Wednesday, July 30, 2008

นโยบายความปลอดภัยของ Windows Server 2008

นโยบายด้านความปลอดภัย (Security Policy) ของระบบวินโดวส์ คือ เงื่อนไขหรือข้อกำหนดต่างๆ ที่วินโดวส์ใช้ควบคุมการทำงานของระบบ และด้วยเหตุผลทางด้านความปลอดภัยทางไมโครซอฟท์ได้ออกแบบให้การติดตั้งวินโดวส์เซิร์ฟเวอร์ 2008 จะถูกติดตั้งพร้อมกับนโยบายความปลอดภัยที่น่าเชื่อถือโดยดีฟอลท์เพื่อใช้ควบคุมการทำงานของระบบเซิร์ฟเวอร์ให้มีความปลอดภัยมากที่สุด ตัวอย่างเช่น นโยบายด้านพาสเวิร์ด ซึ่งจะต้องเป็นไปตามข้อบังคับ Password must meet complexity requirement (รายละเอียดจะกล่าวถึงในภายหลังครับ)

นโยบายความปลอดภัยเริ่มต้น (Default Security Policy) ของวินโดวส์เซิร์ฟเวอร์ 2003 และ 2008 นั้น มีชื่อว่า Local Security Settings ซึ่งนโยบายความปลอดภัยนี้จะสามารถบังคับใช้ได้เฉพาะกับโดลคอเซิร์ฟเวอร์ตัวนั้นๆ เท่านั้น ซึ่ง Local Security Settings นั้นเป็นนโยบายความปลอดภัยหลักสำหรับควบคุมระบบวินโดวส์เซิร์ฟเวอร์ 2008 ในการใช้งานแบบเซิร์ฟเวอร์เดี่ยว (Standalone Server) หรือการใช้งานในแบบเวิร์กกรุ๊ป (Workgroup) สำหรับการใช้งานในสภาวะแบบเอ็กทีฟไดเร็คตอรีนั้น โยบายด้านความปลอดภัยจะมีซับซ้อนมากขึ้น ซึ่งจะได้กล่าวถึงในรายละเอียดในโอกาสต่อๆ ไปครับ

รูปแบบนโยบายความปลอดภัยในวินโดวส์เซิร์ฟเวอร์ 2008
ในวินโดวส์เซิร์ฟเวอร์ 2008 นั้น จะมีรูปแบบนโยบายความปลอดภัยแตกต่างกันออกไป ตามลักษณะการใช้งาน หรือหน้าที่ตัวเซิร์ฟเวอร์นั้นๆ โดยสามารถสรุปได้ ดังนี้

• การใช้งานวินโดวส์เซิร์ฟเวอร์ 2008 แบบเซิร์ฟเวอร์เดี่ยว (Standalone Server)
ในการใช้งานโดวส์เซิร์ฟเวอร์ 2008 ใช้งานแบบเซิร์ฟเวอร์เดี่ยวนั้น จะมีค่านโยบายความปลอดภัยเริ่มต้นของตัวเซิร์ฟเวอร์เอง คือ Local Security Policy เพียงตัวเดียว
• การใช้งานวินโดวส์เซิร์ฟเวอร์ 2008 เป็นสมาชิกของโดเมน (Domain Member Server)
ในกรณีที่วินโดวส์เซิร์ฟเวอร์ 2008 เป็นสมาชิกของโดเมน (Domain Member Server) นั้น ค่านโยบายความปลอดภัยดีฟอลท์ของตัวเซิร์ฟเวอร์เอง คือ Local Security Policy ก็จะยังคงอยู่ และสามารถที่จะทำการควบคุมเซิร์ฟเวอร์โดยใช้นโยบายความปลอดภัยของโดเมนได้
• การใช้งานวินโดวส์เซิร์ฟเวอร์ 2008 เป็นโดเมนคอนโทรเลอร์ (Domain Controller Server)
ในกรณีที่วินโดวส์เซิร์ฟเวอร์ 2008 ทำหน้าที่เป็นโดเมนคอนโทรเลอร์ (Domain Controller Server) นั้น ค่านโยบายความปลอดภัยดีฟอลท์ของตัวเซิร์ฟเวอร์แบบ Local Security Policy จะหายไป แต่จะมีนโยบายความปลอดภัยตัวใหม่ขึ้นมา 2 ตัว คือ Domain Security Policy ซึ่งสามารถใช้บังคับใช้กับเซิร์ฟเวอร์ที่เป็นสมาชิกของโดเมนทุกตัวรวมถึงโดเมนคอนโทรเลอร์ และ Domain Controller Security Policy นโยบายความปลอดภัยถูกสร้างขึ้นมาเพื่อบังคับใช้เฉพาะกับเซิร์ฟเวอร์ที่เป็นโดเมนคอนโทรลเลอร์ (Domain Controller) ทุกตัวในโดเมน

คุณลักษณะของนโยบายความปลอดภัยในวินโดวส์เซิร์ฟเวอร์ 2008
นโยบายความปลอดภัยในวินโดวส์เซิร์ฟเวอร์ 2008 แต่ละแบบนั้น มีคุณลักษณะดังนี้
• Local Security Policy นโยบายความปลอดภัยที่ถูกสร้างขึ้นพร้อมการติดตั้งวินโดวส์ สามารถบังคับใช้ได้เฉพาะกับเซิร์ฟเวอร์ตัวนั้นๆ เท่านั้น
• Domain Security Policy นโยบายความปลอดภัยถูกสร้างขึ้นมาโดยโดเมนคอนโทรลเลอร์ (Domain Controller) สามารถใช้บังคับใช้กับเซิร์ฟเวอร์ที่เป็นสมาชิกของโดเมนทุกตัวรวมถึงโดเมนคอนโทรลเลอร์
• Domain Controller Security Policy นโยบายความปลอดภัยที่ถูกสร้างขึ้นมาโดยโดเมนคอนโทรลเลอร์ (Domain Controller) เพื่อบังคับใช้กับโดเมนคอนโทรลเลอร์ (Domain Controller) ทุกตัว
• ในการบังคับใช้นั้น Domain Security Policy จะมีระดับความสำคัญ (Priority) สูงกว่า Local Security Policy โดยสามารถหักล้าง (Override) นโยบายที่ขัดกันได้
• ลำดับความสำคัญ (Priority order) ของ Security Policy นั้นเรียงตามเรียงลำดับตามการบังคับใช้โดยนโยบายที่บังคับใช้ก่อนจะมีลำดับความสำคัญน้อยกว่านโยบายที่ที่บังคับใช้ทีหลัง ลำดับตามการบังคับใช้มีดังนี้
1. Local (ความสำคัญต่ำที่สุด)
2. Site
3. Domain
4. Organizational unit (OU)
5. Child OU
6. [Child OU etc.] (ความสำคัญสูงที่สุด)

Windows Server 2008 Security Policy GPMC GPO

© 2008 Thai Windows Administrator, All Rights Reserved.

Related Posts:

  • วิธีการเปิด Command Prompt ด้วยสิทธิ์ผู้ดูแลระบบบน Windows 8/8.1 Previewบทความนี้ผมรวบรวมวิธีการต่างๆ สำหรับใช้เปิดหน้าต่างคอมมานด์พรอมท์ (Command Prompt) ด้วยสิทธิ์ผู้ดูแลระบบบน Windows 8/8.1 Preview มาฝากครับ เปิด Command Prompt ด้วยสิทธิ์ผู้ดูแลระบบบน Windows 8 การเปิดคอมมานด์พรอมท์ด้วยสิท… Read More
  • วิธีประเมิน Windows Experience Index (WEI) คอมพิวเตอร์ Windows 8.1 Previewเนื่องจากไม่ค่อยได้รับความนิยมจากผู้ใช้ ทำให้ไมโครซอฟท์ยกเลิกคุณลักษณะ Windows Experience Index (WEI) ซึ่งเป็นเครื่องมือประเมินความสามารถของเครื่องคอมพิวเตอร์ออกจากหน้า System Properties ของ Windows 8.1 Preview แต่นั้นไม่ได้ห… Read More
  • วิธีการประเมิน Windows Experience Index (WEI) คอมพิวเตอร์ Windows 8Windows Experience Index (WEI) เป็นเครื่องมือประเมินความสามารถของเครื่องคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows โดยแสดงผลการประเมินเป็นคะแนนฐาน (Base Score) ซึ่งเครื่องคอมพิวเตอร์ที่มีค่าคะแนนฐานสูงกว่าหมายความว่าคอมพิวเตอร์ม… Read More
  • วิธีการเปิด Command Prompt ภายใต้สิทธิ์ผู้ดูแลระบบแบบถาวรบน Windows 7การเปิดคอมมานด์พรอมท์ (Command Prompt) บน Windows 7 ตามปกติจะรันภายใต้สิทธิ์ผู้ใช้ธรรมดา (Standard user) แต่ถ้าต้องการเปิดหน้าต่างคอมมานด์พรอมท์ภายใต้สิทธิ์ของผู้ดูแลระบบ (Administrator Privileges) จะต้องเปิดโดยการคลิก Start … Read More
  • แนะนำไคลเอ็นต์ Remote Desktop บน Windows 7ผมได้เคยโพสต์วิธีการเปิดใช้งาน Remote Desktop ใน Windows 7 ซึ่งจะเป็นการเปิดรับการรีโมทจากคอมพิวเตอร์เครื่องอื่นๆ ในบทความเรื่อง Enable Remote Desktop in Windows 7 สำหรับบทความนี้จะเป็นการแนะนำโปรแกรมไคลเอ็นต์ Remote Desktop … Read More

0 Comment: