Làm thế nào để xây dựng được uy tín nhỉ ?
Muốn tổ chức bữa sn mà khó quá !
Rủ đứa này chưa rủ đã nói bận , xong nó hỏi "có ai đi .... thì t mới đi" , đéo coi lời mời mình ra cái ji cả !
Nên chơi hay từ bỏ những người này nhỉ ?
ÔI !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Chủ Nhật, 26 tháng 6, 2011
Bạn
Bạn là đến với nhau khi lợi ích vì minh ?
Đến với bạn vì nó có thể giúp mình cái này cái kia ?
Có thể đến chỗ bạn nhiều lần khi nó có thể giúp mình làm bài tập giúp !
nhưng khi nó rủ đi sinh nhận nó, lại từ chối không đi được !
Nó hơi buồn !
Đến với bạn vì nó có thể giúp mình cái này cái kia ?
Có thể đến chỗ bạn nhiều lần khi nó có thể giúp mình làm bài tập giúp !
nhưng khi nó rủ đi sinh nhận nó, lại từ chối không đi được !
Nó hơi buồn !
Thứ Hai, 13 tháng 6, 2011
Chương 11 : Win server 2k3 2
Topic 3D:
Windows 2003 Resource Security
Nhiều tài nguyên tồn tại trên mạng và máy chủ Windows 2003, tất cả chúng cần được bảo mật theo một vài phương pháp. Chúng ta bắt đầu với hệ thống tập tin.
File and Folder Security
Trong khi Windows NT 4.0 chỉ có khả năng làm việc với các hệ thống tập tin FAT và NTFS, Windows 2000 làm việc với FAT32. Và cho dù Windows 2000 có thể hỗ trợ FAT và FAT32 thì nó vẫn được khuyến cáo sử dụng NTFS cho tùy chọn bảo mật của nó. Windows Server 2003 nên được cài đặt trên một phân vùng NTFS.
Việc sử dụng của NTFS trong Windows 2003 (kỹ thuật còn gọi là NTFS version 5) là cần thiết nếu người quản trị muốn sử dụng Active Directory, Domains, bảo mật tập tin cấp cao. Ngoài ra, thêm vào việc mã hóa tập tin và phân vùng ổ đĩa yêu cầu NTFS. Một lời khuyên ở đây là tất cả phân vùng vẫn còn chạy FAT hay FAT32 nên được chuyển đổi sang NTFS để tài nguyên Windows 2003 được bảo mật hiệu quả hơn. Nếu bạn cần chuyển đổi phân vùng sang NTFS, bạn có thể sử dụng lênh convert c: /FS:NTFS , trong đó c là phân vùng tập tin được chuyển đổi.
Bất kỳ phân vùng mới nào dù là mới tạo hay chuyển đổi sang NTFS, mặc định sẽ được cho phép nhóm Everyone truy xuất Full Control. Bởi vì nhóm này bao gồm tài khoản Guest và Anonymous nên bảo mật chặt chẽ phải được thực thi trước khi bạn cho phép bất kỳ tài khoản người dùng nào được truy xuất hay thêm vào hệ thống.
Chỉ khi một phân vùng mới tạo ra có thiết lập bảo mật mặc định thì hệ điều hành cài đặt mới hoạt động. Trong Windows 2003, một vài ước số được thêm vào để ngăn người dùng thay đổi tập tin hệ thống của Windows. Các thay đổi ẩn thư mục trong thư mục \WINDOWS và thư mục \System32 mặc định; tuy nhiên, một click nhanh vào tùy chọn Show Files và tất cả sẽ được hiện thị cho bạn. Có sẵn một cơ chế làm việc cho phép bạn giữ các tập tin không bị thay đổi. Nó được gọi là hệ thống Windows File Protection (WFP), và công việc của nó là đảm bảo các tập tin hệ thống cài đặt trong suốt quá trình cài đặt Windows không bị xóa hay viết chồng lên. Chỉ có những tập tin được chữ ký số bởi Microsoft mới có thể thực hiện những thay đổi này. Bạn nên chú ý điều này khi cài đặt driver cho thiết bị được chấp thuận bởi Microsoft.
File and Folder Permissions
Tiến trình xem quyền hạn giống như trong Windows 2003 khi trên Windows 2000 để xem quyền hạn cho một đối tượng, click phải vào đối tượng, chọn Properties và xem thông tin trên Security tab. Nhìu dữ liệu hơn được cung cấp trên Advanced tab. Quyền hạn tập tin trong Windows 2000 và 2003 thì khác hơn trong Windows NT 4.0. Một số quyền hạn tồn tại được định nghĩa trong list sau:
Ÿ Traverse Folder/ Execute File – Quyền Traverse Folder chỉ áp dụng với thư mục và quản lý khả năng user di chuyển qua các thư mục để đến tập tin hay thư mục khác; bất chấp các quyền trên thư mục. Quyền Execute File chỉ áp dụng cho tập tin và quản lý khả năng user chạy tập tin chương trình.
Ÿ List Folder/Read Data – Quyền List Folder chỉ áp dụng với thư mục và quản lý khả năng user xem tên tập tin và tên thư mục. Quyền Read Data chỉ áp dụng cho tập tin và quản lý khả năng user đọc tập tin.
Ÿ Create Folders/Append Data – Quyền Create Folder chỉ áp dụng cho thư mục và quản lý khả năng user tạo các thư mục bên trong một thư mục. Quyền Append Data chỉ áp dụng cho tập tin và quản lý khả năng user thay đổi phần kết thúc của một tập tin.
Ÿ Delete – Quyền này quản lý khả năng user xóa một tập tin hay thư mục.
Ÿ Read Permissions – Quyền này quản lý khả năng user đọc các quyền hạn của tập tin hay thư mục.
Ÿ Change Permissions – Quyền này quản lý khả năng user thay đổi quyền hạn của tập tin hay thư mục.
Ÿ Take Ownership – Quyền này quản lý khả năng user nhận quyền sở hữu một tập tin hay thư mục.
Ÿ Read Attributes – Quyền này quản lý khả năng user đọc các thuộc tính của tập tin hay thư mục.
Ÿ Write Attributes – Quyền này quản lý khả năng user thay đổi thuộc tính của tập tin hay thư mục.
Một mình các quyền này không được xem là cho phép hay từ chối truy suất; người quản trị phải xác định nó cho từng đối tượng. Nói chung, nó không cần thiết phải chỉ định từng quyền cụ thể khi bảo mật tài nguyên. Bạn thường sử dụng các quyền chỉ định sau : Full Control, Modify, Read and Execute, List Folder Contents, Read, và Write. Khả năng cụ thể của các quyền này được định nghĩa trong biểu đồ hình 3-9.
| Special Permissions | Full Control | Modify | Read & Execute | List Folder Contents | Read | Write |
| Traverse Folder / Execute File | X | X | X | X | | |
| List Folder / Read Data | X | X | X | X | x | |
| Read Attributes | X | X | X | X | X | |
| Read Extended Atributes | X | X | X | X | X | |
| Create Files / Write Data | X | X | | | | X |
| Create Folders / Append Data | X | X | | | | X |
| Write Attributes | X | X | | | | X |
| Write Extended Attributes | X | X | | | | X |
| Delete Subfolder and Files | X | | | | | |
| Delete | X | X | | | | |
| Read Permissions | X | X | x | x | X | x |
| Change Permissions | X | | | | | |
| Take Ownership | x | | | | | |
Hình 3-9 / 242
Như bạn có thể thấy, ví dụ khi bạn áp dụng quyền Read cho một thư mục, nó sẽ nhận List Folder/ Read Data, Read Attributes, và Read Extended Attributes như là các quyền của thư mục. Các quyền của tập tin NTFS cũng tương tự, ngoại trừ nó không có tùy chọn List Folder Contents, bởi vì quyền này áp dụng cho một tập tin. Một khác biệt lớn so với quyền Windows NTFS cũ là khả năng từ chối một các rõ ràng cho từng quyền hạn.
Inheritance and Propagation
Khi bạn tạo ra một tập tin mới, tập tin này sẽ thừa kế các quyền của tập thư mục chính của nó hoặc của phân vùng chính nếu đó là thư mục gốc. Vì vậy, nếu một thư mục chính được thiết lập Everyone Modify, tập tin bạn tạo ra trong thư mục đó sẽ có Everyone Modify như quyền của nó.
Có một cách mà bạn có thể thay đổi chính sách này để các quyền không làm việc theo cách này. Bạn có thể tạo một thư mục và áp dụng quyền cho tùy chọn This Folder Only, điều này có nghĩa là dữ liệu mới tạo ra trong thư mục này sẽ không kế thừa các quyền của thư mục. Những đối tượng mới đó sẽ kế thừa các quyền được thiết lập ở mức cao hơn. Ví dụ bạn có một thư mục D:\Secure\One và thư mục này có các quyền áp dụng cho This Folder Only, và bạn tạo một tập tin D:\Secure\One\test.txt . Tập tin này sẽ thừa kế quyền của nó từ đối tượng D:\Secure.
Bạn cũng có thể khóa việc thừa kế các quyền cho một đối tượng bằng cách xóa tùy chọn Allow Inheritable Permissions From Parent To Propagate To This Object trên Secutity tab của cửa sổ Properties. Khi bạn xóa tùy chọn này, bạn sẽ thấy sự xuất hiện của 3 tùy chọn :
Ÿ Sao chép các quyền mà đối tượng kế thừa
Ÿ Xóa tất cả các quyền ngoại trừ các quyền được áp dụng riêng biệt.
Ÿ Hủy bỏ các hoạt động và giữ lại các quyền
Tiến trình thiết lập quyền tương tư như Windows NT 4.0, ngoại trừ việc chấp nhận hay từ chối truy xuất rõ ràng. Nếu bạn muốn cho một user nay một group No Access như trong Windows NT, bạn cho user hay group đó Deny quyền Full Control trong Windows 2000.
Thiết lập quyền là một việc khá đơn giản, việc mà các chuyên gia bảo mật có thể làm thoải mái. Tuy nhiên, có một cách mà một kẻ tấn công có thể đi qua bảo mật NTFS của bạn nếu họ có một truy suất vật lý đến máy tính. Đó là sử dụng hệ điều hành riêng biệt thay thế, MS-DOS.
Bạn có thể nghĩ rằng sử dụng DOS sẽ không có ảnh hưởng lên bất kỳ tập tin nào trên phân vùng NTFS, và thậm chí DOS không thể nhận dạng phân vùng NTFS. Trong hầu hết các trường hợp thì đúng, tuy nhiên, có những công cụ và tiện ích trên thị trường được thiết kế để truy xuất NTFS từ DOS. Công cụ phổ biến nhất và đơn giản là NTFSDOS và được làm bởi một công ty có tên là Sysinternals. Phần Task sau sẽ cho phép bạn truy suất một tận tin bảo mật NTFS trên DOS.
TASK 3D-1
Compromising NTFS Security
1. Trong vùng khởi động Windows 2003, tạo folder có tên Secure.
2. Trong folder, tạo 1 file text mới có tên secret.txt và thêm dòng This is a secure file vào.
3. Thiết lập bảo mật trên tập tin này để các nhóm kiểm soát đầy đủ tất cả mọi người đã từ chối và thừa nhận tin nhắn cảnh báo. Bây giờ,thậm chỉ tất cả các quản trị viên có thể truy cập tập tin này.
4. Kiểm tra an toàn bằng cách mở file Secure.txt. Bạn không thể truy cập vào các tập tin.
5. Khởi động lại máy tính và khởi động vào DOS bằng cách sử dụng đĩa mềm khởi động chứa NTFSDOS.
6. Trong DOS prompt,nhập ntfsdos để chạy các tiện ích. Các phân vùng NTFS được gắn kết với các ký tự ổ đĩa được phân công.
7. Di chuyển đến vùng mà bạn tạo ra folder Secure, và nhập cd secure để thay đổi thư mục đến folder này.
8. Nhập secret.txt để hiện thị các tập tin văn bản ra màn hình.
9. Thực hiện các nội dung file secret.txt.
10. Xóa ổ đĩa khởi động,và khởi động lại máy tính
The NULL Session
Để một hệ thống cung cấp tài nguyên chia sẻ qua mạng, nó phải truyền thông với mạng. Việc truyền thông này được thực hiện thông quá các kết nối nặc danh từ hệ thống đến hệ thống. Trong đó, việc này có thể không thể hiện vấn đề, nhưng nếu một máy kết nối trực tiếp với Intenet, hoạt động này có thể chấp thuận cho một kẻ tấn công tìm hiểu về mạng máy tính bên trong mà không cần quyền hạn.
Khi một kẻ tấn công kết nói theo cách này (với một đăng nhập nặc danh), nó được gọi là một kết nói phiên NULL. Để chống lại trường hợp này, bạn nên vô hiệu hóa phiên NULL. Việc này có thể thực hiện thông qua bất kỳ mô hình bảo mật nào như sau :
- Mở bất ký mô hình bảo mất nào trong MMC.
- Điều hướng Local Policices.
- Điều hướng Security Options.
- Thiết lập các hạn chế thêm cho các kết nối nặc danh để không được truy xuất mà không có các quyền rõ ràng.
Windows 2003 Printer Security
Khi bạn cài đặt tùy chọn bảo mật trên một máy in trong Windows 2003, bạn có 3 quyền mà bạn có thể áp dụng : Print, Manage Printers và Manage Documents.
Ÿ Mức độ bảo mật mặc định cung cấp cho các user là Print, có nghĩa là họ được nhận các quyền là in, dừng, tiếp tục lại, khởi động lại và hủy văn bản
Ÿ Nếu bạn muốn cung cấp cho user nhiều khả năng điều khiển máy in hơn, bạn có thể cho họ quyền Manage Documents. Mức độ của quyền này là họ được phép dừng, tiếp tục lại, khởi động lại, hủy tất cả văn bản
Ÿ Nếu bạn muốn cung cấp cho các user như người quản lý cấp thấp hay người có trách nhiệm quản lý tất cả máy in vơí nhìu quyền điều khiển máy in hơn, bạn có thể cho họ quyền Managa Printers. Điều này có nghĩa họ được phép chia sẻ máy in, thay đổi quyền máy in, thay đổi thuộc tính máy in, hoặc xóa các máy in.
Mặc dù các quyền thiết lập có thể cung cấp bảo mật mà bạn yêu câu, nhưng bạn vẫn có thể có nhiều điều khiển hơn qua máy in. Trong thiết lập Advanced của một máy in, bạn có thể xác định số giờ mà máy in đó hoạt động. Nếu một máy in được sử dụng trong suốt thời gian kinh doanh, không có lý do gì thiết lập quyền máy in thì nó có thể sử dụng 24x7. Hình thức điều khiển này giúp giữ cho thiết bị được sử dụng chỉ với mục đích kinh doanh.
Ngoài việc bảo mật cho máy in, bạn phải chú ý đến bảo mật spooler, Một chương trình thường nằm trong số những trình tiện ích của hệ điều hành, dùng để hướng các lệnh in cất tạm vào một tệp trên đĩa hoặc trong RAM thay vì vào máy in … Nếu spooler trái với mặc định trong %systemroot% được chấp thuận Everyone Full Control, vùng này sẽ được chuyển sang một vùng bảo mật NTFS nơi mà nó được quản lý riêng biệt.
Windows 2003 Registry Security
Registry chứa dữ liệu cấu hình cho một máy tính là một mục quan trong để bảo mật một cách chính xác. May mắn, các user không có cùng mức độ tương tác với Registry như họ có với tài nguyên mạng.
Trong các phiên bản trước của Windows, bạn phải chọn giữ regedit và regedt32 khi làm việc với Registry. Trong Windows Server 2003, bạn chỉ sử dụng regedit. Thực thi regedt32 vẫn tồn tại, nhưng thực chất nó được thi hành trong lênh regedit. Trong Server 2003, tùy chọn các quyền trước đây không tồn tại trong regedit thì bây tồn tại cho bạn sử dụng. Khi thiết lập các quyền chính trong Registry, bạn có thể chọn cả Read hoặc Full Control.
Những quyền tồn tại cho Registry thì khác với các quyền sử dụng cho bảo mật tập tin. Danh sách sau chứa các quyền cho Registry:
Ÿ Query Value – yêu cầu và nhận giá trị của một khóa Registry.
Ÿ Set Value – đổi giá trị khóa.
Ÿ Create Subkey – tạo một khóa phụ.
Ÿ Enumerate Subkeys – liệt kê các khóa phụ.
Ÿ Notify – thiết lập kiểm định.
Ÿ Create Link – liên kết khóa này với các khóa khác.
Ÿ Write DAC – thay đổi quyền.
Ÿ Read Control – tìm ra chủ nhân của khóa.
Ÿ Write Owner – thay đổi quyền sở hữu khóa.
Ÿ Delete – xóa khóa.
Hai quyền có thể áp dụng , Full Control tương đương với tất cả các quyền được liệt kê. Quyền Read tương đương với các quyền Query Value, Notify, Read Control, and Enumerate Subkeys. Việc liệt kê hay quyền Read cũng có thể gây hiểu nhầm đôi lúc.
Không có quyền truy xuất đặc biệt nào liệt kê trên trang các quyền chính nhưng có một nút Advanced. Nếu một user check Read box, bạn nên xem lại quyền truy xuất đặc biệt để chắc chắn các quyền chính xác cấp cho user đó. Trên cùng trang với các quyền đặc biệt là các thiết lập cho nơi mà thiết lập quyền này được áp dụng. Bạn có thể áp dụng quyền với This Key Only, This Key và Subkeys, hoặc Subkeys Only.
Default Registry Configurations
Phần trước, chúng ta đã thảo luận các tiến trình đưa ra bởi Windows để bảo vệ tập tin hệ thống. Cũng có một số hệ thống tại chỗ để bảo vệ Registry theo mặc định. Người quản trị và tài khoản hệ thống nên có Full Control với tất cả các vùng của Registry.
Power Users được cho các quyền để tạo khóa phụ trong HKEY_LOCAL_MACHINE\SOFTWARE\key, đó là kết quả của việc chấp thuận họ cài đặt các gói chương trình mới. Power Users có Full Control trên tất cả các khóa phụ mà họ tạo ra, như tài khoản CREATOR OWNER làm. Mức độ điều khiển của Power Users không mở rộng ra tất cả các vùng của Registry. Thí dụ, trong Hardware chia cho Registry, Power Users không nằm trong danh sách các quyền thiết lập theo mặc định.
Khi thay đổi các vùng của Registry, hãy chắc rằng bạn đã lên kế hoạch những thay đổi thật cẩn thận, vì các hậu quả ngoài ý muốn có thể xảy ra rất dễ dàng và nhanh chóng. Trong Task sau, bạn sẽ cấu hình các quyền trên các vùng của Registry.
TASK 3D-2
Setting Registry Permissions
1. Đăng nhâp vào Windows 2003 với tên Administrator.
2. Mở Regedit để chuẩn bị cho việc thiết lập quyền của Registry.
3. Chọn HKEY_LOCAL_MACHINE.
4. Mở SAM và để trống các khóa SAM.
5. Nhấp chuột phải vào empty SAM, và chọn Permissions.
6. Trong danh sách Permission, cho Administrators group Full Control. Click OK.
7. Mở rộng SAM để xác minh rằng bạn có thể truy cập thông tin trước đó không thấy.
Registry Backup
Để bảo vệ bảo mật của Registry, bạn phải có một kế hoạch sao lưu cho hệ thống. Có vài cách thể sao lưu Registry :
Ÿ Trước hết là ngay trong Registry – bạn có thể xuất khóa phụ. Nếu bạn sẽ dụng tùy chọn được xây dựng này, phải chắc rằng bạn bảo mật tập tin xuất thật an toàn.
Ÿ Nếu bạn không muốn sử dụng tùy chọn có sẵn trong trình soạn thảo Registry, bạn có thể sử dụng chương trình Microsoft Backup. Tiện ích này có thể tạo ra một bản sao đầy đủ của System State System State
Phần cuối cùng để bảo mật đối với dự phòng Registry là trong tập tin OS. Lưu trữ trong thư mục %systemroot%\repair thiết lập phải được bảo mật. Thư mục này giữ thông tin cấu hình Registry được dùng trong trường hợp hệ thống cần được sửa chữa.
TASK 3D-3
Exporting Registry Information
1. Chọn Software subkey với HKEY_LOCAL_MACHINE.
2. Chọn FileàExport.
3. Tạo folder với tên Reg_Keys trong Windows 2003 partition.
4. HKEY_LOCAL_MACHINE\SOFTWARE.
5. Với tên, nhập Software_One và click Save.
6. Đóng Registry Editor.
7. Mở My Computer, và di chuyển đến folder Reg_Keys bạn tạo.
8. Nhấp chuột phải và chọn Properties. Chọn Security tab.
9. Thiết lập bảo mật để chỉ tài khoản người dùng của bạn đã có đầy đủ, và loại bỏ bất kỳ quyền truy cập vào bất kỳ tài khoản người dùng khác hoặc nhóm.
10. Đóng tất cả các cửa sổ mở.
Blocking Access to the Registry
Bạn có thể mún thực thi các điều khiển bình thường trên chương trình như Regedit.exe và Regedt32.exe để ngăn chặn các user trái phép thực thi các ứng dụng này. Tuy nhiên, Nếu bạn hoang tưởng hơn, bạn có thể hoàn toàn xóa các ứng dụng khỏi ổ cứng và thực hiện quản lý Registry từ xa của một máy. Trong trường hợp xóa các tập tin thực thi vẫn không đủ tốt với sở thích của bạn, bạn có thể vào Registry và vô hiệu hóa truy xuất đến Registry. Hiển nhiên, đây có thể là một tùy chọn nguy hiểm nếu bạn thật sự vô hiệu hóa công cụ hiệu chỉnh Registry trên các máy. Bạn sẽ không có sự lữa chọn nào khác ngoài việc hiệu chỉnh qua một GPO hay quản lý từ xa ở giai đoạn này nên phải chắc rằng bạn có thể thực hiện quản lý từ xa, nếu cần, ưu tiên nhận hành động này.
TASK 3D-4
Blocking Registry Access
Setup: Đăng nhập vào Windows 2003 với tên Administrator.
1. Mở Regedit, và vào HKEY_CURRENT_USER\SOFTWARE Microsoft\Windows\Current Version\Policies.
2. Nhấp chuột phải vào Policies, và mở key tên System.
3. Ở bảng bên phải, nhấp chuột phải và thêm giá trị mới DWORD vào DisableRegistryTools.
4. Cấp cho REG_DWORD giá trị 1. Giá trị 0 sẽ cho Registry Editing Tools.
5. Đóng Registry Editor.
6. Cố gắng truy cập vào Registry với cả Regedit hoặc Regedt32. Bạn không có khả năng mở Registry Editor.
7. Từ Start Menu, chọn All ProgramsàAdministrative ToolsàCustom_GPO.msc.
8. Mở Local Computer Policy,User Configuration,Administrative Templates,System.
9. Nhấp đôi chuột vào để ngăn chặn truy cập đến Registry Editing Tools.
10. Chọn Disable ở nút Radio,click Apply, và click OK.
11. Đóng Custom_GPO.msc mmc. Không lưu các thiết lập.
12. Từ Run, mở Regedit. Lưu ý bạn có thể truy cập vào Registry lần nữa.
13. Đóng tất cả các cửa sổ đang mở.
System Hardening
Bây giờ, khi bạn đã thấy các cách bảo mật tài nguyên, bao gồmm truy xuất đến Registry, là lúc bảo mật bảo mật chính hệ thống cơ sở. Việc này bao gồm dọn dẹp các dịch vụ không cần thiết, thiết lập các quyền bảo mật trên các thực thi phổ biến, vô hiệu hóa các hệ thống phụ không sử dụng và giữ cập nhật trên Service Packs và Hotfixes.
Disabling Services
Trên phần lớn bộ phận cài đặt của Windows, các dịch vụ được nạp vào và chạy mặc định mà không cần thiết, hoặc chúng cũng không được sử dụng trong môi trường bảo mật. Nhiều dịch vụ được cài đặt với hệ điều hành, và số khác được thêm vào như các ứng dụng thêm vào của hệ thống.
Hinh 3-10
Các dịch vụ có thể là một trong 3 loại Startup sau : Manual, Automatic và Disabled.
Ÿ Manual Startup nghĩa là bạn sẽ cấu hình dịch vụ khi cần, nhưng nó sẽ không khởi động khi hệ thống khởi động.
Ÿ Thiết lập Automatic sẽ thực thi cấu hình khởi động khi hệ thống khởi động
Ÿ Disabled nghĩa là dịch vụ sẽ không thực thi cho đến khi bạn cấu hình lại cho nó là dịch vụ hoạt động.
Một đặc trưng tốt trong Windows 2003 là khả năng tìm ra các dịch vụ khác được yêu cầu để cho một dịch vụ hoạt động. Nó được biết như sự phụ thuộc. Thí dụm để cho dịch vụ Messenger hoạt động hợp lệ, cả dịch vụ Remote Procedure Call (RPC) và Workstation phải đang chạy.
Hình 3-11
Securing Common Executable
Trong gia cố hệ điều hành, một tùy chọn thường ít được chú ý để gia cố các chương trình hiện tại đang được sử dụng. Bạn có thể tăng cường bảo mật cho hệ thống bằng cách đặt các quyền trên các ứng dụng này hoặc xóa chúng hoàn toàn.
Với các ứng dụng được liệt kê ở đây, bạn có thể muốn tạo ra một nhóm mới cho từng cá nhân yêu cầu truy xuất, không bao gồm nhóm người quản trị hoặc tài khoản hệ thống (đôi khi được gọi là LocalSystem trên một server độc lập). Khi đó, cung cấp mức độ đòi hỏi của các quyền trong thực thi. Phải hiểu rằng việc thay đổi các quyền ở đây có thể ảnh hưởng đến các ứng dụng, nên bạn có thể điều chỉnh khi cần nếu sự cố phát sinh. Thêm hoặc xóa khỏi danh sách này cho cấu hình duy nhất của bạn :
Ÿ arp.exe
Ÿ at.exe
Ÿ attrib.exe
Ÿ cacis.exe
Ÿ cmd.exe
Ÿ command.exe
Ÿ debug.exe
Ÿ dialer.exe
Ÿ edit.exe
Ÿ finger.exe
Ÿ ftp.exe
Ÿ Ipconfig.exe
Ÿ nbtstat.exe
Ÿ net.exe
Ÿ netstat.exe
Ÿ nslookup.exe
Ÿ ping.exe
Ÿ rcp.exe
Ÿ rdisk.exe
Ÿ regedit.exe
Ÿ regedt32.exe
Ÿ rexec.exe
Ÿ route.exe
Ÿ rsh.exe
Ÿ runonce.exe
Ÿ sysedit.exe
Ÿ telnet.exe
Ÿ tftp.exe
Ÿ tracert.exe
Ÿ xcopy.exe
Security Configuration Wizard
Microsoft có một công cụ cho bạn sử dụng trên Windows 2003 để gia cố toàn bộ hệ thống. Trong khi bạn biết từng mục cần phải được cấu hình, sử dụng một công cụ như thế này cho phép bạn thực hiện gia cố toàn bộ hệ thống mà không cần phải cấu hình bằng tay từng thiết lập cho toàn bộ hệ thống.
The Security Configuration Wizard (SCW) làm việc bằng cách nhìn vào vai trò của server cho máy cụ thể của bạn, sau đó tính toán cấu hình thấp nhất cho vai trò đó từ một chính sách an ninh. Bất cứ thứ gì SCW quyết định là không cần thiết cho chức năng của server sẽ bị vô hiệu hóa.
Theo Microsoft, SCW cấu hình như sau trên server của bạn:
Ÿ Vô hiệu hóa bất kỳ dịch vụ không cần thiết nào.
Ÿ Khóa bất kỳ port nào không sử dụng.
Ÿ Cho phép thêm nhiều địa chỉ rộng rãi và giới hạn bảo mật cho các port mở.
Ÿ Nếu có thể áp dụng, nghiệm cấm các mở rộng web IIS không cần thiết.
Ÿ Giảm bớt các giao thức Server Massage Block (SMB), LanMan và Lightweight Directory Access Protocol (LDAP).
Ÿ Xác định chính sách kiểm định nhiễu tín hiệu cao
Trong phần này, chúng ta sẽ xem xét tùy chọn cấu hình của SWC, nhưng bạn không thực thi gia cố hệ thống mức độ cao mà nó có thể yêu cầu. Đó là vì bạn sẽ cần hệ thống của bạn mở cho các task sau trong khóa học. Trong môi trường sản xuất của bạn, bạn cấu hình SCW như bạn cần và thực thi gia cố toàn bộ hệ thống.
Có 4 phần chính đối vời SCW :
Ÿ Phần cấu hình dịch vụ dựa vào vai trò
Ÿ Phần cấu hình bảo mật mạng
Ÿ Phần thiết lập Registry
Ÿ Phần chính sách kiểm định
TASK 3D-5
Installing Security Configuration Wizard
1. Từ Start Menu, chọn Control PanelàAdd Or Remove Program.
2. Click Add/Remove từ các nút thành phần của Windows.
3. Trên thanh cuộn phía dưới, check vào Security Configuration Wizard, và click Next.
4. Chèn hay cung cấp đường dẫn đến Windows Server 2003, click OK.
5. Click Finish, và đóng cửa sổ Add Or Remove Program.
TASK 3D-6
Using the Security Configuration Wizard
1. Từ Start Menu, chọn Administrative ToolsàSecurity Configuration Wizard.
2. Trong Welcome screen, click Next.
3. Tạo Security Policy mới, và click Next.
4. Chấp nhận tên mặc định của máy chủ của bạn, và click Next. Tại thời điểm này, hệ thống xây dựng cấu hình hệ thống của bạn.
5. Thực hiện một lần, click View Configuration Database tạo ra cho hệ thống của bạn. Nhấp vào bất kỳ dòng để đọc các chi tiết để xem có mục hàng được kích hoạt trên máy chủ của bạn.
6. Đóng Configuration Database, và click Next.
7. Ở màn hình cấu hình dựa trên vai trò dịch vụ, click Next.
8. Chọn những vai trò mà máy chủ của bạn đang thực hiện. Tại thời điểm này, điều này cần được tập tin máy chủ và máy chủ in.
9. Chọn các tính năng khách hàng rằng máy chủ của bạn hoạt động, click Next.
10. Chọn Administration và Other Options mà máy chủ của bạn đang thực hiện, một lần nữa, các giá trị mặc định là tốt cho công việc này.
11. Ở màn hình về các dịch vụ không xác định, để cài đặt mặc định, không phải để thay đổi chế độ khởi động, click Next.
12. Xem danh sách các dịch vụ đó sẽ được thay đổi, và click Next.
13. Trong màn hình Network Security, click Next.
14. Chấp nhận cổng mặc định mở và các ứng dụng, và click Add…button.
15. Nếu bạn đã có một ứng dụng tùy chỉnh trong tổ chức của bạn, đây là nơi mà bạn định nghĩa các giao thức, số cổng, và theo yêu cầu, các đường dẫn đến các ứng dụng.
16. Click Cancel, và click Next.
17. Xác nhận các cổng được liệt kê, và click Next.
18. Trong màn hình Registry Setting, click Next.
19. Chấp nhận các thiết lập mặc định SMB, và click Next.
20. Chấp nhận các mặc định (không có) cài đặt cho xác thực máy tính từ xa, và click Next.
21. Chấp nhận các phương thức xác thực mặc định trong nước, và click Next.
22. Xem lại Registry Settings, và click Next.
23. Tại bộ phận Audit Policy, click Next.
24. Chấp nhận thiết lập hệ thống mặc định audit policy, và click Next.
25. Xem lại Registry Settings, và click Next.
26. Click Next để lưu Security Policy.
27. Click nút View Security Policy.
28. Di chuyển qua các cấu hình cho máy chủ của bạn nếu sử dụng chính sách bảo mật, đóng SCW Viewer.
29. Trong tên text box, gõ C:\WINDOWS\Security\msscw\Policies\my_policy.
30. Xác nhận tên file chính sách của bạn đã được nhập vào, và click Next.
31. Click Next.
32. Click Finish để thoát khỏi Security Configuration Wizard.
Topic 3E
Windows 2003 Auditing and Logging
Trong Windows 2003, việc ghi chép có thể rất phức tạp đủ để người quản trị trung bình thật bại trong việc sắp xếp khối lượng thông tin ghi nhận được. Khối lượng thông tin thu thập được thấy trong công cụ Event Viewer. Event Viewer cung cấp 3 bảng ghi chính: Application Log, Security Log và System Log. Trong chủ đề này, bạn sẽ tập trung vào Security Log.
Mặc dù Windows 2003 tự động theo dõi và ghi nhận các sự kiện trong Application và System Log, Security Log phải được mở để nhìn thấy các sự kiện Security Log. Để mở Security Log, bạn phải tạo một chính sách kiểm định Audit Policy.
Cấu hình Audit Policy sẽ cho phép bạn có nhiều điều khiển qua các sự kiện cụ thể được ghi nhận vào bảng ghi. Thí dụ, bạn có thể chỉ ghi lại các cố gắng đăng nhập hay đăng xuất vào hệ thống hoặc các thay đổi với tùy chọn chính sách. Danh sách sau định nghĩa từng chính sách và cung cấp mô tả ngắn gọn về thiết lập :
Ÿ Audit Account Logon Events – Thiết lập này ghi lại các sự kiện đăng nhập của tại khoản người dùng. Nó có thể bao gồm sự kiện như thông tin vé Kerberos và tài khoản sử dụng để đăng nhập.
Ÿ Audit Account Management – Thiết lập này ghi lại các thay đổi, tạo mới hoặc xóa đi một tài khoản hoặc một nhóm người dùng. Thiết lập này có thể ghi thêm việc đổi tên, vô hiệu hóa, kích hoạt và thay đổi mật khầu cho tài khoản người dùng.
Ÿ Audit Directory Service Access – Thiết lập này ghi lại truy xuất đến một đối tượng Active Directory bởi user. Để chức bảng ghi này hoạt động, đối tượng phải được cầu hình cho kiểm đỉnh.
Ÿ Audit Logon Events – thiết lập này ghi lại các user đăng nhập hay đăng xuất, ghi lại kết thúc các kết nối mạng.
Ÿ Audit Object Access – Thiết lập này ghi lại các truy xuất đến tập tin, thư mục hay máy in. Để bảng ghi này hoạt động, đối tượng cần phải được cấu hình để kiểm định.
Ÿ Audit Policy Change – Thiết lập này ghi lại các thay đổi đối với chính sách kiểm định , quyền user và thiết lập bảo mật user.
Ÿ Audit Privilege Use – Thiết lập này sẽ ghi lại việc sử dụng đặc quyền bởi tài khoản người dùng.
Ÿ Audit Process Tracking – Thiết lập này sẽ ghi lại tiếp trình thực thi các ứng dụng trong hệ thống.
Ÿ Audit System Events – Thiết lập này sẽ ghi lại các sự kiện hệ thống như tắt hoặc khởi động lại của máy tính.
Hình 3-12
Oject Auditing
Để kiểm định truy xuất đến đối tượng cụ thể như tập tin, thư mục và máy in, bạn sẽ cần cấu hình thực hiện trên chính đối tượng đó, ngoài ra còn phải tạo Audit Policy. Phần kiểm định của đối tượng được đặt trên tab Security trong Properties của đối tượng. Click chọn nút Advanced, vào chọn tab Auditing.
Một ví dụ về kiểm định có liện hệ với bảo mật, đó là một bảng ghi truy xuất tập tin thông thường theo dõi truy xuất vào thư mục System32 của hệ điều hành. Như một thư mục quan trọng, nó có thể cung cấp thông tin bảo mật thích hợp để thấy các user đang truy xuất vào bên trong thư mục này và khi nào họ truy xuất vào đó.
Active Directory Auditing
Như khi bạn có thể ghi lại truy xuất đến một đối tượng như tập tin hay thư mục, bạn cũng có thể ghi lại truy xuất đến một đối tượng Active Directory. Việc đầu tiên bạn cần làm là kích hoạt kiểm định đối tượng Active Directory trong chính sách kiểm định của bạn, sau đó chọn đối tượng cụ thể bạn muốn kiểm định.
Để chính sách có hiệu quả, bạn có một vài tùy chọn :
Ÿ Một là đợi cho đến khi chính sách truyền đến các khoảng thường xuyên được cầu hình bởi người quản trị.
Ÿ Một tùy chọn khác là chạy lệnh grupdate /Force tại dấu nháy lệnh.
TASK 3E-1
Enabling Auditing
1. Từ Administrative Tools, mở Local Security Policy.
2. Mở Local Policies, và chọn Audit Policy.
3. Nhấp đôi chuột vào Audit Account Logon Events.
4. Check cả 2 Success và Failure, và click OK.
5. Nhấp đôi chuột vào Audit Logon Events.
6. Check cả 2 Success và Failure, và click OK.
7. Đóng Local Security Policy.
8. Mở command prompt, và gõ gpupdate /Force để cập nhật policy.
9. Mở Local Security Policy, và xác minh rằng các thiết lập mới đã có hiệu lực.
10. Đóng Local Security Policy.
Registry Auditing
Kiểm định Registry có thể cung cấp thông tin quan trọng trong bảo mật mạng cũng có thể cung cấp dự liệu quan trọng trong gỡ rối một sự kiện nào đó. Điều này tương tự với tiến trình yêu cầu để kiểm định các sự kiện khác, trong đó bạn chọn đối tượng và sau đó cấu hình kiểm định trên đối tượng đó.
Các tùy chọn tồn tại trong kiểm định Registry có một ít khác biệt so với kiểm định tập tin hay thư mục. Có các quyền như Query Value hay Set Value. Danh sách các truy xuất có thể được kiểm định thể hiện ở hình dưới. Một vài tùy chọn kiểm định chi tiết như sau:
Ÿ Query Value – Kiểm định user hoặc group đang đọc đối tượng.
Ÿ Set Value – Kiểm định user hoặc group đang đợi đối tượng.
Ÿ Create Subkey – Kiểm định user hoặc group đang tạo khóa.
Ÿ Enumerate Subkeys – Kiểm định user hoặc group đang liệt kê danh sách các khóa trong đối tượng.
Hình 3-13
Các tùy chọn này có thể được cấu hình cho cả thành công hoặc thất bại. Do đó, nếu bạn muốn biết người nào thất bại trong cố gắng của họ để đọc SAM, bạn có thể chọn group và kiểm định Query Value Failures.
TASK 3E-2
Logging SAM Registry Access
1. Tạo một tài khoản người dùng thông thường với tên Ordinary và password là o01234567890!!. Nhớ để người dùng bỏ chọn phải thay đổi mật khẩu đăng nhập trước khi bấm vào tạo.Lưu ý,mật khẩu dài là mật khẩu của policy trước.
2. Mở Regedit.
3. Vào HKEY_LOCAL_MACHINE\SAM\SAM.
4. Nhấp chuột phải vào khóa SAM\SAM, và chọn Permissions.
5. Click vào nút Advanced, và chọn Auditing tab.
6. Click Add button.
7. Trong Object Name text box, gõ Ordinary và click OK.
8. Với Query Value, check vào cả 2 Successful và Failed, và click OK.
9. Click OK để đóng bảng điều khiển Advanced trong SAM, và click OK để đóng Permissions trong SAM.
10. Đăng xuất khỏi tài khoản Administrator, và đăng nhập vào Ordinary.
11. Mở Regedit và vào HKEY_LOCAL_MACHINE và cố gắng mở SAM và SAM\SAM subkey.
12. Click OK để đóng thông báo lỗi.
13. Đăng xuất khỏi Ordinary và đăng nhập vào tài khoản Administrator. Bạn sẽ kiểm tra được các sự kiện trước.
Managing the Event Viewer
Trong Event Viewer, bạn sẽ thực hiện các chức năng chính trong việc đọc và quản lý bảng ghi của hệ thống. Bạn cũng có thể sử dụng phần mềm quản lý bảng ghi và gửi các bảng ghi đến kho dữ liệu để xem, nhưng vào thời điểm này bạn sẽ phải làm việc trực tiếp trong Event Viewer.
Event Viewer cung cấp 3 bảng ghi : Application, System và Security. Trong bảng ghi Event Viewer, có 5 loại sự kiện có thể được báo cáo. Đó là Error, Warning, Information, Success Audit và Failure Audit. Bạn có thể thêm các thành phần vào Event Viewer dựa vào các ứng dụng đã cài đặt như DNS như đã thể hiện ở hình 3-14.
Các bảng ghi được liệt kê trong Viewer với hầu hết các sự kiện hiện hành ở phần trên cùng của danh sách. Bạn có thể cần di chuyển lên xuống danh sách để theo dõi tần số của các sự kiện. Bạn cũng có thể sắp xếp theo cột bằng cách click vào bất ký tên của cột nào.
Hình 3-14
Các đối tượng mà bạn chọn để ghi sẽ cung cấp 3 nguồn thông tin chính cho bạn là :
Ÿ Các hành động mà nó thực hiện.
Ÿ Tài khoản người dùng đã thực hiện hành động đó.
Ÿ Thành công hay thất bại của một sự kiện.
Bạn cũng có thể biết được các thông tin như thời gian của sự kiện, tên của các máy tính, địa chỉ IP của các máy tính và nhiều hơn nữa. Trong hình 3-15, bạn có thể thấy một sự kiện với các thông tin sau:
Ÿ Ngày và giờ của sự kiện.
Ÿ Tài khoản người dùng gây ra sự kiện.
Ÿ Sự kiện đó thất bại.
Ÿ Tên của máy tính mà sự kiện đó xảy ra.
Ÿ Tên của đối tượng được kiểm định.
Hình 3-15
TASK 3E-3
Viewing the Registry Audit
1. Mở Event Viewer.
2. Mở Security Log.
3. Trong Failure Event để cố gắng truy cập Registry của bạn. Nếu vì một lý do Failure Event của bạn không hiển thị, hãy xem lại phần khái niệm trước trong ví dụ 1.
4. So sánh những gì bạn có thể xác định từ bản ghi của bạn vào ví dụ trước. Bạn có thể xác định:
a. User Account
b. Date
c. Time
d. Success or Failure
e. Computer Name
f. Object Accessed
5. Khi bạn đã xác định được các mục này, đóng Event Viewer.
Event IDs
Dù ở phần này đề cập cho bạn có danh sách 529 sự kiện, nhưng nó không có nghĩa là tất cả. Bạn nên làm quen với các ID sự kiện chính để bạn có thể nhanh chóng nhận ra điều gì đang xảy ra trong hệ thống của bạn.
Bảng dưới đây liệt kê các ID sự kiện liên quan đến bảo mật phổ biến. Bạn nên làm quen với các ID này vì bạn sẽ thấy nó thường xuyên trong công việc của một chuyên gia bảo mật.
Event ID Mô tả
512 Khởi động thành công hệ điều hành
513 Tắt thành công hệ điều hành
517 Xóa bảng ghi kiểm định thành công
528 Đăng nhập thành công
529 Đăng nhập thất bại do không biết username hay password
530 Đăng nhập thất bại do thời gian đăng nhập bị hạn chế
531 Đăng nhập thất bại do tài khoản đang bị vô hiệu hóa
540 Đăng nhập mạng thành công
624 Tạo tài khoản người dùng mới thành công
626 Kích hoạt tài khoản người dùng thành công
628 Thay đổi mật khẩu tài khoản người dùng thành công
629 Vô hiệu hóa tài khoản người dùng thành công
644 Khóa một tài khoảng người dùng thành công
645 Tạo tài khoản máy tính mới thành công
Bạn có thể tìm thấy các mô tả cho các ID trên mạng ở rất nhiều nơi và từ Microsoft tại trang http://support.microsoft.com
Authentication Logging
Để mang tất cả các tùy chọn trong bảng ghi xuống một chủ thể nhỏ hơn, bạn tập trung vào tiến trình chứng thực. Windows 2003 có thể cung cấp các bảng ghi mở rộng trên tất cả các tiến trình đăng nhập thành công hay thất bại. Điều này sẽ hỗ trợ cho bạn khá tốt khi điều tra các vấn đề bảo mật hay gỡ rối các truy xuất tài khoản.
Bảng sau liệt kê các ID sự kiện có liên quan trực tiếp đến tiến trình chứng thực trong Windows 2003 và nó hoạt động bằng cách chọn các sự kiện đăng nhập thành công hay thất bại trong Audit Policy.
Event ID Mô tả
528 Đăng nhập thành công
529 Đăng nhập thất bại do không biết username hay password
530 Đăng nhập thất bại do thời gian đăng nhập bị hạn chế
531 Đăng nhập thất bại do tài khoản hiện hành đang bị vô hiệu hóa
532 Đăng nhập thất bại do tài khoản đã hết hạn sử dụng
533 Đăng nhập thất bại do tài khoản không được phép đăng nhập tại máy tính
534 Đăng nhập thất bại do tài khoảng không chấp nhận kiểu đăng nhập yêu cầu ở máy tính như tương tác hoặc mạng.
535 Đăng nhập thất bại do mật khẩu của tài khoản đã hết hạn
536 Đăng nhập thất bại do NetLogon không hoạt động
537 Đăng nhập thất bại do lỗi ngoài ý muốn trong suốt quá trình cố gắng đăng nhập
538 Đăng xuất thành công tài khoản
539 Đăng nhập thất bại do tài khoản đang bị khóa.
540 Đăng nhập mạng thành công
Khi bạn xem xét chi tiết của Authentication Log, bạn sẽ tìm thấy Logon Type là một thông tin trong bảng ghi. Có 6 Logon Type khác nhau :
Ÿ Logon Type 2: Interactive
Ÿ Logon Type 3: Network
Ÿ Logon Type 4: Batch
Ÿ Logon Type 5: Service
Ÿ Logon Type 6: Proxy
Ÿ Logon Type 7: Unlock the Workstation
Ngoài ra các Logon Type mà bạn có thể tìm thấy trong bảng ghi, bạn sẽ tìm thấy thông tin gọi là Logon Process. Có 7 loại Logon Process khác nhau, và chúng có nhiều mô tả kỹ thuật hơn trong mục sau. Logon Process là như sau :
Ÿ NtLmSsp hoặc MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 : msv1_0.dll, gói chứng thực mặc định
Ÿ KsecDD – ksecdd.sys, driver thiết bị bảo mật
Ÿ User32 hoặc WinLogon\MSGina – winlogon.exe and msgina.dll, giao diện chứng thực người dùng.
Ÿ SCMgr – Quản lý điều khiển dịch vụ
Ÿ LAN Manager Workstation Service
Ÿ Advapi – API gọi đến LogonUser
Ÿ MS.RADIU – gói chứng thực RADIUS ; một phần của Microsoft Internet Authentication Services(IAS)
Thông thường, ngươì quản trị sẽ chỉ sử dụng các Logon Event như mô tả sau. Bạn có thể thêm Account Logon Events vào Audit Policy của bạn. Nếu bạn thêm tùy chọn này với Success và Failure, bạn sẽ thấy báo cáo Event ID như thể hiện ở bảng sau :
Event ID Mô tả
672 Chấp nhận vé chứng thực thành công
673 Chấp nhận vé dịch vụ thành công
674 Vé chấp nhận làm mới thành công
675 Chuẩn bị chứng thực thất bại
676 Vé chứng thực yêu cầu thất bại
677 Vé dịch vụ yêu cầu thất bại
678 Tài khoản ánh xạ để đăng nhập thành công
679 Tài khoản ánh xạ để đăng nhập thất bại
680 Tài khoản dùng để đăng nhập thành công
681 Đăng nhập tài khoản từ đến máy chủ tênmáy thất bại. Error Code là ErrorCode
682 Phiên kết nối lại với Winstation thành công
683 Ngắt kết nối phiên với Winstation thành công
Chú ý cho ID sự kiện 681, đó là mục gọi là ErrorCode. Mã lỗi cung cấp chi tiết cụ thể ở mức độ cao hơn về một sự kiện. Bảng sau xác định các Error Code và mô tả nguyên nhân đăng nhập thất bại.
Error Code Description
3221225572 Tên đăng nhập cung cấp không tồn tại
3221225578 Tên đăng nhập đúng nhưng mật khẩu sai
3221226036 Tài khoản người dùng đã bị khóa
3221225586 Tài khoản người dùng đã bị vô hiệu hóa
3221225583 Tài khoản người dùng đã đăng nhập quá thời gian cho
phép
3221225584 Tài khoản người dùng đăng nhập tới máy chủ mà họ có
quyền đăng nhập
3221225875 Tài khoản người dùng đã hết hạn
3221225585 Tài khoản người dùng đăng nhập với mật khẩu đã hết
hạn
3221226020 Người dùng đăng nhập tài khoản ở nơi mà người quản
trị chỉ định người dùng phải đổi mật khẩu ở lần đăng nhập sau
TASK 3E-4
Creating Events
1. Mở Event Viewer.
2. Nhấp chuột phải vào Security Log và chọn Clear All Events.
3. Khi bạn được nhắc để lưu các bảng ghi, click No.
4. Đóng Event Viewer.
5. Tạo tài khoản người dụng sử dụng tên đầu của bạn, và mật khẩu là fF1234567890!!. Nhớ bỏ chọn User Must Change Password trong Next Logon.
6. Khóa máy tính, đến khi nào đăng nhập vào tài khoản Administrator.
7. Mở khóa máy tính, sử dụng chứng nhận Administrator.
8. Đăng xuất khỏi tài khoản Administrator.
9. Đăng nhập vào tên tài khoản mới tạo (tên đầu của bạn), sử dụng password sai.Nó sẽ thất bại.
10. Đăng nhập vào tài khoản mới,sử dụng password đúng. Nó sẽ báo thành công.
11. Cố gắng kết nối tới một máy tính khác trong mạng. Điều này nên được như tài khoản người dùng cho sinh viên khác đã không được tạo trên máy tính của bạn.
12. Cố gắng kết nối tới một máy tính khác trong mạng như điều khiển tài khoản administrator với mật khẩu đúng.Nó sẽ báo thành công.
13. Đóng kết nối mạng, và đăng xuất khỏi tài khoản người dùng mới.
14. Đăng nhập trở lại với tài khoản Administrator.
Viewing Event Logs
Bây giờ bạn đã tạo một nhóm các sự kiện để phân tích, bạn sẽ chạy qua tiến trình này. Cố gắng theo dõi tần số các sự kiện mà bạn đã gây ra. Xem sự khác nhau như thế nào giữa cục bộ và mạng trong bảng ghi và xác định các Event ID thật nhanh chóng để phân tích.
TASK 3E-5
Viewing Event Logs
1. Mở Event Viewer.
2. Mở Security Log và kiểm tra bản ghi. Bạn nên có thể xác định ít nhất một trong các cách sau:
a. A successful local logon
b. A successful unlocking of the computer
c. A successful network logon
d. A failed local logon attempt
e. A failed network logon attempt.
3. Xác định Event IDs, Logon Types, và Errow Codes.
4. Đóng Event Viewer.
Managing Log File
Một khi bạn đã quen với các Event ID, bạn sẽ nhận thấy danh sách 529 sự kiện có thể chỉ ra một khả năng tấn công. Tuy nhiên với tất cả các sự kiện xảy ra và tất cả các dự liệu có thể được thu thập, quá trình xem xét và quản lý tập tin bản ghi đơn giản có thể trở nên dài dòng và thậm chí tràn ngập.
Có một số tính năng được xây dựng sẵn trong Event Viewer, nó được thiết kế để giúp bạn làm việc với một khối lượng lớn thông tin thu thập được. Ngoài các chức năng có sẵn trong Event Viewer còn có các ứng dụng thuộc bên thứ 3 được thiết kế để quản lý bảng ghi. Các ứng dụng lọc sự kiện cụ thể, nhóm chúng lại cho dễ dàng và có thể báo cho bạn biết trong trường hợp một tần số sự kiện xác định xảy ra.
Event Viewer Features
Một trong những tính năng dễ thấy nhất của Event Viewer đó là chức năng Search. Thí dụ, bạn có thể tìm thấy tất cả 529 sự kiện sau khi một chính sách mật khẩu mới được thực thi. Bạn cần xác định khối lượng đăng nhập xấu để so sánh với trước khi chính sách được đưa vào. Hoặc bạn có thể nghi ngời một tài khoản người dùng là kẻ tấn công và muốn chỉ tìm 529 sự kiện có liên quan đến tài khoản người dùng này.
Để tìm bất cứ thứ gì ở đây, bạn sẽ sử dụng lệnh View à Find. Với lệnh này bạn có thể tìm các sự kiện trong các mục, bao gầm Event Source, Event ID, User, Computer, Success, Failure, Information, Warning và Error.
Ngoài ra với chức năng Find, bạn có thể sử dụng lệnh View à Filter. Khi kích hoạt chức năng Filter Events bạn nên chọn tiêu chuẩn cụ thể, áp dụng để lọc và chỉ thấy các sự kiện thích hợp với bộ lọc của bạn. Thí dụ, nếu bạn vẫn khẳng định được một tài khoản đang bị tấn công; bạn có thể chọn tài khoản đó như một bộ lọc, và xem tất cả các sự kiện của tài khoản đó trong Security Log.
Khi bạn áp dụng một bộ lọc, toàn bộ dữ liệu bản ghi không thay đổi mà chỉ hiện thi dữ liệu trên màn hình. Bạn có cùng các tùy chon cho việc lọc tồn tại cho bạn khi tìm kiếm. Ngoài các mục tồn tại với lệnh Find, bạn cũng có các tùy chọn xác định các sự kiện đến và đi ở thời gian cụ thể.
Cuối cùng, một tính năng trực tiếp trong Event Viewer là tùy chọn sắp xếp. Cũng như với các ứng dụng Windows khác, bạn có thể sắp xếp theo bất ký cột nào trong Event Viewer để nhóm các sự kiện như xếp theo thời gian hay Event ID. Theo mặc định, Event Viewer hiển thị các sự kiện gần đây nhất trên cùng của danh sách.
Nếu bạn muốn giữ lại bảng ghi để đọc và phân tính sau, cũng có một tùy chọn cho bạn lưu bản ghi. Bạn có thể lưu bảng ghi như một tập tin Event Log (*.evt), một tập tin văn bản (*.txt) hoặc một tập tin CSV (Comm Separated Value or Comma Delimited) (*.csv). Bạn có thể mở các tập tin này sau đó trong Event Viewer hoặc trong kho dữ liệu hoặc một ứng dụng đọc khác.
Third-Party Applications
Với các tính năng được xây dựng sẵn trong Event Viewer, với một số người cho rằng chúng không cung cấp đủ các điều khiển và tuy chọn. Để đáp ứng nhu cầu, có một số ứng dụng thuộc bên thứ 3 làm công việc quản lý Event Log.
Một trong số đó là Event Log Sentry II, bởi Engagent, chủ sở hữu trang www.engagent.com. Công cụ này cho phép bạn quản lý bản ghi của vài máy tính từ một vùng đơn lẻ. Bằng cách sử dụng công cụ này, bạn có thể giám sát các sự kiện trong thời gian thực và có phần mềm giao tiếp với bạn hoặc tạo ra một đáp ứng tự động đến các sự kiện. Công cụ này vẽ ra một đường từ cái nhìn đơn giản Event Log vào lĩnh vực của host dựa trên Intrusion Detection Systems (IDS). IDS là vượt xa phạm vi của khóa học và bao phủ lấy toàn bộ khóa học SCP’s Tactical Perimeter Defense.
Topic 3F
Windows 2003 EFS
EFS (Encrypting File System) cho phép người dùng mã hóa dữ liệu, thông tin cá nhân được lưu trữ trên máy tính nhằm bảo vệ sự riêng tư, tránh người dùng khác khi sử dụng máy tính truy cập một cách cố ý hoặc vô ý. Đặc biệt, EFS thường được sử dụng để bảo vệ những dữ liệu quan trọng, “nhạy cảm” trên những máy tính xách tay hoặc máy tính có nhiều người sử dụng. Cả hai trường hợp trên đều dễ bị tấn công do những hạn chế của ACL (Access Control Lists).
Trên một máy tính dùng chung, kẻ tấn công có thể lấy được quyền truy cập vào hệ thống thông qua việc sử dụng một hệ điều hành khác nếu máy tính được cài đặt nhiều HĐH. Một trường hợp khác với máy tính bị đánh cắp, bằng cách tháo ổ cứng và gắn vào máy tính khác, kẻ tấn công dễ dàng truy cập những tập tin lưu trữ. Sử dụng EFS để mã hóa những tập tin, nội dung hiển thị chỉ là những ký tự vô nghĩa nếu kẻ tấn công không có khóa để giải mã.
Tính năng EFS được tích hợp chặt chẽ với hệ thống tập tin NTFS. Khi mở một tập tin, EFS sẽ thực hiện quá trình giải mã, dữ liệu được đọc từ nơi lưu trữ sau khi so khớp khóa mã hóa tập tin; khi người dùng lưu những thay đổi của tập tin, EFS sẽ mã hóa dữ liệu và ghi chúng vào nơi lưu trữ cần thiết. Với thuật toán mã hóa đối xứng 3DES, quá trình mã hóa và giải mã diễn ra ngầm bên dưới, thậm chí người dùng cũng không nhận ra sự khác biệt khi làm việc với những tập tin được mã hóa.
EFS được kích hoạt cho phép người dùng mã hóa những tập tin trong giới hạn tài khoản của mình (tham khảo thêm thông tin trong bài Sử dụng máy tính với tài khoản thuộc nhóm Users (phần 1) (TGVT A tháng 4/2005, tr.139) mà không chịu ảnh hưởng bởi chính sách quản lý của người quản trị. Tài khoản thuộc các nhóm người dùng đều có thể sử dụng EFS mà không cần đến quyền Administrator, có thể áp dụng trên máy đơn hoặc máy trạm thuộc domain, workgroup.
Dưới góc nhìn của người dùng cuối, việc mã hóa một tập tin rất đơn giản, tương tự việc thiết lập thuộc tính cho tập tin. Việc mã hóa cũng được áp dụng cho thư mục và tất cả tập tin được tạo hoặc thêm vào thư mục này cũng được tự động mã hóa.
Chỉ những người dùng được phép hoặc được chỉ định mới có quyền giải mã những tập tin này. Những tài khoản người dùng khác trong hệ thống; thậm chí có thể chiếm quyền kiểm soát tập tin (Take Ownership Permission) vẫn không thể đọc được nội dung nếu không có khóa truy cập (access key). Ngay cả tài khoản thuộc nhóm Administrators cũng không thể mở tập tin này nếu tài khoản đó không được chỉ định quyền giải mã.
EFS and Users
Một trong những điều mà có thể được cho là tốt-hoặc-xấu của EFS là người dùng có thể sử dụng khi không có quyền admin. Các hệ thống con EFS tự động tạo ra các khoá yêu cầu,nếu người dùng không có một cặp khóa công khai.
Tập tin và thư mục được đánh dấu được mã hóa trên cơ sở mỗi tập tin hoặc mỗi thư mục, đều có một mã số duy nhất. Bởi vì chúng được mã hóa duy nhất, nếu bạn di chuyển một tập tin mã hóa đến một thư mục không được mã hóa trên cùng một phân vùng, các tập tin sẽ vẫn được mã hóa. Nếu bạn sao chép một tập tin mã hóa đến một vị trí cho phép mã hóa, tập tin sẽ vẫn được mã hóa.
Việc sử dụng EFS được thiết kế để được rõ ràng cho người dùng. Điều này có nghĩa rằng người dùng có thể có mã hóa cho phép và không nhận thức được EFS.Miễn là mọi việc suôn sẻ, đây không phải là một vấn đề. Trong những điều kiện không đi suôn sẻ, có phương pháp để khôi phục.
Data Recovery
Như đã đề cập về cách thức EFS mã hóa và giải mã; dữ liệu được EFS mã hóa thường có thêm hai trường thông tin giải mã và khôi phục dữ liệu. Nói một cách đơn giản, ngoài chìa khóa chính, EFS còn cung cấp thêm một (hoặc nhiều) chìa khóa dự phòng - DRA hay RA.
Certificate chứa private key để mã hóa khác với certificate chứa private key để giải mã. Bạn không thể sử dụng certificate mã hóa để giải mã và ngược lại. Để tăng cường tính bảo mật, nên thiết lập password “chắc chắn” cho certificate và lưu giữ ở một nơi an toàn. Để giữ nguyên thuộc tính của dữ liệu, sử dụng Backup Utility (System Tools.Backup) để sao chép, di chuyển những tập tin, thư mục đã mã hóa.
EFS Cryptography
EFS sử dụng kết hợp khóa công khai và khóa mã hóa đối xứng để bảo mật tập tin. Phương pháp mã hóa công khai (public key encryption) sử dụng một cặp khóa public key/private key (thông tin mã hóa bởi public key có thể được giải mã bằng private key)và khóa mã hóa FEK (file encryption key) để mã hóa và giải mã dữ liệu.
Khi người dùng mã hóa một tập tin, EFS tạo ra một FEK để mã hóa dữ liệu; FEK này sẽ được mã hóa với public key sau khi kết thúc “nhiệm vụ” của mình và được lưu giữ trong header của dữ liệu đã mã hóa. Khi cần giải mã, EFS sử dụng private key (ứng với mỗi người dùng) để giải mã FEK và sử dụng FEK để giải mã dữ liệu.
Việc mã hóa và giải mã trong Windows XP có thể sử dụng bằng nhiều cách khác nhau: tùy chọn thuộc tính mã hóa trong Advanced Properties; có thể sao chép tập tin cần mã hóa vào thư mục đã mã hóa hoặc sử dụng dòng lệnh “Cipher.exe” trong cửa sổ DOS – Prompt...
TASK 3F-1
Encryting Files
1. Tại phân vùng NTFS, tạo một text document với tên Mine.txt và một số văn bản ở trong đó.
2. Mở Explorer, và hiển thị thuộc tính của file Mine.txt.
3. Click Advanced, check vào Encrypt Contents To Secure Data, và click twice.
4. Quan sát trình duyệt windows để xác định các thuộc tính điện tử hiện nay.
5. Đóng tất cả các cửa sổ đang mở.
Quá trình mã hóa tập tin của EFS
Mở tập tin cần mã hóa và sao chép tất cả dữ liệu vào một tập tin tạm thời trong thư mục TEMP của hệ thống. Một FEK ngẫu nhiên được tạo ra để mã hóa dữ liệu bằng thuật toán DESX hoặc 3DES (tùy vào việc áp dụng chính sách bảo mật) và FEK này được mã hóa với public key và lưu vào DDF (Data Decrypting Field - vùng dành để giải mã). Nếu sử dụng Recovery Agent (được thiết lập trong Group Policy), DRF (Data Recovery Field - vùng khôi phục dữ liệu) được tạo ra để chứa FEK mã hóa bằng public key của Data Recovery Agent (tác nhân phục hồi dữ liệu). Kết thúc quá trình mã hóa, EFS sẽ ghi những dữ liệu đã mã hóa cùng với DDF và DRF vào tập tin và xóa bỏ tập tin tạm.
Quá trình giải mã tập tin của EFS
Khi ứng dụng cần truy cập một tập tin mã hóa, quá trình giải mã được thực hiện như sau: NTFS sẽ ghi nhận tập tin cần giải mã và gửi yêu cầu đến EFS driver. EFS driver sẽ khôi phục DDF và gửi nó đến EFS service. Với private key của người dùng, EFS service sử dụng chìa khóa này để giải mã DDF nhằm có được FEK và gửi FEK này cho EFS driver. EFS driver sử dụng FEK để giải mã nội dung tập tin mà ứng dụng yêu cầu. Như vậy public key, private key, file encryption key là các yếu tố quan trọng của quá trình mã hóa và giải mã.
Topic 3G
Windown 2003 network security
Trong chủ đề này, bạn sẽ xem xét các tác động của biến bật / tắt các giao thức NetBIOS trên một máy Windown 2003.NetBIOS là viết tắt của Network Basic Input Output System, và là một API cho phép để giải quyết các thiết bị trên mạng, bất kể giao thức tiềm ẩn như IP hoặc IPX.NetBIOS dựa vào SMB
SMB, đó là viết tắt của Server Message Block, là một giao thức chia sẻ tập tin, máy in, cổng nối tiếp, và truyền thông trừu tượng ...
TASK 3G-1
Investigating Printer Spooler Security
1. Trong phân vùng khởi động, tạo folder có tên là Share.
2. Nhấp chuột phải vào folder đó, và chọn Sharing And Security.
3. Click Share This Folder, để lại tên chia sẽ mặc định là Share, và click OK.
4. Từ Start Menu, chọn Printers And Faxes.
5. Nhấp đôi chuột vào Add Printer, click Next.
6. Xác định chọn Local Printer. Bỏ chọn Automatically Detect And Install My Plug And Play Printer. Click Next.
7. Xác định chọn Use The Following Port, để cổng mặc định là LPT1, và click Next.
8. Chọn any printer từ danh sách, và click Next.
9. Rút ngắn tên printer với 4 kí tự đầu tên, và click Next.
10. Cho phép printer được phép chia sẽ, click Next twice.
11. Khi bạn được nhắc nhở để in một trang kiểm tra, click No, và click Next và click Finish.
12. Chọn printer, và chọn FileàServer Properties.
13. Chọn Advanced tab, lưu ý vị trí mặc định của thư mục spool. Nó là \WINDOWS\System32\Spool\PRINTERS.
14. Click OK.
15. Nhấp chuột phải vào printer và chọn Properties.
16. Chọn Advanced tab, và xác minh rằng máy in luôn luôn có sẵn và các tài liệu sẽ được spooled để tăng tốc độ in ấn.
17. Chọn Keep Printed Documents, và click OK.
18. Nhấp đôi chuột vào My Network Places.
19. Nhấp đôi chuột vào Computers Near Me.
20. Nhấp đôi chuột vào printer server of yout partner’s computer.
21. Nhấp đối chuột vào tên printer, và chọn Connect.
22. Khởi động Notepad.
23. Nhập vào dòng text this is a classified document.
24. Lưu tập tin ngoài màn hình desktop với tên TOP_SECRET.txt.
25. Chọn FileàPrint, chọn printer để bạn kết nối, và click Print. Tập tin của bạn sẽ được gởi đến máy chủ print.
26. Thực hiện trên màn hình.
27. Khi thông báo lỗi hiển thị, click Cancel.
28. Đường dẫn đến \WINNT\System32\Spool\PRINTERS folder.
29. Thực hiện nội dung trên thư mục Printers.
30. Nhấp đôi chuột vào tập tin SPL.
31. Khi mở với hộp thoại hiển thị, bỏ chọn Always Use This Program To Open These Files, và chọn Notepad từ bảng danh sách.
32. Cuộc xuống dưới vùng của tập tin. Vào cuối tập tin, sau khi tất cả các ngôn ngữ máy in được đưa về chăm sóc bạn sẽ thấy tên của tập tin và nội dung.
33. Nhấp đôi chuột vào tập tin SHD.
34. Bỏ chọn Always Use This Program To Open These Files, và chọn Notepad từ danh sách. Bạn sẽ thấy người gởi tập tin này từ máy tính.
35. Đóng cả 2 trường hợp của Notepad.
NAT and ICS
Tính đến thời điểm này, tất cả các hệ thống an ninh và các phương pháp bạn đã được sử dụng là hướng tới bảo mật hệ điều hành và dữ liệu trên ổ cứng vật lý. Tất cả các hệ thống bảo mật mà bạn tạo ra ít được sử dụng nếu kẻ tấn công có thể chỉ cần ngửi tất cả các gói tin ra mạng và biên dịch lại cho họ tại giải trí của mình.
Network Address Translation (NAT) là một tiêu chuẩn Internet được xác định trong RFC 1631.NAT được sử dụng mặt nạ là IP riêng với địa chỉ IP của kết nối Internet bên ngoài.Mặc dù NAT không được thiết kế như một cơ chế an ninh, nhiều mạng cần NAT trong các chính sách an ninh của họ để thêm một lớp bổ sung giữa các Internet và mạng nội bộ..
Khách hàng trên mạng nội bộ không bắt buộc phải có một địa chỉ IP công cộng, do đó sẽ bảo tồn các công địa chỉ IP. Các khách hàng nội bộ có thể được cấu hình với một địa chỉ IP từ các khối mạng riêng. Hãy nhớ rằng, địa chỉ IP riêng là những người mà không được định tuyến trên Internet Chúng được định nghĩa bởi RFC 1918, và các dãy địa chỉ được:
Nó được định nghĩa bởi RFC 1918, và các dãy địa chỉ là:
· 10.0.0.0 - 10.255.255.255
· 172.16.0.0 - 172.31.255.255
· 192.168.0.0 -192.168.255.255
Nó cũng đáng chú ý là Microsoft đã sử dụng khoảng khác cho các phạm vi riêng tư 169.254.0.0-169.254.255.255. Cái này giải quyết không được định nghĩa trong RFC nhưng nó cho phép các địa chỉ tư nhân khác được sử dụng trên mạng.
NAT là một phần tích hợp của một định tuyến Dịch vụ truy cập từ xa(RRAS), mà sẽ được giải quyết ngay, cũng như một phần của việc chia sẻ kết nối Internet (ICS). Các phiên bản của NAT được sử dụng bởi ICS được thu nhỏ lại so với phiên bản đầy đủ không cho phép mức độ cấu hình RRAS NAT cho phép ICS được thiết kế cho một văn phòng nhỏ hoặc cho một mạng gia đình, nơi có một kết nối internet mà là để được chia sẻ toàn bộ mạng. Tất cả người dùng kết nối thông qua một giao diện duy nhất, thường kết nối qua một modem, DSL, hoặc điểm truy cập cáp.
Remote Access
Các Windown 2003 Routing và Remote Access Serveci (RRAS) bao gồm:
· Network Address Translation (NAT)
· Giao thức định tuyến (RIP và OSPF)
· Remote Authentication Dial-In Service (RADIUS)
Remote Access Server của RRAS sẽ cho phép cho các kết nốiPPP và có thể được thiết lập để yêu cầu chứng nhận authentication.RRAS có thể được thiết lập để sử dụng Remote Authentication Dial-In Service (RADIUS) hoặc WindowsAuthentication.If RRAS đang sử dụng RADIUS, khi yêu cầu người dùng cho việc chứng thực được thực hiện cho các máy chủRRAS, các dial-in các thông tin được truyền tới máy chủ RADIUS.Các máy chủ RADIUS sau đó thực hiện việc chứng thực và ủy quyền để truy cập cho khách hàng để truy cập vào mạng
Internet Explorer Enhanced Security Configuration
Một điều bạn sẽ nhận thấy ngay lập tức khi sử dụng WindowsServer 2003 là các chức năng của Internet Explorer (IE) khác với phiên bản trước của Windows.IE được cấu hình trong một vùng theo mặc định, và để bạn sử dụng trình duyệt, bạn có thể thấy rằng bạn cần phải thay đổi cấu hình mặc định
Hardening TCP/IP
Các giao thức TCP / IP trong Windows là một trong những thành phần tấn công hầu hết các máy tính cá nhân. Các cuộc tấn công thông thường bao gồm acttacks Demial dịch vụ (DoS) tấn công từ chối dịch vụ phân tán (DDos) tấn công, giả mạo, smurf, và Land attacks... Có một số cấu hình có thể được thực hiện cho các Registry để đảm bảo vững chắc choTCP / IP trong Windows2003. Cấu hình Đây là khuyến cáo của Microsoft, được thiết kế đặc biệt giúp bảo vệ chống lại các cuộc tấn công từ chối dịch.Các thiết lập sau đây có thể được cấu hình trong Registry. Hãy nhớ phải cẩn thận trong Registry, là lỗi trong cấu hình có thể là nguyên nhân.Windows để không có chức năng còn đúng và có thể yêu cầu phải cài đặt lại.Tấ cả cấu hình sau đây, đó là tất cả các giá, được tìm thấy ở Registry:_MACHINE HKEY_LOCAL \ SYSTEM \ CurrentControlSet \Services.
Syn Attack Defense
Nếu ai hiểu về sự nguy hiểm cũng như nguy cơ tiềm ẩn của hệ thống có thể bị tấn công DoS (Denial of service) sẽ có sự chuẩn bị tốt nhất cho hệ thống, giảm tối thiểu các ảnh hưởng của các cuộc tấn công đó là yêu cầu luôn được các nhà quản trị mạng đặt ra. Trong bài viết này tôi giới thiệu cách hạn chế các tấn công DoS trong hệ thống Windows Server 2003.
Trước tiên bạn phải cập nhật bản vá lỗi mới nhất từ Microsoft và chắc chắn không còn bản vá lỗi nào chưa được cài đặt. Các thông tin về các bản update có trên website Và việc harden (làm rắn – đảm bảo vững chắc) cho giao thức TCP/IP trên máy chủ Windows Server 2003 là việc cần làm với nhà quản trị mạng. Với mặc định các cấu hình trong TCP/IP được thiết lập chuẩn cho việc trao đổi thông tin một cách thuận tiện. Nếu máy tính của bạn kết nối chực tiếp với Internet thì theo khuyến cáo của Microsoft bạn nên đảm bảo giao thức TCP/IP được cấu hình để hạn chế các cuộc tấn công DoS.
Cấu hình các tham số TCP/IP trong Registry nhằm đảm bảo Harden cho TCP/IP
Một số lỗi có thể sẽ sảy ra khi bạn chỉnh sửa các thông số trong registry bằng việc sử dụng Registry Editor hoặc bằng một phương pháp nào khác. Một số lỗi xảy ra có thể buộc bạn phải cài lại hệ điều hành. Microsoft không thể cam đoan là tất cả các lỗi đều có thể khắc phục được. Việc chỉnh sửa registry là một nguy cơ rất lớn.
Một số lỗi có thể sẽ sảy ra khi bạn chỉnh sửa các thông số trong registry bằng việc sử dụng Registry Editor hoặc bằng một phương pháp nào khác. Một số lỗi xảy ra có thể buộc bạn phải cài lại hệ điều hành. Microsoft không thể cam đoan là tất cả các lỗi đều có thể khắc phục được. Việc chỉnh sửa registry là một nguy cơ rất lớn.
Dưới đây là các thông số của TCP/IP trong registry và bạn có thể cấu hình để nâng cao tính vững chắc cho giao thức TCP/IP khi máy tính của bạn kết nối trực tiếp tới Internet. Tất cả các thông số của nó trong registry được lưu tại.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
· Value name: SynAttackProtect
· Key: Tcpip\Parameters
· Value Type: REG_DWORD
· Valid Range: 0,1
· Default: 0
Các thông số trong TCP có thể là truyền lại các gói tin trong dạng SYN-ACKS. Khi bạn cấu hình thông số này, các kết nối sẽ nhanh trong bị time out hơn trong các vụ tấn công SYN (là một dạng tấn công DoS).
Dưới đây là vài thông số bạn có thể sử dụng để thiết lập trong Registry
0 (tham số mặc định): Không bảo vệ trước các cuộc tấn công SYN
1: Thiết lập SynAttackProtect là 1 sẽ tốt hơn và nó sẽ bảo vệ hệ thống trước các cuộc tấn công SYN. Tham số này có nghĩa, nếu là 0 thì hệ thống sẽ truyền lại thông tin SYN-ACKS. Nếu bạn thiết lập tham số là 1, khi một kết nối sẽ có kết quả time out nhanh hơn nếu như hệ thống phát hiện thấy tấn công SYN. Windows sử dụng các tham số sau để hạn chế các vụ tấn công.
· TcpMaxPortsExhausted
· TCPMaxHalfOpen
· TCPMaxHalfOpenRetried
Lưu ý là trong phiên bản Windows Server 2003 Service Pack 1 tham số trong SynAttackProtect với mặc định là 1
Dead Gateway
Nhiều cổng có thể được cấu hình trong các thiết lập TCP / IP.Youcó thể, tuy nhiên vô hiệu hóa chức năng này, vì một từ chối dịch vụ(hoặc khác) tấn công có thể gây ra máy tính của bạn để chuyển đổi cổng.Các chi tiết cụ thể cho việc này được định nghĩa như sau:
· Value Name:DeadGWDetectDefault
· Key:Tcpip\Parameters
· Value Range:REG_DWORD
· Valid Range:0(False),1 (True)
· Default Value:1 (True)
Khi bạn thiết lập EnableDeadGWDetect là 1, TCP sẽ cho phép thực hiện việc phát hiện ra dead-gateway. Khi dead-gateway được phát hiện là enable, TCP có thể sẽ truy vấn đến giao thức IP để thay đổi gateway. Việc sử dụng backup gateway được định nghĩa trong tab Advanced tại TCP/IP configuration.
Microsoft khuyến cáo bạn thiết lập tham số trong EnableDeadGWDetect là 0. Nếu bạn không thiết lập là 0, một tấn công có thể sảy ra và hướng máy chủ qua một gatewary khác, và có thể các gói tin từ đó sẽ bị tóm hay làm gì đó khi các dữ liệu chạy qua gateway của kẻ tấn công.
MTU Restrictions
Những kẻ tấn công có thể sử dụng tối đa để truyền đơn vị lực lượng mạng lưới để sử dụng các phân đoạn rất nhỏ. Bằng cách sử dụng Path MTU Discovery, TCP sẽ cố gắng để xác định kích thước gói lớn nhất mà một con đường dẫn tới một máy chủ từ xa sẽ đáp ứng. Ngược lại, khi được sử dụng không đúng cách, mạngcó thể bị ngập với các phân đoạn nhỏ.Các chi tiết cụ thể để điều chỉnh giá trị này được xác định như sau:
· Value Name:EnablePMTUDiscovery
· Key:Tcpip\Parameters
· Valid Range:0(False),1 (True)
· Default Value:1 (True)
Khi bạn thiết lập EnablePMTUDiscovery là 1, TCP sẽ cố gắng khám phá Maximum Transmission Unit (MTU) hay một gói tin lớn từ những người dùng từ xa. Gói tin TCP có thể bị vỡ khi chúng đi qua cac Routers để kết nối vào hệ thống mạng với MTUs khác bằng việc khám phá ra đường của MTU và giới hạn kích cỡ các gói TCP.
Microsoft khuyến cáo bạn thiết lập EnablePMTUDiscovery là 0. Khi bạn thực hiện việc này, một MTU với kích thước là 576 sẽ được sử dụng trong tất cả các kết nối. Nếu bạn không thiết lập thông số này là 0 một tấn công dựa trên các thông số MTU từ các kết nối có thể sẽ ảnh hưởng đến hệ thống của bạn.
Keep Alive
TCP mặc định hành vi trong Windows không xác minh các kết nốinhàn rỗi. Đó là khuyến cáo rằng những kết nối này được xác nhận(bằng cách sử dụng phần mềm của bên thứ ba, nếu cần thiết) chosẵn có bằng cách gửi một gói tin giữ-sống và chờ đợi phản hồi.Nếu không có phản ứng, sau đó kết nối nhàn rỗi có thể bị đóng cửa Các chi tiết cụ thể để điều chỉnh giá trị này được xác định như sau:
· Value Name:KeepAliveTime
· Key:Tcpip\Parameters
· Value Range:REG_DWORD (Giá trị này được tính bằng mili giây)
· Valid Range:1-0xFFFFFFFF
· Default Value:7,200,000 (2 giờ)
Tham số này điều khiển: việc TCP cố gắng kiểm tra một kết nối, và dữ gói tin chưa bị chết. Nếu máy tính từ xa được kết nối, nó sẽ được lưu lại các gói tin đã bị thất lạc. Keep-alive sẽ không gửi (với thiết lập mặc định). Bạn có thể sử dụng một chương trình để cấu hình các thông số cho một kết nối. Khuyên cáo từ nhà sản xuất thiết lập là 300,000 (5 phút).
TASK 3G-2
Configuring TCP/IP in the Registry
1. Mở Registry Editor.
2. Vào HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.
3. Mở key Tcpip\Parameters.
4. Ở bảng bên phải, nhấp chuột phải và thêm giá trị REG_DWORD sau đây:
a. SynAttackProtect
b. EnablePMTUDiscovery
c. KeepAliveTime
5. Nhấp đôi chuột vào SynAttackProtect, và nhập giá trị 2.
6. Nhấp đôi chuột vào EnablePMTUDiscovery, và nhập giá trị 0.
7. Nhấp đôi chuột vào KeepAliveTime, và nhập giá trị thập phân 300,000. Trong kí hiệu thập phân nó là 493E0.
8. Đóng Registry Editor.
TCP/IP Filtering
Một tính năng được xây dựng trong Windows 2003 bạn có thể thêm vào phương pháp của bạn một lớp bảo vệ là TCP / IP lọc được kiểm soát truy cập mạng trong nước cho một host. Lọc TCP / IP độc lập của các quá trình khác, chẳng hạn như IPSec, và các dịch vụ khác, chẳng hạn như máy chủ và máy trạm dịch vụ. Để đi truy cập, bạn cần phải thực hiện định tuyến và truy cập từ xa các bộ lọc
Khi bạn cấu hình lọc, bạn có tùy chọn để kiểm soát truy cập vào cổng TCP, đến cổng UDP, và giao thức IP cụ thể. Mỗi điểm truy cập được điều khiển bởi các giá trị số. Nói cách khác, bạn kiểm soát truy cập cảng bởi số cổng, chẳng hạn như 80 cho cá nhân truy cập Để kiểm soát toàn bộ một giao thức,. sử dụng số giao thức IP. Các bảng danh sách sau đây, để tham khảo nhanh chóng, một số thông số giao thức IP để sử dụng trong bộ lọc .
Protocol Number Protocol Acronym Full Name of Protocol
1 IP Internet Protocol
6 TCP Transmission Control Protocol
17 UDP User Datagram Protocol
Khi bạn kích hoạt giao thức TCP / IP lọc trên một giao diện, nó được kích hoạt trên giao diện tất cả Tuy nhiên, bạn phải cấu hình các bộ lọc cụ thể trên cơ sở mỗi giao diện. Khi bạn cấu hình các bộ lọc, tùy chọn là để cho phép tất cả các cổng ,các cổng đó sẽ được cho phép. Hãy nhớ rằng đây là cấu hình các cảng trong nước-không gửi đi. Hệ thống không sẽ lọc các yêu cầu bắt đầu để lưu trữ, vì vậy bạn sẽ không cần phải mở cổng cao đối với phản hồi của mạng.
Cuối cùng, nếu bạn muốn lọc các giao thức, ý thức được rằng bạn không thể chặn ICMP tin nhắn này là trường hợp,. ngay cả khi bạn loại trừ giao thức IP 1 từ danh sách các giao thức được cho phép. Một cách đơn giản để ngăn chặn lưu thông TCP, ví dụ, là việc chọn những tùy chọn để lọc các cổng TCP, nhưng không thêmbất kỳ cổng vào danh sách được cho phép.
TASK 3G-3
Configuring Port and Protocol Filtering
1. Điều hướng đến các thuộc tính giao diện mạng của bạn.
2. Di chuyển và chọn Internet Protocol (TCP/IP), và click Properties.
3. Click nút Advanced.
4. Hiển thị Options tab.
5. Chọn TCP/IP Filtering và click Properties.
6. Check Enable TCP/IP Filtering.
7. Chỉ cho phép các cổng TCP sau: 20,21,23,25,80,110 và 443.
8. Chỉ cho phép các giao thức sau: 6 và 17.
9. Click OK để thực hiện sàng lọc của bạn.
10. Click OK để đóng Advanced TCP/IP Properties.
11. Click OK, và click Close để đóng TCP/IP và Interface Properties.
12. Khi bạn được nhắc khởi động lại máy chủ, click No. Thực hiện đầy đủ những thay đổi của bạn, bạn sẽ phải khởi động lại máy chủ, tuy nhiên, mục đích của lớp này, chúng ta cần phải có tất cả các cổng và giao thức có sẵn.
13. Quay trở lại và trở lại các thiết lập lọc để giúp cho phần còn lại của nhiệm vụ chức năng không có giới hạn.
14. Thời gian này, khởi động lại máy tính của bạn khi bạn được nhắc đến. Sau đó, đăng nhập vào tài khoản Administrator và xác định các thiết lập TCP/IP đúng chưa.
15. Đóng tất cả các cửa sổ đang mở.
Windows Firewall
Trong khi bạn cần phải có một tường lửa chạy trong mạng của bạn, bạn có thể muốn xem xét việc sử dụng các phần mềm tường lửa địa phương trên các máy chủ của bạncó nhiều nhà cung cấp sản phẩm có sẵn để sử dụng,. và trong phần này, bạn sẽ nhìn vào Windows Firewall giải pháp mà là một phần của Server 2003. Đơn giản chỉ cần gọi là Windows Firewall, điều này thay thế các sản phẩm bảo mật lớn hơn, và ít hiệu quả,Internet Connection Firewall. Các tường lửa cùng được tìm thấy trên Windows Server 2003.
Để chạy Windows Firewall trên máy chủ của bạn, bạn sẽ cần phảikích hoạt Windows Firewall/Dịch vụ ICS. Một khi bạn kích hoạt dịch vụ, tuy nhiên, các bức tường lửa không tự động chạy, bạn vẫn phải quay về tường lửa.
TASK 3G-4
Enabling Windows Firewall
1. Từ Start Menu, chọn Control PanelàWindows Firewall.
2. Bạn phải kích hoạt Windows Firewall/ICS service, click Yes.
3. Chọn nút radio On. Bạn có thể kích hoạt Windows Firewall ngay bây giờ.
4. Click OK.
TASK 3G-5
Configuring Windows Firewall
1. Từ Start Menu, chọn Control PanelàWindows Firewall.
2. Mở Windows Firewall, và mở command prompt.
3. Trong command prompt, ping máy tính trong mạng. Lưu ý, dù không ping thành công. Rời khỏi command prompt.
4. Chuyển tiếp tới Advanced tab, và click nút Setting tới ICMP.
5. Chuyển tiếp tới Windows Firewall ICMP Settings.
6. Check vào check box kế tiếp: Cho phép đến yêu cầu echo và click OK.
7. Chuyển tiếp tới command prompt, và xác minh rằng máy trong mạng đã hoàn thành bước 6.
8. Trong command prompt, Ping máy tính trong mạng của bạn.
9. Đóng tất cả các cửa sổ đang mở.
TASK 3G-6
Configure Server 2003
1. Từ Start Menu, chọn Administrative ToolsàLocal Security Policy.
2. Mở Account Policies, Password Policy.
3. Thiết lập các tùy chọn sau đây:
● Enfore password history: 0
● Maximum Password age: 0
● Minimum password age: 0
● Minimum password length: 0
● Password must meet complexity requirements: Disable
4. Đóng local Security policy.
5. Từ Start Menu, chọn Control PanelàWindows Firewall.
6. Chọn nút tắt radio, và click OK.
7. Mở Computer Management, và chọn Local Users And Groups option.
8. Nhấp chuột phải vào tài khoản Administrator, và chọn Delete. Chọn Yes để cảnh báo kịp thời.
9. Nhấp chuột phải vào tài khoản scnpXXX, và chọn Rename.
10. Nhập Administrator với tên tài khoản mới.
11. Đóng cửa sổ Computer Management.
12. Đăng xuất khỏi Windows hiện tại.
13. Đăng nhập trở lại Administrator. Nhớ mật khẩu của bạn là aA1234!.
14. Nhấn Cntrl+Alt+Del và thay đổi mật khẩu.
15. Thay đổi tài khoản Administrator sang Administrator2 và đổi tên tài khoản SCNP001 sang Administrator. Với mật khẩu cũ, gõ aA1234! và để trống cả 2 New Password và Confirm Password, và click OK.
16. Click OK để thay đổi mật khẩu thành công, và click Cancel.
17. Đăng xuất và đăng nhập Administrator với không có mật khẩu để đảm bảo những thay đổi diễn ra.
Đăng ký:
Bài đăng (Atom)