Cai dat va cau hinh Windows Server 2012 R2 (51)

(Tiếp theo của "Cai dat va cau hinh Windows Server 2012 R2 (50)")



6.1             Cấu hình chính sách bảo mật


Quản lý môi trường làm việc của người dùng và hoạt động của máy tính theo hình thức tập trung là một trong các chức năng chính của nhóm chính sách. Hầu hết các thiết lập liên quan đến chính sách bảo mật được chứa tại mục Windows Settings trong nút Computer Configuration của GPO. Tại đây, bạn có thể quy định cách thức chứng thực người dùng, họ được phép sử dụng các tài nguyên nào, chính sách về thành viên của nhóm, theo dõi các hoạt động của người dùng, nhóm người dùng.

Các thiết lập trong nút Computer Configuration sẽ tác động lên máy tính, nó không quan tâm tới ai đang đăng nhập vào máy tính đó. Các thiết lập trên nút Computer Configuration có nhiều tùy chọn hơn so với các thiết lập trên nút User Configuration.

Các nội dung sẽ được đề cập trong phần này:
­ 
- Chính sách cục bộ

- Theo dõi người dùng

- Quyền hạn của người dùng
­

- Thiết lập chính sách bảo mật

- Thiết lập mẫu

- Người dùng, nhóm người dùng cục bộ

- UAC (user account control)

 

Chính sách cục bộ




Chính sách cục bộ là công cụ để thiết lập các quyền hạn và theo dõi hoạt động của người dùng trên máy cục bộ.

Chính sách cục bộ là các thiết lập chứa trong nút Security Settings\Local Policies của GPO. Nút Local Policies gồm ba nút con: Audit Policy, User Rights Assignment và Security Options.

Lưu ý: chính sách cục bộ là các thiết lập áp dụng trên máy cục bộ, do vậy, nếu bạn thiết lập chính sách cục bộ trên nonlocal GPO, chính sách này sẽ áp dụng lên tài khoản máy tính có trong thùng chứa đang chịu sự tác động của GPO.

 

Chính sách theo dõi người dùng


Chính sách theo dõi người dùng được thiết lập trong nút audit policy. Người quản trị có thể theo dõi các hành động của người dùng khi thành công (successful), lẫn khi thất bại (failed). Ví dụ, bạn có thể theo dõi các loại hành động sau: đăng nhập, truy cập tài khoản, truy cập đối tượng. Bạn cũng có thể theo dõi các hành động của hệ thống.

Trước khi thiết lập chính sách theo dõi, bạn cần xác định máy nào sẽ được theo dõi, và theo dõi các loại hành động nào. Với mỗi loại hành động, bạn lại phải quyết định là theo dõi các trường hợp thành công, hay các trường hợp thất bại, hay cả hai. Dựa trên các kết quả theo dõi, bạn sẽ có những nhận định về tình hình sử dụng tài nguyên, tình trạng bảo mật của hệ thống.

Các loại hành động bạn có thể theo dõi được minh họa trong hình sau:



Với Windows Server 2012 R2, kết quả theo dõi các hành động được lưu ở hai nơi: lưu trên domain controller hoặc lưu trên máy cục bộ nơi hành động xảy ra. Cụ thể, các hành động có liên quan đến AD DS sẽ được ghi lại trong security log của domain controller, các sự kiện liên quan đến máy cục bộ sẽ được ghi lại trong event log của máy cục bộ.

Việc theo dõi tất cả các hoạt động, trên tất cả các máy là không thực tế, mà bạn cần phải lựa chọn các đối tượng cho phù hợp, nhằm tránh tình trạng phải lưu trữ quá nhiều thông tin. Sau đây là một số lưu ý giúp bạn thực hiện theo dõi hiệu quả:
­ 
- Chỉ theo dõi những thứ cần thiết: bạn nên xác định các hành động cần theo dõi, và với hành động đó, việc ghi lại những trường hợp thành công quan trọng hơn, hay trường hợp thất bại quan trọng hơn. Vì mục đích sau cùng là thu thập thông tin mà bạn đang quan tâm.

