Luận văn XÂY DỤNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008 pot

LỜI MỞ ĐẦUCùng với sự phát triển của đất nước, hàng loạt công ty lớn nhỏ mọc lên với số lượng máy vi tính, vậy để làm gì để những người quản lý có thể quản lý một số lượng lớn người dùng

XÂY DỤNG CHÍNH SÁCH

HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008

LỜI MỞ ĐẦU

Cùng với sự phát triển của đất nước, hàng loạt công ty lớn nhỏ mọc lên với

số lượng máy vi tính, vậy để làm gì để những người quản lý có thể quản lý một số lượng lớn người dùng lớn như vậy được, System Policy và Group Policy ra đời giúp những người quản lý một số lượng lớn người dùng một cách dễ dàng, đảm bảo được độ bảo mật của dữ liệu…

Chính sách hệ thống tạo cho việc kiểm soát người dùng trên máy khách đó

có một menu Start/Programs đặc biệt hoặc một màn hình Desktop đặc biệt; hạn chếkhông cho người dùng ấy chạy một số chương trình nào đó hoặc thay đổi màn hình Desktop; ấn định một số setting về nối mạng…

Một vài ứng dụng của Group Policy như:

Cài đặt software cho một loạt các user khi đăng nhập vào, cho cài đặt

software gì không cho cài gì….cài đặt software chia làm 3 loại: Publish, Assign va Advanced

Có thể cấm không cho một số user vào các mục Control Panel, My Network Place, Recycle…bằng cách làm ẩn chúng hay có thể cấm truy cập vào các ổ đĩa C, D… hoặc vào Internet Explorer…

Bảo mật dữ liệu, Group Policy có chính sách mật khẩu về mật khẩu và tài khoản để tránh hacker đột nhập

Qua đó, chính sách hệ thống và chính sách nhóm có một vai trò quan trọng trong công việc quản lý các user và dữ liệu, dưới đây sẽ trình bày rõ hơn về tác dụng của System Policy và Group Policy

Nay đề tài đã hoàn tất, nhưng chắc chắc còn nhiều thiếu sót, sai phạm…

chưa được hoàn chỉnh, vậy em rất mong được sự đóng góp ý kiến của thầy và các

bạn để hoàn chỉnh đề tài và phát triển nó hơn.Em xin chân thành cám ơn.

MỤC LỤC

LỜI MỞ ĐẦU MỤC LỤC

1 Chính sách tài khoản(Account policy) 5

1.1 Chính sách mật khẩu (Password Policy) 6

Các lựa chọn trong chính sách mật khẩu:

1.2 Chính sách khóa tài khoản (Account Lockout Policy) 8

Các thông số cấu hình chính sách khóa tài khoản

1.3 Chính sách Kerberos 9

2 Chính sách cục bộ (Local Policies) 10

2.1 Chính sách kiểm toán (Audit Policies) 11

Các lựa chọn trong chính sách kiểm toán

2.2 Quyền hệ thống của từng người(User right assignment)12

Danh sách các quyền hệ thống cấp cho người dùng và nhóm

2.3 Các lựa chọn bảo mật (Security Options) 16

Một số lựa chọn bảo mật trong Security Options:

2 Group Policy Object (GPO): 29

3 Group Policy Setting 29

4 Tính thừa kế của Group Policy Object 32

5 Thứ tự các Group Policy được áp dụng 33

6 Cấu hình một GPO không áp dụng cho một User 33

7 Khởi động Group Policy34

CHƯƠNG 2: MỘT SỐ ỨNG DỤNG CỦA GROUP POLICY

I Cài đặt win server 2008 35

1 Nâng cấp Win Server 2008 thành Domain Controller. 35

2 Join Domain 35

II Ứng dụng của Group Policy 37

Mô hình :

1 Cấu hình Security Policy 38

2 Ứng dụng của Group Policy 44

2.1 Group Policy cài đặt Software thông qua quản trị viên 44

2.2 Làm mất Control Panel 46

2.3 Làm mất biểu tượng Recycle Bin 48

2.4 Làm mất biểu tượng Run cho OU. 48

2.5 Bỏ chức năng kế thừa cho OU 49

2.6 Cài đặt Software cho Users. 51

Trên môi trường Domain , chính sách hệ thống xuất hiện trên 2 công cụ:

 Domain Security Policy: giúp người quản trị thiết lập các chính sách

hệ thống có phạm vi tác động lên toàn miền

 Domain Controller Security Policy: giúp người quản trị thiết lập các chính sách hệ thống có phạm tác động lên các máy Domain

1 Chính sách tài khoản(Account policy)

Account policy được dùng để chỉ định các thông số về tài khoản người dùng

mà nó được sử dụng khi tiến trình logon xảy ra Nó cho phép bạn cấu hình các thông số bảo mật máy tính cho mật khẩu, khóa tài khoản và chứng thục Kerberos

trong vùng Trên Windows Server 2008 làm DC có ba thư mục Password Policy, Account Lockout Policy và Kerberos Policy Trong Windows Server 2008 cho

phép bạn quản lý chính sách tài khoản theo hai cấp độ là: cục bộ và miền Muốn

cấu hình các chính sách tài khoản người dùng ta vàoStart > Administrative

Tools>Local Security Policy.

1.1 Chính sách mật khẩu (Password Policy)

Chính sách mật khẩu (Password Policy) nhằm đảm bảo an toàn cho mật khẩu của người dùng để tránh các trường hợp đăng nhập bất hợp pháp vào hệ thống Chính sách này cho phép bạn quy định chiều dài ngắn nhất của mật khẩu,

độ phức tạp…

Các lựa chọn trong chính sách mật khẩu:

nhất

Giá trị lớn nhất

Enforce password

history

Số lần đặt mật mã không được trùng nhau

Maximum

password age

Quy định số ngày nhiếu nhất mà mật

mã ngươi dùng có hiệu lực

Giữ mật mã trong 42 ngày

Giữ mật mã trong 1 ngày

Giữ mật mã trong 999 ngàyMinimum

password age

Quy định số ngày

ít nhất mà ngươi dùng có thể thay đổi mật mã

1 ngày (người dùng có thể thay đổi ngay lập tức)

Minimum

password length

Chiều dài ngắn nhất của mật mã

Không cho phép

Không cho phép

Cho phép

1.2 Chính sách khóa tài khoản (Account Lockout Policy)

Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức

thời điểm khóa tài khoản trong vùng hay hệ thống cục bộ Giúp hạn chế tấn công

thông qua hình thức logon từ xa

Các thông số cấu hình chính sách khóa tài khoản

Chính sách Mô tả Giá trị mặc

định

Giá trị min

Giá trị max

Là 0 nhưng nếu Account lockout threshold được thiết lậpthì giá trị này

là 30 phút

Như giá trị mặc định

99999 phút

Là 0 nhưng nếu Account lockout threshold được thiết lậpthì giá trị này

là 5 phút

Như giá trị mặc định

99999 phút

5 phút

1.3 Chính sách Kerberos

Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tính hoạt động trên những đường truyền không an toàn Giao thức Kerberos có khả năng chống lại việc nghe lén hay gửi lại những gói tin

cũ và đảm bảo tính toàn vẹn của dữ liệu Mục tiêu của giao thức này là nhằm vào mô hình máy chủ máy khách và đảm bảo nhận thực cho cả hai chiều.

2 Chính sách cục bộ(Local Policies)

Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám sát các đối tượng trên mạng như người dùng và tài nguyên chung.Đồng thời bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mậtvới người dùng

2.1 Chính sách kiểm toán(Audit Policies)

Chính sách kiểm toán(Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống trên các đối tượng

Các lựa chọn trong chính sách kiểm toán

Audit account logon events Ghi nhận khi người dùng logon, logoff hay tạo một kết

nối mạngAudit account managements Ghi nhận khi tài khoản người dùng hay nhóm được tạo

xóa hay các thao tác quản lí người dùngAudit directory service

Audit privilege use Hệ thống sẽ ghi nhận lại khi bạn thao tác quản trị trên

các quyền hệ thống như cấp hoặc xóa quyền của một ai đó

Audit process tracking Kiểm toán này theo dõi hoạt động của chương trình hay

hệ điều hành Audit system events Hệ thống sẽ ghi nhận mỗi khi bạn khởi động lại máy

hay tắt máy

2.2 Quyền hệ thống của từng người(User right assignment)

Là quyền hệ thống cung cấp cho người dùng các quyền quản trị và sử dụng

hệ thống

Có 2 cách cấp quyền hệ thống cho người dùng

+ Add tài khoản người dùng vào các nhóm đã được tạo sẵn (built-in) để thừa

kế

+ Hoặc dùng công cụ User Right Assigment để gán từng quyền rời rạc cho

người dùng

Danh sách các quyền hệ thống cấp cho người dùng và nhóm

Muốn thêm hay bớt quyền hạn cho người dùng hoặc nhóm, bạn nhấp đôi

chuột vào quyền hạn được chọn, nó sẽ xuất hiện hộp thoại chứa danh sách người

dùng và nhóm hiện đang có quyền này Nhấp chuột vào nút Add để them người

dùng, nhóm vào danh sách, hoặc remove để xóa người dùng khỏi danh sách

Access this computer from the

network

Cho phép người dùng truy cập máy tính trên mạng

Act as part of the operating

system

Cho phép các dịch vụ chứng thực ở mức thấp

Add workstations to the

Allow log on locally Cho phép những người dùng và nhóm truy cập đến

máy tính cục bộ Allow log on through Terminal

Services

Cho phép ai được phép sử dụng dịch vụ Terminal

để đăng nhập vào hệ thống

Back up files and directories Cho phép người dùng sao lưu dự phòng các tập tin

và thư mục bất chấp các tập tin và thư mục này người đó có quyền hay không

Bypass traverse checking Cho phép người dùng duyệt qua cấu trúc thư mục

nếu người dùng không có quyền xem(list) nội dung thư mục này

Change the system time Cho phép người dùng thay đổi giờ hệ thống nàyCreate a pagefile Thiết lập user được phép tạo bộ nhớ ảo

Change the time zone Cho phép người dùng thay đổi múi giờ

Create a token object Cho phép một tiến trình tạo một thẻ bài nếu tiến

trình này dùng NTCreate Token APICreate permanent shared objects Cho phép một tiến trình tạo một đối tượng thư mục

thông qua Windows 2008 Object Manager Debug programs Cho phép người dùng gắn một chương trình debug

vào bất kì tiến trình nào

Deny access to this computer

from the network

Cho phép bạn khóa người dùng hay nhóm không được truy cập đến các máy tính trên mạng

Deny logon as a batch file Cho phép bạn ngăn cản những người dùng và nhóm

được phép logon như 1 batch fileDeny logon as a service Cho phép bạn ngăn cản những người dùng và nhóm

truy cập như một servicesDeny log on locally Cấm User Logon cục bộ

Enable computer and user

Generate security audits Cho phép người dùng, nhóm hay một tiến trình tạo

1 entry vào Security logIncrease scheduling priority Quy định một tiến trình có thể tang hay giảm độ ưu

tiên đã được gắn cho tiến trình khácLoad and upload device drivers Cho phép người dùng có thể cài đặt hay gỡ bỏ các

driver của các thiết bịLock pages in memory Khóa trang trong vùng nhớ

Log on as a batch job Cho phép một tiến trình logon vào hệ thống và thi

hành 1 tập tin chứa các lệnh hệ thống Log on as a service Cho phép một dịch vụ logon và thi hành một dịch

vụ riêngLog on locally Thiết lập User Logon cục bộ

Manage auditing and security log Cho phép người dùng quản lý security log

Modify firmware environment

values

Cho phép người dùng hay một tiến trình hiệu chỉnh các biến môi trường hệ thống

Profile single process Cho phép người dùng giám sát các tiến trình bình

thường thông qua công cụ Performancer Logs and Alerts

Profile system performance Cho phép người dùng giám sát các tiến trình hệ

thống thông qua công cụ Performance Logs and Alerts

Remove computer from docking

station

Cho phép người dùng gỡ bỏ 1 Laptop thông qua giao diện người dùng

Replace a process level token Cho phép một tiến trình thay thế một token mặc

định mà được tạo bởi một tiến trình conRestore files and directories Cho phép người dùng phục hồi tập tin và thư mục,

bất chấp người dùng này có quyền trên file và thư mục này hay không

Shut down the system Cho phép người dùng shutdown máy cục bộ

windows 2008Synchronize directory service

data

Cho phép người dùng đồng bộ dữ liệu với một dịch

vụ thư mụcTake ownership of files or others

objects

Cho phép người dùng tước quyền sở hữu của một đối tượng hệ thống

2.3 Các lựa chọn bảo mật (Security Options)

Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server

định nghĩa các quyền và giao diện tương tác trên server giúp các người quản trị

thao tác trên Server dễ dàng và an toàn hơn

Một số lựa chọn bảo mật trong Security Options:

Accounts: Administrator account status Trạng thái hoạt động của Administrator

Accounts: Guest account status Trạng thái hoạt động User Guset

Accounts: Limit local account use of

blank passwords to console logon only

Đăng nhập không cần password

Accounts: Rename administrator

Audit: Force audit policy subcategory

settings (Windows Vista or later) to

override audit policy category settings

Kiểm toán chính sách con cài đặt (Windows Vista hoặc mới hơn) để ghi đè lên các thiết lập kiểm toán

Audit: Shut down system immediately if

unable to log security audits

Kiểm toán: Shut down hệ thống ngay lập tức nếu không thể đăng nhập kiểm toán bảo mật

Devices: Allow undock without having to

Không cho phép cài Printer

Devices: Restrict CD-ROM access to

locally logged-on user only

Cấm truy cập từ xa tới CD-ROM

Devices: Restrict floppy access to locally

logged-on user only

Cấm truy cập từ xa tới FDD

Domain controller: Allow server

operators to schedule tasks

Cho phép nhóm Server Operator lập lịch tác vụ trên Server

Domain controller: Refuse machine

account password changes

Tài khoản máy không được thay đổi mật khẩu

Domain member: Disable machine

account password changes

Vô hiệu hoá tài khoản máy thay đổi mật khẩu

Domain member: Maximum machine

account password age

Mật khẩu của tài khoản máy có số ngày tối đa

Domain member: Require strong session

key

Yêu cầu Khóa phải mạnh

Interactive logon: Do not display last

user name

Không hiển thị tên người dùng cuối cùng

Interactive logon: Do not require

CTRL+ALT+DEL

Không yêu cầu bấm 3 phím CTRL+ALT+DEL khi logon

Interactive logon: Message text for users

attempting to log on and Message title for

users attempting to log on

tạo câu thông báo cho người dùng khi đăng nhập vào máy tính và Nhập dòng tiêu đề

Interactive logon: Number of previous Cache khi log on (=0)

logons to cache (in case domain controller

is not available)

Interactive logon: Prompt user to change

password before expiration

Nhắc nhở người dùng thay đổi mật khẩu trước khi hết hạn

Interactive logon: Require Domain

Controller authentication to unlock

workstation

Yêu cầu chứng thực Domain Controller để mở khóa máy trạm

Interactive logon: Require smart card Yêu cầu thẻ

Interactive logon: Smart card removal

behavior

Loại bỏ thẻ

Microsoft network server: Disconnect

clients when logon hours expire

Ngắt kết nối khách ien khi giờ đăng nhập hết hạn

Recovery console: Allow automatic

administrative logon

Cho phép administrative tự động đăng nhập

Recovery console: Allow floppy copy and

access to all drives and folders

Cho phép copy đĩa mềm và truy cập vào tất cả các ổ đĩa và thư mục

Shutdown: Allow system to be shut

down without having to log on

Cho phép người dùng shutdown hệ thống mà không cần logon

System cryptography: Use FIPS

compliant algorithms for encryption,

hashing, and signing

Hệ thống mật mã: sử dụng FIPS tuân thủ các thuật toán mã hóa

System objects: Strengthen default

permissions of internal system objects

(e.g Symbolic Links)

Tăng cường cho phép mặc định của các đối tượng

hệ thống nội bộ (ví dụ như biểu tượng liên kết)System settings: Optional subsystems Tùy chọn hệ thống con

Shut down: clear vitual memory pagefile Xóa bộ nhớ ảo khi shutdowm

 Thời gian tối thiểu để một người dùng có thể thay đổi mật khẩu là 2 ngày.

