Chính sách tài khoản ngƣời dùng (Account Policy) đƣợc dùng để chỉ định các thông số về tài khoản ngƣời dùng mà nó đƣợc sử dụng khi tiến trình logon xảy ra. Nó cho phép bạn cấu hình các thông số bảo mật máy tính cho mật khẩu, khóa tài khoản và chứng thực Kerberos trong vùng. Nếu trên Server thành viên thì bạn sẽ thấy hai mục Password Policy và Account Lockout Policy, trên máy Windows Server 2003 làm domain controller thì bạn sẽ thấy ba thƣ mục Password Policy,
Account Lockout Policy và Kerberos Policy. Trong Windows Server 2003 cho phép bạn quản lý chính sách tài khoản tại hai cấp độ là: Cục bộ và Miền. Muốn cấu hình các chính sách tài khoản ngƣời dùng ta vào:
Start / Programs / Administrative Tools / Domain Security Policy hoặc Local Security Policy.
1. Chính sách mật khẩu
Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn cho mật khẩu của ngƣời dùng để trách các trƣờng hợp đăng nhập bất hợp pháp vào hệ thống. Chính sách này cho phép bạn qui định chiều dài ngắn nhất của mật khẩu, độ phức tạp của mật khẩu…
Chính sách Mô tả Mặc định
Enforce Password History Số lần đặt mật mã không đƣợc trùng nhau
24 Maximum Password Age Quy định số ngày nhiều nhất mà mật
mã ngƣời dùng có hiệu lực 42
Minimum Password Age Quy số ngày tối thiểu trƣớc khi
ngƣời dùng có thể thay đổi mật mã. 1 Minimum Password Length Chiều dài ngắn nhất của mật mã. 7
Passwords Must Meet Complexity Requirements
Mật khẩu phải có độ phức tạp nhƣ: có ký tự hoa, thƣờng, có ký số
Cho phép Store Password Using
Reversible Encryption for All Users in the Domain
Mật mã ngƣời dùng đƣợc lƣu dƣới dạng mã hóa
Không cho phép
2. Chính sách nhóm
Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức và thời điểm khóa tài khoản trong vùng hay trong hệ thống cục bộ. Chính sách này giúp hạn chế tấn công thông qua hình thức logon từ xa.
Các thông số cấu hình chính sách khóa tài khoản:
Chính sách Mô tả Giá trị mặc định
Account Lockout Threshold
Quy định số lần cố gắng đăng nhập trƣớc khi tài
khoản bị khóa
0 (tài khoản sẽ không bị khóa)
Account Lockout Duration
Quy định thời gian khóa tài khoản
Là 0, nhƣng nếu Account Lockout Threshold đƣợc thiết
lập thì giá trị này là 30 phút. Reset Account
Lockout Counter After
Quy định thời gian đếm lại số lần đăng nhập (adsbygoogle = window.adsbygoogle || []).push({});
không thành công
Là 0, nhƣng nếu Account Lockout Threshold đƣợc thiết
lập thì giá trị nàylà 30 phút. II. CHÍNH SÁCH CỤC BỘ
Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám sát các đối tƣợng trên mạng nhƣ ngƣời dùng và tài nguyên dùng chung. Đồng thời dựa vào công cụ này bạn có thể cấp quyền hệ thống cho các ngƣời dùng và thiết lập các lựa chọn bảo mật.
1. Chính sách kiễm toán
Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống, trên các đối tƣợng cũng nhƣ đối với các ngƣời dùng. Bạn có thể xem các ghi nhận này thông qua công cụ Event Viewer, trong mục
Chính sách Mô tả
Audit Account Logon Events
Kiểm toán những sự kiện khi tài khoản đăng nhập, hệ thống sẽ ghi nhận khi ngƣời dùng logon, logoff hoặc tạo một kết nối mạng.
Audit Account Management
Hệ thống sẽ ghi nhận khi tài khoản ngƣời dùng hoặc nhóm có sự thay đổi thông tin hay các thao tác quản trị liên quan đến tài khoản ngƣời dùng
Audit Directory Service Access
Ghi nhân việc truy cập các dịch vụ thƣ mục
Audit Logon Events Ghi nhận các sự kiện liên quan đến quá trình logon nhƣ thi hành một logon script hoặc truy cập đến một
roaming profile.
