Bài 11 CHÍNH SÁCH HỆTHỐNG Tóm tắt Lý thuyết 5 tiết -Thực hành 6 tiết Mục tiêu Các mục chính Bài tập bắt Bài tập làm buộc thêm Kết thúc bài học này cung cấp học viên kiến thức vềchính sách mật khẩu, chính sách khóa tài khoản nguời dùng, quyền hệthống của người dùng, IPSec … I. Chính sách tài khoản người dùng. II. Chính sách cục bộ. III. IPSec. Dựa vào bài tập môn Quản trịWindows Server 2003. Dựa vào bài tập môn Quản trịWindows Server 2003. I. CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG. Chính sách tài khoản người dùng (Account Policy) được dùng đểchỉđịnh các thông sốvềtài khoản người dùng mà nó đượcsửdụng khi tiến trình logon xảy ra. Nó cho phép bạncấu hình các thông sốbảomật máy tính cho mật khẩu, khóa tài khoản và chứng thực Kerberos trong vùng. Nếu trên Server thành viên thì bạnsẽthấy hai mục Password Policy và Account Lockout Policy, trên máy Windows Server 2003 làm domain controller thì bạnsẽthấy ba thưmục Password Policy, Account Lockout Policy và Kerberos Policy. Trong Windows Server 2003 cho phép bạn quản lý chính sách tài khoản tại hai cấp độlà: cụcbộvà miền. Muốncấu hình các chính sách tài khoản người dùng ta vào Start Programs Administrative Tools Domain Security Policy hoặc Local Security Policy. I.1. Chính sách mật khẩu.Chính sách mật khẩu(Password Policies) nhằm đảmbảo an toàn cho mật khẩucủa người dùng để trách các trường hợp đăng nhậpbấthợp pháp vào hệthống. Chính sách này cho phép bạn qui địnhchiều dài ngắn nhấtcủamật khẩu, độphứctạpcủamật khẩu… Các lựa chọn trong chính sách mật mã: Chính sách Mô tả Enforce Password History Sốlần đặt mật mã không được trùng nhau 24 Maximum Password Age Quy định sốngày nhiều nhất mà mật mã người dùng có hiệu lực 42. Minimum Password Age Quy sốngày tối thiểu trước khi người dùng có thểthay đổi mật mã. 1 Minimum Password Length Chiều dài ngắn nhất của mật mã 7 Passwords Must Meet Complexity Requirements Mật khẩu phải có độphức tạp như: có ký tựhoa, thường, có ký số. Cho phép Store Password Using Reversible Encryption for All Users in the Domain Mật mã người dùng được lưu dưới dạng mã hóa Không cho phép I.2. Chính sách khóa tài khoản.Chính sách khóa tài khoản(Account Lockout Policy) quy định cách thức và thời điểm khóa tài khoản trong vùng hay trong hệthống cụcbộ. Chính sách này giúp hạn chếtấn công thông qua hình thức logon từxa. Các thông sốcấu hình chính sách khóa tài khoản: Chính sách Mô tả Account Lockout Threshold Quy định sốlần cốgắng đăng nhập trước khi tài khoản bịkhóa 0 (tài khoản sẽkhông bịkhóa) Account Lockout Duration Quy định thời gian khóa tài khoản Là 0, nhưng nếu Account Lockout Threshold được thiết lập thì giá trịnày là 30 phút. Reset Account Lockout Counter After Quy định thời gian đếm lại sốlần đăng nhập không thành công Là 0, nhưng nếu Account Lockout Threshold được thiết lập thì giá trịnày là 30 phút. II. CHÍNH SÁCH CỤC BỘ. Chính sách cụcbộ(Local Policies) cho phép bạn thiếtlập các chính sách giám sát các đốitượng trên mạng nhưngười dùng và tài nguyên dùng chung. Đồng thờidựa vào công cụnày bạn có thểcấp quyềnhệthống cho các người dùng và thiếtlập các lựa chọnbảomật. II.1. Chính sách kiểm toán.Chính sách kiểm toán (Audit Policies) giúp bạn có thểgiám sát và ghi nhận các sựkiệnxảy ra trong hệthống, trên các đốitượng cũng nhưđốivới các người dùng. Bạn có thểxem các ghi nhận này thông qua công cụEvent Viewer, trong mục Security. Các lựa chọn trong chính sách kiểm toán: Audit Account Logon Events Audit Account Management Audit Directory Service Access Audit Logon Events Audit Object Access Audit Policy Change Audit privilege use Audit system event Kiểm toán những sựkiện khi tài khoản đăng nhập, hệthống sẽghi nhận khi người dùng logon, logoff hoặctạomộtkếtnốimạng Hệthống sẽghi nhận khi tài khoản người dùng hoặc nhóm có sựthay đổi thông tin hay các thao tác quản trịliên quan đến tài khoản người dùng. Ghi nhân việc truy cập các dịch vụthưmục Ghi nhân các sựkiện liên quan đến quá trình logon nhưthi hành một logon script hoặc truy cập đếnmột roaming profile. Ghi nhận việc truy cập các tập tin, thưmục, và máy tin. Ghi nhận các thay đổi trong chính sách kiểm toán Hệthống sẽghi nhậnlại khi bạnbạn thao tác quản trịtrên các quyền hệthống nhưcấp hoặc xóa quyềncủamột ai đó. Kiểm toán này theo dõi hoạt động của chương trình hay hệđiều hành. Hệthống sẽghi nhậnmỗi khi bạn khởi động lại máy hoặctắt máy. II.2. Quyềnhệthống của người dùng. Đốivớihệthống Windows Server 2003,bạn có hai cách cấp quyềnhệthống cho người dùng là: gia nhập tài khoản người dùng vào các nhóm tạosẵn(built-in) đểkếthừa quyền hoặcbạn dùng công cụUser Rights Assignment đểgán từng quyềnrờirạc cho người dùng. Cách thứnhấtbạn đã biếtsửdụng ởchương trước, chỉcần nhớcác quyềnhạncủatừng nhóm tạosẵn thì bạn có thểgán quyền cho người dùng theo yêu cầu. Đểcấp quyềnhệthống cho người dùng theo theo cách thứhai thì bạn phải dùng công cụLocal Security Policy (nếu máy bạn không phải Domain Controller) hoặc Domain Controller Security Policy (nếu máy bạn là Domain Controller). Trong hai công cụđóbạnmởmục Local Policy\ User Rights Assignment. Đểthêm, bớtmột quyềnhạn cho người dùng hoặc nhóm, bạn nhấp đôi chuột vào quyềnhạn được chọn, nó sẽxuất hiệnmộthộp thoại chứa danh sách người dùng và nhóm hiệntại đang có quyền này. Bạn có thểnhấp chuột vào nút Add đểthêm người dùng, nhóm vào danh sách hoặc nhấp chuột vào nút Remove đểxóa người dùng khỏi danh sách. Ví dụminh họa sau là bạncấp quyền thay đổi giờhệthống (change the system time) cho người dùng “Tuan”. Danh sách các quyềnhệthống cấp cho người dùng và nhóm: Access This Computer from the Network Act as Part of the Operating System Add Workstations to the Domain Back Up Files and Directories Bypass Traverse Checking Change the System Time Create a Pagefile Create a Token Object Create Permanent Shared Objects Cho phép người dùng truy cập máy tính thông qua mạng. Mặc định mọi người đều có quyền này. Cho phép các dịch vụchứng thực ởmức thấp chứng thựcvớibất kỳngười dùng nào. Cho phép người dùng thêm một tài khoản máy tính vào vùng. Cho phép người dùng sao lưudựphòng (backup) các tập tin và thưmụcbất chấp các tập tin và thưmục này người đó có quyền không. Cho phép người dùng duyệt qua cấu trúc thưmụcnếu người dùng không có quyền xem (list)nội dung thưmục này. Cho phép người dùng thay đổi giờhệthống của máy tính. Cho phép người dùng thay đổi kích thướccủa Page File. Cho phép một tiến trình tạomột thẻbài nếu tiến trình này dùng NTCreate Token API. Cho phép một tiến trình tạomột đốitượng thưmục thông qua Windows 2000 Object Manager. Cho phép người dùng gắnmột chương trình debug vào bấtkỳDebug Programs tiến trình nào. Deny Access to This Cho phép bạn khóa người dùng hoặc nhóm không được truy cập Computer from the Network đến các máy tính trên mạng.Cho phép bạn ngăncản những người dùng và nhóm được phép Deny Logon as a Batch File logon nhưmột batch file.Cho phép bạn ngăncản những người dùng và nhóm được phép Deny Logon as a Service logon nhưmột services.Cho phép bạn ngăncản những người dùng và nhóm truy cập đến Deny Logon Locally máy tính cụcbộ. Enable Computer and User Cho phép người dùng hoặc nhóm được ủy quyền cho ngườiAccounts to Be Trusted by dùng hoặcmột đốitượng máy tính. Delegation Force Shutdown Remote System from a Cho phép người dùng shut down hệthống từxa thông qua mạng Generate Security Audits Cho phép người dùng, nhóm hoặc một tiến trình tạo một entry vào Security log. Increase Quotas Cho phép người dùng điều khiển các hạn ngạch của các tiến trình. Quy định một tiến trình có thểtăng hoặc giảm độưu tiên đã đượcIncrease Scheduling Priority gán cho tiến trình khác. Load and Unload Device Cho phép người dùng có thểcài đặt hoặcgỡbỏcác driver của Drivers các thiếtbị. Lock Pages in Memory Khóa trang trong vùng nhớ.Cho phép một tiến trình logon vào hệthống và thi hành mộttập Log On as a Batch Job tin chứa các lệnh hệthống. Log On as a Service Cho phép mộtdịch vụlogon và thi hành mộtdịch vụriêng. Log On Locally Cho phép người dùng logon tại máy tính Server. Manage Auditing and Cho phép người dùng quản lý Security log. Security Log Cho phép người dùng giám sát các tiến trình bình thường thông Profile Single Process [...]... III.3.1 Các chính sách IPSec tạosẵn Trong khung cửas chính của công cụcấu hình IPSec, bên phải chúng ta thấy xuất hiện ba chính sách đượctạosẵn tên là: Client, Server và Secure.Cảba chính sách này đều ởtrạng thái chưa áp dụng (assigned) Nhưng chú ý ngay cùng một thời điểm thì chỉcó thểcó một chính sách được áp dụng và hoạt động, có nghĩa là khi bạn áp dụng một chính sách mới thì chính sách đang hoạt... the key exchange và nhập chuỗi làm khóa đểmã hóa d liệu vào, trong ví dụnày là “quantri” Đếnbước này thì công việc thiếtlập chính sách IPSec theo yêu cầu trên củabạn đã hoàn thành, trong khung củas chính của công cụDomain Controller Security Policy, bạn nhấp phải chuột lên chính sách First IPSec và chọn Assign đ chính sách này được hoạt động trên h thống Server ... không hoạt động Sau đây chúng ta sẽkhảo sát chi tiết ba chính sách tạo sẵn này -Client (Respond Only): chính sách qui định máy tính củabạn không chủđộng dùng IPSec trừkhi nhận được yêu cầu dùng IPSec từmáy đối tác Chính sách này cho phép bạn có thểkếtnối đượccảvới các máy tính dùng IPSec hoặc không dùng IPSec -Server (Request Security): chính sách này qui định máy server củabạn chủđộng cốgắng khởi... Security): chính sách này qui định không cho phép bấtkỳcuộc trao đổi d liệu nào với Server hiệntại mà không dùng IPSec III.3.2 Ví dụtạo chính sách IPSec đảmbảomộtkếtnối được mã hóa Trong phần này chúng ta bắt tay vào thiếtlậpmột chính sách IPSec nhằm đảmbảomộtkếtnối được mã hóa giữa hai máy tính Chúng ta có hai máy tính, máy A có địa chỉ203.162.100.1 và máy B có địa chỉ203.162.100.2 Chúng ta sẽthiếtlập chính. .. là “mã hóa d liệu III.1 Các tác động bảomật.IPSec của Microsoft hỗtrợbốn loại tác động (action)bảomật, các tác động bảomật này giúp hệ thống có thểthiếtlập những cuộc trao đổi thông tin giữa các máy được an toàn Danh sách các tácđộng bảomật trong h thống Windows Server 2003 nhưsau: -Block transmissons: có chứcnăng ngăn chận những gói d liệu được truyền, ví dụbạn muốn IPSec ngăn chậnd liệu truyềntừmáy... Chúng ta sẽthiếtlập chính sách IPSec trên mỗi máy thêm hai qui tắc(rule), trừhai qui tắccủah thống gồm: một qui tắc áp dụng cho d liệu truyền vào máy và một qui tắc áp dụng cho d liệu truyền ra khỏi máy Ví dụqui tắc đầu tiên trên máy A bao gồm: -Bộlọc (filter): kích hoạt qui tắc này khi có d liệu truyền đến địa chỉ203.162.100.1, qua bấtkỳcổng nào -Tác động bảomật(action): mã hóa d liệu đó -Chứng thực: chìa... phương pháp này là h thống sẽthêm một bit vào cuốimỗi gói d liệu truyền qua mạng, từđó chúng ta có thểkiểm tra xem d liệu có bịthay đổi khi truyền hay không -Permit transmissions: có chứcnăng là cho phép d liệu được truyền qua, chúng dùng đểtạo ra các qui tắc(rule)hạn chếmộtsốđiều và không hạn chếmộtsốđiều khác Ví dụmột qui tắcdạng này “Hãy ngăn chặntấtcảnhững d liệu truyềntới, chỉtrừd liệu truyền trên... Policies on Local Machine Tóm lại, các điều mà bạncần nhớkhi triển khai IPSec: -Bạn triển khai IPSec trên Windows Server 2003 thông qua các chính sách, trên một máy tính bấtkỳnào đó vào tạimột thời điểm thì chỉcó một chính sách IPSec được hoạt động -Mỗi chính sách IPSec gồmmột hoặc nhiều qui tắc(rule) và một phương pháp chứng thực nào đó.Mặc dù các qui tắc permit và block không dùng đến chứng thực... phép người dùng đồng bộdữliệuvớimộtdịch vụthưmục Service Data Take Ownership of Files or Cho người dùng tước quyềnsởhữucủamột đốitượng h thống Other Objects II.3 Các lựa chọnbảomật Các lựa chọnbảomật(Security Options) cho phép người quản trịServer khai báo thêm các thông sốnhằmtăng tính bảomật cho h thống như: không cho phép hiển thịngười dùng đã logon trước đó hay đổi tên tài khoản người dùng tạosẵn(administrator,... người dùng shutdown h thống mà không cần logon Audit : audit the access of global system objects Giám sát việc truy cập các đối tượng h thống toàn cục Network security: force logoff when logon hours expires Tựđộng logoff khỏi h thống khi người dùng hết thời gian sửdụng hoặc tài khoản hết hạn Interactive logon: do not require CTRL+ALT+DEL Không yêu cầu ấn ba phím CTRL+ALT+DEL khi logon Interactive logon: . thức v chính sách mật khẩu, chính sách khóa tài khoản nguời dùng, quyền h thống của người dùng, IPSec … I. Chính sách tài khoản người dùng. II. Chính sách. Bài 11 CHÍNH SÁCH HỆTHỐNG Tóm tắt Lý thuyết 5 tiết -Thực hành 6 tiết Mục tiêu Các mục chính Bài tập bắt Bài tập làm buộc thêm Kết thúc bài học