Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 245/555

Tóm lại, các điều mà bạn cần nhớ khi triển khai IPSec:
- Bạn triển khai IPSec trên Windows Server 2003 thông qua các chính sách, trên một máy tính bất
kỳ nào đó vào tại một thời điểm thì chỉ có một chính sách IPSec được hoạt động.
- Mỗi chính sách IPSec gồm một hoặc nhiều qui tắc (rule) và một phương pháp chứng thực nào đó.
Mặc dù các qui tắc permit và block không dùng đến chứng thự
c nhưng Windows vẫn đòi bạn chỉ
định phương pháp chứng thực.
- IPSec cho phép bạn chứng thực thông qua Active Directory, các chứng chỉ PKI hoặc một khóa
được chia sẻ trước.
- Mỗi qui tắc (rule) gồm một hay nhiều bộ lọc (filter) và một hay nhiều tác động bảo mật (action).
- Có bốn tác động mà qui tắc có thể dùng là: block, encrypt, sign và permit.
III.3.1 Các chính sách IPSec tạ
o sẵn.
Trong khung cửa sổ chính của công cụ cấu hình IPSec, bên phải chúng ta thấy xuất hiện ba chính
sách được tạo sẵn tên là: Client, Server và Secure. Cả ba chính sách này đều ở trạng thái chưa áp
dụng (assigned). Nhưng chú ý ngay cùng một thời điểm thì chỉ có thể có một chính sách được áp
dụng và hoạt động, có nghĩa là khi bạn áp dụng một chính sách mới thì chính sách đang hoạt động
hiện tại sẽ trở
về trạng thái không hoạt động. Sau đây chúng ta sẽ khảo sát chi tiết ba chính sách tạo
sẵn này.
- Client (Respond Only): chính sách qui định máy tính của bạn không chủ động dùng IPSec trừ khi
nhận được yêu cầu dùng IPSec từ máy đối tác. Chính sách này cho phép bạn có thể kết nối được
cả với các máy tính dùng IPSec hoặc không dùng IPSec.
- Server (Request Security): chính sách này qui định máy server của bạn chủ động cố gắng khởi
tạo IPSec mỗi khi thi
ết lập kết nối với các máy tính khác, nhưng nếu máy client không thể dùng


Học phần 3 - Quản trị mạng Microsoft Windows Trang 247/555

Bạn theo hướng dẫn của hệ thống để khai báo các thông tin, chú ý nên đánh dấu vào mục Mirrored để
qui tắc này có ý nghĩa hai chiều bạn không phải tốn công để tạo ra hai qui tắc. Mục Source address
chọn My IP Address, mục Destination address chọn A specific IP Address và nhập địa chỉ
“203.162.100.1” vào, mục IP Protocol Type bạn để mặc định. Cuối cùng bạn chọn Finish để hoàn
thành phần khai báo, bạn nhấp chuột tiế
p vào nút OK để trở lại hộp thoại đầu tiên.

Tiếp theo bạn chuyển sang Tab Manage Filter Actions để tạo ra các tác động bảo mật. Bạn nhấp
chuột vào nút Add hệ thống sẽ hướng dẫn bạn khai báo các thông tin về tác động. Trước tiên bạn đặt
tên cho tác động này, ví dụ như là Encrypt.Tiếp tục trong mục Filter Action bạn chọn Negotiate
security, trong mục IP Traffic Security bạn chọn Integrity and encryption. Đến đây bạn đã hoàn
thành việc tạo một tác độ
ng bảo mật.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 248/555

Công việc tiếp theo là bạn một chính sách IPSec trong đó có chứa một qui tắc kết hợp giữa bộ lọc và
tác động vừa tạo ở phía trên. Trong công cụ Domain Controller Security Policy, bạn nhấp phải chuột
trên mục IP Security Policies on Active Directory, rồi chọn Create IP Security Policy, theo hướng
dẫn bạn nhập tên của chính vào, ví dụ là First IPSec, tiếp theo bạn phải bỏ đánh dấu trong mục
Active the default response rule. Các giá trị còn lại bạn
để mặc định vì qui tắc Dynamic này chúng
ta không dùng và sẽ tạo ra một qui tắc mới.
cấp học viên kiến thức về
Group Policy, các chính
sách đối với máy trạm,
chính sách đối với người
dùng…
I. Giới thiệu về chính sách
nhóm.
II. Triển khai một chính sách
nhóm trên miền.
III. Các ví dụ minh họa.
Dựa vào bài
tập môn Quản
trị Windows
Server 2003.
Dựa vào bài
tập môn Quản
trị Windows
Server 2003.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 251/555
I. GIỚI THIỆU.
I.1. So sánh giữa System Policy và Group Policy.
Vừa rồi ở chương trước, chúng ta đã tìm hiểu về chính sách hệ thống (System Policy), tiếp theo
chúng ta sẽ tìm hiểu về chính sách nhóm (Group Policy). Vậy hai chính sách này khác nhau như thế
nào.
- Chính sách nhóm chỉ xuất hiện trên miền Active Directory , nó không tồn tại trên miền NT4.
- Chính sách nhóm làm được nhiều điều hơn chính sách hệ thống. Tất nhiên chính sách nhóm chứa
tất cả các chức năng của chính sách hệ thống và hơn thế nữ

ng xuất, khởi động và tắt máy: trong hệ thống NT4 thì chỉ
hỗ trợ kịch bản đăng nhập (logon script), nhưng Windows 2000 và Windows Server 2003 thì hỗ
trợ cả bốn sự kiện này được kích hoạt (trigger) một kịch bản (script). Bạn có thể dùng các GPO
để kiểm soát những kịch bản nào đang chạy.
- Đơn giản hóa và hạn chế các chương trình: bạn có thể dùng
GPO để gỡ bỏ nhiều tính năng
khỏi Internet Explorer, Windows Explorer và những chương trình khác.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 252/555
- Hạn chế tổng quát màn hình Desktop của người dùng: bạn có thể gỡ bỏ hầu hết các đề mục
trên menu Start của một người dùng nào đó, ngăn chặn không cho người dùng cài thêm máy in,
sửa đổi thông số cấu hình của máy trạm…
II. TRIỂN KHAI MỘT CHÍNH SÁCH NHÓM TRÊN MIỀN.
Chúng ta cấu hình và triển khai Group Policy bằng cách xây dựng các đối tượng chính sách (GPO).
Các GPO là một vật chứa (container) có thể chứa nhiều chính sách áp dụng cho nhiều người, nhiều
máy tính hay toàn bộ hệ thống mạng. Bạn dùng chương trình Group Policy Object Editor để tạo ra
các đối tượng chính sách. Trong của sổ chính của Group Policy Object Editor có hai mục chính: cấu
hình máy tính (computer configuration) và cấu hình người dùng (user configuration).

Điều kế tiếp bạn cũng chú ý khi triển khai Group Policy là các cấu hình chính sách của Group Policy
được tích lũy và kề thừa từ các vật chứa (container) bên trên của Active Directory. Ví dụ các người
dùng và máy tính vừa ở trong miền vừa ở trong OU nên sẽ nhận được các cấu hình từ cả hai chính
sách cấp miền lẫn chính sách cấp OU. Các chính sách nhóm sau 90 phút sẽ được làm tươi và áp dụng
một lần, nhưng các chính nhóm trên các Domain Controller đượ
c làm tươi 5 phút một lần. Các GPO
hoạt động được không chỉ nhờ chỉnh sửa các thông tin trong Registry mà còn nhờ các thư viện liên
kết động (DLL) làm phần mở rộng đặt tại các máy trạm. Chú ý nếu bạn dùng chính sách nhóm thì
chính sách nhóm tại chỗ trên máy cục bộ sẽ xử lý trước các chính sách dành cho site, miền hoặc OU.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 254/555

Để tạo ra một chính sách mới bạn nhấp chuột vào nút New, sau đó nhập tên của chính sách mới. Để
khai báo thêm thông tin cho chính sách này bạn có thể nhấp chuột vào nút Properties, hộp thoại xuất
hiện có nhiều Tab, bạn có thể vào Tab Links để chỉ ra các site, domain hoặc OU nào liên kết với
chinh sách. Trong Tab Security cho phép bạn cấp quyền cho người dùng hoặc nhóm người dùng có
quyền gì trên chính sách này.

Trong hộp thoại chính của Group Policy thì các chính sách được áp dụng từ dưới lên trên, cho nên
chính sách nằm trên cùng sẽ được áp dụng cuối cùng. Do đó, các GPO càng nằm trên cao trong danh
sách thì càng có độ ưu tiên cao hơn, nếu chúng có những thiết định mâu thuẫn nhau thì chính sách
nào nằm trên sẽ thắng. Vì lý do đó nên Microsoft thiết kế hai nút Up và Down giúp chúng ta có thể di
chuyển các chính sách này lên hay xuống.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 255/555

Trong các nút mà chúng ta chưa khảo sát thì có một nút quan trọng nhất trong hộp thoại này đó là nút
Edit. Bạn nhấp chuột vào nút Edit để thiết lập các thiết định cho chính sách này, dựa trên các khả
năng của Group Policy bạn có thể thiết lập bất cứ thứ gì mà bạn muốn. Chúng ta sẽ khảo sát một số
ví dụ minh họa ở phía sau.

III. MỘT SỐ MINH HỌA GPO TRÊN NGƯỜI DÙNG VÀ CẤU HÌNH
MÁY.
III.1. Khai báo một logon script dùng chính sách nhóm.
Trong Windows Server 2003 hỗ trợ cho chúng ta bốn sự kiện để có thể kích hoạt các kịch bản
(script) hoạt động là: startup, shutdown, logon, logoff. Trong công cụ Group Policy Object Editor,