Đồng Tháp Vocational College Khoa Công Nghệ Thông Tin TRƯỜNG CAO ĐẲNG NGHỀ ĐỒNG THÁP KHOA CÔNG NGHỆ THÔNG TIN  LOCAL POLICY SINH VIÊN THỰC HIỆN: TRẦN TRUNG HIẾU (CQM10A) Đồng Tháp, ngày 3 tháng 1 năm 2012 PHẦN I: GI ỚI THIỆU VỀ LOCAL POLICY Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung. Đồng thời dựa vào công cụ này bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mật Vào Local Policies trên Windown Server 2003 : Start  Administrative Tools  Domain Security Policy  Local Policy PHẦN II : CÁC CÔNG CỤ TRONG LOCAL POLICY Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống, trên các đối tượng cũng như đối với các người dùng. Bạn có thể xem các ghi nhận này thông qua công cụ Event Viewer, trong mục Security. Đồng Tháp Vocational College Khoa Công Nghệ Thông Tin 1.AUDIT POLICY (CHÍNH SÁCH KIỂM TOÁN) Cửa sổ Default Domain Controller Security Settings  Local Policy  Audit Policy Đồng Tháp Vocational College Khoa Công Nghệ Thông Tin Đối với hệ thống Windows Server 2003, bạn có 2 cách cấp quyền hệ thống cho người dùng : gia nhập tài khoản người dùng vào các nhóm tạo sẵn (built-in) để kế thừa quyền hoặc bạn dùng công cụ User Rights Assignment để gán từng quyền rời rạc cho người dùng. Cách thứ nhất, bạn đã biết sử dụng ở các bài trước, chỉ cần nhớ các quyền hạn của từng nhóm tạo sẵn thì bạn có thể gán quyền cho người dùng theo yêu cầu. Để cấp quyền hệ thống cho người dùng theo cách hai, bạn phải dùng công cụ Local Security Policy (nếu máy bạn không phải là Domain Controller). Trong hai công cụ đó, bạn mở mục Local Policy/User Rights Assignment. Đồng Tháp Vocational College Khoa Công Nghệ Thông Tin 2. User Rights Assignment (QUYỀN HỆ THỐNG CỦA NGƯỜI DÙNG) Cửa sổ Default Domain Controller Security Settings  Local Policy  User Rights Assigrment * Danh sách các quyền hệ thống cấp cho người dùng và nhóm : - Access This Computer from the Network : Cho phép người dùng truy cập máy tính thông qua mạng. Mặc định mọi người đều có quyền này. - Act as Part of the Operating System : Cho phép các dịch vụ chứng thực ở mức thấp chứng thực với bất kỳ người dùng nào. - Add Workstations to the Domain : Cho phép người dùng thêm một tài khoản máy tính vào vùng. - Back Up Files and Dirctories : Cho phép người dùng sao lưu dự phòng (backup) các tập tin và thư mục bất chấp các tập tin và thư mục này người đó có quyền không. - Bypass Traverse Checking : Cho phép người dùng duyệt qua cấu trúc thư mục người dùng không có quyền xem (list) thư mục này. - Change the System Time : Cho phép người dùng thay đổi giờ hệ thống của máy tính. - Create a Pagefile : Cho phép người dùng thay đổi kích thước của Page file. - Create a Token Object : Cho phép một tiến trình tạo một thẻ bài nếu tiến trình này dùng NTCreate Token API. - Create Paermanent Shared Object : Cho phép một tiến trình tạo ra một đối tượng thư mục thông qua Windows 2000 Object Manager. - Debug Programs : Cho phép người dùng gắn một chương trình debug vào bất kỳ tiến trình nào. - Deny Access To This Computer from the Network : Cho phép bạn khóa người dùng hoặc nhóm không được truy cập đến các máy tính trên mạng. - Deny Logon as a Batch file : cho phép bạn ngăn cản những người dùng và nhóm được phép logon như một batch file. - Deny Logon as a Service : cho phép bạn ngăn cản những người dùng và nhóm được phép logon như một services. - Deny Logon Locally : cho phép bạn ngăn cản những người dùng và nhóm truy cập đến máy tính cục bộ. - Enable Computer and User Accounts to Be Trusted by Delegation : cho phép người dùng hoặc nhóm được ủy quyền cho người dùng hoặc một đối tượng máy tính. Đồng Tháp Vocational