MỤC LỤC MỤC LỤC LỜI MỞ ĐẦU Bài 1: GIỚI THIỆU WINDOWS SERVER 2008 11 I Tổng quan hệ điều hành (Operating System) 11 Khái niệm hệ điều hành 11 Vai trò hệ điều hành việc đảm bảo an toàn thông tin 12 II Một số khái niệm liên quan đến an toàn thông tin 14 Khái niệm bảo đảm an toàn thông tin .14 Sự khác biệt ATTT, an ninh thông tin bảo mật thông tin 15 Những đặc tính thông tin cần đảm bảo .15 3.1 Tính bí mật 15 3.2 Tính toàn vẹn 16 3.3 Tính sẵn sàng 16 Những nhân tố hạ tầng ATTT 16 4.1 Chính sách (Policy) 16 4.2 Con người (People) 17 4.3 Quy trình (Process) 17 4.4 Công nghệ (Technology) 18 Nguy (threat) đe dọa đối với ATTT 19 Xác định rủi ro mối đe dọa máy tính 20 III Một số điểm yếu hệ điều hành Windows 21 Tấn công Password tài khoản người dùng Windows .21 1.1 Sử dụng lệnh For Windows 22 1.2 Giải mã mật mã hoá 23 Trên máy Local: Giả sử mật máy tính hệ thống, lại nhờ người gõ mật cho mượn máy tính dùng tạm Và làm để biết Password máy logon 23 Rất nhiều phần mềm Exports đoạn mã hoá Password thành File điển hình PasswordDump, WinPasswordPro, viết trình bày sử dụng WinPasswordPro .23 Tấn công máy từ xa: Khi ngồi máy nạn nhân để Exports Password mã hoá đơn giản thực tế thực phương thức Dùng Password Dump lấy liệu mã hoá từ máy từ xa 24 Tấn công hệ thống Windows qua lỗ hổng an toàn thông tin 26 IV Một số biện pháp nâng cao khả tự bảo vệ hệ điều hành Windows 27 An toàn tài khoản 27 Account phải bảo vệ password phức hợp (password length, password complexity) 27 Chủ sở hữu account cung cấp quyền hạn truy cập thông tin dịch vụ cần thiết (không thiếu quyền hạn mà để thừa) .27 Mã hóa account giao dịch mạng (kể giao dịch mạng nội bộ) 27 Lưu trữ account an toàn (nhất định database lưu giữ tai khoản phải đặt hệ thống an toàn mã hóa) .27 Bảo mật hệ thống File .30 Sử dụng phần mềm diệt virus 31 Bảo vệ file, thư mục chia sẻ 31 Cập nhật vá 32 6.Tắt dịch vụ không cần thiết 33 7.Tắt chế độ Autorun windows 40 8.Tắt số cổng không cần thiết .43 9.Tắt chia sẻ ẩn mặc định Widows .46 V Giới thiệu chung hệ điều hành Windows Server 2008 48 1.Lịch sử phát triển .48 2.Vai trò Windows Server 2008 48 3.Các tính Windows Server 2008 49 4.Một số cải tiến Windows server 2008 .52 5.Các lợi ích Windows Server 2008 53 6.Các phiên Windows Server 2008 .55 VI Hướng dẫn cài đặt Windows Server 2008 56 1.Yêu cầu phần cứng để cài đặt Windows Server 2008 .56 2.Hướng dẫn cài đặt 56 Bài 2: ACTIVE DIRECTORY 62 I Các mô hình mạng môi trường Microsoft 62 1.Mô hình mạng Workgroup 62 2.Mô hình Domain 62 II Active Directory .62 1.Giới thiệu Active Directory 62 Chức Active Directory 62 3.Thành phần Directory Services 63 4.Kiến trúc Active Directory 64 III Cài đặt cấu hình Active Directory 67 Nâng cấp Server thành Domain Controller 67 Các bước cài đặt 68 Gia nhập máy trạm vào Domain 79 Bài 3: QUẢN LÝ VÀ CHÍNH SÁCH TRÊN DOMAIN 83 I Quản lý tài khoản người dùng nhóm .83 1.