bài 8 triển khai bảo mật sử dụng chính sách nhóm (group policy)

Nội dung bài học trướcCấu hình các thiết lập Group Policy Cấu hình Scripts và Folder Redirection với Group Policy Cấu hình Administrative Templates Triển khai cài đặt phần mềm bằng Group

Nội dung bài học trước

Cấu hình các thiết lập Group Policy

Cấu hình Scripts và Folder Redirection với Group Policy

Cấu hình Administrative Templates

Triển khai cài đặt phần mềm bằng Group Policy

Cấu hình Group Policy Preferences

Giới thiệu về Group Policy Troubleshooting

Khắc phục sự cố về ứng dụng trong Group Policy

Khắc phục sự cố về thiết lập trong Group Policy

Cấu hình các thiết lập Group Policy

Cấu hình Scripts và Folder Redirection với Group Policy

Cấu hình Administrative Templates

Triển khai cài đặt phần mềm bằng Group Policy

Cấu hình Group Policy Preferences

Giới thiệu về Group Policy Troubleshooting

Khắc phục sự cố về ứng dụng trong Group Policy

Khắc phục sự cố về thiết lập trong Group Policy

Chính sách bảo mật

Chính sách bảo mật (Security Policy):

Chính sách tài khoản

Thiết lập mặc định

Password

Chính sách

• Quản lý độ phức tạp và thời gian tồn tại của mật khẩu

• Thời gian tối đa của 1 mật khẩu: 42 ngày

• Thời gian tối thiểu của 1 mật khẩu: 1 ngày

• Chiều dài tối thiểu:7 ký tự

• Độ phức tạp: yêu cầu

• Lưu trữ mật khẩu bằng mã hóa có khả năng khôi phục: tắt

Account policies bao gồm:

Chính sách tài khoản (Account policy) giảm thiểu các mối đe dọa tới tài khoản

Password

Account lockout

Kerberos

• Quản lý độ phức tạp và thời gian tồn tại của mật khẩu

• Thời gian tối đa của 1 mật khẩu: 42 ngày

• Thời gian tối thiểu của 1 mật khẩu: 1 ngày

• Chiều dài tối thiểu:7 ký tự

• Độ phức tạp: yêu cầu

• Lưu trữ mật khẩu bằng mã hóa có khả năng khôi phục: tắt

• Quản lý số lần nhập mật khẩu sai

• Thời gian Lockout: duration not defined

• Lockout threshold: 0 invalid logon attempts

• Reset account lockout after: not defined

• Là 1 nhóm các thuộc tính của chính sách bảo mật domain

• Chỉ được dụng ở cấp độ Domain

Chính sách cục bộ

Các chính sách cục bộ của các máy tính chạy Windows 2000 và các hệ điều hành sau

đó là 1 phần của Group Policy cục bộ

Windows Vista và Windows Server 2008

Chính sách không dây của Windows Vista có thể cấm truy cập vào các mạng không dây

Chỉ mạng không dây Windows XP

Windows Vista Mạng dây

GPO

Chính sách mặc định của Domain

Controller

Ba khu vực cần phải được kiểm tra:

Chính sách gán quyền người dùng: logging on locally, shutdown

Chính sách bảo mật Domain mặc định

• Cung cấp các chính sách tài khoản Domain, các thiết lập khác

không được cấu hình bởi mặc định

• Sử dụng để cung cấp các thiết lập bảo mật sẽ ảnh hường tới

toàn bộ Domain

• Sử dụng Domain Policy để cung cấp các thiết lập bảo mật 1

cách tốt nhất sử dụng các GPO để thiết lập các loại bảo mật

khác nhau

• Cung cấp các chính sách tài khoản Domain, các thiết lập khác

không được cấu hình bởi mặc định

• Sử dụng để cung cấp các thiết lập bảo mật sẽ ảnh hường tới

toàn bộ Domain

• Sử dụng Domain Policy để cung cấp các thiết lập bảo mật 1

cách tốt nhất sử dụng các GPO để thiết lập các loại bảo mật

khác nhau

Domain Default domain policy

Account and security settings

Các đặc điểm của Security Policy

Nhóm hạn chế

Chính sách nhóm hạn chế (Restricted Groups) cho phép

quản trị các thành viên của nhóm

Members

• Chính sách là dành cho 1 nhóm cục bộ

• Xác định các thành viên (nhóm và ngườidùng)

Xác định thành viên nhóm bằng các

quyền ưu tiên chính sách nhóm

Tạo, xóa, hoặc thay thế 1 nhóm cục bộ

Sửa tên 1 nhóm cục bộ

Thay đổi miêu tả

Thay đổi thành viên nhóm

Các quyền ưu tiên chính

Thay đổi miêu tả

Thay đổi thành viên nhóm

Các quyền ưu tiên chính

sách nhóm cục bộ có ở cả

Cấu hình máy tính và

Cấu hình người dùng

Chính sách Fine-Grained Password

Phải đổi password:

7 ngày

Fine-grained passwords cho phép nhiều chính sách password

đối tượng trong Domain

Administrator group

Manager group End user group

Phải đổi password:

14 ngày Phải đổi password:30 ngày

Fine-Grained Password được thực thi

như thế nào?

