Đang tải... (xem toàn văn)
Nội dung đồ án: 1 . Giới thiệu 4 2 . Kiểm tra các phiên bản hệ điều hành 4 3 . Kiểm tra cập nhật các bản vá lỗi 4 3.1. Hotfixes 4 3.2. Service packs 5 4 Windows Access Control 6 4.1. Phân quyền NTFS (NTFS Permission) 6 4.1.1. Audit account logon events 7 4.1.2. Audit account management 8 4.1.3. Audit directory service access 9 4.1.4. Audit logon events 9 4.1.5. Audit object access 9 4.1.6. Audit policy change 10 4.1.7. Audit privilege use 10 4.1.8. Audit process tracking 10 4.1.9. Audit system events 11 4.2. Enctyption (Mã hóa). 12 4.2.1. Giới thiệu 12 4.2.2. Điều kiện và thực hiện 12 4.2.3. Compression (Nén). 14 4.2.4. Transactional (Giao tiếp). 14 4.2.5. Max size (Dung lượng lớn =16TB). 14 4.3. Sử dụng DACL (Discretionary Access Control List) để phân quyền cho tập tin và thư mục. 14 4.3.1. DACL thực thi với 14 4.3.2. DACL mặc định như sau 14 4.3.2.1. Phân quyền thư mục chia sẻ (Share Folder Permission) 14 4.3.2.2. Phân quyền Registry (Registry Key Permission) 15 4.3.2.3. Đặc quyền (User Rights) 16 5. Thiết lập GPO 17 5.1. Password Policy 19 5.2. Account Lockout Policy 19 5.3. Security Options 19 5.4. Guest Account 21 5.5. Administrative Accounts 22 6 . Quản lý dịch vụ 23 6.1. Đảm bảo an toàn cho các dịch vụ 23 6.2. Cách thức vô hiệu hóa dịch vụ 23 6.3. Một số dịch vụ và cổng thực thi 23 7 Một số tiêu chí khi triển khai 33 7.1. Đối với các dịch vụ và cổng: 33 7.2. Đối với các giao thức: 33 7.3. Tài khoản và nhóm người dùng: 33 7.4. Tập tin và thư mục: 34 7.5. Tài nguyên chia sẻ: 34 7.6. Các phiên bản vá lỗi: 34 8. Làm cứng HDH 34 8.1. Hủy bỏ các dịch vụ không cần thiết, các ứng dụng, và các giao thức mạng. 34 8.2. Kiểm tra cấu hình xác thực người dùng hệ điều hành 35 8.3. Kiểm tra cài đặt và cấu hình điều khiển bảo mật bổ sung 36 8.4. Tạo bản backup cho hệ điều hành 36 9. Kiểm tra quét lỗ hổng 37
MỤC LỤC Hướng dẫn kiểm tra thiết lập an toàn máy chủ Windows Page KIỂM TRA THIẾT LẬP VÀ CẤU HÌNH AN TỒN MÁY CHỦ WINDOWS Giới thiệu Windows phần mềm nguồn đóng có quyền cơng ty Microsoft giữ kiểm sốt việc phân phối Vì lý này, Microsoft có vị trí độc quyền lĩnh vực máy tính Tất phiên hệ điều hành gần Windows dựa phát triển từ phiên Kiểm tra phiên hệ điều hành • Windows NT • Windows 2000 • Windows Server 2003 • Windows Server 2008 Kiểm tra cập nhật vá lỗi 3.1 Hotfixes Là vá lỗi nhỏ Microsoft Có thể sử dụng Active X IE để quét hotfix hệ thống chưa cập nhật cài đặt chúng Download Hotfix (http://www.microsoft.com/security) Microsoft Update (http://update.microsoft.com) Windows Update: Giống Microsoft Update, thực tự động theo lịch trình Cập nhật tự động: C:\Documents and Settings\Administrator>net start WUAUSERV Hoặc Start menu -> Programs -> All Programs -> Windows Update Hướng dẫn kiểm tra thiết lập an toàn máy chủ Windows Page Cập nhật tay: Lên trang chủ winserver download vá lỗi cài đặt