- Theo dõi để hỗ trợ quá trình ra quyết định: bạn có thể thực hiện ghi chép lại các hành động để làm cơ sở khi ra quyết định bổ sung thêm tài nguyên cho hệ thống.

- Xác định không gian lưu trữ phù hợp: kích thước vùng đĩa cần thiết để lưu các ghi chép phụ thuộc vào số lượng các hành động bạn dự định theo dõi. Bạn có thể cấu hình thông tin này tại Computer Configuration\Windows Settings\Security Settings\Event Log trong mỗi GPO.

Để cấu hình theo dõi người dùng, bạn cần xác định hành động nào cần theo dõi, và theo dõi trên đối tượng nào. Sau đây là các bước thực hiện:

1.      Mở Server Manager, chọn trình đơn Tools, chọn mục Group Policy Management để mở cửa sổ Group Policy Management.

2.      Theo đường dẫn Forests\Domains để mở domain mà bạn quan tâm, chọn mục Group Policy Objects, trong này sẽ chứa tất cả các GPO hiện có của domain.

3.      Bấm chuột phải vào mục Default Domain Policy GPO, chọn Edit để mở cửa sổ Group Policy Management Editor.

4.      Theo đường dẫn Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy, các chính sách liên quan đến theo dõi người dùng sẽ xuất hiện ở khung bên phải.

5.      Bấm đúp chuột vào chính sách mà bạn muốn thiết lập để mở cửa sổ Properties. Xem hình minh họa.



6.      Đánh dấu chọn vào mục Define These Policy Settings.

7.      Muốn theo dõi trường hợp thành công, chọn mục Success. Muốn theo dõi trường hợp thất bại chọn mục Failure. Hoặc chọn cả hai.

8.      Bấm OK để đóng cửa sổ Properties.

9.      Đóng cửa sổ Group Policy Management Editor.

Sau khi hệ thống AD DS cập nhật các chính sách vừa được cấu hình tại Default Domain Policy GPO, toàn bộ các máy tính trong domain sẽ bị tác động bởi chính sách này.

Để theo dõi hành động truy cập đối tượng, bạn thực hiện cấu hình ở một trong hai mục sau:
­ 
- Audit Directory Service Access: theo dõi người dùng khi họ truy cập các đối tượng của AD DS như Users, OU.

- Audit Object Access: theo dõi người dùng khi họ truy cập tập tin, thư mục, máy in, registry.

Sau đó, bạn tìm tới đối tượng cần theo dõi, bấm chuột phải, chọn Properties, chọn táp Security, bấm vào nút Advanced, chọn táp Auditing, và chọn người dùng cần theo dõi.

 

Thiết lập quyền hạn của người dùng


Quyền hạn của người dùng được thiết lập trong mục User Rights Assignment. Trong mục này bao gồm các thiết lập liên quan đến các thao tác hệ thống. Cụ thể xem trong hình minh họa dưới đây.



Ví dụ, người dùng muốn đăng nhập trực tiếp (locally) vào domain controller thì họ phải được cho phép trong mục Alllow Log On Locally hoặc họ phải là thành viên của một trong các nhóm sau: Account Operators, Administrators, Backup Operators, Print Operators, hoặc Server Operators. Vì các nhóm này, mặc định đã được cấu hình cho phép đăng nhập trực tiếp trong Default Domain Controllers Policy GPO.

Các thiết lập liên quan đến thao tác hệ thống khác gồm: tắt máy (shutdown), quyền sở hữu đối tượng (ownership), khôi phục tập tin và thư mục, đồng bộ dữ liệu.

 

Các cấu hình bảo mật khác


Một số cầu hình bảo mật khác được chứa trong nút Security Options. Ở đây bao gồm các thiết lập liên quan đến quá trình đăng nhập, chữ kí số, hạn chế truy cập ổ đĩa, quá trình chứng thực và giao tiếp an toàn trong AD DS. Cụ thể xem trong hình minh họa.



 ---------------------------
Tham khảo (Lược dịch): Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014
--------------------------- 
Cập nhật 2015/5/23
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (52)

Cai dat va cau hinh Windows Server 2012 R2 (50)

(Tiếp theo của "Cai dat va cau hinh Windows Server 2012 R2 (49)")



Starter GPO


Starter GPO là GPO chuẩn, bao gồm các thiết lập cơ bản. Bạn sẽ sử dụng starter GPO để tạo ra các GPO với cùng các thiết lập cơ bản. Việc tạo và cấu hình starter GPO cũng giống như các GPO thông thường.

Để tạo starter GPO, bạn bấm chuột phải vào mục Starter GPO, chọn New, nhập tên cho starter GPO, bấm OK để tạo. Sau khi tạo xong, bạn mở starter GPO bằng Group Policy Management Editor để cấu hình.

Chú ý: khi bạn mở mục Starter GPO lần đầu, bạn sẽ được hệ thống nhắc tạo thư mục để chứa các starter GPO. Bạn bấm vào nút hướng dẫn để tạo.

Sau khi tạo và cấu hình, bạn có thể sử dụng starter GPO làm nền tảng để tạo các GPO mới. Để thực hiện, bấm chuột phải vào starter GPO, chọn New GPO From Starter GPO. Hoặc bạn có thể tạo GPO mới theo cách thông thường, sau đó, trong mục Source Starter GPO, bạn chỉ định starter GPO cho GPO sắp được tạo. Lệnh New-GPO trong Windows PowerShell cũng hỗ trợ việc tạo GPO từ starter GPO. Sau khi tạo GPO, bạn sẽ tiếp tục thực hiện thêm các cấu hình khác kết hợp với các cấu hình sẵn có từ starter GPO.

 

Cấu hình nhóm chính sách


Nhóm chính sách được sử dụng để tùy biến màn hình desktop, cấu hình bảo mật và thiết lập môi trường làm việc của người dùng. Các cấu được chia thành hai loại là:
­

- Computer Configuration: các cấu hình tại đây sẽ áp dụng trên máy tính
­

- User Configuration: các cấu hình tại đây sẽ áp dụng trên người dùng

Computer Configuration và User Configuration cũng là tên của hai nút trong cấu trúc cây GPO.
Các thiết lập của GPO có thể áp dụng trên máy client, người dùng, server thành viên và domain controller. Phạm vi tác động tùy thuộc vào thùng chứa mà GPO gắn vào. Mặc định, khi gắn một GPO tới thùng chứa, mọi đối tượng trong thùng chứa đều bị tác động bởi GPO.

Trong mỗi nút Computer Configuration và User Configuration đều có các nút con sau:

- Software Settings: chứa các thiết lập liên quan đến cài đặt phần mềm (software installation). Các thiết lập nằm trong nút Computer Configuration sẽ tác động lên máy tính đang chịu sự tác động của GPO, mà không phân biệt ai đang đăng nhập vào. Các thiết lập nằm trong nút User Configuration sẽ tác động lên người dùng đang chịu sự tác động của GPO mà không quan tâm tới họ đăng nhập từ máy tính nào.

- Windows Settings: các thiết lập nằm trong nút Computer Configuration liên quan đến bảo mật và kịch bản (script), sẽ tác động lên máy tính đang chịu sự tác động của GPO, mà không phân biệt ai đang đăng nhập vào. Các thiết lập nằm trong nút User Configuration liên quan đến chuyển hướng thư mục (folder redirection), bảo mật và các kịch bản, sẽ tác động lên người dùng đang chịu sự tác động của GPO mà không quan tâm tới họ đăng nhập từ máy tính nào. 

