nghiên cứu hệ thống bảo mật hệ điều hành windows 2003

Nhưng 4 phiên bản được sử dụng rộng rãi nhất là: -Windows server 2003 web edition -Windows server 2003 standard edition -Windows server 2003 enterprise edition -Windows server 2003 datac

là một nhu cầu tất yếu.Tuy hiện giờ Microsoft đã tung ra phiên bản window server

2008 kế thừa và phát triển của win 2k3 nhưng win 2k3 vẫn là sử dụng phổ biến nhất.Đầu tiên để tìm hiểu về chính sách bảo mật trong win2k3 chúng ta cần hiểu kháiniệm bảo mật trong window server 2003 là gì?và tại sao chúng ta lại đi tìm hiểu vềchính sách bảo mật trong win2k3?

Sau đó chúng ta sẽ đi sâu vào tìm hiểu các chính sách bảo mật trong win 2k3 gồmnhững bộ phận nào và chức năng nhiệm vụ của từng bộ phận

MỤC LỤC Lởi mở đầu

Lời cảm ơn

Mục lục 1

Chương I.: TỔNG QUAN VỀ HỌ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003 3

Chương II.: BẢO MẬT TRONG HỆ ĐIỀU HÀNH WINDOWS SERVER 2003 5

I, Tìm hiểu hệ thống bảo mật mạng trong window server 2003 5

1,Khái niệm bảo mật trong window server 2003 5

II, Các hệ thống bảo mật cơ bản trên win 2003 5

1,Chính sách tài khoản người dùng 5

1.1,Giới thiệu 5

1.2, Tìm hiểu 5

1.2.1, Chính sách mật khẩu 6

1.2.2, Chính sách khóa tài khoản 7

1.2.3, Chính sách Kerberos(hình 4) 8

1.2.4, Giới thiệu về Kerberos 8

2,Chính sách cục bộ 9

2.1,Giới thiệu 9

2.2 Thiết lập chính sách kiểm toán 10

2.3 , Thiết lập quyền hệ thống cho người dùng 10

2.4 Thuộc tính bảo mật 13

3,Sự kiện đăng nhập 16

4,Giới thiệu về IPsec 16

4.1,Định nghĩa 16

4.2,Cách sử dụng 16

4.3,Tác dụng 16

II,Những biện pháp bảo mật nâng cao 25

1,Tìm hiểu về EFS trên WorkGroup 25

1.1,Giới thiệu và mục đích 25

1.2,Chuẩn bị 26

1.3, Mã hóa thư mục 26

1.4 Admin tạo Recovery Agent 28

2,EFS trên Domain 32

2.1, Mục đích : 32

2.2, Chuẩn bị : 32

2.3,Thực hiện : 33

3,Bảo mật nhóm quản trị nội bộ trên các desktop 33

4,Bảo mật trên Server 2003 Domain Controllers 37

5, window firewall 42

5.1, giới thiệu 42

5.2, Hướng dẫn cài đặt 42

5.3, Chức năng 44

5.4, Hạn chế 44

6,Giải Pháp Firewall ISA – Đơn Giản Mà Hiệu Quả 44

6.1,Mô hình Giải pháp cho doanh nghiệp vừa và nhỏ 46

6.2,Ưu nhược điểm của giải pháp 47

6.3,Giải pháp Firewall Cisco Cho Doanh Nghiệp 48

6.4 Một số mô hình mạng cho doanh nghiệp……….50

III.Lời kết 50

IV.Những tài liệu tham khảo 54

Windows 2000 Advanced Server,

Windows 2000 Datacenter Server

Với mỗi phiên bản Microsoft bổ sung các tính năng mở rộng cho từng loại dịch

vụ Đến khi họ Server 2003 ra đời thì Mircosoft cũng dựa trên tính năng của từngphiên bản để phân loại do đó có rất nhiều phiên bản của họ Server 2003 được tung rathị trường Nhưng 4 phiên bản được sử dụng rộng rãi nhất là:

-Windows server 2003 web edition

-Windows server 2003 standard edition

-Windows server 2003 enterprise edition

-Windows server 2003 datacenter edition

So với các phiên bản 2000 thì họ hệ điều hành Server phiên bản 2003 có những đặctính mới sau:

