Phân quyền sử dụng máy tính Windows XP Nhà bạn hay phòng làm việc quan có máy tính, mà lại có nhiều người Làm để sử dụng chung mà người có số quyền hạn định? Có thể có nhiều tiện ích, chẳng hạn phần mềm khóa thư mục Tuy nhiên, với Windows XP việc sử dụng định dạng NTFS cho phân vùng đĩa cứng bạn có cách quản lý việc sử dụng máy thiết bị khác, bảo vệ cấu hình hệ thống cách bản, có kế hoạch đơn giản Việc quản lý máy tính dựa vào tài khoản (account).Mỗi account có tên (user name),mâậ (password) kèm theo số quyền hạn (permission) định Mỗi bật máy bạn logon (đăng nhập) cách chọn account để sử dụng.Nếu account có mật khẩu, bạn phải gõ mật khẩu.Kể từ đó, bạn sử dụng máy tính với quyền hạn account Việc quản lý việc sử dụng máy tính, thiết bị mạng máy tính vấn đề phức tạp trao cho người quản trị mạng Tuy nhiên, bạn thấy, bạn có nhu cầu máy đơn,với Windows XP, bạn dễ dàng làm công việc để sử dụng máy tính gia đình hay phòng làm việc trở nên an tồn hiệu HAI KIỂU ĐĂNG NHẬP ĐỂ SỬ DỤNG MÁY - kiểu mặc định sau cài Windows XP hình Welcome Windows XP có danh sách acount (mỗi account có hình đại diện tùy chọn) Người dùng bấm chọn account gõ mật có - kiểu thứ phải gõ tên account vào hộp thoại logon Windows 2000 Để thay đổi, vào Control Pannel – User Account – Change the way - bỏ mục Welcome Screen muốn theo kiểu “2000” chọn mục muốn theo kiểu “XP” Nếu chọn kiểu 2000 buộc người dùng phải gõ tên kiểu an tồn HAI LOẠI ACCOUNT - Computer Administrator (người quản lý máy): người quản lý nên với account bạn có quyền tạo quy định quyền hạn cho account khác, bạn cài đặt chương trình gỡ bỏ chương trình, cài đặt gỡ bỏ thiết bị… nghĩa làm Khi cài Windows XP, mặc định có account kiểu tạo với tên Administrator, tài khoản xuất khởi động khơng có account khác - Limited (quyền giới hạn): Vớik account này, người dùng khơng thể thay đổi tình trạng máy Cụ thể cài đặt gỡ bỏ chương trình, khơng thể thay đổi cấu hình hệ thống, khơng thể định dạng đĩa đương nhiên khơng thể tạo hay xóa account khác QUẢN LÝ ACCOUNT Muốn quản lý account bạn phải login với tư cách Administrator Bật tắt account Guest - account có sẵn (built-in), mặc định khơng có mật - Có quyền hạn kiểu Account Limited - Mặc định bị off, không dùng Cách bật/ tắt account guest: Trong User Account, chọn Guest chọn Turn on (hay Turn off) Giới hạn việc thay đổi cấu hình hệ thống Để giới hạn việc thay đổi cấu hình hệ thống, bạn nên tạo account Limited cho người khơng rành khơng có trách nhiệm thay đổi cấu hình hệ thống Một người sử dụng máy tính với tư cách account kiểu “đụng” đến thành phần mang tính quan trọng hệ thống, họ thông báo khơng có quyền thay đổi từ chối truy nhập (Access denied) Việc sử dụng máy tính với Account kiểu Limited có thêm lợi điểm Windows khơng cho phép chương trình virus thực thao tác nguy hiểm Mặc khác, bạn, trừ trường hợp muốn vọc máy tính nên có thói quen logon vào máy tính với tài khoản kiểu muốn làm việc ứng dụng thông thường Giới hạn sử dụng đĩa, thư mục, tập tin Đến chuyện phức tạp chút để sử dụng tính cấp phát quyền sử dụng đĩa, thư mục, tập tin đĩa phải có định dạng NTFS Giả sử ta muốn quy định việc sử dụng đĩa thư mục, tập tin đĩa D: trước tiên phải xem có phải định dạng NTFS không cách bấm chuột phải lên biểu tượng ổ đĩa – Proterties, xem dòng File System Nếu khơng phải chuyển thành định dạng FTFS lệnh convert Command Prompt theo cú pháp: Convert /fs:NTFS *** Qui định việc sử dụng đĩa, thư mục, tập tin ổ đĩa có định dạng NTFS Bấm phải chuột lên thư mục hay đĩa – Properties - thẻ Security, chọn người