Mô tả:
TỔNG LIÊN ĐOÀN LAO ĐỘNG VIỆT NAM
TRƯỜNG ĐẠI HỌC TÔN ĐỨC THẮNG
KHOA CÔNG NGHỆ THÔNG TIN
ĐỒ ÁN CUỐI KỲ MÔN BẢO MẬT MẠNG
Data Encryption
Người hướng dẫn: TS TRƯƠNG ĐÌNH TÚ
Người thực hiện: VÕ QUỐC HUY – 51603002
NGUYỄN HẢI ĐĂNG – 51603001
Lớp : 16050301
Khoá : 20
THÀNH PHỐ HỒ CHÍ MINH, NĂM 2019
TỔNG LIÊN ĐOÀN LAO ĐỘNG VIỆT NAM
TRƯỜNG ĐẠI HỌC TÔN ĐỨC THẮNG
KHOA CÔNG NGHỆ THÔNG TIN
ĐỒ ÁN CUỐI KỲ MÔN BẢO MẬT MẠNG
Data Encryption
Người hướng dẫn: TS TRƯƠNG ĐÌNH TÚ
Người thực hiện: VÕ QUỐC HUY – 51603002
NGUYỄN HẢI ĐĂNG – 51603001
Lớp : 16050301
Khoá : 20
THÀNH PHỐ HỒ CHÍ MINH, NĂM 2019
i
LỜI CẢM ƠN
Chúng em xin chân thành cảm ơn Thầy Trương Đình Tú – Giảng viên bộ môn
Bảo mật mạng đã tận tình giảng dạy, hướng dẫn chúng em trong suốt quá trình làm
bài tập.
Chúng em cũng chân thành cảm ơn các Thầy/ Cô giảng viên trong khoa Công
nghệ thông tin trường Đại học Tôn Đức Thắng nói chung đã giảng dạy nhiệt tình cung
cấp những kiến thức bổ ích cho chúng em trong học tập để tạo điều kiện cho chúng
em làm đồ án đồng thời hướng dẫn em trong suốt quá trình học tập.
Đồ án của chúng em mới bắt đầu được tiếp cận với nguồn kiến thức còn hạn
hẹp vì vậy chắc chắn còn nhiều thiếu sót là điều không thể tránh khỏi. Chúng em
mong được nhận những lời nhận xét, đóng góp từ Thầy để chúng em được hoàn thiện
hơn.
Chúng em xin chân thành cảm ơn.
ii
ĐỒ ÁN ĐƯỢC HOÀN THÀNH
TẠI TRƯỜNG ĐẠI HỌC TÔN ĐỨC THẮNG
Chúng tôi xin cam đoan đây là sản phẩm đồ án của riêng chúng tôi và được sự
hướng dẫn của Giảng viên Trương Đình Tú. Các nội dung nghiên cứu, kết quả trong
đề tài này là trung thực và chưa công bố dưới bất kỳ hình thức nào trước đây. Những
số liệu trong các bảng biểu phục vụ cho việc phân tích, nhận xét, đánh giá được chính
tác giả thu thập từ các nguồn khác nhau có ghi rõ trong phần tài liệu tham khảo.
Ngoài ra, trong đồ án còn sử dụng một số nhận xét, đánh giá cũng như số liệu
của các tác giả khác, cơ quan tổ chức khác đều có trích dẫn và chú thích nguồn gốc.
Nếu phát hiện có bất kỳ sự gian lận nào chúng tôi xin hoàn toàn chịu trách
nhiệm về nội dung đồ án của mình. Trường Đại học Tôn Đức Thắng không liên
quan đến những vi phạm tác quyền, bản quyền do chúng tôi gây ra trong quá trình
thực hiện (nếu có).
TP. Hồ Chí Minh, ngày 06 tháng 05 năm 2019
Tác giả
(ký tên và ghi rõ họ tên)
Võ Quốc Huy
Nguyễn Hải Đăng
iii
PHẦN XÁC NHẬN VÀ ĐÁNH GIÁ CỦA GIẢNG VIÊN
Phần xác nhận của GV hướng dẫn
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
Tp. Hồ Chí Minh, ngày.........tháng.........năm.........
(ký và ghi họ tên)
Phần đánh giá của GV chấm bài
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
Tp. Hồ Chí Minh, ngày.........tháng.........năm.........
(ký và ghi họ tên)
iv
TÓM TẮT
Trong bài báo cáo này chúng ta sẽ tìm hiểu cách thức triển khai chính sách
GPO trên windows server 2012 cụ thể với hai bài tập về Full Disk Encryption using
BitLocker và Manage Security for Removable Media.
1
MỤC LỤC
LỜI CẢM ƠN ............................................................................................................ i
PHẦN XÁC NHẬN VÀ ĐÁNH GIÁ CỦA GIẢNG VIÊN ................................. iii
TÓM TẮT ................................................................................................................ iv
MỤC LỤC ..................................................................................................................1
DANH MỤC CÁC BẢNG BIỂU, HÌNH VẼ, ĐỒ THỊ ..........................................3
CHƯƠNG 1 – GROUP POLICY TRÊN WINDOWS SERVER 2012 .............6
1.1
Giới thiệu ..................................................................................................6
1.2
Cấu tạo của GPO ......................................................................................6
1.3
Nguyên tắc hoạt động của GPO ...............................................................7
CHƯƠNG 2 – Data Encryption ...........................................................................7
2.1
Tổng quan .................................................................................................7
2.2
Nâng cấp Windows Server 2012 (Server Core) lên Domain Controller và
Join Domain .........................................................................................................8
2.2.1
Sơ đồ địa chỉ như sau: .......................................................................8
2.2.2
Thực hiện nâng cấp máy Server lên Domain Controller ...................8
2.2.3
Thực hiện đặt IP tĩnh và đặt địa chỉ DNS server.............................12
2.2.4
Thực hiện Join máy Client vào Domain .........................................14
2.3
Exercise 1: Full Disk Encryption using BitLocker.................................17
2.3.1
Task 1: Configure BitLocker settings via GPO ..............................18
2.3.1.1 Bước 1: ........................................................................................18
2.3.1.2 Bước 2: ........................................................................................18
2.3.1.3 Bước 3: ........................................................................................19
2.3.1.4 Bước 4: ........................................................................................20
2.3.1.5 Bước 5: ........................................................................................21
2.3.1.6 Bước 7: ........................................................................................22
2.3.1.7 Bước 8: ........................................................................................23
2
2.3.1.8 Bước 9: ........................................................................................23
2.3.1.9 Bước 10: ......................................................................................24
2.3.1.10 Bước 11: .....................................................................................25
2.3.2
Task 2: Shrink the Existing Drive ...................................................26
2.3.2.1 Bước 1: ........................................................................................26
2.3.2.2 Bước 2: ........................................................................................27
2.3.2.3 Bước 3: ........................................................................................28
2.3.3
Task 3: Enable BitLocker ................................................................29
2.3.3.1 Bước 1: ........................................................................................29
2.3.3.2 Bước 2: ........................................................................................30
2.3.4
Task 4: Verify BitLocker functionality ...........................................31
2.3.4.1 Bước 1: ........................................................................................31
2.3.4.2 Bước 2: ........................................................................................32
2.3.5
Task 5: Manage BitLocker using the command prompt .................33
2.3.6
Task 6: Unlock the Encrypted Drive using Recovery Keys ...........33
2.3.6.1 Bước 1: ........................................................................................33
2.3.7
Task 7: Remove BitLocker disk encryption on Drive E .................36
2.3.7.1 Bước 1: ........................................................................................36
2.4
Exercise 2: Manage Security for Removable Media ..............................37
2.4.1.1 Bước 1: ........................................................................................37
TÀI LIỆU THAM KHẢO ......................................................................................41
3
DANH MỤC CÁC BẢNG BIỂU, HÌNH VẼ, ĐỒ THỊ
DANH MỤC HÌNH
Hình 1.1: Group Policy Template ...............................................................................6
Hình 1.2: Group Policy Container ..............................................................................7
Hình 2.1: Mô hình thực hiện demo. ............................................................................8
Hình 2.2: Gõ lệnh “powershell.exe” để vào chế độ PowerShell. ...............................9
Hình 2.3: Gõ lệnh “cd c:” để chuyển vào ổ C của máy chủ. ......................................9
Hình 2.4: Nhập lệnh để cài đặt dịch vụ. ....................................................................10
Hình 2.5: Máy chủ cài đặt dịch vụ ADDS. ...............................................................10
Hình 2.6: Chuẩn bị nâng cấp. ....................................................................................11
Hình 2.7: Máy chủ tiến hành nâng cấp lên Domain Controller. ...............................11
Hình 2.8: Sau khi nâng cấp xong, máy chủ tự động reset lại máy. ...........................12
Hình 2.9: Thông tin card mạng của máy server. .......................................................12
Hình 2.10: Đặt IP tĩnh cho server..............................................................................13
Hình 2.11: Đặt DNS Server. .....................................................................................13
Hình 2.12: Tắt tường lửa trên server. ........................................................................14
Hình 2.13: Tắt firewall trên máy Windows 8.1. .......................................................15
Hình 2.14: Đặt IP tĩnh cho máy Windows 8.1. .........................................................15
Hình 2.15: Ping kiểm tra kết nối. ..............................................................................16
Hình 2.16: Cài đặt công cụ Remote Server Administrator Tools trên máy Client. ..16
Hình 2.17: Join máy Client vào Domain PRACTICELABS.COM ..........................17
Hình 2.18: Ảnh chụp màn hình của máy tính Server: Cửa sổ Server Manager
Dashboard đang hiển thị bảng chọn của Tool > Group Policy Management – tùy
chọn này đang được chọn..........................................................................................18
Hình 2.19: Ảnh chụp màn hình của máy tính Server: Danh sách các nội dung
(chúng sẽ xuất hiện khi chúng ta nháy phải chuộc vào tên miền) > Tạo một GPO
trong tên miền này. ....................................................................................................19
Hình 2.20: Ảnh chụp màn hình của máy tính Server: Hộp thoại New GPO đang hiển
thị giá trị cần thiết phải được nhập vào và nút OK đang được chọn. .......................20
4
Hình 2.21: Ảnh chụp màn hình của máy tính Server: Hộp thoại Group Policy
Management Console sẽ hiển thị các cài đặt cần thiết phải được thực hiện và nút
OK đang được chọn. .................................................................................................21
Hình 2.22: Ảnh chụp màn hình của máy tính Server: Hộp thoại Group Policy
Management được hiển thị với mục đích xác nhận lại lần cuối trước khi gỡ bỏ đặc
quyền ủy nhiệm và nút OK đang được chọn. ............................................................22
Hình 2.23: Ảnh chụp màn hình của máy tính Server: Ngăn Security Filtering hiển
thị nút Add được chọn và hiển thị trên Group Policy Management console. ...........23
Hình 2.24: Ảnh chụp màn hình của máy tính Server: Hộp thoại Object Types hiển
thị hiển thị các cài đặt cần thiết được thực hiện và nút OK được chọn. ...................23
Hình 2.25: Ảnh chụp màn hình của máy tính Server: Hộp thoại Select User,
