Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 52 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
52
Dung lượng
766,05 KB
Nội dung
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG
-----------------o0o-----------------
BÀI TẬP CUỐI MÔN
Bộ Môn:Ứng dụng truyền thông và an ninh thông tin
1
Contents
I.
Windows 2003 Infrastructure Security
1. Server Roles
Sự khác biệt quan trọng giữa Windows Server 2000 với Windows Server 2003 là Server
Roles. Bản chất Server Rolesđược cấu hình thiết lập cho một tác vụ cụ thể hay một nhóm các tác
vụ. Khi kích hoạt Server Roles cụ thể, bạn có thể cấu hình Windows cho tác vụ đó, và kết quả là
bạn đã tăng cường bảo mật vì chỉ dùng tài nguyên yêu cầu cho tác vụ đó.
Có 12 Server Roles khác nhau trong Windows Server 2003 RC1:
•
•
•
•
•
•
•
•
•
•
•
•
Application Server (IIS, ASP.NET)
DHCP Server
DNS Server
Domain Controller (Active Directory)
File Server
Mail Server (POP3, SMTP)
Print Server
Remote Access / VPN Server
SharePoint Services Server
Streaming Media Server
Terminal Services Server
WINS Server
2. Application Server (IIS, ASP.NET)
Application server cung cấp những dịch vụ ứng dụng quan trọng trong mạng ví dụ như
database (MySQL, SQL Server), Web, FPT server. Với application server, ta cấu hình chung cho
các host biết nơi thật sự lưu trữ file, @wthat is, database hay website, trên second hard drive.
3. DHCP Server
DHCP cung cấp một dịch vụ tuy đơn giản nhưng quan trọng để quản lý cấp phát địa chỉ
IP trong mạng. Trong Active Directory network, bạn phải chứng thực DHCP Server vào Active
Directory. Phải cẩn thận khi cấu hình DHCP Server để cho hệ thống không cấp phát IP cho các
client trái phép.
2
Khi Active Directory là xương xống của Windows 2003, Active Directory tin tưởng vào
DNS, DNS Server trở thành 1 phần quan trong trong tổng thể mạng.
Thường xuyên có những đợt tấn công và DNS, vì vậy, cấu hình riêng biệt cho Server rất
quan trọng. Phương thức tăng cường DNS sẽ được nói trong phần sau (phần WWW and Internet
Securiy Lession).
4. Domain Controller (Active Directory)
Từ phiên bản Windows 2000, thay đổi có ý nghĩa nhất là Active Directory và duy trì tiếp
trong Windows Server 2003. Active Directory là dịch vụ mà nội bộ mạng tin tưởng vào nó, và
Domain Controller thành 1 phần của cơ cấu điểu khiển Active Directory
5. File Server
File Server có vai trò minh bạch hơn so với các server khác. Tuy nhiên, do tính đơn giản,
làm việc quản trị không chặt chẽ, file ko an toàn. Trong server này, tính xác thực là then chốt
trong việc kiểm soát truy cập file và folder.
6. Mail Server (POP3, SMTP)
Mail Server nên chia thành 1 server riêng. Mail Server cũng giống như DNS là mục tiêu
thường xuyên của attacker. Vì thế nên tối thiểu vai trò và dịch vụ chạy trên máy này.
7. Print Server
Thường ko được chú ý, Print Server cũng khá quan trọng. Hồ sở cần được bảo mật nhất
có thể tới được mọi người trong công ty vì vẫn còn trong hàng đợi của Print Server khi ko được
tăng cường bảo mật.
8. Remote Access / VPN Server
Vai trò của Remote Access / VPN Server phải được dùng thật cẩn thận. Server này điểu
khiển client bằng truy cập trực tiếp vào mạng. Chứng thực ở đây là then chốt, bạn phải đảm bảo
chỉ có các clientđã được chứng thực mới có khả năng kết nối vào mạng. Nếu bạn muốn dùng
server role này, phải tùy chỉnh chứng thực ở mức độ cao cho các client.
9. SharePoint Services Server
SharePoint là dịch vụ mới mà Microft đưa ra. SharePoint là dịch vụ hợp tác, để người sử
dụng ở nhiều vị trí khác nhau có thể truy cập và làm việc trên cùng dự án với nhau. Với từng vai
trò của từng người tại những vị trí khác nhau, việc chứng thực cũng rất quan trọng trong việc bảo
mật của server role này.
10.
Streaming Media Server
The streaming media server cung cấp dịch vụ streaming dành cho audio và video cho các
máy client hay cho các nhân viên trong 1 tổ chức. Bạn có thể dùng streaming media server với
3
nhiều mục đích, ví dụ 1 trường hợp dịch vụ remote-access, việc chứng thực ở phía clients là chủ
yếu. Nếu bạn dự tính dùng dịch vụ đa phương tiện của Microsoft qua tường lửa, bạn phải cấu
hình với port khác (mặc dù dịch vụ này có thể cấu hình với port 80).
Để unicast streaming qua Microsoft's Multimedia Messaging Services mms, bạn cần dùng
những port mặc định sau:
•
•
•
TCP - 1755 (Inbound và Outbound)
UDP - 1755 (Inbound và Outbound)
UDP - 1024-5000 (Outbound). Server và remote client sẽ đàm phán port sẽ được dùng
trong suốt phiên hoạt động.
11.
Terminal Services Server
Các dịch vụ đầu cuối cung cấp thách thức duy nhất để bảo mật thật chuyên nghiệp.
Những dịch vụ này cho phép khách hàng từ xa kết nối vào server và ko chỉ truy cập file mà còn
thực thi lệnh và truy cập vào tài nguyên mạng. Khi các chức năng này được hoạt động, ví dụ như
trường hợp điều khiển truy cập từ xa với server khác, việc kiểm soát xem ai có quyền truy cập
vào máy này là tuyệt đối quan trọng. Một trạm server bị hỏng sẽ ngay lập tức gây hại cho tổ
chức.
12.
WINS Server
Windows Internet Name Service (WINS) khi Service này được triển khai trong mạng
Local Area Network nó sẽ phục vụ các Computer trong Network giải quyết để tìm NetBIOS
names lẫn nhau, và một Computer A trong Network này có thể thông qua WINS server để giải
quyết được NetBIOS name của Computer B ở một Network khác (tất nhiên hệ thống WINS
thông thường chỉ được dùng để giải quyết tên Netbios names trong Nội bộ Network của Tổ chức,
tránh nhầm lẫn với cách giải quyết hostname của DNS server- có khả năng giải quyết tên dạng
FQDN của Internet hoặc Internal Network Domain.)
Các Computer trong Internal Network sẽ được cấu hình với vai trò WINS Clients, sẽ
đăng kí tên của mình (Netbios hay là tên Computer names) với WINS server. WINS clients cũng
có thể gửi các yêu cầu truy vấn tên đến WINS server để giải quyết Name thành IP addresses.
Nếu trong Nội bộ Network không có WINS Server, thì Windows clients sẽ gửi các message
dạng Broadcast để tìm Netbios name của Computer muốn giao tiếp.
Tuy nhiên, nếu các Computer này nằm tại một Network khác (với Network ID khác) thí
các Broadcast này sẽ bị ngăn chặn (chức năng ngăn chặn broadcast là mặc định trên các Router).
Lúc này, chúng ta có thể bố trí các máy WINS Server ở các Network khác nhau, sau đó mô tả
chúng là các Replication Partners của nhau.
4
Từ lập trường về bảo mật, WINS đã ko còn được dùng. Khi Active Directory được thiết
kế để hoạt động với DNS và dynamic DNS (DDNS) tiện lợi hơn khi dùng, WINS đã bị giảm
thiểu. Tuy nhiên, nếu môi trường cần WINS, bạn vẫn có thể dùng server role này. Khi dùng
WINS, bạn nên cấu hình mạng để giảm tối đa NetBIOS broadcast và giới hạn trao đổi giữa các
client này.
13.
Windows 2003 Infrastructure Security
Trong nhiều năm, Windows NT 4.0 đáp ứng thị trường rất tốt. Nó cung cấp 1 nền tảng
rộng cho công việc kinh doanh và được phổ biến rộng rãi. Tuy nhiên, đó chỉ là khởi đầu cho thời
đại công nghệ, và Microsoft cần phải đổi mới Windows Server. Nhưng Windows Server 2003 có
gì mới để chuyển sang sử dụng?
Với 1 cách tiếp cận hoàn toàn khác để quản lý mạng, Windows Server 2003 có nhiều
thành phần mới để người quản trị tiện lợi hơn khi dùng. Trong chủ đề này, ta sẽ khảo sát những
thành phần mới và tìm hiểu làm thế nào mà Windows Server 2003 tăng cường bảo mật và các
nguồn tài nguyên trong mạng.
Trong Windows 2003, nếu bạn đặt nhiều máy tính trong cùng 1 nhóm logic, và chia sẻ
nguồn tài nguyên với nhau, bạn phải tạo workgroup. Workgroup thường liên quan đến mạng chia
sẻ ngang hàng vì mọi máy đều giống nhau. Trong 1 workgroup có thể có 1 server; nói đơn giản
thì đó là stand-alone server. Trong trường hợp này, ko có cơ chế kiểm soát bảo mật mạng, và
từng máy sử dụng cơ sở dữ liệu bảo mật cục bộ riêng để kiểm soát truy cập tài nguyên.
Trong Windows 2003, cơ sở dữ liệu cục bộ là danh sách tài khoản người dùng và dữ liệu,
vị trí để truy cập tài nguyên trên từng máy cục bộ. Vì thế, nếu chia sẻ cho 20 người dùng
Windows 2003, phải có 20 cơ sở dữ liệu cục bộ tương ứng. Công việc này ko hiệu quả cho người
quản trị để quản lý tài nguyên và bảo mật.
Cải tiến lớn trong thiết kế mạng với Windows 2003 là mô hình domain. Nhiều mô hình
domain của Windows NT giờ không còn sử dụng. Với thiết kế này, các máy tính được nhóm
chung nhưng kiểm soát khác nhau.
Trong Windows 2003 domain, ta phải nhóm computers và users cùng chia sẻ thư mục cơ
sở dữ liệu trung tâm. Thư mục cơ sở dữ liệu này chứa đựng user account, thông tin bảo mật,
thông tin dịch vụ, và nhiều thứ khác cho toàn bộ domain. Để truy cập vào thư mục này phải dựa
vào LDAP. Thư mục cơ sở dữ liệu này và phương thức để truy cập vào nó được gọi là Active
Directory (AD) và cũng được gọi là dịch vụ chỉ mục Windows 2003 (NTDS).
Giao thức LDAP (Lightweight Directory Access Protocol)
LDAP là một chuẩn giao thức truy cập thư mục đơn giản, hay là một ngôn ngữ để client và
severs sử dụng để giao tiếp với nhau.
LDAP là một giao thức “lightweight ” có nghĩa là đây là một giao thức có tính hiệu quả, đơn
giản và dễ dàng để cài đặt. trong khi chúng sử dụng các hàm ở mức cao. Điều này trái ngược với
5
giao thức “heavyweight” như là giao thức truy cập thư mục X.500 (DAP) sử dụng các phương
thức mã hoá quá phức tạp. LDAP sử dụng các tập các phương thức đơn giản và là một giao thức
thuộc tầng ứng dụng.
Active Directory là một hệ thống chuẩn và tập trung, dùng để tự động hóa việc quản lý
mạng dữ liệu người dùng, bảo mật và các nguồn tài nguyên được phân phối, cho phép tương tác
với các thư mục khác. Thêm vào đó, Active Directory được thiết kế đặc biệt cho các môi trường
kết nối mạng được phân bổ theo một kiểu nào đó.
Mô hình domain của Windows 2003 được quản trị bởi AD, nó thay thế cho tất cả mô
hình domain của Windows NT 4.0. Trong AD, không có máy tính nào được thiết kế là Primary
hay Backup Domain Controller. Thay vào đó, từng máy server mà tham gia vào việc quản lý
domain được gọi là Domain Controller và nó chứa bản sao chép tổng thể của thư mục cơ sở dữ
liệu. (Domain Controller phải chạy Windows Server 2003.)
Windows 2003 domain ko bị ràng buộc bởi vị trí hay cấu hình mạng. Các máy tính với
cùng domain có thể gần nhau như trong mạng LAN (kết nối theo Ethernet truyền thống) hay xa
nhau hơn theo mạng WAN (kết nối theo T1, E1, hay một vài công nghệ WAN khác).
Active Directory là 1 danh sách thông tin cơ sở dữ liệu cho từng đối tượng có trong
domain. Những thông tin này cho biết những đối tượng này sẽ tương tác với những đối tượng
khác ra sao.
Khi dùng Active Directory trong Windows 2003, trong danh sách này có thể bao gồm
thông tin về user accounts, groups, computers, servers, printers, chính sách bảo mật (security
policies), và nhiều thông tin khác. Active Directory khởi đầu với 1 số ít các đối tượng và có thể
phát triển đến hàng hàng triệu đối tượng trong danh sách.
Một thành phần quan trọng của Windows 2003 là DNS. Lý do DNS quan trọng là tùy vào
AD. Active Directory tin tưởng vào DNS cung cấp naming information được yêu cầu tới vị trí tài
nguyên trong mạng.
Ngoài những thông tin được đề cập ở bài trước, AD nắm giữ những thông tin về access
control. Khi người dùng đăng nhập vào mạng, người đó phải được chứng thực bằng những thông
tin có trong Active Directory. Khi một người dùng cố gắng truy cập vào đối tượng, thông tin yêu
cầu để chứng thực truy cập được lưu trữ trong Active Directory và đươc gọi là Discretionary
Access Control List (DACL).
Các đối tượng trong Active Directory có thể được sắp đặt thành các class. Class đại diện
cho 1 nhóm các đối tượng logic đã được người quản trị suy xét. Lớp đối tượng đó bao gồm user
acounts, computers, domains, groups, và Organizational Units (OUs). Bạn cũng có khả năng tạo
container chứa các đối tượng khác. 1 container là 1 đối tượng mà có thể chứa computers, users,
hay các đối tượng khác.
6
14.
Active Directory Components
Trong Windows 2003 có một vài thành phần then chốt hoàn thành nên Active Directory.
Các thành phần mang tính logic và không có ranh giới là domains, forests, trees, và OUs. Các
thành phần của AD mang tính vật lý là domain controller và sites. Các chức năng của AD phân
biệt cấu trúc vật lý từ cấu trúc mạng logic.
15.
Active Directory Logical Structure
Một lợi ích của Active Directory là khả năng xây dựng mạng logic phản chiếu từ cấu trúc
logic của tổ chức đó. Cấu trúc logic này trực quan với người sử dụng, và người đó có thể tìm và
xác định các tài nguyên bằng tên logic mà ko cần kiến thức xắp đặt vật lý trong mạng.
Thành phần chính đằng sau cấu trúc của Active Directory là domain. Một Windows 2003
AD domain bao gồm ít nhất 1 domain và không giới hạn. Microsof đã đặt các đối tượng lưu trữ
trong domain rất thú vị. Những đối tượng này được định nghĩa giống với các đối tượng mà người
dùng cần khi làm công việc của họ. Ví dụ về những đối tượng này là printers, databases, mail
addresses, other users v.v... Từng domain giữ những thông tin về tất cả đối tượng trong domain
và chỉ những đối tượng thuộc về domain đó. Những domain cho phép nối 1 hay nhiều vị trí vật
lý với nhau.
7
Hình 3-1: Ví dụ về mô hình logic mạng của Windows 2003 Active Diretory
Domain được dùng như 1 ranh giới để kiểm soát bảo mật tại nơi đó. Access Control List
(ACL) được dùng để điều chỉnh truy cập xác định đến các đối tượng domain, như là shared
folder, để quy định người sử dụng. ACL chứa đựng quyền cho phép hay chặn truy cập 1 đối
tượng nào đó, ví dụ như người dùng hay nhóm, hoặc 1 đối tượng khác ví dụ như file, folder, hay
printer.
Trong domain có OUs. OU là nơi chứa mang tính logic được dùng để phản chiếu thêm
cho cấu trúc logic của tổ chức. OU có thể chứa uers, groups, shared folder và printer, và các OU
khác trong cùng domain. Mọi domain trong mạng cần phải có một cấu hình OU duy nhất, không
phụ thuộc vào domain khác.
Các chính sách bảo mật và các chính sách liên quan đến cách hành xử của computer và
user (Group Policies) có thể được chỉ định cho một stand-alone computer, a site, a domain, hay
an OU thích hợp. Có thể chỉ định cách chính sách cho từng OU mà bạn ko cần phải làm. Nếu
muốn dùng 1 chính sách dùng cho tất cả OUs trong mạng, bạn có thể chỉ định chính sách đó cho
parent OUs hay cho domain, vì cách hành xử mặc định cho phép các đối tượng con kế thừa cách
chính sách từ các đối tượng cha ở trong Active Directory. Một mục quan trọng khác cần chú ý là
chính những Group Policy là đối tượng trong AD; ngoài ra, các quyền thi hành có thể được cấp
cho GP. Để chính sách có hiệu lực với 1 đối tượng, đối tượng đó phải có quyền tối thiểu là Read
và quyền Apply Group Policy cho chính sách đó.
Một khái niệm mới trong Windows 2003 là forests và trees. Một tree là một cấu trúc
logic, tạo bởi nhóm thiết kế mạng, của 1 hay nhiều Windows 2000 domain chia sẻ cùng 1
namespace. Các Domain được liến kết với nhau theo cấu trúc phân tầng và theo chuẩn đặt tên
DNS. Trong hình 3-3, những domain con của SecuritySertified.Net dùng tên cha của nó trong
cấu trúc tên.
SecurityCertified.Net
Domain
UK.SecurityCertified.Net
Domain
US.SecurityCertified.Net
Domain
8
IL.US.SecurityCertified.Net
Domain
Hình 3-3: Một domain tree của Windows 2003 dùng chuẩn đặt tên DNS
Trong cấu trúc Windows 2003 Active Directory, một forest là tập hợp của một hay nhiều
domain tree độc lập. Những tree độc lập này liên kết trust với nhau. Từng tree trong forest duy trì
hệ thống đặt tên DNS riêng, và không yêu cầu bất cứ namespace tương tự nào từ 1 tree khác.
Từng domain có chức năng riêng của nó, nhưng kết nối logic của forest cho phép truyền thông
trên toàn doanh nghiệp. Cơ cấu của Windows Server 2003 (.NET) phải thêm 1 bước nữa: thực
hiện tin cậy giữa 2 forest để tọa liên đoàn.
Việc thực hiện trust trong Windows 2003 Active Directory khá khác so với Windows NT
4.0. Trong Windows 2003, tất cả trust giữa 2 domain mặc định có 2 chiều transitive trust. Trust
dựa trên Kerberos version 5 là tự động tạo trust khi một domain mới được thêm vào tree.
Domain khởi nguồn của tree được gọi là root domain, và các domain sau đó ở trạng thái 2 chiều
transitive trust nối với tree. Đó là do trust nên các user và computers từ domain nào đó có thể
được chứng thực tại tại bất kỳ domain trong tree hay forest. (Việc chứng thực dựa vào việc thiết
lập quyền riêng).
Note: một transitive trust nghĩa là nếu domain C trust domain B và domain B trust
domain A thì domain C trust domain A.
Khi có một Windows domain cũ trong mạng, như là Windows NT 4.0 domains, một
trust cụ thể có thể được tạo. Trust này được gọi là trust 1 chiều rõ ràng, và nó là notransitive.
Như thế, một mạng dùng Windows 2003 chạy Active Directory có thể truyền thông với domain
cũ như Windows NT 4.0.
Một tùy chỉnh khác để tự tạo trusts là kết nối 2 Windows 2003 domainsnằm ở phía dưới
của trees trong các forest khác nhau. Việc này có thẻ giúp tăng tốc độ truyền thông giữa 2
domain. Cách này được gọi là shotcut trust.
9
16.
Active Directory Physical Structure
Mặc dù việc thiết kế chính và thực hiện Active Directory ở khía cạnh logic, khia cạnh vật
lý cũng phải được giải quyết. Các thành phần chính của khía cạnh vật lý của Active Directory là
các site, sự liên kết giữa các site, và Domain Controllers.
Site được định nghĩa theo microsoft "là một kết hợp của một hay nhiều Internet Protocol (IP)
subnets được kết nối bởi các liên kết đáng tin cậy tốc độ cao tập trung lại nếu được". Fast link
thường được gọi khi kết nối ở tốc độ tối thiểu là 512 Kbps. Nói cách khác, site được thiết kế để
ánh xạ cấu trúc vật lý trong mạng của bạn và có thể hoặc không được tạo các IP subnet khác
nhau.
Cần nhớ rằng domain được thiết kế để phản ánh các nhu cầu hợp lý trong mạng và áp
dụng mô hình logic đó để thiết kế một mạng vật lý.Không có sự liên quan giữa site và domain.
Có thể có nhiều domain trong 1 site, và có thể có nhiều site cho 1 domain.
Một site cũng không phải là 1 phần của DNS namespace. Có nghĩa là khi duyệt đến thư
mục nào dó, ban sẽ thấy các tài khoản user và computer được quản lý bởi domain hoặc OU,
nhưng ko phải bởi site. Có duy nhất 1 thứ mà site chứa đựng là các đối tượng Computer và các
đối tượng liên quan đến kết nối và các mô phỏng từ site này đến site khác.
Các thành phần tô điểm cho Active Directory chính là Domain Controllers (DCs). Những
máy tính chạy DC này phải chạy trên Windows 2003 Servers, và chúng có một bản sao chính
xác của Domain Directory. Trong thực tế, khi thay đổi trong DC thì cũng có hiệu lực với Active
Directory, và tất cả các DCs khác sẽ nhận được bản thay đổi này. Vì một vài domain controller
có thể chứng thực một user, từng controller được yêu cầu phải có Directory này. Các chức năng
căn bản của Domain Controller là:
•
•
•
•
Từng DC lưu trữ 1 bản copy về thông tin Active Directory liên quan đến domain đó (gọi
tắt là một AD partition).
Từng DC sao chép các thay đổi tới tất cả các DC khác để đảm bảo nhất quán mô hình
mạng.
Từng DC sao chép các thay đổi quan trọng tới tất cả các DC khác ngay lập tức.
Từng DC có thể yêu cầu chứng thực đăng nhập.
17.
Windows 2003 DNS
Để Active Directory hoạt động trong khả năng của nó, DNS phải được chạy trong mạng.
Việc triển khai DNS namespace sẽ là nền tảng của AD namespace khi tạo. Bằng cách làm theo
những thủ tục này, bạn có thể dễ dàng truyền thông IP, dùng tên liên quan tới từng mạng.
Một tính năng chính của Windows 2003 là Dynamic DNS (DDNS). DDNS cho phép các
client (các client nhậnIP address tự động (theo máy chủ DHCP)) có tên và IP address đã được
đăng ký trong mạng. Với một DDNS server chạy trong mạng, các máy client tự động truyền
10
thông với server, xác nhận tên và địa chỉ, và cập nhật thông tin DNS mà không cần user can
thiệp vào.
Một lợi íchkhi dùng DDNS trong mạng là khả năng loại bỏ các protocol và các servervice
khác mà đang được chạy liên kết với các tài nguyên. Ví dụ, Windows Internet Name Server
(WINS) của Windows NT 4.0 ko còn cần thiết và NetBEUI cũng thế, nhưng cũng nên cần để
cung cấp thêm khả năng tương tích ngược.
18.
Group Policy Components
Thành phần cuối trong cở cở hạ tầng của Windows 2003 là group policy. Một group
policy là 1 nhóm các thiết lập của user và computer mà được áp dụng cho computers, domains,
OUs, và sites. Ví dụ, bạn có thể thiết lập một group policy để gỡ bỏ 1 các đối tượng trong Start
menu.
Khi cấu hình thiết lập group policy, nó được đặt ở Group Policy Object (GPO). GPO chịu
trách nhiệm kiểm soát ứng dụng chính sách tới các đối tượng Active Directory, như là sites,
OUs, và domains. Khi GPO được cấu hình, nó áp dụng các chính sách tới các đối tượng AD đã
được chỉ định, và mặc định, các chính sách sẽ có hiệu lực tói tất cả các computer chứa trong đối
tượng AD.
Các chính sách ảnh hưởng đến tất cả computers có thể ko như mong muốn, vì thế cần
phải lọc các chính sách cần thiết đã được triển khai cho computers và users. Để lọc ta dùng
Access Control List (ACLs).
Một vài rule được áp dụng cho GPO:
•
•
•
•
Một GPO có thể liên kết đến 1 hay nhiều domain.
Một GPO có thể liên kết đến 1 hay nhiều OU.
Một domain có thể liên kết đến một hay nhiều GPO.
Một OU có thể liên kết đến một hay nhiều GPO.
19.
Group Policy Implementation
Để bắt đầu cấu hình GPO, bạn phải open và dùng Group Policy Editor. Với hầu hết các
tùy chỉnh quản lý trong Windows 2003, nó có thể được mở bằng công cụ Microsoft Management
Console (MMC).
Trong Group Policy Editor, bạn đã được thấy 2 đối tượng cha để quản lý là User
Configuration và Computer Configuration. Bạn tạo GPO sau đó áp dụng các yêu cầu cần thiết.
•
•
Computer Configuration node cung cấp tùy chỉnh để quản lý cách hành xử của operating
system, account policies, IP security policies, và còn nhiều thứ khác.
User Configuration node cung cấp tùy chỉnh để quản lý cách hành xử duy nhất tới user
như là Desktop settings, Control Palnel settings, Start menu settings, và nhiều thứ khác.
11
20.
1.
2.
3.
4.
5.
6.
7.
8.
9.
Configuring a Custom MMC and GPO
Khởi động máy tính của bạn vào Windows 2003,và đăng nhập vào Administrator
Từ Start Menu,chọn Run và vào gõ mmc để vào Microsoft Management Console.
Chọn FileAdd/Remove Snap-In.
Click vào Add button
Trong bảng danh sách,chọn Group Policy Object Editor,và click vào Add.
Lưu trữ GPO trong Local computer,and click Finish.
Click Close,và click OK để đóng cửa sổ Add/Remove Snap-in.
Chọn FileSave,và lưu console với tên Custom_GPO.
Rời khỏi GPO và làm các công việc tiếp theo.
21.
Editing GPOs
Khi bạn tạo ra các GPO,bạn có thể chỉnh sửa vào thêm tùy biến chúng.Nhớ rằng chính
các GPO là đối tượng AD.Do đó, bạn có thể tạo bản sao của GPO, không cần áp dụng chúng
nhưng lưu chúng vào một tập tin, và email cho quản trị viên khác trong công ty của bạn và anh
ấy chỉnh sửa chúng hơn nữa cho các nhiệm vụ chính.Trongnhiệm vụsau đây, bạnsẽchỉnh sửa
cácGPOđểkiểm soátthiết lậpmật khẩutrong domain
Editing a GPO
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
Vào Local Computer Policy
Nếu cần chỉnh sửa GPO,vào Computer Configuration
Vào Windows Settings.
Vào Security Settings.
Mở Account Polocies, chọn Password Policy,và nhấp đôi vào Enforce Password
History option.
Cho số để nhớ mật khẩu,nhập 5 và click OK
Nhấp đôi vào Maximum Password Age option
Trong Maximum age of password,nhập 30 days và click OK
Observe the console. Local Setting bạn cần điều chỉnh là khác nhau đang có hiệu quả
(mặc định) thiết lập.
Tuy nhiênnếubạnđóngvàmở lạicácGPO, cáccài đặtmớinày sẽtrở thànhcácthiết lậphiệu
quả.
Đóng Custom_GPO mà không cần lưu,và sau đó mở lại nó để xác minh rằng các thiết
lập phù hợp và hiệu quả.
Rời khỏi GPO và làm các công việc tiếp theo.
22.
Implementing Multiple GPOs
Mục tiêu: Kiểm traảnh hưởngcủaGPOtriển khai thực hiệnở các cấp độkhác nhauvàđểxác
địnhpolicy setting có hiệu quả.
12
1. Bạnđã được chỉ địnhđểxác địnhcài đặt trình duyệt IEchongười dùngtrongdoanh
nghiệpcủa bạn, và bạnquyết địnhthử nghiệmxác định vớicác GPOkhác nhau.Nếu bạn xác
định các GPO sau, những gì kết quả cuối cùng sẽ được khi một người dùng trong OU này
đăng nhập vào và chạy trình duyệt IE?
● Ở cấp độ web,cấu hình nút công cụ policy là để được kích hoạt,vàcácnúthiển thịtrở
lạivànút Homecho thấytùy chọnđượckiểm tra.
Ở cấp độ domain,cấu hình nút công cụ policy là để được kích hoạt,cácnúthiển thịtrở
lạikhông được đánh dấuvàhiển thịnút Stoptùy chọnđược kiểm tra.
● Ở cấp độ OU,cấuhình nút công cụ policy là để được kích hoạt, hiển thịnútvànút tìm
kiếm và hiển thịcác tùy chọnlịch sửđượckiểm tra.
II.
Windows 2003 Resource Security
Nhiều tài nguyên tồn tại trên mạng và máy chủ Windows 2003, tất cả chúng cần được bảo mật theo một
vài phương pháp. Chúng ta bắt đầu với hệ thống tập tin.
1. File and Folder Security
Trong khi Windows NT 4.0 chỉ có khả năng làm việc với các hệ thống tập tin FAT và NTFS, Windows
2000 làm việc với FAT32, thậm chí Windows 2000 có thể hỗ trợ FAT và FAT32 thì nó vẫn được khuyến
cáo sử dụng NTFS cho tùy chọn bảo mật của nó. Windows Server 2003 nên được cài đặt trên một phân
vùng NTFS.
Việc sử dụng của NTFS trong Windows 2003 (kỹ thuật còn gọi là NTFS version 5) là cần thiết nếu người
quản trị muốn sử dụng Active Directory, Domains, bảo mật tập tin cấp cao. Ngoài ra, thêm vào việc mã
hóa tập tin và phân vùng ổ đĩa yêu cầu NTFS. Một lời khuyên ở đây là tất cả phân vùng vẫn còn chạy
FAT hay FAT32 nên được chuyển đổi sang NTFS để tài nguyên Windows 2003 được bảo mật hiệu quả
hơn. Nếu bạn cần chuyển đổi phân vùng sang NTFS, bạn có thể sử dụng lênh convert c: /FS:NTFS , trong
đó c là phân vùng tập tin được chuyển đổi.
