Luận văn XÂY DỤNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008

Chia sẻ: Võ Trần Thạch Thảo | Ngày: | Loại File: DOCX | Số trang:58

Thêm vào BST

Báo xấu

220
lượt xem 74
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Cùng với sự phát triển của đất nước, hàng loạt công ty lớn nhỏ mọc lên với số lượng máy vi tính, vậy để làm gì để những người quản lý có thể quản lý một số lượng lớn người dùng lớn như vậy được, System Policy và Group Policy ra đời giúp những người quản lý một số lượng lớn người dùng một cách dễ dàng, đảm bảo được độ bảo mật của dữ liệu…

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Luận văn XÂY DỤNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008

LỜI MỞ ĐẦU Cùng với sự phát triển của đất nước, hàng loạt công ty lớn nhỏ mọc lên với số lượng máy vi tính, vậy để làm gì để những người quản lý có thể quản lý một số lượng lớn người dùng lớn như vậy được, System Policy và Group Policy ra đời giúp những người quản lý một số lượng lớn người dùng một cách dễ dàng, đảm bảo được độ bảo mật của dữ liệu… Chính sách hệ thống tạo cho việc kiểm soát người dùng trên máy khách đó có một menu Start/Programs đặc biệt hoặc một màn hình Desktop đặc biệt; hạn chế không cho người dùng ấy chạy một số chương trình nào đó hoặc thay đổi màn hình Desktop; ấn định một số setting về nối mạng…. Một vài ứng dụng của Group Policy như: Cài đặt software cho một loạt các user khi đăng nhập vào, cho cài đặt software gì không cho cài gì….cài đặt software chia làm 3 loại: Publish, Assign va Advanced. Có thể cấm không cho một số user vào các mục Control Panel, My Network Place, Recycle…bằng cách làm ẩn chúng hay có thể cấm truy cập vào các ổ đĩa C, D… hoặc vào Internet Explorer… Bảo mật dữ liệu, Group Policy có chính sách mật khẩu về mật khẩu và tài khoản để tránh hacker đột nhập Qua đó, chính sách hệ thống và chính sách nhóm có một vai trò quan trọng trong công việc quản lý các user và dữ liệu, dưới đây sẽ trình bày rõ hơn về tác dụng của System Policy và Group Policy. Nay đề tài đã hoàn tất, nhưng chắc chắc còn nhiều thiếu sót, sai phạm… chưa được hoàn chỉnh, vậy em rất mong được sự đóng góp ý kiến của thầy và các bạn để hoàn chỉnh đề tài và phát triển nó hơn. Em xin chân thành cám ơn. Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 1
MỤC LỤC A. CHÍNH SÁCH HỆ THỐNG Phần 1:Giới thiệu I. Giới thiệu về chính sách hệ thống: Chính sách hệ thống xuất hiện trên môi trường WORKGROUP lẫn DOMAIN. Trên môi trường WORKGROUP, chính sách hệ thống xuất hiện trong công vụ Local Security Policy. Trên môi trường Domain , chính sách hệ thống xuất hiện trên 2 công cụ: • Domain Security Policy: giúp người quản trị thiết lập các chính sách hệ thống có phạm vi tác động lên toàn miền • Domain Controller Security Policy: giúp người quản trị thiết lập các chính sách hệ thống có phạm tác động lên các máy Domain Controller. II. Mục tiêu: • Tìm hiểu về các chính sách trong System policy gồm Domain Security Policy và Domain Controller Security Policy. • Biết cách áp dụng chính sách hệ thống để quản lý các máy trạm của người dùng. III. Một số chính sách hệ thống 1. Chính sách tài khoản(Account policy) Account policy được dùng để chỉ định các thông số về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy ra. Nó cho phép bạn cấu hình các thông số bảo mật máy tính cho mật khẩu, khóa tài khoản và chứng thục Kerberos trong vùng. Trên Windows Server 2008 làm DC có ba thư mục Password Policy, Account Lockout Policy và Kerberos Policy. Trong Windows Server 2008 cho phép bạn quản lý chính sách tài khoản theo hai cấp độ là: cục bộ và Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 2
