سياسة مجموعة Windows هي تقنية لإدارة التكوينات وهي جزء من Windows Server Active Directory. يُمكن استخدامها لتكوين الإعدادات في أنظمة تشغيل عميل وخادم Windows للتأكد من أن لديك إعدادًا مُتسقًا وآمنًا عبر الأجهزة المُتعددة. هناك المئات من الإعدادات المتاحة للاستخدام أثناء تكوين كائنات سياسة المجموعة (GPOs) ، ولكن في هذه المقالة ، سأوضح لك بعض الإعدادات لسياسة المجموعة التي تحتاج إلى إعدادها بشكل صحيح لضمان الأمان الأساسي في بيئتك .
إذا كنت تريد تغيير سلوك Windows عن طريق التحكم بشكل أكبر في الأمان أو تعطيل بعض الأشياء التي تُلقيها Microsoft عليك ، فيمكنك القيام بذلك عن طريق تعديل إعدادات سياسة المجموعة. نعم ، يُمكنك أيضًا القيام بالشيء نفسه من محرر السجل ، ولكن لسياسة المجموعة عدد قليل من المزايا الأخرى على سبيل المثال أن تكوينات سياسة المجموعة لن تتغير بعد تحديث Windows ، على عكس السجل. الأهم من ذلك ، يُمكنك إما تكوين سياسة المجموعة محليًا على نظامك أو إنشاء Active Directory لتطبيق الإعدادات على أنظمة مُتعددة في النطاق الخاص بك. لذلك هذا مُفيد بشكل خاص للمكاتب والمدارس التي تقوم بتشغيل أجهزة كمبيوتر Windows.
أفضل إعدادات سياسة المجموعة
قبل أن نبدأ ، دعنا نُشير إلى أن سياسة المجموعة هي أداة رسومية تُتيح لك تعديل إعدادات نظام التشغيل الأصلية ، وإعدادات النواة ، وما إلى ذلك. ومع ذلك ، يُمكن أن يؤدي تعديل سياسة المجموعة بطريقة خاطئة إلى تعطل نظام التشغيل الخاص بك. لذلك ، إذا كنت ستقوم بإجراء أي تغييرات ، فتأكد من تصدير التكونات الإفتراضية قبل إجراء أي تغييرات.
أحد أكبر التحذيرات حول سياسة المجموعة هو أنها متاحة فقط على أجهزة الكمبيوتر التي تعمل بإصدارات Windows Professional أو Education أو Enterprise. على الرغم من أنك تقوم بتشغيل Windows Home ، يُمكنك الوصول إلى سياسة المجموعة ولكن مع بعض الحلول البديلة ، والتي سأشرحها أدناه.
للوصول إلى “سياسة المجموعة” ، هناك عدة طرق ، إحدى أسهل الطرق هي فتح موجه الأوامر -> اكتب “gpedit.msc” وانقر فوق Enter.
على الرغم من أن سياسة المجموعة ليس جزءًا من إصدار Windows Home ، فلا تزال هناك طريقة للوصول إليها. كل ما عليك فعله هو تثبيت محرر سياسة المجموعة التابع لجهة خارجية عن طريق تنزيل ملف Batch هذا. عليك فتحه بصلاحيات المسؤول ، وسيبدأ التثبيت في موجه الأوامر. سوف يستغرق حوالي 2-3 دقائق للتثبيت. بمجرد الانتهاء من العملية ، افتح موجه الأوامر مرة أخرى واكتب gpedit.msc للوصول إليه.
1. تعطيل تثبيت التطبيقات
من خلال عدم السماح للمستخدمين بتثبيت تطبيقات مُختلفة ، يمكنك تقليل مقدار الصيانة والتنظيف المطلوب عند تثبيت شيء سيء حيث أنه أيضًا أحد الأسباب المحتملة لوصول البرامج الضارة. هذا مفيد أكثر خاصةً في المدارس ، أين تُريد من الطلاب الوصول إلى ما هو مطلوب استخدامه فقط.
إذا كنت ترغب في تقييد المستخدمين من تثبيت التطبيقات أو تشغيلها ، يُمكنك تعيين ذلك عن طريق فتح سياسة المجموعة والإنتقال إلى Computer Configurations > Administrative Templates > Windows Components > Windows Installer وعليك النقر نقرًا مزدوجًا فوق خيار Turn off Windows Installer. قم بتغيير الإعداد إلى تمكين وتأكد من أن الخيار يُشير إلى “For Non-managed applications only” ، حتى يتمكن المُستخدم من تثبيت جميع التطبيقات التي تسمح بها الإدارة. انقر الآن على تطبيق وقم بإعادة تشغيل جهاز الكمبيوتر لإجراء التغييرات.
حظر تشغيل تطبيقات مُحددة
يعد حظر تثبيت جميع التطبيقات مُبالغة في العديد من المواقف. إذا كان كل ما تريده هو حظر بعض التطبيقات فقط ، فيمكنك إجراء هذه التغييرات على سياسة المجموعة.
افتح سياسة المجموعة وانتقل إلى User Configuration > Administrative Templates > System وانقر نقرًا مزدوجًا فوق خيار Don’t run specified Windows applications. قم بتغيير الإعداد إلى تمكين وانقر فوق الزر إظهار. الآن يُمكنك إدخال قائمة التطبيقات التي تُريد حظرها والتي لا تُريد للمستخدمين الوصول إليها وعليك النقر فوق موافق. الآن انقر فوق تطبيق وأعد تشغيل النظام لإجراء التغييرات.
2. منع الوصول إلى لوحة التحكم
من المهم وضع بعض القيود حول لوحة التحكم في الغالب في بيئات العمل لأنها تمنحك التحكم في النظام بأكمله. يمكنك إما حظر الوصول بالكامل أو تقييد الوصول إلى بعض الصفحات.
لحظر الوصول ، افتح سياسة المجموعة وانتقل إلى User Configuration > Administrative Templates > Control Panel وانقر نقرًا مزدوجًا على Prohibit access to Control Panel and PC settings وانقر على تمكين وتطبيق. وسيتم تطبيق التغييرات على الفور.
إظهار صفحات محددة فقط من لوحة التحكم
تمنع العملية المذكورة أعلاه الوصول الكامل إلى لوحة التحكم. ولكن إذا كنت تتطلع إلى الحد من الاستخدام. يُمكنك القيام بذلك عن طريق فتح سياسة المجموعة والإنتقال إلى User Configuration > Administrative Templates > Control Panel وانقر نقرًا مزدوجًا فوق Show only specified Control Panel items والنقر فوق تمكين. انقر الآن على خيار العرض لتحديد كل خيار من خيارات لوحة التحكم لإظهاره. إذا لم يكن الخيار مدرج في هذه القائمة ، فلن يظهر للمستخدم.
هذا يعني أنك ستحتاج إلى اختيار وكتابة كل عنصر من عناصر لوحة التحكم الذي تريد تضمينه بعناية. يمكنك العثور على أسماء جميع عناصر لوحة التحكم على موقع Microsoft على الويب.
3. تعطيل موجه الأوامر
موجه الأوامر مفيد للغاية بلا شك ، وهو أيضًا كابوس في نفس الوقت حيث يتيح الفرصة للمستخدمين لتشغيل الأوامر والتطبيقات التي لا ترغب في الوصول إليها. كما يمكن أن يكون أداة خطيرة في أيدي عديمي الخبرة. هناك العديد من الأسباب لتعطيل موجه الأوامر ، ربما لديك أطفال يستخدمون جهاز كمبيوتر عائلي أو تسمح للضيوف باستخدام جهاز الكمبيوتر الخاص بك عندما يقيمون معك. أو ربما تقوم بتشغيل كمبيوتر الأعمال ، لذا فأنت بحاجة إلى تعطيله.
لتعطيل موجه الأوامر ، افتح سياسة المجموعة وانتقل إلى User Configuration > Administrative Templates > System وانقر نقرًا مزدوجًا فوق Prevent access to the command prompt. عليك تغيير السياسة إلى تمكين والنقر على تطبيق. أنت الآن بحاجة إلى إعادة تشغيل الكمبيوتر لإجراء التغييرات.
4. تعطيل محرر سجل Windows
مثل موجه الأوامر ، يُمكن لمحرر سجل Windows أن يُعطل النظام عند تعديله بشكل خاطئ بالإضافة إلى يتجاوز بعض قيود سياسة المجموعة. لذلك لحماية التكوينات ، يُمكنك فتح سياسة المجموعة والإنتقال إلى User Configuration > Administrative Templates > System والنقر نقرًا مزدوجًا على Prevent access to registry editing tools وتمكين السياسة. انقر الآن على تطبيق وقم بإعادة تشغيل جهاز الكمبيوتر لإجراء التغييرات.
5. منع الوصول إلى أجهزة الوسائط القابلة للإزالة
يُمكن أن تكون محركات USB أو الأشكال الأخرى من أجهزة الوسائط القابلة للإزالة خطرة على جهاز الكمبيوتر. إذا قام شخص ما عن طريق الخطأ أو عن قصد بتوصيل جهاز تخزين مصاب بفيروس ، فقد يؤثر ذلك على جهاز الكمبيوتر أو حتى النطاق بالكامل. عند تشغيل الكثير من أجهزة الكمبيوتر ، فإن السماح بالوصول إلى أجهزة الوسائط الخارجية يجعل إدارة التخزين أمرًا صعبًا. عادة ما يتم حظر الوصول إلى أجهزة الوسائط القابلة للإزالة في العديد من المدارس والكليات.
لحظر الوصول إلى أجهزة الوسائط الخارجية ، افتح سياسة المجموعة وانتقل إلى User Configuration > Administrative Templates > System > Removable Storage Access وانقر نقرًا مزدوجًا على Removable Disks: Deny read access. الآن انقر على خيار التمكين وقم بالنقر على تطبيق وقم بإعادة تشغيل جهاز الكمبيوتر لإجراء التغييرات.
حظر خيار الكتابة
الخيار أعلاه سيجعل الكمبيوتر الشخصي لا يقرأ الملفات الموجودة في الجهاز الخارجي. ولكن لا يزال بإمكانك نسخ الملفات إلى الجهاز الخارجي. إذا كنت ترغب في حماية الملفات ، فأنت بحاجة إلى حظر خيار الكتابة أيضًا. يتم تنفيذ هذا التكوين عادة في بيئات العمل.
لحظر خيار الكتابة ، افتح سياسة المجموعة وانتقل إلى User Configuration > Administrative Templates > System > Removable Storage Access وانقر نقرًا مزدوجًا على Removable Disks: Deny writes access. الآن قم بتمكين الخيار وحدد تطبيق لتطبيق التغييرات.
وبدلاً من ذلك ، يُمكنك استخدام خيار All Removable Storage classes: Deny all access لحظر كل من خيارات القراءة والكتابة في نفس الوقت.
6. إخفاء أقسام الكمبيوتر
إذا كانت هناك أي معلومات حساسة في الأنظمة ، فقد ترغب في إخفائها من المستخدمين المحددين للوصول إليها. يمكنك القيام بذلك من إعدادات سياسة المجموعة. ولكن تذكر أن هذا الإعداد سيخفيه فقط من مستكشف الملفات وعدد قليل من التطبيقات الأخرى ، ولكن لا يزال بإمكان الأشخاص الوصول إليه من موجه الأوامر.
على أي حال ، يُمكنك إخفاء الأقسام على القرص عن طريق فتح سياسة المجموعة والإنتقال إلى User Configuration > Administrative Templates > Windows Components > Windows Explorer والنقر المزدوج على Hiding these specified drives on My Computer وتحديد خيار التمكين. بمجرد التمكين ، انقر فوق القائمة المنسدلة في لوحة الخيارات وحدد محركات الأقراص التي تُريد إخفاءها. سيتم إخفاء محركات الأقراص عند النقر فوق موافق.
7. زيادة الحد الأدنى لطول كلمة المرور
طول كلمة مرور Windows الافتراضية هو 8 وتحتاج إلى استخدام حرف واحد كبير وصغير ورقم أو حرف خاص واحد على الأقل. إنه في الواقع مؤمن بشكل جيد. ولكن يمكنك تحسين الأمان عن طريق زيادة طول كلمة المرور. يمكنك تعيينها حتى طول 14 مع استخدام الأحرف الكبيرة والصغيرة والأرقام أو الأحرف الخاصة.
يمكنك تغيير ذلك عن طريق فتح سياسة المجموعة والإنتقال إلى Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy وانقر نقرًا مزدوجًا على سياسة Minimum password length وحدد قيمة للطول وانقر على تطبيق.
8. تتبع تسجيلات الدخول
باستخدام سياسة المجموعة ، يُمكنك فرض Windows على تتبع جميع عمليات تسجيل الدخول الناجحة والفاشلة إلى الكمبيوتر. يُمكنك إما تعيينه على كمبيوتر معين أو مستخدم معين. على أي حال ، سيكون هذا مفيدًا لتتبع الأشخاص غير المصرح لهم الذين يحاولون تسجيل الدخول. يُمكنك تمكين هذا التكوين من خلال فتح سياسة المجموعة والإنتقال إلى Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy وانقر نقرًا مزدوجًا على Audit logon events.
هنا حدد مربع الاختيار بجوار خيارات “Success” و “Failure“. عندما تنقر فوق “موافق” ، سيبدأ Windows في الاحتفاظ بسجل لتسجيلات الدخول إلى جهاز الكمبيوتر.
لعرض عمليات تسجيل الدخول هذه ، افتح مربع الحوار Run عن طريق الضغط على Win + R وأدخل eventvwr لفتح Windows Event Viewer. الآن قم بتوسيع سجلات Windows ثم حدد خيار الأمان. في اللوحة الوسطى ، يُمكنك إلقاء نظرة على جميع محاولات تسجيل الدخول. يُمكنك إلقاء نظرة على الحساب الذي حاول تسجيل الدخول والتاريخ والوقت أيضًا. لكن النجاح والمحاولات الفاشلة هي عبارة عن رموز.
9. تعطيل OneDrive
قد ترغب في استخدام OneDrive أو تكره استخدامه تمامًا. إذا كنت أنت أو مؤسستك لا تستخدم OneDrive أو تُريد فقط إزالته من جهاز الكمبيوتر الخاص بك ، فيمكنك القيام بذلك باستخدام سياسة المجموعة. افتح سياسة المجموعة وانتقل إلى Computer Configuration > Administrative Templates > Windows Components > OneDrive وانقر نقرًا مزدوجًا فوق Prevent the usage of OneDrive for file storage. الآن قم بتمكين التكوين وانقر فوق تطبيق. تحتاج إلى إعادة تشغيل الكمبيوتر لإجراء التغييرات.
10. الحفاظ على تغييرات سياسة المجموعة قيد التحكم
على أي حال ، يُمكن إعادة هذه التغييرات مرة أخرى إلى وضعها الطبيعي باستخدام “سياسة المجموعة” بنفس الطريقة ولكن مع إعادة تعيينها لتعطيلها. يمكنك أن تظل مسؤولاً عن سياسة المجموعة باستخدام Group Policy Object Auditing. للحفاظ على المسار المستمر للتغييرات التي تم إجراؤها في كائنات سياسة المجموعة ، جرِّب Lepide Change Reporter.
التغليف
بمجرد الانتهاء من ضبط إعدادات سياسة المجموعة ، تحتاج إلى نقل الإعدادات إلى مجموعة الكمبيوتر في Active Directory حيث يمكنك تعيين الدليل لكل جهاز كمبيوتر في المجال. يمكنك أيضًا تعيين سياسات مجموعة محددة للمستخدمين الفرديين أو أجهزة الكمبيوتر فقط. الآن كل ما عليك فعله هو تنزيل سياسة المجموعة من الدليل النشط للتطبيق. سيتم تطبيق أي تغييرات على الدليل النشط تلقائيًا على الأنظمة الفردية.
