TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN _ ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: QUẢN TRỊ VÀ BẢO MẬT HỆ THỐNG MẠNG CHO CÔNG TY GRAPHIC VIỆT NAM Sinh viên thực hiện: Đặng Xuân Hoàng Lớp KHMT – K10 Giảng viên hướng dẫn: Ths Phạm Văn Hiệp Hà Nội, 3/2017 NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN LỜI NÓI ĐẦU Ngày nay, thời kỳ phát triển công nghệ thông tin phát triển nhanh chóng xã hội nhu cầu tìm hiểu, nắm bắt thông tin trở thành nhu cầu hàng ngày Công nghệ thông tin trở thành lĩnh vực quan trọng định đến phát triển xã hội Cùng với số ngành khoa học khác, làm biến đổi sâu sắc đời sống kinh tế, văn hoá, xã hội đặc biệt tri thức người Như biết, khoa học máy tính ngày vô phát triển, nhu cầu trao đổi thông tin tăng lên không ngừng Ngày máy vi tính vật bất khả li thân nhiều người, sâu vào đời sống giúp lưu trữ, xử lý thông tin đơn giản Nhưng yêu cầu công việc muốn trao đổi thông tin với người ta cần đến giao thức quan trọng giao thức mạng máy tính Mạng máy tính giúp rút ngắn khoảng cách địa lí dù ta nơi đâu Điều kéo theo phát triển đến chóng mặt mạng máy vi tính như: mạng lan, mạng wan, mạng Internet Để đáp ứng yêu cầu thời đại, Microsoft nhà cung cấp phần mềm hàng đầu thề giới tung nhiều hệ điều hành để quản lý, điều hành mạng máy vi tính Cùng với nhu cầu trao đổi thông tin yêu cầu khả bảo mật thông tin cần phải trọng công tác quản trị mạng Nhận thấy tầm quan trọng lựa chọn đề tài đồ án tốt nghiệp là: “Quản trị mạng Windows Server 2008” Việc nghiên cứu đề tài quản trị hệ thống Windows Server 2008 em làm đồ án tốt nghiệp đóng góp vào kiến thức cho người ham mê quản trị hệ thống mạng Em mong tài liệu cảm hứng cho sinh viên sau phát triển thêm đề tài quản trị mạng Server làm cho kho tàng kiến thức thêm phong phú qua đến với ham mê môn học này.Em xin cảm ơn thầy, cô giáo Trường Đại Học Công Nghiệp Hà Nội đặc biệt thầy Phạm Văn Hiệp tận tình hướng dẫn giúp đỡ em thực đề tài Em xin chân thành cảm ơn! TÓM TẮT ĐỒ ÁN Đồ án “Quản trị bảo mật hệ thống mạng cho công ty Graphic Việt Nam” gồm có phần : - Giới thiệu hệ thống mạng công ty Graphic : Giới thiệu máy phòng ban nhu cầu bảo mật quản trị hệ thống mạng công ty - Tìm hiểu hệ điều hành quản trị mạng Windows Server 2008 : Giới thiệu Windows Server 2008, nêu tính ứng dụng Windows Server 2008 Thực cài đặt HĐH nâng cấp máy chủ Domain Controller - Quản trị hệ thống mạng công ty : Thực cài đặt cấu hình dịch vụ server DNS , DHCP, FTP… Thiết lập tài khoản người dùng , thiết lập hạn ngạch đĩa - Bảo mật hệ thống mạng công ty : Giới thiệu tổng quan TMG 2010, bước cài đặt Đưa số luật người dùng hệ thống mạng Mục Lục Chương GIỚI THIỆU HỆ THỐNG MẠNG CÔNG TY GRAPHIC VIỆT NAM 1.1 Đôi nét công ty Graphic Công Ty Cổ Phần Graphic Việt Nam công ty phần mềm với 100% vốn Nhật Bản Công ty mẹ Công Ty Cổ Phần Graphic thành lập từ năm 1989 có mạng lưới khách hàng công ty lớn nằm top công ty phát triển mạnh Nhật Bản Bên cạnh trụ sở Kyoto , Graphic có nhiều chi nhánh khắp nước Nhật với gần 1000 nhân viên.Doanh thu đạt 220 tỷ yên khoảng 4.840 tỷ đồng (tháng năm 2016) tăng mạnh theo hàng năm Ngoài trụ sở Nhật công ty có trụ sở đặt Đại Liên ( Trung Quốc ) Hà Nội ( Việt Nam) Hai trụ sở chuyên phụ trách mảng thiết kế kiểm tra liệu Hiện công ty Graphic xây dựng đội phát triển phần mềm Việt Nam hướng đến lĩnh vực cung cấp dịch vụ công nghệ thông tin dịch vụ khác liên