Đang tải... (xem toàn văn)
tài liệu trình bày về Local Group policy trong Windows Server 2012. Group Policy có thể dùng để triển khai phần mềm cho một hoặc hoặc nhiều máy trạm nào đó một cách tự động; để ấn định quyền hạn cho một số người dùng mạng, để giới hạn những ứng dụng mà người dùng được phép chạy; để kiểm soát hạn ngạch sử dụng đĩa trên các máy trạm; để thiết lập các kịch bản (script) đăng nhập (logon), đăng xuất (logout), khởi động (start up) và tắt máy (shutdown).
23/4/2019 MCSA 2012: Local Group Policy - Technology Diver MCSA 2012: Local Group Policy By Quách Chí Cường - 17/09/2018 MCSA 2012: Local Group Policy – Cuongquach.com | Bài xin trình bày Local Group policy Windows Server 2012 Group Policy dùng để triển khai phần mềm cho hoặc nhiều máy trạm cách tự động; để ấn định quyền hạn cho số người dùng mạng, để giới hạn ứng dụng mà người dùng phép chạy; để kiểm soát hạn ngạch sử dụng đĩa máy trạm; để thiết lập kịch (script) đăng nhập (logon), đăng xuất (logout), khởi động (start up) tắt máy (shutdown) Có thể bạn quan tâm chủ đề khác – Xử lý lỗi RDP “This could be due to CredSSP encryption oracle ” – MCSA 2012: Tìm hiểu File Server Resource Manager – MCSA 2012: Distributed File System (DFS) – Video Quản trị Windows Server 2016 – Itech https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 1/17 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver Contents Local Group Policy ? Cơng cụ quản lý local group policy Mở trình quản lý Local Group Policy Đặc điểm trình quản lý Local Group Policy Một số Local Policy thường dùng Display shutdown event tracker Các policy liên quan đến Control Panel Các policy liên quan đến Desktop Các policy liên quan đến Start Menu Taskbar Các policy liên quan đến System Local Security Policy (chính sách bảo mật) Các security policy thường gặp Account Policies (chính sách tài khoản) Local Policies (các sách cục bộ) Các policy liên quan đến vấn đề truy cập tài nguyên mạng Local Group Policy ? Khi user đăng nhập họ chịu áp đặt Hệ Điều Hành, q trình quản lý ta có nhu cầu hạn chế hay thêm vào quyền hạn họ truy cập ứng dụng hay truy cập tài nguyên Các thời HĐH windows cũ ta phải mở file system.ini để cấu hình Từ windows 98 trở lên, Microsoft cho phép ta thực cấu hình Registry, cơng cụ admin thiết lập quy định áp đặt lên hệ thống, user Vì việc chỉnh sửa registry phức tạp, Microsoft lấy số key registry để tạo thành Group Policy (chính sách nhóm) giúp admin chỉnh sữa dễ dàng Group Policy áp dụng lên local computer hay môi trường domain Group Policy local computer gọi Local Group Policy (local policy) https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 2/17 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver Công cụ quản lý local group policy Mở trình quản lý Local Group Policy Mở trình panel ‘Local Group Policy Editor‘ cách sau : + Cách 1: Run > gpedit.msc + Cách 2: Run -> mmc (giao diện console root) Menu File chọn Add/Remove Snap-in Chọn Group Policy Object Editor, để mặc định Local computer -> add save lại https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 3/17 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 4/17 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver Đặc điểm trình quản lý Local Group Policy Policy gồm phần: Computer Configuration: thiết lập policy phần đối tượng bị tác động computer user account User Configuration: đối tượng bị tác động user account Các giá trị có Policy Windows: Not configured/Defined: không can thiệp vào policy, để mặc định theo Microsoft ( giá trị mặc định có lúc disable policy, có lúc enable policy) Enabled: bật policy Disable: tắt policy Cách áp đặt policy hiệu chỉnh cho hệ thống: Một số đặc điểm khác sau: Một số Policy tự động có hiệu lực Ta vào run -> cmd, dùng lệnh: gpupdate /force để bắt buộc hệ thống cập nhật policy Nếu gpupdate /force mà chưa thấy có hiệu lực log off sau log on lại bước khơng dùng Restart server (lưu ý: dùng cách khơng có hiệu lực) Một số Local Policy thường dùng Display shutdown event tracker Bật/Tắt chức “Display shutdown event tracker“: chức bắt ta khai báo lý tắt server https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 5/17 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver Computer configuration > Administrative Templates > System – bên phải chọn Display shutdown event tracker https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 6/17 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver Các policy liên quan đến Control Panel Mở danh mục Policy liên quan đến Control Panel User Configuration > Administrative Templates > Control Panel + Show only specified Control Panel items: cho phép sử dụng số item control panel admin định Bạn kích hoạt “enable” click show, ta nhập tên item control panel mà ta cho phép hiển thị Ví dụ : cho phép hiển thị item fonts https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 7/17 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver – Gõ lệnh cập nhật cmd gpupdate /force Kết quả: https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 8/17 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver + Prohibit access to Control Panel and PC settings: cấm truy cập Control Panel Bất lợi policy thiết lập liên quan đến control panel bị cấm ( Screen solution, Properties Computer, v.v bị cấm) Các policy liên quan đến Desktop Mở danh mục Policy liên quan đến Desktop User Configuration > Administrative Templates > Desktop + Remove Recycle Bin icon from desktop: icon Recycle Bin desktop (muốn enable policy này) https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 9/17 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver Các policy liên quan đến Start Menu Taskbar Mở danh mục Policy liên quan đến Start Menu Taskbar User Configuration > Administrative Templates > Start Menu and Taskbar + Remove Run menu from Start menu: cấm chạy menu Run (bấm Windows + R bị cấm) Các policy liên quan đến System + Prevent access to the command prompt: cấm sử dụng cmd + Don’t run specified Windows application: cấm ứng dụng Windows Kích hoạt ‘enable’, chọn show Mỗi ứng dụng có file thực thi (*.exe), cần add file thực thi policy cấm ứng dụng Ví dụ: cấm internet explore (IE), file thực thi IE iexplore.exe https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 10/17 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver + Run only specified Windows application: cho chạy ứng dụng định Local Security Policy (chính sách bảo mật) Nó nằm danh mục đường dẫn sau: Computer Configuration\ Windows Settings\ Security Settings mở lệnh > secpol.msc Các security policy thường gặp Account Policies (chính sách tài khoản) 1/ Password Policies: sách liên quan đến mật https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 11/17 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver Minimum password length: quy định chiều dài tối thiểu mật Minimum password age: tuổi thọ tối thiểu password, quy định sau ngày password đổi Maximum password age: tuổi thọ tối đa password (mặc định 42 ngày) Lúc user khơng muốn thay đổi password đặt lại password cũ, ta cần policy để ngăn cản việc : Enforce password history: chọn nhớ password trước user Lần đặt pass: 12 nhớ lại, nhớ tối đa số mà ta định Theo yêu cầu Microsoft nên để 24 (!!) Password must meet complexity requirements: phải đặt password phức tạp (xem lại bà Local User and Group) Nếu không muốn đặt phức tạp disable Store passwords using reversible encryption: mặc định windows lưu user, password dạng mã hóa file SAM (Security Account Manager), có dạng mã hóa Reversible (có thể dịch ngược – mã hóa chiều) Irreversible ( khơng thể dịch ngược – mã hóa chiều) Nếu enable hệ thống mã hóa chiều, làm giảm độ an tồn có người lấy file SAM 2/ Account lockout Policy: sách khóa tài khoản https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 12/17 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver Account lockout threshold: ngưỡng để quy định khóa tài khoản (mặc định khơng khóa) Nếu ta định threshold nhập sai password lần khóa tài khoản (lần nhập không được) Dùng để chống dị mật Account lockout duration (T1): khóa tài khoản vịng phút (giả sử ta khóa 30 phút) Reset account lockout counter after (T2): nhờ có đếm (counter) mà hệ thống thống kê số lần đăng nhập sai, policy quy định thời gian đếm reset lại Lúc người dùng tiếp tục đăng nhập Lưu ý: thời gian T1 >= T2 