Giới thiệu- Windows Server 2008 cung cấp xây dựng tính năng mã hóa toàn bộ ổđĩa gọi là BitLocker Driver EncryptionBitLocker để bảo vệ hệ điềuhành và dữ liệu được lưu trữ trên đĩa- BitLoc
Trang 1MỤC LỤC
1 Giới thiệu 4
2 Kiểm tra các phiên bản hệ điều hành 4
3 Kiểm tra cập nhật các bản vá lỗi 4
3.1 Hotfixes 4
3.2 Service packs 5
4 Windows Access Control 6
4.1 Phân quyền NTFS (NTFS Permission) 6
4.1.1 Audit account logon events 7
4.1.2 Audit account management 8
4.1.3 Audit directory service access 9
4.1.4 Audit logon events 9
4.1.5 Audit object access 9
4.1.6 Audit policy change 10
4.1.7 Audit privilege use 10
4.1.8 Audit process tracking 10
4.1.9 Audit system events 11
4.2 Enctyption (Mã hóa) 12
4.2.1 Giới thiệu 12
Trang 24.2.4 Transactional (Giao tiếp) 14
4.2.5 Max size (Dung lượng lớn =16TB) 14
4.3 Sử dụng DACL (Discretionary Access Control List) để phân quyền cho tập tin và thư mục 14
4.3.1 DACL thực thi với 14
4.3.2 DACL mặc định như sau 14
4.3.2.1 Phân quyền thư mục chia sẻ (Share Folder Permission) 14
4.3.2.2 Phân quyền Registry (Registry Key Permission) 15
4.3.2.3 Đặc quyền (User Rights) 16
5 Thiết lập GPO 17
5.1 Password Policy 19
5.2 Account Lockout Policy 19
5.3 Security Options 19
5.4 Guest Account 21
5.5 Administrative Accounts 22
6 Quản lý dịch vụ 23
6.1 Đảm bảo an toàn cho các dịch vụ 23
6.2 Cách thức vô hiệu hóa dịch vụ 23
6.3 Một số dịch vụ và cổng thực thi 23
7 Một số tiêu chí khi triển khai 33
7.1 Đối với các dịch vụ và cổng: 33
Trang 37.2 Đối với các giao thức: 33
7.3 Tài khoản và nhóm người dùng: 33
7.4 Tập tin và thư mục: 34
7.5 Tài nguyên chia sẻ: 34
7.6 Các phiên bản vá lỗi: 34
8 Làm cứng HDH 34
8.1 Hủy bỏ các dịch vụ không cần thiết, các ứng dụng, và các giao thức mạng 34 8.2 Kiểm tra cấu hình xác thực người dùng hệ điều hành 35
8.3 Kiểm tra cài đặt và cấu hình điều khiển bảo mật bổ sung 36
8.4 Tạo bản backup cho hệ điều hành 36
9 Kiểm tra quét lỗ hổng 37
Trang 4KIỂM TRA THIẾT LẬP VÀ CẤU HÌNH AN TOÀN MÁY CHỦ WINDOWS
1 Giới thiệu
Windows là phần mềm nguồn đóng có bản quyền do công ty Microsoftgiữ và kiểm soát việc phân phối Vì lý do này, Microsoft đang có một vịtrí độc quyền trong lĩnh vực máy tính Tất cả các phiên bản hệ điều hànhgần đây của Windows đều dựa trên sự phát triển từ phiên bản đầu tiên
2 Kiểm tra các phiên bản hệ điều hành
Là những bản vá lỗi nhỏ của Microsoft Có thể sử dụng Active X trong
IE để quét những hotfix trong hệ thống chưa được cập nhật và cài đặtchúng
Download Hotfix (http://www.microsoft.com/security)
Microsoft Update (http://update.microsoft.com)
Windows Update: Giống như là Microsoft Update, nhưng được thựchiện tự động hoặc theo lịch trình
Trang 5Service packs có thể bao gồm các hotfix được đưa vào một gói càiđặt lớn (khoảng 100Mb đến 300Mb).
Download Service packs (http://www.microsoft.com/downloads)Cài đặt: Cài đặt cùng lúc với hệ điều hành hơạc cài đặt tự động.Lứu ý: Nên triển khai thử nghiệm trước
Trang 6WSUS (Windows Server Update Services),
WSUS Server: Tự động download các hotfix và các Service Packmới
WSUS Client: Có thể download các hotfix và các Service Pack này
từ WSUS Server hoặc từ Microsoft
Download WSUS (http://update.microsoft.com/wsus)Khuyến cáo nên cập nhật service pack phiên bản mới nhất, cấu hìnhcập nhật hotfix tự động, luôn theo dõi các bản tin về bảo mật và các bản
vá lỗi:
Sans (http://www.sans.org/newsletters/)
Microsoft (http://www.microsoft.com/security/)
Securityfocous (http://www.securityfocous.com/archive/)
Packet Storm (http://www.packetstormsecurity.org/)
4 Windows Access Control
4.1 Phân quyền NTFS (NTFS Permission)
Việc phân quyền NTFS điều kiện đầu tiên là Partition của bạn phải đượcformat định dạng ở NTFS
Các tính năng của NTFS bao gồm:
Permission (Phân quyền): Tạo một thư mục và Share với Share Name chọn tab Share, sau đó Set Permission tùy theo bạn phân quyền có thể
là Everyone Full Control như vậy mọi user truy cập qua mạng với tài
nguyên bên trong có toàn quyền
Tạo tab Security bạn tiến hành thêm user và thiết lập quyền cho user
đó
Auditing (Kiểm tra): Audit có thể được cấu hình:
o Audit account logon events
o Audit account management
Trang 7o Audit directory service access
o Audit logon events
o Audit object access
o Audit policy change
o Audit privilege use
o Audit process tracking
o Audit system events
4.1.1 Audit account logon events
- Start/ Administrator Tools/ Group Policy Management/
- Domain Controllers/right click Default Domain Controller Policy/ Edit/
Computer Configuration/ Policy/ Windows Setting/ Security Setting/ Local Policy/ Audit Policy
- Gpupdate/force/boot/logoff
Trang 8- Kiểm tra thời gian một người sử dụng đang logging và hoặc ra từmáy tính khác trong đó máy tính kiểm tra được sử dụng để xác nhậntài khoản.
- Ví dụ: Người dùng đăng nhập vào máy tính Windows XPProfessional, nhưng được xác thực bởi giám sát tên miền được xácthực người sử dụng
- Thực thi tốt toàn bộ giám sát tên miền và kiểm tra các sự kiện máychủ
- Start/Administrator Tools/Event Viewer
4.1.2 Audit account management
- Kiểm tra mỗi sự kiện có liên quan đến một người sử dụng quản lý tàikhoản(người dùng, nhóm người dùng, hoặc máy tính) trong CSDLngười dùng trên máy tính, nơi được cấu hình Ví dụ những sự kiện nàybao gồm:
o Tạo một tài khoản người dùng
o Thêm một người sử dụng vào một nhóm
o Đổi tên tài khoản người sử dụng
Trang 9o Thay đổi mật khẩu cho tài khoản người sử dụng
- Giám sát domain, Thay đổi tài khoản domain
- Mỗi một server hoặc client, nó sẽ kiểm tra Local SecurityAccounts Manager và tài khoản ở đó
- Có đầy đủ thông tin giám sát tên miền và máy chủ kiểm tra những
sự kiện này
4.1.3 Audit directory service access
- Kiểm tra sự kiện có liên quan đến người dùng truy cập đối tượngActive Directory đã được cầu hình để theo dõi truy cập của người
dử dụng thông qua hệ thống danh sách điều khiển truy cập (SACL)của đối tượng
- SACL(System Access Control List) của một đối tượng AD xác định
3 mục sau:
o Các tài khoản(của người dùng hoặc nhóm) sẽ được kiểm tra
o Các loại truy cập sẽ được kiểm tra, chẳng hạn như đọc, tạo,sửa,
o Thành công hay thất bại tiếp cận đối tượng
4.1.4 Audit logon events
Kiểm tra sự kiện liên quan đến người sử dụng đăng nhập, đăng xuất
Ví dụ: Khi một người đăng nhập vào tương tác máy trạm nhưngkhông giám sát domain cái mà thực hiện xác thực
- Sự kiện logon được theo doi nơi mà các cố gắng đăng nhập xảy ra
- Mục đích ghi lại những sự kiện trên toàn máy tính trên mạng
Trang 104.1.5 Audit object access
Kiểm tra sự kiện khi người dùng truy cập một đối tượng Các đốitượng bao gồm:
o Files
o Thư mục
o Máy in
o Registry
o Đối tượng Active Directory
- Trong thực tế bất kỳ đối tượng nào có SACL sẽ bao gồm hình thứckiểm tra
- Không phổ biến mức cấu hình này cho đến khi có một nhu cầu cụthể để theo dõi truy cập vào tài nguyên
- Thông thường kích hoạt trên các môi trường bảo mật cao
4.1.6 Audit policy change
- Kiểm tra sự kiên liên quan đến sự thay đổi một trong ba “chínhsách” khu vực trên máy tính
o Phân quyền
o Kiểm tra chính sách
o Mối quan hệ tin cậy
- Nên cấu hình mức này cho toàn bộ máy trên mạng
4.1.7 Audit privilege use
- Mỗi sự kiện có liên quan đến một người dùng thực hiện một nhiệm
vụ mà được điều khiển bởi một quyền người dùng
Trang 11- Được phổ biến và tốt nhất để cấu hình mức thẩm định này cho tất
cả các máy tính trên mạng
4.1.8 Audit process tracking
- Kiểm tra sự kiện liên quan đến tiến trình trên máy tính
- Ví dụ : việc kích hoạt chương trình, thoát tiến trình, quá trình, xử lýsao chép, và đối tượng truy cập gián tiếp
- Mức thẩm định này sẽ tạo một số các sự kiện và thường khôngđược cấu hình, trừ khi một ứng dụng đang được theo dõi cho mụcđích khắc phục sự cố
4.1.9 Audit system events
- Các sự kiện liên quan đến bảo mật hệ thống và bảo mật đăng nhậpcũng sẽ được theo dõi khi kiểm tra được kích hoạt
- Ví dụ: Khởi động lại máy tính hoặc đóng máy tính, khi đăng nhập
sẽ được xóa…
Trang 124.2 Enctyption (Mã hóa).
4.2.1 Giới thiệu
- Windows Server 2008 cung cấp xây dựng tính năng mã hóa toàn bộ ổđĩa gọi là BitLocker Driver Encryption(BitLocker) để bảo vệ hệ điềuhành và dữ liệu được lưu trữ trên đĩa
- BitLocker Driver Encryption cho phép bạn mã hóa tất cả dữ liệu đượclưu trữ trên khối lượng hệ điều hành Windows và cấu hình khối lượng
4.2.2 Điều kiện và thực hiện
Đề BitLocker có thể được họat động thì ổ cứng của bạn phải có ít nhất
2 partitions và cả 2 partition này phải được định dạng NTFS Khởiđộng máy tính bằng đĩa cài đặt Windows Server 2008
Sau khi cài đặt xong Windows Server 2008, bạn vào Server Manager Chuột phải lên Features, chọn Add Features Trong hộp thoại Select Features, đánh dấu chọn vào BitLocker Drive Encryption
Mở tính năng BitLocker Drive Encryption trên máy không có chipTPM
Vào Start\Run, gõ: gpedit.msc Trong console Local Group Policy Editor, click Computer Configuration, bung dấu cộng của Administrative Templates, chọn Windows Components, chọn BitLocker Drive Encryption Chuột phải vào Control Panel Setup: Enable Advanced Startup Options, chọn Properties Nhấn chọn Enable, đánh dấu check vào tùy chọn Allow BitLocker without a
Trang 13compatible TPM, sau đó nhấn OK Sau đó vào Start\Run, gõ gpupdate /force Mở Control Panel, click vào mục Security Chọn BitLocker Drive Encryption Trong trang BitLocker Drive Encrytion, click vào Turn On BitLocker
Trong mục Set BitLocker startup preferences, chọn Require StartupUSB key at every startup (tùy chọn này chỉ dành mainboard không cóTPM) Sau đó, bạn gắn USB vào máy:
o Trong mục Encrypt the volume, đánh dấu check vào RunBitlocker system check, nhấn Continue
o Nhấn Restart Now
o Sau khi Restart xong, quá trình mã hóa sẽ được thực hiện
o Như vậy kể từ đây, mỗi khi bạn khởi động máy, bạn phải cầnđến USB này vì nó chứa key giải mã
Trang 144.2.3 Compression (Nén).
4.2.4 Transactional (Giao tiếp).
4.2.5 Max size (Dung lượng lớn =16TB).
4.3 Sử dụng DACL (Discretionary Access Control List) để phân quyền cho tập tin và thư mục.
4.3.1 DACL thực thi với
Local User
IIS User (HTTP & FTP)
Remote Desktop Protocol
Shared Folder
Telnet
4.3.2 DACL mặc định như sau
System: Full Control
Administrators: Full Control
Chủ sở hữu: Full Control
User có xác thực: Read & Execute
Mọi tài nguyên trên NTFS đều có chủ sở hữu Chủ sở hữu sẽ cóquyền là Full Control đối với Folder, Subfolder, File
Nguyên tắc phân quyền là một user chỉ được cấp quyền ở mức tốithiểu nhất Tức là chỉ cấp những quyền thực sự cần thiết đủ để user nàythực hiện được một công việc nào đó
4.3.2.1 Phân quyền thư mục chia sẻ (Share Folder Permission)
Thực hiện phân quyền với các tài nguyên chia sẻ, cần giới hạnnhóm Everyone không được phép truy cập vào các tài nguyên chia sẻ
Trang 15Hình …
Khuyến cáo nên gỡ bỏ tất cả các chia sẻ không sử dụng (bao gồm
cả chia sẻ mặc định), các chia sẻ nếu có phải được thiết lập phân quyền
Trang 164.3.2.2 Phân quyền Registry (Registry Key Permission)
Hình …
Cần thiết lập việc phân quyền đối với Registry, gở bỏ tất cả các tàikhoản và nhóm người dùng (trừ Administrator) đối với Registry
4.3.2.3 Đặc quyền (User Rights)
User Rights là những thiết lập trên máy tính nhằm kiểm soát xemmột User hoăc một Group có thể thực hiện những thao tác gì đối với máytính đó
Trang 17Hình …
Những thiết lập nguy hiểm:
Act as part of the operating system.
Create a token object.
Debug programs.
Load and unload device drivers.
Modify firmware environment values.
Restore files and directories.
Trang 18Một số thiết lập cần lưu ý:
Allow/Deny log on locally Hạn chế người đăng nhập nội bộ;
Allow /Deny log on through Terminal Services Hạn chế
người dùng Remote Desktop
Take ownership of files or other objects Thay đổi quyền sở
hữu của đối tượng
Backup/Restore files and directories Bỏ qua thiết lập phân
quyền NTFS
5 Thiết lập GPO
Trong windows 2003, 2008 khi sử dụng Password Policy hay AccountLockout Policy thì tất cả các user trong toàn hệ thống domain đều bị ảnh hưởng
Vào Start >Program >Administrative Tools, chọn Server Manager
Sau đó, bạn click phải Default Domain Policy, chọn Edit
Nếu không thấy bạn phải add feature thêm chức năng Group PolicyManagement Vì quản lý thông qua domain nên bạn phải cài thêm ActiveDirectory Domian Services bằng cách add role hay go role
Mở Computer Configuration\Windows Settings\Security Settings\AccountPolicies\Password Policies
Sauk hi cấu hình xong cần update policy gpupdate /force
Trang 20 Ngày lưu mật khẩu tối đa: 90 ngày.
Ngày lưu mật khẩu tối thiểu: 1 ngày
Chiều dài mật khẩu tối thiểu: 15 ký tự
Mật khẩu phải đáp ứng các yêu cầu phức tạp: Enable
5.2 Account Lockout Policy
Nhằm chống lại việc brute force mật khẩu hoăc đoán mật khẩu.Khuyến cáo thiết lập:
Thời gian khóa tài khoản: 120 phút
Ngưỡng tài khoản bị khóa: 5 lần
Thiết lập lại số lần đếm khóa tài khoản: 45 phút
5.3 Security Options
Administrator tool/ Local Security Policy
Trang 21Khuyến cáo một số thiết lập nhằm đảm bảo an toàn:
Đối với System:
Tùy chỉnh giao diện người dùng
Vô hiệu hóa Command prompt
Vô hiệu hóa công cụ sửa đổi Registry
Chỉ cho phép chạy ứng dụng của Windows
Không cho phép chạy những ứng dụng đặc biệt
Vô hiệu hóa Autoplay trên CD-ROM hoặc những ổ đĩa khác.Đối với System: Logon/Logoff
Vô hiệu hóa Task Manager
Vô hiệu hóa Lock Computer
Vô hiệu hóa Change Password
Vô hiệu hóa Logoff
Đối với Windows Components: Explore
Gở Map Network Drive và Disconnect Network Drive
Ẩn những ổ đĩa chỉ định trong My Computer
Ngăn chặn truy cập đến ổ địa từ My Computer
Gở Computer lân cận trong My Network Places
Gở Entire Network trong My Network Places
Đối với Windows Components: Task Scheduler
Ẩn Property Pages
Ngăn chặn Task Run hoặc End
Vô hiệu hóa Drag-and-Drop
Vô hiệu hóa New Task Creation
Trang 22 Cấm Browse.
Đối với Start Menu & Taskbar
Gở bỏ những chương trình phổ biến từ Start Menu
Gở bỏ lệnh Run từ Start Menu
Vô hiệu hóa và gở bỏ lệnh Shut Down
Đối với Control Panel
Vô hiệu hóa Control Panel
Ẩn những applet được chỉ định
Đối với Control Panel: Add/Remove Programs
Vô hiệu hóa Add/Remove Programs
Ẩn tùy chọn Add a program from CD-ROM or floppy disk.Đối với Control Panel: Display
Vô hiệu hóa Display trong Control Panel
Ẩn tab Background
Vô hiệu hóa chức năng thay đổi hình nền
Ẩn tab Appearance
Ẩn tab Settings
Ẩn tab Screen Saver
Đối với Network: Network & Dial-Up Connections
Cấm kết nối RAS
Cấm truy cập đến thuộc tính của kết nối LAN
Cấm truy cập đến Advanced Settings
Cấm cấu hình kết nối chia sẽ
Cấm cấu hình TCP/IP nâng cao
5.4 Guest Account
Control Panel / User Accounts / Manage Accounts: Turn off
Trang 23Tài khoản Guest là kiểu tài khoản luôn tự động đăng nhập.
Khuyến cáo:
Nên vô hiệu hóa tài khoản Guest hoặc thiết lập cụm mật khẩungẫu nhiên ccho tài khoản Guest và tự động từ chối tài khoảnGuest với “Simple File Sharing”
Yêu cầu xác thực đối với tài khoản Administrator
Bật tính năng khóa tài khoản khi đăng nhập sai 5 lần
Nên đổi tên tài khoản Administrator thành một tài khoản khác
Tạo bẩy Administrator sau khi đã đổi tên tài khoản thật
Sử dụng hai tài khoản: Regular account (sử dụng thường