Bảo mật Endpoint bằng Group Policy
Group Policy là một cơ chế quan trọng trong tiến trình bảo mật mạng. Dưới đây là một số cài đặt rất hữu
dụng để khóa chặn truy cập mạng.

Thiết lập kiểm soát lưu trữ di động

Các thiết bị lưu trữ Universal Serial Bus (USB) gây ra một mối đe dọa lớn tới sự bảo mật của máy trạm.
Những thiết bị này giúp kẻ gian dễ dàng đánh c
ắp thông tin hay cài đặt những phần mềm trái phép vào
mạng.

Mặc dù không có công cụ nào trong Group Policy giúp kiểm soát truy cập của các thiết bị lưu trữ USB
này, tuy nhiên có một số cài đặt chặn người dùng sử dụng những thiết bị này.

Một phương pháp liên quan tới tiến trình tạo một bản mẫu quản trị tùy biến chứa một Group Policy
Template, cung cấp khả năng truy cập tới một cài đặt có thể được sử
dụng để tắt cổng USB.

Nhập bản mẫu này vào Group Policy dưới dạng file .adm.
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4

PART !!labeltextls120 DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"


chính sách bảo mật cụ
c bộ sẽ bảo vệ cho hệ thống. Có sự bảo vệ của một chính sách lỗi thời dù sao
cũng tốt hơn được bảo vệ.Windows Mobile

Thông thường, Endpoint Security thường được tập trung vào máy desktop hay laptop và máy chủ. Các
thiết bị Mobile thường bị bỏ ngỏ do chúng được sử dụng rất ít và khả năng cũng hạn chế. Tuy nhiên, hiện
nay mọi thứ đã thay đổi.

Những chiếc điện thoại thông minh có thể thực hiện chức năng của máy tính xuất hiện ngày cành nhiều,
dẫn đến các ứng dụng dành cho điện thoại di dộng cũ
ng lan tràn nhanh chóng.

Kết quả là một thiết bị di động không bảo mật có thể gây ra vấn đề bảo mật cho mạng như một chiếc
laptop không được bảo mật. Nếu người dùng muốn sử dụng thiết bị di động để đột nhập vào mạng, sẽ có
ứng dụng đóng vai trò là trợ thủ đắc lực. Thực tế là hiện này chúng ta đã được nghe rất nhiều thông tin
về các cu
ộc lan tràn virus trên những thiết bị di động.

Các cài đặt của Group Policy có thể được sử dụng để chặn các thiết bị di động tương tự như khi khóa
một hệ thống desktop. Tuy nhiên, không phải mọi thiết bị di động đề tương thích với bảo mật nền tảng
Group Policy.Các cài đặt Group Policy cấp độ mạng chỉ có thể được áp dụng cho các thành viên miền. Do đó, chỉ
những thiết bị có thể tham gia vào miền mới được bảo mật bằng Group Policy. Hiện nay, chỉ những thiết
bị di động sử dụng hệ điều hành Windows Mobile 6.1 và 6.5 mới có thể tham gia vào miền.