Báo cáo bài tập lớn môn quản trị mạng Tìm hiểu chính sách nhóm

Contents DANH MỤC HÌNH VẼ 3 LỜI NÓI ĐẦU 4 Chương I: KHÁI QUÁT CHUNG 5 1.1. Hệ điều hành Windows Server 2003 5 1.2. Nâng cấp thành máy chủ quản trị miền 6 1.3. Các khái niệm cơ bản về Active Directory 14 1.3.1. Phân biệt hai mô hình Workgroup và Domain 14 1.3.2. Dịch vụ thư mục và Active Directory 14 1.3.3. Một số khái niệm liên quan đến Active Directory 14 Chương II: CƠ BẢN VỀ CHÍNH SÁCH NHÓM 16 2.1. Một số khái niệm về chính sách nhóm 16 2.1.1. Chính sách nhóm là gì? 16 2.1.2. Thế nào là đối tượng chính sách nhóm? 16 2.1.3. Phân loại đối tượng chính sách nhóm. 16 2.1.4. Công cụ chỉnh sửa chính sách nhóm 17 2.1.5. Thực thể chính sách nhóm và các thiết lập chính sách 20 2.1.6. Các thiết lập phần mềm (Software settings) 21 2.1.7. Chính sách nhóm trên nền Active Directory 25 2.2. Vòng đời của GPO. 28 2.2.1. GPO được sinh ra như thế nào? 28 2.2.2. GPO tồn tại như thế nào? 28 2.2.3. Sự kết thúc vòng đời của GPO 30 2.3. Các máy trạm nhận GPO như thế nào 30 2.3.1. Clientside Extensions (CSEs) 31 2.3.2. Các thiết lập Administrative Templates được lưu trữ ở đâu? 31 Chương III: QUẢN LÝ CHÍNH SÁCH NHÓM VỚI GPMC 31 3.1. Cài đặt GPMC 32 3.1.1. GPMC là gì? 32 3.1.2. Mục tiêu và thiết kế và sử dụng GPMC 32 1 Tìm hiểu chính sách nhóm 3.1.3. Môi trường hoạt động của GPMC 3.1.4. Cài đặt GPMC trên máy chủ quản trị miền Ta có giao diện của GPMC như sau: 3.2. Những thành phần và chức năng chung của GPMC 3.2.1. Tăng giảm độ ưu tiên khi có nhiều GPO 3.2.2. Dừng một GPO đang được thi hành 3.2.3. Ngăn chặn kế thừa 3.2.4. Chức năng Enforced 3.3. Sao lưu và phục hồi các đối tượng các chính sách nhóm 3.3.1. Sao lưu GPO 3.3.2. Phục hồi GPO Chương IV: THỰC HIỆN BẢO MẬT CHÍNH SÁCH NHÓM 4.1. Kịch bản logon, logoff, startup, shutdown 4.1.1. Tạo các script logon, logoff 4.1.2. Tạo các script startup và shutdown 4.2. Các chính sách giới hạn phần mềm 4.2.1. Các quy tắc giới hạn phần mềm 4.2.2. SRP và Digital Signatures 4.2.3. Sửa lỗi SRP 2

1.3.1 Phân biệt hai mô hình Workgroup và Domain 14

1.3.3 Một số khái niệm liên quan đến Active Directory 14

2.1.5 Thực thể chính sách nhóm và các thiết lập chính sách 20

2.1.6 Các thiết lập phần mềm (Software settings) 21

2.1.7 Chính sách nhóm trên nền Active Directory 25

2.3.2 Các thiết lập Administrative Templates được lưu trữ ở đâu? 31

1

3.1.3 Môi trường hoạt động của GPMC

3.1.4 Cài đặt GPMC trên máy chủ quản trị miền

Ta có giao diện của GPMC như sau:

3.2 Những thành phần và chức năng chung của GPMC

3.2.1 Tăng giảm độ ưu tiên khi có nhiều GPO

3.2.2 Dừng một GPO đang được thi hành

3.2.3 Ngăn chặn kế thừa

3.2.4 Chức năng Enforced

3.3 Sao lưu và phục hồi các đối tượng các chính sách nhóm

3.3.1 Sao lưu GPO

3.3.2 Phục hồi GPO

Chương IV: THỰC HIỆN BẢO MẬT CHÍNH SÁCH NHÓM

4.1 Kịch bản logon, logoff, startup, shutdown

4.1.1 Tạo các script logon, logoff

4.1.2 Tạo các script startup và shutdown

4.2 Các chính sách giới hạn phần mềm

4.2.1 Các quy tắc giới hạn phần mềm

4.2.2 SRP và Digital Signatures

4.2.3 Sửa lỗi SRP

Hình 1 1: Cửa sổ Run 6

Hình 1 4 : Cài đặt máy chủ quản trị miền cho 1 miền mới 7

Hình 2 3: Domain Controller Group Policy Object Editor 19

3

LỜI NÓI ĐẦU

Bảo mật và an toàn thông tin trong thời đại ngày nay đóng một vai trò thiết yếu đối với ngành công nghệ thông tin Hầu như mọi ngành nghề lĩnh vực đều có thể áp dụng công nghệ thông tin để nâng cao hiệu quả công việc, gọn gàng hơn trong việc quản lý các tư liệu, nhẹ nhàng hơn trong việc xử lý các thủ tục đầu ra Các tiện ích do công nghệ đem lại là không thể phủ nhận và nó không thể tách rời khỏi cuộc sống hiện tại của toàn thế giới Tuy vậy, đi đôi với những lợi ích đó là những mối nguy hiểm đến

từ chính môi trường này – môi trường thông tin Việc số hóa tất cả các tư liệu, tài liệu

có thể đem lạ sự nhẹ nhàng trong lưu trữ, tìm kiếm và xử lý nhưng nó cũng đi kèm với nguy cơ bị đánh cắp qua mạng Với một trình độ công nghệ có hạng, ta sẽ dề dàng lấy được những tài liệu tại những nơi có độ bảo mật kém Việc mất đi những tư liệu then chốt như các hợp đồng, các bí mật trong làm ăn của một tổ chức sẽ đem đến những hậu quả không ai lường được Do đó cần thiết phải có những biện pháp để bảo vệ các nguồn tài nguyên của một công ty hay một tổ chức

Xuất phát từ điều đó, nhóm chúng tôi quyết định chọn đề tài này: “Sử dụng chính sách nhóm trong Windows XP và Windows 2003” Đề tài này chỉ nói lên một khía cạnh nhỏ trong vấn đề bảo mật với phạm vi hữu hạn là mạng nội bộ trong một công ty hay một tổ chức Mạng nội bộ của một tổ chức có thể nói là một nút trong hệ thống mạng toàn cầu, thực hiện bảo vệ thông tin theo tôi nghĩ phải đi từ mức thấp nhất trở đi Trong một mạng nội bộ, các tài nguyên là tài sản dùng chung và cần thiết phải có các quy tắc bảo vệ những tài sản chung đó, tránh trường hợp vì những lý do bất cẩn hay cố

ý của người dùng mà bị thay đổi hay nguy hiểm hơn là xoá mất

Sử dụng chính sách nhóm là một giải pháp bảo vệ sự an toàn của tài nguyên mạng Chúng ta có thể thực hiện phân quyền đối với người dùng, giới hạn tính năng phần mềm, theo dõi và kiểm tra các hoạt động của người dùng trong mạng, …

Mặc dù đây chỉ là một phần nhỏ trong lĩnh vực bảo mật nhưng tôi cũng chưa thể sử dụng hết các tính năng của chính sách nhóm Những kiến thức thu được từ đề tài tìm hiểu này phần lớn là những kiến thức cơ bản, có một số phần là nâng cao Nếu có thể được, ở những lần tìm hiểu sau tôi sẽ hoàn chỉnh các kỹ năng với chính sách nhóm

1.1 Hệ điều hành Windows Server 2003

Windows Server 2003 là sản phẩm mới nhất trong các hệ điều hành Windows Server và được cải tiến rất nhiều so với các phiên bản trước đó:

Trong đề tài này chúng ta sẽ sử dụng phiên bản Enterprise (doanh nghiệp)

Enterprise Edition Cấu hình tối thiểu Cấu hình đề nghị

Phiên bản này có các tính năng:

- Các loại dịch vụ: Thư mục, Internet, cơ sở hạ tầng, định tuyến TCP/IP, File và in ấn, đầu cuối, bảo mật, siêu thư mục Microsoft

- Hỗ trợ: Chuỗi máy chủ, bộ nhớ RAM cắm nóng, quản trị tài nguyên hệ thống của Windows

5

1.2 Nâng cấp thành máy chủ quản trị miền

- Từ cửa sổ RUN ta gõ vào DCPROMO

Hình 1 1: Cửa sổ Run

- Trình cài đặt Active Directory xuất hiện, nhấn Next để tiếp tục

Hình 1 2: Cửa sổ Active Directory

Hình 1 3 : Màn hình tương thích giữa các phiên bản

- Chọn cài đặt máy chủ quản trị miền cho 1 miền mới, nhấn Next

Hình 1 4 : Cài đặt máy chủ quản trị miền cho 1 miền mới

7

- Chọn tạo một miền trong một rừng mới, nhấn Next

Hình 1 5: Tạo một miền trong một rừng mới

- Nhập vào tên miền mà chúng ta muốn tạo, nhấn Next

- Màn hình tên miền NetBIOS xuất hiện, nhấn Next

Hình 1 7: Màn hình tên miền xuất hiện

- Màn hình cơ sở dữ liệu và thư mục nhật ký xuất hiện, nhấn Next

Hình 1 8: Màn hình CSDL và thư mục nhật kí

9

- Chọn đường dẫn cho ổ đĩa hệ thống chia sẻ, nhấn Next

Hình 1 9: Màn hình chọn đường dẫn ổ đĩa

- Chọn cài đặt máy chủ DNS trên máy tính này, nhấn Next

Hình 1 10: Chọn cài đặt DNS server

- Chọn chế độ cấp phép, ở đây là cho Windows 2000 và 2003, nhấn Next

Hình 1 11: Chọn chế độ cấp phép

- Cài đặt mật khẩu Administrator trong trường hợp phục hồi lại dịch vụ thư mục, nhấn Next

11

Hình 1 12: Cài đặt mật khẩu Admin

- Sau khi cài đặt xong, kết thúc và khời động lại hệ điều hành

Hình 1 15: Kết thúc cài đặt

13

1.3 Các khái niệm cơ bản về Active Directory

1.3.1 Phân biệt hai mô hình Workgroup và Domain

Mô hình Workgroup (nhóm làm việc) là một nhóm từ 10 máy tính trở lại, là hệ thống mạng nội bộ đầu tiên, có khả năng chia sẻ tài nguyên như văn bản, máy in Đối với mô hình này, không có máy chủ trung tâm, mỗi máy tính đều là server đối với tài nguyên của mình Mô hình này chỉ thích hợp với các mạng rất nhỏ

Mô hình Domain (miền) là mô hình mạng phỏ biến hiện nay trong các tổ chức, doanh nghiệp Trong mỗi một miền sẽ có một máy chủ quản trị miền lưu giữ tất cả thông tin về mạng Tất cả các máy tính trong mạng sẽ truy cập đến tài nguyên chung ở máy chủ này

1.3.2 Dịch vụ thư mục và Active Directory

Một dịch vụ thư mục (Directory service) là một nguồn tài nguyên số hoá chứa một danh sách các tài nguyên có thể sử dụng trong một hệ thống mạng dữ liệu Một dịch vụ thư mục có thể chứa các thông tin về các máy tính trong mạng, các người dùng mạng và cả các thiết bị phần cứng, phần mềm Các tài nguyên này được lưu trữ tại một thư mục trung tâm nên mọi người đều có thể sử dụng tại mọi thời điểm

Active Directory (AD) là một dịch vụ thư mục, nhưng không chỉ giữ vai trò

là một cơ sở dữ liệu, nó chứa một danh sách các thành phần hỗ trợ bao gồm cả các Transaction Logs (Nhật ký giao dịch) và dữ liệu hệ thống – Sysvol – nơi chứa các thông tin về kịch bản đăng nhập và chính sách nhóm Nó là một dịch vụ hỗ trợ và

sử dụng các cơ sở dữ liệu này bao gồm giao thức Lightweight Directory Access Protocol (Giao thức truy cập thư mục hạng nhẹ), giao thức bảo mật Kerberos, các chu trình đồng bộ dữ liệu và dịch vụ đồng bộ file Cuối cùng, AD là một bộ sưu tập

các công cụ mà người quản trị mạng có thể sử dụng để quản lý dịch vụ thư mục

1.3.3 Một số khái niệm liên quan đến Active Directory

Miền (Domain): Là một đơn vị quản trị cơ bản của dịch vụ thư mục trong

Windows Server 2003

Cây (Tree): Là một cấu trúc logic được tạo bởi nhiều miền.

Rừng (Forest): Nhiều cây hợp lại.

đối tượng là một phần tử thể hiện một tài nguyên mạng xác định Có 2 loại đối tượng

là đối tượng chứa và đối tượng lá

Đối tượng chứa (Container): Là đối tượng mà bản thân nó có thể chứa các đối

tượng khác Đó là các đơn vị tổ chức, nhóm

Đối tượng lá (Leaf): Là các đối tượng không chứa được đối tượng khác VD:

người dùng, máy tính

Đơn vị tổ chức (Organizational Unit): Là một đối tượng chứa được sử dụng để

tạo ra các nhóm logic bao gồm các đối tượng như máy tính, người dùng và nhóm

Máy tính (Computer): Thể hiện một máy tính trong mạng va cung cấp tài khoản

máy tính cần thiết cho hệ thống để đăng nhập vào miền

Người dùng (User): Thể hiện một người dùng mạng và thực hiện chức năng là

dữ liệu để nhận dạng và xác thực

Nhóm (Group): Thể hiện một nhóm logic người dùng, máy tính hoặc các nhóm

khác Các nhóm có thể chứa các đối tượng từ OU và các miền

Chính sách nhóm (Group Policy) : Là một tính năng của AD cho phép xác định

các thiết lập bảo mật, triển khai phần mềm, cấu hình hệ điều hành và cách thức hoạt động của các ứng dụng trên một máy tính mà không cần thiết phải thực hiện trực tiếp trên máy tính đó

15

Chương II: CƠ BẢN VỀ CHÍNH SÁCH NHÓM

Ở chương trước, chúng ta đã nắm được những khái niệm cơ bản về Active Directory, về miền và các đối tượng trong miền Đó là tiền đề để chúng ta tìm hiểu các chương sau Ở chương này, chúng ta sẽ đi vào chủ đề chính – Chính sách nhóm Chương này bàn về các khái niệm cơ bản chứ chưa thao tác cụ thể với chính sách nhóm, tuy vậy chương này rất quan trọng và nếu không nắm được chúng ta sẽ không thể đi tiếp các chương sau Các nội dung chính ở chương này là:

Chính sách nhóm (Group Policy): Là một tập hợp các thiết lập cấu hình người

dùng và máy tính, nó chỉ rõ cách các chương trình, tài nguyên mạng và hệ điều hành làm việc đối với tài khoản người dùng và máy tính trong một tổ chức Chính sách nhóm có thể thiết lập cho các máy tính (computer), các site, các miền (domain) hay các đơn vị tổ chức (OU) Ví dụ: Sử dụng chính sách nhóm bạn có thể cho phép những chương trình nào người dùng được phép sử dụng, những chương trình nào xuất hiện trên màn hình desktop hay thanh thực đơn Start của người dùng Mặc dù có tên gọi là

“Chính sách nhóm” nhưng bản chất các thiết lập chính sách này không phải dành cho các nhóm mà là áp dụng cho các đối tượng chứa đồng thời tác động lên tất cả các đối tượng trong các đối tượng chứa

2.1.2 Thế nào là đối tượng chính sách nhóm?

Đối tượng chính sách nhóm (Group Policy Object - GPO): Là một tập hợp

các thiết lập chính sách nhóm, các GPO chỉ đơn giản là các tư liệu được tạo ra bởi một công cụ cài đặt chính sách nhóm (Group Policy Object Editor) Các GPO được lưư trữ

ở cấp độ miền và chúng tác động lên tất cả các tài khoản máy tính và người dùng chứa trong các site, các miền và các đơn vị tổ chức

2.1.3 Phân loại đối tượng chính sách nhóm.

Được lưu trữ trên mỗi máy tính mà không phải là thành viên của miền (tài khoản máy tính cục bộ) Chính sách nhóm cục bộ chỉ tác động lên duy nhất máy tính

mà nó được lưu trữ Tuy nhiên đây là kiểu chính sách nhóm ít có ảnh hưởng nhất vì

nó chỉ có tác dụng trong một máy tính và nếu máy tính này tham gia vào miền thì nó

sẽ không có tác dụng gì trong miền cả Trong một môi trường không mạng hoặc một mạng Workgroup thì chính sách cục bộ lại có ưu thế vì bản thân mỗi máy tính có tác dụng như một server đối với tài nguyên máy đó Đối tượng chính sách nhóm cục bộ

được lưu trữ tại : %Systemroot%\System32\GroupPolicy

2.1.3.2 Chính sách nhóm không cục bộ

Chính sách nhóm miền (Domain GPO): Được lưu trữ trên máy chủ quản trị miền, tác động lên tất cả các tài khoản người dùng và máy tính nằm trong miền bao gồm cả máy chủ quản trị miền Đây là kiểu chính sách nhóm được sử dụng phổ biến nhất

Chính sách nhóm đối với máy chủ quản trị miền (Domain Controller GPO): Được lưu trữ trên máy chủ quản trị miền, chỉ tác động lên máy chủ quả trị miền, tuy nhiên nó chỉ tác động lên tài khoản máy tính chứ không tác động lên tài khoản người dùng Hai kiểu đối tượng chính sách nhóm trên được lưu trữ tại:

%Systemroot%\SYSVOL\sysvol\Domain Name\Policíes\GPO GUID\ADM.

Lưu ý: GPO chỉ được áp dụng cho các hệ điều hành Windows XP, Windows

2000, Windows 2003 và không áp dụng cho Windows 95, Windows 98, Windows ME hay Windows NT

Một GPO liên kết đến một site sẽ tác động lên tất cả các máy tính trong site đó Bởi thông tin thư mục được đồng bộ hoá giữa các máy chủ quản trị miền trong một site và đến bất kì mấy chủ quản trị miền nào mà site đó liên kết đến Do đó một GPO

có thể áp đặt cho nhiều miền trong một rừng ngay cả khi GPO đó được lưu trữ trong một miền nhất định và chỉ được đọc tại miền đó trong khi các máy khách chịu tác động đọc GPO liên kết đến site của chúng

2.1.4 Công cụ chỉnh sửa chính sách nhóm

17

Công cụ chỉnh sửa chính sách nhóm (Group Policy Object Editor - GPOE) : Là thứ mà bạn sử dụng để tổ chức và quản lý các thiết lập chính sách nhóm trong mỗi GPO Chúng ta sẽ xem xét đến 3 loại GPOE :

- Local Group Policy Object Editor (Hình 2.1)

- Domain Group Policy Object Editor (Hình 2.2)

- Domain Controller Group Policy Object Editor (Hình 2.3)

(*) Để sử dụng công cụ cục bộ, bạn vào Start/Run gõ GPEDIT.MSC :

Hình 2 1: Local Group Policy Object Editor

Hình 2 3: Domain Controller Group Policy Object Editor

19

(*) Để sử dụng Domain GPO:

- Tại máy chủ Windows 2003, vào Start/Programs/Administrative Tools chọn Active Directory users and computers hoặc vào Start/Run gõ dsa.msc.

- Nhấp chuột phải vào tên Domain, chọn properties

- Chọn thẻ Group Policy, chọn Edit Giao diện bạn nhìn được sẽ như hình 2.

(*) Cuối cùng để sử dụng Domain Controller GPO thì phức tạp hơn :

- Vào Start/Run gõ mmc

- Vào File chọn Add/Remove Snap-in hoặc sử dụng phím tắt Ctrl-m.

- Tại thẻ Standalone, chọn Add

- Trong hộp thoại Add Standalone Snap-in hiện ra chọn Group Policy

- Trong hộp thoại Select Group Policy Object chọn Browse

- Cửa sổ Browse for a Group Policy Object hiện ra, nhấp đúp vào thư mục Domain Controller và chọn Default Domain Controller Policy

Nhấn Finish, OK và ta được giao diện như hình 3

2.1.5 Thực thể chính sách nhóm và các thiết lập chính sách

Mỗi GPO chia làm 2 nửa, 1 nửa cho Computer, 1 nửa cho User, chúng ta có thể

nhìn vào hình dưới đây để thấy được điều đó:

Hình 2 5: Thiết lập phần mềm

Tại node này chỉ có một phần mở rộng duy nhất là Software installation, nó

cho phép ta quy định những phần mềm nào được cài đặt và bảo trì trong mạng của chúng ta

Khi cấu hình các chính sách trong mục này, chúng ta có thể quản lý các ứng dụng dưới hai hình thức:

- Assign: Khi ta muốn một tài khoản người dùng hay máy tính nằm trong phạm

vi tác động của GPO có được ứng dụng này

- Publish: Khi ta muốn một ứng dụng nào đó sẵn sàng cho người dùng được quản

lý bởi GPO

2.1.6.1 Các thiết lập Windows (Windows settings)

Hình 2 6: Thiết lập Windows

Trong cả 2 nhánh máy tính và người dùng đều có các Script mở rộng (Scripts)

và các thiết lập bảo mật (Security Settings).

Các Script mở rộng gồm 2 kiểu:

21

- Khởi động/Kết thúc (Startup/Shutdown – Nhánh máy tính): Chạy khi máy tính khởi động hoặc tắt.

- Đăng nhập/Đăng xuất (Logon/Logoff – Nhánh người dùng): Chạy khi người dùng đăng nhập hoặc đăng xuất

Windows Server 2003 thực thi các Script theo thứ tự từ trên xuống dưới và

ta hoàn toàn có thể điều chỉnh thứ tự các Script sao cho hợp lý trong hộp thoại

Properties

Khi chúng ta thực hiện tắt máy, Windows đầu tiên sẽ thực hiện Script logoff, sau

đó mới đến Script shutdown Mặc định, giá trị thời gian trễ tạm ngừng (timeout) là

10 phút Nếu các Script trên đòi hỏi hơn 10 phút để xử lý, ta cần phải điều chỉnh lại giá trị bằng chính sách phần mềm Chúng ta có thể sử dụng bất cứ ngôn ngữ kịch bản

ActiveX nào để viết các Script như VBScript, JScript, PERL hay các tệp bat (Batch Files).

Lưu ý : Một điểm mới trong Windows Server 2003 là các Script logon nằm

trong thư mục chia sẻ ở một rừng khác sẽ hỗ trợ việc đăng nhập “xuyên rừng” (Across Forests).

Các thiết lập bảo mật:

Cho phép người quản trị cấu hình các mức độ bảo mật gán cho GPO cục bộ hoặc không cục bộ

Trong nhánh người dùng, ngoài các Script và thiết lập bảo mật còn có :

- Remote Installation Services (RIS): Dùng để điều khiển quá trình cài đặt hệ

điều hành từ xa

- Folder Redirection : Cho phép gửi lại (redirect) các thư mục đặc biệt như

Application Data, Desktop, My Documents, Start menu từ địa chỉ profile người dùng mặc định đến địa chỉ thay thế trên mạng, nơi các profile này được quản lý chung

- Internet Explorer Maintenance: Cho phép quản trị và tuỳ biến Trình duyệt

web IE trên máy tính chạy Windows Server 2003