سنتعلم اليوم في هذا الدرس كيفية تطبيق الأمن في نظامنا وحمايته . كحماية سطح المكتب والخدمات ومراقبة الدخول إلى النظام وغيره مما تحتاجه . .
لذلك عليك بمتابعة الشرح فالدرس بسيط جدا ..

- - - - - - - - - - - - - - - - - - - - -




تطبق السياسة الأمنية بطريقتين :
1- Local System Policy : تطبيق على جهاز منفرد وتأثيرها على نفس الجهاز فقط ولا تستخدم ال ACTIVE DIRCTORY .
2- Group Policy : تطبق على ال Domain وتأثيرها على جميع الأجهزة في ال Domain .

أما الآن كيفية الوصول إلى هذه الخيارات الأمنية وكيفيةالتعامل معها :
اذهب الى start -----program-----administrator tools ----Local security .
اذهب الى الخيار التالي :




قبل أن نشرح كل خيار إليك هذا الجدول الذي يوضح عمل كل خاصية بالترتيب من اول خيار الى الى خيار ولا بأس بتغير الأسماء في الجدول كالتالي :
Account LOGON
فحص حسابات المستخدميين
Account Management
إنشاء.تغيير إسم.تغيير كلمة سر.تجميدDisabled تفعيل Enable أو حذف خاص بحسابات المستخدميين
Dirctory Service Access
تسجل الدخول إلى الكائنات Objects في الدليل النشط
Logon
تسجل الدخول والخروج Logon on و Logon off في الحاسب المحلي
Object Access
تسجل الدخول في الملفات والمجلدات والطابعات
Policy Change
تسجل أي تغيير في خيارات المستخدم الأمنية أو حقوقه User Right
Privileg Use
تسجل إستخدام المستخدم لحقوقه user right أو إذا أخذ المدير ملكية الملف takes Ownership
Process Tracking
تسجل أداء التطبيقات لأي حدث ( خاص للمبرمجين)
System
تسجل تشغيل المستخدم للحاسب أو إغلاقه أو أي حدث يؤثر على أمن windows 2000
هذا الجدول يوضح عمل كل خيار من الخيارات التي في الشكل السابق وسوف نطبق بعض منها . . .
كمثال الخيار الأول
Account LOGON
تريد أن تعرف من هم المستخدميين الذين قد تم دخولهم الى حساباتهم ويعطيك الوقت والتاريخ .
المثال الثاني للخيارالثاني :
Account Management
يظهر لك إن كان احد قد غير كلمة المرور الخاصة به او حذف بعض الحسابات فهذا الخيار كالمدير ينوب عنك ويخبرك بكل إجراء تم عمله في غيابك ويسجله لك ما عليكسوا مراجعة السجلات .
والجدول يوضح لك العمليات جميعها وهي واضحة لكم ....
وللمعلومية فقط : فإن تفعيل الكثير مثل هذه الخيارات يبطيء عمل الجهاز لذلك لا تستخدمه إلى إن كنت في أقصى الحاجة إليه .
هذه بعض الخيارات التي قمت بشرحها وتجدها في عارض الأحداث دائما . .
- - - - - - - - - - -



*يوفر Windows 2000 طريقة مركزية لتعريف الآمان بواسطة الأداة الإضافية ( قالب الآمن ) .
*يتم حفظ كل قالب أمن على أنه ملف مستند من نوع .inf .
* يمكنك من نسخ أو لصق أو تصدير أو إستيراد بعض سمات القالب أو جميعها .
ويوجد 4 أنواع من هذه القواالب :
Basic: تعرف المستوى الافتراضي لويندوز 2000 وتحتوي على :
*Workstation
* Server (basicv.inf)
*Domain Controller (Basic.inf)
2
Compatible :
* تعطي مستوى أعلى من الحماية لكن تبقى تضمن من ان جميع خصائص التطبيقات التجارية سوف تعمل وهي ال Workstation ولل Server فقط (compatws.inf) .
3
Secure : تعطي مستوى إضافي من الحماية ولكن لا تثق في جميع الخصائص التجارية والتطبيقات التجارية وتضم ما يلي :
*Workstation or Server (securews.inf)
*Domain Controller (securedc.inf)
4
*High تجبر وتضمن الحماية العظمى في ويندوز 2000 بدون اي اعتبار لعمل او عدم عمل التطبيقات وتضم ما يلي :
*Workstation or Server (hisedws.inf)
*Domain Controller (hisecd.inf)
وإليك توضيح بالصور على هذه القوالب وكيفية الوصول إليها :
أذهب الى start -------run------mmc
أكتب MMC في خيار التشغيل ليظهر لك التالي :




أما الآن نريد أن نضيف قالب آمن جديد لنعمل على التالي :



اختر الخيار المحدد لك ليظهر لك التالي :



اضغط على ADD لنضسف بعض القوالب ليظهر التالي :



نختار هاذين القالبين ومن ثم نضغط على ADD ليظهر التالي :




يمكنك إضافة خيارات أخرى ولكن نحن اخترنا هاذين الخيارين لأهميتهم ولكي يستطيع الجميع فهمها وباقي الخيارات بمجرد إضافتهم ستعرف ما عملهم . ولكن اخترنا لكم الأفضل والأسهل لكي تطبيقه على أي جهاز آخر . . .



نضغط OK للحفظ . .



ستجد أن القوالب اضيفت الى اللائحة . .
ومن ثم نريد أن نحفظها كما موضح لك ليظهر التالي :



احفظها على أي اسم على سطح المكتب . . .
أما الآن أقفل اللائحة ومن ثم اضغط على القالب الذي حفظناها إلى سطح المكتب ....
ليظهر التالي :



كما تلاحظ نفس القوالب المضافة وجودة في اللائحة . . .
والآن تستطيع التحكم بالمستخدميين جميعهم من دون أن تذهب الى حساباتهم وتعطيهم الصلاحيات المناسبة أن تتسطيع ان تتحكم بصلاحياتهم من نفس حسابك طبعا يجب أن يكون لديك صلاحية لذلك او المدير قد أعطاك الصلاحية لذلك administrator وغيره. لذلك نستطيع التحكم والآن . اكمل عملك بالتالي :
اذهب الى الخيار التالي :



كمثال : هذا الخيار تابع لخيار Local Policy :
تطبق على الأجهزة محليا تمنح المستخدميين الحقوق والصلاحيات وخيارات أمنية مختلفة يتم إعدادها محليا
تستطع معرفة من هو الذي يدخل الجهاز وما هي الحسابات التي تم الدخول إليها في غيابك ولكن عليك تحديد التالي اضغط مزدوج على الخيار ليظهر لك التالي :



يجب عليك تحديد الخيار الأول لتفعيل الخيار .
Success : نجاح عملية الدخول .
Failure : فشل عملية الدخول .
إن حددتها سيظهر لك في عارض الأحداث كل ما يدور في جهازك في غيابك وهذا الخيار خاص لمعرفة عمليات الفشل والنجاح للدخول للنظام او لمستخدم ما . . .
مثال آخر :



عند تحديد هذا الخيار لعمليات الفشل والنجاح . .
تستطيع معرفة الكثير أمثلة لذلك :
حذف او تغيير او إضافة مجموعة جديدة او مستخدميين تستطيع معرفة ذلك .
وايضا : تفعيل وتعطيل حسابات المستخدميين .
وأيضا : وضع كلمات المرور للمستخدمين وللمجموعات وغيره .
هذا إن حددت الخيار الموضح لك . .
هذه بعض الأمثلة وسوف نتوسع بهذا الموضوع لأهميته وزيادة عن كتاب Microsoft والذي يوضح لك فقط بعض الخيارات ولكن سأعطيك الكثير من الخيارات كي تتعلم عليها ولكن عليك بالتنفيذ .
- - - - - - - - - - - - - - - - - - - - - -
إليك توضيح لبعض الخيارات الموجودة في القوالب الأمنية



Account Policies
لتشكيل وإعداد سياسات كتابة كلمة سر وسياسات غلق الحساب
Local Policies
تطبق على الأجهزة محليا تمنح المستخدميين الحقوق والصلاحيات وخيارات أمنية مختلفة يتم إعدادها محليا
Public Key Policies
لإعداد وكيل إسترجاع البيانات المشفرة والمصادر للشهادات الموثوقة
IPSec Policies
لإعداد IPSec
Event Log
لإعداد الحجم والوصول وعوامل الحفظ في سجل الأحداث Event Log
Restricted group
لإدارة العضوية في المجموعات المعرفة بشكل تلقائي والتي لها صلاحيات محددة مثل Administrator
System Services
لتشكيل الحماية وبدأ الخدمات التي تعمل علىالجهاز
Register
لإعداد الحماية على مفاتيح السجل
File System
لإعداد الحماية على مسار الملف
كيفية الوصول إلى هذه الخيارات :
عليك أولا وقبل أي شيء إضافة التالي :
لنبدأ من جديد وهي نفس الصور في أول الشرح كالتالي :
نذهب الى START---RUN----MMC
ليظهر التالي :



ومن ثم راجع الصور الأأولى للشرح لتجد أننا اضفنا قالبيين كما التالي :



نضغط مزدوج على الخيار SECURITY TEMPLATES ليظهر التالي :



نضغظ بزر الفارة الأيمن على المجلد الذي ظهرلنا ومن ثم نعمل على إضافة قلب آمان جديد كما موضلك ليظهر التالي



اكتب في الخيار الأول إسم القالب . . اكتب ما تريد
وفي الخيار الثاني اكتب الوصف ومم ثم اضغط على OK ليظهر التالي :/



اضغط على الإسم الذي أضفته مرتين ليظهر لك التالي :



هذه هي الخيارات المشروحة في الجدول . والجدول يوضح عمل كل منها وهذا فقط ما ذكر في الكتاب ولكن سنأخذ أمثلة لكل خيار إن شاء الله . . .
لنبدا بالخيارالأول Account Policies راجع الجدول لتعرف ما هو عمله نضغط مرتين على الخيار ليظهرلنا التالي :



يوجد 3 خيارات منها :
1- سياسة كلمات المرور .
لنبدأ به اضغط عليه لنرى خياراته كالتالي :



كما ترى جميعها خيارات متعلقة بكلمات المرور . . .
الخيار الأول ومعناه :
ُتمكّنُ هذه السياسةِ المدراءَ لتَحسين الأمنِ بالضمان بأنّ كلماتَ سر قديمةَ لَمْ تُستَعملْ ثانية بشكل مستمر.
الخيار الثاني :
هذا الخيار يوضح لك صلاحية كلمة السرالخاصة للمستخدم . .
كمثال : مدير الشبكة لدية شبكة كبيرة ويخاف على معلوماته وقاعدة بياناته الضخمة من السياسات الرائعة لهذا المدير بأن يضع لكم وقتا معين لتغيير جميع كلمات المرور الخاصة للدخول للحسابات فإن وضع لكم يومين منذ الآن بعد يومين سيطالبك النظام بوضع كلمة مرور جديد لك وهكذا الحال كمثالاضغط مزدوج على الخيار الثاني ليظهرلك التالي :



كما ترى تستطيع تحديد عدد الأيام لإنتهاء صلاحيات كلمات المرور الخاصة للمستخدم او للضيوف وغيره .
طبعا الخيار غير مفعل بالأساس لذلك يعطيك صلاحيات لا تنتهي . .
الخيارالثالث :
تستطيع تحديد عدد أيام إستخدام كلمة المرور للمستخدم من 1 إلى 999 يوم .
لننتقل الى خيار اخر كما التالي :



الآن نختار الخيار الثاني وهو Account Lockout Policy ليظهر لنا التالي :
يتكون من 3 خيارات كالتالي : وكما ذكرنا في السابق بأن جميع هذه الخيارات خاصة بكلمات وإداراة كلمات المرور .



يتكون الخيار من 3 خيارات .
الخيار الأول معناه :
هذا الخيار رائع تستطيع من خلاله تحديد شرط إجباري لجميع المستخدميين على جهازك بأن تحدد لهم وقت معين للإتصال او لعدد المحاولات الفاشلة للإتصال بالأنترنت وإن تعدا الوقت ذلك يقفل الإتصال ولا يستطيع الإتصال إلا بأمرمن المدير .
والخيارات الباقية مشابهة للخيار السابق مع إختلاف بسيط . . .
ننتقل للخيار الثالث كالتالي :



Kerberos Policy ليظهر التالي :



خيارات اخرى للآمان لا استعملها كثيرا . .
أنتهينا من خيارات الخيار السابق وهو Account Policies . .
- - - - - - - - - - - - - - - - - - - - - -
خيار جديد وهو :
Local Policies
تطبق على الأجهزة محليا تمنح المستخدميين الحقوق والصلاحيات وخيارات أمنية مختلفة يتم إعدادها محليا
لنأخذ أمثلة صغيره عليها كالتالي :
تتكون من 3 خيارات هي كالتالي :



لنبدا بالخيار الأول اضغط مزدوج ليظهر التالي :



لقد شرحناها سابقا راجع الشح الذي في الأعلى .
الخيار الثاني :



نضغط مرتين على الخيار ليظهرالتالي :



يوجد الكثير من الخيارات وسأشرح لكم خيارات قليلة فقط كالتالي:
الخيار الأول وهو :
Access this computer from the network

تستطيع منع المستخدميين من الدخول إلى الشبكة ( الانترنت) ما عليك سوا النقر مزدوج على الخيار ليظهر لك التالي :



