Trang 41 -the bkaptech.vn domain.. Password never expires.. Ch User must change Trang 54 -- sang Tab Account.. Password never expires.. Trang 108 - Tri n khai chính sách xóa File trong
GI I THI U H U HÀNH WINDOWS SERVER 2012
Mô hình lab
Windows Server 2012 Datacenter Evaluation (Server with a GUI)
1.2.1 Yêu c u n máy Server có tên là BKAP-SRV12-01, sau
- Card 2 (VM2): 192.168.1.4/24 tên là BKAP-WRK08-Lab 1.2.3.
Mô hình lab
- off Windows Firewall (not recommended) network settings
Vào Server Manager / Local Server
NIC I và NIC II, OK
Vào Network and Sharing Center / Change adapter settings
2.1 C T DOMAIN CONTROLLER VÀ JOIN DOMAIN 2.1.1 Yêu c u
Mô hình lab
Features Wizard, Click vào Next
- t destination server, Click vào Next.
- AP-WRK08-01 vào Domain, vào This PC / Properties / Change Settings
- Trên máy Server BKAP-DC12-
Mô hình lab
- Vào Server Manager / Tools / Active Directory User and Computer
Full name: Nguyen Quoc Hung
User logon name: hungnq (@bkaptech.vn)
- hành Add User vào Group:
Enter the object names to select , (
- Add User vào Group thành công !!
- eo, Click vào Find Now
Password never expires Ch (User must change password at next logon)
Chu
Mô hình lab
BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01
Khai báo tên máy :BKAP-SRV12-01
Mô hình lab
Vào Server Manager /Add roles and features
Name (users parent domain name if blank):BKAP-SRV12-01
GROUP POLICY tri n khai các ch nh v công ngh thông tin c a các công ty, doanh nghi p
Mô hình lab
- Th c hi n trên máy BKAP-DC12-01,t vào Group
- T c wallpaper trong C ( c ch a background màn hình n n) , ti n hành chia s c
- C u hình GPO trên máy BKAP-DC12-01 :T o các chính sách trên phòng ban IT.
- Vào Server Manager / Tools / Group Policy Management
- T i c a s Group Policy Management, click chu t ph i vào OU IT, ch n Create a
- Click chu t ph i t i chính sách set wallpaper v a t o, ch n Edit
- T i c a s Group Policy Management Editor, click ch n vào User Configuration / Policies / Administrative Template / Desktop / Desktop
- Click vào Desktop Wallpaper, ch n Edit
- T i c a s Desktop Wallpaper, click vào Enable
T ng d n folder wallpaper v a share trên
Wallpaper Name : \\192.168.1.2\wallpaper\abc.jpg
- Cmd / gõ l nh gpupdate /force
- Chuy p b ng tài kho n hungnq trong phòng ban ki m tra
- Chuy n v máy BKAP-DC12-01, t o chính sách Block Registry
- Click chu t ph i t i OU IT, ch
- T i c a s New GPO, nh p vào tên Name : Block registry
- Click chu t ph i vào chính sách Block Registry v a t o, ch n Edit.
- T i c a s Group Policy Managerment Editor, ch n vào m c User Configuration / Policies / Administrative Templates / System ,ch n vào chính sách Prevent access to registry editing tools., t t ph i ch n Edit
- T i c a s Prevent access to registry editing tools , click ch n vào Enable , Apply ,
- C p nh t chính sách b ng l nh gpupdate /force trong cmd
- Chuy p b ng tài kho n hungnq trong phòng ban ki m tra
- Chuy n sang máy BKAP-DC12-01, t o thêm chính sách ch n Task Manager
Click chu t ph i t i OU IT, ch
T i c a s New GPO, nh p vào tên chính sách Name : Ch n Task Manager Click chu t ph i vào chính sách v a t o, ch n Edit
- T i c a s Group Policy Management Editor, ch n vào User Configuration / Policies n vào chính sách Remove Task Manager
- T i c a s Remove Task Manager , click vào Enable , Apply , OK
- C p nh t chính sách b ng l nh gpupdate /force trong cmd.
