Bài giảng Quản trị mạng Windows Server 2003 - Chương 4: Chính sách hệ thống và chính sách nhóm

ứng thực nào đó. Mặc dù các qui tắc permit và block không dùng đến chứng thực nhưng Windows vẫn đòi bạn chỉ định phương pháp chứng thực. IPSec cho phép bạn chứng thực thông qua Active Directory, các chứng chỉ PKI hoặc một khóa được chia sẻ trước. Mỗi qui tắc (rule) gồm một hay nhiều bộ lọc (filter) và một hay nhiều tác động bảo mật (action). Có bốn tác động mà qui tắc có thể dùng là: block, encrypt, sign và permit. I. CHÍNH SÁCH HỆ THỐNG I.3.3.1 Các chính sách IPSEC tạo sẵn Trong khung cửa sổ chính của công cụ cấu hình IPSec, bên phải chúng ta thấy xuất hiện ba chính sách được tạo sẵn tên là: Client, Server và Secure. Cả ba chính sách này đều ở trạng thái chưa áp dụng (assigned). Client (Respond Only) Server (Request Security) Secure Server (Require Security) I. CHÍNH SÁCH HỆ THỐNG I.3.3.1Ví dụ tạo chính sách IPSec đảm bảo một kết nối được mã hóa : Chúng ta có hai máy tính, máy A có địa chỉ 203.162.100.1 và máy B có địa chỉ 203.162.100.2. Chúng ta sẽ thiết lập chính sách IPSec trên mỗi máy thêm hai qui tắc (rule), trừ hai qui tắc của hệ thống gồm: Một qui tắc áp dụng cho dữ liệu truyền vào máy và Một qui tắc áp dụng cho dữ liệu truyền ra khỏi máy. Ví dụ qui tắc đầu tiên trên máy A bao gồm: Bộ lọc (filter): kích hoạt qui tắc này khi có dữ liệu truyền đến địa chỉ 203.162.100.1, qua bất kỳ cổng nào. Tác động bảo mật (action): mã hóa dữ liệu đó. Chứng thực: chìa khóa chia sẻ trước là chuỗi “quantri”. I. CHÍNH SÁCH HỆ THỐNG Trong công cụ Domain Controller Security Policy, bạn nhấp phải chuột trên mục IP Security Policies on Active Directory, rồi chọn Manage IP filter lists and filter actions. I. CHÍNH SÁCH HỆ THỐNG Hộp thoại xuất hiện, bạn nhấp chuột vào nút add để thêm một bộ lọc mới. Bạn nhập tên cho bộ lọc này, trong ví dụ này chúng ta đặt tên là “Connect to 203.162.100.1”. Bạn nhấp chuột tiếp vào nút Add để hệ thống hướng dẫn bạn khai báo các thông tin cho bộ lọc. I. CHÍNH SÁCH HỆ THỐNG Mục Source address chọn My IP Address, mục Destination address chọn A specific IP Address và nhập địa chỉ “203.162.100.1” vào, mục IP Protocol Type bạn để mặc định. Cuối cùng bạn chọn Finish để hoàn thành phần khai báo, bạn nhấp chuột tiếp vào nút OK để trở lại hộp thoại đầu tiên. I. CHÍNH SÁCH HỆ THỐNG Tiếp theo bạn chuyển sang Tab Manage Filter Actions để tạo ra các tác động bảo mật. Bạn nhấp chuột vào nút Add hệ thống sẽ hướng dẫn bạn khai báo các thông tin về tác động. Trước tiên bạn đặt tên cho tác động này, ví dụ như làEncrypt.Tiếp tục trong mục Filter Action bạn chọn Negotiate security, trong mục IP Traffic Security bạn chọn Integrity and encryption.Đến đây bạn đã hoàn thành việc tạo một tác động bảo mật. I. CHÍNH SÁCH HỆ THỐNG Trong công cụ DomainController Security Policy, bạn nhấp phải chuột trên mục IP Security Policies on Active Directory, rồi chọn Create IP Security Policy, theo hướng dẫn bạn nhập tên của chính vào, ví dụ là First IPSec, tiếp theo bạn phải bỏ đánh dấu trong mục Active the default response rule.Các giá trị còn lại bạn để mặc định vì qui tắc Dynamic này chúng ta không dùng và sẽ tạo ra một qui tắc mới. I. CHÍNH SÁCH HỆ THỐNG Trong hộp thoại chính sách IPSec, bạn nhấp chuột vào nút Add để tạo ra qui tắc mới. Hệ thống sẽ hướng dẫn bạn từng bước thực hiện, đến mục chọn bộ lọc bạn chọn bộ lọc vừa tạo phía trên tên “Connect to 203.162.100.1”, mục chọn tác động bạn chọn tác động vừa tạo tên Encypt. Đến mục chọn phương pháp chứng thực bạn chọn mục Use this string to protect the key exchange và nhập chuỗi làm khóa để mã hóa dữ liệu vào, trong ví dụ này là “quantri”. I. CHÍNH SÁCH HỆ THỐNG Đến bước này thì công việc thiết lập chính sách IPSec theo yêu cầu trên của bạn đã hoàn thành, trong khung của sổ chính của công cụ Domain Controller Security Policy, bạn nhấp phải chuột lên chính sách First IPSec và chọn Assign để chính sách này được hoạt động trên hệ thống Server. I. CHÍNH SÁCH HỆ THỐNG II.1 Giới thiệu II.1.1 So sánh giữa System Policy và Group Policy Chúng ta đã tìm hiểu về chính sách hệ thống (System Policy), tiếp theo chúng ta sẽ tìm hiểu về chính sách nhóm (Group Policy). Vậy hai chính sách này khác nhau như thế nào. Chính sách nhóm chỉ xuất hiện trên miền Active Directory nó không tồn tại trên miền NT4. Chính sách nhóm làm được nhiều điều hơn chính sách hệ thống. Chính sách nhóm tự động hủy bỏ tác dụng khi được gỡ bỏ, không giống như các chính sách hệ thống. Chính sách nhóm được áp dụng thường xuyên hơn chính sách hệ thống. II. CHÍNH SÁCH NHÓM Bạn có nhiều mức độ để gán chính sách nhóm này cho người từng nhóm người hoặc từng nhóm đối tượng. Chính sách nhóm tuy có nhiều ưu điểm nhưng chỉ áp dụng được trên máy Win2K, WinXP và Windows Server 2003. II.1.2 Chức năng của Group Policy Triển khai phần mềm ứng dụng Gán các quyền hệ thống cho người dùng Giới hạn những ứng dụng mà người dùng được phép thi hành Kiểm soát các thiết lập hệ thống Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy Đơn giản hóa và hạn chế các chương trình Hạn chế tổng quát màn hình Desktop của người dùng II. CHÍNH SÁCH NHÓM II.2 Triển khai một chính sách nhóm trên miền Chúng ta cấu hình và triển khai Group Policy bằng cách xây dựng các đối tượng chính sách (GPO). Bạn dùng chương trình Group Policy Object Editor để tạo ra các đối tượng chính sách. Trong của sổ chính của Group Policy Object Editor có hai mục chính: cấu hình máy tính (computer configuration) và cấu hình người dùng (user configuration). II. CHÍNH SÁCH NHÓM II.2.1 Xem chính sách cục bộ của một máy tính ở xa Để xem một chính sách cục bộ trên các máy tính khác trong miền, bạn phải có quyền quản trị trên máy đó hoặc quản trị miền. Lúc đó bạn có thể dùng lệnh GPEDIT.MSC /gpcomputer:machinename. II.2.2 Tạo các chính sách trên miền Dùng Snap-in Group Policy trong Active Directory User and Computer hoặc gọi trược tiếp tiện ích Group Policy Object Editor từ dòng lệnh trên máy Domain Controller để tạo ra các chính sách nhóm cho miền II. CHÍNH SÁCH NHÓM Trong hộp thoại xuất hiện bạn chọn Tab Group Policy. II. CHÍNH SÁCH NHÓM Bạn chọn chính sách Default Domain Policy và nhấp chuột vào nút Option để cấu hình các lựa chọn việc áp dụng chính sách. Trong hộp thoại Options, nếu bạn đánh dấu vào mục No Override thì các chính sách khác được áp dụng ở dòng dưới sẽ không phủ quyết được những thiết định của chính sách này, cho dù chính sách đó không đánh dấu vào mục Block Policy inheritance. Tiếp theo nếu bạn đánh dấu vào mục Disabled, thì chính sách này sẽ không hoạt động ở cấp này, việc Disable chính sách ở một cấp không làm disable bản thân đối tượng chính sách. II. CHÍNH SÁCH NHÓM Để tạo ra một chính sách mới bạn nhấp chuột vào nút New, sau đó nhập tên của chính sách mới. Để