Các mở rộng của Group Policy trong Windows Vista và Windows Server 2008 (Phần 1)

Brien M. Posey

Một số thiết lập GP mới với nhiều hữu dụng trong Windows Server 2008 và Windows Vista.

Kể từ khi có Windows 2000 Server, cỗ máy chính cho việc quản lý bảo mật trên mạng Windows đã có các chính sách nhóm (GP). Một vài năm trôi qua, mọi người đều thấy rằng các GP cần phải được mở rộng bởi vì có nhiều khía cạnh của hệ điều hành Windows mà không thể được kiểm soát một cách đơn giản bằng GP. May thay, các chuyên gia phát triển của Microsoft đã biết vấn đề này và sớm giải quyết hoàn thiện trong Windows Vista và Windows Server 2008. Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về một số tính năng GP mới đó.

Nếu đã làm việc với chính sách nhóm (GP) thì có thể bạn biết có rất nhiều thiết lập của nó trong Windows. Rất khó để có thể đưa cho bạn một số chính xác bao nhiêu thiết lập GP tồn tại vì các thiết lập mới thường được đưa ra trong các gói dịch vụ và thậm chí một số ứng dụng trong download. Ngay trong Windows Server 2003 Service Pack 1 cũng có đến khoảng 1700 thiết lập GP. Con số này đã tăng đến khoảng 2400 trong Windows Vista và Windows Server 2008. Chính vì điều đó mà chúng tôi không thể giới thiệu thiết lập riêng cho bạn mà sẽ chỉ nói về các thiết lập GP quan trọng.

Bảo vệ chống Virus

Một trong những mối đe dọa phát sinh nhiều nhất đối với bảo mật trong những năm gần đây là virus email. Hầu hết các sản phẩm chống virus đều được thiết kế để tích hợp với Microsoft Outlook, ý tưởng này là một phần mềm có thể quét file đính kèm khi chúng ta mở email. Hệ điều hành Windows luôn thiếu một cơ chế tập trung cho việc bảo đảm phần mềm chống virus được cài đặt và làm việc đúng cách. Tuy nhiên, trong Windows Vista và Windows Server 2008 hiện nay với các thiết lập GP sẽ cho phép bạn thiết lập các chính sách chống virus của tổ chức ở mức GP.

Mặc dù các thiết lập chính sách nhóm mà chúng tôi giới thiệu là cho Windows Vista và Windows Server 2008, nhưng chúng cũng có thể được sử dụng để điều chỉnh cho các máy tính đang chạy Windows XP SP2. Bạn có thể tìm thấy các thiết lập có liên quan đến chính sách nhóm trong GP tại: User Configuration\Administrative Templates\Windows Components\Attachment Manager.

Thông báo cho các chương trình chống virus khi mở file đính kèm

Thiết lập chính sách nhóm này được sử dụng để thông báo cho phần mềm chống virus của bạn khi một file đính kèm email được mở, để file có thể được quét virus. Mặc dù thiết lập chính sách này nghe có vẻ đơn giản, nhưng có hai điều mà bạn cần biết để kích hoạt nó. Đầu tiên đó là, nếu phần mềm chống virus của bạn được thiết kế cho tự động quét các file đính kèm bất cứ lúc nào thì việc kích hoạt thiết lập này là không cần thiết.

Một điều nữa là bạn cần biết rằng nếu thiết lập này được kích hoạt và phần mềm chống virus của bạn có một vài lý do thất bại trong việc quét file đính kèm thì Windows sẽ khóa không cho mở file đính kèm.

Không duy trì vùng thông tin trong các file đính kèm

Một trong những khái niệm bảo mật chính trong Internet Explorer là các vùng (Zone). Internet Explorer cho phép quản trị viên phân loại tên miền Web vào các vùng khác nhau dựa vào số lượng quản trị viên tin tưởng website đó. Trong Windows Vista và Windows Server 2008, khái niệm về các vùng này cũng được mang sang email. Khi một thông báo email có file đính kèm, Windows có thể xem tên miền của người gửi và so sánh nó với danh sách trong vùng của IE. Nó có thể sử dụng thông tin của vùng này để trợ giúp xác định độ tin cậy về file đính kèm này như thế nào.

Thiết lập chính sách nhóm nói riêng này sẽ có một chút sai lệch nếu bạn kích hoạt thiết lập chính sách, sau đó các thông tin của vùng sẽ bị bỏ qua toàn bộ. Nếu muốn bảo đảm rằng website sử dụng thông tin vùng cho các đính kèm email thì bạn phải vô hiệu hóa thiết lập chính sách này.

Một khía cạnh quan trọng liên quan đến bảo mật mà bạn cần phải biết đó là vùng của người gửi được lưu như một thuộc tính file. Điều này có nghĩa hệ thống file NTFS cần phải có. Nếu hệ thống được định dạng bằng FAT hoặc FAT-32 thì thông tin vùng sẽ không được duy trì và Windows sẽ không báo cáo về sự thất bại này.

Các cơ chế ẩn để xóa bỏ thông tin vùng

Trong bất kỳ điều kiện nào bạn cũng đều có thể dễ dàng xóa bỏ một vùng có liên quan đến thuộc tính từ file. Để thực hiện điều đó bạn phải kích nút Unblock trên cửa sổ thuộc tính của file. Nếu muốn ngăn không cho người dùng phát hiện ra thông tin vùng từ các file thì bạn chỉ cần kích hoạt chính sách này. Làm như vậy bạn sẽ ẩn được các cơ chế mà người dùng có thể sử dụng để xóa bỏ thông tin vùng từ một file.

Mức rủi ro mặc định cho các file đính kèm

Thiết lập chính sách này cho phép bạn tự động gán mức rủi ro cao, trung bình hay thấp cho các đính kèm email.

Danh sách các kiểu file có mức rủi ro cao

Rõ ràng, một số kiểu file có thể mang theo các mã hiểm độc hơn các kiểu khác. Ví dụ, file .exe hoặc file .PIF có thể là file chứa mã nguy hiểm nhiều hơn file .PDF. Do đó Windows cho phép bạn đánh dấu các kiểu file khác nhau ở các mức rủi ro khác nhau.

Windows cung cấp các thiết lập chính sách nhóm riêng biệt cho danh sách các kiểu file có mức rủi ro cao, trung bình và thấp. Microsoft chọn cách này là bởi vì nó cho phép thiết lập được chặt chẽ hơn, đưa ra quyền ưu tiên trong trường hợp có xung đột. Giả sử rằng một kiểu file cụ thể nào đó được liệt trong cả hai mức rủi ro cao và trung bình. Trong trường hợp như vậy, chính sách rủi ro cao hơn sẽ có quyền ưu tiên cao hơn chính sách rủi ro trung bình, và kiểu file sẽ được xử lý ở mức rủi ro cao sẽ không quan tâm đến những thiết lập chính sách gì khác có thể ra lệnh.

Vậy có nghĩa gì khi phân loại kiểu file mở mức rủi ro cao? Khi người dùng cố gắng mở một file, Windows không chỉ xem xét kiểu file mà còn xem trong vùng mà file đó được bắt nguồn. Nếu file này được bắt nguồn từ một vùng bị hạn chế và được phân vào mức rủi ro cao thì Windows sẽ ngăn không cho người dùng mở file. Nếu file được bắt nguồn từ vùng Internet thì Windows sẽ hiển thị một thông báo cho người dùng trước khi mở file đó.

Danh sách các kiểu file có mức rủi ro thấp

Việc định nghĩa kiểu file có mức rủi ro thấp này cũng giống định nghĩa như file có mức rủi ro cao nhưng có một cặp điểm khác biệt. Sự khác nhau đầu tiên đó là Windows xử lý các kiểu file có mức rủi ro cao một cách mặc định. Nếu bạn thiết lập một trong các kiểu file đó có mức rủi ro thấp thì thiết lập của bạn sẽ có quyền ưu tiên cao hơn đối với thiết lập của Windows, và file đó sẽ được coi có mức rủi ro thấp. Và tất nhiên nếu bạn bổ sung một kiểu file vào danh sách rủi ro mức cao và sau đó thêm nó vào danh sách rủi ro thấp thì file đó sẽ được coi có mức rủi ro cao vì danh sách mức cao sẽ được ưu tiên hơn mức thấp.

Danh sách các kiểu file có mức rủi ro trung bình

Việc định nghĩa kiểu file có mức rủi ro trung bình cũng như việc định nghĩa một file có mức rủi ro thấp nhưng có một ngoại lệ. Nếu file được tổ chức từ vùng Internet hay bị hạn chế thì Windows sẽ hiển thị một cảnh báo trước khi cho phép người dùng mở file đó.

Kết luận

Trong bài này chúng tôi đã giới thiệu cho các bạn Windows Vista và Windows Server 2008 có nhiều thiết lập chính sách hơn Windows Server 2003 và Windows XP, giới thiệu một số thiết lập liên quan đến việc chống virus hữu dụng hơn. Trong phần hai chúng tôi sẽ tiếp tục giới thiệu về một số chính sách mới khác của GP.