Bài giảng 70 290 mcse guide to managing a microsoft windows server 2003 environment chương 14 ths trần bá nhiệm (biên soạn)

Trang 1 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 EnvironmentChương 14: Trang 2 Mục tiêu• Xác định các phần tử và kỹ thuật khác nhau dùng để bảo mật hệ thống Window

Trang 1

70-290: MCSE Guide to Managing

a Microsoft Windows Server 2003

Environment

Chương 14:

Các đặc tính bảo mật trong

Windows Server 2003

Trang 2

Mục tiêu

• Xác định các phần tử và kỹ thuật khác nhau dùng

để bảo mật hệ thống Windows Server 2003

• Dùng các công cụ Security Configuration and

Analysis để cấu hình và rà soát các thiết lập bảo mật

• Kiểm toán truy vập vào các tài nguyên và xem lại các thiết lập Security log

Trang 3

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Security policies (Các chính sách bảo mật)

• Service packs & hot fixes

Trang 4

• Trong 1 môi trường domain, 1 chứng thực có thể cung cấp quyền truy cập đến nhiều domain và forest

• Các phương pháp chứng thực bổ sung có thể áp dụng với các dịch vụ khác (như IIS)

Trang 5

5

Điều khiển truy cập

• Điều khiển truy cập dùng để bảo mật các tài

nguyên như file, thư mục, máy in

• Các kiểu khác của điều khiển truy cập là các

quyền NTFS, thư mục chia sẻ, máy in và các

quyền trên đối tượng AD khác

• Nguyên lý “cấp ít quyền nhất” ngụ ý là các user chỉ nên có quyền truy cập những cái gì họ cần

Trang 6

Bảo mật

• Các file bí mật lưu trên các NTFS volumn có thể

mã hóa dùng EFS

• EFS dùng kết hợp khóa công cộng và khóa riêng

• Giao thức IPSec mã hóa nội dung của các gói tin gửi qua mạng dùng TCP/IP

• 2 chế độ IPSec: transport & tunnel

• IPSec gây khó khăn cho các hacker muốn can

thiệp vào dữ liệu mạng nhạy cảm

Trang 7

• Windows Server 2003 có một số công cụ phân

tích chính sách bảo mật so với các mẫu có sẵn

• Security Configuration and Analysis MMC snap-in

• Ứng dụng dòng lệnh SECEDIT

Trang 8

Service Packs & Hot Fixes

• Nhiều bản cập nhật và patch quan trọng liên quan đến bảo mật

• Các Hot fix cũng giúp xác định 1 số vấn đề đặc biệt

• Chúng có thể tải và cài đặt từ Microsoft

• SUS có thể hỗ trợ tự động quản lý các bản cập

nhật

Trang 9

9

Dùng các công cụ Security

Configuration Manager

• Windows Server 2003 cung cấp các công cụ thiết

kế đặc biệt giúp cấu hình và quản lý các thiết lập bảo mật (Security Configuration Manager)

• Những công cụ này cùng với các chính sách

Group có thể dùng để cài đặt mẫu Security Policy

Trang 10

Dùng các công cụ Security

Configuration Manager (tt)

• Công cụ Security Configuration and Analysis sẽ

so sánh mẫu bảo mật với các thiết lập đã làm

• Công cụ Security Configuration and Analysis

gồm:

• Các mẫu bảo mật

• Các mẫu bảo mật trong các đối tượng GP

• Công cụ Security Configuration and Analysis

• Lệnh SECEDIT

Trang 11

11

Các mẫu bảo mật

• Các mẫu giúp bảo đảm thống nhất và dễ dàng bảo trì trên nhiều máy

• Các mẫu là các file văn bản

• Nhưng không dùng trình soạn thảo văn bản bình

thường để chỉnh sửa

• Có 1 số mẫu thiết kế sẵn

Trang 12

Các mẫu bảo mật (tt)

Trang 13

13

Thực tập 14-1:Xem các mẫu

bảo mật

• Mục tiêu: Làm quen với 1 số mẫu bảo mật có sẵn

• Start  Run  type mmc  OK  File 

Add/Remove Snap-in  Add

• Tìm và xem các mẫu có sẵn như chỉ dẫn

• Xem các chính sách liên hệ với các mẫu

Trang 14

Phân tích các mẫu bảo mật

• Chỉ có Windows Server 2003, Windows XP,

Windows 2000 là dùng được mẫu thiết kế sẵn

Trang 15

15

Default Template

• Mẫu Setup Security.inf chứa các thiết lập bảo

mật mặc định

• Nội dung phụ thuộc cấu hình nguyên thủy của

máy tính (cài mới, nâng cấp…)

• Cho phép administrator trả về thiết lập trước đó dễ dàng

• Không nên áp dụng khi dùng GP

Trang 16

Incremental Templates

• Sửa đổi cải tiến các cấu hình bảo mật

• Chỉ có thể áp dụng dựa trên cấu hình mặc định bởi

vì chúng không xác lập cấu hình cơ bản

• Các mẫu gồm: compatws.inf, securews.inf,

securedc.inf, hisecws.inf, hisecdc.inf, iesacls.inf,

dc security.inf, rootsec.inf

• Cũng có thể tạo mẫu tùy biến

Trang 17

Trang 18

Áp dụng các mẫu bảo mật (tt)

Trang 19

Trang 20

Thực tập 14-3: Áp dụng các thiết lập mẫu bảo mật cho các

• Import vào mẫu đã tạo trước đó

• Kiểm tra lại các thiết lập

Trang 21

• Việc so sánh sẽ xác định các thay đổi và những sự yếu kém tiềm ẩn

• Có thể so sánh nhiều mẫu 1 lần

• Có thể kết hợp và lưu giữ

• Các thay đổi có thể tạo trực tiếp trong snap-in

bằng cách chọn cấu hình mong muốn

Trang 22

Security Configuration and

Analysis (tt)

Trang 23

23

Thực tập 14-2: Tạo 1 mẫu bảo

mật (tt)

Trang 24

Thực tập 14-4: Phân tích các thiết

lập bảo mật dùng Security Configuration and Analysis

• Mở Security Configuration and Analysis snap-in

Trang 25

70-290: MCSE Guide to Managing a Microsoft

Windows Server 2003 Environment

25

Thực tập 14-4 (tt)

Trang 27

27

Kiểm toán truy cập tài nguyên

& phân tích báo cáo bảo mật

• Kiểm toán được dùng để theo dõi các sự kiện trên mạng

• Một chính sách kiểm toán định nghĩa sự kiện nào

sẽ được ghi lại

• Và ghi thành công hay không cũng được ghi nhận

• Các sự kiện đã kiểm toán được ghi vào báo cáo

bảo mật, có thể xem được qua Event Viewer

Trang 28

Thực tập 14-5: Khảo sát các thiết lập kiểm toán mặc định

• Objective: to explore the auditing settings of the default domain controller GPO

• Mục tiêu: Khảo sát các thiết lập kiểm toán của GPO mặc định

• Mở trang Properties của Domain Controllers OU trong

Active Directory Users and Computers

• Sửa chữa Default Domain Controllers Policy trong thẻ

Group Policy theo chỉ dẫn

• Mở nút Audit Policy và xem các thiết lập chính sách khác

Trang 29

70-290: MCSE Guide to Managing a Microsoft

Windows Server 2003 Environment

29

Trang 30

Trang 31

31

Cấu hình kiểm toán

• Vai trò của máy tính trên mạng ảnh hưởng cách

cấu hình chính sách kiểm toán như thế nào

• Với các server thành viên hoặc các workstation

• Các chính sách kiểm toán được hiện thực dùng các

GPO gán cho domain hoặc các OU

• Với các DC

• Các chính sách kiểm toán được hiện thực thông qua

Default Domain Controllers Policy áp dụng cho

Domain Controllers OU

• Với các workstations & servers độc lập

• Các chính sách kiểm toán được định nghĩa dùng công

cụ Local Security Policy

Trang 32

Những yêu cầu và cấu hình 1

kiểm toán

• Yêu cầu:

• Phải có quyền thích hợp (Administrators Group /

Manage auditing and security log user)

• Kiểm toán file, thư mục chỉ có thể thực hiện trên các NTFS volum

• Cấu hình 1 chính sách bảo mật

• Cấu hình kiểm toán dựa trên các sự kiện đã kiểm soát

và nbaijxayr ra việc đăng nhập thành công/thất bại

• Cấu hình kiểm toán dựa trên các đối tượng tài nguyên

Trang 33

33

Cấu hình 1 chính sách kiểm

toán (tt)

Trang 34

Thực tập 14-6: Cấu hình và kiểm tra các thiết lập chính

sách kiểm toán

• Mục tiêu: Làm quen với việc thay đổi và kiểm tra lại cấu hình các thiết lập chính sách kiểm toán

• Mở Default Domain Controllers Policy GPO

• Cấu hình lại theo y/c

• Refresh lại các thiết lập GP thủ công

• Kiểm tra các thiết lập mới và xem kết quả dùng Event Viewer

Trang 35

35

Kiểm toán truy cập các đối tượng

• Có thể kiểm soát các lần thử truy cập và thành

công các file và thư mục trên các NTFS volumn

• Chú ý: điều này có thể sinh ra 1 số lượng lớn các

sự kiện được báo cáo

• Kiểm toán các đối tượng được cấu hình thông qua Advanced Security Settings của tài nguyên

• Kiểm toán cũng có thể thực hiện với các đối tượng AD

Trang 36

Kiểm toán truy cập các đối

tượng (tt)

Trang 37

• Cấu hình các thiết lập kiểm toán cho thư mục đó

• Kiểm tra lại các thiết lập kiểm toán và quyền bằng cách thử truy cập và xóa thư mục

• Dùng Event Viewer để kiểm tra kiểm toán chính xác

Trang 38

Trang 39

• Xem lại toàn bộ các báo cáo

• Kiểm toán thông tin nhạy cảm và bí mật

• Kiểm toán Everyone group

• Kiểm toán gán quyền cho các user

• Kiểm toán Administrators group

Trang 40

Phân tích các báo cáo bảo mật

• Với mỗi sự kiện định nghĩa trong chính sách, một dòng được ghi vào báo cáo Security nếu sự kiện xảy ra

• Dùng Event Viewer để xem báo cáo Security

• Báo cáo cung cấp tổng thể ngày giờ của mỗi sự

kiện và user nào thực thi

• Có nhiều chi tiết hơn nếu double-clicking vào

dòng đó

• Event Viewer cung cấp tùy chọn tìm và lọc để hỗ

Trang 41

41

(tt)

Trang 42

(tt)

Trang 43

43

Thực tập 14-8: Cấu hình các đặc tính Event Viewer Log

• Dùng Event Viewer để xem báo cáo Security cục bộ

• Dùng tính năng Find để tìm kiểu chỉ định của sự kiện theo y/c

• Tiếp theo dùng tính năng Filter để quản lý báo

cáo, hiển thị chỉ những sự kiện nào phù hợp tiêu chuẩn

• Hiển thị lại toàn bộ các bản ghi trong báo cáo

Trang 44

Tổng kết

• Windows Server 2003 đưa ra 1 số tính năng liên quan bảo mật thành 5 loại: authentication, access control, encryption, security policies, service

packs and hot fixes

• Windows Server 2003 đưa ra 1 gói các công cụ Security Configuration Manager

• Các mẫu bảo mật, thiết lập bảo mật trong các GPO, các công cụ cấu hình và phân tích bảo mật, lệnh SECEDIT

Trang 45

• Các tài nguyên và các đối tượng đặc biệt có thể

cấu hình để kiểm toán

• 1 Security log chứa 1 bản ghi cho sự kiện được

kiểm toán

• Dùng Event Viewer để xem lại các Security log

Định dạng
Số trang	45
Dung lượng	2,19 MB