Khi gán một IPSec policy trong Active Directory, bạn cần biết những vấn đềsau:
• Danh sách tất cảcác chính sách IPSec có thểgán ởbất cứmức nào trong kiến
trúc Active Directory. Mặc dù vậy, chỉcó một chính sách IPSec được gán cho
một mức cụthểtrong Active Directory.
• Một chính sách IPSec được gán cho một OU trong Active Directory sẽcó
quyền ưu tiên chính sách mức miền áp dụng cho các thành viên của OU đó.
• Một chính sách IPSec được gán cho một OU mức thấp nhất trong kiến trúc thứ
bậc của miền sẽghi đè chính sách IPSec được gán cho OU mức cao hơn, với
các máy tính thành viên của OU đó.
• Một OU sẽkếthừa chính sách OU cha của nó trừkhi sựkếthừa này bịkhóa
hoặc chính sách được gán.
7 trang |
Chia sẻ: maiphuongdc | Lượt xem: 2503 | Lượt tải: 1
Bạn đang xem nội dung tài liệu Cấu hình IPSec Policy thông qua GPO, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Cấu hình IPSec Policy thông qua GPO
Trong bài viết này chúng tôi sẽ hướng dẫn cho các bạn cách cấu hình
IPSec Policy thông qua GPO.
Các máy tính Windows 2000/XP/2003 có một cơ chế bảo mật IP đi kèm mang
tên IPSec (bảo mật IP). IPSec là một giao thức được thiết kế để bảo vệ các gói dữ liệu
TCP/IP khi chúng truyền tải trong mạng bằng cách sử dụng mã hóa khóa công. Ngoài
tính năng kể trên, bên cạnh việc mã hóa, IPSec còn cho phép bạn có thể bảo vệ và cấu
hình máy trạm cũng như máy chủ với một cơ chế giống như tường lửa.
Khi làm việc trên một máy tính, bạn có thể dễ dàng thiết lập và gán các chính
sách IPSec (IPSec Policy) từ Command Prompt bằng cách sử dụng lệnh NETSH, hoặc
từ giao diện điều khiển MMC được load với IP Security snap-in.
Mặc dù vậy khi làm việc với nhiều máy tính, bạn cần có một giải pháp tốt hơn
thay cho việc phải đi đến mỗi máy và cấu hình lại IPSec Policy. Chúng ta cần một
phương pháp mà ở đó có thể sử dụng cùng một IPSec Policy trên nhiều máy tính hoặc
tối thiểu là có thể thiết lập được cùng một chính sách trên một số máy tính.
Một phương pháp cấu hình nhiều máy tính để có thể sử dụng cùng một IPSec
Policy là thực hiện Export và Import IPSec Policy. Mặc dù vậy trong bài viết này
chúng tôi sẽ sử dụng phương pháp thứ hai – sử dụng Active Directory Group Policy
Object (hay vẫn được viết tắt là GPO)..
Lưu ý: Một vài tính năng trong việc thực thi IPSec đối với họ Windows Server 2003
không được cung cấp trong Windows 2000 hoặc trong Windows XP. Để bảo đảm có
các chức năng IPSec policy như nhau trên các máy tính đang chạy Windows Server
2003 và Windows 2000 hoặc Windows XP, bạn cần test các chính sách một cách triệt
để trên tất cả các hệ điều hành có liên quan trước khi triển khai. Nếu có kế hoạch áp
dụng các chính sách IPSec có sử dụng các tính năng mới chỉ có trong thực thi IPSec
của họ Windows Server 2003, bạn không được sử dụng phiên bản Windows 2000 hoặc
Windows XP đối với diện quản lý IP Security Policy Management để quản lý các
chính sách. Các thiết lập trong các phiên bản IP Security Policy Management có trước
này sẽ ghi đè các thiết lập trong chính sách IPSec của họ Windows Server 2003 và các
tính năng mới sẽ không làm việc.
Giả sử rằng bạn muốn khóa lưu lượng PING cho một số máy tính nào đó. Để mẹo
này làm việc, bạn cần phải có những thứ dưới đây:
• Một cơ sở hạ tầng Active Directory đang tồn tại (làm việc không có lỗi).
• Tất cả các máy tính cần được cấu hình phải đang sử dụng Windows 2000 hoặc
các phiên bản cao hơn.
• Một OU, lưu các tài khoản máy. Nếu không có OU thích hợp cho tình huống,
bạn cần phải cấu hình GPO trên mức Domain, và như vậy ảnh hưởng tới tất cả
các thành viên trong miền. Đó là lý do tại sao chúng tôi gợi ý tạo một OU và
đặt các tài khoản máy tính vào trong nó.
