Langbiang: tháng 6 2015

Cai dat va cau hinh Windows Server 2012 R2 (53)

(Tiếp theo của "Cai dat va cau hinh Windows Server 2012 R2 (52)")

Chế độ secure desktop

Mỗi khi Windows Server 2012 R2 bật lên cửa sổ yêu cầu chứng thực, hoặc xác minh như trong phần UAC, nghĩa là nó đang sử dụng chế độ secure desktop.

Secure desktop là một trạng thái hoạt động của hệ điều hành Windows. Ở trạng thái này, hệ thống sẽ vô hiệu tất cả các cửa sổ và ứng dụng khác, chỉ để lại duy nhất cửa sổ chứng thực hoặc xác minh. Mục đích của secure desktop là để ngăn chặn các chương trình độc hại giả mạo quá trình chứng thực hoặc xác minh.

Cấu hình UAC

Mặc định, Windows Server 2012 R2 luôn bật chức năng UAC. Để thay đổi các thiết lập của UAC hoặc vô hiệu UAC, bạn mở Control Panel, trong ô Search Control Panel nhập Action Center, chọn mục Action Center, trong cửa sổ Action Center chọn mục Change User Account Control settings để mở cửa sổ User Account Control settings. Xem hình minh họa.

Có bốn mức độ bạn có thể thiết lập cho UAC gồm:

- Always Notify Me: mức độ cảnh báo cao nhất.

- Notify Me Only When Apps Try To Make Changes To My Computer: mức độ cảnh báo thấp hơn, không cảnh báo khi thay đổi các thiết lập liên quan đến hệ điều hành.

- Notify Me Only When Apps Try To Make Changes To My Computer (Do Not Dim My Desktop): mức độ cảnh báo thấp hơn, không cảnh báo khi thay đổi các thiết lập liên quan đến hệ điều hành, khi cảnh báo không sử dụng chế độ secure desktop.

- Never Notify Me: không cảnh báo, vô hiệu UAC.

Bạn có thể cấu hình thêm các thuộc tính của UAC trong mục Security Options của Nhóm chính sách (Group Policy) và trong chính sách bảo mật cục bộ (Local Security Policy).

Tóm tắt nội dung

- Hầu hết các thiết lập liên quan đến bảo mật hệ thống đều nằm trong nút Computer Configuration\Windows Settings của GPO.

- Chính sách cục bộ là công cụ để thiết lập các quyền hạn của người dùng trên máy cục bộ, và thiết lập chế độ theo dõi hoạt động của người dùng.

- Người quản trị có thể theo dõi các hành động của người dùng khi thành công (successful), khi thất bại (failed), hoặc cả hai.

- Người quản trị có thể sử dụng các thiết lập mẫu (security template) để: theo dõi người dùng, thiết lập quyền hạn người dùng, cấu hình bảo mật, và các thiết lập khác.

- Khi một người đang sử dụng tài khoản bình thường muốn thực hiện một chức năng có yêu cầu quyền cao hơn, họ sẽ phải chứng thực lại bằng một tài khoản có chức năng quản trị.

- Mặc định, Windows Server 2012 R2 luôn bật chức năng UAC. Bạn có thể thay đổi các thiết lập của UAC hoặc vô hiệu UAC.

Câu hỏi ôn tập

1. Để triển khai một mẫu bảo mật cho tất cả các máy tính trong AD DS, bạn sử dụng các công cụ nào sau đây (chọn nhiều đáp án)?

A. Active Directory Users and Computers

B. Security Templates snap-in

C. Group Policy Object Editor

D. Group Policy Management

2. Bạn có thể thêm thành viên cho nhóm nào sau đây bằng Control Panel (chọn nhiều đáp án)?

A. Users

B. Power Users

C. Administrators

D. Non-Administrators

3. Công cụ nào sau đây được sử dụng để thực hiện các cấu hình cho thiết lập mẫu?

A. Active Directory Users and Computers

B. Security Templates snap-in

C. Group Policy Object Editor

D. Group Policy Management

4. Trong Windows Server 2012 R2, các nhóm cục bộ của hệ thống (buitl-in) sẽ nhận các thiết lập đặc biệt thông qua cơ chế nào?

A. Security options

B. Các luật của Windows Firewall

C. Quyền NTFS

D. Quyền hạn người dùng (user right)

5. Trong Windows Server 2012 R2, sau khi cấu hình và triển khai Audit Directory Service Access, bạn phải làm gì tiếp theo thì hệ thống mới thực hiện theo dõi việc truy cập Active Directory?

A. Sử dụng Active Directory Users and Computers để lựa chọn các đối tượng trong Active Directory sẽ bị theo dõi

B. Phải đợi cho tới khi chính sách theo dõi được gửi tới tất cả các domain controller trong mạng

C. Phải mở Audit Directory Service Access Properties và chọn tất cả các đối tượng cần theo dõi trong Active Directory

D. Thêm dấu gạch thấp ( _ ) vào tên của các đối tượng Active Directory mà bạn muốn theo dõi

6.3 Chính sách hạn chế phần mềm ứng dụng

Để thiết lập các chính sách nhằm hạn chế việc sử dụng phần mềm ứng dụng, bạn thực hiện trong mục Software Restriction Policies của GPO.

Các nội dung sẽ đề cập trong phần này:

- Cấu hình Software Restriction Policies

- Cấu hình các luật

- Cấu hình AppLocker

Cấu hình Software Restriction Policies

Trong GPO, mục Software Restriction Policies nằm tại Windows Settings\Security Settings. Nó có trong cả hai nút User Configuration và Computer Configuration. Mặc định, Software Restriction Policies ở trạng thái rỗng. Khi tạo chính sách, trong Software Restriction Policies sẽ xuất hiện hai mục con là Security Levels và Additional Rules.

Mục Security Levels dùng để định nghĩa các quy định chung. Additional Rules dùng để định nghĩa các quy định cho từng phần mềm.

Hạn chế bắt buộc

Mặc định, khi chưa thực hiện cấu hình Software Restriction Policies, quyền thực thi các phần mềm được quy định bởi quyền NTFS.

Khi đã thực hiện cấu hình Software Restriction Policies, việc quản lý quyền thực thi phần mềm sẽ dựa trên ba chiến lược sau:

- Unrestricted: chính sách này cho phép mọi phần mềm đều được chạy, ngoại trừ các phần mềm đã bị cấm một cách tường minh.

- Disallowed: chính sách này cấm mọi phần mềm thực thi, ngoại trừ các phần mềm đã được cho phép một cách tường minh.

- Basic User: các phần mềm cần chạy bằng quyền quản trị sẽ không được thực thi, tuy nhiên các phần mềm chạy bằng quyền người dùng vẫn được thực thi.

Bạn cần căn cứ vào yêu cầu cụ thể của công ty/tổ chức để lựa chọn chiến lược cho phù hợp. Thông thường, mức bảo mật mặc định (Default Security Level) được thiết lập trong Security Level là Unrestricted.

Ví dụ, trong môi trường đòi hỏi bảo mật cao, bạn chỉ muốn chạy một số phần mềm cụ thể, bạn sẽ thiết lập mức bảo mật mặc định là Disallowed. Ngược lại, trong môi trường không cần bảo mật cao, bạn có thể thiết lập mức bảo mật mặc định là Unrestricted. Sau đó, bạn sẽ tạo ra các luật để cấm hoặc cho phép các phần mềm cụ thể được chạy.

Sau đây là các bước để thiết lập mức bảo mật mặc định là Disallowed.

1. Mở Server Manager, chọn trình đơn Tools, chọn Group Policy Management để mở cửa sổ Group Policy Management.

2. Duyệt theo đường dẫn Forest, Domains, chọn domain mà bạn quan tâm, chọn mục Group Policy Objects, các GPO hiện có của domain sẽ xuất hiện ở khung bên phải.

3. Bấm chuột phải vào GPO bạn quan tâm, chọn Edit để mở cửa sổ Group Policy Management Editor.

4. Trong nút Computer Configuration hoặc User Configuration chọn mục Software Restriction Policies.

5. Chuột phải vào mục Software Restriction Policies, chọn New Software Restriction Policies để tạo chính sách.

6. Mở nút Security Levels ở khung bên phải. Để ý sẽ thấy mức bảo mật mặc định (Default Security Level) được thiết lập là Unrestricted.

7. Để chuyển mức bảo mật mặc định là Disallowed, bạn kích đôi chuột vào mục Disallowed, bấm vào nút Set as Default. Xuất hiện cửa sổ cảnh báo của Software Restriction Policies.

