Bài 11
CHÍNH SÁCH HỆTHỐNG
Tóm tắt
Lý thuyết 5 tiết -Thực hành 6 tiết
Mục tiêu Các mục chính Bài tập bắt Bài tập làm
buộc thêm
Kết thúc bài học này cung
cấp học viên kiến thức
vềchính sách mật khẩu,
chính sách khóa tài khoản
nguời dùng, quyền hệthống
của người dùng, IPSec …
I. Chính sách tài khoản người dùng. II.
Chính sách cục bộ. III. IPSec.
Dựa vào bài
tập môn Quản
trịWindows
Server 2003.
Dựa vào bài tập
môn Quản
trịWindows
Server 2003.
I. CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG.
Chính sách tài khoản người dùng (Account Policy) được dùng đểchỉđịnh các thông sốvềtài khoản
người dùng mà nó đượcsửdụng khi tiến trình logon xảy ra. Nó cho phép bạncấu hình các thông
sốbảomật máy tính cho mật khẩu, khóa tài khoản và chứng thực Kerberos trong vùng. Nếu trên
Server thành viên thì bạnsẽthấy hai mục Password Policy và Account Lockout Policy, trên máy
Windows Server 2003 làm domain controller thì bạnsẽthấy ba thưmục Password Policy,
Account Lockout Policy và Kerberos Policy. Trong Windows Server 2003 cho phép bạn quản
lý chính sách tài khoản tại hai cấp độlà: cụcbộvà miền. Muốncấu hình các chính sách tài khoản
người dùng ta vào Start Programs Administrative Tools Domain Security Policy hoặc

Local Security Policy.
I.1. Chính sách mật khẩu.Chính sách mật khẩu(Password Policies) nhằm đảmbảo an
toàn cho mật khẩucủa người dùng để
trách các trường hợp đăng nhậpbấthợp pháp vào hệthống. Chính sách này cho phép bạn qui
địnhchiều dài ngắn nhấtcủamật khẩu, độphứctạpcủamật khẩu…
Các lựa chọn trong chính sách mật mã:
Chính sách Mô tả
Enforce Password History Sốlần đặt mật mã không được trùng nhau 24
Maximum Password Age
Quy định sốngày nhiều nhất mà mật mã
người dùng có hiệu lực
42.
Minimum Password Age
Quy sốngày tối thiểu trước khi người
dùng có thểthay đổi mật mã.
1
Minimum Password Length Chiều dài ngắn nhất của mật mã 7
Passwords Must Meet
Complexity Requirements
Mật khẩu phải có độphức tạp như: có ký
tựhoa, thường, có ký số.
Cho phép
Store Password Using
Reversible Encryption for All
Users in the Domain
Mật mã người dùng được lưu dưới dạng
mã hóa
Không cho phép
I.2. Chính sách khóa tài khoản.Chính sách khóa tài khoản(Account Lockout Policy)
quy định cách thức và thời điểm khóa tài khoản

trong vùng hay trong hệthống cụcbộ. Chính sách này giúp hạn chếtấn công thông qua hình thức
logon từxa.
Các thông sốcấu hình chính sách khóa tài khoản:
Chính sách Mô tả
Account Lockout
Threshold
Quy định sốlần cốgắng đăng
nhập trước khi tài khoản
bịkhóa
0 (tài khoản sẽkhông bịkhóa)
Account Lockout
Duration
Quy định thời gian khóa tài
khoản
Là 0, nhưng nếu Account Lockout
Threshold được thiết lập thì giá trịnày là
30 phút.
Reset Account
Lockout Counter
After
Quy định thời gian đếm lại
sốlần đăng nhập không thành
công
Là 0, nhưng nếu Account Lockout
Threshold được thiết lập thì giá trịnày là
30 phút.
II. CHÍNH SÁCH CỤC BỘ.
Chính sách cụcbộ(Local Policies) cho phép bạn thiếtlập các chính sách giám sát các
đốitượng trên mạng nhưngười dùng và tài nguyên dùng chung. Đồng thờidựa vào công
cụnày bạn có thểcấp quyềnhệthống cho các người dùng và thiếtlập các lựa

chọnbảomật.
II.1. Chính sách kiểm toán.Chính sách kiểm toán (Audit Policies) giúp bạn có thểgiám
sát và ghi nhận các sựkiệnxảy ra trong
hệthống, trên các đốitượng cũng nhưđốivới các người dùng. Bạn có thểxem các ghi nhận này
thông qua công cụEvent Viewer, trong mục Security.
Các lựa chọn trong chính sách kiểm toán:
Audit Account Logon Events
Audit Account Management
Audit Directory Service Access
Audit Logon Events
Audit Object Access
Audit Policy Change
Audit privilege use
Audit system event Kiểm toán những sựkiện khi tài khoản đăng nhập, hệthống sẽghi nhận khi
người dùng logon, logoff hoặctạomộtkếtnốimạng
Hệthống sẽghi nhận khi tài khoản người dùng hoặc nhóm có sựthay đổi thông tin hay các thao tác
quản trịliên quan đến tài khoản người dùng.
Ghi nhân việc truy cập các dịch vụthưmục
Ghi nhân các sựkiện liên quan đến quá trình logon nhưthi hành một logon script hoặc truy cập
đếnmột roaming profile.
Ghi nhận việc truy cập các tập tin, thưmục, và máy tin.
Ghi nhận các thay đổi trong chính sách kiểm toán
Hệthống sẽghi nhậnlại khi bạnbạn thao tác quản trịtrên các quyền hệthống nhưcấp hoặc xóa
quyềncủamột ai đó.
Kiểm toán này theo dõi hoạt động của chương trình hay hệđiều hành.
Hệthống sẽghi nhậnmỗi khi bạn khởi động lại máy hoặctắt máy.
II.2. Quyềnhệthống của người dùng. Đốivớihệthống Windows Server 2003,bạn có
hai cách cấp quyềnhệthống cho người dùng là: gia nhập tài khoản người dùng vào các nhóm
tạosẵn(built-in) đểkếthừa quyền hoặcbạn dùng công cụUser Rights Assignment đểgán từng
quyềnrờirạc cho người dùng. Cách thứnhấtbạn đã biếtsửdụng ởchương trước, chỉcần nhớcác

quyềnhạncủatừng nhóm tạosẵn thì bạn có thểgán quyền cho người dùng theo yêu cầu. Đểcấp
quyềnhệthống cho người dùng theo theo cách thứhai thì bạn phải dùng công cụLocal Security
Policy (nếu máy bạn không phải Domain Controller) hoặc Domain
Controller Security Policy (nếu máy bạn là Domain Controller). Trong hai công cụđóbạnmởmục
Local Policy\ User Rights Assignment.
Đểthêm, bớtmột quyềnhạn cho người dùng hoặc nhóm, bạn nhấp đôi chuột vào quyềnhạn được
chọn, nó sẽxuất hiệnmộthộp thoại chứa danh sách người dùng và nhóm hiệntại đang có quyền
này. Bạn có thểnhấp chuột vào nút Add đểthêm người dùng, nhóm vào danh sách hoặc nhấp
chuột vào nút Remove đểxóa người dùng khỏi danh sách. Ví dụminh họa sau là bạncấp quyền
thay đổi giờhệthống (change the system time) cho người dùng “Tuan”.
Danh sách các quyềnhệthống cấp cho người dùng và nhóm:
Access This Computer from the Network
Act as Part of the Operating System
Add Workstations to the Domain
Back Up Files and Directories
Bypass Traverse Checking
Change the System Time
Create a Pagefile
Create a Token Object
Create Permanent Shared Objects
Cho phép người dùng truy cập máy tính thông qua mạng. Mặc định mọi người đều có quyền này.
Cho phép các dịch vụchứng thực ởmức thấp chứng thựcvớibất kỳngười dùng nào.
Cho phép người dùng thêm một tài khoản máy tính vào vùng.
Cho phép người dùng sao lưudựphòng (backup) các tập tin và thưmụcbất chấp các tập tin và
thưmục này người đó có quyền không.
Cho phép người dùng duyệt qua cấu trúc thưmụcnếu người dùng không có quyền xem (list)nội
dung thưmục này.
Cho phép người dùng thay đổi giờhệthống của máy tính.
Cho phép người dùng thay đổi kích thướccủa Page File.
Cho phép một tiến trình tạomột thẻbài nếu tiến trình này dùng NTCreate Token API.

Cho phép một tiến trình tạomột đốitượng thưmục thông qua Windows 2000 Object Manager.
Cho phép người dùng gắnmột chương trình debug vào bấtkỳDebug Programs
tiến trình nào. Deny Access to This Cho phép bạn khóa
người dùng hoặc nhóm không được truy cập
Computer from the Network
đến các máy tính trên mạng.Cho phép bạn ngăncản những người dùng và nhóm được phép
Deny Logon as a Batch File
logon nhưmột batch file.Cho phép bạn ngăncản những người dùng và nhóm được phép
Deny Logon as a Service
logon nhưmột services.Cho phép bạn ngăncản những người dùng và nhóm truy cập đến
Deny Logon Locally
máy tính cụcbộ. Enable Computer and User Cho phép người dùng
hoặc nhóm được ủy quyền cho ngườiAccounts to Be Trusted by dùng hoặcmột đốitượng máy tính.
Delegation