1. Account Policies: اتخاذ سیاست های در خصوص حساب های کاربری (User Accounts )
2. Local Policies
Auditing Policies : ردیابی اعمال کاربران
User Rights : اختصاص یا عدم اختصاص مجوز کنترل کردن برخی از فعالیت های سیستم همانند تغییر ساعت
Security Option : امکان اعمال تنظیمات امنیتی گوناگون
3. Public Key Policies : مربوط به encrypt data recovery و Certificate authorities
4. Software Restriction Polices : جلوگیری از اجرای برخی از نرم افزار ها
5. System Services : مدیریت و اعمال تنظیمات امنیتی برای قسمت های مثل : Network Services و File & Print Services
6. File System: مدیریت و اعمال تنظیمات امنیتی در خصوص Local File System
7. Registry
8.IP Security Policy
همانطور که مشاهده می کنید بسیاری از تنظیمات مهم از طریق Local Security Policy امکان پذیر است. Local Security Policy در Administrative Tools بیابید و یا از secpol.msc استفاده کنید.
Security Templates :
ویندوز یک سری قالب های پیش ساخته جهت تنظیمات عمومی امنیتی در local Security Policy دارد. شما می توانید این تنظیمات را پس از اعمال به میل خود تغییر دهید و آن را به عنوان یک قالب جدید داشته باشید. استفاده از قالب های امنیتی دو مزیت دارد:
1. با استفاده از قالب های امنیتی پیش ساخته لازم نیست تا تمام تنظیمات را از ابتدا تنظیم کنید.
2. با استفاده از قالب های امنیتی که خود ساخته اید ، لازم نیست تا تنظیمات را روی هر کامپیوتر در شبکه جداگانه تنظیم نمایید. فقط کافی است یک قالب را اعمال کنید.
قالب های پیش ساخته:
· Default security Setup ,security.inf
قالبی است که در زمان نصب ویندوز به صورت خودکار به هر کامپیوتری اعمال می شود. این قالب بر حسب بر حسب آنکه نصب ویندوز clean installation بوده و یا upgrade متفاوت است. این قالب به DC ها نمی تواند اعمال شود.
تذکر: در ویندوز 2000 دو قالب ocfiless برای سرور ها و ocfilesw برای workstation ها استفاده می شد. security.inf به هر دو کامپیوتر سرور و کلاینت می تواند اعمال شود.در Disaster Recovery نیز برای بازگشت تنظیمات امنیتی به حال پیش فرض این قالب اعمال می شود.
نکته از کتاب 70-270 مایکروسافت : این قالب شامل تمام تنظیمات امنیتی است که در زمان نصب ویندوز XP روی یک پارتیشن NTFS اعمال می شود و در زمان برگرداندن تنظیمات به پیش فرض مفید است.
· Domain controller default security ,DC security.inf
این قالب زمانی اعمال می شود که یک سرور ، DC می شود.بر registry ، system service و سایر تنظیمات پیش فرض اعمال می شود.
· Compatible, Compatws.inf
این قالب امنیت فراتری را نصب به قالب پیش فرض نصب ایجاد می کند. اما با این حال به صورت پیش فرض اجرای برنامه هایی که دارای Windows-Certificated (winlogo) باشند بدون مشکل خواهد بود و برنامه های فاقد مجوز فقط توسط Power Users قابل اجرا خواهد بود.
تذکر: در صورت اعمال این قالب اعضای گروه Power Users حذف خواهند شد.
تذکر: این قالب را به DC ها اعمال نکنید.
نکته : دو قالب امنیتی زیر هم برای DC ها و workstation ها موجود است. اگر قالب با دو حرف WS ختم شود مربوط به workstation و اگر به DC ختم شودمربوط به Domain Controller می باشد.
· Secure ,Secure*.inf
این قالب امنیت فراتری را ایجاد می کند ، اما compatibility را تحت شعاع قرار می دهد. مثلا password های قوی تری را الزام می کند و یا lockout و auditing را اعمال می کند.
· Highly Secure, hisec*.inf
این قالب حداثر امنیت در نظر گرفته شده است. با اعمال این قالب به نسبت Secure تاثیری بر compatibility نخواهد داشت. این قالب با الزام کردن استفاده از encryption های قوی تر و امضا برای تشخیص هویت (authentication) و انتقال داده در secure channels بین SMB و سرور تاثیر بسیاری در امنیت برای ترافیک شبکه را دارد.
