QUẢN TRỊ MẠNG

WINDOWS SERVER 2008

Bài 4
CHÍNH SÁCH HỆ THỐNG
 Nội dung bài học
 Chính sách tài khoản người dùng
 Chính sách cục bộ
 IP Security (IPSec)
 Chính sách tài khoản người dùng
 Win2k8 lên domain có 2 công cụ mới là
Domain Controller Security Policy và
Domain Security Policy
Domain Controller Security Policy: Các tuỳ
chỉnh trong này chỉ tác động lên máy DC mà
thôi
Domain Security Policy: Các tuỳ chỉnh trong này
sẽ tác động lên toàn bộ user trên domain
Lưu ý: Sau khi tuỳ chỉnh để thực thi các thay đổi bạn
phải vào Start chọn Run nhập lệnh gpupdate /force hoặc
tiến hành logoff máy hoặc Restart máy
 Chính sách tài khoản người dùng
 Account Policy được dùng để chỉ định các
thông số về tài khoản người dùng
 Công cụ cấu hình: Start  Programs 
Administrative Tools  Domain Security
Policy (domain) hoặc Local Security Policy
(chưa nâng cấp domain, lệnh tắt secpol.msc)
 Chính sách tài khoản
người dùng (t.t)
 Chính sách mật khẩu (Password Policy)
 Password Policy nhằm đảm bảo an toàn cho
tài khoản của người dùng.
 Password Policy cho phép qui định độ dài, độ
phức tạp của mật khẩu
 Chính sách mật khẩu (t.t)
 Các lựa chọn trong chính sách mật khẩu
Chính sách Mô tả Mặc định
Số lần đặt mật khẩu không được
Enforce Password History 24
trùng nhau
Quy định số ngày nhiều nhất mà
Maximum Password Age 42
mật mã người dùng có hiệu lực
Quy số ngày tối thiểu trước khi
Minimum Password Age người dùng có thể thay đổi mật 1
mã.
Minimum Password Chiều dài ngắn nhất của mật mã 7
Length

Passwords Must Meet Mật khẩu phải có độ phức tạp như: Cho phép
Complexity Requirements có ký tự hoa, thường, có ký số…

Store Password Using Mật mã người dùng được lưu dưới Không cho
Reversible Encryption for dạng mã hóa phép
All Users in the Domain
 Chính sách tài khoản người dùng (t.t)
 Chính sách khoá tài khoản (Account
Lockout Policy)
 Account Lockout Policy quy định cách thức
và thời điểm khoá tài khoản.
 Chính sách khoá tài khoản (t.t)
 Các lựa chọn trong chính sách mật khẩu
Chính sách Mô tả Giá trị mặc định
Account Lockout Quy định số lần cố gắng 0 (tài khoản sẽ không bị khóa)
Threshold đăng nhập trước khi tài
khoản bị khóa

Account Lockout Quy định thời gian khóa Not Defined, nhưng nếu
Duration tài khoản Account Lockout Threshold
được thiết lập thì giá trị này là
30 phút

Reset Account Quy định thời gian đếm Not Defined, nhưng nếu
Lockout Counter lại số lần đăng nhập Account Lockout Threshold
After không thành công được thiết lập thì giá trị này là
30 phút
 Chính sách cục bộ
 Local Policies cho phép thiết lập các chính
sách giám sát các đối tượng trên mạng
 Có thể cấp quyền hệ thống cho người
dùng và thiết lập các lựa chọn bảo mật.
 Chính sách kiểm toán
 Chính sách kiểm toán (Audit Policy) giúp
giám sát và ghi nhận các sự kiện diễn ra
trong hệ thống
 Chính sách kiểm toán
 Xem các ghi nhận thông qua công cụ
Event Viewer, trong mục Security
 Chính sách kiểm toán
 Các lựa chọn trong chính sách kiểm toán

Chính sách Mô tả
Audit Account Kiểm toán những sự kiện khi tài khoản đăng nhập, hệ
Logon Events thống sẽ ghi nhận khi người dùng logon, logoff hoặc tạo
một kết nối mạng
Audit Account Hệ thống sẽ ghi nhận khi tài khoản người dùng hoặc
Management nhóm có sự thay đổi thông tin hay các thao tác quản trị
liên quan đến tài khoản người dùng
Audit Directory Ghi nhân việc truy cập các dịch vụ thư mục
Service Access
Audit Logon Events Ghi nhân các sự kiện liên quan đến quá trình logon như
thi hành một logon script hoặc truy cập đến một roaming
profile
Audit Object Access Ghi nhận việc truy cập các tập tin, thư mục, và máy tin

Audit Policy Change Ghi nhận các thay đổi trong chính sách kiểm toán
 Chính sách kiểm toán
 Các lựa chọn trong chính sách kiểm toán (t.t)

Chính sách Mô tả
Audit privilege use Hệ thống sẽ ghi nhận lại khi bạn bạn thao tác quản trị
trên các quyền hệ thống như cấp hoặc xóa quyền của
một ai đó
Audit process Kiểm toán này theo dõi hoạt động của chương trình hay
tracking hệ điều hành
Audit system event Hệ thống sẽ ghi nhận mỗi khi bạn khởi động lại máy
hoặc tắt máy
 Chính sách cục bộ
 Quyền hệ thống của người dùng (User
Rights Assignment)
 Là quyền cấp cho user thực thi một số tác vụ
trên hệ thống.
 Có 2 cách cấp quyền hệ thống cho người
dùng là gia nhập tài khoản người dùng vào
nhóm tạo sẵn (built-in) hoặc dùng công cụ
User Rights Assignment để gán từng quyền
rời rạc cho người dùng
 Chính sách cục bộ
 Quyền hệ thống của người dùng (User
Rights Assignment)
 Quyền hệ thống
của người dùng
 Một số quyền hệ thống cho người dùng và nhóm

Quyền Mô tả
Access This Computer Cho phép người dùng hoặc nhóm truy cập máy
from the Network tính thông qua mạng. Mặc định mọi người đều có
quyền này.
Allow log on locally Cho phép người dùng đăng nhập cục bộ vào
server
Back Up Files and Cho phép người dùng sao lưu dự phòng
Directories (backup) các tập tin và thư mục bất chấp các tập
tin và thư mục này người đó có quyền không.
Change the System Time Cho phép người dùng thay đổi giờ hệ thống của
máy tính.
Deny Access to This Không cho người dùng hoặc nhóm được truy
Computer from the cập đến các máy tính trên mạng.
Network
 Quyền hệ thống
của người dùng
 Một số quyền hệ thống cho người dùng và nhóm (t.t)

Quyền Mô tả
Deny Logon Locally Không cho người dùng hoặc nhóm truy cập tại
máy tính Server.
Load and unload device Cho phép người dùng cài đặt hoặc gở bỏ driver
drivers của thiết bị
Log On Locally Cho phép người dùng logon tại máy tính Server.
Restore Files and Cho phép người dùng phục hồi tập tin và thư
Directories mục, bất chấp người dùng này có quyền trên file
và thư mục này hay không.
Shut Down the System Cho phép người dùng shut down cục bộ máy
Windows 2008.
 Chính sách cục bộ
 Các lựa chọn bảo mật (Security Options)
 Cho phép quản trị khai báo thêm thông số nhằm tăng
tính bảo mật cho hệ thống
 Các lựa chọn bảo mật
 Các lựa chọn bảo mật thông dụng
Tên lựa chọn Mô tả
Shutdown: allow system to be shut Cho phép người dùng shutdown hệ
down without having to log on thống mà không cần logon.
Accounts: Limit local account use of Giới hạn tài khoản user có password
blank passwords to console logon only trắng đăng nhập
Network security: force logoff when Tự động log off khỏi hệ thống khi
logon hours expires. người dùng hết thời gian sử dụng
hoặc tài khoản hết hạn.
Interactive logon: do not require Không yêu cầu ấn ba phím
CTRL+ALT+DEL CTRL+ALT+DEL khi logon.
Interactive logon: do not display last Không hiển thị tên người dùng đã
user name logon trên hộp thoại Logon.
Account: rename administrator account Cho phép đổi tên tài khoản
Administrator thành tên mới
Account: rename guest account Cho phép đổi tên tài khoản Guest
thành tên mới
 IP Security (IPSec)
 IP Security là giao thức hổ trợ các kết nối
an toàn dựa trên IP.
 IPSec là hoạt động ở tầng thứ 3 (Network)
 Để sử dụng IPSec bạn tạo ra các quy tắc
(rule), một quy tắc IPSec là sự kết hợp
giữa bộ lọc (IPSec) và các quy tác động
(action)
 IP Security (IPSec)
 Các tác động bảo mật
 Block transmissons: chức năng ngăn chận
những gói dữ liệu được truyền
 Encrypt transmissions: Chức năng mã hóa
những gói tin truyền đi
 Sign transmissions: Chức năng ký tên vào gói
dữ liệu truyền nhằm tránh giả mạo
 Permit transmissions: Chức năng là cho phép
dữ liệu truyền qua, dùng để tạo ra các quy tắt
hạn chế một số điều và không hạn chế một số
điều khác
 IP Security (IPSec)
 Các bộ lọc (Filter) IPSec
 Filter dùng để thống kê các điều kiện để quy
tắc hoạt động.
 Giới hạn tầm tác dụng của các tác động lên
một phạm vi máy tính nào đó.
 Bộ lọc IPSec dựa trên các yếu tố:
• Địa chỉ IP, subnet hoặc tên DNS của máy nguồn.
• Địa chỉ IP, subnet hoặc tên DNS của máy đích.
• Theo số hiệu cổng (port) và kiểu cổng (TCP, UDP,
ICMP…)
 IP Security (IPSec)
 Triển khai IPSec trên Windows Server 2008
 Triển khai IPSec trên Windows
Server 2008
 Các chính sách IPSec tạo sẵn
 Client (Respond Only): chính sách quy định
máy tính bạn không chủ động dùng IPSec trừ
khi nhập yêu cầu dùng IPSec từ máy đối tác.
 Server (Request Security): quy định máy
server của bạn chủ động khởi tạo IPSec mỗi
khi thiết lập kết nói tới máy khác
 Secure Server (Require Security): quy định
không cho phép bất kỳ cuộc trao đổi dữ liệu
nào với Server hiện tại không dùng IPSec
Hỏi và đáp