أفضل إعدادات Group Policy في ويندوز لتحسين الأمان و التحكم
إذا كنت ترغب في تغيير طريقة عمل ويندوز من خلال التحكم بشكل أكبر في الأمان أو تعطيل بعض الأشياء التي تُقدمها لك مايكروسوفت، فيمكنك القيام بذلك عن طريق تعديل إعدادات Group Policy. نعم، يمكنك أيضًا القيام بالشيء نفسه من محرر التسجيل “Registry Editor”، لكن Group Policy لها بعض المزايا الإضافية مثل أن Group Policy لن تتغير بعد تحديث ويندوز، على عكس التسجيل “Registry”. الأهم من ذلك، يمكنك إما تكوين Group Policy محليًا على نظامك أو جعل الدليل النشط “active directory” ينطبق على أنظمة متعددة في مجال عملك “domain”. لذا فإن هذا مفيد بشكل خاص للمكاتب والمدارس التي تعمل على أجهزة كمبيوتر ويندوز.
أفضل إعدادات Group Policy في ويندوز
قبل أن نبدأ، دعنا نفهم أن Group Policy هي أداة رسومية تتيح لك تحرير إعدادات نظام التشغيل الأصلية، وإعدادات Kernel، وما إلى ذلك. ومع ذلك، فإن تعديل Group Policy بطريقة خاطئة يمكن أن يتسبب في تعطل نظام التشغيل. لذا، إذا كنت ستجري أي تغييرات، فتأكد من تصدير القائمة قبل إجراء أي تغييرات.
كيفية الوصول إلى Group Policy
أحد أكبر محاذير Group Policy هو أنها متوفرة فقط على أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows Professional أو Education أو Enterprise Versions. على الرغم من أنك تستخدم Windows Home، فيمكنك الوصول إلى Group Policy لكن مع بعض الحلول البديلة، والتي سأشرحها أدناه.
للوصول إلى Group Policy، هناك طرق متعددة، إحدى أسهل الطرق هي فتح Command Prompt > اكتب “gpedit.msc” وانقر على Enter.
على الرغم من أن Group Policy ليست جزءًا من إصدارات Windows Home، فلا تزال هناك طريقة للوصول إليها. كل ما عليك فعله هو تثبيت Group Policy Editor من جهة خارجية عن طريق تنزيل ملف Batch هذا. افتحه كمسؤول، سيبدأ التثبيت في موجه الأوامر. سيستغرق التثبيت حوالي 2-3 دقائق. بمجرد انتهاء العملية، افتح موجه الأوامر مرة أخرى واكتب gpedit.msc للوصول إليه.
1. تعطيل تثبيت أي برنامج من بين أفضل إعدادات Group Policy في ويندوز
من خلال عدم السماح للمستخدمين بتثبيت برامج متنوعة، يمكنك تقليل مقدار الصيانة والتنظيف المطلوب عند تثبيت شيء سيئ لأنه أيضًا أحد الأسباب المحتملة للبرامج الضارة. وهذا مفيد بشكل خاص في المدارس، حيث تريد من الطلاب الوصول فقط إلى ما هو مطلوب.
إذا كنت ترغب في تقييد المستخدمين من تثبيت البرامج أو تشغيلها، يمكنك تعيين ذلك عن طريق فتح Group Policy > Navigate to Computer Configurations > Administrative Templates > Windows Components > Windows Installer وانقر نقرًا مزدوجًا فوق خيار Turn off Windows Installer. قم بتغيير الإعداد إلى enable “تمكين” وتأكد من أن الخيار يقول “For Non-managed applications only” “للتطبيقات غير المدارة فقط”، بحيث يمكنهم تثبيت جميع التطبيقات التي تسمح بها الإدارة. الآن انقر فوق Apply “تطبيق” وأعد تشغيل الكمبيوتر حتى تحدث التغييرات.
حظر تشغيل تطبيقات معينة
أفضل إعدادات Group Policy في ويندوز: إن حظر جميع التطبيقات للتثبيت هو أمر مبالغ فيه في العديد من المواقف. إذا كان كل ما تريده هو حظر عدد قليل من التطبيقات، فيمكنك إجراء هذه التغييرات على Group Policy.
افتح Group Policy > User Configuration > Administrative Templates > System وانقر نقرًا مزدوجًا فوق خيار Don’t run specified Windows applications. قم بتغيير الإعداد إلى enable “تمكين” وانقر فوق زر show “إظهار”. الآن يمكنك إدخال قائمة التطبيقات التي تريد حظرها للمستخدمين والنقر فوق ok “موافق”. الآن انقر فوق Apply “تطبيق” وأعد تشغيل النظام لتطبيق الإعدادات.
2. حظر الوصول إلى لوحة التحكم “Control Panel”
من المهم تعيين حدود للوحة التحكم “Control Panel” معظمها في بيئات العمل لأنها تمنحك التحكم في النظام بأكمله. يمكنك إما حظر الوصول بالكامل أو تقييد وصوله.
