Khắc phục sự cố các thiết lập bảo mật Group Policy

Khắc phục sự cố các thiết lập bảo mật Group PolicyTrong bài này chúng tôi sẽ giới thiệu một số mẹo, công cụ cũng như một số lệnh để test nhằm bảo đảm rằng các GPO của bạn và các thiết lập bảo mật của chúng đang được áp dụng đúng. Là quản trị viên Active Directory, Group Policy, bảo mật và desktop, chắc chắc các bạn sẽ biết cách tốt nhất để bảo mật môi trường Windows là sử dụng Group Policy. Có thể nói rằng có đến hàng trăm, hay hàng nghìn các thiết lập bảo mật trong...
Nội dung trích xuất từ tài liệu:
Khắc phục sự cố các thiết lập bảo mật Group Policy Khắc phục sự cố các thiết lập bảo mật Group PolicyTrong bài này chúng tôi sẽ giới thiệu một số mẹo, công cụ cũng như mộtsố lệnh để test nhằm bảo đảm rằng các GPO của bạn và các thiết lậpbảo mật của chúng đang được áp dụng đúng.Là quản trị viên Active Directory, Group Policy, bảo mật và desktop, chắcchắc các bạn sẽ biết cách tốt nhất để bảo mật môi trường Windows là sửdụng Group Policy. Có thể nói rằng có đến hàng trăm, hay hàng nghìn cácthiết lập bảo mật trong một Group Policy Object (GPO). Sử dụng GPO làmột phương pháp hiệu quả, mạnh và có tính tự động. Mặc dù vậy, chắc chắnsẽ có lúc bạn tự hỏi rằng các thiết lập GPO và thậm chí cả GPO liệu có đượcáp dụng đúng hay không. Trong bài này, chúng tôi sẽ giới thiệu cho các bạnmột số công cụ, lệnh và một số mẹo để test các GPO và các thiết lập bảo mậtđang được sử dụng của chúng có đúng không.Thiết lập bảo mật được xem xét ở đây là gì?Với trên 5000 thiết lập trong một GPO, do đó chúng tôi muốn làm rõ 100%thiết lập nào mà chúng ta sẽ đề cập đến trong bài viết này. Có một phần đặcbiệt trong GPO được sử dụng cho mục đích bảo mật và trong bài này chúngtôi sẽ chỉ đề cập đến vùng đặt biệt này.Để tìm ra vùng bảo mật này, bạn cần mở một GPO, tốt nhất là thông quaGPMC, vì một GPO nội bộ không có bộ thiết lập như GPO từ ActiveDirectory. Khi đã mở được một GPO, bạn mở phần ComputerConfigurationPoliciesWindows SettingsSecurity Settings, như thể hiệntrong hình 1. Hình 1: Nút Security Settings được mở trong Group Policy Management EditorỞ đây bạn sẽ thấy rất nhiều thiết lập, từ Registry hack, quyền người dùng,các điều khoản cho files/folders/Registry, bảo mật không dây, thành viênnhóm,… Phần lớn các thiết lập này được kiểm soát bởi một extension bảomật phía trình khách, vì vậy nếu một thiết lập nào đó lỗi, tất cả chúng có thểsẽ bị lỗi. Ngược lại, nếu một trong số chúng được áp dụng, tất cả chúng sẽáp dụng (theo lý thuyết!).Hướng dẫn số 1Từ bên trong GPMC (trên bất kỳ máy nào mà bạn có các đặc quyền quản trịviên), bạn sẽ có thể chạy công cụ Group Policy Results. Công cụ này đượcxây dựng bên trong GPMC, vì vậy không có gì đặc biệt cần phải thực hiện ởđây. Từ GPMC, bạn có thể quyết định xem thiết lập nào đang nằm trên máytính mục tiêu có liên quan đến các thiết lập bảo mật mà bạn đã triển khaitrong GPO của mình.Để tìm đến nút Group Policy Results trong GPMC, bạn cần tìm ở phía dướigiao diện điều khiển GPMC. Xem thể hiện như trong hình 2 bên dưới. Hình 2: Nút Group Policy Results ở phía dưới danh sách nút GPMCVới công cụ này, bạn cần chọn “user account” và “computer account” màmình muốn kiểm tra kết quả. Điều này được khởi tạo bằng cách kích phảivào nút Group Policy Results và chọn wizard. Khi wizard hoàn tất, bạn sẽthấy kết quả của mình được liệt kê bên dưới nút Group Policy Results, nhưthể hiện trong hình 3.Hình 3: Group Policy Results minh chứng kết quả của GPO và các thiết lập cho sự kết hợp của người dùng và máy tính.Từ giao diện này, bạn có thể kiểm tra nhiều khía cạnh của các GPO đã đượcáp dụng, cũng như các thiết lập. Bên trong giao diện này, có thể kiểm trapanel bên phải về nhiều kết quả khác nhau. Kiểm tra Group Policy Objectsđể bảo đảm rằng GPO của bạn được áp dụng và không bị từ chối do một lýdo nào đó. Thứ hai, bạn có thể kiểm tra Component Status để biết được cáclỗi có liên quan đến extension bảo mật phía trình khách. Cuối cùng là có thểkiểm tra tab Settings ở phần Security Settings và các thiết lập mà bạn đã ápdụng, như thể hiện trong hình 4.Hình 4: Tab Settings cho Group Policy Results sẽ chỉ thị thiết lập nào được áp dụng cho máy tính mục tiêuHướng dẫn số 2Bạn có thể chạy RSOP.msc trên máy tính mục tiêu, cách thức này sẽ cungcấp cho bạn những thông tin tương tự như trong bài số 1, ngoại trừ cho giaodiện là khác hoàn toàn. Hình 5 minh chứng rằng lệnh RSOP.msc trên máytính mục tiêu thể hiện các thiết lập GPO theo cùng định dạng như GPO gốcđược sử dụng để cấu hình nó trong bộ soạn thảo. Điều này mang lại khánhiều lợi ích cho một số người, vì không cần phải lo lắng về đường dẫn củathiết lập bảo mật, bạn có thể vào trực tiếp nút trong GPO và xem kết quả. Hình 5: RSOP.msc cho kết quả trên máy tính mục tiêuĐể xem thêm các thông tin về các GPO và các extension phía trình khách,bạn cần một số thao tác sâu hơn trong giao diện này. Nếu kích phải vào nútComputer Configuration, bạn có thể chọn các tùy chọn menu củaProperties. Từ đây, bạn sẽ thấy các GPO được áp dụng, cũng như có thểchuyển đổi để xem các nút bên dưới, như thể hiện trong hình 6:  GPO và trạng thái lọc  Phạm vi quản lý của GPO  Thông tin xem lại về GPOHình 6: Tùy chọn RSOP Properties hiển thị thêm các thông tin chi tiết về các GPO được áp dụngThông tin này có thể giúp đỡ bạn phát hiện tại sao GPO ...