“Chuyên trang dành cho kỹ thuật viên tin học” CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT

Part 6 - Local Policy & Local Sercurity Policy

Trong công tác quản trị mạng việc ứng dụng Group Policy vào công việc là điều không thể thiếu đối vớibất cứ nhà quả trị mạng nào. Với Group Policy ta có thể tùy biến Windows theo chủ ý mà với ngườisử dụng thông thường không thể làm được

Local Security Policy (chính sách bảo mật cục bộ).

Mình xin giới thiệu về Local security policy !Có 2 cách vào Local Security Policy:- Vào start\run\gpedit.msc

- Nhấp chuột phải vào Start -> Properties -> Start menu -> Classic start menu -> Customizeđánh dấu check Display administrator tools và chọn OK.

Sau đó vào Start Menu\Programs\Administrative Tools sẽ thấy Local Security Policy

Sau khi vào Local security policy mình sẽ có các ứng dụng:Computer Configuration và User Configuration

Ở đây tôi chỉ đề cập đến phần Computer Configuration còn User Configuration cũng tương tự nhưngvới quyền hạn chế hơn.

1 of 8

1/ Account Policy* Vào Windows settings - > Sercurity settings -> account policies:a/ Password policy:

Trong này bao gồm các mục:# Password must meet complexity … : khi đặt password cho wins phải có đủ độ phức tạp.(hoa,thường, số, ký tự đặc biệt)Mặc định tính năng này sẽ bị disable, để gia tăng chế độ bảo mật bạn nên Enable nó lên

# Minimum password age: mặc định giá trị này là 0 nếu ta thay nó bằng con số khác 0 VD là 3 chẳnghạn thì user chỉ có quyền thay đổi password 3 ngày một lần mà thôi.# Minimum password length: Để gia tăng chế độ bảo mật bạn nên Enable tính năng này lên với giátrị >8 để cho độ dài của password user luôn ở mức an toàn cao.# Enforce password history: nhớ bao nhiêu password không cho đặt trùng.# Store password using reversible … : mã hoá password.

b/ Account lockout policy:# Account lockout threshold: để khoá account khi đăng nhập sai. Bạn nên cho giá trị này là 3 đểtránh tình trạng hacker cố gắng dò tìm password của bạn, vì nếu hacker dò pass sai quá 3 lần accountnày sẽ bị lock trong vòng 30 phút.Nếu user đăng nhập sai quá 3 lần dẫn đến account user này bị lock bạn có thể unlock cho account nàyngay tức thì bằng cách đăng nhập vào với quyền Administrator sau đó chọn Computer Management ->Local user and group -> UserSau đó double click vào account bị lock bỏ chọn mục Account is locked out.

2 of 8

# Account lockout duration: khoá account trong 30 phút khi đang nhập sai.# Reset account lockout counter after: xoá bộ nhớ đánh pass.

2/ Local policy* Vào Windows settings - > Sercurity settings -> local policies:

a/ User rights assignment:# Deny logon locally: chọn user không cho đăng nhập vào máy tính.# Change the system time: những người được thay đổi giờ hệ thống.# Shutdown the system: những người có quyền tắt máy.

… và còn nhiều tính năng khác bạn tự ngâm cứu nhé.

b/ Sercurity options:# Interactive logon: Do not display last user name: Khi user logout máy cửa sổ đăng nhập sẽkhông ghi lại account user vừa logon.# Interactive logon: Message text for users attempting to log on: Bạn có thể nhắn gởi một nộidung nào đó tới các user trước khi họ logon vào máy với nội dung nhắn gởi ở đây.# Interactive logon: Message title for users attempting to log on: Bạn nhập tiêu đề của hộp nộidung nhắn gởi vào đây.

3/ Administrative Templates* Vào Administrative Templates

a/ System# Turns off Autoplay: với tuỳ chọn là Enable (All drivers) bạn sẽ giảm nguy cơ lây lan virus do cácthiết bị ngoại vi như USB, CD…

3 of 8

Lưu ý: Sau khi tuỳ chỉnh trong Group Policy để thực thi các thay đổi bạn phải tiến hành logoff máyhoặc vào Start chọn Run nhập lệnh gpupdate /forceVà còn nhiều tính năng khác nữa ở đây tôi chỉ giới thiệu đến bạn khái quát về Local Policy & LocalSercurity Policy mà thôi phần còn lại bạn tự tìm hiểu.

Các ứng dụng trong Local Policy & Local Sercurity Policy của Windows Vista cũng tương tự như trongWindows Server 2003, nhưng vì Windows Vista là một win Client nên khi ta truy cập vào một máy Vistathì nó luôn hiểu rằng bạn là Guest cho dù bạn đăng nhập với bất cứ quyền hạn gì.Do đó bạn phải vào Local Policies chọn Sercurity Options# Accounts: Limit local account use of blank passwords to console logon only: Giới hạn tàikhoản user có password trắng đăng nhậpBạn Disable nó đi

4 of 8

Trong mục# Network access: Sharing and security model for local accounts: Chia sẽ và bảo mật các tài khoản cụcbộBạn chọn Guest only

Trong Windows Vista nếu máy bạn dùng trong phòng internet bạn có thể chọn chế độ Auto logonaccount để giới hạn quyền của user truy cập nhằm bảo quản máy tốt hơn.Để làm công việc này bạn thực hiện như sau:Tạo một user mới với tên là gccom1Logon vào AdministratorVào Start chọn Run nhập lệnh control userpasswords2

5 of 8

Cửa sổ User Account hiện ra

Bạn chọn user gccom1 và sau đó restart lại máyBây giờ các lần khởi động kế tiếp Windows sẽ không dừng lại màn hình chọn Account nữa mà sẽ chạythẳng vào user gccom1

Trong Windows Vista mặc dù mạng đã được kết nối tốt nhưng khi vào Command Prompt bạn ping sẽthấy báo làRequest timed out.

6 of 8

Nguyên nhân đó là do Windows Firewall không cho bạn thực thi lệnh nàyNhưng bạn cũng không nên Off Windows Firewall đi vì như thế sẽ vô tình làm hạ mức độ an toàn hệthống xuốngBạn vào Control Panel chọn Windows FirewallTrong tab Exceptions bạn chọn mục File and printer sharing chọn OK là xong

7 of 8

OK mình vừa giới thiệu xong phần Local Policy & Local Sercurity Policy trong 70-290, 70-620 củaMCSA.

Công ty TNHH đầu tư phát triển tin học GC Com

Chuyên trang kỹ thuật máy vi tính cho kỹ thuật viên tin họcĐiện thoại: (073) - 3.511.373 - 6.274.294

Website: http://www.gccom.net

8 of 8