لحظر الوصول، افتح Group Policy > User Configuration > Administrative Templates > Control Panel > وانقر نقرًا مزدوجًا فوق Prohibit access to Control Panel and PC settings وانقر فوق enable “تمكين” و apply “تطبيق”. وسيتم تطبيق التغييرات على الفور.
إظهار عناصر لوحة التحكم المحددة فقط
تحظر العملية المذكورة أعلاه الوصول إلى لوحة التحكم بأكملها. لكن إذا كنت تبحث عن تقييد الاستخدام، فيمكنك القيام بذلك عن طريق فتح Group Policy > User Configuration > Administrative Templates > Control Panel > وانقر نقرًا مزدوجًا فوق Show only specified Control Panel items وانقر فوق enable “تمكين”. الآن انقر فوق خيار show “إظهار” لتحديد كل خيار لوحة تحكم لعرضه. إذا لم يكن موجودًا في هذه القائمة، فلن يظهر للمستخدم.
هذا يعني أنك ستحتاج إلى اختيار وكتابة كل عنصر من عناصر لوحة التحكم التي ترغب في تضمينها بعناية. يمكنك العثور على أسماء جميع عناصر لوحة التحكم على موقع مايكروسوفت على الويب.
3. تعطيل موجه الأوامر “Command Prompt”
لا شك أن موجه الأوامر “Command Prompt” مفيد للغاية وكابوس في نفس الوقت لأنه يمنح المستخدمين الفرصة لتشغيل الأوامر والبرامج التي لا تقصدها. يمكن أن تكون أيضًا أداة خطيرة في أيدي غير المتمرسين. هناك الكثير من الأسباب لتعطيل موجه الأوامر، ربما لديك أطفال يشاركون جهاز كمبيوتر عائلي أو تسمح للضيوف باستخدام جهاز الكمبيوتر الخاص بك عندما يقيمون معك. أو ربما تقوم بتشغيل جهاز كمبيوتر تجاري تحتاج إلى قفله.
للتعطيل، افتح Group Policy > User Configuration > Administrative Templates > System وانقر نقرًا مزدوجًا فوق خيار Prevent access to the command prompt. قم بتغيير Policy “السياسة” إلى enable “تمكين” و apply “تطبيق”. الآن تحتاج إلى إعادة تشغيل لتطبيق التغييرات.
4. تعطيل محرر سجل ويندوز “Windows Registry Editor” من بين أفضل إعدادات Group Policy في ويندوز
تمامًا مثل موجه الأوامر “Command Prompt”، فإن محرر التسجيل “Registry Editor” يمكنه كسر الأشياء وتجاوز قيود Group Policy القليلة. لذلك لحماية السياسة، يمكنك فتح Group Policy > User Configuration > Administrative Templates > System وانقر نقرًا مزدوجًا فوق Prevent access to registry editing tools وقم بتمكينه. الآن انقر فوق Apply “تطبيق” وأعد تشغيل الكمبيوتر لتطبيق التغييرات.
5. حظر محركات أقراص الوسائط القابلة للإزالة “Removable Media Drivers”
يمكن أن تكون أجهزة USB أو الأشكال الأخرى من أجهزة الوسائط القابلة للإزالة خطيرة على جهاز الكمبيوتر. إذا قام شخص ما عن طريق الخطأ أو عن قصد بتوصيل جهاز تخزين مصاب بفيروس، فقد يؤثر ذلك على جهاز الكمبيوتر أو حتى على domain “المجال”. عند تشغيل الكثير من أجهزة الكمبيوتر، فإن السماح لمحركات أقراص الوسائط يجعل من الصعب إدارة التخزين. يُستخدم حظر محركات أقراص الوسائط القابلة للإزالة بشكل شائع في العديد من المدارس والكليات.
لحظر محركات أقراص الوسائط، افتح Group Policy > User Configuration > Administrative Templates > System > Removable Storage Access وانقر نقرًا مزدوجًا فوق Removable Disks: Deny read access. الآن انقر فوق خيار enable “تمكين” و apply “تطبيق” لإيقاف تشغيل الكمبيوتر لقراءة برامج التشغيل الخارجية.
حظر خيار الكتابة “write option”
سيجعل الخيار أعلاه جهاز الكمبيوتر لا يقرأ الملفات الموجودة في الجهاز الخارجي فقط. لكن لا يزال بإمكانك نسخ الملفات إلى الجهاز الخارجي. إذا كنت ترغب في حماية الملفات، فأنت بحاجة إلى حظر خيار الكتابة أيضًا. يتم تنفيذ هذا بشكل شائع في بيئات العمل.
لحظر خيارات الكتابة، افتح Group Policy > User Configuration > Administrative Templates > System > Removable Storage Access وانقر نقرًا مزدوجًا فوق Removable Disks: Deny writes access. الآن قم بتمكين الخيار وحدد apply “تطبيق” لتطبيق التغييرات.
بدلاً من ذلك، يمكنك استخدام All Removable Storage classes: Deny all access لحظر خيارات القراءة والكتابة في نفس الوقت.
