Nguyễn Văn Thuận Blog: MICROSOFT WINDOWS POLICY

Tổng quan về Group Policy

Trong bài lab này, tôi sẻ giới thiệu về Group Policy, các bạn sẻ biết được Group Policy làm được điều gì và có thể sử dụng trong môi trường workgroup và domain ra sao ? Nếu hệ thống mạng của các bạn đang sử dụng là môi trường Active Directory thì các bạn chắc chắn cần phải sử dụng Group Policy, và điều quan trọng các bạn phải đưa ra được cấu trúc và nhu cầu thực sự đúng với tổ chức của các bạn để Group Policy hoạt động một cách hiệu quả. Vậy tại sao Group Policy lại đóng vai trò quan trọng đến như vậy? Xin thưa rằng, nhờ có các Policies, nguời quản trị mạng sẻ tối ưu được công việc của mình, giúp tiết kiệm thời gian và công sức trong việc quản trị. Các bạn cứ tưởng tượng, chỉ mỗi việc cài đặt thêm một phần mềm MS Office cho hệ thống mạng khoảng vài trăm máy, công việc tưởng chừng nhỏ nhặt này lại gây tốn tiền, công sức và thời gian cho người quản trị mạng, thay vào đó Group Policy lại giúp người quản trị thay vì tốn khá nhiều thời gian, thì người quản trị chỉ tốn khoảng vài phút để cài đặt toàn bộ phần mềm MS Office cho vài trăm máy khi triển khai Group Policy cho hệ thống. Ngoài ra, người quản trị mạng còn làm cho hệ thống mạng của mình được bảo mật hơn khi triển khai các Group Policy xuống hệ thống.

Group Policy hoạt động như thế nào ?

Với Group Policy bạn có thể quản lý các thiết lập cùng lúc cho hàng ngàn users và máy tính thay vì phải đưa ra thiết lập cho từng user hoặc từng máy tính mà không cần phải đến tận nơi làm việc của các users đó. Để làm được điều này, chúng ta sẻ sử dụng một vài công cụ quản trị để thay đổi những thiết lập cho những giá trị đã có sẵn. Với Group Policy bạn có thể dễ dàng “enable” hoặc “disable” các policy để tối ưu hóa giá trị của registry hoặc những thiết lập khác, và thay đổi này sẻ tự động “apply” đến các máy tính trong OU (Organizational Unit) đó, và nếu bạn không muốn thực thi kết quả đó, bạn có thể khôi phục lại bằng cách thay đổi những thiết lập policy để trở về các thiết lập nguyên thủy của nó một cách dễ dàng và nhanh chóng
Trong Group Policy có 02 nhánh chính :

Computer Configuration : Những thiết lập trong nhánh này sẻ ảnh hưởng đến toàn bộ máy tính (computer). Khi máy tính khởi động và thiết lập mạng được khởi tạo, những thiết lập computer policy và những thiết lập dựa vào registry sẻ được thực thi. Các thiết lập này sẻ được lưu tại đường dẫn : %AllUsserProfile%\Ntuser.pol

User Configuration : Những thiết lập trong nhánh này sẻ ảnh hưởng đến các users ngồi trên máy tính đó. Khi user logon vào máy tính, những thiết lập user policy và những thiết lập dựa vào registry sẻ được thực thi. Các thiết lập này sẻ được lưu tại đường dẫn %AllUsserProfile%\Ntuser.pol

Khi apply, những thiết lập của group policy tự động giữ lại những thiết lập hiện có và thêm vào hoặc thay đổi ứng với các thiết lập mới do người quản trị đưa ra. Mặc định, Group Policy trên domain controller tự động refresh mỗi 5 phút một lần, còn đối với các workstation và các loại dịch vụ trên server sẻ tự động được refresh 90 – 120 phút một lần

Sử dụng Group Policy trong môi trường Workgroup và Domain

Bạn có thể sử dụng Group Policy để quản lý những máy workstation sử dụng hệ điều hành windows 2000 và Windows XP Professional. Bên cạnh đó, bạn cũng có thể quản lý được những máy server sử dụng hệ điều hành windows 2000 và windows server 2003, nhưng các bạn lưu ý, đối với những hệ điều hành windows 95,windows 98, windows Me (Millennium Edition), XP Home Edition, bạn không thể sử dụng được Group Policy. Group Policy có thể sử dụng được cả trong 02 môi trường là Workgroup (Mạng ngang hàng) và Domain (Môi trường quản lý tập trung)

