1. Trang chủ
  2. » Công Nghệ Thông Tin

Bảo mật dịch vụ trong Windows Server 2008 (Phần 1) ppt

13 379 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 13
Dung lượng 425,5 KB

Nội dung

Bảo mật dịch vụ trong Windows Server 2008 Phần 1 in Chia sẻ Quản trị mạng - Hầu hết mọi máy chủ đang được sử dụng đều chạy một số loại dịch vụ nhất định nào đó, những dịch vụ này cấp qu

Trang 1

Bảo mật dịch vụ trong Windows Server 2008 (Phần 1)

in

Chia

sẻ

Quản trị mạng - Hầu hết mọi máy chủ đang được sử dụng đều chạy một số loại dịch vụ

nhất định nào đó, những dịch vụ này cấp quyền truy cập vào dữ liệu, tài nguyên, ứng dụng

và thực hiện một số chức năng khác của mạng và máy chủ.

Nếu những dịch vụ này không được bảo vệ thì chúng rất dễ trở thành mục tiêu của tin tặc Khi

một dịch vụ nào đó bị tấn công thì khả năng truy cập vào máy chủ và có thể là mạng đang bị đe

dọa Điều này có thể dẫn đến những hậu quả nghiêm trọng và gây tổn thất lớn

Do đó khi tung ra phiên bản Windows Server 2008, Microsoft đã bổ sung một số chức năng quản

lý dịch vụ Khi sử dụng kết hợp những công cụ quản lý dịch vụ trong một Group Policy Object,

bạn có thể an tâm vì những dịch vụ của bạn đã được bảo vệ khá an toàn

Loại dịch vụ cần được bảo mật

Dịch vụ thường ẩn chứa nhiều nguy hiểm cho hệ thống máy chủ và mạng bởi vì thực tế cho thấy

chúng luôn gây ra những lỗ hổng trên máy chủ cho người dùng, ứng dụng và nhiều máy chủ

khác truy cập vào tài nguyên Khi lỗ hổng quá lớn hay những dịch vụ không được bảo vệ, tin tặc

có thể chiếm quyền truy cập vào máy chủ đó Vì vậy việc bảo vệ dịch vụ là rất cần thiết trên hệ

thống máy chủ Làm tốt được công việc này máy chủ mới có thể ngăn chặn được những phiên

truy cập không mong muốn

Khi đánh giá mức độ cần thiết của bảo vệ dịch vụ, bạn cần phải xem xét những nguyên tắc cơ

bản mà lỗ hổng được tạo ra và xem xét những cuộc tấn công có thể thực hiện nhằm vào những

dịch vụ và những cài đặt liên quan của chúng Dưới đây là một số vùng của dịch vụ cần được

bảo vệ:

Danh sách quản lý truy cập (Access Control List).

Chế độ khởi chạy dịch vụ

Tài khoản dịch vụ

Mật khẩu tài khoản dịch vụ

Tất cả những vùng dịch vụ có liên quan tới bảo mật này giờ đây có thể được kiểm soát trong

Group Policy của Windows Server 2008 hoặc bản Windows Vista Enterprise

1 Truy cập Group Policy Objects (GPO)

Để sử dụng những cài đặt trong phần này, bạn cần phải sử dụng một trong số ứng dụng sau trong

mạng:

Windows Server 2008 Domain Controller (Trình kiểm soát miền)

Windows Vista SP1 có cài đặt Remote Server Administrative Tools (Bộ công cụ quản

trị máy chủ từ xa) và chạy trong một miền Windows Active Directory

Khi đã có hệ thống đáp ứng yêu cầu trên, bạn hãy sử dụng Group Policy Management Console

Trang 2

(GPMC) để quản lý và hiệu chỉnh GPO từ hệ thống đó Bạn sẽ không thể thấy những cài đặt mới

từ một hệ thống khác không đáp ứng các tiêu chí trên

2 Access Control List

Để kiểm soát Access Control List , bạn sẽ cần sử dụng mục Services của một GPO trong

Computer Configuration\Policies\Windows Settings\Security Settings\System Services.