1- يجب عليك لتفعيل الخيارتحديد هذا الخيار .
2- اضغط هنا لتحديد اسماء المستخدميين او المجموعات التي تريد منعها اليوم من الدخول إلى الشبكة .
3- احذف المجموعة التي منعتها من الدخول إلى الشبكة اليوم .
4- اضغط هنا لحفظ الخيارات .
خيار اخر كالتالي وهو :
Back up files and directories




وظيفته :
Traverse Folder/Execute File
List Folder/Read Data
Read Attributes
Read Extended Attributes
Read Permissions
حميع هذه الصلاحيات تستطيع إعطائها للمستخدم او المجموعة التي تحددها منها قراءى الصلاحيات أي كل صلاحية لمن وعمل النسخ الإحتياطية و قراءة البيانات والوقائم وغيره كما موضح لك . .
يوجد أيضا خيار اسمه change system time :
تستطيع من خلاله منح المستخدمين او مجموعات معينة التعديل على ساعة النظام .
عموما لكثيرة الخيارات سأعطيك طريقة لكي تعمل على فهمجميع هذه الخيارات لذلك إعمل على التالي :



نذهب لقائمة المساعدة لنرى وصف هذا الخيار . .
ليظهر التالي :



اختر الخيار الموضح لك .



لائحة الخيارات .
نخن الآن في خيار LOCAL POLICIES ليظهر التالي :



اختر الخيار الذي تريده .



هنا تجد وصف لجميع الخيارات التي تريد معرفتها ما عليك سوا تحديدها . .
وإن كنت لا تعرف في اللغة الإنجليزية سوا القليل أو لغتك الإنجليزية عادية جدا عليك أن تحمل برامج الترجمة كالوافي الذهبي كمثال وترجمة الكلام وفهم الخيار فقط .
- - - - - - - - - - - - - - -
ننتقل للخيار الأخير وشرح بعض خصائصه كالتالي :



بقي لدينا Security Option الخيار الأخير نضغط عليه لنرى التالي للتذكير مره اخرى هذه الخيارات خاصة للآمان ) . .



هذه خياراته لنبدأ بشرح بعض منها :
الخيار الأول خاص لحساب المدير Administrator وهو دائما مفعل وتستطيع تعطيله من هنا او من قائمة المستخدميين .
الخيار الثاني :
Accounts: Guest account status
خاص أيضا لتعطيل وتفعيل حساب الضيف Guest .
الخيار الثالث :
Accounts: Limit local account use of blank passwords to console logon only

هذا الخيار خاص لوضع كلمات المرور لحسابات المستخدمي هل تريد تفعيلها . طبعا هذه الخيارات الثلاثة مفعله في الأساس .
خيار اخر :
Rename guest account
كما تعلمون يوجد لدينا حساب guest أي الضيف ولا تستطكيع تغيير اسمه . وإن كنت تريد تغيير الإسم لإسم اخر تستطيع ذلك من خلال هذا الخيار ما عليك سوا النقر مزدوج على الخيار ومن ثم وضع الإسم الجديد له . .
خيار اخر ومهم وهو :
Restrict CD-ROM access to locally logged-on user only

تستطيع من خلال هذا الخيار إخفاء ال cd-rom عن حسابات المستخدمين . فعل هذا الخيار لكي تستطيع ذلك .
يوجد خيار اخر مهم أيضا وهو :
Devices: Prevent users from installing printer drivers

هذا الخيار مفعل دائما وهو يسمح لجميع المستخدمين أن يطبعون من خلال الطابعة التي لديك . وإن كنت لا تريد ذلك فعل الخيار إلى تعطيل لكي لا يستطيع لأحد من المستخدمين أن يطبعوا سوا المدير الذي هو ان تadministrator وأيضا ال power user فقط .
خيار اخر :
Devices: Restrict floppy access to locally logged-on user only
هذا الخيار تستطيع من خلاله أيضا إخاء أو لا يستطيعون المستخدمي إستخدام ال floppy disk طبعا هذا في حالة فعلت هذا الخيار لن يستطيعوا قراءة أقراصهم المرنة .
هذه بعض الخيارات التي قمت بشرحها لكم والباقي عليكم . .
- - - - - - - - - - - - - - -
لقد انتهينا الآن من خيار Local Policies بالكامل مع توضيح أمكثلة لكل خيار وكما ترى عملية طويلة جدا ولكنها سهلة ومفيدة جدا لتحقيق الأمن في نظامك .
- - - - - - - - - - - -
ننتقل الى خيار



لنرى خياراته كالتالي :



هذه الخيارات كلها توجد في خيار عارض الأحداث والذي شرحناه في الفصول السابقة .
الخيار الأول : حجم التقارير الأقصى للتطبيقات : لقد قلنا بأن أي تطبيق يفتح لدينا تجده في عارض الأحداث الذي يسجل كل عملية قمت بها وطبعا هذه الأحجام تتزايد بحسب كلما تدخل على التطبيقات يسجل بأنك قد دخلت الى التطبيق الذي هو . . . .الخ
من هنا تحدد الحجم الذي تريده .
الخيار الثاني :
Maximum security log size
ايضا يحدد الحجم الأقصى لتقارير الآمان . حدد الحجم الذي تريده .
الخيار الثالث :
Maximum system log size
يحدد لك أيضا الحد الأقصى لتقارير النظام .
الخيار الرابع :
Prevent local guests group from accessing application log
عند تفعيل هذا الخيار تمنع المستخدم guest من الدخول لعارض الأحداث لخيار application log لكي لا يحذف التقارير التي تريد أنت المدير رؤيتها .
الخيار الخامس :
Prevent local guests group from accessing security log
عند تفعيل هذا الخيار تمنع المستخدم guest من الدخول لعارض الأحداث لخيار security log لكي لا يحذف التقارير التي تريد أنت المدير رؤيتها .
الخيار السادس :
Prevent local guests group from accessing system log
عند تفعيل هذا الخيار تمنع المستخدم guest من الدخول لعارض الأحداث لخيار system log لكي لا يحذف التقارير التي تريد أنت المدير رؤيتها .
الخيار السابع :
Retain application log
تستطيع تحديد عدد الأيام التي ستبقى السجلات محفوظة حتى وبعد تعديها الحدالأقصى في عارض الاحداث للتطبيقات . لكي تستطيع رؤيتها في أي وقت آخر .
والباقي عليك . .
- - - - - - -
انتهينا من هذا الخيار Event Log أما الآن باقي الخيارات جميعها موجودة في خيارات المستخدمين والمجموعات لذلك سنشرحها إن انتهينا من هذه السلسلة في محاضرة خاصة لأهم الأشياء التي في الكتاب . . .
- - - - - - - - - - - - - - - - - -



يتضمن أمان الكمبيوتر استخدام كلمات مرور معقدة لتسجيل الدخول إلى شبكة الاتصال وإلى حساب Administrator على الكمبيوتر الخاص بك . .
لكي تجعل كلمة المرور معقدة وقوية للجميع عليك بإتباع التالي :
أن يكون فيها على الأقل حرف رمز واحد .
أن تكون مختلفة كثيراً عن كلمات المرور المألوفة للجميع.
أن لا تتضمن اسمك أو اسم المستخدم.
أن لا تكون كلمة شائعة أو اسماً شائعاً.
- - - - - - - -
النصائح العامة لكل مستخدم شكبة :
لا تكتب أبداً كلمة المرور الخاصة بك (على ورقة مثلاً).
لا تشارك كلمة المرور الخاصة بك مع أي شخص آخر.
لا تستخدم كلمة المرور الخاصة بتسجيل دخولك إلى شبكة الاتصال لأي غرض آخر.
استخدم كلمات مرور مختلفة لتسجيل دخولك إلى شبكة الاتصال وإلى حساب المسؤول على الكمبيوتر الخاص بك.
غيّر كلمة المرور إلى شبكة الاتصال كل 30 إلى 60 يوماً أو كما هو مطلوب في البيئة الخاصة بك.
غيّر كلمة المرور مباشرةً إذا أعتقدت أنه تم اكتشافها.
- - - - - - - - - - - - - - -

ماذا نستفيد من هذا الباب ؟
إذ حقا أنت قد أستطعت فهم كل شيء في هذا الباب تكون قد حققت الأمن الكامل لشبكة وندوز وللشبكة الخاصة بك . وأيضا تكون قد عرفت جميع الخيارات والصلاحيات التي تود معرفتها منذ فتره وكيف تتحكم بها . والهدف الأكبر من هذا الدرس أنك تستطيع حفظ هذه الخيار كما شرحت لكم في اول هذه المحاظرة على كيفية الدخول والحفظ ووضع الخيارات ومن ثم تنقلها إلى أي جهاز في الشبكة وبنفس الخيارات . . .
الآن نستطيع أن نقول بأنك حققت الأمن لشبكة windows 2000 ويعتمد عليك ..
هذا كل ما يتعلق في هذا الباب وهو الباب التاسع . ومعلومات مهمة للجميع

__________________