Giáo trình thực hành Mạng Workgroup bao hàm đầy đủ các kiến thức căn bản về Mạng máy tính nói chung và mạng Workgroup nói riêng. Giáo trình này chi tiết về các cơ chế bảo mật truy cập mạng của Windows XP, WIndows Vista, Windows 7, Windows 8,... Từ đó, người đọc sẽ lý giải và làm chủ được các tình huống truy cập vào máy Windows từ mạng.
Trang 1Giáo trình thực hành: MẠNG WORKGROUP Nội dung:
Phần 1: MẠNG WORKGROUP VÀ CÁC CƠ CHẾ BẢO MẬT TRUY CẬP 2
I LÝ THUYẾT VỀ MẠNG WORKGROUP 2
- Cấu hình cho máy tính tham gia Workgroup: 2
- Các cơ chế bảo mật truy cập vào máy tính Windows XP / Vista / Windows 7 / 8 từ mạng: 2
II LUYỆN TẬP (PRACTICE) 3
1 Kiểm tra điều kiện kết nối mạng Workgroup của máy Windows 3
2 Thực hành thao tác On / Off Windows Firewall 3
3 Thực hành các thao tác quản trị tài khoản nội bộ: 4
4 Thực nghiệm chế độ “Classic” 5
5 Thực nghiệm chế độ “Guest Only” 6
III BÀI TẬP: Các cơ chế truy cập vào máy tính mạng Workgroup 7
Bài tập 1.1: Cấu hình mạng Workgroup theo yêu cầu 7
Bài tập 1.2: Khắc phục sự cố trong mạng Workgroup 7
Phần 2: CHIA SẺ VÀ PHÂN QUYỀN TRUY CẬP TÀI NGUYÊN 8
I LÝ THUYẾT 8
- Sharing Permissions: Phân quyền tài nguyên chia sẻ 8
- NTFS Permissions: Phân quyền truy cập File / Folder 8
- Các tính chất của phân quyền 9
- Quan hệ giữa “Share permissions” và “NTFS permissions” 9
II LUYỆN TẬP (PRACTICE) 9
1 Phân quyền chia sẻ thư mục 9
2 Phân quyền NTFS Permission 10
3 Thử nghiệm phân quyền NTFS trên thư mục DATA: 11
III BÀI TẬP: Chia sẻ và phân quyền trong mạng Workgroup 12
Bài tập 2.1: Mạng Phòng học 12
Bài tập 2.2: Tổ chức mạng Phòng Máy trong Trường học 13
Bài tập 2.3: Quản trị máy tính từ xa (trong mạng Workgroup) 14
Trang 2Phần 1: MẠNG WORKGROUP VÀ CÁC CƠ CHẾ BẢO MẬT TRUY CẬP.
I LÝ THUYẾT VỀ MẠNG WORKGROUP.
- Workgroup là hệ thống mạng theo kiến trúc ngang hàng (peer-to-peer) được sáng lập bởi hãng Microsoft
- Tham gia mạng ngang hàng, người dùng có toàn quyền trong việc chia sẻ tài nguyên của máy cho người dùng khác trong mạng dùng chung
Cấu hình cho máy tính tham gia Workgroup:
(Phải đảm bảo kết nối phần cứng mạng đã hoàn chỉnh)
- Mỗi máy tính tham gia Workgroup có 1 tên máy (Computer Name) riêng.
- Cấu hình mạng cần có các thành phần:
o Client for Microsoft networks: là thành phần xác định máy tính sẽ làm “khách” (tham gia) những
mạng của hãng Microsoft
o File and Printer sharing for Microsoft networks: là dịch vụ (Service) cho phép máy tính sẽ có chức
năng chia sẻ dữ liệu cho các máy khác truy cập
o Internet Protocol - TCP/IP: là giao thức giao tiếp mạng giữa các máy tính dựa vào địa chỉ IP (IP address).
Các cơ chế bảo mật truy cập vào máy tính Windows XP / Vista / Windows 7 / 8 từ mạng:
- Các Hệ điều hành Windows từ phiên bản 2000 trở về trước yêu cầu người truy cập máy tính qua
mạng phải có 1 tài khoản (User và password) hợp lệ.
- Tài khoản hợp lệ là tài khoản mà máy bị truy cập chấp nhận (được xác thực)
- Tài khoản được xác thực có thể:
o Là tài khoản được tạo ngay tại máy bị truy cập (gọi là Local Users)
o Hoặc là tài khoản được tạo tại miền quản trị (Domain) trong trường hợp máy tính bị xâm nhập có tham gia vào mạng Domain (Active Directory).
- Nhằm nâng cao độ an toàn của việc tham gia mạng, kể từ phiên bản Windows XP, hãng Microsoft đã đưa ra nhiều cơ chế bảo mật bảo truy cập mật mạng
1 Cơ chế truy cập vào máy tính (Network Access: Sharing and Security model for user account)
Khi 1 máy tính khác xâm nhập vào máy Windows qua mạng, cách ứng xử của máy Windows này
sẽ lệ thuộc cơ chế cấp phép truy cập là Guest Only hay Classic Model.
Classic Model : Theo truyền thống, người truy cập phải khai báo User/Password hợp lệ.
Guest Only : Chỉ cho phép truy cập vào máy bằng những Tài khoản (account) không có trong danh sách USERS của máy bị truy cập (Local Users).
Guest (khách vãng lai) là loại tài khoản mà Windows không cần biết tên (User name) Nói cách khác, ở chế độ Guest Only, Windows sẽ cho truy cập vào nó mà không cần hỏi User và password.
Mặc định, tài khoản Guest không có giá trị sử dụng (Disabled)
2 Danh sách User bị cấm truy cập vào máy tính từ mạng (User Rights Assignmet: Deny access to
this computer from the network)
Trong danh sách các tài khoản được tạo trong Windows (Local Users) Người dùng có thể chỉ định
những user cụ thể sẽ bị cấm truy cập vào máy tính từ mạng bằng cách đưa tên user vào danh
sách Deny access to this computer from the network.
Mặc định, tài khoản Guest được đặt trong danh sách cấm này.
3 Danh sách User bị cấm truy cập cục bộ vào máy tính (User Rights Assignmet: Deny logon locally)
Trong danh sách các tài khoản được tạo trong Windows (Local Users) Người dùng có thể chỉ định
những user cụ thể sẽ bị cấm truy cập cục bộ vào máy tính bằng cách đưa tên user vào danh sách
Deny logon locally.
Mặc định, tài khoản Guest được đặt trong danh sách cấm này.
Trang 34 Những tài khoản không có password sẽ không truy cập vào máy tính từ mạng (Limit local
account use of blank password to console logon)
Thói quen của người dùng Windows là không đặt password cho tài khoản Administrator (tài khoản
có quyền cao nhất trong việc quản trị điều khiển máy Windows)
Nếu ai đó dùng tài khoản Administrator để xâm nhập máy Windows qua mạng, người đó cũng sẽ
có toàn quyền điều khiển máy Windows bị xâm nhập
Mặc định, Windows sẽ giới hạn (không cho) Những tài khoản không có password sẽ không truy cập vào máy tính từ mạng, nhằm đảm bảo an toàn cho người dùng
5 Windows Firewall (Tường lửa)
Windows Firewall là 1 dạng “tường lửa” cá nhân mà Microsoft tích hợp sẵn trong các phiên bản
Windows XP về sau
Firewall có nhiệm vụ ngăn chặn các luồng dữ liệu không mong muốn từ ngoài vào Mọi luồng dữ liệu từ trong đi ra qua Windows Firewall đều được cho phép.
Với Windows Firewall, yêu cấu truy cập dữ liệu từ bên ngoài vào máy tính cũng sẽ bị ngăn chặn
II LUYỆN TẬP (PRACTICE).
1 Kiểm tra điều kiện kết nối mạng Workgroup của máy Windows.
Kiểm tra tình trạng kết nối mạng phần cứng: dây mạng, card mạng, Switch,… Để ý đèn trạng thài
tại cổng RJ-45, biểu tượng trạng thái của card mạng trong cửa sổ “Network Connections” để nhận
định tình trạng kết nối mạng của máy tính
Properties biểu tượng card mạng trong cửa sổ “Network Connections” Kiểm tra tình trạng của các
thành phần hỗ trợ kết nối mạng Workgroup
Properties “My Computer” tab “Computer Name” để nhận biết tên máy tính có bị trùng với máy
khác không
Mở “My Network Place Entrie Network Microsoft Windows Networks WORKGROUP” để
“nhìn thấy” các máy tính khác trong mạng Workgroup
2 Thực hành thao tác On / Off Windows Firewall
Dùng lệnh IPCONFIG (gõ tại “Command prompt”) để xem địa chỉ IP của card mạng (thực)
Từ máy bên cạnh dùng lệnh PING <IP máy của bạn> để kiểm tra giao tiếp mạng
Nếu Ping thất bại có thể là do “Windows Firewall” trên máy bạn đang hoạt động.
Thao tác On / Off Windows Firewall:
o Properties biểu tượng card mạng trong cửa sổ “Network Connections” tab “Advanced” nút “Settings” trong mục “Windows Firewall”
Trang 43 Thực hành các thao tác quản trị tài khoản nội bộ:
a Mở “Local Users and Groups” (trong “Computer Management”) bằng 1 trong các thao tác:
Control Panel ”Administrative Tools” “Computer Management”)
Nhấp phải “My Computer” Manage
Run: compmgmt.msc
b Đặt mật khẩu cho tài khoản Administrator:
Nhấp phải trên tài khoản Administrator chọn “Set password”.
c Enable (kích hoạt) cho Tài khoản Guest
Nhấp phải trên tài khoản Guest chọn “Properties”.
Bỏ check tại “Account is disabled”
d Tạo mới 2 tài khoản nội bộ
Nhấp phải trên mục “Users” (hoặc vùng trống trong danh sách Users) chọn “New Users”.
Nhập tên user và password (lưu ý: bỏ check “User must change password at next logon”) để
đảm bảo password vừa đặt còn giá trị sử dụng
Trang 54 Thực nghiệm chế độ “ Classic ”
a Chuyển cơ chế cấp phép truy cập vào máy tính về Classic
Mở “Local Security Policy” (trong Control Panel Administrative Tools)
Nhánh “Local Policies” “Secutity Options “
Double mục “Network Access: Sharing and Security model for local account“ lựa chọn
“Classic model”.
b Disable tài khoản Guest
c Chia sẻ 1 thư mục cho người bên cạnh truy xuất:
Nhấp phải trên thư mục muốn chia sẻ chọn “Sharing and Security”
Trong cửa sổ “Sharing”: chọn “Share this folder”
Muốn phân quyền truy cập theo từng người dùng thì chọn nút “Permissions”
Trang 6d Yêu cầu người dùng máy bên cạnh truy cập vào máy mình để xem kết quả.
Lưu ý : Nếu các máy tính phòng học đang logon bằng tài khoản Administrator với password rỗng thì sẽ không truy cập lẫn nhau được do cơ chế bảo mật “Limit local account use of blank
password to console logon” đang có hiệu lực (Enabled)
5 Thực nghiệm chế độ “ Guest Only ”
a Kích hoạt (Enable) cho tài khoản Guest trong “Local Users”.
b Chuyển cơ chế cấp phép truy cập vào máy tính về Guest Only
Mở “Local Security Policy” (trong Control Panel Administrative Tools)
Nhánh “Local Policies” “Secutity Options “
Double mục “Network Access: Sharing and Security model for local account“ lựa chọn
“Guest Only”.
c Loại bỏ tài khoản Guest ra khỏi danh sách User bị cấm truy cập vào máy tính từ mạng.
Mở “Local Security Policy” (trong Control Panel Administrative Tools)
Nhánh “Local Policies” “User Rights Assignment“
Double mục “Deny access to this computer from the network” Loại bỏ tài khoản Guest ra
khỏi danh sách này
d Chia sẻ 1 thư mục cho người bên cạnh truy xuất:
Nhấp phải trên thư mục muốn chia sẻ chọn “Sharing and Security”
Trong cửa sổ “Sharing”: chọn “Share this folder on the network”
Trang 7 Nếu muốn cho phép người dùng mạng sửa / xóa dữ liệu trong folder thì check “Allow network users to change my files”
e Yêu cầu người dùng máy bên cạnh truy cập vào máy mình để xem kết quả
Lưu ý: Windows sẽ ghi nhớ User / password khi người dùng truy cập thành công vào máy tính
nào đó Việc ghi nhớ này sẽ hủy bỏ sau khi có thao tác Logoff hoặc khởi động lại
III BÀI TẬP: Các cơ chế truy cập vào máy tính mạng Workgroup
Bài tập 1.1: Cấu hình mạng Workgroup theo yêu cầu
Mục đích:
o Thực hiện được các nhu cầu truy cập vào máy tính Windows trên mạng Workgroup
Điều kiện thực hành:
o Nhóm sinh viên sử dụng 2 máy tính chạy Windows, có nối mạng nội bộ
Yêu cầu thực hiện:
1 Cho phép 2 máy tính PING qua lại nhau
2 Cho phép máy A truy cập vào máy B mà không yêu cầu nhập User / password.
3 Cho phép máy B truy cập vào máy A bằng cách khai báo 1 tài khoản (User / password).
4 Không cho phép dùng tài khoản Aministrator để truy cập vào máy tính qua mạng.
5 Tài khoản mà A cấp cho người dùng B (để truy cập vào máy A) không được phép logon tại máy A
(Logon locally).
Bài tập 1.2: Khắc phục sự cố trong mạng Workgroup
Mục đích:
o Tạo sự cố và khắc phục sự cố trên mạng Workgroup
Điều kiện thực hành:
o Nhóm sinh viên sử dụng 2 máy tính chạy Windows, có nối mạng nội bộ
Yêu cầu thực hiện:
1 Tạo sự cố: máy A: PING được IP address của máy B Nhưng máy B không PING được IP address
của máy A.
2 Tạo sự cố: máy A truy cập vào máy B được, Nhưng máy B không truy cập vào máy A.
3 Cho phép 2 máy A, B truy cập lẫn nhau mà không yêu cầu khai báo user / password
Trang 8Phần 2: CHIA SẺ VÀ PHÂN QUYỀN TRUY CẬP TÀI NGUYÊN.
I LÝ THUYẾT.
- Tài nguyên chia sẻ trên mạng Workgroup bao gồm:
o File: các tập tin đặt trong một thư mục (folder) nào đó.
o Printer: máy in đang được kết nối vào máy tính tham gia Workgroup.
o Internet: đường truyền internet của máy tính đang tham gia Workgroup.
- Quyền truy xuất tài nguyên của người dùng lệ thuộc vào tên tài khoản mà người đó dùng truy cập vào
máy tính chia sẻ tài nguyên
- Phân quyền truy xuất tài nguyên căn cứ trên tài khoản (User name).
Sharing Permissions: Phân quyền tài nguyên chia sẻ.
- Tài nguyên trong máy tính chỉ được người dùng khác truy xuất qua mạng nếu tài nguyên đó được
chia sẻ (Sharing).
- Tài nguyên chia sẻ được phân quyền truy xuất theo tài khoản người dùng (User name).
- Quyền (Permission) chia sẻ có 3 dạng:
o Read : quyền “đọc” trên tài nguyên, bao gồm xem (View), sao chép (copy).
o Modify : quyền sửa / thay đổi nội dung tài nguyền, bao gồm cả quyền xóa (delete) tài nguyên.
o Full control : toàn quyền trên tài nguyên, bao gồm quyền Read và Modify, cộng thêm quyền thay
đổi Permission.
- Nếu Windows sử dụng cơ chế cấp phép truy cập Guest Only (cho phép người dùng từ máy khác truy cập vào máy tính mà không khai báo tài khoản): quyền truy cập tài nguyên của người dùng khác sẽ xác định trên quyền truy cập của group Everyone (mọi người)
Lưu ý : Phân quyền truy xuất tài nguyên tại Sharing Permissions chỉ có hiệu lực đối với việc truy xuất tài nguyên qua mạng (Network Access), không có hiệu lực đối với người dùng truy cập nội bộ (Logon Locally)
NTFS Permissions: Phân quyền truy cập File / Folder.
- Khi người dùng sử dụng máy tính, họ logon vào Windows bằng một tài khoản nào đó (gọi là Local Logon), người đó có thể truy cập toàn bộ Fiile / Printer trong máy tính đó.
- Đối với các File / Folder lưu trữ trên các ổ đĩa định dạng NTFS, quyền truy xuất của người dùng sẽ được áp đặt bởi NTFS Permissions.
Lưu ý : Quyền truy cập File / Folder quy định bởi NTFS Permissions sẽ có hiệu lực với mọi hình thức
truy cập (Network access hoặc Locally access)
1 Các quyền truy cập cơ bản của NTFS Permissions:
o Read and Executive : quyền “đọc” (view) và thực thi (open, executive) tập tin.
o List folder contents: liệt kê danh sách file (trong folder)
o Write : quyền tạo mới (create) file / folder, quyền “ghi đè” (overwrite) file / folder hiện hữu, không bao gồm quyền xóa (delete) tài nguyên.
o Modify: quyền write công với quyền sửa / thay đổi tên (rename) file / folder, quyền sửa / thay đổi
thuộc tính (atrribute) file / folder.
o Full control : toàn quyền trên tài nguyên, bao gồm Permissions, kể cả quyền thay đổi Permission.
2 (tham khảo thêm) Các quyền truy cập chi tiết (Special NTFS Permissions)
o Traverse folder / Executive File: quyền duyệt qua thư mục hoặc thực thi tập tin
o List Folder / Read Data: quyền xem nội dung thư mục hoặc xem nội dung file
o Read Attributes: quyền “xem” thuộc tính của File / Folder
o Create File / Write Data: quyền tạo file mới / ghi dữ liệu mới vào Folder
o Create Folder / Append Data: quyền tạo Folder mới / ghi dữ liệu mới vào File hiện hữu
o Delete Subfolder and file: quyền xóa file / folder trong thự mục ”con”
Trang 9o Delete: quyền xóa file / folder trong thự mục ”hiện tại”.
o Read Permissions: Xem phân quyền truy cập (NTFS Permissions).
o Change Permissions: Thay đổi phân quyền truy cập
o Take Ownership: quyền giành lại sở hữu tài nguyên
Các tính chất của phân quyền.
- Tính thừa kế (Inheritance): Phân quyền truy cập thiết lập tại thư mục “cha”, các file / subfolder trong
thư mục đó sẽ được thừa kế phân quyền từ thư mục cha
- Tính sở hữu cho người tạo ra tài nguyên (Creator Owner): Người dùng tạo ra File / Folder mới,
người dùng đó sẽ có toàn quyền (Full Control) trên File / Folder do mình tạo.
- (tham khảo thêm) Phạm vi áp đặt quyền truy cập (Apply onto): Khi thiết lập phân quyền NTFS cho 1
Folder, Windows cho phép người dùng đưa ra phạm vi áp đặt phân quyền:
o This folder, subfolder and files: áp đặt trên thư mục hiện tại, files và thư mục con.
o This folder only: chỉ áp đặt thư mục này.
o This folder and subfolders: chỉ áp đặt cho thư mục này và thư mục con.
o This folder and Files: áp đặt trên file tại thư mục này.
o Subfolder and Files only: chỉ áp đặt trên Files và thư mục con.
o Subfolder only: chỉ áp đặt trên thư mục con.
o Files Only: chỉ áp đặt trên files.
Quan hệ giữa “Share permissions” và “NTFS permissions”.
- Share permission: Phân quyền dành cho người dùng (mạng) truy cập tài nguyên (File / Folder /
Printer) qua mạng Workgroup Share Permission không tác dụng với người dùng truy cập nội bộ.
- NTFS permission: Phân quyền truy cập tài nguyên có hiệu lực với mọi hình thức truy cập
- Tài nguyên nếu không chia sẻ thì chỉ có người dùng local mới truy cập được tài nguyên đó
- Khi 1 tài nguyên được chia sẻ, quyền truy cập vào tài nguyên của người dùng mạng sẽ bị khống chế
bởi Share permission và NTFS permission.
- Lưu ý rằng quyền Deny (cấm) mạnh hơn quyền Allow (cho).
- Ví dụ về sự kết hợp phân quyền trên thư mục DATA của máy A:
Trường
hợp
NTFS Permissions Share Permissions User U1 truy
cập qua mạng
User U1 truy cập cục bộ.
1 User U1: allow Read User U1: allow Full Read Read
2 User U1: allow Full User U1: allow Read Read Full
3 User U1: allow Full
Everyone: deny Full User U1: allow Full Deny Deny
4 User U1: allow Full User U1: allow Full Everyone: deny Full Deny Full
Ghi chú về GROUP :
o Group (nhóm) là đói tượng cho phép ghi tên các Users hoặc Group khác làm thành viên
(member) của nhóm
o Phân quyền cho 1 nhóm nào đó => các users thành viên sẽ được thừa hưởng theo
o Group “Users ”: chứa tất cả tài khoản có tên trong danh sách Users của Windows (Local Users).
o Group “Guests”: nhóm của các tài khoản không có tên trong danh sách Users của Windows
o Group “Everyone ” = Group “Users” + Group “Guests”:
II LUYỆN TẬP (PRACTICE).
1 Phân quyền chia sẻ thư mục.
Trang 10- Chuẩn bị: (các thao tác chuẩn bị: xem lại phần I)
o Tạo mới 2 tài khoản (Local User) ABC và XYZ (các tài khoản có password)
o Tạo thư mục DATA trên C:\
o Điều chỉnh chế độ Classic
- Thao tác chia sẻ thư mục C:\DATA cho người dùng ABC truy cập đủ quyền (Full control), XYZ chỉ
được đọc (Read):
o Nhấp phải trên thư mục DATA chọn “Sharing and Security…”
o Chọn “Share this folder” (chia sẻ thư mục này)
o Chọn nút “Permissions” để phân quyền chia sẻ
o Chọn nut “Add” để hêm tài khoản ABC vào danh sách được phân quyền truy cập.
o Phân quyền cho tài khoản ABC allow “Full control”
o Tương tự: phân quyền cho tài khoản XYZ allow “Read”
- Từ máy khác, truy cập vào máy chia sẻ bằng tài khoản ABC Kiểm tra quyền truy xuất trên thư
mục chia sẻ DATA (thử tạo mới Folder, tạo mới file, copy vào DATA, xóa file,…)
- Tại máy khác, truy cập vào máy chia sẻ bằng tài khoản XYZ Kiểm tra quyền truy xuất trên thư
mục chia sẻ DATA.
- Ngay tại máy chia sẻ:
o Logoff khỏi Windows
o Logon vào Windows bằng tài khoản XYZ (tài khoản share DATA quyền Read)
o Kiểm tra quyền truy xuất trên thư mục chia sẻ DATA