Các mở rộng của Group Policy trong Windows Vista và Windows
Server 2008 (Phần 1)

Một số thiết lập GP mới với nhiều hữu dụng trong Windows Server
2008 và Windows Vista.

Kể từ khi có Windows 2000 Server, cỗ máy chính cho việc quản lý bảo mật
trên mạng Windows đã có các chính sách nhóm (GP). Một vài năm trôi qua,
mọi người đều thấy rằng các GP cần phải được mở rộng bởi vì có nhiều khía
cạnh của hệ điều hành Windows mà không thể được kiểm soát một cách đơn
giản bằng GP. May thay, các chuyên gia phát triển của Microsoft đã biết vấn
đề này và sớm giải quyết hoàn thiện trong Windows Vista và Windows
Server 2008. Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về một
số tính năng GP mới đó.

Nếu đã làm việc với chính sách nhóm (GP) thì có thể bạn biết có rất nhiều
thiết lập của nó trong Windows. Rất khó để có thể đưa cho bạn một số chính
xác bao nhiêu thiết lập GP tồn tại vì các thiết lập mới thường được đưa ra
trong các gói dịch vụ và thậm chí một số ứng dụng trong download. Ngay
trong Windows Server 2003 Service Pack 1 cũng có đến khoảng 1700 thiết
lập GP. Con số này đã tăng đến khoảng 2400 trong Windows Vista và
Windows Server 2008. Chính vì điều đó mà chúng tôi không thể giới thiệu
thiết lập riêng cho bạn mà sẽ chỉ nói về các thiết lập GP quan trọng.

Bảo vệ chống Virus

Một trong những mối đe dọa phát sinh nhiều nhất đối với bảo mật trong
những năm gần đây là virus email. Hầu hết các sản phẩm chống virus đều
được thiết kế để tích hợp với Microsoft Outlook, ý tưởng này là một phần
mềm có thể quét file đính kèm khi chúng ta mở email. Hệ điều hành
Windows luôn thiếu một cơ chế tập trung cho việc bảo đảm phần mềm

chống virus được cài đặt và làm việc đúng cách. Tuy nhiên, trong Windows
Vista và Windows Server 2008 hiện nay với các thiết lập GP sẽ cho phép
bạn thiết lập các chính sách chống virus của tổ chức ở mức GP.

Mặc dù các thiết lập chính sách nhóm mà chúng tôi giới thiệu là cho
Windows Vista và Windows Server 2008, nhưng chúng cũng có thể được sử
dụng để điều chỉnh cho các máy tính đang chạy Windows XP SP2. Bạn có
thể tìm thấy các thiết lập có liên quan đến chính sách nhóm trong GP tại:
User Configuration\Administrative Templates\Windows
Components\Attachment Manager.

Thông báo cho các chương trình chống virus khi mở file đính kèm

Thiết lập chính sách nhóm này được sử dụng để thông báo cho phần mềm
chống virus của bạn khi một file đính kèm email được mở, để file có thể
được quét virus. Mặc dù thiết lập chính sách này nghe có vẻ đơn giản, nhưng
có hai điều mà bạn cần biết để kích hoạt nó. Đầu tiên đó là, nếu phần mềm
chống virus của bạn được thiết kế cho tự động quét các file đính kèm bất cứ
lúc nào thì việc kích hoạt thiết lập này là không cần thiết.

Một điều nữa là bạn cần biết rằng nếu thiết lập này được kích hoạt và phần
mềm chống virus của bạn có một vài lý do thất bại trong việc quét file đính
kèm thì Windows sẽ khóa không cho mở file đính kèm.

Không duy trì vùng thông tin trong các file đính kèm

Một trong những khái niệm bảo mật chính trong Internet Explorer là các
vùng (Zone). Internet Explorer cho phép quản trị viên phân loại tên miền
Web vào các vùng khác nhau dựa vào số lượng quản trị viên tin tưởng
website đó. Trong Windows Vista và Windows Server 2008, khái niệm về

các vùng này cũng được mang sang email. Khi một thông báo email có file
đính kèm, Windows có thể xem tên miền của người gửi và so sánh nó với
danh sách trong vùng của IE. Nó có thể sử dụng thông tin của vùng này để
trợ giúp xác định độ tin cậy về file đính kèm này như thế nào.

Thiết lập chính sách nhóm nói riêng này sẽ có một chút sai lệch nếu bạn kích
hoạt thiết lập chính sách, sau đó các thông tin của vùng sẽ bị bỏ qua toàn bộ.
Nếu muốn bảo đảm rằng website sử dụng thông tin vùng cho các đính kèm
email thì bạn phải vô hiệu hóa thiết lập chính sách này.