quan đến máy vi tính,cụ thể: Cung cấp dịch vụ thiết kế sản phẩm sách báo, catalog, tạp chí, ấn phẩm (không thực in ấn xuất sản phẩm Việt Nam)… cho khách hàng Nhật Bản Với tiêu chuẩn chất lượng cao Nhật Bản, mục tiêu công ty trở thành công ty phần mềm hàng đầu Việt Nam Châu Á Hiện trụ sở công ty Graphic Việt Nam đặt 165 Bà Triệu – Hai Bà Trưng – Hà Nội với quy mô nhân 30 người Hàng năm Graphic Việt Nam tuyển dụng để mở rộng phát triển quy mô công ty Việt Nam ngày lớn mạnh 1.2 Tổ chức máy công ty Graphic • Sơ đồ tổ chức máy công ty: Sơ đồ 1.1 Tổ chức máy công ty • Mô tả chức phòng: Phòng Giám Đốc : Điều phối chủ trì công việc liên quan đến công ty đối tác, tiếp nhận thông tin từ trụ sở từ Nhật Phòng Hành - Nhân Sự: Điều phối người thực dự án tiến độ tuyển người lao động Thực hoạt động quản lý nhân chi trả lương Phòng Thiết Kế : Thực thiết kế theo đơn đặt hàng khác tuân theo nhiệm vụ giao từ giám đốc trưởng phận Phòng Check : Nhận liệu khách hàng gửi tổng hợp từ Nhật chuyển đến kiểm tra liệu trước chuyển sang phận In ấn 1.3 Mô hình mạng có công ty Hình 1.1 Mô hình mạng Hiện công ty cổ phần Graphic Việt Nam có phòng : Phòng hành chính, phòng thiết kế, phòng check liệu Trong phòng hành : PC – phòng thiết kế : 10 PC – phòng check DL : 17 PC Có máy server để nhận liệu từ công ty mẹ truyền liệu di 1.4 Nhu cầu bảo mật quản trị mạng công ty Mục tiêu việc nối mạng làm cho người sử dụng chung tài nguyên từ vị trí địa lý khác Cũng mà tài nguyên dễ dàng bị phân tán, dẫn điều hiển nhiên chúng bị xâm phạm, gây mát liệu thông tin có giá trị Càng giao thiệp rộng dễ bị công, quy luật Điều mà Graphic cần bảo mật đặc biệt quyền liệu khách hàng Đối với liệu, cần quan tâm yếu tố sau: • Tính bảo mật: Tính bảo mật cho phép nguời có quyền hạn truy cập đến • Tính toàn vẹn liệu: Dữ liệu không sửa đổi, bị xóa cách bất hợp pháp • Tính sẵn sàng: Bất lúc cần liệu sẵn sàng Chính điều Graphic Việt Nam mong muốn hệ thống quản trị mạng bảo mật cao Chương TÌM HIỂU HỆ ĐIỀU HÀNH MẠNG WINDOWS SERVER 2008 2.1 Giới thiệu windows server 2008 2.1.1 Tổng quan Ngày 12/11/2007 Microsoft thức tung thị trường phiên hệ điều hành máy chủ Windows Server 2008, hệ điều hành gồm phiên chính: - Windows Server 2008 Standard Windows Server 2008 Enterprise Windows Server 2008 DataCenter Windows Web Server 2008 Windows HPC (High-performance computing) Server 2008 Windows Server 2008 for Itanium-based Systems Việc lựa chọn phiên phụ thuộc vào yêu cầu người sử dụng Windows Server 2008 Standard Edition: lựa chọn tốt cho doanh nghiệp nhỏ, nhu cầu mở rộng phần cứng không sử dụng tính clustering Windows Server 2008 Enterprise Edition: lựa chọn tốt cho môi trường doanh nghiệp lớn, hỗ trợ đầy đủ tính như: clustering, failover, virtualization khả mở rộng phần cứng Windows Server 2008 DataCenter Edition (IA-64 DataCenter Edition): tùy chọn cho doanh nghiệp dùng lưu trữ liệu lớn sử dụng tính ảo hoá quy mô lớn Microsoft Windows Server 2008 hệ hệ điều hành Windows Server, giúp chuyên gia công nghệ thông tin kiểm soát tối đa sở hạ tầng họ cung cấp khả quản lý hiệu lực chưa có, sản phẩm hẳn việc đảm bảo độ an toàn, khả tin cậy môi trường máy chủ vững phiên trước đây.Windows Server 2008 cung cấp giá trị cho tổ chức việc bảo đảm tất người dùng có thành phần bổ sung từ dịch vụ từ mạng Windows Server 2008 cung cấp nhiều tính vượt trội bên hệ điều hành khả chuẩn đoán, cho phép quản trị viên tăng thời gian hỗ trợ cho công việc doanh nghiệp Windows Server 2008 xây dựng thành công sức mạnh hệ điều hành có trước Windows Server 2003 cách tân có Service Pack Windows Server 2003 R2 Mặc dù Windows Server 2008 hoàn toàn hẳn hệ điều hành tiền nhiệm Windows Server 2008 thiết kế để cung cấp cho tổ chức có tảng sản xuất tốt cho ứng dụng, mạng dịch vụ web từ nhóm làm việc đến trung tâm liệu với tính động, tính có giá trị cải thiện mạnh mẽ cho hệ điều hành Thêm vào tính mới, Windows Server 2008 cung cấp nhiều cải thiện tốt cho hệ điều hành so với Windows Server 2003 Những cải thiện thấy gồm có vấn đề mạng, tính bảo mật nâng cao, truy cập ứng dụng từ xa, quản lý role máy chủ tập trung, công cụ kiểm tra độ tin cậy hiệu suất, nhóm chuyển đổi dự phòng, triển khai hệ thống file Những cải thiện nhiều cải thiện khác giúp tổ chức tối đa tính linh hoạt, khả sẵn có kiểm soát máy chủ họ 2.1.2 Giới thiệu các công nghệ của winserver 2008 • Internet Information Services 7.0: Windows Server 2008 cung cấp tảng hợp cho việc xuất Web có tích hợp Internet Information Services (IIS) 7.0, ASP.NET, Windows Communication Foundation, Windows Workflow Foundation Windows SharePoint Services 3.0 IIS 7.0 bước nâng cao đáng kể cho Windows Web server tồn đóng vai trò trung tâm việc tích hợp công nghệ tảng Web IIS 7.0 giúp chuyên gia phát triển phần mềm quản trị viên tối đa quyền điều khiển họ giao diện mạng/Internet thông qua hệ thống chức gồm quản trị ủy nhiệm, bảo mật nâng cao giảm bề mặt công, tích hợp ứng dụng quản lý trạng thái cho dịch vụ Web, công cụ quản trị cải thiện • Terminal Services: Windows Server 2008 giới thiệu số tính Terminal Services để kết nối đến máy tính ứng dụng từ xa Terminal Services RemoteApp tích hợp hoàn toàn ứng dụng chạy máy chủ đầu cuối với máy trạm người dùng để họ sử dụng chạy máy tính cục người dùng phân biệt; người dùng chạy chương trình máy kế bên Terminal Services Web Access cho phép khả linh động việc truy cập ứng dụng từ xa thông qua trình duyệt Web, cho phép người dùng có nhiều cách khác để truy cập sử dụng chương trình tồn máy chủ đầu cuối Các tính với Terminal Services Gateway cho phép người dùng truy cập vào máy trạm điều khiển xa ứng dụng từ xa thông qua HTTPS theo tường lửa thân thiện • Network Access Protection (NAP): Một cấu làm việc cho phép quản trị viên CNTT định nghĩa yêu cầu tình trạng cho mạng hạn chế máy tính đủ yêu cầu truyền thông với mạng NAP bắt buộc sách mà quản trị viên định nghĩa để mô tả trình trạng sức khỏe mạng cho tổ chức Ví dụ, yêu cầu cần thiết định nghĩa gồm có tất nâng cấp cho hệ điều hành cài đặt, có phần mềm chống virus chống spyware cài đặt nâng cấp Với cách này, quản trị viên mạng định nghĩa mức bảo vệ cho tất máy tính muốn kết nối vào mạng họ • Read-Only Domain Controller (RODC): Một kiểu cấu hình điều khiển miền hệ điều hành Windows Server 2008 giúp tổ chức dễ dàng triển khai điều khiển miền nhiều vị trí, nơi bảo mật vật lý điều khiển miền bảo đảm Một RODC quản lý giống thực (chỉ đọc) sở liệu dịch vụ thư mục Active Directory cho miền cho Trước đây, người dùng phải thẩm định với điều khiển miền họ văn phòng chi nhánh họ cung cấp đầy đủ bảo mật vật lý cho điều khiển miền, từ phải thẩm định mạng diện rộng (WAN) Trong nhiều trường hợp, điều Bằng cách đưa giống sở liệu Active Directory thật đọc cho người dùng chi nhánh, người hưởng lợi từ lần đăng nhập nhanh truy cập hiệu vào tài nguyên có thẩm định mạng, chí môi trường thiếu bảo mật vật lý để triển khai điều khiển miền truyền thống • Failover Clustering: Những cải thiện trang bị làm dễ dàng việc cấu hình nhóm máy chủ, bên cạnh bảo vệ khả có sẵn liệu ứng dụng bạn Bằng sử dụng Validate Tool nhóm tự động chuyển đổi dự phòng, bạn thực kiểm tra để xác định xem hệ thống, lưu trữ cấu hình mạng bạn có thích hợp với nhóm hay không Với khả tự động chuyển đổi dự phòng nhóm Windows • • • • Server 2008, quản trị viên thực cài đặt, chuyển đổi quản lý nhiệm vụ hoạt động dễ dàng Những cải thiện để nhóm sở hạ tầng giúp quản trị viên tối đa khả sẵn có dịch vụ mà họ cung cấp cho người dùng, thực lưu trữ, hiệu suất mạng bảo mật tốt Server Core: Bắt đầu với Windows Server 2008 Beta 2, quản trị viên chọn cài đặt Windows Server với dịch vụ yêu cầu để thực DHCP, DNS, file server domain controller role Tùy chọn cài đặt không cài đặt dịch vụ ứng dụng không cần thiết, cung cấp chức máy chủ mà không cần phải mở rộng Tùy chọn cài đặt Server Core chế độ hoạt động đầy đủ hệ điều hành việc hỗ trợ role định, giao diện đồ đồ họa người dùng (GUI) Vì cài đặt Server Core gồm cần thiết cho role định nên cài đặt Server Core yêu cầu đến việc bảo trì nâng cấp Có thể nói theo cách khác, có chương trình thành phần cài đặt chạy máy chủ mà hệ số công mạng hơn, kết giảm bề mặt công Nếu lỗ hổng bảo mật phát thành phần không cài đặt việc cập nhật vá cho không cần thiết Windows PowerShell: Một tiện ích dòng lệnh với 130 công cụ ngôn ngữ kịch tích hợp Nó cho phép quản trị viên dễ dàng kiểm soát tự động nhiệm vụ quản trị theo định kỳ cách an toàn, đặc biệt thông qua nhiều máy chủ Windows PowerShell không yêu cầu phải chuyển đổi kịch tồn phù hợp với tự động chức Windows Server 2008 Một ngôn ngữ kịch tập trung vào việc quản trị mới, tiện ích cú pháp thích hợp, Windows PowerShell làm tự động hóa nhiệm vụ quản trị hệ thống – Active Directory, Terminal Server, Internet Information Server (IIS) 7.0 – cải thiện khả tổ chức bạn nhắm vào vấn đề quản lý hệ thống môi trường bạn cách đơn Windows PowerShell : dễ dàng việc tiếp nhận, học sử dụng không yêu cầu tảng lập trình, làm việc với sở hạ tầng CNTT, kịch công cụ dòng lệnh tồn bạn Server Manager: Một tính có Windows Server 2008 Tính tính hàng đầu thiết kế để hướng dẫn quản trị viên CNTT thông qua trình xuyên suốt từ đầu đến cuối việc cài đặt, cấu hình, quản lý role máy chủ tính Windows Server 2008 Server Manager thay hợp số tính từ Microsoft Windows Server 2003 Manage Your Server, Configure Your Server, Add or Remove Phân quyền Giới thiệu chế phân quyền NTFS Cơ chế kiêm soát truy nhập bảm Windows Server kết họp giừa hai chế phân quyền: phân quyền hệ thống tệp NTFS vả phân quyền giao thức chia sẻ tệp CIFS (hay gọi phân quvền share) Phân quyền CIFS có ba quyển: • Read (dọc) • Change (sứa) • Full Control (toàn quyền) Ba không độc lập với Full Control bao hàm Change Change bao hàm Read Phân quyền NTFS có quyền: Full Conlrol (toàn quyền) Modify (sửa) Read & Execute (đọc tệp vả chạy chương trình),List folder contents (hiện nội dung thư mục) Read (đọc), vả Write (viết) Khi truy nhập server từ máy trạm, quyền truy nhập giao hai quyền CIFS NTFS Do thực tiễn làm việc, để giảm bớt phức tạp tạo nhiều share server có thề nên tạo share theo quyền (CIFS) thống cho share người dùng, cụ thể: Trên share tự quản Everyone có quyền Full Control Trên share quản chế Everyone có quyền Change - Sự phân biệt quyền truy nhập nhóm khác share khác thể phân quyền NTFS • Write attributcs (viết thuộc tính ) Cho phép thay đổi thuộc tính cùa file folder • Write extended attributcs (viết thuộc tính mở rộng) • Delete subfolders and files (xóa folder file) • Delete (xóa) • Read permissions (đọc quyền) • Change permissions (đổi quyền) • Take ownership (đoạt chủ quyền) - Khi phân quyên cho folder, quyền phân áp dụng lên folder file bên trong, việc gọi thừa kế Việc thừa kế thực theo sáu kiểu sau đây: • This Folder only (chỉ Folder thôi) Quyền áp dụng cho folder này, không thừa kế • This Folder subfolders and files (folder folder vả file) Quyền áp dụng cho folder folder file Thừa kế toàn phần • This folder and subfolders (folder folder con) Quyền áp dụng cho folder folder Các folder thừa kế This folder and files (folder vả file) Quyền áp dụng cho folder file Các file thừa kế Subfolders and flles only (các folder vả file thôi) Quyền áp dụng cho folder file Thừa kế toàn phần ngoại trừ thân Subfolders only (chỉ foldcr ) Quyền áp dụng cho folder Các folder thừa kế ngoại trừ bán thản • • • Thực quyền liệu doanh nghiệp NTFS - Trong hệ thống tệp NTFS năm quyền folder liệu doanh nghiệp đưọc thực hiên theo công thức sau đây: • Quyền sứ dụng = Read & Execute List Folder Contents Read this folder, subfolders and files • Quyền đóng góp = quyền sử dụng + Create files / Write data vả Create folders/Append data this foldcr and subfolders • Quyền biên tập = quyền sử dụng + Modify Write this folder, subfolders and files • Quyền xem thư mục = List folder / Read data this folder and subfolders • Quyền xem quyền = Read Permissions this folder and subfolders • Quyền xem quyền = Read Permissions this folder subfolders and files • • • • • • • Nguyên tắc áp dụng quyền truy cập  Nguyên tắc hoạch định thư mục chương trinh Dưới số nguyên tắc chung cần áp dụng định cấp độ truy cập NTFS cho thư mục: Bỏ quyền truy cập NTFS mặc đinh cấp độ Full Control từ nhóm Everyone đem cấp cho nhóm Administrators Chi định cấp độ truy cập Full Control Change thư mục thích hợp cho nhóm chịu trách nhiẻm nâng cấp xư lí lỗi phần mềm Nếu chương trình mạng thương trú dùng chung, cấp quyền truy cập cấp độ Read cho nhóm Users Nguyên tắc hoạch đinh thư mục liệu Bỏ quyền truy cập NTFS cấp độ mặc định Full Control từ nhóm Everyone vả đem cấp cho nhóm Administrators Chi định cấp độ Add&Read cho nhóm Uscrs vả cấp độ PC cho nhóm CreatorOwner Việc cung cấp cho người dùng đăng nhập cục khả hủy bỏ sừa chữa chi thư mục tập tin họ chép tạo máy tính mà họ đăng nhập  Nguyên tắc hoạch định thư mục cá nhân • Tập trung thư mục cá nhân Volume NTFS riêng biệt với Volume chứa hệ điều hành vả chương trình, nhằm hợp lí hóa công tác quản trị lưu liệu • Dùng biến %User.Name% để tự động gán tên tài khoản người dùng cho thư mục tự động định quyền truy cập NTFS cấp độ PC cho người tương ứng • Tạo thư mục cá nhân (Home Folder) Volume NTFS • Lưu trữ thư mục cá nhân Volume NTFS có thuận lợi lớn tố chức chúng thành hệ thống phân tầng giới hạn khả truy cập người dùng tương ứng mà không cần chia sẻ thư mục Hình 3.38 NTFS Chương BẢO MẬT HỆ THỐNG MẠNG CHO CÔNG TY 4.1 Giới thiệu TMG 2010 – Cài đặt 4.1.1 Giới thiệu TMG 2010 Microsoft Forefront Threat Management Gateway 2010 (TMG) Firewall Microsoft nâng cấp từ phiên Microsoft ISA Server trước TMG nâng cấp cải tiến nhiều tính bảo mật như: • Lọc URL • chống virus web • Chống malware • Chuyển tiếp SSL • IDS, IPS: hệ thống phát ngăn chặn xâm nhập hoàn toàn mới, khả bảo vệ email • Bên cạnh có vô số thứ khác thay đổi để việc quản lý hàng ngày TMG trở nên dễ dàng * Chức Forefont TMG 2010: - Forefont TMG 2010 đáp ứng đầy đủ tất tính firewall Được đa số doanh nghiệp vừa nhỏ triển khai chi phí thấp, dễ sử dụng, đáp ứng mô hình mạng Được phát triển dựa phiên ISA 2006 Microsoft thành công trước * Các tính trội Forefont TMG 2010: - Enhanced Voice over IP: cho phép kết nối & sử dụng VoIP thông qua TMG - ISP Link Redundancy: hỗ trợ load balancing & failover cho nhiều đường internet từ ISP - Web anti-malware: quét virus, phần mềm độc hại & mối đe dọa khác truy cập web - URL filtering: cho phép cấm truy cập trang web theo danh sách, theo phân loại, theo nội dung sẵn có như: nội dung khiêu dâm, ma túy, mua sắm, chat - HTTPS inspection: kiểm soát gói tin mã hóa HTTPS để phòng chống phần mềm độc hại & kiểm tra tính hợp lệ SSL Certificate - E-mail protection subscription service: tích hợp với Forefront Protection 2010 for Exchange Server & Exchange Edge Transport Server để kiểm soát viruses, malware, spam e-mail hệ thống Mail Exchange - Network Inspection System (NIS): ngăn chặn công dựa vào lỗ hổng bảo mật - Network Access Protection (NAP) Integration: tích hợp với NAP để kiểm tra tình trạng an toàn client trước cho phép client kết nối VPN - Security Socket Tunneling Protocol (SSTP) Integration: Hỗ trợ VPNSSTP - Windows Server 2008 with 64-bit support: Hỗ trợ Windows Server 2008 & Windows Server 2008 R2 64-bit 4.1.2 Cài đặt Đầu tiên ta chạy file cài đặt lên Cửa sổ Welcome to the Preparation Tool for Microsoft Forefront Threat Management Gateway (TMG), kích Next Hình 4.1 Giao diện ban đầu Cửa sổ License Agreement, tích dấu kiểm vào hộp kiểm I accept the terms of the License Agreements, sau kích Next Ở bạn phải chấp nhận thỏa thuận đăng ký cho Microsoft Chart Controls for Microsoft NET Framework 3.5 and 3.5 SP1 Microsoft Windows Installer 4.5 Màn hình Installation Type, bạn có ba tùy chọn: • Forefront TMG services and Management: : tùy chọn cài đặt thành phần cần thiết để hoạt động tường lửa TMG proxy quản lý giao diện điều khiển • Forefront TMG Management only: : tùy chọn cài đặt thành phần yêu cầu quản lý từ xa TMG • Enterprise Management Server (EMS) for centralized array management: Tùy chọn cài đặt thành phần cần thiết để hoạt động Enterprise Management Server Bạn phải có máy chủ cài đặt với vai trò để tạo tham gia mảng doanh nghiệp Thành phần không cần thiết cho độc mảng chọn tùy chọn Forefront TMG services and Management Kích Next Trong trang Preparing System, bạn thấy tiến trình cài đặt cho phần mềm tiên Hình 4.2 Tiến trình chạy Trang Preparation Complete thể phần mềm tiên cài đặt thành công Lúc hình chào Welcome to the Installation Wizard for Forefront TMG Enterprise xuất Kích Next để cài đặt TMG EE Trong trang License Agreement, chọn tùy chọn I accept the terms in the license agreement kích Next Nhập vào thông tin khách hàng (tên người dùng, tổ chức số sản phẩm) trang Customer Information kích Next Hình 4.3 Nhập thông tin key Trong trang Installation Path, bạn sử dụng đường dẫn mặc định chọn đường dẫn riêng để định nơi muốn cài đặt file TMG firewall Trong ví dụ này, sử dụng đường dẫn mặc định kích Next Ở bạn gặp trang Define Internal Network Với TMG firewall, với ISA firewall, Internal Network mặc định nơi dịch vụ sở hạ tầng lõi bạn chứa; chúng gồm có Active Directory, DNS, DHCP WINS Bạn thay đổi định nghĩa sau thích, nheien cần phải có khả truy cập vào tài nguyên trình cài đặt, phải định nghĩa Internal Network mặc định vào lúc Kích nút Add trang Define Internal Network Khi bạn bắt gặp hộp thoại Addresses Có vài cách để bổ sung địa cho Internal Network mặc định, nhiên phương pháp ưa thích mà thực sử dụng phương pháp Add Adapter Kích Add Adapter Hình 4.4 Thêm Adapter Trong hộp thoại Select Network Adapters, chọn LAN NIC (hoặc tên mà bạn định nghĩa cho NIC đó), sau tích dấu kiểm vào hộp chọn cho NIC Bảo đảm thông tin phần Network adapter details phản ánh chi tiết NIC mà bạn chọn Tiếp đến kích OK Các địa có liên quan đến NIC bên lúc xuất hộp văn Addresses Các địa dựa entry bảng định tuyến tường lửa – n ếu bạn chưa cấu hình entry bảng định tuyến tường lửa địa không xác cách toàn bộ, nhiên vấn đề khắc phục sau Hình 4.5 Bấm ok để tiếp tục Kích Next trang Define Internal Network Hình 4.6 dải IP Như trình cài đặt ISA firewall, số dịch vụ cần khởi động lại vô hiệu hóa bạn cài đặt TMG firewall Trong trường hợp này, dịch vụ gồm có: • SNMP service • IIS Admin service • WWW Publishing Service • Microsoft Operations Manager Service Lưu ý: TMG không nói chúng cài đặt – cho bạn biết chúng cài đặt hay chưa, hay chúng bị vô hiệu hóa khởi động lại Kích Next Kích Install cửa sổ Ready to Install the Program Thanh bar tiến trình thể cho bạn biết tiến trình cài đặt Một hộp thoại khác xuất cung cấp cho bạn thông tin chi tiết Lưu ý số ước lượng Lúc Installation Wizard hoàn tất, bạn nghĩ kết thúc Trước đây, với ISA firewall cũ bạn cần thực bước vào giao diện ISA firewall cấu hình Networks, Access Rules thành phần khác để chúng làm việc Nếu bạn chọn Launch Forefront TMG Management wizard đóng có ba wizard khác khởi chạy cuối trình cài đặt 4.1.3 Tạo sách bảo mật SCW Mở SCW cách chọn Start/Administrative Tools kích biểu tượng Security Configuration Wizard Hình 4.7 Cửa sổ welcome Chọn hành động mà bạn muốn thực Với mục đích đây, chọn tùy chọn Create a new security policy Khi kết thúc việc tạo sách, chỉnh sửa, áp dụng, roll back (thay cho cũ không hợp thời) sách sau cần SCW sử dụng máy tính từ xa nội Chúng ta cấu hình sách cho máy nội Hình 4.8 SCW bắt đầu trình Security Configuration Database Khi hoàn tất, kích View Configuration Database để xác nhận Forefront Threat Management Gateway server role có sở liệu Hình 4.9 Quá trình Security Configuration Database Lưu ý: Bạn nhận cảnh báo bảo mật Khi kích Yes để xem sở liệu cấu hình Hình 4.10 Cảnh báo Kích vào mũi tên để mở rộng Server Roles, sau xác nhận Microsoft Forefront Threat Management Gateway (TMG) xuất danh sách Khi hoàn tất, đóng cửa sổ để trở SCW Hình 4.11 - Các role, tính năng, tùy chọn dịch vụ SCW lúc bắt đầu cấu hình dịch vụ theo role SCW cấu hình sách bảo mật dựa role tính cài đặt hệ thống Một số role cài đặt chọn mặc định Kích vào mũi tên bên cạnh role để xem thêm thông tin bổ sung role Xác nhận role chọn, sau chọn Microsoft Forefront Threat Management Gateway (TMG) role Nếu TMG firewall bạn cung cấp dịch vụ VPN, chọn Remote access/VPN server role Hình 4.12 Một vài tính cài đặt chọn mặc định Xem lại lựa chọn chọn thực điều chỉnh cần Cho ví du, bạn vô hiệu hóa Microsoft Networking Client kích hoạt WINS client hoàn toàn phụ thuộc vào yêu cầu bảo mật bạn Hình 4.13 Một số tùy chọn Một số tùy chọn cài đặt trước chọn mặc định Tương tự trên, xem lại lựa chọn chọn điều chỉnh cần Xem lại danh sách cách cẩn thận mặc định có tính không sử dụng thường xuyên (chẳng hạn Microsoft Fibre Channel Platform Registration Service) Lưu ý bạn muốn kết nối với TMG firewall Remote Desktop Services (RDP), chọn Remote Desktop role (nó không chọn mặc định) Hình 4.14 Thêm tùy chọn Remote Desktop Xem lại danh sách dịch vụ bổ sung điều chỉnh cần Các dịch vụ liệt kê (đã chọn) kích hoạt; lại tất dịch vụ khác bị vô hiệu hóa Định nghĩa cách SCW quản lý dịch vụ không định chạy hệ thống chọn sở liệu cấu hình bảo mật Chọn tùy chọn tốt cho yêu cầu bạn Hãy thực cách cẩn thận, việc chọn sai gây số hệ không dự định Hình 4.15 Xem lại danh sách thay đổi mà bạn vừa tạo cho dịch vụ hệ thống Nếu bạn chọn tùy chọn vô hiệu hóa dịch vụ không định, cần bảo đảm kiểm tra danh sách cách cẩn thận Quan tâm đến dịch vụ mà sách vô hiệu hóa mà chế độ khởi động hành tự động Bạn phân loại danh sách Current Startup Mode cách kích tiêu đề cột Hình 4.16 danh sách service KẾT LUẬN Sau khoảng thời gian gần tháng nghiên cứu tìm hiểu thực đề tài Quản trị bảo mật hệ thống mạng công ty Graphic Việt Nam Là đề tài hay thiết thực với việc nghiên cứu cho công ty Graphic Đề tài quản trị mạng lần đầu tìm hiểu bắt tay vào làm em thấy hệ thống quản trị mạng lớn Những tìm hiểu đồ án em dừng lại chi tiết môn quản trị mạng Trong đồ án em thực việc Cài đặt nâng cấp máy chủ Domain Controller Thực cài đặt cấu hình chạy thử dịch vụ windows server 2008 DNS , DHCP, FTP Tiếp theo việc thiết lập quản lý sách người dùng, cấp quyền sử dụng truy cập tài nguyên Về phần bảo mật, em vào tìm hiểu TMG 2010 hỗ trợ bảo mật windows server 2008 Các thiết lập rules quản lý cho người dùng Dù dành thời gian cố gắng thực đề tài nhiên nhiều chỗ thiếu sót không tránh khỏi Một lần em xin chân thành cảm ơn Thầy Phạm Văn Hiệp tận tình bảo hướng dẫn cho em thực đồ án tốt nghiệp Tài Liệu Tham Khảo Sách tham khảo [1] - Nguyễn Thúc Hải, Mạng máy tính hệ thống mở, Nhà xuất giáo dục, 1999 [2] - Trần Văn Thành, Mạng máy tính, Nhà xuất Đại học Quốc gia Tp.HCM [3] - Trần Văn Thành, Quản trị Windows Server 2003, Nhà xuất Đại học Quốc gia Tp.HCM [4] - Tiêu Đông Nhơn, Dịch vụ mạng Windows 2003, Nhà xuất Đại học Quốc gia Tp.HCM [5] - Trung tâm đào tạo Lập trình viên quốc tế Bách Khoa – Aptech, Windows Server 2003, Nhà xuất Tập đoàn Aptech WorldWide, 2006 [6] - K.S Ngọc Tuấn, Quản trị mạng ứng dụng Active Directory, Nhà xuất Thống Kê, 2004 Website - http://www.tuhocanninhmang.com/ - http://quantrimang.com/ - http://genk.vn - https://vi.wikipedia.org/wiki/ - http://demo.webico.vn/ - http://kythuatphancung.vn/ - https://www.vnnic.vn/ - https://www.youtube.com/ - support.microsoft.com/ ... Quản trị bảo mật hệ thống mạng cho công ty Graphic Việt Nam gồm có phần : - Giới thiệu hệ thống mạng công ty Graphic : Giới thiệu máy phòng ban nhu cầu bảo mật quản trị hệ thống mạng công ty. .. dùng hệ thống mạng Mục Lục Chương GIỚI THIỆU HỆ THỐNG MẠNG CÔNG TY GRAPHIC VIỆT NAM 1.1 Đôi nét công ty Graphic Công Ty Cổ Phần Graphic Việt Nam công ty phần mềm với 100% vốn Nhật Bản Công ty. .. tiêu công ty trở thành công ty phần mềm hàng đầu Việt Nam Châu Á Hiện trụ sở công ty Graphic Việt Nam đặt 165 Bà Triệu – Hai Bà Trưng – Hà Nội với quy mô nhân 30 người Hàng năm Graphic Việt Nam