Topic 3D:
Windows 2003 Resource Security
Nhiều tài nguyên tồn tại trên mạng và máy chủ Windows 2003, tất cả chúng cần được bảo
mật theo một vài phương pháp. Chúng ta bắt đầu với hệ thống tập tin.
File and Folder Security
Trong khi Windows NT 4.0 chỉ có khả năng làm việc với các hệ thống tập tin FAT và
NTFS, Windows 2000 làm việc với FAT32. Và cho dù Windows 2000 có thể hỗ trợ FAT
và FAT32 thì nó vẫn được khuyến cáo sử dụng NTFS cho tùy chọn bảo mật của nó.
Windows Server 2003 nên được cài đặt trên một phân vùng NTFS.
Việc sử dụng của NTFS trong Windows 2003 (kỹ thuật còn gọi là NTFS version 5) là cần
thiết nếu người quản trị muốn sử dụng Active Directory, Domains, bảo mật tập tin cấp cao.
Ngoài ra, thêm vào việc mã hóa tập tin và phân vùng ổ đĩa yêu cầu NTFS. Một lời khuyên
ở đây là tất cả phân vùng vẫn còn chạy FAT hay FAT32 nên được chuyển đổi sang NTFS
để tài nguyên Windows 2003 được bảo mật hiệu quả hơn. Nếu bạn cần chuyển đổi phân
vùng sang NTFS, bạn có thể sử dụng lênh convert c: /FS:NTFS , trong đó c là phân vùng
tập tin được chuyển đổi.
Bất kỳ phân vùng mới nào dù là mới tạo hay chuyển đổi sang NTFS, mặc định sẽ được cho
phép nhóm Everyone truy xuất Full Control. Bởi vì nhóm này bao gồm tài khoản Guest và
Anonymous nên bảo mật chặt chẽ phải được thực thi trước khi bạn cho phép bất kỳ tài
khoản người dùng nào được truy xuất hay thêm vào hệ thống.
Chỉ khi một phân vùng mới tạo ra có thiết lập bảo mật mặc định thì hệ điều hành cài đặt
mới hoạt động. Trong Windows 2003, một vài ước số được thêm vào để ngăn người dùng
thay đổi tập tin hệ thống của Windows. Các thay đổi ẩn thư mục trong thư mục
\WINDOWS và thư mục \System32 mặc định; tuy nhiên, một click nhanh vào tùy chọn
Show Files và tất cả sẽ được hiện thị cho bạn. Có sẵn một cơ chế làm việc cho phép bạn
giữ các tập tin không bị thay đổi. Nó được gọi là hệ thống Windows File Protection
(WFP), và công việc của nó là đảm bảo các tập tin hệ thống cài đặt trong suốt quá trình cài
đặt Windows không bị xóa hay viết chồng lên. Chỉ có những tập tin được chữ ký số bởi
Microsoft mới có thể thực hiện những thay đổi này. Bạn nên chú ý điều này khi cài đặt
driver cho thiết bị được chấp thuận bởi Microsoft.
File and Folder Permissions

Tiến trình xem quyền hạn giống như trong Windows 2003 khi trên Windows 2000 để xem
quyền hạn cho một đối tượng, click phải vào đối tượng, chọn Properties và xem thông tin
trên Security tab. Nhìu dữ liệu hơn được cung cấp trên Advanced tab. Quyền hạn tập tin
trong Windows 2000 và 2003 thì khác hơn trong Windows NT 4.0. Một số quyền hạn tồn
tại được định nghĩa trong list sau:
 Traverse Folder/ Execute File – Quyền Traverse Folder chỉ áp dụng với thư mục
và quản lý khả năng user di chuyển qua các thư mục để đến tập tin hay thư mục
khác; bất chấp các quyền trên thư mục. Quyền Execute File chỉ áp dụng cho tập tin
và quản lý khả năng user chạy tập tin chương trình.