sử dụng danh sách, khơng thấy nhấn nút Add gõ tên tên Account khung Enter Object name, bấm Check Names để bảo đảm tên thực tồn – quy định quyền cho người cột Allow (chophép) hay Denny (cấm) cách đánh dấu vào ô tương ứng Các loại quyền sử dụng phức tạp : Full Control : tòan quyền ; Modify : sửa đổi ; Read : đọc ; Read and Execute : đọc chạy chương trình ; List Folder : xem danh sách thư mục ; Write : ghi Trong thực tế, để đơn giản, bạn cần Denny phần Read Write người mà bạn cho không nên không đọc mà Ghi : Nếu bạn không thấy thẻ Scurity vàoControl Pannel – Foler Options thẻ View, bấm chuột để bỏ dấu kiểm mục cuối : Use simple file sharing *** Giới hạn không gian đĩa sử dụng Hạn ngạch (quota) phần không gian đĩa cấp cho account Để tránh người dùng tạo lưu tập tin lớn lên đĩa ‘xí’ hết phần người khác, bạn bấm chuột phải đĩa mà bạn muốn cung cấp hạn ngạch – Properties - thẻ Quota, chọn Enable Quote management (bật chế độ quản lý hạn ngạch) Deny disk space to user exceedubg quota limit (từ chối cấp thêm cho người dùng họ sử dụng hạn ngạch Bấm vào nút Quota Entries Trước hết, cửa sổ Quota Entries cho Quota cấp phát Muốn ‘‘giao hạn ngạch’’ cho người dùng chọn menu Quota – New Quota Entry – gõ tên (các) account bấm OK Trong cửa sổ Add New Quota Entry, bấm chọn vào Limit disk space to (giới hạn không gian đĩa) qui định dung lượng mà (các) account phép dùng (trên đĩa đó) *** Quản lý sử dụng máy in fax Trong Control Pannel, chọn Printers and Faxes Bấm nút phải lên máy in hay fax – Proterties qui định quyền hạn máy in tương tự đĩa thư mục Cần biết người bị Deny quyền in họ lệnh in, Windows thơng báo với nội dung có lỗi in, khơng thơng báo khơng có quyền truy nhập (Access dennied) đĩa thư mục, khơng nên vội vàng cho máy in có vấn đề *** Quản lý việc sử dụng Internet Việc sử dụng Internet thông qua việc sử dụng kết nối (connections),mỗi kết nối kiểm sốt password (dĩ nhiên không chọn mục save password – lưu lại mật khẩu).Tuy nhiên, vấn đề có số dịch vụkết nối sử dụng mật chung, dịch vụ vnn1269.Mặt khác,trênmáy đơn cài Windows XP khơng có chuyện cấp phát quyền sử dụng kết nối account,do phải dùng “mẹo” sau đây: kết nối Internet thông qua việc sử dụng modem, nên cách logon vớitư cách Administrator, bạn disble thiết bị modem đi, account Limited khác quyền thay đổi cấu hình thiết bị nên khơng Enable modem, đồng nghĩa với việc không truy cập Internet Để tắt modem, bạn vào Control Pannel – System – Hardware – Device Manager, bấm chuột phải vào Modem chọn Disable Lúc này, trước tên modem có dấu chéo đỏ Mẹo dùng cho số thiết bị khác ổ đĩa mềm, fax… [=========> Bổ sung viết Bổ sung viết Run, nhập lệnh mmc để khởi động Microsoft Management Console Sau vào trình đơn File, chọn Open Trong cửa sổ Open, nhấn nút Browse tìm đến thư mục System32 Bạn thấy nhiều tập tin xuất có phần mở rộng *.msc Các tập tin dạng thành phần tạo Microsoft Management Console Nếu để ý, bạn thấy số công cụ quen thuộc như: Event Viewer (eventvwr.msc), Services (services.msc) (hai công cụ nằm Adminstation Tools) nhiều Trong phạm vi viết này, bạn cần chọn gpedit.msc để mở Group Policy Cách 2: Nếu bạn làm việc thường xuyên với GP cách nhanh Vào menu Start > chọn Run nhập vào gpedit.msc nhấn OK để khởi động chương trình Khi chương trình khởi động, bạn thấy cửa sổ giao diện hình bên dưới: Chương trình phân theo dạng dễ dùng Nếu sử dụng phần mềm Security Administrator, TuneUp Utilities, bạn thấy hầu hết tùy chọn cấu hình hệ thống nằm GP Và bạn hồn tồn sử dụng GP mà Windows cung cấp sẵn để quản trị hệ thống, không cần phải cài thêm phần mềm * Cách sử dụng chung: tìm tới nhánh, Chọn Not configured khơng định cấu hình cho tính đó, Enable để kick hoạt tính năng, Disable để vơ hiệu hóa tính * Computer Configuration: Các thay đổi phần áp dụng cho toàn người dùng máy Trong nhánh chứa nhiều nhánh như: + Windows Settings: bạn cấu hình việc sử dụng tài khoản, password tài khoản, quản lý việc khởi động đăng nhập hệ thống + Administrative Templates: - Windows Components: bạn cấu hình thành phần cài đặt Windows như: Internet Explorer, NetMeeting - System: cấu hình hệ thống Cần lưu ý trước cấu hình cho thành phần nào, bạn cần phải tìm hiểu thật kỹ Bạn chọn thành phần nhấp chuột phải để chọn Help Còn cách khác không chọn Help mà chọn Properties Khi cửa sổ Properties xuất hiện, chuyển sang thẻ Explain để giải thích chi tiết thành phần Mặc định tình trạng ban đầu thành phần “Not configured” Để thay đổi tình trạng cho thành phần đó, bạn chọn thẻ Setting cửa sổ Properties, có tùy chọn cho bạn chọn lựa là: Enable (có hiệu lực), Disable (vơ hiệu lực) Not configure (khơng cấu hình) * User Configuration: giúp bạn cấu hình cho tài khoản sử dụng Các thành phần có khác đơi chút việc sử dụng cấu hình tương tự Phần I: Computer Configuration: Windows Setting: Tại bạn tinh chỉnh, áp dụng sách vấn đề sử dụng tài khoản, password tài khoản, quản lý việc khởi động đăng nhập hệ thống + Scripts (Startup/Shutdown): Bạn định cho windows chạy đoạn mã Windows Startup Shutdown + Security settings: Các thiết lập bảo mật cho hệ thống, thiết lập áp dụng cho toàn hệ thống khơng riêng người sử dụng Name Tóm tắt tính Account Policies Các sách áp dụng cho tài khoản người dùng Local Policies Kiểm định sách, tùy chọn quyền lợi sách an toàn cho người dùng chỗ Public Key Policies Các sách khóa dùng chung Sau vào tìm hiểu chi tiết phần nhỏ Account Policies: Thiết lập sách cho tài khoản a> Password Policies: Bao gồm sách liên quan đến mật tài khoản người sử dụng tài khoản máy Enforce password history: Với người sử dụng có khơng có thói quen ghi nhớ nhiều mật khẩu, buộc phải thay đổi mật họ dùng mật cũ để thay cho mật mới, điều kẽ hở lớn lên quan trực tiếp đến việc lộ mật Thiết lập bắt buộc mật không giống số mật ta định Có giá trị từ đến 24 mật Maximum password age: Thời gian tối đa mật hiệu lực, sau thời gian hệ thống yêu cầu ta thay đổi mật Việc thây đổi mật định kỳ nhằm nâng cao độ an tồn cho tài khoản, kẻ xấu theo dõi thói quen bạn, từ tìm mật cách dễ dàng Số giá trị từ đến 999 ngày Giá trị mặc định 42 Minimum password age: Xác định thời gian tối thiểu trước thay đổi mật Hết thời gian bạn thay đổi mật tài khoản, bạn thay đổi cách thiết lập giá trị Giá trị từ đến 999 ngày Bạn cần thiết lập “Minimum password age” lớn khơng bạn muốn sách “Enforce password history” có hiệu quả, người sử dụng thiết lập lại mật nhiều lần theo chu kỳ để họ sử dụng lại mật cũ Minimum password length: Độ dài nhỏ tối thiểu cuả mật tài khoản (Tính số ký tự nhập vào) Độ dài mật có giá trị từ đến 14 ký tự Thiết lập giá trị không bạn không sử dụng mật Giá trị mặc định Password must meet complexity requirements: Quyết định độ phức tạp mật Nếu tính có hiệu lực Mật tài khồn phải đạt yêu cầu sau: - Không chứa tất phần tên tài khoản người dùng - Độ dài nhỏ ký tự - Chứa từ loại ký tự sau: Các chữ thường (a -> Z), chữ hoa (A -> Z), Các chữ số (0 -> 9) ký tự đặc biệt Độ phức tạp mật coi bắt buộc tạo thay đổi mật đinh : Disable Store password using reversible encryption for all users in the domain: Lưu trữ mật sử dụng mã hóa ngược cho tất người sử dụng domain Tính năngcung cấp hỗ trợ cho ứng dụng sử dụng giao thức,nó yêu cầu am hiểu mật người sử dụng Việc lưu trữ mật sử dụng phương pháp mã hóa ngươc thực chất giống việc lưu trữ văn mã hóa thơng tin bảo vệ mật Mặc đinh : Disable b> Acount lockout Policy: * Account lockout duration: Xác định số phút sau tài khoản khóa trước việc mở khóa đươc thực Có giá trị từ đến 99.999 phút Có thể thiết lập giá trị khơng muốn việc tự động Unlock Mặc định khơng có hiệu lực sách có sách “Account lockout threshold” thiết lập * Account lockout threshold: Xác định số lần cố gắng đăng nhập không thành cơng Trong trường hợp Acount bị khóa Việc mở khóa thực người quản trị phải đợi đến thời hạn khóa hêt hiệu lực Có thể thiết lập giá trị cho số lần đăng nhập sai từ đến 999 Trong trường hợp thiết lập giá trị 0, account không bị khóa * Reset account lockout counter after: Thiết lập lại số lần cố gắng đăng nhập sau khoảng thời gian quy định Thiết lập có hiệu lực “Account lockout threshold” thiết lập Local Policies: Các sách cục bộ: User rights Assignment: Ấn định quyền cho người sử dụng Quyền người sử dụng bao gồm quyền truy cập, quyền backup liệu, thay đổi thời gian hệ thống… Trong phần này, để cấu hình cho mục bạn nháy đúp chuột lên mục nhấn nủt Add user or group để trao quyền cho user Group bạn muốn * Access this computer from the network: Với kẻ tò mò, tọc mạch lại phải cho phép chúng truy cập vào máy tính Với thiết lập bạn ý thêm, bớt quyền truy cập vào máy cho tài khoản nhóm * Act as part of the operating system: Chính sách định tài khoản phép hoạt động phần hệ thống Mặc định, tài khoản Aministrator có quyền cao nhất, thay đổi thiết lập hệ thống, xác nhận người dùng nào, sử dụng tài ngun hệ thống người dùng Chỉ có dịch vụ chứng thực mức thấp yêu cầu đặc quyền * Add workstations to domain: Thếm tài khoản nhóm vào miền Chính sách hoạt động hệ thống sử dụng Domain Controller Khi thêm vào miền, tài khồn có thêm quyền hoạt động dịch vụ thư mục (Active Directory), truy cập tài nguyên mạng thành viên Domain * Adjust memory quotas for a process: Chỉ định phép điều chỉnh tiêu nhớ dành cho trình xử lý Chính sách có làm tăng hiệu suất hệ thống bị lạm dụng để phục vụ cho mục đích xấu công từ chôi dịch vụ DoS (Dinal of Sevices) * Allow logon through Terminal Services: Terminal Services dịch vụ cho phép đăng nhập từ xa đến máy tính Chính sách định giúp phép sử dụng dịch vụ Terminal để đăng nhập vào hệ thống * Back up files and directories: Tương tự sách trên, cấp phép cho có quyền backup liệu * Change the system time: Cho phép người sử dụng có quyền thay đổi thời gian cuả hệ thống * Create global objects: Cấp quyền cho tạo đối tượng dùng chung * Force shutdown from a remote system: Cho phép có quyền tắt máy qua hệ thống điều khiển từ xa * Shut down the system: Cho phép có quyền Shutdown máy Link: http://www.ddth.com/showthread.php/160220-Ph%C3%A2n-quy%E1%BB%81ncho-User%21#ixzz21QqQiVkk ... domain: Lưu trữ mật sử dụng mã hóa ngược cho tất người sử dụng domain Tính năngcung cấp hỗ trợ cho ứng dụng sử dụng giao thức,nó yêu cầu am hiểu mật người sử dụng Việc lưu trữ mật sử dụng phương pháp... nối sử dụng mật chung, dịch vụ vnn1269.Mặt khác,trênmáy đơn cài Windows XP khơng có chuyện cấp phát quyền sử dụng kết nối account,do phải dùng “mẹo” sau đây: kết nối Internet thông qua việc sử dụng. .. Giới hạn sử dụng đĩa, thư mục, tập tin Đến chuyện phức tạp chút để sử dụng tính cấp phát quyền sử dụng đĩa, thư mục, tập tin đĩa phải có định dạng NTFS Giả sử ta muốn quy định việc sử dụng đĩa