Các mở rộng của Group Policy trong Windows Vista và Windows Server 2008

Các mở rộng của Group Policy trong Windows Vista và Windows Server 2008 (Phần 1) Simpo PDF Merge and Split Unregistered Version - Một số thiết lập GP mới với nhiều hữu dụng trong Windows Server 2008 và Windows Vista. Kể từ khi có Windows 2000 Server, cỗ máy chính cho việc quản lý bảo mật trên mạng Windows đã có các chính sách nhóm (GP). Một vài năm trôi qua, mọi người đều thấy rằng các GP cần phải được mở rộng bởi vì có nhiều khía cạnh của hệ điều hành Windows mà không thể được kiểm soát một cách đơn giản bằng GP. May thay, các chuyên gia phát triển của Microsoft đã biết vấn đề này và sớm giải quyết hoàn thiện trong Windows Vista và Windows Server 2008. Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về một số tính năng GP mới đó. Nếu đã làm việc với chính sách nhóm (GP) thì có thể bạn biết có rất nhiều thiết lập của nó trong Windows. Rất khó để có thể đưa cho bạn một số chính xác bao nhiêu thiết lập GP tồn tại vì các thiết lập mới thường được đưa ra trong các gói dịch vụ và thậm chí một số ứng dụng trong download. Ngay trong Windows Server 2003 Service Pack 1 cũng có đến khoảng 1700 thiết lập GP. Con số này đã tăng đến khoảng 2400 trong Windows Vista và Windows Server 2008. Chính vì điều đó mà chúng tôi không thể giới thiệu thiết lập riêng cho bạn mà sẽ chỉ nói về các thiết lập GP quan trọng. Bảo vệ chống Virus Một trong những mối đe dọa phát sinh nhiều nhất đối với bảo mật trong những năm gần đây là virus email. Hầu hết các sản phẩm chống virus đều được thiết kế để tích hợp với Microsoft Outlook, ý tưởng này là một phần mềm có thể quét file đính kèm khi chúng ta mở email. Hệ điều hành Simpo PDF Merge and Split Unregistered Version - Windows luôn thiếu một cơ chế tập trung cho việc bảo đảm phần mềm chống virus được cài đặt và làm việc đúng cách. Tuy nhiên, trong Windows Vista và Windows Server 2008 hiện nay với các thiết lập GP sẽ cho phép bạn thiết lập các chính sách chống virus của tổ chức ở mức GP. Mặc dù các thiết lập chính sách nhóm mà chúng tôi giới thiệu là cho Windows Vista và Windows Server 2008, nhưng chúng cũng có thể được sử dụng để điều chỉnh cho các máy tính đang chạy Windows XP SP2. Bạn có thể tìm thấy các thiết lập có liên quan đến chính sách nhóm trong GP tại: User Configuration\Administrative Templates\Windows Components\Attachment Manager. Thông báo cho các chương trình chống virus khi mở file đính kèm Thiết lập chính sách nhóm này được sử dụng để thông báo cho phần mềm chống virus của bạn khi một file đính kèm email được mở, để file có thể được quét virus. Mặc dù thiết lập chính sách này nghe có vẻ đơn giản, nhưng có hai điều mà bạn cần biết để kích hoạt nó. Đầu tiên đó là, nếu phần mềm chống virus của bạn được thiết kế cho tự động quét các file đính kèm bất cứ lúc nào thì việc kích hoạt thiết lập này là không cần thiết. Một điều nữa là bạn cần biết rằng nếu thiết lập này được kích hoạt và phần mềm chống virus của bạn có một vài lý do thất bại trong việc quét file đính kèm thì Windows sẽ khóa không cho mở file đính kèm. Không duy trì vùng thông tin trong các file đính kèm Simpo PDF Merge and Split Unregistered Version - Một trong những khái niệm bảo mật chính trong Internet Explorer là