một cách khác chúng ta sử dụng chính sách nhóm để kích hoạt chức năng ghi lại các sự kiện kiểm định (Adittable event). Chúng ta có các sự kiện kiểm định sau, các chính sách này nằm tại :
Computer Configuration/Windows Settings/Security Settings/Local Policies/Audit Policy
- Audit account logon events : Ghi nhận sự kiện người dùng đăng nhập vào AD.
- Audit account management : Ghi nhận sự kiện người dùng tạo, xoá, đổi tên,.. các tài khoản người dùng, máy tính hay nhóm.
- Audit directory service access : Ghi nhận sự kiện khi các đối tượng trong AD được chỉ định để kiểm định.
- Audit logon events : Ghi nhận tất cả các sự kiện đăng nhập cả cục bộ lần mạng
- Audit object access : Ghi nhận sự kiện người dùng truy cập và tác động đến tài nguyên mạng
- Audit object change : Ghi nhận sự kiện khi có sự thay đổi đối với quyền người dùng, các chính sách hay các mối quan hệ tin cậy
- Audit privilege use : Ghi nhấn các sự kiện liên quan đến quyền người dùng như sao lưu hay phục hồi
- Audit process tracking : Ghi nhận sự kiện khi có chương trình hay tiến trình đặc biệt đang thi hành
- Audit system events : Ghi nhận các sự kiện hệ thống như startup, shutdown, các nhật ký hệ thống, bảo mật bị thay đổi.
Tại mỗi chính sách trên đều có các lựa chọn là : No Auditting, Success, Failure. Tất nhiên nếu muốn ghi lại sự kiện thì ta phải chọn Success hoặc Failure hoặc cả hai. Với 9 chính sách này chúng ta có thể ghi lại hầu hết các sự kiện diễn ra trong hệ thống. Để xem các sự kiện chúng ta sử dụng Event Viewer, công cụ này tôi đã đề cập qua.
Ngoài ra nếu muốn tiến hành theo dõi các sự kiện xảy ra đối với một thư mục hay file nhất định chúng ta có thể xác lập kiểm định ngay trên file đó nhưng vì không thuộc phạm vi của đề tài nên tôi không đi cụ thể.
Hình trên là một sự kiện đăng nhập thành công của tài khoản Administrator vào dịch vụ thư mục. Mã sự kiện là 565. Nhìn vào hình chúng ta có thể thấy được thông tin rất chi tiết về sự kiện.
D, Sử dụng các Script logon, logoff, startup và shutdown
Sử dụng các kịch bản (Script) logon, logoff, startup, shutdown là một phần trong các chính sách nhóm. Chúng ta áp dụng kịch bản logon, logoff đối với tài khoản người dùng còn startup, shutdown đối với tài khoản máy tính. Các kịch bản chúng ta có thể sử dụng rất đa dạng : .bat, .cmd, .vbs, .js.
1, Tạo các script logon, logoff
Để tạo các script dạng này, ta tìm đến nút sau :
User Configuration Windows Settings Scripts (Logon/Logoff)
Để tạo script logon, ta nháy đúp vào logon, cửa sổ logon properties hiện ra, chọn Add, tại đây đặt tên cho script và lựa chọn đường dẫn đến tập tin kịch bản. Nếu chưa có tập tin kịch bane ta có thể tạo ra và lưu lại bằng bất cứ trình soạn thảo văn bản nào nhưng đơn giản nhất là dùng notepad.
Sau khi đã tạo xong script, ta se thiết lập chính sách để script chạy khi người dùng đăng nhập vào hệ thống. Tại nút sau :
User Configuration Administrative Templates System Scripts
Ta thiết lập chính sách Run logon scripts visible thành enabled. Từ bây giờ khi người dùng trong miền đăng nhập vào hệ thống thì script logon sẽ tự động chạy. Làm tương tự như vậy với Script logoff, chỉ thay đổi ở chính sách Run logoff scripts visible thành enabled.
2, Tạo các script startup và shutdown
Làm tương tự như các script logon, logoff nhưng địa chỉ tại nút sau :
Computer Configuration Windows Settings Scripts (Logon/Logoff) Computer Configuration Administrative Templates System Scripts
E, Chính sách giới hạn phần mềm
Chính sách giới hạn phần mềm (Software Restriction Policies - SRP) cho phép chúng ta quy định những phần mềm nào được phép chạy và không được phép chạy trên nền máy trạm.
Chúng ta có thể áp dụng giới hạn phần mềm đối với một số người dùng cụ thể hay tất cả người dùng trên một máy tính cụ thể nào đó. Để sử dụng SRP chúng ta tìm đến nút sau trong công cụ GPOE :
Computer Configuration Windows Settings Security Settings Software Restriction Policies
Nhấn chuột phải vào mục Software Restriction Policies và chọn New Software Restriction Policies :
Cũng như tất cả các chính sách khác, RSP cũng chỉ tác dụng từ mức OU trở lên, do đó chúng ta cần gom tất cả các tài khoản người dùng hay máy tính cần hạn chế vào trong một OU nhất định và cho GPO liên kết đến nó.
1, Các quy tắc giới hạn phần mềm
Có 4 quy tắc để cho phép hoặc ngăn chặn phần mềm : Hash, Path, Certificate, Internet Explorer zone. Để tạo mới một quy tắc, chúng ta nhấn chuột phải vào mục Additional Rules và tạo mới :
Mặc định, trong muc Additional Rules có 4 quy tắc path được thiết lập sẵn cho phép truy cập đến 4 vùng then chốt của Registry. Các quy tắc này cho phép hệ điều hành thiết lập trong Registry ngay cả khi tuỳ chọn Disallowed được sử dụng trong mục Security Levels.
- Hash : Trong thuật ngữ ngành khoa học máy tính, một “Hash value” (Giá trị băm) là một đại diện số mà có thể định danh duy nhất cho một file thay cho tên của file đó. Khi ta đổi tên một file chẳng hạn từ doom.exe sang gloom.exe thì các bit 1, 0 bên trong file đó hoàn toàn không thay đổi. Giá trị Hash là như vậy, nó gắn với từng file. Tuy nhiên, nếu ta thay đổi file đó, làm cho thứ tự các bit 1, 0 thay đổi thì giá trị Hash sẽ thay đổi theo. Quy tắc Hash rất hữu dụng đối với các file có phần mở rộng là exe hoặc dll.
- Path : Sử dụng quy tắc này chúng ta có thể cho phép một ứng dụng được phep chạy hay không dựa trên vị trí của chúng trên đĩa cứng. Các biến môi trường phổ biến nhất là :
%HOMEDRIVE%, %HOMEPATH%, %USERPROFILE%, %WINDIR%, %APPDATA%, %PROGRAMFILES% và %TEMP%.
Ngoài ra quy tắc Path có thể ngăn chặn thi hành một loại file nào đó. VD như nếu ta thiết lập vô hiệu hoá các file có tên là *.vb* thì tất cả các file Visual Basic sẽ không thể chạy được.
- Certificate : Dùng quy tắc này chúng ta có thể đánh dấu các ứng dụng của mình.
- Internet Explorer zone : Sử dụng quy tắc này chúng ta có thể hạn chế người dùng tải về các ứng dụng ở một số vùng cụ thể trên Internet, tuy nhiên điểm hạn chế là nó chỉ ngăn người dùng tải về các chương trình ở dạng cài đặt (.msi).
Ví dụ :
Ta sử dụng quy tắc Hash để không cho người dùng chơi Solitaire trong Windows XP.
Tại cửa sổ Default Domain Policy, tạo mới Software Restriction Policies, chọn New Hash rule. Tìm đến file sol.exe bằng đường dẫn :
\\client01\c$\windows\system32\sol.exe
Ta có được cửa sổ sau :
Chọn mức bảo mật là Disallowed.
Bây giờ khi người dùng đăng nhập vào máy trạm và chơi Solitaire sẽ bị báo lỗi sau :
2, SRP và Digital Signatures
Đối với các chương trình ứng dụng có Digital Signatures (chữ ký số) như các phần mềm thuộc bộ Microsoft Office chẳng hạn thì để chính sách giới hạn phần mềm có tác dụng chúng ta phải thiết lập thêm một chính sách nữa là :
System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies
Chính sách này có thể tìm thấy tại :
Computer Configuration Windows Settings Security Settings Local Policies Security Options
Các phần mềm không có chữ ký số thì không cần phải thiết lập chính sách này, ngoài ra đối với các file như *.VBS hay *.MSI thì dù có chữ ký số cũng không cần thiét lập chính sách trên.
3, Sửa lỗi SRP
Chúng ta có 2 cách chính : a, Kiểm tra trong Registry
Nếu các chính sách giới hạn không phát huy tác dụng, chúng ta cần logoff khỏi hệ thống, sau đó đăng nhập lại tại máy trạm với tài khoản Administrator của miền.
Truy cập vào Registry, tại cửa sổ Registry tìm đến mục sau :
KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\ CodeIdentifiers
Tìm đến nút Hashes, chúng ta sẽ thấy phần mềm bị giới hạn tai đây.
Lưu ý một điều là các file hệ thống sẽ thay đổi cùng với các gói dịch vụ (Service packs), do đó nếu phần mềm bị giới hạn nằm trong các file này có thể bị thay đổi hash sau khi cập nhật gói dịch vụ nên số hash trên máy chủ và máy trạm sẽ khác nhau. Chúng ta cần cập nhật lại chính sách để số hash được đồng nhất. b, Tạo nhật ký theo dõi
Chúng ta có thể tạo một nhật ký để có thể xử lý sự cố xảy ra với SRP :
Tại mục CodeIdentifiers đường dẫn trên trong Registry, tạo một New String value, đặt tên là log, đặt giá trị là C:\log.txt.
Từ bây giờ mỗi khi có một ứng dụng chạy, file log sẽ ghi lại sự kiện kèm theo giải thích tại sao chương trình chạy được hay không chạy được.
F, Tổng kết chương
Kết thúc chương 5 cũng là kết thúc toàn bộ đề tài tìm hiểu này, sau chương này, chúng ta đã biết thêm một phần rất quan trọng đó là sử dụng chính sách nhóm để thực hiện bảo mật. Ở chương này chúng ta chỉ dùng hai công cụ thu gọn của GPOE đó là Domain Security Policy và Domain Controller Security Policy. với hai công cụ này, việc thiết lập chính sách bảo mật trở nên thoáng hơn. Chúng ta cũng nắm được thế nào là chính sách bảo mật hiệu dụng, sự xung đột giữa chính sách miền và chính sách cục bộ đã tạo ra chính sách hiệu dụng. Chúng ta cũng đã thực hiện kiểm định, tạo các kịch bản và thiết lập giới hạn phần mềm. Việc thực hiện bảo mật với chính sách nhóm như vậy là chưa đầy đủ và còn có nhiều vấn đề nữa cần bàn tới song do một số vấn đề chưa có điều kiện thực hiện cũng như kiến thức có hạn nên tôi chưa tìm hiểu được. Có thể trong một đề tài khác ta sẽ bàn đến.
Kết luận
Sử dụng chính sách nhóm trong hệ thống mạng chạy hệ điều hành Windows chỉ là một phần nhỏ trong việc thực thi bảo mật. Tuy nhiên đây lại là một phần hết sức quan trọng vì nó liên quan đến những nền tảng quy định độ an toàn của mạng. Nắm được cách sử dụng chính sách nhóm sẽ giúp chúng ta rất nhiều trong các công việc liên quan đến bảo mật.
Đề tài này được thực hiện trong thời gian một tháng do đó không tránh khỏi những sai sót. Việc hoàn thiện sẽ được thực hiện dần dần.
Vô cùng cảm ơn PGS.TS Đặng Minh Ất đã đưa ra những nhận xét chân thành giúp tôi hoàn thành đề tài này.
Tài liệu tham khảo
- Group Policy, Profiles, and IntelliMirror for Windows 2003, Windows XP, and Windows 2000, Third Edition
Author : Jeremy Moskowitz, Thomas Boutell Publisher : Sybex
- MCSE Self-Paced Training Kit (Exam 70-290): Managing and Maintaining a Microsoft Windows Server 2003 Environment
Author : Dan Holme, Orin Thomas Publisher : Microsoft Press
- MCSE Self-Paced Training Kit (Exam 70-294) Planning, Implementing, and Maintaining a Microsoft® Windows Server™ 2003 Active Directory® Infrastructure, Second Edition
Author : Jill Spealman, Kurt Hudson, Melissa Craft, Anthony Steven Publisher : Microsoft Press