Đang tải... (xem toàn văn)
Contents DANH MỤC HÌNH VẼ 3 LỜI NÓI ĐẦU 4 Chương I: KHÁI QUÁT CHUNG 5 1.1. Hệ điều hành Windows Server 2003 5 1.2. Nâng cấp thành máy chủ quản trị miền 6 1.3. Các khái niệm cơ bản về Active Directory 14 1.3.1. Phân biệt hai mô hình Workgroup và Domain 14 1.3.2. Dịch vụ thư mục và Active Directory 14 1.3.3. Một số khái niệm liên quan đến Active Directory 14 Chương II: CƠ BẢN VỀ CHÍNH SÁCH NHÓM 16 2.1. Một số khái niệm về chính sách nhóm 16 2.1.1. Chính sách nhóm là gì? 16 2.1.2. Thế nào là đối tượng chính sách nhóm? 16 2.1.3. Phân loại đối tượng chính sách nhóm. 16 2.1.4. Công cụ chỉnh sửa chính sách nhóm 17 2.1.5. Thực thể chính sách nhóm và các thiết lập chính sách 20 2.1.6. Các thiết lập phần mềm (Software settings) 21 2.1.7. Chính sách nhóm trên nền Active Directory 25 2.2. Vòng đời của GPO. 28 2.2.1. GPO được sinh ra như thế nào? 28 2.2.2. GPO tồn tại như thế nào? 28 2.2.3. Sự kết thúc vòng đời của GPO 30 2.3. Các máy trạm nhận GPO như thế nào 30 2.3.1. Clientside Extensions (CSEs) 31 2.3.2. Các thiết lập Administrative Templates được lưu trữ ở đâu? 31 Chương III: QUẢN LÝ CHÍNH SÁCH NHÓM VỚI GPMC 31 3.1. Cài đặt GPMC 32 3.1.1. GPMC là gì? 32 3.1.2. Mục tiêu và thiết kế và sử dụng GPMC 32 1 Tìm hiểu chính sách nhóm 3.1.3. Môi trường hoạt động của GPMC 3.1.4. Cài đặt GPMC trên máy chủ quản trị miền Ta có giao diện của GPMC như sau: 3.2. Những thành phần và chức năng chung của GPMC 3.2.1. Tăng giảm độ ưu tiên khi có nhiều GPO 3.2.2. Dừng một GPO đang được thi hành 3.2.3. Ngăn chặn kế thừa 3.2.4. Chức năng Enforced 3.3. Sao lưu và phục hồi các đối tượng các chính sách nhóm 3.3.1. Sao lưu GPO 3.3.2. Phục hồi GPO Chương IV: THỰC HIỆN BẢO MẬT CHÍNH SÁCH NHÓM 4.1. Kịch bản logon, logoff, startup, shutdown 4.1.1. Tạo các script logon, logoff 4.1.2. Tạo các script startup và shutdown 4.2. Các chính sách giới hạn phần mềm 4.2.1. Các quy tắc giới hạn phần mềm 4.2.2. SRP và Digital Signatures 4.2.3. Sửa lỗi SRP 2
Tìm hiểu chính sách nhóm Contents DANH MỤC HÌNH VẼ 3 LỜI NÓI ĐẦU 4 Chương I: KHÁI QUÁT CHUNG 5 1.1. Hệ điều hành Windows Server 2003 5 1.2. Nâng cấp thành máy chủ quản trị miền 6 1.3. Các khái niệm cơ bản về Active Directory 14 1.3.1. Phân biệt hai mô hình Workgroup và Domain 14 1.3.2. Dịch vụ thư mục và Active Directory 14 1.3.3. Một số khái niệm liên quan đến Active Directory 14 Chương II: CƠ BẢN VỀ CHÍNH SÁCH NHÓM 16 2.1. Một số khái niệm về chính sách nhóm 16 2.1.1. Chính sách nhóm là gì? 16 2.1.2. Thế nào là đối tượng chính sách nhóm? 16 2.1.3. Phân loại đối tượng chính sách nhóm. 16 2.1.4. Công cụ chỉnh sửa chính sách nhóm 17 2.1.5. Thực thể chính sách nhóm và các thiết lập chính sách 