miền. Muốn cấu hình các chính sách tài khoản người dùng ta vàoStart > Administrative Tools>Local Security Policy. 1.1. Chính sách mật khẩu (Password Policy) Chính sách mật khẩu (Password Policy) nhằm đảm bảo an toàn cho mật khẩu của người dùng để tránh các trường hợp đăng nhập bất hợp pháp vào hệ thống. Chính sách này cho phép bạn quy định chiều dài ngắn nhất của mật khẩu, độ phức tạp…. Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 3
Các lựa chọn trong chính sách mật khẩu: Chính sách Mô tả Mặc định Giá trị nhỏ Giá trị lớn nhất nhất Enforce password Số lần đặt mật 24 0 24 history mã không được trùng nhau Maximum Quy định số ngày Giữ mật mã Giữ mật mã Giữ mật mã password age nhiếu nhất mà trong 42 ngày trong 1 ngày trong 999 mật mã ngươi ngày dùng có hiệu lực Minimum Quy định số ngày 1 ngày (người 0 999 ngày password age ít nhất mà ngươi dùng có thể dùng có thể thay thay đổi ngay đổi mật mã lập tức) Minimum Chiều dài ngắn 7 0 14 kí tự password length nhất của mật mã Password must Cho phép bạn cài Cho phép Không cho Cho phép meet complexity bộ lọc mật mã phép requirements properties Store password Mật mã người Không cho Không cho Cho phép using reversible dùng được lưu phép phép encryption dưới dạng mã hóa 1.2. Chính sách khóa tài khoản (Account Lockout Policy) Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 4
Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức thời điểm khóa tài khoản trong vùng hay hệ thống cục bộ. Giúp hạn chế tấn công thông qua hình thức logon từ xa Các thông số cấu hình chính sách khóa tài khoản Chính sách Mô tả Giá trị mặc Giá trị Giá trị Gợi ý định min max Account Quy định số lần 0 0 Thử 999 5 lần lockout đăng nhập trước lần threshold khi tài khoản bị khóa Account Quy định thời Là 0 nhưng nếu Như giá 99999 5 phút lockout gian khóa tài Account trị mặc phút duration khoản lockout định threshold được thiết lập thì giá Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 5
Reset account Quy định thời Là 0 nhưng nếu Như giá 99999 5 phút lockout gian đếm lại số Account trị mặc phút counter after lần đăng nhập lockout định không thành threshold được công thiết lập thì giá 1.3. Chính sách Kerberos Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tính hoạt động trên những đường truyền không an toàn. Giao thức Kerberos có khả năng chống lại việc nghe lén hay gửi lại những gói tin cũ và đảm bảo tính toàn vẹn của dữ liệu. Mục tiêu của giao thức này là nhằm vào mô hình máy chủ máy khách và đảm bảo nhận thực cho cả hai chiều. 2. Chính sách cục bộ (Local Policies) Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám sát các đối tượng trên mạng như người dùng và tài nguyên chung . Đồng thời bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mậtvới người dùng. Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 6
2.1. Chính sách kiểm toán (Audit Policies) Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống trên các đối tượng. Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 7
Các lựa chọn trong chính sách kiểm toán Chính sách Mô tả Audit account logon events Ghi nhận khi người dùng logon, logoff hay tạo một kết nối mạng Audit account managements Ghi nhận khi tài khoản người dùng hay nhóm được tạo xóa hay các thao tác quản lí người dùng Audit directory service Ghi nhận việc truy cập các dịch vụ thư mục access Audit logon events Ghi nhận các sự kiện liên quan đến quá trình logon như thi hành 1 logon script hay truy cập đến 1 roaming profile Audit object access Ghi nhận việc truy cập các tập tin, thư mục, máy in Audit policy change Ghi nhận các thay đổi trong chính sách kiểm toán Audit privilege use Hệ thống sẽ ghi nhận lại khi bạn thao tác quản trị trên các quyền hệ thống như cấp hoặc xóa quyền của một ai đó. Audit process tracking Kiểm toán này theo dõi hoạt động của chương trình hay hệ điều hành Audit system events Hệ thống sẽ ghi nhận mỗi khi bạn khởi động lại máy hay tắt máy 2.2. Quyền hệ thống của từng người(User right assignment) Là quyền hệ thống cung cấp cho người dùng các quyền quản trị và sử dụng hệ thống Có 2 cách cấp quyền hệ thống cho người dùng + Add tài khoản người dùng vào các nhóm đã được tạo sẵn (built-in) để thừa kế. + Hoặc dùng công cụ User Right Assigment để gán từng quyền rời rạc cho người dùng. Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 8
Danh sách các quyền hệ thống cấp cho người dùng và nhóm Muốn thêm hay bớt quyền hạn cho người dùng hoặc nhóm, bạn nhấp đôi chuột vào quyền hạn được chọn, nó sẽ xuất hiện hộp thoại chứa danh sách người dùng và nhóm hiện đang có quyền này. Nhấp chuột vào nút Add để them người dùng, nhóm vào danh sách, hoặc remove để xóa người dùng khỏi danh sách. Quyền Mô tả Access this computer from the Cho phép người dùng truy cập máy tính trên network mạng. Act as part of the operating Cho phép các dịch vụ chứng thực ở mức thấp. system Add workstations to the Cho phép người dùng thêm 1 tài khoản máy tính domain trong vùng Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 9
Adjust memory quotas for a Chỉ định ai được phép điều chỉnh chỉ tiêu bộ nhớ process dành cho một quá trình xử lý. Chính sách làm tăng hiệu suất của hệ thống Allow log on locally Cho phép những người dùng và nhóm truy cập đến máy tính cục bộ Allow log on through Terminal Cho phép ai được phép sử dụng dịch vụ Terminal Services để đăng nhập vào hệ thống Back up files and directories Cho phép người dùng sao lưu dự phòng các tập tin và thư mục bất chấp các tập tin và thư mục này người đó có quyền hay không Bypass traverse checking Cho phép người dùng duyệt qua cấu trúc thư mục nếu người dùng không có quyền xem(list) nội dung thư mục này Change the system time Cho phép người dùng thay đổi giờ hệ thống này Create a pagefile Thiết lập user được phép tạo bộ nhớ ảo Change the time zone Cho phép người dùng thay đổi múi giờ Create a token object Cho phép một tiến trình tạo một thẻ bài nếu tiến trình này dùng NTCreate Token API Create permanent shared objects Cho phép một tiến trình tạo một đối tượng thư mục thông qua Windows 2008 Object Manager Debug programs Cho phép người dùng gắn một chương trình debug vào bất kì tiến trình nào Deny access to this computer Cho phép bạn khóa người dùng hay nhóm không from the network được truy cập đến các máy tính trên mạng Deny logon as a batch file Cho phép bạn ngăn cản những người dùng và nhóm được phép logon như 1 batch file Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 10
Deny logon as a service Cho phép bạn ngăn cản những người dùng và nhóm truy cập như một services Deny log on locally Cấm User Logon cục bộ Enable computer and user Cho phép người dùng hay nhóm được ủy quyền account to be trusted by cho người dùng hay một đối tượng máy tính deletgation Force shutdown from a remote Cho phép người dùng Shutdown hệ thống từ xa system thông qua mạng Generate security audits Cho phép người dùng, nhóm hay một tiến trình tạo 1 entry vào Security log Increase scheduling priority Quy định một tiến trình có thể tang hay giảm độ ưu tiên đã được gắn cho tiến trình khác Load and upload device drivers Cho phép người dùng có thể cài đặt hay gỡ bỏ các driver của các thiết bị Lock pages in memory Khóa trang trong vùng nhớ Log on as a batch job Cho phép một tiến trình logon vào hệ thống và thi hành 1 tập tin chứa các lệnh hệ thống Log on as a service Cho phép một dịch vụ logon và thi hành một dịch vụ riêng Log on locally Thiết lập User Logon cục bộ Manage auditing and security log Cho phép người dùng quản lý security log Modify firmware environment Cho phép người dùng hay một tiến trình hiệu values chỉnh các biến môi trường hệ thống Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 11
