Tài liệu Điều khiển các thiết lập bảo mật của Group Policy ppt
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (280.67 KB, 5 trang )
Điều khiển các thiết lập bảo mật của Group
Policy
Mặc định, các thiết lập bảo mật trong GPO sẽ refresh 16 giờ
một lần. Bài này sẽ giới thiệu cho các bạn những vấn đề chi tiết
về quá trình làm việc và những gì có thể thay đổi trong GPO.
Rõ ràng Group Policy trong Active Directory là cách thức logic
và hiệu quả nhất để cấu hình và duy trì độ bảo mật cho tất cả domain controller, máy chủ
và desktop của bạn. Tuy nhiên cách duy trì và điều khiển các thiết lập bảo mật của ứng
dụng cũng như cách refresh các thiết lập trong GPO lại là một vấn đề. Thực sự có nhiều
cách để điều khiển các thiết lập bảo mật trong refresh và điều khiển. Trong bài viết này,
chúng tôi sẽ giới thiệu cho các bạn một trong các phương pháp để thực hiện nhiệm vụ
này.
Thiết lập nào là thiết lập bảo mật?
Trước khi giới thiệu , mọi người nên biết chính xác những gì nằm trong “security
settings” của GPO. Nếu bạn mở một GPO trong Windows Server 2008, bạn cần mở nút
Computer Configuration|Policies|Windows Settings|Security Settings để xem tất cả các
thiết lập có liên quan đến bảo mật mà chúng tôi sẽ đề cập đến trong bài này (có một số
thiết lập nằm trong User Configuration|Policies|Windows Settings|Security Settings,
chúng không thường xuyên được sử dụng nhưng cũng không liên quan đến trong bài
này), xem trong hình 1.
Hình 1: Các thiết lập bảo mật trong GPO chuẩn
Lý do tất cả các thiết lập nằm trong chủng loại này là vì tất cả chúng đều được điều khiển
bởi Security Client Side Extension (CSE). Chúng ta sẽ thấy Security CSE có thể được
điều khiển riêng biệt từ các CSE khác và hành động hơi khác đôi chút so với các thành
phần khác.
Thực hiện Refresh thủ công
Group Policy có một quá trình refresh tự động, tuy nhiên trong một số trường hợp,
khoảng thời gian này không đủ nhanh cho các thiết lập bạn muốn triển khai. Trong
trường hợp như vậy, quá trình refresh có thể được kích hoạt bằng một lệnh đơn giản, rất
hữu dụng trong những lần bạn kiểm tra hoặc đợi một thiết lập nào đó có hiệu lực ngay lập
tức. Để refresh Group Policy (gồm có cả các thiết lập bảo mật), hãy chạy GPUPDATE từ
tiện ích dòng lệnh. Với các máy tính nằm trong miền, các máy tính này sẽ sử dụng tất cả
các thiết lập mới từ GPO dựa trên Active Directory và cục bộ.
Nếu bạn không thực hiện bất cứ thay đổi nào đối với GPO liên quan tới các thiết lập bảo
mật mà vẫn muốn sử dụng các thiết lập một cách thủ công, hãy sử dụng khóa chuyển đổi
/force với lệnh GPUPDATE. Khóa chuyển đổi này sẽ thi hành ứng dụng với tất cả các
thiết lập GPO mà không cần xem xét số phiên bản GPO cũng như các nâng cấp cho GPO.
Nó sẽ chỉ sử dụng lại tất cả các thiết lập có trong tất cả GPO.
Refresh Background tự động
Group Policy có một tính năng để thi hành một cách liên tục trong chế độ background mà
không cần người dùng đăng xuất và đăng nhập trở lại, hoặc khởi động lại máy tính. Mặc
định, các lần refresh xuất hiện xấp xỉ 90 phút mỗi lần. Đây là 90 phút cơ bản và 30 phút
offset. Refresh background tự động này được điều khiển bởi một thiết lập GPO trong nút
Computer Configuration|Policies|Administrative Templates|System|Group Policy. Thiết
lập bạn sẽ cấu hình để thay đổi các thiết lập refresh background mặc định là khoảng thời
gian refresh của Group Policy cho các máy tính, xem trong hình 2.
Hình 2: Refresh Group Policy có thể được thay đổi bằng thiết lập chính sách này
Quan điểm của chúng tôi ở đây là không cần thiết phải thay đổi ở đây vì một vài lý do.
Trước hết, khoảng thời gian 90 phút là đủ hợp lý cho refresh GPO. Thứ hai nếu bạn thay
đổi khoảng thời gian này thì nó sẽ ảnh hưởng đến tất cả CSE, không chỉ các thiết lập bảo
mật. Điều này có thể gây ra một số vấn đề về hiệu suất trên tất cả các máy tính nằm trong
mạng.
Những gì bạn sẽ muốn thực hiện liên quan đến các thiết lập bảo mật trong quá trình
refresh background là bảo đảm cho chúng sử dụng mỗi lần. Điều này không cần thiết vì
các thiết lập bảo mật thực hiện trong một khoảng thời gian khác (xem phần kế tiếp). Mặc
dù vậy nếu bạn gặp tình huống mà ở đó người dùng được cấu hình với tư cách các quản
trị viên trên máy trạm thì đây cũng là một vấn đề cần cân nhắc. Để tạo thiết lập này cho
các thiết lập bảo mật trong GPO, hãy vào
Computer
Configuration|Policies|Administrative Templates|System|Group Policy. Ở đây bạn sẽ tìm
thấy một chính sách có tên Security policy processing, xem thể hiện trong hình 3.
Hình 3: Các thiết lập bảo mật có thể được áp đặt sử dụng mỗi lần
Bằng cách kiểm tra Process cho dù các đối tượng Group Policy không bị thay đổi thì bạn
sẽ chỉ kích hoạt các thiết lập bảo mật để sử dụng mỗi lần, không phải mỗi CSE.
Các thiết lập bảo mật “duy nhất”
Với trên 30 CSE, GPO sẽ liên tục thực hiện công việc trên mạng của bạn. Mặc dù vậy, có
một CSE duy nhất đó là CSE thiết lập bảo mật. CSE này thực hiện như các CSE khác
ngoại trừ chu kỳ 16 giờ, chúng cũng áp dụng tất cả trong các GPO mà không quan tâm
đến sự thay đổi xuất hiện đối với GPO. Có điều làm cho nó khác với các CSE khác đó là
khi không có các thiết lập nào thay đổi trong GPO thì các thiết lập GPO sẽ không sử
dụng lại.
Đây là một tính năng tuyệt vời và cũng là tính năng có thể được thay đổi. Không giống
như các thiết lập khác mà chúng tôi đã giới thiệu cho các bạn trong bài này, thiết lập này
không phải là thiết lập GPO mà nó chính là thiết lập registry. Nếu muốn tự điều chỉnh
thiết lập này thì bạn có thể thực hiện bằng cách thay đổi
MaxNoGPOListChangesInterval
nằm trong registry:
HKLM \ Software | Microsoft | Windows NT | CurrentVersion | Winlogon \
GPExtensions | {827D319E-6AC-11D2-A4EA-00C04F79F83A}
(Lưu ý: Chuỗi các ký tự dài này là GUID cho Security CSE). Bạn có thể xem đường dẫn
này và thiết lập khoảng thời gian khóa trong hình 4.
Hình 4: Các thiết lập Security CSE Registry gồm có giá trị
MaxNoGPOListChangesInterval
Lưu ý:
Giá trị của Registry MaxNoGPOListChangesInterval là một giá trị DWORD và có đơn vị
phút. Nếu bạn muốn 16 giờ thì sẽ là 960 phút trong Registry.
Kết luận
Nếu vấn đề bảo mật thực sự cần thiết cho tổ chức và bạn sử dụng Group Policy để thực
thi bảo mật thì bạn hãy điều khiển về cách thực hiện các thiết lập bảo mật trong Group
Policy. Ở đây bạn sẽ có nhiều tùy chọn thi hành và điều khiển refresh, thậm chí bảo đảm
các thiết lập bảo mật phù hợp theo thời gian với Group Policy. Có nhiều phương pháp thủ
công để điều khiển ở máy tính mục tiêu cũng như các giải pháp trực tiếp với công cụ
Active Directory Users and Computers để quản lý các nâng cấp cho Group Policy từ vị trí
trung tâm, chẳng hạn như Specops. Nếu muốn các thiết lập bảo mật của mình được
refresh mỗi lần refresh background, bạn có thể điều chỉnh thiết lập CSE để thực hiện điều
đó. Cuối cùng nữa là bạn có thể thay đổi chu kỳ refresh background bảo mật (khác với
chu kỳ mặc định 16 giờ).
