1. 4/21/2010
QU N TR M NG
WINDOWS SERVER 2003
Bài 4
CHÍNH SÁCH H TH NG
Chính sách tài kho n ngư i dùng
Windows lên DC có 2 công c m i là
Domain Controller Sercurity Policy và
Domain Sercurity Policy
Domain Controller Sercurity Policy: Các tuỳ
ch nh trong này ch tác ng lên máy DC mà
thôi
Domain Sercurity Policy: Các tuỳ ch nh trong
này s tác ng lên toàn b user trên domain
Lưu ý: Sau khi tuỳ ch nh th c thi các thay ib n
ph i vào Start ch n Run nh p l nh gpupdate /force ho c
ti n hành logoff máy ho c Restart máy
1

2. 4/21/2010
Chính sách tài kho n ngư i dùng
Account Policy ư c dùng ch nh các
thông s v tài kho n ngư i dùng
Công c c u hình: Start Programs
Administrative Tools Domain Security
Policy (domain) ho c Local Security Policy
(chưa nâng c p domain, l nh t t secpol.msc)
Chính sách tài kho n
ngư i dùng (t.t)
Chính sách m t kh u (Password Policies)
Password Policies nh m m b o an toàn cho
tài kho n c a ngư i dùng.
Password Policies cho phép qui nh dài,
ph c t p c a m t kh u
2

3. 4/21/2010
Chính sách m t kh u (t.t)
Các chính sách m t kh u m c nh
Chính sách Mô t M c nh
S l n t m t kh u không ư c
Enforce Password History 24
trùng nhau
Quy nh s ngày nhi u nh t mà
Maximum Password Age 42
m t mã ngư i dùng có hi u l c
Quy s ngày t i thi u trư c khi
Minimum Password Age ngư i dùng có th thay i m t 1
mã.
Minimum Password Chi u dài ng n nh t c a m t mã 7
Length
Passwords Must Meet M t kh u ph i có ph c t p như: Cho phép
Complexity Requirements có ký t hoa, thư ng, có ký s .
Store Password Using M t mã ngư i dùng ư c lưu dư i Không cho
Reversible Encryption for d ng mã hóa phép
All Users in the Domain
Chính sách tài kho n ngư i dùng (t.t)
Chính sách khoá tài kho n (Account
Lockout Policy)
Account Lockout Policy quy nh cách th c
và th i i m khoá tài kho n.
3

4. 4/21/2010
Chính sách khoá tài kho n (t.t)
Các chính sách khoá tài kho n m c nh
Chính sách Mô t Giá tr m c nh
Account Lockout Quy nh s l n c g ng 0 (tài kho n s không b khóa)
Threshold ăng nh p trư c khi tài
kho n b khóa
Account Lockout Quy nh th i gian khóa Là 0, nhưng n u Account
Duration tài kho n Lockout Threshold ư c thi t
l p thì giá tr này là 30 phút
Reset Account Quy nh th i gian m Là 0, nhưng n u Account
Lockout Counter l i s l n ăng nh p Lockout Threshold ư c thi t
After không thành công l p thì giá tr này là 30 phút
Chính sách c c b
Local Policies cho phép thi t l p các chính
sách giám sát các i tư ng trên m ng
Chính sách ki m toán (Audit Policies) giúp
giám sát và ghi nh n các s ki n di n ra trong
h th ng
4

5. 4/21/2010
Chính sách ki m toán
Các l a ch n trong chính sách ki m toán
Chính sách Mô t
Audit Account Ki m toán nh ng s ki n khi tài kho n ăng nh p, h
Logon Events th ng s ghi nh n khi ngư i dùng logon, logoff ho c t o
m t k t n i m ng
Audit Account H th ng s ghi nh n khi tài kho n ngư i dùng ho c
Management nhóm có s thay i thông tin hay các thao tác qu n tr
liên quan n tài kho n ngư i dùng
Audit Directory Ghi nhân vi c truy c p các d ch v thư m c
Service Access
Audit Logon Events Ghi nhân các s ki n liên quan n quá trình logon như
thi hành m t logon script ho c truy c p n m t roaming
profile
Audit Object Access Ghi nh n vi c truy c p các t p tin, thư m c, và máy tin
Audit Policy Change Ghi nh n các thay i trong chính sách ki m toán
Chính sách ki m toán
Các l a ch n trong chính sách ki m toán (t.t)
Chính sách Mô t
Audit privilege use H th ng s ghi nh n l i khi b n b n thao tác qu n tr
trên các quy n h th ng như c p ho c xóa quy n c a
m t ai ó
Audit process Ki m toán này theo dõi ho t ng c a chương trình hay
tracking h i u hành
Audit system event H th ng s ghi nh n m i khi b n kh i ng l i máy
ho c t t máy
5

6. 4/21/2010
Chính sách c c b
Quy n h th ng c a ngư i dùng (User
Rights Assignment)
Là quy n c p cho user th c thi m t s tác v
trên h th ng t c là m t s quy n mà user
ư c s d ng trên server.
Có 2 cách c p quy n h th ng cho ngư i
dùng là gia nh p tài kho n ngư i dùng vào
nhóm t o s n (built-in) ho c dùng công c
User Rights Assignment gán t ng quy n
r i r c cho ngư i dùng
thêm, b t quy n ch c n add hay remove
Chính sách c c b
Quy n h th ng c a ngư i dùng (User
Rights Assignment)
6

