Điều khiển Service Security bằng Windows Server 2008 Ngu ồn : quantrimang.com  Derek Melbe r Windows Server 2008 của Microsoft có bổ sung thêm một số điều khiển mới về các dịch vụ. Khi kết hợp tất cả điều khiển mà Microsoft cung cấp cho các dịch vụ trong GPO thì bạn hoàn toàn có thể bảo đảm an toàn về các dịch vụ của mình. Giới thiệu Gần đây mọi máy chủ mà bạn sở hữu trong môi trường đều sử dụng một số dịch vụ. Các dịch vụ này cung cấp sự truy cập dữ liệu, tải nguyên, các ứng dụng và vùng quan trọng khác của máy chủ và chức năng mạng. Nếu các dịch vụ này không được bảo vệ thì chúng sẽ trở thành một ứng viên lý tưởng cho những kẻ tấn công. Khi một dịch vụ bị tấn công, sự truy cập đối với máy chủ và mạng bị đặt trong tình trạng nguy hiểm. Khả năng củ a dịch vụ đang bị phá hoại cũng đặt trong tình trạng nguy hiểm, có thể gây ra nhiều thiệt hại cả về thời gian lẫn tiền bạc đối với máy chủ đang thực hiện các chức năng dịch vụ. Với Windows Server 2008, Microsoft đã bổ sung thêm một số điều khiển dịch vụ mới. Khi kết hợp tất cả các điều khiển mà Microsoft cung cấp cho các d ịch vụ trong GPO thì bạn có thể bảo đảm rằng các dịch vụ sẽ được bảo vệ một cách an toàn. Các lĩnh vực bảo vệ dịch vụ Các dịch vụ vốn đã nguy hiểm đối với máy chủ và mạng vì chúng tạo ra các lỗ hổng trong máy chủ cho người dùng, ứng dụng và các máy chủ khác truy cập vào tài nguyên. Khi một lỗ hổng nào đó quá lớn hoặc dịch vụ không được b ảo vệ thì kẻ tấn có thể truy cập vào máy chu với những đặc quyền nâng cao. Chính vì vậy chúng ta cần phải bảo vệ các dịch vụ đó, chỉ cho phép truy cập những dịch vụ nào được thiết kế cho. Khi đánh giá nhu cầu gì cần phải được bảo vệ, bạn cần xem xét kỹ đến các lỗ hổng cơ bản được tạo và nghĩ đến các tấn công tiềm tàng có thể được thực hiện chống lại các dịch vụ và các thiết lập có liên quan của chúng. Dưới đây là một danh sách các lĩnh vực tiềm tàng có liên quan tới dịch vụ cần được bảo vệ: • Danh sách điều khiển truy cập của dịch vụ • Chế độ Startup cho dịch vụ • Tài khoản Service cho dịch vụ • Mật khẩu tài khoản dịch vụ Tất cả các lĩnh vực có liên quan tới bảo mật này hiện có thể được kiểm soát bằng cách sử dụng Policy trong Windows Server 2008/Vista enterprise. Truy cập GPO Để có thể lợi dụng được ưu điểm của các thiết lập đã được giới thiệu trong bài này, bạn cần có một trong những thành phần dưới đây trong mạng của mình: • Windows Server 2008 domain controller • Windows Vista SP1, có cài đặt Remote Server Administrative Tools, chạy trong Windows Active Directory domain Khi có một trong những máy tính trên, bạn sẽ sử dụng Group Policy Management Console (GPMC) để quản lý và soạn thảo GPO từ máy tính này. Bạn không thể xem được các thiết lập mới từ máy tính khác không có đủ các phẩm chất yêu cầu như đã liệt kê ở trên. Danh sách điều khiển truy cập dịch vụ Để có thể điều khiển danh sách dịch vụ này, bạn cần sử dụng nút Services trong GPO, v ị trí tìm thấy nút này tại: Computer Configuration\Policies\Windows Settings\Security Settings\System Services, xem trong hình 1. Hình 1: System Services Policy để điều khiển danh sách điều khiển truy cập của dịch vụ Để sử dụng chính sách này, bạn cần tìm dịch vụ muốn điều khiển trong danh sách trong phần panel bên phải, sau đó chọn nó. Khi kích chuột phải vào tên dịch vụ có thể soạn thảo các thuộc tính của dịch vụ. Khi soạn thảo các thuộc tính của dịch vụ, bạn sẽ thấy hộp thoạ i trang thuộc tính xuất hiện như trong hình 2 bên dưới. Hình 2: Hộp thoại trang thuộc tính của dịch vụ hệ thống Để thay đổi danh sách điều khiển truy cập cho dịch vụ, bạn hãy chọn hộp kiểm Define this policy setting, sau đó kích nút Edit Security. Sau khi kích nút này sẽ thấy hộp một thoại tương tự như trong hình 3 xuất hiện. Hình 3: Hộp thoại bảo mật để quản lý danh sách điều khiển truy cập của dịch vụ Lưu ý rằng ở đây có một số điều khoản chuẩn để có thể thiết lập trong dịch vụ, ví dụ như: Full control Read Start, stop, and pause Write Delete Có thể thiết lập một danh sách tùy chỉnh các điều khoản bằng cách chọn nút Advanced, khi đó bạn sẽ có 14 điều kho ản bảo mật chi tiết để có thể thiết lập cho mỗi dịch vụ. Chế độ Startup cho dịch vụ Chế độ Startup cho dịch vụ là một trong những chế độ quan trọng cho các dịch vụ mà bạn không thể hủy bỏ cài đặt hoặc không muốn, nhưng lại muốn bảo đảm không bắt đầu khi hệ thống khởi động. Có ba mức trong chế độ kh ởi động này cho các dịch vụ nhưng thực sự chỉ có một mức giúp bảo vệ máy tính. Automatic Manual Disabled Các chế độ Automatic và Manual có thể có một dịch vụ bắt đầu bất cứ lúc này, phụ thuộc vào cách dịch vụ được thiết kế. Hai chế độ này cho phép dịch vụ vẫn được bắt đầu bằng một cuộc gọi dịch vụ. Tuy nhiên, khi một dịch vụ được thiết lập là vô hiệu hóa thì nó sẽ không bắt đầu cho tới khi được thiết lập sang các chế độ Automatic và Manual. Chính vì vậy bạn có thể bảo vệ được máy chủ của mình từ các dịch vụ đang chạy cho tới khi nó được kích hoạt bởi một quản trị viên. Sử dụng chế độ startup kết hợp với danh sách điều khiển truy cập có thể tạo sức mạnh đáng kể vì lúc này các điều khoản có thể hạn chế người dùng nào có thể bắt đầu hoặc thay đổi dịch vụ. Bạn sẽ điều khiển chế độ startup trong cùng một chính sách như khi thực hiện với danh sách điều khiển truy cập. Hình 2 liệt kê các minh chứng cho 3 tùy chọn chế độ khởi động. Tài khoản dịch vụ cho dịch vụ Nhiều dịch vụ yêu cầu phải sử dụng tài khoản dịch vụ. Lý do cho vấn đề này là để cho phép dịch vụ không chỉ truy cậ p máy tính nơi nó đang chạy mà còn các máy tính khác trong mạng. Trong trường hợp đó, các tài khoản Network Service hoặc Local System sẽ không làm việc. Trước đây, cấu hình của tài khoản dịch vụ phải được thực hiện trên máy tính nơi dịch vụ đang chạy. Nhưng giờ đây, với Group Policy Preferences, bạn có thể điều khiển tài khoản dịch vụ nào được sử dụng từ Active Directory bằng cách sử dụng Group Policy. Thiết l ập bạn muốn cấu hình nằm trong Computer Configuration\Preferences\Control Panel Settings\Services, xem trong hình 4. Hình 4: Tên tài khoản dịch vụ có thể được cấu hình bằng Group Policy Preferences Để cấu hình chính sách điều khiển dịch vụ, bạn phải kích chuột phải vào nút Services và chọn New – Service. Từ đây có thể chọn dịch vụ muốn cấu hình từ hộp thoại Services như thể hiện trong hình 5. Hình 5: Hộp thoại chính sách các dịch vụ của Group Policy Preferences Kích vào các dấu chấm lửng sẽ cho phép bạn duyệt đến danh sách các dịch vụ và chọn dịch vụ muốn điều khiển. Sau đó khi đã chọn dịch vụ, hãy chọn nút radio “This account” và tìm kiếm tài khoản dịch vụ muốn sử dụng từ Active Directory. Khi đã thực hiện xong, lúc đó bạn sẽ hoàn tất cấu hình của tài khoản dịch vụ trên m ỗi máy tính nằm trong phạm vi quản lý của GPO có chứa thiết lập chính sách. Mật khẩu tài khoản dịch vụ Trong bước trước, chúng tôi chỉ cấu hình tài khoản dịch vụ, nhưng có thể thấy trong hình 5 là có thể cấu hình được cả mật khẩu tài khoản dịch vụ. Đây là một thiết lập rất hữu dụng, vì trước đây bạn chỉ có thể thực hiện như vậ y trên máy tính nơi mà dịch vụ đang chạy hoặc sử dụng công cụ quản trị từ xa để kết nối với máy chủ đó. Sử dụng chính sách Group Policy Preferences Services bạn có thể bảo đảm rằng tài khoản dịch vụ đã được cấu hình trong dịch vụ có mật khẩu đúng như đã cấu hình trong cơ sở dữ liệu Active Directory cho nó. Điều này cũng có nghĩ a rằng, khi thiết lập lại mật khẩu tài khoản dịch vụ trong Active Directory thì bạn chỉ cần cập nhật chính sách này và mật khẩu cho tài khoản để đồng bộ nó với nhau, xem thể hiện trong hình 6. Hình 6: Các mật khẩu có thể được đồng bộ hóa với Active Directory bằng cách sử dụng GPO Điều này đã bổ sung thêm sự bảo vệ tin cậy cho tài khoản dịch vụ vì hầu hết tài khoản dịch vụ đều có các đặc quyền nâng cao và cần có sự bảo vệ bổ sung. Kết lu ận Bằng cách sử dụng các tính năng điều khiển mới có trong Windows Server 2008 và Windows Vista, các dịch vụ trong mạng của bạn có thể được bảo vệ một cách an toàn. Bảo mật của các dịch vụ là một vấn đề quan trọng vì chúng cung cấp sự truy cập cho máy chủ và dữ liệu chính được lưu trên các máy chủ đó. Bảo mật có thể được thực hiện bằng cách kiểm soát các đi ều khoản, chế độ khởi động, tài khoản dịch vụ và mật khẩu tài khoản dịch vụ. Bằng cách sử dụng các thiết lập Group Policy sẵn có trong Windows Active Directory domain, bạn hoàn toàn có thể bảo vệ tất cả các lĩnh vực này cho bất kỳ dịch vụ nào đang chạy trên các máy chủ trong miền.   . Điều khiển Service Security bằng Windows Server 2008 Ngu ồn : quantrimang.com  Derek Melbe r Windows Server 2008 của Microsoft có bổ sung thêm một số điều. ConfigurationPolicies Windows Settings Security SettingsSystem Services, xem trong hình 1. Hình 1: System Services Policy để điều khiển danh sách điều khiển truy