Cùng với sự phát triển của đất nước, hàng loạt công ty lớn nhỏ mọc lên với số lượng máy vi tính, vậy để làm gì để những người quản lý có thể quản lý một số lượng lớn người dùng lớn như vậy được, System Policy và Group Policy ra đời giúp những người quản lý một số lượng lớn người dùng một cách dễ dàng, đảm bảo được độ bảo mật của dữ liệu
Chính sách hệ thống tạo cho việc kiểm soát người dùng trên máy khách đó có một menu Start/Programs đặc biệt hoặc một màn hình Desktop đặc biệt; hạn chế không cho người dùng ấy chạy một số chương trình nào đó hoặc thay đổi màn hình Desktop; ấn định một số setting về nối mạng .
Một vài ứng dụng của Group Policy như:
Cài đặt software cho một loạt các user khi đăng nhập vào, cho cài đặt software gì không cho cài gì .cài đặt software chia làm 3 loại: Publish, Assign va Advanced.
Có thể cấm không cho một số user vào các mục Control Panel, My Network Place, Recycle bằng cách làm ẩn chúng hay có thể cấm truy cập vào các ổ đĩa C, D hoặc vào Internet Explorer
Bảo mật dữ liệu, Group Policy có chính sách mật khẩu về mật khẩu và tài khoản để tránh hacker đột nhập
Qua đó, chính sách hệ thống và chính sách nhóm có một vai trò quan trọng trong công việc quản lý các user và dữ liệu, dưới đây sẽ trình bày rõ hơn về tác dụng của System Policy và Group Policy.
58 trang |
Chia sẻ: lvbuiluyen | Lượt xem: 9770 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Đề tài Xây dụng chính sách hệ thống và chính sách nhóm trên miền windows server 2008, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Luận văn
XÂY DỤNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008
LỜI MỞ ĐẦU
Cùng với sự phát triển của đất nước, hàng loạt công ty lớn nhỏ mọc lên với số lượng máy vi tính, vậy để làm gì để những người quản lý có thể quản lý một số lượng lớn người dùng lớn như vậy được, System Policy và Group Policy ra đời giúp những người quản lý một số lượng lớn người dùng một cách dễ dàng, đảm bảo được độ bảo mật của dữ liệu…
Chính sách hệ thống tạo cho việc kiểm soát người dùng trên máy khách đó có một menu Start/Programs đặc biệt hoặc một màn hình Desktop đặc biệt; hạn chế không cho người dùng ấy chạy một số chương trình nào đó hoặc thay đổi màn hình Desktop; ấn định một số setting về nối mạng….
Một vài ứng dụng của Group Policy như:
Cài đặt software cho một loạt các user khi đăng nhập vào, cho cài đặt software gì không cho cài gì….cài đặt software chia làm 3 loại: Publish, Assign va Advanced.
Có thể cấm không cho một số user vào các mục Control Panel, My Network Place, Recycle…bằng cách làm ẩn chúng hay có thể cấm truy cập vào các ổ đĩa C, D… hoặc vào Internet Explorer…
Bảo mật dữ liệu, Group Policy có chính sách mật khẩu về mật khẩu và tài khoản để tránh hacker đột nhập
Qua đó, chính sách hệ thống và chính sách nhóm có một vai trò quan trọng trong công việc quản lý các user và dữ liệu, dưới đây sẽ trình bày rõ hơn về tác dụng của System Policy và Group Policy.
Nay đề tài đã hoàn tất, nhưng chắc chắc còn nhiều thiếu sót, sai phạm… chưa được hoàn chỉnh, vậy em rất mong được sự đóng góp ý kiến của thầy và các bạn để hoàn chỉnh đề tài và phát triển nó hơn.Em xin chân thành cám ơn.
MỤC LỤC
CHÍNH SÁCH HỆ THỐNG
Phần 1:Giới thiệu
Giới thiệu về chính sách hệ thống:
Chính sách hệ thống xuất hiện trên môi trường WORKGROUP lẫn DOMAIN.
Trên môi trường WORKGROUP, chính sách hệ thống xuất hiện trong công vụ Local Security Policy.
