0
فهرست
  1. صفحه نخست
  2. مایکروسافت

10 تا از مهم ترین تنظیمات گروپ پالیسی(GPO)

تاریخ انتشار 1 مهر 1398
دسته بندی

معرفی :

حتما بار ها و بار ها اسم گروپ پالیسی یا GPO را شنیده اید . گروپ پالیسی به ادمین های شبکه کمک می کنند که شبکه ی خود را راحت تر مدیریت کنند و امنیت را بالا ببرند . در این مقاله قصد داریم تعدادی از مهم ترین تنظیمات گروپ پالیسی را معرفی کنیم که با فعال کردن آن ها تا حد زیادی امنیت شبکه ی خود را تامین خواهید کرد .

 

راه اندازی :

با وارد کردن این دستور در ران (RUN) وارد تنظیمات گروپ پالیسی شوید (RUN = windows+R):

دامین : GPMC.MSC

ورک گروپ : GPEDIT.MSC

 

1- بستن دسترسی به کنترل پنل (Control Panel) :

بسیاری از تنظیمات مهم ویندوز در کنترل پنل انجام می شود که با غیر فعال کردن دسترسی به آن ، امنیت را به شبکه ی خود بازگردانید !!

مسیر غیر فعال کردن :

User Configuration/Administrative Templates/Control Panel/Prohibit access to Control Panel and PC settings/Enabled

گیک گپ

 

2- جلوگیری از ذخیره کردن پسور یوزرها توسط ویندوز با LM HASH یا LAN Manager Hash :

ویندوز تمامی پسور ها را به صورت هش شده نگه می دارد که در این روش از دو مدل LM Hash و NT Hash  استفاده می کند.

LM Hash رمز گزاری ضعیفی دارد و قابلیت هک شدن بالایی دارد . بنابراین ترجیح بر این است که این ویژگی را غیر فعال کنید .

 

Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options/Network security: Do not store LAN Manager hash value on next password change/Enabled

 

3- بستن CMD یا Command Prompt :

همگی از اهمیت CMD در ویندوز آگاه هستیم و مشخص است که دادن دسترسی یوزر ها به CMD تا چه اندازه می تواند مشکل زا باشد . از این طریق می توانید دسترسی به CMD را ببندید .

User Configuration/Windows Settings/Policies/Administrative Templates/System/Prevent access to the command prompt/Enabled

 

4- غیر فعال کردن ریست شدن های اجباری سیستم :

حتما برای شما هم پیش آمده که هنگام کار با ویندوز با پیغام Force Reset یا ریست شدن اجباری مواجه شده اید .

حتی گاهی وقت ها این پیغام را ندیده اید و به یک باره سیستم شما ریست شده است و دیتای خود را از دست داده اید .

از این راه می توانید این ویژگی را غیر فعال کنید :

Computer Configuration/Administrative Templates/Windows Component/Windows Update/No auto-restart with logged on users for scheduled automatic updates installations/Enabled

 

گیک گپ

 

5- غیر فعال کردن امکان استفاده از حافظه های جانبی (Removable Media):

به دلیل اهمیت بالای این پالیسی ما در یک مقاله ی جداگانه به توضیح این ویژگی پرداخته ایم .

https://www.geekgap.ir/microsoft/block-removable-devices/

 

6- جلوگیری از نصب نرم افزار (Restrict Software Installations) :

یکی از اساسی ترین مشکل های ادمین شبکه دست و پنجه نرم کردن با نرم افزار های third party می باشد . با این پالیسی اجازه ی نصب برنامه را به یوزر ها نمی دهید .

Computer Configuration/Administrative Templates/Windows Component/Windows Installer/Prohibit User Install/Enabled

 

7- غیر فعال کردن یوزر GUEST :

این یوزر به صورت پیش فرض غیر فعال می باشد اما برای اطمینان خاطر ، از این مسیر این پالیسی را فعال کنید :

Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options/Accounts: Guest Account Status/Disabled

 

8- غیر فعال کردن Anonymous SID :

اکتیو دایرکتوری به هر object از جمله یوزر ها و گروه ها یک آیدی خاص و یونیک اختصاص می دهد که اصلاحا به آن Security Identifiers یا SID گفته می شود . در ویندوز های قدیمی تر یوزر ها و گروه ها نیاز داشتند که به SID یوزر ها یا گروه های دیگر Query بزنند که از امنیت پایینی برخوردار بود . این گزینه به صورت پیش فرض غیر فعال است اما برای محکم کاری از این مسیر پیش روید :

Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/Security Options/Network Access: Do not allow anonymous enumeration of SAM accounts and shares

 

9- حداقل طول پسورد (Minimum Password Length) :

نیاز به گفتن نیست که طول پسور در بالا رفتن امنیت چقدر اهمیت دارد . پیشنهاد مایکروسافت برای طول پسورد ، برای اکانت های ادمین حداقل 15 کاراکتر ( دقت کنید کاراکتر ! نه عدد یا حروف ) و برای کاربر های عادی 12 کاراکتر می باشد .

Computer Configuration/Windows Settings/Security Settings/Account Policies/Password Policy/Minimum password length

حال طول پسوردها را مشخص کنید.

 

10- حداکثر سن پسورد (Maximum Password Age) :

این مدت زمانی است که ادمین تعیین می کند و یک یوزر پس از این مدت باید به عوض کردن پسورد خود اقدام کند وگرنه اجازه ی لاگین کردن به سیستم خود را نمی دهد .

به صورت پیش فرض این زمان 42 روز می باشد .

Computer Configuration/Windows Settings/Security Settings/Account Policies/Password Policy/Maximum password age

 

نکته : خوب است حالا که تا Password Policy آمده اید گزینه ی Password Complexity را نیز فعال کنید که یوزر را مجبور به گذاشتن یک پسورد پیچیده ، شامل عدد و حروف و کاراکتر می کند .

 

پیروز باشید .

گیک گپ ، اجتماعی برای گیک ها 

امتیاز ما
برای امتیاز به این پست کلیک کنید
[کل: 1 میانگین: 4]
Post Views: 155
geekgapgpogroup policyMicrosoftاریا غلاملوگروپ پالیسیگیک گپمایکروسافت
مطالب مرتبط
عوض کردن پورت rdp
تغییر شماره پورت پیش فرض Remote Desktop
best practice in gpo
چگونه با گروپ پالیسی (GPO) بهترین عملکرد (Best Practice) داشته باشیم؟
security and distribution GROUP
تفاوت Security Group و Distribution Group در اکتیودایرکتوری
ارسال دیدگاه