Đang tải... (xem toàn văn)
Windows 2003 Security Configuration Tools
Topic 3CWindows 2003 Security Configuration ToolsTrong Windows 2000, bạn đã được cung cấp nhiều công cụ và tài liệu để cấu hình và quản lý các tùy chỉnh bảo mật cho máy tính cá nhân và cho mạng của nó. Những công cụ này bao gồm Securiy Template Snap-In, Security Configuration và Analysis Snap-In, và Secedit.exe. Secedit.exe là công cụ command-line được dùng để phân tích bảo mật của nhiều công ty trong một domain.User and Group SecurityTiêu điểm của Windows 2003 cũng giống với các hệ điều hành trước đó chính là users. Nếu ko có user truy cập vào mạng, thì ko cần phải có mạng. Việc tạo user account là việc mà người quản trị Windows cần phải làm.Có 2 loại user account cở bản cần được tạo trong Windows 2003: domain users và local user.• Một domain user account có khả năng log on vào mạng và truy cập vào các nguồn tài nguyên cho phép trong domain.• Một local user account có khả năng log on vào một computer xác định và truy cập vào các tài nguyên cho phép trên computer đó.Các tài khoản tồn tại sẵn khi cài Windows 2003 server là tài khoản Guest và Administrator. Bảo mật Guest account nên được làm ngay lúc đó. Các bước để bảo mật Guest account trong Windows NT 4.0 và Windows 2000 cũng giống nhau.Restricting Logon HoursKhi bạn tạo một vài user account, bạn nên xem xét việc hạn chế thời gian mà user đăng nhập thành công. Việc cấu hình này rất quan trọng để bảo mật user accounts. Nếu chỉ cung cấp truy cập trong suốt thời gian làm việc, thì ko có lý do gì để cho phép một user account 24x7 giờ quyền truy cập mạng.Ko may, trong Windows 2003 Server, giới hạn thời gian đăng nhập chỉ làm được cho Domain (AD) user; tuy nhiên, các thủ tục vẫn có thể thực hiện như sau:1. Mở MMC, và thêm Active Directory Users And Computers Snap-in2. Lựa chọn thư mục Users, và double-click một đối tượng User mà bạn muốn giới hạn.3. Trong cửa sổ Properties, chọn thẻ Account, và click Logon Hours.4. Xác định thời gian giới hạn cần thiết.5. Click OK để đóng cửa sổ Logon Hours.6. Click OK để đóng User Properties và áp dụng thiết lập.Expiration Dates for User Accounts Để thiết lập thêm giới hạn thời gian sử dụng của một user account, bạn có thể kiểm soát truy cập tài nguyên mạng bằng cách xác định giới hạn cho tài khoản đó. Nói cách khác, bạn tạo một user account có kỳ hạn sử dụng.Trong Windows 2003 Server, hạn chế thời giản sử dụng chỉ có hiệu lực cho Domain (AD) users. Sau đây là các bước để thiết lập:1. Mở MMC, thêm Active Direcotry Users And Computers Snap-in.2. Lựa chọn thư mục Users, và double-click một đối tượng User mà bạn muốn giới hạn.3. Trong cửa sổ Properties, chọn thẻ Account.4. Để chỉnh Account Expiré, chọn End Of, và nhập vào thời gian mà bạn muốn tài khoản đó hết hiệu lực.5. Click OK để đóng User Properties và áp dụng thiết lập.Configuring Windows 2003 GroupsKhi bắt đầu làm việc với Windows 2003, rất có thể bạn muốn triển khai và cấu hình đầy đủ cấu trúc cho Active Directory, để có được những quyền lợi. Tuy nhiên, khi bạn cài đặt một server lần đầu, nó ko có gì hơn là một stand-alone server -- không phải là một phần của domain, cũng ko phải là domain controller.Sau khi máy đó trở thành domain controller (bạn có thể nâng cấp lên domain bằng lệnh DCPROMO), bạn sẽ thấy rằng, với quyền administrator, sẽ có một vài group để quản lý. Những group này bao gồm Domain Administrator và Domain User.Có 2 loại group cơ bản: Security group và Distribution group. Distribution group được dùng để quản lý các danh sách, như là danh sách email, và ko được trình bày chi tiết trong khóa học này. Chúng ta tập trung vào Security groups. Những group này có thể chứa đựng users và security groups khác, vì thế khá là linh hoạt để quản lý mạng.Trong Windows NT 4.0, có 2 group là global hoặc local. Windows 2003 mở rộng hơn, có các loại group như sau:• Computer Local -- Một nhóm các máy tính xác định chỉ được dùng để truy cập vào tài nguyên trên các máy local. Nó ko được tạo trên một Domain Controller.• Domain Local -- Một group mà có các thành viên từ domain nào đó trong mạng. Những group này chỉ được tạo trong Domain Controller và có thể truy cập vào tài nguyên trong domain đó.• Global -- Một group được dùng để kết hợp các user có các yêu cầu truy cập vào tài nguyên mạng giống nhau. Global groups có thể chứa các thành viên trong group của domain và có thể truy cập vào tài nguyên ở domain đó cũng như các domain khác.• Universal -- Được dùng trong môi trường multidomain, nơi mà các nhóm user từ các domain khác nhau có chung tài nguyên sử dụng và có chung nhu cầu truy cập. Để triển khai Universal group, hệ thống mạng phải chạy native mode, nghĩa là chỉ có Windows 2000/2003 Domain Controller được dùng. Chế độ này được dùng khi tất cả Windows NT 4.0 Domain Controller được nâng cấp thành Windows 2000/2003.Cũng có thể kết hợp các group với nhau, như là xếp Global groups trong Universal groups nếu như được yêu cầu trong tình hình lúc đó. Có thể có một tài nguyên mà bạn cố kiểm soát truy cập vào và có một vài Global groups tồn tại và đã được cấu hình đúng cho các user. Trong trường hợp đó, một Universal group sẽ hoạt động để kiểm soát truy cập mạng. Bạn có thể đặt Universal groups trong Domain Local Groups và kiểm soát truy cập các tài nguyên bằng cách đặt quyền cho Domain Local group.Những group này được dùng khi kiểm soát truy cập tới các tài nguyên, cả 2 quyền allowing và denying dựa vào nhu cầu bảo mật của bạn. Nếu bạn muốn bảo mật computer, user, và môi trường mạng, bạn sẽ phải dùng đến group policies.Locking Down the Adminnistrator AccountAdministrator account có 4 điểm quan trọng, theo quan điểm an ninh:• Tên của tài khoản tích hợp của người quản trị là Administrator.• Tài khoản này có thể được bỏ trống password trong quá trình cài đặt.• Tài khoản tích hợp của người quản trị là thành viên của Administrator group tích hợp.• Tài khoản tích hợp này không bị khóa.Bất cứ người nào quen thuộc với hệ điều hành đều biết những điểm này. Cho nên một administrator trước tiên nên thay đổi tên của tài khoản quản trị tích hợp ko liên quan đến admin kèm theo một mật khẩu mạnh.Bạn cũng nên cấm tài khoản này đăng nhập vào máy tính này qua mạng. Nghe có vẻ khác thường, thế nhưng bạn sẽ thấy rằng tài khoản này ko bị khóa, bất kể với một chính sách khóa tài khoản mà bạn dùng; ví dụ, nếu bạn tạo một chính sách khóa tài khoản để khóa một user account sau 3 lần đăng nhập thất bại, tất cả tài khoản khác với tài khoản tích hợp của người quản trị sẽ tuân theo chính sách này.Hiện nay, trong hầu hết các tổ chức, các máy tính quan trong như file, print, authentication, web, mail, and ftp servers thường được đặt trong vùng bảo mật vật lý. Chỉ có nhà quản trị mạng mới được phép vào vùng đó. Nếu bạn đảm bảo các bảo mật vật lý, thì chỉ có cách tấn công vào server theo đường mạng. Tài khoản có chức vụ cao nhất trong server là Administrator account. Tấn công vào Administrator account đã được bảo vệ bởi việc khóa chính sách. Ngoài ra, tài khoản admin này ko nên đăng nhập theo đường mạng.TASK 3C-1Securing Administrator Account Acess 1. Từ Start Menu,nhấp chuột phải vào Computer,and chọn Manage.2. Ở khung bên trái,mở Local Users And Group, và chọn thư mục Users.3. Ở khung bên phải,nhấp chuột phải vào administrator và chọn Rename.4. Với tên tài khoản mới, nhập scnpXXX,XXX là các số như 001.5. Từ Start Menu, chọn Log Off và click Log Off.6. Nhấn Ctrl+Alt+Del để đăng nhập.7. Gõ scnpXXX và click OK để đăng nhập.8. Nhấn Ctrl+Alt+Del và click Change Password.9. Old password để trống.Trong ô New password, gõ aA1234!10. Gõ aA1234! trong ô Confirm New Password, và click OK.11. Lúc này password đã được thay đổi.Click Cancel để đóng màn hình Ctrl+Alt+Del.12. Từ Start Menu,nhấp chuột phải vào My Computer, và chọn Manage.13. Vào System ToolsLocal Users and Group, và click Users.14. Nhấp chuột phải vào tài khoản scnpXXX và chọn Set Password.15. Gõ và xác nhập aA1234! và click OK.16. Ở khung bên phải, nhấp chuột phải vào bất kì chổ nào và chọn New User.17. Với tên tài khoản mới, gõ Administrator để tạo tài khoản mới.18. Gõ vào mật khẩu là bB5678! và xác nhận nó.19. Bỏ chọn vào User Must Change Password At Next Logon.20. Chọn User Cannot Change Password and Password Never Expires. Click Create, và click Close để hoàn thành tạo tài khoản mới.21. Nhấp chuột phải vào tài khoản mới tạo và chọn Properties.22. Chọn Member of Tab.23. Chọn Users group và click Remove.24. Click Apply, và click OK.25. Ở khung bên phải, nhấp chuột phải vào bất cứ đâu và chọn New User.26. Với tên tài khoản mới, gõ scnpXXXb, với password là cC13579!.27. Bỏ chọn User Must Change Password At Next Logon.28. Click Create, và click Close.29. Nhấp chuột phải vào tài khoản mới tạo và chọn Properties.30. Chọn Member of Tab.31. Click vào nút Add, gõ Administrators ở trong bảng Object Name To Select và click OK.32. Chọn User group và click Remove.33. Click Apply, và click OK.34. Mở Custom_GPO.35. Ở khung bên phải,nhấp đôi chuột vào Policy.Deny Access To This Computer From The Network.36. Click Add, nhập scnpXXX; Administrator trong bảng Object Name To select, và click OK. 37. Click OK để add tài khoản.38. Nhấp đôi chuột vào Policy Deny Logon Locally.39. Click Add button, gõ Administrator trong bảng Object Name To select, và click OK.40. Click OK để tạo tài khoản.41. Đóng lại tất cả các cửa sổ rùi lưu lại các chỉnh sửa của bạn. TASK 3C-2Testing Administrative Access Cài Đặt: Đăng nhập vào Windows 2003 với tên người dùng là Administrator.1. Thoát và cố gắng đăng nhập trên Administrator.Bạn sẽ thấy thông báo hệ thống không thể đăng nhập vào.Click OK.2. Đăng nhập lại với tên tài khoản Administrator. Thời gian này bạn sẽ đăng nhập thành công.3. Trên vùng khởi động,tạo 1 folder có tên Newtest và với folder,tạo một file text có tên doc1.txt.4. Nhấp chuột phải vào new folder, và chọn Sharing.5. Chọn Share This Folder, và click vào nút Permissions.6. Chọn Everyone và click Remove.7. Click vào nút Add, và gõ scnpXXX; scnpXXXb trong bảng text và click OK.Rồi click OK.8. Từ máy tính trong mạng Lan,mở Run dialog box (từ Start Menu,chọn Run).9. Nhập \\your_computer’s_IP_address\newtest.10. Gõ tên và password vào tài khoản administrator.Nhớ rằng,bạn phải thay đổi tài khoản administrator sang scnpXXX với password là aA1234!.11. Bạn sẽ nhận được một tin thông báo lỗi hiện lên cho bạn rằng một thất bại xảy ra khi người dùng đăng nhập chưa được cấp loại yêu cầu đăng nhập vào máy tính này.12. Click OK để đóng thông báo lỗi.13. Thời gian này,bạn thử đăng nhập với các thông tin của scnpXXXb.Bạn sẽ thành công.14. Trở lại với máy tính riêng của bạn,và đóng các cửa sổ đang mở.Group PoliciesTrong phần trước, bạn đã được giới thiệu Group Policy Objects và cách tạo GPO. Trong phần này, chúng ta sẽ đào sâu hơn để sử dụng GPO bảo mật mạng. 2 vấn đề cần thảo luận là các tùy chỉnh liên quan đến chính sách inheritance và override.Như đã thảo luận về GPO, bạn cần phải hiểu rõ rằng GPOs được thực hiện chính sách theo thứ tự: local GPO, site GPO, domain GPO, và cuối cùng là OU GPO. Bạn cũng cần phải có kiến thức thực tế rằng khi có nhiều GPOs cấp cho một đối tượng, thì GPO ưu tiên cao nhất sẽ được sử dụng. Bạn có thể thay đổi thứ tự thực hiện trong danh sách bằng cách đơn giản là chọn một GPO và dùng button Up và Down để xắp xếp lại danh sách phù hợp với nhu cầu.Policy InheritancePolicy inheritance là tên của tiến trình của một user hay một computer thừa kế cấu hình chính sách cuối cùng trong nhiều chính sách, tùy thuộc vào vị trí của đối tượng đó trong thứ bậc Active Directory và cấu hình GPOs. Để theo dõi các chính sách được thực hiện khi một user đăng nhập vào 1 computer, ta dùng danh sách sau đây:1. Một computer policy được kích hoạt khi computer lần đầu khởi động và được làm mới lại tại khoảng thời gian mặc định.2. Một user policy được áp dụng khi một user đăng nhập vào hệ thống và được làm mới lại tại khoảng thời gian mặc định.3. Local GPO được áp dụng.4. Site GPO được áp dụng.5. Domain GPO được áp dụng.6. OU GPO được áp dụng.Để nhớ những thứ phức tạp này, cần nhớ rằng nó ko ít dùng cho sites, domains, và OUs để có hơn 1 cấu hình GPO. Nó cũng ít tương phản trong mọi chính sách.No OverrideMột trong những phương pháp để quản lý GPO đã hoàn tất là dùng tùy chỉnh Override. Tùy chỉnh này có hiệu lực tới bất kỳ site, domain, hay OU GPO. Với chọn lựa này, những thiết lập chính sách của nó không bị ghi đè bởi bất kỳ GPO nào trong quá trình xử lý nhóm chính sách. Trong trường hợp nhiều GPO thiết lập No Override, GPO có độ ưu tiên cao nhất sẽ được dùng.Block InheritanceNgoài tùy chọn No Override, bạn có lựa chọn khác để quản lý chính sách. Nó được gọi là Block Policy Inheritance. Tùy chính này cũng có hiệu lực tới bất cứ site, domain ay OU GPO. Khi chọn mục này, bất kỳ chính sách ở tầng cao hơn sẽ ko được kế thừa, trừ khi nó được thiết kế với tùy chỉnh No Override. Kích hoạt tùy chỉnh này để đảm bảo thiết lập của GPO hiện tại sẽ được thực hiện và ko bị áp dụng các chính sách ưu tiên. Bạn phải thật cẩn thận khi thiết lập No Override và Block Inheritance. Những lựa chọn này được dùng khi kế hoạt triển khai hoàn tất, và nếu ko sẽ gây ra sự méo dạng tổng thể các chính sách đã hoàn tất trong khắp nơi của tổ chức.Local Security PolicyTừng hệ thống Windows 2003 trong mạng được gọi là local security policy. Local security policy là một nhóm các cấu hình bảo mật có hiệu lực với máy tính cục bộ. TASK 3C-3Verifying Password RequirementsCài Đặt: Đăng nhập vào windows 2003 với tên người dùng administrator.1. Mở mmc (Computer Management console).2. Tạo 3 người dùng có tên poluser1,poluser2,poluser3.Chú ý,3 người dùng để trống password.3. Rời khỏi mmc.4. Từ Start Menu,chọn ProgramAdministrative ToolsLocal Security Policy.5. Mở tài khoản Policies, và chọn Password Policy.6. Ở khung bên phải, nhấp đôi chuột vào Minimum Password Length Policy.7. Đổi giá trị password với 4 kí tự và click OK.8. Rời khỏi Local Security Setting MMC.9. Chuyển qua Computer Management (Local) console.10. Nhấp chuột phải vào poluser1 và chọn Set Password.11. Click Proceed.12. Nhập password là 123.13. Click OK.14. Click OK để đóng cảnh báo,và thiết lập password cho poluser1 là 1234Mật khẩu bây giờ đã được chấp nhận.Click OK.15. Chuyển qua Local Security Setting MMC.16. Nhấp đôi chuột vào Password Must Meet Complexity Requirements policy.17. Thay đổi thiết lập trong policy đã được kích hoạt,và click OK.18. Chuyển qua Computer Management MMC.19. Nhấp chuột phải vào poluser2, và đổi password là 123420. Click Proceed.21. Click OK.22. Click OK để đóng cảnh báo và thử thiết lập password là a123.23. Click OK24. Click OK để đóng cảnh báo và thử sử dụng aA12 làm password.25. Click OK. Thời gian này,password đã được chấp nhận.26. Click OK, và đóng tất cả các cửa sổ.Password Recommendations Để tạo được một password đủ mạnh, bạn nên kết hợp cả chữ hoa và thường, để đạt được độ phức tạp theo như yêu cầu khuyến nghị từ các nhà thiết kế của MS. Các thông tin về độ phức tạp này có thể tham khảo trên trang Technet.Điều đó có nghĩa rằng nếu chỉ đơn giản sử dụng chính sách (policy) trên là không đủ để bắt buộc người dùng phải nhập password từ 6 kí tự trở lên, cũng như không cần phải sử dụng các kí tự ngoài bảng chữ cái và chữ số (non-alphanumeric).Security TemplatesCông việc cấu hình toàn bộ các tùy chọn trong GPO là khá phức tạp và tốn nhiều công sức. Để giúp giảm nhẹ việc này trong một vài tính huống thông thường, MS đã cung cấp một số mẫu cấu hình (Template) để sử dụng trong Group Policy Editor.Các template này có định dạng file .INF và có thể mở bằng một trình soạn thảo text bất kì. Chúng được lưu trong thư mục %systemroot%\security\templates. Một khi các template được áp dụng cho GPO, tất cả người dùng được điều khiển bởi GPO này đều bị ảnh hưởng bởi các tùy chọn trong template đó.Mỗi template trên chứa một tập các tùy chọn đã được cấu hình sẵn để có thể sử dụng trong một số tình huống. MS cung cấp bộ các template đầy đủ để có thể phù hợp với hầu hết các hoàn cảnh thông dụng. Chúng có thể được sử dụng trực tiếp hoặc chỉnh sửa lại cho phù hợp yêu cầu. Bên cạnh đó, có thể tạo mới một template từ đầu theo các tùy chọn cụ thể.Predefined Security TemplateMột vài template thông dụng trong hệ thống như sau:COMPATWS.INF : cấu hình cho workstation hoặc server tương hợp.SECUREWS.INF : cấu hình cho các workstation bảo mậtHISEDC.INF : cấu hình cho các DC bảo mật caoHISECWS.INF : cấu hình cho các workstation bảo mật caoSETUP SECURITY.INF : cấu hình các tùy chọn bảo mật mặc địnhDCSECURITY.INF : cấu hình mặc định cho DCROOTSEC.INF : cấu hình các quyền truy cập cho thư mục gốc (root) trên đĩaIESACLS.INF : cấu hình mặc định cho IE trên server 2003Như có thể thấy, có một vài mức bảo mật chung trong các mẫu: cơ bản, tương thích, an toàn, và an toàn cao. Tính năng chung của các mức như sau:• Mức tương thích (compatible, COMPAT*.INF) thường dùng trong các môi trường hỗn hợp, chẳng hạn như khi có cả máy WinNT 4.0. Các template này cho phép Power User có các tùy chọn bảo mật tương thích với user trong WinNT. • Mức an toàn (secure, SECURE*.INF) cấu hình các thiết lập an toàn cho toàn hệ thống, nhưng không áp dụng cho files, folders và registry key.• Mức an tòan cao (HISEC*.INF) được sử dụng cho mạng liên lạc an toàn giữa các máy Windows 2003. Những template này thiết lập các tùy chọn an toàn cao nhất đối với thông tin ra/vào máy. Những máy áp dụng cấu hình này chỉ có thể giao tiếp với các máy Windows 2003 khác.TASK 3C-4Analyzing Default Password Settings of Secutity TemplatesCài Đặt: Đăng nhập vào windows 2003 với tên Administrator.1. Mở MMC trống2. Chọn FileAdd/Remove Snap-ins.3. Thêm Snap-in Security Templates.4. Mở rộng và xem xét mật khẩu policy cho Compatws,Hisecdc,và Setup Security.5. Rời khỏi MMC và làm các công việc tiếp theo.Custom Security TemplatesNhư có thể thấy trong ví dụ, các template cung cấp nhiều mức độ cấu hình. Trong trường hợp này, các password được quản lí khác nhau tùy theo tình huống. Nếu một template không thỏa mãn các yêu cầu an ninh