70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
Chương 14: Các đặc tính bảo mật trong Windows Server 2003
Mục tiêu
• Xác định các phần tử và kỹ thuật khác nhau dùng
để bảo mật hệ thống Windows Server 2003 • Dùng các công cụ Security Configuration and
Analysis để cấu hình và rà soát các thiết lập bảo mật
• Kiểm toán truy vập vào các tài nguyên và xem lại
2
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
các thiết lập Security log
Bảo mật hệ thống Windows 2003
3
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
• 5 vấn đề liên quan đến bảo mật: • Authentication (Chứng thực) • Access control (Điều khiển truy cập) • Encryption (Bảo mật) • Security policies (Các chính sách bảo mật) • Service packs & hot fixes
Chứng thực
• Mức độ cơ bản được y/c là 1 user ID và mật khẩu để đăng
nhập hệ thống
• Trong 1 môi trường domain, chứng thực được tập trung hóa trên mạng; trong khi với môi trường workgroup việc chứng thực là cục bộ
• Trong 1 môi trường domain, 1 chứng thực có thể cung cấp
quyền truy cập đến nhiều domain và forest
• Các phương pháp chứng thực bổ sung có thể áp dụng với
các dịch vụ khác (như IIS)
4
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
Điều khiển truy cập
• Điều khiển truy cập dùng để bảo mật các tài
nguyên như file, thư mục, máy in
• Các kiểu khác của điều khiển truy cập là các quyền NTFS, thư mục chia sẻ, máy in và các quyền trên đối tượng AD khác
5
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
• Nguyên lý “cấp ít quyền nhất” ngụ ý là các user chỉ nên có quyền truy cập những cái gì họ cần
Bảo mật
• Các file bí mật lưu trên các NTFS volumn có thể
mã hóa dùng EFS
• EFS dùng kết hợp khóa công cộng và khóa riêng • Giao thức IPSec mã hóa nội dung của các gói tin
gửi qua mạng dùng TCP/IP
• 2 chế độ IPSec: transport & tunnel • IPSec gây khó khăn cho các hacker muốn can
6
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
thiệp vào dữ liệu mạng nhạy cảm
Các chính sách bảo mật
• Các thiết lập chính sách bảo mật có thể cấu hình từ
Local Security Policy và Group Policy Object Editor MMC snap-ins
• Các thiết lập chính sách bảo mật điều khiển một
vùng các thiết lập bảo mật
7
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
• Windows Server 2003 có một số công cụ phân tích chính sách bảo mật so với các mẫu có sẵn • Security Configuration and Analysis MMC snap-in • Ứng dụng dòng lệnh SECEDIT
Service Packs & Hot Fixes
• Nhiều bản cập nhật và patch quan trọng liên quan
đến bảo mật
• Các Hot fix cũng giúp xác định 1 số vấn đề đặc
biệt
• Chúng có thể tải và cài đặt từ Microsoft • SUS có thể hỗ trợ tự động quản lý các bản cập
8
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
nhật
Dùng các công cụ Security Configuration Manager
• Windows Server 2003 cung cấp các công cụ thiết kế đặc biệt giúp cấu hình và quản lý các thiết lập bảo mật (Security Configuration Manager) • Những công cụ này cùng với các chính sách
9
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
Group có thể dùng để cài đặt mẫu Security Policy
Dùng các công cụ Security Configuration Manager (tt)
• Công cụ Security Configuration and Analysis sẽ so sánh mẫu bảo mật với các thiết lập đã làm • Công cụ Security Configuration and Analysis
10
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
gồm: • Các mẫu bảo mật • Các mẫu bảo mật trong các đối tượng GP • Công cụ Security Configuration and Analysis • Lệnh SECEDIT
Các mẫu bảo mật
• Các mẫu giúp bảo đảm thống nhất và dễ dàng bảo
trì trên nhiều máy
• Nhưng không dùng trình soạn thảo văn bản bình
thường để chỉnh sửa • Có 1 số mẫu thiết kế sẵn
11
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
• Các mẫu là các file văn bản
Các mẫu bảo mật (tt)
12
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
Thực tập 14-1:Xem các mẫu bảo mật • Mục tiêu: Làm quen với 1 số mẫu bảo mật có sẵn • Start Run type mmc OK File
Add/Remove Snap-in Add
13
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
• Tìm và xem các mẫu có sẵn như chỉ dẫn • Xem các chính sách liên hệ với các mẫu
Phân tích các mẫu bảo mật thiết kế sẵn
• Workstations • Servers • Domain controllers
• Các máy tính mạng có thể phân loại thành:
• Các mẫu thiết kế sẵn có thể áp dụng cho 1 loại nào
đó
14
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
• Chỉ có Windows Server 2003, Windows XP, Windows 2000 là dùng được mẫu thiết kế sẵn
Default Template
