Đang tải... (xem toàn văn)
chi tiết, rõ ràng
Đồ án:Chính sách bảo mật trên win2003 SV :Nguyễn Văn Hoàng Gia 1 Đồ án:Chính sách bảo mật trên win2003 BẢO MẬT TRONG WINDOW SERVER 2003(win2k3) Như chúng ta đã biết khoa học máy vi tính ngày nay vô cùng phát triển, do nhu cầu trao đổi thông tin tăng lên không ngừng .Ngày nay máy vi tính là một vật bất khả li thân của nhiều người, nó đi sâu vào đời sống và giúp lưu trữ, xử lý thông tin hết sức đơn giản. Nhưng do yêu cầu công việc muốn trao đổi thông tin với nhau thì người ta cần đến một giao thức hết sức quan trọng đó là giao thức mạng máy tính. Mạng vi tính giúp rút ngắn khoảng cách về địa lí dù bạn ở nơi đâu Điều đó đã kéo theo sự phát triển đến chóng mặt của các mạng máy vi tính như:mạng lan mạng wan, mạng internet…Để đáp ứng yêu cầu thời đại, Microsoft nhà cung cấp phần mềm hàng đầu trên thề giới đã tung ra nhiều hệ điều hành như: win server 2000, window server 2003… để điều hành ,quản lý mạng máy vi tính. Cùng với nhu cầu trao đổi thông tin thì cũng yêu cầu khả năng bảo mật thông tin đó ngày càng tốt hơn. Window server 2003 (win2k3)là một sự lựa chọn đúng đắn. Win2k3 là phiên bản kế thừa và phát triển các hệ điều hành trước đó. Nó đã tích hợp rất nhiều công cụ mạnh nhằm giúp người quản trị có thể thiết lập bảo mật , quản trị hệ thống tin trong mạng của mình trước các cuộc thâm nhập hệ thống trái phép.vì vậy việc tìm hiểu về chính sách bảo mật trong window server 2003 là một nhu cầu tất yếu.Tuy hiện giờ Microsoft đã tung ra phiên bản window server 2008 kế thừa và phát triển của win 2k3 nhưng win 2k3 vẫn là sử dụng phổ biến nhất. Đầu tiên để tìm hiểu về chính sách bảo mật trong win2k3 chúng ta cần hiểu khái niệm bảo mật trong window server 2003 là gì?và tại sao chúng ta lại đi tìm hiểu về chính sách bảo mật trong win2k3? SV :Nguyễn Văn Hoàng Gia 2 Đồ án:Chính sách bảo mật trên win2003 Sau đó chúng ta sẽ đi sâu vào tìm hiểu các chính sách bảo mật trong win 2k3 gồm những bộ phận nào và chức năng nhiệm vụ của từng bộ phận !"#" Đồ Án 1 a, Nguyên tắc hoạt động 10 Kerberos được thiết kế dựa trên giao thức Needham-Schroeder. Kerberos sử dụng một bên thứ ba tham gia vào quá trình nhận thực gọi là "trung tâm phân phối khóa" (tiếng Anh: Key distribution center - KDC). KDC bao gồm hai chức năng: "máy chủ xác thực" (Authentication server - AS) và "máy chủ cung cấp vé" (Ticket granting server - TGS). "Vé" trong hệ thống Kerberos chính là các chứng thực chứng minh nhân dạng của người sử dụng 10 b, Nhược điểm 10 Windows Firewall Làm việc như thế nào 54 SV :Nguyễn Văn Hoàng Gia 3 Đồ án:Chính sách bảo mật trên win2003 $%&'() *+$,$$ /*$0 %./*$ Bảo mật trong win2k3 là tập hợp tất cả các chính sách công cụ trong win2k3 nhằm thiết lập bảo mật hệ thống . Thiết lập chính sách bảo mật trên người dùng, nhóm, quyền hạn của người dùng nhằm tăng cường mức an toàn cho mạng của mình. *+$10 Trong win2k3 chúng ta có 2 phần dành cho bảo mật cơ bản đó là :Domain controller security setting và Default domain security setting . Hai phần này có những thành phần giống nhau nhưng tác dụng, ảnh hưởng của chúng thì khác nhau.Nếu chúng ta chỉnh trên phần Domain controller security setting thì sẽ có ảnh hưởng đến toàn bộ domain: các tài khoản truy nhập domain từ các máy con và máy trạm. Do vậy trong đồ án này chúng tôi chỉ trình bày về Default domain security setting. %.20$345$ %6%.78* Chính sách tài khoản người dùng (Account Policy) được dùng để chỉ định các thông số về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy ra. Nó cho phép bạn cấu hình các thông số bảo mật máy tính : chính sách mật khẩu, khóa tài khoản và chứng thực Kerberos trong vùng. Nếu trên Server thành viên thì bạn sẽ thấy hai mục Password Policy và Account Lockout Policy, trên máy Windows Server 2003 làm domain controller thì bạn sẽ thấy ba thư mục Password Policy, Account Lockout Policy và Kerberos Policy. Trong SV :Nguyễn Văn Hoàng Gia 4 Đồ án:Chính sách bảo mật trên win2003 Windows Server 2003 cho phép bạn quản lý chính sách tài khoản tại hai cấp độ là: cục bộ và miền %6.'() Muốn cấu hình các chính sách tài khoản người dùng ta vào: Start /program/administrative tools/default domain security settings(hình 1) SV :Nguyễn Văn Hoàng Gia 5 Đồ án:Chính sách bảo mật trên win2003 Hình 1 SV :Nguyễn Văn Hoàng Gia 6 Đồ án:Chính sách bảo mật trên win2003 %66%.09 Hình 2 Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn cho mật khẩu của người dùng để tránh các trường hợp đăng nhập bất hợp pháp vào hệ thống. Chính sách này cho phép bạn qui định :chiều dài ngắn nhất của mật khẩu, độ phức tạp của mật khẩu… SV :Nguyễn Văn Hoàng Gia 7 Đồ án:Chính sách bảo mật trên win2003 %66.0:;20 Hình 3 Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức và thời điểm khóa tài khoản trong vùng hay trong hệ thống cục bộ. Chính sách này giúp hạn chế tấn công thông qua hình thức logon từ xa. SV :Nguyễn Văn Hoàng Gia 8 Đồ án:Chính sách bảo mật trên win2003 %66./<(=> Hình 4 %66=.78* ?/ Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tính hoạt động trên những đường truyền không an toàn. Giao thức Kerberos có khả năng chống lại việc nghe lén hay gửi lại các gói tin cũ và đảm bảo tính toàn vẹn của dữ liệu. Mục tiêu khi thiết kế giao thức này là nhằm vào mô hình máy chủ máy khách (client- SV :Nguyễn Văn Hoàng Gia 9 Đồ án:Chính sách bảo mật trên win2003 server) và đảm bảo nhận thực cho cả hai chiều.Giao thức được xây dựng dựa trên mật mã hóa khóa đối xứng và cần đến một bên thứ ba mà cả hai phía tham gia giao dịch tin tưởng. ;.@$ AB,C$ Kerberos được thiết kế dựa trên giao thức Needham-Schroeder. Kerberos sử dụng một bên thứ ba tham gia vào quá trình nhận thực gọi là "trung tâm phân phối khóa" (tiếng Anh: Key distribution center - KDC). KDC bao gồm hai chức năng: "máy chủ xác thực" (Authentication server - AS) và "máy chủ cung cấp vé" (Ticket granting server - TGS). "Vé" trong hệ thống Kerberos chính là các chứng thực chứng minh nhân dạng của người sử dụng. Mỗi người sử dụng (cả máy chủ và máy khách) trong hệ thống chia sẻ một khóa chung với máy chủ Kerberos. Việc sở hữu thông tin về khóa chính là bằng chứng để chứng minh nhân dạng của một người sử dụng. Trong mỗi giao dịch giữa hai người sử dụng trong hệ thống, máy chủ Kerberos sẽ tạo ra một khóa phiên dùng cho phiên giao dịch đó6 .@3D) • Tồn tại một điểm yếu: Nếu máy chủ trung tâm ngừng hoạt động thì mọi hoạt động sẽ ngừng lại. Điểm yếu này có thể được hạn chế bằng cách sử dụng nhiều máy chủ Kerberos. • Giao thức đòi hỏi đồng hồ của tất cả những máy tính liên quan phải được đồng bộ. Nếu không đảm bảo điều này, cơ chế chứng thực dựa trên thời hạn sử dụng sẽ không hoạt động. Thiết lập mặc định đòi hỏi các đồng hồ không được sai lệch quá 10 phút. • Cơ chế thay đổi mật khẩu không được tiêu chuẩn hóa. SV :Nguyễn Văn Hoàng Gia 10 [...]