Bảo mật Endpoint bằng Group Policy Group Policy

Group Policy là một cơ chế quan trọng trong tiến trình bảo mật mạng. Dưới đây là một số cài đặt rất hữu dụng để khóa chặn truy cập mạng. Thiết lập kiểm soát lưu trữ di động Các thiết bị lưu trữ Universal Serial Bus (USB) gây ra một mối đe dọa lớn tới sự bảo mật của máy trạm. Những thiết bị này giúp kẻ gian dễ dàng đánh cắp thông tin hay cài đặt những phần mềm trái phép vào mạng. Mặc dù không có công cụ nào trong Group Policy giúp kiểm soát truy cập của...
Nội dung trích xuất từ tài liệu:
Bảo mật Endpoint bằng Group Policy Group Policy Bảo mật Endpoint bằng Group PolicyGroup Policy là một cơ chế quan trọng trong tiến trình bảo mật mạng. Dưới đây là một số cài đặt rất hữudụng để khóa chặn truy cập mạng.Thiết lập kiểm soát lưu trữ di độngCác thiết bị lưu trữ Universal Serial Bus (USB) gây ra một mối đe dọa lớn tới sự bảo mật của máy trạm.Những thiết bị này giúp kẻ gian dễ dàng đánh cắp thông tin hay cài đặt những phần mềm trái phép vàomạng.Mặc dù không có công cụ nào trong Group Policy giúp kiểm soát truy cập của các thiết bị lưu trữ USBnày, tuy nhiên có một số cài đặt chặn người dùng sử dụng những thiết bị này.Một phương pháp liên quan tới tiến trình tạo một bản mẫu quản trị tùy biến chứa một Group PolicyTemplate, cung cấp khả năng truy cập tới một cài đặt có thể được sử dụng để tắt cổng USB.Nhập bản mẫu này vào Group Policy dưới dạng file .adm.CLASS MACHINECATEGORY !!categoryCATEGORY !!categorynamePOLICY !!policynameusbKEYNAME SYSTEMCurrentControlSetServicesUSBSTOREXPLAIN !!explaintextusbPART !!labeltextusb DROPDOWNLIST REQUIREDVALUENAME StartITEMLISTNAME !!Disabled VALUE NUMERIC 3 DEFAULTNAME !!Enabled VALUE NUMERIC 4END ITEMLISTEND PARTEND POLICYPOLICY !!policynamecdKEYNAME SYSTEMCurrentControlSetServicesCdromEXPLAIN !!explaintextcdPART !!labeltextcd DROPDOWNLIST REQUIREDVALUENAME StartITEMLISTNAME !!Disabled VALUE NUMERIC 1 DEFAULTNAME !!Enabled VALUE NUMERIC 4END ITEMLISTEND PARTEND POLICYPOLICY !!policynameflpyKEYNAME SYSTEMCurrentControlSetServicesFlpydiskEXPLAIN !!explaintextflpyPART !!labeltextflpy DROPDOWNLIST REQUIREDVALUENAME StartITEMLISTNAME !!Disabled VALUE NUMERIC 3 DEFAULTNAME !!Enabled VALUE NUMERIC 4END ITEMLISTEND PARTEND POLICYPOLICY !!policynamels120KEYNAME SYSTEMCurrentControlSetServicesSfloppyEXPLAIN !!explaintextls120PART !!labeltextls120 DROPDOWNLIST REQUIREDVALUENAME StartITEMLISTNAME !!Disabled VALUE NUMERIC 3 DEFAULTNAME !!Enabled VALUE NUMERIC 4END ITEMLISTEND PARTEND POLICYEND CATEGORYEND CATEGORY[strings]category=Custom Policy Settingscategoryname=Restrict Drivespolicynameusb=Disable USBpolicynamecd=Disable CD-ROMpolicynameflpy=Disable Floppypolicynamels120=Disable High Capacity Floppyexplaintextusb=Disables the computers USB ports by disabling the usbstor.sys driverexplaintextcd=Disables the computers CD-ROM Drive by disabling the cdrom.sys driverexplaintextflpy=Disables the computers Floppy Drive by disabling the flpydisk.sys driverexplaintextls120=Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driverlabeltextusb=Disable USB Portslabeltextcd=Disable CD-ROM Drivelabeltextflpy=Disable Floppy Drivelabeltextls120=Disable High Capacity Floppy DriveEnabled=EnabledDisabled=DisabledNgoài ra, các thiết bị lưu trữ USB có thể bị tắt bỏ với các chính sách giới hạn phần mềm. Khi một ngườidùng kết nối một ổ USB vào hệ thống, Windows sẽ tải file diver%SystemRoot%InfUSBSTOR.INF. MộtHash Rule có thể được tạo để chặn truy cập tới file này như trong hình dưới đây. Chặn ổ USB truy cập vào file USBSTOR.INF.Mặc dù đây không phải là một phương pháp nền tảng chính sách, nhưng đây là một phương pháp kháđơn giản để sử dụng những giấy phép của file hệ thống NT để từ chối truy cập tới file USBSTOR.INF.Ngoài ra, các công cụ nhóm ba, như GFI EndPoint Security, có thể cung cấp nhiều quyền kiểm soát hơnvới những thiết bị lưu trữ di động so với những côgn cụ được tích hợp trong Windows.Kích hoạt chính sách bảo mật cục bộCác chính sách bảo mật cục bộ cung cấp nhiều cài đặt tương tự như các chính sách cấp độ mạng, tuynhiên chúng được thiết kế để bảo vệ hệ thống khi nó không được thẩm định quyền trong một miền. Dođó, một máy tính sẽ không xuất hiện điểm yếu nếu ai đó tìm ra phương pháp đăng nhập cục bộ.Những chính sách bảo mật này thường bị bỏ qua vì chúng không thể được quản lý tập trung, do đó rấtkhó để có thể cập nhật.Hơn nữa, mỗi máy tính trên mạng cần có một chính sách bảo mật cục bộ với các cài đặt quan trọng đãđược kích hoạt. Nếu chính sách này trở nên lỗi thời thì các cài đặt chính sách mạng sẽ ghi đè các cài đặtcủa chính sách cục bộ khi người dùng trực tuyến. Khi một người dùng không đăng nhập vào mạng, cácchính sách bảo mật cục bộ sẽ bảo vệ cho hệ thống. Có sự bảo vệ của một chính sách lỗi thời dù saocũng tốt hơn được bảo vệ.Windows MobileThông thường, Endpoint Security thường được tập trung vào máy desktop hay laptop và máy chủ. Cácthiết bị Mobile thường bị bỏ ngỏ do chúng được sử dụng rất ít và khả năng cũng hạn chế. Tuy nhiên, hiệnnay mọi thứ đã thay đổi.Những chiếc điện thoại thông minh có thể thực hiện chức năng của máy tính xuất hiện ngày cành nhiều,dẫn đến các ứng dụng dành cho điện thoại di dộng cũng lan tràn nhanh chóng.Kết quả là một thiết bị di động không bảo mật có thể gây ra vấn đề bảo mật cho mạng như một chiếclaptop không đ ...