Tài liệu hướng dẫn cấu hình bảo mật cho hệ thống máy chủ window server 2003. Do trung tâm Nhất Nghệ biên soạn.
Trang 1QU N TR M NG Ả Ị Ạ
M i c r o s o f t
LAB MCSA 2003
70 - 299
Trang 2MỤC LỤC
Stand-alone root CA .01
Enterprise certificate authority & key recovery agent 09
Smartcard 27
Secure socket layer & IP security 33
EFS trên WorkGroup 47
EFS trên Domain 53
Trust Relationship 55
Security Templates 63
Move Active Directory Database 66
Password Syskey 68
DNS Zone Transfer 69
Microsoft security baseline analyzer & Software update service 76
Radius 82
Trang 3I - Nội Dung:
Lưu trữ Certificate của user lên Smartcard – Dùng Certificate trên Smartcard để logon và mã hóa dữ liệu
II - Chuẩn Bị:
- Một bộ Smartcard ( reader và card )
- Máy 1 (PC01): Làm các chức năng DC, Enterprise Root CA (xem lại lab 2)
- Máy 2 (PC02): Workstation, join vào domain
- Tạo OU “Smart Card”, trong OU “Smart Card” tạo 1 user có user name và password là: U1/123
Trong Properties của U1, nhớ điền email address: u1@nhatnghe.com
- Di chuyển Computer Account (PC02) trong “Computer” sang OU “Smart Card”
III - Thực Hiện:
Lưu ý: Tất cả các thao tác trên máy PC01 đều dùng quyền của Domain Admin Chọn các thông số mặc
nhiên trong quá trình cài đặt
1 – Cài driver và chương trình đọc thẻ từ cho cả 2 máy:
Trang 4a) Tại PC01 chạy chương trình Setup.exe trong bộ
software bán kèm với Smartcard → Install products →
ASE Drive Driver Sau khi hoàn tất việc cài Driver, cài
tiếp “ASE Card Cryto User Toolkit”
b) Thực hiện tương tự trên PC02
2 – Phát hành các Certificate Template mới dùng cho Smartcard:
a) Tại PC01, chạy chương trình Certificate
Authority Click nút phải chuột trên Certificate
Template → New → Certificate Template to
Issue
b) Chọn các Template: Enrollment
Agent, Smartcard Logon, Smartcard
User → OK
3 - Cấp Certificate “Enrollment Agent” cho Administrator
Trang 5Hệ thống tự động cấp Certificate loại
“Enrollment Agent” cho Administrator
Chọn Install this Certificate → Yes
4 – Admin dùng quyền “Enrollment Agent” để xin Certificate cho U1 và ghi Certificate vào thẻ từ a) Tại PC01, chạy IE → Tools → Internet
Options → chọn tab Security→ Trusted Sites
Chọn nút Sites, thêm vào địa chỉ
http://localhost Chỉnh mức Security Level
xuống mức Low, đóng IE
b) Tại PC01, chạy IE, nhập vào địa chỉ:
http://localhost/certsrv → Request a Certificate → Advanced Certificate Request → Request a certificate for a smart card on behalf of another user by using the smart card certificate enrollment station
Trang 6c) Trong Certificate
Template chọn
“Smartcard User”, trong
User to Enroll chọn
U1@nhatnghe.com Các
mục khác chọn giá trị
mặc nhiên Đưa thẻ từ
vào đầu đọc→ Enroll
d) Nhập vào số PIN hiện tại của thẻ từ (123456), chọn mục “Change PIN after Verification” Nhập lại số
PIN mới
Hoàn tất quá trình xin Certificate cho user
5 – Dùng Smartcard để logon trên Workstation:
Trang 76 – Dùng Smartcard để mã hóa email:
Trên PC02, sau khi dùng smartcard logon thành công vào user U1
a) Chạy chương trình Outlook Express, dùng các thông số sau để khai báo cho quá trình Wizard Setup của
Outlook Express:
Display Name: U1
Email Address: U1@nhatnghe.com
Incoming mail: mail.nhatnghe.com
Outgoing mail: mail.nhatnghe.com
Account name: U1
Password: 123
Lưu ý: Trong bài lab này ta không cần cài đặt mail server (máy mail.nhatnghe.com không tồn tại) → trong Outlook Express ấn Send/Receive sẽ bị báo lỗi → không quan tâm.
b) Tạo một mail mới (không ấn nút send), gởi cho chính U1@nhatnghe.com, subject: Test Smartcard, nội dung tùy ý
c) Chọn “Sign” và “Encrypt”
→ Send → hệ thống yêu cầu
nhập số PIN của Smartcard →
gõ 123456 → OK → Email
được mã hoá và chuyển sang
folder outbox để chờ gởi
7 – Áp Policy để bắt buộc máy PC02 phải dùng Smartcard để logon:
a) Tại máy PC01, logon administrator
b) Chạy chương trình Active Directory Users and Computer, Click nút phải chuột trên OU “Smatd Card”→
Trang 8c) Trong Computer Configuration → Windows Settings → Security Settings → Local Policies → Security
Options→ Chỉnh lại các option sau:
Interative Logon: Do not require CTRL + ALT + DELETE : Enable
Interative Logon: Require Smartcard: Enable
Interative Logon: Smartcard removal behavior: Lock Workstation
d) Đóng tất cả các cửa sổ đang mở → Start → Run → GPUPDATE /FORCE
e) Khởi động lại PC02, ấn Ctrl + ALT + Delete → Nhập Username / Password: U1/123 → hệ thống báo lỗi
“The Local Policy of this System requires you to logon using a smart card” → đưa smart card vào → nhập
số PIN → logon U1 thành công → lấy card ra → workstation bị lock lại