Các lựa chọn trong chính sách kiểm toán: Chính sách Audit Account Logon Events Mô tả Kiểm toán những sự kiện khi tài khoản đăng nhập, hệ thống sẽ ghi nhận khi người dùng logon, logoff hoặc tạo một kết nối mạng Hệ thống sẽ ghi nhận khi tài khoản người dùng hoặc nhóm có sự thay đổi thông tin hay các thao tác quản trị liên quan đến
h a n g e Vi e N y to k lic c II.1 Chính sách kiểm tốn Chính sách kiểm tốn (Audit Policies) giúp bạn giám sát ghi nhận kiện xảy hệ thống, đối tượng người dùng Bạn xem ghi nhận thông qua công cụ Event Viewer, mục Security Các lựa chọn sách kiểm tốn: Chính sách Mơ tả Audit Account Logon Events Kiểm toán kiện tài khoản đăng nhập, hệ thống ghi nhận người dùng logon, logoff tạo kết nối mạng Audit Account Management Hệ thống ghi nhận tài khoản người dùng nhóm có thay đổi thông tin hay thao tác quản trị liên quan đến tài khoản người dùng Audit Directory Access Ghi nhân việc truy cập dịch vụ thư mục Service Audit Logon Events Ghi nhân kiện liên quan đến trình logon thi hành logon script truy cập đến roaming profile Audit Object Access Ghi nhận việc truy cập tập tin, thư mục, máy tin Audit Policy Change Ghi nhận thay đổi sách kiểm tốn Audit privilege use Hệ thống ghi nhận lại bạn bạn thao tác quản trị quyền hệ thống cấp xóa quyền Audit process tracking Kiểm tốn theo dõi hoạt động chương trình hay hệ điều hành Audit system event Hệ thống ghi nhận bạn khởi động lại máy tắt máy Học phần - Quản trị mạng Microsoft Windows Trang 238/555 d o m o o c u -tr a c k C w w w d o m C lic k to Tài liệu hướng dẫn giảng dạy w w w w bu bu y N O W ! XC er O W F- w PD h a n g e Vi e ! XC er PD F- c u -tr a c k c h a n g e Vi e N y to k lic c II.2 Quyền hệ thống người dùng Đối với hệ thống Windows Server 2003, bạn có hai cách cấp quyền hệ thống cho người dùng là: gia nhập tài khoản người dùng vào nhóm tạo sẵn (built-in) để kế thừa quyền bạn dùng công cụ User Rights Assignment để gán quyền rời rạc cho người dùng Cách thứ bạn biết sử dụng chương trước, cần nhớ quyền hạn nhóm tạo sẵn bạn gán quyền cho người dùng theo yêu cầu Để cấp quyền hệ thống cho người dùng theo theo cách thứ hai bạn phải dùng công cụ Local Security Policy (nếu máy bạn Domain Controller) Domain Controller Security Policy (nếu máy bạn Domain Controller) Trong hai cơng cụ bạn mở mục Local Policy\ User Rights Assignment Để thêm, bớt quyền hạn cho người dùng nhóm, bạn nhấp đơi chuột vào quyền hạn chọn, xuất hộp thoại chứa danh sách người dùng nhóm có quyền Bạn nhấp chuột vào nút Add để thêm người dùng, nhóm vào danh sách nhấp chuột vào nút Remove để xóa người dùng khỏi danh sách Ví dụ minh họa sau bạn cấp quyền thay đổi hệ thống (change the system time) cho người dùng “Tuan” Học phần - Quản trị mạng Microsoft Windows Trang 239/555 d o m o o c u -tr a c k C w w w d o m C lic k to Tài liệu hướng dẫn giảng dạy w w w w bu bu y N O W ! XC er O W F- w PD h a n g e Vi e ! XC er PD F- c u -tr a c k c h a n g e Vi e N y to k lic c Danh sách quyền hệ thống cấp cho người dùng nhóm: Quyền Mô tả Access This Computer from Cho phép người dùng truy cập máy tính thơng qua mạng Mặc the Network định người có quyền Act as Part of the Operating Cho phép dịch vụ chứng thực mức thấp chứng thực với bất System kỳ người dùng Add Workstations to the Cho phép người dùng thêm tài khoản máy tính vào vùng Domain Back Up Directories Files and Cho phép người dùng lưu dự phòng (backup) tập tin thư mục bất chấp tập tin thư mục người có quyền khơng Bypass Traverse Checking Cho phép người dùng duyệt qua cấu trúc thư mục người dùng quyền xem (list) nội dung thư mục Change the System Time Cho phép người dùng thay đổi hệ thống máy tính Create a Pagefile Cho phép người dùng thay đổi kích thước Page File Create a Token Object Cho phép tiến trình tạo thẻ tiến trình dùng NTCreate Token API Create Permanent Shared Cho phép tiến trình tạo đối tượng thư mục thông qua Objects Windows 2000 Object Manager Học phần - Quản trị mạng Microsoft Windows Trang 240/555 d o m o o c u -tr a c k C w w w d o m C lic k to Tài liệu hướng dẫn giảng dạy w w w w bu bu y N O W ! XC er O W F- w PD h a n g e Vi e ! XC er PD F- c u -tr a c k c h a n g e Vi e N y to k lic c Cho phép người dùng gắn chương trình debug vào tiến trình Debug Programs Deny Access to This Cho phép bạn khóa người dùng nhóm không truy cập Computer from the Network đến máy tính mạng Deny Logon as a Batch File Cho phép bạn ngăn cản người dùng nhóm phép logon batch file Deny Logon as a Service Cho phép bạn ngăn cản người dùng nhóm phép logon services Deny Logon Locally Cho phép bạn ngăn cản người dùng nhóm truy cập đến máy tính cục Enable Computer and User Cho phép người dùng nhóm ủy quyền cho người Accounts to Be Trusted by dùng đối tượng máy tính Delegation Force Shutdown Remote System from a Cho phép người dùng shut down hệ thống từ xa thông qua mạng Generate Security Audits Cho phép người dùng, nhóm tiến trình tạo entry vào Security log Increase Quotas Cho phép người dùng điều khiển hạn ngạch tiến trình Increase Scheduling Priority Quy định tiến trình tăng giảm độ ưu tiên gán cho tiến trình khác Load and Unload Device Cho phép người dùng cài đặt gỡ bỏ driver Drivers thiết bị Lock Pages in Memory Khóa trang vùng nhớ Log On as a Batch Job Cho phép tiến trình logon vào hệ thống thi hành tập tin chứa lệnh hệ thống Log On as a Service Cho phép dịch vụ logon thi hành dịch vụ riêng Log On Locally Cho phép người dùng logon máy tính Server Manage Auditing Security Log and Cho phép người dùng quản lý Security log Modify Firmware Cho phép người dùng tiến trình hiệu chỉnh biến mơi Environment Variables trường hệ thống Học phần - Quản trị mạng Microsoft Windows Trang 241/555 d o m o o c u -tr a c k C w w w d o m C lic k to Tài liệu hướng dẫn giảng dạy w w w w bu bu y N O W ! XC er O W F- w PD h a n g e Vi e ! XC er PD F- c u -tr a c k c h a n g e Vi e N y to k lic c Profile Single Process Cho phép người dùng giám sát tiến trình bình thường thơng qua cơng cụ Performance Logs and Alerts Profile System Performance Cho phép người dùng giám sát tiến trình hệ thống thơng qua cơng cụ Performance Logs and Alerts Remove Computer Docking Station from Cho phép người dùng gỡ bỏ Laptop thông qua giao diện người dùng Windows 2000 Replace a Process Level Cho phép tiến trình thay token mặc định mà Token tạo tiến trình Restore Directories Files and Cho phép người dùng phục hồi tập tin thư mục, bất chấp người dùng có quyền tập tin thư mục hay không Shut Down the System Cho phép người dùng shut down cục máy Windows 2000 Synchronize Service Data Cho phép người dùng đồng liệu với dịch vụ thư mục Directory Take Ownership of Files or Cho người dùng tước quyền sở hữu đối tượng hệ thống Other Objects II.3 Các lựa chọn bảo mật Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server khai báo thêm thông số nhằm tăng tính bảo mật cho hệ thống như: khơng cho phép hiển thị người dùng logon trước hay đổi tên tài khoản người dùng tạo sẵn (administrator, guest) Trong hệ thống Windows Server 2003 hỗ trợ cho nhiều lựa chọn bảo mật, giáo trình khảo sát lựa chọn thông dụng Học phần - Quản trị mạng Microsoft Windows Trang 242/555 d o m o o c u -tr a c k C w w w d o m C lic k to Tài liệu hướng dẫn giảng dạy w w w w bu bu y N O W ! XC er O W F- w PD h a n g e Vi e ! XC er PD F- c u -tr a c k c ... liệu hướng dẫn giảng dạy w w w w bu bu y N O W ! XC er O W F- w PD h a n g e Vi e ! XC er PD F- c u -tr a c k c h a n g e Vi e N y to k lic c Cho phép người dùng gắn chương trình debug vào tiến trình. .. tiến trình tạo entry vào Security log Increase Quotas Cho phép người dùng điều khiển hạn ngạch tiến trình Increase Scheduling Priority Quy định tiến trình tăng giảm độ ưu tiên gán cho tiến trình. .. thước Page File Create a Token Object Cho phép tiến trình tạo thẻ tiến trình dùng NTCreate Token API Create Permanent Shared Cho phép tiến trình tạo đối tượng thư mục thơng qua Objects Windows