Vấn đề an ninh, bảo đảm an toàn hệ thống luôn làm các nhà quản trị, bảo mật đau đầu. Để phòng chống ta có thể thực hiện các giải pháp sau:
Luôn update các bản vá lỗi mới nhất từ nhà cung cấp phần mềm. Enable Firewall chỉ mởi những cổng cần thiết cho các ứng dụng. Xây dựng hệ thống phát hiện xâm nhập IDS.
49
CHƯƠNG 4: TRIỂN KHAI WSUS TRONG MẠNG WINDOWS 4.1. Giới thiệu tổng quan
Trong hệ thống mạng chuyên nghiệp, nhu cầu cập nhật các bản vá lỗi cho Windows và các ứng dụng là hết sức cần thiết để hệ thống có thể hoạt động ổn định, khắc phục các lỗi về bảo mật, đảm bảo cho hệ thống hoạt động tốt hơn.
Trên các phiên bản Windows đều có chức năng Automatic Update cho phép tự động tải và cài đặt các bản vá lỗi (hotfix) từ Microsoft Update Server. Tuy nhiên trong trường hợp hệ thống lớn có rất nhiều máy tính cần cập nhật các bản vá lỗi từ Microsoft Update Server sẽ gây ra hiệu ứng xấu cho đường truyền Internet như tốn băng thông và chậm chạp, tốn thời gian. Microsoft Windows Server Update Services (WSUS) là giải pháp hữu hiệu cho các doanh nghiệp sử dụng hệ thống mạng Windows trong vấn đề cập nhật hệ thống, WSUS Server sẽ tiến hành dowload các bản cập nhật để cung cập lại cho các máy trạm, chỉ cần sử dụng một Server cập nhật các hotfix từ Microsoft Update Server để cung cấp cho tất cả các máy tính trong mạng, đến đây vấn đề băng thông trên đường truyền đã được giải quyết.
Trong phần này em sẽ giới thiệu thao tác cấu hình WSUS trên Windows Server 2012 để thực hiện giải pháp đó.
4.2. Các thành phần chính trong hệ thống WSUS
Có ba thành phần chính để triển khai WSUS.
Server Microsoft Update: đây chính là thành phần quản lý và phân phối các hotfix đến máy khách của Microsoft theo yêu cầu.
WSUS Server: máy chủ cho phép các quản trị viên chỉ định các nâng cấp nào sẽ được download từ Microsoft Update Server và sau đó được triển khai tới mạng các máy khách.
Automatic Update: đây là thành phần được xây dựng trong các hệ điều hành Windows của Microsoft, cho phép các hệ điều hành này có thể download các bản nâng cấp từ nguồn được chỉ định.
50
Khi ta triển khai WSUS cho một mạng LAN nhỏ hay một mạng WAN thì điều sử dụng 3 thành phần trên. Cụ thể các thành phần đó sẽ được triển khai như thế nào em sẽ giải thích trong các mô hình sau đây.
4.2.1. Một WSUS Server (Small-Sized hoặc Simple Network)
Trong cấu hình chung, một quản trị viên mạng sẽ quản lý một máy chủ WSUS để download các hotfix trực tiếp từ Microsoft Update.
Khi thiết lập xong mọi thứ, lúc này chỉ cần quản trị viên mạng phải bảo đảm sự đồng bộ giữa máy chủ và Microsoft Update, phân phối các bản cập nhật xuống cho các máy trong mạng, theo mô hình sau:
Hình 4.2.1. Triển khai một WSUS cho mạng Lan nhỏ
4.2.2. Nhiều WSUS Server
Triển khai nhiều WSUS Server (Medium-Sized hoặc More Complex Network).
Việc triển khai các thành phần WSUS trong một mạng cỡ trung bình hay phức tạp, có một số vấn đề phát sinh như sau:
51
Triển khai cho nhiều WSUS Server độc lập với nhau:
Các quản trị viên có thể triển khai nhiều máy chủ được cấu hình để mỗi máy chủ được quản lý một cách độc lập và do đó mỗi máy chủ đồng bộ hóa nội dung từ Microsoft Update, như thể hiện trong hình dưới đây.
Hình 4.2.2.1. Triển khai nhiều WSUS Server độc lập với nhau.
Các phương pháp triển khai trong trường hợp này sẽ thích hợp cho các tình huống khác nhau, trong đó mạng cục bộ (LAN) hoặc mạng diện rộng (WAN) phân đoạn mạng được quản lý một cách riêng biệt (ví dụ: các chi nhánh của một văn phòng).
