Quản trị hệ thống với Group Policy

Vũ Phương Hải – PGD KCN Thụy Vân 1 Các lệnh tắt với lệnh gpedit.msc compmgmt.msc: Computer Management devmgmt.msc: Device Management diskmgmt.msc: Disk Management dfrg.msc: Disk Defrag eventvwr.msc: Event Viewer fsmgmt.msc: Shared Folders lusrmgr.msc: Local Users And Groups perfmon.msc: Performance Monitor rsop.msc: Resultant Set Of Policies secpol.msc: Local Security Settings services.msc: Various Services Certificates (Q/lý chứng thư số của máy ở xa) Computer Management (Quản trị Computer ở xa) Device Manager (Q/lý các thiết bị của máy ở xa) Disk Management (Q/lý đĩa và các phân vùng Logic trên đĩa cứng của máy ở xa) Event Viewer (Xem các nhật ký ghi lại sự kiện về hệ thống, ứng dụng, bảo mật..) Group Policy (Q/lý các chính sách áp đặt kên hệ thống các máy ở xa) Indexing Service (Q/lý dịch vụ lưu giữ thuộc tính file, phục vụ tìm file nhanh) Internet Protocol Security (Ipsec) Monitor (Quan sát từ xa hoạt động của IPSEC) IP Security Policy (Q/lý tính năng bảo mật đường truyền dùng IPSEC) Local Users and Groups (Q/lý từ xa các User và Group) Removable Storage Management (Q/lý các thiết bị lưu trữ gắn rời như USB..) Resultant Set of Policy (Tính năng này giúp Admin kiểm tra nhanh tác động của Policy lên một User cụ thể) Services (Q/lý các Dịch vụ của máy ở xa) Shared Folders (Q/lý các Folders được chia sẽ của máy ở xa) Vũ Phương Hải – PGD KCN Thụy Vân 2 GROUP POLICY CHÍNH SÁCH NHÓM Vũ Phương Hải – PGD KCN Thụy Vân COMPUTER CONFIGURATIONÆ WINDOWS SETINGS Æ SECURITY SETTING -> LOCAL POLICIES 3 Vũ Phương Hải – PGD KCN Thụy Vân COMPUTER CONFIGURATIONÆ WINDOWS SETINGS Thiết lập các đặc trưng cho máy tính (K quan tâm tới User Logon) Chỉ định Win chạy 1 đoạn mã khi Windows Startup/Shutdow Thiết lập bảo mật cho toàn bộ hệ thống Thiết lập chính sách cho TK 4 Chính sách khoá nguời dùng chung Kiểm định những chính sách, những tuỳ chọn quyền lợi và c/s an toàn cho nguời dùng tại chỗ Chính sách liên quan đến MK TK NSD trên máy Số lượng MK có thể nhớ (0-24) Thời hạn sống tối đa của MK (0: k hết hạn) Thời hạn sống tối thiểu của MK Chiều dài tối thiểu của MK Độ phức tạp của MK: min =6, a-z or A-Z & 0 – 9, đặc/b Khoảng thời gian User bị khoá Số lần logon k thành, user sẽ bị khoá T/g User được mở khoá sau khi bị khoá Vũ Phương Hải – PGD KCN Thụy Vân 5 Thiết lập các đặc trưng cho máy tính (K quan tâm tới User Logon) Ấn quyền chỉ định cho nguời dùng: Bao gồm các quyền truy cập, backup dữ liệu, thay đổi thời gian của hệ thống. Để cấu hình cho một mục nào đó: Nhấp chuột và chọn Add user or group để trao quyền cho user or group nào bạn muốn Thiết lập chính sách cho User Thiết lập quyền User Thiết lập User được phép truy xuất đến máy. Chỉ định TK nào sẽ được phép hoạt động như một phần của hệ thống. Thêm 1 TK hay nhóm vào miền. Chỉ h/động trên hệ thống sử dụng Domain Controller. Khi được thêm vào tên miền, TK này sẽ có thêm các quyền h/động trên dvụ thư mục (Active Direcory), có thê truy cập tài nguyên mạng như 1 thành viên trên Domain Chỉ định ai được phép điều chỉnh chỉ tiêu bộ nhớ dành cho một quá trình xử lý. Chính sách làm tăng hiệu xuất của hệ thống. Cho phép ai được phép sử dụng dịch vụ Terminal để đăng nhập vào hệ thống. Thiết lập User được quyền Backup dữ liệu Thiết lập User được thay đổi thời gian hệ thống. Thiết lập User được phép tạo bộ nhớ ảo. Thiết lập User được phép tạo ra các đối tượng dùng chung Cấm User k được phép truy xuất đến máy. Vũ Phương Hải – PGD KCN Thụy Vân 6 Cấm User Logon cục bộ. Cấm User Remote Desktop Thiết lập User có thể Shutdown máy từ xa. Thiết lập User Logon cục bộ. Thiết lập User có thể Shutdown cục bộ. Vũ Phương Hải – PGD KCN Thụy Vân 7 Trạng thái hoạt động Administrator Trạng thái hoạt động User Guest Đăng nhập k cần Pass Đổi tên Administrator Đổi tên Guest Không cho phép cài Printer Cấm truy nhập từ xa tới CD-ROM secpol.msc Cấm truy nhập từ xa tới FDD Bỏ Ctrl + Alt + Del Tiêu đề khi Log on Nội dung khi Log on Cache khi log on (=0). Vũ Phương Hải – PGD KCN Thụy Vân Xóa bộ nhớ ảo khi Shutdown Chọn Class để truy nhập theo User và Password Shutdown k cần phải Logon 8 Vũ Phương Hải – PGD KCN Thụy Vân ADMINISTRATIVE TEMPLATES Æ WINDOWS COMPONENTS Æ INTERNET EXPLORER 9 Trong Security Zone có ds các Site nguy hiểm do người dùng thiết lập, Enable tuỳ chọn sẽ k cho thay đổi ds đó (Tốt nhất là giấu thẻ Security) Bắt buộc tất cả các User đều chung một mức độ Security như nhau Ngăn k cho IE tự động Update Vũ Phương Hải – PGD KCN Thụy Vân ADMINISTRATIVE TEMPLATES Æ WINDOWS COMPONENTS Æ INTERNET EXPLORER 10 Giới hạn số kết nối tới máy tính (Remote Desktop) Vũ Phương Hải – PGD KCN Thụy Vân ADMINISTRATIVE TEMPLATES Æ SYSTEM Æ LOGON Ẩn màn hình Wellcome khi User đăng nhập vào hệ thống 11 Vũ Phương Hải – PGD KCN Thụy Vân USER CONFIGURATION ÆWINDOWS SETINGS Æ INTERNET EXPLORER MAINTENANCE Thay đổi tiêu đề nội dung IE Thay đổi Logo IE 12 Vũ Phương Hải – PGD KCN Thụy Vân ADMINISTRATIVE TEMPLATES Æ WINDOWS COMPONENTS Æ INTERNET EXPLORER Chỉnh sửa Tích chọn Block attachments that may contain virus Default Home Page Tránh download các tập tin đính kèm 13 Vũ Phương Hải – PGD KCN Thụy Vân ADMINISTRATIVE TEMPLATES Æ WINDOWS COMPONENTS Æ INTERNET EXPLORER Æ Æ Internet control panel Æ Toolbars Æ Browser menus 14 Ẩn các Tab trong IE Option Tuỳ chọn hiển thị các nút trên thanh C2 IE Ẩn các chức năng File, Edit, View, Tolls Ngăn chặn Download K cho Save trang Web Vũ Phương Hải – PGD KCN Thụy Vân ADMINISTRATIVE TEMPLATES Æ WINDOWS COMPONENTS Æ WINDOWS EXPLORER 15 Ẩn Folder Option Ẩn Search trong Explorer Ẩn context khi phải chuột Ẩn Manage khi phải chuột vào My computer Ẩn ổ đĩa (access qua Addresss) Ngăn truy nhập các ổ đĩa Ẩn Tab Hardware Ẩn Tab DFS Ẩn Tab Security Giới hạn dung lượng của Recycle Bin. File bị xoá k đưa vào Recycle Bin. Quy định s/lượng các tài liệu đã mở hiển thị trong My Recent Doccument Vũ Phương Hải – PGD KCN Thụy Vân ADMINISTRATIVE TEMPLATES Æ WINDOWS COMPONENTS Æ WINDOWS UPDATE Cấm tải các bản cập nhật Windows 16 Vũ Phương Hải – PGD KCN Thụy Vân ADMINISTRATIVE TEMPLATES Æ WINDOWS COMPONENTS Æ WINDOWS MEDIA PLAYER Thiết lập một Skin duy nhất cho Media Ngăn Media tự động tải các codec 17 Vũ Phương Hải – PGD KCN Thụy Vân ADMINISTRATIVE TEMPLATES Æ START MENU AND TASKBAR Ẩn Tollbars K hiển thị tên trên Start K lưu tập tin trong My Doccument K thay đổi các th/tính đã thiết lập Khoá Taskbar Ẩn Logoff Cấm Drag –and Drop Ẩn Shut Down 18 Vũ Phương Hải – PGD KCN Thụy Vân ADMINISTRATIVE TEMPLATES Æ DESKTOP K thay đổi thiết lập sau khi tắt máy Ẩn biểu tượng trên Desktop Ẩn Icon: My Documents, My Computer , Recycle Bin Ẩn thuộc tính Properties : My Documents, My Computer, Recycle Bin Không cho thay đổi Desktop 19 Vũ Phương Hải – PGD KCN Thụy Vân ADMINISTRATIVE TEMPLATES Æ CONTROL PANEL Ẩn Tab Settings Ẩn Tab Screen Saver Ẩn Task Manager Tắt chế độ Autoplay Không cho chạy ứng dụng chỉ định Ngăn thực hiện lênh CMD Ngăn chỉnh sửa Regedit Ẩn Control Panel Cấm thay đổi hình nền Desktop Ẩn Tab Desktop Cấm truy nhập Control Panel 20 Vũ Phương Hải – PGD KCN Thụy Vân 21 Scripts: Là đoạn chương trình ngắn thực thi được áp dụng khi: Logon :Khi User đăng nhập. Logoff :Khi User đăng xuất. Start up :Khi Computer khởi động Shutdown :Khi Computer Shútown. Để ý tính chất này Vũ Phương Hải – PGD KCN Thụy Vân + Prohibit access to properties of a LAN connection + Enable Windows 2000 Network Connections settings for Administrators + Prohibit access to properties of components of a LAN connection + Enable Windows 2000 Network Connections settings for Administrators 22 Vũ Phương Hải – PGD KCN Thụy Vân 23 Quản trị hệ thống với Group Policy trong Windows XP – Phần I - Gpedit.msc Æ OK để khởi động chương trình. *Computer Configuration: Các thay đổi trong phần này sẽ áp dụng cho toàn bộ người dùng trên máy. Trong nhánh này chứa nhiều nhánh con như: + Windows Settings: bạn sẽ cấu hình về việc sử dụng TK, password TK, quản lý việc khởi động và đăng nhập hệ thống... + Administrative Templates: - Windows Components: bạn sẽ cấu hình các thành phần cài đặt trong Windows như: Internet EXPlorer, NetMeeting... - System: cấu hình về hệ thống. *User Configuration: giúp bạn cấu hình cho TK đang sử dụng. Các thành phần có khác đôi chút nhưng việc sử dụng và cấu hình cũng tương tự như trên. PHẦN I: COMPUTER CONFIGURATION: Windows Setting: Tinh chỉnh, áp dụng các chính sách về vấn đề sử dụng TK, password TK, quản lý việc khởi động và đăng nhập hệ thống... + Scripts (Startup/Shutdown): Chỉ định cho windows sẽ chạy một đoạn mã nào đó khi Windows Startup hoặc Shutdown. + Security Settings: Các thiết lập bảo mật cho hệ thống, các thiết lập này được áp dụng cho toàn bộ hệ thống chứ không riêng người sử dụng nào. Name Tóm tắt tính năng Account Policies Các chính sách áp dụng cho tài khoản của người dùng. Local Policies Kiểm định những chính sách, những tùy chọn quyền lợi và chính sách an toàn cho người dùng tại chỗ. Public Key Policies Các chính sách khóa dùng chung 1. Account Policies: Thiết lập các chính sách cho tài khoản a.Password Policies: Bao gồm các chính sách liên quan đến MK TK của NSD TK trên máy. • Enforce password history: Thiết lập này bắt buộc một mật khẩu mới không được giống bất kỳ một số mật khẩu nào đó do ta quyết định. Có giá trị từ 0 đến 24 mật khẩu. • Maximum password age: Thời gian tối đa MK còn hiệu lực, sau thời gian này hệ thống sẽ yêu cầu ta thay đổi mật khẩu. Số giá trị từ 1 đến 999 ngày. Giá trị mặc định là 42. • Minimum password age: Xác định thời gian tối thiểu trước khi có thể thay đổi mật khẩu. Hết thời gian này bạn mới có thể thay đổi mật khẩu của TK, hoặc bạn có thể thay đổi ngay lập tức bằng cách thiết lập giá trị là 0. Giá trị từ 0 đến 999 ngày. Bạn cần thiết lập “Minimum password age” lớn hơn không nếu bạn muốn chính sách “Enforce password history” có hiệu quả, vì người sử dụng có thể thiết lập lại mật khẩu nhiều lần theo chu kỳ để họ có thể sử dụng lại mật khẩu cũ. • Minimum password length: Độ dài nhỏ tối thiểu cuả MK tài khoản. (Tính bằng số ký tự nhập vào). Độ dài của mật khẩu có giá trị từ 1 đến 14 ký tự. Password must meet complexity requirements: Quyết định độ phức tạp của mật khẩu. Nếu tính năng này có hiệu lực. Mật khẩu của tài khoàn ít nhất phải đạt những yêu cầu sau: - Không chứa tất cả hoặc một phần tên TK người dùng - Độ dài nhỏ nhất là 6 ký tự Vũ Phương Hải – PGD KCN Thụy Vân 24 - Chứa từ 3 hoặc 4 loại ký tự sau: Các chữ cái thường (a ---> Z), các chữ cái hoa (A ---> Z), Các chữ số (0 ---> 9) và các ký tự đặc biệt. • Độ phức tạp của mật khẩu được coi là bắt buộc khi tạo mới hoặc thay đổi mật khẩu. đinh : Disable. • Store password using reversible encryption for all users in the domain: Lưu trữ MK sử dụng mã hóa ngược cho tất cả các NSD domain. Tính năngcung cấp sự hỗ trợ cho các ứng dụng sử dụng giao thức,nó yêu cầu sự am hiểu về mật khẩu của người sử dụng. Việc lưu trữ mật khẩu sử dụng phương pháp mã hóa ngươc thực chất giống như việc lưu trữ các văn bản mã hóa của thông tin bảo vệ mật khẩu. Mặc đinh : Disable. b.Acount lockout Policy: * Account lockout duration: Xác định số phút còn sau khi TK được khóa trước khi việc mở khóa đươc thực hiện. Có giá trị từ 0 đến 99.999 phút. Có thể thiết lập giá trị 0 nếu không muốn việc tự động Unlock. Mặc định không có hiệu lực vì chính sách này chỉ có khi chính sách “Account lockout threshold” được thiết lập. * Account lockout threshold: Xác định số lần cố gắng đăng nhập nhưng không thành công. Trong trường hợp này Acount sẽ bị khóa. Việc mở khóa chỉ có thể thực hiện bởi người quản trị hoặc phải đợi đến khi thời hạn khóa hêt hiệu lực. Có thể thiết lập giá trị cho số lần đăng nhập sai từ 1 đến 999. Trong trường hợp thiết lập giá trị 0, account sẽ không bị khóa. * Reset account lockout counter after: Thiết lập lại số lần cố gắng đăng nhập về 0 sau một khoảng thời gian quy định. Thiết lập này chỉ có hiệu lực khi “Account lockout threshold” được thiết lập. 2. LOCAL POLICIES: Các chính sách cục bộ: User rights Assignment: Ấn định quyền cho NSD. Quyền của người sử dụng ở đây bao gồm các quyền truy cập, quyền backup dữ liệu, thay đổi thời gian của hệ thống… Trong phần này, để cấu hình cho một mục nào đó bạn có thể nháy đúp chuột lên mục đó và nhấn nủt Add user or group để trao quyền cho user hoặc Group nào bạn muốn. * Access this computer from the network: Với thiết lập này bạn có thể tuy ý thêm, bớt quyền truy cập vào máy cho bất cứ TK hoặc nhóm nào. * Act as part of the operating system: Chỉ định TK nào sẽ được phép hoạt động như một phần của hệ thống. Mặc định, TK Aministrator có quyền cao nhất, có thể thay đổi bất kỳ thiết lập nào của hệ thống, được xác nhận như bất kỳ một người dùng nào, vì thế có thể sử dụng tài nguyên hệ thống như bất kỳ người dùng nào. Chỉ có những dịch vụ chứng thực ở mức thấp mới yêu cầu đặc quyền này. * Add workstations to domain: Thếm một TK hoặc nhóm vào miền. Chỉ hoạt động trên hệ thống sử dụng Domain Controller. Khi được thêm vào miền, tài khoàn này sẽ có thêm các quyền hoạt động trên dịch vụ thư mục (Active Directory), có thể truy cập tài nguyên mạng như một thành viên trên Domain. * Adjust memory quotas for a process: Chỉ định những ai được phép điều chỉnh chỉ tiêu bộ nhớ dành cho một quá trình xử lý. Tuy có làm tăng hiệu suất của hệ thống nhưng nó có thể bị lạm dụng để phục vụ cho những mục đích xấu như tấn công từ chôi dịch vụ DoS (Dinal of Sevices). * Allow logon through Terminal Services: Terminal Services là một dịch vụ cho phép chúng ta đăng nhập từ xa đến máy tính. Quyết định giúp chúng ta những ai được phép sử dụng dịch vụ Terminal để đăng nhập vào hệ thống. * Back up files and directories: Cấp phép cho những ai sẽ có quyền backup dữ liệu. * Change the system time: Vũ Phương Hải – PGD KCN Thụy Vân 25 Cho phép NSD nào có quyền thay đổi thời gian cuả hệ thống. * Create global objects: Cấp quyền cho những ai có thể tạo ra các đối tượng dùng chung * Force shutdown from a remote system: Cho phép những ai có quyền tắt máy qua hệ thống điều khiển từ xa. Shut down the system: Cho phép ai có quyền Shutdown máy. Khám phá Windows XP - Character Map: bảng ký tự đặc biệt cho phép chèn nhanh những ký tự cần thiết vào các chương trình soạn thảo văn bản trong bộ Microsoft Office. - Clipboard Viewer: xem nội dung của những thông tin được lưu lại trong clipboard. - Componet Services: theo dõi những sự kiện quan trọng đã xảy ra trong hệ thống được ghi lại trong các file nhật ký; quản lý và thay đổi trạng thái cho các dịch vụ của Windows XP. - Computer Management: tập hợp rất nhiều công cụ cần thiết cho việc quản trị máy tính (hoặc điều khiển máy tính từ xa) được bố trí theo từng nhóm rất khoa học. - Direct X diagnosis: đem đến một cái nhìn tổng quan hơn về DirectX, card màn hình, card âm thanh của máy tính với 8 bảng thông tin khác nhau. - Disk Management: công cụ quản lý ổ đĩa hệ thống, cho phép theo dõi tình trạng sức khỏe ổ đĩa, định dạng lại ổ đĩa, thay đổi ký tự ổ đĩa, xóa phân vùng. - Dr Watson diagnosis: chuyên gia chẩn đoán và giải mã những thông báo lỗi, những sự xung đột chương trình có thể khiến Windows XP gặp sự cố. - Express Install Wizard: trình thuật sĩ giúp tạo ra các file nén thông dụng, file nén tự chạy, file cài đặt chương trình mà không cần sử dụng thêm phần mềm của hãng thứ ba. - Group Policy Object Editor: thay đổi một số thiết lập ẩn quan trọng liên quan đến hệ thống, mạng, máy in, những thành phần then chốt của Windows XP… mà không phải xài đến Registry Editor. - Local User and Group Manager: theo dõi và quản lý tất cả TK hiện có trong hệ thống. - Network Sharing Wizard: trình thuật sĩ giúp thiết lập quyền chia sẻ những thư mục quan trọng với người khác trong mạng nội bộ. - Object Packager: đóng gói đối tượng để chèn vào bên trong tập tin, thường là tập tin trợ giúp. - Performance Monitor: theo dõi chi tiết những thông tin về tài nguyên và tình trạng sức khỏe của hệ thống trên cùng một biểu đồ. - Private Character Editor: hỗ trợ việc thiết kế những ký tự đặc biệt sử dụng trong thư viện Font của Windows XP và chỉnh sửa lại những ký tự sẵn có theo phong cách của riêng mình. - Removable Storage Management: công cụ quản lý những thiết bị lưu trữ động. - Resultant Set of Policy: một gói tập hợp rất nhiều thiết lập bảo mật liên quan đến TK người dùng, quyền xử lý những thành phần quan trọng của hệ thống, đảm bảo an toàn cho máy tính khi "giao dịch" trên xa lộ interrnet… - Shared Folder Manager: điều khiển quyền xử lý của người dùng, các phiên làm việc và đặc tính của những tài nguyên chia sẻ qua mạng. - Synchronization Manager: đồng bộ hóa tập tin trên mạng khi làm việc ở chế độ offline. Vũ Phương Hải – PGD KCN Thụy Vân 26 - Text to Speech Narator: trợ thủ đắc lực cho người khiếm thính với khả năng đọc lưu loát (bằng tiếng Anh) nội dung của những hoạt động diễn ra khi làm việc với một số thành phần của Windows như: Notepad, Wordpad, Internet Explorer và những chương trình có trong Control Panel. - Windows Network Chat: cho phép mọi người trò chuyện với nhau qua mạng cục bộ (LAN). - Windows Version: thể hiện thông tin về phiên bản Windows XP đang sử dụng. Với XE, mọi bí ẩn xung quanh Windows XP giờ đây đều đã rõ ràng. Phiên bản mới nhất XE 2.0 có dung lượng 451 KB, được cung cấp miễn phí tại www.zshare.net/download/xe-exe.html. GroupPolicy: QUẢN LÝ WINDOWS XP Gpedit.msc Æ OK bạn sẽ có cửa sổ Group Policy. Phần bên trái của cửa sổ bạn chọn: User Configuration\ Administrative Templates. Æquản lý máy tính với các khoản mục sau: - Thư mục Star menu and Taskbar: Prevent changes to Taskbar and Star Menu Settings: Không thể thay đổi được thuộc tính đã thiết lập. Clear history of recently opened doccuments on exit, khi bạn tắt máy, tất cả các tập tin mới mở ra làm việc sẽ không lưu trong Documents nữa, Tương tự bạn, có thể gỡ bỏ hộp thoại Run, gỡ bỏ menu Documents, gỡ bỏ phần Help and support trên Startmenu... Khi cần phục hồi, bạn bấm kép chuột vào nó, chọn Not configured (không cấu hình) trong hộp thoại là xong. - Thư mục Desktop: Quản lý 15 tác vụ khác nhau.Với các tính năng nhứ ẩn tất cả các biểu tượng trên Desktop, không cho phép người khác thay đổi đường dẫn của My Documents... Nhưng đặc biệt nó cho phép bạn gỡ bỏ Recycle Bin khỏi Desktop. - Thư mục Control Panel: Có bốn thư mục con là Add/Remove Program, Display, Printers và Regional and Language Option, cùng với bốn thuộc tính. +mục Prohibit access to the Control Panel (cấm truy cập vào Control Panel). - Thư mục Network: Gồm hai thư mục con Offline Files và Network 25 Connection quan trọng đối với những người quản lý mạng như: Ngăn không cho người khác truy cập sửa đổi các thuộc tính trong các thành phần của mạng LAN Ngăn không cho phép thay đổi các thiết lập của giao thức TCP/IP - Thư mục System: Có sáu thư mục con là User Profiles, Scripts, Ctrl+Alt+Del Option, Logon, Group Policy và Power Management cùng với 13 tác vụ. +mục Prevent access to registry editing tools để khoá Registry. - Thư mục Windows Components: có 10 thư mục con, nhưng quan trọng hơn hết là Windows EXPlorer. Bấm thư mục Windows EXPlorer ở cửa sổ bên trái, +Prevent access to drivers from My Computer (không cho phép truy cập vào các ổ đĩa) + Recycle Bin là Do not move deleted files to the Recycle Bin: Xoá không qua thùng rác MẬT KHẨU AN TOÀN HƠN Thiết lập để Windows XP yêu cầu tất cả TK người dùng phải thực hiện