- Tổng quan về Group Policy
Trong bài lab này, tôi sẻ giới thiệu về Group Policy, các bạn sẻ biết được Group Policy làm được điều gì và có thể sử dụng trong môi trường workgroup và domain ra sao? Nếu hệ thống mạng của các bạn đang sử dụng là môi trường Active Directory thì các bạn chắc chắn cần phải sử dụng Group Policy, và điều quan trọng các bạn phải đưa ra được cấu trúc và nhu cầu thực sự đúng với tổ chức của các bạn để Group Policy hoạt động một cách hiệu quả. Vậy tại sao Group Policy lại đóng vai trò quan trọng đến như vậy? Xin thưa rằng, nhờ có các Policies, nguời quản trị mạng sẻ tối ưu được công việc của mình, giúp tiết kiệm thời gian và công sức trong việc quản trị. Các bạn cứ tưởng tượng, chỉ mỗi việc cài đặt thêm một phần mềm MS Office cho hệ thống mạng khoảng vài trăm máy, công việc tưởng chừng nhỏ nhặt này lại gây tốn tiền, công sức và thời gian cho người quản trị mạng, thay vào đó Group Policy lại giúp người quản trị thay vì tốn khá nhiều thời gian, thì người quản trị chỉ tốn khoảng vài phút để cài đặt toàn bộ phần mềm MS Office cho vài trăm máy khi triển khai Group Policy cho hệ thống. Ngoài ra, người quản trị mạng còn làm cho hệ thống mạng của mình được bảo mật hơn khi triển khai các Group Policy xuống hệ thống.
- Group Policy hoạt động như thế nào ?
Với Group Policy bạn có thể quản lý các thiết lập cùng lúc cho hàng ngàn users và máy tính thay vì phải đưa ra thiết lập cho từng user hoặc từng máy tính mà không cần phải đến tận nơi làm việc của các users đó. Để làm được điều này, chúng ta sẻ sử dụng một vài công cụ quản trị để thay đổi những thiết lập cho những giá trị đã có sẵn. Với Group Policy bạn có thể dễ dàng “enable” hoặc “disable” các policy để tối ưu hóa giá trị của registry hoặc những thiết lập khác, và thay đổi này sẻ tự động “apply” đến các máy tính trong OU (Organizational Unit) đó, và nếu bạn không muốn thực thi kết quả đó, bạn có thể khôi phục lại bằng cách thay đổi những thiết lập policy để trở về các thiết lập nguyên thủy của nó một cách dễ dàng và nhanh chóng
Trong Group Policy có 02 nhánh chính :
- Computer Configuration : Những thiết lập trong nhánh này sẻ ảnh hưởng đến toàn bộ máy tính (computer). Khi máy tính khởi động và thiết lập mạng được khởi tạo, những thiết lập computer policy và những thiết lập dựa vào registry sẻ được thực thi. Các thiết lập này sẻ được lưu tại đường dẫn : %AllUsserProfile%\Ntuser.pol
- User Configuration : Những thiết lập trong nhánh này sẻ ảnh hưởng đến các users ngồi trên máy tính đó. Khi user logon vào máy tính, những thiết lập user policy và những thiết lập dựa vào registry sẻ được thực thi. Các thiết lập này sẻ được lưu tại đường dẫn %AllUsserProfile%\Ntuser.pol
Khi apply, những thiết lập của group policy tự động giữ lại những thiết lập hiện có và thêm vào hoặc thay đổi ứng với các thiết lập mới do người quản trị đưa ra. Mặc định, Group Policy trên domain controller tự động refresh mỗi 5 phút một lần, còn đối với các workstation và các loại dịch vụ trên server sẻ tự động được refresh 90 – 120 phút một lần
- Sử dụng Group Policy trong môi trường Workgroup và Domain
Bạn có thể sử dụng Group Policy để quản lý những máy workstation sử dụng hệ điều hành windows 2000 và Windows XP Professional. Bên cạnh đó, bạn cũng có thể quản lý được những máy server sử dụng hệ điều hành windows 2000 và windows server 2003, nhưng các bạn lưu ý, đối với những hệ điều hành windows 95,windows 98, windows Me (Millennium Edition), XP Home Edition, bạn không thể sử dụng được Group Policy. Group Policy có thể sử dụng được cả trong 02 môi trường là Workgroup (Mạng ngang hàng) và Domain (Môi trường quản lý tập trung)
Trong môi trường domain, Active Directory, 02 thành phần quan trọng là Site và OU (Organizational Unit) :
Một Site đại diện cho kiến trúc vật lý của hệ thống mạng của bạn, nó là một nhóm các TCP/IP subnets được quản lý để thực hiện đồng bộ hóa dữ liệu, và quản lý các traffic giữa các chi nhánh lại với nhau, còn OU được sử dụng để nhóm các thành phần trong môi trường domain. OU là một đơn vị quản trị một cách hợp lý, nói đại diện cho cấu trúc của một tổ chức hoặc chức năng của một tổ chức
- Làm việc với các thành phần trong Group Policy
Trong quá trình các bạn quản trị hệ thống, một thành phần quan trọng các bạn cần nắm là GPO (Group Policy Object), GPO chứa những thiết lập được áp xuống bằng nhiều cách cho máy tính và users trong AD, Site hoặc OU, vì sự phức tạp của sự phân bố các thành phần trong AD nên những thiết lập từ bên trên sẻ thừa kế các thiết lập của các GPO ở cấp bên dưới nó.
Trong môi trường local (cục bộ), một subnet của Group Policy được gọi là Local Group Policy, Local Group Policy cho phép bạn quản lý những thiết lập cho tất cả các user bình thường hoặc các user thuộc nhóm admin khi logon cục bộ vào máy tính.
Đối với Local Group Policy, có một vài thứ bạn không thể thực hiện được trong môi trường local mà bắt buộc bạn phải thực hiện điều đó trong môi trường domain. Ở đây tôi ví dụ việc cài đặt một hay nhiều phần mềm cho các máy tính trong hệ thống mạng, bạn chỉ có thể cài đặt một cách tự động cho tất cả các máy trong môi trường domain mà thôi bằng cách thiết lập một GPO hoặc các GPO và cuối cùng là apply cho hệ thống mạng , vì trong môi trường local bạn phải đi trực tiếp đến từng máy tính và thực hiện một công việc lặp đi lặp lại một cách nhàm chán và tốn khá nhiều công sức và thời gian
- Những thiết lập và các thành phần trong Group Policy
Trong quá trình các bạn thiết lập một hay nhiều GPO, các bạn sẻ thấy có 03 option
- Enabled : Thiết lập của policy được bật, và các thiết lập đó sẻ được ative. Bạn enable một thiết lập policy để chắc rằng những thiết lập đó được enforced. Khi enable, một vài thiết lập policy cho phép bạn cấu hình thêm vài option con của thiết lập đó
- Disabled : Thiết lập policy bị tắt và tất cả những thiết lập không được apply, bạn disable mội policy để chắc rằng những thiêt lập policy đó sẻ không được enforced
- Not configured : Thiết lập policy sẻ không được sử dụng, không có bất kì policy nào được active và apply
- Ý nghĩa và chức năng của Group Policy trong việc quản trị:
Khi đăng nhập vào Group Policy, người quản trị sẻ có thể bối rồi vì quá nhiều nhánh cấu trúc của Group Policy, hiểu được những khó khăn đó, tôi sẻ liệt kê các nhánh và chức năng tương ứng của chúng:
- Computer and user scripts : Nhánh này dùng để cấu hình các script khi user logon hoặc logoff trên máy tính
- Folder redirection : Duy chuyển thư mục trên các máy client đến một thư mục được chia sẻ trên máy server để thuận tiện hơn trong việc quản lý (backup và restore)
- General computer security : Thiết lập bảo mật cho account, event log, cấm các group trên AD, những dịch vụ hệ thống, những thiết lập ảnh hưởng trong registry và file hệ thống.
