Top 5 thiết lập bảo mật trong Group Policy của
Windows Server 2008

Làm thế nào để giảm bớt bề mặt tấn công trên các máy tính desltop bằng
cách sử dụng 5 thiết lập bảo mật trong Group Policy.

Với trên 5000 thiết lập trong Group Policy mới của Windows Server 2008, có
thể bạn sẽ bị ngập giữa việc chọn xem thiết lập nào quan trọng nhất đối với
bản thân và mạng của mình. Việc thi hành các thiết lập bảo mật cho desktop
để tăng bảo mật một cách toàn diện chính là bằng cách giảm bề mặt tấn công
sẵn có. Trong các thiết lập bảo mật thì có một số chỉ hỗ trợ cho Windows
Vista, còn một số khác có thể tương thích với Windows XP SP2.

Kiểm soát thành viên nhóm Administrator nội bộ

Một trong những thiết lập không an toàn nhất có thể được bạn cho người
dùng là truy cập quản trị nội bộ. Bằng cách add thêm một tài khoản người
dùng vào nhóm Administrators nội bộ, người dùng sẽ được ban cho hầu như
các kiểm soát tối thượng trên desktop của họ. Họ có thể thực hiện hầu hết các
hành động, thậm chí nếu mạng được cấu hình để từ chối tuy cập này. Các
hành động mà người dùng có thể thực hiện, nhờ có quyền quản trị nội bộ,
gồm có:
 Remove máy tính của họ ra khỏi miền
 Thay đổi thiết lập Registry
 Thay đổi các điều khoản trên thư mục và file
 Thay đổi thiết lập hệ thống, như các thiết lập trong file nằm trong thư

cũng cần phải thiết lập lại. Điều này là do người dùng có các đặc quyền quản
trị viên trước khi remove họ ra khỏi nhóm quản trị nội bộ.

Sau khi tài khoản người dùng đã được remove ra khỏi nhóm quản trị nội bộ,
mật khẩu tài khoản nhóm này cần phải được thiết lập lại. Nếu thiết lập này có
thể được thực hiện đồng thời với việc remove tài khoản người dùng thì họ sẽ
không thể biết hoặc thay đổi mật khẩu Administrator nội bộ mới.

Thiết lập này kiểm soát Windows XP SP2 và các hệ điều hành mới hơn. Nó
là thiết lập Group Policy Preferences mới. Để truy cập vào thiết lập này, bạn
mở Group Policy Object và vào:
Computer Configuration\Preferences\Control Panel
Sau đó kích chuột phải vào Local Users and Groups. Từ menu, kích New -
Local User. Hộp thoại dưới đây sẽ xuất hiện.

Hình 2: Group Policy Preference cho Local User
Để cấu hình chính sách, đánh Administrator vào hộp văn bản User name, sau
đó đánh mật khẩu mới vào hộp văn bản Password, xác nhận mật khẩu trong
hộp Confirm Password. Trong khi background của Group Policy mới refresh
tất cả các tài khoản máy tính nằm trong phạm vi quản lý của GPO thì mật
khẩu Administrator nội bộ sẽ được thiết lập lại.

Windows Firewall với độ bảo mật nâng cao

Trước đây, người dùng và các quản trị viên đều mơ màng về Windows
Firewall, do những khả năng hạn chế về các sản phẩm của họ. Giờ đây,
Windows Firewall có một số thiết lập bảo mật tiên tiến cho phép họ có những
hiểu biết rõ ràng hơn về tường lửa.

Các tính năng bảo mật tiên tiến mới của Windows Firewall không chỉ kết hợp

mà không yêu cầu đến các chứng chỉ quản trị viên. Trong tình huống này,
người dùng có thể thực hiện tất cả các hoạt động và chạy tất cả các ứng dụng
như một người dùng chuẩn. Sau đó nếu một nhiệm vụ nào đó cần phải được
thực hiện với quyền truy cập cao hơn (mức quản trị viên) thì họ có thể cần
đến sự trợ giúp của đội hỗ trợ hoặc quản trị viên hệ thống.

Các thiết lập kiểm soát UAC có thể được tìm thấy tại Computer
Configuration\Policies\Windows Settings\Security Settings\Local
Policies\Security Options, xem trong hình 4 bên dưới.

Hình 4: Các tùy chọn Group Policy để kiểm soát UAC
Chính sách mật khẩu

Mặc dù các mật khẩu không thật sự hấp dẫn như một thiết lập bảo mật,
nhưng khả năng kiểm soát các mật khẩu bằng Group Policy cũng không nên
bỏ qua trong danh sách top 5 này. Windows Server 2008 vẫn sử dụng Group
Policy để xác định các thiết lập chính sách tài khoản ban đầu, thứ không thay
đổi từ Windows 2000. Các thiết lập được cấu hình ban đầu trong Default
Domain Policy, nhưng chúng có thể được tạo trong bất kỳ GPO nào được
liên kết với miền. Có một thứ bạn cần nên lưu ý là GPO gồm có các thiết lập
chính sách tài khoản phải có mức ưu tiên cao nhất so với tất cả các GPO liên
kết với miền.

Các thiết lập mà bạn có thể cấu hình được thể hiện trong hình 5 và các thiết
lập thể hiện trong bảng 1.

Hình 5: Các thiết lập chính sách mật khẩu trong Default Domain Policy
Đây là một số hướng dẫn cho các thiết lập chính sách này:
Thiết lập chính sách
Giá tr