Mục lục: I -TỔNG QUAN VỀ AN NINH MẠNG.6 1.Bảo vệ hệ thống :6 a)Mục tiêu bảo vệ hệ thống:6 b)Nội dung bảo vệ hệ thống:6 2.Khái niệm bảo mật.6 3. Các hình thức tấn công trên mạng.7 a. Tấn công trực tiếp.7 b. Nghe trộm trên mạng.7 c. Giả mạo địa chỉ.7 d. Vô hiệu hóa chức năng của hệ thống.7 e.Tấn công vào yếu tố con người.8 f. Một số kiểu tấn công khác.8 II-Các mối đe dọa.8 1. Phishing.8 2. Virus và Worm.9 3.Trojan.10 4.Spyware.10 III- Sơ lược về Windows sever 200311 1)Windows server 2003 là gì ?11 2)Thiết kế bảo mật trong windowns server 200312 3)Tính năng bảo mật trong họ windows server 2003:12 •Xác thực Kerberos13 •Bảo mật IP13 •Mã hóa tập tin hệ thống13 •Hỗ trợ thẻ thông minh14 4) Cải tiến an ninh trong Windows XP và họ Windows Server 200314 a-Mã hóa tập tin hệ thống (EFS) cải tiến15 b-Bảo mật IP16 5) Cải tiến an ninh trong Windows Server 2003, Standard, Server Edition16 a.Mã hóa mạnh mẽ hơn nữa cho EFS16 b.Group Policy :16 c.Chính sách phần mềm hạn chế16 d.Cải thiện Chứng thực Chữ17 6) Lockdown17 7) Cải tiến an ninh trong Windows Server 2003, Server Enterprise Edition18 a)Tách vai trò cơ quan chứng nhận18 b)Key phục hồi18 IV. Chính sách tài khoản người dùng.19 1)Chính sách mật khẩu.20 2)Chính sách khóa tài khoản.21 V- Chính sách cục bộ.22 A.Chính sách kiểm toán.22 B.Quyền hệ thống của người dùng.23 C.Các lựa chọn bảo mật.27 VI- IPSec:29 1.Các tác động bảo mật.29 2.Các chính sách IPSec tạo sẵn.32 VII-Gán quyền truy nhập NTFS trên thư mục dùng chung36 a.Hướng dẫn:36 b.Kế thừa và thay thế quyền của đối tượng con:37 c.Thay đổi quyền khi di chuyển thư mục hoặc tập tin:39 d.Giám sát người dùng truy cập thư mục:39 e.Thay đổi người sở hữu thư mục:39 VIII- Tổng quan về firewall.40 1.Firewall là gì.40 2.Tại sao cần có firewall và lịch sử của firewall:41 3. Chức năng của Firewall:42 a)Các thành phần và cơ chế hoạt động của Firewall :43 b. Hạn chế của Firewall:50 4. Cài đặt Firewall:50 IX - Windows update.53 1)Giới thiệu về windows update:53 2)Tác dụng và cách bật windows update:55 a)Tác dụng của windows update:55 b)Cách bật tính năng update:55 X.So sánh57 1.So sánh phương pháp bảo mật của windows và linux:57 2.So sánh phương pháp bảo vệ hệ thống của windows 2003 server với các phương pháp đã học:59 TÀI LIỆU THAM KHẢO60
Trang 1
BÀI TẬP LỚN
MÔN: NGUYÊN LÝ HỆ ĐIỀU HÀNH
ĐỀ TÀI: Nghiên cứu tìm hiểu về bảo vệ hệ thống
trong Windows (Windows 2003 server)
GIÁO VIÊN HƯỚNG DẪN :
Th.s Vương Quốc Dũng
NHÓM THỰC HIỆN:
Nhóm 11 – KTPMCLC1.K6
SINH VIÊN THỰC HIỆN:
Nguyễn Quốc Toản
Nguyễn Đức Thọ
HÀ NỘI ,NGÀY 18/12/2012
Trang 2Mục lục:
I -TỔNG QUAN VỀ AN NINH MẠNG 6
1.Bảo vệ hệ thống : 6
a) Mục tiêu bảo vệ hệ thống: 6
b) Nội dung bảo vệ hệ thống: 6
2.Khái niệm bảo mật 6
3 Các hình thức tấn công trên mạng 7
a Tấn công trực tiếp 7
b Nghe trộm trên mạng 7
c Giả mạo địa chỉ 7
d Vô hiệu hóa chức năng của hệ thống 7
e.Tấn công vào yếu tố con người 8
f Một số kiểu tấn công khác 8
II-Các mối đe dọa 8
1 Phishing 8
2 Virus và Worm 9
3.Trojan 10
4.Spyware 10
III- Sơ lược về Windows sever 2003 11
1) Windows server 2003 là gì ? 11
2) Thiết kế bảo mật trong windowns server 2003 12
3)Tính năng bảo mật trong họ windows server 2003: 12
Xác thực Kerberos 13
Bảo mật IP 13
Mã hóa tập tin hệ thống 13
Hỗ trợ thẻ thông minh 14
4) Cải tiến an ninh trong Windows XP và họ Windows Server 2003 14
a- Mã hóa tập tin hệ thống (EFS) cải tiến 15
b- Bảo mật IP 16
5) Cải tiến an ninh trong Windows Server 2003, Standard, Server Edition 16
a Mã hóa mạnh mẽ hơn nữa cho EFS 16
b Group Policy : 16
c Chính sách phần mềm hạn chế 16
Trang 3d Cải thiện Chứng thực Chữ 17
6) Lockdown 17
7) Cải tiến an ninh trong Windows Server 2003, Server Enterprise Edition 18
a) Tách vai trò cơ quan chứng nhận 18
b) Key phục hồi 18
IV Chính sách tài khoản người dùng 19
1) Chính sách mật khẩu 20
2) Chính sách khóa tài khoản 21
V- Chính sách cục bộ 22
A Chính sách kiểm toán 22
B Quyền hệ thống của người dùng 23
C Các lựa chọn bảo mật 27
VI- IPSec: 29
1 Các tác động bảo mật 29
2 Các chính sách IPSec tạo sẵn 32
VII-Gán quyền truy nhập NTFS trên thư mục dùng chung 36
a Hướng dẫn: 36
b Kế thừa và thay thế quyền của đối tượng con: 37
c Thay đổi quyền khi di chuyển thư mục hoặc tập tin: 39
d Giám sát người dùng truy cập thư mục: 39
e Thay đổi người sở hữu thư mục: 39
VIII- Tổng quan về firewall 40
1.Firewall là gì 40
2.Tại sao cần có firewall và lịch sử của firewall: 41
3 Chức năng của Firewall: 42
a) Các thành phần và cơ chế hoạt động của Firewall : 43
b Hạn chế của Firewall: 50
