DI CHUYỂN TẬP TIN VÀ THƯ MỤC
e. CHÍNH SÁCH BẢO MẬT:
i. Chính sách tài khoản người dùng:
Chính sách tài khoản người dùng (Account Policies) được dùng để chỉ định các thông số về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy ra. Nó cho phép bạn cấu hình các thông số bảo mật máy tính cho mật mã, khoá tài khoản và chứng thực Kerberos trong vùng. Nếu trên Windows 2000 thành viên thì bạn sẽ thấy 2 mục Password Policy và Account Lockout Policy, trên máy Windows 2000 Server làm DC (Domain Controller) thì bạn sẽ thấy 3 mục: Password Policy, Account Lockout Policy và Kerberos Policy. Trong Windows 2000 Server cho phép bạn quản lí chính sách bảo mật tại 2 cấp đó là: cục bộ và vùng. Muốn cấu hình các chính sách bảo mật tài khoản người dùng ta vào:
Administrative Tools/Domain Security Policy hay Local Security Policy.
Cấu hình chính sách mật mã:(Password Policy)
Chính sách Mô tả Mặc định Giá trị nhỏ nhất Giá trị lớn nhất Enforce Password History Số lần đặt mật mã không được trùng nhau 0 0 24 Maximum Password Age Quy định số ngày nhiều nhất mà mật mã người dùng có hiệu lực Giữ mật mã trong 42 ngày Giữ mật mã trong 1 ngày Giữ mật mã trong 999 ngày Minimum Password Age Quy định số ngày ít nhất mà người dùng có thể thay đổi mật mã 0 ngày (người dùng có thể thay đổi ngay lập tức) 0 999 ngày Minimum Password Length Chiều dài ngắn nhất của mật mã 0 0 14 kí tự Passwords Must Meet Complexity Requirements Cho phép bạn cài bộ lọc mật mã
Không cho phép Không cho phép Cho phép Store Password Using Reversible Encryption for All Users In the Domain Mật mã người dùng được lưu dưới dạng mã hoá
Không cho phép Không cho phép
Cho phép
Cấu hình chính sách khoá tài khoản(Account Lockout Policy)
Chính sách
Mô tả Giá trị mặc định Giá trị min Giá trị max Gợi ý Account Lockout Threshold Quy định số lần đăng nhập trước khi tài khoản bị khoá 0 0 Thử 999 lần 5 lần Account Lockout Duration Quy định thời gian khoá tài khoản Là 0,nhưng nếu Account Lockout Threshold được thiết lập thì giá trị này là 30 phút Như giá trị mặc định 99999 phút 5 phút Reset Account Lockout Counter After Quy định thời gian đếm lại số lần đăng nhập không thành công Là 0,nhưng nếuAccount Lockout Threshold được thiết lập thì giá trị này là 5 phút Như giá trị mặc định 99999 Phút 5 phút ii. Cấu hình chính sách cục bộ
Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung. Đồng thời dựa vào tính năng trên bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mật:
*Cấu hình chính sách kiểm toán:
Cấu hình chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống, trên các đối tương cũng như đối với các người dùng.
Chính sách Mô tả
Audit Account Logon Events Ghi nhận khi người dùng logon, logoff hay tạo 1 kết nối mạng
Audit Account Management Ghi nhận khi tài khoản người dùng hay nhóm được tạo xoá hay các thao tác quản lí người dùng Audit Directory Service Access Ghi nhận việc truy cập các dịch vụ thư mục Audit Logon Events Ghi nhận các sự kiện liên quan đến quá trình logon
như thi hành 1 logon script hay truy cập đến 1 roaming profile
Audit Object Access Ghi nhận việc truy cập các tập tin,thư mục, máy in Audit Policy Change Ghi nhận các thay đổi trong chính sách kiểm toán *Gán quyền người dùng:
Quyền người dùng (User Right) là quyền hệ thống cung cấp cho người dùng các quyền quản trị và sử dụng hệ thống.
Quyền Mô tả
Access This Computer form the Network
Cho phép người dùng truy cập máy tính trên mạng.Mặc định mọi người đều có quyền này Act as Part of the Operating
System
Cho phép các dịch vụ chứng thực ở mức thấp chứng thực với bất kì người dùng nào.
Add Workstations to the Domain Cho phép người dùng thêm 1 tài khoản máy tính vào vùng
Back Up Files and Directories Cho phép người dùng sao lưu dự phòng các tập tin và thư mục bất chấp các tập tin và thư mục này người đó có quyền hay không
Bypass Traverse Checking Cho phép người dùng duyệt qua cấu trúc thư mục nếu người dùng không có quyền xem (list) nội dung thư mục này.
Change the System Time Cho phép người dùng thay đổi giờ hệ thống máy Create a Token Object Cho phép 1 tiến trình tạo 1 thẻ bài nếu tiến trình
này dùng NTCreate Token API
Create Permanent Shared Objects Cho phép 1 tiến trình tạo 1 đối tượng thư mục thông qua Windows 2000 Object Manager. Debug Programs Cho phép người dùng gắn 1 chương trình debug
vào bất kì tiến trình nào Deny Access to This Computer
from the Network
Cho phép bạn khoá người dùng hay nhóm không được truy cập đến các máy tính trên mạng
Deny Logon as a Batch File Cho phép bạn ngăn cản những người dùng và nhóm được phép logon như 1 batch file
Deny Logon as a Service Cho phép bạn ngăn cản những nguời dùng và nhóm truy cập đến máy tính cục bộ.
Enable Computer and User Accounts to Be Trusted by Deletgation
Cho phép người dùng hay nhóm được uỷ quyền cho người dùng hay 1 đối tượng máy tính
Force Shutdown from a Remote System
Cho phép người dùng Shutdown hệ thống từ xa thông qua mạng
entry vào Security log
Increase Quotas Cho phép người dùng điều khiển các quota của các tiến trình
Increase Scheduling Priority Quy định 1 tiến trình có thể tăng hay giảm độ ưu tiên đã được gán cho tiến trình khác
Load and Unload Device Drivers Cho phép người dùng có thể cài đặt hay gỡ bỏ các driver của các thiết bị
Lock Pages in Memory Khoá trang trong vùng nhớ
Log On as a Batch Job Cho phép 1 tiến trình logon vào hệ thống và thi hành 1 tập tin chứa các lệnh hệ thống
Log on as a Service Cho phép 1 dịch vụ logon và thi hành 1 dịch vụ riêng
Logon Locally Cho phép người dùng Logon tại máy server Manage Auditingand Security Log Cho phép người dùng quản lí security log Modify Firmware Environment
Variables
Cho phép người dùng hay 1 tiến trình hiệu chỉnh các biến môi trường hệ thống.
Profiles Single Process Cho phép người dùng giám sát các tiến trình bình thường thông qua công cụ Performancẻ Logs and Alerts
Profile System Performance Cho phép người dùng giám sát các tiến trình hệ thống thông qua công cụ Performancẻ Logs and Alerts.
Remove Computer from Docking Station
Cho phép người dùng gỡ bỏ 1 Laptop thông qua giao diện người dùng của Windows 2000
Replace a Process Level Token Cho phép 1 tiến trình thay thế 1 token mặc định mà được tạo bởi 1 tiến trình con
Restore Files and Directories Cho phép người dùng phục hồi tập tin và thư mục, bất chấp người dùng này có quyền trên file và thư mục này hay không.
Shut Down the System Cho phép người dùng shutdown máy cục bộ windows 2000
Synchronize Directory Service data
Cho phép người dùng đồng bộ dữ liệu với 1 dịch vụ thư mục
Take Ownership of Files or Others Objects
Cho phép người dùng tước quyền sỡ hữu của 1 đối tượng hệ thống
*Các lựa chọn bảo mật:
Các lựa chọn bảo mật (Security Options) cho phép người quản trị server định nghĩa các quyền và giao diện tương tác trên server giúp các người quản trị thao tác trên server dễ dàng và an toàn hơn.
Tên lựa chọn Mô tả Mặc định
Allow Server Operators to
Schedule Tasks(domain controller only)
Cho phép nhóm Server Operator lập lịch tác vụ trên Server
Không định nghĩa
Allow System to Be Shut Down Without Having to Log On
Cho phép người dùng Shutdown hệ thống mà không cần Logon
Không cho phép
Audit the Access of Global System Objects
Giám sát việc truy cập các đối tượng hệ thống toàn cục
Không cho phép
Automatically Log Off users When Logon Time Expires
Tự động logoff khỏi hệ thống khi người dùng hết hạn thời gian sử
dụng Disable CTRL+ALT+DEL
Requirement for logon
Không yêu cầu bấm 3 phím CTRL+ALT+DEL khi logon
Không cho phép
Do Not Display Last user Name in Logon Screen
Không hiển thị tẹn người dùng đã logon trên hộp thoại Logon
Không cho phép
Rename Administrator Account Cho phép đổi tên tài khoản Administratror
Không cho phép Rename Guest Account Cho phép đổi tên tài
khoản Guest
Không cho phép
iii. Phương pháp bảo mật (Security): Chỉ sử dụng với đĩa có định dạng NTFS
Mã hoá dữ liệu bằng EFS:
EFS (Encrypting File System) là 1 kỹ thuật dùng trong Windows 2000 dùng để mã hoá các tập tin lưu trên Partition NTFS. Việc mã hoá sẽ bổ sung thêm 1 lớp bảo vệ an toàn cho hệ thống tập tin. Chỉ người dùng có đúng khóa mới có thể truy xuất các tập tin này còn những người khác thì bị từ chối truy cập. Ngoài ra người quản trị mạng còn có thể dùng tác nhân phục hồi (recovery agent) để truy xuất đến bất kì tập tin nào bị mã hóa.
Để mã hoá các tập tin,ta tiến hành theo các bước: * Chọn các tập tin và thư mục cần mã hoá.
* Nhấn chuột phải lên các tập tin và thư mục,chọn Properties/Advanced.
* Hộp thoại Advanced Properties xuất hiện, đánh dấu mục Encrypting contents to secure data và nhấn OK.
* Hộp thoại Confirm Attribute Changes yêu cầu bạn chỉ mã hoá riêng thư mục được chọn (Apply changes to this folder only) hay mã hoá toàn bộ thư mục, kể cả các thư mục con (Apply changes to this folder, subfolders and files). Sau dó nhấn OK.
CHƯƠNG 7