1. Trang chủ
  2. » Công Nghệ Thông Tin

Tìm hiểu và triển khai WSUS, Auditing and EFS trên Windows Server 2008 và 2012

68 2,3K 15

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 68
Dung lượng 4,74 MB

Nội dung

MỤC LỤC1.Windows Server Update Services(WSUS)31.1.Tổng quan về Windows Server Update Services31.2.Mô hình triển khai WSUS31.3.Cài đặt Windows Server Update Services trên Window server 200841.4.Cài đặt Windows Server Update Services trên Window server 2012181.5.Các tính năng của WSUS412.Auditing432.1.Tổng quan về Auditing432.2.Ứng dụng thực tiễn432.3.Chức năng mới và được thay đổi so với window server 2008442.4.Cài đặt auditing trên window server 2012453.Encrypting File System (EFS)503.1.Cách EFS kiểm soát việc truy cập dữ liệu503.2.Mã hóa dữ liệu trong EFS503.3.Các tình huống an ninh EFS sử dụng523.4.Tình huống không nên sử dụng EFS523.5.EFS cần cân nhắc trước khi triển khai533.6.Triển khai EFS trong môi trường Window Servcer 2008533.7.Triển khai EFS trong môi trường Windows Server 2012 R2603.8.Kết Luận631.Windows Server Update Services(WSUS)1.1.Tổng quan về Windows Server Update ServicesWindows Server Update Services (WSUS) là dịch vụ cung cấp cho các quản trị viên có khả năng kiểm soát các bản cập nhật khi được phân phối và cài đặt trên một mạng riêng, cho phép các tổ chức kiểm tra bản cập nhật trước khi chúng được áp dụng cho Client và làm giảm nguy cơ tiềm ẩn về các lỗ hổng bảo mật. Mặc dù Client có thể dựa vào Microsoft Update để trực tiếp cài đặt các bản vá khi máy tính nối mạng nhưng điều này sẽ không có quản trị tập trung, báo cáo hoặc khả năng hướng tới một mục tiêu cho các nhóm cụ thể của client, vì vậy nó chỉ thích hợp trong việc sử dụng máy tính gia đình hoặc các doanh nghiệp nhỏ không yêu cầu hỗ trợ nhiều về CNTT.1.2.Mô hình triển khai WSUSMô hình đơn giản với 1 server WSUS WSUS server kết nối Microsoft Update và download các bản cập nhật. Quá trình này khi cấu hình trên server gọi là synchronization. Trong quá trình synchronization, WSUS sẽ xác định các bản cập nhật mới hơn so với lần kết nối gần nhất và download về, sau đó các máy tính client trong hệ thống sẽ download từ server WSUS theo chính sách được đăt trước từ người quản trị viên.Mô hình nhiều server WSUS Chúng ta có thể triển khai nhiều server WSUS, trong trường hợp này sẽ có ít nhất 1 upstream WSUS và 1 downstream WSUS.1.3.Cài đặt Windows Server Update Services trên Window server 2008•Cài đặt Microsoft Report Viewer 2008 redistributable 2008:Bước 1: Đăng nhập Domain Admin, chạy tệp ReportViewerBước 2: Màn hình Setup chọn Next.Bước 3: Màn hình License Terms, đánh dấu chọn I have read and accept License Terms. Chọn Next. Sau khi cài xong chọn Finish

Trang 1

KHOA CÔNG NGHỆ THÔNG TIN

Trang 2

Lời nói đầu

Các dịch vụ nâng cấp máy chủ Windows (WSUS) của Microsoft là một giải pháp quản lý bản vá lỗi cho khối doanh nghiệp Sử dụng WSUS, các quản trị mạng có thể quản

lý và triển khai các nâng cấp phần mềm cho tất cả các sản phẩm trong một mạng của Microsoft Gồm có trong đó các hệ điều hành máy khách như Windows XP và Windows Vista, các hệ điều hành máy chủ như Windows Server 2003 và Windows Server 2008,

cùng với các sản phẩm khác như Microsoft Exchange, ISA Server và Forefront Security

Để giúp chúng ta có thể giám sát được các hoạt động của hệ thống thì chính sách Auditing là là một sự lựa chọn thích hợp với nhiều cài đặt đa năng phục vụ cho việc ghi log, ngoài ra ta cũng có thể xuất ra file để có thể lưu trữ dễ dàng hơn Encrypting File System một hệ thống mã hóa tệp nhằm giúp bảo vệ dữ liệu mà bất cứ một phiên bản window server nào cũng cần Để hiểu rõ hơn về 3 công cụ này, nhóm 3 xin được giới thiểu và triển khai ở trên 2 server là 2008 và 2012 Tài liệu này không tránh được sai sót, mong thầy góp ý để nhóm 3 có thể hoàn thiện bài tốt hơn MỤC LỤC 1 Windows Server Update Services(WSUS) 3

1.1 Tổng quan về Windows Server Update Services 3

1.2 Mô hình triển khai WSUS 3

1.3 Cài đặt Windows Server Update Services trên Window server 2008 4

1.4 Cài đặt Windows Server Update Services trên Window server 2012 18

1.5 Các tính năng của WSUS 41

2 Auditing 43

2.1 Tổng quan về Auditing 43

2.2 Ứng dụng thực tiễn 43

2.3 Chức năng mới và được thay đổi so với window server 2008 44

2.4 Cài đặt auditing trên window server 2012 45

3 Encrypting File System (EFS) 50

1

Trang 3

3.1 Cách EFS kiểm soát việc truy cập dữ liệu 50

3.2 Mã hóa dữ liệu trong EFS 50

3.3 Các tình huống an ninh EFS sử dụng 52

3.4 Tình huống không nên sử dụng EFS 52

3.5 EFS cần cân nhắc trước khi triển khai 53

3.6 Triển khai EFS trong môi trường Window Servcer 2008 53

3.7 Triển khai EFS trong môi trường Windows Server 2012 R2 60

3.8 Kết Luận 63

1 Windows Server Update Services(WSUS)

1.1 Tổng quan về Windows Server Update Services

Windows Server Update Services (WSUS) là dịch vụ cung cấp cho các quản trị viên

có khả năng kiểm soát các bản cập nhật khi được phân phối và cài đặt trên một mạng riêng, cho phép các tổ chức kiểm tra bản cập nhật trước khi chúng được áp dụng cho Client và làm giảm nguy cơ tiềm ẩn về các lỗ hổng bảo mật Mặc dù Client có thể dựa vào Microsoft Update để trực tiếp cài đặt các bản vá khi máy tính nối mạng nhưng điều này sẽ không có quản trị tập trung, báo cáo hoặc khả năng hướng tới một mục tiêu cho các nhóm

cụ thể của client, vì vậy nó chỉ thích hợp trong việc sử dụng máy tính gia đình hoặc các doanh nghiệp nhỏ không yêu cầu hỗ trợ nhiều về CNTT

1.2 Mô hình triển khai WSUS

- Mô hình đơn giản với 1 server WSUS

2

Trang 4

WSUS server kết nối Microsoft Update và download các bản cập nhật Quá trình nàykhi cấu hình trên server gọi là synchronization Trong quá trình synchronization, WSUS

sẽ xác định các bản cập nhật mới hơn so với lần kết nối gần nhất và download về, sau đócác máy tính client trong hệ thống sẽ download từ server WSUS theo chính sách được đăttrước từ người quản trị viên

- Mô hình nhiều server WSUS

Chúng ta có thể triển khai nhiều server WSUS, trong trường hợp này sẽ có ít nhất 1upstream WSUS và 1 downstream WSUS

1.3 Cài đặt Windows Server Update Services trên Window server 2008

Cài đặt Microsoft Report Viewer 2008 redistributable 2008 :

Bước 1: Đăng nhập Domain Admin, chạy tệp ReportViewer

Bước 2: Màn hình Setup chọn Next.

Bước 3: Màn hình License Terms, đánh dấu chọn I have read and accept License Terms Chọn Next Sau khi cài xong chọn Finish

3

Trang 5

Cài đặt WSUS :

Bước 1: Mở source cài đặt WSUS 3.0 SP2 (64Bit), chạy file WSUS30-KB972455x64

4

Trang 6

Bước 2: Màn hình Welcome, chọn Next.

5

Trang 7

Bước 3: Cửa sổ Installation Mode Selection, chọn Full server installation including Administration Console Chọn Next.

6

Trang 8

Bước 4: Cửa sổ License Agreement, chọn I accept the Terms of the License agreement, chọn Next.

7

Trang 9

Bước 5: Ở cửa sổ Select Update Source, chọn đường dẫn lưu cấu hình WSUS Chọn Next.

Lưu ý các IF… tại đây trước khi bạn muốn thay đổi đường dẫn lưu trữ.

8

Trang 10

Bước 6: Màn hình Database Options Chọn Vị trí lưu database cho WSUS Chọn Next.

9

Trang 11

10

Trang 12

Bước 7: Cửa sổ Web Site Selection, chọn mặc định Use the existing IIS Default Web site ,chọn Next.

Đến cửa sổ Ready to Install Windows Server Update Services 3.0 SP2 Chọn

Next.

Chờ đến khi quá trình cài đặt kết thúc chọn Finish

11

Trang 13

Bước 8: Mục Before You Begin, chọn Next.

Đến mục Màn hình Join the Microsoft Update Improvement Program, chọn

Trang 14

Bước 9: Mục Connect to Upstream Server, chọn Start Connecting.

Tại đây Server WSUS sẽ kiểm tra thông tin cần thiết để download Ấn next sau đó

13

Trang 15

Bước 10: Màn hình Choose Languages, chọn mặc định English Chọn Next.

14

Trang 16

Bước 11: Màn hình Choose Products, chọn các sản phẩm cần cập nhật từ Microsoft.

15

Trang 17

Bước 12:Cửa sổ Choose Classifications, đánh dấu chọn All Classifications hoặc tùy

chọn Chọn Next.

16

Trang 18

Bước 13: Màn hình Set Sync Schedule, lập lịch cập nhật bản vá lỗi từ Microsoft.

Chọn Next, next, đợi chạy xong và ấn Finish

17

Trang 19

1.4 Cài đặt Windows Server Update Services trên Window server 2012

Cài đặt WSUS

Bước 1: Đăng nhập tài khoản administrator

Bước 2: Mở Server Manager có sẵn trên taskbar hoặc trong mục srart

Bước 3: Trong Server Manager, lựa chọnAdd Roles and Features

18

Trang 20

Bước 4: Lựa chọnRole-based or feature-based install ở trangInstall type, bấm Next.

19

Trang 21

Bước 5: Ở cửa sổ Server Selectionlựa chọn Select a server from the server pool,

bấm Next

20

Trang 22

Bước 6: Lựa chọn Windows Server Update Services , bấm Next, sau đó bấmAdd Features khi cửa sổ hộp thoại yêu cầu cài đặt tính năng cho WSUS xuất hiện Bấm Next

21

Trang 23

Bước 7: Bấm Next trên mục Features, sau đó bấm Next ở màn hình Windows Server Update Services.

22

Trang 24

Bước 8: Tiếp đến mục Role Services, chọnWID DatabaseWSUS Servicessau đó

bấm Next.

23

Trang 25

Bước 9: Ở mục Content Localtion Selection, gõ đường dẫn sẽ chứa update của

WSUS Ở đây nhóm sẽ sử dụng đường dẫn là c:\nhom3 Bấm Next cho đến

mụcConfirmation, ấn Install.

24

Trang 26

Bước 10 Bấm Close sau khi quá trình cài đặt hoàn tất.

Bước 11: Bấm vào biểu tượng lá cờ và chọn mục post-deployment Config

25

Trang 27

Bước 12: Chọn mục tool, chọn vào mục window server update services, ấn Next

26

Trang 28

Bước 13: Ở mục Choose UpstreamServer hiện ra Có 2 tùy chọn Một là đồng bộ từ

Microsoft update Hai là đồng bộ từ một máy chủ update khác, cách này dùng đồng bộ

WSUS chi nhánh khi có 1 WSUS server tổng Bấm next

27

Trang 29

Bước 14: Ở mục Specify Proxy Server Nếu có proxy server thì ta sẽ chỉ ra địa chỉ

và cổng proxy, nếu không thì để mặc định Sau đó ấn next.

28

Trang 30

Bước 15: Ở mục connect to upstream server Lúc này kết nối đến trang Microsoft

update để cấu hình Yêu cầu bước này phải có mạng để kết nối Chờ đợi sau khi chạy hết,

thì ấn next

29

Trang 31

Bước 16: Ở mục choose language hiện ra Chọn ngôn ngữ để update Ấn

next để tiếp tục.

30

Trang 32

Bước 17: Mục Choose product hiện ra, chọn sản phẩm cần cập nhật, ấn Next

31

Trang 33

Bước 18: Mục Choose Classification hiện ra, chọn kiểu cập nhật và ấn next

32

Trang 34

Bước 19: Chọn thời điểm đồng bộ và ấn next Bảng finish hiện ra, ấn finish để kết

thúc Cửa sổ update service hiện ra là cấu hình thành công.

33

Trang 35

Cài đặt cấu hình cho các máy khách

Bước 1: chọn mục tool, chọn Group Policy Management

34

Trang 36

Bước 2: Cửa sổ Group poicy management  Forest: nhom3.com Domains  nhom3.com Bấm chuột phải vào Default domain chọn edit Cửa sổ Group Policy

management editor hiện ra.

35

Trang 37

Bước 3: Chọn Computer Configuration Policies Admintrative templates

Windows components window update.

36

Trang 38

Bên phải cửa sổ, tiến hành chỉnh sửa các tệp cài đặt Automatic configure updates,

Specify intranet Microsoft update service…, Automatic update detection frequence

bằng cách bấm vào từng mục

37

Trang 39

Bước 4: Ở cửa sổ configure Automatic Updates, chọn Enable Ở mục configure automatic updates chọn Auto download and schedule the install

38

Trang 40

Bước 5: Cấu hình Specify intranet microsoft updates service location Chọn enable Gõ vào Set the intranet… địa chỉ của máy chủ WSUS cần cập nhật Ở đây là

http://192.168.1.150:8530 hoặc cũng có thể gõ tên máy chủ.

39

Trang 41

Bước 7: Chỉnh sửa cấu hình Automatic Updates delection frequency Chỉnh sửa

thời gian kiểm tra update Ta đặt enable và đặt thời gian Ấn Ok để hoàn tất.

Bước 8: Vào cmd gõ gpupdate /force để cập nhật các chính sách bảo mật đã áp dụng

ở trên

40

Trang 42

Bước 9: Kiểm tra

Cài đặt 1 máy khách với chính sách update từ máy chủ Kiểm tra trong Computers

của WSUS đã thấy máy đó tồn tại Như vậy cài đặt hoàn tất

41

Trang 43

1.5 Các tính năng của WSUS

Updates

- Chỉ ra các bản updates mà WSUS đã đồng bộ được từ Microsoft updates

service.

+ All update: Thống kê tất cả các bản update.

+ Critical update: Chỉ thống kê các bản vá lỗi

+ Sencurity updates: Chỉ thống kê các bản vá lỗi bảo mật.

+ WSUS update: Thống kê các bản update mà các máy đã update theo nó.

42

Trang 44

Computers :

- Hiện tất cả các máy đang sử dụng hệ thống WSUS

- Thêm nhóm cho các WSUS bằng cách tạo tạo nhóm mới(New window from

here) và chuyển các máy tính muốn update vào cũng 1 nhóm để có thể cập

nhật theo từng nhóm

Khác:

Ngoài ra còn có các mục như Downstream Servers, Synchronizations, Reports

để ghi các thông tin tải xuống Và Option dùng để cấu hình lại nếu muốn thay đổi

43

Trang 45

2 Auditing

2.1 Tổng quan về Auditing

Auditing là một công cụ mạnh để giúp duy trì sự an toàn của doanh nghiệp Auditing

có thể được sử dụng cho nhiều mục đích, bao gồm phân tích pháp y, tuân thủ quy định,giám sát hoạt động của người dùng và xử lý sự cố Các quy định về công nghiệp ở cácquốc gia hoặc khu vực yêu cầu các doanh nghiệp phải thực hiện một bộ quy tắc nghiêmngặt liên quan đến bảo mật và bảo mật dữ liệu Auditing có thể giúp thực hiện các chínhsách đó và chứng minh rằng các chính sách này đã được thực hiện Ngoài ra, Auditing cóthể được sử dụng cho việc phân tích pháp y, để giúp các quản trị viên phát hiện hành vibất thường, để xác định và giảm thiểu các khoảng trống trong chính sách bảo mật và đểngăn chặn hành vi vô trách nhiệm bằng cách theo dõi các hoạt động của người dùng quantrọng

2.2 Ứng dụng thực tiễn

Ta có thể sử dụng Windows security và nhật ký hệ thống để tạo ra một hệ thống theodõi sự kiện bảo mật, ghi lại và lưu trữ các hoạt động mạng có liên quan đến các hành vi cóthể gây hại và để giảm thiểu những rủi ro đó Ta có thể cho phép audit dựa trên các loại sựkiện bảo mật như:

- Thay đổi đối với tài khoản người dùng và quyền của tài nguyên

- Lỗi không thành công của người dùng đăng nhập

- Không thành công khi truy cập tài nguyên

- Thay đổi tệp hệ thống

Trong Windows Server 2008 R2 và Windows 7, số lượng cài đặt chính sách kiểm trabảo mật đã tăng từ 9 lên 53 và tất cả các khả năng kiểm toán đã được tích hợp với GroupPolicy Điều này cho phép các quản trị viên cấu hình, triển khai và quản lý một loạt cáccài đặt trong Bảng điều khiển Quản lý Nhóm (GPMC) hoặc Chính sách an ninh cục bộcho một miền, trang web hoặc đơn vị tổ chức (OU) Điều này làm cho các chuyên giaCNTT dễ dàng theo dõi khi các hoạt động quan trọng được thực hiện trên mạng Để biếtthêm thông tin, hãy xem Cài đặt chính sách kiểm tra bảo mật nâng cao

44

Trang 46

2.3 Chức năng mới và được thay đổi so với window server 2008

Không có thay đổi mới trong chức năng kiểm soát an ninh trong Windows Server

Cải thiện khả năng quản lý các chính sách Auditing Việc giới thiệu Kiểm toán Truycập Đối tượng Toàn cầu cung cấp một phương tiện hữu hiệu để thực thi việc áp dụng cácchính sách kiểm toán về tài nguyên Kết hợp Auditing Truy cập đối tượng Toàn cầu vớicác xác nhận quyền sở hữu và Quản lý Truy cập Năng động cho phép bạn thực hiện cơchế thực thi toàn cầu này và áp dụng nó vào một nhóm các hoạt động chính xác hơn.Cải thiện khả năng xác định dữ liệu Auditing quan trọng Sự kiện truy cập dữ liệuhiện có có thể ghi lại thông tin bổ sung liên quan đến yêu cầu của người dùng, máy tính

và tài nguyên Điều này làm cho các công cụ thu thập và phân tích sự kiện dễ dàng hơnđược cấu hình để có được dữ liệu sự kiện có liên quan nhanh nhất

Cho phép kiểm tra an ninh của thiết bị lưu trữ di động Sự phổ biến ngày càng tăngcủa các thiết bị lưu trữ di động làm cho họ cố gắng sử dụng một mối quan tâm bảo mậtđáng kể cần được theo dõi

Kiểm toán dựa trên xác nhận quyền sở hữu dẫn đến các chính sách kiểm toán chínhxác và dễ quản lý hơn Nó cho phép các kịch bản đã được không thể hoặc quá khó khăn

để cấu hình Ngoài những cải tiến này, các sự kiện và danh mục kiểm tra mới để theo dõicác thay đổi đối với các yếu tố chính sách kiểm soát quyền truy cập động (DAC) baogồm:

- Thuộc tính tài nguyên trên tệp tin

- Chính sách truy cập trung tâm có liên quan đến tệp

- Xác nhận người dùng và thiết bị

- Định nghĩa tài nguyên tài nguyên

45

Trang 47

- Chính sách truy cập trung tâm và các định nghĩa quy tắc truy cập trung tâm

2.4 Cài đặt auditing trên window server 2012

Vì cài đặt của 2008 tương tự với 2012 nên ở đây ta sẽ chỉ nói đến 2012

Xem các sự kiện trên audit

Để xem lại nhật ký của các sự kiện trong auditing ta bấm chuột phải vào biểu tượng

window, chọn Event Viewer Window logs Security

Ta cũng có thể lưu log lại ở dạng file, Bấm chuột phải vào secutiry, chọn Save All

Events As Sau đó chọn vị trí và định dạng cần lưu Hệ thống sẽ sinh ra 1 file log chochúng ta dễ kiểm soát

46

Trang 48

Cài đặt

Để cài đặt Auditing ta cũng vào Group Policy management, Vào Domain Controllers

Policy Edit Computer Configuration Policies Windows Settings Security Settings Local Policies Audit Policy.

- Có 3 đối tượng mà Audit Policy đi giám sát:

+ User

+ Hệ thống

+ Ứng dụng có trên hệ thống

- Để giám sát hoạt động của User ta có các Policy :

+ Audit account logon events: Ghi lại thông tin đăng nhập của tài khoản người

dùng,

+ Audit account management: Ghi lại thay đổi, tạo mới, xóa đi một nhóm tài

khoản người dùngnó cũng có thể ghi thêm việc đổi tên, vô hiệu hóa, kích hoạt tài khoảnngười dùng…

+ Audit logon event: Ghi lại casdc hoạt động user đăng nhập hoặc đăng xuất, ngắt

kết nối mạng,

+ Audit object access: Giám sát sử dụng tài nguyên trái phép,

- Để giám sát hoạt động của hệ điều hành ta có các Policy

+ Audit Directory Service Access:Thiết lập này ghi lại truy xuất đến một đối

tượng Active Directory của User

+ Audit Policy change: Ghi lại thay đổi với các chính sách kiểm định, quyền user

và thiết lập bảo mật user

+ Audit system events: Ghi lại sự kiện bật tắt máy tính

+ Audit Privilege Use: Ghi lại thay đổi đối với chính sách kiểm định, quyền user

- Để giám sát sự tương tác của ứng dụng nào đó trên hệ thống như thế nào

+ Audit process tracking: ghi lại các tiến trình được thực thi trong hệ thống

47

Trang 49

Ta vào từng mục để cấu hình theo ý của mình sau đó áp dụng chính sách bằng cách

dùng lệnh gpupdate /force ở CMD.

48

Trang 50

Ví dụ : Để giám sát người dùng đăng nhập thành công hoặc không thành công ta

chọn vào Audit logon events sẽ hiện ra cửa sổ để ta tùy chọn Chọn vào mụcDefine these policy settings, ở đó có 2 mục là success, failure là 2 trạng thái đăngnhập thành công hoặc không thành công

49

Ngày đăng: 28/05/2017, 15:46

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w