Tài liệu Bảo mật Endpoint bằng Group Policy Group Policy pdf
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (312.75 KB, 3 trang )
Bảo mật Endpoint bằng Group Policy
Group Policy là một cơ chế quan trọng trong tiến trình bảo mật mạng. Dưới đây là một số cài đặt rất hữu
dụng để khóa chặn truy cập mạng.
Thiết lập kiểm soát lưu trữ di động
Các thiết bị lưu trữ Universal Serial Bus (USB) gây ra một mối đe dọa lớn tới sự bảo mật của máy trạm.
Những thiết bị này giúp kẻ gian dễ dàng đánh c
ắp thông tin hay cài đặt những phần mềm trái phép vào
mạng.
Mặc dù không có công cụ nào trong Group Policy giúp kiểm soát truy cập của các thiết bị lưu trữ USB
này, tuy nhiên có một số cài đặt chặn người dùng sử dụng những thiết bị này.
Một phương pháp liên quan tới tiến trình tạo một bản mẫu quản trị tùy biến chứa một Group Policy
Template, cung cấp khả năng truy cập tới một cài đặt có thể được sử
dụng để tắt cổng USB.
Nhập bản mẫu này vào Group Policy dưới dạng file .adm.
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY
[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"
Ngoài ra, các thiết bị lưu trữ USB có thể bị tắt bỏ với các chính sách giới hạn phần mềm. Khi một người
dùng kết nối một ổ USB vào hệ thống, Windows sẽ tải file diver%SystemRoot%\Inf\USBSTOR.INF. Một
Hash Rule có thể được tạo để chặn truy cập tới file này như trong hình dưới đây.
Chặn ổ USB truy cập vào file USBSTOR.INF.
Mặc dù đây không phải là một phương pháp nền tảng chính sách, nhưng đây là một phương pháp khá
đơn giản để sử dụng những giấy phép của file hệ thống NT để từ chối truy cập tới file USBSTOR.INF.
Ngoài ra, các công cụ nhóm ba, như GFI EndPoint Security
, có thể cung cấp nhiều quyền kiểm soát hơn
với những thiết bị lưu trữ di động so với những côgn cụ được tích hợp trong Windows.
Kích hoạt chính sách bảo mật cục bộ
Các chính sách bảo mật cục bộ cung cấp nhiều cài đặt tương tự như các chính sách cấp độ mạng, tuy
nhiên chúng được thiết kế để bảo vệ hệ thống khi nó không được thẩm định quyền trong một miền. Do
đó, một máy tính sẽ không xuất hiện điểm yếu nếu ai đó tìm ra phương pháp đăng nhập cục bộ.
Những chính sách bảo mật này thường bị bỏ qua vì chúng không thể
được quản lý tập trung, do đó rất
khó để có thể cập nhật.
Hơn nữa, mỗi máy tính trên mạng cần có một chính sách bảo mật cục bộ với các cài đặt quan trọng đã
được kích hoạt. Nếu chính sách này trở nên lỗi thời thì các cài đặt chính sách mạng sẽ ghi đè các cài đặt
của chính sách cục bộ khi người dùng trực tuyến. Khi một người dùng không đăng nhập vào mạng, các
chính sách bảo mật cụ
c bộ sẽ bảo vệ cho hệ thống. Có sự bảo vệ của một chính sách lỗi thời dù sao
cũng tốt hơn được bảo vệ.
Windows Mobile
Thông thường, Endpoint Security thường được tập trung vào máy desktop hay laptop và máy chủ. Các
thiết bị Mobile thường bị bỏ ngỏ do chúng được sử dụng rất ít và khả năng cũng hạn chế. Tuy nhiên, hiện
nay mọi thứ đã thay đổi.
Những chiếc điện thoại thông minh có thể thực hiện chức năng của máy tính xuất hiện ngày cành nhiều,
dẫn đến các ứng dụng dành cho điện thoại di dộng cũ
ng lan tràn nhanh chóng.
Kết quả là một thiết bị di động không bảo mật có thể gây ra vấn đề bảo mật cho mạng như một chiếc
laptop không được bảo mật. Nếu người dùng muốn sử dụng thiết bị di động để đột nhập vào mạng, sẽ có
ứng dụng đóng vai trò là trợ thủ đắc lực. Thực tế là hiện này chúng ta đã được nghe rất nhiều thông tin
về các cu
ộc lan tràn virus trên những thiết bị di động.
Các cài đặt của Group Policy có thể được sử dụng để chặn các thiết bị di động tương tự như khi khóa
một hệ thống desktop. Tuy nhiên, không phải mọi thiết bị di động đề tương thích với bảo mật nền tảng
Group Policy.
Các cài đặt Group Policy cấp độ mạng chỉ có thể được áp dụng cho các thành viên miền. Do đó, chỉ
những thiết bị có thể tham gia vào miền mới được bảo mật bằng Group Policy. Hiện nay, chỉ những thiết
bị di động sử dụng hệ điều hành Windows Mobile 6.1 và 6.5 mới có thể tham gia vào miền.
Cài đặt Group Policy cho các thiết bị di động không được tích hợp trong Windows Server. Để có được
những bản mẫu quản trị
cần thiết, chúng ta cần cài đặt System Center Mobile Device Manager. Công cụ
này bổ sung khoảng 125 cài đặt của Group Policy, có thể truy cập quaGroup Policy Object
Editor tại Administrative Templates / Windows Mobile Settings.
Tóm lại, chỉ cần sử dụng một số cài đặt Group Policy sẵn có, chúng ta có thể khóa Endpoint để tăng
cường bảo mật.
