• Trong Windows XP trở về sau, tích Trong Windows XP trở về sau, tích hợp sẵn 1 công cụ rất hay đó là Group hợp sẵn 1 công cụ rất hay đó là Group Policy.Policy.• Group Policy là 1 trong các thành Group Policy là 1 trong các thành phần của Microsoft Management phần của Microsoft Management Console chỉ có thành viên của Console chỉ có thành viên của Administrators mới có quyền sử dụng Administrators mới có quyền sử dụng chương trình này.chương trình này.• Đây là nơi để Admin cấu hình, hoạch Đây là nơi để Admin cấu hình, hoạch định các chính sách cho toàn bộ các định các chính sách cho toàn bộ các thành phần trong máy : Tài khoản, thành phần trong máy : Tài khoản, Thiết bị, Chương trình, Bảo mật….Thiết bị, Chương trình, Bảo mật….

1.1. Giới thiệu :Giới thiệu :

• Từ nút Start Từ nút Start Run Run nhập vào nhập vào “gpedit.msc” “gpedit.msc”

2.2. Khởi động chương Khởi động chương trình :trình :

• Giao diện chương trình xuất hiện như Giao diện chương trình xuất hiện như hình bên dưới hình bên dưới

• Chương trình Chương trình được phân theo được phân theo dạng cây thư mục dạng cây thư mục nên rất dể dàng sử nên rất dể dàng sử dụng.dụng. • Hầu hết các tùy Hầu hết các tùy chọn cấu hình hệ chọn cấu hình hệ thống đều có trong thống đều có trong GP. Ta có thể sử GP. Ta có thể sử dụng GP để quản dụng GP để quản trị hệ thống mà trị hệ thống mà không cần cài thêm không cần cài thêm phần mềm nào phần mềm nào khác.khác.

3.3. Các thành phần chính :Các thành phần chính :

Computer ConfigurationComputer Configuration : Các thay đổi : Các thay đổi trong phần này sẽ áp dụng cho toàn bộ trong phần này sẽ áp dụng cho toàn bộ người dùng trên máy, trong nhánh này có người dùng trên máy, trong nhánh này có nhiều nhánh con như :nhiều nhánh con như :

Windows Windows Settings:Settings: áp đặt áp đặt chính sách về việc chính sách về việc sử dụng tài sử dụng tài khoản, password khoản, password tài khoản, quản lý tài khoản, quản lý việc khởi động và việc khởi động và đăng nhập hệ đăng nhập hệ thống...thống...

Administrative Administrative TemplatesTemplates : :

• Windows Windows ComponentsComponents : áp đặt : áp đặt chính sách cho các chính sách cho các thành phần cài đặt thành phần cài đặt trong Windows như: trong Windows như: Internet Explorer, Internet Explorer, NetMeeting...NetMeeting... • System System : áp đặt : áp đặt những tùy chọn những tùy chọn chính sách hệ thống.chính sách hệ thống.

User Configuration:User Configuration: dùng để Admin áp đặt dùng để Admin áp đặt chính sách cho tài chính sách cho tài khoản đang sử dụng. khoản đang sử dụng. Các thành phần có Các thành phần có khác đôi chút nhưng khác đôi chút nhưng việc sử dụng và cấu việc sử dụng và cấu hình cũng tương tự hình cũng tương tự Computer Computer ConfigurationConfiguration..

• Mặc định thì tình trạng ban đầu của các thành Mặc định thì tình trạng ban đầu của các thành phần này là “Not configured”.phần này là “Not configured”.

4.4. Cách sử dụng chung :Cách sử dụng chung :

• Mở đến các nhánh, tìm thành phần Mở đến các nhánh, tìm thành phần muốn cấu hình, sau đó để thay đổi muốn cấu hình, sau đó để thay đổi tình trạng cho thành phần nào đó, tình trạng cho thành phần nào đó, bạn chọn thẻ Setting trong cửa sổ bạn chọn thẻ Setting trong cửa sổ Properties, sẽ có 3 tùy chọn cho bạn Properties, sẽ có 3 tùy chọn cho bạn chọn lựa là:chọn lựa là:

Not configuredNot configured nếu không nếu không định cấu hình cho tính năng đóđịnh cấu hình cho tính năng đó

EnabledEnabled để kick hoạt tính để kick hoạt tính năngnăng DisabledDisabled để vô hiệu hóa tính để vô hiệu hóa tính năng.năng.

Có rất nhiều chính sách Có rất nhiều chính sách trong GP cho phép Admin cấu trong GP cho phép Admin cấu hình đến từng chi tiết cho hệ hình đến từng chi tiết cho hệ thống cả phần cứng lẫn phần thống cả phần cứng lẫn phần mềm.mềm.

Trong bài này ta chỉ tham Trong bài này ta chỉ tham khảo vài chính sách tương đối khảo vài chính sách tương đối thông dụng nhất mà các user thông dụng nhất mà các user quản trị máy thường sử dụng.quản trị máy thường sử dụng.

• Chính sách tài khoản người dùng Chính sách tài khoản người dùng (Account Policy) dùng để chỉ định các (Account Policy) dùng để chỉ định các thông số, các ràng buộc về tài khoản thông số, các ràng buộc về tài khoản người dùng mà nó được sử dụng khi người dùng mà nó được sử dụng khi tiến trình Logon xảy ra.tiến trình Logon xảy ra.• Cho phép ta cấu hình các thông số bảo Cho phép ta cấu hình các thông số bảo mật cho mật khẩu, khoá tài khoản và mật cho mật khẩu, khoá tài khoản và chứng thực.chứng thực.

PasswordPassword PermissionPermission ComputerComputer

trinhty

******

Khi User khởi Khi User khởi động máy tính.động máy tính.

User nhập tài User nhập tài khoản vào hộp khoản vào hộp Logon để đăng Logon để đăng nhậpnhập

Hệ thống sẽ lấy Hệ thống sẽ lấy thông số tài thông số tài khoảnkhoản

Đem vào so sánh Đem vào so sánh với các thông số với các thông số trong Account trong Account PolicyPolicy

Để đưa ra cách Để đưa ra cách ứng xử với tài ứng xử với tài khỏan này 1 khỏan này 1 cách thích hợp cách thích hợp nhấtnhất

GPGP

• Computer Configuration Windows Setting Security Settings Account Policies.

• Khảo sát 2 thành phần :- Password Policy- Account Lockout Policy.

• Password Policy nhằm đảm bảo an toàn mật Password Policy nhằm đảm bảo an toàn mật khẩu cho người dùng, tránh các trường hợp khẩu cho người dùng, tránh các trường hợp đăng nhập bất hợp pháp vào hệ thốngđăng nhập bất hợp pháp vào hệ thống

Số lần đặt mật mã không đượctrùng nhau (def 24)

Số ngày nhiều nhất mà mật mãcó hiệu lực (def 42)

Số ngày tối thiểu trước khi Userđược phép đổi mật mã (1)

Số ký tự ngắn nhất của mật mã (7)

Mật mã phải có độ phức tạp (Y)

Mật mã được mã hoá (N)

• Account Lockout Policy quy định cách thức khoá tài khoản Account Lockout Policy quy định cách thức khoá tài khoản trong vùng hay trong hệ thống cục bộ. Chính sách này giúp trong vùng hay trong hệ thống cục bộ. Chính sách này giúp ta hạn chế bị tấn công bằng phương pháp Logon từ xa.ta hạn chế bị tấn công bằng phương pháp Logon từ xa.

Quy định thời gian khoá. Là 0, Nhưng nếu Account LockoutThreshold được thiết lập thì giátrị này mặc định là 30 phút.

Quy định số lần đăng nhập sai, tài khoản sẽ bị khoá.

Quy định thời gian đếm lại số lầnđăng nhập không thành công.Là 0, nếu Account LockoutThreshold được thiết lập thì giátrị này mặc định là 30 phút.

• Cho phép thiết lập các chính sách giám sát tài khoản người dùng trên máy.

• Đồng thời có thể cấp quyền hệ thống (Rights) cho các người dùng và thiết lập các lựa chọn bảo mật.

Ghi nhận lại Ghi nhận lại những sự kiện những sự kiện khi tài khoản khi tài khoản đăng nhập, khi đăng nhập, khi người dùng người dùng Logon, Logof, Logon, Logof, hoặc kết nối hoặc kết nối mạngmạng

Ghi nhận các Ghi nhận các thao tác quản thao tác quản trị liên quan tới trị liên quan tới tài khoản người tài khoản người dùngdùng

Ghi nhận việc Ghi nhận việc truy cập đến các truy cập đến các dịch vụ thư mụcdịch vụ thư mục

Ghi nhận việc Ghi nhận việc thi hành 1 logon thi hành 1 logon script hoặc 1 script hoặc 1 roaming profileroaming profile

Ghi nhận việc Ghi nhận việc truy cập các file, truy cập các file, folder, printerfolder, printer

Ghi nhận các Ghi nhận các thay đổi trong thay đổi trong chính sách kiểm chính sách kiểm toántoán

Ghi nhận các Ghi nhận các thay đổi quyền thay đổi quyền hệ thống như hệ thống như cấp hoặc xóa cấp hoặc xóa quyền 1 ai đóquyền 1 ai đó

Ghi nhận hoạt Ghi nhận hoạt động của chương động của chương trình hay hệ điều trình hay hệ điều hànhhành

Ghi nhận lại Ghi nhận lại mỗi khi khởi mỗi khi khởi động máy hoặc động máy hoặc tắt máytắt máy

Audit Account Logon EventsAudit Account Logon EventsAudit Account Audit Account ManagementManagementAudit Directory Sevice Audit Directory Sevice AccessAccessAudit Logon EventsAudit Logon EventsAudit Object AccessAudit Object AccessAudit Pocily changeAudit Pocily changeAudit Privilege useAudit Privilege useAudit Process trackingAudit Process trackingAudit System EventAudit System Event

1. Đưa User 1. Đưa User Account vào các Account vào các nhóm có sẵn nhóm có sẵn (built-in). (đã (built-in). (đã học)học)2. Hoặc ta dùng 2. Hoặc ta dùng công cụ User công cụ User Rights Rights Assignment để Assignment để gán từng quyền gán từng quyền rời rạcrời rạc(Double click)(Double click)

ClickClickCó hai cách để ta Có hai cách để ta cấp quyền hệ cấp quyền hệ thống (Rights) thống (Rights) cho người dùng:cho người dùng:

• Nhấn vào nút Add Nhấn vào nút Add User or Group… User or Group… để thêm người để thêm người dùng hoặc nhóm dùng hoặc nhóm có sẳn được có sẳn được quyền này, hoặc quyền này, hoặc nhấn Remove để nhấn Remove để xóa người dùng xóa người dùng khỏi danh sáchkhỏi danh sách

• Xuất hiện hộp thoạiXuất hiện hộp thoại

Quyền Mô tả

Access This Computer in the Network

Cho phép người dùng truy cập máy tính này thông qua mạng, mặc định mọi người đều có quyền

Act as Part of the Operating System

Cho phép các dịch vụ chứng thực ở mức thấp, được chứng thực bởi bất cứ người dùng nào

Add Workstations to the Domain

Cho phép người dùng thêm 1 tài khoản máy tính vào vùng

Backup file and Directories

Cho phép người dùng sao lưu

Bypass Traverse checking

Cho phép duyệt cấu trúc thư mục nếu không có quyền xem (list) thư mục này

Change the System time

Cho phép thay đổi giờ hệ thống

Danh sách các quyền hệ thống cấp Danh sách các quyền hệ thống cấp cho người dùng và nhómcho người dùng và nhóm

Quyền Mô tả

Creat a PagefileCho phép thay đổi kích thước Pagefile

Creat a Token ObjectCho phép 1 tiến trình tạo 1 thẻ bài nếu tiến trình này dùng NTCreat Token API

Creat Permanent Shared Object

Cho phép 1 tiến trình tạo 1 đối tượng thư mục thông qua Win 2000 Object Manager

Debug ProgramsCho phép người dùng gắn 1 chương trình debug vào bất cứ tiến trình nào

Deny Access to This Computer from the Net

Cho phép khoá người dùng hoặc nhóm không được truy cập đến các máy tính khác trên mạng

Deny Logon as Batch file

Cho phép ngăn cản users và nhóm được phép logon như 1 batch file

Quyền Mô tả

Deny Logon as Service

Cấm users và nhóm logon như 1 service

Deny Logon LocallyCấm users và nhóm truy cập đến máy tính cục bộ

Enable Computer and User Accounts to Be Trusted by Delegation

Cho phép users hoặc nhóm được uỷ quyền cho người dùng hoặc máy tính

Force shutdow from a remote system

Cho phép người dùng Shutdow máy từ xa thông qua mạng

Generate Security Audits

Cho phép tạo 1 entry vào Security log

Increase QuotasCho phép users điều khiển hạn nghạch của các tiến trình

Security Options cho phép người quản trị khai báo Security Options cho phép người quản trị khai báo thêm các thông số nhằm tăng tính bảo mật cho hệ thêm các thông số nhằm tăng tính bảo mật cho hệ thốngthống

Một số lựa chọn bảo mật thông dụng

Win XP hổ trợ Win XP hổ trợ chúng ta rất chúng ta rất nhiều lựa chọn nhiều lựa chọn bảo mật.bảo mật.Nhưng trong tài Nhưng trong tài liệu này chúng liệu này chúng ta chỉ khảo sát ta chỉ khảo sát những lựa chọn những lựa chọn thông dụng như:thông dụng như:

Thay đổi trạng Thay đổi trạng thái hoạt động thái hoạt động của Usercủa User

ClickClick

• Xuất hiện hộp thoại cho phép ta Xuất hiện hộp thoại cho phép ta cấu hình thay đổicấu hình thay đổi

• Enable : Cho tài Enable : Cho tài khoản này được khoản này được phép hoạt độngphép hoạt động

• Disable : Tài Disable : Tài khoản này bị tạm khoản này bị tạm khóa.khóa.

Giới hạn người dùng sử dụng Password rổng

Đổi tên tài khoản Administrator

Gởi 1 message cho người sử dụng khi họ logon

Không hiển thị tên người dùng vừa logon trên hộpthoại logon

Tiêu đề của message

Cho phép Shutdown máy mà không cần logon

Không cần nhấn CTRL+ATL+DEL

khi khởi động

Đổi tên tài khoản Guest

Tính chất của tài khoản khi truy cập hệ thống từ mạng