Windows 2003 Infrastructure Security

Windows 2003 Infrastructure Security

Topic 3A Windows 2003 Infrastructure Security Server Roles

Sự khác biệt quan trọng giữa Windows Server 2000 với Windows Server 2003 là Server Roles Server Roles chủ yếu được cấu hình thiết lập cho một tác vụ cụ thể hay một nhóm các tác vụ Khi kích hoạt Server Roles cụ thể, bạn có thể cấu hình Windows cho tác vụ đó, và kết quả là bạn

đã tăng cường bảo mật vì chỉ dùng tài nguyên yêu cầu cho tác vụ đó

Có 12 Server Roles khác nhau trong Windows Server 2003 RC1:

 Application Server (IIS, ASP.NET)

 DHCP Server

 DNS Server

 Domain Controller (Active Directory)

 File Server

 Mail Server (POP3, SMTP)

 Print Server

 Remote Access / VPN Server

 SharePoint Services Server

 Streaming Media Server

 Terminal Services Server

 WINS Server

Application Server (IIS, ASP.NET)

Application server cung cấp những dịch vụ ứng dụng quan trọng trong mạng ví dụ như database (MySQL, SQL Server), Web, FPT server Với application server, ta cấu hình chung cho các host biết nơi thật sự lưu trữ file, @wthat is, database hay website, trên second hard drive

DHCP Server

DHCP cung cấp một dịch vụ tuy đơn giản nhưng quan trọng để quản lý cấp phát địa chỉ IP trong mạng Trong Active Directory network, bạn phải chứng thực DHCP Server vào Active

Directory Phải cẩn thận khi cấu hình DHCP Server để cho hệ thống không cấp phát IP cho các client trái phép

DNS Server

Khi Active Directory là xương xống của Windows 2003, Active Directory tin tưởng vào DNS, DNS Server trở thành 1 phần quan trong trong tổng thể mạng

Thường xuyên có những đợt tấn công và DNS, vì vậy, cấu hình riêng biệt cho Server rất quan trọng Phương thức tăng cường DNS sẽ được nói trong phần sau (phần WWW and Internet Securiy Lession)

Domain Controller (Active Directory)

Từ phiên bản Windows 2000, thay đổi có ý nghĩa nhất là Active Directory và duy trì tiếp trong Windows Server 2003 Active Directory là dịch vụ mà nội bộ mạng tin tưởng vào nó, và Domain Controller thành 1 phần của cơ cấu điểu khiển Active Directory

File Server

File Server có vai trò minh bạch hơn so với các server khác Tuy nhiên, do tính đơn giản, làm việc quản trị không chặt chẽ, file ko an toàn Trong server này, tính xác thực là then chốt trong việc kiểm soát truy cập file và folder

Mail Server (POP3, SMTP)

Mail Server nên chia thành 1 server riêng Mail Server cũng giống như DNS là mục tiêu thường xuyên của attacker Vì thế nên tối thiểu vai trò và dịch vụ chạy trên máy này

Print Server

Thường ko được chú ý, Print Server cũng khá quan trọng Hồ sở cần được bảo mật nhất có thể tới được mọi người trong công ty vì vẫn còn trong hàng đợi của Print Server khi ko được tăng cường bảo mật

Remote Access / VPN Server

Vai trò của Remote Access / VPN Server phải được dùng thật cẩn thận Server này điểu khiển client bằng truy cập trực tiếp vào mạng Chứng thực ở đây là then chốt, bạn phải đảm bảo chỉ có các client đã được chứng thực mới có khả năng kết nối vào mạng Nếu bạn muốn dùng server role này, phải tùy chỉnh chứng thực ở mức độ cao cho các client

SharePoint Services Server

SharePoint là dịch vụ mới mà Microft đưa ra SharePoint là dịch vụ hợp tác, để người sử dụng ở nhiều vị trí khác nhau có thể truy cập và làm việc trên cùng dự án với nhau Với từng vai trò của từng người tại những vị trí khác nhau, việc chứng thực cũng rất quan trọng trong việc bảo mật của server role này

Streaming Media Server

The streaming media server cung cấp dịch vụ streaming dành cho audio và video cho các máy client hay cho các nhân viên trong 1 tổ chức Bạn có thể dùng streaming media server với nhiều mục đích, ví dụ 1 trường hợp dịch vụ remote-access, việc chứng thực ở phía clients là chủ yếu Nếu bạn dự tính dùng dịch vụ đa phương tiện của Microsoft qua tường lửa, bạn phải cấu hình với port khác (mặc dù dịch vụ này có thể cấu hình với port 80)

Để unicast streaming qua Microsoft's Multimedia Messaging Services mms, bạn cần dùng những port mặc định sau:

 TCP - 1755 (Inbound và Outbound)

 UDP - 1755 (Inbound và Outbound)

 UDP - 1024-5000 (Outbound) Server và remote client sẽ đàm phán port sẽ được dùng trong suốt phiên hoạt động

Terminal Services Server

Các dịch vụ đầu cuối cung cấp thách thức duy nhất để bảo mật thật chuyên nghiệp Những dịch

vụ này cho phép khách hàng từ xa kết nối vào server và ko chỉ truy cập file mà còn thực thi lệnh

và truy cập vào tài nguyên mạng Khi các chức năng này được hoạt động, ví dụ như trường hợp điều khiển truy cập từ xa với server khác, việc kiểm soát xem ai có quyền truy cập vào máy này

là tuyệt đối quan trọng Một trạm server bị hỏng sẽ ngay lập tức gây hại cho tổ chức

WINS Server

Windows Internet Name Service (WINS) khi Service này được triển khai trong mạng Local Area

Network nó sẽ phục vụ các Computer trong Network giải quyết để tìm NetBIOS names lẫn

nhau, và một Computer A trong Network này có thể thông qua WINS server để giải quyết được NetBIOS name của Computer B ở một Network khác (tất nhiên hệ thống WINS thông thường chỉ được dùng để giải quyết tên Netbios names trong Nội bộ Network của Tổ chức, tránh nhầm lẫn với cách giải quyết hostname của DNS server- có khả năng giải quyết tên dạng FQDN của Internet hoặc Internal Network Domain.)

Các Computer trong Internal Network sẽ được cấu hình với vai trò WINS Clients, sẽ đăng kí tên của mình (Netbios hay là tên Computer names) với WINS server WINS clients cũng có thể gửi các yêu cầu truy vấn tên đến WINS server để giải quyết Name thành IP addresses Nếu trong Nội

bộ Network không có WINS Server, thì Windows clients sẽ gửi các message dạng Broadcast để tìm Netbios name của Computer muốn giao tiếp

Tuy nhiên, nếu các Computer này nằm tại một Network khác (với Network ID khác) thí các Broadcast này sẽ bị ngăn chặn (chức năng ngăn chặn broadcast là mặc định trên các Router) Lúc này, chúng ta có thể bố trí các máy WINS Server ở các Network khác nhau, sau đó mô tả chúng là các Replication Partners của nhau

Từ lập trường về bảo mật, WINS đã ko còn được dùng Khi Active Directory được thiết kế để hoạt động với DNS và dynamic DNS (DDNS) tiện lợi hơn khi dùng, WINS đã bị giảm thiểu Tuy nhiên, nếu môi trường cần WINS, bạn vẫn có thể dùng server role này Khi dùng WINS, bạn nên cấu hình mạng để giảm tối đa NetBIOS broadcast và giới hạn trao đổi giữa các client này

Windows 2003 Infrastructure Security

Trong nhiều năm, Windows NT 4.0 đáp ứng thị trường rất tốt Nó cung cấp 1 nền tảng rộng cho công việc kinh doanh và được phổ biến rộng rãi Tuy nhiên, đó chỉ là khởi đầu cho thời đại công nghệ, và Microsoft cần phải đổi mới Windows Server Nhưng Windows Server 2003 có gì mới

để chuyển sang sử dụng?

Với 1 cách tiếp cận hoàn toàn khác để quản lý mạng, Windows Server 2003 có nhiều thành phần mới để người quản trị tiện lợi hơn khi dùng Trong chủ đề này, ta sẽ khảo sát những thành phần mới và tìm hiểu làm thế nào mà Windows Server 2003 tăng cường bảo mật và các nguồn tài nguyên trong mạng

Trong Windows 2003, nếu bạn đặt nhiều máy tính trong cùng 1 nhóm logic, và chia sẻ nguồn tài nguyên với nhau, bạn phải tạo workgroup Workgroup thường liên quan đến mạng chia sẻ ngang hàng vì mọi máy đều giống nhau Trong 1 workgroup có thể có 1 server; nói đơn giản thì đó là stand-alone server Trong trường hợp này, ko có cơ chế kiểm soát bảo mật mạng, và từng máy sử dụng cơ sở dữ liệu bảo mật cục bộ riêng để kiểm soát truy cập tài nguyên

Trong Windows 2003, cơ sở dữ liệu cục bộ là danh sách tài khoản người dùng và dữ liệu, vị trí

để truy cập tài nguyên trên từng máy cục bộ Vì thế, nếu chia sẻ cho 20 người dùng Windows

2003, phải có 20 cơ sở dữ liệu cục bộ tương ứng Công việc này ko hiệu quả cho người quản trị

để quản lý tài nguyên và bảo mật

Cải tiến lớn trong thiết kế mạng với Windows 2003 là mô hình domain Nhiều mô hình domain của Windows NT giờ không còn sử dụng Với thiết kế này, các máy tính được nhóm chung nhưng kiểm soát khác nhau

Trong Windows 2003 domain, ta phải nhóm computers và users cùng chia sẻ thư mục cơ sở dữ liệu trung tâm Thư mục cơ sở dữ liệu này chứa đựng user account, thông tin bảo mật, thông tin dịch vụ, và nhiều thứ khác cho toàn bộ domain Để truy cập vào thư mục này phải dựa vào LDAP Thư mục cơ sở dữ liệu này và phương thức để truy cập vào nó được gọi là Active

Directory (AD) và cũng được gọi là dịch vụ chỉ mục Windows 2003 (NTDS)

Giao thức LDAP (Lightweight Directory Access Protocol)

LDAP là một chuẩn giao thức truy cập thư mục đơn giản, hay là một ngôn ngữ để client và severs sử dụng để giao tiếp với nhau

LDAP là một giao thức “lightweight ” có nghĩa là đây là một giao thức có tính hiệu quả, đơn giản và dễ dàng để cài đặt trong khi chúng sử dụng các hàm ở mức cao Điều này trái ngược với giao thức “heavyweight” như là giao thức truy cập thư mục X.500 (DAP) sử dụng các phương thức mã hoá quá phức tạp LDAP sử dụng các tập các phương thức đơn giản và là một giao thức thuộc tầng ứng dụng

Active Directory là một hệ thống chuẩn và tập trung, dùng để tự động hóa việc quản lý mạng dữ liệu người dùng, bảo mật và các nguồn tài nguyên được phân phối, cho phép tương tác với các thư mục khác Thêm vào đó, Active Directory được thiết kế đặc biệt cho các môi trường kết nối mạng được phân bổ theo một kiểu nào đó

Mô hình domain của Windows 2003 được quản trị bởi AD, nó thay thế cho tất cả mô hình domain của Windows NT 4.0 Trong AD, không có máy tính nào được thiết kế là Primary hay Backup Domain Controller Thay vào đó, từng máy server mà tham gia vào việc quản lý domain được gọi là Domain Controller và nó chứa bản sao chép tổng thể của thư mục cơ sở dữ liệu (Domain Controller phải chạy Windows Server 2003.)

Windows 2003 domain ko bị ràng buộc bởi vị trí hay cấu hình mạng Các máy tính với cùng domain có thể gần nhau như trong mạng LAN (kết nối theo Ethernet truyền thống) hay xa nhau hơn theo mạng WAN (kết nối theo T1, E1, hay một vài công nghệ WAN khác)

Active Directory là 1 danh sách thông tin cơ sở dữ liệu cho từng đối tượng có trong domain Những thông tin này cho biết những đối tượng này sẽ tương tác với những đối tượng khác ra sao Khi dùng Active Directory trong Windows 2003, trong danh sách này có thể bao gồm thông tin

về user accounts, groups, computers, servers, printers, chính sách bảo mật (security policies), và nhiều thông tin khác Active Directory khởi đầu với 1 số ít các đối tượng và có thể phát triển đến hàng hàng triệu đối tượng trong danh sách

Một thành phần quan trọng của Windows 2003 là DNS Lý do DNS quan trọng là tùy vào AD Active Directory tin tưởng vào DNS cung cấp naming information được yêu cầu tới vị trí tài nguyên trong mạng

Ngoài những thông tin được đề cập ở bài trước, AD nắm giữ những thông tin về access control Khi người dùng đăng nhập vào mạng, người đó phải được chứng thực bằng những thông tin có trong Active Directory Khi một người dùng cố gắng truy cập vào đối tượng, thông tin yêu cầu

để chứng thực truy cập được lưu trữ trong Active Directory và đươc gọi là Discretionary Access Control List (DACL)

Các đối tượng trong Active Directory có thể được sắp đặt thành các class Class đại diện cho 1 nhóm các đối tượng logic đã được người quản trị suy xét Lớp đối tượng đó bao gồm user

acounts, computers, domains, groups, và Organizational Units (OUs) Bạn cũng có khả năng tạo container chứa các đối tượng khác 1 container là 1 đối tượng mà có thể chứa computers, users, hay các đối tượng khác

Active Directory Components

Trong Windows 2003 có một vài thành phần then chốt hoàn thành nên Active Directory Các thành phần mang tính logic và không có ranh giới là domains, forests, trees, và OUs Các thành phần của AD mang tính vật lý là domain controller và sites Các chức năng của AD phân biệt cấu trúc vật lý từ cấu trúc mạng logic

Active Directory Logical Structure

Một lợi ích của Active Directory là khả năng xây dựng mạng logic phản chiếu từ cấu trúc logic của tổ chức đó Cấu trúc logic này trực quan với người sử dụng, và người đó có thể tìm và xác định các tài nguyên bằng tên logic mà ko cần kiến thức xắp đặt vật lý trong mạng

Thành phần chính đằng sau cấu trúc của Active Directory là domain Một Windows 2003 AD domain bao gồm ít nhất 1 domain và không giới hạn Microsof đã đặt các đối tượng lưu trữ trong domain rất thú vị Những đối tượng này được định nghĩa giống với các đối tượng mà người dùng cần khi làm công việc của họ Ví dụ về những đối tượng này là printers, databases, mail

addresses, other users v.v Từng domain giữ những thông tin về tất cả đối tượng trong domain

và chỉ những đối tượng thuộc về domain đó Những domain cho phép nối 1 hay nhiều vị trí vật

lý với nhau

Hình 3-1: Ví dụ về mô hình logic mạng của Windows 2003 Active Diretory

Domain được dùng như 1 ranh giới để kiểm soát bảo mật tại nơi đó Access Control List (ACL) được dùng để điều chỉnh truy cập xác định đến các đối tượng domain, như là shared folder, để quy định người sử dụng ACL chứa đựng quyền cho phép hay chặn truy cập 1 đối tượng nào đó,

ví dụ như người dùng hay nhóm, hoặc 1 đối tượng khác ví dụ như file, folder, hay printer

Trong domain có OUs OU là nơi chứa mang tính logic được dùng để phản chiếu thêm cho cấu trúc logic của tổ chức OU có thể chứa uers, groups, shared folder và printer, và các OU khác trong cùng domain Mọi domain trong mạng cần phải có một cấu hình OU duy nhất, không phụ thuộc vào domain khác

Các chính sách bảo mật và các chính sách liên quan đến cách hành xử của computer và user (Group Policies) có thể được chỉ định cho một stand-alone computer, a site, a domain, hay an

OU thích hợp Có thể chỉ định cách chính sách cho từng OU mà bạn ko cần phải làm Nếu muốn dùng 1 chính sách dùng cho tất cả OUs trong mạng, bạn có thể chỉ định chính sách đó cho parent OUs hay cho domain, vì cách hành xử mặc định cho phép các đối tượng con kế thừa cách chính sách từ các đối tượng cha ở trong Active Directory Một mục quan trọng khác cần chú ý là chính những Group Policy là đối tượng trong AD; ngoài ra, các quyền thi hành có thể được cấp cho

UK.SecurityCertified.Net US.SecurityCertified.Net

IL.US.SecurityCertified.Net

GP Để chính sách có hiệu lực với 1 đối tượng, đối tượng đó phải có quyền tối thiểu là Read và quyền Apply Group Policy cho chính sách đó

Một khái niệm mới trong Windows 2003 là forests và trees Một tree là một cấu trúc logic, tạo bởi nhóm thiết kế mạng, của 1 hay nhiều Windows 2000 domain chia sẻ cùng 1 namespace Các Domain được liến kết với nhau theo cấu trúc phân tầng và theo chuẩn đặt tên DNS Trong hình 3-3, những domain con của SecuritySertified.Net dùng tên cha của nó trong cấu trúc tên

Hình 3-3: Một domain tree của Windows 2003 dùng chuẩn đặt tên DNS

Trong cấu trúc Windows 2003 Active Directory, một forest là tập hợp của một hay nhiều domain tree độc lập Những tree độc lập này liên kết trust với nhau Từng tree trong forest duy trì hệ thống đặt tên DNS riêng, và không yêu cầu bất cứ namespace tương tự nào từ 1 tree khác Từng domain có chức năng riêng của nó, nhưng kết nối logic của forest cho phép truyền thông trên toàn doanh nghiệp Cơ cấu của Windows Server 2003 (.NET) phải thêm 1 bước nữa: thực hiện tin cậy giữa 2 forest để tọa liên đoàn

Domain

Domain

Việc thực hiện trust trong Windows 2003 Active Directory khá khác so với Windows NT 4.0 Trong Windows 2003, tất cả trust giữa 2 domain mặc định có 2 chiều transitive trust Trust dựa trên Kerberos version 5 là tự động tạo trust khi một domain mới được thêm vào tree Domain khởi nguồn của tree được gọi là root domain, và các domain sau đó ở trạng thái 2 chiều transitive trust nối với tree Đó là do trust nên các user và computers từ domain nào đó có thể được chứng thực tại tại bất kỳ domain trong tree hay forest (Việc chứng thực dựa vào việc thiết lập quyền riêng)

Note: một transitive trust nghĩa là nếu domain C trust domain B và domain B trust domain A thì domain C trust domain A

Khi có một Windows domain cũ trong mạng, như là Windows NT 4.0 domains, một trust cụ thể

có thể được tạo Trust này được gọi là trust 1 chiều rõ ràng, và nó là notransitive Như thế, một mạng dùng Windows 2003 chạy Active Directory có thể truyền thông với domain cũ như

Windows NT 4.0

Một tùy chỉnh khác để tự tạo trusts là kết nối 2 Windows 2003 domains nằm ở phía dưới của trees trong các forest khác nhau Việc này có thẻ giúp tăng tốc độ truyền thông giữa 2 domain Cách này được gọi là shotcut trust

Active Directory Physical Structure

Mặc dù việc thiết kế chính và thực hiện Active Directory ở khía cạnh logic, khia cạnh vật lý cũng phải được giải quyết Các thành phần chính của khía cạnh vật lý của Active Directory là các site,

sự liên kết giữa các site, và Domain Controllers

Site được định nghĩa theo microsoft "là một kết hợp của một hay nhiều Internet Protocol (IP) subnets được kết nối bởi các liên kết đáng tin cậy tốc độ cao tập trung lại nếu được" Fast link thường được gọi khi kết nối ở tốc độ tối thiểu là 512 Kbps Nói cách khác, site được thiết kế để ánh xạ cấu trúc vật lý trong mạng của bạn và có thể hoặc không được tạo các IP subnet khác nhau

Cần nhớ rằng domain được thiết kế để phản ánh các nhu cầu hợp lý trong mạng và áp dụng mô hình logic đó để thiết kế một mạng vật lý Không có sự liên quan giữa site và domain Có thể có nhiều domain trong 1 site, và có thể có nhiều site cho 1 domain

Một site cũng không phải là 1 phần của DNS namespace Có nghĩa là khi duyệt đến thư mục nào

dó, ban sẽ thấy các tài khoản user và computer được quản lý bởi domain hoặc OU, nhưng ko phải bởi site Có duy nhất 1 thứ mà site chứa đựng là các đối tượng Computer và các đối tượng liên quan đến kết nối và các mô phỏng từ site này đến site khác

Các thành phần tô điểm cho Active Directory chính là Domain Controllers (DCs) Những máy tính chạy DC này phải chạy trên Windows 2003 Servers, và chúng có một bản sao chính xác của Domain Directory Trong thực tế, khi thay đổi trong DC thì cũng có hiệu lực với Active

Directory, và tất cả các DCs khác sẽ nhận được bản thay đổi này Vì một vài domain controller

có thể chứng thực một user, từng controller được yêu cầu phải có Directory này Các chức năng căn bản của Domain Controller là:

 Từng DC lưu trữ 1 bản copy về thông tin Active Directory liên quan đến domain đó (gọi tắt là một AD partition)

 Từng DC sao chép các thay đổi tới tất cả các DC khác để đảm bảo nhất quán mô hình mạng

 Từng DC sao chép các thay đổi quan trọng tới tất cả các DC khác ngay lập tức

 Từng DC có thể yêu cầu chứng thực đăng nhập

Windows 2003 DNS

Để Active Directory hoạt động trong khả năng của nó, DNS phải được chạy trong mạng Việc triển khai DNS namespace sẽ là nền tảng của AD namespace khi tạo Bằng cách làm theo những thủ tục này, bạn có thể dễ dàng truyền thông IP, dùng tên liên quan tới từng mạng

Một tính năng chính của Windows 2003 là Dynamic DNS (DDNS) DDNS cho phép các client (các client nhận IP address tự động (theo máy chủ DHCP)) có tên và IP address đã được đăng ký trong mạng Với một DDNS server chạy trong mạng, các máy client tự động truyền thông với server, xác nhận tên và địa chỉ, và cập nhật thông tin DNS mà không cần user can thiệp vào Một lợi ích khi dùng DDNS trong mạng là khả năng loại bỏ các protocol và các servervice khác

mà đang được chạy liên kết với các tài nguyên Ví dụ, Windows Internet Name Server (WINS) của Windows NT 4.0 ko còn cần thiết và NetBEUI cũng thế, nhưng cũng nên cần để cung cấp thêm khả năng tương tích ngược

Group Policy Components

Thành phần cuối trong cở cở hạ tầng của Windows 2003 là group policy Một group policy là 1 nhóm các thiết lập của user và computer mà được áp dụng cho computers, domains, OUs, và sites Ví dụ, bạn có thể thiết lập một group policy để gỡ bỏ 1 các đối tượng trong Start menu Khi cấu hình thiết lập group policy, nó được đặt ở Group Policy Object (GPO) GPO chịu trách nhiệm kiểm soát ứng dụng chính sách tới các đối tượng Active Directory, như là sites, OUs, và domains Khi GPO được cấu hình, nó áp dụng các chính sách tới các đối tượng AD đã được chỉ định, và mặc định, các chính sách sẽ có hiệu lực tói tất cả các computer chứa trong đối tượng AD

Các chính sách ảnh hưởng đến tất cả computers có thể ko như mong muốn, vì thế cần phải lọc các chính sách cần thiết đã được triển khai cho computers và users Để lọc ta dùng Access Control List (ACLs)