Group Policy Management Windows 2003 THE ART OF Group Policy Management By : Isara Ruk-isara MVP Windows Security Certified THAIADMIN.ORG
Benefits Publish or assign software Assign startup, shutdown, logon, logoff scripts Define password, lockout and audit policies Standardize user settings Define and enforce Internet Explorer Settings Define and enforce restrictions on desktops Redirect folders Configure and standardize settings such as offline folders, quotas, etc.
GPO Concepts You can view GPO’s on remote machines. Start->Run->gpedit.msc /gpcomputer: machinename Policies are applied from the bottom up. Rules that apply. Listen to the last policy you heard from Execute policies from the bottom up as they appear in the GUI Account Policies cannot be applied at the OU’s, they can only be applied on the domains.
Group Policy Overview Do More with Less Effort Group Policy enables admins to set and maintain a desired computing state New Group Policy Management Console (GPMC) makes administration much easier Active Directory “New Policy” One Administrator Action Many End User Results Many Computer Results
Windows Server 2003 Group Policy Group Policy Order of Precedence Child OU Policy Parent OU Policy Domain Policy Site Policy Local Security Policy
Know Security Concepts 1. Physical Security เป็น security ที่เกี่ยวข้องกับตัว server และห้อง หรือ data center โดยตรง จุดนี้ จะแบ่งเป็นหลาย level เป็นการป้องกันไม่ไห้ผู้ประสงค์ดีเข้ามาทำมิดีมิร้ายกับเครื่อง server หรือ local hack ลักษณะการ hack ในจุดนี้ มีได้หลายแบบแยบยล หากไม่มีการป้องกันที่ดี 2. Local Network Security Security ในจุดนี้ เป็นจุดที weak มากๆ อีกจุดหนึ่ง เนื่องจากเป็น LAN วงใน ที่ IT ส่วนใหญ่จะละเลย ส่วนหนึ่ง อาจจะมาจาก การต้องการความสบายของผู้บริหารด้วย โดยไม่คำนึงถึงผลกระทบที่ตามมา ซึ่งเป็นผลร้ายแรง แม้ว่าจะปลอดภัยในระดับหนึ่ง เพราะมีแค่ภายในเท่านั้นที่ access ได้ แต่หากมี hacker สามารถ plug เข้าระบบนี้ได้ ทุกอย่างก็จบ 3. Internet Security ในจุดนี้ นับว่าแข็งแกร่งพอควร เพราะแน่นอน ว่าคุณต้องมี firewall แต่หากมองกลับกัน มันก็เป็นจุด weak มากๆ อีกจุดหนึ่ง หากคุณไม่ระวังให้ดี เพราะนั่นหมายถึงว่า คนทั่วโลกจะมองเห็นคุณจาก public IP หรือ domain name แม้จะมี firewall คอยป้องกันไห้อุ่นใจ แต่ก็ใช่ว่า จะ hack ได้ยากมากมาย หากคุณมีช่องโหว่บน port ที่เปิดออกไป 4. Coperate Security Policy ตรงนี้ไม่ค่อยมีคนพูดถึง น้อยคนที่จะคิดถึงจุดนี้ หรืออาจจะคิด แต่ทำไม่ได้ เนื่องด้วยติดปัญหาหลายอย่างนการดำเนินงาน เพราะจุดนี้ต้องได้รับความยินยอมจากผู้บริหารระดับสูงก่อนจึงจะสามารถทำได้ ทำไห้จุดนี้ เป็นจุดด้วยมากที่สุด ขององค์กรณ์ที่ มีระบบแข็งแกร่ง Active Directory And Domain Controller
Active Directory Management จากภาพ ผมพยายามทำไห้มองแล้วเข้าใจง่าย โดยเปรียบเทียบระบบกับหมู่บ้าน เพื่อให้เข้าใจเรื่องของ security และ การทำงานของ Hacker ได้ง่ายขึ้น โดย บ้าน คือ Server รั้ว คือ firewall พื้นที่ในรั้วคือ datacenter ยามของหมู้บ้านคือ IPS รอบนอกคือ internet และ hacker การวางแผน site และการออกแบบ Domain
Active & Organizations Unit Organizational Unit หรือที่เรียกว่า OU เป็นที่เก็บข้ออปเจค ในการจัดโครงสร้างออปเจค ซึ่งมีการจัดกลุ่มเพื่อบริหารงานเชิง Logical เหตุผลในการกำหนด OUs การกำหนด OUs เพื่อแต่งตั้งผู้บริหารระบบ การกำหนด OUs เพื่อบริการ Group Policy การกำหนดเพื่อซ่อนออปเจค ผู้กำหนดสามารถที่กำหนด Access Control List ในแต่ละออปเจคของ OUs ได้ทำให้เกิดรูปแบบ การบริหารงานเป็นลำดับชั้น โดยรูปแบบมีดังนี้ By Location ขั้นตอนการสำรอง Active Directory
Active Directory Management By Business Function การกำหนดตารางการสำรอง Active Directory
Active Directory Management การสร้าง OUs โปรแกรมที่ใช้คือ Active Directory Users and Computers และเลือกออปเจค OU เพื่อสร้างออปเจค Organizational Unit
Active Directory Management Group Policy คือที่เก็บค่าติดตั้งของ User และ Computersที่ระบุควบคุมทรัพยากร ผู้ใช้สามารถที่กำหนดค่าได้ใน Computers, Site, Domain, OU การกำหนดควบคุมแบ่งออกเป็นสองแบบคือ Local GPOs Non Local GPOs การกำหนด OUs เพื่อแต่งตั้งผู้บริหารระบบ
Active Directory Management Local GPOs ในแต่ละเครื่องจะมีเพียงหนึ่งเท่านั้น ซึ่งจะไม่เกี่ยวกับส่วนประกอบของ Active Directory หรือเครือข่าย ค่าที่กำหนดจะส่งผลที่เครื่องนั้นๆเท่านั้น ซึ่งถ้า Nonlocal GPOs กำหนด Local GPOs จะไม่สามารถทับนโยบายจาก Nonlocal GPOs ได้ Non Local GPOs จะมีการสร้างเพื่อลิงค์กับ Site, Domain, หรือ OU ซึ่งสามารถกำหนดได้ใน Windows Server 2000 และ Windows server 2003 ซึ่งดีฟอลท์ที่สร้างมีอยู่สองที่คือ Default Domain Policy ลิงค์ไปยังโดเมน ซึ่งส่งผลผู้ใช้ทุกคน และทุกเครื่อง รวมถึง Domain Controllers โดยผ่านการถ่ายทอดมรดก Default Domain Controllers Policy เป็นการกำหนดที่ Domain Controller OU ซึ่งจะมีผลเฉพาะ Domain Controllers เท่านั้น เพราะว่าเป็นเครื่องที่ดูแล User account การกำหนด OUs เพื่อแต่งตั้งผู้บริหารระบบ
Active Directory Management ตำแหน่งที่เก็บ GPO อยู่ที่ %Systemroot%\Sysvol\Domain_Name\Policies\GPO\GUID\Adm ซึ่ง GUID จะเป็นค่าที่ไม่ซ้ำกันใน Nonlocal GPO การกำหนดค่า GPO ใน Site จะส่งผลถึงทุกเครื่องในไซต์นั้นๆ เพราะว่า Active Directory จะทำการเรพพลิเคตข้อมูล GPO จะสามารถกำหนดในหลายโดเมนในฟอเรสต์ แม้ว่า GPO จะกำหนดไว้ที่เดียว แต่ทุกเครื่องต้องอ่าน Site-linked Group Policy ถ้าโดเมนลูกข้าม WAN ค่าที่กำหนดต้องทำ GPO ที่ลิงค์ไปด้วยเพื่อเข้าใช้ Site-linked GPO ข้าม WAN link เพื่อเพิ่มประสิทธิภาพการทำงาน Group Policy การกำหนด OUs เพื่อแต่งตั้งผู้บริหารระบบ
Active Directory Management Group Policy Object Editor เป็นเครื่องมือที่ใช้บริหาร Group Policy Object กำหนด บนเครื่องที่ใช้อยู่ (Local GPO) Another computer (Local GP) Site Domain หรือ OU การกำหนด OUs เพื่อแต่งตั้งผู้บริหารระบบ
Active Directory Management ค่าติดตั้ง Group Policy GPO สามารถที่กำหนดค่าติดตั้งตามโหนดต่างๆดังนี้ กำหนดโหนดเป็น Computer และ User กำหนดโหนด Software Settings กำหนดโหนด Windows Settings กำหนดโหนด Administrative Templates กำหนดโหนดเป็น Computer และ User เป็นการกำหนดนโยบายที่ต้องการให้มีผลต่อคนที่ล็อกออน และเครื่องที่เปิดขึ้นมา ซึ่งภายในประกอบด้วย Software Settings Windows Settings Administrative Settings การกำหนด OUs เพื่อแต่งตั้งผู้บริหารระบบ
Active Directory Management กำหนดโหนด Software Settings สามารถกำหนดได้ทั้ง Computer และ User Configuration แต่ผลที่ได้จะต่างกัน ถ้ากำหนดที่เครื่องจะมีผลตอนเปิด ปิดเครื่อง ถ้าเป็น User มีผลตอนที่ล็อกออน ล็อกออฟ ซึ่งการกำหนดกระจายซอฟต์แวร์ทำได้สองโหมดคือ Assigned และ Published การกำหนด OUs เพื่อบริการ Group Policy และเพื่อซ่อนออปเจค
Active Directory Management กำหนดโหนด Windows Settings เป็นการกำหนดค่าติดตั้งได้ทั้ง Computer และ User Configuration ซึ่งภายใต้ Windows Settings จะมีการกำหนด สคริปต์ สคริปต์ที่กำหนด Startup/Shutdown (ใน Computer Configuration) Logon/Logoff (ใน User Configuration) สคริปต์ที่รองรับนี้สามารถเขียนด้วย ActiveX, Visual Basic, VB Script, Jscript, Perl, Batch file (.bat, .cmd) Security Settings กำหนดใน Computer Configuration หรือใน Local GPO ซึ่งจะใช้ Security Template ในการกำหนด User Configuration จะมี Windows Settings ที่เพิ่มคือ Remote Installation Services (RIS) ที่ติดตั้งระบบปฏิบัติการในเครื่องที่บูตขึ้นมา มีการกำหนด Folder Redirection เพื่อเปลี่ยนตำแหน่งที่เก็บโฟลเดอร์ใช้งาน การออกแบบโครงสร้าง OU
Active Directory Management กำหนดโหนด Administrative Templates กำหนดได้ทั้ง Computer และ User Configuration ซึ่งจะเก็บค่ารีจีสทรีที่ต้องการมีกว่า 550 รายการที่กำหนด ซึ่งตำแหน่งที่กำหนดมี แท็บ Explain ใน Properties ที่กำหนดค่าติดตั้งในระบบปฏิบัติการ Administrative Templates Help ที่ต้องการระบบปฏิบัติการสำหรับการติดตั้ง แท็บ Extended (เป็นฟีเจอร์ใหม่ใน Windows Server 2003, เลือกเป็นดีฟอลท์) ใน Group Policy Object Editor ซึ่งมีการอธิบายในรายการ การวางแผน site และการออกแบบ Domain
Active Directory Management ในการกำหนดแต่ละรายการจะมีสามสถานะคือ Not Configured Enabled Disable ค่าที่ติดตั้งใน Computer Configuration จะมีผลใน HKEY_LOCAL_MACHINE (HKLM) ค่าที่ติดตั้งใน User Configuration จะมีผลใน HKEY_CURRENT_USER (HKCU) ซึ่งจะมี 4 ทรีใน Registry ดังนี้ HKEY_LOCAL_MACHINE\Software\Policies (computer settings) HKEY_CURRENT_USER\Software\Policies (User settings) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies (computer settings) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies (User settings) การวางแผน site และการออกแบบ Domain
Active Directory Management ซึ่งการกำหนดนี้สามารถที่กำหนด Windows Components ที่มีผลต่อ Microsoft Netmeeting, Internet Explorer, Application Compatibility, Task Scheduler, Terminal Services, Microsoft Windows Installer, Microsoft Windows Messenger, Microsoft Media Player, และ Microsoft Update ถ้าเป็นการกำหนดใน User Configuration จะมีผลใน Windows Components เพียง Help and Support Center, Windows Explorer, และ MMC การบริหารงาน OUs
Active Directory Management Administrative Templates ก่อนหน้านี้เป็นการกำหนดโหนดใน Administrative Templates ของ GPO แต่จริงแล้วผู้บริหารสามารถควบคุม Registry ได้โดยกำหนดค่าติดตั้งด้วย GPO Editor และใส่ Template เพิ่ม ซึ่ง Windows NT Server หรือก่อนหน้านั้นจะรองรับ .adm ที่เป็น ANSI ทำให้ต้องใช้ System Policy Editor แต่ใน Windows 2000/2003 รองรับในรูปแบบ Unicode ที่กำหนดใน Registry ใช้ GPO กำหนดแทน System Policy Editor มีสามชนิดคือ Default เป็นค่าที่ Windows 2003 มีให้ดังตารางด้านล่าง Vedor-Supplied ซึ่งสามารถโหลดเพิ่มได้จาก Windows XP Resource Kit หรือ Office 2000/XP Custom กำหนดเอง โดยสร้างไฟล์ .adm language ที่ควบคุมค่าติดตั้ง และพัฒนาโดยผู้พัฒนาซอฟต์แวร์ การบริหารงาน OUs
Active Directory Management ตารางแสดงค่าดีฟอลท์ที่ Windows Server 2003 มีให้ การบริหารงาน OUs
Active Directory Management Group Policy มีผลอย่างไรเมื่อเปิดครื่อง และล็อกออน เปิดเครื่องจะส่ง Remote Procedure Call System Service (RPCSS) และ Multiple Universal Naming Convention Provider (MUP) ตรวจสอบรายการของ GPOs ที่บรรจุใน Computer configuration รัน Startup script เมื่อผู้ใช้ล็อกออน จะมีการตรวจสอบ GPOs ที่บรรจุสำหรับ User ค่า User configuration settings ดำเนินการ Logon scripts ทำงาน การบริหารงาน OUs
Active Directory Management การวางแผน การบริหารงาน OUs
Active Directory Management วิธีการออกแบบ กระจายGPO รวมศูนย์GPO การบริหารงาน OUs
Active Directory Management การวางแผนการบริหารควบคุม GPOs ออกแบบแบบรวมศูนย์ ออกแบบแบบกระจายศูนย์ ออกแบบตามลักษณะงาน User accounts
Active Directory Management การออบแบบกระจายศูนย์ User accounts
Active Directory Management การออกแบบตามลักษณะงาน User accounts
Active Directory Management การวางระบบ Group Policy สิ่งแรกที่ต้องทำคือการทำงานของ Group Policy และการวางแผนในการวางระบบให้ตรงกับความต้องการ เมื่อวางแผนได้แล้วก็เริ่มขั้นตอนการติดตั้ง และกำหนดค่าติดตั้ง GPO การสร้าง GPO เริ่มต้นจากการสร้าง GPO ซึ่งเป็นที่เก็บค่ากำหนดของ Group Policy ขั้นตอนการสร้า พิจารณาว่าจะสร้างที่Site, Domain, หรือOUs ใน Site ให้กำหนดโดยใช้Active Directory Sites and Services ใน Domain และ Ous ให้กำหนดโดยใช้Active Directory Users and Computers กำหนดค่าในแท็บ Group Policy ซึ่งจะอยู่ใน Properties ของ Site, Domain, หรือ OU User accounts
Active Directory Management การสร้าง MMC สำหรับ GPO เมื่อต้องการแก้ไขการใช้เครื่องมือ Active Directory Users and Computers หรือ Acitve Diretory Sites and Services จะค่อนข้างเสียเวลาในการเรียกใช้ หรือเข้าถึง GPO ที่สร้าง จึงต้องมีการสร้าง MMC และทำการ Add Snap- in ที่เป็น Group Policy Object Editor และเลือกลิงค์เพื่อสร้างใน MMC User accounts
Active Directory Management การแต่งตั้งการควบคุม GPO หลังจากที่กำหนดค่าต่างๆใน GPO แล้ว เราอาจจะมีการมอบหมาย แต่งตั้งให้กับบุคคลใดเป็นผู้ช่วยดูแล ก็สามารถทำได้ โดยค่า Default GPO Permissions มีดังนี้ User accounts
Active Directory Management ตารางแสดงค่าดีฟอลท์ GPO โดยดีฟอลท์ Default Domain Policy GPO ไม่สามารถลบโดย Administrator ใดๆได้ User accounts
Active Directory Management สิ่งที่ใช้ในการควบคุมการแต่งตั้งมี GPO Editing GPO creation GPO object linking User accounts
