hoanghonlangtu
05-06-2005, 14:36
Mở đầu
Trong công ty, chúng tôi tự phong cho mình chức “quản trị mạng”. Bởi vì ngoài việc giấy tờ sổ sách, vốn là việc dĩ nhiên của một thư ký văn phòng, chúng tôi còn làm đủ mọi việc từ thổi bụi trong máy vi tính cho đến lắp ráp và cấu hình domain controller, tóm lại là thiết lập, bảo trì và phát triển mạng máy tính của công ty. Các doanh nghiệp nhỏ, vốn dĩ chỉ với vài chiếc (hoặc cùng lắm vài chục) máy vi tính, không bao giờ có ngân sách chi cho nhân lực tin học, thường giao luôn chức quản trị mạng cho một vài nhân viên nào đó kiêm nhiệm. Qua bài này, chúng tôi muốn chia xẻ những kiến thức tự học hỏi mấy năm nay cho những bạn đồng nghiệp ở trong hoàn cảnh bất đắc dĩ giống như chúng tôi, đang ngày ngày lặng lẽ thực hiện nhiệm vụ hữu thực vô danh này.
Phù hợp với mục đích của LSb, bài này chỉ giới hạn về bảo mật. Cụ thể là giới thiệu vài giải pháp và trình bày một giải pháp được chọn cho từng vấn đề trong số (dự kiến) năm vấn đề sau đây:
Q1. Cấu hình an ninh (security profile)
Q2. Kiểm soát truy nhập (access control)
Q3. Mật mã (crypto) cho đĩa cứng
Q4. Sao lưu (backup) dữ liệu
Q5. Kiểm soát nội dung (contents checking)
Những giải pháp đã chọn nói chung đều có thể áp dụng cho cả hai loại mạng Windows domain (miền Windows) và Windows workgroup (nhóm Windows). Hai loại mạng này có thể xem là hai giải pháp cho một vấn đề thoạt nhìn không liên quan lắm đến bảo mật, xin tạm gọi là vấn đề “Windows: domain vs workgroup” hoặc “cấu hình phần mềm mạng”. Lựa chọn giải pháp của chúng tôi là domain và chúng tôi muốn, hơi lạc đề một chút, lý giải sự lựa chọn này. Giả sử mạng của chúng tôi có 10 máy vi tính và 20 người dùng, ai cũng có lúc cần máy, một số người có khi còn chiếm đồng thời 2-3 chiếc. Hơn nữa, người dùng còn thường logon qua mạng vào những máy xa để truy cập dữ liệu chia xẻ trên đó. Vì thế, chúng tôi quy ước không ai được phân máy riêng, tất cả máy đều dùng chung. Nếu dùng workgroup, trên mỗi máy chúng tôi phải tạo lập 20 accounts và mỗi người dùng trong công ty có tới 10 accounts, nhưng cùng tên và mật khẩu để tự động logon vào máy xa. Vì lý do bảo mật, cứ ba tháng một lần, người dùng phải thay đổi mật khẩu và tất nhiên là phải đổi trên cả 10 máy. Nếu vì đãng trí khi đổi mật khẩu, người dùng không thể logon được vào máy xa thì mọi tội lỗi vẫn đổ hết lên đầu người quản trị mạng. Thật là một cơn ác mộng (mà thật ra chúng tôi không mơ, chúng tôi đã thực tế trải qua rồi). Trong khi đó nếu dùng domain, chúng tôi chỉ cần:
• 20 accounts cho những người dùng, mà thực ra đều có thể tạo lập từ một account mẫu, và 10 accounts cho máy trạm (cũng được lập theo mẫu). Các accounts này thực hiện một cấu hình an ninh (Q1) duy nhất cho mọi người dùng và mọi máy trạm. Chú ý rằng tùy theo chính sách kiểm soát truy nhập (Q2), thường tồn tại nhiều nhóm người dùng với quyền truy nhập khác nhau, nhưng họ vẫn dùng chung 1 cấu hình an ninh;
• 1 hoặc vài account để làm các việc quản trị như là mount/dismount đĩa mật mã (Q3), backup/restore dữ liệu (Q4), hay setup/update các tường lửa, IDS/IPS, proxy chặn virus, spam và nội dung độc hại khác (Q5);
Chi phí cho giải pháp này là thêm 1 máy vi tính làm domain controller, luôn tiện chứa cả dữ liệu cá nhân của người dùng (như User Documents, User Profiles, User Application Data) và một số dữ liệu nào đó của công ty.
