Cài đặt và cấu hình Windows Server 2012 R2

Quản lý Group Policy

Server 2012 R2

Lê Gia Công
Cài đặt và cấu hình Windows Server 2012 R2

Nội dung
Chương 6. Tạo và quản lý các nhóm chính sách ................................................................................ 4
6.1 Tạo GPO ........................................................................................................................................ 4
GPO .................................................................................................................................................. 4
Cấu hình Central Store................................................................................................................... 5
Sử dụng Group Policy Management Console ............................................................................ 6
Tạo và gắn nonlocal GPO .............................................................................................................. 6
Chức năng lọc trong GPO ............................................................................................................. 7
Starter GPO ..................................................................................................................................... 8
Cấu hình nhóm chính sách ............................................................................................................ 8
Tạo các local GPO ........................................................................................................................... 9
Tóm tắt nội dung .......................................................................................................................... 11
Câu hỏi ôn tập .............................................................................................................................. 12
6.2 Cấu hình chính sách bảo mật ................................................................................................... 13
Chính sách cục bộ ........................................................................................................................ 13
Chính sách theo dõi người dùng ............................................................................................... 13
Thiết lập quyền hạn của người dùng ........................................................................................ 16
Các cấu hình bảo mật khác ......................................................................................................... 16
Thiết lập mẫu ................................................................................................................................ 17
Tạo và sử dụng mẫu .................................................................................................................... 17
Người dùng và nhóm người dùng cục bộ ................................................................................ 19
Cơ chế kiểm soát tài khoản người dùng (UAC)........................................................................ 21
Chế độ secure desktop ................................................................................................................ 22
Cấu hình UAC ................................................................................................................................ 23
Tóm tắt nội dung .......................................................................................................................... 23
Câu hỏi ôn tập .............................................................................................................................. 24
6.3 Chính sách hạn chế phần mềm ứng dụng ............................................................................. 25
Cấu hình Software Restriction Policies ...................................................................................... 25
Cấu hình các luật hạn chế phần mềm ....................................................................................... 27
2
Cài đặt và cấu hình Windows Server 2012 R2

Cấu hình cho Software Restriction Policies............................................................................... 29

Sử dụng AppLocker...................................................................................................................... 31
Tóm tắt nội dung .......................................................................................................................... 33
Câu hỏi ôn tập .............................................................................................................................. 33
6.4 Cấu hình Windows Firewall ....................................................................................................... 34
Windows Firewall .......................................................................................................................... 35
Làm việc với Windows Firewall ................................................................................................... 35
Cửa sổ Windows Firewall With Advanced Security .................................................................. 39
Tóm tắt nội dung .......................................................................................................................... 43
Câu hỏi ôn tập .............................................................................................................................. 43

3
Cài đặt và cấu hình Windows Server 2012 R2

Chương 6. Tạo và quản lý các nhóm chính sách

Nhóm chính sách (group policy) hay chính sách hệ thống là các thiết lập cho hệ điều hành Windows,
nhằm kiểm soát hoạt động của hệ thống máy tính. Nhóm chính sách gồm các chính sách cho người
dùng và cho máy tính.
Đối với máy tính, các chính sách sẽ được thiết lập khi khởi động (startup) và khi tắt máy (shutdown).
Đối với người dùng, các chính sách sẽ được thiết lập khi đăng nhập (logon) và khi thoát ra (logoff).
Bạn có thể tạo ra một hoặc nhiều nhóm chính sách, mỗi nhóm chính sách được chứa trong một đối
tượng gọi là GPO (group policy object).
Để áp dụng nhóm chính sách lên một thùng chứa (domain, site, hoặc OU) trong AD DS, bạn thực hiện
gắn GPO vào (link) thùng chứa. Khi đó, mọi đối tượng trong thùng chứa đều bị tác động bởi GPO.
Một GPO có thể áp dụng cho nhiều thùng chứa. Một thùng chứa cho phép gắn nhiều GPO.
Các nội dung sẽ được đề cập trong chương này:
­ Tạo GPO

­ Cấu hình các chính sách bảo mật

­ Quản lý ứng dụng

­ Cấu hình tường lửa của Windows

6.1 Tạo GPO

GPO có thể tác động lên tất cả người dùng và máy tính theo phạm vi OU, domain hoặc site. Tuy nhiên,
nếu sử dụng chức năng lọc (filter), bạn có thể áp dụng GPO trên các người dùng hoặc máy tính cụ thể.
Sau đây là các ích lợi của việc sử dụng nhóm chính sách:
­ Dễ dàng quản lý các chính sách liên quan đến người dùng, ứng dụng, và màn hình desktop

­ Quản lý dữ liệu của người dùng hiệu quả

­ Cấu hình quản lý các máy client nhanh chóng và tự động

Các nội dung sẽ được đề cập trong phần này:

­ Cấu hình Central Store

­ Tạo và quản lý GPO

­ Áp dụng GPO

­ Chức năng lọc

GPO
GPO là một đối tượng, được sử dụng để chứa các thiết lập mà bạn muốn áp dụng cho người dùng và
máy tính trong domain, site hoặc OU. Để áp dụng GPO, bạn sẽ thực hiện gắn GPO tới domain, site
hoặc OU. Các công việc liên quan đến nhóm chính sách gồm: tạo GPO, lưu GPO, sử dụng GPO.

4
Cài đặt và cấu hình Windows Server 2012 R2

Có ba loại GPO: local GPO, nonlocal GPO và starter GPO.

Local GPO (LGPO)
Mọi hệ điều hành Windows đều có hỗ trợ local GPO. Các bản windows từ phiên bản Windows Server
2008 R2 và Windows Vista trở đi, có hỗ trợ nhiều local GPO. Do vậy, bạn có thể thiết lập GPO riêng
biệt cho tài khoản administrator và các GPO khác cho người dùng còn lại. Điều này rất hữu ích trong
trường hợp máy tính có nhiều người dùng chung, nhưng không thiết lập hệ thống AD DS. Đối với các
bản Windows cũ hơn, bạn chỉ có thể tạo được một local GPO, và local GPO này sẽ được áp dụng lên
tất cả người dùng.
Local GPO có một số hạn chế so với domain GPO. Cụ thể, local GPO không hỗ trợ việc chuyển hướng
thư mục (folder redirection), không hỗ trợ cài đặt phần mềm, ít các thiết lập liên quan đến bảo mật.
Nếu các thiết lập giữa local GPO và nonlocal GPO có xung đột, thì các thiết lập của nonlocal GPO sẽ
được ưu tiên hơn.
Nonlocal GPO
Nonlocal GPO là các GPO được tạo ra ở AD DS, được gắn tới site, domain và OU (tạm gọi là thùng
chứa). Sau khi được gắn tới các thùng chứa, các thiết lập của GPO sẽ tác động lên tất cả người dùng và
máy tính có trong thùng chứa.
Starter GPO
Starter GPO là GPO chuẩn, trong đó có chứa các thiết lập cơ bản, cần thiết đối với một domain GPO
(các nonlocal GPO nhưng không phải là Starter GPO?!). Starter GPO được giới thiệu từ bản Windows
Server 2008. Khi bạn tạo GPO mới dựa trên starter GPO, các thiết lập của starter GPO sẽ được chép
sang GPO mới.

Cấu hình Central Store

Trong các phiên bản Windows cũ, nội dung của GPO được chứa trong các tập tin dạng ADM (token-
based administrative template). Từ Windows Server 2008 và Windows Vista, nội dung của GPO được
chứa trong tập tin dạng ADMX (XML-based file format).
Các thiết lập của GPO thường được tổ chức dưới dạng các mẫu (administrative template). Mẫu là một
tập tin, trong đó chứa các thiết lập của GPO, các thiết lập sẽ làm thay đổi nội dung của registry.
Trong các phiên bản Windows cũ, mỗi khi GPO được tạo ra, nội dung của GPO được chứa trong tập
tin dạng ADM, hệ thống sẽ chép một bản của tập tin dạng ADM vào thư mục SYSVOL trên máy
domain controller.
Đối với hệ thống AD DS lớn, cần có rất nhiều GPO, mỗi tập tin của GPO có kích thước chuẩn là 4
MB. Điều này sẽ làm cho thư mục SYSVOL bị phình lớn, với rất nhiều thông tin dư thừa. Thông tin
trong SYSVOL lại được nhân bản tới tất cả các domain controller trong domain. Đây là một hạn chế
cần phải khắc phục.
Để giải quyết vấn đề này, nội dung của GPO sẽ được lưu trong tập tin dạng ADMX, sau đó lưu tập tin
ADMX vào Central Store. Mỗi domain controller có một Central Store. Để sử dụng Central Store, bạn
phải chép thư mục chứa chính sách tới thư mục SYSVOL.
Mặc định, chương trình Group Policy Management Console (GPMC) lưu các tập tin ADMX trong thư
mục \%systemroot%\PolicyDefinitions, cụ thể với hầu hết các máy sẽ là:
C:\Windows\PolicyDefinitions. Để tạo Central Store, bạn phải chép toàn bộ nội dung của

5
Cài đặt và cấu hình Windows Server 2012 R2

PolicyDefinitions tới domain controller tại vị trí %systemroot%\SYSVOL\sysvol\<domain

name>\Policies, hoặc theo dạng tên quy ước là: \\<domain name>\SYSVOL\<domain name>\Policies.

Sử dụng Group Policy Management Console

Group Policy Management Console (GPMC) là một công cụ trong bộ MMC (Microsoft Management
Console). GPMC được sử dụng để tạo, quản lý và sử dụng các GPO. Để mở và biên tập một GPO, bạn
sử dụng công cụ Group Policy Management Editor.
Bạn có thể tạo GPO trước, sau đó gắn GPO tới domain, site, hoặc OU. Hoặc bạn cũng có thể thực hiện
hai việc trên cùng một lúc.
Trong Windows Server 2012 R2, các công cụ làm việc với GPO được cài đặt tự động cùng với AD
DS. Tuy nhiên, nếu máy tính chưa có, bạn vẫn có thể thực hiện cài đặt các công cụ làm việc với GPO
riêng biệt bằng Add Roles And Features Wizard trong Server Manager. Các công cụ làm việc với GPO
cũng có trong gói Remote Server Administration Tools.

Tạo và gắn nonlocal GPO

Nếu bạn muốn để nguyên tất cả các GPO do Windows tạo ra, nhằm giữ nguyên sự ổn định của hệ
thống, thì bạn nên tạo mới các GPO, sau đó gắn các GPO này tới các thùng chứa mà bạn quan tâm
trong AD DS.
Sau đây là các bước thực hiện:
1. Mở Active Directory Administrative Center, trong AD DS tạo một OU có tên là KinhDoanh.

2. Mở Server Manager, chọn trình đơn Tools, chọn Group Policy Management để mở cửa sổ
Group Policy Management. Xem hình minh họa.

3. Xổ nút Forest\Domain, chọn nút Group Policy Objects. Tất cả các GPO hiện có của domain sẽ
xuất hiện trong cửa sổ Group Policy Objects.

4. Để tạo GPO mới, bấm chuột phải vào Group Policy Objects, chọn New để mở cửa sổ New
GPO.

6
Cài đặt và cấu hình Windows Server 2012 R2

5. Nhập tên cho GPO trong mục Name, bấm OK. GPO vừa được tạo sẽ xuất hiện trong cửa sổ
bên phải.

6. Ở cửa sổ bên trái, bấm chuột phải vào domain, site hoặc OU để gắn GPO, chọn Link An
Existing GPO để mở cửa sổ Select GPO.

7. Chọn GPO vừa tạo (hoặc bất kì GPO nào bạn muốn) để gắn vào đối tượng, bấm OK. GPO sẽ
xuất hiện trong cửa sổ bên phải, trong táp Link Group Objects. Xem hình minh họa.

8. Đóng cửa sổ Group Policy Management Console.

Bạn có thể tạo và gắn GPO tới AD DS cùng lúc bằng cách bấm chuột phải vào domain, site hoặc OU,
chọn mục Create A GPO In This Domain And Link It Here.
GPO có tính kế thừa, nghĩa là nếu bạn gắn GPO tới một thùng chứa của AD DS, các chính sách của
GPO sẽ được áp đặt lên tất cả các thành phần bên trong của thùng chứa.

Chức năng lọc trong GPO

Thực chất, sau khi gắn GPO tới một thùng chứa, mọi người dùng và máy tính trong thùng chứa sẽ có
quyền đọc (read) và áp dụng (apply) các nội dung có trong GPO.
Nhóm Authenticated Users là nhóm có thành viên là toàn bộ người dùng và máy tính đã vượt qua được
bước chứng thực khi đăng nhập vào domain. Khi GPO áp dụng trên các thùng chứa, nó sẽ áp dụng lên
toàn bộ các đối tượng vừa thuộc Authenticated Users và vừa thuộc thùng chứa. Như vậy, bằng cách
gán quyền trên GPO cho người dùng và máy tính cụ thể, bạn có thể thực hiện áp dụng GPO một cách
linh hoạt hơn.
Để lựa chọn người dùng hoặc máy tính chịu sự tác động của GPO, tại cửa sổ Group Policy
Management Console, bạn chọn GPO ở khung bên trái, trong phần Security Filtering, sử dụng hai nút
Add và Remove để thay thế nhóm Authenticated Users bằng các đối tượng khác chịu sự tác động của

7
Cài đặt và cấu hình Windows Server 2012 R2

GPO. Khi đó, chỉ có người dùng, máy tính nằm trong thùng chứa và có trong phần Security Filtering
mới nhận được các thiết lập của GPO. Xem hình minh họa.

Starter GPO
Starter GPO là GPO chuẩn, bao gồm các thiết lập cơ bản. Bạn sẽ sử dụng starter GPO để tạo ra các
GPO với cùng các thiết lập cơ bản. Việc tạo và cấu hình starter GPO cũng giống như các GPO thông
thường.
Để tạo starter GPO, bạn bấm chuột phải vào mục Starter GPO, chọn New, nhập tên cho starter GPO,
bấm OK để tạo. Sau khi tạo xong, bạn mở starter GPO bằng Group Policy Management Editor để cấu
hình.
Chú ý: khi bạn mở mục Starter GPO lần đầu, bạn sẽ được hệ thống nhắc tạo thư mục để chứa các
starter GPO. Bạn bấm vào nút hướng dẫn để tạo.
Sau khi tạo và cấu hình, bạn có thể sử dụng starter GPO làm nền tảng để tạo các GPO mới. Để thực
hiện, bấm chuột phải vào starter GPO, chọn New GPO From Starter GPO. Hoặc bạn có thể tạo GPO
mới theo cách thông thường, sau đó, trong mục Source Starter GPO, bạn chỉ định starter GPO cho
GPO sắp được tạo. Lệnh New-GPO trong Windows PowerShell cũng hỗ trợ việc tạo GPO từ starter
GPO. Sau khi tạo GPO, bạn sẽ tiếp tục thực hiện thêm các cấu hình khác kết hợp với các cấu hình sẵn
có từ starter GPO.

Cấu hình nhóm chính sách

Nhóm chính sách được sử dụng để tùy biến màn hình desktop, cấu hình bảo mật và thiết lập môi
trường làm việc của người dùng. Các cấu được chia thành hai loại là:
­ Computer Configuration: các cấu hình tại đây sẽ áp dụng trên máy tính

8
Cài đặt và cấu hình Windows Server 2012 R2

­ User Configuration: các cấu hình tại đây sẽ áp dụng trên người dùng

Computer Configuration và User Configuration cũng là tên của hai nút trong cấu trúc cây GPO.
Các thiết lập của GPO có thể áp dụng trên máy client, người dùng, server thành viên và domain
controller. Phạm vi tác động tùy thuộc vào thùng chứa mà GPO gắn vào. Mặc định, khi gắn một GPO
tới thùng chứa, mọi đối tượng trong thùng chứa đều bị tác động bởi GPO.
Trong mỗi nút Computer Configuration và User Configuration đều có các nút con sau:
­ Software Settings: chứa các thiết lập liên quan đến cài đặt phần mềm (software installation).
Các thiết lập nằm trong nút Computer Configuration sẽ tác động lên máy tính đang chịu sự tác
động của GPO, mà không phân biệt ai đang đăng nhập vào. Các thiết lập nằm trong nút User
Configuration sẽ tác động lên người dùng đang chịu sự tác động của GPO mà không quan tâm
tới họ đăng nhập từ máy tính nào.

­ Windows Settings: các thiết lập nằm trong nút Computer Configuration liên quan đến bảo mật
và kịch bản (script), sẽ tác động lên máy tính đang chịu sự tác động của GPO, mà không phân
biệt ai đang đăng nhập vào. Các thiết lập nằm trong nút User Configuration liên quan đến
chuyển hướng thư mục (folder redirection), bảo mật và các kịch bản, sẽ tác động lên người
dùng đang chịu sự tác động của GPO mà không quan tâm tới họ đăng nhập từ máy tính nào.

­ Administrative Templates: gồm hàng ngàn các thiết lập sẵn (thiết lập mẫu), là các thiết lập dựa
trên registry. Nội dung của các thiết lập được lưu trong tập tin .admx. Đây là các thiết lập liên
quan đến giao diện người dùng.

Để làm việc với Administrative Templates, bạn cần hiểu rõ ba trạng thái khác nhau của mỗi thiết lập:
­ Not Configured: đây là trạng thái của hầu hết các thiết lập trong GPO. Khi thực thi nhóm chính
sách, GPO sẽ không thay đổi, không ghi đè giá trị của registry.

­ Enabled: GPO sẽ bật chức năng này trong registry, nó không quan tâm đến giá trị trước đó là
gì.

­ Disabled: GPO sẽ tắt chức năng này trong registry, nó không quan tâm đến giá trị trước đó là
gì.

Hiểu được ba trạng thái trên giúp bạn làm việc hiệu quả với kế thừa trong GPO và xử lý xung đột khi
áp dụng nhiều GPO lên cùng một thùng chứa. Ví dụ, khi một GPO với độ ưu tiên thấp bật (enabled)
một chính sách, nếu bạn muốn tắt (disabled) chính sách đó bằng GPO với độ ưu tiên cao hơn, bạn phải
thiết lập trạng thái disabled chứ không thể thiết lập trạng thái Not Configured.

Tạo các local GPO

Với các máy tính không là thành viên của AD DS (chưa kết nối miền), thường được gọi là các hệ
thống độc lập (standalone), nếu chúng đang chạy hệ điều hành từ Windows Vista hoặc Windows
Server 2008 R2 trở lên, bạn có thể tạo nhiều local GPO cho các người dùng khác nhau trên hệ thống.
Các local GPO được chia thành ba loại sau:

9
Cài đặt và cấu hình Windows Server 2012 R2

­ Local group policy: nhóm chính sách này tương tự như nhóm chính sách cục bộ trong các hệ
điều hành cũ. Local group policy gồm các thiết lập cho máy tính và cho người dùng. Local
group policy sẽ tác động trên mọi người dùng cục bộ, không phân biệt người quản trị hay người
dùng thông thường. Trong các loại local GPO, chỉ có nhóm chính sách này mới chứa các thiết
lập cho máy tính.

­ Administrators and nonadministrators group policy: nhóm chính sách này gồm hai GPO, một
áp dụng cho nhóm Administrators cục bộ, và một áp dụng cho tất cả người dùng cục bộ còn lại.
Nhóm chính sách này không chứa các thiết lập cho máy tính.

­ User-specific group policy: nhóm chính sách này gồm các GPO áp dụng cho mỗi người dùng
cụ thể, không áp dụng được cho nhóm. Nhóm chính sách này không chứa các thiết lập cho máy
tính.

Thứ tự áp dụng các loại local GPO được thực hiện như sau: đầu tiên là Local group policy, sau đó là
Administrators and nonadministrators group policy và cuối cùng là User-specific group policy. Lưu ý:
các thiết lập được thực hiện sau sẽ đè lên các thiết lập trước đó nếu có tranh chấp.
Trên máy tính là thành viên của domain, các local GPO sẽ được thực hiện trước, sau đó là các GPO
của domain.
Bạn sử dụng Group Policy Object Editor để tạo và cấu hình local GPO. Các bước thực hiện như sau:
1. Mở cửa sổ Run, gõ lệnh MMC để mở cửa sổ Console.

2. Vào trình đơn File, chọn Add/Remove Snap-In để mở cửa sổ Add Or Remove Snap-Ins.

3. Từ danh sách Available Snap-Ins, chọn Group Policy Object Editor và bấm Add để mở cửa sổ
Select Group Policy Object.

4. Để tạo Local group policy GPO bấm Finish. Để tạo local GPO loại hai hoặc loại ba, bấm nút
Browse để mở cửa sổ Browse For A Group Policy Object.

5. Chọn táp Users. Xem hình minh họa.

10
Cài đặt và cấu hình Windows Server 2012 R2

6. Để tạo local GPO loại hai, chọn Administrators hoặc Non-Administrators và bấm OK. Để tạo
local GPO loại ba, chọn người dùng cụ thể, bấm OK. Local GPO sẽ xuất hiện trong cửa sổ
Select Group Policy Object.

7. Bấm Finish. local GPO sẽ xuất hiện trong cửa sổ Add Or Remove Snap-Ins.

8. Bấm OK. Snap-in của local GPO sẽ xuất hiện trong cửa sổ MMC (Console).

9. Bấm trình đơn File, chọn Save As để mở cửa sổ Save As.

10. Nhập tên cho Console để lưu trong Administrative Tools.

11. Đóng MMC.

Để cấu hình cho local GPO vừa tạo, bạn mở console vừa tạo trong Administrative Tools. Cách thực
hiện: mở cửa sổ Run, gõ lệnh MMC để mở cửa sổ Console, vào trình đơn File, chọn Open, chọn
console cần mở.

Tóm tắt nội dung

­ Nhóm chính sách chứa các chính sách được thiết lập cho người dùng và máy tính. Các chính
sách sẽ được thực thi trong quá trình máy tính khởi động, và trong quá trình người dùng đăng
nhập. Các chính sách được sử dụng để điều chỉnh môi trường làm việc của người dùng, triển
khai các yêu cầu về bảo mật hệ thống, giúp quản trị người dùng và màn hình desktop dễ dàng.

­ Trong AD DS, nhóm chính sách sẽ được gắn vào site, domain, và OU. Trên máy cục bộ, chỉ có
duy nhất một local GPO được phép thiết lập các chính sách cho máy tính. Các thiết lập của
local GPO sẽ bị ghi đè nếu có tranh chấp với các thiết lập nonlocal GPO.

­ Group Policy Management là công cụ được dùng để tạo và thiết lập cách chính sách trong
GPO.

11
Cài đặt và cấu hình Windows Server 2012 R2

Câu hỏi ôn tập

1. Các công cụ làm việc với nhóm chính sách có thể truy cập loại tập tin nào trong Central Store?

A. ADM

B. ADMX

C. Group Policy Objects

D. Security templates

2. Trong máy cục bộ có nhiều local GPO, local GPO nào có quyền ưu tiên cao nhất?

A. Local group policy

B. Administrators group policy

C. Non-Administrators group policy

D. User-specific group policy

3. Để áp dụng GPO trên một nhóm người dùng cụ thể trong OU, bạn sử dụng kĩ thuật nào sau
đây?

A. GPO linking (gắn GPO)

B. Administrative templates (thiết lập theo mẫu)

C. Security filtering (lọc)

D. Starter GPOs

4. Sau đây là các mô tả về stater GPO, mô tả nào phù hợp nhất?

A. Starter GPO được sử dụng như một bản mẫu để tạo ra các GPO mới

B. Starter GPO là GPO đầu tiên tác động trên mọi máy client của domain

C. Starter GPO sử dụng một giao diện đơn giản giúp người dùng dễ thao tác

D. Starter GPO chứa tất cả các thiết lập có trong default domain policy GPO

5. Có một chức năng trong hệ thống đã được thiết lập là disabled, bạn muốn thay đổi chức năng
này bằng cách sử dụng GPO, cụ thể, trong GPO bạn thiết lập giá trị cho nó là Not Configured.
Kết quả của thiết lập này là?

A. Trạng thái của chứng năng đó vẫn là disabled

B. Trạng thái của chứng năng đó sẽ chuyển thành Not Configured

12
Cài đặt và cấu hình Windows Server 2012 R2

C. Trạng thái của chứng năng đó sẽ chuyển thành enabled

D. Thiết lập này sẽ tạo ra lỗi tranh chấp

6.2 Cấu hình chính sách bảo mật

Quản lý môi trường làm việc của người dùng và hoạt động của máy tính theo hình thức tập trung là
một trong các chức năng chính của nhóm chính sách. Hầu hết các thiết lập liên quan đến chính sách
bảo mật được chứa tại mục Windows Settings trong nút Computer Configuration của GPO. Tại đây,
bạn có thể quy định cách thức chứng thực người dùng, họ được phép sử dụng các tài nguyên nào,
chính sách về thành viên của nhóm, theo dõi các hoạt động của người dùng, nhóm người dùng.
Các thiết lập trong nút Computer Configuration sẽ tác động lên máy tính, nó không quan tâm tới ai
đang đăng nhập vào máy tính đó. Các thiết lập trên nút Computer Configuration có nhiều tùy chọn hơn
so với các thiết lập trên nút User Configuration.
Các nội dung sẽ được đề cập trong phần này:
­ Chính sách cục bộ

­ Theo dõi người dùng

­ Quyền hạn của người dùng

­ Thiết lập chính sách bảo mật

­ Thiết lập mẫu

­ Người dùng, nhóm người dùng cục bộ

­ UAC (user account control)

Chính sách cục bộ

Chính sách cục bộ là công cụ để thiết lập các quyền hạn và theo dõi hoạt động của người dùng trên
máy cục bộ.
Chính sách cục bộ là các thiết lập chứa trong nút Security Settings\Local Policies của GPO. Nút Local
Policies gồm ba nút con: Audit Policy, User Rights Assignment và Security Options.
Lưu ý: chính sách cục bộ là các thiết lập áp dụng trên máy cục bộ, do vậy, nếu bạn thiết lập chính sách
cục bộ trên nonlocal GPO, chính sách này sẽ áp dụng lên tài khoản máy tính có trong thùng chứa đang
chịu sự tác động của GPO.

Chính sách theo dõi người dùng

Chính sách theo dõi người dùng được thiết lập trong nút audit policy. Người quản trị có thể theo dõi
các hành động của người dùng khi thành công (successful), lẫn khi thất bại (failed). Ví dụ, bạn có thể
theo dõi các loại hành động sau: đăng nhập, truy cập tài khoản, truy cập đối tượng. Bạn cũng có thể
theo dõi các hành động của hệ thống.
Trước khi thiết lập chính sách theo dõi, bạn cần xác định máy nào sẽ được theo dõi, và theo dõi các
loại hành động nào. Với mỗi loại hành động, bạn lại phải quyết định là theo dõi các trường hợp thành

13
Cài đặt và cấu hình Windows Server 2012 R2

công, hay các trường hợp thất bại, hay cả hai. Dựa trên các kết quả theo dõi, bạn sẽ có những nhận
định về tình hình sử dụng tài nguyên, tình trạng bảo mật của hệ thống.
Các loại hành động bạn có thể theo dõi được minh họa trong hình sau:

Với Windows Server 2012 R2, kết quả theo dõi các hành động được lưu ở hai nơi: lưu trên domain
controller hoặc lưu trên máy cục bộ nơi hành động xảy ra. Cụ thể, các hành động có liên quan đến AD
DS sẽ được ghi lại trong security log của domain controller, các sự kiện liên quan đến máy cục bộ sẽ
được ghi lại trong event log của máy cục bộ.
Việc theo dõi tất cả các hoạt động, trên tất cả các máy là không thực tế, mà bạn cần phải lựa chọn các
đối tượng cho phù hợp, nhằm tránh tình trạng phải lưu trữ quá nhiều thông tin. Sau đây là một số lưu ý
giúp bạn thực hiện theo dõi hiệu quả:
­ Chỉ theo dõi những thứ cần thiết: bạn nên xác định các hành động cần theo dõi, và với hành
động đó, việc ghi lại những trường hợp thành công quan trọng hơn, hay trường hợp thất bại
quan trọng hơn. Vì mục đích sau cùng là thu thập thông tin mà bạn đang quan tâm.

­ Theo dõi để hỗ trợ quá trình ra quyết định: bạn có thể thực hiện ghi chép lại các hành động để
làm cơ sở khi ra quyết định bổ sung thêm tài nguyên cho hệ thống.

­ Xác định không gian lưu trữ phù hợp: kích thước vùng đĩa cần thiết để lưu các ghi chép phụ
thuộc vào số lượng các hành động bạn dự định theo dõi. Bạn có thể cấu hình thông tin này tại
Computer Configuration\Windows Settings\Security Settings\Event Log trong mỗi GPO.

Để cấu hình theo dõi người dùng, bạn cần xác định hành động nào cần theo dõi, và theo dõi trên đối
tượng nào. Sau đây là các bước thực hiện:
1. Mở Server Manager, chọn trình đơn Tools, chọn mục Group Policy Management để mở cửa sổ
Group Policy Management.

2. Theo đường dẫn Forests\Domains để mở domain mà bạn quan tâm, chọn mục Group Policy
Objects, trong này sẽ chứa tất cả các GPO hiện có của domain.

14
Cài đặt và cấu hình Windows Server 2012 R2

3. Bấm chuột phải vào mục Default Domain Policy GPO, chọn Edit để mở cửa sổ Group Policy
Management Editor.

4. Theo đường dẫn Computer Configuration\Policies\Windows Settings\Security Settings\Local

Policies\Audit Policy, các chính sách liên quan đến theo dõi người dùng sẽ xuất hiện ở khung
bên phải.

5. Bấm đúp chuột vào chính sách mà bạn muốn thiết lập để mở cửa sổ Properties. Xem hình minh
họa.

6. Đánh dấu chọn vào mục Define These Policy Settings.

7. Muốn theo dõi trường hợp thành công, chọn mục Success. Muốn theo dõi trường hợp thất bại
chọn mục Failure. Hoặc chọn cả hai.

8. Bấm OK để đóng cửa sổ Properties.

9. Đóng cửa sổ Group Policy Management Editor.

Sau khi hệ thống AD DS cập nhật các chính sách vừa được cấu hình tại Default Domain Policy GPO,
toàn bộ các máy tính trong domain sẽ bị tác động bởi chính sách này.
Để theo dõi hành động truy cập đối tượng, bạn thực hiện cấu hình ở một trong hai mục sau:
­ Audit Directory Service Access: theo dõi người dùng khi họ truy cập các đối tượng của AD
DS như Users, OU.

­ Audit Object Access: theo dõi người dùng khi họ truy cập tập tin, thư mục, máy in, registry.

15
Cài đặt và cấu hình Windows Server 2012 R2

Sau đó, bạn tìm tới đối tượng cần theo dõi, bấm chuột phải, chọn Properties, chọn táp Security, bấm
vào nút Advanced, chọn táp Auditing, và chọn người dùng cần theo dõi.

Thiết lập quyền hạn của người dùng

Quyền hạn của người dùng được thiết lập trong mục User Rights Assignment. Trong mục này bao gồm
các thiết lập liên quan đến các thao tác hệ thống. Cụ thể xem trong hình minh họa dưới đây.

Ví dụ, người dùng muốn đăng nhập trực tiếp (locally) vào domain controller thì họ phải được cho phép
trong mục Alllow Log On Locally hoặc họ phải là thành viên của một trong các nhóm sau: Account
Operators, Administrators, Backup Operators, Print Operators, hoặc Server Operators. Vì các nhóm
này, mặc định đã được cấu hình cho phép đăng nhập trực tiếp trong Default Domain Controllers Policy
GPO.
Các thiết lập liên quan đến thao tác hệ thống khác gồm: tắt máy (shutdown), quyền sở hữu đối tượng
(ownership), khôi phục tập tin và thư mục, đồng bộ dữ liệu.

Các cấu hình bảo mật khác

Một số cầu hình bảo mật khác được chứa trong nút Security Options. Ở đây bao gồm các thiết lập liên
quan đến quá trình đăng nhập, chữ kí số, hạn chế truy cập ổ đĩa, quá trình chứng thực và giao tiếp an
toàn trong AD DS. Cụ thể xem trong hình minh họa.

16
Cài đặt và cấu hình Windows Server 2012 R2

Thiết lập mẫu

Thiết lập mẫu (security template) là tập hợp các thiết lập bảo mật được lưu trong tập tin .inf. Các mẫu
này chứa hầu hết các thiết lập có trong một GPO, chỉ khác là chúng được tổ chức theo một hình thức
thống nhất, do vậy, bạn có thể dễ dàng: tạo, cấu hình và tái sử dụng.
Các thiết lập có thể triển khai trong mẫu gồm: theo dõi người dùng, thiết lập quyền hạn người dùng,
cấu hình bảo mật. Bạn có thể kết hợp các mẫu với nhóm chính sách và kịch bản.

Tạo và sử dụng mẫu

Tập tin .inf là dạng tập tin thuần văn bản, chứa các thiết lập ở nhiều hình thức khác nhau. Bạn có thể
mở và biên tập mẫu bằng trình soạn thảo văn bản bất kì. Tuy nhiên, Windows Server 2012 R2 có cung
cấp sẵn công cụ, giúp bạn tạo và biên tập mẫu dễ dàng hơn.
Để tạo và quản lý mẫu, bạn sử dụng snap-in Security Templates trong MMC. Ngoài ra, bạn cũng có
thể tải công cụ Security Compliance Manager (SCM) từ trang web của Microsoft. Mặc định,
Administrative Tools của Windows Server 2012 R2 không có sẵn Security Templates. Vì vậy, bạn
phải tự thêm Security Templates.
Sau đây là các bước để tạo mẫu:
1. Mở cửa sổ Run, nhập MMC để mở cửa sổ Console.

2. Vào trình đơn File, chọn mục Add/Remove Snap-In để mở cửa sổ Add Or Remove Snap-Ins.

3. Trong khung Available Snap-Ins, chọn Security Templates để mở cửa sổ Add Or Remove
Snap-Ins.

4. Bấm OK, snap-in vừa tạo sẽ xuất hiện trong MMC.

17
Cài đặt và cấu hình Windows Server 2012 R2

5. Vào trình đơn File, chọn mục Save As để mở cửa sổ Save As.

6. Nhập tên cho snap-in vào mục File name, bấm Save để lưu.

7. Bấm chuột phải vào thưc mục chứa mẫu ở khung bên trái, chọn New Template để tạo mẫu,
nhập tên cho mẫu, bấm OK để tạo. Xem hình minh họa.

Mẫu vừa được tạo là mẫu trắng, cho phép thực hiện nhiều thiết lập giống với trong GPO. Bạn có thể
thay đổi giá trị của các thiết lập như khi làm việc với GPO.
Sau khi thực hiện thiết lập cho mẫu, để sử dụng mẫu, bạn sẽ thực hiện khớp mẫu vào GPO. Khi khớp
mẫu vào GPO, các thiết lập của mẫu được chuyển thành các thiết lập của GPO.
Sau đây là các bước để khớp mẫu vào GPO:
1. Mở Server Manager, vào trình đơn Tools, chọn Group Policy Management để mở cửa sổ Group
Policy Management.

2. Duyệt theo đường dẫn Forests\Domains để mở domain mà bạn quan tâm. Chọn mục Group
Policy Objects, các GPO hiện có sẽ xuất hiện ở cửa sổ bên phải.

3. Bấm chuột phải vào GPO mà bạn muốn khớp mẫu, bấm Edit để mở cửa sổ Group Policy
Management Editor.

4. Duyệt theo đường dẫn Computer Configuration\Policies\Windows Settings\Security Settings.

Bấm chuột phải vào nút Security Settings, chọn mục Import Policy để mở cửa sổ Import Policy
From.

5. Tìm tới nơi chứa mẫu, chọn mẫu, bấm Open để khớp các thiết lập có trong mẫu vào GPO.

6. Đóng cửa sổ Group Policy Management Editor và Group Policy Management.

18
Cài đặt và cấu hình Windows Server 2012 R2

Người dùng và nhóm người dùng cục bộ

Windows Server 2012 R2 cung cấp hai giao diện để tạo và quản lý tài khoản người dùng cục bộ. Đó là
User Accounts trong Control Panel và snap-in Local Users and Groups thuộc Computer
Management\System Tools trong MMC. Cả hai giao diện này đều truy cập tới Security Account
Manager (SAM), là nơi lưu trữ các thông tin của người dùng và nhóm.
Tuy nhiên, chức năng của hai giao diện có khác nhau, cụ thể:
­ User Accounts: giao diện này có một số hạn chế trong việc cấu hình. Cụ thể, nó cho phép tạo
tài khoản, thay đổi một số thuộc tính. Tuy nhiên, nó không cho tạo nhóm và quản lý thành viên
của nhóm.

­ Local Users And Groups: giao diện này cho phép thực hiện tất cả các cấu hình liên quan đến
tài khoản, nhóm.

Khi cài đặt, Windows Server 2012 R2 luôn tạo sẵn hai tài khoản người dùng là Administrator và
Guest. Mặc định, tài khoản Guest bị vô hiệu (disable).
Sau khi được cài đặt, do trên hệ thống Windows Server 2012 R2 chỉ có tài khoản Administrator là có
hiệu lực, nên bạn sẽ đăng nhập vào hệ thống bằng tài khoản này. Đây là tài khoản có quyền quản trị
cao nhất, bạn có thể sử dụng tài khoản này để tạo các tài khoản mới hoặc thực hiện các cấu hình khác.
Sử dụng User Accounts
Để ý: chỉ khi Windows Server 2012 R2 đang hoạt động ở chế độ Workgroup mới có mục User
Accounts trong Control Panel. Nếu máy tính đã kết nối vào domain thì bạn phải sử dụng snap-in Local
Users And Groups để tạo tài khoản người dùng. Nếu máy tính đã được nâng cấp thành domain
controller thì sẽ không có tài khoản cục bộ và nhóm cục bộ.
Mặc định, mục User Accounts trong Control Panel chỉ cho phép tạo tài khoản người dùng bình thường
(standard account), để thiết lập một tài khoản có quyền quản trị, bạn phải thay đổi kiểu (type) của nó
trong mục Change Your Account Type. Trong Change Your Account Type, việc lựa chọn giữa hai loại
tài khoản Standard và Administrator thực chất là đưa tài khoản vào làm thành viên của nhóm, Standard
là nhóm Users, Administrator là nhóm Administrators.
Sử dụng snap-in Users And Groups
Users And Groups là một phần của Computer Managerment. Để tạo tài khoản người dùng cục bộ bằng
Users And Groups, bạn thực hiện các bước sau:
1. Mở Server Manager, vào trình đơn Tools, chọn Computer Management để mở cửa sổ
Computer Management.

2. Ở khung bên trái, chọn mục Local Users And Groups, chọn Users để xem danh sách các tài
khoản người dùng cục bộ hiện có.

3. Bấm chuột phải vào mục Users, chọn New User để mở cửa sổ New User. Xem hình minh họa.

19
Cài đặt và cấu hình Windows Server 2012 R2

4. Nhập tên (tên đăng nhập) cho tài khoản trong mục User Name. Đây là phần thông tin bắt buộc.

5. Nhập tên đầy đủ của tài khoản trong mục Full Name và mô tả tài khoản trong mục Description.
Phần này không bắt buộc.

6. Nhập mật khẩu trong mục Password và nhập lại mật khẩu trong mục Confirm Password. Phần
này không bắt buộc.

7. Tùy theo yêu cầu, đánh dấu chọn vào các mục sau:

­ User Must Change Password At Next Logon: người dùng phải đổi mật khẩu trong lần
đăng nhập đầu tiên.

­ User Cannot Change Password: người dùng không được thay đổi mật khẩu.

­ Password Never Expires: mật khẩu không bao giờ hết hạn.

­ Account Is Disable: tài khoản tạo ra sẽ bị vô hiệu.

8. Bấm nút Create để tạo tài khoản, tên của tài khoản sẽ xuất hiện trong danh sách.

9. Bấm nút Close.

10. Đóng cửa sổ Computer Management.

Tạo nhóm cục bộ

Để tạo nhóm cục bộ bằng Users And Groups, bạn thực hiện các bước sau:

20
Cài đặt và cấu hình Windows Server 2012 R2

1. Mở Server Manager, vào trình đơn Tools, chọn Computer Management để mở cửa sổ
Computer Management.

2. Ở khung bên trái, chọn mục Local Users And Groups, chọn Groups để xem danh sách các
nhóm cục bộ hiện có.

3. Bấm chuột phải vào mục Groups, chọn New Group để mở cửa sổ New Group.

4. Nhập tên cho nhóm trong mục Group Name. Đây là phần thông tin bắt buộc. Nếu muốn, bạn có
thể nhập thông tin mô tả cho nhóm trong mục Description.

5. Bấm nút Add để mở cửa sổ Select Users.

6. Nhập các thành viên của nhóm, bạn có thể nhập trực tiếp vào hộp thoại, mỗi thành viên cách
nhau bởi dấu “;”. Bạn cũng có thể gõ một phần của tên, sau đó bấm nút Check Names; hoặc
bạn cũng có thể sử dụng nút Advanced để tìm các thành viên. Bấm OK.

7. Bấm nút Create để tạo nhóm.

8. Bấm Close.

9. Đóng cửa sổ Computer Management.

Nhóm cục bộ không thể chứa thành viên là nhóm cục bộ khác. Tuy nhiên, nếu máy tính đã được kết
nối vào domain, nhóm cục bộ có thể chứa thành viên là các nhóm hoặc người dùng domain.

Cơ chế kiểm soát tài khoản người dùng (UAC)

Một vấn đề hay gặp trong thực tế là người dùng được cấp quyền nhiều hơn so với những gì họ cần.
Điều này tiềm ẩn những rủi ro liên quan đến bảo mật hệ thống. Ví dụ, tài khoản administrator hoặc
nhóm Administrators sẽ có toàn quyền trên hệ điều hành, tuy nhiên, nếu người dùng chỉ cần chạy một
số ứng dụng trên hệ thống thì không nhất thiết phải có những quyền này.
Với hầu hết người dùng, họ sẽ sử dụng tài khoản bình thường (standard user). Nếu bạn là một người
quản trị hệ thống, bạn có thể sử dụng giải pháp là: đăng nhập vào hệ thống bằng tài khoản bình thường
(standard user), và chỉ đăng nhập bằng tài khoản quản trị khi thực sự cần thiết. Việc phải thoát ra và
đăng nhập lại nhiều lần thường gây ảnh hưởng xấu đến tâm lý và hiệu quả của công việc.
Để giải quyết vấn đề này, Windows Server 2012 R2 sử dụng cơ chế kiểm soát tài khoản người dùng
(UAC: User Account Control). Cơ chế UAC sẽ duy trì một tài khoản hoạt động ở mức bình thường, và
chỉ chuyển sang hoạt động ở chế độ quản trị khi có xác nhận trực tiếp của người dùng.
Chuyển sang chế độ quản trị
Windows Server 2012 R2 sử dụng thẻ (token) để kiểm soát tài khoản. Khi bạn đăng nhập thành công
vào hệ thống, bạn sẽ được cấp thẻ, thẻ này cho biết bạn có quyền ở mức nào. Thẻ này sẽ theo người
dùng từ khi đăng nhập tới khi thoát khỏi hệ thống.
Trong các bản Windows trước Windows Server 2008 và Windows Vista, người dùng bình thường sẽ
nhận thẻ loại bình thường, người thuộc nhóm Administrators sẽ nhận thẻ quản trị.

21
Cài đặt và cấu hình Windows Server 2012 R2

Trong Windows Server 2012 R2, nhờ có UAC nên người dùng bình thường sẽ luôn nhận thẻ bình
thường, nhưng người quản trị sẽ nhận được cả hai thẻ: bình thường và quản trị. Mặc định người quản
trị sẽ thao tác dựa trên thẻ bình thường. Khi nào họ thực hiện thao tác cần đến quyền quản trị thì hệ
thống sẽ xuất hiện cửa sổ, yêu cầu cung cấp tên và mật khẩu của tài khoản quản trị. Lúc này, người
quản trị sẽ thao tác dựa trên thẻ quản trị. Cơ chế này gọi là Admin Approval Mode. Xem hình minh
họa.

Trước khi người quản trị thực hiện công việc, hệ thống có thể sẽ yêu cầu xác minh lại công việc sẽ
thực hiện, việc này để ngăn chặn các chương trình phá hoại cài vào hệ thống. Xem hình minh họa.

Chế độ secure desktop

Mỗi khi Windows Server 2012 R2 bật lên cửa sổ yêu cầu chứng thực, hoặc xác minh như trong phần
UAC, nghĩa là nó đang sử dụng chế độ secure desktop.
Secure desktop là một trạng thái hoạt động của hệ điều hành Windows. Ở trạng thái này, hệ thống sẽ
vô hiệu tất cả các cửa sổ và ứng dụng khác, chỉ để lại duy nhất cửa sổ chứng thực hoặc xác minh. Mục
đích của secure desktop là để ngăn chặn các chương trình độc hại giả mạo quá trình chứng thực hoặc
xác minh.

22
Cài đặt và cấu hình Windows Server 2012 R2

Cấu hình UAC

Mặc định, Windows Server 2012 R2 luôn bật chức năng UAC. Để thay đổi các thiết lập của UAC hoặc
vô hiệu UAC, bạn mở Control Panel, trong ô Search Control Panel nhập Action Center, chọn mục
Action Center, trong cửa sổ Action Center chọn mục Change User Account Control settings để mở cửa
sổ User Account Control settings. Xem hình minh họa.

Có bốn mức độ bạn có thể thiết lập cho UAC gồm:

­ Always Notify Me: mức độ cảnh báo cao nhất.

­ Notify Me Only When Apps Try To Make Changes To My Computer: mức độ cảnh báo thấp
hơn, không cảnh báo khi thay đổi các thiết lập liên quan đến hệ điều hành.

­ Notify Me Only When Apps Try To Make Changes To My Computer (Do Not Dim My
Desktop): mức độ cảnh báo thấp hơn, không cảnh báo khi thay đổi các thiết lập liên quan đến
hệ điều hành, khi cảnh báo không sử dụng chế độ secure desktop.

­ Never Notify Me: không cảnh báo, vô hiệu UAC.

Bạn có thể cấu hình thêm các thuộc tính của UAC trong mục Security Options của Nhóm chính sách
(Group Policy) và trong chính sách bảo mật cục bộ (Local Security Policy).

Tóm tắt nội dung

­ Hầu hết các thiết lập liên quan đến bảo mật hệ thống đều nằm trong nút Computer
Configuration\Windows Settings của GPO.

23
Cài đặt và cấu hình Windows Server 2012 R2

­ Chính sách cục bộ là công cụ để thiết lập các quyền hạn của người dùng trên máy cục bộ, và
thiết lập chế độ theo dõi hoạt động của người dùng.

­ Người quản trị có thể theo dõi các hành động của người dùng khi thành công (successful), khi
thất bại (failed), hoặc cả hai.

­ Người quản trị có thể sử dụng các thiết lập mẫu (security template) để: theo dõi người dùng,
thiết lập quyền hạn người dùng, cấu hình bảo mật, và các thiết lập khác.

­ Khi một người đang sử dụng tài khoản bình thường muốn thực hiện một chức năng có yêu cầu
quyền cao hơn, họ sẽ phải chứng thực lại bằng một tài khoản có chức năng quản trị.

­ Mặc định, Windows Server 2012 R2 luôn bật chức năng UAC. Bạn có thể thay đổi các thiết lập
của UAC hoặc vô hiệu UAC.

Câu hỏi ôn tập

1. Để triển khai một mẫu bảo mật cho tất cả các máy tính trong AD DS, bạn sử dụng các công cụ
nào sau đây (chọn nhiều đáp án)?

A. Active Directory Users and Computers

B. Security Templates snap-in

C. Group Policy Object Editor

D. Group Policy Management

2. Bạn có thể thêm thành viên cho nhóm nào sau đây bằng Control Panel (chọn nhiều đáp án)?

A. Users

B. Power Users

C. Administrators

D. Non-Administrators

3. Công cụ nào sau đây được sử dụng để thực hiện các cấu hình cho thiết lập mẫu?

A. Active Directory Users and Computers

B. Security Templates snap-in

C. Group Policy Object Editor

D. Group Policy Management

24
Cài đặt và cấu hình Windows Server 2012 R2

4. Trong Windows Server 2012 R2, các nhóm cục bộ của hệ thống (buitl-in) sẽ nhận các thiết lập
đặc biệt thông qua cơ chế nào?

A. Security options

B. Các luật của Windows Firewall

C. Quyền NTFS

D. Quyền hạn người dùng (user right)

5. Trong Windows Server 2012 R2, sau khi cấu hình và triển khai Audit Directory Service
Access, bạn phải làm gì tiếp theo thì hệ thống mới thực hiện theo dõi việc truy cập Active
Directory?

A. Sử dụng Active Directory Users and Computers để lựa chọn các đối tượng trong Active
Directory sẽ bị theo dõi

B. Phải đợi cho tới khi chính sách theo dõi được gửi tới tất cả các domain controller trong
mạng

C. Phải mở Audit Directory Service Access Properties và chọn tất cả các đối tượng cần
theo dõi trong Active Directory

D. Thêm dấu gạch thấp ( _ ) vào tên của các đối tượng Active Directory mà bạn muốn theo
dõi

6.3 Chính sách hạn chế phần mềm ứng dụng

Để thiết lập các chính sách nhằm hạn chế việc sử dụng phần mềm ứng dụng, bạn thực hiện trong mục
Software Restriction Policies của GPO.
Các nội dung sẽ đề cập trong phần này:
­ Cấu hình Software Restriction Policies

­ Cấu hình các luật

­ Cấu hình AppLocker

Cấu hình Software Restriction Policies

Trong GPO, mục Software Restriction Policies nằm tại Windows Settings\Security Settings. Nó có
trong cả hai nút User Configuration và Computer Configuration. Mặc định, Software Restriction
Policies ở trạng thái rỗng. Khi tạo chính sách, trong Software Restriction Policies sẽ xuất hiện hai mục
con là Security Levels và Additional Rules.
Mục Security Levels dùng để định nghĩa các quy định chung. Additional Rules dùng để định nghĩa các
quy định cho từng phần mềm.
Hạn chế bắt buộc
25
Cài đặt và cấu hình Windows Server 2012 R2

Mặc định, khi chưa thực hiện cấu hình Software Restriction Policies, quyền thực thi các phần mềm
được quy định bởi quyền NTFS.
Khi đã thực hiện cấu hình Software Restriction Policies, quyền NTFS không còn được xét đến, việc
quản lý quyền thực thi phần mềm sẽ dựa trên ba chiến lược sau:
­ Unrestricted: chính sách này cho phép mọi phần mềm đều được chạy, ngoại trừ các phần
mềm đã bị cấm một cách tường minh.

­ Disallowed: chính sách này cấm mọi phần mềm thực thi, ngoại trừ các phần mềm đã được
cho phép một cách tường minh.

­ Basic User: các phần mềm cần chạy bằng quyền quản trị sẽ không được thực thi, tuy nhiên
các phần mềm chạy bằng quyền người dùng vẫn được thực thi.

Bạn cần căn cứ vào yêu cầu cụ thể của công ty/tổ chức để lựa chọn chiến lược cho phù hợp. Thông
thường, mức bảo mật mặc định (Default Security Level) được thiết lập trong Security Level là
Unrestricted.
Ví dụ, trong môi trường đòi hỏi bảo mật cao, bạn chỉ muốn chạy một số phần mềm cụ thể, bạn sẽ thiết
lập mức bảo mật mặc định là Disallowed. Ngược lại, trong môi trường không cần bảo mật cao, bạn có
thể thiết lập mức bảo mật mặc định là Unrestricted. Sau đó, bạn sẽ tạo ra các luật để cấm hoặc cho
phép các phần mềm cụ thể được chạy.
Sau đây là các bước để thiết lập mức bảo mật mặc định là Disallowed.
1. Mở Server Manager, chọn trình đơn Tools, chọn Group Policy Management để mở cửa sổ
Group Policy Management.

2. Duyệt theo đường dẫn Forest, Domains, chọn domain mà bạn quan tâm, chọn mục Group
Policy Objects, các GPO hiện có của domain sẽ xuất hiện ở khung bên phải.

3. Bấm chuột phải vào GPO bạn quan tâm, chọn Edit để mở cửa sổ Group Policy Management
Editor.

4. Trong nút Computer Configuration hoặc User Configuration chọn mục Software Restriction
Policies.

5. Chuột phải vào mục Software Restriction Policies, chọn New Software Restriction Policies để
tạo chính sách.

6. Mở nút Security Levels ở khung bên phải. Để ý sẽ thấy mức bảo mật mặc định (Default
Security Level) được thiết lập là Unrestricted.

7. Để chuyển mức bảo mật mặc định là Disallowed, bạn kích đôi chuột vào mục Disallowed, bấm
vào nút Set as Default. Xuất hiện cửa sổ cảnh báo của Software Restriction Policies.

8. Bấm Yes, để chấp nhận. Đóng cửa sổ Group Policy Management Editor và Group Policy
Management.

26
Cài đặt và cấu hình Windows Server 2012 R2

Cấu hình các luật hạn chế phần mềm

Hiệu lực của chính sách hạn chế phần mềm là sự kết hợp ở cả hai nơi: Security Levels và Additional
Rules. Trong đó, các chính sách trong Additional Rules được xét trước, sau đó đến các chính sách
trong Security Levels. Các thiết lập trong Additional Rules có độ ưu tiên cao hơn trong Security
Levels.
Để tạo luật mới trong Additional Rules, bạn bấm chuột phải vào nút Additional Rules, có bốn loại luật
bạn có thể chọn:
­ Hash rules

­ Certificate rules

­ Path rules

­ Network zone rules

Khi chọn một trong bốn loại luật trên, hệ thống sẽ xuất hiện cửa sổ cho phép bạn thiết lập các thông số
của luật. Như hình ví dụ sau:

Hash rules
Hash là một chuỗi kí số có kích thước cố định, nó là định danh duy nhất của mỗi chương trình hay tập
tin. Hash được sinh ra dựa trên thuật toán, thuật toán này đảm bảo giá trị hash sinh ra là duy nhất cho
mỗi tập tin.

27
Cài đặt và cấu hình Windows Server 2012 R2

Khi bạn tạo một luật dựa trên hash của tập tin, hệ thống sẽ lưu giá trị hash của tập tin trong Software
Restriction Policies. Khi người dùng muốn chạy tập tin, hệ thống sẽ so khớp giá trị hash của tập tin với
giá trị hash của nó trong Software Restriction Policies, nếu hai giá trị này khớp nhau, luật sẽ được thực
thi.
Do giá trị hash được tạo dựa trên tập tin, nên khi bạn di chuyển tập tin tới vị trí khác thì giá trị hash
vẫn không bị thay đổi. Tuy nhiên, nếu chương trình phá hoại làm thay đổi nội dung của tập tin, dẫn tới
giá trị hash bị thay đổi, khi đó, luật trong Software Restriction Policies sẽ không cho chương trình
được thực thi.
Certificate rules
Certificate rule là luật dựa vào chứng chỉ số (digital certificate) của mỗi phần mềm. Chứng chỉ số giúp
xác định tính hợp pháp của phần mềm. Bạn có thể sử dụng certificate rule để cho phép các phần mềm
có nguồn gốc tin cậy được chạy và cấm các phần mềm còn lại. Bạn cũng có thể sử dụng certificate rule
để cho phép chạy các phần mềm đang bị cấm bởi thiết lập Disallowed.
Path rules
Path rule là luật dựa trên vị trí của phần mềm trên hệ thống lưu trữ. Bạn có thể sử dụng path rule để
cho chạy các phần mềm bị cấm bởi thiết lập Disallowed, hoặc cấm chạy các phần mềm do thiết lập
Unrestricted.
Vị trí của phần mềm có thể xác định bằng vị trí của nó trong thiết bị lưu trữ, hoặc thông tin về vị trí
được khai báo trong cấu trúc Registry.
Tạo luật (path rule) dựa trên vị trí của phần mềm có hạn chế là khi bạn thay đổi vị trí lưu trữ của phần
mềm sẽ làm cho luật không còn tác dụng. Ngược lại, nếu dựa vào thông tin vị trí của phần mềm trong
Registry sẽ luôn đảm bảo luật được thực thi, vì khi bạn thay đổi vị trí lưu trữ của phần mềm, giá trị
trong Registry sẽ được cập nhật tự động.
Network zone rules
Network zone rule là luật áp dụng cho các phần mềm được cài đặt bằng Windows Installer từ máy cục
bộ (local computer), local intranet, trusted sites, restricted sites hoặc Internet. Bạn có thể sử dụng luật
kiểu này để chỉ cho phép cài đặt các phần mềm có nguồn gốc đáng tin cậy trên hệ thống mạng. Ví dụ,
thiết lập Internet zone rule để không cho phép Windows Installer tải về và cài đặt các phần mềm từ
Internet và các nơi khác trên mạng.
Sử dụng nhiều luật
Trong một Software Restriction Policies, bạn có thể kết hợp nhiều loại luật trong Additional Rules và
nhiều chiến lược bảo mật trong Security Levels. Ví dụ, bạn có thể sử dụng một path rule để cấm chạy
phần mềm trong thư mục \\Server1\Accounting, một path rule để cho phép chạy phần mềm trong thư
mục \\Server 1\Application. Bạn cũng có thể kết hợp certificate rule và hash rule.
Sau đây là thứ tự ưu tiên của các luật, luật có số thứ tự nhỏ hơn sẽ có độ ưu tiên cao hơn:
1. Hash rules

2. Certificate rules

3. Network zone rules

4. Path rules

28
Cài đặt và cấu hình Windows Server 2012 R2

Khi có xung đột giữa các luật, luật có độ ưu tiên cao hơn sẽ được áp dụng. Ví dụ, nếu có xung đột giữa
hash rules và path rules, thì hash rules sẽ được áp dụng.
Khi có sự xung đột giữa hai luật cùng loại trên một phần mềm, thì luật nào có sự hạn chế phần mềm
nhiều hơn sẽ được áp dụng. Ví dụ, một luật là Unrestricted và một luật là Disallowed thì luật sẽ được
áp dụng là Disallowed.

Cấu hình cho Software Restriction Policies

Bạn có thể thiết lập các thuộc tính cho mục Software Restriction Policies, các thuộc tính này sẽ tác
động trên toàn bộ các chính sách trong Software Restriction Policies.
Có ba thuộc tính bạn có thể thiết lập cho Software Restriction Policies là: Enforcement, Designated
File Types, và Trusted Publishers.
Thuộc tính Enforcement
Thuộc tính này cho phép bạn lựa chọn: sẽ áp dụng chính sách cho tất cả các tập tin của ứng dụng bao
gồm cả các tập tin DLL (dynamic link library), hay không áp dụng trên các tập tin DLL. Ở chế độ mặc
định, chính sách sẽ không áp dụng trên các tập tin DLL. Xem hình minh họa.

Một ví dụ về ứng dụng Enforcement trong thực tế, Default Security Level được thiết lập là Disallowed
và Enforcement được thiết lập là All Software, khi đó bạn sẽ phải tạo các chính sách để kiểm soát các
tập tin DLL, ngược lại nếu trong Enforcement bạn loại ra các tập tin DLL, thì bạn sẽ không phải quan
tâm tới việc kiểm soát các DLL.
Thuộc tính Designated File Types
Thuộc tính Designated File Types được sử dụng để xác định các loại tập tin sẽ bị tác động bởi các luật.
Các loại tập tin được chọn ở đây sẽ áp dụng cho tất cả các luật trong Software Restriction Policies.
Xem hình minh họa.
29
Cài đặt và cấu hình Windows Server 2012 R2

Thuộc tính Trusted Publishers

Thuộc tính Trusted Publishers cho phép người quản trị thiết lập chính sách liên quan đến certificate
rule cho hệ thống. Xem hình minh họa.

30
Cài đặt và cấu hình Windows Server 2012 R2

Trong cửa sổ Trusted Publishers Properties, phần Trusted publisher management cho phép xác định ai
được phép quản lý nguồn cấp certificate. Mặc định, administrator máy cục bộ có quyền xác định nguồn
cấp certificate cho máy cục bộ, enterprise administrators có quyền xác định nguồn cấp certificate cho
một OU. Đối với các hệ thống có yêu cầu bảo mật cao, người dùng không được phép lựa chọn nguồn
cấp certificate.

Sử dụng AppLocker
Software Restriction Policies là một công cụ mạnh, tuy nhiên, nó đòi hỏi người quản trị phải thực hiện
nhiều việc hơn. Đặc biệt, nếu bạn cấu hình theo kiểu disallowed, khi đó ngoài việc tạo luật để cho các
phần mềm ứng dụng được chạy, bạn còn phải tạo luật cho rất nhiều các chương trình của chính
Windows Server 2012 R2.
Applocker còn có tên gọi khác là Application Control Policies. Applocker là một chức năng của
Windows, nó kiểm soát ứng dụng thông qua các luật, tuy nhiên việc tạo luật rất đơn giản.
Các luật của Applocker có thể áp dụng cho từng user hoặc từng group cụ thể. Bạn cũng có thể tạo luật
để áp dụng cho tất cả các phiên bản trong tương lai của một ứng dụng.
Hạn chế của Applocker là các chính sách của nó chỉ áp dụng được trên các máy tính cài Windows 7 và
Windows Server 2008 R2 trở lên.
Các loại luật
Các thiết lập của AppLocker được lưu trong các GPO, cụ thể tại Computer Configuration\Windows
Settings\Security Settings\Application Control Policies\AppLocker. Xem hình minh họa.

AppLocker chứa bốn nút, trong đó chứa các luật sau:

­ Executable Rules: chứa các luật áp dụng cho các tập tin có phần mở rộng là .exe và .com

­ Windows Installer Rules: chứa các luật áp dụng cho các gói cài đặt bằng Windows Installer,
các tập tin có phần mở rộng là .msi và .msp

31
Cài đặt và cấu hình Windows Server 2012 R2

­ Script Rules: chứa các luật áp dụng cho các tập tin dạng script, với phần mở rộng là .ps1, .bat,
.cmd, .vbs, và .js

­ Package App Rules: chứa các luật áp dụng cho các ứng dụng mua từ Windows Stores

Khi tạo luật trong mỗi nút, việc cho phép chạy hoặc cấm chạy một tài nguyên có thể dựa vào một trong
các cách sau:
­ Publisher: dựa vào chứng chỉ số của phần mềm, có thể tạo luật áp dụng cho mọi phiên bản của
phần mềm.

­ Path: dựa vào tên của tập tin hoặc thư mục, hạn chế của cách này là mọi tập tin đều có thể bị
luật này tác động, nếu tên hoặc vị trí của nó khớp với luật.

­ File Hash: dựa vào giá trị hash của tập tin

Thiết lập default rules

Khi được bật, AppLocker sẽ khóa tất cả các tập tin thực thi, các installer package, các script (ngoại trừ
các đối tượng đã được áp dụng luật Allow). Vì vậy, bạn cần phải tạo ra luật để cho phép chạy các tập
tin cần thiết cho Windows và các ứng dụng hệ thống. Để thực hiện, bấm chuột phải vào từng nút trong
AppLocker, chọn Create Default Rules.
Default rules của mỗi nút cũng giống như các luật thông thường, do vậy, bạn có thể nhân bản, thay đổi
hoặc xóa nếu cần. Bạn cũng có thể tự tạo các luật trong Default rules, miễn là đảm bảo Windows hoạt
động bình thường mà không cần can thiệp gì thêm.
Để sử dụng AppLocker, phải bật dịch vụ Application Identify, mặc định, dịch vụ này thuộc loại khởi
chạy bằng tay, do vậy, bạn phải khởi chạy nó trong cửa sổ Services trước khi Windows có thể áp dụng
các chính sách của AppLocker.
Tạo luật tự động
Ưu điểm lớn nhất của AppLocker là khả năng tạo luật tự động. Để thực hiện, bấm chuột phải vào nút
cần tạo luật, chọn Automatically Generate Rules để mở của sổ Automatically Generate Rules Wizard.
Sau khi chọn thư mục, user và group chịu sự tác động của luật, trang Rule Preferences xuất hiện, trang
này cho phép chọn loại luật sẽ được tạo. Sau đó xuất hiện trang Review Rules, tóm tắt nội dung của
luật và thêm luật vào nút.
Tạo luật thủ công
Ngoài việc tạo luật tự động, bạn cũng có thể tạo luật thủ công. Để thực hiện, bấm chuột phải vào nút
cần tạo luật, chọn Create New Rule. Wizard yêu cầu bạn cung cấp các thông tin sau:
­ Action: xác định hành động của luật là allow (cho chạy) hay deny (cấm chạy). Trong
AppLocker, luật deny có độ ưu tiên cao hơn luật allow.

­ User Or Group: lựa chọn đối tượng chịu sự tác động của luật

­ Conditions: xác định loại luật sẽ được tạo, luật sẽ chạy dựa trên chữ kí số, tên của tập tin, hay
giá trị hash.

­ Exceptions: xác định các ngoại lệ

32
Cài đặt và cấu hình Windows Server 2012 R2

Tóm tắt nội dung

­ Software Restriction Policies là một chức năng trong Group Policy, cho phép bạn kiểm soát
việc thực thi của các phần mềm trên máy tính.

­ Default Security Level là chế độ bảo mật mặc định được thiết lập trong Security Level, chế độ
này có ba tùy chọn: một là unrestricted – cho phép mọi phần mềm đều được chạy, ngoại trừ các
phần mềm đã bị cấm một cách tường minh; hai là disallowed - cấm mọi phần mềm thực thi,
ngoại trừ các phần mềm đã được cho phép một cách tường minh; ba là basic user - các phần
mềm cần chạy bằng quyền quản trị sẽ không được thực thi, các phần mềm chạy bằng quyền
người dùng được thực thi.

­ Software Restriction Policies có bốn loại luật, gồm (theo thứ tự ưu tiên): Hash rules, Certificate
rules, Path rules và Network zone rules. Khi được tạo ra, các luật này sẽ có độ ưu tiên cao hơn
và sẽ thay thế các luật tương ứng trong Default Security Level.

­ AppLocker là một chức năng trong Group Policy, nó cũng cho phép bạn kiểm soát việc thực thi
của các phần mềm trên máy tính. Sử dụng AppLocker đơn giản hơn so với Software Restriction
Policies.

Câu hỏi ôn tập

1. Loại luật nào sau đây không có trong Software Restriction Policies của Windows Server 2012
R2?

A. Hash rules

B. Certificate rules

C. Path rules

D. Firewall rules

2. Trong Software Restriction Policies, chiến lược nào sẽ cấm chạy mọi phần mềm, ngoại trừ các
phần mềm đã được Administrator cho phép chạy một cách tường minh?

A. Basic user

B. Disallowed

C. Power user

D. Unrestricted

3. Tình huống nào sau đây làm cho hash rule bị mất tác dụng trong việc kiểm soát các phần mềm?
(chọn tất cả các khả năng)

A. Khi bạn di chuyển tập tin đang được thiết lập hash rule tới thư mục khác.

33
Cài đặt và cấu hình Windows Server 2012 R2

B. Khi bạn nâng cấp tập tin đang được thiết lập hash rule lên phiên bản mới.

C. Khi tập tin đang được thiết lập hash rule bị virus làm thay đổi nội dung.

D. Khi bạn thay đổi quyền sử dụng (NTFS) trên tập tin đang được thiết lập hash rule.

4. Loại luật nào sau đây sẽ kiểm soát các tập tin có phần mở rộng là .msi?

A. Executable rules

B. Windows Installer rules

C. Script rules

D. Packaged app rules

5. Bạn phải khởi chạy bằng tay dịch vụ nào sau đây của Windows, để AppLocker có thể thực
hiện các chính sách của nó?

A. Application Identity

B. Application Management

C. Credential Manager

D. Network Connectivity Assistant

6.4 Cấu hình Windows Firewall

Bạn có thể đặt các máy server trong phòng biệt lập để đảm bảo an toàn, tuy nhiên, các server vẫn phải
kết nối với hệ thống mạng. Thông qua kết nối mạng, server sẽ trao đổi dữ liệu với bên ngoài. Để đảm
bảo an toàn cho server, trong khi vẫn đáp ứng được nhu cầu sử dụng của người dùng, bạn cần thiết lập
và cấu hình tường lửa (firewall).
Firewall là một phần mềm, được sử dụng để bảo vệ máy tính hoặc hệ thống mạng. Firewall sẽ kiểm
soát việc đi vào và đi ra của các gói dữ liệu. Nó thực hiện chức năng này bằng cách kiểm tra nội dung
của gói tin, so sánh nội dung của gói tin với các luật đã được thiết lập, để quyết định có cho gói tin đó
đi qua hay không.
Mục đích của firewall là cho phép các gói tin cần thiết đối với nghiệp vụ của người dùng được phép đi
qua và cấm tất cả các gói tin còn lại.
Khi làm việc với firewall, chúng ta không quan tâm tới vấn đề chứng thực và phân quyền.
Các nội dung sẽ được đề cập trong phần này:
­ Windows Firewall

­ Làm việc với Windows Firewall

­ Cửa sổ Windows Firewall With Advanced Security

34
Cài đặt và cấu hình Windows Server 2012 R2

Windows Firewall
Windows Firewall là chương trình tường lửa có sẵn trong Windows Server 2012 R2. Chương trình này
được bật mặc định trên tất cả các hệ thống. Ở chế độ mặc định, Windows Firewall cấm hầu hết các gói
tin đi vào hệ thống. Nó làm việc bằng cách kiểm tra nội dung của mỗi gói tin đi vào và đi ra, so sánh
nội dung của gói tin với các luật, từ đó sẽ quyết định xem gói tin nào được phép đi qua và gói tin nào
không.
Hệ thống Windows sử dụng chồng giao thức TCP/IP để thực hiện các giao tiếp mạng. Dữ liệu của ứng
dụng được đóng gói bằng nhiều giao thức khác nhau. Trong quá trình đóng gói, thông tin cho biết dữ
liệu xuất phát từ đâu và đi đến đâu được bổ sung vào gói tin, trong đó có ba thông tin quan trọng hay
được sử dụng để tạo luật trong tường lửa là:
­ Địa chỉ IP: xác định duy nhất một host trên mạng. Bạn có thể tạo luật dựa trên địa chỉ IP để cho
phép/cấm một máy tính hay một mạng gửi/nhận gói tin.

­ Chỉ số của giao thức (protocol numbers): dựa vào chỉ số của giao thức để xác định xem gói tin
đó là TCP hay UDP. Các máy tính chạy Windows thường sử dụng UDP để truyền các thông
điệp ngắn như các giao tiếp trong DNS, DHCP; TCP được sử dụng để truyền các thông điệp
lớn như các giao tiếp của web server, file server, print server.

­ Chỉ số cổng (port number): dựa vào chỉ số cổng để xác định ứng dụng nào đang chạy trên máy
tính. Dựa vào chỉ số cổng, bạn có thể tạo các luật để cho phép/hoặc cấm gói tin của các ứng
dụng. Ví dụ, web server luôn nhận gói tin ở cổng 80, do vậy nếu tường lửa không cho phép gói
tin có chỉ số cổng 80 đi qua sẽ làm cho web server không thể hoạt động bình thường.

Tường lửa có thể hoạt động theo hai cách:

­ Cho mọi gói tin đi qua, trừ các trường hợp được liệt kê trong các luật.

­ Cấm mọi gói tin đi qua, trừ các trường hợp được liệt kê trong các luật.

Cách thứ hai an toàn hơn cho hệ thống. Cụ thể, ban đầu, người quản trị sẽ khóa hoàn toàn hệ thống,
sau đó sẽ chạy thử các ứng dụng, nếu ứng dụng yêu cầu mở cổng nào thì người quản trị sẽ tạo luật để
mở cổng đó. Windows Firewall đang sử dụng cách này đối với các gói đi vào. Với các gói tin đi ra,
Windows Firewall sử dụng cách đầu tiên, nghĩa là cho mọi gói tin đi qua, trừ các trường hợp đã được
liệt kê trong các luật.

Làm việc với Windows Firewall

Để làm việc với Windows Firewall, bạn có thể sử dụng một trong hai giao diện là cửa sổ Windows
Firewall hoặc cửa sổ Windows Firewall With Advanced Security.
Cửa sổ Windows Firewall là một giao diện đơn giản, nó cho phép người quản trị bật hoặc tắt tường
lửa, thực hiện các thiết lập cho tường lửa. Để tạo luật hoặc thiết lập cấu hình phức tạp cần sử dụng
Windows Firewall With Advanced Security.
Trong hầu hết các trường hợp, người quản trị ít khi làm việc trực tiếp với Windows Firewall. Vì khi cài
đặt các chức năng của Windows Server 2012 R2, các cổng cần thiết cho chức năng sẽ được mở tự
động trong quá trình cài đặt.

35
Cài đặt và cấu hình Windows Server 2012 R2

Ví dụ, khi bạn mở File Explorer lần đầu và truy cập vào hệ thống mạng, một cảnh báo sẽ xuất hiện, nội
dung của cảnh báo là Network Discovery and File Sharing đang tắt, nên bạn không thể truy cập vào hệ
thống mạng được.
Network Discovery chỉ là một tập các luật của tường lửa, nó kiểm soát các cổng mà Windows sử dụng
để truy cập vào hệ thống mạng, gồm các cổng 137, 138, 1900, 2869, 3702, 5355, 5357, và 5358. Mặc
định, Windows Server 2012 R2 vô hiệu các luật inbound trên các cổng này, kết quả là các cổng này bị
cấm, các gói tin không thể đi qua. Khi bạn bấm chuột vào cảnh báo và chọn Turn On Network
Discovery And File Sharing, cũng có nghĩa là bạn đang bật các luật của tường lửa, kết quả là mở các
cổng ở trên.
Bạn cũng có thể kiểm soát các luật liên quan đến Network Discovery and File Sharing bằng các cách
khác. Cụ thể, chuột phải vào biểu tượng cạc mạng trên thanh System Tray, chọn Open Network and
Sharing Center, chọn Advanced Sharing Settings, tại đây, bạn có thể bật hoặc tắt Network Discovery,
File Sharing, và một số chức năng khác.
Cũng trong cửa sổ Network and Sharing Center, bạn có thể chọn mục Windows Firewall để mở cửa sổ
Windows Firewall, chọn tiếp mục Allow An App Or Feature Through Windows Firewall, đánh dấu
chọn vào mục Network Discovery để mở chức năng này.
Cuối cùng trong cửa sổ Windows Firewall, bạn có thể chọn mục Advanced Settings, chọn nút Inbound
Rules, bạn sẽ nhìn thấy chín luật cụ thể của Network Discovery, bạn có thể bật từng luật của Network
Discovery.
Như bạn đã thấy, Network Discovery là một chức năng phức tạp của Windows, do vậy rất khó để kiểm
soát nó. Đây là lý do tại sao Windows Firewall thường tập hợp các luật cần thiết cho các ứng dụng và
dịch vụ thành một nhóm để tiện quản lý.
Thực hiện cấu hình
Cửa sổ Windows Firewall là nơi cho phép bạn cấu hình và quản lý tường lửa dễ nhất và an toàn nhất.
Hầu hết các cấu hình liên quan đến tường lửa bạn đều có thể thực hiện tại cửa sổ này. Xem hình minh
họa.

36
Cài đặt và cấu hình Windows Server 2012 R2

Sau đây là các thông tin có trong cửa sổ Windows Firewall:

­ Tình trạng kết nối giữa máy tính và mạng domain, private, public

­ Tình trạng của Windows Firewall là bật hay tắt

­ Trạng thái các luật trên inbound (đường vào), outbound (đường ra)

­ Tên các mạng hiện đang tồn tại

­ Chế độ thông báo cho người dùng khi một chương trình bị khóa

Sau đây là các chức năng ở khung bên trái của cửa sổ Windows Firewall:
­ Allow An App Or Feature Through Windows Firewall: mở cửa sổ Allowed Apps, tại đây bạn
có thể cấu hình ứng dụng/dịch vụ nào được phép gửi dữ liệu qua tường lửa.

­ Change Notification Settings: mở cửa sổ Customize Settings, cho phép thiết lập chế độ hoạt
động của tường lửa.

­ Turn Windows Firewall On Or Off: mở cửa sổ Customize Settings, cho phép thiết lập chế độ
hoạt động của tường lửa.

­ Restore Defaults: chuyển tường lửa về trạng thái mặc định ban đầu.

­ Advanced Settings: mở cửa sổ Windows Firewall With Advanced Security

37
Cài đặt và cấu hình Windows Server 2012 R2

­ Troubleshoot My Network: bật cửa sổ khắc phục sự cố Network and Internet.

Cấu hình trong cửa sổ Customizing settings

Cửa sổ Customizing settings gồm ba chế độ thiết lập. Cụ thể gồm:
­ Public: thiết lập dùng cho các server có tính công cộng, người dùng thường là tạm thời hoặc
không yêu cầu chứng thực. Ví dụ các server tại phòng thực hành mở.

­ Private: thiết lập dùng cho các server trong hệ thống mạng nội bộ, trong hệ thống này chỉ có
người dùng đã được cấp quyền mới được truy cập vào hệ thống.

­ Domain: thiết lập dùng cho các server là thành viên của một AD DS domain, trong hệ thống
mạng này mọi người dùng đều được xác minh và chứng thực.

Trong Windows Firewall, mỗi chế độ thiết lập ở trên sẽ chứa một tập các luật, các luật này sẽ áp dụng
trên máy tính kết nối vào mạng tương ứng (private, public, domain). Người quản trị có thể tạo thêm
các luật để áp dụng cho từng chế độ.
Trong cửa sổ Customizing settings, mỗi chế độ gồm các tùy chọn sau:
­ Turn On/Off Windows Firewall: bật hoặc tắt tường lửa ở chế độ tương ứng.

­ Block All Incoming Connections, Including Those In The List Of Allowed Apps: tăng độ an
toàn cho hệ thống bằng cách cấm mọi kết nối từ bên ngoài vào máy tính.

­ Notify Me When Windows Firewall Blocks A New App: nếu chọn mục này, hệ thống sẽ thông
báo cho người dùng biết khi ứng dụng bị thất bại trong việc gửi gói tin ra ngoài.

Cửa sổ cấu hình Allowed Apps

Trong một số trường hợp, khi người quản trị muốn thay đổi thiết lập tường lửa liên quan đến một ứng
dụng mà nó không có sẵn trong các luật mặc định. Họ có thể bấm vào mục Allow An App Or Feature
Through Windows Firewall để mở cửa sổ Allowed Apps. Xem hình minh họa.

38
Cài đặt và cấu hình Windows Server 2012 R2

Cần chú ý, mở càng nhiều cổng tại tường lửa càng đặt server vào tình trạng thiếu an toàn. Windows
Firewall cho phép bạn mở cổng bằng hai cách, một là mở cổng trực tiếp, hai là mở cổng thông qua ứng
dụng có sử dụng cổng đó. Cách đầu tiên có nhiều rủi ro hơn, vì nó sẽ mở cổng vĩnh viễn. Cách hai an
toàn hơn vì cổng chỉ được mở khi ứng dụng đang chạy, khi ứng dụng tắt, cổng cũng sẽ được đóng lại.
Trong cửa sổ Allowed Apps có chứa danh sách các chức năng (role và feature) đã được cài trên server.
Mỗi chức năng tương ứng với một hoặc nhiều luật tương ứng. Bạn có thể bật/hoặc tắt bằng cách có/
hoặc không đánh dấu chọn.
Không giống các phiên bản trước, tại cửa sổ Windows Firewall trong Windows Server 2012 R2 không
cho phép thao tác trực tiếp trên các cổng. Để thao tác trên các cổng, bạn bấm vào mục Advanced
Settings trong Windows Firewall để mở cửa sổ Windows Firewall With Advanced Security, hoặc vào
Server Manager, chọn Tools, chọn Windows Firewall With Advanced Security.

Cửa sổ Windows Firewall With Advanced Security

Cửa sổ Windows Firewall chỉ cho phép thực hiện các thiết lập tường lửa cơ bản, để thực hiện các thiết
lập chi tiết hơn, bạn cần sử dụng cửa sổ Windows Firewall With Advanced Security.
Có hai cách để mở cửa sổ Windows Firewall With Advanced Security như đã trình bày ở phần trên.
Xem hình minh họa.

39
Cài đặt và cấu hình Windows Server 2012 R2

Khung Overview chứa các thông tin cho biết trạng thái của ba chế độ cấu hình của tường lửa (Domain,
Private, Public).
Các thông tin cấu hình mặc định cho cả ba chế độ là:
­ Tường lửa ở trạng thái bật (turned on)

­ Mọi gói tin đi vào (incoming traffic) sẽ bị cấm, ngoại trừ các trường hợp được quy định trong
các luật.

­ Mọi gói tin đi ra (Outgoing traffic) đều được phép, ngoại trừ các trường hợp được quy định
trong các luật.

Để thay đổi cấu hình mặc định, bạn bấm vào mục Windows Firewall Properties, cửa sổ Windows
Firewall With Advanced Security On Local Computer được bật, tại đây, bạn có thể thực hiện các thay
đổi tùy ý.
Tạo luật cho tường lửa
Trong cửa sổ Windows Firewall, khi bạn cho phép một ứng dụng được chạy cũng chính là bạn đã tạo
ra một luật cho tường lửa. Tuy nhiên, cách tạo luật này khá đơn giản, vì nó che dấu đi những đặc trưng
của tường lửa. Để tạo các luật phức tạp hơn, bạn cần tạo trong cửa sổ Windows Firewall With
Advanced Security.
Trong cửa sổ Windows Firewall With Advanced Security, khi bạn bấm vào mục Inbound Rules hoặc
Outbound Rules ở khung bên trái, các luật tương ứng sẽ được hiển thị. Các luật đang được thực thi sẽ
có biểu tượng dấu chọn màu xanh (green) ở phía trái, biểu tượng dấu chọn màu xám cho biết đó là các
luật không được thực thi. Xem hình minh họa.

40
Cài đặt và cấu hình Windows Server 2012 R2

Để tạo luật mới, bạn bấm chuột phải vào nút Inbound Rules (hoặc Outbound Rules), chọn New Rule
để mở cửa sổ New Inbound (hoặc Outbound) Rule Wizard, bạn cần thiết lập các tham số sau:
­ Rule Type: lựa chọn kiểu luật sẽ tạo (program, port, luật định nghĩa sẵn, hay tùy biến), kết quả
lựa chọn sẽ làm thay đổi một phần giao diện.

­ Program: luật sẽ được áp dụng cho tất cả chương trình, cho một chương trình cụ thể, hay cho
một dịch vụ. Thiết lập này tương đương với việc bạn cho phép một ứng dụng được chạy tại cửa
sổ Windows Firewall, chỉ khác là bạn phải xác định đường dẫn của ứng dụng.

­ Protocol And Ports: luật sẽ áp dụng cho giao thức nào (tầng Network, Transport), hoặc cổng
nào.

­ Predefined Rules: tạo luật dựa trên các định nghĩa có sẵn của hệ thống.

­ Scope: luật sẽ áp dụng trên các địa chỉ IP nào.

­ Action: xác định hành động mà tường lửa sẽ thực hiện trên các gói tin khớp với luật (cho phép
đi qua, hoặc cấm).

­ Profile: luật sẽ được áp dụng cho chế độ domain, private hay public

­ Name: đặt tên, mô tả cho luật

Lưu ý, bạn nên sử dụng các cấu hình mặc định của tường lửa, sau đó tạo thêm một số các luật bổ sung
theo yêu cầu. Việc tạo lại từ đầu tất cả các luật của tường lửa là một việc làm không hiệu quả.
Kết nhập và kết xuất các luật
Quá trình tạo và thay đổi các luật trong cửa sổ Windows Firewall With Advanced Security có thể làm
bạn mất thời gian, đặc biệt khi phải thực hiện lặp lại trên nhiều máy tính. Để khắc phục tình trạng này,
bạn có thể thực hiện kết xuất các luật ra một tập tin. Tập tin này có phần mở rộng là .wfw. Trong tập

41
Cài đặt và cấu hình Windows Server 2012 R2

tin .wfw có chứa tất cả các thiết lập của tường lửa cùng với tất cả các luật. Để kết xuất, trong cửa sổ
Windows Firewall With Advanced Security, bạn chọn mục Windows Firewall With Advanced
Security On Local Computer ở khung bên trái, vào trình đơn Action, chọn Export Policy, nhập tên và
vị trí để lưu tập tin kết xuất.
Bạn có thể chép tập tin kết xuất tới máy khác, thực hiện kết nhập (Import Policy) để nhân bản các luật
và các thiết lập của tường lửa. Bạn cần cẩn thận trong quá trình kết nhập, vì các thiết lập có sẵn của
tường lửa trên máy tính sẽ bị ghi đè bởi các luật kết nhập.
Tạo luật bằng Group Policy
Nếu bạn đang quản lý nhiều máy tính, việc cấu hình tường lửa trên từng máy tính có thể mất nhiều thời
gian. Để khắc phục, bạn có thể thực hiện cấu hình tường lửa một cách tập trung bằng cách sử dụng
Group Policy.
Để thực hiện, bạn mở cửa sổ cấu hình Group Policy, vào mục Computer
Configuration\Policies\Windows Settings\Security Settings\Windows Firewall With Advanced
Security, bạn sẽ thấy một giao diện gần giống với cửa sổ Windows Firewall With Advanced Security.
Tại đây, bạn có thể thực hiện cấu hình cho Windows Firewall, tạo các luật.
Để áp dụng trên máy tính nào, bạn thực hiện gắn (linking) GPO tới các đối tượng OU, site, domain có
chứa máy tính đó.
Khi bạn mở một GPO mới, nút Windows Firewall With Advanced Security chưa có luật nào. Bạn có
thể tạo từ đầu từng luật một, hoặc bạn có thể kết nhập (import) các thiết lập từ tập tin .wfw có sẵn.
Các luật trong Group Policy không ghi đè toàn bộ các thiết lập và các luật của Windows Firewall
giống như khi bạn kết nhập (import) luật trực tiếp từ tập tin. Các luật của Group Policy sẽ được kết hợp
với các luật sẵn có. Chỉ trong trường hợp luật có sẵn mà trùng tên với luật của Group Policy thì nó mới
bị chép đè.
Tạo luật cho kết nối bảo mật
Windows Server 2012 R2 cũng có tích hợp IPsec vào Windows Firewall. IPsec là viết tắt của IP
Security, là phương pháp bảo mật dữ liệu trong quá trình truyền trên hạ tầng TCP/IP. IPsec gồm hai
quá trình, một là quá trình chứng thực giữa hai máy tính trước khi truyền dữ liệu, hai là quá trình thiết
lập đường hầm (tunneling) để truyền dữ liệu.
Bên cạnh việc cho phép tạo các luật inbound và outbound, Windows Firewall With Advanced Security
còn cho phép bạn tạo các luật liên quan đến kết nối bảo mật.
Để thực hiện, trong cửa sổ Group Policy Management Editor, bấm chuột phải vào mục Connection
Security Rules, chọn New Rule để mở New Connection Security Rule Wizard. Bạn cần cấu hình các
tham số sau:
­ Rule Type: xác định chức năng của luật

­ Endpoints: xác định địa chỉ IP của máy tính sẽ được thiết lập kết nối bảo mật

­ Requirements: xác định khi nào thì yêu cầu chứng thực

­ Authentication Method: xác định phương thức chứng thực

42
Cài đặt và cấu hình Windows Server 2012 R2

­ Profile: các luật sẽ được áp dụng trên chế độ nào (domain, private, public hay kết hợp các chế
độ này).

­ Name: tên và mô tả của luật

Tóm tắt nội dung

­ Firewall là một phần mềm, được sử dụng để bảo vệ máy tính hoặc hệ thống mạng. Firewall sẽ
kiểm soát việc đi vào và đi ra của các gói dữ liệu.

­ Nó thực hiện việc kiểm soát bằng cách kiểm tra nội dung của gói tin, so sánh nội dung của gói
tin với các luật đã được thiết lập, để quyết định có cho gói tin đó đi qua hay không.

­ Các luật mặc định được cấu hình sẵn cho tường lửa sẽ cho phép các chức năng cơ bản của
Windows như chia sẻ máy in, chia sẻ tập tin được chạy. Đối với chiều đi ra, Windows Firewall
cho phép mọi gói tin được phép đi qua, trừ các trường hợp bị cấm tường minh bởi luật.

­ Để thực hiện các tác vụ đơn giản, liên quan đến tường lửa, bạn sử dụng cửa sổ Windows
Firewall.

­ Để thực hiện các tác vụ phức tạp hơn, liên quan đến tường lửa, bạn sử dụng cửa sổ Windows
Firewall With Advanced Security.

Câu hỏi ôn tập

1. Yếu tố nào sau đây thường được sử dụng trong các luật, để cho phép các gói tin truyền qua
mạng?

A. Địa chỉ vật lý (hardware addresses)

B. Địa chỉ IP

C. Chỉ số giao thức (protocol numbers)

D. Chỉ số cổng (port numbers)

2. Các luật liên quan đến kết nối bảo mật trong tường lửa sử dụng cơ chế bảo mật nào?

A. EFS

B. IPsec

C. UAC

D. Kerberos

3. Các tác vụ nào sau đây không thể thực hiện được trong cửa sổ Windows Firewall?

43
Cài đặt và cấu hình Windows Server 2012 R2

A. Cho phép một ứng dụng được gửi dữ liệu qua tường lửa của ba chế độ (domain, private,
public).

B. Cấm mọi kết nối từ bên ngoài vào của ba chế độ

C. Tạo luật dựa trên số cổng của ba chế độ

D. Tắt tường lửa của ba chế độ

4. Công cụ nào sau đâu không thể kích hoạt (enable) và vô hiệu (disable) luật của tường lửa liên
quan đến Network Discovery?

A. File Explorer

B. Network and Sharing Center

C. Action Center

D. Cửa sổ Allowed Apps

5. Phải biều nào sau đây nói đúng về Windows Firewall (chọn nhiều đáp án)?

A. Các luật liên quan đến tường lửa trong Group Policy sẽ ghi đè tất cả các luật của tường
lửa trên máy tính.

B. Các luật liên quan đến tường lửa trong Group Policy sẽ được kết hợp với các luật của
tường lửa có sẵn trên máy tính.

C. Kết nhập (import) các luật tường lửa từ máy tính khác sẽ ghi đè lên các luật của máy
tính đích.

D. Các luật tường lửa kết nhập (import) từ máy tính khác sẽ được kết hợp với các luật của
máy tính đích.

Lược dịch
Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft
Press, 2014
---------------------------------------------
Đà Lạt, 2015/9/30

44