آموزش VmWare Workstation 8 (مجازی سازی)

نصب لینوکس redhat enterprise 6 به صورت مجازی و در حالت Default مربوط به vmware 8 یعنی easy setup

بخش اول آموزش VmWare Workstation 8 : step 1 :خوب ابتدا در صفحه ی Home که هستیم گزینه ی Creat a new virtual machine رو انتخاب می کنیم مطابق شکل :

step 2 : مطابق شکل گزینه Custom برای تنظیمات کامل انتخاب می کنیم

step 3 : در این بخش با انتخاب گزینه اول مشخص می کنیم که سیستم عامل مجازی خودمون رو می خوایم از روی DVD نصب کنیم

step 4 : معمولا اگر DVD شما bootable باشه و مشکلی نداشته باشه توی vmware 8 این صفحه رو دیگه نمی بینید و خودش سیستم عامل و ورژن و ... رو شناسایی می کنه و می ره مرحله بعدی ، اما اگر انتخاب نکرد خودتون مثل من به صورت دستی سیستم عاملی که دارید نصب می کنید رو معرفی کنید

step 5 : این قسمت زیاد مهم نیست ، فقط از شما اسمی که قراره توی VmWare بهتون نشون داده بشه رو می پرسه توی سطر اول و location هم محلی هست که کلیه فایل های مربوط به این سیستم عاملتون اونجا ذخیره می شن

Step 6 : در اینجا شما میزان حداکثر RAM ی که می خواید به سیستم عاملتون اختصاص داده بشه مشخص می کنید مثلا می گید این ردهتی که دارم نصب می کنم حداکثر بتونه 1 گیگ از رم سیستم اصلی رو استفاده و اشغال کنه

step 7 : توی این بخش تعداد هسته های CPU که می خواید در اختیار سیستم عامل باشه رو مشخص می کنید

Step 8 : و اما یک بخش مهم که در بخش بعدی آموزش بهش می پردازیم و من در اینجا فعلا دو گزینه اول رو توضیح می دم :

اینجا شما مشخص می کنید ارتباط سیستم عامل مجازیتون با سیستم عامل اصلی که دارید حالا ویندوز ، اوبونتو یا هرچیز دیگه ای چه جوری باشه اگر که :

1.use bridge networking رو انتخاب کنید ، مثل این می مونه که این سیستم عامل مجازی دقیقا توی شبکه محلیتون هست ، فرض کنید داخل یک کافی نت با 10 سیستم هستید و روی یکی از سیستم ها ویندوز مجازی نصب کردید و کارت شبکش رو در حالت bridge گذاشتید ، اون وقت همه ی سیستم های اون کافی نت در صورت شبکه بودن با سیستم ما می تونن اون سیستم عامل مجازی ما رو هم دقیقا همونطور که بقیه سیستم های کافی نت رو می بینن ، ببینن

2.NAT : اگر در حالت NAT بذاریمش ، سیستم عامل مجازی و اصلی در حالت NAT : Network Address Translation با هم ارتباط برقرار می کنن و هیچ گونه ارتباطی بین سیستم عامل محازی با بقیه سیستم های کافی نت در حالت عادی نمی تونه باشه ...
step 9 : اینجا هم نوع ورودی خروجیتون رو مشخص می کنید که می خواید در حالت اسکازی باشه یا IDE ، روی حالت Default ش می تونید استفاده کنید

Step 10 : و اما یک بخش بسیار مهم ، در این بخش دو حالت اول رو بررسی می کنیم و می گم که چی هستن :

حالت 1 : اگر این گزینه رو انتخاب کنیم بعد از نصب OS مون ، یک فایلی با پسوند VMDK ساخته می شه ( محل ذخیره شدنش رو توی step 13 خواهید دید ) که حاوی کلیه تنظیمات و فایل های OS مجازیمون هست ،

حالت 2 : اگر که ما از قبل یک فایل VMDK که قبلا توسط خودمون یا حتی شخص دیگه ای با سیستم دیگه ای ساخته شده باشه داشته باشیم می تونیم به جای اینکه از DVD برای نصب OS استفاده کنیم ، از این فایل استفاده کنیم ، که در سری بعدی آموزش ، نصب از طریق فایل vmdk که رسیدیم دقیقا می گم چه جوری هست.
step 11 : توی مرحله 11 نوع اتصال هارتون رو مشخص می کنید که به صورت IDE یا SCSI باشه .

Step 12 : اینجا مشخص می کنید که OS مجازیتون چه میزان فضا برای کار داشته باشه ، در بخش اول می تونید بگید مثلا 40 گیگ فضا در اختیار داشته باشه این دیگه بستگی به نیاز و کارتون داره

Allocate all disc space now : این گزینه اگر مثلا 50 گیگ انتخاب کنید برای OS مجازیتون، همه رو همون موقع براش جدا می کنه از هاردتون و بهش اختصاص می ده (نکته : اون میزان فضای خالی یکجا باید روی دیسکتون موجود باشه)

store virtual as a single : همه فایل ها رو یکجا در یک فضای مختص ذخیره می کنه

spilit : فایل های مربوط به OS مجازیتون رو تیکه تیکه و بعد ذخیره می کنه (توی حجم های بالا باعث افت کارایی می شه)

step 13 : الوعده وفا ، همونطور که توی مرحله 10 گفتم اینجا مشخص می کنید که فایل vmdk کجا ذخیره بشه :

Final Step :

بعد از مرحله 13 خلاصه ای از تنظیمات بهتون نشون داده می شه و بعد از Next کردن کار نصب از روی DVD شروع می شه

نکته ی بسیار مهم در مورد vmware 8 و این روش از نصب اینه که همونطور که ابتدا گفتم در مود easy setup هستیم ، یعنی در طی فرایند نصب همه تنظیمات به صورت اتوماتیک انجام می شه ، از ساخت یوزر نیم گرفته تا تاریخ و پارتیشن بندی و ...

خوب به همین راحتی و به همین خوش مزگی OS مجازیتون آماده استفاده هست و می تونید حالش و ببیرید ، منم برم استراحت کنم که چشام درومد ، (ناز می کنم توجه نکنید )

شبکه کردن os مجازی و os واقعیمون :

NAT : مخفف Network Address Translation هست حالا یعنی چی

همونطور که می دونید اغلب ما از IP های private استفاده می کنیم که توی محیط اینترنت این IP ها نمی تونن استفاده بشن ، راه حل این موضوع NAT هست برای وقتی که می خوایم از شبکه محلیمون به اینترنت دسترسی داشته باشیم ،

ما بستمون رو با Source Address خودمون به سمت روتر می فرستیم ، وقتی روتر می بینه بسته مقصدش یه جایی توی اینترنت هست میاد Source Address بسته رو عوض می کنه و IP Address خودش که یک Public IP هست رو جایگزین می کنه ، بنابرین بستمون در سطح اینترنت Route می شه و به مقصد می رسه و وقتی برمی گرده سمت روتر destination address رو که IP روتر بوده عوض می کنه و IP ما رو به عنوان تحویل گیرنده بسته جایگزینش می کنه

ارتباط NAT یک طرفه هست و برای ارتباط برقرار کردن یک طرفه بین دو شبکه ی خصوصی هم می توه استفاده بشه (مثلا ارتباط برقرار کردن بین شبکه 192.168.1.0/24 و شبکه 192.168.11.0/24

NAT ی که توی VmWare برای ایجاد ارتباط بین os مجازی و اصلیمون انجام می شه هم منطق کاریش همینطور هست

و اما Bridge در VmWare : اگر حالت کارت شبکه VmWare رو در حالت Bridge بگذاریم ، دقیقا مثل این می مونه که سیستم عامل مجازیمون رو وارد شبکه Local کرده باشیم

مثلا در نظر بگیرید یک کافی نت داریم ، با 20 کلاینت ،اگر روی یکی از سیستم ها یک ویندوز روی VmWare نصب کنیم و حالت کارت شبکش رو روی Bridge قرار بدیم هر 20 کلاینت می تونن به عنوان 21 مین کلاینت اون رو ببینن توی شبکه . ..

این بود مفاهیم لازم حالا بریم سراغ انجام کار

مطابق شکل ابتدا حالت NAT رو می خوایم انجام بدیم ، ابتدا باید کارت شبکه os مجازیمون رو روی حالت NAT بذاریم که راه های مختلفی از قرار زیر داره :

روش اول انتخاب حالت NAT یا Bridge :

وقتی که سیستم عامل در حالت power off قرار داره از روش زیر استفاده می کنیم

روش دوم انتخاب حالت NAT و Bridge :
وقتی که سیستم عامل مجازیمون در حالت روشن هست و درحال استفاده ازون هستیم به روش زیر عمل می کنیم :

خوب حالا از همه اینا مهم تر ، فرض می کنیم که ما به سیستم عاملمون IP دادیم مثلا توی رنج 192.168.1.1

وقتی که ما VmWare رو نصب می کنیم اگر دقت کرده باشید دو تا کارت شبکه مجازی برای ما ایجاد می شه با اسم های VMware Network Adapter VMnet1 و VMware Network Adapter VMnet8 :

اگر کارت شبکه رو روی حالت NAT گذاشته باشیم اینجا باید به VMware Network Adapter VMnet8 آدرس IP تو range سیستم عامل مجازیمون بدیم تا این ارتباط برقرار بشه و بتونن همدیگر رو ببینن

اما اگر ما حالت کارت شبکه رو روی Bridge گذاشته باشیم به دو صورت می تونیم ارتباطش رو با سیستم عامل اصلیمون برقرار کنیم ، یا می تونیم به VMware Network Adapter VMnet1 آی پی بدیم و یا اینکه خیلی راحت می تونیم به Local Area Network یک IP توی Range سیستم عامل مجازیمون بدیم تا ارتباط برقرار بشه

استفاده از ویندوز 7 به عنوان یک مودم وای فای(Access Point)

با این روش شما می توانید از کامپیوتر شخصی تان به عنوان مودم وایرلس استفاده کنید و از آن طریق بتوانید دستگاه های دیگری مانند تلفن همراه یا تبلت خود را به اینترنت وصل کنید.

امکانات مورد نیاز:

• کامپیوتر دارای امکان wifi
• اتصال به اینترنت

1. ایجاد Access Point

برای ساخت اکسس پوینت ابتدا از منو Start کلمه cmd را جستجو کنید.

پنجره command باز می شود. سپس دستور زیر را وارد کرده و Enter بزنید.

keyUsage=persistent "پسورد=key” اسم وای فای=netsh wlan set hostednetwork mode=allow "ssid

نکته مهم این که باید دستور را تایپ کنید نه این که از اینجا کپی پیست کنید!

در آخر پس از زدن enter متنی با مفهوم برقراری ارتباط می آید. مانند شکل زیر:

حال اگر تمامی موارد را درست طی کرده باشید با ورود به Control Panel و زدن Network and Internet و سپس Network and sharing center و باز کردن Change adapter settings آیتم جدیدی با نام Wireless Network Connection2 ایجاد شده است.

2. روشن یا خاموش کردن مودم مجازی

برای روشن کردن مودم کد زیر را در فضای cmd وارد کنید و enter بزنید.

netsh wlan start hostednetwork

سپس خواهید داشت:

برای خاموش کردن آن نیز کافیست به جای start، کلمه stop را بزنید.

توجه کنید که هر زمان کامپیوتر را خاموش می کنید خودکار این مودم خاموش می شود و هر زمان که روشن کنید لازم است که ابتدا دستور start را وارد کنید.

3. share کردن اینترنت

هم اکنون آداپتور شما ایجاد شده و ارتباط با دستگاه های دیگر برقرار است. فقط کافیست اینترنت را روی این خط share کنید.

برای این کار وارد Change adapter settings شوید( همان پنجره ای که از Control panel … باز کردید). همان طور که می بینید ضربدر کنار Wireless Network Connection2 برداشته شده است. روی آداپتوری که هم اکنون از آن به عنوان اینترنت استفاده می کنید(معمولا به نام Local Area Connection است) راست کلیک کرده و Properties را بزنید.

وارد تب Sharing شوید و گزینه Allow other network users to connect through this computer’s internet connection را تیک بزنید. در منوی Home networking connection آداپتور مجازی که ساختید را انتخاب کنید.

پیشنهاد می شود که تیک Allow other network users to control or disable the shared Internet connection را بردارید تا کسانی که از این طریق به اینترنت دسترسی دارند نتوانند تنظیمان آداپتور را تغییر دهند.

اکنون شما کامپیوتر خود را به یک مودم وای فای تبدیل کردید! تنها کافیست از دستگاه های دیگر مثل یک مودم وای فای معمولی به آن وصل شوید.

منبع:

http://www.firewall.cx/microsoft-knowledgebase/windows-xp-7-8/968-windows-7-access-point.html

میکروتیک Mikrotik

میکروتیک Mikrotik

میکروتیک یک شرکت در کشور LATVIA ( یک کشور نسبتا کوچک در اروپای شرقی ) است که در سال 1995 کار خود را با فروش روتر های وایرلس شروع و در پی توسعه کار خود سیستم عامل Mikrotik Router OS را ارائه کرد و در سال 2007 تعداد کارمندان خود را به 70 نفر افزایش داد.

