Phần 2: Bảo vệ các máy tính với Windows SteadyState

Phần 1: Giới thiệu về Windows SteadyState

Jakob H. Heidelberg

Trong phần 1 của loạt bài này chúng tôi đã giới thiệu một chút về Windows SteadyState (WSS). Trong phần 2 này chúng tôi sẽ giới thiệu tiếp về chủ đề này. Tiếp theo và phần cuối cùng trong loạt này chúng tôi sẽ giới thiệu cho các bạn về phiên bản 2.5 của bộ công cụ tuyệt vời này – đây cũng là phiên bản đầu tiên hỗ trợ cho Windows Vista.

Trước khi cài đặt WSS

Trước khi cài đặt WSS, bạn cần hủy bỏ cài đặt của các phiên bản Microsoft Shared Computer Toolkit và phiên bản WSS có trước đó (chỉ liên quan khi cài đặt phiên bản 2.5 hiện đang trong bản Beta).

Trong thế giới của chúng ta, bạn muốn bắt đầu từ điểm xuất phát với cài đặt toàn bộ Windows XP từ đầu, mức Service Pack mới nhất, driver mới nhất và tất cả các nâng cấp cần thiết (từ website của Windows Update). Tuy nhiên bạn cũng có thể sử dụng cài đặt Windows XP đang tồn tại, chỉ remove các ứng dụng phần mềm không cần thiết, profile của người dùng cũng như các file tạm thời,.. nhưng thay vì xóa sạch một hệ thống cũ chúng tôi khuyên bạn nên bắt đầu tất cả mọi thứ từ đầu (khi đó sẽ không bị xót bất cứ một lỗ hổng bảo mật đang tồn tại nào,…). Bắt đầu này chúng ta cần một máy tính Windows XP ảothực hiện cho các mục đích demo hoặc test.

Mặc dù WSS bảo vệ khi có các thay đổi xảy ra nhưng bạn vẫn nên cài đặt phần mềm được hỗ trợ chống malware và cập nhật danh sách một cách liên tục. Bạn cũng nên nhớ thiết lập một vài mật khẩu mạnh cho các tài khoản quản trị nội bộ.

Chúng tôi cũng khuyên bạn nên cài đặt các ứng dụng, tính năng và dịch vụ mà người dùng cần có trước khi cài đặt WSS – hoặc ít nhất trước khi “khóa” bằng Windows Disk Protection (WDP).

Một thứ gần như cuối cùng trước khi cài đặt WSS (và kích hoạt WDP) là bạn phải bảo đảm thực hiện việc defragment (dồn ổ) cho các đĩa hệ thống để tối ưu hóa hiệu suất. Hãy nhớ rằng nó chỉ được thực hiện khi WDP được kích hoạt cuối cùng để bạn có thể xem xét hệ thống “ổn định và an toàn”.

Các bước đầu tiên

Lúc này bạn hoàn toàn sẵn sàng cài đặt gói cài đặt đã được download. Trước tiên bạn chấp nhận các điều khoản đăng ký nếu chúng hoàn toàn OK đối với bạn – tiếp đến đăng ký của Windows được hợp lệ với Windows Genuine Advantage (WGA) – thì cài đặt sẽ được bắt đầu, khi đó nó sẽ mất một vài phút để thực hiện công việc cài đặt. Kích Finish khi đã sẵn sàng.

Tại desktop của bạn, trong menu All Programs, shortcut mới của chương trình “Windows SteadyState” lúc này sẽ xuất hiện. Đầu tiên hướng dẫn tham chiếu trợ giúp tỉ mỉ được khởi chạy một cách tự động (xem trong hình 1) cũng như các cửa sổ WSS (hình 2).


Hình 1: WSS: Trợ giúp ban đầu (Getting Started)

Chúng tôi khuyên bạn nên đọc file hướng dẫn này và WSS handbook

Màn hình “Global Computer Settings” (hình 2) hiển thị cho chúng ta 3 tùy chọn chính, 3 tùy chọn sẽ được giới thiệu đến trong bài báo này:

  1. Thiết lập các hạn chế
  2. Lập lịch trình cho việc cập nhật
  3. Bảo vệ ổ đĩa cứng

Thêm nữa, trong phần menu bên trái bạn có thể truy cập vào các tài nguyên của WSS và trong phần menu bên phải, các tài khoản người dùng có thể được quản lý, được export và import. Cấu hình các thuộc tính và hạn chế người dùng cũng sẽ được giới thiệu trong bài này trong phần dưới.


Hình 2: WSS: Global Computer Settings

Đầu tiên – chúng ta hãy thiết lập các hạn chế (Computer Restrictions) cho máy tính. Như tên được ngụ ý của nó, ở đây có các thiết lập chính sách hoàn toàn rộng đối với các máy tính sẽ “hit” tất cả người dùng đang đăng nhập. Chúng tôi không giới thiệu tất cả các thiết lập này ở đây, nhưng bạn có thể thấy trong hình 3, nó có liên quan đến hộp thoại “Log On to Windows”, màn hình Welcome, profile người dùng, mật khẩu, việc tạo file và thư mục, các thiết bị USB,…


Hình 3: WSS: Set Computer Restrictions

Trong cửa sổ chính của WSS, bạn hãy chọn tùy chọn “Schedule Software Updates”. Đây là một trong các tính năng tuyệt vời của WSS – khả năng “ổn định” hệ thống, nhưng vẫn cần đến các bản nâng cấp mới (cho hệ điều hành…) và cần được cập nhật thường xuyên. Nếu bạn đã từng sử dụng bộ điều khiển phần cứng để khóa trạng thái phần cứng thì có thể biết được việc giữ các máy tính luôn trong trạng thái được cập nhật kịp thời là một vấn đề. Với WSS điều này trở thành một nhiệm vụ tự động!

Hình 4 thể hiện hộp thoại Schedule Software Updates - ở đây bạn có thể lập lịch trình cho việc nâng cấp xuất hiện theo một khoảng thời gian cụ thể nào đó, cho phép nâng cấp các chương trình bảo mật - “Security Program Updates” (AV/Anti-Malware,...) hoặc thậm chí thực thi một kịch bản download tùy chỉnh cho việc nâng cấp phần mềm (bảo mật) không được hỗ trợ và phát hiện bởi WSS một cách mặc định.


Hình 4: WSS: Schedule Software Updates

Trong cửa sổ WSS chính, bạn hãy chọn phần “Protect the Hard Disk”. Đây chính là nơi có nhiều tính năng quan trọng – tính năng rất hữu dụng có tên gọi: Windows Disk Protection, hoặc viết tắt là WDP. Như những gì bạn thấy trong màn hình bên dưới (hình 5), mặc định WDP ở trạng thái Off. Như đã đề cập từ trước, một số thứ cơ bản cần phải có trước khi kích hoạt WDP, chính vì vậy bạn cần đợi và kích hoạt nó sau.

Lưu ý ở đây là bạn có một số tùy chọn khác nhau – nhưng gợi ý ở đây là sử dụng thiết lập “Remove all changes at restart” vì đó là thiết lập sẽ thực hiện cho hầu hết các công việc quản trị. Nó không có ảnh hưởng lớn đối với vấn đề hiệu suất và file cache (nơi mà diễn ra tất cả những thay đổi), hoàn toàn được xóa trong khoảng vài giây trong khi khởi động. Chúng ta sẽ đề cập kỹ ở phần bên dưới.


Hình 5: WSS: Protect the Hard Disk – bảo vệ đĩa cứng

Hộp kiểm “Do not warn the administrator about losing changes before log off, restart, or shutdown” sẽ dẫn ra hộp thoại (xem trong hình 6) – hộp thoại này được hiển thị mặc định trong thời gian là 30 giây – khi đó quản trị viên được nhắc nhở rằng WDP hiện đang trong trạng thái ON. Chính vì vậy WDP sẽ áp dụng đến tất cả người dùng – quản trị viên hay không phải quản trị viên. Chúng tôi sẽ giới thiệu về WDP chi tiết hơn ở phần bên dưới.


Hình 6: WSS: WDP cảnh báo cho quản trị viên

Ở phần này, 3 thiết lập toàn cục của máy tính cho WSS đã được nhắm đến, chính vì vậy đây chính là thời điểm để quan sát việc tạo User và thiết lập các hạn chế nào đó cho User.

Tạo User

Tất cả các quản trị viên đều biết cách thực hiện này, những người dùng cần thiết cho các công việc cần thiết. Chính vì vậy, chúng ta hãy kích “Add a New User” trong cửa sổ WSS chính. Hình 7 hiển thị vấn đề này một cách rất trực giác và đơn giản như chúng ta thấy. Chọn User name, password (nếu cần), chọn User location và cuối cùng là ảnh cho profile. Kích OK khi thực hiện xong các công việc trên.


