بسم الله الرحمن الرحيم
في إطار سعينا لربط الدراسة النظرية بالواقع العملي في مجال الشبكات وبعد ما شرحنا طريقة عمل الدومين كونترولر والفايل سيرفر في الواقع العملي بنقدم ليكم اليوم مجموعة لأهم السياسات الأمنية او ممكن نعتبرها بوليسي أو سياسة جاهزة لقسم ال IT اللي لازم تتبعها عشان تأمن النتورك بتاعتك عن طريق الجروب بوليسي مانجمنت – Group Policy Management .
أحيانا كتير الضرر علي الشبكة بتاعتك ممكن يجي من جوه الشركة ولو عندك موظف فاهم شويه في شغل ال IT ممكن يسبب ليك مشاكل كتير لو إنت مدي الأمان ومش واخد إحتياطاتك …. فهنركز إن شاء الله علي مجموعة من البوليسي او ال GPO اللي تطبقها وتخليك تحكم المستخدمين وتحد من صلاحيتهم علي الأجهزة.
أهم عناصر الجروب بوليسي – Group Policy الواجب تطبيقها في الشركة:
1. Disable Guest Account and Local Administrator Accounts
ودي من أهم الــ Policies اللي لازم تعملها وهي انك تعمل تعطيل – Disable للادمن أكونت و الجيست أكونت Administrator and Guest account لان من خلالهم اليوزر ممكن يحصل علي تحكم كامل في الجهاز او يوصل لداتا مش مسموح له الوصول ليها .
طريقة تنفيذ البوليسي:
Go to Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Set both Accounts: Guest account status and Administrator account status to Disabled
2. Rename the Local Administrator Account
طيب ايه رأيك ما تيجي نصعبها شويتين علي اي هاكر بيحاول انه يعمل hacking علي الــ users دي … يلا نعمل rename بالمره بحيث نكون قفلنا المنطقه دي.
طريقة تنفيذ البوليسي:
Go to Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Rename administrator account-
Rename guest account-
3. Password Policy
مهم جدا إنك تفرض سياسة علي الباسوردات الخاصة بالمستخدمين داخل الشركة ويجب إن انت تراعي إن الباسورد تكون قوية وصعب تحمينها وانها تحتوي علي حروف كابتال وسمول وارقام ورموز .ولازم يكون في بوليسي لتغيير كلمة السر كل فترة يعني متبقاش ثابتة.
طريقة تنفيذ البوليسي:
Go to Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy
هتلاقي فيها كل ما يخص إعدادت الباسورد إختار اللي يناسبك ويناسب طبيعة الشغل داخل شركتك مع مراعاه شروط الباسورد اللي قولناها فوق.
4. Account lockout policy
عدد المحاولات المسموح بيها لمحاولة تسجيل الدخول أو عمليه الــ logon وفي حاله تكرار المحاولات وإدخال الباسورد غلطبيعمل قفل لحساب المستخدم – Lock user account وبعد فتره محدده فك الـ lock
طريقة تنفيذ البوليسي:
Go to Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Account Lockout Policy
هتلاقي التلت إختيارات اللي تحت وهما خاصين بعدد المحاولات اللي بعدها يتقفل الاكونت والمدة اللي لازم تعدي وبعدها يشتغل او المدة اللي لازم تعدي عشان تقدر تعمل ريست للباسورد.
Account Lockout duration … mins.
Account lockout threshold … attempts.
Reset Account lockout counter after … mins.
5. Disable Access to Removable Storage
من عناصر الجروب بوليسي المهمة جدا وهي قفل منافذ اليو اس بي و الدي في دي DVDs and external storage USB) وده عشان تمنع نقل الفيروسات او المالوير virus or malware أو إن موظف يعمل كوبي لاي داتا حساسة هو لية صلاحية الوصول ليها في الشركة.
طريقة تنفيذ البوليسي:
Go to Computer Configuration > Policies > Administrative Templates > System > Removable Storage Access
وهتلاقي كل إختيارات الخاصة بوحدات التخزين القابلة للإزالة تقدر تتحكم فيها وتختار اللي يناسبك منها.
6. Disable SMBv1 Client and Server
الــ SMB or Server Message Block دا protocol الــ Share والــ Protocol دا في منه versions
خلينا نرجع flashback لسنه 2017 وبعبع الــ Ransomware
في Environments كتيره اتصابت بالــ Ransomware (Wanna Cry and Petya) ودا كان بسبب vulnerability في SMBv1 ووقتها ميكروسوفت تزلت patches for SMBv1 ولكن للاسف كان في شركات كتيره اتصابت بسبب اهمال الــ Security updates
فمهم جداا تعمل disable للــ SMBv1 علي الرغم من الــ Security update الي نزلت بس خلينا في المضمون
طريقة تنفيذ البوليسي:
7. Windows Update
مهم جدا جدا تحافظ علي update الــ Environment بتعتك سواء كان Server or Workstations في كل يوم في ثغرات جديده بتظهر وميكروسوفت اول ما بتشم خبر بترقعها علي طول فلازم يكون عندك Wsus وتتابعه كويس اسبوعيا بعد كل update بينزل.
طريقة تنفيذ البوليسي:
Go to Computer Configuration > Administrative Templates > Windows Components > Windows Update.
8. Enable the Security Auditing
الــ Policy دي مهمه فوق ما تتصور …. هتقدر تراقب اي تغير يحصل علي الشبكه بتعتك سواء علي الــ Servers or Workstations
– اكيد قابلت في يوم حد عمل Delete لملفات مهمه وكنت محتاج تعرف الشبح الي عمل كده
– اكيد صادفت في يوم حد عمل delete or rename or create لــ user account عندك وكله بيقولك مش انا يا سي دوني وعايز تعرف مين الي عمل كده؟
– حد عمل logon علي جهاز وعمل حاجه معينه وعايز تعرف مين هو ؟
فكل التفاصيل دي هتوصلها من الــ Event Viewer بعد ما تفعل الــ Audit Policy
طريقة تنفيذ البوليسي:
Go to Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies
9-متديش أي حد صلاحيات أدمن علي الجهاز
لازم محدش يكون له صلاحيات أدمن – admin علي جهاز الكمبيوتر بتاعه عشان محدش يقدر يعمل تثبيت لاي برامج غير مسموح بيها ولازم كمان تقفل أومر ال CMD.
10-في الفايل سيرفر متديش صلاحية الوصول Everyone Permission علي الشير فولدر ولكن استخدم الــ Authenticated Users.
11- كمسئول في قسم ال IT متستخدمش حساب واحد لإدارة الاجهزة
كموظف او مسئول في قسم ال IT مينفعش تستخدم اكونت واحد في الشغل بتاعك لازم يكون عندك أكونتين واحد limited تدخل بيه علي جهازك وتفتح بيه الايميل وواحد تاني تستخدمة لإدارة السيرفرات والفايروول وباقي البنية التحتية لقسم ال IT.
و لو عندك اكستشنج – Exchange وشغال بالــ NTLM بلاش Version 1 اعمله disable واشتغل NTLMv2.
12-إفصل الإنترنت عن الدومين كونترولر وثبت عليه أنتي فيرس قوي ويفضل يكون نسخة مدفوعة وإعملة تحديثات أول باول.
لو عندك workstations قديمه زي مثلا windows XP, 7 او Server زي مثلا Windows server 2003 اعزلهم عن الشبكه وياريت لو تخرجهم من الـ Domain.
