Các thiết lập bảo mật đặc biệt của Group Policy

Rất nhiều các thiết lập bảo mật có thể được cấu hình trong Group Policy Object. Các thiết lập đó trải rộng từ việc điều khiển tài khoản Administrator đến quản lý các nhu cầu máy khách LDAP.
Nội dung trích xuất từ tài liệu:
Các thiết lập bảo mật đặc biệt của Group PolicyCác thiết lập bảo mật đặc biệt của Group PolicyNguồn:quantrimang.com Derek MelberRất nhiều các thiết lập bảo mật có thể được cấu hình trong Group PolicyObject. Các thiết lập đó trải rộng từ việc điều khiển tài khoản Administratorđến quản lý các nhu cầu máy khách LDAP. Với quá nhiều thiết lập bảo mậtnhư vậy thì việc hiểu được chức năng và các yếu tố cần thiết khác là mộtviệc quan trọng. Trong bài viết này, chúng tôi sẽ giới thiệu một cách chi tiếtvề một số thiết lập bảo mật cũng như một số kịch bản chung nhất về bảomật.Thi hành các thiết lập bảo mật của Group PolicyĐề tài này đã có các bài viết của chúng tôi hoặc báo khác nói đến rất nhiều,nhưng các bài viết trước đây chỉ giới thiệu cho bạn cách có thể bảo đảm cho cácthiết lập bảo mật đó được áp dụng như thế nào. Còn trong bài này, chúng tôimuốn giới thiệu thêm một số chi tiết sâu hơn về cách có thể thẩm định thiết lậpnào là “các chính sách” và thiết lập nào là “tham chiếu” để bạn có một sự hiểubiết rõ ràng về cách mỗi thiết lập được áp dụng đối với máy tính. Với mỗi kiểuthiết lập, bạn có thể thực thi các thiết lập này ở khoảng thời gian làm mới GroupPolicy, khoảng thời gian này xấp xỉ 90 phút.Tất cả các chi tiết vẫn chạy ổn định và các kỹ thuật trong một số bài báo trướcđây đã giới thiệu vẫn hợp lệ. Tuy vậy, có một công nghệ xây dựng đính kèm -“built-in” khác bạn cần tìm hiểu thêm ở đây. Công nghệ này cho phép bạn điềukhiển khoảng thời gian các thiết lập bảo mật trong GPO được làm mới mà khôngcần tới bất kỳ thay đổi nào đối với GPO. Sự thật là như vậy, bạn có thể có tất cảcác thiết lập bảo mật tự động được áp dụng sau một khoảng thời gian X phútnào đó mà không cần thay đổi đến GPO. Giá trị của registry mà bạn cần thay đổilà MaxNoGPOListChangesInterval, xem trong hình 1.Hình 1: Bạn có thể thay đổi khoảng thời gian làm mới các thiết lập bảo mật trong GPOBạn có thể tìm thiết lập này trong Registry dưới đây:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonGPExtensions{827D319E-6EAC-11D2-A4EA-00C04F79F83A}Giá trị mặc định cho thiết lập này là 960 phút (hoặc 0x3c0 theo số hex).Thiết lập này rất quan trọng vì nó cho phép quản trị viên bảo đảm rằng các thiếtlập bảo mật đang tồn tại được có hiệu lực hay hết hiệu lực đối với người dùngmà không cần phải đợi đến chu kỳ mỗi lần làm mới. Giờ đây người dùng đã cómột máy trạm an toàn mà không cần phải quan tâm đến sự ảnh hưởng bất lợicủa các thiết lập bảo mật tồn tại trong mỗi chu kỳ 90 phút.Lưu ý:Có một số ảnh hưởng bất lợi trong việc thiết lập giá trị này quá thấp, đặc biệtnếu bạn đang sử dụng thiết lập này chung với các ảnh Sysprep. Hãy kiểm tracác thiết lập trước khi thực thi chúng vào sản phẩm.Các thiết lập bảo mật trong Domain ControllerCó một số bài đã viết về đề tài này nhằm miêu tả cách Account Policies trongGPO ảnh hưởng tới bộ điều khiển miền và Security Accounts Manager (SAM)nội bộ trên các máy chủ và máy trạm trong miền như thế nào. Các thiết lập đó làduy nhất cho bộ điều khiển miền do bản chất của tất cả bộ điều khiển miền cầnđồng bộ với một số thiết lập cho miền rộng.Account Policies không chỉ là thiết lập ảnh hưởng đến các bộ điều khiển miềntrường hợp này mà còn có một số thiết lập bảo mật khác chỉ có thể được ápdụng cho nút gốc của miền để gây ảnh hưởng lên các bộ điều khiển miền. Tiếpđó, các thiết lập này cần chức năng giống như vậy để tất cả các bộ điều khiểnmiền trong miền có một phía được đồng bộ và được hợp nhất khi trình diễnmiền. Nếu máy trạm nào vào bộ điều khiển miền A và có thiết lập X và một máytrạm khác vào bộ điều khiển B với thiết lập Y thì có thể gây ra các hiệu quả xấuđáng kể trong toàn bộ công ty.Các thiết lập được áp dụng cho tất cả bộ điều khiển miền thông qua GPO có liênkết đến miền: Account Policy • Network Security: Force logoff when logon hours expire – Bắt đăng xuất • khi thời hạn đăng nhập hết hạn Accounts: Administrator account status – Trạng thái tài khoản quản trị viên • Accounts: Guest account status – Trạng thái tài khoản khách • Accounts: Rename Administrator account – Thay đổi tên tài khoản quản trị • viên Accounts: Rename guest account – Thay đổi tên tài khoản khách •Những điểm còn tồn tại của các thiết lập bảo mậtHầu hết gần đây có rất nhiều hoạt động xung quanh các thiết lập Registry và Filehệ thống trong GPO. Các thiết lập này nằm dưới nút Computer Configurationnhư trong hình 2. Hình 2: Nút Registry và File System trong một GPO có thể điều khiển hầu hết các Registry Key hay FileCác thiết lập này trong GPO có thể kiểm soát sự cho phép Registry Key, file hayfolder. Chúng có thể được cấu hình đơn giản và thực hiện những công việc rấthiệu quả. Mặc dù vậy, lý do cho việc bất l ...