Domain Controller Security Policy
Domain Controller Security Policy Domain Security Policy Thành Viên : Phạm Thái Hoa Đăng 0820040 Huỳnh Hồng Trâm 0820175 Lưu Xuân Vỹ 0820205 Châu Vĩnh An 0820001 GVHD : Th.S Nguyễn Quang Anh Nội dung Phân Biệt Các sách hệ thống Ứng dụng Giới thiệu Để nâng cao chế độ bảo mật tuỳ chỉnh Windows ta sử dụng công cụ Group Policy chúng nâng cấp Windows lên DC ta có cơng cụ : Domain Controller Sercurity Policy Domain Sercurity Policy Phân biệt Domain Controller Sercurity Policy : Các tuỳ chỉnh tác động lên máy DC mà Domain Sercurity Policy: Các tuỳ chỉnh tác động lên toàn user domain Các DC sử dụng thiết lập Policy : Domain Security Policy Domain Controller Security Policy, thiết lập policy có giá trị khác DC nhận giá trị xác định Domain Controller Security Policy Các sách hệ thống Local Policies Account Policies IP Security Policies Policies Software Retriction policies Scripts Account Policies Account Policy: dùng để định thông số tài khoản người dùng tiến trình logon xảy Account Policies Chính sách mật (Password Policies) Account Policies Các sách mật mặc định Chính sách Mơ tả Mặc định Enforce password History Số lần mật không trùng 24 Maximum Password Age Số ngày nhiều mà mật người dùng có hiệu lực 42 Minimum Password Age Quy số ngày tối thiểu trước người dùng thay đổi mật mã Minimum Password Length Chiều dài ngắn mật mã Passwords Must Meet Complexity Requirements Mật phải có độ phức tạp như: có ký tự Cho phép hoa, thường, có ký số Store Password Using Mật mã người dùng lưu dạng Reversible Encryption for All mã hóa Users in the Domain Khơng cho phép Account Policies Chính sách khố tài khoản (Account Lockout Policy) Account Policies Các sách khố tài khoản mặc định Chính sách Mơ tả Mặc định Account Lockout Threshold Quy định số lần cố gắng đăng nhập trước tài khoản bị khóa (tài khoản khơng bị khóa) Account Lockout Duration Quy định thời gian khóa tài khoản Là 0, Account Lockout Threshold thiết lập giá trị 30 phút Reset Account Lockout Counter After Quy định thời gian đếm lại số lần đăng nhập không thành công Là 0, Account Lockout Threshold thiết lập giá trị 30 phút Chính sách kiểm tốn (Audit Policies) Các lựa chọn sách kiểm tốn Chính sách Mơ tả Audit Account Logon Events Kiểm tốn kiện tài khoản đăng nhập, hệ thống ghi nhận người dùng logon, logoff tạo kết nối mạng Audit Account Management Hệ thống ghi nhận tài khoản người dùng nhóm có thay đổi thông tin hay thao tác quản trị liên quan đến tài khoản người dùng Audit Directory Service Access Ghi nhận việc truy cập dịch vụ thư mục Audit Logon Events Ghi nhận kiện liên quan đến trình logon thi hành logon script truy cập đến roaming profile Chính sách kiểm tốn (Audit Policies) Các lựa chọn sách kiểm tốn Chính sách Mơ tả Audit Object Access Ghi nhận việc truy cập tập tin, thư mục, máy in Audit Policy Change Ghi nhận thay đổi sách kiểm tốn Audit privilege use Hệ thống ghi nhận lại bạn bạn thao tác quản trị quyền hệ thống cấp xóa quyền Audit process tracking Kiểm tốn theo dõi hoạt động chương trình hay hệ điều hành Audit system event Hệ thống ghi nhận bạn khởi động lại máy tắt máy Quyền hệ thống người dùng (User Rights Assignment) Quyền hệ thống người dùng (User Rights Assignment) Một số quyền hệ thống cho người dùng nhóm Quyền Mô tả Access This Computer from Cho phép người dùng truy cập máy tính thơng qua mạng the Network Mặc định người có quyền Allow log on locally Cho phép người dùng đăng nhập cục vào server Bypass Traverse Checking Cho phép người dùng duyệt qua cấu trúc thư mục người dùng khơng có quyền xem (list) nội dung thư mục Back Up Files and Directories Cho phép người dùng lưu dự phòng (backup) tập tin thư mục bất chấp tập tin thư mục người có quyền không Change the System Time Cho phép người dùng thay đổi hệ thống máy tính Quyền hệ thống người dùng (User Rights Assignment) Một số quyền hệ thống cho người dùng nhóm Quyền Mơ tả Deny Access to This Computer from the Network Cho phép bạn khóa người dùng nhóm khơng truy cập đến máy tính mạng Deny Logon Locally Cho phép bạn ngăn cản người dùng nhóm truy cập đến máy tính cục Load and unload device drivers Cho phép người dùng cài đặt gở bỏ driver thiết bị Restore Files and Directories Cho phép người dùng phục hồi tập tin thư mục, bất chấp người dùng có quyền file thư mục hay không Shut Down the System Cho phép người dùng shut down cục máy Windows 2003 Take Ownership of Files or Other Objects Cho người dùng tước quyền sở hữu đối tượng hệ thống Các lựa chọn bảo mật (Security Options) Các lựa chọn bảo mật (Security Options) Các lựa chọn bảo mật thông dụng Tên lựa chọn Mô tả Shutdown: allow system to be shut down without having to log on Cho phép người dùng shutdown hệ thống mà không cần logon Audit : audit the access of global system objects Giám sát việc truy cập đối tượng hệ thống toàn cục Network security: force logoff when logon hours expires Tự động log off khỏi hệ thống người dùng hết thời gian sử dụng tài khoản hết hạn Interactive logon: not require CTRL+ALT+DEL Không yêu cầu ấn ba phím CTRL+ALT+DEL logon Các lựa chọn bảo mật (Security Options) Các lựa chọn bảo mật thông dụng Tên lựa chọn Mô tả Interactive logon: not display last user name Không hiển thị tên người dùng logon hộp thoại Logon Account: rename administrator account Cho phép đổi tên tài khoản Administrator thành tên Account: rename guest account Cho phép đổi tên tài khoản Guest thành tên ... máy DC mà Domain Sercurity Policy: Các tuỳ chỉnh tác động lên toàn user domain Các DC sử dụng thiết lập Policy : Domain Security Policy Domain Controller Security Policy, thiết lập policy có... dụng công cụ Group Policy chúng nâng cấp Windows lên DC ta có công cụ : Domain Controller Sercurity Policy Domain Sercurity Policy Phân biệt Domain Controller Sercurity Policy : Các tuỳ... xác định Domain Controller Security Policy Các sách hệ thống Local Policies Account Policies IP Security Policies Policies Software Retriction policies Scripts Account Policies Account Policy: