TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN
KHOA ĐIỆN TỬ - VIỄN THÔNG
Chương 04
CHÍNH SÁCH HỆ THỐNGCHÍNH SÁCH HỆ THỐNG
CHÍNH SÁCH HỆ THỐNGCHÍNH SÁCH HỆ THỐNG
 Chính sách tài khoản người dùng
 Chính sách cục bộ

IP Security (IPSec)
2/47

IP Security (IPSec)
Chính sách tài khoản người dùngChính sách tài khoản người dùng
 Account Policy: được dùng để chỉ định các thông số về tài
khoản người dùng khi tiến trình logon xảy ra
3/47
Chính sách tài khoản người dùng (t.t)Chính sách tài khoản người dùng (t.t)
 Chính sách mật khẩu (Password Policies)
 Password Policies nhằm đảm bảo an toàn cho tài khoản
của người dùng.
 Password Policies cho phép qui định độ dài, độ phức tạp
c
ủ
a m
ậ
t kh
ẩ
u
4/47
c
ủ

a m
ậ
t kh
ẩ
u
Chính sách mật khẩu (t.t)Chính sách mật khẩu (t.t)
 Các chính sách mật khẩu mặc định
Chính sách
Mô tả Mặc định
Enforce Password History
Số lần mật khẩu không được trùng
nhau
24
Maximum Password Age
S
ố
ng
à
y
nhi
ề
u
nh
ấ
t
m
à
m
ậ
t

kh
ẩ
u
42
5/47
Maximum Password Age
S
ố
ng
à
y
nhi
ề
u
nh
ấ
t
m
à
m
ậ
t
kh
ẩ
u
người dùng có hiệu lực
42
Minimum Password Age
Quy số ngày tối thiểu trước khi người
dùng có thể thay đổi mật mã.

1
Minimum Password Length
Chiều dài ngắn nhất của mật mã
7
Passwords Must Meet
Complexity Requirements
Mật khẩu phải có độ phức tạp như: có
ký tự hoa, thường, có ký số.
Cho phép
Store Password Using
Reversible Encryption for
All Users in the Domain
Mật mã người dùng được lưu dưới
dạng mã hóa
Không cho
phép
Chính sách tài khoản người dùng (t.t)Chính sách tài khoản người dùng (t.t)
 Chính sách khoá tài khoản (Account Lockout Policy)
 Account Lockout Policy quy định cách thức và thời điểm khoá tài
khoản
 Chính sách này hạn chế tấn công thông qua hình thức logon từ xa
6/47
Chính sách khoá tài khoản (t.t)Chính sách khoá tài khoản (t.t)
 Các chính sách khoá tài khoản mặc định
Chính sách
Mô tả Giá trị mặc định
Account Lockout
Quy đ
ị
nh s

ố
l
ầ
n c
ố
g
ắ
ng
0 (tài kho
ả
n s
ẽ
không b
ị
khóa)
7/47
Account Lockout
Threshold
Quy đ
ị
nh s
ố
l
ầ
n c
ố
g
ắ
ng
đăng nhập trước khi tài

khoản bị khóa
0 (tài kho
ả
n s
ẽ
không b
ị
khóa)
Account Lockout
Duration
Quy định thời gian khóa tài
khoản
Là 0, nhưng nếu Account
Lockout Threshold được thiết
lập thì giá trị này là 30 phút
Reset Account
Lockout Counter
After
Quy định thời gian đếm lại
số lần đăng nhập không
thành công
Là 0, nhưng nếu Account
Lockout Threshold được thiết
lập thì giá trị này là 30 phút
Chính sách cục bộChính sách cục bộ
 Local Policies: cho phép thiết lập các chính sách giám sát
các đối tượng trên mạng cấp quyền hệ thống cho người dùng
và các lựa chọn người dùng
 Chính sách kiểm toán (Audit Policies) giúp giám sát và ghi nhận các
sự kiện diễn ra trong hệ thống

8/47
Chính sách kiểm toánChính sách kiểm toán
 Các lựa chọn trong chính sách kiểm toán
Chính sách
Mô tả
Audit Account Logon
Events
Kiểm toán những sự kiện khi tài khoản đăng nhập, hệ thống
sẽ ghi nhận khi người dùng logon, logoff hoặc tạo một kết
nối mạng
Audit Account
H
ệ
th
ố
ng s
ẽ
ghi nh
ậ
n khi tài kho
ả
n ng
ườ
i dùng ho
ặ
c nhóm có
9/47
Audit Account
Management
H

ệ
th
ố
ng s
ẽ
ghi nh
ậ
n khi tài kho
ả
n ng
ườ
i dùng ho
ặ
c nhóm có
sự thay đổi thông tin hay các thao tác quản trị liên quan
đến tài khoản người dùng
Audit Directory
Service Access
Ghi nhận việc truy cập các dịch vụ thư mục
Audit Logon Events
Ghi nhận các sự kiện liên quan đến quá trình logon như thi
hành một logon script hoặc truy cập đến một roaming
profile
Audit Object Access
Ghi nhận việc truy cập các tập tin, thư mục, và máy in
Audit Policy Change
Ghi nhận các thay đổi trong chính sách kiểm toán
Chính sách kiểm toánChính sách kiểm toán
 Các lựa chọn trong chính sách kiểm toán (t.t)
Chính sách

Mô tả
Audit privilege use
Hệ thống sẽ ghi nhận lại khi bạn bạn thao tác quản trị trên
các quyền hệ thống như cấp hoặc xóa quyền của một ai đó
10/47
Audit process
tracking
Kiểm toán này theo dõi hoạt động của chương trình hay hệ
điều hành
Audit system event
Hệ thống sẽ ghi nhận mỗi khi bạn khởi động lại máy hoặc tắt
máy
Chính sách cục bộChính sách cục bộ
 Quyền hệ thống của người dùng (User Rights
Assignment)
11/47
Quyền hệ thống của người dùngQuyền hệ thống của người dùng
 Một số quyền hệ thống cho người dùng và nhóm
Quyền Mô tả
Access This Computer
from the Network
Cho phép người dùng truy cập máy tính thông qua
mạng. Mặc định mọi người đều có quyền này.
Allow log on locally
Cho phép người dùng đăng nhập cục bộ vào server
12/47
Bypass Traverse Checking
Cho phép người dùng duyệt qua cấu trúc thư mục nếu
người dùng không có quyền xem (list) nội dung thư
mục này.

Back Up Files and
Directories
Cho phép người dùng sao lưu dự phòng (backup) các
tập tin và thư mục bất chấp các tập tin và thư mục
này người đó có quyền không.
Change the System Time
Cho phép người dùng thay đổi giờ hệ thống của máy
tính.
Deny Access to This
Computer from the
Network
Cho phép bạn khóa người dùng hoặc nhóm không
được truy cập đến các máy tính trên mạng.
Quyền hệ thống của người dùngQuyền hệ thống của người dùng
 Một số quyền hệ thống cho người dùng và nhóm (t.t)
Quyền Mô tả
Deny Logon Locally
Cho phép bạn ngăn cản những người dùng và nhóm
truy cập đến máy tính cục bộ.
Load and unload device
Cho phép ng
ườ
i dùng cài đ
ặ
t ho
ặ
c g
ở
b
ỏ

driver c
ủ
a
13/47
Load and unload device
drivers
Cho phép ng
ườ
i dùng cài đ
ặ
t ho
ặ
c g
ở
b
ỏ
driver c
ủ
a
thiết bị
Restore Files and
Directories
Cho phép người dùng phục hồi tập tin và thư mục, bất
chấp người dùng này có quyền trên file và thư mục
này hay không.
Shut Down the System
Cho phép người dùng shut down cục bộ máy Windows
2003.
Take Ownership of Files or
Other Objects

Cho người dùng tước quyền sở hữu của một đối tượng
hệ thống.
Chính sách cục bộChính sách cục bộ
 Các lựa chọn bảo mật (Security Options)
14/47
Các lựa chọn bảo mậtCác lựa chọn bảo mật
 Các lựa chọn bảo mật thông dụng
Tên lựa chọn Mô tả
Shutdown: allow system to be shut
down without having to log on
Cho phép người dùng shutdown hệ thống
mà không cần logon.
Audit : audit the access of global
system objects
Giám sát việc truy cập các đối tượng hệ
thống toàn cục.
Network security: force logoff when
T
ự
đ
ộ
ng log off kh
ỏ
i h
ệ
th
ố
ng khi ng
ườ
i

15/47
Network security: force logoff when
logon hours expires.
T
ự
đ
ộ
ng log off kh
ỏ
i h
ệ
th
ố
ng khi ng
ườ
i
dùng hết thời gian sử dụng hoặc tài
khoản hết hạn.
Interactive logon: do not require
CTRL+ALT+DEL
Không yêu cầu ấn ba phím
CTRL+ALT+DEL khi logon.
Interactive logon: do not display last
user name
Không hiển thị tên người dùng đã logon
trên hộp thoại Logon.
Account: rename administrator account
Cho phép đổi tên tài khoản
Administrator thành tên mới
Account: rename guest account

Cho phép đổi tên tài khoản Guest thành
tên mới
IP Security (IPSec)IP Security (IPSec)
 IP Security là giao thức hỗ trợ các kết
nối an toàn dựa trên IP.

IPSec là ho
ạ
t đ
ộ
ng
ở
t
ầ
ng th
ứ
3
16/47

IPSec là ho
ạ
t đ
ộ
ng
ở
t
ầ
ng th
ứ
3

(Network)
 IPSec hoat động dựa trên các qui tắc
(rule) bao gồm các bộ lọc (filter) và các
tác động (action)
IP Security (IPSec)IP Security (IPSec)
 Các tác động bảo mật
 Block transmissons: ngăn chặn những gói tin được
truyền

Encrypt transmissions: mã hoá nh
ữ
ng gói tin tr
ướ
c
17/47

Encrypt transmissions: mã hoá nh
ữ
ng gói tin tr
ướ
c
khi truyền nhằm chống nghe trộm dữ liệu
 Sign transmissions: cho phép ký tên vào dữ liệu
trước khi truyền nhằm tránh kẻ tấn công giả dạng
những gói dữ liệu truyền
 Permit transmissions: Cho phép dữ liệu đường
truyền qua
IP Security (IPSec)IP Security (IPSec)
 Các bộ lọc (Filter) IPSec
 Filter dùng để thống kê các điều kiện để thực hiện

các hoạt động.

Gi
ớ
i h
ạ
n t
ầ
m tác d
ụ
ng c
ủ
a các tác đ
ộ
ng lên m
ộ
t
18/47

Gi
ớ
i h
ạ
n t
ầ
m tác d
ụ
ng c
ủ
a các tác đ

ộ
ng lên m
ộ
t
phạm vi máy tính nào đó.
 Bộ lọc IPSec dựa trên các yếu tố:
 ðịa chỉ IP, subnet hoặc tên DNS của máy nguồn.
 ðịa chỉ IP, subnet hoặc tên DNS của máy đích.
 Theo số hiệu cổng (port) và kiểu cổng (TCP, UDP, ICMP)
IP Security (IPSec)IP Security (IPSec)
 Triển khai IPSec trên Windows Server 2003
19/47
Triển khai IPSec trên Windows Server
2003
Triển khai IPSec trên Windows Server
2003
 Các chính sách IPSec tạo sẵn:
 Client (Respond Only): Qui định máy Client không
chủ động dùng IPSec trừ khi có yêu cầu IPSec từ
máy Sever.
Server (Request Security): Chính sách này qui đ
nh
20/47

Server (Request Security): Chính sách này qui đ
ị
nh
máy sever cố gắng yêu cầu IPSec khi thiết lập đến
máy khác. Nhưng nếu Client không cấu hình IPSec
thì Server vẫn chấp nhận

 Secure Server (Require Security): bắc buộc phải có
chính sách IPSec khi thực hiện trao đổi dữ liệu với
Sever
IP Security (IPSec)IP Security (IPSec)
 Các điều cần nhớ khi triển khai IPSec
 Trên một máy tính bất kỳ tại một thời điểm
chỉ có một chính sách IPSec hoạt động
M
i chính sách có nhi
u qui t
c Rule
21/47

M
ỗ
i chính sách có nhi
ề
u qui t
ắ
c Rule
 Mỗi Rule có nhiều bộ lọc Filter và nhiều các
tác động bảo mật
 Có 4 tác động mà qui tắc có thể dùng :
Block, Encrypt, Sign và permit
Triển khai IPSec trên Windows Server
2003
Triển khai IPSec trên Windows Server
2003
 Ví dụ: Tạo IPSec đảm bảo một kết nối được
mã hoá

(Xem Demo)
22/47
Câu hỏi và giải đápCâu hỏi và giải đáp
23/47