yêu cầu, bạn có thể chỉnh sửa lại template đó. Trong trường hợp cần chỉnh sửa nhiều tùy chọn, bạn có thể tự tạo mới một template khác.TASK 3C-5Creating a Custom Security Template1. Nếu cần,mở Security Templates để chỉnh sửa.2. Nhấp chuột phải vào directory location of the templates(ở trong C:\\WINDOWS\Security\Templates),và chọn New Template.3. Tên template của bạn là Custom Password Config.4. Sử dụng lời mô tả Template specifying secure passwords.5. Click OK để tạo template trống.6. Cấu hình template của bạn để sử dụng các thiết lập sau đây:a. Enfore Password History: 24 Passwordsb. Maximum Password Age: 20 days(accept the suggested values for minimum Password age)c. Minimum Password Age: 5 daysd. Minimum Password Length: 14 characterse. Password must meet complexity requirements:Enabledf. Store Passwords using reversible encryption: Disabled7. Nhấp chuột phải vào template mới,và chọn Save.8. Rời khỏi MMC và làm các công việc tiếp theo.Security Configuration and Analysis Snap-In Sau khi đã tạo policy, hoặc sửa đổi từ các template có sẵn, bạn cần áp dụng chúng cho network. Như đã đề cập trước, các templates có thể được áp dụng hoặc import vào các GPO. Để import một template, chúng ta sử dụng công cụ Security Configuration and Analysis Snap-In.Một trong những tiện ích quản lí bảo mật của Windows 2003 là gói Snap-In của MMC có tên là Security Configuration and Analysis. Với công cụ này, bạn có thể thiết lập cũng như phân tích các tùy chọn bảo mật của hệ thống.Công cụ này sẽ tiến hành so sách cấu hình hiện tại và cấu hình từ template. Các điểm tương thích sẽ được tô xanh với dấu check. Các điểm không tương thích sẽ được tô đỏ với dấu X.TASK 3C-6Investigating the Security Configuration and Analysis Snap-in1. Thêm Security Configution và Analysis Snap-In trong MMC.2. Nhấp chuột phải vào Security Configution và Analysis Snap-In và chọn Open Database.3. Với tên file,nhập Password_check.sdb và click Open.Vì ko có tùy chọn mới,bước này tạo ra tập tin mới.4. Từ bảng danh sách,chọn Custom Password Config template và click Open.5. Nhấp chuột phải vào Security Configution và Analysis Snap-In chọn Analyze Computer Now. Accept default path for error log messages và click OK.6. Khi phân tích xong,mở Security Configution và Analysis Snap-In , và kiểm tra có hay không hệ thống của bạn đến chính sách liên quan đến mật khẩu mới.7. Rời khỏi MMC và làm những công việc tiếp theo.Template Implementation Sau khi đã cấu hình xong và sẵn sàng để thiết lập cho hệ thống, bạn có thể bắt đầu áp dụng bằng cách sử dụng công cụ Security Configuration and Analysis. Các thay đổi trong các tùy chọn có thể tốn nhiều thời gian để áp dụng cho hệ thống.Theo mặc định, group policy áp dụng cho máy sẽ được refresh sau mỗi 90 phút, các policy áp dụng cho Domain Controller sẽ refresh sau 5 phút.TASK 3C-7Implementing the Template1. Nhấp chuôt phải vào Security Configution và Analysis Snap-In, và chọn Configure Computer Now. [...]... giữa các máy Windows 2003. Những template này thiết lập các tùy chọn an toàn cao nhất đối với thơng tin ra/vào máy. Những máy áp dụng cấu hình này chỉ có thể giao tiếp với các máy Windows 2003 khác. TASK 3C-4 Analyzing Default Password Settings of Secutity Templates Cài Đặt: Đăng nhập vào windows 2003 với tên Administrator. 1. Mở MMC trống 2. Chọn FileAdd/Remove Snap-ins. 3. Thêm Snap-in Security Templates. 4.... việc tiếp theo. Security Configuration and Analysis Snap-In Bạn phải thật cẩn thận khi thiết lập No Override và Block Inheritance. Những lựa chọn này được dùng khi kế hoạt triển khai hoàn tất, và nếu ko sẽ gây ra sự méo dạng tổng thể các chính sách đã hoàn tất trong khắp nơi của tổ chức. Local Security Policy Từng hệ thống Windows 2003 trong mạng được gọi là local security policy. Local security policy... đã đề cập trước, các templates có thể được áp dụng hoặc import vào các GPO. Để import một template, chúng ta sử dụng công cụ Security Configuration and Analysis Snap-In. Một trong những tiện ích quản lí bảo mật của Windows 2003 là gói Snap-In của MMC có tên là Security Configuration and Analysis. Với công cụ này, bạn có thể thiết lập cũng như phân tích các tùy chọn bảo mật của hệ thống. Công cụ... the Security Configuration and Analysis Snap-in 1. Thêm Security Configution và Analysis Snap-In trong MMC. 2. Nhấp chuột phải vào Security Configution và Analysis Snap-In và chọn Open Database. 3. Với tên file,nhập Password_check.sdb và click Open.Vì ko có tùy chọn mới,bước này tạo ra tập tin mới. 4. Từ bảng danh sách,chọn Custom Password Config template và click Open. 5. Nhấp chuột phải vào Security. .. template đó. Trong trường hợp cần chỉnh sửa nhiều tùy chọn, bạn có thể tự tạo mới một template khác. TASK 3C-5 Creating a Custom Security Template 1. Nếu cần,mở Security Templates để chỉnh sửa. 2. Nhấp chuột phải vào directory location of the templates(ở trong C:\ \WINDOWS\ Security\ Templates),và chọn New Template. 3. Tên template của bạn là Custom Password Config. 4. Sử dụng lời mô tả Template specifying... cục bộ. TASK 3C-3 Verifying Password Requirements Cài Đặt: Đăng nhập vào windows 2003 với tên người dùng administrator. 1. Mở mmc (Computer Management console). 2. Tạo 3 người dùng có tên poluser1,poluser2,poluser3. Chú ý,3 người dùng để trống password. 3. Rời khỏi mmc. 4. Từ Start Menu,chọn ProgramAdministrative Tools Local Security Policy. 5. Mở tài khoản Policies, và chọn Password Policy. 6. Ở... click OK. 6. Khi phân tích xong,mở Security Configution và Analysis Snap-In , và kiểm tra có hay khơng hệ thống của bạn đến chính sách liên quan đến mật khẩu mới. 7. Rời khỏi MMC và làm những cơng việc tiếp theo. Template Implementation Sau khi đã cấu hình xong và sẵn sàng để thiết lập cho hệ thống, bạn có thể bắt đầu áp dụng bằng cách sử dụng công cụ Security Configuration and Analysis. Các thay... kí tự và click OK. 8. Rời khỏi Local Security Setting MMC. 9. Chuyển qua Computer Management (Local) console. 10. Nhấp chuột phải vào poluser1 và chọn Set Password. 11. Click Proceed. 12. Nhập password là 123. 13. Click OK. 14. Click OK để đóng cảnh báo,và thiết lập password cho poluser1 là 1234 Mật khẩu bây giờ đã được chấp nhận.Click OK. 15. Chuyển qua Local Security Setting MMC. 16. Nhấp đôi chuột... Administrator. 1. Mở MMC trống 2. Chọn FileAdd/Remove Snap-ins. 3. Thêm Snap-in Security Templates. 4. Mở rộng và xem xét mật khẩu policy cho Compatws,Hisecdc,và Setup Security. 5. Rời khỏi MMC và làm các công việc tiếp theo. Custom Security Templates Như có thể thấy trong ví dụ, các template cung cấp nhiều mức độ cấu hình. Trong trường hợp này, các password được quản lí khác nhau tùy theo tình huống.... thống. Theo mặc định, group policy áp dụng cho máy sẽ được refresh sau mỗi 90 phút, các policy áp dụng cho Domain Controller sẽ refresh sau 5 phút. TASK 3C-7 Implementing the Template 1. Nhấp chuôt phải vào Security Configution và Analysis Snap-In, và chọn Configure Computer Now. . Topic 3CWindows 2003 Security Configuration ToolsTrong Windows 2000, bạn đã được cung cấp nhiều công cụ và. cụ Security Configuration and Analysis Snap-In.Một trong những tiện ích quản lí bảo mật của Windows 2003 là gói Snap-In của MMC có tên là Security Configuration