Giáo trình Điện tử-Viễn thông - Chương 3: Chính sách hệ thống

pdf 23 trang huongle 2620
Download
Bạn đang xem 20 trang mẫu của tài liệu "Giáo trình Điện tử-Viễn thông - Chương 3: Chính sách hệ thống", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfgiao_trinh_dien_tu_vien_thong_chuong_3_chinh_sach_he_thong.pdf

Nội dung text: Giáo trình Điện tử-Viễn thông - Chương 3: Chính sách hệ thống

  1. TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN KHOA ĐIỆN TỬ VIỄN THÔNG Chương 03 CHÍNH SÁCH H Ệ TH ỐNG
  2. CHÍNH SÁCH H Ệ TH ỐNG  Chính sách tài kho ản ng ườ i dùng  Chính sách c ục b ộ  IP Security (IPSec) 2/47
  3. Chính sách tài kho ản ng ườ i dùng  Account Policy: đ ượ c dùng đ ể ch ỉ định các thông s ố về tài kho ản ng ườ i dùng khi ti ến trình logon x ảy ra 3/47
  4. Chính sách tài kho ản ng ườ i dùng (t.t)  Chính sách m ật kh ẩu (Password Policies)  Password Policies nh ằm đ ảm b ảo an toàn cho tài kho ản của ng ườ i dùng.  Password Policies cho phép qui đ ịnh đ ộ dài, đ ộ ph ức t ạp của m ật kh ẩu 4/47
  5. Chính sách m ật kh ẩu (t.t)  Các chính sách m ật kh ẩu m ặc đ ịnh Chính sách Mô t ả Mặc đ ịnh Số lần m ật kh ẩu không đ ượ c trùng Enforce Password History 24 nhau Số ng ày nhi ều nh ất mà mật kh ẩu Maximum Password Age 42 ng ườ i dùng có hi ệu lực Quy s ố ngày t ối thi ểu tr ướ c khi ng ườ i Minimum Password Age 1 dùng có th ể thay đ ổi m ật mã. Minimum Password Length Chi ều dài ng ắn nh ất c ủa m ật mã 7 Passwords Must Meet Mật kh ẩu ph ải có đ ộ ph ức t ạp nh ư: có Cho phép Complexity Requirements ký t ự hoa, th ườ ng, có ký s ố. Store Password Using Mật mã ng ườ i dùng đ ượ c l ưu d ướ i Không cho ạ Reversible Encryption for d ng mã hóa phép5/47 All Users in the Domain
  6. Chính sách tài kho ản ng ườ i dùng (t.t)  Chính sách khoá tài kho ản (Account Lockout Policy)  Account Lockout Policy quy đ ịnh cách th ức và th ời đi ểm khoá tài kho ản  Chính sách này h ạn ch ế tấn công thông qua hình th ức logon t ừ xa 6/47
  7. Chính sách khoá tài kho ản (t.t)  Các chính sách khoá tài kho ản m ặc đ ịnh Chính sách Mô t ả Giá tr ị mặc đ ịnh Account Lockout Quy đ ịnh s ố lần c ố gắng 0 (tài kho ản s ẽ không b ị khóa) Threshold đăng nh ập tr ướ c khi tài kho ản b ị khóa Account Lockout Quy đ ịnh th ời gian khóa tài Là 0, nh ưng n ếu Account Duration kho ản Lockout Threshold đ ượ c thi ết lập thì giá tr ị này là 30 phút Reset Account Quy đ ịnh th ời gian đ ếm l ại Là 0, nh ưng n ếu Account Lockout Counter số lần đăng nh ập không Lockout Threshold đ ượ c thi ết After thành công lập thì giá tr ị này là 30 phút 7/47
  8. Chính sách c ục b ộ  Local Policies: cho phép thi ết l ập các chính sách giám sát các đ ối t ượ ng trên m ạng c ấp quy ền h ệ th ống cho ng ườ i dùng và các l ựa ch ọn ng ườ i dùng  Chính sách ki ểm toán (Audit Policies) giúp giám sát và ghi nh ận các sự ki ện di ễn ra trong h ệ th ống 8/47
  9. Chính sách ki ểm toán  Các l ựa ch ọn trong chính sách ki ểm toán Chính sách Mô t ả Audit Account Logon Ki ểm toán nh ững s ự ki ện khi tài kho ản đăng nh ập, h ệ th ống Events sẽ ghi nh ận khi ng ườ i dùng logon, logoff ho ặc t ạo m ột k ết nối m ạng Audit Account Hệ th ống s ẽ ghi nh ận khi tài kho ản ng ườ i dùng ho ặc nhóm có Management sự thay đ ổi thông tin hay các thao tác qu ản tr ị liên quan đến tài kho ản ng ườ i dùng Audit Directory Ghi nh ận vi ệc truy c ập các d ịch v ụ th ư mục Service Access Audit Logon Events Ghi nh ận các s ự ki ện liên quan đ ến quá trình logon nh ư thi hành m ột logon script ho ặc truy c ập đ ến m ột roaming profile Audit Object Access Ghi nh ận vi ệc truy c ập các t ập tin, th ư mục, và máy in Audit Policy Change Ghi nh ận các thay đ ổi trong chính sách ki ểm toán 9/47
  10. Chính sách ki ểm toán  Các l ựa ch ọn trong chính sách ki ểm toán (t.t) Chính sách Mô t ả Audit privilege use Hệ th ống s ẽ ghi nh ận l ại khi b ạn b ạn thao tác qu ản tr ị trên các quy ền h ệ th ống nh ư cấp ho ặc xóa quy ền c ủa m ột ai đó Audit process Ki ểm toán này theo dõi ho ạt đ ộng c ủa ch ươ ng trình hay h ệ tracking đi ều hành Audit system event Hệ th ống s ẽ ghi nh ận m ỗi khi b ạn kh ởi đ ộng l ại máy ho ặc t ắt máy 10/47
  11. Chính sách c ục b ộ  Quy ền h ệ th ống c ủa ng ườ i dùng (User Rights Assignment) 11/47
  12. Quy ền h ệ th ống c ủa ng ườ i dùng  Một s ố quy ền h ệ th ống cho ng ườ i dùng và nhóm Quy ền Mô t ả Access This Computer Cho phép ng ườ i dùng truy c ập máy tính thông qua from the Network mạng. M ặc đ ịnh m ọi ng ườ i đ ều có quy ền này. Allow log on locally Cho phép ng ườ i dùng đăng nh ập c ục b ộ vào server Bypass Traverse Checking Cho phép ng ườ i dùng duy ệt qua c ấu trúc th ư mục n ếu ng ườ i dùng không có quy ền xem (list) n ội dung th ư mục này. Back Up Files and Cho phép ng ườ i dùng sao l ưu d ự phòng (backup) các Directories tập tin và th ư mục b ất ch ấp các t ập tin và th ư mục này ng ườ i đó có quy ền không. Change the System Time Cho phép ng ườ i dùng thay đ ổi gi ờ hệ th ống c ủa máy tính. Deny Access to This Cho phép b ạn khóa ng ườ i dùng ho ặc nhóm không Computer from the đượ c truy c ập đ ến các máy tính trên m ạng. 12/47 Network
  13. Quy ền h ệ th ống c ủa ng ườ i dùng  Một s ố quy ền h ệ th ống cho ng ườ i dùng và nhóm (t.t) Quy ền Mô t ả Deny Logon Locally Cho phép b ạn ngăn c ản nh ững ng ườ i dùng và nhóm truy c ập đ ến máy tính c ục b ộ. Load and unload device Cho phép ng ườ i dùng cài đ ặt ho ặc g ở bỏ driver c ủa drivers thi ết b ị Restore Files and Cho phép ng ườ i dùng ph ục h ồi t ập tin và th ư mục, b ất Directories ch ấp ng ườ i dùng này có quy ền trên file và th ư mục này hay không. Shut Down the System Cho phép ng ườ i dùng shut down c ục b ộ máy Windows 2003. Take Ownership of Files or Cho ng ườ i dùng t ướ c quy ền s ở hữu c ủa m ột đ ối t ượ ng Other Objects hệ th ống. 13/47
  14. Chính sách c ục b ộ  Các l ựa ch ọn b ảo m ật (Security Options) 14/47
  15. Các l ựa ch ọn b ảo m ật  Các l ựa ch ọn b ảo m ật thông d ụng Tên l ựa ch ọn Mô t ả Shutdown: allow system to be shut Cho phép ng ườ i dùng shutdown h ệ th ống down without having to log on mà không c ần logon. Audit : audit the access of global Giám sát vi ệc truy c ập các đ ối t ượ ng h ệ system objects th ống toàn c ục. Network security: force logoff when Tự động log off kh ỏi h ệ th ống khi ng ườ i logon hours expires. dùng h ết th ời gian s ử dụng ho ặc tài kho ản h ết h ạn. Interactive logon: do not require Không yêu c ầu ấn ba phím CTRL+ALT+DEL CTRL+ALT+DEL khi logon. Interactive logon: do not display last Không hi ển th ị tên ng ườ i dùng đã logon user name trên h ộp tho ại Logon. Account: rename administrator account Cho phép đ ổi tên tài kho ản Administrator thành tên m ới Account: rename guest account Cho phép đ ổi tên tài kho ản Guest thành tên m ới 15/47
  16. IP Security (IPSec)  IP Security là giao th ức h ỗ tr ợ các k ết nối an toàn d ựa trên IP.  IPSec là ho ạt đ ộng ở tầng th ứ 3 (Network)  IPSec hoat đ ộng d ựa trên các qui t ắc (rule) bao g ồm các b ộ lọc (filter) và các tác đ ộng (action) 16/47
  17. IP Security (IPSec)  Các tác đ ộng b ảo m ật  Block transmissons: ngăn ch ặn nh ững gói tin đ ượ c truy ền  Encrypt transmissions: mã hoá nh ững gói tin tr ướ c khi truy ền nh ằm ch ống nghe tr ộm d ữ li ệu  Sign transmissions: cho phép ký tên vào d ữ li ệu tr ướ c khi truy ền nh ằm tránh k ẻ tấn công gi ả dạng nh ững gói d ữ li ệu truy ền  Permit transmissions: Cho phép d ữ li ệu đ ườ ng truy ền qua 17/47
  18. IP Security (IPSec)  Các b ộ lọc (Filter) IPSec  Filter dùng đ ể th ống kê các đi ều ki ện đ ể th ực hi ện các ho ạt đ ộng.  Gi ới h ạn t ầm tác d ụng c ủa các tác đ ộng lên m ột ph ạm vi máy tính nào đó.  Bộ lọc IPSec d ựa trên các y ếu t ố:  ðịa ch ỉ IP, subnet ho ặc tên DNS c ủa máy ngu ồn.  ðịa ch ỉ IP, subnet ho ặc tên DNS c ủa máy đích.  Theo s ố hi ệu c ổng (port) và ki ểu c ổng (TCP, UDP, ICMP) 18/47
  19. IP Security (IPSec)  Tri ển khai IPSec trên Windows Server 2003 19/47
  20. Tri ển khai IPSec trên Windows Server 2003  Các chính sách IPSec t ạo s ẵn:  Client (Respond Only): Qui đ ịnh máy Client không ch ủ động dùng IPSec tr ừ khi có yêu c ầu IPSec t ừ máy Sever.  Server (Request Security): Chính sách này qui đ ịnh máy sever c ố gắng yêu c ầu IPSec khi thi ết l ập đ ến máy khác. Nh ưng n ếu Client không c ấu hình IPSec thì Server v ẫn ch ấp nh ận  Secure Server (Require Security): b ắc bu ộc ph ải có chính sách IPSec khi th ực hi ện trao đ ổi d ữ li ệu v ới Sever 20/47
  21. IP Security (IPSec)  Các đi ều c ần nh ớ khi tri ển khai IPSec  Trên m ột máy tính b ất kỳ t ại m ột th ời đi ểm ch ỉ có m ột chính sách IPSec ho ạt đ ộng  Mỗi chính sách có nhi ều qui t ắc Rule  Mỗi Rule có nhi ều b ộ lọc Filter và nhi ều các tác đ ộng b ảo m ật  Có 4 tác đ ộng mà qui t ắc có th ể dùng : Block, Encrypt, Sign và permit 21/47
  22. Tri ển khai IPSec trên Windows Server 2003  Ví d ụ: T ạo IPSec đ ảm b ảo m ột k ết n ối đ ượ c mã hoá (Xem Demo ) 22/47
  23. Câu h ỏi và gi ải đáp 23/47