Chính Sách Hệ Thống Và Chính Sách Nhóm (GROUP POLICY)

CHÍNH SÁCH HỆ THỐNGI.1 Chính sách tài khoản người dùng  Chính sách tài khoản người dùng Account Policy được dùng để chỉ định các thông số về tài khoản người dùng mà nó được sử dụng khi

TRƯỜNG TRUNG CẤP TÂY BẮC

KHOA: CÔNG NGHỆ THÔNG TIN

CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM (GROUP POLICY)

 Triễn khai một chính sách nhóm trên miền

 Một số minh họa GPO trên người dùng và cấu hình

máy

I CHÍNH SÁCH HỆ THỐNG

I.1 Chính sách tài khoản người dùng

 Chính sách tài khoản người dùng (Account Policy) được dùng để chỉ định các thông số về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy ra.

 Muốn cấu hình các chính sách tài khoản người dùng ta vào: Start / Programs / Administrative Tools / Domain Security Policy hoặc Local Security Policy.

I.1.1 Chính sách mật khẩu

 Chính sách mật khẩu (Password Policies) nhằm đảm

bảo an toàn cho mật khẩu của người dùng để tránh các trường hợp đăng nhập bất hợp pháp vào hệ thống

I CHÍNH SÁCH HỆ THỐNG

I CHÍNH SÁCH HỆ THỐNG

Enforce Password History Số lần đặt mật mã không được trùng

Maximum Password Age Quy định số ngày nhiều nhất mà mật mã người dùng có hiệu lực 42

Minimum Password Age Quy số ngày tối thiểu trước khi người dùng có thể thay đổi mật mã. 1

Minimum Password Length Chiều dài ngắn nhất của mật mã 7

Passwords Must Meet

Complexity Requirements Mật khẩu phải có độ phức tạp như: có ký tự hoa, thường, có ký số Cho phép

Store Password Using

Reversible Encryption for

All Users in the Domain

Mật mã người dùng được lưu dưới dạng mã hóa

Không cho phép

I.1.2 Chính sách nhóm

 Chính sách khóa tài khoản (Account Lockout Policy) quy định cách

thức và thời điểm khóa tài khoản trong vùng hay trong hệ thống cục bộ

Chính sách này giúp hạn chế tấn công thông qua hình thức logon từ xa

 Các thông số cấu hình chính sách khóa tài khoản:

I CHÍNH SÁCH HỆ THỐNG

Account Lockout

Threshold Quy định số lần cố gắng đăng nhập trước khi tài khoản bị khóa 0 (tài khoản sẽ không bị khóa)

Account Lockout Duration Quy định thời gian khóa tài khoản Threshold được thiết lập thì giá trị này là Là 0, nhưng nếu Account Lockout

II.2 Chính sách cục bộ

 Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám

sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung.

II.2.1 Chính sách kiểm toán

 Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các

sự kiện xảy ra trong hệ thống, trên các đối tượng cũng như đối với các người

dùng Bạn có thể xem các ghi nhận này thông qua công cụ Event Viewer, trong mục Security.

I CHÍNH SÁCH HỆ THỐNG

I CHÍNH SÁCH HỆ THỐNG

Chính sách Mô tả

Audit Account Logon Events Kiểm toán những sự kiện khi tài khoản đăng nhập, hệ thống sẽ ghi nhận khi

người dùng logon, logoff hoặc tạo một kết nối mạng.

Audit Account Management Hệ thống sẽ ghi nhận khi tài khoản người dùng hoặc nhóm có sự thay

đổi thông tin hay các thao tác quản trị liên quan đến tài khoản người dùng

Audit Directory Service Access Ghi nhân việc truy cập các dịch vụ thư mục

Audit Logon Events Ghi nhận các sự kiện liên quan đến quá trình logon như thi hành một logon

script hoặc truy cập đến một roaming profile.

Audit Object Access Ghi nhận việc truy cập các tập tin, thư mục, và máy tin.

Audit Policy Change Ghi nhận các thay đổi trong chính sách kiểm toán

Audit privilege use Hệ thống sẽ ghi nhận lại khi bạn bạn thao tác quản trị trên các quyền hệ thống

như cấp hoặc xóa quyền của một ai đó.

Audit process tracking Kiểm toán này theo dõi hoạt động của chương trình hay hệ điều hành.

Audit system event Hệ thống sẽ ghi nhận mỗi khi bạn khởi động lại máy hoặc tắt máy.

I.2.2 Quyền hệ thống của người dùng

 Đối với hệ thống Windows Server 2003, bạn có hai cách

cấp quyền hệ thống cho người dùng là: gia nhập tài khoản

người dùng vào các nhóm tạo sẵn (built-in) để kế thừa quyền hoặc bạn dùng công cụ User Rights Assignment để

gán từng quyền rời rạc cho người dùng

 Để cấp quyền hệ thống cho người dùng theo cách thứ hai thì

bạn phải dùng công cụ Local Security Policy (nếu máy bạn không phải Domain Controller) hoặc Domain Controller Security Policy (nếu máy bạn là Domain Controller).

I CHÍNH SÁCH HỆ THỐNG

 Trong hai công cụ đó bạn mở mục Local Policy\ User Rights

Assignment

I CHÍNH SÁCH HỆ THỐNG

 Để thêm, bớt một quyền hạn cho người dùng hoặc nhóm, bạn nhấp đôi chuột vào quyền hạn được chọn, nó sẽ xuất hiện một hộp thoại chứa danh sách người dùng và nhóm hiện tại đang có quyền này

Bạn có thể nhấp chuột vào nút Add để thêm người dùng, nhóm vào danh sách hoặc nhấp chuột vào nút Remove để xóa người dùng

khỏi danh sách

I CHÍNH SÁCH HỆ THỐNG

 Danh sách các quyền hệ thống cấp cho người dùng và nhóm:

Back Up Files and Directories

Cho phép người dùng sao lưu dự phòng (backup) các tập tin và thư mục bất chấp các tập tin và thư mục này người đó có quyền không

Bypass Traverse Checking

Cho phép người dùng duyệt qua cấu trúc thư mục nếu người dùng không có quyền xem (list) nội dung thư mục này

Change the System Time Cho phép người dùng thay đổi giờ hệ thống của máy tính.

Create a Pagefile Cho phép người dùng thay đổi kích thước của Page File.

I CHÍNH SÁCH HỆ THỐNG

Create a Token Object Cho phép một tiến trình tạo một thẻ bài nếu tiến trình này dùng NTCreate Token API.

Create Permanent Shared

Deny Logon as a Batch File Cho phép bạn ngăn cản những người dùng và nhóm được phép logon như một batch file.

Deny Logon as a Service Cho phép bạn ngăn cản những người dùng và nhóm được phép logon như một services.

Deny Logon Locally Cho phép bạn ngăn cản những người dùng và nhóm truy cập đến máy tính cục bộ.

Enable Computer and User

Cho phép người dùng shut down hệ thống từ xa thông qua mạng.

Generate Security Audits Cho phép người dùng, nhóm hoặc một tiến trình tạo một entry vào Security log.

Log On as a Batch Job Cho phép một tiến trình logon vào hệ thống và thi hành một tập tin chứa các lệnh hệ thống.Log On as a Service Cho phép một dịch vụ logon và thi hành một dịch vụ riêng.

Manage Auditing and Security Log Cho phép người dùng quản lý Security log.

Modify Firmware

Environment Variables

Cho phép người dùng hoặc một tiến trình hiệu chỉnh các biến môi trường hệ thống

Profile Single Process

Cho phép người dùng giám sát các tiến trình bình thường thông qua công cụ Performance Logs and Alerts

I CHÍNH SÁCH HỆ THỐNG

Profile System Performance

Cho phép người dùng giám sát các tiến trình hệ thống thông qua công cụ Performance Logs and Alerts

Remove Computer from

Restore Files and Directories

Cho phép người dùng phục hồi tập tin và thư mục, bất chấp người dùng này có quyền trên tập tin và thư mục này hay không

Shut Down the System

Cho phép người dùng shut down cục bộ máy Windows 2000

Synchronize Directory Service Data

Cho phép người dùng đồng bộ dữ liệu với một dịch vụ thư mục

Take Ownership of Files or Other

Objects

Cho người dùng tước quyền sở hữu của một đối tượng hệ thống

I.2.3 Các lựa chọn bảo mật

 Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server khai báo thêm các thông số nhằm tăng tính bảo mật cho hệ thống như: không cho phép hiển thị người dùng đã logon trước đó hay đổi tên tài khoản người dùng tạo sẵn (administrator, guest).

I CHÍNH SÁCH HỆ THỐNG

 Một số lựa chọn bảo mật thông dụng.

I CHÍNH SÁCH HỆ THỐNG

Shutdown: Allow system to be shut

down without having to log on

Cho phép người dùng shutdown hệ thống mà không cần logon

Audit : audit the access of global

system objects Giám sát việc truy cập các đối tượng hệ thống toàn cục.Network security: force logoff

when logon hours expires Tự động logoff khỏi hệ thống khi người dùng hết thời gian sử dụng hoặc tài khoản hết hạn

Interactive logon: do not require

CTRL+ALT+DEL Không yêu cầu ấn ba phím CTRL+ALT+DEL khi logon.Interactive logon: do not display

last user name Không hiển thị tên người dùng đã logon trên hộp thoại Logon

Account: rename administrator

account Cho phép đổi tên tài khoản Administrator thành tên mớiAccount: rename guest account Cho phép đổi tên tài khoản Guest thành tên mới

 Ví dụ nội dung của một qui tắc IPSec là “Hãy mã hóa tất

cả những dữ liệu truyền Telnet từ máy có địa chỉ

192.168.0.10”, nó gồm hai phần, phần bộ lọc là “qui tắc này chỉ hoạt động khi có dữ liệu được truyền từ máy có địa chỉ 192.168.0.10 thông qua cổng 23”, phần hành động là “mã hóa dữ liệu”.