Trên môi trường Domain , chính sách hệ thống xuất hiện trên 2 công cụ:
Domain Security Policy: giúp người quản trị thiết lập các chính sách hệ thống có phạm vi tác động lên toàn miền
Domain Controller Security Policy: giúp người quản trị thiết lập các chính sách hệ thống có phạm tác động lên các máy Domain Controller.
Mục tiêu:
Tìm hiểu về các chính sách trong System policy gồm Domain Security Policy và Domain Controller Security Policy.
Biết cách áp dụng chính sách hệ thống để quản lý các máy trạm của người dùng.
Một số chính sách hệ thống
Chính sách tài khoản(Account policy)
Account policy được dùng để chỉ định các thông số về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy ra. Nó cho phép bạn cấu hình các thông số bảo mật máy tính cho mật khẩu, khóa tài khoản và chứng thục Kerberos trong vùng. Trên Windows Server 2008 làm DC có ba thư mục Password Policy, Account Lockout Policy và Kerberos Policy. Trong Windows Server 2008 cho phép bạn quản lý chính sách tài khoản theo hai cấp độ là: cục bộ và miền. Muốn cấu hình các chính sách tài khoản người dùng ta vàoStart > Administrative Tools>Local Security Policy.
Chính sách mật khẩu (Password Policy)
Chính sách mật khẩu (Password Policy) nhằm đảm bảo an toàn cho mật khẩu của người dùng để tránh các trường hợp đăng nhập bất hợp pháp vào hệ thống. Chính sách này cho phép bạn quy định chiều dài ngắn nhất của mật khẩu, độ phức tạp….
Các lựa chọn trong chính sách mật khẩu:
Chính sách
Mô tả
Mặc định
Giá trị nhỏ nhất
Giá trị lớn nhất
Enforce password history
Số lần đặt mật mã không được trùng nhau
24
0
24
Maximum password age
Quy định số ngày nhiếu nhất mà mật mã ngươi dùng có hiệu lực
Giữ mật mã trong 42 ngày
Giữ mật mã trong 1 ngày
Giữ mật mã trong 999 ngày
Minimum password age
Quy định số ngày ít nhất mà ngươi dùng có thể thay đổi mật mã
1 ngày (người dùng có thể thay đổi ngay lập tức)
0
999 ngày
Minimum password length
Chiều dài ngắn nhất của mật mã
7
0
14 kí tự
Password must meet complexity requirements properties
Cho phép bạn cài bộ lọc mật mã
Cho phép
Không cho phép
Cho phép
Store password using reversible encryption
Mật mã người dùng được lưu dưới dạng mã hóa
Không cho phép
Không cho phép
Cho phép
Chính sách khóa tài khoản (Account Lockout Policy)
Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức thời điểm khóa tài khoản trong vùng hay hệ thống cục bộ. Giúp hạn chế tấn công thông qua hình thức logon từ xa
Các thông số cấu hình chính sách khóa tài khoản
Chính sách
Mô tả
Giá trị mặc định
Giá trị min
Giá trị max
Gợi ý
Account lockout threshold
Quy định số lần đăng nhập trước khi tài khoản bị khóa
0
0
Thử 999 lần
5 lần
Account lockout duration
Quy định thời gian khóa tài khoản
Là 0 nhưng nếu Account lockout threshold được thiết lập thì giá trị này là 30 phút
Như giá trị mặc định
99999 phút
5 phút
Reset account lockout counter after
Quy định thời gian đếm lại số lần đăng nhập không thành công
Là 0 nhưng nếu Account lockout threshold được thiết lập thì giá trị này là 5 phút
Như giá trị mặc định
99999 phút
5 phút
Chính sách Kerberos
Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tính hoạt động trên những đường truyền không an toàn. Giao thức Kerberos có khả năng chống lại việc nghe lén hay gửi lại những gói tin cũ và đảm bảo tính toàn vẹn của dữ liệu. Mục tiêu của giao thức này là nhằm vào mô hình máy chủ máy khách và đảm bảo nhận thực cho cả hai chiều.