Hình 7: WSS: thêm người dùng mới

Lúc này những điều thú vị mới thực sự bắt đầu, đây chính là lúc chúng ta có thể điều chỉnh các thiết lập của người dùng một cách chi tiết hơn. Bạn có thể thực hiện hầu hết việc điều chỉnh này bằng cách kết hợp với Group Policy nội bộ (nhưng hãy nhớ cho tới khi chính sách nội bộ của Vista áp dụng cho tất cả người dùng gồm có cả quản trị viên), bảo mật NTFS, profile có tính bắt buộc, điều khiển dành cho bậc cao hơn (chỉ có trong Vista), …. Tuy vậy, WSS làm cho các công việc này trở nên dễ dàng hơn rất nhiều.

Tab General trong User Settings (xem trong hình 8) cho chúng ta tùy chọn “Lock” profile – đây chính là kiểu tương tự như tạo profile có tính bắt buộc (đặt lại tên User.Dat thành User.Man). Bộ tính giờ cho session cũng có thể được cấu hình ở đây – cụ thể có thể khởi động lại máy tính sau khi đăng xuất, điều đó (phụ thuộc vào các thiết lập WDP) sẽ khởi động lại hệ thống của bạn về trạng thái “clean”.


Hình 8: WSS User Settings: tab General

Tab Windows Restrictions trong User Settings (xem hình 9) cho chúng ta tùy chọn từ 4 mức hạn chế đã được cấu hình mặc định: Cao, trung bình, thấp và không hạn chế - tương đương với High, Medium, Low, No restrictions, hoặc có thể thiết lập một cách tùy ý các hạn chế này. Chúng tôi không thể giới thiệu hết các hạn chế ở đây, tuy nhiên sẽ cho các bạn có được ý tưởng rằng thứ này sẽ cho phép ẩn được ổ đĩa, remove các đối tượng trong menu Start nhằm ngăn chặn bất cứ thứ gì từ Autoplay đến máy in và vô hiệu hóa các công cụ hệ thống,…


Hình 9: WSS User Settings: tab Windows Restrictions

Tab Feature Restrictions trong User Settings (xem trong hình 10) cho chúng ta chọn từ 4 tùy chọn mặc định: High, Medium, Low, No restrictions hoặc lập một cách tùy ý các hạn chế tính năng. Chúng tôi không thể giới thiệu hết tất cả các hạn chế ở đây mà chỉ có thể cho bạn biết được rằng nó cho phép hạn chế được Internet Explorer và một số các thiết lập Microsoft Office.

Một trong những hạn chế Internet Explorer hữu dụng nhất đó là khả năng “Prevent Internet access (except Web sites below)” (khả năng ngăn chặn truy cập ngoại trừ một số website được cho bên dưới). Trong trường “Web Addresses Allowed”, bạn chỉ cần đánh vào đó bất kỳ website nào muốn để cho phép (không cần tiền tố giao thức http:// hoặc https://) và dấu ngăn cách với nhau bằng dấu “;”.


Hình 10: WSS User Settings: tab Feature Restrictions

Tab Block Programs trong User Settings (xem hình 11) cho chúng ta một tùy chọn để khóa các bảng thực thi nào đó. Danh sách các bảng thực thi nội bộ sẽ được tạo một cách tự động bởi WSS, tuy nhiên bạn có thể bổ sung thêm file một cách thủ công. Tính năng này làm việc giống như chính sách hạn chế phần mềm - Software Restriction Policies (SRP) bằng cách sử dụng tổng hợp. Để có thêm thông tin chi tiết về SRP, bạn có thể tham khảo thêm loạt bài mà chúng tôi đã giới thiệu trên QuanTriMang.com: Mặc định từ chối tất cả các ứng dụng.


Hình 11: User Settings: tab Block Programs

Thủ tục này rất đơn giản – bạn chỉ cần chọn file chương trình để khóa và kích “Block” (hoặc khóa tất cả các chương trình được tìm thấy bằng cách kích “Block All”). Nếu một người dùng nào đó muốn mở các chương trình đã bị khóa thì người này sẽ nhận được một thông báo lỗi giống như trong SRP.

Windows Disk Protection (WDP)

WDP là một công nghệ tuyệt vời dùng để cất giấu các thay đổi được thực hiện với các file trên partition hệ thống của Windows. Cache là một file vật lý (C:\Cache.WDP) có giá trị mặc định lên đến 50% partition hệ thống của bạn (có thể lên đến lớn nhất 40GB), tuy nhiên con số này có thể được điều chỉnh tối thiểu xuống 2GB bằng cách kích vào “Change cache file size” trong cửa sổ “Protect the Hard Disk”. Cache được xóa thường xuyên theo từng khoảng thời gian– theo chúng tôi tốt nhất là với mỗi lần khởi động lại (trong suốt quá trình khởi động). Việc điều chỉnh kích thước file cache có thể yêu cầu đến nhiều lần khởi động lại.