các vùng (Zone). Internet Explorer cho phép quản trị viên phân loại tên miền Web vào các vùng khác nhau dựa vào số lượng quản trị viên tin tưởng website đó. Trong Windows Vista và Windows Server 2008, khái niệm về các vùng này cũng được mang sang email. Khi một thông báo email có file đính kèm, Windows có thể xem tên miền của người gửi và so sánh nó với danh sách trong vùng của IE. Nó có thể sử dụng thông tin của vùng này để trợ giúp xác định độ tin cậy về file đính kèm này như thế nào. Thiết lập chính sách nhóm nói riêng này sẽ có một chút sai lệch nếu bạn kích hoạt thiết lập chính sách, sau đó các thông tin của vùng sẽ bị bỏ qua toàn bộ. Nếu muốn bảo đảm rằng website sử dụng thông tin vùng cho các đính kèm email thì bạn phải vô hiệu hóa thiết lập chính sách này. Một khía cạnh quan trọng liên quan đến bảo mật mà bạn cần phải biết đó là vùng của người gửi được lưu như một thuộc tính file. Điều này có nghĩa hệ thống file NTFS cần phải có. Nếu hệ thống được định dạng bằng FAT hoặc FAT-32 thì thông tin vùng sẽ không được duy trì và Windows sẽ không báo cáo về sự thất bại này. Các cơ chế ẩn để xóa bỏ thông tin vùng Trong bất kỳ điều kiện nào bạn cũng đều có thể dễ dàng xóa bỏ một vùng có liên quan đến thuộc tính từ file. Để thực hiện điều đó bạn phải kích nút Unblock trên cửa sổ thuộc tính của file. Nếu muốn ngăn không cho người dùng phát hiện ra thông tin vùng từ các file thì bạn chỉ cần kích hoạt chính sách này. Làm như vậy bạn sẽ ẩn được các cơ chế mà người dùng có thể sử Simpo PDF Merge and Split Unregistered Version - dụng để xóa bỏ thông tin vùng từ một file. Mức rủi ro mặc định cho các file đính kèm Thiết lập chính sách này cho phép bạn tự động gán mức rủi ro cao, trung bình hay thấp cho các đính kèm email. Danh sách các kiểu file có mức rủi ro cao Rõ ràng, một số kiểu file có thể mang theo các mã hiểm độc hơn các kiểu khác. Ví dụ, file .exe hoặc file .PIF có thể là file chứa mã nguy hiểm nhiều hơn file .PDF. Do đó Windows cho phép bạn đánh dấu các kiểu file khác nhau ở các mức rủi ro khác nhau. Windows cung cấp các thiết lập chính sách nhóm riêng biệt cho danh sách các kiểu file có mức rủi ro cao, trung bình và thấp. Microsoft chọn cách này là bởi vì nó cho phép thiết lập được chặt chẽ hơn, đưa ra quyền ưu tiên trong trường hợp có xung đột. Giả sử rằng một kiểu file cụ thể nào đó được liệt trong cả hai mức rủi ro cao và trung bình. Trong trường hợp như vậy, chính sách rủi ro cao hơn sẽ có quyền ưu tiên cao hơn chính sách rủi ro trung bình, và kiểu file sẽ được xử lý ở mức rủi ro cao sẽ không quan tâm đến những thiết lập chính sách gì khác có thể ra lệnh. Vậy có nghĩa gì khi phân loại kiểu file mở mức rủi ro cao? Khi người dùng cố gắng mở một file, Windows không chỉ xem xét kiểu file mà còn xem trong vùng mà file đó được bắt nguồn. Nếu file này được bắt nguồn từ một vùng bị hạn chế và được phân vào mức rủi ro cao thì Windows sẽ ngăn Simpo PDF Merge and Split Unregistered Version - không cho người dùng mở file. Nếu file được bắt nguồn từ vùng Internet thì Windows sẽ hiển thị một thông báo cho người dùng trước khi mở file đó. Danh sách các kiểu file có mức rủi ro thấp Việc định nghĩa kiểu file có mức rủi ro thấp này cũng giống định nghĩa như file có mức rủi ro cao nhưng có một cặp điểm