theo chủ ý mà với người sử dụng thông thường không thể làm được
Local Security Policy (chính sách bảo mật cục bộ).
Mình xin giới thiệu về Local security policy !
Có 2 cách vào Local Security Policy:
Cách 1: Vào start\run\gpedit.msc
Cách 2: nhấp chuột phải vào Start -> Properties -> Start menu ->
Classic start menu -> Customize đánh dấu check Display
administrator tools và chọn OK.
Sau đó vào Start Menu\Programs\Administrative Tools sẽ thấy
Local Security Policy
Sau khi vào Local security policy mình sẽ có các ứng dụng:
Computer Configuration và User Configuration
Ở đây tôi chỉ đề cập đến phần Computer Configuration
còn User Configuration cũng tương tự nhưng với quyền
hạn chế hơn.
1/ Account Policy
* Vào Windows settings - > Sercurity settings -> account policies:
a/ Password policy:
Trong này bao gồm các mục:
# Password must meet complexity … : khi đặt password
cho wins phải có đủ độ phức tạp.(hoa, thường, số, ký tự đặc biệt)
Mặc định tính năng này sẽ bị disable, để gia tăng chế độ bảo mật bạn
nên Enable nó lên
# Minimum password age: mặc định giá trị này là 0
nếu ta thay nó bằng con số khác 0 VD là 3 chẳng hạn thì user chỉ có
quyền thay đổi password 3 ngày một lần mà thôi.
# Minimum password length: Để gia tăng chế độ bảo mật
bạn nên Enable tính năng này lên với giá trị >8 để cho độ dài của
password user luôn ở mức an toàn cao.
# Enforce password history: nhớ bao nhiêu password
không cho đặt trùng.
# Store password using reversible … : mã hoá password.
b/ Account lockout policy:
# Account lockout threshold: để khoá account khi đăng
nhập sai. Bạn nên cho giá trị này là 3 để tránh tình trạng hacker cố
gắng dò tìm password của bạn, vì nếu hacker dò pass sai quá 3 lần
account này sẽ bị lock trong vòng 30 phút.
Nếu user đăng nhập sai quá 3 lần dẫn đến account user này bị lock bạn có
thể unlock cho account này ngay tức thì bằng cách đăng nhập vào với
quyền Administrator sau đó chọn Computer Management -> Local user and
group -> User
Sau đó double click vào account bị lock bỏ chọn mục Account is
locked out.
# Account lockout duration: khoá account trong 30
phút khi đang nhập sai.
# Reset account lockout counter after: xoá bộ nhớ đánh
pass.
2/ Local policy
* Vào Windows settings - > Sercurity settings -> local policies:
a/ User rights assignment:
# Deny logon locally: chọn user không cho đăng nhập vào
máy tính.
# Change the system time: những người được thay đổi giờ
hệ thống.
# Shutdown the system: những người có quyền tắt máy.
… và còn nhiều tính năng khác bạn tự ngâm cứu nhé.
b/ Sercurity options:
# Interactive logon: Do not display last user name: Khi
user logout máy cửa sổ đăng nhập sẽ không ghi lại account user vừa
logon.
# Interactive logon: Message text for users attempting to log
on: Bạn có thể nhắn gởi một nội dung nào đó tới các user trước
khi họ logon vào máy với nội dung nhắn gởi ở đây.
# Interactive logon: Message title for users attempting to log
on: Bạn nhập tiêu đề của hộp nội dung nhắn gởi vào đây.
3/ Administrative Templates
* Vào Administrative Templates
a/ System
# Turns off Autoplay: với tuỳ chọn là Enable (All
drivers) bạn sẽ giảm nguy cơ lây lan virus do các thiết bị ngoại vi như
USB, CD…
Lưu ý:
Sau khi tuỳ chỉnh trong Group Policy để thực thi các thay
đổi bạn phải tiến hành logoff máy hoặc vào Start chọn
Run nhập lệnh gpupdate /force
Và còn nhiều tính năng khác nữa ở đây tôi chỉ giới thiệu đến bạn khái
quát về Local Policy & Local Sercurity Policy mà thôi phần còn
lại bạn tự tìm hiểu.
Các ứng dụng trong Local Policy & Local Sercurity Policy của Windows
Vista cũng tương tự như trong Windows Server 2003, nhưng vì Windows
Vista là một win Client nên khi ta truy cập vào một máy Vista thì nó
luôn hiểu rằng bạn là Guest cho dù bạn đăng nhập với bất cứ quyền
hạn gì.
Do đó bạn phải vào Local Policies chọn Sercurity Options
# Accounts: Limit local account use of blank passwords to
console logon only: Giới hạn tài khoản user có password
trắng đăng nhập
Bạn
Disable nó đi
Trong mục Network access:
Sharing and security model for local accounts: Chia sẽ và bảo mật
các tài khoản cục bộ
Bạn chọn Guest only
Trong Windows Vista nếu máy bạn dùng trong phòng internet bạn có thể
chọn chế độ Auto logon account để giới hạn quyền của
user truy cập nhằm bảo quản máy tốt hơn.
Để làm công việc này bạn thực hiện như sau:
Tạo một user mới với tên là gccom1
Logon vào Administrator
Vào Start chọn Run nhập lệnh control userpasswords2
Cửa sổ User Account hiện ra
Bạn chọn user gccom1 và sau đó restart lại máy
Bây giờ các lần khởi động kế tiếp Windows sẽ không dừng lại màn hình
chọn Account nữa mà sẽ chạy thẳng vào user gccom1
Để tạo câu thông báo cho người dùng khi đăng nhập vào máy tính bạn vào
mục Interactive logon: Message text for users attempting to log on
Nhập câu thông báo và ô Textbox
Tương tự chọn tiếp mục mục Interactive logon: Message title for users
attempting to log on
Nhập dòng tiêu đề
Xong đâu đấy bạn ra Run gõ lệnh cập nhật gpupdate /force
Bây giờ thử đa7ng nha65o với Account gccom1 sẽ thấy xuất hiện màn
hình thông báo
OK mình vừa trình bày
xong phần Local Policy & Local Sercurity Policy trong 70-648 của MCSA.
Bảo Nguyên
kythuatvien.com
Tập tin văn bản
Tập tin dữ liệu
Tập tin chỉ đọc
Tập tin Web
Technorati
Stumble
Reddit
Blinklist
Delicious
Facebook
Windows Live
Google
Yahoo
Digg
Twitter
Windows XP
Windows Server 2008 - Part 5 - Local User & Group
