Khắc phục sự cố các thiết lập bảo mật Group Policy

Trong bài này chúng tôi sẽ giới thiệu một số mẹo, công cụ cũng như một
số lệnh để test nhằm bảo đảm rằng các GPO của bạn và các thiết lập
bảo mật của chúng đang được áp dụng đúng.
Là quản trị viên Active Directory, Group Policy, bảo mật và desktop, chắc
chắc các bạn sẽ biết cách tốt nhất để bảo mật môi trường Windows là sử
dụng Group Policy. Có thể nói rằng có đến hàng trăm, hay hàng nghìn các
thiết lập bảo mật trong một Group Policy Object (GPO). Sử dụng GPO là
một phương pháp hiệu quả, mạnh và có tính tự động. Mặc dù vậy, chắc chắn
sẽ có lúc bạn tự hỏi rằng các thiết lập GPO và thậm chí cả GPO liệu có được
áp dụng đúng hay không. Trong bài này, chúng tôi sẽ giới thiệu cho các bạn
một số công cụ, lệnh và một số mẹo để test các GPO và các thiết lập bảo mật
đang được sử dụng của chúng có đúng không.
Thiết lập bảo mật được xem xét ở đây là gì?
Với trên 5000 thiết lập trong một GPO, do đó chúng tôi muốn làm rõ 100%
thiết lập nào mà chúng ta sẽ đề cập đến trong bài viết này. Có một phần đặc
biệt trong GPO được sử dụng cho mục đích bảo mật và trong bài này chúng
tôi sẽ chỉ đề cập đến vùng đặt biệt này.
Để tìm ra vùng bảo mật này, bạn cần mở một GPO, tốt nhất là thông qua
GPMC, vì một GPO nội bộ không có bộ thiết lập như GPO từ Active
Directory. Khi đã mở được một GPO, bạn mở phần Computer
Configuration\Policies\Windows Settings\Security Settings, như thể hiện
trong hình 1.

Hình 1: Nút Security Settings được mở trong Group Policy Management
Editor
Ở đây bạn sẽ thấy rất nhiều thiết lập, từ Registry hack, quyền người dùng,
các điều khoản cho files/folders/Registry, bảo mật không dây, thành viên
nhóm,… Phần lớn các thiết lập này được kiểm soát bởi một extension bảo
mật phía trình khách, vì vậy nếu một thiết lập nào đó lỗi, tất cả chúng có thể

Hình 4: Tab Settings cho Group Policy Results sẽ chỉ thị thiết lập nào được
áp dụng cho máy tính mục tiêu
Hướng dẫn số 2
Bạn có thể chạy RSOP.msc trên máy tính mục tiêu, cách thức này sẽ cung
cấp cho bạn những thông tin tương tự như trong bài số 1, ngoại trừ cho giao
diện là khác hoàn toàn. Hình 5 minh chứng rằng lệnh RSOP.msc trên máy
tính mục tiêu thể hiện các thiết lập GPO theo cùng định dạng như GPO gốc
được sử dụng để cấu hình nó trong bộ soạn thảo. Điều này mang lại khá
nhiều lợi ích cho một số người, vì không cần phải lo lắng về đường dẫn của
thiết lập bảo mật, bạn có thể vào trực tiếp nút trong GPO và xem kết quả.

Hình 5: RSOP.msc cho kết quả trên máy tính mục tiêu
Để xem thêm các thông tin về các GPO và các extension phía trình khách,
bạn cần một số thao tác sâu hơn trong giao diện này. Nếu kích phải vào nút
Computer Configuration, bạn có thể chọn các tùy chọn menu của
Properties. Từ đây, bạn sẽ thấy các GPO được áp dụng, cũng như có thể
chuyển đổi để xem các nút bên dưới, như thể hiện trong hình 6:

GPO và trạng thái lọc

Phạm vi quản lý của GPO

Thông tin xem lại về GPO

Hình 6: Tùy chọn RSOP Properties hiển thị thêm các thông tin chi tiết về các
GPO được áp dụng
Thông tin này có thể giúp đỡ bạn phát hiện tại sao GPO và các thiết lập liên
quan không được áp dụng.
Để xem các thông tin chi tiết phía trình khách, bạn cần chọn tab Error
Information, như thể hiện trong hình 7.

đặc quyền quản trị viên để chạy chúng, tuy nhiên khi thực hiện, bạn có thể
dễ dàng thấy được thiết lập nào được áp dụng, thiết lập nào không, và các lý
do cho việc nó không được áp dụng.