ما هي الوظيفة التي تم تغييرها في Windows XP Service Pack 2؟استخدام RSoP مع تمكين جدار حماية Windowsالوصف التفصيليفي Windows XP Service Pack 2، يتم تمكين 'جدار حماية Windows' بشكل افتراضي. يقوم 'جدار حماية Windows' بحظر الطلبات الواردة إلى المنافذ غير المفتوحة - وذلك في مقابل الاستجابات إلى الطلبات المنشأة من الكمبيوتر. يؤثر ذلك على استخدام RSoP عبر الشبكة.
للحصول على المزيد من المعلومات حول 'جدار حماية Windows'، راجع موضوع 'جدار حماية Windows' الموجود في هذا المستند.
لماذا يعد هذا التغيير تغييراً هاماً؟ ما هي التهديدات التي ساعدت علىالتقليل من حدتها؟في الإصدارات السابقة لـ Windows XP Service Pack 2، يتم بشكل افتراضي تعطيل 'جدار حماية Windows' الذي يتم شحنه مع Windows XP. يحتاج المستخدم لتشغيل معالج أو استعراض المجلد 'اتصالات شبكة الاتصال' لتمكين 'جدار حماية Windows' يدوياً. ثبت بالتجربة أن هذه الطريقة صعبة للغاية على كثير من المستخدمين مما أدى إلى عدم تثبيت أي جدار حماية على كثير من أجهزة الكمبيوتر.
يؤدي تمكين 'جدار حماية Windows' بشكل افتراضي إلى زيادة حماية الكمبيوتر من التعرض لكثير من الهجمات التي تتم عن طريق الشبكات. على سبيل المثال، إذا تم تمكين 'جدار حماية Windows' بشكل افتراضي، فستقل كثيراً فرص التعرض لهجمات MSBlaster الأخيرة، بغض النظر عما إذا قام المستخدمون بتحديث أنظمتهم باستخدام برامج التصحيح أم لا.
ما هي الوظائف التي تعمل بصورة مختلفة؟ هل توجد أي تبعيات؟يوجد تغييران هامان لـ RSoP في Windows XP Service Pack 2.
•
بمجرد تثبيت 'جدار حماية Windows' على كمبيوتر يتم تشغيل Windows XP Service Pack 2 عليه، لن يعمل حق الوصول عن بُعد إلى بيانات RSoP من الكمبيوتر الهدف.
•
إذا تم تمكين 'جدار حماية Windows'، عند تشغيل GPMC بغرض استخدام 'نتائج نهج المجموعة' أو 'نموذج نهج المجموعة' لاسترداد بيانات RSoP على كمبيوتر يتم تشغيل Windows XP Service Pack 2 عليه، فإنه لن يتمكن من استرداد هذه البيانات.
ما هي أساليب حل تلك المشاكل؟يلخص الجدول التالي التغييرات اللازم إجرائها لاعتماد مهام RSoP البعيدة بشكلٍ كامل عند تشغيل Windows XP Service Pack 2. الرجاء مراجعة الأجزاء الموجودة أدناه للحصول على المزيد من التفاصيل.
المهمةالكمبيوتر الهدفكمبيوتر المسؤولإنشاء نتائج نهج المجموعة
يتم تمكين الإعداد 'نهج المجموعة'
جدار حماية Windows: السماح باستثناءالإدارة عن بعد.
يتوفر الإعداد 'نهج المجموعة' في Computer
Configuration Administrative TemplatesNetwork Network ConnectionsWindows Firewall[Domain | Standard] ProfileGPMC المرفق بها SP1
•
لا يوجد أي إجراء مطلوب
الأداة الإضافية RSoP
•
يتم تمكين الإعداد 'نهج المجموعة' جدار حماية Windows: تحديد استثناءات البرامج. كما يتم تكوين قائمة استثناءات البرامج باستخدام المسار الكامل إلى Unsecapp.exe حتى يمكن إرسال رسائل WMI. وفي التثبيت الافتراضي، يتم وضع unsecapp.exe في المجلد C:WindowsSystem32Wbem.