College Khoa Công Nghệ Thông Tin - Force Shutdown from a Remote System : cho phép người dùng shutdown hệ thống từ xa thông qua mạng. - Generate Security Audits : cho phép người dùng, nhóm hoặc một tiến trình tạo một entry vào Seciruty log. - Increase Quotas : cho phép người dùng điều khiển các hạn ngạch của các tiến trình. - Increase Scheduling Priority : quy định một tiến trình có thể tăng hoặc giảm độ ưu tiên đã được gán cho tiến trình khác. - Load and Unload Device Drivers : cho phép người dùng có thể cài đặt hoặc gỡ bỏ các driver của các thiết bị. - Lock Pages in Memory : khóa trang trong vùng nhớ. - Log On as a Batch Job : cho phép một tiến trình logon vào hệ thống và thi hành một tập tin chứa các lệnh hệ thống. - Log On as a service : cho phép một dịch vụ logon và thi hành một dịch vụ riêng. - Allow Log On Locally : cho phép người dùng logon tại máy tính server. - Manage Auditing anf Seciruty Log : cho phép người dùng quản lý security log. - Modify Firmware Environment Variables : cho phép người dùng hoặc một tiến trình hiệu chỉnh các biến môi trường hệ thống. - Profile Single Process : cho phép người dùng giám sát các tiến trình bình thường thông qua công cụ Performance Logs and Alerts. - Remove Computer from Docking Station : cho phép người dùng gỡ bỏ một laptop thông qua giao diện người dùng của Windows 2000. - Replace a Process Level Token : cho phép một tiến trình thay thế một token mặc định mà được tạo ra bởi một tiến trình con. - Restore Files and Directories : cho phép người dùng phục hồi tập tin và thư mục, bất chấp người dùng này có quyền trên file và thư mục này hay không. - Shutdown the system : cho phép người dùng shutdown cục bộ máy Windows 2000. - Synchronize Directory Service Data : cho phép người dùng đồng bộ dữ liệu với một dịch vụ thư mục. Đồng Tháp Vocational College Khoa Công Nghệ Thông Tin - Take Ownership of Files or Other Objects : cho người dùng tước quyền sở hữu của một đối tượng hệ thống. Các lựa chọn bảo mật cho phép người quản trị Server khai báo thêm các thông số nhằm tăng tính bảo mật cho hệ thống như: không cho phép hiển thị người dùng đã logon trước đó hoặc đổi tên tài khoảng người dùng tạo sẳn (Administrator, guest). DANH SÁCH GIẢI THÍCH CÁC MỤC TRONG SECURITY OPTIONS DANH SÁCH GIẢI THÍCH CÁC MỤC TRONG SECURITY OPTIONS Accounts Administrator account status Này thiết lập về bảo mật xác định dù tài khoản Quản trị viên cục bộ được kích hoạt hoặc không thể. Chú thích Nếu bạn cố cho phép tài khoản Quản trị viên đằng sau đó đã vô hiệu, và nếu mật khẩu của người quản trị hiện hành không đáp ứng yêu cầu mật khẩu, bạn không thể cho phép tài khoản. Trong trường hợp này, khác thành viên của Quản trị viên nhóm phải thiết lập lại mật khẩu vào tài khoản Quản trị viên. Để biết thêm thông tin về cách để thiết lập lại mật khẩu, xem Để thiết lập lại mật khẩu. Vô hiệu hóa tài khoản Quản trị viên có thể trở thành vấn đề bảo trì tùy trường hợp. Chẳng hạn như, trong môi trường miền, nếu kênh bảo mật là tham gia của bạn không vì một lý do nào đó, và không có tài khoản Quản trị viên cục bộ khác, bạn phải khởi động lại ở an toàn chế độ cần sửa chữa vấn đề đang làm tham gia của bạn tình trạng đã vỡ. Dưới khởi động Chế độ An toàn, tài khoản Quản trị viên luôn cho phép, bất kể thiết lập này. Mặc định : Cho phép. Accounts Guest account status Mô tả Này thiết lập về bảo mật xác định nếu tài khoản khách được kích hoạt hoặc không thể. Mặc định : Vô hiệu hoá. Đồng Tháp Vocational College Khoa Công Nghệ Thông Tin 3. SECURITY OPTIONS (CÁC LỰA CHỌN BẢO MẬT) Accounts Limit local account use of blank passwords to console logon only Mô tả Này thiết lập về bảo mật xác định dù tài khoản cục bộ không là mật khẩu bảo vệ có thể được dùng để đăng nhập từ vị trí ngoại trừ bàn điều khiển máy tính vật lý. Nếu cho phép thì tài khoản cục bộ không là mật khẩu bảo vệ sẽ chỉ có thể đăng nhập tại bàn phím của máy tính. Mặc định : Cho phép. Accounts Rename administrator account Mô tả Này thiết lập về bảo mật xác định dù tên tài khoản khác nhau được kết hợp với mã nhận dạng bảo mật ( SID ) cho người quản lý tài khoản. Vì tài khoản Quản trị viên được cho là tồn tại trên tất cả các máy tính chạy Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, và gia đình Windows Server 2003, đổi tên tài khoản làm nó hơi nhiều hơn khó khăn cho người trái phép để đoán tổ hợp mật khẩu và tên người dùng đặc quyền này. Mặc định : Quản trị viên. Accounts Rename guest account Mô tả Này thiết lập về bảo mật xác định dù tên tài khoản khác nhau được kết hợp với mã nhận dạng bảo mật ( SID ) cho tài khoản " Khách. " Vì tài khoản khách được cho là tồn tại trên tất cả các máy tính chạy Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, và gia đình Windows Server 2003, đổi tên tài khoản làm nó hơi nhiều hơn khó khăn cho người trái phép để đoán tổ hợp mật khẩu và tên người dùng này. Mặc định : Khách Audit the acces of global system objects Mô tả Này thiết lập về bảo mật xác định dù để kiểm toán giao thông của vật thể hệ thống toàn cầu. Nếu chính sách này được cho phép, nó gây ra vật thể hệ thống, như là mutexes ( lẫn nhau độc quyền ), sự kiện, cột đèn tín hiệu xe lửa ( cơ chế khoá sử dụng trong nhà quản lý tài nguyên hoặc người cung cấp nguồn ), DOS và thiết bị, để được tạo ra với danh sách kiểm soát truy cập hệ thống mặc định ( SACL ). Nếu chính sách kiểm toán giao thông vật thể Kiểm toán cũng là được giúp cho có thể, truy cập vào vật thể hệ thống này được kiểm toán. Lưu ý Khi định cấu hình thiết lập về bảo mật này, thay đổi sẽ không có hiệu lực cho đến khi bạn khởi động lại Windows. Đồng Tháp Vocational College Khoa Công Nghệ Thông Tin Mặc định : Vô hiệu hoá. Audit the use of Backup and Restore privilege Mô tả Này thiết lập về bảo mật xác định dù để kiểm toán sử dụng đặc quyền người dùng tất cả, bao gồm Dự phòng và Khôi phục lại, khi chính sách sử dụng đặc quyền Kiểm toán có hiệu lực. Khả năng tạo ra quyền lựa chọn này khi chính sách sử dụng đặc quyền Kiểm toán cũng là được giúp cho có thể tạo ra sự kiện kiểm toán cho mỗi tập tin trở lại lên hoặc khôi phục lại. Nếu bạn vô hiệu hoá chính sách này thì sử dụng Dự phòng hoặc Khôi phục lại đặc quyền không được kiểm toán thậm chí khi sử dụng đặc quyền Kiểm toán được cho phép. Lưu ý Khi định cấu hình thiết lập về bảo mật này, thay đổi sẽ không có hiệu lực cho đến khi bạn khởi động lại Windows. Mặc định : Vô hiệu hoá. Shut down system immediately if unable to log security audits Mô tả Này thiết lập về bảo mật xác định dù hệ thống đóng xuống nếu nó không thể sự kiện an ninh ghi nhận. Nếu thiết lập về bảo mật này được cho phép, nó đã làm cho, hệ thống ngăn chặn nếu một chứng khoán kiểm toán không thể được ghi nhận vì một lý do nào đó. Thông thường, sự kiện không được ghi nhận khi ghi nhận kiểm toán an ninh đầy và phương pháp ứ đọng được ghi rõ cho Security Log hoặc Buổi tiệc Không Ghi đè lên Sự kiện hoặc Sự kiện Ghi đè lên vào ban ngày. Nếu Security Log đầy và khoản mục hiện có không thể bị ghi đè, và tùy chọn an ninh này được cho phép, lỗi dừng sau xuất hiện : Dừng : Kiểm toán { C0000244 Thất bại } Cố gắng tạo ra một chứng khoán kiểm toán thất bại. Để khôi phục, nhà quản lý phải đăng nhập, lưu trữ ghi nhận ( tùy ), xoá sạch nhật ký, và thiết lập trở lại quyền lựa chọn này khi mong đợi. Cho đến thiết lập về bảo mật này là thiết lập trở lại, người dùng không, ngoài thành viên của Nhà quản lý nhóm sẽ có thể đăng nhập đến hệ thống, dù là Security Log không đầy đủ. Lưu ý Khi định cấu hình thiết lập về bảo mật này, thay đổi sẽ không có hiệu lực cho đến khi bạn khởi động lại Windows. Mặc định : Vô hiệu hoá. Allow undock without having to log on Mô tả Này thiết lập về bảo mật xác định dù máy tính xách tay có thể undocked không cần phải đăng nhập. Nếu chính sách này được cho phép, đăng nhập không được yêu cầu và phần cứng nút đẩy ra ngoài có thể được dùng để tách rời máy tính. Nếu vô hiệu hoá, người dùng phải đăng nhập và có đưa máy tính ra khỏi đặc quyền trạm kết nối để tách rời máy tính. Đồng Tháp Vocational College Khoa Công Nghệ Thông Tin Mặc định : Cho phép. Allowed to format and eject removable media Mô tả Này thiết lập về bảo mật xác định được phép định dạng và bật ra phương tiện truyền thông NTFS có thể tháo ra được. Khả năng này có thể được đưa cho : Nhà quản lý Nhà quản lý và Power Users Nhà quản lý và Users Tương tác Mặc định : Nhà quản lý. Prevent users from installing printer drivers Mô tả Cho máy tính để in đến máy in mạng, tài xế cho mạng đó máy in phải cài đặt trên máy tính ở địa phương. Này thiết lập về bảo mật xác định được phép cài tài xế máy in như một phần của thêm máy in mạng. Nếu sắp đặt này được cho phép, chỉ Nhà quản lý và Users Power có thể cài tài xế máy in như một phần của thêm máy in mạng. Nếu sắp đặt này bị vô hiệu, người dùng nào có thể cài tài xế máy in như một phần của thêm máy in mạng. Mặc định : Cho phép trên các server. Vô hiệu hoá trên máy trạm. Restrict CD-ROM access to locally logged-on user only Mô tả Này thiết lập về bảo mật xác định dù CD - ROM dễ dàng hiểu được cho cả người dùng cục bộ lẫn từ xa cùng một lúc. Nếu chính sách này được kích hoạt, cho phép chỉ tương tác nhật kí - trên người dùng truy cập phương tiện CD - ROM có thể tháo ra được. Nếu chính sách này được kích hoạt và không ai là đăng nhập tương tác, CD - ROM có thể được truy cập qua mạng. Mặc định : Vô hiệu hoá. Restrict floppy access to locally logged-on user only Mô tả Này thiết lập về bảo mật xác định dù phương tiện mềm có thể tháo ra được dễ dàng hiểu được cho cả người dùng cục bộ lẫn từ xa cùng một lúc. Nếu chính sách này được kích hoạt, cho phép chỉ tương tác nhật kí - trên người dùng truy cập phương tiện mềm có thể tháo ra được. Nếu chính sách này được kích hoạt và không ai là đăng nhập tương tác, mềm có thể được truy cập qua mạng. Đồng Tháp Vocational College Khoa Công Nghệ Thông Tin [...]... định : Vô hiệu hoá PHẦN III : TỔNG KẾT Local Policies là một công cụ cho phép người quản trị mạng có thể thiết lập các chính sách để giám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung Đồng thời dựa vào công cụ này người quản trị mạng có thể cấp quyền hệ thống cho các tài khoản và thiết lập các lựa chọn bảo mật cho các tài khoản đó Bài báo cáo có sự tham khảo về nội dung của một... and security model for local accounts Mô tả Thiết lập về bảo mật này xác định cách logons mạng sử dụng tài khoản cục bộ là xác thực Nếu thiết lập này là ấn định thành Tác phẩm kinh điển, logons mạng sử dụng thông tin tài khoản cục bộ xác thực bằng cách sử dụng các khả năng đó Nếu thiết lập này là ấn định thành Khách chỉ, logons mạng sử dụng tài khoản cục bộ tự động ánh xạ tới tài khoản khách Mô hình... hợp pháp, chẳng hạn, để cảnh báo người dùng về khía cạnh phát sinh của dùng sai thông tin của công ty hoặc để cảnh báo họ hành động của chúng có thể là kiểm tra Đồng Tháp Vocational College Khoa Công Nghệ Thông Tin Mặc định : thông