Luận văn
XÂY DỤNG CHÍNH SÁCH HỆ
THỐNG VÀ CHÍNH SÁCH
NHÓM TRÊN MIỀN WINDOWS
SERVER 2008
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
LỜI MỞ ĐẦU
Cùng với sự phát triển của đất nước, hàng loạt công ty lớn nhỏ mọc lên với
số lượng máy vi tính, vậy để làm gì để những người quản lý có thể quản lý một số
lượng lớn người dùng lớn như vậy được, System Policy và Group Policy ra đời
giúp những người quản lý một số lượng lớn người dùng một cách dễ dàng, đảm
bảo được độ bảo mật của dữ liệu…
Chính sách hệ thống tạo cho việc kiểm soát người dùng trên máy khách đó
có một menu Start/Programs đặc biệt hoặc một màn hình Desktop đặc biệt; hạn chế
không cho người dùng ấy chạy một số chương trình nào đó hoặc thay đổi màn
hình Desktop; ấn định một số setting về nối mạng….
Một vài ứng dụng của Group Policy như:
Cài đặt software cho một loạt các user khi đăng nhập vào, cho cài đặt
software gì không cho cài gì….cài đặt software chia làm 3 loại: Publish, Assign va
Advanced.
Có thể cấm không cho một số user vào các mục Control Panel, My Network
Place, Recycle…bằng cách làm ẩn chúng hay có thể cấm truy cập vào các ổ đĩa C,
D… hoặc vào Internet Explorer…
Bảo mật dữ liệu, Group Policy có chính sách mật khẩu về mật khẩu và tài
khoản để tránh hacker đột nhập
Qua đó, chính sách hệ thống và chính sách nhóm có một vai trò quan trọng
trong công việc quản lý các user và dữ liệu, dưới đây sẽ trình bày rõ hơn về tác
dụng của System Policy và Group Policy.
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 2

Account policy được dùng để chỉ định các thông số về tài khoản người dùng
mà nó được sử dụng khi tiến trình logon xảy ra. Nó cho phép bạn cấu hình các
thông số bảo mật máy tính cho mật khẩu, khóa tài khoản và chứng thục Kerberos
trong vùng. Trên Windows Server 2008 làm DC có ba thư mục Password Policy,
Account Lockout Policy và Kerberos Policy. Trong Windows Server 2008 cho
phép bạn quản lý chính sách tài khoản theo hai cấp độ là: cục bộ và miền. Muốn
cấu hình các chính sách tài khoản người dùng ta vàoStart > Administrative
Tools>Local Security Policy.
1.1. Chính sách mật khẩu (Password Policy)
Chính sách mật khẩu (Password Policy) nhằm đảm bảo an toàn cho mật
khẩu của người dùng để tránh các trường hợp đăng nhập bất hợp pháp vào hệ
thống. Chính sách này cho phép bạn quy định chiều dài ngắn nhất của mật khẩu,
độ phức tạp….
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 4
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
Các lựa chọn trong chính sách mật khẩu:
Chính sách Mô tả Mặc định Giá trị nhỏ
nhất
Giá trị lớn
nhất
Enforce password
history
Số lần đặt mật mã
không được trùng
nhau
24 0 24
Maximum
password age

TRÊN MIỀN WINDOWS SERVER 2008
Password must
meet complexity
requirements
properties
Cho phép bạn cài
bộ lọc mật mã
Cho phép Không cho
phép
Cho phép
Store password
using reversible
encryption
Mật mã người
dùng được lưu
dưới dạng mã hóa
Không cho
phép
Không cho
phép
Cho phép
1.2. Chính sách khóa tài khoản (Account Lockout Policy)
Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức
thời điểm khóa tài khoản trong vùng hay hệ thống cục bộ. Giúp hạn chế tấn công
thông qua hình thức logon từ xa
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 6
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
Các thông số cấu hình chính sách khóa tài khoản

thì giá trị này
là 30 phút
Như
giá trị
mặc
định
99999
phút
5 phút
Reset
account
Quy định
thời gian
Là 0 nhưng
nếu Account
Như
giá trị
99999
phút
5 phút
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 7
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
lockout
counter
after
đếm lại số
lần đăng
nhập không

TRÊN MIỀN WINDOWS SERVER 2008
Các lựa chọn trong chính sách kiểm toán
Chính sách Mô tả
Audit account logon events Ghi nhận khi người dùng logon, logoff hay tạo một kết
nối mạng
Audit account managements Ghi nhận khi tài khoản người dùng hay nhóm được tạo
xóa hay các thao tác quản lí người dùng
Audit directory service
access
Ghi nhận việc truy cập các dịch vụ thư mục
Audit logon events Ghi nhận các sự kiện liên quan đến quá trình logon như
thi hành 1 logon script hay truy cập đến 1 roaming
profile
Audit object access Ghi nhận việc truy cập các tập tin, thư mục, máy in
Audit policy change Ghi nhận các thay đổi trong chính sách kiểm toán
Audit privilege use Hệ thống sẽ ghi nhận lại khi bạn thao tác quản trị trên
các quyền hệ thống như cấp hoặc xóa quyền của một ai
đó.
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 10
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
Audit process tracking Kiểm toán này theo dõi hoạt động của chương trình hay
hệ điều hành
Audit system events Hệ thống sẽ ghi nhận mỗi khi bạn khởi động lại máy
hay tắt máy
2.2. Quyền hệ thống của từng người(User right assignment)
Là quyền hệ thống cung cấp cho người dùng các quyền quản trị và sử dụng
hệ thống
Có 2 cách cấp quyền hệ thống cho người dùng

máy tính cục bộ
Allow log on through Terminal
Services
Cho phép ai được phép sử dụng dịch vụ Terminal
để đăng nhập vào hệ thống
Back up files and directories Cho phép người dùng sao lưu dự phòng các tập tin
và thư mục bất chấp các tập tin và thư mục này
người đó có quyền hay không
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 12
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
Bypass traverse checking Cho phép người dùng duyệt qua cấu trúc thư mục
nếu người dùng không có quyền xem(list) nội dung
thư mục này
Change the system time Cho phép người dùng thay đổi giờ hệ thống này
Create a pagefile Thiết lập user được phép tạo bộ nhớ ảo
Change the time zone Cho phép người dùng thay đổi múi giờ
Create a token object Cho phép một tiến trình tạo một thẻ bài nếu tiến
trình này dùng NTCreate Token API
Create permanent shared
objects
Cho phép một tiến trình tạo một đối tượng thư
mục thông qua Windows 2008 Object Manager
Debug programs Cho phép người dùng gắn một chương trình debug
vào bất kì tiến trình nào
Deny access to this computer
from the network
Cho phép bạn khóa người dùng hay nhóm không
được truy cập đến các máy tính trên mạng

Manage auditing and security
log
Cho phép người dùng quản lý security log
Modify firmware environment
values
Cho phép người dùng hay một tiến trình hiệu chỉnh
các biến môi trường hệ thống
Profile single process Cho phép người dùng giám sát các tiến trình bình
thường thông qua công cụ Performancer Logs and
Alerts
Profile system performance Cho phép người dùng giám sát các tiến trình hệ
thống thông qua công cụ Performance Logs and
Alerts
Remove computer from docking
station
Cho phép người dùng gỡ bỏ 1 Laptop thông qua
giao diện người dùng
Replace a process level token Cho phép một tiến trình thay thế một token mặc
định mà được tạo bởi một tiến trình con
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 14
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
Restore files and directories Cho phép người dùng phục hồi tập tin và thư mục,
bất chấp người dùng này có quyền trên file và thư
mục này hay không
Shut down the system Cho phép người dùng shutdown máy cục bộ
windows 2008
Synchronize directory service
data

Restore privilege
Kiểm toán việc sử dụng sao lưu và phục hồi đặc
quyền
Audit: Force audit policy subcategory
settings (Windows Vista or later) to
override audit policy category settings
Kiểm toán chính sách con cài đặt (Windows Vista
hoặc mới hơn) để ghi đè lên các thiết lập kiểm
toán.
Audit: Shut down system immediately if
unable to log security audits
Kiểm toán: Shut down hệ thống ngay lập tức nếu
không thể đăng nhập kiểm toán bảo mật
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 16
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
Devices: Allow undock without having to
log on
Cho phép undock mà không cần phải đăng nhập
vào
Devices: Allowed to format and eject
removable media
Được phép để định dạng và di chuyển
Devices: Prevent users from installing
printer drivers
Không cho phép cài Printer
Devices: Restrict CD-ROM access to
locally logged-on user only
Cấm truy cập từ xa tới CD-ROM

vào máy tính và Nhập dòng tiêu đề
Interactive logon: Number of previous
logons to cache (in case domain controller
is not available)
Cache khi log on (=0)
Interactive logon: Prompt user to change
password before expiration
Nhắc nhở người dùng thay đổi mật khẩu trước
khi hết hạn
Interactive logon: Require Domain
Controller authentication to unlock
workstation
Yêu cầu chứng thực Domain Controller để mở
khóa máy trạm
Interactive logon: Require smart card Yêu cầu thẻ
Interactive logon: Smart card removal Loại bỏ thẻ
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 17
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
behavior
Microsoft network server: Disconnect
clients when logon hours expire
Ngắt kết nối khách •ien khi giờ đăng nhập hết
hạn
Recovery console: Allow automatic
administrative logon
Cho phép administrative tự động đăng nhập
Recovery console: Allow floppy copy and
access to all drives and folders

 Tiến hành gia nhập máy trạm Window XP vào miền THAO33.NET do máy
Domain Controller quản lý.
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 18
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
 Hãy áp dụng chính sách hệ thống để chỉnh sửa các chính sách mật khẩu sau
(video chinh sach he thong):
 Định thời gian thay đổi mật khẩu của một tài khoản người dùng là 7 ngày
 Thời gian tối thiểu để một người dùng có thể thay đổi mật khẩu là 2 ngày.
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 19
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
 Chiều dài tối thiểu của mật khẩu là 3 ký tự
 Mật khẩu không nằm trong chế độ phức tạp
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 20
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
 Mật khẩu được lưu trữ dưới dạng mã hóa
 Giữa 2 lần thay đổi mật khẩu có thể trùng nhau.
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 21
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
 Định nghĩa lại các Policies:
 Nếu một tài khoản người dùng đăng nhập gõ sai mật khẩu quá 3 lần thì tài
khoản đó sẽ bị khóa lại trong 30phút.
Nhóm SV: Võ Trần Thạch Thảo