يتم تمكين الإعداد 'نهج المجموعة'
جدار حماية Windows: تحديد استثناءاتالمنفذلفتح المنفذ 135
تفويض الوصول إلى نتائج 'نهج المجموعة'
يتم تمكين الإعداد 'نهج المجموعة'
جدار حماية Windows: السماح باستثناءالإدارة عن بعدكما يتم تكوين إعدادات نهج الأمان التالية لـ DCOM:
•
DCOM: تقييد الوصول إلى الجهاز في سياق لغة تعريف واصفالأمان (SDDL)
•
DCOM: تقييد تشغيل الجهاز في سياق لغة تعريف واصف الأمان (SDDL)
يتم وضع إعدادات النهج هذه في
تكوين الكمبيوتر/إعدادات Windows/إعداداتالأمان/النهج المحلية/خيارات الأمانلا يلزم إجراء أي تغيير
تحرير كائن 'نهج المجموعة' المحلي عن بعد
يتم تمكين إعداد النهج جدار حماية Windows:
السماح باستثناء إدارة مشاركةالملفات والطابعاتيتم وضع إعداد النهج هذا في
تكوين الكمبيوتر /قوالب الإدارة/شبكة اتصال /اتصالات شبكة الاتصال/جدار حماية Windows/التشكيل الجانبي [للمجال | القياسي]/لا يلزم إجراء أي تغيير
إدارة RSoP عن بعد باستخدام GPMC SP1يستخدم الإصدار الأولي من GPMC تقنية رد اتصال عند انتظار نتائج طلب 'نموذج نهج المجموعة' أو 'نتائج نهج المجموعة'. يجب أن يقوم كمبيوتر المسؤول "بمراقبة" إجراء هذه الاستجابة. ويما أنه يتم تمكين 'جدار حماية Windows'، فتقوم Windows XP Service Pack 2 بحظر تلك الاستجابات. وعلى الرغم من أن فتح المنافذ المناسبة يمكن أن يلغي حظر تلك الاستجابات، فيؤدي استخدام GPMC (وحدة التحكم بإدارة نهج المجموعة (GPMC) المرفق بها Service Pack 1) التي تم تحديثها إلى إلغاء استخدام تقنية رد الاتصال بشكلٍ كامل. لذلك، نوصي بتثبيت GPMC المرفق بها Service Pack 1، لأن ذلك يسمح 'لنتائج نهج المجموعة' أو 'نموذج نهج المجموعة' بمتابعة العمل دون فتح منافذ على كمبيوتر المسؤول. لتثبيت GPMC المرفق بها Service Pack 1، راجع 'Group Policy Management Console with Service Pack 1' على 'مركز التحميل لـ Microsoft' الموجود في
http://go.microsoft.com/fwlink/?LinkId=23529.
لإدارة RSoP عن بعد، يجب تمكين إعداد 'نهج المجموعة'
جدار حماية Windows: السماح باستثناء الإدارة عن بعد على أجهزة الكمبيوتر الهدف.
إدارة RSoP عن بعد باستخدام الأداة الإضافية لـ RSoP MMC لإدارة RSoP عن بعد باستخدام الأداة الإضافية لـ RSoP MMC، يجب أن يراقب الكمبيوتر الهدف منافذ الشبكة المناسبة لضمان الاستجابة على طلبات RSoP الواردة. يمكن إدارة ذلك من خلال 'نهج المجموعة' باستخدام إعدادات النهج التالية:
•
قم بتمكين إعداد 'نهج المجموعة' جدار حماية Windows: تحديد استثناءات البرامجللسماح بتشغيل Unsecapp.exe. تأكد من إدخال المسار الكامل إلى Unsecapp.exe.
•
قم بتمكين إعداد 'نهج المجموعة' جدار حماية Windows: تحديد استثناءاتالمنفذ ثم افتح المنفذ 135. وانقر فوق إظهار ثم قم بإدخال 135:TCP:*:Enabled:135.
ملاحظة ليس من الضروري تمكين إعداد النهج هذا في حالة تمكين إعداد 'نهج المجموعة' جدار حماية Windows: السماح باستثناء الإدارة عن بعد على كمبيوتر المسؤول.
تنبيه قد يؤدي أيضاً تمكين إعداد 'نهج المجموعة' جدار حماية Windows: تحديد استثناءات المنفذإلى السماح بقبول بيانات غير مطلوبة على هذا المنفذ. لذلك، تأكد من مراجعة إعدادنهج المجموعةهذا بشكلٍ كامل قبل تمكينه في البيئة الخاصة بك.
تفويض الوصول إلى 'نتائج نهج المجموعة'بشكل افتراضي، يمكن استخدام 'نتائج نهج المجموعة' والأداة الإضافية RSoP عن بعد فقط عندما يكون الشخص المتقدم بالطلب هو المسؤول المحلي على الكمبيوتر الهدف. بداية من الإصدار Windows Server 2003، يتوفر نموذج تفويض يسمح بتفويض هذا الحق للمستخدمين غير 'المسؤولين' على الكمبيوتر الهدف. ويعد ذلك السيناريو العام الذي يتم تنفيذه عندما يحتاج موظفو قسم الدعم التقني إلى الوصول لأجهزة الكمبيوتر دون أن يكونوا 'مسؤولين' على تلك الأجهزة.
في Windows XP Service Pack 2، لقد تم تحسين نموذج الأمان الخاص بمصادقة DCOM (المعتمدة عليها RSoP) إلى حدٍ كبير. وحتى في حالة تكوين تفويض RSoP بشكلٍ صحيح، يمنع هذا التحسين المستخدمين المحليين غير المسؤولين من استرداد معلومات RSoP من الكمبيوتر الهدف. مع ملاحظة أن ذلك لا يؤثر على 'نموذج نهج المجموعة'، طالما أن الطلب المُقدم للحصول على بيانات مشابهة لبيانات RSoP من وحدة تحكم مجال يتم تشغيل Windows Server 2003 عليها، وليس Windows XP.
يوفر Windows XP Service Pack 2 أسلوباً لإدارة المستخدمين والمجموعات الحاصلين على مصادقة DCOM. يمكن إدارة هذه القائمة من خلال 'نهج المجموعة'. وللسماح بالاستخدام المستمر لـ RSoP المفوض، يجب أيضاً أن يكون لدى المستخدمين المطلوب منحهم هذا الحق حق وصول من خلال نموذج مصادقة DCOM. للحصول على المزيد من المعلومات حول تغييرات الأمان الخاصة بـ DCOM في Windows XP Service Pack 2، راجع جزء 'DCOM'، الموجود مسبقاً في هذا المستند.
لتفويض الوصول إلى 'نتائج نهج المجموعة'، يجب إكمال الخطوات التالية:
1.
قم بتمكين إعداد 'نهج المجموعة'
جدار حماية Windows: السماح باستثناء الإدارةعن بعد على أجهزة الكمبيوتر الهدف.
2.
قم بتعيين إعدادات نهج أمان DCOM التالية على أجهزة الكمبيوتر الهدف. (يتم وضع إعدادات النهج هذه في
تكوين الكمبيوتر/إعدادات Windows/إعدادات الأمان/النهجالمحلية/خيارات الأمان.)
DCOM: تقييد الوصول إلى الجهاز في سياق لغة تعريف واصف الأمان (SDDL)
[right]1.
انقر بزر الماوس الأيمن فوق الكائن 'نهج المجموعة'، ثم انقر فوق
خصائص.
2.
انقر فوق
تحرير الأمان، فيتم فتح
إذن الوصول.
3.
انقر فوق
إضافة، فيتم فتح
تحديد مستخدمين، أو أجهزة كمبيوتر، أومجموعات.
4.
أدخل أهداف التفويض المطلوبة.
DCOM: تقييد تشغيل الجهاز في سياق لغة تعريف واصف الأمان (SDDL) 1.
انقر بزر الماوس الأيمن فوق الكائن 'نهج المجموعة'، ثم انقر فوق
خصائص.
2.
انقر فوق
تحرير الأمان، فيتم فتح
إذن الوصول.
3.
انقر فوق
إضافة، فيتم فتح
تحديد مستخدمين، أو أجهزة كمبيوتر، أومجموعات.
4.
أدخل أهداف التفويض المطلوبة.
[/right]
تحرير كائن 'نهج المجموعة' المحلي عن بعدلتحرير كائن 'نهج المجموعة' المحلي عن بعد، يجب تمكين إعداد النهج التالي على أجهزة الكمبيوتر الهدف: جدار حماية Windows: السماح بإدارة مشاركة الملفات والطابعات.
يتم وضع إعداد النهج هذا في
تكوين الكمبيوتر/قوالب الإدارة/شبكةاتصال/اتصالات شبكة الاتصال/جدار حماية Windows/التشكيل الجانبي [
للمجال|
القياسي]
/.
مركز الأمان'مركز الأمان' هو خدمة جديدة في Windows XP Service Pack 2 توفر موقعاً مركزياً لتغيير إعدادات الأمان، والتعرّف على المزيد من المعلومات حول الأمان، والمساعدة في ضمان تحديث كمبيوتر المستخدم. يمكنك استخدام 'مركز الأمان' بواسطة النقر المزدوج فوق الرمز 'مركز الأمان' الموجود في 'لوحة التحكم'.
ما الذي يقوم به مركز الأمان؟يتم تشغيل خدمة 'مركز الأمان' كعملية تتم في الخلفية وتقوم بفحص حالة المكونات التالية على كمبيوتر المستخدم:
•
جدار الحماية
يقوم 'مركز الأمان' بالتحقق مما إذا تم تشغيل 'جدار حماية Windows' أو تم إيقاف تشغيله. كما يقوم بالتحقق من وجود بعض جدران حماية أخرى للبرامج بواسطة الاستعلام من موفري WMI المعينين الذين تم توفيرهم من قِبَل الموزعين المشاركين.
•
الحماية من الفيروسات
يقوم 'مركز الأمان' بالتحقق من وجود برامج مكافحة الفيروسات بواسطة الاستعلام من موفري WMI المعينين الذين تم توفيرهم من قِبَل الموزعين المشاركين. في حالة توفر المعلومات المطلوبة هذه، تقوم أيضاً خدمة 'مركز الأمان' بتحديد ما إذا كان تم تحديث البرنامج وما إذا كان تم تشغيل عملية فحص للجهاز أثناء التشغيل.
•
التحديثات التلقائية
يقوم 'مركز الأمان' بالتأكد من تعيين 'التحديثات التلقائية' إلى الإعدادات الموصى بها، مما يؤدي إلى تحميل التحديثات الهامة وتثبيتها تلقائياً على كمبيوتر المستخدم. في حالة إيقاف تشغيل 'التحديثات التلقائية' أو عدم تعيينها إلى الإعدادات الموصى بها، يوفر 'مركز الأمان' التوصيات المناسبة.
في حالة اكتشاف فقد أحد المكونات أو عدم توافقه مع 'نهج الأمان'، يضع 'مركز الأمان' رمز أحمر اللون في جزء الإعلام بشريط المهام الخاص بالمستخدم، كما يقدم رسالة 'تنبيه' عند تسجيل الدخول. تحتوي هذه الرسالة على ارتباطات لفتح واجهة مستخدم 'مركز الأمان'، التي تعرض رسالة حول المشكلة وتقدم نصائح لحلها.
في حالات تشغيل المستخدمين لجدار حماية أو برنامج مكافحة فيروسات لم يكتشفه 'مركز الأمان'، يمكن للمستخدم إعداد 'مركز الأمان' لتجاوز التنبيه بالنسبة لهذا المكون.
في 'لوحة التحكم'، يعمل أيضاً 'مركز الأمان' كنقطة لبدء تشغيل عناصر 'لوحة التحكم' وارتباطات ويب المتعلقة بالأمان.
من الذي تخصه هذه الميزة؟بشكل افتراضي، يتم تطبيق هذه الميزة على كافة أجهزة الكمبيوتر الموجودة في مجموعات العمل، وهي أجهزة الكمبيوتر غير المنضمة إلى مجال Windows.
يمكن للمسؤولين، من خلال استخدام أحد إعدادات 'نهج المجموعة'، تمكين هذه الميزة لأجهزة الكمبيوتر الموجودة في مجال Windows.
