Trong phần 1 của loạt
bài này chúng tôi đã giới thiệu một chút về Windows SteadyState (WSS).
Trong phần 2 này chúng tôi sẽ giới thiệu tiếp về chủ đề này. Tiếp theo
và phần cuối cùng trong loạt này chúng tôi sẽ giới thiệu cho các bạn về
phiên bản 2.5 của bộ công cụ tuyệt vời này – đây cũng là phiên bản đầu
tiên hỗ trợ cho Windows Vista.

Trước khi cài đặt WSS

Trước
khi cài đặt WSS, bạn cần hủy bỏ cài đặt của các phiên bản Microsoft
Shared Computer Toolkit và phiên bản WSS có trước đó (chỉ liên quan khi
cài đặt phiên bản 2.5 hiện đang trong bản Beta).

Trong thế giới
của chúng ta, bạn muốn bắt đầu từ điểm xuất phát với cài đặt toàn bộ
Windows XP từ đầu, mức Service Pack mới nhất, driver mới nhất và tất cả
các nâng cấp cần thiết (từ website của Windows Update). Tuy nhiên bạn
cũng có thể sử dụng cài đặt Windows XP đang tồn tại, chỉ remove các ứng
dụng phần mềm không cần thiết, profile của người dùng cũng như các file
tạm thời,.. nhưng thay vì xóa sạch một hệ thống cũ chúng tôi khuyên bạn
nên bắt đầu tất cả mọi thứ từ đầu (khi đó sẽ không bị xót bất cứ một lỗ
hổng bảo mật đang tồn tại nào,…). Bắt đầu này chúng ta cần một máy tính
Windows XP ảothực hiện cho các mục đích demo hoặc test.

Mặc dù
WSS bảo vệ khi có các thay đổi xảy ra nhưng bạn vẫn nên cài đặt phần mềm
được hỗ trợ chống malware và cập nhật danh sách một cách liên tục. Bạn
cũng nên nhớ thiết lập một vài mật khẩu mạnh cho các tài khoản quản trị
nội bộ.

Chúng tôi cũng khuyên bạn nên cài đặt các ứng dụng, tính
năng và dịch vụ mà người dùng cần có trước khi cài đặt WSS – hoặc ít
nhất trước khi “khóa” bằng Windows Disk Protection (WDP).

Một
thứ gần như cuối cùng trước khi cài đặt WSS (và kích hoạt WDP) là bạn
phải bảo đảm thực hiện việc defragment (dồn ổ) cho các đĩa hệ thống để
tối ưu hóa hiệu suất. Hãy nhớ rằng nó chỉ được thực hiện khi WDP được
kích hoạt cuối cùng để bạn có thể xem xét hệ thống “ổn định và an toàn”.


Các bước đầu tiên

Lúc
này bạn hoàn toàn sẵn sàng cài đặt gói cài đặt đã được download. Trước
tiên bạn chấp nhận các điều khoản đăng ký nếu chúng hoàn toàn OK đối với
bạn – tiếp đến đăng ký của Windows được hợp lệ với Windows Genuine
Advantage (WGA) – thì cài đặt sẽ được bắt đầu, khi đó nó sẽ mất một vài
phút để thực hiện công việc cài đặt. Kích Finish khi đã sẵn sàng.

Tại desktop của bạn, trong menu All Programs,
shortcut mới của chương trình “Windows SteadyState” lúc này sẽ xuất
hiện. Đầu tiên hướng dẫn tham chiếu trợ giúp tỉ mỉ được khởi chạy một
cách tự động (xem trong hình 1) cũng như các cửa sổ WSS (hình 2).


Chúng tôi khuyên bạn nên đọc file hướng dẫn này và [You must be registered and logged in to see this link.]

Màn
hình “Global Computer Settings” (hình 2) hiển thị cho chúng ta 3 tùy
chọn chính, 3 tùy chọn sẽ được giới thiệu đến trong bài báo này:

1. 
   
   Thiết lập các hạn chế
   
2. 
   
   Lập lịch trình cho việc cập nhật
   
3. 
   
   Bảo vệ ổ đĩa cứng
   

Thêm nữa, trong phần menu bên trái bạn có thể truy
cập vào các tài nguyên của WSS và trong phần menu bên phải, các tài
khoản người dùng có thể được quản lý, được export và import. Cấu hình
các thuộc tính và hạn chế người dùng cũng sẽ được giới thiệu trong bài
này trong phần dưới.


