1
TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN
KHOA ĐiỆN TỬ - ViỄN THÔNG
Chương 04
CHÍNH SÁCH HỆ THỐNG
2/47
CHÍNH SÁCH HỆ THỐNG
CHÍNH SÁCH HỆ THỐNG

Chính sách tài khoản người dùng

Chính sách cục bộ

IP Security (IPSec)
3/47
Chính sách tài khoản người dùng
Chính sách tài khoản người dùng

Account Policy: ñược dùng ñể chỉ ñịnh các thông số về tài khoản
người dùng khi tiến trình logon xảy ra
 Công cụ cấu hình: Start  Programs  Administrative Tools  Domain
Security Policy hoặc Local Security Policy.
4/47
Chính sách tài khoản người dùng (t.t)
Chính sách tài khoản người dùng (t.t)

Chính sách mật khẩu (Password Policies)

Password Policies nhằm ñảm bảo an toàn cho tài khoản của
người dùng.


Password Policies cho phép qui ñịnh ñộ dài, ñộ phức tạp của
mật khẩu
2
5/47
Chính sách mật khẩu (t.t)
Chính sách mật khẩu (t.t)

Các chính sách mật khẩu mặc ñịnh
1
Quy số này tối thiểu trước khi người
dùng có thể thay ñổi mật mã.
Minimum Password Age
7Chiều dài ngắn nhất của mật mãMinimum Password Length
Cho phépMật khẩu phải có ñộ phức tạp như: có ký
tự hoa, thường, có ký số.
Passwords Must Meet
Complexity Requirements
Không cho phépMật mã người dùng ñược lưu dưới dạng
mã hóa
Store Password Using
Reversible Encryption for All
Users in the Domain
42
Số ngày nhiều nhất mà mật khẩu nười
dùng có hiệu lực
Maximum Password Age
24Số lần mật khẩu không ñược trùng nhauEnforce Password History
Mặc ñịnhMô tảChính sách
6/47
Chính sách tài khoản người dùng (t.t)

Chính sách tài khoản người dùng (t.t)

Chính sách khoá tài khoản (Account Lockout Policy)
 Account Lockout Policy quy ñịnh cách thức và thời ñiểm khoá tài khoản
 Chính sách này hạn chế tấn công thông qua hình thức logon từ xa
7/47
Chính sách khoá tài khoản (t.t)
Chính sách khoá tài khoản (t.t)

Các chính sách khoá tài khoản mặc ñịnh
Là 0, nhưng nếu Account Lockout
Threshold ñược thiết lập thì giá
trị này là 30 phút
Quy ñịnh thời gian ñếm lại số
lần ñăng nhập không thành
công
Reset Account
Lockout Counter
After
Là 0, nhưng nếu Account Lockout
Threshold ñược thiết lập thì giá
trị này là 30 phút
Quy ñịnh thời gian khóa tài
khoản
Account Lockout
Duration
0 (tài khoản sẽ không bị khóa) Quy ñịnh số lần cố gắng ñăng
nhập trước khi tài khoản bị
khóa
Account Lockout

Threshold
Giá trị mặc ñịnhMô tảChính sách
8/47
Chính sách cục bộ
Chính sách cục bộ

Local Policies: cho phép thiết lập các chính sách giám sát các ñối
tượng trên mạng cấp quyền hệ thống cho người dùng và các lựa
chọn người dùng
 Chính sách kiểm toán (Audit Policies) giúp giám sát và ghi nhận các sự kiện
diễn ra trong hệ thống
3
9/47
Chính sách kiểm toán
Chính sách kiểm toán

Các lựa chọn trong chính sách kiểm toán
Ghi nhận các thay ñổi trong chính sách kiểm toán Audit Policy Change
Ghi nhận việc truy cập các tập tin, thư mục, và máy tin Audit Object Access
Ghi nhân các sự kiện liên quan ñến quá trình logon như thi hành
một logon script hoặc truy cập ñến một roaming profile
Audit Logon Events
Ghi nhân việc truy cập các dịch vụ thư mục Audit Directory
Service Access
Hệ thống sẽ ghi nhận khi tài khoản người dùng hoặc nhóm có sự
thay ñổi thông tin hay các thao tác quản trị liên quan ñến tài
khoản người dùng
Audit Account
Management
Kiểm toán những sự kiện khi tài khoản ñăng nhập, hệ thống sẽ ghi

nhận khi người dùng logon, logoff hoặc tạo một kết nối mạng
Audit Account Logon
Events
Mô tảChính sách
10/47
Chính sách kiểm toán
Chính sách kiểm toán

Các lựa chọn trong chính sách kiểm toán (t.t)
Hệ thống sẽ ghi nhận mỗi khi bạn khởi ñộng lại máy hoặc tắt máy Audit system event
Kiểm toán này theo dõi hoạt ñộng của chương trình hay hệ ñiều
hành
Audit process tracking
Hệ thống sẽ ghi nhận lại khi bạn bạn thao tác quản trị trên các
quyền hệ thống như cấp hoặc xóa quyền của một ai ñó
Audit privilege use
Mô tảChính sách
11/47
Chính sách cục bộ
Chính sách cục bộ

Quyền hệ thống của người dùng (User Rights
Assignment)
12/47
Quyền hệ thống của người dùng
Quyền hệ thống của người dùng

Một số quyền hệ thống cho người dùng và nhóm
Cho phép người dùng ñăng nhập cục bộ vào serverAllow log on locally
Cho phép người dùng duyệt qua cấu trúc thư mục nếu

người dùng không có quyền xem (list) nội dung thư mục
này.
Bypass Traverse Checking
Cho phép bạn khóa người dùng hoặc nhóm không ñược
truy cập ñến các máy tính trên mạng.
Deny Access to This
Computer from the Network
Cho phép người dùng thay ñổi giờ hệ thống của máy tính. Change the System Time
Cho phép người dùng sao lưu dự phòng (backup) các tập
tin và thư mục bất chấp các tập tin và thư mục này người
ñó có quyền không.
Back Up Files and Directories
Cho phép người dùng truy cập máy tính thông qua mạng.
Mặc ñịnh mọi người ñều có quyền này.
Access This Computer from
the Network
Mô tảQuyền
4
13/47
Quyền hệ thống của người dùng
Quyền hệ thống của người dùng

Một số quyền hệ thống cho người dùng và nhóm (t.t)
Cho phép người dùng cài ñặt hoặc gở bỏ driver của thiết
bị
Load and unload device
drivers
Cho phép bạn ngăn cản những người dùng và nhóm truy
cập ñến máy tính cục bộ.
Deny Logon Locally

Cho phép người dùng logon tại máy tính Server.Log On Locally
Cho người dùng tước quyền sở hữu của một ñối tượng hệ
thống.
Take Ownership of Files or
Other Objects
Cho phép người dùng shut down cục bộ máy Windows
2003.
Shut Down the System
Cho phép người dùng phục hồi tập tin và thư mục, bất
chấp người dùng này có quyền trên file và thư mục này
hay không.
Restore Files and Directories
Mô tảQuyền
14/47
Chính sách cục bộ
Chính sách cục bộ

Các lựa chọn bảo mật (Security Options)
15/47
Các lựa chọn bảo mật
Các lựa chọn bảo mật

Các lựa chọn bảo mật thông dụng
Cho phép ñổi tên tài khoản Guest thành
tên mới
Account: rename guest account
Cho phép ñổi tên tài khoản Administrator
thành tên mới
Account: rename administrator account
Không hiển thị tên người dùng ñã logon trên

hộp thoại Logon.
Interactive logon: do not display last user
name
Không yêu cầu ấn ba phím CTRL+ALT+DEL
khi logon.
Interactive logon: do not require
CTRL+ALT+DEL
Tự ñộng log off khỏi hệ thống khi người
dùng hết thời gian sử dụng hoặc tài khoản
hết hạn.
Network security: force logoff when logon
hours expires.
Giám sát việc truy cập các ñối tượng hệ
thống toàn cục.
Audit : audit the access of global system
objects
Cho phép người dùng shutdown hệ thống mà
không cần logon.
Shutdown: allow system to be shut down
without having to log on
Mô tảTên lựa chọn
16/47
IP Security (IPSec)
IP Security (IPSec)

IP Security là giao thức hổ trợ các kết nối
an toàn dựa trên IP.

IPSec là hoạt ñộng ở tầng thứ 3 (Network)


IPSec hoat ñộng dựa trên các qui tắc (rule)
bao gồm các bộ lọc (filter) và các tác ñộng
(action)
5
17/47
IP Security (IPSec)
IP Security (IPSec)

Các tác ñộng bảo mật

Block transmissons: ngăn chặn những gói tin ñược truyền

Encrypt transmissions: mã hoá những gói tin trước khi
truyền nhằm chống nghe trộm dữ liệu

Sign transmissions: cho phép ký tên vào dữ liệu trước
khi truyền nhằm tránh kẽ tấn công giả dạng những gói dữ
liệu truyền

Permit transmissions: Cho phép dữ liệu ñường truyền qua
18/47
IP Security (IPSec)
IP Security (IPSec)

Các bộ lọc (Filter) IPSec

Filter dùng ñể thống kê các ñiều kiện ñể thực hiện các
hoạt ñộng.

Giới hạn tầm tác dụng của các tác ñộng lên một phạm vi

máy tính nào ñó.

Bộ lọc IPSec dựa trên các yếu tố:
 ðịa chỉ IP, subnet hoặc tên DNS của máy nguồn.
 ðịa chỉ IP, subnet hoặc tên DNS của máy ñích.
 Theo số hiệu cổng (port) và kiểu cổng (TCP, UDP, ICMP…)
19/47
IP Security (IPSec)
IP Security (IPSec)

Triển khai IPSec trên Windows Server 2003
20/47
Triển khai IPSec trên Windows Server
2003
Triển khai IPSec trên Windows Server
2003

Các chính sách IPSec tạo sẵn:

Client (Respond Only): Qui ñịnh máy Client không chủ
ñộng dùng IPSec trừ khi có yêu cầu IPSec từ máy
Sever.

Server (Request Security): Chính sách này qui ñịnh máy
sever cố gắng yêu cầu IPSec khi thiết lập ñến máy khác.
Nhưng nếu Client không cấu hình IPSec thì Server vẫn
chấp nhận

Secure Server (Require Security): bắc buộc phải có
chính sách IPSec khi thực hiện trao ñổi dữ liệu với

Sever