Giáo trình Quản trị mạng máy tính nâng cao cung cấp cho các bạn những kiến thức về: cài đặt và cấu hình IIS cho Windows 2000, hướng dẫn cài đặt MDaemon, các hướng dẫn cơ bản quản trị mạng Windows 2000. Tài liệu phục cvuj cho các bạn chuyên ngành Công nghệ Thông tin.
Giáo trình Quản trị mạng máy tính nâng cao GIÁO TRÌNH ĐÀO TẠO QUẢN TRỊ MẠNG NÂNG CAO Mục lục 1 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao PHẦN I: CÀI ĐẶT VÀ CẤU HÌNH IIS CHO WINDOWS 2000 I.1 Hướng dẫn cài đặt IIS cho Windows 2000, XP 1) Vào Control Panel, Start -> Settings -> Control Panel Khi vào Control Panel click vào Add/Remove Programs 2) Khi vào Add/Remove Program, bạn chọn Add/Remove Windows Components 3) Đánh dấu ô Internet Information Services (IIS) Rồi Click Next 2 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao 4) Cho đĩa CD Windows 2000 hay Windows XP (tùy theo hệ điều hành bạn) vào nhấn OK 5) Windows bắt đầu cài đặt IIS components 3 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao 6) Cài đặt xong! I.2 Kiểm tra trình chủ IIS Để kiểm tra trình chủ khởi động hoạt động tốt, gõ địa cục trình duyệt sau: http://localhost/ http://172.0.0.1 Kết trình duyệt hiển thị trang Web mặc định (default.asp) IIS với trang hướng dẫn sử dụng ASP 4 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao Trang chủ mặc định IIS Trang tài liệu hướng dẫn IIS lập trình ASP 5 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao I.3 Trang Web đầu tay 1) Ví dụ trang HTML Dùng notepad để lập tập tin index.htm, lưu xuống thư mục gốc Home directory (C:\Inetpub\wwwrooot) Wellcome to IIS Wellcome to IIS ! Thử lại kết trang HTML 6 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao 2) Ví dụ trang ASP Dùng notepad để lập tập tin Hello.asp, lưu xuống thư mục gốc Home directory (C:\Inetpub\wwwrooot) Wellcome to ASP Wellcome to ASP Thử lại kết trang ASP 7 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao I.4 Quản lý trình chủ Web Server 1) Mở trình quản lý MMC Microsoft cung cấp giao diện đồ họa cho phép quản lý toàn ứng dụng Web gọi MMC (Microsoft Management Console) Để hiển thị sổ thực sau: Menu Start -> Programs -> Administrative Tools -> Internet Information Services 2) Xem thuộc tính Default Web Site 8 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao 2.1) Đây thuộc tính khái quát Web site Ở chung ta gán IP, vào cổng cố định cho web site cách viết vào ô IP port Mạc định ban đầu IP có IP gán cho máy cổng 80 Ngồi ta mặc định thời gian server dành cho mối kết nối từ client trước ngắt kết nối 2.2) Phần hiệu suất có đặc tính sau, theo mật độ truy cập web site để thay hiệu xuất web site tài nguyên máy dành cho web service, tăng thêm thời gian sử dụng CPU cho web service nhiều người truy cập 9 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao 2.3) Phầu mặc định thư mục chủ (Home directory) sau Trong phần bạn đổi thư mục web site thay đổi quyền sử dụng thư mục 2.4) Phần document xác định danh sách trang default goi url web site 10 10 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao Security Descriptor biểu diễn phương pháp: Số bảo mật (SID) số phát sinh kĩ thuật băm (hash) dùng để phân biệt người dùng (hoặc nhóm người dùng) với người dùng khác đồng thời dùng để định danh người với hệ thống Nội dung SID phát sinh dựa thơng tin như: tên máy tính, thơng tin người dùng, thông tin vùng (domain), ngày, hệ thống… Cấu trúc SID nhìn thấy dạng sau: S - R - X - Y1 - – Yn Trong đó: S kí hiệu (Series of digits) phân định SID; R cấp độ tham khảo đến (Revision level); X giá trị Identifier Authority, Y1 Yn giá trị SubAuthority Giá trị Identifier Authority thông tin quan trọng SID, thường định danh tổ chức phát hành SID Ví dụ: SID có dạng S-1-4138-86 mức độ tham khảo lần 1, giá trị Identifier Authority 4138, SubAuthority 86 Access Control List danh sách liên kết mà phần tử danh sách Access Control Entry (ACE), ACE có chứa Số bảo mật (SID) phân biệt người dùng hay nhóm người dùng danh sách quy định người dùng hay không phép truy cập đến đối tượng (còn gọi mặt nạ truy cập – Access Mask) ACE có loại, hai loại dành cho Discretionary access control (điều khiển truy cập tùy nghi) dành cho System security Discretionary ACE gồm AccessAllowed and AccessDenied, ám việc cho phép hay khơng truy cập người dùng hay nhóm người dùng đến đối tượng System ACE (SystemAudit) dùng để mơ tả kiện an tồn (chẳng hạn truy cập vào đối tượng gì) để phát sinh thơng báo xác nhận an tồn Cấu trúc liệu ACE: Mặt nạ truy cập (Access Mask) ACE tập hợp quyền mà người dùng phép hay không phép áp dụng đối tượng Access Mask chứa loại thông tin truy cập: kiểu truy cập xác định (Specific), kiểu truy cập chuẩn (Standard – kiểu áp dụng cho đối tượng) kiểu chung (Generic – ánh xạ đến kiểu trên) Mỗi đối tượng có đến 16 kiểu truy cập xác định, có định nghĩa kiểu đối tượng Ví dụ: Một đối tượng file có kiểu truy cập sau: ReadData – Đọc liệu WriteData – Viết AppendData – Bổ sung ReadEA (Extended Attribute) – Đọc với thuộc tính mở rộng 58 58 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao WriteEA (Extended Attribute) – Viết với thuộc tính mở rộng Execute – Thi hành ReadAttributes – Đọc thuộc tính WriteAttributes – Gán thuộc tính Ngồi kiểu truy cập trên, đối tượng cịn có kiểu truy cập chuẩn (standard types) bao gồm: SYNCHRONIZE: dùng để đồng việc truy cập cho phép tiến trình chờ đối tượng để đưa vào trạng thái báo hiệu đánh thức (Signal) Kiểu áp dụng có nhiều tiến trình người dùng truy cập đến đối tượng mà thời điểm cho phép tiến trình sử dụng WRITE_OWNER: dùng để gán cho người viết liệu WRITE_DACL: dùng để phân phối ngăn cấm quyền Viết lên Danh sách điều khiển truy cập ACL READ_CONTROL: dùng để phân phối ngăn cấm quyền Đọc lên bảng mơ tả an tồn (security descriptor) hay chủ sở hữu DELETE: dùng để phân phối ngăn cấm việc xóa đối tượng III.3.2.2 Quản lý tài khoản người dùng Tài khoản nơi chứa thông tin nhằm giúp xác nhận người dùng vào hệ thống quản lý việc truy cập người dùng đến đối tượng hệ thống Tài khoản người dùng thường lưu sở liệu Security Account Manager (SAM) Trong Windows 2000, tài khoản chia làm loại: cục (local account) toàn cục (global/domain account) mà khác loại khả quyền hạn đối tượng, tài nguyên Đối với local account, phạm vi hoạt động nội trạm Windows 2000 thích hợp cần truy cập đến tài nguyên nội trạm (trên Windows 2000 Server, kiểu tài khoản local account, người dùng đăng nhập cách cục mà phải đăng nhập từ mạng), domain account khả mở rộng phạm vi định (vùng- domain) ảnh hưởng đến nhiều trạm phạm vi Domain account lại nhìn góc độ Groups Accounts (Tài khoản nhóm) User Accounts (Tài khoản người dùng) Groups Accounts dùng để 59 59 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao đơn giản hóa cơng việc điều hành hệ thống phân phối quyền hạn (permissions) truy cập đến tài nguyên Do đó, người dùng thành viên nhóm tài khoản người thừa hưởng quyền hạn mà tài khoản nhóm có Một số ưu điểm việc dùng tài khoản nhóm: Quyền hạn phân phối cho lúc tất thành viên nhóm Quyền hạn thu hồi từ tất thành viên nhóm Quyền hạn người dùng tự động bị thu hồi người khơng cịn thành viên nhóm Khi có nhiều người gia nhập nhóm quyền hạn cần thiết phân phối cho người mà không cần phải phân quyền cho cá nhân với loại quyền hạn Một số nhóm cài sẵn (built-in) mang tính cục Windows 2000 Domain controller: Administrators, Backup Operators, Account Operators, Guests, Print Operators, Replicator, Server Operators, Users Và số nhóm tồn cục domain như: Domain Admins, Domain Guests, Domain Users Ngoài ra, có số nhóm Windows 2000 Workstation Server không thuộc domain như: Administrators, Backup Operators, Power Users, Guests, Replicators, Users Và có nhóm ngầm định tồn máy tính NT (domain controller, server, workstation): INTERACTIVE: ám người dùng tham gia cách cục NETWORK: người dùng tham gia thông qua mạng EVERYONE: INTERACTIVE + NETWORK SYSTEM: hệ điều hành CREATOR OWNER: tạo đối tượng Những Users Accounts ngầm định tạo trình cài đặt Windows 2000 Server Administrator Guest Administrator tài khoản dùng cho việc quản trị máy Server, tài khoản cung cấp cho người dùng khả như: Tạo quản lí tài khoản người dùng Tạo quản lí nhóm tồn cục 60 60 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao Tạo quản lí nhóm cục Gán quyền cho người dùng (user right) Khóa máy Server Định dạng đĩa cứng Server Tạo nhóm chung Lưu giữ bảng tóm tắt tiểu sử (profile) Quản lí việc chia sẻ thư mục 10 Quản lí việc chia sẻ máy in mạng Khi người dùng đăng nhập vào hệ thống tên khơng tồn Windows 2000 cố gắng đăng nhập người tài khoản Guest Do tài khoản Guest khơng gán mật sau vào hệ thống, người dùng đăng nhập tài khoản Guest thực số thao tác có nguy vi phạm tính an toàn hệ thống (như việc chia sẻ tên đối tượng ) Ngầm định, tài khoản Guest bị vô hiệu hóa máy NT Server cài đặt Có số thuộc tính liên quan đến tài khoản người dùng cần thiết thiết lập tài khoản: User name : tên người dùng, dài không 20 kí tự, domain Initial Password (tùy chọn): mật khởi tạo, dài không 14 kí tự Full Name: tên đầy đủ người dùng Change Password at Next Logon (Yes/No) User Cannot Change Password (Yes/No) Password Never Expires (Yes/No): mật khơng bị vơ hiệu hóa Account Disabled (Yes/No): vơ hiệu hóa tài khoản Home Directory: thư mục làm việc tài khoản Logon Script 10 Profile 61 61 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao 11 Account Type: kiểu tài khoản (local/global) 12 Logon Hours: thời gian ngày mà tài khoản có hiệu lực 13 Dialin 14 Logon Workstation: danh sách máy trạm mà người dùng đăng nhập 15 Expiration date: ngày mà tài khoản bị vô hiệu hóa (ngày hết hạn) 16 Groups: danh sách nhóm mà người dùng tham gia III.3.2.3.Thừa kế quyền Các đối tượng Windows 2000 phân làm loại: đối tượng container (hay đối tượng cha) non-container Đối tượng container mặt logic chứa đối tượng khác (chẳng hạn đối tượng thư mục chứa đối tượng file) cịn đối tượng non-container khơng chứa đối tượng khác (như đối tượng file) Như vậy, đối tượng tạo bên đối tượng khác thừa hưởng quyền hạn đối tượng cha Ví dụ: Khi ta tạo thư mục DATA bên thư mục D:\MAP thư mục DATA thừa hưởng quyền thư mục D:\MAP Theo ngầm định, ta thay đổi quyền thư mục cha thay đổi có hiệu lực thư mục file bên khơng có hiệu lực thư mục nội dung thư mục Tuy nhiên, hộp thoại Directory Permissions ta làm cho thay đổi có hiệu lực cách chọn tùy chọn Replace Permissions on Subdirectory Replace Permissions on Existing File III.3.2.4 Ghi nhận hoạt động hệ thống Một mục tiêu quan trọng Windows 2000 đảm bảo hệ thống hoạt động cách có hiệu độ tin cậy cao Vì vậy, Windows 2000 cung cấp tính cho phép theo dõi ghi nhận hoạt động toàn hệ thống thông qua khả giám sát kiện (Event) xảy Những kiện bao gồm kiện liên quan đến an toàn hệ thống kiện liên quan đến người dùng Nhờ vậy, có cố xảy có nguy gây phương hại đến tính an tồn hệ thống, Windows 2000 đảm bảo việc hạn chế ngăn chặn lỗi, kiểm tra định vị lỗi Mỗi kiện hệ thống có chứa thông tin giúp phân định bao gồm: Event ID (định danh), Source (nơi phát sinh kiện), Type (kiểu kiện), Category (loại kiện) thông tin khác phụ thuộc vào loại kiểu kiện 62 62 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao Các kiện phân làm loại: Account Management (Quản lý người dùng nhóm người dùng): mô tả kiện liên quan đến việc thay đổi Cơ sở liệu quản lý tài khoản người dùng Ví dụ như: User Created (tạo người dùng), Group Membership Change (thay đổi thơng tin nhóm) Detailed Tracking (Quản lý chương trình chạy): kiện liên quan đến hoạt động chương trình kích hoạt chương trình, truy cập đến đối tượng Logon / Logoff (Quản lý trình đăng kí tham gia khỏi hệ thống): kiện như: nhập mật khẩu, tên người dùng, kiểu tham gia vào hệ thống (cục bộ, thông qua mạng ) Object Access (Quản lý việc truy cập file đối tượng khác): kiện liên quan đến việc truy cập tài nguyên, thành công hay không thành công Policy Change (Thay đổi cách thức an toàn): thay đổi đến sở liệu an toàn như: thay đổi đặc quyền, khả đăng nhập, xác nhận tính hợp lệ đối tượng Privilege Use : kiện liên quan đến quyền hạn người dùng System Event: kiện có ảnh hưởng đến tính an tồn hệ thống Để quan sát kiện xảy hệ thống, Windows 2000 cung cấp trình tiện ích Event Viewer Event Viewer cho phép xem xét cách chi tiết kiện xảy hệ thống mở file, đóng file, hoạt động tiến trình người dùng, thay đổi mật khẩu, kiện xác nhận an tồn Ví dụ : Sự kiện phát sinh thao tác file TEST.TXT Kiểu kiện Success Audit tức xác nhận thao tác file thành công, định danh Event ID 560 tức Object Open Như vậy, kiện ví dụ ám việc mở file TEST.TXT người dùng thành công Một số Event ID tham khảo: Quản lý việc truy cập đến đối tượng và file: 560: Object Open : bắt đầu thao tác đối tượng (Mở file ) 561: Handle Allocated : xác định đối tượng (Kiểm tra tính tồn ) 562: Handle Closed : chấm dứt truy cập đến đối tượng (Đóng file) 63 63 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao 592: New Process Has Been Created : tiến trình tạo 593: Process Has Exited : kết thúc tiến trình Quản lý người dùng 624: User Account Created : tạo tài khoản 632: Global Group Member Added : thêm người dùng vào nhóm global 636: Local Group Member Added : thêm người dùng vào nhóm local 642: User Account Changed : thay đổi tài khoản người dùng Quản lý hệ thống 512: Windows 2000 Starting Up : Wins NT bắt đầu khởi động 514: Authentication package Loaded : tiến trình xác nhận trình đăng nhập gọi (xem thêm trình đăng nhập người dùng phần sau) Để theo dõi kiện phát sinh thực thao tác đòi hỏi người dùng phải tham gia vào hệ thống với tư cách Server Administrator để thiết lập chế xác nhận kiện dùng tiện ích User Manager for Domains để thiết lập chế xác nhận chức Audit Policy: III.3.3 ĐỚI TƯỢNG NGƯỜI DÙNG VÀ Q TRÌNH ĐĂNG NHẬP III.3.3.1 Những thông tin về người dùng Đối tượng người dùng hay người dùng đơn giản người tham gia vào hệ thống Họ tham gia vào hệ thống Windows 2000 hình thức Windows 2000 Workstations, Server hay tham gia từ xa thông qua mạng Mỗi người dùng hệ thống Windows 2000 bắt buộc phải có tên (user name), tài khoản (account) mật (password) để tham gia vào tài khoản Những thông tin người quản trị mạng cung cấp lưu trữ sở liệu tài khoản (Security Accounts database - Security Policy database) Sau người dùng tham gia vào hệ thống, phận Local Security Authority (LSA) xác nhận tính hợp lệ người dựa thơng tin lưu sở liệu thông tin mà người dùng nhập vào trình Logon Tên người dùng chuỗi dài không 20 kí tự khơng phân biệt kiểu chữ hoa hay thường khơng chứa kí tự đặc biệt như: / \ [ ]: ; ! = , + # ? < > Tên người dùng dùng tên đăng nhập (logon name) vùng (domain) yêu cầu tối thiểu tạo tài khoản người dùng Mật người dùng chuỗi dài khơng q 14 kí tự có phân biệt chữ hoa hay thường, 64 64 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao mã hóa để đảm bảo khơng thể đọc từ người hệ thống kể người quản trị Sau xác nhận người dùng với hệ thống, LSA tạo Thẻ truy xuất bảo mật (Security Access Token - SAT) cho người dùng SAT bao gồm Số bảo mật (SID), SID nhóm mà người dùng tham gia thêm số thông tin khác tên người dùng, tên nhóm chứa người dùng người dùng thực thi trình ứng dụng SAT gởi đến cho trình ứng dụng Như vậy, người dùng (hay trình ứng dụng người dùng) muốn truy cập đến đối tượng, Windows 2000 dựa SID chứa Thẻ truy xuất bảo mật xem xét danh sách quyền người để đảm bảo việc truy cập hợp lệ III.3.3.2 Quyền người dùng Một mục tiêu chế an toàn Windows 2000 giám sát điều khiển việc truy cập người dùng vào đối tượng hệ thống máy tính Để thực điều này, chế an toàn lưu giữ sở liệu thông tin an tồn người dùng, nhóm đối tượng họ tạo ra, kiểm tra tính hợp lệ yêu cầu truy cập đến đối tượng người dùng trực tiếp tạo hay gián tiếp từ trình ứng dụng họ Ngồi ra, hệ thống cịn có nhiệm vụ giám sát điều khiển việc truy cập người dùng đến đối tượng bao gồm đối tượng nhìn thấy máy in, file… đối tượng tiềm ẩn tiến trình, name-pipe… Như vậy, chế an tồn khơng điều khiển việc định phép sử dụng đối tượng mà cịn điều khiển việc truy cập diễn ra Windows 2000 quy định người quản trị mạng (hay có quyền thay đổi chế quyền) có tồn quyền tạo, gán thay đổi quyền người dùng đến đối tượng, khả gọi discretionary access control Ví dụ, người quản trị mạng đặt nhóm NHANVIEN có quyền Read thư mục SOFTWARES, cịn nhóm QUANTRI có quyền Read, Write Execute thư mục Để áp đặt quyền hạn người dùng file hay thư mục, dùng trình quản lý file Explorer, chọn mục Permissons trình đơn hay menu nhấn nút phải chuột vào file hay thư mục Ví dụ: Một số quyền (Permissions) mà người dùng có file xác định: đọc (Read), viết (Write), xóa (Delete), thay đổi quyền (Change Permission), thi hành (Execute), lấy quyền sở hữu (Take Ownership), cấm truy cập (No Access) Hầu hết người dùng Windows 2000 thuộc nhóm cài sẵn (builtin group) Administrators, Guests, Users đó, ngầm định người thừa hưởng quyền (rights) khả (capabilities) thao tác hệ thống mà nhóm có Ví dụ, người dùng thành viên nhóm Administrators thực thao tác quản trị hệ thống tạo tài khoản, thay đổi mật người dùng, thiết lập quyền Nếu người dùng thành viên nhiều nhóm quyền người tập hợp quyền tất nhóm hội lại 65 65 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao Trên Windows 2000 có thuật ngữ mang ý nghĩa thể quyền hạn người dùng hệ thống Permissions, User rights Built-in capabilities thực tế chúng có ý nghĩa khác biệt Ta giải thích sau: Permissions (sự cho phép): ám quyền hạn người dùng liên quan đến việc sử dụng tài nguyên bao gồm luật thao tác mà người có khơng thể thực đối tượng tài nguyên Những quyền hạn loại lưu trữ Danh sách điều khiển truy cập ACL liên kết với đối tượng tài nguyên Ví dụ, tài nguyên file thư mục có quyền Read, Write, Delete User rights (Quyền người dùng): ám quyền hạn người dùng liên quan đến thao tác có liên quan đến việc quản trị hệ thống Shut down máy, đăng nhập, thay đổi thời gian hệ thống User rights phân phối ngầm định cho nhóm cài sẵn phủ lấp Permissions Ví dụ, người dùng thành viên nhóm Backup Operators người có quyền Tạo dự phịng (backup) phục hồi liệu (restore) cho dù người khơng có quyền (permissions) Read hay Write User rights Permission thay đổi người dùng thuộc nhóm Administrators Built-in capabilities: ám khả mạnh liên quan đến việc quản trị hệ thống nhóm cài sẵn tạo tài khoản, chia sẻ tài nguyên, định dạng đĩa cứng máy server Những khả ngầm định, thay đổi kể Administrators III.3.3.4 Quá trình đăng nhập Trước người dùng thực thao tác hệ thống Windows 2000, người phải trải qua q trình đăng kí thâm nhập – đăng nhập Việc đăng kí bao gồm việc nhập vào Tên người dùng (User name), Mật (Password) Tên máy tính (Computer name / Domain) Windows 2000 dùng Tên cho việc định danh Mật để xác nhận để phân phối hay hạn chế quyền người dùng dựa thơng tin Ta có sơ đồ đăng nhập người dùng vào hệ thống: Cụ thể thể qua bước : Người dùng nhấn tổ hợp phím Ctrl+Alt+Del để bắt đầu q trình đăng kí Ctrl+Alt+Del tổ hợp phím đặc biệt đánh dấu việc bắt đầu tải hệ điều hành vào nhớ tránh việc số chương trình bất hợp lệ (như virus ) vào trước hệ điều hành đánh lừa người dùng để lấy cắp Tên người dùng Mật Người dùng nhập Tên Mật khẩu, tiến trình đăng nhập Logon Process gọi LSA LSA chạy tiến trình xác nhận Authentication package Authentication package dựa vào Tên Mật người dùng để xác định xem 66 66 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao tài khoản người dùng có tồn Cơ sở liệu tài khoản hay khơng Nếu khơng tồn tại, tiến trình quay trở lại bước Nếu tài khoản tồn tại, trình quản lý tài khoản SAM trả SID người dùng nhóm chứa người dùng cho trình Authentication package Trình Authentication package tạo logon session gửi logon session với SID người dùng cho LSA Nếu việc đăng kí bị hủy, logon session bị hủy quay lại bước Ngược lại, Thẻ truy xuất bảo mật tạo cho người dùng (chứa SID quyền người dùng) gửi trở lại Tiến trình logon đánh dấu việc xác nhận thành công Logon session gọi Win32 subsystem để tạo môi trường cho người dùng Người dùng bắt đầu sử dụng Windows 2000 Thẻ truy xuất bảo mật (Security Access Token) tạo nhằm đảm bảo người dùng tìm cách truy xuất đến đối tượng bảo vệ, Bộ phận giám sát an toàn (Security Reference Monotor) thi hành thủ tục để kiểm tra tính hợp lệ truy xuất dựa thẻ truy xuất Bất kì tiến trình mà người dùng tạo gắn thêm thẻ truy xuất bảo mật người dùng để kiểm tra tính hợp lệ tiến trình muốn truy xuất sử dụng tài nguyên Thẻ truy xuất bảo mật chứa số thông tin sau: Số bảo mật người dùng (Owner’s Security ID) Số bảo mật nhóm (Group’s Security ID) Các đặc quyền (Privileges) Số bảo mật nhóm Danh sách điều khiển truy cập ngầm định (Default Access-control list (ACL) ) Nguồn thẻ truy xuất Kiểu thẻ truy xuất (thẻ hay phân cấp) Mức độ phân cấp hành Những thông tin khác 67 67 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao III.3.3.5 Xác nhận việc truy cập Để đảm bảo việc truy cập người dùng đến đối tượng hợp lệ, Windows 2000 so sánh thơng tin an tồn Thẻ truy xuất bảo mật - SAT người với thơng tin bảng mơ tả an tồn đối tượng Như vậy, việc truy cập bước đầu xem thành công thông tin phù hợp với Tức thơng tin an tồn Danh sách điều khiển truy cập – ACL liên kết với đối tượng (ACE) xác nhận người dùng có quyền truy cập đến Tập hợp kiểu truy cập mà người dùng muốn thực đối tượng hình thành nên Mặt nạ truy cập yêu cầu (desired access mask) Mặt nạ truy cập thường chương trình người dùng tạo so sánh với ACE danh sách ACL đối tượng truy cập Quá trình xác nhận truy cập thông qua bước: SID ACE liên kết với đối tượng so sánh với SID Thẻ truy xuất người dùng Nếu khơng giống việc so sánh chuyển qua ACE (Các ACE AccessDenied xử lý trước ACE AccessAllowed – Xem lại phần I Những thơng tin an tồn) Nếu việc truy cập bị hoãn lại, hệ thống kiểm tra kiểu truy cập Mặt nạ truy cập yêu cầu xem có phải READ_CONTROL hay WRITE_DAC người muốn truy cập có phải chủ sở hữu đối tượng hay không (Nếu người sử dụng chủ sở hữu đối tượng kiểu truy cập READ_CONTROL WRITE_DAC gán tự động) Nếu quyền truy cập phân phối cho người Đối với ACE AccessDenied, hệ thống so sánh kiểu truy cập ACE với Mặt nạ truy cập trên, có truy cập trùng mặt nạ truy xuất bị huỷ bỏ Ngược lại so sánh đến ACE kết tiếp Đối với ACE AccessAllowed, hệ thống so sánh tương tự bước Nếu trùng người dùng phân phối quyền truy cập, ngược lại qua ACE Nếu đến cuối danh sách ACL mà Mặt nạ truy cập u cầu khơng trùng việc truy cập bị hủy bỏ 68 68 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao III.3.4 CƠ CHẾ AN TỒN TRÊN FILE VÀ THƯ MỤC Đảm bảo tính an tồn liệu đặc tính ưu việt Windows 2000 yêu cầu hệ điều hành mạng Trên Windows 2000, đối tượng liệu (file, thư mục) thời điểm có nhiều người truy cập đến Việc dùng chung gọi chia sẻ file mạng, điều dẫn đến việc tính bảo mật qn liệu bị vi phạm Để thực điều đó, Windows 2000 cung cấp khả thiết lập chế an toàn đối tượng liệu đặt quyền hạn, thiết lập giao tác (transaction) đối tượng liệu, khả giám sát việc truy cập người dùng - Một giao tác đối tượng liệu tập hợp thao tác truy cập đến đối tượng liệu cho thành cơng giao tác tương ứng tất thao tác hoàn tất cách trọn vẹn, ngược lại giao tác khơng thành cơng đảm bảo đối tượng liệu trở tình trạng ban đầu lúc trước thực giao tác An toàn file thư mục phần chế an toàn chung đối tượng Windows 2000 Do đó, số tính an tồn chung áp dụng cho file thư mục tương tự đối tượng khác Ngồi ra, để thực chế an toàn đến đối tượng file đòi hỏi Windows 2000 phải cài với hệ thống file NTFS, FAT an toàn đến cấp thư mục Đối tượng file việc điều khiển thao tác file: Đối tượng file logic hóa tập hợp liệu có cấu trúc không lưu trữ thiết bị lưu trữ Do đó, thao tác đối tượng file, người sử dụng khơng cần biết cấu trúc thật file cách mà hệ thống sử lí với Một đối tượng file chứa liệu đặc biệt hệ thống hay đơn giản liệu người dùng thông thường để đảm bảo việc truy cập hợp lệ, Windows 2000 cho phép thiết lập thuộc tính an toàn đối tượng theo nhiều mức độ khác nhau, hạn chế ngăn cấm truy cập không phép Một cách ngầm định, đối tượng liệu (file, thư mục) tạo gán số quyền ngầm định dùng chung cho người dùng quyền dành riêng cho chủ sở hữu đối tượng Ngồi ra, quyền mặc định đối tượng file giới hạn phạm vi máy tính Windows 2000 hay tài nguyên chung mạng Như đề cập, chế an toàn file áp dụng đối tượng khác Việc tạo, sửa đổi hay xố file xử lý thơng qua thành phần thực thi Object Manager thông qua giám sát Bộ phận giám sát an toàn (SRM) Tất yêu cầu thao tác đối tượng file (bao gồm thao tác như: mở file, tạo mới, xóa file ) người dùng trước đến phận Object Manager phải qua trình xác nhận SRM SRM kiểm tra so sánh thông tin Thẻ truy xuất bảo mật người dùng (SAT) Danh sách điều khiển truy cập (ACL) đối tượng (ACL : xin xem phần I Những thơng tin an tồn) để xác nhận xem người có quyền thao tác đối tượng file hay khơng, có gồm quyền Nếu phận giám sát an tồn (SRM) từ chối yêu cầu tạo đối tượng file yêu cầu khơng đến Object Manager thông báo trở lại cho I/O Manager 69 69 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao biết thao tác yêu cầu bị từ chối Ngược lại yêu cầu chuyển đến Object Manager Object Manager tạo file gửi mã trạng thái cho I/O Manager thông báo thao tác thành công hay thất bại Tương tự đối tượng khác, thơng tin an tồn đối tượng file lưu trữ Bảng mơ tả an tồn Security Descriptor Bảng chứa số thông tin liên quan đến file như: Tên file, Thư mục chứa file, SID Danh sách điều khiển truy cập Danh sách điều khiển truy cập cho đối tượng file gọi Danh sách điều khiển truy cập tùy chọn (tự do) Descretionary ACL có quyền truy cập đến file, bị ngăn cấm Mỗi ACE DACL đến đối tượng người dùng chứa quyền mà người có file Mặt nạ truy cập Access Mask Mặt nạ truy cập đối tượng file có chứa kiểu quyền: kiểu xác định, kiểu chuẩn kiểu chung Kiểu xác định gồm có: FILE_READ_DATA, FILE_WRITE_DATA, FILE_APPEND_DATA, FILE_READ_EA, FILE_WRITE_EA, FILE_EXECUTE, FILE_READ_ATTRIBUTES, FILE_WRITE_ATTRIBUTES (xin xem phần I Những thông tin an tồn) Kiểu chung gồm: FILE_GENERIC_READ, FILE_GENERIC_WRITE, FILE_GENERIC_EXECUTE Có phân biệt DACL rỗng (empty DACL) DACL khơng gán (unassigned DACL) Một DACL rỗng có nghĩa khơng có quyền truy cập cung cấp cho đối tượng khơng phép truy cập, nhiên, chủ sở hữu đối tượng thay đổi DACL cung cấp lại quyền DACL khơng gán nghĩa khơng có bảo vệ đối tượng người có quyền truy cập Quyền hạn file a Phân loại quyền: Các quyền (permissions – gọi cho phép) áp đặt file thư mục khác phân phối hay hạn chế tùy thuộc thao tác truy cập đến đối tượng Một đối tượng liệu (file, thư mục) Windows 2000 cung cấp loại quyền: quyền đặc biệt quyền chuẩn Các quyền đặc biệt gồm: R (Read): đọc W (Write): viết X (Execute): thực 70 70 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao D (Delete): xóa P (Change Permissions): thay đổi quyền O (Take Ownership): lấy quyền sở hữu Các thao tác áp dụng quyền đặc biệt file : Các thao tác áp dụng quyền đặc biệt thư mục : Các quyền tiêu chuẩn gồm: Các quyền đối với file Read (RX) : đọc chạy chương trình (nếu file chương trình) Change (RWXD) : đọc, sửa xóa file Full Control (RWXDOP) : đọc, sửa, xóa, đặt quyền hạn lấy quyền sở hữu No Access : cấm truy cập, người dùng thành viên nhóm cấp quyền truy cập Các quyền đối với thư mục được biểu diễn theo dạng sau (Các quyền thân thư mục)(Các quyền thừa kế cho file thư mục đó) List (RX)(Khơng xác định) : người dùng có quyền liệt kê file thư mục thư mục Ngồi ra, người dùng có quyền thay đổi thư mục khơng thể truy cập đến file tạo sau đặt quyền Read (RX)(RX) : đọc nội dung file thư mục chạy ứng dụng thư mục Add (WX)(Khơng xác định) : thêm file vào thư mục đọc nội dung hay thay đổi file Add & Read (RWX)(RX) : thêm file, đọc khơng sửa nội dung Change (RWXD)(RWXD) : thêm, đọc, sửa đổi nội dung xóa file thư mục 71 71 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao Full Control (RWXDPO)(RWXDPO) : thêm, đọc, sửa đổi, xóa, đặt quyền lấy quyền sở hữu thư mục file thư mục No Access ()() : cấm truy cập Ví dụ : Một thư mục áp đặt quyền (RWX)(RX) có nghĩa (RWX) quyền thư mục (RX) quyền file thư mục Như người dùng có quyền thêm file vào thư mục đọc khơng sửa đổi file thư mục Một số đặc điểm quan trọng thiết lập quyền đối tượng file thư mục: Có thể ngăn chặn người dùng truy cập đến quyền cách khơng đáp ứng quyền đến người Nghĩa khơng cần phải gán quyền No Access đến người nhóm mà khơng truy cập đến file thư mục Quyền hạn có tính chất tích lũy Nghĩa là, người dùng A gán quyền Read thư mục D:\BAITAP nhóm mà chứa người dùng A có quyền Change thư mục quyền tổng hợp dành cho người dùng Read + Change = Change Quyền hạn có tính kế thừa: thư mục file tạo thư mục D:\BAITAP thừa hưởng quyền có thư mục D:\BAITAP Theo quy định, người dùng thuộc nhóm Administrators Server Operators có tồn quyền thao tác việc phân quyền file thư mục, bao gồm file thư mục chia sẻ Quyền hạn file thư mục phân phối cho người dùng nhóm sau: Người dùng Domain vùng có chứa server Người dùng Domain Trusted domain Những nhóm cục vùng chứa server Những nhóm tồn cục vùng chứa server Những nhóm tồn cục Trusted domain Các nhóm người dùng đặc biệt: Everyone, INTERACTIVE, NETWORK, SYSTEM, CREATOR OWNER Quyền đối với những tên chia se: Trên Windows 2000 tài nguyên thư mục chia sẻ cho nhiều người dùng truy cập từ nhiều nơi khác mạng Do đó, tài nguyên thư mục có 72 72 Cục CNTT - Bơơ Tài ngun và Môi trường ... nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao 22 22 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao 23 23 Cục CNTT - Bôô... nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao 24 24 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao 25 25 Cục CNTT - Bôô... nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao 26 26 Cục CNTT - Bôô Tài nguyên và Môi trường Giáo trình Quản trị mạng máy tính nâng cao 27 27 Cục CNTT - Bôô