20 2.1.6. Các thiết lập phần mềm (Software settings) 21 2.1.7. Chính sách nhóm trên nền Active Directory 25 2.2. Vòng đời của GPO. 28 2.2.1. GPO được sinh ra như thế nào? 28 2.2.2. GPO tồn tại như thế nào? 28 2.2.3. Sự kết thúc vòng đời của GPO 30 2.3. Các máy trạm nhận GPO như thế nào 30 2.3.1. Client-side Extensions (CSEs) 31 2.3.2. Các thiết lập Administrative Templates được lưu trữ ở đâu? 31 Chương III: QUẢN LÝ CHÍNH SÁCH NHÓM VỚI GPMC 31 3.1. Cài đặt GPMC 32 3.1.1. GPMC là gì? 32 3.1.2. Mục tiêu và thiết kế và sử dụng GPMC 32 1 Tìm hiểu chính sách nhóm 3.1.3. Môi trường hoạt động của GPMC 3.1.4. Cài đặt GPMC trên máy chủ quản trị miền Ta có giao diện của GPMC như sau: 3.2. Những thành phần và chức năng chung của GPMC 3.2.1. Tăng giảm độ ưu tiên khi có nhiều GPO 3.2.2. Dừng một GPO đang được thi hành 3.2.3. Ngăn chặn kế thừa 3.2.4. Chức năng Enforced 3.3. Sao lưu và phục hồi các đối tượng các chính sách nhóm 3.3.1. Sao lưu GPO 3.3.2. Phục hồi GPO Chương IV: THỰC HIỆN BẢO MẬT CHÍNH SÁCH NHÓM 4.1. Kịch bản logon, logoff, startup, shutdown 4.1.1. Tạo các script logon, logoff 4.1.2. Tạo các script startup và shutdown 4.2. Các chính sách giới hạn phần mềm 4.2.1. Các quy tắc giới hạn phần mềm 4.2.2. SRP và Digital Signatures 4.2.3. Sửa lỗi SRP 2 Tìm hiểu chính sách nhóm DANH MỤC HÌNH VẼ Hình 1. 1: Cửa sổ Run 6 Hình 1. 2: Cửa sổ Active Directory 6 Hình 1. 3 : Màn hình tương thích giữa các phiên bản 7 Hình 1. 4 : Cài đặt máy chủ quản trị miền cho 1 miền mới 7 Hình 1. 5: Tạo một miền trong một rừng mới 8 Hình 1. 6: Nhập tên miền vừa tạo 9 Hình 1. 7: Màn hình tên miền xuất hiện 9 Hình 1. 8: Màn hình CSDL và thư mục nhật kí 9 Hình 1. 9: Màn hình chọn đường dẫn ổ đĩa 10 Hình 1. 10: Chọn cài đặt DNS server 10 Hình 1. 11: Chọn chế độ cấp phép 11 Hình 1. 12: Cài đặt mật khẩu Admin 12 Hình 1. 13: Màn hình tổng kết sự lựa chọn cài đặt 12 Hình 1. 14: Bắt đầu cài đặt 12 Hình 1. 15: Kết thúc cài đặt 13 Hình 2. 1: Local Group Policy Object Editor 18 Hình 2. 2: Domain Group Policy Object Editor 19 Hình 2. 3: Domain Controller Group Policy Object Editor 19 Hình 2. 4: Thực thể chính sách nhóm 20 Hình 2. 5: Thiết lập phần mềm 21 Hình 2. 6: Thiết lập Windows 21 Hình 2. 7: Khuôn mẫu quản trị 23 Hình 2. 8: Cấp độ quản lý người dùng và máy tính 27 3 Tìm hiểu chính sách nhóm LỜI NÓI ĐẦU Bảo mật và an toàn thông tin trong thời đại ngày nay đóng một vai trò thiết yếu đối với ngành công nghệ thông tin. Hầu như mọi ngành nghề lĩnh vực đều có thể áp dụng công nghệ thông tin để nâng cao hiệu quả công việc, gọn gàng hơn trong việc quản lý các tư liệu, nhẹ nhàng hơn trong việc xử lý các thủ tục đầu ra. Các tiện ích do công nghệ đem lại là không thể phủ nhận và nó không thể tách rời khỏi cuộc sống hiện tại của toàn thế giới. Tuy vậy, đi đôi với những lợi ích đó là những mối nguy hiểm đến từ chính môi trường này – môi trường thông tin. Việc số hóa tất cả các tư liệu, tài liệu có thể đem lạ sự nhẹ nhàng trong lưu trữ, tìm kiếm và xử lý nhưng nó cũng đi kèm với nguy cơ bị đánh cắp qua mạng. Với một trình độ công nghệ có hạng, ta sẽ dề dàng lấy được những tài liệu tại những nơi có độ bảo mật kém. Việc mất đi những tư liệu then chốt như các hợp đồng, các bí mật trong làm ăn của một tổ chức sẽ đem đến những hậu quả không ai lường được. Do đó cần thiết phải có những biện pháp để bảo vệ các nguồn tài nguyên của một công ty hay một tổ chức. Xuất phát từ điều đó, nhóm chúng tôi quyết định chọn đề tài này: “Sử dụng chính sách nhóm trong Windows XP và Windows 2003”. Đề tài này chỉ nói lên một khía cạnh nhỏ trong vấn đề bảo mật với phạm vi hữu hạn là mạng nội bộ trong một công ty hay một tổ chức. Mạng nội bộ của một tổ chức có thể nói là một nút trong hệ thống mạng toàn cầu, thực hiện bảo vệ thông tin theo tôi nghĩ phải đi từ mức thấp nhất trở đi. Trong một mạng nội bộ, các tài nguyên là tài sản dùng chung và cần thiết phải có các quy tắc bảo vệ những tài sản chung đó, tránh trường hợp vì những lý do bất cẩn hay cố ý của người dùng mà bị thay đổi hay nguy hiểm hơn là xoá mất. Sử dụng chính sách nhóm là một giải pháp bảo vệ sự an toàn của tài nguyên mạng. Chúng ta có thể thực hiện phân quyền đối với người dùng, giới hạn tính năng phần mềm, theo dõi và kiểm tra các hoạt động của người dùng trong mạng, … Mặc dù đây chỉ là một phần nhỏ trong lĩnh vực bảo mật nhưng tôi cũng chưa thể sử dụng hết các tính năng của chính sách nhóm. Những kiến thức thu được từ đề tài tìm hiểu này phần lớn là những kiến thức cơ bản, có một số phần là nâng cao. Nếu có thể được, ở những lần tìm hiểu sau tôi sẽ hoàn chỉnh các kỹ năng với chính sách nhóm. 4 Tìm hiểu chính sách nhóm Chương I: KHÁI QUÁT CHUNG 1.1. Hệ điều hành Windows Server 2003 Windows Server 2003 là sản phẩm mới nhất trong các hệ điều hành Windows Server và được cải tiến rất nhiều so với các phiên bản trước đó: - Bảo mật tốt hơn - Độ tin cậy cao hơn - Dễ dàng quản trị - Hệ điều hành này có 4 phiên bản: - Web Edition - Standard Edition - Enterprise Edition - Datacenter Edition Trong đề tài này chúng ta sẽ sử dụng phiên bản Enterprise (doanh nghiệp) Enterprise Edition Cấu hình tối thiểu Cấu hình đề nghị Tốc độ CPU 133 MHz 733 MHz RAM 128 MB 256 MB Khoảng trống đĩa 1,5 GB Càng nhiều càng tốt Phiên bản này có các tính năng: - Các loại dịch vụ: Thư mục, Internet, cơ sở hạ tầng, định tuyến TCP/IP, File và in ấn, đầu cuối, bảo mật, siêu thư mục Microsoft. - Hỗ trợ: Chuỗi máy chủ, bộ nhớ RAM cắm nóng, quản trị tài nguyên hệ thống của Windows. 