Kiểm soát truy cập Wifi bằng Group Policy

Cập nhật lúc 10h36' ngày 12/10/2009
Quản trị mạng - Trong bài viết này chúng ta sẽ đi tìm hiểu phương pháp chặn người dùng truy cập vào một mạng Wifi khác, phương pháp tạo Group Policy bảo mật cho mạng Wifi và phương pháp Group Policy bảo vệ hệ thống mạng từ các mối đe dọa từ bên trong và bên ngoài mạng.

Hệ điều hành Windows không giới hạn quá trình cài đặt những điểm truy cập ảo. Một điểm truy cập là một thiết bị phần cứng được tích hợp sẵn trên hệ thống không được Windows kiểm soát. Tuy nhiên người dùng có thể tạo một cài đặt Group Policy chặn các máy trạm kết nối tới bất kì mạng Wifi nào ngoài mạng được chỉ định.

Sự cần thiết của việc sử dụng Group Policy để kiểm soát truy cập mạng Wifi

Những loại cài đặt có trong Group Policy thực hiện hai chức năng. Thứ nhất, chúng ngăn không cho người dùng cài đặt điểm truy cập ảo. Như vậy vấn đề phát sinh trong quá trình cài đặt một điểm truy cập ảo nếu bạn không được phép kết nối tới là gì? Cần nhớ rằng, tuy người dùng vẫn có thể cài đặt một điểm truy cập ảo và sử dụng điểm truy cập ảo này để kết nối tới mạng, nhưng trong những trường kowpj như vậy, những cài đặt trong Group Policy mà bạn đx triển khai sẽ không chặn được người dùng đó thực hiện kết nối bởi vì những cài đặt trong Group Policy đó chỉ có hiệu lực tại miền, trang hay cấp độ con của Active Directory. Vì hệ thống của người dùng chưa được kết nối tới Active Directory nên sẽ không có cài đặt nào của Group Policy được áp dụng. Tuy nhiên, bạn có thể cài đặt bảo mật mạng để chỉ cho phép thành viên miền có quyền truy cập vào tài nguyên mạng. Sự kết hợp của các yếu tố này sẽ chặn người dùng cài đặt các điểm truy cập ảo.

Những cài đặt này trong Group Policy cũng sẽ chặn người dùng kết nối ngẫu nhiên tới những mạng Wifi khác. Trong hầu hết các hệ thống người dùng có thể thấy những mạng Wifi của các công ty khác (trong một phạm vi nhất định), thì việc ngăn chặn người dùng kết nối tới những mạng này có hai lợi ích chính. Thứ nhất, nếu có thể chặn người dùng kết nối ngẫu nhiên tới một mạng ngoài công ty thì bạn có thể giảm thiểu những sự cố truy cập cho người dùng vì nếu kết nối sai mạng họ sẽ gặp phải những thông báo lỗi khi truy cập một số loại tài nguyên nhất định.
Thứ hai, quan trọng hơn, khi người dùng kết nối tới một mạng họ rất dễ bị tấn công bởi những mối đe dọa bảo mật có thể có trong mạng đó.

Tạo một Group Policy giới hạn truy cập

Tiếp theo chúng ta sẽ tạo một Group Policy giới hạn những người dùng được cho phép kết nối tới mạng Wifi. Trước tiên, bạn cần biết rằng những cài đặt trong Group Policy là để giới hạn khả năng truy cập tới những mạng Wifi không được tích hợp trong Windows. Để có thể sử dụng những cài đặt này bạn sẽ phải mở rộng lược đồ Active Directory.

Để mở rộng lược đồ Active Directory cho Wireless Group Policy của Windows Vista trước tiên chúng ta cần tạo file 802.11Schema.ldf. Thực hiện các thao tác sau:
  • Từ màn hình Windows, vào menu Start | Programs | Accessories | Notepad.
     
  • Lựa chọn nội dung file 802.11Schema.ldf ở phía dưới.
     
  • Copy vùng này rồi dán vào cửa sổ Notepad.
     
  • Vào File chọn Save As rồi lưu vào folder phù hợp. Nhập 802.11Schema.ldf cho trường File name, trong Save as type chọn All files, và lựa chọn ANSI cho Encoding. Lựa chọn xong nhấn Save.
Sau đó sử dụng công cụ Ldifde để mở rộng lược đồ Active Directory. Thực hiện các thao tác sau:
  • Nếu cần thiết, copy file 802.11Schema.ldf tới một folder trên Domain Controller sử dụng Windows Server 2003 hay Windows Server 2003 R2.
  • Trên Domain Controller này, vào Start, nhập cmd vào hộp Run rồi nhấn OK.
  • Mở folder chứa file 802.11Schema.ldf.
  • Tại cửa sổ Command Prompt, chạy lệnh sau:
ldifde -i -v -k -f 802.11Schema.ldf -c DC=X Dist_Name_of_AD_Domain
Trong đó, Dist_Name_of_AD_Domain là tên phân biệt của miền Active Directory có lược đồ đang được hiệu chỉnh. Ví dụ, nếu tên miền Active Directory là wcoast.microsoft.com, thì tên phân biệt sẽ là DC=wcoast,DC=microsoft,DC=com.
File 802.11Schema.ldf sử dụng chuỗi DC=X để hiển thị tên phân biệt của miền Active Directory. Tùy chọn –c thay thế chuỗi DC=X bằng chuỗi DC=X tương tự với tên miền Active Directory khi file 802.11Schema.ldf được import.
Ví dụ, nếu miền có tên là quantrimang.com thì cú pháp lệnh sẽ là:
ldifde -i -v -k -f 802.11Schema.ldf -c DC=X DC=quantrimang,DC=com
Công cụ Ldifde.exe sử dụng chỉ dẫn trong file 802.11Schema.ldf hiệu chỉnh lược đồ Active Directory để chứa những giá trị và thuộc tính bổ sung cần thiết để lưu trữ những cải tiến cho các cài đặt của Wireless Group Policy được máy trạm Wireless của Windows Vista hỗ trợ.



Trang: 
Xian (Theo TechTarget)
Đánh giá(?):
META.vn | Mua sắm trực tuyến
Bài viết mới nhất
Xem tất cả
Bài viết cũ hơn cùng chủ đề