Đề tài Xây dụng chính sách hệ thống và chính sách nhóm trên miền windows server 2008

Luận văn XÂY DỤNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008 LỜI MỞ ĐẦU Cùng với sự phát triển của đất nước, hàng loạt công ty lớn nhỏ mọc lên với số lượng máy vi tính, vậy để làm gì để những người quản lý có thể quản lý một số lượng lớn người dùng lớn như vậy được, System Policy và Group Policy ra đời giúp những người quản lý một số lượng lớn người dùng một cách dễ dàng, đảm bảo được độ bảo mật của dữ liệu… Chính sách hệ thống tạo cho việc kiểm soát người dùng trên máy khách đó có một menu Start/Programs đặc biệt hoặc một màn hình Desktop đặc biệt; hạn chế không cho người dùng ấy chạy một số chương trình nào đó hoặc thay đổi màn hình Desktop; ấn định một số setting về nối mạng…. Một vài ứng dụng của Group Policy như: Cài đặt software cho một loạt các user khi đăng nhập vào, cho cài đặt software gì không cho cài gì….cài đặt software chia làm 3 loại: Publish, Assign va Advanced. Có thể cấm không cho một số user vào các mục Control Panel, My Network Place, Recycle…bằng cách làm ẩn chúng hay có thể cấm truy cập vào các ổ đĩa C, D… hoặc vào Internet Explorer… Bảo mật dữ liệu, Group Policy có chính sách mật khẩu về mật khẩu và tài khoản để tránh hacker đột nhập Qua đó, chính sách hệ thống và chính sách nhóm có một vai trò quan trọng trong công việc quản lý các user và dữ liệu, dưới đây sẽ trình bày rõ hơn về tác dụng của System Policy và Group Policy. Nay đề tài đã hoàn tất, nhưng chắc chắc còn nhiều thiếu sót, sai phạm… chưa được hoàn chỉnh, vậy em rất mong được sự đóng góp ý kiến của thầy và các bạn để hoàn chỉnh đề tài và phát triển nó hơn.Em xin chân thành cám ơn. MỤC LỤC CHÍNH SÁCH HỆ THỐNG Phần 1:Giới thiệu Giới thiệu về chính sách hệ thống: Chính sách hệ thống xuất hiện trên môi trường WORKGROUP lẫn DOMAIN. Trên môi trường WORKGROUP, chính sách hệ thống xuất hiện trong công vụ Local Security Policy. Trên môi trường Domain , chính sách hệ thống xuất hiện trên 2 công cụ: Domain Security Policy: giúp người quản trị thiết lập các chính sách hệ thống có phạm vi tác động lên toàn miền Domain Controller Security Policy: giúp người quản trị thiết lập các chính sách hệ thống có phạm tác động lên các máy Domain Controller. Mục tiêu: Tìm hiểu về các chính sách trong System policy gồm Domain Security Policy và Domain Controller Security Policy. Biết cách áp dụng chính sách hệ thống để quản lý các máy trạm của người dùng. Một số chính sách hệ thống Chính sách tài khoản(Account policy) Account policy được dùng để chỉ định các thông số về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy ra. Nó cho phép bạn cấu hình các thông số bảo mật máy tính cho mật khẩu, khóa tài khoản và chứng thục Kerberos trong vùng. Trên Windows Server 2008 làm DC có ba thư mục Password Policy, Account Lockout Policy và Kerberos Policy. Trong Windows Server 2008 cho phép bạn quản lý chính sách tài khoản theo hai cấp độ là: cục bộ và miền. Muốn cấu hình các chính sách tài khoản người dùng ta vàoStart > Administrative Tools>Local Security Policy. Chính sách mật khẩu (Password Policy) Chính sách mật khẩu (Password Policy) nhằm đảm bảo an toàn cho mật khẩu của người dùng để tránh các trường hợp đăng nhập bất hợp pháp vào hệ thống. Chính sách này cho phép bạn quy định chiều dài ngắn nhất của mật khẩu, độ phức tạp…. Các lựa chọn trong chính sách mật khẩu: Chính sách Mô tả Mặc định Giá trị nhỏ nhất Giá trị lớn nhất Enforce password history Số lần đặt mật mã không được trùng nhau 24 0 24 Maximum password age Quy định số ngày nhiếu nhất mà mật mã ngươi dùng có hiệu lực Giữ mật mã trong 42 ngày Giữ mật mã trong 1 ngày Giữ mật mã trong 999 ngày Minimum password age Quy định số ngày ít nhất mà ngươi dùng có thể thay đổi mật mã 1 ngày (người dùng có thể thay đổi ngay lập tức) 0 999 ngày Minimum password length Chiều dài ngắn nhất của mật mã 7 0 14 kí tự Password