8 L L O O C C A A L L P P O O L L I I C C Y Y & & L L O O C C A A L L S S E E C C U U R R I I T T Y Y P P O O L L I I C C Y Y I. LOCALPOLICY 1. Giới thiệu LocalPolicy B1: Khởi động máy chọn Windows server 2003 → Logon Administrator → Start → Run,gõ lệnh MMC → OK → Xuất hiện màn hình Console1 → File → Add/Remove Snap-in. → Add → Trong màn hình Add Standalone Snap-in.→ Trượt thanh trượt tìm mục Group Policy Object Editor → Add → Finish → Close để đóng màn hình Add Standalone Snap-in → OK để đóng màn hình Add/Remove Snap-in 9 B2: Ở màn hình Console1 → Click dấu “+” ở phía trước các tiêu đề để xem nội dung bên trong → File→Save → Trong mục Save in chọn Desktop → Trong mục File Name gõ “Local Policy” → Save → Trong màn hình Desktop bây giờ xuất hiện biểu tượng LocalPolicy2. Thực thi một số Policy trên Computer và User a. Thực thi Policy trên User VD1: Làm biến mất Control Panel B1: Vào LocalPolicy trên màn hình Desktop → Local Computer Policy → User Configuration → Administrative Templates → Control Panel → Qua cửa sổ bên phải chọn Prohibit access to the Control Panel → Right click trên Prohibit access to the Control Panel → Properties → đánh dấu vào options Enabled → Apply → OK. 10 B2: Đóng tất cả các cửa sổ đang có → Start → Run → gõ cmd → OK → Trong màn hính command line gõ gpupdate /force → Enter -Lưu Ý: Sau mỗi lần chỉnh sữa Policy cần phải đánh lệnh gpupdate /force để cập nhật Policy B3: Start→Settings. Bây giờ Control Panel đã mất b. Thực thi Policy trên Computer. VD2: Làm ẩn các option của tab Automatic Updates Chuẩn bị: Right click trên My Computer → Properties → Chọn tab Automatic Updates Lưu ý: Đây là lúc ta có thể chỉnh sửa các options trong tab Automactic Updates 11 B1: Vào LocalPolicy có trên màn hình Desktop → Local Computer Policy → Computer Configuration → Administrative Templates → Windows Components → Windows Update → Chọn Configure Automatic Updates ở cửa sổ bên phải → Right click trên Configure Automatic Updates → Properties →Enabled → Apply → OK B2: Đóng tất cả các cửa sổ → Start → Run → gõ cmd → OK → Trong màn hình command line gõ gpupdate /force → khi hệ thông yêu cầu restart lai gõ “Y”→Enter(để thực thi Policy đó)→ Máy sẽ tự động restart lại B3: Sau khi máy restart lại → Logon Administrator → Right click trên My Computer→ Properties→ vào Tab Automatic Updates → Bây giờ tab Automatic Updates đã bị ẩn và không thể chỉnh sửa 3. Một số LocalPolicy thông dụng thường gặp. Remove My Computer icon on the Desktop(User Configuration→Administrative Templates→Desktop): Nếu bật chức năng Enabled thì sẽ ẩn biểu tượng My Computer trên màn hình Desktop của user.Còn Disabled hoặc Not Configue thì ngược lại Hide and Disabled all items on the Desktop(User Configuration→Administrative Templates→Desktop): Nếu bật chức năng Enabled thì sẽ xóa hết các biểu tượng có trên màn hình Desktop của user.Còn Disabled hoặc Not Configue thì ngược lại Don’t Display the Getting Started Wellcome Screen at logon và chỉ áp dụng trên WinXP Pro và Win 2000 (Computer Configurateion → Administrative Templates →System→ Logon): Nếu bật chức năng Enabled thì sẽ làm ẩn đi màn hình Wellcome khi user logon vào hệ thống.Còn Disabled và Not Configue thì ngược lạI Display Shutdown Event Tracker(Computer ConfigurationAdministrative TemplatesSystem):Nếu bật chức năng Enabled thì sau mỗI lần Shutdown máy sẽ không hiển thị màn hình Shutdown Event Tracker yêu cầu nhập lý do Shutdown máy. Còn Disabled và Not Configue thì ngược lại. 12 II Giới thiệu LocalSecurityPolicy Mục Đích: Thiết Lập chính sách bảo mật trên một máy đơn Chuẩn bị: - Logon vào Administrator, tạo user có tên “U1”. Đặt password là “u1” - Logoff Administrator → Logon U1 - Logoff U1 → Logon Administrator 1 LocalSecurity Settings B1: Start→Programes→Administrators Tools→Local Security Settings → Trong LocalSecurityPolicy → Bung các dấu “+” ở phía trước các tiêu đề để xem nội dung bên trong 2. Đặt chính sách Password trên một máy tính đơn. VD3: Quy định password của một user có chiều dài tối thiểu là 5 ký tự,và có độ phức tạp B1: Account Policies → Password Policy → Chọn Minimum password length ở cửa sổ bên phải → Click chuột phải trên Minimum password length → Properties → Đổi giá trị chiều dài password là 5 (như hình vẽ)→ Apply → OK B2: Right click trên Password must meet Complexity requirements → Properties → Enabled → Apply → OK B3: Đóng các của sổ đang có → Start → Run → gõ cmd → OK → trong màn hình command line gõ gpupdate /force B4: Tạo user “U2” Password là u2 13 Lưu ý: Bây giờ xuất hiện bảng thông báo lỗi, yêu cầu bạn phải nhập lại password cho user u2 với chiều dài tối thiểu là 5 và có độ phức tạp → OK→ gõ password cho U2 là “P@ssu2” → Create → Close B5: Logon U2 với password là “P@ssu2” 3. Thiết lập security cho một máy tính đơn VD4: Cho một user “u1” có quyền Shutdown trên máy B1: Logoff U2 → Logon U1 B2: Start → Shutdown (Lưu ý: u1 không có quyền Shutdown) B3: Logoff U1→ Logon Administrator B4: Start → Programs → Administrative Tools → LocalSecurityPolicy → Local Policies → User Right Assignment → Right click trên Shutdown The Systems → Properties → Chọn Add User and Groups 14 → Chọn Advanced → Chọn FindNow → Tìm user u1→ chọn u1 → OK → Chọn Apply → Ok B5: Đóng các cửa sổ đang có → Start → Run → gõ cmd → OK → gõ gpupdate /force B6: Logoff Administrator → Logon u1→ lúc này u1 đã có quyền Shutdown 15 VD5: Đổi tên Administrator của một máy tính B1: Logoff u1 → Logon Administrator B2: Start → Programes → Addministrative Tools → LocalSecurity Policy→ Local Polices→Security Options → Right click trên Account : Rename administator account ở cửa sổ bên phải → Properties B3:Sửa tên Administrator thành “Quanly”→Apply → OK B4: Đóng các cửa sổ đang có → Cập nhật Policy (gpupdate /force) B5: Logoff Administrator →Logon bằng user “Quanly” (Lưu ý: User Administrator đã được đổi tên thành Quanly) 4. Một số SecurityPolicy thông dụng mà bạn thường gặp Do not require CTRL-ALT-DEL (Local Polices→Security Options): Không cho xuất hiện màn hình yêu cầu ấn Ctrl-Alt-Delete Message Text for user attempting to log on(Local Polices→Security Options): Hiển thị một đọan text khi user logon vào hệ thống Message Title for user attempting to log on(Local Polices→Security Options): Hiển thị tiêu đề cho đọan text khi user logon vào hệ thống Change the system time (Local Polices→User Rights Assignment): Cho phép user nào có quyền thay đổi giờ của hệ thống Rename Guest Account (Local Polices→Security Options): Thay đổi tên của user Guest III. LocalPolicy & SecurityPolicy trên XP - Thao tác thực hiện tương tự như trên Windows Server 2003 . Local Policy → Save → Trong màn hình Desktop bây giờ xuất hiện biểu tượng Local Policy 2. Thực thi một số Policy trên Computer và User a. Thực thi Policy. Security Policy thông dụng mà bạn thường gặp Do not require CTRL-ALT-DEL (Local Polices Security Options): Không cho xuất hiện màn hình yêu cầu ấn Ctrl-Alt-Delete