Các thiết lập bảo mật đặc biệt của Group Policy

Derek Melber

Rất nhiều các thiết lập bảo mật có thể được cấu hình trong Group Policy Object. Các thiết lập đó trải rộng từ việc điều khiển tài khoản Administrator đến quản lý các nhu cầu máy khách LDAP. Với quá nhiều thiết lập bảo mật như vậy thì việc hiểu được chức năng và các yếu tố cần thiết khác là một việc quan trọng. Trong bài viết này, chúng tôi sẽ giới thiệu một cách chi tiết về một số thiết lập bảo mật cũng như một số kịch bản chung nhất về bảo mật.

Thi hành các thiết lập bảo mật của Group Policy

Đề tài này đã có các bài viết của chúng tôi hoặc báo khác nói đến rất nhiều, nhưng các bài viết trước đây chỉ giới thiệu cho bạn cách có thể bảo đảm cho các thiết lập bảo mật đó được áp dụng như thế nào. Còn trong bài này, chúng tôi muốn giới thiệu thêm một số chi tiết sâu hơn về cách có thể thẩm định thiết lập nào là “các chính sách” và thiết lập nào là “tham chiếu” để bạn có một sự hiểu biết rõ ràng về cách mỗi thiết lập được áp dụng đối với máy tính. Với mỗi kiểu thiết lập, bạn có thể thực thi các thiết lập này ở khoảng thời gian làm mới Group Policy, khoảng thời gian này xấp xỉ 90 phút.

Tất cả các chi tiết vẫn chạy ổn định và các kỹ thuật trong một số bài báo trước đây đã giới thiệu vẫn hợp lệ. Tuy vậy, có một công nghệ xây dựng đính kèm - “built-in” khác bạn cần tìm hiểu thêm ở đây. Công nghệ này cho phép bạn điều khiển khoảng thời gian các thiết lập bảo mật trong GPO được làm mới mà không cần tới bất kỳ thay đổi nào đối với GPO. Sự thật là như vậy, bạn có thể có tất cả các thiết lập bảo mật tự động được áp dụng sau một khoảng thời gian X phút nào đó mà không cần thay đổi đến GPO. Giá trị của registry mà bạn cần thay đổi là MaxNoGPOListChangesInterval, xem trong hình 1.

Hình 1: Bạn có thể thay đổi khoảng thời gian làm mới các thiết lập bảo mật trong GPO

Bạn có thể tìm thiết lập này trong Registry dưới đây:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

Giá trị mặc định cho thiết lập này là 960 phút (hoặc 0x3c0 theo số hex).

Thiết lập này rất quan trọng vì nó cho phép quản trị viên bảo đảm rằng các thiết lập bảo mật đang tồn tại được có hiệu lực hay hết hiệu lực đối với người dùng mà không cần phải đợi đến chu kỳ mỗi lần làm mới. Giờ đây người dùng đã có một máy trạm an toàn mà không cần phải quan tâm đến sự ảnh hưởng bất lợi của các thiết lập bảo mật tồn tại trong mỗi chu kỳ 90 phút.

Lưu ý:

Có một số ảnh hưởng bất lợi trong việc thiết lập giá trị này quá thấp, đặc biệt nếu bạn đang sử dụng thiết lập này chung với các ảnh Sysprep. Hãy kiểm tra các thiết lập trước khi thực thi chúng vào sản phẩm.

Các thiết lập bảo mật trong Domain Controller

Có một số bài đã viết về đề tài này nhằm miêu tả cách Account Policies trong GPO ảnh hưởng tới bộ điều khiển miền và Security Accounts Manager (SAM) nội bộ trên các máy chủ và máy trạm trong miền như thế nào. Các thiết lập đó là duy nhất cho bộ điều khiển miền do bản chất của tất cả bộ điều khiển miền cần đồng bộ với một số thiết lập cho miền rộng.

Account Policies không chỉ là thiết lập ảnh hưởng đến các bộ điều khiển miền trường hợp này mà còn có một số thiết lập bảo mật khác chỉ có thể được áp dụng cho nút gốc của miền để gây ảnh hưởng lên các bộ điều khiển miền. Tiếp đó, các thiết lập này cần chức năng giống như vậy để tất cả các bộ điều khiển miền trong miền có một phía được đồng bộ và được hợp nhất khi trình diễn miền. Nếu máy trạm nào vào bộ điều khiển miền A và có thiết lập X và một máy trạm khác vào bộ điều khiển B với thiết lập Y thì có thể gây ra các hiệu quả xấu đáng kể trong toàn bộ công ty.

Các thiết lập được áp dụng cho tất cả bộ điều khiển miền thông qua GPO có liên kết đến miền:

• Account Policy
• Network Security: Force logoff when logon hours expire – Bắt đăng xuất khi thời hạn đăng nhập hết hạn
• Accounts: Administrator account status – Trạng thái tài khoản quản trị viên
• Accounts: Guest account status – Trạng thái tài khoản khách
• Accounts: Rename Administrator account – Thay đổi tên tài khoản quản trị viên
• Accounts: Rename guest account – Thay đổi tên tài khoản khách

Những điểm còn tồn tại của các thiết lập bảo mật

Hầu hết gần đây có rất nhiều hoạt động xung quanh các thiết lập Registry và File hệ thống trong GPO. Các thiết lập này nằm dưới nút Computer Configuration như trong hình 2.

Hình 2: Nút Registry và File System trong một GPO có thể điều khiển hầu hết các Registry Key hay File

Các thiết lập này trong GPO có thể kiểm soát sự cho phép Registry Key, file hay folder. Chúng có thể được cấu hình đơn giản và thực hiện những công việc rất hiệu quả. Mặc dù vậy, lý do cho việc bất lợi là chúng có thể làm mất nhiều thời gian khi áp dụng. Khi một máy tính khởi động các thiết lập này có thể mất đến vài chu kỳ để áp dụng, điều đó gây ra sự chậm trễ đáng kể đối với người dùng trên máy trạm của họ.

Nói chung các thiết lập này cần phải được sử dụng một cách tiết kiệm. Thay vì sử dụng các thiết lập đó, tốt nhất bạn nên cấu hình cho phép bảo mật này trong ảnh của máy trạm. Chỉ sử dụng các thiết lập chính sách này khi bạn không thể đặt các cho phép trong ảnh gốc hoặc bạn rơi vào tình huống có thể chỉ có một vài thiết lập đang tồn tại được phân phối thông qua Group Policy.

Mô tả bảo mật trong suốt quá trình chuyển đổi

Sử dụng GPMC, bạn có thể chuyển đổi được các GPO từ một miền này sang một miền khác. Đây là một khả năng rất hữu dụng và thường được thực hiện trong khi chuyển các đối tượng từ một miền test sang sản phẩm thực thụ, hoặc giữa hai miền của sản phẩm với nhau. Trong hầu hết các trường hợp, thiết lập có trong GPO là “trung tính”, nghĩa là chúng chỉ là một sự chuyển đổi tính năng giữa “On” và “Off”. Mặc dù vậy, khi nói đến các thiết lập bảo mật, không phải tất cả thiết lập đều đơn giản như vậy. Có rất nhiều thiết lập bảo mật dựa vào tài khoản người dùng hay tài khoản nhóm để hướng vào nơi mà chúng áp dụng. Các thiết lập đó yêu cầu đến sự quan tâm đặc biệt khi thực hiện chuyển đổi từ miền này sang miền khác. Bởi vì mỗi miền lại có các tài khoản nhóm và tài khoản người dùng riêng cần phải được thông dịch với nhau. Các thiết lập bị ảnh hưởng bao gồm:

• User rights assignment – Chỉ định quyền người dùng
• Restricted groups – Các nhóm bị hạn chế
• Services – Các dịch vụ
• File system - Hệ thống file
• Registry
• GPO DACL, nếu bạn chọn để duy trì trong quá trình copy.

Giải pháp cho vấn đề này là sử dụng bảng chuyển đổi Migration Tables trong GPMC như trong hình 3.

Hình 3: Các bảng thông dịch cho phép đối với các chuyển đổi GPO của miền

Kết luận

Không phải tất cả các thiết lập của GPO đều được tạo ra giống nhau như chúng ta đã được thấy. Khi nói đến các thiết lập bảo mật, thì đây quả thực là một trường hợp hoàn toàn cần phải lưu ý. Bạn cần phải xem xét kỹ hơn nữa và kiểm tra tất cả các thiết lập bảo mật trước khi đưa chúng vào sản phẩm. Một thực tiễn tốt nhất ở đây là các thiết lập bảo mật nên được áp dụng sau 16 giờ một lần, thậm chí không có sự thay đổi các thiết lập chính sách. Điều đó sẽ bảo đảm sự tin cậy và tính ổn định trong bảo mật các máy trạm và máy chủ của bạn. Với các bộ điều khiển miền, bạn cũng cần phải hiểu biết thấu đáo hơn về vị trí mà các thiết lập nằm và được áp dụng, các bộ điều khiển miền hoạt động khác nhau như thế nào trên hầu hết các máy tính. Cuối cùng, khi thiết lập các tài khoản người dùng và tài khoản nhóm, bạn phải thông dịch từ miền này sang một miền khác bằng các bảng Migration. Khi làm chủ được các thiết lập bảo mật này thì mạng của bạn sẽ trở nên rất an toàn và ổn định!

Theo Window Security
 

Những bài viết tương tự Các thiết lập bảo mật đặc biệt của Group Policy:
3 thiếu sót về bảo mật của Google+ | Những thao tác cơ bản để xóa bỏ phần mềm bảo mật giả mạo | Bảo mật Endpoint bằng Group Policy | Kiểm soát truy cập Wifi bằng Group Policy(p1) | Kiểm soát truy cập Wifi bằng Group Policy(p2) | Kiểm soát truy cập Wifi bằng Group Policy(p3) | Sử dụng Group Policy để tránh ConFlicker trong Windows | Top 5 thiết lập bảo mật trong Group Policy của Windows Server 2008 | Báo động tình trạng bảo mật server | Android và iOS bảo mật tốt hơn hệ điều hành PC