Top 5 thiết lập bảo mật trong Group Policy của
Windows Server 2008

Làm thế nào để giảm bớt bề mặt tấn công trên các máy tính desltop bằng
cách sử dụng 5 thiết lập bảo mật trong Group Policy.

Với trên 5000 thiết lập trong Group Policy mới của Windows Server 2008, có
thể bạn sẽ bị ngập giữa việc chọn xem thiết lập nào quan trọng nhất đối với
bản thân và mạng của mình. Việc thi hành các thiết lập bảo mật cho desktop
để tăng bảo mật một cách toàn diện chính là bằng cách giảm bề mặt tấn công
sẵn có. Trong các thiết lập bảo mật thì có một số chỉ hỗ trợ cho Windows
Vista, còn một số khác có thể tương thích với Windows XP SP2.

Kiểm soát thành viên nhóm Administrator nội bộ

Một trong những thiết lập không an toàn nhất có thể được bạn cho người
dùng là truy cập quản trị nội bộ. Bằng cách add thêm một tài khoản người
dùng vào nhóm Administrators nội bộ, người dùng sẽ được ban cho hầu như
các kiểm soát tối thượng trên desktop của họ. Họ có thể thực hiện hầu hết các
hành động, thậm chí nếu mạng được cấu hình để từ chối tuy cập này. Các
hành động mà người dùng có thể thực hiện, nhờ có quyền quản trị nội bộ,
gồm có:
 Remove máy tính của họ ra khỏi miền
 Thay đổi thiết lập Registry
 Thay đổi các điều khoản trên thư mục và file
 Thay đổi thiết lập hệ thống, như các thiết lập trong file nằm trong thư

mục hệ thống.
 Cài đặt ứng dụng
 Hủy bỏ cài đặt các ứng dụng, các bản vá bảo mật và các gói dịch vụ.
 Truy cập vào Website được tường lửa cho phép
 Download và cài đặt ActiveX controls, các ứng dụng Web hoặc các
ứng dụng mã độc khác được download từ Internet.
Mặc dù yêu cầu người dùng cần phải có quyền quản trị viên để cho phép các
ứng dụng nào đó hoạt động, tuy nhiên kiểu truy cập này thường rất nguy
hiểm và dễ đặt desktop và toàn bộ mạng vào các tấn công bảo mật.

Với Group Policy của Windows Server 2008, người dùng hiện có thể được
remove từ nhóm Administrators nội bộ bằng cách chỉ dùng một chính sách
đơn giản. Thiết lập này điều khiển Windows XP SP2 và các hệ điều hành cao
hơn. Chúng là các thiết lập Preferences mới của Group Policy. Để truy cập
vào thiết lập này, bạn cần mở Group Policy Object và vào phần:
User Configuration\Preferences\Control Panel
Sau đó kích chuột phải vào Local Users and Groups. Từ menu, kích New -
Local Group. Khi đó hộp thoại dưới đây sẽ xuất hiện, xem trong hình 1.

Hình 1: Group Policy Preference cho Local Group
Để cấu hình chính sách, bạn hãy đánh Administrators vào hộp văn bản
Group, sau đó tích vào hộp kiểm “Remove the current User”. Trong lúc
background kế tiếp của Group Policy refresh tất cả các tài khoản người dùng
nằm trong phạm vi quản lý của GPO, nơi thiết lập này được cấu hình, thì các
tài khoản sẽ được remove ra khỏi nhóm Administrators trên máy tính họ đăng
nhập.

Thiết lập lại mật khẩu Administrator nội bộ

Kết hợp với thiết lập Group Policy đầu tiên, mật khẩu Administrator nội bộ

cũng cần phải thiết lập lại. Điều này là do người dùng có các đặc quyền quản
trị viên trước khi remove họ ra khỏi nhóm quản trị nội bộ.

Sau khi tài khoản người dùng đã được remove ra khỏi nhóm quản trị nội bộ,
mật khẩu tài khoản nhóm này cần phải được thiết lập lại. Nếu thiết lập này có
thể được thực hiện đồng thời với việc remove tài khoản người dùng thì họ sẽ
không thể biết hoặc thay đổi mật khẩu Administrator nội bộ mới.

Thiết lập này kiểm soát Windows XP SP2 và các hệ điều hành mới hơn. Nó
là thiết lập Group Policy Preferences mới. Để truy cập vào thiết lập này, bạn
mở Group Policy Object và vào:
Computer Configuration\Preferences\Control Panel
Sau đó kích chuột phải vào Local Users and Groups. Từ menu, kích New -
Local User. Hộp thoại dưới đây sẽ xuất hiện.

Hình 2: Group Policy Preference cho Local User
Để cấu hình chính sách, đánh Administrator vào hộp văn bản User name, sau
đó đánh mật khẩu mới vào hộp văn bản Password, xác nhận mật khẩu trong
hộp Confirm Password. Trong khi background của Group Policy mới refresh
tất cả các tài khoản máy tính nằm trong phạm vi quản lý của GPO thì mật
khẩu Administrator nội bộ sẽ được thiết lập lại.