Computer, or Group được hiển thị hiển thị loại nhập giá trị bắt buộc và nút Check
Names được chọn. .....................................................................................................24
Hình 2.26: Ảnh chụp màn hình của máy tính Server: Danh sách các tùy chọn (xuất
hiện khi nhấp chuột phải vào cài đặt chính sách được liệt kê) > Tùy chọn menu
Chỉnh sửa được hiển thị trên bảng điều khiển Trình chỉnh sửa quản lý chính sách
nhóm. .........................................................................................................................25
Hình 2.27: Ảnh chụp màn hình của máy tính Server: Yêu cầu xác thực bổ sung tại
bảng điều khiển khởi động được hiển thị các cài đặt cần thiết. ................................26
Hình 2.28: Ảnh chụp màn hình của máy tính WIN8: Danh sách các tùy chọn (xuất
hiện khi nhấp chuột phải vào vùng chưa được phân bổ của đĩa)> Tùy chọn Shrink
Volume được hiển thị trong Computer Management console. .................................27
Hình 2.29: Ảnh chụp màn hình của máy tính WIN8: Hộp thoại Shrink C đang hiển
thị các cài đặt mặc định và nút Shrink đang được chọn............................................28
Hình 2.30: Ảnh chụp màn hình của máy tính WIN8: Trang hoàn tất việc phân mảng
trong New Simple Volume Wizard đang hiển thị danh sách các thông số kĩ thuật
của việc tạo ra một ổ cứng mới. ................................................................................29
Hình 2.31: Ảnh chụp màn hình của máy tính WIN8: Computer Management
console hiển thị danh sách các phân vùng đã được tạo mới. ....................................29
5
Hình 2.32: Ảnh chụp màn hình của máy tính WIN8: Cửa sổ cmd hiển thị câu lệnh
cho phép chấp nhận các bản cập nhật chính sách được hoàn tất. .............................30
Hình 2.33: Ảnh chụp màn hình của máy tính WIN8: Cửa sổ hiển thị biểu tượng ổ
khóa đang mở được gắn vào ổ đĩa được mã hóa. ......................................................31
Hình 2.34: Ảnh chụp màn hình của máy tính WIN8: Ổ cứng bị BitLocker khóa vẫn
được liệt kê trên cửa sổ của File Explorer ................................................................32
Hình 2.35: Ảnh chụp màn hình của máy tính WIN8: Nhập password để mở khóa ổ
đĩa E...........................................................................................................................33
Hình 2.36: Thông tin mã hóa của ổ đĩa E. ................................................................33
Hình 2.37: Ảnh chụp màn hình của máy tính WIN8: Copy mã Recovery Key. ......34
Hình 2.38: Chọn Unlock Drive… với ổ đĩa E để mở khóa.......................................35
Hình 2.39: Mở khóa ổ đĩa bằng khóa khôi phục. ......................................................36
Hình 2.40: Gỡ bỏ mã hóa BitLocker .........................................................................36
Hình 2.41: Thông tin của ổ đĩa đã được xóa BitLocker............................................37
Hình 2.42: Ảnh chụp màn hình của máy tính WIN8: Hộp thoại GPO mới được hiển
thị với các giá trị rằng buộc được yêu cầu gõ vào. ...................................................38
Hình 2.43: Ảnh chụp màn hình của máy tính WIN8: Danh sách các tùy chọn > Tùy
chọn Edit được hiển thị trên bảng điều khiển Trình chỉnh sửa quản lý chính sách
nhóm. .........................................................................................................................39
Hình 2.44: Hộp thoại Removable Disks. ..................................................................40
Hình 2.45: Máy WIN8 không ghi file vào USB được. .............................................40
DANH MỤC BẢNG
Bảng 2.1: Thông số các máy trong demo. ...................................................................8
6
CHƯƠNG 1 – GROUP POLICY TRÊN WINDOWS SERVER
2012
1.1 Giới thiệu
Group Policy Object (GPO) là một tập hợp các chính sách để quản lý người dùng
(User), ngăn chặn, giới hạn người dùng có những hành động vượt quá và ảnh hưởng
đến hệ thống.
Đồng thời giúp tiết kiệm thời gian quản lý và xử lý sự cố hệ thống từ phía User.
1.2 Cấu tạo của GPO
GPO gồm 2 thành phần:
-
Group Policy Template: chứa các thuộc tính, 2 thuộc tính chính là User
Configuration và computer configuration
Hình 1.1: Group Policy Template
-
Group Policy Container:
• Là nơi chứa các chính sách, có thể tạo một hoặc nhiều chính sách. GPO
dùng cấu trúc AD để áp dụng các chính sách lên user hoặc computer.
• Đường dẫn chứa các chính sách:
C:\Windows\SYSVOL\sysvol\banhflan.local\Policies
7
Hình 1.2: Group Policy Container
1.3 Nguyên tắc hoạt động của GPO
Các chính sách có thể được áp đặt trên OU, Site, Domain. Mặc định, GPO sẽ xử
lý các chính sách theo độ ưu tiên như sau : OU, Site, Domain.
Quá trình cập nhật GPO được xử lý khi Computer được khởi động và User thực
hiện đăng nhập (Log on). Sau đó cứ theo chu kỳ trong khoảng từ 90 – 120 phút thì sẽ
cập nhật lại một lần. Hoặc có thể cập nhật ngay các chính sách GPO trên máy User
bằng lệnh sau: gpupdate /force.
CHƯƠNG 2 – Data Encryption
2.1 Tổng quan
8
Hình 2.1: Mô hình thực hiện demo.
Hệ thống gồm có 02 máy tính:
-
Máy Server chạy hệ điều hành Windows Server 2012 R2 – Domain Controller
(IP: 192.168.116.131)
-
Máy WIN8 chạy hệ điều hành Windows 8.1 R3 – Domain Workstation (IP:
192.168.116.132)
2.2 Nâng cấp Windows Server 2012 (Server Core) lên Domain
Controller và Join Domain
2.2.1 Sơ đồ địa chỉ như sau:
Thông số
Windows Server 2012
Windows 8.1
192.168.116.131
192.168.116.132
Subnet Mask
255.255.255.0
255.255.255.0
Default Gateway
192.168.116.2
192.168.116.2
192.168.116.131
192.168.116.131
IP Address
Preferred DNS Server
Bảng 2.1: Thông số các máy trong demo.
2.2.2 Thực hiện nâng cấp máy Server lên Domain Controller
9
Hình 2.2: Gõ lệnh “powershell.exe” để vào chế độ PowerShell.
Hình 2.3: Gõ lệnh “cd c:\” để chuyển vào ổ C của máy chủ.
Sau khi vào đường dẫn C:\>, ta gõ lệnh sau:
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools.
10
Hình 2.4: Nhập lệnh để cài đặt dịch vụ.
Hình 2.5: Máy chủ cài đặt dịch vụ ADDS.
Tiếp theo ta nâng cấp lên Domain Controller với câu lệnh sau:
Install-ADDSForest -DomainName PRACTICELABS.COM
Nhập mật khẩu SafeModeAdministrator: 123456a@
11
Hình 2.6: Chuẩn bị nâng cấp.
Hình 2.7: Máy chủ tiến hành nâng cấp lên Domain Controller.
12
Hình 2.8: Sau khi nâng cấp xong, máy chủ tự động reset lại máy.
2.2.3 Thực hiện đặt IP tĩnh và đặt địa chỉ DNS server
Kiểm tra Server có bao nhiêu card mạng.
Netsh interface ipv4 show interfaces
Hình 2.9: Thông tin card mạng của máy server.
Đặt địa chỉ IP tĩnh cho card Ethernet0 của máy Server:
Netsh interface ipv4 set address name=Ethernet0 source=static
13
address=192.168.116.131 mask=255.255.255.0 gateway=192.168.116.2
Hình 2.10: Đặt IP tĩnh cho server.
Đặt địa chỉ của DNS Server.
Netsh interface ipv4 add dnsserver name=Ethernet0 address=192.168.116.131
index=1
Hình 2.11: Đặt DNS Server.
14
Tắt Firewall trên máy Server.
Netsh firewall set opmode mode=disable
Hình 2.12: Tắt tường lửa trên server.
2.2.4 Thực hiện Join máy Client vào Domain
Tắt Firewall trên máy Client.
Netsh firewall set opmode mode=disable
- Xem thêm -