�ݺ�ߣ

4/21/2010

QU N TR M NG

WINDOWS SERVER 2003

Bài 4
CHÍNH SÁCH H TH NG

Chính sách tài kho n ngư i dùng
Windows lên DC có 2 công c m i là
Domain Controller Sercurity Policy và
Domain Sercurity Policy
Domain Controller Sercurity Policy: Các tuỳ
ch nh trong này ch tác ng lên máy DC mà
thôi
Domain Sercurity Policy: Các tuỳ ch nh trong
này s tác ng lên toàn b user trên domain
Lưu ý: Sau khi tuỳ ch nh th c thi các thay ib n
ph i vào Start ch n Run nh p l nh gpupdate /force ho c
ti n hành logoff máy ho c Restart máy

1

4/21/2010

Chính sách tài kho n ngư i dùng
Account Policy ư c dùng ch nh các
thông s v tài kho n ngư i dùng
Công c c u hình: Start Programs
Administrative Tools Domain Security
Policy (domain) ho c Local Security Policy
(chưa nâng c p domain, l nh t t secpol.msc)

Chính sách tài kho n
ngư i dùng (t.t)
Chính sách m t kh u (Password Policies)
Password Policies nh m m b o an toàn cho
tài kho n c a ngư i dùng.
Password Policies cho phép qui nh dài,
ph c t p c a m t kh u

2

4/21/2010

Chính sách m t kh u (t.t)
Các chính sách m t kh u m c nh
Chính sách Mô t M c nh
S l n t m t kh u không ư c
Enforce Password History 24
trùng nhau
Quy nh s ngày nhi u nh t mà
Maximum Password Age 42
m t mã ngư i dùng có hi u l c
Quy s ngày t i thi u trư c khi
Minimum Password Age ngư i dùng có th thay i m t 1
mã.
Minimum Password Chi u dài ng n nh t c a m t mã 7
Length

Passwords Must Meet M t kh u ph i có ph c t p như: Cho phép
Complexity Requirements có ký t hoa, thư ng, có ký s .

Store Password Using M t mã ngư i dùng ư c lưu dư i Không cho
Reversible Encryption for d ng mã hóa phép
All Users in the Domain

Chính sách tài kho n ngư i dùng (t.t)
Chính sách khoá tài kho n (Account
Lockout Policy)
Account Lockout Policy quy nh cách th c
và th i i m khoá tài kho n.

3

4/21/2010

Chính sách khoá tài kho n (t.t)
Các chính sách khoá tài kho n m c nh
Chính sách Mô t Giá tr m c nh
Account Lockout Quy nh s l n c g ng 0 (tài kho n s không b khóa)
Threshold ăng nh p trư c khi tài
kho n b khóa

Account Lockout Quy nh th i gian khóa Là 0, nhưng n u Account
Duration tài kho n Lockout Threshold ư c thi t
l p thì giá tr này là 30 phút

Reset Account Quy nh th i gian m Là 0, nhưng n u Account
Lockout Counter l i s l n ăng nh p Lockout Threshold ư c thi t
After không thành công l p thì giá tr này là 30 phút

Chính sách c c b
Local Policies cho phép thi t l p các chính
sách giám sát các i tư ng trên m ng
Chính sách ki m toán (Audit Policies) giúp
giám sát và ghi nh n các s ki n di n ra trong
h th ng

4

4/21/2010

Chính sách ki m toán
Các l a ch n trong chính sách ki m toán
Chính sách Mô t
Audit Account Ki m toán nh ng s ki n khi tài kho n ăng nh p, h
Logon Events th ng s ghi nh n khi ngư i dùng logon, logoff ho c t o
m t k t n i m ng
Audit Account H th ng s ghi nh n khi tài kho n ngư i dùng ho c
Management nhóm có s thay i thông tin hay các thao tác qu n tr
liên quan n tài kho n ngư i dùng
Audit Directory Ghi nhân vi c truy c p các d ch v thư m c
Service Access
Audit Logon Events Ghi nhân các s ki n liên quan n quá trình logon như
thi hành m t logon script ho c truy c p n m t roaming
profile
Audit Object Access Ghi nh n vi c truy c p các t p tin, thư m c, và máy tin

Audit Policy Change Ghi nh n các thay i trong chính sách ki m toán

Chính sách ki m toán
Các l a ch n trong chính sách ki m toán (t.t)
Chính sách Mô t
Audit privilege use H th ng s ghi nh n l i khi b n b n thao tác qu n tr
trên các quy n h th ng như c p ho c xóa quy n c a
m t ai ó
Audit process Ki m toán này theo dõi ho t ng c a chương trình hay
tracking h i u hành
Audit system event H th ng s ghi nh n m i khi b n kh i ng l i máy
ho c t t máy

5

4/21/2010

Chính sách c c b
Quy n h th ng c a ngư i dùng (User
Rights Assignment)
Là quy n c p cho user th c thi m t s tác v
trên h th ng t c là m t s quy n mà user
ư c s d ng trên server.
Có 2 cách c p quy n h th ng cho ngư i
dùng là gia nh p tài kho n ngư i dùng vào
nhóm t o s n (built-in) ho c dùng công c
User Rights Assignment gán t ng quy n
r i r c cho ngư i dùng
thêm, b t quy n ch c n add hay remove

Chính sách c c b
Quy n h th ng c a ngư i dùng (User
Rights Assignment)

6

4/21/2010

Quy n h th ng
c a ngư i dùng
M t s quy n h th ng cho ngư i dùng và nhóm
Quy n Mô t
Access This Computer Cho phép ngư i dùng truy c p máy tính thông
from the Network qua m ng. M c nh m i ngư i u có quy n này.
Allow log on locally Cho phép ngư i dùng ăng nh p c c b vào
server
Bypass Traverse Checking Cho phép ngư i dùng duy t qua c u trúc thư m c
n u ngư i dùng không có quy n xem (list) n i
dung thư m c này.
Back Up Files and Cho phép ngư i dùng sao lưu d phòng (backup)
Directories các t p tin và thư m c b t ch p các t p tin và thư
m c này ngư i ó có quy n không.
Change the System Time Cho phép ngư i dùng thay i gi h th ng c a
máy tính.
Deny Access to This Cho phép b n khóa ngư i dùng ho c nhóm không
Computer from the ư c truy c p n các máy tính trên m ng.
Network

Quy n h th ng
c a ngư i dùng
M t s quy n h th ng cho ngư i dùng và nhóm (t.t)
Quy n Mô t
Deny Logon Locally Cho phép b n ngăn c n nh ng ngư i dùng và
nhóm truy c p n máy tính c c b .
Load and unload device Cho phép ngư i dùng cài t ho c g b driver
drivers c a thi t b
Log On Locally Cho phép ngư i dùng logon t i máy tính Server.
Restore Files and Cho phép ngư i dùng ph c h i t p tin và thư
Directories m c, b t ch p ngư i dùng này có quy n trên file
và thư m c này hay không.
Shut Down the System Cho phép ngư i dùng shut down c c b máy
Windows 2003.
Take Ownership of Files or Cho ngư i dùng tư c quy n s h u c a m t i
Other Objects tư ng h th ng.

7

4/21/2010

Chính sách c c b
Các l a ch n b o m t (Security Options)
Cho phép qu n tr khai báo thêm thông s nh m tăng
tính b o m t cho h th ng

Các l a ch n b o m t
Các l a ch n b o m t thông d ng
Tên l a ch n Mô t
Shutdown: allow system to be shut Cho phép ngư i dùng shutdown h
down without having to log on th ng mà không c n logon.
Audit : audit the access of global Giám sát vi c truy c p các i tư ng
system objects h th ng toàn c c.
Network security: force logoff when T ng log off kh i h th ng khi
logon hours expires. ngư i dùng h t th i gian s d ng
ho c tài kho n h t h n.
Interactive logon: do not require Không yêu c u n ba phím
CTRL+ALT+DEL CTRL+ALT+DEL khi logon.
Interactive logon: do not display last Không hi n th tên ngư i dùng ã
user name logon trên h p tho i Logon.
Account: rename administrator Cho phép i tên tài kho n
account Administrator thành tên m i
Account: rename guest account Cho phép i tên tài kho n Guest
thành tên m i

8

4/21/2010

IP Security (IPSec)
IP Security là giao th c h tr các k t n i
an toàn d a trên IP.
IPSec là ho t ng t ng th 3 (Network)
s d ng IPSec b n t o ra các quy t c
(rule), m t quy t c IPSec là s k t h p
gi a b l c (IPSec) và các quy tác ng
(action)

IP Security (IPSec)
Các tác ng b o m t
Block transmissons: ch c năng ngăn ch n
nh ng gói d li u ư c truy n
Encrypt transmissions: Ch c năng mã hóa
nh ng gói tin truy n i
Sign transmissions: Ch c năng ký tên vào gói
d li u truy n nh m tránh gi m u
Permit transmissions: Ch c năng là cho phép
d li u truy n qua, dùng t o ra các quy t t
h n ch m t s i u và không h n ch m t s
i u khác

9

4/21/2010

IP Security (IPSec)
Các b l c (Filter) IPSec
Filter dùng th ng kê các i u ki n quy
t c ho t ng.
Gi i h n t m tác d ng c a các tác ng lên
m t ph m vi máy tính nào ó.
B l c IPSec d a trên các y u t :
• a ch IP, subnet ho c tên DNS c a máy ngu n.
• a ch IP, subnet ho c tên DNS c a máy ích.
• Theo s hi u c ng (port) và ki n c ng (TCP, UDP,
ICMP…)

IP Security (IPSec)
Tri n khai IPSec trên Windows Server 2003

10

4/21/2010

Tri n khai IPSec trên Windows
Server 2003
Các chính sách IPSec t o s n
Client (Respond Only): chính sách quy nh
máy tính b n không ch ng dùng IPSec tr
khi nh p yêu c u dùng IPSec t máy i tác.
Server (Request Security): quy nh máy
server c a b n ch ng kh i t o IPSec m i
khi thi t l p k t nói t i máy khác
Secure Server (Require Security): quy nh
không cho phép b t kỳ cu c trao i d li u
nào v i Server hi n t i không dùng IPSec
VD: t o chính sách IPSec m b o k t n i mã
hóa

11

�ݺ�ߣ

Bai 04 chinh sach he thong

Recommended

More Related Content

Similar to Bai 04 chinh sach he thong (20)

More from Van Pham (20)

Recently uploaded (18)

Bai 04 chinh sach he thong