Điều khiển các thiết lập bảo mật của Group Policy

Mặc định, các thiết lập bảo mật trong GPO sẽ refresh 16 giờ một lần. Bài này sẽ giới thiệu cho các bạn những vấn đề chi tiết về quá trình làm việc và những gì có thể thay đổi trong GPO. Rõ ràng Group Policy trong Active Directory là cách thức logic và hiệu quả nhất để cấu hình và duy trì độ bảo mật cho tất cả domain controller, máy chủ và desktop của bạn. Tuy nhiên cách duy trì và điều khiển các thiết lập bảo mật của ứng dụng cũng như cách refresh các thiết lập...
Nội dung trích xuất từ tài liệu:
Điều khiển các thiết lập bảo mật của Group Policy Điều khiển các thiết lập bảo mật của Group Policy Mặc định, các thiết lập bảo mật trong GPO sẽ refresh 16 giờ một lần. Bài này sẽ giới thiệu cho các bạn những vấn đề chi tiết về quá trình làm việc và những gì có thể thay đổi trong GPO. Rõ ràng Group Policy trong Active Directory là cách thức logicvà hiệu quả nhất để cấu hình và duy trì độ bảo mật cho tất cả domain controller, máy chủvà desktop của bạn. Tuy nhiên cách duy trì và điều khiển các thiết lập bảo mật của ứngdụng cũng như cách refresh các thiết lập trong GPO lại là một vấn đề. Thực sự có nhiềucách để điều khiển các thiết lập bảo mật trong refresh và điều khiển. Trong bài viết này,chúng tôi sẽ giới thiệu cho các bạn một trong các phương pháp để thực hiện nhiệm vụnày.Thiết lập nào là thiết lập bảo mật?Trước khi giới thiệu , mọi người nên biết chính xác những gì nằm trong “securitysettings” của GPO. Nếu bạn mở một GPO trong Windows Server 2008, bạn cần mở nútComputer Configuration|Policies|Windows Settings|Security Settings để xem tất cả cácthiết lập có liên quan đến bảo mật mà chúng tôi sẽ đề cập đến trong bài này (có một sốthiết lập nằm trong User Configuration|Policies|Windows Settings|Security Settings,chúng không thường xuyên được sử dụng nhưng cũng không liên quan đến trong bàinày), xem trong hình 1. Hình 1: Các thiết lập bảo mật trong GPO chuẩnLý do tất cả các thiết lập nằm trong chủng loại này là vì tất cả chúng đều được điều khiểnbởi Security Client Side Extension (CSE). Chúng ta sẽ thấy Security CSE có thể đượcđiều khiển riêng biệt từ các CSE khác và hành động hơi khác đôi chút so với các thànhphần khác.Thực hiện Refresh thủ côngGroup Policy có một quá trình refresh tự động, tuy nhiên trong một số trường hợp,khoảng thời gian này không đủ nhanh cho các thiết lập bạn muốn triển khai. Trongtrường hợp như vậy, quá trình refresh có thể được kích hoạt bằng một lệnh đơn giản, rấthữu dụng trong những lần bạn kiểm tra hoặc đợi một thiết lập nào đó có hiệu lực ngay lậptức. Để refresh Group Policy (gồm có cả các thiết lập bảo mật), hãy chạy GPUPDATE từtiện ích dòng lệnh. Với các máy tính nằm trong miền, các máy tính này sẽ sử dụng tất cảcác thiết lập mới từ GPO dựa trên Active Directory và cục bộ.Nếu bạn không thực hiện bất cứ thay đổi nào đối với GPO liên quan tới các thiết lập bảomật mà vẫn muốn sử dụng các thiết lập một cách thủ công, hãy sử dụng khóa chuyển đổi/force với lệnh GPUPDATE. Khóa chuyển đổi này sẽ thi hành ứng dụng với tất cả cácthiết lập GPO mà không cần xem xét số phiên bản GPO cũng như các nâng cấp cho GPO.Nó sẽ chỉ sử dụng lại tất cả các thiết lập có trong tất cả GPO.Refresh Background tự độngGroup Policy có một tính năng để thi hành một cách liên tục trong chế độ background màkhông cần người dùng đăng xuất và đăng nhập trở lại, hoặc khởi động lại máy tính. Mặcđịnh, các lần refresh xuất hiện xấp xỉ 90 phút mỗi lần. Đây là 90 phút cơ bản và 30 phútoffset. Refresh background tự động này được điều khiển bởi một thiết lập GPO trong nútComputer Configuration|Policies|Administrative Templates|System|Group Policy. Thiếtlập bạn sẽ cấu hình để thay đổi các thiết lập refresh background mặc định là khoảng thờigian refresh của Group Policy cho các máy tính, xem trong hình 2. Hình 2: Refresh Group Policy có thể được thay đổi bằng thiết lập chính sách nàyQuan điểm của chúng tôi ở đây là không cần thiết phải thay đổi ở đây vì một vài lý do.Trước hết, khoảng thời gian 90 phút là đủ hợp lý cho refresh GPO. Thứ hai nếu bạn thayđổi khoảng thời gian này thì nó sẽ ảnh hưởng đến tất cả CSE, không chỉ các thiết lập bảomật. Điều này có thể gây ra một số vấn đề về hiệu suất trên tất cả các máy tính nằm trongmạng.Những gì bạn sẽ muốn thực hiện liên quan đến các thiết lập bảo mật trong quá trìnhrefresh background là bảo đảm cho chúng sử dụng mỗi lần. Điều này không cần thiết vìcác thiết lập bảo mật thực hiện trong một khoảng thời gian khác (xem phần kế tiếp). Mặcdù vậy nếu bạn gặp tình huống mà ở đó người dùng được cấu hình với tư cách các quảntrị viên trên máy trạm thì đây cũng là một vấn đề cần cân nhắc. Để tạo thiết lập này chocác thiết lập bảo mật trong GPO, hãy vào ComputerConfiguration|Policies|Administrative Templates|System|Group Policy. Ở đây bạn sẽ tìmthấy một chính sách có tên Security policy processing, xem thể hiện trong hình 3. Hình 3: Các thiết lập bảo mật có thể được áp đặt sử dụng mỗi lầnBằng cách kiểm tra Process cho dù các đối tượng Group Policy không bị thay đổi thì bạnsẽ chỉ kích hoạt các thiết lập bảo mật để sử dụng mỗi lần, không phải mỗi CSE.Các thiết lập bảo mật “duy nhất”Với trên 30 CSE, GPO sẽ liên tục thực hiện công việc trên mạng của bạn. Mặc dù vậy, cómột CSE duy nhất đó là CSE thiết l ...