· System root security, Rootsec.inf
این قالب شامل permission هایی است که به صورت پیش فرض به پارتیشن سیستمی اعمال می شوند.
· No Terminal Server user SID, Notssid.inf
با اعمال این قالب SID های مربوط به Windows Terminal Service پاک خواهند شد و بنابراین Windows Terminal Service اجرا نخواهد شد. توجه داشته باشید که با اعمال این قالب الزاما امنیت افزایش پیدا نخواد کرد.
· Internet Explorer iesacls.inf
با این قالب امکان audit بر استفاده از IE Internet Explorerفراهم می شود.
تذکر مهم : با اعمال قالب های امنیتی ، تنظیمات جدید جایگزین می شود. لذا در DC ها حتما از SYSVOL نسخه پشتیبان (Backup) تهیه کنید و در سایر موارد نیز همواره گرفتن نسخه پشتیبان توصیه می شود.
برای اطلاعات بیشتر در خصوص قالب های پیش ساخته به Technet مراجعه کنید.
برای تغییر در یک قالب پیش ساخته:
1. با استفاده از run ، mmc را اجرا نمایید.
2. یک کنسول جدید ایجاد کنید.
3. در کنسول جدید ، Snap-in با نام Security Template را اضافه کنید.
4. تغییرات دلخواه را روی قالب مورد نظر خود اعمال کنید و سپس Save as را بزنید.
برای اعمال یک قالب:
1. با استفاده از run ، mmc را اجرا نمایید.
2. یک کنسول جدید ایجاد کنید.
3. در کنسول جدید ، Snap-in با نام Security configuration & analysis را اضافه کنید.
4. روی ساختار درختی در کنسول روی Security configuration & analysis ، Right –Click کرده و Open database را بزنید.
5. نام Database ای را که قصد ساختن آن را دارید وارد نمایید و ok را بزنید.
6. سپس ، قالبی را که ساخته اید انتخاب کنید.
7. روی Security configuration & analysis ، right click کرده و configure computer now را بزنید.
8. همچنین می توانید با استفاده از Analyze computer now تنظیمات خود را با یک قالب خاص مقایسه کنید.
Why Use GPRESULT?
The only way that you can really appreciate the GPRESULT tool is if you understand how much work it saves you. I want to save plenty of space for discussing the GPRESULT tool, so I don’t want to get into a full blown discussion of the Active Directory and all its intricacies. However, I do want to take just a second and explain what makes group policies so complex, for the benefit of anyone who is new to Windows networking.
The thing that you have to understand about the Active Directory is that although the various Active Directory elements are stored primarily on domain controllers, the Active Directory is not a flat structure, but rather a hierarchical structure. In order to help the Active Directory scale well to larger networks, Microsoft designed the Active Directory so that group policies can be applied at multiple levels of the Active Directory hierarchy.
The first level that group policies are applied to is the local computer. Machines running Windows 2000, XP, and 2003 have a built in local security policy. The local security policy is a type of group policy that allows machines to remain secure even if they aren’t logged into a domain. Group policies can also be applied within the Active Directory at the site, domain, and Organizational Unit levels. A group policy doesn’t necessarily have to exist in all four locations, but it can.
When multiple group policies exist, Windows combines the group policies into what’s known as an effective policy. Windows does this by starting at the lowest level (the local computer) and working to the highest level (the organizational unit). As the various group policies are processed, they are combined to form the effective policy. If any settings within two or more policies contradict each other, then the higher level policy takes precedence over the lower level policy for the contradictory setting.
At first, the way that group policies are processed might not sound that complex. Where the complexity really comes into play though is that multiple policies can apply at each level. Furthermore, there are group policy settings that apply to the currently logged on user, while other group policy settings apply to the workstation. Therefore, it is possible that the user’s policy allows some sort of action, but the computer’s policy prohibits it, or visa versa.