Nó cũng sẽ thích hợp trong trường hợp một WSUS Server được cấu hình để triển khai bản cập nhật cho máy tính client chạy một hệ điều hành nào đó (chẳng hạn như Windows 2000), trong khi một WSUS Server khác được cấu hình để các máy tính client chạy một hệ điều hành (chẳng hạn như Windows XP). Trong những tình huống này, hai máy chủ sẽ không cần phải đồng bộ hóa nội dung.
52
Các quản trị viên có thể triển khai nhiều WSUS Server bên trong mạng nội bộ của tổ chức. Trong hình dưới đây, chỉ có một máy chủ được tiếp xúc với Internet.
Trong cấu hình này, đây là máy chủ duy nhất được cấu hình để tải bản cập nhật từ Microsoft Update.
Hình 4.2.2.2. Triển khai nhiều WSUS Server nội đồng bộ.
4.2.3. WSUS Server không có kết nối đến internet
Nếu do chính sách của công ty hoặc các điều kiện khác hạn chế truy cập máy tính với Internet, các quản trị viên có thể thiết lập một máy chủ nội bộ chạy WSUS, như minh họa trong hình sau.
53
Trong ví dụ này, một máy chủ được tạo ra là kết nối với Internet, lấy các bản cập nhật về và đưa các nội dung cập nhật vào một đĩa CD, từ CD nhập nội dung vào máy WSUS Server trong mạng nội bộ.
4.3. Triển khai chi tiết
Cài đặt WSUS cho hệ thống, nhằm tăng cường tính an toàn, ổn định cho các server bằng việc cập nhật liên tục các bản vá lỗi của hệ điều hành và các phần mềm của Microsoft, nhưng vẫn đảm bảo không làm nghẽn lưu lượng ra internet.
Mô hình sử dụng để triển khai hệ thống WSUS:
o 1 máy chủ chạy Windows Server 2008: máy này sẽ đảm nhận WSUS và cập nhật các hotfix từ Microsoft Update Server phục vụ cho toàn bộ máy tính trong mạng.
o 1 máy client chạy hệ điều hành Windows XP: máy này sẽ nhận các bản cập nhật từ máy chủ chạy Windows Server 2008.
Các bước chính trong việc triển khai như sau: o Thăng DC cho máy Server
o Join Domain cho máy Client.
o Cài đặt Microsoft Report Viewer redistributable 2008. o Cài IIS và các thành phần yêu cầu cho WSUS.
o Cài đặt WSUS. o Cấu hình WSUS.
o Cấu hình Client bằng Group Policy Object (GPO). o Tạo Computer Group cho Server.
o Xem báo cáo trạng thái trên máy chủ. o Approve updates.
54
4.3.1. Cài đặt và join domain
Thiết lập IP cho Server và Client.
Server Client
IP 193.168.1.254 193.168.1.2
Subnet Mask 255.255.255.0 255.255.255.0
Default Getaway 193.168.1.254
Preferred DNS Server 193.168.1.254 193.168.1.254 Cài đặt Active Directory Domain Services.
55 Đặt tên DC.
56 Join domain cho máy client.
57
4.3.2. Cài đặt Microsoft Report Viewer redistributable 2008.
Tải phần mềm tại: http://www.microsoft.com/en-us/download/details.aspx?id=577. Đăng nhập vào Server bằng tài khoản domain Administrator, chạy file vừa
58
4.3.3. Cài IIS và các thành phần yêu cầu cho WSUS.
Mở Server Manager từ Administrative Tools, chọn Roles chuột phải Add Roles.
Màn hình Select Server Roles, đánh dấu chọn Web Server (IIS). Cửa sổ Add features required for Web Server (IIS)? xuất hiện chọn Add Required Features. Sau đó chọn Next để tiếp tục.
59
Trên màn hình Select Role Services, đánh dấu chọn vào các mục sau đây, sau đó chọn Next để tiếp tục.
ASP.NET
Dynamic Content Compression
Basic Authentication
Windows Authentication
60
4.3.4. Cài đặt WSUS
Nếu máy Server là phiên bản standart cần down load file WSUS 3.0 SP2 tại địa chỉ: http://www.microsoft.com/download/en/details.aspx?id=5216.
Nếu dùng bản Enterprise sử dụng Role có sẵn.
Tiến hành tải file cài đặt và thực hiện việc setup vào hệ thống.
Hộp thoại Installation Mode Selection - Chọn Full server installation… - Next.
61
Hộp thoại License Agreement > Chọn I accept > Next.
Trong hộp thoại Select update Source, chỉ định một thư mục tùy ý để lưu trữ các bản update – kích Next tiếp tục.
62
Hộp thoại Database Options > Để mặc định > Next cho đến khi cài đặt hoàn tất phần mềm vào hệ thống.
63
4.3.5. Cấu hình WSUS
Bắt đầu tiến trình cấu hình WSUS. Màn hình Before You Begin, chúng ta nhấn
Next.
Màn hình Join the Microsoft Update Improvement Program, bỏ chọn ô Yes, I would like to join the Microsoft Update Improvement Program. Nhấn Next.
64
Màn hình Choose Upstream Server, chọn ô Synchronize from Microsoft Update để download các bản cập nhật từ Server Microsoft - Nhấn Next.
Màn hình Specify Proxy Server, do truy cập Internet trược tiếp không thông qua Proxy server nên chúng ta không cần chọn dấu chọn ở ô Use a proxy server when synchronizing - Nhấn Next.
65
Màn hình Connect to Upstream Server, chúng ta nhấn vào nút Start Connecting để kết nối đến server Microsoft update.
Chờ đợi quá trình kết nối, quá trình này mất khá nhiều thời gian và phụ thuộc vào tốc độ đường truyền Internet. Sau khi kết nối thành công, nhấn Next.
Màn hình Choose Languages, chúng ta chọn Download Updates only in these languages, sau đó lựa chọn ngôn ngữ cho bản cập nhật - Nhấn Next.
66
Màn hình Choose Products, lựa chọn sản phẩm cần download các bản Update. Trong phần này em muốn cập nhật cho các máy tính chạy Windows xp nên em chỉ đánh dấu Windows xp - Nhấn Next.
Màn hình Choose Classifications, chúng ta chọn loại Update. Trong phần này để tiết kiệm thời gian download ta chọn Critical Updates. Nhấn Next.
67
Màn hình Set Sync Schedule, chọn Synchronize automatically, sau đó đặt thời gian để lập lịch tùy ý để WSUS server tự động cập nhật với Microsoft Update, chọn 1 giờ sáng và mỗi ngày thực hiện đồng bộ 1 lần - Nhấn Next.
Màn hình Finish, chúng ta đánh dấu chọn vào ô Begin initial synchronization, chương trình sẽ bắt đầu download các bản update đã chỉ định ở bước trước.
68
Chọn Synchronizations, quan sát và chờ đợi quá trình download hoàn tất, thời gian chờ đợi phụ thuộc vào số lượng Update được chọn và tốc độ đường truyền Internet của chúng ta.
Sau khi hoàn tất, chọn Synchronizations, kiểm tra trạng thái thành công (Succeeded).
69
Chọn Updates - All Updates . Mục Approval chọn Any Except Declined, mục
Status chọn Any. Nhấn nút Refresh ta sẽ thấy các bản update đã download được từ Microsoft.
4.3.6. Cấu hình Client bằng GPO
Mở Active Directory Users and Computers, tạo OU tên là WSUS Clients, sau đó di chuyển các Computers Client vào OU này.
70
Tiếp theo, mở Start > Programs > Administrative Tools > Group Policy Management, nhấn chuột phải vào OU WSUS Clients, chọn Create a GPO in this domain, and Link it here.
71
Ở khung New GPO, ta tiến hành đặt tên GPO và nhấn OK.
Chuột phải vào GPO vừa tạo, chọn Edit.
Ở khung bên trái, chúng ta lần lượt chọn Computer Configuration - Policies - Administrative Templates - Windows Components - Windows Update, ở khung bên phải, chúng ta nhấn chuột phải vào mục Configure Automatic Updates, chọn
72
Qui định các Client sẽ tự động Download Update và cài đặt vào lúc 1 giờ trưa hằng ngày - Nhấn OK.
73
Chuột phải vào mục Specify intranet Microsoft update service location, chọn
Properties.
Chúng ta nhập vào URL WSUS Server cho 2 mục Set the intranet update service for detecting services và Set the Intranet static server là http://IP của server
74
Cập nhật policy bằng lệnh GPUPDATE /FORCE.
Sang máy client, kiểm tra client có được áp đặt policy hay không bằng lệnh
GPRESULT và bảo đảm trong mục COMPUTERSETTINGS có Configure WSUS Client.
Sau khi cấu hình GPO, sẽ mất một khoảng thời gian khá lâu để các máy client có thể xuất hiện trong mục Computers trên WSUS Console. Đối với những client được áp dụng GPO, sẽ mất khoảng 20 phút để GPO được cập nhật. Để không phải
75
chờ đợi lâu, trên các máy client chúng ta có thể dùng lệnh GPUPDATE /FORCE để cập nhật policy và lệnh WUAUCTL /DETECTNOW để tiến hành cập nhật nhanh. Tuy nhiên quá trình này cũng có thể mất khá nhiều thời gian, ta có thể chờ đợi hoặc thực hiện tiếp các bước tiếp theo và quay lại kiểm tra sau.
Sau khi cập nhật client, chuyển sang server, chọn Computers - All Computers
- Mục Status chọn Any - Nhấn nút Refresh chúng ta sẽ thấy danh sách các client đã được cập nhật. Nếu chưa cập nhật, chúng ta có thể thực hiện tiếp các bước tiếp theo (bỏ qua bước đưa client vào group) và quay lại kiểm tra sau.
76
4.3.7. Tạo Computer Group
Trong hệ thống mạng, các client có thể chạy nhiều hệ điều hành khác nhau (Windows 8, Windows 7, Windows XP hay Windows Server 2012). Mỗi Hệ điều hành cần cập nhật các bản update khác nhau. Vì vậy chúng ta cần phân loại các client dựa vào hệ điều hành bằng cách tạo các Computer Group. Trong mục Computers, nhấn chuột phải vào All Computers, chọn Add Computer Group.
77
Chọn máy tính Client để đưa vào Computer Group, nhấn phải chuột chọn
Change Membership.
78
Kiểm tra máy Client đã được đưa vào Computer Group Windows XP Clients.
4.3.8. Xem lại các cấu hình trên WSUS server
Trên máy chủ Server, mở Windows Server Update Services từ Administrative Tools. Trên màn hình Update Services, chọn Options.
79
Xem chi tiết các thông tin về cấu hình hiện tại của WSUS Server cho từng mục sau:
Update Source and Proxy Server Product and Classifications Update Files and Languages Synchronization Schedule Automatic Approvals Computers
Server Cleanup Wizard Reporting Rollup Email Notifications
Microsoft Update Improvement Program Personalization
WSUS Server Configuration Wizard
Trường hợp muốn thay đổi lại bất kỳ cấu hình này chúng ta đã thực hiện sau khi cài đặt, chúng ta có thể thay đổi trên các tùy chọn này.
4.3.9. Xem báo cáo trạng thái trên máy chủ
Sau khi thực hiện việc download các bản update từ trang web của Microsoft về máy chủ WSUS, chúng ta có thể xem được trạng thái của các máy WSUS Client. Để xem trạng thái của máy ngocdu-client là thành viên của Server chúng ta chọn trạng thái là Any. Sau đó chuột phải vào ngocdu-client.ngocdu.com và chọn
80
Trên report này chúng ta sẽ xem được các thông tin về hệ điều hành, ngôn ngữ, địa chỉ IP và trạng thái cập nhật gần nhất của máy chủ HT-DC. Ngoài ra chúng ta cũng xem được trạng thái có bao nhiêu bản update cài đặt không thành công, chưa được cài đặt, đã được cài đặt nhưng không ứng dụng được.
81
Trên báo cáo chúng ta sẽ nhìn rõ được tên các bản update, phân loại update và trạng thái phê duyệt của bản update này. Chúng ta có thể sử dụng các tiêu chí lọc để xuất ra các báo cáo theo yêu cầu. Ở đây chúng ta có thể lọc dựa trên 3 tiêu chí: phân loại (Classification), Sản phẩm (Products) và trạng thái (Status).
Ví dụ ở đây chúng ta lọc dựa trên trạng thái của bản update là Needed. Sau khi chọn trạng trạng thái là Needed chọn Run Report trên thanh công cụ để chạy lại report. Tất cả các bản update có trạng thái là Needed có nghĩa là cần thiết cho máy chủ sẽ hiện lên trên báo cáo.
82
4.3.10. Approve updates
Để cho phép các máy client download và cài đặt các update, chúng ta cần approve các bản update cho các computer group chỉ định. Chọn Updates - All Updates, chọn các bản Update cần Approve - Chuột phải và chọn Approve.
83 Nhấn OK.
Chờ đợi quá trình approve, quá trình này có thể nhanh hay chậm tùy thuộc vào số lượng các bản update mà chúng ta approve. Kiểm tra các Update đã được Approve - Nhấn Close.
Như vậy dựa vào các cấu hình vừa rồi, WSUS server hàng ngày vào lúc 1 giờ sáng sẽ tự động đồng bộ với server của Microsoft để cập nhật các bản update mới, các máy client sẽ tự động download các bản update từ WSUS server và tự động cài đặt các bản update đó vào lúc 1 giờ trưa hàng ngày.
84
KẾT LUẬN
Sau một thời gian thực hiện đề tài, em đã thực hiện được các mục tiêu đề ra và đạt được những kết quả sau:
Kết quả đạt được:
Hiểu được quy trình thực hiện tìm và khai thác lỗ hổng của hệ thống. Tìm hiểu được tổng quát về Metasploit, Nessus, các chức năng, tiện ích của