- Chuy n sang máy Client Win 8 ki khóa
- Chuy n v máy BKAP-DC12-01, t i OU IT, t o chính sách Block cmd
System , ch n vào chính sách Prevent access to the command prompt
- T i chính sách này, click chu t ph i ch n Edit, Enable , Apply , OK
- C p nh t chính sách b ng l nh gpupdate /force trong cmd.
- Chuy n sang máy Client Win 8 ki m tra chính sách Block cmd
4.2 GIÁM SÁT VÀ QU N LÝ T P TIN, FILE
- Máy BKAP-SRV12-01 Join vào m
Mô hình lab
BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01
- Trên máy BKAP-DC12-01, th c hi n t o OU, Group, User, add User vào Group
- Ki m tra phân gi a ch IP :
- Chuy n sang máy BKAP-SRV12-01, ti p b ng tài kho n Administrator
- Vào C c a máy SRV12-01 T c HN, t c IT và Sale
- Ti n hành chia s , phân quy c IT và Sale(xem l i bài Lab 10.1)
- Trong c a s Advanced Security Settings for IT, chuy n sang tab Auditing, t click vào Add
- T i c a s Auditing Entry for IT, click vào dòng ch xanh Select a principal
- Ch n vào dòng ch xanh Show advanced permissions
- T i c a s Advanced permissions, b ch n các quy c tích d u, ch n vào các quy n sau:
- Chuy n sang máy Domain Controller tri n khai chính sách ghi l i ho ng c a c
- Vào d ch v Active Directory User and Computer, di chuy n máy BKAP-SRV12-01 vào OU IT
- Tri n khai chính sách xóa File trong các phòng ban:
Click chu t ph i t i chính sách v a t o, ch n Edit
- Trong c a s Group policy Management Editor, click vào Compuer Configuration / Policies / Windows Settings / Security Settings / Local Policies / Audit Policy
Ch n chính sách Audit object access
Click chu t ph i t i chính sách này, ch n Properties
T i c a s Audit object access Properties, click ch n vào Define these policy settings và 2 tùy ch n Success , Failure
- S d ng l áp d ng chính sách.
- Chuy p b ng tài kho n hungnq trong phòng ban IT, truy c o File m i
- Chuy n sang máy BKAP-SRV12-01 ki m tra xóa file:
Trong c a s Event Viewer, click ch n Windows Log / Security
Click chu t ph i t i Security / ch n Filter Current Log
- T i c a s Filter Current Log , nh p vào ID 5145, ti n hành ki m tra.
4.3 CHÍNH SÁCH GPO GI I H N PH N M M
Mô hình lab
- Trên máy BKAP-DC12-01, t o OU, Group, User , Add User vào Group
- Di chuy n máy Client vào OU IT
- T i c a s Group Policy Management , t ban IT
- T o chính sách ch n ph n m m Firefox
- Click chu t ph i t i chính sách v a t o, ch n Edit
- T i c a s Group Policy Management Editor , ch n vào Computer Configuration / Policies / Windows Settings / Security Settings / Application Control Policies / Applocker
- Click chu t ph i t i Applocker ch n Properties
- T i c a s Applocker Properties / Tab Enfocement , Tích vào Configured t i Executable rules / OK
- Click vào Applocker / Executable Rules , click chu t ph i ch
Kéo con tr i lên ph n Any publisher
- T i c a s Name and Description nh p vào:
System Services , ch n vào Application Identity
- Click chu t ph i t i Application Identity, ch n Properties
- T i c a s Application Identity Properties , ch n vào Automatic
- S d ng câu l áp d ng chính sách
- Chuy p b ng tài kho n hungnq trong phòng ki m tra
Câu 1: Trình bày công quét
Câu 3: là gì? Có phân chia thành bao nhiêu
BÀI 5: s trình bày cách k t n i gi a các chi nhánh trong cùng m t công ty, i dùng truy c p vào h th ng n i b khi ngoài công ty
5.1 C U HÌNH VPN CLIENT TO SITE
Mô hình lab
BKAP-SRV12-01 BKAP-SRV12-02 BKAP-WRK08-01
- M các máy t n i theo mô hình trên
Máy BKAP-SRV12-02 có 2 Card m ng LAN và WAN
Ping thông gi a các máy k t n i tr c ti p
- Trên máy BKAP-SRV12-01, th c hi n t c Data và chia s d li u
- Chuy n sang máy server BKAP-SRV12-02, th c hi n:
- T o 1 tài kho thi t l p d ch v VPN
- Vào Server Manager / Tools / Computer Management , ch n vào Local Users and Groups /Users, click chu t ph i ch
- T i c a s New User , nh p vào tên user c n t o
- Click chu t ph i t i user v a t o, ch n Properties
- Chuy n sang tab Dial-in, t i Network Access Permission , ch n vào Allow access., Apply OK
- Th c hi t d ch v Remote Access
- Server Manager / Add Roles and Features / t i c a s Select server roles , click ch n vào d ch v Remote access
- T i c a s Select role services , click ch n vào Routing
- Th c hi n c u hình d ch v VPN Server
- Tools / Routing and Remote Access
- T i c a s Routing and Remote Access , click chu t ph i t i BKAP-SRV12-02(local) , ch n vào Configure and Enable Routing and Remote Access
- T i c a s Configuration , ch n vào Remote access (dial-up or VPN)
- T i c a s VPN Connection , click ch n vào Card m ng WAN.(m ng bên ngoài) Next
- T i c a s IP Address Assignment , ch n vào From a specified r
- T i c a s New IPv4 Address Range, nh p vào d a ch IP
- T i c a s Managing Multiple Remote Access Servers , click ch n vào No, use Routing and Remote Access to authenticate connection requests
- k t thúc quá trình c u hình d ch v VPN Server
- Chuy n qua máy client BKAP-WRK08-01 th c hi n t o k t n i VPN Client
- T i c a s Network and Sharing Center, click ch n vào Set up a new connection or network
- T i c a s Set Up a Connection or Network , click ch n vào Connect to a
- T i c a s Connect to a Workplace , click ch n vào Use my Internet connection (VPN)
- T i c a s ti p theo , ch Internet connection later
- T i c a s ti p theo, nh a ch Gateway c a m ng bên ngoài
- Click chu t ph i t i Card m ng VPN Connection v a t o, ch n Properties
- T i c a s VPN Connection Properties, chuy n sang tab Security, t i m c Type of VPN, ch n ki u giao th c k t n i VPN là Point to Point Tunneling Protocol
- Click chu t ph i t i Card m ng VPN Connection, ch n Connect / Disconnect
- Click vào Connect t i card m ng VPN Connection.
- Nh p vào tài kho n vpn v a t o
- Truy c p vào máy BKAP-SRV12- l y d li u:
5.2 C U HÌNH VPN SITE TO SITE
- Trên máy BKAP-SRV12-01 và BKAP-SRV12-
Mô hình lab
Thông DC12-01 SRV12-01 SRV12-02 WRK08-01
Máy BKAP-SRV12-01 có 2 card m ng : o VMnet2 : 192.168.1.1 o VMnet3 : 123.1.1.1
Máy BKAP-SRV12-02 có 2 card m ng : o VMnet3 : 123.1.1.101 o VMnet4 : 172.16.1.1
- Th c hi n ping thông gi a các máy k t n i tr c ti p
- Th c hi n trên máy BKAP-DC12-01, t c Data và chia s d li u
- Chuy n qua máy BKAP-SRV12-01 th c hi n :
- T o tài kho n hanoi và c p quy n truy c p t xa
- Chuy n sang máy BKAP-SRV12-02 th c hi n:
- T o tài kho n hcm và c p quy n truy c p t xa
- Chuy n sang máy BKAP-SRV12-01, th c hi t d ch v Remote Access / Routing:
- Chuy n sang máy BKAP-SRV12-02, th c hi t d ch v Remote Access / Routing:
- Chuy n sang máy server BKAP-SRV12-01 th c hi n : t o k t n i VPN t Site HANOI t i Site HCM
Vào Server Manager / Tools / Routing and Remote Access
T i c a s Routing and Remote Access , click chu t ph i t i BKAP-SRV12-01 (local) , ch n Configure and Enable Routing and Remote Access
- T i c a s Configuration , ch n vào Custom configuration
- T i c a s Custom Configuration, ch n vào VPN access và Demand-dial connections (used for branch office routing)
- Click chu t ph i t i BKAP-SRV12-01 (local) , ch n Properties
- T i c a s BKAP-SRV12-01 (local) Properties , chuy n sang tab IPv4 , click ch n p vào d a ch IP 10.0.0.10 10.0.0.50
Click chu t ph i t i Network Interface , ch n New Demand-
- T i c a s Interface Name , nh p vào tên VPN HANOI.
- T i c a s Connecton Type , ch n vào Connect using virtual private networking (VPN)
- T i c a s VPN Type ,click ch n vào Point to Point Tunneling Protocol (PPTP)
- T i c a s Destination Address , nh a ch IP gateway c a máy SRV12-01 : 123.1.1.101
- T i c a s Protocols and Security , click ch n vào Router IP packets on thí interface và Add a user account so a remote router can dial in
- T i c a s Static Routers for Remote Networks, click vào Add , t i c a s Static Route nh p vào các thông s :
- T i c a s Dial-In Credentials , nh p vào Password c a user
- T i c a s Dial-out Credentials , nh p vào User t o trên máy BKAP-SRV12-02
- Chuy n sang máy Server BKAP-SRV12-02, th c hi n t o k t n i site HCM t i site HANOI
- T i c a s Routing and Remote Access, click chu t ph i vào BKAP-SRV12-02 (local) , ch n vào Configure and Enable Routing and Remote Access
- T i c a s Configuration , ch n vào Custom configuration
- T i c a s Custom Configuration , ch n vào VPN access và Demand-dial connections (used for branch office routing)
- Click chu t ph i t i BKAP-SRV12-02 (local), ch n Properties.
- T i c a s BKAP-SRV12-02 (local) Properties , chuy n sang tab IPv4, ch n vào Static address po i c a s New IPv4 Address Range, nh p vào d a ch 11.0.0.10 11.0.0.50
- Click chu t ph i t i Network Interface , ch n New Demand-dial Interface
- T i c a s Interface Name, nh p vào tên VPN HCM
- T i c a s Connection Type , ch n vào Connect using virtual private networking (VPN)
- T i c a s VPN Type, ch n vào Point to Point Tunneling Protocol (PPTP)
- T i c a s Destination Address, nh a ch Gateway c a máy BKAP-SRV12-
- T i c a s Protocol and Security, click ch n vào c
- T i c a s Static for Remote Networks , click vào Add, t i c a s Static Route, nh p vào các thông s sau:
- T i c a s Dial-In Credentials , nh p vào Password
- T i c a s Dial-Out Credentials , nh p vào user hanoi bên máy BKAP-SRV12-01
- Click vào VPN HCM và VPN HANOI v a t o, ch n Connect
- K t n i VPN gi a HANOI và HCM thành công
- Chuy n sang máy Client Win 8, t o k t n i VPN client (xem l n máy DC12- ki m tra
- Ki m tra truy c n máy DC12-01.
Câu 1: Trình bày c u trúc c a h th ng t p tin và m c?
Câu 2: Cách b o v h th ng t p tin kh i các truy c p và c p d li u?
6.1 C U HÌNH MÃ HÓA FILE khác
- Máy Server BKAP-DC12- bkaptech.vn và cài DNS Server
- Máy Client BKAP-WRK08-01 Join vào Domain.
Mô hình lab
- M các máy o, k t n ên, th c hi n ping thông gi a các máy v i nhau
- Trên máy BKAP-DC12-01 th c hi n:
- T o OU BKAP, t o 2 user hungnq và nghialv bên trong OU BKAP
- Server Manager / Add roles and features t i Select server roles , click ch n vào Active Directory Cerfiticate Services
- T i Select role services , click ch n vào Certification Authority và Certificate Enrollment Policy Web Service
- T i c a s Installation process , click vào dòng ch Configure Active Directory Cerfiticate Services on the destination server
- T i c a s Role Services , click ch n vào Certification Authority , => Next
- Click vào Create a new private key
- T i c a s CA Name , t i m c common name for this CA , nh p vào tên BKAP-CA
- Click vào Next, t i c a s Confimation , click vào Configure
- T i c a s AD CS Configuration , click vào No
- T o 1 folder tên Data trong C ,t o 1 file txt trong folder Data, ti n hành phân quy n chia s d li u
- Click chu t ph i t i Default Domain Policy , ch
- Click vào Computer Configuration / Policies / Windows Settings / Security Settings / Public key Policies / Encrypting File System T
- Gõ l nh gpupdate /force trong cmd
- Chuy n sang máy client BKAP-WRK08-01:
- p tài kho n hungnq, truy c ki m tra
- Xin Public key cho User
T i c a s Add or Remove Snap-ins , click vào Certificates , click vào Add
- T i c a s Console 1 click chu t ph i vào Personal / All Tasks / Request New
- T i c a s Certificate Enrollment , click ch n vào Basic EFS => Enroll.
- Th c hi n mã hóa file:
- Click vào file txt / Properties
- T i c a s Advanced Attributes , click ch n vào Encrypt contents to secure data
- i n i dung file và save thành file khác
- p b ng tài kho ki b o m t c a file
- Tài kho n nghialv ko truy c c vào file do b mã hóa.
- Trên BKAP-DC12-01, th c hi n :
T o OU, Group, User theo mi n bkaptech.vn
Ki m tra phân gi i DNS
- Trên BKAP-SRV12-01, th c hi n :
T o folder Data, t o folder IT ,Sale trong folder Data
C u hình phân quy n và chia s d li u
- Trên máy BKAP-WRK08-01, th c hi n:
- Trên máy BKAP-SRV12-01 , ki m tra sau khi xóa file
- Máy BKAP-DC12-01 , qu n lý mi t o OU, Group, User
- Máy BKAP-SRV12-01 , Join vào mi n , t c và phân quy n chia s m c
- Máy BKAP-WRK08-01 , Join vào mi ki m tra xóa file.
Mô hình lab
- K t n i các máy o theo mô hình trên, th c hi n ping thông gi a các máy trong m ng
- Trên máy BKAP-DC12-01 th c hi n:
- C u hình DNS Server , ki m tra phân gi i DNS.
- T o OU , Group , User theo mô hình 11.2
- Chuy n sang máy Server BKAP-SRV12-01 , th c hi n:
- p b ng tài kho n bkaptech\administrator
- C u hình phân quy n và chia s d li u:
- Trong c a s IT Properties , click vào Advanced
- Trong c a s Advanced Security Settings for IT , click sang tab Auditing Click vào Add
- T i c a s Auditing Entry for IT , click vào Select a principal
- T i c a s n hành add vào Group GG_S_IT.
- T i c a s Auditing Entry for IT, click vào Show advanced permissions
- B ch c tích s n , ti n hành ch n vào các quy n theo hình sau:
- c IT, t o folder và file txt
- Chuy n sang máy BKAP-DC12-01 , tri n khai chính sách ghi l i ho m c:
- Vào Active Directory Users and Computers , th c hi n Move máy server BKAP-SRV12-01 vào OU IT
- Tri n khai chính sách xóa File cho các phòng ban
- Vào Group Policy Management , click vào OU HN , ch n Create a GPO in this domain
- T i c a s New GPO , nh p vào tên Bat xoa File
- Click vào chính sách v a t o, ch n Edit.
- T i c a s Group Policy Management Editor , ch n vào Computer Configuration / Policies / Windows Settings / Security Settings / Local Policies / Audit Policy Ch n vào Audit object access / Properties
- T i c a s Audit object access Properties , click vào Define these policy settings , Success / Failure
- Chuy n sang máy BKAP-SRV12-01, c p nh t chính sách.
- Chuy n sang máy Client , th c hi n:
- p b ng tài kho n hungnq trong OU IT
- Chuy n sang máy BKAP-SRV12-01, vào Tools / Event Viewer
- Click chu t ph i t i Security , ch
- Trong c a s Filter Current Log , nh p vào Event IDs 5145