Tuy nhiên người dùng có thể tạo một cài đặt Group Policy chặn các máy trạm kết nối tới bất kì mạng Wifi nào ngoài mạng được chỉ định.. Sự cần thiết của việc sử dụng Group Policy để kiểm
Trang 1Kiểm soát truy cập Wifi bằng Group Policy
Nguồn : quantrimang.com
Quản trị mạng - Trong bài viết này chúng ta sẽ đi tìm hiểu phương pháp
chặn người dùng truy cập vào một mạng Wifi khác, phương pháp tạo
Group Policy bảo mật cho mạng Wifi và phương pháp Group Policy bảo vệ
hệ thống mạng từ các mối đe dọa từ bên trong và bên ngoài mạng
Hệ điều hành Windows không giới hạn quá trình cài đặt những điểm truy cập ảo Một điểm truy cập là một thiết bị phần cứng được tích hợp sẵn trên hệ thống không được Windows kiểm soát Tuy nhiên người dùng có thể tạo một cài đặt Group Policy chặn các máy trạm kết nối tới bất kì mạng Wifi nào ngoài mạng được chỉ định
Sự cần thiết của việc sử dụng Group Policy để kiểm soát truy cập mạng Wifi
Những loại cài đặt có trong Group Policy thực hiện hai chức năng Thứ nhất, chúng ngăn không cho người dùng cài đặt điểm truy cập ảo Như vậy vấn đề phát sinh trong quá trình cài đặt một điểm truy cập ảo nếu bạn không được phép kết nối tới là gì? Cần nhớ rằng, tuy người dùng vẫn có thể cài đặt một điểm truy cập ảo và sử dụng điểm truy cập ảo này để kết nối tới mạng, nhưng trong những trường kowpj như vậy, những cài đặt trong Group Policy mà bạn đx triển khai sẽ không chặn được người dùng đó thực hiện kết nối bởi vì những cài đặt trong Group Policy đó chỉ có hiệu lực tại miền, trang hay cấp độ con của Active
Directory Vì hệ thống của người dùng chưa được kết nối tới Active Directory nên sẽ không có cài đặt nào của Group Policy được áp dụng Tuy nhiên, bạn có thể cài đặt bảo mật mạng để chỉ cho phép thành viên miền có quyền truy cập vào tài nguyên mạng Sự kết hợp của các yếu tố này sẽ chặn người dùng cài đặt các điểm truy cập ảo
Những cài đặt này trong Group Policy cũng sẽ chặn người dùng kết nối ngẫu nhiên tới những mạng Wifi khác Trong hầu hết các hệ thống người dùng có thể thấy những mạng Wifi của các công ty khác (trong một phạm vi nhất định), thì việc ngăn chặn người dùng kết nối tới những mạng này có hai lợi ích chính Thứ nhất, nếu có thể chặn người dùng kết nối ngẫu nhiên tới một mạng ngoài công ty thì bạn có thể giảm thiểu những sự cố truy cập cho người dùng vì nếu kết nối sai mạng họ sẽ gặp phải những thông báo lỗi khi truy cập một số loại tài nguyên nhất định
Thứ hai, quan trọng hơn, khi người dùng kết nối tới một mạng họ rất dễ bị tấn công bởi những mối đe dọa bảo mật có thể có trong mạng đó
Trang 2Tạo một Group Policy giới hạn truy cập
Tiếp theo chúng ta sẽ tạo một Group Policy giới hạn những người dùng được cho phép kết nối tới mạng Wifi Trước tiên, bạn cần biết rằng những cài đặt trong Group Policy là để giới hạn khả năng truy cập tới những mạng Wifi không được tích hợp trong Windows Để có thể sử dụng những cài đặt này bạn sẽ phải mở rộng lược đồ Active Directory
Để mở rộng lược đồ Active Directory cho Wireless Group Policy của Windows Vista trước tiên chúng ta cần tạo file 802.11Schema.ldf Thực hiện các thao tác sau:
• Từ màn hình Windows, vào menu Start | Programs | Accessories |
Notepad
• Lựa chọn nội dung file 802.11Schema.ldf ở phía dưới
• Copy vùng này rồi dán vào cửa sổ Notepad
• Vào File chọn Save As rồi lưu vào folder phù hợp Nhập
802.11Schema.ldf cho trường File name, trong Save as type chọn All
files, và lựa chọn ANSI cho Encoding Lựa chọn xong nhấn Save
Sau đó sử dụng công cụ Ldifde để mở rộng lược đồ Active Directory Thực hiện các thao tác sau:
• Nếu cần thiết, copy file 802.11Schema.ldf tới một folder trên Domain
Controller sử dụng Windows Server 2003 hay Windows Server 2003 R2
• Trên Domain Controller này, vào Start, nhập cmd vào hộp Run rồi nhấn
OK
• Mở folder chứa file 802.11Schema.ldf
• Tại cửa sổ Command Prompt, chạy lệnh sau:
ldifde -i -v -k -f 802.11Schema.ldf -c DC=X Dist_Name_of_AD_Domain
Trong đó, Dist_Name_of_AD_Domain là tên phân biệt của miền Active
Directory có lược đồ đang được hiệu chỉnh Ví dụ, nếu tên miền Active Directory
là wcoast.microsoft.com, thì tên phân biệt sẽ là
DC=wcoast,DC=microsoft,DC=com
File 802.11Schema.ldf sử dụng chuỗi DC=X để hiển thị tên phân biệt của miền
Trang 3Active Directory Tùy chọn –c thay thế chuỗi DC=X bằng chuỗi DC=X tương tự
với tên miền Active Directory khi file 802.11Schema.ldf được import
Ví dụ, nếu miền có tên là quantrimang.com thì cú pháp lệnh sẽ là:
ldifde -i -v -k -f 802.11Schema.ldf -c DC=X DC=quantrimang,DC=com
Công cụ Ldifde.exe sử dụng chỉ dẫn trong file 802.11Schema.ldf hiệu chỉnh lược
đồ Active Directory để chứa những giá trị và thuộc tính bổ sung cần thiết để lưu trữ những cải tiến cho các cài đặt của Wireless Group Policy được máy trạm Wireless của Windows Vista hỗ trợ