مدیریت پالیسی‌ها در شبکه دامین و مهم‌ترین آن‌ها

Policy in Domain Microsoft نوشته

مقدمه

در شبکه‌های سازمانی مبتنی بر Active Directory Domain Services (AD DS)، مدیریت مرکزی کاربران، کامپیوترها و منابع با استفاده از Group Policy (یا Group Policy Objects – GPO) انجام می‌شود. Group Policy یکی از قدرتمندترین ابزارهای ویندوز سرور است که امکان اعمال تنظیمات امنیتی، نرم‌افزاری، رفتاری و عملکردی را روی کاربران و کامپیوترهای عضو دامنه فراهم می‌کند. این ابزار با کاهش نیاز به پیکربندی دستی، خطاهای انسانی را کم می‌کند، امنیت را افزایش می‌دهد و انطباق با استانداردها را آسان می‌سازد. در سال ۲۰۲۵، با افزایش دورکاری و حملات سایبری، مدیریت صحیح GPOها حیاتی‌تر از همیشه است. این مقاله به بررسی مکانیزم Group Policy، ساختار آن و مهم‌ترین پالیسی‌های پیشنهادی می‌پردازد.

ساختار و نحوه کار Group Policy

  • GPO یک شیء در Active Directory است که شامل دو بخش اصلی است:
  • Computer Configuration: تنظیمات مربوط به کامپیوترها (استارت‌آپ، امنیت سیستم، اسکریپت‌ها).
  • User Configuration: تنظیمات مربوط به کاربران (دسکتاپ، امنیت لاگین، اپلیکیشن‌ها).
  • سلسله مراتب اعمال GPO (LSDOU):
  • Local → Site → Domain → OU (آخرین اولویت بالاترین است).
  • Link کردن GPO به OU، Domain یا Site.
  • Inheritance و Block Inheritance، Enforced برای کنترل اولویت.
  • ابزارهای مدیریت:
  • Group Policy Management Console (GPMC)
  • PowerShell (Get-GPO، New-GPO، Set-GPRegistryValue)
  • Advanced Group Policy Management (AGPM) برای نسخه‌بندی.

مزایای کلی مدیریت با Group Policy

  • مدیریت مرکزی هزاران کاربر/کامپیوتر از یک کنسول.
  • کاهش هزینه‌های پشتیبانی IT.
  • افزایش امنیت با اعمال یکنواخت تنظیمات.
  • انطباق با استانداردهایی مانند CIS، NIST، ISO 27001.
  • اتوماسیون وظایف تکراری.

Policy in Domain1 Microsoft نوشته

مهم‌ترین پالیسی‌های پیشنهادی در شبکه دامنه‌ای

۱. پالیسی‌های امنیتی لاگین و حساب کاربری (حیاتی‌ترین)
  • Password Policy (در Default Domain Policy):
    • حداقل طول ۱۲-۱۴ کاراکتر
    • پیچیدگی (uppercase, lowercase, number, symbol)
    • حداکثر عمر ۹۰ روز
    • حداقل عمر ۱ روز
    • تاریخچه ۲۴ رمز
    • Lockout پس از ۱۰ تلاش ناموفق (۳۰ دقیقه قفل)
  • Account Lockout Policy و Fine-Grained Password Policy برای گروه‌های خاص.
  • Restrict Logon:
    • محدود کردن لاگین محلی روی سرورها (فقط ادمین‌ها).
    • ممنوعیت لاگین کاربران عادی روی Domain Controller.
۲. پالیسی‌های امنیتی سیستم و Windows Defender
  • Windows Defender Exploit Guard و ASR Rules فعال.
  • BitLocker اجباری برای درایوهای سیستم و داده.
  • Firewall فعال با قوانین inbound محدود.
  • User Account Control (UAC) همیشه فعال.
  • SMBv1 غیرفعال (به دلیل آسیب‌پذیری).
۳. پالیسی‌های جلوگیری از اجرای بدافزار
  • AppLocker یا Windows Defender Application Control (WDAC):
    • اجازه اجرا فقط از مسیرهای مجاز (Program Files, Windows).
    • بلوک اسکریپت‌های PowerShell مگر برای ادمین‌ها.
  • Software Restriction Policies (برای ویندوزهای قدیمی).
۴. پالیسی‌های مدیریت پچ و بروزرسانی
  • Windows Update از WSUS یا Intune.
  • دانلود خودکار و نصب در زمان مشخص (خارج ساعات کاری).
۵. پالیسی‌های مدیریت دسکتاپ و تجربه کاربری
  • Redirect Folder (Desktop, Documents به فایل سرور).
  • Remove Run, Command Prompt برای کاربران عادی.
  • Drive Mapping خودکار.
  • Start Menu و Taskbar سفارشی.
۶. پالیسی‌های مدیریت قدرت و عملکرد
  • Power Management برای لپ‌تاپ‌ها (sleep پس از عدم فعالیت).
  • Disable USB Storage برای کاربران عادی (جلوگیری از data exfiltration).
۷. پالیسی‌های امنیتی مرورگر و اینترنت
  • Internet Explorer/Edge hardening (disable ActiveX، Java).
  • Proxy اجباری از طریق GPO.
۸. پالیسی‌های لاگ‌گیری و Auditing
  • فعال کردن Advanced Audit Policy:
  • Logon/Logoff
  • Privilege Use
  • Object Access
  • Policy Change
  • افزایش حجم Event Log و retention.
۹. پالیسی‌های مخصوص دورکاری
  • Always On VPN یا DirectAccess تنظیمات.
  • Conditional Access با NPS و Azure AD (hybrid).
۱۰. پالیسی‌های Baseline امنیتی (CIS Level 1/2)
  • دانلود templateهای آماده CIS برای Windows 10/11 و Server 2022.
  • اعمال با GPO یا Intune.

بهترین شیوه‌ها (Best Practices)

  • حداقل یک GPO برای هر دسته (جدا کردن امنیتی از کاربری).
  • تست GPO در OU آزمایشی قبل از اعمال گسترده.
  • استفاده از WMI Filter برای اعمال شرطی (مثلاً فقط لپ‌تاپ‌ها).
  • Backup منظم GPO با GPMC.
  • Documentation دقیق از هر GPO.
  • اجتناب از ویرایش Default Domain Policy (به جز password policy).
  • استفاده از Central Store برای Administrative Templates.

نتیجه‌گیری

مدیریت پالیسی‌ها با Group Policy قلب امنیت و کارایی شبکه دامنه‌ای است. مهم‌ترین پالیسی‌ها آن‌هایی هستند که امنیت حساب‌ها، جلوگیری از اجرای بدافزار و کنترل دسترسی را هدف قرار می‌دهند، زیرا بیشترین حملات از این نقاط وارد می‌شوند. پیاده‌سازی صحیح GPOها نه تنها ریسک را کاهش می‌دهد، بلکه بهره‌وری را افزایش می‌دهد و سازمان را برای auditهای امنیتی آماده می‌کند. در عصر حملات ransomware و zero-trust، یک استراتژی GPO قوی اولین خط دفاع است.

Must Read

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پیمایش به بالا