Router OS :

یک سیستم عامل بر پایه لینوکس است که میتواند بر روی سیستم های معمولی نصب و به کارگیری شود و در آن قابلیتهای بسیار خوبی از جمله VPN ، یک فایروال قوی ، کنترل پهنای باند ، هات اسپات و قابلیت Wireless وجود دارد . برای استفاده از این نرم افزار باید لایسنس آن را خریداری نمایید که با توجه به امکانات آن رده بندی متفاوتی دارند .

نرم افزاری به نام Winbox برای آن طراحی گردیده است یک رابط کاربری گرافیکی (GUI) برای این سیستم عامل است و توسط آن انواع تنظیمات را میتوانید بر روی این سیستم عامل انجام دهید. راه های ارتباطی متفاوتی برای ارتباط با ای نرم افزار وجود دارد از جمله FTP , Telnet , SSH و همچنین شما میتوانید با رابط برنامه نویسی (َAPI) با این سیستم عامل در ارتباط باشید و کارهای متفاوتی را انجام دهید.

قابلیتها :

Router OS قابلیتهای زیادی دارد و میتوان در محیط های کوچک تا متوسط از آن استفاده نمود(در متن اصلی متوسط تا بزرگ اعلام شده بود که به شخصه این طور نمیدانم) به صورت مثال از پروتکل های مسیر یابی OSPF, BGP , VPLS/MPLS در یک سیستم میتوانید استفاده کنید و برای راهنمای استفاده از این سیستم عامل نیز میتوانید به سایت میکروتیک بخش جزوات آن ( Document ) و ویکی سایت مراجعه نمایید.

این سیستم محدودیتهایی در زمینه شناخت سخت افزار دارد مخصوصا در زمینه وایرلس که فقط سخت افزارهایی با چیپ Atheros و Prism را پشتیبانی میکند.

RouterBOARD :

این شرکت سخت افزارهایی را نیز در همین زمینه با همان سیستم عامل تولید میکند که به این نام معروف هستند .

Group Policy و پیاده سازی نرم افزارها (قسمت 2)

Software Deployment - پیاده سازی نرم افزار

یکی از جالب ترین ویژگی های Group Policy می تواند پیاده سازی نرم افزار ها و Application ها از طریق آن باشد . برای مثال در محیط Active Directory با تعداد زیادی User/Computer نصب نرم افزار روی تک تک سیستم ها کاری دشوار و وقت گیر خواهد بود . لذا با استفاده از Group Policy در حالات مختلف می توانید به پیاده سازی نرم افزار بپردازید . البته در این راهکار چندین نکته مهم وجود دارد که در طول مطلب به آنها اشاره خواهیم کرد . سعی می کنیم از توضیحات اضافی پرهیز کرده و مطلب را بصورت عملی پیش ببریم . 
از جمله مهم ترین نکاتی که باید به آن دقت کرد این است که در ساختاری که قصد انجام عملیات Software Deployment را دارید بایستی حتما از سیستم های عامل بکار رفته آگاه شوید . ساختار مناسب استفاده از Windows Server 2000 یا بالاتر همراه با Active Directory و وجود Client هایی با سیستم عامل Windows 2000 Professional یا بالاتر می باشد . در این بحث فرض بر این است که سرور ما از Windows Server 2003 استفاده می کند لذا توضیحات ارایه شده بر مبنای این سیستم عامل می باشد .

اگر به مطلب شماره 1 رجوع کنید مشاهده خواهید کرد که در دو بخش User/Computer Configuration زیر بخش Software Settings وجود دارد . تفاوت این دو بر اساس توضیحاتی که در مطلب قبل به آن اشاره کردیم مشخص است . اما آنچه در اینجا برای ما مهم خواهد بود تفاوت در نوع و نحوه پیاده سازی نرم افزار بر اساس این دو گروه است . 

اول از همه باید بدانیم که برای پیاده سازی نرم افزار دو روش کلی زیر وجود دارد :
1. Assigning Software 
Publishing Software .2  

به شکل زیر دقت کنید :

برای هر دو بخش User/Computer Configuration می توانید با انتخاب Software Installation و کلیک راست بر روی آن و سپس انتخاب Properties در سربرگ General دقت کنید که ایا Assign و Publish برای هر دو گروه وجود دارد یا خیر ! 
( حتما این کار را انجام دهید ) 
پس متوجه شدید که Assign و Publish برای کدامین گروه وجود دارد . بهتر است نگاه جزئی تری به تفاوت این دو بیاندازیم :

Assigning Software :

هنگامیکه نرم افزاری را به یک کاربر Assign می کنید اعلانی از این نرم افزار در Start Menu در اولین ورود User پس از Assign ظاهر می شود . همچنین تغییرات رجیستری Local مانند Filename Extension  نیز آپدیت خواهد شد . این نرم افزار در اولین اقدام User برای استفاده از فایلی متناسب با نرم افزار ( برای مثال فایلی با پسوند PDF متناسب با Acrobat Reader ) و یا با انتخاب نرم افزار از طریق منوی Start فعال خواهد شد .

