Chính sách kiểm tốn (Audit Policies) giúp bạn cĩ thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống, trên các đối tượng cũng như đối với các người dùng. Bạn cĩ thể xem các ghi nhận này thơng qua cơng cụ Event Viewer, trong mục Security.
Các lựa chọn trong chính sách kiểm tốn: Chính sách Mơ tả
Audit Account Logon Events
Kiểm tốn những sự kiện khi tài khoản đăng nhập, hệ thống sẽ ghi nhận khi người dùng logon, logoff hoặc tạo một kết nối mạng
Audit Account Management
Hệ thống sẽ ghi nhận khi tài khoản người dùng hoặc nhĩm cĩ sự thay đổi thơng tin hay các thao tác quản trị liên quan đến tài khoản người dùng.
Audit Directory Service Access
Ghi nhân việc truy cập các dịch vụ thư mục Audit Logon Events
Ghi nhân các sự kiện liên quan đến quá trình logon như thi hành một logon script hoặc truy cập đến một roaming profile.
Audit Object Access
Ghi nhận việc truy cập các tập tin, thư mục, và máy tin. Audit Policy Change
Ghi nhận các thay đổi trong chính sách kiểm tốn Audit privilege use
Hệ thống sẽ ghi nhận lại khi bạn bạn thao tác quản trị trên các quyền hệ thống như cấp hoặc xĩa quyền của một ai đĩ.
Audit process tracking
Kiểm tốn này theo dõi hoạt động của chương trình hay hệ điều hành. Audit system event
Hệ thống sẽ ghi nhận mỗi khi bạn khởi động lại máy hoặc tắt máy. II.2. Quyền hệ thống của người dùng.
Đối với hệ thống Windows Server 2003, bạn cĩ hai cách cấp quyền hệ thống cho người dùng là: gia nhập tài khoản người dùng vào các nhĩm tạo sẵn (built-in) để kế thừa quyền hoặc bạn dùng cơng cụ User Rights Assignment để gán từng quyền rời rạc cho người dùng. Cách thứ nhất bạn đã biết sử dụng ở chương trước, chỉ cần nhớ các quyền hạn của từng nhĩm tạo sẵn thì bạn cĩ thể gán quyền cho người dùng theo yêu cầu. Để cấp quyền hệ thống cho người dùng theo theo cách thứ hai thì bạn phải dùng cơng cụ Local Security Policy (nếu máy bạn khơng phải Domain Controller) hoặc Domain Controller Security Policy (nếu máy bạn là Domain Controller). Trong hai cơng cụ đĩ bạn mở mục Local Policy\ User Rights Assignment. Để thêm, bớt một quyền hạn cho người dùng hoặc nhĩm, bạn nhấp đơi chuột vào quyền hạn được chọn, nĩ sẽ xuất hiện một hộp thoại chứa danh sách người dùng và nhĩm hiện tại đang cĩ quyền này. Bạn cĩ thể nhấp chuột vào nút Add để thêm người dùng, nhĩm vào danh sách hoặc nhấp chuột vào nút Remove để xĩa người dùng khỏi danh sách. Ví dụ minh họa sau là bạn cấp quyền thay đổi giờ hệ thống (change the system time) cho người dùng "Tuan".
Danh sách các quyền hệ thống cấp cho người dùng và nhĩm:
Quyền Mơ tả
Access This Computer from the Network
Cho phép người dùng truy cập máy tính thơng qua mạng. Mặc định mọi người đều cĩ quyền này.
Act as Part of the Operating System
Cho phép các dịch vụ chứng thực ở mức thấp chứng thực với bất kỳ người dùng nào. Add Workstations to the Domain
Back Up Files and Directories
Cho phép người dùng sao lưu dự phịng (backup) các tập tin và thư mục bất chấp các tập tin và thư mục này người đĩ cĩ quyền khơng.
Bypass Traverse Checking
Cho phép người dùng duyệt qua cấu trúc thư mục nếu người dùng khơng cĩ quyền xem (list) nội dung thư mục này.
Change the System Time
Cho phép người dùng thay đổi giờ hệ thống của máy tính. Create a Pagefile
Cho phép người dùng thay đổi kích thước của Page File. Create a Token Object
Cho phép một tiến trình tạo một thẻ bài nếu tiến trình này dùng NTCreate Token API.
Create Permanent Shared Objects
Cho phép một tiến trình tạo một đối tượng thư mục thơng qua Windows 2000 Object Manager. Debug Programs
Cho phép người dùng gắn một chương trình debug vào bất kỳ tiến trình nào. Deny Access to This Computer from the Network
Cho phép bạn khĩa người dùng hoặc nhĩm khơng được truy cập đến các máy tính trên mạng. Deny Logon as a Batch File
Cho phép bạn ngăn cản những người dùng và nhĩm được phép logon như một batch file. Deny Logon as a Service
Cho phép bạn ngăn cản những người dùng và nhĩm được phép logon như một services. Deny Logon Locally
Cho phép bạn ngăn cản những người dùng và nhĩm truy cập đến máy tính cục bộ. Enable Computer and User Accounts to Be Trusted by Delegation
Cho phép người dùng hoặc nhĩm được ủy quyền cho người dùng hoặc một đối tượng máy tính.
Force Shutdown from a Remote System
Cho phép người dùng shut down hệ thống từ xa thơng qua mạng Generate Security Audits Cho phép người dùng, nhĩm hoặc một tiến trình tạo một entry vào Security log.
Increase Quotas
Cho phép người dùng điều khiển các hạn ngạch của các tiến trình. Increase Scheduling Priority
Quy định một tiến trình cĩ thể tăng hoặc giảm độ ưu tiên đã được gán cho tiến trình khác. Load and Unload Device Drivers
Cho phép người dùng cĩ thể cài đặt hoặc gỡ bỏ các driver của các thiết bị. Lock Pages in Memory
Khĩa trang trong vùng nhớ. Log On as a Batch Job
Cho phép một tiến trình logon vào hệ thống và thi hành một tập tin chứa các lệnh hệ thống. Log On as a Service
Cho phép một dịch vụ logon và thi hành một dịch vụ riêng. Log On Locally
Cho phép người dùng logon tại máy tính Server. Manage Auditing and Security Log
Cho phép người dùng quản lý Security log. Modify Firmware Environment Variables
Cho phép người dùng hoặc một tiến trình hiệu chỉnh các biến mơi trường hệ thống. Profile Single Process
Cho phép người dùng giám sát các tiến trình bình thường thơng qua cơng cụ Performance Logs and Alerts.
Profile System Performance
Cho phép người dùng giám sát các tiến trình hệ thống thơng qua cơng cụ Performance Logs and Alerts.
Cho phép người dùng gỡ bỏ một Laptop thơng qua giao diện người dùng của Windows 2000. Replace a Process Level Token
Cho phép một tiến trình thay thế một token mặc định mà được tạo bởi một tiến trình con. Restore Files and Directories
Cho phép người dùng phục hồi tập tin và thư mục, bất chấp người dùng này cĩ quyền trên tập tin và thư mục này hay khơng.
Shut Down the System
Cho phép người dùng shut down cục bộ máy Windows 2000. Synchronize Directory Service Data
Cho phép người dùng đồng bộ dữ liệu với một dịch vụ thư mục. Take Ownership of Files or Other Objects
Cho người dùng tước quyền sở hữu của một đối tượng hệ thống. II.3. Các lựa chọn bảo mật.
Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server khai báo thêm các thơng số nhằm tăng tính bảo mật cho hệ thống như: khơng cho phép hiển thị người dùng đã logon trước đĩ hay đổi tên tài khoản người dùng tạo sẵn (administrator, guest). Trong hệ thống Windows Server 2003 hỗ trợ cho chúng ta rất nhiều lựa chọn bảo mật, nhưng trong giáo trình này chúng ta chỉ khảo sát các lựa chọn thơng dụng.
Một số lựa chọn bảo mật thơng dụng: Tên lựa chọn Mơ tả
Shutdown: allow system to be shut down without having to logon
Cho phép người dùng shutdown hệ thống mà khơng cần logon. Audit : audit the access of global system objects
Giám sát việc truy cập các đối tượng hệ thống tồn cục. Network security: force logoff when logon hours expires.
Tự động logoff khỏi hệ thống khi người dùng hết thời gian sử dụng hoặc tài khoản hết hạn. Interactive logon: do not require CTRL+ALT+DEL
Khơng yêu cầu ấn ba phím CTRL+ALT+DEL khi logon. Interactive logon: do not display last user name
Khơng hiển thị tên người dùng đã logon trên hộp thoại Logon. Account: rename administrator account
Cho phép đổi tên tài khoản Administrator thành tên mới
Account: rename guest account Cho phép đổi tên tài khoản Guest thành tên mới III. IPSec.
IP Security (IPSec) là một giao thức hỗ trợ thiết lập các kết nối an tồn dựa trên IP. Giao thức này hoạt động ở tầng ba (Network) trong mơ hình OSI do đĩ nĩ an tồn và tiện lợi hơn các giao thức an tồn khác ở tầng Application như SSL. IPSec cũng là một thành phần quan trọng hỗ trợ giao thức L2TP trong cơng nghệ mạng riêng ảo VPN (Virtual Private Network). Để sử dụng IPSec bạn phải tạo ra các qui tắc (rule), một qui tắc IPSec là sự kết hợp giữa hai thành phần là các bộ lọc IPSec (filter) và các tác động IPSec (action). Ví dụ nội dung của một qui tắc IPSec là "Hãy mã hĩa tất cả những dữ liệu truyền Telnet từ máy cĩ địa chỉ 192.168.0.10", nĩ gồm hai phần, phần bộ lọc là "qui tắc này chỉ hoạt động khi cĩ dữ liệu được truyền từ máy cĩ địa chỉ 192.168.0.10 thơng qua cổng 23", phần hành động là "mã hĩa dữ liệu.
III.1. Các tác động bảo mật.
IPSec của Microsoft hỗ trợ bốn loại tác động (action) bảo mật, các tác động bảo mật này giúp hệ thống cĩ thể thiết lập những cuộc trao đổi thơng tin giữa các máy được an tồn. Danh sách các tác động bảo mật trong hệ thống Windows Server 2003 như sau:
- Block transmissons: cĩ chức năng ngăn chận những gĩi dữ liệu được truyền, ví dụ bạn muốn IPSec ngăn chận dữ liệu truyền từ máy A đến máy B, thì đơn giản là chương trình IPSec trên máy B loại bỏ mọi dữ liệu truyền đến từ máy A.
muốn dữ liệu được truyền từ máy A đến máy B, nhưng chúng ta sợ rằng cĩ người sẽ nghe trộm trên đường truyền nối kết mạng giữa hai máy A và B. Cho nên chúng ta cần cấu hình cho IPSec sử dụng giao thức ESP (encapsulating security payload) để mã hĩa dữ liệu cần truyền trước khi đưa lên mạng. Lúc này những người xem trộm sẽ thấy những dịng byte ngẫu nhiên và khơng
hiểu được dữ liệu thật. Do IPSec hoạt động ở tầng Network nên hầu như việc mã hĩa được trong suốt đối với người dùng, người dùng cĩ thể gởi mail, truyền file hay telnet như bình thường.
- Sign transmissions: cĩ chức năng ký tên vào các gĩi dữ liệu truyền, nhằm tránh những kẻ tấn cơng trên mạng giả dạng những gĩi dữ liệu được truyền từ những máy mà bạn đã thiết lập quan hệ tin cậy, kiểu tấn cơng này cịn cĩ cái tên là main-in-the-middle. IPSec cho phép bạn chống lại điều này bằng một giao thức authentication header. Giao thức này là phương pháp ký tên số hĩa (digitally signing) vào các gĩi dữ liệu trước khi truyền, nĩ chỉ ngăn ngừa được giả mạo và sai lệnh thơng tin chứ khơng ngăn được sự nghe trộm thơng tin. Nguyên lý hoạt động của phương pháp này là hệ thống sẽ thêm một bit vào cuối mỗi gĩi dữ liệu truyền qua mạng, từ đĩ chúng ta cĩ thể kiểm tra xem dữ liệu cĩ bị thay đổi khi truyền hay khơng.
- Permit transmissions: cĩ chức năng là cho phép dữ liệu được truyền qua, chúng dùng để tạo ra các qui tắc (rule) hạn chế một số điều và khơng hạn chế một số điều khác. Ví dụ một qui tắc dạng này "Hãy ngăn chặn tất cả những dữ liệu truyền tới, chỉ trừ dữ liệu truyền trên các cổng 80 và 443".
Chú ý: đối với hai tác động bảo mật theo phương pháp ký tên và mã hĩa thì hệ thống cịn yêu cầu bạn chỉ ra IPSec dùng phương pháp chứng thực nào. Microsoft hỗ trợ ba phương pháp chứng thực: Kerberos, chứng chỉ (certificate) hoặc một khĩa dựa trên sự thỏa thuận (agreed- upon key). Phương pháp Kerberos chỉ áp dụng được giữa các máy trong cùng một miền Active Directory hoặc trong những miền Active Directory cĩ ủy quyền cho nhau. Phương pháp dùng các chứng chỉ cho phép bạn sử dụng các chứng chỉ PKI (public key infrastructure) để nhận diện một máy. Phương pháp dùng chìa khĩa chia sẻ trước thì cho phép bạn dùng một chuỗi ký tự văn bản thơng thường làm chìa khĩa (key).
III.2. Các bộ lọc IPSec.
Để IPSec hoạt động linh hoạt hơn, Microsoft đưa thêm khái niệm bộ lọc (filter) IPSec, bộ lọc cĩ tác dụng thống kê các điều kiện để qui tắc hoạt động. Đồng thời chúng cũng giới hạn tầm tác dụng của các tác động bảo mật trên một phạm vị máy tính nào đĩ hay một số dịch vụ nào đĩ. Bộ lọc IPSec chủ
yếu dự trên các yếu tố sau:
- Địa chỉ IP, subnet hoặc tên DNS của máy nguồn. - Địa chỉ IP, subnet hoặc tên DNS của máy đích.
- Theo số hiệu cổng (port) và kiển cổng (TCP, UDP, ICMP...) III.3. Triển khai IPSec trên Windows Server 2003.
Trong hệ thống Windows Server 2003 khơng hỗ trợ một cơng cụ riêng cấu hình IPSec, do đĩ để triển khai IPSec chúng ta dùng các cơng cụ thiết lập chính sách dành cho máy cục bộ hoặc dùng cho miền. Để mở cơng cụ cấu hình IPSec bạn nhấp chuột vào Start ¾ Run rồi gõ secpol.msc hoặc nhấp chuột vào Start ¾ Programs ¾ Administrative Tools ¾ Local Security Policy, trong cơng cụ đĩ bạn chọn IP Security Policies on Local Machine.
Tĩm lại, các điều mà bạn cần nhớ khi triển khai IPSec:
- Bạn triển khai IPSec trên Windows Server 2003 thơng qua các chính sách, trên một máy tính bất kỳ nào đĩ vào tại một thời điểm thì chỉ cĩ một chính sách IPSec được hoạt động.
- Mỗi chính sách IPSec gồm một hoặc nhiều qui tắc (rule) và một phương pháp chứng thực nào đĩ. Mặc dù các qui tắc permit và block khơng dùng đến chứng thực nhưng Windows vẫn địi bạn chỉ định phương pháp chứng thực.
- IPSec cho phép bạn chứng thực thơng qua Active Directory, các chứng chỉ PKI hoặc một khĩa được chia sẻ trước.
- Mỗi qui tắc (rule) gồm một hay nhiều bộ lọc (filter) và một hay nhiều tác động bảo mật (action). - Cĩ bốn tác động mà qui tắc cĩ thể dùng là: block, encrypt, sign và permit.
III.3.1 Các chính sách IPSec tạo sẵn.
Trong khung cửa sổ chính của cơng cụ cấu hình IPSec, bên phải chúng ta thấy xuất hiện ba chính sách được tạo sẵn tên là: Client, Server và Secure. Cả ba chính sách này đều ở trạng
thái chưa áp dụng (assigned). Nhưng chú ý ngay cùng một thời điểm thì chỉ cĩ thể cĩ một chính sách được áp dụng và hoạt động, cĩ nghĩa là khi bạn áp dụng một chính sách mới thì chính sách đang hoạt động hiện tại sẽ trở về trạng thái khơng hoạt động. Sau đây chúng ta sẽ khảo sát chi tiết ba chính sách tạo sẵn này.
- Client (Respond Only): chính sách qui định máy tính của bạn khơng chủ động dùng IPSec trừ khi nhận được yêu cầu dùng IPSec từ máy đối tác. Chính sách này cho phép bạn cĩ thể kết nối được cả với các máy tính dùng IPSec hoặc khơng dùng IPSec.
- Server (Request Security): chính sách này qui định máy server của bạn chủ động cố gắng khởi tạo IPSec mỗi khi thiết lập kết nối với các máy tính khác, nhưng nếu máy client khơng thể dùng IPSec thì Server vẫn chấp nhận kết nối khơng dùng IPSec.
- Secure Server (Require Security): chính sách này qui định khơng cho phép bất kỳ cuộc trao đổi dữ liệu nào với Server hiện tại mà khơng dùng IPSec.
III.3.2 Ví dụ tạo chính sách IPSec đảm bảo một kết nối được mã hĩa.
Trong phần này chúng ta bắt tay vào thiết lập một chính sách IPSec nhằm đảm bảo một kết nối được mã hĩa giữa hai máy tính. Chúng ta cĩ hai máy tính, máy A cĩ địa chỉ 203.162.100.1 và máy B cĩ địa chỉ 203.162.100.2. Chúng ta sẽ thiết lập chính sách IPSec trên mỗi máy thêm hai qui tắc (rule), trừ hai qui tắc của hệ thống gồm: một qui tắc áp dụng cho dữ liệu truyền vào máy và một qui tắc áp dụng cho dữ liệu truyền ra khỏi máy. Ví dụ qui tắc đầu tiên trên máy A bao gồm:
- Bộ lọc (filter): kích hoạt qui tắc này khi cĩ dữ liệu truyền đến địa chỉ 203.162.100.1, qua bất kỳ cổng nào.
- Tác động bảo mật (action): mã hĩa dữ liệu đĩ.
- Chứng thực: chìa khĩa chia sẻ trước là chuỗi "quantri".
Qui tắc thứ hai áp dụng cho máy A cũng tương tự nhưng bộ lọc cĩ nội dung ngược lại là "dữ liệu truyền đi từ địa chỉ 203.162.100.1". Chú ý: cách dễ nhất để tạo ra một qui tắc là trước tiên bạn phải qui định các bộ lọc và tác động bảo mật, rồi sau đĩ mới tạo ra qui tắc từ các bộ lọc và tác động bảo mật này. Các bước để thực hiện một chính sách IPSec theo yêu cầu như trên: