LOCAL SECURITY POLICY

Chuẩn bị - Logon vào với Administrator, tạo user có tên là u1, đặt password là u1 - Logoff Administrator , Logon u1 - Logoff u1, Logon Administrator, Khởi động Vào menu Start, Program, Administrator Tools, Local Security Policy hoặc vào Start, Run, secpol.mscCửa sổ trên giống một phần của cửa sổ Group Policy Object Editor (gpedit.msc) ở mục Computer Configuration ,Windows Settings, Security Settings cho nên ta có thể dùng gpedit.msc để xác định local Security Policy. ...
Nội dung trích xuất từ tài liệu:
LOCAL SECURITY POLICY LOCAL SECURITY POLICY I. Chuẩn bị- Logon vào với Administrator, tạo user có tên là u1, đặt password là u1- Logoff Administrator  Logon u1- Logoff u1  Logon Administrator  Khởi độngVào menu Start  Program  Administrator Tools  Local Security Policyhoặc vào Start  Run  secpol.mscCửa sổ trên giống một phần của cửa sổ Group Policy Object Editor (gpedit.msc) ởmục Computer Configuration  Windows Settings  Security Settings cho nênta có thể dùng gpedit.msc để xác định local Security Policy.II. Thực thi một số local security policy1. Đặt chính sách Password trên một máy tính đơnGiả sử ta đưa ra yêu cầu là password của một user có chiều dài tối thiếu là 5 ký tự vàcó độ phức tạpB1 : Ta vào Computer Configuration  Windows Settings  Security Settings Account Policies  Password PolicyBS Hệ Thống Mạng Trang 1 Lê Xuân Tùng Nhấp đúp chuột lên Minimum password length  đổi giá trị chiều dài là 5 Apply  OK Nhấp đúp chuột lên Password must meet Complexity requirements  chọnEnabled  Apply  OKB2 : Bây giờ ta tạo user u2 có password là u2  ta sẽ thấy thông báo lỗi như sau OK  gõ password cho u2 là 12345?a  Create  Close2. Chống dò password, hạn chế số lần nhập password saiB1 : Ta vào Computer Configuration  Windows Settings  Security Settings Account Policies  Account Lockout PolicyBS Hệ Thống Mạng Trang 2 Lê Xuân Tùng Nhấp đúp chuột vào Account lockout threshold  Trong mục Account will lockout after  nhập giá trị 3 (sẽ khoá account sau 3 lần login sai password)  OKBS Hệ Thống Mạng Trang 3 Lê Xuân Tùng nó sẽ tự động nhập các giá trị như là :Account lockout duration 30 minutes : sẽ khoá user 30 phút nếu nhập sai passwordvượt quá số lần quy địnhReset account lockout counter after 30 minute : số lần nhập sai password sẽ đượctính tăng dần trong vòng 30 phút kể từ lúc nhập sai password lần đầu.3. Không hiện tên user vừa logon ở cửa sổ logon sau khi đã logoff nóTa vào Computer Configuration  Windows Settings  Security Settings Local Policies  Security option  Interactive logon : Do not display last username  EnabledBS Hệ Thống Mạng Trang 4 Lê Xuân Tùng4. Không cho user chạy một file ứng dụng nào đóB1 : Giả sử ta không người sử dụng chạy 2 ứng dụng là máy tính tay (calc.exe) vàtrình duyệt IE (iexplore.exe), ta vào User Configuration  AdministrativeTemplates  System  Don’t run specified windows applications Chọn Enabled  bấm nút ShowBS Hệ Thống Mạng Trang 5 Lê Xuân TùngB2 : Xuất hiện cửa sổ Show Contents  Add  Xuất hiện cửa sổ Add Item Nhập vào calc.exe  OK Quay trở lại cửa sổ Show Contents  Add  Xuất hiện cửa sổ Add Item Nhập vào iexplore.exe  OK Quay trở lại cửa sổ Show Contents  OK  OKB3 : Ta chạy thử trình duyệt IE hay ứng dụng Calculator thì điều nhận được thôngbáo lỗi như sau 5.BS Hệ Thống Mạng Trang 6 Lê Xuân Tùng5. Cấm chạy một file ứng dụng cho dù đã đổi tên fileB1 : Ở mục 6 ta đã cấm không cho chạy file calc.exe nằm ở C:\Windows\system32,nhưng nếu ta đổi tên file này thành file có tên khác ví dụ calc1.exe thì nó vẫn chạyđược, để cấm luôn việc chạy một file ứng dụng cho dù nó đã được đổi tên thì ta thựchiện như sau :Ta vào Computer Configuration  Windows Settings  Security Settings Software Restriction Policies phải chuột vào Software Restriction Policies  New Software RestrictionPoliciesBS Hệ Thống Mạng Trang 7 Lê Xuân TùngB2 : Chọn mục Additional Rules  Phải chuột vào mục này  New Hash Rule … Xuất hiện cửa sổ New Hash Rule  bấm Browse  chỉ ra đường dẫn của fileC:\Windows\system32\calc.exe  Open  Apply  OKB3 : Kiểm tra lại ta thấy chạy file calc.exe hay calc1.exe đều không thể chạy đượcBS Hệ Thống Mạng Trang 8 Lê Xuân Tùng6. Cho u1 có quyền shutdown trên máyB1 : Logoff Administrator  Logon u1B2 : Start  Shutdown  Ta thấy u1 không có quyền shutdownB3: Logoff u1  Logon AdministratorB4 : Ta vào Computer Configuration  Windows Settings  Security Settings Local policies  User Rights Assignment  Shutdown the system  phảichuột vào Shutdown the system chọn  Properties chọn Add User and Groups  Advanced  Find Now  Tìm user u1  OKBS Hệ Thống Mạng Trang 9 Lê Xuân Tùng OK  OK Apply  OKBS Hệ Thống Mạng Trang 10 Lê Xuân TùngB5 : Logoff Administrator  Logon u1  Lúc này u1 đã có quyền shutdownBS Hệ Thống Mạng Trang 11 Lê Xuân Tùng