BS Hệ Thống Mạng Trang 1 Lê Xuân Tùng LOCAL SECURITY POLICY I. Chuẩn bị - Logon vào với Administrator, tạo user có tên là u1, đặt password là u1 - Logoff Administrator  Logon u1 - Logoff u1  Logon Administrator  Khởi động Vào menu Start  Program  Administrator Tools  Local Security Policy hoặc vào Start  Run  secpol.msc Cửa sổ trên giống một phần của cửa sổ Group Policy Object Editor (gpedit.msc) ở mục Computer Configuration  Windows Settings  Security Settings cho nên ta có thể dùng gpedit.msc để xác định local Security Policy. II. Thực thi một số local security policy 1. Đặt chính sách Password trên một máy tính đơn Giả sử ta đưa ra yêu cầu là password của một user có chiều dài tối thiếu là 5 ký tự và có độ phức tạp B1 : Ta vào Computer Configuration  Windows Settings  Security Settings  Account Policies  Password Policy BS Hệ Thống Mạng Trang 2 Lê Xuân Tùng  Nhấp đúp chuột lên Minimum password length  đổi giá trị chiều dài là 5  Apply  OK  Nhấp đúp chuột lên Password must meet Complexity requirements  chọn Enabled  Apply  OK B2 : Bây giờ ta tạo user u2 có password là u2  ta sẽ thấy thông báo lỗi như sau  OK  gõ password cho u2 là 12345?a  Create  Close 2. Chống dò password, hạn chế số lần nhập password sai B1 : Ta vào Computer Configuration  Windows Settings  Security Settings  Account Policies  Account Lockout Policy BS Hệ Thống Mạng Trang 3 Lê Xuân Tùng  Nhấp đúp chuột vào Account lockout threshold  Trong mục Account will lock out after  nhập giá trị 3 (sẽ khoá account sau 3 lần login sai password)  OK BS Hệ Thống Mạng Trang 4 Lê Xuân Tùng  nó sẽ tự động nhập các giá trị như là : Account lockout duration 30 minutes : sẽ khoá user 30 phút nếu nhập sai password vượt quá số lần quy định Reset account lockout counter after 30 minute : số lần nhập sai password sẽ được tính tăng dần trong vòng 30 phút kể từ lúc nhập sai password lần đầu. 3. Không hiện tên user vừa logon ở cửa sổ logon sau khi đã logoff nó Ta vào Computer Configuration  Windows Settings  Security Settings  Local Policies  Security option  Interactive logon : Do not display last user name  Enabled BS Hệ Thống Mạng Trang 5 Lê Xuân Tùng 4. Không cho user chạy một file ứng dụng nào đó B1 : Giả sử ta không người sử dụng chạy 2 ứng dụng là máy tính tay (calc.exe) và trình duyệt IE (iexplore.exe), ta vào User Configuration  Administrative Templates  System  Don’t run specified windows applications  Chọn Enabled  bấm nút Show BS Hệ Thống Mạng Trang 6 Lê Xuân Tùng B2 : Xuất hiện cửa sổ Show Contents  Add  Xuất hiện cửa sổ Add Item  Nhập vào calc.exe  OK  Quay trở lại cửa sổ Show Contents  Add  Xuất hiện cửa sổ Add Item  Nhập vào iexplore.exe  OK  Quay trở lại cửa sổ Show Contents  OK  OK B3 : Ta chạy thử trình duyệt IE hay ứng dụng Calculator thì điều nhận được thông báo lỗi như sau 5. BS Hệ Thống Mạng Trang 7 Lê Xuân Tùng 5. Cấm chạy một file ứng dụng cho dù đã đổi tên file B1 : Ở mục 6 ta đã cấm không cho chạy file calc.exe nằm ở C:\Windows\system32, nhưng nếu ta đổi tên file này thành file có tên khác ví dụ calc1.exe thì nó vẫn chạy được, để cấm luôn việc chạy một file ứng dụng cho dù nó đã được đổi tên thì ta thực hiện như sau : Ta vào Computer Configuration  Windows Settings  Security Settings  Software Restriction Policies  phải chuột vào Software Restriction Policies  New Software Restriction Policies BS Hệ Thống Mạng Trang 8 Lê Xuân Tùng B2 : Chọn mục Additional Rules  Phải chuột vào mục này  New Hash Rule …  Xuất hiện cửa sổ New Hash Rule  bấm Browse  chỉ ra đường dẫn của file C:\Windows\system32\calc.exe  Open  Apply  OK B3 : Kiểm tra lại ta thấy chạy file calc.exe hay calc1.exe đều không thể chạy được BS Hệ Thống Mạng Trang 9 Lê Xuân Tùng 6. Cho u1 có quyền shutdown trên máy B1 : Logoff Administrator  Logon u1 B2 : Start  Shutdown  Ta thấy u1 không có quyền shutdown B3: Logoff u1  Logon Administrator B4 : Ta vào Computer Configuration  Windows Settings  Security Settings  Local policies  User Rights Assignment  Shutdown the system  phải chuột vào Shutdown the system chọn  Properties  chọn Add User and Groups  Advanced  Find Now  Tìm user u1  OK BS Hệ Thống Mạng Trang 10 Lê Xuân Tùng  OK  OK  Apply  OK . Windows Settings  Security Settings cho nên ta có thể dùng gpedit.msc để xác định local Security Policy. II. Thực thi một số local security policy 1. Đặt chính. Program  Administrator Tools  Local Security Policy hoặc vào Start  Run  secpol.msc Cửa sổ trên giống một phần của cửa sổ Group Policy Object Editor (gpedit.msc)