پورت 80

WMI و فیلتر سیاست های گروهی

2009-02-08T23:41:00.001+03:30

WMI یک زیرساخت مدیریتی که مدیران شبکه را قادر می کند تا بتوانند اشیاء روی یک شبکه را مانیتور و کنترل کنند. WMI کوتاه شده Windows Management Instrumentation است و در تمامی سیستم عامل های ویندوز قابل استفاده است. از ویندوز 2000 به بعد (شامل ویندوز ME) به صورت پیش فرض روی سیستم عامل نصب است و برای سیستم عامل های قبل از آن امکان نصب آن موجود است. (فقط ویندوز 98 , 95). برای خودکار کردن فرایند های امنیتی، می توان یک برنامه یا اسکریپت WMI نوشت و آن را به صورت Remote یا Local به کار برد.با یک WMI Query می توان سیستم ها را بر حسب مشخصه خاصی از آنها فیلتر کرد. به عنوان مثال مقدار فضای RAM آزاد آنها، سیستم عامل، سرویس پک، نرم افزار های نصب شده و تنظیمات پرینتر آنها. از آنجای که به اکثر صفات هر شیئ در WMI دسترسی وجود دارد، تعداد ویژگی هایی که در WMI Query می توان استفاده کرد مجازا بی نهایت و نا محدود است. WMI Query ها به زبان WMI Query Language یا به اختصار WQL نوشته می شود.

از WMI Query ها می توان برای ساختن یک فیلتر برای اعمال سیاست های گروهی استفاده کرد. فیلتری که با استفاده از WMI برای اعمال سیاست ها استفاده می شود، به اختصار فیلتر WMI گفته می شود. یکی از مثال های خوب برای درک کاربرد این کار سناریوی زیر است:

- با استفاده از Group Policy می توان یک نرم افزار یا یک سرویس پک را Deploy کرد.(همانطوری که در گذشته دیدیم). با فیلتر های WMI می توان مشخص کرد یک سیاست خاص فقط روی سیستم عامل و سرویس پک مشخص اعمال شود. بدون شک در اینجا قصد ندارم به بررسی چگونگی نوشتن یک اسکریپت WMI بپردازم و فقط می خواهم خیلی کوتاه آشنایی با فیلتر ها داشته باشیم. کد زیر، کامپیوتر های با سیستم عامل ویندوز XP سرویس پک 3 را خارج و سایر را فیلتر می کند:

SELECT * FROM Win32_operatingsystem WHERE Caption="Microsoft Windows XP Professional" AND CSDversion="Service Pack 3"

حال اگر این Query روی یک GPOs اعمال شود، در زمان پردازش سیاست های گروهی، Query روی سیستم Local بررسی می شود. اگر شرایط Query موجود باشد، GPOs اعمال می شود در غیر این صورت مشابه آنچه در فرآیند پردازش سیاست های گروهی گفته شد اتفاق خواهد افتاد. WMI Query ها هم از یک NameSpace خاص تبعیت می کنند. بسیاری از کلاس های مفید در root\CIMv2 وجود دارند از جمله Win32_OperatingSystem که در اینجا به آن نیاز داریم. به صورت پیش فرض فضای نامی همین انتخاب می شود. با کمی جستجو می توانید مثال های خوبی از نحوه نوشتن Query ها پیدا کنید و به راحتی یک Query دلخواه خود را بنویسید.

برای ساختن یک فیلتر WMI در کنسول Group Policy Managment روی WMI Filters کلیک راست کنید و New را بزنید. در دایلوگ باکس باز شده، نام و توضیحی برای فیلتر بنویسید و سپس در قسمت Queries دکمه ADD را بزنید.Query مورد نظر خود را بنویسید و OK را بزنید. اکنون یک Query اضافه کردید. حال باید معین کنید که کدام سیاست تحت تاثیر یان فیلتر اعمال شود. برای این کار در قسمت GPOs That Use This WMI Filter کلیک راست کنید و ADD را بزنید. سیاست مورد نظر خود را انتخاب کنید و آن را اضافه کنید. توجه داشته باشید که در کامپیوتر های که روی آنها WMI نصب نشده باشد، از پردازش سیاست هایی که روی آنها فیلتر WMI موجود باشد چشم پوشی می شود حتی اگر جواب Query برای آن ها True باشد، از آنجا که قادر به درک WMI نیستند، سیاست را در نظر نمی گیرند. زمان بازسازی سیاست های گروهی را فراموش نکنید هر 90 تا 12 دقیقه قدری بر عملکرد سیستم ها اضافه می شود. در واقع فیلتر WMI باری هر چند نه چندان قابل توجه روی سیستم خواهد گذاشت و بدون شک در زمان پردازش و تعداد فرآیند ها در پردازش موثر است. پس بیهوده از فیلتر استفاده نکنید، فیلتر کردن آخرین راه حل است.

مدیریت ساده تر Group policy – قسمت دوم

2009-02-08T14:26:00.001+03:30

آیا قسمت اول را خوانده اید؟

Group Policy Modeling Wizard :

اگر یک کاربر را از یک OU به OU دیگر یا از یک سایت به ساید دیگر Move کنید، اگر یک کامپیوتر را از یک OU به OU دیگر Move کنید یا گروه امنیتی که در آن عضو است را تغییر دهید، گستره سیاست ها تغییر پیدا می کند، بنابراین RSoP تغییر پیدا می کند. اگر با مشکل Slow Link رو به رو باشید و یا LoopBack Processing تنظیم شده باشد یا یک فیلتر مثلا فیلتر WMI اعمال شده باشد همگی می تواند سیاست هایی که به کاربر اعمال می شود را دچار تغییر کنند. پیش از Move کردن هر چیزی، ابتدا باید در مورد RSoP آن تحقیق کنید. هیچ گاه نمی توان بدون محاسبه سیاست های مقصد یک شیئ را Move کرد. همانطور که در گذشته دیدید، محاسبه دستی RSoP چندان عملی نیست لذا باید راهکاری برای محاسبه ی خودکار یافت.

برای یافتن جواب های سوال های “ اگر – چه “ در سیاست های گروهی از ابزار Group Policy Modeling Wizard استفاده می کنیم. با این ابزار می توانیم پیش بینی کنیم اگر تغییراتی اعمال شود، دسته سیاست های برآیند چه خواهند بود. در Group Policy Management Console روی Node (گره) Group Policy Modeling کلیک راست کنید و گزینه Group Policy Modeling Wizard را بزنید. مدل سازی با هدایت یک دامین کنترلر ویندوز سرور 2003 به بعد انجام می شود پس در ابتدا از شما سوال می شود روی کدام دامین کنترلر در اکتیو دایرکتوری مدل سازی صورت گیرد. سپس در خصوص موارد زیر سوال می شود:

1. مشخص کردن کامپیوتر یا کاربر یا هر دو ، یا یک OU ، دامین یا سایت برای ارزیابی شدن

2. مشخص کردن Slow Link و LoopBack Processing و معین کردن یک سایت خاص (برای محاسبه شدن سیاست هایی که در یک سایت اعمال شده اند)

3. معین کردن Security Group

4. معین کردن فیلتر ها

آنچه در نمایش Group policy Results گفته شد در اینجا نیز صادق است.

GPresult.exe :

GPresult.exe ابزار Command Based برای Group Polucy Results Wizard است. در اینجا با برخی سوییچ های این دستور آشنا می شویم:

s computername/ : نام یا IP آدرس می تواند جایگزین ComputerName شود و اگر در نام از چند بخشی استفاده نشود و یا از سوییچ استفاده نشود، RSoP برای کامپیوتر Local مشخص خواهد شد. مثال نام چند بخشی : dc5.contoso.com ( از FQDN استفاده کنید)

Scope User|Computer/ : نمایش RSoP برای User یا کامپیوتر. اگر سوییچ نوشته نشود برای هر دو مورد (User و Computer ) دسته سیاست های برآیند محاسبه خواهد شد.

User/ : مشخص کردن یک user خاص برای محاسبه RSoP .

r/ : نمایش خلاصه نتایج RSoP .

برای اطلاعات بیشتر در خصوص این فرمان به اینجا مراجعه کنید و یا از سوییچ ?/ استفاده کنید.

مدیریت ساده تر Group Policy – قسمت اول

2009-01-28T16:20:00.001+03:30

یکی از ابزار های مفید در مدیریت سیاست های گروهی، Group Policy Management Console است. با استفاده از این ابزار می توانید بسیار ساده تر سیاست های گروهی را مدیریت کنید همچنین بر قراری لینک ها پیچیدگی ندارد. وراثت ها آشکار تر دیده می شوند به در سراسر جنگل دسترسی دارید. به صورت پیش فرض، این ابزار جزء ویژگی های ویندوز سرور 2008 است و برای ویندوز سرور 2003 نیز قابل دریافت است.

فعال سازی در ویندوز سرور 2008: به کنسول Sever Manager رفته، در قسمت Features ، گزینه Add Features را بزنید و Group Policy Managment را انتخاب کنید و نصب کنید.

دریافت و فعال سازی در ویندوز سرور 2003 : از اینجا می توانید این ابزار را دریافت کنید و نصب کنید (رایگان – لینک مستقیم مایکروسافت - 5.5MB )

* توجه کنید که روی ویندوز XP نیز قابل نصب است. دامین کنترلر باید ویندوز سرور 2000 سرویس پک 2 به بعد باشد و همچنین سرویس پک 3 توصیه می شود. زیرا در سرویس پک 2 به تمامی امکانات دسترسی نخواهید داشت.

شروع در GPMC

در Administrative Tools با باز کردن Group Policy Management می توانید به این ابزار دسترسی پیدا کنید. در اولین نگاه، در نوار سمت چپ نمایشی از ساختار جنگل را می توانید ببینید. که دامین ها و سایت ها در دو بخش جدا نمایش داده می شوند. همجنین OU ها نیز در زیر دامین ها قابل مشاهده اند. بنابراین دیگر به آن مراحل باز کردن Group Policy Object Editor نیاز نخواهید داشت. برای ویرایش کردن هر بخش از سیاست های گروهی ، کافی است روی آن کلیک راست کرده و گزینه Edit را بزنید. با این کار Group Policy Managment یک پنجره جدید به نام Group Policy Managment Editor باز خواهد کرد. که در گذشته GPO Editer نام داشت. با GPO Editer در مطالب قبلی کاملا آشنا شدیم و همه چیز مشابه قبل است. تنها تفاوت موجود آن است که در Computer Configuration و User Configuration دو بخش(گره) جدید داریم:

1. Policies : شامل تمام گزینه ها و بخش هایی است در ورژن های قبل از ویندوز سرور 2008 موجود بود. البته گزینه های جدیدی نیز اضافه شده که برای استفاده از آن ها باید کلاینت های به روز رسانی شوند.

2 Preferences : قسمت جدیدی است که در ویندوز سرور 2008 اضافه شده و با آن می توانید تعداد بی شماری تنظیمات اضافی (علاوه بر سیاست ها) اعمال کنید. با این قسمت خواهید توانست قسمت های زیر را مدیریت کنید:

- نرم افزارهایی مشابه Microsoft Office ورژن های 2003 به بعد
- Mapped Drive ( مپ کردن یک درایو روی کلاینت ها)
- تنظیماتی در Registry
- تنظیمات مصرف انرژی
- تنظیمات منطقه ای (regional)
- می توانید Files ها، Printer ها، scheduled Task ها و… را Deploy کنید.
- همچنین می توانید استفاده از سخت افزار ها را فعال یا غیر فعال کنید. به عنوان مثال می توانید از استفاده از هارد های پرتابل را جلوگیری کنید.

توجه کنید که تمامی سیستم عامل هایی که تاریخ انتشار آنها قبل از ویندوز سرور 2008 R1 است، برای استفاده از این قسمت باید به روز شوند، در غیر این صورت سیاست های اعمال شده، بلا نتیجه خواهد بود. (شامل ویندوز ویستا سرویس پک 1)

دسته سیاست های برآیند:

در گذشته مشاهده کردیم که چندین سیاست می تواند روی یک کلاینت/کاربر اعمال شود. ارث بری، سیاست های چندگانه، فیلترها و… یافتن نتیجه سیاستی که اعمال خواهد شد را دشوار می کند. ضمن آنکه با توجه به زیاد بودن تعداد سیاست ها، محاسبه دستی از لحاظ زمانی، عملی نخواهد بود. برای این از ابزار های Resultant Set of Policy استفاده می کنیم. RSoP تاثیری بر سیاست های اعمال شده نخواهد داشت و فقط نتایج را نمایش خواهد داد.ابزارهای RSoP راه های متفاوتی برای محاسبه نتیجه سیاست ها دارند. می توانند یک پرس و جو (Query) به کامپیوتر ارسال کنند و نتیجه سیاست ها را از آن دریافت کنند. همچنین می توانند با استفاده از مدل سازی نتیجه سیاست ها را محاسبه کنند و… .

در ویندوز سرور 2008 ابزار های زیر را برای آنالیز RSoP در اختیار داریم:

1. Group Policy Results Wizard

چنانچه می خواهید متوجه شوید دقیقا چه سیاستی به یک کامپیوتر/کاربر اعمال می شود باید از این ابزار استفاده کنید. GPMC خود شامل این ابزار است اما می توانید از طریق MMC نیز به آن دسترسی پیدا کنید. پیش نیاز های استفاده از این عبارت اند از:

- داشتن یک اعتبارات مدیریتی.
- کامپیوتر مقصد (کلاینت) دارای سیستم عامل ویندوز XP به بعد باشد.
- باید به WMI در کامپیوتر مقصد دسترسی داشته باشید. این به آن معنا است که سرویس WMI در حال اجرا باشد، پورت های 135 و 445 باز باشند و مشکل ارتباطی وجود نداشته باشد.
- چنانچه قرار است یک کاربر آنالیز شود، باید آن کاربر حداقل یک بار در کامپیوتر مقصد Login کرده باشد، اما نیازی نیست که در حال حاضر Login کرده باشد و Session باز داشته باشد.

برای شروع روی Group Policy Results کلیک راست کنید و گزینه Group Policy Results Wizard را بزنید. در انجام مراحل ویزارد دقت کنید، چنانچه یک کامپیوتر را انتخاب کنید، فقط می توانید از بین کاربرانی که یک بار Login کرده اند انتخاب کنید. همچنین می توانید مشخص کنید که فقط User Configuration یا Computer Configuration نمایش داده شود. در این صورت از انتخاب کاربر / کامپیوتر بی نیاز خواهید بود.

نکته قابل توجه آن است که حتی می توانید Event Log مخصوص policy های ذکر شده را مشاهده و مورد بررسی قرار دهید. دقت کنید که در زبانه (Tab) مربوط به Summery تنها اطلاعات مربوط به آخرین پردازش Group Policy نمایش داده می شود و در زبانه Settings نمایش کامل RSoP وجود خواهد داشت. همچنین پس از آنالیز RSoP شما می توانید مجدد Query بگیرید و یا گزارش را Save یا Print کنید.

2. Group Policy Modeling Wizard
3. GPresult.exe

موارد 2 و 3 در قسمت بعدی بررسی می شوند

مباحث ویژه در Group Policy

2009-01-26T12:06:00.001+03:30

در گذشته، مطالبی را در خصوص سیاست های گروهی در اینجا و اینجا آموختیم. این مطلب در واقع ادامه ای بر مطالب گذشته خصوصا آن دو مطلب است.

همانطور که گفته شد، زمانی که کامپیوتر روشن شود و دسترسی به شبکه ایجاد شود، ویندوز یک نسخه از Group Policy مربوط به خود را فقط شامل تنظیمات Computer Configuration در AllUsersProfile%\Ntuser.pol% ایجاد می کند. این در واقع همان لیستی است که در بحث فرآیند سیاست های گروهی گفته شد. پس از آنکه کاربر به سیستم وارد می شود (Login) نسخه دیگری از سیاست های گروهی را در UserProfile%\Ntuser.pol% می سازد. سپس برای آنکه همیشه کاربر و کامپیوتر شامل آخرین سیاست ها باشد، در زمان های مشخص بازسازی می شود.به صورت پیش فرض سیاست های گروهی دامین کنترلر ها هر 5 دقیقه یک بار و در خصوص workstationها و سایر سرور ها هر 90 تا 120 دقیقه یک بار بازسازی می شود. به اضافه آنکه به صورت پیش فرض سیاست های گروهی هر 16 ساعت یکبار بدون توجه به آنکه آیا تغییری صورت گرفته یا خیر، بازسازی می شوند. نکته قابل توجه آن است که به صورت پیش فرض زمان بازسازی سایر سرور ها 90 دقیقه است، اما یک تاخیر 30 دقیقه برای کنترل ترافیک در نظر گرفته شده است.

تذکر: فاکتورهای دیگری می توانند در باز سازی سیاست های گروهی نقش داشته باشند. همانند سرعت پایین لینک ارتباطی یا اجبار کردن در بازسازی و… . البته آخرین بازسازی سیاست های گروهی قابل چک کردن است در این خصوص در ادامه بیشتر صحبت می شود.

معماری سیاست های گروهی (مقدمه) :

توجه: آشنایی با ساختار سیاست های گروهی برای برنامه نویسان بسیار مهم است و در تولید برنامه های Active Directory integrated کاربرد دارد. همچنین، به مدیران شبکه دید خوبی می دهد، و در برخی سناریوها خصوصا رفع اشکال بسیار مفید است.

توجه: برای آنکه ساختار سیاست های گروهی را به خوبی متوجه شوید به دانش مناسبی در خصوص معماری اکتیو دایرکتوری نیاز دارید.

در قلب معماری اکتیو دایرکتوری، موتور توسعه پذیر ذخیره سازی (extensible storage engine یا به اختصار ESE) قرار دارد. وظیفه ESE نوشتن و خواندن داده های مربوط به اکتیو دایرکتوری را دارد. توضیح آنکه یک DataBase هم از لحاظ فیزیکی و هم از لحاظ منطقی داده ها را گروه بندی می کند. ESE از یک متد سلسله مراتبی شیئ گراء برای نمایش اطلاعات بهره می برد. در Group Policy یک نمایش سلسه مراتبی در هر Group Policy Object چه به صورت فیزیکی و چه به صورت منطقی وجود دارد. بنابراین GPO از یک بسته استفاده می کند تا در کنار Active Directory قرار گیرد، این بسته را ( Group Policy container ( GPC می گوییم. جزء فیزیکی سیاست های گروهی را Group Policy template یا به اختصار (GPT) می گوییم. GPT در دامین کنترلر ها ذخیره می شود.

توجه:در اینجا GPT کوتاه شده ی Graphical Partition Table نیست!

در بعد منطقی هم GPO ها به صورت بسته هایی در اکتیو دایرکتوری ظاهر می شوند. به این بسته ها Group Policy Containers یا به اختصار GPCs گفته می شود. GPCs ها شامل برخی اطلاعات ابتدایی همانند نامی که در کنسول مدیریت سیاست های گروهی ظاهر می شود و یا ورژن آن شوند می باشند. همچین ACL های مربوط نیز در همان GPCs ذخیره می شود.

هر GPO با یک(client-side extension (CSE کنترل می شود. به عنوان مثال Administrative Tools . همانند اکتیو دایرکتوری، Group Policy نیز از یک معماری Client – Server استفاده می کند. کلاینت ها برای تحلیل Group Policy از CSEs استفاده می کنند و Group Policy Servers از server-side extensions یا (SSEs) استفاده می کنند. CSEs ها با DLL هایی که زمان نصب سیستم عامل ساخته می شوند، اجرا می گردند. شکل زیر به خوبی این فرآیند را نمایش می دهد.

ابتدا CSEs توسط Group Policy Engine فراخوانی می شوند. این CSEs هست که تغییرات را اعمال می کند. به عنوان مثال تغییراتی که در Registry باید صورت گیرند. DLL های مربوط به CSEs ها در زمان نصب ویندوز در System32 قرار می گیرند. همچنین برنامه نویس شخص سوم (غیر از مایکروسافت) می تواند CSEs مورد نظر خود را بسازد. هر CSE با یک GUID یکتا در رجیستری ذخیره می شود. توضیح اضافه انکه این GUID در تمام سیستم های ویندوز یکسان است مثلا، GUID مربوط به Software Installation در تمام ویندوز ها یکی است.

البته بحث پیرامون معماری سیاست های گروهی بسیار فراتر از آنچه در اینجا آمده است، می باشد. در آینده نکات بیشتری را خواهیم آموخت.

فرآیند سیاست های گروهی ( مباحث تکمیلی) :

دو دسته پردازش در پردازش Group Policy می تواند اتفاق افتد. پردازش های foreground و پردازش های Background .

پردازش foreground در زمان Startup و Login اتفاق می افتد. پردازش foreground منحصر به فرد است زیرا پیش از آنکه کاربر بتواند با محیط دسکتاپ خود کار کند اتفاق می افتد. بنابراین برای سیاست هایی مناسب است که به کاربر وابسته نیستند.

پردازش Background در زمان های معین شده و به صورت asynchronously با سایر پردازش ها است. پردازش های Background برای سیاست هایی مناسب است که نیازمند آن هستند که دوباره اعمال شوند، همانند Administrative Templates. در خصوص بازه های این زمان بندی در قبل صحبت شد. اما این فاصله های زمانی به صورت زیر قابل تغییر است:

الف: برای دامین کنترلر ها : در مسیر Computer Configuration\Administrative Templates\System\Group Policy و ویرایش Group Policy Refresh Interval
ب: برای کامپیوتر ها :در مسیر Computer Configuration\Administrative Templates\System\Group Policy و ویرایش Group Policy Refresh Interval
ج: برای کاربر ها : در مسیر User Configuration\Administrative Templates\System\Group Policy و ویرایش Group Policy Refresh Interval

در ویندوز 2000 پردازش های foreground همواره به صورت synchronously صورت می گیرد که این به معنی آن است که سیاست های یک کامپیوتر پیش از Logon Screen و سیاست های یک کاربر پیش از نمایش Desktop و پس از Login پردازش می شوند. از ویندوز XP به بعد، امکان پردازش asynchronous نیز برای پردازش های foreground ایجاد شده که در مکانیسم Fast Logon Optimization ظاهر می شود. به صورت کلی Fast Logon Optimization به آن معنا است که ویندوز منتظر نمی شود تا دسترسی به شبکه کامل شود و سپس Logon صورت گیرد. در بسیاری موارد این گزینه کاربرد ندارد و فقط در سناریو های خاص می تواند مفید باشد. می توان با استفاده از سیاست Always Wait For The Network At Computer Startup And Logon در مسیر Computer Configuration\Administrative Templates\System\Logon فعال بودن Fast Logon Optimization را بی اثر کرد. همچنین ویندوز سرور 2003 از Fast Logon Optimization پشتیبانی نمی کند.

سرعت پایین ارتباط:

اکتیو دایرکتوری از یک متد شناسایی سرعت های پایین ارتباطی بهره می برد تا هم در سرعت های کم و مسافت های دور کمک کند و هم در زمان ها ترافیک شدید از کاهش عملکرد سیستم قدری کاسته شود. از این ویژگی در سیاست های گروهی نیز می توان استفاده کرد. زمانی که یک لینک با سرعت پایین وجود داشته باشد، کلاینت Group Policy انتقال اطلاعات خود را کاهش می دهد تا روی ترافیک کل شبکه قدری موثر باشد.

کامپیوتر های کلاینت از یک متد خاص برای شناسایی آنکه آیا در یک لینک با سرعت پایین قرار دارند یا خیر استفاده می کنند. در اکثر مواقع یک Ping به دامین کنترلر (ها) در حوزه خود می فرستند، Response Time انجام مرحله بعدی را معین می کند. چنانچه Response Time کمتر از 10 میلی ثانیه باشد، کلاینت پردازش های سیاست های گروه را به حالت عادی ادامه می دهد و یا چنانچه در حال عادی نبوده، به حالت عادی باز می گرداند. اگر بیشتر از 10 میلی ثانیه باشد:

الف : دامین کنترلر ها را با یک پاکت 2KB سه مرتبه Ping می کند.
ب : از میانگین Response Time برای معین کردن سرعت لینک استفاده می کند.

به صورت پیش فرض اگر سرعت در قسمت “ب” کمتر از 500 Kbps باشد، کلاینت لینک سرعت کم را در نظر می گیرد و نتیجه آنکه در زمان بازسازی Group Policy، دامین کنترلر فقطSecurity Settings و Administrative Templates را برای کلاینت ارسال می کند. برای تنظیمات دلخواه، می توان سیاست Group Policy Slow Link Detection موجود در مسیر Computer Configuration\Administrative Templates\System\Group Policy را ویرایش کرد. توجه کنید که چه سیاست Disable و چه Not Configured باشد، کلاینت از مقدار پیش فرض یعنی 500 Kbps استفاده می کند. چنانچه Enable باشد، می توان این سرعت را تنظیم کرد. در واقع برای غیر فعال کردن این سیاست تنها راه این است که آن را Enable و مقدار 0 را برای آن قرار دهید. همچنین با سیاست های موجود در مسیر ذکر شده، می توان مشخص کرد که در زمان “سرعت پایین ارتباط” چه بخش های از Group Policy مورد پردازش قرار گیرند. همچنین می توان با سیاست Allow Processing Across A Slow Network Connection معین کرد که حتی اگر یک Slow Link وجود دارد، پردازش Group Policy در زمان بازسازی کامل انجام شود. این سیاست بر سیاست Group Policy Slow Link Detection برتری دارد.

ورژن بندی:

ورژن بندی مبحث دقیقی نیست، اما بسیار قابل توجه است. GPC و GPT الزاما همواره ورژن های یکسانی ندارند! این می تواند به دلایل مختلف و در شرایط خاص صورت گیرد. به عنوان مثال ممکن است تغییرات روی GPC اعمال نوشته شده باشد، اما هنوز روی GPT نوشته نشده باشند. این در زمانی ممکن است اتفاق افتد که GPC کامل Replicate شده است اما GPT هنوز Replicate نشده. نسخ مختلف ویندوز ورژن بندی را به سبک های متفاوتی انجام می دهند.

در ویندوز سرور 2003 و ویندوز XP ، همسان سازی کامل Group Policy الزاما به معنی یکی بودن ورژن ها نمی باشد. چنانچه GPT و GPC ورژن های یکسانی ندارند، GPO در صورت امکان پردازش می شود. در صورت عدم امکان در دفعه بعدی پردازش می شود. عدد ورژن Group Policy به صورت افزایشی است و برای User Configuration و Computer Configuration متفاوت است:

الف: در ازای هر تغییر روی Computer Configuration ، یک واحد اضافه می شود. به عنوان مثال چنانچه در Administrative Templates در قسمت Computer Configuration چهار آیتم را تغییر دهید، 4 واحد به ورژن GPT اضافه می شود. سپس 4 واحد به ورژن GPC اضافه می شود. استثناء نیز وجود دارد.

ب: هر تغییر در User Configuration ، معمولا 65536 واحد به ورژن اضافه می کند. به عنوان مثال چنانچه 3 تغییر در Administrative Templates در قسمت User Configuration اعمال کنید ورژن GPT و سپس GPC به مقدار 196608 واحد اضافه خواهد شد.

با عملیات XOR ویندوز می توان تشخیص دهد که چند تغییر در Computer Configuration و چند تغییر در User Configuration اتفاق افتاده است.

گستره سیاست ها در Group Policy

2009-01-19T21:41:00.001+03:30

آیا با Group Policy آشنایی دارید؟

گستره ( Scope ) :

Scope یک سیاست، اجتماع کامپیوتر ها و یوزر هایی است که یک آن سیاست در آن ها به کار می رود. متد های مختلفی برای مدیریت Scope وجود دارد. اولین و ساده ترین راه، روش Link است. با روش لینک می توانیم معین کنیم که یک سیاست دقیقا در کجا به کار رود یک دامین، سایت، OU. بدیهی است که سیاست برای تمام کامپیوتر ها و یوزر ها آن بخش به کار گرفته خواهد شد. همچنین دو روش مختلف برای فیلتر کردن سیاست ها داریم. روش روش اول که Security Filters یا فیلتر های امنیتی نام دارد، معین می کند که Global Security Group هایی را معین می کند که آن سیاست باید/نباید در آن به کار گرفته شوند. روش فیلترینگ دوم ، فیلتر های windows Managmet Instrumentation است که از مشخصاتی از سیستم همانند سیستم عامل و یا میزان فضای خالی دیسک سخت استفاده می شود. هر دو دسته فیلتر ها، برای محدود کردن گستره ای است که توسط لینک معین شد.

مدیریت گستره سیاست:

مدیریت لینک ها دقیقا به وسیله آنچه که در خصوص باز کردن Group Policy گفته شد انجام می شود. در واقع با آن روش باز کردن، می توان انتخاب کنید که سیاست به کدام ناحیه، یک دامین، یک OU یا یک سایت اعمال شود. بنابراین باید اکنون به راحتی بتوانید یک Group Policy را به ناحیه ای لینک کنید. اما مسئله لینک ها در اینجا تمام نمی شود.

ترتیب اعمال لینک ها:

ترتیب زیر، ترتیب اعمال شدن سیاست ها است به این معنا که هر سیاستی که آخر اعمال می شود، تاثیر بیشتری دارد. به عنوان مثال چنانچه در LGPO به کاربر اجازه Run داده شده باشد در سایت و دامین تصمیمی اتخاذ نشده باشد و در OU منع شده باشد، کاربر به run دسترسی نخواهد داشت. هر چند درست نیست، اما برای درک بهتر می توان گفت، مراحل بعدی، روی مراحل قبلی Overwrite می شوند.

1 – هر کامپیوتر دقیقا یک LGPO دارد. در ویندوز ویستا و سرور 2008 می توان بیش از چند LGPO داشت. برای اطلاعات بیشتر اینجا را بخوانید.
2 – هر سیاستی که در سایت لینک شده باشد،اعمال می شود. در صورت لینک شدن چندین سیاست به یک سایت، به ترتیب اهمیت بیشتری خواهند داشت.
3 – هر سیاستی که در دامین لینک شده باشد، اعمال می شود. همانند 2، ترتیب اعمال سیاست ها به ترتیبی است که معین شده است.
4 – هر سیاستی که در OU لینک شده باشد، اعمال می شود. همانند 3 و 2 ترتیب اعمال شدن سیاست ها به ترتیبی است که معین شده است.
* چنانچه اختلافی میان سیاست های Computer Configuration و User Configuration موجود باشد، User Configuration اعمال خواهد شد چرا که User Configuration خاص تر است. اما استفاده از لغت “برتری” برای این دو گروه تنظیمات اشتباه است.
- توضیح بیشتر آنکه چنانچه به یک دامین، سایت یا OU بیش از یک GPOs لینک شده باشد، ترتیب اولویت آن ها با لینک های بالاتر است. همچنین می توانید شماره کنار هر گزینه را اولویت آن در نظر بگیرید. مثلا تمام سیاست های 4 نسبت به 2 در اولویت است. شکل زیر به خوبی ترتیب اعمال سیاست ها را نمایش می دهد. برای بزرگ تر شدن تصویر روی آن کلیک کنید.

وراثت :

شک ندارم تمام کسانی که در رشته کامپیوتر فعالیت دارند از لغت وراثت دل خوشی ندارند. عموما یک سیاست به زیردستان اعمال می شود. به عنوان مثال شاه می تواند برای وزیر، دستوری صادر کند مثلا در کامپیوتر خود Run نداشته باشد! اما وزیر نمی تواند سیاستی برای شاه اعمال کند. در اینجا فقط سیاست ها از بالا به پایین به ارث می رسند. در واقع از والد( parent ) به فرزند ( Child ). نحوه اعمال این سیاست ها چنین است:

1 – چنانچه سیاستی در OU والد تنظیم شده باشد و در OU فرزند تنظیم نشده باشد آن سیاست به فرزندان اعمال می شود. ( اشتباه نکنید چه Enable باشد چه Disable – فقط در حالت Not Configured بی اثر است)

2 – چنانچه سیاستی در OU والد تنظیم شده باشد و در OU فرزند نیز همان سیاست تنظیم شده باشد، سیاست فرزند بر سیاست والد برتری دارد و سیاست فرزند اعمال می شود.

3 – چنانچه سیاست های والد Not Configured باشد همانطور که در 1 توضیح داده شد، به ارث برده نمی شوند.

4 – چنانچه سیاست ها با هم ناسازگار نباشند، هر دو سیاست اعمال می شوند. به عنوان مثال چنانچه در OU والد سیاستی مبنی بر قرار گرفته یک فلدر روی دسکتاپ وجود داشته باشد، و در OU فرزند نیز همان سیاست در مورد فلدر دیگری باشد، هر دو فلدر روی دسکتاپ وجود خواهند داشت.

5 – چنانچه سیاست های OU والد با OU فرزند ناسازگار باشد، سیاست ها به OU فرزند به ارث نمی رسد و سیاست های فرزند اعمال می شود.

6 – به صورت پیش فرض، سیاست های از Parent Domain به Child Domain به ارث نمی رسد و سیاست های جداگانه خود را خواهند داشت.

فرآیند Group Policy :

گام های زیر، مراحلی است که یک کامپیوتر در محیط اکتیو دایرکتوری طی می کند و یک سیاست به آن اعمال می شود:

1. کامپیوتر شروع به کار می کند و سرویس دهی شبکه آغاز می شود. سپس RPCSS و MUP شروع به کار می کنند و سپس Group Policy Client آغاز به کار می کند.

2. Group Policy Client یک لیست مرتب شده از GPOs هایی که در Scope سیاست های خودش است را آماده می کند و این لیست مرتب به صورت نحوه فرآیند اعمال Group Policy را معین می کند. که به صورت پیش فرض Local ، سیاست های Site ، سیاست های دامین ، سیاست های OU است.

الف. سیستم عامل های قبل از ویندوز ویستا و از ویندوز 2000 به بعد، فقط یک LGPO دارند و همان LGPO اعمال می شود. سیستم عامل های بعد از ویندوز ویستا، چند LGPOs دارند که در مورد اولویت آنها نسبت به هم صحبت شد.

ب. تمام سیاست های گروهی که به سایت link شده باشند، در لیست مرتب شده قرار می گیرند. چنانچه چندین سیاست link شده باشد، به همان ترتیب به لیست اضافه می شوند. GPO که در بالاتر باشد، اولویت بیشتری دارد بنابراین دیر تر به لیست اضافه می شود تا در صورت داشتن تضاد با سیاست های قبلی Overwrite شود. در مورد لغت Overwrite به تذکری که قبلا دادم توجه کنید.

پ. سیاست های دامنی به همان ترتیبی گفته شد اضافه می شوند.

ت. سیاست های OU به ترتیب بالاترین OU در ساختار سلسه مراتبی اکتیودایرکتوری اعمال می شوند تا به پایین ترین OU که در Scope است برسد. اولویت ها بر همان اساس که در قبل گفته شد خواهد بود و اولویت بیشتر دیر تر در لیست وارد می شود تا سیاست های قبلی را Overwrite کند.

ث. سیاست های اجبار کننده وارد لیست می شوند بنابراین این سیاست ها Override می شوند بر سیاست هایی که قبلا در لیست بودند و یعنی بیشترین اولویت را دارند.

* ترتیب اولویت ها را به خاطر بسپارید، عکس آن ترتیب به لیست اضافه می شوند.

3. این مراحل پشت سر هم انجام می شود. در هر مرحله، تنظیمات مربوط به سیاست ها معین می شود ( Enable یا Disable ). در صورتی که فیلتر WMI وجود داشته باشد و سیستم عامل ویندوز XP به بعد باشد، یک WQL اتفاق خواهد افتاد.

4. در این مرحله اتفاقاتی رخ می دهد که آنها را تا بحث “معماری سیاست های گروهی” بررسی نمی کنیم.

- Startup Script اجرا می شود. هر اسکریپت یا اجرایش تمام می شود و یا TimeOut می شود. زمان TimeOut به صورت پیش فرض 600 ثانیه معادل 10 دقیقه است. این پردازش به صورت پیش فرض در پشت صحنه اتفاق می افتد. می توان تنظیمات TimeOut و… را تغییر داد.

5. زمامی که یوزر Logon می کند،ابتدا User Profile کامل لود می شود و سپس مشابه آنچه زمان Startup برای Computer Configuration اتفاق افتاد، در زمان Logon برای User Configuration اتفاق می افتد. چنانچه User loopback Policy تعیین شده باشد و Enable باشد، این پروسه فرق می کند که در “معماری سیاست های گروهی” بررسی بیشتری خواهیم کرد.

- Logon Script اجرا می شود. شرایط مشابه Startup Script است.

6. هر 90 – 120 دقیقه یکبار پس از Strartup ، سیاست های Computer Configuration بازسازی می شوند و مراحل 2 و 3 و 4 تکرار می شوند.

7. در هر 90 – 120 دقیقه یکبار پس از Logon ، سیاست های User Configuration بازسازی می شوند و مراحل 5 و 3 و 4 تکرار می شوند

استثناء ها :

1 – کامپیوتر های عضو Workgroup : بدیهی است که کامپیوتر هایی که عضو دامین نیستند، تنها LGPO برای آنها اعمال می شود.

2 – NO Override : هر سیاستی که اعمال می شود، می تواند تنظیم شود که سیاست دیگری روی آن برتری پیدا نکند، در این صورت در صورت آنکه حتی با سیاست فرزندان ناسازگار باشد، آن سیاست اعمال خواهد شد. ضمن آنکه چنانچه چند سیاست ناسازگار با یکدیگر No Override باشند، سیاستی که در ساختار درختی اکتیو دایرکتوری بالاتر است، آن سیاست اعمال می شود.

3 – Block Policy Inheritance : فرزندان می توانند جلوی به ارث بردن را بگیرند البته چنانچه No Override شده باشد، نمی توان جلوی به ارث بردن را گرفت. همچین Block Policy Inheritance می تواند برای تمام یک سایت، دامین یا OU اعمال شود و نمی تواند برای یک GPO خاص به کار رود.

4 – Loopback Settings : این ویژگی جالب در شرایط خاص و بیشتر در سناریو های محیط های آموزشی یا عمومی کاربرد دارد. به صورت پیش فرض هر زمان که فردی از هر کامپیوتری استفاده می کند، یک User Configuration برای او اعمال می شود. چرا که او یک User Account دارد و جای User Account او هم در ساختار اکتیو دایرکتوری تغییر نمی کند، بنابراین همیشه یک سیاست به او اعمال می شود. سناریویی را در نظر بگیرید که در آن می خواهید در یک کنفرانس Background تمام کامپیوتر های اتاق کنفرانس یکی باشد. حال چگونه می توان چنین سناریویی را پیدا سازی کرد؟ در قسمت User Configuration سیاست را تنظیم می کنید؟ در این صورت بدون توجه به آنکه در کجا کاربر Login می کند، Background او عوض می شود. به صورت پیش فرض، نمی توان این کار را انجام داد، در واقع در آشنایی با Group Policy یاد گرفتیم که User Configuration بدون توجه به Computer به کاربر اعمال می شود و Computer Configuration بدون توجه به کاربر، به کامپیوتر ها اعمال می شود. بنابراین با این روش اعمال مجوز ها نمی توان این سناریو را پیدا سازی کرد. سناریو دیگر در یک دانشکده، رئیس دانشکده از سیاست هایی در شبکه بهره می برد که سیاست های محدود کننده ای نیستند. حال رئیس دانشکده به کلاس درس می رود. آیا می توان همان سیاست ها را در آنجا داشته باشد؟ LoopBack Policy Processing نحوه اعمال مجوز ها را تغییر می دهد. با استفاده از LoopBack Policy Processing به جای آنکه گستره تنظیمات کاربر از روی تنظیماتی که به کاربر در User Configuration اعمال می شود مشخص گردد ، از گستره تنظیمات کامپیوتر از روی User Configuration با node کامپیوتر اعمال می شود و یقینا این جمله به توضیحات بیشتری نیاز دارد!

سیاست User Group Policy loopback Processing mode Policy در قسمت Computer Configuration پیدا می شود. به Computer Configuration \ Administrative Templates \ System \ Group Policy بروید و همانند سایر Policy های دیگر می توانید آن را Enable ، Disable ، Not Configured تنظیم کنید. علاوه بر آنکه دو Mode مختلف وجود دارد:

آ. Replace : سیاست های یوزر، با سیاست هایی که در زمان Startup اعمال می شود جایگزین می شود. این سیاست در سناریوی رئیس دانشکده یا سناریو های مشابه می تواند مفید باشد.

ب . Merge : در این حالت، سیاست های به هم مرتبط می شوند به این معنا که سیاست هایی که در زمان strartup برای کامپیوتر در نظر گرفته می شود با سیاست هایی که در زمان login کردن کاربر در نظر گرفته می شود پیوند می خورد. به مثال های زیر توجه کنید، برای بزرگ شدن تصویر روی آن ها کلیک کنید.

پ.ن1 : اعتراف می کنم ترجمه لغت Scope را نمی دانم و گستره را شانسی ترجمه کردم. باید دید چقدر شانس و اقبال با بنده یار خواهد بود.

پ.ن2 : همچنان این بحث نا تمام است، چرا که در خصوص فیلتر ها هنوز صحبتی نشده است. بسیاری از مطالب که در حال حاضر درک آن ها آسان نیست، پس از مطلب “معماری سیاست های گروهی” روشن خواهند شد. در هر حال درک کامل این مطلب نیازمند دانش مناسبی در خصوص ساختار اکتیودایرکتوری دارد.

آشنایی با Group Policy

2009-01-18T20:34:00.001+03:30

Group Policy ابزاری است که با آن می توانید تنظیمات و اجزاء مختلف در کامپیوتر کلاینت ها را (به صورت مرکزی) مدیریت کنید. Group Policy می تواند برای Site ها، Domain ها، OU ها یا کامپیوتر ها می تواند اعمال شود. برای ساختن یک تنظیم خاص باید یک ( GPO ( Group Policy Object ساخت. یک کامپیوتر با ویندوز سرور، به صورت پیش فرض، یک Local Group Policy دارد و می تواند تعدادی NonLocal Group Policy نیز داشته باشد.

- Local Group Policy : حتما با معنای واژه Local آشنایی دارید، یک Local Group Policy یعنی Group Policy هر کامپیوتر در خودش ذخیره شود و در واقع زمانی چنین روشی اتحاذ می شود که در محیط اکتیودایرکتوری دامین نیستیم. یک Local Group Policy فقط روی همان کامپیوتری که در آن قرار دارد اعمال می شود و nonLocal Group Policy ها ارجحیت بیشتری نسبت به Local Group Policy ها دارند. حال اگر در محیط اکتیودایرکتوری دامین باشیم، سیاست های nonLocal ارجحیت بیشتری بر سیاست های local دارند. پس اهمیت local group policy زمانی است که کامپیوتر در یک شبکه بدون اکتیودایرکتوری حضور دارد. نحل ذخیره سازی این تنظیمات Systemroot%\System32\GroupPolicy% است.

- nonLocal Group Policy : این سیاست ها باید در اکتیودایرکتوری ساخته شوند و به یک site، domain ، OU مرتبط شوند. به صورت پیش فرض، با نصب اکتیودایرکتوری، دو Group Policy ساخته می شوند که عبارتند از:

1. Default Domain Policy : این سیاسیت روی تمام دامین شامل کامپیوتر ها ، یوزر ها و دامین کنترلر ها اعمال می شود.
2. Default Domain Controllers Policy : این سیاست روی تمام OU دامین کنترلر اعمال می شود. یادآوری می کنم که اکانت دامین کنترلرها روی یک ou جدا به نام Domain Controller نگه داری می شود. در صورتی که جای پوشه sysvol مقدار پیش فرض باشد، این سیاست ها در %Systemroot%\Sysvol\Domain Name\Policies\GPO GUID\Adm% که در این آدرس GUID یک ID یکتا است.

نکته مهم: یک GPO که برای یک سایت تعریف شده باشد، روی تمام کامپیوتر های آن سایت اعمال می شود. بنابراین، بدون توجه به دامینی که آن کامپیوتر در آن عضو است، می توان یک Group Policy اعمال کرد. (بدیهی است در یک جنگل باید باشند)

Group Policy Object Editor :
ابزار متداول ویرایش Group Policy است. آنکه چگونه این ابزار را باز کنید، به این بستگی دارد که این سیاست ها به کجا قرار است اعمال شود و نوع Group policy چیست.

1. LGPO - Local Group Policy Objects :

- در RUN وارد کنید MMC و از منوی file گزینه Add/Remove Snap-In را انتخاب کنید.
- در زبانه Standalone tab در دایلاگ باکس Add/Remove Snap-In دکمه Add را بزنید.
- Group Policy Object Editor را Add کنید و دقت کنید که Local Computer انتخاب شده است.
- Finish را بزنید و سپس با زدن OK دایلاگ باکس را ببندید.
* با استفاده از GPedit.msc می توانید وارد LGPO شوید. از این رو، گاهی در لغت GPedit را به جای GPOE به کار می برند که منظور همان GPOE است.

2. LGPO روی کامپیوتر دیگر :

- مراحل 1 را انجام دهید با این تفاوت که با جای Local Computer ، کامپیوتر دلخواه را انتخاب کنید.

3. GPO روی یک سایت :

- به Administrative tools بروید و کنسول Active Directory Site & Services را باز کنید.
- در درخت کنسول (نوار سمت چپ کنسول) روی سایتی که می خواهید Group Policy اعمال کنید، کلیک راست کنید و Properties را بزنید.
- به زبانه (Tab) مربوط به Group Policy بروید و برای اضافه کردن یک GPO گزینه add را بزنید. می توانید برای ویرایش موارد موجود Edit را بزنید و…

4. GPO روی یک OU یا دامین :

- به Administrative tools بروید و کنسول Active Directory Users & Computers را باز کنید.
- در درخت کنسول (نوار سمت چپ کنسول) روی دامین یا OU که می خواهید Group Policy اعمال کنید، کلیک راست کنید و Properties را بزنید.
- به زبانه (Tab) مربوط به Group Policy بروید و برای اضافه کردن یک GPO گزینه add را بزنید. می توانید برای ویرایش موارد موجود Edit را بزنید و…

تنظیم کردن Group Policy :
دو دسته تنظیمات مختلف وجود دارد که در درخت کنسول GPOE به خوبی تفکیک ایجاد می کند. Computer Configuration و User Configuration . همانطور از اسمشان آشکار است، Computer Configuration به کامپیوتر ها اعمال می شود و بدون توجه به آنکه چه کسی از کامپیوتر استفاده می کند. User Configuration به کاربران اعمال می شود و بدون توجه به آنکه از چه کامپیوتری استفاده می کند. برخی از تنظیمات فقط به User و برخی فقط به Computer ها قابل اعمال است. از این رو، توانایی پیدا کردن تنظیمات دلخواه در میان هزاران آیتم مختلف کار دشواری به نظر می رسد. اما درخت GPOE به خوبی طراحی شده و می توان در زمان قابل قبولی بدون داستن محل دقیق یک آیتم، آن را پیدا کرد. یک عدد غیر دقیق در خصوص تعداد آیتم ها از این حکایت دارد که در ویندوز ویستا و سرور 2008 نزدیک به 3000 آیتم مختلف وجود دارد و در ویندوز 7 از مرز 3000 آیتم خواهد گذشت. قطعا نمی توان این 3000 گزینه را یک به یک بررسی کرد. در اینجا بخش های مختلف موجود در هر گروه را بررسی می کنیم. چنانچه در محیط اکتیودایرکتوری نباشید به بسیار از آیتم ها دسترسی نخواهید داشت.

آ. Software Settings : در هر دو بخش User Configuration و Computer configuration تنظیمات Software Installation موجود است. که در این خصوص به تفصیل در اینجا صحبت شده است.

ب. Windows Settings :

- Scripts : هر دو بخش شامل این گروه تنظیمات هستند، اما در Computer Configuration می توانید اسکریپتی که در زمان روشن/ خاموش شدن کامپیوتر اجرا شود را تنظیم کنید و در قسمت User Configuration می توانید اسکریپتی که در زمان login/ logout اجرا می شود را تنطیم کنید. توجه کنید که ابتدا Startup Script و سپس Logon Script اجرا خواهند شد و همچینی ابتدا Log off Script و سپس Shut down Script . نکته دیگر آن است که چنانچه چندین Script مختلف تنظیم شود ویندوز به ترتیب لیست از بالا به پایین اسکریپت ها را اجرا خواهد کرد. موضوع قابل توجه دیگر آن است که به صورت پیش فرض حداکثر زمان اجرای اسکریپت 10 دقیقه است. چنانچه log off و Shut down اسکریپت روی هم دیگر زمانی بیش از 10 دقیقه نیاز داشته باشند می توانید به راحتی با در Software Policy این زمان را تغییر دهید. از هر زبان ActiveX Scirpt می توان استفاده کرد. Microsoft Visual Basic نسخه اسکریپتینگ ( VBScript) یا MicrosoftJScript یا Batch file ها ( bat.* و cmd.*) پشتیبانی می شوند.

- Security Settings : می توان جایگزین قالب های امنیتی پیش ساخته، این قسمت را ویرایش کرد. در آینده جداگانه این قسمت را بررسی خواهیم کرد.

- سایر گروه ها را نیز در آینده بحث می کنیم.

پ. Administrative Templates : این گروه از تنظیمات را Registery-Based می گویند چرا که از طریق Registry اعمال می شوند. بیش از 700 آیتم متفاوت در این قسمت وجود دارد و خود شامل گروه های متفاوتی است. برای کسب اطلاع از هر کدام از این آیتم ها، توضیحات کاملی در خود Group Policy Object Editor نوشته شده که در سه جا قابل دسترسی است.

1. در زبانه Explain قسمت Properties هر آیتم.
2. در Administrative Templates Help که در ویندوز سرور 2003 به بعد وجود دارد.
3. در نوار توضیح

توجه: همچنین این توضیحات برای سایر آیتم ها در بخش های دیگر نیز قابل دسترسی است و توضیحات کامل و جامعی است.

هر آیتمی در بخش Administrative Templates سه حالت دارد:

1. Not Configured به معنای آنکه تغییر به Registry اعمال نشده.
2. Enabled به معنای آنکه سیاست اثر گذار است و Registry تغییر یافته.
3. Disabled به معنای آنکه تغییر یافته و سیاست اثرگذار نیست.
* در خصوص سیاست های چندگانه در آینده صحبت می شود.

سیاست های Administrative Templates در بخش Computer Configuration در شاخه( HKEY_LOCAL_MACHINE ( HKLM رجیستری ذخیره می شوند و سیاست های Administrative Templates در بخش user Configuration در شاخه (HKEY_CURRENT_USER (HKCU رجیستری ذخیره می شوند. هر کدام از آیتم ها در مکانی خاص از این شاخه ها ذخیره می شوند اما به صورت کلی چنین است:

1. HKEY_LOCAL_MACHINE\Software\Policies مربوط به Computer Configuration
2. HKEY_CURRENT_USER\Software\Policies مربوط به User Configuration
3. HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Policies مربوط به Computer Configuration
4. HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies مربوط به user Configuration

این مطلب خیلی ادامه دارد…
پ.ن 1: چنانچه تنها با خواندن این مقاله نتواستید با GPOE به خوبی کار کنید، بدیهی است. با دنبال کردن این مطالب حتما مهارت لازم را به دست می آورید.
پ.ن 2: یک راه ساده تر در ایجاد امنیت در شبکه های کوچک و بدون اکتیودایرکتوری دامین استفاده از Local Security Policy است. اینجا را بخوانید.

نصب نرم افزار روی تمام کامپیوتر های شبکه

2009-01-03T18:59:00.001+03:30

در این مقاله قصد دارم روش نصب یک نرم افزار روی تمام یک Domain و یا OU را مورد بررسی قرار دهم. مسئله ساده ای است و بسیار کاربرد دارد. معمولا آنچه که می خواهیم روی کامپیوتر های کلاینت نصب کنیم سه دسته می شوند:

1. فایل های MSU که مربوط به به روز رسانی های ویندوز می شود. با WSUS آن ها را منتشر می کنیم و در اینجا بررسی نمی شوند.

2. فایل های MSI که با کمترین زحمتی قابل نصب روی تمام کلاینت های مورد نظر هستند و در اینجا روی این فایل ها تمرکز نمی کنیم.

3.فایل های غیر از MSI مانند EXE که می خواهیم روی تمام کلاینت های مورد نظر نصب شوند و قدری کار بیشتر نیاز است.

برای نصب یک نرم افزار باید مراحل زیر را طی کنیم.

- دسترسی به Group Policy مربوط به OU یا دامین ... مورد نظر. مثلا در کنسول Active Directory Users and Computers روی OU مورد نظر کلیک راست کرده و Properties را می زنیم. در زبانه Group Policy دکمه Edit را می زنیم.

- می دانیم قسمت Computer Configuration مربوط به کامپیوتر ها و قسمت User Configuration مربوط به User ها می باشد. بر اساس سناریو انتخاب می کنیم که از کدام یک استفاده کنیم. هرچند هریک محدودیت هایی دارند که در ادامه ذکر می شوند.

- باید یک Package برای نصب آماده کنیم. برای این کار روی Software Installation در قسمت مورد نظر کلیک راست می کنیم و سپس در New گزینه Package را انتخاب می کنیم. بر حسب آنکه فایل MSI است یا نه در اینجا باید مراحل مختلفی را انجام دهیم. اگر MSI باشد، فایل را انتخاب می کنیم و مراحل ساخت پکیج را ادامه می دهیم. اما اگر ZAP باشد باید ابتدا یک ZAP فایل بسازیم که در ادامه توضیح می دهم.

*مهم: در هنگام انتخاب مسیر فایل Installation و ZAP فایل فراموش نکنید و تاکید می کنم فراموش نکنید که مسیر فایل را در شبکه وارد کنید. مثلا از طریق My Network Places مسیر را وارد کنید یا مثلا :

\\Server1\office\word.msi

بنابراین بدیهی است که باید فایل ها Share باشند. البته اگر فراموش کنید، ویندوز با پیام هشداری به شما یادآوری می کند.

- پس از ساخت پکیج سه گزینه در دسترس داریم:

Published : اگر یک package به صورت published تنظیم شود، اولین باری که کاربر login کند Add Remove Program برای او نمایش داده خواهد شد و می تواند انتخاب کند که برنامه نصب شود یا خیر.

Assigned : اگر یک Package به صورت Assigned به کاربری تنظیم شود، اولین باری که کاربر Login کند برنامه نصب می شود و پیش از اولین بار اجرا نهایی می شود. اگر یک Package به صورت Assigned به کامپیوتری تنظیم شود، اولین باری که ویندوز ستارت می شود پکیج نصب می شود و پیش از اولین اجرا نهایی می شود. برای تمام کاربران آن کامپیوتر نرم افزار قابل دسترسی خواهد بود.

بدیهی است از آنجا که کامپیوتر ها نمی توانند تصمیم بگیرند که آیا یک پکیج نصب شود یا خیر، گزینه Published برای کامپیوتر ها غیر فعال است.

فایل های ZAP فقط می توانند برای کاربران یعنی در قسمت User Configuration تنظیم شوند. چرا که فایل های ZAP از برنامه نصب کننده اختصاصی خود استفاده می کنند و نمی توانند از elevated privileges استفاده کنند. بنابراین در هنگام نصب اگر Administrative Permission نیاز باشد تنها کاربرانی که دارای این مجوز هستند می توانند این فایل را نصب کنند . بنابراین باید Published شوند تا کاربری مراحل نصب را انجام دهد.

Advanced : تنظیمات اضافی را در اختیار قرار می دهد. بسیاری از نکات از جمله Advanced را فعلا صرف نظر می کنیم.

توجه : به نسخه های 32 بیتی و 64 بیتی توجه کنید.

ساختن یک ZAP فایل:
Zap فایل یک فایل متنی است که بنابراین می تواند به راحتی با Notepad و یا هر ویرایشگر متن دیگری نوشته شود. در اینجا دو مثال برای ساخت Zap فایل ارائه می دهم. مثال اول کوتاه، خلاصه و کافی است و در مثال دوم اطلاعات بیشتری ارائه شده.

* به آسانی کد زیر را در NotePad کپی پیست کنید و تغییرات لازم را انجام دهید و آن را با پسوندzap ذخیره کنید. در این مثال Excel 2007 را نصب می کنیم. دقت کنید که فایل را با پسوند zap.txt به اشتباه ذخیره نکنید.

[Application]
FriendlyName = "Microsoft Excel 2007"
SetupCommand="\\server5\share\Excel 2007\setup.exe"

کد های مربوط به یک ZAP فایل - مثال 1

و در مثال بعد که قسمتی از مقاله ای است که در Help & Support آمده کاملا تمام موارد در دسترس توضیح داده شده

[Application]
; Only FriendlyName and SetupCommand are required,
; everything else is optional.

; FriendlyName is the name of the program that
; will appear in the software installation snap-in
; and the Add/Remove Programs tool.
; REQUIRED
FriendlyName = "Microsoft Excel 97"

; SetupCommand is the command line used to
; run the program's Setup. With Windows Server 2003
; and later you must specify the fully qualified
; path containing the setup program.
; Long file name paths need to be quoted. For example:
; SetupCommand = "\\server\share\long _ ; folder\setup.exe" /unattend
; REQUIRED SetupCommand = "\\server\share\setup.exe"

; Version of the program that will appear
; in the software installation snap-in and the
; Add/Remove Programs tool.
; OPTIONAL
DisplayVersion = 8.0

; Version of the program that will appear
; in the software installation snap-in and the
; Add/Remove Programs tool.
; OPTIONAL
Publisher = Microsoft

کد های مربوط به یک ZAP فایل - مثال 2

برای اطلاعات بیشتر می توانید به اینجا + + + + + + مراجعه کنید.(مقالاتی در Technet و Help & Support)

محافظت از فایل ها با رمزنگاری در ویندوز

2008-12-14T14:26:00.001+03:30

رمزنگاری یا Encryption به فرآیند غیرقابل مشاهده کردن فایل ها توسط افراد بدون مجوز گفته می شود. در رمزنگاری یک کلید برای رمزگشایی اطلاعات به کار می رود. افرادی که دارای این کلید باشند می توانند اطلاعات را مشاهده کنند. در پارتیشن و والیوم های با فایل سیستم NTFS علاوه بر NTFS Permission یک راه ایمن کردن اطلاعات EFS یا Encryption File System است. اگر کاربر فاقد کلید لازم برای باز کردن فایل باشد با پیغام Access Denied رو به رو خواهد شد. امنیتی که EFS برای ما ایجاد می کند بسیار امنیت محکم تری نسبت به NTFS Permission است اما این به معنی غیر قابل نفوذ بودن نیست. معمولا برای اطلاعات رده حساس به کار می رود و در اطلاعات رده حیاتی از روش های دیگر که الگوریتم های رمزنگاری پیچیده تری دارند استفاده می شود. همچنین برای اطلاعات رده مهم، که پایین ترین سطح اهمیت اطلاعات اند، از EFS استفاده نمی شود. در ویندوز ویستا روش رمزنگاری پیچیده تری با استفاده از چیپ های TPM و رابط bitlocker موجود است که در این خصوص در گذشته صحبت کرده ایم. اما همچنان بنا به دلایل بسیار و تفاوت عملکرد این دو سیستم EFS متداول است.

تذکر در خواندن این مقاله: تلاش شده مطالب این مقاله به ساده ترین نحو ممکن نگارش شود. مطالب با روندی آهسته تخصصی تر و پیچیده می شوند. اما مطالب ابتدایی عمومی به شمار می رود و برای همگان مفید است.

هر چند انجام رمزنگاری ظاهرا ساده و به دور از پیچیدگی است، اما به موارد بسیار زیادی باید توجه کرد. که در ادامه آن ها را بررسی می کنیم.برای رمزنگاری در خط فرمان از دستور Cipher استفاده می کنیم که قابلیت های بسیار بیشتر را نسبت به محیط گرافیکی به صورت متمرکز در اختیار ما قرار می دهد. با این وجود بررسی در محیط گرافیکی می کنیم و سپس سری به خط فرمان می زنیم.

روی فایلی یا فلدری که می خواهید رمزنگاری شود کلیک راست کنید و سپس Properties را بزنید. در زبانه general گزینه Advanced را بزنید. و چک باکس Encrypt Contents to Secure Data را بزنید. توجه کنید که نمی توانید Compression و Encryption را همزمان داشته باشید. اگر بخواهم دلیل این مسئله را خیلی عامیانه و فقط برای درک مسئله بیان کنم چنین است: در Compression از عبارت های مشابه فاکتور گرفته می شود تا حجم فایل کاهش یابد اما در Encryption عبارتی به فایل ضرب می شود تا فایل بدون کلید غیر قابل تشخیص باشد. بنابراین این دو در خلاف یکدیگرند. سپس OK بزنید و Apply کنید. این فایل در حال حاضر رمزنگاری شده و احتمالا فقط خودتان قادر مشاهده آن هستید. به صروت پیش فرض فایل های رمزنگاری شده با رنگ سبز در Windows Explorer نمایش داده می شوند البته این رنگ قابل تغییر است.

برای آنکه بتوانید به فرد دیگری مجوز مشاهده فایل را بدهید دوباره Advanced را بزنید و سپس Details را بزنید. در پنجره user access to file دو قمست وجود دارد:
1) Users who can access this file لیستی از کاربرانی است که می توانند به این فایل دسترسی داشته باشند. می توانید به راحتی افرادی را اضافه و یا حذف کنید.
2) Recovery Certificates for this file as defined by Recovery Policy : افرادی هستند که به منظور بازیابی این فایل همواره مجوز دسترسی به این فایل ها را دارند. در اینجا قادر به تغییر این افراد نیستید.

از دست رفتن کلید ها و تهیه نسخه پشتیبان :

همانطور که گفته شد برای دسترسی به یک فایل رمزنگاری شده باید یک کلید در اختیار داشت. این کلید بر اساس کلمه عبور و SID ساخته می شود. در سناریو های بسیاری احتمال از دست رفتن این کلید است. مثلا عوض کردن ویندوز در کامپیوتر و یا Set Password کردن. توجه کنید که در Change Password مشکلی وجود ندارد. Change Password به زمانی گفته می شود که با وارد کردن password فعلی، کلمه عبور جدیدی برای خود انتخاب می کنید و Set Password به زمانی گفته می شود که بدون وارد کردن کلمه عبور فعلی یک کلمه عبور جدید را اجبارا اعمال می کنید. در recover password که در خصوص password های فراموش شده استفاده می شود، نیز همانند Change Passwordکلید از دست نمی رود. بنابراین همیشه به کاربران توصیه می شود تا password reset disk بسازند و آن را در محلی امن نگه داری کنند. هر چند خود این مسئله قدری خطرناک است اما راه حلی مناسب است.

یک راه حل مناسب برای از دست ندادن کلید ها تهیه نسخه پشتیبان از آن ها است. با زدن دکمه Backup Keys می توانید از کلید های خودتان نسخه پشتیبان تهیه کنید. با زدن این دکمه ویزاردی به نمایش در می آید:

گرفتن نسخه پشتیبان :
1) در صفحه خوش آمدگویی ویزارد به شما توضیح داده می شود که شما با استفاده از این ویزارد می توانید از مجوز( Certification ) های خودتان یک کپی تهیه کنید. مجوزها که توسط Certification Authority صادر می شوند، شامل تصدیق هویت شما و اطلاعاتی که می تواند موجب ایمن سازی یک ارتباط شبکه و یا محافظت از یک فایل است می باشند. با زدن next به مرحله بعدی می رویم.

2) در مرحله بعدی باید نوع فایل خروجی را انتخاب کنیم. هر کدام از این فایل ها شرایط و قابلیت های خاص خود را دارند که در اینجا قصد نداریم همه را بررسی کنیم. در اینجا Personal Information Exchange را انتخاب می کنیم. PFX فایلی است که برای انتقال مجوز ها به یک کامپیوتر دیگر و یا یک removable storage به کار می رود. در ورژن های مختلف ویندوز نوع فایل های خروجی متفاوتی پشتیبانی می شود. برای اطلاعات بیشتر روی لینک موجود در ویزارد کلیک کنید.

3) با زدن Next به مرحله بعدی می رویم و در آنجا باید با وارد کردن یک Password از فایل خروجی محافظت کنیم. توجه کنید که اسم رمزی انتخاب کنید که با روش های Social Engineering قابل کشف نباشد. تاکید می کنم با کلمه عبور ایمیل و... خودتان یکی نباشد و آن را روی کاغذ و یا در یک فایل یادداشت نکنید. با زدن Next به مرحله بعدی بروید.

4) در این مرحله باید نام و محل قرار گیری فایل خروجی را معین کنید. با زدن next به مرحله بعدی می روید و با زدن finish نسخه پشتیبان ساخته می شود.

باز کردن نسخه پشتیبان :
1) پس از انتقال فایل به کامپیوتر جدید، و یا به user profile که کلمه عبور آن user به صورت set password عوض شده است. فایل را باز می کنیم. با باز کردن فایل ویزارد Certificate Import نمایش داده می شود. با زدن next به مرحله بعدی می رویم.

2) اکنون باید فایل نسخه پشتیبان را انتخاب کنیم. چون ما در اینجا خود فایل را باز کردیم، آدرس فایل درج شده و با زدن next به مرحله بعدی می رویم.

3) حال باید رمز عبور که در زمان تهیه نسخه پشتیبان انتخاب کرده بودیم را وارد کنیم.

4) در مرحله بعد باید محل جاگذاری مجوز ها را انتخاب کنیم. در اینجا Automatically را انتخاب می کنیم. اما در صورت لزوم می توان در محل ذخیره سازی ای خاص مجوز ها را جایگذاری کرد.

5) با زدن finish، کلید ها بر می گردند.

بازیابی ( recover ) کردن فایل رمزنگاری شده بدون در اختیار داشتن مجوز:
رمزگشایی ( Decrypt ) کردن فایل رمزنگاری شده ( Encrypted ) :

بارها و بارها دیده ام که افراد اطلاعات خودشان را به علت عدم توجه به شرایط نگه داری فایل های رمزنگاری شده و یا عدم دانش کافی در شرایط خاص از دست داده اند. با داشتن یک recovery agent می توان بسیاری از مشکلات را حل کرد. در محیط اکتیودایرکتوری دامین به صورت پیش فرض فردی که اولین دامین کنترلر را ایجاد می کند، Recovery agent است. اما به صورت پیش فرض در کامپیوتر های عضو شبکه workgroup ، هیچ recovery agent وجود ندارد. در صورت وجود یک Recovery Agent به صورت زیر می توان عمل کرد:

1) با استفاده از NTBACKUP یا یک نرم افزار Backup دیگر، و یا راه ها و روش هایی که انتقال یک فایل رمزنگاری شده در آن ممکن است، فایل را برای recovery agent ارسال می کنیم. توجه کنید که recovery agent نمی تواند فایل را روی هر کامپیوتری recover کند. فراموش نکنید که با استفاده از بستری ایمن اطلاعات را منتقل کنید.

2) حال recovery agent با استفاده از مجوز ریکاوری خود و private key که دارد می تواند به راحتی با برداشتن چک باکس Encrypt Contents to Secure Data فایل ها را decrypt کند و با هر متد فایل ترانسفوری اطلاعات را به شما بازگرداند.

* با استفاده از backup اگر از یک فایل encrypt شده ، backup بگیرید همچنان encrypted باقی می ماند.
* در ویندوز 2000 کاربر administrator به صورت پیش فرض بازیاب اطلاعات است.

مجوز ها و رمزنگاری :
دو گروه مجوز ( Certificate ) در EFS نقش دارند که عبارت اند از:

-Encrypting File System Certificates : این گونه از مجوز ها به دارندگانشان اجاز می دهند تا از EFS برای رمزنگاری و رمزگشایی اطلاعات استفاده کنند. این مجوز اغلب به صورت خلاصه EFS Cerf گفته می شود. فیلد Enhanced key Usage برای این دسته از مجوز ها مقدار 1.3.6.1.4.1.311.10.3.4 را دارد.

- File Recovery Certificates : این گروه از مجوز ها به دارندگانش اجازه می دهند تا فایل ها و فلدر های رمزنگاری شده را در حوزه یک دامین، سایت و... ریکاور کنند. بدون توجه به آنکه چه کسی این فایل را رمزنگاری کرده. فیلد Enhanced key Usage برای این دسته از مجوز ها مقدار 1.3.6.1.4.1.311.10.3.4.1 را دارد.

افزودن یک Recovery Agent :
افزودن یک Data Recover Agent دو مرحله انجام می گیرد.
1)تولید مجوز و کلید
2)افزودن

1) تولید مجوز و کلید:

1) به خط فرمان بروید مثلا در RUN وارد کنید CMD .
2) اکنون دستور مقابل را در خط فرمان وارد کنید :cipher /r:filename
3) حال یک کلمه عبور برای محافظت از کلید ها و مجوز ها وارد کنید.
4) کلمه عبور را مجددا وارد کنید.
5) دو فایل با پسوند های PFX و CER برای شما ساخته می شود و پیغامی جهت اطلاعات از این امر در خط فرمان به شما داده می شود.

* بهتر از پیش از مرحله 2 مجوز خود را نصب کنید.
* این دستور "سایفر" خوانده می شود. نمی دانم چرا برخی اشتباه تلفظ می کنند.
* سوییچ SmartCard برای ذخیره سازی مجوز در کارت هوشمند به کار می رود. همچنین در استفاده از این سوییچ فایل PFX ساخته نمی شود.
* به جای FileName نام دو فایل PFX و CED را به دلخواه وارد کنید.
* فایل در جایی ساخته می شود که CMD به آن اشاره می کند. مثلا می توانید برای راحتی محل اشاره را به پارتیشن C تغییر دهید اما توصیه می شود محل اشاره User Profile خودتان باشد.

2) افزودن یک Recovery Agent در دامین :

1) وارد کنسول Active Directory Users and Computers شوید.
2) روی دامینی که می خواهید Recovery Policy آن را تغییر دهید بروید و right-click کنید و properties را بزنید.
3) سیاستی را که می خواهید تغییر دهید انتخاب کنید و یا یک سیاست جدید اضافه کنید.
4) به مسیر زیر بروید:

Computer Configuration/Windows Settings/Security Settings/Public Key Policies/Encrypting File System

5)روی Encrypting file System رایت کلیک کنید و Add Data Recovery Agent را بزنید. و در ویزارد به نکات زیر توجه کنید:

- برای این کار باید عضو گروه Domain Admins و یا Enterprise admin باشید و یا با استفاده از delegation حق این کار را داشته باشید.
- پیش از اضافه کردن یک Recovery Agent باید انتشار مجوز های در اکتیودایرکتوی تنظیم شده باشد. که به صورت پیش فرض چنین نیست.

- زمانی که از طریق یک فایل، Recovery Agent اضافه می کنید. user به صورت USER_UNKNOWN نوشته می شود زیرا نام کاربر در فایل ذخیره نمی شود.

2) افزودن یک Recovery Agent به صورت local :
مشابه مراحل افزودن در دامین است با این تفاوت که به کنسول Group Policy Object Editor باید بروید. یعنی در مرحله اول به MMC رفته و Add/remove snap-in را بزنید. سپس Group Policy Object را انتخاب کنید و ادامه مراحل را طی کنید. می توانید به راحتی در run وارد کنید gpedit.msc و مراحل 2 تا 5 را انجام دهید.

* دقت کنید در اینجا حتما باید از طریق یک فایل و همان فایل با پسوند CER یک بازیاب اطلاعات اضافه کنید.

-باید عضو گروه Administrators در Local Users باشید.

EFS چگونه کار می کند؟

1) EFS از یک زوج کلید عمومی و اختصاصی ( Public - Private key ) استفاده می کند. همچنین کلید هر فایل متفاوت است. زمانی که کاربر یک فایل را رمزنگاری می کند، EFS یک File Encryption Key یا به اختصار FEK تولید می کند. FEK با کلید عمومی آن کاربر رمزنگاری می شود و با فایل ذخیره می شود.

2) زمانی که Recovery Agent وجود داشته باشد، کلید رمز نگاری شده با Public Key هر Recovery Agent نیز با فایل ذخیره می شود.

غیر فعال کردن EFS روی یک کامپیوتر :

با استفاده از registry می توان امکان EFS را غیرفعال کرد.

تذکر: ویراشی Registry نیاز به اطلاعات کافی دارد. چنانچه قصد دارید Registry را ویرایش کنید حتما ابتدا یک نسخه پشتیبان از آن تهیه کنید. همچنین ممکن است اگر مشکی بروز کند با استفاده از Last know Good Configuration مشکل را بر طرف کنید. ویرایش رجیستری توسط کاربران مبتدی توصیه نمی شود.

در Registry Editor به شاخه زیر بروید.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS

یک متغیر جدید از نوع DWORD با نام EfsConfigurationایجاد کنید و مقدار آن را 1 بگذارید. کامپیوتر را ریستارت کنید.

دسترسی سریع تر به Encrypt :

می توان با استفاده از ویرایش Registry، برای رمزنگاری کردن سریع تر گزینه ای را در منو right click اضافه کرد. به مسیر زیر بروید:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

و یک متغیر از نوع DWORD به نام EncryptionContextMenu و با مقدار 1 بسازید. کامپیوتر را ریستار کنید.

ذخیره نسخه پشتیبان کلید EFS در وب سایت مایکروسافت:

در ویندوز ویستا و سرور 2008 می توانید File Recovery Certificate خود را در وب سایت مایکروسافت به نام Digital Locker ذخیره کنید. چرا که ممکن است خود مجوز Recovery Agent از دست برود. در اغلب شرکت ها فقط یک Recovery Agent در نظر گرفته می شود که این مسئله ریسک از دست رفتن اطلاعات را افزایش می دهد. برای جلوگیری از این مشکل، Recovery Agent می تواند با استفاده از Secure Online Key Backup قابل دسترسی از طریق کنترل پنل، مجوز خود را آنلاین ذخیره و بعدا به آن دسترسی پیدا کند. برای این کار به یک Windows Live ID نیز احتیاج است.

بررسی تکنولوژیک EFS :
EFS از یک متد تقریبا پیچیده و متاسب رمزنگاری استفاده می کند که در اکثر حملات محافظت مناسبی در خصوص فایل ها حساس ایجاد می کند. در اینجا بررسی کوتاهی از تکنولوژی EFS به عمل می آورم و از بسیاری از اجزا ی این تکنولوژی صرف نظر می کنم. همچنین از بررسی آنکه هر کدام از این مراحل در Kernel Mode اتفاق می افتد و یا در User Mode که از لحاظ امنیتی بسیار مسئله مهمی است نیز به علت تسهیل مسئله موقتا چشم پوشی می کنم.

EFS از یک کلید عمومی با ترکیب عطفی یک کلید متقارن ( symmetric key ) استفاده می کند. FEK تنها یک قسمت از کلید است. FEK ابتدا فایل را رمزنگاری می کند و سپس خودش به صورت رمزنگاری شده توسط public key که از EFS Certificate اتخاذ شده، با فایل ذخیره می شود. برای رمزگشایی FEK سیستم EFS از کلید شخصی ( private key ) که تنها Encrypt کننده فایل دارد استفاده می کند.

الگوریتم های رمزنگاری کلید عمومی از یک کلید نامنتقارن ( asymmetric Key ) استفاده می کنند. نا متقارن به این معنی است که کلید های متفاوتی برای رمزنگاری و رمزگشایی فایل استفاده می شود. یک کلید عمومی در دسترس همگان در یک شبکه است. به عنوان مثال یک کلید می تواند در سراسر دامین منتشر شود که این باعث می شود کلید برای همه در دسترس باشد.

دو کلید عمومی و شخصی از یکدیگر کاملا جدا هستند اما در عمل مکمل یکدیگر اند. اطلاعاتی که توسط یک Public Key رمزنگاری شده باشد فقط با Private Key خود می توانند باز شوند. این دو کلید در کنار هم را یک جفت کلید ( Key Pair ) یا Key Set می گوییم.

یکی از موانع رمزنگاری با کلید عمومی مقدار زمان پردازشی است که صرف عملیات ریاضی مربوطه می شود. استفاده از کلید متقارن که به تنهایی برای رمزنگاری و رمزگشایی استفاده شود چیزی بین 100 تا 1000 مرتبه الگوریتم سریع تری دارد. بنابراین EFS با استفاده از FEK ابتدا اطلاعات را رمزنگاری و رمزگشایی می کند و با استفاده از یک Public Key و یک Private Key سپس FEK را رمز نگاری می کند و با فایل ذخیره می کند.

زمانی که یک فایل رمزنگاری می شود، رمزنگارنده به صورت اتفاقی یک FEK یکتا تولید می کند. که این یک روش سریع با کلید متقارن است. اما این هنوز قسمتی از کار است. FEK اطلاعات را در بلوک های جدا و سپس رمز می کند. EFS به فایل یک Header (سرفصل) اضافه می کند که حداقل شامل دوبخش است:

1) DDF که کوتاه شده Data Decryption Field است و شامل FEK می شود که با Public Key کاربر به رمز درآورده شده ذخیره می شود.
2) DRF که کوتاه شده Data Recovery Field است و شامل FEK می شود که با Public Key مخصوص Recover Agent ذخیره می شود.

همانطور که Public Key کاربر از EFS Certificate اخذ شده، Public Key مربوط به Recovery Agent از File Recovery Certificate اخذ می شود.

برای مشاهده و یا ویرایش فایل نیازی به رمزگشایی کردن فایل وجود ندارد. هرچند در واقع تمامی این عملیات در پشت پرده رخ می دهند. کلید شخصی شما که در User Profile شما به صورت ایمن نگه داری می شود، وارد DDF می شود تا نسخه رمزنگاری شده FEK باز شود. سپس EFS با استفاده از نسخه رمزباز شده FEK اطلاعات رمزنگاری شده را باز می کند. مسئله Recover کردن اطلاعات هم بسیار شبیه به همین مرحله است. در واقع کلید عمومی Recovery Agent برای رمزگشایی DRF به کار می رود. چناچه چند Recovery Agent نیز موجود باشد، هر Recovery Agent فقط می تواند DRF مخصوص خود را باز کند. پس خطر آنکه یک Recovery Agent بتواند هر فایلی را باز کند وجود ندارد.

به یاد داشته باشید که در ویندوز 2000 به صورت پیش فرض Administrator به صورت Local یک Data Recovery Agent است، اما در نسخ بعدی به صورت پیش فرض هیچ Recovery Agent وجود ندارد و باید یک Recovery Agent اضافه کنید. در محیط اکتیودایرکتوری کاربر Administrator که اولین دامین را ایجاد می کند، به صورت پیش فرض Data Recovery Agent است.

در پایان:
* راهکارهایی که برای بازیابی اطلاعات در این مقاله ارائه شده تمام سناریو ها را پوشش نمی دهد و در آینده تکمیل خواهد شد.
* هرچند که EFS امنیتی مناسب را ایجاد می کند اما برای اطلاعات بالاتر از رده حساس از روش هایی با الگوریتم های پیچیده تر که کمتر قابل نفوذ هستند استفاده می شود. اما به یاد داشته باشید در روش های دیگر امکان بازیابی اطلاعات در دسترس نیست.
* از مجوز Data Recovery Agent خودتان حتما نسخه پشتیبان تهیه کنید، هر چند در این مقاله چندان مجال این مبحث نبود اما در آینده این نکته را پوشش می دهم.

کنترل اندازه cache ، Internet Explorer توسط Group Policy

2008-10-01T08:00:00.003+03:30

من این سوال را بارها و بارها در forum های مختلف دیدم و دیدم که بسیاری از مدیران شبکه ها در این خصوص توجه نکرده اند و باعث بروز مشکلات فراوانی شده اند. به همین جهت تصمیم گرفتم این مطلب تقریبا ساده را اینجا بنویسم.

در GPO هیچ گزینه ای برتنظیم اندازه Cache در IE وجود ندارد، بنابراین کاربران می توانند به راحتی ( اگر انداره Profile انها محدود نشده باشد) باعث پر شدن فضای دیسک شوند. این مطلب زمانی که کاربران مختلفی از یک کامپیوتر خاص در شیفت های مختلف اداری استفاده می کنند به یک مشکل بزرگ تبدیل می شود. و یا در Terminal Services مشکل بسیار جدی تر می شود.User profile ها به سرعت باعث پر شدن فضای دیسک روی سرور می شوند.همچنین در roaming profiles نیز همین مسئله به صورت مشابه موجود و مسائلی دیگر نیز ایجاد می کند.

توجه: مشابه سایر قالب های مدیریتی باید برخی از پیش زمینه ها را آماده کنید که در مقاله ای به نام افزودن یک قالب مدیریتی به به GPO توضیح داده شده است.اکنون در

User Configuration > Administrative Templates > Windows Components > Internet
Explorer Cache

می توانید اندازه cache را معین کنید.بدیهی است که فقط در سیستم عامل های بالای
2000 و در محیط اکتیو دایرکتوری کار می کند.

مقدمه ای بر Local Security Policy

2008-08-10T02:15:00.012+04:30

با local Security Policy چه کارهایی می توان کرد؟
1. Account Policies: اتخاذ سیاست های در خصوص حساب های کاربری (User Accounts )
2. Local Policies
Auditing Policies : ردیابی اعمال کاربران
User Rights : اختصاص یا عدم اختصاص مجوز کنترل کردن برخی از فعالیت های سیستم همانند تغییر ساعت
Security Option : امکان اعمال تنظیمات امنیتی گوناگون
3. Public Key Policies : مربوط به encrypt data recovery و Certificate authorities
4. Software Restriction Polices : جلوگیری از اجرای برخی از نرم افزار ها
5. System Services : مدیریت و اعمال تنظیمات امنیتی برای قسمت های مثل : Network Services و File & Print Services
6. File System: مدیریت و اعمال تنظیمات امنیتی در خصوص Local File System
7. Registry
8.IP Security Policy

همانطور که مشاهده می کنید بسیاری از تنظیمات مهم از طریق Local Security Policy امکان پذیر است. Local Security Policy در Administrative Tools بیابید و یا از secpol.msc استفاده کنید.
Security Templates :

ویندوز یک سری قالب های پیش ساخته جهت تنظیمات عمومی امنیتی در local Security Policy دارد. شما می توانید این تنظیمات را پس از اعمال به میل خود تغییر دهید و آن را به عنوان یک قالب جدید داشته باشید. استفاده از قالب های امنیتی دو مزیت دارد:
1. با استفاده از قالب های امنیتی پیش ساخته لازم نیست تا تمام تنظیمات را از ابتدا تنظیم کنید.
2. با استفاده از قالب های امنیتی که خود ساخته اید ، لازم نیست تا تنظیمات را روی هر کامپیوتر در شبکه جداگانه تنظیم نمایید. فقط کافی است یک قالب را اعمال کنید.

قالب های پیش ساخته:

· Default security Setup ,security.inf
قالبی است که در زمان نصب ویندوز به صورت خودکار به هر کامپیوتری اعمال می شود. این قالب بر حسب بر حسب آنکه نصب ویندوز clean installation بوده و یا upgrade متفاوت است. این قالب به DC ها نمی تواند اعمال شود.
تذکر: در ویندوز 2000 دو قالب ocfiless برای سرور ها و ocfilesw برای workstation ها استفاده می شد. security.inf به هر دو کامپیوتر سرور و کلاینت می تواند اعمال شود.در Disaster Recovery نیز برای بازگشت تنظیمات امنیتی به حال پیش فرض این قالب اعمال می شود.

نکته از کتاب 70-270 مایکروسافت : این قالب شامل تمام تنظیمات امنیتی است که در زمان نصب ویندوز XP روی یک پارتیشن NTFS اعمال می شود و در زمان برگرداندن تنظیمات به پیش فرض مفید است.

· Domain controller default security ,DC security.inf
این قالب زمانی اعمال می شود که یک سرور ، DC می شود.بر registry ، system service و سایر تنظیمات پیش فرض اعمال می شود.

· Compatible, Compatws.inf
این قالب امنیت فراتری را نصب به قالب پیش فرض نصب ایجاد می کند. اما با این حال به صورت پیش فرض اجرای برنامه هایی که دارای Windows-Certificated (winlogo) باشند بدون مشکل خواهد بود و برنامه های فاقد مجوز فقط توسط Power Users قابل اجرا خواهد بود.

تذکر: در صورت اعمال این قالب اعضای گروه Power Users حذف خواهند شد.
تذکر: این قالب را به DC ها اعمال نکنید.

نکته : دو قالب امنیتی زیر هم برای DC ها و workstation ها موجود است. اگر قالب با دو حرف WS ختم شود مربوط به workstation و اگر به DC ختم شودمربوط به Domain Controller می باشد.

· Secure ,Secure*.inf
این قالب امنیت فراتری را ایجاد می کند ، اما compatibility را تحت شعاع قرار می دهد. مثلا password های قوی تری را الزام می کند و یا lockout و auditing را اعمال می کند.

· Highly Secure, hisec*.inf
این قالب حداثر امنیت در نظر گرفته شده است. با اعمال این قالب به نسبت Secure تاثیری بر compatibility نخواهد داشت. این قالب با الزام کردن استفاده از encryption های قوی تر و امضا برای تشخیص هویت (authentication) و انتقال داده در secure channels بین SMB و سرور تاثیر بسیاری در امنیت برای ترافیک شبکه را دارد.

· System root security, Rootsec.inf
این قالب شامل permission هایی است که به صورت پیش فرض به پارتیشن سیستمی اعمال می شوند.

· No Terminal Server user SID, Notssid.inf
با اعمال این قالب SID های مربوط به Windows Terminal Service پاک خواهند شد و بنابراین Windows Terminal Service اجرا نخواهد شد. توجه داشته باشید که با اعمال این قالب الزاما امنیت افزایش پیدا نخواد کرد.

· Internet Explorer iesacls.inf
با این قالب امکان audit بر استفاده از IE Internet Explorerفراهم می شود.

تذکر مهم : با اعمال قالب های امنیتی ، تنظیمات جدید جایگزین می شود. لذا در DC ها حتما از SYSVOL نسخه پشتیبان (Backup) تهیه کنید و در سایر موارد نیز همواره گرفتن نسخه پشتیبان توصیه می شود.
برای اطلاعات بیشتر در خصوص قالب های پیش ساخته به Technet مراجعه کنید.

برای تغییر در یک قالب پیش ساخته:
1. با استفاده از run ، mmc را اجرا نمایید.
2. یک کنسول جدید ایجاد کنید.
3. در کنسول جدید ، Snap-in با نام Security Template را اضافه کنید.
4. تغییرات دلخواه را روی قالب مورد نظر خود اعمال کنید و سپس Save as را بزنید.

برای اعمال یک قالب:
1. با استفاده از run ، mmc را اجرا نمایید.
2. یک کنسول جدید ایجاد کنید.
3. در کنسول جدید ، Snap-in با نام Security configuration & analysis را اضافه کنید.
4. روی ساختار درختی در کنسول روی Security configuration & analysis ، Right –Click کرده و Open database را بزنید.
5. نام Database ای را که قصد ساختن آن را دارید وارد نمایید و ok را بزنید.
6. سپس ، قالبی را که ساخته اید انتخاب کنید.
7. روی Security configuration & analysis ، right click کرده و configure computer now را بزنید.
8. همچنین می توانید با استفاده از Analyze computer now تنظیمات خود را با یک قالب خاص مقایسه کنید.

Local Group Policy In Windows Vista

2008-04-23T21:12:00.006+04:30

Local Group Policy به مدیر شبکه امکان انجام برخی از تنظیم های امنیتی و رجیستری را می دهد. همچنین LGPOs در نبودن یک GPO برپایه Active-Directory مثل سناریو های Kiosk computer ، Demo workstation و مکان های عمومی مثل کتابخانه ها و... برخی تنظیمات امنیتی را انجام دهند. البته گفتنی است که LGPS ها حتی زمانی که یک AD GPO موجود باشد، باز هم می تواند مفید باشد.مثلا زمانی که به دلایلی مجبور خواهید شد به جای AD GPO یک L GPO اعمال کنید.LGPO ها حتی در سناریو های خانگی هم می تواند مفید باشد مثلا زمانی که می خواهید بچه ها Control Panel را به هم نریزند و یا به Registry دسترسی نداشته باشند.

خبر بد!

ویندوز های 2000و2003 وXP تنها قادر اند که یک Local Group Policy داشته باشند که یک ناتوانی بزرگ محسوب می شود.گیج کنندگی در تنظیمات به این شکل زمانی شروع می شود که مثلا تنظیمات مختلفی برای عضو گروه administrators لازم باشد.

و اما خبر خوب!

ویندوز Vista ویستا قابلیت این را دارد تا LGPOهای چندگانه برای User های مختلف ساخت.و این باعث می شود تا قسمتی از گیج کنندگی های NTFS Permission های طولانی و خسته کننده کم شود ( که در گذشته برای دور زدن مشکل مذکور یکی از ترفند های مورد استفاده بود).در ویندوز ویستا مثل سابق امکان استفاده از LGPOs ها وجود دارد با این تفاوت که امکان در نظر گرفتن یک LGPOs جداگانه برای موارد زیر موجود است.

1.یک local User توسط نام کاربری.

2.کاربرانی که عضو گروه Local Administrators هستند.

3.کاربرانی که عضو گروه Local Administrators نیستند.

اما تنظیمات یک user فقط می تواند توسط یکی از موارد فوق اعمال شود.

اضافه می کنم،اگر Windows Vista عضو یک Domain باشد ، LGPOs همانند قبل ( ویندوز 2000,2003,XP) است:

- ابتدا LGPOs در زمان ورود به سیستم (Login) اعمال می شود

- سپس AD GPOs به صورت ترتیبی زیر اعمال می شود:

-Site GPO-Domain GPO-OU GPO-Child OU GPO (اگر موجود باشد)

به اضافه اینکه قابلیت تنظیم آنکه هیج LGPOs زمانی که AD GPOs موجود است اعمال نشود وجود دارد.که با این روش از احتمال آنکه یک Local Administrator روی ویستا تغییراتی نا مناسب روی سیستم اعمال کند جلوگیری به عمل می آید.

نحوه تنظیم Local Group Policy چندگانه:

1. Run>mmc *تذکر: در ویستا به صورت پیش فرضRun در Start Menu موجود نیست از طریق Win+R و یا روش های دیگر می توانید به Run دسترسی پیدا کنید.

2. منوی File ، Add/Remove Snap-in.

3. سپس از لیست Available Snap-in ، Group Policy Object را Add کنید.

4. در Wizard ، Select Group Policy Object ،Browse را بزنید.

5. Computer Tab برای انتخاب کامپیوتری است که قصد مدیریت روی آن را دارید ، در اینجا this computer است.

6. Users Tab برای مدیرت روی کاربری خاص یا دسته ای از کاربران است که در بالا توضیح داده شد. پس از انتخاب کاربر مورد نظر ، ok و سپس Finish را بزنید.

7. اکنون امکان اعمال مدیریت روی user و یا دسته انتخاب شده موجود است.

غیر فعال کردن Local Group Policy:

همانطور که قبلا اشاره شد ، در برخی از موارد که به ندرت نیاز می شود ممکن است لازم باشد LGPOs غیر فعال باشد . مثلا زمانی که سیستم ها فردی به عنوان administrator به صورت Local دارند، شاید مدیر شبکه این مطلب را نیاز ببیند.برای این کار باید کامپیوتر عضو Domain باشد.

1. GPMC.msc را باز کنید ( برای دسترسی ساده از RUN استفاده کنید).

2. Configuration > Administrative Templates > System > Group Policy.

3. Turn off Local Group Policy objects processing

4. اگر می خواهید که LGPOs غیر فعال باشد ، باید Turn off Local Group Policy objects processing ، enable باشد.

5. پس از restart تغییرات اعمال خواهند شد.

IPSec چیست؟

2008-04-04T18:59:00.006+04:30

این پروتکل برای این منظور طراحی شده که بتواند بسته (Packet) های اطلاعاتی TCP/IP را توسط کلید عمومی ( همان روش PKC) رمز کند تا در طول مسیر، امکان استفاده غیر مجاز از آنها وجود نداشته باشد.

به بیان دیگر کامپیوتر مبدا" بسته اطلاعاتی TCP/IP عادی را بصورت یک بسته اطلاعاتی IPSec بسته بندی (Encapsulate) می کند و برای کامپیوتر مقصد ارسال میکند. این بسته تا زمانی که به مقصد برسد رمز شده است و طبیعتا" کسی نمی تواند از محتوای آنها اطلاع بدست آورد.

باوجود آنکه بنظر سیستم ساده ای می آید اما باید راجع به آن مطالب بیشتری بدانید. بدیهی ترین نکته آن است که استفاده از این پروتکل زمان نقل و انتقال اطلاعات را بیشتر می کند چرا که هم حجم اطلاعات بیشتر می شود و هم زمانی برای رمز کردن و رمزگشایی. بنابراین بهتر آن است که جز در موارد خاص که علاقه ندارید کسی در شبکه فعالیت های شما را متوجه شود از این پروتکل استفاده کنید. بخصوص که شما می توانید با تعریف سیاست هایی به Windows بگویید که در چه مواردی از آن استفاده کند و در چه مواردی نه.

IPSec Policy
شما می توانید با دادن یک سری دستورالعمل ها به Windows، او را تعلیم دهید که تحت چه شرایطی از IPSec استفاده کند. تحت این شرایط شما در واقع مشخص می کنید که ترافیک کدام گروه از IP ها باید توسط IPSec انجام شود و کدامیک نشود برای این منظور معمولا" از روش فیلتر کردن IP استفاده می شود. فهرست خاصی از IP های فیلتر شده که شما تهیه می کنید می تواند مرجعی برای استفاده از پروتکل IPSec برای ویندوز باشد.

بدیهی است برای انجام اینکار علاوه بر آشنایی با ویندوز، شما باید تا اندازه ای با شبکه ای که به آن متصل هستید آشنا بوده و اطلاعات اولیه ای را داشته باشید. برای این منظور باید از کنسول مدیریتی ویندزو (Microsoft Management Console) استفاده کرده و از snap-in های مربوط به IPSec برای تعریف سیاست های نامبرده شده استفاده کنید.