Tiếp đến chúng ta cần cấu hình IPSec Policies bên trong GPO. Chúng ta có thể
thực hiện điều này bằng cách edit GPO, cấu hình thủ công IPSec Policy, giống như
những gì bạn thực hiện trong bài khóa lưu lượng Ping với IPSec. Chỉ có một điểm
khác ở đây là bạn đang edit các chính sách IPSec với tư cách là một phần trong một
GPO lớn hơn, chứ không chỉ một máy tính nội bộ.
Nếu tất cả những thứ ở trên đều OK, lúc này bạn có thể bắt đầu cấu hình GPO.
• Mở Active Directory Users & Computers. Kích phải vào miền (hoặc OU nếu
bạn chỉ muốn cấu hình cho một số máy tính nào đó). Chọn Properties.
• Trong cửa sổ Properties, kích tab Group Policy. Kích New để cấu hình GPO
mới (nếu chưa có). Đặt tên mô tả, chẳng hạn như Secure Services.
Lưu ý: Nếu bạn đang cấu hình máy tính Windows Server 2003 DC đã cài đặt GPMC,
bạn có thể rút ngắn được hành động này bằng cách mở Group Policy Management
snap-in từ Administrative Tools và chọn GPO mong muốn.
• Kích Edit để chỉnh sửa GPO.
Điều hướng đến Computer Settings > Windows Settings > Security Settings >
IP Security Policies trên Active Directory. Lúc này bạn có thể cấu hình IPSec Policy.
Xem bài viết hướng dẫn khóa lưu lượng Ping với IPSec để có các ví dụ.
Hoặc nếu đã cấu hình, hãy import nó như một file .IPSEC.
• Sau khi IPSec Policy được tùy chỉnh hợp lý, kích phải vào nó và chọn Assign.
• Để các thay đổi có hiệu lực, khởi động lại máy khách hoặc refresh chính sách
máy tính. Chạy lệnh sau:
secedit /refreshpolicy machine_policy /enforce
Trong Windows XP và Windows Server 2003, bạn đánh
gpupdate /force
Khi gán một IPSec policy trong Active Directory, bạn cần biết những vấn đề sau:
• Danh sách tất cả các chính sách IPSec có thể gán ở bất cứ mức nào trong kiến
trúc Active Directory. Mặc dù vậy, chỉ có một chính sách IPSec được gán cho
một mức cụ thể trong Active Directory.
• Một chính sách IPSec được gán cho một OU trong Active Directory sẽ có
quyền ưu tiên chính sách mức miền áp dụng cho các thành viên của OU đó.
• Một chính sách IPSec được gán cho một OU mức thấp nhất trong kiến trúc thứ
bậc của miền sẽ ghi đè chính sách IPSec được gán cho OU mức cao hơn, với
các máy tính thành viên của OU đó.
• Một OU sẽ kế thừa chính sách OU cha của nó trừ khi sự kế thừa này bị khóa
hoặc chính sách được gán.
• Các chính sách IPSec từ các OU khác không bao giờ bị ảnh hưởng.
• Mức cao nhất có thể trong kiến trúc thứ bậc của Active Directory nên được sử
dụng để gán cho các chính sách để giảm số lượng cấu hình và quản trị cần thiết.
• Một chính sách IPSec có thể được duy trì tích cực thậm chí sau khi GPO mà nó
được gán bị xóa. Vì lý do này, bạn nên hủy gán chính sách IPSec trước khi xóa
đối tượng chính sách. Để tránh tình trạng này, sử dụng thủ tục dưới đây:
• Hủy gán chính sách IPSec trong GPO
• Đợi 24 giờ để bảo đảm rằng thay đổi của bạn được phổ biến.
• Xóa Group Policy object.
Nếu bạn xóa Group Policy Object không theo thủ tục trên, các máy tính trong mục
Active Directory sẽ làm việc với chính sách IPSec cứ như thể tìm thấy và tiếp tục sử
dụng một copy được lưu.
Trước khi gán một chính sách IPSec cho GPO, cần thẩm định các thiết lập Group
Policy được yêu cầu cho chính sách IPSec. Cho ví dụ, nếu một chính sách IPSec yêu
cầu sự thẩm định chứng chỉ, hãy gán các thiết lập Group Policy cho phép các máy tính
có thể chiêu nạp các chứng chỉ (sử dụng một hoặc hai ngày trước khi gán chính sách
IPSec yêu cầu sử dụng chứng chỉ máy tính). Thêm vào đó, bạn cần test quá trình chiêu
nạp chứng chỉ và phân định các lỗi trước khi gán chính sách IPSec.
Các file đính kèm theo tài liệu này:
- 3.pdf