Đang tải... (xem toàn văn)
Chương 14 trang bị cho người học những hiểu biết về các đặc tính bảo mật trong Windows Server 2003. Mục tiêu học tập của chương này gồm có: Xác định các phần tử và kỹ thuật khác nhau dùng để bảo mật hệ thống Windows Server 2003, Dùng các công cụ Security Configuration and Analysis để cấu hình và rà soát các thiết lập bảo mật, kiểm toán truy vập vào các tài nguyên và xem lại các thiết lập Security log. Mời tham khảo.
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Chương 14: Các đặc tính bảo mật Windows Server 2003 Mục tiêu • Xác định phần tử kỹ thuật khác dùng để bảo mật hệ thống Windows Server 2003 • Dùng cơng cụ Security Configuration and Analysis để cấu hình rà sốt thiết lập bảo mật • Kiểm tốn truy vập vào tài nguyên xem lại thiết lập Security log 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Bảo mật hệ thống Windows 2003 • vấn đề liên quan đến bảo mật: • • • • • Authentication (Chứng thực) Access control (Điều khiển truy cập) Encryption (Bảo mật) Security policies (Các sách bảo mật) Service packs & hot fixes 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Chứng thực • Mức độ y/c user ID mật để đăng nhập hệ thống • Trong môi trường domain, chứng thực tập trung hóa mạng; với mơi trường workgroup việc chứng thực cục • Trong mơi trường domain, chứng thực cung cấp quyền truy cập đến nhiều domain forest • Các phương pháp chứng thực bổ sung áp dụng với dịch vụ khác (như IIS) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Điều khiển truy cập • Điều khiển truy cập dùng để bảo mật tài nguyên file, thư mục, máy in • Các kiểu khác điều khiển truy cập quyền NTFS, thư mục chia sẻ, máy in quyền đối tượng AD khác • Nguyên lý “cấp quyền nhất” ngụ ý user nên có quyền truy cập họ cần 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Bảo mật • Các file bí mật lưu NTFS volumn mã hóa dùng EFS • EFS dùng kết hợp khóa cơng cộng khóa riêng • Giao thức IPSec mã hóa nội dung gói tin gửi qua mạng dùng TCP/IP • chế độ IPSec: transport & tunnel • IPSec gây khó khăn cho hacker muốn can thiệp vào liệu mạng nhạy cảm 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Các sách bảo mật • Các thiết lập sách bảo mật cấu hình từ Local Security Policy Group Policy Object Editor MMC snap-ins • Các thiết lập sách bảo mật điều khiển vùng thiết lập bảo mật • Windows Server 2003 có số cơng cụ phân tích sách bảo mật so với mẫu có sẵn • Security Configuration and Analysis MMC snap-in • Ứng dụng dòng lệnh SECEDIT 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Service Packs & Hot Fixes • Nhiều cập nhật patch quan trọng liên quan đến bảo mật • Các Hot fix giúp xác định số vấn đề đặc biệt • Chúng tải cài đặt từ Microsoft • SUS hỗ trợ tự động quản lý cập nhật 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Dùng công cụ Security Configuration Manager • Windows Server 2003 cung cấp cơng cụ thiết kế đặc biệt giúp cấu hình quản lý thiết lập bảo mật (Security Configuration Manager) • Những cơng cụ với sách Group dùng để cài đặt mẫu Security Policy 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Dùng cơng cụ Security Configuration Manager (tt) • Công cụ Security Configuration and Analysis so sánh mẫu bảo mật với thiết lập làm • Cơng cụ Security Configuration and Analysis gồm: • • • • Các mẫu bảo mật Các mẫu bảo mật đối tượng GP Công cụ Security Configuration and Analysis Lệnh SECEDIT 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 10 Cấu hình kiểm tốn • Vai trị máy tính mạng ảnh hưởng cách cấu hình sách kiểm tốn • Với server thành viên workstation • Các sách kiểm toán thực dùng GPO gán cho domain OU • Với DC • Các sách kiểm tốn thực thơng qua Default Domain Controllers Policy áp dụng cho Domain Controllers OU • Với workstations & servers độc lập • Các sách kiểm tốn định nghĩa dùng cơng cụ Local Security Policy 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 31 Những yêu cầu cấu hình kiểm tốn • u cầu: • Phải có quyền thích hợp (Administrators Group / Manage auditing and security log user) • Kiểm tốn file, thư mục thực NTFS volum • Cấu hình sách bảo mật • Cấu hình kiểm tốn dựa kiện kiểm soát nbaijxayr việc đăng nhập thành cơng/thất bại • Cấu hình kiểm toán dựa đối tượng tài nguyên xác định file, thư mục, máy in đối tượng AD 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 32 Cấu hình sách kiểm tốn (tt) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 33 Thực tập 14-6: Cấu hình kiểm tra thiết lập sách kiểm tốn • Mục tiêu: Làm quen với việc thay đổi kiểm tra lại cấu hình thiết lập sách kiểm tốn • Mở Default Domain Controllers Policy GPO • Cấu hình lại theo y/c • Refresh lại thiết lập GP thủ cơng • Kiểm tra thiết lập xem kết dùng Event Viewer 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 34 Kiểm toán truy cập đối tượng • Có thể kiểm sốt lần thử truy cập thành công file thư mục NTFS volumn • Chú ý: điều sinh số lượng lớn kiện báo cáo • Kiểm tốn đối tượng cấu hình thơng qua Advanced Security Settings tài ngun • Kiểm tốn thực với đối tượng AD 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 35 Kiểm toán truy cập đối tượng (tt) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 36 Thực tập 14-7: Cấu hình kiểm tốn thư mục NTFS • Mục tiêu: lập báo cáo truy cập thành công/lỗi vào thư mục NTFS • Tạo cấu hình quyền NTFS cho thư mục • Cấu hình thiết lập kiểm tốn cho thư mục • Kiểm tra lại thiết lập kiểm toán quyền cách thử truy cập xóa thư mục • Dùng Event Viewer để kiểm tra kiểm tốn xác 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 37 Thực tập 14-7 (tt) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 38 Những kinh nghiệm tốt • Lập kế hoạch cẩn thận trước thực sách kiểm tốn • Hướng dẫn chung: • Chỉ kiểm tốn kiện cung cấp thơng tin thực có ích • Xem lại tồn báo cáo • Kiểm tốn thơng tin nhạy cảm bí mật • Kiểm tốn Everyone group • Kiểm tốn gán quyền cho user • Kiểm tốn Administrators group 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 39 Phân tích báo cáo bảo mật • Với kiện định nghĩa sách, dòng ghi vào báo cáo Security kiện xảy • Dùng Event Viewer để xem báo cáo Security • Báo cáo cung cấp tổng thể ngày kiện user thực thi • Có nhiều chi tiết double-clicking vào dịng • Event Viewer cung cấp tùy chọn tìm lọc để hỗ trợ việc quản lý báo cáo 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 40 Phân tích báo cáo bảo mật (tt) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 41 Phân tích báo cáo bảo mật (tt) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 42 Thực tập 14-8: Cấu hình đặc tính Event Viewer Log • Dùng Event Viewer để xem báo cáo Security cục • Dùng tính Find để tìm kiểu định kiện theo y/c • Tiếp theo dùng tính Filter để quản lý báo cáo, hiển thị kiện phù hợp tiêu chuẩn • Hiển thị lại tồn ghi báo cáo 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 43 Tổng kết • Windows Server 2003 đưa số tính liên quan bảo mật thành loại: authentication, access control, encryption, security policies, service packs and hot fixes • Windows Server 2003 đưa gói cơng cụ Security Configuration Manager • Các mẫu bảo mật, thiết lập bảo mật GPO, cơng cụ cấu hình phân tích bảo mật, lệnh SECEDIT 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 44 Tổng kết (tt) • Kiểm toán dùng để ghi báo cáo số kiện đặc biệt • Chính sách kiểm tốn quy định kiện kiểm sốt • Các tài ngun đối tượng đặc biệt cấu hình để kiểm tốn • Security log chứa ghi cho kiện kiểm tốn • Dùng Event Viewer để xem lại Security log 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 45 ... khác 7 0-2 90: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 28 Thực tập 1 4- 5 (tt) 7 0-2 90: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 29 Thực tập 1 4- 5... snap-in cách chọn cấu hình mong muốn 7 0-2 90: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 21 Security Configuration and Analysis (tt) 7 0-2 90: MCSE Guide to Managing a Microsoft. .. chỉnh s? ?a • Có số mẫu thiết kế sẵn 7 0-2 90: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 11 Các mẫu bảo mật (tt) 7 0-2 90: MCSE Guide to Managing a Microsoft Windows Server 2003