מבוא ל-GPO << קורס אונליין חינם
Menu
עברית Русский Srbija
מכללת פרקטיקיו
קורסים אונליין בעברית
עם הסרטונים שלנו פשוט להיות מקצוען

מבוא ל-GPO

קורסים למנהלי רשת שלב 1 - טכנאי מחשבים - Help Desk שלב 2 - מנהל רשת מוסמך מיקרוסופט שלב 3 -מומחה בתקשורת מוסמך סיסקו שלב 4 - מומחה לינוקס ו-DevOps התמחות בשרתי דואר ווירטואליזציה התמחות ב-Storage התמחות במסדי נתונים - SQL התמחות בסייבר האקינג ואבטחת מידע קורסים נוספים למנהלי רשת
קורסי תכנות שלב 1 - יסודות התכנות שלב 2 - בניית אתרים צד שרת - Back End שלב 3 - בניית אתרים צד לקוח - Front End שלב 4 - פיתוח אפליקציות לאנדרואיד ואייפון התמחות במסדי נתונים – SQL קורסים מתקדמים בדיקות תוכנה - QA


  • GPO: מנגנון בAD  המאפשר ל"נהל את כולם כאחד" (manage many as one). לכל יישות פיזית או לוגית קיים אובייקט שמייצג אותה וכך ניתן לשלוט. אובייקטים כגון: משתמש, קבוצה, מחשב.

  • ל-GPO יכולות רבות, אלפי אפשרויות. להלן מספר דוגמאות שימושיות: ניתן לקבוע איזו תוכנות יותקנו באופן אוטומטי, לא משנה באיזה מחשב יבצע משתמש כניסה. דוגמאות נוספות: איזה מדפסות יראה המשתמש או הסתרת אייקונים מסויימים בשולחן עבודה שלו או הפעלת מספר פקודות אוטומטית במעמד הכניסה למחשב- SCRIPT  או אילו שירותים SERVICES יופעלו במחשב ואילו לא. ניתן לקבוע אילו כונני רשת יהיו (מיפוי כונן רשת לאות כונן כמו :X) ועוד ועוד..

  • ישנם ברירת מחדל למדיניות אבטחה בעת התקנת AD למשתמשים וה DC עצמו וניתן לעשות EDIT על ברירת מחדל זו ולשנות והן:

  • Default domain policy: אחראית על הסיסמאות

  • Default domain controllers policy: אחראית על אבטחת הDC ואינה מאפשרת כניסה לDC כברירת מחדל.




  • GPO - הקדמה:



  • ישנה ברירת מחדל למדיניות אבטחה בFEATURES  בעת התקנת AD למשתמשים וה DC עצמו, וניתן לעשות EDIT על ברירת מחדל זו ולשנות

  • בכדי לדעת מי רשאי להיכנס לשרת הדומיין ניגשים לברירת מחדל של ה DC ל: default domain controllers policy>windows settings>security settings>local policies>user rights assignments<allow log on locally לדוגמא אם מוסיפים משתמש מסויים לרשימה הוא כן יכול להיכנס אך הרשאתו מוגבלת ורק לעצמו יכול לשנות פרטים אישיים בלבד.

  • ישנו SERVICE בשרת שנקרא GROUP POLICY CLIENT  שהוא אחראי למשוך שינויים מSYSVOL  בעת כל שינוי בGP  וזה נעשה כל 120 דקות ולכן ניתן לעדכן מיידי באמצעות פקודת דוס GPUPDATE

  • כל התחנות והמחשבים כברירת מחדל משותפים עם הדומיין שזה אומר ניתן לגשת אליהם ב pcC$  ולמי שלא נכנס בגלל שהפיירוול דלוק אצל המשתמש רק בדומיין!

  • הערה: בכדי שההגדרות יחולו במיידי עושים בתחנת קצה CMD>gpudate /force


  • GPO - מדיניות:



  • בדרך כלל מכבים את הפיירוול בתחנות קצה רק לדומיין דרך הוספת פוליסה חדשה ו windows settings>security settings>windows firewall>win firewall>domain profile!>firewall state>OFF

  • ניתן לחסום ברמת תוכנה דרך הוספת פוליסה חדשה וEDIT ואז application control policies  וזה לוינדוס 7 בלבד או השיטה הישנה software restriction policies > additional rules> new hash rule>pcsoftware.exe>disallowed

  • ניתן לשנות את תזמון שליפת הפוליסות לתחנות במקום 90 דקות לפחות דרך computer config>policies>administrative templates>system>group policy>group policy refresh interval for computers

  • ניתן לבצע עדכן פוליסה מחדש לתחנות לא רק החדשים דרך computer config>policies>administrative templates>system>group policy>registry policy processing

  • אם למשתמש יש לו הרשאה של ADMINISTRATOR  בתחנה שלו! הוא יכול למחוק את כל הפוליסות דרך ה REGISTRY  בנתיב SOFTWARE>policies>Microsoft>windows>safer>  ואז למצוא את ה HASH  ולעשות להם DELETE

  • הערה: בכדי שההגדרות יחולו במיידי מבצעים בתחנת קצה CMD>gpudate /force  ו FORCE אומר תבצע את השינויים מאפס לא רק שהשתנו. באתחול המחשב נעשה רק GPUPDATE  בלי FORCE שזה אומר כל חדש נתפס אך הישנים לא משתנים ובמקרה זה אם המשתמש קיבל הרשאה של ADMINISTRATOR מקומי הוא יכול לשנות ישירות ב REGISTRY ולמחוק את הפוליסות שהתווספו ואז באתחול לא יתווספו הישנים אלא ישארו מחוקים.