7. 4/21/2010
Quy n h th ng
c a ngư i dùng
M t s quy n h th ng cho ngư i dùng và nhóm
Quy n Mô t
Access This Computer Cho phép ngư i dùng truy c p máy tính thông
from the Network qua m ng. M c nh m i ngư i u có quy n này.
Allow log on locally Cho phép ngư i dùng ăng nh p c c b vào
server
Bypass Traverse Checking Cho phép ngư i dùng duy t qua c u trúc thư m c
n u ngư i dùng không có quy n xem (list) n i
dung thư m c này.
Back Up Files and Cho phép ngư i dùng sao lưu d phòng (backup)
Directories các t p tin và thư m c b t ch p các t p tin và thư
m c này ngư i ó có quy n không.
Change the System Time Cho phép ngư i dùng thay i gi h th ng c a
máy tính.
Deny Access to This Cho phép b n khóa ngư i dùng ho c nhóm không
Computer from the ư c truy c p n các máy tính trên m ng.
Network
Quy n h th ng
c a ngư i dùng
M t s quy n h th ng cho ngư i dùng và nhóm (t.t)
Quy n Mô t
Deny Logon Locally Cho phép b n ngăn c n nh ng ngư i dùng và
nhóm truy c p n máy tính c c b .
Load and unload device Cho phép ngư i dùng cài t ho c g b driver
drivers c a thi t b
Log On Locally Cho phép ngư i dùng logon t i máy tính Server.
Restore Files and Cho phép ngư i dùng ph c h i t p tin và thư
Directories m c, b t ch p ngư i dùng này có quy n trên file
và thư m c này hay không.
Shut Down the System Cho phép ngư i dùng shut down c c b máy
Windows 2003.
Take Ownership of Files or Cho ngư i dùng tư c quy n s h u c a m t i
Other Objects tư ng h th ng.
7

8. 4/21/2010
Chính sách c c b
Các l a ch n b o m t (Security Options)
Cho phép qu n tr khai báo thêm thông s nh m tăng
tính b o m t cho h th ng
Các l a ch n b o m t
Các l a ch n b o m t thông d ng
Tên l a ch n Mô t
Shutdown: allow system to be shut Cho phép ngư i dùng shutdown h
down without having to log on th ng mà không c n logon.
Audit : audit the access of global Giám sát vi c truy c p các i tư ng
system objects h th ng toàn c c.
Network security: force logoff when T ng log off kh i h th ng khi
logon hours expires. ngư i dùng h t th i gian s d ng
ho c tài kho n h t h n.
Interactive logon: do not require Không yêu c u n ba phím
CTRL+ALT+DEL CTRL+ALT+DEL khi logon.
Interactive logon: do not display last Không hi n th tên ngư i dùng ã
user name logon trên h p tho i Logon.
Account: rename administrator Cho phép i tên tài kho n
account Administrator thành tên m i
Account: rename guest account Cho phép i tên tài kho n Guest
thành tên m i
8

9. 4/21/2010
IP Security (IPSec)
IP Security là giao th c h tr các k t n i
an toàn d a trên IP.
IPSec là ho t ng t ng th 3 (Network)
s d ng IPSec b n t o ra các quy t c
(rule), m t quy t c IPSec là s k t h p
gi a b l c (IPSec) và các quy tác ng
(action)
IP Security (IPSec)
Các tác ng b o m t
Block transmissons: ch c năng ngăn ch n
nh ng gói d li u ư c truy n
Encrypt transmissions: Ch c năng mã hóa
nh ng gói tin truy n i
Sign transmissions: Ch c năng ký tên vào gói
d li u truy n nh m tránh gi m u
Permit transmissions: Ch c năng là cho phép
d li u truy n qua, dùng t o ra các quy t t
h n ch m t s i u và không h n ch m t s
i u khác
9

10. 4/21/2010
IP Security (IPSec)
Các b l c (Filter) IPSec
Filter dùng th ng kê các i u ki n quy
t c ho t ng.
Gi i h n t m tác d ng c a các tác ng lên
m t ph m vi máy tính nào ó.
B l c IPSec d a trên các y u t :
• a ch IP, subnet ho c tên DNS c a máy ngu n.
• a ch IP, subnet ho c tên DNS c a máy ích.
• Theo s hi u c ng (port) và ki n c ng (TCP, UDP,
ICMP…)
IP Security (IPSec)
Tri n khai IPSec trên Windows Server 2003
10

11. 4/21/2010
Tri n khai IPSec trên Windows
Server 2003
Các chính sách IPSec t o s n
Client (Respond Only): chính sách quy nh
máy tính b n không ch ng dùng IPSec tr
khi nh p yêu c u dùng IPSec t máy i tác.
Server (Request Security): quy nh máy
server c a b n ch ng kh i t o IPSec m i
khi thi t l p k t nói t i máy khác
Secure Server (Require Security): quy nh
không cho phép b t kỳ cu c trao i d li u
nào v i Server hi n t i không dùng IPSec
VD: t o chính sách IPSec m b o k t n i mã
hóa
11