- Network Load Balancing Clusters

Tổng hợp các sức mạnh đơn lẽ thành mộttăng cường khả năng chịu lỗi

- Windows Server 2003 hỗ trợ hệ điều hành WinXP tốt hơn như: hiểu được chính sách nhóm (group policy) được thiết lập trong WinXP, có bộ công cụquản trị mạng đầy đủ các tính năng chạy trên WinXP

- Tính năng cơ bản của Mail Server được tính hợp sẵn: đối với các công ty nhỏkhông đủ chi phí để mua Exchange để xây dựng Mail Server thì có thể sử dụng dịch

vụ POP3 và SMTP đã tích hợp sẵn vào Windows Server 2003 để làm một hệ thốngmail đơn giản phục vụ cho công ty

- Cung cấp miễn phí hệ cơ sở dữ liệu thu gọn MSDE (Mircosoft DatabaseEngine) được cắt xén từ SQL Server 2000.Tuy MSDE không có công cụ quản trịnhưng nó cũng giúp ích cho các công ty nhỏ triển khai được các ứng dụng liên quanđến cơ sở dữ liệu mà không phải tốn chi phí nhiều để mua bản SQL Server

- NAT Traversal hỗ trợ IPSec đó là một cải tiến mới trên môi trường 2003

này, nó cho phép các máy bên trong mạng nội bộ thực hiện các kết nối peer-to-peer(mạng đồng đẳng) đến các máy bên ngoài Internet, đặt biệt là các thông tin đượctruyền giữa các máy này có thể được mã hóa hoàn toàn.

- Bổ sung thêm tính năng NetBIOS over TCP/IP cho dịch vụ RRAS (Routing and Remote Access) Tính năng này cho phép bạn duyệt các máy tính trong mạng ở xa thông qua công cụ Network Neighborhood

- Phiên bản Active Directory 1.1 ra đời cho phép chúng ta ủy quyền giữa các gốc rừng với nhau đồng thời việc backup dữ liệu của Active Directory cũng dễ dàng hơn

- Hỗ trợ tốt hơn công tác quản trị từ xa do Windows 2003 cải tiến RDP (Remote Desktop Protocol) có thể truyền trên đường truyền 40Kbps Web Admin cũng ra đời giúp người dùng quản trị Server từ xa thông qua mộtdịch vụ Web một cách trực quan và dễ dàng

- Hỗ trợ môi trường quản trị Server thông qua dòng lệnh phong phú hơn

- Các Cluster NTFS có kích thước bất kỳ khác với Windows 2000 Server chỉ

hỗ trợ 4KB

- Cho phép tạo nhiều gốc DFS (Distributed File System) trên cùng một Server

Chương II.:

BẢO MẬT TRONG HỆ ĐIỀU HÀNH WINDOWS

SERVER 2003.

I, Tìm hiểu hệ thống bảo mật mạng trong window server 2003

1,Khái niệm bảo mật trong window server 2003

Bảo mật trong win2k3 là tập hợp tất cả các chính sách công cụ trong win2k3nhằm thiết lập bảo mật hệ thống Thiết lập chính sách bảo mật trên người dùng, nhóm,quyền hạn của người dùng nhằm tăng cường mức an toàn cho mạng của mình

II, Các hệ thống bảo mật cơ bản trên win 2003

Trong win 2003 chúng ta có 2 phần dành cho bảo mật cơ bản đó là

Domain controller security setting và Default domain security setting Hai phần này

có những thành phần giống nhau nhưng tác dụng, ảnh hưởng của chúng thì khác nhau.Nếuchúng ta chỉnh trên phần Domain controller security setting thì sẽ có ảnh hưởng đến toàn bộdomain: các tài khoản truy nhập domain từ các máy con và máy trạm

Do vậy trong đồ án này em chỉ trình bày về Default domain security setting

1,Chính sách tài khoản người dùng

1.1,Giới thiệu

Chính sách tài khoản người dùng (Account Policy) được dùng để chỉ định cácthông số về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy ra Nócho phép người dùng cấu hình các thông số bảo mật máy tính : chính sách mật khẩu,khóa tài khoản và chứng thực Kerberos trong vùng Nếu trên Server thành viên thìngười sử dụng sẽ thấy hai mục Password Policy và Account Lockout Policy, trên máyWindows Server 2003 làm domain controller thì sẽ thấy ba thư mục Password Policy,Account Lockout Policy và Kerberos Policy Trong Windows Server 2003 cho phépbạn quản lý chính sách tài khoản tại hai cấp độ là: cục bộ và miền

1.2, Tìm hiểu

Muốn cấu hình các chính sách tài khoản người dùng ta vào:

Start /program/administrative tools/default domain security settings(hình 1)

Hình 1

1.2.1, Chính sách mật khẩu

Hình 2Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn cho mật khẩucủa người dùng để tránh các trường hợp đăng nhập bất hợp pháp vào hệ thống Chínhsách này cho phép bạn qui định :chiều dài ngắn nhất của mật khẩu, độ phức tạp củamật khẩu…

1.2.2, Chính sách khóa tài khoản

Hình 3 Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức và thờiđiểm khóa tài khoản trong vùng hay trong hệ thống cục bộ Chính sách này giúp hạnchế tấn công thông qua hình thức logon từ xa.

1.2.3, Chính sách Kerberos(hình 4)

Hình 4

1.2.4, Giới thiệu về Kerberos

Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tínhhoạt động trên những đường truyền không an toàn Giao thức Kerberos có khả năngchống lại việc nghe lén hay gửi lại các gói tin cũ và đảm bảo tính toàn vẹn của dữ liệu

Mục tiêu khi thiết kế giao thức này là nhằm vào mô hình máy chủ máy khách

(client-server) và đảm bảo nhận thực cho cả hai chiều.Giao thức được xây dựng dựa trên mật mã

hóa khóa đối xứng và cần đến một bên thứ ba mà cả hai phía tham gia giao dịch tin tưởng

a, Nguyên tắc hoạt động

Kerberos được thiết kế dựa trên giao thức Needham-Schroeder Kerberos sửdụng một bên thứ ba tham gia vào quá trình nhận thực gọi là "trung tâm phân phối

khóa" (tiếng Anh: Key distribution center - KDC) KDC bao gồm hai chức năng: "máy chủ xác thực" (Authentication server - AS) và "máy chủ cung cấp vé" (Ticket granting

server - TGS) "Vé" trong hệ thống Kerberos chính là các chứng thực chứng minh

nhân dạng của người sử dụng

Mỗi người sử dụng (cả máy chủ và máy khách) trong hệ thống chia sẻ một khóachung với máy chủ Kerberos Việc sở hữu thông tin về khóa chính là bằng chứng để

chứng minh nhân dạng của một người sử dụng Trong mỗi giao dịch giữa hai người sửdụng trong hệ thống, máy chủ Kerberos sẽ tạo ra một khóa phiên dùng cho phiên giao

dịch đó.

b, Nhược điểm

 Tồn tại một điểm yếu: Nếu máy chủ trung tâm ngừng hoạt động thì mọi hoạtđộng sẽ ngừng lại Điểm yếu này có thể được hạn chế bằng cách sử dụng nhiềumáy chủ Kerberos

 Giao thức đòi hỏi đồng hồ của tất cả những máy tính liên quan phải được đồng

bộ Nếu không đảm bảo điều này, cơ chế chứng thực dựa trên thời hạn sử dụng

sẽ không hoạt động Thiết lập mặc định đòi hỏi các đồng hồ không được sailệch quá 10 phút

 Cơ chế thay đổi mật khẩu không được tiêu chuẩn hóa

2,Chính sách cục bộ

2.1,Giới thiệu

Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sáchgiám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung Đồngthời dựa vào công cụ này bạn có thể cấp quyền hệ thống cho các người dùng và thiếtlập các lựa chọn bảo mật

Hình 5

2.2 Thiết lập chính sách kiểm toán

Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các

sự kiện xảy ra trong hệ thống, trên các đối tượng cũng như đối với các người dùng.Bạn có thể xem các ghi nhận này thông qua công cụ Event Viewer trong mụcSecurity

2.3 , Thiết lập quyền hệ thống cho người dùng

Đối với hệ thống Windows Server 2003, bạn có hai cách cấp quyền hệ thốngcho người dùng là: gia nhập tài khoản người dùng vào các nhóm tạo sẵn (built-in) để

kế thừa quyền hoặc bạn dùng công cụ User Rights Assignment để gán từng quyền rờirạc cho người dùng Trong hai công cụ đó bạn mở mục Local Policy\ User RightsAssignment để thêm ,bớt quyền hạn cho người dùng hoặc nhóm Ta chọn quyền cầncấp rồi ấn ADD hoặc REMOVE

+Access This Computer from the Network : cho phép truy cập đến máy tínhnày thông qua mạng

+Act as Part of the Operating System :cho phép các dịch vụ chứng thực ở mức thấp+Add Workstations to the Domain : cho phép thêm tài khoản vào vùng (domain)

+Back Up Files and Directories : cho phép sao lưu dự phòng tập tin và thư mục

+Bypass Traverse Checking :cho phép người dùng duyệt qua cấu trúc thưmục nếu không có quyền xem

+ Change the System Time :thay đổi giờ hệ thống

+ Create a Pagefile :tạo 1 trang tập tin

+ Create a Token Object :cho phép tạo thẻ bài nếu dùng NTCreate Token API.+ Create Permanent Shared Objects :tạo 1 đối tượng thư mục

+ Debug Programs : cho phép sử dụng chương trình DEBUG vào bất kì tiến trình nào+ Deny Access to This Computer from the Network :cho phép khóa tài khoảnngười dùng hoặc nhóm truy cập đến máy tính này từ mạng

+ Deny Logon as a Batch File :từ chối logon như 1 file batch+ Deny Logon as aService :từ chối logon như 1 tác vụ (service)

+ Deny Logon Locally: từ chối người dùng hoặc nhóm đăng nhập đến máy cục bộ

Hình 6+ Enable Computer and User Accounts to Be Trusted by Delegation : cho phéptài khoản người dùng hoặc nhóm được ủy quyền cho người dùng hoặc máy tính

+ Force Shutdown from a Remote System :cho phép tắt máy tính từ hệ thốngđiều khiển từ xa

+ Generate Security Audits : cho phép tao entry vào Security log

+ Increase Quotas :điều khiển hạn ngạch các tiến trình

+ Increase Scheduling Priority : Quy định một tiến trình có thể tăng hoặc giảm độ

ưu tiên đã được gán cho tiến trình khác

+ Load and Unload Device Drivers :cho phép cài đặt hoặc gỡ bõ driver của thiết

bị khác

+ Lock Pages in Memory :khóa trang trong vùng nhớ

+ Log On as a Batch Job : Cho phép một tiến trình logon vào hệ thống và thi

hành một tập tin chứa các lệnh hệ thống

+ Log On as a Service : Cho phép một dịch vụ logon và thi hành một dịch vụ riêng.

+ Log On Locally : Cho phép người dùng logon tại máy tính Server

+ Manage Auditing and Security Log : Cho phép người dùng quản lý Security log

+ Modify Firmware Environment Variables : Cho phép người dùng hoặc một tiếntrình hiệu chỉnh các biến môi trường hệ thống

+ Profile System Performance : Cho phép người dùng giám sát các tiến trình hệthống thông qua công cụ Performance Logs and Alerts

+ Remove Computer from Docking Station : Cho phép người dùng gỡ bỏ một

Laptop thông qua giao diện người dùng của Windows 2003

+ Replace a Process Level Token : Cho phép một tiến trình thay thế một tokenmặc định mà được tạo bởi một tiến trình con

+ Restore Files and Directories : cho phép phục hồi tập tin và thư mục

+ Shut Down the System :cho phép tắt hệ thống

+ Synchronize Directory Service Data : Cho phép người dùng đồng bộ dữ liệuvới một dịch vụ thư mục.

+ Take Ownership of Files or Other Objects : Cho người dùng tước quyền sởhữu của một đối tượng hệ thống

Hình 6.2

2.4 Thuộc tính bảo mật

Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server khaibáo thêm các thông số nhằm tăng tính bảo mật cho hệ thống như: không cho phép hiểnthị người dùng đã logon trước đó hay đổi tên tài khoản người dùng tạo sẵn(administrator, guest) Trong hệ thống Windows Server 2003 hỗ trợ cho chúng ta rấtnhiều lựa chọn bảo mật, nhưng trong giới hạn đồ án này em chỉ khảo sát các lựa chọnthông dụng

+ Network security: force logoff when logon hours expires : Tự động logoff khỏi

hệ thống khi người dùng hết thời gian sử dụng hoặc tài khoản hết hạn

+ Interactive logon: do not require CTRL+ALT+DEL : Không yêu cầu ấn ba

phím CTRL+ALT+DEL khi logon.

