Hạn chế các website trong Internet Explorer bằng Group Policy

Quản trị mạngTrong bài này chúng tôi sẽ giới thiệu cho các bạn về cách sử dụng Group Policy nhằm hạn chế việc truy cập vào một số website và cách hạn chế một số người dùng truy cập các website đó.
Giới thiệu
Chắc chắn sẽ có nhiều website mà bạn không muốn cho phép các nhân viên của mình ghé thăm. Vậy bạn có biết cách cấu hình Internet Explorer để hạn chế sự truy cập đến các website này không? Liệu bạn có biết sử dụng Group Policy để hạn chế các website này? Quả thực có nhiều website cần được hạn chế đối với một số nhân viên nào đó còn một số khác lại cần có quyền truy cập vào các website này. Vậy cách làm như thế nào để bạn có được điều đó. Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách sử dụng Group Policy để hạn chế các website, sau đó chúng tôi sẽ giới thiệu cách hạn chế một số người dùng nhất định vào website đó.
Hạn chế site trong Internet Explorer
Internet Explorer cung cấp một tính năng bảo mật cho phép bạn khóa các website nào đó. Thiết lập này được thiết kế để bảo vệ sự truy cập trực tiếp vào các website đó, cũng như điều tra gián tiếp đến các site cụ thể. Thiết lập này được phát hiển và hiện diện trong nhiều phiên bản của Internet Explorer, bạn có thể tìm thấy chúng trong tab Content của hộp thoại Options trong Internet Explorer.
Có thể nhiều người trong số bạn muốn sử dụng tab Security và Restricted Sites, tuy nhiên các tab này không giúp bạn hạn chế site mà nó chỉ hạn chế những gì có thể xem trên site.
Tất cả các phiên bản gần đây nhất của Internet Explorer (5, 6, 7, và 8) đều hỗ trợ cho việc thiết lập danh sách các website không được phép. Để truy cập và cấu hình danh sách các site bị hạn chế cho các phiên bản này, bạn cần truy cập vào Internet Options. Phụ thuộc vào phiên bản đang sử dụng mà bạn có thể phải tìm nó trong các vị trí khác nhau. Với phiên bản 7, bạn có thể sử dụng danh sách xổ xuống Tools trong phần bên phải của thanh công cụ, sau đó chọn tùy chọn Internet Options. Bạn sẽ thấy hộp thoại Internet Options xuất hiện giống như thể hiện trong hình 1 bên dưới.

Hình 1: Internet Options cho Internet Explorer phiên bản 7
Để hạn chế các site thông qua Internet Explorer, kích tab Content và trên hộp thoại Internet Options, kích biểu tượng Restricted Sites, như thể hiện trong hình 2 bên dưới.

Hình 2: Tab Content bên trong hộp thoại Internet Options
Để cấu hình các site mà bạn muốn hạn chế cho máy tính, kích vào tab Approved Sites, xem thể hiện như hình 3 bên dưới.

Hình 3: Tab Approved Sites cho các thiết lập Content Advisor cho Internet Explorer
Để add thêm một site, đánh nó vào hộp “Allow this website:”, sau đó kích nút Never. Khi bạn đã cấu hình tất cả các site muốn hạn chế, hãy kích nút Apply.
Tiếp đến, bạn sẽ muốn kiểm soát tất cả các website không có bất cứ hành động đánh giá nội dung nào. Đây chính là vấn đề then chốt, như thể nếu bạn không cho phép tùy chọn này thì một số site sẽ không hiện hữu đối với người dùng. Để cấu hình thiết lập này, bạn cần kích tab General bên trong hộp thoại Content Advisor. Tab này sẽ nằm bên cạnh tab Approved Sites mà bạn vừa cấu hình. Tab General được thể hiện cụ thể trong hình 4.

Hình 4: Tab General để cấu hình đánh giá Content cho Internet Explorer
Trong tab này, bạn cần bảo đảm rằng hộp kiểm đầu tiên phải được cấu hình, đây là hộp kiểm “Users can see websites that have no rating” (Người dùng có thể thấy các website không có hành động đánh giá nội dung). Đối với hộp kiểm thứ hai, bạn có thể quyết định xem mình có muốn cung cấp mật khẩu để một số người dùng hoặc các nhân viên CNTT có thể truy cập các site bị khóa bằng mật khẩu.
Khi bạn đã khóa một website nào đó, hệ thống sẽ hiển thị cho bạn một hộp thoại, hộp thoại này chỉ thị rằng site đã bị khóa, chẳng hạn như hộp thoại thể hiện trong hình 5.

Hình 5: Khi một site bị khóa, hệ thống sẽ hiển thị một hộp thoại chỉ thị rằng site bị khóa
Khóa website bằng Group Policy
Khi muốn phân phối danh sách các site bị khóa đến tất cả các nhân viên của mình, bạn có thể thực hiện theo biện pháp thủ công hoặc sử dụng Group Policy. Nếu sử dụng Group Policy, bạn có thể cấu hình danh sách các site bị khóa này, sau đó cho phép Group Policy triển khai thiết lập này đến các máy tính một cách tự động.
Để sử dụng Group Policy nhằm phân phối danh sách được khóa, bạn cần phải tạo và cấu hình một GPO cho miền của mình. Vì GPO này sẽ ảnh hưởng đến mọi người dùng, nên bạn có thể liên kết GPO với nút miền. Hãy sử dụng GPMC để thực hiện điều này.
Khi đã tạo và đã liên kết một GPO, bạn cần chỉnh sửa GPO. Khi GPO nằm trong bộ soạn thảo, bạn hãy mở nút User Configuration và tìm đến phần Policies|Windows Settings|Internet Explorer Maintenance|Security|Security Zones and Content Ratings. Sau đó, hãy kích đúp vào chính sách Security Zones and Content Ratings để mở hộp thoại như thể hiện trong hình 6.

Hình 6: Hộp thoại Security Zones và Content Ratings Dialog từ một GPO
Đây là các phần đòi hỏi sự khéo léo! Máy tính mà bạn đang soạn thảo GPO phải sử dụng phiên bản Internet Explorer giống với máy tính mục tiêu. Lý do là Internet Explorer sẽ tích trữ các thông tin đánh giá nội dung trong các file khác nhau tùy theo phiên bản. Thêm vào đó, bạn cũng phải cấu hình các thiết lập Internet Explorer cho việc đánh giá nội dung tên máy tính, nơi đang chỉnh sửa GPO vì sẽ import các thiết lập từ máy tính nội bộ vào GPO.
Lưu ý: Không bao giờ chỉnh sửa các thiết lập bảo trì của Internet Explorer trên GPO (đang chạy phiên bản Internet Explorer) khác với những gì đã được thiết lập ban đầu cho GPO. Điều này có thể gây ra các vấn đề bên trong GPO và máy tính mục tiêu nhận thiết lập.
Để cấu hình các thiết lập cho việc đánh giá nội dung, bạn hãy chọn nút radio bên dưới phần đánh giá nội dung có tên “Import the current Content Ratings settings”. Gợi ý của chúng tôi là bạn nên chọn nút Modify Settings để bảo đảm rằng mình có các thiết lập đúng. Chỉ cần thực hiện theo các bước tương tự như những gì đã thực hiện ở trên khi cấu hình các thiết lập.
Khi đã hoàn tất bước import và cấu hình các thiết lập, bạn chỉ cần kích OK và cho phép Group Policy thực hiện phần còn lại. Nếu muốn áp dụng nhanh các thiết lập này, bạn có thể chạy nâng cấp trên máy tính mục tiêu để các thiết lập này được áp dụng ngay lập tức.
Khóa website đối với một số người dùng
Để khóa các website đối với một số người dùng nào đó, không phải tất cả, bạn cần thực hiện theo các bước tương tự như trong phần cuối, tuy nhiên thay vì liên kết GPO với miền, bạn phải liên kết nó đến organizational unit (OU), nơi tất cả người dùng sẽ nhận thiết lập. Điều này sẽ bảo đảm rằng các thiết lập trong GPO liên kết với OU chỉ ảnh hưởng người dùng trong OU đó, không ảnh hưởng đến bất cứ vấn đề gì trong Active Directory.
Kết luận
Như những gì bạn có thể thấy, việc khóa các website hoàn toàn không khó khăn chút nào trong Internet Explorer. Bạn có thể sử dụng ba phương pháp khác nhau để có thể triển khai các thiết lập của mình. Có thể cấu hình Internet Explorer trên mọi máy tính mà bạn muốn khóa site. Vấn đề nghe có vẻ khá cồng kềnh và tốn nhiều thời gian, tuy nhiên lại rất hiệu quả. Bạn có thể cấu hình tất cả các máy tính hoàn toàn giống nhau bằng cách sử dụng Group Policy bên trong Active Directory và liên kết GPO đến miền. Và cuối cùng, nếu muốn cấu hình chỉ một số người dùng nào đó, bạn có thể liên kết GPO đến một OU có chứa tất cả những người dùng này, biện pháp này sẽ thu hẹp phạm vi người dùng có ảnh hưởng.
Văn Linh (Theo Windowsecurity)