Profile single process Cho phép người dùng giám sát các tiến trình bình thường thông qua công cụ Performancer Logs and Alerts Profile system performance Cho phép người dùng giám sát các tiến trình hệ thống thông qua công cụ Performance Logs and Alerts Remove computer from docking Cho phép người dùng gỡ bỏ 1 Laptop thông qua station giao diện người dùng Replace a process level token Cho phép một tiến trình thay thế một token mặc định mà được tạo bởi một tiến trình con Restore files and directories Cho phép người dùng phục hồi tập tin và thư mục, bất chấp người dùng này có quyền trên file và thư mục này hay không Shut down the system Cho phép người dùng shutdown máy cục bộ windows 2008 Synchronize directory service Cho phép người dùng đồng bộ dữ liệu với một data dịch vụ thư mục Take ownership of files or others Cho phép người dùng tước quyền sở hữu của một objects đối tượng hệ thống 2.3. Các lựa chọn bảo mật (Security Options) Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server định nghĩa các quyền và giao diện tương tác trên server giúp các người quản trị thao tác trên Server dễ dàng và an toàn hơn. Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 12
Một số lựa chọn bảo mật trong Security Options: Accounts: Administrator account status Trạng thái hoạt động của Administrator Accounts: Guest account status Trạng thái hoạt động User Guset Accounts: Limit local account use of Đăng nhập không cần password blank passwords to console logon only Accounts: Rename administrator Cho phép đổi tên tài khoản Administrator thành account tên mới Accounts: Rename guest account Cho phép đổi tên tài khoản Guest thành tên mới Audit: Audit the access of global system Kiểm toán các truy cập của các đối tượng hệ objects thống toàn cục Audit: Audit the use of Backup and Kiểm toán việc sử dụng sao lưu và phục hồi Restore privilege đặc quyền Audit: Force audit policy subcategory Kiểm toán chính sách con cài đặt (Windows settings (Windows Vista or later) to Vista hoặc mới hơn) để ghi đè lên các thiết lập override audit policy category settings kiểm toán. Audit: Shut down system immediately if Kiểm toán: Shut down hệ thống ngay lập tức unable to log security audits nếu không thể đăng nhập kiểm toán bảo mật Devices: Allow undock without having to Cho phép undock mà không cần phải đăng nhập log on vào Devices: Allowed to format and eject Được phép để định dạng và di chuyển Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 13
removable media Devices: Prevent users from installing Không cho phép cài Printer printer drivers Devices: Restrict CD-ROM access to Cấm truy cập từ xa tới CD-ROM locally logged-on user only Devices: Restrict floppy access to locally Cấm truy cập từ xa tới FDD logged-on user only Domain controller: Allow server Cho phép nhóm Server Operator lập lịch tác vụ operators to schedule tasks trên Server Domain controller: Refuse machine Tài khoản máy không được thay đổi mật khẩu account password changes Domain member: Disable machine Vô hiệu hoá tài khoản máy thay đổi mật khẩu account password changes Domain member: Maximum machine Mật khẩu của tài khoản máy có số ngày tối đa account password age Domain member: Require strong session Yêu cầu Khóa phải