Đồ án:Chính sách bảo mật trên win2003
SV :Nguyễn Văn Hoàng Gia 1
Đồ án:Chính sách bảo mật trên win2003
BẢO MẬT TRONG WINDOW SERVER 2003(win2k3)
Như chúng ta đã biết khoa học máy vi tính ngày nay vô cùng phát triển, do
nhu cầu trao đổi thông tin tăng lên không ngừng .Ngày nay máy vi tính là một vật bất
khả li thân của nhiều người, nó đi sâu vào đời sống và giúp lưu trữ, xử lý thông tin
hết sức đơn giản. Nhưng do yêu cầu công việc muốn trao đổi thông tin với nhau thì
người ta cần đến một giao thức hết sức quan trọng đó là giao thức mạng máy tính.
Mạng vi tính giúp rút ngắn khoảng cách về địa lí dù bạn ở nơi đâu Điều đó đã kéo
theo sự phát triển đến chóng mặt của các mạng máy vi tính như:mạng lan mạng wan,
mạng internet…Để đáp ứng yêu cầu thời đại, Microsoft nhà cung cấp phần mềm
hàng đầu trên thề giới đã tung ra nhiều hệ điều hành như: win server 2000, window
server 2003… để điều hành ,quản lý mạng máy vi tính. Cùng với nhu cầu trao đổi
thông tin thì cũng yêu cầu khả năng bảo mật thông tin đó ngày càng tốt hơn. Window
server 2003 (win2k3)là một sự lựa chọn đúng đắn. Win2k3 là phiên bản kế thừa và
phát triển các hệ điều hành trước đó. Nó đã tích hợp rất nhiều công cụ mạnh nhằm
giúp người quản trị có thể thiết lập bảo mật , quản trị hệ thống tin trong mạng của
mình trước các cuộc thâm nhập hệ thống trái phép.vì vậy việc tìm hiểu về chính sách
bảo mật trong window server 2003 là một nhu cầu tất yếu.Tuy hiện giờ Microsoft đã
Trong win2k3 chúng ta có 2 phần dành cho bảo mật cơ bản đó là
:Domain controller security setting và Default domain security setting . Hai
phần này có những thành phần giống nhau nhưng tác dụng, ảnh hưởng của
chúng thì khác nhau.Nếu chúng ta chỉnh trên phần Domain controller security
setting thì sẽ có ảnh hưởng đến toàn bộ domain: các tài khoản truy nhập domain
từ các máy con và máy trạm.
Do vậy trong đồ án này chúng tôi chỉ trình bày về Default domain security
setting.
%.20$345$
%6%.78*
Chính sách tài khoản người dùng (Account Policy) được dùng để chỉ
định các thông số về tài khoản người dùng mà nó được sử dụng khi tiến trình
logon xảy ra. Nó cho phép bạn cấu hình các thông số bảo mật máy tính : chính
sách mật khẩu, khóa tài khoản và chứng thực Kerberos trong vùng. Nếu trên
Server thành viên thì bạn sẽ thấy hai mục Password Policy và Account Lockout
Policy, trên máy Windows Server 2003 làm domain controller thì bạn sẽ thấy ba
thư mục Password Policy, Account Lockout Policy và Kerberos Policy. Trong
SV :Nguyễn Văn Hoàng Gia 4
Đồ án:Chính sách bảo mật trên win2003
Windows Server 2003 cho phép bạn quản lý chính sách tài khoản tại hai cấp độ
là: cục bộ và miền
%6.'()
Muốn cấu hình các chính sách tài khoản người dùng ta vào:
Start /program/administrative tools/default domain security settings(hình 1)
SV :Nguyễn Văn Hoàng Gia 5
Đồ án:Chính sách bảo mật trên win2003
Hình 1
SV :Nguyễn Văn Hoàng Gia 6
Đồ án:Chính sách bảo mật trên win2003
%66%.09
năng: "máy chủ xác thực" (Authentication server - AS) và "máy chủ cung
cấp vé" (Ticket granting server - TGS). "Vé" trong hệ thống Kerberos chính
là các chứng thực chứng minh nhân dạng của người sử dụng.
Mỗi người sử dụng (cả máy chủ và máy khách) trong hệ thống chia sẻ một khóa chung
với máy chủ Kerberos. Việc sở hữu thông tin về khóa chính là bằng chứng để chứng
minh nhân dạng của một người sử dụng. Trong mỗi giao dịch giữa hai người sử dụng
trong hệ thống, máy chủ Kerberos sẽ tạo ra một khóa phiên dùng cho phiên giao dịch
đó6
.@3D)
• Tồn tại một điểm yếu: Nếu máy chủ trung tâm ngừng hoạt động thì mọi hoạt
động sẽ ngừng lại. Điểm yếu này có thể được hạn chế bằng cách sử dụng nhiều
máy chủ Kerberos.
• Giao thức đòi hỏi đồng hồ của tất cả những máy tính liên quan phải được đồng
bộ. Nếu không đảm bảo điều này, cơ chế chứng thực dựa trên thời hạn sử dụng
sẽ không hoạt động. Thiết lập mặc định đòi hỏi các đồng hồ không được sai lệch
quá 10 phút.
• Cơ chế thay đổi mật khẩu không được tiêu chuẩn hóa.
SV :Nguyễn Văn Hoàng Gia 10
Đồ án:Chính sách bảo mật trên win2003
."C
6%.78*
Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách
giám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung. Đồng
thời dựa vào công cụ này bạn có thể cấp quyền hệ thống cho các người dùng và thiết
lập các lựa chọn bảo mật.
Hình 5
6'E#F0)
SV :Nguyễn Văn Hoàng Gia 11
Đồ án:Chính sách bảo mật trên win2003
Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự kiện
khoản người dùng hoặc nhóm được ủy quyền cho người dùng hoặc máy tính
SV :Nguyễn Văn Hoàng Gia 13
Đồ án:Chính sách bảo mật trên win2003
+ Force Shutdown from a Remote System :cho phép tắt máy tính từ hệ thống điều
khiển từ xa
+ Generate Security Audits : cho phép tao entry vào Security log.
+ Increase Quotas :điều khiển hạn ngạch các tiến trình
+ Increase Scheduling Priority : Quy định một tiến trình có thể tăng hoặc giảm độ ưu
tiên đã được gán cho tiến trình khác.
+ Load and Unload Device Drivers :cho phép cài đặt hoặc gỡ bõ driver của thiết bị
khác
+ Lock Pages in Memory :khóa trang trong vùng nhớ
+ Log On as a Batch Job : Cho phép một tiến trình logonvào hệ thống và thi hành
một tập tin chứa các lệnh hệ thống.
+ Log On as a Service : Cho phép một dịch vụ logonvà thi hành một dịch vụ riêng.
+ Log On Locally : Cho phép người dùng logon tại máy tính Server.
+ Manage Auditing and Security Log : Cho phép người dùng quản lý Security log.
+ Modify Firmware Environment Variables : Cho phép người dùng hoặc một tiến
trình hiệu chỉnh các biến môi trường hệ thống.
SV :Nguyễn Văn Hoàng Gia 14
Đồ án:Chính sách bảo mật trên win2003
+ Profile System Performance : Cho phép người dùng giám sát các tiến trình hệ thống
thông qua công cụ Performance Logs and Alerts.
+ Remove Computer from Docking Station : Cho phép người dùng gỡ bỏ một Laptop
thông qua giao diện người dùng của Windows 2003
+ Replace a Process Level Token : Cho phép một tiến trình thay thế một token mặc
định mà được tạo bởi một tiến trình con.
+ Restore Files and Directories : cho phép phục hồi tập tin và thư mục
+ Shut Down the System :cho phép tắt hệ thống
+ Synchronize Directory Service Data : Cho phép người dùng đồng bộ dữ liệu với
+ Account: rename administrator account : Cho phép đổi tên tài khoản Administrator
thành tên mới
+ Account: rename guest account : Cho phép đổi tên tài khoản Guestthành tên mới
+Account: Administrator account status :tài khoản admin
Hình 7.2
+account:guest account status :tài khoản guest
+account:limit local account use of blank passwords to console logon only : giới hạn
tài khoản cục bộ sử dụng mật khẩu trắng khi logon
+Audit:audit the user of backup and restore privilege :cho phép người dùng tạo lưu trữ
và phục hồi đặc quyền
SV :Nguyễn Văn Hoàng Gia 18
Đồ án:Chính sách bảo mật trên win2003
+Audit: Shut down system immediately if unable to log security audits :tắt hệ thống
ngay lập tức nếu bảo mật cho phép
+DCOM:machine access restrictions in security
+shutdown:clear vitual memory pagefile :xoa pagefile bộ nhớ ảo
Hình 7.3
.HI0*J$F
Giúp người dùng sử dụng dễ dàng hơn, hệ thống ,quản lý thông tin của người
dùng khi đăng nhập, các lựa chọn thiết lập, lưu trữ thông tin người dùng khi đăng nhập
.
SV :Nguyễn Văn Hoàng Gia 19
Đồ án:Chính sách bảo mật trên win2003
Hình 7.4
=.78* ?-K
=6%.L$M;
-Ipsec(IP scurity) là 1 giao thức hỗ trợ bảo mật dựa trên địa chỉ IP
-Giao thức hoạt động ở tầng thứ 3 network trong mô hình OSI nên nó an toàn và tiện
SV :Nguyễn Văn Hoàng Gia 22
Đồ án:Chính sách bảo mật trên win2003
Đến điền địa chỉ nguồn
Hình 11
Đến điền dịa chỉ máy đích
Hình 13
SV :Nguyễn Văn Hoàng Gia 23
Đồ án:Chính sách bảo mật trên win2003
Chọn kiểu kết nối
Hình 14
FINISH ok
.'E#FC$#O
Chọn tab manage filter actions
SV :Nguyễn Văn Hoàng Gia 24
Đồ án:Chính sách bảo mật trên win2003
Hình 10
ấn add để thêmđiền tênaddNEXT
Hình 16
Chọn kiểu lọc
SV :Nguyễn Văn Hoàng Gia 25
Copyright: Tài liệu đại học ©