Sử dụng Group Policy để quản lý mạng trong Windows Vista

Group Policy đã được giới thiệu trong Windows 2000 Server và nó là một thành phần mang lại lợi ích đáng kể cho quản trị viên. Group Policy được nâng cấp và mở rộng trong Windows Server 2003, tuy nhiên không có nhiều cải thiện đối với các thiết lập thực sự mà Group Policy lẽ ra nên có để quản lý việc kết nối mạng.

Vấn đề này đã được thay đổi trong Windows Vista. Với Windows Vista, quản trị viên có thể sử dụng các công cụ quen thuộc để quản lý mọi thứ từ các thiết lập mạng LAN đến mô hình bảo mật mạng, khả năng kết nối không dây và chất lượng của dịch vụ. Tất cả các điều này có thể được thực hiện thông qua công cụ quản trị Group Policy quen thuộc như Group Policy Management Console. Bài viết này sẽ xem xét một số khả năng mới của Group Policy trong Windows Vista – và một số trường hợp liên kết với Longhorn Server – để quản lý các truyền thông và khả năng mạng.

Các điểm truy cập

Một trong số những yếu tố mới được mong muốn nhất trong Group Policy là:

Các thiết lập mạng LAN chạy dây: Bạn có thể thông qua Group Policy để cấu hình các kết nối chạy dây theo chuẩn 802.1x.

Chế độ bảo mật: Các client không dây, với nhiều khả năng bảo mật và hoạt động khác nhau trong các phương thức bảo mật khác, có thể kết nối tất cả đến một điểm truy cập được cấu hình với một bộ nhận dạng dịch vụ đơn (SSID) – giảm bớt gánh nặng quản trị và giữ cho kết nối đơn giản.

Khả năng mở rộng và phát triển: Group Policy mới hỗ trợ các thuộc tính cụ thể, như các loại giao thức xác nhận có thể mở rộng (Extensible Authentication Protocol) khác, nghĩa là các loại phần cứng không đồng nhất sẽ nhanh chóng được cấu hình bảo mật hợp nhất.

Điều khiển trên các danh sách SSID đã cho phép: Thông qua Group Policy, bạn với tư cách quản trị viên có thể thiết lập một danh sách các điểm truy cập không dây (cụ thể hơn là các SSID ) để client Vista có thể truy cập hoặc liệt kê danh sách các SSID các client bị từ chối kết nối.

Chất lượng dịch vụ (QoS)

Sự hỗ trợ QoS trong Windows Vista và Longhorn Server đã được cải thiện và hai hệ điều hành này được dự định từ trước là có thể làm việc cùng nhau tốt hơn vào bất cứ khi nào để bảo đảm băng tần luôn ổn định cho các ứng dụng hợp pháp, trong khi vẫn tối thiểu hóa ảnh hưởng của các ứng dụng và lưu lượng không mấy liên quan – nhưng cần đến nhiều băng tần.

QoS đã từng được hỗ trợ bởi một số các thiết bị phần cứng mạng như switch và router. Khi Longhorn Server và Windows Vista được sử dụng cùng nhau, chúng sẽ cho phép các quản trị viên sử dụng Group Policy để thiết lập ngưỡng hiện thực và chính sách tăng tốc, ưu tiên hay quản lý mức lưu lượng dựa trên ứng dụng đang gửi, các địa chỉ IP nguồn hay đích, giao thức được sử dụng hoặc cổng UDP hay TCP/IP nguồn, đích.

Bảo vệ truy cập mạng

Bảo vệ truy cập mạng (NAP) là gì? Virus và malware đôi khi bị chặn đứng bởi sự bảo vệ được triển khai mức máy trạm, nhưng để đề phòng xa hơn cách tin tưởng nhất và dễ dàng nhất để ngăn chặn sự bùng nổ các thành phần độc hại này là ngăn chặn malware ngay từ khi chúng mới truy cập vào mạng – như vậy hiểm họa không thể lây lan rộng.

Trong Longhorn Server (và Windows Vista) Microsoft đã tạo một nền tảng nhờ đó các máy tính được kiểm tra dựa vào một tập hợp cơ sở cho các quản trị viên thông qua Group Policy. Nếu máy tính của bạn không thể có các chuẩn và thỏa mãn cơ sở đó thì máy tính đó có thể bị cách ly, được bảo vệ khi truy cập vào mạng cho tới khi người dùng sửa máy tính bị lỗi này.

NAP có thể hoạt động không tốt trong một số chức năng chính như: sự hợp lệ chính sách an toàn, nguyên tắc và việc giới hạn truy cập. Sự hợp lệ là quá trình máy tính cố gắng kết nối vào mạng được kiểm tra và dựa vào tiêu chuẩn an toàn nào đó do một quản trị viên đã thiết lập.

Các chính sách bắt buộc có thể được thiết lập để quản lý các máy tính lỗi, quá trình hợp lệ có thể tự động được nâng cấp hoặc sửa thông qua Systems Management Server hay một số phần mềm quản lý khác.

Giới hạn truy cập có thể là một kỹ thuật được ép buộc cho NAP, kỹ thuật này cũng có thể được thiết lập thông qua Group Policy. Trong chế độ hoạt động, các máy tính lỗi xác nhận tính hợp lệ được đặt vào một vùng truy cập đã hạn chế trong mạng, điển hình là nó khóa tất cả các lưu lượng hạn chế và truy cập mạng cho máy chủ an toàn có các công cụ cần thiết để khắc phục máy đã bị lỗi.

Firewall Windows với bảo mật nâng cao

Firewall Windows với bảo mật nâng cao cho phép bạn có thể quản lý bất cứ lúc nào với Group Policy. Bên cạnh đó, những tính năng hữu ích của nó vẫn được giữ lại, chính vì vậy bạn có nhiều quy tắc thiết thực hơn và có thể quản lý, định nghĩa các nhu cầu bảo mật rõ ràng như thẩm định quyền và mã hóa một cách dễ dàng.

Các thiết lập có thể được cấu hình trên mỗi máy tính AD hay nhóm người dùng cơ bản. Sự hỗ trợ hồ sơ cũng được cải thiện trên mỗi máy tính. Hiện tại có một hồ sơ khi một máy tính kết nối đến miền, một hồ sơ cho sự kết nối mạng riêng và một hồ sơ cho một kết nối mạng công cộng như một điểm truy cập không dây. Các chính sách có thể được nhập và xuất một cách dễ dàng, thực hiện quản lý cấu hình tường lửa của nhiều máy tính chắc chắn và đơn giản.

Thứ Năm, 22/03/2007 12:50
31 👨 1.125