Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn các vấn đề bảo mật có liên quan đến hai tài khoản người dùng được sử dụng bởi MDT: Một tài khoản được chỉ định t
Trang 1Triển khai Windows 7 – Phần 21: Bảo mật MDT (2)
Trong phần tiếp theo này, chúng tôi sẽ giới thiệu cho các bạn các bước tiếp theo để bảo mật môi trường triển khai MDT
Trang 2Mẹo: Bạn có thể tìm kiếm thêm thông tin về việc tự động triển khai LTI
trong Windows 7 Resource Kit của Microsoft
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn các vấn đề bảo mật có liên quan đến hai tài khoản người dùng được sử dụng bởi MDT:
Một tài khoản được chỉ định trong file Bootstrap.ini và được sử dụng bởi các máy tính mục tiêu để kết nối đến deployment share trên MDT server
Một tài khoản được chỉ định trong file CustomSettings.ini và được sử dụng bởi các máy tính mục tiêu để join vào miền khi hoàn tất cài đặt
Chúng tôi đã giới thiệu sơ qua rằng trong môi trường lab đơn giản, bạn hoàn toàn có thể sử dụng tài khoản Administrator mặc định cho miền với cả hai mục đích này Mặc dù vậy, với các lý do về bảo mật trong môi trường sản xuất, chắc chắn bạn sẽ muốn sử dụng các tài khoản riêng biệt cho mỗi một mục đích, tốt nhất là các tài khoản Domain Users thông thường thay vì các tài khoản Domain Admins Vì vậy những gì chúng tôi đã thực hiện trong
phần trước là tạo hai tài khoản Domain Users mới: mdt_build cho file
Bootstrap.ini và mdt_join cho file CustomSettings.ini Sau khi thực hiện,
chúng ta đã nâng cấp deployment share của mình vì file Bootstrap.ini đã
thay đổi, tiếp đó đã burn file kết quả LiteTouchPE_x64.iso vào CD Nếu
chúng ta khởi động các máy tính mục tiêu của mình bằng CD này thì MDT
sẽ triển khai Windows 7, tuy nhiên bất cứ tùy chỉnh nào được đưa vào cơ sở
dữ liệu MDT đều sẽ không được áp dụng và lỗi SQL Connection sẽ xuất hiện Vấn đề ở đây là tài khoản mới của chúng ta CONTOSO\mdt_build không được phép truy cập cơ sở dữ liệu MDT bằng Windows Integrated Security Chính vì vậy trong phần này chúng tôi sẽ giới thiệu cho các bạn
Trang 3cách giải quyết vấn đề SQL này và sẽ giới thiệu cách bảo vệ domain-join của bạn được an toàn
Cài đặt SQL Server Management Studio
Để thay đổi quyền truy cập vào cơ sở dữ liệu MDT trên máy chủ SQL của mình, chúng ta có thể sử dụng SQL Server Management Studio Trong loạt bài này, chúng ta đang sử dụng SQL Server 2008 Express Edition SP1 đã được cài đặt trên máy chủ MDT trong phần 15 Để thực hiện, chúng ta sẽ cài đặt Microsoft SQL Server 2008 Management Studio Express trên máy trạm quản trị viên đang chạy Windows 7 và sử dụng nó để cấp các quyền cần thiết cho tài khoản CONTOSO\mdt_build của mình Bạn có thể download Microsoft SQL Server 2008 Management Studio Express tại đây (đó là một phát hành miễn phí của Microsoft)
Bắt đầu bằng cách kích đúp vào file cài đặt
SQLManagementStudio_x64_ENU.exe đã download được, khi đó bạn sẽ thấy một hộp thoại cảnh báo xuất hiện và cần cài đặt Service Pack 1 (hình 1):
Trang 4Hình 1: Bước 1 trong quá trình cài đặt SQL Server 2008 Management
Studio Express
Kích Run Program để mở SQL Server Installation Center (hình 2):
Trang 5Hình 2: Bước 2 trong quá trình cài đặt SQL Server 2008 Management
Studio Express
Kích Installation ở bên trái để hiển thị các tùy chọn cài đặt (hình 3):
Trang 6Hình 3: Bước 3 trong quá trình cài đặt SQL Server 2008 Management
Studio Express
Kích tùy chọn đầu tiên trong trang này sẽ khởi chạy Setup Support Rules để thẩm định xem cài đặt có thể tiến hành hay không (hình 4):
Trang 7Hình 4: Bước 4 trong quá trình cài đặt SQL Server 2008 Management
Studio Express
Màn hình tiếp theo chỉ thị rằng không yêu cầu khóa sản phẩm trong quá trình cài đặt (hình 5):
Trang 8Hình 5: Bước 5 trong quá trình cài đặt SQL Server 2008 Management
Studio Express
Nhấn Next, sau đó kích Install Setup Support Rules sẽ được cài đặt (hình
6):
Trang 9Hình 6: Bước 6 trong quá trình cài đặt SQL Server 2008 Management
Studio Express
Trong trang Feature Selection, cần bảo đảm tùy chọn Management Studio – Basic được chọn (hình 7):
Trang 10Hình 7: Bước 7 trong quá trình cài đặt SQL Server 2008 Management
Studio Express
Tiếp tục thông qua các bước còn lại cho tới khi cài đặt hoàn tất (hình 8):
Trang 11Hình 8: Bước 8 trong quá trình cài đặt SQL Server 2008 Management
Studio Express
Download SQL Server 2008 Service Pack 1 và kích đúp vào file cài đặt SQLServer2008SP1-KB968369-x64-ENU để bắt đầu quá trình cài đặt Khi SQL Server Installation Center xuất hiện, kích vào tùy chọn đầu tiên, trang Welcome sẽ xuất hiện và Setup the Support Rules sẽ chạy (hình 9):
Trang 12
Hình 9: Cài đặt SQL Server 2008 Service Pack 1
Thực hiện quá trình cài đặt SP1 bằng cách chấp nhận tất cả các tùy chọn mặc định cho tới khi gói dịch vụ được cài đặt hoàn tất
Cấu hình quyền truy cập bằng SQL Server Management Studio
Chúng ta hãy sử dụng SQL Server Management Studio để cấu hình quyền truy cập cơ sở dữ liệu thích hợp cho tài khoản CONTOSO\mdt_build Bắt
đầu bằng cách khởi chạy SQL Server Management Studio từ menu Start
(hình 10):
Trang 13Hình 10: Khởi chạy SQL Server Management Studio
Khi hộp thoại Connect To Server xuất hiện, để phương pháp thẩm định (Authentication) là Windows Authentication (hình 11):
Trang 14Hình 11: Hộp thoại Connect To Server
Kích trường Server Name và kích Browse For More (hình 12):
Hình 12: Chọn tên máy chủ
Khi hộp thoại Browse For Servers hiển thị các máy chủ SQL Server có sẵn,
hãy chọn SQLEXPRESS nội bộ đã được cài đặt trên máy chủ MDT của bạn
(hình 13):
Trang 15Hình 13: Chọn SQLEXPRESS nội bộ
Kích OK để đóng hộp thoại Browse For Servers và trở về hộp thoại Connect
To Server Instance SQLEXPRESS sẽ được hiển thị với tư cách là tên của SQL Server (hình 14):
Hình 14: Instance SQLEXPRESS được chọn làm tên của SQL Server
Kích Connect sẽ làm cho SQL Server Management để kết nối với
SQLEXPRESS instance trên máy chủ MDT và mở giao diện điều khiển Microsoft SQL Server Management Studio (hình 15):
Trang 16Hình 15: Giao diện Microsoft SQL Server Management Studio
Trong giao diện điều khiển Management Studio, kích Security và kích phải vào Logins, chọn New Login (hình 16):
Trang 17Hình 16: Tạo đăng nhập mới cho SQL Server
Trong trang General của hộp thoại Login – New, kích Search và chọn tài
khoản CONTOSO\mdt_build từ Active Directory Khi thực hiện xong, tài khoản này sẽ được hiển thị trong trường Login Name của trang này Thêm vào đó, thay đổi thiết lập Default Database ở phía dưới trang từ master thành MDT Trang General của hộp thoại Login – New lúc này sẽ giống như
những gì thể hiện trong hình 17:
Trang 18Hình 17: Trang General sau khi các thiết lập được cấu hình
