Software Restriction Policies (SRP) cho các
máy tính client
T khi có Windows XP, các qun tr viên trên toàn thế giới đã có được nhiu
tùy chọn để định nghĩa Software Restriction Policies (SRP) cho các máy tính
client ca h nhm mục đích kiểm soát nhng phn mềm nào được phép,
phn mềm nào không được phép chy. Trên thc tế có quá ít t chc b sung
chức năng này mặc dù nó có th mang li mt mc bo mt rt cao nếu được
thiết lập đúng cách. Trong phần th hai ca bài này chúng ta s xem xétch
b sung nhngđã đề cập đến như “các chính sách lọc phn mm”.
Vùng nguy him
Trước khi bắt đầu chúng tôi cần phải chỉ ra mt sđiểm quan trọng trước khi
giới thiệu SRP trên các máy tính đó là các bạn nên lp kế hoạch và kiểm tra
chúng một cách triệt để. Điu này có thể được thực hiện trong Active
Directory (AD) bằng cách cô lp máy tính kiểm tra hoặc đối tượng người
dùng trong Organizational Unit (OU), hoặc bằng việc thiết lập scho phép
Apply Group Policy” trên Group Policy Object (GPO) đối với máy tính
kiểm tra hoặc tài khoản người dùng. SRP thậm chí còn có thể được sdụng
trên các máy tính đứng độc lập nếu bạn không muốn đụng chạm đến môi
trường sản xut một chút nào. đây chúng tôi khuyên bạn nên sử dụng các
máy ảo để thực hiện những bài kiểm tra cơ bản và các máy tính ‘như sản
xuất’ cho các bài test cuối cùng. Sau quá trình kiểm tra, SRP nên được thực
thi trên người dùng thí điểm trong các nhóm – tốt hơn là sử dụng đến các
bước nhỏ hơn là vội vàng lao vào ‘thảm ha’!.
Toàn bộ quá trình
Các lỗi trong thiết kế hoặc bổ sung của toàn bộ quá trình có thể gây ra một sự
thất vọng lớn đối với người dùng, và thậm chí mất cả tiền bạc và năng xuất,
vì vậy nên coi chng khi bạn thực hiện công việc này. Quá trình này cn đến
rất nhiều kế hoạch công việc, kiểm tra và có thể là mt s bảo trì hàng ngày
được đưa vào trong môi trường sản xuất. Danh sách dưới đây cho bn thấy
một một xem xét ngắn gọn v những gì phải có trong đầu khi đưa SRP vào
trong môi trường Windows.
Khi vô hiệu hóa cài đặt SRP, các quyết đnh khác phải được thực hiện như
trong ví dụ dưới đây:
Quyết định giữa người dùng và GPOs máy tính: Các chính sách SRP
nên áp dng các đối tượng AD gì?
Quyết định giữa danh sách đen Blacklisting (BL) và danh sách trắng
Whitelisting (WL) (phương pháp WL được khuyến khích nếu có)
Nếu sử dụng phương pháp BL, bạn phải tạo một danh sách các thành
phần bị từ chối.
Nếu sử dụng phương pháp WL, bạn phải tạo một danh sách các thành
phần được s dụng.
Quyết định sdụng các tùy chọn SRP nào (s ép buộc, chỉ định các
kiểu file, các ngoi lệ quản trị viên…)
Quyết định xem loại nguyên tắc nào sẽ sử dụng (đường dn-path,
HASH, chứng ch-certificate hay vùng Internet - Internet zone)
Khi kiểm tra thiếp lập SRP, các bước khác nhau phải được thực hiện, ví d
như:
Kiểm tra chức năng bn trong thư viện ảo (sử dụng Virtual
PC/Server, Vmware hoặc tương tự như vậy)
Kiểm tra chức năng trong môi trường của bạn bằng các máy tính “như
sản xuất” (và các tài khoản người dùng).
Kiểm tra với các nhóm nhỏ người dùng dẫn đường trong các bước 5-10
một vài tuần, sau đó tăng lên.
Tiếp tục với nhóm dẫn đường tiếp theo sau khi bổ sung thành công cho
những người dùng dẫn đường trước đó.
Bảo đảm kiểm tra tất cả các kiu khác người dùng kc và các kiểu
máy tính khác nhau mà bạn cần bảo đảm với SRP.
Bảo đảm kiểm tra việc cập nht các kịch bản giống như việc vá h điu
hành, nâng cấp các ứng dụng của nhóm th ba,…
Tập trung vào hiệu suất trên phn cứng khác nhau trong t chức của
bạn. Việc bổ sung thêm SRP sẽ ảnh hưởng ít nhiều đến hiệu suất hệ
thng, ảnh hưởng này phụ thuộc vào cách nó được bổ sung.
Đôi khi các ứng dụng này lại khởi chạy các ứng dụng khác, hãy bảo
đảm rằng điều này được kiểm soát chặt chẽ.
Mặc định các shortcut Desktop và Start Menu (.LNK) đều bị khóa, hãy
thay đổi chúng nếu cần thiết.
Bảo đảm rằng bất kỳ kịch bản quản trị nào (ví dụ như kịch bản đăng
nhập trong SYSVOL/NETLOGON) cũng đều hoạt đng tốt.
Trước khi đưa SRP vào, một số thủ tục cần phải được xem xét:
Giới thiệu luồng công việc về làm thế nào các ng dụng, nâng cấp phải
được kiểm tra, cho phép và được đưa vào tn mạng, chính vì vậy mọi
người mới biết được về s cần thiết ca các thủ tục.