مهم‌ترین و کاربردی‌ترین پالیسی‌های Group Policy و روش تنظیم آن‌ها

Important Policy1 Microsoft نوشته

مقدمه

Group Policy یکی از قدرتمندترین ابزارهای مدیریت مرکزی در شبکه‌های مبتنی بر Active Directory است. با استفاده از GPOها می‌توان تنظیمات امنیتی، عملکردی و کاربری را به صورت یکنواخت روی صدها یا هزاران کامپیوتر و کاربر اعمال کرد. پیاده‌سازی صحیح پالیسی‌ها نه تنها امنیت شبکه را افزایش می‌دهد، بلکه هزینه‌های پشتیبانی را کاهش می‌دهد و انطباق با استانداردهای امنیتی (مانند CIS، NIST، ISO 27001) را آسان می‌سازد. در این مقاله، مهم‌ترین و کاربردی‌ترین پالیسی‌ها را همراه با مسیر دقیق تنظیم در Group Policy Management Console (GPMC) معرفی می‌کنیم.

۱. پالیسی رمز عبور (Password Policy) – حیاتی‌ترین پالیسی

چرا مهم است؟ بیش از ۸۰% حملات سایبری از رمزهای ضعیف یا تکراری آغاز می‌شود.

تنظیمات پیشنهادی (CIS Level 1):

  • Enforce password history: ۲۴ passwords remembered
  • Maximum password age: ۹۰ days
  • Minimum password age: ۱ day
  • Minimum password length: ۱۴ characters
  • Password must meet complexity requirements: Enabled
  • Store passwords using reversible encryption: Disabled

مسیر تنظیم: Default Domain Policy → Computer Configuration → Policies → Windows Settings → Security Settings → Account Policies → Password Policy

نکته: Password Policy فقط در Default Domain Policy یا GPO لینک‌شده به سطح Domain اعمال می‌شود.

۲. پالیسی قفل حساب (Account Lockout Policy)

تنظیمات پیشنهادی:

  • Account lockout duration: ۳۰ minutes
  • Account lockout threshold: ۱۰ invalid logon attempts
  • Reset account lockout counter after: ۳۰ minutes

مسیر: همان مسیر بالا → Account Policies → Account Lockout Policy

۳. غیرفعال کردن پروتکل‌های ناامن

چرا مهم است؟ SMBv1، NTLMv1 و LLMNR اهداف رایج حملات هستند.

تنظیمات کلیدی:

  • غیرفعال کردن SMBv1
  • محدود کردن NTLM
  • غیرفعال کردن LLMNR و NetBIOS

مسیرها:

  • SMBv1: Computer Configuration → Policies → Administrative Templates → Network → Lanman Workstation → Enable insecure guest logons: Disabled
  • NTLM: Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Security Options → Network security: Restrict NTLM
  • LLMNR: Computer Configuration → Policies → Administrative Templates → Network → DNS Client → Turn off multicast name resolution: Enabled

۴. فعال‌سازی Windows Defender و ASR Rules

تنظیمات پیشنهادی:

  • فعال‌سازی Real-time protection
  • فعال‌سازی Attack Surface Reduction rules (بلوک macro، ransomware و غیره)

مسیر: Computer Configuration → Policies → Administrative Templates → Windows Components → Microsoft Defender Antivirus

و برای ASR: Computer Configuration → Policies → Administrative Templates → Windows Components → Microsoft Defender Antivirus → Microsoft Defender Exploit Guard → Attack Surface Reduction

۵. کنترل اجرای نرم‌افزار (AppLocker یا WDAC)

چرا مهم است؟ جلوگیری از اجرای بدافزار و نرم‌افزارهای غیرمجاز.

روش پیشنهادی: AppLocker (ساده‌تر)

تنظیمات:

  • Allow execution only from Program Files and Windows directories
  • Block .exe in AppData and Temp

مسیر: Computer Configuration → Policies → Windows Settings → Security Settings → Application Control Policies → AppLocker

۶. مدیریت USB و دستگاه‌های خارجی

تنظیمات پیشنهادی:

  • غیرفعال کردن USB Storage برای کاربران عادی
  • اجازه فقط خواندن (Read-only) برای برخی گروه‌ها

مسیر: Computer Configuration → Policies → Administrative Templates → System → Removable Storage Access → Removable Disks: Deny execute/write access

۷. تنظیمات Windows Update

تنظیمات پیشنهادی:

  • دانلود خودکار از WSUS یا Microsoft Update
  • نصب خودکار در ساعات غیرکاری

مسیر: Computer Configuration → Policies → Administrative Templates → Windows Components → Windows Update → Manage end user experience

۸. مدیریت دسکتاپ و تجربه کاربری

تنظیمات کاربردی:

  • Redirect Folders (Desktop, Documents به فایل سرور)
  • حذف Run و Command Prompt از منوی استارت
  • غیرفعال کردن Cortana و Store

مسیرها:

  • Folder Redirection: User Configuration → Policies → Windows Settings → Folder Redirection
  • Remove Run: User Configuration → Policies → Administrative Templates → Start Menu and Taskbar → Remove Run menu from Start Menu: Enabled

۹. فعال‌سازی Auditing پیشرفته

چرا مهم است؟ برای تشخیص نفوذ و forensic.

تنظیمات کلیدی:

  • Audit Logon Events (Success/Failure)
  • Audit Account Logon Events
  • Audit Object Access
  • Audit Privilege Use

مسیر: Computer Configuration → Policies → Windows Settings → Security Settings → Advanced Audit Policy Configuration

۱۰. پالیسی‌های مخصوص سرورها

تنظیمات پیشنهادی برای سرورها:

  • ممنوعیت لاگین کاربران عادی
  • محدود کردن Remote Desktop به گروه خاص
  • غیرفعال کردن خدمات غیرضروری

مسیر: Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → User Rights Assignment → Deny log on locally / Deny log on through Remote Desktop Services

Important Policy Microsoft نوشته

بهترین شیوه‌های پیاده‌سازی

  • هر دسته پالیسی را در GPO جداگانه ایجاد کنید (مثلاً Security GPO، Desktop GPO).
  • از OU ساختار مناسب استفاده کنید (مثلاً OU برای سرورها، لپ‌تاپ‌ها، کاربران).
  • GPOها را در OU آزمایشی تست کنید.
  • از GPO Backup منظم استفاده کنید.
  • از GPOهای پیش‌فرض (Default Domain Policy) فقط برای Password Policy استفاده کنید.
  • از WMI Filtering برای اعمال شرطی استفاده کنید.

نتیجه‌گیری

پیاده‌سازی این پالیسی‌ها پایه امنیت و مدیریت کارآمد شبکه دامنه‌ای است. مهم‌ترین پالیسی‌ها آن‌هایی هستند که رمز عبور، کنترل اجرا و لاگین را هدف قرار می‌دهند، زیرا بیشترین حملات از این نقاط وارد می‌شوند. با اعمال این تنظیمات، ریسک نفوذ به شدت کاهش می‌یابد و مدیریت شبکه آسان‌تر می‌شود. پیشنهاد می‌شود با ابزارهایی مانند GPO Reporting یا Policy Analyzer وضعیت فعلی را بررسی کنید و به تدریج این پالیسی‌ها را اعمال نمایید.

Must Read

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پیمایش به بالا