Sử dụng bảo mật sẵn có trong Windows Server 2003

Đây là một trong số các bài hướng dẫn từng bước đơn giản dễ hiểu của phần trợ giúp Microsoft cung cấp cho người dùng. Bài này mô tả cách thức áp dụng các mẫu bảo mật được định nghĩa sẵn trong Windows Server 2003 như thế nào. Microsoft Windows Server 2003 cung cấp một số mẫu bảo mật giúp bạn tăng cường mức an toàn cho mạng của mình. Bạn có thể chỉnh sửa chúng cho phù hợp với yêu cầu riêng bằng cách dùng thành phần Security Templates trong Microsoft Management Console (MMC).

Các mẫu bảo mật định nghĩa sẵn trong Windows Server 2003

  • Bảo mật mặc định (Setup security.inf)

    Setup security.inf được tạo ra trong quá trình cài đặt và riêng biệt cho từng máy tính. Mỗi máy tính có một kiểu Setup security.inf khác nhau tuỳ thuộc chương trình cài đặt là hoàn toàn mới từ ban đầu hay là bản nâng cấp. Nó thể hiện các thiết lập bảo mật mặc định được ứng dụng trong quá trình cài đặt của hệ điều hành, gồm cả đặc quyền file cho thư mục gốc của ổ hệ thống. Mẫu bảo mật này có thể được dùng cho cả máy chủ và máy khách nhưng không thể dùng áp dụng cho bộ điều khiển tên miền. Bạn cũng có thể dùng các phần của mô hình mẫu này cho hoạt động phục hồi nếu có trường hợp rủi ro xuất hiện.

    Không áp dụng Setup security.inf bằng cách sử dụng Group Policy vì điều này có thể làm giảm tốc độ thực thi hệ thống.

    Chú ý: Trong Microsoft Windows 2000 có hai mẫu bảo mật hỗn hợp cùng tồn tại: ocfiless (cho các server file) và ocfilesw (cho các workstation). Trong Windows Server 2003, cả hai file này được thay thế bởi file Setup security.inf.

  • Bảo mật mặc định cho bộ điều khiển tên miền (DC security.inf)

    Mẫu này tạo ra khi server được tăng cấp lên bộ điều khiển tên miền. Nó ánh xạ các thiết lập bảo mật mặc định file, thanh ghi và dịch vụ hệ thống. Nếu bạn áp dụng lại mô hình này, các thiết lập sẽ được đặt ở giá trị mặc định. Tuy nhiên kiểu mẫu này có thể ghi đè đặc quyền lên các file, khoá thanh ghi và dịch vụ hệ thống mới do chương trình khác tạo ra.

  • Tương thích (Compatws.inf)

    Mẫu này thay đổi các quyền của file và thanh ghi được cấp phát cho thành viên của nhóm Users, nhất quán với yêu cầu của hầu hết chương trình không nằm trong Windows Logo Program for Software. Mẫu Compatible cũng loại bỏ tất cả thành viên của nhóm Power Users.

    Để biết thêm thông tin về Windows Logo Program for Software, bạn có thể tham khảo tại website của Microsoft:

    http://www.microsoft.com/winlogo/default.mspx

    Chú ý: Không được áp dụng mẫu Compatible cho bộ điều khiển tên miền.

  • Bảo mật (Secure*.inf)

    Mẫu Secure định nghĩa các thiết lập bảo mật nâng cao ít nhất ảnh hưởng tới độ tương thích của chương trình. Ví dụ như định nghĩa mật khẩu, chế độ lockout và các thiết lập kiểm toán mạnh hơn. Thêm vào đó, các khuôn mẫu này còn giới hạn việc sử dụng chương trình quản lý mạng cục bộ LAN Manager và các giao thức thẩm định NTLM bằng cách cấu hình client chỉ gửi phần trả lời NTLMv2 và cấu hình server từ chối trả lời LAN Manager.

    Có hai kiểu mô hình bảo mật dựng sẵn trong Windows Server 2003: Securews.inf cho các trạm làm việc và Securedc.inf bộ điều khiển tên miền. Để biết thêm thông tin về cách dùng các mẫu mô hình này và một số mẫu bảo mật khác, bạn có thể tìm kiếm trong phần trợ giúp Help and Support Center của Microsoft với từ khoá “predefined security templates” (các mẫu bảo mật định nghĩa sẵn).

  • Bảo mật cao (hisec*.inf)

    Highly Secure mô tả chi tiết các giới hạn bổ sung chưa được định nghĩa trong Secure, chẳng hạn như mức mã hoá và ký hiệu cần thiết cho việc thẩm định và trao đổi dữ liệu qua kênh bảo mật, giữa client và server Server Message Block (SMB).
  • Bảo mật thư mục gốc hệ thống (Rootsec.inf)

    Mẫu này đặc tả các quyền của thư mục gốc (root). Mặc định, Rootsec.inf định nghĩa quyền hạn cho file gốc của ổ hệ thống. Bạn có thể dùng mô hình này để áp dụng lại các đặc quyền thư mục gốc nếu chúng bị thay đổi ngẫu nhiên. Hoặc bạn có thể chỉnh sửa mô hình mẫu này để áp dụng các quyền hạn gốc giống nhau cho nhiều bộ khác. Mẫu này không ghi đè các quyền tường minh được định nghĩa ở các đối tượng con; nó chỉ sao chép các quyền đã được thừa kế ở các đối tượng con đó.

  • Mẫu không có SID cho người dùng Server Terminal (Notssid.inf)

    Bạn có thể áp dụng mẫu này để loại bỏ bộ định dạng bảo mật (SID) Windows Terminal Server khỏi hệ thống file và các vị trí thanh ghi khi dịch vụ đích (Terminal Services) không chạy. Sau khi bạn thực hiện điều này, bảo mật hệ thống sẽ không được cải thiện đầy đủ một cách cần thiết.

Để biết thêm thông tin chi tiết về tất cả mô hình mẫu định nghĩa sẵn trong Windows Server 2003, bạn có thể tìm kiếm trong phần trợ giúp Help and Support Center của Microsoft với từ khoá “predefined security templates“.

Chú ý quan trọng: Thực thi một mô hình mẫu bảo mật trên bộ điều khiển tên miền có thể thay đổi các thiết lập của thành phần Default Domain Controller Policy hoặc Default Domain Policy. Mô hình mẫu được sử dụng có thể ghi đè quyền hạn lên các file mới, các khoá thanh ghi và dịch vụ hệ thống do chương trình khác tạo ra. Sau khi sử dụng mô hình bảo mật mẫu, có thể bạn sẽ phải khôi phục lại “chính sách” cũ. Trước khi thực hiện một số bước sau trên bộ điều khiển tên miền, hãy tạo bản sao lưu của file chia sẻ SYSVOL.

Sử dụng một mẫu bảo mật 

  1. Vào Start, chọn Run, gõ mmc lên ô lệnh và bấm OK.
  2. Trong menu File, kích lên Snap-in Add/Remove.
  3. Chọn Add.
  4. Trong danh sách Available Stand Alone Snap-ins, chọn Security Configuration and Analysis, bấm Add > Close và cuối cùng là OK.
  5. Ở ô bên trái, kích vào Security Configuration and Analysis và xem hướng dẫn ở khung bên phải.
  6. Kích phải chuột lên Security Configuration and Analysis, chọn Open Database.
  7. Trong hộp tên File, gõ tên file dữ liệu rối kích vào Open.
  8. Kích vào mẫu bảo mật bạn muốn dùng, sau đó bấm lên Open để nhập thông tin nằm trong mẫu vào cơ sở dữ liệu.
  9. Kích phải chuột lên Security Configuration and Analysis ở khung bên trái rồi chọn Configure Computer Now.
Cập nhật: 03/01/2007 T.Thu (Theo Microsoft)

You may also like...

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.