Các mở rộng của Group Policy trong Windows Vista và Windows
Server 2008 (Phần 3)

Bảo mật là một trong những mối quan tâm lớn của Microsoft khi phát
triển hệ điều hành Windows Server 2008 và Windows Vista, chính vì
điều đó mà không hề ngạc nhiên rằng có nhiều thiết lập của Group
Policy mới được bổ sung trong hai hệ điều hành này. Chúng tôi muốn
bắt đầu bài này bằng cách nói về các thiết lập Group Policy có liên quan
đến tính năng bảo mật mới có tên gọi User Account Protection (được
viết tắt là UAC).

Nếu bạn không quen với UAC thì chúng tôi phải nói rằng nó là một tính
năng bảo mật được thiết kế để bảo vệ Windows bằng cách cung cấp cho
người dùng những quyền hạn một cách vừa phải. Trong môi trường
Windows XP, người dùng thường có quyền quản trị viên cục bộ để có thể
thực hiện các công việc của họ. Khi thiết kế Vista, Microsoft đã mất rất
nhiều thời gian về xem xét các việc gì người dùng thực sự cần thiết, từ đó
đưa ra quyền được thực hiện nhiệm vụ trong các tài khoản người dùng chuẩn
để người dùng không cần phải được thừa nhận có quyền của quản trị viên.
Ví dụ, một trong số những nhiệm vụ mà Windows Vista cho phép người
dùng di động thực hiện mà không cần đến quyền quản trị gồm có: cài đặt
driver cho máy in, nhập khóa WEP, cấu hình kết nối VPN và cài đặt nâng
cấp các ứng dụng.

User Account Protection hầu như không ban cho người dùng thêm quyền,
mà tính năng này được thiết kế để bảo vệ các quản trị viên đối với chính bản
thân họ. Cho dù là ai đó đã đăng nhập như một quản trị viên thì Windows
vẫn coi họ như một người dùng chuẩn. Nếu người dùng cố gắng thực hiện
một số hành động cần đến quyền quản trị thì Windows sẽ nhắc nhở người
dùng thực hiện một số nhiệm vụ nhằm đảm bảo tính bảo mật.

Các quản trị viên cũng có thể chọn đăng nhập như những người dùng chuẩn.
Nếu một người dùng chuẩn cần thực hiện một hành động yêu cầu đến quyền
quản trị viên thì họ không phải chạy từ Run. Thay vào đó, Vista sẽ tự động
nhắc nhở họ nhập vào một số thông tin quan trọng có thể được sử dụng cho
nhiệm vụ đó.

Bây giờ tôi sẽ giới thiệu cho bạn một số kiến thức cơ bản liên quan đến User
Account Protection là gì và nó làm việc như thế nào, hãy xem một số thiết
lập Group Policy có liên quan đến UAC. Giống như hầu hết các thiết lập
Group Policy khác mà chúng tôi đã giới thiệu cho bạn trong phần 1 và 2, các
thiết lập Group Policy mà chúng tôi đang muốn nói đến chỉ thích hợp với
Windows Server 2008 và Windows Vista. Chính vì vậy, cho tới khi
Windows Server 2008 được phát hành và bạn có một bộ điều khiển miền
trên Windows Server 2008 trong mạng thì các thiết lập Group Policy này sẽ
phải thiết lập ở mức Local Computer (mức cục bộ) trong hệ thống thứ bậc
Group Policy.

Các thiết lập Group Policy có liên quan đến UAC có thể được tìm thấy trong
giao diện sử dụng của Group Policy tại Computer Configuration | Windows
Settings | Security Settings | Local Policies | Security Options. Bạn có thể
xem số thiết lập chính sách có sẵn trong hình A.

Hình A: Các thiết lập của Group Policy liên quan đến tính năng bảo vệ tài
khoản của Vista
Như những gì thấy trong hình, có nhiều thiết lập không liên quan đến User
Account Protection. Các thiết lập cho User Account Protection được đặt ở
phần dưới của màn hình.

Thiết lập đầu tiên có liên quan đến UAC là “Admin Approval Mode for the
Built In Administrator Account”. Tùy chọn này được kích hoạt mặc định,

điều đó làm cho tài khoản quản trị viên được coi như một người dùng chuẩn.
Bất cứ hành động yêu cầu đến quyền quản trị viên sẽ làm cho Windows nhắc
nhở người dùng trước khi hành động đó được tiến hành. Nếu tùy chọn này bị
vô hiệu hóa thì Vista sẽ thực hiện giống như Windows XP.

Tài khoản quản trị viên đính kèm sẽ được coi như một quản trị viên đích
thực và người dùng sẽ không bị nhắc nhở một số yêu cầu để có được sự cho
phép của Windows.

Tùy chọn có sẵn tiếp theo là “Behavior of the Elevation Prompt for
Administrators in Admin Approval Mode”. Như bạn đã biết, Vista được thiết
kế để nó sẽ không thực hiện một hành động quản trị mà không có sự cho
phép của quản trị viên. Tùy chọn này sẽ cho bạn kiểm soát được những kiểu
cho phép gì một quản trị viên phải đưa ra theo thứ tự cho hành động đã yêu
cầu được hoàn thành.

Tùy chọn mặc định này là một nhắc nhở về sự cho phép. Điều đó có nghĩa
rằng quản trị viên sẽ bị hỏi xem họ muốn cho phép hoặc từ chối một hành
động đó hay không. Cải thiện mới ở đây là quản trị viên có thể được nhắc
nhở những thông tin quan trọng. Điều này sẽ bắt buộc một quản trị viên phải
nhập vào mật khẩu của họ trước trước khi thực hiện bất kỳ hành động quản
trị nào. Tùy chọn này có thể gây ra nhiều rắc rối trong sử dụng nhưng nó
đáng giá trong các môi trường đòi hỏi độ bảo mật cao.

Tùy chọn cuối cùng là làm tăng sự cho phép mà không cần nhắc nhở quản trị
viên cho phép hành động. Chúng tôi không khuyến khích các bạn sử dụng
tùy chọn này.

Đúng như Windows Vista hạn chế những gì một quản trị viên có thể thực
hiện mà không cần sự cho phép, bên cạnh đó nó cũng hạn chế các quyền của

người dùng chuẩn. Bạn có thể kiểm soát những gì xảy ra khi một người dùng
chuẩn cố gắng thực hiện một hành động cần đến các quyền ưu tiên mức cao
bằng thiết lập Behavior of the Elevation Prompt for Standard Users trong
UAC.

Khi người dùng chuẩn cố gắng thực hiện một hành động cần đến quyền ưu
tiên cao, một trong hai thứ có thể xuất hiện lúc này. Người dùng có thể bị
nhắc nhở nhập vào các thông tin quản trị hoặc yêu cầu có thể bị từ chối tự
động mà không thấy xuất hiện nhắc nhở. Mặc định, người dùng chuẩn được
nhắc nhở để nhập vào thông tin quan trọng liên quan đến quyền quản trị nếu
họ đang làm việc trong môi trường gia đình, tuy nhiên các yêu cầu nâng cao
bị hạn chế một cách tự động khi người dùng hoạt động trong môi trường
doanh nghiệp.

Mặc dù Windows Vista được thiết kế yêu cầu đến sự nâng cao về đặc quyền
cho mỗi kiểu hành động cụ thể nhưng một số kiểu hành động có thể được
cấu hình để chúng có thể được nhắc nhở mà không yêu cầu đến sự nâng cao
trong quyền truy cập. Một ví dụ trong trường hợp này là cài đặt phần mềm.
Thiết lập Detect Application Installations and Prompt for Elevation của
UAC cho phép các ứng dụng được cài đặt mà không yêu cầu đến sự nâng
cao về đặc quyền.

Không yêu cầu đến các đặc quyền nâng cao cho việc cài đặt phần mềm
dường như phản lại tác dụng năng suất, tuy nhiên ở đây có thể sử dụng hoàn
toàn phù hợp với thiết lập này. Trong môi trường được quản lý, các ứng
dụng thường được triển khai thông qua một thiết lập chính sách nhóm hoặc
thông qua một SMS Server, hoặc một cơ chế tương tự. Trong các tình huống
như vậy, nó có thể không thực tế khi yêu cầu một quản trị viên cho phép ai
đó thực hiện hành động của họ trên mỗi máy trạm mỗi khi họ cài đặt ứng
dụng. Chính vì vậy, bạn có thể vô hiệu hóa nhắc nhở đòi nâng cao quyền

điều khiển trong các môi trường như vậy. Hãy ghi nhớ rằng điều này không
có nghĩa người dùng chuẩn sẽ có thể cài đặt ứng dụng. Nó chỉ cho những
người có sự cho phép thích hợp mà không bị gây trở ngại bởi nhắc nhở nâng
cao quyền điều khiển.

Kết luận

Trong phần này, chúng tôi đã giới thiệu User Account Control là một trong
những thành phần quan trọng trong bảo mật của Windows Vista. UAC làm
cho Windows Vista có thêm khả năng chống lại với những ảnh hưởng của
malware so với các phiên bản trước. Với sự quan trọng trong bảo mật của
User Account Control, các quản trị viên cần phải hiểu cách cấu hình nó để
có được những cần thiết về bảo mật cho tổ chức của họ. Trong phần tiếp
theo của loạt bài này, chúng tôi sẽ tiếp tục giới thiệu bằng cách giới thiệu
thêm về các thiết lập có liên quan đến UAC.