I CHÍNH SÁCH HỆ THỐNG

I.3.1 Các tác động bảo mật

 IPSec của Microsoft hỗ trợ bốn loại tác động (action) bảo mật,

các tác động bảo mật này giúp hệ thống có thể thiết lập những cuộc trao đổi thông tin giữa các máy được an toàn Danh sách

các tác động bảo mật trong hệ thống Windows Server 2003 như

I.3.2 Các bộ lọc IPSEC

 Để IPSec hoạt động linh hoạt hơn, Microsoft đưa thêm khái

niệm bộ lọc (filter) IPSec, bộ lọc có tác dụng thống kê các điều

kiện để qui tắc hoạt động.

 Bộ lọc IPSec chủ yếu dự trên các yếu tố sau:

• Địa chỉ IP, subnet hoặc tên DNS của máy nguồn

• Địa chỉ IP, subnet hoặc tên DNS của máy đích.

• Theo số hiệu cổng (port) và kiển cổng (TCP, UDP, ICMP…)

I CHÍNH SÁCH HỆ THỐNG

I.3.3 Triển khai IPSEC trên Windows Server 2003

 Trong hệ thống Windows Server 2003 không hỗ trợ một công cụ riêng cấu hình IPSec, do đó để triển khai IPSec chúng ta dùng

các công cụ thiết lập chính sách dành cho máy cục bộ hoặc dùng cho miền

 Để mở công cụ cấu hình IPSec, ta có 2 cách sau:

• Bạn nhấp chuột vào Start / Run rồi gõ secpol.msc

• Nhấp chuột vào Start / Programs / Administrative Tools / Local Security Policy,trong công cụ đó bạn chọn IP

Security Policies on Active Directory

I CHÍNH SÁCH HỆ THỐNG

Tóm lại, các điều mà bạn cần nhớ khi triển khai IPSec:

 Bạn triển khai IPSec trên Windows Server 2003 thông qua

các chính sách, trên một máy tính bất kỳ nào đó vào tại một

thời điểm thì chỉ có một chính sách IPSec được hoạt động.

I CHÍNH SÁCH HỆ THỐNG

 Mỗi chính sách IPSec gồm một hoặc nhiều qui tắc (rule) và một phương pháp chứng thực nào đó Mặc

dù các qui tắc permit và block không dùng đến chứng thực nhưng Windows vẫn đòi bạn chỉ định phương

pháp chứng thực.

 IPSec cho phép bạn chứng thực thông qua Active Directory, các chứng chỉ PKI hoặc một khóa được

chia sẻ trước.

 Mỗi qui tắc (rule) gồm một hay nhiều bộ lọc (filter)

và một hay nhiều tác động bảo mật (action).

 Có bốn tác động mà qui tắc có thể dùng là: block,

encrypt, sign và permit.

I CHÍNH SÁCH HỆ THỐNG

I.3.3.1 Các chính sách IPSEC tạo sẵn

 Trong khung cửa sổ chính của công cụ cấu hình IPSec, bên phải chúng ta thấy xuất hiện ba chính sách được tạo sẵn tên là:

Client, Server và Secure Cả ba chính sách này đều ở trạng

thái chưa áp dụng (assigned)

• Client (Respond Only)

• Server (Request Security)

• Secure Server (Require Security)

I CHÍNH SÁCH HỆ THỐNG

I.3.3.1Ví dụ tạo chính sách IPSec đảm bảo một kết nối được mã hóa :

 Chúng ta có hai máy tính, máy A có địa chỉ 203.162.100.1 và máy

B có địa chỉ 203.162.100.2 Chúng ta sẽ thiết lập chính sách IPSec trên mỗi máy thêm hai qui tắc (rule), trừ hai qui tắc của hệ thống

gồm: Một qui tắc áp dụng cho dữ liệu truyền vào máy và Một qui tắc áp dụng cho dữ liệu truyền ra khỏi máy Ví dụ qui tắc đầu tiên trên máy A bao gồm:

• Bộ lọc (filter): kích hoạt qui tắc này khi có dữ liệu truyền đến địa chỉ 203.162.100.1, qua bất kỳ cổng nào.

• Tác động bảo mật (action): mã hóa dữ liệu đó.

• Chứng thực: chìa khóa chia sẻ trước là chuỗi “quan tri”.

I CHÍNH SÁCH HỆ THỐNG

 Trong công cụ Domain Controller Security Policy, bạn nhấp phải chuột trên mục IP Security Policies on Active Directory, rồi chọn Manage IP filter lists and filter actions.

I CHÍNH SÁCH HỆ THỐNG

 Hộp thoại xuất hiện, bạn nhấp chuột vào nút add để thêm một bộ

lọc mới Bạn nhập tên cho bộ lọc này, trong ví dụ này chúng ta đặt

tên là “Connect to 203.162.100.1” Bạn nhấp chuột tiếp vào nút Add để hệ thống hướng dẫn bạn khai báo các thông tin cho bộ lọc.

I CHÍNH SÁCH HỆ THỐNG

 Mục Source address chọn My IP Address, mục Destination address chọn A specific IP Address và nhập địa chỉ

“203.162.100.1” vào, mục IP Protocol Type bạn để mặc định Cuối cùng bạn chọn Finish để hoàn thành phần khai báo, bạn nhấp chuột tiếp vào nút OK để trở lại hộp thoại đầu tiên.

I CHÍNH SÁCH HỆ THỐNG

 Tiếp theo bạn chuyển sang Tab Manage Filter Actions để tạo ra các tác động bảo mật Bạn nhấp chuột vào nút Add hệ thống sẽ hướng dẫn bạn

khai báo các thông tin về tác động Trước tiên bạn đặt tên cho tác động

này, ví dụ như làEncrypt.Tiếp tục trong mục Filter Action bạn chọn

Negotiate security, trong mục IP Traffic Security bạn chọn Integrity and encryption.Đến đây bạn đã hoàn thành việc tạo một tác động bảo

mật.

I CHÍNH SÁCH HỆ THỐNG

 Trong công cụ DomainController Security Policy, bạn nhấp phải chuột trên mục IP Security Policies on Active Directory, rồi chọn Create IP

Security Policy, theo hướng dẫn bạn nhập tên của chính vào, ví dụ là First IPSec, tiếp theo bạn phải bỏ đánh dấu trong mục Active the default response rule.Các giá trị còn lại bạn để mặc định vì qui tắc Dynamic này

chúng ta không dùng và sẽ tạo ra một qui tắc mới.

I CHÍNH SÁCH HỆ THỐNG

 Trong hộp thoại chính sách IPSec, bạn nhấp chuột vào nút Add để tạo ra qui

tắc mới Hệ thống sẽ hướng dẫn bạn từng bước thực hiện, đến mục chọn bộ

lọc bạn chọn bộ lọc vừa tạo phía trên tên “Connect to 203.162.100.1”, mục chọn tác động bạn chọn tác động vừa tạo tên Encypt Đến mục chọn phương pháp chứng thực bạn chọn mục Use this string to protect the key exchange

và nhập chuỗi làm khóa để mã hóa dữ liệu vào, trong ví dụ này là “quantri”.

I CHÍNH SÁCH HỆ THỐNG

 Đến bước này thì công việc thiết lập chính sách IPSec theo yêu cầu

trên của bạn đã hoàn thành, trong khung của sổ chính của công cụ

Domain Controller Security Policy, bạn nhấp phải chuột lên chính sách First IPSec và chọn Assign để chính sách này được hoạt động trên hệ thống Server.

I CHÍNH SÁCH HỆ THỐNG

II.1 Giới thiệu

II.1.1 So sánh giữa System Policy và Group Policy

 Chúng ta đã tìm hiểu về chính sách hệ thống (System Policy), tiếp theo chúng ta sẽ tìm hiểu về chính sách nhóm (Group

Policy) Vậy hai chính sách này khác nhau như thế nào.

• Chính sách nhóm chỉ xuất hiện trên miền Active Directory nó

không tồn tại trên miền NT4.

• Chính sách nhóm làm được nhiều điều hơn chính sách hệ thống

• Chính sách nhóm tự động hủy bỏ tác dụng khi được gỡ bỏ, không giống như các chính sách hệ thống.

• Chính sách nhóm được áp dụng thường xuyên hơn chính sách hệ thống

II CHÍNH SÁCH NHÓM

• Bạn có nhiều mức độ để gán chính sách nhóm này cho người từng nhóm người hoặc từng nhóm đối tượng.

• Chính sách nhóm tuy có nhiều ưu điểm nhưng chỉ áp dụng được trên máy Win2K, WinXP và Windows Server 2003.

II.1.2 Chức năng của Group Policy

• Triển khai phần mềm ứng dụng

• Gán các quyền hệ thống cho người dùng

• Giới hạn những ứng dụng mà người dùng được phép thi hành

• Kiểm soát các thiết lập hệ thống

• Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy

• Đơn giản hóa và hạn chế các chương trình

• Hạn chế tổng quát màn hình Desktop của người dùng

II CHÍNH SÁCH NHÓM