ابزار گروپ پالیسی یکی از مهمترین ابزارهای ویندوز به شمار میرود، که میتوانیم با استفاده از آن امنیت ویندوز و شبکه ی خود را افزایش دهیم، موضوع امنیت در شبکه یکی از مهمترین موضوعات مطرح بحث شبکه های کامپیوتری محسوب میشود که لازم است به آن توجه ویژه ای شود، همچنین ممکن است دسترسی هایی بسته شده باشد که جلو برخی کارهای عادی را گرفته باشد برای حل این مشکلات لازم است از طریق group policy اقدام کنیم و مشکل را برطرف کنیم، برای مثال می دانیم که اگر با ارور this app has been block در ویندوز رو به رو شویم ، یکی از راه کارها این است که تنظیمات مرتبط با نصب نرم افزارها در ویندوز را طریق گروپ پالیسی انجام دهیم تا نصب نرم افزارها به راحتی انجام شود " رفع ارور this app has blocked "
در این مقاله به صورت کامل با مفهوم گروپ پالیسی در ویندوز آشنا خواهیم شد و کاربرد های آن را بررسی خواهیم کرد، با کارشناسان پشتیبان ویندوز رایانه کمک تا انتهای این مقاله همراه باشید.
🌟🌟خدمات رایانه کمک : ما روزانه به میلیون سوال کامپیوتری شما پاسخ داده ایم ، هر زمان با مشکلی رو به رو شدین کافیه از طریق تلفن های ثابت سراسر کشور با شماره 9099071540 و از طریق موبایل با شماره 0217129 با ما در ارتباط باشید.
در این مقاله چه خواهیم خواند؟
✅گروپ پالیسی چیست؟
✅ورود به گروپ پالیسی Group policy ویندوز
✅گروپ پالیسی ویندوز چه کاربرد هایی دارد؟
✅مهم ترین تنظیمات گروپ پالیسی(GPO)
✅بستن دسترسی به cmd با group policy
✅جلوگیری از ذخیره کردن پسورد در ویندوز LAN Manager Hash :
✅ غیر فعال کردن Anonymous SID با هدف بالا بردن امنیت شبکه
✅بستن دسترسی استفاده از رم و فلش ( حافظه های جانبی ) با پالیسی
✅غیر فعال کردن یوز مهمان یا guest
✅تعیین پیچیدگی و زمان تغییر پسورد در ویندوز
✅جلوگیری از نصب نرم افزار (Restrict Software Installations) :
✅افزایش تعداد کارکتر های پسورد با group policy
✅جلوگیری از force reset و خاموش شدن ناگهانی سیستم
✅سخن آخر
نکته : در صورتی که نیاز به مطلب خاصی در حوزه آموزش کامپیوتر ، موبایل و شبکه دارید در بخش دیدگاه ها مطرح کنید، اگر مطلب را از قبل روی سایت قرار داده باشیم آن را برای شما آپدیت شده ارسال خواهیم کرد و اگر هنوز چنین مطلبی را بر روی سایت قرار نداده باشیم با درخواست شما مطلب آموزشی به صورت رایگان انتشار پیدا خواهد کرد.
گروپ پالیسی چیست؟
Group policy یا به اختصار GP یکی از مهمترین اجزای ویندوز به شمار میرود، اول از همه مهمترین سوال برای کاربران این است که group policy چیست؟ در حقیقت گروپ پالیسی یک ویژگی در ویندوز است که انجام تنظیمات پیشرفته بر روی ویندوز را تسهیل میکند،معمولا اگر کاربر عادی باشید به غیر از مواقعی که میخواهید یک ارور کامپیوتری را رفع کنید کاری با این بخش ویندوز ندارید اما ادمین شبکه میتواند فعالیت های یوزرهای داخل شبکه را از طریق group policy ویندوز کنترل کند.
در حقیقت میتوانیم بگوییم group policy مکان متمرکزی را برای مدیران فراهم میکند تا به راحتی بتوانند پیکربندی سیستم عامل، برنامه ها و تنظیمات کابران و امنیت را انجام دهند.
اگر مدت زیادی است با کامپیوتر سر و کار دارید و یا اگر به تازگی به کلاس کامپیوتر رفتین و پا در این عرصه بزرگ گذاشته اید حتما عبارت GP را شنیده اید، این عبارت کوتاه شده عبارت group policy است.
