TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng môn học: QUẢN TRỊ MẠNG Chương 6: DÙNG GROUP POLICY HỖ TRỢ NGƯỜI DÙNG MẠNG Số tín chỉ: Số tiết: 60 tiết (30 LT + 30 TH) GV: ThS Nguyễn Thị Phong Dung Email : ntpdung@ntt.edu.vn NỘI DUNG • Nhu cầu việc hỗ trợ người dùng • Triển khai Group Policy • Các GPO thiết lập bảo mật • GPO cấu hình cơng cụ bảo mật • Các GPO hỗ trợ người dùng • Hỗ trợ Group Policy Preference • Triển khai phần mềm GPO Nhu cầu việc hỗ trợ người dùng • Một số nguy bảo mật người dùng Windows: • Nguy mật người dùng: • Người dùng tự lộ mật • Kẻ cơng dị tìm (kiểu Brute-force hay Dictionary) • Nguy lây nhiễm phần mềm độ hại: • Lây nhiễm từ thiết bị lưu trữ di động (USB drive, CD/DVD…) • Các loại worm, ransomware… lây nhiễm qua mạng nội • Các loại Trojan, spyware… mở backdoor từ ngồi vào máy • Người dùng khác đăng nhập vào máy: • Đánh cắp liệu • Xóa / cài phần mềm • Làm hỏng Hệ điều hành Nhu cầu việc hỗ trợ người dùng • Một số nhu cầu sử dụng Windows người dùng: • Người dùng muốn tự cấu hình Windows họ: • Muốn tự cài đặt / cấu hình phần mềm • Muốn tự cấu hình đặc tính Windows • Người dùng muốn đảm bảo an toàn cho liệu: • Dữ liệu lưu Document, Desktop… khơng cho dù phải cài lại Windows • Muốn truy cập nhanh liệu chia sẻ File Server • Muốn điều khiển máy tính họ từ xa • Muốn có phần mềm cần dùng • Muốn sử dụng máy in Triển khai Group policy • Vai trò GPO quản trị mạng: • Domain Group Policy sách thiết lập từ domain áp đặt xuống máy tính hay người dùng thuộc domain • Ứng dụng GPO vào quản trị hỗ trợ người dùng: • Áp đặt thiết lập bảo mật lên Windows máy người dùng • Quản lý chuyển hướng folder quan trọng người dùng • Quản lý thiết lập cấu hình máy tính người dùng • Thiết lập cấu hình giao tiếp mạng • Triển khai phần mềm qua mạng • Quy trình triển khai GPO AD-DS: • Tạo GPO (nếu cần) • Hiệu chỉnh sách GPO • Link GPO vào Sites, Domain, OU hay OU Triển khai Group policy • Vấn đề phạm vi áp đặt GPO: • Khi link GPO vào OU: • Những sách thuộc “Computer configuration” có hiệu lực Computers, khơng ảnh hưởng đến Users • Những sách thuộc “User configuration” có hiệu lực Users, khơng ảnh hưởng đến Computers Triển khai Group policy • Administrative Templates: • Là sách mẫu nhằm hỗ trợ cấu hình mơi trường làm việc cho Windows Users miền quản trị • Administrative template dành cho Computers: • Control Panel, Network, Printers, System, Windows-based components • Administrative template dành cho Users: • Desktop, Start menu and taskbar, Network, Control Panel, System Các GPO thiết lập bảo mật • Các sách bảo mật bản: • Account policies: sách tăng cường bảo mật tài khoản • Password policy • Account policy • Local policies: sách tăng cường bảo mật Windows máy tính người dùng • User rights Assignment • Security Options Các GPO thiết lập bảo mật • Account Policies: • Password policy: sách mật tài khoản • Max password age: (num) tuổi thọ tối đa mật (số ngày) • Min password age: (num) tuổi thọ tối thiểu mật (số ngày) • Min password length: (num) số ký tự tối thiểu mật • Complexity password: (enabled / disable) độ phức tạp mật • Password history: (num) số lượng mật phải đặt Các GPO thiết lập bảo mật • Account Policies: • Account lockout: sách “khóa” tài khoản • Lockout threshold: (num) số lần nhập mật sai khóa tài khoản • Lockout duration: (num) đặt thời gian tạm khóa tài khoản (số phút) • Reset account lockout after: (num) thời gian (phút) đếm lại số lần nhập password sai 10 GPO cấu hình cơng cụ bảo mật • Cấu hình Windows Firewall từ Administrative templates: • Nhánh: Computer Configuration -> Administrative Templates -> Network -> Network Connections -> Windows Firewall • Domain profile: cấu hình Firewall cho card mạng kết nối domain • Standard profile: cấu hình cho card mạng khơng kết nối domain 15 GPO cấu hình cơng cụ bảo mật • Áp đặt cấu hình User Account Control (UAC): • Nhánh Computer configuration -> Policies -> Windows settings -> Security Settings -> Local Policy -> Security Options • Hiệu chỉnh hạng mục “User Account Control: ” Trong đó: • Behavior of the elevation prompt for administrators in Admin Approval Mode – yêu cầu admin password chạy công cụ quản trị • Detect application installations and prompt for elevation - nhắc nhở cài đặt ứng dụng • Run all administrators in Admin Approval Mode - nhắc nhở chạy ứng dụng kiểu “Run as administrator” 16 GPO cấu hình cơng cụ bảo mật • Áp đặt cấu hình Windows Defender: • Nhánh Computer configuration -> Policies -> Administrative templates -> Windows Defender Antivirus • Hiệu chỉnh hạng mục Windows Defender • “Real-time protection” hiệu chỉnh cấu hình bảo mật theo thời gian thực 17 Các GPO hỗ trợ người dùng • Restricted Groups: • Chức năng: đưa group thuộc Domain làm thành viên local groups (thuộc máy Client) • Ứng dụng: nâng quyền sử dụng máy Clients cho nhóm người dùng thuộc Domain 18 Các GPO hỗ trợ người dùng • Folder Redirection: • Chức năng: • Chuyển hướng folder cá nhân users lưu trữ File Server • Ứng dụng: • Đảm bảo an tồn cho liệu cá nhân người dùng • Người quản trị giám sát liệu cá nhân người dùng 19 Các GPO hỗ trợ người dùng • Folder Redirection: • Cấu hình GPO cho Folder Redirection 20 Hỗ trợ Group Policy Preference • Group Policy Preference: • Là GPO dạng trực quan, cho phép thực thao tác: created, deleted, replaced, updated lên Windows người dùng • Group Policy Preference hỗ trợ thao tác: mapped drives, shortcuts, registry changes, power options, schedules tasks… 21 Hỗ trợ Group Policy Preference • Tạo ổ đĩa ánh xạ: • Map network drive: thư mục chia sẻ FS ánh xạ thành ổ đĩa máy người dùng để tiện truy cập • Chỉ nên lập Map drive với folder người dùng có quyền truy cập 22 Hỗ trợ Group Policy Preference • Một số chức khác: • Thực hiện: created (copy), replaced, deleted lên máy người dùng: • Files, Folder, shortcut… • User, group… • Thực hiệu chỉnh máy người dùng: • Registry, Environment… • Network options, Power options… 23 Triển khai phần mềm GPO • Phân loại phần mềm theo quyền cài đặt: • Loại phần mềm có can thiệp vào hệ thống: • Yêu cầu quyền Administrator để cài đặt • Thêm / sửa tập tin hệ thống folder Windows, System32… • Chỉnh sửa thông số Registry: Hkey_Local_Machine, • Loại phần mềm khơng can thiệp hệ thống: • Cho phép cài đặt quyền Limited Users… • Khơng thêm / sửa folder hệ thống Windows, System32… • Chỉ chỉnh sửa thơng số Registry: Hkey_Current_User • Phân loại phần mềm theo phương thức đóng gói: • Phần mềm đóng gói theo chuẩn Microsoft MSI • Phần mềm đóng gói theo chuẩn chung EXE 24 Triển khai phần mềm GPO • Triển khai phần mềm GPO từ gói MSI • Dùng: Computer 🡪 … 🡪Software Installation: phần mềm có can thiệp vào hệ thống • Dùng: User 🡪 … 🡪Software Installation: phần mềm không can thiệp vào hệ thống 25 Triển khai phần mềm GPO • Triển khai phần mềm GPO từ gói EXE: • Dùng: Computer 🡪 … 🡪Startup script: phần mềm có can thiệp vào hệ thống • Dùng: User 🡪 … 🡪 Logon script : phần mềm không can thiệp vào hệ thống 26 Triển khai phần mềm GPO • Quy trình triển khai phần mềm GPO: • Chia sẻ phần mềm cho Domain user truy cập quyền Read • Tạo GPO cấu hình triển khai phần mềm • Phải sử dụng “network path” nơi chứa source phần mềm • Điều chỉnh options cần thiết • Link GPO vào OU Domain chứa đối tượng muốn triển khai phần mềm 27 Triển khai phần mềm GPO • Thực thi cài đặt phần mềm từ GPO: • Các Client nhận cập nhật GPO: • Sau thời gian định kỳ (refresh interval) • Hoặc: thực thi lệnh GPUpdate / force Client • Máy Client tự động thực thi cài đặt phần mềm • Khi khởi động máy – triển khai từ Computer configuration • Khi người dùng logon – triển khai từ User configuration Computer starts Refresh Interval Computer settings applied • Startup scripts run • User logs on Refresh Interval User settings applied • Logon scripts run • 28 Cám ơn ! 29