Cấu hình IP Security cho hệ thống mạng Windows server. Gợi ý: Trên Windows server ta thực hiện như sau: + Bấm lệnh StartAdministrative ToolsDomain contronler security policy. Xuất hiện hộp thoại. + Bấm chuột phải vào mục IP Security Policies Active Directory rồi chọn mục Manage IP filter lists and filter actions.
BÀI TẬP 13 GIÁM SÁT HỆ THỐNG MẠNG WINDOWS SERVER Đảm bảo an tồn mạng: + Cấu hình IP Security cho hệ thống mạng Windows server Gợi ý: Trên Windows server ta thực sau: + Bấm lệnh Start/Administrative Tools/Domain contronler security policy Xuất hộp thoại + Bấm chuột phải vào mục IP Security Policies Active Directory chọn mục Manage IP filter lists and filter actions Lần lượt làm bước + Kích hoạt hiệu lực cho IP Sec: Sau cấu hình xong IP Security cho kết nối hai máy Windows server 192.168.1.3 máy trạm 192.168.1.4 mạng Việc ta bấm chuột phải vào mục Bảo mật ta vừa tạo chọn mục Assign để IP Sec có hiệu lực Từ trở đi, tất phiên trao đổi hai máy đểu bảo mật Theo dõi hoạt động mạng: Ta theo dõi kiện xảy mạng thông qua công cụ Event Viewer Windows server Trên Windows server ta thao tác sau: + Bấm lệnh Start/Administrative Tools/Event Viewer Xuất hộp thoại Các chủ đề hoạt động liệt kê khung bên trái: Application, Security, System, Directory Service… + Để đảm bảo an ninh cho hệ thống mạng ta cần giám sát kiện xảy liên quan đến mục Security Ta thực sau: - Log off Windows server sau log on lại với tài khoản người dùng tạo trước Log off tài khoản người dùng vừa đăng nhập, log on lại Windows server với tài khoản Administrator Bấm lệnh Start/Administrative Tools/ chọn Event Viewer Chọn menu Security, quan sát ngày đăng nhập tài khoản người dùng trước Thiết lập sách nhóm: Triển khai thiết lập sách nhóm Để hiểu rõ sách nhóm cách thiết lập sách nhóm, ta xét ví dụ u cầu thiết lập sách nhóm doanh nghiệp sau: Cơng ty TNHH máy tính CMS có phịng ban Phịng Giám Đốc, Phịng Kinh Doanh, Phịng Bảo Hành Phịng Kế Tốn Trong đó, ban giám đốc cơng ty u cầu sau: • Phịng giám đốc: Các User Phịng giám tồn quyền domain, • Phịng Kế Tốn: Các user thuộc phịng Kế Tốn có u cầu sau: Mật phải kí tự, thời gian thay đổi mật 30 ngày, người dùng đăng nhập sai lần bị khoá account, thời gian khoá phút, user ấn tổ hợp phím Ctrl+Alt+Del đăng • Phịng Kinh Doanh: Các user phịng kinh doanh có u cầu sau: Khơng cho phép user client truy cập vào ổ chứa hệ điều hành (ổ C), không cài đặt chương trình, khơng truy cập vào registry, khơng truy cập Control panel máy client, ẩn cửa sổ run máy client không cho thay đổi trang home page http://www.cms-computer.com • Phịng Bảo Hành: Các user phịng bảo hành có u cầu sau: Mật ngồi việc từ kí tự trở lên cịn phải mật khó, tức phải có thêm kí tự khác chữ số *, !, ~, @, #, %, (, ) Cho phép user nhóm tắt máy từ xa, khơng cho phép thay đổi thuộc tính LAN khơng cho phép Auto play tất loại ổ đĩa kể ổ đĩa USB Để thiết lập sách với yêu cầu ta làm sau: Trước hết tạo OU tương ứng với phòng ban công ty sau: + Mở cửa sổ Active Directory User and Computer, chuột phải vào tên domain chọn New chọn Oganizational Unit + Đánh tên OU tương ứng với tên phòng ban để tạo OU, phịng ban OU Sau tạo User Group OU Mỗi phịng ban có người tạo tương ứng User tạo Group có tên phịng ban Sau tạo User Group xong add User OU vào group vừa tạo để tiện cho việc gán quyền sau Các thiết đặt sách nhóm cho phịng ban sau: • Phịng Giám Đốc: Do sách nhóm có tính thừa kế thiết đặt bên có mức ưu tiên bên ngồi nên khơng thiết đặt cho OU Phịng giám đốc mà tạo user cho phịng tạo GPO cho phòng Mặc định thiết đặt domain áp xuống phòng giám đốc thừa hưởng quyền từ domain, tức có quyền Admin Và mục Mtaber Of add nhóm quản trị vào user phịng • Phịng Kế Tốn: Chuột phải vào OU phịng kế toán chọn properties, chọn tab Group Policy, click New, đặt tên cho GPO click Edit Do yêu cầu thiết đặt sách nhóm Computer nên thiết đặt sách nhóm sau: o Mật kí tự: chọn đến Computer Configuration\ Windows setting\ Sercurity Setting\ Account policies\ Password policy, cửa sổ bên phải chọn dòng chữ: Minimum password length, click đúp cho giá trị o Thời gian thay đổi mật 30 ngày: Cũng với đường dẫn trên, cửa sổ bên phải chọn dòng chư: Maximum password age, click đúp cho giá trị 30 o Người dùng đăng nhập sai lần bị khoá account: chọn đến Computer Configuration\ Windows setting\ Sercurity Setting\ Account policies\ Account lokout policy, cửa sổ bên phải chọn dòng chữ: Account lonkout threshold, click đúp cho giá trị o Thời gian khoá phút: Với đường dẫn trên, cửa sổ bên phải chọn đế dòng chữ: Account lockout duration, click đúp cho giá trị o Khơng ấn Ctrl+Alt+Del đăng nhập: Tìm đến đường dẫn Computer configuration\ Windows Setting\ Sercurity setting\ Local policy\ Sercurity Option: Ở cửa sổ bên phải chọn đến dòng chữ: Interactive logon: Do not require Ctrl+Alt+Del, click đúp chọn Enable o Thông báo Quản trị mạng hệ thống tới User: Tìm đến đường dẫn Computer Configuration\ Windows setting\ Security setting\ Local policy\ Security Option Tại cửa sổ bên phải tìm đến dịng chữ Messenger text for users atttaping to logon, click đúp đánh vào thông báo quản trị mạng nói Tiếp theo xuống dịng Messenger title đánh vào tiêu đề thơng báo quản trị mạng • Phịng Kinh Doanh: Chuột phải vào OU phòng Kinh Doanh chọn properties, chọn tab Group Policy, click New đánh tên cho GPO phịng click Edit o Khơng cho phép User truy cập vào ổ C: Tìm đến đường dẫn User Configuration\ Administrative Ttaplates\ Windows Components\ Windows Exploprer, cửa sổ bên phải chọn dòng chữ: Prevent access to drivers from My Computer, click đúp chọn enable chọn ổ đĩa C o Khơng cài đặt phần mềm: Tìm đến đường dẫn Computer Configuration\ Administrative Ttaplates\ Windows Components\ Windows Installer, cửa sổ bên phải chọn dòng là: Disable windows installer, click đúp chọn enable o Khơng truy cập vào Registry editor: Tìm đến đường dẫn User Configuration\ Administrative Ttaplates\ Windows Components\ Systta, cửa sổ bên phải chọn dòng chữ: Prevent access to registry editing tools, click đúp chọn enable o Không truy cập Control Panel máy client: Tìm đến đường dẫn User configuration\ Administrative ttaplates\ Control panel, cửa sổ bên phải tìm đến dịng chữ: Prohibit access to the Control Panel, click đúp chọn enable o Ẩn cửa sổ Run client: Tìm đến đường dẫn User configuration\ Administrative ttaplates\ Start menu and Taskbar, cửa sổ bên phải tìm đến dịng chữ: Run menu from start menu, click đúp chọn enable o Không cho thay đổi trang chủ http://www.cms-conputer.com: Trước tiên ta đặt trang chủ với địa trên, tìm đến đường dẫn: User configuration\ Windows settings\ Internet Explorer Maintenance\ URLs, cửa sổ bên phải click đúp vào dịng: Important URLs, đánh dấu tích vào Customize Home page URL đánh vào ô địa URL địa http://www.cms-computer.com ấn OK Sau tìm đến đường dẫn: User configuration\ Administrative ttaplates\ Windows Components\ Internet Explorer, cửa sổ bên phải chọn đến dòng chữ: Disable chaning home page settings, click đúp chọn enable • Phịng Bảo Hành: Chuột phải vào OU phòng bảo hành chọn properties, chọn tab Group Policy, click New đánh tên cho GPO phòng Bảo hành click Edit o Mật kí tự phải khó: Tìm đến đường dẫn Computer Configuration\ Windows setting\ Sercurity setting\ Password policy, cửa sổ bên phải chọn dòng chữ: Minimum password length, click đúp cho vào giá trị 8, chọn đến dòng chữ: Password must meet complexity requirtaents, click đúp chọ enable o Cho phép User tắt máy từ xa: Tìm đến đường dẫn Computer Configuration\ Windows setting\ Sercutity setting\ Local Policy\ User Rights Assignment, cửa sổ bên phải tìm đến dịng chữ: Force shutdown from a rtaote systta, click đúp đánh vào User hay Group phòng Pag e o Khơng cho phép thay đổi thuộc tính LAN: Tìm đến đường dẫn User Configuration\ Administrative ttaplates\ Network\ Network Connections, cửa sổ bên phải tìm đến dịng chữ: Prohibit access to properties of LAN connection, click đúp chọn enable o Không cho Auto play tất ổ đĩa: Tìm đến đường dẫn Computer Configuration\ Administrative ttaplates\ Systta, cửa sổ bên phải chọn dòng chữ: Turn off Autoplay, click đúp chọn enable chọn All driver Sau thiết lập sách nhóm cho OU xong, để việc thay đổi có hiệu lực phải khởi động lại máy chủ, khơng cần khởi động lại máy chủ, cửa sổ run ta đánh lệnh gpupdate /force, lệnh làm tươi lại Group Policy cập nhật thiết đặt mà vừa thiết đặt Group Policy Copyright by Master Le Thanh Hung