My point is that the group policy contains hundreds, if not thousands of options that can be set (If someone has bothered to count them all, you will have to E-mail me and let me know how many there are). However, just because you set a group policy option, it doesn’t mean that the policy element that you have set will ever take effect. It could be filtered out by a higher level policy. If you are trying to troubleshoot an unfamiliar network, you could spend a really long time trying to track down some obscure group policy setting that is causing problems unless you use GPRESULT or a similar tool.
Using GPRESULT
GPRESULT is a command line tool. You can access it directly from the Windows command prompt by typing GPRESULT. When you enter the GPRESULT command, you will be presented with group policy information for the current user on the current computer. You don’t have to specify any switches to get this information. However, switches do exist that will provide you with group policy information for a different user or computer. You can also request more verbose information through the use of switches. The syntax for the GPRESULT command is as follows:
gpresult [/s Computer [/u Domain\User /p Password]] [/user TargetUserName] [/scope {user|computer}] [/v] [/z]
/s Computer : Specifies the name or IP address of a remote computer. (Do not use backslashes.) The default is the local computer.
/u Domain\User : Runs the command with the account permissions of the user that is specified by User or Domain\User. The default is the permissions of the current logged-on user on the computer that issues the command.
/p Password : Specifies the password of the user account that is specified in the /u parameter.
/user TargetUserName : Specifies the user name of the user whose RSOP data is to be displayed.
/scope {user|computer} : Displays either user or computer results. Valid values for the /scope parameter are user or computer. If you omit the /scope parameter, gpresult displays both user and computer settings.
/v : Specifies that the output display verbose policy information.
/z : Specifies that the output display all available information about Group Policy. Because this parameter produces more information than the /v parameter, redirect output to a text file when you use this parameter (for example, gpresult /z >policy.txt).
/?: Displays help at the command prompt.
Microsoft (R) Windows (R) XP Operating System Group Policy Result tool v2.0
Copyright (C) Microsoft Corp. 1981-2001
Created On 3/2/2005 at 9:04:59 PM
RSOP results for PRODUCTION\Administrator on STEWIE : Logging Mode
-------------------------------------------------------------------
OS Type: Microsoft Windows XP Professional
OS Configuration: Member Workstation
OS Version: 5.1.2600
Domain Name: PRODUCTION
Domain Type: Windows 2000
Site Name: Default-First-Site-Name
Roaming Profile:
Local Profile: C:\Documents and Settings\Administrator.PRODUCTION.
000
Connected over a slow link?: No
COMPUTER SETTINGS
------------------
CN=STEWIE,CN=Computers,DC=production,DC=com
Last time Group Policy was applied: 3/2/2005 at 9:01:36 PM
Group Policy was applied from: tazmania.production.com
Group Policy slow link threshold: 500 kbps
Applied Group Policy Objects
-----------------------------
Default Domain Policy
The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
Local Group Policy
Filtering: Not Applied (Empty)
The computer is a part of the following security groups:
--------------------------------------------------------
BUILTIN\Administrators
Everyone
BUILTIN\Users
NT AUTHORITY\NETWORK
NT AUTHORITY\Authenticated Users
STEWIE$
Domain Computers
USER SETTINGS
--------------
CN=Administrator,CN=Users,DC=production,DC=com
Last time Group Policy was applied: 3/2/2005 at 7:39:37 PM
Group Policy was applied from: tazmania.production.com
Group Policy slow link threshold: 500 kbps
Applied Group Policy Objects
-----------------------------
Default Domain Policy
The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
Local Group Policy
Filtering: Not Applied (Empty)
The user is a part of the following security groups:
----------------------------------------------------
Domain Users
Everyone
Debugger Users
BUILTIN\Users
BUILTIN\Administrators
NT AUTHORITY\INTERACTIVE
NT AUTHORITY\Authenticated Users
LOCAL
Domain Admins
Enterprise Admins
Group Policy Creator Owners
Schema Admins
سلام
خیلی وبلاگ خوبی داری
اگه دوست داری امارت بالا بره بیا و سایتت را در موتور جستجوی ما ثبت کن!
برای اینکار کافیه سایت خودت را جستجو کنی آدرسشو! به همین راحتی!البته به مثال زیر توجه کن و کپیش کن و فقط آدرس سایت مارا عوض کن و بعد جستجو!!!
مثلا:
Site:www.irpersian.com