Bảo vệ các máy tính với Windows SteadyState Trong phần 1 của loạt bài này chúng tôi đã giới thiệu một chút về Windows SteadyState (WSS). Trong phần 2 này chúng tôi sẽ giới thiệu tiếp về chủ đề này. Tiếp theo và phần cuối cùng trong loạt này chúng tôi sẽ giới thiệu cho các bạn về phiên bản 2.5 của bộ công cụ tuyệt vời này – đây cũng là phiên bản đầu tiên hỗ trợ cho Windows Vista. Trước khi cài đặt WSS Trước khi cài đặt WSS, bạn cần hủy bỏ cài đặt của các phiên bản Microsoft Shared Computer Toolkit và phiên bản WSS có trước đó (chỉ liên quan khi cài đặt phiên bản 2.5 hiện đang trong bản Beta). Trong thế giới của chúng ta, bạn muốn bắt đầu từ điểm xuất phát với cài đặt toàn bộ Windows XP từ đầu, mức Service Pack mới nhất, driver mới nhất và tất cả các nâng cấp cần thiết (từ website của Windows Update). Tuy nhiên bạn cũng có thể sử dụng cài đặt Windows XP đang tồn tại, chỉ remove các ứng dụng phần mềm không cần thiết, profile của người dùng cũng như các file tạm thời, nhưng thay vì xóa sạch một hệ thống cũ chúng tôi khuyên bạn nên bắt đầu tất cả mọi thứ từ đầu (khi đó sẽ không bị xót bất cứ một lỗ hổng bảo mật đang tồn tại nào,…). Bắt đầu này chúng ta cần một máy tính Windows XP ảothực hiện cho các mục đích demo hoặc test. Mặc dù WSS bảo vệ khi có các thay đổi xảy ra nhưng bạn vẫn nên cài đặt phần mềm được hỗ trợ chống malware và cập nhật danh sách một cách liên tục. Bạn cũng nên nhớ thiết lập một vài mật khẩu mạnh cho các tài khoản quản trị nội bộ. Chúng tôi cũng khuyên bạn nên cài đặt các ứng dụng, tính năng và dịch vụ mà người dùng cần có trước khi cài đặt WSS – hoặc ít nhất trước khi “khóa” bằng Windows Disk Protection (WDP). Một thứ gần như cuối cùng trước khi cài đặt WSS (và kích hoạt WDP) là bạn phải bảo đảm thực hiện việc defragment (dồn ổ) cho các đĩa hệ thống để tối ưu hóa hiệu suất. Hãy nhớ rằng nó chỉ được thực hiện khi WDP được kích hoạt cuối cùng để bạn có thể xem xét hệ thống “ổn định và an toàn”. Các bước đầu tiên Lúc này bạn hoàn toàn sẵn sàng cài đặt gói cài đặt đã được download. Trước tiên bạn chấp nhận các điều khoản đăng ký nếu chúng hoàn toàn OK đối với bạn – tiếp đến đăng ký của Windows được hợp lệ với Windows Genuine Advantage (WGA) – thì cài đặt sẽ được bắt đầu, khi đó nó sẽ mất một vài phút để thực hiện công việc cài đặt. Kích Finish khi đã sẵn sàng. Tại desktop của bạn, trong menu All Programs, shortcut mới của chương trình “Windows SteadyState” lúc này sẽ xuất hiện. Đầu tiên hướng dẫn tham chiếu trợ giúp tỉ mỉ được khởi chạy một cách tự động (xem trong hình 1) cũng như các cửa sổ WSS (hình 2). Hình 1: WSS: Trợ giúp ban đầu (Getting Started) Chúng tôi khuyên bạn nên đọc file hướng dẫn này và WSS handbook Màn hình “Global Computer Settings” (hình 2) hiển thị cho chúng ta 3 tùy chọn chính, 3 tùy chọn sẽ được giới thiệu đến trong bài báo này: 1. Thiết lập các hạn chế 2. Lập lịch trình cho việc cập nhật 3. Bảo vệ ổ đĩa cứng Thêm nữa, trong phần menu bên trái bạn có thể truy cập vào các tài nguyên của WSS và trong phần menu bên phải, các tài khoản người dùng có thể được quản lý, được export và import. Cấu hình các thuộc tính và hạn chế người dùng cũng sẽ được giới thiệu trong bài này trong phần dưới. Hình 2: WSS: Global Computer Settings Đầu tiên – chúng ta hãy thiết lập các hạn chế (Computer Restrictions) cho máy tính. Như tên được ngụ ý của nó, ở đây có các thiết lập chính sách hoàn toàn rộng đối với các máy tính sẽ “hit” tất cả người dùng đang đăng nhập. Chúng tôi không giới thiệu tất cả các thiết lập này ở đây, nhưng bạn có thể thấy trong hình 3, nó có liên quan đến hộp thoại “Log On to Windows”, màn hình Welcome, profile người dùng, mật khẩu, việc tạo file và thư mục, các thiết bị USB,… Hình 3: WSS: Set Computer Restrictions Trong cửa sổ chính của WSS, bạn hãy chọn tùy chọn “Schedule Software Updates”. Đây là một trong các tính năng tuyệt vời của WSS – khả năng “ổn định” hệ thống, nhưng vẫn cần đến các bản nâng cấp mới (cho hệ điều hành…) và cần được cập nhật thường xuyên. Nếu bạn đã từng sử dụng bộ điều khiển phần cứng để khóa trạng thái phần cứng thì có thể biết được việc giữ các máy tính luôn trong trạng thái được cập nhật kịp thời là một vấn đề. Với WSS điều này trở thành một nhiệm vụ tự động! Hình 4 thể hiện hộp thoại Schedule Software Updates - ở đây bạn có thể lập lịch trình cho việc nâng cấp xuất hiện theo một khoảng thời gian cụ thể nào đó, cho phép nâng cấp các chương trình bảo mật - “Security Program Updates” (AV/Anti-Malware, ) hoặc thậm chí thực thi một kịch bản download tùy chỉnh cho việc nâng cấp phần mềm (bảo mật) không được hỗ trợ và phát hiện bởi WSS một cách mặc định. Hình 4: WSS: Schedule Software Updates Trong cửa sổ WSS chính, bạn hãy chọn phần “Protect the Hard Disk”. Đây chính là nơi có nhiều tính năng quan trọng – tính năng rất hữu dụng có tên gọi: Windows Disk Protection, hoặc viết tắt là WDP. Như những gì bạn thấy trong màn hình bên dưới (hình 5), mặc định WDP ở trạng thái Off. Như đã đề cập từ trước, một số thứ cơ bản cần phải có trước khi kích hoạt WDP, chính vì vậy bạn cần đợi và kích hoạt nó sau. Lưu ý ở đây là bạn có một số tùy chọn khác nhau – nhưng gợi ý ở đây là sử dụng thiết lập “Remove all changes at restart” vì đó là thiết lập sẽ thực hiện cho hầu hết các công việc quản trị. Nó không có ảnh hưởng lớn đối với vấn đề hiệu suất và file cache (nơi mà diễn ra tất cả những thay đổi), hoàn toàn được xóa trong khoảng vài giây trong khi khởi động. Chúng ta sẽ đề cập kỹ ở phần bên dưới. Hình 5: WSS: Protect the Hard Disk – bảo vệ đĩa cứng Hộp kiểm “Do not warn the administrator about losing changes before log off, restart, or shutdown” sẽ dẫn ra hộp thoại (xem trong hình 6) – hộp [...]... viễn các thay đổi) được kích hoạt một cách tự động để bảo đảm lưu các thay đổi 5 Các nâng cấp được download và cài đặt (các kịch bản thủ công được thực thi) 6 Máy tính phải khởi động lại 7 WDP được thiết lập trở về “Remove all changes at restart” Bằng một số kỹ năng lập kịch bản, bạn có thể bảo đảm cho hệ thống của mình luôn ngăn nắp và sạch sẽ - tự động nâng cấp Đây chính là sự khác nhau giữa WDP và các. .. gần như có được kiểm soát hoàn toàn về các thiết lập của WSS Kết luận Windows SteadyState quả thực là một công cụ tuyệt vời, cho phép bạn thực hiện nhiều khả năng kiểm soát cũng như sự linh động Nó thực sự rất thân thiện với một giao diện quản lý đẹp mắt và hệ thống trợ giúp xuyên suốt Các quản trị viên của nhiều máy tính công cộng (giống như các quán Internet, máy tính trong thư viện) cần xem xét đến... khác nhau giữa WDP và các giải pháp bảo vệ phần cứng khác Một số câu hỏi và trả lời WSS có hỗ trợ WSUS không? Câu trả lời ở đây là có, WDP sẽ download và cài đặt các nâng cấp từ Microsoft Update, Windows Update, hoặc Windows Server Update Services (WSUS) – điều này tùy thuộc vào các thiết lập máy khách của bạn WSS có hỗ trợ thành viên miền không? Câu trả lời là có, máy tính WSS có thể là thành viên của... hành Windows Vista không? Tính đến thời điểm này thì Không, tuy nhiên một chương trình Beta (WSS version 2.5) hiện đang được cung cấp hoàn toàn miễn phí từ Microsoft Nếu tôi đã thiết lập các hạn chế về người dùng, khóa các chương trình,… và muốn sử dụng các thiết lập chính xác như vậy trên một máy tính WSS thì có thể thực hiện điều đó như thế nào – hay lại làm thủ công từ đầu? Không, hãy sử dụng tính. .. file SSU (xem hình 12), copy file này vào máy tính khác và sử dụng tính năng Import nó Hình 12: WSS: Các thiết lập người dùng đã export thành công vào một file Tôi có thể quản lý WSS bằng cách sử dụng Group Policy trong miền Active Directory của tôi không? Có, file ADM (SCTSettings.adm) là một phần của WSS toolkit, trong phần “ \Windows SteadyState\ ADM”, bằng cách bổ sung thêm vào “Administrative Templates”... restrictions, hoặc có thể thiết lập một cách tùy ý các hạn chế này Chúng tôi không thể giới thiệu hết các hạn chế ở đây, tuy nhiên sẽ cho các bạn có được ý tưởng rằng thứ này sẽ cho phép ẩn được ổ đĩa, remove các đối tượng trong menu Start nhằm ngăn chặn bất cứ thứ gì từ Autoplay đến máy in và vô hiệu hóa các công cụ hệ thống,… Hình 9: WSS User Settings: tab Windows Restrictions Tab Feature Restrictions... thức http:// hoặc https://) và dấu ngăn cách với nhau bằng dấu “;” Hình 10: WSS User Settings: tab Feature Restrictions Tab Block Programs trong User Settings (xem hình 11) cho chúng ta một tùy chọn để khóa các bảng thực thi nào đó Danh sách các bảng thực thi nội bộ sẽ được tạo một cách tự động bởi WSS, tuy nhiên bạn có thể bổ sung thêm file một cách thủ công Tính năng này làm việc giống như chính... thiết lập toàn cục của máy tính cho WSS đã được nhắm đến, chính vì vậy đây chính là thời điểm để quan sát việc tạo User và thiết lập các hạn chế nào đó cho User Tạo User Tất cả các quản trị viên đều biết cách thực hiện này, những người dùng cần thiết cho các công việc cần thiết Chính vì vậy, chúng ta hãy kích “Add a New User” trong cửa sổ WSS chính Hình 7 hiển thị vấn đề này một cách rất trực giác và... trình được tìm thấy bằng cách kích “Block All”) Nếu một người dùng nào đó muốn mở các chương trình đã bị khóa thì người này sẽ nhận được một thông báo lỗi giống như trong SRP Windows Disk Protection (WDP) WDP là một công nghệ tuyệt vời dùng để cất giấu các thay đổi được thực hiện với các file trên partition hệ thống của Windows Cache là một file vật lý (C:\Cache.WDP) có giá trị mặc định lên đến 50% partition... xong các công việc trên Hình 7: WSS: thêm người dùng mới Lúc này những điều thú vị mới thực sự bắt đầu, đây chính là lúc chúng ta có thể điều chỉnh các thiết lập của người dùng một cách chi tiết hơn Bạn có thể thực hiện hầu hết việc điều chỉnh này bằng cách kết hợp với Group Policy nội bộ (nhưng hãy nhớ cho tới khi chính sách nội bộ của Vista áp dụng cho tất cả người dùng gồm có cả quản trị viên), bảo . Bảo vệ các máy tính với Windows SteadyState Trong phần 1 của loạt bài này chúng tôi đã giới thiệu một chút về Windows SteadyState (WSS). Trong phần 2 này. bất cứ một lỗ hổng bảo mật đang tồn tại nào,…). Bắt đầu này chúng ta cần một máy tính Windows XP ảothực hiện cho các mục đích demo hoặc test. Mặc dù WSS bảo vệ khi có các thay đổi xảy ra. cho máy tính. Như tên được ngụ ý của nó, ở đây có các thiết lập chính sách hoàn toàn rộng đối với các máy tính sẽ “hit” tất cả người dùng đang đăng nhập. Chúng tôi không giới thiệu tất cả các