6.1 Cấu hình chính sách bảo mật
Quản lý môi trường làm việc của người dùng và hoạt động của máy tính theo hình thức tập trung là một trong các chức năng chính của nhóm chính sách. Hầu hết các thiết lập liên quan đến chính sách bảo mật được chứa tại mục Windows Settings trong nút Computer Configuration của GPO. Tại đây, bạn có thể quy định cách thức chứng thực người dùng, họ được phép sử dụng các tài nguyên nào, chính sách về thành viên của nhóm, theo dõi các hoạt động của người dùng, nhóm người dùng.
Các thiết lập trong nút Computer Configuration sẽ tác động lên máy tính, nó không quan tâm tới ai đang đăng nhập vào máy tính đó. Các thiết lập trên nút Computer Configuration có nhiều tùy chọn hơn so với các thiết lập trên nút User Configuration.
Các nội dung sẽ được đề cập trong phần này:
- Chính sách cục bộ
- Theo dõi người dùng
- Quyền hạn của người dùng
- Chính sách cục bộ
- Theo dõi người dùng
- Quyền hạn của người dùng
- Thiết lập chính sách bảo mật
- Thiết lập mẫu
- Người dùng, nhóm người dùng cục bộ
- UAC (user account control)
- Thiết lập chính sách bảo mật
- Thiết lập mẫu
- Người dùng, nhóm người dùng cục bộ
- UAC (user account control)
Chính sách cục bộ
Chính sách cục bộ là công cụ để thiết lập các quyền hạn và theo
dõi hoạt động của người dùng trên máy cục bộ.
Chính sách cục bộ là các thiết lập chứa trong nút Security Settings\Local Policies của GPO. Nút Local Policies gồm ba nút con: Audit Policy, User Rights Assignment và Security Options.
Lưu ý: chính sách cục bộ là các thiết lập áp dụng trên máy cục bộ, do vậy, nếu bạn thiết lập chính sách cục bộ trên nonlocal GPO, chính sách này sẽ áp dụng lên tài khoản máy tính có trong thùng chứa đang chịu sự tác động của GPO.
Chính sách theo dõi người dùng
Chính sách theo dõi người dùng được thiết lập trong nút audit policy. Người quản trị có thể theo dõi các hành động của người dùng khi thành công (successful), lẫn khi thất bại (failed). Ví dụ, bạn có thể theo dõi các loại hành động sau: đăng nhập, truy cập tài khoản, truy cập đối tượng. Bạn cũng có thể theo dõi các hành động của hệ thống.
Trước khi thiết lập chính sách theo dõi, bạn cần xác định máy nào sẽ được theo dõi, và theo dõi các loại hành động nào. Với mỗi loại hành động, bạn lại phải quyết định là theo dõi các trường hợp thành công, hay các trường hợp thất bại, hay cả hai. Dựa trên các kết quả theo dõi, bạn sẽ có những nhận định về tình hình sử dụng tài nguyên, tình trạng bảo mật của hệ thống.
Các loại hành động bạn có thể theo dõi được minh họa trong hình sau:
Với Windows Server 2012 R2, kết quả theo dõi các hành động được lưu ở hai nơi: lưu trên domain controller hoặc lưu trên máy cục bộ nơi hành động xảy ra. Cụ thể, các hành động có liên quan đến AD DS sẽ được ghi lại trong security log của domain controller, các sự kiện liên quan đến máy cục bộ sẽ được ghi lại trong event log của máy cục bộ.
Việc theo dõi tất cả các hoạt động, trên tất cả các máy là không thực tế, mà bạn cần phải lựa chọn các đối tượng cho phù hợp, nhằm tránh tình trạng phải lưu trữ quá nhiều thông tin. Sau đây là một số lưu ý giúp bạn thực hiện theo dõi hiệu quả:
- Chỉ theo dõi những thứ cần thiết: bạn nên xác định các hành động cần theo dõi, và với hành động đó, việc ghi lại những trường hợp thành công quan trọng hơn, hay trường hợp thất bại quan trọng hơn. Vì mục đích sau cùng là thu thập thông tin mà bạn đang quan tâm.
- Theo dõi để hỗ trợ quá trình ra quyết định: bạn có thể thực hiện ghi chép lại các hành động để làm cơ sở khi ra quyết định bổ sung thêm tài nguyên cho hệ thống.
- Xác định không gian lưu trữ phù hợp: kích thước vùng đĩa cần thiết để lưu các ghi chép phụ thuộc vào số lượng các hành động bạn dự định theo dõi. Bạn có thể cấu hình thông tin này tại Computer Configuration\Windows Settings\Security Settings\Event Log trong mỗi GPO.
