Bài giảng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment: Chương 14 - ThS. Trần Bá Nhiệm (Biên soạn)

Chương 14 trang bị cho người học những hiểu biết về các đặc tính bảo mật trong Windows Server 2003. Mục tiêu học tập của chương này gồm có: Xác định các phần tử và kỹ thuật khác nhau dùng để bảo mật hệ thống Windows Server 2003, Dùng các công cụ Security Configuration and Analysis để cấu hình và rà soát các thiết lập bảo mật, kiểm toán truy vập vào các tài nguyên và xem lại các thiết lập Security log. Mời tham khảo.

Trang 1

70-290: MCSE Guide to Managing

a Microsoft Windows Server 2003

Environment

Chương 14:

Các đặc tính bảo mật trong

Windows Server 2003

Trang 2

Mục tiêu

• Xác định các phần tử và kỹ thuật khác nhau dùng

để bảo mật hệ thống Windows Server 2003

• Dùng các công cụ Security Configuration and

Analysis để cấu hình và rà soát các thiết lập bảo mật

• Kiểm toán truy vập vào các tài nguyên và xem lại các thiết lập Security log

Trang 3

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Security policies (Các chính sách bảo mật)

• Service packs & hot fixes

Trang 4

• Trong 1 môi trường domain, 1 chứng thực có thể cung cấp quyền truy cập đến nhiều domain và forest

• Các phương pháp chứng thực bổ sung có thể áp dụng với các dịch vụ khác (như IIS)

Trang 5

5

Điều khiển truy cập

• Điều khiển truy cập dùng để bảo mật các tài

nguyên như file, thư mục, máy in

• Các kiểu khác của điều khiển truy cập là các

quyền NTFS, thư mục chia sẻ, máy in và các

quyền trên đối tượng AD khác

• Nguyên lý “cấp ít quyền nhất” ngụ ý là các user chỉ nên có quyền truy cập những cái gì họ cần

Trang 6

Bảo mật

• Các file bí mật lưu trên các NTFS volumn có thể

mã hóa dùng EFS

• EFS dùng kết hợp khóa công cộng và khóa riêng

• Giao thức IPSec mã hóa nội dung của các gói tin gửi qua mạng dùng TCP/IP

• 2 chế độ IPSec: transport & tunnel

• IPSec gây khó khăn cho các hacker muốn can

thiệp vào dữ liệu mạng nhạy cảm

Trang 7

• Windows Server 2003 có một số công cụ phân

tích chính sách bảo mật so với các mẫu có sẵn

• Security Configuration and Analysis MMC snap-in

• Ứng dụng dòng lệnh SECEDIT

Trang 8

Service Packs & Hot Fixes

• Nhiều bản cập nhật và patch quan trọng liên quan đến bảo mật

• Các Hot fix cũng giúp xác định 1 số vấn đề đặc biệt

• Chúng có thể tải và cài đặt từ Microsoft

• SUS có thể hỗ trợ tự động quản lý các bản cập

nhật

Trang 9

9

Dùng các công cụ Security

Configuration Manager

• Windows Server 2003 cung cấp các công cụ thiết

kế đặc biệt giúp cấu hình và quản lý các thiết lập bảo mật (Security Configuration Manager)

• Những công cụ này cùng với các chính sách

Group có thể dùng để cài đặt mẫu Security Policy

Trang 10

Dùng các công cụ Security

Configuration Manager (tt)

• Công cụ Security Configuration and Analysis sẽ

so sánh mẫu bảo mật với các thiết lập đã làm

• Công cụ Security Configuration and Analysis

gồm:

• Các mẫu bảo mật

• Các mẫu bảo mật trong các đối tượng GP

• Công cụ Security Configuration and Analysis

• Lệnh SECEDIT

Trang 11

11

Các mẫu bảo mật

• Các mẫu giúp bảo đảm thống nhất và dễ dàng bảo trì trên nhiều máy

• Các mẫu là các file văn bản

• Nhưng không dùng trình soạn thảo văn bản bình

thường để chỉnh sửa

• Có 1 số mẫu thiết kế sẵn

Trang 12

Các mẫu bảo mật (tt)

Trang 13

13

Thực tập 14-1:Xem các mẫu

bảo mật

• Mục tiêu: Làm quen với 1 số mẫu bảo mật có sẵn

• Start  Run  type mmc  OK  File 

Add/Remove Snap-in  Add

• Tìm và xem các mẫu có sẵn như chỉ dẫn

• Xem các chính sách liên hệ với các mẫu

Trang 14

Phân tích các mẫu bảo mật

• Chỉ có Windows Server 2003, Windows XP,

Windows 2000 là dùng được mẫu thiết kế sẵn

Trang 15

15

Default Template

• Mẫu Setup Security.inf chứa các thiết lập bảo

mật mặc định

• Nội dung phụ thuộc cấu hình nguyên thủy của

máy tính (cài mới, nâng cấp…)

• Cho phép administrator trả về thiết lập trước đó dễ dàng

• Không nên áp dụng khi dùng GP

Trang 16

Incremental Templates

• Sửa đổi cải tiến các cấu hình bảo mật

• Chỉ có thể áp dụng dựa trên cấu hình mặc định bởi

vì chúng không xác lập cấu hình cơ bản

• Các mẫu gồm: compatws.inf, securews.inf,

securedc.inf, hisecws.inf, hisecdc.inf, iesacls.inf,

dc security.inf, rootsec.inf

• Cũng có thể tạo mẫu tùy biến

Trang 17

Trang 18

Áp dụng các mẫu bảo mật (tt)

Trang 19

Trang 20

Thực tập 14-3: Áp dụng các thiết lập mẫu bảo mật cho các

• Import vào mẫu đã tạo trước đó

• Kiểm tra lại các thiết lập

Trang 21

• Việc so sánh sẽ xác định các thay đổi và những sự yếu kém tiềm ẩn

• Có thể so sánh nhiều mẫu 1 lần

• Có thể kết hợp và lưu giữ

• Các thay đổi có thể tạo trực tiếp trong snap-in

bằng cách chọn cấu hình mong muốn

Trang 22

Security Configuration and

Analysis (tt)

Trang 23

23

Thực tập 14-2: Tạo 1 mẫu bảo

mật (tt)

Trang 24

Thực tập 14-4: Phân tích các thiết

lập bảo mật dùng Security Configuration and Analysis

• Mở Security Configuration and Analysis snap-in

Trang 25

70-290: MCSE Guide to Managing a Microsoft

Windows Server 2003 Environment

25

Thực tập 14-4 (tt)

Trang 27

27

Kiểm toán truy cập tài nguyên

& phân tích báo cáo bảo mật

• Kiểm toán được dùng để theo dõi các sự kiện trên mạng

• Một chính sách kiểm toán định nghĩa sự kiện nào

sẽ được ghi lại

• Và ghi thành công hay không cũng được ghi nhận

• Các sự kiện đã kiểm toán được ghi vào báo cáo

bảo mật, có thể xem được qua Event Viewer

Trang 28

Thực tập 14-5: Khảo sát các thiết lập kiểm toán mặc định

• Objective: to explore the auditing settings of the default domain controller GPO

• Mục tiêu: Khảo sát các thiết lập kiểm toán của GPO mặc định

• Mở trang Properties của Domain Controllers OU trong

Active Directory Users and Computers

• Sửa chữa Default Domain Controllers Policy trong thẻ

Group Policy theo chỉ dẫn

• Mở nút Audit Policy và xem các thiết lập chính sách khác

Trang 29

70-290: MCSE Guide to Managing a Microsoft

Windows Server 2003 Environment

29

Trang 30

Trang 31

31

Cấu hình kiểm toán

• Vai trò của máy tính trên mạng ảnh hưởng cách

cấu hình chính sách kiểm toán như thế nào

• Với các server thành viên hoặc các workstation

• Các chính sách kiểm toán được hiện thực dùng các

GPO gán cho domain hoặc các OU

• Với các DC

• Các chính sách kiểm toán được hiện thực thông qua

Default Domain Controllers Policy áp dụng cho

Domain Controllers OU

• Với các workstations & servers độc lập

• Các chính sách kiểm toán được định nghĩa dùng công

cụ Local Security Policy

Trang 32

Những yêu cầu và cấu hình 1

kiểm toán

• Yêu cầu:

• Phải có quyền thích hợp (Administrators Group /

Manage auditing and security log user)

• Kiểm toán file, thư mục chỉ có thể thực hiện trên các NTFS volum

• Cấu hình 1 chính sách bảo mật

• Cấu hình kiểm toán dựa trên các sự kiện đã kiểm soát

và nbaijxayr ra việc đăng nhập thành công/thất bại

• Cấu hình kiểm toán dựa trên các đối tượng tài nguyên

Trang 33

33

Cấu hình 1 chính sách kiểm

toán (tt)

Trang 34

Thực tập 14-6: Cấu hình và kiểm tra các thiết lập chính

sách kiểm toán

• Mục tiêu: Làm quen với việc thay đổi và kiểm tra lại cấu hình các thiết lập chính sách kiểm toán

• Mở Default Domain Controllers Policy GPO

• Cấu hình lại theo y/c

• Refresh lại các thiết lập GP thủ công

• Kiểm tra các thiết lập mới và xem kết quả dùng Event Viewer

Trang 35

35

Kiểm toán truy cập các đối tượng

• Có thể kiểm soát các lần thử truy cập và thành

công các file và thư mục trên các NTFS volumn

• Chú ý: điều này có thể sinh ra 1 số lượng lớn các

sự kiện được báo cáo

• Kiểm toán các đối tượng được cấu hình thông qua Advanced Security Settings của tài nguyên

• Kiểm toán cũng có thể thực hiện với các đối tượng AD

Trang 36

Kiểm toán truy cập các đối

tượng (tt)

Trang 37

• Cấu hình các thiết lập kiểm toán cho thư mục đó

• Kiểm tra lại các thiết lập kiểm toán và quyền bằng cách thử truy cập và xóa thư mục

• Dùng Event Viewer để kiểm tra kiểm toán chính xác

Trang 38

Trang 39

• Xem lại toàn bộ các báo cáo

• Kiểm toán thông tin nhạy cảm và bí mật

• Kiểm toán Everyone group

• Kiểm toán gán quyền cho các user

• Kiểm toán Administrators group

Trang 40

Phân tích các báo cáo bảo mật

• Với mỗi sự kiện định nghĩa trong chính sách, một dòng được ghi vào báo cáo Security nếu sự kiện xảy ra

• Dùng Event Viewer để xem báo cáo Security

• Báo cáo cung cấp tổng thể ngày giờ của mỗi sự

kiện và user nào thực thi

• Có nhiều chi tiết hơn nếu double-clicking vào

dòng đó

• Event Viewer cung cấp tùy chọn tìm và lọc để hỗ

Trang 41

41

(tt)

Trang 42

(tt)

Trang 43

43

Thực tập 14-8: Cấu hình các đặc tính Event Viewer Log

• Dùng Event Viewer để xem báo cáo Security cục bộ

• Dùng tính năng Find để tìm kiểu chỉ định của sự kiện theo y/c

• Tiếp theo dùng tính năng Filter để quản lý báo

cáo, hiển thị chỉ những sự kiện nào phù hợp tiêu chuẩn

• Hiển thị lại toàn bộ các bản ghi trong báo cáo

Trang 44

Tổng kết

• Windows Server 2003 đưa ra 1 số tính năng liên quan bảo mật thành 5 loại: authentication, access control, encryption, security policies, service

packs and hot fixes

• Windows Server 2003 đưa ra 1 gói các công cụ Security Configuration Manager

• Các mẫu bảo mật, thiết lập bảo mật trong các GPO, các công cụ cấu hình và phân tích bảo mật, lệnh SECEDIT

Trang 45

• Các tài nguyên và các đối tượng đặc biệt có thể

cấu hình để kiểm toán

• 1 Security log chứa 1 bản ghi cho sự kiện được

kiểm toán

• Dùng Event Viewer để xem lại các Security log

Định dạng
Số trang	45
Dung lượng	2,19 MB