Bảo vệ các máy tính với Windows SteadyState Phần 1
Trong phần 1 của loạt bài này chúng tôi sẽ giới thiệu vắn tắt cho các bạn về Windows SteadyState (WSS). Bằng cách xem xét phiên bản mới nhất, so sánh với phiên bản đã có từ trước, các yêu cầu hệ thống, Windows Disk Protection (WDP) và cách bắt đầu như thế nào.
Bảo vệ các máy tính với Windows SteadyState (Phần 1)
Nguồn : quantrimang.com
Jakob H. Heidelberg
Trong phần 1 của loạt bài này chúng tôi sẽ giới thiệu vắn tắt cho các bạn
về Windows SteadyState (WSS). Bằng cách xem xét phiên bản mới nhất, so
sánh với phiên bản đã có từ trước, các yêu cầu hệ thống, Windows Disk
Protection (WDP) và cách bắt đầu như thế nào. Trong các phần tiếp theo
chúng ta sẽ tìm hiểu sâu hơn về các lớp của bộ công cụ hữu dụng này. Tuy
nhiên trước hết chúng ta hãy tập trung vào những thành phần cơ bản.
Các máy tính được chia sẻ
Nếu bạn đã từng quản lý các máy tính có khả năng chia sẻ như máy tính trong
trường học, thư viện công, Internet café, máy tính tại các cửa hàng,… thì có thể
sẽ biết sẽ khó khăn như thế nào trong việc giữ những máy tính này chạy ổn định
cũng như bảo mật ở mức cao và được nâng cấp kịp thời mà không cần phải mất
quá nhiều công việc. Những gì chúng ta cần đối với các máy tính kiểu này là một
giải pháp cho phép bảo vệ ổ đĩa cứng tránh được những thay đổi trái phép –
ngoại trừ thay đổi cần thiết (như các nâng cấp).
Có thể bạn cũng giống như tôi, cũng đã thử các giải pháp phần cứng bằng một
số thao tác với bộ điều khiển đĩa cứng trong phần system/boot, sau đó một
partition ẩn được sử dụng mỗi lần khởi động lại. Đây là một giải pháp tốt, mặc dù
vậy chúng ta phải đối mặt với một vấn đề khi nâng cấp máy tính như Windows
Update, Office Update và các nâng cấp đối với phần mềm chống virus,… Trong
trường hợp này, các máy tính phải được khởi động ở chế độ “quản lý” hoặc
“quản trị” trước khi có thể thực hiện bất kỳ thay đổi nào.
Có thể bạn đã thử tải hàng tấn thiết lập Group Policy cục bộ để tránh những thao
tác không được phép với các thiết lập hệ thống, các tùy chọn Start Menu &
Desktop,… làm cho máy tính được bảo đảm hơn. Tuy nhiên bạn sẽ không cảm
thấy đủ an toàn với kịch bản này – có thể phần nào vì thực tế rằng tất cả người
dùng cục bộ đều gặp những vấn đề bởi các hạn chế của những chính sách cục
bộ tương tự nhau, thậm chí như các quản trị viên và thành viên trợ giúp. Để cải
thiện tình trạng đó, Microsoft đã cung cấp một giải pháp cho các quản trị viên
giúp đối phó với một số vấn đề chung. Bộ công cụ có tên gọi là Windows
SteadyState – không cần yêu cầu thêm phần cứng… bạn chỉ cần một download,
một số thao tác kích chuột và hỗ trợ để hoàn tất sự bảo vệ cho hệ thống.
Cái mới ở đây là gì?
Nếu đã từng xử lý với các vấn đề đã đề cập đến ở phần trên thì có thể bạn đã
thử đến bộ công cụ Microsoft Shared Computer, đây là một bộ công cụ khá tốt.
Windows SteadyState là một phiên bản nâng cao của bộ công cụ này – nó cho
phép cài đặt, cấu hình và quan lý được dễ dàng hơn rất nhiều.
Một số tính năng mới được bổ sung thêm vào bộ công cụ
Giao diện người dùng mới có sự điều hướng bảng cho
•
phép bạn dễ dàng quản lý các máy tính chia sẻ bằng một
giao diện điều khiển Hình 1
Windows Disk Protection cho phép bạn có thể thiết lập và cài đặt mà
•
không cần thay đổi partition của ổ.
Windows Disk Protection hiện hỗ trợ Group Policy, vì vậy bạn có thể quản
•
lý nó trong môi trường Active Directory.
Các tùy chọn hạn chế phần mềm cho phép kiểm soát chặt chẽ hơn những
•
chương trình nào có thể được sử dụng.
Có nhiều tùy chọn hạn chế người dùng hơn trong đó có những cải thiện
•
đáng kể đối với việc kiểm soát Internet Explorer.
Các mặc định bảo mật mức cao, trung bình và thấp cho phép tùy chỉnh
•
một cách dễ dàng và nhanh hơn
Import và export dễ dàng hạn chế người dùng trực tiếp từ giao diện mà
•
không cần sử dụng các công cụ dòng lệnh.
Cài đặt dễ dàng hơn và có nhiều tài liệu hỗ trợ giúp bạn dễ dàng khi mới
•
bắt đầu.
Với các nâng cao tuyệt vời như vậy, chúng ta hãy lắp ghép thêm một nền tảng
vững chắc và công nghệ quan trọng nhất với Windows SteadyState cho
Windows XP: Windows Disk Protection!
