Các mở rộng của Group Policy trong Windows Vista và Windows Server 2008 (Phần 3)

Các mở rộng của Group Policy trong Windows Vista và Windows Server 2008 (Phần 1)
Các mở rộng của Group Policy trong Windows Vista và Windows Server 2008 (Phần 2)

Brien M. Posey

Bảo mật là một trong những mối quan tâm lớn của Microsoft khi phát triển hệ điều hành Windows Server 2008 và Windows Vista, chính vì điều đó mà không hề ngạc nhiên rằng có nhiều thiết lập của Group Policy mới được bổ sung trong hai hệ điều hành này. Chúng tôi muốn bắt đầu bài này bằng cách nói về các thiết lập Group Policy có liên quan đến tính năng bảo mật mới có tên gọi User Account Protection (được viết tắt là UAC).

Nếu bạn không quen với UAC thì chúng tôi phải nói rằng nó là một tính năng bảo mật được thiết kế để bảo vệ Windows bằng cách cung cấp cho người dùng những quyền hạn một cách vừa phải. Trong môi trường Windows XP, người dùng thường có quyền quản trị viên cục bộ để có thể thực hiện các công việc của họ. Khi thiết kế Vista, Microsoft đã mất rất nhiều thời gian về xem xét các việc gì người dùng thực sự cần thiết, từ đó đưa ra quyền được thực hiện nhiệm vụ trong các tài khoản người dùng chuẩn để người dùng không cần phải được thừa nhận có quyền của quản trị viên. Ví dụ, một trong số những nhiệm vụ mà Windows Vista cho phép người dùng di động thực hiện mà không cần đến quyền quản trị gồm có: cài đặt driver cho máy in, nhập khóa WEP, cấu hình kết nối VPN và cài đặt nâng cấp các ứng dụng.

User Account Protection hầu như không ban cho người dùng thêm quyền, mà tính năng này được thiết kế để bảo vệ các quản trị viên đối với chính bản thân họ. Cho dù là ai đó đã đăng nhập như một quản trị viên thì Windows vẫn coi họ như một người dùng chuẩn. Nếu người dùng cố gắng thực hiện một số hành động cần đến quyền quản trị thì Windows sẽ nhắc nhở người dùng thực hiện một số nhiệm vụ nhằm đảm bảo tính bảo mật.

Các quản trị viên cũng có thể chọn đăng nhập như những người dùng chuẩn. Nếu một người dùng chuẩn cần thực hiện một hành động yêu cầu đến quyền quản trị viên thì họ không phải chạy từ Run. Thay vào đó, Vista sẽ tự động nhắc nhở họ nhập vào một số thông tin quan trọng có thể được sử dụng cho nhiệm vụ đó.

Bây giờ tôi sẽ giới thiệu cho bạn một số kiến thức cơ bản liên quan đến User Account Protection là gì và nó làm việc như thế nào, hãy xem một số thiết lập Group Policy có liên quan đến UAC. Giống như hầu hết các thiết lập Group Policy khác mà chúng tôi đã giới thiệu cho bạn trong phần 1 và 2, các thiết lập Group Policy mà chúng tôi đang muốn nói đến chỉ thích hợp với Windows Server 2008 và Windows Vista. Chính vì vậy, cho tới khi Windows Server 2008 được phát hành và bạn có một bộ điều khiển miền trên Windows Server 2008 trong mạng thì các thiết lập Group Policy này sẽ phải thiết lập ở mức Local Computer (mức cục bộ) trong hệ thống thứ bậc Group Policy.

Các thiết lập Group Policy có liên quan đến UAC có thể được tìm thấy trong giao diện sử dụng của Group Policy tại Computer Configuration | Windows Settings | Security Settings | Local Policies | Security Options. Bạn có thể xem số thiết lập chính sách có sẵn trong hình A.

Hình A: Các thiết lập của Group Policy liên quan đến tính năng bảo vệ tài khoản của Vista

Như những gì thấy trong hình, có nhiều thiết lập không liên quan đến User Account Protection. Các thiết lập cho User Account Protection được đặt ở phần dưới của màn hình.

Thiết lập đầu tiên có liên quan đến UAC là “Admin Approval Mode for the Built In Administrator Account”. Tùy chọn này được kích hoạt mặc định, điều đó làm cho tài khoản quản trị viên được coi như một người dùng chuẩn. Bất cứ hành động yêu cầu đến quyền quản trị viên sẽ làm cho Windows nhắc nhở người dùng trước khi hành động đó được tiến hành. Nếu tùy chọn này bị vô hiệu hóa thì Vista sẽ thực hiện giống như Windows XP.

Tài khoản quản trị viên đính kèm sẽ được coi như một quản trị viên đích thực và người dùng sẽ không bị nhắc nhở một số yêu cầu để có được sự cho phép của Windows.

Tùy chọn có sẵn tiếp theo là “Behavior of the Elevation Prompt for Administrators in Admin Approval Mode”. Như bạn đã biết, Vista được thiết kế để nó sẽ không thực hiện một hành động quản trị mà không có sự cho phép của quản trị viên. Tùy chọn này sẽ cho bạn kiểm soát được những kiểu cho phép gì một quản trị viên phải đưa ra theo thứ tự cho hành động đã yêu cầu được hoàn thành.

Tùy chọn mặc định này là một nhắc nhở về sự cho phép. Điều đó có nghĩa rằng quản trị viên sẽ bị hỏi xem họ muốn cho phép hoặc từ chối một hành động đó hay không. Cải thiện mới ở đây là quản trị viên có thể được nhắc nhở những thông tin quan trọng. Điều này sẽ bắt buộc một quản trị viên phải nhập vào mật khẩu của họ trước trước khi thực hiện bất kỳ hành động quản trị nào. Tùy chọn này có thể gây ra nhiều rắc rối trong sử dụng nhưng nó đáng giá trong các môi trường đòi hỏi độ bảo mật cao.

Tùy chọn cuối cùng là làm tăng sự cho phép mà không cần nhắc nhở quản trị viên cho phép hành động. Chúng tôi không khuyến khích các bạn sử dụng tùy chọn này.

Đúng như Windows Vista hạn chế những gì một quản trị viên có thể thực hiện mà không cần sự cho phép, bên cạnh đó nó cũng hạn chế các quyền của người dùng chuẩn. Bạn có thể kiểm soát những gì xảy ra khi một người dùng chuẩn cố gắng thực hiện một hành động cần đến các quyền ưu tiên mức cao bằng thiết lập Behavior of the Elevation Prompt for Standard Users trong UAC.

Khi người dùng chuẩn cố gắng thực hiện một hành động cần đến quyền ưu tiên cao, một trong hai thứ có thể xuất hiện lúc này. Người dùng có thể bị nhắc nhở nhập vào các thông tin quản trị hoặc yêu cầu có thể bị từ chối tự động mà không thấy xuất hiện nhắc nhở. Mặc định, người dùng chuẩn được nhắc nhở để nhập vào thông tin quan trọng liên quan đến quyền quản trị nếu họ đang làm việc trong môi trường gia đình, tuy nhiên các yêu cầu nâng cao bị hạn chế một cách tự động khi người dùng hoạt động trong môi trường doanh nghiệp.

Mặc dù Windows Vista được thiết kế yêu cầu đến sự nâng cao về đặc quyền cho mỗi kiểu hành động cụ thể nhưng một số kiểu hành động có thể được cấu hình để chúng có thể được nhắc nhở mà không yêu cầu đến sự nâng cao trong quyền truy cập. Một ví dụ trong trường hợp này là cài đặt phần mềm. Thiết lập Detect Application Installations and Prompt for Elevation của UAC cho phép các ứng dụng được cài đặt mà không yêu cầu đến sự nâng cao về đặc quyền.

Không yêu cầu đến các đặc quyền nâng cao cho việc cài đặt phần mềm dường như phản lại tác dụng năng suất, tuy nhiên ở đây có thể sử dụng hoàn toàn phù hợp với thiết lập này. Trong môi trường được quản lý, các ứng dụng thường được triển khai thông qua một thiết lập chính sách nhóm hoặc thông qua một SMS Server, hoặc một cơ chế tương tự. Trong các tình huống như vậy, nó có thể không thực tế khi yêu cầu một quản trị viên cho phép ai đó thực hiện hành động của họ trên mỗi máy trạm mỗi khi họ cài đặt ứng dụng. Chính vì vậy, bạn có thể vô hiệu hóa nhắc nhở đòi nâng cao quyền điều khiển trong các môi trường như vậy. Hãy ghi nhớ rằng điều này không có nghĩa người dùng chuẩn sẽ có thể cài đặt ứng dụng. Nó chỉ cho những người có sự cho phép thích hợp mà không bị gây trở ngại bởi nhắc nhở nâng cao quyền điều khiển.

Kết luận

Trong phần này, chúng tôi đã giới thiệu User Account Control là một trong những thành phần quan trọng trong bảo mật của Windows Vista. UAC làm cho Windows Vista có thêm khả năng chống lại với những ảnh hưởng của malware so với các phiên bản trước. Với sự quan trọng trong bảo mật của User Account Control, các quản trị viên cần phải hiểu cách cấu hình nó để có được những cần thiết về bảo mật cho tổ chức của họ. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ tiếp tục giới thiệu bằng cách giới thiệu thêm về các thiết lập có liên quan đến UAC.