1 مقدمه
سیاستهای گروهی شاهکاری فنی و امنیتی در استقرار امنیت در شبکههای سازمانی است. سیاستهای گروهی یا با نام تخصصی Group Policy، ساختاری است که برای اعمال مجموعهای از پیکربندیها یا سیاستهای امنیتی به مجموعهای از کاربران و رایانهها در یک ساختار شبکهی سازمانی بکار میرود.
با استفاده از سیاستهای گروهی یا به اختصار GP میتوانید یک سری پیکربندیهای امنیتی و کاربردی را عملیاتی نمایید. در واقع استفاده از GP ابزار اعمال سیاستهای امنیت فناوری اطلاعات در شبکههای سازمانی به صورت متمرکز و یکپارچه است. این سیاستهای گروهی میتوانند در سیستمهای محلی و یا شبکههای مبتنی بر کنترل کنندهی دامنه به صورت متمرکز و سراسری اعمال شوند که استفاده از آن در شبکههایی با ابعاد متوسط و بزرگ به صورت متمرکز از طریق سرویسدهندهی کنترلکنندهی دامنه خواهد بود. در این مستند ضمن معرفی ساختار و قابلیتهای فنی سیاستهای گروهی، برخی از مهمترین سیاستهای امنیتی موثر نیز معرفی و نحوهی پیکربندی آن در شبکههای سازمانی آموزش داده خواهد شد.
2 معرفی
سیاست گروهی ساختاری است که برای اعمال مجموعهای از پیکربندیها یا سیاستهای امنیتی یا مرتبط با امنیت به مجموعهای از کاربران و رایانهها یک ساختار Active Directory به کار میرود. از طریق سیاست گروهی یا به اختصار GP میتوان مجموعهای از تنظیمات امنیتی و کاربردی را در سیستمهای رایانهای متصل به شبکه و زیرساخت سازمانی انجام داد. در سیستمهای محلی یا سیستمهای که به عنوان سرویسدهنده استفاده میشوند و دارای کنترل کنندهی دامنه و Active Directory نیستند، میتوان یک #GPرا به مجموعهای از کاربران اعمال کرد. ولی در شبکههایی که شامل کنترلکنندهی دامنه و Active Directory هستند، میتوان GP را به رایانهها، کاربران و واحدهای سازمانی اعمال کرد.
سیاست گروهی در شبکهها، به منزله یک شئ[1] است و میتوان به ازای هرکدام از اشیاء در دامنه، یک GP داشت؛ از این رو به آن Group Policy Object یا به اختصار GPO گویند. نکتهی دیگری که باید دقت کرد، این است که به یک کاربر یا سیستم بیشتر از 999 شئ GP نمیتوان اعمال کرد.
در محیط Active Directory، سیاست گروهی ابزاری است که امکان مدیریت متمرکز پیکربندی را فراهم میآورد. کوچکترین عنصر در سیاست گروهی، که یک پیکربندی را مشخص میکند، Policy Setting است که به اختصار به آن Policy یا سیاست گفته میشود. هزاران سیاست در سیاست گروهی وجود دارند که هر یک، معرف پیکربندی روی کاربران یا محدودهای از سیستمهایی که روی آن اعمال میگردند. جهت ویرایش سیاستها، ابزارهای Group Policy Management Editor (GPME) و PowerShell در دسترساند، که در ادامه مستند به آن پرداخته میشود.
1-2 سیاست
سیاستها به صورت عمومی به دو دسته با عناوین زیر تقسیم میشوند:
- پیکربندی کاربران[1]: سیاستهایی هستند که بدون در نظر گرفتن آنکه کاربر روی چه سیستمی به شبکه دسترسی دارد، در محدوده خود بر روی کاربران اعمال میشوند. پیکربندی سیاستهای گروهی، زمانی که کاربران وارد سیستم میشوند و در بازههای زمانی ۹۰ تا ۱۲۰ دقیقه پس از آن تازهسازی میشود.
- پیکربندی کامپیوترها[2]: سیاستهایی هستند که بدون در نظر گرفتن آنکه چه کاربری از سیستم رایانهای استفاده میکند، در محدوده خود روی کامپیوترها اعمال میشود. پیکربندی کامپیوترها در زمانی که کامپیوتر اجرا و راهاندازی میشود و در بازههای زمانی ۹۰ تا ۱۲۰ دقیقه پس از آن تازهسازی میشود.
هر دو مجموعهی فوق شامل Policy و Preferenceهایی یا سیاستها و اولویتهایی هستند که مجموعا شامل حدود ۶۰۰۰ شئ است.
- 48