Tất cả về Windows server 2003 – phần 2

Phần này bao gồm Group policy, Security policy, Permission, Encrypt File System, Printing

VII. GROUP POLICY – CHÍNH SÁCH NHÓM :

– Việc đưa ra một chuẩn mực dành cho mạng là công việc phức tạp, đồng thời việc triển khai các ứng dụng mới ra toàn bộ mạng là công việc rất khó.

– Sau khi tạo ra nhóm, người quản trị sẽ dùng công cụ Group Policy để quản lý. Nhưng rất chú ý là Group Policy không quản  lý được nhóm mà chỉ có khả năng quản lý OU, Site.

– Với Group Policy, người quản trị có thể thực hiện được những công việc sau:

  • Phân phối các gói phần mềm tới các máy tính trạm hoặc người sử dụng.
  • Quy định các chính sách mật khẩu, khoá chặn tài khoản và kiểm soát cho miền.
  • Nhân bản một loạt các thiết định bảo mật cho các máy tính ở xa. Áp đặt các tư cách thành viên nhóm và định cấu hình các dịch vụ.
  • Quy định, thiết đặt những thông số dành cho Internet Explorer.
  • Quy định và thiết đặt những hạn chế trên Desktop của máy người sử dụng.
  • Qui định thư mục người sử dụng.

– Thông thường các quản trị viên định cấu hình và triển khai các chính sách nhóm bằng cách xây dựng các đối tượng chính sách nhóm GPO – Group Policy Object.

– Các GPO là nơi chứa các thiết định (các chính sách) có thể áp dụng cho các tài khoản người dùng và tài khoản máy trên toàn mạng.

– Chỉ cần một GPO là có thể chỉ định cài đặt một mớ ứng dụng trên máy trạm của tất cả người sử dụng như các thiết lập bảo mật, các chính sách tài khoản… trên toàn miền.

– Có thể tạo ra một GPO chứa tất cả mọi thiết định hoặc nhiều GPO mỗi cái dành cho một chức năng nào đó.

VIII. SECURITY POLICY – CHÍNH SÁCH BẢO MẬT :

 – Domain Controller Security Policy : là policy ảnh hưởng lên những máy làm chức năng Domain Controller (ảnh hưởng lên Computer Account).

– Domain Security Policy : Policy ảnh hưởng lên Domain user, các computer join vào Domain. Ví dụ ta muốn 1 user có quyền logon interactive trên máy DC thì bạn phải định trong Domain Controller Security Policy, ví quá trình logon này ảnh hưởng trực tiếp trên DC. Còn nếu muốn tất cả các Domain User, Local user … có password là 7 ký tự thì phải chỉnh trong Domain Policy.

– Local User
cũng bị ảnh hưởng bởi Domain Security Policy vì Local User là 1 tài nguyên đặc biệt của Computer, mà Domain Security thì ảnh hưởng lên tất cả các computer trong Domain.

1. Chính sách bảo mật đối với tài khoản người dùng – Account Policies :

1A. Password Policy :

– Để thiết lập, chọn Start/ Programs/ Administrative Tools. Chọn Domain Security Policy hoặc Domain Controller Security Policy.

Chính sách

Mô tả

Mặc định

Min

Max

Enforce Password History.

Số lần đặt mật mã không được trùng nhau.

0

0

24

Maximum Password Age.

Quy định số ngày nhiều nhất mà mật mã người dùng có hiệu lực.

42 ngày

1 ngày

Minimum Password Age.

Quy định số ngày ìt nhất mà người dùng có thể thay đổi mật mã.

0

0

999 ngày

Minimum Password Length.

Chiều dài ngắn nhất của mật mã

0

0

14 kí tự

Passwords Must Meet Complexity Requirements.

Mật mã phải có độ phức tạp.

Không cho phép

Không cho phép

Cho phép

Store Password Using Reversible Encryption for All Users In the Domain

Mật mã người dùng được lưu dưới dạng mã hoá.

Không cho phép

Không cho phép

Cho phép

1B. Account Lockout Policy :

Chính sách

Mô tả

Mặc định

Min

Max

Account Lockout Threshold.

Quy định số lần đăng nhập trước khi tài khoản bị khoá

0

0

999 lần

Account Lockout Duration.

Quy định thời gian khoá tài khoản

0

0

99999 phút

Reset Account Lockout Counter After.


Quy định thời gian đếm lại số lần đăng nhập không thành công

0

0

99999 Phút

2. Chính sách bảo mật cục bộ – Local Policies :

Local Policies cho phép thiết lập các chính sách giám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung.

– Đồng thời dựa vào tính năng trên ta có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mật.

2A. Audit Policies :

– Giúp ta có thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống,trên các đối tương cũng như đối với các người dùng.

– Sau khi bật chức năng này, ta có thể sử dụng chương trình Event View để quản lý.

Chính sách

Mô tả

Audit Account Logon Events. Ghi nhận khi người dùng logon, logoff hay tạo 1 kết nối mạng
Audit Account Management. Ghi nhận khi tài khoản người dùng hay nhóm được tạo xoá hay các thao tác quản lí người dùng
Audit Directory Service Access Ghi nhận việc truy cập các dịch vụ thư mục
Audit Logon Events. Ghi nhận các sự kiện liên quan đến quá trình logon như thi hành 1 logon script hay truy cập đến 1 roaming profile
Audit Object Access. Ghi nhận việc truy cập các tập tin, thư mục, máy in.
Audit Policy Change. Ghi nhận các thay đổi trong chính sách audit.

    2B. User Rights Assignment :

– Quyền người dùng( User Right) là quyền hệ thống cung cấp cho người dùng các quyền quản trị và sử dụng hệ thống.

– Để thiết lập, chọn Start/ Programs/ Administrative Tools. Chọn Domain Security Policy hoặc Domain Controller Security Policy.

Quyền

Mô tả

Access This Computer form the Network.

Cho phép người dùng truy cập máy tính trên mạng.

Act as Part of the Operating System.

Cho phép các dịch vụ chứng thực ở mức thấp chứng thực với bất kì người dùng nào.

Add Workstations to the Domain

Cho phép người dùng thêm 1 tài khoản máy tính vào Domain.

Back Up Files and Directories.

Cho phép người dùng sao lưu dự phòng các tập tin và thư mục.

Bypass Traverse Checking.

Cho phép người dùng duyệt qua cấu trúc thư mục nếu người dùng không có quyền xem (list) nội dung thư mục này.

Change the System Time.

Cho phép người dùng thay đổi giờ hệ thống.

Create a Token Object.

Cho phép 1 tiến trình tạo 1 thẻ bài nếu tiến trình này dùng NTCreate Token API.

Create Permanent Shared Objects.

Cho phép 1 tiến trình tạo 1 đối tượng thư mục thông qua Windows Object Manager.

Debug Programs.

Cho phép người dùng gắn 1 chương trình debug vào bất kì tiến trình nào.

Deny Access to This Computer from the Network.

Không cho phép truy cập qua mạng.

Deny Logon as a Batch File.

Cho phép bạn ngăn cản những người dùng và nhóm được phép logon như 1 batch file.

Deny Logon as a Service.

Cho phép bạn ngăn cản những nguời dùng và nhóm truy cập đến máy tính cục bộ.

Enable Computer and User Accounts to Be Trusted by Deletgation.

Cho phép người dùng hay nhóm được uỷ quyền cho người dùng hay 1 đối tượng máy tính.

Force Shutdown from a Remote System.

Cho phép người dùng Shutdown hệ thống từ xa thông qua mạng.

Generate Security Audits.

Cho phép người dùng,nhóm hay 1 tiến trình tạo 1 entry vào Security log.

Increase Quotas.

Cho phép người dùng điều khiển các quota của các tiến trình.

Increase Scheduling Priority.

Quy định 1 tiến trình có thể tăng hay giảm độ ưu tiên đã được gán cho tiến trình khác.

Load and Unload Device Drivers.

Cho phép người dùng có thể cài đặt hay gỡ bỏ các driver của các thiết bị.

Lock Pages in Memory.

Khoá trang trong vùng nhớ.

Log On as a Batch Job.

Cho phép 1 tiến trình logon vào hệ thống và thi hành 1 tập tin chứa các lệnh hệ thống.

Log on as a Service.

Cho phép 1 dịch vụ logon và thi hành 1 dịch vụ riêng.

Logon Locally.

Cho phép người dùng Logon tại máy Server.

Manage Auditingand Security Log.

Cho phép người dùng quản lí security log.

Modify Firmware Environment Variables.

Cho phép người dùng hay 1 tiến trình hiệu chỉnh các biến môi trường hệ thống.

Profiles Single Process.

Cho phép người dùng giám sát các tiến trình bình thường thông qua công cụ Performancẻ Logs and Alerts.

Profile System Performance.

Cho phép người dùng giám sát các tiến trình hệ thống thông qua công cụ Performancẻ Logs and Alerts..

Remove Computer from Docking Station.

Cho phép người dùng gỡ bỏ 1 Laptop thông qua giao diện người dùng của Windows.

Replace a Process Level Token.

Cho phép 1 tiến trình thay thế 1 token mặc định mà được tạo bởi 1 tiến trình con.

Restore Files and Directories.

Cho phép người dùng phục hồi tập tin và thư mục.

Shut Down the System

Cho phép người dùng shutdown hệ thống.

Synchronize Directory Service data.

Cho phép người dùng đồng bộ dữ liệu với 1 dịch vụ thư mục.

Take Ownership of Files or Others Objects.

Cho phép người dùng tước quyền sỡ hữu của 1 đối tượng hệ thống

2C. Security Options :

– Các lựa chọn bảo mật, cho phép người quản trị Server định nghĩa các quyền và giao diện tương tác trên Server giúp các người quản trị thao tác trên Server dễ dàng và an toàn hơn.

Tên lựa chọn

Mô tả

Mặc định

Allow Server Operators to Schedule Tasks.

(Domain controller only)

Cho phép nhóm Server Operator lập lịch tác vụ trên Server.

Không định nghĩa

Allow System to Be Shut Down Without Having to Log On.

Cho phép người dùng Shutdown hệ thống mà không cần Logon.

Không cho phép

Audit the Access of Global System Objects.

Giám sát việc truy cập các đối tượng hệ thống toàn cục.

Không cho phép

Automatically Log Off users When Logon Time Expires.

Tự động logoff khỏi hệ thống khi người dùng hết hạn thời gian sử dụng.

Cho phép

Disable CTRL+ALT+DEL Requirement for logon.

Không yêu cầu bấm phím CTRL+ALT+DEL.

Không cho phép

Do Not Display Last user Name in Logon Screen.

Không hiển thị tên người dùng đã logon.

Không cho phép

Rename Administrator Account.

Cho phép đổi tên tài khoản Administratror.

Không cho phép

Rename Guest Account.

Cho phép đổi tên tài khoản.

Không cho phép

 

IX. PHÂN QUYỀN VÀ KIỂM SOÁT TRUY CẬP TÀI NGUYÊN :

1. Share permission – quyền truy cập tài nguyên qua mạng :

– Click chuột phải lên thư mục ,chọn Properties,chọn Tab Sharing

Mục

Mô tả

Do not share this folder Chỉ định thư mục này chỉ được phép truy cập cục bộ.
Share this folder Chỉ định thư mục này được phép truy cập cục bộ và qua mạng.
Share name Tên thư mục người dùng nhìn thấy trên mạng.
Comment Mô tả thêm thông tin về thư mục này.
User Limit Số người truy xuất tối đa vào 1 thời điểm.
Permissions Cho phép bạn thiết lập danh sách quyền truy cập đối với tưng người
Caching Cho phép thư mục được lưu trữ tạm tài liệu khi làm việc dưới chế độ Offline.

– Chọn Permission để phân quyền truy cập :

  • Full Control : có toàn quyền trên thư mục chia sẻ.
  • Change : có quyền thay đổi và xoá dữ liệu.
  • Read : chỉ được phép đọc và thi hành.

2. NTFS permission – quyền truy cập tài nguyên trên phân vùng NTFS :

– Nhấp chuột phải vào tập tin, thư mục hay ổ đĩa chọn Tab Security.

– Chọn Add để cấp quyền cho người dùng hoặc group. Chọn Remove để bỏ quyền người dùng hoặc group. Chọn Advanced để gán các quyền đặc biệt.

– Để phân quyền, ta cho user hay nhóm muốn phân quyền , chọn Allow để cho phép, chọn Deny để không cho phép :

  • Full Control : có toàn quyền trên thư mục
  • Modify : có quyền thay đổi, xoá và sửa dữ liệu.
  • Read & Execute: được phép đọc file và thi hành tập tin.
  • List Folder Contents : được quyền xem các file có trong thư mục.
  • Read : chỉ có quyền đọc file.
  • Write : được quyền thêm file vào trong thư mục.

– Để gán các quyền đặc biệt, ta chọn Advance/ Permission. Để thêm user hoặc nhóm mới, chọn Add. Để gán quyền cho user có sẵn trong danh sách chọn Edit.

– Ngoài ra, các tab trong Advace như :

  • Auditing : giám sát việc truy cập đến thư mục hoặc file của user hay group.
  • Owner : lấy lại quyền truy cập ( Full Control cho tài khoản Administrator).

– Chú ý khi gán các quyền đặt biệt :

  • Nếu ta đánh dấu mục: Allow Inheritable permissions from parent to propagate to this object, thì thư mục hiện tại được thừa hưởng danh sách quyền truy cập từ thư mục cha.
  • Nếu bỏ đánh dấu, thì thư mục hiện tại không được thừa hưởng danh sách quyền truy cập từ thư mục cha.

3. Vấn đề cộng quyền truy cập :

– Nếu user có Share permission NTFS permission, thì khi user truy cập tài nguyền qua mạng sẽ được hưởng quyền nào hạn chế nhất.

– Nếu user thuộc group 1 và group 2, mà 2 group này có NTFS Permission khác nhau, thì khi user truy cập tài nguyền sẽ được hưởng thừa hưởng quyền từ 2 group này. Tức là user sẽ được hưởng quyền cao nhất. (gợp từ 2 group).

X. MÃ HÓA DỮ LIỆU BẰNG EFS – Encrypt File System:

1. Mã hóa trong Windows :

EFS (Encrypting File System) là 1 kỹ thuật dùng để mã hoá các tập tin lưu trên Partition NTFS. Việc mã hoá sẽ bổ sung thêm 1 lớp bảo vệ an toàn cho hệ thống tập tin. Chỉ người dùng có đúng khoá mới có thể truy xuất các tập tin này còn những người khác thì bị từ chối truy cập.

– Ngoài ra người quản trị mạng còn có thể dùng tác nhân phục hồi (Recovery Agent) để truy xuất đến bất kì tập tin nào bị mã hoá.

– Để mã hoá các tập tin :

  • Chọn các tập tin và thư mục cần mã hoá.
  • Nhấn chuột phải lên các tập tin và thư mục, chọn Properties, trọng General/ Advanced.
  • Hộp thoại Advanced Properties xuất hiện, đánh dấu mục Encrypting contents to secure data và nhấn OK.
  • Hộp thoại Confirm Attribute Changes yêu cầu bạn chỉ mã hoá riêng thư mục được chọn (Apply changes to this folder only) hay mã hoá toàn bộ thư mục, kể cả các thư mục con (Apply changes to this folder,subfolders and files).

-Để gỡ bỏ mã hoá, ta thực hiện tương tự.

2. Mã hóa bằng lệnh :

2A. Để mã hóa – encrypts :

– Ta vào cmd, gõ lệnh : cipher. Ví dụ mã hóa thư mục tên an, trong ổ D ta làm như sau : cipher /e /s:D\an

2B. Để bỏ mã hóa – decrypts : Đối với thư mục D:\an, ta làm như sau :

– Tạo ra một key dùng để bỏ mã hóa. Gõ lệnh cipher /r:D\bomahoa

– Đặt password cho key, sau đó Enter, chương trình sẽ thông báo tạo thành công :

– Hai file có đuôi .CER và .PFX đã được tạo ra. Ta sẽ add hai file này vào public key và certificate trong Policy.

– Mở Domain Security Policy, chọn mục Public Key Policies. Chọn Encrypting Files System/ Add Data Recovery Agent. Chỉ đường dẫn đến 2 file “bomahoa” mà ta đã tạo ra.

– Tiếp đến, chọn Trustd Root Certification Authorities/ Chọn Import. Chỉ đến file “bomahoa

– Cuối cùng vào cmd, chuyển đến ổ D ( vì thư mục bị mã hóa được lưu ở đây). Gõ lệnh cipher /d

 

XI. PRINTER TRONG WINDOWS SERVER 2003:

1. Add printer trên local :

– Chọn Start/ Settings/ Printers and Faxes/ Chọn Add Printer.


  • Chọn Local printer attached to this computer, nếu như máy in được gắn trực tiếp với máy tính. Sau đó chọn đúng loại máy in là hoàn thành.
  • Chọn A network printer, or a printer attached to another computer nếu như có một máy in được share trên mạng.

2. Internet Printing :

– Cho phép người dùng có thể in các tài liệu của mình bằng cách gởi lệnh in qua giao thức HTTP ( web). Bên cạnh đó Internet Printing còn cho phép người quản lý có thể dễ cấu hình máy in bằng cách sử dụng trình duyệt Internet.

– Để cài Internet Printing, máy chủ phải có IIS và hổ trợ Internet Printing.

  • Gắn máy in vào máy chủ, sau đó share máy in.
  • Vào Start/ Settings/ Control Panel/ Add or Remove Program/ Add or Remove Windows Component.
  • Chọn mục Application Server, chọn Details.
  • Chọn tiếp Internet Information Services (IIS).

  • Chọn Details. Chọn Internet Printing. Chọn OK để tiến hành cài đặt.


Sau khi cài đặt, ta khởi động Internet Information Services (IIS) Manager.

– Phải đảm bảo Web sites/ Default Web Site được Running.

– Add máy in cho các máy Client ta làm như sau :

  • Chọn Start/ Settings/ Printers and Faxes/ Chọn Add Printer.
  • Chọn A network printer, or a printer attached to another computer.

  • Tại mục Connect to a printer on the Internet or on a home or office network. Ta gõ http://tên
    server/printers/tên máy in share


  • Gõ user name và password. Phải có luôn cả tên Domain. Ví dụ user name là Administrator@terri.info.

3. Quản lý máy in :

3A. Quản lý bằng trình duyệt :

– Để quản lý máy in, ta có thể sử dụng trình duyệt để quản lý. Để kết nối đến máy in qua trình duyệt, ta gõ địa chỉ : http://tên
server/printers

– Sau khi gõ xong, trình duyệt sẽ hiển thị cho ta biết số lượng máy in hiện có trên máy chủ. Muốn quản lý máy in nào, ta chỉ cần chọn vào máy in đó.

3B. Printer Propertives :

– Tab Genaral: cho phép ta đặt các thông số như khổ giấy, form in, tên máy in, hướng in…

– Tab Sharing: quyết định có cho phép máy in được dùng chung hay không. Ngoài ra ta có thể cài thêm driver cho máy in, để máy in có thể hoạt động được trên nhiều hệ điều hành khác nhau

– Tab Port: bổ xung thêm cổng in, loại bỏ cổng in, đặt thông số cho cổng in và tạo ra bộ tập hợp in. Nếu không tạo ra bộ tập hợp in thì chỉ có thể chọn riêng biệt cho từng cổng in cho mỗi máy in riêng biệt. Nếu tạo ra bộ tập hợp in ấn, ta có thể tạo ra một tập hợp hàng đợi in, người sử dụng khi in một tài liệu từ một ứng dụng bất kỳ họ không cần biết tài liệu sẽ được in như thế nào khi đó bộ tập hợp in sẽ kiểm tra xem tài liệu in được gửi tới có phù hợp không nếu phù hợp trên máy in nào thì tài liệu sẽ được in trên thiết bị in phù hợp. Để tạo ra bộ tập hợp in ta làm như sau:

  • Trong Tab Port, chọn Enable
    Printer
    Pooling.
  • Khi chọn Enable
    Printer
    Pooling thì ta có thể chọn đồng thời nhiều thiết bị in trên các cổng riêng biệt.
  • Điều này có nghĩa là khi người sử dụng gửi một lệnh in, tài liệu sẽ được gửi tới bộ tập hợp in. Bộ tập hợp in sẽ kiểm tra xem cổng in nào còn rỗi. Nếu có cổng rỗi phù hợp với tài liệu in thì tài liệu in sẽ được in trên công đó. Nếu có càng nhiều thiết bị in ấn ( có nhiều công in – số cổng in sẽ bằng số thiết bị in ấn) thì khả năng sẵn sàng in sẽ cao. Khi đó độ lưu thoát trong mạng sẽ cao và tài liệu sẽ được in nhanh chóng

– Tab Advanced : đây là một tab quan trọng trong các mạng lớn có yêu cầu về in ấn cao. Trong tab Advanced người quản trị mạng sẽ xem xét đặt kế hoạch sao cho tài liệu in sẽ  phù hợp với máy in, phù hợp với thời gian in và độ ưu tiên của tài liệu.

  • Always available : máy in luôn sẵn sàng in (24/24).
  • Available from … To… : máy in có thể in từ giờ nào tới giờ nào.
  • Priority : độ ưu tiên của tài liệu in. Tài liệu in nào có độ ưu tiên cao hơn sẽ được xử lý trước. Độ ưu tiên được đánh số từ 1 tới 99.
  • Spool Print Document so Program Finishes Printing Faster : dùng bộ tập hợp in cho các tài liệu in.
  • Print  Directly to the Printer: in  trực tiếp ra máy in, khi đó lựa chọn này sẽ loại bỏ bộ tập hợp in.
  • Serparator Space – Trang phân cách : khi có nhiều tài liệu của nhiều người sử dụng cùng in thì phải có một cơ chế để phân loại tài liệu in của từng người. Để có thể phân loại tài liệu in của từng người ta dùng trang phân cách Serparator Space. Trong cửa sổ Properites chọn Tab Advanced và chọn nút lệnh Serparator Page. Trong cửa sổ Separator Page bấm vào nút lệnh Browse chọn trang phân cách cần sử dụng rồi OK.
  • Print Procceser – Bộ xử lý in :  sẽ quyết định tài liệu in gửi từ máy khách tới bộ tập hợp in có cần xử lý không.

– Tab Security: Đây là tab rất quan trọng về bảo mật. Trong Tab này người quản trị sẽ chỉ rõ ràng vai trò của người sử dụng trong mạng. Người nào là người có quyền quản lý tài liệu in, quản lý thiết bị in, và quản lý máy in.

  • Để bổ xung người sử dụng hoặc nhóm nào đó vào trong danh sách ta bấm vào nút lệnh Add.
  • Để loại bỏ người sử dụng, nhóm  nào đó ta chọn trong danh sách và nhấn vào nút Remove.
  • Trong khung Permission, có hai lựa chọn : Allow – Cho phép và Deny – Không cho phép.

– Tab Device cho phép thiết lập các thông tin về phần cứng của máy in.

About Terri

System Administrator @Netpower Datacenter

Posted on 04.05.2010, in Technical Articles, Windows and tagged , . Bookmark the permalink. Leave a comment.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: