Các mở rộng của Group Policy trong Windows Vista và Windows Server 2008 (Phần 3)

Các mở rộng của Group Policy trong Windows Vista và Windows Server 2008 (Phần 3) Bảo mật là một trong những mối quan tâm lớn của Microsoft khi phát triển hệ điều hành Windows Server 2008 và Windows Vista, chính vì điều đó mà không hề ngạc nhiên rằng có nhiều thiết lập của Group Policy mới được bổ sung trong hai hệ điều hành này. Chúng tôi muốn bắt đầu bài này bằng cách nói về các thiết lập Group Policy có liên quan đến tính năng bảo mật mới có tên gọi User Account Protection (được viết tắt là...
Nội dung trích xuất từ tài liệu:
Các mở rộng của Group Policy trong Windows Vista và Windows Server 2008 (Phần 3) Các mở rộng của Group Policy trong Windows Vista và Windows Server 2008 (Phần 3) Bảo mật là một trong những mối quan tâm lớn của Microsoft khi phát triển hệ điều hành Windows Server 2008 và Windows Vista, chính vì điều đó mà không hề ngạc nhiên rằng có nhiều thiết lập của Group Policy mới được bổ sung trong hai hệ điều hành này. Chúng tôi muốn bắt đầu bài này bằng cách nói về các thiết lập Group Policy có liên quan đến tính năng bảo mật mới có tên gọi User Account Protection (được viết tắt là UAC). Nếu bạn không quen với UAC thì chúng tôi phải nói rằng nó là một tính năng bảo mật được thiết kế để bảo vệ Windows bằng cách cung cấp cho người dùng những quyền hạn một cách vừa phải. Trong môi trường Windows XP, người dùng thường có quyền quản trị viên cục bộ để có thể thực hiện các công việc của họ. Khi thiết kế Vista, Microsoft đã mất rất nhiều thời gian về xem xét các việc gì người dùng thực sự cần thiết, từ đó đưa ra quyền được thực hiện nhiệm vụ trong các tài khoản người dùng chuẩn để người dùng không cần phải được thừa nhận có quyền của quản trị viên. Ví dụ, một trong số những nhiệm vụ mà Windows Vista cho phép người dùng di động thực hiện mà không cần đến quyền quản trị gồm có: cài đặt driver cho máy in, nhập khóa WEP, cấu hình kết nối VPN và cài đặt nâng cấp các ứng dụng. User Account Protection hầu như không ban cho người dùng thêm quyền, mà tính năng này được thiết kế để bảo vệ các quản trị viên đối với chính bản thân họ. Cho dù là ai đó đã đăng nhập như một quản trị viên thì Windows vẫn coi họ như một người dùng chuẩn. Nếu người dùng cố gắng thực hiện một số hành động cần đến quyền quản trị thì Windows sẽ nhắc nhở người dùng thực hiện một số nhiệm vụ nhằm đảm bảo tính bảo mật. Các quản trị viên cũng có thể chọn đăng nhập như những người dùng chuẩn. Nếu một người dùng chuẩn cần thực hiện một hành động yêu cầu đến quyền quản trị viên thì họ không phải chạy từ Run. Thay vào đó, Vista sẽ tự động nhắc nhở họ nhập vào một số thông tin quan trọng có thể được sử dụng cho nhiệm vụ đó. Bây giờ tôi sẽ giới thiệu cho bạn một số kiến thức cơ bản liên quan đến User Account Protection là gì và nó làm việc như thế nào, hãy xem một số thiết lập Group Policy có liên quan đến UAC. Giống như hầu hết các thiết lập Group Policy khác mà chúng tôi đã giới thiệu cho bạn trong phần 1 và 2, các thiết lập Group Policy mà chúng tôi đang muốn nói đến chỉ thích hợp với Windows Server 2008 và Windows Vista. Chính vì vậy, cho tới khi Windows Server 2008 được phát hành và bạn có một bộ điều khiển miền trên Windows Server 2008 trong mạng thì các thiết