3.Bảo mật nhóm quản trị nội bộ trên các desktop

Một phần của tài liệu Chính sách bảo mật trên win2k3 (Trang 42 - 52)

- Cho u2 quyền logon locally

3.Bảo mật nhóm quản trị nội bộ trên các desktop

Có ba nhiệm vụ điển hình bạn cần thực hiện để bảo vệ nhóm Local Administrators. Windows Server 2003 và Windows Vista SP1 (được cài đặt RSAT) sẽ mang đến cho bạn những điều khiển mới đáng kinh ngạc làm cho các cấu hình này trở nên nhẹ nhàng!

Nếu công ty của bạn cũng giống như hầu hết các công ty khác thì sẽ có nhiều người dùng có quyền quản trị viên nội bộ trên các máy trạm của họ. Có nhiều giải pháp để loại trừ sự cần thiết này, đây chính là hướng mà mọi công ty đều muốn thực hiện. Khi người dùng đăng nhập vào hệ thống với tư cách một quản trị viên nội bộ, các nhân viên CNTT sẽ không thể kiểm soát được người dùng đó hoặc máy tính của họ. Chính vì vậy để bảo vệ nhóm quản trị viên nội bộ trên các máy trạm bạn cần phải sử dụng đến một số công cụ mạnh. Có ba nhiệm vụ bạn cần thực hiện để bảo vệ nhóm người dùng này sẽ được giới thiệu đến trong bài. Windows Server 2003 và Windows Vista SP1 (được cài đặt RSAT) sẽ mang đến cho bạn những điều khiển mới đáng kinh ngạc làm cho các cấu hình này trở nênnhẹ nhàng!

Nhiệm vụ 1: Remove tài khoản người dùng trong miền

Nhiệm vụ ban dầu trong việc bảo vệ nhóm quản trị viên nội bộ là bảo đảm rằng người dùng sẽ không nằm trong hội viên của nhóm nữa. Điều này nói bao giờ cũng dễ hơn thực hiện vì hầu hết các công ty đều cấu hình tài khoản miền của người dùng là thành viên trong nhóm này khi cài đặt máy tính của người dùng.

Hãy xem xét đến kịch bản ở nơi mà bạn giải quyết vấn đề với những người dùng đang đăng nhập vào máy tính của họ với quyền quản trị viên nội bộ và lúc này bạn cần phải remove các tài khoản người dùng trong miền từ nhóm quản trị viên nội bộ trên mỗi máy trạm trong môi trường sản xuất của mình. Bạn có tới 10.000 máy trạm, laptop, và những người dùng từ xa, chính vì vậy có một nhiệm đặt ra với bạn.

Nếu tạo một kịch bản để thực hiện nhiệm vụ này thì bạn sẽ phải dựa vào người dùng để đăng xuất và quay trở về kịch bản để tiếp tục chạy. Không bao giờ xảy ra đối với khoảng

một nửa các máy trạm, chính vì vậy bạn cần đến một cách khác.

Một giải pháp hoàn hảo ở đây là sử dụng Local Group – Group Policy Preference có thể thực hiện nhiệm vụ này trong khoảng 90 phút. Để thực hiện công việc này, bạn chỉ cần soạn thảo Group Policy Object (GPO) và cấu hình chính sách sau: User

Configuration\Preferences\Control Panel Settings\Local UsersGroups\New\Local Group, thao tác sẽ mở ra hộp thoại New Local Group Properties như thể hiện trong hình 1.1. Sau khi mở trang thuộc tính này, hãy chọn “Remove the current user”. Tùy chọn này sẽ ảnh hưởng đến tất cả các tài khoản trong phạm vi quản lý của GPO có thiết lập này. Thiết lập này sẽ áp dụng trong suốt quá trình refresh ngầm của Group Policy tiếp theo, quá trình diễn ra không đến 90 phút.

Hình 1.1: Local Group GPP cho phép bạn kiểm soát thành viên của nhóm quản trị viên nội bộ

Nhiệm vụ 2: Thêm Domain Admin và Local Administrator

Có thể sử dụng chính sách Restricted Groups (các nhóm hạn chế) có trong Windows Active Directory Group Policy để thực hiện nhiệm vụ này. Tuy nhiên vấn đề với giải pháp này ở chỗ chính sách này là một chính sách “xóa và thay thế”, không phải là chính sách theo đúng nghĩa nối thêm dữ liệu. Chính vì vậy khi bạn cấu hình một chính sách để thực hiện nhiệm vụ này thì bạn sẽ xóa toàn bộ nội dung của nhóm local Administrators và thay thế nó bằng hai tài khoản này.

Bằng cách sử dụng chính sách Local Users and Groups được mô tả trong nhiệm vụ 1, bạn không chỉ có thể remove người dùng đã đăng nhập mà còn có thể bổ sung thêm hai tài khoản chính để bảo đảm có đúng các đặc quyền quản trị được thiết lập trên mỗi máy trạm, xem thể hiện trong hình 2.

Nhiệm vụ 3: Revome các tài khoản cụ thể

Bước cuối cùng trong công việc bảo vệ nhóm local Administrators là bảo đảm rằng chỉ có các tài khoản xác thực mới có quyền hội viên. Trong nhiều trường hợp, có những nhóm trong miền được thêm vào nhóm local Administrators để thực hiện một nhiệm vụ nào đó, hoàn tất một dự án hoặc thực hiện việc bảo trì. Nếu các nhóm này không cần thiết phải nằm trong nhóm local Administrators thì bạn hoàn toàn có thể remove chúng bằng chính sách Local Users and Groups mới.

Trong một trường hợp cũng tương tự như vậy mà bạn đã thêm vào hai tài khoản trong nhiệm vụ 2 thì cũng có thể thêm các tài khoản vào chính sách cần được remove. Để thực hiện điều này, bạn hãy chọn tùy chọn “Remove from this group” khi thêm tài khoản vào chính sách, xem thể hiện trong hình 3.

Hình 1.3: Remove một nhóm hoặc một người dùng nào đó từ nhóm local Administrators Lúc này bạn có thể kiểm soát được toàn bộ thành viên của nhóm local Administrators, thậm chí còn có thể remove các tài khoản nhóm và người dùng không cần thiết.

Có được các công cụ và cácRule

Để bạn có thể lợi dụng các thiết lập của Group Policy Preferences trong Windows Server 2008 và Vista bạn chỉ cần có một trong những thứ dưới đây đối với mạng của mình:

• Windows Vista SP1, đã cài đặt Remote Server Administrative Toolset

Cả hai hệ điều hành này đều có Group Policy Management Console và Group Policy Management Editor mới và đã được cải tiến.

Các thiết lập có trong Group Policy Preferences mới có thể áp dụng cho các hệ điều hành dưới đây:

• Windows XP SP2 và phiên bản cao hơn

• Windows Server 2003 SP1 và phiên bản cao hơn • Windows Vista SP1 và phiên bản cao hơn

• Windows Server 2008 và phiên bản cao hơn

Tuy nhiên bất kỳ phiên bản Windows 2000 nào lại không được!

Kết luận

100% sự thật ở đây là các nhân viên CNTT không hề có điều khiển trên những máy trạm mà người dùng có các đặc quyền quản trị viên. Chính vì vậy tất các các công ty cần phải thực thi việc kiểm soát các máy trạm cũng như bảo vệ nhóm quản trị nội bộ. Các bước được giới thiệu trong bài này hoàn toàn có thể nhờ có sự trợ giúp của Group Policy Preferences có trong Windows Server 2008 và Vista. Chỉ cần một vài click, bạn có thể sẽ có được 100% quyền kiểm soát đối với các máy trạm của mình và nhóm quản trị nội bộ. Các thiết lập này sẽ áp dụng trong vòng khoảng 90 phút, có hiệu lực cho tất cả các máy tính nằm trong miền và trong mạng.

4,Bảo mật trên Server 2003 Domain Controllers

4.1, giới thiệu

Vì máy Domain Controller quản lý Windows domain và tất cả các máy tính nằm trong Domain đó, nên việc bảo vệ nó phải được quan tâm một cách thích đáng. Trong phần, chúng ta sẽ điểm qua một vài việc cần phải làm để bảo vệ Domain Controllers.

4.2, Thực hiện

Bước 1: Bảo vệ vật lý các DCs

a. Gỡ bỏ tất cả các ổ đĩa có thể tháo ra được như ổ mềm, ổ CD/DVD, các ổ cứng gắn ngoài, ổ USB,…Điều này sẽ gây khó khăn cho kẻ xâm nhập khi muốn chép một chương trình nào đó (ví dụ virus) vào máy hoặc chép dữ liệu từ máy ra. Các cổng có thể dùng gắn các thiết bị bên ngoài vào như USB/IEEE 1394, cổng serial, cổng parallel, cổng SCSI…, nếu bạn không có nhu cầu dùng chúng thì nên disable (thông qua Bios) hoặc tháo ra khỏi server luôn.

b. Khóa thùng server để ngăn cản việc lấy cắp ổ cứng hoặc gây hại đến các thành phần trong máy.

c. Đặt server vào cabinet và khóa lại và bảo vệ hệ thống điện cho server để đảm bảo không bị ngắt điện.

Bước 2: Bảo vệ các DCs khỏi việc tấn công từ xa

Một khi bạn đã hài lòng với việc bảo vệ server ở tần vật lý, việc tiếp theo cần phải chú ý là ngăn cản các hacker, cracker và attacker, không cho phép cho truy nhập vào DCs qua đường mạng. Tất nhiên, phương thức “tốt nhất” là bỏ các DCs ra khỏi mạng – nhưng tất nhiên điều này là không thể. Thay vì thế, bạn cần phải làm các bước sau để chống lại các phương pháp tấn công phổ biến

Bước 3: Bảo mật tài khoản Domain

Một trong những cách dễ nhất (đối với hacker) và cũng là một trong nhưng cách phổ biến nhất để xâm nhập vào mạng và các DCs là truy cập vào bằng một tài khoản và mật khẩu hợp pháp.nếu bạn sử dụng tài khoản quản trị mặc định mà tên của nó

(Administrator) thì tất cả các hacker đều biết. Công việc của anh ta bây giờ là chỉ cần tìm thêm một thông tin nữa (mật khẩu). Và không giống như các tài khoản thông thường, tài khoản quản trị mặc định không bị locked out (tạm khóa) nếu vượt quá số lần đăng nhập sai. Điều này có nghĩa là hacker chỉ cần đoán (sử dụng phương pháp brute-force) các mật khẩu cho đến khi đăng nhập được. Điều này là lý do tại sao bạn nên đổi tên tài khoản quản trị có sẵn (built-in) này. Tất nhiên, việc đổi tên cũng không giúp gì mấy nếu

computer/domain”). Ý tưởng ở đây là làm sao để kẻ tấn công khó đoán được tài khoản có quyền quản trị. Việc này chỉ có nghĩa là “làm chậm lại” quá trình tấn công. Một người có kinh nghiệm sẽ dễ dàng phát hiện ra điều này.

Trong Windows 2003, bạn có thể disable hoàn toàn tài khoản administator built-in. Trong trường hợp này, đầu tiên bạn phải tạo một tài khoản khác và cấp quyền quản trị. Tài khoản guest nên được disable (như mặc định). Nếu bạn cần cấp quyền guest cho ai đó, bạn nên tạo một tài khoản mới và giới hạn quyền truy cập của tài khoản đó.

Tất cả các tài khoản – mà đặc biệt là tải khoản quản trị - nên có mật khẩu mạnh bao gồm ít nhất là 8 ký tự: chữ, số và các ký tự đặc biệt, chữ in hoa và in thường, và không được có trong từ điển. Các người dùng cũng phải chú ý không viết mật khẩu ra giấy cũng như chia sẻ mật khẩu đó với một người khác (social engineering là một trong những cách phổ biến nhất mà các hacker sử dụng), và một chính sách về việc thay đổi mật khẩu thường xuyên phải được đặt ra.

Bước 4 Đặt lại đường dẫn cho AD Database

Cơ sở dữ liệu Active Directory (AD) bao gồm các thông tin nhạy cảm và cần phải được bảo vệ. Một cách để làm việc này là di chuyển các file từ đường dẫn mặc định, nơi mà các kẻ tấn công hy vọng sẽ tìm thấy chúng (trên system volume). Để an toàn hơn nữa, nên xem xét việc đặt chúng lên các striped hay mirrored volume để có thể khôi phục lại chúng trong trường hợp đĩa cứng bị hỏng.

Các file trên bao gồm: a. Ntds.dit

b. Edb.log c. Temp.edb

Ghi chú: Việc di chuyển các tập tin AD database sang một đĩa cứng vật lý khác cũng giúp tăng hiệu quả của DC.

Bạn có thể dùng tiện ích NTDSUTIL.EXE để di chuyển database và log file. Cách làm như sau:

2. Bấm F8 lúc startup để truy cấp vào tùy chọn Advanced 3. Từ menu, chọn Directory Services Restore Mode

4. Nếu bạn có hơn một phiên bản của Windows Server 2003 cài trên máy, chọn phiên bản đúng và bấm Enter.

5. Tại màn hình đăng nhập, gõ vào mật khẩu administrator được nhập trong quá trình DCPROMO(hình a)

Hình a

6. Chọn Start --> Run và gõ cmd, Tại cửa sổ lệnh, gõ NTDSUTIL.EXE 7. Tại dấu nhắc của NTDSUTIL, bấm FILES

8. Chọn database và log file bạn muốn di chuyển. Bấm MOVE DB TO hay MOVE LOGS TO.

9. Chọn QUIT 2 lần để quay về cửa sổ command và đóng cửa sổ command lại. 10. Khởi động lại và đăng nhập vào Windows Server 2003 như bình thường

Bước 5 Bảo vệ thông tin mật khẩu với Syskey

Một trong nhưng thông tin nhạy cảm nhất được chứa trong Active Directory là thông tin về mật khẩu của các tài khoản trong Domain. Chương trình System Key (Syskey) được dùng để mã hóa thông tin mật khẩu của tài khoản được chứa trong directory services của domain controller.

Có 3 chế độ trong Syskey. Ở mode thứ nhất, được bật mặc định trên tất cả các Server 2003, một khóa hệ thống (system key) được tạo ra một cách ngẫu nhiên và phiên bản đã được mã hóa của khóa được lưu trữ cục bộ. Trong mode này, bạn vẫn có thể khởi động lại máy một cách bình thường.

Trong mode 2, khóa hệ thống được tạo ra và lưu trữ giống như mode 1, nhưng một mật khẩu khác, được chọn bởi administrator, cung cấp thêm sự bảo vệ. Khi bạn khởi động lại máy, bạn phải nhập mật khẩu syskey này trong quá trình startup. Mật khẩu này không được lưu trữ locally.

Mode thứ 3 là phương thức bảo mật nhất. Khóa được máy tính phát sinh ra được lưu trữ trên đĩa mềm thay vì trên máy. Bạn không thể khởi động được máy trừ khi bạn có được cái đĩa mềm đó, và bạn phải bỏ nó vào ổ đĩa khi được yêu cầu trong quá trình khởi động. Ghi chú: trước khi thực hiện bước 2 hoặc 3, bạn nên xem xét về khả năng thực hiện. Ví dụ, việc bỏ đĩa mềm chứa mật khẩu syskey sẽ cần bạn phải bỏ vào; điều này có nghĩa là bạn không thể khởi động máy tính từ xa nếu không có ai ở đó để bỏ đĩa mềm vào cho bạn.

Dưới đây là các bước để tạo một syskey: 1. Chọn Start --> Run, gõ cmd

2. Tại cửa sổ command, gõ SYSKEY

3. Chọn UPDATE. Check vào ENCRYPTION ENABLED.

5. Nhập mật khẩu vào (mật khẩu có thể từ 12 đến 128 ký tự).

6. Nếu bạn không muốn hỏi mật khẩu khi khởi động, chọn SYSTEM GENERATED PASSWORD.

7. Tùy chọn mặc định là STORE STARTUP KEY LOCALLY. Nếu bạn muốn lưu khóa trên đĩa mề, chọn STORE STARTUP KEY ON FLOPPY DISK.

Nếu bạn sử dụng mode 3, lưu mật khẩu trên đĩa mềm, thì bạn nên tạo thêm một đĩa mềm backup.

Kết luận

Bảo vệ các DCs là phần sống còn trong kế hoạch bảo mật mạng của bạn. Trong bài viết này, chúng ta đã thảo luận làm thế nào để bảo vệ vật lý các DCs, bảo mật tài khoản domain, di chuyển các AD Database files, và cách sử dụng tiện ích Syskey để bảo vệ thông tin mật khẩu của các tài khoản được lưu trưc trên Domain Controllers

Một phần của tài liệu Chính sách bảo mật trên win2k3 (Trang 42 - 52)

Tải bản đầy đủ (DOC)

(57 trang)
w