Khi tài khoản bị khóa dấu check “Account is locked out” Nếu người dùng không muốn đợi đến hết thời gian T2 để đăng nhập nhờ admin bỏ check Nếu T1 = tài khoản bị khóa admin bỏ check Local Policies (các sách cục bộ) 1/ User rights assignment: gán quyền cho người dùng https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 13/17 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver Allow log on locally: cho phép đăng nhập máy Deny log on locally: cấm đăng nhập máy ( user vừa Allow, vừa bị Deny Deny mạnh => bị cấm log on) Shut down the system: cho phép user tắt máy Change the system time: cho phép chỉnh hệ thống 2/ Security Option Trong giao diện log-on, mặc định hệ thống hiển thị user có => không bảo mật, ta dùng policy Interactive logon: Do not display last user name (không hiển thị user name cuối đồng thời không user đăng nhập) Interactive logon: Do not require CTRL + ALT + DEL : log-on không cần bấm tỗ hợp phím Shutdown: Allow system to be shutdown without having to log on: cho phép tắt máy mà không cần log on Account: Rename administrator account : đổi tên tài khoản administrator Các policy liên quan đến vấn đề truy cập tài nguyên mạng secpol.msc -> security options -> local policies 1./ Security Options Network access: Sharing and security model for local accounts: Các chế độ truy cập mạng Classic (default) : cho phép chứng thực tài khoản local computer máy chia sẻ Guest: cho phép vào tài khoản guest Account: Limit local account use of blank password to console log on only: cấm tài khoản khơng có password truy cập tài nguyên https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 14/17 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver 2./ User Rights Assignment Access this computer from the network: cho phép user, group truy cập tài nguyên (mặc định tất user) Deny access to this computer from the network : cấm user, group truy cập tài nguyên (nếu vừa allow, vừa deny deny ưu tiên hơn) ******************************************************************* Như trình bày, policy ta vừa kể Local Group Policy áp đặt cho tất user hệ thống Từ Windows Vista trở lên, Microsoft hỗ trợ công cụ áp policy cho user cụ thể Local User Policy Start -> Run -> MMC -> Add/Remove Snap-in -> Group Policy Object Editor -> Browse > tab user định user cụ thể -> OK (muốn thêm user làm lại nhiêu lần) https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 15/17 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver Lưu ý 1: Các policy lưu file có đường dẫn là: C:\ Windows \ System32 \ Group Policy Mặc định folder Group Policy bị ẩn, ta phải hiển thị file ẩn https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 16/17 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver Machine: lưu policy máy tính, User: policy liên quan đến user Ta xóa folder restart Windows phát sinh cấu hình default => policy Lưu ý 2: Ta nhận thấy Administrator đăng nhập vào safe mode bị disable, để bảo mật tài khoản Administrator (built-in) ta cần làm bước sau: Tạo user add vào group Administrators Rename tài khoản Administrator built-in Đặt password phức tạp cho Administrator built-in Nếu bạn muốn tìm hiểu thêm policy download file : Tài liệu GPEDIT.MSC Nguồn: https://cuongquach.com Quách Chí Cường https://cuongquach.com/ Bạn theo dõi website "https://cuongquach.com/" nơi lưu trữ kiến thức tổng hợp chia sẻ cá nhân Quản Trị Hệ Thống Dịch Vụ & Mạng, xây dựng lại tảng kinh nghiệm thân mình, Quách Chí Cường Hy vọng bạn thích nơi ! https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 17/17 ...23/4/2019 MCSA 2012: Local Group Policy - Technology Diver Contents Local Group Policy ? Cơng cụ quản lý local group policy Mở trình quản lý Local Group Policy Đặc điểm trình quản lý Local Group Policy. .. thành Group Policy (chính sách nhóm) giúp admin chỉnh sữa dễ dàng Group Policy áp dụng lên local computer hay mơi trường domain Group Policy local computer gọi Local Group Policy (local policy) ... https://cuongquach.com /mcsa- 2012 -local- group- policy. html#Account_Policies_chinh_sach_tai_khoan 2/17 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver Công cụ quản lý local group policy Mở trình quản lý Local