mạnh key Interactive logon: Do not display last Không hiển thị tên người dùng cuối cùng user name Interactive logon: Do not require Không yêu cầu bấm 3 phím CTRL+ALT+DEL CTRL+ALT+DEL khi logon Interactive logon: Message text for users tạo câu thông báo cho người dùng khi đăng nhập attempting to log on and Message title for vào máy tính và Nhập dòng tiêu đề users attempting to log on Interactive logon: Number of previous Cache khi log on (=0) logons to cache (in case domain controller is not available) Interactive logon: Prompt user to change Nhắc nhở người dùng thay đổi mật khẩu trước password before expiration khi hết hạn Interactive logon: Require Domain Yêu cầu chứng thực Domain Controller để mở Controller authentication to unlock khóa máy trạm workstation Interactive logon: Require smart card Yêu cầu thẻ Interactive logon: Smart card removal Loại bỏ thẻ behavior Microsoft network server: Disconnect Ngắt kết nối khách ]ien khi giờ đăng nhập hết clients when logon hours expire hạn Recovery console: Allow automatic Cho phép administrative tự động đăng nhập administrative logon Recovery console: Allow floppy copy and Cho phép copy đĩa mềm và truy cập vào tất cả Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 14
access to all drives and folders các ổ đĩa và thư mục Shutdown: Allow system to be shut Cho phép người dùng shutdown hệ thống mà down without having to log on không cần logon System cryptography: Use FIPS Hệ thống mật mã: sử dụng FIPS tuân thủ các compliant algorithms for encryption, thuật toán mã hóa hashing, and signing System objects: Strengthen default Tăng cường cho phép mặc định của các đối permissions of internal system objects tượng hệ thống nội bộ (ví dụ như biểu tượng (e.g. Symbolic Links) liên kết) System settings: Optional subsystems Tùy chọn hệ thống con Shut down: clear vitual memory pagefile Xóa bộ nhớ ảo khi shutdowm Phần 2: Triển khai chính sách hệ thống 1. Các bước chuẩn bị: Chuẩn bị một máy ảo Windows Server 2008 với các thông số sau:  Ip Address: 192.168.1.1  Subnet mask: 255.255.255.0  DNS Address: 192.168.1.1 Chuẩn bị một máy ảo Win XP Professional với các thông số sau:  Ip Address: 192.168.1.2  Subnet mask: 255.255.255.0  DNS: 192.168.1.1  Hãy tiến hành nâng cấp máy Server là máy Server Stand- alone thành máy Domain Controller quản lý miền THAO33.NET.  Tiến hành gia nhập máy trạm Window XP vào miền THAO33.NET do máy Domain Controller quản lý.  Hãy áp dụng chính sách hệ thống để chỉnh sửa các chính sách mật khẩu sau (video chinh sach he thong):  Định thời gian thay đổi mật khẩu của một tài khoản người dùng là 7 ngày Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 15
 Thời gian tối thiểu để một người dùng có thể thay đổi mật khẩu là 2 ngày.  Chiều dài tối thiểu của mật khẩu là 3 ký tự Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 16
 Mật khẩu không nằm trong chế độ phức tạp  Mật khẩu được lưu trữ dưới dạng mã hóa Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 17
 Giữa 2 lần thay đổi mật khẩu có thể trùng nhau.  Định nghĩa lại các Policies:  Nếu một tài khoản người dùng đăng nhập gõ sai mật khẩu quá 3 lần thì tài khoản đó sẽ bị khóa lại trong 30phút. Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 18
 Thời gian reset lại số lần đăng nhập sai mật khẩu là 5 phút.  Vào mục Security Options hiệu chỉnh các chính sách sao cho:  Cho phép người dùng shutdown hệ thống mà không cần logon Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 19
 Không yêu cầu bấm tổ hợp phím Ctr+Alt+Del khi logon hệ thống  Không hiển thị tên người dùng logon trước đó. Nhóm SV: Võ Trần Thạch Thảo Nguyễn Thị Tâm Page 20