báo Không Message title for users attempting to log on Mô tả Thiết lập về bảo mật này cho phép đặc tả của tiêu đề để xuất hiện trong thanh tiêu đề của cửa sổ chứa đăng nhập... thành viên miền thường xuyên thay đổi mật khẩu tài khoản máy tính của nó Nếu thiết lập này được kích hoạt, thành viên miền không cố gắng thay đổi mật khẩu tài khoản máy tính của nó Nếu thiết lập này bị vô hiệu, thành viên miền cố gắng thay đổi mật khẩu tài khoản máy tính của nó khi xác định bởi thiết lập cho Thành viên Miền : tuổi Tối đa cho mật khẩu tài khoản máy, theo mặc định là 30 ngày một lần... hình Cổ điển cho phép đẹp kiểm soát truy cập vào tài nguyên Bằng cách sử dụng mô hình Cổ điển, bạn có thể cấp các loại truy cập khác nhau để người dùng khác nhau cho nguồn lực giống nhau Do sử dụng Khách chỉ mô hình, bạn có thể có tất cả người dùng đối xử chia đều Tất cả người dùng xác thực khi Khách, và tất cả bọn họ đều nhận cùng mức truy cập đến tài nguyên nhất định, vừa có thể chỉ đọc hoặc Sửa... vẹn của thông báo có thể được đánh giá qua chữ ký điện tử Chữ ký điện tử chứng minh rằng thông báo đã không bị can thiệp vào với do đính kèm chữ ký mật mã mà nhận dạng người gửi và là biểu diễn số của nội dung của thông báo Chữ ký này đảm bảo rằng thông báo đã không bị can thiệp vào với Đòi hỏi bảo mật thông báo Kết nối sẽ thất bại nếu mã hoá không được thương lượng Mã hoá biến dữ liệu thành lập công... thay đổi mật khẩu tài khoản máy tính Theo mặc định, máy tính thành viên thay đổi mật khẩu tài khoản máy tính của chúng 30 ngày một lần Nếu cho phép, bộ điều khiển miền sẽ từ chối yêu cầu thay đổi mật khẩu tài khoản máy tính Đồng Tháp Vocational College Khoa Công Nghệ Thông Tin Nếu nó được kích hoạt, thiết lập này không để bộ điều khiển miền chấp nhận bất cứ thay đổi mật khẩu của tài khoản máy tính... viên miền sẽ cố gắng thay đổi mật khẩu tài khoản máy tính của nó Mặc định : ngày thứ 30 Require strong (Windows 2000 or later) session key Mô tả Này thiết lập về bảo mật xác định dù 128 -bit sức mạnh then chốt cần phải có đối với mã hoá kênh bảo mật dữ liệu Khi máy tính tham gia miền, tài khoản máy tính đã được tạo lập Sau đó, khi hệ thống bắt đầu, nó dùng mật khẩu tài khoản máy tính để tạo ra kênh bảo... xuất hiện trong thanh tiêu đề của cửa sổ chứa đăng nhập Tương tác : văn bản Thông báo cho người dùng cố gắng đăng nhập Mặc định : thông báo Không Number of previous logons to cache (in case domain controller is not available) Mô tả Xác định số lần người dùng có thể đăng nhập vào miền Windows sử dụng bộ nhớ cache thông tin tài khoản Thông tin đăng nhập tất cả của người dùng trước đây là bộ nhớ cache cục... bảo mật thông báo ( mã hoá ), tính toàn vẹn của thư, mã hoá 128 bit, hoặc bảo mật phiên NTLMv2 Giá trị này phụ thuộc Mức Việc xác thực trình quản lý mạng LAN thiết lập về bảo mật giá trị Đòi hỏi tính toàn vẹn của thư Kết nối sẽ thất bại nếu tính toàn vẹn của thư không được thương lượng Tính toàn vẹn của thông báo có thể được đánh giá qua chữ ký điện tử Chữ ký điện tử chứng minh rằng thông báo đã không . NGHỆ THÔNG TIN  LOCAL POLICY SINH VIÊN THỰC HIỆN: TRẦN TRUNG HIẾU (CQM10A) Đồng Tháp, ngày 3 tháng 1 năm 2012 PHẦN I: GI ỚI THIỆU VỀ LOCAL POLICY Chính sách cục bộ (Local Policies) cho. hóa tài khoản Quản trị viên có thể trở thành vấn đề bảo trì tùy trường hợp. Chẳng hạn như, trong môi trường miền, nếu kênh bảo mật là tham gia của bạn không vì một lý do nào đó, và không có tài. account Mô tả Này thiết lập về bảo mật xác định dù tên tài khoản khác nhau được kết hợp với mã nhận dạng bảo mật ( SID ) cho người quản lý tài khoản. Vì tài khoản Quản trị viên được cho là tồn tại trên