Wednesday, July 30, 2008

นโยบายความปลอดภัยของ Windows Server 2008

นโยบายด้านความปลอดภัย (Security Policy) ของระบบวินโดวส์ คือ เงื่อนไขหรือข้อกำหนดต่างๆ ที่วินโดวส์ใช้ควบคุมการทำงานของระบบ และด้วยเหตุผลทางด้านความปลอดภัยทางไมโครซอฟท์ได้ออกแบบให้การติดตั้งวินโดวส์เซิร์ฟเวอร์ 2008 จะถูกติดตั้งพร้อมกับนโยบายความปลอดภัยที่น่าเชื่อถือโดยดีฟอลท์เพื่อใช้ควบคุมการทำงานของระบบเซิร์ฟเวอร์ให้มีความปลอดภัยมากที่สุด ตัวอย่างเช่น นโยบายด้านพาสเวิร์ด ซึ่งจะต้องเป็นไปตามข้อบังคับ Password must meet complexity requirement (รายละเอียดจะกล่าวถึงในภายหลังครับ)

นโยบายความปลอดภัยเริ่มต้น (Default Security Policy) ของวินโดวส์เซิร์ฟเวอร์ 2003 และ 2008 นั้น มีชื่อว่า Local Security Settings ซึ่งนโยบายความปลอดภัยนี้จะสามารถบังคับใช้ได้เฉพาะกับโดลคอเซิร์ฟเวอร์ตัวนั้นๆ เท่านั้น ซึ่ง Local Security Settings นั้นเป็นนโยบายความปลอดภัยหลักสำหรับควบคุมระบบวินโดวส์เซิร์ฟเวอร์ 2008 ในการใช้งานแบบเซิร์ฟเวอร์เดี่ยว (Standalone Server) หรือการใช้งานในแบบเวิร์กกรุ๊ป (Workgroup) สำหรับการใช้งานในสภาวะแบบเอ็กทีฟไดเร็คตอรีนั้น โยบายด้านความปลอดภัยจะมีซับซ้อนมากขึ้น ซึ่งจะได้กล่าวถึงในรายละเอียดในโอกาสต่อๆ ไปครับ

รูปแบบนโยบายความปลอดภัยในวินโดวส์เซิร์ฟเวอร์ 2008
ในวินโดวส์เซิร์ฟเวอร์ 2008 นั้น จะมีรูปแบบนโยบายความปลอดภัยแตกต่างกันออกไป ตามลักษณะการใช้งาน หรือหน้าที่ตัวเซิร์ฟเวอร์นั้นๆ โดยสามารถสรุปได้ ดังนี้

• การใช้งานวินโดวส์เซิร์ฟเวอร์ 2008 แบบเซิร์ฟเวอร์เดี่ยว (Standalone Server)
ในการใช้งานโดวส์เซิร์ฟเวอร์ 2008 ใช้งานแบบเซิร์ฟเวอร์เดี่ยวนั้น จะมีค่านโยบายความปลอดภัยเริ่มต้นของตัวเซิร์ฟเวอร์เอง คือ Local Security Policy เพียงตัวเดียว
• การใช้งานวินโดวส์เซิร์ฟเวอร์ 2008 เป็นสมาชิกของโดเมน (Domain Member Server)
ในกรณีที่วินโดวส์เซิร์ฟเวอร์ 2008 เป็นสมาชิกของโดเมน (Domain Member Server) นั้น ค่านโยบายความปลอดภัยดีฟอลท์ของตัวเซิร์ฟเวอร์เอง คือ Local Security Policy ก็จะยังคงอยู่ และสามารถที่จะทำการควบคุมเซิร์ฟเวอร์โดยใช้นโยบายความปลอดภัยของโดเมนได้
• การใช้งานวินโดวส์เซิร์ฟเวอร์ 2008 เป็นโดเมนคอนโทรเลอร์ (Domain Controller Server)
ในกรณีที่วินโดวส์เซิร์ฟเวอร์ 2008 ทำหน้าที่เป็นโดเมนคอนโทรเลอร์ (Domain Controller Server) นั้น ค่านโยบายความปลอดภัยดีฟอลท์ของตัวเซิร์ฟเวอร์แบบ Local Security Policy จะหายไป แต่จะมีนโยบายความปลอดภัยตัวใหม่ขึ้นมา 2 ตัว คือ Domain Security Policy ซึ่งสามารถใช้บังคับใช้กับเซิร์ฟเวอร์ที่เป็นสมาชิกของโดเมนทุกตัวรวมถึงโดเมนคอนโทรเลอร์ และ Domain Controller Security Policy นโยบายความปลอดภัยถูกสร้างขึ้นมาเพื่อบังคับใช้เฉพาะกับเซิร์ฟเวอร์ที่เป็นโดเมนคอนโทรลเลอร์ (Domain Controller) ทุกตัวในโดเมน

คุณลักษณะของนโยบายความปลอดภัยในวินโดวส์เซิร์ฟเวอร์ 2008
นโยบายความปลอดภัยในวินโดวส์เซิร์ฟเวอร์ 2008 แต่ละแบบนั้น มีคุณลักษณะดังนี้
• Local Security Policy นโยบายความปลอดภัยที่ถูกสร้างขึ้นพร้อมการติดตั้งวินโดวส์ สามารถบังคับใช้ได้เฉพาะกับเซิร์ฟเวอร์ตัวนั้นๆ เท่านั้น
• Domain Security Policy นโยบายความปลอดภัยถูกสร้างขึ้นมาโดยโดเมนคอนโทรลเลอร์ (Domain Controller) สามารถใช้บังคับใช้กับเซิร์ฟเวอร์ที่เป็นสมาชิกของโดเมนทุกตัวรวมถึงโดเมนคอนโทรลเลอร์
• Domain Controller Security Policy นโยบายความปลอดภัยที่ถูกสร้างขึ้นมาโดยโดเมนคอนโทรลเลอร์ (Domain Controller) เพื่อบังคับใช้กับโดเมนคอนโทรลเลอร์ (Domain Controller) ทุกตัว
• ในการบังคับใช้นั้น Domain Security Policy จะมีระดับความสำคัญ (Priority) สูงกว่า Local Security Policy โดยสามารถหักล้าง (Override) นโยบายที่ขัดกันได้
• ลำดับความสำคัญ (Priority order) ของ Security Policy นั้นเรียงตามเรียงลำดับตามการบังคับใช้โดยนโยบายที่บังคับใช้ก่อนจะมีลำดับความสำคัญน้อยกว่านโยบายที่ที่บังคับใช้ทีหลัง ลำดับตามการบังคับใช้มีดังนี้
1. Local (ความสำคัญต่ำที่สุด)
2. Site
3. Domain
4. Organizational unit (OU)
5. Child OU
6. [Child OU etc.] (ความสำคัญสูงที่สุด)

Windows Server 2008 Security Policy GPMC GPO

© 2008 Thai Windows Administrator, All Rights Reserved.

Related Posts:

  • Manage Windows Server 2008 Active Directory from Windows Vistaจัดการ Windows Server 2008 Active Directory จากเครื่อง Windows Vista บทความโดย: Windows Administrator Blog ในสภาพแวดล้อมแบบ Server 2008 Active Directory Domain นั้น แอดมินสามารถใช้เครื่อง Windows Vista ในการจัดการ Domain Con… Read More
  • Windows Server 2008 R2 Beta 1 ไมโครซอฟท์เปิดให้ดาวน์โหลด Windows Server 2008 R2 Beta 1 บทความโดย: Windows Administrator Blog หลังจากที่ไมโครซอฟท์ได้เปิดตัว Windows Server 2008 R2 Beta 1 ในงาน CES ไปเมื่อต้นเดือนที่ผ่านมา เมื่อวันที่ 29 มกราคม 2552 ที่ผ… Read More
  • An Introduction to Microsoft Hyper-V Server 2008แนะนำ Microsoft Hyper-V Server 2008 บทความโดย: Windows Administrator Blog [อัพเดท: วันที่ 2 มกราคม 2552 ไมโครซอฟท์ออก Microsoft Hyper-V Server 2008 R2 Beta] Microsoft Hyper-V Server 2008 เป็นผลิตภันฑ์แบบ "สแตนด์อะโลน (Stand… Read More
  • Windows Server 2008 R2 Activationการแอ็กติเวต Windows Server 2008 R2 บทความโดย: Thai Windows Administrator Blog บทความนี้จะแสดงวิธีการแอ็กติเวต Windows Server 2008 R2 รวมถึงการเปลี่ยนหมายเลขผลิตภัณฑ์ โดยวิธีการนี้สามารถนำไปใช้ในการแอ็กติเวต Windows 7 ได้อี… Read More
  • Windows Server 2008 R2 Beta 1 Installationทดลองติดตั้ง Windows Server 2008 R2 Beta 1 บทความโดย: Windows Administrator Blog การติดตั้ง Windows Server 2008 R2 Beta 1 นั้น จะมีขั้นตอนคล้ายๆ กันกับการติดตั้ง Windows Vista โดยในการทดลองนี้จะติดตั้ง Windows Server 2008 R2… Read More

0 Comment: