ĐẠI HỌC CÔNG NGHIỆP HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN


BÀI TẬP LỚN
MÔN: NGUYÊN LÝ HỆ ĐIỀU HÀNH
ĐỀ TÀI: Nghiên cứu tìm hiểu về bảo vệ hệ thống

trong Windows (Windows 2003 server)
 GIÁO VIÊN HƯỚNG DẪN :

Th.s Vương Quốc Dũng
 NHÓM THỰC HIỆN:
• Nhóm 11 – KTPMCLC1.K6
 SINH VIÊN THỰC HIỆN:
• Nguyễn Quốc Toản
• Nguyễn Đức Thọ
HÀ NỘI ,NGÀY 18/12/2012


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012

Mục lục:
I -TỔNG QUAN VỀ AN NINH MẠNG.................................................5
1. Phishing............................................................................................................................7
2. Virus và Worm...................................................................................................................8
3.Trojan................................................................................................................................9
4.Spyware............................................................................................................................9

III- Sơ lược về Windows sever 2003......................................................10
1)Windows server 2003 là gì ?............................................................................................10

2)Thiết kế bảo mật trong windowns server 2003................................................................11
3)Tính năng bảo mật trong họ windows server 2003:........................................................11
Xác thực Kerberos...........................................................................................................12
Bảo mật IP.......................................................................................................................12
4) Cải tiến an ninh trong Windows XP và họ Windows Server 2003....................................13
5) Cải tiến an ninh trong Windows Server 2003, Standard, Server Edition..........................15
6) Lockdown........................................................................................................................16
7) Cải tiến an ninh trong Windows Server 2003, Server Enterprise Edition........................17

IV. Chính sách tài khoản người dùng...................................................18
1)Chính sách mật khẩu........................................................................................................19

V- Chính sách cục bộ..............................................................................21
A.Chính sách kiểm toán.......................................................................................................21
B.Quyền hệ thống của người dùng.....................................................................................22
C.Các lựa chọn bảo mật......................................................................................................26

VI- IPSec:................................................................................................28
1.Các tác động bảo mật.......................................................................................................28

VII-Gán quyền truy nhập NTFS trên thư mục dùng chung..............35
Khi chúng ta sao chép (copy) một tập tin hay một thư mục sang một vị trí mới thì quyền
truy nhập trên tập tin hay thư mục này sẽ thay đổi theo quyền trên thưu mục cha chứa
chúng, nhưng ngược lại nếu chúng di chuyển (move) một tập tin hay thư mục sang bất
kì vị trí nào thì các quyền trên chúng vân được giữ nguyên............................................38
2.Tại sao cần có firewall và lịch sử của firewall:..................................................................40
3. Chức năng của Firewall:..................................................................................................41
b. Hạn chế của Firewall:..................................................................................................49
GVHD: Th.s Vương Quốc Dũng


Page 2


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
4. Cài đặt Firewall:...............................................................................................................49

TÀI LIỆU THAM KHẢO......................................................................59

GVHD: Th.s Vương Quốc Dũng

Page 3


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012

Lời nói đầu
Trong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng và bảo mật dữ
liệu đang trở nên rất được quan tâm. Trong khi cơ sở hạ tầng và các công
nghệ mạng đã đáp ứng tốt các yêu cầu về băng thông, chất lượng dịch vụ,
thì thực trạng tấn công trên mạng lại ngày một gia tăng. Vì vậy, vấn đề
bảo mật càng cần phải được chú trọng hơn. Đó là môt vấn đề cấp bách
không chỉ với các nhà cung cấp dịch vụ Internet, các cơ quan chính phủ
mà còn cả với các tổ chức doanh nghiệp, họ cũng ngày càng có ý thức
hơn về an toàn thông tin.
Để các bạn có cái nhìn tổng quan hơn về các phương pháp bảo vệ hệ
thống trong windows. Trong tài liệu này chúng tôi xin cùng các bạn tìm
hiểu về các phương thức bảo vệ hệ thống trong HĐH Windows 2003.

HÀ NỘI, ngày 18 /12/ 2012


GVHD: Th.s Vương Quốc Dũng

Page 4


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
I -TỔNG QUAN VỀ AN NINH MẠNG.
1.Bảo vệ hệ thống :
a) Mục tiêu bảo vệ hệ thống:
• Phát hiện và ngăn chặn, không cho lỗi lan truyền.
• Phát hiện các lỗi tiềm ẩn trong hệ thống để tăng cường độ
tin cậy.
• Chống lại sự xâm nhập bất hợp lệ,các tiến trình sử dụng
tài nguyên phù hợp với quy định của hệ.
• Cung cấp một cơ chế, chiến lược để quản trị việc sử dụng
tài nguyên.
b) Nội dung bảo vệ hệ thống:
Gồm 2 nội dung:
• Bảo mật hệ thống
• An ninh hệ thống
2.Khái niệm bảo mật.
Trong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng và bảo mật
dữ liệu đang trở nên rất được quan tâm. Khi cơ sở hạ tầng và các công nghệ
mạng đã đáp ứng tốt các yêu cầu về băng thông, chất lượng dịch vụ, đồng
thời thực trạng tấn công trên mạng đang ngày một gia tăng thì vấn đề bảo
mật càng được chú trọng hơn. Không chỉ các nhà cung cấp dịch vụ Internet,
các cơ quan chính phủ mà các doanh nghiệp, tổ chức cũng có ý thức hơn về
an toàn thông tin.
Nói đến bảo mật máy tính là nói đến tính bí mật (confidential), chính
xác (accuracy) và sẵn sàng (availability).

- Tính bí mật: Hệ thống có tính bí mật là hệ thống mà thông tin của nó
không cho phép những người không có quyền được xem.
- Tính chính xác:Một hệ thống được bí mật phải luôn có tính nhất quán
dữ liệu.Phải ngăn ngừa sự thay đổi vô tình hay cố ý(không được phép)
một thông tin nào đó.
- Tính sẵn sàng: Một hệ thống được bí mật phải luôn sẵn sàng cung cấp
thông tin cho người dùng khi họ cần.
GVHD: Th.s Vương Quốc Dũng

Page 5


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
3. Các hình thức tấn công trên mạng.
a. Tấn công trực tiếp.
Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai
đoạn đầu để chiếm được quyền truy nhập hệ thống mạng bên trong.
b. Nghe trộm trên mạng.
Thông tin gửi đi trên mạng thường được luân chuyển từ máy tính này
qua hàng loạt các máy tính khác mới đến được đích. Điều đó, khiến cho
thông tin của ta có thể bị kẻ khác nghe trộm. Tồi tệ hơn thế, những kẻ nghe
trộm này còn thay thế thông tin của chúng ta bằng thông tin do họ tự tạo ra
và tiếp tục gửi nó đi. Việc nghe trộm thường được tiến hành sau khi các
hacker đã chiếm được quyền truy nhập hệ thống hoặc kiểm soát đường
truyền. May mắn thay, chúng ta vẫn còn có một số cách để bảo vệ được
nguồn thông tin cá nhân của mình trên mạng bằng cách mã hoá nguồn thông
tin trước khi gửi đi qua mạng Internet. Bằng cách này, nếu như có ai đón
được thông tin của mình thì đó cũng chỉ là những thông tin vô nghĩa.
c. Giả mạo địa chỉ.
Giả mạo địa chỉ có thể được thực hiện thông qua sử dụng khả năng

dẫn đường trực tiếp. Với cách tấn công này kẻ tấn công gửi các gói tin tới
mạng khác với một địa chỉ giả mạo, đồng thời chỉ rõ đường dẫn mà các gói
tin phải đi. Thí dụ người nào đó có thể giả mạo địa chỉ của bạn để gửi đi
những thông tin có thể làm ảnh hưởng xấu tới bạn.
d. Vô hiệu hóa chức năng của hệ thống.
Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấp
dịch vụ(Denial of Service- DoS) không cho hệ thống thực hiện được các
chức năng mà nó được thiết kế. Kiểu tấn công này rất khó ngăn chặn bởi
chính những phương tiện dùng để tổ chức tấn công lại chính là những
phương tiện dùng để làm việc và truy cập thông tin trên mạng. Một thí dụ về
trường hợp có thể xảy ra là một người trên mạng sử dụng chương trình đẩy
GVHD: Th.s Vương Quốc Dũng

Page 6


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
ra những gói tin yêu cầu về một trạm nào đó. Khi nhận được gói tin, trạm
luôn luôn phải xử lý và tiếp tục thu các gói tin đến sau cho đến khi bộ đệm
đầy, dẫn tới tình trạng những nhu cầu cung cấp dịch vụ của các máy khác
đến trạm không được phục vụ.
e.Tấn công vào yếu tố con người.
Đây là một hình thức tấn công nguy hiểm nhất nó có thể dẫn tới
những tổn thất hết sức khó lường. Kẻ tấn công có thể liên lạc với người
quản trị hệ thống thay đổi một số thông tin nhằm tạo điều kiện cho các
phương thức tấn công khác.
f. Một số kiểu tấn công khác.
Ngoài các hình thức tấn công kể trên, các hacker còn sử dụng một số
kiểu tấn công khác như tạo ra các virus đặt nằm tiềm ẩn trên các file khi
người sử dụng do vô tình trao đổi thông tin qua mạng mà người sử dụng đã

tự cài đặt nó lên trên máy của mình. Ngoài ra hiện nay còn rất nhiều kiểu
tấn công khác mà chúng ta còn chưa biết tới và chúng được đưa ra bởi
những hacker.
II- Các mối đe dọa.
1. Phishing.
Phishing là một thủ đoạn của hacker nhằm lấy thông tin cá nhân của
khách hàng bằng cách dùng email giả danh các tổ chức tài chính. Cách này rất
hay được những tên trộm ảo sử dụng.
Các email tự xưng là các ngân hàng hoặc tổ chức hợp pháp thường được
gởi số lượng lớn. Nó yêu cầu người nhận cung cấp các thông tin khá nhạy cảm
như tên truy cập, mật khẩu, mã đăng ký hoặc số PIN bằng cách dẫn đến một
đường link tới một website nhìn có vẻ hợp pháp, điều đó giúp cho tên trộm có
thể thu thập được những thông tin của quý khách để tiến hành các giao dịch bất
hợp pháp sau đó.
GVHD: Th.s Vương Quốc Dũng

Page 7


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
Dưới đây là một ví dụ về email lừa đảo:

Nếu nhận được email yêu cầu đăng ký hay nhập lại các thông tin cá nhân, cần
xóa chúng ngay và thông báo với bộ phận hỗ trợ Ngân hàng điện tử của
ANZ nơi quý khách ở có thể hạn chế nguy cơ trở thành nạn nhân của email lừa
đảo bằng cách:
• Tuyệt đối không truy cập vào Ngân hàng điện tử qua link lạ gửi qua mail.
• Thận trọng với các thông emails yêu cầu khai báo thông tin như tên truy
cập, mật khẩu, mã pin. Email xác thực của ANZ không yêu cầu chi tiết cá
nhân hay đăng nhập các thông tin.

• Ngay lập tức xóa bỏ các email không rõ nguồn gốc, cho dù cho dù nó có vô
hại hay dùng lời mời chào hấp dẫn thế nào đi nữa.
• Thay đổi mật khẩu của Ngân hàng điện tử định kỳ.
• Liên tục cập nhật chương trình diệt virut và tường lửa cũng như quét máy
tính của quý khách thường xuyên.
2. Virus và Worm.
Virus máy tính là chương trình phần mềm có khả năng tự sao chép chính
nó từ đối tượng này sang đối tượng khác ( đối tượng có thể là các file chương
trình văn bản máy tính).
GVHD: Th.s Vương Quốc Dũng

Page 8


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
Virus có nhiều cách lây lan và tất nhiên cũng có nhiều cách phá hoại,
nhưng ban chỉ cần nhớ rằng đó là một đoạn chương trình và chương trình đó
thường dùng để phục vụ những mục đích không tốt.
Virus máy tính do con người tạo ra. Quả thực cho đến ngày nay, chúng
ta có thể coi virus máy tính là mầm mống gây dịch bệnh cho những chiếc máy
tính, chúng ta là những người bác sĩ luôn chiến đấu với dịch bệnh và tìm ra
những phương pháp mới để hạn chế và tiêu diệt chúng. Nhưng những vấn đề
phức tạp ngoài xã hội, khó tránh khỏi việc có những loại bệnh gây ra những
hậu quả khôn lường. chính vì vậy, “phòng hơn chống” là phương châm cơ bản
và luôn đúng đối với virus máy tính.
Worm cũng giống như virus. Nó lợi dụng những máy tính đang nối
mạng để xâm nhập vào những lỗ hổng bảo mật. Khi đã tìm thấy lỗ hổng bảo
mật, nó sẽ xâm nhập một cách nhanh chóng từ máy này sang máy khác. Nó có
sức phá hủy tương đương với virut. Nhưng không giống như virus thời “
nguyên thủy” worm không cần đến các tập tin mồi để lây truyền, chúng tự nhân

bản và phát tán trên môi trường internet, mạng ngang hàng, dịch vụ chia sẻ.

3.Trojan.
Trojan xuất hiện để thực thi mã độc ở lớp phía sau. Đây không phải là
virut và có thể dễ dàng được download mà không nhận thấy chúng. Remote
access Trojan (RAT) là một loại trojan phổ biến điều khiển truy cập từ xa, ví
dụ Back Orifice hoặc NetBus; khả năng của chúng cho phép kẻ tấn công có thể
thực thi các quyền quản trị.
4.Spyware.
Spyware là phần mềm theo dõi những hoạt động của bạn trên máy tính.
Chúng thu thập tất cả thông tin cá nhân, thói quen cá nhân, thói quen lướt web
của người dùng gửi về cho tác giả. Spyware là mối đe dọa lớn nhất đối với sự
an toàn của một máy tính, một hệ thống mát tính.

GVHD: Th.s Vương Quốc Dũng

Page 9


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
Windows server 2003 trong một số phiên bản của nó là thế hệ mới nhất của gia
đình Microsoft của hệ điều hành máy chủ, kết hợp những tiến bộ đạt được bằng
cách trước đó Windows NT va Windows server 2000 cũng thuộc gia đình của
sản phẩm này.các hệ điều hành này đã được thử nghiệm và chứng minh từ
năm 1993 là một nền tảng vững chắc cho các ứng dụng và chức năng dựa trên
máy chủ
Windows XP là cũng xuất phát từ cùng một cơ sở mã là Windows Server 2003.
Cơ sở chung này đảm bảo rằng các chức năng cốt lõi của hai hệ điều hành vẫn
còn giống hệt nhau. Những lợi ích có rất nhiều cách tiếp cận này cung cấp bao
gồm:

•

Phổ biến trình điều khiển thiết bị.

•

Phần mềm tương thích.

•

Ổn định cốt lõi hơn.

•

Thống nhất giao diện người dùng và kinh nghiệm.

III- Sơ lược về Windows sever 2003
1) Windows server 2003 là gì ?
Windows server 2003 trong một số phiên bản của nó là thế hệ mới nhất
của gia đình Microsoft của hệ điều hành máy chủ, kết hợp những tiến bộ đạt
được bằng cách trước đó Windows NT va Windows server 2000 cũng thuộc
gia đình của sản phẩm này.các hệ điều hành này đã được thử nghiệm và chứng
minh từ năm 1993 là một nền tảng vững chắc cho các ứng dụng và chức năng
dựa trên máy chủ.
Windows XP là cũng xuất phát từ cùng một cơ sở mã là Windows Server 2003.
Cơ sở chung này đảm bảo rằng các chức năng cốt lõi của hai hệ điều hành vẫn
còn giống hệt nhau. Những lợi ích có rất nhiều cách tiếp cận này cung cấp bao
gồm:
•


Phổ biến trình điều khiển thiết bị

•

Phần mềm tương thích

•

Ổn định cốt lõi hơn

•

Thống nhất giao diện người dùng và kinh nghiệm

GVHD: Th.s Vương Quốc Dũng

Page 10


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
2) Thiết kế bảo mật trong windowns server 2003
Windows NT và hệ thống điều hành Windows 2000 được thiết kế từ lúc bắt
đầu đến được an toàn. Cả hai thực thi đăng nhập người dùng và đảm bảo rằng
tất cả các phần mềm chạy trong khu vực riêng của một tài khoản, mà có thể
được hạn chế hoặc cho phép một cách thích hợp. Bảo mật Windows là không
giới hạn bảo mật người dùng đăng nhập, nhưng mở rộng cho tất cả các đối
tượng trong hệ thống điều hành. Tập tin trên ổ đĩa cứng, các mục trong
registry, các thành phần, tất cả các phần mềm những yếu tố này có một khía
cạnh an ninh. Các thành phần hệ thống điều hành có thể truy cập các đối tượng
chỉ với các điều khoản và các thông tin thích hợp.Điều này có thể có lợi nhưng

cũng có thể có hại.
Thực thi các hạn chế bảo mật trên tất cả các thành phần của hệ điều hành có thể
có vẻ khó khăn.Kiểm tra truy cập phải xảy ra khi một cuộc đàm phán thành
phần Windows khác. Chúng bao gồm các chương trình, trình điều khiển thiết
bị, thành phần cốt lõi điều hành hệ thống, và như vậy trên tất cả mọi thứ, ngắn.
Thiết lập cho phép bảo mật thích hợp là một nhiệm vụ mà đòi hỏi kiến thức chi
tiết của đối tượng và sự tương tác giữa các thành phần được cấu hình. Lỗi cấu
hình các điều khoản có thể gây ra hành vi không mong muốn khác nhau,mức
độ nghiêm trọng từ một vấn đề nhỏ và dễ dàng cố địnhmất hoàn toàn và không
thể phục hồi chức năng.
Thực tế là môi trường an ninh này - một phần của thiết kế cơ bản Windows
Server 2003 là một lợi thế lớn. Nếu bảo mật mạnh mẽ và phổ biến là không
được thiết kế vào cốt lõi của một hệ điều hành (ví dụ, Windows 95), nó gần
như không thể để thêm nó sau này. Phát triển và thử nghiệm có thể tìm thấy lỗi
hoặc chấp nhận khi bản vá bảo mật vào một hệ điều hành. Các thành phần hợp
pháp có thể đã được thiết kế để tận dụng lợi thế của việc thiếu an ninh. Môi
trường nhất thiết sẽ ít an toàn hơn so với thiết kế để bảo mật ngay từ đầu.
3)Tính năng bảo mật trong họ windows server 2003:
So với người tiền nhiệm của họ, Windows NT và Windows 2000 cung cấp rất
nhiều tính năng bảo mật. Trong thực tế, kể từ khi khởi đầu của Windows NT
Advanced Server 3.1 vào năm 1993, Windows NT gia đình đã luôn luôn cung
cấp một bộ tính năng bảo mật tập trung.Trong những năm qua, thông báo sau
đó có thêm các tính năng bảo mật mới và mở rộng những cái hiện có.
Cũng như với phiên bản trước, Windows Server 2003 cải thiện về các phiên
bản hệ thống điều hành trước bằng cách tăng cường tính năng bảo mật hiện có