+ Interactive logon: do not display last user name : Không hiển thị tên ngườidùng đã logon trên hộp thoại Logon

+ Account: rename administrator account : Cho phép đổi tên tài khoản

Administrator thành tên mới

+ Account: rename guest account : Cho phép đổi tên tài khoản Guest thành tên mới

+Account: Administrator account status :tài khoản admin

Hình 7.2+account:guest account status :tài khoản guest

+account:limit local account use of blank passwords to console logon only : giớihạn tài khoản cục bộ sử dụng mật khẩu trắng khi logon

+Audit:audit the user of backup and restore privilege :cho phép người dùng tạolưu trữ và phục hồi đặc quyền

+Audit: Shut down system immediately if unable to log security audits :tắt hệthống ngay lập tức nếu bảo mật cho phép

+DCOM:machine access restrictions in security

+shutdown:clear vitual memory pagefile :xoa pagefile bộ nhớ ảo

Hình 7.3

3,Sự kiện dăng nhập

Giúp người dùng sử dụng dễ dàng hơn, hệ thống ,quản lý thông tin của người dùng khiđăng nhập, các lựa chọn thiết lập, lưu trữ thông tin người dùng khi đăng nhập

Hình 7.4

4,Giới thiệu về IPsec

4.1,Định nghĩa

-Ipsec(IP scurity) là 1 giao thức hỗ trợ bảo mật dựa trên địa chỉ IP

-Giao thức hoạt động ở tầng thứ 3 network trong mô hình OSI nên nó an toàn

và tiện lợi hơn tầng APPLICATION

+Encryp transmissions:mã hóa dữ liệu được truyền

+Sign transmissions: ký tên vào các gói dữ liệu được truyền nhằm tránh giã mạo

+Permit transmissions:cho dữ liệu truyền thông qua dựa vào các qui tắc (rule)

4.4,Tìm hiểu

Cách vào IPsec:

StartProgramsadministrative toolsdefault domain controller securitysettingsIP security policies on local machine

a, Cách thêm bộ lọc mới

Nhấp phải vào IP security policies on active directory manage ip filter lists andfilter actions chọn tab manage ip filter listsadd để thêm

Ấn NEXTđiền tênrồi ấn add

Hình 9 Rồi chọn mirrored … Để cho qui tắc có tác dụng qua lại giữa 2 máy

Hình 10

Đến điền địa chỉ nguồn

Hình 14FINISH ok

b,Thiết lập tác động lọc

Chọn tab manage filter actions

Hình15

ấn add để thêmđiền tênaddNEXT

Hình 16Chọn kiểu lọc

Hình 17Chọn tác động

Hình 18Bảo mật IP

Hình 19

c, Cách kết hợp bộ lọc và tác động bảo mật

Nhấp phải chuột IP security on active directorygreate ip security policyadd

để thêm IP mớiđiền tên(hình 20)

Hình 20 chọn điểm kết thúc của kênh tunnel

Hình 21 chọn kiểu kết nối mạng

Hình 22 chọn bộ lọc IP

Hình 23 chọn tác động lọc

d,Các chính sách IP tạo sẵn

CLIENT: qui định máy của bạn không chủ động sử dụng IPsec trừ khi đối tácyêu cầu.Và nó cho phép kết nối được với máy dung IPSEC hoặc không dùng IPSEC-SERVER:qui định máy bạn cố gắng khởi tạo IPSEC mỗi khi kết nối với máy tínhkhác.Nhưng nếu máy CLIENt không thể dùng IPSEC thì server vẫn chấp nhận kết nốikhông dùng IPSEC

-Secure Server:bắt buộc sử dụng IPSEC trong mọi cuộc trao đổi dữ liệu trong server

e,Kết luận

IPSEC là 1 phần hỗ trợ giúp việc trao đổi dữ liệu được nâng cao và an toàn hơn

II,Những biện pháp bảo mật nâng cao

1,Tìm hiểu về EFS trên WorkGroup

1.1,Giới thiệu và mục đích

EFS là chữ viết tắt của Encrypt File System dược dung để mã hóa hệ thống tậptin thông qua certificate

Tạo Recovery Agent để phục hồi dữ liệu khi user bị mất Certificate

1.2,Chuẩn bị

-1 máy chạy window xp

-Tạo 1 user và logon bằng user Vừa tạo ở đây đặt tên là le van duc

-Tao 1 thư mục test ,ở đây là trên ổ c tên là test

1.3, Mã hóa thư mục

a Logon U1 Start  Run  mmc  OK

b Chọn menu File  Add/Remove Snap-in …  Certificates  Add  Close  OK.

 Hiện tại trong Personal chưa có gì cả !!!(hình 26)