MỤC LỤC1.Windows Server Update Services(WSUS)31.1.Tổng quan về Windows Server Update Services31.2.Mô hình triển khai WSUS31.3.Cài đặt Windows Server Update Services trên Window server 200841.4.Cài đặt Windows Server Update Services trên Window server 2012181.5.Các tính năng của WSUS412.Auditing432.1.Tổng quan về Auditing432.2.Ứng dụng thực tiễn432.3.Chức năng mới và được thay đổi so với window server 2008442.4.Cài đặt auditing trên window server 2012453.Encrypting File System (EFS)503.1.Cách EFS kiểm soát việc truy cập dữ liệu503.2.Mã hóa dữ liệu trong EFS503.3.Các tình huống an ninh EFS sử dụng523.4.Tình huống không nên sử dụng EFS523.5.EFS cần cân nhắc trước khi triển khai533.6.Triển khai EFS trong môi trường Window Servcer 2008533.7.Triển khai EFS trong môi trường Windows Server 2012 R2603.8.Kết Luận631.Windows Server Update Services(WSUS)1.1.Tổng quan về Windows Server Update ServicesWindows Server Update Services (WSUS) là dịch vụ cung cấp cho các quản trị viên có khả năng kiểm soát các bản cập nhật khi được phân phối và cài đặt trên một mạng riêng, cho phép các tổ chức kiểm tra bản cập nhật trước khi chúng được áp dụng cho Client và làm giảm nguy cơ tiềm ẩn về các lỗ hổng bảo mật. Mặc dù Client có thể dựa vào Microsoft Update để trực tiếp cài đặt các bản vá khi máy tính nối mạng nhưng điều này sẽ không có quản trị tập trung, báo cáo hoặc khả năng hướng tới một mục tiêu cho các nhóm cụ thể của client, vì vậy nó chỉ thích hợp trong việc sử dụng máy tính gia đình hoặc các doanh nghiệp nhỏ không yêu cầu hỗ trợ nhiều về CNTT.1.2.Mô hình triển khai WSUSMô hình đơn giản với 1 server WSUS WSUS server kết nối Microsoft Update và download các bản cập nhật. Quá trình này khi cấu hình trên server gọi là synchronization. Trong quá trình synchronization, WSUS sẽ xác định các bản cập nhật mới hơn so với lần kết nối gần nhất và download về, sau đó các máy tính client trong hệ thống sẽ download từ server WSUS theo chính sách được đăt trước từ người quản trị viên.Mô hình nhiều server WSUS Chúng ta có thể triển khai nhiều server WSUS, trong trường hợp này sẽ có ít nhất 1 upstream WSUS và 1 downstream WSUS.1.3.Cài đặt Windows Server Update Services trên Window server 2008•Cài đặt Microsoft Report Viewer 2008 redistributable 2008:Bước 1: Đăng nhập Domain Admin, chạy tệp ReportViewerBước 2: Màn hình Setup chọn Next.Bước 3: Màn hình License Terms, đánh dấu chọn I have read and accept License Terms. Chọn Next. Sau khi cài xong chọn Finish
Trang 1KHOA CÔNG NGHỆ THÔNG TIN
Trang 2Lời nói đầu
Các dịch vụ nâng cấp máy chủ Windows (WSUS) của Microsoft là một giải pháp quản lý bản vá lỗi cho khối doanh nghiệp Sử dụng WSUS, các quản trị mạng có thể quản
lý và triển khai các nâng cấp phần mềm cho tất cả các sản phẩm trong một mạng của Microsoft Gồm có trong đó các hệ điều hành máy khách như Windows XP và Windows Vista, các hệ điều hành máy chủ như Windows Server 2003 và Windows Server 2008,
cùng với các sản phẩm khác như Microsoft Exchange, ISA Server và Forefront Security
Để giúp chúng ta có thể giám sát được các hoạt động của hệ thống thì chính sách Auditing là là một sự lựa chọn thích hợp với nhiều cài đặt đa năng phục vụ cho việc ghi log, ngoài ra ta cũng có thể xuất ra file để có thể lưu trữ dễ dàng hơn Encrypting File System một hệ thống mã hóa tệp nhằm giúp bảo vệ dữ liệu mà bất cứ một phiên bản window server nào cũng cần Để hiểu rõ hơn về 3 công cụ này, nhóm 3 xin được giới thiểu và triển khai ở trên 2 server là 2008 và 2012 Tài liệu này không tránh được sai sót, mong thầy góp ý để nhóm 3 có thể hoàn thiện bài tốt hơn MỤC LỤC 1 Windows Server Update Services(WSUS) 3
1.1 Tổng quan về Windows Server Update Services 3
1.2 Mô hình triển khai WSUS 3
1.3 Cài đặt Windows Server Update Services trên Window server 2008 4
1.4 Cài đặt Windows Server Update Services trên Window server 2012 18
1.5 Các tính năng của WSUS 41
2 Auditing 43
2.1 Tổng quan về Auditing 43
2.2 Ứng dụng thực tiễn 43
2.3 Chức năng mới và được thay đổi so với window server 2008 44
2.4 Cài đặt auditing trên window server 2012 45
3 Encrypting File System (EFS) 50
1
Trang 33.1 Cách EFS kiểm soát việc truy cập dữ liệu 50
3.2 Mã hóa dữ liệu trong EFS 50
3.3 Các tình huống an ninh EFS sử dụng 52
3.4 Tình huống không nên sử dụng EFS 52
3.5 EFS cần cân nhắc trước khi triển khai 53
3.6 Triển khai EFS trong môi trường Window Servcer 2008 53
3.7 Triển khai EFS trong môi trường Windows Server 2012 R2 60
3.8 Kết Luận 63
1 Windows Server Update Services(WSUS)
1.1 Tổng quan về Windows Server Update Services
Windows Server Update Services (WSUS) là dịch vụ cung cấp cho các quản trị viên
có khả năng kiểm soát các bản cập nhật khi được phân phối và cài đặt trên một mạng riêng, cho phép các tổ chức kiểm tra bản cập nhật trước khi chúng được áp dụng cho Client và làm giảm nguy cơ tiềm ẩn về các lỗ hổng bảo mật Mặc dù Client có thể dựa vào Microsoft Update để trực tiếp cài đặt các bản vá khi máy tính nối mạng nhưng điều này sẽ không có quản trị tập trung, báo cáo hoặc khả năng hướng tới một mục tiêu cho các nhóm
cụ thể của client, vì vậy nó chỉ thích hợp trong việc sử dụng máy tính gia đình hoặc các doanh nghiệp nhỏ không yêu cầu hỗ trợ nhiều về CNTT
1.2 Mô hình triển khai WSUS
- Mô hình đơn giản với 1 server WSUS
2
Trang 4WSUS server kết nối Microsoft Update và download các bản cập nhật Quá trình nàykhi cấu hình trên server gọi là synchronization Trong quá trình synchronization, WSUS
sẽ xác định các bản cập nhật mới hơn so với lần kết nối gần nhất và download về, sau đócác máy tính client trong hệ thống sẽ download từ server WSUS theo chính sách được đăttrước từ người quản trị viên
- Mô hình nhiều server WSUS
Chúng ta có thể triển khai nhiều server WSUS, trong trường hợp này sẽ có ít nhất 1upstream WSUS và 1 downstream WSUS
1.3 Cài đặt Windows Server Update Services trên Window server 2008
Cài đặt Microsoft Report Viewer 2008 redistributable 2008 :
Bước 1: Đăng nhập Domain Admin, chạy tệp ReportViewer
Bước 2: Màn hình Setup chọn Next.
Bước 3: Màn hình License Terms, đánh dấu chọn I have read and accept License Terms Chọn Next Sau khi cài xong chọn Finish
3
Trang 5 Cài đặt WSUS :
Bước 1: Mở source cài đặt WSUS 3.0 SP2 (64Bit), chạy file WSUS30-KB972455x64
4
Trang 6Bước 2: Màn hình Welcome, chọn Next.
5
Trang 7Bước 3: Cửa sổ Installation Mode Selection, chọn Full server installation including Administration Console Chọn Next.
6
Trang 8Bước 4: Cửa sổ License Agreement, chọn I accept the Terms of the License agreement, chọn Next.
7
Trang 9Bước 5: Ở cửa sổ Select Update Source, chọn đường dẫn lưu cấu hình WSUS Chọn Next.
Lưu ý các IF… tại đây trước khi bạn muốn thay đổi đường dẫn lưu trữ.
8
Trang 10Bước 6: Màn hình Database Options Chọn Vị trí lưu database cho WSUS Chọn Next.
9
Trang 1110
Trang 12Bước 7: Cửa sổ Web Site Selection, chọn mặc định Use the existing IIS Default Web site ,chọn Next.
Đến cửa sổ Ready to Install Windows Server Update Services 3.0 SP2 Chọn
Next.
Chờ đến khi quá trình cài đặt kết thúc chọn Finish
11
Trang 13Bước 8: Mục Before You Begin, chọn Next.
Đến mục Màn hình Join the Microsoft Update Improvement Program, chọn
Trang 14Bước 9: Mục Connect to Upstream Server, chọn Start Connecting.
Tại đây Server WSUS sẽ kiểm tra thông tin cần thiết để download Ấn next sau đó
13
Trang 15Bước 10: Màn hình Choose Languages, chọn mặc định English Chọn Next.
14
Trang 16Bước 11: Màn hình Choose Products, chọn các sản phẩm cần cập nhật từ Microsoft.
15
Trang 17Bước 12:Cửa sổ Choose Classifications, đánh dấu chọn All Classifications hoặc tùy
chọn Chọn Next.
16
Trang 18Bước 13: Màn hình Set Sync Schedule, lập lịch cập nhật bản vá lỗi từ Microsoft.
Chọn Next, next, đợi chạy xong và ấn Finish
17
Trang 191.4 Cài đặt Windows Server Update Services trên Window server 2012
Cài đặt WSUS
Bước 1: Đăng nhập tài khoản administrator
Bước 2: Mở Server Manager có sẵn trên taskbar hoặc trong mục srart
Bước 3: Trong Server Manager, lựa chọnAdd Roles and Features
18
Trang 20Bước 4: Lựa chọnRole-based or feature-based install ở trangInstall type, bấm Next.
19
Trang 21Bước 5: Ở cửa sổ Server Selectionlựa chọn Select a server from the server pool,
bấm Next
20
Trang 22Bước 6: Lựa chọn Windows Server Update Services , bấm Next, sau đó bấmAdd Features khi cửa sổ hộp thoại yêu cầu cài đặt tính năng cho WSUS xuất hiện Bấm Next
21
Trang 23Bước 7: Bấm Next trên mục Features, sau đó bấm Next ở màn hình Windows Server Update Services.
22
Trang 24Bước 8: Tiếp đến mục Role Services, chọnWID DatabasevàWSUS Servicessau đó
bấm Next.
23
Trang 25Bước 9: Ở mục Content Localtion Selection, gõ đường dẫn sẽ chứa update của
WSUS Ở đây nhóm sẽ sử dụng đường dẫn là c:\nhom3 Bấm Next cho đến
mụcConfirmation, ấn Install.
24
Trang 26Bước 10 Bấm Close sau khi quá trình cài đặt hoàn tất.
Bước 11: Bấm vào biểu tượng lá cờ và chọn mục post-deployment Config
25
Trang 27Bước 12: Chọn mục tool, chọn vào mục window server update services, ấn Next
26
Trang 28Bước 13: Ở mục Choose UpstreamServer hiện ra Có 2 tùy chọn Một là đồng bộ từ
Microsoft update Hai là đồng bộ từ một máy chủ update khác, cách này dùng đồng bộ
WSUS chi nhánh khi có 1 WSUS server tổng Bấm next
27
Trang 29Bước 14: Ở mục Specify Proxy Server Nếu có proxy server thì ta sẽ chỉ ra địa chỉ
và cổng proxy, nếu không thì để mặc định Sau đó ấn next.
28
Trang 30Bước 15: Ở mục connect to upstream server Lúc này kết nối đến trang Microsoft
update để cấu hình Yêu cầu bước này phải có mạng để kết nối Chờ đợi sau khi chạy hết,
thì ấn next
29
Trang 31Bước 16: Ở mục choose language hiện ra Chọn ngôn ngữ để update Ấn
next để tiếp tục.
30
Trang 32Bước 17: Mục Choose product hiện ra, chọn sản phẩm cần cập nhật, ấn Next
31
Trang 33Bước 18: Mục Choose Classification hiện ra, chọn kiểu cập nhật và ấn next
32
Trang 34Bước 19: Chọn thời điểm đồng bộ và ấn next Bảng finish hiện ra, ấn finish để kết
thúc Cửa sổ update service hiện ra là cấu hình thành công.
33
Trang 35 Cài đặt cấu hình cho các máy khách
Bước 1: chọn mục tool, chọn Group Policy Management
34
Trang 36Bước 2: Cửa sổ Group poicy management Forest: nhom3.com Domains nhom3.com Bấm chuột phải vào Default domain chọn edit Cửa sổ Group Policy
management editor hiện ra.
35
Trang 37Bước 3: Chọn Computer Configuration Policies Admintrative templates
Windows components window update.
36
Trang 38Bên phải cửa sổ, tiến hành chỉnh sửa các tệp cài đặt Automatic configure updates,
Specify intranet Microsoft update service…, Automatic update detection frequence
bằng cách bấm vào từng mục
37
Trang 39Bước 4: Ở cửa sổ configure Automatic Updates, chọn Enable Ở mục configure automatic updates chọn Auto download and schedule the install
38
Trang 40Bước 5: Cấu hình Specify intranet microsoft updates service location Chọn enable Gõ vào Set the intranet… địa chỉ của máy chủ WSUS cần cập nhật Ở đây là
http://192.168.1.150:8530 hoặc cũng có thể gõ tên máy chủ.
