tên đầy đủ của người dùng 4. Change Password at Next Logon
(Yes/No) 5. User Cannot Change Password (Yes/No) 6. Password Never Expires
(Yes/No): mật khẩu không bao giờ bị vô hiệu hóa 7. Account Disabled (Yes/No):
vô hiệu hóa tài khoản 8.
15 trang |
Chia sẻ: hao_hao | Lượt xem: 2165 | Lượt tải: 1
Bạn đang xem nội dung tài liệu Cơ chế an toàn trên windows NT - Phần I, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
CƠ CHẾ AN TOÀN TRÊN WINDOWS
NT - PHẦN I
Trong những ngày đầu của lịch sử máy tính, mỗi hệ thống máy tính hoạt động độc
lập với nhau và thực hiện những công việc xác định. Khi đó, việc chia xẻ những tài
nguyên hệ thống cũng như các thông tin khác diễn ra rất khó khăn. Những tổ chức
ở xa nhau rất khó trao đổi thông tin trực tiếp với nhau, đặc biệt là ở những lĩnh vực
đòi hỏi nhịp độ hoạt động luôn ở mức độ cao như: thương mại, chính trị quốc
phòng… Càng về sau, khi xã hội có những sự phát triển rất lớn ở nhiều lĩnh vực thì
nhu cầu liên lạc và chia xẻ thông tin đã trở nên cực kì cấp thiết. Tại thời điểm đó,
thuật ngữ mạng máy tính (Network Computer) và hệ điều hành mạng (Network
Operating System) ra đời đã đánh dấu một bước tiến lớn của con người trong lĩnh
vực khoa học máy tính và viễn thông. Mạng máy tính bao gồm những tài nguyên
mạng (như các trạm, máy in mạng…) và các thiết bị viễn thông dùng để liên kết
các tài nguyên đó (như là cầu nối, router, cổng gateway, dây dẫn…). Tất cả những
tài nguyên trên được quản lý bởi một hệ điều hành mạng. Như vậy, công việc của
hệ điều hành mạng bao gồm cả việc quản lý tài nguyên nội bộ như một hệ điều
hành bình thường (như quản lý hệ thống file nội bộ, bộ nhớ trên máy tính, thực thi
các trình ứng dụng, quản lý các thiết bị nhập xuất và điều phối bộ xử lý cho các
trình ứng dụng…) và quản lý các tài nguyên mạng (như hệ thống file của các máy
trạm, bộ nhớ chia xẻ, thực thi các trình ứng dụng chia xẻ trên mạng, các thiết bị
nhập xuất trên mạng…). Tuy nhiên việc chia xẻ thông tin và các tài nguyên chung
cho cùng lúc nhiều trạm, nhiều người dùng đã nảy sinh va chạm, các yêu cầu về an
toàn và bảo mật bị vi phạm. Từ những yêu cầu đó, những tiêu chuẩn về tính an
toàn, độ tin cậy của hệ thống đã được đề xuất và được xem như là những yêu cầu
cơ bản cần có của một hệ điều hành mạng. Có một tiêu chuẩn được đánh giá rất
cao và rất khắt khe được đưa ra bởi Trung tâm an toàn điện toán quốc gia và Bộ
quốc phòng Mỹ là tiêu chuẩn C2. Tiêu chuẩn này đòi hỏi mỗi hệ điều hành phải có
những đặc tính bảo mật tiên tiến, bao gồm khả năng định danh, kiểm tra và tách rời
hạt nhân, người dùng được cấp tên và mật khẩu để kiểm soát việc truy cập vào các
tài nguyên hệ thống… Và Windows NT là một trong số ít các hệ điều hành mạng
thỏa mãn được những yêu cầu nêu trên. Windows NT là hệ điều hành mạng đa
nhiệm 32 bit có nhiều tính năng ưu việt so với nhiều hệ điều hành khác. Kiến trúc
Windows NT phân thành những đơn thể mang những nhiệm vụ xác định, tạo nên
tính uyển chuyển và khả năng tương thích với nhiều hệ điều hành khác nhau. Bên
cạnh đó, Windows NT còn bao gồm nhiều tính năng về an toàn và những dịch vụ
mạng đối đẳng (peer - to - peer, còn gọi là mạng ngang hàng), được xem như
những thành phần cơ sở của hệ điều hành. Một số mục tiêu trong việc thiết kế hệ
điều hành mạng Windows NT đã đáp ứng được những yêu cầu của một hệ điều
hành hiện đại, bao gồm: 1. Khả năng tương thích (Compatibility): Windows NT có
khả năng tạo ra các môi trường cho các trình ứng dụng được viết cho các hệ điều
hành khác (như MS-DOS, OS/2, Windows 3.x, POSIX), hỗ trợ một số hệ thống
file thông dụng (như FAT, NTFS, HPFS) và khả năng nối kết với các môi trường
mạng khác hiện có. 2. Tính thuận tiện (Portability): Windows NT có thể chạy được
với các bộ vi xử lý hỗ trợ CISC (Complex Instruction Set Computer) như : Intel®
80386-80486, và RISC (Reduced Instruction Set Computer) như : MIPS® R4000,
DEC Alpha. 3. Tính đa xử lý (Scalability): Windows NT có thể chạy trên máy tính
có từ 1 đến 16 bộ vi xử lý, mở rộng lên những hệ máy lớn đáp ứng được những yêu
cầu rất cao của môi trường kinh doanh. 4. Tính an toàn (Security): Windows NT
cung cấp những tính năng an toàn rất đáng tin cậy bao gồm việc kiểm soát việc
truy cập đến tài nguyên, bảo vệ bộ nhớ, kiểm soát toàn bộ quá trình thâm nhập của
người dùng, tính an toàn và khả năng khắc phục sau sự cố… 5. Khả năng xử lý
chia sẻ và phân phối (Distributed Processing): Windows NT có khả năng nối kết
với nhiều môi trường mạng khác mà có hỗ trợ nhiều loại giao thức truyền thông
khác nhau, hỗ trợ những tính năng Client/Server cao cấp như NamePipe (Liên lạc
giữa các máy Client thông qua Server bằng việc thiết lập luồng thông tin theo kiểu
đường ống) và RPCs (Remote Procedure Call: hỗ trợ việc tạo nên những ứng dụng
chia xẻ trên mạng, có khả năng truy cập đến các tài nguyên chung…) 6. Độ tin cậy
(Reliability & Robustness): Windows NT cung cấp cơ chế đảm bảo các ứng dụng
thi hành một cách an toàn, không vi phạm đến hệ thống và các ứng dụng khác.
Windows NT còn cung cấp một hệ thống file có thể khôi phục (Recoverable)
HTFS tiên tiến, những tính năng an toàn được cài đặt sẵn và kĩ thuật quản lý bộ
nhớ cao cấp. 7. Tính đại chúng (Internationalization): Windows NT đề ra mục tiêu
thiết kế để có thể ứng dụng ở nhiều quốc gia, nhiều ngôn ngữ. 8. Dễ nâng cấp, mở
rộng (Extensibility): Kiến trúc Windows NT tiếp cận theo lối phân chia thành các
đơn thể có nhiệm vụ xác định, cung cấp khả năng nâng cấp, mở rộng trong tương
lai. Phần sau chúng ta sẽ đề cập đến một trong những tính năng rất ưu việt của hệ
điều hành mạng Windows NT, đó là tính an toàn bao gồm an toàn của người dùng
đối với hệ thống, an toàn trên file và thư mục. 2. CƠ CHẾ AN TOÀN TRÊN
WINDOWS NT Như đã đề cập ở trên, kiến trúc hệ điều hành Windows NT được
phân thành những đơn thể (còn gọi là thành phần), các đơn thể này được phân
thành hai nhóm hoạt động ở hai chế độ: User mode và Kernel mode. Ở chế độ
Kernel mode, các đơn thể có toàn quyền truy cập đến phần cứng ở dưới bao gồm
khả năng sử dụng không hạn chế các chỉ thị CPU và các tài nguyên hệ thống…;
các đơn thể của Windows NT thi hành ở chế độ này bao gồm Executive Services,
Kernel, Hardware Abstraction Layer (HAL). Những hệ thống con (Subsystem)
chịu trách nhiệm làm các môi trường ảo hỗ trợ cho các ứng dụng DOS/Win16,
OS/2, POSIX… hoạt động ở chế độ User mode, ở chế độ này các chương trình
không trực tiếp truy cập đến phần cứng mà phải thông qua các đơn thể ở Kernel
mode. Việc đặt các hệ thống con ở chế độ User mode giúp cho các nhà thiết kế dễ
dàng hơn trong việc thay đổi, bổ sung các thành phần mà không làm ảnh hưởng
đến thành phần khác ở Kernel mode. Trong môi trường Windows NT, các ứng
dụng chia sẻ với nhau các tài nguyên hệ thống bao gồm bộ nhớ, những thiết bị
nhập xuất, file, bộ xử lí… dưới sự giám sát chặt chẽ của hệ điều hành thông qua
một cơ chế an toàn rất đáng tin cậy, đảm bảo các ứng dụng không thể truy cập đến
những tài nguyên không được phép. Về mặt nội bộ, Windows NT xem tất cả các
tài nguyên hệ thống, bao gồm cả tập tin (file) là những đối tượng. Việc tạo, đặt tên
và hủy đối tượng thông qua một thành phần thực thi thuộc Kernel mode gọi là
Object Manager - trình quản lý đối tượng. Ngoài ra Object Manager còn có nhiệm
vụ bảo vệ đối tượng khỏi xự xâm phạm của các đối tượng khác, giám sát ai đang
sử dụng đối tượng đó và đối tượng đó đang dùng những tài nguyên gì. Như vậy,
khi một đối tượng được tạo ra nó được gán tên và kèm theo là những thông tin về
an toàn áp đặt trên đối tượng đó, các thông tin này được lưu trữ trong những cấu
trúc xác định và được gắn kèm với đối tượng đó. Một cách tổng quát, tất cả các đối
tượng được bảo vệ (các tài nguyên hệ thống, người dùng...) trên Windows NT
dùng chung những phương thức thiết lập và xác nhận việc truy cập. Điều đó đảm
bảo rằng khi có một người cố truy cập đến một file trên đĩa hay đến một tiến trình
trong bộ nhớ thì một bộ phận của hệ thống sẽ thực hiện việc kiểm tra tính hợp lệ và
phân định kiểu đối tượng sẽ được truy cập đến, việc kiểm tra này dựa trên những
thông tin về an toàn của đối tượng đó và của bản thân người truy cập. Một đặc
điểm nổi bật của Windows NT mà không thể không nhắc đến trong cơ chế an toàn
đó là hệ thống file NTFS. NTFS (New Technology File System) là một hệ thống
file tiên tiến, mang nhiều đặc tính nổi bật so với nhiều hệ thống file khác như: tốc
độ các thao tác trên file nhanh, độ tin cậy và an toàn cao. Ngoài ra NTFS còn cung
cấp cơ chế điều khiển việc truy cập dữ liệu, phân định quyền truy cập… đặc biệt là
khả năng Recoverable tức là khả năng khôi phục dữ liệu nếu có sự cố bất ngờ xảy
ra. Những đặc điểm này giúp tăng độ tin cậy của hệ thống, rất thích hợp với những
môi trường cộng tác nhiều người dùng. Sơ đồ mô tả một cách tổng quát cơ chế an
toàn trên Windows NT có thể biểu diễn trên sơ đồ Windows NT Security
Components. Dựa trên sơ đồ này ta nhận thấy cơ chế an toàn Windows NT bao
gồm một số thành phần chính sau: 1. Tiến trình đăng nhập (Logon Proccess): hoạt
động ở chế độ User mode, chịu trách nhiệm nhận yêu cầu đăng nhập từ người
dùng, bao gồm việc thể hiện hộp thoại thông báo đăng nhập có tên người dùng và
mật khẩu của người đó. 1. Local Security Authority (LSA): đảm bảo người dùng
có quyền đăng nhập vào hệ thống hay không. LSA là thành phần trung tâm của Hệ
