Quản trị hệ thống với Group Policy trong Windows XP – Phần I Trong Windows XP có một công cụ khá hay, đó là Group Policy (GP). Nhiều người sử dụng Windows đã lâu nhưng chưa hề biết có công cụ này vì không tìm thấy nó trong Control Panel, Administrative Tools hay System Tools. GP là một trong các thành phần của Microsoft Management Console và bạn phải là thành viên của nhóm Adminstrators mới được quyền sử dụng chương trình này. Nếu không, bạn sẽ nhận được thông báo lỗi sau: Khởi động chương trình: Có 2 cách khởi động...
Quản trị hệ thống với Group Policy Windows XP – Phần I Trong Windows XP có cơng cụ hay, Group Policy (GP) Nhiều người sử dụng Windows lâu chưa biết có cơng cụ khơng tìm thấy Control Panel, Administrative Tools hay System Tools GP thành phần Microsoft Management Console bạn phải thành viên nhóm Adminstrators quyền sử dụng chương trình Nếu khơng, bạn nhận thơng báo lỗi sau: Khởi động chương trình: Có cách khởi động chương trình Cách 1: Vào menu Start > Run, nhập lệnh mmc để khởi động Microsoft Management Console Sau vào trình đơn File, chọn Open Trong cửa sổ Open, nhấn nút Browse tìm đến thư mục System32 Bạn thấy nhiều tập tin xuất có phần mở rộng *.msc Các tập tin dạng thành phần tạo Microsoft Management Console Nếu để ý, bạn thấy số công cụ quen thuộc như: Event Viewer (eventvwr.msc), Services (services.msc) (hai cơng cụ nằm Adminstation Tools) cịn nhiều Trong phạm vi viết này, bạn cần chọn gpedit.msc để mở Group Policy Cách 2: Nếu bạn làm việc thường xuyên với GP cách nhanh Vào menu Start > chọn Run nhập vào gpedit.msc nhấn OK để khởi động chương trình Khi chương trình khởi động, bạn thấy cửa sổ giao diện hình bên dưới: Chương trình phân theo dạng dễ dùng Nếu sử dụng phần mềm Security Administrator, TuneUp Utilities, bạn thấy hầu hết tùy chọn cấu hình hệ thống nằm GP Và bạn hồn tồn sử dụng GP mà Windows cung cấp sẵn để quản trị hệ thống, không cần phải cài thêm phần mềm * Cách sử dụng chung: tìm tới nhánh, Chọn Not configured khơng định cấu hình cho tính đó, Enable để kick hoạt tính năng, Disable để vơ hiệu hóa tính * Computer Configuration: Các thay đổi phần áp dụng cho toàn người dùng máy Trong nhánh chứa nhiều nhánh như: + Windows Settings: bạn cấu hình việc sử dụng tài khoản, password tài khoản, quản lý việc khởi động đăng nhập hệ thống + Administrative Templates: - Windows Components: bạn cấu hình thành phần cài đặt Windows như: Internet Explorer, NetMeeting - System: cấu hình hệ thống Cần lưu ý trước cấu hình cho thành phần nào, bạn cần phải tìm hiểu thật kỹ Bạn chọn thành phần nhấp chuột phải để chọn Help Còn cách khác không chọn Help mà chọn Properties Khi cửa sổ Properties xuất hiện, chuyển sang thẻ Explain để giải thích chi tiết thành phần Mặc định tình trạng ban đầu thành phần “Not configured” Để thay đổi tình trạng cho thành phần đó, bạn chọn thẻ Setting cửa sổ Properties, có tùy chọn cho bạn chọn lựa là: Enable (có hiệu lực), Disable (vơ hiệu lực) Not configure (khơng cấu hình) * User Configuration: giúp bạn cấu hình cho tài khoản sử dụng Các thành phần có khác đơi chút việc sử dụng cấu hình tương tự Phần I: Computer Configuration: Windows Setting: Tại bạn tinh chỉnh, áp dụng sách vấn đề sử dụng tài khoản, password tài khoản, quản lý việc khởi động đăng nhập hệ thống + Scripts (Startup/Shutdown): Bạn định cho windows chạy đoạn mã Windows Startup Shutdown + Security settings: Các thiết lập bảo mật cho hệ thống, thiết lập áp dụng cho toàn hệ thống không riêng người sử dụng Name Tóm tắt tính Account Policies Các sách áp dụng cho tài khoản người dùng Local Policies Kiểm định sách, tùy chọn quyền lợi sách an tồn cho người dùng chỗ Public Key Các sách khóa dùng chung Policies Sau vào tìm hiểu chi tiết phần nhỏ Account Policies: Thiết lập sách cho tài khoản a> Password Policies: Bao gồm sách liên quan đến mật tài khoản người sử dụng tài khoản máy Enforce password history: Với người sử dụng có khơng có thói quen ghi nhớ nhiều mật khẩu, buộc phải thay đổi mật họ dùng mật cũ để thay cho mật mới, điều kẽ hở lớn lên quan trực tiếp đến việc lộ mật Thiết lập bắt buộc mật không giống số mật ta định Có giá trị từ đến 24 mật Maximum password age: Thời gian tối đa mật hiệu lực, sau thời gian hệ thống yêu cầu ta thay đổi mật Việc thây đổi mật định kỳ nhằm nâng cao độ an toàn cho tài khoản, kẻ xấu theo dõi thói quen bạn, từ tìm mật cách dễ dàng Số giá trị từ đến 999 ngày Giá trị mặc định 42 Minimum password age: Xác định thời gian tối thiểu trước thay đổi mật Hết thời gian bạn thay đổi mật tài khoản, bạn thay đổi cách thiết lập giá trị Giá trị từ đến 999 ngày Bạn cần thiết lập “Minimum password age” lớn không bạn muốn sách “Enforce password history” có hiệu quả, người sử dụng thiết lập lại mật nhiều lần theo chu kỳ để họ sử dụng lại mật cũ Minimum password length: Độ dài nhỏ tối thiểu cuả mật tài khoản (Tính số ký tự nhập vào) Độ dài mật có giá trị từ đến 14 ký tự Thiết lập giá trị không bạn không sử dụng mật Giá trị mặc định Password must meet complexity requirements: Quyết định độ phức tạp mật Nếu tính có hiệu lực Mật tài khồn phải đạt yêu cầu sau: - Không chứa tất phần tên tài khoản người dùng - Độ dài nhỏ ký tự - Chứa từ loại ký tự sau: Các chữ thường (a -> Z), chữ hoa (A -> Z), Các chữ số (0 -> 9) ký tự đặc biệt Độ phức tạp mật coi bắt buộc tạo thay đổi mật đinh : Disable Store password using reversible encryption for all users in the domain: Lưu trữ mật sử dụng mã hóa ngược cho tất người sử dụng domain Tính năngcung cấp hỗ trợ cho ứng dụng sử dụng giao thức,nó yêu cầu am hiểu mật người sử dụng Việc lưu trữ mật sử dụng phương pháp mã hóa ngươc thực chất giống việc lưu trữ văn mã hóa thơng tin bảo vệ mật Mặc đinh : Disable b> Acount lockout Policy: * Account lockout duration: Xác định số phút sau tài khoản khóa trước việc mở khóa đươc thực Có giá trị từ đến 99.999 phút Có thể thiết lập giá trị không muốn việc tự động Unlock Mặc định khơng có hiệu lực sách có sách “Account lockout threshold” thiết lập * Account lockout threshold: Xác định số lần cố gắng đăng nhập không thành công Trong trường hợp Acount bị khóa Việc mở khóa thực người quản trị phải đợi đến thời hạn khóa hêt hiệu lực Có thể thiết lập giá trị cho số lần đăng nhập sai từ đến 999 Trong trường hợp thiết lập giá trị 0, account khơng bị khóa * Reset account lockout counter after: Thiết lập lại số lần cố gắng đăng nhập sau khoảng thời gian quy định Thiết lập có hiệu lực “Account lockout threshold” thiết lập 2 Local Policies: Các sách cục bộ: User rights Assignment: Ấn định quyền cho người sử dụng Quyền người sử dụng bao gồm quyền truy cập, quyền backup liệu, thay đổi thời gian hệ thống… Trong phần này, để cấu hình cho mục bạn nháy đúp chuột lên mục nhấn nủt Add user or group để trao quyền cho user Group bạn muốn * Access this computer from the network: Với kẻ tò mò, tọc mạch lại phải cho phép chúng truy cập vào máy tính Với thiết lập bạn ý thêm, bớt quyền truy cập vào máy cho tài khoản nhóm * Act as part of the operating system: Chính sách định tài khoản phép hoạt động phần hệ thống Mặc định, tài khoản Aministrator có quyền cao nhất, thay đổi thiết lập hệ thống, xác nhận người dùng nào, sử dụng tài ngun hệ thống người dùng Chỉ có dịch vụ chứng thực mức thấp yêu cầu đặc quyền * Add workstations to domain: Thếm tài khoản nhóm vào miền Chính sách hoạt động hệ thống sử dụng Domain Controller Khi thêm vào miền, tài khồn có thêm quyền hoạt động dịch vụ thư mục (Active Directory), truy cập tài nguyên mạng thành viên Domain * Adjust memory quotas for a process: Chỉ định phép điều chỉnh tiêu nhớ dành cho q trình xử lý Chính sách có làm tăng hiệu suất hệ thống bị lạm dụng để phục vụ cho mục đích xấu cơng từ chôi dịch vụ DoS (Dinal of Sevices) * Allow logon through Terminal Services: Terminal Services dịch vụ cho phép đăng nhập từ xa đến máy tính Chính sách định giúp phép sử dụng dịch vụ Terminal để đăng nhập vào hệ thống * Back up files and directories: Tương tự sách trên, cấp phép cho có quyền backup liệu * Change the system time: Cho phép người sử dụng có quyền thay đổi thời gian cuả hệ thống * Create global objects: Cấp quyền cho tạo đối tượng dùng chung * Force shutdown from a remote system: Cho phép có quyền tắt máy qua hệ thống điều khiển từ xa * Shut down the system: Cho phép có quyền Shutdown máy Và cịn nhiều sách khác chờ bạn khám phá ... hình việc sử dụng t? ?i khoản, password t? ?i khoản, quản lý việc kh? ?i động đăng nhập hệ thống + Administrative Templates: - Windows Components: bạn cấu hình thành phần c? ?i đặt Windows như: Internet... age: Xác định th? ?i gian t? ?i thiểu trước thay đ? ?i mật Hết th? ?i gian bạn thay đ? ?i mật t? ?i khoản, bạn thay đ? ?i cách thiết lập giá trị Giá trị từ đến 999 ngày Bạn cần thiết lập “Minimum password age”.. .Trong Windows XP có cơng cụ hay, Group Policy (GP) Nhiều ngư? ?i sử dụng Windows lâu chưa biết có cơng cụ khơng tìm thấy Control Panel, Administrative Tools hay System Tools GP thành phần Microsoft