GPO, Cấu hình Central Store, Sử dụng Group Policy Management Console, Tạo và gắn nonlocal GPO, Chức năng lọc trong GPO, Starter GPO, Cấu hình nhóm chính sách, Tạo các local GPO, Cấu hình chính sách bảo mật, Chính sách cục bộ, Chính sách theo dõi người dùng, Thiết lập quyền hạn của người dùng, Các cấu hình bảo mật khác, Thiết lập mẫu
Trang 1Quản lý Group Policy
Server 2012 R2
Lê Gia Công
Trang 2Nội dung
Chương 6 Tạo và quản lý các nhóm chính sách 4
Tạo GPO 4
6.1 GPO 4
Cấu hình Central Store 5
Sử dụng Group Policy Management Console 6
Tạo và gắn nonlocal GPO 6
Chức năng lọc trong GPO 7
Starter GPO 8
Cấu hình nhóm chính sách 8
Tạo các local GPO 9
Tóm tắt nội dung 11
Câu hỏi ôn tập 12
Cấu hình chính sách bảo mật 13
6.2 Chính sách cục bộ 13
Chính sách theo dõi người dùng 13
Thiết lập quyền hạn của người dùng 16
Các cấu hình bảo mật khác 16
Thiết lập mẫu 17
Tạo và sử dụng mẫu 17
Người dùng và nhóm người dùng cục bộ 19
Cơ chế kiểm soát tài khoản người dùng (UAC) 21
Chế độ secure desktop 22
Cấu hình UAC 23
Tóm tắt nội dung 23
Câu hỏi ôn tập 24
6.3 Chính sách hạn chế phần mềm ứng dụng 25
Cấu hình Software Restriction Policies 25
Cấu hình các luật hạn chế phần mềm 27
Trang 3Cấu hình cho Software Restriction Policies 29
Sử dụng AppLocker 31
Tóm tắt nội dung 33
Câu hỏi ôn tập 33
6.4 Cấu hình Windows Firewall 34
Windows Firewall 35
Làm việc với Windows Firewall 35
Cửa sổ Windows Firewall With Advanced Security 39
Tóm tắt nội dung 43
Câu hỏi ôn tập 43
Trang 4Chương 6 Tạo và quản lý các nhóm chính sách
Nhóm chính sách (group policy) hay chính sách hệ thống là các thiết lập cho hệ điều hành Windows, nhằm kiểm soát hoạt động của hệ thống máy tính Nhóm chính sách gồm các chính sách cho người dùng và cho máy tính
Đối với máy tính, các chính sách sẽ được thiết lập khi khởi động (startup) và khi tắt máy (shutdown) Đối với người dùng, các chính sách sẽ được thiết lập khi đăng nhập (logon) và khi thoát ra (logoff) Bạn có thể tạo ra một hoặc nhiều nhóm chính sách, mỗi nhóm chính sách được chứa trong một đối tượng gọi là GPO (group policy object)
Để áp dụng nhóm chính sách lên một thùng chứa (domain, site, hoặc OU) trong AD DS, bạn thực hiện gắn GPO vào (link) thùng chứa Khi đó, mọi đối tượng trong thùng chứa đều bị tác động bởi GPO Một GPO có thể áp dụng cho nhiều thùng chứa Một thùng chứa cho phép gắn nhiều GPO
Các nội dung sẽ được đề cập trong chương này:
Dễ dàng quản lý các chính sách liên quan đến người dùng, ứng dụng, và màn hình desktop
Quản lý dữ liệu của người dùng hiệu quả
Cấu hình quản lý các máy client nhanh chóng và tự động
Các nội dung sẽ được đề cập trong phần này:
Cấu hình Central Store
Tạo và quản lý GPO
Trang 5Có ba loại GPO: local GPO, nonlocal GPO và starter GPO
Local GPO (LGPO)
Mọi hệ điều hành Windows đều có hỗ trợ local GPO Các bản windows từ phiên bản Windows Server
2008 R2 và Windows Vista trở đi, có hỗ trợ nhiều local GPO Do vậy, bạn có thể thiết lập GPO riêng biệt cho tài khoản administrator và các GPO khác cho người dùng còn lại Điều này rất hữu ích trong trường hợp máy tính có nhiều người dùng chung, nhưng không thiết lập hệ thống AD DS Đối với các bản Windows cũ hơn, bạn chỉ có thể tạo được một local GPO, và local GPO này sẽ được áp dụng lên tất cả người dùng
Local GPO có một số hạn chế so với domain GPO Cụ thể, local GPO không hỗ trợ việc chuyển hướng thư mục (folder redirection), không hỗ trợ cài đặt phần mềm, ít các thiết lập liên quan đến bảo mật Nếu các thiết lập giữa local GPO và nonlocal GPO có xung đột, thì các thiết lập của nonlocal GPO sẽ được ưu tiên hơn
Nonlocal GPO
Nonlocal GPO là các GPO được tạo ra ở AD DS, được gắn tới site, domain và OU (tạm gọi là thùng chứa) Sau khi được gắn tới các thùng chứa, các thiết lập của GPO sẽ tác động lên tất cả người dùng và máy tính có trong thùng chứa
Starter GPO
Starter GPO là GPO chuẩn, trong đó có chứa các thiết lập cơ bản, cần thiết đối với một domain GPO (các nonlocal GPO nhưng không phải là Starter GPO?!) Starter GPO được giới thiệu từ bản Windows Server 2008 Khi bạn tạo GPO mới dựa trên starter GPO, các thiết lập của starter GPO sẽ được chép sang GPO mới
Cấu hình Central Store
Trong các phiên bản Windows cũ, nội dung của GPO được chứa trong các tập tin dạng ADM based administrative template) Từ Windows Server 2008 và Windows Vista, nội dung của GPO được chứa trong tập tin dạng ADMX (XML-based file format)
(token-Các thiết lập của GPO thường được tổ chức dưới dạng các mẫu (administrative template) Mẫu là một tập tin, trong đó chứa các thiết lập của GPO, các thiết lập sẽ làm thay đổi nội dung của registry
Trong các phiên bản Windows cũ, mỗi khi GPO được tạo ra, nội dung của GPO được chứa trong tập tin dạng ADM, hệ thống sẽ chép một bản của tập tin dạng ADM vào thư mục SYSVOL trên máy domain controller
Đối với hệ thống AD DS lớn, cần có rất nhiều GPO, mỗi tập tin của GPO có kích thước chuẩn là 4
MB Điều này sẽ làm cho thư mục SYSVOL bị phình lớn, với rất nhiều thông tin dư thừa Thông tin trong SYSVOL lại được nhân bản tới tất cả các domain controller trong domain Đây là một hạn chế cần phải khắc phục
Để giải quyết vấn đề này, nội dung của GPO sẽ được lưu trong tập tin dạng ADMX, sau đó lưu tập tin ADMX vào Central Store Mỗi domain controller có một Central Store Để sử dụng Central Store, bạn phải chép thư mục chứa chính sách tới thư mục SYSVOL
Mặc định, chương trình Group Policy Management Console (GPMC) lưu các tập tin ADMX trong thư mục \%systemroot%\PolicyDefinitions, cụ thể với hầu hết các máy sẽ là:
C:\Windows\PolicyDefinitions Để tạo Central Store, bạn phải chép toàn bộ nội dung của
Trang 6PolicyDefinitions tới domain controller tại vị trí %systemroot%\SYSVOL\sysvol\<domain
name>\Policies, hoặc theo dạng tên quy ước là: \\<domain name>\SYSVOL\<domain name>\Policies
Sử dụng Group Policy Management Console
Group Policy Management Console (GPMC) là một công cụ trong bộ MMC (Microsoft Management Console) GPMC được sử dụng để tạo, quản lý và sử dụng các GPO Để mở và biên tập một GPO, bạn
sử dụng công cụ Group Policy Management Editor
Bạn có thể tạo GPO trước, sau đó gắn GPO tới domain, site, hoặc OU Hoặc bạn cũng có thể thực hiện hai việc trên cùng một lúc
Trong Windows Server 2012 R2, các công cụ làm việc với GPO được cài đặt tự động cùng với AD
DS Tuy nhiên, nếu máy tính chưa có, bạn vẫn có thể thực hiện cài đặt các công cụ làm việc với GPO riêng biệt bằng Add Roles And Features Wizard trong Server Manager Các công cụ làm việc với GPO cũng có trong gói Remote Server Administration Tools
Tạo và gắn nonlocal GPO
Nếu bạn muốn để nguyên tất cả các GPO do Windows tạo ra, nhằm giữ nguyên sự ổn định của hệ thống, thì bạn nên tạo mới các GPO, sau đó gắn các GPO này tới các thùng chứa mà bạn quan tâm trong AD DS
Sau đây là các bước thực hiện:
1 Mở Active Directory Administrative Center, trong AD DS tạo một OU có tên là KinhDoanh
2 Mở Server Manager, chọn trình đơn Tools, chọn Group Policy Management để mở cửa sổ Group Policy Management Xem hình minh họa
3 Xổ nút Forest\Domain, chọn nút Group Policy Objects Tất cả các GPO hiện có của domain sẽ xuất hiện trong cửa sổ Group Policy Objects
4 Để tạo GPO mới, bấm chuột phải vào Group Policy Objects, chọn New để mở cửa sổ New GPO
Trang 75 Nhập tên cho GPO trong mục Name, bấm OK GPO vừa được tạo sẽ xuất hiện trong cửa sổ bên phải
6 Ở cửa sổ bên trái, bấm chuột phải vào domain, site hoặc OU để gắn GPO, chọn Link An Existing GPO để mở cửa sổ Select GPO
7 Chọn GPO vừa tạo (hoặc bất kì GPO nào bạn muốn) để gắn vào đối tượng, bấm OK GPO sẽ xuất hiện trong cửa sổ bên phải, trong táp Link Group Objects Xem hình minh họa
8 Đóng cửa sổ Group Policy Management Console
Bạn có thể tạo và gắn GPO tới AD DS cùng lúc bằng cách bấm chuột phải vào domain, site hoặc OU, chọn mục Create A GPO In This Domain And Link It Here
GPO có tính kế thừa, nghĩa là nếu bạn gắn GPO tới một thùng chứa của AD DS, các chính sách của GPO sẽ được áp đặt lên tất cả các thành phần bên trong của thùng chứa
Chức năng lọc trong GPO
Thực chất, sau khi gắn GPO tới một thùng chứa, mọi người dùng và máy tính trong thùng chứa sẽ có quyền đọc (read) và áp dụng (apply) các nội dung có trong GPO
