ĐẠI HỌC QUỐC GIA HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC KINH TẾ- LUẬT
KHOA TIN HỌC QUẢN LÝ
MÔN: AN TOÀN VÀ BẢO MẬT HỆ THỐNG THÔNG TIN
ĐỀ TÀI: TÌM HIỂU GROUP POLICY EDITOR TRONG WIN 7
GVHD: Trương Hoài Phan
Lớp: K09406
Danh sách nhóm 7.1
1.
2.
3.
4. !"#$%&&
5. '()*+
Thành phố Hồ Chí Minh tháng 11 năm 2014
MỤC LỤC
TÌM HIỂU VỀ LOCAL GROUP POLICY EDITOR TRONG WIN 7
I. Giới thiệu chung:
2
Trong trường hợp dùng chung máy tính hoặc theo quy định từng doanh nghiệp,
người quản trị chỉ cho phép từng người dùng cuối sử dụng một số ứng dụng cụ thể.
,% /012&#'342256578749-:;<7=7>;)00!?);
!00!@;5A'%#5;.
'7>;7B98C78$7D7"@E"F;2G0H-I"@0J;?!E"F;
2IK-I"@;L2IK<"?);!EMNE485:2>%7$;;D
"@;L!OP<K5Q;?R5D0!E<8!-:NM8S"@N$;T;;$9
489-:-UOOOV2G0H8C7%(88W0H!E<7'8$7D;L8R?!?XE
E"F;EY7'5!5!82E=Z;Y[2G0H\
1. Group Policy]
!8C7;M;H;<2^7'/012;;X%;;$;!_.7'8:;$;;$;
7W;E=7'=N;$;;D2$;9%(88OOO7M_;$;scriptY;;$;0`5)
;<2^;LWindowsO
aE902G0H8$7DI0:localT8$'5bVNM2G0H7'8M7'"@
network T8:V;Q7;cN7$;8C72S7DZ;<2^8!Group Policy
85:;"@0JO
2. Sử dụng Group Policy:
a. Khởi động Group Policy :
d!RunTWindows+RV90`5)gpedit.msc
dLocal Policy;<%(5!Computer Policy?!User ConfigurationOPQ7;c7B7
5e%I%(User ConfigurationO
dAdministrative TemplateT;$;NM8f0J;<2^0JE=_.7'8!/012
Eg7B75e%2^;"@0J02G0H97?R%.?B7;$;E:2;'%72VOP5;N?!
0X;CE=8IO
OWindows Components]7B75e%;$;7Eh;;$;W0H7)D;7'/012O
OStart Menu & Taskbar]B75e%;$;7Eh;7>;Eij7'7k72N-'O
ODesktop, Control Panel, Share Folder, Networks, SystemsOOOOO
3
b. Cách sử dụng:
5!;$;NM8f;<2^l8Q%"@0J7B75e%;$;7Eh8C7;$;0
0!7M_m7J;[]Not ConfiguratedTNM;XRV9Enabled TND;:7V9
DisabledT?M)$VO
Vd:n:;5;N;C7?!Start Menu & TaskbarE=7B75e%;$;7EhIStart MenuO
PG2h-%.2o)';$;Templates9p-54;5;NRemove MyDocument icon
from Start MenuTAq-r-=7"FMy Document'NrQ7StartVOP[EnableE=
ND; :7O X Ok E= ! 7X7O I 5: Q7 Start E= N=8 7' NB7 _.O
II. Đặc điểm mới của policy trong win 7so với win Vista:
1. A,7)
4
# -47?,;$;7DZ("!7X7;L/012&EgE"F;;'237
%$7!(EOKREgE"F;7Eh2o."I"7B!ES?,)E
!?!?XE 8e78:stE9<87M2o7e%7'8C7;$;;7B7?!K
7Eh?8Y70)_.5u 8e79K7Eh?624'v;;7P7'59
K;ES?,n7;N4'9?K7DZ8,"v%%;N4'?!n847';
w'841'NO
2. XE%$727' 8e7;L27
DZ8g<hExn7;N4'0'?49;$;EN=;9%(88;S851'4
ENU8T/012p43404'V?!K;.7B7'/0123'41559p7#'4?47
yz4;7Tpy#V9{y?,;BEC ?)9 ?)0;?H?!;$;7DZ_.5u2S9
;X% 5 P'%7 v#{9 471'N v;;422 #'74;7 Tv#V ;5479 K ;. 7) ?
y;'%7w54j2748TywjV9;$;;D2$;:;B%(88?!8C75:7;$;
;? 8e7E"F;,7)7'27Oj4'?;4#;NEgE"F;78?!8C72S;$;
;.7);<5_EB 8e79;|:"7}8En7;N4'9-C7:2S.
f~088-4'A44'7'T~AV;E"F;7B7NB5:?);Nu;$;354
~4874p42N7%#'7;5T~p#V9•
Y;0J?etính năng bảo mật mà hầu hết người dùng thông báo là User Account
Control (UAC), tính năng dành cho tất cả các tài khoản người dùng, gồm có các tài
khoản quản trị, chạy trong chế độ người dùng chuẩn (standard user) một cách mặc
định và yêu cầu nâng quyền khi cần đến các đặc quyền cao hơnOBản tính của UAC
cùng với tính năng bảo vệ máy trạm Secure Desktop nhằm ngăn chặn malware truy
cập vào máy tính của bạn bằng các nhắc nhở về quyền quản trị nhưng cũng làm bực
mình khi chúng xuất hiện quá nhiều và trở thành một sự hạn chế cho Vista.
$;7W;EY7';<8/012&5!5!87B!E=)E!!E"F;7!
i277'NE<2> 8e77r'€7'2S7•iES?,"@0JO
3. j4;'7P474'?!v;7P474'
j4;'7P474'97';e%7M_P7'5#45?!0>E;;X%8C75;77e%
7'E=_.5u;$;7B75e%;<5_EB 8e79EgE"F;,7)7'
/012#j#?!7B%7H;7'27OVới Windows 7, sự tập trung này mang tính
cao hơn. Security Center bị loại bỏ và một Action Center được sử dụng để thay thế
cho nó.
5
R]v;7P474'7e%7')8?H_.7'87D 8e7
4. P$;7B75e%6vP5:7i
'279-:;<7=?M)<6vP7M_A'%#5;97ENM
%.5!8C7.%$%K)?R<-r8Y;-:?!7:5‚h;Nb7X;MN7$;O
Trong Windows 7, bạn có thể thiết lập UAC để nâng quyền mà không cần nhắc nhở,
đây là một ý tưởng được phát triển hơn. Các phiên bản Home của Vista không có bộ
soạn thảo Group Policy chính vì vậy rất khó khăn cho bạn trong việc chỉnh sửa
registry để thực hiện thiết lập UAC. Microsoft đã cải tiến và làm cho nó trở nên dễ
dàng hơn nhiều trong việc điều khiển hành vi của UAC trong Windows 7.
"u]
P$;_.7'?P2o-,7;Z7|7'?);-B7"@0J2oNM7=7
Eh;$;7B75e%6vP7'ƒN[;<;$;EY;__.7'?O
'%(%45-7'$;Lv;7P474'9;<8C77J;[87624'v;;7
P7'5j4772O!?„;I;L6vPE"F;E;c7M_8C72504'-'
?,-S?7'D;<7=5>;[]
d v51273]n:2oeE"F;;$;„;I;L6vPN;!EY7%(88
Y;7>;);$;7EhES?,)7SO
d 73…5/4#''82'7N4P42]n:2oeE"F;;$;„;
IB8C7;"i7'R!E<;(;$;EY;_;972o
NMN-:7>;);$;7EhES?,;$;7B75e%;L/012T8Y;
EVO
6
d 73…5/4#''82'7N4P42Tp7p874p42N7%V]
AS"8Y;E:7ƒj4;'4p42N7%-?M)<7'N„;IO
d 4?4'73]ME"F;„;IN7Eh;$;7B75e%/012Y;N
;!EY7%(888,TNME"F;7B;G2G0HV
R]C72504'-';%†%-:EN=6vP„;I-:"7B!7'
/012&
5. j>;7'n7;N4'
n7;N4'98C72.%}8;<7'27% y74'%'24?!6578749;%†%8g
<7!-C;$;%?J-lvyj92G0H'2740#573'8054T#V;%;<
7'8C72S8$7DY;6jnN4ODZ!l8Z;Y?);NIEC?!
)E!Y;7';e%0K5)EgE"F;8g<8C7;$;7'$%†%T;?D0H9?);;!
EY78C727;4N$;;L)E!?!NIEC7'E<VO<5!8C7;M;H'X7
K0H;;$;)7S0EC?R;i8X70K5)5,iO
'279n7;N4'-E(;cE"F;2G0HE=8g<%?J8!IE<)E
!E"F;;!EY7Oj4'?;4#;N;<-h2787DZ8g<%?JEx
;SE97-:NM7=2G0H<E=8g<;$;hEx!O
Trong Windows 7, BitLocker đã có những cải tiến nâng cao để hỗ trợ mã hóa cho
các ổ đĩa ngoài và các thiết bị nhớ flash. Tính năng này hiện được mang tên
7
“BitLocker to Go”. Đây là một tính năng được rất nhiều nhiều công ty chờ đợi vì
lưu trữ các dữ liệu nhạy cảm trên các USB key đang dần trở nên phổ biến.
"u]
n:;;<7=2G0H8C7;D2$;;(;;$;7B7-!;<2> ?)
n7;N4'7'",;N"@0J0K5)?!;QO
n7;N4'E"F;_.5u7M_8C7%%5477'P7'5#459z487=)7'
RO
R]'/012&9-:;<7=2G0H8g<n7;N4'9'48?4;$;hEx;
"3z;QO
n:;<7=;[;$;2G0H8C78e7N}!E<E=8IEx9Y;;<7=2G0H7b
7M8R?!#{9z487=)7'RO
8
R]8g<8C7Ex-ln7;N4'9-:;<7=2G0H8e7N}Y;7b7M
8E=8I{74'47
n:;;<7=7B75e%8C7N<NM%H;E=;<7=8I7B7-;L8RB_
8X78e7N}O<NM%H;;<7=E"F;5"?!354Y;E"F;Y;5"?!8C7
?J7!!E<TY;;.VO<;<7=E"F;7>;)8C7;$;;<9%H
7C;?!ND;7",;;LhExO7>;)2o;<8C77-'7=)7B7'RE"F;
7>;)"7'RO
R]-'_$7'RQ%-:„8E"F;7M77'7B7'R8g<
9
v%%;N4'
Windows 7 còn có một chốt chặn khác đó là AppLocker, đây là một tính năng
mới của Group Policy. Tính năng mới này cho phép các quản trị viên có thể điều
khiển các phiên bản của các ứng dụng mà người dùng có thể cài đặt và sử dụng.
Điều này làm cho bạn hoàn toàn có thể ngăn chặn người dùng cài đặt và chạy các
phiên bản của các ứng dụng cũ hơn có chứa các lỗ hổng về bảo mật.
P$;7'% 7'",;E;L/012;<2G0Hj371'4~427';7
#5;42 E= E N= ;"i 7'R ! 8! "@ 0J ;< 7= ;:O
v%%;N4'Eg;.7)E="@0J;XR8C7;$;00!i7M_-N=
'54]#79w542?!#-524'O~54#-524'77B;P4'73;74~5427'
j~#?!;%†%-:;<78N.Z5:7?!7J;[OPQ;N<
NZiE=;<7=-E$5ƒO
w'841'N27'„;[;Tn847';w'841'NV
'279B8S2G0HEZe%74?79-:%.2G0H%(88
E"F;;;X%-Ig242'e0:?7OMột tính năng mới trong Windows
7 là Biometric Framework có thể cung cấp sự hỗ trợ một cách bẩm sinh cho các
thiết bị hỗ trợ dấu vân tay và làm cho các chuyên gia phát triển trở nên dễ dàng hơn
khi đặt vấn đề bảo mật sinh trắc học vào các ứng dụng của họ. Bạn sẽ thấy một
applet mới trong Control Panel có tên gọi Biometric Devices được sử dụng để quản
lý dấu vân tayO
R]n:;<7=_.5u;$;7B7-27'„;[;7M_P7'5#45
P$;7B75e%;<7=E"F;E;cE=;%†%"@0JEZe%?!/012
Y;?!8-l7M_;$;7B7-27'„;[;O
"u]
10
Q;!9;$;-C;$;-B?7);c5!;$;7B7-27'„;[E"F;‚7'F-I
/012n847';w'841'NO
/012n847';j4'?;4T/njV5!8C7%(l87'3'841'N;%†%_.5u
;$;-CE[;0X?7?!7>;)"8C7{‡…%'zK;$;W0HN$;?!7B7
-27'„;[;9;D?R?e;$;W0HNM7=7';e%7'>;7B%?!0K5)2
7'„;[;OƒE< ?)"@0J8C7;$;7!iO
11
III. Một số tính năng bảo mật của Group Policy
1. Account Policies:
B75e%;$;;D2$;;7!N.
