Cấu hình giới hạn phần mềm

Một phần của tài liệu Giáo trình quản trị mạng (nghề kỹ thuật sửa chữa, lắp ráp máy tính cao đẳng) (Trang 41 - 48)

3. Cài đặt và nâng cấp Windows7

1.4. Cấu hình giới hạn phần mềm

Ta có thể sử dụng các công cụ chính sách nhóm trong Windows XP để thực hiện các chính sách hạn chế phần mềm. Để cho phép một chính sách hạn chế phần mềm, sử dụng một trong những phương pháp sau đây:

· Dùng chính sách nhóm

1. Nhấp vàoBắt đầu, sau đó bấmChạy.

2. Loạigpedit.msc, sau đó bấmOk.

3. Mở rộng các mục sau đây: Cấu hình máy tính Thiết đặt Windows Thiết đặt bảo mật Các chính sách hạn chế phần mềm · Bằng cách sử dụng chính sách bảo mật cục bộ 1. Nhấp vàoBắt đầu, sau đó bấmChạy.

2. Loạisecpol.msc, sau đó bấmOk.

Mức mặc định an ninh và ngoại lệ

Bạn có thể cấu hình mặc định mức bảo mật và xác định bổ sung quy tắc tạo thành trường hợp ngoại lệ cho quy tắc mặc định. Mức độ bảo mật mặc định sẽ xác định hành vi cho tất cả các chương trình. Quy tắc bổ sung cung cấp ngoại lệ đối với mức độ bảo mật mặc định. Mức bảo mật hai là:

· Không được phep -Nếu bạn thiết lậpKhông được phep theo các quy tắc mặc định, các chương trình không được phép. Bạn cần phải tạo quy tắc bổ sung cho phép các chương trình cụ thể để chạy. Bằng cách sử dụngKhông được phep Theo mặc định không phải là một ý tưởng tốt trừ khi người quản trị có danh sách đầy đủ các chương trình cho phép.

· Không bị giới hạn -Nếu bạn thiết lậpKhông bị giới hạn theo quy tắc mặc

định, tất cả các chương trình được phép chạy. Bạn phải tạo các quy tắc bổ sung nếu bạn muốn để hạn chế các chương trình cá nhân.

· Không bị giới hạn là tốt nhất nếu người quản trị không có danh sách đầy đủ các chương trình được phép, nhưng cần phải ngăn chặn một số chương trình đang chạy.

Quy tắc bổ sung

Bạn có thể cấu hình một số loại hình bổ sung quy tắc:

· Băm - với một quy tắc Hash, các quản trị viên danh sách tệp chương trình được chặn hoặc cho phép một cách rõ ràng. Nó băm, và điều này kết quả trong một vân tay mật mã mà vẫn giữ nguyên, bất kể của tên tệp hoặc vị trí. Bạn có thể sử dụng phương pháp này để ngăn chặn một phiên bản đặc biệt của một chương trình chạy hoặc để ngăn chặn một chương trình hoạt động, bất kể của nơi nó nằm. Một vấn đề trong Windows XP (tất cả các dịch vụ gói cấp) ngăn quy tắc băm làm việc với tập tin DLL. Quy tắc băm làm việc đúng với Windows Server 2003 và phiên bản mới nhất của Windows. Một workaround có thể để Windows XP là tạo ra một kịch bản đăng nhập unregisters các tập tin DLL liên quan bằng cách sử dụng lệnh sau đây:

regsvr32 /utên tp tin.dll

· Chứng chỉ - bạn có thể xây dựng quy tắc giấy chứng nhận bằng cách cung cấp chứng chỉ ký mã nhà xuất bản phần mềm. Giống như quy tắc Hash, giấy chứng nhận quy định áp dụng không có vấn đề nơi tệp chương trình có vị trí hoặc những gì nó được đặt tên theo.

· Đường dẫn - đường dẫn quy tắc áp dụng cho tất cả các chương trình chạy được chỉ định địa phương hoặc đường dẫn mạng, hoặc từ thư mục con trong đường dẫn.

· Vùng Internet - bạn có thể sử dụng vùng Internet quy tắc áp dụng quy tắc chính sách hạn chế phần mềm dựa trên khu vực an ninh Microsoft Internet Explorer mà chương trình đang chạy. Hiện nay, các quy tắc này chỉ áp dụng cho Microsoft Windows Installer gói được điều hành từ khu vực. Vùng Internet quy tắc áp dụng cho các chương trình được tải xuống Internet Explorer.

Quy tắc cấu hình chung

Thêm vào mặc định an ninh và quy tắc bổ sung, bạn cũng có thể xác định cấu hình chung quy tắc xác định như thế nào các chính sách hạn chế phần mềm được áp dụng trên máy tính. Chúng bao gồm:

· Thực thi pháp luật - bạn có thể sử dụng các thiết đặt thực thi pháp luật để xác định những tập tin được thi hành, và những người sử dụng có thể cấu hình chính

sách hạn chế bảo mật. Theo mặc định, tất cả các phần mềm file ngoại trừ thư viện (như năng động liên kết thư viện, hoặc DLL) có thể thiết lập chính sách hạn chế bảo mật. Bạn có thể cấu hình các chính sách hạn chế bảo mật áp dụng cho tất cả các phần mềm file. Lưu ý rằng điều này có thể yêu cầu rằng bạn thêm các quy tắc cho mỗi tập tin thư viện được yêu cầu một chương trình.

Theo mặc định, tất cả người dùng có thể thiết lập chính sách hạn chế bảo mật trên máy tính. Bạn có thể cấu hình thực thi pháp luật cho tất cả người dùng ngoại trừ quản trị viên địa phương, cho phép quản trị viên địa phương để chạy chương trình disallowed.

· Chỉ định tập tin loại - bạn có thể sử dụng chính sách này để cấu hình các loại tệp mà thiết đặt chính sách hạn chế bảo mật áp dụng.

· Các nhà cung cấp tin cậy - bạn có thể sử dụng thuộc tính của các nhà cung cấp đáng tin cậy để cấu hình mà người dùng có thể lựa chọn các nhà xuất bản tin cậy. Bạn cũng có thể xác định, nếu có, thu hồi chứng chỉ kiểm tra được thực hiện trước khi tin tưởng một nhà xuất bản.

2. Cấu hình bảo mật kết nối mạng

Mục tiêu:

- Nắm được cấu hình Windows Firewall Settings - Các cách thức quản lý ổ đĩa.

Bảo mật là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá quan tâm. Một khi internet ra đời và phát triển, nhu cầu trao đổi thông tin trở nên cần thiết. Mục tiêu của việc nối mạng là làm cho mọi người có thể sử dụng chung tài nguyên từ những vị trí địa lý khác nhau. Cũng chính vì vậy mà các tài nguyên cũng rất dễ dàng bị phân tán, dẫn một điều hiển nhiên là chúng sẽ bị xâm phạm, gây mất mát dữ liệu cũng như các thông tin có giá trị. Càng giao thiệp rộng thì càng dễ bị tấn công, đó là một quy luật. Từ đó, vấn đề bảo vệ thông tin cũng đồng thời xuất hiện. Bảo mật ra đời.

Tất nhiên, mục tiêu của bảo mật không chỉ nằm gói gọn trong lĩnh vực bảo vệ thông tin mà còn nhiều phạm trù khác như kiểm duyệt web, bảo mật internet, bảo mật http, bảo mật trên các hệ thống thanh toán điện tử và giao dịch trực tuyến….

2.1. Cấu hình Windows Firewall Settings

Dịch vụ Security Center hoạt động như một quá trình nền và kiểm tra trạng thái bảo mật cần thiết trên máy tính người dùng:

· Firewall. Security Center kiểm tra xem Windows Firewall được bật hay tắt. Security Center cũng có thể kiểm tra sự có mặt của một số tường lửa nhóm thứ ba.

· Automatic Updates. Security Center kiểm tra để bảo đảm Automatic Updates được thiết lập trong các thiết lập được ưu tiên, nó sẽ tự động tải và cài đặt các nâng cấp cần thiết. Nếu Automatic Updates được đặt ở chế đột tắt hoặc không đặt các thiết lập ưu tiên thì Security Center sẽ đưa ra các đề cử thích hợp.

· Virus Protection. Security Centerkiểm tra sự hiện diện của phần mềm virus bằng sử dụng các truy vấn cho các nhà cung cấp thiết bị quản lý Windows cụ thể Windows Management Instrumentation (WMI), và nhiều công cụ được tạo bởi các hãng khác. Nếu thông tin có hiệu lực thì Security Center sẽ báo cáo xem

phần mềm đó được cập nhật và chế độ quét thời gian thực có được kích hoạt hay không.

Nếu một yếu tố cần thiết về bảo mật được phát hiện trong điều kiện không đủ bảo đảm an toàn hoặc ở trạng thái không thể phát hiện thì Security Center hiển thị cái khiên màu đỏ trong vùng chú ý taskbar của máy tính và sẽ đưa ra một thông báo báo cảnh khi đăng nhập. Thông báo này liên kết với Security Center để hiển thị một thông báo về vấn đề và đưa ra các lời khuyên giúp bạn khắc phục tình trạng này. Nếu sử dụng một chương trình chống virus hoặc tường lửa mà bạn tự kiểm tra thì có thể thay đổi cách Security Center bảo cảnh về chương trình đó.

Các thủ tục thực hiện khi sử dụng Security Center là: · Thay đổi Security Center Alerts

· Cấu hình Windows Firewall · Cấu hình Automatic Updates

Yêu cầu để thực hiện nhiệm vụ này

Bạn phải đăng nhập như một thành viên nhóm bảo mật quản trị nội bộ

Thay đổi Security Center Alerts

Bạn không được sử dụng phần mềm chống virus và tường lửa cùng chiều hướng với Security Center. Nếu sử dụng phần mềm không có khả năng phát hiện thì bạn phải cấu hình các tùy chọn Security Center để cho phép có thể kiểm tra trạng thái bảo mật và bạn sẽ không nhận được các thông báo thúc giục thay đổi cấu hình.

Để thay đổi các báo cảnh Security Center

1. KíchStart, sau đó kíchControl Panel.

2. Trên cửa sổ chọn danh mụcPick a category, kíchSecurityCenter.

3. Dưới Resources, bạn kíchChange the way SecurityCenter alerts me.

4. Xóa các thiết lập báo cảnh để đáp ứng yêu cầu của bạn 5. KíchOKCầu hình Windows Firewall

Các thiết lập mặc định cho Windows Firewall cần thiết với hầu hết người dùng. Các thiết lập mặc định và ý nghĩa khi có thể thay đổi được cho trong bảng 1.

Bảng 1: Các thiết lp mc định ca tường la

Tùy chọn

Cấu hình mặc định Mô tả chi tiết

Network connection settings All connections

Bạn không yêu cầu sự bảo vệ của Windows Firewall cho kết nối cụ thể, hoặc yêu cầu các thiết lập trên một kết nối.

Program exceptions Remote Assistance only

Bạn cần kết nối từ các chương trình hay dịch vụ khác đến máy tính. Port exceptions

None

Bạn cần kết nối từ các chương trình máy tính khác có sử dụng cổng cụ thể trên máy tính.

ICMP exceptions None

Bạn cần các máy tính khác để xác minh rằng máy tính của bạn tồn tại và TCP/IP đó được cấu hình đúng.

Notifications On

Bạn không mong muốn được thông báo khi các máy tính khác kết nối thất bại đến máy tính của mình.

Logging Off

Bạn cần một bản ghi để ghi lại các kết nối hoặc cố gắng kết nối thực hiện tới máy tính của bạn

Don't Allow Exceptions Off

Bạn khá rõ về các lỗ hổng bảo mật trên máy tính của mình, những lỗ hổng chưa áp dụng các bản vá. Sau khi bạn đã cập nhật các bản vá, đặt lại thiết lập này là Off.

u ý: Mặc dù tài liệu này giải thích cách thay đổi các thiết lập mặc định, nhưng nếu thực hiện bạn có thể vô hình tình làm tăng lỗ hổng của máy tính trước các tấn công. Nếu bạn bổ sung vào bất kỳ tùy chọn ngoại lệ nào được liệt kê trong bảng 1 thì với mỗi một tùy chọn bạn có thể định nghĩa một phạm vi hoạt động. Phạm vi hoạt động là một cấu hình tùy chọn cho phép bạn chỉ định các máy tính nào có thể sử dụng chương trình ngoại lệ trên máy của bạn. Nếu bạn cấu hình phạm vi cho mạng cục bộ thì các máy tính trên cùng mạng con có thể kết nối được đến chương trình trên máy tính. Mặc dù vậy lượng truy cập từ một máy tính từ xa không được cho phép.

Để cấu hình các thiết lập mặc định, Windows Firewall thực hiện các thủ tục dưới đây trên máy tính của bạn.

· Kích hoạt Windows Firewall trên một cơ sở kết nối trên mạng · Cấu hình các chương trình ngoại lệ

· Cấu hình các cổng ngoại lệ · Cấu hình ICMP ngoại lệ · Vô hiệu hóa các thông báo

· Cài đặt các thiết lập bản ghi tường lửa · Sử dụng không cho phép các ngoại lệ.

Quan trọng: Nếu bạn thay đổi bất kỳ thiết lập nào ở trên ngoại trừ Don't allow

exceptions (Không cho phép các ngoại lệ) thì cũng có thể làm tăng lỗ hổng trong máy tính đối với các tấn công.

Để kích hoạt Windows Firewall trên một cơ sở kết nối trên mạng

1. TừSecurityCenter, dướiManage security settings for bạn kíchWindows Firewall.

2. TrongWindows Firewall, bạn kích tabAdvanced.

3. Trên tabAdvanced, trong vùngNetwork Connection Settings, xóa tất cả các kết nối mà bạn không cần tường lửa bảo vệ.

Lưu ý: Windows Firewall được kích hoạt cho tất cả các vùng kết nối. Nếu bạn đã sử dụng sản phẩm tường lửa của nhóm thứ ba (một tường lửa được cài đặt cục bộ) trên kết nối riêng thì bạn nên vô hiệu hóa Windows Firewall chỉ cho kết nối đó. 4. Trên tab Advanced, trong vùng Network Connection Settings, bạn kích chọn kết

nối cụ thể muốn cấu hình thiết lập khác với mặc định, sau đó kíchSettings.

5. Chọn hoặc xóa dịch vụ cụ thể mà bạn muốn kích hoạt hoặc vô hiệu hóa với kết nối này.

6. Nếu dịch vụ mà bạn muốn kích hoạt cho kết nối này không được hiển thị thì hãy kíchAdd.

7. Trên cửa sổ Service Settings, nhập các chi tiết cho dịch vụ mà bạn muốn kích hoạt và sau đó kíchOK.

8. KíchOK để đóng cửa sổAdvanced Settings

Cấu hình chương trình ngoại lệ

1. Trong Windows Firewall kích tab ngoại lệ (Exceptions)

2. Trong vùngPrograms and Services, chọn mỗi dịch vụ cần tạo kết nối đến máy tính của bạn, sau đó kíchOK.

3. Nếu chương trình hoặc dịch vụ không được liệt kê trong danh sách và bạn lại muốn kích hoạt chương trình để tạo kết nối thông qua Windows Firewall, hãy kíchAdd Program.

4. Trong danh sáchPrograms,kích chương trình mà bạn cần qua Windows Firewall

Lưu ý: Nếu chương trình không được liệt kê trong danh sách, kíchBrowse và duyệt đến chương trình. Kích chương trình và sau đó kíchOpen.

5. Kích Change scope.

Lưu ý: Thay đổi phạm vi là một cấu hình tùy chọn cho phép chỉ định máy tính có thể sử dụng chương trình mong đợi trên máy tính. Nếu không cần định nghĩa một phạm vi thì bạn có thể bỏ qua bước 8.

6. Kích:

Any computer (including those on the Internet), để cho phép truy cập không do yêu

cầu vào chương trình của bạn

· My network (subnet) only, để cho phép các máy tính trên cùng một mạng con với máy tính của bạn có thể truy cập vào chương tình · Custom list, để chỉ cho phép các máy tính bạn chỉ định trong trường

danh sách tùy chỉnh có thể truy cập vào chương trình. 7. KíchOK.

8. Trong hộpAdd a Program, kíchOK.

9. KíchOK.

Để cu hình cng ngoi l

1. TrongWindows Firewall, kích tabExceptions

2. Trong vùng Programs and Services, kíchAdd Port.

3. Trong trườngName, đánh tên cổng mà bạn muốn thêm. Trong trường Port number, đánh số cổng thích hợp. Kích nútTCPhoặcUDPthích hợp

4. KíchChange scope.

Lưu ý: Thay đổi phạm vi là một cấu hình tùy chọn cho phép chỉ định máy tính nào có thể sử dụng cổng mong muốn trên máy tính của bạn. Nếu không cần định nghĩa phạm vi thì bạn có thể bỏ qua bước 7.

5. Kích

· Any computer (including those on the Internet), để cho phép truy cập không do yêu cầu vào máy tính của bạn thông qua cổng

· My network (subnet) only, để cho phép các máy tính trên cùng mạng con có thể truy cập vào máy tính của bạn thông qua cổng

· Custom list, để chỉ cho phép các máy tính mà bạn chỉ định trong trường

danh sách tùy chọn có thể truy cập vào máy tính của bạn thông qua cổng. 6. KíchOK.

7. Trong hộpAdd a Port, bảo đảm cổng mới của bạn được thêm vào danh sách Programs and Services sau đó kíchOK.

Cấu hình các ngoi l ICMP

1. TrongWindows Firewall trên tab Advanced, trong phầnICMP, kíchSettings.

2. Chọn thiết lập thích hợp cho các ngoại lệ của ICMP, ví dụ, nếu bạn muốn kích hoạt máy tính của mình để đáp trả lệnh “ping”, hãy chọnAllow incoming echo request, sau đó kíchOK.

Lưu ý: Đây là thiết lập mặc định nếu ngoại lệFile and Printer Sharingđược kích hoạt

Vô hiệu hóa các thông báo

TrongWindows Firewall, trên tabExceptions, xóaDisplay a notification when Windows Firewall blocks a program, sau đó kíchOK.

Để cài đặt các thiết lập bản ghi Windows Firewall

1. TrongWindows Firewall, trên tab Advanced, trong phầnSecurity Logging,

clickSettings.

2. Trên cửa sổLog Settings, chọnLog dropped packets để ghi lại tất cả các cố gắng kết nối bị loại bỏ bởi tường lửa vàLog successful connections để ghi lại tất cả các cố gắng kết nối được cho phép bởi tường lửa.

3. Nhập một đường dẫn và tên cho bản ghi của bạn (pfirewall.log là file mặc định)

Lưu ý: Vị trí cho file bản ghi của bạn phải được bảo đảm ngăn chặn được sự thay đổi

Một phần của tài liệu Giáo trình quản trị mạng (nghề kỹ thuật sửa chữa, lắp ráp máy tính cao đẳng) (Trang 41 - 48)

Tải bản đầy đủ (PDF)

(183 trang)