لماذا تعد هذه التغييرات هامة؟يوفر هذا التغيير تقنية تنبيه بسيطة يتم تنفيذها تلقائياً لمساعدة المستخدمين في تحسين أمان أجهزة الكمبيوتر الخاصة بهم والمساعدة في تقليل مخاطرة التعرّض للتهديدات عن طريق شبكة الاتصال.
ما هي التهديدات التي ساعدت على التقليل من حدتها؟غالباً ما يكون المستخدمون غير متأكدين من تحديد إعدادات وتقنيات الأمان الأفضل لحماية أجهزة الكمبيوتر الخاصة بهم من التعرّض للتهديدات عن طريق الشبكة. لقد أصبحت هذه المشكلة أكثر خطورة لأن الفيروسات تنتشر سريعاً ويتصل المزيد من المستخدمين عبر الاتصالات ذات النطاق الترددي العريض التي في وضع 'التشغيل دوماً'. لذلك، يزود 'مركز الأمان' المستخدمين بطريقة سهلة للمساعدة في ضمان حماية أجهزتهم باستخدام جدار حماية، وضمان أنهم يقومون بتشغيل برنامج مكافحة فيروسات تم تحديثه، بالإضافة إلى ضمان تحديث أجهزتهم تلقائياً بأحدث التحديثات الهامة من Microsoft.
ما هي الوظائف التي تعمل بصورة مختلفة؟لا يوجد أي تغيير في سلوك 'مركز الأمان' نفسه الذي يؤثر به على أي تطبيق أو خدمة. ومع ذلك، يساعد 'مركز الأمان' على فرض استخدام المكونات المتعلقة بالأمان من شركة Microsoft والشركات الأخرى مما قد يؤدي إلى طرح موضوع التوافق أو أمور أخرى. على سبيل المثال، راجع جزء 'جدار حماية Windows' الموجود في هذا المستند للتعرّف على الأمور التي قد تنشأ بسبب التوافق مع هذا المكون.
في Windows XP Service Pack 1، يمكن تثبيت حزمة الخدمة باستخدام الخيار
/quiet لجعل عملية تثبيت 'حزمة الخدمة' مخفية عن المستخدم. ومع ذلك، في حالة تثبيت Windows XP Service Pack 2 باستخدام الخيار
/quiet أو
/q، يتم عرض 'مركز الأمان' الموجود في 'لوحة التحكم' عند تسجيل الدخول التفاعلي لأول مرة للمستخدمين بعد التثبيت، كي يمكنهم مراجعة إعدادات الأمان الخاصة بهم.
ملاحظة عند تثبيت Windows XP Service Pack 2 في بيئة مجال، يتم التحكم في ميزة 'مركز الأمان' بواسطة إعداد 'نهج المجموعة' الذي لا يتم تمكينه بشكل افتراضي.
ما هي أساليب حل تلك المشاكل؟لا يوجد أي تغيير في السلوك المؤثر في أي تطبيق أو خدمة (باستثناء ما تم ذكره أعلاه).
ما هي الوظيفة التي تم تغييرها في Windows XP Service Pack 2؟في الإصدارات السابقة من Windows XP، لم توجد فئة 'مركز الأمان' في 'لوحة التحكم'. بدلاً من ذلك، كان يتم توزيع عناصر مفردة متعلقة بالأمان بين مكونات 'لوحة التحكم'.
ما هي الإعدادات التي تمت إضافتها أو تغييرها في Windows XP Service Pack 2؟إعدادات التسجيلتوجد ثلاثة إعدادات تسجيل 'لمركز الأمان'. تحدد هذه الإعدادات ما إذا كان المستخدم تلقى تنبيهات لميزة معينة أم لا. إذا كان للمفتاح قيمة 0 أو لم تكن له أية قيمة، يتم تمكين رمز الإعلام ونظام التنبيه لتلك الميزة. أما في حالة وجود قيمة ولم تكن تساوي 0، يتم تعطيل رمز الإعلام ونظام التنبيه للميزة.
في حالة تمكين 'مركز الأمان'، يتم عرض الإعدادات الثلاثة المذكورة في الجدول أدناه في واجهة مستخدم 'مركز الأمان' أيضاً. تابع الشرح التالي في المشاركه التاليه ........... وشكراً لكم على القراءة