Group Policy trong Windows Server 2012

Tạo và sử dụng mẫu .................................................................................................................... 17
Người dùng và nhóm người dùng cục bộ ................................................................................ 19
Cơ chế kiểm soát tài khoản người dùng (UAC)........................................................................ 21
Chế độ secure desktop ................................................................................................................ 22
Cấu hình UAC ................................................................................................................................ 23
Tóm tắt nội dung .......................................................................................................................... 23
Câu hỏi ôn tập .............................................................................................................................. 24
6.3 Chính sách hạn chế phần mềm ứng dụng ............................................................................. 25
Cấu hình Software Restriction Policies ...................................................................................... 25
Cấu hình các luật hạn chế phần mềm ....................................................................................... 27
2

Cài đặt và cấu hình Windows Server 2012 R2
Cấu hình cho Software Restriction Policies............................................................................... 29
Sử dụng AppLocker...................................................................................................................... 31
Tóm tắt nội dung .......................................................................................................................... 33
Câu hỏi ôn tập .............................................................................................................................. 33
6.4 Cấu hình Windows Firewall ....................................................................................................... 34
Windows Firewall .......................................................................................................................... 35
Làm việc với Windows Firewall ................................................................................................... 35
Cửa sổ Windows Firewall With Advanced Security .................................................................. 39
Tóm tắt nội dung .......................................................................................................................... 43
Câu hỏi ôn tập .............................................................................................................................. 43

Chương 6. Tạo và quản lý các nhóm chính sách
Nhóm chính sách (group policy) hay chính sách hệ thống là các thiết lập cho hệ điều hành Windows,
nhằm kiểm soát hoạt động của hệ thống máy tính. Nhóm chính sách gồm các chính sách cho người
dùng và cho máy tính.
Đối với máy tính, các chính sách sẽ được thiết lập khi khởi động (startup) và khi tắt máy (shutdown).
Đối với người dùng, các chính sách sẽ được thiết lập khi đăng nhập (logon) và khi thoát ra (logoff).
Bạn có thể tạo ra một hoặc nhiều nhóm chính sách, mỗi nhóm chính sách được chứa trong một đối
tượng gọi là GPO (group policy object).
Để áp dụng nhóm chính sách lên một thùng chứa (domain, site, hoặc OU) trong AD DS, bạn thực hiện
gắn GPO vào (link) thùng chứa. Khi đó, mọi đối tượng trong thùng chứa đều bị tác động bởi GPO.
Một GPO có thể áp dụng cho nhiều thùng chứa. Một thùng chứa cho phép gắn nhiều GPO.
Các nội dung sẽ được đề cập trong chương này:
­ Tạo GPO
­ Cấu hình các chính sách bảo mật
­ Quản lý ứng dụng
­ Cấu hình tường lửa của Windows

6.1 Tạo GPO
GPO có thể tác động lên tất cả người dùng và máy tính theo phạm vi OU, domain hoặc site. Tuy nhiên,
nếu sử dụng chức năng lọc (filter), bạn có thể áp dụng GPO trên các người dùng hoặc máy tính cụ thể.
Sau đây là các ích lợi của việc sử dụng nhóm chính sách:
­ Dễ dàng quản lý các chính sách liên quan đến người dùng, ứng dụng, và màn hình desktop
­ Quản lý dữ liệu của người dùng hiệu quả
­ Cấu hình quản lý các máy client nhanh chóng và tự động
Các nội dung sẽ được đề cập trong phần này:
­ Cấu hình Central Store
­ Tạo và quản lý GPO
­ Áp dụng GPO
­ Chức năng lọc

GPO
GPO là một đối tượng, được sử dụng để chứa các thiết lập mà bạn muốn áp dụng cho người dùng và
máy tính trong domain, site hoặc OU. Để áp dụng GPO, bạn sẽ thực hiện gắn GPO tới domain, site
hoặc OU. Các công việc liên quan đến nhóm chính sách gồm: tạo GPO, lưu GPO, sử dụng GPO.
4

Cài đặt và cấu hình Windows Server 2012 R2
Có ba loại GPO: local GPO, nonlocal GPO và starter GPO.
Local GPO (LGPO)
Mọi hệ điều hành Windows đều có hỗ trợ local GPO. Các bản windows từ phiên bản Windows Server
2008 R2 và Windows Vista trở đi, có hỗ trợ nhiều local GPO. Do vậy, bạn có thể thiết lập GPO riêng
biệt cho tài khoản administrator và các GPO khác cho người dùng còn lại. Điều này rất hữu ích trong
trường hợp máy tính có nhiều người dùng chung, nhưng không thiết lập hệ thống AD DS. Đối với các
bản Windows cũ hơn, bạn chỉ có thể tạo được một local GPO, và local GPO này sẽ được áp dụng lên
tất cả người dùng.
Local GPO có một số hạn chế so với domain GPO. Cụ thể, local GPO không hỗ trợ việc chuyển hướng
thư mục (folder redirection), không hỗ trợ cài đặt phần mềm, ít các thiết lập liên quan đến bảo mật.
Nếu các thiết lập giữa local GPO và nonlocal GPO có xung đột, thì các thiết lập của nonlocal GPO sẽ
được ưu tiên hơn.
Nonlocal GPO
Nonlocal GPO là các GPO được tạo ra ở AD DS, được gắn tới site, domain và OU (tạm gọi là thùng
chứa). Sau khi được gắn tới các thùng chứa, các thiết lập của GPO sẽ tác động lên tất cả người dùng và
máy tính có trong thùng chứa.
Starter GPO
Starter GPO là GPO chuẩn, trong đó có chứa các thiết lập cơ bản, cần thiết đối với một domain GPO
(các nonlocal GPO nhưng không phải là Starter GPO?!). Starter GPO được giới thiệu từ bản Windows
Server 2008. Khi bạn tạo GPO mới dựa trên starter GPO, các thiết lập của starter GPO sẽ được chép
sang GPO mới.

Cấu hình Central Store
Trong các phiên bản Windows cũ, nội dung của GPO được chứa trong các tập tin dạng ADM (tokenbased administrative template). Từ Windows Server 2008 và Windows Vista, nội dung của GPO được
chứa trong tập tin dạng ADMX (XML-based file format).
Các thiết lập của GPO thường được tổ chức dưới dạng các mẫu (administrative template). Mẫu là một
tập tin, trong đó chứa các thiết lập của GPO, các thiết lập sẽ làm thay đổi nội dung của registry.
Trong các phiên bản Windows cũ, mỗi khi GPO được tạo ra, nội dung của GPO được chứa trong tập
tin dạng ADM, hệ thống sẽ chép một bản của tập tin dạng ADM vào thư mục SYSVOL trên máy
domain controller.
Đối với hệ thống AD DS lớn, cần có rất nhiều GPO, mỗi tập tin của GPO có kích thước chuẩn là 4
MB. Điều này sẽ làm cho thư mục SYSVOL bị phình lớn, với rất nhiều thông tin dư thừa. Thông tin
trong SYSVOL lại được nhân bản tới tất cả các domain controller trong domain. Đây là một hạn chế
cần phải khắc phục.
Để giải quyết vấn đề này, nội dung của GPO sẽ được lưu trong tập tin dạng ADMX, sau đó lưu tập tin
ADMX vào Central Store. Mỗi domain controller có một Central Store. Để sử dụng Central Store, bạn
phải chép thư mục chứa chính sách tới thư mục SYSVOL.
Mặc định, chương trình Group Policy Management Console (GPMC) lưu các tập tin ADMX trong thư
mục \%systemroot%\PolicyDefinitions, cụ thể với hầu hết các máy sẽ là:
C:\Windows\PolicyDefinitions. Để tạo Central Store, bạn phải chép toàn bộ nội dung của
5

Cài đặt và cấu hình Windows Server 2012 R2
PolicyDefinitions tới domain controller tại vị trí %systemroot%\SYSVOL\sysvol\

name>\Policies, hoặc theo dạng tên quy ước là: \\\SYSVOL\\Policies.

Sử dụng Group Policy Management Console
Group Policy Management Console (GPMC) là một công cụ trong bộ MMC (Microsoft Management
Console). GPMC được sử dụng để tạo, quản lý và sử dụng các GPO. Để mở và biên tập một GPO, bạn
sử dụng công cụ Group Policy Management Editor.
Bạn có thể tạo GPO trước, sau đó gắn GPO tới domain, site, hoặc OU. Hoặc bạn cũng có thể thực hiện

hai việc trên cùng một lúc.
Trong Windows Server 2012 R2, các công cụ làm việc với GPO được cài đặt tự động cùng với AD
DS. Tuy nhiên, nếu máy tính chưa có, bạn vẫn có thể thực hiện cài đặt các công cụ làm việc với GPO
riêng biệt bằng Add Roles And Features Wizard trong Server Manager. Các công cụ làm việc với GPO
cũng có trong gói Remote Server Administration Tools.

Tạo và gắn nonlocal GPO
Nếu bạn muốn để nguyên tất cả các GPO do Windows tạo ra, nhằm giữ nguyên sự ổn định của hệ
thống, thì bạn nên tạo mới các GPO, sau đó gắn các GPO này tới các thùng chứa mà bạn quan tâm
trong AD DS.
Sau đây là các bước thực hiện:
1. Mở Active Directory Administrative Center, trong AD DS tạo một OU có tên là KinhDoanh.
2.

Mở Server Manager, chọn trình đơn Tools, chọn Group Policy Management để mở cửa sổ
Group Policy Management. Xem hình minh họa.

3. Xổ nút Forest\Domain, chọn nút Group Policy Objects. Tất cả các GPO hiện có của domain sẽ
xuất hiện trong cửa sổ Group Policy Objects.
4. Để tạo GPO mới, bấm chuột phải vào Group Policy Objects, chọn New để mở cửa sổ New
GPO.
6

Cài đặt và cấu hình Windows Server 2012 R2
5. Nhập tên cho GPO trong mục Name, bấm OK. GPO vừa được tạo sẽ xuất hiện trong cửa sổ
bên phải.
6. Ở cửa sổ bên trái, bấm chuột phải vào domain, site hoặc OU để gắn GPO, chọn Link An
Existing GPO để mở cửa sổ Select GPO.
7. Chọn GPO vừa tạo (hoặc bất kì GPO nào bạn muốn) để gắn vào đối tượng, bấm OK. GPO sẽ

xuất hiện trong cửa sổ bên phải, trong táp Link Group Objects. Xem hình minh họa.

8. Đóng cửa sổ Group Policy Management Console.
Bạn có thể tạo và gắn GPO tới AD DS cùng lúc bằng cách bấm chuột phải vào domain, site hoặc OU,
chọn mục Create A GPO In This Domain And Link It Here.
GPO có tính kế thừa, nghĩa là nếu bạn gắn GPO tới một thùng chứa của AD DS, các chính sách của
GPO sẽ được áp đặt lên tất cả các thành phần bên trong của thùng chứa.

Chức năng lọc trong GPO
Thực chất, sau khi gắn GPO tới một thùng chứa, mọi người dùng và máy tính trong thùng chứa sẽ có
quyền đọc (read) và áp dụng (apply) các nội dung có trong GPO.
Nhóm Authenticated Users là nhóm có thành viên là toàn bộ người dùng và máy tính đã vượt qua được
bước chứng thực khi đăng nhập vào domain. Khi GPO áp dụng trên các thùng chứa, nó sẽ áp dụng lên
toàn bộ các đối tượng vừa thuộc Authenticated Users và vừa thuộc thùng chứa. Như vậy, bằng cách
gán quyền trên GPO cho người dùng và máy tính cụ thể, bạn có thể thực hiện áp dụng GPO một cách
linh hoạt hơn.
Để lựa chọn người dùng hoặc máy tính chịu sự tác động của GPO, tại cửa sổ Group Policy
Management Console, bạn chọn GPO ở khung bên trái, trong phần Security Filtering, sử dụng hai nút
Add và Remove để thay thế nhóm Authenticated Users bằng các đối tượng khác chịu sự tác động của

7

Cài đặt và cấu hình Windows Server 2012 R2
GPO. Khi đó, chỉ có người dùng, máy tính nằm trong thùng chứa và có trong phần Security Filtering
mới nhận được các thiết lập của GPO. Xem hình minh họa.

Starter GPO
Starter GPO là GPO chuẩn, bao gồm các thiết lập cơ bản. Bạn sẽ sử dụng starter GPO để tạo ra các
GPO với cùng các thiết lập cơ bản. Việc tạo và cấu hình starter GPO cũng giống như các GPO thông

thường.
Để tạo starter GPO, bạn bấm chuột phải vào mục Starter GPO, chọn New, nhập tên cho starter GPO,
bấm OK để tạo. Sau khi tạo xong, bạn mở starter GPO bằng Group Policy Management Editor để cấu
hình.
Chú ý: khi bạn mở mục Starter GPO lần đầu, bạn sẽ được hệ thống nhắc tạo thư mục để chứa các
starter GPO. Bạn bấm vào nút hướng dẫn để tạo.
Sau khi tạo và cấu hình, bạn có thể sử dụng starter GPO làm nền tảng để tạo các GPO mới. Để thực
hiện, bấm chuột phải vào starter GPO, chọn New GPO From Starter GPO. Hoặc bạn có thể tạo GPO
mới theo cách thông thường, sau đó, trong mục Source Starter GPO, bạn chỉ định starter GPO cho
GPO sắp được tạo. Lệnh New-GPO trong Windows PowerShell cũng hỗ trợ việc tạo GPO từ starter
GPO. Sau khi tạo GPO, bạn sẽ tiếp tục thực hiện thêm các cấu hình khác kết hợp với các cấu hình sẵn
có từ starter GPO.

Cấu hình nhóm chính sách
Nhóm chính sách được sử dụng để tùy biến màn hình desktop, cấu hình bảo mật và thiết lập môi
trường làm việc của người dùng. Các cấu được chia thành hai loại là:
­ Computer Configuration: các cấu hình tại đây sẽ áp dụng trên máy tính
8

Cài đặt và cấu hình Windows Server 2012 R2
­ User Configuration: các cấu hình tại đây sẽ áp dụng trên người dùng
Computer Configuration và User Configuration cũng là tên của hai nút trong cấu trúc cây GPO.
Các thiết lập của GPO có thể áp dụng trên máy client, người dùng, server thành viên và domain
controller. Phạm vi tác động tùy thuộc vào thùng chứa mà GPO gắn vào. Mặc định, khi gắn một GPO
tới thùng chứa, mọi đối tượng trong thùng chứa đều bị tác động bởi GPO.
Trong mỗi nút Computer Configuration và User Configuration đều có các nút con sau:
­ Software Settings: chứa các thiết lập liên quan đến cài đặt phần mềm (software installation).
Các thiết lập nằm trong nút Computer Configuration sẽ tác động lên máy tính đang chịu sự tác
động của GPO, mà không phân biệt ai đang đăng nhập vào. Các thiết lập nằm trong nút User

Configuration sẽ tác động lên người dùng đang chịu sự tác động của GPO mà không quan tâm
tới họ đăng nhập từ máy tính nào.
­ Windows Settings: các thiết lập nằm trong nút Computer Configuration liên quan đến bảo mật
và kịch bản (script), sẽ tác động lên máy tính đang chịu sự tác động của GPO, mà không phân
biệt ai đang đăng nhập vào. Các thiết lập nằm trong nút User Configuration liên quan đến
chuyển hướng thư mục (folder redirection), bảo mật và các kịch bản, sẽ tác động lên người
dùng đang chịu sự tác động của GPO mà không quan tâm tới họ đăng nhập từ máy tính nào.
­ Administrative Templates: gồm hàng ngàn các thiết lập sẵn (thiết lập mẫu), là các thiết lập dựa
trên registry. Nội dung của các thiết lập được lưu trong tập tin .admx. Đây là các thiết lập liên
quan đến giao diện người dùng.
Để làm việc với Administrative Templates, bạn cần hiểu rõ ba trạng thái khác nhau của mỗi thiết lập:
­ Not Configured: đây là trạng thái của hầu hết các thiết lập trong GPO. Khi thực thi nhóm chính
sách, GPO sẽ không thay đổi, không ghi đè giá trị của registry.
­ Enabled: GPO sẽ bật chức năng này trong registry, nó không quan tâm đến giá trị trước đó là
gì.
­ Disabled: GPO sẽ tắt chức năng này trong registry, nó không quan tâm đến giá trị trước đó là
gì.
Hiểu được ba trạng thái trên giúp bạn làm việc hiệu quả với kế thừa trong GPO và xử lý xung đột khi
áp dụng nhiều GPO lên cùng một thùng chứa. Ví dụ, khi một GPO với độ ưu tiên thấp bật (enabled)
một chính sách, nếu bạn muốn tắt (disabled) chính sách đó bằng GPO với độ ưu tiên cao hơn, bạn phải
thiết lập trạng thái disabled chứ không thể thiết lập trạng thái Not Configured.

Tạo các local GPO
Với các máy tính không là thành viên của AD DS (chưa kết nối miền), thường được gọi là các hệ
thống độc lập (standalone), nếu chúng đang chạy hệ điều hành từ Windows Vista hoặc Windows
Server 2008 R2 trở lên, bạn có thể tạo nhiều local GPO cho các người dùng khác nhau trên hệ thống.
Các local GPO được chia thành ba loại sau:
9

Cài đặt và cấu hình Windows Server 2012 R2
­ Local group policy: nhóm chính sách này tương tự như nhóm chính sách cục bộ trong các hệ
điều hành cũ. Local group policy gồm các thiết lập cho máy tính và cho người dùng. Local
group policy sẽ tác động trên mọi người dùng cục bộ, không phân biệt người quản trị hay người
dùng thông thường. Trong các loại local GPO, chỉ có nhóm chính sách này mới chứa các thiết
lập cho máy tính.
­ Administrators and nonadministrators group policy: nhóm chính sách này gồm hai GPO, một
áp dụng cho nhóm Administrators cục bộ, và một áp dụng cho tất cả người dùng cục bộ còn lại.
Nhóm chính sách này không chứa các thiết lập cho máy tính.
­ User-specific group policy: nhóm chính sách này gồm các GPO áp dụng cho mỗi người dùng
cụ thể, không áp dụng được cho nhóm. Nhóm chính sách này không chứa các thiết lập cho máy
tính.
Thứ tự áp dụng các loại local GPO được thực hiện như sau: đầu tiên là Local group policy, sau đó là
Administrators and nonadministrators group policy và cuối cùng là User-specific group policy. Lưu ý:
các thiết lập được thực hiện sau sẽ đè lên các thiết lập trước đó nếu có tranh chấp.
Trên máy tính là thành viên của domain, các local GPO sẽ được thực hiện trước, sau đó là các GPO
của domain.
Bạn sử dụng Group Policy Object Editor để tạo và cấu hình local GPO. Các bước thực hiện như sau:
1. Mở cửa sổ Run, gõ lệnh MMC để mở cửa sổ Console.
2. Vào trình đơn File, chọn Add/Remove Snap-In để mở cửa sổ Add Or Remove Snap-Ins.
3. Từ danh sách Available Snap-Ins, chọn Group Policy Object Editor và bấm Add để mở cửa sổ
Select Group Policy Object.
4. Để tạo Local group policy GPO bấm Finish. Để tạo local GPO loại hai hoặc loại ba, bấm nút
Browse để mở cửa sổ Browse For A Group Policy Object.
5. Chọn táp Users. Xem hình minh họa.

10

Cài đặt và cấu hình Windows Server 2012 R2

6. Để tạo local GPO loại hai, chọn Administrators hoặc Non-Administrators và bấm OK. Để tạo
local GPO loại ba, chọn người dùng cụ thể, bấm OK. Local GPO sẽ xuất hiện trong cửa sổ
Select Group Policy Object.
7. Bấm Finish. local GPO sẽ xuất hiện trong cửa sổ Add Or Remove Snap-Ins.
8. Bấm OK. Snap-in của local GPO sẽ xuất hiện trong cửa sổ MMC (Console).
9. Bấm trình đơn File, chọn Save As để mở cửa sổ Save As.
10. Nhập tên cho Console để lưu trong Administrative Tools.
11. Đóng MMC.
Để cấu hình cho local GPO vừa tạo, bạn mở console vừa tạo trong Administrative Tools. Cách thực
hiện: mở cửa sổ Run, gõ lệnh MMC để mở cửa sổ Console, vào trình đơn File, chọn Open, chọn
console cần mở.

Tóm tắt nội dung
­ Nhóm chính sách chứa các chính sách được thiết lập cho người dùng và máy tính. Các chính
sách sẽ được thực thi trong quá trình máy tính khởi động, và trong quá trình người dùng đăng
nhập. Các chính sách được sử dụng để điều chỉnh môi trường làm việc của người dùng, triển
khai các yêu cầu về bảo mật hệ thống, giúp quản trị người dùng và màn hình desktop dễ dàng.
­ Trong AD DS, nhóm chính sách sẽ được gắn vào site, domain, và OU. Trên máy cục bộ, chỉ có
duy nhất một local GPO được phép thiết lập các chính sách cho máy tính. Các thiết lập của
local GPO sẽ bị ghi đè nếu có tranh chấp với các thiết lập nonlocal GPO.
­ Group Policy Management là công cụ được dùng để tạo và thiết lập cách chính sách trong
GPO.

11

Cài đặt và cấu hình Windows Server 2012 R2

Câu hỏi ôn tập

1. Các công cụ làm việc với nhóm chính sách có thể truy cập loại tập tin nào trong Central Store?
A. ADM
B. ADMX
C. Group Policy Objects
D. Security templates
2. Trong máy cục bộ có nhiều local GPO, local GPO nào có quyền ưu tiên cao nhất?
A. Local group policy
B. Administrators group policy
C. Non-Administrators group policy
D. User-specific group policy
3. Để áp dụng GPO trên một nhóm người dùng cụ thể trong OU, bạn sử dụng kĩ thuật nào sau
đây?
A. GPO linking (gắn GPO)
B. Administrative templates (thiết lập theo mẫu)
C. Security filtering (lọc)
D. Starter GPOs
4. Sau đây là các mô tả về stater GPO, mô tả nào phù hợp nhất?
A. Starter GPO được sử dụng như một bản mẫu để tạo ra các GPO mới
B. Starter GPO là GPO đầu tiên tác động trên mọi máy client của domain
C. Starter GPO sử dụng một giao diện đơn giản giúp người dùng dễ thao tác
D. Starter GPO chứa tất cả các thiết lập có trong default domain policy GPO
5. Có một chức năng trong hệ thống đã được thiết lập là disabled, bạn muốn thay đổi chức năng
này bằng cách sử dụng GPO, cụ thể, trong GPO bạn thiết lập giá trị cho nó là Not Configured.
Kết quả của thiết lập này là?
A. Trạng thái của chứng năng đó vẫn là disabled
B. Trạng thái của chứng năng đó sẽ chuyển thành Not Configured
12

Cài đặt và cấu hình Windows Server 2012 R2

C. Trạng thái của chứng năng đó sẽ chuyển thành enabled
D. Thiết lập này sẽ tạo ra lỗi tranh chấp

6.2 Cấu hình chính sách bảo mật
Quản lý môi trường làm việc của người dùng và hoạt động của máy tính theo hình thức tập trung là
một trong các chức năng chính của nhóm chính sách. Hầu hết các thiết lập liên quan đến chính sách
bảo mật được chứa tại mục Windows Settings trong nút Computer Configuration của GPO. Tại đây,
bạn có thể quy định cách thức chứng thực người dùng, họ được phép sử dụng các tài nguyên nào,
chính sách về thành viên của nhóm, theo dõi các hoạt động của người dùng, nhóm người dùng.
Các thiết lập trong nút Computer Configuration sẽ tác động lên máy tính, nó không quan tâm tới ai
đang đăng nhập vào máy tính đó. Các thiết lập trên nút Computer Configuration có nhiều tùy chọn hơn
so với các thiết lập trên nút User Configuration.
Các nội dung sẽ được đề cập trong phần này:
­ Chính sách cục bộ
­ Theo dõi người dùng
­ Quyền hạn của người dùng
­ Thiết lập chính sách bảo mật
­ Thiết lập mẫu
­ Người dùng, nhóm người dùng cục bộ
­ UAC (user account control)

Chính sách cục bộ
Chính sách cục bộ là công cụ để thiết lập các quyền hạn và theo dõi hoạt động của người dùng trên
máy cục bộ.
Chính sách cục bộ là các thiết lập chứa trong nút Security Settings\Local Policies của GPO. Nút Local
Policies gồm ba nút con: Audit Policy, User Rights Assignment và Security Options.
Lưu ý: chính sách cục bộ là các thiết lập áp dụng trên máy cục bộ, do vậy, nếu bạn thiết lập chính sách
cục bộ trên nonlocal GPO, chính sách này sẽ áp dụng lên tài khoản máy tính có trong thùng chứa đang
chịu sự tác động của GPO.

Chính sách theo dõi người dùng
Chính sách theo dõi người dùng được thiết lập trong nút audit policy. Người quản trị có thể theo dõi
các hành động của người dùng khi thành công (successful), lẫn khi thất bại (failed). Ví dụ, bạn có thể
theo dõi các loại hành động sau: đăng nhập, truy cập tài khoản, truy cập đối tượng. Bạn cũng có thể
theo dõi các hành động của hệ thống.
Trước khi thiết lập chính sách theo dõi, bạn cần xác định máy nào sẽ được theo dõi, và theo dõi các
loại hành động nào. Với mỗi loại hành động, bạn lại phải quyết định là theo dõi các trường hợp thành
13

Cài đặt và cấu hình Windows Server 2012 R2
công, hay các trường hợp thất bại, hay cả hai. Dựa trên các kết quả theo dõi, bạn sẽ có những nhận
định về tình hình sử dụng tài nguyên, tình trạng bảo mật của hệ thống.
Các loại hành động bạn có thể theo dõi được minh họa trong hình sau:

Với Windows Server 2012 R2, kết quả theo dõi các hành động được lưu ở hai nơi: lưu trên domain
controller hoặc lưu trên máy cục bộ nơi hành động xảy ra. Cụ thể, các hành động có liên quan đến AD
DS sẽ được ghi lại trong security log của domain controller, các sự kiện liên quan đến máy cục bộ sẽ
được ghi lại trong event log của máy cục bộ.
Việc theo dõi tất cả các hoạt động, trên tất cả các máy là không thực tế, mà bạn cần phải lựa chọn các
đối tượng cho phù hợp, nhằm tránh tình trạng phải lưu trữ quá nhiều thông tin. Sau đây là một số lưu ý
giúp bạn thực hiện theo dõi hiệu quả:
­ Chỉ theo dõi những thứ cần thiết: bạn nên xác định các hành động cần theo dõi, và với hành
động đó, việc ghi lại những trường hợp thành công quan trọng hơn, hay trường hợp thất bại
quan trọng hơn. Vì mục đích sau cùng là thu thập thông tin mà bạn đang quan tâm.
­ Theo dõi để hỗ trợ quá trình ra quyết định: bạn có thể thực hiện ghi chép lại các hành động để
làm cơ sở khi ra quyết định bổ sung thêm tài nguyên cho hệ thống.
­ Xác định không gian lưu trữ phù hợp: kích thước vùng đĩa cần thiết để lưu các ghi chép phụ
thuộc vào số lượng các hành động bạn dự định theo dõi. Bạn có thể cấu hình thông tin này tại
Computer Configuration\Windows Settings\Security Settings\Event Log trong mỗi GPO.

Để cấu hình theo dõi người dùng, bạn cần xác định hành động nào cần theo dõi, và theo dõi trên đối
tượng nào. Sau đây là các bước thực hiện:
1. Mở Server Manager, chọn trình đơn Tools, chọn mục Group Policy Management để mở cửa sổ
Group Policy Management.
2. Theo đường dẫn Forests\Domains để mở domain mà bạn quan tâm, chọn mục Group Policy
Objects, trong này sẽ chứa tất cả các GPO hiện có của domain.

14

Cài đặt và cấu hình Windows Server 2012 R2
3. Bấm chuột phải vào mục Default Domain Policy GPO, chọn Edit để mở cửa sổ Group Policy
Management Editor.
4. Theo đường dẫn Computer Configuration\Policies\Windows Settings\Security Settings\Local
Policies\Audit Policy, các chính sách liên quan đến theo dõi người dùng sẽ xuất hiện ở khung
bên phải.
5. Bấm đúp chuột vào chính sách mà bạn muốn thiết lập để mở cửa sổ Properties. Xem hình minh
họa.

6. Đánh dấu chọn vào mục Define These Policy Settings.
7. Muốn theo dõi trường hợp thành công, chọn mục Success. Muốn theo dõi trường hợp thất bại
chọn mục Failure. Hoặc chọn cả hai.
8. Bấm OK để đóng cửa sổ Properties.
9. Đóng cửa sổ Group Policy Management Editor.
Sau khi hệ thống AD DS cập nhật các chính sách vừa được cấu hình tại Default Domain Policy GPO,
toàn bộ các máy tính trong domain sẽ bị tác động bởi chính sách này.
Để theo dõi hành động truy cập đối tượng, bạn thực hiện cấu hình ở một trong hai mục sau:
­ Audit Directory Service Access: theo dõi người dùng khi họ truy cập các đối tượng của AD
DS như Users, OU.
­ Audit Object Access: theo dõi người dùng khi họ truy cập tập tin, thư mục, máy in, registry.

15

Cài đặt và cấu hình Windows Server 2012 R2
Sau đó, bạn tìm tới đối tượng cần theo dõi, bấm chuột phải, chọn Properties, chọn táp Security, bấm
vào nút Advanced, chọn táp Auditing, và chọn người dùng cần theo dõi.

Thiết lập quyền hạn của người dùng
Quyền hạn của người dùng được thiết lập trong mục User Rights Assignment. Trong mục này bao gồm
các thiết lập liên quan đến các thao tác hệ thống. Cụ thể xem trong hình minh họa dưới đây.

Ví dụ, người dùng muốn đăng nhập trực tiếp (locally) vào domain controller thì họ phải được cho phép
trong mục Alllow Log On Locally hoặc họ phải là thành viên của một trong các nhóm sau: Account
Operators, Administrators, Backup Operators, Print Operators, hoặc Server Operators. Vì các nhóm
này, mặc định đã được cấu hình cho phép đăng nhập trực tiếp trong Default Domain Controllers Policy
GPO.
Các thiết lập liên quan đến thao tác hệ thống khác gồm: tắt máy (shutdown), quyền sở hữu đối tượng
(ownership), khôi phục tập tin và thư mục, đồng bộ dữ liệu.

