TẬP ĐOÀN ĐIỆN LỰC VIỆT NAM TRƯỜNG ĐẠI HỌC ĐIỆN LỰC Khoa Công Nghệ Thông Tin Bài tập: XÂY DỰNG HỆ THỐNG BẢO MẬT TRÊN WINDOW SERVER 2003 Tìm hiểu về: IP sec Router Quản trị người dùng Giảng viên hướng dẫn: Lê Mạnh Hùng Nhóm 4: Đào Cơng Thắng Chử Xn Trường Vì Văn Thu Vũ khánh Tồn Nguyễn Đình Tồn Vũ Minh Sơn Hà Nơi, ngày 6/5/2011 -››››› LỜI MỞ ĐẦUI MỞ ĐẦU ĐẦUU Như biết khoa học máy vi tính ngày vô phát triển, nhu cầu trao đổi thông tin tăng lên không ngừng Ngày máy vi tính vật bất khả li thân nhiều người, sâu vào đời sống giúp lưu trữ, xử lý thông tin đơn giản Nhưng yêu cầu công việc nhu cầu muốn trao đổi, chia sẻ thơng tin với người ta cần đến giao thức quan trọng để giải vấn đề giao thức mạng máy tính Mạng vi tính giúp rút ngắn khoảng cách địa lí dù bạn nơi đâu Điều kéo theo phát triển đến chóng mặt mạng máy vi tính như: mạng LAN, mạng WAN, mạng Internet Để đáp ứng yêu cầu thời đại, Microsoft-nhà cung cấp phần mềm hàng đầu thề giới tung nhiều hệ điều hành như: window server 2000, window server 2003 để điều hành, quản lý mạng máy vi tính Cùng với nhu cầu trao đổi thơng tin u cầu khả bảo mật thơng tin ngày tốt Window server 2003 (win2k3)là lựa chọn đắn Win2k3 phiên kế thừa phát triển hệ điều hành trước Nó tích hợp nhiều cơng cụ mạnh nhằm giúp người thiết lập bảo mật , quản trị hệ thống tin mạng trước thâm nhập hệ thống trái phép.vì việc xây dựng sách hay hệ thống bảo mật Window server 2003 nhu cầu tất yếu.Tuy Microsoft tung phiên window server 2008 kế thừa phát triển Window server 2003 Window server 2003 sử dụng phổ biến Đầu tiên để tìm hiểu sách bảo mật Window server 2003, cần hiểu khái niệm bảo mật window server 2003 gì? lại phải xây dựng sách bảo mật win window server 2003? Sau sâu vào tìm hiểu cách xây dựng vài sách bảo mật cụ thể window server 2003 Trong “Xây đựng hệ thống bảo mật Window server 2003” tìm hiểu cụ thể phần sau: - IP Sec - Router - Quản trị người dùng (user) LỜI MỞ ĐẦU CHƯƠNG I: CÁC KHÁI NIỆM BẢO MẬT TRONG WINDOW SEVER 2003 I Các mẫu bảo mật định nghĩa sẵn Windows Server 2003 .4 Bảo mật mặc định (Setup security.inf) .4 Bảo mật mặc định cho điều khiển tên miền (DC security.inf) .4 Tương thích (Compatws.inf) .4 Bảo mật (Secure*.inf) Bảo mật cao (hisec*.inf) .5 Bảo mật thư mục gốc hệ thống (Rootsec.inf) .5 Mẫu khơng có SID cho người dùng Server Terminal (Notssid.inf) II Sử dụng mẫu bảo mật CHƯƠNG II: IPSec (Internet Protocol Security) .7 I Tổng quan IPSec Khái niệm IP Sec: .7 Mục đích IPSEC: Những thuận lợi sử dụng IPSEC: IPSEC có khả cung cấp: .8 Ví dụ sử dụng IPSEC: IPSEC làm việc ? 6.3 Nếu liên kết ảo mật thiết lập giửa computer IPSEC driver quan sát tất IP traffic, so sánh traffic định nghĩa Filter, có hướng tiếp traffic mã hóa xác nhận số Chính sách bảo mật IPSEC: Cấu trúc bảo mật .10 Hiện trạng 11 10 Thiết kế theo yêu cầu 11 11 Technical details .13 12 Implementations - thực 15 II Tìm hiểu IPSec phương thức hoạt động 16 I Tổng quan Router 27 Router ? : 27 Tại buộc phải cần Router? 27 Router cho gia đình doanh nghiệp nhỏ 28 Thiết bị Router có đắt hay khơng? 29 I Cấu tạo Router .34 III Quá trình định tuyến Router 36 CHƯƠNG IV: QUẢN TRỊ NGƯỜI DÙNG (USER) .38 I ĐỊNH NGHĨA TÀI KHOẢN NGƯỜI DÙNG VÀ TÀI KHOẢN NHÓM .38 Tài khoản người dùng .38 Tài khoản nhóm 40 II CHỨNG THỰC VÀ KIỂM SOÁT TRUY CẬP 41 Các giao thức chứng thực 41 III QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM CỤC BỘ 43 Công cụ quản lý tài khoản người dùng cục 43 Các thao tác tài khoản người dùng cục .45 IV QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM TRÊN ACTIVE DIRECTORY 48 Tạo tài khoản người dùng 48 Các thuộc tính tài khoản người dùng 51 Tạo tài khoản nhóm 56 CHƯƠNG I: CÁC KHÁI NIỆM BẢO MẬT TRONG WINDOW SEVER 2003 I Các mẫu bảo mật định nghĩa sẵn Windows Server 2003 Bảo mật mặco mật mặct mặcc địnhnh (Setup security.inf) Setup security.inf tạo trình cài đặt riêng biệt cho máy tính Mỗi máy tính có kiểu Setup security.inf khác tuỳ thuộc chương trình cài đặt hồn tồn từ ban đầu nâng cấp Nó thể thiết lập bảo mật mặc định ứng dụng trình cài đặt hệ điều hành, gồm đặc quyền file cho thư mục gốc ổ hệ thống Mẫu bảo mật dùng cho máy chủ máy khách dùng áp dụng cho điều khiển tên miền Bạn dùng phần mơ hình mẫu cho hoạt động phục hồi có trường hợp rủi ro xuất Không áp dụng Setup security.inf cách sử dụng Group Policy điều làm giảm tốc độ thực thi hệ thống Bảo mật mặco mật mặct mặcc địnhnh cho điều khiển tên miền ( điều khiển tên miền (u khiển tên miền (n tên miều khiển tên miền (n ( DC security.inf) Mẫu tạo server tăng cấp lên điều khiển tên miền Nó ánh xạ thiết lập bảo mật mặc định file, ghi dịch vụ hệ thống Nếu bạn áp dụng lại mô hình này, thiết lập đặt giá trị mặc định Tuy nhiên kiểu mẫu ghi đè đặc quyền lên file, khoá ghi dịch vụ hệ thống chương trình khác tạo Tương thíchng thích (Compatws.inf) Mẫu thay đổi quyền file ghi cấp phát cho thành viên nhóm Users, quán với u cầu hầu hết chương trình khơng nằm Windows Logo Program for Software Mẫu Compatible loại bỏ tất thành viên nhóm Power Users Chú ý: Không áp dụng mẫu Compatible cho điều khiển tên miền Bảo mật mặco mật mặct (Secure*.inf) Mẫu Secure định nghĩa thiết lập bảo mật nâng cao ảnh hưởng tới độ tương thích chương trình Ví dụ định nghĩa mật khẩu, chế độ lockout thiết lập kiểm toán mạnh Thêm vào đó, khn mẫu cịn giới hạn việc sử dụng chương trình quản lý mạng cục LAN Manager giao thức thẩm định NTLM cách cấu hình client gửi phần trả lời NTLMv2 cấu hình server từ chối trả lời LAN Manager Có hai kiểu mơ hình bảo mật dựng sẵn Windows Server 2003: Securews.inf cho trạm làm việc vàSecuredc.inf điều khiển tên miền Để biết thêm thông tin cách dùng mẫu mơ hình số mẫu bảo mật khác, bạn tìm kiếm phần trợ giúp Help and Support Center Microsoft với từ khoá "predefined security templates" (các mẫu bảo mật định nghĩa sẵn) Bảo mật mặco mật mặct cao (hisec*.inf) Highly Secure mô tả chi tiết giới hạn bổ sung chưa định nghĩa Secure, chẳng hạn mức mã hoá ký hiệu cần thiết cho việc thẩm định trao đổi liệu qua kênh bảo mật, client server Server Message Block (SMB) Bảo mật mặco mật mặct thư mục gốc hệ thống (c gốc hệ thống (c hệ thống ( hệ thống (ng (Rootsec.inf) Mẫu đặc tả quyền thư mục gốc (root) Mặc định Rootsec.inf định nghĩa quyền hạn cho file gốc ổ hệ thống Bạn dùng mơ hình để áp dụng lại đặc quyền thư mục gốc chúng bị thay đổi ngẫu nhiên Hoặc bạn chỉnh sửa mơ hình mẫu để áp dụng quyền hạn gốc giống cho nhiều khác Mẫu không ghi đè quyền tường minh định nghĩa đối tượng con; chép quyền thừa kế đối tượng Mẫu khơng có SID cho người dùng Server Terminal (u khơng có SID cho người dùng Server Terminal (i dùng Server Terminal (Notssid.inf) Bạn áp dụng mẫu để loại bỏ định dạng bảo mật (SID) Windows Terminal Server khỏi hệ thống file vị trí ghi dịch vụ đích (Terminal Services) khơng chạy Sau bạn thực điều này, bảo mật hệ thống không cải thiện đầy đủ cách cần thiết Để biết thêm thông tin chi tiết tất mơ hình mẫu định nghĩa sẵn Windows Server 2003, bạn tìm kiếm phần trợ giúp Help and Support Center Microsoft với từ khoá "predefined security templates" Chú ý: Thực thi mô hình mẫu bảo mật điều khiển tên miền thay đổi thiết lập thành phần Default Domain Controller Policy Default Domain Policy Mơ hình mẫu sử dụng ghi đè quyền hạn lên file mới, khoá ghi dịch vụ hệ thống chương trình khác tạo Sau sử dụng mơ hình bảo mật mẫu, bạn phải khơi phục lại "chính sách" cũ Trước thực số bước sau điều khiển tên miền, tạo lưu file chia sẻ SYSVOL II Sử dụng mẫu bảo mật Vào Start, chọn Run, gõ mmc lên ô lệnh bấm OK Trong menu File, kích lên Snap-in Add/Remove Chọn Add Trong danh sách Available Stand Alone Snap-ins, chọn Security Configuration and Analysis, bấm Add > Close cuối OK Ở bên trái, kích vào Security Configuration and Analysis xem hướng dẫn khung bên phải Kích phải chuột lên Security Configuration and Analysis, chọn Open Database Trong hộp tên File, gõ tên file liệu rối kích vào Open Kích vào mẫu bảo mật bạn muốn dùng, sau bấm lên Open để nhập thơng tin nằm mẫu vào sở liệu Kích phải chuột lên Security Configuration and Analysis khung bên trái chọn Configure Computer Now CHƯƠNG II: IPSec (Internet Protocol Security) I Tổng quan IPSecng quan IPSec IPSec Khái niệm IP Sec: m IP Sec: IPSec tập hợp chuẩn mở thiết lập để đảm bảo cẩn mật liệu, đảm bảo tính tồn vẹn liệu, chứng thực liệu thiết bị tham gia mạng liên mạng IPsec (IP security) bao gồm hệ thống giao thức để bảo mật q trình truyền thơng tin tảng Internet Protocol (IP) Bao gồm xác thực và/ mã hoá (Authenticating and/or Encrypting) cho gói IP (IP packet) q trình truyền thơng tin IPsec bao gồm giao thức cung cấp cho mã hoá xác thực IPSEC chuẩn an tồn giao tiếp thơng tin hệ thống, mạng Với IPSEC việc kiểm tra, xác thực, mã hóa liệu chức Tất việc tiến hành cấp độ IP Packet Mục đích IPSEC:c đích IPSEC:a IPSEC: Được dùng để bảo mật liệu cho chuyển giao thơng tin qua Mạng Admin xác lập nhiều chuỗi Rules, gọilà IPSEC Policy, rules chứa Filters, có trách nhiệm xác định loại thông tin lưu chuyển yêu cầu mã hóa (Encryption), xác nhận (digital signing), hai Sau đó, Packet, Computer gửi đi, xem xét có hay khơng gặp điều kiện sách Nếu gặp điều kiện này, Packet mã hóa, xác nhận số, theo quy định từ Policy Quy trình hịa tồn vơ hình với User Application kích hoạt truyền thông tin Mạng Do IPSEC chứa bên gói IP chuẩn, dùng IPSEC qua Network, mà không yêu cầu cấu hình đặc biệt thiết bị Computer Tuy nhiên, IPSEC khơng tiến hành mã hóa vài loại giao tiếp Mạng như: Broadcast, MultiCast, packet dùng giao thức xác thực Kerberos Những thuận lợi sử dụng IPSEC:ng thuận lợi sử dụng IPSEC:n lợi sử dụng IPSEC:i sử dụng IPSEC: dục đích IPSEC:ng IPSEC: Thuận lợi dùng IPSEC, cung cấp giải pháp mã hóa cho tất giao thức hoạt động lớp – Network Layer (OSI model), kể giao thức lớp cao IPSEC có khả cung cấp: cung cấp:p: - Chứng thực chiều trước suốt trình giao tiếp IPSEC quy định cho bên tham gia giao tiếp phải xác định suốt quy trình giao tiếp - Tạo tin cậy qua việc mã hóa, xác nhận số Packet IPSEC có chẽ độ Encapsulating Security Payload (ESP) cung cấp chế mã hóa dùng nhiều thuật toán khác nhau, Authentication Header (AH) xác nhận thơng tin chuyển giao, khơng mã hóa - Tich hợp thông tin chuyển giao loại thơng tin bị chỉnh sửa Cả hai loại ESP AH kiểm tra tính tích hợp thơng tin chuyển giao Nếu gói tin chỉnh sửa, xác nhận số khơng trùng khớp, kết gói tin bị loại ESP mã hóa địa nguồn địa đích phần việc mã hóa thơng tin chuyển giao - Chống lại công Replay (thông tin chuyển giao qua mạng bị attacker chặn, chỉnh sữa, gửi sau đến địa người nhận, người nhận không hay biết tin thông tin hợp pháp IPSEC dùng kĩ thuật đánh số liên tiếp cho Packet Data (Sequence numbers), nhằm làm cho attacker sử dụng lại liệu chặn được, với ý đồ bất hợp pháp Dùng Sequence numbers giúp bảo vệ chống việc chặn đánh cắp liệu, sau dùng thơng tin lấy để truy cập hợp pháp vào ngày Ví dục đích IPSEC: sử dụng IPSEC: dục đích IPSEC:ng IPSEC: Việc mát thơng tin cuyển giao qua mạng, gây thiệt hại cho hoạt động tổ chức, điều cảnh báo tổ chức cần trang bị xây dựng hệ thống mạng bảo mật chặt chẽ thông tin quan trọng iệu Product, báo có tài chính, kế hoạch Marketing Trong trường hợp tổ chức sử dụng IPSEC đảm bảo tính chất riêng tư an tồn truyền thơng Mạng (Intranet, Extranet) bao gốm giao tiếp Workstation với Server, Server với server Ví dụ: Có thể tạo IPSEC policies cho Computer kết nối với Server (nắm giữ liệu quan trọng tổ chức: tình hình tài chính, danh sách nhân sự, chiến lược phát triển) IPSEC policy bảo vệ liệu tổ chức chống lại cơng từ bên ngồi, đảm bảo tính tích hợp thơng tin, an toàn cho Client IPSEC làm việm IP Sec: c ? ? Có thể cấu hình IPSEC thông qua Local policy, triển khai diện rộng dùng Active Directory Group Policy (GPO.) 6.1 Giả sử có Computer : Computer A Computer B, IPSEC policy cấu hình computer Sau cấu hình IPSEC policy báo cho IPSEC driver cách làm để vận hành xác định liên kết bảo mật computer nối kết thiết lập Các liên kết bảo mật ảnh hưởng đến giao thức mã hóa sử dụng cho loại thông tin giao tiếp phương thức xác thực đem thương lượng 6.2 Liên kết bảo mật mang tính chất thương lượng Internet Key Exchange – IKE, có trách nhiệm thương lượng để tạo liên kết bảo mật IKE kết hợp từ giao thức: Internet Security Association and Key Management Protocol (ISAKMP) Oakley Key Determination Protocol Nếu Computer A yêu cầu xác thực thông qua Certificate Computer B yêu cầu dùng giao thức Kerberos, IKE khơng thể thiết lập liên kết bảo mật Computer Nếu dùng Network Monitor để theo dõi IPSEC hoạt động, không thấy AH ESP packet nào, giao tiếp IPSEC chưa thiết lập, có lẽ quan sát ISAKMP packets 6.3 Nế ?u liên kết ảo mật thiết lập giửa computer IPSEC liên kế ?t ả cung cấp:o mận lợi sử dụng IPSEC:t đư liên kết ảo mật thiết lập giửa computer IPSECợi sử dụng IPSEC:c thiế ?t lận lợi sử dụng IPSEC:p giử dụng IPSEC:a computer IPSEC driver quan sát tấp:t cung cấp: IP traffic, so sánh traffic đ liên kết ảo mật thiết lập giửa computer IPSECợi sử dụng IPSEC:c đ ịnh nh nghĩa Filter, nế ?u có hư liên kết ảo mật thiết lập giửa computer IPSECớng tiếp traffic ng tiế ?p traffic đ liên kết ảo mật thiết lập giửa computer IPSECợi sử dụng IPSEC:c mã hóa xác nhận số.c xác nhận lợi sử dụng IPSEC:n số Chính sách bả cung cấp:o mận lợi sử dụng IPSEC:t IPSEC: curity policy bao gồm nhiều Rule xác định cách thức hoạt động IPSEC Các Administrator có thể cài đặt IPSEC thơng qua policy Mỗi Policy chứa nhiều Rule, xác định Policy hoạt động Computer thời điểm Các