مقدمه ای بر Local Security Policy

با local Security Policy چه کارهایی می توان کرد؟
۱٫ Account Policies: اتخاذ سیاست های در خصوص حساب های کاربری (User Accounts )
۲٫ Local Policies
Auditing Policies : ردیابی اعمال کاربران
User Rights : اختصاص یا عدم اختصاص مجوز کنترل کردن برخی از فعالیت های سیستم همانند تغییر ساعت
Security Option : امکان اعمال تنظیمات امنیتی گوناگون
۳٫ Public Key Policies : مربوط به encrypt data recovery و Certificate authorities
۴٫ Software Restriction Polices : جلوگیری از اجرای برخی از نرم افزار ها
۵٫ System Services : مدیریت و اعمال تنظیمات امنیتی برای قسمت های مثل : Network Services و File & Print Services
۶٫ File System: مدیریت و اعمال تنظیمات امنیتی در خصوص Local File System
۷٫ Registry
۸٫IP Security Policy

همانطور که مشاهده می کنید بسیاری از تنظیمات مهم از طریق Local Security Policy امکان پذیر است. Local Security Policy در Administrative Tools بیابید و یا از secpol.msc استفاده کنید.
Security Templates :

ویندوز یک سری قالب های پیش ساخته جهت تنظیمات عمومی امنیتی در local Security Policy دارد. شما می توانید این تنظیمات را پس از اعمال به میل خود تغییر دهید و آن را به عنوان یک قالب جدید داشته باشید. استفاده از قالب های امنیتی دو مزیت دارد:
۱٫ با استفاده از قالب های امنیتی پیش ساخته لازم نیست تا تمام تنظیمات را از ابتدا تنظیم کنید.
۲٫ با استفاده از قالب های امنیتی که خود ساخته اید ، لازم نیست تا تنظیمات را روی هر کامپیوتر در شبکه جداگانه تنظیم نمایید. فقط کافی است یک قالب را اعمال کنید.

قالب های پیش ساخته:

· Default security Setup ,security.inf
قالبی است که در زمان نصب ویندوز به صورت خودکار به هر کامپیوتری اعمال می شود. این قالب بر حسب بر حسب آنکه نصب ویندوز clean installation بوده و یا upgrade متفاوت است. این قالب به DC ها نمی تواند اعمال شود.
تذکر: در ویندوز ۲۰۰۰ دو قالب ocfiless برای سرور ها و ocfilesw برای workstation ها استفاده می شد. security.inf به هر دو کامپیوتر سرور و کلاینت می تواند اعمال شود.در Disaster Recovery نیز برای بازگشت تنظیمات امنیتی به حال پیش فرض این قالب اعمال می شود.

نکته از کتاب ۷۰-۲۷۰ مایکروسافت : این قالب شامل تمام تنظیمات امنیتی است که در زمان نصب ویندوز XP روی یک پارتیشن NTFS اعمال می شود و در زمان برگرداندن تنظیمات به پیش فرض مفید است.

· Domain controller default security ,DC security.inf
این قالب زمانی اعمال می شود که یک سرور ، DC می شود.بر registry ، system service و سایر تنظیمات پیش فرض اعمال می شود.

· Compatible, Compatws.inf
این قالب امنیت فراتری را نصب به قالب پیش فرض نصب ایجاد می کند. اما با این حال به صورت پیش فرض اجرای برنامه هایی که دارای Windows-Certificated (winlogo) باشند بدون مشکل خواهد بود و برنامه های فاقد مجوز فقط توسط Power Users قابل اجرا خواهد بود.

تذکر: در صورت اعمال این قالب اعضای گروه Power Users حذف خواهند شد.
تذکر: این قالب را به DC ها اعمال نکنید.

نکته : دو قالب امنیتی زیر هم برای DC ها و workstation ها موجود است. اگر قالب با دو حرف WS ختم شود مربوط به workstation و اگر به DC ختم شودمربوط به Domain Controller می باشد.

· Secure ,Secure*.inf
این قالب امنیت فراتری را ایجاد می کند ، اما compatibility را تحت شعاع قرار می دهد. مثلا password های قوی تری را الزام می کند و یا lockout و auditing را اعمال می کند.

· Highly Secure, hisec*.inf
این قالب حداثر امنیت در نظر گرفته شده است. با اعمال این قالب به نسبت Secure تاثیری بر compatibility نخواهد داشت. این قالب با الزام کردن استفاده از encryption های قوی تر و امضا برای تشخیص هویت (authentication) و انتقال داده در secure channels بین SMB و سرور تاثیر بسیاری در امنیت برای ترافیک شبکه را دارد.

· System root security, Rootsec.inf
این قالب شامل permission هایی است که به صورت پیش فرض به پارتیشن سیستمی اعمال می شوند.

· No Terminal Server user SID, Notssid.inf
با اعمال این قالب SID های مربوط به Windows Terminal Service پاک خواهند شد و بنابراین Windows Terminal Service اجرا نخواهد شد. توجه داشته باشید که با اعمال این قالب الزاما امنیت افزایش پیدا نخواد کرد.

· Internet Explorer iesacls.inf
با این قالب امکان audit بر استفاده از IE Internet Explorerفراهم می شود.

تذکر مهم : با اعمال قالب های امنیتی ، تنظیمات جدید جایگزین می شود. لذا در DC ها حتما از SYSVOL نسخه پشتیبان (Backup) تهیه کنید و در سایر موارد نیز همواره گرفتن نسخه پشتیبان توصیه می شود.
برای اطلاعات بیشتر در خصوص قالب های پیش ساخته به Technet مراجعه کنید.

برای تغییر در یک قالب پیش ساخته:
۱٫ با استفاده از run ، mmc را اجرا نمایید.
۲٫ یک کنسول جدید ایجاد کنید.
۳٫ در کنسول جدید ، Snap-in با نام Security Template را اضافه کنید.
۴٫ تغییرات دلخواه را روی قالب مورد نظر خود اعمال کنید و سپس Save as را بزنید.

برای اعمال یک قالب:
۱٫ با استفاده از run ، mmc را اجرا نمایید.
۲٫ یک کنسول جدید ایجاد کنید.
۳٫ در کنسول جدید ، Snap-in با نام Security configuration & analysis را اضافه کنید.
۴٫ روی ساختار درختی در کنسول روی Security configuration & analysis ، Right –Click کرده و Open database را بزنید.
۵٫ نام Database ای را که قصد ساختن آن را دارید وارد نمایید و ok را بزنید.
۶٫ سپس ، قالبی را که ساخته اید انتخاب کنید.
۷٫ روی Security configuration & analysis ، right click کرده و configure computer now را بزنید.
۸٫ همچنین می توانید با استفاده از Analyze computer now تنظیمات خود را با یک قالب خاص مقایسه کنید.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *