Kiểmsoátvềcácđiềukhoảntàinguyên Ngu ồn : quantrimang.com Derek Melbe r Mọi người đều biết rằng việc khóa chặt và bảo vệtàinguyên của mình trên mạng là một điều rất quan trọng. Cáctàinguyên cần được bảo vệ ở đây gồm có các thư mục, file được chứa trong chúng, cũng như một số khóa registry được đặt trên các máy chủ và máy trạm trong doanh nghiệp. Chúng ta không thể quên các đối tượng Active Directory cư trú trên các bộ điều khiển miền. Tất cả tàinguyên đ ó cần phải được bảo vệ để người dùng không có nhiệm vụ sẽ không thể truy cập vào đó. Để kiểmsoátđiềukhoản trên cáctàinguyên này, bạn có rất nhiều sự lựa chọn. Một số lựa chọn khá hấp dẫn hơn nên chúng ta hãy xem xét nghiên cứu tỉ mỉ đến các lựa chọn này. Điềukhoảntàinguyên 101 Để có được một thảo luận liên quan đến các đi ều khoảntài nguyên, chúng tôi đã phải gạn lọc những tàinguyên nào sẽ tấn công và cách bảo vệtàinguyên đó bằng cácđiềukhoản như thế nào. Quả thực chúng ta có một số lượng khổng lồ tàinguyên trên mỗi mạng, chính vì vậy không có cách nào có thể xử trí được tất cả chúng. Tuy vậy, chúng tôi sẽ giới thiệu những tàinguyên chính mà có lẽ bạn cũng là người quan tâm đến việc kiểmsoát chúng. Trước khi xử trí danh sách cáctài nguyên, chúng tôi muố n gạn lọc những gì dường như rất bừa bãi và lộn xộn thậm chí với cả các quản trị viên dày dạn kinh nghiệm. Có hai kiểu điềukhoản có thể được cấu hình trên mỗi tài nguyên. Đó là điềukhoản NTFS và điềukhoản chia sẻ. Cácđiềukhoản mà chúng ta sẽ thảo luận là điềukhoản NTFS. Cácđiềukhoản chia sẻ thực sự không cung cấp nhiề u tính năng bảo mật đối với tài nguyên, vì cácđiềukhoản này chỉ kiểmsoát sự truy cập vào thư mục được chia sẻ thay vì cung cấp sự kiểmsoát truy cập cốt lõi với các thư mục nhỏ và file có trong thư mục chia sẻ đó. Để gạn lọc ra nơi mà mỗi điềukhoản này được cấu hình, điềukhoản chia sẻ được cấu hình bằng sử dụng tab Share nh ư trong hình 1. Hình 1: Mục kiểmsoátcácđiềukhoản chia sẻ trong thư mục chia sẻ từ một mạng Cácđiềukhoản NTFS được kết hợp với tab Security như trong hình 2. Hình 2: Cácđiềukhoản NTFS được đặt và cấu hình trên tab Security Lưu ý : Tab Security thường không có sẵn trên các máy tính không có ấn bản NTFS được cấu hình. Các ấn bản này không được cấu hình như hệ thống file FAT hay FAT32. Cáctàinguyên có điềukhoản NTFS có liên quan gồm có: • Thư mục • Tệp • Các khoá registry • Máy in • Đối tượng Active Directory Danh sách cáctàinguyên này khá quan trọng vì chỉ có cáctàinguyên này có thể có Access Control List (ACL) tên hệ thống Windows. Trong bài này, chúng tôi sẽ tập trung vào cách thay đổi điềukhoản trên các thư mục, file và đối tượng Active Directory. Cấu hình cácđiềukhoảntàinguyên cho file và thư mục Như đã nói từ trước, bạn có thể vào tab Security trên mỗi file hoặc thư mục để truy cập vào danh sách cácđiềukhoản này. Có một số vấn đề chính bạn cần lưu ý khi thiết lập cácđiềukhoản đối với cáctàinguyên này. Đầu tiên, khi thiết lập điềukhoản cho các file và thư mục, cách tốt nhất để thiế t lập điềukhoản cho các nhóm, không tách riêng tàikhoản người dùng. Thứ hai, bạn cần thiết lập mức truy cập cho mỗi file hoặc thư mục. Như chỉ thị trong hình 3, có một số điềukhoản chuẩn có thể được thiết lập mà không cần phải vào điềukhoản Advanced đối với tài khoản. Hình 3: Cácđiềukhoản chuẩn có thể được thiết lập cho mỗi tài kho ản Hình 4 minh chứng rằng bạn cũng có thể vào cácđiềukhoản Advanced để cung cấp các mức lõi của điềukhoản cho mỗi tài nguyên. Hình 4: Cácđiềukhoản Advanced cho phép kiểmsoát lõi trên vấn đề truy cập đến tài nguyên. Lưu ý : Kích vào nút Edit trong hình 4 bạn sẽ thấy một danh sách đầy đủ cácđiềukhoản chi tiết Advanced. Đây không phải là cách tuyệt vời nhất để quản lý tài nguyên, vì nó có thể gây ra khó khăn đáng kể đối với việc cấu hình, quản lý cũng như khắc phục sự cố truy cập đến tài nguyên. Cấu hình cácđiềukhoản cho đối tượng Active Directory Quá trình cấu hình các đối tượng Active Directory đều giống nhau, nhưng có m ột số wizard có thể giúp bạn cấu hình một cách toàn bộ. Đây chính là một wizard giúp ích vì nó có đến hơn 1000 điềukhoản nâng cao cho các đối tượng Active Directory, như các đơn vị tổ chức, xem hình 5. Hình 5: Danh sách một phần cácđiềukhoản cho khối tổ chức Để truy cập vào wizard này, đơn giản bạn chỉ cần kích vào nút cần được cấu hình. Việc kích này sẽ lộ ra tùy chọn menu Delegate Control. Khi đã chọn, hộp thoại Delegation of Control Wizard sẽ xuất hiện như trong hình 6 bên dưới. Hình 6: Delegation of Control Wizard cho phép bạn thực hiện việc cấu hình dễ dàng cácđiềukhoản trên Active Directory Objects Wizard này sẽ cho phép bạn chỉ định “ai” (người dùng hay nhóm nào) sẽ có mức truy cập “gì” (các điềukhoản cho phép) đối với các đối tượng trong Active Directory. Lưu ý : Hoàn toàn có thể sử dụng tab Security cho các đối tượng Active Directory giống như cấu hình thư mục và file. Tuy vậy, đây là một nhiệm vụ khá chán có thể gây khó hiểu cho hầu hết cả các quản trị viên nhiều kinh nghiệm. Cấu hình cácđiềukhoảntàinguyên bằng Group Policy Khi nói đến việc quản lý cácđiềukhoảntàinguyên với Group Policy, bạn chỉ có thể quản lý các file và thư mục mà không thể quản lý được các đối t ượng Active Directory. (Các điềukhoản chính của Registry cũng có thể được quản lý bởi Group Policy). Các thiết lập cho việc kiểmsoátđiềukhoản này nằm trong phần Computer Configuration của Group Policy, bạn có thể xem trong hình 7. Hình 7: Nút File System cho phép bạn cấu hình cácđiềukhoản của file và thư mục bằng Group Policy Để sử dụng tùy chọn này, bạn chỉ cần tạo và liên kết một Group Policy Object (GPO) đến một nút gồm có tàikhoản máy tính mà bạn muốn cấu hình. Khi đã thực hiện xong viêc này, soạn thảo GPO và kích chuột phải vào nút File System. Chọn tùy chọn Add File menu, có thể duyệt hoặc đánh vào đó đường dẫn đến file hay thư mục mà bạn muốn qu ản lý cácđiềukhoản trên nó. Khi thêm vào đó đường dẫn, bạn sẽ thấy hiển thị tab Security cho tàinguyên đó, xem hình 8. Hình 8: Cácđiềukhoản bảo mật có thể được thiết lập trên file và thư mục trong GPO Mặc dù bạn có thể sử dụng Group Policy để thay đổi hoặc thiết lập cácđiềukhoản trên tàinguyên đó, nhưng không nên làm như vậy vì hiệu suất của ứng dụng. Một vấn đề đã được minh chứng rằng có quá nhiều điềukhoản tồn tại đã đượ c thiết lập bằng Group Policy sẽ làm chậm việc đăng nhập ban đầu và có thể làm chậm cả hệ thống trong suốt khoảng thời gian refresh background định kỳ. Nếu các thiết lập này được sử dụng chúng ta chỉ nên sử dụng một phần trên mỗi tàinguyên này. Cấu hình cácđiềukhoảntàinguyên bằng kịch bản Sau nhiều nghiên cứu và phân tích, chúng tôi đã chỉ ra rằng bằng việc sử dụng kịch bản để thiết lập được cácđiềukhoảntàinguyên là một cách hoàn toàn không có nhiều hiệu quả cho việc thiết lập điềukhoản cho cả thư mục và file cũng như các đối tượng Active Directory. Tuy vậy, chúng tôi vẫn muốn đề cập đến một số công cụ có thể giúp bạn thực hiện các hành động này, nếu bạn vẫn muốn sử dụng kịch bản. Để sử dụng kịch bản với cácđiềukhoản thư mục và file, bạn có thể sử dụng CACLS. CACLS sẽ cho phép bạn thiết lập và tạo điềukhoản cho các file và thư mục. Công cụ này hoàn toàn được miễn phí từ Microsoft và có thể được sử dụng độc lập hoặc bên trong VB hay các kịch bản khác. Với cácđiềukhoản đối tượng Active Directory, bạn có thể sử dụng các tùy chọn PowerShell mới có. PowerShell được cung cấp cho Windows XP và các hệ điều hành sau nó. PowerShell có rất nhiều thế mạnh để có thể kiểmsoát được cácđiềukhoản Active Directory. Với cả hai tùy chọn ở trên, các vấn đề của kịch bản và PowerShell mà chúng tôi đã nói với tất cả sự am hiểu của bản thân rằng, mặc dù các tùy chọn này được cung cấp sẵn nhưng sẽ dễ dàng và hiệu quả hơn nếu bạn sử dụng các phương pháp chuẩn để thiết lập và kiểmsoátcácđiều khoản. Tuy vậy không thể không nói đến điểm mạnh của kịch bản, chúng thực sự cũng có nhiều điểm mạnh và hữu dụng, vì vậy nếu bạn muốn có thêm nhiều thông tin chi tiết vềcác tùy chọn này, chúng tôi s ẽ cung cấp cho các bạn một số liên kết bằng tiếng anh dưới đây: http://www.microsoft.com/technet/scriptcenter/learnit.mspx http://www.scriptinganswers.com/ http://en.wikipedia.org/wiki/Cacls Kết luận Việc kiểmsoátcáctàinguyên mạng và điềukhoản của chúng là một vấn đề cực kỳ quan trọng đối với việc bảo vệtàinguyên trong công ty của bạn. Nếu bạn cần kiểmsoátcác file HR, bí mật của công ty, nhóm các đơn vị tổ chức hay những tàinguyên khác, bạn sẽ cần phải thiết lập và quản lý điềukhoản có liên quan đến mỗi tàinguyên này. Bạn có nhiề u tùy chọn trong việc này, nhưng việc quyết định tùy chọn nào được sử dụng để có thể tạo được một ảnh hưởng lớn đối với khả năng quản lý và hiệu quả cho mạng của bạn là việc làm rất quan trọng. Các phương pháp thủ công không phải tất cả đều dễ dàng và hiệu quả nhưng chúng có thể thực hiện tốt một số phần việ c của bạn với sự chính xác và không cần đến bất kỳ vấn đề liên quan đến các máy tính trong thời điểm khởi động. Group Policy cũng là một tùy chọn hay, tuy nhiên bạn cần phải hạn chế các tùy chọn trong nó chỉ cho một số thư mục và file vì ứng dụng của cácđiềukhoản này có thể gây mất nhiều thời gian. Kịch bản cũng là một tùy chọn, nhưng thời gian để ki ểm tra các kịch bản có thể mất nhiều hơn việc sử dụng các thiết lập có sẵn. . đến các lựa chọn này. Điều khoản tài nguyên 101 Để có được một thảo luận liên quan đến các đi ều khoản tài nguyên, chúng tôi đã phải gạn lọc những tài nguyên. sách các điều khoản này. Có một số vấn đề chính bạn cần lưu ý khi thiết lập các điều khoản đối với các tài nguyên này. Đầu tiên, khi thiết lập điều khoản