Triển khai Windows 7 – Phần 20: Bảo mật MDT (1)

Triển khai Windows 7 – Phần 20: Bảo mật MDT (1)Trong loạt bài này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn các bước cần thực hiện để bảo mật môi trường triển khai MDT. Mẹo: Bạn có thể tìm kiếm thêm thông tin về triển khai tự động LTI trong Windows 7 Resource Kit của Microsoft. Các thông tin qua trọng trong file Bootstrap.ini Chúng tôi sẽ sớm quay trở lại giải thích về cách cấu hình và sử dụng cơ sở dữ liệu MDT, tuy nhiên ở đây, chúng tôi muốn đề cập đến một vấn...
Nội dung trích xuất từ tài liệu:
Triển khai Windows 7 – Phần 20: Bảo mật MDT (1) Triển khai Windows 7 – Phần 20: Bảo mật MDT (1)Trong loạt bài này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn các bướccần thực hiện để bảo mật môi trường triển khai MDT.Mẹo: Bạn có thể tìm kiếm thêm thông tin về triển khai tự động LTI trongWindows 7 Resource Kit của Microsoft.Các thông tin qua trọng trong file Bootstrap.iniChúng tôi sẽ sớm quay trở lại giải thích về cách cấu hình và sử dụng cơ sởdữ liệu MDT, tuy nhiên ở đây, chúng tôi muốn đề cập đến một vấn đề trongbảo mật MDT. Cho tới phần 20 của loạt bài triển khai Windows 7 này,chúng ta vẫn chưa quan tâm tới vấn đề bảo mật. Cho ví dụ, file Bootstrap.inimà chúng ta đang sử dụng cho deployment share của mình trong các bài nàycó nội dung như dưới đây:[Settings]Priority=Default[Default]DeployRoot=\SEA-DC1DeploymentShare$UserID=AdministratorUserDomain=CONTOSOUserPassword=Pa$$w0rdKeyboardLocale=en-USSkipBDDWelcome=YESTài khoản người dùng được chỉ định bởi các thuộc tính UserID,UserPassword và UserDomain trong file Bootstrap.ini, file được sử dụng bởiWindows Deployment Wizard trên máy tính mục tiêu để kết nối đếndeployment share trên máy chủ MDT và truy cập nội dung của chia sẻ này.Cho tới đây, chúng ta vẫn đang sử dụng tài khoản Administrator mặc địnhtrong miền cho mục đích này. Có hai lý do tại sao đây không phải là một ýtưởng tốt.Thứ nhất, nếu tự khởi tạo triển khai Lite Touch (LTI) bằng cách khởi độngcác máy tính mục tiêu có sử dụng LiteTouchPE CD, khi đó bạn sẽ biết rằngfile Bootstrap.ini của mình quả thực có trong CD đó. Để xem file này, chúngta hãy bắt đầu bằng cách kiểm tra nội dung của LiteTouchPE CD trongWindows Explorer (hình 1): Hình 1: Nội dung bên trong của LiteTouchPE CD khi được xem trong Windows ExplorerLưu ý rằng hầu hết các CD đều có chứa file image của Windows, Boot.wim,đây là file được tìm thấy trong thư mục sources trên CD của bạn. (Thư mụcoot chỉ chứa một số file được sử dụng để cho phép CD khởi động và gắnimage này). Giả sử rằng bạn để LiteTouchPE CD ở đâu đó và ai đó đã đánhcắp chúng. Tên trộm sau khi đánh cắp được CD của bạn có thể cài đặtWindows AIK 2.0 trên một máy tính và gắn file Boot.wim trên CD này vàomột thư mục trống bằng cách sử dụng lệnh Imagex như thể hiện dưới đây(hình 2): Hình 2: Gắn file Boot.wim từ LiteTouchPE CDKhi file Boot.wim được gắn cho một thư mục trống rỗng (ở đây thư mục đócó tên C:PEbootfiles), kẻ trộm có thể duyệt nội dung của image đã đượcgắn bằng Windows Explorer (hình 3):Hình 3: File Bootstrap.ini của bạn có trong file Boot.wim của LiteTouchPE CDSau đó tên trộm còn có thể mở được file Bootstrap.ini trong Notepad (hình4): Hình 4: File Bootstrap.ini này gồm có các dữ liệu quản trị quan trọng cho miền!Tại đây, toàn bộ cơ sở hạ tầng Windows của bạn đã bị thỏa hiệp do tên trộmđã thu được các dữ liệu cần thiết của quản trị viên miền. Vì vậy, nếu sẽ sửdụng các dữ liệu quản trị viên miền trong file Bootstrap.ini của mình, bạncần bảo vệ LiteTouchPE CD (hoặc DVD hoặc USB phụ thuộc vào thiết bịkhởi động đang sử dụng để khởi tạo quá trình LTI). Nói theo cách khác,không cho người không có quyền có thể truy cập các thiết bị như vậy.Một vấn đề bảo mật khác có liên quan đến việc truyền tải các dữ liệu quantrọng trên mạng. Khi bạn khởi động máy tính mục tiêu vào Windows PEbằng cách sử dụng thiết bị khởi động LiteTouchPE của mình, máy tính sẽyêu cầu một địa chỉ IP từ một máy chủ DHCP và sau đó sẽ cố gắng thiết lậpkết nối với deployment share trên máy chủ MDT. Lúc này, nếu sử dụngMDT trong kịch bản máy tính mới (New Computer, kịch bản thực hiện mộttriển khai bare metal vào máy tính mục tiêu hiện chưa có hệ điều hành) thìthẩm định Kerberos hoặc NTLM sẽ được sử dụng để trao đổi một cách antoàn các dữ liệu quan trọng trong file Bootstrap.ini từ máy tính mục tiêu đếnmáy chủ MDT, và kẻ nào đó đang “đánh hơi” mạng trong của bạn sẽ khôngthể đánh cắp được các dữ liệu quan trọng này. Tuy nhiên nếu bạn sử dụngMDT trong kịch bản Refresh Computer (kịch bản để re-image một máy tínhđang tồn tại trước đó, sau đó lưu và khôi phục các thông tin trạng thái củangười dùng), thì file Bootstrap.ini được xử lý từ deployment share và các dữliệu quan trọng sẽ được truyền tải qua mạng dưới dạng văn bản trong sáng.Điều này có nghĩa nếu có kẻ nào đó đang “đánh hơi” trong mạng của bạn thìhắn có thể đánh cắp các thông tin quan trọng được chỉ định trong fileBootstrap.ini, và nếu có các thông tin quản trị miền thì mạng của bạn sẽ bịthỏa hiệp.Rõ ràng, nếu sử dụng MDT trong môi trường test, hoặc trong phòng thínghiệm an toàn có mirror mạng sản xuất của bạn nhưng có một miền khácthì tốt nhất là bạn nên để tài khoản quản trị viên mặc định cho miền trongfile Bootstrap.ini như thể hiện trong hình 4 ở trên. Mặc dù vậy nếu sử dụngMDT trong môi trường sản xuất, ...