Đang tải... (xem toàn văn)
Windows 2003 Resource Security
Topic 3D:Windows 2003 Resource SecurityNhiều tài nguyên tồn tại trên mạng và máy chủ Windows 2003, tất cả chúng cần được bảo mật theo một vài phương pháp. Chúng ta bắt đầu với hệ thống tập tin.File and Folder SecurityTrong khi Windows NT 4.0 chỉ có khả năng làm việc với các hệ thống tập tin FAT và NTFS, Windows 2000 làm việc với FAT32. Và cho dù Windows 2000 có thể hỗ trợ FAT và FAT32 thì nó vẫn được khuyến cáo sử dụng NTFS cho tùy chọn bảo mật của nó. Windows Server 2003 nên được cài đặt trên một phân vùng NTFS.Việc sử dụng của NTFS trong Windows 2003 (kỹ thuật còn gọi là NTFS version 5) là cần thiết nếu người quản trị muốn sử dụng Active Directory, Domains, bảo mật tập tin cấp cao. Ngoài ra, thêm vào việc mã hóa tập tin và phân vùng ổ đĩa yêu cầu NTFS. Một lời khuyên ở đây là tất cả phân vùng vẫn còn chạy FAT hay FAT32 nên được chuyển đổi sang NTFS để tài nguyên Windows 2003 được bảo mật hiệu quả hơn. Nếu bạn cần chuyển đổi phân vùng sang NTFS, bạn có thể sử dụng lênh convert c: /FS:NTFS , trong đó c là phân vùng tập tin được chuyển đổi.Bất kỳ phân vùng mới nào dù là mới tạo hay chuyển đổi sang NTFS, mặc định sẽ được cho phép nhóm Everyone truy xuất Full Control. Bởi vì nhóm này bao gồm tài khoản Guest và Anonymous nên bảo mật chặt chẽ phải được thực thi trước khi bạn cho phép bất kỳ tài khoản người dùng nào được truy xuất hay thêm vào hệ thống.Chỉ khi một phân vùng mới tạo ra có thiết lập bảo mật mặc định thì hệ điều hành cài đặt mới hoạt động. Trong Windows 2003, một vài ước số được thêm vào để ngăn người dùng thay đổi tập tin hệ thống của Windows. Các thay đổi ẩn thư mục trong thư mục \WINDOWS và thư mục \System32 mặc định; tuy nhiên, một click nhanh vào tùy chọn Show Files và tất cả sẽ được hiện thị cho bạn. Có sẵn một cơ chế làm việc cho phép bạn giữ các tập tin không bị thay đổi. Nó được gọi là hệ thống Windows File Protection (WFP), và công việc của nó là đảm bảo các tập tin hệ thống cài đặt trong suốt quá trình cài đặt Windows không bị xóa hay viết chồng lên. Chỉ có những tập tin được chữ ký số bởi Microsoft mới có thể thực hiện những thay đổi này. Bạn nên chú ý điều này khi cài đặt driver cho thiết bị được chấp thuận bởi Microsoft. File and Folder PermissionsTiến trình xem quyền hạn giống như trong Windows 2003 khi trên Windows 2000 để xem quyền hạn cho một đối tượng, click phải vào đối tượng, chọn Properties và xem thông tin trên Security tab. Nhìu dữ liệu hơn được cung cấp trên Advanced tab. Quyền hạn tập tin trong Windows 2000 và 2003 thì khác hơn trong Windows NT 4.0. Một số quyền hạn tồn tại được định nghĩa trong list sau: Traverse Folder/ Execute File – Quyền Traverse Folder chỉ áp dụng với thư mục và quản lý khả năng user di chuyển qua các thư mục để đến tập tin hay thư mục khác; bất chấp các quyền trên thư mục. Quyền Execute File chỉ áp dụng cho tập tin và quản lý khả năng user chạy tập tin chương trình. List Folder/Read Data – Quyền List Folder chỉ áp dụng với thư mục và quản lý khả năng user xem tên tập tin và tên thư mục. Quyền Read Data chỉ áp dụng cho tập tin và quản lý khả năng user đọc tập tin. Create Folders/Append Data – Quyền Create Folder