Nhóm Authenticated Users là nhóm có thành viên là toàn bộ người dùng và máy tính đã vượt qua được bước chứng thực khi đăng nhập vào domain Khi GPO áp dụng trên các thùng chứa, nó sẽ áp dụng lên toàn bộ các đối tượng vừa thuộc Authenticated Users và vừa thuộc thùng chứa Như vậy, bằng cách gán quyền trên GPO cho người dùng và máy tính cụ thể, bạn có thể thực hiện áp dụng GPO một cách linh hoạt hơn
Để lựa chọn người dùng hoặc máy tính chịu sự tác động của GPO, tại cửa sổ Group Policy
Management Console, bạn chọn GPO ở khung bên trái, trong phần Security Filtering, sử dụng hai nút Add và Remove để thay thế nhóm Authenticated Users bằng các đối tượng khác chịu sự tác động của
Trang 8GPO Khi đó, chỉ có người dùng, máy tính nằm trong thùng chứa và có trong phần Security Filtering mới nhận được các thiết lập của GPO Xem hình minh họa
Starter GPO
Starter GPO là GPO chuẩn, bao gồm các thiết lập cơ bản Bạn sẽ sử dụng starter GPO để tạo ra các GPO với cùng các thiết lập cơ bản Việc tạo và cấu hình starter GPO cũng giống như các GPO thông thường
Để tạo starter GPO, bạn bấm chuột phải vào mục Starter GPO, chọn New, nhập tên cho starter GPO, bấm OK để tạo Sau khi tạo xong, bạn mở starter GPO bằng Group Policy Management Editor để cấu hình
Chú ý: khi bạn mở mục Starter GPO lần đầu, bạn sẽ được hệ thống nhắc tạo thư mục để chứa các starter GPO Bạn bấm vào nút hướng dẫn để tạo
Sau khi tạo và cấu hình, bạn có thể sử dụng starter GPO làm nền tảng để tạo các GPO mới Để thực hiện, bấm chuột phải vào starter GPO, chọn New GPO From Starter GPO Hoặc bạn có thể tạo GPO mới theo cách thông thường, sau đó, trong mục Source Starter GPO, bạn chỉ định starter GPO cho GPO sắp được tạo Lệnh New-GPO trong Windows PowerShell cũng hỗ trợ việc tạo GPO từ starter GPO Sau khi tạo GPO, bạn sẽ tiếp tục thực hiện thêm các cấu hình khác kết hợp với các cấu hình sẵn
Trang 9 User Configuration: các cấu hình tại đây sẽ áp dụng trên người dùng
Computer Configuration và User Configuration cũng là tên của hai nút trong cấu trúc cây GPO
Các thiết lập của GPO có thể áp dụng trên máy client, người dùng, server thành viên và domain
controller Phạm vi tác động tùy thuộc vào thùng chứa mà GPO gắn vào Mặc định, khi gắn một GPO tới thùng chứa, mọi đối tượng trong thùng chứa đều bị tác động bởi GPO
Trong mỗi nút Computer Configuration và User Configuration đều có các nút con sau:
Software Settings: chứa các thiết lập liên quan đến cài đặt phần mềm (software installation) Các thiết lập nằm trong nút Computer Configuration sẽ tác động lên máy tính đang chịu sự tác động của GPO, mà không phân biệt ai đang đăng nhập vào Các thiết lập nằm trong nút User Configuration sẽ tác động lên người dùng đang chịu sự tác động của GPO mà không quan tâm tới họ đăng nhập từ máy tính nào
Windows Settings: các thiết lập nằm trong nút Computer Configuration liên quan đến bảo mật
và kịch bản (script), sẽ tác động lên máy tính đang chịu sự tác động của GPO, mà không phân biệt ai đang đăng nhập vào Các thiết lập nằm trong nút User Configuration liên quan đến chuyển hướng thư mục (folder redirection), bảo mật và các kịch bản, sẽ tác động lên người dùng đang chịu sự tác động của GPO mà không quan tâm tới họ đăng nhập từ máy tính nào
Administrative Templates: gồm hàng ngàn các thiết lập sẵn (thiết lập mẫu), là các thiết lập dựa trên registry Nội dung của các thiết lập được lưu trong tập tin admx Đây là các thiết lập liên quan đến giao diện người dùng
Để làm việc với Administrative Templates, bạn cần hiểu rõ ba trạng thái khác nhau của mỗi thiết lập:
Not Configured: đây là trạng thái của hầu hết các thiết lập trong GPO Khi thực thi nhóm chính sách, GPO sẽ không thay đổi, không ghi đè giá trị của registry
Enabled: GPO sẽ bật chức năng này trong registry, nó không quan tâm đến giá trị trước đó là
gì
Disabled: GPO sẽ tắt chức năng này trong registry, nó không quan tâm đến giá trị trước đó là
gì
Hiểu được ba trạng thái trên giúp bạn làm việc hiệu quả với kế thừa trong GPO và xử lý xung đột khi
