ĐẠI HỌC CÔNG NGHIỆP HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN


BÀI TẬP LỚN
MÔN: NGUYÊN LÝ HỆ ĐIỀU HÀNH
ĐỀ TÀI: Nghiên cứu tìm hiểu về bảo vệ hệ thống

trong Windows (Windows 2003 server)
 GIÁO VIÊN HƯỚNG DẪN :

Th.s Vương Quốc Dũng
 NHÓM THỰC HIỆN:
• Nhóm 11 – KTPMCLC1.K6
 SINH VIÊN THỰC HIỆN:
• Nguyễn Quốc Toản
• Nguyễn Đức Thọ
HÀ NỘI ,NGÀY 18/12/2012


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012

Mục lục:
I -TỔNG QUAN VỀ AN NINH MẠNG.................................................5
1. Phishing............................................................................................................................7
2. Virus và Worm...................................................................................................................8
3.Trojan................................................................................................................................9
4.Spyware............................................................................................................................9

III- Sơ lược về Windows sever 2003......................................................10
1)Windows server 2003 là gì ?............................................................................................10

Page 2


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
4. Cài đặt Firewall:...............................................................................................................49

TÀI LIỆU THAM KHẢO......................................................................59

GVHD: Th.s Vương Quốc Dũng

Page 3


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012

Lời nói đầu
Trong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng và bảo mật dữ
liệu đang trở nên rất được quan tâm. Trong khi cơ sở hạ tầng và các công
nghệ mạng đã đáp ứng tốt các yêu cầu về băng thông, chất lượng dịch vụ,
thì thực trạng tấn công trên mạng lại ngày một gia tăng. Vì vậy, vấn đề
bảo mật càng cần phải được chú trọng hơn. Đó là môt vấn đề cấp bách
không chỉ với các nhà cung cấp dịch vụ Internet, các cơ quan chính phủ
mà còn cả với các tổ chức doanh nghiệp, họ cũng ngày càng có ý thức
hơn về an toàn thông tin.
Để các bạn có cái nhìn tổng quan hơn về các phương pháp bảo vệ hệ
thống trong windows. Trong tài liệu này chúng tôi xin cùng các bạn tìm
hiểu về các phương thức bảo vệ hệ thống trong HĐH Windows 2003.

HÀ NỘI, ngày 18 /12/ 2012


- Tính bí mật: Hệ thống có tính bí mật là hệ thống mà thông tin của nó
không cho phép những người không có quyền được xem.
- Tính chính xác:Một hệ thống được bí mật phải luôn có tính nhất quán
dữ liệu.Phải ngăn ngừa sự thay đổi vô tình hay cố ý(không được phép)
một thông tin nào đó.
- Tính sẵn sàng: Một hệ thống được bí mật phải luôn sẵn sàng cung cấp
thông tin cho người dùng khi họ cần.
GVHD: Th.s Vương Quốc Dũng

Page 5


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
3. Các hình thức tấn công trên mạng.
a. Tấn công trực tiếp.
Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai
đoạn đầu để chiếm được quyền truy nhập hệ thống mạng bên trong.
b. Nghe trộm trên mạng.
Thông tin gửi đi trên mạng thường được luân chuyển từ máy tính này
qua hàng loạt các máy tính khác mới đến được đích. Điều đó, khiến cho
thông tin của ta có thể bị kẻ khác nghe trộm. Tồi tệ hơn thế, những kẻ nghe
trộm này còn thay thế thông tin của chúng ta bằng thông tin do họ tự tạo ra
và tiếp tục gửi nó đi. Việc nghe trộm thường được tiến hành sau khi các
hacker đã chiếm được quyền truy nhập hệ thống hoặc kiểm soát đường
truyền. May mắn thay, chúng ta vẫn còn có một số cách để bảo vệ được
nguồn thông tin cá nhân của mình trên mạng bằng cách mã hoá nguồn thông
tin trước khi gửi đi qua mạng Internet. Bằng cách này, nếu như có ai đón
được thông tin của mình thì đó cũng chỉ là những thông tin vô nghĩa.
c. Giả mạo địa chỉ.
Giả mạo địa chỉ có thể được thực hiện thông qua sử dụng khả năng

tự cài đặt nó lên trên máy của mình. Ngoài ra hiện nay còn rất nhiều kiểu
tấn công khác mà chúng ta còn chưa biết tới và chúng được đưa ra bởi
những hacker.
II- Các mối đe dọa.
1. Phishing.
Phishing là một thủ đoạn của hacker nhằm lấy thông tin cá nhân của
khách hàng bằng cách dùng email giả danh các tổ chức tài chính. Cách này rất
hay được những tên trộm ảo sử dụng.
Các email tự xưng là các ngân hàng hoặc tổ chức hợp pháp thường được
gởi số lượng lớn. Nó yêu cầu người nhận cung cấp các thông tin khá nhạy cảm
như tên truy cập, mật khẩu, mã đăng ký hoặc số PIN bằng cách dẫn đến một
đường link tới một website nhìn có vẻ hợp pháp, điều đó giúp cho tên trộm có
thể thu thập được những thông tin của quý khách để tiến hành các giao dịch bất
hợp pháp sau đó.
GVHD: Th.s Vương Quốc Dũng

Page 7


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
Dưới đây là một ví dụ về email lừa đảo:

Nếu nhận được email yêu cầu đăng ký hay nhập lại các thông tin cá nhân, cần
xóa chúng ngay và thông báo với bộ phận hỗ trợ Ngân hàng điện tử của
ANZ nơi quý khách ở có thể hạn chế nguy cơ trở thành nạn nhân của email lừa
đảo bằng cách:
• Tuyệt đối không truy cập vào Ngân hàng điện tử qua link lạ gửi qua mail.
• Thận trọng với các thông emails yêu cầu khai báo thông tin như tên truy
cập, mật khẩu, mã pin. Email xác thực của ANZ không yêu cầu chi tiết cá
nhân hay đăng nhập các thông tin.

bản và phát tán trên môi trường internet, mạng ngang hàng, dịch vụ chia sẻ.

3.Trojan.
Trojan xuất hiện để thực thi mã độc ở lớp phía sau. Đây không phải là
virut và có thể dễ dàng được download mà không nhận thấy chúng. Remote
access Trojan (RAT) là một loại trojan phổ biến điều khiển truy cập từ xa, ví
dụ Back Orifice hoặc NetBus; khả năng của chúng cho phép kẻ tấn công có thể
thực thi các quyền quản trị.
4.Spyware.
Spyware là phần mềm theo dõi những hoạt động của bạn trên máy tính.
Chúng thu thập tất cả thông tin cá nhân, thói quen cá nhân, thói quen lướt web
của người dùng gửi về cho tác giả. Spyware là mối đe dọa lớn nhất đối với sự
an toàn của một máy tính, một hệ thống mát tính.

GVHD: Th.s Vương Quốc Dũng

Page 9


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
Windows server 2003 trong một số phiên bản của nó là thế hệ mới nhất của gia
đình Microsoft của hệ điều hành máy chủ, kết hợp những tiến bộ đạt được bằng
cách trước đó Windows NT va Windows server 2000 cũng thuộc gia đình của
sản phẩm này.các hệ điều hành này đã được thử nghiệm và chứng minh từ
năm 1993 là một nền tảng vững chắc cho các ứng dụng và chức năng dựa trên
máy chủ
Windows XP là cũng xuất phát từ cùng một cơ sở mã là Windows Server 2003.
Cơ sở chung này đảm bảo rằng các chức năng cốt lõi của hai hệ điều hành vẫn
còn giống hệt nhau. Những lợi ích có rất nhiều cách tiếp cận này cung cấp bao
gồm:

Phổ biến trình điều khiển thiết bị

•

Phần mềm tương thích

•

Ổn định cốt lõi hơn

•

Thống nhất giao diện người dùng và kinh nghiệm

GVHD: Th.s Vương Quốc Dũng

Page 10


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
2) Thiết kế bảo mật trong windowns server 2003
Windows NT và hệ thống điều hành Windows 2000 được thiết kế từ lúc bắt
đầu đến được an toàn. Cả hai thực thi đăng nhập người dùng và đảm bảo rằng
tất cả các phần mềm chạy trong khu vực riêng của một tài khoản, mà có thể
được hạn chế hoặc cho phép một cách thích hợp. Bảo mật Windows là không
giới hạn bảo mật người dùng đăng nhập, nhưng mở rộng cho tất cả các đối
tượng trong hệ thống điều hành. Tập tin trên ổ đĩa cứng, các mục trong
registry, các thành phần, tất cả các phần mềm những yếu tố này có một khía
cạnh an ninh. Các thành phần hệ thống điều hành có thể truy cập các đối tượng
chỉ với các điều khoản và các thông tin thích hợp.Điều này có thể có lợi nhưng


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
và thêm những cái mới.Một số tính năng bảo mật được chuyển từ các phiên
bản trước bao gồm:
• Xác thực Kerberos
Xác thực Kerberos: Kerberos là một mạng lưới giao thức xác thực tiêu chuẩn
hóa và được sử dụng rộng rãi. Tích hợp vàoWindows 2000, Kerberos cung cấp
thông tin chứng minh cho người sử dụng, máy tính, và các dịch vụ đang chạy
trên Windows 2000, Windows XP Professional, và WindowsServer 2003.
Trước khi sử dụng Kerberos trong Windows 2000, NTLM được sử dụng như
các giao thức xác thực.Trong khi NTLM vẫn là một giao thức hữu ích cho việc
duy trì khả năng tương thích với các hệ thống điều hành cũ hơn, nó không hiệu
quả hoặc khả năng tương tác như Kerberos. NTLM cũng có một số thiếu hụt
bảo mật mà Kerberos thì không.
• Bảo mật IP
Sử dụng giao thức TCP / IP của đã trở nên phổ biến. Trong khi TCP / IP cung
cấp các lợi ích to lớn đối với các giao thức mạng khác, nó không phải là điều
mong muốn từ một quan điểm bảo mật. Dữ liệu được gửi qua một mạng lưới
với bộ giaothức này không được thiết kế để được an toàn và có thể dễ dàng
ngăn chặn và giải mã. bảo mật IP (IPSec) là một tập hợp các tiêu chuẩn dựa
trên RFC định nghĩa như thế nào dữ liệu có thể được gửi an toàn thông qua
giao thức TCP / IP.Dữ liệu có thể được mã hóa, chữ ký số, hoặc cả hai bằng
cách sử dụng IPSec. Nhiều thiết bị phần cứng, chẳng hạn như thiết bị định
tuyến và tường lửa, IPSec hỗ trợ thông tin liên lạc. IPSec có sẵn trong
Windows 2000, Windows XPProfessional, và Windows các sản phẩm máy chủ
gia đình 2003. Đó là kết hợp vào các trình điều khiển mạng, cho phép nó tích
hợp thông suốt với các phần mềm TCP / IP hiện có.Thực hiện là phù hợp với
tiêu chuẩn thành lập, cho phépWindows Server 2003 để giao tiếp với các thiết
bị mạng khác đúng được trang bị thôngqua IPSec.
• Mã hóa tập tin hệ thống

