Giáo trình Quản trị Môi trường Mạng (P2): Quản trị Tài nguyên Chia sẻ

Tài nguyên chia sẻ là bất kỳ tài sản nào trên mạng, như thư mục, tệp tin, hoặc máy in chia sẻ, mà người dùng được phép truy xuất từ xa. Mục đích chính của việc chia sẻ là tạo điều kiện cho sự cộng tác và trao đổi thông tin hiệu quả trong một tổ chức. Tuy nhiên, việc chia sẻ rộng rãi cũng tiềm ẩn nhiều rủi ro. Do đó, phân quyền ra đời như một cơ chế kiểm soát truy cập tài nguyên. Phân quyền xác định rõ ràng quyền hạn của mỗi người dùng hoặc nhóm người dùng đối với một tài nguyên cụ thể. Ví dụ, một số người dùng chỉ có quyền đọc (Read), trong khi người khác có quyền thay đổi (Change) hoặc toàn quyền (Full Control). Việc thiết lập này giúp bảo vệ dữ liệu khỏi những thay đổi không mong muốn, xóa nhầm, hoặc truy cập trái phép, đóng vai trò sống còn trong việc duy trì an ninh và ổn định cho toàn bộ hạ tầng cấu hình mạng LAN.

Trong môi trường Windows, có hai lớp phân quyền chính cần phân biệt rõ ràng: Share Permissions và NTFS Permissions. Share Permissions chỉ có hiệu lực khi người dùng truy cập vào một thư mục chia sẻ thông qua mạng. Nó hoạt động như một lớp cổng kiểm soát ở cấp độ chia sẻ, với các quyền cơ bản như Read, Change, và Full Control. Ngược lại, NTFS Permissions áp dụng cho cả truy cập qua mạng và truy cập cục bộ (ngồi trực tiếp tại máy chủ). Nó cung cấp một hệ thống phân quyền chi tiết hơn nhiều, được quản lý thông qua Access Control List (ACL), cho phép thiết lập các quyền như ghi, xóa, thực thi, thay đổi thuộc tính... Khi một người dùng truy cập tài nguyên qua mạng, hệ thống sẽ áp dụng quyền hạn chế nhất giữa hai cơ chế này. Ví dụ, nếu một người dùng có quyền Full Control ở Share Permissions nhưng chỉ có quyền Read ở NTFS Permissions, họ sẽ chỉ có thể đọc tệp tin. Hiểu rõ sự kết hợp này là chìa khóa để phân quyền user một cách chính xác.

Cấu hình sai nhóm người dùng (user group) là một trong những lỗ hổng bảo mật phổ biến nhất. Việc thêm nhầm một người dùng vào nhóm có đặc quyền cao, hoặc sử dụng các nhóm mặc định như 'Users' hay 'Everyone' một cách không cẩn trọng, có thể dẫn đến hậu quả nghiêm trọng. Ví dụ, việc cấp quyền ghi dữ liệu nhạy cảm cho nhóm 'Domain Users' đồng nghĩa với việc mọi tài khoản trong miền đều có thể sửa đổi hoặc xóa các tệp tin đó. Một quản trị hệ thống cần tuân thủ nguyên tắc Đặc quyền Tối thiểu (Principle of Least Privilege), tức là chỉ cấp cho người dùng những quyền hạn thực sự cần thiết để thực hiện công việc của họ. Việc tạo ra các nhóm chuyên biệt (ví dụ: 'KeToan_Read', 'NhanSu_Write') và quản lý thành viên một cách chặt chẽ là biện pháp tối quan trọng để giảm thiểu rủi ro và đảm bảo bảo mật mạng nội bộ.

Quyền kế thừa (Inheritance) là một tính năng hữu ích nhưng cũng đầy rủi ro. Theo mặc định, các tệp tin và thư mục con sẽ kế thừa quyền từ thư mục cha chứa chúng. Điều này giúp đơn giản hóa việc quản lý, nhưng nếu không được kiểm soát, nó có thể lan truyền các quyền không phù hợp xuống sâu trong cây thư mục. Một quản trị viên có thể cần phải vô hiệu hóa tính năng kế thừa trên một thư mục con nhạy cảm và định nghĩa lại một Access Control List (ACL) hoàn toàn mới cho nó. Một khái niệm liên quan khác là quyền sở hữu (Ownership). Người sở hữu một tệp tin hoặc thư mục có toàn quyền thay đổi các NTFS Permissions của nó, bất kể các quyền hiện có. Trong một số trường hợp, một người dùng có thể chiếm quyền sở hữu (Take Ownership) một đối tượng và tự cấp cho mình quyền truy cập. Việc giám sát và kiểm soát ai là người sở hữu các tài nguyên quan trọng là một phần không thể thiếu của việc quản lý truy cập.

Có hai cách chính để tạo một thư mục chia sẻ. Cách phổ biến nhất là sử dụng giao diện đồ họa của Windows Explorer. Người quản trị chỉ cần nhấp chuột phải vào thư mục, chọn 'Properties', sau đó vào tab 'Sharing' và chọn 'Advanced Sharing'. Tại đây, có thể đặt tên chia sẻ, giới hạn số lượng người dùng kết nối đồng thời và thiết lập Share Permissions. Một phương pháp khác, mạnh mẽ và linh hoạt hơn cho việc tự động hóa, là sử dụng lệnh net share trong Command Prompt hoặc PowerShell. Ví dụ, lệnh net share Data=\"D:\DuLieu\" /remark:"Du lieu chung" /users:20 sẽ chia sẻ thư mục D:\DuLieu với tên là 'Data', kèm mô tả và giới hạn 20 người dùng. Lệnh này cũng cho phép xóa chia sẻ một cách nhanh chóng với tham số /delete. Việc tạo các thư mục chia sẻ ẩn bằng cách thêm ký tự $ vào cuối tên chia sẻ (ví dụ: 'Admin$') cũng là một kỹ thuật hữu ích để che giấu các tài nguyên quản trị khỏi việc duyệt mạng thông thường.

Sau khi thư mục đã được chia sẻ, việc thiết lập NTFS Permissions là bước quyết định mức độ bảo mật. Thao tác này được thực hiện trong tab 'Security' của hộp thoại 'Properties'. Tại đây, quản trị viên có thể thêm hoặc xóa người dùng và các nhóm người dùng khỏi Access Control List (ACL). Đối với mỗi mục trong ACL (được gọi là Access Control Entry - ACE), một loạt các quyền chi tiết có thể được cấp (Allow) hoặc từ chối (Deny). Các quyền này bao gồm 'Full Control', 'Modify', 'Read & Execute', 'List Folder Contents', 'Read', và 'Write'. Một nguyên tắc quan trọng cần nhớ là quyền 'Deny' luôn được ưu tiên hơn quyền 'Allow'. Nếu một người dùng thuộc hai nhóm, một nhóm được 'Allow' và một nhóm bị 'Deny' quyền ghi, thì kết quả cuối cùng là người dùng đó sẽ không thể ghi dữ liệu. Do đó, việc sử dụng 'Deny' cần được cân nhắc cẩn thận và chỉ áp dụng trong các trường hợp đặc biệt.

Một trong những công cụ mạnh mẽ nhất trong Active Directory là Chính sách Nhóm (Group Policy). Group Policy cho phép quản trị viên định nghĩa và áp dụng các thiết lập cấu hình cho người dùng và máy tính một cách tự động. Thay vì phải cấu hình quyền trên từng thư mục, quản trị viên có thể sử dụng Group Policy để thiết lập các chính sách bảo mật cho hệ thống tệp tin (File System Security). Các chính sách này có thể được áp dụng cho các Organizational Unit (OU), và mọi đối tượng trong OU đó sẽ tự động tuân theo. Ví dụ, có thể tạo một GPO để đảm bảo rằng chỉ có nhóm người dùng 'Kế toán' mới có quyền truy cập vào thư mục chứa dữ liệu tài chính, dù thư mục đó nằm ở đâu. Group Policy cũng được sử dụng để tự động thực hiện network drive mapping, đảm bảo người dùng luôn có sẵn các ổ đĩa mạng cần thiết ngay khi đăng nhập.

Hệ thống Tệp Phân tán (DFS) giải quyết bài toán về sự phân mảnh tài nguyên. DFS Namespace cho phép tạo một cấu trúc thư mục ảo, ánh xạ đến các thư mục chia sẻ thực tế nằm trên nhiều file server khác nhau. Đối với người dùng cuối, toàn bộ dữ liệu dường như được tập trung tại một nơi duy nhất, giúp họ dễ dàng tìm kiếm và truy cập. DFS có hai loại: Stand-alone và Domain-based. Domain-based DFS được tích hợp với Active Directory, mang lại khả năng chịu lỗi (fault tolerance) cao hơn. Nếu một file server gặp sự cố, DFS có thể tự động chuyển hướng người dùng đến một bản sao của dữ liệu trên một máy chủ khác (nếu được cấu hình DFS Replication). Điều này không chỉ cải thiện tính sẵn sàng của dữ liệu mà còn giúp quản trị hệ thống dễ dàng di chuyển dữ liệu giữa các máy chủ mà không làm gián đoạn công việc của người dùng.

Ánh xạ ổ đĩa mạng là một kỹ thuật giúp đơn giản hóa việc truy cập các thư mục chia sẻ cho người dùng cuối. Thay vì phải nhớ và gõ các đường dẫn UNC phức tạp (ví dụ \\Server01\PhongKinhDoanh), người dùng sẽ thấy một ký tự ổ đĩa quen thuộc (ví dụ O:) trong 'My Computer'. Việc ánh xạ này có thể được thực hiện thủ công bởi người dùng, nhưng phương pháp hiệu quả và được khuyến nghị trong môi trường doanh nghiệp là sử dụng Chính sách Nhóm (Group Policy). Thông qua Group Policy Preferences, quản trị viên có thể tạo các chính sách để tự động ánh xạ, đổi tên, hoặc xóa các ổ đĩa mạng dựa trên tư cách thành viên nhóm của người dùng. Ví dụ, tất cả thành viên của nhóm người dùng 'Marketing' sẽ tự động có ổ đĩa M: trỏ đến thư mục chia sẻ của phòng Marketing khi họ đăng nhập. Điều này đảm bảo tính nhất quán và giảm thiểu các yêu cầu hỗ trợ từ người dùng.

Công cụ Event Viewer là một kho lưu trữ nhật ký vô giá cho việc giám sát an ninh. Để tận dụng nó, trước tiên quản trị viên phải kích hoạt chính sách kiểm toán (Audit Policy) thông qua Group Policy. Cụ thể là chính sách 'Audit object access'. Sau khi được kích hoạt, hệ thống sẽ ghi lại các sự kiện vào Security Log trong Event Viewer mỗi khi có người dùng truy cập vào một tệp tin hoặc thư mục đã được cấu hình kiểm toán. Mỗi sự kiện sẽ ghi lại thông tin chi tiết như: tài khoản người dùng thực hiện truy cập, thời gian, loại hành động (đọc, ghi, xóa), và kết quả (thành công hay thất bại). Bằng cách lọc và phân tích các nhật ký này, quản trị viên có thể phát hiện các nỗ lực truy cập trái phép vào dữ liệu nhạy cảm hoặc theo dõi dấu vết của một sự cố rò rỉ dữ liệu, góp phần củng cố hệ thống bảo mật mạng nội bộ.