Chuổi nhận dạng này giúp hệ thống phân biệt giữa người này với người khác trên mạng, từ đó người dùng có thể đăng nhập vào mạng và truy xuất các tài nguyên mạng mà mình được phép...
Trang 2 Tài khoản người dùng
User Acount là 1 đối tượng quan trọng đại
diện cho người dùng trên mạng, được phân
biệt qua chuổi nhận dạng (User name).
Chuổi nhận dạng này giúp hệ thống phân
biệt giữa người này với người khác trên
mạng, từ đó người dùng có thể đăng nhập
vào mạng và truy xuất các tài nguyên mạng
mà mình được phép
Trang 3 Tài khoản người dùng cục bộ
trên máy cục bộ, và chỉ được phép logon, truy cập tài nguyên trên máy cục bộ
Nếu muốn truy cập tài nguyên trên mạng thì phải được chứng thực tại máy có tài nguyên chia sẻ.
Các tài khoản này được lưu trong tập tin CSDL
SAM tại máy cục bộ ( \Windows\system32\config)
SAM
Logon
Trang 4 Tài khoản người dùng miền
Domain User Account là tài khoản được định
nghĩa trên Active Directory và được phép logon vào mạng tại bất kỳ máy trạm nào trong miền
Với tài khoản này người dùng có thể truy cập
đến các tài nguyên trên mạng
Các tài khoản này được chứa trong tập tin
NTDS.DIT ( \Windows\NTDS)
Windows Server 2003 Domain
Trang 6 Tài khoản nhóm
Group Account là đối tượng đại diện cho một nhóm người dùng nào đó Dùng cho việc
quản lý chung các đối tượng người dùng
Việc phân bổ người dùng vào nhóm giúp ta
dể dàng cấp quyền cho họ trên các tài
nguyên mạng như các thư mục chia sẻ, máy
in
Tài khoản nhóm không thể dùng để đăng
nhập và được chia làm 2 loại
• Nhóm bảo mật (Security Group)
• Nhóm phân phối (Distribution Group)
Trang 7• Nhóm bảo mật (Security Group)
Được dùng để cấp phát các quyền hệ thống
(Rights) và quyền truy cập (Permission)
Giống như tài khoản người dùng, các nhóm bảo mật đều được chỉ định các SID (Security ID)
• Nhóm phân phối (Distribution Group)
Là loại nhóm phi bảo mật, không có SID Loại nhóm này không được dùng bởi các nhà quản trị mà được dùng bởi các phần mềm dịch vụ
Chúng được dùng để phân phối thư (Email)
hoặc các tin nhắn (message) ví dụ như dịch vụ
MS Exchange.
Trang 8Các nhóm tạo sẵn đặc biệtInteractive Đại diện cho users sử dụng máy tại chổ
Network Users đang kết nối mạng đến 1 máytính khác
Everyone Tất cả mọi người dùng
System Đại diện cho hệ điều hành
Creator owner Users tạo ra và sở hữu tài nguyên nào đó
Trang 9 Quản lý tài khoản người dùng
Giống như Win
XP,
ta quản lý tài khoản
người dùng: tạo, xoá,
đổi tên, cấp quyền…
thông qua giao diện
Computer Management.
Trang 10Chú ý
tài khoản này sẽ không bao giờ dùng nữa.
Chú ý: Tài khoản bị xoá sẽ không phục hồi lại được
nữa.
ta nên khoá lại vì lý do bảo mật và an toàn hệ
thống.
và có thể điều chỉnh lại những thông tin về tài
khoản đó.
Khi ta đổi tên, SID của tài khoản đó không thay đổi.
khoản nào nếu xét thấy cần thiết.
Trang 11www.themegallery.com
Trang 12 Chính sách tài khoản người dùng
(Account Policy) dùng để chỉ định các
thông số về tài khoản người dùng mà
nó được sử dụng khi tiến trình Logon
xảy ra.
mật máy tính, mật khẩu, khoá tài
khoản và chứng thực.
Trang 13Khái niệm
Start Progams Administrative Tools
Local Security Policy
hoặc Domain Security Policy
Nếu trên Server dùng Workgoup ta sẽ thấy 2 mục
nếu Server đã nâng cấp lên Domain Controler sẽ có
thêm 1 mục nữa là Kerberos Policy
Users
Trang 14 Password Policy nhằm đảm bảo an toàn mật khẩu cho người dùng,
tránh các trường hợp đăng nhập bất hợp pháp vào hệ thống
Chính sách mật khẩu
Số lần đặt mật mã không được trùng nhau
Mật mã được mã hoá
Trang 15 Account Lockout Policy quy định cách thức khoá tài khoản
trong vùng hay trong hệ thống cục bộ Chính sách này giúp
ta hạn chế bị tấn công bằng phương pháp Logon từ xa.
Chính sách khoá tài khoản
Quy định thời gian khoá Là 0, Nhưng nếu Account Lockout Threshold được thiết lập thì giá trị này là 30 phút
Quy định số lần đăng nhập sai, tài khoản sẽ bị khoá
Quy định thời gian đếm lại số lần đăng nhập không thành công.
Là 0, nếu Account Lockout Threshold được thiết lập thì giá trị này là 30 phút
Trang 16 Local Policy cho thiết lập các chính sách giám sát đối
tượng trên mạng, như : người dùng và tài nguyên dùng chung Đồng thời dựa vào chính sách này ta có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mật.
Trang 17ra trong hệ thống, trên các đối tượng và các người dùng Ghi nhận thông qua công cụ Event Viewer trong mục Security
vụ thư mục Ghi nhận việc thi hành Script
hoặc roaming profile Ghi nhận việc truy cập các file,
thư mục, máy in…
Ghi nhận sự thay đổi trong chính sách kiểm toán
Ghi nhận khi có thao tác quản trị bằng quyền hệ
thống như cấp hoặc xoá quyền 1 ai đó
Ghi nhận sự hoạt động của ch.trình hay HĐH
Ghi nhận khi khởi động lại máy hoặc tắt máy
Trang 18 Có 2 cách cấp quyền hệ thống cho người dùng
được tạo sẵn (built-in) để thừa kế quyền (đã học ở WinXP)
Quyền hệ thống của người dùng
2 Hoặc dùng công
cụ User Right Assigment để gán từng quyền rời
rạc cho người dùng
Trang 19Add Workstations to the
Backup file and
mục nếu không có quyền xem (list) thư mục này
Quyền hệ thống của người dùng (tt)
Trang 20Quyền Mô tả
Debug Programs
Cho phép người dùng gắn 1 chương trình debug vào bất cứ tiến trình nào
Deny Access to This
Computer from the Net
Cho phép khoá người dùng hoặc nhóm không được truy cập đến các máy tính khác trên mạng
Quyền hệ thống của người dùng (tt)
Trang 21Enable Computer and
User Accounts to Be
Trusted by Delegation
Cho phép users hoặc nhóm được uỷ quyền cho người dùng hoặc máy tính
Force shutdow from a
remote system
Cho phép người dùng Shutdow máy
từ xa thông qua mạng
Generate Security
Quyền hệ thống của người dùng (tt)
Trang 22 Security Options cho phép người quản trị Server khai báo thêm các thông số nhằm tăng tính bảo mật thêm cho hệ thống như :
Các lựa chọn bảo mật
Không hiển thị Username
người dùng đã logon trước
Hay đổi tên người dùng tạo sẵn
Win 2k3 hổ trợ chúng ta rất nhiều lựa chọn bảo mât.
Nhưng trong giáo tài liệu này chúng
ta chỉ khảo sát những lựa chọn
Trang 23Cho phép người dùng shutdown hệ thống mà không cần logon
Giám sát việc truy cập các đối tượng hệ thống toàn cục
Tự động logoff khi người dùng hết thời gian sử dụng hoặc tài khoản hết hạn
Không hiển thị tên người dùng vừa logon trên hộp thoại logon
Cho phép thay đôỉ tên Addministrator thành tên mới Cho phép thay đôỉ tên Guest thành tên mới
Các lựa chọn bảo mật
Không cần nhấn CTRL+ATL+DEL khi khởi động
Trang 24LOGO