Tải bản đầy đủ (.docx) (12 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Kỹ thuật lập trình

Windows 2003 Infrastructure Security

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (147.67 KB, 12 trang )

Topic 3A
Windows 2003 Infrastructure Security
Server Roles
Sự khác biệt quan trọng giữa Windows Server 2000 với Windows Server 2003 là Server Roles.
Server Roles chủ yếu được cấu hình thiết lập cho một tác vụ cụ thể hay một nhóm các tác vụ. Khi
kích hoạt Server Roles cụ thể, bạn có thể cấu hình Windows cho tác vụ đó, và kết quả là bạn đã
tăng cường bảo mật vì chỉ dùng tài nguyên yêu cầu cho tác vụ đó.
Có 12 Server Roles khác nhau trong Windows Server 2003 RC1:
• Application Server (IIS, ASP.NET)
• DHCP Server
• DNS Server
• Domain Controller (Active Directory)
• File Server
• Mail Server (POP3, SMTP)
• Print Server
• Remote Access / VPN Server
• SharePoint Services Server
• Streaming Media Server
• Terminal Services Server
• WINS Server
Application Server (IIS, ASP.NET)
Application server cung cấp những dịch vụ ứng dụng quan trọng trong mạng ví dụ như database
(MySQL, SQL Server), Web, FPT server. Với application server, ta cấu hình chung cho các host
biết nơi thật sự lưu trữ file, @wthat is, database hay website, trên second hard drive.
DHCP Server
DHCP cung cấp một dịch vụ tuy đơn giản nhưng quan trọng để quản lý cấp phát địa chỉ IP trong
mạng. Trong Active Directory network, bạn phải chứng thực DHCP Server vào Active Directory.
Phải cẩn thận khi cấu hình DHCP Server để cho hệ thống không cấp phát IP cho các client trái
phép.
DNS Server
Khi Active Directory là xương xống của Windows 2003, Active Directory tin tưởng vào DNS,


DNS Server trở thành 1 phần quan trong trong tổng thể mạng.
Thường xuyên có những đợt tấn công và DNS, vì vậy, cấu hình riêng biệt cho Server rất quan
trọng. Phương thức tăng cường DNS sẽ được nói trong phần sau (phần WWW and Internet
Securiy Lession).
Domain Controller (Active Directory)
Từ phiên bản Windows 2000, thay đổi có ý nghĩa nhất là Active Directory và duy trì tiếp trong
Windows Server 2003. Active Directory là dịch vụ mà nội bộ mạng tin tưởng vào nó, và Domain
Controller thành 1 phần của cơ cấu điểu khiển Active Directory
File Server
File Server có vai trò minh bạch hơn so với các server khác. Tuy nhiên, do tính đơn giản, làm việc
quản trị không chặt chẽ, file ko an toàn. Trong server này, tính xác thực là then chốt trong việc
kiểm soát truy cập file và folder.
Mail Server (POP3, SMTP)
Mail Server nên chia thành 1 server riêng. Mail Server cũng giống như DNS là mục tiêu thường
xuyên của attacker. Vì thế nên tối thiểu vai trò và dịch vụ chạy trên máy này.
Print Server
Thường ko được chú ý, Print Server cũng khá quan trọng. Hồ sở cần được bảo mật nhất có thể tới
được mọi người trong công ty vì vẫn còn trong hàng đợi của Print Server khi ko được tăng cường
bảo mật.
Remote Access / VPN Server
Vai trò của Remote Access / VPN Server phải được dùng thật cẩn thận. Server này điểu khiển
client bằng truy cập trực tiếp vào mạng. Chứng thực ở đây là then chốt, bạn phải đảm bảo chỉ có
các client đã được chứng thực mới có khả năng kết nối vào mạng. Nếu bạn muốn dùng server role
này, phải tùy chỉnh chứng thực ở mức độ cao cho các client.
SharePoint Services Server
SharePoint là dịch vụ mới mà Microft đưa ra. SharePoint là dịch vụ hợp tác, để người sử dụng ở
nhiều vị trí khác nhau có thể truy cập và làm việc trên cùng dự án với nhau. Với từng vai trò của
từng người tại những vị trí khác nhau, việc chứng thực cũng rất quan trọng trong việc bảo mật của
server role này.
Streaming Media Server

The streaming media server cung cấp dịch vụ streaming dành cho audio và video cho các máy
client hay cho các nhân viên trong 1 tổ chức. Bạn có thể dùng streaming media server với nhiều
mục đích, ví dụ 1 trường hợp dịch vụ remote-access, việc chứng thực ở phía clients là chủ yếu.
Nếu bạn dự tính dùng dịch vụ đa phương tiện của Microsoft qua tường lửa, bạn phải cấu hình với
port khác (mặc dù dịch vụ này có thể cấu hình với port 80).
Để unicast streaming qua Microsoft's Multimedia Messaging Services mms, bạn cần dùng những
port mặc định sau:
• TCP - 1755 (Inbound và Outbound)
• UDP - 1755 (Inbound và Outbound)
• UDP - 1024-5000 (Outbound). Server và remote client sẽ đàm phán port sẽ được dùng
trong suốt phiên hoạt động.
Terminal Services Server
Các dịch vụ đầu cuối cung cấp thách thức duy nhất để bảo mật thật chuyên nghiệp. Những dịch vụ
này cho phép khách hàng từ xa kết nối vào server và ko chỉ truy cập file mà còn thực thi lệnh và
truy cập vào tài nguyên mạng. Khi các chức năng này được hoạt động, ví dụ như trường hợp điều
khiển truy cập từ xa với server khác, việc kiểm soát xem ai có quyền truy cập vào máy này là tuyệt
đối quan trọng. Một trạm server bị hỏng sẽ ngay lập tức gây hại cho tổ chức.
WINS Server
Windows Internet Name Service (WINS) khi Service này được triển khai trong mạng Local Area
Network nó sẽ phục vụ các Computer trong Network giải quyết để tìm NetBIOS names lẫn nhau,
và một Computer A trong Network này có thể thông qua WINS server để giải quyết được NetBIOS
name của Computer B ở một Network khác (tất nhiên hệ thống WINS thông thường chỉ được dùng
để giải quyết tên Netbios names trong Nội bộ Network của Tổ chức, tránh nhầm lẫn với cách giải
quyết hostname của DNS server- có khả năng giải quyết tên dạng FQDN của Internet hoặc
Internal Network Domain.)
Các Computer trong Internal Network sẽ được cấu hình với vai trò WINS Clients, sẽ đăng kí tên
của mình (Netbios hay là tên Computer names) với WINS server. WINS clients cũng có thể gửi
các yêu cầu truy vấn tên đến WINS server để giải quyết Name thành IP addresses. Nếu trong Nội
bộ Network không có WINS Server, thì Windows clients sẽ gửi các message dạng Broadcast để
tìm Netbios name của Computer muốn giao tiếp.

Tuy nhiên, nếu các Computer này nằm tại một Network khác (với Network ID khác) thí các
Broadcast này sẽ bị ngăn chặn (chức năng ngăn chặn broadcast là mặc định trên các Router).
Lúc này, chúng ta có thể bố trí các máy WINS Server ở các Network khác nhau, sau đó mô tả
chúng là các Replication Partners của nhau.
Từ lập trường về bảo mật, WINS đã ko còn được dùng. Khi Active Directory được thiết kế để hoạt
động với DNS và dynamic DNS (DDNS) tiện lợi hơn khi dùng, WINS đã bị giảm thiểu. Tuy
nhiên, nếu môi trường cần WINS, bạn vẫn có thể dùng server role này. Khi dùng WINS, bạn nên
cấu hình mạng để giảm tối đa NetBIOS broadcast và giới hạn trao đổi giữa các client này.
Windows 2003 Infrastructure Security
Trong nhiều năm, Windows NT 4.0 đáp ứng thị trường rất tốt. Nó cung cấp 1 nền tảng rộng cho
công việc kinh doanh và được phổ biến rộng rãi. Tuy nhiên, đó chỉ là khởi đầu cho thời đại công
nghệ, và Microsoft cần phải đổi mới Windows Server. Nhưng Windows Server 2003 có gì mới để
chuyển sang sử dụng?
Với 1 cách tiếp cận hoàn toàn khác để quản lý mạng, Windows Server 2003 có nhiều thành phần
mới để người quản trị tiện lợi hơn khi dùng. Trong chủ đề này, ta sẽ khảo sát những thành phần
mới và tìm hiểu làm thế nào mà Windows Server 2003 tăng cường bảo mật và các nguồn tài
nguyên trong mạng.
Trong Windows 2003, nếu bạn đặt nhiều máy tính trong cùng 1 nhóm logic, và chia sẻ nguồn tài
nguyên với nhau, bạn phải tạo workgroup. Workgroup thường liên quan đến mạng chia sẻ ngang
hàng vì mọi máy đều giống nhau. Trong 1 workgroup có thể có 1 server; nói đơn giản thì đó là
stand-alone server. Trong trường hợp này, ko có cơ chế kiểm soát bảo mật mạng, và từng máy sử
dụng cơ sở dữ liệu bảo mật cục bộ riêng để kiểm soát truy cập tài nguyên.
Trong Windows 2003, cơ sở dữ liệu cục bộ là danh sách tài khoản người dùng và dữ liệu, vị trí để
truy cập tài nguyên trên từng máy cục bộ. Vì thế, nếu chia sẻ cho 20 người dùng Windows 2003,
phải có 20 cơ sở dữ liệu cục bộ tương ứng. Công việc này ko hiệu quả cho người quản trị để quản
lý tài nguyên và bảo mật.
Cải tiến lớn trong thiết kế mạng với Windows 2003 là mô hình domain. Nhiều mô hình domain
của Windows NT giờ không còn sử dụng. Với thiết kế này, các máy tính được nhóm chung nhưng
kiểm soát khác nhau.
Trong Windows 2003 domain, ta phải nhóm computers và users cùng chia sẻ thư mục cơ sở dữ

