1. נכנסים אל חלונית ההפעלה
2. כותבים gpedit.msc ולוחצים אנטר

כעת מנווטים אל:

לכאן:

נקליק פעמיים על

בחלון שקפץ נסמן לכדלהלן (ניתן לבחור טווחי זמן אחרים כמובן):

לאחר מכן, יש לקליק פעמיים על End session when time limits are reached

יש לסמן Enabled וללחוץ עם OK

לאחר מכן נבצע gpupdate /force פעמיים בשרת

C:\>gpupdate /force
Updating policy...

Computer Policy update has completed successfully.
User Policy update has completed successfully.

לרוב אין צורך והשינוי הוא מיידי, אך במידת הצורך, מבצעים logout מהמשתמש, וריסטרט לשרת.

להלן הרשימה המלאה:

בהצלחה!

מתחילים:

ניגש אל חלונית ההפעלה ואז נכתוב gpedit.msc ואנטר:

בחלונית שנפתחה ננווט אל:

נלחץ פעמיים על Logon:

בחלונית שנפתחה נלחץ על Add:

בחלונית שנפתחה, נקליד s/ על מנת שהסקריט ייטען כ-silent

ולאחר מכן, על ידי לחיצה על “Browse” נופנה אל התיקיה הדיפולטיבית:

ננתב אל שם הקובץ Prevent write On Desktop.bat :

בוחרים את הקובץ ולוחצים Open, ופעמיים על OK לסיום.

לאחר מכן מבצעים gpupdate /force פעמיים בשרת

C:\>gpupdate /force
Updating policy...

Computer Policy update has completed successfully.
User Policy update has completed successfully.

במידת הצורך, מבצעים logout מהמשתמש וריסטרט לשרת.

בהצלחה!

ברמת המשתמש

ראשית יש לבדוק שיש אפשרות הגדרה של תאריך ושעה במחשב. בד”כ במחשב המחובר לדומיין יש חסימה היות והוא מסונכרן באופן תמידי מול השרת (זמן סנכרון 5 דקות).

במערכות הפעלה Windows 7/10 ניגשים לאפשרות הזו דרך קליק ימני על התאריך והשעה בשורת המשימות ואז על “שינוי תאריך/שעה”:

במידה והאפשרות מנוטרלת לכדלהלן:

הדבר קיים במחשבים דומיינים המריצים מערכות הפעלה 10. כאן נדרשת התערבות צד שרת ומספר הגדרות נוספות ברמת השרת.

ברמת השרת

1. יש לגשת אל ה-GPO Management בשרת שלנו כמפורט כאן:

בחלון שנפתח יש לנווט אל:

ושם להקליק פעמיים על Change the system time:

בחלון שנפתח יש לסמן את ה-v וללחוץ על ..Add User or Group

הוסיפו משתמשים ו/או קבוצות ולחצו על OK

בחלון הבא לחצו על OK

כעת לשלב הבא:

כדי לבטל אפשרות של סנכרון אוטומטי יש לגשת אל Regedit ולנווט אל:

או לחלופין להוריד את הקובץ הבא ולהפעיל (כמנהל) את ביטול הסנכרון האוטומטי.

במידה ורוצים להחזיר את המצב לקדמותו יש להוריד ולהפעיל את הקובץ הבא.

שלב אחרון:

לחצו בשרת על מקשי ה Windows+R וכתבו cmd ואנטר. בחלון שיפתח הכניסו gpupdate /force:

חזרו על פעולה זו שוב ולאחר מכן בצעו התנתקות מחשבון המשתמש ואתחול עמדות הקצה המדוברות.

אבטחת מידע- מכאן הכל מתחיל

אחד הדברים הבסיסיים בארגונים קטנים/בינוניים הוא הצורך באבטחת המידע, באמצעות הקשחה מתאימה וקלה היום, אפשר לחסוך כאבי ראש לעתיד.

לעתים קרובות אחד הדברים הראשונים שלא נאכפים או לא מופעלים הן ההגדרות ברמת הGPO.

אלו דברים שבארגון המכבד את עצמו הם מה שנקרא: “אלף בית של גימל דלת”.

גם אם חרב ה-GDPR לא מונפת על ראש ארגונכם, או אם תקן ISO ממש לא בראש מעיינותיכם, עדיין יש כאן אמירה קריטית באבטחת מידע. ניתן לקרוא כאן עוד על כללי ונהלי אבטחת מידע בארגון.

מתחילים עם Group Policy

בשרת שלנו יש כלי שנקרא Group Policy Management

מגיעים אליו דרך הקלקה על כפתור חלונות/התחל, ואז על Administrative Tools:

בחלון שנפתח נקליק על Group Policy Management:

חלון הGPO נראה כך:

פתחו את שם השרת (קליק על החץ משמאל לשם השרת), ובצעו קליק ימני על Default Domain Policy ואז על Edit:

בחלון שנפתח נווטו אל:

Computer Configuration – > Windows Settings -> Security Settings -> Account Policies -> Password Policy

כפי שניתן לראות ניתן לשנות כאן:

לאכוף את היסטוריית הסיסמאות

הגדרת אבטחה זו קובעת את מספר הסיסמאות החדשות שמשתמש יוכל ליצור, לפני שיוכל לחזור עליהן שוב. הערך חייב להיות בין 0 ל -24 סיסמאות.

מדיניות זו מאפשרת לאנשי IT לשפר את האבטחה על ידי הבטחת סיסמאות ישנות, על ידי מניעה מהמשתמשים לחזור עליהן שוב ושוב ברציפות.

הגדרת גיל סיסמה מירבי

הגדרת אבטחה זו קובעת את פרק הזמן (בימים) שניתן להשתמש בסיסמה לפני שהמערכת מחייבת את המשתמש לשנות אותה. אפשר להגדיר סיסמאות שיפוג תוקפן לאחר מספר ימים, בין 1 ל 999, או להגדיר שסיסמאות לעולם לא יפוגו- על ידי הגדרת מספר הימים ל 0.

אם גיל הסיסמה המרבי הוא בין 1 ל 999 ימים, גיל הסיסמה המינימלי חייב להיות פחות מגיל הסיסמה המרבי. אם גיל הסיסמה המרבי מוגדר כ-0, גיל הסיסמה המינימלי יכול להיות כל ערך בין 0 ל- 998 ימים.

גיל סיסמה מינימלי

הגדרת אבטחה זו קובעת את פרק הזמן (בימים) שיש להשתמש בסיסמה לפני שהמשתמש יכול לשנות אותה. אפשר להגדיר ערך בין 1 ל- 998 ימים, או להגדיר שינויים שיבוצעו מיד על ידי הגדרת מספר הימים ל-0.

גיל הסיסמא המינימלי חייב להיות פחות מגיל הסיסמה המרבי, אלא אם כן גיל הסיסמה המקסימלי מוגדר כ-0, מה שיוביל לכך שסיסמאות לעולם לא יפוגו.

כדאי לקבוע את גיל הסיסמה המינימלי כך שיהיה יותר מ-0 על מנת לאכוף את היסטוריית הסיסמאות. ללא גיל סיסמה מינימלי, משתמשים יכולים לעבור על סיסמאות שוב ושוב.

אורך סיסמה מינימלי

הגדרת אבטחה זו קובעת את מספר התווים הנמוך ביותר שסיסמת משתמש חייבת להכיל. הערך הוא בין 1 ל 14 תווים. תוכל גם לקבוע כי אין צורך בסיסמה על ידי הגדרת מספר התווים ל 0.

מורכבות סיסמה

אם מדיניות זו מופעלת, סיסמאות חייבות לעמוד בדרישות המינימום הבאות:

• אין להכניס שם פרטי או חלקים משמו המלא של המשתמש בסיסמה.
• על הסיסמה להיות בעלת 8 תווים לפחות.
• הסיסמה חייבת להכיל אותיות גדולות באנגלית (A עד Z)
• חייבת להכיל אותיות קטנות באנגלית (a עד z)
• חייבת להכיל ספרות (0 עד 9) לפחות.
• חייבת להכיל תווים מיוחדים (לדוגמה: ,!, $, #,%@).

אחסון סיסמאות באמצעות הצפנה הפוכה

מדיניות זו מספקת תמיכה ביישומים המשתמשים בפרוטוקולים הדורשים הכרת סיסמת המשתמש לצרכי אימות.

מדיניות זו נדרשת בעת שימוש באימות Challenge-Handhake Authentication Protocol (CHAP) באמצעות גישה מרחוק או שירותי אימות אינטרנט (IAS). זה נדרש גם בעת אימות Digest בשירותי מידע באינטרנט (IIS).
ברירת מחדל: מושבתת.

בהמשך נרחיב גם על מדיניות נעילת חשבונות משתמשים

בדיקות מקדימות

ראשית יש לבדוק לפי הרשימה הבאה מה אנחנו מפספסים:

1. שינוי מיקום- רוב הפעמים משתמשים גוררים בטעות את התיקיות לתיקיה אחרת. חיפוש פשוט יניב את התוצאות הברוכות.
2. הרשאות תיקיה (Security)- גם מסוג הדברים הנפוצים. שווה לבדוק אלו הרשאות באמת מקבל המשתמש בEffective permission (יובא מטה)
3. הרשאות שיתוף (Sharing)- בדומה לקודם, אם כי לא נפוץ במיוחד. שווה בדיקה.
4. שם התיקיה שונה- לעיתים שמות תיקיה משתנים, הדבר מתרחש גם בכל הקשור לשמות קבצים. אם לא מוצאים תיקיה מסוימת ניתן לחפש שמות קבצים שזוכרים לאחרונה שעבדנו עליהם.
5. אם לאחר כל זאת אין מוצא- השלב הבא הוא ניטור מחיקות על התיקיה בשרת.
6. לפעול לפי המדריך מטה לחסימת הרשאות מחיקה לעובדים.

יצירת ניטור מחיקות בשרת

ראשית ניגש לשרת שלנו. במקרה זה שרת Server 2012R2.

נלחץ על כפתור ההתחל (חלונות) במקלדת:

כעת נלחץ על Administrative Tools

בחלון הבא נרחיב את הרובריקה Domains:

לאחר מכן להרחיב את שם השרת שלנו, קליק ימני על קיצור הדרך של Default Domain Policy, ו-Edit

בחלון הבא יש להרחיב וללחוץ בהתאמה על:

ולהקליק פעמיים על Audit object access

בחלון שנפתח יש לסמן לפי הסימונים מטה ולחיצה על OK לאישור:

יש לסגור את חלון הGPM, ולפתוח חלון cmd ע”י לחיצה על כפתור התחל (חלונות) במקלדת + האות R. בחלון שנפתח יש לרשום cmd:

בחלון שנפתח יש לרשום: gpupdate /force

ואנטר. יש לחזור על הפקודה פעם נוספת. במידה והכרחי יש לבצע אתחול לשרת פעמיים.

הגדרת הרשאות לתיקיה

ניגש כעת לתיקיה (אנחנו בחרנו למשל בתיקיית BI_DB בכונן C) ובאמצעות קליק ימני על התיקיה ו-Properties נגדיר עליה הרשאות לכדלהלן:

ראשית ניצור הרשאות קריאה וכתיבה לקובץ. מופיע תחת הטאב Security ואז על Advanced:

בחלון שקפץ נוסיף את המשתמשים/קבוצות הרצויות ונכניס הרשאות קריאה וכתיבה.

את ההרשאות התקפות נוכל לראות דרך לחיצה על טאב Effective Permission, לחיצה על Select a user והקלדת שם המשתמש ו-OK:

הגדרות הניטור עצמו

לאחר מכן ניגש להגדרת הניטור עצמו. נלחץ על Auditing ואז על Add:

לחץ על Select a principal

בחלון הבא יש לכתוב את המשתמשים או הקבוצות שעליהם ברצונכם לבצע ניטור. לדוגמה Everyone ואז לחיצה על OK

כאן יש להוריד את הסימון מ-Read ולאחר מכן, בצד ימין ללחוץ על Show basic permissions

כאן יש לסמן את כל מה שקשור ל-Delete

נלחץ OK. זהו. יצרנו ניטור בהצלחה.

לאחר מכן ניצור קובץ בתוך התיקיה שלנו ונמחק אותו.

צפיה בLog של הניטור

כעת נחזור שנית אל תיקיית Administratoive Tools ונקליק על Event Viewer

בחלון הבא נפתח את:

Windows logs-> Security

כאן נוכל לראות למעשה את כל הפריטים הקשורים לSuccess ו-Failure

אם נרצה להיות ספציפיים לגבי קובץ מסוים נוכל להקליק קליק ימני על Security ואז על Find:

לחלופין ניתן להשתמש בכלי ייעודי חינמי לתקופה קצרה.

הכלי נקרא ManageEngine ADAudit Plus וניתן להורדה מכאן

תמונה של הכלי לאחר אקטוב Audit בשרת: