مرکز انجمنهای تخصصی

سلام دوستان کسی میتونه بهم در مورد security policies , account policies بهم کمک کنه؟ وقتی در قسمت run عبارت secpol.msc رو تایپ میکنیم یه پنجره باز میشه و در بالای پنجره عبارت security setttings رو مشاهده میکنید که دارای زیرمجموعه هایی هستش دوستان اگه مقاله ای یا مطالبی در موردش دارند بهم بدن واسه مطالعه ممنون میشم
شب خوش

باسلام
---
مطلبی از وبلاگ etworktop.blogfa.com




چیست؟ local Security Policy

1. Account Policies: اتخاذ سیاست های در خصوص حساب های کاربری (User Accounts )
2. Local Policies
Auditing Policies : ردیابی اعمال کاربران
User Rights : اختصاص یا عدم اختصاص مجوز کنترل کردن برخی از فعالیت های سیستم همانند تغییر ساعت
Security Option : امکان اعمال تنظیمات امنیتی گوناگون
3. Public Key Policies : مربوط به encrypt data recovery و Certificate authorities
4. Software Restriction Polices : جلوگیری از اجرای برخی از نرم افزار ها
5. System Services : مدیریت و اعمال تنظیمات امنیتی برای قسمت های مثل : Network Services و File & Print Services
6. File System: مدیریت و اعمال تنظیمات امنیتی در خصوص Local File System
7. Registry
8.IP Security Policy


همانطور که مشاهده می کنید بسیاری از تنظیمات مهم از طریق Local Security Policy امکان پذیر است. Local Security Policy در Administrative Tools بیابید و یا از secpol.msc استفاده کنید.

Security Templates

ویندوز یک سری قالب های پیش ساخته جهت تنظیمات عمومی امنیتی در local Security Policy دارد. شما می توانید این تنظیمات را پس از اعمال به میل خود تغییر دهید و آن را به عنوان یک قالب جدید داشته باشید. استفاده از قالب های امنیتی دو مزیت دارد:
1. با استفاده از قالب های امنیتی پیش ساخته لازم نیست تا تمام تنظیمات را از ابتدا تنظیم کنید.
2. با استفاده از قالب های امنیتی که خود ساخته اید ، لازم نیست تا تنظیمات را روی هر کامپیوتر در شبکه جداگانه تنظیم نمایید. فقط کافی است یک قالب را اعمال کنید.

قالب های پیش ساخته

· Default security Setup ,security.inf
قالبی است که در زمان نصب ویندوز به صورت خودکار به هر کامپیوتری اعمال می شود. این قالب بر حسب بر حسب آنکه نصب ویندوز clean installation بوده و یا upgrade متفاوت است. این قالب به DC ها نمی تواند اعمال شود.
تذکر: در ویندوز 2000 دو قالب ocfiless برای سرور ها و ocfilesw برای workstation ها استفاده می شد. security.inf به هر دو کامپیوتر سرور و کلاینت می تواند اعمال شود.در Disaster Recovery نیز برای بازگشت تنظیمات امنیتی به حال پیش فرض این قالب اعمال می شود.

نکته از کتاب 70-270 مایکروسافت : این قالب شامل تمام تنظیمات امنیتی است که در زمان نصب ویندوز XP روی یک پارتیشن NTFS اعمال می شود و در زمان برگرداندن تنظیمات به پیش فرض مفید است.

· Domain controller default security ,DC security.inf
این قالب زمانی اعمال می شود که یک سرور ، DC می شود.بر registry ، system service و سایر تنظیمات پیش فرض اعمال می شود.

· Compatible, Compatws.inf
این قالب امنیت فراتری را نصب به قالب پیش فرض نصب ایجاد می کند. اما با این حال به صورت پیش فرض اجرای برنامه هایی که دارای Windows-Certificated (winlogo) باشند بدون مشکل خواهد بود و برنامه های فاقد مجوز فقط توسط Power Users قابل اجرا خواهد بود.

تذکر: در صورت اعمال این قالب اعضای گروه Power Users حذف خواهند شد.
تذکر: این قالب را به DC ها اعمال نکنید.

نکته : دو قالب امنیتی زیر هم برای DC ها و workstation ها موجود است. اگر قالب با دو حرف WS ختم شود مربوط به workstation و اگر به DC ختم شودمربوط به Domain Controller می باشد.

· Secure ,Secure*.inf
این قالب امنیت فراتری را ایجاد می کند ، اما compatibility را تحت شعاع قرار می دهد. مثلا password های قوی تری را الزام می کند و یا lockout و auditing را اعمال می کند.

· Highly Secure, hisec*.inf
این قالب حداثر امنیت در نظر گرفته شده است. با اعمال این قالب به نسبت Secure تاثیری بر compatibility نخواهد داشت. این قالب با الزام کردن استفاده از encryption های قوی تر و امضا برای تشخیص هویت (authentication) و انتقال داده در secure channels بین SMB و سرور تاثیر بسیاری در امنیت برای ترافیک شبکه را دارد.

· System root security, Rootsec.inf
این قالب شامل permission هایی است که به صورت پیش فرض به پارتیشن سیستمی اعمال می شوند.

· No Terminal Server user SID, Notssid.inf
با اعمال این قالب SID های مربوط به Windows Terminal Service پاک خواهند شد و بنابراین Windows Terminal Service اجرا نخواهد شد. توجه داشته باشید که با اعمال این قالب الزاما امنیت افزایش پیدا نخواد کرد.

· Internet Explorer iesacls.inf
با این قالب امکان audit بر استفاده از IE Internet Explorerفراهم می شود.

تذکر مهم : با اعمال قالب های امنیتی ، تنظیمات جدید جایگزین می شود. لذا در DC ها حتما از SYSVOL نسخه پشتیبان (Backup) تهیه کنید و در سایر موارد نیز همواره گرفتن نسخه پشتیبان توصیه می شود.
فقط کاربراني که ثبت شده اند و فعال شده اند مي توانند لينکها را ببينند[براي ثبت نام اينجا را کليک کنيد]
برای تغییر در یک قالب پیش ساخته:
1. با استفاده از run ، mmc را اجرا نمایید.
2. یک کنسول جدید ایجاد کنید.
3. در کنسول جدید ، Snap-in با نام Security Template را اضافه کنید.
4. تغییرات دلخواه را روی قالب مورد نظر خود اعمال کنید و سپس Save as را بزنید.

برای اعمال یک قالب:
1. با استفاده از run ، mmc را اجرا نمایید.
2. یک کنسول جدید ایجاد کنید.
3. در کنسول جدید ، Snap-in با نام Security configuration & analysis را اضافه کنید.
4. روی ساختار درختی در کنسول روی Security configuration & analysis ، Right –Click کرده و Open database را بزنید.
5. نام Database ای را که قصد ساختن آن را دارید وارد نمایید و ok را بزنید.
6. سپس ، قالبی را که ساخته اید انتخاب کنید.
7. روی Security configuration & analysis ، right click کرده و configure computer now را بزنید.
8. همچنین می توانید با استفاده از Analyze computer now تنظیمات خود را با یک قالب خاص مقایسه کنید.

با سلام و عرض ادب خدمت استاد خوبم sinaset
مطالب بسیار خوب و آموزنده بود فقط اگه میشه میخواستم بیشتر ریز بشیم تو مجموعه هاشون مثلا تو قسمت account policies خودش دارای دو زیر مجموعه هستش که یکیش password policy هستش که همین بازم دارای 6 زیر مجموعه هستش مثلا اولیش enforce password history هست که دیفالتش صفره این گزینه چه کاری انجام میده مثلا اگه عدد 10 رو بهش بدم چه اتفاقی میفته به همین صورت تا آخر میخوام بدونم
میدونم سخته و وقت گیره شما هم فرصت نداشته باشید نمیخوام اذیتتون کنم و وقت شریفتون رو بگیرم اگه مقاله ای یا پی دی افی باشه که تمام رو ریز به ریز توضیح داده باشه ممنون میشم راهنماییم کنید و انتظار ندارم تو یه جلسه بخوام همه رو یاد بگیرم هر وقت فرصت داشتید یکی یا دو تاشونو برام توضیح بدید ممنون میشم
من خودم دو سه تاشونو پیدا کردم مثلا تو قسمت enforce password history اگر مقدار 5 رو به جای صفر قرار بدیم هنگام اختصاص دادن پسورد برای کاربران نباید پسورد شبیه 5 تای کاربارن اول باشد اگر به کاربر ششم برسیم بخوایم پسورد بدیم میتونیم تکرار 5تای اول باشه
اینو با هزار زحمت پیدا کردم گفتم شاید نوشته ای یا مقاله ای باشه که ریز به ریز اینا رو توضیح داده باشه آخه سیستم فهمیدن این جور چیزها تا با مثال نباشه نمیشه خوب درکشون کرد
شبتون خوش موفق باشید عزیزم

سلام دوباره خدمت شما

ممنون از اظهار لطفتون..

ببینید قسمت های شبیه به همین موضوع مورد نظر ما در ویندوز،بیشتر کاربردهای چند وجهی دارن،برای همین معمولا مقالات کاملی ازشون تویه اینترنت نیست(یا که من پیدا نکردم و ندیدم)،اما اگر نوع کاری که میخواید انجام دهید مشخص باشه،می تونید راحت تر مشکل خود را به کمک اینجور نرم افزارهای سیستمی برطرف کنید ..

----

یک مقاله دیگر،به نقل از [External Link Removed for Guests]


یکی از قسمتهای مهم Local Security Policy , Administrative Tools می باشد که شامل پوشه های زیر است :

Account Policies: شامل پوشه‌های زیر است:

Password Policy: محتویات آن بر نحوه‌ی ورود کاربران به سیستم اثر می‌گذارد با این وجود تنظیمات آن چندان جدی نیستند. یکی از راههای جلوگیری از نفوذ هکرها به سیستم این است که به طور مرتب و در فواصل زمانی مشخصی رمزهای عبور عوض شوند. از جمله تنظیمات میتوان به Password History اشاره کرد که مشخص میکند چه تعداد از رمزعبورهای قدیمی کاربران حفظ شود تا ویندوز از تغییر منظم رمزهای عبور توسط آنها مطمئن شود. قسمتهایMinimum Password Age و Maximum Password Age مشخص میکنند که حداقل و حداکثر فاصله‌ی زمانی مجاز که هر کاربر فرصت دارد رمز خود را تغییر دهد چند روز است. ضمناً از طریق Password Must Meet … تعیین می‌کنیم که رمز عبور هر کاربر از حداکثر میزان پیچیدگی برخوردار باشد تا به راحتی قابل کشف نباشد، به این معنی که رمز باید شامل هر سه دسته کاراکترهای حروف،ارقام و علامتهای ویژه(مثل & و! و..) باشد.

Account Lockout Policies: تعطیلی یک حساب کاربری(Lockout) زمانی رخ میدهد که کاربر به تعداد دفعات مشخصی رمز عبور خود را اشتباه وارد کند که در این حالت ویندوز به وی پیغام میدهد که حساب وی تعطیل شده و باید با مدیر سیستم تماس بگیرد.

Account Lockout Duration: مدت زمان تعطیلی یک حساب را تعیین میکند.

Account Lockout Threshold: تعداد دفعاتی که یک کاربر میتواند رمز خود را اشتباه وارد کند و پس از آن حساب وی تعطیل میشود.

Account Counter After Reset: مدت زمانی که میبایست طی شود تا یک حساب بطور خودکار از حالت تعطیل خارج شود.

Local Policies: تنطیمات آن در حین کار یک کاربر با ویندوز، بر نحوه‌ی کارکرد و نوع عملیاتی که کاربر حق انجام آنها را دارد مد نظر قرار خواهد گرفت.

Audit Policy : Audit به معنی نظارت و ممیزی است. در این قسمت تعیین میکنیم که ویندوز بر چه دسته از فعالیت‌های کاربران نظارت داشته باشد و نیز هر نوع نظارت بر موفقیت‌آمیز بودن یا شکست انجام یک فعالیت صورت پذیرد.

User Right Assignment :دربرگیرنده‌ی تنظیماتی است که بر نحوه‌ی دسترسی به هر شیء در سیستم کنترل دارند. برای هر فعالیت می‌توان یک دسته از کاربران یا گروهی را اضافه یا حذف کرد. برای تشخیص اینکه سیستم شما مورد نفوذ هکرها قرار گرفته یا خیر، توجه به کابران تعریف شده برای قسمتهای مختلف این پوشه حائذ اهمیت است،بطور مثال اگر گروه Everyone قدرت نادیده گرفتن تنظیمات لازم برای ورود محلی(Local) به سیستم را پیدا کرده باشد به احتمال قوی سیستم مورد نفوذ قرار گرفته است.

میدانید که به هنگام تعریف کاربر برای سیستم، میتوان به گروه Guest اجازه‌ی ورود به سیستم را بدهید( در اپلت User Accounts واقع در Control Panel). اگر نخواهیم گروه Guest اجازه ی ورود پیدا کنند میتوانیم ازهمان قسمت Guest را غیرفعال(Turn Off) کنیم. اما با این وجود هنوز هم گروهGuest کاملاً غیرفعال نشده، برای اطمینان از غیرفعال شدن آن، باید دراین پوشه‌‌(Local Security Settings) و در قسمت Log On Locally، گروه Guest را حذف کنید.

Security Options: بر پردازش های سیستم اثر گذاشته و دسترسی یا عدم دسترسی کاربران و گروهها به برنامه‌ها و منابع سیستم را کنترل میکند. مثلاً میتوان امکان کار با درایو CD_ROM را از برخی کابران گرفت.

گزینه‌ی Message Text‌Interactive Logon: برای تعیین پیغامی است که به کابران به هنگام ورود به سیستم داده خواهد شد.

Do Not Require Ctrl+Alt+Del…:‌Interactive Logon تعیین میکند که آیا برای نمایش پنجره‌ی تعیین نام کاربری و رمز عبور لازم است این سه کلید فشرده شوند یا خیر.
تنظیمات این پوشه بسیار گسترده و متنوع است.

Public Key Policies: این قسمت برای تنظیم گواهینامه‌های(Certificate) سیستم استفاده میشود. گواهینامه یک فرم هویتی است که با ارائه‌ی آن به شخصی میزان اعتبار سیستم و مدیریت را به وی اطلاع داد. گواهینامه زمانی لازم است که قرار است برای شخصی فرستاده شود یا اینکه یک کاربر از محلی به محل دیگری انتقال داده شود. امکان ایجاد،حذف باز کردن گواهینامه در این قسمت گنجانیده شده است. یکی از قسمتهای مهم Local Security Policy , Administrative Tools می باشد که شامل پوشه های زیر است :

Account Policies: شامل پوشه‌های زیر است:

Password Policy: محتویات آن بر نحوه‌ی ورود کاربران به سیستم اثر می‌گذارد با این وجود تنظیمات آن چندان جدی نیستند. یکی از راههای جلوگیری از نفوذ هکرها به سیستم این است که به طور مرتب و در فواصل زمانی مشخصی رمزهای عبور عوض شوند. از جمله تنظیمات میتوان به Password History اشاره کرد که مشخص میکند چه تعداد از رمزعبورهای قدیمی کاربران حفظ شود تا ویندوز از تغییر منظم رمزهای عبور توسط آنها مطمئن شود. قسمتهایMinimum Password Age و Maximum Password Age مشخص میکنند که حداقل و حداکثر فاصله‌ی زمانی مجاز که هر کاربر فرصت دارد رمز خود را تغییر دهد چند روز است. ضمناً از طریق Password Must Meet … تعیین می‌کنیم که رمز عبور هر کاربر از حداکثر میزان پیچیدگی برخوردار باشد تا به راحتی قابل کشف نباشد، به این معنی که رمز باید شامل هر سه دسته کاراکترهای حروف،ارقام و علامتهای ویژه(مثل & و! و..) باشد.

Account Lockout Policies: تعطیلی یک حساب کاربری(Lockout) زمانی رخ میدهد که کاربر به تعداد دفعات مشخصی رمز عبور خود را اشتباه وارد کند که در این حالت ویندوز به وی پیغام میدهد که حساب وی تعطیل شده و باید با مدیر سیستم تماس بگیرد.

Account Lockout Duration: مدت زمان تعطیلی یک حساب را تعیین میکند.

Account Lockout Threshold: تعداد دفعاتی که یک کاربر میتواند رمز خود را اشتباه وارد کند و پس از آن حساب وی تعطیل میشود.

Account Counter After Reset: مدت زمانی که میبایست طی شود تا یک حساب بطور خودکار از حالت تعطیل خارج شود.

Local Policies: تنطیمات آن در حین کار یک کاربر با ویندوز، بر نحوه‌ی کارکرد و نوع عملیاتی که کاربر حق انجام آنها را دارد مد نظر قرار خواهد گرفت.

Audit Policy : Audit به معنی نظارت و ممیزی است. در این قسمت تعیین میکنیم که ویندوز بر چه دسته از فعالیت‌های کاربران نظارت داشته باشد و نیز هر نوع نظارت بر موفقیت‌آمیز بودن یا شکست انجام یک فعالیت صورت پذیرد.

User Right Assignment :دربرگیرنده‌ی تنظیماتی است که بر نحوه‌ی دسترسی به هر شیء در سیستم کنترل دارند. برای هر فعالیت می‌توان یک دسته از کاربران یا گروهی را اضافه یا حذف کرد. برای تشخیص اینکه سیستم شما مورد نفوذ هکرها قرار گرفته یا خیر، توجه به کابران تعریف شده برای قسمتهای مختلف این پوشه حائذ اهمیت است،بطور مثال اگر گروه Everyone قدرت نادیده گرفتن تنظیمات لازم برای ورود محلی(Local) به سیستم را پیدا کرده باشد به احتمال قوی سیستم مورد نفوذ قرار گرفته است.

میدانید که به هنگام تعریف کاربر برای سیستم، میتوان به گروه Guest اجازه‌ی ورود به سیستم را بدهید( در اپلت User Accounts واقع در Control Panel). اگر نخواهیم گروه Guest اجازه ی ورود پیدا کنند میتوانیم ازهمان قسمت Guest را غیرفعال(Turn Off) کنیم. اما با این وجود هنوز هم گروهGuest کاملاً غیرفعال نشده، برای اطمینان از غیرفعال شدن آن، باید دراین پوشه‌‌(Local Security Settings) و در قسمت Log On Locally، گروه Guest را حذف کنید.

Security Options: بر پردازش های سیستم اثر گذاشته و دسترسی یا عدم دسترسی کاربران و گروهها به برنامه‌ها و منابع سیستم را کنترل میکند. مثلاً میتوان امکان کار با درایو CD_ROM را از برخی کابران گرفت.

گزینه‌ی Message Text‌Interactive Logon: برای تعیین پیغامی است که به کابران به هنگام ورود به سیستم داده خواهد شد.

Do Not Require Ctrl+Alt+Del…:‌Interactive Logon تعیین میکند که آیا برای نمایش پنجره‌ی تعیین نام کاربری و رمز عبور لازم است این سه کلید فشرده شوند یا خیر.
تنظیمات این پوشه بسیار گسترده و متنوع است.

Public Key Policies: این قسمت برای تنظیم گواهینامه‌های(Certificate) سیستم استفاده میشود. گواهینامه یک فرم هویتی است که با ارائه‌ی آن به شخصی میزان اعتبار سیستم و مدیریت را به وی اطلاع داد. گواهینامه زمانی لازم است که قرار است برای شخصی فرستاده شود یا اینکه یک کاربر از محلی به محل دیگری انتقال داده شود. امکان ایجاد،حذف باز کردن گواهینامه در این قسمت گنجانیده شده است.

IP Security …: تنظیمات مختلف این قسمت، برای هر چه ایمن تر شدن محاسبات مربوط به Ip میباشد. ایمنی روابط بین سیستمهای داخل شبکه در این قسمت تضمین میشود.

IP Security …: تنظیمات مختلف این قسمت، برای هر چه ایمن تر شدن محاسبات مربوط به Ip میباشد. ایمنی روابط بین سیستمهای داخل شبکه در این قسمت تضمین میشود.

با سلام و عرض ادب خدمت استاد اعظم
بسیار عالی و ممنون از توضیحات خوبتون
یه سوال در قسمت account policies و در زیر مجموعه password policy آخرین گزینه store password using reversible encryption for all users in the domain چی هست و چه کاری انجام میده؟
باز هم از توضیحات خوبتون ممنون
شب خوش

سلام بر شما
کاربر محترم"mohamadrasoolnoori" ضمن تشکر از ادب جناب عالی. نیاز به گفتن چنین ادبیات سنگینی نیست،راحت باشید.
---
با توجه به جمله گفته شده،با فعال کردن آن،می توانید،پسورد ذخیر شده را بازگردانی کنید(برای همه user ها)
احتمالا منظورشون اینکه با کمک این گزینه،وقتی شما پسورد رو فراموش کرده باشید،(و این گزینه فعال بوده باشد)،گزینه در اختیارتان قرار میدهد،تا بتونید پسورد را بازگردانی کنید...
باتشکر.

با سلام ودرود
قال معصوم (ع):ذکات علم نشر دادن اون علمه
آنچه آموختید به دیگران هم بیاموزید تا بیشتر فراگیرید
ممنون از زحمات شما

با سلام و عرض ادب
ميخواستم بدونم شما در مورد برنامه hdml آشنايي داريد ميخواستم در مورد دستورات و نوشتن برنامه هاي ابتدايي اين برنامه يك مقدار آشنا بشم

شب خوش

سلام بر شما

برای اشنایی html می تونید این دو صفحه را ببینید
[External Link Removed for Guests]و [External Link Removed for Guests]
باتشکر

درود ممونم از راهنماييتون

با سلام یه مشکلی لب تابم داره وقتی تو run تایپ میکنم cmd ارور میده نمیره داخلش چرا؟
پنجره consol windows host باز میشه چرا؟داخلش نوشتهconsole windows host has stopped working

این جمله رو معنیشو در اوردم ولی چیزی ازش متوجه نشدم
ممنون میشم راهنمایی کنید