 Chiều dài tối thiểu của mật khẩu là 3 ký tự

 Mật khẩu không nằm trong chế độ phức tạp

 Mật khẩu được lưu trữ dưới dạng mã hóa

 Giữa 2 lần thay đổi mật khẩu có thể trùng nhau

 Định nghĩa lại các Policies:

 Nếu một tài khoản người dùng đăng nhập gõ sai mật khẩu quá 3 lần thì tài khoản đó sẽ bị khóa lại trong 30phút

 Thời gian reset lại số lần đăng nhập sai mật khẩu là 5 phút

 Vào mục Security Options hiệu chỉnh các chính sách sao cho:

 Cho phép người dùng shutdown hệ thống mà không cần logon

 Không yêu cầu bấm tổ hợp phím Ctr+Alt+Del khi logon hệ thống

 Không hiển thị tên người dùng logon trước đó.

Cho phép đổi tên tài khoản Administrator thành tên mới

Ví dụ: Với hệ thống mạng trên Hãy cấp quyền cho người dùng theo yêu cầu

B CHÍNH SÁCH NHÓM

CHƯƠNG 1: GIỚI THIỆU CHÍNH SÁCH GROUP POLICY

1 Group Policy:

Group Policy là một nhóm các Policy, các Policy này qui định rất nhiều tính

năng như bảo vệ mật khẩu, cài đặt từ xa, thay đổi hệ thống… Các Group Policy trong GPO (Group Policy Object)

Thí dụ: người quản trị mạng muốn quản lý người dùng một số thông tin như: Các chương trình giành cho người sử dụng được phép dùng

Các chương trình xuất hiện trên màn hình nền của người dùng

Hay đưa ra một số hạn chế buộc người dùng phải tuân theo: Việc cài đặt các thành phần để kiểm soát các việc trên gọi là cài đặt các Policy

Thí dụ: GPO Default Domain Policy liên kết với các Domain.Các GPO này liên kết với Site, Domain, OU để áp dụng tới các người dùng trên Site, Domain, OU đó

Các Policy áp dụng theo thứ tự sau:

Local- Site- Domain- OU- OU trong OU có hai điểm chính (Node) trong

Group Policy trong

User Configuration.

Computer Configuration: Trong từng điểm đều có ba điểm giống nhau:

Software Setting

Windows Setting.

Administrative Templates: tuy nhiên có sự khác nhau giưac hai điểm chính trên

Các Policy trong User Configuration sẽ áp dụng cho các cài đặt cho User (bất kể khi User đấy log on vào máy nào)

Và các Policy trong Computer Configuration sẽ áp dụng tới máy tính ( bất kể User nào log on tới máy tính đấy.)

2 Group Policy Object (GPO):

GPO là một Group Policy cụ thể, có tên riêng của nó và gồm một hay nhiều thiết lập(setting) đã được chọn và cấu hình

GPO là một nhóm các cấu hình của Group Policy

Phân loại GPO:

+Local GPO.

+Non- local GPO.

Local GPO:

Một Local GPO được lưu trên mỗi máy cho dù máy tính đó là thành viên

trong môi trường Active Directory hoặc môi trường mạng:%Systemroot%\

sytem32\GroupPolicy.Một local GPO chỉ ảnh hưởng đến máy tính đang lưu trữ nó.Các thiết lập của local GP có thể bị ghi đè bởi non-local GP vì vậy local GP ít có ý nghĩa quan trọng đối với môi trườngAD

Non-Local GPO

Non-local GPO được tạo ra trong Active Directory%Systemroot%\Sysvol\

sysvol\Domain Name\Policies\GPO GUID\Adm Non-local GPOs

được liên kết đến một site, domain, hoặc OU để áp dụng cho người dùng hoặc máytính

3.Group Policy Setting