OPassword Policies:
nˆ8;$;;D2$;5_EB8e7N}7!N.;L"@2G0H7!
N.7'8$O
‰y3';4%221'027']
12
,K"@2G0H;<NM;<7<_4,8e7N}9N-C;
%.7Eh8e7N}7R[?f0J;D8e7N};E=7;8e7N}8,9
E!5!8C7NoI5,5_7'>;7B%EB?);5C8e7N}OThiết lập này bắt
buộc một mật khẩu mới không được giống bất kỳ một số mật khẩu nào đó do ta
quyết định. Có giá trị từ 0 đến 24 mật khẩu.
‰z88%221'04]
13
@7SE8e7N};`)5>;927@!)7S2o;(7
7Eh8e7N}O);7Eh8e7N}ENŠl8;EC7!;7!
N.9?R8C7NbzX;<7=740K7<_4;L-:97ƒE<;<7=7R8'8e7
N}8C7;$;00!OjS$7'7ƒEB!OA$7'8Y;E5!O
‰88%221'04]
$;E7@7S7=7'",;N;<7=7Eh8e7N}OB77@!
-:8,;<7=7Eh8e7N};L7!N.9Y;-:;<7=7Eh5e%7W;
-l;$;7B75e%$7'5! O A$ 7' 7ƒ EB !O Bạn cần thiết lập
“Minimum password age” lớn hơn không nếu bạn muốn chính sách “Enforce
password history” có hiệu quả, vì người sử dụng có thể thiết lập lại mật khẩu
nhiều lần theo chu kỳ để họ có thể sử dụng lại mật khẩu cũ.
‰88%221'0547]
14
C0!r7S7=;.8e7N}7!N.OTD-l2SNu7>e%?!VO C0!
;L8e7N};<$7'7ƒEBNu7>OB75e%$7'5!NMB-:NM2G
0H8e7N}OA$7'8Y;E5!O
‰#221'08278447;8%54z7'4_'48472]*B7EEC%W;7:%;L8e7
N}OB7DZ!;<)5>;Oe7N};L7!N!D7X7%.E:7K
;(2]
d M ;W 7X7 ;. Y; 8C7 %( 7 7! N. "@ 0J
d C0!rX75!Nu7>
dPW7ƒmY;5:Nu7>2]P$;;K;$7"@Td‹ŒV9;$;;K;$Tv
d‹ŒV9P$;;K2STd‹V?!;$;Nu7>EY;-)7O
C%W;7:%;L8e7N}E"F;;5!-„7-C;N7:8,Y;7Eh8e7N}O
8Y;E]p2-54O
15
‰j7'4%221'02'4?4'2-544;'%73'5524'27408]
"7'K8e7N}2G0H8g<"F;;7X7;.;$;"@2G0H08OD
Z;;X%2>‚7'F;;$;W0H2G0H7W;9<;(2>8=?
8e7N};L"@2G0HO);5"7'K8e7N}2G0H%"i%$%8g<
"i;7>;;X7S"?);5"7'K;$;?Z 8g<;L7M7 ?)8e7
N}OY;E]p2-54O
b. Acount lockout Policy:
‰v;;75;N70'7]
16
$;E2S%Q7;`2N7!N.E"F;N<7'",;N?);8IN<E"i;
7>;)OP<$7'7ƒEBO%Q7OP<7=7B75e%$7'BNM8S
?);7>EC65;NOY;ENM;<)5>;?R;D2$;!;c;<N;D
2$;€v;;75;N77'4250•E"F;7B75e%O
‰v;;75;N77'4250]
$;E2S5(;S„EZe%"NM7!;MO'7'"@F%!