giấy chứng nhận khóa công khai.
• Hỗ trợ thẻ thông minh
Tất cả các bảo mật trong Windows được dựa trên khái niệm của một hoàn cảnh
người sử dụng. Nội dung này thường được chứng minh là các máy tính địa
phương và vùng sâu, vùng xa với việc sử dụng một tên người dùng và mật
khẩu được cung cấp bởi người sử dụng hoặc một thành phần phần mềm.Bởi vì
tên người dùng và mật khẩu biết được thông tin người dùng nhập vào, họ có
thể được nhân rộng hoặc bị đánh cắp trong nhiều cách khác nhau. Yêu cầu một
số thành phần vật lý ngoài các dữ liệu tên người dùng và mật khẩu thêm một
thỏa thuận an ninh với hoàn cảnh người dùng.Thẻ thông minh được thiết bị
được thiết kế để lưu trữ thông tin, kết hợp với một số nhận dạng cá nhân (PIN),
nơi tên người dùng và mật khẩu. Nếu bạn yêu cầu sử dụng của thẻ thông minh,
một người dùng không thể chứng minh danh tính của mình mà không có thẻ
vật lý và mã PIN tương ứng.
4) Cải tiến an ninh trong Windows XP và họ Windows Server 2003
- Trong sự phát triển của Windows XP và Windows Server 2003, Microsoft đã
giám sát chặt chẽ tất cả các hệ thống bảo mật. điều này lên đến đỉnh điểm
trong một ngăn chặn kéo dài hàng tháng vào sự phát triển của Windows để
Microsoft có thể dành thời gian cần thiết để kiểm tra mã hiện tại, quy trình, và
các tính năng để vá cho các lỗ hổng và điểm yếu . Đây là những phân tích và
giải quyết một cách có phương pháp. các tính năng dễ bị tổn thương không
GVHD: Th.s Vương Quốc Dũng

Page 13


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
được gỡ bỏ, mặc dù cấu hình của họ đã được thay đổi để làm cho chúng bị vô
hiệu hóa hoặc không được cài đặt theo mặc định. Mặc dù nỗ lực này đã làm trì
hoãn việc sản xuất của Windows Server 2003, nó chắc chắn là một đầu tư có

của nó. Trong Windows 2000, một công cụ độc lập gọi là IPSecMon là cách
duy nhất để khám phá ra những gì IPSec đang làm. Trong WindowsXP và
GVHD: Th.s Vương Quốc Dũng

Page 14


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
Windows Server 2003, Microsoft Management Console công cụ có sẵn để
giám sát IPSec.Được gọi là IP Security Monitor, cung cấp chi tiết về hoạt động
của IPSec và có thể giúp đánh giá cấu hình sai. IP Security Monitor hoạt động
tốt như là một bổ sung cho các công cụ khác như Resultant Set of Policy
(RSoP), Netdiag, Network Monitor, vàIPSec các bản ghi để giúp đảm bảo rằng
sự truyền thôngIPSec của bạn có thực sự an toàn.
5) Cải tiến an ninh trong Windows Server 2003, Standard, Server Edition
Windows Server 2003 Standard Server là nền tảng của kiến trúc máy chủ
Windows Server 2003. Đây là phiên bản của Windows Server 2003 là phù hợp
cho một phạm vi rộng của các ứng dụng trong một môi trường máy chủ, cung
cấp dịch vụ lưu trữ tập tin để quản lý tài khoản người dùng HTTP. Bởi vì nó có
thể được sử dụng cho nhiều nhiệm vụ khác nhau, rấtnhiều cải tiến an ninh đã
được thực hiện với Windows Server2003 Server Standard, bao gồm:
a. Mã hóa mạnh mẽ hơn nữa cho EFS
Bởi vì EFS là một phương pháp mạnh mẽ bảo vệ chống lại sự thỏa hiệp vật lý
của máy tính, bạn muốn sử dụng mã hóamạnh nhất có thể. Gần đây đã hoàn
thiện thuật toánAdvanced Encryption Standard (AES) được thiết kế như làmột
thay thế cho bộ ứng dụng các thuật toán DES. EFS hỗ trợ mã hóa tập tin với
thuật toán AES mới, trong đó sử dụngmột khóa 256-bit.
b. Group Policy :
Group Policy vẫn là cách dễ nhất và mạnh mẽ nhất để hạnchế và cấu hình kinh
nghiệm của người dùng. Bởi vì rất nhiều tính năng đã được thêm vào Windows

biếnhoặc mới được phát triển các ứng dụng PKI-aware.Windows Server 2003
Standard Server tiếp tục cải thiện cáccơ quan xác nhận bằng cách cung cấp các
tính năng mới như tự động kết nạp khách hàng để tự động triển khai vàquản lý
giấy chứng nhận khách hàng, ứng dụng cấu hình vàchính sách phát hành để
cung cấp cho kiểm soát quản trị cấu hình sâu giấy chứng nhận phát hành, và
vai trò của cơ quan chứng nhận hành chính để giúp ngăn ngừa bất kỳ quản
trịkhông được giữ quá nhiều quyền lực trong một cơ quan cấpgiấy chứng nhận.
6) Lockdown
Internet Information Services (IIS) cung cấp các dịch vụ dựa trên web dành cho
Windows và sử dụng rộng rãi. Nó thường được sử dụng trên các máy tính được
truy cập nặc danh từ Internet. An ninh của nó thường phải được thoải mái hơn
sovới các máy tính khác trong một tổ chức để cho phép một số chức năng
chính của nó để chạy một cách chính xác. Ngoài ra, nhiều quản trị viên không
bao giờ cấu hình IIS trên máy chủ của họ, đặc biệt là nếu nó không phải là dự
định được sử dụng trên máy tính đó hoặc nếu máy tính không phải là tiếp xúc
trực tiếp với Internet.
Bởi vì IIS là, bởi bản chất của nó, thường xuyên tiếp xúc với Internet, an ninh
yêu cầu thoải mái và sai thường xuyên của nó làm cho nó trở thành một trong
những khu vực lớn nhất của tiếp xúc an ninh cho Windows 2000. Điều này
được giải quyết bằng Windows Server 2003 một cách đơn giản: IISkhông được
cài đặt theo mặc định. Khi IIS được cài đặt một cách rõ ràng, hầu hết các tính
năng của nó bị vô hiệu hóa và phải được kích hoạt bằng tay. Đối với phiên bản
trước của IIS và Windows, một công cụ gọi là IIS Lockdown được cung cấp.
Các chức năng của công cụ được tích hợp với Windows Server 2003 và IIS 6.0.
GVHD: Th.s Vương Quốc Dũng

Page 16


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012

bí mật của nó. Khi phục hồi chính là cấu hìnhtrên Windows Server 2003, quá
trình yêu cầu chứng chỉ cũng sẽ an toàn cung cấp khóa riêng của người yêu cầu
đến cơquan có thẩm quyền cấp giấy chứng nhận. Cơ quan cấp giấychứng nhận
sau đó sẽ mã hóa và lưu trữ rằng chìa khóa chođến khi yêu cầu cần phải khôi
phục lại nó. Vào thời điểm đó,một đại lý được chỉ định phục hồi sẽ giải mã
khóa riêng và cung cấp nó cho người yêu cầu. Người yêu cầu không cần phải
GVHD: Th.s Vương Quốc Dũng

Page 17


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
mất tất cả dữ liệu mã hóa với khóa riêng nếu nó được lưu trữ vào cơ quan cấp
giấy chứng nhận
Có nhiều điểm khác biệt khác giữa Windows Server 2003 Standard và
Enterprise, bao gồm cả chênh lệch giá đáng kể.Bất kỳ quyết định triển khai một
phiên bản ưu tiên khác nênchỉ được thực hiện sau khi lập kế hoạch cẩn thận vai
trò của máy chủ doanh nghiệp và xác định nhu cầu nó phải đáp ứng.Một khi
bạn xác định các chức năng bạn cần, bạn nên cẩn thận xem xét các đặc điểm
của từng sản phẩm và từ đó xácđịnh mà một trong những phù hợp nhất với nhu
cầu của bạn.Cả hai máy chủ cung cấp cùng một mức độ cốt lõi của an ninh
không phải là dễ dàng hơn để thỏa hiệp Server Standard hơn so với phiên bản
Enterprise. Sự khác biệt nằm ở tính năng bảo mật bổ sung mà Enterprise
Editioncung cấp và chi phí cao hơn giấy phép.
IV. Chính sách tài khoản người dùng.
Chính sách tài khoản người dùng (Account Policy) được dùng để chỉ
định các thông số về tài khoản người dùng mà nó được sử dụng khi tiến trình
logon xảy ra. Nó cho phép bạn cấu hình các thông số bảo mật máy tính cho mật
khẩu, khóa tài khoản và chứng thực Kerberos trong vùng. Nếu trên Server
thành viên thì bạn sẽ thấy hai mục Password Policy và Account Lockout


Enforce
Password
History
Maximum

Số lần đặt mật mã không
được trùng

Mặc
định
24
42.

Password Age

Quy định số ngày nhiều
nhất mà mật

Minimum
Password Age

Quy số ngày tối thiểu
trước khi người

1

Minimum
Password
Length


2) Chính sách khóa tài khoản.
Chính sách khóa tài khoản (Account Lockout Policy) quy định cách
thức và thời điểm khóa tài khoản trong vùng hay trong hệ thống cục bộ. Chính
sách này giúp hạn chế tấn công thông qua hình thức logon từ xa.
Các thông số cấu hình chính sách khóa tài khoản:
Chính
Account
sách
Lockout

Mô tả
Quy định số lần
cố gắng

Threshol
d

đăng nhập trước
khi tài khoản bị
khóa

GVHD: Th.s Vương Quốc Dũng

Giá trị mặc định
0 (tài khoản sẽ không bị
khóa)

Page 20



số lần đăng nhập
không

Threshold được thiết lập thì
giá trị này

After

thành công

là 30 phút.

V- Chính sách cục bộ.
Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách
giám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung.
Đồng thời dựa vào công cụ này bạn có thể cấp quyền hệ thống cho các người
dùng và thiết lập các lựa chọn bảo mật.
A. Chính sách kiểm toán.
Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi
nhận các sự kiện xảy ra trong hệ thống, trên các đối tượng cũng như đối với các
người dùng. Bạn có thể xem các ghi nhận này thông qua công cụ Event
Viewer,
trong
mục
Security.

Các lựa chọn trong
chính sách kiểm toán:
Chính sách

mục

Audit Logon
Events

Ghi nhân các sự kiện liên quan đến quá
trình logon như thi hành một

Audit Object
Access

Ghi nhận việc truy cập các tập tin, thư
mục, và máy tin.

Audit Policy
Change

Ghi nhận các thay đổi trong chính sách
kiểm toán

Audit privilege
use

Hệ thống sẽ ghi nhận lại khi bạn bạn
thao tác quản trị trên các quyền

Audit process
tracking
Audit system
event

Add để thêm người dùng, nhóm vào danh sách hoặc nhấp chuột vào nút
Remove để xóa người dùng khỏi danh sách. Ví dụ minh họa sau là bạn cấp
quyền thay đổi giờ hệ thống (change the system time) cho người dùng “Tuan”

GVHD: Th.s Vương Quốc Dũng

Page 23


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012

Danh sách các quyền hệ thống cấp cho người dùng và nhóm:

Quyền
Access This
Computer from

Mô tả
Cho phép người dùng truy cập máy tính
thông qua mạng. Mặc

Act as Part of
the Operating

Cho phép các dịch vụ chứng thực ở mức
thấp chứng thực với bất

Add
Workstations to
the

Cho phép người dùng thay đổi kích thước
của Page File.

GVHD: Th.s Vương Quốc Dũng

Page 24


Nguyên Lí Hệ Điều Hành-ĐHCN Hà Nội 2012
Create a Token
Object

Cho phép một tiến trình tạo một thẻ bài
nếu tiến trình này dùng

Create
Permanent
Shared

Cho phép một tiến trình tạo một đối tượng
thư mục thông qua

Debug
Programs

Cho phép người dùng gắn một chương
trình debug vào bất kỳ

Deny Access to
This

Accounts to Be
Trusted
Force by
Shutdown from
aGenerate
Security Audits

Cho phép người dùng shut down hệ
thống từ xa thông qua mạng
Cho phép người dùng, nhóm hoặc một tiến
trình tạo một entry

Increase Quotas

Cho phép người dùng điều khiển các hạn
ngạch của các tiến

Increase
Scheduling
Priority
Load and

Quy định một tiến trình có thể tăng hoặc
giảm độ ưu tiên đã được

Unload Device
Lock Pages in
Memory

GVHD: Th.s Vương Quốc Dũng