SlideShare a Scribd company logo
1 of 33
Download to read offline
Bài 8:
Triển khai bảo mật sử dụng
chính sách nhóm (Group policy)
Bài 8:
Triển khai bảo mật sử dụng
chính sách nhóm (Group policy)
Nội dung bài học trước
Cấu hình các thiết lập Group Policy
Cấu hình Scripts và Folder Redirection với Group Policy
Cấu hình Administrative Templates
Triển khai cài đặt phần mềm bằng Group Policy
Cấu hình Group Policy Preferences
Giới thiệu về Group Policy Troubleshooting
Khắc phục sự cố về ứng dụng trong Group Policy
Khắc phục sự cố về thiết lập trong Group Policy
Cấu hình các thiết lập Group Policy
Cấu hình Scripts và Folder Redirection với Group Policy
Cấu hình Administrative Templates
Triển khai cài đặt phần mềm bằng Group Policy
Cấu hình Group Policy Preferences
Giới thiệu về Group Policy Troubleshooting
Khắc phục sự cố về ứng dụng trong Group Policy
Khắc phục sự cố về thiết lập trong Group Policy
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 2
Mục tiêu bài học
Quản trị nhóm người dùng bằng việc sử dụng các thiết
lập chính sách nhóm
Các thiết lập quản trị bảo mật
Giám sát
Chính sách hạn chế phần mềm và Applocker
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 3
Chính sách bảo mật
Chính sách bảo mật (Security Policy):
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 4
Chính sách tài khoản
Thiết lập mặc định
Password
Chính sách
• Quản lý độ phức tạp và thời gian tồn tại của mật khẩu
• Thời gian tối đa của 1 mật khẩu: 42 ngày
• Thời gian tối thiểu của 1 mật khẩu: 1 ngày
• Chiều dài tối thiểu:7 ký tự
• Độ phức tạp: yêu cầu
• Lưu trữ mật khẩu bằng mã hóa có khả năng khôi phục: tắt
Account policies bao gồm:
Chính sách tài khoản (Account policy) giảm thiểu các mối đe dọa tới tài khoản
Password
Account lockout
Kerberos
• Quản lý độ phức tạp và thời gian tồn tại của mật khẩu
• Thời gian tối đa của 1 mật khẩu: 42 ngày
• Thời gian tối thiểu của 1 mật khẩu: 1 ngày
• Chiều dài tối thiểu:7 ký tự
• Độ phức tạp: yêu cầu
• Lưu trữ mật khẩu bằng mã hóa có khả năng khôi phục: tắt
• Quản lý số lần nhập mật khẩu sai
• Thời gian Lockout: duration not defined
• Lockout threshold: 0 invalid logon attempts
• Reset account lockout after: not defined
• Là 1 nhóm các thuộc tính của chính sách bảo mật domain
• Chỉ được dụng ở cấp độ Domain
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 5
Chính sách cục bộ
Các chính sách cục bộ của các máy tính chạy Windows 2000 và các hệ điều hành sau
đó là 1 phần của Group Policy cục bộ
Trong 1 workgroup, bạn phải cấu hình chính sách bảo mật cục bộ để cung cấp
khả năng bảo mật

Chính sách cục bộ (Local Policies) xác định các tùy chọn bảo mật cho người dùng hoặc tài
khoản cho các dịch vụ
Domain Policy sẽ ghi đè lên Local Policies (chính sách cục bộ) trong trường hợp có
xung đột.

Trong 1 workgroup, bạn phải cấu hình chính sách bảo mật cục bộ để cung cấp
khả năng bảo mật

Bạn có thể gán quyền thông qua Local Group Policies
Các tùy chọn bảo mật điều khiển nhiều khía cạnh khác nhau của 1 máy tính
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 6
Chính sách bảo mật mạng là gì?
Tách biệt các chính sách không dây đối với Windows XP và Windows Vista
Chính sách cho Windows Vista bao gồm nhiều lựa chọn hơn cho mạng không dây
Chính sách không dây của Windows Vista có thể cấm truy cập vào các mạng không dây
Xác định khả năng sẵn sàng của mạng và các phương thức xác thực cho các kết nối không dây
cho máy trạm Windows Vista và Windows XP và xác thực mạng LAN cho các máy trạm
Windows Vista và Windows Server 2008
Chính sách không dây của Windows Vista có thể cấm truy cập vào các mạng không dây
Cơ chế xác thực 802.1x có thể được cấu hình qua chính sách nhóm
Chỉ từ phiên bản Vista trở đi mới có thể nhận các chính sách mạng dây
Windows XP
Windows Vista
Không dây
Chỉ mạng
không dây Windows XP
Windows Vista
Mạng dâyGPO
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 7
Chính sách mặc định của Domain
Controller
Ba khu vực cần phải được kiểm tra:
Chính sách gán quyền người dùng: logging on locally, shutdown
Chính sách Event Log: log size, retention
Chính sách Security Options: auditing, devices, domain controller
Chính sách Event Log: log size, retention
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 8
Chính sách bảo mật Domain mặc định
• Cung cấp các chính sách tài khoản Domain, các thiết lập khác
không được cấu hình bởi mặc định
• Sử dụng để cung cấp các thiết lập bảo mật sẽ ảnh hường tới
toàn bộ Domain
• Sử dụng Domain Policy để cung cấp các thiết lập bảo mật 1
cách tốt nhất. sử dụng các GPO để thiết lập các loại bảo mật
khác nhau
• Cung cấp các chính sách tài khoản Domain, các thiết lập khác
không được cấu hình bởi mặc định
• Sử dụng để cung cấp các thiết lập bảo mật sẽ ảnh hường tới
toàn bộ Domain
• Sử dụng Domain Policy để cung cấp các thiết lập bảo mật 1
cách tốt nhất. sử dụng các GPO để thiết lập các loại bảo mật
khác nhau
Domain
Default domain policy
Account and security settings
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 9
Các đặc điểm của Security Policy
Settings
Khi kiểm tra Security Policy settings,
xem xét:
Các chính sách tài khoản được áp đặt tới máy trạm từ domain
controller
Domain Controller nhận các chính sách tài khoản từ 1 domain level policy
Thiết lập bảo mật đến từ các GPO có mức ưu tiên cao nhất
Domain Controller nhận các chính sách tài khoản từ 1 domain level policy
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 10
Nhóm hạn chế
Chính sách nhóm hạn chế (Restricted Groups) cho phép
quản trị các thành viên của nhóm
Members
• Chính sách là dành cho 1 nhóm cục bộ
• Xác định các thành viên (nhóm và người
dùng)
• Tính xác thực
Member Of
• Chính sách là dành cho 1 nhóm Domain
• Xác định thành viên của nó trong một
nhóm cục bộ
• Tính lũy kế
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 11
Xác định thành viên nhóm bằng các
quyền ưu tiên chính sách nhóm
Tạo, xóa, hoặc thay thế 1 nhóm cục bộ
Sửa tên 1 nhóm cục bộ
Thay đổi miêu tả
Thay đổi thành viên nhóm
Các quyền ưu tiên chính
sách nhóm cục bộ có ở cả
Cấu hình máy tính và
Cấu hình người dùng
Tạo, xóa, hoặc thay thế 1 nhóm cục bộ
Sửa tên 1 nhóm cục bộ
Thay đổi miêu tả
Thay đổi thành viên nhóm
Các quyền ưu tiên chính
sách nhóm cục bộ có ở cả
Cấu hình máy tính và
Cấu hình người dùng
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 12
Chính sách Fine-Grained Password
Phải đổi password:
7 ngày
Fine-grained passwords cho phép nhiều chính sách password
đối tượng trong Domain
Administrator
group
Manager group End user group
Phải đổi password:
14 ngày
Phải đổi password:
30 ngày
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 13
Fine-Grained Password được thực thi
như thế nào?
Cần xem xét khi thực thi các PSO:
Password Settings Container (PSC) và Password Setting Objects (PSO)
là các lớp đối tượng trong Domain
PSOs chỉ có thể áp dụng tới người dùng hoặc global groups
PSOs có thể được tạo bằng ADSI Edit hoặc LDIFDE
PSOs chỉ có thể áp dụng tới người dùng hoặc global groups
Một PSO có sẵn các thiết lập sau:
• Chính sách mật khẩu
• Chính sách lockout tài khoản
• Liên kết PSO
• Quyền ưu tiên
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 14
Thực thi chính sách Fine-Grained
Password
• Shadow groups có thể sử dụng để áp dụng PSO tới tất cả
người dùng mà đã không sẵn sàng chia sẻ tới 1 global group
• Một người dùng hoặc 1 nhóm có thể có nhiều PSO áp đặt tới
Thuộc tính ưu tiên được dùng để giải quyết vấn đề xung đột
• PSOs được liên kết trực tiếp tới người dùng, ghi đè lên PSO
được liên kết tới 1 người dùng trong global groups
• Nếu không có PSO, chính sách domain account thường sẽ
được áp dụng
• Shadow groups có thể sử dụng để áp dụng PSO tới tất cả
người dùng mà đã không sẵn sàng chia sẻ tới 1 global group
• Một người dùng hoặc 1 nhóm có thể có nhiều PSO áp đặt tới
Thuộc tính ưu tiên được dùng để giải quyết vấn đề xung đột
• PSOs được liên kết trực tiếp tới người dùng, ghi đè lên PSO
được liên kết tới 1 người dùng trong global groups
• Nếu không có PSO, chính sách domain account thường sẽ
được áp dụng
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 15
Hạn chế Group Membership
Group Policy có thể điều khiển group membership:
• Đối với bất kỳ nhóm trên một máy tính cục bộ: áp dụng một GPO cho OU
để giữ tài khoản máy tính
• Đối với bất kỳ nhóm trên AD DS: áp dụng 1 GPO tới Domain Controller
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 16
Auditing là gì?
• Auditing theo dõi người sử dụng và hoạt động hệ điều hành, và hồ sơ lựa
chọn các sự kiện trong nhật ký an ninh ( Logs), chẳng hạn như:
• Cái gì đã xảy ra?
• Ai đã làm?
• Khi nào?
• Kết quả là gì?
• sử dụng Auditing để:
• Tạo 1 baseline
• Phát hiện các mối đe dọa và tấn công
• Xác định thiệt hại
• Ngăn chặn các thiệt hại
• sử dụng Auditing để:
• Tạo 1 baseline
• Phát hiện các mối đe dọa và tấn công
• Xác định thiệt hại
• Ngăn chặn các thiệt hại
• Auditing kiểm soát truy cập vào các đối tượng, quản lý tài khoản, và người
sử dụng đăng nhập và tắt máy
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 17
Chính sách giám sát
• Chính sách giám sát (Audit policy) xác định các sự kiện an ninh sẽ
được báo cáo cho người quản trị mạng
• Thiết lập 1 Audit Policy để:
• Theo dõi sự thành công hay thất bại của sự kiện
• Giảm thiểu sử dụng trái phép các nguồn tài nguyên
• Duy trì một hồ sơ về hoạt động
• Security events được lưu trong security logs
• Chính sách giám sát (Audit policy) xác định các sự kiện an ninh sẽ
được báo cáo cho người quản trị mạng
• Thiết lập 1 Audit Policy để:
• Theo dõi sự thành công hay thất bại của sự kiện
• Giảm thiểu sử dụng trái phép các nguồn tài nguyên
• Duy trì một hồ sơ về hoạt động
• Security events được lưu trong security logs
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 18
Các loại sự kiện để Audit
• Tài khoản đăng nhập
• Quản lý tài khoản
• Truy cập Directory Service
• Các thay đổi trong Directory Service
• Sao lưu Directory Service
• Chi tiết về sao lưu Directory Service
• Đăng nhập
• Đối tượng truy cập
• Thay đổi chính sách
• Quyền sử dụng
• Theo dõi quá trình xử lý
• Hệ thống
• Tài khoản đăng nhập
• Quản lý tài khoản
• Truy cập Directory Service
• Các thay đổi trong Directory Service
• Sao lưu Directory Service
• Chi tiết về sao lưu Directory Service
• Đăng nhập
• Đối tượng truy cập
• Thay đổi chính sách
• Quyền sử dụng
• Theo dõi quá trình xử lý
• Hệ thống
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 19
Khắc phục sự cố chính sách Audit
Kiểm tra Security Log trong Event Viewer
Sau khi cấu hình audit, nó có thể vẫn không hoạt động do 1 số nguyên nhân sau:
• Thiết lập do chính sách của 1 site, 1 domain, hoặc 1 OU trùm lên chính sách Audit
này
• 1 GPO có độ ưu tiên cao hơn trùm lên chính sách này
• Thiết lập do chính sách của 1 site, 1 domain, hoặc 1 OU có bao gồm chính sách
audit này nhưng không được sao lưu sang các máy tính khác
Sau khi cấu hình audit, nó có thể vẫn không hoạt động do 1 số nguyên nhân sau:
• Thiết lập do chính sách của 1 site, 1 domain, hoặc 1 OU trùm lên chính sách Audit
này
• 1 GPO có độ ưu tiên cao hơn trùm lên chính sách này
• Thiết lập do chính sách của 1 site, 1 domain, hoặc 1 OU có bao gồm chính sách
audit này nhưng không được sao lưu sang các máy tính khác
Giám sát đối tượng truy cập
• Nắm được sự kế thừa ảnh hưởng như thế nào đến file và thư mục giám sát
• Kiểm thử 1 audit rule cho 1 file hoặc 1 thư mục
• Mở và đóng file hoặc thư mục
• Xem security log để đảm bảo Event ID 4663 bị ghi lại
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 20
Các thiết lập Giám sát nhất định cho 1
file hoặc thư mục
Thay đổi danh sách điều khiển truy cập hệ thống (SACL)
Properties
Advanced
Auditing
Edit
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 21
Kích hoạt chính sách giám sát
Kích hoạt sự giám sát cho 1 đối tượng truy cập: thành
công (Success) và/hoặc thất bại (Failure)
GPO phải có phạm vi là server
Thiết lập chính sách
Success/Failure phải
khớp với các thiết lập
giám sát
(success/failure)
Kích hoạt sự giám sát cho 1 đối tượng truy cập: thành
công (Success) và/hoặc thất bại (Failure)
GPO phải có phạm vi là server
Thiết lập chính sách
Success/Failure phải
khớp với các thiết lập
giám sát
(success/failure)
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 22
Chính sách Software Restriction
• Cơ chế policy-driven để xác định và điều khiển phần mềm trên một
máy trạm
• Cơ chế hạn chế cài đặt phần mềm và virus
• Gồm 2 phần:
• Một quy tắc mặc định với 3 tùy chọn: Unrestricted, Basic,
và Disallowed
• Các ngoại lệ cho quy tắc mặc định
• Cơ chế policy-driven để xác định và điều khiển phần mềm trên một
máy trạm
• Cơ chế hạn chế cài đặt phần mềm và virus
• Gồm 2 phần:
• Một quy tắc mặc định với 3 tùy chọn: Unrestricted, Basic,
và Disallowed
• Các ngoại lệ cho quy tắc mặc định
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 23
Các tùy chọn cho việc cấu hình chính sách
Software Restriction
Certificate Rule
• Kiểm tra chữ ký số trên ứng dụng
• Dùng khi muốn hạn chế các ứng
dụng Win32 và ActiveX
Certificate Rule
• Kiểm tra chữ ký số trên ứng dụng
• Dùng khi muốn hạn chế các ứng
dụng Win32 và ActiveX
Hash Rule
• Sử dụng hàm băm MD5 hoặc
SHA1 của 1 file để đảm bảo tính
duy nhất
• Dùng để cho phép hoặc cấm 1
phiên bản file nào đó thực thi
Hash Rule
• Sử dụng hàm băm MD5 hoặc
SHA1 của 1 file để đảm bảo tính
duy nhất
• Dùng để cho phép hoặc cấm 1
phiên bản file nào đó thực thi
Certificate Rule
• Kiểm tra chữ ký số trên ứng dụng
• Dùng khi muốn hạn chế các ứng
dụng Win32 và ActiveX
Internet Zone Rule
• Kiểm soát làm thể nào để có thể
truy cập vào Internet Zones
• Dùng trong môi trường bảo mật
cao để kiểm soát truy cập vào ứng
dụng Web
Internet Zone Rule
• Kiểm soát làm thể nào để có thể
truy cập vào Internet Zones
• Dùng trong môi trường bảo mật
cao để kiểm soát truy cập vào ứng
dụng Web
Hash Rule
• Sử dụng hàm băm MD5 hoặc
SHA1 của 1 file để đảm bảo tính
duy nhất
• Dùng để cho phép hoặc cấm 1
phiên bản file nào đó thực thi
Path Rule
• Dùng khi hạn chế 1 đường dẫn file
• Dùng khi nhiều file tồn tại cho
cùng 1 ứng dụng
• Cần thiết khi SRPs là hạn chế
Path Rule
• Dùng khi hạn chế 1 đường dẫn file
• Dùng khi nhiều file tồn tại cho
cùng 1 ứng dụng
• Cần thiết khi SRPs là hạn chế
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 24
Giới thiệu về các chính sách kiểm soát
ứng dụng
Các chính sách kiểm soát ứng dụng được ứng dụng trong Windows Server 2008R2 và
trong Windows 7 bằng việc dùng AppLocker
Các chính sách kiểm soát ứng dụng được ứng dụng trong Windows Server 2008R2 và
trong Windows 7 bằng việc dùng AppLocker
AppLocker gồm các khả năng mới và mở rộng giúp là giảm sự quá tải người quản trị và
kiểm soát bằng cách nào người dùng có thể truy cập và sử dụng các file, ví dụ các file
thực thi .exe, scripts, Windows Installer files (.msi and .msp files), vàDLLs
AppLocker gồm các khả năng mới và mở rộng giúp là giảm sự quá tải người quản trị và
kiểm soát bằng cách nào người dùng có thể truy cập và sử dụng các file, ví dụ các file
thực thi .exe, scripts, Windows Installer files (.msi and .msp files), vàDLLs
Ưu điểm của AppLocker:
• Kiểm soát các user có thể truy cập và chạy tất cả các kiểu ứng dụng
AppLocker gồm các khả năng mới và mở rộng giúp là giảm sự quá tải người quản trị và
kiểm soát bằng cách nào người dùng có thể truy cập và sử dụng các file, ví dụ các file
thực thi .exe, scripts, Windows Installer files (.msi and .msp files), vàDLLs
• Cho phép sự định nghĩa các rule dựa trên sự thay đổi rộng lớn của biến
• Cung cấp cho việc Import và Export chính sách AppLocker
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 25
So sánh Applocker và Software
Restriction
Feature SRP AppLocker
Rule scope 1 người dùng hoặc 1 nhóm xác định
(mỗi GPO)
Nhiều người dùng hoặc
nhiều nhóm (mỗi rule)
Rule conditions provided File hash, path, certificate, registry
path, Internet zone
File hash, path, publisher
Rule types provided Cho phép và cấm Cho phép và cấm
Default Rule action Cho phép và cấm Mặc định cấmDefault Rule action Cho phép và cấm Mặc định cấm
Audit only mode No Yes
Wizard to create multiple rules at
one time
No Yes
Policy import or export No Yes
Rule collection No Yes
Windows PowerShell support No Yes
Custom error messages No YesBài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 26
Security Template
Security template:
Cho phép administrator áp đặt nhiều thiết lập bảo mật
phù hợp tới nhiều máy tính.
Có thể áp dụng qua Group Policy
Có thể thiết kế dựa trên vai trò máy chủ
Có thể áp dụng qua Group Policy
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 27
Security Configuration Wizard
SCW cung cấp hướng dẫn giảm thiểu
tấn công bề mặt:
• Vô hiệu hóa các dịch vụ
IIS không cần thiết
• Chặn các cổng không sử
dụng và bảo mật các cổng
đã được mở bằng IPSec
• Giảm tiếp xúc tới các giao
thức
• Cấu hình các thiết lập
để kiểm tra
Security Configuration Wizard hỗ trợ:
• Rollback
• Phân tích
• Cấu hình từ xa
• Hỗ trợ sử dụng dòng lệnh
• Tích hợp Active Directory
• Sửa đổi chính sách
• Vô hiệu hóa các dịch vụ
IIS không cần thiết
• Chặn các cổng không sử
dụng và bảo mật các cổng
đã được mở bằng IPSec
• Giảm tiếp xúc tới các giao
thức
• Cấu hình các thiết lập
để kiểm tra
• Rollback
• Phân tích
• Cấu hình từ xa
• Hỗ trợ sử dụng dòng lệnh
• Tích hợp Active Directory
• Sửa đổi chính sách
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 28
Các tùy chọn cho tích hợp Security
Configuration Wizard và Security Template
Các tùy chọn:
• Các chính sách được tạo bằng SCW có thể được áp đặt tới 1 cá nhân
• Security Template có thể được đưa vào SCW
Tiện ích dòng lệnh Scwcmd.exe có thể sử dụng để chuyển đổi chính sách XML vào
1 GPO
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 29
Cấu hình bảo mật và công cụ phân tích
Template SettingTemplate Setting Actual SettingActual SettingSetting That Does
Not Match Template
Setting That Does
Not Match Template
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 30
Quản trị chính sách bảo mật
Chính sách bảo mật IT Enterprise
 cấu hình bảo mật
 Các thiết lập
Quản trị cấu hình bảo mật
Tạo chính sách bảo mật
Áp dụng chính sách bảo mật cho 1 hoặc nhiều hệ thống
Phân tích các thiết lập bảo mật dựa vi phạm chính sách
Cập nhật chính sách, hoặc chỉnh sửa các điểm sai khác trong hệ thống
Các công cụ
Local Group Policy and Domain Group Policy
Security Templates snap-in
Security Configuration Wizard
Chính sách bảo mật IT Enterprise
 cấu hình bảo mật
 Các thiết lập
Quản trị cấu hình bảo mật
Tạo chính sách bảo mật
Áp dụng chính sách bảo mật cho 1 hoặc nhiều hệ thống
Phân tích các thiết lập bảo mật dựa vi phạm chính sách
Cập nhật chính sách, hoặc chỉnh sửa các điểm sai khác trong hệ thống
Các công cụ
Local Group Policy and Domain Group Policy
Security Templates snap-in
Security Configuration Wizard
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 31
Local Security Policy Domain Group Policy
Cấu hình Local Security Policy
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 32
Tổng kết bài học
Khái niệm về Security Policy, Account Policy, Local Policy
Chính sách mặc định và chính sách bảo mật mặc định
của DC
Chính sách nhóm, nhóm hạn chế và chính sách Fine-
Grained Password
Khái niệm về Auditing và Audit policy
Chính sách hạn chế phần mềm và khác biệt so với
Applocker
Khái niệm về Security Template và Security Configuration
Wizard
Khái niệm về Security Policy, Account Policy, Local Policy
Chính sách mặc định và chính sách bảo mật mặc định
của DC
Chính sách nhóm, nhóm hạn chế và chính sách Fine-
Grained Password
Khái niệm về Auditing và Audit policy
Chính sách hạn chế phần mềm và khác biệt so với
Applocker
Khái niệm về Security Template và Security Configuration
Wizard
Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 33

More Related Content

What's hot

Bài 7: Xác thực và quản lý tài khoản - Giáo trình FPT
Bài 7: Xác thực và quản lý tài khoản - Giáo trình FPTBài 7: Xác thực và quản lý tài khoản - Giáo trình FPT
Bài 7: Xác thực và quản lý tài khoản - Giáo trình FPTMasterCode.vn
 
Bài 6: Triển khai hạ tầng chính sách nhóm (GP) - Giáo trình FPT
Bài 6: Triển khai hạ tầng chính sách nhóm (GP) - Giáo trình FPTBài 6: Triển khai hạ tầng chính sách nhóm (GP) - Giáo trình FPT
Bài 6: Triển khai hạ tầng chính sách nhóm (GP) - Giáo trình FPTMasterCode.vn
 
Tài liệu hướng dẫn quản lý user, phân quyền trong Ubuntu (linux) - 10B4 Fithou
Tài liệu hướng dẫn quản lý user, phân quyền trong Ubuntu (linux) - 10B4 FithouTài liệu hướng dẫn quản lý user, phân quyền trong Ubuntu (linux) - 10B4 Fithou
Tài liệu hướng dẫn quản lý user, phân quyền trong Ubuntu (linux) - 10B4 FithouTú Cao
 
Trình bày các tác vụ quản lý Domain với Windows Server 2008
Trình bày các tác vụ quản lý Domain với Windows Server 2008Trình bày các tác vụ quản lý Domain với Windows Server 2008
Trình bày các tác vụ quản lý Domain với Windows Server 2008Tú Cao
 
Hướng dẫn nâng cấp Windows Server 2008 lên thành Domain Controller
Hướng dẫn nâng cấp Windows Server 2008 lên thành Domain ControllerHướng dẫn nâng cấp Windows Server 2008 lên thành Domain Controller
Hướng dẫn nâng cấp Windows Server 2008 lên thành Domain ControllerThức Nguyễn Văn
 
120 cau mon quan tri mang public_sv
120 cau mon quan tri mang public_sv120 cau mon quan tri mang public_sv
120 cau mon quan tri mang public_svTin Thấy
 
[123doc.vn] xay dung he thong mang cho doanh nhiep nho
[123doc.vn]   xay dung he thong mang cho doanh nhiep nho[123doc.vn]   xay dung he thong mang cho doanh nhiep nho
[123doc.vn] xay dung he thong mang cho doanh nhiep nhoNguyễn Quân
 
Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...
Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...
Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...Lương Kiên
 
Giáo trình bảo mật thông tin
Giáo trình bảo mật thông tinGiáo trình bảo mật thông tin
Giáo trình bảo mật thông tinjackjohn45
 
Hệ điều hành (chương 5)
Hệ điều hành (chương 5)Hệ điều hành (chương 5)
Hệ điều hành (chương 5)realpotter
 
Giáo trình Quản trị mạng
Giáo trình Quản trị mạngGiáo trình Quản trị mạng
Giáo trình Quản trị mạngTran Tien
 
Bài 2 Cài đặt Windows Server 2008 - Giáo trình FPT
Bài 2 Cài đặt Windows Server 2008 - Giáo trình FPTBài 2 Cài đặt Windows Server 2008 - Giáo trình FPT
Bài 2 Cài đặt Windows Server 2008 - Giáo trình FPTMasterCode.vn
 
Bài giảng thực hành windows server 2008 776030
Bài giảng thực hành windows server 2008 776030Bài giảng thực hành windows server 2008 776030
Bài giảng thực hành windows server 2008 776030trucmt2000
 
Triển khai phần mềm trên domain
Triển khai phần mềm trên domainTriển khai phần mềm trên domain
Triển khai phần mềm trên domainPham Viet Dung
 

What's hot (20)

Bài 7: Xác thực và quản lý tài khoản - Giáo trình FPT
Bài 7: Xác thực và quản lý tài khoản - Giáo trình FPTBài 7: Xác thực và quản lý tài khoản - Giáo trình FPT
Bài 7: Xác thực và quản lý tài khoản - Giáo trình FPT
 
Bài 6: Triển khai hạ tầng chính sách nhóm (GP) - Giáo trình FPT
Bài 6: Triển khai hạ tầng chính sách nhóm (GP) - Giáo trình FPTBài 6: Triển khai hạ tầng chính sách nhóm (GP) - Giáo trình FPT
Bài 6: Triển khai hạ tầng chính sách nhóm (GP) - Giáo trình FPT
 
Tài liệu hướng dẫn quản lý user, phân quyền trong Ubuntu (linux) - 10B4 Fithou
Tài liệu hướng dẫn quản lý user, phân quyền trong Ubuntu (linux) - 10B4 FithouTài liệu hướng dẫn quản lý user, phân quyền trong Ubuntu (linux) - 10B4 Fithou
Tài liệu hướng dẫn quản lý user, phân quyền trong Ubuntu (linux) - 10B4 Fithou
 
Đề tài: Thiết kế hệ thống mạng cho một công ty, HOT, 9đ
Đề tài: Thiết kế hệ thống mạng cho một công ty, HOT, 9đĐề tài: Thiết kế hệ thống mạng cho một công ty, HOT, 9đ
Đề tài: Thiết kế hệ thống mạng cho một công ty, HOT, 9đ
 
Trình bày các tác vụ quản lý Domain với Windows Server 2008
Trình bày các tác vụ quản lý Domain với Windows Server 2008Trình bày các tác vụ quản lý Domain với Windows Server 2008
Trình bày các tác vụ quản lý Domain với Windows Server 2008
 
Hướng dẫn nâng cấp Windows Server 2008 lên thành Domain Controller
Hướng dẫn nâng cấp Windows Server 2008 lên thành Domain ControllerHướng dẫn nâng cấp Windows Server 2008 lên thành Domain Controller
Hướng dẫn nâng cấp Windows Server 2008 lên thành Domain Controller
 
Chuyên đề group policy
Chuyên đề group policyChuyên đề group policy
Chuyên đề group policy
 
Thiết kế mạng LAN cho công ty 2 tầng
Thiết kế mạng LAN cho công ty 2 tầng Thiết kế mạng LAN cho công ty 2 tầng
Thiết kế mạng LAN cho công ty 2 tầng
 
120 cau mon quan tri mang public_sv
120 cau mon quan tri mang public_sv120 cau mon quan tri mang public_sv
120 cau mon quan tri mang public_sv
 
[123doc.vn] xay dung he thong mang cho doanh nhiep nho
[123doc.vn]   xay dung he thong mang cho doanh nhiep nho[123doc.vn]   xay dung he thong mang cho doanh nhiep nho
[123doc.vn] xay dung he thong mang cho doanh nhiep nho
 
Phan1.3
Phan1.3Phan1.3
Phan1.3
 
Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...
Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...
Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...
 
Giáo trình bảo mật thông tin
Giáo trình bảo mật thông tinGiáo trình bảo mật thông tin
Giáo trình bảo mật thông tin
 
Hệ điều hành (chương 5)
Hệ điều hành (chương 5)Hệ điều hành (chương 5)
Hệ điều hành (chương 5)
 
Giáo trình Quản trị mạng
Giáo trình Quản trị mạngGiáo trình Quản trị mạng
Giáo trình Quản trị mạng
 
Mang vpn
Mang vpnMang vpn
Mang vpn
 
Bài 2 Cài đặt Windows Server 2008 - Giáo trình FPT
Bài 2 Cài đặt Windows Server 2008 - Giáo trình FPTBài 2 Cài đặt Windows Server 2008 - Giáo trình FPT
Bài 2 Cài đặt Windows Server 2008 - Giáo trình FPT
 
Bài giảng thực hành windows server 2008 776030
Bài giảng thực hành windows server 2008 776030Bài giảng thực hành windows server 2008 776030
Bài giảng thực hành windows server 2008 776030
 
Triển khai phần mềm trên domain
Triển khai phần mềm trên domainTriển khai phần mềm trên domain
Triển khai phần mềm trên domain
 
Xây Dựng Mạng LAN
Xây Dựng Mạng LANXây Dựng Mạng LAN
Xây Dựng Mạng LAN
 

Similar to Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy) - Giáo trình FPT

Lecture chinhsachnhom
Lecture chinhsachnhomLecture chinhsachnhom
Lecture chinhsachnhomLã Đạt
 
Tìm hiểu group policy object và các ví dụ
Tìm hiểu group policy object và các ví dụTìm hiểu group policy object và các ví dụ
Tìm hiểu group policy object và các ví dụlaonap166
 
Gpo
GpoGpo
Gpoit
 
Bai 04 chinh sach he thong
Bai 04   chinh sach he thongBai 04   chinh sach he thong
Bai 04 chinh sach he thongVan Pham
 
Bai 05 chinh sach nhom
Bai 05   chinh sach nhomBai 05   chinh sach nhom
Bai 05 chinh sach nhomVan Pham
 
Mcsa 2012 local group policy
Mcsa 2012 local group policyMcsa 2012 local group policy
Mcsa 2012 local group policylaonap166
 
Slide Các kỹ thuật bảo trì phần mềm
Slide Các kỹ thuật bảo trì phần mềmSlide Các kỹ thuật bảo trì phần mềm
Slide Các kỹ thuật bảo trì phần mềmNguyễn Anh
 
đề Cương chi tiết
đề Cương chi tiếtđề Cương chi tiết
đề Cương chi tiếtNguyễn Long
 
Bao cao thuc tap athena chinh sua
Bao cao thuc tap athena chinh suaBao cao thuc tap athena chinh sua
Bao cao thuc tap athena chinh suaHình Vô
 
Bao cao thuc tap
Bao cao thuc tapBao cao thuc tap
Bao cao thuc tapHình Vô
 
Group policy cac thiet lap duoc luu nhu the nao
Group policy   cac thiet lap duoc luu nhu the naoGroup policy   cac thiet lap duoc luu nhu the nao
Group policy cac thiet lap duoc luu nhu the naoTrường Tiền
 
McAfee Data Loss Prevent Full
McAfee Data Loss Prevent Full McAfee Data Loss Prevent Full
McAfee Data Loss Prevent Full Vu Duc Du
 
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPTBài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPTMasterCode.vn
 
Bài Giảng IC3 GS4: Xử lý sự cố
Bài Giảng IC3 GS4: Xử lý sự cốBài Giảng IC3 GS4: Xử lý sự cố
Bài Giảng IC3 GS4: Xử lý sự cốDũng Nguyễn Văn
 
1.+tai+lieu+thiet+ke
1.+tai+lieu+thiet+ke1.+tai+lieu+thiet+ke
1.+tai+lieu+thiet+keLinh Hoang
 
ITLC Hanoi - Triển khai ceph hướng tới Cloud Storage và hỗ trợ OpenStack - du...
ITLC Hanoi - Triển khai ceph hướng tới Cloud Storage và hỗ trợ OpenStack - du...ITLC Hanoi - Triển khai ceph hướng tới Cloud Storage và hỗ trợ OpenStack - du...
ITLC Hanoi - Triển khai ceph hướng tới Cloud Storage và hỗ trợ OpenStack - du...Le Cuong
 

Similar to Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy) - Giáo trình FPT (20)

Lecture chinhsachnhom
Lecture chinhsachnhomLecture chinhsachnhom
Lecture chinhsachnhom
 
Tìm hiểu group policy object và các ví dụ
Tìm hiểu group policy object và các ví dụTìm hiểu group policy object và các ví dụ
Tìm hiểu group policy object và các ví dụ
 
Gpo
GpoGpo
Gpo
 
Bai 04 chinh sach he thong
Bai 04   chinh sach he thongBai 04   chinh sach he thong
Bai 04 chinh sach he thong
 
Buoi2
Buoi2Buoi2
Buoi2
 
Bai 05 chinh sach nhom
Bai 05   chinh sach nhomBai 05   chinh sach nhom
Bai 05 chinh sach nhom
 
Mcsa 2012 local group policy
Mcsa 2012 local group policyMcsa 2012 local group policy
Mcsa 2012 local group policy
 
Slide Các kỹ thuật bảo trì phần mềm
Slide Các kỹ thuật bảo trì phần mềmSlide Các kỹ thuật bảo trì phần mềm
Slide Các kỹ thuật bảo trì phần mềm
 
đề Cương chi tiết
đề Cương chi tiếtđề Cương chi tiết
đề Cương chi tiết
 
Bao cao thuc tap athena chinh sua
Bao cao thuc tap athena chinh suaBao cao thuc tap athena chinh sua
Bao cao thuc tap athena chinh sua
 
Bao cao thuc tap
Bao cao thuc tapBao cao thuc tap
Bao cao thuc tap
 
Group policy cac thiet lap duoc luu nhu the nao
Group policy   cac thiet lap duoc luu nhu the naoGroup policy   cac thiet lap duoc luu nhu the nao
Group policy cac thiet lap duoc luu nhu the nao
 
McAfee Data Loss Prevent Full
McAfee Data Loss Prevent Full McAfee Data Loss Prevent Full
McAfee Data Loss Prevent Full
 
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPTBài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
 
Bài Giảng IC3 GS4: Xử lý sự cố
Bài Giảng IC3 GS4: Xử lý sự cốBài Giảng IC3 GS4: Xử lý sự cố
Bài Giảng IC3 GS4: Xử lý sự cố
 
7314 l06 slides_vn
7314 l06 slides_vn7314 l06 slides_vn
7314 l06 slides_vn
 
1.+tai+lieu+thiet+ke
1.+tai+lieu+thiet+ke1.+tai+lieu+thiet+ke
1.+tai+lieu+thiet+ke
 
ITLC Hanoi - Triển khai ceph hướng tới Cloud Storage và hỗ trợ OpenStack - du...
ITLC Hanoi - Triển khai ceph hướng tới Cloud Storage và hỗ trợ OpenStack - du...ITLC Hanoi - Triển khai ceph hướng tới Cloud Storage và hỗ trợ OpenStack - du...
ITLC Hanoi - Triển khai ceph hướng tới Cloud Storage và hỗ trợ OpenStack - du...
 
Bc athena
Bc athenaBc athena
Bc athena
 
Gpedit.msc
Gpedit.mscGpedit.msc
Gpedit.msc
 

More from MasterCode.vn

Pd ftai lieu-tieng-anh-cho-nguoi-moi-bat-dau-mastercode.vn
Pd ftai lieu-tieng-anh-cho-nguoi-moi-bat-dau-mastercode.vnPd ftai lieu-tieng-anh-cho-nguoi-moi-bat-dau-mastercode.vn
Pd ftai lieu-tieng-anh-cho-nguoi-moi-bat-dau-mastercode.vnMasterCode.vn
 
Why apps-succeed-wpr-mastercode.vn
Why apps-succeed-wpr-mastercode.vnWhy apps-succeed-wpr-mastercode.vn
Why apps-succeed-wpr-mastercode.vnMasterCode.vn
 
Dzone performancemonitoring2016-mastercode.vn
Dzone performancemonitoring2016-mastercode.vnDzone performancemonitoring2016-mastercode.vn
Dzone performancemonitoring2016-mastercode.vnMasterCode.vn
 
Google công bố thông tin lịch xu hướng ngành 2017 mastercode.vn
Google công bố thông tin lịch xu hướng ngành 2017 mastercode.vnGoogle công bố thông tin lịch xu hướng ngành 2017 mastercode.vn
Google công bố thông tin lịch xu hướng ngành 2017 mastercode.vnMasterCode.vn
 
Nghiên cứu về khách hàng mastercode.vn
Nghiên cứu về khách hàng mastercode.vnNghiên cứu về khách hàng mastercode.vn
Nghiên cứu về khách hàng mastercode.vnMasterCode.vn
 
Lập trình sáng tạo creative computing textbook mastercode.vn
Lập trình sáng tạo creative computing textbook mastercode.vnLập trình sáng tạo creative computing textbook mastercode.vn
Lập trình sáng tạo creative computing textbook mastercode.vnMasterCode.vn
 
Pd fbuoi7 8--tongquanseo-mastercode.vn
Pd fbuoi7 8--tongquanseo-mastercode.vnPd fbuoi7 8--tongquanseo-mastercode.vn
Pd fbuoi7 8--tongquanseo-mastercode.vnMasterCode.vn
 
Pd fbuoi5 6-ảnh hưởng của social media tới kết quả seo-mastercode.vn
Pd fbuoi5 6-ảnh hưởng của social media tới kết quả seo-mastercode.vnPd fbuoi5 6-ảnh hưởng của social media tới kết quả seo-mastercode.vn
Pd fbuoi5 6-ảnh hưởng của social media tới kết quả seo-mastercode.vnMasterCode.vn
 
Pdf buoi3 4-link-building-tran-ngoc-chinh-mastercode.vn
Pdf buoi3 4-link-building-tran-ngoc-chinh-mastercode.vnPdf buoi3 4-link-building-tran-ngoc-chinh-mastercode.vn
Pdf buoi3 4-link-building-tran-ngoc-chinh-mastercode.vnMasterCode.vn
 
Pd fbuoi3 4-kỹ thuật xây dựng back link-mastercode.vn
Pd fbuoi3 4-kỹ thuật xây dựng back link-mastercode.vnPd fbuoi3 4-kỹ thuật xây dựng back link-mastercode.vn
Pd fbuoi3 4-kỹ thuật xây dựng back link-mastercode.vnMasterCode.vn
 
Pd fbuoi2 onpage – tối ưu hóa trang web-mastercode.vn
Pd fbuoi2 onpage – tối ưu hóa trang web-mastercode.vnPd fbuoi2 onpage – tối ưu hóa trang web-mastercode.vn
Pd fbuoi2 onpage – tối ưu hóa trang web-mastercode.vnMasterCode.vn
 
Pd fbuoi1 giới thiệu seo tools cơ bản-seo manager + seo guy-mastercode.vn
Pd fbuoi1 giới thiệu seo tools cơ bản-seo manager + seo guy-mastercode.vnPd fbuoi1 giới thiệu seo tools cơ bản-seo manager + seo guy-mastercode.vn
Pd fbuoi1 giới thiệu seo tools cơ bản-seo manager + seo guy-mastercode.vnMasterCode.vn
 
Pdf buoi1 2-on-page-tran-ngoc-chinh-mastercode.vn
Pdf buoi1 2-on-page-tran-ngoc-chinh-mastercode.vnPdf buoi1 2-on-page-tran-ngoc-chinh-mastercode.vn
Pdf buoi1 2-on-page-tran-ngoc-chinh-mastercode.vnMasterCode.vn
 
Pdfbài 7 máy tính xác tay và máy in bảo trì sự cố máy tính-mastercode.vn
Pdfbài 7 máy tính xác tay và máy in   bảo trì sự cố máy tính-mastercode.vnPdfbài 7 máy tính xác tay và máy in   bảo trì sự cố máy tính-mastercode.vn
Pdfbài 7 máy tính xác tay và máy in bảo trì sự cố máy tính-mastercode.vnMasterCode.vn
 
Pdfbài 6 bảo trì máy tính bảo trì sự cố máy tính-mastercode.vn
Pdfbài 6 bảo trì máy tính   bảo trì sự cố máy tính-mastercode.vnPdfbài 6 bảo trì máy tính   bảo trì sự cố máy tính-mastercode.vn
Pdfbài 6 bảo trì máy tính bảo trì sự cố máy tính-mastercode.vnMasterCode.vn
 
Pdfbài 5 bảo trì và tối ưu windows bảo trì sự cố máy tính-mastercode.vn
Pdfbài 5 bảo trì và tối ưu windows   bảo trì sự cố máy tính-mastercode.vnPdfbài 5 bảo trì và tối ưu windows   bảo trì sự cố máy tính-mastercode.vn
Pdfbài 5 bảo trì và tối ưu windows bảo trì sự cố máy tính-mastercode.vnMasterCode.vn
 
Pdfbài 4 ổ cứng hard drive bảo trì sự cố máy tính-mastercode.vn
Pdfbài 4 ổ cứng hard drive   bảo trì sự cố máy tính-mastercode.vnPdfbài 4 ổ cứng hard drive   bảo trì sự cố máy tính-mastercode.vn
Pdfbài 4 ổ cứng hard drive bảo trì sự cố máy tính-mastercode.vnMasterCode.vn
 
Pdfbài 3 cpu và ram bảo trì sự cố máy tính-mastercode.vn
Pdfbài 3 cpu và ram   bảo trì sự cố máy tính-mastercode.vnPdfbài 3 cpu và ram   bảo trì sự cố máy tính-mastercode.vn
Pdfbài 3 cpu và ram bảo trì sự cố máy tính-mastercode.vnMasterCode.vn
 
Pdfbài 1 giới thiệu chung về phần cứng bảo trì sự cố máy tính-mastercode.vn
Pdfbài 1 giới thiệu chung về phần cứng   bảo trì sự cố máy tính-mastercode.vnPdfbài 1 giới thiệu chung về phần cứng   bảo trì sự cố máy tính-mastercode.vn
Pdfbài 1 giới thiệu chung về phần cứng bảo trì sự cố máy tính-mastercode.vnMasterCode.vn
 
Pdfbài 2 bo mạch chủ (main) bảo trì sự cố máy tính-mastercode.vn
Pdfbài 2 bo mạch chủ (main)   bảo trì sự cố máy tính-mastercode.vnPdfbài 2 bo mạch chủ (main)   bảo trì sự cố máy tính-mastercode.vn
Pdfbài 2 bo mạch chủ (main) bảo trì sự cố máy tính-mastercode.vnMasterCode.vn
 

More from MasterCode.vn (20)

Pd ftai lieu-tieng-anh-cho-nguoi-moi-bat-dau-mastercode.vn
Pd ftai lieu-tieng-anh-cho-nguoi-moi-bat-dau-mastercode.vnPd ftai lieu-tieng-anh-cho-nguoi-moi-bat-dau-mastercode.vn
Pd ftai lieu-tieng-anh-cho-nguoi-moi-bat-dau-mastercode.vn
 
Why apps-succeed-wpr-mastercode.vn
Why apps-succeed-wpr-mastercode.vnWhy apps-succeed-wpr-mastercode.vn
Why apps-succeed-wpr-mastercode.vn
 
Dzone performancemonitoring2016-mastercode.vn
Dzone performancemonitoring2016-mastercode.vnDzone performancemonitoring2016-mastercode.vn
Dzone performancemonitoring2016-mastercode.vn
 
Google công bố thông tin lịch xu hướng ngành 2017 mastercode.vn
Google công bố thông tin lịch xu hướng ngành 2017 mastercode.vnGoogle công bố thông tin lịch xu hướng ngành 2017 mastercode.vn
Google công bố thông tin lịch xu hướng ngành 2017 mastercode.vn
 
Nghiên cứu về khách hàng mastercode.vn
Nghiên cứu về khách hàng mastercode.vnNghiên cứu về khách hàng mastercode.vn
Nghiên cứu về khách hàng mastercode.vn
 
Lập trình sáng tạo creative computing textbook mastercode.vn
Lập trình sáng tạo creative computing textbook mastercode.vnLập trình sáng tạo creative computing textbook mastercode.vn
Lập trình sáng tạo creative computing textbook mastercode.vn
 
Pd fbuoi7 8--tongquanseo-mastercode.vn
Pd fbuoi7 8--tongquanseo-mastercode.vnPd fbuoi7 8--tongquanseo-mastercode.vn
Pd fbuoi7 8--tongquanseo-mastercode.vn
 
Pd fbuoi5 6-ảnh hưởng của social media tới kết quả seo-mastercode.vn
Pd fbuoi5 6-ảnh hưởng của social media tới kết quả seo-mastercode.vnPd fbuoi5 6-ảnh hưởng của social media tới kết quả seo-mastercode.vn
Pd fbuoi5 6-ảnh hưởng của social media tới kết quả seo-mastercode.vn
 
Pdf buoi3 4-link-building-tran-ngoc-chinh-mastercode.vn
Pdf buoi3 4-link-building-tran-ngoc-chinh-mastercode.vnPdf buoi3 4-link-building-tran-ngoc-chinh-mastercode.vn
Pdf buoi3 4-link-building-tran-ngoc-chinh-mastercode.vn
 
Pd fbuoi3 4-kỹ thuật xây dựng back link-mastercode.vn
Pd fbuoi3 4-kỹ thuật xây dựng back link-mastercode.vnPd fbuoi3 4-kỹ thuật xây dựng back link-mastercode.vn
Pd fbuoi3 4-kỹ thuật xây dựng back link-mastercode.vn
 
Pd fbuoi2 onpage – tối ưu hóa trang web-mastercode.vn
Pd fbuoi2 onpage – tối ưu hóa trang web-mastercode.vnPd fbuoi2 onpage – tối ưu hóa trang web-mastercode.vn
Pd fbuoi2 onpage – tối ưu hóa trang web-mastercode.vn
 
Pd fbuoi1 giới thiệu seo tools cơ bản-seo manager + seo guy-mastercode.vn
Pd fbuoi1 giới thiệu seo tools cơ bản-seo manager + seo guy-mastercode.vnPd fbuoi1 giới thiệu seo tools cơ bản-seo manager + seo guy-mastercode.vn
Pd fbuoi1 giới thiệu seo tools cơ bản-seo manager + seo guy-mastercode.vn
 
Pdf buoi1 2-on-page-tran-ngoc-chinh-mastercode.vn
Pdf buoi1 2-on-page-tran-ngoc-chinh-mastercode.vnPdf buoi1 2-on-page-tran-ngoc-chinh-mastercode.vn
Pdf buoi1 2-on-page-tran-ngoc-chinh-mastercode.vn
 
Pdfbài 7 máy tính xác tay và máy in bảo trì sự cố máy tính-mastercode.vn
Pdfbài 7 máy tính xác tay và máy in   bảo trì sự cố máy tính-mastercode.vnPdfbài 7 máy tính xác tay và máy in   bảo trì sự cố máy tính-mastercode.vn
Pdfbài 7 máy tính xác tay và máy in bảo trì sự cố máy tính-mastercode.vn
 
Pdfbài 6 bảo trì máy tính bảo trì sự cố máy tính-mastercode.vn
Pdfbài 6 bảo trì máy tính   bảo trì sự cố máy tính-mastercode.vnPdfbài 6 bảo trì máy tính   bảo trì sự cố máy tính-mastercode.vn
Pdfbài 6 bảo trì máy tính bảo trì sự cố máy tính-mastercode.vn
 
Pdfbài 5 bảo trì và tối ưu windows bảo trì sự cố máy tính-mastercode.vn
Pdfbài 5 bảo trì và tối ưu windows   bảo trì sự cố máy tính-mastercode.vnPdfbài 5 bảo trì và tối ưu windows   bảo trì sự cố máy tính-mastercode.vn
Pdfbài 5 bảo trì và tối ưu windows bảo trì sự cố máy tính-mastercode.vn
 
Pdfbài 4 ổ cứng hard drive bảo trì sự cố máy tính-mastercode.vn
Pdfbài 4 ổ cứng hard drive   bảo trì sự cố máy tính-mastercode.vnPdfbài 4 ổ cứng hard drive   bảo trì sự cố máy tính-mastercode.vn
Pdfbài 4 ổ cứng hard drive bảo trì sự cố máy tính-mastercode.vn
 
Pdfbài 3 cpu và ram bảo trì sự cố máy tính-mastercode.vn
Pdfbài 3 cpu và ram   bảo trì sự cố máy tính-mastercode.vnPdfbài 3 cpu và ram   bảo trì sự cố máy tính-mastercode.vn
Pdfbài 3 cpu và ram bảo trì sự cố máy tính-mastercode.vn
 
Pdfbài 1 giới thiệu chung về phần cứng bảo trì sự cố máy tính-mastercode.vn
Pdfbài 1 giới thiệu chung về phần cứng   bảo trì sự cố máy tính-mastercode.vnPdfbài 1 giới thiệu chung về phần cứng   bảo trì sự cố máy tính-mastercode.vn
Pdfbài 1 giới thiệu chung về phần cứng bảo trì sự cố máy tính-mastercode.vn
 
Pdfbài 2 bo mạch chủ (main) bảo trì sự cố máy tính-mastercode.vn
Pdfbài 2 bo mạch chủ (main)   bảo trì sự cố máy tính-mastercode.vnPdfbài 2 bo mạch chủ (main)   bảo trì sự cố máy tính-mastercode.vn
Pdfbài 2 bo mạch chủ (main) bảo trì sự cố máy tính-mastercode.vn
 

Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy) - Giáo trình FPT

  • 1. Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy) Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy)
  • 2. Nội dung bài học trước Cấu hình các thiết lập Group Policy Cấu hình Scripts và Folder Redirection với Group Policy Cấu hình Administrative Templates Triển khai cài đặt phần mềm bằng Group Policy Cấu hình Group Policy Preferences Giới thiệu về Group Policy Troubleshooting Khắc phục sự cố về ứng dụng trong Group Policy Khắc phục sự cố về thiết lập trong Group Policy Cấu hình các thiết lập Group Policy Cấu hình Scripts và Folder Redirection với Group Policy Cấu hình Administrative Templates Triển khai cài đặt phần mềm bằng Group Policy Cấu hình Group Policy Preferences Giới thiệu về Group Policy Troubleshooting Khắc phục sự cố về ứng dụng trong Group Policy Khắc phục sự cố về thiết lập trong Group Policy Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 2
  • 3. Mục tiêu bài học Quản trị nhóm người dùng bằng việc sử dụng các thiết lập chính sách nhóm Các thiết lập quản trị bảo mật Giám sát Chính sách hạn chế phần mềm và Applocker Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 3
  • 4. Chính sách bảo mật Chính sách bảo mật (Security Policy): Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 4
  • 5. Chính sách tài khoản Thiết lập mặc định Password Chính sách • Quản lý độ phức tạp và thời gian tồn tại của mật khẩu • Thời gian tối đa của 1 mật khẩu: 42 ngày • Thời gian tối thiểu của 1 mật khẩu: 1 ngày • Chiều dài tối thiểu:7 ký tự • Độ phức tạp: yêu cầu • Lưu trữ mật khẩu bằng mã hóa có khả năng khôi phục: tắt Account policies bao gồm: Chính sách tài khoản (Account policy) giảm thiểu các mối đe dọa tới tài khoản Password Account lockout Kerberos • Quản lý độ phức tạp và thời gian tồn tại của mật khẩu • Thời gian tối đa của 1 mật khẩu: 42 ngày • Thời gian tối thiểu của 1 mật khẩu: 1 ngày • Chiều dài tối thiểu:7 ký tự • Độ phức tạp: yêu cầu • Lưu trữ mật khẩu bằng mã hóa có khả năng khôi phục: tắt • Quản lý số lần nhập mật khẩu sai • Thời gian Lockout: duration not defined • Lockout threshold: 0 invalid logon attempts • Reset account lockout after: not defined • Là 1 nhóm các thuộc tính của chính sách bảo mật domain • Chỉ được dụng ở cấp độ Domain Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 5
  • 6. Chính sách cục bộ Các chính sách cục bộ của các máy tính chạy Windows 2000 và các hệ điều hành sau đó là 1 phần của Group Policy cục bộ Trong 1 workgroup, bạn phải cấu hình chính sách bảo mật cục bộ để cung cấp khả năng bảo mật  Chính sách cục bộ (Local Policies) xác định các tùy chọn bảo mật cho người dùng hoặc tài khoản cho các dịch vụ Domain Policy sẽ ghi đè lên Local Policies (chính sách cục bộ) trong trường hợp có xung đột.  Trong 1 workgroup, bạn phải cấu hình chính sách bảo mật cục bộ để cung cấp khả năng bảo mật  Bạn có thể gán quyền thông qua Local Group Policies Các tùy chọn bảo mật điều khiển nhiều khía cạnh khác nhau của 1 máy tính Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 6
  • 7. Chính sách bảo mật mạng là gì? Tách biệt các chính sách không dây đối với Windows XP và Windows Vista Chính sách cho Windows Vista bao gồm nhiều lựa chọn hơn cho mạng không dây Chính sách không dây của Windows Vista có thể cấm truy cập vào các mạng không dây Xác định khả năng sẵn sàng của mạng và các phương thức xác thực cho các kết nối không dây cho máy trạm Windows Vista và Windows XP và xác thực mạng LAN cho các máy trạm Windows Vista và Windows Server 2008 Chính sách không dây của Windows Vista có thể cấm truy cập vào các mạng không dây Cơ chế xác thực 802.1x có thể được cấu hình qua chính sách nhóm Chỉ từ phiên bản Vista trở đi mới có thể nhận các chính sách mạng dây Windows XP Windows Vista Không dây Chỉ mạng không dây Windows XP Windows Vista Mạng dâyGPO Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 7
  • 8. Chính sách mặc định của Domain Controller Ba khu vực cần phải được kiểm tra: Chính sách gán quyền người dùng: logging on locally, shutdown Chính sách Event Log: log size, retention Chính sách Security Options: auditing, devices, domain controller Chính sách Event Log: log size, retention Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 8
  • 9. Chính sách bảo mật Domain mặc định • Cung cấp các chính sách tài khoản Domain, các thiết lập khác không được cấu hình bởi mặc định • Sử dụng để cung cấp các thiết lập bảo mật sẽ ảnh hường tới toàn bộ Domain • Sử dụng Domain Policy để cung cấp các thiết lập bảo mật 1 cách tốt nhất. sử dụng các GPO để thiết lập các loại bảo mật khác nhau • Cung cấp các chính sách tài khoản Domain, các thiết lập khác không được cấu hình bởi mặc định • Sử dụng để cung cấp các thiết lập bảo mật sẽ ảnh hường tới toàn bộ Domain • Sử dụng Domain Policy để cung cấp các thiết lập bảo mật 1 cách tốt nhất. sử dụng các GPO để thiết lập các loại bảo mật khác nhau Domain Default domain policy Account and security settings Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 9
  • 10. Các đặc điểm của Security Policy Settings Khi kiểm tra Security Policy settings, xem xét: Các chính sách tài khoản được áp đặt tới máy trạm từ domain controller Domain Controller nhận các chính sách tài khoản từ 1 domain level policy Thiết lập bảo mật đến từ các GPO có mức ưu tiên cao nhất Domain Controller nhận các chính sách tài khoản từ 1 domain level policy Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 10
  • 11. Nhóm hạn chế Chính sách nhóm hạn chế (Restricted Groups) cho phép quản trị các thành viên của nhóm Members • Chính sách là dành cho 1 nhóm cục bộ • Xác định các thành viên (nhóm và người dùng) • Tính xác thực Member Of • Chính sách là dành cho 1 nhóm Domain • Xác định thành viên của nó trong một nhóm cục bộ • Tính lũy kế Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 11
  • 12. Xác định thành viên nhóm bằng các quyền ưu tiên chính sách nhóm Tạo, xóa, hoặc thay thế 1 nhóm cục bộ Sửa tên 1 nhóm cục bộ Thay đổi miêu tả Thay đổi thành viên nhóm Các quyền ưu tiên chính sách nhóm cục bộ có ở cả Cấu hình máy tính và Cấu hình người dùng Tạo, xóa, hoặc thay thế 1 nhóm cục bộ Sửa tên 1 nhóm cục bộ Thay đổi miêu tả Thay đổi thành viên nhóm Các quyền ưu tiên chính sách nhóm cục bộ có ở cả Cấu hình máy tính và Cấu hình người dùng Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 12
  • 13. Chính sách Fine-Grained Password Phải đổi password: 7 ngày Fine-grained passwords cho phép nhiều chính sách password đối tượng trong Domain Administrator group Manager group End user group Phải đổi password: 14 ngày Phải đổi password: 30 ngày Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 13
  • 14. Fine-Grained Password được thực thi như thế nào? Cần xem xét khi thực thi các PSO: Password Settings Container (PSC) và Password Setting Objects (PSO) là các lớp đối tượng trong Domain PSOs chỉ có thể áp dụng tới người dùng hoặc global groups PSOs có thể được tạo bằng ADSI Edit hoặc LDIFDE PSOs chỉ có thể áp dụng tới người dùng hoặc global groups Một PSO có sẵn các thiết lập sau: • Chính sách mật khẩu • Chính sách lockout tài khoản • Liên kết PSO • Quyền ưu tiên Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 14
  • 15. Thực thi chính sách Fine-Grained Password • Shadow groups có thể sử dụng để áp dụng PSO tới tất cả người dùng mà đã không sẵn sàng chia sẻ tới 1 global group • Một người dùng hoặc 1 nhóm có thể có nhiều PSO áp đặt tới Thuộc tính ưu tiên được dùng để giải quyết vấn đề xung đột • PSOs được liên kết trực tiếp tới người dùng, ghi đè lên PSO được liên kết tới 1 người dùng trong global groups • Nếu không có PSO, chính sách domain account thường sẽ được áp dụng • Shadow groups có thể sử dụng để áp dụng PSO tới tất cả người dùng mà đã không sẵn sàng chia sẻ tới 1 global group • Một người dùng hoặc 1 nhóm có thể có nhiều PSO áp đặt tới Thuộc tính ưu tiên được dùng để giải quyết vấn đề xung đột • PSOs được liên kết trực tiếp tới người dùng, ghi đè lên PSO được liên kết tới 1 người dùng trong global groups • Nếu không có PSO, chính sách domain account thường sẽ được áp dụng Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 15
  • 16. Hạn chế Group Membership Group Policy có thể điều khiển group membership: • Đối với bất kỳ nhóm trên một máy tính cục bộ: áp dụng một GPO cho OU để giữ tài khoản máy tính • Đối với bất kỳ nhóm trên AD DS: áp dụng 1 GPO tới Domain Controller Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 16
  • 17. Auditing là gì? • Auditing theo dõi người sử dụng và hoạt động hệ điều hành, và hồ sơ lựa chọn các sự kiện trong nhật ký an ninh ( Logs), chẳng hạn như: • Cái gì đã xảy ra? • Ai đã làm? • Khi nào? • Kết quả là gì? • sử dụng Auditing để: • Tạo 1 baseline • Phát hiện các mối đe dọa và tấn công • Xác định thiệt hại • Ngăn chặn các thiệt hại • sử dụng Auditing để: • Tạo 1 baseline • Phát hiện các mối đe dọa và tấn công • Xác định thiệt hại • Ngăn chặn các thiệt hại • Auditing kiểm soát truy cập vào các đối tượng, quản lý tài khoản, và người sử dụng đăng nhập và tắt máy Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 17
  • 18. Chính sách giám sát • Chính sách giám sát (Audit policy) xác định các sự kiện an ninh sẽ được báo cáo cho người quản trị mạng • Thiết lập 1 Audit Policy để: • Theo dõi sự thành công hay thất bại của sự kiện • Giảm thiểu sử dụng trái phép các nguồn tài nguyên • Duy trì một hồ sơ về hoạt động • Security events được lưu trong security logs • Chính sách giám sát (Audit policy) xác định các sự kiện an ninh sẽ được báo cáo cho người quản trị mạng • Thiết lập 1 Audit Policy để: • Theo dõi sự thành công hay thất bại của sự kiện • Giảm thiểu sử dụng trái phép các nguồn tài nguyên • Duy trì một hồ sơ về hoạt động • Security events được lưu trong security logs Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 18
  • 19. Các loại sự kiện để Audit • Tài khoản đăng nhập • Quản lý tài khoản • Truy cập Directory Service • Các thay đổi trong Directory Service • Sao lưu Directory Service • Chi tiết về sao lưu Directory Service • Đăng nhập • Đối tượng truy cập • Thay đổi chính sách • Quyền sử dụng • Theo dõi quá trình xử lý • Hệ thống • Tài khoản đăng nhập • Quản lý tài khoản • Truy cập Directory Service • Các thay đổi trong Directory Service • Sao lưu Directory Service • Chi tiết về sao lưu Directory Service • Đăng nhập • Đối tượng truy cập • Thay đổi chính sách • Quyền sử dụng • Theo dõi quá trình xử lý • Hệ thống Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 19
  • 20. Khắc phục sự cố chính sách Audit Kiểm tra Security Log trong Event Viewer Sau khi cấu hình audit, nó có thể vẫn không hoạt động do 1 số nguyên nhân sau: • Thiết lập do chính sách của 1 site, 1 domain, hoặc 1 OU trùm lên chính sách Audit này • 1 GPO có độ ưu tiên cao hơn trùm lên chính sách này • Thiết lập do chính sách của 1 site, 1 domain, hoặc 1 OU có bao gồm chính sách audit này nhưng không được sao lưu sang các máy tính khác Sau khi cấu hình audit, nó có thể vẫn không hoạt động do 1 số nguyên nhân sau: • Thiết lập do chính sách của 1 site, 1 domain, hoặc 1 OU trùm lên chính sách Audit này • 1 GPO có độ ưu tiên cao hơn trùm lên chính sách này • Thiết lập do chính sách của 1 site, 1 domain, hoặc 1 OU có bao gồm chính sách audit này nhưng không được sao lưu sang các máy tính khác Giám sát đối tượng truy cập • Nắm được sự kế thừa ảnh hưởng như thế nào đến file và thư mục giám sát • Kiểm thử 1 audit rule cho 1 file hoặc 1 thư mục • Mở và đóng file hoặc thư mục • Xem security log để đảm bảo Event ID 4663 bị ghi lại Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 20
  • 21. Các thiết lập Giám sát nhất định cho 1 file hoặc thư mục Thay đổi danh sách điều khiển truy cập hệ thống (SACL) Properties Advanced Auditing Edit Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 21
  • 22. Kích hoạt chính sách giám sát Kích hoạt sự giám sát cho 1 đối tượng truy cập: thành công (Success) và/hoặc thất bại (Failure) GPO phải có phạm vi là server Thiết lập chính sách Success/Failure phải khớp với các thiết lập giám sát (success/failure) Kích hoạt sự giám sát cho 1 đối tượng truy cập: thành công (Success) và/hoặc thất bại (Failure) GPO phải có phạm vi là server Thiết lập chính sách Success/Failure phải khớp với các thiết lập giám sát (success/failure) Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 22
  • 23. Chính sách Software Restriction • Cơ chế policy-driven để xác định và điều khiển phần mềm trên một máy trạm • Cơ chế hạn chế cài đặt phần mềm và virus • Gồm 2 phần: • Một quy tắc mặc định với 3 tùy chọn: Unrestricted, Basic, và Disallowed • Các ngoại lệ cho quy tắc mặc định • Cơ chế policy-driven để xác định và điều khiển phần mềm trên một máy trạm • Cơ chế hạn chế cài đặt phần mềm và virus • Gồm 2 phần: • Một quy tắc mặc định với 3 tùy chọn: Unrestricted, Basic, và Disallowed • Các ngoại lệ cho quy tắc mặc định Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 23
  • 24. Các tùy chọn cho việc cấu hình chính sách Software Restriction Certificate Rule • Kiểm tra chữ ký số trên ứng dụng • Dùng khi muốn hạn chế các ứng dụng Win32 và ActiveX Certificate Rule • Kiểm tra chữ ký số trên ứng dụng • Dùng khi muốn hạn chế các ứng dụng Win32 và ActiveX Hash Rule • Sử dụng hàm băm MD5 hoặc SHA1 của 1 file để đảm bảo tính duy nhất • Dùng để cho phép hoặc cấm 1 phiên bản file nào đó thực thi Hash Rule • Sử dụng hàm băm MD5 hoặc SHA1 của 1 file để đảm bảo tính duy nhất • Dùng để cho phép hoặc cấm 1 phiên bản file nào đó thực thi Certificate Rule • Kiểm tra chữ ký số trên ứng dụng • Dùng khi muốn hạn chế các ứng dụng Win32 và ActiveX Internet Zone Rule • Kiểm soát làm thể nào để có thể truy cập vào Internet Zones • Dùng trong môi trường bảo mật cao để kiểm soát truy cập vào ứng dụng Web Internet Zone Rule • Kiểm soát làm thể nào để có thể truy cập vào Internet Zones • Dùng trong môi trường bảo mật cao để kiểm soát truy cập vào ứng dụng Web Hash Rule • Sử dụng hàm băm MD5 hoặc SHA1 của 1 file để đảm bảo tính duy nhất • Dùng để cho phép hoặc cấm 1 phiên bản file nào đó thực thi Path Rule • Dùng khi hạn chế 1 đường dẫn file • Dùng khi nhiều file tồn tại cho cùng 1 ứng dụng • Cần thiết khi SRPs là hạn chế Path Rule • Dùng khi hạn chế 1 đường dẫn file • Dùng khi nhiều file tồn tại cho cùng 1 ứng dụng • Cần thiết khi SRPs là hạn chế Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 24
  • 25. Giới thiệu về các chính sách kiểm soát ứng dụng Các chính sách kiểm soát ứng dụng được ứng dụng trong Windows Server 2008R2 và trong Windows 7 bằng việc dùng AppLocker Các chính sách kiểm soát ứng dụng được ứng dụng trong Windows Server 2008R2 và trong Windows 7 bằng việc dùng AppLocker AppLocker gồm các khả năng mới và mở rộng giúp là giảm sự quá tải người quản trị và kiểm soát bằng cách nào người dùng có thể truy cập và sử dụng các file, ví dụ các file thực thi .exe, scripts, Windows Installer files (.msi and .msp files), vàDLLs AppLocker gồm các khả năng mới và mở rộng giúp là giảm sự quá tải người quản trị và kiểm soát bằng cách nào người dùng có thể truy cập và sử dụng các file, ví dụ các file thực thi .exe, scripts, Windows Installer files (.msi and .msp files), vàDLLs Ưu điểm của AppLocker: • Kiểm soát các user có thể truy cập và chạy tất cả các kiểu ứng dụng AppLocker gồm các khả năng mới và mở rộng giúp là giảm sự quá tải người quản trị và kiểm soát bằng cách nào người dùng có thể truy cập và sử dụng các file, ví dụ các file thực thi .exe, scripts, Windows Installer files (.msi and .msp files), vàDLLs • Cho phép sự định nghĩa các rule dựa trên sự thay đổi rộng lớn của biến • Cung cấp cho việc Import và Export chính sách AppLocker Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 25
  • 26. So sánh Applocker và Software Restriction Feature SRP AppLocker Rule scope 1 người dùng hoặc 1 nhóm xác định (mỗi GPO) Nhiều người dùng hoặc nhiều nhóm (mỗi rule) Rule conditions provided File hash, path, certificate, registry path, Internet zone File hash, path, publisher Rule types provided Cho phép và cấm Cho phép và cấm Default Rule action Cho phép và cấm Mặc định cấmDefault Rule action Cho phép và cấm Mặc định cấm Audit only mode No Yes Wizard to create multiple rules at one time No Yes Policy import or export No Yes Rule collection No Yes Windows PowerShell support No Yes Custom error messages No YesBài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 26
  • 27. Security Template Security template: Cho phép administrator áp đặt nhiều thiết lập bảo mật phù hợp tới nhiều máy tính. Có thể áp dụng qua Group Policy Có thể thiết kế dựa trên vai trò máy chủ Có thể áp dụng qua Group Policy Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 27
  • 28. Security Configuration Wizard SCW cung cấp hướng dẫn giảm thiểu tấn công bề mặt: • Vô hiệu hóa các dịch vụ IIS không cần thiết • Chặn các cổng không sử dụng và bảo mật các cổng đã được mở bằng IPSec • Giảm tiếp xúc tới các giao thức • Cấu hình các thiết lập để kiểm tra Security Configuration Wizard hỗ trợ: • Rollback • Phân tích • Cấu hình từ xa • Hỗ trợ sử dụng dòng lệnh • Tích hợp Active Directory • Sửa đổi chính sách • Vô hiệu hóa các dịch vụ IIS không cần thiết • Chặn các cổng không sử dụng và bảo mật các cổng đã được mở bằng IPSec • Giảm tiếp xúc tới các giao thức • Cấu hình các thiết lập để kiểm tra • Rollback • Phân tích • Cấu hình từ xa • Hỗ trợ sử dụng dòng lệnh • Tích hợp Active Directory • Sửa đổi chính sách Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 28
  • 29. Các tùy chọn cho tích hợp Security Configuration Wizard và Security Template Các tùy chọn: • Các chính sách được tạo bằng SCW có thể được áp đặt tới 1 cá nhân • Security Template có thể được đưa vào SCW Tiện ích dòng lệnh Scwcmd.exe có thể sử dụng để chuyển đổi chính sách XML vào 1 GPO Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 29
  • 30. Cấu hình bảo mật và công cụ phân tích Template SettingTemplate Setting Actual SettingActual SettingSetting That Does Not Match Template Setting That Does Not Match Template Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 30
  • 31. Quản trị chính sách bảo mật Chính sách bảo mật IT Enterprise  cấu hình bảo mật  Các thiết lập Quản trị cấu hình bảo mật Tạo chính sách bảo mật Áp dụng chính sách bảo mật cho 1 hoặc nhiều hệ thống Phân tích các thiết lập bảo mật dựa vi phạm chính sách Cập nhật chính sách, hoặc chỉnh sửa các điểm sai khác trong hệ thống Các công cụ Local Group Policy and Domain Group Policy Security Templates snap-in Security Configuration Wizard Chính sách bảo mật IT Enterprise  cấu hình bảo mật  Các thiết lập Quản trị cấu hình bảo mật Tạo chính sách bảo mật Áp dụng chính sách bảo mật cho 1 hoặc nhiều hệ thống Phân tích các thiết lập bảo mật dựa vi phạm chính sách Cập nhật chính sách, hoặc chỉnh sửa các điểm sai khác trong hệ thống Các công cụ Local Group Policy and Domain Group Policy Security Templates snap-in Security Configuration Wizard Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 31
  • 32. Local Security Policy Domain Group Policy Cấu hình Local Security Policy Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 32
  • 33. Tổng kết bài học Khái niệm về Security Policy, Account Policy, Local Policy Chính sách mặc định và chính sách bảo mật mặc định của DC Chính sách nhóm, nhóm hạn chế và chính sách Fine- Grained Password Khái niệm về Auditing và Audit policy Chính sách hạn chế phần mềm và khác biệt so với Applocker Khái niệm về Security Template và Security Configuration Wizard Khái niệm về Security Policy, Account Policy, Local Policy Chính sách mặc định và chính sách bảo mật mặc định của DC Chính sách nhóm, nhóm hạn chế và chính sách Fine- Grained Password Khái niệm về Auditing và Audit policy Chính sách hạn chế phần mềm và khác biệt so với Applocker Khái niệm về Security Template và Security Configuration Wizard Bài 8 - Triển khai bảo mật sử dụng chính sách nhóm (Group policy) 33