CácthiếtlậpbảomậtđặcbiệtcủaGroupPolicy Ngu ồn : quantrimang.com Derek Melbe r Rất nhiều cácthiếtlậpbảomật có thể được cấu hình trong GroupPolicy Object. Cácthiếtlập đó trải rộng từ việc điều khiển tài khoản Administrator đến quản lý các nhu cầu máy khách LDAP. Với quá nhiều thiếtlậpbảomật như vậy thì việc hiểu được chức năng và các yếu tố cần thiết khác là một việc quan trọng. Trong bài viết này, chúng tôi sẽ giới thiệu một cách chi tiế t về một số thiếtlậpbảomật cũng như một số kịch bản chung nhất về bảo mật. Thi hành cácthiếtlậpbảomậtcủaGroupPolicy Đề tài này đã có các bài viết của chúng tôi hoặc báo khác nói đến rất nhiều, nhưng các bài viết trước đây chỉ giới thiệu cho bạn cách có thể bảo đảm cho cácthiếtlậpbảomật đ ó được áp dụng như thế nào. Còn trong bài này, chúng tôi muốn giới thiệu thêm một số chi tiết sâu hơn về cách có thể thẩm định thiếtlập nào là “các chính sách” và thiếtlập nào là “tham chiếu” để bạn có một sự hiểu biết rõ ràng về cách mỗi thiếtlập được áp dụng đối với máy tính. Với mỗi kiểu thiết lập, bạn có thể thực thi cácthiếtlập này ở khoảng thời gian làm mới Group Policy, khoảng thời gian này xấp xỉ 90 phút. Tất cả các chi tiết vẫn chạy ổn định và các kỹ thuật trong một số bài báo trước đây đã giới thiệu vẫn hợp lệ. Tuy vậy, có một công nghệ xây dựng đính kèm - “built-in” khác bạn cần tìm hiểu thêm ở đây. Công nghệ này cho phép bạn điều khiển khoảng thời gian cácthiếtlậpbảomật trong GPO được làm mới mà không cần tới b ất kỳ thay đổi nào đối với GPO. Sự thật là như vậy, bạn có thể có tất cả cácthiếtlậpbảomật tự động được áp dụng sau một khoảng thời gian X phút nào đó mà không cần thay đổi đến GPO. Giá trị của registry mà bạn cần thay đổi là MaxNoGPOListChangesInterval, xem trong hình 1. Hình 1: Bạn có thể thay đổi khoảng thời gian làm mới cácthiếtlậpbảomật trong GPO Bạn có thể tìm thiếtlập này trong Registry dưới đây: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC- 11D2-A4EA-00C04F79F83A} Giá trị mặc định cho thiếtlập này là 960 phút (hoặc 0x3c0 theo số hex). Thiếtlập này rất quan trọng vì nó cho phép quản trị viên bảo đảm rằng cácthiếtlậpbảomật đang tồn tại được có hiệu lực hay hết hiệu lự c đối với người dùng mà không cần phải đợi đến chu kỳ mỗi lần làm mới. Giờ đây người dùng đã có một máy trạm an toàn mà không cần phải quan tâm đến sự ảnh hưởng bất lợi củacácthiếtlậpbảomật tồn tại trong mỗi chu kỳ 90 phút. Lưu ý : Có một số ảnh hưởng bất lợi trong việc thiếtlập giá trị này quá thấp, đặcbiệt nếu bạn đang sử dụng thiếtlập này chung với các ảnh Sysprep. Hãy kiểm tra cácthiếtlập trước khi thực thi chúng vào sản phẩm. Các thiết lậpbảomật trong Domain Controller Có một số bài đã viết về đề tài này nhằm miêu tả cách Account Policies trong GPO ảnh hưởng tới bộ đ iều khiển miền và Security Accounts Manager (SAM) nội bộ trên các máy chủ và máy trạm trong miền như thế nào. Cácthiếtlập đó là duy nhất cho bộ điều khiển miền do bản chất của tất cả bộ điều khiển miền cần đồng bộ với một số thiếtlập cho miền rộng. Account Policies không chỉ là thiếtlập ảnh hưởng đến các bộ điều khiể n miền trường hợp này mà còn có một số thiết lậpbảomật khác chỉ có thể được áp dụng cho nút gốc của miền để gây ảnh hưởng lên các bộ điều khiển miền. Tiếp đó, cácthiếtlập này cần chức năng giống như vậy để tất cả các bộ điều khiển miền trong miền có một phía được đồng bộ và được hợp nhất khi trình diễn miền. Nếu máy trạm nào vào bộ điều khiển miền A và có thiếtlập X và m ột máy trạm khác vào bộ điều khiển B với thiếtlập Y thì có thể gây ra các hiệu quả xấu đáng kể trong toàn bộ công ty. Cácthiếtlập được áp dụng cho tất cả bộ điều khiển miền thông qua GPO có liên kết đến miền: • Account Policy • Network Security: Force logoff when logon hours expire – Bắt đăng xuất khi thời hạn đăng nhập hết hạn • Accounts: Administrator account status – Trạng thái tài khoản quản trị viên • Accounts: Guest account status – Trạng thái tài khoản khách • Accounts: Rename Administrator account – Thay đổi tên tài khoản quản trị viên • Accounts: Rename guest account – Thay đổi tên tài khoản khách Những điểm còn tồn tạicủacác thiết lậpbảomật Hầu hết gần đây có rất nhiều hoạt động xung quanh cácthiếtlập Registry và File hệ thống trong GPO. Cácthiếtlập này nằm dưới nút Computer Configuration như trong hình 2. Hình 2: Nút Registry và File System trong một GPO có thể điều khiển hầu hết các Registry Key hay File Cácthiếtlập này trong GPO có thể kiểm soát sự cho phép Registry Key, file hay folder. Chúng có thể được cấu hình đơn giản và thực hiện những công việc rất hiệu quả. Mặc dù vậy, lý do cho việc bất lợi là chúng có thể làm mất nhiều thời gian khi áp dụng. Khi một máy tính khởi động cácthiếtlập này có thể mất đến vài chu kỳ để áp dụng, điều đó gây ra sự chậm trễ đáng kể đối với người dùng trên máy trạm của họ. Nói chung các thiế t lập này cần phải được sử dụng một cách tiết kiệm. Thay vì sử dụng cácthiếtlập đó, tốt nhất bạn nên cấu hình cho phép bảomật này trong ảnh của máy trạm. Chỉ sử dụng cácthiếtlập chính sách này khi bạn không thể đặt các cho phép trong ảnh gốc hoặc bạn rơi vào tình huống có thể chỉ có một vài thiếtlập đang tồn tại được phân phối thông qua Group Policy. Mô tả bả o mật trong suốt quá trình chuyển đổi Sử dụng GPMC, bạn có thể chuyển đổi được các GPO từ một miền này sang một miền khác. Đây là một khả năng rất hữu dụng và thường được thực hiện trong khi chuyển các đối tượng từ một miền test sang sản phẩm thực thụ, hoặc giữa hai miền của sản phẩm với nhau. Trong hầu hết các trường h ợp, thiếtlập có trong GPO là “trung tính”, nghĩa là chúng chỉ là một sự chuyển đổi tính năng giữa “On” và “Off”. Mặc dù vậy, khi nói đến các thiết lậpbảo mật, không phải tất cả thiếtlập đều đơn giản như vậy. Có rất nhiều thiết lậpbảomật dựa vào tài khoản người dùng hay tài khoản nhóm để hướng vào nơi mà chúng áp dụng. Cácthiếtlập đó yêu cầu đến sự quan tâm đặcbiệt khi thực hiện chuyển đổi từ miền này sang miền khác. Bởi vì mỗi miền lại có cáctài khoản nhóm và tài khoản người dùng riêng cần phải được thông dịch với nhau. Cácthiếtlập bị ảnh hưởng bao gồm: • User rights assignment – Chỉ định quyền người dùng • Restricted groups – Các nhóm bị hạn chế • Services – Các dịch vụ • File system - Hệ thống file • Registry • GPO DACL, nếu bạn chọn để duy trì trong quá trình copy. Giải pháp cho vấn đề này là sử dụng bảng chuyển đổi Migration Tables trong GPMC như trong hình 3. Hình 3: Các bảng thông dịch cho phép đối với các chuyển đổi GPO của miền Kết luận Không phải tất cả cácthiếtlậpcủa GPO đều được tạo ra giống nhau như chúng ta đã được thấy. Khi nói đến cácthiếtlậpbảo mật, thì đây quả thực là một trường hợp hoàn toàn cần phải lưu ý. Bạn cần phải xem xét kỹ hơn nữa và kiểm tra tất c ả cácthiếtlậpbảomật trước khi đưa chúng vào sản phẩm. Một thực tiễn tốt nhất ở đây là cácthiếtlậpbảomật nên được áp dụng sau 16 giờ một lần, thậm chí không có sự thay đổi cácthiếtlập chính sách. Điều đó sẽ bảo đảm sự tin cậy và tính ổn định trong bảomậtcác máy trạm và máy chủ của bạn. Với các bộ đ iều khiển miền, bạn cũng cần phải hiểu biết thấu đáo hơn về vị trí mà cácthiếtlập nằm và được áp dụng, các bộ điều khiển miền hoạt động khác nhau như thế nào trên hầu hết các máy tính. Cuối cùng, khi thiếtlậpcáctài khoản người dùng và tài khoản nhóm, bạn phải thông dịch từ miền này sang một miền khác bằng các bảng Migration. Khi làm chủ được cácthiết l ập bảomật này thì mạng của bạn sẽ trở nên rất an toàn và ổn định! . số thiết lập bảo mật cũng như một số kịch bản chung nhất về bảo mật. Thi hành các thiết lập bảo mật của Group Policy Đề tài này đã có các bài viết của. Các thiết lập bảo mật đặc biệt của Group Policy Ngu ồn : quantrimang.com Derek Melbe r Rất nhiều các thiết lập bảo mật có thể được cấu hình trong Group