http://www.microsoft.com/en-us/download/details.aspx?id=11647 3.2 Service packs Là thông tin cập nhật sản phẩm vừa cơng bố Service packs bao gồm thơng tin cập nhật độ tin cậy, tính tương thích chương trình, an tồn nhiều hệ thống Tất thông tin cập nhật nén lại để thuận tiện cho việc tải Service packs bao gồm hotfix đưa vào gói cài đặt lớn (khoảng 100Mb đến 300Mb) Download Service packs (http://www.microsoft.com/downloads) Cài đặt: Cài đặt lúc với hệ điều hành hơạc cài đặt tự động Lứu ý: Nên triển khai thử nghiệm trước Hướng dẫn kiểm tra thiết lập an toàn máy chủ Windows Page WSUS (Windows Server Update Services), WSUS Server: Tự động download hotfix Service Pack WSUS Client: Có thể download hotfix Service Pack từ WSUS Server từ Microsoft Download WSUS (http://update.microsoft.com/wsus) Khuyến cáo nên cập nhật service pack phiên nhất, cấu hình cập nhật hotfix tự động, ln theo dõi tin bảo mật vá lỗi: • • Microsoft (http://www.microsoft.com/security/) • Securityfocous (http://www.securityfocous.com/archive/) • Sans (http://www.sans.org/newsletters/) Packet Storm (http://www.packetstormsecurity.org/) Windows Access Control 4.1 Phân quyền NTFS (NTFS Permission) Việc phân quyền NTFS điều kiện Partition bạn phải format định dạng NTFS Các tính NTFS bao gồm: • Permission (Phân quyền): Tạo thư mục Share với Share Name chọn tab Share, sau Set Permission tùy theo bạn phân quyền Everyone Full Control user truy cập qua mạng với tài ngun bên có tồn quyền Tạo tab Security bạn tiến hành thêm user thiết lập quyền cho user • Auditing (Kiểm tra): Audit cấu hình: o Audit account logon events o Audit account management o Audit directory service access Hướng dẫn kiểm tra thiết lập an toàn máy chủ Windows Page o o o o o o Audit logon events Audit object access Audit policy change Audit privilege use Audit process tracking Audit system events 4.1.1 Audit account logon events - Start/ Administrator Tools/ Group Policy Management/ - Domain Controllers/right click Default Domain Controller Policy/Edit/ Computer Configuration/ Policy/ Windows Setting/ Security Setting/ Local Policy/ Audit Policy - Gpupdate/force/boot/logoff - Kiểm tra thời gian người sử dụng logging từ máy tính khác máy tính kiểm tra sử dụng để xác nhận tài khoản - Ví dụ: Người dùng đăng nhập vào máy tính Windows XP Professional, xác thực giám sát tên miền xác thực người sử dụng Hướng dẫn kiểm tra thiết lập an toàn máy chủ Windows Page - Thực thi tốt toàn giám sát tên miền kiểm tra kiện máy chủ - Start/Administrator Tools/Event Viewer 4.1.2 Audit account management - Kiểm tra kiện có liên quan đến người sử dụng quản lý tài khoản(người dùng, nhóm người dùng, máy tính) CSDL người dùng máy tính, nơi cấu hình Ví dụ kiện bao gồm: o Tạo tài khoản người dùng o Thêm người sử dụng vào nhóm o Đổi tên tài khoản người sử dụng o Thay đổi mật khẩu cho tài khoản người sử dụng - Giám sát domain, Thay đổi tài khoản domain - Mỗi server client, kiểm tra Local Security - Accounts Manager tài khoản Có đầy đủ thơng tin giám sát tên miền máy chủ kiểm tra kiện 4.1.3 Audit directory service access - Kiểm tra kiện có liên quan đến người dùng truy cập đối tượng Active Directory cầu hình để theo dõi truy cập người Hướng dẫn kiểm tra thiết lập an toàn máy chủ Windows Page dử dụng thông qua hệ thống danh sách điều khiển truy cập (SACL) đối tượng - SACL(System Access Control List) đối tượng AD xác định mục sau: o Các tài khoản(của người dùng nhóm) kiểm tra o Các loại truy cập kiểm tra, chẳng hạn đọc, tạo, sửa, o Thành công hay thất bại tiếp cận đối tượng 4.1.4 Audit logon events Kiểm tra kiện liên quan đến người sử dụng đăng nhập, đăng xuất Ví dụ: Khi người đăng nhập vào tương tác máy trạm không giám sát domain mà thực xác thực - Sự kiện logon theo doi nơi mà cố gắng đăng nhập xảy - Mục đích ghi lại kiện tồn máy tính mạng 4.1.5 Audit object access Kiểm tra kiện người dùng truy cập đối tượng Các đối tượng bao gồm: o Files o Thư mục o Máy in o Registry o Đối tượng Active Directory - Trong thực tế đối tượng có SACL bao gồm hình thức kiểm tra - Khơng phổ biến mức cấu hình có nhu cầu cụ thể để theo dõi truy cập vào tài nguyên - Thông thường kích hoạt mơi trường bảo mật cao Hướng dẫn kiểm tra thiết lập an toàn máy chủ Windows Page 4.1.6 Audit policy change o o o - Kiểm tra kiên liên quan đến thay đổi ba “chính sách” khu vực máy tính Phân quyền Kiểm tra sách Mối quan hệ tin cậy Nên cấu hình mức cho tồn máy mạng 4.1.7 Audit privilege use - Mỗi kiện có liên quan đến người dùng thực nhiệm vụ mà điều khiển quyền người dùng - Được phổ biến tốt để cấu hình mức thẩm định cho tất máy tính mạng 4.1.8 Audit process tracking - Kiểm tra kiện liên quan đến tiến trình máy tính - Ví dụ : việc kích hoạt chương trình, tiến trình, q trình, xử lý chép, đối tượng truy cập gián tiếp - Mức thẩm định tạo số kiện thường khơng cấu hình, trừ ứng dụng theo dõi cho mục đích khắc phục cố 4.1.9 Audit system events - Các kiện liên quan đến bảo mật hệ thống bảo mật đăng nhập theo dõi kiểm tra kích hoạt - Ví dụ: Khởi động lại máy tính đóng máy tính, đăng nhập xóa… Hướng dẫn kiểm tra thiết lập an toàn máy chủ Windows Page 4.2 Enctyption (Mã hóa) 4.2.1 Giới thiệu - Windows Server 2008 cung cấp xây dựng tính mã hóa tồn ổ đĩa gọi BitLocker Driver Encryption(BitLocker) để bảo vệ hệ điều hành liệu lưu trữ đĩa - BitLocker Driver Encryption cho phép bạn mã hóa tất liệu lưu trữ khối lượng hệ điều hành Windows cấu hình khối lượng liệu - Bằng cách sử dụng module Trusted Platform (TPM), giúp đảm bảo tính tồn vẹn thành phần khởi động - BitLocker lần giới thiệu Windows Vista Windows Server 2008 sau cập nhật với việc phát hành Win Windows Server 2008 R2 4.2.2 Điều kiện thực Đề BitLocker họat động ổ cứng bạn phải có partitions partition phải định dạng NTFS Khởi động máy