اگر به درستی از گروپ پالیسی استفاده کنید ، میتوانید امنیت کاربران کامپیوتر خود را افرایش دهید ( حتی امنیت شبکه ) که این امر به ما کمک میکند تا به راحتی در برابر تهدیدهای داخلی و خارجی دفاع کنیم.
نکته : در تمامی نسخه های ویندوز ما ابزار group policy را نداریم و تنها در نسخه های Professional و Enterprise و یا در نسخه های ویندوز 7 در ultimate ما دسترسی به ابزار گروپ پالیسی را داریم.
فکر میکنم تا به اینجا به سوال پالیسی چیست؟ پاسخ داده ایم. حال میخواهیم بدانیم چطور وارد این تنظیمات گروپ پالیسی ویندوز شویم؟
پیشنهاد مطلب: بسیاری از کاربران ویندوز دوست دارند پلی استور روی ویندوز داشته باشند، مقاله آموزش نصب پلی استور روی ویندوز رو از دست نده.
ورود به گروپ پالیسی Group policy ویندوز
از چند طریق در ویندوز میتوانیم وارد تنظیمات گروپ پالیسی ویندوز شویم ، ممکن است بخواهید از طریق run اینکار را انجام دهید که در این حالت مسیر زیر را طی میکنید :
🔻ابتدا کلیک های ترکیبی R + windows را فشار دهید تا پنجره run ویندوز برای شما باز شود.
🔻حال برای دسترسی به گروپ پالیسی دستور gpedit. msc را وارد و Enter را بزنید.
🔻با اینکار صفحه تنظیمات سیاست های ویندوز برای شما باز خواهد شد.
🔻همچنین میتوانید از طریق سرچ ویندوز به گروپ پالیسی دسترسی داشته باشید برای اینکار ابتدا کلیدهای ترکیبی Windows key + Q را همزمان از کیبورد میفشاریم تا وارد سرچ ویندوز شویم
🔻سپس کافیه کلمه group را سرچ کنید تا صفحه ادیت گروپ پالیسی edit group policy برای شما نمایش داده شود
🔻سپس میتوانید وارد شوید و تنظیمات گروپ پالیسی مورد نظر خود را اعمال کنید.
🔻صفحه ای که در پایین مشاهده میکنید صفحه گروپ پالیسی ویندوز است که میتوانید تنظیمات امنیتی در دو بخش computer configuration و user configuration اعمال کنید.
گروپ پالیسی ویندوز چه کاربرد هایی دارد؟
معمولا کاربران عادی با بخش گروپ پالیسی ویندوز کاری ندارند، اما اگر ادمین یک شبکه باشید، برای مثال زمانی که پشتیبانی یک شبکه از راه دور را انجام می دهید ، اعمال تنظیمات پالیسی و برقراری امنیت شبکه یکی از مهمترین کارهای شما در نگهداری از شبکه محسوب میشود، group policy به شما کمک خواهد کرد که شبکه ی خود را راحت تر مدیریت کنید و ، با تعریف کردن پالیسی های درست امنیت شبکه را افزایش دهید، در ادامه برخی از مهمترین تنظیمات گروپ پالیسی را به شما معرفی خواهیم کرد تا به عنوان یک ادمین شبکه بتوانید به راحتی با فعال کردن آنها امنیت خوبی را برای شبکه خود برقرار کنید.
برخی از پالیسی های مهم در اکتیودایرکتوری شامل موارد زیر می باشد:
❇️جلوگیری از دسترسی به Control panel از طریق گروپ پالیسی
❇️بستن دسترسی به cmd با group policy
❇️جلوگیری از ذخیره کردن پسورد در ویندوز LAN Manager Hash
❇️غیر فعال کردن Anonymous SID با هدف بالا بردن امنیت شبکه
❇️غیر فعال کردن Anonymous SID با هدف بالا بردن امنیت شبکه
❇️بستن دسترسی استفاده از رم و فلش ( حافظه های جانبی ) با پالیسی
❇️تعیین پیچیدگی و زمان تغییر پسورد در ویندوز
❇️غیر فعال کردن یوز مهمان یا guest
❇️تعیین پیچیدگی و زمان تغییر پسورد در ویندوز
❇️جلوگیری از نصب نرم افزار
❇️افزایش تعداد کارکتر های پسورد با group policy
🌟🌟 خدمات رایانه کمک : در صورتی که نیاز به پشتیبانی شبکه تلفنی دارید کافیه از طریق تلفن های ثابت سراسر کشور با شماره 9099071540 و از طریق موبایل با شماره 0217129 با ما در تماس باشید، ما به شما هم آموزش خواهیم داد و مشکل آنی شبکه ای شما را حل خواهیم کرد.
مهم ترین تنظیمات گروپ پالیسی(GPO)
ابتدا از روش هایی که گفتیم استفاده کنید و وارد صفحه تغییر گروپ پالیسی ویندوز شوید
میتوانید run را با کلید های windows+R باز کنید و اگر از شبکه دامین استفاده میکنید عبارت GPMC.MSC و اگر از شبکه ورک گروپ استفاده میکنید عبارت GPEDIT.MSC را بنویسید تا صفحه پالیسی ویندوز باز شود.
جلوگیری از دسترسی به Control panel از طریق گروپ پالیسی
یکی از کارهایی که برای بالا بردن امنیت شبکه میتوانیم انجام دهیم بستن کنترل پنل است، بسیاری از مواقع کاربران داخل شبکه نیازی به تنظیمات ویندوز ندارند و تنها با انجام کارهای روتین و استفاده از نرم افزارهایی مانند آفیس و مروگر ها کارهای روزمره خود را میتوانند انجام دهند، بنابراین در چنین شرایطی میتوانیم دسترسی کنترل پنل ویندوز را محدود کنیم تا امنیت شبکه را افزایش دهیم برای انجام اینکار مراحل زیر را طی میکنیم :
🔻ابتدا وارد User Configuration میشویم
🔻حالا گزینه Administrative Templates را باز کنید
🔻سپس بخش Control Panel را باز کنید
🔻به دنبال گزینه Prohibit access to Control Panel and PC settings باشید و با دابل کلیک کردن وارد تنظیمات مرتبط با این پالیسی شوید
🔻حالا گزینه Enabled را انتخاب کنید.
🔻کار تمام است با انجام مراحل بالا دسترسی به کنترل پنل از طریق group policy ویندوز گرفته شده است.
بستن دسترسی به cmd با group policy
🔻یکی دیگر از مهمترین ابزارهای ویندوز cmd است و میدانیم که دسترسی دادن به یوزرهای شبکه به این ابزار میتواند بسیار مشکل زا باشد بنابراین بهتر است با انجام مراحلی دسترسی به cmd را با گروپ پالیسی محدود کنیم
🔻مجدد وارد user configuration میشویم تا پیکربندی دیگری را در سطح کاربران انجام دهیم
🔻و در بخش پایین گزینه Administrative Templates را انتخاب کنید
🔻وارد گزینه System شوید
🔻حالا لازمه Prevent access to the command prompt را پیدا کنید و آن را با انتخاب گزینه enable فعال کنید.
جلوگیری از ذخیره کردن پسورد در ویندوز LAN Manager Hash
همانطور که میدانید ویندوز تمامی پسورد ها را به صورت هش شده نگهداری میکند ، برای اینکار معمولا از دو روش lm hash و NT Hash استفاده میکند ، حال از آنجایی که LM Hash رمزگذاری ضعیفی دارد معمولا یک ادمین شبکه ترجیح میدهد که برای حفظ امنیت شبکه خود جلو ذخیره شدن این پسوردهای هش شده را بگیرد ، برای اینکار میتوانید مسیر زیر را طی کنید.
🔻ابتدا وارد computer Configuration میشویم
🔻حالا گزینه Windows Settings را باز کنید
🔻سپس وار گزینه Security Settings شوید
🔻و بخش Local Policies را باز کنید
🔻در قسمت Security Options گزینهNetwork security: Do not store LAN Manager hash value on next password change را انتخاب کنید و در نهایت گزینه enable را میتوانید برای انجام اینکار انتخاب کنید.
غیر فعال کردن Anonymous SID با هدف بالا بردن امنیت شبکه
میدانید که در اکتیور دایرکتوری به هر کدام از object های موجود اعم از یوزها و گروها یک آی دی خاص و یونیک داده میشود که به آن security identification و یا SID گفته میشود، در ویندوز های قدیمی معمولا گروه ها به sid یوزها و گروه های دیگر query میزدند که از امنیت پایینی برخوردار بود، بهتر است این sid ناشناس را غیر فعال کنید تا امنیت شبکه را بالا ببرید، برای انجام اینکار مسیر زیر را طی میکنیم :
🌟🌟خدمات رایانه کمک : همیشه برای حل مشکلات شبکه ای و کامپیوتری در کنار شما هستیم ، تماس با ما از طریق تلفن های ثابت سراسر کشور با شماره 9099071540 و از طریق موبایل با شماره 0217129 امکان پذیر است.
