Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Như chúng ta đã biết khoa học máy vi tính ngày nay vô cùng phát triển, do nhu
cầu trao đổi thông tin tăng lên không ngừng .Ngày nay máy vi tính là một vật bất khả
li thân của nhiều người, nó đi sâu vào đời sống và giúp lưu trữ, xử lý thông tin hết sức
đơn giản. Nhưng do yêu cầu công việc muốn trao đổi thông tin với nhau thì người ta
cần đến một giao thức hết sức quan trọng đó là giao thức mạng máy tính. Mạng vi tính
giúp rút ngắn khoảng cách về địa lí dù bạn ở nơi đâu Điều đó đã kéo theo sự phát triển
đến chóng mặt của các mạng máy vi tính như:mạng lan mạng wan, mạng internet…Để
đáp ứng yêu cầu thời đại, Microsoft nhà cung cấp phần mềm hàng đầu trên thề giới đã
tung ra nhiều hệ điều hành như: window server 2000, window server 2003… để điều
hành ,quản lý mạng máy vi tính. Cùng với nhu cầu trao đổi thông tin thì cũng yêu cầu
khả năng bảo mật thông tin đó ngày càng tốt hơn. Window server 2003 (win2k3)là
một sự lựa chọn đúng đắn. Win2k3 là phiên bản kế thừa và phát triển các hệ điều hành
trước đó. Nó đã tích hợp rất nhiều công cụ mạnh nhằm giúp người quản trị có thể thiết
lập bảo mật , quản trị hệ thống tin trong mạng của mình trước các cuộc thâm nhập hệ
thống trái phép.vì vậy việc tìm hiểu về chính sách bảo mật trong window server 2003
là một nhu cầu tất yếu.Tuy hiện giờ Microsoft đã tung ra phiên bản window server
2008 kế thừa và phát triển của win 2k3 nhưng win 2k3 vẫn là sử dụng phổ biến nhất.
Đầu tiên để tìm hiểu về chính sách bảo mật trong win2k3 chúng ta cần hiểu khái
niệm bảo mật trong window server 2003 là gì?và tại sao chúng ta lại đi tìm hiểu về
chính sách bảo mật trong win2k3?
Sau đó chúng ta sẽ đi sâu vào tìm hiểu các chính sách bảo mật trong win 2k3 gồm
những bộ phận nào và chức năng nhiệm vụ của từng bộ phận.
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Em xin chân thành cảm ơn ban giám hiệu trường Đại Học Kinh Tế Quốc Dân Bộ
Môn Công nghệ Thông tin đã tạo điều kiện thuận lợi cho em thực hiện Báo Cáo này.
Cảm ơn thầy Phạm Minh Hoàn đã tận tình hướng dẫn , cung cấp tài liệu để em
thực hiện tốt đồ án này.
quản trị mạng đầy đủ các tính năng chạy trên WinXP.
- Tính năng cơ bản của Mail Server được tính hợp sẵn: đối với các công ty nhỏ
không đủ chi phí để mua Exchange để xây dựng Mail Server thì có thể sử dụng dịch
vụ POP3 và SMTP đã tích hợp sẵn vào Windows Server 2003 để làm một hệ thống
mail đơn giản phục vụ cho công ty.
- Cung cấp miễn phí hệ cơ sở dữ liệu thu gọn MSDE (Mircosoft Database
Engine) được cắt xén từ SQL Server 2000.Tuy MSDE không có công cụ quản trị
nhưng nó cũng giúp ích cho các công ty nhỏ triển khai được các ứng dụng liên quan
đến cơ sở dữ liệu mà không phải tốn chi phí nhiều để mua bản SQL Server.
- NAT Traversal hỗ trợ IPSec đó là một cải tiến mới trên môi trường 2003
này, nó cho phép các máy bên trong mạng nội bộ thực hiện các kết nối peer-to-peer
(mạng đồng đẳng) đến các máy bên ngoài Internet, đặt biệt là các thông tin được
truyền giữa các máy này có thể được mã hóa hoàn toàn.
- Bổ sung thêm tính năng NetBIOS over TCP/IP cho dịch vụ RRAS
(Routing and Remote Access). Tính năng này cho phép bạn duyệt các máy tính
trong mạng ở xa thông qua công cụ Network Neighborhood.
- Phiên bản Active Directory 1.1 ra đời cho phép chúng ta ủy quyền giữa các gốc
rừng với nhau đồng thời việc backup dữ liệu của Active Directory cũng dễ dàng hơn
- Hỗ trợ tốt hơn công tác quản trị từ xa do Windows 2003 cải tiến
RDP (Remote Desktop Protocol) có thể truyền trên đường truyền 40Kbps.
Web Admin cũng ra đời giúp người dùng quản trị Server từ xa thông qua một
dịch vụ Web một cách trực quan và dễ dàng.
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b
2
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
- Hỗ trợ môi trường quản trị Server thông qua dòng lệnh phong phú hơn
- Các Cluster NTFS có kích thước bất kỳ khác với Windows 2000 Server chỉ
hỗ trợ 4KB
- Cho phép tạo nhiều gốc DFS (Distributed File System) trên cùng một Server.
)
4
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Start /program/administrative tools/default domain security settings(hình 1)
Hình 1
@&@,E=BC.83GK1
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b
5
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Hình 2
Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn cho mật khẩu
của người dùng để tránh các trường hợp đăng nhập bất hợp pháp vào hệ thống. Chính
sách này cho phép bạn qui định :chiều dài ngắn nhất của mật khẩu, độ phức tạp của
mật khẩu…
@&&,E=BCGLM3F/G76
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b
6
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Hình 3
Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức và thời
điểm khóa tài khoản trong vùng hay trong hệ thống cục bộ. Chính sách này giúp hạn
chế tấn công thông qua hình thức logon từ xa.
@&(,E=BCA>:5>:7=N-OP
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b
7
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Hình 4
@&O,/J/3/21?QA>:5>:7=
Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tính
hoạt động trên những đường truyền không an toàn. Giao thức Kerberos có khả năng
chống lại việc nghe lén hay gửi lại các gói tin cũ và đảm bảo tính toàn vẹn của dữ liệu.
giám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung. Đồng
thời dựa vào công cụ này bạn có thể cấp quyền hệ thống cho các người dùng và thiết
lập các lựa chọn bảo mật.
Hình 5
&&/X3Y8ZCE=BCG/0.37B
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b
9
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các
sự kiện xảy ra trong hệ thống, trên các đối tượng cũng như đối với các người dùng.
Bạn có thể xem các ghi nhận này thông qua công cụ Event Viewer trong mục
Security.
&(,/X3Y8Z[1RQ234C7H/<I
Đối với hệ thống Windows Server 2003, bạn có hai cách cấp quyền hệ thống
cho người dùng là: gia nhập tài khoản người dùng vào các nhóm tạo sẵn (built-in) để
kế thừa quyền hoặc bạn dùng công cụ User Rights Assignment để gán từng quyền rời
rạc cho người dùng. Trong hai công cụ đó bạn mở mục Local Policy\ User Rights
Assignment để thêm ,bớt quyền hạn cho người dùng hoặc nhóm .Ta chọn quyền cần
cấp rồi ấn ADD hoặc REMOVE .
+Access This Computer from the Network : cho phép truy cập đến máy tính
này thông qua mạng
+Act as Part of the Operating System :cho phép các dịch vụ chứng thực ở mức thấp
+Add Workstations to the Domain : cho phép thêm tài khoản vào vùng (domain)
+Back Up Files and Directories : cho phép sao lưu dự phòng tập tin và thư mục
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b
10
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
+Bypass Traverse Checking :cho phép người dùng duyệt qua cấu trúc thư mục
.nếu không có quyền xem
+ Change the System Time :thay đổi giờ hệ thống
trình hiệu chỉnh các biến môi trường hệ thống.
+ Profile System Performance : Cho phép người dùng giám sát các tiến trình hệ
thống thông qua công cụ Performance Logs and Alerts.
+ Remove Computer from Docking Station : Cho phép người dùng gỡ bỏ một
Laptopthông qua giao diện người dùng của Windows 2003
+ Replace a Process Level Token : Cho phép một tiến trình thay thế một token
mặc định mà được tạo bởi một tiến trình con.
+ Restore Files and Directories : cho phép phục hồi tập tin và thư mục
+ Shut Down the System :cho phép tắt hệ thống
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b
12
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
+ Synchronize Directory Service Data : Cho phép người dùng đồng bộ dữ liệu
với một dịch vụ thư mục.
+ Take Ownership of Files or Other Objects : Cho người dùng tước quyền sở
hữu của một đối tượng hệ thống.
Hình 6.2
&O1UC3E567.83
Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server khai
báo thêm các thông số nhằm tăng tính bảo mật cho hệ thống như: không cho phép hiển
thị người dùng đã logon trước đó hay đổi tên tài khoản người dùng tạo sẵn
(administrator, guest). Trong hệ thống Windows Server 2003 hỗ trợ cho chúng ta rất
nhiều lựa chọn bảo mật, nhưng trong giới hạn đồ án này em chỉ khảo sát các lựa chọn
thông dụng
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b
13
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Hình 7.1
+Shutdown: allow system to be shut down without having to log on : cho phép tắt
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
(,#\G/2<]8Z
Giúp người dùng sử dụng dễ dàng hơn, hệ thống ,quản lý thông tin của người dùng khi
đăng nhập, các lựa chọn thiết lập, lưu trữ thông tin người dùng khi đăng nhập .
Hình 7.4
O,/J/3/21?Q^=>C
O@,_`M
-Ipsec(IP scurity) là 1 giao thức hỗ trợ bảo mật dựa trên địa chỉ IP
-Giao thức hoạt động ở tầng thứ 3 network trong mô hình OSI nên nó an toàn
và tiện lợi hơn tầng APPLICATION
O&,BC=a<W
Để sử dụng IPsec bạn phải tạo ra qui tắc (rule) .1 qui tắc là sự kết hợp của :bộ
lọc (filter) và hành động (action)
O(,BC<W
-IPsec của microsoft hỗ trợ 4 tác động (action),các tác động này giúp việc trao
đổi thông tin ,dữ liệu giữa các máy tính an toàn hơn.
+Block transmissions: có chức năng chặn những gói dữ liệu được truyền
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b
16
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
+Encryp transmissions:mã hóa dữ liệu được truyền
+Sign transmissions: ký tên vào các gói dữ liệu được truyền nhằm tránh giã mạo
+Permit transmissions:cho dữ liệu truyền thông qua dựa vào các qui tắc (rule)
OO, /01
Cách vào IPsec:
StartProgramsadministrative toolsdefault domain controller security
settingsIP security policies on local machine
M,BC3D.5UYbC.J/
Nhấp phải vào IP security policies on active directory manage ip filter lists and
filter actions chọn tab manage ip filter listsadd để thêm
-@c
ấn add để thêmđiền tênaddNEXT
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b
20
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Hình 16
Chọn kiểu lọc
Hình 17
Chọn tác động
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b
21
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Hình 18
Bảo mật IP
Hình 19
C,BCGX3VZ5UYbC?F3BCTU567.83
Nhấp phải chuột IP security on active directorygreate ip security policyadd
để thêm IP mớiđiền tên(hình 20)
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b
22
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Hình 20
chọn điểm kết thúc của kênh tunnel
Hình 21
chọn kiểu kết nối mạng
Copyright: Tài liệu đại học ©