Bảo mật hệ thống

Một phần của tài liệu Giáo trình quản trị mạng Viện Công Nghệ Thông Tin (Trang 124 - 142)

.1 Bảo vệ tài nguyên với NTFS

Hệ thống tập tin NTFS cung cấp chế độ bảo mật cho file và folder. Nghĩa là nếu như khi Windows 2000 được cài đặt và sử dụng NTFS, file và folder sẽ được an toàn hơn so với sử dụng FAT. Cơ chế bảo mật được quản lý bằng việc gán các quyền NTFS cho file và folder. Bảo mật được thực hiện cả ở cấp độ sử dụng cục bộ và các cấp độ sử dụng trong mơi trường mạng

Giáo trình quản trị mạng - Viện Công Nghệ Thông Tin

Quyền NTFS Khi áp dụng cho folder

Khi áp dụng cho file

Read Hiển thị tên folder Hiển thị thuộc tính Hiển thị tên chủ sở hữu và các quyền

Hiển thị tên file Hiển thị thuộc tính Hiển thị tên chủ sở hữu và các quyền

Write Thêm file và folder Đổi thuộc tính của folder

Hiển thị tên chủ sở hữu và các quyền

Đổi thuộc tính của file Tạo dữ liệu trong file Thêm dữ liệu vào cuối file

Hiển thị tên chủ sở hữu và các quyền

eXecute Hiển thị thuộc tính của folder

Thực hiện các thay đổi đối với các folder con của folder này

Hiển thị tên chủ sở hữu và các quyền

Hiển thị thuộc tính của file

Chạy 1 file nếu có thể Hiển thị tên chủ sở hữu và các quyền

Delete Xóa folder Xóa file

Change Permiss ion

Thay đổi các quyền đối với folder

Thay đổi các quyền đối với file

Take Owners hip

Lấy quyền chủ sở hữu đối với folder

Lấy quyền chủ sở hữu đối với file

.1.1. Quyền truy cập đối với tập tin

Để áp dụng quyền NTFS cho 1 tập tin Click chuột phải vào tập tin đó, chọn Properies

Giáo trình quản trị mạng - Viện Cơng Nghệ Thông Tin

Trong phần Permissions, nếu muốn áp dụng những quyền nào cho tập tin này thì bạn chọn ơ Allow, và cấm quyền bằng cách chọn ô Deny.

.1.2. Quyền truy cập đối với thư mục

Để áp dụng quyền NTFS cho 1 thư mục Click chuột phải vào thư mục đó, chọn Properies

Giáo trình quản trị mạng - Viện Công Nghệ Thông Tin

Thao tác trong phần Permissions tương tự như đối với tập tin. Ngồi ra cịn có thể áp dụng các quyền NTFS đối với tập tin và thư mục theo từng nhóm người dùng, hoặc cá nhân cụ thể được cấp quyền được thể hiện trong phần Name. Nếu muốn thêm quyền cho một nhóm người dùng hoặc cá nhân nữa, bạn vào nút Add.

Giáo trình quản trị mạng - Viện Công Nghệ Thông Tin

Để áp dụng các quyền NTFS một cách rõ ràng, cụ thể và đầy đủ hơn , bấm nút Advanced của cửa sổ Properties làm xuất hiện cửa sổ Access Control Setting

Trong phần Permission Entry, chọn tên một nhóm người dùng rồi bấm nút View/Edit để chọn các quyền một cách chi tiết hơn.

Giáo trình quản trị mạng - Viện Cơng Nghệ Thông Tin

.2 Bảo mật với Internet .2.1. Tổng quan

Mục tiêu của việc chúng ta nối mạng là để nhiều người có thể dùng chung tài ngun từ những vị trí địa lý khác nhau điều đó dẫn đến điều tất yếu là tài nguyên thông tin dễ bị xâm phạm.

Những nguyên nhân làm cho tài nguyên thông tin bị xâm phạm: + Điểm yếu về bảo mật của chính hệ điều hành được cài đặt.

+ Người quản trị không đưa ra hoặc không tuân thủ đầy đủ những chính sách bảo mật.

Đối với điểm yếu của hệ điều hành Windows 2000 công ty Microsoft cung cấp cho khách hàng của những phần mềm vá lỗi trên Web Site của Microsoft, địa chỉ:

http://www.microsoft.com/security

.2.2. Triển khai các Service Pack

Khơng có sản phẩm phần mềm nào là hoàn hảo. Theo thời gian, qua nhiều lần thử nghiệm, hệ điều hành Windows của Microsoft cũng bộc lộ một số lỗi nhất định. Không như các sản phẩm khác, hệ điều hành Windows được dùng rộng rãi trên thế giới, nên Microsoft phải cập nhật các sửa lỗi thường xuyên.

Service Packs là những gói chương trình cập nhật của sản phẩm được phân phối cho người dùng. Service Packs có thể bao gồm các cập nhật bảo đảm độ tin cậy của hệ thống, các hỗ trợ tương thích ứng dụng, độ an tồn bảo

Giáo trình quản trị mạng - Viện Cơng Nghệ Thơng Tin

mật và nhiều thứ khác. Tất cả những cập nhật này được đóng gói lại cho mọi người có thể dễ dàng tải xuống từ các trang Web của Microsoft hay mua trên thị trường.

Cũng như trong các hệ điều hành Windows khác (chẳng hạn Windows NT và Windows XP), Service Pack dùng để phân phối thông tin cập nhật nhất phải được áp dụng cho hệ điều hành Windows 2000. Các cập nhật này là một tập hợp các sửa lỗi trong các lĩnh vực sau: tính tương thích của các ứng dụng, độ tin cậy, bảo mật và cài đặt hệ điều hành. Khi cài đặt hệ điều hành Windows 2000, bạn cũng phải cài Service Pack mới nhất với điều kiện tính ổn định của nó đã được thừa nhận. Các Service Pack được đánh số tuần tự, với Service Pack mới nhất có có số hiệu cao nhất.

Service Pack cho Windows 2000 mới nhất là Service Pack 4. Nó bao gồm các sửa lỗi của SP1, SP2, SP3 cho Windows 2000 trước đó.

Thao tác lấy ServicePack về máy để cài đặt

Mở trình duyệt Web và gõ địa chỉ

http://www.microsoft.com/windows2000/downloads/servicepacks

.2.3. Virus máy tính Virus máy tính là gì ?

Virus máy tính thực chất chỉ là một chương trình máy tính có khả năng tự sao chép chính nó từ đối tượng lây nhiễm này sang đối tượng khác (đối tượng có thể là các file chương trình, văn bản, đĩa mềm...), và chương trình đó mang tính phá hoại.

Giáo trình quản trị mạng - Viện Cơng Nghệ Thơng Tin

Cơ chế hoạt động

(i) Virus Boot :

Khi bật máy tính, một đoạn chương trình nhỏ gọi là Boot sector để trong ổ đĩa khởi động được thực thi. Đoạn chương trình này có nhiệm vụ nạp hệ điều hành (Windows hay Unix...). Sau khi nạp xong hệ điều hành người sử dụng có được giao diện sử dụng máy. Những virus lây nhiễm vào Boot sector thì được gọi là virus Boot.

(ii) Virus File :

Là những virus lây vào những file chương trình như file .com, .exe, .bat, .pif, .sys...

(iii) Virus Macro :

Là loại virus lây vào những tệp văn bản (Microsoft Word) hay bảng tính (Microsoft Excel) và cả (Microsoft Powerpoint) trong bộ Microsoft Office. Macro cũng là đoạn mã chương trình có khả năng bị virus lây nhiễm.

(iv) Trojan Horse :

Khác với virus, trojan virus là đoạn mã chương trình hồn tồn khơng có

cơ chế tự lây lan. Nó được cài đặt bằng cách phân phối như là các phần

mềm tiện ích, phần mềm mới hấp dẫn qua nhiều con đường trong đó có Internet. Sau khi được cài đặt vào máy tính, chương trình này thực hiện cơng việc phá hoại đã được lập trình.

Địa chỉ cung cấp phần mềm quét Virus thông dụng

(1) Địa chỉ lấy BKAV: http://www.bkav.com.vn Cách thực hiện lấy chương trình:

Giáo trình quản trị mạng - Viện Công Nghệ Thông Tin

+ Bước 2: Chọn mục Tải về BKAV để mở trang điền thơng tin . Có thể chỉ điền địa chỉ vào ô Email là đủ, và nhấn nút Tải BKAV về

+ Bước 3: Bấm chọn liên kết Download chương trình BKAV2002 và chọn OK trong cửa sổ File Download.

Giáo trình quản trị mạng - Viện Cơng Nghệ Thơng Tin

+ Bước 4: Sau khi quá trình Download kết thúc, mở chương trình BKAV và đặt các tham số tùy chọn. Bấm nút qt để chương trình thực hiện.

Có thể lập lịch quét ở trang Lịch quét.

Giáo trình quản trị mạng - Viện Công Nghệ Thông Tin

(3) Địa chỉ lấy các phần cập nhật tìm/diệt Virus cho chương trình Norton AntiVirus: http://www.symantec.com

Chương trình Norton AntiVirus khơng phải là phần mềm miễn phí. Người sử dụng phải mua bộ chương trình để cài đặt lên máy. Các cơng việc mà người quản trị hệ thống máy tính cần phải làm là cài đặt chương trình chống Virus và thực hiện cập nhật các gói tin bổ sung qua mạng Internet theo ngày (với chức năng Live Update), theo định kỳ (khi xuất hiện thông báo hết kỳ hạn) hay theo thông báo được gửi qua Email.

Thao tác đăng ký nhận thông tin về virus từ công ty Symantec:

+ Bước 1: Mở trình duyệt Web và gõ địa chỉ http://nct.symantecstore.com/virusalert/

Giáo trình quản trị mạng - Viện Công Nghệ Thông Tin

+ Bước 2: Điền thông tin vào trang yêu cầu

+ Bước 3: Bấm nút Send me Free Security Alerts để nhận được trang thông báo thành công.

Sau khi đăng ký thành công bạn sẽ nhận được thơng báo của Symantec về các gói chương trình được cập nhật chống Virus mới qua Email.

Lấy gói chương trình cập nhật chống Virus từ trang Symantec

+ Bước 1: Mở trình duyệt Web, gõ địa chỉ http://www.symantec.com. Chọn mục Download Virus Definitions để mở cửa sổ download

Giáo trình quản trị mạng - Viện Công Nghệ Thông Tin

+ Bước 2: Chọn tiếp mục Download Virus Definitions (Intelligent Updater Only) để mở trang tiếp theo.

+ Bước 3: Nhấn chọn nút Download Updates sau khi chọn đúng tên chương trình đã cài trên máy.

Giáo trình quản trị mạng - Viện Cơng Nghệ Thơng Tin

+ Bước 4: Bấm chọn tên tệp (có phần mở rộng .exe) để mở cửa sổ download.

Giáo trình quản trị mạng - Viện Công Nghệ Thông Tin

+ Bước 5: Chạy tệp sau khi đã download để cập nhật các gói chương trình chống virus.

Thao tác đối với các trường hợp nhiễm Virus nguy hiểm

Đối với một số virus tấn công theo các điểm yếu của hệ điều hành đòi hỏi phải sử dụng các công cụ riêng biệt được cung cấp trên trang Symantec. Sau đây là cách lấy về các chương trình diệt các loại virus nguy hiểm đang lây nhiễm qua Internet.

+ Bước 1: Mở trình duyệt Web, gõ địa chỉ http://www.symantec.com. Chọn mục Download Virus Removal Tool để mở cửa sổ download

Giáo trình quản trị mạng - Viện Cơng Nghệ Thơng Tin

+ Bước 2: Trên trang hiển thị danh sách các virus, bấm chọn loại Virus. Ví dụ có thể chọn W32.Blaster.Worm.

+ Bước 3: Bấm chọn chương trình FixBlast.exe để download.

+ Bước 4: Chạy chương trình FixBlast.exe để diệt các virus loại W32.Blaster.Worm.

Để chạy được chương trình FixBlast.exe địi hỏi hệ thống đã được cài đặt Service Pack3 hoặc 4.

Giáo trình quản trị mạng - Viện Công Nghệ Thông Tin

Chương X: Kết nối, chia sẻ sử dụng, khai thác internet, truyền thông

.1 Internet Connection Sharing

Internet Connection Sharing – chia sẻ kết nối Internet, một phần trong bộ IE5 đi kèm với hệ điều hành trên.

Đây là công cụ cho phép chia sẻ kết nối qua Internet một cách tiện lợi, dễ dàng, khơng địi hỏi phải có trình độ kỹ thuật cao khi sử dụng.

u cầu cấu hình:

- Tối thiểu bạn cần có một mạng LAN

- Modem kết nối Internet được nối vào một máy tính trong mạng - Windows 98 SE, Windows 2000…

Cách thức hoạt động của ICS

ICS được cài đặt trên máy có modem kết nối với Internet ( qua đường điện thoại). Để tiện, ta gọi máy này là máy chia sẻ. Máy chia sẻ đóng vai trị trung gian chuyển dữ liệu cho các máy khác trên LAN. Thực chất, máy chia sẻ làm nhiệm vụ như một proxy server. Mỗi máy tính trong LAN đều được gán một IP duy nhất, giống như các máy tính khác trên Internet. Tuy nhiên các IP này chỉ dành riêng cho LAN đó và Internet khơng nhìn thấy chúng.

Các IP riêng được đánh số từ 192.168.0.1 đến 192.168.0.253. Riêng máy chia sẻ vừa có IP riêng là 192.168.0.1 và IP chung được nhận biết và gán khi kết nối Internet.

Khi một máy tính trong LAN yêu cầu đến các dịch vụ Internet ( như gửi mail, duyệt trang Web…), IP riêng của nó sẽ được gửi đến các máy chia sẻ. Ở đây IP này được máy chia sẻ chuyển thành IP chung và gửi lên Internet.

Dữ liệu nhận được từ Internet được máy chia sẻ chuyển lại cho địa chỉ IP ban đầu.

Tuy nhiên quá trình sẽ có sự “chậm chễ”, tuỳ thuộc vào lưu lượng của dữ liệu truyền trên mạng vào thời điểm đó. Vì thế cấu hình cho máy chia sẻ càng mạnh thì việc truy cập diễn ra càng nhanh hơn.

Các bước cài đặt:

Cài đặt Internet Connection Sharing

- Nối modem và dây điện thoại vào máy chia sẻ. Cài ICS trong tuỳ chọn Internet Tools của Windows Setup bằng cách:

- Nhấn Start, chọn Settings/Control Panel/Add Remove Programs, rồi chọn mục Windows Setup.

- Chọn Internet Tools rồi nhấn vào Details…

- Trong khung hội thoại Internet Tools, đánh dấu chọn Internet Connection Sharing rồi nhấn OK!

- Windows sẽ yêu cầu bạn đưa đĩa CD Windows vào ổ CD để lấy các tập tin cần thiết. Hoặc bạn chỉ ra nơi chứa các file cài đặt ( trên đĩa cứng). - Hộp thoại “Internet Connection Sharing Wizard” xuất hiện. Trong hộp

Giáo trình quản trị mạng - Viện Cơng Nghệ Thông Tin

- Hộp thoại tiếp theo yêu cầu bạn tạo đĩa Client Configuration Disk, đĩa này sau khi tạo xong sẽ chứa hai file icsclset.exe và readme.txt, nhấn vào Next

- Tiếp theo hãy đưa đĩa mềm vào ổ A: và nhấn OK để tiếp tục, nhấn Cancel để ngưng quá trình tạo đĩa Client

- Sau khi tạo xong, nhấn OK rồi nhấn Finish. - Nhấn vào Yes để khởi động lại máy tính.

Chạy ICS

- Mở hộp thoại Internet Options từ menu Tools của IE5 ( hoặc trong Control Panel). Nhấn vào thẻ Connections, sau đó nhấn vào nút Sharing. Tiếp đó nhấn vào nút tuỳ chọn Enable Internet Connection Sharing. Khi bạn chọn OK, ICS sẽ khởi động.

- Chọn kiểu kết nối là Dial – Up Adapter - Tạo đĩa Client

- Nếu trong bước 1 chưa tạo đĩa “Internet Connection Sharing Client Disk”, bạn có thể tạo đĩa này bằng cách chép tập tin Icsclset.exe trong thư mục Windows\System vào đĩa mềm.

- Ở các máy trên LAN, bạn đưa đĩa vào ổ A: và đánh lệnh Icsclset.exe. Bạn chỉ có nhiệm vụ là chọn Next…, mọi thứ sẽ được thực hiện.

- Từ lúc này nếu thấy máy chia sẻ kết nối Internet, các máy trên LAN đều có thể truy cập theo, chẳng hạn như gửi thư, duyệt Web, tải phần mềm…

.2 Network Address Translation

NAT ( Network Address Translation): NAT là một giao thức cho ta khả năng bản đồ hoá một vùng địa chỉ IP sử dụng trong mạng dùng riêng ra mạng ngoài và ngược lại. NAT thường được thiết lập trên các bộ định tuyến là ranh giới giữa mạng dùng riêng và mạng ngồi ( ví dụ như mạng cơng cộng Internet). NAT chuyển đổi các địa chỉ IP trên mạng dùng riêng tới Internet hoặc tới các mạng ngồi khác.

Giáo trình quản trị mạng - Viện Cơng Nghệ Thơng Tin

TÀI LIỆU THAM KHẢO

(1) MCSE Training Kit, Windows 2000 Active Directory Services, Published by Microsoft Press, 2000.

(2) Microsoft Windows 2000 Server, TCP/IP Core Networking Guide, Published by Microsoft Press, 2000.

(3) Làm chủ Microsoft Windows 2000 Server, Nhà xuất bản thống kê, 2003. Phạm Hoàng Dũng và Hoàng Đức Hải .

Một phần của tài liệu Giáo trình quản trị mạng Viện Công Nghệ Thông Tin (Trang 124 - 142)

Tải bản đầy đủ (DOC)

(142 trang)
w