tính đĩa cài đặt Windows Server 2008 Sau cài đặt xong Windows Server 2008, bạn vào Server Manager Chuột phải lên Features, chọn Add Features Trong hộp thoại Select Features, đánh dấu chọn vào BitLocker Drive Encryption Mở tính BitLocker Drive Encryption máy khơng có chip TPM Vào Start\Run, gõ: gpedit.msc Trong console Local Group Policy Editor, click Computer Configuration, bung dấu cộng Administrative Templates, chọn Windows Components, chọn BitLocker Drive Encryption Chuột phải vào Control Panel Setup: Enable Advanced Startup Options, chọn Properties Nhấn chọn Enable, đánh dấu check vào tùy chọn Allow BitLocker without a compatible TPM, sau nhấn OK Sau vào Start\Run, gõ Hướng dẫn kiểm tra thiết lập an toàn máy chủ Windows Page gpupdate /force Mở Control Panel, click vào mục Security Chọn BitLocker Drive Encryption Trong trang BitLocker Drive Encrytion, click vào Turn On BitLocker Trong mục Set BitLocker startup preferences, chọn Require Startup USB key at every startup (tùy chọn dành mainboard khơng có TPM) Sau đó, bạn gắn USB vào máy: o o o o Phân quyền Chọn ổ đĩa USB, nhấn Save Trong mục Save the recovery password, bạn thấy tùy chọn sau: + Save the password on a USB drive : lưu mật khẩu ổ dĩa USB + Save the password in a folder: lưu mật khẩu vào thư mục ổ đĩa mạng + Print the password: in mật khẩu o Trong mục Encrypt the volume, đánh dấu check vào Run Bitlocker system check, nhấn Continue o Nhấn Restart Now o Sau Restart xong, q trình mã hóa thực o Như kể từ đây, bạn khởi động máy, bạn phải cần đến USB chứa key giải mã Hướng dẫn kiểm tra thiết lập an tồn máy chủ Windows Page 10 • DNS Client: Dịch vụ giải đáp thiết lập đệm tên miền để hỗ trợ cho máy tính bạn sử dụng Nếu bạn khơng sử dụng Internet nên tắt dịch vụ • Error Reporting : Tự động thơng báo lỗi tính tốt lại làm phiền vơ dụng • Event Log : Bỏ Nhiệm vụ ghi lại báo cáo đơi khó hiểu (Ý kiền cá nhân: Khơng nên tắt dịch vụ tắt khơng khơng làm cho máy khởi động nhanh mà làm cho máy khởi động cực chầm.) • Fast User Switching Compatibility : Nếu bạn không dùng máy chung với nhiều người vơ hiệu hóa tăng lực cho máy nhiều • Help and Support : Sự trợ giúp điều quý báu ta gặp khó khăn • HTTP SSL: Kết nối từ client đến server thực giao thức HTTPS (HTTP + SSL) Chỉ sử dụng dịch vụ bạn chạy Web Server • Human Interface Device Access Service: Mở rộng điều khiển phím nóng thiết bị nhập Ví dụ nút bấm bàn phím Play-Next-Internet-Search Nếu bạn khơng thường dùng nó, tắt dịch vụ tận hưởng 0.85% hệ thống nhanh • IIS Admin: Cho phép bạn quản lý dịch vụ Web FTP thông qua dịch vụ Internet Information Services (IIS) Nếu bạn không dùng đến dịch vụ tắt • IMAPI CD-Burning COM Service : Thật dùng Nero ghi đĩa trực quan dịch vụ có sẵn WinXP Hướng dẫn kiểm tra thiết lập an toàn máy chủ Windows Page 24 • Indexing services: Tự động tra sóat thơng tin ổ cứng nhằm giúp ứng dụng Search windows, Office XP chạy nhanh Tuy nhiên chiếm nhiều tài nguyên thật không xứng đáng với tính họat động • IPSEC services: Nếu máy tính bạn thuộc vào lọai viễn thơng kết nối với máy khác VPN Internet Protocol Security ( IPSEC ) cần thiết Tuy nhiên tơi khơng dám mơ tưởng máy dội đến Tạm thời tắt • Logical Disk Manager : Nếu bạn muốn quản lý đĩa cứng ( bấm phải biểu tượng My Computer, chọn Manage đến Disk Management ), dịch vụ khơng thể bị vơ hiệu hóa Vì trình Disk Management phụ thuộc dịch vụ để chạy Tuy nhiên, có lẽ bạn khơng sài đến thường xun Disk Management , thiết lập sang Manual tốt • Messenger: Vào năm trước , kẻ Spammer nhận cách gửi hàng triệu Spam đến người dùng WinXP thông qua Messenger Lọai bỏ dịch vụ lựa chọn sáng suốt • MS Software Shadow Copy Provider/Volume Shadow Copy: Hỗ trợ Microsoft Backup hay trình lưu ảnh đĩa khác Một lần nữa, bạn thử qua việc tắt nó, có sai sót việc lưu khởi động lại giải vấn đề • Net Logon: Hỗ trợ việc chứng thực để đăng nhập vào máy tình thuộc miền Hướng dẫn kiểm tra thiết lập an tồn máy chủ Windows Page 25 • NetMeeting Remote Desktop Sharing : Không muốn chia sẻ với máy bạn thơng qua NetMeeting ? Khơng = Disable • Network Connections: Quản lý đối tượng kết nối mạng kết nối mạng quay số, bạn thấy mạng cục kết nối từ xa • Network DDE: Cung cấp việc truyền tải an toàn mạng cho trao đổi liệu động (Dynamic Data Exchange(DDE)) Cho chương trình chạy máy tính máy tính khác • Network Location Awareness (NLA): Tập hợp lưu trữ thông tin cấu hình vị trí mạng Đưa thơng báo thơng tin thay đổi • Network Provisioning Service: Quản lý cấu hình file XML miền sở cho mạng cung cấp tự động (XML được thiết kế để thực hiện lưu trữ liệu phát hành Web site khơng chỉ dễ dàng quản lý hơn, mà cịn có thể trình bày đẹp mắt XML cho phép người phát triển Web định nghĩa nội dung của tài liệu bằng cách tạo đuôi mở rộng theo ý người sử dụng) • Plug and Play : Bạn cần dịch vụ để nhận biết thiết bị gắn vào Pc, bên hay bên ngòai, PCI hay USB, Fire wire cần đến nó, hay đơn giản WinXP cần giao tiếp tìm kiếm lại phần cứng số lý • Print Spooler: Nếu bạn khơng dùng máy in tắt • Remote Desktop Help Session Manager : Đừng để điều khiển máy bạn bạn không muốn bị Hướng dẫn kiểm tra thiết lập an toàn máy chủ Windows Page 26 • Remote Procedure Call :Các ứng dụng phân chia cơng thức Cá thể tiến trình Khơng trình ảnh hưởng đến trình Khi phần mềm bị đứng, treo hay khơng trả lời, khơng ảnh hưởng đến tòan máy Win98 Để quản lý hết tất phần mềm cách thuận tiện, RPC dịch vụ cần thiết xếp phân vùng nhớ phát cho ứng dụng Nếu tắt gây lỗi hệ thống nghiêm trọng Vì bạn đừng làm điều • Remote Registry Service : Bạn có thích cho người dùng khác mạng máy tính thay đỗi thiết lập Registry Dịch vụ dạng bất bảo mật cho máy • Security Accounts Manager: Dịch vụ Lưu trữ thông tin bảo mật cho tài khoản người dùng tại chỗ • Security Center: Theo dõi quản lý thiết lập cấu hình an tồn hệ thống • Server: Hỗ trợ file, máy in tên dùng để chia sẻ thông tin qua mạng cho máy tính bạn sử dụng Nếu bạn khơng dùng chung mạng với nên tắt • Smart Card Smart Card Helper : Nếu bạn khơng dùng thẻ nhớ bạn biết phải làm với dịch vụ • SSDP Discovery : thành phần Universinal Plug and Play mà Silvery hat hacker nói đến Cho dù bạn tắt hay mở nó, bạn làm chung việc cho SSDP Discovery • System Restore : khứ trước bạn cài đặt driver lỗi hay phần mềm làm hại hệ thống ví dụ thực tiễn cho bạn gợi ý nên tắt ứng dụng hay khơng Tuy nhiên vơ hiệu hóa tiết kiệm cho bạn nhiều dung lượng đĩa Lưu ý Hướng dẫn kiểm tra thiết lập an toàn máy chủ Windows Page 27 bạn chọn tắt tất thiết lập lưu bị xóa hết • Task scheduler : Đơi khơng hữu dụng bạn, Có thể bạn không cần phải lập lịch dồn đĩa đêm, Task Scheduler cần thiết với người khác Tắt hay khơng tùy vào u cầu bạn có cần khơng • TCP/IP NetBIOS Helper : Là địi hỏi bình thường hệ thống mạng nội bạn dùng NetBIOS TCP/IP Tắt bạn cảm thấy khơng cần thiết Tuy nhiên khởi động lại mạng nội bạn ( chí mạng Internet ) có trục trặc liên quan đến việc tắt dịch vụ • Telephony : Bạn vơ cần - nói cách khác khơng thể thiếu bạn muốn vào Internet thơng qua phương thức quay số = Modem Nhưng kết nối ADSL, bạn thử thiết lập qua Manual để xem có lỗi xảy địi hỏi dịch vụ Nếu khơng bạn giúp máy tài nguyên hệ thống khơng • Telnet : Cho phép người dùng máy khác đăng nhập vào máy bạn chạy chương trình Nếu bạn có nghe đến việc cơng qua IP Telnet kẻ mặt tiếp tay cho giặc quậy phá máy bạn Tắt đi, trừ bạn cần cho lý • Uninterruptible Power Supply : An tịan để vơ hiệu hóa Trừ bạn có cục UPS cho máy tính • Universinal Plug and Play : Tự hỏi bạn có muốn máy kiểm tra tìm hiểu thiết bị có máy người khác mạng máy tính nội ? Có thể cần thiết bạn xài Internet Connection Sharing cho phép người ngòai hiệu Hướng dẫn kiểm tra thiết lập an toàn máy chủ Windows Page 28 chỉnh kết nối cho máy bạn Dù nữa, thật gì, bạn tắt • Webclient : Theo mô tả, dịch vụ cho phép bạn duyệt qua "Network Places" , thực chất mạng Internet Nó cho phép chương trình Windows tạo, xâm nhập thiết lập tập tin Internet Theo số thử nghiệm, bạn kết nối Internet, dịch vụ làm chậm lại máy cách bạn duyệt web Vơ hiệu hóa để nhận xem xét sai sót gây phiền cho bạn, khơng bạn tiếp tục giảm gánh nặng cho hệ thống • Windows Audio: Bạn muốn nghe tiếng - âm thỏ thẻ Pc phát từ giàn loa 480 Watts bạn nên dịch vụ khởi động bình thường Đối với nó, bạn nên vơ hiệu hóa máy khơng có sound card chip sound bo mạch • Windows Image Acquisition : Nếu đơn giản bạn khơng có Webcam hay máy Scan hình tắt dịch vụ Tuy nhiên cho dù bạn có, tắt ứng dụng khơng ảnh hưởng, tắt ( Hay thay thành Manual để thử nghiệm trước bạn thật tắt • Windows Installer : Trợ giúp cho trình cài đặt MSI phân phối liệu cho máy bạn Nhưng thật chất lúc bạn cài-cài-cài phần mềm vào máy liên tục Thay cách khởi động vào Manual giảm tối thiếu dung lượng Ram bị chiếm • Windows Management Instrumentation : Dịch vụ cho phép giao tiếp phần mềm xâm nhập dùng Hướng dẫn kiểm tra thiết lập an toàn máy chủ Windows Page 29 tính Windows diễn trọn vẹn Bản thân windows dùng đến Windows Management Instrumentation, trình khác làm, tốt bạn để họat động • Windows Time : Đồng hóa thời gian • Wireless Zero Configuration : Dùng mạng khơng dây ? phải vơ hiệu hóa • WMI Performance Adapter : Windows Management Instumentation ( WMI ) ứng dụng có ích làm chậm máy.Nếu bạn nhà thiết kế chương trình khơng cần quan tâm đến việc Ngịai bạn tắt Một số tiêu chí triển khai 7.1 Đối với dịch vụ cổng: • Các dịch vụ chạy thiết lập với tài khoản có quyền tối thiểu • Vơ hiệu hóa dịch vụ DHCP, DNS, FTP, WINS, SMTP, NNTP, Telnet dịch vụ khơng cần thiết khác khơng có nhu cầu sử dụng • Nếu ứng dụng web mở cổng 80 (và cổng 443 có SSL) 7.2 Đối với giao thức: • Vơ hiệu hóa WebDAV khơng sử dụng ứng dụng u cầu phải bảo mật • Vơ hiệu hóa NetBIOS SMB (đóng cổng 137, 138, 139, 445) Hướng dẫn kiểm tra thiết lập an toàn máy chủ Windows Page 30 7.3 Tài khoản nhóm người dùng: • Gỡ bỏ tài khoản chưa sử dụng khỏi máy chủ • Vơ hiệu hóa tài khoản Windows Guest • Đổi tên tài khoản Administrator thiết lập mật khẩu mạnh • Vơ hiệu hóa tài khoản IUSR_MACHINE khơng sử dụng ứng dụng khác • Nếu ứng dụng khác yêu cầu truy cập anonymous, thiết lập tài khoản anonymous có quyền tối thiểu • Chính sách tài khoản mật khẩu phải đảm bảo an toàn, sử dụng chế mật khẩu phức tạp (trên ký tự bao gồm: ký tự hoa, ký tự thường, ký tự đặc biệt chữ số) • Phải giới hạn Remote logons (Chức phải gỡ bỏ khỏi nhóm Everyone) • Tắt chức Null sessions (anonymous logons) 7.4 Tập tin thư mục: • Tập tin thư mục phải nằm phân vùng định dạng NTFS • Tập tin nhật ký (log) khơng nằm phân vùng NTFS hệ thống • Các nhóm Everyone bị giới hạn (khơng có quyền truy cập vào \Windows\system32) • Mọi tài khoản anonymous bị cấm quyền ghi (write) vào thư mục gốc 7.5 Tài nguyên chia sẻ: • Gỡ bỏ tất chia sẻ không sử dụng (bao gồm chia sẻ mặc định) Hướng dẫn kiểm tra thiết lập an toàn máy chủ Windows Page 31 • Các chia sẻ khác (nếu có) cần giới hạn (nhóm Everyone khơng phép truy cập) 7.6 Các phiên vá lỗi: • Cập nhật phiên • Theo dõi thơng tin cập nhật từ nhiều nguồn khác • Nên triển khai cập nhật hệ thống thử nghiệm trước cập nhật vào hệ thống thật Làm cứng HDH 8.1 Hủy bỏ dịch vụ không cần thiết, ứng dụng, giao thức mạng Ta kiểm tra vào Controll Panel / Services để tắt ứng dụng không cần thiết • Dịch vụ chia sẻ tập tin máy in(ví dụ windows network basic system input/output [NetBIOS] file and printer sharing, Network File System [NFS], FTP) • Dịch vụ mạng khơng dây • Điều khiển từ xa chương trình truy cập từ xa, đặc biệt người khơng mạnh mẽ mã hóa thơng tin lên lạc(vi du Telnet) • Dịch vụ thư mục (ví dụ LDAP, hệ thống thơng tin mạng [NIS]) • Máy chủ web dịch vụ • Dịch vụ email (ví dụ SMTP) • Ngơn ngữ trình biên dịch thư viện • Công cụ phát triển hệ thống Hướng dẫn kiểm tra thiết lập an toàn máy chủ Windows Page 32 • Hệ thống cơng cụ quản lý mạng tiện ích, bao gồm SNMP (giao thức quản lý mạng đơn giản) 8.2 Kiểm tra cấu hình xác thực người dùng hệ điều hành • Cơng cụ phát triển hệ thống • Hủy bỏ vơ hiệu hóa tài khoản khơng cần thiết: Thường mặc định hệ điều hành có tài khoản khách có khơng có mật khẩu, quản trị viên tài khoản cấp độ gốc Nên hủy bỏ tài khoản mặc định để hạn chế quyền truy cập tài khoản việc thay đổi tên, mật khẩu • Tạo nhóm thành viên định người dùng nhóm thích hợp Sau gán quyền nhóm tài liệu kế hoạch triển khai • Tạo tài khoản người dùng phép sử dụng máy tính dịch vụ Nên tạo tài khoản cần thiết • Cấu hình thời gian tự động đồng sử dụng NTP (Network Time Protocol) • Kiểm tra sách mật khẩu tổ chức: o Độ dải tối thiểu cho mật khẩu o Kết hợp ký tự cần thiết để tạo nên độ phức tạp o Thay đổi mật khẩu theo định kỳ o Mật khẩu nên bảo mật: không lưu trữ mật khẩu, không đươc mã hóa máy chủ, yêu cầu quản trị viến sử dụng mật khẩu khác cho máy chủ họ Quản lý tài khoản phải tài khoản quản lý khác họ Hướng dẫn kiểm tra thiết lập an toàn máy chủ Windows Page 33 8.3 Kiểm tra cài đặt cấu hình điều khiển bảo mật bổ sung • Phần mềm Anti-malware, chẳng hạn phần mềm chống virus, phần mềm chống phần mềm gián điệp, máy phát rootkit, bảo vệ hệ điều hành địa phương từ phần mềm độc hại để phát tiêu diệt lây nhiễm • Phát xâm nhập dựa máy chủ phần mềm phòng chống để phát công thực máy chủ, bao gồm công DoS • Bật tường lửa, bảo vệ máy chủ khỏi truy nhập trái phép • Quản lý vá lỗ hổng phần mềm để đảm bảo lỗ hổng giải kịp thời 8.4 Tạo backup cho hệ điều hành Kiểm tra quét lỗ hổng Để thực quét lỗ hổng thử nghiệm khai thác lỗ hổng ta dùng Nexpose, Nessus, Metasploit • Xác định máy chủ hoạt động mạng • Xác định hoạt động dịch vụ(cổng) máy số dễ bị tổn thương Hướng dẫn kiểm tra thiết lập an toàn máy chủ Windows Page 34 • Xác định ứng dụng • Xác định lỗ hổng liên quan đến hệ điều hành, phần mềm máy chủ ứng dụng khác • Thử nghiệm phù hợp với sử dụng ứng dụng máy chủ lưu trữ sách an ninh Hướng dẫn kiểm tra thiết lập an toàn máy chủ Windows Page 35 ... dẫn kiểm tra thiết lập an toàn máy chủ Windows Page - Thực thi tốt toàn giám sát tên miền kiểm tra kiện máy chủ - Start/Administrator Tools/Event Viewer 4.1.2 Audit account management - Kiểm tra. .. xong cần update policy gpupdate /force Hướng dẫn kiểm tra thiết lập an toàn máy chủ Windows Page 15 Hướng dẫn kiểm tra thiết lập an toàn máy chủ Windows Page 16 5.1 Password Policy Nhằm đảm bảo... Rights) User Rights thiết lập máy tính nhằm kiểm sốt xem User hoăc Group thực thao tác máy tính Hướng dẫn kiểm tra thiết lập an tồn máy chủ Windows Page 13 Hình … Những thiết lập nguy hiểm: • Act