áp dụng nhiều GPO lên cùng một thùng chứa Ví dụ, khi một GPO với độ ưu tiên thấp bật (enabled) một chính sách, nếu bạn muốn tắt (disabled) chính sách đó bằng GPO với độ ưu tiên cao hơn, bạn phải thiết lập trạng thái disabled chứ không thể thiết lập trạng thái Not Configured
Tạo các local GPO
Với các máy tính không là thành viên của AD DS (chưa kết nối miền), thường được gọi là các hệ thống độc lập (standalone), nếu chúng đang chạy hệ điều hành từ Windows Vista hoặc Windows Server 2008 R2 trở lên, bạn có thể tạo nhiều local GPO cho các người dùng khác nhau trên hệ thống Các local GPO được chia thành ba loại sau:
Trang 10 Local group policy: nhóm chính sách này tương tự như nhóm chính sách cục bộ trong các hệ điều hành cũ Local group policy gồm các thiết lập cho máy tính và cho người dùng Local group policy sẽ tác động trên mọi người dùng cục bộ, không phân biệt người quản trị hay người dùng thông thường Trong các loại local GPO, chỉ có nhóm chính sách này mới chứa các thiết lập cho máy tính
Administrators and nonadministrators group policy: nhóm chính sách này gồm hai GPO, một
áp dụng cho nhóm Administrators cục bộ, và một áp dụng cho tất cả người dùng cục bộ còn lại Nhóm chính sách này không chứa các thiết lập cho máy tính
User-specific group policy: nhóm chính sách này gồm các GPO áp dụng cho mỗi người dùng
cụ thể, không áp dụng được cho nhóm Nhóm chính sách này không chứa các thiết lập cho máy tính
Thứ tự áp dụng các loại local GPO được thực hiện như sau: đầu tiên là Local group policy, sau đó là Administrators and nonadministrators group policy và cuối cùng là User-specific group policy Lưu ý: các thiết lập được thực hiện sau sẽ đè lên các thiết lập trước đó nếu có tranh chấp
Trên máy tính là thành viên của domain, các local GPO sẽ được thực hiện trước, sau đó là các GPO của domain
Bạn sử dụng Group Policy Object Editor để tạo và cấu hình local GPO Các bước thực hiện như sau:
1 Mở cửa sổ Run, gõ lệnh MMC để mở cửa sổ Console
2 Vào trình đơn File, chọn Add/Remove Snap-In để mở cửa sổ Add Or Remove Snap-Ins
3 Từ danh sách Available Snap-Ins, chọn Group Policy Object Editor và bấm Add để mở cửa sổ Select Group Policy Object
4 Để tạo Local group policy GPO bấm Finish Để tạo local GPO loại hai hoặc loại ba, bấm nút Browse để mở cửa sổ Browse For A Group Policy Object
5 Chọn táp Users Xem hình minh họa
Trang 116 Để tạo local GPO loại hai, chọn Administrators hoặc Non-Administrators và bấm OK Để tạo local GPO loại ba, chọn người dùng cụ thể, bấm OK Local GPO sẽ xuất hiện trong cửa sổ Select Group Policy Object
7 Bấm Finish local GPO sẽ xuất hiện trong cửa sổ Add Or Remove Snap-Ins
8 Bấm OK Snap-in của local GPO sẽ xuất hiện trong cửa sổ MMC (Console)
9 Bấm trình đơn File, chọn Save As để mở cửa sổ Save As
10 Nhập tên cho Console để lưu trong Administrative Tools
11 Đóng MMC
Để cấu hình cho local GPO vừa tạo, bạn mở console vừa tạo trong Administrative Tools Cách thực hiện: mở cửa sổ Run, gõ lệnh MMC để mở cửa sổ Console, vào trình đơn File, chọn Open, chọn console cần mở
Tóm tắt nội dung
Nhóm chính sách chứa các chính sách được thiết lập cho người dùng và máy tính Các chính sách sẽ được thực thi trong quá trình máy tính khởi động, và trong quá trình người dùng đăng nhập Các chính sách được sử dụng để điều chỉnh môi trường làm việc của người dùng, triển khai các yêu cầu về bảo mật hệ thống, giúp quản trị người dùng và màn hình desktop dễ dàng
Trong AD DS, nhóm chính sách sẽ được gắn vào site, domain, và OU Trên máy cục bộ, chỉ có duy nhất một local GPO được phép thiết lập các chính sách cho máy tính Các thiết lập của local GPO sẽ bị ghi đè nếu có tranh chấp với các thiết lập nonlocal GPO
Group Policy Management là công cụ được dùng để tạo và thiết lập cách chính sách trong GPO
Trang 12Câu hỏi ôn tập
1 Các công cụ làm việc với nhóm chính sách có thể truy cập loại tập tin nào trong Central Store?
A ADM
B ADMX
C Group Policy Objects
D Security templates
2 Trong máy cục bộ có nhiều local GPO, local GPO nào có quyền ưu tiên cao nhất?
A Local group policy
B Administrators group policy
C Non-Administrators group policy
D User-specific group policy
3 Để áp dụng GPO trên một nhóm người dùng cụ thể trong OU, bạn sử dụng kĩ thuật nào sau đây?
