TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN KHOA ĐIỆN TỬ - VIỄN THÔNG Chương 04 CHÍNH SÁCH HỆ THỐNGCHÍNH SÁCH HỆ THỐNG CHÍNH SÁCH HỆ THỐNGCHÍNH SÁCH HỆ THỐNG  Chính sách tài khoản người dùng  Chính sách cục bộ  IP Security (IPSec) 2/47  IP Security (IPSec) Chính sách tài khoản người dùngChính sách tài khoản người dùng  Account Policy: được dùng để chỉ định các thông số về tài khoản người dùng khi tiến trình logon xảy ra 3/47 Chính sách tài khoản người dùng (t.t)Chính sách tài khoản người dùng (t.t)  Chính sách mật khẩu (Password Policies)  Password Policies nhằm đảm bảo an toàn cho tài khoản của người dùng.  Password Policies cho phép qui định độ dài, độ phức tạp c ủ a m ậ t kh ẩ u 4/47 c ủ a m ậ t kh ẩ u Chính sách mật khẩu (t.t)Chính sách mật khẩu (t.t)  Các chính sách mật khẩu mặc định Chính sách Mô tả Mặc định Enforce Password History Số lần mật khẩu không được trùng nhau 24 Maximum Password Age S ố ng à y nhi ề u nh ấ t m à m ậ t kh ẩ u 42 5/47 Maximum Password Age S ố ng à y nhi ề u nh ấ t m à m ậ t kh ẩ u người dùng có hiệu lực 42 Minimum Password Age Quy số ngày tối thiểu trước khi người dùng có thể thay đổi mật mã. 1 Minimum Password Length Chiều dài ngắn nhất của mật mã 7 Passwords Must Meet Complexity Requirements Mật khẩu phải có độ phức tạp như: có ký tự hoa, thường, có ký số. Cho phép Store Password Using Reversible Encryption for All Users in the Domain Mật mã người dùng được lưu dưới dạng mã hóa Không cho phép Chính sách tài khoản người dùng (t.t)Chính sách tài khoản người dùng (t.t)  Chính sách khoá tài khoản (Account Lockout Policy)  Account Lockout Policy quy định cách thức và thời điểm khoá tài khoản  Chính sách này hạn chế tấn công thông qua hình thức logon từ xa 6/47 Chính sách khoá tài khoản (t.t)Chính sách khoá tài khoản (t.t)  Các chính sách khoá tài khoản mặc định Chính sách Mô tả Giá trị mặc định Account Lockout Quy đ ị nh s ố l ầ n c ố g ắ ng 0 (tài kho ả n s ẽ không b ị khóa) 7/47 Account Lockout Threshold Quy đ ị nh s ố l ầ n c ố g ắ ng đăng nhập trước khi tài khoản bị khóa 0 (tài kho ả n s ẽ không b ị khóa) Account Lockout Duration Quy định thời gian khóa tài khoản Là 0, nhưng nếu Account Lockout Threshold được thiết lập thì giá trị này là 30 phút Reset Account Lockout Counter After Quy định thời gian đếm lại số lần đăng nhập không thành công Là 0, nhưng nếu Account Lockout Threshold được thiết lập thì giá trị này là 30 phút Chính sách cục bộChính sách cục bộ  Local Policies: cho phép thiết lập các chính sách giám sát các đối tượng trên mạng cấp quyền hệ thống cho người dùng và các lựa chọn người dùng  Chính sách kiểm toán (Audit Policies) giúp giám sát và ghi nhận các sự kiện diễn ra trong hệ thống 8/47 Chính sách kiểm toánChính sách kiểm toán  Các lựa chọn trong chính sách kiểm toán Chính sách Mô tả Audit Account Logon Events Kiểm toán những sự kiện khi tài khoản đăng nhập, hệ thống sẽ ghi nhận khi người dùng logon, logoff hoặc tạo một kết nối mạng Audit Account H ệ th ố ng s ẽ ghi nh ậ n khi tài kho ả n ng ườ i dùng ho ặ c nhóm có 9/47 Audit Account Management H ệ th ố ng s ẽ ghi nh ậ n khi tài kho ả n ng ườ i dùng ho ặ c nhóm có sự thay đổi thông tin hay các thao tác quản trị liên quan đến tài khoản người dùng Audit Directory Service Access Ghi nhận việc truy cập các dịch vụ thư mục Audit Logon Events Ghi nhận các sự kiện liên quan đến quá trình logon như thi hành một logon script hoặc truy cập đến một roaming profile Audit Object Access Ghi nhận việc truy cập các tập tin, thư mục, và máy in Audit Policy Change Ghi nhận các thay đổi trong chính sách kiểm toán Chính sách kiểm toánChính sách kiểm toán  Các lựa chọn trong chính sách kiểm toán (t.t) Chính sách Mô tả Audit privilege use Hệ thống sẽ ghi nhận lại khi bạn bạn thao tác quản trị trên các quyền hệ thống như cấp hoặc xóa quyền của một ai đó 10/47 Audit process tracking Kiểm toán này theo dõi hoạt động của chương trình hay hệ điều hành Audit system event Hệ thống sẽ ghi nhận mỗi khi bạn khởi động lại máy hoặc tắt máy [...]... sao lưu dự phòng (backup) các tập tin và thư mục bất chấp các tập tin và thư mục này người đó có quyền không Change the System Time Cho phép người dùng thay đổi giờ hệ thống của máy tính Deny Access to This Computer from the Network Cho phép bạn khóa người dùng hoặc nhóm không được truy cập đến các máy tính trên mạng 12 /47 Quyền hệ thống của người dùng Một số quyền hệ thống cho người dùng và nhóm (t.t)...Chính sách cục bộ Quyền hệ thống của người dùng (User Rights Assignment) 11 /47 Quyền hệ thống của người dùng Một số quyền hệ thống cho người dùng và nhóm Quyền Mô tả Access This Computer from the Network Cho phép người dùng truy cập máy tính thông qua mạng Mặc định mọi người đều có quyền này Allow log on locally Cho phép người dùng... dùng phục hồi tập tin và thư mục, bất chấp người dùng này có quyền trên file và thư mục này hay không Shut Down the System Cho phép người dùng shut down cục bộ máy Windows 2003 Take Ownership of Files or Other Objects Cho người dùng tước quyền sở hữu của một đối tượng hệ thống 13 /47 Chính sách cục bộ Các lựa chọn bảo mật (Security Options) 14/ 47 Các lựa chọn bảo mật Các lựa chọn bảo mật thông dụng Tên... tả Shutdown: allow system to be shut down without having to log on Cho phép người dùng shutdown hệ thống mà không cần logon Audit : audit the access of global system objects Giám sát việc truy cập các đối tượng hệ thống toàn cục Network security: force logoff when logon hours expires Tự động log off khỏi hệ thống khi người dùng hết thời gian sử dụng hoặc tài khoản hết hạn Interactive logon: do not require... Guest thành 15 /47 tên mới IP Security (IPSec) IP Security là giao thức hỗ trợ các kết nối an toàn dựa trên IP IPSec là hoạt động ở tầng thứ 3 (Network) IPSec hoat động dựa trên các qui tắc (rule) bao gồm các bộ lọc (filter) và các tác động (action) 16 /47 IP Security (IPSec) Các tác động bảo mật Block transmissons: ngăn chặn những gói tin được truyền Encrypt transmissions: mã hoá những gói tin trước khi... đường truyền qua 17 /47 IP Security (IPSec) Các bộ lọc (Filter) IPSec Filter dùng để thống kê các điều kiện để thực hiện các hoạt động Giới hạn tầm tác dụng của các tác động lên một phạm vi máy tính nào đó Bộ lọc IPSec dựa trên các yếu tố: ðịa chỉ IP, subnet hoặc tên DNS của máy nguồn ðịa chỉ IP, subnet hoặc tên DNS của máy đích Theo số hiệu cổng (port) và kiểu cổng (TCP, UDP, ICMP) 18 /47 IP Security (IPSec)... thực hiện trao đổi dữ liệu với Sever 20 /47 IP Security (IPSec) Các điều cần nhớ khi triển khai IPSec Trên một máy tính bất kỳ tại một thời điểm chỉ có một chính sách IPSec hoạt động Mỗi M i chính sách có nhi u qui t c Rule nhiều tắc Mỗi Rule có nhiều bộ lọc Filter và nhiều các tác động bảo mật Có 4 tác động mà qui tắc có thể dùng : Block, Encrypt, Sign và permit 21 /47 Triển khai IPSec trên Windows Server... bảo mật Có 4 tác động mà qui tắc có thể dùng : Block, Encrypt, Sign và permit 21 /47 Triển khai IPSec trên Windows Server 2003 Ví dụ: Tạo IPSec đảm bảo một kết nối được mã hoá (Xem Demo) 22 /47 Câu hỏi và giải đáp 23 /47 ... subnet hoặc tên DNS của máy nguồn ðịa chỉ IP, subnet hoặc tên DNS của máy đích Theo số hiệu cổng (port) và kiểu cổng (TCP, UDP, ICMP) 18 /47 IP Security (IPSec) Triển khai IPSec trên Windows Server 2003 19 /47 Triển khai IPSec trên Windows Server 2003 Các chính sách IPSec tạo sẵn: Client (Respond Only): Qui định máy Client không chủ động dùng IPSec trừ khi có yêu cầu IPSec từ máy Sever Server (Request Security): . ĐIỆN TỬ - VIỄN THÔNG Chương 04 CHÍNH SÁCH HỆ THỐNGCHÍNH SÁCH HỆ THỐNG CHÍNH SÁCH HỆ THỐNGCHÍNH SÁCH HỆ THỐNG  Chính sách tài khoản người dùng  Chính sách cục bộ  IP Security (IPSec) 2 /47  IP. Quyền hệ thống của người dùng (User Rights Assignment) 11 /47 Quyền hệ thống của người dùngQuyền hệ thống của người dùng  Một số quyền hệ thống cho người dùng và nhóm Quyền Mô tả Access This Computer. use Hệ thống sẽ ghi nhận lại khi bạn bạn thao tác quản trị trên các quyền hệ thống như cấp hoặc xóa quyền của một ai đó 10 /47 Audit process tracking Kiểm toán này theo dõi hoạt động của chương