WDP so với Windows System Restore (WSR) thì có nhiều hiệu quả hơn, vì WSR chỉ kiểm tra các thay đổi đối với một tập lõi của hệ thống và các file chương trình (như các file registry quan trọng). Tuy nhiên trên nền tảng WSS, WDP đã được kích hoạt thì bạn hoàn toàn có thể khôi phục điều kiện của profile cá nhân người dùng và dữ liệu (ví dụ như Desktop, Favorites, History, Documents,…). Điều này được thực hiện một cách tự động mà không cần bất cứ sự can thiệp của người dùng hoặc quản trị viên nào!

Những điều quan trọng cần phải hiểu về điều này chính là cách Schedule Software Updates làm việc khi WDP được kích hoạt. Cơ bản thì đây là một thủ tục nâng cấp trong nutshell (bảng vắn tắt):

  1. Kích hoạt người dùng đã đăng xuất khi đến thời gian nâng cấp được lịch trình từ trước.
  2. Máy tính được khởi động lại để những thay đổi về đĩa được xóa
  3. Các tài khoản người dùng chia sẻ được vô hiệu hóa để ngăn chặn những thay đổi về đĩa không được phép.
  4. WDP: “Retain all changes permanently” (duy trì vĩnh viễn các thay đổi) được kích hoạt một cách tự động để bảo đảm lưu các thay đổi.
  5. Các nâng cấp được download và cài đặt (các kịch bản thủ công được thực thi)
  6. Máy tính phải khởi động lại
  7. WDP được thiết lập trở về “Remove all changes at restart”.

Bằng một số kỹ năng lập kịch bản, bạn có thể bảo đảm cho hệ thống của mình luôn ngăn nắp và sạch sẽ - tự động nâng cấp. Đây chính là sự khác nhau giữa WDP và các giải pháp bảo vệ phần cứng khác.

Một số câu hỏi và trả lời

WSS có hỗ trợ WSUS không?

Câu trả lời ở đây là có, WDP sẽ download và cài đặt các nâng cấp từ Microsoft Update, Windows Update, hoặc Windows Server Update Services (WSUS) – điều này tùy thuộc vào các thiết lập máy khách của bạn.

WSS có hỗ trợ thành viên miền không?

Câu trả lời là có, máy tính WSS có thể là thành viên của một miền Active Directory.

WSS có hỗ trợ sử dụng SYSPREP không?

Có, hãy nhớ vô hiệu hóa WDP và mở khóa những người dùng đã bị khóa trước.

WSS có hỗ trợ cho hệ điều hành Windows Vista không?

Tính đến thời điểm này thì Không, tuy nhiên một chương trình Beta (WSS version 2.5) hiện đang được cung cấp hoàn toàn miễn phí từ Microsoft.

Nếu tôi đã thiết lập các hạn chế về người dùng, khóa các chương trình,… và muốn sử dụng các thiết lập chính xác như vậy trên một máy tính WSS thì có thể thực hiện điều đó như thế nào – hay lại làm thủ công từ đầu?

Không, hãy sử dụng tính năng Export trong cửa sổ chính của WSS, lưu file .SSU (xem hình 12), copy file này vào máy tính khác và sử dụng tính năng Import nó.


Hình 12: WSS: Các thiết lập người dùng đã export thành công vào một file

Tôi có thể quản lý WSS bằng cách sử dụng Group Policy trong miền Active Directory của tôi không?

Có, file ADM (SCTSettings.adm) là một phần của WSS toolkit, trong phần “ \Windows SteadyState\ADM”, bằng cách bổ sung thêm vào “Administrative Templates” trong GPO thì bạn gần như có được kiểm soát hoàn toàn về các thiết lập của WSS.

Kết luận

Windows SteadyState quả thực là một công cụ tuyệt vời, cho phép bạn thực hiện nhiều khả năng kiểm soát cũng như sự linh động. Nó thực sự rất thân thiện với một giao diện quản lý đẹp mắt và hệ thống trợ giúp xuyên suốt. Các quản trị viên của nhiều máy tính công cộng (giống như các quán Internet, máy tính trong thư viện) cần xem xét đến công cụ này.

Tuy vậy những người dùng ở nhà vẫn có thể lợi dụng được một số ưu điểm của công cụ này để bảo đảm cho trẻ con có thể sử dụng máy tính an toàn hơn mà không hỏng hóc bất cứ thứ gì.

Thứ Sáu, 25/04/2008 13:01
31 👨 750
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp