Mr.Quangvd
New member
- Xu
- 0
Trong bài viết này chúng tôi sẽ hướng dẫn cho các bạn cách cấu hình IPSec Policy thông qua GPO. Các máy tính Windows 2000/XP/2003 có một cơ chế bảo mật IP đi kèm mang tên IPSec (bảo mật IP). IPSec là một giao thức được thiết kế để bảo vệ các gói dữ liệu TCP/IP khi chúng truyền tải trong mạng bằng cách sử dụng mã hóa khóa công. Ngoài tính năng kể trên, bên cạnh việc mã hóa, IPSec còn cho phép bạn có thể bảo vệ và cấu hình máy trạm cũng như máy chủ với một cơ chế giống như tường lửa.
Khi làm việc trên một máy tính, bạn có thể dễ dàng thiết lập và gán các chính sách IPSec (IPSec Policy) từ Command Prompt bằng cách sử dụng lệnh NETSH, hoặc từ giao diện điều khiển MMC được load với IP Security snap-in.
Mặc dù vậy khi làm việc với nhiều máy tính, bạn cần có một giải pháp tốt hơn thay cho việc phải đi đến mỗi máy và cấu hình lại IPSec Policy. Chúng ta cần một phương pháp mà ở đó có thể sử dụng cùng một IPSec Policy trên nhiều máy tính hoặc tối thiểu là có thể thiết lập được cùng một chính sách trên một số máy tính.
Một phương pháp cấu hình nhiều máy tính để có thể sử dụng cùng một IPSec Policy là thực hiện Export và Import IPSec Policy. Mặc dù vậy trong bài viết này chúng tôi sẽ sử dụng phương pháp thứ hai – sử dụng Active Directory Group Policy Object (hay vẫn được viết tắt là GPO)..
Lưu ý: Một vài tính năng trong việc thực thi IPSec đối với họ Windows Server 2003 không được cung cấp trong Windows 2000 hoặc trong Windows XP. Để bảo đảm có các chức năng IPSec policy như nhau trên các máy tính đang chạy Windows Server 2003 và Windows 2000 hoặc Windows XP, bạn cần test các chính sách một cách triệt để trên tất cả các hệ điều hành có liên quan trước khi triển khai. Nếu có kế hoạch áp dụng các chính sách IPSec có sử dụng các tính năng mới chỉ có trong thực thi IPSec của họ Windows Server 2003, bạn không được sử dụng phiên bản Windows 2000 hoặc Windows XP đối với diện quản lý IP Security Policy Management để quản lý các chính sách. Các thiết lập trong các phiên bản IP Security Policy Management có trước này sẽ ghi đè các thiết lập trong chính sách IPSec của họ Windows Server 2003 và các tính năng mới sẽ không làm việc.
Giả sử rằng bạn muốn khóa lưu lượng PING cho một số máy tính nào đó. Để mẹo này làm việc, bạn cần phải có những thứ dưới đây:
Tiếp đến chúng ta cần cấu hình IPSec Policies bên trong GPO. Chúng ta có thể thực hiện điều này bằng cách edit GPO, cấu hình thủ công IPSec Policy, giống như những gì bạn thực hiện trong bài khóa lưu lượng Ping với IPSec. Chỉ có một điểm khác ở đây là bạn đang edit các chính sách IPSec với tư cách là một phần trong một GPO lớn hơn, chứ không chỉ một máy tính nội bộ.
Nếu tất cả những thứ ở trên đều OK, lúc này bạn có thể bắt đầu cấu hình GPO.
Lưu ý: Nếu bạn đang cấu hình máy tính Windows Server 2003 DC đã cài đặt GPMC, bạn có thể rút ngắn được hành động này bằng cách mở Group Policy Management snap-in từ Administrative Tools và chọn GPO mong muốn.
Điều hướng đến Computer Settings > Windows Settings > Security Settings > IP Security Policies trên Active Directory. Lúc này bạn có thể cấu hình IPSec Policy. Xem bài viết hướng dẫn khóa lưu lượng Ping với IPSecđể có các ví dụ.
Hoặc nếu đã cấu hình, hãy import nó như một file .IPSEC.
Trong Windows XP và Windows Server 2003, bạn đánh
gpupdate /force
Khi gán một IPSec policy trong Active Directory, bạn cần biết những vấn đề sau:
Nếu bạn xóa Group Policy Object không theo thủ tục trên, các máy tính trong mục Active Directory sẽ làm việc với chính sách IPSec cứ như thể tìm thấy và tiếp tục sử dụng một copy được lưu.
Trước khi gán một chính sách IPSec cho GPO, cần thẩm định các thiết lập Group Policy được yêu cầu cho chính sách IPSec. Cho ví dụ, nếu một chính sách IPSec yêu cầu sự thẩm định chứng chỉ, hãy gán các thiết lập Group Policy cho phép các máy tính có thể chiêu nạp các chứng chỉ (sử dụng một hoặc hai ngày trước khi gán chính sách IPSec yêu cầu sử dụng chứng chỉ máy tính). Thêm vào đó, bạn cần test quá trình chiêu nạp chứng chỉ và phân định các lỗi trước khi gán chính sách IPSec.
Văn Linh (Theo Petri)
Khi làm việc trên một máy tính, bạn có thể dễ dàng thiết lập và gán các chính sách IPSec (IPSec Policy) từ Command Prompt bằng cách sử dụng lệnh NETSH, hoặc từ giao diện điều khiển MMC được load với IP Security snap-in.
Mặc dù vậy khi làm việc với nhiều máy tính, bạn cần có một giải pháp tốt hơn thay cho việc phải đi đến mỗi máy và cấu hình lại IPSec Policy. Chúng ta cần một phương pháp mà ở đó có thể sử dụng cùng một IPSec Policy trên nhiều máy tính hoặc tối thiểu là có thể thiết lập được cùng một chính sách trên một số máy tính.
Một phương pháp cấu hình nhiều máy tính để có thể sử dụng cùng một IPSec Policy là thực hiện Export và Import IPSec Policy. Mặc dù vậy trong bài viết này chúng tôi sẽ sử dụng phương pháp thứ hai – sử dụng Active Directory Group Policy Object (hay vẫn được viết tắt là GPO)..
Lưu ý: Một vài tính năng trong việc thực thi IPSec đối với họ Windows Server 2003 không được cung cấp trong Windows 2000 hoặc trong Windows XP. Để bảo đảm có các chức năng IPSec policy như nhau trên các máy tính đang chạy Windows Server 2003 và Windows 2000 hoặc Windows XP, bạn cần test các chính sách một cách triệt để trên tất cả các hệ điều hành có liên quan trước khi triển khai. Nếu có kế hoạch áp dụng các chính sách IPSec có sử dụng các tính năng mới chỉ có trong thực thi IPSec của họ Windows Server 2003, bạn không được sử dụng phiên bản Windows 2000 hoặc Windows XP đối với diện quản lý IP Security Policy Management để quản lý các chính sách. Các thiết lập trong các phiên bản IP Security Policy Management có trước này sẽ ghi đè các thiết lập trong chính sách IPSec của họ Windows Server 2003 và các tính năng mới sẽ không làm việc.
Giả sử rằng bạn muốn khóa lưu lượng PING cho một số máy tính nào đó. Để mẹo này làm việc, bạn cần phải có những thứ dưới đây:
- Một cơ sở hạ tầng Active Directory đang tồn tại (làm việc không có lỗi).
- Tất cả các máy tính cần được cấu hình phải đang sử dụng Windows 2000 hoặc các phiên bản cao hơn.
- Một OU, lưu các tài khoản máy. Nếu không có OU thích hợp cho tình huống, bạn cần phải cấu hình GPO trên mức Domain, và như vậy ảnh hưởng tới tất cả các thành viên trong miền. Đó là lý do tại sao chúng tôi gợi ý tạo một OU và đặt các tài khoản máy tính vào trong nó.
Tiếp đến chúng ta cần cấu hình IPSec Policies bên trong GPO. Chúng ta có thể thực hiện điều này bằng cách edit GPO, cấu hình thủ công IPSec Policy, giống như những gì bạn thực hiện trong bài khóa lưu lượng Ping với IPSec. Chỉ có một điểm khác ở đây là bạn đang edit các chính sách IPSec với tư cách là một phần trong một GPO lớn hơn, chứ không chỉ một máy tính nội bộ.
Nếu tất cả những thứ ở trên đều OK, lúc này bạn có thể bắt đầu cấu hình GPO.
- Mở Active Directory Users & Computers. Kích phải vào miền (hoặc OU nếu bạn chỉ muốn cấu hình cho một số máy tính nào đó). Chọn Properties.
- Trong cửa sổ Properties, kích tab Group Policy. Kích New để cấu hình GPO mới (nếu chưa có). Đặt tên mô tả, chẳng hạn như Secure Services.
Lưu ý: Nếu bạn đang cấu hình máy tính Windows Server 2003 DC đã cài đặt GPMC, bạn có thể rút ngắn được hành động này bằng cách mở Group Policy Management snap-in từ Administrative Tools và chọn GPO mong muốn.
- Kích Edit để chỉnh sửa GPO.
Điều hướng đến Computer Settings > Windows Settings > Security Settings > IP Security Policies trên Active Directory. Lúc này bạn có thể cấu hình IPSec Policy. Xem bài viết hướng dẫn khóa lưu lượng Ping với IPSecđể có các ví dụ.
- Sau khi IPSec Policy được tùy chỉnh hợp lý, kích phải vào nó và chọn Assign.
- Để các thay đổi có hiệu lực, khởi động lại máy khách hoặc refresh chính sách máy tính. Chạy lệnh sau:
Trong Windows XP và Windows Server 2003, bạn đánh
gpupdate /force
Khi gán một IPSec policy trong Active Directory, bạn cần biết những vấn đề sau:
- Danh sách tất cả các chính sách IPSec có thể gán ở bất cứ mức nào trong kiến trúc Active Directory. Mặc dù vậy, chỉ có một chính sách IPSec được gán cho một mức cụ thể trong Active Directory.
- Một chính sách IPSec được gán cho một OU trong Active Directory sẽ có quyền ưu tiên chính sách mức miền áp dụng cho các thành viên của OU đó.
- Một chính sách IPSec được gán cho một OU mức thấp nhất trong kiến trúc thứ bậc của miền sẽ ghi đè chính sách IPSec được gán cho OU mức cao hơn, với các máy tính thành viên của OU đó.
- Một OU sẽ kế thừa chính sách OU cha của nó trừ khi sự kế thừa này bị khóa hoặc chính sách được gán.
- Các chính sách IPSec từ các OU khác không bao giờ bị ảnh hưởng.
- Mức cao nhất có thể trong kiến trúc thứ bậc của Active Directory nên được sử dụng để gán cho các chính sách để giảm số lượng cấu hình và quản trị cần thiết.
- Một chính sách IPSec có thể được duy trì tích cực thậm chí sau khi GPO mà nó được gán bị xóa. Vì lý do này, bạn nên hủy gán chính sách IPSec trước khi xóa đối tượng chính sách. Để tránh tình trạng này, sử dụng thủ tục dưới đây:
- Hủy gán chính sách IPSec trong GPO
- Đợi 24 giờ để bảo đảm rằng thay đổi của bạn được phổ biến.
- Xóa Group Policy object.
Nếu bạn xóa Group Policy Object không theo thủ tục trên, các máy tính trong mục Active Directory sẽ làm việc với chính sách IPSec cứ như thể tìm thấy và tiếp tục sử dụng một copy được lưu.
Trước khi gán một chính sách IPSec cho GPO, cần thẩm định các thiết lập Group Policy được yêu cầu cho chính sách IPSec. Cho ví dụ, nếu một chính sách IPSec yêu cầu sự thẩm định chứng chỉ, hãy gán các thiết lập Group Policy cho phép các máy tính có thể chiêu nạp các chứng chỉ (sử dụng một hoặc hai ngày trước khi gán chính sách IPSec yêu cầu sử dụng chứng chỉ máy tính). Thêm vào đó, bạn cần test quá trình chiêu nạp chứng chỉ và phân định các lỗi trước khi gán chính sách IPSec.
Văn Linh (Theo Petri)