BS Hệ Thống Mạng Trang 1 Lê Xuân Tùng
LOCAL SECURITY POLICY
I. Chuẩn bị
- Logon vào với Administrator, tạo user có tên là u1, đặt password là u1
- Logoff Administrator Logon u1
- Logoff u1 Logon Administrator
Khởi động
Vào menu Start Program Administrator Tools Local Security Policy
hoặc vào Start Run secpol.msc
Cửa sổ trên giống một phần của cửa sổ Group Policy Object Editor (gpedit.msc) ở
mục Computer Configuration Windows Settings Security Settings cho nên
ta có thể dùng gpedit.msc để xác định local Security Policy.
II. Thực thi một số local security policy
1. Đặt chính sách Password trên một máy tính đơn
Giả sử ta đưa ra yêu cầu là password của một user có chiều dài tối thiếu là 5 ký tự và
có độ phức tạp
B1 : Ta vào Computer Configuration Windows Settings Security Settings
Account Policies Password Policy
BS Hệ Thống Mạng Trang 2 Lê Xuân Tùng
Nhấp đúp chuột lên Minimum password length đổi giá trị chiều dài là 5
Apply OK
Nhấp đúp chuột lên Password must meet Complexity requirements chọn
Enabled Apply OK
B2 : Bây giờ ta tạo user u2 có password là u2 ta sẽ thấy thông báo lỗi như sau
OK gõ password cho u2 là 12345?a Create Close
2. Chống dò password, hạn chế số lần nhập password sai
B1 : Ta vào Computer Configuration Windows Settings Security Settings
Account Policies Account Lockout Policy
BS Hệ Thống Mạng Trang 3 Lê Xuân Tùng
Nhấp đúp chuột vào Account lockout threshold Trong mục Account will lock
out after nhập giá trị 3 (sẽ khoá account sau 3 lần login sai password) OK
BS Hệ Thống Mạng Trang 4 Lê Xuân Tùng
nó sẽ tự động nhập các giá trị như là :
Account lockout duration 30 minutes : sẽ khoá user 30 phút nếu nhập sai password
vượt quá số lần quy định
Reset account lockout counter after 30 minute : số lần nhập sai password sẽ được
tính tăng dần trong vòng 30 phút kể từ lúc nhập sai password lần đầu.
3. Không hiện tên user vừa logon ở cửa sổ logon sau khi đã logoff nó
Ta vào Computer Configuration Windows Settings Security Settings
Local Policies Security option Interactive logon : Do not display last user
name Enabled
BS Hệ Thống Mạng Trang 5 Lê Xuân Tùng
4. Không cho user chạy một file ứng dụng nào đó
B1 : Giả sử ta không người sử dụng chạy 2 ứng dụng là máy tính tay (calc.exe) và
trình duyệt IE (iexplore.exe), ta vào User Configuration Administrative
Templates System Don’t run specified windows applications
Chọn Enabled bấm nút Show