تغييرات سياست گروهی در ويندوز سرور 2012، ويندوز 8 و ويندوز RT (بخش دوم)

IRCAR201306178
تاريخ: 05/04/92

در بخش دوم از اين مجموعه مقالات، به برخي تغييرات سياست گروهي مرتبط با مرورگر IE نگاهي خواهيم انداخت.
مقدمه
در بخش اول اين مجموعه مقالات، بحث در مورد تغييرات و ويژگي‌هاي جديد سياست گروهي در ويندور سرور 2012، ويندوز 8 و ويندوز RT را آغاز كرديم. به طور خاص در مورد پشتيباني از سياست گروهي محلي در ويندوز RT و محدوديت‌هاي آن و ويژگي جديد به‌روز رساني سياست گروهي از راه دور در ويندوز سرور 2012 صحبت كرديم. در بخش‌هاي بعدي اين مجموعه، به معرفي اين ويژگي‌هاي جديد و بهبود يافته ادامه خواهيم داد. در بخش دوم، به تغييرات سياست گروهي مرتبط با IE خواهيم پرداخت.

IE 10: دو محصول با يك هزينه
روش معمول مايكروسافت اين است كه به ازاي هر سيستم عامل جديد، نسخه جديدي از مرورگر IE را نيز عرضه مي‌كند. به اين ترتيب سيستم عامل‌هاي ويندوز سرور 2012، ويندوز 8 و ويندوز RT نيز به همراه IE 10 عرضه شدند (البته توجه داشته باشيد كه IE 10 براي نصب بر روي ويندوز 7 نيز قابل دانلود است. اما شما قادر نيستيد نسخه‌هاي قديمي‌تر IE را بر روي ويندوز 8 نصب نماييد).
IE 10 بر روي سيستم عامل‌هاي ويندوز 8 و ويندوز RT يك تفاوت عمده با نسخه‌هاي پيشين اين مرورگر دارد و آن اين است كه اين IE در حقيقت شامل دو مرورگر است كه نام IE10 به تركيب هردو مرورگر اشاره مي‌كند. يك نسخه مدرن از IE وجود دارد كه از طريق واسط كاربري مدرن (مشهور به مترو) قابل دسترسي است و يك IE براي دسكتاپ وجود دارد كه بر روي دسكتاپ ويندوز 8 اجرا مي‌گردد. نسخه مدرن IE بيشتر مبتني بر استفاده لمسي بوده و بسياري از كنترل‌هايي كه معمولاً در IE وجود دارند را ندارد. نسخه دسكتاپي IE، بيشتر شبيه به نسخه‌هاي پيشين اين مرورگر است و شامل ميله منو، ميله علاقه‌مندي‌ها (Favorites)، ميله دستورات و غيره است (اگرچه اين ويژگي‌ها به‌طور پيش‌فرض نمايش داده نمي‌شوند، اما فعال‌سازي آنها ساده است). فقط نسخه دسكتاپي IE 10 قادر به پشتيباني پلاگين‌ها است.

امنيت IE10
نكته مورد توجه در بهبودهاي نسخه‌هاي اخير IE، افزودن عملكردهاي امنيتي است. از جمله اين عملكردها مي‌توان به راه‌هاي بهتري براي توسعه دهندگان براي قفل كردن محتوا از طريق سندباكس HTML 5 و يك نسخه پيشرفته ASLR اشاره كرد.
يكي از مهمترين ويژگي‌هاي مرتبط با امنيت، مود محافظت شده پيشرفته است. مود محافظت شده در IE7 معرفي شد (در ويندوز ويستا) تا از نصب نرم‌افزار يا تغيير در تنظيمات سيستم از راه دور توسط مهاجمان جلوگيري نمايد. مود محافظت شده پيشرفته همانطور كه نام آن نشان مي‌دهد، يك گام جلوتر رفته است.

