Microsoft security baseline analyzer Microsoft security baseline analyzer & & Software update service Software update service I. Nội dung : Cài đặt Microsoft Security Basline Analyzer để rà sóat, thống kê các lỗ hổng của hệ thống , nhằm đưa ra giải pháp khắc phục. Cài đặt SUS cho hệ thống, nhằm tăng cường tính an tòan , ổn định cho các server bằng việc cập nhật liên tục các bản vá lỗi của hệ điều hành và các software microsoft. Nhưng vẫn đảm bảo không làm nghẽn lưu lượng ra Internet. II. Chuẩn bị : Mô hình lab gồm 2 máy Windows Server 2003 - Máy PC01 làm SUS Server, máy PC02 làm Client (Máy PC02 có thể sử dụng Windows XP) - Truy cập vào thư mục Soft của máy 192.168.4.200 copy 2 file SUS10SP1.exe và MBSASetup-en.msi về máy PC01 III. Thực hiện : 1. Cài đặt MSBA a. Chạy file MBSASetup-en.msi → Trong cửa sổ Welcome chọn Next → Trong cửa sổ License Agreement chọn ô I accept the license agreement → Next Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 76 b. Trong cửa sổ Destination Folder để mặc định chọn Next → Trong cửa sổ Start Installation chọn Install → Finish c. Mở biểu tượng Microsoft Baseline Security Analyzer 1.2 trên desktop → Trong cửa sổ Microsoft Baseline Security Analyzer chọn Scan more than one computer d. Trong cửa sổ Pick multiple computers to scan → Trong IP address range nhập vào địa chỉ “IP của PC01” to “IP của PC02” (vd: 192.168.4.23 to 192.168.4.24) → Chọn Start Scan → Chương trình sẽ bất đầu quá trình dò lỗi bảo mật Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 77 e. Sau khi quá trình scan hoàn tất → Trong cửa sổ View security report những mục nào đánh dấu chéo màu đỏ là những phần bị lỗi bảo mật → Muốn xem chi tiết thì chọn How to correct this • Xem các lỗi mà MBSA quét ra được , tìm giải pháp khắc phục 2. Cài SUS trên máy PC01 a. Vào Control Panel → Add or Remove Programs → Add/Remove Windows Components → Trong Add/Remove Windows Components → Vào Details… của mục Application Server → Trong Application Server → Đánh dấu chọn vào ô Internet Information Services (IIS) → OK → Next → Finish Lưu ý: Trong quá trình cài IIS nếu hệ thống yêu cầu CD Windows Server 2003 thì chỉ đường dẩn vào thư mục E:\W2k3\i386 b. Vào E:\ chạy file SUS10SP1.exe để cài SUS (File SUS10SP1.exe được copy về từ máy Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 78 192.168.4.200) → Trong cửa sổ Welcome chọn Next c. Trong cửa sổ End-User License Agreement → Chọn I acccept the License Agreement → Next → Trong cửa sổ Choose setup type chọn Typical d. Trong cửa sổ Ready to install → Chọn Install → Sau khi quá trình cài đặt hoàn tất chọn Finish → Trong cửa sổ Software Update Service → Chọn mục Set option trong cửa sổ bên trái e. Trong cửa sổ Set options bên phải → Trong mục Select which server to synchronize content from → Chọn Synchronize directly from the Microsoft Windows Services servers → Trong mục Select Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 79 Where you want to store updates chọn ô Save the updates to a local folder → Trong các ô ngôn ngữ, bỏ trắng tất cả các ô chỉ chọn ô English → Chọn Apply f. Trong Software Update Services → Chọn mục Synchronize server → Trong cửa sổ Synchronize server chọn Synchronization Now → Hệ thống sẽ bắt đầu quá trình đồng bộ dữ liệu với trang Microsoft Update 3. Cấu hình cho máy PC02 update từ máy PC01 a. Vào Start → Run → Gõ gpedit.msc → Trong cửa sổ Group Policy Opjiect Editor vào Computer Configuration → Administrative Templates → Windows Update b. Trong Windows Update → Mở policy Configure Automatic Updates → Trong cửa sổ Configure Automatic Updates Properties → Chọn Enabled → Trong ô Configure automatic updating Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 80 chọn 4 – Auto download and schedule the install → OK c. Mở policy Specify intranet Microsoft update service location → Chọn Enable → Trong ô nhập http://địa chỉ IP máy PC01 (vd: http://192.168.4.23) vào 2 ô Set the intranet update service for detecting updates và Set intranet statistics server → OK → Đóng tất cả các cửa sổ đang có → Vào Start → Run → Gõ gpupdate /force Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 81 . lab gồm 2 máy Windows Server 2003 - Máy PC01 làm SUS Server, máy PC02 làm Client (Máy PC02 có thể sử dụng Windows XP) - Truy cập vào thư mục Soft của máy. 192.168.4.200 copy 2 file SUS10SP1.exe và MBSASetup-en.msi về máy PC01 III. Thực hiện : 1. Cài đặt MSBA a. Chạy file MBSASetup-en.msi → Trong cửa sổ Welcome chọn Next