Hình 1: Sử dụng System Services Policy để kiểm soát

Access Control List.

Để sử dụng chính sách này, bạn hãy tìm đến dịch vụ muốn quản lý trong danh sách ở bảng bên phải và lựa chọn nó Khi phải chuột lên tên dịch vụ đó, bạn sẽ có thể hiệu chỉnh những thuộc tính

cho dịch vụ đó Khi hiệu chỉnh thuộc tính bạn sẽ thấy một hộp thoại thuộc tính Properties.

Trang 3

Hình 2: Hộp thoại System Services Properties.

Để thay đổi Access Control List cho dịch vụ đó, lựa chọn hộp chọn Define this policy setting sau đó click vào nút Edit Security Sau khi click nút này, bạn sẽ thấy một hộp thoại Security

for Windows Event Collector.

Trang 4

Hình 3: Hộp thoại Security quản lý Access Control List.

Chú ý rằng bạn có một số cấp phép chuẩn cài đặt cho dịch vụ, bao gồm:

Full Control: Kiểm soát đầy đủ.

Read: Chỉ đọc

Start, stop and pause: Khởi chạy, tắt và tạm dừng.

Write: Ghi.

Delete: Xóa.

Bạn có thể click vào nút Advanced để tạo một danh sách cấp phép riêng cho mỗi dịch vụ Bạn

có thể lựa chọn ra những cấp phép trong 14 cấp phép bảo mật chi tiết

3 Chế độ khởi động dịch vụ

Chế độ khởi động dịch vụ rất quan trọng đối với những dich vụ không thể hay không muốn cái đặt, nhưng bạn lại muốn chắc chắn rằng chúng sẽ không khởi chạy khi hệ thống khởi động Có

ba cấp độ trong chế độ khởi động dịch vụ, gồm có:

Automatic: Tự động khởi chạy.

Manual: Khởi chạy thủ công.

Trang 5

Disabled: Hủy chế độ khởi chạy.

Chế độ Automatic và Manual có thể khởi chạy dịch vụ vào bất kì thời điểm nào tùy thuộc vào

những cài đặt của dịch vụ đó Hai chế độ khởi động này cho phép khởi chạy dịch vụ bằng một cuộc gọi tới dịch vụ

Tuy nhiên, khi một dịch vụ được cài đặt chế độ Disabled, thì nó sẽ không thể khỏi chạy theo chế

độ Automatic hay Manual Do đó bạn có thể sử dụng chế độ này để chặn máy chủ khởi chạy dịch vụ cho đến khi một admin kích hoạt lại nó Sử dụng chế độ khởi động này cùng với Access

Control List là một sự kết hợp khá mạnh vì quá trình phân quyền có thể giới hạn quyền khởi

chạy hay thay đổi dịch vụ

Bạn có thể quản lý chế độ khởi động trong chính sách tương tự khi thao tác với Access Control

List (Hình 2 ở trên minh họa ba tùy chọn của chế độ khởi động).

4 Tài khoản dịch vụ

Nhiều dịch vụ yêu cầu phải đăng nhập trước khi sử dụng Đó là vì tài khoản này không chỉ cho phép truy cập vào hệ thống nơi nơi dịch vụ đang chạy mà còn có thể truy cập vào những hệ

thống khác trong mạng Trong những trường hợp này tài khoản Network Service hay Local

System sẽ không hoạt động.

Trước đây, quá trình cấu hình dịch vụ phải được thực hiện trên hệ thống chứa dịch vụ đang chạy

Giờ đây, với Group Policy Preferences, bạn có thể kiểm soát tài khoản dịch vụ nào được sử dụng từ Active Directory kèm Group Policy.

Cài đặt bạn muốn thực hiện cấu hình được lưu trữ trong Computer

Configuration\Preferences\Control Panel Settings\Services.

Trang 6

Hình 4: Sử dụng Group Policy Preferences để cấu hình tên tài khoản

dịch vụ.

Để cấu hình cho một chính sách thực hiện quản lý dịch vụ, bạn chỉ cần phải chuột lên Services chọn New Service Sau đó bạn có thể lựa chọn dịch vụ muốn cấu hình từ hộp thoại Services.

Trang 7

Hình 5: Hộp thoại chính sách Group Policy Preferences.

Bạn có thể duyệt tìm và lựa chọn dịch vụ muôn quản lý trong danh sách khi click vào nút bên

cạnh trường Service name Sau khi đã lựa chọn dịch vụ, click chọn radio This account và tìm tài khoản dịch vụ mà bạn muốn sử dụng từ Active Directory Khi thực hiện xong các thao tác

trên là bạn đã hoàn thành cấu hình tài khoản cho dịch vụ trên mỗi hệ thống dưới sự quản lý của GPO có chứa chính sách cài đặt

5 Mật khẩu tài khoản dịch vụ

Trong phần trên chúng ta chỉ thực hiện cấu hình tài khoản dịch vụ, nhưng trên hình 5 bạn cũng

có thể thấy chúng ta có thể thực hiện tạo mật khẩu tại đó Đây là một cài đặt rất mạnh, vì trước đây bạn chỉ có thể thực hiện thao tác này trên máy tính chứa dịch vụ đang chạy hay sử dụng một công cụ quản trị từ xa để kết nối tới máy chủ đó

Sử dụng chính sách Group Policy Preferences bạn có thể đảm bảo rằng tài khoản dịch vụ được

cài đặt trong dịch vụ có một mật khẩu chính xác với mật khẩu mà bạn đã tạo trong cơ sở dữ liệu

Active Directory cho tài khoản đó Điều này đồng nghĩa với việc khi thực hiện tạo lại mật khẩu

cho dịch vụ trong Active Directory bạn chỉ cần cập nhật chính sách này và mật khẩu cho tài

khoản để những mật khẩu này đồng bộ hóa với nhau

Trang 8

Hình 6: Sử dụng GPO để đồng bộ hóa mật khẩu tài khoản dịch

vụ với Active Directory.

Nhờ có những công cụ quản lý mới được tích hợp trong Windows Server 2008 và Vista, những

dịch vụ trên mạng của bạn giờ đây đã được bảo vệ khá an toàn Bảo mật dịch vụ là một nhiệm vụ thiết yếu vì những dịch vụ này cung cấp cổng truy cập vào máy chủ và những dữ liệu quan trong

được lưa trữ trên máy chủ Bảo mật có thể được thực hiện qua việc kiểm soát phân quyền, chế độ khởi chạy, tài khoản và mật khẩu dịch vụ Bằng việc sử dụng những cài đặt Group Policy tronmg miền Active Directory bạn có thể bảo vệ được mọi loại dịch vụ đang chạy trên máy chủ trong

miền

Bảo mật dịch vụ trong Windows Server 2008 (Phần 2)

Bản in

Chia

sẻ

Trang 9

Quản trị mạng - Trong phần trước chúng ta đã đề

cập đến phương pháp bảo mật dịch vụ bằng Group Policy và Group Policy Preferences

Những cài đặt của hai loại Group Policy này cho phép quản lý bảo mật dịch vụ theo nhiều phương pháp khác nhau

Phần này sẽ đi sâu vào những cài đặt bảo mật này để cung cấp cho bạn nhiều quyền kiểm soát hơn nữa với những tài khoản dịch vụ cũng như quá trình cập nhật dịch vụ và các tài khoản của những dịch vụ này Việc đảm bảo các ứng dụng mạng cũng như các ứng dụng bảo mật mạng luôn vận hành tốt là công việc rất quan trọng của người quản trị mạng và người chuyên trách bảo mật, nhưng để những ứng dụng này có được sự cân bằng cần thiết cần đến một vài thủ thuật nhỏ Bài viết này sẽ hỗ trợ cho các bạn phương pháp quản lý dịch vụ, tài khoản dịch vụ và các ứng dụng trong Windows Server 2008

Bảo vệ tài khoản dịch vụ

Tài khoản dịch vụ thường được nhiều dịch vụ sử dụng để thực hiện những thao tác trên hệ thống nơi mà dịch vụ đó được cài đặt, hay kết nối đến những nguồn tài nguyên mạng khác để thực hiện một tác vụ nào đó Và mỗi một tài khoản dịch vụ lại có một cấu hình và thẩm quyền khác nhau Trong nhiều trường hợp, những tài khoản dịch vụ được phân quyền quản trị ở vài mức độ nhất định Hầu hết các dịch vụ được sử dụng để hỗ trợ mạng người dùng thì những tài khoản của

chúng nói chung đều thuộc nhóm Domain Admin trong Active Directory Và trong một số tình huống, những tài khoản này lại là thành viên nhóm Enterprise Admin, khi đó chúng được phân

quyền cao hơn cho một dịch vụ và tài khoản của những dịch vụ này Tuy nhiên, tùy thuộc vào từng dịch vụ mà đây có thể là một cấu hình bắt buộc

Khi tài khoản dịch vụ được sử dụng với với nhiều quyền hơn trong khi cài đặt và lên cấu hình, thì những tài khoản này phải tuyệt đối bảo mật Để đảm bảo bảo mật cho những tài khoản này, người quản trị phải thiết lập thêm các biện pháp với mỗi và mọi tài khoản dịch vụ Những biện pháp này không quá phức tạp nhưng bạn phải áp dụng chúng để đảm bảo rằng những tài khoản này được bảo vệ, quản lý và giám sát chặt chẽ để chống lại mọi hành động phá hoại

Những biện pháp cần áp dụng để bảo vệ tài khoản dịch vụ bao gồm:

Cấu hình giới hạn khả năng đăng nhập vào trạm làm việc đối với tài khoản người dùng dịch vụ.

Đặt thời hạn cho mật khẩu và thường xuyên thiết lập lại.

Giới hạn truy cập trạm làm việc

Mọi tài khoản người dùng được khởi tạo và lưu trữ trong Active Directory đều có thể bị giới

hạn đối với những hệ thống mà chúng có thể đăng nhập vào Ít khi bạn giới hạn một tài khoản người dùng chuẩn chỉ đăng nhập được vào vài trạm làm việc, nhưng trong một số tình huống thì điều này cũng có thể xảy ra do tài khoản dịch vụ bị giới hạn về số lượng hệ thống cần đăng nhập Nếu một tài khoản đang được một người dùng chuẩn sử dụng hay đăng nhập vào nhiều hệ thống ngoài hệ thống đang sử dụng dịch vụ đó thì đây là một vấn đề bảo mật đáng lo ngại Do

đó, việc cấu hình tài khoản dịch vụ chỉ có thể đăng nhập vào những hệ thống chứa dịch vụ đó là một biện pháp bảo mật khá hiệu quả

Trang 10

Cài đặt giới hạn cho trạm làm việc (bao gồm cả máy trạm và máy chủ) nằm trong User

Properties của Active Directory Users and Computers Phải chuột vào tài khoản người dùng

(có chức năng như tài khoản dịch vụ) chọn Properties Hộp thoại User Properties sẽ xuất hiện, tại đây chọn tab Account bạn sẽ thấy nút Log On To.

Hình 1: Giới hạn tài khoản người dùng đăng nhập vào trạm làm

việc trong hộp thoại User Properties.

Khi lựa chọn nút Workstation, bạn sẽ thấy một hộp thoại khác xuất hiện với danh sách trạm

làm việc Tại đây, bạn chỉ cần nhập tên của những máy chủ nơi dịch vụ được cấu hình hỗ trợ cho dịch vụ đang chạy trên máy chủ đó Hình 2 minh họa ví dụ tài khoản của một dịch vụ hỗ trợ cho ứng dụng HR, và dịch vụ đó chạy trên ba máy chủ HR khác nhau

Trang 11

Hình 2: Hộp thoại Workstation cho phép nhập tên của

máy chủ.

Với cấu hình này, tài khoản dich vụ đó chỉ được cho phép đăng nhập vào ba máy chủ trong danh sách Có nghĩa là tài khoản đó sẽ không được đăng nhập vào bất kì máy chủ nào khác trên mạng

Giới hạn hiệu lực mật khẩu và thiết lập lại mật khẩu

Viêc tạo thời hạn cho cho mật khẩu đã từng trở thành một vấn đề thảo luận khá nhiều Trong đó xuất hiện nhiều ý kiếm phản đối hơn đồng tình với nhiều lí lẽ được đưa ra

Nhưng với công nghệ hiện nay, mật khẩu tài khoản dịch vụ có thể được thiết lập thời hạn sử dụng và xác lập lại một các dễ dàng Quá trình này chỉ gói gọn trong bốn bước đơn giản sau:

Bước 1: Cấu hình cho tài khoản dịch vụ một mật khẩu hết hiệu lực.

Trong hình 1 ở trên, có một tùy chọn cho mật khẩu không bao giờ hết hiệu lực ở phía cuối của hộp thoại Bạn cần phải bỏ chọn tùy chọn này Khi bỏ chọn tùy chọn này thì tài khoản dịch vụ sẽ được bổ sung vào chính sách mật khẩu cho toàn miền với thời hạn mật khẩu này hết hiệu lực Windows Server 2003 và Windows Server 2008 mặc định ngày hết hiệu lực mật khẩu là 42 ngày Có nghĩa là bạn sẽ phải xác lập lại mật khẩu cho dịch vụ mỗi tháng một lần

Bước 2: Xác lập lại mật khẩu cho tài khoản

Trong ADUC bạn hãy lựa chọn đối tượng tài khoản dịch vụ rồi phải chuột lên nó Trong menu chuột phải (hay menu ngữ cảnh) có một tùy chọn Reset Password Click chọn tùy chọn này bạn

sẽ thấy hộp thoại Reset Password xuất hiện, tại đây hãy nhập mật khẩu mới cho tài khoản.

Trang 12

Lưu ý: Không được click chọn hộp chọn User must change password at next logon (người dùng

phải thay đổi mật khẩu trong lần đăng nhập tới), bởi vì nếu chọn tùy chọn này sẽ gây ra một vấn đề lớn đó là tài khoản dịch vụ sẽ không cập nhật được mật khẩu của tài khoản đó vì nó chỉ được cấu hình thông qua dịch vụ.

Hình 3: Hôp thoại Reset Password cho tài khoản dịch vụ.

Bước 3: Áp dụng cài đặt Group Policy Preferences cho dịch vụ.

Đây là một cài đặt mới chỉ xuất hiện khi bạn hiệu chỉnh GPO từ hệ thống Windows Server 2008

hay Windows Vista SP1 (khi đã cài đặt RSAT) Cài đặt mới này nằm trong Computer

Configuration\Preferences\Control Panel Settings\Services Trong hộp thoại New Service Properties bạn sẽ phải nhập chính xác tên tài khoản dịch vụ và mật khẩu mới Bạn chỉ cần nhập

mật khẩu tại đây và như vậy là bạn đã nhập vào ADUC cho tài khoản người dùng và mọi hệ thống được hướng vào GPO sẽ nhận được mật khẩu mới của tài khoản dịch vụ

Trang 13

Hình 4: Những cài đặt Group Policy Preferences Services có

thể xác lập lại mật khẩu cho dịch vụ đang chạy trên hệ thống

đích.

Bước 4: Cập nhật tiến trình GPO ngay khi có thể

Bạn có thể vào mỗi máy chủ và khởi chạy tiện ích GPUPDATE, nhưng bạn sẽ phải mất thời

gian chờ đợi và máy chủ có thể không thể khởi chạy Bạn có thể sử dụng một công cụ khác

trong Special Operations Software (SOS) có tên GPUPDATE, trùng tên với tiện ích sẵn có

nhưng phương pháp vận hành lại hoàn toàn khác nhau Đây là một sự thay thế snap-in cho ADUC cho phép quản trị viên refesh nền của Group Policy từ một trình quản lý miền Tiện ích

GPUPDATE trong SOS có thể cập nhật mọi hệ thống trong miền, trong một OU, hay một hệ

thống riêng lẻ Bạn có thể tải công cụ này tại đây

Tóm lại, tài khoản dịch vụ được đặc trưng bởi quá trình phân quyền, rất ít khi được kiểm soát và rất ít khi được xác lập lại mật khẩu Điều này có thể tạo điều kiện cho tin tặc tấn công Và không

có lí do gì để cho phép một tài khoản dịch vụ đăng nhập vào bất kì hệ thống nào trong miền Do

đó, thực hiện các thao tác trên là bạn đã có thể bảo vệ được máy chủ, mạng và mọi hệ thống trong miền

Ngày đăng: 04/07/2014, 16:21

HÌNH ẢNH LIÊN QUAN

Hình 1: Sử dụng System Services Policy để kiểm soát - Bảo mật dịch vụ trong Windows Server 2008 (Phần 1) ppt
Hình 1 Sử dụng System Services Policy để kiểm soát (Trang 2)
Hình 2: Hộp thoại System Services Properties. - Bảo mật dịch vụ trong Windows Server 2008 (Phần 1) ppt
Hình 2 Hộp thoại System Services Properties (Trang 3)
Hình 3: Hộp thoại Security quản lý Access Control List. - Bảo mật dịch vụ trong Windows Server 2008 (Phần 1) ppt
Hình 3 Hộp thoại Security quản lý Access Control List (Trang 4)
Hình 4: Sử dụng Group Policy Preferences để cấu hình tên tài khoản - Bảo mật dịch vụ trong Windows Server 2008 (Phần 1) ppt
Hình 4 Sử dụng Group Policy Preferences để cấu hình tên tài khoản (Trang 6)
Hình 5: Hộp thoại chính sách Group Policy Preferences. - Bảo mật dịch vụ trong Windows Server 2008 (Phần 1) ppt
Hình 5 Hộp thoại chính sách Group Policy Preferences (Trang 7)
Hình 6: Sử dụng GPO để đồng bộ hóa mật khẩu tài khoản dịch - Bảo mật dịch vụ trong Windows Server 2008 (Phần 1) ppt
Hình 6 Sử dụng GPO để đồng bộ hóa mật khẩu tài khoản dịch (Trang 8)
Hình 1: Giới hạn tài khoản người dùng đăng nhập vào trạm làm - Bảo mật dịch vụ trong Windows Server 2008 (Phần 1) ppt
Hình 1 Giới hạn tài khoản người dùng đăng nhập vào trạm làm (Trang 10)
Hình 2: Hộp thoại Workstation cho phép nhập tên của - Bảo mật dịch vụ trong Windows Server 2008 (Phần 1) ppt
Hình 2 Hộp thoại Workstation cho phép nhập tên của (Trang 11)
Hình 3: Hôp thoại Reset Password cho tài khoản dịch vụ. - Bảo mật dịch vụ trong Windows Server 2008 (Phần 1) ppt
Hình 3 Hôp thoại Reset Password cho tài khoản dịch vụ (Trang 12)

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w