... filter actions SV :Nguyễn Văn Hoàng Gia 24 Đồ án: Chính sách bảo mật trên win2003 Hình 10 ấn add để thêmđiền tênaddNEXT Hình 16 Chọn kiểu lọc SV :Nguyễn Văn Hoàng Gia 25 Đồ án: Chính sách bảo mật trên win2003 Hình 17 Chọn tác động Hình 18 SV :Nguyễn Văn Hoàng Gia 26 Đồ án: Chính sách bảo mật trên win2003 Bảo mật IP Hình 19 c, Cách kết hợp bộ lọc và tác động bảo mật Nhấp phải chuột IP security on active... :Nguyễn Văn Hoàng Gia 27 Đồ án: Chính sách bảo mật trên win2003 Hình 20 chọn điểm kết thúc của kênh tunnel Hình 21 chọn kiểu kết nối mạng SV :Nguyễn Văn Hoàng Gia 28 Đồ án: Chính sách bảo mật trên win2003 Hình 22 chọn bộ lọc IP Hình 23 chọn tác động lọc Hình 24 SV :Nguyễn Văn Hoàng Gia 29 Đồ án: Chính sách bảo mật trên win2003 phương pháp xác nhận Hình 25 FINISHOK Trong khung cửa sổ chính công cụ domain... NEXTđiền tênrồi ấn add SV :Nguyễn Văn Hoàng Gia 21 Đồ án: Chính sách bảo mật trên win2003 Hình 9 Rồi chọn mirrored … Để cho qui tắc có tác dụng qua lại giữa 2 máy Hình 10 SV :Nguyễn Văn Hoàng Gia 22 Đồ án: Chính sách bảo mật trên win2003 Đến điền địa chỉ nguồn Hình 11 Đến điền dịa chỉ máy đích Hình 13 SV :Nguyễn Văn Hoàng Gia 23 Đồ án: Chính sách bảo mật trên win2003 Chọn kiểu kết nối Hình 14 FINISH ok b,Thiết.. .Đồ án: Chính sách bảo mật trên win2003 2 ,Chính sách cục bộ 2.1,Giới thiệu Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung Đồng thời dựa vào công cụ này bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mật Hình 5 2.2 Thiết lập chính sách kiểm toán SV :Nguyễn... 15 Đồ án: Chính sách bảo mật trên win2003 2.4 Thuộc tính bảo mật Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server khai báo thêm các thông số nhằm tăng tính bảo mật cho hệ thống như: không cho phép hiển thị người dùng đã logon trước đó hay đổi tên tài khoản người dùng tạo sẵn (administrator, guest) Trong hệ thống Windows Server 2003 hỗ trợ cho chúng ta rất nhiều lựa chọn bảo mật, ... C:\Test Click nút phải chuột trên thư mục Test Properties SV :Nguyễn Văn Hoàng Gia 32 Đồ án: Chính sách bảo mật trên win2003 Hình 27 d Trong màn hình TestEFS Properties Advanced.(hinh 28) Hình 28 Trong màn hình Advanced Attributes đánh dấu chọn ô Encrypt contents to secure data OK Apply OK(hình 29) Hình 29 SV :Nguyễn Văn Hoàng Gia 33 Đồ án: Chính sách bảo mật trên win2003 e Trong thư mục Test,... hạn đồ án này chúng ta chỉ khảo sát các lựa chọn thông dụng SV :Nguyễn Văn Hoàng Gia 16 Đồ án: Chính sách bảo mật trên win2003 Hình 7.1 +Shutdown: allow system to be shut down without having to log on : cho phép tắt hệ thống mà không cần logon + Audit : audit the access of global system objects : Giám sát việc truy cập các đối tượng hệ thống toàn cục SV :Nguyễn Văn Hoàng Gia 17 Đồ án: Chính sách bảo mật. .. :Nguyễn Văn Hoàng Gia 11 Đồ án: Chính sách bảo mật trên win2003 Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống, trên các đối tượng cũng như đối với các người dùng Bạn có thể xem các ghi nhận này thông qua công cụ Event Viewer trong mục Security 2.3 , Thiết lập quyền hệ thống cho người dùng Đối với hệ thống Windows Server 2003, bạn có hai cách... không dùng IPSEC -Secure Server: bắt buộc sử dụng IPSEC trong mọi cuộc trao đổi dữ liệu trong server e,Kết luận SV :Nguyễn Văn Hoàng Gia 30 Đồ án: Chính sách bảo mật trên win2003 IPSEC là 1 phần hỗ trợ giúp việc trao đổi dữ liệu được nâng cao và an toàn hơn II,Những biện pháp bảo mật nâng cao 1,Tìm hiểu về EFS trên WorkGroup 1.1,Giới thiệu và mục đích EFS là chữ viết tắt của Encrypt File System dược... thông tin của người dùng khi đăng nhập, các lựa chọn thiết lập, lưu trữ thông tin người dùng khi đăng nhập SV :Nguyễn Văn Hoàng Gia 19 Đồ án: Chính sách bảo mật trên win2003 Hình 7.4 4,Giới thiệu về IPsec 4.1,Định nghĩa -Ipsec(IP scurity) là 1 giao thức hỗ trợ bảo mật dựa trên địa chỉ IP -Giao thức hoạt động ở tầng thứ 3 network trong mô hình OSI nên nó an toàn và tiện lợi hơn tầng APPLICATION 4.2,Cách . án: Chính sách bảo mật trên win2003 Hình 1 SV :Nguyễn Văn Hoàng Gia 6 Đồ án: Chính sách bảo mật trên win2003 %66%.09 Hình 2 Chính sách. sách bảo mật trong win2k3? SV :Nguyễn Văn Hoàng Gia 2 Đồ án: Chính sách bảo mật trên win2003 Sau đó chúng ta sẽ đi sâu vào tìm hiểu các chính sách bảo mật