Như vậy, so với workgroup, giải pháp domain sẽ thu tóm việc quản trị vào một mối, nhờ vậy giảm chi phí và (quan trọng hơn) tăng bảo mật.
Trong các phần tiếp theo, chúng tôi sẽ lần lượt bàn đến 5 vấn đề kể trên.
Đối với nhiều bạn là quản trị mạng doanh nghiệp nhỏ, thường ít có thời gian để đào sâu nghiên cứu, nâng cao nghiệp vụ, và cũng là đối tượng của bài này, chúng tôi hy vọng cung cấp được những thông tin thực tiễn, giúp bạn nhanh chóng làm chủ được công việc của mình.
Mở đầu
Trong công ty, chúng tôi tự phong cho mình chức “quản trị mạng”. Bởi vì ngoài việc giấy tờ sổ sách, vốn là việc dĩ nhiên của một thư ký văn phòng, chúng tôi còn làm đủ mọi việc từ thổi bụi trong máy vi tính cho đến lắp ráp và cấu hình domain controller, tóm lại là thiết lập, bảo trì và phát triển mạng máy tính của công ty. Các doanh nghiệp nhỏ, vốn dĩ chỉ với vài chiếc (hoặc cùng lắm vài chục) máy vi tính, không bao giờ có ngân sách chi cho nhân lực tin học, thường giao luôn chức quản trị mạng cho một vài nhân viên nào đó kiêm nhiệm. Qua bài này, chúng tôi muốn chia xẻ những kiến thức tự học hỏi mấy năm nay cho những bạn đồng nghiệp ở trong hoàn cảnh bất đắc dĩ giống như chúng tôi, đang ngày ngày lặng lẽ thực hiện nhiệm vụ hữu thực vô danh này.
Phù hợp với mục đích của LSB, bài này chỉ giới hạn về bảo mật. Cụ thể là giới thiệu vài giải pháp và trình bày một giải pháp được chọn cho từng vấn đề trong số (dự kiến) năm vấn đề sau đây:
Q1. Cấu hình an ninh (security profile)
Q2. Kiểm soát truy nhập (access control)
Q3. Mật mã (crypto) cho đĩa cứng
Q4. Sao lưu (backup) dữ liệu
Q5. Kiểm soát nội dung (contents checking)
Những giải pháp đã chọn nói chung đều có thể áp dụng cho cả hai loại mạng Windows domain (miền Windows) và Windows workgroup (nhóm Windows). Hai loại mạng này có thể xem là hai giải pháp cho một vấn đề thoạt nhìn không liên quan lắm đến bảo mật, xin tạm gọi là vấn đề “Windows: domain vs workgroup” hoặc “cấu hình phần mềm mạng”. Lựa chọn giải pháp của chúng tôi là domain và chúng tôi muốn, hơi lạc đề một chút, lý giải sự lựa chọn này. Giả sử mạng của chúng tôi có 10 máy vi tính và 20 người dùng, ai cũng có lúc cần máy, một số người có khi còn chiếm đồng thời 2-3 chiếc. Hơn nữa, người dùng còn thường logon qua mạng vào những máy xa để truy cập dữ liệu chia xẻ trên đó. Vì thế, chúng tôi quy ước không ai được phân máy riêng, tất cả máy đều dùng chung. Nếu dùng workgroup, trên mỗi máy chúng tôi phải tạo lập 20 accounts và mỗi người dùng trong công ty có tới 10 accounts, nhưng cùng tên và mật khẩu để tự động logon vào máy xa. Vì lý do bảo mật, cứ ba tháng một lần, người dùng phải thay đổi mật khẩu và tất nhiên là phải đổi trên cả 10 máy. Nếu vì đãng trí khi đổi mật khẩu, người dùng không thể logon được vào máy xa thì mọi tội lỗi vẫn đổ hết lên đầu người quản trị mạng. Thật là một cơn ác mộng (mà thật ra chúng tôi không mơ, chúng tôi đã thực tế trải qua rồi). Trong khi đó nếu dùng domain, chúng tôi chỉ cần:
• 20 accounts cho những người dùng, mà thực ra đều có thể tạo lập từ một account mẫu, và 10 accounts cho máy trạm (cũng được lập theo mẫu). Các accounts này thực hiện một cấu hình an ninh (Q1) duy nhất cho mọi người dùng và mọi máy trạm. Chú ý rằng tùy theo chính sách kiểm soát truy nhập (Q2), thường tồn tại nhiều nhóm người dùng với quyền truy nhập khác nhau, nhưng họ vẫn dùng chung 1 cấu hình an ninh;
• 1 hoặc vài account để làm các việc quản trị như là mount/dismount đĩa mật mã (Q3), backup/restore dữ liệu (Q4), hay setup/update các tường lửa, IDS/IPS, proxy chặn virus, spam và nội dung độc hại khác (Q5);
Chi phí cho giải pháp này là thêm 1 máy vi tính làm domain controller, luôn tiện chứa cả dữ liệu cá nhân của người dùng (như User Documents, User Profiles, User Application Data) và một số dữ liệu nào đó của công ty.