Chính sách cục bộ(Local Policies)
Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám sát các đối tượng trên mạng như người dùng và tài nguyên chung.Đồng thời bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mậtvới người dùng.
Chính sách kiểm toán(Audit Policies)
Chính sách kiểm toán(Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống trên các đối tượng.
Các lựa chọn trong chính sách kiểm toán
Chính sách
Mô tả
Audit account logon events
Ghi nhận khi người dùng logon, logoff hay tạo một kết nối mạng
Audit account managements
Ghi nhận khi tài khoản người dùng hay nhóm được tạo xóa hay các thao tác quản lí người dùng
Audit directory service access
Ghi nhận việc truy cập các dịch vụ thư mục
Audit logon events
Ghi nhận các sự kiện liên quan đến quá trình logon như thi hành 1 logon script hay truy cập đến 1 roaming profile
Audit object access
Ghi nhận việc truy cập các tập tin, thư mục, máy in
Audit policy change
Ghi nhận các thay đổi trong chính sách kiểm toán
Audit privilege use
Hệ thống sẽ ghi nhận lại khi bạn thao tác quản trị trên các quyền hệ thống như cấp hoặc xóa quyền của một ai đó.
Audit process tracking
Kiểm toán này theo dõi hoạt động của chương trình hay hệ điều hành
Audit system events
Hệ thống sẽ ghi nhận mỗi khi bạn khởi động lại máy hay tắt máy
Quyền hệ thống của từng người(User right assignment)
Là quyền hệ thống cung cấp cho người dùng các quyền quản trị và sử dụng hệ thống
Có 2 cách cấp quyền hệ thống cho người dùng
+ Add tài khoản người dùng vào các nhóm đã được tạo sẵn (built-in) để thừa kế.
+ Hoặc dùng công cụ User Right Assigment để gán từng quyền rời rạc cho người dùng.
Danh sách các quyền hệ thống cấp cho người dùng và nhóm
Muốn thêm hay bớt quyền hạn cho người dùng hoặc nhóm, bạn nhấp đôi chuột vào quyền hạn được chọn, nó sẽ xuất hiện hộp thoại chứa danh sách người dùng và nhóm hiện đang có quyền này. Nhấp chuột vào nút Add để them người dùng, nhóm vào danh sách, hoặc remove để xóa người dùng khỏi danh sách.
Quyền
Mô tả
Access this computer from the network
Cho phép người dùng truy cập máy tính trên mạng.
Act as part of the operating system
Cho phép các dịch vụ chứng thực ở mức thấp.
Add workstations to the domain
Cho phép người dùng thêm 1 tài khoản máy tính trong vùng
Adjust memory quotas for a process
Chỉ định ai được phép điều chỉnh chỉ tiêu bộ nhớ dành cho một quá trình xử lý. Chính sách làm tăng hiệu suất của hệ thống
Allow log on locally
Cho phép những người dùng và nhóm truy cập đến máy tính cục bộ
Allow log on through Terminal Services
Cho phép ai được phép sử dụng dịch vụ Terminal để đăng nhập vào hệ thống
Back up files and directories
Cho phép người dùng sao lưu dự phòng các tập tin và thư mục bất chấp các tập tin và thư mục này người đó có quyền hay không
Bypass traverse checking
Cho phép người dùng duyệt qua cấu trúc thư mục nếu người dùng không có quyền xem(list) nội dung thư mục này
Change the system time
Cho phép người dùng thay đổi giờ hệ thống này
Create a pagefile
Thiết lập user được phép tạo bộ nhớ ảo
Change the time zone
Cho phép người dùng thay đổi múi giờ
Create a token object
Cho phép một tiến trình tạo một thẻ bài nếu tiến trình này dùng NTCreate Token API
Create permanent shared objects
Cho phép một tiến trình tạo một đối tượng thư mục thông qua Windows 2008 Object Manager
Debug programs
Cho phép người dùng gắn một chương trình debug vào bất kì tiến trình nào
Deny access to this computer from the network
Cho phép bạn khóa người dùng hay nhóm không được truy cập đến các máy tính trên mạng
Deny logon as a batch file
Cho phép bạn ngăn cản những người dùng và nhóm được phép logon như 1 batch file
Deny logon as a service
Cho phép bạn ngăn cản những người dùng và nhóm truy cập như một services
Deny log on locally
Cấm User Logon cục bộ
Enable computer and user account to be trusted by deletgation
Cho phép người dùng hay nhóm được ủy quyền cho người dùng hay một đối tượng máy tính
Force shutdown from a remote system
Cho phép người dùng Shutdown hệ thống từ xa thông qua mạng
Generate security audits
Cho phép người dùng, nhóm hay một tiến trình tạo 1 entry vào Security log
Increase scheduling priority
Quy định một tiến trình có thể tang hay giảm độ ưu tiên đã được gắn cho tiến trình khác
Load and upload device drivers
Cho phép người dùng có thể cài đặt hay gỡ bỏ các driver của các thiết bị
Lock pages in memory
Khóa trang trong vùng nhớ
Log on as a batch job
Cho phép một tiến trình logon vào hệ thống và thi hành 1 tập tin chứa các lệnh hệ thống
Log on as a service
Cho phép một dịch vụ logon và thi hành một dịch vụ riêng
Log on locally
Thiết lập User Logon cục bộ
Manage auditing and security log
Cho phép người dùng quản lý security log
Modify firmware environment values
Cho phép người dùng hay một tiến trình hiệu chỉnh các biến môi trường hệ thống
Profile single process
Cho phép người dùng giám sát các tiến trình bình thường thông qua công cụ Performancer Logs and Alerts
Profile system performance
Cho phép người dùng giám sát các tiến trình hệ thống thông qua công cụ Performance Logs and Alerts
Remove computer from docking station
Cho phép người dùng gỡ bỏ 1 Laptop thông qua giao diện người dùng
Replace a process level token
Cho phép một tiến trình thay thế một token mặc định mà được tạo bởi một tiến trình con
Restore files and directories
Cho phép người dùng phục hồi tập tin và thư mục, bất chấp người dùng này có quyền trên file và thư mục này hay không
Shut down the system
Cho phép người dùng shutdown máy cục bộ windows 2008
Synchronize directory service data
Cho phép người dùng đồng bộ dữ liệu với một dịch vụ thư mục
Take ownership of files or others objects
Cho phép người dùng tước quyền sở hữu của một đối tượng hệ thống
Các lựa chọn bảo mật (Security Options)
Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server định nghĩa các quyền và giao diện tương tác trên server giúp các người quản trị thao tác trên Server dễ dàng và an toàn hơn.
Một số lựa chọn bảo mật trong Security Options:
Accounts: Administrator account status
Trạng thái hoạt động của Administrator
Accounts: Guest account status
Trạng thái hoạt động User Guset
Accounts: Limit local account use of blank passwords to console logon only
Đăng nhập không cần password
Accounts: Rename administrator account
Cho phép đổi tên tài khoản Administrator thành tên mới
Accounts: Rename guest account
Cho phép đổi tên tài khoản Guest thành tên mới
Audit: Audit the access of global system objects
Kiểm toán các truy cập của các đối tượng hệ thống toàn cục
Audit: Audit the use of Backup and Restore privilege
Kiểm toán việc sử dụng sao lưu và phục hồi đặc quyền
Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings
Kiểm toán chính sách con cài đặt (Windows Vista hoặc mới hơn) để ghi đè lên các thiết lập kiểm toán.
Audit: Shut down system immediately if unable to log security audits
Kiểm toán: Shut down hệ thống ngay lập tức nếu không thể đăng nhập kiểm toán bảo mật
Devices: Allow undock without having to log on
Cho phép undock mà không cần phải đăng nhập vào
Devices: Allowed to format and eject removable media
Được phép để định dạng và di chuyển
Devices: Prevent users from installing printer drivers
Không cho phép cài Printer
Devices: Restrict CD-ROM access to locally logged-on user only
Cấm truy cập từ xa tới CD-ROM
Devices: Restrict floppy access to locally logged-on user only
Cấm truy cập từ xa tới FDD
Domain controller: Allow server operators to schedule tasks
Cho phép nhóm Server Operator lập lịch tác vụ trên Server
Domain controller: Refuse machine account password changes
Tài khoản máy không được thay đổi mật khẩu
Domain member: Disable machine account password changes
Vô hiệu hoá tài khoản máy thay đổi mật khẩu
Domain member: Maximum machine account password age
Mật khẩu của tài khoản máy có số ngày tối đa
Domain member: Require strong session key
Yêu cầu Khóa phải mạnh
Interactive logon: Do not display last user name
Không hiển thị tên người dùng cuối cùng
Interactive logon: Do not require CTRL+ALT+DEL
Không yêu cầu bấm 3 phím CTRL+ALT+DEL khi logon
Interactive logon: Message text for users attempting to log on and Message title for users attempting to log on
tạo câu thông báo cho người dùng khi đăng nhập vào máy tính và Nhập dòng tiêu đề
Interactive logon: Number of previous logons to cache (in case domain controller is not available)
Cache khi log on (=0)
Interactive logon: Prompt user to change password before expiration
Nhắc nhở người dùng thay đổi mật khẩu trước khi hết hạn
Interactive logon: Require Domain Controller authentication to unlock workstation
Yêu cầu chứng thực Domain Controller để mở khóa máy trạm
Interactive logon: Require smart card
Yêu cầu thẻ
Interactive logon: Smart card removal behavior
Loại bỏ thẻ
Microsoft network server: Disconnect clients when logon hours expire
Ngắt kết nối khách XXXien khi giờ đăng nhập hết hạn
Recovery console: Allow automatic administrative logon
Cho phép administrative tự động đăng nhập
Recovery console: Allow floppy copy and access to all drives and folders
Cho phép copy đĩa mềm và truy cập vào tất cả các ổ đĩa và thư mục
Shutdown: Allow system to be shut down without having to log on
Cho phép người dùng shutdown hệ thống mà không cần logon
System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing
Hệ thống mật mã: sử dụng FIPS tuân thủ các thuật toán mã hóa
System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links)
Tăng cường cho phép mặc định của các đối tượng hệ thống nội bộ (ví dụ như biểu tượng liên kết)
System settings: Optional subsystems
Tùy chọn hệ thống con
Shut down: clear vitual memory pagefile
Xóa bộ nhớ ảo khi shutdowm
Phần 2: Triển khai chính sách hệ thống
Các bước chuẩn bị:
Chuẩn bị một máy ảo Windows Server 2008 với các thông số sau:
Ip Address: 192.168.1.1
Subnet mask: 255.255.255.0
DNS Address: 192.168.1.1
Chuẩn bị một máy ảo Win XP Professional với các thông số sau:
Ip Address: 192.168.1.2
Subnet mask: 255.255.255.0
DNS: 192.168.1.1
Hãy tiến hành nâng cấp máy Server là máy Server Stand- alone thành máy Domain Controller quản lý miền THAO33.NET.
Tiến hành gia nhập máy trạm Window XP vào miền THAO33.NET do máy Domain Controller quản lý.
Hãy áp dụng chính sách hệ thống để chỉnh sửa các chính sách mật khẩu sau (video chinh sach he thong):
Định thời gian thay đổi mật khẩu của một tài khoản người dùng là 7 ngày
Thời gian tối thiểu để một người dùng có thể thay đổi mật khẩu là 2 ngày.
Chiều dài tối thiểu của mật khẩu là 3 ký tự
Mật khẩu không nằm trong chế độ phức tạp
Mật khẩu được lưu trữ dưới dạng mã hóa
Giữa 2 lần thay đổi mật khẩu có thể trùng nhau.
Định nghĩa lại các Policies:
Nếu một tài khoản người dùng đăng nhập gõ sai mật khẩu quá 3 lần thì tài khoản đó sẽ bị khóa lại trong 30phút.
Thời gian reset lại số lần đăng nhập sai mật khẩu là 5 phút.
Vào mục Security Options hiệu chỉnh các chính sách sao cho:
Cho phép người dùng shutdown hệ thống mà không cần logon
Không yêu cầu bấm tổ hợp phím Ctr+Alt+Del khi logon hệ thống
Không hiển thị tên người dùng logon trước đó.
