Sử dụng Group Policy để tập trung cấu hình hệ thống

Quản trị mạngHầu hết các tổ chức đều có một cấu hình chuẩn để thiết lập các máy tính mới đó là xây dựng thành một file image và triển khai theo. Tuy phương pháp này làm việc khá hiệu quả song nó vẫn còn tồn tại một nhược điểm đối với sự tiến triển theo thời gian.

Các thiết lập Group Policy nào đó có thể rất hữu dụng trong việc triển khai các máy tính có cấu hình chuẩn vì chúng cho phép các thay đổi được áp dụng theo một cách thức nào đó và bảo đảm rằng các máy tính đang chạy đúng theo các cấu hình được cho phép.

Cạm bẫy của các cấu hình theo image

Khi triển khai một máy tính, một quản trị viên phải cài đặt Windows, sau đó thực hiện một số điều chỉnh để phục vụ mục đích triển khai đồng loạt. SYSPREP được sử dụng để bỏ đi bất cứ thứ gì mang tính đặc trưng (hay duy nhất) đối với máy tính đó (ví dụ như SID hoặc tên máy tính), cuối cùng một image được tạo ra từ ổ cứng của máy tính này và được đem đi triển khai cho các máy tính khác.

Thời gian đầu khi image được khởi động, Windows sẽ chạy một cài đặt nhỏ gồm có các câu hỏi cơ bản về cấu hình (điều này là vì image mang tính chung). Người dùng hoàn toàn có thể khắc phục tình trạng này bằng cách cung cấp cho Windows một answer file. Mặc dù vậy các bạn vẫn cần phải nhớ rằng, answer file thường được dùng trong cách thức tự động hóa cho quá trình cài đặt và nó giả bộ rằng bất cứ tùy chỉnh về cấu hình nào không liên quan trực tiếp đến cài đặt sẽ được thực hiện thủ công sau khi máy tính được tạo ảnh – và vấn đề nằm ở chỗ đó.

Windows cung cấp hàng trăm thiết lập cấu hình khác nhau mà các quản trị viên có thể tinh chỉnh. Trong đó một số thiết lập mang tính toàn cục, một số được áp dụng ở mức user profile và dành cho người dùng cụ thể.

Cho ví dụ, trước khi lấy image một máy tính, bạn thay đổi thiết lập quản lý về nguồn và vô hiệu hóa sidebar của Windows Vista. Sau đó thực hiện SYSPREP cho máy, tạo một image và triển khai image đó cho các máy tính khác. Thời điểm đầu tiên khi người dùng đăng nhập vào máy tính đó, các thiết lập quản lý nguồn đã tùy chỉnh sẽ vẫn giữ nguyên ảnh hưởng, tuy nhiên sidebar của Windows sẽ được kích hoạt mặc định. Điều này là vì cấu hình sidebar của Windows cư trú bên trong user profile. Thời gian đầu khi một người dùng mới đăng nhập, một profile mới sẽ được tạo và các thiết lập mặc định của Windows sẽ được áp dụng.

Một vấn đề khác với các cấu hình image là sự tiến triển theo thời gian: cấu hình được triển khai hôm nay chắc chắn sẽ khác với cấu hình đã được triển khai một năm tới đây.

Chính vì điều này mà chúng ta cần phải cố gắng tránh tạo các thay đổi cấu hình một cách thủ công với các máy tính trước khi chạy SYSPREP bằng cách thực thi nhiều thiết lập cấu hình có thể cho chính sách bảo mật nội bộ của máy tính.

Thi hành chính sách bảo mật nội bộ

Các quản trị viên mạng có thể dễ dàng thực hiện chính sách bảo mật nội bộ vì nó sẽ được ghi đè khi người dùng đăng nhập vào mạng. Bất chấp chính sách bảo mật nội bộ có thích đáng hay không.

Để bắt đầu, Group Policy (gồm có các chính sách bảo mật nội bộ) cho phép hầu hết mọi khía cạnh của Windows được tùy chỉnh. Cho ví dụ, Microsoft cung cấp các mẫu (template) quản trị để tùy chỉnh cấu hình Microsoft Office.

Chính sách bảo mật nội bộ được thiết kế để bảo vệ các máy tính không được kết nối mạng. Bởi vậy việc tạo chính sách bảo mật nội bộ sẽ duy trì được cấu hình chuẩn, thậm chí người dùng đăng nhập cục bộ.

Rõ ràng các chính sách bảo mật nội bộ chỉ mang tính nội bộ đối với một máy tính nào đó và không thể quản lý tập trung. Khi cấu hình được cho phép của bạn tiến triển theo thời gian, các chính sách bảo mật nội bộ trên các máy trạm sẽ trở thành lỗi thời.

Tuy nhiên, các chính sách nhóm thường có kiến trúc thứ bậc. Các GPO mức mạng (Network-level) cung cấp các thiết lập giống như các chính sách nhóm và trong sự kiện xung đột, chính sách bảo mật nội bộ có mức ưu tiên thấp nhất trong số các GPO. Điều này có nghĩa rằng nếu một thiết lập chính sách bị lạc hậu thì thiết lập mới có thể được nhập vào chính sách Network-level và sẽ ghi đè lên chính sách bảo mật nội bộ.

Ở đây có một câu hỏi rất quan trọng đó là: Nếu các chính sách bảo mật nội bộ bị ghi đè bởi các chính sách nhóm mức mạng khi đăng nhập thì tại sao lại phải lo ngại trong việc sử dụng chúng nếu chúng quả thực bị lạc hậu?

Vấn đề ở đây là, khi cấu hình được cho phép của bạn tiến triển, chỉ có một vài thiết lập sẽ thay đổi ở một thời điểm cụ thể nào đó – rất hiếm trường hợp xảy ra khi mọi thiết lập Group Policy trong một tổ chức sử dụng trở thành lạc hậu sau một đêm.

Với quan điểm đó, chúng ta hãy giả dụ một máy tính có một chính sách bảo mật nội bộ nào đó đã bị lạc hậu nhưng đã cập nhật chính sách mức mạng. Nếu ai đó đã đăng nhập nội bộ, chính sách bảo mật nội bộ sẽ vẫn cung cấp một số khía cạnh bảo vệ, và nó sẽ thực thi cấu hình chuẩn của máy như đã tồn tại trước đây. Cách thức này thường tốt hơn nhiều so vói việc dựa vào những gì mặc định của Windows.

Có nhiều người có thể thắc mắc rằng các cấu hình áp dụng thủ công cho image SYSPREP sẽ chạy theo cùng một cách. Do các cấu hình thủ công vẫn duy trì sự ảnh hưởng trừ khi nó bị ghi đề bằng các thiết lập đã được thực thi thông qua Group Policy, vậy tại sao phải tạo một chính sách bảo mật nội bộ?

Lý do cho việc tạo một chính sách bảo mật nội bộ ở đây là cho phép bạn có thể sử dụng tất cả các tùy chỉnh của mình ở một điểm nào đó. Khi SYSPREP trở thành lạc hậu đến nỗi cần phải được thay thế khi đó bạn có thể điều chỉnh chính sách bảo mật nội bộ đang tồn tại sao cho tương xứng với cấu hình được cho phép thay cho việc vẫn phải thay đổi thủ công một loạt các thiết lập hệ thống khác nhau.

Thứ Năm, 10/12/2009 12:12
31 👨 2.705