Audit Object Access Ghi nhận việc truy cập các tập tin, thƣ mục, và máy tin. Audit Policy Change Ghi nhận các thay đổi trong chính sách kiểm toán
Audit privilege use Hệ thống sẽ ghi nhận lại khi bạn bạn thao tác quản trị trên các quyền hệ thống nhƣ cấp hoặc xóa quyền của một ai đó.
Audit process tracking Kiểm toán này theo dõi hoạt động của chƣơng trình hay hệ điều hành.
Audit system event Hệ thống sẽ ghi nhận mỗi khi bạn khởi động lại máy hoặc tắt máy.
2. Quyền hệ thống của người dùng
Đối với hệ thống Windows Server 2003, bạn có hai cách cấp quyền hệ thống cho ngƣời dùng là: gia nhập tài khoản ngƣời dùng vào các nhóm tạo sẵn (built-in) để kế thừa quyền hoặc bạn dùng công cụ User Rights Assignment để gán từng quyền rời rạc cho ngƣời dùng. Cách thứ nhất bạn đã biết sử dụng ở chƣơng trƣớc, chỉ cần nhớ các quyền hạn của từng nhóm tạo sẵn thì bạn có thể gán quyền cho ngƣời dùng theo yêu cầu. Để cấp quyền hệ thống cho ngƣời dùng theo theo cách thứ hai thì bạn phải dùng công cụ Local Security Policy (nếu máy bạn không phải
Domain Controller) hoặc Domain Controller Security Policy (nếu máy bạn là
Domain Controller).
Để thêm, bớt một quyền hạn cho ngƣời dùng hoặc nhóm, bạn nhấp đôi chuột vào quyền hạn đƣợc chọn, nó sẽ xuất hiện một hộp thoại chứa danh sách ngƣời dùng và nhóm hiện tại đang có quyền này. Bạn có thể nhấp chuột vào nút Add để thêm ngƣời dùng, nhóm vào danh sách hoặc nhấp chuột vào nút Remove để xóa ngƣời dùng khỏi danh sách. Ví dụ minh họa sau là bạn cấp quyền thay đổi giờ hệ thống (change the system time) cho ngƣời dùng “Tuan”.
Danh sách các quyền hệ thống cấp cho ngƣời dùng và nhóm.
Quyền Mô tả
Access This Computer from the Network
Cho phép ngƣời dùng truy cập máy tính thông qua mạng. Mặc định mọi ngƣời đều có quyền này. Act as Part of the Operating
System
Cho phép các dịch vụ chứng thực ở mức thấpchứng thực với bất kỳ ngƣời dùng nào. (adsbygoogle = window.adsbygoogle || []).push({});
Add Workstations to the Domain
Cho phép ngƣời dùng thêm một tài khoản máy tính vào vùng.
Back Up Files and Directories
Cho phép ngƣời dùng sao lƣu dự phòng (backup) các tập tin và thƣ mục bất chấp các tập tin và thƣ mục này ngƣời đó có quyền không.
Bypass Traverse Checking
Cho phép ngƣời dùng duyệt qua cấu trúc thƣ mục nếu ngƣời dùng không có quyền xem (list) nội dung thƣ mục này.
Change the System Time Cho phép ngƣời dùng thay đổi giờ hệ thống của máy tính.
Create a Pagefile Cho phép ngƣời dùng thay đổi kích thƣớc của Page File.
Create a Token Object Cho phép một tiến trình tạo một thẻ bài nếu tiến trình này dùng NTCreate Token API.
Create Permanent Shared Objects
Cho phép một tiến trình tạo một đối tƣợng thƣ mục thông qua Windows 2000 Object Manager Debug Programs Cho phép ngƣời dùng gắn một chƣơng trình
debug vào bất kỳ tiến trình nào. Deny Access to This
Computer from the Network
Cho phép bạn khóa ngƣời dùng hoặc nhóm không đƣợc truy cập đến các máy tính trên mạng.
Deny Logon as a Batch File Cho phép bạn ngăn cản những ngƣời dùng và nhóm đƣợc phép logon nhƣ một batch file.
Deny Logon as a Service Cho phép bạn ngăn cản những ngƣời dùng và nhóm đƣợc phép logon nhƣ một services.
Deny Logon Locally Cho phép bạn ngăn cản những ngƣời dùng và nhóm truy cập đến máy tính cục bộ.
Enable Computer and User Accounts to Be Trusted by Delegation
Cho phép ngƣời dùng hoặc nhóm đƣợc ủy quyền cho ngƣời dùng hoặc một đối tƣợng máy tính.
Force Shutdown from a Remote System
Cho phép ngƣời dùng shut down hệ thống từ xa thông qua mạng.
Generate Security Audits Cho phép ngƣời dùng, nhóm hoặc một tiến trình tạo một entry vào Security log.
Increase Quotas Cho phép ngƣời dùng điều khiển các hạn ngạch của các tiến trình.
Increase Scheduling Priority Quy định một tiến trình có thể tăng hoặc giảm độ ƣu tiên đã đƣợc gán cho tiến trình khác.
Load and Unload Device Drivers
Cho phép ngƣời dùng có thể cài đặt hoặc gỡ bỏ các driver của các thiết bị.
Lock Pages in Memory Khóa trang trong vùng nhớ.
Log On as a Batch Job Cho phép một tiến trình logon vào hệ thống và thi hành một tập tin chứa các lệnh hệ thống.
Log On as a Service Cho phép một dịch vụ logon và thi hành một dịch vụ riêng.
Log On Locally Cho phép ngƣời dùng logon tại máy tính Server. Manage Auditing and (adsbygoogle = window.adsbygoogle || []).push({});
Security Log
Cho phép ngƣời dùng quản lý Security log. Modify Firmware
Environment Variables
Cho phép ngƣời dùng hoặc một tiến trình hiệu chỉnh các biến môi trƣờng hệ thống.
Profile Single Process
Cho phép ngƣời dùng giám sát các tiến trình bình thƣờng thông qua công cụ Performance Logs and Alerts.
Profile System Performance
Cho phép ngƣời dùng giám sát các tiến trình hệ thống thông qua công cụ Performance Logs and Alerts.
Remove Computer from Docking Station
Cho phép ngƣời dùng gỡ bỏ một Laptop thông qua giao diện ngƣời dùng của Windows 2000. Replace a Process Level
Token.
Cho phép một tiến trình thay thế một token mặc định mà đƣợc tạo bởi một tiến trình con. Restore Files and Directories
Cho phép ngƣời dùng phục hồi tập tin và thƣ mục, bất chấp ngƣời dùng này có quyền trên tập tin và thƣ mục này hay không.
Shut Down the System Cho phép ngƣời dùng shut down cục bộ máy Windows 2000.
Synchronize Directory Service Data
Cho phép ngƣời dùng đồng bộ dữ liệu với một dịch vụ thƣ mục.
Take Ownership of Files or Other Objects
Cho ngƣời dùng tƣớc quyền sở hữu của một đối tƣợng hệ thống.
Các lựa chọn bảo mật (Security Options) cho phép ngƣời quản trị Server khai báo thêm các thông số nhằm tăng tính bảo mật cho hệ thống nhƣ: không cho phép hiển thị ngƣời dùng đã logon trƣớc đó hay đổi tên tài khoản ngƣời dùng tạo sẵn (administrator, guest). Trong hệ thống Windows Server 2003 hỗ trợ cho chúng ta rất nhiều lựa chọn bảo mật, nhƣng trong giáo trình này chúng ta chỉ khảo sát các lựa chọn thông dụng.
Một số lựa chọn bảo mật thông dụng.
Tên lựa chọn Mô tả
Shutdown: Allow system to be shut down without having to log on
Cho phép ngƣời dùng shutdown hệ thống mà không cần logon.
Audit : audit the access of global system objects
Giám sát việc truy cập các đối tƣợng hệ thống toàn cục.
Network security: force logoff when logon hours expires.
Tự động logoff khỏi hệ thống khi ngƣời dùng hết thời gian sử dụng hoặc tài khoản hết hạn.
Interactive logon: do not require CTRL+ALT+DEL
Không yêu cầu ấn ba phím CTRL+ALT+DEL khi logon.
Interactive logon: do not display last user name (adsbygoogle = window.adsbygoogle || []).push({});
Không hiển thị tên ngƣời dùng đã logon trên hộp thoại Logon.
Account: rename administrator account
Cho phép đổi tên tài khoản Administrator thành tên mới
Account: rename guest account Cho phép đổi tên tài khoản Guest thành tên mới
III. IPSEC
IP Security (IPSec) là một giao thức hỗ trợ thiết lập các kết nối an toàn dựa trên
IP. Giao thức này hoạt động ở tầng ba (Network) trong mô hình OSI do đó nó an toàn và tiện lợi hơn các giao thức an toàn khác ở tầng Application nhƣ SSL. IPSec
cũng là một thành phần quan trọng hỗ trợ giao thức L2TP trong công nghệ mạng riêng ảo VPN (Virtual Private Network). Để sử dụng IPSec bạn phải tạo ra các qui tắc (rule), một qui tắc IPSec là sự kết hợp giữa hai thành phần là các bộ lọc
IPSec (filter) và các tác động IPSec (action).
Ví dụ nội dung của một qui tắc IPSec là “Hãy mã hóa tất cả những dữ liệu truyền
Telnet từ máy có địa chỉ 192.168.0.10”, nó gồm hai phần, phần bộ lọc là “qui tắc này chỉ hoạt động khi có dữ liệu đƣợc truyền từ máy có địa chỉ 192.168.0.10 thông qua cổng 23”, phần hành động là “mã hóa dữ liệu”.
1. Các tác động bảo mật
IPSec của Microsoft hỗ trợ bốn loại tác động (action) bảo mật, các tác động bảo mật này giúp hệ thống có thể thiết lập những cuộc trao đổi thông tin giữa các máy đƣợc an toàn. Danh sách các tác động bảo mật trong hệ thống Windows Server 2003 nhƣ sau:
- Block transmissons: có chức năng ngăn chận những gói dữ liệu đƣợc truyền, ví dụ bạn muốn IPSec ngăn chận dữ liệu truyền từ máy A đến máy B, thì đơn giản là chƣơng trình IPSec trên máy B loại bỏ mọi dữ liệu truyền đến từ máy A.
- Encrypt transmissions: có chức năng mã hóa những gói dữ liệu đƣợc truyền, ví dụ chúng ta muốn dữ liệu đƣợc truyền từ máy A đến máy B, nhƣng chúng ta sợ rằng có ngƣời sẽ nghe trộm trên đƣờng truyền nối kết mạng giữa hai máy A và B. Cho nên chúng ta cần cấu hình cho IPSec sử dụng giao thức ESP (encapsulating security payload) để mã hóa dữ liệu cần truyền trƣớc khi đƣa lên mạng. Lúc này những ngƣời xem trộm sẽ thấy
những dòng byte ngẫu nhiên và không hiểu đƣợc dữ liệu thật. Do IPSec
hoạt động ở tầng Network nên hầu nhƣ việc mã hóa đƣợc trong suốt đối với ngƣời dùng, ngƣời dùng có thể gởi mail, truyền file hay telnet nhƣ bình thƣờng.
- Sign transmissions: có chức năng ký tên vào các gói dữ liệu truyền, nhằm tránh những kẻ tấn công trên mạng giả dạng những gói dữ liệu đƣợc truyền từ những máy mà bạn đã thiết lập quan hệ tin cậy, kiểu tấn công này còn có cái tên là main-in-the-middle. IPSec cho phép bạn chống lại điều này bằng một giao thức authentication header. Giao thức này là phƣơng pháp ký tên số hóa (digitally signing) vào các gói dữ liệu trƣớc khi truyền, nó chỉ ngăn ngừa đƣợc giả mạo và sai lệnh thông tin chứ không ngăn đƣợc sự nghe trộm thông tin. Nguyên lý hoạt động của phƣơng pháp này là hệ thống sẽ thêm một bit vào cuối mỗi gói dữ liệu truyền qua mạng, từ đó chúng ta có thể kiểm tra xem dữ liệu có bị thay đổi khi truyền hay không.
- Permit transmissions: có chức năng là cho phép dữ liệu đƣợc truyền qua, chúng dùng để tạo ra các qui tắc (rule) hạn chế một số điều và không hạn chế một số điều khác. Ví dụ một qui tắc dạng này “Hãy ngăn chặn tất cả những dữ liệu truyền tới, chỉ trừ dữ liệu truyền trên các cổng 80 và 443”.
Chú ý: Đối với hai tác động bảo mật theo phƣơng pháp ký tên và mã hóa thì hệ thống còn yêu cầu bạn chỉ ra IPSecdùng phƣơng pháp chứng thực nào.
Microsoft hỗ trợ ba phƣơng pháp chứng thực: Kerberos, chứng chỉ (certificate) hoặc một khóa dựa trên sự thỏa thuận (agreed-upon key). Phƣơng pháp Kerberos chỉ áp dụng đƣợc giữa các máy trong cùng một miền Active Directory hoặc trong những miền Active Directory có ủy quyền cho nhau. Phƣơng pháp dùng các chứng chỉ cho phép bạn sử dụng các chứng chỉ PKI
(public key infrastructure) để nhận diện một máy. Phƣơng pháp dùng chìa khóa chia sẻ trƣớc thì cho phép bạn dùng một chuỗi ký tự văn bản thông thƣờng
làm chìa khóa(key).
2. Các bộ lọc IPSEC
Để IPSec hoạt động linh hoạt hơn, Microsoft đƣa thêm khái niệm bộ lọc (filter) IPSec, bộ lọc có tác dụng thống kê các điều kiện để qui tắc hoạt động. Đồng thời chúng cũng giới hạn tầm tác dụng của các tác động bảo mật trên một phạm vị máy tính nào đó hay một số dịch vụ nào đó. Bộ lọc IPSec chủ yếu dự trên các yếu tố sau:
- Địa chỉ IP, subnet hoặc tên DNS của máy nguồn. - Địa chỉ IP, subnet hoặc tên DNS của máy đích.
- Theo số hiệu cổng (port) và kiển cổng (TCP, UDP, ICMP…)
3. Triển khai IPSEC trên Windows Server 2003
Trong hệ thống Windows Server 2003 không hỗ trợ một công cụ riêng cấu hình IPSec, do đó để triển khai IPSec chúng ta dùng các công cụ thiết lập chính sách dành cho máy cục bộ hoặc dùng cho miền.
Để mở công cụ cấu hình IPSec, ta có 2 cách sau: (adsbygoogle = window.adsbygoogle || []).push({});
Bạn nhấp chuột vào Start / Run rồi gõ secpol.msc
Nhấp chuột vào Start / Programs / Administrative Tools / Local Security Policy,trong công cụ đó bạn chọn IP Security Policies on Active Directory
Tóm lại, các điều mà bạn cần nhớ khi triển khai IPSec:
trên một máy tính bất kỳ nào đó vào tại một thời điểm thì chỉ có một chính sách IPSec đƣợc hoạt động.
- Mỗi chính sách IPSec gồm một hoặc nhiều qui tắc (rule) và một phƣơng pháp chứng thực nào đó. Mặc dù các qui tắc permit và block không dùng đến chứng thực nhƣng Windows vẫn đòi bạn chỉ định phƣơng pháp chứng thực.
- IPSec cho phép bạn chứng thực thông qua Active Directory, các chứng chỉ
PKI hoặc một khóa đƣợc chia sẻ trƣớc.
- Mỗi qui tắc (rule) gồm một hay nhiều bộ lọc (filter) và một hay nhiều tác động bảo mật (action).
- Có bốn tác động mà qui tắc có thể dùng là: block, encrypt, sign và permit.