Bài 11: Chính sách hệ thống

Kết thúc bài học này cung cấp cho học viên kiến thức về chính sách mật khẩu, chính sách khóa tài khoản người dùng, quyền hệ thống của người dùng,IPSec
Nội dung trích xuất từ tài liệu:
Bài 11: Chính sách hệ thống Bài11 CHÍNHSÁCHHỆTHỐNGTóm tắtLý thuyết 5 tiết -Thực hành 6 tiếtMục tiêu Các mục chính Bài tập bắt Bài tập làm buộc thêmKết thúc bài học này cung I. Chính sách tài khoản người dùng. Dựa vào bài Dựa vào bài tậpcấp học viên kiến thức II. Chính sách cục bộ. III. IPSec. tập môn Quản môn Quảnvềchính sách mật khẩu, trịWindows trịWindowschính sách khóa tài khoản Server 2003. Server 2003.nguời dùng, quyềnhệthống của người dùng,IPSec …I. CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG.Chính sách tài khoản người dùng (Account Policy) được dùng đểchỉđịnh các thông sốvềtàikhoản người dùng mà nó đượcsửdụng khi tiến trình logon xảy ra. Nó cho phép bạncấu hình cácthông sốbảomật máy tính cho mật khẩu, khóa tài khoản và chứng thực Kerberos trong vùng.Nếu trên Server thành viên thì bạnsẽthấy hai mục Password Policy và Account LockoutPolicy, trên máy Windows Server 2003 làm domain controller thì bạnsẽthấy ba thưmụcPassword Policy, Account Lockout Policy và Kerberos Policy. Trong Windows Server 2003cho phép bạn quản lý chính sách tài khoản tại hai cấp độlà: cụcbộvà miền. Muốncấu hình cácchính sách tài khoản người dùng ta vào Start Programs Administrative Tools DomainSecurity Policy hoặc Local Security Policy.I.1. Chính sách mật khẩu.Chính sách mật khẩu(Password Policies) nhằm đảmbảo antoàn cho mật khẩucủa người dùng đểtrách các trường hợp đăng nhậpbấthợp pháp vào hệthống. Chính sách này cho phép bạn quiđịnhchiều dài ngắn nhấtcủamật khẩu, độphứctạpcủamật khẩu…Các lựa chọn trong chính sách mật mã:Chính sách Mô tả Mặc định Sốlần đặt mật mã không được trùngEnforce Password History 24 nhau Quy định sốngày nhiều nhất mà mật mãMaximum Password Age 42. người dùng có hiệu lực Quy sốngày tối thiểu trước khi ngườiMinimum Password Age 1 dùng có thểthay đổi mật mã.Minimum Password Length Chiều dài ngắn nhất của mật mã 7Passwords Must Meet Mật khẩu phải có độphức tạp như: có ký Cho phépComplexity Requirements tựhoa, thường, có ký số.Store Password Using Mật mã người dùng được lưu dưới dạngReversible Encryption for All Không cho phép mã hóaUsers in the DomainI.2. Chính sách khóa tài khoản.Chính sách khóa tài khoản(Account Lockout Policy)quy định cách thức và thời điểm khóa tài khoảntrong vùng hay trong hệthống cụcbộ. Chính sách này giúp hạn chếtấn công thông qua hình thứclogon từxa.Các thông sốcấu hình chính sách khóa tài khoản:Chính sách Mô tả Giá trịmặc định Quy định sốlần cốgắng đăngAccount Lockout nhập trước khi tài khoản 0 (tài khoản sẽkhông bịkhóa)Threshold bịkhóa Là 0, nhưng nếu Account LockoutAccount Lockout Quy định thời gian khóa tài Threshold được thiết lập thì giá trịnày làDuration khoản 30 phút.Reset Account Quy định thời gian đếm lại Là 0, nhưng nếu Account LockoutLockout Counter sốlần đăng nhập không Threshold được thiết lập thì giá trịnày làAfter thành công 30 phút.II. CHÍNH SÁCH CỤC BỘ.Chính sách cụcbộ(Local Policies) cho phép bạn thiếtlập các chính sách giám sát cácđốitượng trên mạng nhưngười dùng và tài nguyên dùng chung. Đồng thờidựa vào côngcụnày bạn có thểcấp quyềnhệthống cho các người dùng và thiếtlập các lựachọnbảomật.II.1. Chính sách kiểm toán.Chính sách kiểm toán (Audit Policies) giúp bạn có thểgiámsát và ghi nhận các sựkiệnxảy ra tronghệthống, trên các đốitượng cũng nhưđốivới các người dùng. Bạn có thểxem các ghi nhận nàythông qua công cụEvent Viewer, trong mục Security. Các lựa chọn trong chính sách kiểm toán: Audit Account Logon Events Audit Account ManagementAudit Directory Service Access Audit Logon Events Audit Object Access Audit Policy Change Audit privilege useAudit system event Kiểm toán những sựkiện khi tài khoản đăng nhập, hệthống sẽghi nhận khingười dùng logon, logoff hoặctạomộtkếtnốimạngHệthống sẽghi nhận khi tài khoản người dùng hoặc nhóm có sựthay đổi thông tin hay các thaotác quản trịliên quan đến tài khoản người dùng. Ghi nhân việc truy cập các dịch vụthưmụcGhi nhân các sựkiện liên quan đến quá trình logon nhưthi hành một logon script hoặc truy cậpđếnmột roaming profile. Ghi nhận việc truy cập các tập tin, thưmục, và máy tin. ...