Tập hợp các thiết lập cấu hình của User và Computer gắn liền với Computers, OU, Domain, Sites
Quyết định môi trường việc của User như:
Desktop, programs, Startup Menu option.
Starup, Logon, logoff
Quản lý tập trung môi trường làm việc của User
23 trang |
Chia sẻ: haohao89 | Lượt xem: 2392 | Lượt tải: 4
Bạn đang xem trước 20 trang tài liệu Bài giảng Chính sách nhóm và bảo mật mạng, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004
Trang 1
Bài 03 : CHÍNH SÁCH NHÓM & BẢO
MẬT MẠNG
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004
Trang 2
Phần I
CHÍNH SÁCH NHÓM(GROUP POLICY)
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 3
CHÍNH SÁCH NHÓM
Tập hợp các thiết lập cấu hình của User và Computer gắn
liền với Computers, OU, Domain, Sites
Quyết định môi trường việc của User như :
Desktop, programs, Startup Menu option..
Starup, Logon, logoff
Quản lý tập trung môi trường làm việc của User
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 4
CHÍNH SÁCH NHÓM CỤC BỘ(Local Security Policy)
Lập chính sách cho máy tính cụ bộ (Local
Computer)
Chính sách nhóm cục bộ bị thay thế bởi chính
sách Domain
MMC Snap-in -> Group Policy
Hay Control Panel->Administrative Tools -> Local
Security Policy
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 5
Thiết lập Account Policies
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 6
Password Policy
Cung cấp sự bảo mật trên máy tính, tạo và
quản lý Password
Ngăn chặn User sự xâm nhập trái phép vào
Computer
Nhấp đôi lên thông số để thiếp lập giá trị
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 7
Password Policy
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 8
Password Policy
Enforce Password History
số lượng password có thể nhớ (default 0)
Giá trị 0-24
Maximum Password Age
Thời hạn sống tối đa của password (default 42ngày)
Giá trị 0 – 999 ngày; 0 : không hết hạn
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 9
Password Policy
Minimum Password Age
Thời hạn sống tối thiểu của password(0 ngày)
Giá trị 0 – 999 ngày
Minimum Password Length
Số ký tự tối thiểu của Password (0 ký tự)
0 –14 ký tự
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 10
Account Lockout Policy
Thiết lập khóa tự động 1 tài khoản khi user không
được phép cố đăng nhập vào Computer
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 11
Account Lockout Policy
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 12
Account Lockout Policy
Account Lockout Duration
khoản thời gian User bị khóa (30’)
0 : khóa vô thời hạn, 0 - 99999’
Account Lockout Threshold
Số lần logon không thành, user sẽ bị
khóa (0 lần)
0 – 999 lần, 0 : không bị khóa
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 13
Account Lockout Policy
Reset Account Lockout Counter After
Thời gian User đuợc mở khóa sau khi bị khóa
(30’)
Giá trị 1 – 99999’
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 14
Security Options
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 15
Security Options
Shutting Down the Computer Without Logging On
Enable : Shutdown computer không cần logon
Disable : shutdown phải logon3
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 16
Security Options
Clear Virtual Memory Pagefile When System Shuts Down
Xoá bộ nhớ ảo khi shutdown computer (Enable/Disable)
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 17
Security Options
Disable CTRL+ALT+DEL Requirement For Logon
Enable/Disable
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 18
Security Options
Do Not Display Last User Name In Logon Screen
Enable/Disable
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 19
User Rights Assignment
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 20
User Rights Assignment
Access this computer from the network
Thiết lập các User trên được phép truy xuất đến máy
tính này
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 21
User Rights Assignment
Create a pagefile
Thiết lập User được phép tạo bộ nhớ ảo
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 22
User Rights Assignment
Deny logon Locally : Cấm User logon cục bộ
Force shutdown from a remote system
Thiết lập user có thể shutdown máy từ xa
Log on Locally : Thiết lập user logon cục bộ
Shutdown the system
Thiết lập User có thể shutdown máy cụ bộ
....
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 23
Thực hành Chính sách nhóm cục bộ
Thiết lập chính sách cho User (Account policy)
Password, Lockout Account
Thiết lập các thông số bảo mật (Security option)
Shutting Down the Computer Without Logging On
Disable CTRL+ALT+DEL Requirement For Logon
….
Thiết lập Quyền User (User Rights Assignment)
Access this computer from the network
Shutdown the system
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 24
Thực hành Chính sách nhóm cục bộ
Thiết lập Quyền User (User Rights Assignment)
Log on Locally
Deny logon Locally
….
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 25
Chính sách Nhóm - Domain
Sites
Domains
OUs
Computers
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 26
Group Policy
Bảo mật môi trường làm việc User
Nâng cao hiệu quả làm việc User
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 27
Group Policy Object GPO
GPO chứa những thiết lập GP chi Sites, Domain,
Ous
GPO gồm 2 phần
GPC : Group Policy Containers
GPT : Group Policy Templates
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 28
Group Policy Object GPO
GPC
Là 1 ADO, chứa những thuộc tính của GPO
Chứa thông tin GP Users và Computers
GPT
Là thư mục được tạo ra khi tạo GPO
Lưu tại SysVol của DC
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 29
Tạo GP
Tạo GP cho Sites, Domains, Ous
Để tạo GP phải tạo GPO
Thứ tự ảnh hưởng của GP
Local GPO
Site GPO
Domain GPO
OU GPO
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 30
Tạo GPO cho OU, Domain
AD Users and Computers
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 31
Tạo GPO cho Site
AD Sites and Services
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 32
Liên kết GPO với Site, Domain, OU
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 33
Tạo GPO dùng MMC snap-in
MMC -> Group Policy
Tạo Cho Site, Domain, OU
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 34
Phân quyền điều khiển GPO
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 35
Phân quyền điều khiển GPO
Authenticated Users
Read, Apply Group Policy, Special Permissions
CREATOR OWNER
Special Permissions
Domain Administrators
Read, Write, Create All Child Objects, Delete All
Child Objects, Special Permissions
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 36
Phân quyền điều khiển GPO
Enterprise Administrators,
Như Domain Administrators
SYSTEM
Như Domain Administrators
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 37
Cấu hình cho GPO
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 38
Thiết lập 2 Kiểu cho GP
Computer Configuration
Thiết lập các đặt trưng cho máy tính
Không quan tâm đến User logon
User Configuration
Thiết lập các đặt trưng cho User
Không quan tâm đến Computer mà User logon
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 39
Một số thành phần GP
Administrative Templates
Registry, Desktop, Application, System
Folder Redirect
Thư mục user trên mạng
Scripts
Logon, Logoff, Start, shutdown
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 40
Một số thành phần GP
Security setting
Bảo mật
Software Installation
Cài đặt phần mềm tập trung
Update, Removal
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 41
Cấu hình cho GPO
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 42
Cấu hình cho GPO(User configuration)
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 43
User configuration
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 44
User configuration
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 45
User configuration
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 46
User configuration
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 47
User configuration
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 48
Computer configuration
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 49
Computer configuration
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 50
Computer configuration
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 51
Vô hiệu lực GPO
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 52
Vô hiệu lực GPO
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 53
KỊCH BẢN ĐĂNG NHẬP
Login Script
Logff Script
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 54
Logon Scripts
Kịch bản (Script)
Là 1 đoạn chương trình ngắn thực thi được
Logon Scripts áp dụng khi User đăng nhập
Logoff Scripts áp dụng khi User đăng xuất
Startup Scripts áp dụng khi Computer khởi động
Shutdown Scripts áp dụng khi Computer Shutdown
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 55
Logon Scripts
Kịch bản (Script)
Áp dụng GP : Local, Site, Domain, OU GPO
Viết Script ở dạng tập tin bó (batch file : *.bat),
VBScripts (*.vbs), dòng lệnh Dos (*.cmd), hay bất kỳ 1
chương trình thực thi nào
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 56
Logon Script Options
%HOMEDRIVE%
%HOMEPATH%
%OS%
%PROCESSOR_ARCHITECTURE%
%PROCESSOR_LEVEL%
%USERDOMAIN%
%USERNAME%
%HOMESHARE%
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 57
Một số lệnh
for %%variable in (set) do command [command-
parameters]
if [not] errorlevel number command [else expression]
if [not] string1==string2 command [else expression]
if [not] exist filename command [else expression]
Echo, Pause, Rem, Call, Goto, Exit…
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 58
Một số lệnh
Net use
Net Logon
Net Logoff
Net Password
Net View
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 59
Ví dụ Logon Scripts
logon.bat
Echo Tôi là : %UserName%
Echo Miền của Tôi là : %UserDomain%
Echo Ổ đĩa chủ : %HomeDrive%
Echo Đường dẫn thư mục chủ : %HomePath%
Echo Level CPU : %Processor_Level%
Echo Os : %OS%
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 60
Ví dụ Logon Scripts
logon.bat
If %OS% == “Windows_NT” goto winnt
Net Use G: \\%UserDomain%\Users\Win98\%UserName%
Goto Ketthuc
:Winnt
Net Use G: \\%UserDomain%\Users\Winnt\%UserName%
:Ketthuc
exit
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 61
Ví dụ Logon Scripts
VBScript
stpopup.vbs
Set oShell = CreateObject("WScript.Shell")
oShell.Popup "Startup Script", 10, "Group Policy - Script Policy“
Wscript.Echo "Hello, World!"
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 62
Scripts cho GP
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 63
Scripts cho GP
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 64
Bài tập thực hành
Khảo sát và thiết lập GP cục bộ (Local computer)
Khảo sát và thiết lập GP Domain
Tạo các kịch bản logon và logoff
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004
Trang 65
Phần II : BẢO MẬT MẠNG
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 66
Các chủ đề chính
¨ Hạ tầng của bảo mật dùng khoá chung(Public
Key Infrastructure (PKI) )
¨ Hiện thực bảo mật mạng dùng IPSec
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 67
Public Key Infrastructure
Khái niệm :
Mã hóa dùng khóa chung là công nghệ rất quan trọng cho việc
bảo mật thông tin trong thương mại hiện nay dùng trong các
mạng Internet, intranet..
Mã hóa dùng khóa chung thực hiện hai thành phần thiêt yếu là
xác thực người dùng và mã hóa dữ liệu
Windows 2000 dùng mã hóa dùng khóa chung cho đăng nhập
mạng bằng thẻ nhớ thông minh (smart card), mã hóa hệ thống
file trong NTFS( Encrypting File System : EFS),và Internet Protocol
Security (IPSec).
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 68
Public Key Infrastructure
Những thành phần chính của PKI
Certificate Services
Active Directory
PKI-enabled applications
Những giao thức bảo mật
Secure Sockets Layer (SSL) : Đưọc phát triển bởi tập đoàn
Netscape Communications, xác thực cho Client, Server hay Client
–Server cũng như mã hóa trong phiên truyền thông
Internet Protocol Security (IPSec) : Tập giao thức được phát triển
bởi IETF áp dụng trong việc chuyển các gói bảo mật trên mạng
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 69
Public Key Infrastructure
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 70
Hiện thực bảo mật mạng dùng IPSec
Khái niệm :
Windows 2000 hiện thiện IPSec cho việc xác thực cho những máy
tính, mã hoá dữ liệu trong việc truyền thông của các máy tính
trong mạng cũng như các mạng Internet, Intranet
Nguời quản trị phải đảm bảo rằng thông tin trao đổi trên mạng
phải chắc chắn rằng :
Không được hiệu chỉnh bởi những người không có quyền
Không được xem, sao chep bởi những người không có được
Không được truy xuất bởi những người không xác thực
Sau đây là một số phương thức mà người xâm nhập trái
phép(Attacker) có thể thực hiện :
Giám sát các gói trên mạng :Dùng những ứng dụng hay thiết
bị quan sát theo dõi các gói tin
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 71
Hiện thực bảo mật mạng dùng IPSec
Hiệu chỉnh dữ liệu : Attacker chỉnh sửa gói dữ liệu làm sai lệch
thông tin và sau đó lấy những thông tin cần thiết
Passwords : Attacker đánh cấp mật mã hay khóa
Giả mạo địa chỉ(Address spoofing):Attacker dùng một chương
trình đặt biệt để hiệu chỉnh lại thông tin gói IP
Lớp Application : Attacker lợi dụng lỗ hỏng bảo mật của OS và
ứng dụng để tấn công
Tấn công từ chối dịch vụ (Denial-of-service ) : Gởi thông tin
một cách ồ ạc đến Server dẫn đến hệ thống tê liệt
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 72
Hiện thực bảo mật mạng dùng IPSec
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 73
Hiện thực bảo mật mạng dùng IPSec
IPSec bảo mật dữ liệu mạng bằng cách
Xác thực các máy tính trong quá trình trao đổi dữ liệu
Thiết lập sự kết hợp bảo mật giữa hai máy tính
Mã hoá dữ liệu khi trao đổi
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 74
Hiện thực bảo mật mạng dùng IPSec
Cho phép IPSec hiện thực : Run/mmc
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 75
Hiện thực bảo mật mạng dùng IPSec
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 76
Hiện thực bảo mật mạng dùng IPSec
Những chính sách bảo mật IPSec có sẵn
Client (Respond Only) : Dùng áp dụng cho những máy tính khi trả
lời bảo mật yêu cầu từ những máy tính khác
Server (Request Security) :Dùng áp dụng cho những máy tính mà
việc truyền thông đến nó phải được bảo mật, còn chính nó truyền
thông đi có thể không cần bảo mật
Secure Server (Require Security) : Tất cả những máy tính khi
truyền thông với nhau phải bảo mật (Request and Respond
Security)
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 77
Hiện thực bảo mật mạng dùng IPSec
Kích hoạt IPSec
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 78
Hiện thực bảo mật mạng dùng IPSec
Cấu hình IPSec giữa 2 máy tính Windows 2000
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 79
Hiện thực bảo mật mạng dùng IPSec
Cấu hình IPSec giữa 2 mạng
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 80
Hiện thực bảo mật mạng dùng IPSec
Cấu hình tùy chọn IPSec
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 81
Hiện thực bảo mật mạng dùng IPSec
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 82
Hiện thực bảo mật mạng dùng IPSec
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 83
Hiện thực bảo mật mạng dùng IPSec
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 84
Hiện thực bảo mật mạng dùng IPSec
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 85
Hiện thực bảo mật mạng dùng IPSec
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 86
Hiện thực bảo mật mạng dùng IPSec
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 87
Câu hỏi bài tập
1. Cấu hình IPSec như thế nào để hạn chế việc giả địa chỉ (Address
Spoofing)?
a. Mã hóa dịch vụ và giao thức
b. Giám sát mạng
c. Xác thực
d. Chuyển gói đến Domain Controller
2. Tạo sao dùng IPSec trong chế độ Transport ?
a. Buộc áp dụng IPsec cho tất cả những truyền thông mạng
b. Hỗ trợ truyền thông cho những OS củ
c. Bảo mật truyền thông giữa 2 máy tính Windows 2000
d. Bảo mật truyền thông giữa mạng máy tính
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 88
Câu hỏi bài tập
3) Không phải là thành phần luật của chính sách IPSec ?
a. Filter Action
b. Authentication Method
c. IP Filter list
d. Tunnel endpoint
e. Network type
f. Secure password
g. IP Filter list
Trung tâm Tin học Bách khoa Aptech
@Bách Khoa Aptech 2004 Trang 89
Ôn tập và hỏi đáp