Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy) Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy) Nội dung bài học trước Cấu hình các thiết lập Group Policy Cấu hình Scripts và Folder Redirection với Group Policy Cấu hình Administrative Templates Triển khai cài đặt phần mềm bằng Group Policy Cấu hình Group Policy Preferences Giới thiệu về Group Policy Troubleshooting Khắc phục sự cố về ứng dụng trong Group Policy Khắc phục sự cố về thiết lập trong Group Policy Cấu hình các thiết lập Group Policy Cấu hình Scripts và Folder Redirection với Group Policy Cấu hình Administrative Templates Triển khai cài đặt phần mềm bằng Group Policy Cấu hình Group Policy Preferences Giới thiệu về Group Policy Troubleshooting Khắc phục sự cố về ứng dụng trong Group Policy Khắc phục sự cố về thiết lập trong Group Policy Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 2 Mục tiêu bài học Quản trị nhóm người dùng bằng việc sử dụng các thiết lập chính sách nhóm Các thiết lập quản trị bảo mật Giám sát Chính sách hạn chế phần mềm và Applocker Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 3 Chính sách bảo mật Chính sách bảo mật (Security Policy): Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 4 Chính sách tài khoản Thiết lập mặc định Password Chính sách • Quản lý độ phức tạp và thời gian tồn tại của mật khẩu • Thời gian tối đa của 1 mật khẩu: 42 ngày • Thời gian tối thiểu của 1 mật khẩu: 1 ngày • Chiều dài tối thiểu:7 ký tự • Độ phức tạp: yêu cầu • Lưu trữ mật khẩu bằng mã hóa có khả năng khôi phục: tắt Account policies bao gồm: Chính sách tài khoản (Account policy) giảm thiểu các mối đe dọa tới tài khoản Password Account lockout Kerberos • Quản lý độ phức tạp và thời gian tồn tại của mật khẩu • Thời gian tối đa của 1 mật khẩu: 42 ngày • Thời gian tối thiểu của 1 mật khẩu: 1 ngày • Chiều dài tối thiểu:7 ký tự • Độ phức tạp: yêu cầu • Lưu trữ mật khẩu bằng mã hóa có khả năng khôi phục: tắt • Quản lý số lần nhập mật khẩu sai • Thời gian Lockout: duration not defined • Lockout threshold: 0 invalid logon attempts • Reset account lockout after: not defined • Là 1 nhóm các thuộc tính của chính sách bảo mật domain • Chỉ được dụng ở cấp độ Domain Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 5 Chính sách cục bộ Các chính sách cục bộ của các máy tính chạy Windows 2000 và các hệ điều hành sau đó là 1 phần của Group Policy cục bộ  Trong 1 workgroup, bạn phải cấu hình chính sách bảo mật cục bộ để cung cấp khả năng bảo mật  Chính sách cục bộ (Local Policies) xác định các tùy chọn bảo mật cho người dùng hoặc tài khoản cho các dịch vụ Domain Policy sẽ ghi đè lên Local Policies (chính sách cục bộ) trong trường hợp có xung đột.  Trong 1 workgroup, bạn phải cấu hình chính sách bảo mật cục bộ để cung cấp khả năng bảo mật  Bạn có thể gán quyền thông qua Local Group Policies  Các tùy chọn bảo mật điều khiển nhiều khía cạnh khác nhau của 1 máy tính  Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 6 Chính sách bảo mật mạng là gì? Tách biệt các chính sách không dây đối với Windows XP và Windows Vista  Chính sách cho Windows Vista bao gồm nhiều lựa chọn hơn cho mạng không dây  Chính sách không dây của Windows Vista có thể cấm truy cập vào các mạng không dây  Xác định khả năng sẵn sàng của mạng và các phương thức xác thực cho các kết nối không dây cho máy trạm Windows Vista và Windows XP và xác thực mạng LAN cho các máy trạm Windows Vista và Windows Server 2008 Chính sách không dây của Windows Vista có thể cấm truy cập vào các mạng không dây  Cơ chế xác thực 802.1x có thể được cấu hình qua chính sách nhóm  Chỉ từ phiên bản Vista trở đi mới có thể nhận các chính sách mạng dây  Windows XP Windows Vista Không dây Chỉ mạng không dây Windows XP Windows Vista Mạng dây GPO Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 7 Chính sách mặc định của Domain Controller Ba khu vực cần phải được kiểm tra: Chính sách gán quyền người dùng: logging on locally, shutdown  Chính sách Event Log: log size, retention  Chính sách Security Options: auditing, devices, domain controller  Chính sách Event Log: log size, retention  Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 8 Chính sách bảo mật Domain mặc định • Cung cấp các chính sách tài khoản Domain, các thiết lập khác không được cấu hình bởi mặc định • Sử dụng để cung cấp các thiết lập bảo mật sẽ ảnh hường tới toàn bộ Domain • Sử dụng Domain Policy để cung cấp các thiết lập bảo mật 1 cách tốt nhất. sử dụng các GPO để thiết lập các loại bảo mật khác nhau • Cung cấp các chính sách tài khoản Domain, các thiết lập khác không được cấu hình bởi mặc định • Sử dụng để cung cấp các thiết lập bảo mật sẽ ảnh hường tới toàn bộ Domain • Sử dụng Domain Policy để cung cấp các thiết lập bảo mật 1 cách tốt nhất. sử dụng các GPO để thiết lập các loại bảo mật khác nhau Domain Default domain policy Account and security settings Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 9 Các đặc điểm của Security Policy Settings Khi kiểm tra Security Policy settings, xem xét: Các chính sách tài khoản được áp đặt tới máy trạm từ domain controller  Domain Controller nhận các chính sách tài khoản từ 1 domain level policy  Thiết lập bảo mật đến từ các GPO có mức ưu tiên cao nhất  Domain Controller nhận các chính sách tài khoản từ 1 domain level policy  Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 10 [...]... Configuration Wizard Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 31 Cấu hình Local Security Policy Local Security Policy Domain Group Policy Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 32 Tổng kết bài học Khái niệm về Security Policy, Account Policy, Local Policy Chính sách mặc định và chính sách bảo mật mặc định của DC Chính sách nhóm, nhóm hạn chế và chính sách FineGrained... Setting Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) Actual Setting Actual Setting 30 Quản trị chính sách bảo mật Chính sách bảo mật IT Enterprise  cấu hình bảo mật  Các thiết lập Quản trị cấu hình bảo mật Tạo chính sách bảo mật Áp dụng chính sách bảo mật cho 1 hoặc nhiều hệ thống Phân tích các thiết lập bảo mật dựa vi phạm chính sách Cập nhật chính sách, hoặc chỉnh sửa các điểm sai... chính sách domain account thường sẽ được áp dụng Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 15 Hạn chế Group Membership Group Policy có thể điều khiển group membership: • Đối với bất kỳ nhóm trên một máy tính cục bộ: áp dụng một GPO cho OU để giữ tài khoản máy tính • Đối với bất kỳ nhóm trên AD DS: áp dụng 1 GPO tới Domain Controller Bài 8 - Triển khai bảo mật sử dụng chính sách. .. PowerShell support No Yes Custom8error messages sử dụng chính sách nhóm (Group policy) No Bài - Triển khai bảo mật Yes 26 Security Template Security template: Cho phép administrator áp đặt nhiều thiết lập bảo mật  phù hợp tới nhiều máy tính  Có thể thiết kế dựa trên vai trò máy chủ  Có thể áp dụng qua Group Policy Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 27 Security Configuration... thành viên nhóm bằng các quyền ưu tiên chính sách nhóm Tạo, xóa, hoặc thay thế 1 nhóm cục bộ Sửa tên 1 nhóm cục bộ Thay đổi miêu tả Thay đổi thành viên nhóm Các quyền ưu tiên chính sách nhóm cục bộ có ở cả Cấu hình máy tính và Cấu hình người dùng Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 12 Chính sách Fine-Grained Password Fine-grained passwords cho phép nhiều chính sách password.. .Nhóm hạn chế Chính sách nhóm hạn chế (Restricted Groups) cho phép quản trị các thành viên của nhóm Member Of • Chính sách là dành cho 1 nhóm Domain • Xác định thành viên của nó trong một nhóm cục bộ • Tính lũy kế Members • Chính sách là dành cho 1 nhóm cục bộ • Xác định các thành viên (nhóm và người dùng) • Tính xác thực Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 11... Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 22 Chính sách Software Restriction • Cơ chế policy-driven để xác định và điều khiển phần mềm trên một máy trạm • Cơ chế hạn chế cài đặt phần mềm và virus • Gồm 2 phần: • Một quy tắc mặc định với 3 tùy chọn: Unrestricted, Basic, và Disallowed • Các ngoại lệ cho quy tắc mặc định Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy). .. Các chính sách được tạo bằng SCW có thể được áp đặt tới 1 cá nhân • Security Template có thể được đưa vào SCW Tiện ích dòng lệnh Scwcmd.exe có thể sử dụng để chuyển đổi chính sách XML vào 1 GPO Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 29 Cấu hình bảo mật và công cụ phân tích Setting That Does Not Match Template Not Match Template Template Setting Template Setting Bài 8 - Triển. .. nào để có thể truy cập vào Internet Zones • Dùng trong môi trường bảo mật cao để kiểm soát truy cập vào ứng dụng Web • Cần thiết khi SRPs là hạn chế Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 24 Giới thiệu về các chính sách kiểm soát ứng dụng Các chính sách kiểm soát ứng dụng được ứng dụng trong Windows Server 2008R2 và trong Windows 7 bằng việc dùng AppLocker AppLocker gồm các... Một PSO có sẵn các thiết lập sau: • Chính sách mật khẩu • Chính sách lockout tài khoản • Liên kết PSO • Quyền ưu tiên Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 14 Thực thi chính sách Fine-Grained Password • Shadow groups có thể sử dụng để áp dụng PSO tới tất cả người dùng mà đã không sẵn sàng chia sẻ tới 1 global group • Một người dùng hoặc 1 nhóm có thể có nhiều PSO áp đặt tới . sát Chính sách hạn chế phần mềm và Applocker Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 3 Chính sách bảo mật Chính sách bảo mật (Security Policy): Bài 8 - Triển khai bảo mật. Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy) Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy) Nội dung bài học trước Cấu hình các. Policy Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 2 Mục tiêu bài học Quản trị nhóm người dùng bằng việc sử dụng các thiết lập chính sách nhóm Các thiết lập quản trị bảo mật Giám