lập Group Policy này sẽ phải thiết lập ở mức Local Computer (mức cục bộ) trong hệ thống thứ bậc Group Policy. Các thiết lập Group Policy có liên quan đến UAC có thể được tìm thấy trong giao diện sử dụng của Group Policy tại Computer Configuration | Windows Settings | Security Settings | Local Policies | Security Options. Bạn có thể xem số thiết lập chính sách có sẵn trong hình A. Hình A: Các thiết lập của Group Policy liên quan đến tính năng bảo vệ tài khoản của Vista Như những gì thấy trong hình, có nhiều thiết lập không liên quan đến User Account Protection. Các thiết lập cho User Account Protection được đặt ở phần dưới của màn hình. Thiết lập đầu tiên có liên quan đến UAC là “Admin Approval Mode for the Built In Administrator Account”. Tùy chọn này được kích hoạt mặc định, điều đó làm cho tài khoản quản trị viên được coi như một người dùng chuẩn. Bất cứ hành động yêu cầu đến quyền quản trị viên sẽ làm cho Windows nhắc nhở người dùng trước khi hành động đó được tiến hành. Nếu tùy chọn này bị vô hiệu hóa thì Vista sẽ thực hiện giống như Windows XP. Tài khoản quản trị viên đính kèm sẽ được coi như một quản trị viên đích thực và người dùng sẽ không bị nhắc nhở một số yêu cầu để có được sự cho phép của Windows. Tùy chọn có sẵn tiếp theo là “Behavior of the Elevation Prompt for Administrators in Admin Approval Mode”. Như bạn đã biết, Vista được thiết kế để nó sẽ không thực hiện một hành động quản trị mà không có sự cho phép của quản trị viên. Tùy chọn này sẽ cho bạn kiểm soát được những kiểu cho phép gì một quản trị viên phải đưa ra theo thứ tự cho hành động đã yêu cầu được hoàn thành. Tùy chọn mặc định này là một nhắc nhở về sự cho phép. Điều đó có nghĩa rằng quản trị viên sẽ bị hỏi xem họ muốn cho phép hoặc từ chối một hành động đó hay không. Cải thiện mới ở đây là quản trị viên có thể được nhắc nhở những thông tin quan trọng. Điều này sẽ bắt buộc một quản trị viên phải nhập vào mật khẩu của họ trước trước khi thực hiện bất kỳ hành động quản trị nào. Tùy chọn này có thể gây ra nhiều rắc rối trong sử dụng nhưng nó đáng giá trong các môi trường đòi hỏi độ bảo mật cao. Tùy chọn cuối cùng là làm tăng sự cho phép mà không cần nhắc nhở quản trị viên cho phép hành động. Chúng tôi không khuyến khích các bạn sử dụng tùy chọn này. Đúng như Windows Vista hạn chế những gì một quản trị viên có thể thực hiện mà không cần sự cho phép, bên cạnh đó nó cũng hạn chế các quyền của người dùng chuẩn. Bạn có thể kiểm soát những gì xảy ra khi một người dùng chuẩn cố gắng thực hiện một hành động cần đến các quyền ưu tiên mức cao bằng thiết lập Behavior of the Elevation Prompt for Standard Users trong UAC. Khi người dùng chuẩn cố gắng thực hiện một hành động cần đến quyền ưu tiên cao, một trong hai thứ có thể xuất hiện lúc này. Người dùng có thể bị nhắc nhở nhập vào các thông tin quản trị hoặc yêu cầu có thể bị từ chối tự động mà không thấy xuất hiện nhắc nhở. Mặc định, người dùng chuẩn được nhắc nhở để nhập vào thông tin quan trọng liên quan đến quyền quản trị nếu họ đang làm việc trong môi trường gia đình, tuy nhiên các yêu cầu nâng cao bị hạn chế một cách tự động khi người dùng hoạt động trong môi trường doanh nghiệp. Mặc dù Windows Vista được thiết kế yêu cầu đến sự nâng cao về đặc quyền cho mỗi kiểu hành động cụ thể nhưng một số ...