Điều khiển các thiết lập bảo mật của Group Policy

Derek Melber

Quản trị mạng - Mặc định, các thiết lập bảo mật trong GPO sẽ refresh 16 giờ một lần. Trong bài này sẽ giới thiệu cho các bạn những vấn đề chi tiết về quá trình làm việc và những gì có thể thay đổi trong GPO.

Rõ ràng Group Policy trong Active Directory là cách thức logic và hiệu quả nhất để cấu hình và duy trì độ bảo mật cho tất cả domain controller, máy chủ và desktop của bạn. Tuy nhiên cách duy trì và điều khiển các thiết lập bảo mật của ứng dụng cũng như cách refresh các thiết lập trong GPO lại là một vấn đề. Thực sự có nhiều cách để điều khiển các thiết lập bảo mật trong refresh và điều khiển. Trong bài viết này, chúng tôi sẽ giới thiệu cho các bạn một trong các phương pháp để thực hiện nhiệm vụ này.

Thiết lập nào là thiết lập bảo mật?

Trước khi giới thiệu , mọi người nên biết chính xác những gì nằm trong “security settings” của GPO. Nếu bạn mở một GPO trong Windows Server 2008, bạn cần mở nút Computer Configuration|Policies|Windows Settings|Security Settings để xem tất cả các thiết lập có liên quan đến bảo mật mà chúng tôi sẽ đề cập đến trong bài này (có một số thiết lập nằm trong User Configuration|Policies|Windows Settings|Security Settings, chúng không thường xuyên được sử dụng nhưng cũng không liên quan đến trong bài này), xem trong hình 1.

http://www..com/img/upl/image0021217512604483.jpg
Hình 1: Các thiết lập bảo mật trong GPO chuẩn

Lý do tất cả các thiết lập nằm trong chủng loại này là vì tất cả chúng đều được điều khiển bởi Security Client Side Extension (CSE). Chúng ta sẽ thấy Security CSE có thể được điều khiển riêng biệt từ các CSE khác và hành động hơi khác đôi chút so với các thành phần khác.

Thực hiện Refresh thủ công

Group Policy có một quá trình refresh tự động, tuy nhiên trong một số trường hợp, khoảng thời gian này không đủ nhanh cho các thiết lập bạn muốn triển khai. Trong trường hợp như vậy, quá trình refresh có thể được kích hoạt bằng một lệnh đơn giản, rất hữu dụng trong những lần bạn kiểm tra hoặc đợi một thiết lập nào đó có hiệu lực ngay lập tức. Để refresh Group Policy (gồm có cả các thiết lập bảo mật), hãy chạy GPUPDATE từ tiện ích dòng lệnh. Với các máy tính nằm trong miền, các máy tính này sẽ sử dụng tất cả các thiết lập mới từ GPO dựa trên Active Directory và cục bộ.

Nếu bạn không thực hiện bất cứ thay đổi nào đối với GPO liên quan tới các thiết lập bảo mật mà vẫn muốn sử dụng các thiết lập một cách thủ công, hãy sử dụng khóa chuyển đổi /force với lệnh GPUPDATE. Khóa chuyển đổi này sẽ thi hành ứng dụng với tất cả các thiết lập GPO mà không cần xem xét số phiên bản GPO cũng như các nâng cấp cho GPO. Nó sẽ chỉ sử dụng lại tất cả các thiết lập có trong tất cả GPO.

Refresh Background tự động

Group Policy có một tính năng để thi hành một cách liên tục trong chế độ background mà không cần người dùng đăng xuất và đăng nhập trở lại, hoặc khởi động lại máy tính. Mặc định, các lần refresh xuất hiện xấp xỉ 90 phút mỗi lần. Đây là 90 phút cơ bản và 30 phút offset. Refresh background tự động này được điều khiển bởi một thiết lập GPO trong nút Computer Configuration|Policies|Administrative Templates|System|Group Policy. Thiết lập bạn sẽ cấu hình để thay đổi các thiết lập refresh background mặc định là khoảng thời gian refresh của Group Policy cho các máy tính, xem trong hình 2.


