Skip to main content

วินโดวส์เซิร์ฟเวอร์ 2008 – windows server 2008

นโยบายความปลอดภัยแบบโลคอล (Local Security Policy) ของวินโดวส์เซิร์ฟเวอร์ 2008
นโยบายความปลอดภัยแบบ Local Security Policy ของวินโดวส์เซิร์ฟเวอร์ 2008 นั้นมี 7 ด้าน ด้วยกัน (ในขณะที่ Windows Server 2003 มีเพียง 5 ด้าน) คือ นโยบายด้านแอคเคาต์ (Account Policies) นโยบายด้าน Windows Firewall and Advanced Security (ใหม่!) นโยบายด้าน Network List Manager Policy (ใหม่!) นโยบายด้านความปลอดภัยของโลคอลเซิร์ฟเวอร์ (Local Policies), นโยบายด้านกุญแจสาธารณะ (Public Key Policies), นโยบายด้านการจำกัดการใช้งานซอฟต์แวร์ (Software Restriction Policies) และ นโยบายด้านการใช้งาน IPSec (IP Security Policies)


Windows Server 2008 Local Security Policy

1. นโยบายด้านยูสเซอร์ (Account Policies)
นโยบายด้านยูสเซอร์ (Account Policies) นั้น จะกำหนดรายละเอียดของยูสเซอร์ 2 อย่าง คือ Password Policy และ Account Lockout Policy
• Password Policy เป็นนโยบายที่กำหนดรายละเอียดของรหัสผ่าน มี 6 หัวข้อ คือ
1. Enforce password history กำหนดจำนวนครั้งของการเปลี่ยนรหัสผ่าน ก่อนที่จะนำรหัสเก่ามาใช้ ค่าเริ่มต้นจะไม่ยังคับใช้ (Do not keep password history)
2. Maximum password age กำหนดอายุสูงสุดของรหัสผ่านที่ใช้งานได้ก่อนที่จะต้องทำการเปลี่ยนรหัสใหม่ค่าเริ่มต้นเป็น 42 วัน
3. Minimum password age กำหนดอายุต่ำสุดของรหัสผ่านก่อนที่จะอนุญาตให้เปลี่ยน ค่าเริ่มต้นจะไม่ยังคับใช้
4. Minimum password length กำหนดความยาวต่ำสุดของรหัสผ่านที่อนุญาตให้ใช้ได้ ค่าเริ่มต้นจะไม่บังคับใช้
5. Password must meet complexity requirement กำหนดให้รหัสผ่านต้องประกอบด้วย อักษรตัวเล็ก (a , b, c, …y, z) อักษรตัวใหญ่ (A, B, C, …Y, Z) อักษรพิเศษ (!, @, # , $, %, ^, &, *, (, ), _,+ และ ตัวเลข (1, 2, 3, ..9, 0) นโยบายนี้จะบังคับใช้โดยดีฟอลท์
6. Store password using reversible encryption for all user in domain กำหนดให้เก็บรหัสผ่านที่สามารถถอดรหัสแบบย้อนกับได้ ค่าเริ่มต้นจะไม่บังคับใช้


Password Policy

• Account Lockout Policy เป็นนโยบายที่กำหนดรายละเอียดการปิดใช้งานยูสเซอร์ชั่วคราว มี 3 ข้อ คือ
1. Account lockout duration ระยะเวลาเป็นนาทีที่ทำการปิดใช้งานยูสเซอร์ชั่วคราว
2. Account lockout threshold จำนวนครั้งที่ทำการล็อกออนไม่ถูกต้องก่อนทำการปิดใช้งานยูสเซอร์ชั่วคราว
2. Reset account lockout counter after ระยะเวลาเป็นนาทีที่ทำการยกเลิกการปิดใช้งานยูสเซอร์ชั่วคราว


Account Lockout Policy

2. นโยบายแบบโลคอล (Local Policies)
นโยบายแบบโลคอลจะกำหนดนโยบายเกี่ยวกับยูสเซอร์ใน 3 หัวข้อ คือ Audit Policy, User Rights Assignment และ Security Option
• Audit Policy เป็นนโยบายที่กำหนดให้ทำการเก็บบันทึกการใช้งานของยูสเซอร์ มี 9 หัวข้อคือ
1. Audit account logon events
2. Audit account management
3. Audit direcotry service access
4. Audit logon events
5. Audit objects access
6. Audit policy change
7. Audit privilege use
8. Audit process tracking
9. Audit system events


Audit Policy

• User Rights Assignment เป็นนโยบายที่กำหนดว่ายูสเซอร์มีสิทธิ์ในการกระทำอะไรได้บ้าง ซึ่งมีหัวข้อให้เลือกกำหนดได้จำนวน 44 หัวข้อ


User Rights Assignment

• Security Options เป็นนโยบายที่กำหนดเกี่ยวกับความปลอดภัยของระบบ ซึ่งมีหัวข้อให้เลือกกำหนดได้จำนวน 78 หัวข้อ


Security Options

3. นโยบายด้าน Windows Firewall and Advanced Security (ใหม่!)
นโยบายด้าน Windows Firewall and Advanced Security เป็นชุดนโยบายใหม่ที่เพิ่มขึ้นใน Windows Server 2008 ใช้ในการสร้างและบังคับใช้กับ Windows Firewall


Windows Firewall and Advanced Security

4. นโยบายด้าน Network List Manager Policy (ใหม่!)
นโยบายด้าน Network List Manager Policy จะเป็นนโยบายที่ควบคุมด้านการเชื่อมต่อกับระบบเครือข่ายและการเข้าถึงระบบเครือข่ายของยูสเซอร์ มี 4 หัวข้อคือ
– Unidentifi Networks
– Identifi Networks
– All Networks
– Network


Network List Manager Policy

5. นโยบายคีย์สาธารณะ (Public Key Policies)
นโยบายคีย์สาธารณะ (Public Key Policies) เป็นนโยบายที่กำหนดเกี่ยวกับการแลกเปลี่ยนคีย์สาธารณะ ของยูสเซอร์

6. นโยบายด้านจำกัดการใช้งานซอฟต์แวร์ (Software Restriction Policies)
นโยบายด้านจำกัดการใช้งานซอฟต์แวร์ (Software Restriction Policies) เป็นนโยบายที่กำหนดเกี่ยวกับการจำกัดการใช้งานซอฟต์แวร์หรือโปรแกรมต่างๆ

7. นโยบายด้านการใช้งาน IPSec (IP Security Policies)
นโยบายด้านการใช้งาน IPSec (IP Security Policies) เป็นนโยบายที่กำหนดเกี่ยวกับการสื่อสารผ่านโปรโตคอล IPSec

Windows Server 2008 Security Policy GPMC GPO

Translate »