CHÍNH SÁCH CỤC BỘ
Chính sách cục bộ (Local Policies) cho phép thiết lập các chính sách giám
sát các đối tượng trên mạng như người dùng và tài nguyên chung. Đồng thời có thể
cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mật với người
dùng.
2.2.1. Chính sách kiểm toán
Chính sách kiểm toán (Audit Policies) giúp ta có thể giám sát và ghi nhận
các sự kiện xảy ra trong hệ thống, trên các đối tượng cũng như đối với các người
dùng. Có thể xem các ghi nhận này thông qua công cụ Event Viewer, trong thư mục
Security. Các lựa chọn trong chính sách kiểm toán:
Bảng 2.4 Chính sách kiểm toán
Chính sách

Mô tả

Audit Account Logon Events

Kiểm toán khi tài khoản đăng nhập

Audit Account Managements

Hệ thống ghi nhận tài khoản người dùng có
sự thay đổi thông tin hay các thao tác quản
trị liên quan đến tài khoản người dùng

Audit Directory Service Access

Ghi nhận việc truy cập các dịch vụ thư mục

Audit Logon Events

Ghi nhận các sự kiện liên quan đến quá trình
logon như thi hành một logon Script hay
truy cập đến một roaming profile

Audit Object Access
Audit Policy Change
Audit Privilege Use

Ghi nhận việc truy cập các tập tin, thư mục,
máy in
Ghi nhận các thay đổi trong chính sách kiểm
toán
Hệ thống sẽ ghi nhận lại khi ta thao tác quản
trị trên các quyền hệ thống như cấp hoặc
xóa quyền của một ai đó

Audit Process Tracking

Theo dõi hoạt động của một chương trình
hay một hệ điều hành

Audit System Events

Hệ thống sẽ ghi nhận mỗi khi bạn khởi động
lại máy hay tắt máy


2.2.2. Quyền hệ thống của người dùng
Quyền hệ thống của người dùng (User Rights Assignment) là quyền hệ thống
cung cấp cho người dùng các quyền quản trị và sử dụng hệ thống

Có 2 cách cấp quyền hệ thống cho người dùng:
- Thêm tài khoản người dùng vào các nhóm đã được tạo sẵn (built-in) để
thừa kế.
- Dùng công cụ User Right Assigment để gán từng quyền rời rạc cho người
dùng.

Hình 2.4 Các chính sách trong User Rights Assignment
Muốn thêm hay bớt quyền hạn cho người dùng hoặc nhóm, ta nhấp đôi chuột
vào quyền hạn được chọn, nó sẽ xuất hiện hộp thoại chứa danh sách người dùng và
nhóm hiện đang có quyền này. Nhấp chuột vào nút Add để thêm người dùng, nhóm
vào danh sách, hoặc remove để xóa người dùng khỏi danh sách.
Bảng 2.5 Danh sách các quyền hệ thống cấp cho người dùng và nhóm
Quyền

Mô tả
Access This Computer From The Cho phép người dùng truy cập máy tính
trên mạng. Mặc định mọi người đều có
Network
quyền này.
Act As Part Of The Operating Cho phép các dịch vụ chứng thực ở mức
System
thấp với bất kì người dùng nào.
Add Workstations To The Cho phép người dùng thêm 1 tài khoản
Domain
máy tính trong vùng.


Chỉ định ai được phép điều chỉnh chỉ tiêu
Adjust Memory Quotas For A bộ nhớ dành cho một quá trình xử lý.
Process

Chính sách làm tăng hiệu suất của hệ
thống.
Allow Log On Locally

Cho phép những người dùng và nhóm truy
cập đến máy tính cục bộ

Allow Log On Through Terminal Cho phép ai được phép sử dụng dịch vụ
Services
Terminal để đăng nhập vào hệ thống.
Back Up Files And Directories

Bypass Traverse Checking

Cho phép người dùng sao lưu dự phòng
các tập tin và thư mục bất chấp các tập tin
và thư mục này người đó có quyền hay
không.
Cho phép người dùng duyệt qua cấu trúc
thư mục nếu người dùng không có quyền
xem nội dung thư mục này.

