Bài 11 CHÍNH SÁCH HỆTHỐNG Tóm tắt Lý thuyết 5 tiết -Thực hành 6 tiết Mục tiêu Các mục chính Bài tập bắt Bài tập làm Kết thúc bài học này cung cấp học viên kiến thức vềchính sách mật k
Trang 1Bài 11 CHÍNH SÁCH HỆTHỐNG
Tóm tắt
Lý thuyết 5 tiết -Thực hành 6 tiết
Mục tiêu Các mục chính Bài tập bắt Bài tập làm
Kết thúc bài học này cung
cấp học viên kiến thức
vềchính sách mật khẩu,
chính sách khóa tài khoản
nguời dùng, quyền hệthống
của người dùng, IPSec …
I Chính sách tài khoản người dùng II
Chính sách cục bộ III IPSec tập môn Quản Dựa vào bài
trịWindows Server 2003
Dựa vào bài tập môn Quản trịWindows Server 2003
I CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG
Chính sách tài khoản người dùng (Account Policy) được dùng đểchỉđịnh các thông sốvềtài khoản người dùng mà nó đượcsửdụng khi tiến trình logon xảy ra Nó cho phép bạncấu hình các thông
sốbảomật máy tính cho mật khẩu, khóa tài khoản và chứng thực Kerberos trong vùng Nếu trên
Server thành viên thì bạnsẽthấy hai mục Password Policy và Account Lockout Policy, trên máy Windows Server 2003 làm domain controller thì bạnsẽthấy ba thưmục Password Policy,
Account Lockout Policy và Kerberos Policy Trong Windows Server 2003 cho phép bạn quản
lý chính sách tài khoản tại hai cấp độlà: cụcbộvà miền Muốncấu hình các chính sách tài khoản
người dùng ta vào Start Programs Administrative Tools Domain Security Policy hoặc
Local Security Policy
Trang 2I.1 Chính sách mật khẩu.Chính sách mật khẩu(Password Policies) nhằm đảmbảo an
toàn cho mật khẩucủa người dùng để
trách các trường hợp đăng nhậpbấthợp pháp vào hệthống Chính sách này cho phép bạn qui địnhchiều dài ngắn nhấtcủamật khẩu, độphứctạpcủamật khẩu…
Các lựa chọn trong chính sách mật mã:
Enforce Password History Sốlần đặt mật mã không được trùng nhau 24
Trang 3Maximum Password Age Quy định sốngày nhiều nhất mà mật mã người dùng có hiệu lực 42
Minimum Password Age Quy sốngày tối thiểu trước khi người dùng có thểthay đổi mật mã 1
Minimum Password Length Chiều dài ngắn nhất của mật mã 7
Passwords Must Meet
Complexity Requirements Mật khẩu phải có độphức tạp như: có ký tựhoa, thường, có ký số Cho phép
Store Password Using
Reversible Encryption for All
Users in the Domain
Mật mã người dùng được lưu dưới dạng
I.2 Chính sách khóa tài khoản.Chính sách khóa tài khoản(Account Lockout Policy)
quy định cách thức và thời điểm khóa tài khoản
trong vùng hay trong hệthống cụcbộ Chính sách này giúp hạn chếtấn công thông qua hình thức
logon từxa.
Các thông sốcấu hình chính sách khóa tài khoản:
Chính sách Mô tả
Account Lockout
Threshold
Quy định sốlần cốgắng đăng nhập trước khi tài khoản bịkhóa 0 (tài khoản sẽkhông bịkhóa)
Account Lockout
Duration Quy định thời gian khóa tài khoản
Là 0, nhưng nếu Account Lockout
Threshold được thiết lập thì giá trịnày là
30 phút
Reset Account
Lockout Counter
After
Quy định thời gian đếm lại sốlần đăng nhập không thành công
Là 0, nhưng nếu Account Lockout
Threshold được thiết lập thì giá trịnày là
30 phút
II CHÍNH SÁCH CỤC BỘ
Chính sách cụcbộ(Local Policies) cho phép bạn thiếtlập các chính sách giám sát các
đốitượng trên mạng nhưngười dùng và tài nguyên dùng chung Đồng thờidựa vào công
cụnày bạn có thểcấp quyềnhệthống cho các người dùng và thiếtlập các lựa
chọnbảomật
Trang 4II.1 Chính sách kiểm toán.Chính sách kiểm toán (Audit Policies) giúp bạn có thểgiám
sát và ghi nhận các sựkiệnxảy ra trong
hệthống, trên các đốitượng cũng nhưđốivới các người dùng Bạn có thểxem các ghi nhận này
thông qua công cụEvent Viewer, trong mục Security.
Các lựa chọn trong chính sách kiểm toán:
Audit Account Logon Events
Audit Account Management
Audit Directory Service Access
Audit Logon Events
Audit Object Access Audit Policy Change
Audit privilege use Audit system event Kiểm toán những sựkiện khi tài khoản đăng nhập, hệthống sẽghi nhận khi
người dùng logon, logoff hoặctạomộtkếtnốimạng
Trang 5Hệthống sẽghi nhận khi tài khoản người dùng hoặc nhóm có sựthay đổi thông tin hay các thao tác quản trịliên quan đến tài khoản người dùng
Ghi nhân việc truy cập các dịch vụthưmục
Ghi nhân các sựkiện liên quan đến quá trình logon nhưthi hành một logon script hoặc truy cập đếnmột roaming profile
Ghi nhận việc truy cập các tập tin, thưmục, và máy tin
Ghi nhận các thay đổi trong chính sách kiểm toán Hệthống sẽghi nhậnlại khi bạnbạn thao tác quản trịtrên các quyền hệthống nhưcấp hoặc xóa quyềncủamột ai đó
Kiểm toán này theo dõi hoạt động của chương trình hay hệđiều hành
Hệthống sẽghi nhậnmỗi khi bạn khởi động lại máy hoặctắt máy
II.2 Quyềnhệthống của người dùng Đốivớihệthống Windows Server 2003,bạn có
hai cách cấp quyềnhệthống cho người dùng là: gia nhập tài khoản người dùng vào các nhóm
tạosẵn(built-in) đểkếthừa quyền hoặcbạn dùng công cụUser Rights Assignment đểgán từng
quyềnrờirạc cho người dùng Cách thứnhấtbạn đã biếtsửdụng ởchương trước, chỉcần nhớcác quyềnhạncủatừng nhóm tạosẵn thì bạn có thểgán quyền cho người dùng theo yêu cầu Đểcấp
quyềnhệthống cho người dùng theo theo cách thứhai thì bạn phải dùng công cụLocal Security
Policy (nếu máy bạn không phải Domain Controller) hoặc Domain
Controller Security Policy (nếu máy bạn là Domain Controller) Trong hai công cụđóbạnmởmục Local Policy\ User Rights Assignment
Trang 6Đểthêm, bớtmột quyềnhạn cho người dùng hoặc nhóm, bạn nhấp đôi chuột vào quyềnhạn được chọn, nó sẽxuất hiệnmộthộp thoại chứa danh sách người dùng và nhóm hiệntại đang có quyền
này Bạn có thểnhấp chuột vào nút Add đểthêm người dùng, nhóm vào danh sách hoặc nhấp chuột vào nút Remove đểxóa người dùng khỏi danh sách Ví dụminh họa sau là bạncấp quyền thay đổi giờhệthống (change the system time) cho người dùng “Tuan”
Trang 7Danh sách các quyềnhệthống cấp cho người dùng và nhóm:
Access This Computer from the Network
Act as Part of the Operating System
Add Workstations to the Domain
Back Up Files and Directories
Bypass Traverse Checking
Change the System Time Create a Pagefile
Create a Token Object
Create Permanent Shared Objects
Cho phép người dùng truy cập máy tính thông qua mạng Mặc định mọi người đều có quyền này
Trang 8Cho phép các dịch vụchứng thực ởmức thấp chứng thựcvớibất kỳngười dùng nào
Cho phép người dùng thêm một tài khoản máy tính vào vùng
Cho phép người dùng sao lưudựphòng (backup) các tập tin và thưmụcbất chấp các tập tin và
thưmục này người đó có quyền không
Cho phép người dùng duyệt qua cấu trúc thưmụcnếu người dùng không có quyền xem (list)nội
dung thưmục này
Cho phép người dùng thay đổi giờhệthống của máy tính
Cho phép người dùng thay đổi kích thướccủa Page File
Cho phép một tiến trình tạomột thẻbài nếu tiến trình này dùng NTCreate Token API
Cho phép một tiến trình tạomột đốitượng thưmục thông qua Windows 2000 Object Manager
Cho phép người dùng gắnmột chương trình debug vào bấtkỳDebug Programs
tiến trình nào Deny Access to This Cho phép bạn khóa người dùng hoặc nhóm không được truy cập
Computer from the Network
đến các máy tính trên mạng.Cho phép bạn ngăncản những người dùng và nhóm được phép Deny Logon as a Batch File
logon nhưmột batch file.Cho phép bạn ngăncản những người dùng và nhóm được phép
Deny Logon as a Service
logon nhưmột services.Cho phép bạn ngăncản những người dùng và nhóm truy cập đến
Deny Logon Locally
máy tính cụcbộ Enable Computer and User Cho phép người dùng hoặc nhóm được ủy quyền cho ngườiAccounts to Be Trusted by dùng hoặcmột đốitượng máy tính Delegation
Trang 9Force Shutdown
Remote System
from a
Cho phép người dùng shut down hệthống từxa thông qua mạng
Generate Security
Audits Cho phép người dùng, nhóm hoặc một tiến trình tạo một entry vào Security log
Increase Quotas
Cho phép người dùng điều khiển các hạn ngạch của các tiến trình
Quy định một tiến trình có thểtăng hoặc giảm độưu tiên đã đượcIncrease Scheduling Priority
gán cho tiến trình khác Load and Unload Device Cho phép người dùng có thểcài đặt hoặcgỡbỏcác driver của
Drivers
các thiếtbị Lock Pages in Memory
Khóa trang trong vùng nhớ.Cho phép một tiến trình logon vào hệthống và thi
hành mộttập
Log On as a Batch Job
tin chứa các lệnh hệthống Log On as a Service
Cho phép mộtdịch vụlogon và thi hành mộtdịch
vụriêng Log On Locally
Cho phép người dùng logon tại máy tính Server
Manage Auditing and
Cho phép người dùng quản lý Security log.
Trang 10Security Log Cho phép người dùng giám sát các tiến trình bình thường thông Profile Single Process
Trang 11qua công cụPerformance Logs and Alerts.Cho phép người dùng giám sát các
tiến trình hệthống thông qua
Profile System Performance
công cụPerformance Logs and Alerts
Remove
Docking
Station
Computer from
Cho phép người dùng gỡbỏmột Laptop thông qua giao diện người dùng của Windows 2000
Replace
Token a
Process Level Cho phép một tiến trình thay thếmột token mặc định mà được tạo
bởi một tiến trình con
Restore Files and Cho phép người dùng phụchồitập tin và thưmục, bất chấp Directories
người dùng này có quyền trên tập tin và thưmục này hay không Shut Down the System
Cho phép người dùng shut down cụcbộmáy
Windows 2000 Synchronize Directory
Cho phép người dùng đồng bộdữliệuvớimộtdịch vụthưmục.
Service Data Take Ownership of Files or Cho người dùng tước
quyềnsởhữucủamột đốitượng hệthống.
Other Objects
II.3 Các lựa chọnbảomật Các lựa chọnbảomật(Security Options) cho phép người quản trịServer khai báo thêm các thông sốnhằmtăng tính bảomật cho hệthống như: không cho phép hiển thịngười dùng đã logon trước đó hay đổi tên tài khoản người dùng tạosẵn(administrator,
guest) Trong hệthống Windows Server 2003
hỗtrợcho chúng ta rất nhiềulựa chọnbảomật, nhưng trong giáo trình này chúng ta
chỉkhảo sát các lựa chọn thông dụng
Trang 12Mộtsốlựa chọnbảomật thông dụng:
Shutdown: allow system to be
shut down without having to log
on
Cho phép người dùng shutdown hệthống mà không cần logon
Audit : audit the access of global
system objects Giám sát việc truy cập các đối tượng hệthống toàn cục
Network security: force logoff
when logon hours expires Tựđộng logoff khỏi hệthống khi người dùng hết thời gian sửdụng hoặc tài khoản hết hạn
Interactive logon: do not require
CTRL+ALT+DEL Không yêu cầu ấn ba phím CTRL+ALT+DEL khi logon
Interactive logon: do not display
last user name Không hiển thịtên người dùng đã logon trên hộp thoại Logon
Account: rename administrator
account Cho phép đổi tên tài khoản Administrator thành tên mới
Account: rename guest account Cho phép đổi tên tài khoản Guest thành tên mới
III IPSec
Trang 13IP Security (IPSec) là một giao thứchỗtrợthiếtlập các kếtnối an toàn dựa trên IP Giao
thức này hoạt động ởtầng ba (Network) trong mô hình OSI do đó nó an toàn và
tiệnlợihơn các giao thức an toàn khác ởtầng Application nhưSSL IPSec cũng là một
thành phần quan trọng hỗtrợgiao thức L2TP trong công nghệmạng riêng ảo VPN
(Virtual Private Network) Đểsửdụng IPSec bạn phảitạo ra các qui tắc(rule), một qui
tắc IPSec là sựkếthợp giữa hai thành phần là các bộlọc IPSec (filter) và các tác động
IPSec (action) Ví dụnội dung củamột qui tắc IPSec là “Hãy mã hóa tấtcảnhững dữliệu
truyền Telnet từmáy có địa chỉ192.168.0.10”, nó gồm hai phần, phầnbộlọc là “qui tắc
này chỉhoạt động khi có dữliệu được truyềntừmáy có địa chỉ192.168.0.10 thông qua
cổng 23”, phần hành động là “mã hóa dữliệu
III.1 Các tác động bảomật.IPSec của Microsoft hỗtrợbốn loại tác động (action)bảomật,
các tác động bảomật này giúp hệ
thống có thểthiếtlập những cuộc trao đổi thông tin giữa các máy được an toàn Danh
sách các tácđộng bảomật trong hệthống Windows Server 2003 nhưsau:
-Block transmissons: có chứcnăng ngăn chận những gói dữliệu được truyền, ví dụbạn muốn
IPSec ngăn chậndữliệu truyềntừmáy A đến máy B, thì đơn giản là chương trình IPSec trên
máy
B loạibỏmọidữliệu truyền đếntừmáy A
-Encrypt transmissions: có chứcnăngmã hóa những gói dữliệu được truyền, ví dụchúng ta
trên đường truyềnnốikếtmạng giữa hai máy A và B Cho nên chúng ta cầncấu hình cho
IPSecsửdụng giao thức ESP (encapsulating security payload) đểmã hóa dữliệucần truyền
trước khi đưa lên mạng Lúc này những người xem trộmsẽthấy những dòng byte ngẫu nhiên
và không hiểu đượcdữliệu thật Do IPSec hoạt động ởtầng Network nên hầu nhưviệc mã hóa được trong suốt đốivới người dùng, người dùng có thểgởi mail, truyền file hay telnet
nhưbình thường
-Sign transmissions: có chứcnăng ký tên vào các gói dữliệu truyền, nhằm tránh những
kẻtấn công trên mạng giảdạng những gói dữliệu được truyềntừnhững máy mà bạn
đã thiếtlập quan hệtin cậy, kiểutấn công này còn có cái tên là main-in-the-middle
IPSec cho phép bạn chống lại điều này bằng một giao thức authentication header
Giao thức này là phương pháp ký tên sốhóa (digitally signing) vào các gói dữliệu
trước khi truyền, nó chỉngăn ngừa được giảmạo và sai lệnh thông tin chứkhông ngăn
đượcsựnghe trộm thông tin Nguyên lý hoạt động của phương pháp này là hệthống
sẽthêm một bit vào cuốimỗi gói dữliệu truyền qua mạng, từđó chúng ta có thểkiểm
tra xem dữliệu có bịthay đổi khi truyền hay không
-Permit transmissions: có chứcnăng là cho phép dữliệu được truyền qua, chúng dùng đểtạo ra các qui tắc(rule)hạn chếmộtsốđiều và không hạn chếmộtsốđiều khác Ví dụmột qui tắcdạng
này “Hãy ngăn chặntấtcảnhững dữliệu truyềntới, chỉtrừdữliệu truyền trên các cổng 80 và443” Chú ý: đốivới hai tác động bảomật theo phương pháp ký tên và mã hóa thì hệthống còn
yêu cầubạn chỉra IPSec dùng phương pháp chứng thực nào Microsoft hỗtrợba
Trang 14phương pháp chứng thực: Kerberos, chứng chỉ(certificate) hoặcmột khóa dựa trên
sựthỏa thuận(agreed-upon key) Phương pháp Kerberos chỉáp dụng được giữa các
máy trong cùng một miền Active Directory hoặc trong những miền Active Directory có
ủy quyền cho nhau Phương pháp dùng các chứng chỉcho phép bạn sửdụng các chứng
chỉPKI (public key infrastructure) đểnhận diệnmột máy Phương pháp dùng chìa khóa
chia sẻtrước thì cho phép bạn dùng một chuỗi ký tựvănbản thông thường làm chìa khóa
(key)
III.2 Các bộlọc IPSec ĐểIPSec hoạt động linh hoạthơn, Microsoft đưa thêm khái niệmbộlọc(filter) IPSec,bộlọc có tác dụng thống kê các điều kiện đểqui tắc hoạt động Đồng thời
chúng cũng giớihạntầm tác dụng của
các tác động bảomật trên một phạmvịmáy tính nào đó hay mộtsốdịch vụnào đó Bộlọc
IPSec chủyếudựtrên các yếutốsau:
-Địa chỉIP, subnet hoặc tên DNS của máy nguồn.-Địa chỉIP, subnet hoặc tên DNS của máy đích.-Theo sốhiệucổng (port) và kiểncổng (TCP, UDP, ICMP…)
III.3 Triển khai IPSec trên Windows Server 2003.Trong hệthống Windows
Server 2003 không hỗtrợmột công cụriêng cấu hình IPSec, do đó đểtriển khai IPSec chúng ta
dùng các công cụthiếtlập chính sách dành cho máy cụcbộhoặc dùng cho miền.Đểmởcông cụcấu
hình IPSec bạn nhấp chuột vào Start Run rồi gõ secpol.msc hoặc nhấp chuột 304
vào Start Programs Administrative Tools Local Security Policy, trong công
cụđóbạn chọn IP Security Policies on Local Machine
Tóm lại, các điều mà bạncần nhớkhi triển khai IPSec:
-Bạn triển khai IPSec trên Windows Server 2003 thông qua các chính sách, trên một máy tính bấtkỳnào đó vào tạimột thời điểm thì chỉcó một chính sách IPSec được hoạt động.
-Mỗi chính sách IPSec gồmmột hoặc nhiều qui tắc(rule) và một phương pháp chứng thực nào