Topic 3C
Windows 2003 Security Configuration Tools
Trong Windows 2000, bạn đã được cung cấp nhiều công cụ và tài liệu để cấu hình và quản lý các
tùy chỉnh bảo mật cho máy tính cá nhân và cho mạng của nó. Những công cụ này bao gồm Securiy
Template Snap-In, Security Configuration và Analysis Snap-In, và Secedit.exe. Secedit.exe là công
cụ command-line được dùng để phân tích bảo mật của nhiều công ty trong một domain.
User and Group Security
Tiêu điểm của Windows 2003 cũng giống với các hệ điều hành trước đó chính là users. Nếu ko có
user truy cập vào mạng, thì ko cần phải có mạng. Việc tạo user account là việc mà người quản trị
Windows cần phải làm.
Có 2 loại user account cở bản cần được tạo trong Windows 2003: domain users và local user.
• Một domain user account có khả năng log on vào mạng và truy cập vào các nguồn tài
nguyên cho phép trong domain.
• Một local user account có khả năng log on vào một computer xác định và truy cập vào các
tài nguyên cho phép trên computer đó.
Các tài khoản tồn tại sẵn khi cài Windows 2003 server là tài khoản Guest và Administrator. Bảo
mật Guest account nên được làm ngay lúc đó. Các bước để bảo mật Guest account trong Windows
NT 4.0 và Windows 2000 cũng giống nhau.
Restricting Logon Hours
Khi bạn tạo một vài user account, bạn nên xem xét việc hạn chế thời gian mà user đăng nhập thành
công. Việc cấu hình này rất quan trọng để bảo mật user accounts. Nếu chỉ cung cấp truy cập trong
suốt thời gian làm việc, thì ko có lý do gì để cho phép một user account 24x7 giờ quyền truy cập
mạng.
Ko may, trong Windows 2003 Server, giới hạn thời gian đăng nhập chỉ làm được cho Domain
(AD) user; tuy nhiên, các thủ tục vẫn có thể thực hiện như sau:
1. Mở MMC, và thêm Active Directory Users And Computers Snap-in
2. Lựa chọn thư mục Users, và double-click một đối tượng User mà bạn muốn giới hạn.
3. Trong cửa sổ Properties, chọn thẻ Account, và click Logon Hours.
4. Xác định thời gian giới hạn cần thiết.
5. Click OK để đóng cửa sổ Logon Hours.
6. Click OK để đóng User Properties và áp dụng thiết lập.

Expiration Dates for User Accounts
Để thiết lập thêm giới hạn thời gian sử dụng của một user account, bạn có thể kiểm soát truy cập
tài nguyên mạng bằng cách xác định giới hạn cho tài khoản đó. Nói cách khác, bạn tạo một user
account có kỳ hạn sử dụng.
Trong Windows 2003 Server, hạn chế thời giản sử dụng chỉ có hiệu lực cho Domain (AD) users.
Sau đây là các bước để thiết lập:
1. Mở MMC, thêm Active Direcotry Users And Computers Snap-in.
2. Lựa chọn thư mục Users, và double-click một đối tượng User mà bạn muốn giới hạn.
3. Trong cửa sổ Properties, chọn thẻ Account.
4. Để chỉnh Account Expiré, chọn End Of, và nhập vào thời gian mà bạn muốn tài khoản đó
hết hiệu lực.
5. Click OK để đóng User Properties và áp dụng thiết lập.
Configuring Windows 2003 Groups
Khi bắt đầu làm việc với Windows 2003, rất có thể bạn muốn triển khai và cấu hình đầy đủ cấu
trúc cho Active Directory, để có được những quyền lợi. Tuy nhiên, khi bạn cài đặt một server lần
đầu, nó ko có gì hơn là một stand-alone server -- không phải là một phần của domain, cũng ko phải
là domain controller.
Sau khi máy đó trở thành domain controller (bạn có thể nâng cấp lên domain bằng lệnh
DCPROMO), bạn sẽ thấy rằng, với quyền administrator, sẽ có một vài group để quản lý. Những
group này bao gồm Domain Administrator và Domain User.
Có 2 loại group cơ bản: Security group và Distribution group. Distribution group được dùng để
quản lý các danh sách, như là danh sách email, và ko được trình bày chi tiết trong khóa học này.
Chúng ta tập trung vào Security groups. Những group này có thể chứa đựng users và security
groups khác, vì thế khá là linh hoạt để quản lý mạng.
Trong Windows NT 4.0, có 2 group là global hoặc local. Windows 2003 mở rộng hơn, có các loại
group như sau:
• Computer Local -- Một nhóm các máy tính xác định chỉ được dùng để truy cập vào tài
nguyên trên các máy local. Nó ko được tạo trên một Domain Controller.
• Domain Local -- Một group mà có các thành viên từ domain nào đó trong mạng. Những
group này chỉ được tạo trong Domain Controller và có thể truy cập vào tài nguyên trong

domain đó.
• Global -- Một group được dùng để kết hợp các user có các yêu cầu truy cập vào tài nguyên
mạng giống nhau. Global groups có thể chứa các thành viên trong group của domain và có
thể truy cập vào tài nguyên ở domain đó cũng như các domain khác.
• Universal -- Được dùng trong môi trường multidomain, nơi mà các nhóm user từ các
domain khác nhau có chung tài nguyên sử dụng và có chung nhu cầu truy cập. Để triển
khai Universal group, hệ thống mạng phải chạy native mode, nghĩa là chỉ có Windows
2000/2003 Domain Controller được dùng. Chế độ này được dùng khi tất cả Windows NT
4.0 Domain Controller được nâng cấp thành Windows 2000/2003.
Cũng có thể kết hợp các group với nhau, như là xếp Global groups trong Universal groups nếu như
được yêu cầu trong tình hình lúc đó. Có thể có một tài nguyên mà bạn cố kiểm soát truy cập vào
và có một vài Global groups tồn tại và đã được cấu hình đúng cho các user. Trong trường hợp đó,
một Universal group sẽ hoạt động để kiểm soát truy cập mạng. Bạn có thể đặt Universal groups
trong Domain Local Groups và kiểm soát truy cập các tài nguyên bằng cách đặt quyền cho Domain
Local group.
Những group này được dùng khi kiểm soát truy cập tới các tài nguyên, cả 2 quyền allowing và
denying dựa vào nhu cầu bảo mật của bạn. Nếu bạn muốn bảo mật computer, user, và môi trường
mạng, bạn sẽ phải dùng đến group policies.
Locking Down the Adminnistrator Account
Administrator account có 4 điểm quan trọng, theo quan điểm an ninh:
• Tên của tài khoản tích hợp của người quản trị là Administrator.
• Tài khoản này có thể được bỏ trống password trong quá trình cài đặt.
• Tài khoản tích hợp của người quản trị là thành viên của Administrator group tích hợp.
• Tài khoản tích hợp này không bị khóa.
Bất cứ người nào quen thuộc với hệ điều hành đều biết những điểm này. Cho nên một
administrator trước tiên nên thay đổi tên của tài khoản quản trị tích hợp ko liên quan đến admin
kèm theo một mật khẩu mạnh.
Bạn cũng nên cấm tài khoản này đăng nhập vào máy tính này qua mạng. Nghe có vẻ khác thường,
thế nhưng bạn sẽ thấy rằng tài khoản này ko bị khóa, bất kể với một chính sách khóa tài khoản mà
bạn dùng; ví dụ, nếu bạn tạo một chính sách khóa tài khoản để khóa một user account sau 3 lần

đăng nhập thất bại, tất cả tài khoản khác với tài khoản tích hợp của người quản trị sẽ tuân theo
chính sách này.
Hiện nay, trong hầu hết các tổ chức, các máy tính quan trong như file, print, authentication, web,
mail, and ftp servers thường được đặt trong vùng bảo mật vật lý. Chỉ có nhà quản trị mạng mới
được phép vào vùng đó. Nếu bạn đảm bảo các bảo mật vật lý, thì chỉ có cách tấn công vào server
theo đường mạng. Tài khoản có chức vụ cao nhất trong server là Administrator account. Tấn công
vào Administrator account đã được bảo vệ bởi việc khóa chính sách. Ngoài ra, tài khoản admin
này ko nên đăng nhập theo đường mạng.
TASK 3C-1
Securing Administrator Account Acess
1. Từ Start Menu,nhấp chuột phải vào Computer,and chọn Manage.
2. Ở khung bên trái,mở Local Users And Group, và chọn thư mục Users.
3. Ở khung bên phải,nhấp chuột phải vào administrator và chọn Rename.
4. Với tên tài khoản mới, nhập scnpXXX,XXX là các số như 001.
5. Từ Start Menu, chọn Log Off và click Log Off.
6. Nhấn Ctrl+Alt+Del để đăng nhập.
7. Gõ scnpXXX và click OK để đăng nhập.
8. Nhấn Ctrl+Alt+Del và click Change Password.
9. Old password để trống.Trong ô New password, gõ aA1234!
10. Gõ aA1234! trong ô Confirm New Password, và click OK.
11. Lúc này password đã được thay đổi.Click Cancel để đóng màn hình Ctrl+Alt+Del.
12. Từ Start Menu,nhấp chuột phải vào My Computer, và chọn Manage.
13. Vào System ToolsLocal Users and Group, và click Users.
14. Nhấp chuột phải vào tài khoản scnpXXX và chọn Set Password.
15. Gõ và xác nhập aA1234! và click OK.
16. Ở khung bên phải, nhấp chuột phải vào bất kì chổ nào và chọn New User.
17. Với tên tài khoản mới, gõ Administrator để tạo tài khoản mới.
18. Gõ vào mật khẩu là bB5678! và xác nhận nó.
19. Bỏ chọn vào User Must Change Password At Next Logon.
20. Chọn User Cannot Change Password and Password Never Expires. Click Create, và

click Close để hoàn thành tạo tài khoản mới.
21. Nhấp chuột phải vào tài khoản mới tạo và chọn Properties.
22. Chọn Member of Tab.
23. Chọn Users group và click Remove.
24. Click Apply, và click OK.
25. Ở khung bên phải, nhấp chuột phải vào bất cứ đâu và chọn New User.
26. Với tên tài khoản mới, gõ scnpXXXb, với password là cC13579!.
27. Bỏ chọn User Must Change Password At Next Logon.
28. Click Create, và click Close.
29. Nhấp chuột phải vào tài khoản mới tạo và chọn Properties.
30. Chọn Member of Tab.
31. Click vào nút Add, gõ Administrators ở trong bảng Object Name To Select và click OK.
32. Chọn User group và click Remove.
33. Click Apply, và click OK.
34. Mở Custom_GPO.
35. Ở khung bên phải,nhấp đôi chuột vào Policy.Deny Access To This Computer From The
Network.
36. Click Add, nhập scnpXXX; Administrator trong bảng Object Name To select, và click
OK.
37. Click OK để add tài khoản.
38. Nhấp đôi chuột vào Policy Deny Logon Locally.
39. Click Add button, gõ Administrator trong bảng Object Name To select, và click OK.
40. Click OK để tạo tài khoản.
41. Đóng lại tất cả các cửa sổ rùi lưu lại các chỉnh sửa của bạn.
TASK 3C-2
Testing Administrative Access
Cài Đặt: Đăng nhập vào Windows 2003 với tên người dùng là Administrator.
1. Thoát và cố gắng đăng nhập trên Administrator.Bạn sẽ thấy thông báo hệ thống không thể
đăng nhập vào.Click OK.
2. Đăng nhập lại với tên tài khoản Administrator. Thời gian này bạn sẽ đăng nhập thành

công.
3. Trên vùng khởi động,tạo 1 folder có tên Newtest và với folder,tạo một file text có tên
doc1.txt.
4. Nhấp chuột phải vào new folder, và chọn Sharing.
5. Chọn Share This Folder, và click vào nút Permissions.
6. Chọn Everyone và click Remove.
7. Click vào nút Add, và gõ scnpXXX; scnpXXXb trong bảng text và click OK.Rồi click
OK.
8. Từ máy tính trong mạng Lan,mở Run dialog box (từ Start Menu,chọn Run).
9. Nhập \\your_computer’s_IP_address\newtest.
10. Gõ tên và password vào tài khoản administrator.Nhớ rằng,bạn phải thay đổi tài khoản
administrator sang scnpXXX với password là aA1234!.
11. Bạn sẽ nhận được một tin thông báo lỗi hiện lên cho bạn rằng một thất bại xảy ra khi người
dùng đăng nhập chưa được cấp loại yêu cầu đăng nhập vào máy tính này.
12. Click OK để đóng thông báo lỗi.
13. Thời gian này,bạn thử đăng nhập với các thông tin của scnpXXXb.Bạn sẽ thành công.
14. Trở lại với máy tính riêng của bạn,và đóng các cửa sổ đang mở.
Group Policies
Trong phần trước, bạn đã được giới thiệu Group Policy Objects và cách tạo GPO. Trong phần này,
chúng ta sẽ đào sâu hơn để sử dụng GPO bảo mật mạng. 2 vấn đề cần thảo luận là các tùy chỉnh
liên quan đến chính sách inheritance và override.
Như đã thảo luận về GPO, bạn cần phải hiểu rõ rằng GPOs được thực hiện chính sách theo thứ tự:
local GPO, site GPO, domain GPO, và cuối cùng là OU GPO. Bạn cũng cần phải có kiến thức
thực tế rằng khi có nhiều GPOs cấp cho một đối tượng, thì GPO ưu tiên cao nhất sẽ được sử dụng.