Bất kỳ phân vùng mới nào dù là mới tạo hay chuyển đổi sang NTFS, mặc định sẽ được cho phép nhóm
Everyone truy xuất Full Control. Bởi vì nhóm này bao gồm tài khoản Guest và Anonymous nên bảo mật
chặt chẽ phải được thực thi trước khi bạn cho phép bất kỳ tài khoản người dùng nào được truy xuất hay
thêm vào hệ thống.
Chỉ khi một phân vùng mới tạo ra có thiết lập bảo mật mặc định thì hệ điều hành cài đặt mới hoạt động.
Trong Windows 2003, một vài ước số được thêm vào để ngăn người dùng thay đổi tập tin hệ thống của
Windows. Các thay đổi là việc ẩn thư mục trong thư mục \WINDOWS và thư mục \System32 mặc định;
tuy nhiên, một click nhanh vào tùy chọn Show Files và tất cả sẽ được hiện thị cho bạn. Có sẵn một cơ chế
làm việc cho phép bạn giữ các tập tin không bị thay đổi. Nó được gọi là hệ thống Windows File
Protection (WFP), và công việc của nó là đảm bảo các tập tin hệ thống cài đặt trong suốt quá trình cài đặt
Windows không bị xóa hay viết chồng lên. Chỉ có những tập tin được chữ ký số bởi Microsoft mới có thể
thực hiện những thay đổi này. Bạn nên chú ý điều này khi cài đặt driver cho thiết bị được chấp thuận bởi
Microsoft.
13
2. File and Folder Permissions
Việc xem quyền trong Windows 2003 giống Windows 2000. Để xem quyền hạn cho một đối tượng,
click phải vào đối tượng, chọn Properties và xem thông tin trên Security tab. Chi tiết về data được cung
cấp trên Advanced tab. Quyền hạn tập tin trong Windows 2000 và 2003 thì khác hơn trong Windows NT
4.0. Một số quyền hạn tồn tại được định nghĩa trong list sau:
Traverse Folder/ Execute File – Quyền Traverse Folder chỉ áp dụng với thư mục và quản lý khả
năng user di chuyển qua các thư mục để đến tập tin hay thư mục khác; bất chấp các quyền trên
thư mục. Quyền Execute File chỉ áp dụng cho tập tin và quản lý khả năng user chạy tập tin
chương trình.
List Folder/Read Data – Quyền List Folder chỉ áp dụng với thư mục và quản lý khả năng user
xem tên tập tin và tên thư mục. Quyền Read Data chỉ áp dụng cho tập tin và quản lý khả năng
user đọc tập tin.
Create Folders/Append Data – Quyền Create Folder chỉ áp dụng cho thư mục và quản lý khả
năng user tạo các thư mục bên trong một thư mục. Quyền Append Data chỉ áp dụng cho tập tin
và quản lý khả năng user thay đổi phần kết thúc của một tập tin.
Delete – Quyền này quản lý khả năng user xóa một tập tin hay thư mục.
Read Permissions – Quyền này quản lý khả năng user đọc các quyền hạn của tập tin hay thư
mục.
Change Permissions – Quyền này quản lý khả năng user thay đổi quyền hạn của tập tin hay thư
mục.
Take Ownership – Quyền này quản lý khả năng user nhận quyền sở hữu một tập tin hay thư
mục.
Read Attributes – Quyền này quản lý khả năng user đọc các thuộc tính của tập tin hay thư mục.
Write Attributes – Quyền này quản lý khả năng user thay đổi thuộc tính của tập tin hay thư mục.
Một mình các quyền này không được xem là cho phép hay từ chối truy suất; người quản trị phải xác
định nó cho từng đối tượng. Nói chung, nó không cần thiết phải chỉ định từng quyền cụ thể khi bảo mật
tài nguyên. Bạn thường sử dụng các quyền chỉ định sau : Full Control, Modify, Read and Execute, List
Folder Contents, Read, và Write. Khả năng cụ thể của các quyền này được định nghĩa trong biểu đồ hình
3-9.
Special Permissions
Full
Control
Modify
Read &
Execute
List
Folder
Contents
Traverse Folder / Execute File
X
X
X
X
Read
Write
14
List Folder / Read Data
X
X
X
X
x
Read Attributes
X
X
X
X
X
Read Extended Atributes
X
X
X
X
X
Create Files / Write Data
X
X
X
Create Folders / Append Data
X
X
X
Write Attributes
X
X
X
Write Extended Attributes
X
X
X
Delete Subfolder and Files
X
Delete
X
X
Read Permissions
X
X
Change Permissions
X
Take Ownership
x
x
x
X
x
Hình 3-9 / 242
Như bạn có thể thấy, ví dụ khi bạn áp dụng quyền Read cho một thư mục, nó sẽ nhận List Folder/
Read Data, Read Attributes, và Read Extended Attributes như là các quyền của thư mục. Các quyền của
tập tin NTFS cũng tương tự, ngoại trừ nó không có tùy chọn List Folder Contents, bởi vì quyền này áp
dụng cho một tập tin. Một khác biệt lớn so với quyền Windows NTFS cũ là khả năng từ chối một các rõ
ràng cho từng quyền hạn.
3. Inheritance and Propagation
Khi bạn tạo ra một tập tin mới, tập tin này sẽ thừa kế các quyền của tập thư mục chính của nó
hoặc của phân vùng chính nếu đó là thư mục gốc. Vì vậy, nếu một thư mục chính được thiết lập Everyone
Modify, tập tin bạn tạo ra trong thư mục đó sẽ có Everyone Modify như quyền của nó.
Có một cách mà bạn có thể thay đổi chính sách này để các quyền không làm việc theo cách này.
Bạn có thể tạo một thư mục và áp dụng quyền cho tùy chọn This Folder Only, điều này có nghĩa là dữ
liệu mới tạo ra trong thư mục này sẽ không kế thừa các quyền của thư mục. Những đối tượng mới đó sẽ
kế thừa các quyền được thiết lập ở mức cao hơn. Ví dụ bạn có một thư mục D:\Secure\One và thư mục
này có các quyền áp dụng cho This Folder Only, và bạn tạo một tập tin D:\Secure\One\test.txt . Tập tin
này sẽ thừa kế quyền của nó từ đối tượng D:\Secure.
Bạn cũng có thể khóa việc thừa kế các quyền cho một đối tượng bằng cách xóa tùy chọn Allow
Inheritable Permissions From Parent To Propagate To This Object trên Secutity tab của cửa sổ Properties.
Khi bạn xóa tùy chọn này, bạn sẽ thấy sự xuất hiện của 3 tùy chọn :
Sao chép các quyền mà đối tượng kế thừa
Xóa tất cả các quyền ngoại trừ các quyền được áp dụng riêng biệt.
15
Hủy bỏ các hoạt động và giữ lại các quyền
Tiến trình thiết lập quyền tương tư như Windows NT 4.0, ngoại trừ việc chấp nhận hay từ chối truy
xuất rõ ràng. Nếu bạn muốn cho một user nay một group No Access như trong Windows NT, bạn cho
user hay group đó Deny quyền Full Control trong Windows 2000.
Thiết lập quyền là một việc khá đơn giản, việc mà các chuyên gia bảo mật có thể làm thoải mái. Tuy
nhiên, có một cách mà một kẻ tấn công có thể đi qua bảo mật NTFS của bạn nếu họ có một truy suất vật
lý đến máy tính. Đó là sử dụng hệ điều hành riêng biệt thay thế, MS-DOS.
Bạn có thể nghĩ rằng sử dụng DOS sẽ không có ảnh hưởng lên bất kỳ tập tin nào trên phân vùng
NTFS, và thậm chí DOS không thể nhận dạng phân vùng NTFS. Trong hầu hết các trường hợp thì đúng,
tuy nhiên, có những công cụ và tiện ích trên thị trường được thiết kế để truy xuất NTFS từ DOS. Công cụ
phổ biến nhất và đơn giản là NTFSDOS và được làm bởi một công ty có tên là Sysinternals. Phần Task
sau sẽ cho phép bạn truy suất một tận tin bảo mật NTFS trên DOS.
4. Compromising NTFS Security
1. Trong vùng khởi động Windows 2003, tạo folder có tên Secure.
2. Trong folder, tạo 1 file text mới có tên secret.txt và thêm dòng This is a secure file vào.
3. Thiết lậpbảo mậttrêntập tin nàyđểcácnhómkiểm soátđầy đủtất cả mọi ngườiđãtừ
4.
5.
6.
7.
8.
9.
10.
chốivàthừa nhậntin nhắncảnh báo. Bây giờ,thậm chỉ tất cả các quản trị viên có thể truy
cập tập tin này.
Kiểm tra an toàn bằng cách mở file Secure.txt. Bạn không thể truy cập vào các tập tin.
Khởi động lại máy tính và khởi độngvàoDOSbằng cách sử dụngđĩa mềm khởi
độngchứaNTFSDOS.
Trong DOS prompt,nhập ntfsdos để chạy các tiện ích. Các phân vùng NTFS được gắn
kết với các ký tự ổ đĩa được phân công.
Di chuyển đến vùng mà bạn tạo ra folder Secure, và nhập cd secure để thay đổi thư mục
đến folder này.
Nhập secret.txt để hiện thị các tập tin văn bản ra màn hình.
Thực hiện các nội dung file secret.txt.
Xóa ổ đĩa khởi động,và khởi động lại máy tính
5. The NULL Session
Để một hệ thống cung cấp tài nguyên chia sẻ qua mạng, nó phải truyền thông với mạng. Việc
truyền thông này được thực hiện thông quá các kết nối nặc danh từ hệ thống đến hệ thống. Trong đó, việc
này có thể không thể hiện vấn đề, nhưng nếu một máy kết nối trực tiếp với Intenet, hoạt động này có thể
chấp thuận cho một kẻ tấn công tìm hiểu về mạng máy tính bên trong mà không cần quyền hạn.
Khi một kẻ tấn công kết nói theo cách này (với một đăng nhập nặc danh), nó được gọi là một kết nói
phiên NULL. Để chống lại trường hợp này, bạn nên vô hiệu hóa phiên NULL. Việc này có thể thực hiện
thông qua bất kỳ mô hình bảo mật nào như sau :
1. Mở bất ký mô hình bảo mất nào trong MMC.
2. Điều hướng Local Policices.
16
3. Điều hướng Security Options.
4. Thiết lập các hạn chế thêm cho các kết nối nặc danh để không được truy xuất mà không có các
quyền rõ ràng.
6. Windows 2003 Printer Security
Khi bạn cài đặt tùy chọn bảo mật trên một máy in trong Windows 2003, bạn có 3 quyền mà bạn có
thể áp dụng : Print, Manage Printers và Manage Documents.
Mức độ bảo mật mặc định cung cấp cho các user là Print, có nghĩa là họ được nhận các quyền là
in, dừng, tiếp tục lại, khởi động lại và hủy văn bản
Nếu bạn muốn cung cấp cho user nhiều khả năng điều khiển máy in hơn, bạn có thể cho họ
quyền Manage Documents. Mức độ của quyền này là họ được phép dừng, tiếp tục lại, khởi động
lại, hủy tất cả văn bản
Nếu bạn muốn cung cấp cho các user như người quản lý cấp thấp hay người có trách nhiệm quản
lý tất cả máy in vơí nhìu quyền điều khiển máy in hơn, bạn có thể cho họ quyền Managa
Printers. Điều này có nghĩa họ được phép chia sẻ máy in, thay đổi quyền máy in, thay đổi thuộc
tính máy in, hoặc xóa các máy in.
Mặc dù các quyền thiết lập có thể cung cấp bảo mật mà bạn yêu câu, nhưng bạn vẫn có thể có nhiều
điều khiển hơn qua máy in. Trong thiết lập Advanced của một máy in, bạn có thể xác định số giờ mà máy
in đó hoạt động. Nếu một máy in được sử dụng trong suốt thời gian kinh doanh, không có lý do gì thiết
lập quyền máy in thì nó có thể sử dụng 24x7. Hình thức điều khiển này giúp giữ cho thiết bị được sử dụng
chỉ với mục đích kinh doanh.
Ngoài việc bảo mật cho máy in, bạn phải chú ý đến bảo mật spooler, Một chương trình thường nằm
trong số những trình tiện ích của hệ điều hành, dùng để hướng các lệnh in cất tạm vào một tệp trên đĩa
hoặc trong RAM thay vì vào máy in … Nếu spooler trái với mặc định trong %systemroot% được chấp
thuận Everyone Full Control, vùng này sẽ được chuyển sang một vùng bảo mật NTFS nơi mà nó được
quản lý riêng biệt.
7. Windows 2003 Registry Security
Registry chứa dữ liệu cấu hình cho một máy tính là một mục quan trong để bảo mật một cách
chính xác. May mắn, các user không có cùng mức độ tương tác với Registry như họ có với tài nguyên
mạng.
Trong các phiên bản trước của Windows, bạn phải chọn giữ regedit và regedt32 khi làm việc với
Registry. Trong Windows Server 2003, bạn chỉ sử dụng regedit. Thực thi regedt32 vẫn tồn tại, nhưng
thực chất nó được thi hành trong lênh regedit. Trong Server 2003, tùy chọn các quyền trước đây không
tồn tại trong regedit thì bây tồn tại cho bạn sử dụng. Khi thiết lập các quyền chính trong Registry, bạn có
thể chọn cả Read hoặc Full Control.
Những quyền tồn tại cho Registry thì khác với các quyền sử dụng cho bảo mật tập tin. Danh sách sau
chứa các quyền cho Registry:
17
Query Value – yêu cầu và nhận giá trị của một khóa Registry.
Set Value – đổi giá trị khóa.
Create Subkey – tạo một khóa phụ.
Enumerate Subkeys – liệt kê các khóa phụ.
Notify – thiết lập kiểm định.
Create Link – liên kết khóa này với các khóa khác.
Write DAC – thay đổi quyền.
Read Control – tìm ra chủ nhân của khóa.
Write Owner – thay đổi quyền sở hữu khóa.
Delete – xóa khóa.
Hai quyền có thể áp dụng , Full Control tương đương với tất cả các quyền được liệt kê. Quyền Read
tương đương với các quyền Query Value, Notify, Read Control, and Enumerate Subkeys. Việc liệt kê hay
quyền Read cũng có thể gây hiểu nhầm đôi lúc.
Không có quyền truy xuất đặc biệt nào liệt kê trên trang các quyền chính nhưng có một nút
Advanced. Nếu một user check Read box, bạn nên xem lại quyền truy xuất đặc biệt để chắc chắn các
quyền chính xác cấp cho user đó. Trên cùng trang với các quyền đặc biệt là các thiết lập cho nơi mà thiết
lập quyền này được áp dụng. Bạn có thể áp dụng quyền với This Key Only, This Key và Subkeys, hoặc
Subkeys Only.
8. Default Registry Configurations
Phần trước, chúng ta đã thảo luận các tiến trình đưa ra bởi Windows để bảo vệ tập tin hệ thống.
Cũng có một số hệ thống tại chỗ để bảo vệ Registry theo mặc định. Người quản trị và tài khoản hệ thống
nên có Full Control với tất cả các vùng của Registry.
Power Users được cho các quyền để tạo khóa phụ trong
HKEY_LOCAL_MACHINE\SOFTWARE\key, đó là kết quả của việc chấp thuận họ cài đặt các gói
chương trình mới. Power Users có Full Control trên tất cả các khóa phụ mà họ tạo ra, như tài khoản
CREATOR OWNER làm. Mức độ điều khiển của Power Users không mở rộng ra tất cả các vùng của
Registry. Thí dụ, trong Hardware chia cho Registry, Power Users không nằm trong danh sách các quyền
thiết lập theo mặc định.
Khi thay đổi các vùng của Registry, hãy chắc rằng bạn đã lên kế hoạch những thay đổi thật cẩn
thận, vì các hậu quả ngoài ý muốn có thể xảy ra rất dễ dàng và nhanh chóng. Trong Task sau, bạn sẽ cấu
hình các quyền trên các vùng của Registry.
9. Setting Registry Permissions
1. Đăng nhâp vào Windows 2003 với tên Administrator.
2. Mở Regedit để chuẩn bị cho việc thiết lập quyền của Registry.
18
3.
4.
5.
6.
7.
Chọn HKEY_LOCAL_MACHINE.
Mở SAM và để trống các khóa SAM.
Nhấp chuột phải vào empty SAM, và chọn Permissions.
Trong danh sách Permission, cho Administrators group Full Control. Click OK.
Mở rộngSAMđểxác minh rằngbạncó thể truy cậpthông tintrước đókhông thấy.
10.
Registry Backup
Để bảo vệ bảo mật của Registry, bạn phải có một kế hoạch sao lưu cho hệ thống. Có vài cách thể sao
lưu Registry :
Trước hết là ngay trong Registry – bạn có thể xuất khóa phụ. Nếu bạn sẽ dụng tùy chọn được
xây dựng này, phải chắc rằng bạn bảo mật tập tin xuất thật an toàn.
Nếu bạn không muốn sử dụng tùy chọn có sẵn trong trình soạn thảo Registry, bạn có thể sử dụng
chương trình Microsoft Backup. Tiện ích này có thể tạo ra một bản sao đầy đủ của System State,
bao gồm cả thông tin cấu hình của Registry. Chỉ với các khóa hoặc khóa phụ xuất ra thì tùy chọn
lưu trữ cho dự phòng là quan trọng. Một bản sao System State bị tổn hại cũng phá hủy như một
sự tổn hại của chính server.
Phần cuối cùng để bảo mật đối với dự phòng Registry là trong tập tin OS. Lưu trữ trong thư mục
%systemroot%\repair thiết lập phải được bảo mật. Thư mục này giữ thông tin cấu hình Registry được
dùng trong trường hợp hệ thống cần được sửa chữa.
11.
Exporting Registry Information
Chọn Software subkey với HKEY_LOCAL_MACHINE.
Chọn FileExport.
Tạo folder với tên Reg_Keys trong Windows 2003 partition.
HKEY_LOCAL_MACHINE\SOFTWARE.
Với tên, nhập Software_One và click Save.
Đóng Registry Editor.
Mở My Computer, và di chuyển đến folder Reg_Keys bạn tạo.
Nhấp chuột phải và chọn Properties. Chọn Security tab.
Thiết lậpbảo mậtđểchỉtài khoảnngười dùngcủa bạnđãcó đầy đủ, vàloại bỏ bất kỳquyền
truy cập vàobất kỳtài khoảnngười dùngkháchoặcnhóm.
10. Đóng tất cả các cửa sổ mở.
1.
2.
3.
4.
5.
6.
7.
8.
9.
12.
Blocking Access to the Registry
Bạn có thể muốn thực thi các điều khiển bình thường trên chương trình như Regedit.exe và
Regedt32.exe để ngăn chặn các user trái phép thực thi các ứng dụng này. Tuy nhiên, Nếu bạn hoang
tưởng hơn, bạn có thể hoàn toàn xóa các ứng dụng khỏi ổ cứng và thực hiện quản lý Registry từ xa của
một máy. Trong trường hợp xóa các tập tin thực thi vẫn không đủ tốt với sở thích của bạn, bạn có thể vào
19
Registry và vô hiệu hóa truy xuất đến Registry. Hiển nhiên, đây có thể là một tùy chọn nguy hiểm nếu
bạn thật sự vô hiệu hóa công cụ hiệu chỉnh Registry trên các máy. Bạn sẽ không có sự lữa chọn nào khác
ngoài việc hiệu chỉnh qua một GPO hay quản lý từ xa ở giai đoạn này nên phải chắc rằng bạn có thể thực
hiện quản lý từ xa, nếu cần, ưu tiên nhận hành động này.
13.
Blocking Registry Access
Setup: Đăng nhập vào Windows 2003 với tên Administrator.
1. Mở Regedit, và vào HKEY_CURRENT_USER\SOFTWARE
Microsoft\Windows\Current Version\Policies.
2. Nhấp chuột phải vào Policies, và mở key tên System.
3. Ở bảng bên phải, nhấp chuột phải và thêm giá trị mới DWORD vào
DisableRegistryTools.
4. Cấp cho REG_DWORD giá trị 1. Giá trị 0 sẽ cho Registry Editing Tools.
5. Đóng Registry Editor.
6. Cố gắng truy cập vào Registry với cả Regedit hoặc Regedt32. Bạn không có khả năng
7.
8.
9.
10.
11.
12.
13.
mở Registry Editor.
Từ Start Menu, chọn All ProgramsAdministrative ToolsCustom_GPO.msc.
Mở Local Computer Policy,User Configuration,Administrative Templates,System.
Nhấp đôi chuột vào để ngăn chặn truy cập đến Registry Editing Tools.
Chọn Disable ở nút Radio,click Apply, và click OK.
Đóng Custom_GPO.msc mmc. Không lưu các thiết lập.
Từ Run, mở Regedit. Lưu ý bạn có thể truy cập vào Registry lần nữa.
Đóng tất cả các cửa sổ đang mở.
14.
System Hardening
Bây giờ, khi bạn đã thấy các cách bảo mật tài nguyên, bao gồmm truy xuất đến Registry, là lúc
bảo mật bảo mật chính hệ thống cơ sở. Việc này bao gồm dọn dẹp các dịch vụ không cần thiết, thiết lập
các quyền bảo mật trên các thực thi phổ biến, vô hiệu hóa các hệ thống phụ không sử dụng và giữ cập
nhật trên Service Packs và Hotfixes.
15.
Disabling Services
Trên phần lớn bộ phận cài đặt của Windows, các dịch vụ được nạp vào và chạy mặc định mà
không cần thiết, hoặc chúng cũng không được sử dụng trong môi trường bảo mật. Nhiều dịch vụ được cài
đặt với hệ điều hành, và số khác được thêm vào như các ứng dụng thêm vào của hệ thống.
20
Hinh 3-10
Các dịch vụ có thể là một trong 3 loại Startup sau : Manual, Automatic và Disabled.
Manual Startup nghĩa là bạn sẽ cấu hình dịch vụ khi cần, nhưng nó sẽ không khởi động khi hệ
thống khởi động.
Thiết lập Automatic sẽ thực thi cấu hình khởi động khi hệ thống khởi động
Disabled nghĩa là dịch vụ sẽ không thực thi cho đến khi bạn cấu hình lại cho nó là dịch vụ hoạt
động.
Một đặc trưng tốt trong Windows 2003 là khả năng tìm ra các dịch vụ khác được yêu cầu để cho một
dịch vụ hoạt động. Nó được biết như sự phụ thuộc. Thí dụm để cho dịch vụ Messenger hoạt động hợp lệ,
cả dịch vụ Remote Procedure Call (RPC) và Workstation phải đang chạy.
21
Hình 3-11
16.
Securing Common Executable
Trong gia cố hệ điều hành, một tùy chọn thường ít được chú ý để gia cố các chương trình hiện tại
đang được sử dụng. Bạn có thể tăng cường bảo mật cho hệ thống bằng cách đặt các quyền trên các ứng
dụng này hoặc xóa chúng hoàn toàn.
Với các ứng dụng được liệt kê ở đây, bạn có thể muốn tạo ra một nhóm mới cho từng cá nhân yêu cầu
truy xuất, không bao gồm nhóm người quản trị hoặc tài khoản hệ thống (đôi khi được gọi là LocalSystem
trên một server độc lập). Khi đó, cung cấp mức độ đòi hỏi của các quyền trong thực thi. Phải hiểu rằng
việc thay đổi các quyền ở đây có thể ảnh hưởng đến các ứng dụng, nên bạn có thể điều chỉnh khi cần nếu
sự cố phát sinh. Thêm hoặc xóa khỏi danh sách này cho cấu hình duy nhất của bạn:
arp.exe
at.exe
attrib.exe
22
cacis.exe
cmd.exe
command.exe
debug.exe
dialer.exe
edit.exe
finger.exe
ftp.exe
Ipconfig.exe
nbtstat.exe
net.exe
netstat.exe
nslookup.exe
ping.exe
rcp.exe
rdisk.exe
regedit.exe
regedt32.exe
rexec.exe
route.exe
rsh.exe
runonce.exe
sysedit.exe
telnet.exe
tftp.exe
tracert.exe
23
xcopy.exe
17.
Security Configuration Wizard
Microsoft có một công cụ cho bạn sử dụng trên Windows 2003 để gia cố toàn bộ hệ thống. Trong
khi bạn biết từng mục cần phải được cấu hình, sử dụng một công cụ như thế này cho phép bạn thực hiện
gia cố toàn bộ hệ thống mà không cần phải cấu hình bằng tay từng thiết lập cho toàn bộ hệ thống.
The Security Configuration Wizard (SCW) làm việc bằng cách nhìn vào vai trò của server cho
máy cụ thể của bạn, sau đó tính toán cấu hình thấp nhất cho vai trò đó từ một chính sách an ninh. Bất cứ
thứ gì SCW quyết định là không cần thiết cho chức năng của server sẽ bị vô hiệu hóa.
Theo Microsoft, SCW cấu hình như sau trên server của bạn:
Vô hiệu hóa bất kỳ dịch vụ không cần thiết nào.
Khóa bất kỳ port nào không sử dụng.
Cho phép thêm nhiều địa chỉ rộng rãi và giới hạn bảo mật cho các port mở.
Nếu có thể áp dụng, nghiệm cấm các mở rộng web IIS không cần thiết.
Giảm bớt các giao thức Server Massage Block (SMB), LanMan và Lightweight Directory
Access Protocol (LDAP).
Xác định chính sách kiểm định nhiễu tín hiệu cao
Trong phần này, chúng ta sẽ xem xét tùy chọn cấu hình của SWC, nhưng bạn không thực thi gia cố hệ
thống mức độ cao mà nó có thể yêu cầu. Đó là vì bạn sẽ cần hệ thống của bạn mở cho các task sau trong
khóa học. Trong môi trường sản xuất của bạn, bạn cấu hình SCW như bạn cần và thực thi gia cố toàn bộ
hệ thống.
Có 4 phần chính đối vời SCW :
Phần cấu hình dịch vụ dựa vào vai trò
Phần cấu hình bảo mật mạng
Phần thiết lập Registry
Phần chính sách kiểm định
18.
1.
2.
3.
4.
5.
Installing Security Configuration Wizard
Từ Start Menu, chọn Control PanelAdd Or Remove Program.
Click Add/Remove từ các nút thành phần của Windows.
Trên thanh cuộn phía dưới, check vào Security Configuration Wizard, và click Next.
Chèn hay cung cấp đường dẫn đến Windows Server 2003, click OK.
Click Finish, và đóng cửa sổ Add Or Remove Program.
24
19.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
Using the Security Configuration Wizard
Từ Start Menu, chọn Administrative ToolsSecurity Configuration Wizard.
Trong Welcome screen, click Next.
Tạo Security Policy mới, và click Next.
Chấp nhận tên mặc định của máy chủ của bạn, và click Next. Tại thời điểm này, hệ thống
xây dựng cấu hình hệ thống của bạn.
Thực hiện một lần, click View Configuration Database tạo ra cho hệ thống của bạn.
Nhấp vàobất kỳdòngđể đọccác chi tiếtđểxemcómụchàngđượckích hoạttrênmáy chủcủa
bạn.
Đóng Configuration Database, và click Next.
Ởmàn hìnhcấu hìnhdựa trên vai tròdịch vụ, click Next.
Chọnnhững vai tròmàmáy chủcủa bạnđang thực hiện. Tại thời điểm này, điều này cần
được tập tin máy chủ và máy chủ in.
Chọn các tính năng khách hàng rằng máy chủ của bạn hoạt động, click Next.
Chọn Administration và Other Options mà máy chủ của bạn đang thực hiện, một lần
nữa, các giá trị mặc định là tốt cho công việc này.
Ởmàn hìnhvềcác dịch vụkhông xác định,đểcài đặtmặc định, không phảiđểthay đổichế
độkhởi động, click Next.
Xem danh sáchcácdịch vụđósẽ được thay đổi, và click Next.
Trong màn hình Network Security, click Next.
Chấp nhậncổngmặc địnhmởvàcác ứng dụng, và click Add…button.
Nếu bạnđã cómộtứng dụngtùy chỉnhtrongtổ chức củabạn,đây lànơi màbạnđịnh
nghĩacácgiao thức, sốcổng, vàtheo yêu cầu, cácđường dẫnđếncácứng dụng.
Click Cancel, và click Next.
Xác nhận các cổng được liệt kê, và click Next.
Trong màn hình Registry Setting, click Next.
Chấp nhận các thiết lập mặc định SMB, và click Next.
Chấp nhận các mặc định (không có) cài đặt cho xác thực máy tính từ xa, và click Next.
Chấp nhận các phương thức xác thực mặc định trong nước, và click Next.
Xem lại Registry Settings, và click Next.
Tại bộ phận Audit Policy, click Next.
Chấp nhận thiết lập hệ thống mặc định audit policy, và click Next.
Xem lại Registry Settings, và click Next.
Click Next để lưu Security Policy.
Click nút View Security Policy.
Di chuyển qua các cấu hình cho máy chủ của bạn nếu sử dụng chính sách bảo mật, đóng
SCW Viewer.
Trong tên text box, gõ C:\WINDOWS\Security\msscw\Policies\my_policy.
Xác nhậntênfilechính sáchcủa bạnđã được nhập vào, và click Next.
Click Next.
Click Finish để thoát khỏi Security Configuration Wizard.
25
III.
Windows 2003 Authentication
1. Giới thiệu
Mật khẩu (Password) thường là con đường chủ đạo trong việc phòng chống sự xâm nhập
bừa bãi. Tuy vậy dù một kẻ tấn công không có truy cập vật lý (trực tiếp) đến máy tính, chúng vẫn
có thể truy vập vào máy chủ thông qua giao thức máy trạm từ xa (remote desktop) hoặc xác thực
một dịch vụ thông qua một ứng dụng web bên ngoài.
Mục đích của bài viết này nhằm giới thiệu cho các bạn cách Windows tạo và lưu các hash
mật khẩu và cách các hash mật khẩu đó bị crack như thế nào. Sau khi giới thiệu cách crack mật
khẩu Windows, chúng tôi sẽ cung cấp cho các bạn một số mẹo để bảo vệ bạn tránh được các lỗ
hổng trong các kiểu tấn công này.
2. Windows lưu mật khẩu như thế nào
Windows sử dụng hai phương pháp hash mật khẩu người dùng, cả hai đều có những điểm
mạnh và điểm yếu riêng. Đó là LAN Manager (LM) và NT LAN Manager version 2 (NTLMv2).
Hàm hash (hash function) là hàm một chiều mà nếu đưa một lượng dữ liệu bất kì qua hàm này sẽ
cho ra một chuỗi có độ dài cố định ở đầu ra.
3. Hash mật khẩu LAN Manager (LM)
Hash LAN Manager là một trong những thuật toán hash mật khẩu đầu tiên được sử dụng
bởi các hệ điều hành Windows, chỉ có một phiên bản duy nhất được hỗ trợ cho tới khi xuất hiện
NTLMv2 sử dụng trong Windows 2000, XP, Vista và Windows 7. Các hệ điều hành mới này
vẫn hỗ trợ sử dụng các hash LM để có khả năng tương thích. Mặc dù vậy, nó đã bị vô hiệu hóa
mặc định trong Windows Vista và Windows 7.
Hash mật khẩu loại này được tính bằng một quá trình 6 bước sau:
1. Mật khẩu người dùng được chuyển đổi thành tất cả các ký tự in hoa.
2. Mật khẩu được bổ sung thêm các ký tự 0 vào cho tới khi có đủ 14 ký tự.
3. Mật khẩu mới được chia thành hai hash có 7 ký tự.
4. Các giá trị này được sử dụng để tạo hai khóa mã hóa DES, mỗi nửa đều được thêm vào
một bit chẵn lẻ để tạo các khóa 64 bit.
26
5. Mỗi khóa DES sẽ được sử dụng để mã hóa một chuỗi ASCII định sẵn (KGS!@#$%), cho
kết quả ra trong hai chuỗi văn bản mật 8-byte.
6. Hai chuỗi văn bản mật 8-byte này sẽ được kết hợp để tạo thành một giá trị 16-byte, giá trị
này chính là một hash LM hoàn chỉnh.
Trong thực tế, mật khẩu “PassWord123” sẽ được chuyển đổi như sau:
1. PASSWORD123
2. PASSWORD123000
3. PASSWOR and D123000
4. PASSWOR1 and D1230001
5. E52CAC67419A9A22 and 664345140A852F61
6. E52CAC67419A9A22664345140A852F61
27
Hình 1: Một mật khẩu được biến đổi thành một LM hash
Các mật khẩu tuân theo phương pháp LM hash có một số nhược điểm. Nhược điểm đầu
tiên cần kể đến là sự mã hóa ở đây dựa vào Data Encyrption Standard (DES). DES khởi đầu từ
một dự án của IBM vào những năm 70, dự án sau đó bị sửa đổi bởi NIST, được bảo trợ bởi NSA
và được phát hành như một chuẩn ANSI vào năm 1981. DES được cho là khá an toàn trong
nhiều năm sau những nghiên cứu kỹ lưỡng trong những năm 90 nhờ kích thước key 56-bit của
nó. Tuy nhiên đến đầu năm 1998, Electronic Frontier Foundation thông báo là đã có thể crack
DES trong khoảng thời gian 23 giờ. Từ đó, DES được xem như đã lỗi thời và cũng từ đó nó được
thay thế bằng Triple-DES và AES. Tuy nhiên đây cũng là các chuẩn mã hóa đã có nạn nhân thiệt
mạng với sức mạnh tính toán hiện đại và có thể bị crack một cách dễ dàng.
28
Có lẽ điểm mạnh lớn nhất trong LM hash chính là trong quá trình tạo các khóa (key)
DES. Trong quá trình này, một mật khẩu được cấp bởi người dùng sẽ tự động chuyển đổi tất cả
thành in hoa, sau đó được chèn thêm thành chuỗi có độ dài 14 ký tự (đây là chiều dài tối đa cho
mật khẩu theo phương pháp LM hash), tiếp đó được chia thành hai hash 7 ký tự. Đây là một
điểm yếu khi bạn chuỗi mật mã bị chia nhỏ và chỉ được phép sử dụng các ký tự ASCII in hoa.
Xét về bản chất, thuật toán này làm cho việc sử dụng các ký tự khác cũng như tăng chiều dài mật
khẩu trở nên vô nghĩa, đó chính là điều làm cho các mật khẩu LM trở nên hổng đối với các cố
gắng crack lặp lại nhiều lần (brute-force).
4. Hash mật khẩu NTLMv2
NT LAN Manager (NTLM) là một giao thức thẩm định của Microsoft, giao thức này
được tạo ra để kế vị LM. Có nhiều tải tiến, NTLMv2 được chấp nhận như một phương pháp
thẩm định mới đáng để lựa chọn và được thực thi trong Windows NT 4.
Quá trình tạo một NTLMv2 hash (từ lúc này trở về sau chúng ta viết tắt là NT hash) là
một quá trình đơn giản hơn nhiều với những gì mà hệ điều hành thực hiện, nó dựa vào thuật toán
hash MD4 để tạo hash nhờ một loạt các tính toán toán học. Thuật toán MD4 được sử dụng ba lần
để tạo NT hash. Trong thực tế, mật khẩu “PassWord123” sẽ có kết quả là
“94354877D5B87105D7FEC0F3BF500B33” sau khi sử dụng thuật toán MD4.
29
Hình 2: Mật khẩu được chuyển đổi thành một NTLMv2 hash
MD4 được coi là mạnh hơn đáng kể so với DES vì nó cho phép mật khẩu có chiều dài dài hơn,
có sự phân biệt giữa các ký tự in thường và in hoa, không chia mật khẩu thành các phần nhỏ hơn
(điều tạo sự dễ dàng trong việc crack).
Có lẽ phàn nàn lớn nhất với các NTLMv2 hash là rằng Windows không sử dụng kỹ thuật
mang tên salting (tạm được dịch là ướp muối). Salting là một kỹ thuật mà trong đó một số ngẫu
nhiên được tạo ra để tính toán hash cho mật khẩu. Điều này có nghĩa rằng cùng một mật khẩu có
thể có hai giá trị hash khác nhau hoàn toàn, đây thực sự là điều lý tưởng.
Trong trường hợp này, người dùng có khả năng tạo những gì được gọi là các “bảng cầu
vồng” (rainbow table). Các bảng cầu vồng này không phải là các bảng được trang điểm rực rỡ;
mà chúng thực sự là các bảng có chứa các giá trị hash cho số lượng mật khẩu có thể đối với một
số lượng ký tự nào đó. Sử dụng bảng cầu vồng, bạn có thể lấy một cách đơn giản giá trị hash
được trích rút được từ máy tính mục tiêu và thực hiện một tìm kiếm. Khi giá trị hash được tìm
thấy trong bảng, bạn sẽ có mật khẩu. Như những gì bạn có thể hình dung, một bảng cầu vòng
thậm chí chỉ với một số lượng nhỏ các ký tự cũng có thể trở thành rất lớn, có nghĩa rằng sự sinh
sôi, lưu trữ và đánh chỉ số cho chúng sẽ là một nhiệm vụ khó khăn.
30
5. Kết luận
Trong phần đầu tiên của loạt bài này, chúng tôi đã giải thích cho các bạn về các hash mật
khẩu và các cơ chế Windows sử dụng để tạo và lưu trữ các giá trị đó. Chúng tôi cũng đã giới
thiệu những điểm yếu của mỗi phương pháp và những đại lộ có thể được sử dụng để crack các
mật khẩu đó. Trong phần tiếp theo của loạt bài này chúng tôi sẽ giới thiệu cho các bạn về quá
trình trích rút và crack các hash này để minh chứng cho những điểm yếu của nó. Khi đã minh
chứng xong, chúng tôi sẽ cung cấp cho các bạn một số lớp bảo mật bổ sung và tạo một mật khẩu
mạnh thực sự.
6. HÀM HASH
Hàm hash (hash function) là hàm một chiều mà nếu đưa một lượng dữ liệu bất kì qua
hàm này sẽ cho ra một chuỗi có độ dài cố định ở đầu ra.
Ví dụ, từ "Illuminatus" đi qua hàm SHA-1 cho kết quả
E783A3AE2ACDD7DBA5E1FA0269CBC58D.
Ta chỉ cần đổi "Illuminatus" thành "Illuminati" (chuyển "us" thành "i") kết quả sẽ trở nên hoàn
toàn khác (nhưng vẫn có độ dài cố định là 160 bit)
A766F44DDEA5CACC3323CE3E7D73AE82.
Hai tính chất quan trọng của hàm này là:
Tính một chiều: không thể suy ra dữ liệu ban đầu từ kết quả, điều này tương tự
như việc bạn không thể chỉ dựa vào một dấu vân tay lạ mà suy ra ai là chủ của nó
được.
Tính duy nhất: xác suất để có một vụ va chạm (hash collision), tức là hai thông
điệp khác nhau có cùng một kết quả hash, là cực kì nhỏ.
Một số ứng dụng của hàm hash:
Chống và phát hiện xâm nhập: chương trình chống xâm nhập so sánh giá trị hash
của một file với giá trị trước đó để kiểm tra xem file đó có bị ai đó thay đổi hay
không.
Bảo vệ tính toàn vẹn của thông điệp được gửi qua mạng bằng cách kiểm tra giá
trị hash của thông điệp trước và sau khi gửi nhằm phát hiện những thay đổi cho
dù là nhỏ nhất.
Tạo chìa khóa từ mật khẩu.
Tạo chữ kí điện tử.
SHA-1 và MD5 là hai hàm hash thông dụng nhất và được sử dụng trong rất nhiều
hệ thống bảo mật. Vào tháng 8 năm 2004, tại hội nghị Crypto 2004, người ta đã
tìm thấy va chạm đối với MD5 và SHA-0, một phiên bản yếu hơn của hàm hash
SHA-1. Không bao lâu sau đó, vào khoảng giữa tháng 2 năm 2005, một nhóm ba
31
nhà mật mã học người Trung Quốc đã phát hiện ra một phương pháp có thể tìm
thấy va chạm đối với SHA-1 chỉ trong vòng 269 bước tính toán (tức là có thể
nhanh hơn brute-force vài nghìn lần).
7. Thu thập các hash mật khẩu
Để crack mật khẩu bạn phải thu được các hash được lưu bên trong hệ điều hành. Các
hash này được lưu trong file SAM của hệ điều hành Windows. File SAM này nằm trên hệ thống
tại C:\Windows\System32\config, tuy nhiên bạn không thể truy cập được nó khi hệ điều hành
đang hoạt động. Các giá trị này cũng được lưu trong registry tại
HKEY_LOCAL_MACHINE\SAM, tuy nhiên vùng registry này cũng không thể truy cập khi hệ
điều hành được khởi chạy.
Có một số tùy chọn khác ở đây phụ thuộc vào mức độ truy cập mà bạn có đối với máy
tính đang tiến hành thẩm định.
8. Truy cập vật lý
Nếu có thể truy cập vật lý, một trong những phương pháp hiệu quả nhất là khởi động máy
tính bằng một hệ điều hành khác. Nếu cảm thấy thoải mái trong việc sử dụng Linux, bạn hoàn
toàn có thể khởi động từ một Linux live CD có khả năng đọc các ổ đĩa NTFS, gắn partition
Windows và copy file SAM sang ổ ngoài.
Nếu không quen với cách làm này, bạn có thể sử dụng Offline NT Password Editor của P.
Nordahl, công cụ có thể được download tại đây. Đây là một phân phối Linux có thể khởi động,
phân phối này được thiết kế để trợ giúp người dùng quên mật khẩu bằng cách cho phép họ thiết
lập lại chúng. Phần mềm sẽ nhận dữ liệu đầu vào từ người dùng, tạo một hash hợp lệ và thay thế
hash cũ trong file SAM bằng hash mới. Điều này khá hữu dụng vì chúng ta cũng có thể sử dụng
phân phối này để đọc file SAM và lấy dữ liệu hash.
Để thực hiện điều đó, bạn hãy khởi động từ image CD và chọn partition hệ thống của
mình, vị trí file SAM và cấu trúc registry, chọn tùy chọn thiết lập lại mật khẩu [1], khởi chạy
registry editor [9] đi kèm, duyệt đến SAM\Domain\Account\Users, duyệt đến thư mục của
người dùng mà bạn muốn truy cập, sử dụng lệnh cat để xem hash có chứa trong các file. Đầu ra
sẽ có định dạng hex, tuy nhiên hoàn toàn có thể chuyển đổi định dạng này.
32
Hình 1: Đầu ra dạng hex của SAM hash
Trước khi sử dụng Offline NT Password Editor để thiết lập lại mật khẩu, cần bảo đảm
rằng bạn hiện không sử dụng Encrypted File System (EFS) trên bất cứ phiên bản nào phát hành
sau Windows XP/2003. Nếu bạn thực hiện điều đó, hệ điều hành mất các khóa EFS của nó và
gây ra nhiều vấn đề khác chứ không chỉ một việc quên mật khẩu.
9. Truy cập qua giao diện phần mềm
Nếu đang thực hiện các hành động thẩm định mật khẩu mà không có sự truy cập vật lý
đến thiết bị đang được nói đến, tuy nhiên vẫn có thể truy cập qua giao diện phần mềm thông qua
cơ chế remote desktop hoặc VNC, khi đó bạn có thể thu được các hash mật khẩu thông qua sử
dụng tiện ích fgdump của Fizzgig, có thể download tiện ích tại đây.
Khi đã download được fgdump để sử dụng, bạn có thể chạy nó một cách đơn giản.
33
Hình 2: Cấu hình tiện ích Fgdump chạy
Khi hoàn tất, một file sẽ được tạo trong cùng thư mục mà tiện ích khởi chạy, file này gồm
có danh sách tất cả các tài khoản người dùng, hash LM của họ và cả các hash NTLMv2.
Hình 3: Đầu ra của các hash mật khẩu thu được bởi Fgdump
10.
Truy cập mạng
Cuối cùng nếu không có bất cứ sự truy cập tương tác nào với máy tính có các hash bạn
muốn, giải pháp tốt nhất là cố gắng đánh hơi (sniff) các hash khi chúng được truyền tải trên
mạng trong suốt quá trình thẩm định. Tất nhiên điều này sẽ chỉ hoạt động nếu máy khách đang
chứng thực với bộ điều khiển miền hoặc đang truy cập tài nguyên trên một máy khách khác.
34
Nếu nằm trong cùng đoạn mạng với máy khách mục tiêu, bạn có thể sử dụng chương
trình Cain & Abel để chặn các hash mật khẩu khi chúng được phát đi giữa các thiết bị. Cain &
Abel là một tiện ích miễn phí có thể download tại đây. Sử dụng Cain & Abel, bạn có thể khởi tạo
một quá trình có tên gọi “giả mạo ARP cache”, quá trình này được ví như một người ở giữa lợi
dụng giao thức ARP để định tuyến lưu lượng giữa hai host thông qua máy tính của bạn. Giả mạo
ARP cache là biện pháp tích cực, ngoài ra bạn có thể sử dụng bộ đánh hơi mạng đi kèm với Cain
& Abel; nó có thể cho phép bạn chặn các hash mật khẩu NTLM khi đang truyền thông giữa các
host giả mạo.
11.
Crack mật khẩu bằng Cain & Abel
Lúc này chúng ta đã thực sự có các hash mật khẩu, nhiệm vụ tiếp theo cần thực hiện lúc
này là crack chúng. Nếu đã download và cài đặt Cain & Abel thì bạn đã đi trước được một bước
vì chúng ta sẽ sử dụng nó để crack các mật khẩu LM ví dụ.
Nếu chưa cài đặt Cain & Abel, bạn có thể download nó tại đây. Quá trình cài đặt diễn ra
rất đơn giản. Bạn cũng sẽ gặp nhắc nhở cài đặt bộ capture dữ liệu WinPCap được sử dụng cho
các tính năng đánh hơi của Cain & Abel. Khi đã cài đặt xong chương trình, bạn có thể khởi chạy
nó và kích vào tab Cracker gần phía trên của màn hình. Sau khi thực hiện điều này, kích vào
tiêu đề LM & NTLM Hashes trong panel bên trái, kích phải vào vùng trống ở phần trung tâm
của màn hình và chọn Add to List.
Cain sẽ không chấp nhận một copy và paste đơn giản đối với hash mật khẩu, vì vậy bạn
sẽ phải đặt hash vào một file văn bản được định dạng theo một cách đặc biệt. Nếu trích rút các
hash của mình bằng fgdump thì bạn sẽ có file văn bản cần thiết của mình, file văn bản này có
chứa các hash trên định dạng từng dòng.
Hình 4: Định dạng được chấp nhận của Passwords Hash
Nếu đã trích rút các Passwords Hash của mình một cách thủ công, bạn cần tạo một file có
một entry cho mỗi tài khoản người dùng. Mỗi dòng có chứa username, phần nhận dạng quan hệ
(RID) của SID người dùng và các hash. Định dạng của các thành phần này sẽ là:
Username:RID:LMHash:NTLMHash:::
Duyệt đến file này, chọn nó và kích next để import các hash vào Cain & Abel. Khi thực
hiện xong, bạn có thể kích phải vào tài khoản mà ở đó bạn muốn crack mật khẩu của nó, chọn
tùy chọn Brute Force Attack, chọn LM hashes. Phương pháp tấn công brute force là phương
pháp cố gắng kết hợp các mật khẩu với giá trị hash cho tới khi tìm thấy sự thỏa khớp. Trên màn
35
hình sau đó, bạn có thể chọn các ký tự mà mình muốn sử dụng cho tấn công brute force, chiều
dài mật khẩu cực tiểu và cực đại. Lưu ý rằng tập ký tự sẽ tự động được cấu hình để chỉ sử dụng
các ký tự in hoa và số với chiều dài tối đa là 7, do các đặc tính của LM hash.
Trong kịch bản ví dụ, với mật khẩu PassWord123, chúng ta sẽ thấy ngay lập tức các kết
quả hoàn chỉnh khi chương trình trả về “Plaintext of 664345140A852F61 is D123”. Kết quả
cũng cho thấy chúng ta đã crack nửa thứ hai của hash mật khẩu. Trên một máy tính hiện đại, việc
tiến hành thử để tìm ra sự kết hợp mật khẩu duy nhất có thể phải mất đến khoảng 2,5 đến 3 giờ
để đảm bảo cho một thành công thực sự.
Hình 5: Cain crack thành công LM Password Hash
12.
Crack mật khẩu bằng John the Ripper
Cain & Abel thực hiện khá tốt công việc crack các LM password nhưng nó khá chậm và
khi thực hiện crack NTLMv2 hash, quá trình của nó thậm chí còn chậm hơn rất nhiều. Nếu chưa
có nhiều kinh nghiệm hoặc cảm thấy không thích dòng lệnh cho các hành động crack mật khẩu,
John the Ripper chính là một trong những cỗ máy crack khá được ưa thích và có tốc độ nhanh
nhất mà chúng tôi từng thấy.
Có thể download John the Ripper từ đây. Khi đã trích rút các nội dung của file, bạn sẽ
tìm thấy file thực thi john-386.exe trong thư mục con /run. John có thể chạy ở một vài chế độ
36
khác, tuy nhiên để chạy nó trong chế độ mặc định, tất cả những gì bạn cần thực hiện là cung cấp
file có chứa password hash như một đối số (argument) khi chạy john-386.exe từ nhắc lệnh.
Hình 6: John the Ripper đang cố gắng crack mật khẩu
Khi hoàn tất, John the Ripper sẽ hiển thị các mật khẩu đã được crack và lưu các kết quả vào
file john.pot của nó. Trong hầu hết các trường hợp, chế độ crack mặc định là khá ổn, tuy nhiên
John the Ripper cũng có các chế độ crack khác như:
•
Single Crack Mode – Sử dụng các biến tên tài khoản
•
Wordlist Mode – Dựa vào một từ điển để đoán mật khẩu
•
Incremental Mode – Dựa vào tấn công kiểu brute-force
•
External Mode – Dựa vào một ứng dụng khác (được người dùng cung cấp) để đoán mật
khẩu.
John rất hiệu quả trong tất cả các chế độ crack và là một chương trình mà tôi lựa chọn cho
việc crack mật khẩu.
13.
Crack mật khẩu bằng các bảng cầu vồng (Rainbow Table)
Khi bạn nghi ngờ sự phức tạp và tiêu tốn nhiều thời gian cho việc crack một mật khẩu
NTLMv2, chỉ có quyết định hợp lý nhất là sử dụng các bảng cầu vồng. Bảng cầu vồng là một
bảng tra cứu có chứa các password hash cho mỗi sự kết hợp mật khẩu có thể được đưa ra để
thuật toán mã hóa sử dụng. Như những gì bạn có thể hình dung, các bảng cầu vồng có thể tiêu
tốn khá nhiều không gian lưu trữ. Trước đây, các bảng này vượt quá khả năng xử lý của bộ vi xử
lý và không gian lưu trữ chuyên sâu cho việc tạo và lưu, tuy nhiên với sự phát triển của máy tính
37
hiện đại, những tester cũng như các hacker mã độc đều có thể dễ dàng sử dụng các ổ cứng ngoài
để lưu trữ một loạt các bảng cầu vồng.
Tìm một nơi tạo hoặc download tập hợp các bảng cầu vồng chính là Google search, tuy
nhiên có nhiều phương pháp tốt hơn cho một cracker mật khẩu. Một phương pháp như vậy là sử
dụng dịch vụ web có chứa tập các bảng cầu vồng của chính nó. Dịch vụ web như vậy bạn có thể
được tìm thấy tại đây. Website này duy trì rất nhiều tập hợp các bảng cầu vồng mà bạn có thể đệ
trình các password hash cho việc crack, cùng với đó là một danh sách các mật khẩu đã bị hack
gần đây.
Để đệ trình các hash tới plain-text.info, bạn có thể kích liên kết Add Hashes để chỉ định
hash và chế độ mã hóa. Nếu hash này đã bị crack thì bạn sẽ thấy kết quả hiển thị, còn không nó
sẽ đệ trình hash vào hàng đợi. Có thể kiểm tra trạng thái hàng đợi bằng cách vào liên kết Search
và tìm kiếm hash, khi đó nó sẽ cho bạn biết vị trí trong hàng đợi của bạn. Các mật khẩu phức tạp
có thể tiêu tốn khá nhiều thời gian thông qua phương pháp này, tuy nhiên nó còn cho thấy nhanh
hơn việc cho phép thực hiện trên phần cứng của riêng bạn.
14.
Việc bảo vệ trước các hành động crack mật khẩu
Mọi người thường nghĩ rằng mục tiêu của mã hóa là làm cho văn bản qua mã hóa trở
thành một thứ gì đó mà không ai có thể giải mã được, tuy nhiên đây chỉ là một chút khái niệm.
Suy nghĩ đó dựa vào sự tin tưởng rằng các máy tính có khả năng tạo các số ngẫu nhiên cho các
mục đích mã hóa, tuy nhiên trong tất cả các máy tính trung thực đều không thực hiện “random”
tốt đến như vậy, vì “random” là một logic lập trình dựa hoàn toàn trên sự tin cậy. Chính vì vậy,
mục tiêu thực sự của mã hóa là làm cho văn bản qua mã hóa trở nên khó crack đến nỗi lượng
thời gian bỏ ra để có thể crack nặng hơn lợi ích thu được trong việc thực hiện hành động crack
đó.
Với tư duy đó, có một vài thứ có thể được thực hiện trên một hệ điều hành để tránh bị
crack mật khẩu.
15.
Sử dụng mật khẩu phức tạp và liên tục thay đổi
Cách logic nhất để tránh bị crack mật khẩu là làm cho mật khẩu của bạn trở nên phức tạp
“đến nỗi không ngờ”. Nếu mật khẩu của bạn gồm có các ký tự in thường, in hoa, chữ số, các ký
hiệu đặc biệt và tương đối dài, nó sẽ không thể bị crack với một số lượng thời gian ngắn. Để làm
tăng độ phức tạp thêm nữa, hãy thay đổi mật khẩu của bạn một cách thường xuyên. Không có
biện pháp phòng ngừa nào hơn việc sử dụng một mật khẩu mạnh và thay đổi nó thường xuyên.
38
16.
Vô hiệu hóa LM Hash
Giờ đây bạn đã biết được những yếu điểm của LM hash. Một điều tốt chúng ta là không
phải sử dụng chúng nữa. Các hệ điều hành Windows hiện đại có thể được cấu hình để sử dụng
NTLMv2 độc quyền với một vài thay đổi registry.
Bạn có thể vô hiệu hóa kho lưu trữ LM hash bằng cách duyệt đến
HKLM\System\CurrentControlSet\Control\LSA trong registry. Khi đã ở trong đó, hãy tạo một
khóa DWORD có tên NoLMHash, với giá trị bằng 1.
Một bước nữa là vô hiệu hóa thẩm định LM trong toàn mạng. Lần nữa, bạn duyệt đến
HKLM\CurrentControlSet\Control\LSA. Khi ở trong đó, tìm đến khóa có tên
LMCompatibiltyLevel. Giá trị của nó có thể được thiết lập bằng 3 cho mục đích gửi đi thẩm định
NTLMv2, đây là cách thức tuyệt vời cho các máy khách trong miền. Ngoài ra có thể thay đổi giá
trị của nó thành 5, đây là giá trị được sử dụng để cấu hình thiết bị nhằm chấp nhận các yêu cầu
thẩm định, tuyệt vời cho các máy chủ.
Chí có một trường hợp mà ở đó các thiết lập này có thể gây ra vấn đề là trường hợp mà
trong đó bạn có các máy tính Windows NT 4 và phiên bản cấp thấp hơn trong mạng. Chính vì
vậy, nếu vẫn có các hệ thống đó trên mạng, hãy loại bỏ chúng là lời khuyên bảo mật tốt nhất mà
chúng tôi đưa đến bạn.
17.
Sử dụng SYSKEY
SYSKEY là một tính năng Windows có thể được sử dụng để add 128 bit mã hóa mở rộng
vào file SAM. SYSKEY làm việc bằng cách sử dụng một khóa của người dùng được sử dụng để
mã hóa file SAM. Khi kích hoạt, SYSKEY không thể bị vô hiệu hóa.
Bạn cần lưu ý rằng SYSKEY chỉ bảo vệ bản thân file SAM, bảo vệ nó trống lại hành
động copy. SYSKEY không bảo vệ chống lại các công cụ trích rút các hash từ bộ nhớ đang chạy,
chẳng hạn như Cain và fgdump.
IV.
WINDOWS 2003 SECURITY CONFIGURATION TOOLS
1. User And Group Security
-Có 2 loại account cơ bản là domain users và local users
-Khi mới cài đặt windows 2003 xong thì sẽ có 2 tài khoản Guest và Administrator
39
Khi tạo tài khoản người dùng mới,có 4 mục:
User Must change Password At Next Logon:Người dùng phải thay đổi password ngay lần đăng
nhập đầu tiên.
User Cannot Change Password:Ngườidùng không tự thay đổi được mật khẩu.
Password Nerver Expires:Tài khoản này sẽ không hết hạn.
Account is Disabled:Tài khoản tạm thời bị khoá.
40
2. Restricting Logon Hours
Về việc cấu hình giới hạn giờ đăng nhập thì ta sẽ làm theo các bước sau:
1. Truy cập hộp thoại Properties của người dùng trong Active Directory Users và Computers và
sau đó chọnAccount Tab
2. Nhấp vào nút Logon Hours. Thiết lập giờ đăng nhập hợp lệ và không hợp lệ bằng cách sử dụng
hộp thoại Logon Hours.
Expiration Dates For User Accounts
Việc check vào tùy chọn này sẽ cần thiết đối với các tài khoản public.
*Locking Down The Administrator Account
*Built-in Admin có những quyền hạn sau:
-Tên của tài khoản Build-in Admin là Administrator
-Trong quá trình cài đặt thì password có thể được bỏ trống
-Built-in Admin là thành viên của nhóm built-in Administrators
-Tài khoản Built-in Admin thì không thể bị khóa
Configuring Windows 2003 Groups
-Có những loại Groups sau:
41
-Computer Local:Nhóm này chỉ có quyền tác động lên chính tài nguyên trên máy tính cá nhân hiện tại
hoàn toàn không có quyền trên domain
-Domain Local:Nhóm này có thể là thành viên trên bất kỳ 1 domain nào đó trên hệ thống mạng.Nhóm
này chỉ có thể được tạo ra trên Domain Controllers có thể sử dụng các tài nguyên trên domain
-Global:là nhóm mà tất cả người dùng có quyền truy cập như nhau
-Universal:là nhóm người dùng mà họ muốn được gán truy cập tài nguyên trong nhiều miền khác nhau.
*Password Policy
Enforce Password History: Số lần đặt mật mã không được trùng nhau so với các password đã đặt trước
đó.
Maximum Password Age Quy định số ngày nhiều nhất mà mật mã người dùng có hiệu lực.
Minimum Password Age:Quy định số ngày ìt nhất mà người dùng có thể thay đổi password.
Minimum Password Length:Chiều dài ngắn nhất của mật mã.
Passwords Must Meet Complexity Requirements : Yêu cầu người dùng đặt password phức tạp
Store Password Using Reversible Encryption:Mật mã người dùng được lưu dưới dạng mã hoá.
*Account Lockout Policy
Account Lockout Threshold:đếmsố lần nhập sai password.
Account Lockout Duration:Quy định thời gian khoá tài khoản.
Reset Account Lockout Counter After:Quy định thời gian đếm số lần đăng nhập sai trở lại.
42
3. Encrypting File System
a. Tổng quan về EFS
EFS (Encrypting File System) cho phép người dùng mã hóa dữ liệu, thông tin cá nhân
được lưu trữ trên máy tính nhằm bảo vệ sự riêng tư, tránh người dùng khác khi sử dụng
máy tính truy cập một cách cố ý hoặc vô ý. Đặc biệt, EFS thường được sử dụng để bảo vệ
những dữ liệu quan trọng, “nhạy cảm” trên những máy tính xách tay hoặc máy tính có
nhiều người sử dụng. Cả hai trường hợp trên đều dễ bị tấn công do những hạn chế của
ACL (Access Control Lists).
Trên một máy tính dùng chung, kẻ tấn công có thể lấy được quyền truy cập vào hệ thống
thông qua việc sử dụng một hệ điều hành khác nếu máy tính được cài đặt nhiều HĐH.
Một trường hợp khác với máy tính bị đánh cắp, bằng cách tháo ổ cứng và gắn vào máy
tính khác, kẻ tấn công dễ dàng truy cập những tập tin lưu trữ. Sử dụng EFS để mã hóa
những tập tin, nội dung hiển thị chỉ là những ký tự vô nghĩa nếu kẻ tấn công không có
khóa để giải mã.
Tính năng EFS được tích hợp chặt chẽ với hệ thống tập tin NTFS. Khi mở một tập tin,
EFS sẽ thực hiện quá trình giải mã, dữ liệu được đọc từ nơi lưu trữ sau khi so khớp khóa
mã hóa tập tin; khi người dùng lưu những thay đổi của tập tin, EFS sẽ mã hóa dữ liệu và
ghi chúng vào nơi lưu trữ cần thiết. Với thuật toán mã hóa đối xứng 3DES, quá trình mã
hóa và giải mã diễn ra ngầm bên dưới, thậm chí người dùng cũng không nhận ra sự khác
biệt khi làm việc với những tập tin được mã hóa.
Trong thiết lập mặc định của HĐH Windows XP, EFS được kích hoạt cho phép người
dùng mã hóa những tập tin trong giới hạn tài khoản của mình (tham khảo thêm thông tin
trong bài Sử dụng máy tính với tài khoản thuộc nhóm Users (phần 1) (TGVT A tháng
4/2005, tr.139) mà không chịu ảnh hưởng bởi chính sách quản lý của người quản trị. Tài
khoản thuộc các nhóm người dùng đều có thể sử dụng EFS mà không cần đến quyền
Administrator, có thể áp dụng trên máy đơn hoặc máy trạm thuộc domain, workgroup.
Dưới góc nhìn của người dùng cuối, việc mã hóa một tập tin rất đơn giản, tương tự việc
thiết lập thuộc tính cho tập tin. Việc mã hóa cũng được áp dụng cho thư mục và tất cả tập
tin được tạo hoặc thêm vào thư mục này cũng được tự động mã hóa.
Chỉ những người dùng được phép hoặc được chỉ định mới có quyền giải mã những tập tin
này. Những tài khoản người dùng khác trong hệ thống; thậm chí có thể chiếm quyền
kiểm soát tập tin (Take Ownership Permission) vẫn không thể đọc được nội dung nếu
không có khóa truy cập (access key). Ngay cả tài khoản thuộc nhóm Administrators cũng
không thể mở tập tin này nếu tài khoản đó không được chỉ định quyền giải mã.
-Để mã hoá các tập tin,ta tiến hành theo các bước:
+Chọn các tập tin và thư mục cần mã hoá.
+Nhấn chuột phải lên các tập tin và thư mục,chọn Properties/Advanced.
+Hộp thoại Advanced Properties xuất hiện, đánh dấu mục Encrypting contents to secure
data và nhấn OK.
43
+Hộp thoại Confirm Attribute Changes yêu cầu bạn chỉ mã hoá riêng thư mục được
chọn(Apply changes to this folder only) hay mã hoá toàn bộ thư mục ,kể cả các thư mục
con(Apply changes to this folder,subfolders and files).Sau dó nhấn OK.
-Để gỡ bỏ mã hoá,ta thực hiện tương tự.
b. Nguyên Lý EFS
Nguyên lý EFS (encrypting file system) hoạt động như sau :
(*) Mã hóa : khi một User (vd : u1) thực hiện EFS
-----------B1 : Chương trình CSP (Cryptography Services Privider) trong Windows sẽ tạo cặp mã Public key (P) và
Private key (Q) cho user đó . VD : P1, Q1
Và một mã khóa riêng VD : K1
B2 : Nội dung file dữ liệu được mã hóa bằng K1 theo dạng mã đối xứng
Noidung [mã hóa] K1 --> X
B3 : Sau đó mã hóa chìa khóa (K1) bằng Public key của User và lưu vào file
K1 [mã hóa] P1 --> Y
Như vậy file dữ liệu sau khi mã hóa EFS sẽ gồm 2 phần Y (chứa chìa khóa) và X (chứa nội dung đã mã
hóa)
(*) Khi giải mã :
44
--------------B1 : User dùng Private key (Q) để giải mã lấy chìa khóa (K)
Y [giải mã] Q1 --> K1
B2 : dùng chìa khóa có được ở B1 giải mã nội dung
X [giải mã] K1 --> noidung
(*) Các điểm lưu ý trong EFS :
----------------------------(a) Cặp khóa P, Q được phát sinh do tự cấp, do vậy khi xem Certificate (dùng CERTMGR.MSC - hoặc MMC Snapin = Certificate _ Curent User) sẽ có thông báo CA không phải là Trusted CA , nhưng không
sao hết.
(b) Nếu áp dụng EFS thì phải backup (Export) Certificate _ Private Key (Q) dùng cho EFS của User -->
thành file PFX đem cất. Để nếu có bị mất Certificate thì Import lại mới có thể đọc được các file dữ liệu
EFS, nếu không thì sẽ không thể đọc lại các file EFS
*Khi user mất Privite Key thì admin sẽ giải mã theo nguyên lý sau:
Admin (Data recovery agent) có P(Admin) và Q(Admin); user có P(user) và Q(user)
Khi user mã hóa file bằng EFS:
- Windows phát sinh khóa k dùng để mã hóa data
- data [mã hóa] k -> data1
- k [mã hóa] P(Admin) -> k1 (Admin)
- k [mã hóa] P(user) -> k2 (user)
- data1, k1, và k2 lưu vào file (đã được mã hóa)
Khi user đọc file:
- k2 (user) [giải mã] Q(user) -> k
- data1 [giải mã] k -> data
Khi user mất Q(user) sẽ không đọc file được vì không giải được ra k.
Admin (Data recovery agent) sẽ giải dùm user bằng cách đọc file rồi lưu thành dạng tường minh (không
mã hóa) đưa cho user:
- k1 (Admin) [giải mã] Q(Admin) -> k
- data1 [giải mã] k -> data
45
V.
Windows 2003 network security
1. NAT and ICS
Tính đến thời điểm này, tất cả các hệ thống an ninh và các phương pháp bạn đã được sử dụng là
hướng tới bảo mật hệ điều hành vàdữ liệu trên ổ cứng vật lý. Tất cả các hệ thống bảo mật mà bạn tạo ra ít
được sử dụng nếu kẻ tấn công có thể chỉ cần gửi tất cả các gói tin ra mạng và biên dịch lại cho họ tại vị trí
của mình.
Network Address Translation (NAT) là một tiêu chuẩn Internetđược xác định trong RFC
1631.NAT được sử dụng mặt nạ là IP riêng với địa chỉ IP của kết nối Internet bên ngoài.Mặc dù NAT
không được thiết kế như một cơ chế an ninh, nhiều mạng cần NAT trong các chính sách an ninh của họ để
thêm một lớp bổ sung giữa các Internet và mạng nội bộ..
Khách hàng trên mạng nội bộ không bắt buộc phải có một địa chỉ IP công cộng, do đó sẽ bảo tồn
các công địa chỉ IP. Các khách hàng nội bộ có thể được cấu hình với một địa chỉ IP từ các khối mạng
riêng. Hãy nhớ rằng, địa chỉ IP riêng là những người mà không được định tuyến trên InternetChúng được
định nghĩa bởi RFC 1918, và các dãy địa chỉ được:
Nó được định nghĩa bởi RFC 1918, và các dãy địa chỉ là:
•
•
•
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 -192.168.255.255
Nó cũng đáng chú ý là Microsoft đã sử dụng khoảng khác cho các phạm vi riêng tư 169.254.0.0169.254.255.255. Cái này giải quyếtkhông được định nghĩa trong RFC nhưng nó cho phép các địa chỉtư
nhân khác được sử dụng trên mạng.
NAT là một phần tích hợp của một định tuyến Dịch vụ truy cập từ xa(RRAS), mà sẽ được giải quyết
ngay, cũng như một phần của việc chia sẻ kết nối Internet (ICS). Các phiên bản của NAT được sử dụng
bởi ICS được thu nhỏ lại so với phiên bản đầy đủ không cho phép mức độ cấu hình RRAS NAT cho
phépICS được thiết kế cho một văn phòng nhỏ hoặc cho một mạng gia đình, nơi có một kết nối internet
mà là để được chia sẻ toàn bộ mạng. Tất cả người dùng kết nối thông qua một giao diện duy nhất, thường
kết nối qua một modem, DSL, hoặc điểm truy cậpcáp.
2. Remote Access
Các Windown 2003 Routing và Remote Access Service (RRAS) bao gồm:
•
•
•
Network Address Translation (NAT)
Giao thức định tuyến (RIP và OSPF)
Remote Authentication Dial-In Service (RADIUS)
Remote Access Server của RRAS sẽ cho phép cho các kết nốiPPP và có thể được thiết lập để yêu cầu
chứng nhậnauthentication.RRAS có thể được thiết lập để sử dụngRemote Authentication Dial-In Service
46
(RADIUS) hoặc WindowsAuthentication. Nếu RRAS sử dụng RADIUS, khi có yêu cầu của người dùng
cho việc chứng thực được thực hiện cho các máy chủRRAS, các thông tin được truyền tới máy chủ
RADIUS.Các máy chủ RADIUS sau đó thực hiện việc chứng thực và cấp quyền để truy cập cho khách
hàng để truy cập vào mạng
3. Hardening TCP/IP
Các giao thức TCP / IP trong Windows là một trong những thành phần tấn công hầu hết các máy
tính cá nhân. Các cuộc tấn côngthông thường bao gồm tấn công từ chối dịch vụ (DoS) tấn công từ chối
dịch vụ phân tán (DDos), giả mạo, smurf, và Land attacks... Có một số cấu hình có thể được thực hiện
cho các Registry để đảm bảo vững chắc choTCP / IP trong Windows2003. Cấu hình. Đây là khuyến cáo
của Microsoft, được thiết kếđặc biệt giúp bảo vệ chống lại các cuộc tấn công từ chối dịch vụ.Các thiết lập
sau đây có thể được cấu hình trong Registry. Hãy nhớ phải cẩn thận trong Registry.
a. Syn Attack Defense
Nếu ai hiểu về sự nguy hiểm cũng như nguy cơ tiềm ẩn của hệ thống có thể bị tấn công
DoS (Denial of service),việc có sự chuẩn bị tốt nhất cho hệ thống nhằm giảm tối thiểu các ảnh
hưởng của các cuộc tấn công đó là yêu cầu luôn được các nhà quản trị mạng đặt ra. Trong bài viết
này sẽ giới thiệu cách hạn chế các tấn công DoS trong hệ thống Windows Server 2003.
Trước tiên bạn phải cập nhật bản vá lỗi mới nhất từ Microsoft và chắc chắn không còn
bản vá lỗi nào chưa được cài đặt. Các thông tin về các bản update có trên websiteVà việc harden
(làm rắn – đảm bảo vững chắc) cho giao thức TCP/IP trên máy chủ Windows Server 2003 là việc
cần làm với nhà quản trị mạng. Với mặc định các cấu hình trong TCP/IP được thiết lập chuẩn cho
việc trao đổi thông tin một cách thuận tiện. Nếu máy tính của bạn kết nối chực tiếp với Internet
thì theo khuyến cáo của Microsoft bạn nên đảm bảo giao thức TCP/IP được cấu hình để hạn chế
các cuộc tấn công DoS.
Cấu hình các tham số TCP/IP trong Registry nhằm đảm bảo Harden cho TCP/IP
Một số lỗi có thể sẽ sảy ra khi bạn chỉnh sửa các thông số trong registry bằng việc sử dụng
Registry Editor hoặc bằng một phương pháp nào khác. Một số lỗi xảy ra có thể buộc bạn phải cài
lại hệ điều hành. Microsoft không thể cam đoan là tất cả các lỗi đều có thể khắc phục được. Việc
chỉnh sửa registry là một nguy cơ rất lớn.
Dưới đây là các thông số của TCP/IP trong registry và bạn có thể cấu hình để nâng cao
tính vững chắc cho giao thức TCP/IP khi máy tính của bạn kết nối trực tiếp tới Internet. Tất cả
các thông số của nó trong registry được lưu tại.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
•
•
•
•
•
Value name: SynAttackProtect
Key: Tcpip\Parameters
Value Type: REG_DWORD
Valid Range: 0,1
Default: 0
47
Các thông số trong TCP có thể là truyền lại các gói tin trong dạng SYN-ACKS. Khi bạn
cấu hình thông số này, các kết nối sẽ nhanh trong bị time out hơn trong các vụ tấn công SYN (là
một dạng tấn công DoS).
Dưới đây là vài thông số bạn có thể sử dụng để thiết lập trong Registry
0 (tham số mặc định): Không bảo vệ trước các cuộc tấn công SYN
1: Thiết lập SynAttackProtect là 1 sẽ tốt hơn và nó sẽ bảo vệ hệ thống trước các cuộc tấn công
SYN. Tham số này có nghĩa, nếu là 0 thì hệ thống sẽ truyền lại thông tin SYN-ACKS. Nếu bạn
thiết lập tham số là 1, khi một kết nối sẽ có kết quả time out nhanh hơn nếu như hệ thống phát
hiện thấy tấn công SYN. Windows sử dụng các tham số sau để hạn chế các vụ tấn công.
•
•
•
TcpMaxPortsExhausted
TCPMaxHalfOpen
TCPMaxHalfOpenRetried
Lưu ý là trong phiên bản Windows Server 2003 Service Pack 1 tham số trong
SynAttackProtect với mặc định là 1
b. Dead Gateway
Nhiều cổng có thể được cấu hình trong các thiết lập TCP/IP. Tuy nhiên ta có thể vô hiệu hóa
chức năng này, vì một cuộc tấn công từ chối dịch vụ(hoặc khác) tấn công có thể gây ra máy tính
của bạn để chuyển đổicổng. Các chi tiết cụ thể cho việc này được định nghĩa như sau:
•
•
•
•
•
Value Name:DeadGWDetectDefault
Key:Tcpip\Parameters
Value Range:REG_DWORD
Valid Range:0(False),1 (True)
Default Value:1 (True)
Khi bạn thiết lập EnableDeadGWDetect là 1, TCP sẽ cho phép thực hiện việc phát hiện
ra dead-gateway. Khi dead-gateway được phát hiện là enable, TCP có thể sẽ truy vấn đến giao
thức IP để thay đổi gateway. Việc sử dụng backup gateway được định nghĩa trong tab Advanced
tại TCP/IP configuration.
Microsoft khuyến cáo bạn thiết lập tham số trong EnableDeadGWDetect là 0. Nếu bạn
không thiết lập là 0, một tấn công có thể sảy ra và hướng máy chủ qua một gateway khác, và có
thể các gói tin từ đó sẽ bị tóm hay làm gì đó khi các dữ liệu chạy qua gateway của kẻ tấn công.
c. MTU Restrictions
Những kẻ tấn công có thể sử dụng tối đa để truyền và lưu lượng mạng tối đa sử dụng để
phân đoạn rất nhỏ gói tin. Bằng cách sử dụng Path MTU Discovery, TCP sẽ cố gắng để xác định
kích thước gói lớn nhất mà một con đường dẫn tới một máy chủ từ xasẽ đáp ứng. Ngược lại, khi
được sử dụng không đúng cách, mạng có thể bị ngậpvới các phân đoạn nhỏ. Các chi tiết cụ thể
đểđiều chỉnh giá trị này được xác định như sau:
•
Value Name:EnablePMTUDiscovery
48
•
•
•
Key:Tcpip\Parameters
Valid Range:0(False),1 (True)
Default Value:1 (True)
Khi bạn thiết lập EnablePMTUDiscovery là 1, TCP sẽ cố gắng phát hiện Maximum
Transmission Unit (MTU) hay một gói tin lớn từ những người dùng từ xa. Gói tin TCP có thể bị
vỡ khi chúng đi qua các Routers để kết nối vào hệ thống mạng với MTUs khác bằng việc khám
phá ra đường của MTU và giới hạn kích cỡ các gói TCP.
Microsoft khuyến cáo bạn thiết lập EnablePMTUDiscovery là 0. Khi bạn thực hiện việc
này, một MTU với kích thước là 576 sẽ được sử dụng trong tất cả các kết nối. Nếu bạn không
thiết lập thông số này là 0 một tấn công dựa trên các thông số MTU từ các kết nối có thể sẽ ảnh
hưởng đến hệ thống của bạn.
d. Keep Alive
TCP mặc định trong Windows không xác minh các kết nốinhàn rỗi. Đó là khuyến cáo
rằng những kết nối này được xác nhận(bằng cách sử dụng phần mềm của bên thứ ba, nếu cần
thiết) chosẵn có bằng cách gửi một gói tin giữsống và chờ đợi phản hồi.Nếu không có phản ứng,
sau đó kết nối nhàn rỗi có thể bị đóng.Có thể điều chỉnh các giá trị này bằng cách thay đổi các
thông số :
•
•
•
•
•
Value Name:KeepAliveTime
Key:Tcpip\Parameters
Value Range:REG_DWORD (Giá trị này được tính bằng mili giây)
Valid Range:1-0xFFFFFFFF
Default Value:7,200,000 (2 giờ)
Tham số này điều khiển: việc TCP cố gắng kiểm tra một kết nối, và giữ gói tin chưa bị
chết. Nếu máy tính từ xa được kết nối, nó sẽ được lưu lại các gói tin đã bị thất lạc. Keep-alive sẽ
không gửi (với thiết lập mặc định). Bạn có thể sử dụng một chương trình để cấu hình các thông số
cho một kết nối. Khuyên cáo từ nhà sản xuất thiết lập là 300,000 (5 phút).
4. Configuring TCP/IP in the Registry
1.
2.
3.
4.
5.
6.
7.
8.
Mở Registry Editor.
Vào HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.
Mở key Tcpip\Parameters.
Ở bảng bên phải, nhấp chuột phải và thêm giá trị REG_DWORD sau đây:
a. SynAttackProtect
b. EnablePMTUDiscovery
c. KeepAliveTime
Nhấp đôi chuột vào SynAttackProtect, và nhập giá trị 2.
Nhấp đôi chuột vào EnablePMTUDiscovery, và nhập giá trị 0.
Nhấp đôi chuột vào KeepAliveTime, và nhập giá trị thập phân 300,000. Trong kí hiệu thập phân
nó là 493E0.
Đóng Registry Editor.
49
5. TCP/IP Filtering
Một tính năng được xây dựng trong Windows 2003 bạn có thể thêm vào phương pháp của bạn
một lớp bảo vệ là TCP / IP lọcđược kiểm soát truy cập mạng trong nội bộ cho một host. Lọc TCP / IP độc
lập của các quá trình khác, chẳng hạn như IPSec, và các dịch vụ khác, chẳng hạn như máy chủ và máy
trạm dịch vụ. Để đitruy cập, bạn cần phải thực hiện định tuyến và truy cập từ xa các bộ lọc.
Khi bạn cấu hình lọc, bạn có tùy chọn để kiểm soát truy cậpvào cổng TCP, đến cổng UDP, và
giao thức IP cụ thể. Mỗi điểm truy cập được điều khiển bởi các giá trị số. Nói cách khác, bạnkiểm soát
truy cập cảng bởi số cổng, chẳng hạn như 80 cho cá nhân truy cập. Các bảng danh sách sau đây, để tham
khảo nhanh chóng, một số thông số giao thức IP để sử dụng trong bộ lọc .
Protocol Number
Protocol Acronym
Full Name of Protocol
1
IP
Internet Protocol
6
TCP
Transmission Control Protocol
17
UDP
User Datagram Protocol
Khi bạn kích hoạt giao thức TCP / IP lọc trên một giao diện bộ lọc được kích hoạt. Tuy nhiên,
bạn phải cấu hìnhcác bộ lọc cụ thể trên từng cơ sở. Khi bạn cấu hình cácbộ lọc, tùy chọn là để cho phép
tất cả các cổng ,các cổng đó sẽ được cho phép. Hãy nhớ rằng đây là cấu hình các cổng nội bộ không gửi
đi. Hệ thống không sẽ lọc các yêu cầubắt đầu để lưu trữ, vì vậy bạn sẽ không cần phải mở cổng cao đối
với phản hồi của mạng.
Cuối cùng, nếu bạn muốn lọc các giao thức, ý thức được rằng bạnkhông thể chặn ICMP, ngay cả
khi bạnloại trừ giao thức IP 1 từ danh sách các giao thức được cho phép. Một cách đơn giản để ngăn chặn
lưu thông TCP, ví dụ, là việc chọn những tùy chọn để lọc các cổng TCP, nhưng không thêmbất kỳ cổng
vào danh sách được cho phép.
6. Configuring Port and Protocol Filtering
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
Điều hướng đến các thuộc tính giao diện mạng của bạn.
Di chuyển và chọn Internet Protocol (TCP/IP), và click Properties.
Click nút Advanced.
Hiển thị Options tab.
Chọn TCP/IP Filtering và click Properties.
Check Enable TCP/IP Filtering.
Chỉ cho phép các cổng TCP sau: 20,21,23,25,80,110 và 443.
Chỉ cho phép các giao thức sau: 6 và 17.
Click OK để thực hiện sàng lọc của bạn.
Click OK để đóng Advanced TCP/IP Properties.
Click OK, và click Close để đóng TCP/IP và Interface Properties.
Khi bạn được nhắc khởi động lại máy chủ, click No. Thực hiện đầy đủ những thay đổi của bạn,
bạnsẽphải khởi động lạimáy chủ, tuy nhiên, mục đích của lớp này, chúng ta cần phải có tất cả các
cổng và giao thức có sẵn.
50
13. Quay trở lạivàtrở lạicácthiết lậplọcđểgiúp chophần còn lạicủanhiệm vụchức năngkhông cógiới
hạn.
14. Thời gian này, khởi động lại máy tính củabạnkhibạnđược nhắc đến. Sau đó, đăng nhập vào tài
khoản Administrator và xác định các thiết lập TCP/IP đúng chưa.
15. Đóng tất cả các cửa sổ đang mở.
7. Windows Firewall
Trong khi bạn cần phải có một tường lửa chạy trong mạng của bạn, bạn có thể muốn xem xét việc sử
dụng các phần mềm tường lửa có sẵn trên các máy chủ của bạn, có nhiều nhà cung cấp sản phẩm miễn
phí để sử dụng, và trong phần này, bạn sẽ nhìn vào Windows Firewall một giải pháp tích hợp sẵn của
Windows Server 2003. Đơn giản chỉ cần gọi là Windows Firewall, Nó có thể thay thế các sản phẩm bảo
mật lớn hơn nhưng ít hiệu quả. Các tường lửa dễ dàng được tìm thấy trên Windows Server 2003.
Để chạy Windows Firewall trên máy chủ của bạn, bạn sẽ cần phảikích hoạt Windows Firewall/Dịch vụ
ICS.
8. Enabling Windows Firewall
1.
2.
3.
4.
Từ Start Menu, chọn Control PanelWindows Firewall.
Bạn phải kích hoạt Windows Firewall/ICS service, click Yes.
Chọn nút radio On. Bạn có thể kích hoạt Windows Firewall ngay bây giờ.
Click OK.
9. Configuring Windows Firewall
1. Từ Start Menu, chọn Control PanelWindows Firewall.
2. Mở Windows Firewall, và mở command prompt.
3. Trong command prompt, ping máy tính trong mạng. Lưu ý, dù không ping thành công. Rời khỏi
command prompt.
4. Chuyển tiếp tới Advanced tab, và click nút Setting tới ICMP.
5. Chuyển tiếp tới Windows Firewall ICMP Settings.
6. Check vào check box kế tiếp: Cho phép đến yêu cầu echo và click OK.
7. Chuyển tiếp tới command prompt, và xác minh rằng máy trong mạng đã hoàn thành bước 6.
8. Trong command prompt, Ping máy tính trong mạng của bạn.
9. Đóng tất cả các cửa sổ đang mở.
10.
1.
2.
3.
4.
5.
6.
7.
Configure Server 2003
Từ Start Menu, chọn Administrative ToolsLocal Security Policy.
Mở Account Policies, Password Policy.
Thiết lập các tùy chọn sau đây:
● Enfore password history: 0
● Maximum Password age: 0
● Minimum password age: 0
● Minimum password length: 0
● Password must meet complexity requirements: Disable
Đóng local Security policy.
Từ Start Menu, chọn Control PanelWindows Firewall.
Chọn nút tắt radio, và click OK.
Mở Computer Management, và chọn Local Users And Groups option.
51
8.
9.
10.
11.
12.
13.
14.
15.
Nhấp chuột phải vào tài khoản Administrator, và chọn Delete. Chọn Yes để cảnh báo kịp thời.
Nhấp chuột phải vào tài khoản scnpXXX, và chọn Rename.
Nhập Administrator với tên tài khoản mới.
Đóng cửa sổ Computer Management.
Đăng xuất khỏi Windows hiện tại.
Đăng nhập trở lại Administrator. Nhớ mật khẩu của bạn là aA1234!.
Nhấn Ctrl+Alt+Del và thay đổi mật khẩu.
Thay đổi tài khoản Administrator sang Administrator2 và đổi tên tài khoản SCNP001 sang
Administrator. Với mật khẩu cũ, gõ aA1234! và để trống cả 2 New Password và Confirm
Password, và click OK.
16. Click OK để thay đổi mật khẩu thành công, và click Cancel.
17. Đăng xuất và đăng nhập Administrator với không có mật khẩu để đảm bảo những thay đổi diễn
ra.
52
[...]... mục Quyền Execute File chỉ áp dụng cho tập tin và quản lý khả năng user chạy tập tin chương trình List Folder/Read Data – Quyền List Folder chỉ áp dụng với thư mục và quản lý khả năng user xem tên tập tin và tên thư mục Quyền Read Data chỉ áp dụng cho tập tin và quản lý khả năng user đọc tập tin Create Folders/Append Data – Quyền Create Folder chỉ áp dụng cho thư mục và quản lý khả năng user tạo... cần áp dụng chúng nhưng lưu chúng vào một tập tin, và email cho quản trị viên khác trong công ty của bạn và anh ấy chỉnh sửa chúng hơn nữa cho các nhiệm vụ chính.Trongnhiệm vụsau đây, bạnsẽchỉnh sửa cácGPOđểkiểm soátthiết lậpmật khẩutrong domain Editing a GPO 1 2 3 4 5 6 7 8 9 10 11 12 Vào Local Computer Policy Nếu cần chỉnh sửa GPO,vào Computer Configuration Vào Windows Settings Vào Security Settings... policies, và còn nhiều thứ khác User Configuration node cung cấp tùy chỉnh để quản lý cách hành xử duy nhất tới user như là Desktop settings, Control Palnel settings, Start menu settings, và nhiều thứ khác 11 20 1 2 3 4 5 6 7 8 9 Configuring a Custom MMC and GPO Khởi động máy tính của bạn vào Windows 2003 ,và đăng nhập vào Administrator Từ Start Menu,chọn Run và vào gõ mmc để vào Microsoft Management... sốcổng, vàtheo yêu cầu, cácđường dẫnđếncácứng dụng Click Cancel, và click Next Xác nhận các cổng được liệt kê, và click Next Trong màn hình Registry Setting, click Next Chấp nhận các thiết lập mặc định SMB, và click Next Chấp nhận các mặc định (không có) cài đặt cho xác thực máy tính từ xa, và click Next Chấp nhận các phương thức xác thực mặc định trong nước, và click Next Xem lại Registry Settings, và. .. hiệu hóa các hệ thống phụ không sử dụng và giữ cập nhật trên Service Packs và Hotfixes 15 Disabling Services Trên phần lớn bộ phận cài đặt của Windows, các dịch vụ được nạp vào và chạy mặc định mà không cần thiết, hoặc chúng cũng không được sử dụng trong môi trường bảo mật Nhiều dịch vụ được cài đặt với hệ điều hành, và số khác được thêm vào như các ứng dụng thêm vào của hệ thống 20 Hinh 3-10 Các dịch... lưu mật khẩu như thế nào Windows sử dụng hai phương pháp hash mật khẩu người dùng, cả hai đều có những điểm mạnh và điểm yếu riêng Đó là LAN Manager (LM) và NT LAN Manager version 2 (NTLMv2) Hàm hash (hash function) là hàm một chiều mà nếu đưa một lượng dữ liệu bất kì qua hàm này sẽ cho ra một chuỗi có độ dài cố định ở đầu ra 3 Hash mật khẩu LAN Manager (LM) Hash LAN Manager là một trong những thuật toán... Regedit.exe và Regedt32.exe để ngăn chặn các user trái phép thực thi các ứng dụng này Tuy nhiên, Nếu bạn hoang tưởng hơn, bạn có thể hoàn toàn xóa các ứng dụng khỏi ổ cứng và thực hiện quản lý Registry từ xa của một máy Trong trường hợp xóa các tập tin thực thi vẫn không đủ tốt với sở thích của bạn, bạn có thể vào 19 Registry và vô hiệu hóa truy xuất đến Registry Hiển nhiên, đây có thể là một tùy chọn.. .thông với server, xác nhận tên và địa chỉ, và cập nhật thông tin DNS mà không cần user can thiệp vào Một lợi íchkhi dùng DDNS trong mạng là khả năng loại bỏ các protocol và các servervice khác mà đang được chạy liên kết với các tài nguyên Ví dụ, Windows Internet Name Server (WINS) của Windows NT 4.0 ko còn cần thiết và NetBEUI cũng thế, nhưng cũng nên cần để... phải vào đối tượng, chọn Properties và xem thông tin trên Security tab Chi tiết về data được cung cấp trên Advanced tab Quyền hạn tập tin trong Windows 2000 và 2003 thì khác hơn trong Windows NT 4.0 Một số quyền hạn tồn tại được định nghĩa trong list sau: Traverse Folder/ Execute File – Quyền Traverse Folder chỉ áp dụng với thư mục và quản lý khả năng user di chuyển qua các thư mục để đến tập tin. .. FileAdd/Remove Snap-In Click vào Add button Trong bảng danh sách,chọn Group Policy Object Editor ,và click vào Add Lưu trữ GPO trong Local computer,and click Finish Click Close ,và click OK để đóng cửa sổ Add/Remove Snap-in Chọn FileSave ,và lưu console với tên Custom_GPO Rời khỏi GPO và làm các công việc tiếp theo 21 Editing GPOs Khi bạn tạo ra các GPO,bạn có thể chỉnh sửa vào thêm tùy biến chúng.Nhớ ... mạng LAN (kết nối theo Ethernet truyền thống) hay xa theo mạng WAN (kết nối theo T1, E1, hay vài công nghệ WAN khác) Active Directory danh sách thông tin sở liệu cho đối tượng có domain Những thông. .. settings, nhiều thứ khác 11 20 Configuring a Custom MMC and GPO Khởi động máy tính bạn vào Windows 2003 ,và đăng nhập vào Administrator Từ Start Menu,chọn Run vào gõ mmc để vào Microsoft Management... 10 11 12 Vào Local Computer Policy Nếu cần chỉnh sửa GPO,vào Computer Configuration Vào Windows Settings Vào Security Settings Mở Account Polocies, chọn Password Policy ,và nhấp đôi vào Enforce