XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHĨM TRÊN MIỀN WINDOWS SERVER 2008 LỜI MỞ ĐẦU Cùng với phát triển đất nước, hàng loạt công ty lớn nhỏ mọc lên với số lượng máy vi tính, để làm để người quản lý quản lý số lượng lớn người dùng lớn được, System Policy Group Policy đời giúp người quản lý số lượng lớn người dùng cách dễ dàng, đảm bảo độ bảo mật liệu… Chính sách hệ thống tạo cho việc kiểm sốt người dùng máy khách có menu Start/Programs đặc biệt hình Desktop đặc biệt; hạn chế không cho người dùng chạy số chương trình thay đổi hình Desktop; ấn định số setting nối mạng… Một vài ứng dụng Group Policy như: Cài đặt software cho loạt user đăng nhập vào, cho cài đặt software khơng cho cài gì….cài đặt software chia làm loại: Publish, Assign va Advanced Có thể cấm không cho số user vào mục Control Panel, My Network Place, Recycle…bằng cách làm ẩn chúng hay cấm truy cập vào ổ đĩa C, D… vào Internet Explorer… Bảo mật liệu, Group Policy có sách mật mật tài khoản để tránh hacker đột nhập Qua đó, sách hệ thống sách nhóm có vai trị quan trọng cơng việc quản lý user liệu, trình bày rõ tác dụng System Policy Group Policy Nay đề tài hồn tất, chắc cịn nhiều thiếu sót, sai phạm… chưa hồn chỉnh, em mong đóng góp ý kiến thầy bạn để hoàn chỉnh đề tài phát triển Em xin chân thành cám ơn Nhóm SV: Võ Trần Thạch Thảo n Thạch Thảo ch Thảo o Nguyễn Thị Tâmn Thị Tâm Tâm Page XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHĨM TRÊN MIỀN WINDOWS SERVER 2008 MỤC LỤC LỜI MỞ ĐẦU MỤC LỤC A CHÍNH SÁCH HỆ THỐNG .5 Phần 1:Giới thiệu .5 I Giới thiệu sách hệ thống: II Mục tiêu: III Một số sách hệ thống Chính sách tài khoản(Account policy) 1.1 Chính sách mật (Password Policy) Các lựa chọn sách mật khẩu: 1.2 Chính sách khóa tài khoản (Account Lockout Policy) Các thông số cấu hình sách khóa tài khoản 1.3 Chính sách Kerberos 10 Chính sách cục (Local Policies) 11 2.1 Chính sách kiểm tốn (Audit Policies) 12 Các lựa chọn sách kiểm tốn 13 2.2 Quyền hệ thống người(User right assignment) 13 Danh sách quyền hệ thống cấp cho người dùng nhóm 14 2.3 Các lựa chọn bảo mật (Security Options) 17 Một số lựa chọn bảo mật Security Options: 18 Phần 2: Triển khai sách hệ thống 21 Nhóm SV: Võ Trần Thạch Thảo n Thạch Thảo ch Thảo o Nguyễn Thị Tâmn Thị Tâm Tâm Page XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008 Các bước chuẩn bị: 21 B CHÍNH SÁCH NHĨM 28 CHƯƠNG 1: GIỚI THIỆU CHÍNH SÁCH GROUP POLICY 28 Group Policy: 28 Group Policy Object (GPO): .29 Group Policy Setting 30 Tính thừa kế Group Policy Object 32 Thứ tự Group Policy áp dụng .33 Cấu hình GPO khơng áp dụng cho User 33 Khởi động Group Policy 33 CHƯƠNG 2: MỘT SỐ ỨNG DỤNG CỦA GROUP POLICY 34 I Cài đặt win server 2008 .34 Nâng cấp Win Server 2008 thành Domain Controller 34 Join Domain .34 II Ứng dụng Group Policy .36 Mơ hình : 37 Cấu hình Security Policy 37 Ứng dụng Group Policy .43 2.1 Group Policy cài đặt Software thông qua quản trị viên 43 2.2 Làm Control Panel 45 2.3 Làm biểu tượng Recycle Bin 47 2.4 Làm biểu tượng Run cho OU .47 2.5 Bỏ chức kế thừa cho OU 48 2.6 Cài đặt Software cho Users 49 2.7 Folger redirection .53 Nhóm SV: Võ Trần Thạch Thảo n Thạch Thảo ch Thảo o Nguyễn Thị Tâmn Thị Tâm Tâm Page XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHĨM TRÊN MIỀN WINDOWS SERVER 2008 A CHÍNH SÁCH HỆ THỐNG Phần 1:Giới thiệu I Giới thiệu sách hệ thống: Chính sách hệ thống xuất mơi trường WORKGROUP lẫn DOMAIN Trên mơi trường WORKGROUP, sách hệ thống xuất công vụ Local Security Policy Trên mơi trường Domain , sách hệ thống xuất công cụ:  Domain Security Policy: giúp người quản trị thiết lập sách hệ thống có phạm vi tác động lên tồn miền  Domain Controller Security Policy: giúp người quản trị thiết lập sách hệ thống có phạm tác động lên máy Domain Controller II Mục tiêu:  Tìm hiểu sách System policy gồm Domain Security Policy Domain Controller Security Policy  Biết cách áp dụng sách hệ thống để quản lý máy trạm người dùng III Một số sách hệ thống Chính sách tài khoản(Account policy) Account policy dùng để định thông số tài khoản người dùng mà sử dụng tiến trình logon xảy Nó cho phép bạn cấu hình thơng số bảo mật máy tính cho mật khẩu, khóa tài khoản chứng thục Kerberos vùng Trên Windows Server 2008 làm DC có ba thư mục Password Policy, Account Lockout Policy Kerberos Policy Trong Windows Server 2008 cho phép bạn quản lý sách tài khoản theo hai cấp độ là: cục miền Muốn Nhóm SV: Võ Trần Thạch Thảo n Thạch Thảo ch Thảo o Nguyễn Thị Tâmn Thị Tâm Tâm Page XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHĨM TRÊN MIỀN WINDOWS SERVER 2008 cấu hình sách tài khoản người dùng ta vàoStart > Administrative Tools>Local Security Policy 1.1 Chính sách mật (Password Policy) Chính sách mật (Password Policy) nhằm đảm bảo an toàn cho mật người dùng để tránh trường hợp đăng nhập bất hợp pháp vào hệ thống Chính sách cho phép bạn quy định chiều dài ngắn mật khẩu, độ phức tạp… Nhóm SV: Võ Trần Thạch Thảo n Thạch Thảo ch Thảo o Nguyễn Thị Tâmn Thị Tâm Tâm Page XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHĨM TRÊN MIỀN WINDOWS SERVER 2008 Các lựa chọn sách mật khẩu: Chính sách Mơ tả Mặc định Giá trị nhỏ Giá trị lớn nhất 24 24 Giữ mật mã Enforce password Số lần đặt mật mã history không trùng Maximum nhauđịnh số ngày Quy Giữ mật mã Giữ mật mã password age nhiếu mà mật 42 ngày ngày 999 mã dùng có ngày Minimum hiệu định lực số ngày Quy ngày (người password age mà dùng dùng thay thay đổi đổi mật mã lập tức) Minimum Chiều dài ngắn password length mật mã Nhóm SV: Võ Trần Thạch Thảo n Thạch Thảo ch Thảo o Nguyễn Thị Tâmn Thị Tâm Tâm Page 999 ngày 14 kí tự XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHĨM TRÊN MIỀN WINDOWS SERVER 2008 Password must Cho phép bạn cài meet complexity lọc mật mã Cho phép Không cho Cho phép phép requirements properties Store password Mật mã người Không cho Không cho using reversible dùng lưu phép phép encryption dạng mã hóa 1.2 Cho phép Chính sách khóa tài khoản (Account Lockout Policy) Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức thời điểm khóa tài khoản vùng hay hệ thống cục Giúp hạn chế cơng thơng qua hình thức logon từ xa Nhóm SV: Võ Trần Thạch Thảo n Thạch Thảo ch Thảo o Nguyễn Thị Tâmn Thị Tâm Tâm Page XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHĨM TRÊN MIỀN WINDOWS SERVER 2008 Các thơng số cấu hình sách khóa tài khoản Chính sách Mơ tả Giá trị mặc Giá trị định Giá trị max Thử 999 Account Quy định số lần lockout đăng nhập trước threshold tài khoản bị Account khóa Quy định thời Là Như giá 99999 lockout gian khóa tài Account trị mặc phút duration khoản lockout định Gợi ý lần lần phút threshold thiết lập giá trị 30 Reset account Quy định thời phút Là Như giá 99999 lockout gian đếm lại số Account trị mặc phút counter after lần đăng nhập lockout định không thành threshold cơng thiết lập giá phút trị phút 1.3 Chính sách Kerberos Kerberos giao thức mật mã dùng để xác thực mạng máy tính hoạt động đường truyền khơng an tồn Giao thức Kerberos có khả chống lại việc nghe hay gửi lại gói tin cũ đảm bảo tính tồn vẹn liệu Mục tiêu giao thức nhằm vào mô hình máy chủ máy khách đảm bảo nhận thực cho hai chiều Nhóm SV: Võ Trần Thạch Thảo n Thạch Thảo ch Thảo o Nguyễn Thị Tâmn Thị Tâm Tâm Page XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHĨM TRÊN MIỀN WINDOWS SERVER 2008 Chính sách cục (Local Policies) Chính sách cục (Local Policies) cho phép bạn thiết lập sách giám sát đối tượng mạng người dùng tài nguyên chung Đồng thời bạn cấp quyền hệ thống cho người dùng thiết lập lựa chọn bảo mậtvới người dùng Nhóm SV: Võ Trần Thạch Thảo n Thạch Thảo ch Thảo o Nguyễn Thị Tâmn Thị Tâm Tâm Page XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHĨM TRÊN MIỀN WINDOWS SERVER 2008 2.1 Chính sách kiểm tốn (Audit Policies) Chính sách kiểm tốn (Audit Policies) giúp bạn giám sát ghi nhận kiện xảy hệ thống đối tượng Nhóm SV: Võ Trần Thạch Thảo n Thạch Thảo ch Thảo o Nguyễn Thị Tâmn Thị Tâm Tâm Page 10