3.3.1. Mục đích phân quyền cho người sử dụng
Để người dùng có thể truy cập và dùng chung tài nguyên trên mạng (bao gồm các thư mục, tập tin, máy in …) thì các tài nguyên đó phải được chia sẻ. Tuy nhiên việc chia sẻ tài nguyên trên mạng không khoa học và chặt chẽ, dễ dẫn đến việc tài nguyên trên mạng không được bảo mật tốt, và không quản lý nổi khi số lượng các tài nguyên chia sẻ trên mạng lớn. Để giải quyết vấn đề này người quản trị mạng thường cấp phép truy cập tài nguyên trên mạng cho từng người sử dụng (User) hoặc nhóm (Group) khác
nhau tùy theo cấp độ, cũng như nhu cầu sử dụng tài nguyên trên mạng của từng User hoặc nhóm.
Lƣu ý: Việc cấp phép truy cập chỉ có tác dụng bảo mật cao với các thư mục hoặc tập tin được đặt trên các Volume là NTFS. Giáo trình này chỉ đề cập đến phân quyền truy cập đối với các thư mục và tập tin chứa trên Volume là NTFS.
Quyền truy cập của cấp độ đối với một folder hoặc một tập tin như sau: + Cấp độ truy cập NTFS cá thể
Read (R): Hiển thị tên, thuộc tính, tên chủ sở hữu và cấp độ truy cập.
Write (W): Bổ sung tập tin và thư mục, thay đổi thuộc tính của thư mục, hiển thị thông tin về chủ sở hữu và cấp độ truy cập.
Execute (X): Hiển thị thông tin thuộc tính thư mục, thực hiện thay đổi cho các thư mục con, hiển thị thông tin và cấp độ truy cập.
Delete (D): Hủy bỏ một thư mục
Change Permissions (P): Thay đổi cấp độ truy cập thư mục. Take Ownersship (O): Dành quyền sở hữu thư mục
+ Quyền truy cập NTFS chuẩn: Là sự kết hợp các cấp độ truy cập cá thể Cấp độ chuẩn áp dụng cho folder
Read: Gồm cá thể R và X
Change: Gồm các cá thể RWXD Read&Write: Gồm cá thể R và W
Full control: Gồm tất cả các cá thể (RWXDPO)
3.3.2. Phân quyền cho người sử dụng và nhóm:
Để tiến hành phân quyền cho người sử dụng và nhóm bạn tiến hành lần lượt theo các bước sau:
Bƣớc 1:
Chọn thư mục cần phân quyền cho người sử dụng, click nút phải chuột, chọn mục “Sharing and Security …” trên menu.
Bƣớc 2:
Giao diện của hộp hội thoại cho phép chia sẻ tài nguyên có dạng như sau:
Hình 3.12. Giao diện tab Sharing
Tại hộp hội thoại này bạn chọn mục “Share this folder” để cho phép chia sẻ thư mục.
- Share name: Nhập vào tên thư mục cần chia sẻ (mục này bắt buộc phải có, thông thường ta để mặc định, mặc định tên thư mục chia sẻ là tên của thư mục ta chọn ở bước 1).
- Description: Đây là mục mô tả về thư mục chia sẻ (mục này có thể có hoặc không).
Mục “User limit” có 2 chọn lựa:
- Maximum Allowed: Cho phép số lượng User truy cập tối đa.
- Allow this number users: Cho phép chọn lựa số lượng user nhất định có thể truy cập.
Ấn chuột vào mục “Permissions…” để tiến hành cấp phép cho các user truy cập đến thư mục.
Bƣớc 3:
Giao diện của hộp hội thoại cấp phép có dạng như sau:
Hình 3.13. Giao diện Permissions for Software
Tại hộp hội thoại này bạn click chuột vào nút “Add…” để tiến hành thêm vào những users hoặc nhóm được phép làm việc trên thư mục đã chia sẻ.
Bƣớc 4:
Giao diện của hộp hội thoại cho phép thêm users và nhóm có dạng như sau:
Hình 3.14. Giao diện chọn Users và Groups
Tại hộp hội thoại này bạn click chuột vào mục “Advanced…” sẽ xuất hiện hộp hội thoại tiếp theo có giao diện như sau:
Hình 3.15. Giao diện chọn Users và Groups với mục Advanced
Tại hộp hội thoại “Select Users or Groups” (hình 3.15) bạn click chuột vào mục “Find Now” để làm xuất hiện các Users và nhóm. Chọn User và nhóm cần cấp phép truy cập thư mục, click chuột vào mục “OK” để kết thúc quá trình chọn User và nhóm.