Cho phép đổi tên tài khoản Administrator thành tên mới.
Ví dụ: Với hệ thống mạng trên. Hãy cấp quyền cho người dùng theo yêu cầu sau:
Chỉ có nhóm Adminstrator và NS1 có quyền gia nhập máy tính vào Domain.
Tài khoản KT1 có quyền sao lưu dữ liệu-backup data.
Tài khoản NS2 có quyền đăng nhập cục bộ Domain Controller và có quyền tắt máy từ xa.
CHÍNH SÁCH NHÓM
CHƯƠNG 1: GIỚI THIỆU CHÍNH SÁCH GROUP POLICY
Group Policy:
Group Policy là một nhóm các Policy, các Policy này qui định rất nhiều tính năng như bảo vệ mật khẩu, cài đặt từ xa, thay đổi hệ thống…. Các Group Policy trong GPO (Group Policy Object).
Thí dụ: người quản trị mạng muốn quản lý người dùng một số thông tin như:
Các chương trình giành cho người sử dụng được phép dùng
Các chương trình xuất hiện trên màn hình nền của người dùng
Hay đưa ra một số hạn chế buộc người dùng phải tuân theo: Việc cài đặt các thành phần để kiểm soát các việc trên gọi là cài đặt các Policy.
Thí dụ: GPO Default Domain Policy liên kết với các Domain.Các GPO này liên kết với Site, Domain, OU để áp dụng tới các người dùng trên Site, Domain, OU đó.
Các Policy áp dụng theo thứ tự sau:
Local- Site- Domain- OU- OU trong OU có hai điểm chính (Node) trong Group Policy trong
User Configuration.
Computer Configuration: Trong từng điểm đều có ba điểm giống nhau:
Software Setting
Windows Setting.
Administrative Templates: tuy nhiên có sự khác nhau giưac hai điểm chính trên
Các Policy trong User Configuration sẽ áp dụng cho các cài đặt cho User (bất kể khi User đấy log on vào máy nào).
Và các Policy trong Computer Configuration sẽ áp dụng tới máy tính ( bất kể User nào log on tới máy tính đấy.)
Group Policy Object (GPO):
GPO là một Group Policy cụ thể, có tên riêng của nó và gồm một hay nhiều thiết lập(setting) đã được chọn và cấu hình.
GPO là một nhóm các cấu hình của Group Policy.
Phân loại GPO:
+Local GPO.
+Non- local GPO.
Local GPO:
Một Local GPO được lưu trên mỗi máy cho dù máy tính đó là thành viên trong môi trường Active Directory hoặc môi trường mạng:%Systemroot%\sytem32\GroupPolicy.Một local GPO chỉ ảnh hưởng đến máy tính đang lưu trữ nó. Các thiết lập của local GP có thể bị ghi đè bởi non-local GP vì vậy local GP ít có ý nghĩa quan trọng đối với môi trườngAD.
Non-Local GPO
Non-local GPO được tạo ra trong Active Directory%Systemroot%\Sysvol\sysvol\Domain Name\Policies\GPO GUID\Adm. Non-local GPOs
được liên kết đến một site, domain, hoặc OU để áp dụng cho người dùng hoặc máy tính.
Group Policy Setting
Các thiết lập của GP thì được chứa trong một GPO để xác định môi trường và giaodiện của người dùng.
Có 2 loại Group Policy Settings:
– Computer Configuration settings
– User Configuration settings
Mục Computer Configuration: chứa các thiết lập mà Group Policy áp dụng cho các máy tính và không quan tâm đến ai đăng nhập vào máy tính đó.
Mục User Configuration: chứa các thiết lập mà Group Policy áp dụng cho người dùng và không quan tâm đến người dùng đó đăng nhập từ máy tính nào
Cả 2 mục Computer Configuration và User Configuration chứa các thiết lập về :
– Cài đặt phần mềm (Mục Software Settings)
– Cài đặt và truy cập hệ điều hành Windows Server 2003(Mục Windows Se