khác biệt. Sự khác nhau đầu tiên đó là Windows xử lý các kiểu file có mức rủi ro cao một cách mặc định. Nếu bạn thiết lập một trong các kiểu file đó có mức rủi ro thấp thì thiết lập của bạn sẽ có quyền ưu tiên cao hơn đối với thiết lập của Windows, và file đó sẽ được coi có mức rủi ro thấp. Và tất nhiên nếu bạn bổ sung một kiểu file vào danh sách rủi ro mức cao và sau đó thêm nó vào danh sách rủi ro thấp thì file đó sẽ được coi có mức rủi ro cao vì danh sách mức cao sẽ được ưu tiên hơn mức thấp. Danh sách các kiểu file có mức rủi ro trung bình Việc định nghĩa kiểu file có mức rủi ro trung bình cũng như việc định nghĩa một file có mức rủi ro thấp nhưng có một ngoại lệ. Nếu file được tổ chức từ vùng Internet hay bị hạn chế thì Windows sẽ hiển thị một cảnh báo trước khi cho phép người dùng mở file đó. Kết luận Trong bài này chúng tôi đã giới thiệu cho các bạn Windows Vista và Windows Server 2008 có nhiều thiết lập chính sách hơn Windows Server 2003 và Windows XP, giới thiệu một số thiết lập liên quan đến việc chống Simpo PDF Merge and Split Unregistered Version - virus hữu dụng hơn. Trong phần hai chúng tôi sẽ tiếp tục giới thiệu về một số chính sách mới khác của GP. Simpo PDF Merge and Split Unregistered Version - Các mở rộng của Group Policy trong Windows Vista và Windows Server 2008 (Phần 2) Simpo PDF Merge and Split Unregistered Version - Trong phần đầu tiên của loạt bài này, chúng tôi đã giải thích rằng Windows Vista và Windows Server 2008 cung cấp đến hàng trăm thiết lập chính sách nhóm bổ sung so với Windows Server 2003 và Windows XP. Trong bài viết này, chúng tôi sẽ tiếp tục giới thiệu về các thiết lập của Group Policy được sử dụng để điều khiển tài khoản người dùng và các thiết bị phần cứng. Các thiết lập chính sách nhóm mà chúng tôi sẽ giới thiệu đều được đặt tại Computer Configuration / Windows Settings / Security Settings / Local Policies / Security Options. Bạn có thể xem trong hình A, có quá nhiều thiết lập Group Policy trong mục Security Options để thảo luận về chúng. Chính vì vậy chúng tôi sẽ giới thiệu một số thiết lập chính sách hữu hiệu nhất và cũng thú vị nhất. Simpo PDF Merge and Split Unregistered Version - Hình A: Tài khoản liên quan đến các thiết lập Group Policy được đặt tại Computer Configuration / Windows Settings / Security Settings / Local Policies / Security Options Trạng thái của tài khoản quản trị viên Một trong những điểm yếu bảo mật chính của các hệ điều hành trước đây là sự tồn tại của tài khoản quản trị viên cục bộ trên các máy trạm làm việc. Với Windows Vista, có thể thiết lập vô hiệu hóa trạng thái tài khoản quản trị viên cục bộ tại phần Accounts: Administrator Account Status Mặc định, tài khoản quản trị viên được kích hoạt nhưng việc vô hiệu hóa nó rất đơn giản. Tất cả những gì cần thực hiện là thiết lập chính sách này thành “Disabled”. Trước khi bạn bắt đầu việc vô hiệu hóa các tài khoản quản trị Simpo PDF Merge and Split Unregistered Version - viên cục bộ, có một số hậu quả mà bạn cần phải hiểu về chúng. Nếu đã vô hiệu hóa một tài khoản quản trị viên thì bạn sẽ không thể kích hoạt nó trở lại trừ khi mật khẩu của tài khoản quản trị viên đạt được độ dài mật khẩu tối thiểu và đủ yêu cầu phức tạp. Các quản trị viên khác có thể thiết lập lại mật khẩu