Trong môi trường domain, Active Directory, 02 thành phần quan trọng là Site và OU (Organizational Unit) :
Một Site đại diện cho kiến trúc vật lý của hệ thống mạng của bạn, nó là một nhóm các TCP/IP subnets được quản lý để thực hiện đồng bộ hóa dữ liệu, và quản lý các traffic giữa các chi nhánh lại với nhau, còn OU được sử dụng để nhóm các thành phần trong môi trường domain. OU là một đơn vị quản trị một cách hợp lý, nói đại diện cho cấu trúc của một tổ chức hoặc chức năng của một tổ chức

Làm việc với các thành phần trong Group Policy

Trong quá trình các bạn quản trị hệ thống, một thành phần quan trọng các bạn cần nắm là GPO (Group Policy Object), GPO chứa những thiết lập được áp xuống bằng nhiều cách cho máy tính và users trong AD, Site hoặc OU, vì sự phức tạp của sự phân bố các thành phần trong AD nên những thiết lập từ bên trên sẻ thừa kế các thiết lập của các GPO ở cấp bên dưới nó.

Trong môi trường local (cục bộ), một subnet của Group Policy được gọi là Local Group Policy, Local Group Policy cho phép bạn quản lý những thiết lập cho tất cả các user bình thường hoặc các user thuộc nhóm admin khi logon cục bộ vào máy tính.

Đối với Local Group Policy, có một vài thứ bạn không thể thực hiện được trong môi trường local mà bắt buộc bạn phải thực hiện điều đó trong môi trường domain. Ở đây tôi ví dụ việc cài đặt một hay nhiều phần mềm cho các máy tính trong hệ thống mạng, bạn chỉ có thể cài đặt một cách tự động cho tất cả các máy trong môi trường domain mà thôi bằng cách thiết lập một GPO hoặc các GPO và cuối cùng là apply cho hệ thống mạng , vì trong môi trường local bạn phải đi trực tiếp đến từng máy tính và thực hiện một công việc lặp đi lặp lại một cách nhàm chán và tốn khá nhiều công sức và thời gian

Những thiết lập và các thành phần trong Group Policy

Trong quá trình các bạn thiết lập một hay nhiều GPO, các bạn sẻ thấy có 03 option

Enabled : Thiết lập của policy được bật, và các thiết lập đó sẻ được ative. Bạn enable một thiết lập policy để chắc rằng những thiết lập đó được enforced. Khi enable, một vài thiết lập policy cho phép bạn cấu hình thêm vài option con của thiết lập đó

Disabled : Thiết lập policy bị tắt và tất cả những thiết lập không được apply, bạn disable mội policy để chắc rằng những thiêt lập policy đó sẻ không được enforced

Not configured : Thiết lập policy sẻ không được sử dụng, không có bất kì policy nào được active và apply

Ý nghĩa và chức năng của Group Policy trong việc quản trị:

Khi đăng nhập vào Group Policy, người quản trị sẻ có thể bối rồi vì quá nhiều nhánh cấu trúc của Group Policy, hiểu được những khó khăn đó, tôi sẻ liệt kê các nhánh và chức năng tương ứng của chúng:

Computer and user scripts : Nhánh này dùng để cấu hình các script khi user logon hoặc logoff trên máy tính
Folder redirection : Duy chuyển thư mục trên các máy client đến một thư mục được chia sẻ trên máy server để thuận tiện hơn trong việc quản lý (backup và restore)
General computer security : Thiết lập bảo mật cho account, event log, cấm các group trên AD, những dịch vụ hệ thống, những thiết lập ảnh hưởng trong registry và file hệ thống.
Local security policies : Thiết lập chính sách cho việc giám sát user, những thiết lập về quyền cho user
Internet Explorer maintenance : cấu hình giao diện, chính sách bảo mật, các thiết lập proxy và nhiều thành phần khác cho trình duyệt web
IP security : Thiết lập IP security cho clients, server và các thiết lập bảo mật cho server
Public key security : Thiết lập các chính sách về public key trong quá trình mã hóa dữ liệu, các vấn đề liên quan đến Encrypting File System, enterprise trust và nhiều vấn đề khác
Software installation : Thiết lập các chính sách cài đặt phần mềm tự động đến các máy tính cho clients trong hệ thống mạng
Remote Installation Services : Thiết lập thêm các option trong quá trình triển khai cài đặt phần mềm tự động cho clietns
Wireless networking (IEEE 802.11) : Thiết lập các chính sách liên quan đến mạng không dây cho access point, các clients trong hệ thống mạng không dây
Software restriction : Thiết lập các chính sách cấm triển khai cài đặt các phần mềm một cách tự động

Thừa hưởng trong Group Policy

Cấu trúc bao gồm 04 cấp căn bản sau đây : cấp trên cùng thuộc Local Group Policy , cấp thứ 2 thuộc về site, cấp thứ 3 thuộc về domain và cấp thứ 4 thuộc về OU. Mặc định khi ta thiết lập policy tai một cấp thì tấtcác object của cấp đó và tất cả các objects trong cấp dưới nó đều được thừa hưởng các thiết lập đó
Cách thừa hưởngcủa policy theo trình tự sau đây:

Nếu các thiết lập của policy được thiết lập tại cấp site : nó sẻ ảnh hưởng đến tất cả users, computers được định nghĩa trong domain và các OU thuộc site đó.

Ví dụ: Site chính chứa 02 domain : mcsa.labmicrosoft.com và security.labmicrosoft.com thì tất cả những thiết lập cho site sẻ ảnh hưởng đến tất cả các objects trong cả 2 domain trên

Nếu các thiết lập của policy được thiết lập tại cấp độ domain : nó sẻ ảnh hưởng đến tất cả users và computers trong Ous thuộc domain đó

Ví dụ : domain labmicrosoft.com có 02 OU là : MCSA và MCSE, thì khi thiết lập policy cho domain thì tất cả các users và computers thuộc 02 OU trên đều bị ảnh hưởng

Nếu các thiết lập của policy được thiết lập tại cấp độ OU, thì nó chỉ ảnh hưởng đến tất cả users và computers thuộc về OU đó và các OU con của nó

Đăng nhập vào Local Group Policy : tại đây tôi sẻ hướng dẫn các bạn nhiều cách để các bạn, vì 01 lí do nào đó, bạn không thể vào được cách này thì có thể vào bằng cách khác

Start / Run / gpedit.msc
Start / Run / cmd à dùng lệnh “gpedit.msc”
Start / Programs / Command Prompt à dùng lệnh “gpedit.msc”
Start / Run / mmc à Add-Remove Snap-in à Add à Group Policy Object Editor à Finish
R.Click Desktop / New shortcut à Tại Type the location of the item bạn nhập vào “gpedit.msc” à Finish
Vào C:\Windows\System32\Gpedit.msc

Lưu những tinh thỉnh trong Group Policy :

Start / Run --> gpupdate /force

Tinh chỉnh chính sách về thiết lập password cho user

Các bạn vào đường dẫn như sau :

Hình 1

Tại đây các bạn sẻ có 06 thiết lập về password policy :

Enforce Password history : Quy định số lần lưu password để có thể sử dụng lại giá trị password cũ

Hình 2

Maximum Password age : Thời gian tồn tại của giá trị password khi thiết lập password cho user. Mặc định Microsoft đưa ra giá trị này là 42 ngày. Chúng ta có thể thiết lập lại giá trị này tùy theo tính chất và môi trường của hệ thống mạng của các bạn

Hình 3

Minimum Password Age : Thời gian tối thiểu để có thể thay đổi password đang có

Hình 4

Password must meet complexity requirement : Password phải yêu cầu có độ phức tạp. Password phức tạp thì những bài trước tôi đã định nghĩa rồi, nay tôi không định nghĩa lại
nữa.Mặc định Microsoft thiết lập là “disable”, tức là không yêu cầu password không cần phải phức tạp, muốn hệ thống bảo mật hơn, để tránh hacker có thể đoán được giá trị password thì chúng ta nên “enable” nhé

Hình 5

Store passwords using reversible encryption : Mã hóa password của user, windows sẻ mã hóa password của user theo thuật toán CHAP

Hình 6

Thiết lập chính sách cho user : Account Lockout Policy

Để tăng tính bảo mật cho hệ thống, để ngăn ngừa anh Tèo nào đó trong hệ thống tối ngày cứ thử đăng nhập vào một user nào đó mà anh Tèo ghét để phá chơi bằng cách lần lượt thử các giá trị password từ đơn giản đến phức tạp, và một ngày đẹp trời nào đó, anh Teo đó vô tình thử đúng giá trị password của người mà anh Tèo ghét. Các bạn có thể tưởng tượng điều gì sẻ xảy ra với user mà anh Tèo ghét nhĩ ?

Để tránh những user như anh Tèo và những anh khác như anh Tèo trên, người quản trị hệ thống phải thiết lập lại chính sách cho user, tức là sẻ thiết lập lại số lần đăng nhập sai khi vào hệ thống, nếu anh đăng nhập sai số lần người IT quy định thì sẻ không cho anh đăng nhập nữa và sẻ khóa account của anh luôn, anh chỉ có thể đăng nhập vào hệ thống khi nhờ người quản trị bỏ thuộc tính bị khóa mà thôi, nào cùng thiết lập nhé,

Các bạn vào đường dẫn như sau :

Hình 7

Tại policy này chúng ta có 03 thiết lập như sau :

Account lockout threshold : Tại đây chúng ta có thể thiết lập lại số lần cho phép user đăng nhập sai, nếu quá số lần này thì account sẻ bị khóa

Hình 8

Mặc định thời gian bị khóa của user và thời gian tự động bỏ chức năng lockout của user là 30 phút

Account lockout duration : Thiết lập thời gian lock account

Hình 9

Reset account lockout counter after : Thời gian tự động reset account bị khóa (lockout)

Hình 10

Một vài các thiết lập giúp tăng tính năng bảo mật cho hệ thống

Allow logon locally : Mặc định trong môi trường local, tất cả các local users đều có thể logon trên máy sử dụng hệ điều hành windows server, điều này làm tăng nguy cơ các client có cơ hội logon vào máy tính và thực hiện các hành động không mong muốn. Vì thế đối với policy này ta nên remove group “Usesrs” là tốt nhất

Hình 11

Hình 12

Deny logon through Terminal Services Properties: Từ chối logon thông qua chức năng remote desktop. Để tăng tính bảo mật, chúng ta chỉ nên add group “administrators”

Hình 13

Rename administrator account : Thay đổi tên của user administrator, để tránh những hacker có thể chứng thực bằng user mặc định là Administrator thì ta nên đổi lại tên của user này,

Ví dụ : QuanTri

Hình 14

System cryptography : Use FIPS conpliant algorithms for encryption, hashing, and signing :

Policy này giúp mã hóa hệ thống, sử dụng thuật toán mã hóa DES để mã hóa dữ liệu có định dạng NTFS, mặc định EFS sử dụng thuật toán mã hóa AES (Advanced Encrytion Standard) sử dụng 256 bit-key để mã hoátrong windows server 2003, và sử dụng thuật toán DESX trong windows XP để mã hóa dữ liệu.
Ngoài ra, khi bật policy này, nó sẻ giúp mã hóa kết nối mạng khi chúng ta thực hiện remote desktop

Hình 15

Thiết lập policy cho user :

Thông thường để thiết lập cho user, ta thường tinh chỉnh tại nhánh như hình bên dưới :

Hình 16

Tại nhánh này, chúng ta quan sát sẻ có những nhánh con bên dưới như :

Windows Components
Start Menu and Taskbar
Desktop
Control panel
Shared Folders
Network
System

Để biết vào nhánh nào để thiết lập policy cho user, chúng ta cứ xem mục đích của tiết lập đó là gì? Và sẻ quyết định vào nhánh con nào để tìm.
Ví dụ nhé, mục đích của tôi là muốn ẩn icon Recycle Bin trên desktop của client chẳng hạn, thì chúng ta tự hỏi icon đó nằm ở đâu nhỉ ? A, nằm ngay trên desktop, chúng ta chỉ việc vào nhánh desktop, và tìm policy tương ứng để tinh chỉnh, hoặc tôi muốn ẩn “Run” trên start menu thì vào nhánh nào nhỉ? Có phải Run nằm tại Start menu and taskbar không? Câu trả lời là chính xác, hoặc vân vân và vân vân,
Những thiết lập policy cho user sao này, các bài lab sau tôi sẻ lần lượt hướng dẫn các bạn tinh chỉnh chi tiết các policy này,

Top Menu

Marquee

MICROSOFT WINDOWS POLICY

Không có nhận xét nào: