Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha MỤC LỤC A\Cách tạo mạng ảo VMware I\ Giới thiệu Vmware II\ Hướng dẫn tạo máy ảo Vmware 15 B\ Update lên domain controller join máy client vào domain23 I\ Giới thiệu domain 24 II\ Xây dựng domain .28 C\ Tìm hiểu xây dựng DHCP 35 I\ Khái niệm DHCP 35 1) Giới thiêu DHCP 35 2) Thuật ngữ DHCP 35 3) So sánh mạng khơng có có DHCP .36 4) Hoạt động DHCP .37 5) Lợi ích DHCP .39 6) Tự cấu hình IP 40 II\ Cài đặt cấu hình DHCP 41 D\ Tìm hiểu xây dựng hệ thống Group Policy .53 I\ System Policy .53 II\ Group Policy 54 III\ Quản trị hệ thống với Group Policy Windows XP .56 SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha LỜI MỞ ĐẦU  Theo xu hướng phát triển xã hội ngày nay,ngành công nghệ thông tin ngành thiếu, mạng lưới thông tin liên lạc giới ngày phát triển, người muốn cập nhật thông tin cách nhanh xác Dựa vào nhu cầu thực tiễn đó, hệ thống mạng internet phát triển, nâng cấp hệ thống mạng cũ, đầu tư trang thiết bị tiên tiến để tối ưu hóa thơng tin cách nhanh  Việc ứng dụng cơng nghệ thơng tin vào xí nghiệp , công ty , trường học yếu tố quan trọng để đưa nước ta sánh vai cường quốc năm châu Đất nước ngày phát triển với nhiều chuyển biến giới nên công nghệ thông tin với người xu tất yếu để hội nhập với công nghiệp Để đảm bảo nguồn thông tin sẵn sàng đáp ứng kiệp thời cho nhu cầu phát triển sản xuất Vì ta phải quản lý thông tin cách khoa học thống giúp người dễ dàng trao đổi truy xuất bảo mật thơng tin  Chính nhóm chúng em định chọn đề tài tìm hiểu DHCP (Dynamic Host Configuration Protocol) hệ thống Control Domain để hiểu rõ thêm trình cung cấp IP động cách thức để quản lý user hệ thống mạng nội làm đồ án tốt nghiệp SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha LỜI CẢM ƠN  Nhóm chúng em xin chân thành cảm ơn thầy cô bạn dành thời gian giúp đỡ chúng em trình thực đồ án  Đặc biệt em xin chân thành cảm ơn thầy Lê Đình Kha người đồng ý hướng dẫn trực tiếp cho đề tài nhóm chúng em Là người tận tình giúp đỡ chúng em thông tin đồ án giải pháp mạng Nhờ mà chúng em làm hồn chĩnh đồ án quan trọng hết chúng em tiếp thu kinh nghiệm thực tế suốt trình thực đồ án  Tuy nhiên, thời gian tìm hiểu thực đề tài cịn hạn, nên có nhiều thiếu sót, mong thầy bảo thêm Chân thành cảm ơn thầy cô bạn đóng góp ý kiến cho đề tài nhóm chúng em SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN TPHồ Chí Minh, Ngày… Tháng… Năm 2010 Giáo viên hướng dẫn Ký tên ghi rõ họ tên SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN TPHồ Chí Minh, Ngày… Tháng… Năm 2010 Giáo viên phản biện Ký tên ghi rõ họ tên SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha NHẬN XÉT CỦA HỘI ĐỒNG CHẤM ĐỒ ÁN TỐT NGHIỆP - SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha A\ CÁCH TẠO MẠNG ẢO BẰNG VMWARE I\ Giới thiệu VMware Các tiện ích VMware: VMware giúp giả lập máy tính ảo máy tính thật Khi cài đặt VMware lên, ta tạo nên máy ảo chia sẻ CPU, RAM, Card mạng với máy tính thật Điều cho phép xây dựng nên hệ thống với vài máy tính riêng mình, cấu hình theo yêu cầu học Cách tạo nên máy ảo từ VMware: Để sử dụng VMware cần tạo nên máy ảo, nơi mà dùng để nối với theo mơ hình định, người sử dụng tạo nên hệ thống cài đặt nên hệ điều hành Chúng ta tuỳ chọn dung lượng ổ cứng, dung lượng RAM, cách kết nối mạng máy ảo… Việc cần làm cài đặt nên hệ điều hành máy ảo Hiện tại, VMware hỗ trợ cài đặt nhiều dạng hệ điều hành Chúng ta cài phiên Windows, Linux, Unix… máy ảo VMware Việc cài đặt hệ điều hành máy ảo hoàn toàn tương tự cách cài đặt máy thật Chia sẻ tài nguyên máy ảo: a- Chia sẻ CPU RAM: Các máy ảo chia sẻ CPU RAM máy tính thật Để đảm bảo hệ thống chạy tốt, yêu cầu máy tính thật phải có cấu hình tương đối cao, khoảng 1GB RAM để chạy đồng thời 4, máy ảo SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha Hình 1: Thay đổi dung lượng RAM b- Chia sẻ ổ cứng: Khi tạo máy ảo, tạo ổ cứng dành riêng cho máy ảo nằm máy thật Ổ cứng ảo tạo vùng đĩa trống ổ đĩa thật, khơng ảnh hưởng đến liệu có ổ đĩa thật Chúng ta tuỳ chọn dung lượng ổ cứng này, ấn định dung lượng để dung lượng ổ cứng động, thay đổi tuỳ theo trình sử dụng sau SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha Hình 2: Tùy chọn dung lượng đĩa cứng c- Chia sẻ card mạng: Sau cài đặt lên, VMware sẻ tạo nên card mạng VMware VMware máy thật máy thật sử dụng card mạng để kết nối với máy ảo Khi lựa chọn cấu hình mạng cho máy ảo, ta chọn chế độ sau: SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha Hình 3: Chọn lựa cấu hình mạng Bridged networking: Card mạng máy ảo gắn trực tiếp với card mạng máy thật (sử dụng switch ảo VMnet0) Lúc này, máy ảo đóng vai trị máy mạng thật, nhận DHCP từ mạng ngồi, đặt IP tĩnh dải với mạng để giao tiếp với máy mạng lên Internet SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành 10 Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha SYSTEM.DAT USER.DAT, Registry máy NT bao gồm file: SAM, SECURITY, SOFTWARE, SYSTEM, DEFAULT, USERDIFF, NTUSER.DAT (không kể file phụ thuộc, chẳng hạn file DAO, ALT, SAV, ) Cho dù file CONFIG.POL NTCONFIG.POL bị xóa khỏi thư mục NETLOGON PUBLIC, system policy tác dụng máy trạm người dùng, CONFIG.POL NTCONFIG.POL chép vào máy trạm người dùng, Registry máy trạm bị thay đổi permanently theo Trong mạng Active Directory Win2k WinS2k3, máy khách Win9x/Me và/hoặc NT quản trị viên phải dùng system policy để kiểm sốt, máy khơng hiểu group policy Win2k WinS2k3 Chỉ có máy khách Win2k/XP/WinS2k3 hiểu group policy mà thơi (Các máy khách Win2k/XP/WinS2k3 tìm, tải xuống, thi hành system policy, CHỈ KHI group policy diện mạng cả) Các mạng NT chẳng chứa group policy II/Group Policy Group policy coi thứ system policy phiên Các sách MS phát minh kể từ Win2k, có ý nghĩa máy Win2k/XP/WinS2k3 Chúng khác biệt với system policy sau: _ Các group policy hữu miền Active Directory, ta đặt chúng lên miền NT _ Các group policy làm nhiều chuyện system policy Ví dụ: dùng group policy để triển khai (deploy) phần mềm cho nhiều máy trạm cách tự động; để ấn định quyền hạn cho số người dùng mạng, để giới hạn ứng dụng mà người dùng phép chạy; để kiểm soát hạn ngạch sử dụng đĩa máy trạm; để thiết lập kịch (script) đăng nhập (logon), đăng xuất (logoff), khởi động (start up), tắt máy (shut down); để đơn giản hóa hạn chế chương trình chạy máy khách; để định hướng lại (redirector) số folder máy khách (như My Computer, My Documents chẳng hạn) v.v _ Không giống system policy, group policy tự động tác dụng máy trạm chúng xóa bỏ khỏi miền AD _ Các group policy áp dụng thường xuyên system policy Các system policy áp dụng vào lúc máy khách khởi động (đối với sách dành cho SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành 57 Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha máy) đăng nhập (đối với sách dành cho người dùng) Các group policy áp dụng lúc máy khách khởi động, lúc máy khách đăng nhập, vào thời điểm ngẫu nhiên khác suốt ngày làm việc (một cách tự động) _ Người quản trị mạng có nhiều mức độ kiểm sốt tinh vi vấn đề _ khơng _ nhận group policy - Group policy hay ho system policy, áp dụng với máy Win2k/XP/WinS2k3 mà (và địi hỏi máy phải thuộc miền AD đó, khơng có AD áp dụng số hạn chế "chính sách chỗ" _ local policy), không áp dụng với máy Windows tiền-2k Tuy tên có từ "group", group policy chủ yếu áp dụng cho site, domain, OU (Organizational Unit) (MS chế acronym để chúng: SDOU) (Nói "chủ yếu" vì, thực áp dụng chúng cho nhóm người dùng, phải sử dụng kỹ thuật lọc chận sách (policy filtering), nhiên việc áp dụng kỹ thuật gây rắc rối cho việc quản trị troubleshooting mạng sau này, làm chậm trình đăng nhập người dùng mạng) Trên máy Win2k/XP Pro/WinS2k3 có sách nhóm chỗ (local group policy), áp dụng máy khơng tham gia vào miền AD (tức tham gia vào workgroup dùng độc lập) Các máy Windows XP Home khơng có local group policy Khi máy Win2k/XP Pro/WinS2k3 nối vào miền AD, ngồi local group policy, cịn áp dụng group policy dành cho Site, Domain, OU chứa (nếu thuộc nhiều OU lồng nhau, policy dành cho OU áp dụng trước) Các policy áp dụng sau override policy áp dụng trước Các group policy dành cho SDOU tạo dạng đối tượng sách nhóm (group policy object _ GPO), GPO lưu trữ phần sở liệu Active Directory phần share SYSVOL (SYSVOL Win2K/WinS2k3 thay cho NETLOGON NT 4) Phần nằm share SYSVOL GPO bao gồm số file thư mục bên thư mục WindowsINNT\SYSVOL\sysvol\Domainname\Policies\GUID , GUID mã nhận diện đơn tồn cầu (Global Unique Identifier) dành cho GPO GPO chỗ máy Win2k/XP Pro/WinS2k3 nằm thư mục %Windir %\System32\GroupPolicy Chương trình để tạo và/hoặc chỉnh sửa GPO tên Group Policy Object Editor, có dạng console MMC tên GPEDIT.MSC (hoặc ta dùng dạng cơng cụ snap-in console MMC khác, ví dụ: console SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành 58 Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha Active Directory Users and Computers, tức DSA.MSC, trang bị sẵn snap-in Group Policy) Trên số nét sơ lược system policy group policy thôi, thực khn khổ viết, chẳng có khả giải thích đầy đủ khía cạnh chúng Muốn bàn loại policy đó, cần đến vài chương sách Thậm chí, có người viết nguyên sách để bàn Group Policy Win2k/WinXP/WinS2k3 Trong "Làm chủ Windows Server 2003", bàn khái niệm cách ứng dụng system policy group policy tập trung chương 8, 9, 12, rải rác số chương khác III/Quản trị hệ thống với Group Policy Windows XP Trong Windows XP có cơng cụ hay, Group Policy (GP) Nhiều người sử dụng Windows lâu chưa biết có cơng cụ khơng tìm thấy Control Panel, Administrative Tools hay System Tools GP thành phần Microsoft Management Console bạn phải thành viên nhóm Adminstrators quyền sử dụng chương trình Nếu khơng, bạn nhận thơng báo lỗi sau: Khởi động chương trình: Có cách khởi động chương trình Cách 1: Vào menu Start > Run, nhập lệnh mmc để khởi động Microsoft Management Console Sau vào trình đơn File, chọn Open Trong cửa sổ Open, nhấn nút Browse tìm đến thư mục System32 Bạn thấy nhiều tập tin xuất có phần mở rộng *.msc Các tập tin dạng thành phần tạo Microsoft Management Console Nếu để ý, bạn thấy số công cụ quen thuộc như: Event Viewer (eventvwr.msc), Services (services.msc) (hai cơng cụ nằm Adminstation Tools) cịn nhiều Trong phạm vi viết này, bạn cần chọn gpedit.msc để mở Group Policy SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành 59 Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha Cách 2: Nếu bạn làm việc thường xuyên với GP cách nhanh Vào menu Start > chọn Run nhập vào gpedit.msc nhấn OK để khởi động chương trình Khi chương trình khởi động, bạn thấy cửa sổ giao diện hình bên dưới: Chương trình phân theo dạng dễ dùng Nếu sử dụng phần mềm Security Administrator, TuneUp Utilities, bạn thấy hầu hết tùy chọn cấu hình hệ thống nằm GP Và bạn hồn tồn sử dụng GP mà Windows cung cấp sẵn để quản trị hệ thống, không cần phải cài thêm phần mềm * Cách sử dụng chung: tìm tới nhánh, Chọn Not configured khơng định cấu hình cho tính đó, Enable để kick hoạt tính năng, Disable để vơ hiệu hóa tính SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành 60 Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha * Computer Configuration: Các thay đổi phần áp dụng cho toàn người dùng máy Trong nhánh chứa nhiều nhánh như: + Windows Settings: bạn cấu hình việc sử dụng tài khoản, password tài khoản, quản lý việc khởi động đăng nhập hệ thống + Administrative Templates:- Windows Components: bạn cấu hình thành phần cài đặt Windows như: Internet Explorer, NetMeeting - System: cấu hình hệ thống Cần lưu ý trước cấu hình cho thành phần nào, bạn cần phải tìm hiểu thật kỹ Bạn chọn thành phần nhấp chuột phải để chọn Help Cịn cách khác khơng chọn Help mà chọn Properties Khi cửa sổ Properties xuất hiện, chuyển sang thẻ Explain để giải thích chi tiết thành phần Mặc định tình trạng ban đầu thành phần “Not configured” Để thay đổi tình trạng cho thành phần đó, bạn chọn thẻ Setting cửa sổ Properties, có tùy chọn cho bạn chọn lựa là: Enable (có hiệu lực), Disable (vô hiệu lực) Not configure (không cấu hình) * User Configuration: giúp bạn cấu hình cho tài khoản sử dụng Các thành SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành 61 Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha phần có khác đơi chút việc sử dụng cấu hình tương tự Phần I: Computer Configuration: Windows Setting: Tại bạn tinh chỉnh, áp dụng sách vấn đề sử dụng tài khoản, password tài khoản, quản lý việc khởi động đăng nhập hệ thống + Scripts (Startup/Shutdown): Bạn định cho windows chạy đoạn mã Windows Startup Shutdown + Security settings: Các thiết lập bảo mật cho hệ thống, thiết lập áp dụng cho tồn hệ thống khơng riêng người sử dụng Name Tóm tắt tính Account Policies Các chính sách áp dụng cho tài khoản của người dùng Local Policies Kiểm định những chính sách, những tùy chọn quyền lợi và chính sách an toàn cho người dùng chỗ Public Key Policies Các sách khóa dùng chung Sau chúng ta sẽ lần lượt vào tìm hiểu chi tiết từng phần nhỏ của nó Account Policies: Thiết lập sách cho tài khoản a> Password Policies: Bao gồm chính sách liên quan đến mật khẩu tài khoản của người sử dụng tài khoản máy Enforce password history: Với người sử dụng có khơng có thói quen ghi nhớ nhiều mật khẩu, buộc phải thay đổi mật họ dùng mật cũ để thay cho mật mới, điều kẽ hở lớn lên quan trực tiếp đến việc lộ mật Thiết lập bắt buộc mật không giống số mật ta định Có giá trị từ đến 24 mật Maximum password age: Thời gian tối đa mật khẩu còn hiệu lực, sau thời gian hệ thống yêu cầu ta thay đổi mật Việc thây đổi mật định kỳ nhằm nâng cao độ an tồn cho tài khoản, kẻ xấu theo dõi thói quen bạn, từ tìm mật cách dễ dàng Số giá trị từ đến 999 ngày Giá trị mặc định 42 Minimum password age: Xác định thời gian tới thiểu trước thay đổi mật Hết thời gian bạn thay đổi mật tài khoản, bạn có SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành 62 Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha thể thay đổi cách thiết lập giá trị Giá trị từ đến 999 ngày Bạn cần thiết lập “Minimum password age” lớn không bạn muốn sách “Enforce password history” có hiệu quả, người sử dụng thiết lập lại mật nhiều lần theo chu kỳ để họ sử dụng lại mật cũ Minimum password length: Độ dài nhỏ tối thiểu cuả mật khẩu tài khoản (Tính bằng số ký tự nhập vào) Độ dài mật có giá trị từ đến 14 ký tự Thiết lập giá trị không bạn không sử dụng mật Giá trị mặc định Password must meet complexity requirements: Quyết định độ phức tạp mật Nếu tính có hiệu lực Mật tài khồn phải đạt u cầu sau: - Không chứa tất phần tên tài khoản người dùng - Độ dài nhỏ ký tự - Chứa từ loại ký tự sau: Các chữ thường (a -> Z), chữ hoa (A -> Z), Các chữ số (0 -> 9) ký tự đặc biệt Độ phức tạp mật coi bắt buộc tạo thay đổi mật đinh : Disable Store password using reversible encryption for all users in the domain: Lưu trữ mật khẩu sử dụng mã hóa ngược cho tất cả các người sử dụng domain Tính năngcung cấp hỗ trợ cho ứng dụng sử dụng giao thức,nó yêu cầu am hiểu mật người sử dụng Việc lưu trữ mật sử dụng phương pháp mã hóa ngươc thực chất giống việc lưu trữ văn mã hóa thơng tin bảo vệ mật Mặc đinh : Disable b> Acount lockout Policy: * Account lockout duration: Xác định số phút cịn sau tài khoản khóa trước việc mở khóa đươc thực Có giá trị từ đến 99.999 phút Có thể thiết lập giá trị không muốn việc tự động Unlock Mặc định khơng có hiệu lực sách có sách “Account lockout threshold” thiết lập * Account lockout threshold: Xác định số lần cố gắng đăng nhập không thành công Trong trường hợp Acount bị khóa Việc mở khóa thực người quản trị phải đợi đến thời hạn khóa hêt hiệu lực Có thể thiết lập giá trị cho số lần đăng nhập sai từ đến 999 Trong trường hợp thiết lập giá trị 0, account khơng bị khóa * Reset account lockout counter after: Thiết lập lại số lần cố gắng đăng nhập sau khoảng thời gian quy định Thiết lập có hiệu lực “Account SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành 63 Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha lockout threshold” thiết lập Local Policies: Các chính sách cục bộ: User rights Assignment: Ấn định quyền cho người sử dụng Quyền người sử dụng bao gồm quyền truy cập, quyền backup liệu, thay đổi thời gian hệ thống… Trong phần này, để cấu hình cho một mục nào đó bạn có thể nháy đúp chuột lên mục đó và nhấn nủt Add user or group để trao quyền cho user Group nào bạn muốn * Access this computer from the network: Với kẻ tị mị, tọc mạch lại phải cho phép chúng truy cập vào máy tính Với thiết lập bạn ý thêm, bớt quyền truy cập vào máy cho tài khoản nhóm * Act as part of the operating system: Chính sách định tài khoản phép hoạt động phần hệ thống Mặc định, tài khoản Aministrator có quyền cao nhất, thay đổi thiết lập hệ thống, xác nhận người dùng nào, sử dụng tài nguyên hệ thống người dùng Chỉ có dịch vụ chứng thực mức thấp yêu cầu đặc quyền * Add workstations to domain: Thếm tài khoản nhóm vào miền Chính sách hoạt động hệ thống sử dụng Domain Controller Khi thêm vào miền, tài khoàn có thêm quyền hoạt động dịch vụ thư mục (Active Directory), truy cập tài nguyên mạng thành viên Domain * Adjust memory quotas for a process: Chỉ định phép điều chỉnh tiêu nhớ dành cho trình xử lý Chính sách có làm tăng hiệu suất hệ thống bị lạm dụng để phục vụ cho mục đích xấu công từ chôi dịch vụ DoS (Dinal of Sevices) * Allow logon through Terminal Services: Terminal Services dịch vụ cho phép đăng nhập từ xa đến máy tính Chính sách định giúp phép sử dụng dịch vụ Terminal để đăng nhập vào hệ thống * Back up files and directories: Tương tự sách trên, cấp phép cho có quyền backup liệu SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành 64 Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha * Change the system time: Cho phép người sử dụng nào có quyền thay đổi thời gian cuả hệ thống * Create global objects: Cấp quyền cho tạo đối tượng dùng chung * Force shutdown from a remote system: Cho phép có quyền tắt máy qua hệ thống điều khiển từ xa * Shut down the system: Cho phép có quyền Shutdown máy Và cịn nhiều sách khác chờ bạn khám phá Nguyễn Quang Duy – IITM Thao tác Internet Explorer (IE) Tìm nhánh User Configuration/Windows Settings/Internet Explorer Maintenance/Browser User Interface - Browser Tittle: nhấp kép đánh dấu kiểm vào ô "Customize Tittle Bars", gõ vào tên AAA Mở IE chế độ about:blank thấy dòng chữ "Microsoft Internet Explorer provided by AAA"! - Custom logo: bạn thay logo Microsoft phía góc phải trình duyệt IE logo riêng (chỉ hỗ trợ file BMP có 16-256 màu kích cỡ 22x22 hay 38x38) Hộp "Customize the static logo bitmaps" dành cho hình tĩnh cịn hộp "Customize the animated bitmaps" dành cho hình động Tìm nhánh User Configuration/Administrative Templates/Windows Components/Internet Explorer - Internet Control Panel: có tất tùy chọn thiết lập không cho thẻ hộp thoại Internet Options General, Security Nếu không giấu thẻ General, bạn quay lại folder Internet Explorer để enable phần "Disable changing home page settings" nhằm vô hiệu hóa việc thay đổi trang chủ IE - Toolbars: enable phần "Configure Toolbar Buttons" cho tùy chọn hiển thị nút cơng cụ IE Tìm nhánh Computer Configuration/Administrative Templates/Windows Components/Internet Explorer - "Security Zone: Use only machine settings": bắt buộc tất user phải chung mức độ security SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành 65 Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha - "Security Zone: Do not allow users to add/delete sites": Security Zone có danh sách site nguy hiểm người dùng thiết lập, enable tùy chọn không cho thay đổi danh sách (cách tốt giấu ln thẻ Security) - "Disable Periodic Check for Internet Explorer software updates": ngăn khơng cho IE tự động tìm phiên Thao tác Windows Explorer Tìm nhánh User Configuration/Administrative Templates/Windows Components/Windows Explorer: - Maximum number of recent document: quy định số lượng tài liệu mở hiển thị My Recent Documents - Do not move deleted files to the Recycle Bin: file bị xóa không đưa vào Recycle Bin - Maximum allowed Recycle Bin size: giới hạn dung lượng Recycle Bin, tính đơn vị phần trăm dung lượng ổ đĩa cứng - Hide the dropdown list of recent files folder Common Open File Dialog: không cho hiển thị danh sách recent file hộp thoại Open (như Word, Excel ) Thao tác Logon Tìm nhánh Computer Configuration/Administrative Templates/Logon - Always use classic logon: làm hộp thoại Logon/Shutdown Windows XP có dạng giống Windows 2000 - Run these programs at user logon: tùy chọn cho phép người dùng lập danh sách file cần chạy đăng nhập vào máy tính, nên sử dụng cho file liệu Thao tác System Restore Tìm nhánh Computer Configuration/Administrative Templates/System Restore - Turn off System Restore: tắt System Restore, người dùng gọi System Restore xuất thơng báo "System Restore has been turn off by group policy To turn on System Restore, contact your domain Administrator" - Turn off Configuration: có tác dụng System Restore kích hoạt, tính vơ hiệu hóa phần thiết lập cấu hình System Restore Thao tác Windows Media Player Tìm nhánh User Configuration/Administrative Templates/Windows Components/Windows Media Player - Phần "Set and Lock Skin" folder User Interface: thiết lập skin SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành 66 Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha cho Windows Media Player - Phần "Prevent Codec Download" folder Playback: ngăn Windows Media Player tự động tải codec Điều khiển đặc quyền tài khoản Administrator Theo Security-olala.vn Tài khoản Administrator làm phép truy cập gì? Có hàng trăm, chí hàng nghìn tài khoản Administrator mạng ngày Bạn điều khiển tài khoản để biết chúng có khả làm phép truy cập gì? Vì lại điều khiển tài khoản Administrator? Nếu người quản trị mạng Windows, bạn đặc biệt quan tâm tới thành phần Active Directory doanh nghiệp Với tất khái niệm bảo mật liên quan domain controller (bộ điều khiển miền), server (máy chủ), service (dịch vụ), application (ứng dụng) Internet connectivity (kết nối Internet), cần bỏ thêm chút thời gian bạn hiểu cách kiểm soát Administrator doanh nghiệp cách phù hợp xác Lý tài khoản cần kiểm sốt mn hình mn vẻ Đầu tiên, mạng, dù trung bình hay lớn có hàng nghìn tài khoản Administrator Khả chúng vượt ngồi tầm kiểm sốt hồn tồn có thực Thứ hai, hầu hết cơng ty cho phép “người dùng tiêu chuẩn” truy cập tài khoản Administrator cục bộ, dẫn đến nguy rủi ro hay tai nạn Thứ ba, tài khoản Administrator nguyên ban đầu buộc phải dùng cách dè dặt Vì vậy, giới hạn đặc quyền cách thông minh để quản lý hệ thống mạng doanh nghiệp Bạn có tài khoản Administrator? Để tìm câu trả lời cho câu hỏi này, bạn cần tính tốn chút Chúng ta bắt đầu với máy tính để bàn sử dụng Windows với tài khoản Administrator cục Đó Windows NT, 200, XP Vista Ngồi cịn xét đến tất máy khách dùng “admin”, nhà phát triển, nhân viên phạm vi máy chủ hoạt động thiết bị ứng dụng hay dịch vụ Cả quán Internet công cộng hay máy tính dùng cho mục đích nghiên cứu, thí nghiệm, trạm làm SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành 67 Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha việc trung tâm hóa, xét đến phạm vi Đừng đếm tài khoản người dùng đây, số thiết bị khơng khớp với số người dùng Bây cần xem xét đến số server bạn có (lúc chưa tính đến domain controller) Với server, bạn cần quan tâm đến nhiệm vụ cụ thể nó: lưu trữ liệu, in ấn, ứng dụng, sở hữu dịch vụ, hoạt động văn phòng hay mail, fax,… Mỗi thiết bị có SAM tài khoản Administrator cục Tài khoản không dùng thường xuyên, có lại cần điều khiển đặc quyền Cuối cùng, bạn cần xem đến domain controller Trên phận điều khiển miền (cũng kiểu máy chủ) có tài khoản Administrator quan trọng, tài khoản điều khiển Active Directory Ngoài cịn domain gốc đóng vai trị quản trị cho doanh nghiệp Nếu bạn có nhiều domain, domain có tài khoản Administrator quan trọng Tài khoản Administrator điều khiển điện nguồn domain có tác động manh Giới hạn đặc quyền đăng nhập Bạn không làm nhiều để giới hạn vật lý đặc quyền đăng nhập tài khoản Administrator Tuy nhiên không nên để chúng sử dụng thường xuyên, hàng ngày Cần giới hạn chúng cách hạn chế số người dùng biết mật Với tài khoản Administrator liên quan đến Active Directory, tốt hết không người dùng biết toàn mật Điều thực dễ dàng với hai tài khoản Administrator khác nhau, nhập phần mật khẩu, dùng tài liệu dẫn dắt đến phần chứa mật Nếu tài khoản chưa cần phải dùng đến, hai phần liệu mật giữ nguyên Một lựa chọn khác sử dụng chương trình tự động tạo mật khẩu, tạo mật tổng hợp Tóm tắt Administrator tài khoản mạnh nhất, có tác động lớn giới hệ điều hành Windows Nhưng tác động lớn mà bạn nên giới hạn dùng thực cần đến Như việc phục hồi gặp cố hay cấu hình ban đầu Để thực hoạt động giới hạn này, bạn cần đến thiết lập bổ sung kiểm soát quyền sử dụng truy cập Administrator Group Policy chế có tác dụng phân phối thiết lập hạn chế đặc quyền tới tất máy tính cần giới hạn Administrator Chỉ cần thiết lập tạo cách phù hợp, tài khoản Administrator kiểm sốt, khơng hoạt động mà muốn theo dõi có kẻ xâm phạm muốn cơng mạng bạn mà không cần tài khoản SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành 68 Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha Quản lý Windows Firewall với Group Policy Windows Firewall chương trình tường lửa tích hợp vào Windows XP Service Pack hay Windows 2003 Service Pack 1, giúp người dùng an toàn lướt web Microsoft cung cấp tập tin quản trị system.adm cập nhật thiết lập cho Group Policy cho phép bạn cấu hình tường lửa tốt sử dụng AD (Active Directory) dựa GPO (Group Policy Object) Để truy cập vào phần thiết lập cho tường lửa Windows Group Policy, vào Start – Run, gõ gpedit.msc , Enter để hộp thoại Group Policy mở Tiếp theo, vào nhánh sau: Computer Configuration, Administrative Templates, Network, Network Connections, Windows Firewall Tại hộp thoại này, bạn cấu hình cho tường lửa Windows qua thư mục: Domain Profile Standard Profile • Domain Profile: thiết lập cho Windows Firewall máy tính kết nối đến mạng AD • Standard Profile: thiết lập cho tường lửa máy tính khơng kết nối đến mạng Những thiết lập cho phép bạn cấu hình cho máy kết nối mạng hay máy từ xa Phần thiết lập thư mục Domain Standard hoàn toàn giống nhau, bạn chọn thiết lập xem mơ tả Sau vài tính Windows Firewall hữu ích mà bạn nên kích hoạt: • Windows Firewall: Protect all network connections: thiết lập buộc tường lửa tắt hay mở cho định danh • Windows Firewall: Do not allow exceptions: Tùy chọn thị cho tường lửa từ chối trường hợp đặc biệt định Kích hoạt thiết lập tương đương với việc chọn “Don’t allow exceptions” (Không cho phép trường hợp đặc biệt) thẻ General Windows Firewall Control Panel • Windows Firewall: Define program exceptions Properties: Thiết lập cho phép bạn tùy chọn định chương trình, giúp bạn cấp phép cho trường hợp đặc biệt “tấm vé” để qua tường lửa SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành 69 Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha • Windows Firewall: Prohibit notifications: Thiết lập dừng thông báo tường lửa chương trình yêu cầu Windows Firewall bổ sung vào danh sách chương trình cho phép • Windows Firewall: Allow logging: Tùy chọn cho phép bạn cấu hình cấp bậc ghi lưu trữ thơng tin cho tường lửa, kích cỡ ghi, tên vị trí Nếu muốn tìm hiểu thêm chi tiết Windows Firewall có Windows XP Service Pack hay Windows 2003 SP1, bạn xem đây: http://www.microsoft.com/technet/pro 7af1445d0.mspx Hack Group Policy phương pháp phòng chống: Việc sử dụng Group Policy việc làm cần thiết, biết cách trống ảnh hưởng (hack group policy) bạn biết phương pháp phòng chống việc phương pháp khác nhà quản trị Tôi nghĩ tất người đồng ý Group Policy ưu tiên phương pháp để cấu hình chuẩn cho tất máy tính hệ thống Group Policy đường để thiết lập cấu hình bảo mật cho tồn máy tính doanh nghiệp Với việc tạo "chuẩn chung" bảo mật thực với Group Policy tương đối dễ dàng, vơ quan trọng việc cấu hình thiết lập cách chuẩn xác cho tồn máy tính doanh nghiệp Một vài trường hợp, Group Policy bị điều khiển người dùng máy Local, điều dẫn đến sai phạm bảo mật thành phần khác Ở giới thiệu làm cách để bạn có quyền thiết lập sách (policy) sử dụng sách vào hồn cảnh cụ thể Typical Group Policy Application: Các thiết lập Group Policy thực chất việc thay đổi Registry cung cấp từ Domain Controller Một đối tượng (máy tính hay người dùng) nhận thiết lập đó, chịu ảnh hưởng việc thiết lập với tồn máy tính họ sử dụng Khi Group Policy Object khác tạo ra, tự động cập nhật thiết lập với đối tượng người dùng hay máy tính Q trình hoạt động chuẩn xác người dùng có đặc quyền administrator máy tính đó, truy vấn vào Registry chỉnh sửa lại làm thay đổi thiết lập chuẩn Group Policy Manual Hacks to the Registry: Khi người dùng máy Local tự chỉnh sửa Registry ghi đè lên thiết lập Group Policy Object, họ có khả thực việc có đặc SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành 70 Đồ Án Tốt Nghiệp GVHD: Lê Đình Kha quyền quản trị (administrative privileges) với máy tính họ ngồi Và theo lý tưởng bạn người quản trị muốn hệ thống hoạt động chuẩn hố chung bạn khơng trao quyền quản trị máy tính họ cho họ Tuy nhiên bạn trao cho họ đặc quyền quản trị máy tính bạn phải dự báo trước vấn đề xảy bạn áp dụng Group Policy Trong trường hợp máy local thay đổi Registry gây ảnh hưởng đến trình áp dụng Group Policy Vì Group Policy thực trình tự động làm tươi, kiểm tra phiên Group Policy Object, khơng có thay đổi phiên Group Policy Object khơng nâng cấp Tuy nhiên việc máy Local tự ý thay đổi Registy hồn tồn khơng phát khơng ghi đè lên thiết lập q trình làm tươi Group Policy Object Ensuring Group Policy Settings Apply: Để chắn điều thiết lập chuẩn sách bảo mật ln ghi đè lên thiết lập máy tính hệ thống, bạn tạo thêm Group Policy Object cung cấp thiết lập cho tồn hệ thống Đó cách làm kỳ cục việc ghi đè lên việc tự ý thay đổi thiết lập Registry máy Local Và lời khuyên trước bạn tạo sách, bạn có thẻ chọn thiết lập mà bạn muốn ảnh hưởng Một hướng giải tốt tạo thiết lập cho bảo mật thiết lập cho Registry Thêm bạn cần lưu lại để sau bạn có chuẩn cần thiết sử dụng để ghi đè lên thiết lập máy local Những thiết lập bạn cần phải thực Computer Configuration, Administrative Templates, System, Group Policy Một Group Policy Object bạn nhìn thấy nhiều sách thiết cần thiết lập với dạng "* policy processing" Sau mở policy, bạn enable policy lựa chọn "Process even if the Group Policy object have not changed", với lựa chọn việc áp dụng sách thực ghi đè lên toàn tự động thay đổi máy Local Start Applying: Chắc chắn thiết lập Group Policy luôn áp dụng cho hệ thống điều vơ quan trọng Khi bạn chưa thạo cấu hình hệ thống, thiết bị bảo mật Việc áp dụng Group Policy tạo cấu hình chung cho hệ thống giúp bạn nhàn nhiều việc bảo vệ hệ thống trước công SVTH: Trương Kim Trung Hiếu - Nguyễn Trung Thành 71 ... khoa học thống giúp người dễ dàng trao đổi truy xuất bảo mật thơng tin  Chính nhóm chúng em định chọn đề tài tìm hiểu DHCP (Dynamic Host Configuration Protocol) hệ thống Control Domain để hiểu. .. chọn Domain Controller for a new domain : cho phép ta tạo domain controller hoàn toàn Additional domain controller for an existing domain : cho phép ta tạo thêm máy chủ Second Domain Controller Domain. .. liệu tài nguyên mạng):ứng dụng: hệ thống mang lớn việc duyệt, tìm kiếm mang dễ dàng hơn.Hơn nữa, để quản lý hệ thống mạng lớn, bạn thường phải phân chia thành nhiều domain thiết lập mối quan hệ