Đầu tiên – chúng ta hãy thiết lập các hạn chế
(Computer Restrictions) cho máy tính. Như tên được ngụ ý của nó, ở đây
có các thiết lập chính sách hoàn toàn rộng đối với các máy tính sẽ “hit”
tất cả người dùng đang đăng nhập. Chúng tôi không giới thiệu tất cả các
thiết lập này ở đây, nhưng bạn có thể thấy trong hình 3, nó có liên
quan đến hộp thoại “Log On to Windows”, màn hình Welcome, profile người
dùng, mật khẩu, việc tạo file và thư mục, các thiết bị USB,…


Trong cửa sổ chính của WSS, bạn hãy chọn tùy chọn “Schedule Software Updates”.
Đây là một trong các tính năng tuyệt vời của WSS – khả năng “ổn định”
hệ thống, nhưng vẫn cần đến các bản nâng cấp mới (cho hệ điều hành…) và
cần được cập nhật thường xuyên. Nếu bạn đã từng sử dụng bộ điều khiển
phần cứng để khóa trạng thái phần cứng thì có thể biết được việc giữ các
máy tính luôn trong trạng thái được cập nhật kịp thời là một vấn đề.
Với WSS điều này trở thành một nhiệm vụ tự động!

Hình 4 thể hiện
hộp thoại Schedule Software Updates - ở đây bạn có thể lập lịch trình
cho việc nâng cấp xuất hiện theo một khoảng thời gian cụ thể nào đó, cho
phép nâng cấp các chương trình bảo mật - “Security Program Updates”
(AV/Anti-Malware,...) hoặc thậm chí thực thi một kịch bản download tùy
chỉnh cho việc nâng cấp phần mềm (bảo mật) không được hỗ trợ và phát
hiện bởi WSS một cách mặc định.


Trong cửa sổ WSS chính, bạn hãy chọn phần “Protect the Hard Disk”.
Đây chính là nơi có nhiều tính năng quan trọng – tính năng rất hữu dụng
có tên gọi: Windows Disk Protection, hoặc viết tắt là WDP. Như những gì
bạn thấy trong màn hình bên dưới (hình 5), mặc định WDP ở trạng thái
Off. Như đã đề cập từ trước, một số thứ cơ bản cần phải có trước khi
kích hoạt WDP, chính vì vậy bạn cần đợi và kích hoạt nó sau.

Lưu
ý ở đây là bạn có một số tùy chọn khác nhau – nhưng gợi ý ở đây là sử
dụng thiết lập “Remove all changes at restart” vì đó là thiết lập sẽ
thực hiện cho hầu hết các công việc quản trị. Nó không có ảnh hưởng lớn
đối với vấn đề hiệu suất và file cache (nơi mà diễn ra tất cả những thay
đổi), hoàn toàn được xóa trong khoảng vài giây trong khi khởi động.
Chúng ta sẽ đề cập kỹ ở phần bên dưới.


Hộp kiểm “Do not warn the administrator about losing changes before log off, restart, or shutdown”
sẽ dẫn ra hộp thoại (xem trong hình 6) – hộp thoại này được hiển thị
mặc định trong thời gian là 30 giây – khi đó quản trị viên được nhắc nhở
rằng WDP hiện đang trong trạng thái ON. Chính vì vậy WDP sẽ áp dụng đến
tất cả người dùng – quản trị viên hay không phải quản trị viên. Chúng
tôi sẽ giới thiệu về WDP chi tiết hơn ở phần bên dưới.


Ở phần này, 3 thiết lập toàn cục của máy tính cho WSS
đã được nhắm đến, chính vì vậy đây chính là thời điểm để quan sát việc
tạo User và thiết lập các hạn chế nào đó cho User.

Tạo User

Tất
cả các quản trị viên đều biết cách thực hiện này, những người dùng cần
thiết cho các công việc cần thiết. Chính vì vậy, chúng ta hãy kích “Add a New User” trong cửa sổ WSS chính. Hình 7 hiển thị vấn đề này một cách rất trực giác và đơn giản như chúng ta thấy. Chọn User name, password (nếu cần), chọn User location và cuối cùng là ảnh cho profile. Kích OK khi thực hiện xong các công việc trên.


Lúc này những điều thú vị mới thực sự bắt đầu, đây
chính là lúc chúng ta có thể điều chỉnh các thiết lập của người dùng một
cách chi tiết hơn. Bạn có thể thực hiện hầu hết việc điều chỉnh này
bằng cách kết hợp với Group Policy nội bộ (nhưng hãy nhớ cho tới khi
chính sách nội bộ của Vista áp dụng cho tất cả người dùng gồm có cả quản
trị viên), bảo mật NTFS, profile có tính bắt buộc, điều khiển dành cho
bậc cao hơn (chỉ có trong Vista), …. Tuy vậy, WSS làm cho các công việc
này trở nên dễ dàng hơn rất nhiều.

Tab General trong User Settings (xem trong hình cho chúng ta tùy chọn “Lock” profile – đây chính là kiểu tương tự như tạo profile có tính bắt buộc (đặt lại tên User.Dat thành User.Man).
Bộ tính giờ cho session cũng có thể được cấu hình ở đây – cụ thể có thể
khởi động lại máy tính sau khi đăng xuất, điều đó (phụ thuộc vào các
thiết lập WDP) sẽ khởi động lại hệ thống của bạn về trạng thái “clean”.


Tab Windows Restrictions trong User
Settings (xem hình 9) cho chúng ta tùy chọn từ 4 mức hạn chế đã được cấu
hình mặc định: Cao, trung bình, thấp và không hạn chế - tương đương với
High, Medium, Low, No restrictions, hoặc có thể thiết lập một cách tùy ý
các hạn chế này. Chúng tôi không thể giới thiệu hết các hạn chế ở đây,
tuy nhiên sẽ cho các bạn có được ý tưởng rằng thứ này sẽ cho phép ẩn
được ổ đĩa, remove các đối tượng trong menu Start nhằm ngăn chặn bất cứ
thứ gì từ Autoplay đến máy in và vô hiệu hóa các công cụ hệ thống,…


Tab Feature Restrictions trong User
Settings (xem trong hình 10) cho chúng ta chọn từ 4 tùy chọn mặc định:
High, Medium, Low, No restrictions hoặc lập một cách tùy ý các hạn chế
tính năng. Chúng tôi không thể giới thiệu hết tất cả các hạn chế ở đây
mà chỉ có thể cho bạn biết được rằng nó cho phép hạn chế được Internet
Explorer và một số các thiết lập Microsoft Office.

Một trong những hạn chế Internet Explorer hữu dụng nhất đó là khả năng “Prevent Internet access (except Web sites below)” (khả năng ngăn chặn truy cập ngoại trừ một số website được cho bên dưới). Trong trường “Web Addresses Allowed”, bạn chỉ cần đánh vào đó bất kỳ website nào muốn để cho phép (không cần tiền tố giao thức [You must be registered and logged in to see this link.] hoặc [You must be registered and logged in to see this link.]) và dấu ngăn cách với nhau bằng dấu “;”.


Tab Block Programs trong User
Settings (xem hình 11) cho chúng ta một tùy chọn để khóa các bảng thực
thi nào đó. Danh sách các bảng thực thi nội bộ sẽ được tạo một cách tự
động bởi WSS, tuy nhiên bạn có thể bổ sung thêm file một cách thủ công.
Tính năng này làm việc giống như chính sách hạn chế phần mềm - Software
Restriction Policies (SRP) bằng cách sử dụng tổng hợp. Để có thêm thông
tin chi tiết về SRP, bạn có thể tham khảo thêm loạt bài mà chúng tôi đã
giới thiệu trên QuanTriMang.com: [You must be registered and logged in to see this link.].


Thủ tục này rất đơn giản – bạn chỉ cần chọn file chương trình để khóa và kích “Block”
(hoặc khóa tất cả các chương trình được tìm thấy bằng cách kích “Block
All”). Nếu một người dùng nào đó muốn mở các chương trình đã bị khóa thì
người này sẽ nhận được một thông báo lỗi giống như trong SRP.

Windows Disk Protection (WDP)


WDP
là một công nghệ tuyệt vời dùng để cất giấu các thay đổi được thực hiện
với các file trên partition hệ thống của Windows. Cache là một file vật
lý (C:\Cache.WDP) có giá trị mặc định lên đến 50% partition hệ
thống của bạn (có thể lên đến lớn nhất 40GB), tuy nhiên con số này có
thể được điều chỉnh tối thiểu xuống 2GB bằng cách kích vào “Change cache file size” trong cửa sổ “Protect the Hard Disk”.
Cache được xóa thường xuyên theo từng khoảng thời gian– theo chúng tôi
tốt nhất là với mỗi lần khởi động lại (trong suốt quá trình khởi động).
Việc điều chỉnh kích thước file cache có thể yêu cầu đến nhiều lần khởi
động lại.

WDP so với Windows System Restore (WSR) thì có nhiều
hiệu quả hơn, vì WSR chỉ kiểm tra các thay đổi đối với một tập lõi của
hệ thống và các file chương trình (như các file registry quan trọng).
Tuy nhiên trên nền tảng WSS, WDP đã được kích hoạt thì bạn hoàn toàn có
thể khôi phục điều kiện của profile cá nhân người dùng và dữ liệu (ví dụ
như Desktop, Favorites, History, Documents,…). Điều này được thực hiện
một cách tự động mà không cần bất cứ sự can thiệp của người dùng hoặc
quản trị viên nào!

Những điều quan trọng cần phải hiểu về điều
này chính là cách Schedule Software Updates làm việc khi WDP được kích
hoạt. Cơ bản thì đây là một thủ tục nâng cấp trong nutshell (bảng vắn
tắt):

1. 
   
   Kích hoạt người dùng đã đăng xuất khi đến thời gian nâng cấp được lịch trình từ trước.
   
2. 
   
   Máy tính được khởi động lại để những thay đổi về đĩa được xóa
   
3. 
   
   Các tài khoản người dùng chia sẻ được vô hiệu hóa để ngăn chặn những thay đổi về đĩa không được phép.
   
4. 
   
   WDP: “Retain all changes permanently” (duy trì vĩnh viễn các thay đổi) được kích hoạt một cách tự động để bảo đảm lưu các thay đổi.
   
5. 
   
   Các nâng cấp được download và cài đặt (các kịch bản thủ công được thực thi)
   
6. 
   
   Máy tính phải khởi động lại
   
7. 
   
   WDP được thiết lập trở về “Remove all changes at restart”.
   

Bằng một số kỹ năng lập kịch bản, bạn có thể bảo đảm
cho hệ thống của mình luôn ngăn nắp và sạch sẽ - tự động nâng cấp. Đây
chính là sự khác nhau giữa WDP và các giải pháp bảo vệ phần cứng khác.

Một số câu hỏi và trả lời

WSS có hỗ trợ WSUS không?

Câu
trả lời ở đây là có, WDP sẽ download và cài đặt các nâng cấp từ
Microsoft Update, Windows Update, hoặc Windows Server Update Services
(WSUS) – điều này tùy thuộc vào các thiết lập máy khách của bạn.

WSS có hỗ trợ thành viên miền không?

Câu trả lời là có, máy tính WSS có thể là thành viên của một miền Active Directory.

WSS có hỗ trợ sử dụng SYSPREP không?

Có, hãy nhớ vô hiệu hóa WDP và mở khóa những người dùng đã bị khóa trước.

WSS có hỗ trợ cho hệ điều hành Windows Vista không?

Tính đến thời điểm này thì Không, tuy nhiên một chương trình Beta (WSS version 2.5) hiện đang được cung cấp hoàn toàn [You must be registered and logged in to see this link.] từ Microsoft.

Nếu
tôi đã thiết lập các hạn chế về người dùng, khóa các chương trình,… và
muốn sử dụng các thiết lập chính xác như vậy trên một máy tính WSS thì
có thể thực hiện điều đó như thế nào – hay lại làm thủ công từ đầu?

Không,
hãy sử dụng tính năng Export trong cửa sổ chính của WSS, lưu file .SSU
(xem hình 12), copy file này vào máy tính khác và sử dụng tính năng
Import nó.


Tôi có thể quản lý WSS bằng cách sử dụng Group Policy trong miền Active Directory của tôi không?

Có, file ADM (SCTSettings.adm) là một phần của WSS toolkit, trong phần “

\Windows SteadyState\ADM”, bằng cách bổ sung thêm vào “Administrative Templates” trong GPO thì bạn gần như có được kiểm soát hoàn toàn về các thiết lập của WSS.

Kết luận

Windows
SteadyState quả thực là một công cụ tuyệt vời, cho phép bạn thực hiện
nhiều khả năng kiểm soát cũng như sự linh động. Nó thực sự rất thân
thiện với một giao diện quản lý đẹp mắt và hệ thống trợ giúp xuyên suốt.
Các quản trị viên của nhiều máy tính công cộng (giống như các quán
Internet, máy tính trong thư viện) cần xem xét đến công cụ này.

Tuy
vậy những người dùng ở nhà vẫn có thể lợi dụng được một số ưu điểm của
công cụ này để bảo đảm cho trẻ con có thể sử dụng máy tính an toàn hơn
mà không hỏng hóc bất cứ thứ gì.