هنگامیکه نرم افزاری را به کامپیوتر Assign می کنید نرم افزار بطور کامل روی کامپیوتر نصب خواهد شد . این نصب کامل درست در اولین Start Up کامپیوتر صورت می گیرد .



Publishing Software : 

هنگامیکه نرم افزاری را برای کاربران Publish می کنید به ظاهر در کامپیوتر مربوط به کاربر نصب نخواهد شد . همچنین اعلانی برای معرفی نرم افزار در منوی Start یا Desktop دیده نمی شود . از طرف دیگر , نرم افزار ویژگی های اعلان خود را در Active Directory ذخیره کرده و اطلاعات مربوط به نرم افزار را مانند نام نرم افزار و فایل های مرتبط با آن را در اختیار کاربر قرار می دهد . آنگاه کاربر می تواند از طریق  Add Or Remove Programs در Control Panel و یا با اجرای فایلی مرتبط با نرم افزار مربوطه برای نصب نرم افزار اقدام نماید . 


با توضیحات فوق تفاوت بین دو حالت نصب برای User ها و Computer ها بررسی شد . حال این وظیفه شماست که با بررسی نیاز کاربران و همچنین تحلیل دو راه فوق برای پیاده سازی نرم افزار اقدام کنید . اما سوالی که ممکن است مطرح شود این است که آیا هر نرم افزاری را می توان با این روش پیاده سازی کرد ؟ 

به شکل زیر دقت کنید :

با انتخاب Software Installation و کلیک راست در سمت راست کنسول عبارت New  Package را برگزینید . در کادری که باز می شود دقت کنید که برای نصب چه Package هایی را قبول می کند .

همانطور که متوجه شدید دو نوع Package برای نصب قابل پذیرش است :

• Windows Installer Package که خود بر دو نوع زیر است : 

1. Native Windows Installer Package که از ابتدا پسوند msi دارد و توسط تولید کنندگان نرم افزار برای نصب نرم افزار ایجاد شده است . 

2. Repackaged مواردی هستند که فایل نصب آنها msi نبوده و پس از تبدیل به msi تغییر یافته اند . برای ساخت فایل های نصب msi از روی فایل های دیگر مسیر و روال خاصی وجود دارد که خارج از بحث این مقاله بوده لذا به آن نمی پردازیم .

• Application ( . Zap ) Files این نوع فایل ها نیز جزء مواردی هستند که می توانید در پیاده سازی نرم افزار از آنها استفاده کنید . این فایل ها با پسوند zap در واقع فایل های Text ی هستند که نحوه نصب یک فایل نصب ( مانند Install.exe یا Setup.exe ) را تعریف می کنند . دقت کنید که در این حالت نرم افزار تنها می تواند بصورت Publish پیاده سازی شود .

برای آگاهی از اینکه فایل های Zap چگونه ساخته می شوند بهتر است نگاهی به آدرس http://support.microsoft.com بیاندازید .

مثال عملی Software Deployment

جزئیاتی که تا اینجا بررسی کردیم توضیحات و معرفی پیاده سازی نرم افزار بود . حال به بررسی عملی پیاده سازی نرم افزار می پردازیم .
محیط انتخابی در این بررسی Windows server 2003 Active Directory بوده و فایل نصب Adminpak.msi می باشد . 

1. برای نصب و پیاده سازی نرم افزار مربوطه ابتدا Active Directory Users and Computers را باز کردیم . با انتخاب Properties مربوطه به Domain Controllers سربرگ Group Policy را بر گزیدیم .

در حالت پیش فرض Default Domain Controller Policy وجود دارد . برای پیاده سازی نرم افزار همین Policy را انتخاب کردیم . 

2. در کنسول Group Policy بخش Computer Settings را انتخاب می کنیم . با انتخاب Software Installation و سپس کلیلک راست در سمت راست کنسول New  Package را انتخاب می کنیم . در کادر باز شده مسیر مورد نظر را اعلام می کنیم . دقت کنید که این مسیر می تواند مسیری در شبکه نیز باشد . اصطلاحا فایل قابل نصب را بر روی کامپیوتری در شبکه قرار می دهیم که به آن Software Distribution Point می گویند . 

3. پس تایید مسیر در کادری که باز می شود سوالی در مورد نوع نصب خواهد پرسید . ملاحظه می کنید که تنها Assign را می توانید بر گزینید . آن را انتخاب کرده و OK کنید .

4. پس از آن در داخل کنسول ( سمت راست ) فایل های Assign شده را ملاحظه می کنید .

برای اینکه نتیجه را ملاحظه کنید بایستی کامپیوتر یکبار Restart گردد تا در هنگام Startup نرم افزار مورد نظر نصب گردد . آنگاه در Add Or Remove Programs می توانید از صحت نصب آن آگاه شوید . 

البته باید بدانید که Software Deployment مباحث گشتره دیگری نیز دارد . مواردی چون اضافه کردن Patch یا Service Pack و یا آپدیت نرم افزار و .. که خارج از بحث این مقاله است . برای اطلاعات بیشتر می توانید منابع موجود در سایت مایکروسافت را بررسی کنید و یا در خواست خود را در تاپیک مربوط به این مقاله قرار دهید تا در مورد آن بحث و تبادل نظر کنیم . تاپیک مربوطه در انتهای مقاله معرفی خواهد شد . 

Software Restriction - محدودیت اجرای نرم افزار

این ویژگی که در ویندوز XP و ویندوز Server 2003 بعنوان یک ویژگی جدید قرار گرفته است اجازه می دهد تا محیط کامپیوتر در مقابل اجرای کد و نرم افزار های غیر مطمئن حفاظت شده باشد . این Policy نیز مشابه قبل قابل اعمال بر روی User و یا Computer است و با توجه به نیازی که وجود دارد بایستی از طریق User/Computer Configuration برای ایجاد آن اقدام کرد . 

بطور خلاصه می توان توانایی های Software Restriction را در زیر لیست کرد :

1. کنترل نرم افزار های قابل اجرا بر روی کامپیوتر .
2. اجازه اجرا و یا عدم اجرای نرم افزار خاص برای کامپیوتر و یا کاربر .
3. جلوگیری از اجرای فایل خاص ( مانند ویروس یا تروجان ) بر روی کامپیوتر . 
و ...

Software Restriction در واقع جرئی از Policy های امنیتی Group Policy است که در این مطلب بررسی کرده ایم . این Policy امنیتی مشابه تمام Policy های دیگر قابل اعمال بر روی Site / Domain / OU می باشد . در این Policy دو سطح امنیتی از پیش تعریف شده وجود دارد :

• Unrestricted : به نرم افزار ها اجازه می دهد بطور کامل اجرا شوند .
• Disallowed : به هیچ نرم افزاری اجازه اجرا نمی دهد .

در هر دو حالت فوق می توانید اصطلاحا Ruleهایی تعریف کنید که بعنوان استثنا تلقی شده و خارج از سطوح تعیین شده قرار گیرد . در این رابطه بعدا مفصل صحبت خواهیم کرد . 


اما Software Restriction بر چه اساسی کار خواهد کرد :

وقتی کاربری برای اجرای نرم افزاری اقدام می کند ان نرم افزار ابندا باید توسط Policy ها تعریف شده مورد شناسایی قرار گیرد . این شناسایی به چهار طریق زیر صورت می گیرد :

1. Hash : مجموعه ای از بایت ها با اندازه ثابت که بطور یکتا نرم افزاری را معرفی می کند .
2. Certificate : وجود یک Document دیجیتالی برای شناسایی اطلاعات .
3. Path : مسیر نرم افزار یا فایل اجرایی .
4. Internet Zone : زیر درخت معرفی شده از طریق IE برای مثال Internet , Intranet , Restricted Sites و ..

Policy های تعریف شده در این بخش از Group Policy اجرای نرم افزار ها را شناسایی و کنترل می کنند . در واقع این عمل بر اساس تعریف Rule صورت می گیرد . همانطور که قبلا اشاره کردیم Rule استثناهایی است که می تواند خارج از سطح تعیین شده قرار گیرد . نتیجه اینکه این Rule ها بر اساس چهار مورد بررسی شده در بالا تعیین و نوشته می شوند . شما می توانید برای یک نرم افزار چندین Rule تعریف کنید . اما بایستی دقت کنید که نحوه پردازش این Rule ها از بالا به پایین و به طریق زیر است :

 Hash Rule

 Certificate Rule
Path Rule
Internet zone Rule

برای مثال اگر فایلی داشته باشید که که بر روی آن Hash Rule با سطح امنیتی Unrestricted اعمال شده باشد ولی فایل مد نظر در فولدری باشد که Path Rule آن با سطح امنیتی Disallowed تعریف شده باشد انگاه فایل مورد نظر اجرا خواهد شد . چراکه اولویت Hash Rule بالاتر از Path Rule می باشد . 

بعد تعریف کلی از Software Restriction نوبت به آن می رسد تا با اجرای دو مثال عملی نحوه پیاده سازی این Policy را بررسی کنیم . برای اجرای Software Restriction Policy سه مرحله را باید انجام دهید :

1. تعیین سطح امنیتی 
2. ایجاد Rule 
3. انتخاب نوع فایل

مثال عملی Software Restriction

مراحل بررسی شده در صفحه قبل را به ترتیب مورد ارزیابی قرار می دهیم :

مسیری که برای دسترسی به Software Restriction Policy باید طی کنید به قرار زیر است :

Windows Setting  Security setting  Software Restriction Policy
در هر دو بخش User / Computer Settings می توانید این Policy را ببینید .

1. در ابتدا در Software Restriction Policy تنظیماتی وجود ندارد . بایستی با انتخاب آن و کلیک راست و سپس New Software Restriction Policies نسبت به ایجاد آن اقدام کنید . 

2. در مرحله بعدی در بخش Security Levels بنا بر سیاست کاری خود یکی از دو حالت تعیین شده را انتخاب می کنید .
3. در بخش بعدی ( Additional Ruls ) یکی از Rule هایی را که قبلا بررسی کردیم انتخاب می کنید . در این تست Path Rule بر گزیدیم .

4. نهایتا نوبت به Designate File Type می رسد که مربوط به تاثیر Rule های تعریف شده بر روی نوع فایل هاست . انتخاب نوع فایل در این بخش برای تمام Rule ها یکسان و مشترک خواهد بود . 

در ادامه با ارایه یک مثال بطور عملی مطالب بیان شده را مورد استفاده قرار می دهیم :

فرض کنید می خواهیم برنامه Notepad.exe برای کاربران قابل استفاده نباشد . به ترتیب مراحل زیر را طی می کنیم :

1. ابتدا سطح امنیتی را بصورت Unrestricted تعریف می کنیم .
2. در مرحله بعدی در بخش Additional Rules یک Path Rule جدید برای برنامه Notepad.exe اضافه می کنیم . ملاحظه می کنید که در این Rule سطح امنیتی را Disallowed قرار داده ایم .

3. در بخش Enforcements نیز می توانید تنظیمات مورد نظرتان را تعیین کنید .
4. Designate File Types در واقع نوع فایل هایی که توسط Rule های نوشته شده تحت تاثیر قرار می گیرد . همانطور که قبلا اشاره کردیم لیست نوع فایل ها بین تمام Rule ها مشترک می باشد . در این مرحله نیز می توانید File Type های مدنظرتان را اضافه و یا پاک کنید .

نهایتا با اتمام مراحل فوق ایجاد یک Restriction Policy به پایان رسیده است . حال برای اینکه از صحت این Policy مطمئن شوید ابتدا یک فایل با پسوند .doc را با نرم افزار Word و سپس با Notepad باز کنید و نتیجه را ببینید : 

Audit - رهگیری رخداد

Audit همانطور که از نامش پیداست بررسی و باز بینی Object در سیستم عامل است . در واقع پروسه رهگیری فعالیت های User و یا سیستم ( که Event نامیده می شود ) در یک کامپیوتر Audit نام دارد . بدین طریق می توانید اطلاعات مربوط به رخداد های فوق را در فایل های Log ثبت کرده و پس از بررسی تصمیم نهایی را اتخاذ کرد . اگر این Policy را در Domain تعریف کرده باشید آنگاه Log های ثبت شده در Domain Controller ذخیره می شوند بدون توجه به اینکه Logon روی کدام کامپیوتر صورت گرفته است . چراکه Domain Controller مسوول احراز هویت در پروسه Logon می باشد . 

برای پیاده سازی Audit بایستی ابتدا در Group Policy رخدادی را که برای Audit مد نظر دارید انتخاب کنید . مسیری که برای دسترسی به audit Policy باید طی کنید عبارتست از :

Computer Configuration  Windows settings  Security settings  Local Policies  Audit Policy

در تصویر زیر می توانید بخش مربوطه را ملاحظه کنید : 

برای اینکه با هر کدام از موارد پیش رو بیشتر آشنا شوید Help مربوط به هر یک را ( همانطور که در مقاله شماره 1 ذکر کردیم ) مطالعه کنید .

مثال عملی Audit

یکی از مواردی که دارای اهمیت می باشد استفاده از Audit Object Access است که بر خلاف دیگر گزینه ها بایستی در دو مرحله اجرا شود . برای مثال عملی این بخش این گزینه را انتخاب می کنیم .

روش کار بدین شکل است :

برای فعال سازی Audit Object Access و اجرای آن تنظیمات دو بخش در سیستم عامل مورد نیاز است . اول اینکه Policy مربوطه باید در Group Policy تعریف گردد . برای Audit دو انتخاب Success و Failure را ملاحظه می کنیم . 

این مطلب نشان دهنده این است که بررسی رخداد ها هم در حالت دسترسی موفقیت آمیز و هم در حالت دسترسی ناموفق ثبت و Log برداری شوند . توصیه می کنیم در مواردی که ضروری است حتما این دو انتخاب را برگزینید . برای مثال از Policy هایی که انتخاب این دو گزینه در آن از اهمیت بالایی برخوردار است Policy های مربوط به Logon می باشد :

Audit Account Logon Events
Audit Logon Events

دقت کنید که این دو متفاوت می باشند . سعی کنید تفاوت آنها را پیدا کنید !

در مرحله بعد بایستی بر روی Object مربوطه Audit را فعال کنیم . برای مثال از فولدری با نام List در درایو C , Properties میگیریم . در سربرگ Security مطبق شکل زیر گزینه Advanced را انتخاب می کنیم .

در کادر باز شده ملاحظه می کنید که سربرگ Auditing وجود دارد :

سپس با کلیک بر روی Add یوزر مورد نظر خود را برای رهگیری بر می گزینیم . پس Apply , Policy مورد نظر فعال گشته است . 

این Policy را برای محیط Local فعال کردیم . حال اگر بخواهیم در محیط Active Directory یک Object خاص را مورد بررسی قرار دهیم به طریق زیر عمل می کنیم :
1. ابتدا کنسول Active Directory Users and Computers را باز می کنیم .
2. در کنسول باز شده View را کلیک کرده و سپس Advanced Features را انتخاب می کنیم . ( مطابق شکل )

3. در ادامه Object مورد نظر خود را بر گزیده و سپس از طریق دکمه Action , Properties را نتخاب می کنیم . در اینجا ما Domain Controller را انتخاب کردیم .

4. مطابق شکل در سربرگ Security گزینه Advanced را کلیک می کنیم . ادامه مسیر مانند قبل است و با اضافه کردن User می توانیم رخداد های مربوط به آن را رهگیری کنیم .

دقت کنید که پس از انتخاب User مورد نظر در ادامه کادری برای شما باز می گردد که Audit Entry نام دارد و از طریق آن می توانید مواردی را که برای شما اهمیت بیشتری دارد برای رهگیری انتخاب کنید . این کادر هم در حالت Local و هم در Active Directory مورد استفاده قرار می گیرد .

نکته مهمی که در اینجا مورد توجه قرار می گیرد این است که Log ها ثبت شده را به چه طریق بررسی کنیم . Event Viewer نام نرم افزاری است که بصورت Built In در ویندوز وجود دارد . این نرم افزار را می توانید از طریق Administrative Tools ببینید . کنسول آن مطابق شکل زیر است :

همانطور که ملاحظه می کنید در بخش Security می توانید Log های ثبت شده مرتبط با Audit را بررسی و باز خوانی کنید .

بررسی نهایی

در  این بخش از مقاله مثال هایی را بررسی کردیم که گمان می رود از جمله پرکاربرد ترین بخش های Group Policy باشد .  اما هر کدام از این مثال ها کاربرد های متنوع دیگری نیز خواهند داشت که در این مقاله بررسی نشده اند .و یا اینکه Group Policy تنها به این چند مثال خلاصه نخواهد شد . بعنوان مثال IPSecurity یکی از بخش هایی است که بسیار پر مطلب و پرکاربرد است که خود نیازمند مقاله ای جداگانه می باشد . در نهایت هدف از کلام آخر این است که دقت کنید Group Policy پر از مطالبی است که مطالعه و برسی آنها وقت زیادی می طلبد . لذا به مطالب بررسی شده در این دو مقاله اکتفا نکنید و حتما با کنار گذاشتن وقتی  جداگانه به بررسی کنسول Group Policy و امکانات آن بپردازید .