III. LOCAL SECURITY POLICY
CÁC BƯỚC TRIỂN KHAI:
1. Password Policy
2. Account Lockout Policy
3. User Rights Assignment
4. Network Access
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 2 máy
* PC01: Windows Server 2016
* PC02: Windows Server 2016
– 2 máy tắt Firewall -> Kiểm tra đường truyền bằng lệnh PING
B- THỰC HIỆN
1. Password Policy (Thực hiện trên PC01)
– Log on Administrator -> Tạo user bằng password : 123 -> báo lỗi không thể tạo được do không thỏa yêu cầu về độ phức tạp của password
– Mở Server Manager, vào menu Tools -> Local Security Policy
– Mở Account Polices -> Password Policy. Quan sát cột bên phải
+ Enforce password history : Số password hệ thống lưu trữ (khuyên dùng: 24 )
+ Maximum password age : Thời gian sử dụng tối đa của 1 password (khuyên dùng: 42 )
+ Minimum password age : Thời gian sử dụng tối thiểu của 1 password (khuyên dùng: 1 )
+ Minimum password length : Độ dài tối thiểu của 1 password (khuyên dùng: 7 )
+ Password must meet complexity requirements: Yêu cầu password phức tạp (khuyên dùng: Enabled)
-> Chỉnh password policy :
– Password must meet complexity requirements -> Chọn Disabled
– Các password policy còn lại chỉnh giá trị về 0 -> OK
– Mở CMD -> gõ lệnh Gpupdate /Force
Kiểm tra :
– Tạo account U1 với password : 123 -> Tạo thành công
2. Account Lockout Policy
– Mở Local Security Policy. Truy cập theo đường dẫn Account Policies -> Account Lockout Policy
– Quan sát các policy bên phải
+ Account lockout duration: Thời gian account bị khóa
+ Account lockout threshold : Số lần nhập sai password trước khi account bị khóa
+ Reset account lockout counter after : thời gian chuyển bộ đếm về giá trị 0
– Điều chỉnh thông số các policy :
+ Account lokout threshold : 3
+ Account lockout duration : 30
+ Reset account lockout counter after : 30
– Kiểm tra: Đăng nhập sai password 3 lần -> không thể đăng nhập tiếp. Chờ sau 30 phút -> có thể đăng nhập lại.
3. User Rights Assignment
Yêu cầu:
+ Log on bằng quyền U1 -> shut down máy tính -> không được
+ Thay đổi ngày giờ hệ thống -> không được
– Log on Administrator -> Mở local security policy -> Local Policies -> User Rights Assignment -> cột bên phải : Quan sát 2 policy
– Change the system time : Cho phép user/group có quyền thay đổi ngày giờ hệ thống
– Shutdown the system : Cho phép user/group có quyền tắt máy
\
– Điều chỉnh thông số policy
+ Change the system time: Đưa group Users vào
+ Shutdown the system: Đưa group Users vào
– Kiểm tra : Log on U1 -> Shut down thử -> thành công. Thay đổi ngày giờ hệ thống -> thành công
4. Network Access
* Trường hợp 1: Classic
– Mở Local Security Policy -> Local Policy -> Security Options -> Double click Network access : Sharing and security model for local account. (Mặc định Windows Server chạy Classic).
a. Classic: 2 máy cùng password (Thực hiện trên cả 2 máy)
– Đổi password administrator là 123
– Thực hiện truy cập bằng URL từ Máy PC01 qua Máy PC02 và ngược lại
– Tại PC02 : Nhấn tổ hợp phím ÿ + R, gõ \\PC01 -> truy cập thành công mà không hỏi username và password
– Nhận xét : Khi truy cập vào PC02 nếu account dùng để log on trên Máy PC01 trùng user name và password với 1 account trên máy PC 02 , thì khi network access sẽ không bị hỏi username và password
b. Classic: 2 máy khác password (Thực hiện trên cả 2 máy)
– Đổi password administrator Máy PC01 thành 123 , password administrator Máy PC02 thành 456 -> Log on vào PC01 bằng account administrator
– Thực hiện truy cập bằng URL từ Máy PC01 qua Máy PC02 và ngược lại
– Tại PC01 : Nhấn tổ hợp phím ÿ + R, gõ \\PC02 -> Hiện thông báo đòi User name and password -> Khai báo username và password Máy PC02 -> OK -> Truy cập thành công qua PC02
* Trường hợp 2: Guest only (Thực hiện trên cả 2 máy)
– Máy PC02: Enabled user Guest.
– Mở Local Security Policy -> Local Policy -> Security Options -> Double click Network access: Sharing and security model for local account -> Guest only – local users authenticate as Guest.
– PC01 truy cập vào PC02: Không hỏi username, password. Mặc định chứng thực bằng account Guest.
– PC02 Disable account Guest. PC01 truy cập vào PC02 sẽ bị hỏi User name và password , tuy nhiên dù nhập account Administrator cũng không thể truy cập được vì chỉ có thể truy cập bằng bằng account Guest (Đã bị disable).
