Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 19 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
19
Dung lượng
5,12 MB
Nội dung
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 26 PHẦN II QUẢN TRỊ VÀ DUY TRÌ HỆ THỐNG Khi một tổ chức triển khai các Windows 2000 domain controller của họ phù hợp với những thiết lập bảo mật được nói đến trong phần một của tài liệu này , điều cần thiết là mức bảo mật domain controller được duy trì hoặc thậm chí được nâng cấp. Việc môi trường có duy trì được sự an toàn hay không được quyết định phần lớn bởi các thủ tục thao tác IT của tổ chức. Phần I của đề án này giới thiệu về việc triển khai Administratorsan toàn cũng như xây dựng và cấu hình các domain controller. Phần II cung cấp những đề xuất để duy trì Administratorsan toàn với các thao tác như thực hiện kiểm định một cách định kỳ các cấu hình domain controller để đảm bảo rằng việc thay đổi trái phép không xuất hiện. 1. Khái niệm cơ bản 1.1 Một số khái niệm về kiến trúc Administrators Các thành phần logic trong kiến trúc Administrators gồm có: Các đối tượng Các domain Các tree Các forest ((không xét trong đề án)) Các OU 1.1.1 Các đối tượng Đối tượng thực ra là các tài nguyên được lưu trữ trên Active Directory. Đây được coi là thành phần cơ bản nhất trong dịch vụ thư mục Active Directory. Các đối tượng được lưu trữ trên Administratorstheo một kiến trúc phân cấp bao gồm các khoang chứa cha và các khoang chứa con Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 27 với mục đích dễ dàng hơn trong việc tìm kiếm, truy cập và quản lý chúng. Kiến trúc này tương tự như việc tổ chức file và thư mục. Các lớp đối tượng Một đối tượng là tập hợp của các đặc tính. Các đặc tính tạo nên một đối tượng được định nghĩa là một lớp đối tượng. Khi tạo một đối tượng mới, nó sẽ tự động thừa hưởng các đặc tính từ lớp mà nó trực thuộc. Và tất nhiên chúng ta có thể thay đổi các lớp đối tượng cũng như các đặc tính của chúng sao cho phù hợp với các yêu cầu của tổ chức. AdministratorsSchema Các lớp và các đặc tính sẽ tạo nên một khái niệm AdministratorsSchema. Về mặt cơ sở dữ liệu, schema là một cấu trúc bao gồm các bảng, các trường và mối liên quan giữa chúng với nhau. Vì vậy Administrators Schema rất quan trọng đối với hoạt động của dịch vụ thư mục. Nó được bảo vệ bởi danh sách điều khiển truy cập ACL chỉ cho phép các user và các ứng dụng với quyền thích hợp được thực hiện các thao tác nhất định trên đó. Việc thay đổi schema cần rất cẩn trọng. 1.1.2 Các domain Cấu trúc tổ chức cơ bản của mô hình mạng Windows Server 2003 là domain. Một domain đại diện cho một đường biên quản trị. Các máy tính, người dùng, và các đối tượng khác trong một domain chia sẻ một cơ sở dữ liệu bảo mật chung. 1.1.3 Các tree Các domain khác nhau được tổ chức theo cấu trúc có phân cấp gọi là cây. Thậm chí nếu bạn chỉ có một domain trong tổ chức của bạn, bạn vẫn có một cây. Domain đầu tiên tạo ra trong một cây được gọi là root domain. Domain được tạo tiếp theo sẽ là domain con của root domain đó. Domain có khả năng mở rộng thành nhiều domain trong một cây. Tất cả các domain trong một cây chia sẻ một schema chung và một không gian tên kề nhau. 1.1.4 Các OU Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 28 OU cung cấp một phương pháp để tạo ra một biên quản trị trong một domain. Chủ yếu, nó cho phép bạn ủy nhiệm các nhiệm vụ quản trị trong một domain. OU hoạt động giống như một container chứa các tài nguyên trong domain. Bạn có thể áp đặt các quyền quản trị trong một OU. Một đặc thù chính là cấu trúc OU theo một cấu trúc chức năng hoặc công việc trong một tổ chức. Ví dụ, trong một tổ chức nhỏ với một domain có thể tạo ra các OU riêng biệt tương ứng với các phòng ban trong tổ chức đó. Có thể lồng các OU (tạo các OU bên trong một OU). Tuy nhiên, cấu trúc OU phức tạp trong một domain có thể là một trở ngại. Khi cấu trúc của bạn càng đơn giản, thì thực thi và quản lý nó càng dễ dàng. Khi thực hiện lồng OU lên quá 12 mức OU, bạn sẽ gặp vấn đề đáng kể về hiệu năng 1.2 Khái niệm về backup và restore Backup và Retore hệ thông là môt chức năng không thể thiếu trong bất kì hệ thống nào. Tài liệu này nhằm mô tả sơ bộ công việc backup hệ thống cài đặt trên hệ điều hành Windows 2003 Server. Nó cho phép các System Engineer đưa ra giải pháp và chính sách backup hệ thống một cách có hiệu quả lớn nhât. Có 5 kiểu backup mà có thể sử dụng, nó phụ thuộc vào sự quan trọng của dữ liệu cần backup và chính sách mà bạn muốn khôi phục dữ liệu đó như thế nào. Daily:Backup những file thay đổi từ daily backup cuối cùng. Nếu một file sửa đổi trên cùng ngày với backup , thì nó sẽ được backup. Thuộc tính lưu trữ của file là không đổi. Incremental: Backup những file thay đổi từ normal hoặc incremental backup. Nếu thuộc tính lưu trữ được hiển thị thì nó có nghĩa là file vừa sửa đổi – chỉ những files với thuộc tính này được backup. Một Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 29 file vừa được backup, thì thuộc tính lưu trữ được xoá và chỉ thiết đặt lại khi dữ liệu được thay đổi lần nữa. Full(Normal): backup những file được lựa chọn, không quan tâm đến thiết định của thuộc tính lưu trữ như thế nào. Một file vừa được backup, thì thuộc tính lưu trữ được xoá cho đến khi file đó được thay đổi. Khi thuộc tính lưu trữ được thiết định lại, thì nó biểu thị rằng file đó cần được backup. Differential: Backup những file mà thay đổi từ Full backup cuối cùng. Nếu thuộc tính lưu trữ được hiển thị, nó có nghĩa là dữ liệu vừa được thay đổi và file có thuộc tính tính này được thiết đặt sẽ được back up. Tuy nhiên, với trường hợp backup này thuộc tính lưu trữ không bị xoá vì vậy cho phép các loai backup khác sử dụng cùng dữ liệu đó ở giai đoạn sau. Copy: Backup tất cả những file mà được chọn, không quan tâm thuộc tính lưu trữ. Thuộc tính lưu trữ không thay đổi, vì vậy những loại backup khác có thể thực hiện trên dữ liệu tương tự. 2. Cơ sở lí thuyết. Mặc dù bảo mật là một việc quan trọng cần được cân nhắc đối với tất cả các thành phần của hệ thống mạng trong tổ chức, đối với các máy chủ có mức bảo mật cao thì bảo mật là một phần đặc biệt quan trọng. Mức “ high security” ( bảo mật cao) xuất phát từ yêu cầu bảo mật cao của các tiến trình đang chạy trên các server. Xác định máy chủ trong tổ chức của bạn là một high-security server khi nó: Chạy một dịch vụ trong ngữ cảnh của một tài khoản service Active Directoryministrator-level Được tin tưởng để uỷ quyền (trusted for delegation) Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 30 Khi một máy chủ được coi là tin tưởng để ủy ủy quyền, thì khi phục vụ một yêu cầu của client máy chủ sẽ có khả năng đưa ra yêu cầu tới các dịch vụ chạy trên máy chủ khác dưới ngữ cảnh bảo mật của client. Vì client đưa ra yêu cầu có các đặc quyền bảo mật cao , nên máy chủ cũng có thể chiếm lấy được các đặc quyền bảo mật cao. Vì thế, tất cả các máy chủ là “trusted for delegation” bên trong rừng có thể được thiết kế là các máy chủ bảo mật cao (high-security). Trên cơ sở những tiêu chuẩn này, thêm các domain controller có thể là các server có mức bảo mật cao trong mạng của bạn mà nó sẽ cần hoạt động đặc biệt ngày này qua ngày khác để duy trì bảo vệ. Bảo vệ tất cả các máy chủ có mức bảo mật cao bằng các nguyên tắc chung cho việc vận hành máy chủ an toàn. 2.1 Thực hiện duy trì bảo mật Domain Controller và Active Directoryministrative Workstation Khi tổ chức của bạn thực hiện cấu hình domain controller và Active Directoryministrative workstation an toàn theo những đề xuất trong phần I của tài liệu này thì bạn bắt đầu các hoạt động. Trong một môi trường thực tế, những người quản trị thực hiện ngày này qua ngày khác và thỉnh thoảng bảo dưỡng các domain controller và Active Directoryministrative workstation. Cách các nhiệm vụ này được thực hiện ảnh hưởng trực tiếp tới mức bảo mật của domain controller và Active Directoryministrative workstation mà tổ chức của bạn có thể duy trì. Các chính sách được viết ra và các thủ tục sẽ tồn tại cho tất cả các hoạt động duy trì domain controller, bao gồm: Sao lưu và khôi phục cho domain controller Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 31 Thay thế phần cứng cho domain controller và Active Directoryministrative workstation Quét virut trên Domain controller và Active Directoryministrative workstation 2.2 Thiết lập chiến lược sao lưu và khôi phục domain controller Những người quản trị lập kế hoạch sao lưu system state trên các domain controller để khôi phục khi dữ liệu Administratorsbị mất và một domain controller bị hỏng. Domain controller bị lỗi có thể do một lỗi nghiêm trong trong dịch vụ. Như một phần của việc quản lý an toàn và các hoạt động khôi phục, domain controller backups phải được thực hiện an toàn và tin cậy. Sao lưu trạng thái hệ thống ( System state) trên domain controller không giống các dạng sao lưu và khôi phục trên các máy chủ ở một số điểm: Không thể thực hiện Incremental backup Không phải tất cả domain controller sẽ được sao lưu Sao lưu từ một domain controller không thể được sử dụng để khôi phục trên một domain controller khác Khôi phục ở cả hai dạng authoritative hoặc non-authoritative Các domain controller ở mức bảo mật cao, cần đến các thao tác đặc biệt Do yêu cầu bảo mật ở mức cao, một chính sách sao lưu và khôi phục an toàn bao gồm các thao tác bảo mật mà không được cần đến cho việc sao lưu máy chủ cụ thể. Chiến lược sao lưu và khôi phục domain controller an toàn sẽ bao gồm các thao tác chính sau: Tránh sử dụng một tài khoản chung cho toàn công ty để thực hiện sao lưu Hạn chế phần cứng sao lưu domain controller để các chúng được bảo mật Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 32 Kế hoạch sao lưu domain controller thông thường và huỷ các phương tiện sao lưu khi chúng không còn sử dụng Bảo vệ các tài khoản Backup Operators Thao tác khôi phục định kỳ các domain controller từ phương tiện sao lưu. Thực thi một chính sách sao lưu và khôi phục đã đưa ra để xác định domain controller nào sẽ được sao lưu, ai có quyền thực hiện chức năng này, cách các domain controller sẽ được sao lưu và cách phương tiện sao lưu sẽ được sử dụng. 2.3 Quản lý tài khoản Backup Operators Administratorschứa một nhóm có sẵn tên là Backup Operators. Các thành viên của nhóm này được coi như những người quản trị dịch vụ, bởi vì các thành viên của nhóm này có quyền khôi phục các file, bao gồm các file hệ thống trên các domain controller. Thành viên của nhóm Backup Operators trong Administratorssẽ được giới hạn bao gồm những cá nhân thực hiện sao lưu và khôi phục các domain controller. Tất cả các máy chủ thành viên cũng chứa một nhóm có sẵn được gọi là Backup Operators ở trên mỗi máy chủ đó. Các cá nhân những người chịu trách nhiệm cho việc sao lưu các ứng dụng trên mỗi máy chủ thành viên sẽ là thành viên của nhóm Backup Operators trên máy chủ đó chứ không phải là thành viên nhóm Backup Operators trong Active Directory. Trên một domain controller riêng, bạn có thể giảm số lượng thành viên của nhóm Backup Operators. Khi một domain controller được sử dụng để chạy các ứng dụng khác, các cá nhân chịu trách nhiệm cho việc sao lưu các ứng dụng trên các domain controller cũng phải được tin cậy như người quản trị dịch vụ, bởi vì họ sẽ có quyền cần thiết để khôi phục file, bao gồm các hệ thống file trên các domain controller. Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 33 Bởi mặc định, nhóm Backup Operators rỗng. Các thành viên của nó có thể được thay đổi bởi các thành viên của các nhóm administrators, Domain Administrators, and Enterprise Administrators. Các quyền được liệt kê trong bảng II.1 Bảng II.1 Kí hiệu bảo mật để bảo vệ nhóm Backup Operators trong Active Directory Dạng Tên Quy ền Áp dụng tới Allow Administrators List Contents ReAdministratorsAll Properties Write All Properties Delete ReAdministratorsPermissions Modify Permissions Modify Owner All Validated Writes All Extended Rights Create All Child Objects Delete All Child Objects Ch ỉ đối tượng này Allow Authenticated Users List Contents ReAdministratorsAll Properties ReAdministratorsPermissions Ch ỉ đối tượng này Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 34 Dạng Tên Quy ền Áp dụng tới Allow Domain Admins List C ontents ReAdministratorsAll Properties Write All Properties ReAdministratorsPermissions Modify Permissions Modify Owner All Validated Writes All Extended Rights Create All Child Objects Delete All Child Objects Ch ỉ đối tượng này Allow Enterprise admins List Contents ReAdministratorsAll Properties Write All Properties ReAdministratorsPermissions Modify Permissions Modify Owner All Validated Writes All Extended Rights Create All Child Objects Delete All Child Objects Ch ỉ đối tượng này Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 35 Dạng Tên Quy ền Áp dụng tới Allow Everyone Cha nge Password Ch ỉ đối tượng này Allow Pre – Windows 2000 Compatible Access List Contents ReAdministratorsAll Properties ReAdministratorsPermissions Đ ặc biệt Allow SYSTEM Full Control Ch ỉ đối tượng này Ghi chú: các từ chuyên ngành khó hiểu sẽ được chú thích trong phụ lục 3. Hiện trạng hệ thống Các tài khoản của nhân viên chưa được sắp xếp, phân quyền cụ thể. Các user chưa đều có các quyền cơ bản và ngang nhau. Chưa có các mẫu policy nào áp dụng hay chính sách nào sử dụng cho hệ thống Active Directory. Hệ thống công ty mói được xây dựng do đó chưa hề có một chính sách Update và backup. Do đó để đảm bảo hệ thống hoạt động một cách bình thường và an toàn thì một cơ chế backup tốt là một đòi hỏi tối quan trọng. 4. Các công việc triển khai & kết quả 4.3 Quản trị hệ thống Active Directory [...]... bảo: Cho phép các nhóm quản trị quản lý thông tin một cách độc lập Có khả năng trao quyền quản trị cho các nhóm quản trị khác nhau Tạo ra một môi trường an toàn đảm bảo người sử dụng chỉ có thể truy cập đến các tài nguyên với quyền được cấp phát 4 .2 Cấu hình backup cho domain 4 .2. 1 Lập bảng biểu Backup Job 38 Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp Bạn phải backup cho... quy trình và thủ tục yêu cầu chữ ký của người quản trị khi các thiết bị sao lưu dữ phòng được mang đi Các thiết bị sao lưu cần luôn được sẵn sang ở trạng thái tốt nhất 4 .2. 4 Phương án Backup cho VINAPAY: Để Backup hệ thống của VinaPay thì có 2 lựa chọn theo mô hình sau: Hình II.4.6 Hai cách backup đề nghị cho mô hình công ty vinapay 42 Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp. . .Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp Cài đặt Windows Server 20 03 trên máy chủ rồi cấu hình nó như một domain Thăng cấp máy chủ đó thành Domain Controler Thiết kế Active Directory đảm bảo tương tác tốt nhất với các dịch vụ khác trên hệ thống Intranet như: email, truy cập Internet, chat, SharePoint Portal Một hệ thống Active Directory được đánh... bảo được vấn đề này Hình sau cho chúng ta thấy một OU 36 Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp Hình I.4 .2 Một OU trong ACTIVE DIRECTORY Tính năng xác thực của Active Directory sẽ đảm bảo được các yêu cầu sau: Cho phép các nhóm quản trị quản lý thông tin một cách độc lập Có khả năng trao quyền quản trị cho các nhóm quản trị khác nhau Các tính năng bảo mật trong Active... normal backup cuối cùng II .2 Mô hình 2 Day Sunday 12. 00 PM Monday 12. 00 PM Tuesday 12. 00 PM Mô tả Full backup (normal): Backup toàn bộ dữ liệu trên file và fodler hiên tại Incremental: chỉ backup các file và folder được thay đổi trên từ normal backup cuối cùng Incremental: chỉ backup các file và folder được 43 Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp thay đổi trên từ normal... biệt trên một ngày đặc biệt hàng tuần Thực hiện ở một thời điểm đặc biệt trong một tháng 39 Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp At system starup At logon When idle Thời điểm lần tiếp theo mà PC khởi động Thời điểm lần tiếp theo mà user sở hữu backup logon Khi hệ thống nhàn rỗi 4 .2. 2 Một phương pháp xây dựng backup và restore dữ liệu (được áp dụng vào vinapay) Khi xây dựng... được khôi phục đơn giản Khôi phục dữ liệu nhanh như thế nào từ backup cần thiết? 40 Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp Nghia là đưa hệ thống có nguy cơ trở lại làm việc bình thường sớm như có thể Thì kế hoặc Backup của bạn phụ thuộc nhiều vào thời gian mà nó lấy ra để khôi phục một hệ thống Và dữ liệu sẽ được phân loại theo giai đoạn và dãy khôi phục Dữ liệu thay đổi... tính(compuer), quản lí người dùng(user), nhóm người dùng ADMINISTRATORS áp dụng các chính sách (policy) cho các người dùng và từng nhóm người dùng 37 Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp Hình II.4.3 Một Group Policy Cụ thể để dễ quản lí, cơ cấu của Vinapay được chia nhỏ thành 10 nhóm tài khoản với từng chính sách riêng biệt Khi có một người sử dụng mới ta chỉ cần thêm người... 4 .2. 3 Giới hạn dịch vụ sao lưu và phương tiện lưu trữ vào các vị trí an toàn Cung cấp phương tiện sao lưu domain controller với cùng mức bảo mật về mặt vật lý như chính các domain controller Bởi vì phương tiện sao lưu chứa tất cả các thông tin trong cơ sơ dữ liệu Active Directory, việc đánh cắp các bản sao lưu này cũng nguy hiểm như việc đánh cắp một domain 41 Triển khai, quản trị, duy trì & nâng cấp. .. Hai cách backup đề nghị cho mô hình công ty vinapay 42 Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp II.1 Mô hình 1 Day Sunday 12. 00 PM Monday 12. 00 PM Tuesday 12. 00 PM Wednesday 12. 00PM Thursday 12. 00 PM Friday 12. 00 PM Saturday 12. 00 PM Mô tả Full backup (normal): Backup toàn bộ dữ liệu trên file và fodler hiên tại Incremental: chỉ backup các file và folder được thay đổi trên . Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 26 PHẦN II QUẢN TRỊ VÀ DUY TRÌ HỆ THỐNG Khi một tổ chức triển khai các Windows 20 00 domain controller. Các công việc triển khai & kết quả 4.3 Quản trị hệ thống Active Directory Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 36 Cài đặt Windows Server 20 03 trên máy. quản trị dịch vụ, bởi vì họ sẽ có quyền cần thiết để khôi phục file, bao gồm các hệ thống file trên các domain controller. Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp