HỆ THỐNG THÔNG TIN - Chương 03 pps

Chính sách tài khoản người dùng Account Policy: được dùng để chỉ định các thông số về tài khoản người dùng khi tiến trình logon xảy ra 3/47... Chính sách tài khoản người dùng t.t Chính s

TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN

KHOA ĐIỆN TỬ - VIỄN THÔNG

Chương 03

CHÍNH SÁCH HỆ THỐNG

Chính sách tài khoản người dùng

Account Policy: được dùng để chỉ định các thông số về tài khoản người dùng khi tiến trình logon xảy ra

3/47

Chính sách tài khoản người dùng (t.t)

Chính sách mật khẩu (Password Policies)

Password Policies nhằm đảm bảo an toàn cho tài khoản của người dùng.

Password Policies cho phép qui định độ dài, độ phức tạp của mật khẩu

của mật khẩu

Passwords Must Meet

Complexity Requirements

Mật khẩu phải có độ phức tạp như: có

ký tự hoa, thường, có ký số

Cho phép

Store Password Using

Reversible Encryption for

All Users in the Domain

Mật mã người dùng được lưu dưới dạng mã hóa

Không cho phép

Chính sách tài khoản người dùng (t.t)

Chính sách khoá tài khoản (Account Lockout Policy)

Account Lockout Policy quy định cách thức và thời điểm khoá tài khoản

Chính sách này hạn chế tấn công thông qua hình thức logon từ xa

Chính sách khoá tài khoản (t.t)

Các chính sách khoá tài khoản mặc định

0 (tài khoản sẽ không bị khóa)

Là 0, nhưng nếu Account Lockout Threshold được thiết lập thì giá trị này là 30 phút

Chính sách cục bộ

Local Policies: cho phép thiết lập các chính sách giám sát các đối tượng trên mạng cấp quyền hệ thống cho người dùng

và các lựa chọn người dùng

Chính sách kiểm toán (Audit Policies) giúp giám sát và ghi nhận các

sự kiện diễn ra trong hệ thống

Kiểm toán những sự kiện khi tài khoản đăng nhập, hệ thống

sẽ ghi nhận khi người dùng logon, logoff hoặc tạo một kết nối mạng

Audit Account Hệ thống sẽ ghi nhận khi tài khoản người dùng hoặc nhóm có

9/47

Audit Account

Management

Hệ thống sẽ ghi nhận khi tài khoản người dùng hoặc nhóm có

sự thay đổi thông tin hay các thao tác quản trị liên quan đến tài khoản người dùng

Audit Directory

Service Access

Ghi nhận việc truy cập các dịch vụ thư mục

Audit Logon Events Ghi nhận các sự kiện liên quan đến quá trình logon như thi

hành một logon script hoặc truy cập đến một roaming profile

Audit Object Access Ghi nhận việc truy cập các tập tin, thư mục, và máy in

Audit Policy Change Ghi nhận các thay đổi trong chính sách kiểm toán

Chính sách kiểm toán

Các lựa chọn trong chính sách kiểm toán (t.t)

Chính sách Mô tả

Audit privilege use Hệ thống sẽ ghi nhận lại khi bạn bạn thao tác quản trị trên

các quyền hệ thống như cấp hoặc xóa quyền của một ai đó

Chính sách cục bộ

Quyền hệ thống của người dùng (User Rights

Assignment)

11/47

Quyền hệ thống của người dùng

Một số quyền hệ thống cho người dùng và nhóm

Quyền Mô tả

Access This Computer

from the Network

Cho phép người dùng truy cập máy tính thông qua mạng Mặc định mọi người đều có quyền này

Allow log on locally Cho phép người dùng đăng nhập cục bộ vào server

Bypass Traverse Checking Cho phép người dùng duyệt qua cấu trúc thư mục nếu

người dùng không có quyền xem (list) nội dung thưmục này

Back Up Files and

Directories

Cho phép người dùng sao lưu dự phòng (backup) các tập tin và thư mục bất chấp các tập tin và thư mục này người đó có quyền không

Quyền hệ thống của người dùng

Một số quyền hệ thống cho người dùng và nhóm (t.t)

Shut Down the System Cho phép người dùng shut down cục bộ máy Windows

Chính sách cục bộ

Các lựa chọn bảo mật (Security Options)

Các lựa chọn bảo mật

Các lựa chọn bảo mật thông dụng

Tên lựa chọn Mô tả

Shutdown: allow system to be shut

down without having to log on

Cho phép người dùng shutdown hệ thống

Network security: force logoff when

logon hours expires

Tự động log off khỏi hệ thống khi người dùng hết thời gian sử dụng hoặc tài

Account: rename administrator account Cho phép đổi tên tài khoản

Administrator thành tên mới Account: rename guest account Cho phép đổi tên tài khoản Guest thành

tên mới

IP Security (IPSec)

IP Security là giao thức hỗ trợ các kết nối an toàn dựa trên IP.

IPSec là hoạt động ở tầng thứ 3

IPSec là hoạt động ở tầng thứ 3

(Network)

IPSec hoat động dựa trên các qui tắc

(rule) bao gồm các bộ lọc (filter) và các

Sign transmissions: cho phép ký tên vào dữ liệu

trước khi truyền nhằm tránh kẻ tấn công giả dạng những gói dữ liệu truyền

Permit transmissions: Cho phép dữ liệu đường

truyền qua

IP Security (IPSec)

Các bộ lọc (Filter) IPSec

Filter dùng để thống kê các điều kiện để thực hiện các hoạt động.

Giới hạn tầm tác dụng của các tác động lên một

Giới hạn tầm tác dụng của các tác động lên một

phạm vi máy tính nào đó.

Bộ lọc IPSec dựa trên các yếu tố:

ðịa chỉ IP, subnet hoặc tên DNS của máy nguồn

IP Security (IPSec)

Triển khai IPSec trên Windows Server 2003

19/47

Triển khai IPSec trên Windows Server

Server (Request Security): Chính sách này qui đ nh

Server (Request Security): Chính sách này qui định máy sever cố gắng yêu cầu IPSec khi thiết lập đến máy khác Nhưng nếu Client không cấu hình IPSec thì Server vẫn chấp nhận

IP Security (IPSec)

Các điều cần nhớ khi triển khai IPSec

Trên một máy tính bất kỳ tại một thời điểm chỉ có một chính sách IPSec hoạt động

M i chính sách có nhi u qui t c Rule

21/47

Mỗi chính sách có nhiều qui tắc Rule

Mỗi Rule có nhiều bộ lọc Filter và nhiều các tác động bảo mật

Có 4 tác động mà qui tắc có thể dùng :

Block, Encrypt, Sign và permit

Triển khai IPSec trên Windows Server

2003

Triển khai IPSec trên Windows Server

2003

Ví dụ: Tạo IPSec đảm bảo một kết nối được

mã hoá (Xem Demo)

Câu hỏi và giải đáp

23/47