Luận văn XÂY DỤNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008 XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008 LỜI MỞ ĐẦU Cùng với sự phát triển của đất nước, hàng loạt công ty lớn nhỏ mọc lên với số lượng máy vi tính, vậy để làm gì để những người quản lý có thể quản lý một số lượng lớn người dùng lớn như vậy được, System Policy và Group Policy ra đời giúp những người quản lý một số lượng lớn người dùng một cách dễ dàng, đảm bảo được độ bảo mật của dữ liệu… Chính sách hệ thống tạo cho việc kiểm soát người dùng trên máy khách đó có một menu Start/Programs đặc biệt hoặc một màn hình Desktop đặc biệt; hạn chế không cho người dùng ấy chạy một số chương trình nào đó hoặc thay đổi màn hình Desktop; ấn định một số setting về nối mạng…. Một vài ứng dụng của Group Policy như: Cài đặt software cho một loạt các user khi đăng nhập vào, cho cài đặt software gì không cho cài gì….cài đặt software chia làm 3 loại: Publish, Assign va Advanced. Có thể cấm không cho một số user vào các mục Control Panel, My Network Place, Recycle…bằng cách làm ẩn chúng hay có thể cấm truy cập vào các ổ đĩa C, D… hoặc vào Internet Explorer… Bảo mật dữ liệu, Group Policy có chính sách mật khẩu về mật khẩu và tài khoản để tránh hacker đột nhập Qua đó, chính sách hệ thống và chính sách nhóm có một vai trò quan trọng trong công việc quản lý các user và dữ liệu, dưới đây sẽ trình bày rõ hơn về tác dụng của System Policy và Group Policy. Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 2 XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008 Nay đề tài đã hoàn tất, nhưng chắc chắc còn nhiều thiếu sót, sai phạm… chưa được hoàn chỉnh, vậy em rất mong được sự đóng góp ý kiến của thầy và các bạn để hoàn chỉnh đề tài và phát triển nó hơn.Em xin chân thành cám ơn. MỤC LỤC A. CHÍNH SÁCH HỆ THỐNG Phần 1:Giới thiệu I. Giới thiệu về chính sách hệ thống: Chính sách hệ thống xuất hiện trên môi trường WORKGROUP lẫn DOMAIN. Trên môi trường WORKGROUP, chính sách hệ thống xuất hiện trong công vụ Local Security Policy. Trên môi trường Domain , chính sách hệ thống xuất hiện trên 2 công cụ: • Domain Security Policy: giúp người quản trị thiết lập các chính sách hệ thống có phạm vi tác động lên toàn miền • Domain Controller Security Policy: giúp người quản trị thiết lập các chính sách hệ thống có phạm tác động lên các máy Domain Controller. II. Mục tiêu : • Tìm hiểu về các chính sách trong System policy gồm Domain Security Policy và Domain Controller Security Policy. • Biết cách áp dụng chính sách hệ thống để quản lý các máy trạm của người dùng. Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 3 XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008 III. Một số chính sách hệ thống 1. Chính sách tài khoản(Account policy) Account policy được dùng để chỉ định các thông số về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy ra. Nó cho phép bạn cấu hình các thông số bảo mật máy tính cho mật khẩu, khóa tài khoản và chứng thục Kerberos trong vùng. Trên Windows Server 2008 làm DC có ba thư mục Password Policy, Account Lockout Policy và Kerberos Policy. Trong Windows Server 2008 cho phép bạn quản lý chính sách tài khoản theo hai cấp độ là: cục bộ và miền. Muốn cấu hình các chính sách tài khoản người dùng ta vàoStart > Administrative Tools>Local Security Policy. 1.1. Chính sách mật khẩu (Password Policy) Chính sách mật khẩu (Password Policy) nhằm đảm bảo an toàn cho mật khẩu của người dùng để tránh các trường hợp đăng nhập bất hợp pháp vào hệ thống. Chính sách này cho phép bạn quy định chiều dài ngắn nhất của mật khẩu, độ phức tạp…. Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 4 XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008 Các lựa chọn trong chính sách mật khẩu: Chính sách Mô tả Mặc định Giá trị nhỏ nhất Giá trị lớn nhất Enforce password history Số lần đặt mật mã không được trùng nhau 24 0 24 Maximum password age Quy định số ngày nhiếu nhất mà mật mã ngươi dùng có hiệu lực Giữ mật mã trong 42 ngày Giữ mật mã trong 1 ngày Giữ mật mã trong 999 ngày Minimum password age Quy định số ngày ít nhất mà ngươi dùng có thể thay đổi mật mã 1 ngày (người dùng có thể thay đổi ngay lập tức) 0 999 ngày Minimum password length Chiều dài ngắn nhất của mật mã 7 0 14 kí tự Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 5 XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008 Password must meet complexity requirements properties Cho phép bạn cài bộ lọc mật mã Cho phép Không cho phép Cho phép Store password using reversible encryption Mật mã người dùng được lưu dưới dạng mã hóa Không cho phép Không cho phép Cho phép 1.2. Chính sách khóa tài khoản (Account Lockout Policy) Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức thời điểm khóa tài khoản trong vùng hay hệ thống cục bộ. Giúp hạn chế tấn công thông qua hình thức logon từ xa Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 6 XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008 Các thông số cấu hình chính sách khóa tài khoản Chính sách Mô tả Giá trị mặc định Giá trị min Giá trị max Gợi ý Account lockout threshold Quy định số lần đăng nhập trước khi tài khoản bị khóa 0 0 Thử 999 lần 5 lần Account lockout duration Quy định thời gian khóa tài khoản Là 0 nhưng nếu Account lockout threshold được thiết lập thì giá trị này là 30 phút Như giá trị mặc định 99999 phút 5 phút Reset account Quy định thời gian Là 0 nhưng nếu Account Như giá trị 99999 phút 5 phút Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 7 XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008 lockout counter after đếm lại số lần đăng nhập không thành công lockout threshold được thiết lập thì giá trị này là 5 phút mặc định 1.3. Chính sách Kerberos Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tính hoạt động trên những đường truyền không an toàn. Giao thức Kerberos có khả năng chống lại việc nghe lén hay gửi lại những gói tin cũ và đảm bảo tính toàn vẹn của dữ liệu. Mục tiêu của giao thức này là nhằm vào mô hình máy chủ máy khách và đảm bảo nhận thực cho cả hai chiều. Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 8 XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008 2. Chính sách cục bộ(Local Policies) Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám sát các đối tượng trên mạng như người dùng và tài nguyên chung.Đồng thời bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mậtvới người dùng. 2.1. Chính sách kiểm toán(Audit Policies) Chính sách kiểm toán(Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống trên các đối tượng. Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 9 XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008 Các lựa chọn trong chính sách kiểm toán Chính sách Mô tả Audit account logon events Ghi nhận khi người dùng logon, logoff hay tạo một kết nối mạng Audit account managements Ghi nhận khi tài khoản người dùng hay nhóm được tạo xóa hay các thao tác quản lí người dùng Audit directory service access Ghi nhận việc truy cập các dịch vụ thư mục Audit logon events Ghi nhận các sự kiện liên quan đến quá trình logon như thi hành 1 logon script hay truy cập đến 1 roaming profile Audit object access Ghi nhận việc truy cập các tập tin, thư mục, máy in Audit policy change Ghi nhận các thay đổi trong chính sách kiểm toán Audit privilege use Hệ thống sẽ ghi nhận lại khi bạn thao tác quản trị trên các quyền hệ thống như cấp hoặc xóa quyền của một ai đó. Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 10 [...]... thay đổi mật khẩu là 2 ngày Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 19 XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008  Chiều dài tối thiểu của mật khẩu là 3 ký tự  Mật khẩu không nằm trong chế độ phức tạp Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 20 XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008  Mật khẩu được lưu trữ... nhau Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 21 XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008  Định nghĩa lại các Policies:  Nếu một tài khoản người dùng đăng nhập gõ sai mật khẩu quá 3 lần thì tài khoản đó sẽ bị khóa lại trong 30phút Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 22 XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008. .. Đánh vào IP address ở đây ta có thể nhập như hình à OK à Đóng hết của sổ lại Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 33 XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008 àChuột phải My Computer chọn tab Computer name à Chọn Change… à Chọn Domain à đánh vào thao33.net àOK Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 34 XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM...XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008 Audit process tracking Kiểm toán này theo dõi hoạt động của chương trình hay hệ điều hành Audit system events Hệ thống sẽ ghi nhận mỗi khi bạn khởi động lại máy hay tắt máy 2.2 Quyền hệ thống của từng người(User right assignment) Là quyền hệ thống cung cấp cho người dùng các quyền quản trị và sử dụng hệ thống Có... objects đối tượng hệ thống Các lựa chọn bảo mật (Security Options) Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server 2.3 định nghĩa các quyền và giao diện tương tác trên server giúp các người quản trị thao tác trên Server dễ dàng và an toàn hơn Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 15 XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008 Một số lựa... Có 2 cách cấp quyền hệ thống cho người dùng + Add tài khoản người dùng vào các nhóm đã được tạo sẵn (built-in) để thừa kế + Hoặc dùng công cụ User Right Assigment để gán từng quyền rời rạc cho người dùng Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 11 XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008 Danh sách các quyền hệ thống cấp cho người dùng và nhóm Muốn thêm hay... và có quyền tắt máy từ xa Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 25 XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008 B CHÍNH SÁCH NHÓM CHƯƠNG 1: GIỚI THIỆU CHÍNH SÁCH GROUP POLICY 1 Group Policy: Group Policy là một nhóm các Policy, các Policy này qui định rất nhiều tính năng như bảo vệ mật khẩu, cài đặt từ xa, thay đổi hệ thống Các Group Policy trong GPO... Domain Controller quản lý miền THAO33.NET  Tiến hành gia nhập máy trạm Window XP vào miền THAO33.NET do máy Domain Controller quản lý Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 18 XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008  Hãy áp dụng chính sách hệ thống để chỉnh sửa các chính sách mật khẩu sau (video chinh sach he thong):  Định thời gian thay đổi mật khẩu của... CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008 Join Domain thành công II Ứng dụng của Group Policy Mô hình : Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 35 XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008 1 Cấu hình Security Policy Login vào Domain Controller với quyền hạn Administrative=> từ Menu Start Administrative Tools=>Group Policy Management Nhóm SV: Võ Trần... reset lại số lần đăng nhập sai mật khẩu là 5 phút  Vào mục Security Options hiệu chỉnh các chính sách sao cho:  Cho phép người dùng shutdown hệ thống mà không cần logon  Không yêu cầu bấm tổ hợp phím Ctr+Alt+Del khi logon hệ thống Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 23 XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008  Không hiển thị tên người dùng logon trước . Luận văn XÂY DỤNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008 XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS. Tâm Page 11 XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008 Danh sách các quyền hệ thống cấp cho người dùng và nhóm Muốn