Tài liệu Gpedit MSC

Tài liệu Gpedit MSC

Các lệnh tắt với lệnh gpedit.msc

compmgmt.msc: Computer Management

devmgmt.msc: Device Management

diskmgmt.msc: Disk Management

Certificates (Q/lý chứng thư số của máy ở xa)

Computer Management (Quản trị Computer ở xa)

Device Manager (Q/lý các thiết bị của máy ở xa)

Disk Management (Q/lý đĩa và các phân vùng Logic trên đĩa cứng của máy ở xa)

Event Viewer (Xem các nhật ký ghi lại sự kiện về hệ thống, ứng dụng, bảo mật )

Group Policy (Q/lý các chính sách áp đặt kên hệ thống các máy ở xa)

Indexing Service (Q/lý dịch vụ lưu giữ thuộc tính file, phục vụ tìm file nhanh)

Internet Protocol Security (Ipsec) Monitor (Quan sát từ xa hoạt động của IPSEC)

IP Security Policy (Q/lý tính năng bảo mật đường truyền dùng IPSEC)

Local Users and Groups (Q/lý từ xa các User và Group)

Removable Storage Management (Q/lý các thiết bị lưu trữ gắn rời như USB )

Resultant Set of Policy (Tính năng này giúp Admin kiểm tra nhanh tác động của Policy lên một User

cụ thể)

Services (Q/lý các Dịch vụ của máy ở xa)

Shared Folders (Q/lý các Folders được chia sẽ của máy ở xa)

GROUP POLICY CHÍNH SÁCH NHÓM

COMPUTER CONFIGURATIONÆ WINDOWS SETINGS Æ SECURITY SETTING -> LOCAL POLICIES

COMPUTER CONFIGURATIONÆ WINDOWS SETINGS

Thiết lập các đặc trưng cho máy tính (K quan tâm tới User Logon)

Chỉ định Win chạy 1 đoạn mã khi Windows Startup/Shutdow

Thiết lập bảo mật cho toàn bộ hệ thống

Thiết lập chính sách cho TK

4

Chính sách khoá nguời dùng chung

Kiểm định những chính sách, những tuỳ chọn quyền lợi và c/s an toàn cho nguời dùng tại chỗ

Chính sách liên quan đến MK TK NSD trên máy

Số lượng MK có thể nhớ (0-24) Thời hạn sống tối đa của MK (0: k hết hạn)Thời hạn sống tối thiểu của MK

Chiều dài tối thiểu của MK

Độ phức tạp của MK: min =6,

a-z or A-Z & 0 – 9, đặc/b

Khoảng thời gian User bị khoá

Số lần logon k thành, user sẽ bị khoá

T/g User được mở khoá sau khi bị khoá

Thiết lập các đặc trưng cho máy tính (K quan tâm tới User Logon)

Ấn quyền chỉ định cho nguời dùng:

Bao gồm các quyền truy cập, backup dữ liệu, thay đổi thời gian của hệ thống

Để cấu hình cho một mục nào đó: Nhấp chuột và chọn Add user or group để trao quyền cho user or group nào bạn muốn

Thiết lập chính sách cho User Thiết lập quyền User

Thiết lập User được phép truy xuất đến máy

Chỉ định TK nào sẽ được phép hoạt động như một phần của hệ thống.Thêm 1 TK hay nhóm vào miền Chỉ h/động trên hệ thống sử dụng Domain Controller Khi được thêm vào tên miền, TK này sẽ có thêm các quyền h/động trên dvụ thư mục (Active Direcory), có thê truy cập tài nguyên mạng như 1 thành viên trên Domain

Chỉ định ai được phép điều chỉnh chỉ tiêu bộ nhớ dành cho một quá trình

xử lý Chính sách làm tăng hiệu xuất của hệ thống

Cho phép ai được phép sử dụng dịch vụ Terminal

để đăng nhập vào hệ thống.

Thiết lập User được quyền Backup dữ liệu

Thiết lập User được thay đổi thời gian hệ thống

Thiết lập User được phép tạo bộ nhớ ảo

Thiết lập User được phép tạo ra các đối tượng dùng chung

Cấm User Logon cục bộ

Cấm User Remote Desktop

Thiết lập User có thể Shutdown máy từ xa

Thiết lập User Logon cục bộ

Thiết lập User có thể Shutdown cục bộ

Trạng thái hoạt động Administrator Trạng thái hoạt động User Guest

Xóa bộ nhớ ảo khi Shutdown

Chọn Class để truy nhập

theo User và Password

Shutdown k cần phải Logon

8

ADMINISTRATIVE TEMPLATES Æ WINDOWS COMPONENTS Æ INTERNET EXPLORER

Trong Security Zone có ds các Site nguy hiểm do người dùng thiết lập, Enable tuỳ chọn sẽ k cho thay đổi ds đó (Tốt nhất là giấu thẻ Security)

Bắt buộc tất cả các User đều chung một mức độ Security như nhau

Ngăn k cho IE tự động Update

ADMINISTRATIVE TEMPLATES Æ WINDOWS COMPONENTS Æ INTERNET EXPLORER

10

Giới hạn số kết nối tới máy tính (Remote Desktop)

ADMINISTRATIVE TEMPLATES Æ SYSTEM Æ LOGON

Ẩn màn hình Wellcome khi User đăng nhập vào hệ thống

USER CONFIGURATION

ÆWINDOWS SETINGS Æ INTERNET EXPLORER MAINTENANCE

Thay đổi tiêu đề nội dung IE Thay đổi Logo IE

12

ADMINISTRATIVE TEMPLATES Æ WINDOWS COMPONENTS Æ INTERNET EXPLORER

Chỉnh sửa

Default Home Page

ADMINISTRATIVE TEMPLATES Æ WINDOWS COMPONENTS Æ INTERNET EXPLORER Æ

Æ Internet control panel

Æ Toolbars

Æ Browser menus

14

Ẩn các Tab trong IE Option

Tuỳ chọn hiển thị các nút trên thanh C2 IE

Ẩn các chức năng File, Edit, View, Tolls

Ngăn chặn Download

K cho Save trang Web

ADMINISTRATIVE TEMPLATES Æ WINDOWS COMPONENTS Æ WINDOWS EXPLORER

Ẩn Folder Option

Ẩn Folder Option

Ẩn Search trong Explorer

Ẩn context khi phải chuột

Ẩn Manage khi phải

chuột vào My computer

Ẩn ổ đĩa (access qua Addresss) Ngăn truy nhập các ổ đĩa

ADMINISTRATIVE TEMPLATES Æ WINDOWS COMPONENTS Æ WINDOWS UPDATE

Cấm tải các bản cập nhật Windows

16

ADMINISTRATIVE TEMPLATES Æ WINDOWS COMPONENTS Æ WINDOWS MEDIA PLAYER

Thiết lập một Skin duy nhất cho Media

Ngăn Media tự động tải các codec

ADMINISTRATIVE TEMPLATES Æ START MENU AND TASKBAR

Ẩn Tollbars

K hiển thị tên trên Start

K lưu tập tin trong My Doccument

K thay đổi các th/tính đã thiết lập

Khoá Taskbar

Ẩn Logoff Cấm Drag –and Drop

Ẩn Shut Down

18

ADMINISTRATIVE TEMPLATES Æ DESKTOP

K thay đổi thiết lập sau khi tắt máy

Ẩn biểu tượng trên Desktop

Ẩn Icon: My Documents,

My Computer , Recycle Bin

Ẩn thuộc tính Properties :

My Documents, My Computer, Recycle Bin

Không cho thay đổi Desktop

ADMINISTRATIVE TEMPLATES Æ CONTROL PANEL

Ẩn Tab Settings

Ẩn Tab Screen Saver

Ẩn Task Manager

Tắt chế độ Autoplay

Không cho chạy ứng dụng chỉ định

Ngăn thực hiện lênh CMD Ngăn chỉnh sửa Regedit

Scripts: Là đoạn chương trình ngắn thực thi được áp

dụng khi:

Logon :Khi User đăng nhập

Logoff :Khi User đăng xuất Start up :Khi Computer khởi động Shutdown :Khi Computer Shútown

+ Prohibit access to properties of a LAN connection + Enable Windows 2000 Network Connections settings for Administrators

+ Prohibit access to properties of components of a LAN connection

+ Enable Windows 2000 Network Connections settings for Administrators

22

Quản trị hệ thống với Group Policy trong Windows XP – Phần I -

Gpedit.msc Æ OK để khởi động chương trình

*Computer Configuration: Các thay đổi trong phần này sẽ áp dụng cho toàn bộ người dùng trên máy

Trong nhánh này chứa nhiều nhánh con như:

+ Windows Settings: bạn sẽ cấu hình về việc sử dụng TK, password TK, quản lý việc khởi động và

đăng nhập hệ thống

+ Administrative Templates:

- Windows Components: bạn sẽ cấu hình các thành phần cài đặt trong Windows như:

Internet EXPlorer, NetMeeting

- System: cấu hình về hệ thống

*User Configuration: giúp bạn cấu hình cho TK đang sử dụng Các thành phần có khác đôi chút nhưng việc

sử dụng và cấu hình cũng tương tự như trên

+ Security Settings: Các thiết lập bảo mật cho hệ thống, các thiết lập này được áp dụng cho toàn bộ

hệ thống chứ không riêng người sử dụng nào

Account Policies Các chính sách áp dụng cho tài khoản của người dùng

Local Policies Kiểm định những chính sách, những tùy chọn quyền lợi và chính sách an toàn

cho người dùng tại chỗ

Public Key Policies Các chính sách khóa dùng chung

1 Account Policies: Thiết lập các chính sách cho tài khoản

a.Password Policies: Bao gồm các chính sách liên quan đến MK TK của NSD TK trên máy

• Enforce password history: Thiết lập này bắt buộc một mật khẩu mới không được giống bất kỳ một

số mật khẩu nào đó do ta quyết định Có giá trị từ 0 đến 24 mật khẩu

• Maximum password age: Thời gian tối đa MK còn hiệu lực, sau thời gian này hệ thống sẽ yêu cầu ta thay đổi mật khẩu Số giá trị từ 1 đến 999 ngày Giá trị mặc định là 42

- Chứa từ 3 hoặc 4 loại ký tự sau: Các chữ cái thường (a -> Z), các chữ cái hoa (A -> Z), Các chữ số (0 -> 9) và các ký tự đặc biệt

• Độ phức tạp của mật khẩu được coi là bắt buộc khi tạo mới hoặc thay đổi mật khẩu đinh : Disable

• Store password using reversible encryption for all users in the domain:

Lưu trữ MK sử dụng mã hóa ngược cho tất cả các NSD domain Tính năngcung cấp sự hỗ trợ cho các ứng dụng sử dụng giao thức,nó yêu cầu sự am hiểu về mật khẩu của người sử dụng Việc lưu trữ mật khẩu

sử dụng phương pháp mã hóa ngươc thực chất giống như việc lưu trữ các văn bản mã hóa của thông tin bảo vệ mật khẩu Mặc đinh : Disable

b.Acount lockout Policy:

* Account lockout duration:

Xác định số phút còn sau khi TK được khóa trước khi việc mở khóa đươc thực hiện Có giá trị từ 0 đến 99.999 phút Có thể thiết lập giá trị 0 nếu không muốn việc tự động Unlock Mặc định không có hiệu lực vì chính

sách này chỉ có khi chính sách “Account lockout threshold” được thiết lập

* Account lockout threshold:

Xác định số lần cố gắng đăng nhập nhưng không thành công Trong trường hợp này Acount sẽ bị khóa Việc mở khóa chỉ có thể thực hiện bởi người quản trị hoặc phải đợi đến khi thời hạn khóa hêt hiệu lực Có thể thiết lập giá trị cho số lần đăng nhập sai từ 1 đến 999 Trong trường hợp thiết lập giá trị 0, account sẽ không bị

User rights Assignment: Ấn định quyền cho NSD

Quyền của người sử dụng ở đây bao gồm các quyền truy cập, quyền backup dữ liệu, thay đổi thời gian của hệ thống…

Trong phần này, để cấu hình cho một mục nào đó bạn có thể nháy đúp chuột lên mục đó và nhấn nủt Add user

or group để trao quyền cho user hoặc Group nào bạn muốn

* Access this computer from the network:

Với thiết lập này bạn có thể tuy ý thêm, bớt quyền truy cập vào máy cho bất cứ TK hoặc nhóm nào

* Act as part of the operating system:

Chỉ định TK nào sẽ được phép hoạt động như một phần của hệ thống Mặc định, TK Aministrator có

quyền cao nhất, có thể thay đổi bất kỳ thiết lập nào của hệ thống, được xác nhận như bất kỳ một người dùng nào, vì thế có thể sử dụng tài nguyên hệ thống như bất kỳ người dùng nào Chỉ có những dịch vụ chứng thực ở mức thấp mới yêu cầu đặc quyền này

* Add workstations to domain:

Thếm một TK hoặc nhóm vào miền Chỉ hoạt động trên hệ thống sử dụng Domain Controller Khi được thêm vào miền, tài khoàn này sẽ có thêm các quyền hoạt động trên dịch vụ thư mục (Active Directory), có thể truy cập tài nguyên mạng như một thành viên trên Domain

* Adjust memory quotas for a process:

Chỉ định những ai được phép điều chỉnh chỉ tiêu bộ nhớ dành cho một quá trình xử lý Tuy có làm tăng hiệu suất của hệ thống nhưng nó có thể bị lạm dụng để phục vụ cho những mục đích xấu như tấn công từ chôi dịch vụ DoS (Dinal of Sevices)

* Allow logon through Terminal Services:

Terminal Services là một dịch vụ cho phép chúng ta đăng nhập từ xa đến máy tính Quyết định giúp

chúng ta những ai được phép sử dụng dịch vụ Terminal để đăng nhập vào hệ thống

* Back up files and directories:

Cấp phép cho những ai sẽ có quyền backup dữ liệu

* Change the system time:

Cho phép NSD nào có quyền thay đổi thời gian cuả hệ thống

* Create global objects:

Cấp quyền cho những ai có thể tạo ra các đối tượng dùng chung

* Force shutdown from a remote system:

Cho phép những ai có quyền tắt máy qua hệ thống điều khiển từ xa

Shut down the system: Cho phép ai có quyền Shutdown máy

Khám phá Windows XP

- Character Map: bảng ký tự đặc biệt cho phép chèn nhanh những ký tự cần thiết vào các chương trình soạn thảo văn bản

trong bộ Microsoft Office

- Clipboard Viewer: xem nội dung của những thông tin được lưu lại trong clipboard

- Componet Services: theo dõi những sự kiện quan trọng đã xảy ra trong hệ thống được ghi lại trong các file nhật ký; quản

lý và thay đổi trạng thái cho các dịch vụ của Windows XP

- Computer Management: tập hợp rất nhiều công cụ cần thiết cho việc quản trị máy tính (hoặc điều khiển máy tính từ xa)

được bố trí theo từng nhóm rất khoa học

- Direct X diagnosis: đem đến một cái nhìn tổng quan hơn về DirectX, card màn hình, card âm thanh của máy tính với 8

bảng thông tin khác nhau

- Disk Management: công cụ quản lý ổ đĩa hệ thống, cho phép theo dõi tình trạng sức khỏe ổ đĩa, định dạng lại ổ đĩa, thay

đổi ký tự ổ đĩa, xóa phân vùng

- Dr Watson diagnosis: chuyên gia chẩn đoán và giải mã những thông báo lỗi, những sự xung đột chương trình có thể

khiến Windows XP gặp sự cố

- Express Install Wizard: trình thuật sĩ giúp tạo ra các file nén thông dụng, file nén tự chạy, file cài đặt chương trình mà

không cần sử dụng thêm phần mềm của hãng thứ ba

- Group Policy Object Editor: thay đổi một số thiết lập ẩn quan trọng liên quan đến hệ thống, mạng, máy in, những thành

phần then chốt của Windows XP… mà không phải xài đến Registry Editor

- Local User and Group Manager: theo dõi và quản lý tất cả TK hiện có trong hệ thống

- Network Sharing Wizard: trình thuật sĩ giúp thiết lập quyền chia sẻ những thư mục quan trọng với người khác trong mạng

nội bộ

- Object Packager: đóng gói đối tượng để chèn vào bên trong tập tin, thường là tập tin trợ giúp

- Performance Monitor: theo dõi chi tiết những thông tin về tài nguyên và tình trạng sức khỏe của hệ thống trên cùng một

biểu đồ

- Text to Speech Narator: trợ thủ đắc lực cho người khiếm thính với khả năng đọc lưu loát (bằng tiếng Anh) nội dung của

những hoạt động diễn ra khi làm việc với một số thành phần của Windows như: Notepad, Wordpad, Internet Explorer và những chương trình có trong Control Panel

- Windows Network Chat: cho phép mọi người trò chuyện với nhau qua mạng cục bộ (LAN)

- Windows Version: thể hiện thông tin về phiên bản Windows XP đang sử dụng

Với XE, mọi bí ẩn xung quanh Windows XP giờ đây đều đã rõ ràng Phiên bản mới nhất XE 2.0 có dung lượng 451 KB, được cung cấp miễn phí tại www.zshare.net/download/xe-exe.html

GroupPolicy: QUẢN LÝ WINDOWS XP

Gpedit.msc Æ OK bạn sẽ có cửa sổ Group Policy

Phần bên trái của cửa sổ bạn chọn: User Configuration\ Administrative Templates Æquản lý máy tính với

các khoản mục sau:

- Thư mục Star menu and Taskbar:

việc sẽ không lưu trong Documents nữa,

Tương tự bạn, có thể gỡ bỏ hộp thoại Run, gỡ bỏ menu Documents, gỡ bỏ phần Help and support trên Startmenu Khi cần phục hồi, bạn bấm kép chuột vào nó, chọn Not configured (không cấu hình) trong hộp

thoại là xong

- Thư mục Desktop:

Quản lý 15 tác vụ khác nhau.Với các tính năng nhứ ẩn tất cả các biểu tượng trên Desktop, không

cho phép người khác thay đổi đường dẫn của My Documents Nhưng đặc biệt nó cho phép bạn gỡ bỏ Recycle Bin khỏi Desktop

- Thư mục Control Panel:

Có bốn thư mục con là Add/Remove Program, Display, Printers và Regional and Language Option, cùng với bốn thuộc tính

+mục Prohibit access to the Control Panel (cấm truy cập vào Control Panel)

+mục Prevent access to registry editing tools để khoá Registry

- Thư mục Windows Components:

có 10 thư mục con, nhưng quan trọng hơn hết là Windows EXPlorer Bấm thư mục Windows EXPlorer ở cửa sổ bên trái,

+Prevent access to drivers from My Computer (không cho phép truy cập vào các ổ đĩa)

+ Recycle Bin là Do not move deleted files to the Recycle Bin: Xoá không qua thùng rác

Thiết lập để Windows XP yêu cầu tất cả TK người dùng phải thực hiện thói quen sử dụng mật khẩu an toàn