Đang tải... (xem toàn văn)
Trong bài báo cáo này chúng ta sẽ tìm hiểu cách thức triển khai chính sách GPO trên windows server 2012 cụ thể với hai bài tập về Full Disk Encryption using BitLocker và Manage Security for Removable Media
TỔNG LIÊN ĐOÀN LAO ĐỘNG VIỆT NAM TRƯỜNG ĐẠI HỌC TÔN ĐỨC THẮNG KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN CUỐI KỲ MÔN BẢO MẬT MẠNG Data Encryption Người hướng dẫn: TS TRƯƠNG ĐÌNH TÚ Người thực hiện: VÕ QUỐC HUY – 51603002 NGUYỄN HẢI ĐĂNG – 51603001 Lớp : 16050301 Khố : 20 THÀNH PHỐ HỒ CHÍ MINH, NĂM 2019 TỔNG LIÊN ĐOÀN LAO ĐỘNG VIỆT NAM TRƯỜNG ĐẠI HỌC TÔN ĐỨC THẮNG KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN CUỐI KỲ MÔN BẢO MẬT MẠNG Data Encryption Người hướng dẫn: TS TRƯƠNG ĐÌNH TÚ Người thực hiện: VÕ QUỐC HUY – 51603002 NGUYỄN HẢI ĐĂNG – 51603001 Lớp : 16050301 Khố : 20 THÀNH PHỐ HỒ CHÍ MINH, NĂM 2019 i LỜI CẢM ƠN Chúng em xin chân thành cảm ơn Thầy Trương Đình Tú – Giảng viên mơn Bảo mật mạng tận tình giảng dạy, hướng dẫn chúng em suốt trình làm tập Chúng em chân thành cảm ơn Thầy/ Cô giảng viên khoa Công nghệ thông tin trường Đại học Tơn Đức Thắng nói chung giảng dạy nhiệt tình cung cấp kiến thức bổ ích cho chúng em học tập để tạo điều kiện cho chúng em làm đồ án đồng thời hướng dẫn em suốt trình học tập Đồ án chúng em bắt đầu tiếp cận với nguồn kiến thức cịn hạn hẹp chắn cịn nhiều thiếu sót điều khơng thể tránh khỏi Chúng em mong nhận lời nhận xét, đóng góp từ Thầy để chúng em hoàn thiện Chúng em xin chân thành cảm ơn ii ĐỒ ÁN ĐƯỢC HỒN THÀNH TẠI TRƯỜNG ĐẠI HỌC TƠN ĐỨC THẮNG Chúng xin cam đoan sản phẩm đồ án riêng hướng dẫn Giảng viên Trương Đình Tú Các nội dung nghiên cứu, kết đề tài trung thực chưa cơng bố hình thức trước Những số liệu bảng biểu phục vụ cho việc phân tích, nhận xét, đánh giá tác giả thu thập từ nguồn khác có ghi rõ phần tài liệu tham khảo Ngoài ra, đồ án sử dụng số nhận xét, đánh số liệu tác giả khác, quan tổ chức khác có trích dẫn thích nguồn gốc Nếu phát có gian lận chúng tơi xin hồn tồn chịu trách nhiệm nội dung đồ án Trường Đại học Tôn Đức Thắng không liên quan đến vi phạm tác quyền, quyền gây q trình thực (nếu có) TP Hồ Chí Minh, ngày 06 tháng 05 năm 2019 Tác giả (ký tên ghi rõ họ tên) Võ Quốc Huy Nguyễn Hải Đăng iii PHẦN XÁC NHẬN VÀ ĐÁNH GIÁ CỦA GIẢNG VIÊN Phần xác nhận GV hướng dẫn _ _ _ _ _ _ _ Tp Hồ Chí Minh, ngày .tháng .năm (ký ghi họ tên) Phần đánh giá GV chấm _ _ _ _ _ _ _ Tp Hồ Chí Minh, ngày .tháng .năm (ký ghi họ tên) iv TÓM TẮT Trong báo cáo tìm hiểu cách thức triển khai sách GPO windows server 2012 cụ thể với hai tập Full Disk Encryption using BitLocker Manage Security for Removable Media MỤC LỤC LỜI CẢM ƠN i PHẦN XÁC NHẬN VÀ ĐÁNH GIÁ CỦA GIẢNG VIÊN iii TÓM TẮT iv MỤC LỤC DANH MỤC CÁC BẢNG BIỂU, HÌNH VẼ, ĐỒ THỊ CHƯƠNG – GROUP POLICY TRÊN WINDOWS SERVER 2012 .6 1.1 Giới thiệu 1.2 Cấu tạo GPO 1.3 Nguyên tắc hoạt động GPO .7 CHƯƠNG – Data Encryption 2.1 Tổng quan 2.2 Nâng cấp Windows Server 2012 (Server Core) lên Domain Controller Join Domain 2.2.1 Sơ đồ địa sau: .8 2.2.2 Thực nâng cấp máy Server lên Domain Controller 2.2.3 Thực đặt IP tĩnh đặt địa DNS server 12 2.2.4 Thực Join máy Client vào Domain 14 2.3 Exercise 1: Full Disk Encryption using BitLocker .17 2.3.1 Task 1: Configure BitLocker settings via GPO 18 2.3.1.1 Bước 1: 18 2.3.1.2 Bước 2: 18 2.3.1.3 Bước 3: 19 2.3.1.4 Bước 4: 20 2.3.1.5 Bước 5: 21 2.3.1.6 Bước 7: 22 2.3.1.7 Bước 8: 23 2.3.1.8 Bước 9: 23 2.3.1.9 Bước 10: 24 2.3.1.10 Bước 11: .25 2.3.2 Task 2: Shrink the Existing Drive 26 2.3.2.1 Bước 1: 26 2.3.2.2 Bước 2: 27 2.3.2.3 Bước 3: 28 2.3.3 Task 3: Enable BitLocker 29 2.3.3.1 Bước 1: 29 2.3.3.2 Bước 2: 30 2.3.4 Task 4: Verify BitLocker functionality 31 2.3.4.1 Bước 1: 31 2.3.4.2 Bước 2: 32 2.3.5 Task 5: Manage BitLocker using the command prompt 33 2.3.6 Task 6: Unlock the Encrypted Drive using Recovery Keys 33 2.3.6.1 Bước 1: 33 2.3.7 Task 7: Remove BitLocker disk encryption on Drive E 36 2.3.7.1 Bước 1: 36 2.4 Exercise 2: Manage Security for Removable Media 37 2.4.1.1 Bước 1: 37 TÀI LIỆU THAM KHẢO 41 DANH MỤC CÁC BẢNG BIỂU, HÌNH VẼ, ĐỒ THỊ DANH MỤC HÌNH Hình 1.1: Group Policy Template .6 Hình 1.2: Group Policy Container Hình 2.1: Mơ hình thực demo Hình 2.2: Gõ lệnh “powershell.exe” để vào chế độ PowerShell Hình 2.3: Gõ lệnh “cd c:” để chuyển vào ổ C máy chủ Hình 2.4: Nhập lệnh để cài đặt dịch vụ 10 Hình 2.5: Máy chủ cài đặt dịch vụ ADDS 10 Hình 2.6: Chuẩn bị nâng cấp 11 Hình 2.7: Máy chủ tiến hành nâng cấp lên Domain Controller 11 Hình 2.8: Sau nâng cấp xong, máy chủ tự động reset lại máy .12 Hình 2.9: Thơng tin card mạng máy server 12 Hình 2.10: Đặt IP tĩnh cho server 13 Hình 2.11: Đặt DNS Server 13 Hình 2.12: Tắt tường lửa server 14 Hình 2.13: Tắt firewall máy Windows 8.1 15 Hình 2.14: Đặt IP tĩnh cho máy Windows 8.1 .15 Hình 2.15: Ping kiểm tra kết nối 16 Hình 2.16: Cài đặt cơng cụ Remote Server Administrator Tools máy Client 16 Hình 2.17: Join máy Client vào Domain PRACTICELABS.COM 17 Hình 2.18: Ảnh chụp hình máy tính Server: Cửa sổ Server Manager Dashboard hiển thị bảng chọn Tool > Group Policy Management – tùy chọn chọn 18 Hình 2.19: Ảnh chụp hình máy tính Server: Danh sách nội dung (chúng xuất nháy phải chuộc vào tên miền) > Tạo GPO tên miền 19 Hình 2.20: Ảnh chụp hình máy tính Server: Hộp thoại New GPO hiển thị giá trị cần thiết phải nhập vào nút OK chọn 20 Hình 2.21: Ảnh chụp hình máy tính Server: Hộp thoại Group Policy Management Console hiển thị cài đặt cần thiết phải thực nút OK chọn .21 Hình 2.22: Ảnh chụp hình máy tính Server: Hộp thoại Group Policy Management hiển thị với mục đích xác nhận lại lần cuối trước gỡ bỏ đặc quyền ủy nhiệm nút OK chọn 22 Hình 2.23: Ảnh chụp hình máy tính Server: Ngăn Security Filtering hiển thị nút Add chọn hiển thị Group Policy Management console .23 Hình 2.24: Ảnh chụp hình máy tính Server: Hộp thoại Object Types hiển thị hiển thị cài đặt cần thiết thực nút OK chọn .23 Hình 2.25: Ảnh chụp hình máy tính Server: Hộp thoại Select User, Computer, or Group hiển thị hiển thị loại nhập giá trị bắt buộc nút Check Names chọn 24 Hình 2.26: Ảnh chụp hình máy tính Server: Danh sách tùy chọn (xuất nhấp chuột phải vào cài đặt sách liệt kê) > Tùy chọn menu Chỉnh sửa hiển thị bảng điều khiển Trình chỉnh sửa quản lý sách nhóm .25 Hình 2.27: Ảnh chụp hình máy tính Server: Yêu cầu xác thực bổ sung bảng điều khiển khởi động hiển thị cài đặt cần thiết 26 Hình 2.28: Ảnh chụp hình máy tính WIN8: Danh sách tùy chọn (xuất nhấp chuột phải vào vùng chưa phân bổ đĩa)> Tùy chọn Shrink Volume hiển thị Computer Management console .27 Hình 2.29: Ảnh chụp hình máy tính WIN8: Hộp thoại Shrink C hiển thị cài đặt mặc định nút Shrink chọn 28 Hình 2.30: Ảnh chụp hình máy tính WIN8: Trang hồn tất việc phân mảng New Simple Volume Wizard hiển thị danh sách thông số kĩ thuật việc tạo ổ cứng 29 Hình 2.31: Ảnh chụp hình máy tính WIN8: Computer Management console hiển thị danh sách phân vùng tạo 29 27 Hình 2.28: Ảnh chụp hình máy tính WIN8: Danh sách tùy chọn (xuất nhấp chuột phải vào vùng chưa phân bổ đĩa)> Tùy chọn Shrink Volume hiển thị Computer Management console 2.3.2.2 Bước 2: Trong hộp thoại Shrink PC, nhập vào dung lượng phù hợp để tách phân vùng chọn Shrink 28 Hình 2.29: Ảnh chụp hình máy tính WIN8: Hộp thoại Shrink C hiển thị cài đặt mặc định nút Shrink chọn 2.3.2.3 Bước 3: - Một phân vùng vừa tạo - Bây bạn cần phải tạo ổ cứng lưu trữ phân vùng vừa chia Nháy chuột phải chọn New Simple Volume - Trong trang Welcome to the New Simple Volume Wizard page, đọc thông tin giới thiệu sau nháy Next - Trong phần Specify Volume Size, giữ nguyên cài đặt mặt định nháy Next - Trong phần Assign Drive Letter or Path, giữ nguyên kí tự tên mặc định ổ cứng, chọn Next - Trong trang Format Partition, giữ nguyên cài đặt mặc định nhấn Next - Trong trang Completing the New Simple Volume Wizard, xem lại cài đặt sau nháy vào nút Finish - Sau đó, đóng cửa sổ Computer Management 29 Hình 2.30: Ảnh chụp hình máy tính WIN8: Trang hoàn tất việc phân mảng New Simple Volume Wizard hiển thị danh sách thông số kĩ thuật việc tạo ổ cứng Hình 2.31: Ảnh chụp hình máy tính WIN8: Computer Management console hiển thị danh sách phân vùng tạo 2.3.3 Task 3: Enable BitLocker Để mã hóa ổ đĩa chọn BitLocker, bạn phải có quyền quản trị máy tính Để bật BitLocker thiết bị Windows 8.1, thực bước sau: 2.3.3.1 Bước 1: Trên WIN8, bạn cần đảm bảo sách Bitlocker for desktops áp dụng Bạn áp dụng Group Policy lệnh sau: gpupdate /force 30 Hình 2.32: Ảnh chụp hình máy tính WIN8: Cửa sổ cmd hiển thị câu lệnh cho phép chấp nhận cập nhật sách hoàn tất 2.3.3.2 - Bước 2: Mở Windows Explorer chọn This PC bên trái chưa chọn Nháy chuột phải vào (E:) chọn Turn on Bitlocker - Ở phần Choose how you want to unlock this drive, bạn có hai lựa chọn để chọn cách mà bạn muốn dùng để mở khóa ổ E - Chọn Use a password to unlock this drive hộp văn Enter your password Reenter your password Chọn Next - Với phần câu hỏi How you want to back up your recovery key? Chọn Save to a file - Trong hộp thoại Save Bitlocker recovery key as, chọn mục Documents phía bên trái, chọn nút Save - Trong hộp thoại BitLocker Drive Encryption, chọn Yes - Trong phần Are you ready to encrypt this drive? Nhấn Start encrypting - Trong hộp thoại BitLocker Drive Enryption, chọn Close mà việc mã hóa ổ D hồn thành - Sau mã hóa biểu tượng BitLocker gắn vào ổ đĩa E 31 Hình 2.33: Ảnh chụp hình máy tính WIN8: Cửa sổ hiển thị biểu tượng ổ khóa mở gắn vào ổ đĩa mã hóa - Để quản lý thuộc tính ổ đĩa mã hóa, chuột phải vào Bitlocker (E:) chọn Manage Bitlocker 2.3.4 Task 4: Verify BitLocker functionality Tác vụ trước kích hoạt ổ E cho BitLocker Để tìm hiểu cách BitLocker hoạt động kiểm tra mật mở khóa ổ đĩa, thực bước sau: 2.3.4.1 - Bước 1: Khởi động lại máy tính với lệnh: Shutdown /r /t - Khi đăng nhập vào máy tính WIN8, nhấp vào File Explorer tác vụ - Lúc ổ đĩa (E:) bị khóa 32 Hình 2.34: Ảnh chụp hình máy tính WIN8: Ổ cứng bị BitLocker khóa liệt kê cửa sổ File Explorer 2.3.4.2 Bước 2: - Nhấp chuột phải vào ổ đĩa E chọn Unlock Drive… - Trong hộp thoại BitLocker E, gõ mật đặt lúc đầu - Sau nhấn Unlock 33 Hình 2.35: Ảnh chụp hình máy tính WIN8: Nhập password để mở khóa ổ đĩa E 2.3.5 Task 5: Manage BitLocker using the command prompt - Windows BitLocker quản lý cách sử dụng công cụ nhắc lệnh gọi managebde.exe - Để biết lệnh Manage-bde hoạt động nào, thực bước sau: - Trong hộp thoại Run, gõ cmd Sau nhấn Enter - Trong cửa sổ CMD, gõ lệnh: manage-bde -status - Sau nhấn Enter - Các thơng tin mã hóa ổ đĩa hiển thị hình Hình 2.36: Thơng tin mã hóa ổ đĩa E 2.3.6 Task 6: Unlock the Encrypted Drive using Recovery Keys Nếu quên mật sử dụng để mở khóa ổ đĩa, bạn sử dụng Recovery Key tạo trước để mở khóa Drive E Để thực khơi phục mã Recovery Key, thực bước sau: 2.3.6.1 Bước 1: 34 - Khởi động lại Windows cách gõ lệnh vào cmd: Shutdown /r /t - Nhấn Enter - Sau khởi động lại Windows Chọn vào File Explorer taskbar - Trong cửa sổ File Explorer, mở rộng This PC sau chọn vào thư mục Documents khung bên phải - Nội dung thư mục Documents hiển thị bao gồm tệp BitLocker Recovery Key - Nhấp chuột phải vào tệp BitLocker Recovery Key chọn Open - Sau chép mã Recovery Key Hình 2.37: Ảnh chụp hình máy tính WIN8: Copy mã Recovery Key - Nhấp chuột phải vào ổ đĩa E sau chọn Unlock Drive… 35 Hình 2.38: Chọn Unlock Drive… với ổ đĩa E để mở khóa - Trong hộp thoại BitLocker E, chọn More options - Vẫn hộp thoại BitLocker E, chọn Enter recovery key - Nhấp vào bên hộp văn nhấn CTRL+V để dán khóa khơi phục bạn chép liệu văn từ tệp Recovery Key - Sau nhấn Unlock 36 Hình 2.39: Mở khóa ổ đĩa khóa khơi phục 2.3.7 Task 7: Remove BitLocker disk encryption on Drive E Để xóa mã hóa BitLocker ổ E, làm theo bước sau: 2.3.7.1 Bước 1: - Trong hộp thoại Run, gõ cmd Sau nhấn Enter - Trong cửa sổ cmd, để giải mã ổ đĩa E sử dụng câu lệnh sau: manage-bde -off E: - Sau nhấn Enter Hình 2.40: Gỡ bỏ mã hóa BitLocker - Để xác minh trạng thái ổ cứng E, sử dụng câu lệnh sau: Manage-bde -status 37 Hình 2.41: Thơng tin ổ đĩa xóa BitLocker 2.4 Exercise 2: Manage Security for Removable Media Vì lý bảo mật, hầu hết tổ chức cấm người dùng họ sử dụng thiết bị lưu trữ cá nhân để vận chuyển thông tin độc quyền Điều để tránh việc đánh cắp liệu bí mật khiến cơng ty bí mật thương mại bạn gặp rủi ro Trong tập này, bạn định cấu hình bảo mật cho phương tiện lưu trữ di động để không cho phép sử dụng chúng cách định cấu hình Đối tượng sách nhóm GPO Để hiểu rõ cơng nghệ này, vui lịng tham khảo tài liệu khóa học bạn sử dụng cơng cụ tìm kiếm ưa thích bạn để nghiên cứu chủ đề chi tiết 2.4.1.1 Bước 1: - Từ Server Manager Dashboard, đến Tools > Group Policy Management - Trên Group Policy Management console, mở rộng Forest: PRACTICELABS.COM, sau mở rộng Domains chưa mở rộng - Nhấp chuột phải vào PRACTICELABS.COM chọn Create a GPO in this domain, and link it here - Trong hộp thoại New GPO gõ câu lệnh sau : 38 Removable media - Sau nhấn OK Hình 2.42: Ảnh chụp hình máy tính WIN8: Hộp thoại GPO hiển thị với giá trị buộc yêu cầu gõ vào - Chuột phải vào Removable media chọn Edit - Trên cửa sổ Group Policy Management Editor, điều hướng đến Computer Configuration > Policies > Administrative Templates > System chọn Removable Storage Access - Trên ngăn chi tiết phía bên phải, nhấp chuột phải vào Removable Disks: Deny write access chọn Edit 39 Hình 2.43: Ảnh chụp hình máy tính WIN8: Danh sách tùy chọn > Tùy chọn Edit hiển thị bảng điều khiển Trình chỉnh sửa quản lý sách nhóm - Từ hộp thoại Removable Disks: Deny write access chọn Kích hoạt Nhấn vào OK - Sau đó, đóng Group Policy Management Editor and Group Policy Management console 40 Hình 2.44: Hộp thoại Removable Disks Hình 2.45: Máy WIN8 khơng ghi file vào USB 41 TÀI LIỆU THAM KHẢO https://kenh49.vn/lab2-2-nang-cap-windows-server-2012-server-core-lendomain-controller-va-join-domain/ Data Encryption – CompTIA Security+ https://lanmvblog.wordpress.com/2017/03/14/join-client-vao-domain-trenwindows-server-2012/ ... ĐOÀN LAO ĐỘNG VIỆT NAM TRƯỜNG ĐẠI HỌC TÔN ĐỨC THẮNG KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN CUỐI KỲ MÔN BẢO MẬT MẠNG Data Encryption Người hướng dẫn: TS TRƯƠNG ĐÌNH TÚ Người thực hiện: VÕ QUỐC HUY – 51603002... kiện cho chúng em làm đồ án đồng thời hướng dẫn em suốt trình học tập Đồ án chúng em bắt đầu tiếp cận với nguồn kiến thức cịn hạn hẹp chắn cịn nhiều thiếu sót điều khơng thể tránh khỏi Chúng em mong... Media Vì lý bảo mật, hầu hết tổ chức cấm người dùng họ sử dụng thiết bị lưu trữ cá nhân để vận chuyển thông tin độc quyền Điều để tránh việc đánh cắp liệu bí mật khiến cơng ty bí mật thương mại