Chính sách cục bộ (Local Policies) cho phép thiết lập các chính sách giám sát các đối tượng trên mạng như người dùng và tài nguyên chung. Đồng thời có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mật với người dùng
CHÍNH SÁCH CỤC BỘ Chính sách cục (Local Policies) cho phép thiết lập sách giám sát đối tượng mạng người dùng tài nguyên chung Đồng thời cấp quyền hệ thống cho người dùng thiết lập lựa chọn bảo mật với người dùng 2.2.1 Chính sách kiểm toán Chính sách kiểm toán (Audit Policies) giúp ta giám sát ghi nhận kiện xảy hệ thống, đối tượng người dùng Có thể xem ghi nhận thông qua công cụ Event Viewer, thư mục Security Các lựa chọn sách kiểm toán: Bảng 2.4 Chính sách kiểm toán Chính sách Mô tả Audit Account Logon Events Kiểm toán tài khoản đăng nhập Audit Account Managements Hệ thống ghi nhận tài khoản người dùng có thay đổi thông tin hay thao tác quản trị liên quan đến tài khoản người dùng Audit Directory Service Access Ghi nhận việc truy cập dịch vụ thư mục Audit Logon Events Ghi nhận kiện liên quan đến trình logon thi hành logon Script hay truy cập đến roaming profile Audit Object Access Audit Policy Change Audit Privilege Use Ghi nhận việc truy cập tập tin, thư mục, máy in Ghi nhận thay đổi sách kiểm toán Hệ thống ghi nhận lại ta thao tác quản trị quyền hệ thống cấp xóa quyền Audit Process Tracking Theo dõi hoạt động chương trình hay hệ điều hành Audit System Events Hệ thống ghi nhận bạn khởi động lại máy hay tắt máy 2.2.2 Quyền hệ thống người dùng Quyền hệ thống người dùng (User Rights Assignment) quyền hệ thống cung cấp cho người dùng quyền quản trị sử dụng hệ thống Có cách cấp quyền hệ thống cho người dùng: - Thêm tài khoản người dùng vào nhóm tạo sẵn (built-in) để thừa kế - Dùng công cụ User Right Assigment để gán quyền rời rạc cho người dùng Hình 2.4 Các sách User Rights Assignment Muốn thêm hay bớt quyền hạn cho người dùng nhóm, ta nhấp đôi chuột vào quyền hạn chọn, xuất hộp thoại chứa danh sách người dùng nhóm có quyền Nhấp chuột vào nút Add để thêm người dùng, nhóm vào danh sách, remove để xóa người dùng khỏi danh sách Bảng 2.5 Danh sách quyền hệ thống cấp cho người dùng nhóm Quyền Mô tả Access This Computer From The Cho phép người dùng truy cập máy tính mạng Mặc định người có Network quyền Act As Part Of The Operating Cho phép dịch vụ chứng thực mức System thấp với người dùng Add Workstations To The Cho phép người dùng thêm tài khoản Domain máy tính vùng Chỉ định phép điều chỉnh tiêu Adjust Memory Quotas For A nhớ dành cho trình xử lý Process Chính sách làm tăng hiệu suất hệ thống Allow Log On Locally Cho phép người dùng nhóm truy cập đến máy tính cục Allow Log On Through Terminal Cho phép phép sử dụng dịch vụ Services Terminal để đăng nhập vào hệ thống Back Up Files And Directories Bypass Traverse Checking Cho phép người dùng lưu dự phòng tập tin thư mục bất chấp tập tin thư mục người có quyền hay không Cho phép người dùng duyệt qua cấu trúc thư mục người dùng quyền xem nội dung thư mục Change The System Time Cho phép người dùng thay đổi hệ thống máy tính Create A Pagefile Thiết lập user phép tạo nhớ ảo Change The Time Zone Cho phép người dùng thay đổi múi Cho phép tiến trình tạo thẻ tiến trình dùng NTCreate Token API Create Permanent Shared Cho phép tiến trình tạo đối tượng thư mục thông qua Windows 2008 Object Objects Manager Cho phép người dùng gắn chương Debug Programs trình debug vào tiến trình Cho phép bạn khóa người dùng hay nhóm Deny Access To This Computer không truy cập đến máy tính From The Network mạng Create A Token Object Deny Logon As A Batch File Deny Logon As A Service Deny Log On Locally Cho phép bạn ngăn cản người dùng nhóm phép logon batch file Cho phép bạn ngăn cản người dùng nhóm truy cập services Cấm User Logon cục Enable Computer And User Cho phép người dùng hay nhóm ủy Account To Be Trusted By quyền cho người dùng hay đối tượng Deletgation máy tính Force Shutdown From A Remote Cho phép người dùng Shutdown hệ thống System từ xa thông qua mạng Cho phép người dùng, nhóm hay tiến Generate Security Audits trình tạo entry vào Security log Increase Scheduling Priority Load And Drivers Upload Lock Pages In Memory Log On As A Batch Job Log On As A Service Log On Locally Quy định tiến trình tăng hay giảm độ ưu tiên gắn cho tiến trình khác Device Cho phép người dùng cài đặt hay gỡ bỏ driver thiết bị Khóa trang vùng nhớ Cho phép tiến trình logon vào hệ thống thi hành tập tin chứa lệnh hệ thống Cho phép dịch vụ logon thi hành dịch vụ riêng Thiết lập User Logon cục Manage Auditing And Security Cho phép người dùng quản lý security log Log Modify Firmware Environment Cho phép người dùng hay tiến trình Values hiệu chỉnh biến môi trường hệ thống Cho phép người dùng giám sát tiến Profile Single Process trình bình thường thông qua công cụ Performancer Logs and Alerts Cho phép người dùng giám sát tiến Profile System Performance trình hệ thống thông qua công cụ Performance Logs and Alerts Remove Computer From Cho phép người dùng gỡ bỏ Laptop Docking Station thông qua giao diện người dùng Cho phép tiến trình thay token Replace A Process Level Token mặc định mà tạo tiến trình Restore Files And Directories Cho phép người dùng phục hồi tập tin thư mục, bất chấp người dùng có quyền file thư mục hay không Shut Down The System Cho phép người dùng shutdown máy cục windows 2008 Synchronize Directory Service Cho phép người dùng đồng liệu với Data dịch vụ thư mục Take Ownership Of Files Or Cho phép người dùng tước quyền sở hữu Others Objects đối tượng hệ thống 2.2.3 Các lựa chọn bảo mật Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server khai báo thêm thông số nhằm tăng tính bảo mật cho hệ thống không cho phép hiển thị người dùng logon trước hay đổi tên tài khoản người dùng tạo sẵn (administrator, guest) Hình 2.5 Các sách Security Options Trong hệ thống Windows Server 2008 hỗ trợ cho nhiều lựa chọn bảo mật, kể đến vài lựa chọn bảo mật thông dụng sau: Bảng 2.5 Một số lựa chọn bảo mật Tên lựa chọn Mô tả Accounts: Administrator account status Trạng thái hoạt động Administrator Accounts: Guest account status Trạng thái hoạt động User Guest Accounts: Limit local account use of blank Đăng nhập không cần mật passwords to console logon only Accounts: Rename administrator account Cho phép đổi tên tài khoản Administrator thành tên Accounts: Rename guest account Cho phép đổi tên tài khoản Guest thành tên Audit: Audit the access of global system Kiểm toán cấc truy nhập object đối tượng hệ thống toàn cục Audit: Audit the use of Backup and Restore Kiểm toán việc sử dụng lưu privilege khôi phục đặc quyền Kiểm toán việc tắt hệ thống Audit: Shutdown system immediately if unable to log security audits đăng nhập kiểm toán bảo mật Devices: Allow unlock without having to Cho phép mở khóa mà không log on cần đăng nhập vào Devices: Prevant user from installing printer Không cho phép cài Printer drivers Devices: Restrict CD-ROM access to locally Cấm truy nhập từ xa tới CD – logged – user only ROM Devices: Restrict floppy access to locally Cấm truy nhập từ xa tới FDD logged-on user only Cho phép nhóm Server Domain Controller: Allow server operators Operator lập lịch tác vụ to schedule tasks server Domain Controller: Refuse machine account Tài khoản máy không password changes thay đổi mật Domain member: Disable machine account Vô hiệu hóa tài khoản thay đổi password changes mật Domain member: Maximum account password age machine Mật tài khoản máy có số ngày tối đa Domain member: Require strong session Yêu cầu khóa phải mạnh key Interactive logon: Do not display last user Không hiển thị tên người dùng name cuối Interactive logon: CTRL+ALT+DEL Do not require Không yêu cầu bấm phím CTRL+ALT+DEL logon Interactive logon: Message text for user Tạo câu thông báo cho người attempting to log on on and message title for dùng đăng nhập vào máy tính users attempting to log in nhập dòng tiêu đề Interactive logon: Prompt user to change Nhắc nhở người dùng thay đổi password before expiration mật trước hết hạn Interactive logon: Require Controller authentication to workstation Domain Yêu cầu chứng thực Domain unlock Controller để mở khóa máy trạm Interactive logon: Require smart card Yêu cầu thẻ Interactive logon: Smart card removal Loại bỏ thẻ behavior Microsoft network server: Disconnect Ngắt kết nối máy khách clients when logon hours expire đăng nhập hết hạn Recovery console: administrator logon Allow automatic Cho phép administrator tự động đăng nhập Cho phép copy đĩa mềm truy Recovery console: Allow floppy coppy and cập vào tất ổ đĩa thư access to all drives and folder mục Shutdown: Allow system to be shut down Cho phép người dùng tắt hệ without having to log on thống mà không cần đăng nhập System cryptography: Use FIPS compliant Hệ thống mật mã: Sử dụng algorithms for encryption, hashing and FIPS tuân thủ thuật toán mã singing hóa Tăng cường cho phép mặc định System object: Strengthen default đối tượng hệ thống nội permissions of internal system object System settings: Optinal subsystems Tùy chọn hệ thống Shutdown: Clear vitual memory pagefile Xóa nhớ ảo tắt hệ thống ... có quyền Nhấp chuột vào nút Add để thêm người dùng, nhóm vào danh sách, remove để xóa người dùng khỏi danh sách Bảng 2.5 Danh sách quyền hệ thống cấp cho người dùng nhóm Quyền Mô tả Access This... Quotas For A nhớ dành cho trình xử lý Process Chính sách làm tăng hiệu suất hệ thống Allow Log On Locally Cho phép người dùng nhóm truy cập đến máy tính cục Allow Log On Through Terminal Cho phép... cho người dùng Hình 2.4 Các sách User Rights Assignment Muốn thêm hay bớt quyền hạn cho người dùng nhóm, ta nhấp đôi chuột vào quyền hạn chọn, xuất hộp thoại chứa danh sách người dùng nhóm có quyền