 List Folder/Read Data – Quyền List Folder chỉ áp dụng với thư mục và quản lý
khả năng user xem tên tập tin và tên thư mục. Quyền Read Data chỉ áp dụng cho
tập tin và quản lý khả năng user đọc tập tin.
 Create Folders/Append Data – Quyền Create Folder chỉ áp dụng cho thư mục và
quản lý khả năng user tạo các thư mục bên trong một thư mục. Quyền Append
Data chỉ áp dụng cho tập tin và quản lý khả năng user thay đổi phần kết thúc của
một tập tin.
 Delete – Quyền này quản lý khả năng user xóa một tập tin hay thư mục.
 Read Permissions – Quyền này quản lý khả năng user đọc các quyền hạn của tập
tin hay thư mục.
 Change Permissions – Quyền này quản lý khả năng user thay đổi quyền hạn của
tập tin hay thư mục.
 Take Ownership – Quyền này quản lý khả năng user nhận quyền sở hữu một tập
tin hay thư mục.
 Read Attributes – Quyền này quản lý khả năng user đọc các thuộc tính của tập tin
hay thư mục.
 Write Attributes – Quyền này quản lý khả năng user thay đổi thuộc tính của tập tin
hay thư mục.
Một mình các quyền này không được xem là cho phép hay từ chối truy suất; người quản trị
phải xác định nó cho từng đối tượng. Nói chung, nó không cần thiết phải chỉ định từng
quyền cụ thể khi bảo mật tài nguyên. Bạn thường sử dụng các quyền chỉ định sau : Full

Control, Modify, Read and Execute, List Folder Contents, Read, và Write. Khả năng cụ thể
của các quyền này được định nghĩa trong biểu đồ hình 3-9.
Special Permissions Full
Control
Modify Read &
Execute
List
Folder
Contents
Read Write
Traverse Folder / Execute File X X X X
List Folder / Read Data X X X X x
Read Attributes X X X X X
Read Extended Atributes X X X X X
Create Files / Write Data X X X
Create Folders / Append Data X X X
Write Attributes X X X
Write Extended Attributes X X X
Delete Subfolder and Files X
Delete X X
Read Permissions X X x x X x
Change Permissions X
Take Ownership x
Hình 3-9 / 242
Như bạn có thể thấy, ví dụ khi bạn áp dụng quyền Read cho một thư mục, nó sẽ nhận List
Folder/ Read Data, Read Attributes, và Read Extended Attributes như là các quyền của thư
mục. Các quyền của tập tin NTFS cũng tương tự, ngoại trừ nó không có tùy chọn List
Folder Contents, bởi vì quyền này áp dụng cho một tập tin. Một khác biệt lớn so với quyền
Windows NTFS cũ là khả năng từ chối một các rõ ràng cho từng quyền hạn.
Inheritance and Propagation

Khi bạn tạo ra một tập tin mới, tập tin này sẽ thừa kế các quyền của tập thư mục chính của
nó hoặc của phân vùng chính nếu đó là thư mục gốc. Vì vậy, nếu một thư mục chính được
thiết lập Everyone Modify, tập tin bạn tạo ra trong thư mục đó sẽ có Everyone Modify như
quyền của nó.
Có một cách mà bạn có thể thay đổi chính sách này để các quyền không làm việc theo cách
này. Bạn có thể tạo một thư mục và áp dụng quyền cho tùy chọn This Folder Only, điều
này có nghĩa là dữ liệu mới tạo ra trong thư mục này sẽ không kế thừa các quyền của thư
mục. Những đối tượng mới đó sẽ kế thừa các quyền được thiết lập ở mức cao hơn. Ví dụ
bạn có một thư mục D:\Secure\One và thư mục này có các quyền áp dụng cho This Folder
Only, và bạn tạo một tập tin D:\Secure\One\test.txt . Tập tin này sẽ thừa kế quyền của nó từ
đối tượng D:\Secure.