6. إخفاء محرك الأقراص “Partition Drive” من جهاز الكمبيوتر
إذا كانت هناك أي معلومات حساسة في الأنظمة، فقد ترغب في إخفائها عن المستخدمين المحددين للوصول إليها. يمكنك القيام بذلك من إعدادات Group Policy. لكن تذكر أن هذا الإعداد سيخفيه فقط من مستكشف الملفات “file explorer” وبعض التطبيقات الأخرى، ولكن لا يزال بإمكان الأشخاص الوصول إليه من موجه الأوامر “Command Prompt”.
على أي حال، يمكنك إخفاؤه عن طريق فتح Group Policy > User Configuration > Administrative Templates > Windows Components > Windows Explorer والنقر نقرًا مزدوجًا فوق Hiding these specified drives on My Computer وتحديد خيار enable “تمكين”. بمجرد التمكين، انقر فوق القائمة المنسدلة في لوحة Options “الخيارات” وحدد محركات الأقراص التي ترغب في إخفائها. ستتم إخفاء محركات الأقراص عند النقر فوق OK “موافق”.
7. زيادة الحد الأدنى لطول كلمة المرور “Password Length”
يبلغ طول كلمة مرور ويندوز الافتراضية 8 وتحتاج إلى استخدام حرف كبير واحد على الأقل وحرف صغير ورقم أو حرف خاص. إنه آمن بالفعل. لكن يمكنك تحسين الأمان عن طريق زيادة طول كلمة المرور. يمكنك تعيينها على 14 مع استخدام حرف كبير وحرف صغير ورقم أو حرف خاص.
يمكنك تغيير ذلك عن طريق فتح Group policy > Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy وانقر نقرًا مزدوجًا فوق سياسة Minimum password length وحدد قيمة للطول وانقر فوق OK “موافق” و apply “تطبيق”.
8. تتبع تسجيلات دخول الحساب “Account Logins”
باستخدام Group Policy، يمكنك إجبار ويندوز على تتبع جميع عمليات تسجيل الدخول الناجحة والفاشلة إلى جهاز الكمبيوتر. يمكنك تعيينه إما على جهاز كمبيوتر محدد أو مستخدم محدد. على أي حال، سيكون هذا مفيدًا لتتبع الأشخاص غير المصرح لهم الذين يحاولون تسجيل الدخول. يمكنك تمكينه عن طريق فتح Group Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy والنقر المزدوج على Audit logon events.
هنا حدد مربع الاختيار المجاور لخيارات “Success” و “Failure”. عند النقر فوق OK “موافق”، سيبدأ ويندوز في الاحتفاظ بسجل عمليات تسجيل الدخول التي تم إجراؤها على جهاز الكمبيوتر.
لعرض عمليات تسجيل الدخول هذه، افتح Run “تشغيل” وأدخل eventvwr لفتح Windows Event Viewer. الآن قم بتوسيع Windows Logs ثم حدد خيار Security. في اللوحة الوسطى، يمكنك إلقاء نظرة على جميع محاولات تسجيل الدخول. يمكنك إلقاء نظرة على الحساب الذي حاول تسجيل الدخول والتاريخ وكذلك الوقت. لكن محاولات النجاح والفشل مذكورة بالرمز.
9. تعطيل OneDrive
قد يعجبك OneDrive أو تكرهه تمامًا. إذا كنت أنت أو مؤسستك لا تستخدم OneDrive أو كنت ترغب فقط في إزالته من جهاز الكمبيوتر الخاص بك، فيمكنك القيام بذلك باستخدام Group Policy. افتح Group Policy > Computer Configuration > Administrative Templates > Windows Components > OneDrive وانقر نقرًا مزدوجًا فوق Prevent the usage of OneDrive for file storage. الآن قم بتمكينه وانقر فوق apply “تطبيق”. تحتاج إلى إعادة تشغيل جهاز الكمبيوتر لإجراء التغييرات.
10. إبقاء تغييرات Group Policy تحت السيطرة
على أي حال، يمكن عكس هذه التغييرات إلى الوضع الطبيعي باستخدام Group Policy بنفس الطريقة ولكن إعادة تعيينها إلى disable “تعطيل”. يمكنك البقاء مسؤولاً عن Group Policy باستخدام Group Policy Object Auditing. لمتابعة التغييرات التي تم إجراؤها في Group Policy Objects بشكل مستمر، جرّب Lepide Change Reporter.
الخلاصة
بمجرد الانتهاء من ضبط إعدادات Group Policy، تحتاج إلى نقل الإعدادات إلى مجموعة أجهزة الكمبيوتر في Active Directory حيث يمكنك تعيين الدليل لكل جهاز كمبيوتر في domain “المجال”. يمكنك أيضًا تعيين Group Policies محددة لمستخدمين أو أجهزة كمبيوتر فردية فقط. الآن كل ما عليك فعله هو تنزيل Group Policy من Active Directory للتطبيق. سيتم تطبيق أي تغييرات على Active Directory تلقائيًا على الأنظمة الفردية.
نتمنى أن يكون موضوع “أفضل إعدادات Group Policy في ويندوز”