Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 29 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
29
Dung lượng
1,11 MB
Nội dung
TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng môn học: QUẢN TRỊ MẠNG Chương 6: DÙNG GROUP POLICY HỖ TRỢ NGƯỜI DÙNG MẠNG Số tín chỉ: Số tiết: 60 tiết (30 LT + 30 TH) GV: ThS Nguyễn Thị Phong Dung Email : ntpdung@ntt.edu.vn NỘI DUNG • Nhu cầu việc hỗ trợ người dùng • Triển khai Group Policy • Các GPO thiết lập bảo mật • GPO cấu hình cơng cụ bảo mật • Các GPO hỗ trợ người dùng • Hỗ trợ Group Policy Preference • Triển khai phần mềm GPO Nhu cầu việc hỗ trợ người dùng • Một số nguy bảo mật người dùng Windows: • Nguy mật người dùng: • Người dùng tự lộ mật • Kẻ cơng dị tìm (kiểu Brute-force hay Dictionary) • Nguy lây nhiễm phần mềm độ hại: • Lây nhiễm từ thiết bị lưu trữ di động (USB drive, CD/DVD…) • Các loại worm, ransomware… lây nhiễm qua mạng nội • Các loại Trojan, spyware… mở backdoor từ ngồi vào máy • Người dùng khác đăng nhập vào máy: • Đánh cắp liệu • Xóa / cài phần mềm • Làm hỏng Hệ điều hành Nhu cầu việc hỗ trợ người dùng • Một số nhu cầu sử dụng Windows người dùng: • Người dùng muốn tự cấu hình Windows họ: • Muốn tự cài đặt / cấu hình phần mềm • Muốn tự cấu hình đặc tính Windows • Người dùng muốn đảm bảo an toàn cho liệu: • Dữ liệu lưu Document, Desktop… khơng cho dù phải cài lại Windows • Muốn truy cập nhanh liệu chia sẻ File Server • Muốn điều khiển máy tính họ từ xa • Muốn có phần mềm cần dùng • Muốn sử dụng máy in Triển khai Group policy • Vai trò GPO quản trị mạng: • Domain Group Policy sách thiết lập từ domain áp đặt xuống máy tính hay người dùng thuộc domain • Ứng dụng GPO vào quản trị hỗ trợ người dùng: • Áp đặt thiết lập bảo mật lên Windows máy người dùng • Quản lý chuyển hướng folder quan trọng người dùng • Quản lý thiết lập cấu hình máy tính người dùng • Thiết lập cấu hình giao tiếp mạng • Triển khai phần mềm qua mạng • Quy trình triển khai GPO AD-DS: • Tạo GPO (nếu cần) • Hiệu chỉnh sách GPO • Link GPO vào Sites, Domain, OU hay OU Triển khai Group policy • Vấn đề phạm vi áp đặt GPO: • Khi link GPO vào OU: • Những sách thuộc “Computer configuration” có hiệu lực Computers, khơng ảnh hưởng đến Users • Những sách thuộc “User configuration” có hiệu lực Users, khơng ảnh hưởng đến Computers Triển khai Group policy • Administrative Templates: • Là sách mẫu nhằm hỗ trợ cấu hình mơi trường làm việc cho Windows Users miền quản trị • Administrative template dành cho Computers: • Control Panel, Network, Printers, System, Windows-based components • Administrative template dành cho Users: • Desktop, Start menu and taskbar, Network, Control Panel, System Các GPO thiết lập bảo mật • Các sách bảo mật bản: • Account policies: sách tăng cường bảo mật tài khoản • Password policy • Account policy • Local policies: sách tăng cường bảo mật Windows máy tính người dùng • User rights Assignment • Security Options Các GPO thiết lập bảo mật • Account Policies: • Password policy: sách mật tài khoản • Max password age: (num) tuổi thọ tối đa mật (số ngày) • Min password age: (num) tuổi thọ tối thiểu mật (số ngày) • Min password length: (num) số ký tự tối thiểu mật • Complexity password: (enabled / disable) độ phức tạp mật • Password history: (num) số lượng mật phải đặt Các GPO thiết lập bảo mật • Account Policies: • Account lockout: sách “khóa” tài khoản • Lockout threshold: (num) số lần nhập mật sai khóa tài khoản • Lockout duration: (num) đặt thời gian tạm khóa tài khoản (số phút) • Reset account lockout after: (num) thời gian (phút) đếm lại số lần nhập password sai 10 GPO cấu hình cơng cụ bảo mật • Cấu hình Windows Firewall từ Administrative templates: • Nhánh: Computer Configuration -> Administrative Templates -> Network -> Network Connections -> Windows Firewall • Domain profile: cấu hình Firewall cho card mạng kết nối domain • Standard profile: cấu hình cho card mạng khơng kết nối domain 15 GPO cấu hình cơng cụ bảo mật • Áp đặt cấu hình User Account Control (UAC): • Nhánh Computer configuration -> Policies -> Windows settings -> Security Settings -> Local Policy -> Security Options • Hiệu chỉnh hạng mục “User Account Control: ” Trong đó: • Behavior of the elevation prompt for administrators in Admin Approval Mode – yêu cầu admin password chạy công cụ quản trị • Detect application installations and prompt for elevation - nhắc nhở cài đặt ứng dụng • Run all administrators in Admin Approval Mode - nhắc nhở chạy ứng dụng kiểu “Run as administrator” 16 GPO cấu hình cơng cụ bảo mật • Áp đặt cấu hình Windows Defender: • Nhánh Computer configuration -> Policies -> Administrative templates -> Windows Defender Antivirus • Hiệu chỉnh hạng mục Windows Defender • “Real-time protection” hiệu chỉnh cấu hình bảo mật theo thời gian thực 17 Các GPO hỗ trợ người dùng • Restricted Groups: • Chức năng: đưa group thuộc Domain làm thành viên local groups (thuộc máy Client) • Ứng dụng: nâng quyền sử dụng máy Clients cho nhóm người dùng thuộc Domain 18 Các GPO hỗ trợ người dùng • Folder Redirection: • Chức năng: • Chuyển hướng folder cá nhân users lưu trữ File Server • Ứng dụng: • Đảm bảo an tồn cho liệu cá nhân người dùng • Người quản trị giám sát liệu cá nhân người dùng 19 Các GPO hỗ trợ người dùng • Folder Redirection: • Cấu hình GPO cho Folder Redirection 20 Hỗ trợ Group Policy Preference • Group Policy Preference: • Là GPO dạng trực quan, cho phép thực thao tác: created, deleted, replaced, updated lên Windows người dùng • Group Policy Preference hỗ trợ thao tác: mapped drives, shortcuts, registry changes, power options, schedules tasks… 21 Hỗ trợ Group Policy Preference • Tạo ổ đĩa ánh xạ: • Map network drive: thư mục chia sẻ FS ánh xạ thành ổ đĩa máy người dùng để tiện truy cập • Chỉ nên lập Map drive với folder người dùng có quyền truy cập 22 Hỗ trợ Group Policy Preference • Một số chức khác: • Thực hiện: created (copy), replaced, deleted lên máy người dùng: • Files, Folder, shortcut… • User, group… • Thực hiệu chỉnh máy người dùng: • Registry, Environment… • Network options, Power options… 23 Triển khai phần mềm GPO • Phân loại phần mềm theo quyền cài đặt: • Loại phần mềm có can thiệp vào hệ thống: • Yêu cầu quyền Administrator để cài đặt • Thêm / sửa tập tin hệ thống folder Windows, System32… • Chỉnh sửa thông số Registry: Hkey_Local_Machine, • Loại phần mềm khơng can thiệp hệ thống: • Cho phép cài đặt quyền Limited Users… • Khơng thêm / sửa folder hệ thống Windows, System32… • Chỉ chỉnh sửa thơng số Registry: Hkey_Current_User • Phân loại phần mềm theo phương thức đóng gói: • Phần mềm đóng gói theo chuẩn Microsoft MSI • Phần mềm đóng gói theo chuẩn chung EXE 24 Triển khai phần mềm GPO • Triển khai phần mềm GPO từ gói MSI • Dùng: Computer 🡪 … 🡪Software Installation: phần mềm có can thiệp vào hệ thống • Dùng: User 🡪 … 🡪Software Installation: phần mềm không can thiệp vào hệ thống 25 Triển khai phần mềm GPO • Triển khai phần mềm GPO từ gói EXE: • Dùng: Computer 🡪 … 🡪Startup script: phần mềm có can thiệp vào hệ thống • Dùng: User 🡪 … 🡪 Logon script : phần mềm không can thiệp vào hệ thống 26 Triển khai phần mềm GPO • Quy trình triển khai phần mềm GPO: • Chia sẻ phần mềm cho Domain user truy cập quyền Read • Tạo GPO cấu hình triển khai phần mềm • Phải sử dụng “network path” nơi chứa source phần mềm • Điều chỉnh options cần thiết • Link GPO vào OU Domain chứa đối tượng muốn triển khai phần mềm 27 Triển khai phần mềm GPO • Thực thi cài đặt phần mềm từ GPO: • Các Client nhận cập nhật GPO: • Sau thời gian định kỳ (refresh interval) • Hoặc: thực thi lệnh GPUpdate / force Client • Máy Client tự động thực thi cài đặt phần mềm • Khi khởi động máy – triển khai từ Computer configuration • Khi người dùng logon – triển khai từ User configuration Computer starts Refresh Interval Computer settings applied • Startup scripts run • User logs on Refresh Interval User settings applied • Logon scripts run • 28 Cám ơn ! 29