Bảo vệ các máy tính với Windows SteadyState Phần 1

Trong phần 1 của loạt bài này chúng tôi sẽ giới thiệu vắn tắt cho các bạn về Windows SteadyState (WSS). Bằng cách xem xét phiên bản mới nhất, so sánh với phiên bản đã có từ trước, các yêu cầu hệ thống, Windows Disk Protection (WDP) và cách bắt đầu như thế nào.

---

Bảo vệ các máy tính với Windows SteadyState (Phần 1) Nguồn : quantrimang.com  Jakob H. Heidelberg Trong phần 1 của loạt bài này chúng tôi sẽ giới thiệu vắn tắt cho các bạn về Windows SteadyState (WSS). Bằng cách xem xét phiên bản mới nhất, so sánh với phiên bản đã có từ trước, các yêu cầu hệ thống, Windows Disk Protection (WDP) và cách bắt đầu như thế nào. Trong các phần tiếp theo chúng ta sẽ tìm hiểu sâu hơn về các lớp của bộ công cụ hữu dụng này. Tuy nhiên trước hết chúng ta hãy tập trung vào những thành phần cơ bản. Các máy tính được chia sẻ Nếu bạn đã từng quản lý các máy tính có khả năng chia sẻ như máy tính trong trường học, thư viện công, Internet café, máy tính tại các cửa hàng,… thì có thể sẽ biết sẽ khó khăn như thế nào trong việc giữ những máy tính này chạy ổn định cũng như bảo mật ở mức cao và được nâng cấp kịp thời mà không cần phải mất quá nhiều công việc. Những gì chúng ta cần đối với các máy tính kiểu này là một giải pháp cho phép bảo vệ ổ đĩa cứng tránh được những thay đổi trái phép – ngoại trừ thay đổi cần thiết (như các nâng cấp). Có thể bạn cũng giống như tôi, cũng đã thử các giải pháp phần cứng bằng một số thao tác với bộ điều khiển đĩa cứng trong phần system/boot, sau đó một partition ẩn được sử dụng mỗi lần khởi động lại. Đây là một giải pháp tốt, mặc dù vậy chúng ta phải đối mặt với một vấn đề khi nâng cấp máy tính như Windows Update, Office Update và các nâng cấp đối với phần mềm chống virus,… Trong trường hợp này, các máy tính phải được khởi động ở chế độ “quản lý” hoặc “quản trị” trước khi có thể thực hiện bất kỳ thay đổi nào. Có thể bạn đã thử tải hàng tấn thiết lập Group Policy cục bộ để tránh những thao tác không được phép với các thiết lập hệ thống, các tùy chọn Start Menu & Desktop,… làm cho máy tính được bảo đảm hơn. Tuy nhiên bạn sẽ không cảm thấy đủ an toàn với kịch bản này – có thể phần nào vì thực tế rằng tất cả người dùng cục bộ đều gặp những vấn đề bởi các hạn chế của những chính sách cục bộ tương tự nhau, thậm chí như các quản trị viên và thành viên trợ giúp. Để cải thiện tình trạng đó, Microsoft đã cung cấp một giải pháp cho các quản trị viên giúp đối phó với một số vấn đề chung. Bộ công cụ có tên gọi là Windows SteadyState – không cần yêu cầu thêm phần cứng… bạn chỉ cần một download, một số thao tác kích chuột và hỗ trợ để hoàn tất sự bảo vệ cho hệ thống. Cái mới ở đây là gì? Nếu đã từng xử lý với các vấn đề đã đề cập đến ở phần trên thì có thể bạn đã thử đến bộ công cụ Microsoft Shared Computer, đây là một bộ công cụ khá tốt. Windows SteadyState là một phiên bản nâng cao của bộ công cụ này – nó cho phép cài đặt, cấu hình và quan lý được dễ dàng hơn rất nhiều. Một số tính năng mới được bổ sung thêm vào bộ công cụ Giao diện người dùng mới có sự điều hướng bảng cho • phép bạn dễ dàng quản lý các máy tính chia sẻ bằng một giao diện điều khiển Hình 1 Windows Disk Protection cho phép bạn có thể thiết lập và cài đặt mà • không cần thay đổi partition của ổ. Windows Disk Protection hiện hỗ trợ Group Policy, vì vậy bạn có thể quản • lý nó trong môi trường Active Directory. Các tùy chọn hạn chế phần mềm cho phép kiểm soát chặt chẽ hơn những • chương trình nào có thể được sử dụng. Có nhiều tùy chọn hạn chế người dùng hơn trong đó có những cải thiện • đáng kể đối với việc kiểm soát Internet Explorer. Các mặc định bảo mật mức cao, trung bình và thấp cho phép tùy chỉnh • một cách dễ dàng và nhanh hơn Import và export dễ dàng hạn chế người dùng trực tiếp từ giao diện mà • không cần sử dụng các công cụ dòng lệnh. Cài đặt dễ dàng hơn và có nhiều tài liệu hỗ trợ giúp bạn dễ dàng khi mới • bắt đầu. Với các nâng cao tuyệt vời như vậy, chúng ta hãy lắp ghép thêm một nền tảng vững chắc và công nghệ quan trọng nhất với Windows SteadyState cho Windows XP: Windows Disk Protection! Windows Disk Protection (WDP) WDP có thể là lý do chính tại sao Windows SteadyState là một cung cụ cần thiết đến như vậy. Tính năng này được thiết kế để bảo vệ các thiết lập hệ thống và dữ liệu trên partition Windows. Trong suốt quá trình đăng nhập, có thể có nhiều thay đổi được thực hiện đối với hệ thống bởi người dùng và bản thân hệ thống. Trên một máy tính chia sẻ, mục tiêu là tạo một môi trường chặt chẽ, khởi động này cần phải giống hoàn toàn với một khởi động khác – không có sự khác nhau đối với người dùng. Khi Windows Disk Protection được kích hoạt, nó xóa tất cả các thay đổi đối với partition hệ điều hành. Kịch bản chung nhất là sẽ gỡ bỏ tất cả thay đổi khi khởi động lại. Với thiết lập này, Helpdesk chỉ cần yêu cầu người dùng khởi động lại máy tính, và như vậy các máy tính này sẽ được khởi động lại với trạng thái trước đó trừ khi có lỗi phần cứng xuất hiện. WDP không phải là một tính năng mặc định bởi bạn cũng như một quản trị viên có thể muốn điều chỉnh hệ thống, cài đặt các ứng dụng, tạo người dùng… trước khi kích hoạt tính năng quan trọng này - trừ khi muốn lặp lại các công việc đó mãi. Khi bạn sẵn sàng sử dụng dụng nó và hệ thống cũng 100% sẵn sàng thực hiện nhiệm vụ sản xuất (vd: việc dồn ổ và xóa file tạm thời đã được hoàn tất…), bật tính năng này và theo dõi những thay đổi mà bạn không muốn từ người dùng khác. Tất thảy đều không làm được gì với những điều chỉnh đó! Ẩn phía sau kịch bản, WDP tạo và dự trữ một file lưu trữ lớn (tối thiểu 2GB) để lưu các thay đổi đối với hệ điều hành và file chương trình. Nó cần ít nhất 4GB cho không gian đĩa không được sử dụng trên partition của Windows để tạo file lưu trữ, tuy nhiên kích thước mặc định được sử dụng xấp xỉ 50% không gian đĩa có sẵn. Trong suốt quá trình khởi động lại – WDP xóa nội dung của cache và khôi phục lại hệ thống chính xác với trạng thái đã được bật. Nếu bạn muốn cho phép người dùng lưu thông tin vào các thư mục Desktop, Documents… bạn có thể thực hiện bằng cách định nghĩa profile người dùng với tư cách là một profile không bị khóa đặt trên một partition khác (vì WDP chỉ bảo vệ partition có file của hệ điều hành). Chức năng tương tự cũng có sẵn với nhiều giải pháp cho bộ điều khiển phần cứng - vậy tại sao WDP lại tốt hơn? Lý do để trả lời câu hỏi này là bạn có thể lập lịch trình và áp dụng chúng vĩnh cửu thậm chí cả khi WDP được bật. Với Windows SteadyState, nếu bạn cấu hình một cách thích hợp các nâng cấp quan trọng của Microsoft và nâng cấp về phần mềm chống virus không bị gỡ bỏ khi khởi động lại máy tính . Hệ thống sẽ thực thi việc đăng xuất bất kỳ người dùng nào trong suốt khoảng thời gian nâng cấp lịch trình, khởi động lại, thực hiện các nâng cấp cần thiết. Chúng ta sẽ trở lại vấn đề này trong bài sau. Các yêu cầu về hệ thống Các hệ thống chạy Windows SteadyState phải có cấu hình tối thiểu cần thiết như trong bảng 1 dưới đây: Thành Yêu cầu phần 300MHz hoặc cao hơn Tối thiểu 233MHz (hệ thống một CPU hoặc dual); dòng Intel CPU Core/Pentium/Celeron hoặc AMD K6/Athlon/Duron hoặc bộ vi xử lý tương thích. 128MB RAM hoặc cao hơn Bộ n hớ 64 MB tối thiểu được hỗ trợ nhưng có thể hạn chế hiệu suất và các tính năng khác. 1.5GB không gian đĩa có sẵn khi không có Windows Disk Protection (WDP), 4.0 GB không gian đĩa có sẵn khi có Ổ cứng WDP. Windows XP Professional, Windows XP Home Edition, hoặc Windows XP Tablet PC Edition với Windows XP Service Pack 2 (SP2) Hệ điều Lưu ý: hành Windows SteadyState không hoạt động với Windows Vista. Đây là một hạn chế nhưng hi vọng phiên bản kế tiếp sẽ khắc phục được hiện tượng này. Hệ NTFS (hệ thống Windows sẽ gần như không an toàn khi thống không ở chế độ này) file Windows Scripting và Windows Management Các Instrumentation (WMI). công cụ Quyền Truy cập với vai trò Quản trị viên hạn Bảng 1 Các yêu cầu khác là phải qua được kiểm tra Windows Genuine Advantage. Kết luận Chúng tôi đã giới thiệu cho bạn những tính năng tuyệt vời nhất mà Windows SteadyState có thể cung cấp cho các quản trị viên đối với những máy tính chia sẻ. Chúng tôi cũng đã giới thiệu phiên bản mới và những cải thiện của nó, giới thiệu các yêu cầu của hệ thống. Xem xét đến phần liên kết mở rộng - những thứ bạn cần khi bắt đầu thực hiện…. Hãy thử sử dụng bộ công cụ tuyệt vời này, có thể trên một máy tính ảo để có thể bắt đầu các thử nghiệm. Khi bạn đã thấy được các hiệu quả mà nó mang lại thì lúc đó hãy triển khai với hệ thống thực.