- Local security policies : Thiết lập chính sách cho việc giám sát user, những thiết lập về quyền cho user
- Internet Explorer maintenance : cấu hình giao diện, chính sách bảo mật, các thiết lập proxy và nhiều thành phần khác cho trình duyệt web
- IP security : Thiết lập IP security cho clients, server và các thiết lập bảo mật cho server
- Public key security : Thiết lập các chính sách về public key trong quá trình mã hóa dữ liệu, các vấn đề liên quan đến Encrypting File System, enterprise trust và nhiều vấn đề khác
- Software installation : Thiết lập các chính sách cài đặt phần mềm tự động đến các máy tính cho clients trong hệ thống mạng
- Remote Installation Services : Thiết lập thêm các option trong quá trình triển khai cài đặt phần mềm tự động cho clietns
- Wireless networking (IEEE 802.11) : Thiết lập các chính sách liên quan đến mạng không dây cho access point, các clients trong hệ thống mạng không dây
- Software restriction : Thiết lập các chính sách cấm triển khai cài đặt các phần mềm một cách tự động
- Thừa hưởng trong Group Policy
Cấu trúc bao gồm 04 cấp căn bản sau đây : cấp trên cùng thuộc Local Group Policy , cấp thứ 2 thuộc về site, cấp thứ 3 thuộc về domain và cấp thứ 4 thuộc về OU. Mặc định khi ta thiết lập policy tai một cấp thì tấtcác object của cấp đó và tất cả các objects trong cấp dưới nó đều được thừa hưởng các thiết lập đó
Cách thừa hưởngcủa policy theo trình tự sau đây:
- Nếu các thiết lập của policy được thiết lập tại cấp site : nó sẻ ảnh hưởng đến tất cả users, computers được định nghĩa trong domain và các OU thuộc site đó.
Ví dụ: Site chính chứa 02 domain : mcsa.labmicrosoft.com và security.labmicrosoft.com thì tất cả những thiết lập cho site sẻ ảnh hưởng đến tất cả các objects trong cả 2 domain trên
- Nếu các thiết lập của policy được thiết lập tại cấp độ domain : nó sẻ ảnh hưởng đến tất cả users và computers trong Ous thuộc domain đó
Ví dụ : domain labmicrosoft.com có 02 OU là : MCSA và MCSE, thì khi thiết lập policy cho domain thì tất cả các users và computers thuộc 02 OU trên đều bị ảnh hưởng
- Nếu các thiết lập của policy được thiết lập tại cấp độ OU, thì nó chỉ ảnh hưởng đến tất cả users và computers thuộc về OU đó và các OU con của nó
- Đăng nhập vào Local Group Policy : tại đây tôi sẻ hướng dẫn các bạn nhiều cách để các bạn, vì 01 lí do nào đó, bạn không thể vào được cách này thì có thể vào bằng cách khác
- Start / Run / gpedit.msc
- Start / Run / cmd à dùng lệnh “gpedit.msc”
- Start / Programs / Command Prompt à dùng lệnh “gpedit.msc”
- Start / Run / mmc à Add-Remove Snap-in à Add à Group Policy Object Editor à Finish
- R.Click Desktop / New shortcut à Tại Type the location of the item bạn nhập vào “gpedit.msc” à Finish
- Vào C:\Windows\System32\Gpedit.msc
- Lưu những tinh thỉnh trong Group Policy :
- Start / Run --> gpupdate /force
- Tinh chỉnh chính sách về thiết lập password cho user
Các bạn vào đường dẫn như sau :
Hình 1
Tại đây các bạn sẻ có 06 thiết lập về password policy :
- Enforce Password history : Quy định số lần lưu password để có thể sử dụng lại giá trị password cũ
Hình 2
- Maximum Password age : Thời gian tồn tại của giá trị password khi thiết lập password cho user. Mặc định Microsoft đưa ra giá trị này là 42 ngày. Chúng ta có thể thiết lập lại giá trị này tùy theo tính chất và môi trường của hệ thống mạng của các bạn
Hình 3
- Minimum Password Age : Thời gian tối thiểu để có thể thay đổi password đang có
Hình 4
- Password must meet complexity requirement : Password phải yêu cầu có độ phức tạp. Password phức tạp thì những bài trước tôi đã định nghĩa rồi, nay tôi không định nghĩa lại
- nữa.Mặc định Microsoft thiết lập là “disable”, tức là không yêu cầu password không cần phải phức tạp, muốn hệ thống bảo mật hơn, để tránh hacker có thể đoán được giá trị password thì chúng ta nên “enable” nhé
Hình 5
- Store passwords using reversible encryption : Mã hóa password của user, windows sẻ mã hóa password của user theo thuật toán CHAP
Hình 6
- Thiết lập chính sách cho user : Account Lockout Policy
- Để tăng tính bảo mật cho hệ thống, để ngăn ngừa anh Tèo nào đó trong hệ thống tối ngày cứ thử đăng nhập vào một user nào đó mà anh Tèo ghét để phá chơi bằng cách lần lượt thử các giá trị password từ đơn giản đến phức tạp, và một ngày đẹp trời nào đó, anh Teo đó vô tình thử đúng giá trị password của người mà anh Tèo ghét. Các bạn có thể tưởng tượng điều gì sẻ xảy ra với user mà anh Tèo ghét nhĩ ?