Định nghĩa tài khoản người dùng tài khoản nhóm .83 2.Chứng thực kiểm soát truy cập 87 3.Các loại tài khoản tạo sẵn 88 4.Quản lý tài khoản người dùng nhóm cục .91 5.Quản lý tài khoản người dùng nhóm Activedirectory 97 II Chính sách hệ thống 112 1.Chính sách tài khoản người dùng 112 2.Chính sách cục 115 III Chính sách nhóm 122 1.So sánh System Policy Group Policy 122 2.Chức Group Policy 122 3.Quy trình hoạt động Group Policy 123 4.Sử dụng Group Policy môi trường Workgroup Domain 124 5.Hướng dẫn cấu hình Group Policy 124 6.Triển khai sách nhóm Domain 127 7.Một số minh họa GPO người dùng cấu hình máy 132 IV Tạo quản lý thư mục dùng chung 136 1.Tạo quản lý thư mục dùng chung 136 2.Quản lý thư mục dùng chung 139 Bài 4: GIỚI THIỆU VÀ HƯỚNG DẪN CÀI ĐẶT MỘT SỐ DỊCH VỤ TRÊN HỆ ĐIỀU HÀNH WINDOWS SERVER 2008 142 I Xây dựng Domain Controller đồng hành (Additional DC) 142 1.Giới thiệu .142 2.Các bước cài đặt Domain Controller đồng hành (Additional Domain Controller) 142 II Xây dựng cấu hình Child Domain 150 1.Giới thiệu .150 2.Các bước tiến hành xấy dựng cấu hình Child Domain 150 III Cài đặt cấu hình Read Only Domain Controller (RO - DC) 160 1.Giới thiệu .160 2.Cài đặt cấu hình RO - DC: 161 IV Xây dựng Organizational Unit 172 1.Giới thiệu .172 2.Xây dựng Organizational Unit .172 3.Tạo OU ủy quyền quản trị OU (Organizational Unit - Delgate Control) 176 Bài 5: GIỚI THIỆU VÀ HƯỚNG DẪN CẤU HÌNH MỘT SỐ CHÍNH SÁCH ATTT TRÊN HỆ ĐIỀU HÀNH WINDOWS SERVER 2008 182 I Triển khai mạng IPSec cho Domain 182 1.Giới thiệu .182 2.Triển khai IPSec Windows Server2008 184 II Cấu hình NTFS Permision hệ thư mục .208 1.Các quyền truy cập NTFS 208 2.Gán quyền truy cập NTFS thư mục dùng chung 209 3.Kế thừa thay quyền đối tượng 211 4.Cấu hình NTFS Permision hệ thư mục 213 III Cấu hình GPO (Group Policy Object) 232 1.Cấu hình GPO giám sát hoạt động đăng nhập (Audit account logon event) 232 2.Cấu hình GPO giám sát hoạt động truy cập tài nguyên (Audit Object Access) 237 3.Cấu hình GPO triển khai phần mềm tự động cho người dùng 247 4.Cấu hình số user không chịu tác động GPO 254 IV Cấu hình Home Folder – User Profile 257 1.Giới thiệu .257 2.Cấu hình Home Folder 257 3.Cấu hình User Profile .263 V Cấu hình Folder Redirected – Script 267 1.Cấu hình Folder Redirected 267 2.Logon Script – Map Network Drive .271 VI Triển khai Windows Server Service Update (WSUS) 280 1.Giới thiệu .280 2.Thực .280 VII Sao lưu phục hồi cở diệu Active Directory Domain Service 301 1.Nội dung 301 2.Chuẩn bị 301 3.Thực 301 VIII Triển khai Administrative Templates Audit Policy 314 1.Tạo Template tùy biến 314 2.Thực thiết lập Template GPO 320 IX Cấu hình Shadow Copy .325 1.Giới thiệu .325 2.Cấu hình Shadow Copy 325 3.Kiểm tra 328 X Cấu hình Quota, File Screening tạo thống kê lưu trữ 329 1.Giới thiệu .329 2.Chuẩn bị 330 3.Thực cấu hình Quota File Screening 330 Báo cáo quản lý lưu trữ 345 XI Cấu hình lưu, phục hồi Group Policy 348 1.Đặt hình cho máy Client 349 2.Chặn truy cập Registry 351 3.Khóa Task Manager .352 4.Chặn sử dụng Command .354 5.Cấm sử dụng Run 356 6.Backup Restore Policy .357 XII Cài đặt cấu hình Active Directory Rights Management Serviecs (AD RMS) .361 1.Giới thiệu .361 2.Chuẩn bị 361 3.Thực cấu hình 361 XIII Cài đặt cấu hình DFS – Distributed File System Windows Server 2008 .374 1.Giới thiệu .374 2.Cài đặt: 374 3.Cấu hình 380 XIV Cấu hình cân tải Network Load Balancing cho Web Server 398 1.Giới thiệu .398 2.Chuẩn bị 398 3.Thực .398 399 XV Khôi phục tài khoản người dùng AD DS Database Mounting Tool 405 1.Nội dung 405 2.Thực hành 406 XVI Cấu hình AD DS Auditing 412 1.Nội dung 412 2.Thực hành 412 XVII Triển khai Fine – Grained Password Polices Windows Server 2008 .419 1.Giới thiệu .419 2.Thực hành 419 XVIII Giám sát Active Directory sử dụng Event Viewer 442 1.Nội dung 442 2.Huớng dẫn 443 LỜI MỞ ĐẦU Đảm bảo an ninh an toàn thông tin (ATTT) thuật ngữ dùng để việc bảo vệ thông tin, hệ thống thông tin bao gồm giải pháp kỹ thuật quy chế sử dụng nhằm chống lại nguy cơ, hành động truy cập, sử dụng, phát tán, phá hoại, sửa đổi, phá hủy bất hợp pháp nhằm bảo đảm cho thông tin, hệ thống thông tin thực chức năng, phục vụ đối tượng cách sẵn sàng, xác, bí mật, kịp thời Việc đảm bảo an ninh ATTT có vai trò quan trọng ảnh hưởng tới nhiều lĩnh vực phát triển kinh tế - xã hội Chính vậy, đảm bảo an ninh ATTT trở thành vấn đề quan trọng mà quốc gia, quan, tổ chức cần quan tâm có biện pháp để thực có hiệu Việt Nam thời kỳ đẩy mạnh công nghiệp hóa, đại hóa với mục tiêu đề Chiến lược Phát triển kinh tế xã hội giai đoạn 2011-2015 “Phấn đấu đến năm 2020 nước ta trở thành nước công nghiệp theo hướng đại” nhờ “Phát triển mạnh mẽ lực lượng sản xuất với trình độ khoa học, công nghệ ngày cao” Trong suốt trình phát triển từ Đại hội Đảng VIII đến nay, CNTT khẳng định vai trò động lực đẩy nhanh tốc độ công nghiệp hóa, đại hóa, công cụ hữu hiệu tạo chuyển biến tích cực tất lĩnh vực, ngành, góp phần quan trọng vào phát triển kinh tế, xã hội, an ninh quốc phòng Tuy nhiên, việc thúc đẩy phát triển, CNTT không đơn thúc đẩy việc sử dụng, ứng dụng công cụ công nghệ (thiết bị phần cứng, phần mềm) hoạt động mà đảm bảo cho việc vận hành hệ thống thông tin liên tục thông suốt Rất nhiều chuyên gia quốc tế nước nhận định “Sự sẵn sàng, tính toàn vẹn, tính xác thực tính bảo mật liệu không gian mạng vấn đề sống thập kỷ XXI” Thực tế năm gần đây, với phát triển công nghệ ứng dụng, việc an toàn thông tin diễn ngày phổ biến với mức độ đe dọa ngày cao, hình thức công ngày đa dạng tinh vi từ phát tán phần mềm mã độc, công gây từ chối dịch vụ phân tán (DDOS) đến tận dụng lỗ hổng an toàn thông tin công ứng dụng web… Theo báo cáo gần tổ chức nghiên cứu an toàn thông tin như: McAfee, Kapersky, Việt Nam thuộc nhóm quốc gia có số lượng máy chủ hosting độc hại cao giới Việc công có chủ đích loại mã độc không gây ảnh hưởng trực tiếp đến thiết bị bị lây nhiễm mà gián tiếp trở thành bàn đạp để tin tặc công hệ thống khác Bên cạnh đó, theo thống kê hiệp hội An toàn thông tin Việt Nam (VNISA), công từ chối dịch vụ năm 2011 tăng 70% so với năm 2010 công mạng tăng 03 lần so với năm 2010 Chỉ tính riêng tháng 5/2011 tháng 6/2011, có tới 329 trang thông tin điện tử (website) tên miền gov bị công bị đổi giao diện Trước tình hình đó, việc đảm bảo an toàn thông tin số trở thành thách thức chung quan quản lý nhà nước, tổ chức xã hội, có hệ thống thông tin Ngành Công an Trong lộ trình “Đưa Việt Nam sớm trở thành nước mạnh công nghệ thông tin truyền thông”, vấn đề đảm bảo an toàn thông tin số nhấn mạnh trụ cột quan trọng, tảng bền vững để đạt mục tiêu phát triển công nghệ thông tin, truyền thông tạo ảnh hưởng sâu rộng đến trị, kinh tế, an ninh quốc gia Nhằm đảm bảo triển khai cách đồng hiệu mục tiêu phát triển kinh tế, xã hội mục tiêu đưa Việt Nam trở thành nước mạnh công nghệ thông tin truyền thông, ngày 13/01/2010, Thủ tướng Chính phủ phê duyệt “Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020” quy định rõ trách nhiệm Bộ, Ngành, đơn vị việc chung tay đảm bảo an toàn thông tin số Trong năm qua, quan tâm Lãnh đạo Bộ, cố gắng Công an đơn vị, địa phương, đến nay, tất Tổng cục Bộ 63 công an tỉnh, thành phố có mạng máy tính kết nối mạng với để trao đổi thông tin, liệu tổ chức hội nghị truyền hình Nhiều hệ thống sở liệu ứng dụng xây dựng để phục vụ cho công tác nghiệp vụ Những thông tin, liệu lưu giữ máy tính trao đổi qua mạng Bộ Công an phần lớn thông tin, liệu có yêu cầu bảo đảm an toàn cao Năm 2011, Bộ trưởng Bộ Công an ký ban hành Thông tư 36/2011/TTBCA Quy định bảo đảm an toàn thông tin số Công an nhân dân, Tổng cục Hậu cần – Kỹ thuật có công văn hướng dẫn Công an đơn vị, địa phương thực Thông tư Thông tư 36/2011/TT-BCA ban hành pháp lý cao Bộ để Công an đơn vị địa phương triển khai quy chế, giải pháp nhằm đảm bảo an toàn thông tin cho hệ thống thông tin Công an đơn vị địa phương Trong thời gian vừa qua, thực ý kiến đạo Lãnh đạo Bộ việc tăng cường công tác bảo đảm an toàn thông tin, chống lộ lọt bí mật, Cục H49 tiến hành kiểm tra, đánh giá mức độ an ninh an toàn thông tin hệ thống mạng máy tính Công an đơn vị, địa phương Qua thực tế kiểm tra công tác đảm bảo an toàn thông tin số Tổng cục Công an tỉnh, thành phố cho thấy việc quản lý, thực công tác đảm bảo an toàn thông tin số nhiều nơi chưa quan tâm mức, hệ thống công cụ, thiết bị phục vụ đảm bảo an toàn thông tin yếu thiếu Trong nửa đầu năm 2012, Cục Tin học nghiệp vụ, tiến hành rà quét lỗ hổng an toàn thông tin mạng Bộ Công an phát có 60% máy tính mạng có lỗ hổng mức nghiêm trọng có nguy dẫn đến số tài liệu nhạy cảm lưu giữ máy tính bị xâm hại Đồng thời, máy tính bị lợi dụng để cài cắm phần mềm gián điệp, mã độc hại để xâm nhập, công máy tính khác liệu trao đổi mạng Đặc biệt, số trang thông tin điện tử Công an đơn vị, địa phương mạng Internet tồn lỗ hổng có nguy cao cho phép tin tặc công, chiếm quyền điều khiển, thay đổi nội dung thông tin trang thông tin điện tử Theo ghi nhận trang web zone-h.org (trang web chuyên cập nhật website mạng Internet bị nhóm hacker giới công) thời gian gần đã có 02 trang thông tin điện tử của Công an tỉnh Khánh Hòa và Văn phòng UPT (Tổng cục IV) đã bị hacker nước ngoài xâm nhập Nếu hacker công, thay đổi nội dung thông tin trang web thông tin phản động, bôi xấu Đảng Nhà nước ảnh hưởng đến uy tín, trị lực lượng Công an Mặt khác, Công an đơn vị, địa phương chưa có quy chế quy định đảm bảo an toàn thông tin số đơn vị dẫn đến tình trạng vi phạm quy định Đảng, Nhà nước Ngành bảo vệ bí mật nhà nước, bảo vệ bí mật ngành, việc sử dụng trao đổi thông tin mạng Internet diễn như: cắm USB 3G vào hệ thống mạng nội Ngành, sử dụng USB chứa liệu mật liệu nhạy cảm cắm vào máy kết nối Internet… Bên cạnh đó, lực lượng chuyên trách công nghệ thông tin đơn vị, địa phương yếu thiếu Theo thống kê, nước có 03 địa phương có lực lượng chuyên trách công nghệ thông tin Công an Hà Nội, Hồ Chí Minh, Hải Phòng (phòng PH41B); đa phần trình độ cán chuyên trách bán chuyên trách an toàn thông tin chưa đào tạo chuyên sâu an toàn thông tin Nguồn nhân lực chủ yếu lấy từ cán chuyên trách công nghệ thông tin làm kiêm nhiệm an toàn thông tin trình độ chuyên môn hạn chế, chưa đáp ứng đòi hỏi thực tế phức tạp Trước những yêu cầu đó, Phòng 4-H49, chủ động biên soạn tài liệu Xây dựng, quản lý vận hành hệ thống mạng theo mô hình Domain phục vụ công tác đảm bảo ATTT cho hệ thống mạng nội Công an đơn vị, địa phương, với mục đích cung cấp giải pháp cụ thể, tối ưu đảm bảo ATTT để từ đồng chí làm công tác chuyên trách đảm bảo ATTT đơn vị, địa phương chủ động thực cho hệ thống đơn vị Tài liệu có gồm bài: - Bài 1: Giới thiệu Windows Server 2008 - Bài 2: Giới thiệu Active Directory - Bài 3: Quản lý sách Domain - Bài 4: Giới thiệu hướng dẫn số dịch vụ hệ điều hành Windows Server 2008 - Bài 5: Giới thiệu hướng dẫn cấu hình số sách ATTT hệ điều hành Windows Server 2008 10 XVIII Giám sát Active Directory sử dụng Event Viewer Nội dung - Sử dụng tính Event Viewer thực vấn dề sau: + Trên máy SRV-2008-DC01 tạo Custom View:  Tạo custom view với tên: Directory Service theo dõi kiện Active Directory DNS  Server chế độ: Critical, Warning, Error  Export custom view file: Active Directory.xml + Trên máy SRV-2008-DC02 thực Import file Active Directory.xml chuyển sang từ máy SRV-2008-DC01, để theo dõi Event cấu hình máy + Tạo Subscription: Service Events, nhằm chuyển event system (event có ID 7036) máy SRV-2008-DC01 sang máy SRV-2008-DC02 - Sử dụng tính Attach a Task to this Log Windows Log, để gửi email cho administrator xuất file log có ID 7036 442 - Yêu cầu chuẩn bị: + Máy SRV-2008-DC01 nâng cấp lên Domain Controller + Máy SRV-2008-DC02 nâng cấp lên Additional Domain Controller: p4.h49.bca 2.1 Huớng dẫn Tạo custom view theo dõi dịch vụ SRV-2008-DC01 - Trên máy SRV-2008-DC01, đăng nhập Administrator - Start > Administrative Tools > Event Viewer - Nhấp chuột phải Custom Views, chọn Create Custom View - Trong cửa sổ Create Custom View chọn: Critical, Warning, Error Trong phần Event Logs >Application and Services Logs, chọn Directory Service DNS Server, chọn OK 443 - Trong cửa sổ Save Filter to Custom View nhập tên cho custom: Directory Service, sau chọn OK 444 - Export custom view file: Active Directory.xml: Nhấp chuột phải Directory Service, chọn Export Custom View - Trong cửa sổ Save As lưu thư mục chia sẻ Share ổ E, nhập tên: Active Directory sau chọn Save 445 2.2 Import custom view: Active Directory.xml - Ðăng nhập máy SRV-2008-DC02 với quyền Administrator - Start > Administrative Tools > Event Viewer - Nhấp chuột phải Custom Views, chọn Import Custom View - Trong cửa sổ Import Custom View trỏ tới thư mục chia sẻ chứa file Active Directory.xml, sau chọn Open 446 - Trong cửa sổ Import Custom View File chọn OK 2.3 Tạo Subscription nhằm chuyển event system máy SRV2008-DC01 sang máy SRV-2008-DC02 - Trên máy SRV-2008-DC02 ( máy thu thập event), chọn Start > Command Prompt 447 - Trong cửa sổ command-prompt nhập lệnh wecutil qc, ENTER, nhập y, ENTER - Ðóng command prompt - Chuyển sang máy SRV-2008-DC01 (máy cung cấp event) - Chọn Start > Command Prompt - Trong cửa sổ command-prompt, nhập lệnh winrm quickconfig, ENTER, nhập y, ENTER 448 - Ðóng command prompt - Tạo Subscription theo yêu cầu đề bài: Trên máy SRV-2008DC02, khởi động Event Viewer, nhấp chuột phải Subscriptions, chọn Create Subscription - Trong cửa sổ Subscription Properties, nhập tên Subscription: Theo dõi DNS từ máy SRV-2008-DC01, chọn Collector Initiated, sau chọn Select Computers 449 - Trong cửa sổ Computers chọn Add Domain Computers - Trong cửa sổ Select Computers nhập SRV-2008-DC01, chọn OK lần 450 - Chọn Select Events, cửa sổ Query Filter, chọn Information Chọn tiếp Event Logs > Windows Logs Chọn System Trong phần Event ID nhập 7036, chọn OK - Chọn Advanced, chọn Specific User, sau chọn User and Password 451 - Trong cửa sổ Credentials for Subscriptions Source, dang nhập tài khoản mật Administrator, chọn OK - Chọn Minimize Latency, sau chọn OK lần - Chọn Yes cửa sổ Event Viewe 452 - Chọn Subscriptions đảm bảo Service Events subscription có trạng thái Active - Thực tiếp máy SRV-2008-DC01 - Chọn Start > Command Prompt Trong cửa sổ Command Prompt nhập: Net Stop DNS, ENTER; Net Start DNS, ENTER 453 - Chuyển sang máy SRV-2008-DC02 - Start > Administrative Tools > Event Viewer > Windows Logs > Forwarded Events - Khảo sát kiện 2.4 Sử dụng tính Attach a Task to this Log - Thực máy SRV-2008-DC02 - Start > Administrative Tools > Event Viewer > Windows Logs Nhấp chuột phải chọn Attach a Task to this Event - Trong cửa sổ Create a Basic Task chọn Next - Trong cửa sổ When a Specific Event is Logged chọn Next 454 - Trong cửa sổ Action chọn Display a Message, chọn Next - Trong cửa sổ Display a Message nhập thông số nhu sau: - Chọn Next, sau chọn Finish Xuất cửa sổ Event Viewer, chọn OK 455 - Chuyển sang máy SRV-2008-DC01, nhập lại lệnh stop start DNS service - Quay lại máy BKNP-SRV08-01.xuất thông báo 456 ... 1: Giới thiệu Windows Server 2008 - Bài 2: Giới thiệu Active Directory - Bài 3: Quản lý sách Domain - Bài 4: Giới thiệu hướng dẫn số dịch vụ hệ điều hành Windows Server 2008 - Bài 5: Giới thiệu. .. .48 2.Vai trò Windows Server 2008 48 3.Các tính Windows Server 2008 49 4.Một số cải tiến Windows server 2008 .52 5.Các lợi ích Windows Server 2008 ... 53 6.Các phiên Windows Server 2008 .55 VI Hướng dẫn cài đặt Windows Server 2008 56 1.Yêu cầu phần cứng để cài đặt Windows Server 2008 .56 2.Hướng dẫn