39
Trang 41Bước 7: Chỉnh sửa cấu hình Automatic Updates delection frequency Chỉnh sửa
thời gian kiểm tra update Ta đặt enable và đặt thời gian Ấn Ok để hoàn tất.
Bước 8: Vào cmd gõ gpupdate /force để cập nhật các chính sách bảo mật đã áp dụng
ở trên
40
Trang 42Bước 9: Kiểm tra
Cài đặt 1 máy khách với chính sách update từ máy chủ Kiểm tra trong Computers
của WSUS đã thấy máy đó tồn tại Như vậy cài đặt hoàn tất
41
Trang 431.5 Các tính năng của WSUS
Updates
- Chỉ ra các bản updates mà WSUS đã đồng bộ được từ Microsoft updates
service.
+ All update: Thống kê tất cả các bản update.
+ Critical update: Chỉ thống kê các bản vá lỗi
+ Sencurity updates: Chỉ thống kê các bản vá lỗi bảo mật.
+ WSUS update: Thống kê các bản update mà các máy đã update theo nó.
42
Trang 44 Computers :
- Hiện tất cả các máy đang sử dụng hệ thống WSUS
- Thêm nhóm cho các WSUS bằng cách tạo tạo nhóm mới(New window from
here) và chuyển các máy tính muốn update vào cũng 1 nhóm để có thể cập
nhật theo từng nhóm
Khác:
Ngoài ra còn có các mục như Downstream Servers, Synchronizations, Reports
để ghi các thông tin tải xuống Và Option dùng để cấu hình lại nếu muốn thay đổi
43
Trang 452 Auditing
2.1 Tổng quan về Auditing
Auditing là một công cụ mạnh để giúp duy trì sự an toàn của doanh nghiệp Auditing
có thể được sử dụng cho nhiều mục đích, bao gồm phân tích pháp y, tuân thủ quy định,giám sát hoạt động của người dùng và xử lý sự cố Các quy định về công nghiệp ở cácquốc gia hoặc khu vực yêu cầu các doanh nghiệp phải thực hiện một bộ quy tắc nghiêmngặt liên quan đến bảo mật và bảo mật dữ liệu Auditing có thể giúp thực hiện các chínhsách đó và chứng minh rằng các chính sách này đã được thực hiện Ngoài ra, Auditing cóthể được sử dụng cho việc phân tích pháp y, để giúp các quản trị viên phát hiện hành vibất thường, để xác định và giảm thiểu các khoảng trống trong chính sách bảo mật và đểngăn chặn hành vi vô trách nhiệm bằng cách theo dõi các hoạt động của người dùng quantrọng
2.2 Ứng dụng thực tiễn
Ta có thể sử dụng Windows security và nhật ký hệ thống để tạo ra một hệ thống theodõi sự kiện bảo mật, ghi lại và lưu trữ các hoạt động mạng có liên quan đến các hành vi cóthể gây hại và để giảm thiểu những rủi ro đó Ta có thể cho phép audit dựa trên các loại sựkiện bảo mật như:
- Thay đổi đối với tài khoản người dùng và quyền của tài nguyên
- Lỗi không thành công của người dùng đăng nhập
- Không thành công khi truy cập tài nguyên
- Thay đổi tệp hệ thống
Trong Windows Server 2008 R2 và Windows 7, số lượng cài đặt chính sách kiểm trabảo mật đã tăng từ 9 lên 53 và tất cả các khả năng kiểm toán đã được tích hợp với GroupPolicy Điều này cho phép các quản trị viên cấu hình, triển khai và quản lý một loạt cáccài đặt trong Bảng điều khiển Quản lý Nhóm (GPMC) hoặc Chính sách an ninh cục bộcho một miền, trang web hoặc đơn vị tổ chức (OU) Điều này làm cho các chuyên giaCNTT dễ dàng theo dõi khi các hoạt động quan trọng được thực hiện trên mạng Để biếtthêm thông tin, hãy xem Cài đặt chính sách kiểm tra bảo mật nâng cao
44
Trang 462.3 Chức năng mới và được thay đổi so với window server 2008
Không có thay đổi mới trong chức năng kiểm soát an ninh trong Windows Server
Cải thiện khả năng quản lý các chính sách Auditing Việc giới thiệu Kiểm toán Truycập Đối tượng Toàn cầu cung cấp một phương tiện hữu hiệu để thực thi việc áp dụng cácchính sách kiểm toán về tài nguyên Kết hợp Auditing Truy cập đối tượng Toàn cầu vớicác xác nhận quyền sở hữu và Quản lý Truy cập Năng động cho phép bạn thực hiện cơchế thực thi toàn cầu này và áp dụng nó vào một nhóm các hoạt động chính xác hơn.Cải thiện khả năng xác định dữ liệu Auditing quan trọng Sự kiện truy cập dữ liệuhiện có có thể ghi lại thông tin bổ sung liên quan đến yêu cầu của người dùng, máy tính
và tài nguyên Điều này làm cho các công cụ thu thập và phân tích sự kiện dễ dàng hơnđược cấu hình để có được dữ liệu sự kiện có liên quan nhanh nhất
Cho phép kiểm tra an ninh của thiết bị lưu trữ di động Sự phổ biến ngày càng tăngcủa các thiết bị lưu trữ di động làm cho họ cố gắng sử dụng một mối quan tâm bảo mậtđáng kể cần được theo dõi
Kiểm toán dựa trên xác nhận quyền sở hữu dẫn đến các chính sách kiểm toán chínhxác và dễ quản lý hơn Nó cho phép các kịch bản đã được không thể hoặc quá khó khăn
để cấu hình Ngoài những cải tiến này, các sự kiện và danh mục kiểm tra mới để theo dõicác thay đổi đối với các yếu tố chính sách kiểm soát quyền truy cập động (DAC) baogồm:
- Thuộc tính tài nguyên trên tệp tin
- Chính sách truy cập trung tâm có liên quan đến tệp
- Xác nhận người dùng và thiết bị
- Định nghĩa tài nguyên tài nguyên
45
Trang 47- Chính sách truy cập trung tâm và các định nghĩa quy tắc truy cập trung tâm
2.4 Cài đặt auditing trên window server 2012
Vì cài đặt của 2008 tương tự với 2012 nên ở đây ta sẽ chỉ nói đến 2012
Xem các sự kiện trên audit
Để xem lại nhật ký của các sự kiện trong auditing ta bấm chuột phải vào biểu tượng
window, chọn Event Viewer Window logs Security
Ta cũng có thể lưu log lại ở dạng file, Bấm chuột phải vào secutiry, chọn Save All
Events As Sau đó chọn vị trí và định dạng cần lưu Hệ thống sẽ sinh ra 1 file log chochúng ta dễ kiểm soát
46
Trang 48 Cài đặt
Để cài đặt Auditing ta cũng vào Group Policy management, Vào Domain Controllers
Policy Edit Computer Configuration Policies Windows Settings Security Settings Local Policies Audit Policy.
- Có 3 đối tượng mà Audit Policy đi giám sát:
+ User
+ Hệ thống
+ Ứng dụng có trên hệ thống
- Để giám sát hoạt động của User ta có các Policy :
+ Audit account logon events: Ghi lại thông tin đăng nhập của tài khoản người
dùng,
+ Audit account management: Ghi lại thay đổi, tạo mới, xóa đi một nhóm tài
khoản người dùngnó cũng có thể ghi thêm việc đổi tên, vô hiệu hóa, kích hoạt tài khoảnngười dùng…
+ Audit logon event: Ghi lại casdc hoạt động user đăng nhập hoặc đăng xuất, ngắt
kết nối mạng,
+ Audit object access: Giám sát sử dụng tài nguyên trái phép,
- Để giám sát hoạt động của hệ điều hành ta có các Policy
+ Audit Directory Service Access:Thiết lập này ghi lại truy xuất đến một đối
tượng Active Directory của User
+ Audit Policy change: Ghi lại thay đổi với các chính sách kiểm định, quyền user
và thiết lập bảo mật user
+ Audit system events: Ghi lại sự kiện bật tắt máy tính
+ Audit Privilege Use: Ghi lại thay đổi đối với chính sách kiểm định, quyền user
- Để giám sát sự tương tác của ứng dụng nào đó trên hệ thống như thế nào
+ Audit process tracking: ghi lại các tiến trình được thực thi trong hệ thống
47
Trang 49Ta vào từng mục để cấu hình theo ý của mình sau đó áp dụng chính sách bằng cách
dùng lệnh gpupdate /force ở CMD.
48
Trang 50 Ví dụ : Để giám sát người dùng đăng nhập thành công hoặc không thành công ta
chọn vào Audit logon events sẽ hiện ra cửa sổ để ta tùy chọn Chọn vào mụcDefine these policy settings, ở đó có 2 mục là success, failure là 2 trạng thái đăngnhập thành công hoặc không thành công
49