Mô tả:
70-290: MCSE Guide to Managing
a Microsoft Windows Server 2003
Environment
Chương 14:
Các đặc tính bảo mật trong
Windows Server 2003
Mục tiêu
• Xác định các phần tử và kỹ thuật khác nhau dùng
để bảo mật hệ thống Windows Server 2003
• Dùng các công cụ Security Configuration and
Analysis để cấu hình và rà soát các thiết lập bảo
mật
• Kiểm toán truy vập vào các tài nguyên và xem lại
các thiết lập Security log
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
2
Bảo mật hệ thống Windows
2003
• 5 vấn đề liên quan đến bảo mật:
•
•
•
•
•
Authentication (Chứng thực)
Access control (Điều khiển truy cập)
Encryption (Bảo mật)
Security policies (Các chính sách bảo mật)
Service packs & hot fixes
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
3
Chứng thực
• Mức độ cơ bản được y/c là 1 user ID và mật khẩu để đăng
nhập hệ thống
• Trong 1 môi trường domain, chứng thực được tập trung
hóa trên mạng; trong khi với môi trường workgroup việc
chứng thực là cục bộ
• Trong 1 môi trường domain, 1 chứng thực có thể cung cấp
quyền truy cập đến nhiều domain và forest
• Các phương pháp chứng thực bổ sung có thể áp dụng với
các dịch vụ khác (như IIS)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
4
Điều khiển truy cập
• Điều khiển truy cập dùng để bảo mật các tài
nguyên như file, thư mục, máy in
• Các kiểu khác của điều khiển truy cập là các
quyền NTFS, thư mục chia sẻ, máy in và các
quyền trên đối tượng AD khác
• Nguyên lý “cấp ít quyền nhất” ngụ ý là các user
chỉ nên có quyền truy cập những cái gì họ cần
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
5
Bảo mật
• Các file bí mật lưu trên các NTFS volumn có thể
mã hóa dùng EFS
• EFS dùng kết hợp khóa công cộng và khóa riêng
• Giao thức IPSec mã hóa nội dung của các gói tin
gửi qua mạng dùng TCP/IP
• 2 chế độ IPSec: transport & tunnel
• IPSec gây khó khăn cho các hacker muốn can
thiệp vào dữ liệu mạng nhạy cảm
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
6
Các chính sách bảo mật
• Các thiết lập chính sách bảo mật có thể cấu hình từ
Local Security Policy và Group Policy Object
Editor MMC snap-ins
• Các thiết lập chính sách bảo mật điều khiển một
vùng các thiết lập bảo mật
• Windows Server 2003 có một số công cụ phân
tích chính sách bảo mật so với các mẫu có sẵn
• Security Configuration and Analysis MMC snap-in
• Ứng dụng dòng lệnh SECEDIT
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
7
Service Packs & Hot Fixes
• Nhiều bản cập nhật và patch quan trọng liên quan
đến bảo mật
• Các Hot fix cũng giúp xác định 1 số vấn đề đặc
biệt
• Chúng có thể tải và cài đặt từ Microsoft
• SUS có thể hỗ trợ tự động quản lý các bản cập
nhật
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
8
Dùng các công cụ Security
Configuration Manager
• Windows Server 2003 cung cấp các công cụ thiết
kế đặc biệt giúp cấu hình và quản lý các thiết lập
bảo mật (Security Configuration Manager)
• Những công cụ này cùng với các chính sách
Group có thể dùng để cài đặt mẫu Security Policy
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
9
Dùng các công cụ Security
Configuration Manager (tt)
• Công cụ Security Configuration and Analysis sẽ
so sánh mẫu bảo mật với các thiết lập đã làm
• Công cụ Security Configuration and Analysis
gồm:
•
•
•
•
Các mẫu bảo mật
Các mẫu bảo mật trong các đối tượng GP
Công cụ Security Configuration and Analysis
Lệnh SECEDIT
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
10
Các mẫu bảo mật
• Các mẫu giúp bảo đảm thống nhất và dễ dàng bảo
trì trên nhiều máy
• Các mẫu là các file văn bản
• Nhưng không dùng trình soạn thảo văn bản bình
thường để chỉnh sửa
• Có 1 số mẫu thiết kế sẵn
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
11
Các mẫu bảo mật (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
12
Thực tập 14-1:Xem các mẫu
bảo mật
• Mục tiêu: Làm quen với 1 số mẫu bảo mật có sẵn
• Start Run type mmc OK File
Add/Remove Snap-in Add
• Tìm và xem các mẫu có sẵn như chỉ dẫn
• Xem các chính sách liên hệ với các mẫu
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
13
Phân tích các mẫu bảo mật
thiết kế sẵn
• Các máy tính mạng có thể phân loại thành:
• Workstations
• Servers
• Domain controllers
• Các mẫu thiết kế sẵn có thể áp dụng cho 1 loại nào
đó
• Chỉ có Windows Server 2003, Windows XP,
Windows 2000 là dùng được mẫu thiết kế sẵn
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
14
Default Template
• Mẫu Setup Security.inf chứa các thiết lập bảo
mật mặc định
• Nội dung phụ thuộc cấu hình nguyên thủy của
máy tính (cài mới, nâng cấp…)
• Cho phép administrator trả về thiết lập trước đó dễ
dàng
• Không nên áp dụng khi dùng GP
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
15
Incremental Templates
• Sửa đổi cải tiến các cấu hình bảo mật
• Chỉ có thể áp dụng dựa trên cấu hình mặc định bởi
vì chúng không xác lập cấu hình cơ bản
• Các mẫu gồm: compatws.inf, securews.inf,
securedc.inf, hisecws.inf, hisecdc.inf, iesacls.inf,
dc security.inf, rootsec.inf
• Cũng có thể tạo mẫu tùy biến
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
16
Áp dụng các mẫu bảo mật
• Có thể áp dụng trên máy cục bộ hoặc domain
• Với máy cục bộ
• Mở Local Security Setting MMC snap-in và import 1
chính sách
• Với domain
• Dùng các GPO
• Các thiết lập bảo mật từ các GPO đè lên thiết lập
cục bộ
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
17
Áp dụng các mẫu bảo mật (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
18
Thực tập 14-2:Tạo 1 mẫu bảo
mật
• Mục tiêu: Khảo sát việc tạo 1 mẫu bảo mật tùy
biến
• Mở 1 New Template từ MMC Security Templates
snap-in
• Cấu hình các thiết lập cho mẫu mới theo dự định
• Lưu mẫu
• Xem file mẫu
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
19
Thực tập 14-3: Áp dụng các
thiết lập mẫu bảo mật cho các
GPO
• Mục tiêu: Dùng GP để triển khai các thiết lập mẫu
bảo mật
• Start Administrative Tools Active Directory
Users and Computers
• Mở Default Domain Policy từ trang Properties của
domain
• Import vào mẫu đã tạo trước đó
• Kiểm tra lại các thiết lập
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
20
- Xem thêm -