A GPO linking (gắn GPO)
B Administrative templates (thiết lập theo mẫu)
C Security filtering (lọc)
D Starter GPOs
4 Sau đây là các mô tả về stater GPO, mô tả nào phù hợp nhất?
A Starter GPO được sử dụng như một bản mẫu để tạo ra các GPO mới
B Starter GPO là GPO đầu tiên tác động trên mọi máy client của domain
C Starter GPO sử dụng một giao diện đơn giản giúp người dùng dễ thao tác
D Starter GPO chứa tất cả các thiết lập có trong default domain policy GPO
5 Có một chức năng trong hệ thống đã được thiết lập là disabled, bạn muốn thay đổi chức năng này bằng cách sử dụng GPO, cụ thể, trong GPO bạn thiết lập giá trị cho nó là Not Configured Kết quả của thiết lập này là?
A Trạng thái của chứng năng đó vẫn là disabled
B Trạng thái của chứng năng đó sẽ chuyển thành Not Configured
Trang 13C Trạng thái của chứng năng đó sẽ chuyển thành enabled
D Thiết lập này sẽ tạo ra lỗi tranh chấp
Cấu hình chính sách bảo mật
6.2
Quản lý môi trường làm việc của người dùng và hoạt động của máy tính theo hình thức tập trung là một trong các chức năng chính của nhóm chính sách Hầu hết các thiết lập liên quan đến chính sách bảo mật được chứa tại mục Windows Settings trong nút Computer Configuration của GPO Tại đây, bạn có thể quy định cách thức chứng thực người dùng, họ được phép sử dụng các tài nguyên nào, chính sách về thành viên của nhóm, theo dõi các hoạt động của người dùng, nhóm người dùng
Các thiết lập trong nút Computer Configuration sẽ tác động lên máy tính, nó không quan tâm tới ai đang đăng nhập vào máy tính đó Các thiết lập trên nút Computer Configuration có nhiều tùy chọn hơn
so với các thiết lập trên nút User Configuration
Các nội dung sẽ được đề cập trong phần này:
Chính sách cục bộ
Theo dõi người dùng
Quyền hạn của người dùng
Chính sách theo dõi người dùng
Chính sách theo dõi người dùng được thiết lập trong nút audit policy Người quản trị có thể theo dõi các hành động của người dùng khi thành công (successful), lẫn khi thất bại (failed) Ví dụ, bạn có thể theo dõi các loại hành động sau: đăng nhập, truy cập tài khoản, truy cập đối tượng Bạn cũng có thể theo dõi các hành động của hệ thống
Trước khi thiết lập chính sách theo dõi, bạn cần xác định máy nào sẽ được theo dõi, và theo dõi các loại hành động nào Với mỗi loại hành động, bạn lại phải quyết định là theo dõi các trường hợp thành
Trang 14công, hay các trường hợp thất bại, hay cả hai Dựa trên các kết quả theo dõi, bạn sẽ có những nhận định về tình hình sử dụng tài nguyên, tình trạng bảo mật của hệ thống
Các loại hành động bạn có thể theo dõi được minh họa trong hình sau:
Với Windows Server 2012 R2, kết quả theo dõi các hành động được lưu ở hai nơi: lưu trên domain controller hoặc lưu trên máy cục bộ nơi hành động xảy ra Cụ thể, các hành động có liên quan đến AD
DS sẽ được ghi lại trong security log của domain controller, các sự kiện liên quan đến máy cục bộ sẽ được ghi lại trong event log của máy cục bộ
Việc theo dõi tất cả các hoạt động, trên tất cả các máy là không thực tế, mà bạn cần phải lựa chọn các đối tượng cho phù hợp, nhằm tránh tình trạng phải lưu trữ quá nhiều thông tin Sau đây là một số lưu ý giúp bạn thực hiện theo dõi hiệu quả:
Chỉ theo dõi những thứ cần thiết: bạn nên xác định các hành động cần theo dõi, và với hành động đó, việc ghi lại những trường hợp thành công quan trọng hơn, hay trường hợp thất bại quan trọng hơn Vì mục đích sau cùng là thu thập thông tin mà bạn đang quan tâm
Theo dõi để hỗ trợ quá trình ra quyết định: bạn có thể thực hiện ghi chép lại các hành động để làm cơ sở khi ra quyết định bổ sung thêm tài nguyên cho hệ thống
Xác định không gian lưu trữ phù hợp: kích thước vùng đĩa cần thiết để lưu các ghi chép phụ thuộc vào số lượng các hành động bạn dự định theo dõi Bạn có thể cấu hình thông tin này tại Computer Configuration\Windows Settings\Security Settings\Event Log trong mỗi GPO
Để cấu hình theo dõi người dùng, bạn cần xác định hành động nào cần theo dõi, và theo dõi trên đối tượng nào Sau đây là các bước thực hiện:
1 Mở Server Manager, chọn trình đơn Tools, chọn mục Group Policy Management để mở cửa sổ Group Policy Management
2 Theo đường dẫn Forests\Domains để mở domain mà bạn quan tâm, chọn mục Group Policy Objects, trong này sẽ chứa tất cả các GPO hiện có của domain
Trang 153 Bấm chuột phải vào mục Default Domain Policy GPO, chọn Edit để mở cửa sổ Group Policy Management Editor
4 Theo đường dẫn Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy, các chính sách liên quan đến theo dõi người dùng sẽ xuất hiện ở khung bên phải
5 Bấm đúp chuột vào chính sách mà bạn muốn thiết lập để mở cửa sổ Properties Xem hình minh họa
6 Đánh dấu chọn vào mục Define These Policy Settings
7 Muốn theo dõi trường hợp thành công, chọn mục Success Muốn theo dõi trường hợp thất bại chọn mục Failure Hoặc chọn cả hai
8 Bấm OK để đóng cửa sổ Properties
9 Đóng cửa sổ Group Policy Management Editor
Sau khi hệ thống AD DS cập nhật các chính sách vừa được cấu hình tại Default Domain Policy GPO, toàn bộ các máy tính trong domain sẽ bị tác động bởi chính sách này
Để theo dõi hành động truy cập đối tượng, bạn thực hiện cấu hình ở một trong hai mục sau:
Audit Directory Service Access: theo dõi người dùng khi họ truy cập các đối tượng của AD
DS như Users, OU
Audit Object Access: theo dõi người dùng khi họ truy cập tập tin, thư mục, máy in, registry
Trang 16Sau đó, bạn tìm tới đối tượng cần theo dõi, bấm chuột phải, chọn Properties, chọn táp Security, bấm vào nút Advanced, chọn táp Auditing, và chọn người dùng cần theo dõi
Thiết lập quyền hạn của người dùng
Quyền hạn của người dùng được thiết lập trong mục User Rights Assignment Trong mục này bao gồm các thiết lập liên quan đến các thao tác hệ thống Cụ thể xem trong hình minh họa dưới đây
Ví dụ, người dùng muốn đăng nhập trực tiếp (locally) vào domain controller thì họ phải được cho phép trong mục Alllow Log On Locally hoặc họ phải là thành viên của một trong các nhóm sau: Account Operators, Administrators, Backup Operators, Print Operators, hoặc Server Operators Vì các nhóm này, mặc định đã được cấu hình cho phép đăng nhập trực tiếp trong Default Domain Controllers Policy GPO
Các thiết lập liên quan đến thao tác hệ thống khác gồm: tắt máy (shutdown), quyền sở hữu đối tượng (ownership), khôi phục tập tin và thư mục, đồng bộ dữ liệu
Các cấu hình bảo mật khác
Một số cầu hình bảo mật khác được chứa trong nút Security Options Ở đây bao gồm các thiết lập liên quan đến quá trình đăng nhập, chữ kí số, hạn chế truy cập ổ đĩa, quá trình chứng thực và giao tiếp an toàn trong AD DS Cụ thể xem trong hình minh họa
Trang 17Thiết lập mẫu
Thiết lập mẫu (security template) là tập hợp các thiết lập bảo mật được lưu trong tập tin inf Các mẫu này chứa hầu hết các thiết lập có trong một GPO, chỉ khác là chúng được tổ chức theo một hình thức thống nhất, do vậy, bạn có thể dễ dàng: tạo, cấu hình và tái sử dụng
Các thiết lập có thể triển khai trong mẫu gồm: theo dõi người dùng, thiết lập quyền hạn người dùng, cấu hình bảo mật Bạn có thể kết hợp các mẫu với nhóm chính sách và kịch bản
Tạo và sử dụng mẫu
Tập tin inf là dạng tập tin thuần văn bản, chứa các thiết lập ở nhiều hình thức khác nhau Bạn có thể
mở và biên tập mẫu bằng trình soạn thảo văn bản bất kì Tuy nhiên, Windows Server 2012 R2 có cung cấp sẵn công cụ, giúp bạn tạo và biên tập mẫu dễ dàng hơn
Để tạo và quản lý mẫu, bạn sử dụng snap-in Security Templates trong MMC Ngoài ra, bạn cũng có thể tải công cụ Security Compliance Manager (SCM) từ trang web của Microsoft Mặc định,
Administrative Tools của Windows Server 2012 R2 không có sẵn Security Templates Vì vậy, bạn phải tự thêm Security Templates
Sau đây là các bước để tạo mẫu:
1 Mở cửa sổ Run, nhập MMC để mở cửa sổ Console
2 Vào trình đơn File, chọn mục Add/Remove Snap-In để mở cửa sổ Add Or Remove Snap-Ins
3 Trong khung Available Snap-Ins, chọn Security Templates để mở cửa sổ Add Or Remove Snap-Ins
4 Bấm OK, snap-in vừa tạo sẽ xuất hiện trong MMC
Trang 185 Vào trình đơn File, chọn mục Save As để mở cửa sổ Save As
6 Nhập tên cho snap-in vào mục File name, bấm Save để lưu
7 Bấm chuột phải vào thưc mục chứa mẫu ở khung bên trái, chọn New Template để tạo mẫu, nhập tên cho mẫu, bấm OK để tạo Xem hình minh họa
Mẫu vừa được tạo là mẫu trắng, cho phép thực hiện nhiều thiết lập giống với trong GPO Bạn có thể thay đổi giá trị của các thiết lập như khi làm việc với GPO
Sau khi thực hiện thiết lập cho mẫu, để sử dụng mẫu, bạn sẽ thực hiện khớp mẫu vào GPO Khi khớp mẫu vào GPO, các thiết lập của mẫu được chuyển thành các thiết lập của GPO
Sau đây là các bước để khớp mẫu vào GPO:
1 Mở Server Manager, vào trình đơn Tools, chọn Group Policy Management để mở cửa sổ Group Policy Management
2 Duyệt theo đường dẫn Forests\Domains để mở domain mà bạn quan tâm Chọn mục Group Policy Objects, các GPO hiện có sẽ xuất hiện ở cửa sổ bên phải
3 Bấm chuột phải vào GPO mà bạn muốn khớp mẫu, bấm Edit để mở cửa sổ Group Policy
Management Editor
4 Duyệt theo đường dẫn Computer Configuration\Policies\Windows Settings\Security Settings Bấm chuột phải vào nút Security Settings, chọn mục Import Policy để mở cửa sổ Import Policy From
5 Tìm tới nơi chứa mẫu, chọn mẫu, bấm Open để khớp các thiết lập có trong mẫu vào GPO
6 Đóng cửa sổ Group Policy Management Editor và Group Policy Management
Trang 19Người dùng và nhóm người dùng cục bộ
Windows Server 2012 R2 cung cấp hai giao diện để tạo và quản lý tài khoản người dùng cục bộ Đó là User Accounts trong Control Panel và snap-in Local Users and Groups thuộc Computer
Management\System Tools trong MMC Cả hai giao diện này đều truy cập tới Security Account
Manager (SAM), là nơi lưu trữ các thông tin của người dùng và nhóm
Tuy nhiên, chức năng của hai giao diện có khác nhau, cụ thể:
User Accounts: giao diện này có một số hạn chế trong việc cấu hình Cụ thể, nó cho phép tạo tài khoản, thay đổi một số thuộc tính Tuy nhiên, nó không cho tạo nhóm và quản lý thành viên của nhóm
Local Users And Groups: giao diện này cho phép thực hiện tất cả các cấu hình liên quan đến tài khoản, nhóm
Khi cài đặt, Windows Server 2012 R2 luôn tạo sẵn hai tài khoản người dùng là Administrator và Guest Mặc định, tài khoản Guest bị vô hiệu (disable)
Sau khi được cài đặt, do trên hệ thống Windows Server 2012 R2 chỉ có tài khoản Administrator là có hiệu lực, nên bạn sẽ đăng nhập vào hệ thống bằng tài khoản này Đây là tài khoản có quyền quản trị cao nhất, bạn có thể sử dụng tài khoản này để tạo các tài khoản mới hoặc thực hiện các cấu hình khác
Sử dụng User Accounts
Để ý: chỉ khi Windows Server 2012 R2 đang hoạt động ở chế độ Workgroup mới có mục User
Accounts trong Control Panel Nếu máy tính đã kết nối vào domain thì bạn phải sử dụng snap-in Local Users And Groups để tạo tài khoản người dùng Nếu máy tính đã được nâng cấp thành domain
controller thì sẽ không có tài khoản cục bộ và nhóm cục bộ
Mặc định, mục User Accounts trong Control Panel chỉ cho phép tạo tài khoản người dùng bình thường (standard account), để thiết lập một tài khoản có quyền quản trị, bạn phải thay đổi kiểu (type) của nó trong mục Change Your Account Type Trong Change Your Account Type, việc lựa chọn giữa hai loại tài khoản Standard và Administrator thực chất là đưa tài khoản vào làm thành viên của nhóm, Standard
là nhóm Users, Administrator là nhóm Administrators
Sử dụng snap-in Users And Groups
Users And Groups là một phần của Computer Managerment Để tạo tài khoản người dùng cục bộ bằng Users And Groups, bạn thực hiện các bước sau:
1 Mở Server Manager, vào trình đơn Tools, chọn Computer Management để mở cửa sổ
Trang 204 Nhập tên (tên đăng nhập) cho tài khoản trong mục User Name Đây là phần thông tin bắt buộc
5 Nhập tên đầy đủ của tài khoản trong mục Full Name và mô tả tài khoản trong mục Description Phần này không bắt buộc
6 Nhập mật khẩu trong mục Password và nhập lại mật khẩu trong mục Confirm Password Phần này không bắt buộc
7 Tùy theo yêu cầu, đánh dấu chọn vào các mục sau:
