Đang tải... (xem toàn văn)
MỤC LỤC1.Windows Server Update Services(WSUS)31.1.Tổng quan về Windows Server Update Services31.2.Mô hình triển khai WSUS31.3.Cài đặt Windows Server Update Services trên Window server 200841.4.Cài đặt Windows Server Update Services trên Window server 2012181.5.Các tính năng của WSUS412.Auditing432.1.Tổng quan về Auditing432.2.Ứng dụng thực tiễn432.3.Chức năng mới và được thay đổi so với window server 2008442.4.Cài đặt auditing trên window server 2012453.Encrypting File System (EFS)503.1.Cách EFS kiểm soát việc truy cập dữ liệu503.2.Mã hóa dữ liệu trong EFS503.3.Các tình huống an ninh EFS sử dụng523.4.Tình huống không nên sử dụng EFS523.5.EFS cần cân nhắc trước khi triển khai533.6.Triển khai EFS trong môi trường Window Servcer 2008533.7.Triển khai EFS trong môi trường Windows Server 2012 R2603.8.Kết Luận631.Windows Server Update Services(WSUS)1.1.Tổng quan về Windows Server Update ServicesWindows Server Update Services (WSUS) là dịch vụ cung cấp cho các quản trị viên có khả năng kiểm soát các bản cập nhật khi được phân phối và cài đặt trên một mạng riêng, cho phép các tổ chức kiểm tra bản cập nhật trước khi chúng được áp dụng cho Client và làm giảm nguy cơ tiềm ẩn về các lỗ hổng bảo mật. Mặc dù Client có thể dựa vào Microsoft Update để trực tiếp cài đặt các bản vá khi máy tính nối mạng nhưng điều này sẽ không có quản trị tập trung, báo cáo hoặc khả năng hướng tới một mục tiêu cho các nhóm cụ thể của client, vì vậy nó chỉ thích hợp trong việc sử dụng máy tính gia đình hoặc các doanh nghiệp nhỏ không yêu cầu hỗ trợ nhiều về CNTT.1.2.Mô hình triển khai WSUSMô hình đơn giản với 1 server WSUS WSUS server kết nối Microsoft Update và download các bản cập nhật. Quá trình này khi cấu hình trên server gọi là synchronization. Trong quá trình synchronization, WSUS sẽ xác định các bản cập nhật mới hơn so với lần kết nối gần nhất và download về, sau đó các máy tính client trong hệ thống sẽ download từ server WSUS theo chính sách được đăt trước từ người quản trị viên.Mô hình nhiều server WSUS Chúng ta có thể triển khai nhiều server WSUS, trong trường hợp này sẽ có ít nhất 1 upstream WSUS và 1 downstream WSUS.1.3.Cài đặt Windows Server Update Services trên Window server 2008•Cài đặt Microsoft Report Viewer 2008 redistributable 2008:Bước 1: Đăng nhập Domain Admin, chạy tệp ReportViewerBước 2: Màn hình Setup chọn Next.Bước 3: Màn hình License Terms, đánh dấu chọn I have read and accept License Terms. Chọn Next. Sau khi cài xong chọn Finish
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN -*** - ĐỒ ÁN QUẢN TRỊ HỆ THỐNG Đề tài: Tìm hiểu triển khai WSUS, Auditing EFS Windows Server 2008, 2012 Hà Nội - 2017 Đồ án quản trị hệ thống – Nhóm Lời nói đầu Các dịch vụ nâng cấp máy chủ Windows (WSUS) Microsoft giải pháp quản lý vá lỗi cho khối doanh nghiệp Sử dụng WSUS, quản trị mạng quản lý triển khai nâng cấp phần mềm cho tất sản phẩm mạng Microsoft Gồm có hệ điều hành máy khách Windows XP Windows Vista, hệ điều hành máy chủ Windows Server 2003 Windows Server 2008, với sản phẩm khác Microsoft Exchange, ISA Server Forefront Security Để giúp giám sát hoạt động hệ thống sách Auditing là lựa chọn thích hợp với nhiều cài đặt đa phục vụ cho việc ghi log, ta xuất file để lưu trữ dễ dàng Encrypting File System hệ thống mã hóa tệp nhằm giúp bảo vệ liệu mà phiên window server cần Để hiểu rõ công cụ này, nhóm xin giới thiểu triển khai server 2008 2012 Tài liệu không tránh sai sót, mong thầy góp ý để nhóm hoàn thiện tốt Windows Server Update Services(WSUS) 1.1 Tổng quan Windows Server Update Services Windows Server Update Services (WSUS) dịch vụ cung cấp cho quản trị viên có khả kiểm soát cập nhật phân phối cài đặt mạng riêng, cho phép tổ chức kiểm tra cập nhật trước chúng áp dụng cho Client làm giảm nguy tiềm ẩn lỗ hổng bảo mật Mặc dù Client dựa vào Microsoft Update để trực tiếp cài đặt vá máy tính nối mạng điều Đồ án quản trị hệ thống – Nhóm quản trị tập trung, báo cáo khả hướng tới mục tiêu cho nhóm cụ thể client, thích hợp việc sử dụng máy tính gia đình doanh nghiệp nhỏ không yêu cầu hỗ trợ nhiều CNTT 1.2 Mô hình triển khai WSUS - Mô hình đơn giản với server WSUS WSUS server kết nối Microsoft Update download cập nhật Quá trình cấu hình server gọi synchronization Trong trình synchronization, WSUS xác định cập nhật so với lần kết nối gần download về, sau máy tính client hệ thống download từ server WSUS theo sách đăt trước từ người quản trị viên - Mô hình nhiều server WSUS Chúng ta triển khai nhiều server WSUS, trường hợp có upstream WSUS downstream WSUS 1.3 Cài đặt Windows Server Update Services Window server 2008 • Cài đặt Microsoft Report Viewer 2008 redistributable 2008: Bước 1: Đăng nhập Domain Admin, chạy tệp ReportViewer Bước 2: Màn hình Setup chọn Next Bước 3: Màn hình License Terms, đánh dấu chọn I have read and accept License Terms Chọn Next Sau cài xong chọn Finish Đồ án quản trị hệ thống – Nhóm • Cài đặt WSUS: Bước 1: Mở source cài đặt WSUS 3.0 SP2 (64Bit), chạy file WSUS30-KB972455x64 Đồ án quản trị hệ thống – Nhóm Bước 2: Màn hình Welcome, chọn Next Đồ án quản trị hệ thống – Nhóm Bước 3: Cửa sổ Installation Mode Selection, chọn Full server installation including Administration Console Chọn Next Đồ án quản trị hệ thống – Nhóm Bước 4: Cửa sổ License Agreement, chọn I accept the Terms of the License agreement, chọn Next Đồ án quản trị hệ thống – Nhóm Đồ án quản trị hệ thống – Nhóm Bước 5: Ở cửa sổ Select Update Source, chọn đường dẫn lưu cấu hình WSUS Chọn Next Lưu ý IF… trước bạn muốn thay đổi đường dẫn lưu trữ Đồ án quản trị hệ thống – Nhóm Bước 6: Màn hình Database Options Chọn Vị trí lưu database cho WSUS Chọn Next 10 Đồ án quản trị hệ thống – Nhóm 3 Encrypting File System (EFS) EFS viết tắt Encrypting File System EFS có từ thời Windows 2000/2003/2008 dòng server WIndows 2000/XP/Vista dòng máy trạm EFS sử dụng lớp bảo vệ liệu bên lớp bảo vệ NTFS cho truy xuất nội NTFS + File Sharing Permission cho truy cập qua phần chia sẻ hay NTFS + IIS Web Permission cho truy cập qua web 3.1 Cách EFS kiểm soát việc truy cập liệu EFS chất sử dụng chứng điện tử (digital certificate) tảng khóa công khai PKI cung cấp để kiểm soát việc truy cập vào tập tin/ thư mục EFS bảo vệ EFS sử dụng thuật toán DESX/3DES/AES với số lượng bit lên đến 256 bit để bảo vệ mã cá nhân (Private Key) Hiện có số công cụ tự nhận bẻ khóa EFS chất ko pải giải mã mã khóa cá nhân mà dùng cách công Brutal Force đề quét chuỗi khóa Private Key Tuy nhiên ta cần máy tính siêu mạnh để thực việc bẻ khóa tài liệu bảo vệ chế độ 256 bit 3.2 Mã hóa liệu EFS EFS Component Driver kiểm tra tính tương tác với NTFS EFS Driver tìm kiếm chữ kí Private Key người mã hóa tài liệu Local Cert Store Nếu ko tìm thấy EFS Driver đăng kí để lấy chữ kí private key cho người dùng từ CA Nếu EFS Driver tiếp tục ko kết nối với CA tự tạo chứng (selfsigning) EFS tạo khóa FEK mã hóa nội dung tài liệu với thuật toán DESX/3DES/AES EFS tiếp tục dùng khóa công khai người dùng đễ mã hóa tiếp khóa FEK với thuật toán RSA EFS lưu khóa FEK mã hóa Header DDF tập tin mã hóa Nếu quản trị cấu hình DRA khóa agent lưu DDF Khi người dùng truy cập tập tin mã hóa pải có sẵn chứng private key xem tập tin DRA phải import Private key mở mã hóa tài liệu bảo vệ EFS 50 Đồ án quản trị hệ thống – Nhóm 3.3 Các tình an ninh EFS sử dụng • Bảo vệ tài liệu máy tính cá nhân: 51 Đồ án quản trị hệ thống – Nhóm Máy tính cá nhân bị cắp hacker ko thể bẻ khóa mật buộc pải sử dụng công cụ để reset mật tài khoản Nếu dùng NTFS hacker hoàn toàn truy cập liệu Với EFS kiểm tra chữ kí điện tử password bị thay đổi khóa quyền truy cập Máy tính cá nhân bị cắp hacker sử dụng OS thứ để truy cập liệu WinPE/Linux chạy CD đơn giản xóa OS cài lại OS khác Nếu dùng NTFS hacker hoàn toàn truy cập liệu Với tài liệu bảo vệ EFS bảo vệ triệt để Nhiều tài khoản quản trị máy tính việc bảo vệ hữu hiệu EFS Mọi người biết NTFS ko thể ngăn chặn user quản trị truy cập trái phép thông qua việc đoạt quyền Owner tập tin/thư mục • Tăng tính an toàn môi trường làm việc: Bảo vệ tài liệu cá nhân: môi trường AD người dùng với tài khoản đăng nhập local (local logon) máy tính Forest ko bị GPO khóa đăng nhập máy Nên biện pháp EFS bảo vệ liệu rơi vào tay kẻ ác ý Bảo vệ môi trường làm việc nhóm: nhóm làm việc sử dụng EFS để đảm bảo tài liệu chia sẻ File Server an toàn khỏi mắt dòm ngó người dùng nguy hiểm chí Admin Bảo vệ tài liệu lưu offline máy: tính Offline cho phép người dùng lưu local nội dung data máy chủ file EFS cho phép mã hóa bảo vệ tài liệu 3.4 Tình không nên sử dụng EFS • EFS ko thể bảo vệ tập tin mã hóa chuyển từ file server đến máy người dùng mạng Khi phải sử dụng IPSec để bảo vệ liệu truyền mạng • EFS ko thể mã hóa liệu FAT16/32 • EFS ko thể sử dụng với MOSS để mã hóa liệu Giải pháp dùng IRM MOSS 2007 RMS Windows 2003 Family AD RMS WIndows Server 2008 52 Đồ án quản trị hệ thống – Nhóm 3.5 EFS cần cân nhắc trước triển khai • EFS sử dụng Private key người dùng cho việc xác thực quyền truy cập Vì người dùng Private key Profile, mật khẩu, bị xóa tài khoản, máy tính bị cài lại ko thể truy cập vào file bị mã hóa • EFS mặc định Windows 2000 cấu hình DRA Administrator Local cho trường hợp Stand-alone Domain Admin với môi trường Domain Nhưng EFS Wins XP/Vista Wins 2k3/2k8 mặc định ko cần DRA người dùng ko đào tạo tạo nguy liệu lớn dùng Windows XP/Vista • EFS gặp nhiều khó khăn việc triển khai chia sẻ với hệ thống cũ Windows 9x tảng Microsoft • EFS ko bảo vệ liệu truyền qua mail, qua MOSS, OCS • EFS ko mã hóa liệu truyển gửi qua mạng từ file server đến máy trạm 3.6 Triển khai EFS môi trường Window Servcer 2008 Bước 1: Đăng nhập vào tài khoản tu Bước 2: Tạo thư mục Test ổ đĩa C Bước 3: Chạy run gõ Start+R: mmc 53 Đồ án quản trị hệ thống – Nhóm Bước 4: Chọn menu File: Add/Romove… chọn Certificate Add Ok Hiện Personal chưa có cả!! 54 Đồ án quản trị hệ thống – Nhóm B5: Chọn menu File Save Desktop Đặt tên file Certificate_tu 55 Đồ án quản trị hệ thống – Nhóm B6: Mở Windows Expoler, tạo thư mục C:\Test Bấm chuột phải thư mục Test chọn Properties 56 Đồ án quản trị hệ thống – Nhóm Bước 7: Trong hình Properties chọn Advanced Bước 8: Trong hình Advanced đánh dấu vào Encrypt contents to secure data, ấn Ok Apply 57 Đồ án quản trị hệ thống – Nhóm Bước 9: Trong thư mục Test, tạo file txt: tu1.txt Bước 10: Bấm đúp vào Certificate_tu Desktop, lúc thấy người dùng tu có certificate 58 Đồ án quản trị hệ thống – Nhóm Bây logon vào Administrator, mở file C:\Test\tu1.txt không mở 3.7 Triển khai EFS môi trường Windows Server 2012 R2 Bước 1: Tạo forder máy chủ Windows Server 2012 chia sẻ quyền full control cho máy client 59 Đồ án quản trị hệ thống – Nhóm Bước 2: Tạo tập tin “maychu.txt” forder “maychu” mã hóa tập tin từ máy chủ Bước 3: Tạo tập tin “maykhach.txt” forder “maykhach” mã hóa tập tin từ máy chủ 60 Đồ án quản trị hệ thống – Nhóm Bước 4: Từ máy khách ta truy nhập vào forder chia sẻ mở file “maychu.txt” bị báo lỗi 61 Đồ án quản trị hệ thống – Nhóm Bước 5: Dùng máy khách mã hóa thư mục maykhach 62 Đồ án quản trị hệ thống – Nhóm Bước 6: Dùng máy chủ mở thử file máy clien mã hóa 3.8 Kết Luận EFS công nghệ tốt có số hạn chế môi trường mã hóa tập tin máy chủ Nó đòi hỏi tất người dùng tham gia bật tính roaming - công nghệ không dùng EFS yêu cầu máy chủ phải bảo mật tốt cho grup Giao thức SMB không hỗ trợ vận chuyển tệp tin mã hóa, đó, tệp mã hóa ổ cứng,nhưng tài liệu mã hóa đọc, sửa chép, thông qua mạng chúng không mã hóa (trừ bạn sử dụng WEBDAV / SharePoint) Cuối cùng, EFS cách ngăn chặn người dùng khác mã hóa tệp Các thao tác mã hóa phải thực thủ công quản lý nhóm EFS phương pháp để mã hóa nhóm tập tin nên dễ bị Tài liệu tham khảo 63 Đồ án quản trị hệ thống – Nhóm https://technet.microsoft.com/en-us/library/hh852338(v=ws.11).aspx https://technet.microsoft.com/en-us/library/dn319078(v=ws.11).aspx https://social.technet.microsoft.com/Forums/en-US/951cf0bb-85c6-435a-8f556ad8d7d8eb60/windows-server-2012-file-server-and-encrypting-file-system-efs? forum=winserversecurity https://technet.microsoft.com/en-us/library/cc721923(v=ws.10).aspx http://tuhocmang.com/chuyen-de-tu-hoc/tu-hoc-mcsa-2012-audit-policy-giam-sathe-thong.html 64 ... Mở source cài đặt WSUS 3. 0 SP2 (64Bit), chạy file WSUS30-KB972455x64 Đồ án quản trị hệ thống – Nhóm Bước 2: Màn hình Welcome, chọn Next Đồ án quản trị hệ thống – Nhóm Bước 3: Cửa sổ Installation... thống – Nhóm Bước 9: Ở mục Content Localtion Selection, gõ đường dẫn chứa update WSUS Ở nhóm sử dụng đường dẫn c: hom3 Bấm Next mục Confirmation, ấn Install 23 Đồ án quản trị hệ thống – Nhóm Bước... quản trị hệ thống – Nhóm Bước 12: Chọn mục tool, chọn vào mục window server update services, ấn Next 25 Đồ án quản trị hệ thống – Nhóm 26 Đồ án quản trị hệ thống – Nhóm Bước 13: Ở mục Choose UpstreamServer