8. Bấm Yes, để chấp nhận. Đóng cửa sổ Group Policy Management Editor và Group Policy Management.

Cấu hình các luật hạn chế phần mềm

Hiệu lực của chính sách hạn chế phần mềm là sự kết hợp ở cả hai nơi: Security Levels và Additional Rules. Trong đó, các chính sách trong Additional Rules được xét trước, sau đó đến các chính sách trong Security Levels. Các thiết lập trong Additional Rules có độ ưu tiên cao hơn trong Security Levels.

Để tạo luật mới trong Additional Rules, bạn bấm chuột phải vào nút Additional Rules, có bốn loại luật bạn có thể chọn:

- Hash rules

- Certificate rules

- Path rules

- Network zone rules

Khi chọn một trong bốn loại luật trên, hệ thống sẽ xuất hiện cửa sổ cho phép bạn thiết lập các thông số của luật. Như hình ví dụ sau:

---------------------------

Tham khảo (Lược dịch): Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014

---------------------------
Cập nhật 2015/6/9
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (54)

Cai dat va cau hinh Windows Server 2012 R2 (52)

(Tiếp theo của "Cai dat va cau hinh Windows Server 2012 R2 (51)")

Thiết lập mẫu

Thiết lập mẫu (security template) là tập hợp các thiết lập bảo mật được lưu trong tập tin .inf. Các mẫu này chứa hầu hết các thiết lập có trong một GPO, chỉ khác là chúng được tổ chức theo một hình thức thống nhất, do vậy, bạn có thể dễ dàng: tạo, cấu hình và tái sử dụng.

Các thiết lập có thể triển khai trong mẫu gồm: theo dõi người dùng, thiết lập quyền hạn người dùng, cấu hình bảo mật. Bạn có thể kết hợp các mẫu với nhóm chính sách và kịch bản.

Tạo và sử dụng mẫu

Tập tin .inf là dạng tập tin thuần văn bản, chứa các thiết lập ở nhiều hình thức khác nhau. Bạn có thể mở và biên tập mẫu bằng trình soạn thảo văn bản bất kì. Tuy nhiên, Windows Server 2012 R2 có cung cấp sẵn công cụ, giúp bạn tạo và biên tập mẫu dễ dàng hơn.

Để tạo và quản lý mẫu, bạn sử dụng snap-in Security Templates trong MMC. Ngoài ra, bạn cũng có thể tải công cụ Security Compliance Manager (SCM) từ trang web của Microsoft. Mặc định, Administrative Tools của Windows Server 2012 R2 không có sẵn Security Templates. Vì vậy, bạn phải tự thêm Security Templates.

Sau đây là các bước để tạo mẫu:

1. Mở cửa sổ Run, nhập MMC để mở cửa sổ Console.

2. Vào trình đơn File, chọn mục Add/Remove Snap-In để mở cửa sổ Add Or Remove Snap-Ins.

3. Trong khung Available Snap-Ins, chọn Security Templates để mở cửa sổ Add Or Remove Snap-Ins.

4. Bấm OK, snap-in vừa tạo sẽ xuất hiện trong MMC.

5. Vào trình đơn File, chọn mục Save As để mở cửa sổ Save As.

6. Nhập tên cho snap-in vào mục File name, bấm Save để lưu.

7. Bấm chuột phải vào thưc mục chứa mẫu ở khung bên trái, chọn New Template để tạo mẫu, nhập tên cho mẫu, bấm OK để tạo. Xem hình minh họa.

Mẫu vừa được tạo là mẫu trắng, cho phép thực hiện nhiều thiết lập giống với trong GPO. Bạn có thể thay đổi giá trị của các thiết lập như khi làm việc với GPO.

Sau khi thực hiện thiết lập cho mẫu, để sử dụng mẫu, bạn sẽ thực hiện khớp mẫu vào GPO. Khi khớp mẫu vào GPO, các thiết lập của mẫu được chuyển thành các thiết lập của GPO.

Sau đây là các bước để khớp mẫu vào GPO:

1. Mở Server Manager, vào trình đơn Tools, chọn Group Policy Management để mở cửa sổ Group Policy Management.

2. Duyệt theo đường dẫn Forests\Domains để mở domain mà bạn quan tâm. Chọn mục Group Policy Objects, các GPO hiện có sẽ xuất hiện ở cửa sổ bên phải.

3. Bấm chuột phải vào GPO mà bạn muốn khớp mẫu, bấm Edit để mở cửa sổ Group Policy Management Editor.

4. Duyệt theo đường dẫn Computer Configuration\Policies\Windows Settings\Security Settings. Bấm chuột phải vào nút Security Settings, chọn mục Import Policy để mở cửa sổ Import Policy From.

5. Tìm tới nơi chứa mẫu, chọn mẫu, bấm Open để khớp các thiết lập có trong mẫu vào GPO.

6. Đóng cửa sổ Group Policy Management Editor và Group Policy Management.

Người dùng và nhóm người dùng cục bộ

Windows Server 2012 R2 cung cấp hai giao diện để tạo và quản lý tài khoản người dùng cục bộ. Đó là User Accounts trong Control panel và snap-in Local Users and Groups thuộc Computer Management\System Tools trong MMC. Cả hai giao diện này đều truy cập tới Security Account Manager (SAM), là nơi lưu trữ các thông tin của người dùng và nhóm.

Tuy nhiên, chức năng của hai giao diện có khác nhau, cụ thể:

- User Accounts: giao diện này có một số hạn chế trong việc cấu hình. Cụ thể, nó cho phép tạo tài khoản, thay đổi một số thuộc tính. Tuy nhiên, nó không cho tạo nhóm và quản lý thành viên của nhóm.

- Local Users And Groups: giao diện này cho phép thực hiện tất cả các cấu hình liên quan đến tài khoản, nhóm.

Khi cài đặt, Windows Server 2012 R2 luôn tạo sẵn hai tài khoản người dùng là Administrator và Guest. Mặc định, tài khoản Guest bị vô hiệu (disable).

Sau khi được cài đặt, do trên hệ thống Windows Server 2012 R2 chỉ có tài khoản Administrator là có hiệu lực, nên bạn sẽ đăng nhập vào hệ thống bằng tài khoản này. Đây là tài khoản có quyền quản trị cao nhất, bạn có thể sử dụng tài khoản này để tạo các tài khoản mới hoặc thực hiện các cấu hình khác.

Sử dụng User Accounts

Để ý: chỉ khi Windows Server 2012 R2 đang hoạt động ở chế độ Workgroup mới có mục User accounts trong control panel. Nếu máy tính đã kết nối vào domain thì bạn phải sử dụng snap-in Local Users And Groups để tạo tài khoản người dùng. Nếu máy tính đã được nâng cấp thành domain controller thì sẽ không có tài khoản cục bộ và nhóm cục bộ.

Mặc định, mục User accounts trong control panel chỉ cho phép tạo tài khoản người dùng bình thường (standard account), để thiết lập một tài khoản có quyền quản trị, bạn phải thay đổi kiểu (type) của nó trong mục Change Your Account Type. Trong Change Your Account Type, việc lựa chọn giữa hai loại tài khoản Standard và Administrator thực chất là đưa tài khoản vào làm thành viên của nhóm, Standard là nhóm Users, Administrator là nhóm Administrators.

Sử dụng snap-in Users And Groups

Users And Groups là một phần của Computer Managerment. Để tạo tài khoản người dùng cục bộ bằng Users And Groups, bạn thực hiện các bước sau:

1. Mở Server Manager, vào trình đơn Tools, chọn Computer Management để mở cửa sổ Computer Management.

2. Ở khung bên trái, chọn mục Local Users And Groups, chọn Users để xem danh sách các tài khoản người dùng cục bộ hiện có.

3. Bấm chuột phải vào mục Users, chọn New User để mở cửa sổ New User. Xem hình minh họa.

4. Nhập tên (tên đăng nhập) cho tài khoản trong mục User Name. Đây là phần thông tin bắt buộc.

5. Nhập tên đầy đủ của tài khoản trong mục Full Name và mô tả tài khoản trong mục Description. Phần này không bắt buộc.

6. Nhập mật khẩu trong mục Password và nhập lại mật khẩu trong mục Confirm Password. Phần này không bắt buộc.

7. Tùy theo yêu cầu, đánh dấu chọn vào các mục sau:

- User Must Change Password At Next Logon: người dùng phải đổi mật khẩu trong lần đăng nhập đầu tiên.

- User Cannot Change Password: người dùng không được thay đổi mật khẩu.

- Password Never Expires: mật khẩu không bao giờ hết hạn.

- Account Is Disable: tài khoản tạo ra sẽ bị vô hiệu.

8. Bấm nút Create để tạo tài khoản, tên của tài khoản sẽ xuất hiện trong danh sách.

9. Bấm nút Close.

10. Đóng cửa sổ Computer Management.

Tạo nhóm cục bộ

Để tạo nhóm cục bộ bằng Users And Groups, bạn thực hiện các bước sau:

1. Mở Server Manager, vào trình đơn Tools, chọn Computer Management để mở cửa sổ Computer Management.

2. Ở khung bên trái, chọn mục Local Users And Groups, chọn Groups để xem danh sách các nhóm cục bộ hiện có.

3. Bấm chuột phải vào mục Groups, chọn New Group để mở cửa sổ New Group.

4. Nhập tên cho nhóm trong mục Group Name. Đây là phần thông tin bắt buộc. Nếu muốn, bạn có thể nhập thông tin mô tả cho nhóm trong mục Description.

5. Bấm nút Add để mở cửa sổ Select Users.

6. Nhập các thành viên của nhóm, bạn có thể nhập trực tiếp vào hộp thoại, mỗi thành viên cách nhau bởi dấu “;”. Bạn cũng có thể gõ một phần của tên, sau đó bấm nút Check Names; hoặc bạn cũng có thể sử dụng nút Advanced để tìm các thành viên. Bấm OK.

7. Bấm nút Create để tạo nhóm.

8. Bấm Close.

9. Đóng cửa sổ Computer Management.

Nhóm cục bộ không thể chứa thành viên là nhóm cục bộ khác. Tuy nhiên, nếu máy tính đã được kết nối vào domain, nhóm cục bộ có thể chứa thành viên là các nhóm hoặc người dùng domain.

Cơ chế kiểm soát tài khoản người dùng (UAC)

Một vấn đề hay gặp trong thực tế là người dùng được cấp quyền nhiều hơn so với những gì họ cần. Điều này tiềm ẩn những rủi ro liên quan đến bảo mật hệ thống. Ví dụ, tài khoản administrator hoặc nhóm Administrators sẽ có toàn quyền trên hệ điều hành, tuy nhiên, nếu người dùng chỉ cần chạy một số ứng dụng trên hệ thống thì không nhất thiết phải có những quyền này.

Với hầu hết người dùng, họ sẽ sử dụng tài khoản bình thường (standard user). Nếu bạn là một người quản trị hệ thống, bạn có thể sử dụng giải pháp là: đăng nhập vào hệ thống bằng tài khoản bình thường (standard user), và chỉ đăng nhập bằng tài khoản quản trị khi thực sự cần thiết. Việc phải thoát ra và đăng nhập lại nhiều lần thường gây ảnh hưởng xấu đến tâm lý và hiệu quả của công việc.

Để giải quyết vấn đề này, Windows Server 2012 R2 sử dụng cơ chế kiểm soát tài khoản người dùng (UAC: User Account Control). Cơ chế UAC sẽ duy trì một tài khoản hoạt động ở mức bình thường, và chỉ chuyển sang hoạt động ở chế độ quản trị khi có xác nhận trực tiếp của người dùng.

Chuyển sang chế độ quản trị

Windows Server 2012 R2 sử dụng thẻ (token) để kiểm soát tài khoản. Khi bạn đăng nhập thành công vào hệ thống, bạn sẽ được cấp thẻ, thẻ này cho biết bạn có quyền ở mức nào. Thẻ này sẽ theo người dùng từ khi đăng nhập tới khi thoát khỏi hệ thống.

Trong các bản Windows trước Windows Server 2008 và Windows Vista, người dùng bình thường sẽ nhận thẻ loại bình thường, người thuộc nhóm Administrators sẽ nhận thẻ quản trị.

Trong Windows Server 2012 R2, nhờ có UAC nên người dùng bình thường sẽ luôn nhận thẻ bình thường, nhưng người quản trị sẽ nhận được cả hai thẻ: bình thường và quản trị. Mặc định người quản trị sẽ thao tác dựa trên thẻ bình thường. Khi nào họ thực hiện thao tác cần đến quyền quản trị thì hệ thống sẽ xuất hiện cửa sổ, yêu cầu cung cấp tên và mật khẩu của tài khoản quản trị. Lúc này, người quản trị sẽ thao tác dựa trên thẻ quản trị. Cơ chế này gọi là Admin Approval Mode. Xem hình minh họa.

Trước khi người quản trị thực hiện công việc, hệ thống có thể sẽ yêu cầu xác minh lại công việc sẽ thực hiện, việc này để ngăn chặn các chương trình phá hoại cài vào hệ thống. Xem hình minh họa.