liệu trung tâm. Thư mục cơ sở dữ liệu này chứa đựng user account, thông tin bảo mật, thông tin
dịch vụ, và nhiều thứ khác cho toàn bộ domain. Để truy cập vào thư mục này phải dựa vào LDAP.
Thư mục cơ sở dữ liệu này và phương thức để truy cập vào nó được gọi là Active Directory (AD)
và cũng được gọi là dịch vụ chỉ mục Windows 2003 (NTDS).
Giao thức LDAP (Lightweight Directory Access Protocol)
LDAP là một chuẩn giao thức truy cập thư mục đơn giản, hay là một ngôn ngữ để client và severs
sử dụng để giao tiếp với nhau.
LDAP là một giao thức “lightweight ” có nghĩa là đây là một giao thức có tính hiệu quả, đơn giản
và dễ dàng để cài đặt. trong khi chúng sử dụng các hàm ở mức cao. Điều này trái ngược với giao
thức “heavyweight” như là giao thức truy cập thư mục X.500 (DAP) sử dụng các phương thức mã
hoá quá phức tạp. LDAP sử dụng các tập các phương thức đơn giản và là một giao thức thuộc tầng
ứng dụng.
Active Directory là một hệ thống chuẩn và tập trung, dùng để tự động hóa việc quản lý mạng dữ
liệu người dùng, bảo mật và các nguồn tài nguyên được phân phối, cho phép tương tác với các thư
mục khác. Thêm vào đó, Active Directory được thiết kế đặc biệt cho các môi trường kết nối mạng
được phân bổ theo một kiểu nào đó.
Mô hình domain của Windows 2003 được quản trị bởi AD, nó thay thế cho tất cả mô hình domain
của Windows NT 4.0. Trong AD, không có máy tính nào được thiết kế là Primary hay Backup
Domain Controller. Thay vào đó, từng máy server mà tham gia vào việc quản lý domain được gọi
là Domain Controller và nó chứa bản sao chép tổng thể của thư mục cơ sở dữ liệu. (Domain
Controller phải chạy Windows Server 2003.)
Windows 2003 domain ko bị ràng buộc bởi vị trí hay cấu hình mạng. Các máy tính với cùng
domain có thể gần nhau như trong mạng LAN (kết nối theo Ethernet truyền thống) hay xa nhau
hơn theo mạng WAN (kết nối theo T1, E1, hay một vài công nghệ WAN khác).
Active Directory là 1 danh sách thông tin cơ sở dữ liệu cho từng đối tượng có trong domain.
Những thông tin này cho biết những đối tượng này sẽ tương tác với những đối tượng khác ra sao.
Khi dùng Active Directory trong Windows 2003, trong danh sách này có thể bao gồm thông tin về
user accounts, groups, computers, servers, printers, chính sách bảo mật (security policies), và nhiều
thông tin khác. Active Directory khởi đầu với 1 số ít các đối tượng và có thể phát triển đến hàng
hàng triệu đối tượng trong danh sách.

Một thành phần quan trọng của Windows 2003 là DNS. Lý do DNS quan trọng là tùy vào AD.
Active Directory tin tưởng vào DNS cung cấp naming information được yêu cầu tới vị trí tài
nguyên trong mạng.
Ngoài những thông tin được đề cập ở bài trước, AD nắm giữ những thông tin về access control.
Khi người dùng đăng nhập vào mạng, người đó phải được chứng thực bằng những thông tin có
trong Active Directory. Khi một người dùng cố gắng truy cập vào đối tượng, thông tin yêu cầu để
chứng thực truy cập được lưu trữ trong Active Directory và đươc gọi là Discretionary Access
Control List (DACL).
Các đối tượng trong Active Directory có thể được sắp đặt thành các class. Class đại diện cho 1
nhóm các đối tượng logic đã được người quản trị suy xét. Lớp đối tượng đó bao gồm user acounts,
computers, domains, groups, và Organizational Units (OUs). Bạn cũng có khả năng tạo container

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×