GVHD: Th.s Vương Quốc Dũng

Page 11



Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
và thêm những cái mới.Một số tính năng bảo mật được chuyển từ các phiên
bản trước bao gồm:
• Xác thực Kerberos
Xác thực Kerberos: Kerberos là một mạng lưới giao thức xác thực tiêu chuẩn
hóa và được sử dụng rộng rãi. Tích hợp vàoWindows 2000, Kerberos cung cấp
thông tin chứng minh cho người sử dụng, máy tính, và các dịch vụ đang chạy
trên Windows 2000, Windows XP Professional, và WindowsServer 2003.
Trước khi sử dụng Kerberos trong Windows 2000, NTLM được sử dụng như
các giao thức xác thực.Trong khi NTLM vẫn là một giao thức hữu ích cho việc
duy trì khả năng tương thích với các hệ thống điều hành cũ hơn, nó không hiệu
quả hoặc khả năng tương tác như Kerberos. NTLM cũng có một số thiếu hụt
bảo mật mà Kerberos thì không.
• Bảo mật IP
Sử dụng giao thức TCP / IP của đã trở nên phổ biến. Trong khi TCP / IP cung
cấp các lợi ích to lớn đối với các giao thức mạng khác, nó không phải là điều
mong muốn từ một quan điểm bảo mật. Dữ liệu được gửi qua một mạng lưới
với bộ giaothức này không được thiết kế để được an toàn và có thể dễ dàng
ngăn chặn và giải mã. bảo mật IP (IPSec) là một tập hợp các tiêu chuẩn dựa
trên RFC định nghĩa như thế nào dữ liệu có thể được gửi an toàn thông qua
giao thức TCP / IP.Dữ liệu có thể được mã hóa, chữ ký số, hoặc cả hai bằng
cách sử dụng IPSec. Nhiều thiết bị phần cứng, chẳng hạn như thiết bị định
tuyến và tường lửa, IPSec hỗ trợ thông tin liên lạc. IPSec có sẵn trong
Windows 2000, Windows XPProfessional, và Windows các sản phẩm máy chủ
gia đình 2003. Đó là kết hợp vào các trình điều khiển mạng, cho phép nó tích
hợp thông suốt với các phần mềm TCP / IP hiện có.Thực hiện là phù hợp với
tiêu chuẩn thành lập, cho phépWindows Server 2003 để giao tiếp với các thiết
bị mạng khác đúng được trang bị thôngqua IPSec.
• Mã hóa tập tin hệ thống

Tập tin trên một ổ đĩa cứng có thể bị tổn hại khi bảo mật vật lý của một máy
tính bị thỏa hiệp. Bởi vì bảo mật vật lý có thể không luôn luôn được đảm bảo,
một biện pháp bổ sung về an toàn có thể được thực hiện để bảo vệ chống lại
các dữ liệu bị đánh cắp từ một ổ đĩa cứng. Encrypting File System (EFS)có thể
được sử dụng để mã hóa dữ liệu bằng văn bản cho các ổ đĩa cứng. Điều này
đảm bảo rằng chỉ người sử dụng đang nắm giữ chìa khóa giải mã thích hợp có
thể lấy dữ liệu.Nếu ổ đĩa cứng là bị tổn hại và các khóa giải mã là không được
lưu trữ trên ổ cứng, dữ liệu không thể đọc được.
• Chính sách nhóm
GVHD: Th.s Vương Quốc Dũng

Page 12


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
Khi bạn tạo ra một cơ sở hạ tầng bảo mật, bạn muốn khả năng tạo nên những
thiết lập cấu hình cho tất cả các đối tượng trong cơ sở hạ tầng. Các thiết lập này
thường bao gồm các yêu cầu mật khẩu tối thiểu, hạn chế người dùng phiên, và
như vậy.Group Policy cung cấp một cơ chế để minh bạch cấu hình các máy
tính trong doanh nghiệp với tất cả cácthiết lập bảo mật mong muốn. Bạn, như
một quản trị viên, có thể buộc người dùng và máy tính để sử dụng các thiết lập
mà bạn muốn. Điều này cho phép bạn để giữ cho người dùng của bạn an toàn
hơn và bảo vệ họ chống lại vô số các cuộc tấn công. Người sử dụng không biết
làm thế nào mà họ nhận được các thiết lập bảo mật, và các thiết lập không thể
được thay đổi mà không có đặc quyền thích hợp
• Chứng nhận dich vụ
Sử dụng mật mã khóa công khai đã trở thành phổ biến trên một loạt các ứng
dụng và dịch vụ.Giấy chứng nhận khóa công khai là cần thiết để cung cấp và
tạo sự tin tưởng giữa các tổ chức và trên thế giới. Giấy chứng nhận Dịch vụ
cung cấp một ứng dụng phần mềm tiếp nhận, phê duyệt các vấn đề, và các

giấy chứng nhận khóa công khai.
• Hỗ trợ thẻ thông minh
Tất cả các bảo mật trong Windows được dựa trên khái niệm của một hoàn cảnh
người sử dụng. Nội dung này thường được chứng minh là các máy tính địa
phương và vùng sâu, vùng xa với việc sử dụng một tên người dùng và mật
khẩu được cung cấp bởi người sử dụng hoặc một thành phần phần mềm.Bởi vì
tên người dùng và mật khẩu biết được thông tin người dùng nhập vào, họ có
thể được nhân rộng hoặc bị đánh cắp trong nhiều cách khác nhau. Yêu cầu một
số thành phần vật lý ngoài các dữ liệu tên người dùng và mật khẩu thêm một
thỏa thuận an ninh với hoàn cảnh người dùng.Thẻ thông minh được thiết bị
được thiết kế để lưu trữ thông tin, kết hợp với một số nhận dạng cá nhân (PIN),
nơi tên người dùng và mật khẩu. Nếu bạn yêu cầu sử dụng của thẻ thông minh,
một người dùng không thể chứng minh danh tính của mình mà không có thẻ
vật lý và mã PIN tương ứng.
4) Cải tiến an ninh trong Windows XP và họ Windows Server 2003
- Trong sự phát triển của Windows XP và Windows Server 2003, Microsoft đã
giám sát chặt chẽ tất cả các hệ thống bảo mật. điều này lên đến đỉnh điểm
trong một ngăn chặn kéo dài hàng tháng vào sự phát triển của Windows để
Microsoft có thể dành thời gian cần thiết để kiểm tra mã hiện tại, quy trình, và
các tính năng để vá cho các lỗ hổng và điểm yếu . Đây là những phân tích và
giải quyết một cách có phương pháp. các tính năng dễ bị tổn thương không
GVHD: Th.s Vương Quốc Dũng

Page 13


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
được gỡ bỏ, mặc dù cấu hình của họ đã được thay đổi để làm cho chúng bị vô
hiệu hóa hoặc không được cài đặt theo mặc định. Mặc dù nỗ lực này đã làm trì
hoãn việc sản xuất của Windows Server 2003, nó chắc chắn là một đầu tư có

giá trị thời gian và nguồn lực.
- Bởi vì Windows XP và Server 2003 của Windows chia sẻ các thành phần
phần mềm thông thường, một số trong những cải tiến bảo mật ảnh hưởng đến
cả hai phiên bản trong cùng một cách. Bên cạnh các kiến trúc bảo mật cơ bản
mạnh mẽ,bạn có thể trực tiếp quan sát và cấu hình một số cải tiến. Một vài
trong số các công trình lớn bao gồm:
a- Mã hóa tập tin hệ thống (EFS) cải tiến
Trong Windows 2000, EFS mã hóa cung cấp cho các tập tinvới các thuật toán
mã hóa DESX (một biến thể của mã hóadữ liệu tiêu chuẩn-DES). Thuật toán
này bảo vệ dữ liệu tốt hơn so với các thuật toán DES , nhưng một số tùy chọn
mạnh mẽ hơn là có sẵn. Trong Windows XP và Windows Server 2003, EFS có
thể mã hóa các tập tin bằng cách sử dụng các thuật toán mã hóa tripleDES(3DES). Sự cải thiện này cung cấp mã hóa 168-bit cho dữ liệu, đó là hợp
lý khả năng chống các cuộc tấn công mới nhất.Một cải tiến khác EFS là việc
loại bỏ các yêu cầu phục hồi dữ liệu. Điều này cho phép bạn cấu hình EFS với
các tùy chọn ít hơn cho việc khôi phục dữ liệu,nhưng làm tăng mức độ bảo mật
dữ liệu. Ngoài ra, bạn có thể thêm nhiều hơn một người sử dụng vào một tập
tin EFSđể cho phép nhiều người dùng để giải mã nội dung. Điều này cho phép
chia sẻ file an toàn hơn cả trong nước và qua mạng.
Dĩ nhiên, việc sử dụng của nó đã phần nào bị hạn chế hoạt động đăng nhập
trong một miền Active Directory.Một trường hợp thông thường không được đề
cập bởiWindows 2000 hỗ trợ thẻ thông minh đã được sử dụng thông tin thẻ
thông minh chạy các ứng dụng cụ thể trong khi vẫn đăng nhập như một người
dùng khác nhau. Trường hợp này là đề Windows 2000 cung cấp một nền tảng
cho hỗ trợ thẻ thông minh. Tuy trong Windows XP và Windows Server 2003
cho phép một quản trị viên vẫn đăng nhập như một người sử dụng tiêu chuẩn
trong khi cung cấp cụ thể, các chức năng bị cô lập bằng các thông tin từ thẻ
thông minh.
b- Bảo mật IP
Trong khi các thành phần cơ bản của IPSec vẫn còn phần lớn là giống như
Windows 2000, một cải tiến đáng kể được giới thiệu để theo dõi và xử lý sự cố

của nó. Trong Windows 2000, một công cụ độc lập gọi là IPSecMon là cách
duy nhất để khám phá ra những gì IPSec đang làm. Trong WindowsXP và
GVHD: Th.s Vương Quốc Dũng

Page 14


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
Windows Server 2003, Microsoft Management Console công cụ có sẵn để
giám sát IPSec.Được gọi là IP Security Monitor, cung cấp chi tiết về hoạt động
của IPSec và có thể giúp đánh giá cấu hình sai. IP Security Monitor hoạt động
tốt như là một bổ sung cho các công cụ khác như Resultant Set of Policy
(RSoP), Netdiag, Network Monitor, vàIPSec các bản ghi để giúp đảm bảo rằng
sự truyền thôngIPSec của bạn có thực sự an toàn.
5) Cải tiến an ninh trong Windows Server 2003, Standard, Server Edition
Windows Server 2003 Standard Server là nền tảng của kiến trúc máy chủ
Windows Server 2003. Đây là phiên bản của Windows Server 2003 là phù hợp
cho một phạm vi rộng của các ứng dụng trong một môi trường máy chủ, cung
cấp dịch vụ lưu trữ tập tin để quản lý tài khoản người dùng HTTP. Bởi vì nó có
thể được sử dụng cho nhiều nhiệm vụ khác nhau, rấtnhiều cải tiến an ninh đã
được thực hiện với Windows Server2003 Server Standard, bao gồm:
a. Mã hóa mạnh mẽ hơn nữa cho EFS
Bởi vì EFS là một phương pháp mạnh mẽ bảo vệ chống lại sự thỏa hiệp vật lý
của máy tính, bạn muốn sử dụng mã hóamạnh nhất có thể. Gần đây đã hoàn
thiện thuật toánAdvanced Encryption Standard (AES) được thiết kế như làmột
thay thế cho bộ ứng dụng các thuật toán DES. EFS hỗ trợ mã hóa tập tin với
thuật toán AES mới, trong đó sử dụngmột khóa 256-bit.
b. Group Policy :
Group Policy vẫn là cách dễ nhất và mạnh mẽ nhất để hạnchế và cấu hình kinh
nghiệm của người dùng. Bởi vì rất nhiều tính năng đã được thêm vào Windows

XP và WindowsServer 2003, thiết lập chính sách nhóm mới đã được thêm vào
để cấu hình chúng. Điều này cho phép các tính năng nàymới được sử dụng
chính xác như bạn muốn trên toàn tổ chứchoặc vô hiệu hóa hoàn toàn khi thích
hợp. Và cấu hình thích hợp của tất cả các tính năng thông qua Group Policy
phongphú là điều cần thiết để triển khai và cấu hình khách hàng an toàn hơn và
môi trường máy chủ
c. Chính sách phần mềm hạn chế
Người dùng đang chạy phần mềm tùy ý từ các nguồn khôngan toàn là một số
những rủi ro bảo mật lớn nhất mà bạn sẽ phải đối mặt như là một quản trị viên.
Đảm bảo chúng được bảo vệ từ file đính kèm email và phần mềm gửi đĩa CDROMhoặc các phương tiện di động khác là rất quan trọng. Máy quét virus
thường có hiệu quả trong việc chống lại vấn đề này, nhưng biến thể virus mới
và các phương pháp xuất hiệnhầu như hàng ngày. Để giúp ngăn chặn các vấn
GVHD: Th.s Vương Quốc Dũng

Page 15


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
đề tại nguồncủa nó, Windows Server 2003 Standard Server cung cấpmột loại
hình cụ thể của việc hạn chế chính sách nhóm được gọi là chính sách hạn chế
phần mềm (SRP). Điều này cho phép bạn mô tả những gì chương trình người
dùng có thểhoặc không thể chạy. Người dùng cố gắng để chạy phần mềm
không được phép bởi chính sách này sẽ không đượcthành công, và máy tính
của họ sẽ vẫn an toàn. Mặc dù SRPđã được tạo sẵn trong Windows XP, quản lý
và kiểm soátcủa các chính sách được tăng cường rất nhiều với WindowsServer
2003.
d. Cải thiện Chứng thực Chữ
Cơ quan cấp giấy chứng nhận có sẵn trên Windows 2000cung cấp một cách
đơn giản để cấu hình và cấp giấy chứng nhận cho người dùng và máy tính
trong một doanh nghiệp.Nó đã không cung cấp rất nhiều tính linh hoạt để tuỳ

biếnhoặc mới được phát triển các ứng dụng PKI-aware.Windows Server 2003
Standard Server tiếp tục cải thiện cáccơ quan xác nhận bằng cách cung cấp các
tính năng mới như tự động kết nạp khách hàng để tự động triển khai vàquản lý
giấy chứng nhận khách hàng, ứng dụng cấu hình vàchính sách phát hành để
cung cấp cho kiểm soát quản trị cấu hình sâu giấy chứng nhận phát hành, và
vai trò của cơ quan chứng nhận hành chính để giúp ngăn ngừa bất kỳ quản
trịkhông được giữ quá nhiều quyền lực trong một cơ quan cấpgiấy chứng nhận.
6) Lockdown
Internet Information Services (IIS) cung cấp các dịch vụ dựa trên web dành cho
Windows và sử dụng rộng rãi. Nó thường được sử dụng trên các máy tính được
truy cập nặc danh từ Internet. An ninh của nó thường phải được thoải mái hơn
sovới các máy tính khác trong một tổ chức để cho phép một số chức năng
chính của nó để chạy một cách chính xác. Ngoài ra, nhiều quản trị viên không
bao giờ cấu hình IIS trên máy chủ của họ, đặc biệt là nếu nó không phải là dự
định được sử dụng trên máy tính đó hoặc nếu máy tính không phải là tiếp xúc
trực tiếp với Internet.
Bởi vì IIS là, bởi bản chất của nó, thường xuyên tiếp xúc với Internet, an ninh
yêu cầu thoải mái và sai thường xuyên của nó làm cho nó trở thành một trong
những khu vực lớn nhất của tiếp xúc an ninh cho Windows 2000. Điều này
được giải quyết bằng Windows Server 2003 một cách đơn giản: IISkhông được
cài đặt theo mặc định. Khi IIS được cài đặt một cách rõ ràng, hầu hết các tính
năng của nó bị vô hiệu hóa và phải được kích hoạt bằng tay. Đối với phiên bản
trước của IIS và Windows, một công cụ gọi là IIS Lockdown được cung cấp.
Các chức năng của công cụ được tích hợp với Windows Server 2003 và IIS 6.0.
GVHD: Th.s Vương Quốc Dũng

Page 16


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012

7) Cải tiến an ninh trong Windows Server 2003, Server Enterprise Edition
Windows Server 2003 Enterprise Server là tính năng phong phú hầu hết các
phiên bản của Windows Server 2003 có sẵn. Nó có khả năng quy mô để đáp
ứng nhu cầu của hầu hếtcác triển khai.
Có một vài sự khác biệt trong tính năng bảo mật giữaWindows Server 2003
Standard Server và Windows Server Enterprise Server 2003. Windows Server
2003 EnterpriseServer cung cấp tất cả các chức năng của máy chủ Windows
Server Standard 2003 cộng với một vài cải tiến
Tất cả các yêu cầu giấy chứng nhận chính công cộng được ban hành dựa trên
các thiết lập cấu hình. Một số các thiết lập này được cấu hình cho từng cơ quan
cấp giấy chứng nhận,trong khi những người khác được cấu hình dựa trên các
loạigiấy chứng nhận theo yêu cầu. Mẫu Giấy chứng nhận cóchứa các thiết lập
cho từng loại chứng chỉ có thể được ban hành. Trong Server Enterprise Server
Windows 2003, mẫugiấy chứng nhận có thể được tạo ra, bị xóa, và tùy chỉnh
đểcung cấp các chức năng chính xác mong muốn.
a) Tách vai trò cơ quan chứng nhận
Một số tiêu chuẩn xác định một cơ quan chứng nhận phải được quản lý như thế
nào. Hầu hết trong số họ yêu cầungười sử dụng khác nhau để thực hiện các
nhiệm vụ khác nhau, chẳng hạn như yêu cầu một quản trị viên để cấu hình các
cơ quan chứng nhận và kiểm toán viên riêng biệt đểgiám sát các hoạt động trên
mà cơ quan chứng nhận. Tách biệt vai trò là một tính năng mới đòi hỏi phải có
một người sử dụng có không nhiều hơn một vai trò cơ quan quản lý cấp giấy
chứng nhận. Điều này là để đảm bảo rằng có không "superusers" những người
có thể thực hiện tất cả các nhiệm vụ và mặt nạ có khả năng thao tác của hệ
thống.
b) Key phục hồi
Khi một cơ quan cấp giấy chứng nhận nhận được một yêu cầu chứng chỉ, yêu
cầu thông thường có chứa khóa công khai, xác định yêu cầu, và các thông tin
khác được cấu hình trong các mẫu chứng chỉ. Chìa khóa liên quan tư nhân
được tạo ra trên máy tính của người yêu cầu và không để lại máytính, đảm bảo

bí mật của nó. Khi phục hồi chính là cấu hìnhtrên Windows Server 2003, quá
trình yêu cầu chứng chỉ cũng sẽ an toàn cung cấp khóa riêng của người yêu cầu
đến cơquan có thẩm quyền cấp giấy chứng nhận. Cơ quan cấp giấychứng nhận
sau đó sẽ mã hóa và lưu trữ rằng chìa khóa chođến khi yêu cầu cần phải khôi
phục lại nó. Vào thời điểm đó,một đại lý được chỉ định phục hồi sẽ giải mã
khóa riêng và cung cấp nó cho người yêu cầu. Người yêu cầu không cần phải
GVHD: Th.s Vương Quốc Dũng

Page 17


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
mất tất cả dữ liệu mã hóa với khóa riêng nếu nó được lưu trữ vào cơ quan cấp
giấy chứng nhận
Có nhiều điểm khác biệt khác giữa Windows Server 2003 Standard và
Enterprise, bao gồm cả chênh lệch giá đáng kể.Bất kỳ quyết định triển khai một
phiên bản ưu tiên khác nênchỉ được thực hiện sau khi lập kế hoạch cẩn thận vai
trò của máy chủ doanh nghiệp và xác định nhu cầu nó phải đáp ứng.Một khi
bạn xác định các chức năng bạn cần, bạn nên cẩn thận xem xét các đặc điểm
của từng sản phẩm và từ đó xácđịnh mà một trong những phù hợp nhất với nhu
cầu của bạn.Cả hai máy chủ cung cấp cùng một mức độ cốt lõi của an ninh
không phải là dễ dàng hơn để thỏa hiệp Server Standard hơn so với phiên bản
Enterprise. Sự khác biệt nằm ở tính năng bảo mật bổ sung mà Enterprise
Editioncung cấp và chi phí cao hơn giấy phép.
IV. Chính sách tài khoản người dùng.
Chính sách tài khoản người dùng (Account Policy) được dùng để chỉ
định các thông số về tài khoản người dùng mà nó được sử dụng khi tiến trình
logon xảy ra. Nó cho phép bạn cấu hình các thông số bảo mật máy tính cho mật
khẩu, khóa tài khoản và chứng thực Kerberos trong vùng. Nếu trên Server
thành viên thì bạn sẽ thấy hai mục Password Policy và Account Lockout

Policy, trên máy Windows Server 2003 làm domain controller thì bạn sẽ thấy
ba thư mục Password Policy, Account Lockout Policy và Kerberos Policy.
Trong Windows Server 2003 cho phép bạn quản lý chính sách tài khoản tại hai
cấp độ là: cục bộ và miền. Muốn cấu hình các chính sách tài khoản người dùng
ta vào Start Programs Administrative Tools Domain Security Policy hoặc Local
Security Policy.

GVHD: Th.s Vương Quốc Dũng

Page 18


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012

1) Chính sách mật khẩu.
Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn cho
mật khẩu của người dùng để trách các trường hợp đăng nhập bất hợp pháp vào
hệ thống. Chính sách này cho phép bạn qui định chiều dài ngắn nhất của mật
khẩu, độ phức tạp của mật khẩu…

GVHD: Th.s Vương Quốc Dũng

Page 19


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012

Chính sách

Mô tả


Enforce
Password
History
Maximum

Số lần đặt mật mã không
được trùng

Mặc
định
24
42.

Password Age

Quy định số ngày nhiều
nhất mà mật

Minimum
Password Age

Quy số ngày tối thiểu
trước khi người

1

Minimum
Password
Length

Passwords

Chiều dài ngắn nhất của
mật mã

7

Must Meet

Mật khẩu phải có độ phức
tạp như: có

Cho
phép

Complexity
Requirements

ký tự hoa, thường, có ký
số.

Store
Mật mã người dùng được
Password Using
lưu dưới
Các lựa chọn trong chính sách mật mã:

Không
cho
phép


2) Chính sách khóa tài khoản.
Chính sách khóa tài khoản (Account Lockout Policy) quy định cách
thức và thời điểm khóa tài khoản trong vùng hay trong hệ thống cục bộ. Chính
sách này giúp hạn chế tấn công thông qua hình thức logon từ xa.
Các thông số cấu hình chính sách khóa tài khoản:
Chính
Account
sách
Lockout

Mô tả
Quy định số lần
cố gắng

Threshol
d

đăng nhập trước
khi tài khoản bị
khóa

GVHD: Th.s Vương Quốc Dũng

Giá trị mặc định
0 (tài khoản sẽ không bị
khóa)

Page 20



Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
Account
Lockout

Quy định thời
gian khóa tài

Là 0, nhưng nếu Account
Lockout

Duration

khoản

Threshold được thiết lập thì
giá trị này
là 30 phút.

Reset
Account

Quy định thời
gian đếm lại

Là 0, nhưng nếu Account
Lockout

Lockout
Counter


số lần đăng nhập
không

Threshold được thiết lập thì
giá trị này

After

thành công

là 30 phút.

V- Chính sách cục bộ.
Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách
giám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung.
Đồng thời dựa vào công cụ này bạn có thể cấp quyền hệ thống cho các người
dùng và thiết lập các lựa chọn bảo mật.
A. Chính sách kiểm toán.
Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi
nhận các sự kiện xảy ra trong hệ thống, trên các đối tượng cũng như đối với các
người dùng. Bạn có thể xem các ghi nhận này thông qua công cụ Event
Viewer,
trong
mục
Security.

Các lựa chọn trong
chính sách kiểm toán:
Chính sách

GVHD: Th.s Vương Quốc Dũng

Mô tả
Page 21


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
Audit Account
Logon Events

Kiểm toán những sự kiện khi tài khoản
đăng nhập, hệ thống sẽ ghi

Audit Account
Management

Hệ thống sẽ ghi nhận khi tài khoản người
dùng hoặc nhóm có sự

Audit Directory
Service

thay đổi thông tin hay các thao tác quản trị
liên nhân
quan việc
đến tài
khoản
Ghi
truy
cập các dịch vụ thư

mục

Audit Logon
Events

Ghi nhân các sự kiện liên quan đến quá
trình logon như thi hành một

Audit Object
Access

Ghi nhận việc truy cập các tập tin, thư
mục, và máy tin.

Audit Policy
Change

Ghi nhận các thay đổi trong chính sách
kiểm toán

Audit privilege
use

Hệ thống sẽ ghi nhận lại khi bạn bạn
thao tác quản trị trên các quyền

Audit process
tracking
Audit system
event


hệ thống như cấp hoặc xóa quyền của một
ai
đó. toán này theo dõi hoạt động của
Kiểm
chương trình hay hệ điều
Hệ thống sẽ ghi nhận mỗi khi bạn khởi
động lại máy hoặc tắt máy.

B. Quyền hệ thống của người dùng.

GVHD: Th.s Vương Quốc Dũng

Page 22


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
Đối với hệ thống Windows Server 2003, có hai cách cấp quyền hệ thống
cho người dùng là gia nhập tài khoản người dùng vào các nhóm tạo sẵn (builtin) để kế thừa quyền hoặc bạn dùng công cụ .User Rights Assignment để gán
từng quyền rời rạc cho người dùng. Cách thứ nhất bạn đã biết sử dụng ở
chương trước, chỉ cần nhớ các quyền hạn của từng nhóm tạo sẵn thì bạn có thể
gán quyền cho người dùng theo yêu cầu. Để cấp quyền hệ thống cho người
dùng theo theo cách thứ hai thì bạn phải dùng công cụ Local Security Policy
(nếu máy bạn không phải Domain Controller) hoặc Domain Controller Security
Policy (nếu máy bạn là Domain Controller). Trong hai công cụ đó bạn mở
mụcLocal Policy\ User Rights Assignment.

Để thêm, bớt một quyền hạn cho người dùng hoặc nhóm, bạn nhấp đôi
chuột vào quyền hạn được chọn, nó sẽ xuất hiện một hộp thoại chứa danh sách
người dùng và nhóm hiện tại đang có quyền này.Bạn có thể nhấp chuột vào nút

Add để thêm người dùng, nhóm vào danh sách hoặc nhấp chuột vào nút
Remove để xóa người dùng khỏi danh sách. Ví dụ minh họa sau là bạn cấp
quyền thay đổi giờ hệ thống (change the system time) cho người dùng “Tuan”

GVHD: Th.s Vương Quốc Dũng

Page 23


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012

Danh sách các quyền hệ thống cấp cho người dùng và nhóm:

Quyền
Access This
Computer from

Mô tả
Cho phép người dùng truy cập máy tính
thông qua mạng. Mặc

Act as Part of
the Operating

Cho phép các dịch vụ chứng thực ở mức
thấp chứng thực với bất

Add
Workstations to
the

Back Up

Cho phép người dùng thêm một tài khoản
máy tính vào vùng.

Files and

Cho phép người dùng sao lưu dự phòng
(backup) các tập tin và

Directories

thư mục bất chấp các tập tin và thư mục
này người đó có quyền

Bypass Traverse
Checking

Cho phép người dùng duyệt qua cấu trúc
thư mục nếu người

Change the
System Time

Cho phép người dùng thay đổi giờ hệ
thống của máy tính.

Create a
Pagefile


Cho phép người dùng thay đổi kích thước
của Page File.

GVHD: Th.s Vương Quốc Dũng

Page 24


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
Create a Token
Object

Cho phép một tiến trình tạo một thẻ bài
nếu tiến trình này dùng

Create
Permanent
Shared

Cho phép một tiến trình tạo một đối tượng
thư mục thông qua

Debug
Programs

Cho phép người dùng gắn một chương
trình debug vào bất kỳ

Deny Access to
This


Cho phép bạn khóa người dùng hoặc nhóm
không được truy cập

Deny Logon as
a Batch File

Cho phép bạn ngăn cản những người dùng
và nhóm được phép

Deny Logon as
a Service

Cho phép bạn ngăn cản những người dùng
và nhóm được phép

Deny Logon
Locally

Cho phép bạn ngăn cản những người
dùng và nhóm truy cập đến

Enable
Computer and
User

Cho phép người dùng hoặc nhóm được ủy
quyền cho người dùng hoặc một đối tượng
máy tính.


Accounts to Be
Trusted
Force by
Shutdown from
aGenerate
Security Audits

Cho phép người dùng shut down hệ
thống từ xa thông qua mạng
Cho phép người dùng, nhóm hoặc một tiến
trình tạo một entry

Increase Quotas

Cho phép người dùng điều khiển các hạn
ngạch của các tiến

Increase
Scheduling
Priority
Load and

Quy định một tiến trình có thể tăng hoặc
giảm độ ưu tiên đã được

Unload Device
Lock Pages in
Memory

GVHD: Th.s Vương Quốc Dũng


Cho phép người dùng có thể cài đặt hoặc
gỡ bỏ các driver của
Khóa trang trong vùng nhớ.

Page 25