Các mở rộng của Group Policy trong Windows Vista và Windows Server 2008 (Phần 2)

Các mở rộng của Group Policy trong Windows Vista và Windows Server 2008 (Phần 1)

Brien M. Posey

Trong phần đầu tiên của loạt bài này, chúng tôi đã giải thích rằng Windows Vista và Windows Server 2008 cung cấp đến hàng trăm thiết lập chính sách nhóm bổ sung so với Windows Server 2003 và Windows XP. Trong bài viết này, chúng tôi sẽ tiếp tục giới thiệu về các thiết lập của Group Policy được sử dụng để điều khiển tài khoản người dùng và các thiết bị phần cứng.

Các thiết lập chính sách nhóm mà chúng tôi sẽ giới thiệu đều được đặt tại Computer Configuration / Windows Settings / Security Settings / Local Policies / Security Options. Bạn có thể xem trong hình A, có quá nhiều thiết lập Group Policy trong mục Security Options để thảo luận về chúng. Chính vì vậy chúng tôi sẽ giới thiệu một số thiết lập chính sách hữu hiệu nhất và cũng thú vị nhất.


Hình A: Tài khoản liên quan đến các thiết lập Group Policy được đặt tại
Computer Configuration / Windows Settings /
Security Settings / Local Policies / Security Options

Trạng thái của tài khoản quản trị viên

Một trong những điểm yếu bảo mật chính của các hệ điều hành trước đây là sự tồn tại của tài khoản quản trị viên cục bộ trên các máy trạm làm việc. Với Windows Vista, có thể thiết lập vô hiệu hóa trạng thái tài khoản quản trị viên cục bộ tại phần Accounts: Administrator Account Status

Mặc định, tài khoản quản trị viên được kích hoạt nhưng việc vô hiệu hóa nó rất đơn giản. Tất cả những gì cần thực hiện là thiết lập chính sách này thành “Disabled”. Trước khi bạn bắt đầu việc vô hiệu hóa các tài khoản quản trị viên cục bộ, có một số hậu quả mà bạn cần phải hiểu về chúng. Nếu đã vô hiệu hóa một tài khoản quản trị viên thì bạn sẽ không thể kích hoạt nó trở lại trừ khi mật khẩu của tài khoản quản trị viên đạt được độ dài mật khẩu tối thiểu và đủ yêu cầu phức tạp. Các quản trị viên khác có thể thiết lập lại mật khẩu tài khoản bằng cách thừa nhận sự tồn tại của tài khoản đó.

Nếu bạn bị khóa trái bên ngoài máy tính của chính bạn và không có tài khoản quản trị nào có thể thiết lập lại được mật khẩu, thì không phải là đã hoàn toàn mất hết hy vọng. Tài khoản quản trị viên cục bộ luôn luôn được kích hoạt khi máy tính đang chạy trong chế độ “safe mode”. Chính vì vậy bạn có thể khởi động máy tính trong chế độ “safe mode” (chế độ an toàn), đăng nhập với tư cách là quản trị viên nội bộ và thiết lập lại mật khẩu. Sau đó bạn có thể kích hoạt lại tài khoản quản trị viên cục bộ.

Hạn chế việc sử dụng các mật khẩu trống

Thông thường, không có lý do nào để ai đó trong tổ chức của bạn sử dụng một mật khẩu trống. Đề phòng việc này thông qua phần Accounts: Limit Local Account Use of Blank Passwords to Console Logon Only thiết lập giới hạn đối với các tài khoản có mật khẩu trống có thể được sử dụng như thế nào.

Thiết lập chính sách này được kích hoạt mặc định, sở dĩ như vậy là để bất cứ tài khoản người dùng nào không có mật khẩu chỉ được phép đăng nhập cục bộ. Điều đó có nghĩa là ai đó có thể sử dụng một tài khoản như vậy để đăng nhập trực tiếp vào máy tính đang nhưng không thể đăng nhập thông qua một cơ chế khác như Remote Desktop.

Đặt lại tên của tài khoản quản trị viên

Microsoft luôn nhắc nhở chúng ta nên thay đổi lại tên tài khoản quản trị viên cho mục đích bảo mật. Vấn đề ở chỗ là mỗi một máy trạm làm việc đều có tài khoản quản trị viên của chính nó và việc thay đổi tên lại phải thực hiện thủ công.

Vista và Server 2008 hiện cung cấp cho chúng ta một thiết lập Group Policy, thiết lập này có thể được sử dụng để thay đổi tên tài khoản quản trị viên cục bộ một cách tự động. Tên thiết lập của chính sách là Accounts: Rename Administrator Account. Để sử dụng thiết lập này, tất cả những gì cần thực hiện là nhập vào một tên mới cho tài khoản quản trị viên và sự thay đổi sẽ được phổ biến đến tất cả các máy tính mà Group Policy áp dụng.

