Khắc phục sự cố các thiết lập bảo mật Group Policy
Trong bài này chúng tôi sẽ giới thiệu một s mẹo, công cụ cũng như một
số lệnh để test nhằm bảo đảm rằng các GPO của bạn và các thiết lập
bảo mật của chúng đang được áp dụng đúng.
Là quản tr viên Active Directory, Group Policy, bảo mật và desktop, chắc
chắc các bạn sẽ biết cách tốt nht để bảo mật môi tng Windows là sử
dụng Group Policy. Có thể nói rằng có đến hàng trăm, hay hàng nghìn các
thiết lập bảo mật trong một Group Policy Object (GPO). Sử dụng GPO là
mt phương pháp hiệu quả, mnh và có tính tự động. Mặc dù vậy, chắc chắn
sẽ có lúc bạn tự hỏi rằng các thiết lập GPO và thậm c cả GPO liệu có được
áp dụng đúng hay không. Trong bài này, chúng tôi sẽ giới thiệu cho các bạn
mt số công c, lệnh và một số mẹo để test các GPO và các thiết lập bảo mật
đang được sử dụng của chúng có đúng không.
Thiết lập bảo mật được xem xét ở đây là gì?
Với trên 5000 thiết lập trong một GPO, do đó chúng tôi muốn làm rõ 100%
thiết lập nào mà chúng ta sẽ đề cập đến trong bài viết này. Có một phần đặc
biệt trong GPO được sử dụng cho mục đích bảo mật và trongi này chúng
tôi sẽ chỉ đề cập đến vùng đặt biệt này.
Để tìm ra vùng bảo mật này, bạn cần mở một GPO, tốt nhất là thông qua
GPMC, một GPO nội bộ không có bộ thiết lập như GPO từ Active
Directory. Khi đã mở được một GPO, bạn mở phần Computer
Configuration\Policies\Windows Settings\Security Settings, như thể hiện
trong hình 1.
Hình 1: Nút Security Settings được mở trong Group Policy Management
Editor
Ở đây bạn sẽ thy rất nhiều thiết lập, từ Registry hack, quyn người dùng,
các điều khoản cho files/folders/Registry, bảo mật không dây, thành viên
nhóm,… Phần ln các thiết lập này được kiểm soát bởi một extension bảo
mật pa trình khách, vì vậy nếu một thiết lập nào đó lỗi, tất cả chúng có thể
sẽ bị lỗi. Ngược lại, nếu một trong số chúng được áp dụng, tất cả chúng sẽ
áp dụng (theo thuyết!).
Hướng dẫn s 1
Từ bên trong GPMC (trên bất k máy nào mà bạn có các đặc quyền quản trị
viên), bạn sẽ có thể chạyng c Group Policy Results. Công c này được
xây dựngn trong GPMC, vậy không có gì đặc biệt cần phải thực hiện ở
đây. Từ GPMC, bạn có thquyết định xem thiết lập nào đang nằm trên máy
tính mục tiêu có liên quan đến các thiết lập bảo mật mà bạn đã triển khai
trong GPO ca mình.
Để tìm đến t Group Policy Results trong GPMC, bạn cần tìm ở pa dưới
giao din điều khiển GPMC. Xem thhiện như trong hình 2 bên dưới.
Hình 2: Nút Group Policy Results ở phía dưới danh sách nút GPMC
Với công cụ này, bạn cần chọn “user account” và “computer accountmà
mình muốn kiểm tra kết quả. Điều này được khi tạo bằng cách kích phi
vào nút Group Policy Results và chọn wizard. Khi wizard hn tất, bạn sẽ
thy kết quả ca mình được liệt kê bên dưới t Group Policy Results, như
thhin trong hình 3.
Hình 3: Group Policy Results minh chứng kết quả ca GPO và các thiết lập
cho sự kết hợp của người dùng và máy tính.
Từ giao diện này, bạn có thể kim tra nhiu khía cạnh của các GPO đã được
áp dụng, cũng như các thiết lập. Bên trong giao diện này, có thể kim tra
panel bên phải vnhiều kết quả khác nhau. Kiểm tra Group Policy Objects
để bảo đảm rằng GPO của bạn được áp dụng và không b từ chối do một
do nào đó. Thứ hai, bạn có thể kiểm tra Component Status để biết được các
li liên quan đến extension bảo mật pa trình khách. Cuối cùng là có th
kim tra tab Settingsphn Security Settings và các thiết lập mà bạn đã áp
dụng, như thể hin trong hình 4.