Group Policy– ניהול מדיניות
החל מווינדוס וויסטה ההגדרות המתקדמות נמצאות בממשק לניהול המחשב המכונה GPO (בגרסאות עסקיות)ההגדרות מתחלקות ל2 נושאים USER – COMPUTER הגדרות משתמשים - הגדרות מערכת.
- הגדרות נמצאות תחת מספר קטגוריות שונות
- כניסה באמצעות WIN +R > Gpedit.msc
Ø
כל מה שמגדירים חל על
כל המשתמשים במערכת כולל המנהל
Ø
גם לאחר שמירה
ההגדרות לא נשמרות בצורה אוטומטית וצריך להריץ את פקודה Gpuptate ע"מ שישמר (מתגים לפקודה בהמשך)
login - הגדרות כניסה - ההגדרות כניסה שהובאו למעלה בXP (Admunustrative tmplates > system > login)
·
Hide entry
points for Fast User Switching – האם להציג את האפשרות להחלפת משתמשים
·
Always use
classic logon – האם להשתמש בכניסה קלאסית (עם תמונות המשתמשים)
·
Show first
sign-in animation – האם להראות את השם של המשתמש האחרון שנכנס למערכת הגדרה זו תלויה במדיניות "לא להציג שם משתמש בחלון הכניסה"
account policy
– מדיניות חשבון (settings
windows > security settings)
Password policy-
מדיניות סיסמה
·
Enforce
password history – כמה סיסמאות ישנות לזכור ע"מ למנוע מהמשתמש
לבחור סיסמה ישנה
·
Mximum
Password age – לכמה ימים הסיסמה תקיפה
·
Minimum Password
age
- מינימום ימים לסיסמה –
לאחר סיום ימי המינימום מתקבלת הודעה למשתמש שנשאר X ימים להחלפת הסיסמה והאם
ברצונו להחליף (לא ניתן לקבוע יותר ימים ממה שמוגדר ב
Mximum) ממולץ לתת למשתמש כמה ימים לפני הסיום של
הסיסמה התראה שצריך להחליף
·
Minimum – מינימום
של תווים לסיסמה (0 = סיסמה איננה חובה)
·
Password must
meet complexity requirements – האם הסיסמה תהיה חייבת להיות מורכבת משלושה או יותר אלמנטים מספרות\ אותיות קטנות\ גדולות תווים מיוחדים
·
Store
passwords… לשמור את הסיסמה בהצפנה
כפולה >> ניתן גם לבצע את הפעולה
באמצעות ממשק גרפי > WIN +R >> syskey.exe
account lockout policy – מדיניות השבתת חשבון
·
Reset account
lockout counter afer לכמה זמן לנעול את המערכת אחרי כשל בכניסה (0
= רק מנהל יכול לפתוח)
·
Account
lockout threshold – מה מספר הניסיונות כניסה הכושלים שלאחר מיכן
החשבון ינעל
·
account lockout
duration – מה הטווח של הזמן לספירם כשלים שלאחריו יתאפס המונה לספירה חדשה (לדוג' 2 טעויות ולאחר
חצי שעה כניסה שגויה נוספת)
נ.ב לאחר מספר הניסיונות המותרים החשבון ננעל - שדה בהגדרות המשתמש locaed יסומן
Security options - מדיניות אבטחה (settings
windows > security settings >local policies )
·
Rename Administrator
/guest account - בכל מחשב יש משתמש בשם Administrator ו guest ולכן שמישהו ירצה לפרוץ
הוא ינסה תמיד להתחיל עם השמות האלה ומה שנשאר זה רק לנחש את הסיסמה לכן בשביל
לאבטח את המחשב נשנה את שמות המשתמשים
·
Interactive
logon: Machine account lockout threshold –
כמה אפשריות טעות לתת למשתמש עד לחסימה
·
Interactive
logon: Message text for users attempting to log on - רישום הודעה למשתמשים
שתופיע לפני החלון של המשתמשים
·
Prompt user
to change password before expiration - להודיע למשתמש שעוד X ימים צריך להחליף סיסמה
(ללא אפשרות החלפה)
·
Interactive
logon: Do not require CTRL+ALT+DEL - מחייב את המשתמש להקיש את צירוף המקשים
הזה לפני המסך login - מה שמונע כניסה למשב מרחוק כיוון שהצירוף מקשים הזה ישפיע על המחשב המקומי ולא על המרוחק
מתגים לGPO
·
Target
תעדכן רק את המדיניות
מחשב או רק משתמש (לעדכן איפה שביצענו
שינויים ע"מ לחסוך זמן)
· gpupdate - Force לבד עובר
בין המדיניות שיש כרגע לבין מה ששונה ומוריד את שינויים – איפה שלא שונה הוא לא
נוגע מתג Force = עובר על הכל מההתחלה עד הסוף עובר ומוריד את
המדיניות כולה (גם מה שלא שונה הוא מטעין מחדש)
·
Wait – לאחר X שניות תסיים את הפעולה – כשיש בלוק הגדרות גדול ייקח זמן רב לעדכן
ובניתים לא ניתן לבצע פעולות בCMD המתג Wait מאפשר להגדיר שלאחרX שניות הוא
ישחרר את החלון (התהליך ממשיך בתהליך ניסתר)
·
boot – החלת
השינויים תתבצע ע"י כיבוי המחשב וטעינה מחודשת של כל ההגדרות בשימוש בד"כ
לאחר שינויים בcomputer
·
Logoff – החלת
השינויים תתבצע ע"י הכרחת המשתמש לצאת מחשבון והמערכת תטען את החשבון מחדש עם
ההגדרות החדשות – בשימוש בד"כ לאחר
שינויים בUSER
·
Sync – כשמפעילים
את המערכת נטענים הקבצים\ הגדרות ובניהם הגדרות של GPO לאחר שבוחרים משתמש
נטענים התיקיות וההגדרות של השולחן עבודה וכן ההגדרות GPO – ניתן באמצעות
המתג Sync להגדיר האם המערכת תטעין את כל ההגדרות ורק
לאחר מיכן תאפשר למשתמש גישה לשולחן עבודה או שתעלה את השולחן עבודה ובמקביל ממשיך לטעון ברקע את ההגדרות. בארגונים גדולים שיש בלוק הגדרות גדול זה יכול מאוד
לשנות האם הכניסה למערכת תהיה מהירה או איטית
אין תגובות:
הוסף רשומת תגובה