GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 1

LỜI CẢM ƠN
Để hoàn thành chương trình học của hệ Cao Đẳng và làm đề án tốt nghiệp này,
chúng em đã nhận được sự hướng dẫn, giúp đỡ và gớp ý kiến nhiệt tình của quý
thầy cô Trường Cao Đẳng Nguyễn Tất Thành và Trường Trung Cấp Kinh Tế- Kỹ
Thuật Tân Việt.
Trước hết, em xin chân thành cảm ơn đến quí thầy cô Trường Trung Cấp Kinh Tế-
Kỹ Thuật Tân Việt, đặc biệt là những thầy cô đã tận tình dạy bảo cho chúng em
suốt thời gian học tập tại trường.
Em xin gửi lời biết ơn sâu sắc đến Thạc Sỉ - Nguyễn Minh Thi. Thầy đã dành rất
nhiều thời gian và tâm huyết hướng dẫn nghiên cứu và giúp em hoàn hành đề án tốt
nghiệp.
Nhân đây, tôi xin chân thành cảm ơn Ban Giám hiệu Trường Trung Cấp Kinh Tế-
Kỹ Thuật Tân Việt cùng quí thầy cô trong Khoa Công Nghệ Thông Tin đã tạo rất
nhiều điều kiện để em học tập và hoàn thành tốt khóa học.
Đồng thời, em cũng xin cảm ơn quí anh, chị và ban lãnh đạo Công Ty Cổ Phần SX
– TM – DV Phúc Nguyên đã tạo điều kiện cho em khảo sát và thực tập qui trình làm
việc của hệ thống để viết báo cáo tốt nghiệp và hoàn thành được đề án. Mặc dù em
đã có nhiều cố gắng hoàn thiện đề án bằng tất cả sự nhiệt tình và năng lực của mình,
tuy nhiên không thể tránh khỏi những thiếu sót. Rất mong được sự đóng góp quí
báo của các thầy cô và các bạn. TP.HCM, ngày tháng 3 năm 2010

i trong
windows server để triển khai hệ thống mạng.
Từ 02/03 – 12/03 Tiến hành viết báo cáo về đề án windows server 2008.
Ngày 13/03/2010 Nộp Đề Án.
Xác nhận của GVHD Th.S Nguyễn Minh Thi

Ngày 13 tháng 03 năm 2010
Sinh viên thực hiện Nguyễn Thênh Đặng Hữu Minh
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 3

Mục lục

Chương 1 Mở Đầu 4
Chương 2 TỔNG QUÁT VỀ WINDOWS SERVER 2008 5
1) Windows Sever 2008 là gì ? 5
Chương 3 TÌM HIỂU VÀ NGHIÊN CỨU 8
1) Hệ Thống Windows Server 2008 Là gì ? 8
2) . Audit Policy là gì 9
3) Kiểm soát thành viên nhóm Administrator nội bộ 14
4) Thiết lập lại mật khẩu Administrator nội bộ 16
5) .UAC ( User Account Control) 19

như bảo mật thông tin quan trọng là một đòi hỏi vô cùng bức thiết với các doanh
nghiệp đó. Sự phát tiển ngày càng cao của các hệ điều hành, cũng như các hổ trợ
của nó trong việc quản lý cũng ngày càng phát triển. Nổi bật của Windows Server
2008 .
Qua đề tài này, sẽ tìm hiểu đôi nét về các dịch vụ của nó, giúp cho người quản
trị cũng như người sử dụng dễ dàng hơn trong thao tác khi làm việc trên môi trường
củaWindowsServer2008

GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 5
Chương 2 TỔNG QUÁT VỀ WINDOWS SERVER 2008
1) Windows Sever 2008 là gì ?
27 tháng 2 năm 2008 Microsoft mới chính thức đưa ra bản Windows Server
2008, và bản SP1 cho Vista nhưng ngay từ lúc này những công nghệ của Windows
Server 2008 đã bắt đầu được cộng đồng IT nghiên cứu. Dưới đây là 10 lý do đầu
tiên để cài đặt Windows Server 2008.
Mạng ảo( Windows Server Virtualization.)
Windows Server 2008 sẽ bao gồm cả tính năng Windows Server Virtualization
(WSV), một công cụ đầy hứa hẹn, đáp ứng yêu cầu tận dụng hiệu năng xử lý của

các nhà quản trị chuyên nghiệp. Windows Server 2008 với những tính năng cao cấp
nhưng cũng cải thiện đáng kể việc quản trị, mang đến những công cụ đơn giản hiệu
quả trong quản lý, bảo dưỡng hệ thống. Cac dịch vụ như Active Directory, bao gồm
Read-Only Domain Controllers và Administrative role.
Quản lý (Server Management Made Easier).
Ngày qua ngày máy chủ của bạn dữ liệu ngày một nhiều hơn, các dịch vụ đôi khi
cũng không chạy trơn tru nữa và bạn là nhà quản trị phải điều khiển từ xa để giám
sát và giải quyết những sự cố liên quan.
Tăng cường công tác Scripting và Tự động hóa (Enhanced Scripting and Task
Automation.
Một trong những công nghệ mới được cộng đồng IT đánh giá cao đó là: Công
cụ quản trị dòng lệnh mới Windows PowerShell, hỗ trợ đầy đủ ngôn ngữ Scripting,
giúp các nhà quản trị thực hiện các công việc một cách tự động. Với trọng tâm là
ngôn ngữ scripting cho các nhà quản trị, với hơn 120 công cụ dòng lệnh, với các
cấu trúc rõ dàng cho các ứng dụng cụ thể, Windows PowerShell cho phép người
quản trị dễ dàng hơn trong việc quản lý, quản trị hệ thống và lên lịch cho những tác
vụ cần chạy tự động.
Tập trung ứng dụng truy cập (Centralized Application Access.)
Với Window Server 2008, người dung sẽ được bảo mật trong khi truy cập vào các
ứng dụng qua các port cơ bản trên firewall. Với Windows Server Terminal Service
RemoteApp, chỉ cho một vài ứng dụng trên Windows, không cho phép điều khiển
toàn bộ màn hình, và chạy các ứng dụng từ việc remote từ một máy client.
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 7
Bảo vệ tính không lành mạnh từ Bước vào mạng. (Protect Unhealthy
Computers from Entering the Network.)
Network Access Protection (NAP) được sử dụng dể đảm bảo mọi máy tính kết nối
vào hệ thống mạng của công ty đều phải chịu chính sách kiểm tra "healthy - sức

Windows Server 2008 Standard là phiên bản bao gồm các tính năng sẵn có, bổ
sung những cải tiến về Web và khả năng ảo hóa. Phiên bản này mang nền tảng
Server mềm dẻo và tin cậy, giúp tết kiệm thời gian và giảm chi phí; những công cụ
quản lý mạnh mẽ giúp người quản trị dễ dàng thực hiện hầu hết các nhiệm vụ quản
trị. Đồng thời, phiên bản này cũng đảm bảo tốt nhiệm vụ bảo mật, bảo vệ hệ thống
mạng.
Windows Server 2008 Enterprise là nền tảng thích hợp với hệ thống mạng và
các ứng dụng ở qui mô xí nghiệp, đặt biệt là những đơn vị có hạ tầng công nghệ
thông tin yêu cầu cao về khả năng thay đổi và mở rộng.
Windows Server 2008 Datacenter là phiên bản phù hợp với qui mô xí nghiệp,
đặt biệt là yêu cầu về mở rộng của khả năng ảo hóa.
Windows Web Server 2008 là phiên bản được thiết kế để xây dựng nên các
Web Server. Tích hợp với Microsoft .NET Framework, phiên bản này cho phép bạn
chạy nhanh chóng triển khai các ứng dụng Web và Web Services.
Windows Server 2008 for Itanium-Based Systems phù hợp với những cơ sở dữ
liệu lớn, những ứng dụng yêu cầu tính sẵn sàng và những khả năng mở rộng cao với
số bộ vi sử lý có thể lên tới 64.
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 9

Windows Server 2008 Standard without Hyper-V là Windows Server 2008
Standard không bao gồm Windows Server Hyper-V.
Windows Server 2008 Enterpise là Windows Server 2008 Enterpise không bao
gồm Windows Server Hyper-V.
Windows Server 2008 Datacenter without Hyper-V là Windows Server
Datacenter không bao gồm Windows Server Hyper-V.
2) . Audit Policy là gì
Computer Configuration\Policies\Windows Settings\Security Settings\Local

GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 11

Bổ sung thêm một người dùng vào nhóm
Đặt lại tên một tài khoản người dùng
Thay đổi mật khẩu của tài khoản người dùng
Đối với domain controller, hạng mục này sẽ thẩm định những thay đổi đối với
tài khoản miền. Đối với máy chủ và máy khách, hạng mục sẽ thẩm định Security
Accounts Manager nội bộ và các tài khoản cư trú ở đó. Thiết lập này không được
kích hoạt cho bất cứ hệ điều hành nào ngoại trừ Windows Server 2003 domain
controller, được cấu hình để thẩm định thành công các sự kiện này.
Audit directory service access(dịch vụ truy cập vào thư mục) – Hạng mục này
sẽ thẩm định sự kiện có liên quan đến việc truy cập của người dùng vào đối tượng
Active Directory (AD), AD này đã được cấu hình để kiểm tra sự truy cập của người
dùng thông qua System Access Control List (SACL) của đối tượng. SACL của đối
tượng AD sẽ chỉ rõ ba vấn đề sau:
Tài khoản (của người dùng hoặc nhóm) sẽ được kiểm tra
Kiểu truy cập sẽ được kiểm tra, chẳng hạn như đọc, tạo, thay đổi,…
Sự truy cập thành công hay thất bại đối với đối tượng
Do mỗi một đối tượng đều có SACL riêng nên mức điều khiển sẽ rất chính
xác. Thiết lập này không được kích hoạt cho bất cứ hệ điều hành nào ngoại trừ
Windows Server 2003 domain controller, được cấu hình để thẩm định thành công
các sự kiện này. Đây cũng là cách tốt nhất để cho phép thẩm định thành công hay
thất bại đối với việc truy cập dịch vụ thư mục cho tất cả domain controller.
Audit logon events(Kiểm toán sự kiện đăng nhập) – Hạng mục này sẽ thẩm
định mỗi sự kiện có liên quan đến người dùng đang đăng nhập, đăng xuất hay đang
tạo một kết nối mạng đến một máy tính được cấu hình để thẩm định các sự kiện
đăng nhập. Một ví dụ điển hình về trường hợp sử dụng hạng mục này là thời điểm

Audit privilege use (Kiểm soát đặc quyền sử dụng)– Hạng mục này sẽ thẩm định sự
kiện có liên quan đến việc thực hiện một nhiệm vụ nào đó được điều khiển bởi một
người dùng có thẩm quyền. Danh sách các quyền người dùng khá rộng, ta có thể
quan sát trong hình 3 bên dưới.
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 13 Hình 2.3: Danh sách quyền người dùng cho một máy tính Windows
Mặc định mức thẩm định này không được cấu hình để kiểm tra các sự kiện cho các
hệ điều hành nào. Thứ tốt nhất để thực hiện là cấu hình mức thẩm định này cho tất
cả các máy tính trong mạng.
Audit process tracking (Kiểm toán quá trình theo dõi)– Hạng mục này sẽ thẩm định
sự kiện có liên quan đến các quá trình trên máy tính. Ví vụ như các chương trình
kích hoạt, quá trình exit, gián tiếp truy cập đối tượng, nhân bản. Mức thẩm định này
sẽ tạo một số các sự kiện và thường không được cấu hình trừ khi một ứng dụng nào
đó đang được kiểm tra với mục đích khắc phục sự cố.
Audit system events (Kiểm toán, hệ thống các sự kiện)– Hạng mục này sẽ thẩm
định sự kiện có liên quan đến việc khởi động lại máy tính hoặc “shut down”. Các sự
kiện có liên quan với bản ghi bảo mật và bảo mật hệ thống cũng sẽ được kiểm tra
khi cách thức thẩm định này được kích hoạt. Đây là một cấu hình thẩm định được
yêu cầu cho máy tính cần kiểm tra không chỉ khi các sự kiện xuất hiện mà cả khi
bản thân bản ghi được xóa. Thiết lập này không có trong các hệ điều hành ngoại trừ
Windows Server 2003 domain controllers, được cấu hình để thẩm định sự truy cập
các sự kiện này. Đây là cách thức tốt nhất để cấu hình mức thẩm định này cho tất cả
các máy tính trong mạng.
Event ID trên hạng mục thẩm định(Sự kiện ID. Trên hạng mục thẩm định)
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh

Cài đặt ứng dụng
Hủy bỏ cài đặt các ứng dụng, các bản vá bảo mật và các gói dịch vụ.
Truy cập vào Website được tường lửa cho phép
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 15

Download và cài đặt ActiveX controls, các ứng dụng Web hoặc các ứng dụng mã
độc khác được download từ Internet.
Mặc dù yêu cầu người dùng cần phải có quyền quản trị viên để cho phép các ứng
dụng nào đó hoạt động, tuy nhiên kiểu truy cập này thường rất nguy hiểm và dễ đặt
desktop và toàn bộ mạng vào các tấn công bảo mật. Với Group Policy của Windows
Server 2008, người dùng hiện có thể được remove từ nhóm Administrators nội bộ
bằng cách chỉ dùng một chính sách đơn giản. Thiết lập này điều khiển Windows XP
SP2 và các hệ điều hành cao hơn. Chúng là các thiết lập Preferences mới của Group
Policy. Để truy cập vào thiết lập này, ta cần mở Group Policy Object và vào phần:
User Configuration\Preferences\Control Panel
Sau đó kích chuột phải vào Local Users and Groups. Từ menu, kích New - Local
Group. Khi đó hộp thoại dưới đây sẽ xuất hiện.

Hình 2.4: Group Policy Preference cho Local Group
Để cấu hình chính sách, ta hãy đánh Administrators vào hộp văn bản Group, sau đó
tích vào hộp kiểm “Remove the current User”. Trong lúc background kế tiếp của
Group Policy refresh tất cả các tài khoản người dùng nằm trong phạm vi quản lý
của GPO, nơi thiết lập này được cấu hình, thì các tài khoản sẽ được remove ra khỏi
nhóm Administrators trên máy tính họ đăng nhập.
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh


Windows Firewall với độ bảo mật nâng cao
Trước đây, người dùng và các quản trị viên đều mơ màng về Windows Firewall, do
những khả năng hạn chế về các sản phẩm của họ. Giờ đây, Windows Firewall có
một số thiết lập bảo mật tiên tiến cho phép họ có những hiểu biết rõ ràng hơn về
tường lửa.
Windows Server 2008 giới thiệu một tường lửa mới và có nhiều cải thiện đáng kể;
Windows Firewall với Advanced Security. Tường lửa mới này trong Windows có
nhiều cải thiện và cũng rất giống với tường lửa được giới thiệu trong Windows
Vista. Các tính năng mới có trong tường lửa mới này về vấn đề bảo mật nâng cao
gồm có:
Nhiều điều khiển truy cập đi vào
Nhiều điều khiển truy cập gửi đi
Tích hợp chặt chẽ với Windows Server 2008 Server Manager, với cấu hình tự
động của tường lửa khi các dịch vụ được cài đặt bằng Server Manager.
Cấu hình và việc quản lý chính sách IPsec được cải thiện mạnh mẽ, bên cạnh đó là
còn có cả sự thay đổi tên. Các chính sách IPsec hiện được khai báo như các rule bảo
mật kết nối (Connection Security Rules).
Kiểm tra chính sách tường lửa được cải thiện
Kiểm tra các chính sách IPsec được cải thiện (giờ đây được gọi là các Rule bảo mật
kết nối)
Kiểm tra tập trung các trong việc kết hợp chế độ bảo mật Main và Quick được cải
thiện
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 18

Các tính năng bảo mật tiên tiến mới của Windows Firewall không chỉ kết hợp chặt
chẽ trong việc lọc inbound và outbound mà còn gồm có cả IPSec.
Các thiết lập này chỉ có thể kiểm soát với Windows Vista và nằm trong vùng bảo

Policies\Security Options, xem trong hình 4 bên dưới.
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 20 Hình 2.8: Các tùy chọn Group Policy để kiểm soát UAC
6) Chính sách mật khẩu
Mặc dù các mật khẩu không thật sự hấp dẫn như một thiết lập bảo mật, nhưng
khả năng kiểm soát các mật khẩu bằng Group Policy cũng không nên bỏ qua trong
danh sách top 5 này. Windows Server 2008 vẫn sử dụng Group Policy để xác định
các thiết lập chính sách tài khoản ban đầu, thứ không thay đổi từ Windows 2000.
Các thiết lập được cấu hình ban đầu trong Default Domain Policy, nhưng chúng có
thể được tạo trong bất kỳ GPO nào được liên kết với miền. Các thiết lập mà chúng
ta có thể cấu hình được thể hiện trong hình 1.8 và các thiết lập thể hiện trong .

Hình 2.9: Các thiết lập chính sách mật khẩu trong Default Domain Policy
a) . Group Policy Preferences
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 21

Group policy Preferences là một sự mở rộng của GP trên Windows Server
2008. Preferences bao gồm hơn 20 chức năng bổ sung liên quan đến GP, cho phép
chúng ta mở rộng phạm vi câu hình các GPO. Với Preferences, chúng ta có thề thao
tác với ổ đĩa mạng, thiết lập registry, quản lý tài khoản cục bộ, quản lý dịch vụ, file
và thư mục…


Folder Options: cấu hình folder options cho các máy trạm chạy hệ điều hành
Windows XP hoặc Vista. Tại đây, chúng ta cũng có thể tương tác với chức năng
Open With kết hợp với thành phần mở rộng của các file.

Hình 2.11: Cấu hình folder options cho các máy trạm.
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 23

Inrernet Settings: cho phép chúng ta thiết lập cấu hình cho các trình duyệt
Internet Explorer phiên bản 5, 6 và 7 trên các máy trạm.
Local users and Groups: tạo, hiệu chỉnh và xóa tài khoản cục bộ.
Network Options: tương tác với các kết nối VPN (virtual private networking)
hoặc dial-up.
Power Options: tương tác với Power của máy trạm chạy hệ diều hành
Windows XP. Hình 2.12 : Tương các với power của máy trạm chạy Windows XP.
Printers: quản lý máy in cục bộ và máy in mạng.
Regional Options: hiệu chỉnh các thông số như: định dạng ngày giờ, tiền tệ…
Scheduled Tasks: tạo, hiệu chỉnh hoặc xóa các tác vụ (task0 đã được lập lịch
hoặc thực thi tức thì.
Services: tương tác với các dịch vụ trên hệ thống.
Start Menu: hiệu chỉnh menu Start của các máy trạm chạy hệ đều hành
Windows XP hoặc Vista.
c) Tìm Hiểu Về Windows 2008 Hyper-V là gì?
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

trong bài này.
Các dịch vụ và giao thức mạng nào bị remove trong Windows Server 2008?
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 25

Dưới đây là các dịch vụ mạng và các giao thức mạng truyền thống vẫn được sử
dụng trong các phiên bản hệ điều hành máy chủ khác nhưng không có trong
Windows Server 2008:
• Bandwidth Allocation Protocol (BAP) – BAP được sử dụng cho các kết nối
multi-link PPP, đặc biệt với việc ràng buộc các liên kết ISDN. Ngày nay, không
thực sự có nhiều nhu cầu để Windows Server kết nối trực tiếp với các kết nối PPP.
• X.25 – giao thức mạng diện rộng, X.25 được thay thế bởi frame-relay và
ngày nay còn có nhiều giao thức khác nữa bởi MPLS.
• Serial Line Interface Protocol (SLIP) – giao thức SLIP được sử dụng cho kết
nối mạng quay số nhưng nó có ít tính năng hơn PPP. Chính vì vậy PPP trở thành
phương pháp chính cho kết nối quay số và PPTP, người anh em họ của PPP, thường
được sử dụng cho các kết nối VPN với hệ thống Windows.
• Asynchronous Transfer Mode (ATM) – tuy ATM vẫn có thể được sử dụng
trong các mạng không dây nhưng nó kém được phát triển. Điều này thực sự đúng
khi Windows Server kết nối trực tiếp với một mạng ATM.
• NWLink IPX/SPX/NetBIOS Compatible Transport Protocol – thậm chí
Novell Netware đã thay đổi sang IP chính vì vậy không có lý do gì để Windows vẫn
sử dụng nó
• Services for Macintosh (SFM) – với các hệ thống Apple Mac mới hiện đang
chạy IP thì vẫn có một số nhu cầu cho dịch vụ kết nối mạng của Windows.
• Open Shortest Path First (OSPF) trong định tuyến và truy cập từ xa
• Basic Firewall trong Routing and Remote Access - Basic Windows Server
Firewall sẽ được thay thế bởi Advanced Windows Firewall mới.