1.Mục đích bài viết.
Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn cách triển khai 1 certificate hàng loạt xuống máy tính của người dùng thông qua GPO trong môi trường Domain Controller.
2.Sơ đồ mạng.
Chi tiết sơ đồ mạng:
- Kết nối internet được thiết lập tại Port 2 của thiết bị Sophos Firewall 1 với IP tĩnh 10.150.30.100.
- Mạng Lan được cấu hình tại Port 1 với IP 10.145.41.11/24 và đã cấu hình DHCP.
- Máy chủ PDC với tên domain là Learningit.xyz có IP 10.145.41.11/24 dùng để xác thực người dùng trong môi trường domain.
- Một máy PC1 chạy Windows 10 có IP 10.145.41.101/24 và đã được john domain Learningit.xyz.
3.Tình huống cấu hình
Trong mô hình trên thegioifirewall đã bật tính năng SSL/Inspection trên tường lửa Sophos Firewall 1 để giải mã các traffic HTTPS nhằm tăng cường bảo mật cho hệ thống.
Tuy nhiên để chạy được tính năng này cần phải triển khai 1 Sophos certificate xuống máy tính của người dùng.
Thegioifirewall sẽ hướng dẫn các bạn cách triển khai Sophos Certificate này xuống máy PC1 thông bằng GPO trên máy chủ PDC.
Việc này sẽ giúp chúng ta tiết kiệm được rất nhiều thời gian thay vì triển khai thủ công từng máy.
4.Các bước cấu hình.
- Tạo Group Policy Objects.
- Thực hiện cập nhật policy và kiểm tra kết quả.
5.Hướng dẫn cấu hình.
5.1.Tạo Group Policy Objects.
Trước khi tạo policy chúng ta cần lưu ý rằng policy này chỉ áp dụng dành cho thiết bị không phải user nên chúng ta cần chuyển thiết bị của máy PC1 sang OU IT mà chúng ta áp dụng policy.
Để chuyển thiết bị các bạn mở Server Manager > chọn Tools > Active Directory Users and Computers, bảng Active Directory Users and Computers hiện lên.
Chú ý vào phần OU Computer, đây là nơi chứa các thiết bị đã được john domain.
Để chuyển thiết bị này sang OU mong muốn bạn chỉ cần kéo thả chúng vào OU mà bạn chuyển, ở bài viết này mình sẽ chuyển nó sang OU IT.
Để tạo gourp policy chúng ta cần truy cập vào Group Policy Management. Để truy cập chúng gõ Administrative ở ô tìm kiếm trên windows > chọn Windows Administrative Tool > chọn Group Policy Management.
Tiếp theo vào Group Policy Management > Forest : learningit.xyz > Domains > learningit.xyz.
Ở đây chúng ta sẽ tạo policy cho OU IT để tạo click chuột phải vào OU IT và chọn Create a GPO in this domain, and Link it here…
Đặt tên cho policy là Deploy Sophos Certificate và click OK.
Sau khi policy Deploy Sophos Certificate được tạo, click chuột phải vào nó và chọn Edit.
Đi đến Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Trust Root Certification Authorities.
Tại đây nhấn chuột phải vào ô trống bên phải và nhấn Import.
Nhấn Next > tại File name nhấn Browse và chọn nơi bạn đã lưu Sophos Certificate.
Tiếp tục nhấn Next 2 lần và nhấn Finish để hoàn thành.
Như vậy là chúng ta đã tạo thành công GPO để triển khai Sophos Certificate.
5.2.Thực hiện cập nhật policy và kiểm tra kết quả.
Sau khi tạo GPO trên máy chủ, tại máy trạm chúng ta cần thực hiện update policy vừa tạo.
Để update chúng ta bật Command Prompt và gõ lệnh gpupdate /force.
Sau đó chúng ta sẽ thấy được là Sophos Certificate đã được triển khai xuống máy người dùng.