v;72o-N<O);8IN<;c;<7=7>;)-I"@_.7'Y;%.EF
EBN7@:N<7)5>;OP<7=7B75e%$7';2S5(EZe%27ƒ
EBO'7'"@F%7B75e%$7'9;;72oNM-N<O
‰~4247;;75;N7;74'374']
B75e%5:2S5(;S„EZe%?28C7N.7@_EO
B75e%!;c;<)5>;N€v;;75;N77'4250•E"F;7B75e%O
2. Local Policies:
17
P$;;D2$;;H;-C]
User rights Assignment]•E_;"@2G0HO*;L"@2G
0HIE-ˆ8;$;_7';e%9_-;N%0K5)97Eh7@;L
)7S•'%(!9E=;XR;8C78H;!E<-:;<7=$EQ%
;C758H;E<?!XQ7v0024'''%E=7'_;24'Y;A'%
!-:8SO
18
‰v;;42272;8%74'3'874471'N],KNb7`8`97[;8:;7R7:2
;Q75:%.;%†%;Q7';e%?!8$7D;L8RO,7B75e%!
-:;<7=7u789-,7_7';e%?!8$;-X7;W7!N.Y;<8
!O
19
‰v;72%'7374%4'722748]PD2$;!;cE7!N.!2o
E"F;%†%:7EC"8C7%(;L)7SOY;E97!N.v827'7';<
_;X79;<7=7Eh-X7NŠ7B75e%!;L)7S9E"F;z$;e"
-X7NŠ8C7"@0J!9?R7B;<7=2G0H7!)7S"-X7NŠ
"@0J!OPc;<K0;?H;W7>;I8W;7X%8,;(EY;_
!O
‰v001'N2772708]B88C77!N.Y;<8?!8OPD
2$;!;c:7EC7')7S2G0Hp8P7'554'OE"F;78?!
897!N!!2o;<78;$;_:7EC7'0;?H7"8H;Tv;7?4
p'4;7'V9;<7=7';e%7!8:"8C77!?7'p8O
‰v0Ž27848'_723'%';422]PcEKE"F;%†%E;c;c
7-C,0!;8C7_$7'RzG5uOPD2$;!7;<5!87Z)2X7
;L)7S"<;<7=-5:80HE=%H;?H;K8H;ED;zX"7X
;M7ƒ;M0;?HpjTp53j4?;42VO
20
‰v55157'4'85j4'?;42]4'85j4'?;425!8C70;?H;
%†%;Q7EZe%7ƒzEB8$7DOPD2$;!2o_B7EQ%;Q
7KE"F;%†%2G0H0;?H4'85E=EZe%?!)7SO
‰n;N%354200'4;7'42]"i7>";$;;D2$;7'9IE2o;X%%†%
;K2o;<_-;N%0K5)O
21
‰P47422748784]P%†%"@2G0H!;<_7Eh7@
;.)7SO
‰P'4745-5-Ž4;72]PX%_;K;<7=7:';$;ES7"F0J
;
‰w';427013'8'487422748]P%†%K;<_7„78$_
)7SEN=7ƒzO
22
‰j7017422748]P%†%;<_j7018$O
!;`'X7;D2$;N$;KO
3. Thao tác về Internet Explorer (IE).
R8$624'P3'7‡/012j4772‡{74'47yz%5'4'
74;4‡n'124'624'{74'3;4
23
dn'124'7754]X%N†%'ˆE$0XN=8?!M€P278•47754n'2•9?!
8C7;$7"vvvOI{yI;BEC-7]-5N2o7X0`;K€;'237
{74'47yz%5'4'%'?040-vvv•\
dP2785]-:;<7=75;L;'237I%D7'<;%.7'R0)7{y
-l5;L'8RT;c‚7'F;$;354n#;<d8!?!ND;;q5!•
m+•m+VOC%€P278•474277;5-78%2•0!;R7x;`C%
€P278•4748740-78%2•0!;RECO
24
R8$624'P3'7‡v0827'7?448%5742‡/012
P8%472‡{74'47yz%5'4'
d{74'47P7'5#45];<7X7;.&7J;[7B75e%NM;)&7b7'
C%7:{74'47…%72"A44'59j4;'7•BNMX7bA44'59-:
;<7=_5:3504'{74'47yz%5'4'E=4-54%(€p2-54;84%4
24772•l8?M)<?);7Eh7';L{yO
25