4 Cài đặt Firewall: 50
IX - Windows update 53
1) Giới thiệu về windows update: 53
2) Tác dụng và cách bật windows update: 55
a) Tác dụng của windows update: 55
b) Cách bật tính năng update: 55
X So sánh 57
Trang 41 So sánh phương pháp bảo mật của windows và linux: 57
2 So sánh phương pháp bảo vệ hệ thống của windows 2003 server với các phương pháp
đã học: 59
TÀI LIỆU THAM KHẢO 60
Trang 5Lời nói đầu
Trong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng và bảo mật dữ liệu đang trở nên rất được quan tâm Trong khi cơ sở hạ tầng và các công nghệ mạng đã đáp ứng tốt các yêu cầu về băng thông, chất lượng dịch vụ, thì thực trạng tấn công trên mạng lại ngày một gia tăng Vì vậy, vấn đề bảo mật càng cần phải được chú trọng hơn Đó là môt vấn đề cấp bách không chỉ với các nhà cung cấp dịch vụ Internet, các cơ quan chính phủ
mà còn cả với các tổ chức doanh nghiệp, họ cũng ngày càng có ý thức
Để các bạn có cái nhìn tổng quan hơn về các phương pháp bảo vệ hệ thống trong windows Trong tài liệu này chúng tôi xin cùng các bạn tìm
HÀ NỘI, ngày 18 /12/ 2012
Trang 6I -TỔNG QUAN VỀ AN NINH MẠNG
1.Bảo vệ hệ thống :
a) Mục tiêu bảo vệ hệ thống:
Phát hiện và ngăn chặn, không cho lỗi lan truyền
Phát hiện các lỗi tiềm ẩn trong hệ thống để tăng cường độtin cậy
Chống lại sự xâm nhập bất hợp lệ,các tiến trình sử dụng tàinguyên phù hợp với quy định của hệ
Cung cấp một cơ chế, chiến lược để quản trị việc sử dụngtài nguyên
b) Nội dung bảo vệ hệ thống:
Gồm 2 nội dung:
Bảo mật hệ thống
An ninh hệ thống
2.Khái niệm bảo mật.
Trong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng và bảo mật
dữ liệu đang trở nên rất được quan tâm Khi cơ sở hạ tầng và các công nghệmạng đã đáp ứng tốt các yêu cầu về băng thông, chất lượng dịch vụ, đồngthời thực trạng tấn công trên mạng đang ngày một gia tăng thì vấn đề bảomật càng được chú trọng hơn Không chỉ các nhà cung cấp dịch vụ Internet,các cơ quan chính phủ mà các doanh nghiệp, tổ chức cũng có ý thức hơn về
an toàn thông tin
Nói đến bảo mật máy tính là nói đến tính bí mật (confidential), chính xác (accuracy) và sẵn sàng (availability)
- Tính bí mật: Hệ thống có tính bí mật là hệ thống mà thông tin của nó không cho phép những người không có quyền được xem
- Tính chính xác:Một hệ thống được bí mật phải luôn có tính nhất quán
dữ liệu.Phải ngăn ngừa sự thay đổi vô tình hay cố ý(không được phép) một thông tin nào đó
- Tính sẵn sàng: Một hệ thống được bí mật phải luôn sẵn sàng cung cấp thông tin cho người dùng khi họ cần
Trang 73 Các hình thức tấn công trên mạng.
a Tấn công trực tiếp.
Những cuộc tấn công trực tiếp thông thường được sử dụng trong giaiđoạn đầu để chiếm được quyền truy nhập hệ thống mạng bên trong
b Nghe trộm trên mạng
Thông tin gửi đi trên mạng thường được luân chuyển từ máy tính nàyqua hàng loạt các máy tính khác mới đến được đích Điều đó, khiến chothông tin của ta có thể bị kẻ khác nghe trộm Tồi tệ hơn thế, những kẻ nghetrộm này còn thay thế thông tin của chúng ta bằng thông tin do họ tự tạo ra
và tiếp tục gửi nó đi Việc nghe trộm thường được tiến hành sau khi cáchacker đã chiếm được quyền truy nhập hệ thống hoặc kiểm soát đườngtruyền May mắn thay, chúng ta vẫn còn có một số cách để bảo vệ đượcnguồn thông tin cá nhân của mình trên mạng bằng cách mã hoá nguồn thôngtin trước khi gửi đi qua mạng Internet Bằng cách này, nếu như có ai đónđược thông tin của mình thì đó cũng chỉ là những thông tin vô nghĩa
c Giả mạo địa chỉ.
Giả mạo địa chỉ có thể được thực hiện thông qua sử dụng khả năngdẫn đường trực tiếp Với cách tấn công này kẻ tấn công gửi các gói tin tớimạng khác với một địa chỉ giả mạo, đồng thời chỉ rõ đường dẫn mà các góitin phải đi Thí dụ người nào đó có thể giả mạo địa chỉ của bạn để gửi đinhững thông tin có thể làm ảnh hưởng xấu tới bạn
d Vô hiệu hóa chức năng của hệ thống.
Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấpdịch vụ(Denial of Service- DoS) không cho hệ thống thực hiện được cácchức năng mà nó được thiết kế Kiểu tấn công này rất khó ngăn chặn bởichính những phương tiện dùng để tổ chức tấn công lại chính là nhữngphương tiện dùng để làm việc và truy cập thông tin trên mạng Một thí dụ về
Trang 8trường hợp có thể xảy ra là một người trên mạng sử dụng chương trình đẩy
ra những gói tin yêu cầu về một trạm nào đó Khi nhận được gói tin, trạmluôn luôn phải xử lý và tiếp tục thu các gói tin đến sau cho đến khi bộ đệmđầy, dẫn tới tình trạng những nhu cầu cung cấp dịch vụ của các máy khácđến trạm không được phục vụ
e.Tấn công vào yếu tố con người.
Đây là một hình thức tấn công nguy hiểm nhất nó có thể dẫn tớinhững tổn thất hết sức khó lường Kẻ tấn công có thể liên lạc với ngườiquản trị hệ thống thay đổi một số thông tin nhằm tạo điều kiện cho cácphương thức tấn công khác
f Một số kiểu tấn công khác.
Ngoài các hình thức tấn công kể trên, các hacker còn sử dụng một sốkiểu tấn công khác như tạo ra các virus đặt nằm tiềm ẩn trên các file khingười sử dụng do vô tình trao đổi thông tin qua mạng mà người sử dụng đãtự cài đặt nó lên trên máy của mình Ngoài ra hiện nay còn rất nhiều kiểutấn công khác mà chúng ta còn chưa biết tới và chúng được đưa ra bởinhững hacker
II- Các mối đe dọa.
1 Phishing.
Phishing là một thủ đoạn của hacker nhằm lấy thông tin cá nhân củakhách hàng bằng cách dùng email giả danh các tổ chức tài chính Cách này rấthay được những tên trộm ảo sử dụng
Các email tự xưng là các ngân hàng hoặc tổ chức hợp pháp thường đượcgởi số lượng lớn Nó yêu cầu người nhận cung cấp các thông tin khá nhạy cảmnhư tên truy cập, mật khẩu, mã đăng ký hoặc số PIN bằng cách dẫn đến mộtđường link tới một website nhìn có vẻ hợp pháp, điều đó giúp cho tên trộm có
Trang 9thể thu thập được những thông tin của quý khách để tiến hành các giao dịch bấthợp pháp sau đó.
Dưới đây là một ví dụ về email lừa đảo:
Nếu nhận được email yêu cầu đăng ký hay nhập lại các thông tin cá nhân, cầnxóa chúng ngay và thông báo với bộ phận hỗ trợ Ngân hàng điện tử củaANZ nơi quý khách ở có thể hạn chế nguy cơ trở thành nạn nhân của email lừađảo bằng cách:
Tuyệt đối không truy cập vào Ngân hàng điện tử qua link lạ gửi qua mail
Thận trọng với các thông emails yêu cầu khai báo thông tin như tên truycập, mật khẩu, mã pin. Email xác thực của ANZ không yêu cầu chi tiết cánhân hay đăng nhập các thông tin
Ngay lập tức xóa bỏ các email không rõ nguồn gốc, cho dù cho dù nó có vôhại hay dùng lời mời chào hấp dẫn thế nào đi nữa
Thay đổi mật khẩu của Ngân hàng điện tử định kỳ
Liên tục cập nhật chương trình diệt virut và tường lửa cũng như quét máytính của quý khách thường xuyên
2 Virus và Worm.
Trang 10Virus máy tính là chương trình phần mềm có khả năng tự sao chép chính
nó từ đối tượng này sang đối tượng khác ( đối tượng có thể là các file chươngtrình văn bản máy tính)
Virus có nhiều cách lây lan và tất nhiên cũng có nhiều cách phá hoại,nhưng ban chỉ cần nhớ rằng đó là một đoạn chương trình và chương trình đóthường dùng để phục vụ những mục đích không tốt
Virus máy tính do con người tạo ra Quả thực cho đến ngày nay, chúng
ta có thể coi virus máy tính là mầm mống gây dịch bệnh cho những chiếc máytính, chúng ta là những người bác sĩ luôn chiến đấu với dịch bệnh và tìm ranhững phương pháp mới để hạn chế và tiêu diệt chúng Nhưng những vấn đềphức tạp ngoài xã hội, khó tránh khỏi việc có những loại bệnh gây ra nhữnghậu quả khôn lường chính vì vậy, “phòng hơn chống” là phương châm cơ bản
và luôn đúng đối với virus máy tính
Worm cũng giống như virus Nó lợi dụng những máy tính đang nốimạng để xâm nhập vào những lỗ hổng bảo mật Khi đã tìm thấy lỗ hổng bảomật, nó sẽ xâm nhập một cách nhanh chóng từ máy này sang máy khác Nó cósức phá hủy tương đương với virut Nhưng không giống như virus thời “nguyên thủy” worm không cần đến các tập tin mồi để lây truyền, chúng tự nhânbản và phát tán trên môi trường internet, mạng ngang hàng, dịch vụ chia sẻ
3.Trojan.
Trojan xuất hiện để thực thi mã độc ở lớp phía sau Đây không phải làvirut và có thể dễ dàng được download mà không nhận thấy chúng Remoteaccess Trojan (RAT) là một loại trojan phổ biến điều khiển truy cập từ xa, ví dụBack Orifice hoặc NetBus; khả năng của chúng cho phép kẻ tấn công có thểthực thi các quyền quản trị
4.Spyware.
Trang 11Spyware là phần mềm theo dõi những hoạt động của bạn trên máy tính.Chúng thu thập tất cả thông tin cá nhân, thói quen cá nhân, thói quen lướt webcủa người dùng gửi về cho tác giả Spyware là mối đe dọa lớn nhất đối với sự
an toàn của một máy tính, một hệ thống mát tính
Windows server 2003 trong một số phiên bản của nó là thế hệ mới nhất của giađình Microsoft của hệ điều hành máy chủ, kết hợp những tiến bộ đạt được bằngcách trước đó Windows NT va Windows server 2000 cũng thuộc gia đình củasản phẩm này.các hệ điều hành này đã được thử nghiệm và chứng minh từ năm
1993 là một nền tảng vững chắc cho các ứng dụng và chức năng dựa trên máychủ
Windows XP là cũng xuất phát từ cùng một cơ sở mã là Windows Server 2003
Cơ sở chung này đảm bảo rằng các chức năng cốt lõi của hai hệ điều hành vẫncòn giống hệt nhau Những lợi ích có rất nhiều cách tiếp cận này cung cấp baogồm:
• Phổ biến trình điều khiển thiết bị
• Phần mềm tương thích
• Ổn định cốt lõi hơn
• Thống nhất giao diện người dùng và kinh nghiệm
III- Sơ lược về Windows sever 2003
1) Windows server 2003 là gì ?
Windows server 2003 trong một số phiên bản của nó là thế hệ mới nhấtcủa gia đình Microsoft của hệ điều hành máy chủ, kết hợp những tiến bộ đạtđược bằng cách trước đó Windows NT va Windows server 2000 cũng thuộc giađình của sản phẩm này.các hệ điều hành này đã được thử nghiệm và chứngminh từ năm 1993 là một nền tảng vững chắc cho các ứng dụng và chức năngdựa trên máy chủ
Windows XP là cũng xuất phát từ cùng một cơ sở mã là Windows Server 2003
Cơ sở chung này đảm bảo rằng các chức năng cốt lõi của hai hệ điều hành vẫncòn giống hệt nhau Những lợi ích có rất nhiều cách tiếp cận này cung cấp baogồm:
• Phổ biến trình điều khiển thiết bị
Trang 12• Phần mềm tương thích
• Ổn định cốt lõi hơn
• Thống nhất giao diện người dùng và kinh nghiệm
2) Thiết kế bảo mật trong windowns server 2003
Windows NT và hệ thống điều hành Windows 2000 được thiết kế từ lúc bắtđầu đến được an toàn Cả hai thực thi đăng nhập người dùng và đảm bảo rằngtất cả các phần mềm chạy trong khu vực riêng của một tài khoản, mà có thểđược hạn chế hoặc cho phép một cách thích hợp Bảo mật Windows là khônggiới hạn bảo mật người dùng đăng nhập, nhưng mở rộng cho tất cả các đốitượng trong hệ thống điều hành Tập tin trên ổ đĩa cứng, các mục trong registry,các thành phần, tất cả các phần mềm những yếu tố này có một khía cạnh anninh Các thành phần hệ thống điều hành có thể truy cập các đối tượng chỉ vớicác điều khoản và các thông tin thích hợp.Điều này có thể có lợi nhưng cũng cóthể có hại
Thực thi các hạn chế bảo mật trên tất cả các thành phần của hệ điều hành có thể
có vẻ khó khăn.Kiểm tra truy cập phải xảy ra khi một cuộc đàm phán thànhphần Windows khác Chúng bao gồm các chương trình, trình điều khiển thiếtbị, thành phần cốt lõi điều hành hệ thống, và như vậy trên tất cả mọi thứ, ngắn.Thiết lập cho phép bảo mật thích hợp là một nhiệm vụ mà đòi hỏi kiến thức chitiết của đối tượng và sự tương tác giữa các thành phần được cấu hình Lỗi cấuhình các điều khoản có thể gây ra hành vi không mong muốn khác nhau,mức
độ nghiêm trọng từ một vấn đề nhỏ và dễ dàng cố địnhmất hoàn toàn và khôngthể phục hồi chức năng
Thực tế là môi trường an ninh này - một phần của thiết kế cơ bản WindowsServer 2003 là một lợi thế lớn Nếu bảo mật mạnh mẽ và phổ biến là khôngđược thiết kế vào cốt lõi của một hệ điều hành (ví dụ, Windows 95), nó gầnnhư không thể để thêm nó sau này Phát triển và thử nghiệm có thể tìm thấy lỗihoặc chấp nhận khi bản vá bảo mật vào một hệ điều hành Các thành phần hợppháp có thể đã được thiết kế để tận dụng lợi thế của việc thiếu an ninh Môitrường nhất thiết sẽ ít an toàn hơn so với thiết kế để bảo mật ngay từ đầu
3)Tính năng bảo mật trong họ windows server 2003:
So với người tiền nhiệm của họ, Windows NT và Windows 2000 cung cấp rấtnhiều tính năng bảo mật Trong thực tế, kể từ khi khởi đầu của Windows NTAdvanced Server 3.1 vào năm 1993, Windows NT gia đình đã luôn luôn cung
Trang 13cấp một bộ tính năng bảo mật tập trung.Trong những năm qua, thông báo sau
đó có thêm các tính năng bảo mật mới và mở rộng những cái hiện có
Cũng như với phiên bản trước, Windows Server 2003 cải thiện về các phiênbản hệ thống điều hành trước bằng cách tăng cường tính năng bảo mật hiện có
và thêm những cái mới.Một số tính năng bảo mật được chuyển từ các phiênbản trước bao gồm:
Xác thực Kerberos
Xác thực Kerberos: Kerberos là một mạng lưới giao thức xác thực tiêu chuẩnhóa và được sử dụng rộng rãi Tích hợp vàoWindows 2000, Kerberos cung cấpthông tin chứng minh cho người sử dụng, máy tính, và các dịch vụ đang chạytrên Windows 2000, Windows XP Professional, và WindowsServer 2003.Trước khi sử dụng Kerberos trong Windows 2000, NTLM được sử dụng nhưcác giao thức xác thực.Trong khi NTLM vẫn là một giao thức hữu ích cho việcduy trì khả năng tương thích với các hệ thống điều hành cũ hơn, nó không hiệuquả hoặc khả năng tương tác như Kerberos NTLM cũng có một số thiếu hụtbảo mật mà Kerberos thì không
Bảo mật IP
Sử dụng giao thức TCP / IP của đã trở nên phổ biến Trong khi TCP / IP cungcấp các lợi ích to lớn đối với các giao thức mạng khác, nó không phải là điềumong muốn từ một quan điểm bảo mật Dữ liệu được gửi qua một mạng lướivới bộ giaothức này không được thiết kế để được an toàn và có thể dễ dàngngăn chặn và giải mã bảo mật IP (IPSec) là một tập hợp các tiêu chuẩn dựatrên RFC định nghĩa như thế nào dữ liệu có thể được gửi an toàn thông quagiao thức TCP / IP.Dữ liệu có thể được mã hóa, chữ ký số, hoặc cả hai bằngcách sử dụng IPSec Nhiều thiết bị phần cứng, chẳng hạn như thiết bị địnhtuyến và tường lửa, IPSec hỗ trợ thông tin liên lạc IPSec có sẵn trongWindows 2000, Windows XPProfessional, và Windows các sản phẩm máy chủgia đình 2003 Đó là kết hợp vào các trình điều khiển mạng, cho phép nó tíchhợp thông suốt với các phần mềm TCP / IP hiện có.Thực hiện là phù hợp vớitiêu chuẩn thành lập, cho phépWindows Server 2003 để giao tiếp với các thiếtbị mạng khác đúng được trang bị thôngqua IPSec
Mã hóa tập tin hệ thống
Tập tin trên một ổ đĩa cứng có thể bị tổn hại khi bảo mật vật lý của một máytính bị thỏa hiệp Bởi vì bảo mật vật lý có thể không luôn luôn được đảm bảo,một biện pháp bổ sung về an toàn có thể được thực hiện để bảo vệ chống lạicác dữ liệu bị đánh cắp từ một ổ đĩa cứng Encrypting File System (EFS)có thểđược sử dụng để mã hóa dữ liệu bằng văn bản cho các ổ đĩa cứng Điều này
Trang 14đảm bảo rằng chỉ người sử dụng đang nắm giữ chìa khóa giải mã thích hợp cóthể lấy dữ liệu.Nếu ổ đĩa cứng là bị tổn hại và các khóa giải mã là không đượclưu trữ trên ổ cứng, dữ liệu không thể đọc được.
Chính sách nhóm
Khi bạn tạo ra một cơ sở hạ tầng bảo mật, bạn muốn khả năng tạo nên nhữngthiết lập cấu hình cho tất cả các đối tượng trong cơ sở hạ tầng Các thiết lập nàythường bao gồm các yêu cầu mật khẩu tối thiểu, hạn chế người dùng phiên, vànhư vậy.Group Policy cung cấp một cơ chế để minh bạch cấu hình các máytính trong doanh nghiệp với tất cả cácthiết lập bảo mật mong muốn Bạn, nhưmột quản trị viên, có thể buộc người dùng và máy tính để sử dụng các thiết lập
mà bạn muốn Điều này cho phép bạn để giữ cho người dùng của bạn an toànhơn và bảo vệ họ chống lại vô số các cuộc tấn công Người sử dụng không biếtlàm thế nào mà họ nhận được các thiết lập bảo mật, và các thiết lập không thểđược thay đổi mà không có đặc quyền thích hợp
Chứng nhận dich vụ
Sử dụng mật mã khóa công khai đã trở thành phổ biến trên một loạt các ứngdụng và dịch vụ.Giấy chứng nhận khóa công khai là cần thiết để cung cấp vàtạo sự tin tưởng giữa các tổ chức và trên thế giới Giấy chứng nhận Dịch vụcung cấp một ứng dụng phần mềm tiếp nhận, phê duyệt các vấn đề, và các giấychứng nhận khóa công khai
Hỗ trợ thẻ thông minh
Tất cả các bảo mật trong Windows được dựa trên khái niệm của một hoàn cảnhngười sử dụng Nội dung này thường được chứng minh là các máy tính địaphương và vùng sâu, vùng xa với việc sử dụng một tên người dùng và mậtkhẩu được cung cấp bởi người sử dụng hoặc một thành phần phần mềm.Bởi vìtên người dùng và mật khẩu biết được thông tin người dùng nhập vào, họ cóthể được nhân rộng hoặc bị đánh cắp trong nhiều cách khác nhau Yêu cầu một
số thành phần vật lý ngoài các dữ liệu tên người dùng và mật khẩu thêm mộtthỏa thuận an ninh với hoàn cảnh người dùng.Thẻ thông minh được thiết bịđược thiết kế để lưu trữ thông tin, kết hợp với một số nhận dạng cá nhân (PIN),nơi tên người dùng và mật khẩu Nếu bạn yêu cầu sử dụng của thẻ thông minh,một người dùng không thể chứng minh danh tính của mình mà không có thẻvật lý và mã PIN tương ứng
4) Cải tiến an ninh trong Windows XP và họ Windows Server 2003
Trang 15- Trong sự phát triển của Windows XP và Windows Server 2003, Microsoft đãgiám sát chặt chẽ tất cả các hệ thống bảo mật điều này lên đến đỉnh điểmtrong một ngăn chặn kéo dài hàng tháng vào sự phát triển của Windows đểMicrosoft có thể dành thời gian cần thiết để kiểm tra mã hiện tại, quy trình, vàcác tính năng để vá cho các lỗ hổng và điểm yếu Đây là những phân tích vàgiải quyết một cách có phương pháp các tính năng dễ bị tổn thương khôngđược gỡ bỏ, mặc dù cấu hình của họ đã được thay đổi để làm cho chúng bị vôhiệu hóa hoặc không được cài đặt theo mặc định Mặc dù nỗ lực này đã làm trìhoãn việc sản xuất của Windows Server 2003, nó chắc chắn là một đầu tư cógiá trị thời gian và nguồn lực.
- Bởi vì Windows XP và Server 2003 của Windows chia sẻ các thành phầnphần mềm thông thường, một số trong những cải tiến bảo mật ảnh hưởng đến
cả hai phiên bản trong cùng một cách Bên cạnh các kiến trúc bảo mật cơ bảnmạnh mẽ,bạn có thể trực tiếp quan sát và cấu hình một số cải tiến Một vàitrong số các công trình lớn bao gồm:
a- Mã hóa tập tin hệ thống (EFS) cải tiến
Trong Windows 2000, EFS mã hóa cung cấp cho các tập tinvới các thuật toán
mã hóa DESX (một biến thể của mã hóadữ liệu tiêu chuẩn-DES) Thuật toánnày bảo vệ dữ liệu tốt hơn so với các thuật toán DES , nhưng một số tùy chọnmạnh mẽ hơn là có sẵn Trong Windows XP và Windows Server 2003, EFS cóthể mã hóa các tập tin bằng cách sử dụng các thuật toán mã hóa triple-DES(3DES) Sự cải thiện này cung cấp mã hóa 168-bit cho dữ liệu, đó là hợp
lý khả năng chống các cuộc tấn công mới nhất.Một cải tiến khác EFS là việcloại bỏ các yêu cầu phục hồi dữ liệu Điều này cho phép bạn cấu hình EFS vớicác tùy chọn ít hơn cho việc khôi phục dữ liệu,nhưng làm tăng mức độ bảo mật
dữ liệu Ngoài ra, bạn có thể thêm nhiều hơn một người sử dụng vào một tậptin EFSđể cho phép nhiều người dùng để giải mã nội dung Điều này cho phépchia sẻ file an toàn hơn cả trong nước và qua mạng
Dĩ nhiên, việc sử dụng của nó đã phần nào bị hạn chế hoạt động đăng nhậptrong một miền Active Directory.Một trường hợp thông thường không được đềcập bởiWindows 2000 hỗ trợ thẻ thông minh đã được sử dụng thông tin thẻthông minh chạy các ứng dụng cụ thể trong khi vẫn đăng nhập như một ngườidùng khác nhau Trường hợp này là đề Windows 2000 cung cấp một nền tảngcho hỗ trợ thẻ thông minh Tuy trong Windows XP và Windows Server 2003cho phép một quản trị viên vẫn đăng nhập như một người sử dụng tiêu chuẩntrong khi cung cấp cụ thể, các chức năng bị cô lập bằng các thông tin từ thẻthông minh
Trang 16b- Bảo mật IP
Trong khi các thành phần cơ bản của IPSec vẫn còn phần lớn là giống nhưWindows 2000, một cải tiến đáng kể được giới thiệu để theo dõi và xử lý sự cốcủa nó Trong Windows 2000, một công cụ độc lập gọi là IPSecMon là cáchduy nhất để khám phá ra những gì IPSec đang làm Trong WindowsXP vàWindows Server 2003, Microsoft Management Console công cụ có sẵn đểgiám sát IPSec.Được gọi là IP Security Monitor, cung cấp chi tiết về hoạt độngcủa IPSec và có thể giúp đánh giá cấu hình sai IP Security Monitor hoạt độngtốt như là một bổ sung cho các công cụ khác như Resultant Set of Policy(RSoP), Netdiag, Network Monitor, vàIPSec các bản ghi để giúp đảm bảo rằngsự truyền thôngIPSec của bạn có thực sự an toàn
5) Cải tiến an ninh trong Windows Server 2003, Standard, Server
Edition
Windows Server 2003 Standard Server là nền tảng của kiến trúc máy chủWindows Server 2003 Đây là phiên bản của Windows Server 2003 là phù hợpcho một phạm vi rộng của các ứng dụng trong một môi trường máy chủ, cungcấp dịch vụ lưu trữ tập tin để quản lý tài khoản người dùng HTTP Bởi vì nó cóthể được sử dụng cho nhiều nhiệm vụ khác nhau, rấtnhiều cải tiến an ninh đãđược thực hiện với Windows Server2003 Server Standard, bao gồm:
a Mã hóa mạnh mẽ hơn nữa cho EFS
Bởi vì EFS là một phương pháp mạnh mẽ bảo vệ chống lại sự thỏa hiệp vật lýcủa máy tính, bạn muốn sử dụng mã hóamạnh nhất có thể Gần đây đã hoànthiện thuật toánAdvanced Encryption Standard (AES) được thiết kế như làmộtthay thế cho bộ ứng dụng các thuật toán DES EFS hỗ trợ mã hóa tập tin vớithuật toán AES mới, trong đó sử dụngmột khóa 256-bit
c Chính sách phần mềm hạn chế
Trang 17Người dùng đang chạy phần mềm tùy ý từ các nguồn khôngan toàn là một sốnhững rủi ro bảo mật lớn nhất mà bạn sẽ phải đối mặt như là một quản trị viên.Đảm bảo chúng được bảo vệ từ file đính kèm email và phần mềm gửi đĩa CD-ROMhoặc các phương tiện di động khác là rất quan trọng Máy quét virusthường có hiệu quả trong việc chống lại vấn đề này, nhưng biến thể virus mới
và các phương pháp xuất hiệnhầu như hàng ngày Để giúp ngăn chặn các vấn
đề tại nguồncủa nó, Windows Server 2003 Standard Server cung cấpmột loạihình cụ thể của việc hạn chế chính sách nhóm được gọi là chính sách hạn chếphần mềm (SRP) Điều này cho phép bạn mô tả những gì chương trình ngườidùng có thểhoặc không thể chạy Người dùng cố gắng để chạy phần mềmkhông được phép bởi chính sách này sẽ không đượcthành công, và máy tínhcủa họ sẽ vẫn an toàn Mặc dù SRPđã được tạo sẵn trong Windows XP, quản lý
và kiểm soátcủa các chính sách được tăng cường rất nhiều với WindowsServer2003
d Cải thiện Chứng thực Chữ
Cơ quan cấp giấy chứng nhận có sẵn trên Windows 2000cung cấp một cáchđơn giản để cấu hình và cấp giấy chứng nhận cho người dùng và máy tínhtrong một doanh nghiệp.Nó đã không cung cấp rất nhiều tính linh hoạt để tuỳbiếnhoặc mới được phát triển các ứng dụng PKI-aware.Windows Server 2003Standard Server tiếp tục cải thiện cáccơ quan xác nhận bằng cách cung cấp cáctính năng mới như tự động kết nạp khách hàng để tự động triển khai vàquản lýgiấy chứng nhận khách hàng, ứng dụng cấu hình vàchính sách phát hành đểcung cấp cho kiểm soát quản trị cấu hình sâu giấy chứng nhận phát hành, và vaitrò của cơ quan chứng nhận hành chính để giúp ngăn ngừa bất kỳ quảntrịkhông được giữ quá nhiều quyền lực trong một cơ quan cấpgiấy chứng nhận
6) Lockdown
Internet Information Services (IIS) cung cấp các dịch vụ dựa trên web dành choWindows và sử dụng rộng rãi Nó thường được sử dụng trên các máy tính đượctruy cập nặc danh từ Internet An ninh của nó thường phải được thoải mái hơnsovới các máy tính khác trong một tổ chức để cho phép một số chức năng chínhcủa nó để chạy một cách chính xác Ngoài ra, nhiều quản trị viên không baogiờ cấu hình IIS trên máy chủ của họ, đặc biệt là nếu nó không phải là dự địnhđược sử dụng trên máy tính đó hoặc nếu máy tính không phải là tiếp xúc trựctiếp với Internet
Bởi vì IIS là, bởi bản chất của nó, thường xuyên tiếp xúc với Internet, an ninhyêu cầu thoải mái và sai thường xuyên của nó làm cho nó trở thành một trongnhững khu vực lớn nhất của tiếp xúc an ninh cho Windows 2000 Điều này
Trang 18được giải quyết bằng Windows Server 2003 một cách đơn giản: IISkhông đượccài đặt theo mặc định Khi IIS được cài đặt một cách rõ ràng, hầu hết các tínhnăng của nó bị vô hiệu hóa và phải được kích hoạt bằng tay Đối với phiên bảntrước của IIS và Windows, một công cụ gọi là IIS Lockdown được cung cấp.Các chức năng của công cụ được tích hợp với Windows Server 2003 và IIS 6.0.
7) Cải tiến an ninh trong Windows Server 2003, Server Enterprise
Edition
Windows Server 2003 Enterprise Server là tính năng phong phú hầu hết cácphiên bản của Windows Server 2003 có sẵn Nó có khả năng quy mô để đápứng nhu cầu của hầu hếtcác triển khai
Có một vài sự khác biệt trong tính năng bảo mật giữaWindows Server 2003Standard Server và Windows Server Enterprise Server 2003 Windows Server
2003 EnterpriseServer cung cấp tất cả các chức năng của máy chủ WindowsServer Standard 2003 cộng với một vài cải tiến
Tất cả các yêu cầu giấy chứng nhận chính công cộng được ban hành dựa trêncác thiết lập cấu hình Một số các thiết lập này được cấu hình cho từng cơ quancấp giấy chứng nhận,trong khi những người khác được cấu hình dựa trên cácloạigiấy chứng nhận theo yêu cầu Mẫu Giấy chứng nhận cóchứa các thiết lậpcho từng loại chứng chỉ có thể được ban hành Trong Server Enterprise ServerWindows 2003, mẫugiấy chứng nhận có thể được tạo ra, bị xóa, và tùy chỉnhđểcung cấp các chức năng chính xác mong muốn
a) Tách vai trò cơ quan chứng nhận
Một số tiêu chuẩn xác định một cơ quan chứng nhận phải được quản lý như thếnào Hầu hết trong số họ yêu cầungười sử dụng khác nhau để thực hiện cácnhiệm vụ khác nhau, chẳng hạn như yêu cầu một quản trị viên để cấu hình các
cơ quan chứng nhận và kiểm toán viên riêng biệt đểgiám sát các hoạt động trên
mà cơ quan chứng nhận Tách biệt vai trò là một tính năng mới đòi hỏi phải cómột người sử dụng có không nhiều hơn một vai trò cơ quan quản lý cấp giấychứng nhận Điều này là để đảm bảo rằng có không "superusers" những người
có thể thực hiện tất cả các nhiệm vụ và mặt nạ có khả năng thao tác của hệthống
b) Key phục hồi
Khi một cơ quan cấp giấy chứng nhận nhận được một yêu cầu chứng chỉ, yêucầu thông thường có chứa khóa công khai, xác định yêu cầu, và các thông tinkhác được cấu hình trong các mẫu chứng chỉ Chìa khóa liên quan tư nhân
Trang 19được tạo ra trên máy tính của người yêu cầu và không để lại máytính, đảm bảo
bí mật của nó Khi phục hồi chính là cấu hìnhtrên Windows Server 2003, quátrình yêu cầu chứng chỉ cũng sẽ an toàn cung cấp khóa riêng của người yêu cầuđến cơquan có thẩm quyền cấp giấy chứng nhận Cơ quan cấp giấychứng nhậnsau đó sẽ mã hóa và lưu trữ rằng chìa khóa chođến khi yêu cầu cần phải khôiphục lại nó Vào thời điểm đó,một đại lý được chỉ định phục hồi sẽ giải mãkhóa riêng và cung cấp nó cho người yêu cầu Người yêu cầu không cần phảimất tất cả dữ liệu mã hóa với khóa riêng nếu nó được lưu trữ vào cơ quan cấpgiấy chứng nhận
Có nhiều điểm khác biệt khác giữa Windows Server 2003 Standard vàEnterprise, bao gồm cả chênh lệch giá đáng kể.Bất kỳ quyết định triển khai mộtphiên bản ưu tiên khác nênchỉ được thực hiện sau khi lập kế hoạch cẩn thận vaitrò của máy chủ doanh nghiệp và xác định nhu cầu nó phải đáp ứng.Một khibạn xác định các chức năng bạn cần, bạn nên cẩn thận xem xét các đặc điểmcủa từng sản phẩm và từ đó xácđịnh mà một trong những phù hợp nhất với nhucầu của bạn.Cả hai máy chủ cung cấp cùng một mức độ cốt lõi của an ninhkhông phải là dễ dàng hơn để thỏa hiệp Server Standard hơn so với phiên bảnEnterprise Sự khác biệt nằm ở tính năng bảo mật bổ sung mà EnterpriseEditioncung cấp và chi phí cao hơn giấy phép
IV Chính sách tài khoản người dùng.
Chính sách tài khoản người dùng (Account Policy) được dùng để chỉđịnh các thông số về tài khoản người dùng mà nó được sử dụng khi tiến trìnhlogon xảy ra Nó cho phép bạn cấu hình các thông số bảo mật máy tính cho mậtkhẩu, khóa tài khoản và chứng thực Kerberos trong vùng Nếu trên Serverthành viên thì bạn sẽ thấy hai mục Password Policy và Account LockoutPolicy, trên máy Windows Server 2003 làm domain controller thì bạn sẽ thấy
ba thư mục Password Policy, Account Lockout Policy và Kerberos Policy.Trong Windows Server 2003 cho phép bạn quản lý chính sách tài khoản tại haicấp độ là: cục bộ và miền Muốn cấu hình các chính sách tài khoản người dùng
ta vào Start Programs Administrative Tools Domain Security Policy hoặc LocalSecurity Policy
Trang 201) Chính sách mật khẩu.
Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn chomật khẩu của người dùng để trách các trường hợp đăng nhập bất hợp pháp vào
hệ thống Chính sách này cho phép bạn qui định chiều dài ngắn nhất của mậtkhẩu, độ phức tạp của mật khẩu…
Trang 21Các lựa chọn trong chính sách mật mã:
2) Chính sách khóa tài khoản.
Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức
và thời điểm khóa tài khoản trong vùng hay trong hệ thống cục bộ Chính sáchnày giúp hạn chế tấn công thông qua hình thức logon từ xa
Các thông số cấu hình chính sách khóa tài khoản:
khóa
0 (tài khoản sẽ không bịkhóa)
Trang 22Là 0, nhưng nếu AccountLockout
Threshold được thiết lậpthì giá trị này
A Chính sách kiểm toán
Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghinhận các sự kiện xảy ra trong hệ thống, trên các đối tượng cũng như đối với cácngười dùng Bạn có thể xem các ghi nhận này thông qua công cụ EventViewer, trong mục
Security
Các lựa chọn trong
chính sách kiểm toán:
Chính sách Mô tả
Trang 24Đối với hệ thống Windows Server 2003, có hai cách cấp quyền hệ thốngcho người dùng là gia nhập tài khoản người dùng vào các nhóm tạo sẵn (built-in) để kế thừa quyền hoặc bạn dùng công cụ User Rights Assignment để gántừng quyền rời rạc cho người dùng Cách thứ nhất bạn đã biết sử dụng ởchương trước, chỉ cần nhớ các quyền hạn của từng nhóm tạo sẵn thì bạn có thểgán quyền cho người dùng theo yêu cầu Để cấp quyền hệ thống cho ngườidùng theo theo cách thứ hai thì bạn phải dùng công cụ Local Security Policy(nếu máy bạn không phải Domain Controller) hoặc Domain Controller SecurityPolicy (nếu máy bạn là Domain Controller) Trong hai công cụ đó bạn mởmụcLocal Policy\ User Rights Assignment.
Để thêm, bớt một quyền hạn cho người dùng hoặc nhóm, bạn nhấp đôichuột vào quyền hạn được chọn, nó sẽ xuất hiện một hộp thoại chứa danh sáchngười dùng và nhóm hiện tại đang có quyền này.Bạn có thể nhấp chuột vào nútAdd để thêm người dùng, nhóm vào danh sách hoặc nhấp chuột vào nútRemove để xóa người dùng khỏi danh sách Ví dụ minh họa sau là bạn cấpquyền thay đổi giờ hệ thống (change the system time) cho người dùng “Tuan”
Trang 25Danh sách các quyền hệ thống cấp cho người dùng và nhóm:
Trang 26a Service
Cho phép bạn ngăn cản những người dùng
và nhóm được phépDeny Logon
Increase Quotas Cho phép người dùng điều khiển các hạn
ngạch của các tiếnIncrease
Cho phép người dùng có thể cài đặt hoặc
gỡ bỏ các driver củaLock Pages in
Memory
Khóa trang trong vùng nhớ
Trang 28Các lựa chọn bảo mật (Security Options) cho phép người quản trị Serverkhai báo thêm các thông số nhằm tăng tính bảo mật cho hệ thống như: khôngcho phép hiển thị người dùng đã logon trước đó hay đổi tên tài khoản ngườidùng tạo sẵn (administrator, guest) Trong hệ thống Windows Server 2003 hỗtrợ cho chúng ta rất nhiều lựa chọn bảo mật, nhưng trong giáo trình này chúng
ta chỉ khảo sát các lựa chọn thông dụng
Một số lựa chọn bảo mật thông dụng:
Tên lựa chọn Mô tả
Trang 29last user name
Không hiển thị tên người dùng đã
1 Các tác động bảo mật
IPSec của Microsoft hỗ trợ bốn loại tác động (action) bảo mật, các tác độngbảo mật này giúp hệ thống có thể thiết lập những cuộc trao đổi thông tin giữacác máy được an toàn Danh sách các tác động bảo mật trong hệ thốngWindows Server 2003 như sau:
Trang 30 Block transmissons: có chức năng ngăn chận những gói dữ liệuđược truyền, ví dụ bạn muốn IPSec ngăn chặn dữ liệu truyền từ máy Ađến máy B, thì đơn giản là chương trình IPSec trên máy B loại bỏ mọi dữliệu truyền đến từ máy A.
Encrypt transmissions: có chức năng mã hóa những gói dữ liệuđược truyền, ví dụ chúng ta muốn dữ liệu được truyền từ máy A đến máy
B, nhưng chúng ta sợ rằng có người sẽ nghe trộm trên đường truyền nốikết mạng giữa hai máy A và B Cho nên chúng ta cần cấu hình cho IPSec
sử dụng giao thức ESP (encapsulating security payload) để mã hóa dữliệu cần truyền trước khi đưa lên mạng Lúc này những người xem trộm
sẽ thấy những dòng byte ngẫu nhiên và không hiểu được dữ liệu thật DoIPSec hoạt động ở tầng Network nên hầu như việc mã hóa được trongsuốt đối với người dùng, người dùng có thể gửi mail, truyền file haytelnet như bình thường
Sign transmissions: có chức năng ký tên vào các gói dữ liệutruyền, nhằm tránh những kẻ tấn công trên mạng giả dạng những gói dữliệu được truyền từ những máy mà bạn đã thiết lập quan hệ tin cậy, kiểutấn công này còn có cái tên là main-in-the-middle IPSec cho phép bạnchống lại điều này bằng một giao thức authentication header Giao thứcnày là phương pháp ký tên số hóa(digitally signing) vào các gói dữ liệutrước khi truyền, nó chỉ ngăn ngừa được giả mạo và sai lệnh thông tin chứkhông ngăn được sự nghe trộm thông tin Nguyên lý hoạt động củaphươngpháp này là hệ thống sẽ thêm một bit vào cuối mỗi gói dữ liệutruyền qua mạng, từ đó chúng ta có thể kiểm tra xem dữ liệu có bị thayđổi khi truyền hay không
Permit transmissions: có chức năng là cho phép dữ liệu đượctruyền qua, chúng dùng để tạo ra các qui tắc (rule) hạn chế một số điều vàkhông hạn chế một số điều khác Ví dụ một qui tắc dạngnày “Hãy ngănchặn tất cả những dữ liệu truyền tới, chỉ trừ dữ liệu truyền trên các cổng
80 và443”
Chú ý: đối với hai tác động bảo mật theo phương pháp ký tên và mã hóathì hệ thống còn yêu cầu bạn chỉ ra IPSec dùng phương pháp chứng thựcnào Microsoft hỗ trợ ba phương pháp chứng thực:
- Kerberos, chứng chỉ (certificate) hoặc một khóa dựa trên sự thỏa thuận(agreed-upon key) Phương pháp Kerberos chỉ áp dụng được giữa các