Triển khai Windows 7 – Phần 20: Bảo mật MDT (1)

Cập nhật lúc 16h44' ngày 23/04/2010

Quản trị mạng – Trong loạt bài này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn các bước cần thực hiện để bảo mật môi trường triển khai MDT.

Mẹo: Bạn có thể tìm kiếm thêm thông tin về triển khai tự động LTI trong Windows 7 Resource Kit của Microsoft.

Các thông tin qua trọng trong file Bootstrap.ini

Chúng tôi sẽ sớm quay trở lại giải thích về cách cấu hình và sử dụng cơ sở dữ liệu MDT, tuy nhiên ở đây, chúng tôi muốn đề cập đến một vấn đề trong bảo mật MDT. Cho tới phần 20 của loạt bài triển khai Windows 7 này, chúng ta vẫn chưa quan tâm tới vấn đề bảo mật. Cho ví dụ, file Bootstrap.ini mà chúng ta đang sử dụng cho deployment share của mình trong các bài này có nội dung như dưới đây:

[Settings]
Priority=Default
[Default]
DeployRoot=\\SEA-DC1\DeploymentShare$
UserID=Administrator
UserDomain=CONTOSO
UserPassword=Pa$$w0rd
KeyboardLocale=en-US
SkipBDDWelcome=YES

Tài khoản người dùng được chỉ định bởi các thuộc tính UserID, UserPassword và UserDomain trong file Bootstrap.ini, file được sử dụng bởi Windows Deployment Wizard trên máy tính mục tiêu để kết nối đến deployment share trên máy chủ MDT và truy cập nội dung của chia sẻ này. Cho tới đây, chúng ta vẫn đang sử dụng tài khoản Administrator mặc định trong miền cho mục đích này. Có hai lý do tại sao đây không phải là một ý tưởng tốt.

Thứ nhất, nếu tự khởi tạo triển khai Lite Touch (LTI) bằng cách khởi động các máy tính mục tiêu có sử dụng LiteTouchPE CD, khi đó bạn sẽ biết rằng file Bootstrap.ini của mình quả thực có trong CD đó. Để xem file này, chúng ta hãy bắt đầu bằng cách kiểm tra nội dung của LiteTouchPE CD trong Windows Explorer (hình 1):

Hình 1: Nội dung bên trong của LiteTouchPE CD khi được xem trong Windows Explorer

Lưu ý rằng hầu hết các CD đều có chứa file image của Windows, Boot.wim, đây là file được tìm thấy trong thư mục \sources trên CD của bạn. (Thư mục \boot chỉ chứa một số file được sử dụng để cho phép CD khởi động và gắn image này). Giả sử rằng bạn để LiteTouchPE CD ở đâu đó và ai đó đã đánh cắp chúng. Tên trộm sau khi đánh cắp được CD của bạn có thể cài đặt Windows AIK 2.0 trên một máy tính và gắn file Boot.wim trên CD này vào một thư mục trống bằng cách sử dụng lệnh Imagex như thể hiện dưới đây (hình 2):

Hình 2: Gắn file Boot.wim từ LiteTouchPE CD

Khi file Boot.wim được gắn cho một thư mục trống rỗng (ở đây thư mục đó có tên C:\PEbootfiles), kẻ trộm có thể duyệt nội dung của image đã được gắn bằng Windows Explorer (hình 3):

Hình 3: File Bootstrap.ini của bạn có trong file Boot.wim của LiteTouchPE CD

Sau đó tên trộm còn có thể mở được file Bootstrap.ini trong Notepad (hình 4):

Hình 4: File Bootstrap.ini này gồm có các dữ liệu quản trị quan trọng cho miền!

Tại đây, toàn bộ cơ sở hạ tầng Windows của bạn đã bị thỏa hiệp do tên trộm đã thu được các dữ liệu cần thiết của quản trị viên miền. Vì vậy, nếu sẽ sử dụng các dữ liệu quản trị viên miền trong file Bootstrap.ini của mình, bạn cần bảo vệ LiteTouchPE CD (hoặc DVD hoặc USB phụ thuộc vào thiết bị khởi động đang sử dụng để khởi tạo quá trình LTI). Nói theo cách khác, không cho người không có quyền có thể truy cập các thiết bị như vậy.

Một vấn đề bảo mật khác có liên quan đến việc truyền tải các dữ liệu quan trọng trên mạng. Khi bạn khởi động máy tính mục tiêu vào Windows PE bằng cách sử dụng thiết bị khởi động LiteTouchPE của mình, máy tính sẽ yêu cầu một địa chỉ IP từ một máy chủ DHCP và sau đó sẽ cố gắng thiết lập kết nối với deployment share trên máy chủ MDT. Lúc này, nếu sử dụng MDT trong kịch bản máy tính mới (New Computer, kịch bản thực hiện một triển khai bare metal vào máy tính mục tiêu hiện chưa có hệ điều hành) thì thẩm định Kerberos hoặc NTLM sẽ được sử dụng để trao đổi một cách an toàn các dữ liệu quan trọng trong file Bootstrap.ini từ máy tính mục tiêu đến máy chủ MDT, và kẻ nào đó đang “đánh hơi” mạng trong của bạn sẽ không thể đánh cắp được các dữ liệu quan trọng này. Tuy nhiên nếu bạn sử dụng MDT trong kịch bản Refresh Computer (kịch bản để re-image một máy tính đang tồn tại trước đó, sau đó lưu và khôi phục các thông tin trạng thái của người dùng), thì file Bootstrap.ini được xử lý từ deployment share và các dữ liệu quan trọng sẽ được truyền tải qua mạng dưới dạng văn bản trong sáng. Điều này có nghĩa nếu có kẻ nào đó đang “đánh hơi” trong mạng của bạn thì hắn có thể đánh cắp các thông tin quan trọng được chỉ định trong file Bootstrap.ini, và nếu có các thông tin quản trị miền thì mạng của bạn sẽ bị thỏa hiệp.

Rõ ràng, nếu sử dụng MDT trong môi trường test, hoặc trong phòng thí nghiệm an toàn có mirror mạng sản xuất của bạn nhưng có một miền khác thì tốt nhất là bạn nên để tài khoản quản trị viên mặc định cho miền trong file Bootstrap.ini như thể hiện trong hình 4 ở trên. Mặc dù vậy nếu sử dụng MDT trong môi trường sản xuất, bạn chắc chắn không muốn thực hiện như vậy. Chúng ta sẽ đi xem xét một giải pháp có thể cho vấn đề này ngay dưới đây.

Xem tiếp trang 2

Trang: 1 2
Văn Linh (Theo Windowsnetworking)
	Bản in	Chia sẻ	Phản hồi	Đánh giá(?):
Xem thêm: bảo mật mdt, 64-bit, map 4.0, windows 7, mdt 2010, lite touch, ảo hóa, tương thích, chuyển hệ điều hành, uuid
META.vn \| Mua sắm trực tuyến
Loading... Loading...

Bài viết mới nhất

Xem tất cả

Bài viết cũ hơn cùng chủ đề

Xem tất cả

Tiêu điểm

Tạo kết nối không dây giữa hai laptop

Bổ sung thư mục Google Drive vào lệnh 'Send to'

4 lý do Google Drive 'ăn đứt' Microsoft SkyDrive

Thiết lập Google Driver thành thư mục trên Windows

Tìm kiếm file và thư mục trong Linux

Tùy chỉnh nền màn hình đăng nhập trên Windows 7

Hướng dẫn sử dụng CCleaner hiệu quả

Đánh giá HTC One V

Dữ liệu trên 'mây' thật sự lưu ở đâu?

Hướng dẫn tạo kết nối VPN trên Ubuntu

Galaxy S III vs. One X, Nexus, iPhone 4S

Xem tất cả