Các cấu hình bảo mật khác
Một số cầu hình bảo mật khác được chứa trong nút Security Options. Ở đây bao gồm các thiết lập liên
quan đến quá trình đăng nhập, chữ kí số, hạn chế truy cập ổ đĩa, quá trình chứng thực và giao tiếp an
toàn trong AD DS. Cụ thể xem trong hình minh họa.

16

Cài đặt và cấu hình Windows Server 2012 R2

Thiết lập mẫu

Thiết lập mẫu (security template) là tập hợp các thiết lập bảo mật được lưu trong tập tin .inf. Các mẫu
này chứa hầu hết các thiết lập có trong một GPO, chỉ khác là chúng được tổ chức theo một hình thức
thống nhất, do vậy, bạn có thể dễ dàng: tạo, cấu hình và tái sử dụng.
Các thiết lập có thể triển khai trong mẫu gồm: theo dõi người dùng, thiết lập quyền hạn người dùng,
cấu hình bảo mật. Bạn có thể kết hợp các mẫu với nhóm chính sách và kịch bản.

Tạo và sử dụng mẫu
Tập tin .inf là dạng tập tin thuần văn bản, chứa các thiết lập ở nhiều hình thức khác nhau. Bạn có thể
mở và biên tập mẫu bằng trình soạn thảo văn bản bất kì. Tuy nhiên, Windows Server 2012 R2 có cung
cấp sẵn công cụ, giúp bạn tạo và biên tập mẫu dễ dàng hơn.
Để tạo và quản lý mẫu, bạn sử dụng snap-in Security Templates trong MMC. Ngoài ra, bạn cũng có
thể tải công cụ Security Compliance Manager (SCM) từ trang web của Microsoft. Mặc định,
Administrative Tools của Windows Server 2012 R2 không có sẵn Security Templates. Vì vậy, bạn
phải tự thêm Security Templates.
Sau đây là các bước để tạo mẫu:
1. Mở cửa sổ Run, nhập MMC để mở cửa sổ Console.
2. Vào trình đơn File, chọn mục Add/Remove Snap-In để mở cửa sổ Add Or Remove Snap-Ins.
3. Trong khung Available Snap-Ins, chọn Security Templates để mở cửa sổ Add Or Remove
Snap-Ins.
4. Bấm OK, snap-in vừa tạo sẽ xuất hiện trong MMC.

17

Cài đặt và cấu hình Windows Server 2012 R2
5. Vào trình đơn File, chọn mục Save As để mở cửa sổ Save As.
6. Nhập tên cho snap-in vào mục File name, bấm Save để lưu.
7. Bấm chuột phải vào thưc mục chứa mẫu ở khung bên trái, chọn New Template để tạo mẫu,
nhập tên cho mẫu, bấm OK để tạo. Xem hình minh họa.

Mẫu vừa được tạo là mẫu trắng, cho phép thực hiện nhiều thiết lập giống với trong GPO. Bạn có thể
thay đổi giá trị của các thiết lập như khi làm việc với GPO.
Sau khi thực hiện thiết lập cho mẫu, để sử dụng mẫu, bạn sẽ thực hiện khớp mẫu vào GPO. Khi khớp
mẫu vào GPO, các thiết lập của mẫu được chuyển thành các thiết lập của GPO.
Sau đây là các bước để khớp mẫu vào GPO:
1. Mở Server Manager, vào trình đơn Tools, chọn Group Policy Management để mở cửa sổ Group
Policy Management.
2. Duyệt theo đường dẫn Forests\Domains để mở domain mà bạn quan tâm. Chọn mục Group
Policy Objects, các GPO hiện có sẽ xuất hiện ở cửa sổ bên phải.
3. Bấm chuột phải vào GPO mà bạn muốn khớp mẫu, bấm Edit để mở cửa sổ Group Policy
Management Editor.
4. Duyệt theo đường dẫn Computer Configuration\Policies\Windows Settings\Security Settings.
Bấm chuột phải vào nút Security Settings, chọn mục Import Policy để mở cửa sổ Import Policy
From.
5. Tìm tới nơi chứa mẫu, chọn mẫu, bấm Open để khớp các thiết lập có trong mẫu vào GPO.
6. Đóng cửa sổ Group Policy Management Editor và Group Policy Management.
18

Cài đặt và cấu hình Windows Server 2012 R2

Người dùng và nhóm người dùng cục bộ
Windows Server 2012 R2 cung cấp hai giao diện để tạo và quản lý tài khoản người dùng cục bộ. Đó là
User Accounts trong Control Panel và snap-in Local Users and Groups thuộc Computer
Management\System Tools trong MMC. Cả hai giao diện này đều truy cập tới Security Account
Manager (SAM), là nơi lưu trữ các thông tin của người dùng và nhóm.
Tuy nhiên, chức năng của hai giao diện có khác nhau, cụ thể:
­ User Accounts: giao diện này có một số hạn chế trong việc cấu hình. Cụ thể, nó cho phép tạo
tài khoản, thay đổi một số thuộc tính. Tuy nhiên, nó không cho tạo nhóm và quản lý thành viên
của nhóm.

­ Local Users And Groups: giao diện này cho phép thực hiện tất cả các cấu hình liên quan đến
tài khoản, nhóm.
Khi cài đặt, Windows Server 2012 R2 luôn tạo sẵn hai tài khoản người dùng là Administrator và
Guest. Mặc định, tài khoản Guest bị vô hiệu (disable).
Sau khi được cài đặt, do trên hệ thống Windows Server 2012 R2 chỉ có tài khoản Administrator là có
hiệu lực, nên bạn sẽ đăng nhập vào hệ thống bằng tài khoản này. Đây là tài khoản có quyền quản trị
cao nhất, bạn có thể sử dụng tài khoản này để tạo các tài khoản mới hoặc thực hiện các cấu hình khác.
Sử dụng User Accounts
Để ý: chỉ khi Windows Server 2012 R2 đang hoạt động ở chế độ Workgroup mới có mục User
Accounts trong Control Panel. Nếu máy tính đã kết nối vào domain thì bạn phải sử dụng snap-in Local
Users And Groups để tạo tài khoản người dùng. Nếu máy tính đã được nâng cấp thành domain
controller thì sẽ không có tài khoản cục bộ và nhóm cục bộ.
Mặc định, mục User Accounts trong Control Panel chỉ cho phép tạo tài khoản người dùng bình thường
(standard account), để thiết lập một tài khoản có quyền quản trị, bạn phải thay đổi kiểu (type) của nó
trong mục Change Your Account Type. Trong Change Your Account Type, việc lựa chọn giữa hai loại
tài khoản Standard và Administrator thực chất là đưa tài khoản vào làm thành viên của nhóm, Standard
là nhóm Users, Administrator là nhóm Administrators.
Sử dụng snap-in Users And Groups
Users And Groups là một phần của Computer Managerment. Để tạo tài khoản người dùng cục bộ bằng
Users And Groups, bạn thực hiện các bước sau:
1. Mở Server Manager, vào trình đơn Tools, chọn Computer Management để mở cửa sổ
Computer Management.
2. Ở khung bên trái, chọn mục Local Users And Groups, chọn Users để xem danh sách các tài
khoản người dùng cục bộ hiện có.
3. Bấm chuột phải vào mục Users, chọn New User để mở cửa sổ New User. Xem hình minh họa.

19

Cài đặt và cấu hình Windows Server 2012 R2

4. Nhập tên (tên đăng nhập) cho tài khoản trong mục User Name. Đây là phần thông tin bắt buộc.
5. Nhập tên đầy đủ của tài khoản trong mục Full Name và mô tả tài khoản trong mục Description.
Phần này không bắt buộc.
6. Nhập mật khẩu trong mục Password và nhập lại mật khẩu trong mục Confirm Password. Phần
này không bắt buộc.
7. Tùy theo yêu cầu, đánh dấu chọn vào các mục sau:
­ User Must Change Password At Next Logon: người dùng phải đổi mật khẩu trong lần
đăng nhập đầu tiên.
­ User Cannot Change Password: người dùng không được thay đổi mật khẩu.
­ Password Never Expires: mật khẩu không bao giờ hết hạn.
­ Account Is Disable: tài khoản tạo ra sẽ bị vô hiệu.
8. Bấm nút Create để tạo tài khoản, tên của tài khoản sẽ xuất hiện trong danh sách.
9. Bấm nút Close.
10. Đóng cửa sổ Computer Management.
Tạo nhóm cục bộ
Để tạo nhóm cục bộ bằng Users And Groups, bạn thực hiện các bước sau:
20

Cài đặt và cấu hình Windows Server 2012 R2
1. Mở Server Manager, vào trình đơn Tools, chọn Computer Management để mở cửa sổ
Computer Management.
2. Ở khung bên trái, chọn mục Local Users And Groups, chọn Groups để xem danh sách các
nhóm cục bộ hiện có.
3. Bấm chuột phải vào mục Groups, chọn New Group để mở cửa sổ New Group.
4. Nhập tên cho nhóm trong mục Group Name. Đây là phần thông tin bắt buộc. Nếu muốn, bạn có
thể nhập thông tin mô tả cho nhóm trong mục Description.
5. Bấm nút Add để mở cửa sổ Select Users.
6. Nhập các thành viên của nhóm, bạn có thể nhập trực tiếp vào hộp thoại, mỗi thành viên cách

nhau bởi dấu “;”. Bạn cũng có thể gõ một phần của tên, sau đó bấm nút Check Names; hoặc
bạn cũng có thể sử dụng nút Advanced để tìm các thành viên. Bấm OK.
7. Bấm nút Create để tạo nhóm.
8. Bấm Close.
9. Đóng cửa sổ Computer Management.
Nhóm cục bộ không thể chứa thành viên là nhóm cục bộ khác. Tuy nhiên, nếu máy tính đã được kết
nối vào domain, nhóm cục bộ có thể chứa thành viên là các nhóm hoặc người dùng domain.

Cơ chế kiểm soát tài khoản người dùng (UAC)
Một vấn đề hay gặp trong thực tế là người dùng được cấp quyền nhiều hơn so với những gì họ cần.
Điều này tiềm ẩn những rủi ro liên quan đến bảo mật hệ thống. Ví dụ, tài khoản administrator hoặc
nhóm Administrators sẽ có toàn quyền trên hệ điều hành, tuy nhiên, nếu người dùng chỉ cần chạy một
số ứng dụng trên hệ thống thì không nhất thiết phải có những quyền này.
Với hầu hết người dùng, họ sẽ sử dụng tài khoản bình thường (standard user). Nếu bạn là một người
quản trị hệ thống, bạn có thể sử dụng giải pháp là: đăng nhập vào hệ thống bằng tài khoản bình thường
(standard user), và chỉ đăng nhập bằng tài khoản quản trị khi thực sự cần thiết. Việc phải thoát ra và
đăng nhập lại nhiều lần thường gây ảnh hưởng xấu đến tâm lý và hiệu quả của công việc.
Để giải quyết vấn đề này, Windows Server 2012 R2 sử dụng cơ chế kiểm soát tài khoản người dùng
(UAC: User Account Control). Cơ chế UAC sẽ duy trì một tài khoản hoạt động ở mức bình thường, và
chỉ chuyển sang hoạt động ở chế độ quản trị khi có xác nhận trực tiếp của người dùng.
Chuyển sang chế độ quản trị
Windows Server 2012 R2 sử dụng thẻ (token) để kiểm soát tài khoản. Khi bạn đăng nhập thành công
vào hệ thống, bạn sẽ được cấp thẻ, thẻ này cho biết bạn có quyền ở mức nào. Thẻ này sẽ theo người
dùng từ khi đăng nhập tới khi thoát khỏi hệ thống.
Trong các bản Windows trước Windows Server 2008 và Windows Vista, người dùng bình thường sẽ
nhận thẻ loại bình thường, người thuộc nhóm Administrators sẽ nhận thẻ quản trị.
21

Cài đặt và cấu hình Windows Server 2012 R2

Trong Windows Server 2012 R2, nhờ có UAC nên người dùng bình thường sẽ luôn nhận thẻ bình
thường, nhưng người quản trị sẽ nhận được cả hai thẻ: bình thường và quản trị. Mặc định người quản
trị sẽ thao tác dựa trên thẻ bình thường. Khi nào họ thực hiện thao tác cần đến quyền quản trị thì hệ
thống sẽ xuất hiện cửa sổ, yêu cầu cung cấp tên và mật khẩu của tài khoản quản trị. Lúc này, người
quản trị sẽ thao tác dựa trên thẻ quản trị. Cơ chế này gọi là Admin Approval Mode. Xem hình minh
họa.

Trước khi người quản trị thực hiện công việc, hệ thống có thể sẽ yêu cầu xác minh lại công việc sẽ
thực hiện, việc này để ngăn chặn các chương trình phá hoại cài vào hệ thống. Xem hình minh họa.

Chế độ secure desktop
Mỗi khi Windows Server 2012 R2 bật lên cửa sổ yêu cầu chứng thực, hoặc xác minh như trong phần
UAC, nghĩa là nó đang sử dụng chế độ secure desktop.
Secure desktop là một trạng thái hoạt động của hệ điều hành Windows. Ở trạng thái này, hệ thống sẽ
vô hiệu tất cả các cửa sổ và ứng dụng khác, chỉ để lại duy nhất cửa sổ chứng thực hoặc xác minh. Mục
đích của secure desktop là để ngăn chặn các chương trình độc hại giả mạo quá trình chứng thực hoặc
xác minh.

22

Cài đặt và cấu hình Windows Server 2012 R2

Cấu hình UAC
Mặc định, Windows Server 2012 R2 luôn bật chức năng UAC. Để thay đổi các thiết lập của UAC hoặc
vô hiệu UAC, bạn mở Control Panel, trong ô Search Control Panel nhập Action Center, chọn mục
Action Center, trong cửa sổ Action Center chọn mục Change User Account Control settings để mở cửa
sổ User Account Control settings. Xem hình minh họa.

Có bốn mức độ bạn có thể thiết lập cho UAC gồm:

­ Always Notify Me: mức độ cảnh báo cao nhất.
­ Notify Me Only When Apps Try To Make Changes To My Computer: mức độ cảnh báo thấp
hơn, không cảnh báo khi thay đổi các thiết lập liên quan đến hệ điều hành.
­ Notify Me Only When Apps Try To Make Changes To My Computer (Do Not Dim My
Desktop): mức độ cảnh báo thấp hơn, không cảnh báo khi thay đổi các thiết lập liên quan đến
hệ điều hành, khi cảnh báo không sử dụng chế độ secure desktop.
­ Never Notify Me: không cảnh báo, vô hiệu UAC.
Bạn có thể cấu hình thêm các thuộc tính của UAC trong mục Security Options của Nhóm chính sách
(Group Policy) và trong chính sách bảo mật cục bộ (Local Security Policy).

Tóm tắt nội dung
­ Hầu hết các thiết lập liên quan đến bảo mật hệ thống đều nằm trong nút Computer
Configuration\Windows Settings của GPO.

23

Cài đặt và cấu hình Windows Server 2012 R2
­ Chính sách cục bộ là công cụ để thiết lập các quyền hạn của người dùng trên máy cục bộ, và
thiết lập chế độ theo dõi hoạt động của người dùng.
­ Người quản trị có thể theo dõi các hành động của người dùng khi thành công (successful), khi
thất bại (failed), hoặc cả hai.
­ Người quản trị có thể sử dụng các thiết lập mẫu (security template) để: theo dõi người dùng,
thiết lập quyền hạn người dùng, cấu hình bảo mật, và các thiết lập khác.
­ Khi một người đang sử dụng tài khoản bình thường muốn thực hiện một chức năng có yêu cầu
quyền cao hơn, họ sẽ phải chứng thực lại bằng một tài khoản có chức năng quản trị.
­ Mặc định, Windows Server 2012 R2 luôn bật chức năng UAC. Bạn có thể thay đổi các thiết lập
của UAC hoặc vô hiệu UAC.

Câu hỏi ôn tập

1. Để triển khai một mẫu bảo mật cho tất cả các máy tính trong AD DS, bạn sử dụng các công cụ
nào sau đây (chọn nhiều đáp án)?
A. Active Directory Users and Computers
B. Security Templates snap-in
C. Group Policy Object Editor
D. Group Policy Management
2. Bạn có thể thêm thành viên cho nhóm nào sau đây bằng Control Panel (chọn nhiều đáp án)?
A. Users
B. Power Users
C. Administrators
D. Non-Administrators
3. Công cụ nào sau đây được sử dụng để thực hiện các cấu hình cho thiết lập mẫu?
A. Active Directory Users and Computers
B. Security Templates snap-in
C. Group Policy Object Editor
D. Group Policy Management

24

Cài đặt và cấu hình Windows Server 2012 R2
4. Trong Windows Server 2012 R2, các nhóm cục bộ của hệ thống (buitl-in) sẽ nhận các thiết lập
đặc biệt thông qua cơ chế nào?
A. Security options
B. Các luật của Windows Firewall
C. Quyền NTFS
D. Quyền hạn người dùng (user right)
5. Trong Windows Server 2012 R2, sau khi cấu hình và triển khai Audit Directory Service
Access, bạn phải làm gì tiếp theo thì hệ thống mới thực hiện theo dõi việc truy cập Active
Directory?

A. Sử dụng Active Directory Users and Computers để lựa chọn các đối tượng trong Active
Directory sẽ bị theo dõi
B. Phải đợi cho tới khi chính sách theo dõi được gửi tới tất cả các domain controller trong
mạng
C. Phải mở Audit Directory Service Access Properties và chọn tất cả các đối tượng cần
theo dõi trong Active Directory
D. Thêm dấu gạch thấp ( _ ) vào tên của các đối tượng Active Directory mà bạn muốn theo
dõi

6.3 Chính sách hạn chế phần mềm ứng dụng
Để thiết lập các chính sách nhằm hạn chế việc sử dụng phần mềm ứng dụng, bạn thực hiện trong mục
Software Restriction Policies của GPO.
Các nội dung sẽ đề cập trong phần này:
­ Cấu hình Software Restriction Policies
­ Cấu hình các luật
­ Cấu hình AppLocker

Cấu hình Software Restriction Policies
Trong GPO, mục Software Restriction Policies nằm tại Windows Settings\Security Settings. Nó có
trong cả hai nút User Configuration và Computer Configuration. Mặc định, Software Restriction
Policies ở trạng thái rỗng. Khi tạo chính sách, trong Software Restriction Policies sẽ xuất hiện hai mục
con là Security Levels và Additional Rules.
Mục Security Levels dùng để định nghĩa các quy định chung. Additional Rules dùng để định nghĩa các
quy định cho từng phần mềm.
Hạn chế bắt buộc
25