Các thiết lập bảo mật đặc biệt của Group Policy
Ngu
ồn : quantrimang.com
Derek Melbe
r
Rất nhiều các thiết lập bảo mật có thể được cấu hình trong Group Policy
Object. Các thiết lập đó trải rộng từ việc điều khiển tài khoản Administrator
đến quản lý các nhu cầu máy khách LDAP. Với quá nhiều thiết lập bảo mật
như vậy thì việc hiểu được chức năng và các yếu tố cần thiết khác là một
việc quan trọng. Trong bài viết này, chúng tôi sẽ giới thiệu một cách chi tiế
t
về một số thiết lập bảo mật cũng như một số kịch bản chung nhất về bảo
mật.
Thi hành các thiết lập bảo mật của Group Policy
Đề tài này đã có các bài viết của chúng tôi hoặc báo khác nói đến rất nhiều,
nhưng các bài viết trước đây chỉ giới thiệu cho bạn cách có thể bảo đảm cho các
thiết lập bảo mật đ
ó được áp dụng như thế nào. Còn trong bài này, chúng tôi
muốn giới thiệu thêm một số chi tiết sâu hơn về cách có thể thẩm định thiết lập
nào là “các chính sách” và thiết lập nào là “tham chiếu” để bạn có một sự hiểu
biết rõ ràng về cách mỗi thiết lập được áp dụng đối với máy tính. Với mỗi kiểu
thiết lập, bạn có thể thực thi các thiết lập này ở khoảng thời gian làm mới Group
Policy, khoảng thời gian này xấp xỉ 90 phút.
Tất cả các chi tiết vẫn chạy ổn định và các kỹ thuật trong một số bài báo trước
đây đã giới thiệu vẫn hợp lệ. Tuy vậy, có một công nghệ xây dựng đính kèm -
“built-in” khác bạn cần tìm hiểu thêm ở đây. Công nghệ này cho phép bạn điều
khiển khoảng thời gian các thiết lập bảo mật trong GPO được làm mới mà không
cần tới b
ất kỳ thay đổi nào đối với GPO. Sự thật là như vậy, bạn có thể có tất cả
các thiết lập bảo mật tự động được áp dụng sau một khoảng thời gian X phút
nào đó mà không cần thay đổi đến GPO. Giá trị của registry mà bạn cần thay đổi
là MaxNoGPOListChangesInterval, xem trong hình 1.
Hình 1: Bạn có thể thay đổi khoảng thời gian làm mới các thiết lập bảo mật trong
GPO
Bạn có thể tìm thiết lập này trong Registry dưới đây:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-
11D2-A4EA-00C04F79F83A}
Giá trị mặc định cho thiết lập này là 960 phút (hoặc 0x3c0 theo số hex).
Thiết lập này rất quan trọng vì nó cho phép quản trị viên bảo đảm rằng các thiết
lập bảo mật đang tồn tại được có hiệu lực hay hết hiệu lự
c đối với người dùng
mà không cần phải đợi đến chu kỳ mỗi lần làm mới. Giờ đây người dùng đã có
một máy trạm an toàn mà không cần phải quan tâm đến sự ảnh hưởng bất lợi
của các thiết lập bảo mật tồn tại trong mỗi chu kỳ 90 phút.
Lưu ý
:
Có một số ảnh hưởng bất lợi trong việc thiết lập giá trị này quá thấp, đặc biệt
nếu bạn đang sử dụng thiết lập này chung với các ảnh Sysprep. Hãy kiểm tra
các thiết lập trước khi thực thi chúng vào sản phẩm.
Các thiết lập bảo mật trong Domain Controller
Có một số bài đã viết về đề tài này nhằm miêu tả cách Account Policies trong
GPO ảnh hưởng tới bộ đ
iều khiển miền và Security Accounts Manager (SAM)
nội bộ trên các máy chủ và máy trạm trong miền như thế nào. Các thiết lập đó là
duy nhất cho bộ điều khiển miền do bản chất của tất cả bộ điều khiển miền cần
đồng bộ với một số thiết lập cho miền rộng.
Account Policies không chỉ là thiết lập ảnh hưởng đến các bộ điều khiể
n miền
trường hợp này mà còn có một số thiết lập bảo mật khác chỉ có thể được áp
dụng cho nút gốc của miền để gây ảnh hưởng lên các bộ điều khiển miền. Tiếp
đó, các thiết lập này cần chức năng giống như vậy để tất cả các bộ điều khiển
miền trong miền có một phía được đồng bộ và được hợp nhất khi trình diễn
miền. Nếu máy trạm nào vào bộ điều khiển miền A và có thiết lập X và m
ột máy
trạm khác vào bộ điều khiển B với thiết lập Y thì có thể gây ra các hiệu quả xấu
đáng kể trong toàn bộ công ty.
Các thiết lập được áp dụng cho tất cả bộ điều khiển miền thông qua GPO có liên
kết đến miền:
•
Account Policy
•
Network Security: Force logoff when logon hours expire – Bắt đăng xuất
khi thời hạn đăng nhập hết hạn
•
Accounts: Administrator account status – Trạng thái tài khoản quản trị viên
•
Accounts: Guest account status – Trạng thái tài khoản khách
•
Accounts: Rename Administrator account – Thay đổi tên tài khoản quản trị
viên
•
Accounts: Rename guest account – Thay đổi tên tài khoản khách
Những điểm còn tồn tại của các thiết lập bảo mật
Hầu hết gần đây có rất nhiều hoạt động xung quanh các thiết lập Registry và File
hệ thống trong GPO. Các thiết lập này nằm dưới nút Computer Configuration
như trong hình 2.
Hình 2: Nút Registry và File System trong một GPO có thể điều khiển hầu hết
các Registry Key hay File
Các thiết lập này trong GPO có thể kiểm soát sự cho phép Registry Key, file hay
folder. Chúng có thể được cấu hình đơn giản và thực hiện những công việc rất
hiệu quả. Mặc dù vậy, lý do cho việc bất lợi là chúng có thể làm mất nhiều thời
gian khi áp dụng. Khi một máy tính khởi động các thiết lập này có thể mất đến
vài chu kỳ để áp dụng, điều đó gây ra sự chậm trễ đáng kể đối với người dùng
trên máy trạm của họ.
Nói chung các thiế
t lập này cần phải được sử dụng một cách tiết kiệm. Thay vì
sử dụng các thiết lập đó, tốt nhất bạn nên cấu hình cho phép bảo mật này trong
ảnh của máy trạm. Chỉ sử dụng các thiết lập chính sách này khi bạn không thể
đặt các cho phép trong ảnh gốc hoặc bạn rơi vào tình huống có thể chỉ có một
vài thiết lập đang tồn tại được phân phối thông qua Group Policy.
Mô tả bả
o mật trong suốt quá trình chuyển đổi
Sử dụng GPMC, bạn có thể chuyển đổi được các GPO từ một miền này sang
một miền khác. Đây là một khả năng rất hữu dụng và thường được thực hiện
trong khi chuyển các đối tượng từ một miền test sang sản phẩm thực thụ, hoặc
giữa hai miền của sản phẩm với nhau. Trong hầu hết các trường h
ợp, thiết lập
có trong GPO là “trung tính”, nghĩa là chúng chỉ là một sự chuyển đổi tính năng
giữa “On” và “Off”. Mặc dù vậy, khi nói đến các thiết lập bảo mật, không phải tất
cả thiết lập đều đơn giản như vậy. Có rất nhiều thiết lập bảo mật dựa vào tài
khoản người dùng hay tài khoản nhóm để hướng vào nơi mà chúng áp dụng.
Các thiết lập đó yêu cầu đến sự quan tâm
đặc biệt khi thực hiện chuyển đổi từ
miền này sang miền khác. Bởi vì mỗi miền lại có các tài khoản nhóm và tài
khoản người dùng riêng cần phải được thông dịch với nhau. Các thiết lập bị ảnh
hưởng bao gồm:
•
User rights assignment – Chỉ định quyền người dùng
•
Restricted groups – Các nhóm bị hạn chế
•
Services – Các dịch vụ
•
File system - Hệ thống file
•
Registry
•
GPO DACL, nếu bạn chọn để duy trì trong quá trình copy.
Giải pháp cho vấn đề này là sử dụng bảng chuyển đổi Migration Tables trong
GPMC như trong hình 3.
Hình 3: Các bảng thông dịch cho phép đối với các chuyển đổi GPO của miền
Kết luận
Không phải tất cả các thiết lập của GPO đều được tạo ra giống nhau như chúng
ta đã được thấy. Khi nói đến các thiết lập bảo mật, thì đây quả thực là một
trường hợp hoàn toàn cần phải lưu ý. Bạn cần phải xem xét kỹ hơn nữa và kiểm
tra tất c
ả các thiết lập bảo mật trước khi đưa chúng vào sản phẩm. Một thực tiễn
tốt nhất ở đây là các thiết lập bảo mật nên được áp dụng sau 16 giờ một lần,
thậm chí không có sự thay đổi các thiết lập chính sách. Điều đó sẽ bảo đảm sự
tin cậy và tính ổn định trong bảo mật các máy trạm và máy chủ của bạn. Với các
bộ đ
iều khiển miền, bạn cũng cần phải hiểu biết thấu đáo hơn về vị trí mà các
thiết lập nằm và được áp dụng, các bộ điều khiển miền hoạt động khác nhau
như thế nào trên hầu hết các máy tính. Cuối cùng, khi thiết lập các tài khoản
người dùng và tài khoản nhóm, bạn phải thông dịch từ miền này sang một miền
khác bằng các bảng Migration. Khi làm chủ được các thiết l
ập bảo mật này thì
mạng của bạn sẽ trở nên rất an toàn và ổn định!