Bạn cũng có thể khóa việc thừa kế các quyền cho một đối tượng bằng cách xóa tùy chọn
Allow Inheritable Permissions From Parent To Propagate To This Object trên Secutity tab
của cửa sổ Properties. Khi bạn xóa tùy chọn này, bạn sẽ thấy sự xuất hiện của 3 tùy chọn :
 Sao chép các quyền mà đối tượng kế thừa
 Xóa tất cả các quyền ngoại trừ các quyền được áp dụng riêng biệt.
 Hủy bỏ các hoạt động và giữ lại các quyền
Tiến trình thiết lập quyền tương tư như Windows NT 4.0, ngoại trừ việc chấp nhận hay từ
chối truy xuất rõ ràng. Nếu bạn muốn cho một user nay một group No Access như trong
Windows NT, bạn cho user hay group đó Deny quyền Full Control trong Windows 2000.
Thiết lập quyền là một việc khá đơn giản, việc mà các chuyên gia bảo mật có thể làm thoải
mái. Tuy nhiên, có một cách mà một kẻ tấn công có thể đi qua bảo mật NTFS của bạn nếu
họ có một truy suất vật lý đến máy tính. Đó là sử dụng hệ điều hành riêng biệt thay thế,
MS-DOS.
Bạn có thể nghĩ rằng sử dụng DOS sẽ không có ảnh hưởng lên bất kỳ tập tin nào trên phân
vùng NTFS, và thậm chí DOS không thể nhận dạng phân vùng NTFS. Trong hầu hết các
trường hợp thì đúng, tuy nhiên, có những công cụ và tiện ích trên thị trường được thiết kế
để truy xuất NTFS từ DOS. Công cụ phổ biến nhất và đơn giản là NTFSDOS và được làm
bởi một công ty có tên là Sysinternals. Phần Task sau sẽ cho phép bạn truy suất một tận tin
bảo mật NTFS trên DOS.

TASK 3D-1
Compromising NTFS Security
1. Trong vùng khởi động Windows 2003, tạo folder có tên Secure.
2. Trong folder, tạo 1 file text mới có tên secret.txt và thêm dòng This is a secure file
vào.
3. Thiết lập bảo mật trên tập tin này để các nhóm kiểm soát đầy đủ tất cả mọi người
đã từ chối và thừa nhận tin nhắn cảnh báo. Bây giờ,thậm chỉ tất cả các quản trị viên
có thể truy cập tập tin này.
4. Kiểm tra an toàn bằng cách mở file Secure.txt. Bạn không thể truy cập vào các tập
tin.
5. Khởi động lại máy tính và khởi động vào DOS bằng cách sử dụng đĩa mềm khởi
động chứa NTFSDOS.
6. Trong DOS prompt,nhập ntfsdos để chạy các tiện ích. Các phân vùng NTFS được
gắn kết với các ký tự ổ đĩa được phân công.
7. Di chuyển đến vùng mà bạn tạo ra folder Secure, và nhập cd secure để thay đổi
thư mục đến folder này.
8. Nhập secret.txt để hiện thị các tập tin văn bản ra màn hình.
9. Thực hiện các nội dung file secret.txt.
10. Xóa ổ đĩa khởi động,và khởi động lại máy tính
The NULL Session
Để một hệ thống cung cấp tài nguyên chia sẻ qua mạng, nó phải truyền thông với mạng.
Việc truyền thông này được thực hiện thông quá các kết nối nặc danh từ hệ thống đến hệ
thống. Trong đó, việc này có thể không thể hiện vấn đề, nhưng nếu một máy kết nối trực
tiếp với Intenet, hoạt động này có thể chấp thuận cho một kẻ tấn công tìm hiểu về mạng
máy tính bên trong mà không cần quyền hạn.
Khi một kẻ tấn công kết nói theo cách này (với một đăng nhập nặc danh), nó được gọi là
một kết nói phiên NULL. Để chống lại trường hợp này, bạn nên vô hiệu hóa phiên NULL.
Việc này có thể thực hiện thông qua bất kỳ mô hình bảo mật nào như sau :
1. Mở bất ký mô hình bảo mất nào trong MMC.
2. Điều hướng Local Policices.

3. Điều hướng Security Options.
4. Thiết lập các hạn chế thêm cho các kết nối nặc danh để không được truy xuất mà
không có các quyền rõ ràng.
Windows 2003 Printer Security
Khi bạn cài đặt tùy chọn bảo mật trên một máy in trong Windows 2003, bạn có 3 quyền mà
bạn có thể áp dụng : Print, Manage Printers và Manage Documents.
 Mức độ bảo mật mặc định cung cấp cho các user là Print, có nghĩa là họ được
nhận các quyền là in, dừng, tiếp tục lại, khởi động lại và hủy văn bản
 Nếu bạn muốn cung cấp cho user nhiều khả năng điều khiển máy in hơn, bạn có
thể cho họ quyền Manage Documents. Mức độ của quyền này là họ được phép
dừng, tiếp tục lại, khởi động lại, hủy tất cả văn bản
 Nếu bạn muốn cung cấp cho các user như người quản lý cấp thấp hay người có
trách nhiệm quản lý tất cả máy in vơí nhìu quyền điều khiển máy in hơn, bạn có
thể cho họ quyền Managa Printers. Điều này có nghĩa họ được phép chia sẻ máy
in, thay đổi quyền máy in, thay đổi thuộc tính máy in, hoặc xóa các máy in.
Mặc dù các quyền thiết lập có thể cung cấp bảo mật mà bạn yêu câu, nhưng bạn vẫn có thể
có nhiều điều khiển hơn qua máy in. Trong thiết lập Advanced của một máy in, bạn có thể
xác định số giờ mà máy in đó hoạt động. Nếu một máy in được sử dụng trong suốt thời
gian kinh doanh, không có lý do gì thiết lập quyền máy in thì nó có thể sử dụng 24x7. Hình
thức điều khiển này giúp giữ cho thiết bị được sử dụng chỉ với mục đích kinh doanh.
Ngoài việc bảo mật cho máy in, bạn phải chú ý đến bảo mật spooler, Một chương trình
thường nằm trong số những trình tiện ích của hệ điều hành, dùng để hướng các lệnh in cất
tạm vào một tệp trên đĩa hoặc trong RAM thay vì vào máy in … Nếu spooler trái với mặc
định trong %systemroot% được chấp thuận Everyone Full Control, vùng này sẽ được
chuyển sang một vùng bảo mật NTFS nơi mà nó được quản lý riêng biệt.
Windows 2003 Registry Security
Registry chứa dữ liệu cấu hình cho một máy tính là một mục quan trong để bảo mật một
cách chính xác. May mắn, các user không có cùng mức độ tương tác với Registry như họ
có với tài nguyên mạng.
Trong các phiên bản trước của Windows, bạn phải chọn giữ regedit và regedt32 khi làm

việc với Registry. Trong Windows Server 2003, bạn chỉ sử dụng regedit. Thực thi regedt32
vẫn tồn tại, nhưng thực chất nó được thi hành trong lênh regedit. Trong Server 2003, tùy
chọn các quyền trước đây không tồn tại trong regedit thì bây tồn tại cho bạn sử dụng. Khi
thiết lập các quyền chính trong Registry, bạn có thể chọn cả Read hoặc Full Control.
Những quyền tồn tại cho Registry thì khác với các quyền sử dụng cho bảo mật tập tin.
Danh sách sau chứa các quyền cho Registry:
 Query Value – yêu cầu và nhận giá trị của một khóa Registry.
 Set Value – đổi giá trị khóa.
 Create Subkey – tạo một khóa phụ.
 Enumerate Subkeys – liệt kê các khóa phụ.
 Notify – thiết lập kiểm định.