🔻مجدد وارد بخش computer configuration میشویم تا تنظیمات پیکربندی مربوط به کامپیوتر را انجام دهیم.
🔻وارد بخش Windows Settings شوید
🔻بر روی قسمت Local Policies کلیک کنید
🔻حالا Security Options را انتخاب کنید
🔻در این بخش پالیسی با نام Network Access: Do not allow anonymous enumeration of SAM accounts and shares را پیدا کنید و در حالت فعال قرار دهید.
بستن دسترسی استفاده از رم و فلش ( حافظه های جانبی ) با پالیسی
یکی دیگر از مواردی که میتواند امنیت شبکه شما را پایین بیآورد این است که امکان اتصال حافظه های جانبی و یا Removable Media را داشته باشید ، چرا که افراد میتوانند اطلاعات را کپی و جا به جا کنند و تا جای امکان ما نباید اجازه دهیم امکان اطلاعات از داخل شبکه به بیرون داشته باشد. برای بستن پورت های یو اس بی و عدم اجازه استفاده از حافظه های فلش و مموری در کامپیوتر های داخل شبکه مسیر زیر را طی میکنیم :
وارد دو مسیر زیر میشویم
User Configuration -> Policies -> Administrative Templates -> System -> Removable Storage Access
Computer Configuration -> Policies -> Administrative Templates -> System -> Removable Storage Access
در این بخش پالیسی های متفاوتی را مشاهده می کنید
میتوانید با توجه به نیاز خود یکی از این پالیسی ها را انتخاب کنید و تنظیم کنید برای مثال گزینه removable disk: deny write access برای مواقعی است که میخواهیم کاربر شبکه توانایی خواندن و مشاهده اطلاعات فلش بر روی سیستم خود را داشته باشد اما امکان کپی کردن اطلاعات از داخل سیستم بر روی فلش و یا مموری مورد نظر وجود نداشته باشد
زمانی که این پالیسی را فعال میکنیم ، مواقعی که کاربران از حافظه های قابل حمل استفاده کنند و بخواهند دستوراتی که منع شده اند را اجرا کنند با ارور های زیر رو به رو میشوند
- access denied
- location is not available
- drive is not accessible
غیر فعال کردن یوز مهمان یا guest
به صورت پیش فرض برای برقراری امنیت ویندوز یوزر مهمان غیر فعال است اما ممکن است به دلیلی فعال شده باشد که لازم است آن را غیر فعال کنید چرا که اگر فردی پسورد ویندوز را نداند میتواند با دسترسی به این یوزر و افزایش سطح دسترسی این یوزر به ویندوز شما دسترسی پیدا کند بنابراین بهتر است این یوزر غیر فعال باشد.
🔻ابتدا وارد بخش پیکربندی کامپیوتر Computer Configuration در پالیسی ویندوز میشویم
🔻حالا وارد بخش تنظیمات ویندوز Windows Settings شوید
🔻گزینه تنظیمات امنیت Security Settings را انتخاب کنید
🔻وارد بخش Local Policies شوید
🔻گزینه Security Options را انتخاب کنید
🔻با غیر فعال کردن گزینه Accounts: Guest Account Status میتوانید این اکانت را غیر فعال کنید ، کافیه گزینه Disabled را انتخاب کنید.
تعیین پیچیدگی و زمان تغییر پسورد در ویندوز
بهتر است یک زمان برای پسورد های ورود به ویندوز انتخاب کنید، با اینکار هر یک مدت یکبار کاربر را مجبور به تعویض پسورد میکنیم ، اصطلاحا میگوییم برای پسورد های ویندوز حداکثر سن پسورد Maximum Password Age تعیین کرده ایم، پس از گذشت مدت زمانی که شما تعیین میکنید کاربر مجبور است پسورد خود را تغییر دهد وگرنه اجازه ورود به ویندوز را نخواهد داشت
🔻برای انجام اینکار مسیر زیر را طی کنید و یک سن مناسب مثلا یک ماه برای پسورد ویندوز در نظر بگیرد
🔻Computer Configuration/Windows Settings/Security Settings/Account
🔻Policies/Password Policy/Maximum password age
🔻همچنین بهتر است حالا که Password Policy را انجام داده اید، گزینه ی Password Complexity را نیز فعال کنید که یوزر را مجبور به گذاشتن یک پسورد پیچیده ، شامل عدد و حروف و کاراکتر می کند این تنظیمات پالیسی هم برای بالا بردن امنیت ویندوز بسیار مفید است و باعث افزایش امنیت شبکه شما میشود .
جلوگیری از نصب نرم افزار (Restrict Software Installations) :
یکی از مهمترین پالیسی هایی که میتوانستم در این مقاله جای دهم و به شما معرفی کنیم این بود که جلو نصب نرم افزار ها را بگیرید، برخی کاربران اصلا توجهی به سورس های دانلود ندارند و هر نرم افزاری را ممکن است بر روی ویندوز نصب کنند، حتی نرم افزارهایی که شامل نسخه هایی از بد افزارها هستند ، خیلی مهم است که این بخش را غیر فعال کنید تا اگر نیاز به نصب نرم افزاری بود خودتان انجام دهید، برای مثال دیده شده کاربر برای نصب آفیس از یک سورس نامعتبر استفاده کرده است که باعث ورود بدافزار در ویندوز شده است.
با انجام مراحل زیر پالیسی اعمال کنید تا از طریق گروپ پالسی اجازه نصب نرم افزار بر روی ویندوز را بگیرید.
🔻لازم است ابتدا به بخش پیکربندی کامپیوتر یا Computer Configuration برویم
🔻حالا گزینه Administrative Templates را انتخاب کنید
🔻زیر مجموعه Windows Component را باز کنید
🔻بخش Windows Installer را نیز باز کنید
🔻پالیسی Prohibit User Install/Enabled را انتخاب و آن را با گزینه فعال کنید
پیشنهاد مطلب: مطلب فراموش کردن رمز ویندوز مطالعه کن.
افزایش تعداد کارکتر های پسورد با group policy
حداقل لازم است کاربران عادی بین 8 تا 12 کاراکتر را برای پسورد خود انتخاب کنند ، اگر امنیت شبکه و ویندوز برای مهم است لازم است یک حداقل طول پسورد Minimum Password Length نیز در نظر بگیریم تا از انتخاب کردن پسورد های کوتاه و قابل حدس از طرف کاربران شبکه و در نتیجه هک شدن سیستم ها جلوگیری کنیم ، برای اینکار مراحل زیر را در گروپ پالیسی ویندوز انجام میدهیم.
Computer Configuration/Windows Settings/Security Settings/Account Policies/Password Policy/Minimum password length
مسیری که مشاهده کردین را انتخاب میکنیم و در نهایت یک حداقل طول پسورد برای ویندوز مشخص میکنیم تا کلاینت ها امکان انتخاب پسورد های کوتاه را نداشته باشند.
جلوگیری از force reset و خاموش شدن ناگهانی سیستم
برای همه ما پیش آمده است که هنگام کار با سیستم به یکباره با پیغام Force Reset رو به رو شده ایم و سیستم خاموش شده است! در چنین مواقعی چه اتفاقی میافتد؟ ممکن اطلاعات مهمی را در همین ریست شدن یهوی کامپیوتر از دست بدهیم! بهتر است جلو Force Reset را بگیرد ، برای انجام اینکار مراحل زیر را دنبال میکنیم
🔻ابتدا وارد گزینه Computer Configuration میشویم
🔻بخش Administrative Templates را انتخاب میکنیم
🔻زیر مجموعه Windows Component را باز کنید
🔻گزینه Windows Update را انتخاب کنید
🔻حالا پالیسی No auto-restart with logged on users for scheduled automatic updates installations را فعال کنید.
سخن آخر
در این مقاله با گروپ پالیسی ویندوز آشنا شدیم ، حالا میدانید که group policy چیست و چه کاربردی دارد، همچنین مهمترین دستورات امنیتی که میتوانستیم برای افزایش امنیت شبکه خود در تنظیمات گروپ پالیسی انجام دهیم را برای شما آوردیم ، امیدواریم این مقاله برای شما عزیزان مفید بوده باشد، در صورتی که سوالی داشته باشید میتوانید از طریق تلفن های ثابت با شماره 9099071540 و از طریق موبایل با شماره 0217129 با رایانه کمک تماس بگیرید تا در کوتاه ترین زمان ممکن پاسخ خود را دریافت کنید .
در صورتی که در رابطه با این مقاله سوالی و یا نظری دارید، بخش دیدگاه ها متعلق به شماست میتوانید در این بخش نظرات خود را برای ما بنویسید ، به سوالات مطرح شده شما در این بخش در کوتاه ترین زمان ممکن پاسخ خواهیم داد.