TRUONG DAI HOC KHOA HOC TU NHIEN KHOA DiEN TU - ViEN THONG Chuong 04 CHINH SACH HE THONG CHINH SÁCH | HE THONG - e Chinh sdch tai khoan người dùng e« Chính sách cục bộ e IP Se
Trang 1
TRUONG DAI HOC KHOA HOC TU NHIEN
KHOA DiEN TU - ViEN THONG
Chuong 04
CHINH SACH HE THONG
CHINH SÁCH | HE THONG -
e Chinh sdch tai khoan người dùng
e« Chính sách cục bộ
e IP Security (IPSec)
2/47
« Account Policy: duoc ding dé chi dinh cdc thông số về tài khoản
nguoi dung khi tién trinh logon xay ra
« Cong cu cau hinh: Start Programs Administrative Tools Domain
Security Policy hoac Local Security Policy
Barer jomain Security ed =|) xj
File Action View Help
@ 2 | lồ |@
Ep Security Settings «|| Name / Description
1 Account Policies Password Policy Password Policy 8-49 Password Policy @Paccount Lockout Policy Account Lockout Policy
{3-9 Account Lockout Policy lŠBken ben ros Policy Kerl ben ros Policy
8-9 Kerberos Policy
#I-,#Ÿ| Local Policies
gg Event Log
(@ Restricted Groups (CQ system Services C@ Reaistry ( File System
YY Wireless Network (IEEE 802.1:
(5) Public Key Policies v
Chính sách tài khoản người dùng (t+) —
e Password Policies nhằm đảm b ảo an toàn cho †ài khoản của
người dùng
« Password Policies cho phép qui định độ dài, độ phức tap của
mật khẩu
"fii Default Domain Security Settings - [nl x|
File Action View Help
© ¬ |&l|m| X r# lạ
iE) Security Settings 4/1 Policy /
2 es Account Policies R F
(+) 9 Password Policy
li @ Account Lockout Policy
li a Kerberos Policy
29 Local Policies
m 5 Event Log
ca Restricted Groups
4-9 System Services
mì @ Registry
HY Wireless Network (IEEE 802.1:
)-( Public Key Policies v
aSSWO!
hs|Maximum password age 42 days
88) Minimum password age 1 days (8E]Minimum password length 0 characters (88]Passuord must meet co Disabled (88]5tore passwords using Disabled
Trang 2
„ Các chính sách mật khảu mặc định -
Chính sách Mô †ả Mặc định
Enforce Password His†ory Số lần mật khẩu không được †rùng nhau 24
Maximum Password Age in ngay nhieu nhất ma mat khau nudi ùng có hiệu lực 42
_ Quy số này téi thiếu †rước khi người
Minimum Password Age dùng có thẻ thay đổi mật mỡ 1
Minimum Password Length Chiều dài ngắn nhất của mật mã 7
Passwords Must Meet Mật khâu phải có độ phức †ạp như: có ký Cho phép
Complexity Requirements tu hoa, thường, có ký số
Store Password Using Mat ma@ người dùng được lưu dưới dạng Không cho phép
Reversible Encryption for All | m@ héa
Chính sách tài khoản người dùng (t.†)
Chính sdch khod tai khoan (Account Lockout Policy)
« Accoun† Lockou† Policy quy định cách thức và thời điểm khoá †ài khoản
‹« Chính sách này hạn ché †ân công thông qua hình thức logon †ừ xa L1 101 0 6c c6
Eile Action View Help
«© 3 |&=[m| < Eä | @
sa Security Settings Policy ⁄ | Policy Setting [
=) 9 Account Policies = 82] Account lockout duration 3 i Not Defined
a — Policy 82] Account lockout threshold O invalid logon attempts
en (88]Reset account lockout counter after Not Defined +) a arbors Policy
Local Policies
@j Event Log
(@ Restricted Groups
#49 system Services
ic @ Registry
+i-(C File System
Hf Wireless Network (IEEE 802.11) P
(9) Public Key Policies +) Software Restriction Policies
mi ® IP Security Policies on Active Direc
Users in the Domain uy
+ + oar:
Chinh sach khoa tai khoan (t.t)
e Cdc chinh sach khod tai khoản mặc định
Chính sách Mô ta Giá †rị mặc định
Account Lockout Quy định số lần có gắng đăng | O (tài khoán sẽ không bị khóa)
Threshold nhập †rước khi tai khoan bi
khóa Account Lockout Quy dinh thoi gian khéa tai | LAO, nhung néu Account Lockout
Duration khoan Threshold duoc thiét lap thi gid
†rị này là 30 phút
Reset Account Quy dinh thoi gian dém lai sé | La 0, nhung néu Account Lockout
Lockout Counter lần đăng nhập không thành Threshold duoc thiét lập thì giá
After cong tri nay la 30 phit
7/47
- Local Policies: cho phép thiet to phép thiết lập các chính sách giám sát các đ các "chính - chính sách giám sát các đói Tượng †rên mạng cấp quyền hệ thống cho người dùng và các lựa chọn người dùng
‹« Chính sách kiểm †oán (Audi† Policies) giúp giám sát và ghi nhận các sự kiện diễn ra trong hệ thona
5 xi
ie tn Mer ee
© >| \m| | 2 |
=â Security Settings lệ Policy “ | Policy Setting
KH š Account Policies [82] Audit account logon events Success
EI- ##] Local Policies |88]audit account management Success
SẼ Audit Policy - [82] Audit directory service access Success
š sent Hong nen [82] audit logon events Success
a 3 Event Log RS] audit object access No auditing
cù +) = Restricted Groups : [82] audit policy change = Success (GQ System Services Ba] audit privilege use No auditing
#)-Q Registry 3) audit process tracking No auditing
= @ File System [82] Audit system events Success
GY Wireless Network (IEEE 802.11) P
)-() Public Key Policies (4) Software Restriction Policies
mi ® IP Security Policies on Active Direc
| | |
Trang 3
Chính sách kiêm toán
‹ Các lựa chọn †rong chính sách kiêm †oán
Chính sách Mô Tả
Chính sách kiêm toán
e Cac lua chon †rong chính sách kiểm †oán (†.†)
Audi† Accoun† Logon
Events Kiếm †oán những sự kiện khi †ài khoán đăng nhập, hệ thông sẽ ghi nhận khi người dùng logon, logoff hoặc †ạo một kết nói mạng
Chính sách Mo ta
Audit Account
Management
Hệ thống sẽ ghi nhận khi tài khoản người dùng hoặc nhóm có sự thay đôi thông †in hay các thao †ác quán †rị liên quan đến tài khoản người dùng
Audit privilege use Hé thong sé ghi nhận lại khi ban ban thao †ác quan tri trén cdc
quyên hệ thông như cấp hoặc xóa quyên của một di đó
Audi† process †racking Kiếm Toán này theo dõi hoạ† động của chương †rình hay hệ điều
hành
Audi† Direc†ory
Service Access
Chi nhân việc †ruy cập các dịch vụ Thư mục Audit system event Hệ thống sẽ ghi nhận mỗi khi bạn khởi động lại máy hoặc †ắ† máy
Audi† Logon Even†s Ghi nhân các sự kiện liên quan đén quá †rình logon như †hi hành
mot logon script hoac truy cap dén mot roaming profile
Audit Object Access Ghi nhận việc †ruy cập các †ập †in, thư mục, và máy †in
Audi† Policy Change Ghi nhận các thay đôi †rong chính sách kiếm †oán 9⁄47 10/47
Chính sách cục bộ
‹ Quyên hệ thông của người dung (User Rights
Assignment)
“Tạ Default Domain Controller Security Settings
Eile Action View Help
e => | 1mm | Bồ |@
EB Security Settings
+) Account Policies
=) Local Policies
[299 Audit Policy
) ¢9 Security Options
2@j Event Log
Củ Restricted Groups
(GB system Services
G® Registry
8 File System
(4) Public Key Policies
(#i- s£] LIser Rights Assignment
` wireless Network (IEEE 802.11) P |
(4) Software Restriction Policies
4®, IP Security Policies on Active Dire:
Policy “ [ Policy Setting =
2] Access this computer From the network Everyone, Administrators, Authenti
Act as part of the operating system Add workstations to domain
Adjust memory quotas for a process LOCAL SERVICE,NETWORK SERVI
Allow log on locally Administrators,Backup Operators,
Allow log on through Terminal Services Not Defined
Administrators,Backup Operators,
Administrators,Server Operators
Administrators
Authenticated Users
Back up files and directories Bypass traverse checking
Change the system time
Create a pagefile Create a token object Create global objects Not Defined mm Create permanent shared objects
Debug programs Administrators
Deny access to this computer from the network NETCLASS\|SUPPORT_388945a0
Deny log on as a batch job
Deny log on as a service Deny log on locally NETCLASS|SUPPORT_388945a0 Deny log on through Terminal Services Not Defined
Enable computer and user accounts to be tru Administrators Force shutdown From 4 remote system Administrators, Server Operators [88] Generate security audits LOCAL SERVICE, NETWORK = Me
> 11/47
L L
Quyền hệ thông của người dùng _
ộT† sô quyên ệ Thông cho ủng vỏ nhóm
Quyên Mo ta
Access This Computer the Network from | Cho phép người dùng truy cap mdy tinh thong qua mang Mac định mọi người đều có quyên này
Allow log on locally Cho phép người dùng đăng nhập cục bộ vào server
Bypass Traverse Checking Cho phép người dùng duyệT qua cầu †rúc thu muc néu
người dùng không có quyền xem (lis†) nội dung †hư mục này
Back Up Files and Directories | Cho phép người dùng sao lưu dự phòng (backup) các Tập
†in và Thư mục bát chấp các †ập †in và thư mục này người
đó có quyền không
Change the System Time Cho phép người dùng thay đổi giờ hệ thống của máy Tính
Deny Access to This
Computer from the Network Cho phép bạn khóa người dùng hoặc nhóm không được †ruy cập đến các máy †ính †rên mạng
12/47
Trang 4
Quyền hệ thống của người dùng _
« Mét so quyền hệ thông cho người dùng và ;à nhóm (t.t)
Deny Logon Locally Cho phép bạn ngăn cản những người dùng và nhóm †ruy
cập đến máy †ính cục bộ
Load and unload device
Cho phép người dùng cài đặt hoặc gở bỏ driver của thiết
Log On Locally Cho phép người dùng logon Tại máy tinh Server
Restore Files and Directories | Cho phép người dùng phục hồi tap tin và thư mục, bát
hay không
chấp người dùng này có quyền †rên file và thư mục này
Shut Down the System
2003
Cho phép người dùng shu† down cục bộ máy Windows
Take Ownership of Files or
Other Objects thống Cho người dùng Tước quyên sở hữu của một đối Tượng hệ
Các lựa chon bao mat (Security Options)
"ti Default Domain Security Settings -|n| x| File Action View Help
« + |£1im| x Eä | @
2 Security Settings “|| Policy / | Policy Set
=) Account Policies [88] Accounts: Administrator account status Not Defin 1-49 Password Policy Re] Accounts: Guest account status Not Defin—
° a Account Lockout Policy [3] Accounts: Limit local account use of blank pa Not Defin
đ 3 = eral Policy he] Accounts: Rename administrator account Not Defin
fa Audit Policy (88) Accounts: Rename guest account Not Defin
2 User Rights Assignment (83) Audit: Audit the access of global system obje Not Defin
m ẳ Security Options (88]Audit: Audit the use of Backup and Restore Not Defin
rs} 3 Event Log (88]audit: Shut down system immediately if unab Not Defin 4-2 Restricted Groups (88]Devices: Allow undock without having to logon Not Defin
1 System Services 8] Devices: Allowed to format and eject remova Not Defin
+] c8 Registry = (88]Devices: Prevent users From installing printer Mat Defin
Các lựa chọn bảo raậ†
Tên lựa chọn
Mô †ả
Shutdown: allow system to be shut down
without having to log on
Cho phép người dùng shu†down hệ thông mà không cần logon
Audit : audit the access of global system
objects
Giám sát việc †ruy cập các đối Tượng hệ
thong †oàn cục
Ne†work securi†y: force logoff when logon
hours expires
Tự động log off khỏi hệ thống khi người dùng hết thời gian sử dụng hoặc tai khoán hét han
Interactive logon: do not require
CTRL+ALT+DEL
Khéng yéu cau an ba phim CTRL+ALT+DEL khi logon
Interactive logon: do not display last user
name
Khéng hién thi tén nguoi ding da logon trén
hộp thoại Logon
Account: rename administrator account Cho phép đổi tên tài khoán Adminis†ra†or
thành †Ên mới
Account: rename guest account
Cho phép dai tén tai khoan Guest thành
†ên mới 1847
¢ IP Securi†y là giao thức hô †rợ các kết nói
an toan dua trén IP
¢ IPSec là hoạ† động 6 tang thir 3 (Network)
« IPSec hoat động dựa trén cdc qui tac (rule)
bao gồm các bộ lọc (fil†er) và các tác động (action)
16/47
Trang 5
‹e Các †ác dong bao mat
‹« Block †ransmissons: ngăn chặn những gói †in được †ruyền
« Encryp† †ransmissions: mã hoá những gói †in †rước khi
truyén nhằm chống nghe †rộm dữ liệu
¢ Sign transmissions: cho phép ky tén vào dữ liệu †rước
khi truyện nhằm †ránh kẽ tan cong gia dạng những gói dữ
liệu †ruyền
‹ Permi† †ransrnissions: Cho phép dữ liệu đường truyén qua
17/47
e Cac bộ lọc (Filter) IPSec
« Filter ding dé thong kê các điều kiện đề thực hiện các
hoạt động
« Giới hạn tầm †ác dụng của các tác động lên một phạm vi
máy tinh ndo do
« B6 loc IPSec dua trén cdc yéu to:
« Dia chi IP, subnet hoac tén DNS của máy nguồn
« Dia chi IP, subnet hoac tén DNS cia máy đích
« Theo so hiéu céng (port) va kiéu cong (TCP, UDP, ICMP )
18/47
TP Security (IPSec) -
e Trién khai IPSec trén Windows Server 2003
"ti Default Domain Controller Security Settings = |Hl x|
File Action View Help
c3 H Eb) ei ax
Ep Security Settings Name / Description Policy Assigned
a es Account Policies (] server (Request Secu For all IP traffic, always req No
; ed Local Policies @4 Client (Respond Only} — Communicate normally (uns No
J Event Log @ secure Server (Requir For all IP traffic, always req No
(@ Restricted Groups
3 System Services
G3 Registry
(3M File System
Y Wireless Network (IEEE 802.11) P
() Public Key Policies
4) Software Restriction Policies
cs} ® IP Security Policies on Active Direc
Triển khai TPSec trên Windows Server
‹ Các chính sách IPSec tao san:
« Client (Respond Only): Qui dinh may Client khong chủ động dùng †PSec †rừ khi có yêu câu TPSec †ừ máy Sever
« Server (Request Security): Chính sách này qui định máy sever co ging yêu câu TPSec khi thiết lập đến máy khác Nhung néu Client khong cau hinh IPSec thi Server van chap nhan
« Secure Server (Require Security): bac budéc phai cd chính séch IPSec khi thuc hién trao déi dit ligu voi Sever
20/47
Trang 6
„ Các điều cần nhớ khi trién khai IPSec
‹ Trên mot mdy tinh bat ky tai mot thoi diém chỉ
có một chính sách TPSec hoạt động
« Mỗi chính sách có nhiều qui tắc Bule
e« Mỗi Bule có nhiều bộ lọc Fil†er và nhiều các †ác
déng bao mat
« Có 4 tác dong ma qui tac cé thé ding : Block,
Encrypt, Sign va permit
21/47
Trién khai IPSec trén Windows Server
2003
e Vi du: Tao IPSec dam bao mét két néi duoc ma hoa (Xem Demo)
22/47
Câu hỏi và giài đáp _
