Chương 11 : Win server 2k3 1

Topic 3A

Windows 2003 Infrastructure Security

Server Roles

Sự khác biệt quan trọng giữa Windows Server 2000 với Windows Server 2003 là Server Roles. Server Roles chủ yếu được cấu hình thiết lập cho một tác vụ cụ thể hay một nhóm các tác vụ. Khi kích hoạt Server Roles cụ thể, bạn có thể cấu hình Windows cho tác vụ đó, và kết quả là bạn đã tăng cường bảo mật vì chỉ dùng tài nguyên yêu cầu cho tác vụ đó.

Có 12 Server Roles khác nhau trong Windows Server 2003 RC1:

·         Application Server (IIS, ASP.NET)

·         DHCP Server

·         DNS Server

·         Domain Controller (Active Directory)

·         File Server

·         Mail Server (POP3, SMTP)

·         Print Server

·         Remote Access / VPN Server

·         SharePoint Services Server

·         Streaming Media Server

·         Terminal Services Server

·         WINS Server

Application Server (IIS, ASP.NET)

Application server cung cấp những dịch vụ ứng dụng quan trọng trong mạng ví dụ như database (MySQL, SQL Server), Web, FPT server. Với application server, ta cấu hình chung cho các host biết nơi thật sự lưu trữ file, @wthat is, database hay website, trên second hard drive.

DHCP Server

DHCP cung cấp một dịch vụ tuy đơn giản nhưng quan trọng để quản lý cấp phát địa chỉ IP trong mạng. Trong Active Directory network, bạn phải chứng thực DHCP Server vào Active Directory. Phải cẩn thận khi cấu hình DHCP Server để cho hệ thống không cấp phát IP cho các client trái phép.

DNS Server

Khi Active Directory là xương xống của Windows 2003, Active Directory tin tưởng vào DNS, DNS Server trở thành 1 phần quan trong trong tổng thể mạng.

Thường xuyên có những đợt tấn công và DNS, vì vậy, cấu hình riêng biệt cho Server rất quan trọng. Phương thức tăng cường DNS sẽ được nói trong phần sau (phần WWW and Internet Securiy Lession).

Domain Controller (Active Directory)

Từ phiên bản Windows 2000, thay đổi có ý nghĩa nhất là Active Directory và duy trì tiếp trong Windows Server 2003. Active Directory là dịch vụ mà nội bộ mạng tin tưởng vào nó, và Domain Controller thành 1 phần của cơ cấu điểu khiển Active Directory

File Server

File Server có vai trò minh bạch hơn so với các server khác. Tuy nhiên, do tính đơn giản, làm việc quản trị không chặt chẽ, file ko an toàn. Trong server này, tính xác thực là then chốt trong việc kiểm soát truy cập file và folder.

Mail Server (POP3, SMTP)

Mail Server nên chia thành 1 server riêng. Mail Server cũng giống như DNS là mục tiêu thường xuyên của attacker. Vì thế nên tối thiểu vai trò và dịch vụ chạy trên máy này.

Print Server

Thường ko được chú ý, Print Server cũng khá quan trọng. Hồ sở cần được bảo mật nhất có thể tới được mọi người trong công ty vì vẫn còn trong hàng đợi của Print Server khi ko được tăng cường bảo mật.

Remote Access / VPN Server

Vai trò của Remote Access / VPN Server phải được dùng thật cẩn thận. Server này điểu khiển client bằng truy cập trực tiếp vào mạng. Chứng thực ở đây là then chốt, bạn phải đảm bảo chỉ có các client đã được chứng thực mới có khả năng kết nối vào mạng. Nếu bạn muốn dùng server role này, phải tùy chỉnh chứng thực ở mức độ cao cho các client.

SharePoint Services Server

SharePoint là dịch vụ mới mà Microft đưa ra. SharePoint là dịch vụ hợp tác, để người sử dụng ở nhiều vị trí khác nhau có thể truy cập và làm việc trên cùng dự án với nhau. Với từng vai trò của từng người tại những vị trí khác nhau, việc chứng thực cũng rất quan trọng trong việc bảo mật của server role này.

Streaming Media Server

The streaming media server cung cấp dịch vụ streaming dành cho audio và video cho các máy client hay cho các nhân viên trong 1 tổ chức. Bạn có thể dùng streaming media server với nhiều mục đích, ví dụ 1 trường hợp dịch vụ remote-access, việc chứng thực ở phía clients là chủ yếu. Nếu bạn dự tính dùng dịch vụ đa phương tiện của Microsoft qua tường lửa, bạn phải cấu hình với port khác (mặc dù dịch vụ này có thể cấu hình với port 80).

Để unicast streaming qua Microsoft's Multimedia Messaging Services mms, bạn cần dùng những port mặc định sau:

·         TCP - 1755 (Inbound và Outbound)

·         UDP - 1755 (Inbound và Outbound)

·         UDP - 1024-5000 (Outbound). Server và remote client sẽ đàm phán port sẽ được dùng trong suốt phiên hoạt động.

Terminal Services Server

Các dịch vụ đầu cuối cung cấp thách thức duy nhất để bảo mật thật chuyên nghiệp. Những dịch vụ này cho phép khách hàng từ xa kết nối vào server và ko chỉ truy cập file mà còn thực thi lệnh và truy cập vào tài nguyên mạng. Khi các chức năng này được hoạt động, ví dụ như trường hợp điều khiển truy cập từ xa với server khác, việc kiểm soát xem ai có quyền truy cập vào máy này là tuyệt đối quan trọng. Một trạm server bị hỏng sẽ ngay lập tức gây hại cho tổ chức.

WINS Server

Windows Internet Name Service (WINS) khi Service này được triển khai trong mạng Local Area Network nó sẽ phục vụ các Computer trong Network giải quyết để tìm NetBIOS names lẫn nhau, và một Computer A trong Network này có thể thông qua WINS server để giải quyết được NetBIOS name của Computer B ở một Network khác (tất nhiên hệ thống WINS thông thường chỉ được dùng để giải quyết tên Netbios names trong Nội bộ Network của Tổ chức, tránh nhầm lẫn với cách giải quyết hostname của DNS server- có khả năng giải quyết tên dạng FQDN  của Internet hoặc Internal Network Domain.)

Các Computer trong Internal Network sẽ được cấu hình với vai trò WINS Clients, sẽ đăng kí tên của mình (Netbios hay là tên Computer names) với WINS server. WINS clients cũng có thể gửi các yêu cầu truy vấn tên đến WINS server để giải quyết Name thành IP addresses. Nếu trong Nội bộ Network không có WINS Server, thì Windows clients sẽ gửi các message dạng Broadcast để tìm Netbios name của Computer muốn giao tiếp.

Tuy nhiên, nếu các Computer này nằm tại một Network khác (với Network ID khác) thí các Broadcast này sẽ bị ngăn chặn (chức năng ngăn chặn broadcast là mặc định trên các Router). 
Lúc này, chúng ta có thể bố trí các máy WINS Server ở các Network khác nhau, sau đó mô tả chúng là các Replication Partners của nhau.

Từ lập trường về bảo mật, WINS đã ko còn được dùng. Khi Active Directory được thiết kế để hoạt động với DNS và dynamic DNS (DDNS) tiện lợi hơn khi dùng, WINS đã bị giảm thiểu. Tuy nhiên, nếu môi trường cần WINS, bạn vẫn có thể dùng server role này. Khi dùng WINS, bạn nên cấu hình mạng để giảm tối đa NetBIOS broadcast và giới hạn trao đổi giữa các client này.

Windows 2003 Infrastructure Security

Trong nhiều năm, Windows NT 4.0 đáp ứng thị trường rất tốt. Nó cung cấp 1 nền tảng rộng cho công việc kinh doanh và được phổ biến rộng rãi. Tuy nhiên, đó chỉ là khởi đầu cho thời đại công nghệ, và Microsoft cần phải đổi mới Windows Server. Nhưng Windows Server 2003 có gì mới để chuyển sang sử dụng?

Với 1 cách tiếp cận hoàn toàn khác để quản lý mạng, Windows Server 2003 có nhiều thành phần mới để người quản trị tiện lợi hơn khi dùng. Trong chủ đề này, ta sẽ khảo sát những thành phần mới và tìm hiểu làm thế nào mà Windows Server 2003 tăng cường bảo mật và các nguồn tài nguyên trong mạng.

Trong Windows 2003, nếu bạn đặt nhiều máy tính trong cùng 1 nhóm logic, và chia sẻ nguồn tài nguyên với nhau, bạn phải tạo workgroup. Workgroup thường liên quan đến mạng chia sẻ ngang hàng vì mọi máy đều giống nhau. Trong 1 workgroup có thể có 1 server; nói đơn giản thì đó là stand-alone server. Trong trường hợp này, ko có cơ chế kiểm soát bảo mật mạng, và từng máy sử dụng cơ sở dữ liệu bảo mật cục bộ riêng để kiểm soát truy cập tài nguyên.

Trong Windows 2003, cơ sở dữ liệu cục bộ là danh sách tài khoản người dùng và dữ liệu, vị trí để truy cập tài nguyên trên từng máy cục bộ. Vì thế, nếu chia sẻ cho 20 người dùng Windows 2003, phải có 20 cơ sở dữ liệu cục bộ tương ứng. Công việc này ko hiệu quả cho người quản trị để quản lý tài nguyên và bảo mật.

Cải tiến lớn trong thiết kế mạng với Windows 2003 là mô hình domain. Nhiều mô hình domain của Windows NT giờ không còn sử dụng. Với thiết kế này, các máy tính được nhóm chung nhưng kiểm soát khác nhau.

Trong Windows 2003 domain, ta phải nhóm computers và users cùng chia sẻ thư mục cơ sở dữ liệu trung tâm. Thư mục cơ sở dữ liệu này chứa đựng user account, thông tin bảo mật, thông tin dịch vụ, và nhiều thứ khác cho toàn bộ domain. Để truy cập vào thư mục này phải dựa vào LDAP. Thư mục cơ sở dữ liệu này và phương thức để truy cập vào nó được gọi là Active Directory (AD) và cũng được gọi là dịch vụ chỉ mục Windows 2003 (NTDS).

Giao thức LDAP (Lightweight Directory Access Protocol)
LDAP là một chuẩn giao thức truy cập thư mục đơn giản, hay là một ngôn ngữ để client và severs sử dụng để giao tiếp với nhau.
LDAP là một giao thức “lightweight ” có nghĩa là đây là một giao thức có tính hiệu quả, đơn giản và dễ dàng để cài đặt. trong khi chúng sử dụng các hàm ở mức cao. Điều này trái ngược với giao thức “heavyweight” như là giao thức truy cập thư mục X.500 (DAP) sử dụng các phương thức mã hoá quá phức tạp. LDAP sử dụng các tập các phương thức đơn giản và là một giao thức thuộc tầng ứng dụng.

Active Directory là một hệ thống chuẩn và tập trung, dùng để tự động hóa việc quản lý mạng dữ liệu người dùng, bảo mật và các nguồn tài nguyên được phân phối, cho phép tương tác với các thư mục khác. Thêm vào đó, Active Directory được thiết kế đặc biệt cho các môi trường kết nối mạng được phân bổ theo một kiểu nào đó.

Mô hình domain của Windows 2003 được quản trị bởi AD, nó thay thế cho tất cả mô hình domain của Windows NT 4.0. Trong AD, không có máy tính nào được thiết kế là Primary hay Backup Domain Controller. Thay vào đó, từng máy server mà tham gia vào việc quản lý domain được gọi là Domain Controller và nó chứa bản sao chép tổng thể của thư mục cơ sở dữ liệu. (Domain Controller phải chạy Windows Server 2003.)

Windows 2003 domain ko bị ràng buộc bởi vị trí hay cấu hình mạng. Các máy tính với cùng domain có thể gần nhau như trong mạng LAN (kết nối theo Ethernet truyền thống) hay xa nhau hơn theo mạng WAN (kết nối theo T1, E1, hay một vài công nghệ WAN khác).

Active Directory là 1 danh sách thông tin cơ sở dữ liệu cho từng đối tượng có trong domain. Những thông tin này cho biết những đối tượng này sẽ tương tác với những đối tượng khác ra sao.

Khi dùng Active Directory trong Windows 2003, trong danh sách này có thể bao gồm thông tin về user accounts, groups, computers, servers, printers, chính sách bảo mật (security policies), và nhiều thông tin khác. Active Directory khởi đầu với 1 số ít các đối tượng và có thể phát triển đến hàng hàng triệu đối tượng trong danh sách.

Một thành phần quan trọng của Windows 2003 là DNS. Lý do DNS quan trọng là tùy vào AD. Active Directory tin tưởng vào DNS cung cấp naming information được yêu cầu tới vị trí tài nguyên trong mạng.

Ngoài những thông tin được đề cập ở bài trước, AD nắm giữ những thông tin về access control. Khi người dùng đăng nhập vào mạng, người đó phải được chứng thực bằng những thông tin có trong Active Directory. Khi một người dùng cố gắng truy cập vào đối tượng, thông tin yêu cầu để chứng thực truy cập được lưu trữ trong Active Directory và đươc gọi là Discretionary Access Control List (DACL).

Các đối tượng trong Active Directory có thể được sắp đặt thành các class. Class đại diện cho 1 nhóm các đối tượng logic đã được người quản trị suy xét. Lớp đối tượng đó bao gồm user acounts, computers, domains, groups, và Organizational Units (OUs). Bạn cũng có khả năng tạo container chứa các đối tượng khác. 1 container là 1 đối tượng mà có thể chứa computers, users, hay các đối tượng khác.

Active Directory Components

Trong Windows 2003 có một vài thành phần then chốt hoàn thành nên Active Directory. Các thành phần mang tính logic và không có ranh giới là domains, forests, trees, và OUs. Các thành phần của AD mang tính vật lý là domain controller và sites. Các chức năng của AD phân biệt cấu trúc vật lý từ cấu trúc mạng logic.

Active Directory Logical Structure

Một lợi ích của Active Directory là khả năng xây dựng mạng logic phản chiếu từ cấu trúc logic của tổ chức đó. Cấu trúc logic này trực quan với người sử dụng, và người đó có thể tìm và xác định các tài nguyên bằng tên logic mà ko cần kiến thức xắp đặt vật lý trong mạng.

Thành phần chính đằng sau cấu trúc của Active Directory là domain. Một Windows 2003 AD domain bao gồm ít nhất 1 domain và không giới hạn. Microsof đã đặt các đối tượng lưu trữ trong domain rất thú vị. Những đối tượng này được định nghĩa giống với các đối tượng mà người dùng cần khi làm công việc của họ. Ví dụ về những đối tượng này là printers, databases, mail addresses, other users v.v... Từng domain giữ những thông tin về tất cả đối tượng trong domain và chỉ những đối tượng thuộc về domain đó. Những domain cho phép nối 1 hay nhiều vị trí vật lý với nhau.

Hình 3-1: Ví dụ về mô hình logic mạng của Windows 2003 Active Diretory

Domain được dùng như 1 ranh giới để kiểm soát bảo mật tại nơi đó. Access Control List (ACL) được dùng để điều chỉnh truy cập xác định đến các đối tượng domain, như là shared folder, để quy định người sử dụng. ACL chứa đựng quyền cho phép hay chặn truy cập 1 đối tượng nào đó, ví dụ như người dùng hay nhóm, hoặc 1 đối tượng khác ví dụ như file, folder, hay printer.

Trong domain có OUs. OU là nơi chứa mang tính logic được dùng để phản chiếu thêm cho cấu trúc logic của tổ chức. OU có thể chứa uers, groups, shared folder và printer, và các OU khác trong cùng domain. Mọi domain trong mạng cần phải có một cấu hình OU duy nhất, không phụ thuộc vào domain khác.

Các chính sách bảo mật và các chính sách liên quan đến cách hành xử của computer và user (Group Policies) có thể được chỉ định cho một stand-alone computer, a site, a domain, hay an OU thích hợp. Có thể chỉ định cách chính sách cho từng OU mà bạn ko cần phải làm. Nếu muốn dùng 1 chính sách dùng cho tất cả OUs trong mạng, bạn có thể chỉ định chính sách đó cho parent OUs hay cho domain, vì cách hành xử mặc định cho phép các đối tượng con kế thừa cách chính sách từ các đối tượng cha ở trong Active Directory. Một mục quan trọng khác cần chú ý là chính những Group Policy là đối tượng trong AD; ngoài ra, các quyền thi hành có thể được cấp cho GP. Để chính sách có hiệu lực với 1 đối tượng, đối tượng đó phải có quyền tối thiểu là Read và quyền Apply Group Policy cho chính sách đó.

Một khái niệm mới trong Windows 2003 là forests và trees. Một tree là một cấu trúc logic, tạo bởi nhóm thiết kế mạng, của 1 hay nhiều Windows 2000 domain chia sẻ cùng 1 namespace. Các Domain được liến kết với nhau theo cấu trúc phân tầng và theo chuẩn đặt tên DNS. Trong hình 3-3, những domain con của SecuritySertified.Net dùng tên cha của nó trong cấu trúc tên.

SecurityCertified.Net

UK.SecurityCertified.Net

US.SecurityCertified.Net

IL.US.SecurityCertified.Net

Domain

Domain

Domain

Domain

 

Hình 3-3: Một domain tree của Windows 2003 dùng chuẩn đặt tên DNS

Trong cấu trúc Windows 2003 Active Directory, một forest là tập hợp của một hay nhiều domain tree độc lập. Những tree độc lập này liên kết trust với nhau. Từng tree trong forest duy trì hệ thống đặt tên DNS riêng, và không yêu cầu bất cứ namespace tương tự nào từ 1 tree khác. Từng domain có chức năng riêng của nó, nhưng kết nối logic của forest cho phép truyền thông trên toàn doanh nghiệp. Cơ cấu của Windows Server 2003 (.NET) phải thêm 1 bước nữa: thực hiện tin cậy giữa 2 forest để tọa liên đoàn.

Việc thực hiện trust trong Windows 2003 Active Directory khá khác so với Windows NT 4.0. Trong Windows 2003, tất cả trust giữa 2 domain mặc định có 2 chiều transitive trust. Trust dựa trên Kerberos version 5 là tự động tạo trust khi một domain mới được thêm vào tree. Domain khởi nguồn của tree được gọi là root domain, và các domain sau đó ở trạng thái 2 chiều transitive trust nối với tree. Đó là do trust nên các user và computers từ domain nào đó có thể được chứng thực tại tại bất kỳ domain trong tree hay forest. (Việc chứng thực dựa vào việc thiết lập quyền riêng).

Note: một transitive trust nghĩa là nếu domain C trust domain B và domain B trust domain A thì domain C trust domain A.

Khi có một  Windows domain cũ trong mạng, như là Windows NT 4.0 domains, một trust cụ thể có thể được tạo. Trust này được gọi là trust 1 chiều rõ ràng, và nó là notransitive. Như thế, một mạng dùng Windows 2003 chạy Active Directory có thể truyền thông với domain cũ như Windows NT 4.0.

Một tùy chỉnh khác để tự tạo trusts là kết nối 2 Windows 2003 domains nằm ở phía dưới của trees trong các forest khác nhau. Việc này có thẻ giúp tăng tốc độ truyền thông giữa 2 domain. Cách này được gọi là shotcut trust.

Active Directory Physical Structure

Mặc dù việc thiết kế chính và thực hiện Active Directory ở khía cạnh logic, khia cạnh vật lý cũng phải được giải quyết. Các thành phần chính của khía cạnh vật lý của Active Directory là các site, sự liên kết giữa các site, và Domain Controllers.

Site được định nghĩa theo microsoft "là một kết hợp của một hay nhiều Internet Protocol (IP) subnets được kết nối bởi các liên kết đáng tin cậy tốc độ cao tập trung lại nếu được". Fast link thường được gọi khi kết nối ở tốc độ tối thiểu là 512 Kbps. Nói cách khác, site được thiết kế để ánh xạ cấu trúc vật lý trong mạng của bạn và có thể hoặc không được tạo các IP subnet khác nhau.

Cần nhớ rằng domain được thiết kế để phản ánh các nhu cầu hợp lý trong mạng và áp dụng mô hình logic đó để thiết kế một mạng vật lý. Không có sự liên quan giữa site và domain. Có thể có nhiều domain trong 1 site, và có thể có nhiều site cho 1 domain.

Một site cũng không phải là 1 phần của DNS namespace. Có nghĩa là khi duyệt đến thư mục nào dó, ban sẽ thấy các tài khoản user và computer được quản lý bởi domain hoặc OU, nhưng ko phải bởi site. Có duy nhất 1 thứ mà site chứa đựng là các đối tượng Computer và các đối tượng liên quan đến kết nối và các mô phỏng từ site này đến site khác.

Các thành phần tô điểm cho Active Directory chính là Domain Controllers (DCs). Những máy tính chạy DC này phải chạy trên Windows 2003 Servers, và chúng có một bản sao chính xác của Domain Directory. Trong thực tế, khi thay đổi trong DC thì cũng có hiệu lực với Active Directory, và tất cả các DCs khác sẽ nhận được bản thay đổi này. Vì một vài domain controller có thể chứng thực một user, từng controller được yêu cầu phải có Directory này. Các chức năng căn bản của Domain Controller là:

·         Từng DC lưu trữ 1 bản copy về thông tin Active Directory liên quan đến domain đó (gọi tắt là một AD partition).

·         Từng DC sao chép các thay đổi tới tất cả các DC khác để đảm bảo nhất quán mô hình mạng.

·         Từng DC sao chép các thay đổi quan trọng tới tất cả các DC khác ngay lập tức.

·         Từng DC có thể yêu cầu chứng thực đăng nhập.

Windows 2003 DNS

Để Active Directory hoạt động trong khả năng của nó, DNS phải được chạy trong mạng. Việc triển khai DNS namespace sẽ là nền tảng của AD namespace khi tạo. Bằng cách làm theo những thủ tục này, bạn có thể dễ dàng truyền thông IP, dùng tên liên quan tới từng mạng.

Một tính năng chính của Windows 2003 là Dynamic DNS (DDNS). DDNS cho phép các client (các client nhận IP address tự động (theo máy chủ DHCP)) có tên và IP address đã được đăng ký trong mạng. Với một DDNS server chạy trong mạng, các máy client tự động truyền thông với server, xác nhận tên và địa chỉ, và cập nhật thông tin DNS mà không cần user can thiệp vào.

Một lợi ích khi dùng DDNS trong mạng là khả năng loại bỏ các protocol và các servervice khác mà đang được chạy liên kết với các tài nguyên. Ví dụ, Windows Internet Name Server (WINS) của Windows NT 4.0 ko còn cần thiết và NetBEUI cũng thế, nhưng cũng nên cần để cung cấp thêm khả năng tương tích ngược.

Group Policy Components

Thành phần cuối trong cở cở hạ tầng của Windows 2003 là group policy. Một group policy là 1 nhóm các thiết lập của user và computer mà được áp dụng cho computers, domains, OUs, và sites. Ví dụ, bạn có thể thiết lập một group policy để gỡ bỏ 1 các đối tượng trong Start menu.

Khi cấu hình thiết lập group policy, nó được đặt ở Group Policy Object (GPO). GPO chịu trách nhiệm kiểm soát ứng dụng chính sách tới các đối tượng Active Directory, như là sites, OUs, và domains. Khi GPO được cấu hình, nó áp dụng các chính sách tới các đối tượng AD đã được chỉ định, và mặc định, các chính sách sẽ có hiệu lực tói tất cả các computer chứa trong đối tượng AD.

Các chính sách ảnh hưởng đến tất cả computers có thể ko như mong muốn, vì thế cần phải lọc các chính sách cần thiết đã được triển khai cho computers và users. Để lọc ta dùng Access Control List (ACLs).

Một vài rule được áp dụng cho GPO:

·         Một GPO có thể liên kết đến 1 hay nhiều domain.

·         Một GPO có thể liên kết đến 1 hay nhiều OU.

·         Một domain có thể liên kết đến một hay nhiều GPO.

·         Một OU có thể liên kết đến một hay nhiều GPO.

Group Policy Implementation

Để bắt đầu cấu hình GPO, bạn phải open và dùng Group Policy Editor. Với hầu hết các tùy chỉnh quản lý trong Windows 2003, nó có thể được mở bằng công cụ Microsoft Management Console (MMC).

Trong Group Policy Editor, bạn đã được thấy 2 đối tượng cha để quản lý là User Configuration và Computer Configuration. Bạn tạo GPO sau đó áp dụng các yêu cầu cần thiết.

·         Computer Configuration node cung cấp tùy chỉnh để quản lý cách hành xử của operating system, account policies, IP security policies, và còn nhiều thứ khác.

·         User Configuration node cung cấp tùy chỉnh để quản lý cách hành xử duy nhất tới user như là Desktop settings, Control Palnel settings, Start menu settings, và nhiều thứ khác.

TASK 3A-1

Configuring a Custom MMC and GPO

1.      Khởi động máy tính của bạn vào Windows 2003,và đăng nhập vào Administrator

2.      Từ Start Menu,chọn Run và vào gõ mmc để vào Microsoft Management Console.

3.      Chọn FileàAdd/Remove Snap-In.

4.      Click vào Add button

5.      Trong bảng danh sách,chọn Group Policy Object Editor,và click vào Add.

6.      Lưu trữ GPO trong Local computer,and click Finish.

7.      Click Close,và click OK để đóng cửa sổ Add/Remove Snap-in.

8.      Chọn FileàSave,và lưu console với tên Custom_GPO.

9.      Rời khỏi GPO và làm các công việc tiếp theo.

*Editing GPOs

Khi bạn tạo ra các GPO,bạn có thể chỉnh sửa vào thêm tùy biến chúng.Nhớ rằng chính các GPO là đối tượng AD. Do đó, bạn có thể tạo bản sao của GPO, không cần áp dụng chúng nhưng lưu chúng vào một tập tin, và email cho quản trị viên khác trong công ty của bạn và anh ấy chỉnh sửa chúng hơn nữa cho các nhiệm vụ chính. Trong nhiệm vụ sau đây, bạn sẽ chỉnh sửa các GPO để kiểm soát thiết lập mật khẩu trong domain

TASK 3A-2

Editing a GPO

1.      Vào Local Computer Policy

2.      Nếu cần chỉnh sửa GPO,vào Computer Configuration

3.      Vào Windows Settings.

4.      Vào Security Settings.

5.      Mở Account Polocies, chọn Password Policy,và nhấp đôi vào Enforce Password History option.

6.      Cho số để nhớ mật khẩu,nhập 5 và click OK

7.      Nhấp đôi vào Maximum Password Age option

8.      Trong Maximum age of password,nhập 30 days và click OK

9.      Observe the console. Local Setting  bạn cần điều chỉnh là khác nhau đang có hiệu quả (mặc định) thiết lập.

10.  Tuy nhiên nếu bạn đóng và mở lại các GPO, các cài đặt mới này sẽ trở thành các thiết lập hiệu quả.

11.  Đóng Custom_GPO mà không cần lưu,và sau đó mở lại nó để xác minh rằng các thiết lập phù hợp và hiệu quả.

12.  Rời khỏi GPO và làm các công việc tiếp theo.

TASK 3A-3

Implementing Multiple GPOs

 Mục tiêu: Kiểm tra ảnh hưởng của GPO triển khai thực hiện ở các cấp độ khác nhau và để xác định policy setting có hiệu quả.

1.      Bạn đã được chỉ định để xác định cài đặt trình duyệt IE cho người dùng trong doanh nghiệp của bạn, và bạn quyết định thử nghiệm xác định với các GPO khác nhau. Nếu bạn xác định các GPO sau, những gì kết quả cuối cùng sẽ được khi một người dùng trong OU này đăng nhập vào và chạy trình duyệt IE?

   ●   Ở cấp độ web,cấu hình nút công cụ policy là để được kích hoạt,và các nút hiển thị trở lại và nút Home cho thấy tùy chọn được kiểm tra.

      Ở cấp độ domain,cấu hình nút công cụ policy là để được kích hoạt, các nút hiển thị trở lại không được đánh dấu và hiển thị nút Stop tùy chọn được kiểm tra.

   ●   Ở cấp độ OU,cấu hình nút công cụ policy là để được kích hoạt, hiển thị nút và nút tìm kiếm và hiển thị các tùy chọn lịch sử được kiểm tra.

Topic 3B

Windows 2003 Authentication

Mặc dù được cải tiến và nâng cấp nhiều thành phần, Windows 2003 vẫn bắt buộc người dùng phải xác thực trước khi được phép truy cập tài nguyên trong mạng. Điểm khác biệt của Windows 2003 so với các bản trước đó, như là Windows NT, là các phương thức xác thực. Phiên bản này có thể sử dụng bất kì một trong số các phương pháp xác thực thông dụng như Kerberos, NTLM, NTLM2, LM, RADIUS, SSL, Smart Cards…

Windows 2003 sử dụng cơ chế SSPI (Security support provider interface - giao diện cung cấp và hỗ trợ các chức năng bảo mật) để cho phép sử dụng các phương thức xác thực nói trên. SSPI chịu trách nhiệm giao tiếp giữa ứng dụng người dùng, như là web browser, và các phương thức xác thực, như là NTLM hay Kerberos. Điều này có nghĩa là nhà phát triển ứng dụng không cần thiết phải tạo ứng dụng giao tiếp với từng cơ chế xác thực, mà chỉ cần tạo một ứng dụng nhất để giao tiếp với SSPI.

Mặc dù SSPI đóng vai trò quan trọng trong quá trình xác thực người dùng, quản trị viên không tốn nhiều thời gian để cấu hình nó, bởi vì không có nhiều tùy chọn cấu hình hay quản lí liên quan tới SSPI. Nó chỉ đơn giản đứng trung gian và chuyển tiếp các yêu cầu xác thực tới các dịch vụ cung cấp xác thực tương ứng trên hệ thống.

Thành phần xác thực liên quan nhiều nhất tới quản trị viên là kiến trúc bảo mật (security architecture) của Windows 2003. Kiến trúc này bao gồm hệ điều hành (OS) và Active Directory (AD). Ví dụ, thông tin tài khoản và các thiết lập chính sách được lưu trữ trong AD, trong khi OS sẽ quản lí việc hiện thực các process security cũng như lưu trữ các thông tin về mức độ tin cậy giữa các phần trong network.

Nếu bạn đã cài đặt một domain Windows 2003, và tất cả các máy đều dùng Windows 2003, thì phương thức xác thực mặc định là Kerberos (tất nhiên là bạn có thể thay đổi tùy chọn này).

Nếu hệ thống của bạn thuộc dạng mixed-mode (các domain controller sử dụng cả Windows 2003 và Windows NT 4.0 BDCs), hệ thống sẽ có khả năng giao tiếp tối đa trong mạng, nhưng sẽ không phải là môi trường an toàn cao nhất, vì phải cung cấp các tùy chọn chứng thực cho cả 2 hệ điều hành.

Authentication Methods

Trong các hệ điều hành trước Windows NT 4.0 SP4, chỉ có 2 phương thức được hỗ trợ trong cơ chế xác thực dạng challenge/response là LAN Manager (LM) và Windows NT LanMan (NTLM). Windows 2003 đã mở rộng và thêm vào NTLMv2 để tăng tính bảo mật cho hệ thống.

LM Authentication

Để đảm bảo tương thích tối đa với các hệ thống cũ, một yêu cầu nhất thiết là khả năng giao tiếp giữa hệ thống mới và cũ. Nếu hệ thống cũ sử dụng phương thức xác thực LAN Manager, nó có thể tạo điểm yếu cho hệ thống.

Cơ chế chứng thực LM sử dụng password dựa trên tập các chữ cái tiêu chuẩn, tức là không có các kí tự đặc biệt, do đó độ mạnh của password không cao. Hơn nữa, cơ chế này không phân biệt chữ hoa/thường trong password. Nngười dùng có thể sử dụng chữ hoa hoặc thường, nhưng hệ thống luôn chuyển đổi về chữ hoa trước khi xử lí, càng góp phần làm suy yếu cơ chế bảo vệ.

Trong hệ thống Windows, password không được lưu trữ dưới dạng plain text, mà dưới dạng mã băm (hash, sử dụng các hàm mã hóa một chiều). Cơ chế băm của LM cũng không đủ mạnh. Chiều dài tối đa của password trong LM là 14 kí tự.

Hệ thống sẽ chuyển tất cả thành chữ hoa, sau đó tách thành 2 dãy, mỗi dãy 7 kí tự, mỗi kí tự chiếm 1 byte. Mỗi dãy sẽ được sử dụng làm khóa để mã hóa một hằng số 64 bit theo thuật toán DES, sau đó đặt 2 giá trị đã mã hóa kề nhau để tạo nên mã băm. Hình 3-5 thể hiện quá trình này.

 

Hình 3-5

Khi mã băm đã được tạo, bạn có thể nghĩ nó đủ an toàn, dựa trên độ dài của nó. Nhưng thực tế cơ chế này có nhiều điểm yếu. Thứ nhất là tập kí tự. Vì chỉ sử dụng các kí tự cơ bản gồm 26 chữ cái nên sẽ chỉ có 26¹⁴ khả năng của chuỗi password, tức cỡ khoảng 10¹⁹. Việc phá vỡ password này tương đương với bẻ khóa chuỗi 65 bits.

Tuy vậy, vấn đề thứ hai, về quá trình chia tách password thành 2 nửa, nhanh chóng bị phát hiện. Trong ví dụ trước, password được chia thành 2 chuỗi là MYPASSW và ORDISLO. Hai nửa này có thể bị tấn công cùng lúc. Do đó số khả năng có thể của password thực tế chỉ có 26⁷ + 26⁷, tức khoảng 10¹⁰. Như vậy việc crack sẽ tương ứng với crack chuỗi 32bits.

Thông thường nửa sau của password sẽ bị tấn công trước, vì người dùng ít khi đặt password dài đủ 14 kí tự, do đó sẽ dễ tấn công phần này hơn. Sau đó, có thể dùng nửa thứ 2 này làm gợi ý để đoán ra nửa đầu của password.

NTLM Authentication

Việc phát triển Windows NT đã tạo cơ hội cho MS tăng cường bảo mật cho cơ chế LM, và kết quả là phương thức xác thực NTLM.

Điểm nâng cao chính trong cơ chế này đó là khả năng sử dụng password hỗ trợ toàn bộ tập kí tự Unicode, đồng thời cũng phân biệt chữ hoa/thường. Hệ thống sẽ ghi nhận password là chuỗi 14 kí tự Unicode, mỗi kí tự chiếm 16bit.

Sau đó 14 kí tự này sẽ được chuyển thành mã băm 128 bit bằng thuật toán MD4 ( phát triển bởi Ron Rivest). Hình 3-6 thể hiện quá trình này.

 

Hình 3-6

Mặc dù có khả năng chống đỡ tấn công nhiều hơn nhờ tập kí tự mở rộng, vẫn có một vấn đề trong quá trình hiện thực NTLM. Đó là yêu cầu tương thích với các hệ thống cũ. Do đó Windows cũng cung cấp một cơ chế tương ứng với LM hash, cho phép giao tiếp với các hệ thống trước đó.

Do Windows lưu trữ các giá trị NTLM và LM cho mỗi user, kẻ tấn công có thể tìm cách khai thác giá trị LM hash trước. Sau khi đã giải mã được giá trị này, hắn có thể sử dụng một cơ chế brute-force đơn giản để tìm ra chuỗi NTLM, vốn tương tự như LM, nhưng phân biệt chữ hoa/thường. Windows lưu trữ các giá trị NTLM và LM trong Registry trong SAM.

NTLMv2

NTLMv2 được giới thiệu để tiếp tục quá trình nâng cao tính bảo mật của hệ thống. Cơ chế này cho phép kiểm soát các giao tiếp sử dụng LM giữa client và server. Hơn nữa, NTLMv2 sử dụng MD5 để tạo mã băm. Phiên bản NTLMv2 128 bit còn cung cấp cơ chế đảm bảo toàn vẹn dữ liệu và chứng thực theo phiên (session).

Việc kiểm soát các tính năng tương thích của LM là một bước nâng cao rõ rệt với độ an toàn của hệ thống. Hình 3-7 thể hiện thiết lập tùy chọn cho quá trình xác thực.

SYSKEY

Windows lưu trữ cả mã băm của LM và NTLM trong Registry. Do đó, việc truy xuất registry cần được kiểm soát. Tuy nhiên, SAM có thể được trích xuất ra khỏi máy tính bằng đĩa recovery, hoặc có thể dump từ Registry, do vậy cần có các cơ chế bảo vệ tốt hơn.

MS đã giới thiệu một cơ chế mới để đảm bảo an toàn cho SAM, gọi là System Key, hay gọi tắt là SYSKEY. Cơ chế này sử dụng một key 128 bit để mã hóa SAM database, góp phần ngăn cản quá trình trích xuất các mã băm ra khỏi máy. SYSKEY có sẵn mặc định trong Windows 2003, Windows NT cần phải cài đặt thêm để có thể sử dụng chức năng này.

Một câu hỏi thường được đặt ra là: “Giá trị SYSKEY nên lưu trữ ở đâu, và phải làm gì với chúng”. Các khóa này phải sẵn sàng để sử dụng đồng thời phải được bảo vệ đúng đắn. Có 3 tùy chọn để quản lí chúng trong hệ thống:

·         Cho phép máy tính tự phát sinh một khóa ngẫu nhiên để sử dụng làm SystemKey và lưu trữ nó đâu đó trong Registry. Sau đó khóa này sẽ được sử dụng khi hệ thống khởi động lại, và người dùng không cần nhập thêm giá trị khác.

·         Cho phép máy tính tự phát sinh khóa và lưu trữ vào đĩa mềm. Sau đó, mỗi lần khởi động, hệ thống sẽ yêu cầu đĩa mềm đó.

·         Tạo một password và ghi nhớ. Mỗi lần hệ thống khởi động sẽ yêu cầu người dùng nhập lại password này.

The Challenge and Response

Tất cả các phương thức xác thực đã đề cập như LM, NTLM, và NTLMv2, đều sử dụng một cơ chế gọi là Challenge/Response. Một cách tồng quát, có thể mô tả các bước trong cơ chế này như sau:

1.      Client khởi đầu quá trình xác thực bằng cách vào logon screen và yêu cầu hệ thống cho phép đăng nhập.

2.      Server gửi một chuỗi kí tự ngẫu nhiên đến client. Chuỗi này gọi là chuỗi thách thức (challenge).

3.      . Client sẽ nhập username và password tương ứng. Sau đó hệ thống sẽ sử dụng mã băm của password này làm khóa để mã hóa chuỗi thách thức ở trên. Giá trị này gọi là chuỗi trả lời (response) và được gửi về server.

4.      Server cũng tính toán giá trị mã hóa của chuỗi thách thức bằng cách sử dụng khóa là mã băm của password của người dùng tương ứng đã được lưu trong database. Nếu giá trị tính được bởi server trùng khớp với chuỗi trả lời của client gửi lên thì có nghĩa là client đã nhập đúng password. Khi đó client được xác thực và đăng nhập vào hệ thống.

Windows 2003 Local Logon Process

Có 2 phương pháp để đăng nhập vào hệ thống Windows 2003 Server hoặc máy cục bộ. Hai phương thức xác thực được sử dụng là Kerberos và NTLM, trong đó Kerberos là phương thức chính. Trong trường hợp Windows không tìm thấy KDC (Key Distribution Center, trung tâm phân phối khóa), thì chuyển sang sử dụng NTLM để xác thực trên máy cục bộ, với các thông tin được  lưu trong SAM (Security Accounts Manager) database.

Quá trình đăng nhập vào hệ thống cục bộ sử dụng NTLM như sau:

1.      Người dùng nhập username và password, các giá trị này được thu thập bởi GINA (Graphical Identification and Authentication, công cụ xác thực và định danh dựa trên giao diện đồ họa) của Windows.

2.      GINA chuyển thông tin trên cho LSA (Local Security Authority, dịch vụ nắm quyền bảo mật cục bộ) để xác thực. LSA sẽ tạo các thẻ bài truy cập (access token), cung cấp môi trường tương tác cho quá trình xác thực, kiểm soát các chính sách bảo mật cục bộ, và gửi yêu cầu xác thực đến NTLM hoặc Kerberos tùy theo yêu cầu.

3.      LSA sẽ gửi thông tin đến SSPI (Security Support Provider Interface), SSPI sẽ gửi đến NTLM driver (gọi là MSV1-0 SSP). Nếu không sử dụng NTLM mà dùng Kerberos thì SSPI sẽ chuyển tiếp thông tin đến dịch vụ quản lí của Kerberos.

4.      NTLM driver sử dụng dịch vụ Netlogon để đối chiều và xác thực người dùng dựa vào SAM database.

Kerberos in Windows 2003

Nếu bạn có một hệ thống domain Windows 2003 đang vận hành bình thường thì có nghĩa là Kerberos đã được tích hợp sẵn và được dùng làm cơ chế xác thực mặc định khi các máy khác (cũng dùng Windows 2003) đăng nhập vào domain.

Kerberos là một chuẩn của IETF dùng cho quá trình xác thực, được phát triển bởi Viện công nghệ Massachusetts (MIT) những năm 1980s. Nó đã được áp dụng như một phương thức xác thực an toàn trước khi được sử dụng trong Windows 2003. Có một số điểm khác nhau giữa phương thúc Kerberos trong Windows 2003 và trong chuẩn MIT. Tuy nhiên, các máy không chạy Windows nhưng dùng Kerberos vẫn có thể phối hợp hoạt động được với dịch vụ Kerberos trên Windows 2003.

Chi tiết cụ thể về Kerberos vượt quá tầm thảo luận của tài liệu này. Bạn nên nắm rõ một số đặc điểm tổng quát của nó để áp dụng cho quá trình xác thực.

Khi một user bắt đầu quá trình đăng nhập bằng cách cung cấp đặc điểm chứng thực (credentials, bao gồm username/password, hoặc smartcard, hoặc đặc điểm sinh học) của họ, Windows sẽ liên lạc với bộ điều khiển Active Directory của domain và xác định vị trí của KDC (Kerberos Key Distribution Center). KDC sẽ trả về một TGT (Ticket Granting Ticket) cho người dùng đã được xác thực. TGT chứa các thông tin định danh của người dùng này và đuợc dùng để truy cập các thành phần khác của network.

Sau khi người dùng đã được xác thực, TGT cũng được dùng để yêu cầu các ticket khác để truy cập các dịch vụ tương ứng trên network. Máy tính có chức năng cung cấp các ticket cho hệ thống được gọi là TGS (Ticket Granting Server).

Tóm lại:

·         Một AS (authenticate server, máy chủ xác thực) được dùng để tiến hành các hoạt động xác thực thực sự của người dùng phía sau Kerberos. Trong hệ thống Windows 2000 trước đó, nó chỉ được cấu hình thành một dịch vụ gọi là Authenticate Services.

·         TGS là nơi tạo và cấp phát các ticket cho người dùng để truy cập tài nguyên. Trên Windows 2000, TGS được cấu hình như là một dịch vụ (Ticket Grant Service).

·         Trong Windows 2000, KDC bao gồm cả 2 dịch vụ là Authentication Service và Ticket Grant Service.

Một điểm tiện lợi cho người dùng sử dụng mạng có áp dụng phương thức Kerberos đó là Single Sign On (SSO). Với SSO, người dùng không cần phải xác thực lại nhiều lần mỗi khi truy cập các dịch vụ khác nhau trên network. Họ chỉ cần đăng nhập vào một domain, các domain khác cũng sẽ chấp nhận xác thực được chuyển đi bởi domain đó. Một lợi điểm khác đó là Kerberos có các cơ chế để kiểm chứng định danh của người dùng chứ không chỉ là xác thực người dùng (Xác thực người dùng, hay authentication, nghĩa là kiểm tra người dùng đó là A hoặc có quyền của A, tức là chỉ cần username và password của A là được xác thực. Còn kiểm chứng định danh, hay identification, nghĩa là kiểm tra người dùng đó thực sự là A).

Smart Cart in Windows 2003

Bắt đầu từ Windows 2000, và nay là Windows 2003, MS đã tích hợp sẵn các cơ chế hỗ trợ smartcard, cung cấp thêm một phương thức xác thực sử dụng thêm các thành phần phần cứng, góp phần tăng độ an toàn của hệ thống.

Trong Windos 2003, các Smart Cards sử dụng Kerberos và mật mã khóa công khai (public key cryptography). Mật mã khóa công khai, hay mật mã bất đối xứng, sử dụng một khóa để mã hóa và một khóa khác để giải mã. Chúng được gọi là cặp khóa private/public. Người dùng sẽ giữ bí mất khóa private của mình, và công khai khóa public cho người khác biết. Cả 2 khóa này đều được lưu trữ trên smartcard.

TASK 3B-1

Configuring NTLMv2 Authentication

      Cài Đặt: Đăng nhập vào Windows 2003 với Administrator và mở Custom_GPO

1.      Vào Windows settingàSecurity Setting,mở Local Policies,và chọn Security Options

2.      Nhấp đôi vào Network Security LAN Manager Authentication Level.

3.      Từ Local Policy Setting kéo xuống,chọn Send NTLMv2 Response Only,và click OK

4.      Click Yes tại prompt nếu bạn muốn thay đổi

5.      Đóng Custom_GPO,lưu lại các thiết lập. Bạn có vấn đề chứng thực trong các nhiệm vụ sau,bạn có thể quay lại các câu trả lời để thiết lập LM và NTLM.

Topic 3C

Windows 2003 Security Configuration Tools

Trong Windows 2000, bạn đã được cung cấp nhiều công cụ và tài liệu để cấu hình và quản lý các tùy chỉnh bảo mật cho máy tính cá nhân và cho mạng của nó. Những công cụ này bao gồm Securiy Template Snap-In, Security Configuration và Analysis Snap-In, và Secedit.exe. Secedit.exe là công cụ command-line được dùng để phân tích bảo mật của nhiều công ty trong một domain.

User and Group Security

Tiêu điểm của Windows 2003 cũng giống với các hệ điều hành trước đó chính là users. Nếu ko có user truy cập vào mạng, thì ko cần phải có mạng. Việc tạo user account là việc mà người quản trị Windows cần phải làm.

Có 2 loại user account cở bản cần được tạo trong Windows 2003: domain users và local user.

·         Một domain user account có khả năng log on vào mạng và truy cập vào các nguồn tài nguyên cho phép trong domain.

·         Một local user account có khả năng log on vào một computer xác định và truy cập vào các tài nguyên cho phép trên computer đó.

Các tài khoản tồn tại sẵn khi cài Windows 2003 server là tài khoản Guest và Administrator. Bảo mật Guest account nên được làm ngay lúc đó. Các bước để bảo mật Guest account trong Windows NT 4.0 và Windows 2000 cũng giống nhau.

Restricting Logon Hours

Khi bạn tạo một vài user account, bạn nên xem xét việc hạn chế thời gian mà user đăng nhập thành công. Việc cấu hình này rất quan trọng để bảo mật user accounts. Nếu chỉ cung cấp truy cập trong suốt thời gian làm việc, thì ko có lý do gì để cho phép một user account 24x7 giờ quyền truy cập mạng.

Ko may, trong Windows 2003 Server, giới hạn thời gian đăng nhập chỉ làm được cho Domain (AD) user; tuy nhiên, các thủ tục vẫn có thể thực hiện như sau:

1.      Mở MMC, và thêm Active Directory Users And Computers Snap-in

2.      Lựa chọn thư mục Users, và double-click một đối tượng User mà bạn muốn giới hạn.

3.      Trong cửa sổ Properties, chọn thẻ Account, và click Logon Hours.

4.      Xác định thời gian giới hạn cần thiết.

5.      Click OK để đóng cửa sổ Logon Hours.

6.      Click OK để đóng User Properties và áp dụng thiết lập.

Expiration Dates for User Accounts

Để thiết lập thêm giới hạn thời gian sử dụng của một user account, bạn có thể kiểm soát truy cập tài nguyên mạng bằng cách xác định giới hạn cho tài khoản đó. Nói cách khác, bạn tạo một user account có kỳ hạn sử dụng.

Trong Windows 2003 Server, hạn chế thời giản sử dụng chỉ có hiệu lực cho Domain (AD) users. Sau đây là các bước để thiết lập:

1.      Mở MMC, thêm Active Direcotry Users And Computers Snap-in.

2.      Lựa chọn thư mục Users, và double-click một đối tượng User mà bạn muốn giới hạn.

3.      Trong cửa sổ Properties, chọn thẻ Account.

4.      Để chỉnh Account Expiré, chọn End Of, và nhập vào thời gian mà bạn muốn tài khoản đó hết hiệu lực.

5.      Click OK để đóng User Properties và áp dụng thiết lập.

Configuring Windows 2003 Groups

Khi bắt đầu làm việc với Windows 2003, rất có thể bạn muốn triển khai và cấu hình đầy đủ cấu trúc cho Active Directory, để có được những quyền lợi. Tuy nhiên, khi bạn cài đặt một server lần đầu, nó ko có gì hơn là một stand-alone server -- không phải là một phần của domain, cũng ko phải là domain controller.

Sau khi máy đó trở thành domain controller (bạn có thể nâng cấp lên domain bằng lệnh DCPROMO),  bạn sẽ thấy rằng, với quyền administrator, sẽ có một vài group để quản lý. Những group này bao gồm Domain Administrator và Domain User.

Có 2 loại group cơ bản: Security group và Distribution group. Distribution group được dùng để quản lý các danh sách, như là danh sách email, và ko được trình bày chi tiết trong khóa học này. Chúng ta tập trung vào Security groups. Những group này có thể chứa đựng users và security groups khác, vì thế khá là linh hoạt để quản lý mạng.

Trong Windows NT 4.0, có 2 group là global hoặc local. Windows 2003 mở rộng hơn, có các loại group như sau:

·         Computer Local -- Một nhóm các máy tính xác định chỉ được dùng để truy cập vào tài nguyên trên các máy local. Nó ko được tạo trên một Domain Controller.

·         Domain Local -- Một group mà có các thành viên từ domain nào đó trong mạng. Những group này chỉ được tạo trong Domain Controller và có thể truy cập vào tài nguyên trong domain đó.

·         Global -- Một group được dùng để kết hợp các user có các yêu cầu truy cập vào tài nguyên mạng giống nhau. Global groups có thể chứa các thành viên trong group của domain và có thể truy cập vào tài nguyên ở domain đó cũng như các domain khác.

·         Universal -- Được dùng trong môi trường multidomain, nơi mà các nhóm user từ các domain khác nhau có chung tài nguyên sử dụng và có chung nhu cầu truy cập. Để triển khai Universal group, hệ thống mạng phải chạy native mode, nghĩa là chỉ có Windows 2000/2003 Domain Controller được dùng. Chế độ này được dùng khi tất cả Windows NT 4.0 Domain Controller được nâng cấp thành Windows 2000/2003.

Cũng có thể kết hợp các group với nhau, như là xếp Global groups trong Universal groups nếu như được yêu cầu trong tình hình lúc đó. Có thể có một tài nguyên mà bạn cố kiểm soát truy cập vào và có một vài Global groups tồn tại và đã được cấu hình đúng cho các user. Trong trường hợp đó, một Universal group sẽ hoạt động để kiểm soát truy cập mạng. Bạn có thể đặt Universal groups trong Domain Local Groups và kiểm soát truy cập các tài nguyên bằng cách đặt quyền cho Domain Local group.

Những group này được dùng khi kiểm soát truy cập tới các tài nguyên, cả 2 quyền allowing và denying dựa vào nhu cầu bảo mật của bạn. Nếu bạn muốn bảo mật computer, user, và môi trường mạng, bạn sẽ phải dùng đến group policies.

Locking Down the Adminnistrator Account

Administrator account có 4 điểm quan trọng, theo quan điểm an ninh:

·         Tên của tài khoản tích hợp của người quản trị là Administrator.

·         Tài khoản này có thể được bỏ trống password trong quá trình cài đặt.

·         Tài khoản tích hợp của người quản trị là thành viên của Administrator group tích hợp.

·         Tài khoản tích hợp này không bị khóa.

Bất cứ người nào quen thuộc với hệ điều hành đều biết những điểm này. Cho nên một administrator trước tiên nên thay đổi tên của tài khoản quản trị tích hợp ko liên quan đến admin kèm theo một mật khẩu mạnh.

Bạn cũng nên cấm tài khoản này đăng nhập vào máy tính này qua mạng. Nghe có vẻ khác thường, thế nhưng bạn sẽ thấy rằng tài khoản này ko bị khóa, bất kể với một chính sách khóa tài khoản mà bạn dùng; ví dụ, nếu bạn tạo một chính sách khóa tài khoản  để khóa một user account sau 3 lần đăng nhập thất bại, tất cả tài khoản khác với tài khoản tích hợp của người quản trị sẽ tuân theo chính sách này.

Hiện nay, trong hầu hết các tổ chức, các máy tính quan trong như file, print, authentication, web, mail, and ftp servers thường được đặt trong vùng bảo mật vật lý. Chỉ có nhà quản trị mạng mới được phép vào vùng đó. Nếu bạn đảm bảo các bảo mật vật lý, thì chỉ có cách tấn công vào server theo đường mạng. Tài khoản có chức vụ cao nhất trong server là Administrator account. Tấn công vào Administrator account đã được bảo vệ bởi việc khóa chính sách. Ngoài ra, tài khoản admin này ko nên đăng nhập theo đường mạng.

TASK 3C-1

Securing Administrator Account Acess

1.      Từ Start Menu,nhấp chuột phải vào Computer,and chọn Manage.

2.      Ở khung bên trái,mở Local Users And Group, và chọn thư mục Users.

3.      Ở khung bên phải,nhấp chuột phải vào administrator và chọn Rename.

4.      Với tên tài khoản mới, nhập scnpXXX,XXX là các số như 001.

5.      Từ Start Menu, chọn Log Off và click Log Off.

6.      Nhấn Ctrl+Alt+Del để đăng nhập.

7.      Gõ scnpXXX và click OK để đăng nhập.

8.      Nhấn Ctrl+Alt+Del và click Change Password.

9.      Old password để trống.Trong ô New password, gõ aA1234!

10.  Gõ aA1234! trong ô Confirm New Password, và click OK.

11.  Lúc này password đã được thay đổi.Click Cancel để đóng màn hình Ctrl+Alt+Del.

12.  Từ Start Menu,nhấp chuột phải vào My Computer, và chọn Manage.

13.  Vào System ToolsàLocal Users and Group, và click Users.

14.  Nhấp chuột phải vào tài khoản scnpXXX và chọn Set Password.

15.  Gõ và xác nhập aA1234! và click OK.

16.  Ở khung bên phải, nhấp chuột phải vào bất kì chổ nào và chọn New User.

17.  Với tên tài khoản mới, gõ Administrator để tạo tài khoản mới.

18.  Gõ vào mật khẩu là bB5678! và xác nhận nó.

19.  Bỏ chọn vào User Must Change Password At Next Logon.

20.  Chọn User Cannot Change Password and Password Never Expires. Click Create, và click Close để hoàn thành tạo tài khoản mới.

21.  Nhấp chuột phải vào tài khoản mới tạo và chọn Properties.

22.  Chọn Member of Tab.

23.  Chọn Users group và click Remove.

24.  Click Apply, và click OK.

25.  Ở khung bên phải, nhấp chuột phải vào bất cứ đâu và chọn New User.

26.  Với tên tài khoản mới, gõ scnpXXXb, với password là cC13579!.

27.  Bỏ chọn User Must Change Password At Next Logon.

28.  Click Create, và click Close.

29.  Nhấp chuột phải vào tài khoản mới tạo và chọn Properties.

30.  Chọn Member of Tab.

31.  Click vào nút Add, gõ Administrators ở trong bảng Object Name To Select và click OK.

32.  Chọn User group và click Remove.

33.  Click Apply, và click OK.

34.  Mở Custom_GPO.

35.  Ở khung bên phải,nhấp đôi chuột  vào Policy.Deny Access To This Computer From The Network.

36.  Click Add, nhập scnpXXX; Administrator trong bảng Object Name To select, và click OK.

37.  Click OK để add tài khoản.

38.  Nhấp đôi chuột vào Policy Deny Logon Locally.

39.  Click Add button, gõ Administrator trong bảng Object Name To select, và click OK.

40.  Click OK để tạo tài khoản.

41.  Đóng lại tất cả các cửa sổ rùi lưu lại các chỉnh sửa của bạn.

TASK 3C-2

Testing Administrative Access

   Cài Đặt: Đăng nhập vào Windows 2003 với tên người dùng là Administrator.

1.      Thoát và cố gắng đăng nhập trên Administrator.Bạn sẽ thấy thông báo hệ thống không thể đăng nhập vào.Click OK.

2.      Đăng nhập lại với tên tài khoản Administrator. Thời gian này bạn sẽ đăng nhập thành công.

3.      Trên vùng khởi động,tạo 1 folder có tên Newtest và với folder,tạo một file text có tên doc1.txt.

4.      Nhấp chuột phải vào new folder, và chọn Sharing.

5.      Chọn Share This Folder, và click vào nút Permissions.

6.      Chọn Everyone và click Remove.

7.      Click vào nút Add, và gõ scnpXXX; scnpXXXb trong bảng text và click OK.Rồi click OK.

8.      Từ máy tính trong mạng Lan,mở Run dialog box (từ Start Menu,chọn Run).

9.      Nhập \\your_computer’s_IP_address\newtest.

10.  Gõ tên và password vào tài khoản administrator.Nhớ rằng,bạn phải thay đổi tài khoản administrator sang scnpXXX với password là aA1234!.

11.  Bạn sẽ nhận được một tin thông báo lỗi hiện lên cho bạn rằng một thất bại xảy ra khi người dùng đăng nhập chưa được cấp loại yêu cầu đăng nhập vào máy tính này.

12.  Click OK để đóng thông báo lỗi.

13.  Thời gian này,bạn thử đăng nhập với các thông tin của scnpXXXb.Bạn sẽ thành công.

14.  Trở lại với máy tính riêng của bạn,và đóng các cửa sổ đang mở.

Group Policies

Trong phần trước, bạn đã được giới thiệu Group Policy Objects và cách tạo GPO. Trong phần này, chúng ta sẽ đào sâu hơn để sử dụng GPO bảo mật mạng. 2 vấn đề cần thảo luận là các tùy chỉnh liên quan đến chính sách inheritance và override.

Như đã thảo luận về GPO, bạn cần phải hiểu rõ rằng GPOs được thực hiện chính sách theo thứ tự: local GPO, site GPO, domain GPO, và cuối cùng là OU GPO. Bạn cũng cần phải có kiến thức thực tế rằng khi có nhiều GPOs cấp cho một đối tượng, thì GPO ưu tiên cao nhất sẽ được sử dụng.

Bạn có thể thay đổi thứ tự thực hiện trong danh sách bằng cách đơn giản là chọn một GPO và dùng button Up và Down để xắp xếp lại danh sách phù hợp với nhu cầu.

Policy Inheritance

Policy inheritance là tên của tiến trình của một user hay một computer thừa kế cấu hình chính sách cuối cùng trong nhiều chính sách, tùy thuộc vào vị trí của đối tượng đó trong thứ bậc Active Directory và cấu hình GPOs. Để theo dõi các chính sách được thực hiện khi một user đăng nhập vào 1 computer, ta dùng danh sách sau đây:

1.      Một computer policy được kích hoạt khi computer lần đầu khởi động và được làm mới lại tại khoảng thời gian mặc định.

2.      Một user policy được áp dụng khi một user đăng nhập vào hệ thống và được làm mới lại tại khoảng thời gian mặc định.

3.      Local GPO được áp dụng.

4.      Site GPO được áp dụng.

5.      Domain GPO được áp dụng.

6.      OU GPO được áp dụng.

Để nhớ những thứ phức tạp này, cần nhớ rằng nó ko ít dùng cho sites, domains, và OUs để có hơn 1 cấu hình GPO. Nó cũng ít tương phản trong mọi chính sách.

No Override

Một trong những phương pháp để quản lý GPO đã hoàn tất là dùng tùy chỉnh Override. Tùy chỉnh này có hiệu lực tới bất kỳ site, domain, hay OU GPO. Với chọn lựa này, những thiết lập chính sách của nó không bị ghi đè bởi bất kỳ GPO nào trong quá trình xử lý nhóm chính sách. Trong trường hợp nhiều GPO thiết lập No Override, GPO có độ ưu tiên cao nhất sẽ được dùng.

Block Inheritance

Ngoài tùy chọn No Override, bạn có lựa chọn khác để quản lý chính sách. Nó được gọi là Block Policy Inheritance. Tùy chính này cũng có hiệu lực tới bất cứ site, domain ay OU GPO. Khi chọn mục này, bất kỳ chính sách ở tầng cao hơn sẽ ko được kế thừa, trừ khi nó được thiết kế với tùy chỉnh No Override. Kích hoạt tùy chỉnh này để đảm bảo thiết lập của GPO hiện tại sẽ được thực hiện và ko bị áp dụng các chính sách ưu tiên.

Bạn phải thật cẩn thận khi thiết lập No Override và Block Inheritance. Những lựa chọn này được dùng khi kế hoạt triển khai hoàn tất, và nếu ko sẽ gây ra sự méo dạng tổng thể các chính sách đã hoàn tất trong khắp nơi của tổ chức.

Local Security Policy

Từng hệ thống Windows 2003 trong mạng được gọi là local security policy. Local security policy là một nhóm các cấu hình bảo mật có hiệu lực với máy tính cục bộ.

TASK 3C-3

Verifying Password Requirements

Cài Đặt: Đăng nhập vào windows 2003 với tên người dùng administrator.

1.      Mở mmc (Computer Management console).

2.      Tạo 3 người dùng có tên poluser1,poluser2,poluser3.

Chú ý,3 người dùng để trống password.

3.      Rời khỏi mmc.

4.      Từ Start Menu,chọn ProgramàAdministrative ToolsàLocal Security Policy.

5.      Mở tài khoản Policies, và chọn Password Policy.

6.      Ở khung bên phải, nhấp đôi chuột vào Minimum Password Length Policy.

7.      Đổi giá trị password với 4 kí tự và click OK.

8.      Rời khỏi Local Security Setting MMC.

9.      Chuyển qua Computer Management (Local) console.

10.  Nhấp chuột phải vào poluser1 và chọn Set Password.

11.  Click Proceed.

12.  Nhập password là 123.

13.  Click OK.

14.  Click OK để đóng cảnh báo,và thiết lập password cho poluser1 là 1234

Mật khẩu bây giờ đã được chấp nhận.Click OK.

15.  Chuyển qua Local Security Setting MMC.

16.  Nhấp đôi chuột vào Password Must Meet Complexity Requirements policy.

17.  Thay đổi thiết lập trong policy đã được kích hoạt,và click OK.

18.  Chuyển qua Computer Management MMC.

19.  Nhấp chuột phải vào poluser2, và đổi password là 1234

20.  Click Proceed.

21.  Click OK.

22.  Click OK để đóng cảnh báo và thử thiết lập password là a123.

23.  Click OK

24.  Click OK để đóng cảnh báo và thử sử dụng aA12 làm password.

25.  Click OK. Thời gian này,password đã được chấp nhận.

26.  Click OK, và đóng tất cả các cửa sổ.

Password Recommendations

Để tạo được một password đủ mạnh, bạn nên kết hợp cả chữ hoa và thường, để đạt được độ phức tạp theo như yêu cầu khuyến nghị từ các nhà thiết kế của MS. Các thông tin về độ phức tạp này có thể tham khảo trên trang Technet.

Điều đó có nghĩa rằng nếu chỉ đơn giản sử dụng chính sách (policy) trên là không đủ để bắt buộc người dùng phải nhập password từ 6 kí tự trở lên, cũng như không cần phải sử dụng các kí tự ngoài bảng chữ cái và chữ số (non-alphanumeric).

Security Templates

Công việc cấu hình toàn bộ các tùy chọn trong GPO là khá phức tạp và tốn nhiều công sức. Để giúp giảm nhẹ việc này trong một vài tính huống thông thường, MS đã cung cấp một số mẫu cấu hình (Template) để sử dụng trong Group Policy Editor.

Các template này có định dạng file .INF và có thể mở bằng một trình soạn thảo text bất kì. Chúng được lưu trong thư mục %systemroot%\security\templates. Một khi các template được áp dụng cho GPO, tất cả người dùng được điều khiển bởi GPO này đều bị ảnh hưởng bởi các tùy chọn trong template đó.

Mỗi template trên chứa một tập các tùy chọn đã được cấu hình sẵn để có thể sử dụng trong một số tình huống. MS cung cấp bộ các template đầy đủ để có thể phù hợp với hầu hết các hoàn cảnh thông dụng. Chúng có thể được sử dụng trực tiếp hoặc chỉnh sửa lại cho phù hợp yêu cầu. Bên cạnh đó, có thể tạo mới một template từ đầu theo các tùy chọn cụ thể.

Predefined Security Template

Một vài template thông dụng trong hệ thống như sau:

COMPATWS.INF   :   cấu hình cho workstation hoặc server tương hợp.

SECUREWS.INF   :   cấu hình cho các workstation bảo mật

HISEDC.INF  : cấu hình cho các DC bảo mật cao

HISECWS.INF  :  cấu hình cho các workstation bảo mật cao

SETUP SECURITY.INF  :  cấu hình các tùy chọn bảo mật mặc định

DCSECURITY.INF  :  cấu hình mặc định cho DC

ROOTSEC.INF  :  cấu hình các quyền truy cập cho thư mục gốc (root) trên đĩa

IESACLS.INF  :  cấu hình mặc định cho IE trên server 2003

Như có thể thấy, có một vài mức bảo mật chung trong các mẫu: cơ bản, tương thích, an toàn, và an toàn cao. Tính năng chung của các mức như sau:

·         Mức tương thích (compatible, COMPAT*.INF) thường dùng trong các môi trường hỗn hợp, chẳng hạn như khi có cả máy WinNT 4.0. Các template này cho phép Power User có các tùy chọn bảo mật tương thích với user trong WinNT.

·         Mức an toàn (secure, SECURE*.INF) cấu hình các thiết lập an toàn cho toàn hệ thống, nhưng không áp dụng cho files, folders và registry key.

·         Mức an tòan cao (HISEC*.INF) được sử dụng cho mạng liên lạc an toàn giữa các máy Windows 2003. Những template này thiết lập các tùy chọn an toàn cao nhất đối với thông tin ra/vào máy. Những máy áp dụng cấu hình này chỉ có thể giao tiếp với các máy Windows 2003 khác.

TASK 3C-4

Analyzing Default Password Settings of Secutity Templates

Cài Đặt: Đăng nhập vào windows 2003 với tên Administrator.

1.      Mở MMC trống

2.      Chọn FileàAdd/Remove Snap-ins.

3.      Thêm Snap-in Security Templates.

4.      Mở rộng và xem xét mật khẩu policy cho Compatws,Hisecdc,và Setup Security.

5.      Rời khỏi MMC và làm các công việc tiếp theo.

Custom Security Templates

Như có thể thấy trong ví dụ, các template cung cấp nhiều mức độ cấu hình. Trong trường hợp này, các password được quản lí khác nhau tùy theo tình huống. Nếu một template không thỏa mãn các yêu cầu an ninh yêu cầu, bạn có thể chỉnh sửa lại template đó. Trong trường hợp cần chỉnh sửa nhiều tùy chọn, bạn có thể tự tạo mới một template khác.

TASK 3C-5

Creating a Custom Security Template

1.      Nếu cần,mở Security Templates để chỉnh sửa.

2.      Nhấp chuột phải vào directory location of the templates(ở trong C:\\WINDOWS\Security\Templates),và chọn New Template.

3.      Tên template của bạn là Custom Password Config.

4.      Sử dụng lời mô tả Template specifying secure passwords.

5.      Click OK để tạo template trống.

6.      Cấu hình template của bạn để sử dụng các thiết lập sau đây:

a.       Enfore Password History: 24 Passwords

b.      Maximum Password Age: 20 days(accept the suggested values for minimum Password age)

c.       Minimum Password Age: 5 days

d.      Minimum Password Length: 14 characters

e.       Password must meet complexity requirements:Enabled

f.       Store Passwords using reversible encryption: Disabled

7.      Nhấp chuột phải vào template mới,và chọn Save.

8.      Rời khỏi MMC và làm các công việc tiếp theo.

Security Configuration and Analysis Snap-In

Sau khi đã tạo policy, hoặc sửa đổi từ các template có sẵn, bạn cần áp dụng chúng cho network. Như đã đề cập trước, các templates có thể được áp dụng hoặc import vào các GPO. Để import một template, chúng ta sử dụng công cụ Security Configuration and Analysis Snap-In.

Một trong những tiện ích quản lí bảo mật của Windows 2003 là gói Snap-In của MMC có tên là Security Configuration and Analysis. Với công cụ này, bạn có thể thiết lập cũng như phân tích các tùy chọn bảo mật của hệ thống.

Công cụ này sẽ tiến hành so sách cấu hình hiện tại và cấu hình từ template. Các điểm tương thích sẽ được tô xanh với dấu check. Các điểm không tương thích sẽ được tô đỏ với dấu X.

TASK 3C-6

Investigating the Security Configuration and Analysis Snap-in

1.      Thêm Security Configution và Analysis Snap-In trong MMC.

2.      Nhấp chuột phải vào Security Configution và Analysis Snap-In và chọn  Open Database.

3.      Với tên file,nhập Password_check.sdb và click Open.Vì ko có tùy chọn mới,bước này tạo ra tập tin mới.

4.      Từ bảng danh sách,chọn Custom Password Config template và click Open.

5.      Nhấp chuột phải vào Security Configution và Analysis Snap-In chọn Analyze Computer Now. Accept default path for error log messages và click OK.

6.      Khi phân tích xong,mở Security Configution và Analysis Snap-In , và kiểm tra có hay không hệ thống của bạn đến chính sách liên quan đến mật khẩu mới.

7.      Rời khỏi MMC và làm những công việc tiếp theo.

Template Implementation

 Sau khi đã cấu hình xong và sẵn sàng để thiết lập cho hệ thống, bạn có thể bắt đầu áp dụng bằng cách sử dụng công cụ Security Configuration and Analysis. Các thay đổi trong các tùy chọn có thể tốn nhiều thời gian để áp dụng cho hệ thống.

Theo mặc định, group policy áp dụng cho máy sẽ được refresh sau mỗi 90 phút, các policy áp dụng cho Domain Controller sẽ refresh sau 5 phút.

TASK 3C-7

Implementing the Template

1.      Nhấp chuôt phải vào Security Configution và Analysis Snap-In, và chọn Configure Computer Now.

2.      Keep the default location for error logs, và click OK. Có thể mất vài phút để áp dụng các template.Sẽ không có tin nhắn trên màn hình khi nó đã được thực hiện. Bạn sẽ được tại MMC.

3.      Chạy lại analysis để xác nhận cấu hình đã diễn ra.

4.      Xác minh lại các đánh dấu màu xanh trong policy.

5.      Đóng MMC mà ko lưu.

Tiện ích secedit.exe

Mặc dù các công cụ giao diện đồ họa rất xuất sắc trong việc cài đặt và phân tích, các công cụ dạng dòng lệnh có thể được sử dụng để tăng tính bảo mật của máy cục bộ cũng như trong mạng, đặc biệt là secedit.exe

Secedit.exe là một công cụ được dùng để cài đặt các template cũng như phân tích cấu hình bảo mật của hệ thống. Nó rất có ích trong việc kiểm tra nhiều máy hoặc khi cần phân tích đều đặn theo chu kì, chẳng hạn hàng đêm.

TASK 3C-8

Analyzing the Current Security Settings of the Local System

1.      Mở command prompt và nhập secedit /export /CFG C:\secfile.txt để chạy công cụ secedit.exe. Cho biết rằng phần xuất ra phải đặt trong file secfile.txt.

2.      Cho phép các lệnh để chạy hoàn thành.

3.      Mở Secfile.txt với Notepad.

4.      Thực hiện cài đặt bảo mật hiện tại, bao gồm các thiết lập mật khẩu và kiểm tra.

5.      Đóng Notepad và command promt.

Phân tích và áp dụng tiêu chuẩn vàng (Gold Standar)

Để thi hành thói quen đặt mật khẩu an toàn trong tổ chức, ban phải thiết lập 1 chính sách có trong Security Settings -> Account Policies -> Password Policy. Trên thực tế, để quản lý chặt chẽ từng máy, phải thay đổi nhiều các chính sách khác. Bạn phải cấu hình chính sách bảo mật để đảm bảo rằng các chuẩn được dùng, ví dụ như Gold Standard từ NIST.

6 chính sách đặt mật khẩu được khuyên dùng theo mặc định của Windows và theo lời khuyên của Gold Standard là:

·         Tuân theo Password History -- Chính sách này xác định số lần thay đổi mật khẩu khác nhau mới được sử dụng lại mật khẩu cũ 1 lần. Mặc định của Windows là 0; theo Gold Standar là 24.

·         Tối đa Password Age -- Chính sách này xác định thời gian mà user sử dụng password trước khi phải thay đổi password đó. Mặc định của Windows là 42 ngày; theo Gold Standard là 90 ngày.

·         Tối thiểu Password Age -- Chính sách này xác định thời gian mà user sử dụng password cho đến khi được phép thay đổi password đó. Tùy chọn này ngăn chặn user có ý định thay đổi password mới thật nhanh để có thể lấy lại password cũ yêu thích. Mặc định của Windows là 0 ngày; theo Gold Standard là 1 ngày.

·         Tối thiểu Password Length -- chính sách này xác định số ký tự ít nhất trong password. Mặc định của Windows là 0; theo Gold Standar là 8.

·         Mật khẩu phải phức tạp -- chính sách này xác định tổ hợp các ký tự nên dùng. Mặc định Windows ko yêu cầu; theo Gold Standar thì cần thiết.

·         Password được lưu trữ sử dụng thuật toán mã hóa đảo ngược trong Domain -- mặc dù nghe như chính sách, thật ra khi enable tùy chọn này, passwords được lưu ở dạng plaintext. Mặc định Windows Disable, Gold Standar cũng thế. Thực tế thì đừng bao giờ enable tùy chọn này.