Bảo mật Endpoint bằng Group Policy

Group Policy là một cơ chế quan trọng trong tiến trình bảo mật mạng. Dưới đây là một số cài đặt rất hữu dụng để khóa chặn truy cập mạng.

Thiết lập kiểm soát lưu trữ di động

Các thiết bị lưu trữ Universal Serial Bus (USB) gây ra một mối đe dọa lớn tới sự bảo mật của máy trạm. Những thiết bị này giúp kẻ gian dễ dàng đánh cắp thông tin hay cài đặt những phần mềm trái phép vào mạng.

Mặc dù không có công cụ nào trong Group Policy giúp kiểm soát truy cập của các thiết bị lưu trữ USB này, tuy nhiên có một số cài đặt chặn người dùng sử dụng những thiết bị này.

Một phương pháp liên quan tới tiến trình tạo một bản mẫu quản trị tùy biến chứa một Group Policy Template, cung cấp khả năng truy cập tới một cài đặt có thể được sử dụng để tắt cổng USB.

Nhập bản mẫu này vào Group Policy dưới dạng file .adm.
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"
(Nguồn Microsoft).

Để tạo file .adm, tải file .msi chứa các file .adm tại đây, sau đó click đúp vào file .msi để cài đặt.
Lưu ý: Lựa chọn bản tải .msi phù hợp với hệ thống.





Ngoài ra, các thiết bị lưu trữ USB có thể bị tắt bỏ với các chính sách giới hạn phần mềm. Khi một người dùng kết nối một ổ USB vào hệ thống, Windows sẽ tải file diver %SystemRoot%\Inf\USBSTOR.INF. Một Hash Rule có thể được tạo để chặn truy cập tới file này như trong hình dưới đây.


Chặn ổ USB truy cập vào file USBSTOR.INF.

Mặc dù đây không phải là một phương pháp nền tảng chính sách, nhưng đây là một phương pháp khá đơn giản để sử dụng những giấy phép của file hệ thống NT để từ chối truy cập tới file USBSTOR.INF.

Ngoài ra, các công cụ nhóm ba, như GFI EndPoint Security, có thể cung cấp nhiều quyền kiểm soát hơn với những thiết bị lưu trữ di động so với những côgn cụ được tích hợp trong Windows.

Kích hoạt chính sách bảo mật cục bộ

Các chính sách bảo mật cục bộ cung cấp nhiều cài đặt tương tự như các chính sách cấp độ mạng, tuy nhiên chúng được thiết kế để bảo vệ hệ thống khi nó không được thẩm định quyền trong một miền. Do đó, một máy tính sẽ không xuất hiện điểm yếu nếu ai đó tìm ra phương pháp đăng nhập cục bộ.

Những chính sách bảo mật này thường bị bỏ qua vì chúng không thể được quản lý tập trung, do đó rất khó để có thể cập nhật.

Hơn nữa, mỗi máy tính trên mạng cần có một chính sách bảo mật cục bộ với các cài đặt quan trọng đã được kích hoạt. Nếu chính sách này trở nên lỗi thời thì các cài đặt chính sách mạng sẽ ghi đè các cài đặt của chính sách cục bộ khi người dùng trực tuyến. Khi một người dùng không đăng nhập vào mạng, các chính sách bảo mật cục bộ sẽ bảo vệ cho hệ thống. Có sự bảo vệ của một chính sách lỗi thời dù sao cũng tốt hơn được bảo vệ.

Windows Mobile

Thông thường, Endpoint Security thường được tập trung vào máy desktop hay laptop và máy chủ. Các thiết bị Mobile thường bị bỏ ngỏ do chúng được sử dụng rất ít và khả năng cũng hạn chế. Tuy nhiên, hiện nay mọi thứ đã thay đổi.

Những chiếc điện thoại thông minh có thể thực hiện chức năng của máy tính xuất hiện ngày cành nhiều, dẫn đến các ứng dụng dành cho điện thoại di dộng cũng lan tràn nhanh chóng.

Kết quả là một thiết bị di động không bảo mật có thể gây ra vấn đề bảo mật cho mạng như một chiếc laptop không được bảo mật. Nếu người dùng muốn sử dụng thiết bị di động để đột nhập vào mạng, sẽ có ứng dụng đóng vai trò là trợ thủ đắc lực. Thực tế là hiện này chúng ta đã được nghe rất nhiều thông tin về các cuộc lan tràn virus trên những thiết bị di động.

Các cài đặt của Group Policy có thể được sử dụng để chặn các thiết bị di động tương tự như khi khóa một hệ thống desktop. Tuy nhiên, không phải mọi thiết bị di động đề tương thích với bảo mật nền tảng Group Policy.

Các cài đặt Group Policy cấp độ mạng chỉ có thể được áp dụng cho các thành viên miền. Do đó, chỉ những thiết bị có thể tham gia vào miền mới được bảo mật bằng Group Policy. Hiện nay, chỉ những thiết bị di động sử dụng hệ điều hành Windows Mobile 6.1 và 6.5 mới có thể tham gia vào miền.

Cài đặt Group Policy cho các thiết bị di động không được tích hợp trong Windows Server. Để có được những bản mẫu quản trị cần thiết, chúng ta cần cài đặt System Center Mobile Device Manager. Công cụ này bổ sung khoảng 125 cài đặt của Group Policy, có thể truy cập qua Group Policy Object Editor tại Administrative Templates / Windows Mobile Settings.

Tóm lại, chỉ cần sử dụng một số cài đặt Group Policy sẵn có, chúng ta có thể khóa Endpoint để tăng cường bảo mật.
Thứ Ba, 29/12/2009 16:47
31 👨 1.877
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp