Cai dat va cau hinh Windows Server 2012 R2 (52)

(Tiếp theo của "Cai dat va cau hinh Windows Server 2012 R2 (51)")



Thiết lập mẫu


Thiết lập mẫu (security template) là tập hợp các thiết lập bảo mật được lưu trong tập tin .inf. Các mẫu này chứa hầu hết các thiết lập có trong một GPO, chỉ khác là chúng được tổ chức theo một hình thức thống nhất, do vậy, bạn có thể dễ dàng: tạo, cấu hình và tái sử dụng.

Các thiết lập có thể triển khai trong mẫu gồm: theo dõi người dùng, thiết lập quyền hạn người dùng, cấu hình bảo mật. Bạn có thể kết hợp các mẫu với nhóm chính sách và kịch bản.

 

Tạo và sử dụng mẫu


Tập tin .inf  là dạng tập tin thuần văn bản, chứa các thiết lập ở nhiều hình thức khác nhau. Bạn có thể mở và biên tập mẫu bằng trình soạn thảo văn bản bất kì. Tuy nhiên, Windows Server 2012 R2 có cung cấp sẵn công cụ, giúp bạn tạo và biên tập mẫu dễ dàng hơn.

Để tạo và quản lý mẫu, bạn sử dụng snap-in Security Templates trong MMC. Ngoài ra, bạn cũng có thể tải công cụ Security Compliance Manager (SCM) từ trang web của Microsoft. Mặc định, Administrative Tools của Windows Server 2012 R2 không có sẵn Security Templates. Vì vậy, bạn phải tự thêm Security Templates.

Sau đây là các bước để tạo mẫu:

1.      Mở cửa sổ Run, nhập MMC để mở cửa sổ Console.

2.      Vào trình đơn File, chọn mục Add/Remove Snap-In để mở cửa sổ Add Or Remove Snap-Ins.

3.      Trong khung Available Snap-Ins, chọn Security Templates để mở cửa sổ Add Or Remove Snap-Ins.

4.      Bấm OK, snap-in vừa tạo sẽ xuất hiện trong MMC.

5.      Vào trình đơn File, chọn mục Save As để mở cửa sổ Save As.

6.      Nhập tên cho snap-in vào mục File name, bấm Save để lưu.

7.      Bấm chuột phải vào thưc mục chứa mẫu ở khung bên trái, chọn New Template để tạo mẫu, nhập tên cho mẫu, bấm OK để tạo. Xem hình minh họa.



Mẫu vừa được tạo là mẫu trắng, cho phép thực hiện nhiều thiết lập giống với trong GPO. Bạn có thể thay đổi giá trị của các thiết lập như khi làm việc với GPO.

Sau khi thực hiện thiết lập cho mẫu, để sử dụng mẫu, bạn sẽ thực hiện khớp mẫu vào GPO. Khi khớp mẫu vào GPO, các thiết lập của mẫu được chuyển thành các thiết lập của GPO.

Sau đây là các bước để khớp mẫu vào GPO:

1.      Mở Server Manager, vào trình đơn Tools, chọn Group Policy Management để mở cửa sổ Group Policy Management.

2.      Duyệt theo đường dẫn Forests\Domains để mở domain mà bạn quan tâm. Chọn mục Group Policy Objects, các GPO hiện có sẽ xuất hiện ở cửa sổ bên phải.

3.      Bấm chuột phải vào GPO mà bạn muốn khớp mẫu, bấm Edit để mở cửa sổ Group Policy Management Editor.

4.      Duyệt theo đường dẫn Computer Configuration\Policies\Windows Settings\Security Settings. Bấm chuột phải vào nút Security Settings, chọn mục Import Policy để mở cửa sổ Import Policy From.

5.      Tìm tới nơi chứa mẫu, chọn mẫu, bấm Open để khớp các thiết lập có trong mẫu vào GPO.

6.      Đóng cửa sổ Group Policy Management Editor và Group Policy Management.

 

Người dùng và nhóm người dùng cục bộ


Windows Server 2012 R2 cung cấp hai giao diện để tạo và quản lý tài khoản người dùng cục bộ. Đó là User Accounts trong Control panel và snap-in Local Users and Groups thuộc Computer Management\System Tools trong MMC. Cả hai giao diện này đều truy cập tới Security Account Manager (SAM), là nơi lưu trữ các thông tin của người dùng và nhóm.

Tuy nhiên, chức năng của hai giao diện có khác nhau, cụ thể:
­ 
- User Accounts: giao diện này có một số hạn chế trong việc cấu hình. Cụ thể, nó cho phép tạo tài khoản, thay đổi một số thuộc tính. Tuy nhiên, nó không cho tạo nhóm và quản lý thành viên của nhóm.
­

- Local Users And Groups: giao diện này cho phép thực hiện tất cả các cấu hình liên quan đến tài khoản, nhóm.

Khi cài đặt, Windows Server 2012 R2 luôn tạo sẵn hai tài khoản người dùng là Administrator và Guest. Mặc định, tài khoản Guest bị vô hiệu (disable).

Sau khi được cài đặt, do trên hệ thống Windows Server 2012 R2 chỉ có tài khoản Administrator là có hiệu lực, nên bạn sẽ đăng nhập vào hệ thống bằng tài khoản này. Đây là tài khoản có quyền quản trị cao nhất, bạn có thể sử dụng tài khoản này để tạo các tài khoản mới hoặc thực hiện các cấu hình khác.

Sử dụng User Accounts

Để ý: chỉ khi Windows Server 2012 R2 đang hoạt động ở chế độ Workgroup mới có mục User accounts trong control panel. Nếu máy tính đã kết nối vào domain thì bạn phải sử dụng snap-in Local Users And Groups để tạo tài khoản người dùng. Nếu máy tính đã được nâng cấp thành domain controller thì sẽ không có tài khoản cục bộ và nhóm cục bộ.

Mặc định, mục User accounts trong control panel chỉ cho phép tạo tài khoản người dùng bình thường (standard account), để thiết lập một tài khoản có quyền quản trị, bạn phải thay đổi kiểu (type) của nó trong mục Change Your Account Type. Trong Change Your Account Type, việc lựa chọn giữa hai loại tài khoản Standard và Administrator thực chất là đưa tài khoản vào làm thành viên của nhóm, Standard là nhóm Users, Administrator là nhóm Administrators.

Sử dụng snap-in Users And Groups

Users And Groups là một phần của Computer Managerment. Để tạo tài khoản người dùng cục bộ bằng Users And Groups, bạn thực hiện các bước sau:

1.      Mở Server Manager, vào trình đơn Tools, chọn Computer Management để mở cửa sổ Computer Management.

2.      Ở khung bên trái, chọn mục Local Users And Groups, chọn Users để xem danh sách các tài khoản người dùng cục bộ hiện có.

3.      Bấm chuột phải vào mục Users, chọn New User để mở cửa sổ New User. Xem hình minh họa.




4.      Nhập tên (tên đăng nhập) cho tài khoản trong mục User Name. Đây là phần thông tin bắt buộc.

5.      Nhập tên đầy đủ của tài khoản trong mục Full Name và mô tả tài khoản trong mục Description. Phần này không bắt buộc.

6.      Nhập mật khẩu trong mục Password và nhập lại mật khẩu trong mục Confirm Password. Phần này không bắt buộc.

7.      Tùy theo yêu cầu, đánh dấu chọn vào các mục sau:
­ 
- User Must Change Password At Next Logon: người dùng phải đổi mật khẩu trong lần đăng nhập đầu tiên.
­

- User Cannot Change Password: người dùng không được thay đổi mật khẩu.
­
- Password Never Expires: mật khẩu không bao giờ hết hạn.
­

- Account Is Disable: tài khoản tạo ra sẽ bị vô hiệu.

8.      Bấm nút Create để tạo tài khoản, tên của tài khoản sẽ xuất hiện trong danh sách.

9.      Bấm nút Close.

10.  Đóng cửa sổ Computer Management.

Tạo nhóm cục bộ

Để tạo nhóm cục bộ bằng Users And Groups, bạn thực hiện các bước sau:

1.      Mở Server Manager, vào trình đơn Tools, chọn Computer Management để mở cửa sổ Computer Management.

2.      Ở khung bên trái, chọn mục Local Users And Groups, chọn Groups để xem danh sách các nhóm cục bộ hiện có.

3.      Bấm chuột phải vào mục Groups, chọn New Group để mở cửa sổ New Group.

4.      Nhập tên cho nhóm trong mục Group Name. Đây là phần thông tin bắt buộc. Nếu muốn, bạn có thể nhập thông tin mô tả cho nhóm trong mục Description.

5.      Bấm nút Add để mở cửa sổ Select Users.

6.      Nhập các thành viên của nhóm, bạn có thể nhập trực tiếp vào hộp thoại, mỗi thành viên cách nhau bởi dấu “;”.  Bạn cũng có thể gõ một phần của tên, sau đó bấm nút Check Names; hoặc bạn cũng có thể sử dụng nút Advanced để tìm các thành viên. Bấm OK.

7.      Bấm nút Create để tạo nhóm.

8.      Bấm Close.

9.      Đóng cửa sổ Computer Management.

Nhóm cục bộ không thể chứa thành viên là nhóm cục bộ khác. Tuy nhiên, nếu máy tính đã được kết nối vào domain, nhóm cục bộ có thể chứa thành viên là các nhóm hoặc người dùng domain.

 

Cơ chế kiểm soát tài khoản người dùng (UAC)


Một vấn đề hay gặp trong thực tế là người dùng được cấp quyền nhiều hơn so với những gì họ cần. Điều này tiềm ẩn những rủi ro liên quan đến bảo mật hệ thống. Ví dụ, tài khoản administrator hoặc nhóm Administrators sẽ có toàn quyền trên hệ điều hành, tuy nhiên, nếu người dùng chỉ cần chạy một số ứng dụng trên hệ thống thì không nhất thiết phải có những quyền này.

Với hầu hết người dùng, họ sẽ sử dụng tài khoản bình thường (standard user). Nếu bạn là một người quản trị hệ thống, bạn có thể sử dụng giải pháp là: đăng nhập vào hệ thống bằng tài khoản bình thường (standard user), và chỉ đăng nhập bằng tài khoản quản trị khi thực sự cần thiết. Việc phải thoát ra và đăng nhập lại nhiều lần thường gây ảnh hưởng xấu đến tâm lý và hiệu quả của công việc.

Để giải quyết vấn đề này, Windows Server 2012 R2 sử dụng cơ chế kiểm soát tài khoản người dùng (UAC: User Account Control). Cơ chế UAC sẽ duy trì một tài khoản hoạt động ở mức bình thường, và chỉ chuyển sang hoạt động ở chế độ quản trị khi có xác nhận trực tiếp của người dùng.

Chuyển sang chế độ quản trị

Windows Server 2012 R2 sử dụng thẻ (token) để kiểm soát tài khoản. Khi bạn đăng nhập thành công vào hệ thống, bạn sẽ được cấp thẻ, thẻ này cho biết bạn có quyền ở mức nào. Thẻ này sẽ theo người dùng từ khi đăng nhập tới khi thoát khỏi hệ thống.

Trong các bản Windows trước Windows Server 2008 và Windows Vista, người dùng bình thường sẽ nhận thẻ loại bình thường, người thuộc nhóm Administrators sẽ nhận thẻ quản trị.

Trong Windows Server 2012 R2, nhờ có UAC nên người dùng bình thường sẽ luôn nhận thẻ bình thường, nhưng người quản trị sẽ nhận được cả hai thẻ: bình thường và quản trị. Mặc định người quản trị sẽ thao tác dựa trên thẻ bình thường. Khi nào họ thực hiện thao tác cần đến quyền quản trị thì hệ thống sẽ xuất hiện cửa sổ, yêu cầu cung cấp tên và mật khẩu của tài khoản quản trị. Lúc này, người quản trị sẽ thao tác dựa trên thẻ quản trị. Cơ chế này gọi là Admin Approval Mode. Xem hình minh họa.



Trước khi người quản trị thực hiện công việc, hệ thống có thể sẽ yêu cầu xác minh lại công việc sẽ thực hiện, việc này để ngăn chặn các chương trình phá  hoại cài vào hệ thống. Xem hình minh họa.




---------------------------
Tham khảo (Lược dịch): Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014
--------------------------- 
Cập nhật 2015/6/2
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (53)