Windows Disk Protection (WDP)
WDP có thể là lý do chính tại sao Windows SteadyState là một cung cụ cần thiết
đến như vậy. Tính năng này được thiết kế để bảo vệ các thiết lập hệ thống và dữ
liệu trên partition Windows. Trong suốt quá trình đăng nhập, có thể có nhiều thay
đổi được thực hiện đối với hệ thống bởi người dùng và bản thân hệ thống. Trên
một máy tính chia sẻ, mục tiêu là tạo một môi trường chặt chẽ, khởi động này
cần phải giống hoàn toàn với một khởi động khác – không có sự khác nhau đối
với người dùng.
Khi Windows Disk Protection được kích hoạt, nó xóa tất cả các thay đổi đối với
partition hệ điều hành. Kịch bản chung nhất là sẽ gỡ bỏ tất cả thay đổi khi khởi
động lại. Với thiết lập này, Helpdesk chỉ cần yêu cầu người dùng khởi động lại
máy tính, và như vậy các máy tính này sẽ được khởi động lại với trạng thái trước
đó trừ khi có lỗi phần cứng xuất hiện.
WDP không phải là một tính năng mặc định bởi bạn cũng như một quản trị viên
có thể muốn điều chỉnh hệ thống, cài đặt các ứng dụng, tạo người dùng… trước
khi kích hoạt tính năng quan trọng này - trừ khi muốn lặp lại các công việc đó
mãi. Khi bạn sẵn sàng sử dụng dụng nó và hệ thống cũng 100% sẵn sàng thực
hiện nhiệm vụ sản xuất (vd: việc dồn ổ và xóa file tạm thời đã được hoàn tất…),
bật tính năng này và theo dõi những thay đổi mà bạn không muốn từ người dùng
khác. Tất thảy đều không làm được gì với những điều chỉnh đó!
Ẩn phía sau kịch bản, WDP tạo và dự trữ một file lưu trữ lớn (tối thiểu 2GB) để
lưu các thay đổi đối với hệ điều hành và file chương trình. Nó cần ít nhất 4GB
cho không gian đĩa không được sử dụng trên partition của Windows để tạo file
lưu trữ, tuy nhiên kích thước mặc định được sử dụng xấp xỉ 50% không gian đĩa
có sẵn.
Trong suốt quá trình khởi động lại – WDP xóa nội dung của cache và khôi phục
lại hệ thống chính xác với trạng thái đã được bật. Nếu bạn muốn cho phép người
dùng lưu thông tin vào các thư mục Desktop, Documents… bạn có thể thực hiện
bằng cách định nghĩa profile người dùng với tư cách là một profile không bị khóa
đặt trên một partition khác (vì WDP chỉ bảo vệ partition có file của hệ điều hành).
Chức năng tương tự cũng có sẵn với nhiều giải pháp cho bộ điều khiển phần
cứng - vậy tại sao WDP lại tốt hơn? Lý do để trả lời câu hỏi này là bạn có thể lập
lịch trình và áp dụng chúng vĩnh cửu thậm chí cả khi WDP được bật.
Với Windows SteadyState, nếu bạn cấu hình một cách thích hợp các nâng cấp
quan trọng của Microsoft và nâng cấp về phần mềm chống virus không bị gỡ bỏ
khi khởi động lại máy tính . Hệ thống sẽ thực thi việc đăng xuất bất kỳ người
dùng nào trong suốt khoảng thời gian nâng cấp lịch trình, khởi động lại, thực
hiện các nâng cấp cần thiết. Chúng ta sẽ trở lại vấn đề này trong bài sau.
Các yêu cầu về hệ thống
Các hệ thống chạy Windows SteadyState phải có cấu hình tối thiểu cần thiết như
trong bảng 1 dưới đây:
Thành
Yêu cầu
phần
300MHz hoặc cao hơn
Tối thiểu 233MHz (hệ thống một CPU hoặc dual); dòng Intel
CPU
Core/Pentium/Celeron hoặc AMD K6/Athlon/Duron hoặc bộ
vi xử lý tương thích.
128MB RAM hoặc cao hơn
Bộ n hớ
64 MB tối thiểu được hỗ trợ nhưng có thể hạn chế hiệu suất
và các tính năng khác.
1.5GB không gian đĩa có sẵn khi không có Windows Disk
Protection (WDP), 4.0 GB không gian đĩa có sẵn khi có
Ổ cứng
WDP.
Windows XP Professional, Windows XP Home Edition, hoặc
Windows XP Tablet PC Edition với Windows XP Service
Pack 2 (SP2)
Hệ điều
Lưu ý:
hành
Windows SteadyState không hoạt động với Windows Vista.
Đây là một hạn chế nhưng hi vọng phiên bản kế tiếp sẽ khắc
phục được hiện tượng này.
Hệ
NTFS (hệ thống Windows sẽ gần như không an toàn khi
thống
không ở chế độ này)
file
Windows Scripting và Windows Management
Các
Instrumentation (WMI).
công cụ
Quyền
Truy cập với vai trò Quản trị viên
hạn
Bảng 1
Các yêu cầu khác là phải qua được kiểm tra Windows Genuine Advantage.
Kết luận
Chúng tôi đã giới thiệu cho bạn những tính năng tuyệt vời nhất mà Windows
SteadyState có thể cung cấp cho các quản trị viên đối với những máy tính chia
sẻ. Chúng tôi cũng đã giới thiệu phiên bản mới và những cải thiện của nó, giới
thiệu các yêu cầu của hệ thống. Xem xét đến phần liên kết mở rộng - những thứ
bạn cần khi bắt đầu thực hiện….
Hãy thử sử dụng bộ công cụ tuyệt vời này, có thể trên một máy tính ảo để có thể
bắt đầu các thử nghiệm. Khi bạn đã thấy được các hiệu quả mà nó mang lại thì
lúc đó hãy triển khai với hệ thống thực.