- Để tránh những user như anh Tèo và những anh khác như anh Tèo trên, người quản trị hệ thống phải thiết lập lại chính sách cho user, tức là sẻ thiết lập lại số lần đăng nhập sai khi vào hệ thống, nếu anh đăng nhập sai số lần người IT quy định thì sẻ không cho anh đăng nhập nữa và sẻ khóa account của anh luôn, anh chỉ có thể đăng nhập vào hệ thống khi nhờ người quản trị bỏ thuộc tính bị khóa mà thôi, nào cùng thiết lập nhé,
- Các bạn vào đường dẫn như sau :
Hình 7
- Tại policy này chúng ta có 03 thiết lập như sau :
- Account lockout threshold : Tại đây chúng ta có thể thiết lập lại số lần cho phép user đăng nhập sai, nếu quá số lần này thì account sẻ bị khóa
Hình 8
Mặc định thời gian bị khóa của user và thời gian tự động bỏ chức năng lockout của user là 30 phút
- Account lockout duration : Thiết lập thời gian lock account
Hình 9
- Reset account lockout counter after : Thời gian tự động reset account bị khóa (lockout)
Hình 10
- Một vài các thiết lập giúp tăng tính năng bảo mật cho hệ thống
- Allow logon locally : Mặc định trong môi trường local, tất cả các local users đều có thể logon trên máy sử dụng hệ điều hành windows server, điều này làm tăng nguy cơ các client có cơ hội logon vào máy tính và thực hiện các hành động không mong muốn. Vì thế đối với policy này ta nên remove group “Usesrs” là tốt nhất
Hình 11
Hình 12
- Deny logon through Terminal Services Properties: Từ chối logon thông qua chức năng remote desktop. Để tăng tính bảo mật, chúng ta chỉ nên add group “administrators”
Hình 13
- Rename administrator account : Thay đổi tên của user administrator, để tránh những hacker có thể chứng thực bằng user mặc định là Administrator thì ta nên đổi lại tên của user này,
Ví dụ : QuanTri
Hình 14
- System cryptography : Use FIPS conpliant algorithms for encryption, hashing, and signing :
- Policy này giúp mã hóa hệ thống, sử dụng thuật toán mã hóa DES để mã hóa dữ liệu có định dạng NTFS, mặc định EFS sử dụng thuật toán mã hóa AES (Advanced Encrytion Standard) sử dụng 256 bit-key để mã hoátrong windows server 2003, và sử dụng thuật toán DESX trong windows XP để mã hóa dữ liệu.
- Ngoài ra, khi bật policy này, nó sẻ giúp mã hóa kết nối mạng khi chúng ta thực hiện remote desktop
Hình 15
- Thiết lập policy cho user :
Thông thường để thiết lập cho user, ta thường tinh chỉnh tại nhánh như hình bên dưới :
Hình 16
Tại nhánh này, chúng ta quan sát sẻ có những nhánh con bên dưới như :
- Windows Components
- Start Menu and Taskbar
- Desktop
- Control panel
- Shared Folders
- Network
- System
Để biết vào nhánh nào để thiết lập policy cho user, chúng ta cứ xem mục đích của tiết lập đó là gì? Và sẻ quyết định vào nhánh con nào để tìm.
Ví dụ nhé, mục đích của tôi là muốn ẩn icon Recycle Bin trên desktop của client chẳng hạn, thì chúng ta tự hỏi icon đó nằm ở đâu nhỉ ? A, nằm ngay trên desktop, chúng ta chỉ việc vào nhánh desktop, và tìm policy tương ứng để tinh chỉnh, hoặc tôi muốn ẩn “Run” trên start menu thì vào nhánh nào nhỉ? Có phải Run nằm tại Start menu and taskbar không? Câu trả lời là chính xác, hoặc vân vân và vân vân,
Những thiết lập policy cho user sao này, các bài lab sau tôi sẻ lần lượt hướng dẫn các bạn tinh chỉnh chi tiết các policy này,