Tăng cường bảo mật với chính sách nhóm group policy

Group Policy là chính sách nhóm tập hợp các thiết lập cấu hình cho máy tính và người dùng, tính năng này có thể được sử dụng để áp dụng cập nhật bản vá cho một hoặc nhiều máy trạm tự động, giám sát và kiểm soát các hành vi, thao tác người dùng trên hệ thống. Group Policy thường được áp dụng cho các đối tượng như Site, domain hay OU và triển khai trong môi trường Active Directory. Tuy nhiên, từ các phiên bản Windows gần đây, Microsoft đã phát triển Local Group Policy để áp dụng cho chính máy tính đó khi không tham gia vào domain. Bài viết này sẽ hướng dẫn tới quý độc giả một số tinh chỉnh thiết lập chính sách Local Group Policy nhằm tăng cường khả năng bảo mật trên Windows Client và Windows Server.

Quản lý cài đặt khóa tài khoản

Để ngăn chặn các nỗ lực truy cập trái phép, Windows có chính sách khóa tài khoản sau nhiều lần đăng nhập không chính xác, đây là một phương pháp tăng cường bảo mật nhằm phòng ngừa các cuộc tấn công mật khẩu phổ biến như Brute-Force hay Dictionary Attack. Để thiết lập các chính sách về khóa tài khoản hay các chính sách khác của Group Policy, đầu tiên cần phải mở trình Editor bằng cách nhấn tổ hợp phím Windows + R và nhập “gpedit.msc”. Trong trường hợp này liên quan đến quản lý cài đặt khóa tài khoản, người dùng điều hướng như sau: Computer Configuration -> Windows Settings -> Security Settings -> Account Policies -> Account Lockout Policy. Có 4 tùy chọn như sau (Hình 1):

Hình 1. Quản lý chính sách khóa tài khoản.

- Account lockout duration: Xác định khoảng thời gian bao lâu tài khoản bị khóa trước khi tự động mở khóa. Có giá trị từ 0 đến 99.999 phút. Mặc định không có hiệu lực vì chính sách này chỉ khả dụng khi “Account lockout threshold” được thiết lập.

- Account lockout threshold: Xác định số lần cố gắng đăng nhập không thành công tài khoản sẽ bị khóa. Việc mở khóa chỉ có thể thực hiện bởi quản trị viên hoặc phải đợi đến khi thời hạn khóa hết hiệu lực. Có thể thiết lập giá trị cho số lần đăng nhập sai từ 1 đến 999. Trong trường hợp thiết lập giá trị 0, account sẽ không bị khóa.

- Reset account lockout counter after: Thiết lập lại số lần cố gắng đăng nhập về 0 sau một khoảng thời gian quy định. Thiết lập này chỉ có hiệu lực khi “Account lockout threshold” được thiết lập.

Kiểm tra và vô hiệu hóa tài khoản khách

Mặc dù tài khoản khách Windows bị tắt theo mặc định nhưng có thể vẫn có một người dùng nào đó bật tài khoản này bằng các phương pháp khác nhau. Mặc dù có quyền truy cập hạn chế nhưng các tài khoản khách vẫn có thể bị phần mềm độc hại khai thác. Do vậy, để tăng cường bảo mật người dùng nên vô hiệu hóa tài khoản này bằng Group Policy.

Thực hiện như sau: Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options. Vô hiệu hóa bằng cách tích chọn Disabled trong tùy chọn Accounts: Guest account status (Hình 2).

Hình 2. Vô hiệu hóa tài khoản khách

Bật kiểm soát tài khoản người dùng (User Account Control - UAC)

UAC là một tính năng bảo mật trên Windows, có nhiệm vụ đưa ra cảnh báo và ngăn chặn những thay đổi trái phép, hoặc có khả năng gây ra ảnh hưởng lớn tới hệ điều hành. Trong đó bao gồm những thay đổi do mã độc, hành vi người dùng, cài đặt ứng dụng hoặc là sự xuất hiện của những phần mềm lạ. UAC đảm bảo một số thay đổi chỉ được sự đồng ý từ tài khoản quản trị viên, do vậy điều cần thiết nên kích hoạt kiểm soát UAC.

Thực hiện như sau: Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options. Từ đây, click chọn trạng thái cho các chính sách như trong Hình 3.

Hình 3. Kiểm soát UAC.

Vô hiệu hóa kết nối các thiết bị di động

Các kết nối từ các thiết bị di động như USB, ổ cứng lưu trữ… có thể tiền ẩn những mối nguy cơ đe dọa từ phần mềm độc hại. Trong trường hợp USB cắm vào máy tính có chứa mã độc thì sẽ rất nguy hiểm, vì đây là một trong những cách mà phần mềm độc hại xâm nhập vào hệ thống và có thể lây sang các máy tính khác. Do đó, cần ngăn chặn và vô hiệu hóa kết nối này.

Thực hiện như sau: User Configuration > Administrative Templates > System > Removable Storage Access. Trong chính sách Removable Disks: Deny read access, chọn Enabled để kích hoạt tùy chọn máy tính sẽ không đọc bất kỳ dữ liệu từ thiết bị lưu trữ ngoài (Hình 4).

Hình 4. Ngăn chặn các kết nối từ thiết bị lưu trữ bên ngoài.

Ngăn chặn cài đặt phần mềm

Ngày nay, mã độc xâm nhập vào hệ thống được các tác nhân đe dọa tùy chỉnh tinh vi và khó phát hiện hơn, chúng thường ngụy trang dưới dạng các phần mềm, chương trình phổ biến, trông có vẻ lành tính nhưng bản chất là ẩn chứa mã độc và script độc hại. Vì lý do này, để đảm bảo an toàn hệ thống cũng như việc ngăn chặn người dùng khác đăng nhập trái phép và thực hiện cài đặt phần mềm, ứng dụng độc hại, cách tối ưu nên vô hiệu hóa thông qua Group Policy.

Điều hướng như sau: Computer Configuration > Administrative Templates > Windows Components > Windows Installer. Trong chính sách Turn off Windows Installer, tích chọn Enabled sau đó là Always ở mục Options để xác nhận vô hiệu hóa hoàn toàn cài đặt phần mềm trên máy tính (Hình 5).

Hình 5. Ngăn chặn cài đặt phần mềm.

Kết luận

Group Policy được đánh giá là một tính năng mạnh mẽ trong hệ điều hành Windows, giúp quản trị viên hệ thống kiểm soát và quản lý các cài đặt, cấu hình và bảo mật cho người dùng và máy tính trong mạng doanh nghiệp. Do đó, người dùng cần nắm vững những chính sách cơ bản và cấu hình chính xác cũng là một bước bảo vệ và tăng cường khả năng bảo mật trên môi trường Windows.