Kiểm định các hoạt động Backup và Restore

Một trong những thiết lập thú vị nhất của Group Policy là Audit: Audit the Use of Backup and Restore Privilege. Ý tưởng cơ bản ẩn đằng sau thiết lập chính sách này là nếu bạn chọn kích hoạt nó (thiết lập chính sách bị vô hiệu hóa mặc định) thì các hoạt động backup và restore sẽ được kiểm định.

Tại sao nói rằng đây là một trong những thiết lập chính sách thú vị nhất? Bởi vì nó có cả một số điểm tốt và điểm xấu. Điểm tốt của chính sách này là nó cho phép bạn kiểm định xem ai có quyền backup hệ thống đang thực hiện backup theo chính sách của công ty. Nó cũng cho phép bạn biết về bất cứ hoạt động restore nào xuất hiện. Tuy nhiên nhược điểm của nó là tạo ra một bản ghi cho mỗi file được backup. Điều đó có nghĩa là các bản ghi kiểm định của bạn có nguy cơ tràn ngập. Rõ ràng là một số lượng tài nguyên ổ đĩa và CPU cũng bị sử dụng khi bản ghi đó được ghi. Bản thân ảnh hưởng của việc ghi bản ghi là không đáng kể, nhưng nếu ghi hàng nghìn bản ghi thì các bản ghi này sẽ ảnh hưởng đến hiệu suất của hệ thống.

Các phương tiện di động

Trong nhiều công ty việc sử dụng các phương tiện có thể di rời là điều không được phép. Các phương tiện đó có thể là đĩa CD và DVD cho phép người dùng mang dữ liệu không được kiểm định và các ứng dụng vào tổ chức; hoặc tạo các bản sao dữ liệu nhạy cảm và đôi khi còn xóa dữ liệu từ tổ chức. Khi việc sử dụng các phương tiện di động thường bị ngăn cản như vậy, Microsoft đã tạo ra thiết lập chính sách Devices: Allowed to Format and Eject Removable Media. Như tên được ngụ ý của nó, thiết lập này có thể được sử dụng để ngăn chặn người dùng format hay eject các phương tiện di động.

Các Driver của máy in

Windows được thiết kế theo cách nếu một người dùng muốn in từ một máy in trong mạng thì họ không cần đến đĩa CD có chứa driver của máy in đó, và cũngkhông phải download nó từ Internet. Khi người dùng sử dụng một thỏa thuận đánh tên phổ biến (UNC) để đính vào một máy in đang được chia sẻ bởi máy tính sử dụng Windows, máy chủ quản lý máy in sẽ kiểm tra máy trạm làm việc của người dùng để xem nó có phải là driver thích hợp hay không. Nếu không có driver nào tồn tại thì máy chủ quản lý máy in sẽ gửi đi một bản copy của driver máy in đến máy tính này.

Trong hầu hết các trường hợp, đây có thể là một hành vi đáng mong muốn vì nó cho phép người dùng có thể thực hiện các công việc của họ mà không cần phải liên lạc với bàn trợ giúp mỗi khi họ cần in từ một máy in khác. Trong môi trường bảo mật cao hơn, nó có thể bị xem như rủi ro vì đã cho phép người dùng in mà chưa được chỉ định. Một cách để ngăn chặn người dùng in từ các máy in không được kiểm định là không cho phép họ cài đặt driver của máy in.

Bạn có thể dừng người dùng cài đặt driver máy in bằng cách kích hoạt thiết lập Devices: Prevent Users from Installing Printer Drivers. Thiết lập chính sách này bị vô hiệu hóa mặc định trên các máy trạm làm việc, nhưng nó được kích hoạt mặc định trên máy chủ.

Có một số thứ cần phải lưu ý trong phần này. Đầu tiên, thiết lập chính sách này không ngăn chặn người dùng bổ sung thêm máy in cục bộ, nó chỉ không cho người dùng cài đặt driver cho các máy in của mạng. Một điều khác cũng cần phải lưu ý đó là việc kích hoạt chính sách này sẽ không ngăn người dùng in trên máy in của mạng mà họ đã có driver. Cuối cùng, việc kích hoạt thiết lập này không có hiệu lực đối với các quản trị viên.

Kết luận

Trong phần hai này, chúng tôi đã giới thiệu về các thiết lập Group Policy có liên quan đến việc điều khiển tài khoản người dùng và các phần cứng thiết bị. Trong phần ba, chúng tôi sẽ tiếp tục giới thiệu về một số thiết lập của Group Policy chỉ có duy nhất trong Windows Server 2008 và Windows Vista.

Các mở rộng của Group Policy trong Windows Vista và Windows Server 2008 (Phần 3)
Các mở rộng của Group Policy trong Windows Vista và Windows Server 2008 (Phần 4)
Các mở rộng của Group Policy trong Windows Vista và Windows Server 2008 (Phần 5)
Các mở rộng của Group Policy trong Windows Vista và Windows Server 2008 (Phần 6)
Các mở rộng của Group Policy trong Windows Vista và Windows Server 2008 (Phần 7)

Thứ Năm, 27/09/2007 09:12
31 👨 1.118
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp