمام اشیاء امنیتی موجود در Active Directory اختصاص می دهد! از جمله کاربران ، گروه ها و افراد دیگر که به نام شماره شناسه های امنیتی (SID) نامیده می شود. در نسخه های قدیمی ویندوز ، کاربران می توانند SID ها را برای شناسایی کاربران و گروه های مهم استعلام کنند. برای دستیابی غیرمجاز به داده ها ، هکرها می توانند از این قانون استفاده کنند. به طور پیش فرض ، این تنظیم غیرفعال است ، اطمینان حاصل کنید که این روش همچنان باقی می ماند. برای این هدف مراحل زیر را انجام دهید:

1.در صفحه Group Policy Management editor (صفحه باز شده برای GPO سفارشی) وارد مسیر زیر شوید:

Computer Configuration> Policies> Windows Settings> Security Settings> Local Policies> Security Options

2.در بخش سمت راست صفحه، روی پالسی  Network Access: Do not allow anonymous enumeration of SAM accounts and shares دبل کلیک کنید.

3.برای فعال کردن پالسی روی Enable کلیک کنید.

4.در نهایت روی Apply و سپس  ok کلیک کنید.