chỉ áp dụng cho thư mục và quản lý khả năng user tạo các thư mục bên trong một thư mục. Quyền Append Data chỉ áp dụng cho tập tin và quản lý khả năng user thay đổi phần kết thúc của một tập tin. Delete – Quyền này quản lý khả năng user xóa một tập tin hay thư mục. Read Permissions – Quyền này quản lý khả năng user đọc các quyền hạn của tập tin hay thư mục. Change Permissions – Quyền này quản lý khả năng user thay đổi quyền hạn của tập tin hay thư mục. Take Ownership – Quyền này quản lý khả năng user nhận quyền sở hữu một tập tin hay thư mục. Read Attributes – Quyền này quản lý khả năng user đọc các thuộc tính của tập tin hay thư mục. Write Attributes – Quyền này quản lý khả năng user thay đổi thuộc tính của tập tin hay thư mục.Một mình các quyền này không được xem là cho phép hay từ chối truy suất; người quản trị phải xác định nó cho từng đối tượng. Nói chung, nó không cần thiết phải chỉ định từng quyền cụ thể khi bảo mật tài nguyên. Bạn thường sử dụng các quyền chỉ định sau : Full Control, Modify, Read and Execute, List Folder Contents, Read, và Write. Khả năng cụ thể của các quyền này được định nghĩa trong biểu đồ hình 3-9. Special Permissions Full ControlModify Read & ExecuteList Folder ContentsRead WriteTraverse Folder / Execute File X X X XList Folder / Read Data X X X X xRead Attributes X X X X XRead Extended Atributes X X X X XCreate Files / Write Data X X XCreate Folders / Append Data X X XWrite Attributes X X XWrite Extended Attributes X X XDelete Subfolder and Files XDelete X XRead Permissions X X x x X xChange Permissions XTake Ownership xHình 3-9 / 242Như bạn có thể thấy, ví dụ khi bạn áp dụng quyền Read cho một thư mục, nó sẽ nhận List Folder/ Read Data, Read Attributes, và Read Extended Attributes như là các quyền của thư mục. Các quyền của tập tin NTFS cũng tương tự, ngoại trừ nó không có tùy chọn List Folder Contents, bởi vì quyền này áp dụng cho một tập tin. Một khác biệt lớn so với quyền Windows NTFS cũ là khả năng từ chối một các rõ ràng cho từng quyền hạn.Inheritance and PropagationKhi bạn tạo ra một tập tin mới, tập tin này sẽ thừa kế các quyền của tập thư mục chính của nó hoặc của phân vùng chính nếu đó là thư mục gốc. Vì vậy, nếu một thư mục chính được thiết lập Everyone Modify, tập tin bạn tạo ra trong thư mục đó sẽ có Everyone Modify như quyền của nó.Có một cách mà bạn có thể thay đổi chính sách này để các quyền không làm việc theo cách này. Bạn có thể tạo một thư mục và áp dụng quyền cho tùy chọn This Folder Only, điều này có nghĩa là dữ liệu mới tạo ra trong thư mục này sẽ không kế thừa các quyền của thư mục. Những đối tượng mới đó sẽ kế thừa các quyền được thiết lập ở mức cao hơn. Ví dụ bạn có một thư mục D:\Secure\One và thư mục này có các quyền áp dụng cho This Folder Only, và bạn tạo một tập tin D:\Secure\One\test.txt . Tập tin này sẽ thừa kế quyền của nó từ đối tượng D:\Secure.Bạn cũng có thể khóa việc thừa kế các quyền cho một đối tượng bằng cách xóa tùy chọn Allow Inheritable Permissions From Parent To Propagate To This Object trên Secutity tab của cửa sổ Properties. Khi bạn xóa tùy chọn này, bạn sẽ thấy sự xuất hiện của 3 tùy chọn : Sao chép các quyền mà đối tượng kế thừa Xóa tất cả các quyền ngoại trừ các quyền được áp dụng riêng biệt. Hủy bỏ các hoạt động và giữ lại các quyềnTiến trình thiết lập quyền tương tư như Windows NT 4.0, ngoại trừ việc chấp nhận hay từ chối truy xuất rõ ràng. Nếu bạn muốn cho một user nay một group No Access như trong Windows NT, bạn cho user hay group đó Deny quyền Full Control trong Windows 2000.Thiết lập quyền là một việc khá đơn giản, việc mà các chuyên gia bảo mật có thể làm thoải mái. Tuy nhiên, có một cách mà một kẻ tấn công có thể đi qua bảo mật NTFS của bạn nếu họ có một truy suất vật lý đến máy tính. Đó là sử dụng hệ điều hành riêng biệt thay thế, MS-DOS.Bạn có thể nghĩ rằng sử dụng DOS sẽ không có ảnh hưởng lên bất kỳ tập tin nào trên phân vùng NTFS, và thậm chí DOS không thể nhận dạng phân vùng NTFS. Trong hầu hết các trường hợp thì đúng, tuy nhiên, có những công cụ và tiện ích trên thị trường được thiết kế để truy xuất NTFS từ DOS. Công cụ phổ biến nhất và đơn giản là NTFSDOS và được làm bởi một công ty có tên là Sysinternals. Phần Task sau sẽ cho phép bạn truy suất một tận tin bảo mật NTFS trên DOS.TASK 3D-1Compromising NTFS Security1. Trong vùng khởi động Windows 2003, tạo folder có tên Secure.2. Trong folder, tạo 1 file text mới có tên secret.txt và thêm dòng This is a secure file vào.3. Thiết lập bảo mật trên tập tin này để các nhóm kiểm soát đầy đủ tất cả mọi người đã từ chối và thừa nhận tin nhắn cảnh báo. Bây giờ,thậm chỉ tất cả các quản trị viên có thể truy cập tập tin này.4. Kiểm tra an toàn bằng cách mở file Secure.txt. Bạn không thể truy cập vào các tập tin. 5. Khởi động lại máy tính và khởi động vào DOS bằng cách sử dụng đĩa mềm khởi động chứa NTFSDOS.6. Trong DOS prompt,nhập ntfsdos để chạy các tiện ích. Các phân vùng NTFS được gắn kết với các ký tự ổ đĩa được phân công.7. Di chuyển đến vùng mà bạn tạo ra folder Secure, và nhập cd secure để thay đổi thư mục đến folder này.8. Nhập secret.txt để hiện thị các tập tin văn bản ra màn hình.9. Thực hiện các nội dung file secret.txt.10. Xóa ổ đĩa khởi động,và khởi động lại máy tínhThe NULL SessionĐể một hệ thống cung cấp tài nguyên chia sẻ qua mạng, nó phải truyền thông với mạng. Việc truyền thông này được thực hiện thông quá các kết nối nặc danh từ hệ thống đến hệ thống. Trong đó, việc này có thể không thể hiện vấn đề, nhưng nếu một máy kết nối trực tiếp với Intenet, hoạt động này có thể chấp thuận cho một kẻ tấn công tìm hiểu về mạng máy tính bên trong mà không cần quyền hạn.Khi một kẻ tấn công kết nói theo cách này (với một đăng nhập nặc danh), nó được gọi là một kết nói phiên NULL. Để chống lại trường hợp này, bạn nên vô hiệu hóa phiên NULL. Việc này có thể thực hiện thông qua bất kỳ mô hình bảo mật nào như sau : 1. Mở bất ký mô hình bảo mất nào trong MMC.2. Điều hướng Local Policices.3. Điều hướng Security Options.4. Thiết lập các hạn chế thêm cho các kết nối nặc danh để không được truy xuất mà không có các quyền rõ ràng.Windows 2003 Printer SecurityKhi bạn cài đặt tùy chọn bảo mật trên một máy in trong Windows 2003, bạn có 3 quyền mà bạn có thể áp dụng : Print, Manage Printers và Manage Documents. Mức độ bảo mật mặc định cung cấp cho các user là Print, có nghĩa là họ được nhận các quyền là in, dừng, tiếp tục