thống an toàn con của Windows NT (Security Subsystem), nó tạo nên Thẻ truy
xuất bảo mật (Security Access Token) (giống như một giấy chứng nhận xuất nhập
cảnh - sẽ được trình bày ở phần sau), điều khiển những hành vi an toàn cục bộ,
cung cấp những dịch vụ xác nhận tính hợp lệ của người dùng tương tác. LSA còn
xác nhận những thông báo kiểm tra do Bộ phận giám sát an toàn (Security
Reference Monitor) tạo ra. 2. Bộ phận giám sát an toàn (The Security Reference
Monitor - SRM) là bộ phận chịu trách nhiệm giám sát các hành vi truy cập thông
qua cơ chế an toàn nội bộ. Nói một cách khác, mọi yêu cầu tạo mới hay truy cập
đến một đối tượng đều phải thông qua SRM. Nó cung cấp những dịch vụ phục vụ
cho việc thiết lập truy cập đến các đối tượng, phân quyền và phát sinh những thông
báo cần thiết. 3. Bộ phận quản lý tài khoản người dùng (Security Account Manager
- SAM): lưu trữ cơ sở dữ liệu chứa các thông tin về tài khoản của tất cả người dùng
và nhóm người dùng. SAM còn cung cấp những dịch vụ cho LSA sử dụng trong
việc xác lập tính hợp lệ của người dùng. Tất cả những thành phần này hoạt động
phối hợp với nhau, hình thành Hệ thống an toàn con (Security Subsystem). Hệ
thống an toàn con này có trách nhiệm thực hiện các thao tác an toàn trên toàn bộ hệ
điều hành Windows NT. Windows NT Security Components Như vậy, cơ chế an
toàn trên một hệ thống Windows NT áp dụng chủ yếu trong việc quản lý người
dùng và quản lý đối tượng (các đối tượng ở đây có thể được xem như các tài
nguyên hệ thống). Cụ thể gồm 2 phần chính: Kiểm soát đối tượng truy cập và
Kiểm soát việc truy cập dữ liệu. Kiểm soát đối tượng truy cập là quản lý người
dùng truy cập vào hệ thống thông qua cơ chế kiểm soát quá trình đăng nhập như:
kiểm tra mật khẩu, định danh người dùng, cơ chế xác lập mật khẩu, thời gian tồn
tại của mật khẩu, cơ chế phát hiện số lần nhập mật khẩu sai (Audit), các hạn chế về
thời gian truy cập vào hệ thống… Sau khi người dùng đã vào hệ thống một cách
hợp lệ, phần còn lại của cơ chế an toàn là Kiểm soát việc truy cập dữ liệu, tài
nguyên của người đó bằng cách dùng các cơ chế quyền áp dụng trên các đối tượng
được truy cập, phân loại tài nguyên truy cập, giám sát truy cập… 1. NHỮNG
THÔNG TIN VỀ AN TOÀN 1. Một số cấu trúc chung : Trên Windows NT, tất cả
các đối tượng có tên đều chịu sự giám sát của hệ thống thông qua cơ chế an toàn,
kể cả một số đối tượng không có tên. Nói một cách khác, mọi đối tượng trên
Windows NT đều được bảo vệ. Những thông tin (còn gọi là thuộc tính) về an toàn
của các đối tượng này được lưu trữ trong một cấu trúc mô tả bảo mật (Security
Descriptor) kèm theo đối tượng, cấu trúc này bao gồm 4 thuộc tính chuẩn được áp
dụng cho hầu hết các đối tượng trên Windows NT (bao gồm các đối tượng có tên,
những tiến trình có tên và không có tên, tiểu trình, đối tượng thẻ bài, đối tượng
semaphore, đối tượng event…), 4 thuộc tính này có thể mô tả như sau: 1. Owner
security ID: là số bảo mật của người dùng hay nhóm sở hữu đối tượng đó. Người
chủ sở hữu đối tượng có thể thay đổi những quyền được gán trên đối tượng này. 2.
Group security ID: số bảo mật của nhóm, số này chỉ áp dụng đối với hệ thống con
POSIX. 3. Discretionary ACL (Access Control List - ACL): gọi là Danh sách điều
khiển truy cập của chủ sở hữu. Người chủ sở hữu đối tượng có quyền thay đổi nội
dung của danh sách này, phân định ai có hay không có quyền truy cập đến đối
tượng. 4. System ACL: là ACL dùng để điều khiển việc phát sinh những thông báo
xác nhận của hệ thống. Người quản trị mạng có thể sửa đổi danh sách này. Ví dụ:
Security Descriptor và ACL đối với một file xác định: Security Descriptor cho một
đối tượng Windows NT có thể biểu diễn bằng 2 phương pháp: phương pháp tuyệt
đối (Absolute) và phương pháp tương đối (Self-Relative). 1. Phương pháp tuyệt
đối : Các thành phần của Security Descriptor là những con trỏ chỉ đến các thành
phần thực sự chứa thông tin. Phương pháp này giúp cho mỗi thành phần được định
vị riêng biệt, thích hợp khi có vài phần đã có sẵn. 1. Phương pháp tương đối : Các
thành phần của Security Descriptor nằm trong một cấu trúc dữ liệu được sắp xếp
theo một khối liên tục, các thành phần trong khối sẽ được truy xuất dựa trên độ
lệch (offset) so với phần đầu khối. Phương pháp này thích hợp để lưu trữ Security
Descriptor trên các thiết bị nhớ thứ cấp như băng từ…hoặc truyền Security
Descriptor đến những vùng mà không dùng được kiểu lưu trữ con trỏ như phương
pháp tuyệt đối. Security Descriptor biểu diễn bằng 2 phương pháp: Số bảo mật
(SID) là một số duy nhất được phát sinh bằng kĩ thuật băm (hash) dùng để phân
biệt một người dùng (hoặc nhóm người dùng) với một người dùng khác đồng thời
dùng để định danh người đó với hệ thống. Nội dung của SID được phát sinh dựa
trên những thông tin như: tên máy tính, thông tin về người dùng, thông tin về vùng
(domain), ngày, giờ hệ thống… Cấu trúc của SID có thể nhìn thấy dưới dạng sau: S
- R - X - Y1 - ... – Yn Trong đó: S là kí hiệu (Series of digits) phân định SID; R chỉ
cấp độ tham khảo đến (Revision level); X chỉ giá trị Identifier Authority, Y1...Yn
là các giá trị SubAuthority. Giá trị Identifier Authority là thông tin quan trọng nhất
trong SID, thường là định danh của tổ chức phát hành SID. Ví dụ: SID có dạng S-
1-4138-86 chỉ mức độ tham khảo lần 1, giá trị Identifier Authority là 4138, một
SubAuthority là 86. Access Control List là một danh sách liên kết mà mỗi phần tử
của danh sách này là một Access Control Entry (ACE), mỗi ACE có chứa một Số
bảo mật (SID) duy nhất phân biệt một người dùng hay nhóm người dùng và một
danh sách quy định người dùng được hay không được phép truy cập đến đối tượng
(còn gọi là mặt nạ truy cập – Access Mask). ACE có thể có 3 loại, hai loại dành
cho Discretionary access control (điều khiển truy cập tùy nghi) và một dành cho
System security. Discretionary ACE gồm AccessAllowed and AccessDenied, ám
chỉ việc cho phép hay không truy cập của người dùng hay nhóm người dùng đến
đối tượng. System ACE (SystemAudit) được dùng để mô tả các sự kiện về an toàn
(chẳng hạn như ai truy cập vào đối tượng gì) và để phát sinh những thông báo xác
nhận an toàn. Cấu trúc dữ liệu của ACE: Mặt nạ truy cập (Access Mask) trong
ACE là một tập hợp các quyền mà người dùng được phép hay không được phép áp
dụng trên một đối tượng. Access Mask chứa 3 loại thông tin truy cập: kiểu truy cập
xác định (Specific), kiểu truy cập chuẩn (Standard – kiểu này áp dụng cho mọi đối
tượng) và kiểu chung (Generic – được ánh xạ đến 2 kiểu trên). Mỗi đối tượng có
thể có đến 16 kiểu truy cập xác định, có được khi một định nghĩa kiểu của đối
tượng. Ví dụ: Một đối tượng file có thể có các kiểu truy cập sau: 1. ReadData –
Đọc dữ liệu. 1. WriteData – Viết. 1. AppendData – Bổ sung. 1. ReadEA (Extended
Attribute) – Đọc với các thuộc tính mở rộng. 1. WriteEA (Extended Attribute) –
Viết với các thuộc tính mở rộng. 1. Execute – Thi hành. 1. ReadAttributes – Đọc
các thuộc tính. 1. WriteAttributes – Gán các thuộc tính. Ngoài những kiểu truy cập
trên, mỗi đối tượng còn có các kiểu truy cập chuẩn (standard types) bao gồm: 1.
SYNCHRONIZE: dùng để đồng bộ việc truy cập và cho phép một tiến trình chờ
một đối tượng để được đưa vào trạng thái báo hiệu đánh thức (Signal). Kiểu này
được áp dụng khi có nhiều tiến trình người dùng cùng truy cập đến một đối tượng
mà trong một thời điểm chỉ cho phép một tiến trình sử dụng. 2. WRITE_OWNER:
dùng để gán cho người viết dữ liệu. 3. WRITE_DACL: dùng để phân phối hoặc
ngăn cấm quyền Viết lên Danh sách điều khiển truy cập ACL. 4.
READ_CONTROL: dùng để phân phối hoặc ngăn cấm quyền Đọc lên bảng mô tả
an toàn (security descriptor) hay chủ sở hữu. 5. DELETE: dùng để phân phối hoặc
ngăn cấm việc xóa một đối tượng. 2. Quản lý tài khoản người dùng: Tài khoản là
nơi chứa những thông tin nhằm giúp xác nhận người dùng vào hệ thống và quản lý
việc truy cập của người dùng đó đến các đối tượng trong hệ thống. Tài khoản
người dùng thường được lưu trong cơ sở dữ liệu Security Account Manager
(SAM). Trong Windows NT, tài khoản có thể chia làm 2 loại: cục bộ (local
account) và toàn cục (global/domain account) mà sự khác nhau giữa 2 loại này là ở
khả năng và quyền hạn đối với các đối tượng, tài nguyên. Đối với local account,
phạm vi hoạt động là nội bộ trong một trạm Windows NT do đó nó thích hợp khi
cần những truy cập đến tài nguyên trong nội bộ một trạm (trên Windows NT
Server, nếu kiểu tài khoản là local account, người dùng không thể đăng nhập một
cách cục bộ mà phải đăng nhập từ mạng), còn đối với domain account khả năng có
thể mở rộng ra một phạm vi nhất định (vùng- domain) và có thể ảnh hưởng đến
nhiều trạm trong phạm vi đó. Domain account lại có thể nhìn dưới 2 góc độ là
Groups Accounts (Tài khoản của nhóm) và User Accounts (Tài khoản người
dùng). Groups Accounts được dùng để đơn giản hóa công việc điều hành hệ thống
và có thể được phân phối những quyền hạn (permissions) truy cập đến tài nguyên.
Do đó, khi một người dùng là thành viên của một nhóm thì tài khoản người đó
cũng được thừa hưởng những quyền hạn mà tài khoản nhóm có. Một số ưu điểm
của việc dùng tài khoản nhóm: 1. Quyền hạn có thể được phân phối cho một lúc tất
cả các thành viên trong nhóm. 2. Quyền hạn có thể được thu hồi từ tất cả các thành
viên trong nhóm. 3. Quyền hạn của một người dùng tự động bị thu hồi khi người
đó không còn là thành viên của nhóm. 4. Khi có nhiều người cùng gia nhập nhóm
thì những quyền hạn cần thiết sẽ được phân phối cho những người đó mà không
cần phải phân quyền cho từng cá nhân với cùng một loại quyền hạn. Một số nhóm
cài sẵn (built-in) mang tính cục bộ trên một Windows NT Domain controller:
Administrators, Backup Operators, Account Operators, Guests, Print Operators,
Replicator, Server Operators, Users. Và một số nhóm toàn cục trên domain như:
Domain Admins, Domain Guests, Domain Users. Ngoài ra, có một số nhóm trên
Windows NT Workstation và Server không thuộc domain như: Administrators,
Backup Operators, Power Users, Guests, Replicators, Users. Và có 5 nhóm ngầm
định tồn tại trên mọi máy tính NT (domain controller, server, workstation): 1.
INTERACTIVE: ám chỉ mọi người dùng tham gia một cách cục bộ. 2.
NETWORK: mọi người dùng tham gia thông qua mạng. 3. EVERYONE:
INTERACTIVE + NETWORK. 4. SYSTEM: hệ điều hành. 5. CREATOR
OWNER: bất cứ ai tạo một đối tượng bất kì. Những Users Accounts ngầm định
được tạo ra trong quá trình cài đặt Windows NT Server là Administrator và Guest.
Administrator là tài khoản chính dùng cho việc quản trị của máy Server, tài khoản
này cung cấp cho người dùng những khả năng như: 1. Tạo và quản lí tài khoản
người dùng. 2. Tạo và quản lí những nhóm toàn cục. 3. Tạo và quản lí những nhóm
cục bộ. 4. Gán quyền cho người dùng (user right). 5. Khóa máy Server. 6. Định
dạng đĩa cứng Server. 7. Tạo những nhóm chung. 8. Lưu giữ những bảng tóm tắt
tiểu sử (profile). 9. Quản lí việc chia sẻ thư mục. 10. Quản lí việc chia sẻ máy in
mạng. Khi một người dùng đăng nhập vào hệ thống dưới một tên nào đó không tồn
tại thì Windows NT sẽ cố gắng đăng nhập người đó bằng tài khoản Guest. Do đó
nếu tài khoản Guest không được gán mật khẩu thì sau khi vào được hệ thống, một
người dùng đăng nhập dưới tài khoản Guest có thể thực hiện một số thao tác có
nguy cơ vi phạm tính an toàn của hệ thống (như việc chia sẻ tên đối tượng...).
Ngầm định, tài khoản Guest sẽ bị vô hiệu hóa trên mọi máy NT Server mới cài đặt.
Có một số thuộc tính liên quan đến tài khoản người dùng cần thiết khi thiết lập một
tài khoản: 1. User name : tên người dùng, dài không quá 20 kí tự, duy nhất trên
domain 2. Initial Password (tùy chọn): mật khẩu khởi tạo, dài không quá 14 kí tự 3.
Full Name: tên đầy đủ của người dùng 4. Change Password at Next Logon
(Yes/No) 5. User Cannot Change Password (Yes/No) 6. Password Never Expires
(Yes/No): mật khẩu không bao giờ bị vô hiệu hóa 7. Account Disabled (Yes/No):
vô hiệu hóa tài khoản 8. Home Directory: thư mục làm việc chính của tài khoản 9.
Logon Script 10. Profile 11. Account Type: kiểu tài khoản (local/global) 12. Logon
Hours: thời gian trong ngày mà tài khoản có hiệu lực 13. Dialin 14. Logon
Workstation: danh sách các máy trạm mà người dùng có thể đăng nhập 15.
Expiration date: ngày mà tài khoản bị vô hiệu hóa (ngày hết hạn) 16. Groups: danh
sách các nhóm mà người dùng tham gia.
Các file đính kèm theo tài liệu này:
- co_che_an_toa_n_tren_windows_nt_2609.pdf