Không thực hiện bất cứ thay đổi nào trong trang Server Roles Trong trang User Mappings, chọn hộp kiểm cho MDT, sau đó kích nút Add và thêm CONTOSO\mdt_build vào với tư cách người dùng được bản đồ hóa cho đăng nhập này Sau đó chọn hộp kiểm cho db_datareader để gán role cơ sở
dữ liệu đã được sửa db_datareader cho tài khoản CONTOSO\mdt_build (hình 18):
Trang 19Hình 18: Gán role cơ sở dữ liệu đã sửa db_datareader cho MDT thành
CONTOSO\mdt_build
Do các thành viên của role cơ sở dữ liệu đã được sửa db_datareader có thể đọc tất cả các dữ liệu từ tất cả các bảng người dùng, hành động ở trên sẽ cho phép các máy tính mục tiêu của bạn có thể truy cập các tùy chỉnh trong cơ sở
dữ liệu MDT
Không tạo bất cứ thay đổi nào với hai trang còn lại (Securables và Status)
trong hộp thoại Login – New Kích OK để hiển thị đăng nhập mới mà bạn
đã tạo (hình 19):
Trang 20Hình 19: Tài khoản CONTOSO\mdt_build đã được phép truy cập vào cơ sở
dữ liệu MDT
Lúc này bạn có thể sử dụng cơ sở dữ liệu MDT lần nữa để triển khai
Windows 7 dưới kiểu dáng đã được tùy chỉnh đến các máy tính mục tiêu như được mô tả trong phần trước của loạt bài này
Mẹo: Nếu cần cho phép nhiều tài khoản người dùng truy cập vào cơ sở dữ
liệu MDT, bạn có thể tạo một nhóm bảo mật cho các tài khoản nào đó, sau
đó sử dụng thủ tục trên để gán role cơ sở dữ liệu đã được sửa db_datareader cho nhóm
Mẹo: Để có thêm thông tin về các role mức cơ sở dữ liệu của SQL Server,
bạn có thể tham khảo thêm tại đây
Trang 21Thực hiện Domain-Join an toàn
Chúng tôi sẽ kết thúc vấn đề bảo mật MDT bằng cách đề cập đến vấn đề của tài khoản mdt_join đã được chỉ định trong file CustomSettings.ini và được
sử dụng bởi MDT để join máy tính mục tiêu vào miền Nếu chúng ta để tài khoản này là một Domain User thông thường thì MDT sẽ vẫn có khả năng join máy tính mà nó cài đặt vào miền, tuy nhiên sau đó sẽ thất bại trong việc join các máy tính khác Điều này là vì, mặc định các tài khoản người dùng đều chịu sự nhận dạng Authenticated Users (chẳng hạn như mdt_join) sẽ có
quyền Add Workstations To A Domain (bổ sung máy trạm vào một miền), có
nghĩa tài khoản có thể tạo tới 10 tài khoản máy tính trong miền Chính vì vậy nếu chỉ triển khai 10 máy tính, bạn sẽ là người may mắn Còn nếu muốn thực hiện domain-join an toàn, bạn có thể chọn từ một trong những cách dưới đây:
Phương pháp 1: Biến tài khoản mdt_join của bạn trở thành thành viên của
nhóm quản trị miền Sau đó xóa dòng DomainAdminPassword =
<password> trong file CustomSettings.ini Kết quả thu được là cài đặt Lite
Touch sẽ không tự động hoàn tất và bạn phải thực hiện thêm một số công việc trên mỗi máy, nhập vào mật khẩu cho tài khoản mdt_join của mình khi được nhắc nhở (cần bảo đảm không có ai đứng sau bạn trong quá trình thao tác) Cách thức này tuy có phức tạp nhưng khá an toàn
Phương pháp 2: Biến tài khoản mdt_join của bạn trở thành thành viên của
nhóm quản trị miền, không tạo bất cứ thay đổi nào với file
CustomSettings.ini, bỏ qua các hệ quả bảo mật để các chứng chỉ ủy nhiệm domain-join được truyền tải dưới dạng văn bản trong sáng trên mạng (lưu tạm thời dưới dạng khó hiểu trên mỗi máy tính mục tiêu trong suốt quá trình cài đặt) Nếu chọn phương pháp này, có thể tốt cho triển khai của bạn trong
Trang 22một ngày cuối tuần hoặc một buổi tối khi không có ai xung quanh Tuy nhiên để tăng bảo mật, bạn cần thay đổi mật khẩu cho tài khoản mdt_join của mình ngay sau khi kết thúc triển khai Không được thay đổi mật khẩu trong Active Directory và file CustomSettings.ini
Phương pháp 3: Biến tài khoản mdt_join của bạn trở thành thành viên của
nhóm quản trị miền Bỏ qua toàn bộ phần domain-join (4 dòng) trong file CustomSettings.ini Trong Deployment Workbench, mở trang thuộc tính của
chuỗi nhiệm vụ mà bạn đang sử dụng, chọn tab OS Info, kích Edit
Unattend.xml để mở answer file mà MDT sử dụng cho việc triển khai
Windows bằng chuỗi nhiệm vụ này Mở thành phần UnattendedJoin và cấu hình các thiết lập cần thiết trong Identification và Credentials để join máy tính mục tiêu vào miền Mật khẩu mà bạn chỉ định cho tài khoản domain-join ở đây sẽ được làm khó hiểu nhưng không được
Microsoft-Windows-mã hóa, file unattend.xml sẽ được lưu trên máy tính mục tiêu trong quá trình triển khai, vì vậy phương pháp này tỏ ra không mấy an toàn cho triển khai của bạn
Phương pháp 4: Bỏ qua toàn bộ phần domain-join (4 dòng) trong file
CustomSettings.ini và triển khai các máy tính mục tiêu của bạn vào nhóm làm việc thay vì một miền Sau đó join các máy tính này vào miền bằng cách thực hiện thủ công với từng máy (nếu ban chỉ triển khai một số lượng hạn
chế các máy tính) hoặc bằng cách chạy một kịch bản netdom join qua sử
dụng Group Policy (nếu có rất nhiều máy cần triển khai), hay bằng một số phương pháp khác
Phương pháp 5: Cấp các điều khoản thích hợp cho tài khoản mdt_join để
tạo và nâng cấp các tài khoản máy tính trong Active Directory Phương pháp này cho phép bạn đặt tài khoản mdt_join là một tài khoản Domain Users
Trang 23thông thường, cho phép giải quyết các vấn đề bảo mật, tuy nhiên nó đòi hỏi phải cẩn thận trong thực thi Vắn tắt các bước mà bạn cần thực hiện được liệt dưới đây:
1 Mở giao diện quản lý Active Directory Users and Computers
2 Chọn menu View, sau đó chọn Advanced Features
3 Tạo một Organizational Unit (ví dụ như DeployedComputers) gồm có các tài khoản máy tính của các máy tính mới được triển khai (Bằng cách này bạn sẽ không phải thay đổi các điều khoản trên mục
Computers mặc định)
4 Mở trang thuộc tính của DeployedComputers OU và chọn tab
Security
5 Kích Advanced để mở hộp thoại Advanced Security Settings cho OU
6 Kích Add và bổ sung thêm một ACE cho tài khoản mdt_join vào
ACL cho OU này
7 Trong hộp thoại Permission Entry, gán các điều khoản Allow (với
scope được thiết lập là This Object And All Descendant Objects) như dưới đây:
· Tạo các đối tượng máy tính
· Xóa các đối tượng máy tính
8 Kích OK, sau đó kích Add lần nữa và bổ sung ACE thứ hai cho tài khoản mdt_join vừa được gán các điều khoản Allow (với scope được
thiết lập là Descendant Computer Objects) như dưới đây:
· Đọc tất cả các thuộc tính
· Ghi tất cả các thuộc tính
· Đọc các điều khoản
Trang 24· Ghi các điều khoản
· Thay đổi mật khẩu
· Thiết lập lại mật khẩu
· Hợp lệ hóa việc ghi đến DNS
· Hợp lệ hóa việc ghi đến dịch vụ
9 Kích OK để đóng tất cả các hộp thoại được mở
Tài khoản mdt_join của bạn lúc này sẽ có khả năng tạo các tài khoản máy tính mới và nâng cấp các tài khoản này khi cần dù mdt_join không phải là thành viên của nhóm quản trị miền Cuối cùng, để tự động hóa hoàn toàn domain-join bằng MDT, bạn sẽ cần phải thêm dòng dưới đây vào file