Ví dụ:
Bạn chọn User “HOCVIEN_NETWORK”
Bƣớc 5:
Sau khi hoàn tất quá trình chọn User và nhóm cần cấp phép thì User và nhóm cần cấp phép sẽ xuất hiện trong hộp hội thoại cấp phép và có giao diện dạng như sau:
Hình 3.16. Giao diện Permissions for Software
Mục “Permissions” có hai chọn lựa cho phép (Allow) và không cho phép (Deny) với các cấp độ khác nhau:
- Full Control - Change - Read
Ấn chuột vào nút “OK” để hoàn tất việc cấp phép.
Bƣớc 6:
Sau khi hoàn tất việc cấp phép cho các Users và nhóm được phép truy cập đến thư mục chia sẻ, bạn tiến hành việc cấp quyền truy cập của các Users và nhóm trên thư mục chia sẻ.
Bạn chọn thẻ Security từ giao diện của hộp hội thoại hình 3.12, lúc này sẽ xuất hiện hộp hội thoại có giao diện như sau:
Hình 3.17. Giao diện tab Security
Tại hộp hội thoại này bạn chọn mục Add… để tiến hành thêm vào các Users và nhóm (bạn tiến hành thực hiện tương tự từ bước 3 đến bước 4).
Bƣớc 7:
Sau khi thực hiện xong việc thêm vào các Users và nhóm cần phân quyền truy cập lúc này hộp hội thoại có giao diện như sau:
Tại hộp hội thoại này bạn chọn User hoặc nhóm cần phân quyền truy cập, sau đó tại mục “Permission for …” bạn chọn các cấp độ truy cập khác nhau.
Mục “Permissions” có hai chọn lựa: Cho phép (Allow) và không cho phép (Deny) với các cấp độ khác nhau.
- Full Control - Modify
- Read & Execute - Lists Folder Contents - Read
- Write - Change - Read
Ngoài ra bạn có thể chọn mục “Advanced” để tiến hành việc cài đặt phân quyền chi tiết hơn.
3.4. Chính sách hệ thống trong môi trƣờng Local
3.4.1. Chính sách mật khẩu
Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn cho mật khẩu của người dùng để tránh các trường hợp đăng nhập bất hợp pháp vào hệ thống. Chính sách này cho phép bạn qui định chiều dài ngắn nhất của mật khẩu, độ phức tạp của mật khẩu…
Để thiết lập chính sách mật khẩu cho các tài khoản trên hệ thống bạn tiến hành như sau:
Bƣớc 1:
Ấn chuột trên menu “Start”, chọn mục “Administrative Tools”. Trên menu “Administrative Tools” chọn mục “Local Security Policy”
Lúc này sẽ xuất hiện giao diện “Local Security Settings” có dạng như sau:
Hình 3.20. Giao diện mục Password Policy trong Local Security Settings
Bƣớc 2:
Tại giao diện “Local Security Settings” (hình 3.20) bạn click chuột chọn mục “Password Policy” (thuộc nhánh “Account Policies”). Lúc này bên cửa sổ phải sẽ xuất hiện các chính sách mật khẩu với chế độ mặc định như sau:
Bảng 3.2. Mô tả các chính sách mật khẩu trong hệ thống cục bộ (local system)
Chính sách Mô tả Mặc định
Enforce Password History Số lần đặt mật khẩu không được trùng nhau
0 Maximum Password Age Quy định số ngày nhiều nhất mà
mật khẩu người dùng có hiệu lực
42 Minimum Password Age Quy số ngày tối thiểu trước khi
người dùng có thể thay đổi mật khẩu
0 Minimum Password Length Chiều dài ngắn nhất của mật khẩu 0 Passwords Must Meet
Complexity Requirements
Mật khẩu phải có độ phức tạp như: có ký tự hoa, thường, có ký số.
Không khai báo Store Password Using
Reversible Encryption
Mật khẩu người dùng được lưu dưới dạng mã hóa
Không khai báo
Bƣớc 3:
Để thiết lập chính sách mật khẩu cho một mục nào đó bạn click đúp chuột vào mục đó để xuất hiện giao diện cho phép thiết lập chính sách mật khẩu:
Ví dụ: Để thiết lập chính sách mật khẩu có độ dài tối thiểu là 6 kí tự (chế độ mặc
định là 0 kí tự) bạn click đúp chuột vào mục “Minimum Password Length”. Lúc này sẽ xuất hiện giao diện có dạng như sau:
Hình 3.21. Thiết lập độ dài tối thiểu cho mật khẩu
Tại mục “Password must be at least” bạn nhập vào kí tự số để qui định độ dài tối thiểu cho mật khẩu. Ấn chuột vào “OK” để chấp nhận thiết lập chính sách mật khẩu.
Lƣu ý:
- Để hệ thống mạng an toàn bạn nên thiết lập chính sách qui định chiều dài tối thiểu của mật khẩu cho người sử dụng khi đăng nhập vào hệ thống (chế dộ mặc định bằng 0).