تنظيمات سياست گروهي جديد و تغيير يافته در IE 10
مايكروسافت تنظيمات جديدي را براي سياست گروهي در ويندوز اضافه كرده است تا ويژگي‌هاي جديد IE 10 را پشتيباني نمايد. در حال حاضر مديران IT در مجموع 1500 گزينه براي تنظيمات سياست گروهي مرتبط با IE در اختيار دارند. مايكروسافت 28 سياست جديد مرتبط با IE و شش سياست تغيير يافته مرتبط با IE را فهرست كرده است.
برخي از سياست‌هاي جديد مهم‌تر/مفيدتر عبارتند از:

• فعال‌سازي مود محافظت شده پيشرفته
  مود محافظت شده پيشرفته در IE، محافظت بيشتري در برابر سايت‌هاي خرابكار ايجاد مي‌كند. در ويندوز 8، مكان‌هايي كه IE مي‌تواند از رجيستري و سيستم فايل بخواند نيز محدود هستند. فعال كردن اين سياست، مود محافظت شده پيشرفته را فعال كرده و از غيرفعال كردن آن توسط كاربران جلوگيري مي‌كند.
• عدم صدور مجوز اجراي كنترل‌هاي اكتيوايكس در مود محافظت شده در حالت فعال بودن مود محافظت شده پيشرفته
  همه ما مي‌دانيم كه كنترل‌هاي اكتيوايكس مي‌توانند چالش‌هاي امنيتي ايجاد كنند و داشتن كنترل بيشتر بر روي اكتيوايكس، خبر خوبي براي مديران امنيت است. زماني كه شما اين سياست را فعال مي‌كنيد، تمامي وب‌سايت‌ها مجبور هستند در مود محافظت شده پيشرفته اجرا گردند، كنترل‌هاي اكتيوايكس كه با مود محافظت شده پيشرفته سازگار نيستند اجرا نخواهند شد، و كاربران گزينه غير فعال كردن مود محافظت شده پيشرفته را در اختيار نخواهند داشت تا كنترل را اجرا كنند.
• غيرفعال كردن فلش در IE و جلوگيري از برنامه‌هايي كه از تكنولوژي IE براي معرفي اشياي فلش استفاده مي‌كنند
  Adobe Flash به علت جريان ظاهراً بي‌انتهاي آسيب‌پذيري‌هاي امنيتي آن مشهور است. اين مسأله تا حدي است كه اپل پشتيباني فلش را در دستگاه‌هاي iOS خود قرار نداده است و مايكروسافت استفاده از HTML 5 به جاي فلش را ترويج مي‌كند. به هر حال IE 10 همچنان فلش را با محدوديت‌هايي پشتيباني مي‌نمايد. اگر شما مي‌خواهيد از استفاده IE از آن جلوگيري كنيد، مي‌توانيد اين سياست را فعال نماييد تا فلش به طور كامل غيرفعال گردد. شما همچنين مي‌توانيد فلش را از طريق ليست افزونه‌ها غيرفعال كنيد، اما در اين صورت برنامه‌ها همچنان مي‌توانند از تكنولوژي IE براي معرفي اشياي فلش استفاده كنند.
• عدم نمايش دكمه افشاي كلمه عبور
  هنگامي‌كه كاربران كلمه عبور را در IE 10 وارد مي‌كنند، اين گزينه را در اختيار دارند كه با كليك بر روي يك دكمه، محتواي كلمه عبور را مشاهده نمايند. اين مسأله در دستگاه‌هاي موبايل كه صفحه كوچكي دارند و احتمال وقوع خطا در تايپ كلمه عبور بالاست توجيه‌پذير است. اما در كامپيوترهاي خانگي با صفحه نمايش بزرگ كه ديگران نيز به راحتي قادر هستند از فاصله دور عبارات تايپ شده را مشاهده كنند، اين موضوع مي‌تواند خطر امنيتي محسوب گردد. شما مي‌توانيد اين سياست را براي جلوگيري از نمايش گزينه افشاي كلمه عبور فعال سازيد.
• نصب نسخه‌هاي جديد IE به‌صورت خودكار
  در نسخه دسكتاپي IE 10 كاربران به طور پيش‌فرض مي‌توانند از طريق جعبه گفتگوي About Internet Explorer از منوي Help انتخاب كنند كه نسخه‌هاي جديد IE را نصب نمايند يا خير. اگر شما مايل هستيد كه نصب نسخه‌هاي جديد را اجبار نماييد، مي‌توانيد اين سياست را فعال كنيد.
• غيرفعال‌سازي ويژگي حركت به جلو
  ويژگي حركت به جلو در IE 10 در ويندوز 8 جديد است و فقط بر روي نسخه مدرن (مترو) IE كار مي‌كند، نه بر روي نسخه دسكتاپي. اين ويژگي به كاربران اجازه مي‌دهد كه با كشيدن صفحه، به صفحه بعد بروند كه در دستگاه‌هاي لمسي ويژگي مقبولي است. البته زماني كه اين ويژگي فعال مي‌شود، سابقه مرور براي مايكروسافت ارسال مي‌گردد. هدف از اين كار بهبود ويژگي حركت به جلو است، ولي ممكن است شما مايل نباشيد اين اطلاعات را به دليل مسائل امنيتي يا پهناي باند، ارسال نماييد. شما مي‌توانيد اين سياست را فعال نماييد تا حركت به جلو غيرفعال گردد و از طريق Settings نيز كاربران را از فعال سازي آن منع كنيد.

برخي از سياست‌هاي تغيير يافته مهمتر/مفيدتر نيز عبارتند از:

• جلوگيري از دسترسي به حذف سابقه مرور
  يك ويژگي جديد در ويندوز 8 به كاربران اجازه مي‌دهد بر روي گزينه Delete Browsing History در منوي Settings در ميله Charms كليك نمايند. ممكن است برخي سازمان‌ها مايل نباشند كه كاربران قادر به حذف اين اطلاعات باشند. در اين حالت، شما مي‌توانيد اين سياست را براي جلوگيري از دسترسي كاربران به Delete Browsing History فعال نماييد.
• جلوگيري از تغيير تنظيمات پراكسي
  بسياري از سازمان‌ها مايل نيستند كه كاربران مرورگر قادر به تغيير تنظيمات پراكسي باشند. شما مي‌توانيد اين سياست را براي جلوگيري از تغيير تنظيمات پراكسي توسط كاربران فعال نماييد.
• غيرفعال‌سازي منوي چاپ
  ممكن است شما مايل نباشيد كه كاربران صفحات وب را چاپ نمايند. شما مي‌توانيد اين سياست را براي مسدودسازي دسترسي به منوي پرينت براي IE در ويندوز 8 فعال نماييد.
  تنظيمات سياست گروهي در بخش Administrative Templates | Windows Components | Internet Explorer در درخت Group Policy قرار دارند. براي افزودن يك تنظيم جديد، IE يك فايل جديد inetres.admx در فولدر PolicyDefinitions در فولدر Windows نصب مي‌كند و همچنين يك فايل language جديد براي قالب مديريتي جديد نصب مي‌نمايد.
• ترجيحات سياست گروهي
  علاوه بر سياست‌هاي جديد و سياست‌هاي تغيير يافته، ويندوز سرور 2012 و ويندوز 8 همچنين شامل ويژگي جديدي به نام ترجيحات سياست گروهي براي IE10 مي‌باشند كه چندين روش براي انجام تنظيمات ترجيحات مرورگر را يكي مي‌كند. شما اكنون به جاي IE Maintenance (IEM) از افزونه ترجيحات IE 10 (يا كيت مديريت IE) براي اعمال تنظيمات IE 10 استفاده مي‌كنيد كه اين كار قبلاً از طريق IEM مديريت مي‌شد.
  البته متأسفانه برخي تنظيمات مانند جايگزيني لوگوي استاندارد IE در گوشه بالاي سمت راست با لوگوي شخصي سازي شده كاربر كه قبلاً از طريق IEM قابل انجام بودند، اكنون در IE 10 در دسترس نيستند. اما شما مي‌توانيد كارهايي مانند وارد كردن تنظيمات ارتباط از يك كامپيوتر ديگر و جلوگيري از افزودن منتشر كننده‌هاي معتمد توسط كاربران را با استفاده از ترجيحات سياست گروهي انجام دهيد.

خلاصه
در دومين بخش از اين مجموعه مقالات، توجه خود را به تغييرات مرتبط با IE معطوف كرده و برخي از مهمترين تغييرات را به تفصيل بيان كرديم. در بخش سوم، ساير تغييرات سياست گروهي و روش كار آنها در سيستم عامل‌هاي جديد را شرح خواهيم داد.