นโยบายความปลอดภัยในวินโดวส์เซิร์ฟเวอร์ 2003 ~ Windows Administrator Blog

นโยบายความปลอดภัยในวินโดวส์เซิร์ฟเวอร์ 2003
นโยบายความปลอดภัย (Security Policy) ของระบบวินโดวส์ คือ เงื่อนไขหรือข้อกำหนดต่างๆ ที่วินโดวส์ใช้ควบคุมการทำงานของระบบ และด้วยเหตุผลทางด้านความปลอดภัยทางไมโครซอฟท์ ได้ออกแบบให้วินโดวส์เซิร์ฟเวอร์ 2003 นั้น ติดตั้งพร้อมกับนโยบายความปลอดภัยโดยดีฟอลท์ เพื่อใช้ควบคุมการทำงานของเซิร์ฟเวอร์ให้มีความปลอดภัยมากที่สุด
นโยบายความปลอดภัยเริ่มต้น (Default Security Policy) ของวินโดวส์เซิร์ฟเวอร์ XP และ 2003 นั้น มีชื่อว่า Local Security Settings ซึ่งนโยบายความปลอดภัยนี้จะสามารถบังคับใช้ได้เฉพาะกับเซิร์ฟเวอร์ตัวนั้นๆ Local Security Settings นั้นเป็นนโยบายความปลอดภัยหลักของวินโดวส์เซิร์ฟเวอร์ 2003 ในการใช้งานแบบเซิร์ฟเวอร์เดี่ยว (Standalone Server) หรือการใช้งานในแบบเวิร์กกรุ๊ป (Workgroup)

สำหรับการใช้งานในแบบเอ็กทีฟไดเร็คตอรีนั้น หลังจากทำการโปรโมทวินโดวส์เซิร์ฟเวอร์ 2003 เป็นโดเมนคอนโทรลเลอร์ โดยดีฟอลท์จะมีการสร้างนโยบายความปลอดภัยเพิ่มขึ้นมาอีกจำนวน 2 นโยบายด้วยกัน คือ ของนโยบายความปลอดภัยเริ่มต้นของโดเมนเมมเบอร์เซิร์ฟเวอร์ (Member Server) และ นโยบายความปลอดภัยเริ่มต้นของโดเมนคอนโทรลเลอร์ (Domain controller)

ในกรณีที่การเพิ่มวินโดวส์เซิร์ฟเวอร์ 2003 เข้าเป็นสามาชิกของโดเมนนั้น นโยบายความปลอดภัยเริ่มต้นของตัวเซิร์ฟเวอร์เอง คือ Local Security Policy นั้นจะยังคงอยู่ แต่เมมเบอร์เซิร์ฟเวอร์สามารถถูกควบคุมจากนโยบายความปลอดภัยของโดเมนได้

รูปแบบนโยบายความปลอดภัยในวินโดวส์เซิร์ฟเวอร์ 2003
ในวินโดวส์เซิร์ฟเวอร์ 2003 นั้น จะมีรูปแบบนโยบายความปลอดภัยแตกต่างกันออกไป ตามลักษณะการใช้งาน หรือหน้าที่ตัวเซิร์ฟเวอร์นั้นๆ โดยสามารถสรุปได้ ดังนี้

1. การใช้งานวินโดวส์เซิร์ฟเวอร์ 2003 แบบเซิร์ฟเวอร์เดี่ยว (Standalone Server)
ในการใช้งานโดวส์เซิร์ฟเวอร์ 2003 ใช้งานแบบเซิร์ฟเวอร์เดี่ยวนั้น จะมีค่านโยบายความปลอดภัยเริ่มต้นของตัวเซิร์ฟเวอร์เอง คือ Local Security Policy เพียงตัวเดียว
2. การใช้งานวินโดวส์เซิร์ฟเวอร์ 2003 เป็นสมาชิกของโดเมน (Domain Member Server)
ในกรณีที่วินโดวส์เซิร์ฟเวอร์ 2003 เป็นสมาชิกของโดเมน (Domain Member Server) นั้น ค่านโยบายความปลอดภัยดีฟอลท์ของตัวเซิร์ฟเวอร์เอง คือ Local Security Policy ก็จะยังคงอยู่ และสามารถที่จะทำการควบคุมเซิร์ฟเวอร์โดยใช้นโยบายความปลอดภัยของโดเมนได้
3. การใช้งานวินโดวส์เซิร์ฟเวอร์ 2003 เป็นโดเมนคอนโทรเลอร์ (Domain Controller Server)
ในกรณีที่วินโดวส์เซิร์ฟเวอร์ 2003 ทำหน้าที่เป็นโดเมนคอนโทรเลอร์ (Domain Controller Server) นั้น ค่านโยบายความปลอดภัยดีฟอลท์ของตัวเซิร์ฟเวอร์แบบ Local Security Policy จะหายไป แต่จะมีนโยบายความปลอดภัยตัวใหม่ขึ้นมา 2 ตัว คือ Domain Security Policy ซึ่งสามารถใช้บังคับใช้กับเซิร์ฟเวอร์ที่เป็นสมาชิกของโดเมนทุกตัวรวมถึงโดเมนคอนโทรเลอร์ และ Domain Controller Security Policy นโยบายความปลอดภัยถูกสร้างขึ้นมาเพื่อบังคับใช้เฉพาะกับเซิร์ฟเวอร์ที่เป็นโดเมนคอนโทรลเลอร์ (Domain Controller) ทุกตัวในโดเมน

คุณลักษณะของนโยบายความปลอดภัยในวินโดวส์เซิร์ฟเวอร์ 2003
นโยบายความปลอดภัยในวินโดวส์เซิร์ฟเวอร์ 2003 แต่ละแบบนั้น มีคุณลักษณะดังนี้
1. Local Security Policy นโยบายความปลอดภัยที่ถูกสร้างขึ้นพร้อมการติดตั้งวินโดวส์ สามารถบังคับใช้ได้เฉพาะกับเซิร์ฟเวอร์ตัวนั้นๆ เท่านั้น
2. Domain Security Policy นโยบายความปลอดภัยถูกสร้างขึ้นมาโดยโดเมนคอนโทรลเลอร์ (Domain Controller) สามารถใช้บังคับใช้กับเซิร์ฟเวอร์ที่เป็นสมาชิกของโดเมนทุกตัวรวมถึงโดเมนคอนโทรลเลอร์
3. Domain Controller Security Policy นโยบายความปลอดภัยที่ถูกสร้างขึ้นมาโดยโดเมนคอนโทรลเลอร์ (Domain Controller) เพื่อบังคับใช้กับโดเมนคอนโทรลเลอร์ (Domain Controller) ทุกตัว
4. ในการบังคับใช้นั้น Domain Security Policy จะระดับความสำคัญ (Priority) สูงกว่า Local Security Policy โดยสามารถหักล้าง (Override) นโยบายที่ขัดกันได้

Local Security Policy
นโยบายความปลอดภัยแบบ Local Security Policy ของวินโดวส์เซิร์ฟเวอร์ 2003 นั้นมี 5 ด้าน ด้วยกัน คือ นโยบายด้านแอคเคาต์ (Account Policies), นโยบายด้านความปลอดภัยของโลคอลเซิร์ฟเวอร์ (Local Policies), นโยบายด้านกุญแจสาธารณะ (Public Key Policies), นโยบายด้านการจำกัดการใช้งานซอฟต์แวร์ (Software Restriction Policies) และ นโยบายด้านการใช้งาน IPSec (IP Security Policies)

1. นโยบายด้านยูสเซอร์ (Account Policies)
นโยบายด้านยูสเซอร์ (Account Policies) นั้น จะกำหนดรายละเอียดของยูสเซอร์ 2 อย่าง คือ Password Policy และ Account Lockout Policy
1.1 Password Policy เป็นนโยบายที่กำหนดรายละเอียดของรหัสผ่าน มี 6 หัวข้อ คือ
- Enforce password history กำหนดจำนวนครั้งของการเปลี่ยนรหัสผ่าน ก่อนที่จะนำรหัสเก่ามาใช้ ค่าเริ่มต้นจะไม่ยังคับใช้
- Maximum password age กำหนดอายุสูงสุดของรหัสผ่านที่ใช้งานได้ก่อนที่จะต้องทำการเปลี่ยนรหัสใหม่ค่าเริ่มต้นเป็น 42 วัน
- Minimum password age กำหนดอายุต่ำสุดของรหัสผ่านก่อนที่จะอนุญาตให้เปลี่ยน ค่าเริ่มต้นจะไม่ยังคับใช้
- Minimum password length กำหนดความยาวต่ำสุดของรหัสผ่านที่อนุญาตให้ใช้ได้ ค่าเริ่มต้นจะไม่บังคับใช้
- Password must meet complexity requirement กำหนดให้รหัสผ่านต้องประกอบด้วย อักษรตัวเล็ก (a , b, c, …y, z) อักษรตัวใหญ่ (A, B, C, …Y, Z) อักษรพิเศษ (!, @, # , $, %, ^, &, *, (, ), _,+ และ ตัวเลข (1, 2, 3, ..9, 0) ค่าเริ่มต้นจะไม่บังคับใช้
- Store password using reversible encryption for all user in domain กำหนดให้เก็บรหัสผ่านที่สามารถถอดรหัสแบบย้อนกับได้ ค่าเริ่มต้นจะไม่บังคับใช้

1.2 Account Lockout Policy เป็นนโยบายที่กำหนดรายละเอียดการปิดใช้งานยูสเซอร์ชั่วคราว มี 3 ข้อ คือ
- Account lockout duration ระยะเวลาเป็นนาทีที่ทำการปิดใช้งานยูสเซอร์ชั่วคราว
- Account lockout threshold จำนวนครั้งที่ทำการล็อกออนไม่ถูกต้องก่อนทำการปิดใช้งานยูสเซอร์ชั่วคราว
- Reset account lockout counter after ระยะเวลาเป็นนาทีที่ทำการยกเลิกการปิดใช้งานยูสเซอร์ชั่วคราว

2. นโยบายแบบโลคอล (Local Policies)
กำหนดรายละเอียดของยูสเซอร์ 3 หัวข้อ คือ Audit Policy, User Rights Assignment และ Security Option
2.1 Audit Policy เป็นนโยบายที่กำหนดให้ทำการเก็บบันทึกการใช้งานของยูสเซอร์
2.2 User Rights Assignment เป็นนโยบายที่กำหนดว่ายูสเซอร์มีสิทธิ์ในการกระทำอะไรได้บ้าง
2.3 Security Option เป็นนโยบายที่กำหนดเกี่ยวกับความปลอดภัยของระบบ

3. นโยบายคีย์สาธารณะ (Public Key Policies) เป็นนโยบายที่กำหนดเกี่ยวกับการแลกเปลี่ยนคีย์สาธารณะ ของยูสเซอร์
4. นโยบายด้านจำกัดการใช้งานซอฟต์แวร์ (Software Restriction Policies) เป็นนโยบายที่กำหนดเกี่ยวกับการจำกัดการใช้งานซอฟต์แวร์หรือโปรแกรมต่างๆ
5. นโยบายด้านการใช้งาน IPSec (IP Security Policies) เป็นนโยบายที่กำหนดเกี่ยวกับการสื่อสารผ่านโปรโตคอล IPSec

Domain Security Policy
นโยบายความปลอดภัยของโดเมนของวินโดวส์เซิร์ฟเวอร์ 2003 นั้นมีจำนวน 11 หัวข้อ คือ นโยบายด้านยูสเซอร์ (Account Policies), นโยบายแบบโลคอล (Local Policies), นโยบายคีย์สาธารณะ (Public Key Policies), นโยบายด้านจำกัดการใช้งานซอฟต์แวร์ (Software Restriction Policies) และ นโยบายด้านการใช้งาน IPSec (IP Security Policies) และที่เพิ่มขึ้นจาก Local Security Policy จำนวน 6 ตัว คือ ล็อกของเหตุการณ์ต่างๆ (Event Log), กลุ่มที่ถูกจำกัดสิทธิ์ (Restricted Groups), บริการของระบบ (System Services), รีจีสทรี (Registry), ไฟล์ระบบ (File System), เครือข่ายไร้สาย (Wireless Network IEEE 802.11)

1. นโยบายด้านยูสเซอร์ (Account Policies)
จะกำหนดรายละเอียดของยูสเซอร์ 3 หัวข้อ คือ Password Policy และ Account Lockout Policy
1.1 Password Policy เป็นนโยบายที่กำหนดรายละเอียดของรหัสผ่าน มี 6 ข้อ (รายละเอียด นโยบายด้านยูสเซอร์ ของ Local Security Settings)
1.2 Account Lockout Policy เป็นนโยบายที่กำหนดรายละเอียดการปิดใช้งานยูสเซอร์ชั่วคราว มี 3 ข้อ (รายละเอียด นโยบายด้านยูสเซอร์ ของ Local Security Settings)
1.3 Kerberos Policy เป็นนโยบายที่กำหนดรายละเอียดการใช้งาน Kerberos

2. นโยบายแบบโลคอล (Local Policies)
จะกำหนดรายละเอียดของยูสเซอร์ 3 อย่าง คือ Audit Policy, User Rights Assignment และ Security Option
2.1 Audit Policy
2.2 User Rights Assignment
2.3 Security Option

3. Event Log เป็นนโยบายที่กำหนดรายละเอียดของการล็อกเหตุการณ์ต่างๆ ของระบบ
4. Restricted Groups เป็นนโยบายที่กำหนดเกี่ยวกับกลุ่มที่ถูกจำกัดสิทธิ์
5. System Services เป็นนโยบายที่กำหนดเกี่ยวกับบริการต่างๆ ของระบบ
6. Registry เป็นนโยบายที่กำหนดเกี่ยวกับรีจีสทรีของระบบ
7. File System เป็นนโยบายที่กำหนดเกี่ยวกับระบบไฟล์ของระบบ
8. Wireless Network (IEEE 802.11) เป็นนโยบายที่กำหนดเกี่ยวกับระบบเครือข่ายไร้สาย
9. Public Key Policies เป็นนโยบายที่กำหนดเกี่ยวกับการแลกเปลี่ยนคีย์สาธารณะ ของยูสเซอร์
10. Software Restriction Policies เป็นนโยบายที่กำหนดเกี่ยวกับการจำกัดการใช้งานซอฟต์แวร์หรือโปรแกรมต่างๆ
11. IP Security Policies) เป็นนโยบายที่กำหนดเกี่ยวกับการสื่อสารผ่านโปรโตคอล IPSec

Domain Controller Security Policy
นโยบายความปลอดภัยของโดเมนคอนโทรลเลอร์ (Domain Controller Security Settings) นั้น จะเหมือนกับ Domain Security Settings ทุกประการ แต่แตกต่างกันที่จะบังคับใช้ได้เฉพาะกับเซิร์ฟเวอร์ที่เป็นโดเมนคอนโทรลเลอร์เท่านั้น ในขณะที่ Domain Security Settings นั้นสามารถบังคับใช้ได้กับเมมเบอร์เซิร์ฟเวอร์และเครื่องไคลเอ็นต์ที่เป็นสมาชิกของโดเมน

การตั้งค่าความปลอดภัยในวินโดวส์เซิร์ฟเวอร์ 2003
การตั้งค่าความปลอดภัยในวินโดวส์เซิร์ฟเวอร์ 2003 นั้น สามารถทำได้ดาการเรียกใช้งานจาก Administrative Tools ในกรณีที่ต้องการตั้งค่าให้กับ Standalone Server ก็ต้องทำการกำหนดนโยบายที่เซิร์ฟเวอร์ตัวที่ต้องการ แต่หากต้องการตั้งค่าให้กับเซิร์ฟเวอร์ทั้งหมดในเมนหรือโดเมนคอนโทรลเลอร์ ก็ต้องกำหนดนโยบายที่โดเมนคอนโทรลเลอร์เซิร์ฟเวอร์ของโดเมน ซึ่งวิธีการคอนฟิกนั้นจะเหมือนกัน แต่จะแตกต่างกันในด้านขอบเขตการบังคับใช้

Group Policy Management Console (GPMC)
GPMC นั้นเป็นเครื่องมือสำหรับใช้จัดการเกี่ยวกับ GPO โดยเฉพาะ ซึ่งช่วยให้ Administrator นั้นสามารถบริหารจัดการ GPO ได้อย่างมีประสิทธิภาพเพิ่มขึ้น GPMC นั้นไม่ได้ถูกติดตั้งโดยอัตโนมัติ ดังนั้นต้องทำการติดตั้งเสียก่อนจึงจะสามารถเรียกใช้งาน GPMC ได้ การเรียกใช้ GPMC นั้นสามารถทำได้ 3 วิธีดังนี้
1. เรียกจาก Administrator Tools
All Programs>Administrator Tools>Group Policy Management Console
2. เรียกจากในหน้าต่าง Active Directory Computers and Users
2.1 ใน console tree ของ Active Directory Users and Computers ให้ right-click click ที่ domain
หรือ OU แล้วเลือก Properties
2.2 จากนั้น click แท็ป Group Policy แล้ว click ปุ่ม Open
3. เรียกใช้โปรแกรมจาก Site ของวินโดวส์เซิร์ฟเวอร์ 2003 Domain
3.1 ใน Active Directory Sites and Services ให้ click ที่ site แล้ว right-click ที่ site name
3.2 click Properties, จากนั้น click แท็ป Group Policy แล้ว click ปุ่ม Open

Group Policy Object (GPO)
Group Policy Object (GPO) คือ ชุดของ Object ต่างๆ ที่สามารถใช้เพื่อกำหนดนโยบายเพื่อใช้ควบคุมการทำงานของเครื่องคอมพิวเตอร์และผู้ใช้ GPO นั้นจะเก็บอยู่บน Domain โดยสามารถนำไปควบคุมเครื่องคอมพิวเตอร์และผู้ใช้ที่อยู่ใน Site, Domain และ OU
Policy คือ นโยบายที่กำหนดโดยผู้ดูแลระบบ (Administrator) เพื่อใช้ควบคุมการทำงานของเครื่องคอมพิวเตอร์และผู้ใช้
Group Policy คือ กลุ่มของนโยบายต่างๆ ที่ใช้เพื่อควบคุมการทำงานของเครื่องคอมพิวเตอร์และผู้ใช้

Tips:
การแก้ไขค่า GPO นั้นเปลี่ยนแปลงใดๆ จะถูก save โดยอัตโนมัติเมื่อปิด สแนป-อิน (Snap-in) ดังนั้นให้ตรวจสอบการตั้งค่าต่างๆให้ถูกต้องก่อนออกจาก สแนป-อิน (Snap-in)

Keywords: Windows Server 2003 Security Policy GPMC GPO

© 2008, All Rights Reserved.