Triển khai chính sách bảo mật cho hệ thống mạng doanh nghiệp

MỤC LỤC

Dịch vụ DNS

Lịch sử hình thành của DNS

Vào những năm 1970 mạng ARPanet của bộ quốc phòng Mĩ rất nhỏ và dễ dàng quản lý các liên kết vài trăm máy tính với nhau. Do đó mạng chỉ cần một file HOSTS.TXT chứa tất cả các thông tin cần thiết về máy tính trong mạng và giúp máy tính chuyển đổi được thông tin địa chỉ và tên mạng cho tất cả các máy tinh trong mạng ARPanet một cách dễ dàng. Và đó là bước khởi đầu của hệ thống tên miền gọi tắt là DNS (Domain name system).

Nhưng khi mạng máy tính ARPanet ngày càng phát triển thì việc quản lý thông tin dựa vào một file HOSTS.TXT là rất khó khăn vì không khả thi. - Mật độ máy tính ngày càng cao do đó đảm bảo phát triển ngày càng khó khăn.

Mục đích của hệ thống DNS

Hệ thống DNS sử dụng hệ thống cơ sở dữ liệu phân tán và phân cấp hình cây do đó việc quản lý sẽ dễ dàng và cũng thuận tiện cho việc chuyển đổi từ tên miền sang địa chỉ IP và ngược lại. Tóm lại mục đích của hệ thống DNS là chuyển đổi tên miền sang địa chỉ IP và ngược lại giúp người dùng dễ dàng sử dụng hệ thống máy tính.

Hoạt động của DNS

Active Directory, User và Group Account, Group Policy Object

Active Directory (AD)

    Active Directory là một dịch vụ thư mục được tạo ra bởi hãng Microsoft và được giới thiệu năm 1999. Mặc dù Windows NT 4.0 là một hệ điều hành mạng khá tốt, nhưng hệ điều hành này lại không thích hợp trong các hệ thống mạng tầm cỡ xí nghiệp. Sự ra đời của Active Directory lại giải quyết được vấn đề này và cung cấp một mức độ ứng dụng mới cho môi trường xí nghiệp.

    Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính. Cung cấp một Server đóng vai trò chứng thực(Authentication Server) hoặc Server quản lý đăng nhập(Logon Server), Server này còn được gọi là máy điều kiển vùng(Domain Controller). Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục giúp các máy tính trong mạng có thể dò tìm nhanh một tài nguyên nào đó trong các máy tính khác trong vùng.

    Cho phép chúng ta tạo ra các tài khoản người dùng với các mức độ quyền khác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệu hay Shutdown Server từ xa…. Cho phép chúng ta chia nhỏ miền của mình ra thành nhiều miền con(subdomain) hay các đơn vị tổ chức OU(Organizational Unit).

    User và Group Account

    • Group Account

      Tài khoản người dùng (User Account) là một đối tượng quan trọng, đại diện cho người dùng trên mạng, chúng được phân biệt với nhau thông qua chuỗi nhân dạng username. Chuỗi nhận dạng này giúp hệ thống phân biệt giữa người này và người khác trên mạng từ đó người dùng có thể đăng nhập vào mạng và truy cập các tài nguyên mạng mà mình được phép. Tài khoản người dùng cục bộ (Local User Account) là tài khoản người dùng được định nghĩa trên các máy cục bộ và chỉ được phép logon truy cập trên các máy cục bộ, không thể dùng để truy cập bất kỳ máy nào khác trong mạng.

      Tài khoản người dùng miền (Domain User Account) là tài khoản người dùng được tạo ra trên Active Directory và được phép đăng nhập vào bất kỳ. Tài khoản nhóm (Group Account) là một đối tượng đại diện cho một nhóm người nào đó, dùng cho việc quản lý chung các đối tượng người dùng. Việc phân bổ các người dùng vào nhóm giúp chúng ta dễ dàng cấp quyền trên các tài nguyên mạng như thư mục chia sẻ, máy in … Chú ý là tài khoản người dùng có thể đăng nhập vào mạng nhưng tài khoản nhóm không được phép đăng nhập mà chỉ dùng để quản lý.

      - Universal Group (nhóm phổ quát) là loại nhóm có chức năng giống Global Group nhưng nó dùng để cấp quyền cho các đối tượng trên khắp miền và giữa các miền có quan hệ tin cậy với nhau. Nhóm phân phối chỉ dùng để gửi mail, Distribution Group không cho phép bảo mật, có nghĩa là họ không được liệt kê trong danh sách kiểm soát truy cập để xác định quyền tài nguyên và đối tượng.

      Hình 2.3 Tài khoản người dùng cục bộ
      Hình 2.3 Tài khoản người dùng cục bộ

      Group Policy Object (GPO) 1. Giới thiệu về GPO

      • Các chính sách của GPO

        Triển khai phần mềm ứng dụng: ta có thể gom tất cả các tập tin cần thiết để cài đặt một phần mềm nào đó vào trong một gói, đặt nó lên Server rồi dùng chính sách nhóm hướng một hay nhiều máy trạm đến gói phần mềm đó. Giới hạn nhưng ứng dụng mà người dùng được phép thi hành: chúng ta có thể kiểm soát máy trạm của một người dùng nào đó và cho phép người dùng này chỉ chạy được một vài ứng dụng nào đó như: Outlook Express, Microsoft Word hay Internet Explorer…. Hạn chế tổng quát màn hình Desktop của người dùng: Ta có thể gỡi bỏ hầu hết các đề mục trong menu Start của một người dùng nào đó, ngăn chặn không cho người dùng cài thêm máy in hay sủa đổi thống số cấu hình máy trạm….

        Nếu trên Server thành viên thi sẽ chỉ thấy hai mục Password Policy và Account Lockout Policy, trên máy Window Server làm Domain Controller thì sẽ thấy ba mục đó là Password Policy, Account Lockout Policy, Kerberos Policy. Chính sách kiểm toán (Adit Policy) giúp ta có thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống, trên đối tượng cũng như các người dùng. Có hai cách để cấp quyền hệ thống cho người dùng là gia nhập tài khoản người dùng vào các nhóm tạo sẵn để kế thừa quyền hoặc sử dụng công cụ User Rights Assignment để gán từng quyền cho người dùng.

        Cũng như phiên bản Windows Server trước Administrative Templates cũng có các mục như: Control Panel, Network … cùng cách tùy chọn bảo mật sẵn có trong cả Computer Configuration và User Configuration. Phiên bản Windows Server 2008 được trang bị chức năng Filtering mà phiên bản Windows Server 2003 trước đó không có trong mục Administrative Templates. Mặc định chọn “Any” xem các chính sách cả cấu hình và chưa cấu hình, “Yes” xem các chính sách đã được cấu hình, “No” xem các chinh sách chưa được cấu hình.

        Phần thứ hai, đầu tiên tích vào “Enable Keyword Filter”, sau đó đánh vào trường “Filter for word(s)” từ cần tìm kiếm,đánh dấu vào các tùy chọn: Tiêu đề thiết lập chính sách (Policy Setting Title), văn bản giải thích (Explain Text) và ghi chú (Comment).

        Hình 2.17 Hộp thoại Filter Options
        Hình 2.17 Hộp thoại Filter Options

        Quản lý User / Group với GPO

        Giới thiệu các nhu cầu quản lý cho mô hình Quản lý các tài khoản User

        Một vài GPO cơ bản cho nhu cầu quản lý Tự động ánh xạ ổ đĩa và máy in cho Client

        Các bước triển khai 1. Cài đặt AD - DNS

        • Cài đặt và cấu hình DHCP 1. Cài đặt DHCP

          Hộp thoại Choose a Deployment Configuration xuất hiện đánh dấu vào tùy chọn Create anew domain in a new forest / Next. Nhập mật khẩu xác nhận của Admin trong hộp thoại Directory Services Restore Mode Administrator Password / Next. Cửa sổ Administrator … cmd.exe: nhập lệnh “ipconfig / registerdns” nhấn OK để hoàn tất quá trình cấu hình.

          Trong hộp thoại Add Exclusion nhập vào dãy địa chỉ cố định đặc biệt / Next theo mặc định. Bỏ đánh dấu trong tùy chọn User must change password at next logon và nhập mật khẩu cho người dùng trong trường Password / Confirm password. Thử nghiệm User: IT1 - Password: Linhtinh (giả sử trường hợp dò mật khẩu người dùng).

          Hộp thoại Open xuất hiện, theo đường dẫn vào thư mục OFFICE chứa file cài đặt / Open.

          Hình 3.26 Choose a Deployment Configuration
          Hình 3.26 Choose a Deployment Configuration