tài khoản bằng cách thừa nhận sự tồn tại của tài khoản đó. Nếu bạn bị khóa trái bên ngoài máy tính của chính bạn và không có tài khoản quản trị nào có thể thiết lập lại được mật khẩu, thì không phải là đã hoàn toàn mất hết hy vọng. Tài khoản quản trị viên cục bộ luôn luôn được kích hoạt khi máy tính đang chạy trong chế độ “safe mode”. Chính vì vậy bạn có thể khởi động máy tính trong chế độ “safe mode” (chế độ an toàn), đăng nhập với tư cách là quản trị viên nội bộ và thiết lập lại mật khẩu. Sau đó bạn có thể kích hoạt lại tài khoản quản trị viên cục bộ. Hạn chế việc sử dụng các mật khẩu trống Thông thường, không có lý do nào để ai đó trong tổ chức của bạn sử dụng một mật khẩu trống. Đề phòng việc này thông qua phần Accounts: Limit Local Account Use of Blank Passwords to Console Logon Only thiết lập giới hạn đối với các tài khoản có mật khẩu trống có thể được sử dụng như thế nào. Thiết lập chính sách này được kích hoạt mặc định, sở dĩ như vậy là để bất cứ tài khoản người dùng nào không có mật khẩu chỉ được phép đăng nhập cục bộ. Điều đó có nghĩa là ai đó có thể sử dụng một tài khoản như vậy để đăng nhập trực tiếp vào máy tính đang nhưng không thể đăng nhập thông qua một cơ chế khác như Remote Desktop. Simpo PDF Merge and Split Unregistered Version - Đặt lại tên của tài khoản quản trị viên Microsoft luôn nhắc nhở chúng ta nên thay đổi lại tên tài khoản quản trị viên cho mục đích bảo mật. Vấn đề ở chỗ là mỗi một máy trạm làm việc đều có tài khoản quản trị viên của chính nó và việc thay đổi tên lại phải thực hiện thủ công. Vista và Server 2008 hiện cung cấp cho chúng ta một thiết lập Group Policy, thiết lập này có thể được sử dụng để thay đổi tên tài khoản quản trị viên cục bộ một cách tự động. Tên thiết lập của chính sách là Accounts: Rename Administrator Account. Để sử dụng thiết lập này, tất cả những gì cần thực hiện là nhập vào một tên mới cho tài khoản quản trị viên và sự thay đổi sẽ được phổ biến đến tất cả các máy tính mà Group Policy áp dụng. Kiểm định các hoạt động Backup và Restore Một trong những thiết lập thú vị nhất của Group Policy là Audit: Audit the Use of Backup and Restore Privilege. Ý tưởng cơ bản ẩn đằng sau thiết lập chính sách này là nếu bạn chọn kích hoạt nó (thiết lập chính sách bị vô hiệu hóa mặc định) thì các hoạt động backup và restore sẽ được kiểm định. Tại sao nói rằng đây là một trong những thiết lập chính sách thú vị nhất? Bởi vì nó có cả một số điểm tốt và điểm xấu. Điểm tốt của chính sách này là nó cho phép bạn kiểm định xem ai có quyền backup hệ thống đang thực hiện backup theo chính sách của công ty. Nó cũng cho phép bạn biết về bất cứ hoạt động restore nào xuất hiện. Tuy nhiên nhược điểm của nó là tạo ra một Simpo PDF Merge and Split Unregistered Version - bản ghi cho mỗi file được backup. Điều đó có nghĩa là các bản ghi kiểm định của bạn có nguy cơ tràn ngập. Rõ ràng là một số lượng tài nguyên ổ đĩa và CPU cũng bị sử dụng khi bản ghi đó được ghi. Bản thân ảnh hưởng của việc ghi bản ghi là không đáng kể, nhưng nếu ghi hàng nghìn bản ghi thì các bản ghi này sẽ ảnh hưởng đến hiệu suất của hệ thống. Các phương tiện di động Trong nhiều công ty việc sử dụng các phương tiện có thể di rời là điều không được phép. Các phương tiện đó có thể là đĩa CD và DVD cho phép người dùng mang dữ liệu không được kiểm định và các ứng dụng vào tổ chức; hoặc tạo các bản sao dữ liệu nhạy cảm và đôi khi còn xóa dữ liệu từ tổ chức. Khi việc sử dụng các phương tiện di động thường bị ngăn cản như vậy, Microsoft đã tạo ra thiết lập chính sách Devices: Allowed to Format and Eject Removable Media. Như tên được ngụ ý của nó, thiết lập này có thể được sử dụng để ngăn chặn người dùng format hay eject các phương tiện di động. Các Driver của máy in Windows được thiết kế theo cách nếu một người dùng muốn in từ một máy in trong mạng thì họ không cần đến đĩa CD có chứa driver của máy in đó, và cũngkhông phải download nó từ Internet. Khi người dùng sử dụng một thỏa thuận đánh tên phổ biến (UNC) để đính vào một máy in đang được chia sẻ bởi máy tính sử dụng Windows, máy chủ quản lý máy in sẽ kiểm tra máy trạm làm việc của người dùng để xem nó có phải là driver thích hợp hay không. Nếu không có driver nào tồn tại thì máy chủ quản lý máy in sẽ gửi đi Simpo PDF Merge and Split Unregistered Version - một bản copy của driver máy in đến máy tính này. Trong hầu hết các trường hợp, đây có thể là một hành vi đáng mong muốn vì nó cho phép người dùng có thể thực hiện các công việc của họ mà không cần phải liên lạc với bàn trợ giúp mỗi khi họ cần in từ một máy in khác. Trong môi trường bảo mật cao hơn, nó có thể bị xem như rủi ro vì đã cho phép người dùng in mà chưa được chỉ định. Một cách để ngăn chặn người dùng in từ các máy in không được kiểm định là không cho phép họ cài đặt driver của máy in. Bạn có thể dừng người dùng cài đặt driver máy in bằng cách kích hoạt thiết lập Devices: Prevent Users from Installing Printer Drivers. Thiết lập chính sách này bị vô hiệu hóa mặc định trên các máy trạm làm việc, nhưng nó được kích hoạt mặc định trên máy chủ. Có một số thứ cần phải lưu ý trong phần này. Đầu tiên, thiết lập chính sách này không ngăn chặn người dùng bổ sung thêm máy in cục bộ, nó chỉ không cho người dùng cài đặt driver cho các máy in của mạng. Một điều khác cũng cần phải lưu ý đó là việc kích hoạt chính sách này sẽ không ngăn người dùng in trên máy in của mạng mà họ đã có driver. Cuối cùng, việc kích hoạt thiết lập này không có hiệu lực đối với các quản trị viên. Kết luận Trong phần hai này, chúng tôi đã giới thiệu về các thiết lập Group Policy có liên quan đến việc điều khiển tài khoản người dùng và các phần cứng thiết bị. Trong phần ba, chúng tôi sẽ tiếp tục giới thiệu về một số thiết lập của Simpo PDF Merge and Split Unregistered Version - Group Policy chỉ có duy nhất trong Windows Server 2008 và Windows Vista. Simpo PDF Merge and Split Unregistered Version - Các mở rộng của Group Policy trong Windows Vista và Windows Server 2008 (Phần 3) Simpo PDF Merge and Split Unregistered Version - Bảo mật là một trong những mối quan tâm lớn của Microsoft khi phát triển hệ điều hành Windows Server 2008 và Windows Vista, chính vì điều đó mà không hề ngạc nhiên rằng có nhiều thiết lập của Group Policy mới được bổ sung trong hai hệ điều hành này. Chúng tôi muốn bắt đầu bài này bằng cách nói về các thiết lập Group Policy có liên quan đến tính năng bảo mật mới có tên gọi User Account Protection (được viết tắt là UAC). Nếu bạn không quen với UAC thì chúng tôi phải nói rằng nó là một tính năng