Windows Firewall với độ bảo mật nâng cao

Trước đây, người dùng và các quản trị viên đều mơ màng về Windows
Firewall, do những khả năng hạn chế về các sản phẩm của họ. Giờ đây,
Windows Firewall có một số thiết lập bảo mật tiên tiến cho phép họ có những
hiểu biết rõ ràng hơn về tường lửa.

Các tính năng bảo mật tiên tiến mới của Windows Firewall không chỉ kết hợp

chặt chẽ trong việc lọc inbound và outbound mà còn gồm có cả IPSec.

Các thiết lập này chỉ có thể kiểm soát với Windows Vista và nằm trong vùng
bảo mật của Group Policy. Để truy cập vào thiết lập này, bạn hãy mở Group
Policy Object và vào:

Khi mở chính sách, bạn sẽ thấy ba nút sau:
 Inbound rules
 Outbound rules
 Connection Security Rules
Nếu kích chuột phải vào các tùy chọn này, bạn có thể chọn tùy chọn New
Rule, xem inbound rule được thể hiện trong hình 3.

Hình 3: Một trong những màn hình trong Inbound rule wizard.
UAC

User Account Control (UAC) cung cấp cho bạn một tùy chọn giúp bảo vệ
máy tính nơi người dùng và quản trị viên đăng nhập. UAC hiện là một ý
tưởng tuyệt vời cho tất cả các quản trị viên và có thể là một giải pháp tốt cho
người dùng chuẩn. Do UAC bắt buộc tất cả người dùng phải đều là người
dùng chuẩn cho tất cả các nhiệm vụ, nó trợ giúp bảo vệ chống lại bất cứ ứng
dụng hoặc virus nào muốn ghi vào các vùng được bảo vệ trên máy tính bằng
cách nhắc nhở người dùng bằng một hộp thoại mỗi khi vùng được bảo vệ của
máy tính bị truy cập. Có thể là truy cập một ứng dụng, cài đặt một ứng dụng,
thay đổi registry, ghi vào file hệ thống,…

Đây quả là điều tuyệt vời đối với tất cả các quản trị viên, vì họ có thể sử dụng
một tài khoản người dùng nào đó cho các nhiệm vụ hàng ngày, cả cho CNTT
và sử dụng cá nhân. Với những người dùng chuẩn, chỉ có cách UAC sẽ hoạt
động tốt trong trường hợp tất cả các ứng dụng chạy trên máy trạm có thể chạy

mà không yêu cầu đến các chứng chỉ quản trị viên. Trong tình huống này,
người dùng có thể thực hiện tất cả các hoạt động và chạy tất cả các ứng dụng
như một người dùng chuẩn. Sau đó nếu một nhiệm vụ nào đó cần phải được
thực hiện với quyền truy cập cao hơn (mức quản trị viên) thì họ có thể cần
đến sự trợ giúp của đội hỗ trợ hoặc quản trị viên hệ thống.

Các thiết lập kiểm soát UAC có thể được tìm thấy tại Computer
Configuration\Policies\Windows Settings\Security Settings\Local
Policies\Security Options, xem trong hình 4 bên dưới.

Hình 4: Các tùy chọn Group Policy để kiểm soát UAC
Chính sách mật khẩu

Mặc dù các mật khẩu không thật sự hấp dẫn như một thiết lập bảo mật,
nhưng khả năng kiểm soát các mật khẩu bằng Group Policy cũng không nên
bỏ qua trong danh sách top 5 này. Windows Server 2008 vẫn sử dụng Group
Policy để xác định các thiết lập chính sách tài khoản ban đầu, thứ không thay
đổi từ Windows 2000. Các thiết lập được cấu hình ban đầu trong Default
Domain Policy, nhưng chúng có thể được tạo trong bất kỳ GPO nào được
liên kết với miền. Có một thứ bạn cần nên lưu ý là GPO gồm có các thiết lập
chính sách tài khoản phải có mức ưu tiên cao nhất so với tất cả các GPO liên
kết với miền.

Các thiết lập mà bạn có thể cấu hình được thể hiện trong hình 5 và các thiết
lập thể hiện trong bảng 1.

Hình 5: Các thiết lập chính sách mật khẩu trong Default Domain Policy
Đây là một số hướng dẫn cho các thiết lập chính sách này:
Thiết lập chính sách
Giá tr

ị tối
thiểu
Giá tr
ị an
toàn
Tuổi thọ tối thiểu của
mật khẩu
1 1
Tuổi thọ tối đa của mật
khẩu
180 45
Chiều dài tối thiểu của
mật khẩu
8 14+
Độ phức tạp của mật
khẩu
Enabled Enabled
Bảng 1
Kết luận

Các tùy chọn của Windows Server 2008 Group Policy quả thực rất ấn tượng.
Với hơn 5000 thiết lập, bạn sẽ hoàn toàn thoải mái trong việc kiểm soát các
máy tính trong môi trường của mình. 5000+ các thiết lập để bảo đảm sự bảo
mật cho tất cả các môi trường và người dùng là rất cần thiết. Nếu bạn lợi
dụng được các thiết lập được giới thiệu trong bài này thì bạn sẽ đảm bảo cho
môi trường desktop của mình trở nên an toàn hơn rất nhiều.