5 Tìm hiểu chính sách nhóm 1.2. Nâng cấp thành máy chủ quản trị miền - Từ cửa sổ RUN ta gõ vào DCPROMO Hình 1. 1: Cửa sổ Run - Trình cài đặt Active Directory xuất hiện, nhấn Next để tiếp tục Hình 1. 2: Cửa sổ Active Directory 6 Tìm hiểu chính sách nhóm - Màn hình phân tích độ tương thích giữa các phiên bản xuất hiện, nhấn Next Hình 1. 3 : Màn hình tương thích giữa các phiên bản - Chọn cài đặt máy chủ quản trị miền cho 1 miền mới, nhấn Next Hình 1. 4 : Cài đặt máy chủ quản trị miền cho 1 miền mới 7 Tìm hiểu chính sách nhóm - Chọn tạo một miền trong một rừng mới, nhấn Next Hình 1. 5: Tạo một miền trong một rừng mới - Nhập vào tên miền mà chúng ta muốn tạo, nhấn Next 8 Tìm hiểu chính sách nhóm Hình 1. 6: Nhập tên miền vừa tạo - Màn hình tên miền NetBIOS xuất hiện, nhấn Next Hình 1. 7: Màn hình tên miền xuất hiện - Màn hình cơ sở dữ liệu và thư mục nhật ký xuất hiện, nhấn Next Hình 1. 8: Màn hình CSDL và thư mục nhật kí 9 Tìm hiểu chính sách nhóm - Chọn đường dẫn cho ổ đĩa hệ thống chia sẻ, nhấn Next Hình 1. 9: Màn hình chọn đường dẫn ổ đĩa - Chọn cài đặt máy chủ DNS trên máy tính này, nhấn Next Hình 1. 10: Chọn cài đặt DNS server 10 [...]... tiếp các chương sau Các nội dung chính ở chương này là: - Các khái niệm về chính sách nhóm - Một số VD về chính sách nhóm - Một số công cụ dễ gây nhầm lẫn với chính sách nhóm 2.1 Một số khái niệm về chính sách nhóm 2.1.1 Chính sách nhóm là gì? Ở chương 1 chúng tôi đã nói khái lược về chính sách nhóm, bây giờ chúng ta sẽ nói rõ hơn Chính sách nhóm (Group Policy): Là một tập hợp các thiết lập cấu hình... Đối tượng chính sách nhóm cục bộ được lưu trữ tại : %Systemroot%\System32\GroupPolicy 2.1.3.2 Chính sách nhóm không cục bộ Chính sách nhóm miền (Domain GPO): Được lưu trữ trên máy chủ quản trị miền, tác động lên tất cả các tài khoản người dùng và máy tính nằm trong miền bao gồm cả máy chủ quản trị miền Đây là kiểu chính sách nhóm được sử dụng phổ biến nhất Chính sách nhóm đối với máy chủ quản trị miền... máy tính đó 15 Tìm hiểu chính sách nhóm Chương II: CƠ BẢN VỀ CHÍNH SÁCH NHÓM Ở chương trước, chúng ta đã nắm được những khái niệm cơ bản về Active Directory, về miền và các đối tượng trong miền Đó là tiền đề để chúng ta tìm hiểu các chương sau Ở chương này, chúng ta sẽ đi vào chủ đề chính – Chính sách nhóm Chương này bàn về các khái niệm cơ bản chứ chưa thao tác cụ thể với chính sách nhóm, tuy vậy chương... thay thế trên mạng, nơi các profile này được quản lý chung - Internet Explorer Maintenance: Cho phép quản trị và tuỳ biến Trình duyệt web IE trên máy tính chạy Windows Server 2003 22 Tìm hiểu chính sách nhóm 2.1.6.2 Các khuôn mẫu quản trị (Administrative Templates AT) Hình 2 7: Khuôn mẫu quản trị Trong cả 2 nhánh máy tính và người dùng, nút khuôn mẫu quản trị đều bao gồm các thiết lập chính sách dựa trên... người dùng Mặc dù có tên gọi là Chính sách nhóm nhưng bản chất các thiết lập chính sách này không phải dành cho các nhóm mà là áp dụng cho các đối tượng chứa đồng thời tác động lên tất cả các đối tượng trong các đối tượng chứa 2.1.2 Thế nào là đối tượng chính sách nhóm? Đối tượng chính sách nhóm (Group Policy Object - GPO): Là một tập hợp các thiết lập chính sách nhóm, các GPO chỉ đơn giản là các... đặt chính sách nhóm (Group Policy Object Editor) Các GPO được lưư trữ ở cấp độ miền và chúng tác động lên tất cả các tài khoản máy tính và người dùng chứa trong các site, các miền và các đơn vị tổ chức 2.1.3 Phân loại đối tượng chính sách nhóm 16 Tìm hiểu chính sách nhóm 2.1.3.1 Chính sách nhóm cục bộ Được lưu trữ trên mỗi máy tính mà không phải là thành viên của miền (tài khoản máy tính cục bộ) Chính. .. chỉ cần khôi phục liên kết là đủ 2.3 Các máy trạm nhận GPO như thế nào Việc tìm hiểu các thành phần của GPO và cách thiết lập trên máy chủ quản trị miền mới chỉ là một nửa đối với mục tiêu tìm hiểu về chính sách nhóm Một nửa còn lại cũng rất quan trọng đó là cách mà chính sách nhóm thi hành trên các máy trạm Khi chính sách nhóm được triển khai từ máy chủ đến các máy trạm, các máy trạm luôn gửi các... thành các phân vùng có trách nhiệm quản trị hoặc để kiềm chế sự lủng củng giữa các máy chủ quản trị miền Trong AD, trách nhiệm quản trị được uỷ thác cho các OU 2.1.7.1 Chính sách nhóm và Active Directory Khi bạn thiết lập chính sách nhóm ở mức cục bộ, tất cả mọi người sử dụng máy tính cục bộ đó sẽ chịu tác động ngay, tuy nhiên khi nâng cấp máy để sử dụng AD các chính sách được tạo ra sẽ có sự sàng lọc... III: QUẢN LÝ CHÍNH SÁCH NHÓM VỚI GPMC 31 Tìm hiểu chính sách nhóm Ở chương 2 chúng ta đã xem xét tất cả các khái niệm cơ bản nhất về GPO, các công cụ thiết lập cho GPO Ở chương này chúng ta sẽ tìm hiểu về một công cụ tổng hợp rất hữu ích dành cho quản lý và thiết lập các GPO Đó là GPMC Nắm vững cách sử dụng công cụ này chúng ta sẽ đỡ rất nhiều thời gian trong việc thao tác và xử lý các chính sách Kết... trình cài đặt Hình 1 14: Bắt đầu cài đặt 12 Tìm hiểu chính sách nhóm - Sau khi cài đặt xong, kết thúc và khời động lại hệ điều hành Hình 1 15: Kết thúc cài đặt 13 Tìm hiểu chính sách nhóm 1.3 Các khái niệm cơ bản về Active Directory 1.3.1 Phân biệt hai mô hình Workgroup và Domain Mô hình Workgroup (nhóm làm việc) là một nhóm từ 10 máy tính trở lại, là hệ thống mạng nội bộ đầu tiên, có khả năng chia sẻ