- Chỉ theo dõi những thứ cần thiết: bạn nên xác định các hành động cần theo dõi, và với hành động đó, việc ghi lại những trường hợp thành công quan trọng hơn, hay trường hợp thất bại quan trọng hơn. Vì mục đích sau cùng là thu thập thông tin mà bạn đang quan tâm.
- Theo dõi để hỗ trợ quá trình ra quyết định: bạn có thể thực hiện ghi chép lại các hành động để làm cơ sở khi ra quyết định bổ sung thêm tài nguyên cho hệ thống.
- Xác định không gian lưu trữ phù hợp: kích thước vùng đĩa cần thiết để lưu các ghi chép phụ thuộc vào số lượng các hành động bạn dự định theo dõi. Bạn có thể cấu hình thông tin này tại Computer Configuration\Windows Settings\Security Settings\Event Log trong mỗi GPO.
Để cấu hình theo dõi người dùng, bạn cần xác định hành động nào cần theo dõi, và theo dõi trên đối tượng nào. Sau đây là các bước thực hiện:
1. Mở Server Manager, chọn trình đơn Tools, chọn mục Group Policy Management để mở cửa sổ Group Policy Management.
2. Theo đường dẫn Forests\Domains để mở domain mà bạn quan tâm, chọn mục Group Policy Objects, trong này sẽ chứa tất cả các GPO hiện có của domain.
3. Bấm chuột phải vào mục Default Domain Policy GPO, chọn Edit để mở cửa sổ Group Policy Management Editor.
4. Theo đường dẫn Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy, các chính sách liên quan đến theo dõi người dùng sẽ xuất hiện ở khung bên phải.
5. Bấm đúp chuột vào chính sách mà bạn muốn thiết lập để mở cửa sổ Properties. Xem hình minh họa.
6. Đánh dấu chọn vào mục Define These Policy Settings.
7. Muốn theo dõi trường hợp thành công, chọn mục Success. Muốn theo dõi trường hợp thất bại chọn mục Failure. Hoặc chọn cả hai.
8. Bấm OK để đóng cửa sổ Properties.
9. Đóng cửa sổ Group Policy Management Editor.
Sau khi hệ thống AD DS cập nhật các chính sách vừa được cấu hình tại Default Domain Policy GPO, toàn bộ các máy tính trong domain sẽ bị tác động bởi chính sách này.
Để theo dõi hành động truy cập đối tượng, bạn thực hiện cấu hình ở một trong hai mục sau:
- Audit Directory Service Access: theo dõi người dùng khi họ truy cập các đối tượng của AD DS như Users, OU.
- Audit Object Access: theo dõi người dùng khi họ truy cập tập tin, thư mục, máy in, registry.
- Audit Directory Service Access: theo dõi người dùng khi họ truy cập các đối tượng của AD DS như Users, OU.
- Audit Object Access: theo dõi người dùng khi họ truy cập tập tin, thư mục, máy in, registry.
Sau đó, bạn tìm tới đối tượng cần theo dõi, bấm chuột phải, chọn Properties, chọn táp Security, bấm vào nút Advanced, chọn táp Auditing, và chọn người dùng cần theo dõi.
Thiết lập quyền hạn của người dùng
Quyền hạn của người dùng được thiết lập trong mục User Rights Assignment. Trong mục này bao gồm các thiết lập liên quan đến các thao tác hệ thống. Cụ thể xem trong hình minh họa dưới đây.
Ví dụ, người dùng muốn đăng nhập trực tiếp (locally) vào domain controller thì họ phải được cho phép trong mục Alllow Log On Locally hoặc họ phải là thành viên của một trong các nhóm sau: Account Operators, Administrators, Backup Operators, Print Operators, hoặc Server Operators. Vì các nhóm này, mặc định đã được cấu hình cho phép đăng nhập trực tiếp trong Default Domain Controllers Policy GPO.
Các thiết lập liên quan đến thao tác hệ thống khác gồm: tắt máy (shutdown), quyền sở hữu đối tượng (ownership), khôi phục tập tin và thư mục, đồng bộ dữ liệu.
Các cấu hình bảo mật khác
Một số cầu hình bảo mật khác được chứa trong nút Security Options. Ở đây bao gồm các thiết lập liên quan đến quá trình đăng nhập, chữ kí số, hạn chế truy cập ổ đĩa, quá trình chứng thực và giao tiếp an toàn trong AD DS. Cụ thể xem trong hình minh họa.
---------------------------
Cập nhật 2015/5/23
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (52)
Tham khảo (Lược dịch): Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014
--------------------------- Cập nhật 2015/5/23
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (52)