- Khi đặt mật khẩu nên bao gồm cả kí tự số, chữ hoa và chữ thường.
3.4.2. Chính sách kiểm toán
Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống, trên các đối tượng cũng như đối với người dùng. Trong một hệ thống mạng lớn việc thiết lập các chính sách kiểm toán đóng một vai trò tương đối quan trọng. Thông qua chính sách kiểm toán người quản trị mạng có thể kiểm tra và giám sát hệ thống mạng an toàn và chặt chẽ hơn.
Để thiết lập chính sách kiểm toán trên môi trường Windows Server 2003 bạn tiến hành như sau:
Bƣớc 1:
Ấn chuột trên menu “Start”, chọn mục “Administrative Tools”. Trên menu “Administrative Tools” chọn mục “Local Security Policy” sẽ xuất hiện giao diện “Local Security Settings” có dạng như sau:
Hình 3.22. Giao diện mục Audit Policy trong Local Security Settings
Bƣớc 2:
Tại giao diện “Local Security Settings” (hình 3.22) bạn click chuột chọn mục “Audit Policy” (thuộc nhánh “Local Policies”). Lúc này bên cửa sổ phải sẽ xuất hiện các chính sách kiểm toán với chế độ mặc định như sau:
Bảng 3.3 Mô tả tóm tắt một số chính sách kiểm toán trên Windows Server 2003
Chính sách Mô tả Mặc định
Audit Account Logon Events
Kiểm toán những sự kiện khi tài khoản đăng nhập, hệ thống sẽ ghi nhận khi người dùng
logon, logoff hoặc tạo một kết nối mạng Success Audit Account
Management
Hệ thống sẽ ghi nhận khi tài khoản người dùng hoặc nhóm có sự thay đổi thông tin hay các thao tác quản trị liên quan đến tài khoản người dùng
No Auditing Audit Directory Service
Access
Ghi nhận việc truy cập các dịch vụ thư mục
No Auditing Audit Logon
Events
Ghi nhận các sự kiện liên quan đến quá trình logon như thi hành một logon script hoặc truy cập đến một roaming profile
Success Audit Object
Access
Ghi nhận việc truy cập các tập tin, thư mục, và
máy in No Auditing
Change toán Audit privilege
use
Hệ thống sẽ ghi nhận lại khi bạn thao tác quản trị trên các quyền hệ thống như cấp hoặc xóa quyền của người sử dụng
No Auditing Audit process
tracking
Theo dõi hoạt động của chương trình hay hệ
điều hành No Auditing
Audit system event
Hệ thống sẽ ghi nhận mỗi khi bạn khởi động lại máy hoặc tắt máy
No Auditing Trong đó:
- No Auditing: Không thiết lập chính sách kiểm toán
- Success: Thiết lập chính sách kiểm toán thành công (những sự kiện thành công sẽ được ghi nhận lại trong “báo cáo” Event Viewer)
- Failure: Thiết lập chính sách kiểm toán không thành công (những sự kiện không thành công sẽ được ghi nhận lại trong “báo cáo” Event Viewer)
Bƣớc 3:
Để thiết lập chính sách kiểm toán cho một mục nào đó bạn click đúp chuột vào mục đó lúc này sẽ xuất hiện giao diện có dạng như sau:
Hình 3.23. Giao diện thiết lập chính sách kiểm toán
Tại giao diện này (hình 3.23) bạn click chuột vào mục “Success” hoặc “Failure” để thiết lập chế độ kiểm toán. Sau đó click chuột vào “OK” để chấp nhận thiết lập kiểm toán.
Lƣu ý: Để xem kết quả của chính sách kiểm toán trong hệ thống Windows Server 2003
bạn chọn mục “Event Viewer” trong menu “Administrative Tools”. Giao diện “Event Viewer” có dạng như sau (hình 3.24)
Hình 3.24. Giao diện Event Viewer
3.4.3. Các lựa chọn bảo mật khác
Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server khai báo thêm các thông số nhằm tăng tính bảo mật cho hệ thống như: Không cho phép hiển thị người dùng đã logon trước đó hay đổi tên tài khoản người dùng tạo sẵn…
Hệ thống Windows Server 2003 hỗ trợ rất nhiều lựa chọn bảo mật, nhưng trong giáo trình này chúng ta chỉ khảo sát một số lựa chọn thông dụng (bảng 3.4).
Bảng 3.4. Mô tả một số lựa chọn bảo mật thông dụng
Tên lựa chọn Mô tả
Accounts: Limit local account use of blank passwords to console logon only
Cho phép khai báo giới hạn hay không giới hạn tài khoản sử dụng mật khẩu trống
Account: rename administrator account
Cho phép đổi tên tài khoản Administrator thành tên mới
Audit : audit the access of global system objects
Giám sát việc truy cập các đối tượng hệ thống toàn cục
Interactive logon: do not display last user name
Không hiển thị tên người dùng đã logon trên hộp thoại Logon
Interactive logon: do not require CTRL+ALT+DEL
Không yêu cầu click tổ hợp phím CTRL+ALT+DEL khi logon
Network security: force logoff when logon hours expires
Tự động logoff khỏi hệ thống khi người dùng hết thời gian sử dụng hoặc tài khoản hết hạn
Shutdown: allow system to be shut down without having to log on
Cho phép người dùng shutdown hệ thống mà không cần logon
Để thiết lập chính sách bảo mật cho một mục nào đó bạn click đúp chuột vào mục đó lúc này sẽ xuất hiện giao diện cho phép khai báo thiết lập (Enabled) hoặc không thiết lập (Disabled).
Ví dụ: Để thiết lập chính sách bảo mật không cho phép tài khoản sử dụng mật khẩu
trống bạn click đúp chuột vào mục “Limit local account use of blank passwords to console logon only”. Lúc này sẽ xuất hiện giao diện có dạng như sau:
Hình 3.26. Giới hạn tài khoản có mật khẩu trống
Tại giao diện này bạn click chuột vào mục “Enabled” để thiết lập. Sau đó click chuột vào “OK” để chấp nhận thiết lập
3.5. Quản lý đĩa và lƣu trữ
3.5.1. Những khái niệm cơ bản về đĩa
- Đĩa vật lý:
Đĩa vật lý (Physical Drive) là thiết bị phần cứng được xác định theo tên, theo số (Disk 0, 1, 2; CD 0, 1, …) và bạn không thể làm thay đổi kích thước, dung lượng lưu trữ của đĩa được.
- Đĩa logic:
Đĩa logic (Logical Drive) là một phân khu (Partition) hay một Volume được tạo ra trên ổ đĩa vật lý, tên ổ đĩa và kích thước có thể thay đổi được.
- Volume:
Là một bộ phận lưu trữ làm từ không gian trống trên một hoặc nhiều đĩa. Nó có thể được định dạng với tập tin hệ thống và được gán tên ổ đĩa.
- Đĩa mounted:
Windows Server 2003 cho phép Mount một phân khu đến một thư mục rỗng trên Volume NTFS. Khi bạn truy xuất đến thư mục được Mount, số liệu thực tế được truy xuất là số liệu của Volume mà bạn Mount tới thư mục đó.
- RAID (Redundant Arrays of Independent Disks):
RAID là viết tắt của Redundant Arrays of Independent Disks (Các dãy đĩa dự phòng độc lập). RAID chủ yếu được ứng dụng cho các workstation và máy chủ nhằm mục đích làm tăng tốc quá trình chuyển tải dữ liệu của đĩa cứng.
Nguyên lý của RAID là đổi dung lượng đĩa lấy tốc độ: Nghĩa là tốc độ chuyển tải dữ liệu sẽ tăng nếu dữ liệu được chia đều cho các đĩa cứng hoạt động đồng thời. Để thiết lập được một hệ thống RAID ta cần phải có ít nhất 2 đĩa cứng trở lên. Hiện nay có các chuẩn RAID như sau:
RAID 0 (Striped Volume): Trong chuẩn RAID này, các đĩa cứng này được xếp thành các dãy (arrays). Dữ liệu được bộ điều khiển (RAID controller) phân bổ đều trên các dãy đĩa theo hàng ngang (data stripping). Dung lượng của một hệ thống RAID sẽ bằng dung lượng của dãy mà có tổng dung lượng các đĩa nhỏ nhất. Ưu điểm của RAID 0 là dữ liệu được chuyển tải rất nhanh nhưng nhược điểm của nó là chỉ cần một trong các đĩa của hệ thống bị trục trặc thì toàn bộ hệ thống sẽ đổ vỡ vì dữ liệu bị gián đoạn.
RAID 1: Thường được gọi là “Khối Phản Chiếu” (Mirrored Volume), RAID 1 khắc phục nhược điểm trên của RAID 0. Trong RAID 1, số lượng các dãy luôn là một số chẵn và 2 dãy kế cận chứa cùng một dữ liệu giống nhau. Khi đó nếu một đĩa bị trục trặc thì đĩa kế cận của nó vẫn có thể tiếp tục hoạt động, dữ liệu không bị mất và gián đoạn. Ở RAID 1, số lượng đĩa sử dụng có thể gấp đôi so với RAID 0 nhưng bù lại độ tin cậy lại cao.
RAID 2, RAID 3: Các chuẩn này giống như RAID 1 nhưng có dùng thêm một đĩa để ghi nhận và sửa các lỗi trong việc phân bố dữ liệu ở các đĩa (Error Checking