Triển khai Windows 7 – Phần 20: Bảo mật MDT (1)
Trong loạt bài này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn các bước
cần thực hiện để bảo mật môi trường triển khai MDT.
Mẹo
: Bạn có thể tìm kiếm thêm thông tin về triển khai tự động LTI trong
Windows 7 Resource Kit của Microsoft.
Các thông tin qua trọng trong file Bootstrap.ini
Chúng tôi sẽ sớm quay trở lại giải thích về cách cấu hình và sử dụng cơ sở
dữ liệu MDT, tuy nhiên ở đây, chúng tôi muốn đề cập đến một vấn đề trong
bảo mật MDT. Cho tới phần 20 của loạt bài triển khai Windows 7 này,
chúng ta vẫn chưa quan tâm tới vấn đề bảo mật. Cho ví dụ, file Bootstrap.ini
mà chúng ta đang sử dụng cho deployment share của mình trong các bài này
có nội dung như dưới đây:
[Settings]
Priority=Default
[Default]
DeployRoot=\\SEA-DC1\DeploymentShare$
UserID=Administrator
UserDomain=CONTOSO
UserPassword=Pa$$w0rd
KeyboardLocale=en-US
SkipBDDWelcome=YES
Tài khoản người dùng được chỉ định bởi các thuộc tính UserID,
UserPassword và UserDomain trong file Bootstrap.ini, file được sử dụng bởi
Windows Deployment Wizard trên máy tính mục tiêu để kết nối đến
deployment share trên máy chủ MDT và truy cập nội dung của chia sẻ này.
Cho tới đây, chúng ta vẫn đang sử dụng tài khoản Administrator mặc định
trong miền cho mục đích này. Có hai lý do tại sao đây không phải là một ý

Tại đây, toàn bộ cơ sở hạ tầng Windows của bạn đã bị thỏa hiệp do tên trộm
đã thu được các dữ liệu cần thiết của quản trị viên miền. Vì vậy, nếu sẽ sử
dụng các dữ liệu quản trị viên miền trong file Bootstrap.ini của mình, bạn
cần bảo vệ LiteTouchPE CD (hoặc DVD hoặc USB phụ thuộc vào thiết bị
khởi động đang sử dụng để khởi tạo quá trình LTI). Nói theo cách khác,
không cho người không có quyền có thể truy cập các thiết bị như vậy.
Một vấn đề bảo mật khác có liên quan đến việc truyền tải các dữ liệu quan
trọng trên mạng. Khi bạn khởi động máy tính mục tiêu vào Windows PE
bằng cách sử dụng thiết bị khởi động LiteTouchPE của mình, máy tính sẽ
yêu cầu một địa chỉ IP từ một máy chủ DHCP và sau đó sẽ cố gắng thiết lập
kết nối với deployment share trên máy chủ MDT. Lúc này, nếu sử dụng
MDT trong kịch bản máy tính mới (New Computer, kịch bản thực hiện một
triển khai bare metal vào máy tính mục tiêu hiện chưa có hệ điều hành) thì
thẩm định Kerberos hoặc NTLM sẽ được sử dụng để trao đổi một cách an
toàn các dữ liệu quan trọng trong file Bootstrap.ini từ máy tính mục tiêu đến
máy chủ MDT, và kẻ nào đó đang “đánh hơi” mạng trong của bạn sẽ không
thể đánh cắp được các dữ liệu quan trọng này. Tuy nhiên nếu bạn sử dụng
MDT trong kịch bản Refresh Computer (kịch bản để re-image một máy tính
đang tồn tại trước đó, sau đó lưu và khôi phục các thông tin trạng thái của
người dùng), thì file Bootstrap.ini được xử lý từ deployment share và các dữ
liệu quan trọng sẽ được truyền tải qua mạng dưới dạng văn bản trong sáng.
Điều này có nghĩa nếu có kẻ nào đó đang “đánh hơi” trong mạng của bạn thì
hắn có thể đánh cắp các thông tin quan trọng được chỉ định trong file
Bootstrap.ini, và nếu có các thông tin quản trị miền thì mạng của bạn sẽ bị
thỏa hiệp.
Rõ ràng, nếu sử dụng MDT trong môi trường test, hoặc trong phòng thí
nghiệm an toàn có mirror mạng sản xuất của bạn nhưng có một miền khác
thì tốt nhất là bạn nên để tài khoản quản trị viên mặc định cho miền trong
file Bootstrap.ini như thể hiện trong hình 4 ở trên. Mặc dù vậy nếu sử dụng
MDT trong môi trường sản xuất, bạn chắc chắn không muốn thực hiện như

trong CustomSettings.ini như thể hiện ở trên.
Sử dụng bộ tách và join các tài khoản
Nếu sẽ sử dụng máy chủ MDT để triển khai Windows trong môi trường sản
xuất, thứ đầu tiên chúng ta có thể thực hiện để làm cho MDT trở nên an toàn
hơn là sử dụng các tài khoản người dùng riêng biệt cho việc kết nối với
deployment share và cho việc join các máy tính vào miền. Trong ví dụ này,
chúng ta sẽ tạo hai tài khoản người dùng mới:

mdt_build Tài khoản "build" này sẽ được sử dụng để tạo các máy
tính mục tiêu để kết nối đến deployment share của chúng ta.

mdt_join Tài khoản "join" này sẽ được sử dụng để join tự động các
máy tính mục tiêu vào miền khi quá trình triển khai kết thúc trên các
máy tính.
Khi bạn tạo các tài khoản này trong Active Directory Users và Computers,
chúng sẽ tự động được gán hội viên trong nhóm Domain Users. Hãy để sau
vấn đề này – không add tài khoản này vào nhóm Domain Admins.
Lúc này chúng ta cần nghiên cứu tỉ mỉ các ACL trên deployment share của
mình. Hình 5 chỉ thị rằng nhóm Users trên máy chủ MDT, máy chủ gồm có
nhóm Domain Users như một thành viên, có đặc quyền Read & Execute trên
deployment share.

Hình 5: Nhóm ACL of Users cho một deployment share
Nếu tất cả các bạn đều sử dụng deployment share này cho việc cài đặt
Windows trên các máy tính mục tiêu, thì đặc quyền Read & Execute hoàn
toàn đủ khả năng vì nó cho phép máy tính mục tiêu đọc các file có trong chia
sẻ và chạy kịch bản và các chương trình trong chia sẻ. Nói cách khác, tài
khoản “build” của chúng ta, được chỉ định trong Bootstrap.ini, có thể là một
tài khoản Domain Users đơn giản – nó không cần phải là tài khoản Domain
Admins. Đó là một tin tốt! Vì vậy chúng ta hãy tiếp tục và thay đổi tài khoản

vào miền.