Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
PHẦN II QUẢN TRỊ VÀ DUY TRÌ HỆ THỐNG
Khi một tổ chức triển khai các Windows 2000 domain controller của họ
phù hợp với những thiết lập bảo mật được nói đến trong phần một của tài
liệu này , điều cần thiết là mức bảo mật domain controller được duy trì hoặc
thậm chí được nâng cấp. Việc môi trường có duy trì được sự an toàn hay
không được quyết định phần lớn bởi các thủ tục thao tác IT của tổ chức.
Phần I của đề án này giới thiệu về việc triển khai Administratorsan toàn
cũng như xây dựng và cấu hình các domain controller. Phần II cung cấp
những đề xuất để duy trì Administratorsan toàn với các thao tác như thực
hiện kiểm định một cách định kỳ các cấu hình domain controller để đảm bảo
rằng việc thay đổi trái phép không xuất hiện.
1. Khái niệm cơ bản
1.1 Một số khái niệm về kiến trúc Administrators
Các thành phần logic trong kiến trúc Administrators gồm có:
Các đối tượng
Các domain
Các tree
Các forest ((không xét trong đề án))
Các OU
1.1.1 Các đối tượng
Đối tượng thực ra là các tài nguyên được lưu trữ trên Active
Directory. Đây được coi là thành phần cơ bản nhất trong dịch vụ thư mục
Active Directory. Các đối tượng được lưu trữ trên Administratorstheo một
kiến trúc phân cấp bao gồm các khoang chứa cha và các khoang chứa con
26
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
với mục đích dễ dàng hơn trong việc tìm kiếm, truy cập và quản lý chúng.
Kiến trúc này tương tự như việc tổ chức file và thư mục.
Các lớp đối tượng Một đối tượng là tập hợp của các đặc tính. Các đặc
tính tạo nên một đối tượng được định nghĩa là một lớp đối tượng. Khi tạo
một đối tượng mới, nó sẽ tự động thừa hưởng các đặc tính từ lớp mà nó trực
thuộc. Và tất nhiên chúng ta có thể thay đổi các lớp đối tượng cũng như các
đặc tính của chúng sao cho phù hợp với các yêu cầu của tổ chức.
AdministratorsSchema Các lớp và các đặc tính sẽ tạo nên một khái niệm
AdministratorsSchema. Về mặt cơ sở dữ liệu, schema là một cấu trúc bao
gồm các bảng, các trường và mối liên quan giữa chúng với nhau. Vì vậy
Administrators Schema rất quan trọng đối với hoạt động của dịch vụ thư
mục. Nó được bảo vệ bởi danh sách điều khiển truy cập ACL chỉ cho phép
các user và các ứng dụng với quyền thích hợp được thực hiện các thao tác
nhất định trên đó. Việc thay đổi schema cần rất cẩn trọng.
1.1.2 Các domain
Cấu trúc tổ chức cơ bản của mô hình mạng Windows Server 2003 là
domain. Một domain đại diện cho một đường biên quản trị. Các máy tính,
người dùng, và các đối tượng khác trong một domain chia sẻ một cơ sở dữ
liệu bảo mật chung.
1.1.3 Các tree
Các domain khác nhau được tổ chức theo cấu trúc có phân cấp gọi là
cây. Thậm chí nếu bạn chỉ có một domain trong tổ chức của bạn, bạn vẫn có
một cây. Domain đầu tiên tạo ra trong một cây được gọi là root domain.
Domain được tạo tiếp theo sẽ là domain con của root domain đó. Domain có
khả năng mở rộng thành nhiều domain trong một cây. Tất cả các domain
trong một cây chia sẻ một schema chung và một không gian tên kề nhau.
1.1.4 Các OU
27
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
OU cung cấp một phương pháp để tạo ra một biên quản trị trong một
domain. Chủ yếu, nó cho phép bạn ủy nhiệm các nhiệm vụ quản trị trong
một domain.
OU hoạt động giống như một container chứa các tài nguyên trong
domain. Bạn có thể áp đặt các quyền quản trị trong một OU. Một đặc thù
chính là cấu trúc OU theo một cấu trúc chức năng hoặc công việc trong một
tổ chức. Ví dụ, trong một tổ chức nhỏ với một domain có thể tạo ra các OU
riêng biệt tương ứng với các phòng ban trong tổ chức đó.
Có thể lồng các OU (tạo các OU bên trong một OU). Tuy nhiên, cấu
trúc OU phức tạp trong một domain có thể là một trở ngại. Khi cấu trúc của
bạn càng đơn giản, thì thực thi và quản lý nó càng dễ dàng. Khi thực hiện
lồng OU lên quá 12 mức OU, bạn sẽ gặp vấn đề đáng kể về hiệu năng
1.2 Khái niệm về backup và restore
Backup và Retore hệ thông là môt chức năng không thể thiếu trong bất kì
hệ thống nào. Tài liệu này nhằm mô tả sơ bộ công việc backup hệ thống cài
đặt trên hệ điều hành Windows 2003 Server. Nó cho phép các System
Engineer đưa ra giải pháp và chính sách backup hệ thống một cách có hiệu
quả lớn nhât.
Có 5 kiểu backup mà có thể sử dụng, nó phụ thuộc vào sự quan trọng của
dữ liệu cần backup và chính sách mà bạn muốn khôi phục dữ liệu đó như thế
nào.
Daily:Backup những file thay đổi từ daily backup cuối cùng. Nếu một
file sửa đổi trên cùng ngày với backup , thì nó sẽ được backup. Thuộc
tính lưu trữ của file là không đổi.
Incremental: Backup những file thay đổi từ normal hoặc incremental
backup. Nếu thuộc tính lưu trữ được hiển thị thì nó có nghĩa là file
vừa sửa đổi – chỉ những files với thuộc tính này được backup. Một
28
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
file vừa được backup, thì thuộc tính lưu trữ được xoá và chỉ thiết đặt
lại khi dữ liệu được thay đổi lần nữa.
Full(Normal): backup những file được lựa chọn, không quan tâm đến
thiết định của thuộc tính lưu trữ như thế nào. Một file vừa được
backup, thì thuộc tính lưu trữ được xoá cho đến khi file đó được thay
đổi. Khi thuộc tính lưu trữ được thiết định lại, thì nó biểu thị rằng file
đó cần được backup.
Differential: Backup những file mà thay đổi từ Full backup cuối cùng.
Nếu thuộc tính lưu trữ được hiển thị, nó có nghĩa là dữ liệu vừa được
thay đổi và file có thuộc tính tính này được thiết đặt sẽ được back up.
Tuy nhiên, với trường hợp backup này thuộc tính lưu trữ không bị xoá
vì vậy cho phép các loai backup khác sử dụng cùng dữ liệu đó ở giai
đoạn sau.
Copy: Backup tất cả những file mà được chọn, không quan tâm thuộc
tính lưu trữ. Thuộc tính lưu trữ không thay đổi, vì vậy những loại
backup khác có thể thực hiện trên dữ liệu tương tự.
2. Cơ sở lí thuyết.
Mặc dù bảo mật là một việc quan trọng cần được cân nhắc đối với tất
cả các thành phần của hệ thống mạng trong tổ chức, đối với các máy chủ có
mức bảo mật cao thì bảo mật là một phần đặc biệt quan trọng. Mức “ high
security” ( bảo mật cao) xuất phát từ yêu cầu bảo mật cao của các tiến trình
đang chạy trên các server. Xác định máy chủ trong tổ chức của bạn là một
high-security server khi nó:
Chạy một dịch vụ trong ngữ cảnh của một tài khoản service
Active Directoryministrator-level
Được tin tưởng để uỷ quyền (trusted for delegation)
29
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
Khi một máy chủ được coi là tin tưởng để ủy ủy quyền, thì khi
phục vụ một yêu cầu của client máy chủ sẽ có khả năng đưa ra
yêu cầu tới các dịch vụ chạy trên máy chủ khác dưới ngữ cảnh
bảo mật của client. Vì client đưa ra yêu cầu có các đặc quyền
bảo mật cao , nên máy chủ cũng có thể chiếm lấy được các đặc
quyền bảo mật cao. Vì thế, tất cả các máy chủ là “trusted for
delegation” bên trong rừng có thể được thiết kế là các máy chủ
bảo mật cao (high-security).
Trên cơ sở những tiêu chuẩn này, thêm các domain controller có thể là các
server có mức bảo mật cao trong mạng của bạn mà nó sẽ cần hoạt động đặc
biệt ngày này qua ngày khác để duy trì bảo vệ. Bảo vệ tất cả các máy chủ có
mức bảo mật cao bằng các nguyên tắc chung cho việc vận hành máy chủ an
toàn.
2.1 Thực hiện duy trì bảo mật Domain Controller và Active
Directoryministrative Workstation
Khi tổ chức của bạn thực hiện cấu hình domain controller và Active
Directoryministrative workstation an toàn theo những đề xuất trong phần I
của tài liệu này thì bạn bắt đầu các hoạt động. Trong một môi trường thực tế,
những người quản trị thực hiện ngày này qua ngày khác và thỉnh thoảng bảo
dưỡng các domain controller và Active Directoryministrative workstation.
Cách các nhiệm vụ này được thực hiện ảnh hưởng trực tiếp tới mức bảo mật
của domain controller và Active Directoryministrative workstation mà tổ
chức của bạn có thể duy trì.
Các chính sách được viết ra và các thủ tục sẽ tồn tại cho tất cả các hoạt
động duy trì domain controller, bao gồm:
Sao lưu và khôi phục cho domain controller
30
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
Thay thế phần cứng cho domain controller và Active
Directoryministrative workstation
Quét virut trên Domain controller và Active Directoryministrative
workstation
2.2 Thiết lập chiến lược sao lưu và khôi phục domain controller
Những người quản trị lập kế hoạch sao lưu system state trên các
domain controller để khôi phục khi dữ liệu Administratorsbị mất và một
domain controller bị hỏng. Domain controller bị lỗi có thể do một lỗi
nghiêm trong trong dịch vụ. Như một phần của việc quản lý an toàn và các
hoạt động khôi phục, domain controller backups phải được thực hiện an toàn
và tin cậy. Sao lưu trạng thái hệ thống ( System state) trên domain controller
không giống các dạng sao lưu và khôi phục trên các máy chủ ở một số điểm:
Không thể thực hiện Incremental backup
Không phải tất cả domain controller sẽ được sao lưu
Sao lưu từ một domain controller không thể được sử dụng để khôi
phục trên một domain controller khác
Khôi phục ở cả hai dạng authoritative hoặc non-authoritative
Các domain controller ở mức bảo mật cao, cần đến các thao tác đặc
biệt
Do yêu cầu bảo mật ở mức cao, một chính sách sao lưu và khôi phục an toàn
bao gồm các thao tác bảo mật mà không được cần đến cho việc sao lưu máy
chủ cụ thể. Chiến lược sao lưu và khôi phục domain controller an toàn sẽ
bao gồm các thao tác chính sau:
Tránh sử dụng một tài khoản chung cho toàn công ty để thực hiện sao
lưu
Hạn chế phần cứng sao lưu domain controller để các chúng được bảo
mật
31
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
Kế hoạch sao lưu domain controller thông thường và huỷ các phương
tiện sao lưu khi chúng không còn sử dụng
Bảo vệ các tài khoản Backup Operators
Thao tác khôi phục định kỳ các domain controller từ phương tiện sao
lưu.
Thực thi một chính sách sao lưu và khôi phục đã đưa ra để xác định domain
controller nào sẽ được sao lưu, ai có quyền thực hiện chức năng này, cách
các domain controller sẽ được sao lưu và cách phương tiện sao lưu sẽ được
sử dụng.
2.3 Quản lý tài khoản Backup Operators
Administratorschứa một nhóm có sẵn tên là Backup Operators. Các
thành viên của nhóm này được coi như những người quản trị dịch vụ, bởi vì
các thành viên của nhóm này có quyền khôi phục các file, bao gồm các file
hệ thống trên các domain controller. Thành viên của nhóm Backup
Operators trong Administratorssẽ được giới hạn bao gồm những cá nhân
thực hiện sao lưu và khôi phục các domain controller.
Tất cả các máy chủ thành viên cũng chứa một nhóm có sẵn được gọi
là Backup Operators ở trên mỗi máy chủ đó. Các cá nhân những người chịu
trách nhiệm cho việc sao lưu các ứng dụng trên mỗi máy chủ thành viên sẽ
là thành viên của nhóm Backup Operators trên máy chủ đó chứ không phải
là thành viên nhóm Backup Operators trong Active Directory.
Trên một domain controller riêng, bạn có thể giảm số lượng thành
viên của nhóm Backup Operators. Khi một domain controller được sử dụng
để chạy các ứng dụng khác, các cá nhân chịu trách nhiệm cho việc sao lưu
các ứng dụng trên các domain controller cũng phải được tin cậy như người
quản trị dịch vụ, bởi vì họ sẽ có quyền cần thiết để khôi phục file, bao gồm
các hệ thống file trên các domain controller.
32
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
Bởi mặc định, nhóm Backup Operators rỗng. Các thành viên của nó
có thể được thay đổi bởi các thành viên của các nhóm administrators,
Domain Administrators, and Enterprise Administrators. Các quyền được liệt
kê trong bảng II.1
Bảng II.1 Kí hiệu bảo mật để bảo vệ nhóm Backup Operators trong Active
Directory
Quyền Áp
Dạng Tên dụng
tới
Allow Administrators List Contents Chỉ đối
tượng ReAdministratorsAll
này Properties
Write All Properties
Delete
ReAdministratorsPermissions
Modify Permissions
Modify Owner
All Validated Writes
All Extended Rights
Create All Child Objects
Delete All Child Objects
Allow Authenticated List Contents Chỉ đối
Users ReAdministratorsAll tượng
này Properties
ReAdministratorsPermissions
33
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
Quyền Áp
Dạng Tên dụng
tới
Allow Domain List Contents Chỉ đối
Admins ReAdministratorsAll tượng
này Properties
Write All Properties
ReAdministratorsPermissions
Modify Permissions
Modify Owner
All Validated Writes
All Extended Rights
Create All Child Objects
Delete All Child Objects
Chỉ đối Allow Enterprise List Contents
tượng admins ReAdministratorsAll
này Properties
Write All Properties
ReAdministratorsPermissions
Modify Permissions
Modify Owner
All Validated Writes
All Extended Rights
Create All Child Objects
Delete All Child Objects
34
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
Quyền Áp
Dạng Tên dụng
tới
Allow Everyone Change Password Chỉ đối
tượng
này
Allow Pre– List Contents Đặc
Windows 2000 ReAdministratorsAll biệt
Compatible Properties
Access ReAdministratorsPermissions
Allow SYSTEM Full Control Chỉ đối
tượng
này
Ghi chú: các từ chuyên ngành khó hiểu sẽ được chú thích trong phụ lục
3. Hiện trạng hệ thống
Các tài khoản của nhân viên chưa được sắp xếp, phân quyền cụ thể.
Các user chưa đều có các quyền cơ bản và ngang nhau.
Chưa có các mẫu policy nào áp dụng hay chính sách nào sử dụng cho
hệ thống Active Directory.
Hệ thống công ty mói được xây dựng do đó chưa hề có một chính
sách Update và backup. Do đó để đảm bảo hệ thống hoạt động một cách
bình thường và an toàn thì một cơ chế backup tốt là một đòi hỏi tối quan
trọng.
4. Các công việc triển khai & kết quả
4.3 Quản trị hệ thống Active Directory
35
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
Cài đặt Windows Server 2003 trên máy chủ rồi cấu hình nó như một
domain. Thăng cấp máy chủ đó thành Domain Controler. Thiết kế Active
Directory đảm bảo tương tác tốt nhất với các dịch vụ khác trên hệ thống
Intranet như: email, truy cập Internet, chat, SharePoint Portal. Một hệ thống
Active Directory được đánh giá tốt khi nó thỏa mãn được các yêu cầu về
các dịch vụ đồng thời phải có một chính sách tốt về người dùng.
Hình dưới cho chúng ta thấy giao diện quản trị của Active Directory.
Hình II.4.1Giao diện điều khiển ACTIVE DIRECTORY
Lựa chọn mô hình hệ thống cho VINAPAY là một công việc rất quan
trọng. Mô hình cần phải phản ánh được cấu trúc tổ chức của VINAPAY
đồng thời thuận tiện cho công việc quản trị mà không làm ảnh hưởng đến
hiệu suất của dịch vụ thư mục. Để giải quyết vấn đề này, trong Active
Directory, Microsoft chia các domain thành các OU. Với việc lựa chọn OU
để chứa các phòng ban sẽ đảp bảo được vấn đề này.
Hình sau cho chúng ta thấy một OU
36
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
Hình I.4.2 Một OU trong ACTIVE DIRECTORY
Tính năng xác thực của Active Directory sẽ đảm bảo được các yêu cầu sau:
Cho phép các nhóm quản trị quản lý thông tin một cách độc lập
Có khả năng trao quyền quản trị cho các nhóm quản trị khác nhau
Các tính năng bảo mật trong Active Directory như GPO, kết hợp với
những tính năng IPSec, NAT của hệ điều hành Windows Server 2003
chúng sẽ tạo ra một môi trường an toàn đảm bảo người sử dụng chỉ có
thể truy cập đến các tài nguyên với quyền được cấp phát.
Để đảm bảo được yêu cầu này các Active Directory sẽ quản lí theo nhiều
tiêu chí như: quản lí máy tính(compuer), quản lí người dùng(user), nhóm
người dùng. ADMINISTRATORS áp dụng các chính sách (policy) cho các
người dùng và từng nhóm người dùng.
37
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
Hình II.4.3 Một Group Policy
Cụ thể để dễ quản lí, cơ cấu của Vinapay được chia nhỏ thành 10 nhóm tài
khoản với từng chính sách riêng biệt. Khi có một người sử dụng mới ta chỉ
cần thêm người sử dụng đó vào nhóm phù hợp mà không cần tìm từng
quyền hay cấu hình từng người. Chính sách Policy mang tính kế thừa, quyên
đứng trên có thể phủ nhận quyền ở dưới, để một số quyền không bị kế thừa
ta có thể kick vào ô lựa chọn Block Policy inheritance.
Dưới đây là những tiêu chí mà mô hình domain cần phải đảm bảo:
Cho phép các nhóm quản trị quản lý thông tin một cách độc lập
Có khả năng trao quyền quản trị cho các nhóm quản trị khác nhau
Tạo ra một môi trường an toàn đảm bảo người sử dụng chỉ có thể truy
cập đến các tài nguyên với quyền được cấp phát
4.2 Cấu hình backup cho domain
4.2.1 Lập bảng biểu Backup Job
38
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
Bạn phải backup cho dữ liệu có nguy cơ cho công ty của bạn và bây
giờ bạn cần chắc rằng dữ liệu tiếp tục được backup trên một khoảng thời
gian cơ bản.
Thay vì thực hiện backup bằng tay, bạn có thể lập bảng biểu chúng để
thực hiện tự động. Lập bảng biểu backup đảm bảo viêc backup ở hiện tại, nó
được thực hiện ở một thời điểm đặc biệt hoặc trong một chu kì thời gian
hoặc thực hiện với các sự kiện hệ thống được lựa chọn để phù hợp với các
kiểu lưu trư dữ liệu trong công ty của bạn, hoặc lấy trung bình các trạng thái
của thời điểm mạng không hoạt động.
Các Phương thức Lập bảng biểu Backup, có thể lập bảng biểu theo 3
cách sau:
Khi ban tạo một backup mới trong Windows Backup.
Bằng việc sử dụng Scheduled Jobs tab trong Windows Backup để lập
bảng biểu cho môt công việc đang tồn tại
Tạo ra một gói công việc với ntbackup command, và chạy nó trong
Windows commnAdministratorsline
Các lựa chọn Lập bảng biểu Backup
Bạn có một vài lựa chọn cho phép lập bảng biểu cho việc backup:
Schedule Option Execute the Job
Thực hiện ở một thời điểm đặc biệt trên một ngày One đặc biệt
Daily Thực hiện ở một thời điểm đặc biệt mỗi ngày
Thực hiện ở một thời điểm đặc biệt trên một ngày Weekly đặc biệt hàng tuần
Monthly Thực hiện ở một thời điểm đặc biệt trong một tháng
39
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
At system starup Thời điểm lần tiếp theo mà PC khởi động
Thời điểm lần tiếp theo mà user sở hữu backup At logon logon
When idle Khi hệ thống nhàn rỗi
4.2.2 Một phương pháp xây dựng backup và restore dữ liệu (được áp
dụng vào vinapay)
Khi xây dựng kế hoạch cho backup và recovery, bạn phải hỏi chính mình
bằng một số câu hỏi đê có thể quyết định được backup thế nào, khi nào và
dữ liệu là gì. Những câu hỏi đó bao gồm:
Khi nào thuận tiện nhất để thực hiện backup job?
Backup dữ liệu thực hiện ngoài giờ cao điểm hệ thống là lý tưởng, là
khi hệ thống sự dụng tài nguyên thấp.
Bạn sẽ lư trữ các backups ở vùng ngoài?
Backup được đề xuất rằng nên backup qua phương tiên truyền thông
nào đó, là một kho lưu trữ bên ngoài vùng dữ liệu phòng trường hợp của một
tai hoạ tự nhiên, lửa, rò rỉ thông tin, … Nó cũng sẽ khuyên nên giữ một bản
sao của phần mềm được yêu cầu để install và khôi phục hệ điều hành,
database server, backup recovery, …
Dữ liệu quan trong như thế nào với hê thống của bạn đang dùng?
Phân loại theo tính quan trọng của dữ liệu sẽ giúp bạn quyết định dữ
iệu cần để backup, nó sẽ backup như thế nào và khi nào được backup.
Dữ liệu có nguy cơ (như là dữ liệu tài chính, database, …) sẽ đặt giai
đoạn backup và như thế sẽ có một loạt các backup dư ra, trong khi dữ
liệu ít quan trong hơn sẽ được backup hàng ngày và được khôi phục
đơn giản.
Khôi phục dữ liệu nhanh như thế nào từ backup cần thiết?
40
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
Nghia là đưa hệ thống có nguy cơ trở lại làm việc bình thường sớm như có
thể. Thì kế hoặc Backup của bạn phụ thuộc nhiều vào thời gian mà nó lấy ra
để khôi phục một hệ thống. Và dữ liệu sẽ được phân loại theo giai đoạn và
dãy khôi phục.
Dữ liệu thay đổi theo giai đoạn như thế nào?
Dữ liệu mà thay đổi hàng ngày sẽ được backup hàng ngày. Tốc độ mà
dữ liệu của ban thay đổi sẽ phản chiếu quyết định tần xuất backup backup
của hệ thông.
Dữ liệu ở trên hệ thống của bạn bao gồm những loại thông tin gì?
Phải nắm được dữ liệu của bạn gồm những thông tin gì, từ đó bạn có
thể xác định nguy cơ, và tính bảo mật, v.v… trên đó, xác định sự quan trọng
của nó. Điều này sẽ giúp bạn xác định được dữ liệu được backup khi nào và
như thế nào.
Bạn có nhưng thứ cần thiết để backup không?
Để chắc chắn rằng bạn có phần cứng tốt và đủ các phương tiện truyền
thông cần thiết để thực hiện một backup. Chọn backup trên phương tiện
truyền thông la một nhân tố quan trọng trong việc backup và khôi phục dữ
liệu. Các backup tape là một dạng phổ biến của phương tiện truyền thông,
chúng có thể lưu trữ lượng lớn data và giá rẻ, nhưng chậm hơn so với các
lựa chọn khác.
