אבטחה כללית במחשב - GPO << קורס אונליין חינם
Menu
עברית Русский Srbija العربية
מכללת פרקטיקיו
קורסים אונליין בעברית
עם הסרטונים שלנו פשוט להיות מקצוען

אבטחה כללית במחשב - GPO

קורסים למנהלי רשת מנהל רשת מוסמך מיקרוסופט - טכנאי מחשבים ושרתים התמחות בווירטואליזציה מומחה בתקשורת מוסמך סיסקו מומחה לינוקס, ענן ו-DevOps האקינג - סייבר התקפי התמחות באבטחת מידע - סייבר הגנתי שרתי מיקרוסופט נוספים לארגונים גדולים - Exchange - SCCM התמחות במסדי נתונים - SQL התמחות ב-Storage קורסים נוספים למנהלי רשת
קורסי תכנות מפתח תוכנות לוונדוס - WinForms מפתח Front End - בניית אתרי אינטרנט ותכנות בתוך דפדפן מפתח Back End - תכנות ובניית אתרי אינטרנט בצד שרת מפתח אפליקציות לאנדרואיד מפתח אפליקציות לאייפון מפתח משחקים קורס DBA - התמחות במסדי נתונים – SQL קורסים מתקדמים בתכנות בדיקות תוכנה - QA
Gpo-group policy

Gpo –הוא מנגנון,המאפשר לנו לבצע הגדרות בכל אספקט אפשרי ומבלי שנמשתמש יוכל לשנותן ובכך מאפשר לנו שליטה מלאה בהחלת הגדרות ,אכיפת חוקי אבטחה,יצירת סביבת עבודה קבועה ואף פריסת תוכנות.

בכדי לגשת למנגנון ,ניגש לתפריט ההתחל start ונקיש בשורת החיפוש gpedit.msc

דרך גישה נוספת היא דרך mmc מותאמת אישית.

כמובן שצריך להריץ gpedit ,דרך חשבון שהוא Administrator .

מה שהגדרנו במחשב המקומי ב group policy ,הוא יחל על כל המשתמשים במחשב מקומי (locally) זה (אפילו גם על אדמיניסטרטור) .

אם ניכנסים ל group policy דרך mmc אנחנו ניכנסים ל group policy editor ,כלומר בהתחלה שניכנסים לקונסולת נניהול של group policy הוא שואל אותי על מי יחול המדיניות שאני כרגע רוצה להגדיר.

[caption id="attachment_6952" align="alignnone" width="235" caption="mmc"]mmc[/caption]

אפשרות ראשונה היא להגדיר על local computer (מחשב מקומי ועל כל משתמשיו).

אפשרות שניה היא לסמן browse ולבחור משתמש מסוים ספציפי שרק עליו יחול מדיניות group policy שאני אגדיר.

ב group policy יש לנו הגדרות ברמת מחשב(computer configuration)

והגדרות ברמת משתמש(user configuration

[caption id="attachment_6953" align="alignnone" width="300" caption="group policy object"]group policy object[/caption]

[caption id="attachment_6954" align="alignnone" width="300" caption="group policy object"]group policy object[/caption]

[caption id="attachment_6955" align="alignnone" width="300" caption="group policy editor"]group policy editor[/caption]

[caption id="attachment_6956" align="alignnone" width="300" caption="group policy object"]group policy object[/caption]

Computer configuration –ההגדרות שתחת קטגוריה זו ,יפעלו על המחשב(המכונה )עצמו ויטענו כבר אחרי שהמחשב עולה,לפני ש user ביצע logon .

User configuration –ההגדרות שתחת קטגוריה זו ,יטענו ויחולו על המשתמש עצמו,אחרי שהכניס שם מישתמש וסיסמה(ביצע logon ).

ישנם קטגוריות מסויימות להגדרות תחת computer configuration שייחודיות רק ל computer configuration .

ויש הגדרות שיש אותם רק ב user configuration .

אם ניכנס ל gpedit.msc במחשב המקומי ,כל ההגדרות תחת user configuration חלות על כל המשתמשים במחשב כי זה ברמת local computer (מחשב מקומי).

Gpo editor-מתחלק לשני סקטורים-מגזרים עיקריים:

הגדרות ברמת מחשב-מכונה.

הגדרות ברמת משתמש.

בכל אחד מהסקטורים הללו ישנן הגדרות ייחודיות ,אך לעיתים ישנה הגדרה חופפת הקיימת בשני הסקטורים בעוד שהגדרות ברמת מחשב יחולו על כל המשתמשים העובדים על מחשב זה ללא התחשבות במעמדם(משתמש רגיל,או אדמיניסטרטור) וייושמו עוד לפני שלב הזנת שם המשתמש וסיסמה.

הגדרות ברמת משתמש ניתנות למידור ויוחלו אך ורק לאחרבזמן ביצוע התחברות מצד המשתמש.

ישנן הגדרות הקיימות אך ורק בסקטור מסוים ולא בשניהם.

הגדרות אישיות אפשר לעשות אך ורק דרך MMC .

בכדי להקל על חיפוש הגדרה ספציפית ,ניגש ל administrative templates .

נבצע הרחבה של ההגדרה.

בעזרת הלחצן הימני נקיש על ALL SETTINGS

נבחר Filter options ונסמן את תיבת הסימון Enable keyword filters .

בחלון ה filter for words ,נזין את ההגדרה הרצויה ונוכל לבחור אם ייוצגו לפנינו אך ורק הגדרות שבהן בוצע שינוי,או הגדרות שלהן הוספו הערות בזמן כזה או אחר על ידי Administrator ,וזאת בכדי להקל ולצמצם את החיפוש כמובן.

נוכל לבחור האם לאתר הגדרה לפי שם מדוייק,או חיפוש אחר רצף מילים.

טיפ:במידה ואינכם יודעים מה שם ההגדרה או מתקשים למצוא אותה ,גשו ל googleוהקישו את רצף המילים הבא:

Windows7 gpo –"תיאור ההגדרה שלכם במילים".

עיקבו אחר הנתיב המוצג עד ההגעה להגדרה.

הגדרה לחסימת דיסק און קי ב USB

Computer configuration?policies?administrative tamplates?system?removable storage access

Removable disks:deny execute access-enabled

Removable disks:deny read access-enables

Removable disks:deny write access-enabled

[caption id="attachment_6957" align="alignnone" width="300" caption="group policy"]group policy [/caption]

מבנה פוליסה-GPO

שימו לב לשלושה מצבי היסוד של כל פוליסה:

Not configured –כפוף להגדרות ברירית המחדל של המערכת ,כלומר נשאר זהה להגדרות היצרן.

Enable-מאפשר את הפוליסה ולעיתים גם מאפשר (למנהל admin)להזין ערכים נוספים.

Disable-מבטל את כל הפוליסה ,ובכך יוצר מניעה מוחלטת לשימוש בהגדרה הטמונה בה.

לכל פוליסה ,ישנו טקסט הסבר מלא המפרט את השפעת כל בחירה והשלכותיה ,חשוב מאוד!! לקרוא מידע זה לפני הזנת ערך כזה או אחר לפוליסה.

תקלה אפשרית-לפימים לא ניתן לראות את כל ההגדרות ,כי אנו במצב של filter on (מקש ימני ולהוריד סימון מ filter on ).

דוגמא להגדרות סיסמא דרך group policy

אם אנו רוצים ליישם מדיניות של סיסמה מורכבת נעשה כך:

Computer configuration?windows settings?security settings?account policies?password must meet complexity requirements?enabled?ok

עוד דוגמא למשל אם הגדרנו בחברה שכל שבועיים משתמשים חייבים לשנות את הסיסמה שלהם והגדרנו enforce password history ונתנו ערך 10 זאת אומרת שאם הסיסמה הראשונה של משתמש היתה password ואחרי שבועיים הוא שינה את הסיסמה ל password1 ואז אחרי שבועיים נוספים לכשיצטרך אותו משתמש לשנות שוב את הסיסמה הוא לא יוכל לשנות שוב לסיסמה הראשונה שלו ל password אלא רק אחרי 10 פעמים שהוא נתן סיסמאות שונות אותו משתמש יוכל להחזיר את הסיסמה הראשונה שלו שהיתה password .

Multiple GPO

אחד החידושים היותר מרעננים במערכת ההפעלה windows 7 ,היא יכולת ריבוי מדיניות מקומית .

יכולת זו מאפשרת לנו לעבוד עם מספר סטים של הגדרות GPO ולא עם מדיניות אחת לכל המערכת ולכל המשתמשים מה שכמובן לא מאפשר הגדרות העונות לצרכים הייחודיים של כל משתמש.

נוכל לבצע הגדרות עבור:

משתמשים ספציפיים.

משתמשים בעלי חשבון מנהל.

משתמשים שאינם מנהלים.

קבוצות.

נרשום mmc בשורת החיפוש?נסמן file?נסמן add or remove snap in ?נסמן group policy object editor ובפתיחה של קונסול הניהול של group policy אנו יכולים לסמן browse ולסמן על איזה משתמשים או קבוצות פוליסה זו תחול או על איזה מחשבים באותה רשת מדיניות הפוליסה הזו תחול.

סיכום multiple gpo

בכדי ליצור סטים שונים של מדיניות מקומית לפי רמות סיווג שונות,ניגש ל RUN ונקיש MMC .

לפנינו תופיע קונסולת ניהול ריקה ,ניגש ל File ונסמן add or remove snap in

נבצע בחירה של כלי group policy object editor ונקיש Add ולאחר מכן finish .

לאחר סיום התהליך ,תוצג לפנינו מדיניות ברמת מכונה שתוקפה וכוחה יפה על כלל המשתמשים ,ללא התחשב ברמת הסיווג שלהם.

אנו נבחר שוב את כלי ה group policy object editor ונקיש Add אך הפעם נקיש browse ונבחר את כרטיסית user .

שימו לב שניתן לבחור בין הסיווגים השונים:

מנהלים.

משתמשים שאינם מנהלים.

משתמשים ספציפיים.

קבוצות ספציפיות.

אנו נבצע בחירה של האדם ,או הקבוצה שלה אנו רוצים להגדיר סט הגדרות אישי ונסיים את התהליך.

חשוב לציין שהגדרות ברמת מכונה-מחשב יחולו בכל אופן אם הוגדרו בנוסף להגדרות אלו.

אם יש GPO שעוד לא השפיע במחשב (לוקח עד 16 שעות להתעדכן)ואנחנו מעוניינים שהמדיניות תחול עכשיו ולא תחכה להתעדכן עד 16 שעות אנו ניתן פקודה מ cmd gpupdate או gpupdate /force .

אם יש הגדרה של gpo שמחייבת restart ,או התחברות מחדש (log off) ניתן פקודה:

Gpupdate /force /boot /logoff

שזה אומר אם אתה מזהה הגדרה חדשה שמחייבת הפעלה מחדש או התחברות מחדש עם המשתמש למערכת כדי שזה ייכנס לתוקף אז תבוצע בדיקה ואם יזהה הגדרה שמחייבת הפעלה מחדש אנו נקבל הודעה שהמחשב עומד לבצע restart או logoff וזה יבוצע רק אם יש הצדקה לכך.

אז לסיכום אנו יודעים שאם הגדרנו user configuration כדי שהמדיניות תחול על משתמשים אנו צריכים לבצע logoff .

אם הגדרנו computer configuration נצטרך לבצע restart .

פקודה לבצע רק logoff

Gpupdate /force /target:user /logoff

סיכום זה נעשה על ידי רמי טראב
סקר שוק נכון לתאריך – 01/09/2011