Tài liệu Các đặc tính bảo mật trong windows server 2003

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Chương 14: Các đặc tính bảo mật trong Windows Server 2003 Mục tiêu • Xác định các phần tử và kỹ thuật khác nhau dùng để bảo mật hệ thống Windows Server 2003 • Dùng các công cụ Security Configuration and Analysis để cấu hình và rà soát các thiết lập bảo mật • Kiểm toán truy vập vào các tài nguyên và xem lại các thiết lập Security log 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 2 Bảo mật hệ thống Windows 2003 • 5 vấn đề liên quan đến bảo mật: • • • • • Authentication (Chứng thực) Access control (Điều khiển truy cập) Encryption (Bảo mật) Security policies (Các chính sách bảo mật) Service packs & hot fixes 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 3 Chứng thực • Mức độ cơ bản được y/c là 1 user ID và mật khẩu để đăng nhập hệ thống • Trong 1 môi trường domain, chứng thực được tập trung hóa trên mạng; trong khi với môi trường workgroup việc chứng thực là cục bộ • Trong 1 môi trường domain, 1 chứng thực có thể cung cấp quyền truy cập đến nhiều domain và forest • Các phương pháp chứng thực bổ sung có thể áp dụng với các dịch vụ khác (như IIS) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 4 Điều khiển truy cập • Điều khiển truy cập dùng để bảo mật các tài nguyên như file, thư mục, máy in • Các kiểu khác của điều khiển truy cập là các quyền NTFS, thư mục chia sẻ, máy in và các quyền trên đối tượng AD khác • Nguyên lý “cấp ít quyền nhất” ngụ ý là các user chỉ nên có quyền truy cập những cái gì họ cần 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 5 Bảo mật • Các file bí mật lưu trên các NTFS volumn có thể mã hóa dùng EFS • EFS dùng kết hợp khóa công cộng và khóa riêng • Giao thức IPSec mã hóa nội dung của các gói tin gửi qua mạng dùng TCP/IP • 2 chế độ IPSec: transport & tunnel • IPSec gây khó khăn cho các hacker muốn can thiệp vào dữ liệu mạng nhạy cảm 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 6 Các chính sách bảo mật • Các thiết lập chính sách bảo mật có thể cấu hình từ Local Security Policy và Group Policy Object Editor MMC snap-ins • Các thiết lập chính sách bảo mật điều khiển một vùng các thiết lập bảo mật • Windows Server 2003 có một số công cụ phân tích chính sách bảo mật so với các mẫu có sẵn • Security Configuration and Analysis MMC snap-in • Ứng dụng dòng lệnh SECEDIT 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 7 Service Packs & Hot Fixes • Nhiều bản cập nhật và patch quan trọng liên quan đến bảo mật • Các Hot fix cũng giúp xác định 1 số vấn đề đặc biệt • Chúng có thể tải và cài đặt từ Microsoft • SUS có thể hỗ trợ tự động quản lý các bản cập nhật 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 8 Dùng các công cụ Security Configuration Manager • Windows Server 2003 cung cấp các công cụ thiết kế đặc biệt giúp cấu hình và quản lý các thiết lập bảo mật (Security Configuration Manager) • Những công cụ này cùng với các chính sách Group có thể dùng để cài đặt mẫu Security Policy 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 9 Dùng các công cụ Security Configuration Manager (tt) • Công cụ Security Configuration and Analysis sẽ so sánh mẫu bảo mật với các thiết lập đã làm • Công cụ Security Configuration and Analysis gồm: • • • • Các mẫu bảo mật Các mẫu bảo mật trong các đối tượng GP Công cụ Security Configuration and Analysis Lệnh SECEDIT 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 10 Các mẫu bảo mật • Các mẫu giúp bảo đảm thống nhất và dễ dàng bảo trì trên nhiều máy • Các mẫu là các file văn bản • Nhưng không dùng trình soạn thảo văn bản bình thường để chỉnh sửa • Có 1 số mẫu thiết kế sẵn 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 11 Các mẫu bảo mật (tt) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 12 Thực tập 14-1:Xem các mẫu bảo mật • Mục tiêu: Làm quen với 1 số mẫu bảo mật có sẵn • Start  Run  type mmc  OK  File  Add/Remove Snap-in  Add • Tìm và xem các mẫu có sẵn như chỉ dẫn • Xem các chính sách liên hệ với các mẫu 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 13 Phân tích các mẫu bảo mật thiết kế sẵn • Các máy tính mạng có thể phân loại thành: • Workstations • Servers • Domain controllers • Các mẫu thiết kế sẵn có thể áp dụng cho 1 loại nào đó • Chỉ có Windows Server 2003, Windows XP, Windows 2000 là dùng được mẫu thiết kế sẵn 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 14 Default Template • Mẫu Setup Security.inf chứa các thiết lập bảo mật mặc định • Nội dung phụ thuộc cấu hình nguyên thủy của máy tính (cài mới, nâng cấp…) • Cho phép administrator trả về thiết lập trước đó dễ dàng • Không nên áp dụng khi dùng GP 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 15 Incremental Templates • Sửa đổi cải tiến các cấu hình bảo mật • Chỉ có thể áp dụng dựa trên cấu hình mặc định bởi vì chúng không xác lập cấu hình cơ bản • Các mẫu gồm: compatws.inf, securews.inf, securedc.inf, hisecws.inf, hisecdc.inf, iesacls.inf, dc security.inf, rootsec.inf • Cũng có thể tạo mẫu tùy biến 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 16 Áp dụng các mẫu bảo mật • Có thể áp dụng trên máy cục bộ hoặc domain • Với máy cục bộ • Mở Local Security Setting MMC snap-in và import 1 chính sách • Với domain • Dùng các GPO • Các thiết lập bảo mật từ các GPO đè lên thiết lập cục bộ 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 17 Áp dụng các mẫu bảo mật (tt) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 18 Thực tập 14-2:Tạo 1 mẫu bảo mật • Mục tiêu: Khảo sát việc tạo 1 mẫu bảo mật tùy biến • Mở 1 New Template từ MMC Security Templates snap-in • Cấu hình các thiết lập cho mẫu mới theo dự định • Lưu mẫu • Xem file mẫu 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 19 Thực tập 14-3: Áp dụng các thiết lập mẫu bảo mật cho các GPO • Mục tiêu: Dùng GP để triển khai các thiết lập mẫu bảo mật • Start  Administrative Tools  Active Directory Users and Computers • Mở Default Domain Policy từ trang Properties của domain • Import vào mẫu đã tạo trước đó • Kiểm tra lại các thiết lập 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 20