New Group Policy Settings in Windows 2008מבוא
Group policy הוא כלי עבודה שימושי אצל מנהלי הרשתות.
כלי זה משמש לצורך אכיפת מדיניות על המתשמשים או המחשבים, ואף להפצת תוכנות בארגון העובד בסביבת שרת-לקוח, כלומר Domain.
ה - Group Policy Object Editor) GPOE) הוא כלי ניהול מרכזי שחלק מתפקידיו הוא להגדיר פרמטרים שונים ב - Registry של המחשבים. כמוכן ה - Group Policy הוא כלי מאוד גמיש בגלל יכולתו להיות מופעל לא רק על Site, Domain או Organizational Unit) OU) אלא גם על קבוצות ספציפיות (Security Groups) באמצעות פעולת Filtering.
ה - Group Policy של Windows 2008 מכיל כ - 700 אפשרויות שחלקן חדשות וחלקן משופרות (נכון לגרסת Beta 3).
חלק מהקטגוריות החדשות הן:
Network Access Protection
Device Installation Control
Removable Storage Restrictions
Power Management
Printer Driver Installation Delegation
Hybrid Hard Disk
User Account Control
ישנם שינויים ותוספות לקטגוריות קיימות:
IPsec and Firewall
AD-based Printer Deployment
Taskbar and Start Menu
Shell Virtualization
Synchronization Scheduling
Customized Help Resources
למרות שהקובץ מתייחס ל - Windows Vista, הפרמטרים שייכים גם ל - Windows 2008.
ראשית כל בכדי לצפות ולערוך את ה - Group Policy נדרש להוסיף את ה - Group Policy Management למערכת ההפעלה כ - Feature דרך ה - Server Manager ולאחר מכן להריץ בשורת הפקודה GPMC.msc בכדי להפעילו.
יש לבחור את ה - Policy הרצוי (לדוגמא: Default Domain Policy) ולבחור Edit לאחר לחיצה ימנית על העכבר עליו.
כעת מחלון Group Policy Management Editor ניתן לערוך את ה - Group Policy.
יש לציין כי רוב הקטגוריות שיוצגו נתמכות בעמדות קצה מבוססות Windows Vista בלבד.
Network Access Protection
נמצא בנתיב: Computer Configuration > Windows Settings > Security Settings > Network Access Protection.
ה - NAP הוא כלי האוכף את תקינות המחשבים בהתאם לדרישות המוגדרות ב - Group Policy, לדוגמא: ניתן להגדיר שאם Firewall אינו פעיל בתחנת עבודה, לא תהיה לה גישה לשרת. יתר על כך במידה וה - Firewall במצב Disabled הוא אוטומטית יעבור ל - Enabled ללא התערבות המשתמש.
בנוסף NAP מאפשר ביצוע הפנייה (Redirection) ל - Clients "שאינם בריאים" , כלומר ה - Clients שאינם עומדים בדרישות ה - Policy יופנו ל - Subnet או Subdomain אחר בכדי "להבריא". לדוגמא: במידה והוגדר שה - Clients יהיו מחוייבים באנטיוירוס עדכני אך אחד מהם לא התעדכן עקב אי חיבור לרשת במשך שבועיים, ה - Client יופנה ל - Restricted Subdomain (שם לדוגמא) בו יעדכן האנטיוירוס את קובץ חתימות הוירוסים שלו ולאחר מכן יחזור לאזור המאושר לעבודה.
את ביצוע ההפניה ניתן לממש באמצעות (DHCP (Dynamic Host Configuration Protocol ברשת מקומית או (RRAS (Routing and Remote Access בגישה מרחוק
Device Installation Control
נמצא בנתיב: Computer Configuration > Administrative Templates > System > Device Installation > Device Installation Restrictions
ניתן להגביל את השימוש בהתקנת Drivers לפי סוגי Class שונים.
כלומר במידה ומנהל IT מחליט שלא ניתן יהיה להתקין התקני UPS) uninterruptible power supply) ניתן להגביל זאת באמצעות (GUID (Globally Unique Identifier ספציפי להתקני UPS (שהוא שייך ל - Class של הסוללות) במאפיין הנקרא Device Class GUID, או באמצעות ID של הרכיב עצמו במאפיין הנקרא Hardware\Compatible ID - כך תוגבל התקנת רכיב ספציפי.
ניתן למצוא את ה - ID's הללו ב - Device Manager >> Right Click on Driver >> Properties. בחלון שיפתח יש לעבור ללשונית Details.
Removable Storage Restrictions
נמצא בנתיב: Computer Configuration > Administrative Templates > System > Removable Storage Restrictions
באמצעות מדיניות זו ניתן לחסום (Deny) אפשרויות קריאה ו/או כתיבה על ההתקנים הבאים:
CD ו - DVD
כונני דיסקטים - Floppy
מדיה נתיקה (כגון Disk On Key)
טייפים לגיבויים
התקני (WPD (Windows Portable Device, כגון התקני מחשבי כף יד ופלאפונים.
התקנים לפי סוגי Class בהכנסת ערך ה - GUID שלו.
Power Management
נמצא בנתיב: Computer Configuration > Administrative Templates > System > Power Management
במערכות ההפעלה קודמות נדרש היה להשתמש בתוכנות צד שלישי (כמו EZ GPO של חברת Energy Star) בכדי להגדיר את אופן ניהול הספק המתח במחשב.
בנוסף ב - Windows XP SP2 התווסף קובץ הנקרא PowerCFG.exe המאפשר את הגדרת קונפיגורציות הספק המתח. במידה ומפיצים את הקובץ ב - SMS או ב - GPO הוא יחול גם על מערכות Windows 2000 SP3 ומעלה.
כעת ב - Windows Vista ניתן לקבוע את הגדרות הספק המתח עבור לחצני הכיבוי, סגירת מסך המחשב הנייד, כוננים קשיחים, מסכים ומצב שינה (מצב חדש המשלב את הגדרות מצב השינה הרגילות עם מצב ה - Hibernate, נקרא Hybrid Sleep).
דבר מעניין נוסף הוא שב - Windows Vista ו - Windows 2008 יכולים להיות מספר לחצני הספק כגון: כיבוי ומצב שינה , לדוגמא: לחצן הכיבוי בתפריט ה - Start יכול לבצע Hibernate ואילו לחיצה פיזית על הכיבוי במחשב הנייד תכבה אותו.
לכן במערכות ההפעלה הללו לחצני תפריט ה - Start מופרדים באמצעות Group Policy.
הערה: ברמת האבטחה מומלץ לקבוע כי לאחר חזרה ממצב שינה המשתמש יתבקש להזין סיסמא.
Printer Driver Installation Delegation
נמצא בנתיב: Computer Configuration > Administrative Templates > System > Driver Installation > Allow non-administrators to install drivers for these device setup classes.
קיימת בעיה שבה צריך לתת הרשאות על המכונות המקומיות בכדי לאפשר התקנת Drivers (כגון מדפסות), אך לפי ה - Best Practices בנושאי אבטחה לא מומלץ לתת יותר הרשאות ממה שמשתמש צריך.
בכדי לפתור את הבעיה קיים המאפיין הנ"ל ב - Group Policy המאפשר התקנת Driver ללא צורך במתן הרשאות מקומיות.
הגדרת המאפיין תכלול הכנסת ה - GUID של סוג הרכיב (לצורך העניין - מדפסת), ולאחר מכן תתאפשר ההתקנה לחברים בקבוצת Domain Users.
יתר על כך חשוב להדגיש כי התקנת ה - Driver תאופשר אך ורק במידה והוא חתום.
Hybrid Hard Disk
נמצא בנתיב: Computer Configuration > Administrative Templates > System > Disk NV Cache
קיים התקן חדש הנקרא Hybrid Hard Disk (HHD) שפותח בשיתוף החברות Microsoft, Samsung ועוד. ההתקן הוא שילוב בין דיסקה מגנטית מסתובבת (כמו כונן קשיח טיפוסי) לבין מקום אחסון בלתי נדיף (כמו זכרון Flash).
כלומר HHD הוא כונן קשיח רגיל שנוסף לו זיכרון חוצץ מסוג (NVRAM (Non-volatile random access memory. באמצעות שילוב של זיכרון זה בכונן ניתן לקרוא ולכתוב לתוך הכונן הקשיח באופן מיידי גם כאשר הפלטות המגנטיות אינן מסתובבות - מה שמגביר את מהירות עבודתו. עיקר השימוש בדיסקים כאלו היום הוא במחשבים ניידים.
האפשרויות הניתנות להגדרה הן ביטול או אפשור שמירת מידע מסוגים שונים על ה - NVRAM.
קיימת בעיה: כברירת מחדל נשמר בזיכרון ה - NVRAM מידע קריטי כגון חלקים מה - Registry. פורץ יכול לגשת לזיכרון זה ולנצלו. לכן כשמדובר על שיקולים אבטחתיים מומלץ לבטל את השימוש באפשרות זו.
User Account Control
נמצא בנתיב: Computer Configuration > Windows Settings > Local Policies > Security Options. יש לעבור לסוף הרשימה לקטגוריה User Account Control.
תוכנות זדוניות ווירוסים מהווים סכנה רבה כשהם רצים עם פריבילגיות של משתמש חזק כמו Local Administrator. לא תמיד ה - Administrator יודע מה רץ ברקע אף על פי שיכולות לרוץ תוכנות העלולות לפגוע באבטחת המידע.
ה - User Account Control) UAC) פותר את בעיית סיכון החשבונות החזקים בכך שמוקפצת הודעה המתריעה על בקשת הרצת התוכנית, ורק לאחר אישור התוכנית תרוץ.
כברירת מחדל, גם למשתמשים רגילים (שאינם Administrators) מוקפצת הודעה בה יש להזין את שם המשתמש והסיסמא של ה - Administrator כשיש צורך בשימוש בפריבילגיה הגבוהה.
כמוכן קיימת אפשרות למנוע לחלוטין את הקפצת ההודעה עבור המשתמשים הרגילים, ובכך לא תתאפשר הרצת תוכניות עם פריבילגיות של Administrator.
--------------------------------------------
.jpg)
נושא: Group policy - מדריך בעברית 
