Tải bản đầy đủ (.pdf) (45 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Đại cương

Bài giảng 70 290 mcse guide to managing a microsoft windows server 2003 environment chương 14 ths trần bá nhiệm (biên soạn)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.19 MB, 45 trang )

70-290: MCSE Guide to Managing
a Microsoft Windows Server 2003

Environment

Chương 14:
Các đặc tính bảo mật trong

Windows Server 2003

Mục tiêu

• Xác định các phần tử và kỹ thuật khác nhau dùng
để bảo mật hệ thống Windows Server 2003

• Dùng các cơng cụ Security Configuration and
Analysis để cấu hình và rà sốt các thiết lập bảo
mật

• Kiểm tốn truy vập vào các tài nguyên và xem lại
các thiết lập Security log

70-290: MCSE Guide to Managing a Microsoft 2

Windows Server 2003 Environment

Bảo mật hệ thống Windows
2003

• 5 vấn đề liên quan đến bảo mật:


• Authentication (Chứng thực)
• Access control (Điều khiển truy cập)
• Encryption (Bảo mật)
• Security policies (Các chính sách bảo mật)
• Service packs & hot fixes

70-290: MCSE Guide to Managing a Microsoft 3

Windows Server 2003 Environment

Chứng thực

• Mức độ cơ bản được y/c là 1 user ID và mật khẩu để đăng
nhập hệ thống

• Trong 1 mơi trường domain, chứng thực được tập trung
hóa trên mạng; trong khi với môi trường workgroup việc
chứng thực là cục bộ

• Trong 1 mơi trường domain, 1 chứng thực có thể cung cấp
quyền truy cập đến nhiều domain và forest

• Các phương pháp chứng thực bổ sung có thể áp dụng với
các dịch vụ khác (như IIS)

70-290: MCSE Guide to Managing a Microsoft 4

Windows Server 2003 Environment

Điều khiển truy cập


• Điều khiển truy cập dùng để bảo mật các tài
nguyên như file, thư mục, máy in

• Các kiểu khác của điều khiển truy cập là các
quyền NTFS, thư mục chia sẻ, máy in và các
quyền trên đối tượng AD khác

• Nguyên lý “cấp ít quyền nhất” ngụ ý là các user
chỉ nên có quyền truy cập những cái gì họ cần

70-290: MCSE Guide to Managing a Microsoft 5

Windows Server 2003 Environment

Bảo mật

• Các file bí mật lưu trên các NTFS volumn có thể
mã hóa dùng EFS

• EFS dùng kết hợp khóa cơng cộng và khóa riêng
• Giao thức IPSec mã hóa nội dung của các gói tin

gửi qua mạng dùng TCP/IP
• 2 chế độ IPSec: transport & tunnel
• IPSec gây khó khăn cho các hacker muốn can

thiệp vào dữ liệu mạng nhạy cảm

70-290: MCSE Guide to Managing a Microsoft 6


Windows Server 2003 Environment

Các chính sách bảo mật

• Các thiết lập chính sách bảo mật có thể cấu hình từ
Local Security Policy và Group Policy Object
Editor MMC snap-ins

• Các thiết lập chính sách bảo mật điều khiển một
vùng các thiết lập bảo mật

• Windows Server 2003 có một số cơng cụ phân
tích chính sách bảo mật so với các mẫu có sẵn

• Security Configuration and Analysis MMC snap-in
• Ứng dụng dịng lệnh SECEDIT

70-290: MCSE Guide to Managing a Microsoft 7

Windows Server 2003 Environment

Service Packs & Hot Fixes

• Nhiều bản cập nhật và patch quan trọng liên quan
đến bảo mật

• Các Hot fix cũng giúp xác định 1 số vấn đề đặc
biệt


• Chúng có thể tải và cài đặt từ Microsoft
• SUS có thể hỗ trợ tự động quản lý các bản cập

nhật

70-290: MCSE Guide to Managing a Microsoft 8

Windows Server 2003 Environment

Dùng các công cụ Security
Configuration Manager

• Windows Server 2003 cung cấp các cơng cụ thiết
kế đặc biệt giúp cấu hình và quản lý các thiết lập
bảo mật (Security Configuration Manager)

• Những cơng cụ này cùng với các chính sách
Group có thể dùng để cài đặt mẫu Security Policy

70-290: MCSE Guide to Managing a Microsoft 9

Windows Server 2003 Environment

Dùng các công cụ Security
Configuration Manager (tt)

• Cơng cụ Security Configuration and Analysis sẽ
so sánh mẫu bảo mật với các thiết lập đã làm

• Cơng cụ Security Configuration and Analysis

gồm:

• Các mẫu bảo mật
• Các mẫu bảo mật trong các đối tượng GP
• Cơng cụ Security Configuration and Analysis
• Lệnh SECEDIT

70-290: MCSE Guide to Managing a Microsoft 10

Windows Server 2003 Environment

Các mẫu bảo mật

• Các mẫu giúp bảo đảm thống nhất và dễ dàng bảo
trì trên nhiều máy

• Các mẫu là các file văn bản

• Nhưng khơng dùng trình soạn thảo văn bản bình
thường để chỉnh sửa

• Có 1 số mẫu thiết kế sẵn

70-290: MCSE Guide to Managing a Microsoft 11

Windows Server 2003 Environment

Các mẫu bảo mật (tt)

70-290: MCSE Guide to Managing a Microsoft 12


Windows Server 2003 Environment

Thực tập 14-1:Xem các mẫu
bảo mật

• Mục tiêu: Làm quen với 1 số mẫu bảo mật có sẵn
• Start  Run  type mmc  OK  File 

Add/Remove Snap-in  Add
• Tìm và xem các mẫu có sẵn như chỉ dẫn
• Xem các chính sách liên hệ với các mẫu

70-290: MCSE Guide to Managing a Microsoft 13

Windows Server 2003 Environment

Phân tích các mẫu bảo mật
thiết kế sẵn

• Các máy tính mạng có thể phân loại thành:

• Workstations
• Servers
• Domain controllers

• Các mẫu thiết kế sẵn có thể áp dụng cho 1 loại nào
đó

• Chỉ có Windows Server 2003, Windows XP,

Windows 2000 là dùng được mẫu thiết kế sẵn

70-290: MCSE Guide to Managing a Microsoft 14

Windows Server 2003 Environment

Default Template

• Mẫu Setup Security.inf chứa các thiết lập bảo
mật mặc định

• Nội dung phụ thuộc cấu hình ngun thủy của
máy tính (cài mới, nâng cấp…)

• Cho phép administrator trả về thiết lập trước đó dễ
dàng

• Khơng nên áp dụng khi dùng GP

70-290: MCSE Guide to Managing a Microsoft 15

Windows Server 2003 Environment

Incremental Templates

• Sửa đổi cải tiến các cấu hình bảo mật
• Chỉ có thể áp dụng dựa trên cấu hình mặc định bởi

vì chúng khơng xác lập cấu hình cơ bản
• Các mẫu gồm: compatws.inf, securews.inf,


securedc.inf, hisecws.inf, hisecdc.inf, iesacls.inf,
dc security.inf, rootsec.inf
• Cũng có thể tạo mẫu tùy biến

70-290: MCSE Guide to Managing a Microsoft 16

Windows Server 2003 Environment

Áp dụng các mẫu bảo mật

• Có thể áp dụng trên máy cục bộ hoặc domain
• Với máy cục bộ

• Mở Local Security Setting MMC snap-in và import 1
chính sách

• Với domain

• Dùng các GPO

• Các thiết lập bảo mật từ các GPO đè lên thiết lập
cục bộ

70-290: MCSE Guide to Managing a Microsoft 17

Windows Server 2003 Environment

Áp dụng các mẫu bảo mật (tt)


70-290: MCSE Guide to Managing a Microsoft 18

Windows Server 2003 Environment

Thực tập 14-2:Tạo 1 mẫu bảo
mật

• Mục tiêu: Khảo sát việc tạo 1 mẫu bảo mật tùy
biến

• Mở 1 New Template từ MMC Security Templates
snap-in

• Cấu hình các thiết lập cho mẫu mới theo dự định
• Lưu mẫu
• Xem file mẫu

70-290: MCSE Guide to Managing a Microsoft 19

Windows Server 2003 Environment

Thực tập 14-3: Áp dụng các

thiết lập mẫu bảo mật cho các

GPO

• Mục tiêu: Dùng GP để triển khai các thiết lập mẫu
bảo mật


• Start  Administrative Tools  Active Directory
Users and Computers

• Mở Default Domain Policy từ trang Properties của
domain

• Import vào mẫu đã tạo trước đó
• Kiểm tra lại các thiết lập

70-290: MCSE Guide to Managing a Microsoft 20

Windows Server 2003 Environment


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×