Change The System Time

Cho phép người dùng thay đổi giờ hệ
thống máy tính.

Create A Pagefile

Thiết lập user được phép tạo bộ nhớ ảo.


Change The Time Zone

Cho phép người dùng thay đổi múi giờ.

Cho phép một tiến trình tạo một thẻ bài
nếu tiến trình này dùng NTCreate Token
API.
Create
Permanent
Shared Cho phép một tiến trình tạo một đối tượng
thư mục thông qua Windows 2008 Object
Objects
Manager.
Cho phép người dùng gắn một chương
Debug Programs
trình debug vào bất kì tiến trình nào.
Cho phép bạn khóa người dùng hay nhóm
Deny Access To This Computer
không được truy cập đến các máy tính trên
From The Network
mạng.
Create A Token Object

Deny Logon As A Batch File
Deny Logon As A Service
Deny Log On Locally

Cho phép bạn ngăn cản những người dùng
và nhóm được phép logon như 1 batch file.

Cho phép bạn ngăn cản những người dùng
và nhóm truy cập như một services.
Cấm User Logon cục bộ.


Enable Computer And User Cho phép người dùng hay nhóm được ủy
Account To Be Trusted By quyền cho người dùng hay một đối tượng
Deletgation
máy tính.
Force Shutdown From A Remote Cho phép người dùng Shutdown hệ thống
System
từ xa thông qua mạng.
Cho phép người dùng, nhóm hay một tiến
Generate Security Audits
trình tạo 1 entry vào Security log.
Increase Scheduling Priority
Load And
Drivers

Upload

Lock Pages In Memory
Log On As A Batch Job
Log On As A Service
Log On Locally

Quy định một tiến trình có thể tăng hay
giảm độ ưu tiên đã được gắn cho tiến trình
khác.


Device Cho phép người dùng có thể cài đặt hay gỡ
bỏ các driver của các thiết bị
Khóa trang trong vùng nhớ.
Cho phép một tiến trình logon vào hệ
thống và thi hành 1 tập tin chứa các lệnh
hệ thống.
Cho phép một dịch vụ logon và thi hành
một dịch vụ riêng.
Thiết lập User Logon cục bộ.

Manage Auditing And Security Cho phép người dùng quản lý security log.
Log
Modify Firmware Environment Cho phép người dùng hay một tiến trình
Values
hiệu chỉnh các biến môi trường hệ thống.
Cho phép người dùng giám sát các tiến
Profile Single Process
trình bình thường thông qua công cụ
Performancer Logs and Alerts.
Cho phép người dùng giám sát các tiến
Profile System Performance
trình hệ thống thông qua công cụ
Performance Logs and Alerts.
Remove
Computer
From Cho phép người dùng gỡ bỏ 1 Laptop
Docking Station
thông qua giao diện người dùng .
Cho phép một tiến trình thay thế một token
Replace A Process Level Token

mặc định mà được tạo bởi một tiến trình


Restore Files And Directories

Cho phép người dùng phục hồi tập tin và
thư mục, bất chấp người dùng này có
quyền trên file và thư mục này hay không.

Shut Down The System

Cho phép người dùng shutdown máy cục
bộ windows 2008.

Synchronize Directory Service Cho phép người dùng đồng bộ dữ liệu với
Data
một dịch vụ thư mục.
Take Ownership Of Files Or Cho phép người dùng tước quyền sở hữu
Others Objects
của một đối tượng hệ thống.
2.2.3. Các lựa chọn bảo mật
Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server khai
báo thêm các thông số nhằm tăng tính bảo mật cho hệ thống như không cho phép
hiển thị người dùng đã logon trước đó hay đổi tên tài khoản người dùng đã tạo sẵn
(administrator, guest).

Hình 2.5 Các chính sách trong Security Options
Trong hệ thống Windows Server 2008 hỗ trợ cho chúng ta rất nhiều lựa chọn
bảo mật, có thể kể đến một vài lựa chọn bảo mật thông dụng như sau:
Bảng 2.5 Một số lựa chọn bảo mật

Tên lựa chọn

Mô tả

Accounts: Administrator account status

Trạng thái hoạt động của
Administrator

Accounts: Guest account status

Trạng thái hoạt động của User
Guest

Accounts: Limit local account use of blank Đăng nhập không cần mật khẩu


passwords to console logon only
Accounts: Rename administrator account

Cho phép đổi tên tài khoản
Administrator thành tên mới

Accounts: Rename guest account

Cho phép đổi tên tài khoản
Guest thành tên mới

Audit: Audit the access of global system Kiểm toán cấc truy nhập của
object

các đối tượng hệ thống toàn cục
Audit: Audit the use of Backup and Restore Kiểm toán việc sử dụng sao lưu
privilege
và khôi phục đặc quyền
Kiểm toán việc tắt hệ thống
Audit: Shutdown system immediately if
ngay lập tức nếu không thể
unable to log security audits
đăng nhập kiểm toán bảo mật
Devices: Allow unlock without having to Cho phép mở khóa mà không
log on
cần đăng nhập vào
Devices: Prevant user from installing printer
Không cho phép cài Printer
drivers
Devices: Restrict CD-ROM access to locally Cấm truy nhập từ xa tới CD –
logged – user only
ROM
Devices: Restrict floppy access to locally
Cấm truy nhập từ xa tới FDD
logged-on user only
Cho phép nhóm Server
Domain Controller: Allow server operators
Operator lập lịch tác vụ trên
to schedule tasks
server
Domain Controller: Refuse machine account Tài khoản máy không được
password changes
thay đổi mật khẩu
Domain member: Disable machine account Vô hiệu hóa tài khoản thay đổi

password changes
mật khẩu
Domain member: Maximum
account password age

machine Mật khẩu của tài khoản máy có
số ngày tối đa

Domain member: Require strong session
Yêu cầu khóa phải mạnh
key
Interactive logon: Do not display last user Không hiển thị tên người dùng
name
cuối
Interactive logon:
CTRL+ALT+DEL

Do

not

require Không yêu cầu bấm 3 phím
CTRL+ALT+DEL khi logon


Interactive logon: Message text for user Tạo câu thông báo cho người
attempting to log on on and message title for dùng đăng nhập vào máy tính
users attempting to log in
và nhập dòng tiêu đề
Interactive logon: Prompt user to change Nhắc nhở người dùng thay đổi

password before expiration
mật khẩu trước khi hết hạn
Interactive
logon:
Require
Controller
authentication
to
workstation

Domain Yêu cầu chứng thực Domain
unlock Controller để mở khóa máy
trạm

Interactive logon: Require smart card

Yêu cầu thẻ

Interactive logon: Smart card removal
Loại bỏ thẻ
behavior
Microsoft network server: Disconnect Ngắt kết nối máy khách khi giờ
clients when logon hours expire
đăng nhập hết hạn
Recovery console:
administrator logon

Allow

automatic Cho phép administrator tự động

đăng nhập

Cho phép copy đĩa mềm và truy
Recovery console: Allow floppy coppy and
cập vào tất cả các ổ đĩa và thư
access to all drives and folder
mục
Shutdown: Allow system to be shut down Cho phép người dùng tắt hệ
without having to log on
thống mà không cần đăng nhập
System cryptography: Use FIPS compliant Hệ thống mật mã: Sử dụng
algorithms for encryption, hashing and FIPS tuân thủ các thuật toán mã
singing
hóa
Tăng cường cho phép mặc định
System
object:
Strengthen
default
của các đối tượng hệ thống nội
permissions of internal system object
bộ
System settings: Optinal subsystems

Tùy chọn hệ thống con

Shutdown: Clear vitual memory pagefile

Xóa bộ nhớ ảo khi tắt hệ thống