นโยบายความปลอดภัยของ Windows Server 2008

นโยบายด้านความปลอดภัย (Security Policy) ของระบบวินโดวส์ คือ เงื่อนไขหรือข้อกำหนดต่างๆ ที่วินโดวส์ใช้ควบคุมการทำงานของระบบ และด้วยเหตุผลทางด้านความปลอดภัยทางไมโครซอฟท์ได้ออกแบบให้การติดตั้งวินโดวส์เซิร์ฟเวอร์ 2008 จะถูกติดตั้งพร้อมกับนโยบายความปลอดภัยที่น่าเชื่อถือโดยดีฟอลท์เพื่อใช้ควบคุมการทำงานของระบบเซิร์ฟเวอร์ให้มีความปลอดภัยมากที่สุด ตัวอย่างเช่น นโยบายด้านพาสเวิร์ด ซึ่งจะต้องเป็นไปตามข้อบังคับ Password must meet complexity requirement (รายละเอียดจะกล่าวถึงในภายหลังครับ)

นโยบายความปลอดภัยเริ่มต้น (Default Security Policy) ของวินโดวส์เซิร์ฟเวอร์ 2003 และ 2008 นั้น มีชื่อว่า Local Security Settings ซึ่งนโยบายความปลอดภัยนี้จะสามารถบังคับใช้ได้เฉพาะกับโดลคอเซิร์ฟเวอร์ตัวนั้นๆ เท่านั้น ซึ่ง Local Security Settings นั้นเป็นนโยบายความปลอดภัยหลักสำหรับควบคุมระบบวินโดวส์เซิร์ฟเวอร์ 2008 ในการใช้งานแบบเซิร์ฟเวอร์เดี่ยว (Standalone Server) หรือการใช้งานในแบบเวิร์กกรุ๊ป (Workgroup) สำหรับการใช้งานในสภาวะแบบเอ็กทีฟไดเร็คตอรีนั้น โยบายด้านความปลอดภัยจะมีซับซ้อนมากขึ้น ซึ่งจะได้กล่าวถึงในรายละเอียดในโอกาสต่อๆ ไปครับ

รูปแบบนโยบายความปลอดภัยในวินโดวส์เซิร์ฟเวอร์ 2008
ในวินโดวส์เซิร์ฟเวอร์ 2008 นั้น จะมีรูปแบบนโยบายความปลอดภัยแตกต่างกันออกไป ตามลักษณะการใช้งาน หรือหน้าที่ตัวเซิร์ฟเวอร์นั้นๆ โดยสามารถสรุปได้ ดังนี้

• การใช้งานวินโดวส์เซิร์ฟเวอร์ 2008 แบบเซิร์ฟเวอร์เดี่ยว (Standalone Server)
ในการใช้งานโดวส์เซิร์ฟเวอร์ 2008 ใช้งานแบบเซิร์ฟเวอร์เดี่ยวนั้น จะมีค่านโยบายความปลอดภัยเริ่มต้นของตัวเซิร์ฟเวอร์เอง คือ Local Security Policy เพียงตัวเดียว
• การใช้งานวินโดวส์เซิร์ฟเวอร์ 2008 เป็นสมาชิกของโดเมน (Domain Member Server)
ในกรณีที่วินโดวส์เซิร์ฟเวอร์ 2008 เป็นสมาชิกของโดเมน (Domain Member Server) นั้น ค่านโยบายความปลอดภัยดีฟอลท์ของตัวเซิร์ฟเวอร์เอง คือ Local Security Policy ก็จะยังคงอยู่ และสามารถที่จะทำการควบคุมเซิร์ฟเวอร์โดยใช้นโยบายความปลอดภัยของโดเมนได้
• การใช้งานวินโดวส์เซิร์ฟเวอร์ 2008 เป็นโดเมนคอนโทรเลอร์ (Domain Controller Server)
ในกรณีที่วินโดวส์เซิร์ฟเวอร์ 2008 ทำหน้าที่เป็นโดเมนคอนโทรเลอร์ (Domain Controller Server) นั้น ค่านโยบายความปลอดภัยดีฟอลท์ของตัวเซิร์ฟเวอร์แบบ Local Security Policy จะหายไป แต่จะมีนโยบายความปลอดภัยตัวใหม่ขึ้นมา 2 ตัว คือ Domain Security Policy ซึ่งสามารถใช้บังคับใช้กับเซิร์ฟเวอร์ที่เป็นสมาชิกของโดเมนทุกตัวรวมถึงโดเมนคอนโทรเลอร์ และ Domain Controller Security Policy นโยบายความปลอดภัยถูกสร้างขึ้นมาเพื่อบังคับใช้เฉพาะกับเซิร์ฟเวอร์ที่เป็นโดเมนคอนโทรลเลอร์ (Domain Controller) ทุกตัวในโดเมน

คุณลักษณะของนโยบายความปลอดภัยในวินโดวส์เซิร์ฟเวอร์ 2008
นโยบายความปลอดภัยในวินโดวส์เซิร์ฟเวอร์ 2008 แต่ละแบบนั้น มีคุณลักษณะดังนี้
• Local Security Policy นโยบายความปลอดภัยที่ถูกสร้างขึ้นพร้อมการติดตั้งวินโดวส์ สามารถบังคับใช้ได้เฉพาะกับเซิร์ฟเวอร์ตัวนั้นๆ เท่านั้น
• Domain Security Policy นโยบายความปลอดภัยถูกสร้างขึ้นมาโดยโดเมนคอนโทรลเลอร์ (Domain Controller) สามารถใช้บังคับใช้กับเซิร์ฟเวอร์ที่เป็นสมาชิกของโดเมนทุกตัวรวมถึงโดเมนคอนโทรลเลอร์
• Domain Controller Security Policy นโยบายความปลอดภัยที่ถูกสร้างขึ้นมาโดยโดเมนคอนโทรลเลอร์ (Domain Controller) เพื่อบังคับใช้กับโดเมนคอนโทรลเลอร์ (Domain Controller) ทุกตัว
• ในการบังคับใช้นั้น Domain Security Policy จะมีระดับความสำคัญ (Priority) สูงกว่า Local Security Policy โดยสามารถหักล้าง (Override) นโยบายที่ขัดกันได้
• ลำดับความสำคัญ (Priority order) ของ Security Policy นั้นเรียงตามเรียงลำดับตามการบังคับใช้โดยนโยบายที่บังคับใช้ก่อนจะมีลำดับความสำคัญน้อยกว่านโยบายที่ที่บังคับใช้ทีหลัง ลำดับตามการบังคับใช้มีดังนี้
1. Local (ความสำคัญต่ำที่สุด)
2. Site
3. Domain
4. Organizational unit (OU)
5. Child OU
6. [Child OU etc.] (ความสำคัญสูงที่สุด)

Windows Server 2008 Security Policy GPMC GPO

© 2008 Thai Windows Administrator, All Rights Reserved.