  • Enforced & Block inheritance:



  • פוליסה יותר ספציפית היא שקובעת זאת אומרת ל OU  ספציפי

  • ENFOCED: זה אומר פוליסה שהיא מהסוג הזה תקבל עדיפות ראשונה אפילו אם קיבלו אותה פוליסה למחלקה ספציפית!

  • ניתן לחבר פוליסה לOU או דומיין קיים על ידי לחצן ימני ו LINK AN EXISTING POLICY

  • פוליסה חזקה יותר ממנהל הרשת שהוא בעצם ADMINISTRATOR בכל התחנות.

  • הערה חשובה: פוליסה שמשויכת למחשב ספציפי וקיבלה הגדרות של USER CONFIG לא תחול על מחשב

  • Block inheritance: חסימת פוליסות מהורשה! אבל אם יש ENFORCE לפוליסה מסוימת והיא מקושרת לאותה מחלקה עם ה BI אז ENFORCE מנצחת.

  • שזה אומר הוא חוסם כל ההורשה חוץ מENFORCED


  • על מי חלה הפוליסה? דומיין, משתמש, מחשב:



  • הלשונית הראשונה בפוליסה היא SCOPE שזה אומר על מי חלה הפוליסה למשל איזה דומיין ואיזה OU ובנוסף איזה קבוצה, משתמש, מחשב.

  • ויש עוד לשונית לפוליסה שנקראת DELEGATION והיא בעצם אותו דבר רק בהרשאה מסוימת למשל שייכתי קבוצה לSCOPE הקבוצה מקבלת ב DELEGATION הרשאת Read + Apply group policy

  • ניתן להוסיף DELEGATION לפוליסה מסוימת שתחול על כולם (Authenticated users) מלבד קבוצה מסוימת אז לקבוצה הזו ב DELEGATION עושים READ אך בלי APPLY אז עושים ל APPLY DENY

  • Everyone + authenticated users: אותו דבר.

  • בעת שיוך פוליסה למשתמש או קבוצה מסוימת חייבים לעשות LOGOFF בכדי שיקבלו אישור כניסה.

  • RSOP: Resultant set of policy  דרך ה MMC זה כלי לבדיקת תוצאות ובעיות של GPO בתחנת משתמש.

  • WMI: זה תשאול של משאבי הוינדוס win mngmt interface למשל תנאי שפוליסה זו תחול בתנאי שיש 50GB דיסק פנוי, לכן יוצרים QUERY  וזה דרך GOOGLE

  • כשמוחקים פוליסה היא לא נמחקת טוטלית אלא נשמרת ב GPO OBJECTS ואפשר לשייך אותה שוב לOU  שרוצים.

  • לסדר מומלץ ליצור פוליסות ברמת OU ולא ליצור הכל בדומיין ולשייך אחר כך!

  • אז לסיכום לכל פוליסה יש פרמטרים כמו ENFORCED ו LINK ENABLED וכאן רואים אם היא מקושרת או חלה בכח. YES NO אז ניתן לבוא לפוליסה שהיא מקושרת ולחצן ימני וביטול LINK ENABLED ואז לעדכן בה ולהחזיר אותה ל ACTIVE שזה אומר LINK ENABLED


  • התקנת תוכנות עם GPO:



  • בעורך פוליסה יש שתי קטגוריות שהן ברמת מחשב וברמת משתמש, מייקרוסופט חלקו לוגיקה מסוימת מתי מומלץ ברמת מחשב ומתי ברמת משתמש, כמובן שלרב ברמת משתמש כשהוא עושה LOGON למחשב.

  • כל רמה מהן מחולקת לשתי קטגוריות 1. פוליסות 2. העדפות

  • פוליסות: זה אומר שהיא חלה בכוח!

  • העדפות: זה כמו ליצור קצור דרך מסוים והמשתמש רשאי למחוק או להוספת מדפסת כברירת מחדל וניתן לשנות אבל כמובן זה יחזור שוב אחרי GPUPDATE או אחרי LOGOFF.

  • Computer configurations

  • Policies>Software settings>Software installation

  • כאן ניתן לשתף תיקייה מסוימת וקובץ , MSI  חשוב מאוד לציין את נתיב השיתוף ולא כוננים כי כל תחנה תלך לכונן שלה ושם לא נמצא הקובץ ועוד לציין שזה ASSIGNED שההתקנה תתבצע אוטומטית, לפעמים צריך יותר מאתחול בכדי שבפעם הראשונה יעתיק אליו והאתחול השני יתקין.

  • יש תוכנה נוספת בתשלום שייכת למייקרוסופט להתקנות שהיא יותר מתקדמת שנקראת SCCM  ודרכה אפשר אפילו להתקין וינדוס לתחנות בלי לגעת.

  • הערה: מומלץ ליצור OU שהוא מיועד לבדיקות ומחשב ומשתמש בדיקות לפני שזה יבוצע למשתמשים.


  • GPO - אפשרויות אבטחה מובנות בוינדוס:



  • Computer configurations

  • Policies>Windows settings>Security settings>

  • זה פוליסה למדיניות אבטחה. ופוליסה זו קיימת כברירת מחדל תחת הדומיין עצמו והיא רק תעבוד אפילו אם יצרנו עוד פוליסה מתחת שזה אומר הפוליסה הראשונה בסדר היא תחול!.

  • במידה ויש לנו הרבה מחשבים ברשת וחלק מהמשתמשים במחשבים קיבלו חלק מ ADMINISTRATORS לוקלי! ניתן ליצור פוליסה שאומרת רק משתמשים מסוימים רשאים לקבל הרשאה זו למשל רק Domain/admin ו administrator לוקלי:

  • Computer config> win settings>security settings>restricted groups>(add group: administrators ) add: administrator (חובה) & domain admins then double restart

  • Policies>win settings>security settings>system services>זו פוליסה שמפעילה SERVICES כמו פיירוול וכולי.

