1 TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN KHOA ĐiỆN TỬ - ViỄN THÔNG Chương 04 CHÍNH SÁCH HỆ THỐNG 2/47 CHÍNH SÁCH HỆ THỐNG CHÍNH SÁCH HỆ THỐNG  Chính sách tài khoản người dùng  Chính sách cục bộ  IP Security (IPSec) 3/47 Chính sách tài khoản người dùng Chính sách tài khoản người dùng  Account Policy: ñược dùng ñể chỉ ñịnh các thông số về tài khoản người dùng khi tiến trình logon xảy ra  Công cụ cấu hình: Start  Programs  Administrative Tools  Domain Security Policy hoặc Local Security Policy. 4/47 Chính sách tài khoản người dùng (t.t) Chính sách tài khoản người dùng (t.t)  Chính sách mật khẩu (Password Policies)  Password Policies nhằm ñảm bảo an toàn cho tài khoản của người dùng.  Password Policies cho phép qui ñịnh ñộ dài, ñộ phức tạp của mật khẩu 2 5/47 Chính sách mật khẩu (t.t) Chính sách mật khẩu (t.t)  Các chính sách mật khẩu mặc ñịnh 1 Quy số này tối thiểu trước khi người dùng có thể thay ñổi mật mã. Minimum Password Age 7Chiều dài ngắn nhất của mật mãMinimum Password Length Cho phépMật khẩu phải có ñộ phức tạp như: có ký tự hoa, thường, có ký số. Passwords Must Meet Complexity Requirements Không cho phépMật mã người dùng ñược lưu dưới dạng mã hóa Store Password Using Reversible Encryption for All Users in the Domain 42 Số ngày nhiều nhất mà mật khẩu nười dùng có hiệu lực Maximum Password Age 24Số lần mật khẩu không ñược trùng nhauEnforce Password History Mặc ñịnhMô tảChính sách 6/47 Chính sách tài khoản người dùng (t.t) Chính sách tài khoản người dùng (t.t)  Chính sách khoá tài khoản (Account Lockout Policy)  Account Lockout Policy quy ñịnh cách thức và thời ñiểm khoá tài khoản  Chính sách này hạn chế tấn công thông qua hình thức logon từ xa 7/47 Chính sách khoá tài khoản (t.t) Chính sách khoá tài khoản (t.t)  Các chính sách khoá tài khoản mặc ñịnh Là 0, nhưng nếu Account Lockout Threshold ñược thiết lập thì giá trị này là 30 phút Quy ñịnh thời gian ñếm lại số lần ñăng nhập không thành công Reset Account Lockout Counter After Là 0, nhưng nếu Account Lockout Threshold ñược thiết lập thì giá trị này là 30 phút Quy ñịnh thời gian khóa tài khoản Account Lockout Duration 0 (tài khoản sẽ không bị khóa) Quy ñịnh số lần cố gắng ñăng nhập trước khi tài khoản bị khóa Account Lockout Threshold Giá trị mặc ñịnhMô tảChính sách 8/47 Chính sách cục bộ Chính sách cục bộ  Local Policies: cho phép thiết lập các chính sách giám sát các ñối tượng trên mạng cấp quyền hệ thống cho người dùng và các lựa chọn người dùng  Chính sách kiểm toán (Audit Policies) giúp giám sát và ghi nhận các sự kiện diễn ra trong hệ thống 3 9/47 Chính sách kiểm toán Chính sách kiểm toán  Các lựa chọn trong chính sách kiểm toán Ghi nhận các thay ñổi trong chính sách kiểm toán Audit Policy Change Ghi nhận việc truy cập các tập tin, thư mục, và máy tin Audit Object Access Ghi nhân các sự kiện liên quan ñến quá trình logon như thi hành một logon script hoặc truy cập ñến một roaming profile Audit Logon Events Ghi nhân việc truy cập các dịch vụ thư mục Audit Directory Service Access Hệ thống sẽ ghi nhận khi tài khoản người dùng hoặc nhóm có sự thay ñổi thông tin hay các thao tác quản trị liên quan ñến tài khoản người dùng Audit Account Management Kiểm toán những sự kiện khi tài khoản ñăng nhập, hệ thống sẽ ghi nhận khi người dùng logon, logoff hoặc tạo một kết nối mạng Audit Account Logon Events Mô tảChính sách 10/47 Chính sách kiểm toán Chính sách kiểm toán  Các lựa chọn trong chính sách kiểm toán (t.t) Hệ thống sẽ ghi nhận mỗi khi bạn khởi ñộng lại máy hoặc tắt máy Audit system event Kiểm toán này theo dõi hoạt ñộng của chương trình hay hệ ñiều hành Audit process tracking Hệ thống sẽ ghi nhận lại khi bạn bạn thao tác quản trị trên các quyền hệ thống như cấp hoặc xóa quyền của một ai ñó Audit privilege use Mô tảChính sách 11/47 Chính sách cục bộ Chính sách cục bộ  Quyền hệ thống của người dùng (User Rights Assignment) 12/47 Quyền hệ thống của người dùng Quyền hệ thống của người dùng  Một số quyền hệ thống cho người dùng và nhóm Cho phép người dùng ñăng nhập cục bộ vào serverAllow log on locally Cho phép người dùng duyệt qua cấu trúc thư mục nếu người dùng không có quyền xem (list) nội dung thư mục này. Bypass Traverse Checking Cho phép bạn khóa người dùng hoặc nhóm không ñược truy cập ñến các máy tính trên mạng. Deny Access to This Computer from the Network Cho phép người dùng thay ñổi giờ hệ thống của máy tính. Change the System Time Cho phép người dùng sao lưu dự phòng (backup) các tập tin và thư mục bất chấp các tập tin và thư mục này người ñó có quyền không. Back Up Files and Directories Cho phép người dùng truy cập máy tính thông qua mạng. Mặc ñịnh mọi người ñều có quyền này. Access This Computer from the Network Mô tảQuyền 4 13/47 Quyền hệ thống của người dùng Quyền hệ thống của người dùng  Một số quyền hệ thống cho người dùng và nhóm (t.t) Cho phép người dùng cài ñặt hoặc gở bỏ driver của thiết bị Load and unload device drivers Cho phép bạn ngăn cản những người dùng và nhóm truy cập ñến máy tính cục bộ. Deny Logon Locally Cho phép người dùng logon tại máy tính Server.Log On Locally Cho người dùng tước quyền sở hữu của một ñối tượng hệ thống. Take Ownership of Files or Other Objects Cho phép người dùng shut down cục bộ máy Windows 2003. Shut Down the System Cho phép người dùng phục hồi tập tin và thư mục, bất chấp người dùng này có quyền trên file và thư mục này hay không. Restore Files and Directories Mô tảQuyền 14/47 Chính sách cục bộ Chính sách cục bộ  Các lựa chọn bảo mật (Security Options) 15/47 Các lựa chọn bảo mật Các lựa chọn bảo mật  Các lựa chọn bảo mật thông dụng Cho phép ñổi tên tài khoản Guest thành tên mới Account: rename guest account Cho phép ñổi tên tài khoản Administrator thành tên mới Account: rename administrator account Không hiển thị tên người dùng ñã logon trên hộp thoại Logon. Interactive logon: do not display last user name Không yêu cầu ấn ba phím CTRL+ALT+DEL khi logon. Interactive logon: do not require CTRL+ALT+DEL Tự ñộng log off khỏi hệ thống khi người dùng hết thời gian sử dụng hoặc tài khoản hết hạn. Network security: force logoff when logon hours expires. Giám sát việc truy cập các ñối tượng hệ thống toàn cục. Audit : audit the access of global system objects Cho phép người dùng shutdown hệ thống mà không cần logon. Shutdown: allow system to be shut down without having to log on Mô tảTên lựa chọn 16/47 IP Security (IPSec) IP Security (IPSec)  IP Security là giao thức hổ trợ các kết nối an toàn dựa trên IP.  IPSec là hoạt ñộng ở tầng thứ 3 (Network)  IPSec hoat ñộng dựa trên các qui tắc (rule) bao gồm các bộ lọc (filter) và các tác ñộng (action) 5 17/47 IP Security (IPSec) IP Security (IPSec)  Các tác ñộng bảo mật  Block transmissons: ngăn chặn những gói tin ñược truyền  Encrypt transmissions: mã hoá những gói tin trước khi truyền nhằm chống nghe trộm dữ liệu  Sign transmissions: cho phép ký tên vào dữ liệu trước khi truyền nhằm tránh kẽ tấn công giả dạng những gói dữ liệu truyền  Permit transmissions: Cho phép dữ liệu ñường truyền qua 18/47 IP Security (IPSec) IP Security (IPSec)  Các bộ lọc (Filter) IPSec  Filter dùng ñể thống kê các ñiều kiện ñể thực hiện các hoạt ñộng.  Giới hạn tầm tác dụng của các tác ñộng lên một phạm vi máy tính nào ñó.  Bộ lọc IPSec dựa trên các yếu tố:  ðịa chỉ IP, subnet hoặc tên DNS của máy nguồn.  ðịa chỉ IP, subnet hoặc tên DNS của máy ñích.  Theo số hiệu cổng (port) và kiểu cổng (TCP, UDP, ICMP…) 19/47 IP Security (IPSec) IP Security (IPSec)  Triển khai IPSec trên Windows Server 2003 20/47 Triển khai IPSec trên Windows Server 2003 Triển khai IPSec trên Windows Server 2003  Các chính sách IPSec tạo sẵn:  Client (Respond Only): Qui ñịnh máy Client không chủ ñộng dùng IPSec trừ khi có yêu cầu IPSec từ máy Sever.  Server (Request Security): Chính sách này qui ñịnh máy sever cố gắng yêu cầu IPSec khi thiết lập ñến máy khác. Nhưng nếu Client không cấu hình IPSec thì Server vẫn chấp nhận  Secure Server (Require Security): bắc buộc phải có chính sách IPSec khi thực hiện trao ñổi dữ liệu với Sever 6 21/47 IP Security (IPSec) IP Security (IPSec)  Các ñiều cần nhớ khi triễn khai IPSec  Trên một máy tính bất kỳ tại một thời ñiểm chỉ có một chính sách IPSec hoạt ñộng  Mỗi chính sách có nhiều qui tắc Rule  Mỗi Rule có nhiều bộ lọc Filter và nhiều các tác ñộng bảo mật  Có 4 tác ñộng mà qui tắc có thể dùng : Block, Encrypt, Sign và permit 22/47 Triển khai IPSec trên Windows Server 2003 Triển khai IPSec trên Windows Server 2003  Ví dụ: Tạo IPSec ñảm bảo một kết nối ñược mã hoá (Xem Demo) 23/47 Câu hỏi và giải ñáp Câu hỏi và giải ñáp . 04 CHÍNH SÁCH HỆ THỐNG 2/47 CHÍNH SÁCH HỆ THỐNG CHÍNH SÁCH HỆ THỐNG  Chính sách tài khoản người dùng  Chính sách cục bộ  IP Security (IPSec) 3/47 Chính. History Mặc ñịnhMô t Chính sách 6/47 Chính sách tài khoản người dùng (t.t) Chính sách tài khoản người dùng (t.t)  Chính sách khoá tài khoản (Account Lockout