MỘT SỐ CHÍNH SÁCH BẢO MẬT VỚI GROUP POLICY TRÊN WINDOWS SERVER 2008 Trong Microsoft Windows Server 2008 và Windows XP bạn có thể áp dụng Group Policy cho việc: a Cho phép người dùng chỉ
Trang 1ĐỀ TÀI
BẢO MẬT MẠNG VỚI GROUP POLICY VỚI
WINDOWS SERVER 2008
GV hướng dẫn: Dương Bảo Ninh
Thực hiện đề tài:
1 Lê Văn Trung Tín
2 Nguyễn Đan Thanh
3 Đỗ Minh Phụng
Trang 2NỘI DUNG
POLICY TRÊN WINDOWS SERVER 2008
Trang 31 GIỚI THIỆU ĐỀ TÀI
Ngày nay mạng Internet ngày càng được mở rộng và áp dụng rộng rãi trong nhiều lĩnh vực, đem lại nhiều hiệu quả to lớn cho người sử dụng Trong đó, vấn đề trao đổi thông tin liên lạc là cực kì quan trọng, đặc biệt với những tổ chức, công ty, doanh nghiệp có qui
mô lớn với nhiều bộ phận làm việc khác nhau và có trụ sở hoặc chinhánh đặt khắp nơi trên các vùng địa lí khác nhau Có rất nhiều giải pháp được đặt ra nhưng giải pháp nào là tối ưu nhất, vừa có độ an toàn và tính bảo mật thông tin cao, vừa có thể xử lý và lưu trữ tập trung trong khi hệ thống có rất nhiều người sử dụng và chia sẻ tài nguyên ở các mức độ khác nhau Giải pháp có thể là xây dựng mô hình Worgroup (peer-to-peer), mô hình này không
có máychủ quản lý, các máy trên mạng chia sẻ tài nguyên không phụ thuộc vào các máy kháctrên mạng, không có sự đăng nhập tập trung, nếu đã đăng nhập mạng bạn có thể sửdụng tất cả tài nguyên trên mạng Tuy nhiên, mạng ngang hàng chỉ có thể sử dụng cho các hệ thống nhỏ vì độ an toàn và bảo mật kém Ngoài ra, chúng ta có thể sử dụng mô hình lai (Hybrid), mô hình này có độ an toàn và bảo mật thông tin cao hơn mô hìnhWorgroup nhưng không có sự xử lý và lưu trữ tập trung mà chi phí lại cao
Mô hình Domain (client-server) là sự lựa chọn tốt nhất vì nó có độ an toàn và bảo mật thông tin cao nhất, xử lý và lưu trữ tập trung, chi phí cài đặt vừa phải Hiện nay,hầu hết các tổ chức, công ty, doanh nghiệp đều sử dụng mô hình mạng này Trong mô hình này, có một hoặc một vài máy server làm máy chủ (Domain Controler) và nhiều máytrạm (client) kết nối vào máy chủ, nhận quyền truy cập mạng và tài nguyên mạng từ máy chủ Tất cả thông tin về người dùng đều được quản lý bằng dịch vụ Active Directory và được lưu trữ trên Domain Controller Trong đó, Group Policy Object(GPO) là một thành phần quan trọng trong hệ quản trị của Windows Nó giúp người quản trị có thể đưa ra nhựng chính sách bảo
vệ, giới hạn tầm họat động của người sử dụng theo một khuôn phép nhất định Hầu hết những thay đổi trên Windows như desktop, control panel, Internet Explorer… đều lưu lại trên registry Nhưng registry lại quá phức tạp và nguy hiểm do đó hệ điều hành đưa ra một
hệ thống Policy nhằm đơn giản hóa vấn đề thay đổi và bảo mật Đây là một công cụ mạnh
mẽ để quản lý trong hệ thống mạng được xây dựng theo mô hình Domain Dựa trên những chức năng và ý nghĩa thực tiễn nêu trên mà nhóm đã chọn đề tài “Bảo Mật Mạng Với Group Policy Với Window Server 2008” Để tìm hiểu chi tiết hơn về công cụ này mời các bạn đi vào phần nội dung của đề tài
Trang 42 GIỚI THIỆU GROUP POLICY
Group Policy Object(GPO) là chính sách mạng Nó giúp người quản trị quản trị hệ thống mạng tối ưu nhất và mọi chính sách được đảm bảo thực thi
Triển khai phần mềm ứng dụng
Gán quyền hệ thống cho người dùng
Giới hạn những ứng dụng cho người dùng được phép thi hành
Kiểm soát các thiết lập hệ thống
Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy
Đơn giản hóa và hạn chế các chương trình
Hạn chế tổng quát màn hình Desktop của người dùng
AD
Domain Group Policy: trong hệ thống Windows Server thì GPO hoạt động theo mô hình client/server Do đó người quản trị sẽ thao tác GPO trên máy chủ để áp đặt những thay đổi cần thiết cho máy con khi máy con đăng nhập vào hệ thống
Local Group Policy: trên mỗi Win2000/WinXP/WinServer2003 cũng có một bộ chính sách nhóm tại chỗ (local group policy), sẽ được áp dụng khi máy đó không tham gia vào miền AD nào cả (tức khi nó tham gia vào một workgroup họăc khi nó được dùng độc lập) Các máy Windows Home thì không có local group policy
Group Policy có 2 thành phần chính là Computer Configuration và user configuration
Computer Configuration: các thay đổi trong phần này sẽ áp dụng cho tòan
bộ người dùng trên máy
User configuration: giúp chúng ta cấu hình cho tài khoản đang sử dụng Các thành phần có khác đôi chút nhưng việc sử dụng và cấu hình cũng tương tự như trên
Trang 53 MỘT SỐ CHÍNH SÁCH BẢO MẬT VỚI GROUP POLICY TRÊN WINDOWS SERVER 2008
Trong Microsoft Windows Server 2008 và Windows XP bạn có thể áp dụng Group Policy cho việc:
a) Cho phép người dùng chỉ cài đặt các thiết bị đã cho phép
Trong kịch bản này, bạn thêm một danh sách các thiết bị được cho phép vào chính sách và gồm có ID phần cứng cho ổ nhớ USB
Mức ưu tiên của việc cho phép người dùng chỉ cài đặt các thiết bị đã được phép
Để thực hiện nhiệm vụ này, bạn phải thực hiện được tất cả các bước ngăn chặn cài đặt tất cả thiết bị
Các bước cho phép người dùng cài đặt các thiết bị được phép
Trong phần này, bạn thêm các thiết bị được cho phép vào hạn chế được áp đặt trong phần trước bằng các tạo một danh sách các thiết bị được phép cài đặt
Bước 1: Tạo một danh sách các thiết bị được phép cài đặt
Tạo một danh sách cách thiết bị được cho phép cài đặt
1 Đăng nhập vào máy tính như DMI-Client1\TestAdmin
2 Nếu thiết bị của bạn hiện thời đã được cài đặt, hãy gỡ bỏ cài đặt nó
3 Để mở Group Policy Object Editor, kích nút Start, đánh mmc gpedit.msc trong hộp Start Search, sau đó nhấn ENTER
4 Trong cửa sổ Group Policy Object Editor, kích đúp Computer Configuration để
mở nó Sau đó mở Administrative Templates > System > Device Installation> Device
Installation Restrictions
5 Trong cửa sổ chi tiết, kích chuột phải vào Allow installation of devices that
match any of these device IDs, sau đó kích Properties
Hộp thoại chính sách xuất hiện với các thiết lập hiện tại của nó
6 Trên tab Setting, kích Enabled để bật chính sách này
Trang 67 Kích Show để xem danh sách các thiết bị được cho phép trong hộp thoại Show
Contents Mặc định, danh sách này là chưa có gì
8 Kích Add để mở hộp thoại Add Item
9 Nhập vào ID thiết bị (ID phần cứng thiết bị trước) cho thiết bị của bạn
10 Kích OK để quay trở về hộp thoại Show Contents
Thiết bị của bạn bây giờ xuất hiện trong danh sách
Trang 711 Kích OK để quay trở về hộp thoại chính sách
12 Kích OK để lưu thiết lập chính sách mới của bạn
Bước 2: Kiểm tra danh sách các thiết bị được cho phép
Với thiết lập chính sách vừa cho phép, bạn có thể áp dụng nó cho máy tính và thử cài đặt thiết bị
Kiểm tra danh sách các thiết bị được cho phép:
1 Kích nút Start, đánh gpupdate /force trong hộp Start Search, sau đó nhấn
ENTER
2 Khi lệnh “gpudate” được thực hiện, log off máy tính, sau đó đăng nhập vào như
DMI-Client1\TestUser
3 Để mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start
Search, sau đó nhấn ENTER
Thông báo dưới đây sẽ xuất hiện, thông báo này chỉ thị rằng bạn không có quyền thực hiện bất cứ thay đổi nào trong Device Manager
4 Kích OK để đóng thông báo này.Device Manager bắt đầu và bạn có thể xem được
các thiết bị trong máy tính
5 Cắm USB của bạn vào Thiết bị xuất hiện trong Device Manager nằm trong nút
Other devices cho tới khi Windows hoàn thành xong việc cài đặt
Trang 86 Sau khi Windows hoàn tất việc cài đặt, thiết bị chuyển sang nút Disk Drives trong
Device Manager và có các chức năng đầy đủ
b) Ngăn chặn người dùng cài đặt các thiết bị trong danh sách “ngăn cấm” Nếu một thiết bị nào đó không có trong danh sách thì người dùng có thể cài đặt
Kịch bản này giới thiệu cho bạn một cách kiểm soát khác về việc cài đặt thiết
bị Trong phần trước, bạn đã ngăn chặn cài đặt cho tất cả ngoại trừ các thiết bị được cho phép trong một danh sách thiết bị được cài đặt Trong kịch bản này, bạn sẽ cho phép cài đặt tất cả các thiết bị ngoại trừ thiết bị có trong danh sách bị hạn chế Bạn cũng gỡ bỏ sự ngoại trừ cho quản trị viên đã tạo trong kịch bản trước để làm cho quản trị viên có thể cũng bị ảnh hưởng bởi chính sách
Điều kiện quyết định cho việc ngăn chặn cài đặt các thiết bị muốn ngăn cấm
Trang 9Nếu bạn đã thực hiện các bước “Ngăn chặn cài đặt tất cả các thiết bị” và
“Cho phép người dùng chỉ cài đặt được các thiết bị cho phép” trong các phần trước,
bạn phải vô hiệu hóa các chính sách này bằng sử dụng các bước dưới đây:
Kích hoạt cài đặt đối với tất cả các thiết bị
1 Đăng nhập vào máy tính với quyền GroupPolicy\Admin
2 Để mở Group Policy Object Editor, kích nút Start, đánh mmc gpedit.msc trong hộp Start Search, sau đó nhấn ENTER
3 Trong cửa sổ Group Policy Object Editor, kích đúp vào Computer
Configuration để mở nó Sau đó mở Administrative Templates > System > Device Installation > Device Installation Restrictions
4 Trong cửa sổ chi tiết, kích chuột phải vào nút Prevent installation of devices
not described by other policy settings, sau đó kích Properties
Hộp thoại chính sách xuất hiện với các thiết lập hiện hành của nó
5 Kích Disabled để tắt bỏ thiết lập chính sách
6 Kích OK đề lưu thiết lập của bạn và quay trở về Group Policy Object Editor
Bước tiếp theo là gỡ bỏ chính sách đã đồng ý loại trừ các thành viên trong nhóm quản trị viên
Gỡ bỏ ngoại lệ cho quản trị viên đối với các hạn chế của Group Policy
1 Trong Group Policy Object Editor, kích chuột phải vào Allow administrators
to override device installation policy, sau đó chọn Properties
2 Hộp thoại chính sách xuất hiện với các thiết lập hiện hành của nó
3 Trên tab Setting, kích Disabled để tắt thiết lập chính sách
4 Kích OK để lưu thiết lập của bạn và quay trở về Group Policy Object Editor
5 Các bước tiếp theo là gỡ bỏ ID phần cứng từ danh sách các thiết bị được phép cài đặt mà bạn đã tạo trong kịch bản thứ hai
Gỡ bỏ ID phần cứng trong danh sách các thiết bị được phép
that match any of these device IDs, sau đó chọn Properties
Hộp thoại chính sách xuất hiện với các thiết lập hiện hành
2 Trong tab Setting, kích Show để xem danh sách các thiết bị được cài đặt
3 Trong hộp thoại Show Contents, chọn tên của phần cài đặt USB sau đó nhấn Remove
Trang 10Windows sẽ gỡ thiết bị của bạn ra khỏi danh sách
4 Kích OK để đóng hộp thoại Show Contents và trở về hộp thoại chính sách
Bước 1: Tạo một danh sách các thiết bị muốn ngăn cấm
Tạo một danh sách các thiết bị muốn ngăn cấm
1 Nếu thiết bị của bạn hiện đã được cài đăt, hãy gỡ bỏ cài đặt của nó
2 Đăng nhập vào máy tính với quyền GroupPolicy\Admin
3 Vào Group Policy Object Editor bằng cách kích nút the Start, đánh mmc
gpedit.msc trong hộp Start Search, sau đó nhấn ENTER
4 Trong giao diện hình cây, kích đúp vào Computer Configuration để mở nó Sau đó mở Administrative Templates > System > Device Installation > Device
Installation Restrictions
5 Trong cửa sổ chi tiết, kích chuột phải vào Prevent installation of devices
that match these device IDs, sau đó nhấn Properties
Hộp thoại chính sách sẽ xuất hiện các thiết lập hiện hành của nó
6 Trong tab Setting, nhấn Enabled để bật chính sách này
Trang 117 Kích vào Show để xem danh sách các thiết bị được ngăn chặn
8 Trong hộp thoại Show Contents, kích Add
9 Trong hộp thoại Add Item, đánh ID thiết bị (ID thiết bị đầu tiên) mà bạn tìm
thấy cho thiết bị của bạn
10 Kích OK để quay trở về hộp thoại Show Contents
Thiết bị của bạn bây giờ xuất hiện trong danh sách
11 Kích OK để quay trở về hộp thoại chính sách
12 Kích OK để lưu thiết lập chính sách mới
Bước 2: Kiểm tra danh sách các thiết bị muốn ngăn cấm
Giờ bạn hãy thử cài đặt thiết bị Bạn có thể cài đặt các thiết bị khác mà chính sách ngăn chặn không tác động tới, nhưng không thể cài đặt một số thiết bị đặc biệt thậm chí cả khi bạn đăng nhập với quyền thành viên của nhóm quản trị
Kiểm tra danh sách các thiết bị muốn ngăn cấm
1 Kích nút Start, đánh gpupdate /force trong Start Search, sau đó nhấn
ENTER
2 Khi lệnh “gpudate” được thực hiện xong, đóng cửa sổ lệnh
Trang 123 Để mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search, sau đó nhấn ENTER
4 Cắm USB của bạn vào
Thiết bị xuất hiện trong Device Manager dưới nút Other devices
Sự cài đặt không được hoàn tất, và thiết bị của bạn không hoạt động
5 Windows hiển thị một thông báo để đưa ra lý do tại sao sự cài đặt bị hỏng:
6 Bạn có thể cố gắng vượt qua sự hạn chế theo cách cài đặt thủ công cho thiết
bị: kích chuột phải vào thiết bị, sau đó nhấn Update Driver Software
7 Bạn phải cung cấp cho hệ điều hành bộ cài cho thiết bị
Trang 138 Để mô phỏng những gì người dùng có thể thực hiện, bạn kích vào Search
automatically for updated driver software
Một thông báo sẽ xuất hiện thông báo rằng Windows không thể cài đặt bộ cài này Đoạn cuối của thông báo giải thích lý do tại sao không được cài đặt bì nó bị cấm bởi chính sách mà bạn đã tạo
9 Kích Close
c) Chính sách thay đổi password
với tên Thay đổi password
\ Windows Settings \ Security Settings \ Account Policies \Password Policy
Enforce password history: bắt buộc một mật khẩu mới không được giống bất
kỳ một số mật khẩu nào đó do ta quyết định
Maximum password age: Thời gian tối đa mật khẩu còn hiệu lực, sau thời gian này hệ thống sẽ yêu cầu thay đổi mật khẩu
Trang 14 Minimum password age: xác định thời gian tối thiểu trước khi có thể thay đổi mật khẩu
Minimum password length: độ dài tối thiểu cuả mật khẩu tài khoản
Password must meet complexity requirements: quyết định độ phức tạp của mật khẩu
Store password using reversible encryption for all users in the domain: lưu trữ mật khẩu sử dụng mã hóa ngược cho tất cả các người sử dụng domain
d) Cấm user truy cập vào ổ đĩa C- D trên máy client
với tên Cấm truy cập đĩa C- D
Templates \ Windows Components \ Windows Explorer
e) Cấm thay đổi nền Desktop
với tên Cấm thay đổi hình nền Desktop
Templates \ Desktop \ Active Desktop
Wallpaper Name
Trang 15 Chọn tiếp kiểu hiển thị hình ảnh trong Wallpaper Style: Center, Stretch, Tile tùy ý
f) Cấm chat Yahoo trên máy client
với tên Cấm chát Yahoo
Administrative Templates > System > double click vào Don't run specified Windows Applications
Enable > Show
chặn(YahooMessenger.exe) vào cửa sổ Add Item
gpupdate /force
g) Cấm sử dụng Internet Explorer trên máy client
với tên Cấm Internet Explorer
Administrative Templates > System > double click vào Don't run specified Windows Applications
Enable > Show
chặn(Internet Explorer.exe) vào cửa sổ Add Item
Trang 16 Chọn OK > OK > OK
gpupdate /force
h) Cấm user cài đặt hay gỡ bỏ phần mềm
vào OU đó
Policy nhấn vào New để tạo ra một GPO mới với tên Prohibit User Installers sau đó click vào GPO vừa tạo chọn Edit
Components -> Windows Installer
i) Cấm registry
nhấn vào New để tạo ra một GPO mới với tên Prevent Access egistry sau đó click vào GPO vừa tạo chọn Edit
Sau đó chọn Users Configuration -> Administrative Templates -> System
Double click chọn : Prevent access to registry editing tools
Chọn Enable -> Yes -> OK
j) Cấm truy cập folder option trên client
với tên Cấm truy cập Folder Option