Đang tải... (xem toàn văn)
Hướng dẫn sử dụng Microsoft Window
Tài liệu hướng dẫn giảng dạy - Dsadd: cho phép bạn thêm computer, contact, group, ou user vào dịch vụ Directory - Dsrm: xóa đối tượng dịch vụ Directory - Dsmove: di chuyển đối tượng từ vị trí đến vị trí khác dịch vụ Directory - Dsget: hiển thị thông tin lựa chọn đối tượng computer, contact, group, ou, server user dịch vụ Directory - Dsmod: chỉnh sửa thông tin computer, contact, group, ou user dịch vụ Directory - Dsquery: truy vấn thành phần dịch vụ Directory - Ví dụ: - Tạo user mới: dsadd user “CN=hv10, CN=Users, DC=netclass, DC=edu, DC=vn” –samid hv10 –pwd 123 - Xóa user: dsrm “CN=hv10, CN=Users, DC=netclass, DC=edu, DC=vn” - Xem user hệ thống: dsquery user - Gia nhập user vào nhóm: dsmod group “CN=hs, CN=Users, DC=netclass, DC=edu, DC=vn” –addmbr “CN=hv10, CN=Users, DC=netclass, DC=edu, DC=vn” Học phần - Quản trị mạng Microsoft Windows Trang 234/555 Tài liệu hướng dẫn giảng dạy Bài 11 CHÍNH SÁCH HỆ THỐNG Tóm tắt Lý thuyết tiết - Thực hành tiết Mục tiêu Kết thúc học cung cấp học viên kiến thức sách mật khẩu, sách khóa tài khoản nguời dùng, quyền hệ thống người dùng, IPSec … Các mục I Chính sách tài khoản người dùng II Chính sách cục III IPSec Học phần - Quản trị mạng Microsoft Windows Bài tập bắt buộc Bài tập làm thêm Dựa vào tập môn Quản trị Windows Server 2003 Dựa vào tập môn Quản trị Windows Server 2003 Trang 235/555 Tài liệu hướng dẫn giảng dạy I CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG Chính sách tài khoản người dùng (Account Policy) dùng để định thông số tài khoản người dùng mà sử dụng tiến trình logon xảy Nó cho phép bạn cấu hình thơng số bảo mật máy tính cho mật khẩu, khóa tài khoản chứng thực Kerberos vùng Nếu Server thành viên bạn thấy hai mục Password Policy Account Lockout Policy, máy Windows Server 2003 làm domain controller bạn thấy ba thư mục Password Policy, Account Lockout Policy Kerberos Policy Trong Windows Server 2003 cho phép bạn quản lý sách tài khoản hai cấp độ là: cục miền Muốn cấu hình sách tài khoản người dùng ta vào Start ¾ Programs ¾ Administrative Tools ¾ Domain Security Policy Local Security Policy I.1 Chính sách mật Chính sách mật (Password Policies) nhằm đảm bảo an toàn cho mật người dùng để trách trường hợp đăng nhập bất hợp pháp vào hệ thống Chính sách cho phép bạn qui định chiều dài ngắn mật khẩu, độ phức tạp mật khẩu… Học phần - Quản trị mạng Microsoft Windows Trang 236/555 Tài liệu hướng dẫn giảng dạy Các lựa chọn sách mật mã: Chính sách I.2 Mô tả Mặc định Enforce Password History Số lần đặt mật mã không trùng 24 Maximum Password Age Quy định số ngày nhiều mà mật mã người dùng có hiệu lực 42 Minimum Password Age Quy số ngày tối thiểu trước người dùng thay đổi mật mã Minimum Password Length Chiều dài ngắn mật mã Passwords Must Meet Mật phải có độ phức tạp như: có Complexity Requirements ký tự hoa, thường, có ký số Cho phép Store Password Using Mật mã người dùng lưu Reversible Encryption for All dạng mã hóa Users in the Domain Khơng cho phép Chính sách khóa tài khoản Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức thời điểm khóa tài khoản vùng hay hệ thống cục Chính sách giúp hạn chế cơng thơng qua hình thức logon từ xa Các thơng số cấu hình sách khóa tài khoản: Chính sách Account Threshold II Lockout Mô tả Giá trị mặc định Quy định số lần cố gắng đăng nhập trước tài (tài khoản khơng bị khóa) khoản bị khóa Account Duration Là 0, Account Lockout Lockout Quy định thời gian khóa tài Threshold thiết lập giá trị khoản 30 phút Reset Lockout After Account Quy định thời gian đếm lại Là 0, Account Lockout Counter số lần đăng nhập khơng Threshold thiết lập giá trị 30 phút thành cơng CHÍNH SÁCH CỤC BỘ Chính sách cục (Local Policies) cho phép bạn thiết lập sách giám sát đối tượng mạng người dùng tài nguyên dùng chung Đồng thời dựa vào cơng cụ bạn cấp quyền hệ thống cho người dùng thiết lập lựa chọn bảo mật Học phần - Quản trị mạng Microsoft Windows Trang 237/555 Tài liệu hướng dẫn giảng dạy II.1 Chính sách kiểm tốn Chính sách kiểm tốn (Audit Policies) giúp bạn giám sát ghi nhận kiện xảy hệ thống, đối tượng người dùng Bạn xem ghi nhận thơng qua cơng cụ Event Viewer, mục Security Các lựa chọn sách kiểm tốn: Chính sách Mơ tả Audit Account Logon Events Kiểm toán kiện tài khoản đăng nhập, hệ thống ghi nhận người dùng logon, logoff tạo kết nối mạng Audit Account Management Hệ thống ghi nhận tài khoản người dùng nhóm có thay đổi thơng tin hay thao tác quản trị liên quan đến tài khoản người dùng Audit Directory Access Ghi nhân việc truy cập dịch vụ thư mục Service Audit Logon Events Ghi nhân kiện liên quan đến trình logon thi hành logon script truy cập đến roaming profile Audit Object Access Ghi nhận việc truy cập tập tin, thư mục, máy tin Audit Policy Change Ghi nhận thay đổi sách kiểm toán Audit privilege use Hệ thống ghi nhận lại bạn bạn thao tác quản trị quyền hệ thống cấp xóa quyền Audit process tracking Kiểm tốn theo dõi hoạt động chương trình hay hệ điều hành Audit system event Hệ thống ghi nhận bạn khởi động lại máy tắt máy Học phần - Quản trị mạng Microsoft Windows Trang 238/555 Tài liệu hướng dẫn giảng dạy II.2 Quyền hệ thống người dùng Đối với hệ thống Windows Server 2003, bạn có hai cách cấp quyền hệ thống cho người dùng là: gia nhập tài khoản người dùng vào nhóm tạo sẵn (built-in) để kế thừa quyền bạn dùng công cụ User Rights Assignment để gán quyền rời rạc cho người dùng Cách thứ bạn biết sử dụng chương trước, cần nhớ quyền hạn nhóm tạo sẵn bạn gán quyền cho người dùng theo yêu cầu Để cấp quyền hệ thống cho người dùng theo theo cách thứ hai bạn phải dùng cơng cụ Local Security Policy (nếu máy bạn Domain Controller) Domain Controller Security Policy (nếu máy bạn Domain Controller) Trong hai công cụ bạn mở mục Local Policy\ User Rights Assignment Để thêm, bớt quyền hạn cho người dùng nhóm, bạn nhấp đơi chuột vào quyền hạn chọn, xuất hộp thoại chứa danh sách người dùng nhóm có quyền Bạn nhấp chuột vào nút Add để thêm người dùng, nhóm vào danh sách nhấp chuột vào nút Remove để xóa người dùng khỏi danh sách Ví dụ minh họa sau bạn cấp quyền thay đổi hệ thống (change the system time) cho người dùng “Tuan” Học phần - Quản trị mạng Microsoft Windows Trang 239/555 Tài liệu hướng dẫn giảng dạy Danh sách quyền hệ thống cấp cho người dùng nhóm: Quyền Mô tả Access This Computer from Cho phép người dùng truy cập máy tính thơng qua mạng Mặc the Network định người có quyền Act as Part of the Operating Cho phép dịch vụ chứng thực mức thấp chứng thực với bất System kỳ người dùng Add Workstations to the Cho phép người dùng thêm tài khoản máy tính vào vùng Domain Back Up Directories Files and Cho phép người dùng lưu dự phòng (backup) tập tin thư mục bất chấp tập tin thư mục người có quyền khơng Bypass Traverse Checking Cho phép người dùng duyệt qua cấu trúc thư mục người dùng khơng có quyền xem (list) nội dung thư mục Change the System Time Cho phép người dùng thay đổi hệ thống máy tính Create a Pagefile Cho phép người dùng thay đổi kích thước Page File Create a Token Object Cho phép tiến trình tạo thẻ tiến trình dùng NTCreate Token API Create Permanent Shared Cho phép tiến trình tạo đối tượng thư mục thông qua Objects Windows 2000 Object Manager Học phần - Quản trị mạng Microsoft Windows Trang 240/555 Tài liệu hướng dẫn giảng dạy Cho phép người dùng gắn chương trình debug vào tiến trình Debug Programs Deny Access to This Cho phép bạn khóa người dùng nhóm khơng truy cập Computer from the Network đến máy tính mạng Deny Logon as a Batch File Cho phép bạn ngăn cản người dùng nhóm phép logon batch file Deny Logon as a Service Cho phép bạn ngăn cản người dùng nhóm phép logon services Deny Logon Locally Cho phép bạn ngăn cản người dùng nhóm truy cập đến máy tính cục Enable Computer and User Cho phép người dùng nhóm ủy quyền cho người Accounts to Be Trusted by dùng đối tượng máy tính Delegation Force Shutdown Remote System from a Cho phép người dùng shut down hệ thống từ xa thông qua mạng Generate Security Audits Cho phép người dùng, nhóm tiến trình tạo entry vào Security log Increase Quotas Cho phép người dùng điều khiển hạn ngạch tiến trình Increase Scheduling Priority Quy định tiến trình tăng giảm độ ưu tiên gán cho tiến trình khác Load and Unload Device Cho phép người dùng cài đặt gỡ bỏ driver Drivers thiết bị Lock Pages in Memory Khóa trang vùng nhớ Log On as a Batch Job Cho phép tiến trình logon vào hệ thống thi hành tập tin chứa lệnh hệ thống Log On as a Service Cho phép dịch vụ logon thi hành dịch vụ riêng Log On Locally Cho phép người dùng logon máy tính Server Manage Auditing Security Log and Cho phép người dùng quản lý Security log Modify Firmware Cho phép người dùng tiến trình hiệu chỉnh biến môi Environment Variables trường hệ thống Học phần - Quản trị mạng Microsoft Windows Trang 241/555 Tài liệu hướng dẫn giảng dạy Profile Single Process Cho phép người dùng giám sát tiến trình bình thường thông qua công cụ Performance Logs and Alerts Profile System Performance Cho phép người dùng giám sát tiến trình hệ thống thông qua công cụ Performance Logs and Alerts Remove Computer Docking Station from Cho phép người dùng gỡ bỏ Laptop thông qua giao diện người dùng Windows 2000 Replace a Process Level Cho phép tiến trình thay token mặc định mà Token tạo tiến trình Restore Directories Files and Cho phép người dùng phục hồi tập tin thư mục, bất chấp người dùng có quyền tập tin thư mục hay không Shut Down the System Cho phép người dùng shut down cục máy Windows 2000 Synchronize Service Data Cho phép người dùng đồng liệu với dịch vụ thư mục Directory Take Ownership of Files or Cho người dùng tước quyền sở hữu đối tượng hệ thống Other Objects II.3 Các lựa chọn bảo mật Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server khai báo thêm thơng số nhằm tăng tính bảo mật cho hệ thống như: không cho phép hiển thị người dùng logon trước hay đổi tên tài khoản người dùng tạo sẵn (administrator, guest) Trong hệ thống Windows Server 2003 hỗ trợ cho nhiều lựa chọn bảo mật, giáo trình khảo sát lựa chọn thông dụng Học phần - Quản trị mạng Microsoft Windows Trang 242/555 Tài liệu hướng dẫn giảng dạy Một số lựa chọn bảo mật thông dụng: Tên lựa chọn Mô tả Shutdown: allow system to be Cho phép người dùng shutdown hệ thống mà không cần shut down without having to log logon on Audit : audit the access of global Giám sát việc truy cập đối tượng hệ thống toàn cục system objects Network security: force logoff Tự động logoff khỏi hệ thống người dùng hết thời gian sử when logon hours expires dụng tài khoản hết hạn Interactive logon: not require Khơng u cầu ấn ba phím CTRL+ALT+DEL logon CTRL+ALT+DEL Interactive logon: not display Không hiển thị tên người dùng logon hộp thoại Logon last user name Account: rename administrator Cho phép đổi tên tài khoản Administrator thành tên account Account: rename guest account III Cho phép đổi tên tài khoản Guest thành tên IPSec IP Security (IPSec) giao thức hỗ trợ thiết lập kết nối an toàn dựa IP Giao thức hoạt động tầng ba (Network) mơ hình OSI an toàn tiện lợi giao thức an toàn khác tầng Application SSL IPSec thành phần quan trọng hỗ trợ giao thức L2TP công nghệ mạng riêng ảo VPN (Virtual Private Network) Để sử dụng IPSec bạn phải tạo qui tắc (rule), qui tắc IPSec kết hợp hai thành phần lọc IPSec (filter) tác động IPSec (action) Ví dụ nội dung qui tắc IPSec “Hãy mã hóa tất liệu truyền Telnet từ máy có địa 192.168.0.10”, gồm hai phần, phần lọc “qui tắc hoạt động có liệu truyền từ máy có địa 192.168.0.10 thơng qua cổng 23”, phần hành động “mã hóa liệu III.1 Các tác động bảo mật IPSec Microsoft hỗ trợ bốn loại tác động (action) bảo mật, tác động bảo mật giúp hệ thống thiết lập trao đổi thông tin máy an toàn Danh sách tác động bảo mật hệ thống Windows Server 2003 sau: - Block transmissons: có chức ngăn chận gói liệu truyền, ví dụ bạn muốn IPSec ngăn chận liệu truyền từ máy A đến máy B, đơn giản chương trình IPSec máy B loại bỏ liệu truyền đến từ máy A - Encrypt transmissions: có chức mã hóa gói liệu truyền, ví dụ muốn liệu truyền từ máy A đến máy B, sợ có người nghe trộm Học phần - Quản trị mạng Microsoft Windows Trang 243/555 Tài liệu hướng dẫn giảng dạy đường truyền nối kết mạng hai máy A B Cho nên cần cấu hình cho IPSec sử dụng giao thức ESP (encapsulating security payload) để mã hóa liệu cần truyền trước đưa lên mạng Lúc người xem trộm thấy dịng byte ngẫu nhiên khơng hiểu liệu thật Do IPSec hoạt động tầng Network nên việc mã hóa suốt người dùng, người dùng gởi mail, truyền file hay telnet bình thường - Sign transmissions: có chức ký tên vào gói liệu truyền, nhằm tránh kẻ công mạng giả dạng gói liệu truyền từ máy mà bạn thiết lập quan hệ tin cậy, kiểu cơng cịn có tên main-in-the-middle IPSec cho phép bạn chống lại điều giao thức authentication header Giao thức phương pháp ký tên số hóa (digitally signing) vào gói liệu trước truyền, ngăn ngừa giả mạo sai lệnh thông tin không ngăn nghe trộm thông tin Nguyên lý hoạt động phương pháp hệ thống thêm bit vào cuối gói liệu truyền qua mạng, từ kiểm tra xem liệu có bị thay đổi truyền hay không - Permit transmissions: có chức cho phép liệu truyền qua, chúng dùng để tạo qui tắc (rule) hạn chế số điều không hạn chế số điều khác Ví dụ qui tắc dạng “Hãy ngăn chặn tất liệu truyền tới, trừ liệu truyền cổng 80 443” Chú ý: hai tác động bảo mật theo phương pháp ký tên mã hóa hệ thống yêu cầu bạn IPSec dùng phương pháp chứng thực Microsoft hỗ trợ ba phương pháp chứng thực: Kerberos, chứng (certificate) khóa dựa thỏa thuận (agreed-upon key) Phương pháp Kerberos áp dụng máy miền Active Directory miền Active Directory có ủy quyền cho Phương pháp dùng chứng cho phép bạn sử dụng chứng PKI (public key infrastructure) để nhận diện máy Phương pháp dùng chìa khóa chia sẻ trước cho phép bạn dùng chuỗi ký tự văn thơng thường làm chìa khóa (key) III.2 Các lọc IPSec Để IPSec hoạt động linh hoạt hơn, Microsoft đưa thêm khái niệm lọc (filter) IPSec, lọc có tác dụng thống kê điều kiện để qui tắc hoạt động Đồng thời chúng giới hạn tầm tác dụng tác động bảo mật phạm vị máy tính hay số dịch vụ Bộ lọc IPSec chủ yếu dự yếu tố sau: - Địa IP, subnet tên DNS máy nguồn - Địa IP, subnet tên DNS máy đích - Theo số hiệu cổng (port) kiển cổng (TCP, UDP, ICMP…) III.3 Triển khai IPSec Windows Server 2003 Trong hệ thống Windows Server 2003 không hỗ trợ cơng cụ riêng cấu hình IPSec, để triển khai IPSec dùng công cụ thiết lập sách dành cho máy cục dùng cho miền Để mở cơng cụ cấu hình IPSec bạn nhấp chuột vào Start ¾ Run gõ secpol.msc nhấp chuột vào Start ¾ Programs ¾ Administrative Tools ¾ Local Security Policy, cơng cụ bạn chọn IP Security Policies on Local Machine Học phần - Quản trị mạng Microsoft Windows Trang 244/555 ... Quản trị mạng Microsoft Windows Bài tập bắt buộc Bài tập làm thêm Dựa vào tập môn Quản trị Windows Server 2003 Dựa vào tập môn Quản trị Windows Server 2003 Trang 235/555 Tài liệu hướng dẫn giảng... Trong hệ thống Windows Server 2003 hỗ trợ cho nhiều lựa chọn bảo mật, giáo trình khảo sát lựa chọn thông dụng Học phần - Quản trị mạng Microsoft Windows Trang 242/555 Tài liệu hướng dẫn giảng dạy... trộm Học phần - Quản trị mạng Microsoft Windows Trang 243/555 Tài liệu hướng dẫn giảng dạy đường truyền nối kết mạng hai máy A B Cho nên cần cấu hình cho IPSec sử dụng giao thức ESP (encapsulating