khai báo thêm thông tin cho chính sách này bạn có thể nhấp chuột vào nút Properties, hộp thoại xuất hiện có nhiều Tab, bạn có thể vào TaLinks để chỉ ra các site, domain hoặc OU nào liên kết với chính sách. Trong Tab Security cho phép bạn cấp quyền cho người dùng hoặc nhóm người dùng có quyền gì trên chính sách này. II. CHÍNH SÁCH NHÓM Trong hộp thoại chính của Group Policy thì các chính sách được áp dụng từ dưới lên trên, cho nên chính sách nằm trên cùng sẽ được áp dụng cuối cùng. Do đó, các GPO càng nằm trên cao trong danh sách thì càng có độ ưu tiên cao hơn, nếu chúng có những thiết định mâu thuẫn nhau thì chính sách nào nằm trên sẽ thắng. Vì lý do đó nên Microsoft thiết kế hai nút Up và Down giúp chúng ta có thể di chuyển các chính sách này lên hay xuống. II. CHÍNH SÁCH NHÓM Trong các nút mà chúng ta chưa khảo sát thì có một nút quan trọng nhất trong hộp thoại này đó là nút Edit. Bạn nhấp chuột vào nút Edit để thiết lập các thiết định cho chính sách này, dựa trên các khả năng của Group Policy bạn có thể thiết lập bất cứ thứ gì mà bạn muốn. Chúng ta sẽ khảo sát một số ví dụ minh họa ở phía sau. II. CHÍNH SÁCH NHÓM II.3 Một số minh họa Gro trên người dùng và cấu hình máy. II.3.1 Khai báo một logon script dùng chính sách nhóm. Trong Windows Server 2003 hỗ trợ cho chúng ta bốn sự kiện để có thể kích hoạt các kịch bản (script) hoạt động là: startup, shutdown, logon, logoff. Để khai báo các kịch bản sẽ hoạt động khi startup, shutdown, bạn có thể vào Computer Configuration / Windows Setttings / Scripts. Để khai báo các kịch bản sẽ hoạt động khi logon, logoff thì bạn vào User Configuration / Windows Setttings / Scripts. II. CHÍNH SÁCH NHÓM   Nhấp đúp chuột vào mục Logon bên của sổ bên phải, hộp thoại xuất hiện, bạn nhấp chuột tiếp vào nút Add để khai báo tên tập tin kịch bản cần thi hành khi đăng nhập. II. CHÍNH SÁCH NHÓM Thư mục này có thể thay đổi, tốt nhất bạn nên nhấp chuột vào nút Show Files phía dưới hộp thoại để xem thư mục cụ thể chứa các tập tin kịch bản này. Nội dung script có thể thay đổi tùy theo yêu cầu của bạn. II. CHÍNH SÁCH NHÓM Tiếp theo để kiểm soát quá trình thi hành của tập tin script, bạn cần hiệu chỉnh chính sách Run logon scripts visible ở trạng thái Enable. Trạng thái này giúp bạn có thể phát hiện ra các lỗi phát sinh khi tập tin script thi hành từ đó chúng ta có thể sửa chữa. Để thay đổi chính sách này bạn nhấp chuột vào mục: User Configuration / Administrative Templates / System /Scripts, sau đó nhấp đúp chuột vào mục Run logon scripts visible để thay đổi trạng thái. II. CHÍNH SÁCH NHÓM II.3.2 Hạn chế chức năng của Internet Explorer Chúng ta muốn các người dùng dưới máy trạm không được phép thay đổi bất kì thông số nào trong Tab Security, Connection và Advanced trong hộp thoại Internet Options của công cụ Internet Explorer. Trong công cụ Group Policy Object Editor: User Configuration /Administrative Templates / Windows Components /InternetExplorer / Internet Control Panel II. CHÍNH SÁCH NHÓM III.3.3 Chỉ cho phép một số ứng dụng được thi hành Để cấu hình Group Policy chỉ cho phép các người dùng dưới máy trạm chỉ sử dụng được một vài ứng dụng nào đó, trong công cụ Group Policy Object Editor, bạn vào User Configuration / Administrative Templates. Sau đó nhấp đúp chuột vào mục Run only allowed windows applications để chỉ định các phần mềm được phép thi hành. II. CHÍNH SÁCH NHÓM THE END