Bài 11
CHÍNH SÁCH HỆTHỐNG
Tóm tắt
Lý thuyết 5 tiết -Thực hành 6 tiết
Mục tiêu Các mục chính Bài tập bắt Bài tập làm
buộc thêm
Kết thúc bài học này cung
cấp học viên kiến thức
vềchính sách mật khẩu,
chính sách khóa tài khoản
nguời dùng, quyền hệthống
của người dùng, IPSec …
I. Chính sách tài khoản người dùng. II.
Chính sách cục bộ. III. IPSec.
Dựa vào bài
tập môn Quản
trịWindows
Server 2003.
Dựa vào bài tập
môn Quản
trịWindows
Server 2003.
I. CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG.
Chính sách tài khoản người dùng (Account Policy) được dùng đểchỉđịnh các thông sốvềtài khoản
người dùng mà nó đượcsửdụng khi tiến trình logon xảy ra. Nó cho phép bạncấu hình các thông
sốbảomật máy tính cho mật khẩu, khóa tài khoản và chứng thực Kerberos trong vùng. Nếu trên
Server thành viên thì bạnsẽthấy hai mục Password Policy và Account Lockout Policy, trên máy
Windows Server 2003 làm domain controller thì bạnsẽthấy ba thưmục Password Policy,
Account Lockout Policy và Kerberos Policy. Trong Windows Server 2003 cho phép bạn quản
lý chính sách tài khoản tại hai cấp độlà: cụcbộvà miền. Muốncấu hình các chính sách tài khoản
người dùng ta vào Start Programs Administrative Tools Domain Security Policy hoặc

trong vùng hay trong hệthống cụcbộ. Chính sách này giúp hạn chếtấn công thông qua hình thức
logon từxa.
Các thông sốcấu hình chính sách khóa tài khoản:
Chính sách Mô tả
Account Lockout
Threshold
Quy định sốlần cốgắng đăng
nhập trước khi tài khoản
bịkhóa
0 (tài khoản sẽkhông bịkhóa)
Account Lockout
Duration
Quy định thời gian khóa tài
khoản
Là 0, nhưng nếu Account Lockout
Threshold được thiết lập thì giá trịnày là
30 phút.
Reset Account
Lockout Counter
After
Quy định thời gian đếm lại
sốlần đăng nhập không thành
công
Là 0, nhưng nếu Account Lockout
Threshold được thiết lập thì giá trịnày là
30 phút.
II. CHÍNH SÁCH CỤC BỘ.
Chính sách cụcbộ(Local Policies) cho phép bạn thiếtlập các chính sách giám sát các
đốitượng trên mạng nhưngười dùng và tài nguyên dùng chung. Đồng thờidựa vào công
cụnày bạn có thểcấp quyềnhệthống cho các người dùng và thiếtlập các lựa

quyềnhạncủatừng nhóm tạosẵn thì bạn có thểgán quyền cho người dùng theo yêu cầu. Đểcấp
quyềnhệthống cho người dùng theo theo cách thứhai thì bạn phải dùng công cụLocal Security
Policy (nếu máy bạn không phải Domain Controller) hoặc Domain
Controller Security Policy (nếu máy bạn là Domain Controller). Trong hai công cụđóbạnmởmục
Local Policy\ User Rights Assignment.
Đểthêm, bớtmột quyềnhạn cho người dùng hoặc nhóm, bạn nhấp đôi chuột vào quyềnhạn được
chọn, nó sẽxuất hiệnmộthộp thoại chứa danh sách người dùng và nhóm hiệntại đang có quyền
này. Bạn có thểnhấp chuột vào nút Add đểthêm người dùng, nhóm vào danh sách hoặc nhấp
chuột vào nút Remove đểxóa người dùng khỏi danh sách. Ví dụminh họa sau là bạncấp quyền
thay đổi giờhệthống (change the system time) cho người dùng “Tuan”.
Danh sách các quyềnhệthống cấp cho người dùng và nhóm:
Access This Computer from the Network
Act as Part of the Operating System
Add Workstations to the Domain
Back Up Files and Directories
Bypass Traverse Checking
Change the System Time
Create a Pagefile
Create a Token Object
Create Permanent Shared Objects
Cho phép người dùng truy cập máy tính thông qua mạng. Mặc định mọi người đều có quyền này.
Cho phép các dịch vụchứng thực ởmức thấp chứng thựcvớibất kỳngười dùng nào.
Cho phép người dùng thêm một tài khoản máy tính vào vùng.
Cho phép người dùng sao lưudựphòng (backup) các tập tin và thưmụcbất chấp các tập tin và
thưmục này người đó có quyền không.
Cho phép người dùng duyệt qua cấu trúc thưmụcnếu người dùng không có quyền xem (list)nội
dung thưmục này.
Cho phép người dùng thay đổi giờhệthống của máy tính.
Cho phép người dùng thay đổi kích thướccủa Page File.
Cho phép một tiến trình tạomột thẻbài nếu tiến trình này dùng NTCreate Token API.