lại, khởi động lại và hủy văn bản Nếu bạn muốn cung cấp cho user nhiều khả năng điều khiển máy in hơn, bạn có thể cho họ quyền Manage Documents. Mức độ của quyền này là họ được phép dừng, tiếp tục lại, khởi động lại, hủy tất cả văn bản Nếu bạn muốn cung cấp cho các user như người quản lý cấp thấp hay người có trách nhiệm quản lý tất cả máy in vơí nhìu quyền điều khiển máy in hơn, bạn có thể cho họ quyền Managa Printers. Điều này có nghĩa họ được phép chia sẻ máy in, thay đổi quyền máy in, thay đổi thuộc tính máy in, hoặc xóa các máy in.Mặc dù các quyền thiết lập có thể cung cấp bảo mật mà bạn yêu câu, nhưng bạn vẫn có thể có nhiều điều khiển hơn qua máy in. Trong thiết lập Advanced của một máy in, bạn có thể xác định số giờ mà máy in đó hoạt động. Nếu một máy in được sử dụng trong suốt thời gian kinh doanh, không có lý do gì thiết lập quyền máy in thì nó có thể sử dụng 24x7. Hình thức điều khiển này giúp giữ cho thiết bị được sử dụng chỉ với mục đích kinh doanh.Ngoài việc bảo mật cho máy in, bạn phải chú ý đến bảo mật spooler, Một chương trình thường nằm trong số những trình tiện ích của hệ điều hành, dùng để hướng các lệnh in cất tạm vào một tệp trên đĩa hoặc trong RAM thay vì vào máy in … Nếu spooler trái với mặc định trong %systemroot% được chấp thuận Everyone Full Control, vùng này sẽ được chuyển sang một vùng bảo mật NTFS nơi mà nó được quản lý riêng biệt.Windows 2003 Registry SecurityRegistry chứa dữ liệu cấu hình cho một máy tính là một mục quan trong để bảo mật một cách chính xác. May mắn, các user không có cùng mức độ tương tác với Registry như họ có với tài nguyên mạng.Trong các phiên bản trước của Windows, bạn phải chọn giữ regedit và regedt32 khi làm việc với Registry. Trong Windows Server 2003, bạn chỉ sử dụng regedit. Thực thi regedt32 vẫn tồn tại, nhưng thực chất nó được thi hành trong lênh regedit. Trong Server 2003, tùy chọn các quyền trước đây không tồn tại trong regedit thì bây tồn tại cho bạn sử dụng. Khi thiết lập các quyền chính trong Registry, bạn có thể chọn cả Read hoặc Full Control.Những quyền tồn tại cho Registry thì khác với các quyền sử dụng cho bảo mật tập tin. Danh sách sau chứa các quyền cho Registry: Query Value – yêu cầu và nhận giá trị của một khóa Registry. Set Value – đổi giá trị khóa. Create Subkey – tạo một khóa phụ. Enumerate Subkeys – liệt kê các khóa phụ. Notify – thiết lập kiểm định. Create Link – liên kết khóa này với các khóa khác. Write DAC – thay đổi quyền. Read Control – tìm ra chủ nhân của khóa. Write Owner – thay đổi quyền sở hữu khóa. Delete – xóa khóa.Hai quyền có thể áp dụng , Full Control tương đương với tất cả các quyền được liệt kê. Quyền Read tương đương với các quyền Query Value, Notify, Read Control, and Enumerate Subkeys. Việc liệt kê hay quyền Read cũng có thể gây hiểu nhầm đôi lúc.Không có quyền truy xuất đặc biệt nào liệt kê trên trang các quyền chính nhưng có một nút Advanced. Nếu một user check Read box, bạn nên xem lại quyền truy xuất đặc biệt để chắc chắn các quyền chính xác cấp cho user đó. Trên cùng trang với các quyền đặc biệt là các thiết lập cho nơi mà thiết lập quyền này được áp dụng. Bạn có thể áp dụng quyền với This Key Only, This Key và Subkeys, hoặc