must meet complexity requirements properties Cho phép bạn cài bộ lọc mật mã Cho phép Không cho phép Cho phép Store password using reversible encryption Mật mã người dùng được lưu dưới dạng mã hóa Không cho phép Không cho phép Cho phép Chính sách khóa tài khoản (Account Lockout Policy) Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức thời điểm khóa tài khoản trong vùng hay hệ thống cục bộ. Giúp hạn chế tấn công thông qua hình thức logon từ xa Các thông số cấu hình chính sách khóa tài khoản Chính sách Mô tả Giá trị mặc định Giá trị min Giá trị max Gợi ý Account lockout threshold Quy định số lần đăng nhập trước khi tài khoản bị khóa 0 0 Thử 999 lần 5 lần Account lockout duration Quy định thời gian khóa tài khoản Là 0 nhưng nếu Account lockout threshold được thiết lập thì giá trị này là 30 phút Như giá trị mặc định 99999 phút 5 phút Reset account lockout counter after Quy định thời gian đếm lại số lần đăng nhập không thành công Là 0 nhưng nếu Account lockout threshold được thiết lập thì giá trị này là 5 phút Như giá trị mặc định 99999 phút 5 phút Chính sách Kerberos Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tính hoạt động trên những đường truyền không an toàn. Giao thức Kerberos có khả năng chống lại việc nghe lén hay gửi lại những gói tin cũ và đảm bảo tính toàn vẹn của dữ liệu. Mục tiêu của giao thức này là nhằm vào mô hình máy chủ máy khách và đảm bảo nhận thực cho cả hai chiều. Chính sách cục bộ(Local Policies) Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám sát các đối tượng trên mạng như người dùng và tài nguyên chung.Đồng thời bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mậtvới người dùng. Chính sách kiểm toán(Audit Policies) Chính sách kiểm toán(Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống trên các đối tượng. Các lựa chọn trong chính sách kiểm toán Chính sách Mô tả Audit account logon events Ghi nhận khi người dùng logon, logoff hay tạo một kết nối mạng Audit account managements Ghi nhận khi tài khoản người dùng hay nhóm được tạo xóa hay các thao tác quản lí người dùng Audit directory service access Ghi nhận việc truy cập các dịch vụ thư mục Audit logon events Ghi nhận các sự kiện liên quan đến quá trình logon như thi hành 1 logon script hay truy cập đến 1 roaming profile Audit object access Ghi nhận việc truy cập các tập tin, thư mục, máy in Audit policy change Ghi nhận các thay đổi trong chính sách kiểm toán Audit privilege use Hệ thống sẽ ghi nhận lại khi bạn thao tác quản trị trên các quyền hệ thống như cấp hoặc xóa quyền của một ai đó. Audit process tracking Kiểm toán này theo dõi hoạt động của chương trình hay hệ điều hành Audit system events Hệ thống sẽ ghi nhận mỗi khi bạn khởi động lại máy hay tắt máy Quyền hệ thống của từng người(User right assignment) Là quyền hệ thống cung cấp cho người dùng các quyền quản trị và sử dụng hệ thống Có 2 cách cấp quyền hệ thống cho người dùng + Add tài khoản người dùng vào các nhóm đã được tạo sẵn (built-in) để thừa kế. + Hoặc dùng công cụ User Right Assigment để gán từng quyền rời rạc cho người dùng. Danh sách các quyền hệ thống cấp cho người dùng và nhóm Muốn thêm hay bớt quyền hạn cho người dùng hoặc nhóm, bạn nhấp đôi chuột vào quyền hạn được chọn, nó sẽ xuất hiện hộp thoại chứa danh sách người dùng và nhóm hiện đang có quyền này. Nhấp chuột vào nút Add để them người dùng, nhóm vào danh sách, hoặc remove để xóa người dùng khỏi danh sách. Quyền Mô tả Access this computer from the network Cho phép người dùng truy cập máy tính trên mạng. Act as part of the operating system Cho phép các dịch vụ chứng thực ở mức thấp. Add workstations to the domain Cho phép người dùng thêm 1 tài khoản máy tính trong vùng Adjust memory quotas for a process Chỉ định ai được phép điều chỉnh chỉ tiêu bộ nhớ dành cho một quá trình xử lý. Chính sách làm tăng hiệu suất của hệ thống Allow log on locally Cho phép những người dùng và nhóm truy cập đến máy tính cục bộ Allow log on through Terminal Services Cho phép ai được phép sử dụng dịch vụ Terminal để đăng nhập vào hệ thống Back up files and directories Cho phép người dùng sao lưu dự phòng các tập tin và thư mục bất chấp các tập tin và thư mục này người đó có quyền hay không Bypass traverse checking Cho phép người dùng duyệt qua cấu trúc thư mục nếu người dùng không có quyền xem(list) nội dung thư mục này Change the system time Cho phép người dùng thay đổi giờ hệ thống này Create a pagefile Thiết lập user được phép tạo bộ nhớ ảo Change the time zone Cho phép người dùng thay đổi múi giờ Create a token object Cho phép một tiến trình tạo một thẻ bài nếu tiến trình này dùng NTCreate Token API Create permanent shared objects Cho phép một tiến trình tạo một đối tượng thư mục thông qua Windows 2008 Object Manager Debug programs Cho phép người dùng gắn một chương trình debug vào bất kì tiến trình nào Deny access to this computer from the network Cho phép bạn khóa người dùng hay nhóm không được truy cập đến các máy tính trên mạng Deny logon as a batch file Cho phép bạn ngăn cản những người dùng và nhóm được phép logon như 1 batch file Deny logon as a service Cho phép bạn ngăn cản những người dùng và nhóm truy cập như một services Deny log on locally Cấm User Logon cục bộ Enable computer and user account to be trusted by deletgation Cho phép người dùng hay nhóm được ủy quyền cho người dùng hay một đối tượng máy tính Force shutdown from a remote system Cho phép người dùng Shutdown hệ thống từ xa thông qua mạng Generate security audits Cho phép người dùng, nhóm hay một tiến trình tạo 1 entry vào Security log Increase scheduling priority Quy định một tiến trình có thể tang hay giảm độ ưu tiên đã được gắn cho tiến trình khác Load and upload device drivers Cho phép người dùng có thể cài đặt hay gỡ bỏ các driver của các thiết bị Lock pages in memory Khóa trang trong vùng nhớ Log on as a batch job Cho phép một tiến trình logon vào hệ thống và thi hành 1 tập tin chứa các lệnh hệ thống Log on as a service Cho phép một dịch vụ logon và thi hành một dịch vụ riêng Log on locally Thiết lập User Logon cục bộ Manage auditing and security log Cho phép người dùng quản lý security log Modify firmware environment values Cho phép người dùng hay một tiến trình hiệu chỉnh các biến môi trường hệ thống Profile single process Cho phép người dùng giám sát các tiến trình bình thường thông qua công cụ Performancer Logs and Alerts Profile system performance Cho phép người dùng giám sát các tiến trình hệ thống thông qua công cụ Performance Logs and Alerts Remove computer from docking station Cho phép người dùng gỡ bỏ 1 Laptop thông qua giao diện người dùng Replace a process level token Cho phép một tiến trình thay thế một token mặc định mà được tạo bởi một tiến trình con Restore files and directories Cho phép người dùng phục hồi tập tin và thư mục, bất chấp người dùng này có quyền trên file và thư mục này hay không Shut down the system Cho phép người dùng shutdown máy cục bộ windows 2008 Synchronize directory service data Cho phép người dùng đồng bộ dữ liệu với một dịch vụ thư mục Take ownership of files or others objects Cho phép người dùng tước quyền sở hữu của một đối tượng hệ thống Các lựa chọn bảo mật (Security Options) Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server định nghĩa các quyền và giao diện tương tác trên server giúp các người quản trị thao tác trên Server dễ dàng và an toàn hơn. Một số lựa chọn bảo mật trong Security Options: Accounts: Administrator account status Trạng thái hoạt động của Administrator Accounts: Guest account status Trạng thái hoạt động User Guset Accounts: Limit local account use of blank passwords to console logon only Đăng nhập không cần password Accounts: Rename administrator account Cho phép đổi tên tài khoản Administrator thành tên mới Accounts: Rename guest account Cho phép đổi tên tài khoản Guest thành tên mới Audit: Audit the access of global system objects Kiểm toán các truy cập của các đối tượng hệ thống toàn cục Audit: Audit the use of Backup and Restore privilege Kiểm toán việc sử dụng sao lưu và phục hồi đặc quyền Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings Kiểm toán chính sách con cài đặt (Windows Vista hoặc mới hơn) để ghi đè lên các thiết lập kiểm toán. Audit: Shut down system immediately if unable to log security audits Kiểm toán: Shut down hệ thống ngay lập tức nếu không thể đăng nhập kiểm toán bảo mật Devices: Allow undock without having to log on Cho phép undock mà không cần phải đăng nhập vào Devices: Allowed to format and eject removable media Được phép để định dạng và di chuyển Devices: Prevent users from installing printer drivers Không cho phép cài Printer Devices: Restrict CD-ROM access to locally logged-on user only Cấm truy cập từ xa tới CD-ROM Devices: Restrict floppy access to locally logged-on user only Cấm truy cập từ xa tới FDD Domain controller: Allow server operators to schedule tasks Cho phép nhóm Server Operator lập lịch tác vụ trên Server Domain controller: Refuse machine account password changes Tài khoản máy không được thay đổi mật khẩu Domain member: Disable machine account password changes Vô hiệu hoá tài khoản máy thay đổi mật khẩu Domain member: Maximum machine account password age Mật khẩu của tài khoản máy có số ngày tối đa Domain member: Require strong session key Yêu cầu Khóa phải mạnh Interactive logon: Do not display last user name Không hiển thị tên người dùng cuối cùng Interactive logon: Do not require CTRL+ALT+DEL Không yêu cầu bấm 3 phím CTRL+ALT+DEL khi logon Interactive logon: Message text for users attempting to log on and Message title for users attempting to log on tạo câu thông báo cho người dùng khi đăng nhập vào máy tính và Nhập dòng tiêu đề Interactive logon: Number of previous logons to cache (in case domain controller is not available) Cache khi log on (=0) Interactive logon: Prompt user to change password before expiration Nhắc nhở người dùng thay đổi mật khẩu trước khi hết hạn Interactive logon: Require Domain Controller authentication to unlock workstation Yêu cầu chứng thực Domain Controller để mở khóa máy trạm Interactive logon: Require smart card Yêu cầu thẻ Interactive logon: Smart card removal behavior Loại bỏ thẻ Microsoft network server: Disconnect clients when logon hours expire Ngắt kết nối khách XXXien khi giờ đăng nhập hết hạn Recovery console: Allow automatic administrative logon Cho phép administrative tự động đăng nhập Recovery console: Allow floppy copy and access to all drives and folders Cho phép copy đĩa mềm và truy cập vào tất cả các ổ đĩa và thư mục Shutdown: Allow system to be shut down without having to log on Cho phép người dùng shutdown hệ thống mà không cần logon System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing Hệ thống mật mã: sử dụng FIPS tuân thủ các thuật toán mã hóa System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links) Tăng cường cho phép mặc định của các đối tượng hệ thống nội bộ (ví dụ như biểu tượng liên kết) System settings: Optional subsystems Tùy chọn hệ thống con Shut down: clear vitual memory pagefile Xóa bộ nhớ ảo khi shutdowm Phần 2: Triển khai chính sách hệ thống Các bước chuẩn bị: Chuẩn bị một máy ảo Windows Server 2008 với các thông số sau: Ip Address: 192.168.1.1 Subnet mask: 255.255.255.0 DNS Address: 192.168.1.1 Chuẩn bị một máy ảo Win XP Professional với các thông số sau: Ip Address: 192.168.1.2 Subnet mask: 255.255.255.0 DNS: 192.168.1.1 Hãy tiến hành nâng cấp máy Server là máy Server Stand- alone thành máy Domain Controller quản lý miền THAO33.NET. Tiến hành gia nhập máy trạm Window XP vào miền THAO33.NET do máy Domain Controller quản lý. Hãy áp dụng chính sách hệ thống để chỉnh sửa các chính sách mật khẩu sau (video chinh sach he thong): Định thời gian thay đổi mật khẩu của một tài khoản người dùng là 7 ngày Thời gian tối thiểu để một người dùng có thể thay đổi mật khẩu là 2 ngày. Chiều dài tối thiểu của mật khẩu là 3 ký tự Mật khẩu không nằm trong chế độ phức tạp Mật khẩu được lưu trữ dưới dạng mã hóa Giữa 2 lần thay đổi mật khẩu có thể trùng nhau. Định nghĩa lại các Policies: Nếu một tài khoản người dùng đăng nhập gõ sai mật khẩu quá 3 lần thì tài khoản đó sẽ bị khóa lại trong 30phút. Thời gian reset lại số lần đăng nhập sai mật khẩu là 5 phút. Vào mục Security Options hiệu chỉnh các chính sách sao cho: Cho phép người dùng shutdown hệ thống mà không cần logon Không yêu cầu bấm tổ hợp phím Ctr+Alt+Del khi logon hệ thống Không hiển thị tên người dùng logon trước đó. Cho phép đổi tên tài khoản Administrator thành tên mới. Ví dụ: Với hệ thống mạng trên. Hãy cấp quyền cho người dùng theo yêu cầu sau: Chỉ có nhóm Adminstrator và NS1 có quyền gia nhập máy tính vào Domain. Tài khoản KT1 có quyền sao lưu dữ liệu-backup data. Tài khoản NS2 có quyền đăng nhập cục bộ Domain Controller và có quyền tắt máy từ xa. CHÍNH SÁCH NHÓM CHƯƠNG 1: GIỚI THIỆU CHÍNH SÁCH GROUP POLICY Group Policy: Group Policy là một nhóm các Policy, các Policy này qui định rất nhiều tính năng như bảo vệ mật khẩu, cài đặt từ xa, thay đổi hệ thống…. Các Group Policy trong GPO (Group Policy Object). Thí dụ: người quản trị mạng muốn quản lý người dùng một số thông tin như: Các chương trình giành cho người sử dụng được phép dùng Các chương trình xuất hiện trên màn hình nền của người dùng Hay đưa ra một số hạn chế buộc người dùng phải tuân theo: Việc cài đặt các thành phần để kiểm soát các việc trên gọi là cài đặt các Policy. Thí dụ: GPO Default Domain Policy liên kết với các Domain.Các GPO này liên kết với Site, Domain, OU để áp dụng tới các người dùng trên Site, Domain, OU đó. Các Policy áp dụng theo thứ tự sau: Local- Site- Domain- OU- OU trong OU có hai điểm chính (Node) trong Group Policy trong User Configuration. Computer Configuration: Trong từng điểm đều có ba điểm giống nhau: Software Setting Windows Setting. Administrative Templates: tuy nhiên có sự khác nhau giưac hai điểm chính trên Các Policy trong User Configuration sẽ áp dụng cho các cài đặt cho User (bất kể khi User đấy log on vào máy nào). Và các Policy trong Computer Configuration sẽ áp dụng tới máy tính ( bất kể User nào log on tới máy tính đấy.) Group Policy Object (GPO): GPO là một Group Policy cụ thể, có tên riêng của nó và gồm một hay nhiều thiết lập(setting) đã được chọn và cấu hình. GPO là một nhóm các cấu hình của Group Policy. Phân loại GPO: +Local GPO. +Non- local GPO. Local GPO: Một Local GPO được lưu trên mỗi máy cho dù máy tính đó là thành viên trong môi trường Active Directory hoặc môi trường mạng:%Systemroot%\sytem32\GroupPolicy.Một local GPO chỉ ảnh hưởng đến máy tính đang lưu trữ nó. Các thiết lập của local GP có thể bị ghi đè bởi non-local GP vì vậy local GP ít có ý nghĩa quan trọng đối với môi trườngAD. Non-Local GPO Non-local GPO được tạo ra trong Active Directory%Systemroot%\Sysvol\sysvol\Domain Name\Policies\GPO GUID\Adm. Non-local GPOs được liên kết đến một site, domain, hoặc OU để áp dụng cho người dùng hoặc máy tính. Group Policy Setting Các thiết lập của GP thì được chứa trong một GPO để xác định môi trường và giaodiện của người dùng. Có 2 loại Group Policy Settings: – Computer Configuration settings – User Configuration settings Mục Computer Configuration: chứa các thiết lập mà Group Policy áp dụng cho các máy tính và không quan tâm đến ai đăng nhập vào máy tính đó. Mục User Configuration: chứa các thiết lập mà Group Policy áp dụng cho người dùng và không quan tâm đến người dùng đó đăng nhập từ máy tính nào Cả 2 mục Computer Configuration và User Configuration chứa các thiết lập về : – Cài đặt phần mềm (Mục Software Settings) – Cài đặt và truy cập hệ điều hành Windows Server 2003(Mục Windows Se