bảo mật được thiết kế để bảo vệ Windows bằng cách cung cấp cho người dùng những quyền hạn một cách vừa phải. Trong môi trường Windows XP, người dùng thường có quyền quản trị viên cục bộ để có thể thực hiện các công việc của họ. Khi thiết kế Vista, Microsoft đã mất rất nhiều thời gian về xem xét các việc gì người dùng thực sự cần thiết, từ đó đưa ra quyền được thực hiện nhiệm vụ trong các tài khoản người dùng chuẩn để người dùng không cần phải được thừa nhận có quyền của quản trị viên. Ví dụ, một trong số những nhiệm vụ mà Windows Vista cho phép người dùng di động thực hiện mà không cần đến quyền quản trị gồm có: cài đặt driver cho máy in, nhập khóa WEP, cấu hình kết nối VPN và cài đặt nâng cấp các ứng dụng. User Account Protection hầu như không ban cho người dùng thêm quyền, mà tính năng này được thiết kế để bảo vệ các quản trị viên đối với chính bản thân họ. Cho dù là ai đó đã đăng nhập như một quản trị viên thì Windows vẫn coi họ như một người dùng chuẩn. Nếu người dùng cố gắng thực hiện một số hành động cần đến quyền quản trị thì Windows sẽ nhắc nhở người dùng thực hiện một số nhiệm vụ nhằm đảm bảo tính bảo mật. Simpo PDF Merge and Split Unregistered Version - Các quản trị viên cũng có thể chọn đăng nhập như những người dùng chuẩn. Nếu một người dùng chuẩn cần thực hiện một hành động yêu cầu đến quyền quản trị viên thì họ không phải chạy từ Run. Thay vào đó, Vista sẽ tự động nhắc nhở họ nhập vào một số thông tin quan trọng có thể được sử dụng cho nhiệm vụ đó. Bây giờ tôi sẽ giới thiệu cho bạn một số kiến thức cơ bản liên quan đến User Account Protection là gì và nó làm việc như thế nào, hãy xem một số thiết lập Group Policy có liên quan đến UAC. Giống như hầu hết các thiết lập Group Policy khác mà chúng tôi đã giới thiệu cho bạn trong phần 1 và 2, các thiết lập Group Policy mà chúng tôi đang muốn nói đến chỉ thích hợp với Windows Server 2008 và Windows Vista. Chính vì vậy, cho tới khi Windows Server 2008 được phát hành và bạn có một bộ điều khiển miền trên Windows Server 2008 trong mạng thì các thiết lập Group Policy này sẽ phải thiết lập ở mức Local Computer (mức cục bộ) trong hệ thống thứ bậc Group Policy. Các thiết lập Group Policy có liên quan đến UAC có thể được tìm thấy trong giao diện sử dụng của Group Policy tại Computer Configuration | Windows Settings | Security Settings | Local Policies | Security Options. Bạn có thể xem số thiết lập chính sách có sẵn trong hình A. Simpo PDF Merge and Split Unregistered Version - Hình A: Các thiết lập của Group Policy liên quan đến tính năng bảo vệ tài khoản của Vista Như những gì thấy trong hình, có nhiều thiết lập không liên quan đến User Account Protection. Các thiết lập cho User Account Protection được đặt ở phần dưới của màn hình. Thiết lập đầu tiên có liên quan đến UAC là “Admin Approval Mode for the Built In Administrator Account”. Tùy chọn này được kích hoạt mặc định, điều đó làm cho tài khoản quản trị viên được coi như một người dùng chuẩn. Bất cứ hành động yêu cầu đến quyền quản trị viên sẽ làm cho Windows nhắc nhở người dùng trước khi hành động đó được tiến hành. Nếu tùy chọn này bị vô hiệu hóa thì Vista sẽ thực hiện giống như Windows XP. Simpo PDF Merge and Split Unregistered Version - Tài khoản quản trị viên đính kèm sẽ đư