• Mẫu Setup Security.inf chứa các thiết lập bảo
mật mặc định
• Nội dung phụ thuộc cấu hình nguyên thủy của
máy tính (cài mới, nâng cấp…)
• Cho phép administrator trả về thiết lập trước đó dễ
dàng
15
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
• Không nên áp dụng khi dùng GP
Incremental Templates
• Sửa đổi cải tiến các cấu hình bảo mật • Chỉ có thể áp dụng dựa trên cấu hình mặc định bởi
vì chúng không xác lập cấu hình cơ bản • Các mẫu gồm: compatws.inf, securews.inf,
16
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
securedc.inf, hisecws.inf, hisecdc.inf, iesacls.inf, dc security.inf, rootsec.inf • Cũng có thể tạo mẫu tùy biến
Áp dụng các mẫu bảo mật
• Mở Local Security Setting MMC snap-in và import 1
chính sách • Với domain
• Dùng các GPO
• Có thể áp dụng trên máy cục bộ hoặc domain • Với máy cục bộ
• Các thiết lập bảo mật từ các GPO đè lên thiết lập
17
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
cục bộ
Áp dụng các mẫu bảo mật (tt)
18
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
Thực tập 14-2:Tạo 1 mẫu bảo mật • Mục tiêu: Khảo sát việc tạo 1 mẫu bảo mật tùy
biến
• Mở 1 New Template từ MMC Security Templates
snap-in
19
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
• Cấu hình các thiết lập cho mẫu mới theo dự định • Lưu mẫu • Xem file mẫu
Thực tập 14-3: Áp dụng các thiết lập mẫu bảo mật cho các GPO • Mục tiêu: Dùng GP để triển khai các thiết lập mẫu
bảo mật
• Start Administrative Tools Active Directory
Users and Computers
• Mở Default Domain Policy từ trang Properties của
domain
20
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
• Import vào mẫu đã tạo trước đó • Kiểm tra lại các thiết lập
Security Configuration and Analysis • Security Configuration and Analysis snap-in cho
phép so sánh các thiết lập hệ thống hiện tại với các mẫu đã cấu hình
• Việc so sánh sẽ xác định các thay đổi và những sự
yếu kém tiềm ẩn
• Có thể so sánh nhiều mẫu 1 lần • Có thể kết hợp và lưu giữ • Các thay đổi có thể tạo trực tiếp trong snap-in
21
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
bằng cách chọn cấu hình mong muốn
Security Configuration and Analysis (tt)
22
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
Thực tập 14-2: Tạo 1 mẫu bảo mật (tt)
23
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
Thực tập 14-4: Phân tích các thiết lập bảo mật dùng Security Configuration and Analysis
• Mở Security Configuration and Analysis snap-in
24
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
theo chỉ dẫn và mở 1 csdl mới • Import mẫu hisecdc.inf để so sánh • Thực hiện phân tích • Xem lại và so sánh các thiết lập
Thực tập 14-4 (tt)
25
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
SECEDIT
• SECEDIT là công cụ dòng lệnh dùng để tạo và áp
dụng, phân tích các mẫu bảo mật
26
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
• Có thể dùng ở nơi mà GP không dùng được • 6 switch chính: • Analyze • Configure • Export • Import • Validate • GenerateRollback
Kiểm toán truy cập tài nguyên & phân tích báo cáo bảo mật • Kiểm toán được dùng để theo dõi các sự kiện trên
mạng
• Một chính sách kiểm toán định nghĩa sự kiện nào
27
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
sẽ được ghi lại • Và ghi thành công hay không cũng được ghi nhận • Các sự kiện đã kiểm toán được ghi vào báo cáo bảo mật, có thể xem được qua Event Viewer
Thực tập 14-5: Khảo sát các thiết lập kiểm toán mặc định • Objective: to explore the auditing settings of the default
domain controller GPO
• Mục tiêu: Khảo sát các thiết lập kiểm toán của GPO mặc
định
• Mở trang Properties của Domain Controllers OU trong
Active Directory Users and Computers
• Sửa chữa Default Domain Controllers Policy trong thẻ
Group Policy theo chỉ dẫn
• Mở nút Audit Policy và xem các thiết lập chính sách khác
nhau
28
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
Thực tập 14-5 (tt)
29
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
Thực tập 14-5 (tt)
30
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
Cấu hình kiểm toán • Vai trò của máy tính trên mạng ảnh hưởng cách
GPO gán cho domain hoặc các OU
cấu hình chính sách kiểm toán như thế nào • Với các server thành viên hoặc các workstation • Các chính sách kiểm toán được hiện thực dùng các
• Các chính sách kiểm toán được hiện thực thông qua Default Domain Controllers Policy áp dụng cho Domain Controllers OU
• Với các DC
• Các chính sách kiểm toán được định nghĩa dùng công
cụ Local Security Policy
31
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
• Với các workstations & servers độc lập
Những yêu cầu và cấu hình 1 kiểm toán
• Phải có quyền thích hợp (Administrators Group /
Manage auditing and security log user)
• Kiểm toán file, thư mục chỉ có thể thực hiện trên các
NTFS volum
• Yêu cầu:
• Cấu hình kiểm toán dựa trên các sự kiện đã kiểm soát và nbaijxayr ra việc đăng nhập thành công/thất bại • Cấu hình kiểm toán dựa trên các đối tượng tài nguyên
xác định như file, thư mục, máy in và các đối tượng AD
32
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
• Cấu hình 1 chính sách bảo mật
Cấu hình 1 chính sách kiểm toán (tt)
33
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
Thực tập 14-6: Cấu hình và kiểm tra các thiết lập chính sách kiểm toán • Mục tiêu: Làm quen với việc thay đổi và kiểm tra lại cấu hình các thiết lập chính sách kiểm toán • Mở Default Domain Controllers Policy GPO • Cấu hình lại theo y/c • Refresh lại các thiết lập GP thủ công • Kiểm tra các thiết lập mới và xem kết quả dùng
34
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
Event Viewer
Kiểm toán truy cập các đối tượng
• Có thể kiểm soát các lần thử truy cập và thành
công các file và thư mục trên các NTFS volumn • Chú ý: điều này có thể sinh ra 1 số lượng lớn các
sự kiện được báo cáo
• Kiểm toán các đối tượng được cấu hình thông qua
Advanced Security Settings của tài nguyên
• Kiểm toán cũng có thể thực hiện với các đối tượng
35
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
AD
Kiểm toán truy cập các đối tượng (tt)
36
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
Thực tập 14-7: Cấu hình kiểm toán 1 thư mục NTFS • Mục tiêu: lập báo cáo truy cập thành công/lỗi vào
thư mục NTFS
• Tạo và cấu hình các quyền NTFS cho 1 thư mục
mới
• Cấu hình các thiết lập kiểm toán cho thư mục đó • Kiểm tra lại các thiết lập kiểm toán và quyền bằng
cách thử truy cập và xóa thư mục
• Dùng Event Viewer để kiểm tra kiểm toán chính
37
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
xác
Thực tập 14-7 (tt)
38
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
Những kinh nghiệm tốt
• Lập kế hoạch cẩn thận trước khi hiện thực chính
• Chỉ kiểm toán những sự kiện nào cung cấp thông tin
thực sự có ích
• Xem lại toàn bộ các báo cáo • Kiểm toán thông tin nhạy cảm và bí mật • Kiểm toán Everyone group • Kiểm toán gán quyền cho các user • Kiểm toán Administrators group
39
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
sách kiểm toán • Hướng dẫn chung:
Phân tích các báo cáo bảo mật
• Với mỗi sự kiện định nghĩa trong chính sách, một dòng được ghi vào báo cáo Security nếu sự kiện xảy ra
• Dùng Event Viewer để xem báo cáo Security • Báo cáo cung cấp tổng thể ngày giờ của mỗi sự
kiện và user nào thực thi
• Có nhiều chi tiết hơn nếu double-clicking vào
dòng đó
• Event Viewer cung cấp tùy chọn tìm và lọc để hỗ
40
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
trợ việc quản lý báo cáo
Phân tích các báo cáo bảo mật (tt)
41
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
Phân tích các báo cáo bảo mật (tt)
42
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
Thực tập 14-8: Cấu hình các đặc tính Event Viewer Log • Dùng Event Viewer để xem báo cáo Security cục
bộ
• Dùng tính năng Find để tìm kiểu chỉ định của sự
kiện theo y/c
• Tiếp theo dùng tính năng Filter để quản lý báo
cáo, hiển thị chỉ những sự kiện nào phù hợp tiêu chuẩn
43
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
• Hiển thị lại toàn bộ các bản ghi trong báo cáo
Tổng kết
• Windows Server 2003 đưa ra 1 số tính năng liên quan bảo mật thành 5 loại: authentication, access control, encryption, security policies, service packs and hot fixes
• Windows Server 2003 đưa ra 1 gói các công cụ
44
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
Security Configuration Manager • Các mẫu bảo mật, thiết lập bảo mật trong các GPO, các công cụ cấu hình và phân tích bảo mật, lệnh SECEDIT
Tổng kết (tt)
• Kiểm toán dùng để ghi báo cáo một số sự kiện đặc
biệt
• Chính sách kiểm toán quy định sự kiện nào được
kiểm soát
• Các tài nguyên và các đối tượng đặc biệt có thể
cấu hình để kiểm toán
• 1 Security log chứa 1 bản ghi cho sự kiện được
kiểm toán
45
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment
• Dùng Event Viewer để xem lại các Security log
