Tài liệu Đồ án cuối kỳ môn bảo mật mạng data encryption

TỔNG LIÊN ĐOÀN LAO ĐỘNG VIỆT NAM TRƯỜNG ĐẠI HỌC TÔN ĐỨC THẮNG KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN CUỐI KỲ MÔN BẢO MẬT MẠNG Data Encryption Người hướng dẫn: TS TRƯƠNG ĐÌNH TÚ Người thực hiện: VÕ QUỐC HUY – 51603002 NGUYỄN HẢI ĐĂNG – 51603001 Lớp : 16050301 Khoá : 20 THÀNH PHỐ HỒ CHÍ MINH, NĂM 2019 TỔNG LIÊN ĐOÀN LAO ĐỘNG VIỆT NAM TRƯỜNG ĐẠI HỌC TÔN ĐỨC THẮNG KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN CUỐI KỲ MÔN BẢO MẬT MẠNG Data Encryption Người hướng dẫn: TS TRƯƠNG ĐÌNH TÚ Người thực hiện: VÕ QUỐC HUY – 51603002 NGUYỄN HẢI ĐĂNG – 51603001 Lớp : 16050301 Khoá : 20 THÀNH PHỐ HỒ CHÍ MINH, NĂM 2019 i LỜI CẢM ƠN Chúng em xin chân thành cảm ơn Thầy Trương Đình Tú – Giảng viên bộ môn Bảo mật mạng đã tận tình giảng dạy, hướng dẫn chúng em trong suốt quá trình làm bài tập. Chúng em cũng chân thành cảm ơn các Thầy/ Cô giảng viên trong khoa Công nghệ thông tin trường Đại học Tôn Đức Thắng nói chung đã giảng dạy nhiệt tình cung cấp những kiến thức bổ ích cho chúng em trong học tập để tạo điều kiện cho chúng em làm đồ án đồng thời hướng dẫn em trong suốt quá trình học tập. Đồ án của chúng em mới bắt đầu được tiếp cận với nguồn kiến thức còn hạn hẹp vì vậy chắc chắn còn nhiều thiếu sót là điều không thể tránh khỏi. Chúng em mong được nhận những lời nhận xét, đóng góp từ Thầy để chúng em được hoàn thiện hơn. Chúng em xin chân thành cảm ơn. ii ĐỒ ÁN ĐƯỢC HOÀN THÀNH TẠI TRƯỜNG ĐẠI HỌC TÔN ĐỨC THẮNG Chúng tôi xin cam đoan đây là sản phẩm đồ án của riêng chúng tôi và được sự hướng dẫn của Giảng viên Trương Đình Tú. Các nội dung nghiên cứu, kết quả trong đề tài này là trung thực và chưa công bố dưới bất kỳ hình thức nào trước đây. Những số liệu trong các bảng biểu phục vụ cho việc phân tích, nhận xét, đánh giá được chính tác giả thu thập từ các nguồn khác nhau có ghi rõ trong phần tài liệu tham khảo. Ngoài ra, trong đồ án còn sử dụng một số nhận xét, đánh giá cũng như số liệu của các tác giả khác, cơ quan tổ chức khác đều có trích dẫn và chú thích nguồn gốc. Nếu phát hiện có bất kỳ sự gian lận nào chúng tôi xin hoàn toàn chịu trách nhiệm về nội dung đồ án của mình. Trường Đại học Tôn Đức Thắng không liên quan đến những vi phạm tác quyền, bản quyền do chúng tôi gây ra trong quá trình thực hiện (nếu có). TP. Hồ Chí Minh, ngày 06 tháng 05 năm 2019 Tác giả (ký tên và ghi rõ họ tên) Võ Quốc Huy Nguyễn Hải Đăng iii PHẦN XÁC NHẬN VÀ ĐÁNH GIÁ CỦA GIẢNG VIÊN Phần xác nhận của GV hướng dẫn ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ Tp. Hồ Chí Minh, ngày.........tháng.........năm......... (ký và ghi họ tên) Phần đánh giá của GV chấm bài ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ Tp. Hồ Chí Minh, ngày.........tháng.........năm......... (ký và ghi họ tên) iv TÓM TẮT Trong bài báo cáo này chúng ta sẽ tìm hiểu cách thức triển khai chính sách GPO trên windows server 2012 cụ thể với hai bài tập về Full Disk Encryption using BitLocker và Manage Security for Removable Media. 1 MỤC LỤC LỜI CẢM ƠN ............................................................................................................ i PHẦN XÁC NHẬN VÀ ĐÁNH GIÁ CỦA GIẢNG VIÊN ................................. iii TÓM TẮT ................................................................................................................ iv MỤC LỤC ..................................................................................................................1 DANH MỤC CÁC BẢNG BIỂU, HÌNH VẼ, ĐỒ THỊ ..........................................3 CHƯƠNG 1 – GROUP POLICY TRÊN WINDOWS SERVER 2012 .............6 1.1 Giới thiệu ..................................................................................................6 1.2 Cấu tạo của GPO ......................................................................................6 1.3 Nguyên tắc hoạt động của GPO ...............................................................7 CHƯƠNG 2 – Data Encryption ...........................................................................7 2.1 Tổng quan .................................................................................................7 2.2 Nâng cấp Windows Server 2012 (Server Core) lên Domain Controller và Join Domain .........................................................................................................8 2.2.1 Sơ đồ địa chỉ như sau: .......................................................................8 2.2.2 Thực hiện nâng cấp máy Server lên Domain Controller ...................8 2.2.3 Thực hiện đặt IP tĩnh và đặt địa chỉ DNS server.............................12 2.2.4 Thực hiện Join máy Client vào Domain .........................................14 2.3 Exercise 1: Full Disk Encryption using BitLocker.................................17 2.3.1 Task 1: Configure BitLocker settings via GPO ..............................18 2.3.1.1 Bước 1: ........................................................................................18 2.3.1.2 Bước 2: ........................................................................................18 2.3.1.3 Bước 3: ........................................................................................19 2.3.1.4 Bước 4: ........................................................................................20 2.3.1.5 Bước 5: ........................................................................................21 2.3.1.6 Bước 7: ........................................................................................22 2.3.1.7 Bước 8: ........................................................................................23 2 2.3.1.8 Bước 9: ........................................................................................23 2.3.1.9 Bước 10: ......................................................................................24 2.3.1.10 Bước 11: .....................................................................................25 2.3.2 Task 2: Shrink the Existing Drive ...................................................26 2.3.2.1 Bước 1: ........................................................................................26 2.3.2.2 Bước 2: ........................................................................................27 2.3.2.3 Bước 3: ........................................................................................28 2.3.3 Task 3: Enable BitLocker ................................................................29 2.3.3.1 Bước 1: ........................................................................................29 2.3.3.2 Bước 2: ........................................................................................30 2.3.4 Task 4: Verify BitLocker functionality ...........................................31 2.3.4.1 Bước 1: ........................................................................................31 2.3.4.2 Bước 2: ........................................................................................32 2.3.5 Task 5: Manage BitLocker using the command prompt .................33 2.3.6 Task 6: Unlock the Encrypted Drive using Recovery Keys ...........33 2.3.6.1 Bước 1: ........................................................................................33 2.3.7 Task 7: Remove BitLocker disk encryption on Drive E .................36 2.3.7.1 Bước 1: ........................................................................................36 2.4 Exercise 2: Manage Security for Removable Media ..............................37 2.4.1.1 Bước 1: ........................................................................................37 TÀI LIỆU THAM KHẢO ......................................................................................41 3 DANH MỤC CÁC BẢNG BIỂU, HÌNH VẼ, ĐỒ THỊ DANH MỤC HÌNH Hình 1.1: Group Policy Template ...............................................................................6 Hình 1.2: Group Policy Container ..............................................................................7 Hình 2.1: Mô hình thực hiện demo. ............................................................................8 Hình 2.2: Gõ lệnh “powershell.exe” để vào chế độ PowerShell. ...............................9 Hình 2.3: Gõ lệnh “cd c:” để chuyển vào ổ C của máy chủ. ......................................9 Hình 2.4: Nhập lệnh để cài đặt dịch vụ. ....................................................................10 Hình 2.5: Máy chủ cài đặt dịch vụ ADDS. ...............................................................10 Hình 2.6: Chuẩn bị nâng cấp. ....................................................................................11 Hình 2.7: Máy chủ tiến hành nâng cấp lên Domain Controller. ...............................11 Hình 2.8: Sau khi nâng cấp xong, máy chủ tự động reset lại máy. ...........................12 Hình 2.9: Thông tin card mạng của máy server. .......................................................12 Hình 2.10: Đặt IP tĩnh cho server..............................................................................13 Hình 2.11: Đặt DNS Server. .....................................................................................13 Hình 2.12: Tắt tường lửa trên server. ........................................................................14 Hình 2.13: Tắt firewall trên máy Windows 8.1. .......................................................15 Hình 2.14: Đặt IP tĩnh cho máy Windows 8.1. .........................................................15 Hình 2.15: Ping kiểm tra kết nối. ..............................................................................16 Hình 2.16: Cài đặt công cụ Remote Server Administrator Tools trên máy Client. ..16 Hình 2.17: Join máy Client vào Domain PRACTICELABS.COM ..........................17 Hình 2.18: Ảnh chụp màn hình của máy tính Server: Cửa sổ Server Manager Dashboard đang hiển thị bảng chọn của Tool > Group Policy Management – tùy chọn này đang được chọn..........................................................................................18 Hình 2.19: Ảnh chụp màn hình của máy tính Server: Danh sách các nội dung (chúng sẽ xuất hiện khi chúng ta nháy phải chuộc vào tên miền) > Tạo một GPO trong tên miền này. ....................................................................................................19 Hình 2.20: Ảnh chụp màn hình của máy tính Server: Hộp thoại New GPO đang hiển thị giá trị cần thiết phải được nhập vào và nút OK đang được chọn. .......................20 4 Hình 2.21: Ảnh chụp màn hình của máy tính Server: Hộp thoại Group Policy Management Console sẽ hiển thị các cài đặt cần thiết phải được thực hiện và nút OK đang được chọn. .................................................................................................21 Hình 2.22: Ảnh chụp màn hình của máy tính Server: Hộp thoại Group Policy Management được hiển thị với mục đích xác nhận lại lần cuối trước khi gỡ bỏ đặc quyền ủy nhiệm và nút OK đang được chọn. ............................................................22 Hình 2.23: Ảnh chụp màn hình của máy tính Server: Ngăn Security Filtering hiển thị nút Add được chọn và hiển thị trên Group Policy Management console. ...........23 Hình 2.24: Ảnh chụp màn hình của máy tính Server: Hộp thoại Object Types hiển thị hiển thị các cài đặt cần thiết được thực hiện và nút OK được chọn. ...................23 Hình 2.25: Ảnh chụp màn hình của máy tính Server: Hộp thoại Select User, Computer, or Group được hiển thị hiển thị loại nhập giá trị bắt buộc và nút Check Names được chọn. .....................................................................................................24 Hình 2.26: Ảnh chụp màn hình của máy tính Server: Danh sách các tùy chọn (xuất hiện khi nhấp chuột phải vào cài đặt chính sách được liệt kê) > Tùy chọn menu Chỉnh sửa được hiển thị trên bảng điều khiển Trình chỉnh sửa quản lý chính sách nhóm. .........................................................................................................................25 Hình 2.27: Ảnh chụp màn hình của máy tính Server: Yêu cầu xác thực bổ sung tại bảng điều khiển khởi động được hiển thị các cài đặt cần thiết. ................................26 Hình 2.28: Ảnh chụp màn hình của máy tính WIN8: Danh sách các tùy chọn (xuất hiện khi nhấp chuột phải vào vùng chưa được phân bổ của đĩa)> Tùy chọn Shrink Volume được hiển thị trong Computer Management console. .................................27 Hình 2.29: Ảnh chụp màn hình của máy tính WIN8: Hộp thoại Shrink C đang hiển thị các cài đặt mặc định và nút Shrink đang được chọn............................................28 Hình 2.30: Ảnh chụp màn hình của máy tính WIN8: Trang hoàn tất việc phân mảng trong New Simple Volume Wizard đang hiển thị danh sách các thông số kĩ thuật của việc tạo ra một ổ cứng mới. ................................................................................29 Hình 2.31: Ảnh chụp màn hình của máy tính WIN8: Computer Management console hiển thị danh sách các phân vùng đã được tạo mới. ....................................29 5 Hình 2.32: Ảnh chụp màn hình của máy tính WIN8: Cửa sổ cmd hiển thị câu lệnh cho phép chấp nhận các bản cập nhật chính sách được hoàn tất. .............................30 Hình 2.33: Ảnh chụp màn hình của máy tính WIN8: Cửa sổ hiển thị biểu tượng ổ khóa đang mở được gắn vào ổ đĩa được mã hóa. ......................................................31 Hình 2.34: Ảnh chụp màn hình của máy tính WIN8: Ổ cứng bị BitLocker khóa vẫn được liệt kê trên cửa sổ của File Explorer ................................................................32 Hình 2.35: Ảnh chụp màn hình của máy tính WIN8: Nhập password để mở khóa ổ đĩa E...........................................................................................................................33 Hình 2.36: Thông tin mã hóa của ổ đĩa E. ................................................................33 Hình 2.37: Ảnh chụp màn hình của máy tính WIN8: Copy mã Recovery Key. ......34 Hình 2.38: Chọn Unlock Drive… với ổ đĩa E để mở khóa.......................................35 Hình 2.39: Mở khóa ổ đĩa bằng khóa khôi phục. ......................................................36 Hình 2.40: Gỡ bỏ mã hóa BitLocker .........................................................................36 Hình 2.41: Thông tin của ổ đĩa đã được xóa BitLocker............................................37 Hình 2.42: Ảnh chụp màn hình của máy tính WIN8: Hộp thoại GPO mới được hiển thị với các giá trị rằng buộc được yêu cầu gõ vào. ...................................................38 Hình 2.43: Ảnh chụp màn hình của máy tính WIN8: Danh sách các tùy chọn > Tùy chọn Edit được hiển thị trên bảng điều khiển Trình chỉnh sửa quản lý chính sách nhóm. .........................................................................................................................39 Hình 2.44: Hộp thoại Removable Disks. ..................................................................40 Hình 2.45: Máy WIN8 không ghi file vào USB được. .............................................40 DANH MỤC BẢNG Bảng 2.1: Thông số các máy trong demo. ...................................................................8 6 CHƯƠNG 1 – GROUP POLICY TRÊN WINDOWS SERVER 2012 1.1 Giới thiệu Group Policy Object (GPO) là một tập hợp các chính sách để quản lý người dùng (User), ngăn chặn, giới hạn người dùng có những hành động vượt quá và ảnh hưởng đến hệ thống. Đồng thời giúp tiết kiệm thời gian quản lý và xử lý sự cố hệ thống từ phía User. 1.2 Cấu tạo của GPO GPO gồm 2 thành phần: - Group Policy Template: chứa các thuộc tính, 2 thuộc tính chính là User Configuration và computer configuration Hình 1.1: Group Policy Template - Group Policy Container: • Là nơi chứa các chính sách, có thể tạo một hoặc nhiều chính sách. GPO dùng cấu trúc AD để áp dụng các chính sách lên user hoặc computer. • Đường dẫn chứa các chính sách: C:\Windows\SYSVOL\sysvol\banhflan.local\Policies 7 Hình 1.2: Group Policy Container 1.3 Nguyên tắc hoạt động của GPO Các chính sách có thể được áp đặt trên OU, Site, Domain. Mặc định, GPO sẽ xử lý các chính sách theo độ ưu tiên như sau : OU, Site, Domain. Quá trình cập nhật GPO được xử lý khi Computer được khởi động và User thực hiện đăng nhập (Log on). Sau đó cứ theo chu kỳ trong khoảng từ 90 – 120 phút thì sẽ cập nhật lại một lần. Hoặc có thể cập nhật ngay các chính sách GPO trên máy User bằng lệnh sau: gpupdate /force. CHƯƠNG 2 – Data Encryption 2.1 Tổng quan 8 Hình 2.1: Mô hình thực hiện demo. Hệ thống gồm có 02 máy tính: - Máy Server chạy hệ điều hành Windows Server 2012 R2 – Domain Controller (IP: 192.168.116.131) - Máy WIN8 chạy hệ điều hành Windows 8.1 R3 – Domain Workstation (IP: 192.168.116.132) 2.2 Nâng cấp Windows Server 2012 (Server Core) lên Domain Controller và Join Domain 2.2.1 Sơ đồ địa chỉ như sau: Thông số Windows Server 2012 Windows 8.1 192.168.116.131 192.168.116.132 Subnet Mask 255.255.255.0 255.255.255.0 Default Gateway 192.168.116.2 192.168.116.2 192.168.116.131 192.168.116.131 IP Address Preferred DNS Server Bảng 2.1: Thông số các máy trong demo. 2.2.2 Thực hiện nâng cấp máy Server lên Domain Controller 9 Hình 2.2: Gõ lệnh “powershell.exe” để vào chế độ PowerShell. Hình 2.3: Gõ lệnh “cd c:\” để chuyển vào ổ C của máy chủ. Sau khi vào đường dẫn C:\>, ta gõ lệnh sau: Install-WindowsFeature AD-Domain-Services -IncludeManagementTools. 10 Hình 2.4: Nhập lệnh để cài đặt dịch vụ. Hình 2.5: Máy chủ cài đặt dịch vụ ADDS. Tiếp theo ta nâng cấp lên Domain Controller với câu lệnh sau: Install-ADDSForest -DomainName PRACTICELABS.COM Nhập mật khẩu SafeModeAdministrator: 123456a@ 11 Hình 2.6: Chuẩn bị nâng cấp. Hình 2.7: Máy chủ tiến hành nâng cấp lên Domain Controller. 12 Hình 2.8: Sau khi nâng cấp xong, máy chủ tự động reset lại máy. 2.2.3 Thực hiện đặt IP tĩnh và đặt địa chỉ DNS server Kiểm tra Server có bao nhiêu card mạng. Netsh interface ipv4 show interfaces Hình 2.9: Thông tin card mạng của máy server. Đặt địa chỉ IP tĩnh cho card Ethernet0 của máy Server: Netsh interface ipv4 set address name=Ethernet0 source=static 13 address=192.168.116.131 mask=255.255.255.0 gateway=192.168.116.2 Hình 2.10: Đặt IP tĩnh cho server. Đặt địa chỉ của DNS Server. Netsh interface ipv4 add dnsserver name=Ethernet0 address=192.168.116.131 index=1 Hình 2.11: Đặt DNS Server. 14 Tắt Firewall trên máy Server. Netsh firewall set opmode mode=disable Hình 2.12: Tắt tường lửa trên server. 2.2.4 Thực hiện Join máy Client vào Domain Tắt Firewall trên máy Client. Netsh firewall set opmode mode=disable