Như vậy, so với workgroup, giải pháp domain sẽ thu tóm việc quản trị vào một mối, nhờ vậy giảm chi phí và (quan trọng hơn) tăng bảo mật.
Trong các phần tiếp theo, chúng tôi sẽ lần lượt bàn đến 5 vấn đề kể trên.
Đối với nhiều bạn là quản trị mạng doanh nghiệp nhỏ, thường ít có thời gian để đào sâu nghiên cứu, nâng cao nghiệp vụ, và cũng là đối tượng của bài này, chúng tôi hy vọng cung cấp được những thông tin thực tiễn, giúp bạn nhanh chóng làm chủ được công việc của mình.
Q1. Cấu hình an ninh (security profile)
Tự tin vào kinh nghiệm hardware và software của mình, chúng tôi tự lắp đặt và cài đặt một mạng Windows hoàn chỉnh. Trên cơ sở cấu hình default, chúng tôi đã dùng Local Security Policy (cho mạng workgroup) hoặc Domain Security Policy (cho mạng domain) chỉnh sửa vài tham số để tăng cường bảo mật. Mạng thông suốt, mọi phần mềm đều chạy tốt và chúng tôi yên tâm sử dụng nó trong một thời gian khá dài.
Thế nhưng, cấu hình default thực chất là cấu hình 0, nghĩa là không bảo mật. Windows có hàng trăm tham số an ninh. Những chỉnh sửa của chúng tôi thay đổi cỡ 0.1 số tham số, các service pack và hotfix thay đổi khoảng 0.01, tổng cộng là 0.11, nghĩa là không có thay đổi đáng kể gì trong cấu hình an ninh; Chúng tôi đã choáng khi biết điều này.
Trước khi lắp đặt, chúng tôi biết điều mà ai cũng biết rằng security tỷ lệ nghịch với functionality. Khi bắt đầu tăng cường bảo mật thì phải hạn chế dịch vụ của máy, hạn chế quyền của người dùng. Việc này sẽ khiến người dùng mất tiện nghi, một số ứng dụng ngừng hoạt động, mạng không còn thông suốt nữa. Mặt khác, tăng cường bảo mật đi đôi với audit, tức là log lại nhiều hành động của người dùng. Việc này khiến hệ thống chạy chậm lại. Khi log đầy không thể log được nữa, để đảm bảo an ninh, hệ thống sẽ từ chối phục vụ (tự shutdown): ta đã tự giết mình một cách hoàn hảo. Bởi lý do đó, khi thiết kế hệ thống, ở bất cứ chỗ nào có thể đánh đổi functionality lấy security, người thiết kế đặt ra tham số an ninh, và nhường cho người dùng quyền lựa chọn giá trị. Người thiết kế chỉ đặt cho tham số một giá trị default nào đó.
Giá trị default đó tương ứng với functionality cực đại và security cực tiểu. Đó là điều mà chúng tôi chỉ mới biết sau khi đã sử dụng một thời gian khá dài, và làm cho chúng tôi bị choáng.
Chúng tôi phải bắt đầu lại từ A. Từ sách vở.
Cấu hình an ninh là tập hợp các tham số an ninh. Một tham số an ninh là một tham số có ảnh hưởng mạnh đến an ninh của hệ thống. Chẳng hạn, độ dài tối thiểu cho phép của mật khẩu.
Cấu hình an ninh không phải là toàn bộ mà chỉ là một phần của chính sách an ninh. Chẳng hạn, xét chính sách an ninh sau đây:
(1) Người dùng không được bỏ trống mật khẩu.
(2) Người dùng không được thay đổi / xóa các file chương trình.
(3) Người dùng không được nhận và gửi thư chứa virus.
(4) Người dùng không được sao chép dữ liệu của công ty.
(5) Người dùng không được giải trí qua Internet quá nhiều trong giờ làm việc.
Điều (1) áp đặt bằng cấu hình an ninh. Điều (2) có thể áp đặt bằng cấu hình an ninh. Các điều còn lại chỉ có thể áp đặt bằng những phương tiện khác.
Trong Windows 2000/XP/2003, khi chạy chương trình Local Security Policy ta sẽ nhìn thấy toàn bộ cấu hình an ninh. Có thể mở rộng cấu hình an ninh, nghĩa là thêm vào đó các tham số an ninh. Những tham số thêm này không phải từ trên trời rơi xuống; chúng có sẵn trong hệ thống; ta chỉ đơn giản đưa chúng vào danh sách các tham số an ninh mà thôi. Giá trị tham số an ninh có thể không xác định.
Chương trình Local Security Policy dùng để sửa đổi cấu hình an ninh local. Trong domain ta có thêm ba công cụ là Domain Security Policy, Domain Controller Security Policy và Group Policy Edit để sửa đổi cấu hình domain; trong workgroup không tồn tại công cụ nào tương tự.
Cấu hình domain xác định vài tham số chung cho mọi máy, mọi người trong domain.
Domain có thể trải ra trên nhiều site. Trường hợp này gặp ở doanh nghiệp với vài cơ sở rải rác trên một địa bàn rộng. Mỗi site có thể có cấu hình riêng. Mỗi cấu hình site xác định các tham số chung cho mọi máy trong site.
Domain chứa các organisation units (OU), chẳng hạn Domain Controllers, Servers, Workstations, Users,... Khi click vào OU Properties/GroupPolicy, sẽ thấy mỗi OU đều có thể có cấu hình riêng. Mỗi cấu hình OU xác định các tham số chung cho mọi máy (hoặc người) trong OU.
Trong công ty, chúng tôi tự phong cho mình chức “quản trị mạng”. Bởi vì ngoài việc giấy tờ sổ sách, vốn là việc dĩ nhiên của một thư ký văn phòng, chúng tôi còn làm đủ mọi việc từ thổi bụi trong máy vi tính cho đến lắp ráp và cấu hình domain controller, tóm lại là thiết lập, bảo trì và phát triển mạng máy tính của công ty. Các doanh nghiệp nhỏ, vốn dĩ chỉ với vài chiếc (hoặc cùng lắm vài chục) máy vi tính, không bao giờ có ngân sách chi cho nhân lực tin học, thường giao luôn chức quản trị mạng cho một vài nhân viên nào đó kiêm nhiệm. Qua bài này, chúng tôi muốn chia xẻ những kiến thức tự học hỏi mấy năm nay cho những bạn đồng nghiệp ở trong hoàn cảnh bất đắc dĩ giống như chúng tôi, đang ngày ngày lặng lẽ thực hiện nhiệm vụ hữu thực vô danh này.
Phù hợp với mục đích của LSb, bài này chỉ giới hạn về bảo mật. Cụ thể là giới thiệu vài giải pháp và trình bày một giải pháp được chọn cho từng vấn đề trong số (dự kiến) năm vấn đề sau đây:
Q1. Cấu hình an ninh (security profile)
Q2. Kiểm soát truy nhập (access control)
Q3. Mật mã (crypto) cho đĩa cứng
Q4. Sao lưu (backup) dữ liệu
Q5. Kiểm soát nội dung (contents checking)
Những giải pháp đã chọn nói chung đều có thể áp dụng cho cả hai loại mạng Windows domain (miền Windows) và Windows workgroup (nhóm Windows). Hai loại mạng này có thể xem là hai giải pháp cho một vấn đề thoạt nhìn không liên quan lắm đến bảo mật, xin tạm gọi là vấn đề “Windows: domain vs workgroup” hoặc “cấu hình phần mềm mạng”. Lựa chọn giải pháp của chúng tôi là domain và chúng tôi muốn, hơi lạc đề một chút, lý giải sự lựa chọn này. Giả sử mạng của chúng tôi có 10 máy vi tính và 20 người dùng, ai cũng có lúc cần máy, một số người có khi còn chiếm đồng thời 2-3 chiếc. Hơn nữa, người dùng còn thường logon qua mạng vào những máy xa để truy cập dữ liệu chia xẻ trên đó. Vì thế, chúng tôi quy ước không ai được phân máy riêng, tất cả máy đều dùng chung. Nếu dùng workgroup, trên mỗi máy chúng tôi phải tạo lập 20 accounts và mỗi người dùng trong công ty có tới 10 accounts, nhưng cùng tên và mật khẩu để tự động logon vào máy xa. Vì lý do bảo mật, cứ ba tháng một lần, người dùng phải thay đổi mật khẩu và tất nhiên là phải đổi trên cả 10 máy. Nếu vì đãng trí khi đổi mật khẩu, người dùng không thể logon được vào máy xa thì mọi tội lỗi vẫn đổ hết lên đầu người quản trị mạng. Thật là một cơn ác mộng (mà thật ra chúng tôi không mơ, chúng tôi đã thực tế trải qua rồi). Trong khi đó nếu dùng domain, chúng tôi chỉ cần:
• 20 accounts cho những người dùng, mà thực ra đều có thể tạo lập từ một account mẫu, và 10 accounts cho máy trạm (cũng được lập theo mẫu). Các accounts này thực hiện một cấu hình an ninh (Q1) duy nhất cho mọi người dùng và mọi máy trạm. Chú ý rằng tùy theo chính sách kiểm soát truy nhập (Q2), thường tồn tại nhiều nhóm người dùng với quyền truy nhập khác nhau, nhưng họ vẫn dùng chung 1 cấu hình an ninh;
• 1 hoặc vài account để làm các việc quản trị như là mount/dismount đĩa mật mã (Q3), backup/restore dữ liệu (Q4), hay setup/update các tường lửa, IDS/IPS, proxy chặn virus, spam và nội dung độc hại khác (Q5);
Chi phí cho giải pháp này là thêm 1 máy vi tính làm domain controller, luôn tiện chứa cả dữ liệu cá nhân của người dùng (như User Documents, User Profiles, User Application Data) và một số dữ liệu nào đó của công ty.
Như vậy, so với workgroup, giải pháp domain sẽ thu tóm việc quản trị vào một mối, nhờ vậy giảm chi phí và (quan trọng hơn) tăng bảo mật.
Trong các phần tiếp theo, chúng tôi sẽ lần lượt bàn đến 5 vấn đề kể trên.
Đối với nhiều bạn là quản trị mạng doanh nghiệp nhỏ, thường ít có thời gian để đào sâu nghiên cứu, nâng cao nghiệp vụ, và cũng là đối tượng của bài này, chúng tôi hy vọng cung cấp được những thông tin thực tiễn, giúp bạn nhanh chóng làm chủ được công việc của mình.
Mở đầu
Trong công ty, chúng tôi tự phong cho mình chức “quản trị mạng”. Bởi vì ngoài việc giấy tờ sổ sách, vốn là việc dĩ nhiên của một thư ký văn phòng, chúng tôi còn làm đủ mọi việc từ thổi bụi trong máy vi tính cho đến lắp ráp và cấu hình domain controller, tóm lại là thiết lập, bảo trì và phát triển mạng máy tính của công ty. Các doanh nghiệp nhỏ, vốn dĩ chỉ với vài chiếc (hoặc cùng lắm vài chục) máy vi tính, không bao giờ có ngân sách chi cho nhân lực tin học, thường giao luôn chức quản trị mạng cho một vài nhân viên nào đó kiêm nhiệm. Qua bài này, chúng tôi muốn chia xẻ những kiến thức tự học hỏi mấy năm nay cho những bạn đồng nghiệp ở trong hoàn cảnh bất đắc dĩ giống như chúng tôi, đang ngày ngày lặng lẽ thực hiện nhiệm vụ hữu thực vô danh này.
Phù hợp với mục đích của LSB, bài này chỉ giới hạn về bảo mật. Cụ thể là giới thiệu vài giải pháp và trình bày một giải pháp được chọn cho từng vấn đề trong số (dự kiến) năm vấn đề sau đây:
Q1. Cấu hình an ninh (security profile)
Q2. Kiểm soát truy nhập (access control)
Q3. Mật mã (crypto) cho đĩa cứng
Q4. Sao lưu (backup) dữ liệu
Q5. Kiểm soát nội dung (contents checking)
Những giải pháp đã chọn nói chung đều có thể áp dụng cho cả hai loại mạng Windows domain (miền Windows) và Windows workgroup (nhóm Windows). Hai loại mạng này có thể xem là hai giải pháp cho một vấn đề thoạt nhìn không liên quan lắm đến bảo mật, xin tạm gọi là vấn đề “Windows: domain vs workgroup” hoặc “cấu hình phần mềm mạng”. Lựa chọn giải pháp của chúng tôi là domain và chúng tôi muốn, hơi lạc đề một chút, lý giải sự lựa chọn này. Giả sử mạng của chúng tôi có 10 máy vi tính và 20 người dùng, ai cũng có lúc cần máy, một số người có khi còn chiếm đồng thời 2-3 chiếc. Hơn nữa, người dùng còn thường logon qua mạng vào những máy xa để truy cập dữ liệu chia xẻ trên đó. Vì thế, chúng tôi quy ước không ai được phân máy riêng, tất cả máy đều dùng chung. Nếu dùng workgroup, trên mỗi máy chúng tôi phải tạo lập 20 accounts và mỗi người dùng trong công ty có tới 10 accounts, nhưng cùng tên và mật khẩu để tự động logon vào máy xa. Vì lý do bảo mật, cứ ba tháng một lần, người dùng phải thay đổi mật khẩu và tất nhiên là phải đổi trên cả 10 máy. Nếu vì đãng trí khi đổi mật khẩu, người dùng không thể logon được vào máy xa thì mọi tội lỗi vẫn đổ hết lên đầu người quản trị mạng. Thật là một cơn ác mộng (mà thật ra chúng tôi không mơ, chúng tôi đã thực tế trải qua rồi). Trong khi đó nếu dùng domain, chúng tôi chỉ cần:
• 20 accounts cho những người dùng, mà thực ra đều có thể tạo lập từ một account mẫu, và 10 accounts cho máy trạm (cũng được lập theo mẫu). Các accounts này thực hiện một cấu hình an ninh (Q1) duy nhất cho mọi người dùng và mọi máy trạm. Chú ý rằng tùy theo chính sách kiểm soát truy nhập (Q2), thường tồn tại nhiều nhóm người dùng với quyền truy nhập khác nhau, nhưng họ vẫn dùng chung 1 cấu hình an ninh;
• 1 hoặc vài account để làm các việc quản trị như là mount/dismount đĩa mật mã (Q3), backup/restore dữ liệu (Q4), hay setup/update các tường lửa, IDS/IPS, proxy chặn virus, spam và nội dung độc hại khác (Q5);
Chi phí cho giải pháp này là thêm 1 máy vi tính làm domain controller, luôn tiện chứa cả dữ liệu cá nhân của người dùng (như User Documents, User Profiles, User Application Data) và một số dữ liệu nào đó của công ty.
Như vậy, so với workgroup, giải pháp domain sẽ thu tóm việc quản trị vào một mối, nhờ vậy giảm chi phí và (quan trọng hơn) tăng bảo mật.
Trong các phần tiếp theo, chúng tôi sẽ lần lượt bàn đến 5 vấn đề kể trên.
Đối với nhiều bạn là quản trị mạng doanh nghiệp nhỏ, thường ít có thời gian để đào sâu nghiên cứu, nâng cao nghiệp vụ, và cũng là đối tượng của bài này, chúng tôi hy vọng cung cấp được những thông tin thực tiễn, giúp bạn nhanh chóng làm chủ được công việc của mình.
Q1. Cấu hình an ninh (security profile)
Tự tin vào kinh nghiệm hardware và software của mình, chúng tôi tự lắp đặt và cài đặt một mạng Windows hoàn chỉnh. Trên cơ sở cấu hình default, chúng tôi đã dùng Local Security Policy (cho mạng workgroup) hoặc Domain Security Policy (cho mạng domain) chỉnh sửa vài tham số để tăng cường bảo mật. Mạng thông suốt, mọi phần mềm đều chạy tốt và chúng tôi yên tâm sử dụng nó trong một thời gian khá dài.
Thế nhưng, cấu hình default thực chất là cấu hình 0, nghĩa là không bảo mật. Windows có hàng trăm tham số an ninh. Những chỉnh sửa của chúng tôi thay đổi cỡ 0.1 số tham số, các service pack và hotfix thay đổi khoảng 0.01, tổng cộng là 0.11, nghĩa là không có thay đổi đáng kể gì trong cấu hình an ninh; Chúng tôi đã choáng khi biết điều này.
Trước khi lắp đặt, chúng tôi biết điều mà ai cũng biết rằng security tỷ lệ nghịch với functionality. Khi bắt đầu tăng cường bảo mật thì phải hạn chế dịch vụ của máy, hạn chế quyền của người dùng. Việc này sẽ khiến người dùng mất tiện nghi, một số ứng dụng ngừng hoạt động, mạng không còn thông suốt nữa. Mặt khác, tăng cường bảo mật đi đôi với audit, tức là log lại nhiều hành động của người dùng. Việc này khiến hệ thống chạy chậm lại. Khi log đầy không thể log được nữa, để đảm bảo an ninh, hệ thống sẽ từ chối phục vụ (tự shutdown): ta đã tự giết mình một cách hoàn hảo. Bởi lý do đó, khi thiết kế hệ thống, ở bất cứ chỗ nào có thể đánh đổi functionality lấy security, người thiết kế đặt ra tham số an ninh, và nhường cho người dùng quyền lựa chọn giá trị. Người thiết kế chỉ đặt cho tham số một giá trị default nào đó.
Giá trị default đó tương ứng với functionality cực đại và security cực tiểu. Đó là điều mà chúng tôi chỉ mới biết sau khi đã sử dụng một thời gian khá dài, và làm cho chúng tôi bị choáng.
Chúng tôi phải bắt đầu lại từ A. Từ sách vở.
Cấu hình an ninh là tập hợp các tham số an ninh. Một tham số an ninh là một tham số có ảnh hưởng mạnh đến an ninh của hệ thống. Chẳng hạn, độ dài tối thiểu cho phép của mật khẩu.
Cấu hình an ninh không phải là toàn bộ mà chỉ là một phần của chính sách an ninh. Chẳng hạn, xét chính sách an ninh sau đây:
(1) Người dùng không được bỏ trống mật khẩu.
(2) Người dùng không được thay đổi / xóa các file chương trình.
(3) Người dùng không được nhận và gửi thư chứa virus.
(4) Người dùng không được sao chép dữ liệu của công ty.
(5) Người dùng không được giải trí qua Internet quá nhiều trong giờ làm việc.
Điều (1) áp đặt bằng cấu hình an ninh. Điều (2) có thể áp đặt bằng cấu hình an ninh. Các điều còn lại chỉ có thể áp đặt bằng những phương tiện khác.
Trong Windows 2000/XP/2003, khi chạy chương trình Local Security Policy ta sẽ nhìn thấy toàn bộ cấu hình an ninh. Có thể mở rộng cấu hình an ninh, nghĩa là thêm vào đó các tham số an ninh. Những tham số thêm này không phải từ trên trời rơi xuống; chúng có sẵn trong hệ thống; ta chỉ đơn giản đưa chúng vào danh sách các tham số an ninh mà thôi. Giá trị tham số an ninh có thể không xác định.
Chương trình Local Security Policy dùng để sửa đổi cấu hình an ninh local. Trong domain ta có thêm ba công cụ là Domain Security Policy, Domain Controller Security Policy và Group Policy Edit để sửa đổi cấu hình domain; trong workgroup không tồn tại công cụ nào tương tự.
Cấu hình domain xác định vài tham số chung cho mọi máy, mọi người trong domain.
Domain có thể trải ra trên nhiều site. Trường hợp này gặp ở doanh nghiệp với vài cơ sở rải rác trên một địa bàn rộng. Mỗi site có thể có cấu hình riêng. Mỗi cấu hình site xác định các tham số chung cho mọi máy trong site.
Domain chứa các organisation units (OU), chẳng hạn Domain Controllers, Servers, Workstations, Users,... Khi click vào OU Properties/GroupPolicy, sẽ thấy mỗi OU đều có thể có cấu hình riêng. Mỗi cấu hình OU xác định các tham số chung cho mọi máy (hoặc người) trong OU.