Một khía cạnh quan trọng liên quan đến bảo mật mà bạn cần phải biết đó là
vùng của người gửi được lưu như một thuộc tính file. Điều này có nghĩa hệ
thống file NTFS cần phải có. Nếu hệ thống được định dạng bằng FAT hoặc
FAT-32 thì thông tin vùng sẽ không được duy trì và Windows sẽ không báo
cáo về sự thất bại này.

Các cơ chế ẩn để xóa bỏ thông tin vùng

Trong bất kỳ điều kiện nào bạn cũng đều có thể dễ dàng xóa bỏ một vùng có
liên quan đến thuộc tính từ file. Để thực hiện điều đó bạn phải kích nút
Unblock trên cửa sổ thuộc tính của file. Nếu muốn ngăn không cho người
dùng phát hiện ra thông tin vùng từ các file thì bạn chỉ cần kích hoạt chính
sách này. Làm như vậy bạn sẽ ẩn được các cơ chế mà người dùng có thể sử
dụng để xóa bỏ thông tin vùng từ một file.

Mức rủi ro mặc định cho các file đính kèm

Thiết lập chính sách này cho phép bạn tự động gán mức rủi ro cao, trung
bình hay thấp cho các đính kèm email.


Danh sách các kiểu file có mức rủi ro cao

Rõ ràng, một số kiểu file có thể mang theo các mã hiểm độc hơn các kiểu
khác. Ví dụ, file .exe hoặc file .PIF có thể là file chứa mã nguy hiểm nhiều
hơn file .PDF. Do đó Windows cho phép bạn đánh dấu các kiểu file khác
nhau ở các mức rủi ro khác nhau.

Windows cung cấp các thiết lập chính sách nhóm riêng biệt cho danh sách
các kiểu file có mức rủi ro cao, trung bình và thấp. Microsoft chọn cách này
là bởi vì nó cho phép thiết lập được chặt chẽ hơn, đưa ra quyền ưu tiên trong
trường hợp có xung đột. Giả sử rằng một kiểu file cụ thể nào đó được liệt
trong cả hai mức rủi ro cao và trung bình. Trong trường hợp như vậy, chính
sách rủi ro cao hơn sẽ có quyền ưu tiên cao hơn chính sách rủi ro trung bình,
và kiểu file sẽ được xử lý ở mức rủi ro cao sẽ không quan tâm đến những
thiết lập chính sách gì khác có thể ra lệnh.

Vậy có nghĩa gì khi phân loại kiểu file mở mức rủi ro cao? Khi người dùng
cố gắng mở một file, Windows không chỉ xem xét kiểu file mà còn xem
trong vùng mà file đó được bắt nguồn. Nếu file này được bắt nguồn từ một
vùng bị hạn chế và được phân vào mức rủi ro cao thì Windows sẽ ngăn
không cho người dùng mở file. Nếu file được bắt nguồn từ vùng Internet thì
Windows sẽ hiển thị một thông báo cho người dùng trước khi mở file đó.

Danh sách các kiểu file có mức rủi ro thấp

Việc định nghĩa kiểu file có mức rủi ro thấp này cũng giống định nghĩa như
file có mức rủi ro cao nhưng có một cặp điểm khác biệt. Sự khác nhau đầu
tiên đó là Windows xử lý các kiểu file có mức rủi ro cao một cách mặc định.
Nếu bạn thiết lập một trong các kiểu file đó có mức rủi ro thấp thì thiết lập
của bạn sẽ có quyền ưu tiên cao hơn đối với thiết lập của Windows, và file

đó sẽ được coi có mức rủi ro thấp. Và tất nhiên nếu bạn bổ sung một kiểu
file vào danh sách rủi ro mức cao và sau đó thêm nó vào danh sách rủi ro
thấp thì file đó sẽ được coi có mức rủi ro cao vì danh sách mức cao sẽ được
ưu tiên hơn mức thấp.

Danh sách các kiểu file có mức rủi ro trung bình

Việc định nghĩa kiểu file có mức rủi ro trung bình cũng như việc định nghĩa
một file có mức rủi ro thấp nhưng có một ngoại lệ. Nếu file được tổ chức từ
vùng Internet hay bị hạn chế thì Windows sẽ hiển thị một cảnh báo trước khi
cho phép người dùng mở file đó.

Kết luận

Trong bài này chúng tôi đã giới thiệu cho các bạn Windows Vista và
Windows Server 2008 có nhiều thiết lập chính sách hơn Windows Server
2003 và Windows XP, giới thiệu một số thiết lập liên quan đến việc chống
virus hữu dụng hơn. Trong phần hai chúng tôi sẽ tiếp tục giới thiệu về một
số chính sách mới khác của GP.