User Must Change Password At Next Logon: người dùng phải đổi mật khẩu trong lần đăng nhập đầu tiên
User Cannot Change Password: người dùng không được thay đổi mật khẩu
Password Never Expires: mật khẩu không bao giờ hết hạn
Account Is Disable: tài khoản tạo ra sẽ bị vô hiệu
8 Bấm nút Create để tạo tài khoản, tên của tài khoản sẽ xuất hiện trong danh sách
Trang 211 Mở Server Manager, vào trình đơn Tools, chọn Computer Management để mở cửa sổ
Computer Management
2 Ở khung bên trái, chọn mục Local Users And Groups, chọn Groups để xem danh sách các nhóm cục bộ hiện có
3 Bấm chuột phải vào mục Groups, chọn New Group để mở cửa sổ New Group
4 Nhập tên cho nhóm trong mục Group Name Đây là phần thông tin bắt buộc Nếu muốn, bạn có thể nhập thông tin mô tả cho nhóm trong mục Description
5 Bấm nút Add để mở cửa sổ Select Users
6 Nhập các thành viên của nhóm, bạn có thể nhập trực tiếp vào hộp thoại, mỗi thành viên cách nhau bởi dấu “;” Bạn cũng có thể gõ một phần của tên, sau đó bấm nút Check Names; hoặc bạn cũng có thể sử dụng nút Advanced để tìm các thành viên Bấm OK
7 Bấm nút Create để tạo nhóm
8 Bấm Close
9 Đóng cửa sổ Computer Management
Nhóm cục bộ không thể chứa thành viên là nhóm cục bộ khác Tuy nhiên, nếu máy tính đã được kết nối vào domain, nhóm cục bộ có thể chứa thành viên là các nhóm hoặc người dùng domain
Cơ chế kiểm soát tài khoản người dùng (UAC)
Một vấn đề hay gặp trong thực tế là người dùng được cấp quyền nhiều hơn so với những gì họ cần Điều này tiềm ẩn những rủi ro liên quan đến bảo mật hệ thống Ví dụ, tài khoản administrator hoặc nhóm Administrators sẽ có toàn quyền trên hệ điều hành, tuy nhiên, nếu người dùng chỉ cần chạy một
số ứng dụng trên hệ thống thì không nhất thiết phải có những quyền này
Với hầu hết người dùng, họ sẽ sử dụng tài khoản bình thường (standard user) Nếu bạn là một người quản trị hệ thống, bạn có thể sử dụng giải pháp là: đăng nhập vào hệ thống bằng tài khoản bình thường (standard user), và chỉ đăng nhập bằng tài khoản quản trị khi thực sự cần thiết Việc phải thoát ra và đăng nhập lại nhiều lần thường gây ảnh hưởng xấu đến tâm lý và hiệu quả của công việc
Để giải quyết vấn đề này, Windows Server 2012 R2 sử dụng cơ chế kiểm soát tài khoản người dùng (UAC: User Account Control) Cơ chế UAC sẽ duy trì một tài khoản hoạt động ở mức bình thường, và chỉ chuyển sang hoạt động ở chế độ quản trị khi có xác nhận trực tiếp của người dùng
Chuyển sang chế độ quản trị
Windows Server 2012 R2 sử dụng thẻ (token) để kiểm soát tài khoản Khi bạn đăng nhập thành công vào hệ thống, bạn sẽ được cấp thẻ, thẻ này cho biết bạn có quyền ở mức nào Thẻ này sẽ theo người dùng từ khi đăng nhập tới khi thoát khỏi hệ thống
Trong các bản Windows trước Windows Server 2008 và Windows Vista, người dùng bình thường sẽ nhận thẻ loại bình thường, người thuộc nhóm Administrators sẽ nhận thẻ quản trị
Trang 22Trong Windows Server 2012 R2, nhờ có UAC nên người dùng bình thường sẽ luôn nhận thẻ bình thường, nhưng người quản trị sẽ nhận được cả hai thẻ: bình thường và quản trị Mặc định người quản trị sẽ thao tác dựa trên thẻ bình thường Khi nào họ thực hiện thao tác cần đến quyền quản trị thì hệ thống sẽ xuất hiện cửa sổ, yêu cầu cung cấp tên và mật khẩu của tài khoản quản trị Lúc này, người quản trị sẽ thao tác dựa trên thẻ quản trị Cơ chế này gọi là Admin Approval Mode Xem hình minh họa
Trước khi người quản trị thực hiện công việc, hệ thống có thể sẽ yêu cầu xác minh lại công việc sẽ thực hiện, việc này để ngăn chặn các chương trình phá hoại cài vào hệ thống Xem hình minh họa
Chế độ secure desktop
Mỗi khi Windows Server 2012 R2 bật lên cửa sổ yêu cầu chứng thực, hoặc xác minh như trong phần UAC, nghĩa là nó đang sử dụng chế độ secure desktop
Secure desktop là một trạng thái hoạt động của hệ điều hành Windows Ở trạng thái này, hệ thống sẽ
vô hiệu tất cả các cửa sổ và ứng dụng khác, chỉ để lại duy nhất cửa sổ chứng thực hoặc xác minh Mục đích của secure desktop là để ngăn chặn các chương trình độc hại giả mạo quá trình chứng thực hoặc xác minh