Bài 11: Chính sách hệ thống

Chia sẻ: Nguyen Van TUan | Ngày: | Loại File: DOC | Số trang:20

Thêm vào BST

Báo xấu

330
lượt xem 162
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Kết thúc bài học này cung cấp cho học viên kiến thức về chính sách mật khẩu, chính sách khóa tài khoản người dùng, quyền hệ thống của người dùng,IPSec

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bài 11: Chính sách hệ thống

Bài 11 CHÍNH SÁCH HỆTHỐNG Tóm tắt Lý thuyết 5 tiết -Thực hành 6 tiết Mục tiêu Các mục chính Bài tập bắt Bài tập làm buộc thêm Kết thúc bài học này cung I. Chính sách tài khoản người dùng. Dựa vào bài Dựa vào bài tập cấp học viên kiến thức II. Chính sách cục bộ. III. IPSec. tập môn Quản môn Quản vềchính sách mật khẩu, trịWindows trịWindows chính sách khóa tài khoản Server 2003. Server 2003. nguời dùng, quyền hệthống của người dùng, IPSec … I. CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG. Chính sách tài khoản người dùng (Account Policy) được dùng đểchỉđịnh các thông sốvềtài khoản người dùng mà nó đượcsửdụng khi tiến trình logon xảy ra. Nó cho phép bạncấu hình các thông sốbảomật máy tính cho mật khẩu, khóa tài khoản và chứng thực Kerberos trong vùng. Nếu trên Server thành viên thì bạnsẽthấy hai mục Password Policy và Account Lockout Policy, trên máy Windows Server 2003 làm domain controller thì bạnsẽthấy ba thưmục Password Policy, Account Lockout Policy và Kerberos Policy. Trong Windows Server 2003 cho phép bạn quản lý chính sách tài khoản tại hai cấp độlà: cụcbộvà miền. Muốncấu hình các chính sách tài khoản người dùng ta vào Start Programs Administrative Tools Domain Security Policy hoặc Local Security Policy.
I.1. Chính sách mật khẩu.Chính sách mật khẩu(Password Policies) nhằm đảmbảo an toàn cho mật khẩucủa người dùng để trách các trường hợp đăng nhậpbấthợp pháp vào hệthống. Chính sách này cho phép bạn qui địnhchiều dài ngắn nhấtcủamật khẩu, độphứctạpcủamật khẩu… Các lựa chọn trong chính sách mật mã: Chính sách Mô tả Mặc định Sốlần đặt mật mã không được trùng Enforce Password History 24 nhau
Quy định sốngày nhiều nhất mà mật mã Maximum Password Age 42. người dùng có hiệu lực Quy sốngày tối thiểu trước khi người Minimum Password Age 1 dùng có thểthay đổi mật mã. Minimum Password Length Chiều dài ngắn nhất của mật mã 7 Passwords Must Meet Mật khẩu phải có độphức tạp như: có ký Cho phép Complexity Requirements tựhoa, thường, có ký số. Store Password Using Mật mã người dùng được lưu dưới dạng Reversible Encryption for All Không cho phép mã hóa Users in the Domain I.2. Chính sách khóa tài khoản.Chính sách khóa tài khoản(Account Lockout Policy) quy định cách thức và thời điểm khóa tài khoản trong vùng hay trong hệthống cụcbộ. Chính sách này giúp hạn chếtấn công thông qua hình thức logon từxa. Các thông sốcấu hình chính sách khóa tài khoản: Chính sách Mô tả Giá trịmặc định Quy định sốlần cốgắng đăng Account Lockout nhập trước khi tài khoản 0 (tài khoản sẽkhông bịkhóa) Threshold bịkhóa Là 0, nhưng nếu Account Lockout Account Lockout Quy định thời gian khóa tài Threshold được thiết lập thì giá trịnày là Duration khoản 30 phút. Reset Account Quy định thời gian đếm lại Là 0, nhưng nếu Account Lockout Lockout Counter sốlần đăng nhập không Threshold được thiết lập thì giá trịnày là After thành công 30 phút. II. CHÍNH SÁCH CỤC BỘ. Chính sách cụcbộ(Local Policies) cho phép bạn thiếtlập các chính sách giám sát các đốitượng trên mạng nhưngười dùng và tài nguyên dùng chung. Đồng thờidựa vào công cụnày bạn có thểcấp quyềnhệthống cho các người dùng và thiếtlập các lựa chọnbảomật.
II.1. Chính sách kiểm toán.Chính sách kiểm toán (Audit Policies) giúp bạn có thểgiám sát và ghi nhận các sựkiệnxảy ra trong hệthống, trên các đốitượng cũng nhưđốivới các người dùng. Bạn có thểxem các ghi nhận này thông qua công cụEvent Viewer, trong mục Security. Các lựa chọn trong chính sách kiểm toán: Audit Account Logon Events Audit Account Management Audit Directory Service Access Audit Logon Events Audit Object Access Audit Policy Change Audit privilege use Audit system event Kiểm toán những sựkiện khi tài khoản đăng nhập, hệthống sẽghi nhận khi người dùng logon, logoff hoặctạomộtkếtnốimạng
Hệthống sẽghi nhận khi tài khoản người dùng hoặc nhóm có sựthay đổi thông tin hay các thao tác quản trịliên quan đến tài khoản người dùng. Ghi nhân việc truy cập các dịch vụthưmục Ghi nhân các sựkiện liên quan đến quá trình logon nhưthi hành một logon script hoặc truy cập đếnmột roaming profile. Ghi nhận việc truy cập các tập tin, thưmục, và máy tin. Ghi nhận các thay đổi trong chính sách kiểm toán Hệthống sẽghi nhậnlại khi bạnbạn thao tác quản trịtrên các quyền hệthống nhưcấp hoặc xóa quyềncủamột ai đó. Kiểm toán này theo dõi hoạt động của chương trình hay hệđiều hành. Hệthống sẽghi nhậnmỗi khi bạn khởi động lại máy hoặctắt máy. II.2. Quyềnhệthống của người dùng. Đốivớihệthống Windows Server 2003,bạn có hai cách cấp quyềnhệthống cho người dùng là: gia nhập tài khoản người dùng vào các nhóm tạosẵn(built-in) đểkếthừa quyền hoặcbạn dùng công cụUser Rights Assignment đểgán từng quyềnrờirạc cho người dùng. Cách thứnhấtbạn đã biếtsửdụng ởchương trước, chỉcần nhớcác quyềnhạncủatừng nhóm tạosẵn thì bạn có thểgán quyền cho người dùng theo yêu cầu. Đểcấp quyềnhệthống cho người dùng theo theo cách thứhai thì bạn phải dùng công cụLocal Security Policy (nếu máy bạn không phải Domain Controller) hoặc Domain Controller Security Policy (nếu máy bạn là Domain Controller). Trong hai công cụđóbạnmởmục Local Policy\ User Rights Assignment.
Đểthêm, bớtmột quyềnhạn cho người dùng hoặc nhóm, bạn nhấp đôi chuột vào quyềnhạn được chọn, nó sẽxuất hiệnmộthộp thoại chứa danh sách người dùng và nhóm hiệntại đang có quyền này. Bạn có thểnhấp chuột vào nút Add đểthêm người dùng, nhóm vào danh sách hoặc nhấp chuột vào nút Remove đểxóa người dùng khỏi danh sách. Ví dụminh họa sau là bạncấp quyền thay đổi giờhệthống (change the system time) cho người dùng “Tuan”.
Danh sách các quyềnhệthống cấp cho người dùng và nhóm: Access This Computer from the Network Act as Part of the Operating System Add Workstations to the Domain Back Up Files and Directories Bypass Traverse Checking Change the System Time Create a Pagefile Create a Token Object Create Permanent Shared Objects Cho phép người dùng truy cập máy tính thông qua mạng. Mặc định mọi người đều có quyền
này. Cho phép các dịch vụchứng thực ởmức thấp chứng thựcvớibất kỳngười dùng nào. Cho phép người dùng thêm một tài khoản máy tính vào vùng. Cho phép người dùng sao lưudựphòng (backup) các tập tin và thưmụcbất chấp các tập tin và thưmục này người đó có quyền không. Cho phép người dùng duyệt qua cấu trúc thưmụcnếu người dùng không có quyền xem (list)nội dung thưmục này. Cho phép người dùng thay đổi giờhệthống của máy tính. Cho phép người dùng thay đổi kích thướccủa Page File. Cho phép một tiến trình tạomột thẻbài nếu tiến trình này dùng NTCreate Token API. Cho phép một tiến trình tạomột đốitượng thưmục thông qua Windows 2000 Object Manager. Cho phép người dùng gắnmột chương trình debug vào bấtkỳDebug Programs tiến trình nào. Deny Access to This Cho phép bạn khóa người dùng hoặc nhóm không được truy cập Computer from the Network đến các máy tính trên mạng.Cho phép bạn ngăncản những người dùng và nhóm được phép Deny Logon as a Batch File logon nhưmột batch file.Cho phép bạn ngăncản những người dùng và nhóm được phép Deny Logon as a Service logon nhưmột services.Cho phép bạn ngăncản những người dùng và nhóm truy cập đến Deny Logon Locally máy tính cụcbộ. Enable Computer and User Cho phép người dùng hoặc nhóm được ủy quyền cho ngườiAccounts to Be Trusted by dùng hoặcmột đốitượng
máy tính. Delegation from a Force Shutdown Cho phép người dùng shut down hệthống từxa thông qua mạng Remote System Generate Security Cho phép người dùng, nhóm hoặc một tiến trình tạo một entry Audits vào Security log. Increase Quotas Cho phép người dùng điều khiển các hạn ngạch của các tiến trình. Quy định một tiến trình có thểtăng hoặc giảm độưu tiên đã đượcIncrease Scheduling Priority gán cho tiến trình khác. Load and Unload Device Cho phép người dùng có thểcài đặt hoặcgỡbỏcác driver của Drivers các thiếtbị. Lock Pages in Memory Khóa trang trong vùng nhớ.Cho phép một tiến trình logon vào hệthống và thi hành mộttập Log On as a Batch Job tin chứa các lệnh hệthống. Log On as a Service Cho phép mộtdịch vụlogon và thi hành mộtdịch vụriêng. Log On Locally Cho phép người dùng logon tại máy tính Server. Manage Auditing and
Cho phép người dùng quản lý Security log. Security Log Cho phép người dùng giám sát các tiến trình bình thường thông Profile Single Process
qua công cụPerformance Logs and Alerts.Cho phép người dùng giám sát các tiến trình hệthống thông qua Profile System Performance công cụPerformance Logs and Alerts. Remove Computer from Cho phép người dùng gỡbỏmột Laptop thông qua giao diện Docking người dùng của Windows 2000. Station Process Level Replace a Cho phép một tiến trình thay thếmột token mặc định mà được Token tạo bởi một tiến trình con. Restore Files and Cho phép người dùng phụchồitập tin và thưmục, bất chấp Directories người dùng này có quyền trên tập tin và thưmục này hay không. Shut Down the System Cho phép người dùng shut down cụcbộmáy Windows 2000. Synchronize Directory Cho phép người dùng đồng bộdữliệuvớimộtdịch vụthưmục. Service Data Take Ownership of Files or Cho người dùng tước quyềnsởhữucủamột đốitượng hệthống. Other Objects II.3. Các lựa chọnbảomật. Các lựa chọnbảomật(Security Options) cho phép người quản trịServer khai báo thêm các thông sốnhằmtăng tính bảomật cho hệthống như: không cho phép hiển thịngười dùng đã logon trước đó hay đổi tên tài khoản người dùng tạosẵn(administrator, guest). Trong hệthống Windows Server 2003 hỗtrợcho chúng ta rất nhiềulựa chọnbảomật, nhưng trong giáo trình này chúng ta chỉkhảo sát các lựa chọn thông dụng.
Mộtsốlựa chọnbảomật thông dụng: Tên lựa chọn Mô tả Shutdown: allow system to be shut down without having to log Cho phép người dùng shutdown hệthống mà không cần logon. on Audit : audit the access of global Giám sát việc truy cập các đối tượng hệthống toàn cục. system objects Network security: force logoff Tựđộng logoff khỏi hệthống khi người dùng hết thời gian when logon hours expires. sửdụng hoặc tài khoản hết hạn. Interactive logon: do not require Không yêu cầu ấn ba phím CTRL+ALT+DEL khi logon. CTRL+ALT+DEL Interactive logon: do not display Không hiển thịtên người dùng đã logon trên hộp thoại Logon. last user name Account: rename administrator Cho phép đổi tên tài khoản Administrator thành tên mới account Account: rename guest account Cho phép đổi tên tài khoản Guest thành tên mới III. IPSec.
IP Security (IPSec) là một giao thứchỗtrợthiếtlập các kếtnối an toàn dựa trên IP. Giao thức này hoạt động ởtầng ba (Network) trong mô hình OSI do đó nó an toàn và tiệnlợihơn các giao thức an toàn khác ởtầng Application nhưSSL. IPSec cũng là một thành phần quan trọng hỗtrợgiao thức L2TP trong công nghệmạng riêng ảo VPN (Virtual Private Network). Đểsửdụng IPSec bạn phảitạo ra các qui tắc(rule), một qui tắc IPSec là sựkếthợp giữa hai thành phần là các bộlọc IPSec (filter) và các tác động IPSec (action). Ví dụnội dung củamột qui tắc IPSec là “Hãy mã hóa tấtcảnhững dữliệu truyền Telnet từmáy có địa chỉ192.168.0.10”, nó gồm hai phần, phầnbộlọc là “qui tắc này chỉhoạt động khi có dữliệu được truyềntừmáy có địa chỉ192.168.0.10 thông qua cổng 23”, phần hành động là “mã hóa dữliệu. III.1. Các tác động bảomật.IPSec của Microsoft hỗtrợbốn loại tác động (action)bảomật, các tác động bảomật này giúp hệ thống có thểthiếtlập những cuộc trao đổi thông tin giữa các máy được an toàn. Danh sách các tácđộng bảomật trong hệthống Windows Server 2003 nhưsau: -Block transmissons: có chứcnăng ngăn chận những gói dữliệu được truyền, ví dụbạn muốn IPSec ngăn chậndữliệu truyềntừmáy A đến máy B, thì đơn giản là chương trình IPSec trên máy B loạibỏmọidữliệu truyền đếntừmáy A. -Encrypt transmissions: có chứcnăngmã hóa những gói dữliệu được truyền, ví dụchúng ta trên đường truyềnnốikếtmạng giữa hai máy A và B. Cho nên chúng ta cầncấu hình cho IPSecsửdụng giao thức ESP (encapsulating security payload) đểmã hóa dữliệucần truyền trước khi đưa lên mạng. Lúc này những người xem trộmsẽthấy những dòng byte ngẫu nhiên và không hiểu đượcdữliệu thật. Do IPSec hoạt động ởtầng Network nên hầu nhưviệc mã hóa được trong suốt đốivới người dùng, người dùng có thểgởi mail, truyền file hay telnet nhưbình thường. -Sign transmissions: có chứcnăng ký tên vào các gói dữliệu truyền, nhằm tránh những kẻtấn công trên mạng giảdạng những gói dữliệu được truyềntừnhững máy mà bạn đã thiếtlập quan hệtin cậy, kiểutấn công này còn có cái tên là main-in-the- middle. IPSec cho phép bạn chống lại điều này bằng một giao thức authentication header. Giao thức này là phương pháp ký tên sốhóa (digitally signing) vào các gói dữliệu trước khi truyền, nó chỉngăn ngừa được giảmạo và sai lệnh thông tin chứkhông ngăn đượcsựnghe trộm thông tin. Nguyên lý hoạt động của phương pháp này là hệthống sẽthêm một bit vào cuốimỗi gói dữliệu truyền qua mạng, từđó chúng ta có thểkiểm tra xem dữliệu có bịthay đổi khi truyền hay không. -Permit transmissions: có chứcnăng là cho phép dữliệu được truyền qua, chúng dùng đểtạo ra các qui tắc(rule)hạn chếmộtsốđiều và không hạn chếmộtsốđiều khác. Ví dụmột qui tắcdạng này “Hãy ngăn chặntấtcảnhững dữliệu truyềntới, chỉtrừdữliệu truyền trên các cổng 80 và443”.
Chú ý: đốivới hai tác động bảomật theo phương pháp ký tên và mã hóa thì hệthống còn yêu cầubạn chỉra IPSec dùng phương pháp chứng thực nào. Microsoft hỗtrợba phương pháp chứng thực: Kerberos, chứng chỉ(certificate) hoặcmột khóa dựa trên sựthỏa thuận(agreed-upon key). Phương pháp Kerberos chỉáp dụng được giữa các máy trong cùng một miền Active Directory hoặc trong những miền Active Directory có ủy quyền cho nhau. Phương pháp dùng các chứng chỉcho phép bạn sửdụng các chứng chỉPKI (public key infrastructure) đểnhận diệnmột máy. Phương pháp dùng chìa khóa chia sẻtrước thì cho phép bạn dùng một chuỗi ký tựvănbản thông thường làm chìa khóa (key). III.2. Các bộlọc IPSec. ĐểIPSec hoạt động linh hoạthơn, Microsoft đưa thêm khái niệmbộlọc(filter) IPSec,bộlọc có tác dụng thống kê các điều kiện đểqui tắc hoạt động. Đồng thời chúng cũng giớihạntầm tác dụng của các tác động bảomật trên một phạmvịmáy tính nào đó hay mộtsốdịch vụnào đó. Bộlọc IPSec chủyếudựtrên các yếutốsau: -Địa chỉIP, subnet hoặc tên DNS của máy nguồn.-Địa chỉIP, subnet hoặc tên DNS của máy đích.-Theo sốhiệucổng (port) và kiểncổng (TCP, UDP, ICMP…) III.3. Triển khai IPSec trên Windows Server 2003.Trong hệthống Windows Server 2003 không hỗtrợmột công cụriêng cấu hình IPSec, do đó đểtriển khai IPSec chúng ta dùng các công cụthiếtlập chính sách dành cho máy cụcbộhoặc dùng cho miền.Đểmởcông cụcấu hình IPSec bạn nhấp chuột vào Start Run rồi gõ secpol.msc hoặc nhấp chuột 304 vào Start Programs Administrative Tools Local Security Policy, trong công cụđóbạn chọn IP Security Policies on Local Machine. Tóm lại, các điều mà bạncần nhớkhi triển khai IPSec: -Bạn triển khai IPSec trên Windows Server 2003 thông qua các chính sách, trên một máy tính
bấtkỳnào đó vào tạimột thời điểm thì chỉcó một chính sách IPSec được hoạt động. -Mỗi chính sách IPSec gồmmột hoặc nhiều qui tắc(rule) và một phương pháp chứng thực nào đó.Mặc dù các qui tắc permit và block không dùng đến chứng thực nhưng Windows vẫn đòi bạn chỉđịnh phương pháp chứng thực. -IPSec cho phép bạn chứng thực thông qua Active Directory, các chứng chỉPKI hoặcmột khóa được chia sẻtrước. -Mỗi qui tắc(rule)gồmmột hay nhiềubộlọc(filter)và một hay nhiều tác động bảomật(action). -Có bốn tác động màquitắc có thểdùng là: block, encrypt, sign và permit. III.3.1 Các chính sách IPSec tạosẵn. Trong khung cửasổchính của công cụcấu hình IPSec, bên phải chúng ta thấy xuất hiện ba chính sách đượctạosẵn tên là: Client, Server và Secure.Cảba chính sách này đều ởtrạng thái chưa áp dụng (assigned). Nhưng chú ý ngay cùng một thời điểm thì chỉcó thểcó một chính sách được áp dụng và hoạt động, có nghĩa là khi bạn áp dụng một chính sách mới thì chính sách đang hoạt động hiệntạisẽtrởvềtrạng thái không hoạt động. Sau đây chúng ta sẽkhảo sát chi tiết ba chính sách tạo sẵn này. -Client (Respond Only): chính sách qui định máy tính củabạn không chủđộng dùng IPSec trừkhi nhận được yêu cầu dùng IPSec từmáy đối tác. Chính sách này cho phép bạn có thểkếtnối đượccảvới các máy tính dùng IPSec hoặc không dùng IPSec. -Server (Request Security): chính sách này qui định máy server củabạn chủđộng cốgắng khởi tạo IPSec mỗi khi thiếtlậpkếtnốivới các máy tính khác, nhưng nếu máy client không thểdùng IPSec thì Server vẫn chấp nhậnkếtnối không dùng IPSec. -Secure Server (Require Security): chính sách này qui định không cho phép bấtkỳcuộc trao đổi dữliệu nào với Server hiệntại mà không dùng IPSec. III.3.2 Ví dụtạo chính sách IPSec đảmbảomộtkếtnối được mã hóa. Trong phần này chúng ta bắt tay vào thiếtlậpmột chính sách IPSec nhằm đảmbảomộtkếtnối được mã hóa giữa hai máy tính. Chúng ta có hai máy tính, máy A có địa chỉ203.162.100.1 và máy B có địa chỉ203.162.100.2. Chúng ta sẽthiếtlập chính sách I PSec trên mỗi máy thêm hai qui tắc(rule), trừhai qui tắccủahệthống gồm: một qui tắc áp dụng cho dữliệu truyền vào máy và một qui tắc áp dụng cho dữliệu truyền ra khỏi máy. Ví dụqui tắc đầu tiên trên máy A bao gồm: -Bộlọc (filter): kích hoạt qui tắc này khi có dữliệu truyền đến địa chỉ203.162.100.1, qua bấtkỳcổng nào. -Tác động bảomật(action): mã hóa dữliệu đó. -Chứng thực: chìa khóa chia sẻtrước là chuỗi “quantri”.
Qui tắc thứhai áp dụng cho máy A cũng tương tựnhưng bộlọc có nội dung ngượclại là “dữliệu truyền đitừđịa chỉ203.162.100.1”. Chú ý: cách dễnhất đểtạo ra một qui tắc là trước tiên bạn phải qui định các bộlọc và tác động bảomật, rồi sau đómớitạo ra qui tắctừcác bộlọc và tác động bảomật này. Các bước đểthực hiệnmột chính sách IPSec theo yêu cầu nhưtrên: Trong công cụDomain Controller Security Policy,bạn nhấp phải chuột trên mục IP Security Policies on Active Directory,rồi chọn Manage IP filter lists and filter actions. Hộp thoại xuất hiện, bạn nhấp chuột vào nút add đểthêm mộtbộlọcmới. Bạn nhập tên cho bộlọc này, trong ví dụnày chúng ta đặt tên là “Connect to 203.162.100.1”. Bạn nhấp chuột tiếp vào nút Add đểhệthống hướng dẫnbạn khai báo các thông tin cho bộlọc.
Bạn theo hướng dẫncủahệthống đểkhai báo các thông tin, chú ý nên đánh dấu vào mục Mirrored đểqui tắc này có ý nghĩa hai chiềubạn không phảitốn công đểtạo ra hai qui tắc. Mục Source address chọn My IP Address,mục Destination address chọn A specific IP Address và nhập địa chỉ“203.162.100.1” vào, mục IP Protocol Type bạn đểmặc định. Cuối cùng bạn chọn Finish đểhoàn thành phần khai báo, bạn nhấp chuột tiếp vào nút OK đểtrởlạihộp thoại đầu tiên. Tiếp theo bạn chuyển sang Tab Manage Filter Actions đểtạo ra các tác động bảomật. Bạn nhấp chuột vào nút Add hệthống sẽhướng dẫnbạn khai báo các thông tin vềtác động. Trước tiên bạn đặt tên cho tác động này, ví dụnhưlà Encrypt.Tiếptục trong mục Filter Action bạn chọn Negotiate security, trong mục IP Traffic Security bạn chọn Integrity and encryption. Đến đây bạn đã hoàn thành việctạomột tác động bảomật.
Công việc tiếp theo là bạnmột chính sách IPSec trong đó có chứamột qui tắckếthợp giữabộlọc và tác động vừatạo ởphía trên. Trong công cụDomain Controller Security Policy,bạn nhấp phải chuột trên mục IP Security Policies on Active Directory,rồi chọn Create IP Security Policy, theo hướng dẫnbạn nhập tên của chính vào, ví dụlà First IPSec, tiếp theo bạn phảibỏđánh dấu trong mục Active the default response rule. Các giá trịcòn lạibạn đểmặc định vì qui tắc Dynamic này chúng ta không dùng và sẽtạo ra một qui tắcmới.
Trong hộp thoại chính sách IPSec,bạn nhấp chuột vào nút Add đểtạo ra qui tắcmới. Hệth ống sẽhướng dẫnbạntừng bước thực hiện, đếnmục chọnbộlọcbạn chọnbộlọcvừatạo phía trên tên “Connect to 203.162.100.1”, mục chọn tác động bạn chọn tác động vừatạo tên Encypt. Đếnmục chọn phương pháp chứng thựcbạn chọnmục Use this string to protect the key exchange và nhập chuỗi làm khóa đểmã hóa dữliệu vào, trong ví dụnày là “quantri”.
Đếnbước này thì công việc thiếtlập chính sách IPSec theo yêu cầu trên củabạn đã hoàn thành, trong khung củasổchính của công cụDomain Controller Security Policy, bạn nhấp phải chuột lên chính sách First IPSec và chọn Assign đểchính sách này được hoạt động trên hệthống Server.