CHÍNH SÁCH VỀ HỆ THỐNG

CHÍNH SÁCH H TH NG

Ệ Ố

i dùng.

ườ

ụ

I. Chính sách tài kho n ng ả II. Chính sách c c b . ộ III. IPSec.

I. CHÍNH SÁCH TÀI KHO N NG

I DÙNG.

Ả

ƯỜ

Chính sách tài kho n ng Chính sách tài kho n ng

i dùng là gì ? i dùng là gì ?

ả ả

ườ ườ

ể ể

ỉ ỉ

ị ị i dùng mà nó đ i dùng mà nó đ

c dùng đ ch đ nh các c dùng đ ch đ nh các c s ử c s ử

ượ ượ

: đ Account Policy: đ ượ Account Policy ượ thông s v tài kho n ng ả ố ề ườ thông s v tài kho n ng ả ố ề ườ ảx y ra. login x y ra. d ng khi ti n trình ả ế ụ login d ng khi ti n trình ế ụ

ố ả ố ả

ẩ , , khóa tài kho nả ẩ

ậ ậ

Nó cho phép b n c u hình các thông s b o m t ậ ấ ạ Nó cho phép b n c u hình các thông s b o m t ậ ấ ạ khóa tài kho nả vàvà ch ng ứch ng ứ m t kh u máy tính nh : ư m t kh u máy tính nh : ư trong vùng. th cựth cự trong vùng.

Server thành viên thì b n s th y hai

ẽ

ấ

ạ

N u trên ế m c:ụ

• Password Policy

• Account Lockout Policy

Trên máy Windows Server 2003 làm domain controller s có ba th m c

ư ụ

ẽ

• Password Policy

• Account Lockout Policy

ạ

ả ộ

ụ

ả

ạ

ấ

ộ

Trong Windows Server 2003 cho phép b n qu n lý i hai c p đ là: c c b và chính sách tài kho n t mi n.ề

• Kerberos Policy.

ấ ườ ả

C u hình các chính sách tài kho n ng i dùng ta vào: Start  Programs  Administrative Tools  Domain Security Policy ho c ặ Local Security Policy.

ẩ ẩ ả

ậ ậ ằ i dùng, trách các tr

1. Chính sách m t kh u. 1. Chính sách m t kh u. ả ườ

ậ ậ ủ ợ

Password Policies: nh m đ m b o an toàn cho m t kh u c a ng ng h p đăng nh p ườ b t h p pháp vào h th ng. ẩ ấ ợ ệ ố

2. Chính sách khóa tài kho n.ả

ứ

ị

ả

Account Lockout Policy: quy đ nh cách th c và th i đi m khóa tài kho n trong vùng hay trong h ệ ể th ng c c b . ộ

ờ ố

ụ

ế ấ

ạ

xa.

Chính sách này giúp h n ch t n công thông qua hình th c ứ login t

ừ

II. CHÍNH SÁCH CỤC BỘ. II. CHÍNH SÁCH CỤC BỘ.

ế ậ ế ậ

ạ ạ ố ượ ố ượ

t l p các chính t l p các chính ng trên m ng nh ư ng trên m ng nh ư

ạ ạ

i dùng và tài nguyên dùng chung. i dùng và tài nguyên dùng chung.

: cho phép b n thi Local Policies: cho phép b n thi Local Policies sách giám sát các đ i t sách giám sát các đ i t ường ườ ng

ồ ồ

i dùng và thi i dùng và thi

ể ấ ể ấ ế ậ ế ậ

ụ ụ ườ ườ

Đ ng th i d a vào công c này có th c p ự ờ Đ ng th i d a vào công c này có th c p ự ờ t l p quy n h th ng cho các ng ệ ố t l p quy n h th ng cho các ng ệ ố các l a ch n b o m t. ọ các l a ch n b o m t. ọ

ề ề ự ự

ả ả

ậ ậ

1. Chính sách ki m toán. 1. Chính sách ki m toán.

ể ể

ậ

ự ệ ả ư ố ớ

Audit Policies: giám sát và ghi nh n các s ki n x y ra ng cũng nh đ i v i các trong h th ng, trên các đ i t ố ượ ng ệ ố i dùng. ườ

i dùng. i dùng.

2. Quy n h th ng c a ng ệ ố 2. Quy n h th ng c a ng ệ ố

ủ ủ

ề ề

ườ ườ

ố ớ ệ

ố Windows Server 2003, b n ạ i ườ ấ

ệ

ố

Đ i v i h th ng có hai cách c p quy n h th ng cho ng ề dùng là:

1. Gia nh p tài kho n ng

i dùng vào các nhóm

ả

ậ t o s n ( ạ

ẵ built-in) đ k th a quy n.

ề

ườ ể ế ừ

2. Dùng công c ụ User Rights Assignment đ ể

gán t ng quy n r i r c cho ng

i dùng.

ề ờ ạ

ừ

ườ

ế

Dùng công c ụ Local Security Policy (n u máy không ph i ả DC) ho c ặ Domain Controller Security Policy (n u máy là DC). ế

C p quy n “change the system time” cho “nguyennam” ề ấ

ọ

ự

ố

ậ ả i dùng đã login tr ệ ố ướ ổ ị

3. Các l a ch n b o m t ậ ả Security Options: cho phép Admin khai báo thêm các thông s nh m tăng tính b o m t cho h th ng nh : không ằ ư c đó hay đ i tên cho phép hi n th ng ể tài kho n ng ườ ả

ườ i dùng t o s n ( ạ ẵ administrator, guest).

III. IPSec

ứ ứ ộ ộ

ỗ ợ ỗ ợ IP, ho t đ ng ho t đ ng ộ ạ IP, ộ ạ ố ố t l p các ế ậ t l p các ế ậ t ng ba ở ầ t ng ba ở ầ

là m t giao th c h tr thi IP Security (IPSec) là m t giao th c h tr thi IP Security (IPSec) k t n i an toàn d a trên ự ế k t n i an toàn d a trên ự ế ) trong mô hình OSI OSI Network) trong mô hình ((Network

ộ ộ

trong công ngh m ng riêng o L2TP trong công ngh m ng riêng o

IPSec cũng là m t thành ph n quan tr ng h tr giao cũng là m t thành ph n quan tr ng h tr giao ỗ ợ ọ ầ IPSec ọ ỗ ợ ầ VPN (Virtual th c ứth c ứ L2TP ả VPN (Virtual ệ ạ ả ệ ạ Private Network). Private Network).

ả ạ ả ạ

ầ ầ

IPSec (action). IPSec (action). Đ s d ng ể ử ụ Đ s d ng ể ử ụ t c ắt c ắ IPSec l c ọl c ọ IPSec (filter) ắ rulerule), m t qui IPSec ph i t o ra các qui t c ( ), m t qui ph i t o ra các qui t c ( ộ IPSec ộ ắ là s k t h p gi a hai thành ph n là các b IPSec là s k t h p gi a hai thành ph n là các b ộ ữ ự ế ợ ộ ữ ự ế ợ và các tác đ ng ộ IPSec (filter) và các tác đ ng ộ

1. Các tác đ ng b o m t. ộ 1. Các tác đ ng b o m t. ộ

ả ả

ậ ậ

ộ

ỗ ợ ố

ộ

ậ

ạ ả

ữ

ổ

ậ ộ c an toàn.

ượ

action) b o ả IPSec h tr b n lo i tác đ ng ( m t, các tác đ ng b o m t này giúp h th ng ệ ố có th thi t l p nh ng cu c trao đ i thông tin ế ậ ể gi a các máy đ ữ 1. Block transmissons: có ch c năng ngăn ch n

ứ ậ

ế ề ữ

ề

máy A đ n máy B, thì đ n gi n là ch ế

ố IPSec ngăn ch n d li u truy n ậ ng trình ả ế ừ ơ ạ ỏ ọ ữ ệ ữ ệ ươ ề

nh ng gói d li u truy n đ n. ữ ệ Ví d :ụ b n mu n ạ t ừ IPSec trên máy B lo i b m i d li u truy n đ n t máy A.

2. Encrypt transmissions: có ch c năng mã hóa ứ

nh ng gói d li u đ c truy n. ữ ệ ữ ượ ề

ố ữ ệ ề ừ

ế

ề ạ

ấ ầ

máy Ví d :ụ chúng ta mu n d li u đ c truy n t ượ i s A đ n máy B, nh ng chúng ta s r ng có ng ườ ẽ ư ợ ằ ng truy n n i k t m ng gi a nghe tr m trên đ ữ ố ế ườ ộ hai máy A và B. Cho nên chúng ta c n c u hình cho IPSec đ mã hóa d li u. ữ ệ ể

ứ

ằ

d ng nh ng gói d li u đ ữ ữ ệ ữ

ề ả ạ nh ng máy mà b n đã thi 3. Sign transmissions: có ch c năng ký tên vào các gói d li u truy n, nh m tránh nh ng k t n công ữ ệ c truy n trên m ng gi ề ạ t l p quan h tin c y. t ậ ữ ừ ẻ ấ ượ ệ ế ậ ạ

ứ

ề

ế ộ ố ề

4. Permit transmissions: có ch c năng là cho c truy n qua, chúng dùng đ phép d li u đ ể ượ ữ ệ t o ra các qui t c ( ắ rule) h n ch m t s đi u và ạ không h n ch m t s đi u. ạ

ạ ế ộ ố ề

ộ

ạ

t i, ch tr d li u

ữ

ề

ớ

Ví d :ụ m t qui t c d ng này “Hãy ngăn ch n t ặ ấ ắ c nh ng d li u truy n t ỉ ừ ữ ệ ữ ệ ả truy n trên các c ng 80 và 1433”. ổ

ề

ố ớ ươ ậ

Chú ý: đ i v i hai tác đ ng b o m t theo ph ng ộ pháp ký tên và mã hóa thì h th ng còn yêu c u b n ầ ng pháp ch ng th c nào. ch ra IPSec dùng ph ứ

ả ệ ố ạ

ươ ự ỉ

2. Các b l c IPSec ộ ọ 2. Các b l c IPSec ộ ọ

ộ ọ IPSec ch y u d a trên các y u t

ự

ế

ố

ủ ế

DNS c a máy ngu n. ồ DNS c a máy đích.

TCP,

ệ

ủ ủ port) và ki u c ng ( ể

ổ

B l c sau:  Đ a ch ỉ IP, subnet ho c tên ặ ị  Đ a ch ỉ IP, subnet ho c tên ặ ị  Theo s hi u c ng ( ổ ố UDP, ICMP…)

ể ể

3. Tri n khai IPSec trên Windows 3. Tri n khai IPSec trên Windows Server 2003 Server 2003

Trong h th ng ụ

ấ

ệ ố Windows Server 2003 không IPSec, do đó PSec chúng ta dùng các công c ụ t l p chính sách dành cho máy c c b ho c

ỗ ợ ộ ể ể ế ậ

ụ

ặ

ộ

h tr m t công c riêng c u hình đ tri n khai I thi dùng cho mi n.ề

 Đ m công c c u hình

ở ể ụ ấ

IPSec: Start Programs 􀂾 Administrative Tools  Local Security Policy, trong ọ IP Security Policies on Local Machine. công c đó ch n ụ

3.1 Các chính sách IPSec t o s n.

ạ

ẵ

Trong khung c a s chính c a công c c u hình IPSec, ụ ấ ử ủ ổ

bên ph i chúng ta th y xu t hi n ba chính sách đ c ệ ấ ả ấ ượ

 Client (Respond Only): chính sách qui đ nh máy tính

Client, Server và Secure. t o s n tên là: ạ ẵ

ị

c a b n không ch đ ng dùng ủ ủ ộ ạ IPSec tr khi nh n ừ ậ

đ IPSec t máy đ i tác. Chính sách ượ c yêu c u dùng ầ ừ ố

c c v i các máy này cho phep b n có th k t n i đ ạ ể ế ố ượ ả ớ

tính dùng IPSec ho c không dùng IPSec. ặ

 Server (Request Security): chính sách này qui đ nh

ị

máy server c a b n ch đ ng c g ng kh i t o ủ ộ ố ắ ở ạ ủ ạ

t l p k t n i v i các máy tính khác, IPSec m i khi thi ỗ ế ậ ế ố ớ

client không th dùng IPSec thì nh ng n u máy ế ư ể

 Secure Server (Require Security): chính sách này

IPSec. Server v n ch p nh n k t n i không dùng ậ ế ố ấ ẫ

qui đ nh không cho phép b t kỳ cu c trao đ i d li u ấ ổ ữ ệ ộ ị

i mà không dùng IPSec. nào v i ớ Server hi n t ệ ạ

ả ả

3.2 Ví d t o chính sách IPSec đ m b o ụ ạ 3.2 Ví d t o chính sách IPSec đ m b o ụ ạ m t k t n i đ m t k t n i đ

c mã hóa. c mã hóa.

ộ ế ố ượ ộ ế ố ượ

ầ

ế ậ

ẽ

 Trong ph n này chúng ta s thi ằ

ộ ế

ả

t l p m t chính ộ sách IPSec nh m đ m b o m t k t n i đ c mã ố ượ ả hóa gi a hai máy tính.

ữ

ỗ ố

ừ ụ

ệ

ộ

ồ

ụ

ắ

ộ

 Hai máy tính, máy A có : 203.162.100.1 và máy B PSec có: 203.162.100.2. Ta s thi t l p chính sách I ẽ ế ậ trên m i máy thêm hai qui t c, tr hai qui t c c a ắ ủ ắ h th ng g m: m t qui t c áp d ng cho d li u ữ ệ ắ truy n vào máy và m t qui t c áp d ng cho d li u ữ ệ truy n ra kh i máy.

ề ề

ỏ

Ví d qui t c đ u tiên trên máy A bao g m:

ụ

ầ

ắ

ồ

 B l c

ắ

ạ

ữ ệ ấ

ị

ỉ

ộ ọ (filter): kích ho t qui t c này khi có d li u truy n đ n đ a ch 203.162.100.1, qua b t kỳ ế ề c ng nào. ổ

 Tác đ ng b o m t (

ậ action): mã hóa d li u đó.

ữ ệ

ả

ộ

 Ch ng th c: chìa khóa chia s tr

ẻ ướ

ự

c là chu i ỗ

ứ “quantri”.

đ a

 Qui t c th hai áp d ng cho máy A cũng i c l ượ ạ ch ỉ

ụ nh ng b l c có n i dung ng ộ ộ ọ truy n đi ị ề

ừ

ắ ứ ng t t ự ư ươ li u “d là ệ ữ 203.162.100.1”.

ễ

ắ

ộ ộ ọ

ạ ậ

ả ồ

ắ

 Chú ý: cách d nh t đ t o ra m t qui t c là ấ ể ạ c tiên b n ph i qui đ nh các b l c và tác tr ị ướ đ ng b o m t, r i sau đó m i t o ra qui t c ộ t các b l c và tác đ ng b o m t này. ộ ừ

ớ ạ ậ

ả ộ ọ

ả

 Các b

c đ th c hi n m t chính sách

ướ

ự

ệ

ộ

ể IPSec theo yêu c u nh trên:

ầ

 Trong công c ụ Domain Controller Security Policy, b n ạ ụ IP Security Policies on ọ Manage IP filter lists and

ấ ả ộ

ồ

nh p ph i chu t trên m c Active Directory, r i ch n filter actions.

 H p tho i xu t hi n, b n nh p chu t vào nút

ộ ạ ệ ấ ộ

ạ ộ ộ ọ ạ

ấ ộ ọ ụ

ấ ạ

add đ ể thêm m t b l c m i. B n nh p tên cho b l c này, ớ ậ trong ví d này chúng ta đ t tên là “ Connect to ặ Add đ h 203.162.100.1”. B n nh p chu t ti p vào nút ể ệ ộ ế ng d n b n khai báo các thông tin cho b l c. th ng h ộ ọ ướ ẫ ạ ố

 B n theo h

ạ ủ ướ ể ệ ố

ể

ạ

ng d n c a h th ng đ khai báo các ẫ ụ Mirrored đ qui thông tin, chú ý nên đánh d u vào m c ấ t c này có ý nghĩa hai chi u b n không ph i t n công ả ố ề ắ đ t o ra hai qui t c. ể ạ ắ

ậ