Bài giảng Mạng máy tính - Bài số 11: Win 2k3 - Tài khoản người dùng

BÀI SỐ 11 Tài khoản người dùngUser Acount là 1 đối tượng quan trọng đại diện cho người dùng trên mạng, được phân biệt qua chuổi nhận dạng (User name).Chuổi nhận dạng này giúp hệ thống phân biệt giữa người này với người khác trên mạng, từ đó người dùng có thể đăng nhập vào mạng và truy xuất các tài nguyên mạng mà mình được phép User Acount Tài khoản người dùng cục bộLocal User Account là tài khoản được định nghĩa trên máy cục bộ, và chỉ được phép logon, truy cập tài nguyên trên máy cục bộNếu muốn truy cập tài nguyên trên mạng thì phải được chứng thực tại máy có tài nguyên chia sẻ.Các tài khoản này được lưu trong tập tin CSDL SAM tại máy cục bộ (..\Windows\system32\config) Logon Tài khoản người dùng miềnDomain User Account là tài khoản được định nghĩa trên Active Directory và được phép logon vào mạng tại bất kỳ máy trạm nào trong miềnVới tài khoản này người dùng có thể truy cập đến các tài nguyên trên mạngCác tài khoản này được chứa trong tập tin NTDS.DIT (..\Windows\NTDS) Logging on … Logging on Locally Logging on to a Domain Active Directory Access Token SAM Access Token Tài khoản nhómGroup Account là đối tượng đại diện cho một nhóm người dùng nào đó. Dùng cho việc quản lý chung các đối tượng người dùngViệc phân bổ người dùng vào nhóm giúp ta dể dàng cấp quyền cho họ trên các tài nguyên mạng như các thư mục chia sẻ, máy inTài khoản nhóm không thể dùng để đăng nhập và được chia làm 2 loại Nhóm bảo mật (Security Group) Nhóm phân phối (Distribution Group) Nhóm bảo mật (Security Group)Được dùng để cấp phát các quyền hệ thống (Rights) và quyền truy cập (Permission)Giống như tài khoản người dùng, các nhóm bảo mật đều được chỉ định các SID (Security ID) Nhóm phân phối (Distribution Group) Là loại nhóm phi bảo mật, không có SID. Loại nhóm này không được dùng bởi các nhà quản trị mà được dùng bởi các phần mềm dịch vụ. Chúng được dùng để phân phối thư (Email) hoặc các tin nhắn (message) ví dụ như dịch vụ MS Exchange. Quản lý tài khoản người dùng Giống như Win XP, ta quản lý tài khoản người dùng: tạo, xoá, đổi tên, cấp quyền… thông qua giao diện Computer Management. Chú ý Nên xoá tài khoản người dùng nếu chắc chắn rằng tài khoản này sẽ không bao giờ dùng nữa.Chú ý: Tài khoản bị xoá sẽ không phục hồi lại được nữa. Khi 1 tài khoản không sử dụng trong 1 thời gian dài, ta nên khoá lại vì lý do bảo mật và an toàn hệ thống. Ta có thể đổi tên bất kỳ 1 tài khoản người dùng nào, và có thể điều chỉnh lại những thông tin về tài khoản đó.Khi ta đổi tên, SID của tài khoản đó không thay đổi. Ta cũng có thể thay đổi Password của bất kỳ tài khoản nào nếu xét thấy cần thiết. Chính sách tài khoản người dùng (Account Policy) dùng để chỉ định các thông số về tài khoản người dùng mà nó được sử dụng khi tiến trình Logon xảy ra. Cho phép ta cấu hình các thông số bảo mật máy tính, mật khẩu, khoá tài khoản và chứng thực. Password Permission Computer Khái niệm Start  Progams  Administrative Tools Local Security Policy hoặc Domain Security Policy Nếu trên Server dùng Workgoup ta sẽ thấy 2 mục là Password Policy và Account Lockout Policy còn nếu Server đã nâng cấp lên Domain Controler sẽ có thêm 1 mục nữa là Kerberos Policy Password Policy nhằm đảm bảo an toàn mật khẩu cho người dùng, tránh các trường hợp đăng nhập bất hợp pháp vào hệ thống Chính sách mật khẩu Số lần đặt mật mã không đượctrùng nhau Số ngày nhiều nhất mà mật mãcó hiệu lực Số ngày tối thiểu trước khi Userđược phép đổi mật mã Số ký tự ngắn nhất của mật mã Mật mã phải có độ phức tạp Mật mã được mã hoá Account Lockout Policy quy định cách thức khoá tài khoản trong vùng hay trong hệ thống cục bộ. Chính sách này giúp ta hạn chế bị tấn công bằng phương pháp Logon từ xa. Chính sách khoá tài khoản Quy định thời gian khoá. Là 0, Nhưng nếu Account LockoutThreshold được thiết lập thì giátrị này là 30 phút Quy định số lần đăng nhập sai, tài khoản sẽ bị khoá Quy định thời gian đếm lại số lầnđăng nhập không thành công.Là 0, nếu Account LockoutThreshold được thiết lập thì giátrị này là 30 phút Local Policy cho thiết lập các chính sách giám sát đối tượng trên mạng, như : người dùng và tài nguyên dùng chung. Đồng thời dựa vào chính sách này ta có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mật. Audit Policy cho phép giám sát và ghi nhận các sự kiện xảy ra trong hệ thống, trên các đối tượng và các người dùng. Ghi nhận thông qua công cụ Event Viewer trong mục Security Chính sách kiểm toán 1-Ghi nhận khi Users logon hoặclogoff hoặc tạo một kết nối mạng Ghi nhận khi có sự thay đổi thôngtin về Tkhoản Users hoặc Group Ghi nhận việc truy cập các dịch vụ thư mục Ghi nhận việc thi hành Script hoặc roaming profile Ghi nhận việc truy cập các file,thư mục, máy in… Ghi nhận sự thay đổi trong chính sách kiểm toán Ghi nhận khi có thao tác quản trị bằng quyền hệthống như cấp hoặc xoá quyền 1 ai đó Ghi nhận sự hoạt động của ch.trình hay HĐH Ghi nhận khi khởi động lại máy hoặc tắt máy Có 2 cách cấp quyền hệ thống cho người dùng Add tài khoản người dùng vào các nhóm đã được tạo sẵn (built-in) để thừa kế quyền (đã học ở WinXP) Quyền hệ thống của người dùng Hoặc dùng công cụ User Right Assigment để gán từng quyền rời rạc cho người dùng Quyền hệ thống của người dùng (tt) Quyền hệ thống của người dùng (tt) Quyền hệ thống của người dùng (tt) Security Options cho phép người quản trị Server khai báo thêm các thông số nhằm tăng tính bảo mật thêm cho hệ thống như : Các lựa chọn bảo mật Không hiển thị Username người dùng đã logon trướcHay đổi tên người dùng tạo sẵnWin 2k3 hổ trợ chúng ta rất nhiều lựa chọn bảo mât. Nhưng trong giáo tài liệu này chúng ta chỉ khảo sát những lựa chọn thông dụng Cho phép người dùng shutdown hệ thống mà không cần logon Giám sát việc truy cập các đối tượng hệ thống toàn cục Tự động logoff khi người dùng hết thời gian sử dụng hoặc tài khoản hết hạn Không hiển thị tên người dùng vừa logon trên hộpthoại logon Cho phép thay đôỉ tên Addministrator thành tên mới Cho phép thay đôỉ tên Guest thành tên mới Các lựa chọn bảo mật Không cần nhấn CTRL+ATL+DELkhi khởi động