Bảo mật dịch vụ trong Windows Server 2008 Phần 1 in Chia sẻ Quản trị mạng - Hầu hết mọi máy chủ đang được sử dụng đều chạy một số loại dịch vụ nhất định nào đó, những dịch vụ này cấp qu
Trang 1Bảo mật dịch vụ trong Windows Server 2008 (Phần 1)
in
Chia
sẻ
Quản trị mạng - Hầu hết mọi máy chủ đang được sử dụng đều chạy một số loại dịch vụ
nhất định nào đó, những dịch vụ này cấp quyền truy cập vào dữ liệu, tài nguyên, ứng dụng
và thực hiện một số chức năng khác của mạng và máy chủ.
Nếu những dịch vụ này không được bảo vệ thì chúng rất dễ trở thành mục tiêu của tin tặc Khi
một dịch vụ nào đó bị tấn công thì khả năng truy cập vào máy chủ và có thể là mạng đang bị đe
dọa Điều này có thể dẫn đến những hậu quả nghiêm trọng và gây tổn thất lớn
Do đó khi tung ra phiên bản Windows Server 2008, Microsoft đã bổ sung một số chức năng quản
lý dịch vụ Khi sử dụng kết hợp những công cụ quản lý dịch vụ trong một Group Policy Object,
bạn có thể an tâm vì những dịch vụ của bạn đã được bảo vệ khá an toàn
Loại dịch vụ cần được bảo mật
Dịch vụ thường ẩn chứa nhiều nguy hiểm cho hệ thống máy chủ và mạng bởi vì thực tế cho thấy
chúng luôn gây ra những lỗ hổng trên máy chủ cho người dùng, ứng dụng và nhiều máy chủ
khác truy cập vào tài nguyên Khi lỗ hổng quá lớn hay những dịch vụ không được bảo vệ, tin tặc
có thể chiếm quyền truy cập vào máy chủ đó Vì vậy việc bảo vệ dịch vụ là rất cần thiết trên hệ
thống máy chủ Làm tốt được công việc này máy chủ mới có thể ngăn chặn được những phiên
truy cập không mong muốn
Khi đánh giá mức độ cần thiết của bảo vệ dịch vụ, bạn cần phải xem xét những nguyên tắc cơ
bản mà lỗ hổng được tạo ra và xem xét những cuộc tấn công có thể thực hiện nhằm vào những
dịch vụ và những cài đặt liên quan của chúng Dưới đây là một số vùng của dịch vụ cần được
bảo vệ:
• Danh sách quản lý truy cập (Access Control List).
• Chế độ khởi chạy dịch vụ
• Tài khoản dịch vụ
• Mật khẩu tài khoản dịch vụ
Tất cả những vùng dịch vụ có liên quan tới bảo mật này giờ đây có thể được kiểm soát trong
Group Policy của Windows Server 2008 hoặc bản Windows Vista Enterprise
1 Truy cập Group Policy Objects (GPO)
Để sử dụng những cài đặt trong phần này, bạn cần phải sử dụng một trong số ứng dụng sau trong
mạng:
• Windows Server 2008 Domain Controller (Trình kiểm soát miền)
• Windows Vista SP1 có cài đặt Remote Server Administrative Tools (Bộ công cụ quản
trị máy chủ từ xa) và chạy trong một miền Windows Active Directory
Khi đã có hệ thống đáp ứng yêu cầu trên, bạn hãy sử dụng Group Policy Management Console
Trang 2(GPMC) để quản lý và hiệu chỉnh GPO từ hệ thống đó Bạn sẽ không thể thấy những cài đặt mới
từ một hệ thống khác không đáp ứng các tiêu chí trên
2 Access Control List
Để kiểm soát Access Control List , bạn sẽ cần sử dụng mục Services của một GPO trong
Computer Configuration\Policies\Windows Settings\Security Settings\System Services.
Hình 1: Sử dụng System Services Policy để kiểm soát
Access Control List.
Để sử dụng chính sách này, bạn hãy tìm đến dịch vụ muốn quản lý trong danh sách ở bảng bên phải và lựa chọn nó Khi phải chuột lên tên dịch vụ đó, bạn sẽ có thể hiệu chỉnh những thuộc tính
cho dịch vụ đó Khi hiệu chỉnh thuộc tính bạn sẽ thấy một hộp thoại thuộc tính Properties.
Trang 3Hình 2: Hộp thoại System Services Properties.
Để thay đổi Access Control List cho dịch vụ đó, lựa chọn hộp chọn Define this policy setting sau đó click vào nút Edit Security Sau khi click nút này, bạn sẽ thấy một hộp thoại Security
for Windows Event Collector.
Trang 4Hình 3: Hộp thoại Security quản lý Access Control List.
Chú ý rằng bạn có một số cấp phép chuẩn cài đặt cho dịch vụ, bao gồm:
• Full Control: Kiểm soát đầy đủ.
• Read: Chỉ đọc
• Start, stop and pause: Khởi chạy, tắt và tạm dừng.
• Write: Ghi.
• Delete: Xóa.
Bạn có thể click vào nút Advanced để tạo một danh sách cấp phép riêng cho mỗi dịch vụ Bạn
có thể lựa chọn ra những cấp phép trong 14 cấp phép bảo mật chi tiết
3 Chế độ khởi động dịch vụ
Chế độ khởi động dịch vụ rất quan trọng đối với những dich vụ không thể hay không muốn cái đặt, nhưng bạn lại muốn chắc chắn rằng chúng sẽ không khởi chạy khi hệ thống khởi động Có
ba cấp độ trong chế độ khởi động dịch vụ, gồm có:
• Automatic: Tự động khởi chạy.
• Manual: Khởi chạy thủ công.
Trang 5• Disabled: Hủy chế độ khởi chạy.
Chế độ Automatic và Manual có thể khởi chạy dịch vụ vào bất kì thời điểm nào tùy thuộc vào
những cài đặt của dịch vụ đó Hai chế độ khởi động này cho phép khởi chạy dịch vụ bằng một cuộc gọi tới dịch vụ
Tuy nhiên, khi một dịch vụ được cài đặt chế độ Disabled, thì nó sẽ không thể khỏi chạy theo chế
độ Automatic hay Manual Do đó bạn có thể sử dụng chế độ này để chặn máy chủ khởi chạy dịch vụ cho đến khi một admin kích hoạt lại nó Sử dụng chế độ khởi động này cùng với Access
Control List là một sự kết hợp khá mạnh vì quá trình phân quyền có thể giới hạn quyền khởi
chạy hay thay đổi dịch vụ
Bạn có thể quản lý chế độ khởi động trong chính sách tương tự khi thao tác với Access Control
List (Hình 2 ở trên minh họa ba tùy chọn của chế độ khởi động).
4 Tài khoản dịch vụ
Nhiều dịch vụ yêu cầu phải đăng nhập trước khi sử dụng Đó là vì tài khoản này không chỉ cho phép truy cập vào hệ thống nơi nơi dịch vụ đang chạy mà còn có thể truy cập vào những hệ
thống khác trong mạng Trong những trường hợp này tài khoản Network Service hay Local
System sẽ không hoạt động.
Trước đây, quá trình cấu hình dịch vụ phải được thực hiện trên hệ thống chứa dịch vụ đang chạy
Giờ đây, với Group Policy Preferences, bạn có thể kiểm soát tài khoản dịch vụ nào được sử dụng từ Active Directory kèm Group Policy.
Cài đặt bạn muốn thực hiện cấu hình được lưu trữ trong Computer
Configuration\Preferences\Control Panel Settings\Services.
Trang 6Hình 4: Sử dụng Group Policy Preferences để cấu hình tên tài khoản
dịch vụ.
Để cấu hình cho một chính sách thực hiện quản lý dịch vụ, bạn chỉ cần phải chuột lên Services chọn New Service Sau đó bạn có thể lựa chọn dịch vụ muốn cấu hình từ hộp thoại Services.
Trang 7Hình 5: Hộp thoại chính sách Group Policy Preferences.
Bạn có thể duyệt tìm và lựa chọn dịch vụ muôn quản lý trong danh sách khi click vào nút bên
cạnh trường Service name Sau khi đã lựa chọn dịch vụ, click chọn radio This account và tìm tài khoản dịch vụ mà bạn muốn sử dụng từ Active Directory Khi thực hiện xong các thao tác
trên là bạn đã hoàn thành cấu hình tài khoản cho dịch vụ trên mỗi hệ thống dưới sự quản lý của GPO có chứa chính sách cài đặt
5 Mật khẩu tài khoản dịch vụ
Trong phần trên chúng ta chỉ thực hiện cấu hình tài khoản dịch vụ, nhưng trên hình 5 bạn cũng
có thể thấy chúng ta có thể thực hiện tạo mật khẩu tại đó Đây là một cài đặt rất mạnh, vì trước đây bạn chỉ có thể thực hiện thao tác này trên máy tính chứa dịch vụ đang chạy hay sử dụng một công cụ quản trị từ xa để kết nối tới máy chủ đó
Sử dụng chính sách Group Policy Preferences bạn có thể đảm bảo rằng tài khoản dịch vụ được
cài đặt trong dịch vụ có một mật khẩu chính xác với mật khẩu mà bạn đã tạo trong cơ sở dữ liệu
Active Directory cho tài khoản đó Điều này đồng nghĩa với việc khi thực hiện tạo lại mật khẩu
cho dịch vụ trong Active Directory bạn chỉ cần cập nhật chính sách này và mật khẩu cho tài
khoản để những mật khẩu này đồng bộ hóa với nhau
Trang 8Hình 6: Sử dụng GPO để đồng bộ hóa mật khẩu tài khoản dịch
vụ với Active Directory.
Nhờ có những công cụ quản lý mới được tích hợp trong Windows Server 2008 và Vista, những
dịch vụ trên mạng của bạn giờ đây đã được bảo vệ khá an toàn Bảo mật dịch vụ là một nhiệm vụ thiết yếu vì những dịch vụ này cung cấp cổng truy cập vào máy chủ và những dữ liệu quan trong
được lưa trữ trên máy chủ Bảo mật có thể được thực hiện qua việc kiểm soát phân quyền, chế độ khởi chạy, tài khoản và mật khẩu dịch vụ Bằng việc sử dụng những cài đặt Group Policy tronmg miền Active Directory bạn có thể bảo vệ được mọi loại dịch vụ đang chạy trên máy chủ trong
miền
Bảo mật dịch vụ trong Windows Server 2008 (Phần 2)
Bản in
Chia
sẻ
Trang 9Quản trị mạng - Trong phần trước chúng ta đã đề
cập đến phương pháp bảo mật dịch vụ bằng Group Policy và Group Policy Preferences
Những cài đặt của hai loại Group Policy này cho phép quản lý bảo mật dịch vụ theo nhiều phương pháp khác nhau
Phần này sẽ đi sâu vào những cài đặt bảo mật này để cung cấp cho bạn nhiều quyền kiểm soát hơn nữa với những tài khoản dịch vụ cũng như quá trình cập nhật dịch vụ và các tài khoản của những dịch vụ này Việc đảm bảo các ứng dụng mạng cũng như các ứng dụng bảo mật mạng luôn vận hành tốt là công việc rất quan trọng của người quản trị mạng và người chuyên trách bảo mật, nhưng để những ứng dụng này có được sự cân bằng cần thiết cần đến một vài thủ thuật nhỏ Bài viết này sẽ hỗ trợ cho các bạn phương pháp quản lý dịch vụ, tài khoản dịch vụ và các ứng dụng trong Windows Server 2008
Bảo vệ tài khoản dịch vụ
Tài khoản dịch vụ thường được nhiều dịch vụ sử dụng để thực hiện những thao tác trên hệ thống nơi mà dịch vụ đó được cài đặt, hay kết nối đến những nguồn tài nguyên mạng khác để thực hiện một tác vụ nào đó Và mỗi một tài khoản dịch vụ lại có một cấu hình và thẩm quyền khác nhau Trong nhiều trường hợp, những tài khoản dịch vụ được phân quyền quản trị ở vài mức độ nhất định Hầu hết các dịch vụ được sử dụng để hỗ trợ mạng người dùng thì những tài khoản của
chúng nói chung đều thuộc nhóm Domain Admin trong Active Directory Và trong một số tình huống, những tài khoản này lại là thành viên nhóm Enterprise Admin, khi đó chúng được phân
quyền cao hơn cho một dịch vụ và tài khoản của những dịch vụ này Tuy nhiên, tùy thuộc vào từng dịch vụ mà đây có thể là một cấu hình bắt buộc
Khi tài khoản dịch vụ được sử dụng với với nhiều quyền hơn trong khi cài đặt và lên cấu hình, thì những tài khoản này phải tuyệt đối bảo mật Để đảm bảo bảo mật cho những tài khoản này, người quản trị phải thiết lập thêm các biện pháp với mỗi và mọi tài khoản dịch vụ Những biện pháp này không quá phức tạp nhưng bạn phải áp dụng chúng để đảm bảo rằng những tài khoản này được bảo vệ, quản lý và giám sát chặt chẽ để chống lại mọi hành động phá hoại
Những biện pháp cần áp dụng để bảo vệ tài khoản dịch vụ bao gồm:
• Cấu hình giới hạn khả năng đăng nhập vào trạm làm việc đối với tài khoản người dùng dịch vụ.
• Đặt thời hạn cho mật khẩu và thường xuyên thiết lập lại.
Giới hạn truy cập trạm làm việc
Mọi tài khoản người dùng được khởi tạo và lưu trữ trong Active Directory đều có thể bị giới
hạn đối với những hệ thống mà chúng có thể đăng nhập vào Ít khi bạn giới hạn một tài khoản người dùng chuẩn chỉ đăng nhập được vào vài trạm làm việc, nhưng trong một số tình huống thì điều này cũng có thể xảy ra do tài khoản dịch vụ bị giới hạn về số lượng hệ thống cần đăng nhập Nếu một tài khoản đang được một người dùng chuẩn sử dụng hay đăng nhập vào nhiều hệ thống ngoài hệ thống đang sử dụng dịch vụ đó thì đây là một vấn đề bảo mật đáng lo ngại Do
đó, việc cấu hình tài khoản dịch vụ chỉ có thể đăng nhập vào những hệ thống chứa dịch vụ đó là một biện pháp bảo mật khá hiệu quả
Trang 10Cài đặt giới hạn cho trạm làm việc (bao gồm cả máy trạm và máy chủ) nằm trong User
Properties của Active Directory Users and Computers Phải chuột vào tài khoản người dùng
(có chức năng như tài khoản dịch vụ) chọn Properties Hộp thoại User Properties sẽ xuất hiện, tại đây chọn tab Account bạn sẽ thấy nút Log On To.
Hình 1: Giới hạn tài khoản người dùng đăng nhập vào trạm làm
việc trong hộp thoại User Properties.
Khi lựa chọn nút Workstation, bạn sẽ thấy một hộp thoại khác xuất hiện với danh sách trạm
làm việc Tại đây, bạn chỉ cần nhập tên của những máy chủ nơi dịch vụ được cấu hình hỗ trợ cho dịch vụ đang chạy trên máy chủ đó Hình 2 minh họa ví dụ tài khoản của một dịch vụ hỗ trợ cho ứng dụng HR, và dịch vụ đó chạy trên ba máy chủ HR khác nhau
Trang 11Hình 2: Hộp thoại Workstation cho phép nhập tên của
máy chủ.
Với cấu hình này, tài khoản dich vụ đó chỉ được cho phép đăng nhập vào ba máy chủ trong danh sách Có nghĩa là tài khoản đó sẽ không được đăng nhập vào bất kì máy chủ nào khác trên mạng
Giới hạn hiệu lực mật khẩu và thiết lập lại mật khẩu
Viêc tạo thời hạn cho cho mật khẩu đã từng trở thành một vấn đề thảo luận khá nhiều Trong đó xuất hiện nhiều ý kiếm phản đối hơn đồng tình với nhiều lí lẽ được đưa ra
Nhưng với công nghệ hiện nay, mật khẩu tài khoản dịch vụ có thể được thiết lập thời hạn sử dụng và xác lập lại một các dễ dàng Quá trình này chỉ gói gọn trong bốn bước đơn giản sau:
Bước 1: Cấu hình cho tài khoản dịch vụ một mật khẩu hết hiệu lực.
Trong hình 1 ở trên, có một tùy chọn cho mật khẩu không bao giờ hết hiệu lực ở phía cuối của hộp thoại Bạn cần phải bỏ chọn tùy chọn này Khi bỏ chọn tùy chọn này thì tài khoản dịch vụ sẽ được bổ sung vào chính sách mật khẩu cho toàn miền với thời hạn mật khẩu này hết hiệu lực Windows Server 2003 và Windows Server 2008 mặc định ngày hết hiệu lực mật khẩu là 42 ngày Có nghĩa là bạn sẽ phải xác lập lại mật khẩu cho dịch vụ mỗi tháng một lần
Bước 2: Xác lập lại mật khẩu cho tài khoản
Trong ADUC bạn hãy lựa chọn đối tượng tài khoản dịch vụ rồi phải chuột lên nó Trong menu chuột phải (hay menu ngữ cảnh) có một tùy chọn Reset Password Click chọn tùy chọn này bạn
sẽ thấy hộp thoại Reset Password xuất hiện, tại đây hãy nhập mật khẩu mới cho tài khoản.
Trang 12Lưu ý: Không được click chọn hộp chọn User must change password at next logon (người dùng
phải thay đổi mật khẩu trong lần đăng nhập tới), bởi vì nếu chọn tùy chọn này sẽ gây ra một vấn đề lớn đó là tài khoản dịch vụ sẽ không cập nhật được mật khẩu của tài khoản đó vì nó chỉ được cấu hình thông qua dịch vụ.
Hình 3: Hôp thoại Reset Password cho tài khoản dịch vụ.
Bước 3: Áp dụng cài đặt Group Policy Preferences cho dịch vụ.
Đây là một cài đặt mới chỉ xuất hiện khi bạn hiệu chỉnh GPO từ hệ thống Windows Server 2008
hay Windows Vista SP1 (khi đã cài đặt RSAT) Cài đặt mới này nằm trong Computer
Configuration\Preferences\Control Panel Settings\Services Trong hộp thoại New Service Properties bạn sẽ phải nhập chính xác tên tài khoản dịch vụ và mật khẩu mới Bạn chỉ cần nhập
mật khẩu tại đây và như vậy là bạn đã nhập vào ADUC cho tài khoản người dùng và mọi hệ thống được hướng vào GPO sẽ nhận được mật khẩu mới của tài khoản dịch vụ
Trang 13Hình 4: Những cài đặt Group Policy Preferences Services có
thể xác lập lại mật khẩu cho dịch vụ đang chạy trên hệ thống
đích.
Bước 4: Cập nhật tiến trình GPO ngay khi có thể
Bạn có thể vào mỗi máy chủ và khởi chạy tiện ích GPUPDATE, nhưng bạn sẽ phải mất thời
gian chờ đợi và máy chủ có thể không thể khởi chạy Bạn có thể sử dụng một công cụ khác
trong Special Operations Software (SOS) có tên GPUPDATE, trùng tên với tiện ích sẵn có
nhưng phương pháp vận hành lại hoàn toàn khác nhau Đây là một sự thay thế snap-in cho ADUC cho phép quản trị viên refesh nền của Group Policy từ một trình quản lý miền Tiện ích
GPUPDATE trong SOS có thể cập nhật mọi hệ thống trong miền, trong một OU, hay một hệ
thống riêng lẻ Bạn có thể tải công cụ này tại đây
Tóm lại, tài khoản dịch vụ được đặc trưng bởi quá trình phân quyền, rất ít khi được kiểm soát và rất ít khi được xác lập lại mật khẩu Điều này có thể tạo điều kiện cho tin tặc tấn công Và không
có lí do gì để cho phép một tài khoản dịch vụ đăng nhập vào bất kì hệ thống nào trong miền Do
đó, thực hiện các thao tác trên là bạn đã có thể bảo vệ được máy chủ, mạng và mọi hệ thống trong miền