Bài thực hành bảo mật mạng với ISA

Tài liệu này được biên soạn rất chi tiết và hướng dẫn từng bước để người học có thể dễ dàng thực hiện các thao tác trong việc bảo mật mạng. Tài liệu tập trung chủ yếu vào việc hướng dẫn cài đặt, cấu hình sử dụng phần mềm ISA để bảo vệ hệ thống mạng của doanh nghiệp...

BÀI THỰC HÀNH 1 LOCAL USER ACCOUNT & GROUP ACCOUNT

I Giới thiệu

Bài Lab bao gồm những nội dung chính sau:

A Tạo Local User Account

B Tạo Local Group Account

II Chuẩn bị

Mô hình bài Lab gồm 1 máy:

- PC01: Cài đặt Windows Server 2003 SP1

III Thực hiện

A Tạo Local User Account

Bước 1: Mở chương trình Local User Account: Start Run đánh lệnh lusrmgr.msc

Bước 2: Chuột phải mục User Chọn New User

Bước 3: Điền thông số:

- Username: U1

- Password/ Confirm password: 123

- Bỏ dấu check trước dòng User must change password  Chọn Create

Bước 4: Tạo user U2 theo các bước trên với các thông số:

- Username: U2

- Password/ Confirm password: 123

- Bỏ dấu check trước dòng User must change password Chọn Create

Bước 5: Log on User U1

Bước 6: Truy cập thư mục C:\Documents and Settings\U1 Quan sát cấu hình của U1

Bước 7: Truy cập thư mục C:\Documents and Settings\Administrator Báo lỗi không có quyền truy cập vào

Profile của user khác Chọn Cancel

B Tạo Local Group Account

Bước 1: Start  Run  Đánh lệnh lusrmgr.msc

Bước 2: Chuột phải mục Group New Group

Bước 3: Group Name: Ke Toan

Bước 4: Hộp thoại New Group Chọn Add Chọn U1 Chọn Check Name  Ok

BÀI THỰC HÀNH 2 LOCAL POLICY

I GIỚI THIỆU

Bài LAB bao gồm những nội dung chính sau:

A - Điều chỉnh policy computer configuration

B - Điều chỉnh policy user configuration

C- Những Policy thường dùng

II CHUẨN BỊ

Bài LAB dùng 1 máy PC01

- PC01: Cài đặt Windows Server 2003 SP1

- Tại PC01: Tạo console Group Policy Object

- Tạo 3 user: U1, U2, U3 với password: 123

- Add user U1 vào Group Administrators

Bước 1: Mở Group Policy Object Editor: Start Run gõ lệnh MMC

Bước 2: Màn hình Console 1Chọn menu File Add/Remove Snap-in

Bước 3: Màn hình Add or Remove Snap-in  Chọn Group Policy Object Editor Chọn Add

III THỰC HIỆN

A Điều chỉnh Policy Computer Configuration

Bước 1: Log on vào máy bằng account Administrator Chọn Shutdown Xuất hiện bảng Shudown Even

Tracker  Cancel

(Cắm USB vào máy  Xuất hiện bảng Autorun)

Bước 2: Mở Local Policy trên Desktop Mở Local Computer Policy Computer Configuration

Administrative Templates System Cột bên phải Double Click vào Display Shutdown Event TrackerChọn Disable

Bước 3: Cột bên trái Mở theo đường dẫn: Local Computer Policy Computer Configuration

Administrative Templates System

Bước 4: Cột bên phải chọn Turn Off AutoPlay

Bước 5: Chọn Enabled All Drives OK

Bước 6: Mở Start Run Đánh lệnh cmd ENTER

B Điều chỉnh Policy User Configuration

- Chỉnh Policy để user không thể truy cập Control Panel

Bước 1: Log on bằng Account Administrators Mở Local Policy trên Desktop Mở theo đường dẫn Local

Computer Policy User Configuration Administrative Templates Control Panel Cột bên phảiDouble Click vào Policy Prohibit Access to the Control Panel Chọn Enabled

- Đánh lệnh GPUPDATE /FORCE ở cửa sổ cmd

Bước 2: Kiểm tra

Log Off Administrator Log on lần lượt bằng U1, U2 Vào Start Settings Không thấy ControlPanel

- Chỉnh Policy ẩn Desktop chỉ áp dụng trên những User không thuộc Group Administrators

Bước 1: Log on bằng Account Administrators Mở Local Policy trên Desktop Mở theo đường dẫn Local

Computer Policy User Configuration Administrative Templates Desktop Cột bên phải DoubleClick vào Hide and disable items on the destop Enabled

- Chỉnh policy ẩn chức năng Change Password khi nhấn Ctrl + Alt + Del chỉ áp dụng cho user thuộc group Administrators

Bước 1: Log on bằng account Administrators  Mở Local Policy trên desktop  Mở theo đường dẫn: Local

Computer Policy  user configuration  administrative Templates  Systems  Ctrl + Alt + Del options

- Cột bên phải double click vào policy Remove Change Password  chọn Enable

- Đánh lệnh Gpupdate /force trong cmd để cập nhật Policy

Bước 2: Kiểm Tra

- Log on vào bằng quyền U1 nhấn Ctrl + Alt + Del Quan sát thấy không có chức năng change Password

- Log on vào bằng quyền U2 nhấn Ctrl + Alt + Del Thấy có chức năng change password

C Những Policy thường dùng

- Remove My Computer icon on the Desktop (User Configuration -> Administrative Templates -> Desktop): Nếu bật chức năng Enabled thì sẽ ẩn biểu tượng My Computer trên màn hình Desktop của user.

Còn Disabled hoặc Not Configuration thì ngược lại

- Hide and Disabled all items on the Desktop (User Configuration -> Administrative Templates -> Desktop): Nếu bật chức năng Enabled thì sẽ xóa hết các biểu tượng có trên màn hình Desktop của user Còn

Disabled hoặc Not Configuration thì ngược lại

- Don't Display the Getting Started welcome Screen at logon và chỉ áp dụng trên winxp pro và win

2000 (computer configuration -> administrative templates -> system -> logon): Nếu bật chức năng

Enabled thì sẽ làm ẩn đi màn hình welcome khi user logon vào hệ thống Còn disabled và nót configurationthì ngược lại

- Display shutdown Event Tracker (Computer Configuration -> Administrative Templates -> System):

Nếu bật chức năng Enabled thì sau mỗi lần shutdown máy sẽ không hiển thị màn hình Shutdown Event

BÀI THỰC HÀNH 3 LOCAL SECURITY POLICY

I Giới thiệu

Bài Lab bao gồm những nội dung chính sau:

A Password Policy

B Account Lockout Policy

C.User Rights Assignment

Bước 1: Log on bằng Administrator

- Tạo tài khoản có tên là U4 bằng Password: 123  báo lỗi không thể tạo được do không thỏa yêu cầu về độphức tạp của password

Bước 2: Vào Start  Program  Adminmistrative Templates  Local Security Policy

Bước 3: Mở Account Polices  Password Policy

Bước 4: Thiết lập các thông số như sau:

- Enforce password history: Số password hệ thống lưu trữ (khuyên dùng: 24)

- Maximum password age: Thời gian hiệu lực tối đa của 1 password (khuyên dùng: 42)

- Minimum password age: Thời gian hiệu lực tối thiểu của 1 password (khuyên dùng: 1)

- Minimum password length: Độ dài của password nhỏ nhất (khuyên dùng: 6)

- Pasword must meet complexity : Yêu cầu password phức tạp (khuyên dùng: Enabled)

Bước 5: Cập nhật Policy: Đánh lệnh GPUPDATE /FORCE ở cmd

Bước 6: Kiểm tra

- Tạo account U 4 với password: abc123!!!  Thành công

B Account Lockout Policy

Bước 1: Mở Local Security Policy

Bước 2: Mở theo đường dẫn Account Policies  Account Lockout Policy

- Account Lockout threshold: Số lần nhập sai password trước khi account bị khóa

- Account Lockout duration: Thời gian khi account bị khóa

- Reset account Lockout counter after: thời gian khởi động lại bộ đếm

Bước 3: Đặt các thông số như sau:

- Account lockout threshold: 3

- Account lockout duration: 30

- Reset account lockout counter after: 30

Bước 4: Kiểm tra

- Đăng nhập thử sai password 4 lần  không thể đăng nhập tiếp

- Chờ sau 30 phút  Có thể đăng nhập lại

C User Rights Assigment

Bước 1:

- Log on bằng quyền U2 Shut down máy tính  Không được

- Thay đổi ngày giờ hệ thống  Không được

Bước 2: Log on administrator Mở Local Security policy Local Policies user rights assigment Cột

bên phải: Quan sát 2 policy:

- Change the system time: Cho phép 1 user có quyền thay đổi ngày giờ hệ thống

- Shut down the system: cho phép 1 user có quyền shut down máy

Bước 3: Điều chỉnh policy

- Change the system time: Đưa user U2 vào

- Shut down the system: Đưa group users vào

• Với Guest Only: bạn phải bật account Guest lên

• Với Classic-Local User bạn phải tắt account Guest đi

Lưu ý: Muốn không dùng password khi truy cập qua mạng thì bạn thực hiện: Rungpedit.msc

Computer configuration Windows SettingSecurity SettingLocal Policy Security Option, nhìn quaphía tay phải bạn để ý dòng Accounts: Limit local account use of blank password to console logon only(Disable)

Sau mỗi lần cấu hình trong Group Policy (gpedit.msc) thì tại Run bạn gõ GPUPDATE /FORCE hoặcRestart lại máy)

Trường hợp Classic

Mở Local Security Local Policy Security Options Double Click Network Access: Sharing andsecurity model for local accounts

D1 Trường hợp 2 máy cùng password

Bước 1: Thực hiện trên cả 2 máy

- Đổi password administrator là 123

D2: Trường hợp 2 máy khác password

Bước 1: Thực hiện trên cả 2 máy

- Đổi password administrator máy PC01 thành 123, password administrator máy PC02 thành 456  log onvào PC01 bằng account administrator

Bước 2: Thực hiện truy cập bằng Url từ máy PC01 qua máy PC02 và ngược lại

-Tại PC02: Start Run đánh \\PC01  Hiện thông báo đòi User name and password  Khai báousername và password Máy PC01: administrator/123

 Truy cập thành công

Trường hợp Guest only

Bước 1: Thực hiện trên cả 2 máy: Enabled account Guest

Bước 2: Thực hiện việc truy cập giữa 2 máy

BÀI THỰC HÀNH 4 SHARE PERMISSION

I – TÓM TẮT LÝ THUYẾT

1 Share Resources (Chia sẻ tài nguyên)

- Tài nguyên trên máy có thể là thông tin như files, folders, có thể là các thiết bị như Prints, ổ đĩa cd,…để các

máy khách có thể sử dụng các tài nguyên này thì ta phải chia sẻ chúng

- Để kiểm soát ai có thể truy cập vào các thông tin này qua mạng ta phải sử dụng Share Permission SharePermission không có tác dụng cho người dùng logon vào máy cục bộ, chỉ có tác dụng cho người dùng logon

- Trong mô hình Workgroup thì các thành viên trong nhóm Administrators và Power users

- Trong mô hình domain thì các thành viên trong nhóm Administrators và Server Operators

4 Các loại Share Permission

Share Permission có 3 loại:

Read: Cho phép người dùng thấy được tên các thư mục, các files, các thuộc tính và dữ liệu trong file.Chạy các ứng dụng trong thư mục

Change: Cho phép thêm file vào thư mục, tạo thêm thư mục, thay đổi thuộc tính của file, gắn thêm dữliệu vào file, xóa thư mục và tập tin và có mọi quyền của Read

Full Control: Có thể đoạt chủ quyền của file và thay đổi phân quyền của file và có phân quyền củaRead và Change

• Thư mục gốc: Đó là các ổ đĩa như: C$; D$,…

• Thư mục gốc của hệ thống (%Systemroot%) được share với tên là Admin$ Đây chính là thư mụcWindows

• FAX$

• IPC$

• PRINT$

6 Map Network Drive

Là một thư mục Share nằm trên máy tính ở xa Khi tạo map đĩa ta phải tạo cho nó một chữ cái khôngđược trùng với ổ đĩa trên máy cục bộ

7 Offline files

- Cho phép ta có thể tiếp tục sử dụng các files, folders và các ứng dụng trên mạng khi máy tính của mìnhkhông còn kết nối vào mạng Khi máy tính kết nối lại vào mạng thì nó tự động đồng bộ dữ liệu khi có sự thayđổi dữ liệu trên máy chủ Để có thể cấu hình Offline file ta phải cấu hình ở cả 2 phía:

• Automatic caching of documents: Thường sử dụng cho files, folders chứa dữ liệu của cá nhân Cácfiles và folders tự động offline khi user mở file và folder ra.

• Automatic caching of programs and Applications: Thường sử dụng cho thư mục chứa các dữ liệuRead-only Các files và folders cũng tự động offlile khi người dùng mở chúng ra

Phía Client: vào Options Folders trong control panel Vào Tab OfflineChọn Enable

II – THỰC HÀNH

1 Chuẩn bị

- Bài Lab sử dụng ít nhất 2 máy

- Đảm bảo đường truyền giữa 2 máy đã thông

- Đổi password administrator:

Máy 1 password administrator là: P@ssmay1

Máy 2 password administrator là: P@ssmay2

2 Share Permission

2.1 Tạo Share Folders

Bước 1: Máy 1 khởi động windows server 2003 Vào đĩa C tạo thư mục có tên là “Data’

Bước 2: Kích chuột phải vào thư mục DataPropertiesChọn Tab SharingChọn Share this

folderTrong Share name giữ mặc định là DataChọn mục Maximum allowed

2.2 Tạo Share Folder ẩn

Bước 1: Vào máy 1 tạo thư mục Bimat

Bước 2: Kích chuột phải vào BimatChọn PropertiesChọn SharingChọn Share this foldertrong

Share name sửa Bimat thành Bimat$ >Chọn Maximum AllowedApply

Chọn PermissionCho Everyone quyền Full Control

Bước 3: Máy 2, StartRunGõ \\tên máy 1oktrong hộp thoại chứng thực gõ Administrator và

P@ssmay1 > OkKhông thấy thư mục Bimat của máy 1

Bước 4: Máy 2, StartRunGõ \\tên máy 1\Bimat$oktrong hộp thoại chứng thực gõ Administrator và

P@ssmay1 > OkThì thấy thư mục Bimat của máy 1

2.3 Phần quyền trên thư mục Share

Bước 1: Tạo 3 user “Giamdoc’, “U1”, “U2”, Password của 3user là “P@ssmay1”

Trong hộp thoại Permission for Data

• kích chọn User u1 Đánh dấu chọn vào ô ReadApply

• Kích chọn user u2Đánh dấu chọn Read và ChangeApply

• Kích chọn user Giamdoc Đánh dấu chọn Full ControlApply

Bước 3: Máy 2 logoff và logon AdministratorStartRun\\Tên máy 1trong hộp thoại chứng thực gõ

U1 và password để đăng nhậpOk

Vào thư mục Data Kích chuột phải trên Dulieumau1.txt Chọn RenameSửa thànhDulieumay2.txtEnter thì máy sẽ báo lỗi

2.4 Map Network Driver

Logoff và Logon với AdministratorStartRunGõ \\Tên máy 1Logon với GiamdocOk

Kích chuột phải vào DataKích chọn Map Network DriverChọn tên đĩa và kích Finish

3 Offline File

Bước 1: Máy 2, logoff với quyền Administrator

Bước 2: Cả 2 máy đổi mật khẩu Administrator là “P@ssword”

Bước 3: Máy 1, logoff với Administrator vào ổ đĩa C tạo thư mục DulieuTrong thư mục này tạo file

tailieu.txt có nội dung là “hello”

Kích chuột phải trên DulieuChọn SharingChọn Share this folderChọn PermissionsChọnEveryone và chọn Full ControlOk

Trong Tab SharingKích chọn Caching Và kích chọn các tùy chọn như hình sau:

Bước 4: Máy 2, vào StartRun\\Tên máy 1 Kích chuột phải trên thư mục DulieuAlways Available

Offline

Bước 5: Máy 1, Shutdown

Bước 6: Máy 2, Vào StartRun\\Tên máy 1 Ta vẫn có thể truy cập vào thư mục Dulieu trên máy 1.

Bước 7: Máy 1, khởi động và logon với AdministratorSửa nội dung trong file tailieu.txt và lưu lại.

Mở lại tập tin tailieu.txt trên máy 2 thì dữ liệu vẫn không thay đổi

 Kích chuột phải vào tailieu.txt trên máy 2 và chọn Synchronize để đồng bộ dữ liệu với máy chủ

BÀI THỰC HÀNH 5 NTFS PERMISSION

I Giới thiệu

Bài lab gồm những nội dung chính sau:

1 Phân quyền thư mục bằng Standard Permission

2 Phân quyền thư mục bằng Special Permission

3 Take OwnerShip

4 Xét quyền khi di chuyển dữ liệu

II Chuẩn bị

- Mô hình bài lab bao gồm 1 máy sử dụng WINDOWS 2003 SERVER SP1

- Tạo cây thư mục như hình:

- Tạo 2 Group: KETOAN, NHANSU

- Tạo 2 User: KT1, KT2 Add 2 user này vào Group KETOAN

- Tạo 2 User: NS1, NS2 Add 2 user này vào Group NHANSU

III Thực hiện

1 Phân quyền thư mục bằng standard Permission

Phân quyền cho các Group như sau:

- Trên thư mục DATA: Group KeToan và NhanSu có quyền Read

- Trên thư mục CHUNG: Group KeToan và NhanSu có quyền Full

- Trên thư mục KETOAN: Group KeToan có quyền Full; Group NhanSu không có quyền

- Trên thư mục NHANSU: Group NhanSu có quyền Full; Group Ketoan không có quyền

1.1 Phân quyền trên thư mục DATA

Bước 1: Chuột phải lên thư mục DATA -> Chọn Properties -> ChọnTab Security -> Chọn Advenced

Bước 2: Trong tab Permissions -> Bỏ chọn Allow Inheritable permission…

Bước 3: Trong hộp thoại Data Properities kích chọn UsersChọn RemoveAdvanced

Trong hộp thoại Advanced Security Settings for Data  Chọn Replace permission…OKTrong hộpthoại Security chọn Yes

Trong hộp thoại Data Properties  Kiểm Tra nhóm Ketoan và Nhansu đang có quyền ReadApplyOk

Bước 5: Kiểm Tra

- Lần lượt log on vào máy bằng quyền KT1, NS1 -> Mở thư mục C:\DATA -> truy cập thành công

- Tạo folder bất kỳ -> xuất hiện thông báo lỗi không có quyền

1.2 Phân quyền trên thư mục CHUNG

Bước 1: Vào thư mục Data Kích chuột phải trên thư mục CHUNGChọn Properties Vào Tab

Security Kích chọn nhóm Ketoan và NhansuĐánh dấu chọn Full Control Apply

1.3 Phân quyền trên thư mục Ketoan

Bước 1: Vào thư mục DataKích chuột phải trên thư mục KetoanProperitiesChọn SecurityChọn

Advaned

 Bỏ chọn Allow inheritable…Chọn Copy trong hộp SecurityApplyOk

Bước 2: Trong thẻ Security chọn nhóm NhansuChọn Remove Kích chọn nhóm KetoanChọn Full

ControlApplyOk

Bước 3: Kiểm tra:

1.4 Phân quyền trên thư mục Nhansu

Bước 1: Vào thư mục DataKích chuột phải trên thư mục NhansuProperitiesChọn SecurityChọn

Advaned

 Bỏ chọn Allow inheritable…Chọn Copy trong hộp SecurityApplyOk

Bước 2: Trong thẻ Security chọn nhóm KetoanChọn Remove Kích chọn nhóm NhansuChọn Full

ControlApplyOk

Bước 3: Kiểm Tra

- Lần lượt log on vào bằng KT1, NS1 -> Truy cập thư mục NHANSU -> Chỉ có NS1 truy cập thành công còn

1.5 Kết hợp Share Permission với NTFS

Bước 1: Trên máy Domain Controller chia sẻ thư mục C:\DATA  Cho erveryone quyền Full controll Bước 2: Lấy máy Windows XP Join vào Domain

Bước 3: Máy Windows XP logon với KT1

Bước 4: StartRun\\Tên máy DomainOk

• Vào thư mục DATA\Chung tạo một file DataKT1.txt

• Vào thư mục DATA\Ketoan tạo một file DataKt1.txt

• Vào thư mục DATA\Nhansu tạo một file DataKt1.txtHệ thống sẽ báo lỗi

Bước 5: KT2, KT3 làm tương tự như bước 3 và 4

Bước 6: Logon với NS1

Bước 7: StartRun\\Tên máy DomainOk

• Vào thư mục DATA\Chung tạo một file DataNS1.txt

• Vào thư mục DATA\Nhansu tạo một file DataNS1.txt

• Vào thư mục DATA\Ketoan tạo một file DataNS1.txt Hệ thống sẽ thông báo lỗi

2 Phân quyền thư mục bằng Special Permission

Phân quyền theo yêu cầu: File do User nào tạo ra thì User đó mới có quyền xóa được.

Bước 1: Sử dụng máy Domain controller, logon bằng administrator Vào C:\DATA Kích chuột phải trên

thư mục Ketoan PropertiesSecurityAdvanedChọn nhóm KetoanChọn Edit

Trong hộp thoại Permission Entry for KetoanBỏ dấu check tại Delete Subfolders and Files vào ô Delete

 Đánh dấu chọn Apply these Permission…OkOk

Bước 2: Logoff với AdministratorLogon với KT1Vào C:\DataVào thư mục KetoanTạo một file có

tên là Dulieucuakt1.txtGõ nội dung và lưu lại

Bước 3: Logoff với Kt1Logon với Kt2Vào C:\DataVào thư mục KetoanKích chuột phải Vào tập

tin Dulieucuakt1.txtDeleteHệ thống sẽ báo lỗi

Bước 4: Trong thư mục DataKích chuột phải và tọa một file có tên là Dulieucuakt2.txt Gõ nội dung và

lưu lại

Bước 5: Logoff với Kt2Logon với Kt1Vào C:\DataVào thư mục KetoanKích chuột phải trên

Dulieucuakt1.txt chọn DeleteTập tin bị xóa Kích chuột phải vào Dulieucuakt2.txtDeleteHệ thống sẽthông báo lỗi

3 Take OwnerShip

Bước 1: Máy Domain Controller, logon bằng Administrator

Bước 2: Vào C:\Data, kích chuột phải trên thư mục nhansuPropertiesSecurityAdvanedChọn nhóm

AdministratorsEdit

Bước 3: Kiểm tra thấy Administrators có quyền Take OwnerShipOkOkOk

Bước 4: Logoff với Administrator, logon với NS1

Bước 5: Vào C:\DataKích chuột phải trên thư mục NhansuPropertiesSecurityKích chọn nhóm

AdministratorsChọn RemoveApplyOk

Bước 6: Logoff với NS1, Logon với Administrator

Bước 7: Vào thư mục C:\DataKích chuột phải vào NhansuHệ thống sẽ báo lỗi

Bước 8: Kích chuột phải trên thư mục NhansuPropertiesSecurityHệ thống sẽ báo chọn YesChọn

AdvanedChọn Tab Owner Chọn Other Users or GroupTìm và Add nhóm AdministratorsOkĐánhdấu chọn Replace Owner on Sub Container and ObjectsOkOk

Bước 9: Kích chuột phải trên NhansuPropertiesChọn SecurityThấy nhóm Administrators có quyền

Full Controll

4 Xét quyền khi di chuyển dữ liệu

4.1 Copy

Bước 1: Trong ổ C tạo 1 folder tên là A

Bước 2: Chuộ phải lên C:\DATA chọn Copy -> Mở thư mục A -> Chuột phải chọn Paste

Bước 3: Kiểm tra quyền của thư mục C:\A\DATA -> Các quyền NTFS bị thay đổi

4.2 Move

Bước 1: Trong ổ C tạo folder tên là B

Bước 2: Chuột phải lên C:\DATA chọn Cut -> Mở thư mục B -> Chuột phải chọn Paste

Bước 3: Kiểm tra quyền của thư mục C:\A\DATA -> Các quyền NTFS không bị thay đổi

Kết luận:

- Khi di chuyển dữ liệu trong cùng partition -> quyền của data không bị thay đổi

- Khi copy dữ liệu vào nơi khác cùng partition thì quyền của data vùa copy bị thay đổi phụ thuộc vào nơi đến

BÀI THỰC HÀNH 6 – BÀI TỔNG HỢP SHARE PERMISSION & NTFS PERMISSION

1 Chuẩn bị

Bài Lab gồm 2 máy áo:

• Máy ảo 1: Windows Server 2003 Sp1

• Máy ảo 2: Windows XP

Kiểm tra 2 máy đã thông nhau

2.3 Lập bảng phân quyền theo yêu cầu của bài toán

Trong đó:

• F: Là quyền Full Controll

• R: Là 3 quyền chính để truy xuất và thực thi được trên thư mục: Read&Execute, List Folder Content,Read

BÀI THỰC HÀNH 7 – ISA SERVER 2006 CÀI ĐẶT ISA SERVER 2006

(Bài Lab được thực hiện dựa trên chứng chỉ MCSA 2003 của trung tâm ATHENA)

I – Xây dựng mô hình thực hành

- Bài Lab sử dụng chương trình VMWare WorkStation 7.0.1, đây là phần mềm cho phép bạn có thể chạy

nhiều máy tính ảo sử dụng chung các thiết bị phần cứng

- Xây dựng mô hình sử dụng 3 máy tính ảo như sau:

- Máy Internet là máy đại diện cho các traffic từ External kết nối đến máy ISA Server Ở đây ta giả lập mạng192.168.190.0/24 là mạng từ External

- Máy ISA Server sẽ cài phần mềm ISA Server 2006, máy này sẽ có 2 card mạng, ta đặt tên cho 2 card mạng

là LAN và WAN

- Máy DC là đại diện cho các traffic từ Internal đến máy ISA Server Tại máy này ta sẽ nâng cấp thànhDomain Controller, cài đặt thêm Web Server, Mail Server…

- Thiết lập địa chỉ Ip của từng máy như sau:

Máy ISA Server

- Kiểm tra kết nối từ máy DC đến máy ISA

- Kiểm tra kết nối từ máy ISA đến máy DC

- Kiểm tra kết nối từ máy ISA ra máy internet

- Kiểm tra kết nối từ máy Internet vào ISA

- Trên máy DC tạo các đối tượng sau:

- Như vậy chúng ta đã chuẩn bị xong mô hình để triển khai hệ thống ISA Server 2006 trong hệ thống mạng

II – Thực hiện

Chuẩn bị:

- Máy DC: Windows Server 2003 đã nâng cấp lên Domain Controller

- Máy ISA Server: Join vào máy Domain Controller (DC)

II.1 Cài đặt ISA Server 2006 lên máy ISA Server

Bước 1: Chạy tập tin isaautorun.exe từ CDROM ISA 2006 hoặc từ ISA 2006 suorce.

Bước 2: Nhấp chuột vào “Install ISA Server 2006” trong hộp thoại “Microsoft Internet Security anh

Acceleration Server 2006”

Bước 3: Nhấp chuột vào nút Next trên hộp thoại “Welcome to the Installation Wizard for Microsoft ISA

Server 2006” để tiếp tục cài đặt

Bước 4: Chọn tùy chọn Select “I accept…” trong hộp thoại License Agreement, chọn Next

Bước 5: Nhập một số thông tin về tên username và tên tổ chức sử dụng phần mềm trong User Name và

Organization textbox Nhập serial number trong Product Serial Number textbox Nhấp Next để tiếp tục

Bước 6: Chọn loại cài đặt (Installation type) trong hộp “Setup Type”, chọn tùy chon Typical, chọn Next.

Bước 7: Chỉ định phạm vi địa chỉ cần bảo vệ:

Ta có 2 các định nghĩa internet network addresses trong hộp thoại Internal Network setup

o Cách thứ nhất ta nhập dãy địa chỉ nội bộ bằng cách kích chọn Add Range… trong hộp thoại Addresses.

o Cách thứ hai ta cấu hình mạng mặc định bằng cách chọn “Add Adapter…” kết nối vào mạng nội bộ trong hộp thoại Addresses.

Bạn chọn nút Add ở hộp thoại Internal Network.

Trong cửa sổ Address bạn chọn Add Adapter.

Trong cửa sổ Select Network Adapters bạn chọn vào card mạng mà kết nối với hệ thống mạngnội bộ của bạn Và chọn OK cho các cửa sổ tiếp theo để tiếp tục cài đặt.

Bước 8: Trong hộp thoại Internal Network bạn kiểm tra lại những đường mạng có đúng với bản routing table

trong tổ chức Chọn Next để tiếp tục

Xuất hiện hộp thoại Firewall Client connections, giữ mặc định và kích Next để tiếp tục

Xuất hiện hộp thoại Services để cảnh báo ISA Firewall sẽ stop một số dịch vụ SNMP và IIS

Bước 9: Chọn Install để bắt đầu cài đặt

Bước 10: Chọn Finish để hoàn tất quá trình cài đặt

Bước 11: Khởi động lại máy.

Ghi chú: Mặc định sau khi cài đặt ISA Server xong thì chính sách “Default Rule” sẽ cấm các traffict

Bước 12: Kiểm tra kết quả của quá trình cài đặt

- Kiểm tra kết nối từ máy DC đến máy ISA (đã bị chặn lại)

- Kiểm tra kết nối từ máy ISA đến DC (không bị chặn)

- Kiểm tra kết nối từ máy Internet đến máy ISA (đã bị chặn lại)

- Kiểm tra kết nối từ ISA đến máy Internet (không bị chặn)

- Kiểm tra việc truy cập vào các website từ Internal đến các host ở External thì không được

II.2 Cấu hình ISA Client

Với ISA Server chúng ta có 3 giải pháp để các máy trong mạng 172.16.1.0/24 có thể truy cập đượcInternet:

 Secure Nat Client

 Web Proxy Client

 Firewall Client

II.2.1 Secure Nat Client

- Các máy trong mạng Internal chỉ việc thiết lập thông số Default Gateway là IP của máy ISA Server là được:

- Tại máy ISA Server ta sẽ thiết lập một chính sách (access rule) để các máy trong mạng Internal truy cậpđược ra External