4.2.3 Giới hạn dịch vụ sao lưu và phương tiện lưu trữ vào các vị
trí an toàn.
Cung cấp phương tiện sao lưu domain controller với cùng mức bảo
mật về mặt vật lý như chính các domain controller. Bởi vì phương tiện sao
lưu chứa tất cả các thông tin trong cơ sơ dữ liệu Active Directory, việc đánh
cắp các bản sao lưu này cũng nguy hiểm như việc đánh cắp một domain
41
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
controller hoặc một ổ đĩa từ một domain controller. Kẻ tấn công có thể khôi
phục các thông tin ở trong và truy cập vào dữ liệu Active Directory.
Để ngăn chặn các cá nhân truy cập trái phép phương tiện sao lưu:
Tháo các phương tiện từ ổ cứng sao lưu ngay khi quy trình sao lưu
hoàn thiện.
Lưu các phương tiện sao lưu trong một nơi an toàn, nơi truy cập được
theo dõi.
Lưu một bản sao lưu dự phòng ở nơi khác
Thiết lập các quy trình và thủ tục yêu cầu chữ ký của người quản trị
khi các thiết bị sao lưu dữ phòng được mang đi.
Các thiết bị sao lưu cần luôn được sẵn sang ở trạng thái tốt nhất.
4.2.4 Phương án Backup cho VINAPAY:
Để Backup hệ thống của VinaPay thì có 2 lựa chọn theo mô hình sau:
Hình II.4.6 Hai cách backup đề nghị cho mô hình công ty vinapay
42
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
II.1 Mô hình 1
Day Mô tả
Full backup (normal): Backup toàn bộ dữ liệu trên Sunday 12.00 PM file và fodler hiên tại.
Incremental: chỉ backup các file và folder được Monday 12.00 PM thay đổi trên từ normal backup cuối cùng.
Incremental: chỉ backup các file và folder được Tuesday 12.00 PM thay đổi trên từ normal backup cuối cùng.
Incremental: chỉ backup các file và folder được Wednesday 12.00PM thay đổi trên từ normal backup cuối cùng.
Incremental: chỉ backup các file và folder được Thursday 12.00 PM thay đổi trên từ normal backup cuối cùng.
Incremental: chỉ backup các file và folder được Friday 12.00 PM thay đổi trên từ normal backup cuối cùng.
Incremental: chỉ backup các file và folder được Saturday 12.00 PM thay đổi trên từ normal backup cuối cùng.
II.2 Mô hình 2
Day Mô tả
Full backup (normal): Backup toàn bộ dữ liệu trên Sunday 12.00 PM file và fodler hiên tại.
Incremental: chỉ backup các file và folder được Monday 12.00 PM thay đổi trên từ normal backup cuối cùng.
Tuesday 12.00 PM Incremental: chỉ backup các file và folder được
43
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
thay đổi trên từ normal backup cuối cùng.
Wednesday 12.00 Full backup (normal): Backup toàn bộ dữ liệu trên
PM file và fodler hiên tại.
Incremental: chỉ backup các file và folder được Thursday 12.00 PM thay đổi trên từ normal backup cuối cùng.
Incremental: chỉ backup các file và folder được Friday 12.00 PM thay đổi trên từ normal backup cuối cùng.
Incremental: chỉ backup các file và folder được Saturday 12.00 PM thay đổi trên từ normal backup cuối cùng.
4.2.5 Quản lý vòng đời của phần cứng domain controller
Một tổ chức có thể định kỳ bỏ hoặc thực hiện tái sử dụng một số lượng đáng
kể các máy chủ, máy trạm và thiết bị sao lưu. Các domain controller, các
Active Directoryministrative workstation và thiết bị sao lưu domain
controller chứa các thông tin nhạy cảm cần được bảo vệ. Để bảo vệ các
thông tin nhạy cảm này khi thiết bị được tái sử dụng, bạn sẽ có một chính
sách để xác định cách thực hiện trong quá trình tái sử dụng các domain
controller, các Active Directoryministrative workstation, và các thiết bị sao
lưu đi kèm.
44
