Module 70 – 290 MaIT Education Institution Phòng chuyên môn Mng Website: http://www.mait.vn Lu hành ni b Forum: http://forum.mait.vn 1 Lab 4: System Policy ---oOo--- A. YÊU CU: I. Gii thiu: System Policy hay còn gi là chính sách h thng. System Policy xut hin trên môi trng WORKGROUP ln DOMAIN. Trên môi trng WORKGROUP, chính sách h thng xut hin trong công c Local Security Policy Trên môi trng DOMAIN, chính sách h thng xut hin trên 2 công c: • Domain Security Policy: Giúp ngi qun tr thit lp các chính sách h thng có phm vi tác đng lên toàn min. • Domain Controller Security Policy: Giúp ngi qun tr thit lp các chính sách h thng có phm vi tác đng lên các máy Domain Controller. II. Mc tiêu: • Tìm hiu v các chính sách trong System Policy gm Domain Security Policy và Domain Controller Security Policy. • Bit cách áp dng chính sách ca System Policy đ qun lý các máy trm ca ngi dùng. I. Yêu cu bài Lab: • Các Anh/Ch hãy tin hành nâng cp máy SRV1 là máy Server Stand-alone thành máy Domain Controller qun lý min mait.vn. • Tin hành gia nhp máy trm Window XP vào min mait.vn do máy Domain Controller SRV1 qun lý. • Các Anh/Ch hãy áp dng chính sách h thng System Policy trong Domain Security Policy đ chnh sa các chính sách mt khu sau: Ü nh thi gian thay đi mt khu ca mt tài khon ngi dùng là 7 ngày. Ü Thi gian ti thiu đ mt ngi dùng có th thay đi mt khu là 2 ngày. Ü Chiu dài ti thiu ca mt mt khu là 3 ký t. Ü Mt khu không nm trong ch đ phc tp. Ü Mt khu đc lu tr di dng mã hóa. Ü Gia 2 ln thay đi mt khu không có th trùng nhau. • Cng vi công c Domain Security Policy trên, các Anh/Ch hãy đnh ngha li các Policies sau: Ü Nu mt tài khon ngi dùng đng nhp gõ sai mt khu quá 3 ln thì tài khon đó s b khóa li trong 30 phút. Ü Thi gian reset li s ln đng nhp sai mt khu là 5 phút. • Các Anh/Ch vào mc Security Options trong công c Domain Security Policy hiu chnh các chính sách sao cho: Module 70 – 290 MaIT Education Institution Phòng chuyên môn Mng Website: http://www.mait.vn Lu hành ni b Forum: http://forum.mait.vn 2 Ü Cho phép ngi dùng Shutdown h thng mà không cn logon. Ü Không yêu cu bm t hp phím Ctrl-Alt-Del khi logon h thng. Ü Không hin th tên ngi dùng logon trc đó. Ü Cho phép đi tên tài khon Administrator thành tên mi. • Các Anh/Ch hãy hiu chnh mt s quyn ca ngi dùng trên máy Domain Controller s dng công c Domain Controller Security Policy nh sau: Ü Cho phép mt ngi dùng nào đó đc phép đng nhp cc b vào Server. Ü Cho phép ngi dùng đc thay đi gi h thng ca máy tính. Ü Cho phép ngi dùng cài đt hoc g b các driver ca thit b. Ü Cho phép ngi dùng shutdown h thng. Ü Cho phép mt ngi dùng nào đó đc quyn gia nhp các máy trm vào domain. Ü Cho phép ngi dùng shutdown mt h thng t xa. B. HNG DN: I. Các bc chun b: • Chun b mt máy o Windows Server 2003 vi các thông s sau: Ü Computer name : SRV1 Ü Ip Address : 192.168.10.1 Ü Subnet mask : 255.255.255.0 • Chun b mt máy o Windows XP Professional vi các thông s sau: Ü Computer name : PC01 Ü Ip Address : 192.168.10.20 Ü Subnet mask : 255.255.255.0 • Chun b đa source cài đt ca Windows 2003 Server (file .iso s thay th cho đa CDROM). II. Các bc thc hin: Nâng cp máy SRV1 Stand-alone lên thành máy Domain Controller (xem Lab trc). Cho máy client Windows XP join domain (xem Lab trc). Chnh sa các chính sách mt khu trong Domain Security Policy. 1. Bn vào đng dn Start\Programs\Administrative Tools\ và duple-click Domain Security Policy. Lúc này, bn s thy ca s Default Domain Security Settings xut hin. Module 70 – 290 MaIT Education Institution Phòng chuyên môn Mng Website: http://www.mait.vn Lu hành ni b Forum: http://forum.mait.vn 3 MaIT Education http://www.MaIT.vn MaIT Education http://www.MaIT.vn Module 70 – 290 MaIT Education Institution Phòng chuyên môn Mng Website: http://www.mait.vn Lu hành ni b Forum: http://forum.mait.vn 4 2. Ti ca s Default Domain Security Settings, bn nhp chut vào du cng ti Account Policies trong đây s bao gm nhng chính sách qun lý mt khu, chính sách qun lý Acount Lockout, chính sách Kerberos. 3.  chnh sa các chính sách v mt khu nh yêu cu ca bài Lab ta chn mc Password Policy. Bn phi ca s Default Domain Security Settings s hin lên các chính sách v password. 4.  đnh thi gian thay đi mt khu ca mt tài khon ngi dùng là 7 ngày, bn duple-click vào mc Maximum password age chnh thi gian default là 42 ngày li thành 7 ngày. Sau đó, bn chn nút Apply và Ok.  chính sách va điu chnh đc apply lên thành viên ca Domain bn vào Start/Run/ gh lnh gpupdate /force. Bn cng s dùng lnh này cho nhng ln chnh sa policy sau. MaIT Education http://www.MaIT.vn MaIT Education http://www.MaIT.vn Module 70 – 290 MaIT Education Institution Phòng chuyên môn Mng Website: http://www.mait.vn Lu hành ni b Forum: http://forum.mait.vn 5 5.  đnh thi gian ti thiu đ mt ngi dùng có th thay đi mt khu là 2 ngày, bn duple-click vào mc Minimum password age và chnh li thi gian default t 30 ngày thành 2 ngày. MaIT Education http://www.MaIT.vn MaIT Education http://www.MaIT.vn Module 70 – 290 MaIT Education Institution Phòng chuyên môn Mng Website: http://www.mait.vn Lu hành ni b Forum: http://forum.mait.vn 6 6.  quy đnh chiu dài ti thiu ca mt mt khu là 3 ký t, bn duple-click vào Minimum password length và chnh s ký t default t 7 xung còn 3 ký t. 7. Bn chnh li chính sách đ không yêu cu password có đ phc tp. Ti mc Password must meet complexity requirements, bn check vào mc Disable. 8.  chnh chính sách là mt khu phi đc lu tr di dng mã hóa. Bn duple-click ti Store passwords using reversible encryption và check vào mc Enable. MaIT Education http://www.MaIT.vn MaIT Education http://www.MaIT.vn Module 70 – 290 MaIT Education Institution Phòng chuyên môn Mng Website: http://www.mait.vn Lu hành ni b Forum: http://forum.mait.vn 7 9. Chnh chính sách yêu cu gia 2 ln thay đi mt khu ca ngi dùng thì mt khu đó không đc trùng nhau. Bn duple-click vào Enforce password history và nhp vào text box giá tr là 1. MaIT Education http://www.MaIT.vn MaIT Education http://www.MaIT.vn Module 70 – 290 MaIT Education Institution Phòng chuyên môn Mng Website: http://www.mait.vn Lu hành ni b Forum: http://forum.mait.vn 8 Chnh sa các chính sách v Account lockout trong Domain Security Policy. 1. Thit lp chính sách sao cho khi ngi dùng log on vào máy thuc domain mà nhp sai mp khu 3 ln thì tài khon đó s b khóa trong 30 phút. u tiên bn chn Account lockout policy. 2. Bn duple-click vào Account clockout threshold nhp vào text box giá tr là 3 đ ch đnh s ln nhp password sai trong lúc log on thì account đó s b khóa. MaIT Education http://www.MaIT.vn MaIT Education http://www.MaIT.vn Module 70 – 290 MaIT Education Institution Phòng chuyên môn Mng Website: http://www.mait.vn Lu hành ni b Forum: http://forum.mait.vn 9 3. Bc tip theo, bn duple-click vào Account lockout duration và nhp vào text box thi 30 phút đ ch đnh account s b khóa trong thi gian 30 phút nu vi phm chính sách  trên. 4. Thit lp chính sách reset s ln nhp sai password trong 5 phút. Bn duple- click Reset account lockout counter after và nhp vào text box giá tr 5. MaIT Education http://www.MaIT.vn MaIT Education http://www.MaIT.vn Module 70 – 290 MaIT Education Institution Phòng chuyên môn Mng Website: http://www.mait.vn Lu hành ni b Forum: http://forum.mait.vn 10 Chnh sa các chính sách v Security Options trong Domain Security Policy. 5. Ti ca s Default Domain Security Settings, bn nhp chut vào du cng ti Local Policies. Bn chn tip mc Security Options. Các chính sách trong Security Options s hin ra  bên phi ca s Default Domain Security Settings. 6.  thit lp chính sách cho phép ngi dùng Shutdown h thng mà không cn logon. Bn tìm đn chính sách có tên là Shutdown: Allow system to be shut down without having to log on và duple-click. Bn check vào mc Enable. MaIT Education http://www.MaIT.vn [...]... Forum: http://forum.mait.vn Module 70 – 290 MaIT Education Institution Ch nh s a các chính sách v User Rights Assignment trong Domain Controller Security Policy 1 B n vào ng d n Start\Programs\Administrative Tools\ và duple-click Domain Controller Security Policy Lúc này, b n s th y c a s Default Domain Controller Security Settings xu t hi n MaIT Education http://www.MaIT.vn Phòng chuyên môn M ng L u hành... chuyên môn M ng L u hành n i b 11 Website: http://www.mait.vn Forum: http://forum.mait.vn Module 70 – 290 MaIT Education Institution MaIT Education http://www.MaIT.vn 9 Ch nh chính sách cho phép i tên tài kho n Administrator thành tên m i Admin B n tìm chính sách có tên Accounts: Rename administrator account và nh p vào text box tên m i c a user Administrator ây ta nh p là admin MaIT Education http://www.MaIT.vn...Module 70 – 290 MaIT Education Institution MaIT Education http://www.MaIT.vn 7 i u ch nh chính sách không yêu c u b m t h p phím Ctrl-Alt-Del khi logon h th ng B n tìm chính sách có tên Interactive this policy setting và check vào m c Enable MaIT Education http://www.MaIT.vn 8 Ch nh chính sách không cho hi n th tên ng i dùng logon tr c ó B n tìm chính sách có tên Interactive logon: Do not dislay last... máy Domain Controller MaIT Education http://www.MaIT.vn MaIT Education http://www.MaIT.vn 4 ch nh chính sách cho phép ng i dùng c thay i gi h th ng c a máy tính B n tìm chính sách có tên là Change the system time B n th c hi n thao tác t ong t nh chính sách (chính sách 1) bên trên cho user hay group mà b n mu n cho phép ch nh s a gi c a máy Domain Controller Phòng chuyên môn M ng L u hành n i b 15 Website:... Forum: http://forum.mait.vn Module 70 – 290 MaIT Education Institution MaIT Education http://www.MaIT.vn 6 ch nh chính sách cho phép ng i dùng shutdown h th ng B n tìm chính sách có tên là Shut down the system B n th c hi n thao tác t ong t nh chính sách (chính sách 1) bên trên cho user hay group mà b n mu n cho phép shutdown máy Domain Controller MaIT Education http://www.MaIT.vn Phòng chuyên môn M ng... mà b n mu n cho phép join m t máy vào Domain MaIT Education http://www.MaIT.vn 8 ch nh chính sách cho phép ng i dùng shutdown m t h th ng t xa B n tìm chính sách có tên là Force shutdown from a remote system B n th c hi n thao tác t ong t nh chính sách (chính sách 1) bên trên cho user hay group mà b n mu n cho phép shutdown máy Domain Controller t xa Phòng chuyên môn M ng L u hành n i b 18 Website: . http://forum.mait.vn 1 Lab 4: System Policy ---oOo--- A. YÊU CU: I. Gii thiu: System Policy hay còn gi là chính sách h thng. System Policy xut hin trên. chính sách trong System Policy gm Domain Security Policy và Domain Controller Security Policy. • Bit cách áp dng chính sách ca System Policy đ qun