Active Directory Management การกำหนดค่า Group Policy Settings สำหรับ GPO หลังจากที่สร้าง GPO และพิจารณา Administrators ที่กำหนดเข้าใช้ GPO จะต้องมีการกำหนดค่า Group Policy Settings User accounts
Active Directory Management ซึ่งค่าที่กำหนดจะมีสถานะดังนี้ User accounts
Active Directory Management การระบุ GPO ที่ยกเว้น ในกรณีที่ต้องการหลีกเลี่ยงกระบวนการที่กำหนดสามารถที่เลือก Disable ได้การกำหนดนี้เลือกที่เป็น Computer Configuration Settings หรือ User Configuration Settings ในเช็กบ็อกซ์ของการกำหนดใน GPO GPO สามารถที่กำหนดแก้ไขในคุณสมบัติของ GPO และกำหนดออปชั่น No Override หรือ Disabled ที่จะไม่ใช้ใน Container ที่กำหนดได้ User accounts
Active Directory Management การกรองสโคปของ GPO ด้วย Security Groups การกรองเป็นวิธีการกำหนดให้ใครที่ต้องการได้รับการกำหนดมี Read และ Apply Group Policy permissions สำหรับค่าที่กำหนดเป็น Allow โดยทั่วไปจะให้ Authenticated user มี Read และ Apply group policy permissions อยู่แล้ว ถ้าไม่ต้องการให้กลุ่มหนึ่งกลุ่มใดรับผลที่กำหนดให้นำ Authenticated user ออก และใส่ Group ที่ต้องการ Allow กำหนด Read และ Apply group policy permissions ลงไป ในกรณีที่ใช้ Deny ต้องพิจารณาการเป็นสมาชิกของกลุ่มให้ดี การลิงค์ GPO ใน Site, Domain, และ OU โดยดีฟอลท์ GPO ที่ลิงค์ใน Site, Domain, OU จะถูกเลือกโดย MMC ที่สร้าง ถ้าผู้กำหนดต้องการที่ใช้ลิงค์กำหนดเดิมเพิ่มใน Site, Domain, OU อื่นสามารถทำได้โดยเข้าไปที่ Properties ของตำแหน่ง Group Policy นั้นๆ User accounts
Active Directory Management การแก้ไข GPO การนำ GPO link ออก การลบ GPO การแก้ไข GPO และการกำหนดค่าติดตั้ง GPO การรีเฟรช GPO สิ่งที่ควรปฏิบัติใน Group Policy ไม่อนุญาต GPO ที่ไม่ใช้ ใช้ Block Policy Inheritance และ No Override เท่าที่จำเป็น ไม่ใช้ชื่อเดียวสำหรับ GPO ที่ต่างกัน กรอง Policy บน Security Group membership ใช้ Loopback เท่าที่จำเป็น บังคับ Group Policy มากกว่า System Policy หลีกหนีการกำหนด GPO ข้ามโดเมน User accounts
Active Directory Management MANUALLY REFRESHING GROUP POLICY User accounts
Security Policy Settings Account Policies Configure password, account, and Kerberos policies (domain only) Local Policies Configure auditing, user rights, and security options Event Log Configure settings for application logs, system logs, and security logs Restricted Group Configure group memberships for security sensitive groups System Services Configure security and startup settings for services running on a computer Registry Configure security on registry keys File System Configure security on specific file paths Public Key Configure encrypted data recovery agents, domain roots, trusted certificate authorities, and so on IP Security Configure IP security on a network Wireless Configure wireless settings Software Restriction Configure which apps can be run or disallowed
Active Directory Management LABs User accounts
Active Directory Management Trainer : Isara Ruk-isara MVP Windows Security Certified MSN : Starhacker_1st@hotmail.com Thaiadmin Account : M.a.k.u.b.e.X THAIADMIN.ORG User accounts