Tạo và áp dụng chính sách bảo mật truy cập từ xa trong Windows Server 2003
4. Trong tab Dial-in, kích Deny access, sau đó kích OK.
5. Kích chuột phải vào Guest chọn Properties.
6. Kích chọn Account is disabled, sau đó kích OK.
7. Thoát khỏi Computer Management.
11 trang |
Chia sẻ: hao_hao | Lượt xem: 1731 | Lượt tải: 0
Bạn đang xem nội dung tài liệu Tạo và áp dụng chính sách bảo mật truy cập từ xa trong Windows Server 2003, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Tạo và áp dụng chính sách bảo mật truy
cập từ xa trong Windows Server 2003
Hướng dẫn từng bước dưới đây sẽ giới thiệu cho bạn cách đặt chính sách bảo
mật truy cập từ xa trong Microsoft Windows Server 2003 ở chế độ thông
thường. Ngoài ra cũng giới thiệu cách thiết lập chính sách này trên Windows
Server 2003 trong các máy chủ truy cập từ xa.
Trong Microsoft Windows Server 2003 ở chế độ thông thường, bạn có thể sử dụng
ba kiểu chính sách truy cập từ xa dưới đây:
• Explicit allow (Cho phép hoàn toàn)
Chính sách truy cập từ xa được thiết lập là "Grant remote access permission" (Cho
phép truy cập từ xa) và kết nối phù hợp với các điều kiện của chính sách.
• Explicit deny (Từ chối hoàn toàn)
Chính sách truy cập từ xa được thiết lập là "Deny remote access permission" (Từ
chối truy cập từ xa) và kết nối phù hợp với các điều kiện của chính sách.
• Implicit deny (Từ chối hoàn toàn tuyệt đối)
Kết nối không phù hợp với tất cả các điều kiện truy cập của chính sách.
Để thiết lập một chính sách truy cập từ xa, cấu hình chính sách. Sau đó, cấu hình
thiết lập dial-in của tài khoản người dùng để chỉ ra các quyền truy cập từ xa được
kiểm soát bởi chính sách.
Cách cấu hình chính sách truy cập từ xa
Mặc định, hai chính sách truy cập từ xa được cung cấp trong Windows Server
2003:
• Connections to Microsoft Routing and Remote Access server
Chính sách này tương ứng với các kết nối truy cập từ xa được tạo đối với Routing
và dịch vụ truy cập từ xa.
• Connections to other access servers (Kết nối đến các máy chủ truy cập khác)
Chính sách này tương ứng với các kết nối vào, không quan tâm đến loại máy chủ
truy cập mạng.
Windows Server 2003 sử dụng chính sách Connections to other access servers
chỉ khi một trong những điều kiện sau được thỏa mãn:
• Chính sách Connections to Microsoft Routing and Remote Access server
không có sẵn.
• Các chính sách cũ hơn đã được thay đổi.
Để cấu hình một chính sách mới, bạn thực hiện theo các bước sau:
1. Kích Start, vào Programs, Administrative Tools, sau đó là Routing and
Remote Access.
2. Mở Server_Name, sau đó kích Remote Access Policies.
Lưu ý, nếu bạn không cấu hình truy cập từ xa, hãy kích Configure and Enable
Routing and Remote Access trên menu Action, và sau đó thực hiện theo các bước
trong Routing and Remote Access Server Setup Wizard.
3. Tạo một chính sách mới
Các bước ví dụ dưới đây sẽ mô tả cho các bạn cách tạo một chính sách mới cho
phép hoàn toàn quyền truy cập từ xa đối với một người dùng cụ thể trong những
ngày nào đó. Chính sách này cũng khóa hoàn toàn sự truy cập trong những ngày
khác.
Kích chuột phải vào Remote Access Policies, sau đó kích New Remote
Access Policy.
Trong New Remote Access Policy Wizard, kích Next.
Trong hộp Policy name, đánh Test Policy, sau đó kích Next.
Trong trang Access Method, kích Dial-up, sau đó kích Next.
Trong trang User or Group Access, kích User hoặc Group, sau đó kích
Next.
Lưu ý nếu bạn muốn cấu hình chính sách truy cập từ xa cho một nhóm, thì
kích Add, đánh tên của nhóm trong hộp Enter Object Names To Select,
sau đó kích OK.
Trong trang Authentication Methods, bảo đảm rằng chỉ có hộp chọn
Microsoft Encrypted Authentication version 2 (MS-CHAPv2) được
chọn, sau đó kích Next.
Trong trang Policy Encryption Level, kích Next.
Kích Finish.
Một chính sách mới có tên là Test Policy xuất hiện trong Remote Access
Policies
Trong cửa sổ bên phải, kích chuột phải vào Test Policy sau đó kích
Properties.
Kích Edit Profile, chọn hộp thoại Allow access only on these days and at
these times, sau đó kích Edit.
Kích Denied, Monday through Friday from 8:00 A.M. to 4:00 P.M >
Permitted > OK,
Kích OK để đóng hộp thoại Edit Dial-in Profile.
Kích OK để đóng hộp thoại Test Policy Properties.
Chính sách Test Policy đã có hiệu lực
Lặp lại các bước để tạo một chính sách khác có tên là Test Block Policy.
Trong cửa sổ bên phải, kích chuột phải vào Test Block Policy, sau đó chọn
Properties.
Trong hộp thoại Test Block Policy Properties, kích Deny remote access
permission.
Lúc này chính sách Test Block Policy có hiệu lực
4. Thoát khỏi Routing and Remote Access.
Cách cấu hình thiết lập dial-in tài khoản người dùng
Để chỉ định các quyền truy cập từ xa được kiểm soát bởi chính sách truy cập này,
bạn thực hiện các bước như sau:
1. Kích Start, vào Programs > Administrative Tools, sau đó sử dụng một trong
các phương pháp dưới đây.
Phương pháp 1: Với bộ điều khiển miền Active Directory
Nếu máy tính là một bộ điều khiển miền dịch vụ thư mục Active Directory,
bạn thực hiện các bước dưới đây:
a, Kích Active Directory Users and Computers.
b, Trong menu hình cây, mở Your_domain, sau đó kích Users.
Phương pháp 2: Với máy chủ Windows Server 2003 độc lập
Nếu máy tính của bạn là một máy chủ Windows Server 2003 độc lập, bạn
thực hiện theo các bước dưới đây:
a, Kích Computer Management.
b, Trong cửa sổ menu hình cây, kích vào System Tools > Local Users and
Groups, sau đó là Users.
2. Kích chuột phải vào tài khoản người dùng, sau đó chọn Properties.
3. Trong tab Dial-in, kích Control access through Remote Access Policy, sau đó
kích OK.
Lưu ý, nếu Control access through Remote Access Policy không có sẵn, thì
Active Directory có thể đang hoạt động trong chế độ “Mixed”.
Xử lý sự cố
Nếu không sử dụng các nhóm để chỉ định quyền truy cập từ xa trong cấu hình
chính sách thì bạn hãy bảo đảm rằng tài khoản khách phải được vô hiệu hóa. Cũng
như vậy, bạn phải bảo đảm rằng đã thiết lập quyền truy cập từ xa cho tài khoản
khách là Deny access. Để thực hiện điều đó, hãy sử dụng một trong các phương
pháp dưới đây:
Phương pháp 1: Với bộ điều khiển miền Active Directory
1. Kích Start, chỉ đến Programs > Administrative Tools, sau đó kích Active
Directory Users and Computers.
2. Trong cửa sổ hình cây, mở Your_domain sau đó kích Users.
3. Kích chuột phải vào Guest, sau đó kích Properties.
4. Trong tab Dial-in, kích Deny access, sau đó là OK
5. Kích chuột phải vào Guest, chỉ đến All Tasks, sau đó kích Disable Account.
6. Khi nhận được thông báo “Object Guest has been disabled” (Đối tượng khác đã
được vô hiệu hóa), kích OK.
7. Thoát khỏi Active Directory Users and Computers.
Phương pháp 2: Với máy chủ Windows Server 2003 đơn lẻ
1. Kích Computer Management.
2. Trong cửa sổ menu hình cây, kích System Tools > Local Users and Groups,
sau đó kích Users.
3. Kích chuột phải vào Guest chọn Properties.
4. Trong tab Dial-in, kích Deny access, sau đó kích OK.
5. Kích chuột phải vào Guest chọn Properties.
6. Kích chọn Account is disabled, sau đó kích OK.
7. Thoát khỏi Computer Management.
Tham khảo thêm
Để có thêm thông tin chi tiết về các chính sách truy cập từ xa, bạn hãy kích Start >
Help and Support, nhập remote access policies trong hộp tìm kiếm Search, sau
đó nhấn ENTER để xem các chủ đề.
Các file đính kèm theo tài liệu này:
- tao_va_ap_dung_chinh_sach_bao_mat_truy_cap_tu_xa_trong_windows_server_2003_5911.pdf