Các chính sách hạn chế phần mềm có thể được cấu hình để cho phép hoặc từ chối sự sử dụng đối với một số ứng dụng nào đó và vẫn được sử dụng trong các máy tính công cộng, mặc dù vậy chúng[r]
Trang 1Ban hành lần: 3
UBND TỈNH BÀ RỊA – VŨNG TÀU
TRƯỜNG CAO ĐẲNG KỸ THUẬT CÔNG NGHỆ
GIÁO TRÌNH
MÔ ĐUN :QUẢN TRỊ NÂNG CAO NGHỀ: QUẢN TRỊ MẠNG TRÌNH ĐỘ: TRUNG CẤP
Ban hành kèm theo Quyết định số: ……/QĐ-CĐKTCN, ngày … tháng … năm 20…… của Hiệu trưởng Trường Cao đẳng Kỹ thuật Công nghệ BR-VT)
Trang 2BÀ RỊA – VŨNG TÀU, NĂM 2020
TUYÊN BỐ BẢN QUYỀN
Nhằm đáp ứng nhu cầu học tập và nghiên cứu cho giảng viên và sinhviên nghề Công nghệ Thông tin trong trường Cao đẳng Kỹ thuật Côngnghệ Bà Rịa – Vũng Tàu, chúng tôi đã thực hiện biên soạn tài liệu Quản trịmạng này
Tài liệu được biên soạn thuộc loại giáo trình phục vụ giảng dạy và họctập, lưu hành nội bộ trong Nhà trường nên các nguồn thông tin có thể đượcphép dùng nguyên bản hoặc trích dùng cho các mục đích về đào tạo vàtham khảo
Mọi mục đích khác mang tính lệch lạc hoặc sử dụng với mục đíchkinh doanh thiếu lành mạnh sẽ bị nghiêm cấm
Trang 3LỜI GIỚI THIỆU
Giáo trình “Quản trị mạng nâng cao” được biên soạn dựa trên khungchương trình đào tạo Cao đẳng nghề Công nghệ Thông tin năm 2019 đã đượcTrường Cao đẳng Kỹ thuật Công nghê Bà Rịa – Vũng Tàu phê duyệt
Tác giả đã nghiên cứu một số tài liệu, công nghệ hiện đại kết hợp với kinhnghiệm làm việc thực tế để viết nên giáo trình này Nội dung được tác giả trìnhgiáo trình là trang bị cho học viên những kiến thức và kỹ năng:
- Xây dựng và quản trị hạ tầng Active directory
- Cài đặt và quản trị hạ tầng khóa CA
- Cài đặt và cấu hình DHCP relay agent
- Có khả năng tinh chỉnh và giám sát mạng Windows Server;
- Triển khai được dịch vụ Routing and Remote Access (RRAS);
- Có khả năng phát hiện và khôi phục Server bị hỏng;
- Có khả năng cài đặt và quản lý máy tính từ xa thông qua RAS;
- Xây dựng được một mạng riêng ảo VPN;
- Cài đặt và cấu hình được các chính sách mặc định của Firewall, thực hiệnchính xác thao tác sao lưu cấu hình mặc định của Firewall;
- Thực hiện được thao tác xuất, nhập các chính sách của Firewall ra thành file;
- Bố trí làm việc khoa học đảm bảo an toàn cho người và phương tiện học tập
- Bố trí làm việc khoa học đảm bảo an toàn cho người và phương tiện học tập.Nội dung giáo trình được chia thành 9 bài, trong đó:
Bài 1: Dịch vụ windows terminal services
Bài 2: Tính năng bảo mật nâng cao server
Bài 3: Thực thi distributed ad ds deployments
Bài 4: Operations master roles
Bài 5: Dịch vụ routing
Bài 6: Dịch vụ nat
Bài 7: Dịch vụ dhcp relay
Bài 8: Dịch vụ virtual private network
Bài 9 : Triển khai các dịch vụ dựa trên certification authority
Mặc dù bản thân đã tham khảo các tài liệu và các ý kiến tham gia của cácđồng nghiệp, song cuốn giáo trình vẫn không tránh khỏi những thiếu sót.Mong các bạn đóng góp ý kiến
Tôi xin cảm ơn các thầy cô khoa CNTT–Trường Cao đẳng nghề đã chotôi các ý kiến đóng góp quý báu để tôi hoàn thiện giáo trình này
Bà Rịa – Vũng Tàu, ngày …… tháng …… năm ………
Tham gia biên soạn
1 Vũ Thị Tho – Chủ biên
3
Trang 4MỤC LỤC
BÀI 1: DỊCH VỤ WINDOWS TERMINAL SERVICES
1 Tại sao phải dùng Terminal services 7
2 Các hình thức máy trạm kết nối đến máy chủ: 7
3 Cài đặt và cấu hình Terminal Service 7
3.1 Cài đặt Terminal Services: 8
3.2 Thêm các chương trình ứng dụng RemoteApp 13
3.3 Chia sẻ folder chứa file ứng dụng 17
3.4 Kiểm tra trên máy client 18
4.Triển khai các ứng dụng RemoteApp thông qua TS Web Access: 21
4.1 Cài đặt TS Web Access trên Terminal Server 21
4.2.Kiểm tra trên Terminal Client 24
5 Bảo mật Terminal Services của Windows Server 2008 25
5.1 Sử dụng chứng thực Smart Cards 25
5.2 Cấu hình bảo mật bổ sung bằng Group Policy 25
BÀI 2: TÍNH NĂNG BẢO MẬT NÂNG CAO SERVER 1 Thiết lập Advanced Firewall 32
1.1 Giới thiệu 32
1.2 Cấu hình Advanced FireWall 32
1.2.1 Xác định port 33
1.2.2.Cấu hình Inbound Rule 33
1.2.3.Cấu hình Outbound Rule 35
2 IP SECURITY 38
2.1 Tổng quan IP Sec 38
2.1.1 Khái niệm IP Sec 38
2.1.2 Cấu trúc bảo mật của IP SEC 38
2.1.3 Hiện trạng IP SEC 39
2.2 Cấu hình IP Sec 40
2.2.1 Cấu hình IP Sec cho tất cả các kết nối 40
2.2.2 Cấu hình IP Sec cho kết nối được chỉ định 54
2.2.3 Connection Security Rules 56
2.2.4 Deploy connection Security Rules bằng GPO 59
BÀI 3: THỰC THI DISTRIBUTED AD DS DEPLOYMENTS 1 Các thành phần Active directory 60
2 Thực thi Active directory 62
2.1 Cấu hình Child Domain trong AD 62
2.2 Thêm domain controller 67
2.3 Cấu hình DNS 71
BÀI 4: OPERATIONS MASTER ROLES 1.Giới thiệu Operations master roles 76
1.1 FSMO là gì 76
1.2 Các vai trò của FSMO 76
2.Cấu hình Operations master roles .79
4
Trang 52.1 Transfer FSMO Roles 80
2.2 Size FSMO Roles 80
BÀI 5: DỊCH VỤ ROUTING 1.Giới thiệu Routing 80
2 Cấu hình Routing : 83
2.1 Cài đặt role Routing and Remote Access 84
2.2 Cấu hình Static Route 85
2.3 Cấu hình Dynamic Route 89
BÀI 6: DỊCH VỤ NAT 1 Giới thiệu NAT /PAT 91
2 Cấu hình NAT OUTBOUND & INBOUND ON SERVER 94
2.1 Cấu hình NAT OUTBOUND 95
2.2 Cấu hình NAT INBOUND 99
3 Bài tập nâng cao 101
BÀI 7: DỊCH VỤ DHCP RELAY 1 Giới thiệu DHCP Relay Agent 102
1.1.Tại sao phải sử dụng DHCP relay agent 102
1.2.Ưu diểm của DCHP RELAY 103
1.3.Cơ chế hoạt động DHCP Relay Agent 103
1.4.Cấp phép (authorize) 104
1.5.Level option của DHCP server 105
2 Cài đặt và cấu hình DHCP Relay Agent 107
2.1.Cài đặt và cấu hình DHCP server 107
2.2.Cài đặt cấu hình DHCP Relay 114
BÀI 8: DỊCH VỤ VIRTUAL PRIVATE NETWORK 1 Tổng quan về VPN 118
1.1.Khái niệm vpn 118
1.2.Lợi ích của VPN 119
1.3.Cơ chế hoạt động của VPN 119
1.4.Giao thức sử dụng VPN 120
2 Cấu hình VPN Client to Site 123
3 Cấu hình VPN Site to Site 132
BÀI 9 :TRIỂN KHAI CÁC DỊCH VỤ DỰA TRÊN CERTIFICATION AUTHORITY 1 Cơ sở hạ tầng khóa công khai 142
1.1 Giới thiệu về PKI 142
1.2 Chứng chỉ số 142
1.2.1 Giới thiệu 143
1.2.2 Lợi ích của chứng chỉ số 143
2 Triền khai dịch vụ CA trên môi trường windows server 2008 145
2.1 Cài Enterprise CA 146
2.2 Cấp phát quản lý CA 147
3 Triền khai một số dịch vụ mạng sử dụng CA 157
3.1 Dịch vụ IP Sec 157
3.2 Dịch vụ Web sử dụng SSL 170
5
Trang 63.3 Dịch vụ VPN 176
GIÁO TRÌNH MÔ ĐUN
Tên mô đun: Quản trị mạng nâng cao
Mã môn học/mô đun:MĐ15
VỊ TRÍ, TÍNH CHẤT CỦA MÔ ĐUN:
- Vị trí: Mô đun được bố trí sau khi sinh viên học xong môn, mô đun: Mạng máytính, Quản trị mạng 1, Quản trị hệ thống WebServer và MailServer
- Tính chất: Là mô đun chuyên nghành bắt buộc
MỤC TIÊU MÔ ĐUN:
- Có khả năng tinh chỉnh và giám sát mạng Windows Server;
- Triển khai được dịch vụ Routing and Remote Access (RRAS);
- Có khả năng phát hiện và khôi phục Server bị hỏng;
- Có khả năng cài đặt và quản lý máy tính từ xa thông qua RAS;
- Xây dựng được một mạng riêng ảo VPN;
- Cài đặt và cấu hình được các chính sách mặc định của Firewall, thực hiệnchính xác thao tác sao lưu cấu hình mặc định của Firewall;
- Thực hiện được thao tác xuất, nhập các chính sách của Firewall ra thành file;
- Bố trí làm việc khoa học đảm bảo an toàn cho người và phương tiện học tập
NỘI DUNG MÔ ĐUN:
6
Trang 7BÀI 1: DỊCH VỤ WINDOWS TERMINAL SERVICES
Mã bài: 15.1
1 Tại sao phải dùng Terminal services
Terminal Service Remote Application là một tính năng mới trên WindowsServer 2008 Các chương trình ứng dụng sẽ được cài đặt sẵn trên WindowsServer 2008, các máy trạm tuy không cài đặt chương trình ứng dụng, nhưng vẫn
có thể khai thác các chương trình ứng dụng đó trên máy chủ thông qua TerminalService Terminal Service có đặc điểm như sau:
-Sự truy cập liền mạch Người dùng truy cập vào các ứng dụng hosting từ xa
một cách liền mach như các ứng dụng đang được cài đặt cục bộ Các ứng dụnghosting có thể cư trú trên các ứng dụng được cài đặt cục bộ
- Quản lý ứng dụng tập trung, dễ dàng, và đơn giản
-Dễ dàng quản lý các văn phòng chi nhánh,phù hợp nhất với những công ty
không có nhân viên IT chuyên nghiệp tại các văn phòng chi nhánh
-Sử dụng các ứng dụng không tương thích cùng với nhau trong cùng 1 hệ thống
- Các máy trạm không cần phải có cấu hình phần cứng mạnh và doanh nghiệpkhông phải tốn nhiều chi phí về bản quyền phần mềm khi sử dụng dịch vụ này.Tuy nhiên, doanh nghiệp vẫn phải mất chi phí bản quyền cho CAL (ClientAccess License), và chi phí này vẫn thấp, có thể chấp nhận được
- Máy trạm kết nối đến máy chủ thông qua Terminal Service nên máy trạm phảiđược cài đặt Remote Desktop Connection (RDC) 6.0 trở lên
2 Các hình thức máy trạm kết nối đến máy chủ
- Có 4 cách để máy trạm kết nối đến máy chủ khi khai thác chương trình ứngdụng trên máy chủ:
Sử dụng trình duyệt web: Máy chủ phải cài đặt thêm Terminal Service Web
Access, máy trạm phải được cài đặt Remote Desktop Connection (RDC) 6.1.RDC6.1 có sẵn trong Windows Vista Service Pack 1 và Windows XPProfessional Service Pack 3
Sử dụng Network Access: Máy chủ tạo sẵn file rdp (mỗi chương trình ứng
dụng tương ứng 1 file rdp) và được share trên máy chủ, máy trạm truy cập vàomáy chủ, chạy trực tiếp file đó để khai thác chương trình ứng dụng trên máychủ
Sử dụng Network Access: Máy chủ tạo sẵn file msi (mỗi chương trình ứng
dụng tương ứng 1 file msi)và được share trên máy chủ, máy trạm truy cập vàomáy chủ, chạy trực tiếp file đó để cài đặt các shortcut liên kết đến chương trìnhứng dụng trên máy chủ Các shortcut này được cài đặt trong Start menu của máytrạm, cụ thể là mục Remote Application Máy trạm chạy các shortcut đó để khaithác chương trình ứng dụng trên máy chủ
Sử dụng policy (áp dụng cho môi trường Domain) để triển khai hàng loạt việc
cài đặt shortcut liên kết đến chương trình ứng dụng trên máy chủ cho nhiều máytrạm
3 Cài đặt và cấu hình Terminal Service
Chuẩn bị: Hệ thống gồm:
7
Trang 8- Server: Windows Server 2008
+ Tạo local user: sv1/123 , sv2/ 123 và add vào group remote desktop users+ Bật chế độ remote desktop trên máy server
+ Change password Adminstrator là 123
- Client: Windows XP
Thực hiện:
3.1 Cài đặt Terminal Services:
Start –> Programs –> Administrative Tools –> Server Manager
Chuột phải Roles –> Add Roles
Before you begin –> Next
8
Trang 9Chọn Terminal Services –> Next
Hộp thoại Instruction to Terminal Services –> Next
Chọn Terminal Server –> Next
9
Trang 10Application Compatibility để mặc định –>Next
Authentication Method –> Chọn Do Not Require Network Level Authentication –> Next
10
Trang 11Licensing Mode –> Configure later –> Next
Add 2 user sv1 và sv2 vào để có thể access the terminal server
11
Trang 12Confirmation Installation –> chọn Install Sau khi cài đặt xong thì chọn Restart –
> OK
Kiểm tra Remote Connection đã được enable
Phải chuột Computer –> Chọn properties –> Remote Setting –> Tab Remote
12
Trang 133.2 Thêm các chương trình ứng dụng RemoteApp:
- Start –> Program –> Administrative Tools ->Terminal Services ->TSRemoteApp Manager
- Menu Action –> Add RemoteApp Programs
Menu Action –> Add RemoteApp Programs
13
Trang 14Màn hình Wellcome –> Next
Choose Program to add to RemoteApp Program list –> Chọn các ứng dụng choClient –> Next
14
Trang 15Review Setting –> Finish
15
Trang 16Trong màn hình TS remote App –> Cuộn xuống cuối màn hình –> Phải chuộtvào application và chọn Create Windows Installer Package
Màn hình Welcome –> Next
Để mặc định các thông số cấu hình –> Next
16
Trang 17Chọn Finish
3.3 Chia sẻ folder chứa file ứng dụng:
C:\Program File –> Chuột phải lên Packaged Program –> Properties –> ShareFolder –> Everyone Allow-Read –> OK
17
Trang 183.4 Kiểm tra trên máy client:
Start –> Run –> Nhập địa chỉ ip Remote Server
Vd: \\192.168.1.38 OK
Hộp thoại yêu cầu khai báo username/password đăng nhập –> Nhập sv1/123 –>OK
18
Trang 19Chọn ứng dụng cần dùng
Chọn Connect
19
Trang 20Nhập vào user chứng thực –> OK
Quá trình kết nối diễn ra và Ứng dụng cần dùng sẽ mờ ra
20
Trang 214.Triển khai các ứng dụng RemoteApp thông qua TS Web Access:
4.1 Cài đặt TS Web Access trên Terminal Server:
- Server Manager –> Terminal Services –> Add Role Services
Chọn TS Web Acess –> Next
21
Trang 22Chọn Add Require Role Services
Để các thông số mặc địnhàNextàChọn Install
22
Trang 24Start –> Programs –> Administrative Tools –> Terminal Service –> TSRemoteApp Manager
Chuột phải các ứng dụng muốn hiển thị –> Chọn Show in TS Web Access
4.2.Kiểm tra trên Terminal Client
Mở Internet Explorer –> Khung Address nhập vào địa chỉ Terminal Server
http:// 192.168.1.38/ts –> Enter
Hộp thoại khai báo username và password xuất hiện Nhập sv1/123
24
Trang 25Sau khi đăng nhập thành công -> Lựa chọn các ứng dụng cần dùng
5 Bảo mật Terminal Services của Windows Server 2008
Trang 26Để yêu cầu thẩm định thẻ thông minh, bạn phải tạo một Group Policy
Object để sử dụng cho Terminal Server Trong GPO, duyệt đến Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options và kích hoạt thiết lập Interactive Logon: Require Smart Card Thêm
vào đó bạn cũng cần phải kích hoạt Smart Cards để có thể chuyển hướng đếnTerminal Server bằng cách tích vào hộp kiểm Smart Cards trên tab LocalResources của Remote Desktop Connection trên các máy trạm của người dùng
Thực thi thẩm định mức mạng đối với tất cả máy khách
Network Level Authentication (NLA) là một tính năng được giới thiệutrong phiên bản 6.0 của Remote Desktop Connection Client, tính năng này chophép người dùng nhập vào trước các tiêu chuẩn đăng nhập của họ để sẽ đượchiển thị tại cửa sổ đăng nhập của Windows Server Windows Server 2008 chophép chúng ta sử dụng tiện ích này và yêu cầu tất cả các máy khách đang kết nối
để sử dụng nó
26
Trang 27Để sử dụng NLA, bạn phải sử dụng Windows 2008 Server, và các máy kháchđang kết nối phải hỗ trợ CredSSP (Windows XP SP3, Windows Vista, Windows7) cũng như đang chạy Remote Desktop Connection 6.0 hoặc cao hơn Bạn cóthể cấu hình Terminal Server của mình để yêu cầu các máy khách của nó sửdụng NLA bằng các cách sau:
Trong suốt quá trình cài đặt Terminal Services role ban đầu, khi bạn thấy
màn hìnhSpecify Authentication Method for Terminal Server, chọn tùy
chọn Allow connections only from computers running Remote Desktop with Network Level Authentication.
Truy cập Terminal Services Configuration MMC Snap-In, kích chuột phảivào kết nối terminal server đang được sử dụng bởi các máy khách và chọn
properties, sau đó chọn tùy chọn Allow connections only from computers running Remote Desktop with Network Level Authentication.
Tạo một Group Policy Object, duyệt đến Computer
Components\Terminal Services\Terminal Server\Security, kích hoạt thiết
lập Require user authentication for remote connections by using Network Level Authentication setting và sử dụng nó cho một OU gồm có terminal
server
Thay đổi cổng RDP mặc định
Mặc định, Terminal Server thường sử dụng cổng 3389 cho lưu lượngRDP Và một số hacker thành thạo trên thế giới đều biết được điều đó Chính vìvậy một trong những thay đổi nhanh nhất mà bạn có thể thực hiện đối với môi
27
Trang 28trường Terminal Server của mình để tránh những kẻ xâm nhập và thay đổi thỏathuận cổng mặc định.
Để thay đổi cổng RDP mặc định cho Terminal Server, bạn hãy mở regedit
và duyệt đến
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Termi nal Server\WinStations\RDP-Tcp Tìm key PortNumber và thay thế giá trị hex
00000D3D (tương đương với 3389) thành một giá trị khác mà bạn muốn sửdụng
Cách khác, bạn có thể thay đổi số cổng được sử dụng bởi Terminal Servercủa mình trên một kết nối cơ bản Vẫn sử dụng regedit, duyệt
đếnHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\connection name Tiếp đó, tìm đến key PortNumber và
thay thế giá trị hex bởi một giá trị khác mà bạn muốn
Cần phải lưu ý rằng khi thay đổi thiết lập trên máy chủ này, tất cả các máykhách kết nối cần phải được bảo đảm rằng chúng đang kết nối đến TerminalServer với cổng mới đã được gắn thẻ trên địa chỉ IP của các máy chủ Cho ví dụ,việc kết nối đến Terminal Server với một địa chỉ IP trong là 192.168.0.1 cónghĩa hiện đang sử dụng cổng non-standard 8888 sẽ yêu cầu người dùng nhập192.168.0.1:8888 vào Remote Desktop Connection
In ấn dễ dàng và hạn chế máy in được chuyển hướng
Việc in ấn từ các thiết bị được kết nối nội bộ với các máy trạm client luôn
là một yếu điểm của Terminal Services trước Windows Server 2008 Để thựchiện điều đó, bạn phải bảo đảm giống chính xác phiên bản của driver máy in đãđược cài đặt trên cả máy chủ và máy khách, mặc dù vậy đôi khi sau đó vẫnkhông có sự làm việc Từ quan điểm bảo mật, chúng ta không bao giờ muốn càiđặt thêm nhiều driver vào hệ thống của mình ngoài những gì bắt buộc Mỗi mộtdriver được cài đặt vào máy chủ đều có tiền ẩn khả năng mở rộng bề mặt tấncông của nó
Windows Server 2008 đã giới thiệu một tính năng có tên Easy Print, tínhnăng này sẽ thay đổi triệt để cách kết nối nội bộ các máy in được quản lý Vềbản chất, TS Easy Print là một driver phục vụ như một proxy để tất cả dữ liệumáy in được chuyển hướng qua Khi một máy khách in đến một thiết bị bằng
28
Trang 29driver Easy Print, các thiết lập dữ liệu và máy in sẽ được chuyển đổi thành địnhdạng phổ biến rồi gửi đến Terminal Server xử lý Thực hiện điều này, sau khikích in, hộp thoại máy in sẽ được khởi chạy từ máy khách, không trong terminalsession Điều này có nghĩa rằng không driver nào đã được cài đặt cho TerminalServer để xử lý các công việc in từ các thiết bị in kết nối nội bộ.
Để cấu hình Easy Print, bạn cần phải bảo đảm tất cả các thiết bị in đượcgắn nội bộ phải có các máy in logic được cấu hình trên các máy khách đã thiếtlập để sử dụng driver của Easy Print Tính năng Easy Print được hỗ trợ bởi tất cảcác máy khách Windows XP SP3, Windows Vista và Windows 7 đang chạyRemote Desktop Connection 6.1 hoặc mới hơn và NET Framework 3 SP1
Khi đã cấu hình các thiết bị gắn nội bộ ở mức máy trạm, bạn cần bảo đảmrằng máy in duy nhất được chuyển hướng đến Terminal Server là máy in đang
sử dụng TS Easy Print, thành phần được thiết lập như một máy in mặc định Bạn
có thể thực hiện điều này bằng cách tạo một Group Policy Object và duyệt
đến Computer Configuration\ Administrative Templates\Windows Components\Terminal Services\Terminal Server\Printer Redirection, sau đó kích hoạt tùy chọn Redirect only the default client printer.
Hạn chế các tài khoản người dùng
Chúng ta cần phải biết rằng, khi một người dùng nào đó đang kết nối hayđang làm việc trực tiếp từ một máy chủ vốn đã có sự truy cập đến một vài thứ
mà họ không cần đến, và để tạo một môi trường an toàn hơn, chúng ta cần phảihạn chế điều đó Đây không chỉ là biện pháp để bảo vệ các tiêu chuẩn của ngườidùng đang được thỏa hiệp mà còn bảo vệ người dùng chính đáng với những ýđịnh không chính đáng Một số thứ mà chúng ta có thể thực hiện ở đây là:
Sử dụng các tài khoản cụ thể cho người dùng
29
Trang 30Người dùng có thể làm việc nội bộ với các ứng dụng nào đó, sau đó truycập vào Terminal Server để truy cập đến các ứng dụng khác Việc sử dụng cùngmột tài khoản cho truy cập nội bộ và truy cập từ xa sẽ đơn giản hơn trong vấn đềquản lý, tuy nhiên nó cũng dễ bị thỏa hiệp hơn bởi các kẻ tấn công có thể thỏahiệp một loạt các tiêu chuẩn để truy cập vào các ứng dụng Việc tạo một tàikhoảng người dùng riêng biệt cho sự truy cập Terminal Server và hạn chế quyềncủa nó cho những ứng dụng cần thiết sẽ giảm nhẹ được sự ảnh hưởng của kiểuthỏa hiệp này.
Sử dụng các chính sách hạn chế phần mềm
Các chính sách hạn chế phần mềm có thể được cấu hình để cho phép hoặc
từ chối sự sử dụng đối với một số ứng dụng nào đó và vẫn được sử dụng trongcác máy tính công cộng, mặc dù vậy chúng cũng rất tuyệt trong các môi trườngTerminal Server
Kiểm tra sự truy cập người dùng vào máy chủ Terminal bằng Group
Mặc định, chỉ có các thành viên của nhóm Terminal Servers RemoteDesktop Users (và Domain/Local Administrators) mới có thể đăng nhập vàoTerminal Server đó Tuy nhiên bạn cần minh chứng và thẩm định các thành viênnhóm một cách thường xuyên Nếu người dùng không cần đăng nhập vào mộtTerminal Server, hãy remove họ khỏi nhóm người dùng ở xa
5.2 Cấu hình bảo mật bổ sung bằng Group Policy
Nhiều cải tiến bảo mật cho các môi trường Terminal Server được cungcấp thông qua Group Policy Đây là một số ví dụ điển hình mà chúng tôi muốngiới thiệu cho các bạn
- Hạn chế người dùng Terminal Services vào một Session từ xa
Trong hầu hết các trường hợp, một người dùng không cần khởi tạo nhiềusession trên một Terminal Server Việc cho phép người dùng khởi tạo nhiềusession sẽ làm cho môi trường của bạn có nhiều lỗ hổng cho tấn công từ chốidịch vụ (DoS), do các tiêu chuẩn của người dùng bị thỏa hiệp Bạn có thể cấu
hình thiết lập này bằng cách duyệt đến Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal
Server\Connections bên trong GPO của bạn.
- Không cho phép sự chuyển hướng drive
Trừ khi bạn có một nhu cầu nào đó thật cần thiết, khi đó mới cho phépngười dùng truy cập vào các ổ đĩa nội bộ từ một Terminal Server session vì hànhđộng này có thể tạo một kênh truyền thông không an toàn Với khả năng này,người dùng không chỉ copy dữ liệu vào một Terminal Server mà dữ liệu có thểchứa mã độc và có thể được thực thi trên máy chủ
Bạn có thể cấu hình thiết lập này bằng cách duyệt đến Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection bên trong GPO Thiết lập hạn chế thời gian cho các Session bị hủy kết nối
Nhìn chung, chúng ta nên cho phép người dùng thoát khoải một session
mà không cần đăng xuất hoàn toàn Vì khi ai đó có thể tăng điều khiển trênsession này thì họ có thể sẽ truy cập vào phần dữ liệu nhạy cảm hoặc biết đượcrăng họ đã được xác thực cho ứng dụng mạng khác Cách tốt nhất để khắc phục
30
Trang 31tình trạng này là thiết lập sự hạn chế về thời gian ở mức thấp để hủy kết nối cácsession Khi đến giới hạn thời gian, session sẽ bị đóng lại.
Bạn có thể cấu hình thiết lập này bằng cách duyệt đến Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Session Time Limits bên trong GPO.
- Vô hiệu hóa bộ cài Windows
Chỉ các quản trị viên mới có quyền cài đặt các ứng dụng vào TerminalServer Trong hầu hết các trường hợp, không cho người dùng được phép cài đặtcác ứng dụng nếu họ không đăng nhập với quyền quản trị viên Mặc dù vậy, nếumột số người dùng nào đó được cho là cần phải có hành động nâng đặc quyềnthì bạn có thể hạn chế khả năng cài đặt một số chương trình bằng cách vô hiệuhóa Microsoft Windows Installer
Có thể cấu hình thiết lập này bằng cách duyệt đến Computer Configuration\Administrative Templates\Windows Components\Windows Installer bên trong GPO Cần lưu ý rằng bạn phải cấu hình thiết lập này là
Enabled thay cho Always Như vậy sẽ bảo đảm rằng bạn vẫn có thể publish cácứng dụng cho Terminal Server thông qua Group Policy Còn sử dụng tùy chọnAlways sẽ không cho phép bạn thực hiện điều đó
- Hạn chế thư mục
Mặc dù chúng ta (các quản trị viên) có cung cấp nhiều location riêng vàcông cho việc lưu trữ bảo mật dữ liệu nhưng một số người dùng của chúng tavẫn tùy tiện lưu dữ liệu trên desktop của họ Tuy nhiên có một cách để tạo mộtbức tường bảo vệ dữ liệu cho họ đó là chúng ta có thể chuyển hướng (redirect)desktop của họ đến một location lưu trữ thích hợp trên một file server
Bạn có thể cấu hình thiết lập này bằng cách duyệt đến User Configuration\Windows Settings\Folder Redirection bên trong GPO Desktop
của người dùng là thư mục mà chúng ta có thể chuyển hướng
- Chặn truy cập vào Control Panel
Cũng như với Microsoft Installer, người thông thường không nên truy cậpvào Control Panel nói chung Mặc dù vậy, nếu những người nào đó cần phải cócác đặc quyền quản trị viên để thực hiện một số thao tác thì bạn cũng có thể hạnchế sự truy cập của họ vào control panel bằng cách cấu hình thiết lập này
Bạn có thể cấu hình thiết lập này bằng cách duyệt đến User Configuration\Administrative Templates\Control Panel bên trong GPO.
Kích hoạt log
Các thiết lập log Microsoft khuyên dùng dưới đây:
Audit Account Logon Events - No Auditing
Audit Account Management - Audit Success and Failure
Audit Directory Services Access - No Auditing
Audit Logon Events - Audit Success and Failure
Audit Object Access - Audit Failure
Audit Policy Change - Audit Success and Failure
Audit Privilege Use - Audit Failure
Audit Process Tracking - Audit Failure
Audit System Events - Audit Success and Failure
31
Trang 32Cùng với các thiết lập đó, bạn cũng có thể sử dụng log kết nối ConnectionAuditing bên trong Terminal Services Cách thức này sẽ cho phép bạn ghi lạimột vài mục cụ thể của Terminal Server Để xem và cấu hình các thiết lập này,bạn hãy mở Terminal Services Configuration snap-in, kích chuột phải vào kếtnối mà bạn muốn kích hoạt thẩm định, sau đó kích Properties Vào tab Security,kích Advanced, đánh tên người dùng của tài khoản muốn kích hoạt ghi log Ởđây bạn có thể chọn một trong các tùy chọn được liệt kê sẵn.
BÀI 2 TÍNH NĂNG BẢO MẬT NÂNG CAO SERVER
Nhiều điều khiển truy cập đi vào
Nhiều điều khiển truy cập gửi đi
Tích hợp chặt chẽ với Windows Server 2008 Server Manager, với cấuhình tự động của tường lửa khi các dịch vụ được cài đặt bằng ServerManager
Cấu hình và việc quản lý chính sách IPsec được cải thiện mạnh mẽ, bêncạnh đó là còn có cả sự thay đổi tên Các chính sách IPsec hiện được khai
báo như các rule bảo mật kết nối (Connection Security Rules).
Kiểm tra chính sách tường lửa được cải thiện
Kiểm tra các chính sách IPsec được cải thiện (giờ đây được gọi là cácRule bảo mật kết nối)
Kiểm tra tập trung các trong việc kết hợp chế độ bảo mật Main và Quickđược cải thiện
1.2 Cấu hình Advanced FireWall
- Xác định port
- Cấu hình Inbound Rule
- Cấu hình Outbound Rule
Chuẩn bị : 2 máy Windows Server 2008 R2
32
Trang 33DC2 : turn off firewall, cài đặt IIS và tạo 1 trang wed với nội dung tùy ý.
1.2.2 Cấu hình Inbound Rule :
Thực hiên máy DC2 : cho phép truy cập wed nội bộ và Network Access vào DC2
Trang 35- Action : Allow Connection
- Name : Allow Network Access
Kiểm tra :
- Ping trên DC2 : không được
- Truy cập thử trang wed của DC2 ( http://172.168.1.20 ) truy cập thành
công
- Truy cập qua DC2 bằng Network access ( \\172.168.1.20 ) thành công
1.2.3 Cấu hình Outbound rule
Mở CMD nslookup vnexpress.net thấy kết quả trả về IP là: 111.65.248.132Thực hiện trên máy DC2 cấm truy cập trang wed vnexpress.net có địa chỉ IP là 111.65.248.132
35
Trang 36B1 : Chuột phải lên
Local Port : All Ports
Remote Ports : Specify
Ports 80 Next
36
Trang 37B5 :
- Which Local IP addresses
does this rule match :
any IP address
- Which Remote IP
addresses does this rule
match :these IP address
Trang 382.1.1.Khái niệm IP Sec
IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quátrình truyền thông tin trên nền tảng Internet Protocol (IP) Bao gồm xác thựcvà/hoặc mã hoá (Authenticating and/or Encrypting) cho mỗi gói IP (IP packet)trong quá trình truyền thông tin IPsec cũng bao gồm những giao thức cung cấpcho mã hoá và xác thực
Giao thức IPsec được làm việc tại tầng Network Layer – layer 3 của môhình OSI Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, đượcthực hiện từ tầng transport layer trở lên (Từ tầng 4 tới tầng 7 mô hình OSI).Điều này tạo ra tính mềm dẻo cho IPsec, giao thức này có thể hoạt động từ tầng
4 với TCP, UDP, hầu hết các giao thức sử dụng tại tầng này IPsec có một tínhnăng cao cấp hơn SSL và các phương thức khác hoạt động tại các tầng trên của
38
Trang 39mô hình OSI Với một ứng dụng sử dụng IPsec mã (code) không bị thay đổi,nhưng nếu ứng dụng đó bắt buộc sử dụng SSL và các giao thức bảo mật trên cáctầng trên trong mô hình OSI thì đoạn mã ứng dụng đó sẽ bị thay đổi lớn.
2.1.2 Cấu trúc bảo mật của IP SEC
Khi IPsec được triển khai, cấu trúc bảo mật của nó gồm:
(1) Sử dụng các giao thức cung cấp mật mã (cryptographic protocols) nhằmbảo mật gói tin (packet) trong quá trình truyền
(2) Cung cấp phương thức xác thực
(3) Thiết lập các thông số mã hoá
Xây dựng IPsec sử dụng khái niệm về bảo mật trên nền tảng IP Một sự kếthợp bảo mật rất đơn giản khi kết hợp các thuật toán và các thông số (ví như cáckhoá – keys) là nền tảng trong việc mã hoá và xác thực trong một chiều Tuynhiên trong các giao tiếp hai chiều, các giao thức bảo mật sẽ làm việc với nhau
và đáp ứng quá trình giao tiếp Thực tế lựa chọn các thuật toán mã hoá và xácthực lại phụ thuộc vào người quản trị IPsec bởi IPsec bao gồm một nhóm cácgiao thức bảo mật đáp ứng mã hoá và xác thực cho mỗi gói tin IP
2.1.3 Hiện trạng
IPsec là một phần bắt bược của IPv6, có thể được lựa chọn khi sử dụngIPv4 Trong khi các chuẩn đã được thiết kết cho các phiên bản IP giống nhau,phổ biến hiện nay là áp dụng và triển khai trên nền tảng IPv4
IPsec được cung cấp bởi Transport mode (end-to-end) đáp ứng bảo mậtgiữa các máy tính giao tiếp trực tiếp với nhau hoặc sử dụng Tunnel mode(portal-to-portal) cho các giao tiếp giữa hai mạng với nhau và chủ yếu được sửdụng khi kết nối VPN
IPsec có thể được sử dụng trong các giao tiếp VPN, sử dụng rất nhiều tronggiao tiếp Tuy nhiên trong việc triển khai thực hiện sẽ có sự khác nhau giữa haimode này
Giao tiếp end-to-end được bảo mật trong mạng Internet được phát triểnchậm và phải chờ đợi rất lâu Một phần bở lý do tính phổ thông của no khôngcao, hay không thiết thực, Public Key Infrastructure (PKI) được sử dụng trongphương thức này
IPsec đã được giới thiệu và cung cấp các dịch vụ bảo mật:
1 Mã hoá quá trình truyền thông tin
2 Đảm bảo tính nguyên vẹn của dữ liệu
3 Phải được xác thực giữa các giao tiếp
4 Chống quá trình replay trong các phiên bảo mật
39
Trang 40thể chỉnh sửa (ví dụ như port number) Transport mode sử dụng trong tìnhhuống giao tiếp host-to-host.
Điều này có nghĩa là đóng gói các thông tin trong IPsec cho NAT traversalđược định nghĩa bởi các thông tin trong tài liệu của RFC bởi NAT-T
Tunnel mode
Trong tunnel mode, toàn bộ gói IP (bao gồm cả data và header) sẽ được mãhoá và xác thực Nó phải được đóng gói lại trong một dạng IP packet khác trongquá trình routing của router Tunnel mode được sử dụng trong giao tiếpnetwork-to-network (hay giữa các routers với nhau), hoặc host-to-network vàhost-to-host trên internet
2.2 Cấu hình IP Sec
- Cấu hình IP Sec cho tất cả các kết nối
- Cấu hình IP Sec cho kết nối được chỉ định
- Connection Security Rules
- Deploy connection Security Rules bằng GPO
Chuẩn bị : bài lab sử dụng 3 máy tính
- Cả 3 máy tắt filewall, kiểm tra đường truyền lệnh PING
Thực hiện :
2.2.1 Cấu hình IP Sec cho tất cả các kết nối : thực hiện trên DC2:
- Cài đặt network Monitor, Capture gói tin
B1 : Chạy file cài đặt
chọn Yes
B2 : Chọn Next
40