Các mở rộng của Group Policy trong Windows Vista và Windows
Server 2008 (Phần 2)
Trong phần đầu tiên của loạt bài này, chúng tôi đã giải thích rằng
Windows Vista và Windows Server 2008 cung cấp đến hàng trăm thiết
lập chính sách nhóm bổ sung so với Windows Server 2003 và Windows
XP. Trong bài viết này, chúng tôi sẽ tiếp tục giới thiệu về các thiết lập
của Group Policy được sử dụng để điều khiển tài khoản người dùng và
các thiết bị phần cứng.
Các thiết lập chính sách nhóm mà chúng tôi sẽ giới thiệu đều được đặt tại
Computer Configuration / Windows Settings / Security Settings / Local
Policies / Security Options. Bạn có thể xem trong hình A, có quá nhiều
thiết lập Group Policy trong mục Security Options để thảo luận về chúng.
Chính vì vậy chúng tôi sẽ giới thiệu một số thiết lập chính sách hữu hiệu
nhất và cũng thú vị nhất.
Hình A: Tài khoản liên quan đến các thiết lập Group Policy được đặt tại
Computer Configuration / Windows Settings / Security Settings / Local
Policies / Security Options
Trạng thái của tài khoản quản trị viên
Một trong những điểm yếu bảo mật chính của các hệ điều hành trước đây là
sự tồn tại của tài khoản quản trị viên cục bộ trên các máy trạm làm việc. Với
Windows Vista, có thể thiết lập vô hiệu hóa trạng thái tài khoản quản trị viên
cục bộ tại phần Accounts: Administrator Account Status
Mặc định, tài khoản quản trị viên được kích hoạt nhưng việc vô hiệu hóa nó
rất đơn giản. Tất cả những gì cần thực hiện là thiết lập chính sách này thành
“Disabled”. Trước khi bạn bắt đầu việc vô hiệu hóa các tài khoản quản trị
viên cục bộ, có một số hậu quả mà bạn cần phải hiểu về chúng. Nếu đã vô
hiệu hóa một tài khoản quản trị viên thì bạn sẽ không thể kích hoạt nó trở lại
trừ khi mật khẩu của tài khoản quản trị viên đạt được độ dài mật khẩu tối
thiểu và đủ yêu cầu phức tạp. Các quản trị viên khác có thể thiết lập lại mật
khẩu tài khoản bằng cách thừa nhận sự tồn tại của tài khoản đó.
Nếu bạn bị khóa trái bên ngoài máy tính của chính bạn và không có tài
khoản quản trị nào có thể thiết lập lại được mật khẩu, thì không phải là đã
hoàn toàn mất hết hy vọng. Tài khoản quản trị viên cục bộ luôn luôn được
kích hoạt khi máy tính đang chạy trong chế độ “safe mode”. Chính vì vậy
bạn có thể khởi động máy tính trong chế độ “safe mode” (chế độ an toàn),
đăng nhập với tư cách là quản trị viên nội bộ và thiết lập lại mật khẩu. Sau
đó bạn có thể kích hoạt lại tài khoản quản trị viên cục bộ.
Hạn chế việc sử dụng các mật khẩu trống
Thông thường, không có lý do nào để ai đó trong tổ chức của bạn sử dụng
một mật khẩu trống. Đề phòng việc này thông qua phần Accounts: Limit
Local Account Use of Blank Passwords to Console Logon Only thiết lập
giới hạn đối với các tài khoản có mật khẩu trống có thể được sử dụng như
thế nào.
Thiết lập chính sách này được kích hoạt mặc định, sở dĩ như vậy là để bất cứ
tài khoản người dùng nào không có mật khẩu chỉ được phép đăng nhập cục
bộ. Điều đó có nghĩa là ai đó có thể sử dụng một tài khoản như vậy để đăng
nhập trực tiếp vào máy tính đang nhưng không thể đăng nhập thông qua một
cơ chế khác như Remote Desktop.
Đặt lại tên của tài khoản quản trị viên
Microsoft luôn nhắc nhở chúng ta nên thay đổi lại tên tài khoản quản trị viên
cho mục đích bảo mật. Vấn đề ở chỗ là mỗi một máy trạm làm việc đều có
tài khoản quản trị viên của chính nó và việc thay đổi tên lại phải thực hiện
thủ công.
Vista và Server 2008 hiện cung cấp cho chúng ta một thiết lập Group Policy,
thiết lập này có thể được sử dụng để thay đổi tên tài khoản quản trị viên cục
bộ một cách tự động. Tên thiết lập của chính sách là Accounts: Rename
Administrator Account. Để sử dụng thiết lập này, tất cả những gì cần thực
hiện là nhập vào một tên mới cho tài khoản quản trị viên và sự thay đổi sẽ
được phổ biến đến tất cả các máy tính mà Group Policy áp dụng.
Kiểm định các hoạt động Backup và Restore
Một trong những thiết lập thú vị nhất của Group Policy là Audit: Audit the
Use of Backup and Restore Privilege. Ý tưởng cơ bản ẩn đằng sau thiết lập
chính sách này là nếu bạn chọn kích hoạt nó (thiết lập chính sách bị vô hiệu
hóa mặc định) thì các hoạt động backup và restore sẽ được kiểm định.
Tại sao nói rằng đây là một trong những thiết lập chính sách thú vị nhất? Bởi
vì nó có cả một số điểm tốt và điểm xấu. Điểm tốt của chính sách này là nó
cho phép bạn kiểm định xem ai có quyền backup hệ thống đang thực hiện
backup theo chính sách của công ty. Nó cũng cho phép bạn biết về bất cứ
hoạt động restore nào xuất hiện. Tuy nhiên nhược điểm của nó là tạo ra một
bản ghi cho mỗi file được backup. Điều đó có nghĩa là các bản ghi kiểm
định của bạn có nguy cơ tràn ngập. Rõ ràng là một số lượng tài nguyên ổ đĩa
và CPU cũng bị sử dụng khi bản ghi đó được ghi. Bản thân ảnh hưởng của
việc ghi bản ghi là không đáng kể, nhưng nếu ghi hàng nghìn bản ghi thì các
bản ghi này sẽ ảnh hưởng đến hiệu suất của hệ thống.
Các phương tiện di động
Trong nhiều công ty việc sử dụng các phương tiện có thể di rời là điều
không được phép. Các phương tiện đó có thể là đĩa CD và DVD cho phép
người dùng mang dữ liệu không được kiểm định và các ứng dụng vào tổ
chức; hoặc tạo các bản sao dữ liệu nhạy cảm và đôi khi còn xóa dữ liệu từ tổ
chức. Khi việc sử dụng các phương tiện di động thường bị ngăn cản như
vậy, Microsoft đã tạo ra thiết lập chính sách Devices: Allowed to Format
and Eject Removable Media. Như tên được ngụ ý của nó, thiết lập này có
thể được sử dụng để ngăn chặn người dùng format hay eject các phương tiện
di động.
Các Driver của máy in
Windows được thiết kế theo cách nếu một người dùng muốn in từ một máy
in trong mạng thì họ không cần đến đĩa CD có chứa driver của máy in đó, và
cũngkhông phải download nó từ Internet. Khi người dùng sử dụng một thỏa
thuận đánh tên phổ biến (UNC) để đính vào một máy in đang được chia sẻ
bởi máy tính sử dụng Windows, máy chủ quản lý máy in sẽ kiểm tra máy
trạm làm việc của người dùng để xem nó có phải là driver thích hợp hay
không. Nếu không có driver nào tồn tại thì máy chủ quản lý máy in sẽ gửi đi
một bản copy của driver máy in đến máy tính này.
Trong hầu hết các trường hợp, đây có thể là một hành vi đáng mong muốn vì
nó cho phép người dùng có thể thực hiện các công việc của họ mà không cần
phải liên lạc với bàn trợ giúp mỗi khi họ cần in từ một máy in khác. Trong
môi trường bảo mật cao hơn, nó có thể bị xem như rủi ro vì đã cho phép
người dùng in mà chưa được chỉ định. Một cách để ngăn chặn người dùng in
từ các máy in không được kiểm định là không cho phép họ cài đặt driver của
máy in.
Bạn có thể dừng người dùng cài đặt driver máy in bằng cách kích hoạt thiết
lập Devices: Prevent Users from Installing Printer Drivers. Thiết lập chính
sách này bị vô hiệu hóa mặc định trên các máy trạm làm việc, nhưng nó
được kích hoạt mặc định trên máy chủ.
Có một số thứ cần phải lưu ý trong phần này. Đầu tiên, thiết lập chính sách
này không ngăn chặn người dùng bổ sung thêm máy in cục bộ, nó chỉ không
cho người dùng cài đặt driver cho các máy in của mạng. Một điều khác cũng
cần phải lưu ý đó là việc kích hoạt chính sách này sẽ không ngăn người dùng
in trên máy in của mạng mà họ đã có driver. Cuối cùng, việc kích hoạt thiết
lập này không có hiệu lực đối với các quản trị viên.
Kết luận
Trong phần hai này, chúng tôi đã giới thiệu về các thiết lập Group Policy có
liên quan đến việc điều khiển tài khoản người dùng và các phần cứng thiết
bị. Trong phần ba, chúng tôi sẽ tiếp tục giới thiệu về một số thiết lập của
Group Policy chỉ có duy nhất trong Windows Server 2008 và Windows
Vista.