- Administrative Templates: gồm hàng ngàn các thiết lập sẵn (thiết lập mẫu), là các thiết lập dựa trên registry. Nội dung của các thiết lập được lưu trong tập tin .admx. Đây là các thiết lập liên quan đến giao diện người dùng.

Để làm việc với Administrative Templates, bạn cần hiểu rõ ba trạng thái khác nhau của mỗi thiết lập:
­

- Not Configured: đây là trạng thái của hầu hết các thiết lập trong GPO. Khi thực thi nhóm chính sách, GPO sẽ không thay đổi, không ghi đè giá trị của registry.
­

- Enabled: GPO sẽ bật chức năng này trong registry, nó không quan tâm đến giá trị trước đó là gì.
­

- Disabled: GPO sẽ tắt chức năng này trong registry, nó không quan tâm đến giá trị trước đó là gì.

Hiểu được ba trạng thái trên giúp bạn làm việc hiệu quả với kế thừa trong GPO và xử lý xung đột khi áp dụng nhiều GPO lên cùng một thùng chứa. Ví dụ, khi một GPO với độ ưu tiên thấp bật (enabled) một chính sách, nếu bạn muốn tắt (disabled) chính sách đó bằng GPO với độ ưu tiên cao hơn, bạn phải thiết lập trạng thái disabled chứ không thể thiết lập trạng thái Not Configured.

 

Tạo các local GPO


Với các máy tính không là thành viên của AD DS (chưa kết nối miền), thường được gọi là các hệ thống độc lập (standalone), nếu chúng đang chạy hệ điều hành từ Windows Vista hoặc Windows Server 2008 R2 trở lên, bạn có thể tạo nhiều local GPO cho các người dùng khác nhau trên hệ thống.

Các local GPO được chia thành ba loại sau:
­

- Local group policy: nhóm chính sách này tương tự như nhóm chính sách cục bộ trong các hệ điều hành cũ. Local group policy gồm các thiết lập cho máy tính và cho người dùng. Local group policy sẽ tác động trên mọi người dùng cục bộ, không phân biệt người quản trị hay người dùng thông thường. Trong các loại local GPO, chỉ có nhóm chính sách này mới chứa các thiết lập cho máy tính.
­

- Administrators and nonadministrators group policy: nhóm chính sách này gồm hai GPO, một áp dụng cho nhóm Administrators cục bộ, và một áp dụng cho tất cả người dùng cục bộ còn lại. Nhóm chính sách này không chứa các thiết lập cho máy tính.
­

- User-specific group policy: nhóm chính sách này gồm các GPO áp dụng cho mỗi người dùng cụ thể, không áp dụng được cho nhóm. Nhóm chính sách này không chứa các thiết lập cho máy tính.

Thứ tự áp dụng các loại local GPO được thực hiện như sau: đầu tiên là Local group policy, sau đó là Administrators and nonadministrators group policy và cuối cùng là User-specific group policy. Lưu ý: các thiết lập được thực hiện sau sẽ đè lên các thiết lập trước đó nếu có tranh chấp.

Trên máy tính là thành viên của domain, các local GPO sẽ được thực hiện trước, sau đó là các GPO của domain.

Bạn sử dụng Group Policy Object Editor để tạo và cấu hình local GPO. Các bước thực hiện như sau:

1.      Mở cửa sổ Run, gõ lệnh MMC để mở cửa sổ Console.

2.      Vào trình đơn File, chọn Add/Remove Snap-In để mở cửa sổ Add Or Remove Snap-Ins.

3.      Từ danh sách Available Snap-Ins, chọn Group Policy Object Editor và bấm Add để mở cửa sổ Select Group Policy Object.

4.      Để tạo Local group policy GPO bấm Finish. Để tạo local GPO loại hai hoặc loại ba, bấm nút Browse để mở cửa sổ Browse For A Group Policy Object.

5.      Chọn táp Users. Xem hình minh họa.



6.      Để tạo local GPO loại hai, chọn Administrators hoặc Non-Administrators và bấm OK. Để tạo local GPO loại ba, chọn người dùng cụ thể, bấm OK. Local GPO sẽ xuất hiện trong cửa sổ Select Group Policy Object.

7.      Bấm Finish. local GPO sẽ xuất hiện trong cửa sổ Add Or Remove Snap-Ins.

8.      Bấm OK. Snap-in của local GPO sẽ xuất hiện trong cửa sổ MMC (Console).

9.      Bấm trình đơn File, chọn Save As để mở cửa sổ Save As.

10.  Nhập tên cho Console để lưu trong Administrative Tools.

11.  Đóng MMC.

Để cấu hình cho local GPO vừa tạo, bạn mở console vừa tạo trong Administrative Tools. Cách thực hiện: mở cửa sổ Run, gõ lệnh MMC để mở cửa sổ Console, vào trình đơn File, chọn Open, chọn console cần mở.

 

Tóm tắt nội dung

 

      - Nhóm chính sách chứa các chính sách được thiết lập cho người dùng và máy tính. Các chính sách sẽ được thực thi trong quá trình máy tính khởi động, và trong quá trình người dùng đăng nhập. Các chính sách được sử dụng để điều chỉnh môi trường làm việc của người dùng, triển khai các yêu cầu về bảo mật hệ thống, giúp quản trị người dùng và màn hình desktop dễ dàng.
­

- Trong AD DS, nhóm chính sách sẽ được gắn vào site, domain, và OU. Trên máy cục bộ, chỉ có duy nhất một local GPO được phép thiết lập các chính sách cho máy tính. Các thiết lập của local GPO sẽ bị ghi đè nếu có tranh chấp với các thiết lập nonlocal GPO.
­

- Group Policy Management là công cụ được dùng để tạo và thiết lập cách chính sách trong GPO.

 

Câu hỏi ôn tập


1.      Các công cụ làm việc với nhóm chính sách có thể truy cập loại tập tin nào trong Central Store?

A.    ADM

B.     ADMX

C.     Group Policy Objects

D.    Security templates

2.      Trong máy cục bộ có nhiều local GPO, local GPO nào có quyền ưu tiên cao nhất?

A.    Local group policy

B.     Administrators group policy

C.     Non-Administrators group policy

D.    User-specific group policy

3.      Để áp dụng GPO trên một nhóm người dùng cụ thể trong OU, bạn sử dụng kĩ thuật nào sau đây?

A.    GPO linking (gắn GPO)

B.     Administrative templates (thiết lập theo mẫu)

C.     Security filtering (lọc)

D.    Starter GPOs

4.      Sau đây là các mô tả về stater GPO, mô tả nào phù hợp nhất?

A.    Starter GPO được sử dụng như một bản mẫu để tạo ra các GPO mới

B.     Starter GPO là GPO đầu tiên tác động trên mọi máy client của domain

C.     Starter GPO sử dụng một giao diện đơn giản giúp người dùng dễ thao tác

D.    Starter GPO chứa tất cả các thiết lập có trong default domain policy GPO

5.      Có một chức năng trong hệ thống đã được thiết lập là disabled, bạn muốn thay đổi chức năng này bằng cách sử dụng GPO, cụ thể, trong GPO bạn thiết lập giá trị cho nó là Not Configured. Kết quả của thiết lập này là?

A.    Trạng thái của chứng năng đó vẫn là disabled

B.     Trạng thái của chứng năng đó sẽ chuyển thành Not Configured

C.     Trạng thái của chứng năng đó sẽ chuyển thành enabled

D.    Thiết lập này sẽ tạo ra lỗi tranh chấp

 ---------------------------
Tham khảo (Lược dịch): Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014
--------------------------- 
Cập nhật 2015/5/20
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (51)