70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Chương 14: Các đặc tính bảo mật trong Windows Server 2003 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 2 Mục tiêu • Xác định các phần tử và kỹ thuật khác nhau dùng để bảo mật hệ thống Windows Server 2003 • Dùng các công cụ Security Configuration and Analysis để cấu hình và rà soát các thiết lập bảo mật • Kiểm toán truy vập vào các tài nguyên và xem lại các thiết lập Security log 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 3 Bảo mật hệ thống Windows 2003 • 5 vấn đề liên quan đến bảo mật: • Authentication (Chứng thực) • Access control (Điều khiển truy cập) • Encryption (Bảo mật) • Security policies (Các chính sách bảo mật) • Service packs & hot fixes 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 4 Chứng thực • Mức độ cơ bản được y/c là 1 user ID và mật khẩu để đăng nhập hệ thống • Trong 1 môi trường domain, chứng thực được tập trung hóa trên mạng; trong khi với môi trường workgroup việc chứng thực là cục bộ • Trong 1 môi trường domain, 1 chứng thực có thể cung cấp quyền truy cập đến nhiều domain và forest • Các phương pháp chứng thực bổ sung có thể áp dụng với các dịch vụ khác (như IIS) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 5 Điều khiển truy cập • Điều khiển truy cập dùng để bảo mật các tài nguyên như file, thư mục, máy in • Các kiểu khác của điều khiển truy cập là các quyền NTFS, thư mục chia sẻ, máy in và các quyền trên đối tượng AD khác • Nguyên lý “cấp ít quyền nhất” ngụ ý là các user chỉ nên có quyền truy cập những cái gì họ cần 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 6 Bảo mật • Các file bí mật lưu trên các NTFS volumn có thể mã hóa dùng EFS • EFS dùng kết hợp khóa công cộng và khóa riêng • Giao thức IPSec mã hóa nội dung của các gói tin gửi qua mạng dùng TCP/IP • 2 chế độ IPSec: transport & tunnel • IPSec gây khó khăn cho các hacker muốn can thiệp vào dữ liệu mạng nhạy cảm 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 7 Các chính sách bảo mật • Các thiết lập chính sách bảo mật có thể cấu hình từ Local Security Policy và Group Policy Object Editor MMC snap-ins • Các thiết lập chính sách bảo mật điều khiển một vùng các thiết lập bảo mật • Windows Server 2003 có một số công cụ phân tích chính sách bảo mật so với các mẫu có sẵn • Security Configuration and Analysis MMC snap-in • Ứng dụng dòng lệnh SECEDIT 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 8 Service Packs & Hot Fixes • Nhiều bản cập nhật và patch quan trọng liên quan đến bảo mật • Các Hot fix cũng giúp xác định 1 số vấn đề đặc biệt • Chúng có thể tải và cài đặt từ Microsoft • SUS có thể hỗ trợ tự động quản lý các bản cập nhật 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 9 Dùng các công cụ Security Configuration Manager • Windows Server 2003 cung cấp các công cụ thiết kế đặc biệt giúp cấu hình và quản lý các thiết lập bảo mật (Security Configuration Manager) • Những công cụ này cùng với các chính sách Group có thể dùng để cài đặt mẫu Security Policy 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 10 Dùng các công cụ Security Configuration Manager (tt) • Công cụ Security Configuration and Analysis sẽ so sánh mẫu bảo mật với các thiết lập đã làm • Công cụ Security Configuration and Analysis gồm: • Các mẫu bảo mật • Các mẫu bảo mật trong các đối tượng GP • Công cụ Security Configuration and Analysis • Lệnh SECEDIT [...].. .Các mẫu bảo mật • Các mẫu giúp bảo đảm thống nhất và dễ dàng bảo trì trên nhiều máy • Các mẫu là các file văn bản • Nhưng không dùng trình soạn thảo văn bản bình thường để chỉnh sửa • Có 1 số mẫu thiết kế sẵn 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 11 Các mẫu bảo mật (tt) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 12... 14-1:Xem các mẫu bảo mật • Mục tiêu: Làm quen với 1 số mẫu bảo mật có sẵn • Start  Run  type mmc  OK  File  Add/Remove Snap-in  Add • Tìm và xem các mẫu có sẵn như chỉ dẫn • Xem các chính sách liên hệ với các mẫu 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 13 Phân tích các mẫu bảo mật thiết kế sẵn • Các máy tính mạng có thể phân loại thành: • Workstations • Servers... Microsoft Windows Server 2003 Environment 16 Áp dụng các mẫu bảo mật • Có thể áp dụng trên máy cục bộ hoặc domain • Với máy cục bộ • Mở Local Security Setting MMC snap-in và import 1 chính sách • Với domain • Dùng các GPO • Các thiết lập bảo mật từ các GPO đè lên thiết lập cục bộ 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 17 Áp dụng các mẫu bảo mật (tt) 70-290: MCSE Guide... Microsoft Windows Server 2003 Environment 18 Thực tập 14-2:Tạo 1 mẫu bảo mật • Mục tiêu: Khảo sát việc tạo 1 mẫu bảo mật tùy biến • Mở 1 New Template từ MMC Security Templates snap-in • Cấu hình các thiết lập cho mẫu mới theo dự định • Lưu mẫu • Xem file mẫu 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 19 Thực tập 14-3: Áp dụng các thiết lập mẫu bảo mật cho các GPO • Mục... Servers • Domain controllers • Các mẫu thiết kế sẵn có thể áp dụng cho 1 loại nào đó • Chỉ có Windows Server 2003, Windows XP, Windows 2000 là dùng được mẫu thiết kế sẵn 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 14 Default Template • Mẫu Setup Security.inf chứa các thiết lập bảo mật mặc định • Nội dung phụ thuộc cấu hình nguyên thủy của máy tính (cài mới, nâng cấp…) •... Audit Policy và xem các thiết lập chính sách khác nhau 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 28 Thực tập 14-5 (tt) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 29 Thực tập 14-5 (tt) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 30 Cấu hình kiểm toán • Vai trò của máy tính trên mạng ảnh hưởng cách cấu hình chính... Windows Server 2003 Environment 22 Thực tập 14-2: Tạo 1 mẫu bảo mật (tt) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 23 Thực tập 14-4: Phân tích các thiết lập bảo mật dùng Security Configuration and Analysis • Mở Security Configuration and Analysis snap-in theo chỉ dẫn và mở 1 csdl mới • Import mẫu hisecdc.inf để so sánh • Thực hiện phân tích • Xem lại và so sánh các thiết... cách cấu hình chính sách kiểm toán như thế nào • Với các server thành viên hoặc các workstation • Các chính sách kiểm toán được hiện thực dùng các GPO gán cho domain hoặc các OU • Với các DC • Các chính sách kiểm toán được hiện thực thông qua Default Domain Controllers Policy áp dụng cho Domain Controllers OU • Với các workstations & servers độc lập • Các chính sách kiểm toán được định nghĩa dùng công... Microsoft Windows Server 2003 Environment 24 Thực tập 14-4 (tt) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 25 SECEDIT • SECEDIT là công cụ dòng lệnh dùng để tạo và áp dụng, phân tích các mẫu bảo mật • Có thể dùng ở nơi mà GP không dùng được • 6 switch chính: • • • • • • Analyze Configure Export Import Validate GenerateRollback 70-290: MCSE Guide to Managing a Microsoft Windows. .. Windows Server 2003 Environment 26 Kiểm toán truy cập tài nguyên & phân tích báo cáo bảo mật • Kiểm toán được dùng để theo dõi các sự kiện trên mạng • Một chính sách kiểm toán định nghĩa sự kiện nào sẽ được ghi lại • Và ghi thành công hay không cũng được ghi nhận • Các sự kiện đã kiểm toán được ghi vào báo cáo bảo mật, có thể xem được qua Event Viewer 70-290: MCSE Guide to Managing a Microsoft Windows Server . Windows Server 2003 Environment Chương 14: Các đặc tính bảo mật trong Windows Server 2003 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 2 Mục tiêu • Xác định các. a Microsoft Windows Server 2003 Environment 12 Các mẫu bảo mật (tt) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 13 Thực tập 14-1:Xem các mẫu bảo mật • Mục tiêu:. gồm: • Các mẫu bảo mật • Các mẫu bảo mật trong các đối tượng GP • Công cụ Security Configuration and Analysis • Lệnh SECEDIT 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 11 Các