ĐiềukhiểncácthiếtlậpbảomậtcủaGroupPolicy Mặc định, cácthiếtlậpbảomật trong GPO sẽ refresh 16 giờ một lần. Bài này sẽ giới thiệu cho các bạn những vấn đề chi tiết về quá trình làm việc và những gì có thể thay đổi trong GPO. Rõ ràng GroupPolicy trong Active Directory là cách thức logic và hiệu quả nhất để cấu hình và duy trì độ bảomật cho tất cả domain controller, máy chủ và desktop của bạn. Tuy nhiên cách duy trì và điềukhiểncácthiếtlậpbảomậtcủa ứng dụng cũng như cách refresh cácthiếtlập trong GPO lại là một vấn đề. Thực sự có nhiều cách để điềukhiểncácthiếtlậpbảomật trong refresh và điều khiển. Trong bài viết này, chúng tôi sẽ giới thiệu cho các bạn một trong các phương pháp để thực hiện nhiệm vụ này. Thiếtlập nào là thiếtlậpbảo mật? Trước khi giới thiệu , mọi người nên biết chính xác những gì nằm trong “security settings” của GPO. Nếu bạn mở một GPO trong Windows Server 2008, bạn cần mở nút Computer Configuration|Policies|Windows Settings|Security Settings để xem tất cả cácthiếtlập có liên quan đến bảomật mà chúng tôi sẽ đề cập đến trong bài này (có một số thiếtlập nằm trong User Configuration|Policies|Windows Settings|Security Settings, chúng không thường xuyên được sử dụng nhưng cũng không liên quan đến trong bài này), xem trong hình 1. Hình 1: Cácthiếtlậpbảomật trong GPO chuẩn Lý do tất cả cácthiếtlập nằm trong chủng loại này là vì tất cả chúng đều được điềukhiển bởi Security Client Side Extension (CSE). Chúng ta sẽ thấy Security CSE có thể được điềukhiển riêng biệt từ các CSE khác và hành động hơi khác đôi chút so với các thành phần khác. Thực hiện Refresh thủ công GroupPolicy có một quá trình refresh tự động, tuy nhiên trong một số trường hợp, khoảng thời gian này không đủ nhanh cho cácthiếtlập bạn muốn triển khai. Trong trường hợp như vậy, quá trình refresh có thể được kích hoạt bằng một lệnh đơn giản, rất hữu dụng trong những lần bạn kiểm tra hoặc đợi một thiếtlập nào đó có hiệu lực ngay lập tức. Để refresh GroupPolicy (gồm có cả cácthiếtlậpbảo mật), hãy chạy GPUPDATE từ tiện ích dòng lệnh. Với các máy tính nằm trong miền, các máy tính này sẽ sử dụng tất cả cácthiếtlập mới từ GPO dựa trên Active Directory và cục bộ. Nếu bạn không thực hiện bất cứ thay đổi nào đối với GPO liên quan tới cácthiếtlậpbảomật mà vẫn muốn sử dụng cácthiếtlập một cách thủ công, hãy sử dụng khóa chuyển đổi /force với lệnh GPUPDATE. Khóa chuyển đổi này sẽ thi hành ứng dụng với tất cả cácthiếtlập GPO mà không cần xem xét số phiên bản GPO cũng như các nâng cấp cho GPO. Nó sẽ chỉ sử dụng lại tất cả cácthiếtlập có trong tất cả GPO. Refresh Background tự động GroupPolicy có một tính năng để thi hành một cách liên tục trong chế độ background mà không cần người dùng đăng xuất và đăng nhập trở lại, hoặc khởi động lại máy tính. Mặc định, các lần refresh xuất hiện xấp xỉ 90 phút mỗi lần. Đây là 90 phút cơ bản và 30 phút offset. Refresh background tự động này được điềukhiển bởi một thiếtlập GPO trong nút Computer Configuration|Policies|Administrative Templates|System|Group Policy. Thiếtlập bạn sẽ cấu hình để thay đổi cácthiếtlập refresh background mặc định là khoảng thời gian refresh củaGroupPolicy cho các máy tính, xem trong hình 2. Hình 2: Refresh GroupPolicy có thể được thay đổi bằng thiếtlập chính sách này Quan điểm của chúng tôi ở đây là không cần thiết phải thay đổi ở đây vì một vài lý do. Trước hết, khoảng thời gian 90 phút là đủ hợp lý cho refresh GPO. Thứ hai nếu bạn thay đổi khoảng thời gian này thì nó sẽ ảnh hưởng đến tất cả CSE, không chỉ cácthiếtlậpbảo mật. Điều này có thể gây ra một số vấn đề về hiệu suất trên tất cả các máy tính nằm trong mạng. Những gì bạn sẽ muốn thực hiện liên quan đến cácthiếtlậpbảomật trong quá trình refresh background là bảo đảm cho chúng sử dụng mỗi lần. Điều này không cần thiết vì cácthiếtlậpbảomật thực hiện trong một khoảng thời gian khác (xem phần kế tiếp). Mặc dù vậy nếu bạn gặp tình huống mà ở đó người dùng được cấu hình với tư cách các quản trị viên trên máy trạm thì đây cũng là một vấn đề cần cân nhắc. Để tạo thiếtlập này cho cácthiếtlậpbảomật trong GPO, hãy vào Computer Configuration|Policies|Administrative Templates|System|Group Policy. Ở đây bạn sẽ tìm thấy một chính sách có tên Security policy processing, xem thể hiện trong hình 3. Hình 3: Cácthiếtlậpbảomật có thể được áp đặt sử dụng mỗi lần Bằng cách kiểm tra Process cho dù các đối tượng GroupPolicy không bị thay đổi thì bạn sẽ chỉ kích hoạt cácthiếtlậpbảomật để sử dụng mỗi lần, không phải mỗi CSE. Cácthiếtlậpbảomật “duy nhất” Với trên 30 CSE, GPO sẽ liên tục thực hiện công việc trên mạng của bạn. Mặc dù vậy, có một CSE duy nhất đó là CSE thiếtlậpbảo mật. CSE này thực hiện như các CSE khác ngoại trừ chu kỳ 16 giờ, chúng cũng áp dụng tất cả trong các GPO mà không quan tâm đến sự thay đổi xuất hiện đối với GPO. Có điều làm cho nó khác với các CSE khác đó là khi không có cácthiếtlập nào thay đổi trong GPO thì cácthiếtlập GPO sẽ không sử dụng lại. Đây là một tính năng tuyệt vời và cũng là tính năng có thể được thay đổi. Không giống như cácthiếtlập khác mà chúng tôi đã giới thiệu cho các bạn trong bài này, thiếtlập này không phải là thiếtlập GPO mà nó chính là thiếtlập registry. Nếu muốn tự điều chỉnh thiếtlập này thì bạn có thể thực hiện bằng cách thay đổi MaxNoGPOListChangesInterval nằm trong registry: HKLM \ Software | Microsoft | Windows NT | CurrentVersion | Winlogon \ GPExtensions | {827D319E-6AC-11D2-A4EA-00C04F79F83A} (Lưu ý: Chuỗi các ký tự dài này là GUID cho Security CSE). Bạn có thể xem đường dẫn này và thiếtlập khoảng thời gian khóa trong hình 4. Hình 4: Cácthiếtlập Security CSE Registry gồm có giá trị MaxNoGPOListChangesInterval Lưu ý: Giá trị của Registry MaxNoGPOListChangesInterval là một giá trị DWORD và có đơn vị phút. Nếu bạn muốn 16 giờ thì sẽ là 960 phút trong Registry. Kết luận Nếu vấn đề bảomật thực sự cần thiết cho tổ chức và bạn sử dụng GroupPolicy để thực thi bảomật thì bạn hãy điềukhiển về cách thực hiện cácthiếtlậpbảomật trong Group Policy. Ở đây bạn sẽ có nhiều tùy chọn thi hành và điềukhiển refresh, thậm chí bảo đảm cácthiếtlậpbảomật phù hợp theo thời gian với Group Policy. Có nhiều phương pháp thủ công để điềukhiển ở máy tính mục tiêu cũng như các giải pháp trực tiếp với công cụ Active Directory Users and Computers để quản lý các nâng cấp cho GroupPolicy từ vị trí trung tâm, chẳng hạn như Specops. Nếu muốn cácthiếtlậpbảomậtcủa mình được refresh mỗi lần refresh background, bạn có thể điều chỉnh thiếtlập CSE để thực hiện điều đó. Cuối cùng nữa là bạn có thể thay đổi chu kỳ refresh background bảomật (khác với chu kỳ mặc định 16 giờ). . Điều khiển các thiết lập bảo mật của Group Policy Mặc định, các thiết lập bảo mật trong GPO sẽ refresh 16 giờ một lần. Bài này sẽ giới thiệu cho các. đề bảo mật thực sự cần thiết cho tổ chức và bạn sử dụng Group Policy để thực thi bảo mật thì bạn hãy điều khiển về cách thực hiện các thiết lập bảo mật