  • Policies>win settings>security settings>windows firewall…> הוספה וחיסמה בפיירוול אצל משתמשים או מחשבים

  • Policies>win settings>security settings>application control policies>appLocker>executable rules> למי מותר להריץ ואיפה ומה רק חובה להדליק שירות  שנקרא

  • application identity

  • MMC> Security templates>GPO  כאן ניתן לייבא תבנית פוליסה מוכנה וכמובן ניתן לייצא דרך

  • MMC> Security configurations and analysis > כלי שמשווה בין התבניות המקורית והחדשה שהולכים לייבא




  • GPO - תוספות וינדוס על ידי קבצי ADMX ו ADM ב2003:



  • הערה: בחלק של המחשב יש פחות אופציות מהחלק של המשתמש ברמת ADMINISTRATIVE TEMPLATES למשל.

  • ניתן להוסיף TEMPLATES נוספים לתוכנות שונות כמו אופיס וכולי < מעתיקים אותם לתוך c:windowspolicydefinitions או במידה ורוצים לראות את זה בכל תחנה ודומיין מעתיקים אותה לתוך הSYSVOL והוא קורא את זה לבד! לא כמו ב 2003 צריך להוסיף דרך add/remove templates

  • הערה:  תחילה מוינדוס 2008 קבצי התבניות נהיו ADMX שהן תבניות פוליסות בנויות מ XML ולקן בסופו של דבר נשמרים ב REGISTRY

  • כשמעתיקים את תכולת התבנית שהורדנו לתוך c:windowspolicydefinitions הכל מופיע אוטומטית בתוך ה GPO EDITOR


  • GPO - Loopback:



  • הערה: הGPO עובר על כל הפוליסות של המחשב ואז המשתמש.

  • הערה: הפוליסות של המחשב תופסות רק לאחר אתחול מחשב והפוליסות של המשתמש לאחר LOGOFF.

  • Loopback: למשל אם יש לנו פוליסות למחשב מסוים ובא משתמש שהפוליסות שלו שונות מהמחשב אז במקרה הזה הפוליסות ניידות עם המשתמש! אז בכדי למנוע דבר כזה ולעשות שפוליסה זו חלה על המחשב ולא משנה איזה משתמש נכנס למחשב זה ואיזה פוליסות הוא מחזיק(להתעלם מפוליסות של משתמשים אחרים) שניגשים לאותו מחשב) נכנסים ל:

  • Computer config>policies>administrative templates..>system>group policy>user group policy loopback> replace תבצע ותתעלם מפוליסות אחרות

  • Computer config>policies>administrative templates..>system>group policy>user group policy loopback> Merge תבצע את הפוליסה שלי ותוסיף בעדיפות שניה מה שיש למשתמש


  • תיעוד של NTFS בתוך ה GPO - Auditing:



  • מערכת תיעוד בכדי לעקוב מי עשה ומה עשה במערכת קבצים. לחצן ימני על תיקייה מסוימת > advanced security> Auditing> everyone> ולבחור איזה סוג של מעקב למשל DELETE וכולי.. ואז יוצרים פוליסה חדשה לכולם בדומיין פוליסה > computer confg>windows settings>security settings>local policices>audit policy>audit object access  מפעילים אותו

  • וניתן להפעיל כאן audit logon events  מי ניסה להיכנס למחשב וני נכשל או מי ניסה להדליק ולכבות שרת audit system events

  • ניתן לשנות רענון של פוליסות במחשבים במקום 90דקות לפחות דרך default domain policy>computer confg>administrative temp>system>group policy>GPO refresh interval


  • פוליסה בהורשה ו ADSI EDIT:



  • חשוב לדעת!: כשיוצרים פוליסה חדשה לOU מסוים ומעדכנים כמה דברים בפוליסה והשאר לא נוגעים אז השאר לוקח מפוליסת ברירת מחדל שחלה על הדומיין כולו זה אומר לוקח מפוליסה בהורשה.

  • GPO: הגרופ פוליסי בא לנהל תחנות עבודה לא הדומיין עצמו שזה אומר ניהול REGISTRY  בתחנות למשל אם הגדרנו אורך סיסמא שונה מברירת המחדל זה לא יעבוד! כי סיסמא משנים מתוך הACTIVE DIRECTORY ובכדי לשנות את הגדרות הACTIVE DIRECTORY כמו מורכבות סיסמא ואורך עושים view>advanced features>attributes editor וכמה מחשבים יכול לצרף המשתמש לדומיין

  • סיכום: פוליסה שקשורה למדיניות סיסמאות רק אחת תעבוד והיא חייבת להיות ברמת דומיין כלו ולא OU והראשונה מבחינת סדר היא תעבוד, ומדיניות סיסמאות נמצאת בתוך ה ATTRIBUTES של ש ACTIVE DIRECTORY ב ADVANCED VIEW FEATURES

  • חשוב מאוד!: בכדי לשנות מדיניות סיסמה לכל משתמש בנפרד ניגשים ל AD דרך ADSI EDIT ושם בוחרים ב DEFAULT NAMING CONTEXT ובוחרים את הCN=System>CN=Password settings container  ויוצרים אובייקט חדש ולאחר יצירת האובייקט הולכים לATTRIBUTE msDS-PSOAPLLIESTO  על מי חלה המדיניות הזו!

  • ADSI EDIT: בו נמצאים כל המשתנים וכל האינפורמציה וההגדרות של הAD בלי להיכנס לממשק הגרפי! שזה אומר ניתן ליצור משתמשים דרך ה ADSI על ידי לחיצה על ה OU המתאים ו NEW OBJECT

  • ADSI: זה מסד הנתונים של ה AD שזה ה NTDS




הוכן ע"י התלמיד המצטיין: אברהים אבו שיכה

;


בס"ד

מאמר מקצועי בנושא יישום מדיניות אבטחתית והגדרתית.

מנהלי רשת רבים שואלים את עצמם כיצד ניתן להגדיר את המערכת כך שתעבוד בצורה מאובטחת מקיפה ומלאה כך ששום פורט מיותר לא ישאר פתוח בחומת האש כפירצת אבטחה ושירותים שאין בהם צורך לא יופעלו בצורה אוטומטית אך זאת מבלי לפגוע בפעולה תקינה של כל האפליקציות ודרישות האבטחה והעבודה של החברה בה הם מועסקים, כמו כן לא פעם מועלת דרישה מצד החברה לישומן של מדיניות יחודיות המאפשרות או אוסרות פעולות כאלו ואחרות חשוב לציין שלא תמיד כלל ההגדרות הללו ימצאו במקום אחד ולהגדיר כל אחת ואחת מהם יכול בהחלט להיות תהליך מייגע.

שרת 2008 מציע לנו חידוש מרענן ויעיל במיוחד המאפשר לנו לבצע את כל הפעולות הללו על ידי ביצוע של תהליך קצר ואם לא דיי בכך את כל ההגדרות שביצענו נוכל לשמור ולהפיץ ברשת לכלל השרתים בחברה שלנו ובהחלט נוכל לכנות זאת בשם ייבוא וייצוא.

לפני שאתחיל לפרט על התהליך ברצוני להסביר קצת על הכלים שבהם נשתמש בכדי לבצע זאת, היופי בכל התהליך הזה שכל הכלים הללו ישתלבו להגדרה מקיפה אחת.

הכלי הראשון שלו נזדקק הינו כלי ה-MMC המוכר שבעצם יאפשר לנו ליצור קונסולה מותאמת אישית שתשלב את כל הכלים הנדרשים.

הכלי השני הינו – security tamplate כלי זה הוא בעצם SNAP IN שנוסיף אל תוך ה-MMC ויאפשר לנו להגדיר הגדרות אבטחה נקודתיות הנשמרות כקובץ INF ונכון רבים מכם יחשבו שכלי זה אינו יעיל מיכוון שאנו יכולים להגדיר את כל ההגדרות הרצויות מתוך ה-GMPC בעזרת פוליסות, החידוש העיקרי הוא שההגדרות הנמצאות בכלי זה הן בעצם תת הגדרות להגדרות המופיעות ב-GPO והגדרה ברמה נקודתית שכזו לא אפשרית דרך GPO ולעיתים אף לא קיימת .

הכלי השלישי הוא כלי ה-Security Configuration and Analysis – תפקידו של כלי זה הוא בעצם להחיל את כלל הגדרות האבטחה שיצרנו, חשוב לציין שלפני שנוכל לבצע פעולה כל שהיא עלינו לפתוח מסד נתונים המכיל בתוכו את כלל ההגדרות. עוד שימוש לכלי זה הוא בעצם ניתוח ההגדרות מתוך מסד הנתונים והשוואתם להגדרות הנוכחיות במערכת, במידה ותמצא שגיאה כל שהיא או חוסר התאמה בין מסד הנתונים לבין המערכת ולהיפך כלי זה יידע אותנו על כך.

הכלי הרביעי ולא אגזים אם אומר שהוא המרשים ביותר הינו כלי ה- SECURITY WIZARD – כלי זה הכולל ממשק גרפי נוח מבצע סקירה כללית על ככל המערכת שלנו הכוללת: תפקידים המותקנים על השרת הגדרות אבטחת רשת הגדרות REGISTRY הגדרות תיעוד ולאחר סיומה של סקירה זו הכלי מאפשר לנו סגירה מלאה של כל השרותים, הפורטים ושלל רכיבים אחרים שאינם דרושים ופתוחים/עובדים ללא שום סיבה ומסכנים את המערכת שלנו ובכך מאפשר סביבת עבודה בטוחה יותר. כמובן שההגדרות שייוצרו בסוף התהליך הינן יחודייות לכל מערכת ומערכת בהתאם לתפקידים וההגדרות שיושמו עליה כמו כן מתוך אשף זה ישנה האפשרות לשלב את הגדרות האבטחה שנוצרו בסוף התהליך עם הגדרות האבטחה הנמצאות במסד הנתונים מכלי ה-SECURITY TEMPLATES מה שמייצר לנו בסופו של דבר סביבה מאובטחת הכוללת את כלל ההגדרות הנדרשות מצד החברה. חשוב מאוד לציין ! באם החברה שבה אתם עובדים משתמשת בתוכנות כאלו ואחרות על בסיס קבוע יש להפעיל את כולן לפני הפעלת האשף, במידה ולא תעשו זאת הפורטים שבהם עושות תוכנות אלו שימוש יחסמו ולא יכללו בישום הסופי של ההגדרות.

לכלי זה ישנה תצורה בפקודות CMD בשם SCWCMD ונזדקק לה ביישום הסופי.

אז אחרי שהכרנו את הכלים נעבור לתהליך עצמו.

חלק ראשון יצירת הגדרות אבטחה תחת מסד נתונים.

פיתחו את כלי ה-MMC הקישו על FILE והוסיפו את ה-SNAP-INS הבאים:

1.Security templates

2. Security Configuration and Analysis

לאחר מכן שימרו את הקונסולה לשימוש עתידי.

הרחיבו את הרשומה של כלי ה- Security templates ולאחר מכן הקישו על הנתיב שנפתח תחתיה .

מה שנבצע כרגע הוא יצירה של template חדש, זאת נעשה על ידי הקשה על הלחצן הימני ובחירת הפעולה הרצויה במקרה שלנו – NEW TEMPLATE. לצורך הדגמה אעניק את השם PRACTICU TAMPLATES ואוסיף תיאור להגדרות שברצוני להחיל בו זאת על מנת לעבוד בצורה מסודרת, רבים מזלזלים בשדה התיאור אך דעו לכם ששדה זה חשוב מאין כמוהו במידה וברצונכם לקבל מידע כללי בצורה מהירה. - לאחר סיום התהליך נוכל לראות שה-TEMPLATE שיצרתי הופיע אך עדיין לא הוחלו לתוכו אי אלו הגדרות כמובן שאת ההגדרה שברצונכם להחיל עלכם לאתר ולהגדיר ולבחור את האובייקט מסוג משתמש או קבוצה שעליה תוחל ההגדרה ולהקיש על לחצן ימני על ה-TEMPLATE ולבצע שמירה.

לאחר שישמנו את ההגדרה עלינו ליצור מסד נתונים שבו יאוחסנו ההגדרות השונות שלנו לשם כך ניגש לכלי ה- Security Configuration and Analysis ובעזרת לחיצה על הלחצן הימני ניצור מסד נתונים. שימו לב שבניגוד לממשק המוכר אנו נתבקש להזין שם וללחוץ על פתיחה אך הפתיחה בממשק זה היא בעצם יצירה.

לאחר שהזנו שם ופתחנו את מסד הנתונים נראה לפנינו את ממשק הייבוא שבעצם שואל אותנו מהיכן לקחת את ההגדרות שיושמו אל תוך מסד הנתונים שיצרנו כמובן שאת ההגדרות כבר יצרנו בחלק הראשון והן אותן הגדרות שנרצה להזין.

אם נקיש על הכלי על ידי שימוש בלחצן הימני נוכל לנתח את מצב המערכת ביחס למצב מסד הנתונים שלנו במידה וההגדרה זהה במסד הנתונים ובמחשב נוכל לראות סמן בצורת V שצבעו ירוק, במידה וישנה שגיאה כזו או אחרת יפיע סמן אחר בהתאם לשגיאה, להלן סוגי הסמנים ויצוגם:

V בצבע ירוק: ההגדרה זהה ומוגדרת עם ערכים שווים הן בצד המחשב והן בצד מסד הנתונים.

X אדום: ההגדרה מאופשרת בשני הצדדים אך מכילה ערכים שונים בכל צד.

? המוקף בעיגול לבן: ההגדרה אינה מוגדרת במסד הנתונים ולכן לא נותחה בזמן הרצת האשף או שהמשתמש שהריץ את הכלי אינו בעל זכויות גישה למערכת (מחשב).

O בצבע לבן – ההגדרה מוגדרת במסד הנתונים אך אינה קיימת במחשב.

ללא סמן – ההגדרה לא מוגדרת בשני הצדדים.

אם נבצע הקשה על ההגדרה נוכל לראות מה בדיוק השוני בין מסד הנתונים להגדרה הנוכחית שכרגע פעילה המערכת.

באם יש שוני יהיה עלינו להתאים את מצב מסד הנתונים למערכת על ידי סימון V בתיבות הסימון ולאחר מכן נבצע שמירה על ידי הקשה על הלחצן הימני על כלי ה-Security Configuration and Analysis ובך בעצם נשמור את מסד הנתונים שלנו.

*הערה יש לפתוח ולסגור את הקונסולה באם אינכם רואים רענון פעיל.

השלב הבא הוא לבצע ייצוא של ההגדרות , זאת נעשה על ידי הקשה על הלחצן הימני ובחירת EXPORT וכמובן שנבחר את קובץ ה-TEMPLATE שיצרנו קודם לכן כיעד שמירה זאת על מנת לבצע עדכון.

-מומלץ בשלב זה לבצע פתיחה מחודשת של הקונסולה.

ניגש ל- security template ומשם להגדרה שבחרנו ונוכל לראות שאכן בוצעה הזנה לערכים הרצויים שהגדרנו.

במידה והכל תקין נבצע הגדרה למחשב על ידי הקשה על כלי ה- Security Configuration and Analysis ובחירת הגדר מחשב - configure computer now (מה שיבוצע בפועל היא בעצם החלה של ההגדרות מתוך ה-TEMPLATE על המחשב).

בכדי לבצע בדיקה אם אכן יש התאמה בין ההגדרות שרצינו לבין מה שבפועל הוחל נוכל לבצע ניתוח נוסף למערכת ולראות אם אכן התקבל הסמן של V שצבעו ירוק.

-שיטה נוספת לביצוע בדיקה היא כניסה ל- LOCAL SECURITY POLICY ובחינת ההגדרות.

והנה יש לנו הגדרה הניתנת ליישום בכל שרת אך עדיין הדרך ארוכה להשגת אבטחה מושלמת או קרוב לכך ולכן בכדי להגיע למצב זה נפנה לכלי הבא

*חשוב לציין שיש לבצע את הבדיקה ולא להניח שהכל הוגדר כמו שצריך ורק לאחר שראינו שהכל תקין נמשיך הלאה.

:Security configuration wizard

בכדי לעשות שימוש בכלי זה ניגש לתפריט ההתחלה ומשם לכלי הניהול – administrative tools שם הכלי ממוקם.

לאחר הפעלת הכלי נישאל איזו פעולה ברצוננו לבצע:

האם נרצה ליצור מדיניות אבטחה חדשה?

האם נרצה לערוך מדיניות קיימת?

האם נרצה להחיל את מדיניות אבטחה שיצרנו?

האם נרצה לבטל את המדיניות האחרונה שיושמה? (במידה ונגרם נזק ניתן לבצע ביטול של מדיניות האבטחה).

אנו נבחר ביצירת מדיניות חדשה ולאחר מכן נבחר את השרת שברצוננו לאבחן וליצור למענו מדיניות אבטחה. לאחר מכן נוכל לצפות במסד הנתונים, כרגע פשוט נדלג על שלב זה ונקיש הבא. נוכל לראות שהמערכת נכנסה לקטגוריה הראשונה שהיא בעצם אבחון התפקידים המוגדרים על השרת. נוכל לסמן את כלל התפקידים שנרצה שיכללו כלומר אשף האבטחה יקח את אותם תפקידים בחשבון ויאפשר לשרותים ולשלל התהליכים הנדרשים לתפקידים אלו להישאר פעילים, כבררית מחדל התפקידים שכבר הותקנו מסומנים אך כמו שאמרתי אם נרצה להכניס למשוואה תפקידים אחרים נסמן גם אותם. אותו התהליך יתבצע לגבי ה-FEATURES ואפשרויות התקנה.

שימו לב שלפני סיום שלב זה נשאל אם ברצוננו לבטל את כל השירותים שאינם נחוצים. לאחר שבחרנו באפשרות הרצויה נוכל לראות סיכום של כלל ההגדרות.

התהליך הבא הינו אבחון אבטחת הרשת הכולל חוקי חומת אש וכיוצא בזה, באם אינכם רוצים לגעת בהגדרות אלו ניתן פשוט לדלג על חלק אבחוני/הגדרתי זה על ידי סימון תיבת הסימון "SKIP this section" בחלון המציין כניסה להגדרת אבטחה הרשת.

השלב הבא הוא אבחון/הגדרת כל מה שקשור ל-REGISTRY ושוב אם אינכם רוצים לבצע שינוי בהגדרות ניתן לבצע "SKIP"

שימו לב להגדרות השונות המתארות את סביבת העבודה ושיטות האימות שבהן נעשה שימוש בארגון שלכם ההגדרות ה"דיפולטיות" הינן השכיחות ביותר כיום. לאחר מכן הכלי ניגש להגדרות השלב התיעודי - נוכל לבחור מה ברצוננו לתעד כלומר סוג הארועים שירשמו תחת דו"ח האבטחה במציג הארועים "EVENT VIEWER" . האם:

  • לא יבוצע תיעוד.

  • פעילויות שבוצעו בהצלחה.

  • תיעוד כולל של כלל הפעולות הצלחה/וכישלון.



בחלון הבא יוצגו לנו כל אפשרויות התיעוד שכרגע עובדות על השרת שלנו.

לאחר מכן נבצע שמירה של ההגדרות, אך פה נכנס הגורם המכריע של שילוב הגדרות היסוד המוגדרות במסד הנתונים שיצרנו בתחילת התהליך אל תוך ההגדרות שיווצרו לאחר סיום האשף. תחילה נעשה שימוש בכפתור ה- INCLUDE POLICY TEMPLATE.

ולאחר מכן נלחץ על הוספה ונבחר את מסד הנתונים של מדיניות האבטחה שיצרנו ובכך בעצם נמזג אותו פנימה.

הערה חשובה! לאחר לחיצה על ADD אין להוסיף את הדבר הראשון שמופיע אלא את ההגדרה שיצרנו, לא פעם מפאת חוסר תשומת לב משיוך מסד נתונים לא נכון, היו בטוחים שאתם בוחרים את הקובץ הנכון.

כל שנותר הוא להעניק שם לסט ההגדרות שלנו, זאת נעשה על ידי הזנת שם בחלק העליון בסיום הנתיב.

לאחר מכן נלחץ הבא ונישאל על ידי האשף האם ליישם את ההגדרות עכשיו או יותר מאוחר.

והנה יצרנו לנו פוליסה הכוללת התאמה אישית לצרכי החברה וכוללת בתוכה גם הגדרות יחודיות שביצענו לפי דרישה בצורה ידנית.

אבל נניח ונרצה לשלב את ההגדרות המוכרות של כלי ה-GMPC שלנו בנוסף לכלל הגדרות שיצרנו מה אז?

בתצורה הנוכחית שבה שמורות ההגדרות שלנו הדבר בלתי אפשרי ולכן עלינו לשנות את התצורה לכזו שכלי ה-Gmpc יוכל לעבוד איתה וזה בהחלט אפשרי בכדי לעשות זאת ניגש אל שורת הפקודה ונפנה אל הנתיב שבו שמרנו את הפוליסה שלנו בסיום פעולת אשף האבטחה לדוגמא :

C:windowssecuritymsscwpolices

ונקיש את הפקודה הבאה:

C:windowssecuritymsscwpolices>scwcmd transform /p:"our policy.xml" /g:"our GPO"

לאחר שתסתיים הפעולה נוכל לראות שבכלי ה-GMPC תחת היחידה האירגונית "group policy objects" נוספה המדיניות שלנו ועכשיו אנו יכולים לשייכה כמו כל GPO ואף להוסיף הגדרות.

בעזרת שלושת הכלים הללו יצרנו בעצם בסיס הגדרתי ואבטחתי לארגון שלנו הכולל את כל ההגדרות הנדרשות מבלי לסכן אותנו ומבלי להשאיר פרצות אבטחה, כמובן שאין אפשרות ליצור הגנה ב-100% אבל זו בהחלט נקודת פתיחה חזקה ...

מאמר זה נכתב על ידי מר.עידו שדדי מרצה במכללת PRACTICU.




;
סקר שוק נכון לתאריך – 01/09/2011
הרצאה על Registry מבוא ל-GPO ממשק גרפי של GPO Default GPO מי מנצח Admin של הדומיין או של המחשב ? איך עושים מחשב מאובטח? GPO - Enforce GPO - Scope התקנת תוכנות עם GPO יצירת SCRIPT בתוך GPO אפשרויות אבטחה בתוך GPO הרחבת GPO על-ידי ADM GPO Loopback תיעוד של NTFS בתוך GPO סיסמאות באורך שונה - PSO זכויות של משתשמש - User Rights העלאת הרשאות-Priv. Escalation (חלק 1) העלאת הרשאות-Priv. Escalation (חלק 2) מבחן MCSE - שאלה על חיפוש בתוך GPO סיכום ב-3 דקות - ניהול GPO בדומיין

הסבר קצר על שיטת הלימוד אונליין

צילמנו בסרטונים את כל ההרצאות של הקורס, כי ללמוד בכיתה לא נוח וגם יקר.
קורס בכיתה עולה מעל מ-17 אלף ₪ ואצלנו בסרטונים רק 350 ש"ח בחודש.
אם משהו לא ברור בסרטון תמיד אפשר להתקשר למרצה ולדבר איתו ישירות בטלפון.
המרצה זמין גם בווטסאפ וגם בצ'אט באתר המכללה.


חשוב לציין שבסוף כל התלמידים, מכל המכללות, כולם ביחד ניגשים לאותה בחינה חיצונית של מיקרוסופט ומקבלים בדיוק אותה תעודה.
את מיקרוסופט לא מעניין איפה ואיך למדת וגם לא כמה שילמת על זה.
יש מבחן אחיד לכולם, המתבצע במרכז בחינות.
כל שבוע יש מבחן ומי שעובר אותו מקבל תעודת הסמכה בינלאומית של מיקרוסופט.
בדרך זו מתנהל כל עולם ההסמכות והתעודות הבינלאומיות גם של מיקרוסופט, גם של סיסקו, גם של לינוקס וגם בתחומי פיתוח ותכנות.

לסיכום: יש מרכז בחינות מורשה, שכולם מגיעים אליו מכל הארץ ועושים שם מבחן הסמכה בינלאומי ומי שעובר את המבחן מקבל תעודה מטעם מיקרוסופט.


מה לעשות אם לא מבינים משהו בסרט?

פשוט מאוד, מתקשרים למכללה ומדברים ישירות עם המרצה. אפשר גם להתכתב במייל או בווטסאפ או בצ'אט באתר.


האם יש לכם כיתות לימוד רגילות?

להשכיר כיתה + לשלם משכורת למרצה = 17 אלף ש"ח עלות הקורס לתלמיד.
אצלנו בסרטונים מקבלים אותו חומר לימוד
ואפילו קצת יותר, כי אין מגבלה של זמן כמו שיש בכיתה רגילה,
בנוסף מקבלים בדיוק אותה תעודה בינלאומית,
כי מבחן הוא מבחן חיצוני של מיקרוסופט
והכי חשוב שמקבלים את אותם המרצים, שמלמדים בכיתה רגילה,
רק שצילמנו אותם בסרטונים
והמחיר בסרטונים רק 350 ש"ח ולא 17 אלף כמו בכיתה רגילה.


קיימים במכללה שני מסלולי לימוד:
  1. מסלול לימוד חופשי, בלי תעודה, להעשרת ידע כללי.
    מסלול לימוד חופשי, מתאים בעיקר למי שעובד בתחום וכבר יש לו תעודות והוא לא רוצה עוד מבחנים ותעודות.

  2. מסלול עם תעודה - מתאים בעיקר לתלמידים חדשים המעוניינים בקורס מסודר,
    הכולל הגשת עבודות ופרוייקט גמר. מסלול זה מעניק בסיומו תעודת מקצוע בינלאומית.


בסיום הקורס ניתן לקבל שני סוגי תעודות:
1. תעודה של המכללה - מותנה בהגשת פרוייקט גמר בסוף הקורס

SQL TEHNAI MCITP CCNA

2. תעודת הסמכה בינלאומית של מיקרוסופט העולמית - מותנה במעבר מוצלח של מבחן הסמכה חיצוני של מיקרוסופט (מבחן זה מתבצע כל שבוע במרכז בחינות מורשה בתל-אביב)

MCT MCTip AD2008

מידע כללי:
1. חומר הלימוד מורכב ממאגר עצום ומסודר מאוד של סרטים מקצועיים, הניתנים לצפיה מהבית. מאגר זה כולל הרצאות מוקלטות בעברית בצורה מסודרת ע"י המרצים הטובים ביותר. רשימת הסרטים המלאה נמצאת בתפריט בצד ימין.
2. כל סטודנט במכללה מקבל שם וסיסמה לצורך גישה לשרת הקבצים שלנו.
השרת מכיל את כל התוכנות הדרושות ללימוד וכן חומר עזר
3. הקורסים מועברים בהתאם לסילבוסים של החברות המובילות: Microsoft, Cisco

סרט מבוא ל-Group Policy

מאמר בנושא Group policy object - GPO


זה הוא מאמר הסבר ראשון לסרטון ראשון בסידרת סרטונים המדברים על מנגנון ניהול ושליטה שיש לנו ברשת מסוג Active directory windows 2008 הנקרא , GPO חשוב לי מאוד לציין שמנגנון ה- GPO הוא כל-כך מתוחכם ובעל המון יכולות, לכן יצרנו מספר סרטונים ולא סרטון אחד או שניים אלא מספר סרטונים העוקבים אחד אחרי השני ורק אם תלמדו ותעברו על כל הסרטונים לפי הסדר תוכלו בעצם להבין בצורה הטובה ביותר מה זה המנגנון הזה ואיך עובדים איתו, המנגנון שנקרא בעצם , GPO - שוב פעם מאוד מאוד חשוב שתעברו על כל הסרטונים . כאשר תבואו ותלמדו על מנגנון ה- GPO אז זה הוא סרטון ראשון המדבר על הכרות עם מנגנון ה- , GPO אז למה אנחנו בעצם מתכוונים. אנחנו מתכוונים בעצם לומר Group policy object .

- Group policy object מתוך זה בא בעצם המושג GPO

GPO זה הרעיון ליצור אובייקט על קבוצה של אובייקטים שמייצר איזו שהיא מדיניות המורה להם כיצד להתנהג ולפעול, כלומר אני יכול ליצור מדיניות על קבוצה של אובייקטים או מספר רב של מדיניות על אובייקט בודד או על מספר אובייקטים וזה בעצם אומר GPO - .

על מה אנחנו בעצם מדברים מה זה בעצם , GPO חברים GPO זה הוא מנגנון בactive directory שמאפשר למנהלי הרשת לשלוט על יכולותם ועל תיפקודם של המשתמשים, מחשבים ותחנות עבודה שיש לנו ברשת Active Directory.

זה מנגנון מאוד גמיש ומאוד מדוייק. שמאפשר לנו לרדת לרמת משתמש, מחשב ואפילו אפליקציה ספציפית . ועוד הפעם אני אומר מנגנון, אך האמת שמדובר בתוכנה שאני יכול להפעיל ב- Active Directory ותוכנה זו מגיעה בצורה מובנת בתוך המערכת .

מנגנון זה מאפשר לי ממש לנהל את היכולות ואת התיפקוד של משתמש , אפליקציה או מחשב ברשת. שוב אני מדגיש שזהו אחד מהכלי ניהול החזקים ביותר שיש לנו Active Directory ואני ממליץ בחום לכל מנהל רשת העובד ברשת הכוללת בתוכהActive Directory ללמוד בצורה טובה ביותר את המנגנון הזה כי שוב פעם זה כלי מאוד חזק ומאוד שימושי. אז על מה אנחנו מדברים בעצם כשאנו אומרים בעצם לשלוט על היכולת ותיפקוד של משתמשים. על איזה אובייקטים אנחנו מדברים . אנחנו מדברים על הגדרה של GPO ב-Active Directory והגדרה זאת יכולה ליפול על משתמש בודד או על קבוצה של משתמשים, על מחשב בודד, שרת, או תחנת PC של משתמש אפילו על קבוצת מחשבים ואפילו על אפליקציה היושבת על מחשב ספציפי או אפליקציה שמשתמש מסויים משתמש בה.

אז שימו לב יש לנו שליטה במגוון רחב מאוד של אובייקטים ברשת ה- Active Directory משתמשים, קבוצות, אפליקציות ממש שליטה בתכונות וביכולת בתיפקוד של אותו משתמש זה עדיין נשמע קצת ערטילאי .מה זאת אומרת ביכולת ובתיפקוד. אז בואו ונמנה דוגמאות של מה אני יכול לעשות על אותו משתמש או על אותה אפליקציה, אז דוגמאות לשליטה וניהול של המשתמשים או מחשבים או אפליקציות שיש לנו ברשת. למשל יש לנו יכולת לשלוט על אלו אפליקציות משתמש יוכל להפעיל ואלו לא, יש לנו היכולת להגדיר איזו אפליקציה תתוקן או לא תתוקן במחשב מסויים של משתמש מסויים, אלו מדפסות למשל יראה המשתמש בעת חיבור למחשב כמו כן אני יוכל להסתיר איקונים מסויימים בשולחן עבודה של המשתמש או להציג לו איקונים מסויימים למשל אני יכול להעלים את MY COMPUTER או NETWORK, או היכולת של RUN יכולת הפעלת אפליקציות, תכונות והתנהגות של מערכת הפעלה, אני יכול לגרום לסקריפטים לרוץ בעת אתחול המחשב בעת כניסה למחשב של המשתמש, אני יכול להגדיר איזה אפליקציות המשתמש יוכל להפעיל במחשב מסויים בלי קשר למי המשתמש הזה. התנהגות של הדפדפן הצגה או חסימה של כפתורים מסויימים אלו שרותים אלו" סרביסים" יעבדו במחשב ועוד...

אנחנו מדברים בעצם, הדוגמאות שאני מציג לכם כאן הן דוגמאות לא חלקיות אבל הם לא מעט ממה שאני יכול לעשות אבל יש עד הרבה מאוד דברים שאפשר לעשות אנחנו בעצם שולטים בכל מה שהמשתמש יוכל לעשות ברשת או מה שיכול לקרות במחשב מסויים ברשת, אז שוב פעם אנחנו יכולים להגדיר ולגרום למה יוכל המשתמש להפעיל, אלו אפליקציות יותקנו, אלו מדפסות משתמש יראה, להציג ולהסתיר אייקונים. תכונות והתנהגות הפעלת סקריפטים, תוכנות והתנהגות שוב פעם של אפליקציות למשל התנהגות של דפדפן חסימה של כפתורים בתוכנות מסויימות למשל בתוכנת EXPLORER - הדפדפן ועוד ועוד .... איזה שרותים יעבדו או לא יעבדו בשרת מסויים וזה כבר קשור לאבטחה. אני יכול ממש לחסום או לסגור מחשב מסויים ברמה מאוד מאוד גדולה או לסגור משתמש ביכולת מאוד קטנה של לעשות משהו ברשת אנחנו מבינים שמנגנון ה- GPO זה מנגנון מאוד רציני של שליטה במה אפשר לעשות ברשת שלנו בסוף היום. בעצם שליטה מאוד חזקה באובייקטים שהם המשתמשים, המחשבים, אפליקציות אצלי ברשת.

בסרטונים ובמאמרים הבאים ניכנס לעובי הקורה בנושא זה ונראה כיצד להגדיר את הגדרות מתקדמות בתוך מנגנון ה- GPO .