Hình 2: Refresh Group Policy có thể được thay đổi bằng thiết lập chính sách này

Quan điểm của chúng tôi ở đây là không cần thiết phải thay đổi ở đây vì một vài lý do. Trước hết, khoảng thời gian 90 phút là đủ hợp lý cho refresh GPO. Thứ hai nếu bạn thay đổi khoảng thời gian này thì nó sẽ ảnh hưởng đến tất cả CSE, không chỉ các thiết lập bảo mật. Điều này có thể gây ra một số vấn đề về hiệu suất trên tất cả các máy tính nằm trong mạng.

Những gì bạn sẽ muốn thực hiện liên quan đến các thiết lập bảo mật trong quá trình refresh background là bảo đảm cho chúng sử dụng mỗi lần. Điều này không cần thiết vì các thiết lập bảo mật thực hiện trong một khoảng thời gian khác (xem phần kế tiếp). Mặc dù vậy nếu bạn gặp tình huống mà ở đó người dùng được cấu hình với tư cách các quản trị viên trên máy trạm thì đây cũng là một vấn đề cần cân nhắc. Để tạo thiết lập này cho các thiết lập bảo mật trong GPO, hãy vào Computer Configuration|Policies|Administrative Templates|System|Group Policy. Ở đây bạn sẽ tìm thấy một chính sách có tên Security policy processing, xem thể hiện trong hình 3.


Hình 3: Các thiết lập bảo mật có thể được áp đặt sử dụng mỗi lần

Bằng cách kiểm tra Process cho dù các đối tượng Group Policy không bị thay đổi thì bạn sẽ chỉ kích hoạt các thiết lập bảo mật để sử dụng mỗi lần, không phải mỗi CSE.

Các thiết lập bảo mật “duy nhất”

Với trên 30 CSE, GPO sẽ liên tục thực hiện công việc trên mạng của bạn. Mặc dù vậy, có một CSE duy nhất đó là CSE thiết lập bảo mật. CSE này thực hiện như các CSE khác ngoại trừ chu kỳ 16 giờ, chúng cũng áp dụng tất cả trong các GPO mà không quan tâm đến sự thay đổi xuất hiện đối với GPO. Có điều làm cho nó khác với các CSE khác đó là khi không có các thiết lập nào thay đổi trong GPO thì các thiết lập GPO sẽ không sử dụng lại.

Đây là một tính năng tuyệt vời và cũng là tính năng có thể được thay đổi. Không giống như các thiết lập khác mà chúng tôi đã giới thiệu cho các bạn trong bài này, thiết lập này không phải là thiết lập GPO mà nó chính là thiết lập registry. Nếu muốn tự điều chỉnh thiết lập này thì bạn có thể thực hiện bằng cách thay đổi MaxNoGPOListChangesInterval nằm trong registry:

HKLM \ Software | Microsoft | Windows NT | CurrentVersion | Winlogon \ GPExtensions | {827D319E-6AC-11D2-A4EA-00C04F79F83A}

(Lưu ý: Chuỗi các ký tự dài này là GUID cho Security CSE). Bạn có thể xem đường dẫn này và thiết lập khoảng thời gian khóa trong hình 4.


Hình 4: Các thiết lập Security CSE Registry gồm có giá trị MaxNoGPOListChangesInterval

Lưu ý:

Giá trị của Registry MaxNoGPOListChangesInterval là một giá trị DWORD và có đơn vị phút. Nếu bạn muốn 16 giờ thì sẽ là 960 phút trong Registry.

Kết luận

Nếu vấn đề bảo mật thực sự cần thiết cho tổ chức và bạn sử dụng Group Policy để thực thi bảo mật thì bạn hãy điều khiển về cách thực hiện các thiết lập bảo mật trong Group Policy. Ở đây bạn sẽ có nhiều tùy chọn thi hành và điều khiển refresh, thậm chí bảo đảm các thiết lập bảo mật phù hợp theo thời gian với Group Policy. Có nhiều phương pháp thủ công để điều khiển ở máy tính mục tiêu cũng như các giải pháp trực tiếp với công cụ Active Directory Users and Computers để quản lý các nâng cấp cho Group Policy từ vị trí trung tâm, chẳng hạn như Specops. Nếu muốn các thiết lập bảo mật của mình được refresh mỗi lần refresh background, bạn có thể điều chỉnh thiết lập CSE để thực hiện điều đó. Cuối cùng nữa là bạn có thể thay đổi chu kỳ refresh background bảo mật (khác với chu kỳ mặc định 16 giờ).

Thứ Sáu, 08/08/2008 09:06
31 👨 3.305
0 Bình luận
Sắp xếp theo