GPOها سیمکشی امنیتی شبکه
تنظیم درست GPO مثل طراحی نقشه برق یه ساختمان حرفهایه
چی هست؟
Group Policy Object (GPO) یکی از کلیدیترین ابزارهای امنیتی در AD برای مدیریت تنظیمات کاربران و کامپیوترهاست—از اجرای اسکریپتها گرفته تا محدود کردن اپها، پورتها، سرویسها و کلی چیز دیگه.
اما:
تغییر مستقیم روی Default Domain Policy (DDP) یا Default Domain Controllers Policy (DDCP) = اشتباه مهلک!
چرا مهمه؟
DDP/DDCP مثل «زیرساخت اصلی» هستن، نه جای تنظیمات تستی یا دلخواه.
تغییر مستقیم = مثل بریدن کابل اصلی برق وسط پروژه؛ قابل برگشت نیست و کل دامنه رو ممکنه مختل کنه.
چطور GPOها رو اصولی تنظیم کنیم؟
| مورد | چرا؟ |
|---|---|
| GPO مجزا برای Workstation Baseline | تنظیم امنیتی پایه برای کلاینتها |
| GPO مجزا برای Server Baseline | جداسازی رولها و سیاستهای امنیتی سرورها |
| GPO مخصوص DC Baseline | محافظت اختصاصی برای Domain Controllers |
| استفاده از AppLocker یا WDAC | محدود کردن اجرای برنامههای ناشناس یا مشکوک |
| محدود کردن PowerShell به Constrained Language Mode | کاهش امکان سوءاستفاده مهاجمان از PS در کلاینتها |
🛑 اشتباهاتی که نباید مرتکب شی:
تنظیمات امنیتی مختلف توی همون DDP انجام بدی
GPO عمومی بنویسی و رو همه OUها اعمال کنی بدون فیلتر
Policyهای Server و Workstation رو قاطی بچینی
PowerShell رو آزاد بذاری روی کلاینتها
🔧 اقدامات عملی پیشنهادی:
۱. ایجاد GPOهای تفکیکشده:
GPO-Workstation-BaselineGPO-Server-BaselineGPO-DC-Baseline
همه اینها باید فقط روی OU مربوط به خودشون لینک بشن.
۲. فعالسازی AppLocker یا WDAC:
New-AppLockerPolicy -RuleType All -User “Everyone” -Path “C:\Path\To\AllowedApps” -OutputXml “C:\policy.xml”
یا از WDAC با SCCM/Intune پیادهسازی کن.
۳. محدودسازی PowerShell در کلاینتها:
فقط PowerShell Constrained Mode مجاز باشه.
اجرای PS Remoting غیرفعال باشه مگر برای مدیرها.
توصیه: با WDAC اجراهای کامل رو قفل کن.
💡 نکته حرفهای:
همهچی رو با OUبندی هوشمند جلو ببر. یعنی:
یک OU برای کلاینتها
یک OU برای سرورها
یک OU برای DCها
و GPOهای مربوطه فقط به همون OUها لینک بشن.
📌 نتیجه:
با این ساختار، هم امنیتت میره بالا، هم مدیریت GPOها سادهتر و قابل ردیابی میشه. و از همه مهمتر، DDP و DC Policy سالم و بدون دستکاری باقی میمونه—مثل نقشه اصلی سیمکشی برق که فقط باید دست معمار اصلی باشه.