Cần xem xét khi thực thi các PSO:

Password Settings Container (PSC) và Password Setting Objects (PSO)

là các lớp đối tượng trong Domain

Thực thi chính sách Fine-Grained

Password

• Shadow groups có thể sử dụng để áp dụng PSO tới tất cả

người dùng mà đã không sẵn sàng chia sẻ tới 1 global group

• Một người dùng hoặc 1 nhóm có thể có nhiều PSO áp đặt tới Thuộc tính ưu tiên được dùng để giải quyết vấn đề xung đột

• PSOs được liên kết trực tiếp tới người dùng, ghi đè lên PSO

được liên kết tới 1 người dùng trong global groups

• Nếu không có PSO, chính sách domain account thường sẽ

được áp dụng

• Shadow groups có thể sử dụng để áp dụng PSO tới tất cả

người dùng mà đã không sẵn sàng chia sẻ tới 1 global group

• Một người dùng hoặc 1 nhóm có thể có nhiều PSO áp đặt tới Thuộc tính ưu tiên được dùng để giải quyết vấn đề xung đột

• PSOs được liên kết trực tiếp tới người dùng, ghi đè lên PSO

được liên kết tới 1 người dùng trong global groups

• Nếu không có PSO, chính sách domain account thường sẽ

được áp dụng

Hạn chế Group Membership

Group Policy có thể điều khiển group membership:

• Đối với bất kỳ nhóm trên một máy tính cục bộ: áp dụng một GPO cho OU

để giữ tài khoản máy tính

• Đối với bất kỳ nhóm trên AD DS: áp dụng 1 GPO tới Domain Controller

• Ngăn chặn các thiệt hại

• Auditing kiểm soát truy cập vào các đối tượng, quản lý tài khoản, và người

sử dụng đăng nhập và tắt máy

Chính sách giám sát

• Chính sách giám sát (Audit policy) xác định các sự kiện an ninh sẽ được báo cáo cho người quản trị mạng

• Thiết lập 1 Audit Policy để:

• Theo dõi sự thành công hay thất bại của sự kiện

• Giảm thiểu sử dụng trái phép các nguồn tài nguyên

• Duy trì một hồ sơ về hoạt động

• Security events được lưu trong security logs

• Chính sách giám sát (Audit policy) xác định các sự kiện an ninh sẽ được báo cáo cho người quản trị mạng

• Thiết lập 1 Audit Policy để:

• Theo dõi sự thành công hay thất bại của sự kiện

• Giảm thiểu sử dụng trái phép các nguồn tài nguyên

• Duy trì một hồ sơ về hoạt động

• Security events được lưu trong security logs

Các loại sự kiện để Audit

• Tài khoản đăng nhập

• Quản lý tài khoản

• Truy cập Directory Service

• Các thay đổi trong Directory Service

• Sao lưu Directory Service

• Chi tiết về sao lưu Directory Service

• Tài khoản đăng nhập

• Quản lý tài khoản

• Truy cập Directory Service

• Các thay đổi trong Directory Service

• Sao lưu Directory Service

• Chi tiết về sao lưu Directory Service

Khắc phục sự cố chính sách Audit

Kiểm tra Security Log trong Event Viewer

Sau khi cấu hình audit, nó có thể vẫn không hoạt động do 1 số nguyên nhân sau:

• Thiết lập do chính sách của 1 site, 1 domain, hoặc 1 OU trùm lên chính sách Auditnày

• 1 GPO có độ ưu tiên cao hơn trùm lên chính sách này

• Thiết lập do chính sách của 1 site, 1 domain, hoặc 1 OU có bao gồm chính sáchaudit này nhưng không được sao lưu sang các máy tính khác

Sau khi cấu hình audit, nó có thể vẫn không hoạt động do 1 số nguyên nhân sau:

• Thiết lập do chính sách của 1 site, 1 domain, hoặc 1 OU trùm lên chính sách Auditnày

• 1 GPO có độ ưu tiên cao hơn trùm lên chính sách này

• Thiết lập do chính sách của 1 site, 1 domain, hoặc 1 OU có bao gồm chính sáchaudit này nhưng không được sao lưu sang các máy tính khác

Giám sát đối tượng truy cập

• Nắm được sự kế thừa ảnh hưởng như thế nào đến file và thư mục giám sát

Các thiết lập Giám sát nhất định cho 1

file hoặc thư mục

Thay đổi danh sách điều khiển truy cập hệ thống (SACL)

Properties

Advanced

Auditing

Edit

Kích hoạt chính sách giám sát

Kích hoạt sự giám sát cho 1 đối tượng truy cập: thành

công (Success) và/hoặc thất bại (Failure)

GPO phải có phạm vi là server

Kích hoạt sự giám sát cho 1 đối tượng truy cập: thành

công (Success) và/hoặc thất bại (Failure)

GPO phải có phạm vi là server

• Các ngoại lệ cho quy tắc mặc định

• Cơ chế policy-driven để xác định và điều khiển phần mềm trên một

Các tùy chọn cho việc cấu hình chính sách

Software Restriction

Certificate Rule

• Kiểm tra chữ ký số trên ứng dụng

• Dùng khi muốn hạn chế các ứng dụng Win32 và ActiveX

Certificate Rule

• Kiểm tra chữ ký số trên ứng dụng

• Dùng khi muốn hạn chế các ứng dụng Win32 và ActiveX

Hash Rule

• Sử dụng hàm băm MD5 hoặc SHA1 của 1 file để đảm bảo tính duy nhất

• Dùng để cho phép hoặc cấm 1 phiên bản file nào đó thực thi

Hash Rule

• Sử dụng hàm băm MD5 hoặc SHA1 của 1 file để đảm bảo tính duy nhất

• Dùng để cho phép hoặc cấm 1 phiên bản file nào đó thực thi

Certificate Rule

• Kiểm tra chữ ký số trên ứng dụng

• Dùng khi muốn hạn chế các ứng dụng Win32 và ActiveX

Internet Zone Rule

• Kiểm soát làm thể nào để có thể truy cập vào Internet Zones

• Dùng trong môi trường bảo mật

Internet Zone Rule

• Kiểm soát làm thể nào để có thể truy cập vào Internet Zones

• Dùng trong môi trường bảo mật

Hash Rule

• Sử dụng hàm băm MD5 hoặc SHA1 của 1 file để đảm bảo tính duy nhất

• Dùng để cho phép hoặc cấm 1 phiên bản file nào đó thực thi

Path Rule

• Dùng khi hạn chế 1 đường dẫn file

• Dùng khi nhiều file tồn tại cho cùng 1 ứng dụng

Path Rule

• Dùng khi hạn chế 1 đường dẫn file

• Dùng khi nhiều file tồn tại cho cùng 1 ứng dụng

Giới thiệu về các chính sách kiểm soát

AppLocker gồm các khả năng mới và mở rộng giúp là giảm sự quá tải người quản trị vàkiểm soát bằng cách nào người dùng có thể truy cập và sử dụng các file, ví dụ các filethực thi exe, scripts, Windows Installer files (.msi and msp files), vàDLLs

Ưu điểm của AppLocker:

• Kiểm soát các user có thể truy cập và chạy tất cả các kiểu ứng dụng

AppLocker gồm các khả năng mới và mở rộng giúp là giảm sự quá tải người quản trị vàkiểm soát bằng cách nào người dùng có thể truy cập và sử dụng các file, ví dụ các filethực thi exe, scripts, Windows Installer files (.msi and msp files), vàDLLs

• Cho phép sự định nghĩa các rule dựa trên sự thay đổi rộng lớn của biến

• Cung cấp cho việc Import và Export chính sách AppLocker

So sánh Applocker và Software

Restriction

Rule scope 1 người dùng hoặc 1 nhóm xác định

(mỗi GPO) Nhiều người dùng hoặcnhiều nhóm (mỗi rule) Rule conditions provided File hash, path, certificate, registry

path, Internet zone File hash, path, publisherRule types provided Cho phép và cấm Cho phép và cấm

Default Rule action Cho phép và cấm Mặc định cấm

Default Rule action Cho phép và cấm Mặc định cấm

Wizard to create multiple rules at

Security Template

Security template:

Cho phép administrator áp đặt nhiều thiết lập bảo mật

phù hợp tới nhiều máy tính.

Security Configuration Wizard

SCW cung cấp hướng dẫn giảm thiểu

tấn công bề mặt:

• Vô hiệu hóa các dịch vụ

IIS không cần thiết

• Vô hiệu hóa các dịch vụ

IIS không cần thiết

Các tùy chọn cho tích hợp Security Configuration Wizard và Security Template

Các tùy chọn:

• Các chính sách được tạo bằng SCW có thể được áp đặt tới 1 cá nhân

• Security Template có thể được đưa vào SCW

Tiện ích dòng lệnh Scwcmd.exe có thể sử dụng để chuyển đổi chính sách XML vào

1 GPO

Cấu hình bảo mật và công cụ phân tích

Template Setting Actual Setting

Setting That Does Not Match Template

Setting That Does Not Match Template

Áp dụng chính sách bảo mật cho 1 hoặc nhiều hệ thống

Phân tích các thiết lập bảo mật dựa vi phạm chính sách

Cập nhật chính sách, hoặc chỉnh sửa các điểm sai khác trong hệ thống

Các công cụ

Local Group Policy and Domain Group Policy

Security Templates snap-in

Security Configuration Wizard

Áp dụng chính sách bảo mật cho 1 hoặc nhiều hệ thống

Phân tích các thiết lập bảo mật dựa vi phạm chính sách

Cập nhật chính sách, hoặc chỉnh sửa các điểm sai khác trong hệ thống

Các công cụ

Local Group Policy and Domain Group Policy

Security Templates snap-in

Security Configuration Wizard

Local Security Policy Domain Group Policy

Cấu hình Local Security Policy