بواسطه تنظیمات زیرساختارهای Group Policy می توان محدودیت های کاربردی و امنیتی را در سطح شبکه اعمال نمائیم. Computer Configuration یکی از ساختارهای گروپ پالیسی ست که با پیکربندی آن توسط کاربر سیستم ، که قدرتمندترین و بالاترین دسترسی را به اجزاء ویندوز دارد، می توانیم به تعدادی از پارامترهای بازدارنده کاربران مشکوک دست یابیم.
به بیان دیگر با انجام تنظیمات پیشرفته گروپ پالیسی ، خصوصا در قسمت Computer Configuration می توان محدودیت های مد نظر را قبل از بالا آمدن ویندوز و لاگین یک کاربر اعمال نمائیم. در ادامه بر اساس تجربیات شخصی که در برپائی شبکه های مبتنی بر دامین داشته ام، سعی نموده ام مسیر کامل این تنظیمات را برای ویندوزهای سرور آماده نمایم. توجه داشته باشید که اگر تنظیمی بر روی سیستم کاربری اعمال نشد، می بایست از صحت کارکرد DNS و ارتباط صحیح با Active Directory و خصوصا نسخه ویندوز آن دقت نمائید.
با فرمان gpmc.msc در Run ویندوز سرور یا دستور gpedit.msc در ویندوزهای خانگی و… Group Policy را اجرا نمائید. دو اصل در کل این تنظیمات مد نظر قرار گرفته ست : ۱ – محدودیت کابران بر قسمت هایی نظیر رجیستر ویندوز، Run و… که نتوانند از فرمانهای مخرب استفاده نمایند. ۲ – تنظیمات مربوط به ریموت دسکتاپ خصوصا در ارتباط کاربران از طریق اینترنت به سرور خاصی. پیشنهاد نمی شود از همه تنظیمات برای شبکه استفاده نمائید. بلکه با ساخت چند پالیسی مثلا یکی برای سرورها ، مدیران ارشد ، و کلاینت ها از ادغام تنظیمات زیر استفاده نمایئد.
Computer Configuration
Policies +
Windows Settings ++
Security Settings / Account Policies / Password Policy +++
Enforce password history: 0 passwords remembered
Maximum password age: 420 days
Minimum password age: 0 days
Minimum password length: 2 characters
Password must meet complexity requirements: Disabled
Store passwords using reversible encryption: Disabled
Security Settings / Account Policies / Account Lockout Policy +++
Account lockout threshold 0 invalid logon attempts
Security Settings / Account Policies / Kerberos Policy +++
Enforce user logon restrictions: Enabled
Maximum lifetime for service ticket: 600 minutes
Maximum lifetime for user ticket: 10 hours
Maximum lifetime for user ticket renewal: 7 days
Maximum tolerance for computer clock synchronization: 5 minutes
Security Settings / Local Policies / User Rights Assignment +++
Allow log on locally: M4I\Domain Users, M4I\Domain Computers, Everyone, BUILTIN\Administrators
Security Settings / Local Policies / Security Options +++
Network access: Allow anonymous SID/Name translation: Disabled
Network security: Do not store LAN Manager hash value on next password change: Enabled
Network security: Force logoff when logon hours expire: Disabled
Security Settings / Public Key Policies / Encrypting File System +++
Admin Admin 1/9/2111 8:50:15 AM File Recovery
Security Settings / Public Key Policies / Trusted Root Certification Authorities +++
No Access m4i.ir =>> Registered in Active Directory only ** Allow users to select new root certification authorities (CAs) to trust Enabled
Security Settings / Public Key Policies / Windows Firewall with Advanced Security +++
Domain Profile Settings & Firewall state Off
Private Profile Settings & Firewall state Off
Public Profile Settings & Firewall state Off
Administrative Templates ++
Control Panel / Regional and Language Options +++
Force selected system UI language to overwrite the user UI language: Enabled
Restricts the UI language Windows uses for all logged users: Enabled & Restrict users to the following language: Arabic
Windows Components / Internet Explorer / Internet Control Panel +++
Disable the Connections page Enabled
Windows Components/Remote Desktop Services/Remote Desktop Session Host/Connections +++
Allow users to connect remotely using Remote Desktop Services: Enabled
Restrict Remote Desktop Services users to a single Remote Desktop Services session: Enabled
Set rules for remote control of Remote Desktop Services user sessions: Enabled & Options: Full Control with user's permission
Windows Components / Remote Desktop Services / Remote Desktop Session Host / Device and Resource Redirection +++
Allow audio and video playback redirection: Disabled
Allow audio recording redirection: Disabled
Allow time zone redirection: Disabled
Do not allow clipboard redirection: Disabled
Do not allow COM port redirection: Enabled
Do not allow drive redirection: Enabled
Do not allow LPT port redirection: Disabled
Do not allow smart card device redirection: Enabled
Do not allow supported Plug and Play device redirection: Enabled
Limit audio playback quality: Enabled & Audio Quality Dynamic
Windows Components / Remote Desktop Services / Remote Desktop Session Host/Printer Redirection +++
Do not allow client printer redirection: Disabled
Do not set default client printer to be default printer in a session: Disabled
Redirect only the default client printer: Enabled
Specify RD Session Host server fallback printer driver behavior: Disabled
Use Remote Desktop Easy Print printer driver first: Enabled
Windows Components / Remote Desktop Services / Remote Desktop Session Host/Remote Session Environment +++
Limit maximum color depth: Enabled
Color Depth 15 bit
Limit maximum display resolution: Enabled & Width 1024 , Height 768
Limit maximum number of monitors: Enabled & Maximum Monitors 1
Windows Components / Remote Desktop Services / Remote Desktop Session Host / Session Time Limits +++
Set time limit for active but idle Remote Desktop Services sessions: Enabled & Idle session limit: 30 minutes
Set time limit for active Remote Desktop Services sessions: Enabled & Active session limit : 12 hours
Set time limit for disconnected sessions: Enabled & End a disconnected session 1 minute
Set time limit for logoff of RemoteApp sessions: Enabled & RemoteApp session logoff delay: Immediately
Terminate session when time limits are reached: Enabled
تنظیمات Preferences در لینک قرار دارد
