TRƯỜNG TRUNG CẤP TÂY BẮC KHOA: CÔNG NGHỆ THÔNG TIN CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM (GROUP POLICY) CHƯƠNG IV: CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM I Chính sách hệ thống  Chính sách tài khoản người dùng  Chính sách cục  IPSec II Chính sách nhóm  Giới thiệu  Triễn khai sách nhóm miền  Một số minh họa GPO người dùng cấu hình máy I CHÍNH SÁCH HỆ THỐNG I.1 Chính sách tài khoản người dùng  Chính sách tài khoản người dùng (Account Policy) dùng để định thông số tài khoản người dùng mà sử dụng tiến trình logon xảy  Muốn cấu hình sách tài khoản người dùng ta vào: Start / Programs / Administrative Tools / Domain Security Policy Local Security Policy I CHÍNH SÁCH HỆ THỐNG I.1.1 Chính sách mật  Chính sách mật (Password Policies) nhằm đảm bảo an toàn cho mật người dùng để tránh trường hợp đăng nhập bất hợp pháp vào hệ thống I CHÍNH SÁCH HỆ THỐNG Chính sách Mô tả Mặc định Enforce Password History Số lần đặt mật mã không trùng 24 Maximum Password Age Quy định số ngày nhiều mà mật mã người dùng có hiệu lực 42 Minimum Password Age Quy số ngày tối thiểu trước người dùng thay đổi mật mã Minimum Password Length Chiều dài ngắn mật mã Passwords Must Meet Complexity Requirements Mật phải có độ phức tạp như: có ký Cho phép tự hoa, thường, có ký số Store Password Using Reversible Encryption for All Users in the Domain Mật mã người dùng lưu dạng mã hóa Không cho phép I CHÍNH SÁCH HỆ THỐNG I.1.2 Chính sách nhóm  Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức thời điểm khóa tài khoản vùng hay hệ thống cục Chính sách giúp hạn chế công thông qua hình thức logon từ xa  Các thông số cấu hình sách khóa tài khoản: Chính sách Account Lockout Threshold Mô tả Giá trị mặc định Quy định số lần cố gắng đăng nhập trước tài khoản bị khóa (tài khoản không bị khóa) Account Lockout Duration Quy định thời gian khóa tài khoản Là 0, Account Lockout Threshold thiết lập giá trị 30 phút Reset Account Lockout Counter After Quy định thời gian đếm lại số lần đăng nhập không thành công Là 0, Account Lockout Threshold thiết lập giá trị nàylà 30 phút I CHÍNH SÁCH HỆ THỐNG II.2 Chính sách cục  Chính sách cục (Local Policies) cho phép bạn thiết lập sách giám sát đối tượng mạng người dùng tài nguyên dùng chung II.2.1 Chính sách kiểm toán  Chính sách kiểm toán (Audit Policies) giúp bạn giám sát ghi nhận kiện xảy hệ thống, đối tượng người dùng Bạn xem ghi nhận thông qua công cụ Event Viewer, mục Security I CHÍNH SÁCH HỆ THỐNG Chính sách Audit Account Logon Events Mô tả Kiểm toán kiện tài khoản đăng nhập, hệ thống ghi nhận người dùng logon, logoff tạo kết nối mạng Audit Account Management Hệ thống ghi nhận tài khoản người dùng nhóm có thay đổi thông tin hay thao tác quản trị liên quan đến tài khoản người dùng Audit Directory Service Access Ghi nhân việc truy cập dịch vụ thư mục Audit Logon Events Ghi nhận kiện liên quan đến trình logon thi hành logon script truy cập đến roaming profile Audit Object Access Ghi nhận việc truy cập tập tin, thư mục, máy tin Audit Policy Change Audit privilege use Ghi nhận thay đổi sách kiểm toán Hệ thống ghi nhận lại bạn bạn thao tác quản trị quyền hệ thống cấp xóa quyền Audit process tracking Kiểm toán theo dõi hoạt động chương trình hay hệ điều hành Audit system event Hệ thống ghi nhận bạn khởi động lại máy tắt máy I CHÍNH SÁCH HỆ THỐNG I.2.2 Quyền hệ thống người dùng  Đối với hệ thống Windows Server 2003, bạn có hai cách cấp quyền hệ thống cho người dùng là: gia nhập tài khoản người dùng vào nhóm tạo sẵn (built-in) để kế thừa quyền bạn dùng công cụ User Rights Assignment để gán quyền rời rạc cho người dùng  Để cấp quyền hệ thống cho người dùng theo cách thứ hai bạn phải dùng công cụ Local Security Policy (nếu máy bạn Domain Controller) Domain Controller Security Policy (nếu máy bạn Domain Controller) I CHÍNH SÁCH HỆ THỐNG  Trong hai công cụ bạn mở mục Local Policy\ User Rights Assignment 10 II CHÍNH SÁCH NHÓM • Bạn có nhiều mức độ để gán sách nhóm cho người nhóm người nhóm đối tượng • Chính sách nhóm có nhiều ưu điểm áp dụng máy Win2K, WinXP Windows Server 2003 II.1.2 Chức Group Policy • Triển khai phần mềm ứng dụng • Gán quyền hệ thống cho người dùng • Giới hạn ứng dụng mà người dùng phép thi hành • Kiểm soát thiết lập hệ thống • Thiết lập kịch đăng nhập, đăng xuất, khởi động tắt máy • Đơn giản hóa hạn chế chương trình • Hạn chế tổng quát hình Desktop người dùng 34 II CHÍNH SÁCH NHÓM II.2 Triển khai sách nhóm miền  Chúng ta cấu hình triển khai Group Policy cách xây dựng đối tượng sách (GPO) Bạn dùng chương trình Group Policy Object Editor để tạo đối tượng sách Trong sổ Group Policy Object Editor có hai mục chính: cấu hình máy tính (computer configuration) cấu hình người dùng (user configuration) 35 II CHÍNH SÁCH NHÓM II.2.1 Xem sách cục máy tính xa  Để xem sách cục máy tính khác miền, bạn phải có quyền quản trị máy quản trị miền Lúc bạn dùng lệnh GPEDIT.MSC /gpcomputer:machinename II.2.2 Tạo sách miền  Dùng Snap-in Group Policy Active Directory User and Computer gọi trược tiếp tiện ích Group Policy Object Editor từ dòng lệnh máy Domain Controller để tạo sách nhóm cho miền 36 II CHÍNH SÁCH NHÓM  Trong hộp thoại xuất bạn chọn Tab Group Policy 37 II CHÍNH SÁCH NHÓM  Bạn chọn sách Default Domain Policy nhấp chuột vào nút Option để cấu hình lựa chọn việc áp dụng sách Trong hộp thoại Options, bạn đánh dấu vào mục No Override sách khác áp dụng dòng không phủ thiết định sách này, cho dù sách không đánh dấu vào mục Block Policy inheritance Tiếp theo bạn đánh dấu vào mục Disabled, sách không hoạt động cấp này, việc Disable sách cấp không làm disable thân đối tượng sách 38 II CHÍNH SÁCH NHÓM  Để tạo sách bạn nhấp chuột vào nút New, sau nhập tên sách Để khai báo thêm thông tin cho sách bạn nhấp chuột vào nút Properties, hộp thoại xuất có nhiều Tab, bạn vào TaLinks để site, domain OU liên kết với sách Trong Tab Security cho phép bạn cấp quyền cho người dùng nhóm người dùng có quyền sách 39 II CHÍNH SÁCH NHÓM  Trong hộp thoại Group Policy sách áp dụng từ lên trên, sách nằm áp dụng cuối Do đó, GPO nằm cao danh sách có độ ưu tiên cao hơn, chúng có thiết định mâu thuẫn sách nằm thắng Vì lý nên Microsoft thiết kế hai nút Up Down giúp di chuyển sách lên hay xuống 40 II CHÍNH SÁCH NHÓM  Trong nút mà chưa khảo sát có nút quan trọng hộp thoại nút Edit Bạn nhấp chuột vào nút Edit để thiết lập thiết định cho sách này, dựa khả Group Policy bạn thiết lập thứ mà bạn muốn Chúng ta khảo sát số ví dụ minh họa phía sau 41 II CHÍNH SÁCH NHÓM II.3 Một số minh họa Gro người dùng cấu hình máy II.3.1 Khai báo logon script dùng sách nhóm  Trong Windows Server 2003 hỗ trợ cho bốn kiện để kích hoạt kịch (script) hoạt động là: startup, shutdown, logon, logoff • Để khai báo kịch hoạt động startup, shutdown, bạn vào Computer Configuration / Windows Setttings / Scripts • Để khai báo kịch hoạt động logon, logoff bạn vào User Configuration / Windows Setttings / Scripts 42 II CHÍNH SÁCH NHÓM  Nhấp đúp chuột vào mục Logon bên sổ bên phải, hộp thoại xuất hiện, bạn nhấp chuột tiếp vào nút Add để khai báo tên tập tin kịch cần thi hành đăng nhập 43 II CHÍNH SÁCH NHÓM  Thư mục thay đổi, tốt bạn nên nhấp chuột vào nút Show Files phía hộp thoại để xem thư mục cụ thể chứa tập tin kịch Nội dung script thay đổi tùy theo yêu cầu bạn 44 II CHÍNH SÁCH NHÓM Tiếp theo để kiểm soát trình thi hành tập tin script, bạn cần hiệu chỉnh sách Run logon scripts visible trạng thái Enable Trạng thái giúp bạn phát lỗi phát sinh tập tin script thi hành từ sửa chữa Để thay đổi sách bạn nhấp chuột vào mục: User Configuration / Administrative Templates / System /Scripts, sau nhấp đúp chuột vào mục Run logon scripts visible để thay đổi trạng thái 45 II CHÍNH SÁCH NHÓM II.3.2 Hạn chế chức Internet Explorer  Chúng ta muốn người dùng máy trạm không phép thay đổi thông số Tab Security, Connection Advanced hộp thoại Internet Options công cụ Internet Explorer  Trong công cụ Group Policy Object Editor: User Configuration /Administrative Templates / Windows /InternetExplorer / Internet Control Panel 46 Components II CHÍNH SÁCH NHÓM III.3.3 Chỉ cho phép số ứng dụng thi hành  Để cấu hình Group Policy cho phép người dùng máy trạm sử dụng vài ứng dụng đó, công cụ Group Policy Object Editor, bạn vào User Configuration / Administrative Templates Sau nhấp đúp chuột vào mục Run only allowed windows applications để định phần mềm phép thi hành 47 THE END 48