Subkeys Only.Default Registry ConfigurationsPhần trước, chúng ta đã thảo luận các tiến trình đưa ra bởi Windows để bảo vệ tập tin hệ thống. Cũng có một số hệ thống tại chỗ để bảo vệ Registry theo mặc định. Người quản trị và tài khoản hệ thống nên có Full Control với tất cả các vùng của Registry.Power Users được cho các quyền để tạo khóa phụ trong HKEY_LOCAL_MACHINE\SOFTWARE\key, đó là kết quả của việc chấp thuận họ cài đặt các gói chương trình mới. Power Users có Full Control trên tất cả các khóa phụ mà họ tạo ra, như tài khoản CREATOR OWNER làm. Mức độ điều khiển của Power Users không mở rộng ra tất cả các vùng của Registry. Thí dụ, trong Hardware chia cho Registry, Power Users không nằm trong danh sách các quyền thiết lập theo mặc định.Khi thay đổi các vùng của Registry, hãy chắc rằng bạn đã lên kế hoạch những thay đổi thật cẩn thận, vì các hậu quả ngoài ý muốn có thể xảy ra rất dễ dàng và nhanh chóng. Trong Task sau, bạn sẽ cấu hình các quyền trên các vùng của Registry.TASK 3D-2Setting Registry Permissions1. Đăng nhâp vào Windows 2003 với tên Administrator.2. Mở Regedit để chuẩn bị cho việc thiết lập quyền của Registry.3. Chọn HKEY_LOCAL_MACHINE. 4. Mở SAM và để trống các khóa SAM.5. Nhấp chuột phải vào empty SAM, và chọn Permissions.6. Trong danh sách Permission, cho Administrators group Full Control. Click OK.7. Mở rộng SAM để xác minh rằng bạn có thể truy cập thông tin trước đó không thấy.Registry BackupĐể bảo vệ bảo mật của Registry, bạn phải có một kế hoạch sao lưu cho hệ thống. Có vài cách thể sao lưu Registry : Trước hết là ngay trong Registry – bạn có thể xuất khóa phụ. Nếu bạn sẽ dụng tùy chọn được xây dựng này, phải chắc rằng bạn bảo mật tập tin xuất thật an toàn. Nếu bạn không muốn sử dụng tùy chọn có sẵn trong trình soạn thảo Registry, bạn có thể sử dụng chương trình Microsoft Backup. Tiện ích này có thể tạo ra một bản sao đầy đủ của System State, bao gồm cả thông tin cấu hình của Registry. Chỉ với các khóa hoặc khóa phụ xuất ra thì tùy chọn lưu trữ cho dự phòng là quan trọng. Một bản sao System State bị tổn hại cũng phá hủy như một sự tổn hại của chính server.Phần cuối cùng để bảo mật đối với dự phòng Registry là trong tập tin OS. Lưu trữ trong thư mục %systemroot%\repair thiết lập phải được bảo mật. Thư mục này giữ thông tin cấu hình Registry được dùng trong trường hợp hệ thống cần được sửa chữa.TASK 3D-3Exporting Registry Information1. Chọn Software subkey với HKEY_LOCAL_MACHINE.2. Chọn FileExport.3. Tạo folder với tên Reg_Keys trong Windows 2003 partition.4. HKEY_LOCAL_MACHINE\SOFTWARE.5. Với tên, nhập Software_One và click Save.6. Đóng Registry Editor.7. Mở My Computer, và di chuyển đến folder Reg_Keys bạn tạo.8. Nhấp chuột phải và chọn Properties. Chọn Security tab. 9. Thiết lập bảo mật để chỉ tài khoản người dùng của bạn đã có đầy đủ, và loại bỏ bất kỳ quyền truy cập vào bất kỳ tài khoản người dùng khác hoặc nhóm.10. Đóng tất cả các cửa sổ mở.Blocking Access to the RegistryBạn có thể mún thực thi các điều khiển bình thường trên chương trình như Regedit.exe và Regedt32.exe để ngăn chặn các user trái phép thực thi các ứng dụng này. Tuy nhiên, Nếu bạn hoang tưởng hơn, bạn có thể hoàn toàn xóa các ứng dụng khỏi ổ cứng và thực hiện quản lý Registry từ xa của một máy. Trong trường hợp xóa các tập tin thực thi vẫn không đủ tốt với sở thích của bạn, bạn có thể vào Registry và vô hiệu hóa truy xuất đến Registry. Hiển nhiên, đây có thể là một tùy chọn nguy hiểm nếu bạn thật sự vô hiệu hóa công cụ hiệu chỉnh Registry trên các máy. Bạn sẽ không có sự lữa chọn nào khác ngoài việc hiệu chỉnh qua một GPO hay quản lý từ xa ở giai đoạn này nên phải chắc rằng bạn có thể thực hiện quản lý từ xa, nếu cần, ưu tiên nhận hành động này.TASK 3D-4Blocking Registry AccessSetup: Đăng nhập vào Windows 2003 với tên Administrator.1. Mở Regedit, và vào HKEY_CURRENT_USER\SOFTWARE Microsoft\Windows\Current Version\Policies.2. Nhấp chuột phải vào Policies, và mở key tên System.3. Ở bảng bên phải, nhấp chuột phải và thêm giá trị mới DWORD vào DisableRegistryTools.4. Cấp cho REG_DWORD giá trị 1. Giá trị 0 sẽ cho Registry Editing Tools.5. Đóng Registry Editor.6. Cố gắng truy cập vào Registry với cả Regedit hoặc Regedt32. Bạn không có khả năng mở Registry Editor.7. Từ Start Menu, chọn All ProgramsAdministrative ToolsCustom_GPO.msc. 8. Mở Local Computer Policy,User Configuration,Administrative Templates,System.9. Nhấp đôi chuột vào để ngăn chặn truy cập đến Registry Editing Tools.10. Chọn Disable ở nút Radio,click Apply, và click OK.11. Đóng Custom_GPO.msc mmc. Không lưu các thiết lập.12. Từ Run, mở Regedit. Lưu ý bạn có thể truy cập vào Registry lần nữa.13. Đóng tất cả các cửa sổ đang mở.System HardeningBây giờ, khi bạn đã thấy các cách bảo mật tài nguyên, bao gồmm truy xuất đến Registry, là lúc bảo mật bảo mật chính hệ thống cơ sở. Việc này bao gồm dọn dẹp các dịch vụ không cần thiết, thiết lập các quyền bảo mật trên các thực thi phổ biến, vô hiệu hóa các hệ thống phụ không sử dụng và giữ cập nhật trên Service Packs và Hotfixes.Disabling ServicesTrên phần lớn bộ phận cài đặt của Windows, các dịch vụ được nạp vào và chạy mặc định mà không cần thiết, hoặc chúng cũng không được sử dụng trong môi trường bảo mật. Nhiều dịch vụ được cài đặt với hệ điều hành, và số khác được thêm vào như các ứng dụng thêm vào của hệ thống. [...]... Next. 26. Click Next để lưu Security Policy. 27. Click nút View Security Policy. 28. Di chuyển qua các cấu hình cho máy chủ của bạn nếu sử dụng chính sách bảo mật, đóng SCW Viewer. 29. Trong tên text box, gõ C: \WINDOWS\ Security\ msscw\Policies\my_policy. 30. Xác nhận tên file chính sách của bạn đã được nhập vào, và click Next. 31. Click Next. 32. Click Finish để thoát khỏi Security Configuration Wizard. ... này nên phải chắc rằng bạn có thể thực hiện quản lý từ xa, nếu cần, ưu tiên nhận hành động này. TASK 3D-4 Blocking Registry Access Setup: Đăng nhập vào Windows 2003 với tên Administrator. 1. Mở Regedit, và vào HKEY_CURRENT_USER\SOFTWARE Microsoft \Windows\ Current Version\Policies. 2. Nhấp chuột phải vào Policies, và mở key tên System. 3. Ở bảng bên phải, nhấp chuột phải và thêm giá trị mới DWORD vào... subkey với HKEY_LOCAL_MACHINE. 2. Chọn FileExport. 3. Tạo folder với tên Reg_Keys trong Windows 2003 partition. 4. HKEY_LOCAL_MACHINE\SOFTWARE. 5. Với tên, nhập Software_One và click Save. 6. Đóng Registry Editor. 7. Mở My Computer, và di chuyển đến folder Reg_Keys bạn tạo. 8. Nhấp chuột phải và chọn Properties. Chọn Security tab. bạn có một thư mục D:\Secure\One và thư mục này có các quyền áp dụng cho... dụng riêng biệt. Hủy bỏ các hoạt động và giữ lại các quyền Tiến trình thiết lập quyền tương tư như Windows NT 4.0, ngoại trừ việc chấp nhận hay từ chối truy xuất rõ ràng. Nếu bạn muốn cho một user nay một group No Access như trong Windows NT, bạn cho user hay group đó Deny quyền Full Control trong Windows 2000. Thiết lập quyền là một việc khá đơn giản, việc mà các chuyên gia bảo mật có thể làm thoải... và đơn giản là NTFSDOS và được làm bởi một cơng ty có tên là Sysinternals. Phần Task sau sẽ cho phép bạn truy suất một tận tin bảo mật NTFS trên DOS. TASK 3D-1 Compromising NTFS Security 1. Trong vùng khởi động Windows 2003, tạo folder có tên Secure. 2. Trong folder, tạo 1 file text mới có tên secret.txt và thêm dòng This is a secure file vào. 3. Thiết lập bảo mật trên tập tin này để các nhóm kiểm... vì các hậu quả ngồi ý muốn có thể xảy ra rất dễ dàng và nhanh chóng. Trong Task sau, bạn sẽ cấu hình các quyền trên các vùng của Registry. TASK 3D-2 Setting Registry Permissions 1. Đăng nhâp vào Windows 2003 với tên Administrator. 2. Mở Regedit để chuẩn bị cho việc thiết lập quyền của Registry. 3. Chọn HKEY_LOCAL_MACHINE. 4. Mở SAM và để trống các khóa SAM. 5. Nhấp chuột phải vào empty SAM, và chọn... lập Automatic sẽ thực thi cấu hình khởi động khi hệ thống khởi động Disabled nghĩa là dịch vụ sẽ không thực thi cho đến khi bạn cấu hình lại cho nó là dịch vụ hoạt động. Một đặc trưng tốt trong Windows 2003 là khả năng tìm ra các dịch vụ khác được yêu cầu để cho một dịch vụ hoạt động. Nó được biết như sự phụ thuộc. Thí dụm để cho dịch vụ Messenger hoạt động hợp lệ, cả dịch vụ Remote Procedure Call... thiết lập các quyền bảo mật trên các thực thi phổ biến, vơ hiệu hóa các hệ thống phụ không sử dụng và giữ cập nhật trên Service Packs và Hotfixes. Disabling Services Trên phần lớn bộ phận cài đặt của Windows, các dịch vụ được nạp vào và chạy mặc định mà không cần thiết, hoặc chúng cũng không được sử dụng trong môi trường bảo mật. Nhiều dịch vụ được cài đặt với hệ điều hành, và số khác được thêm vào... quyền này được áp dụng. Bạn có thể áp dụng quyền với This Key Only, This Key và Subkeys, hoặc Subkeys Only. Default Registry Configurations Phần trước, chúng ta đã thảo luận các tiến trình đưa ra bởi Windows để bảo vệ tập tin hệ thống. Cũng có một số hệ thống tại chỗ để bảo vệ Registry theo mặc định. Người quản trị và tài khoản hệ thống nên có Full Control với tất cả các vùng của Registry. Power...12. Xem danh sách các dịch vụ đó sẽ được thay đổi, và click Next. 13. Trong màn hình Network Security, click Next. 14. Chấp nhận cổng mặc định mở và các ứng dụng, và click Add…button. 15. Nếu bạn đã có một ứng dụng tùy chỉnh trong tổ chức của bạn, đây là nơi mà bạn định nghĩa các giao thức, số . Topic 3D :Windows 2003 Resource SecurityNhiều tài nguyên tồn tại trên mạng và máy chủ Windows 2003, tất cả chúng cần được bảo mật. Folder SecurityTrong khi Windows NT 4.0 chỉ có khả năng làm việc với các hệ thống tập tin FAT và NTFS, Windows 2000 làm việc với FAT32. Và cho dù Windows
