Xác định các phần tử và kỹ thuật khác nhau dùng
để bảo mật hệ thống Windows Server 2003
• Dùng các công cụ Security Configuration and
Analysis để cấu hình và rà soát các thiết lập bảo
mật
• Kiểm toán truy vập vào các tài nguyên và xem lại
các thiết lập Security log
45 trang |
Chia sẻ: phuongt97 | Lượt xem: 454 | Lượt tải: 0
Bạn đang xem trước 20 trang nội dung tài liệu Bài giảng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment - Chương 14: Các đặc tính bảo mật trong Windows Server 2003 - Trần Bá Nhiệm, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
70-290: MCSE Guide to Managing
a Microsoft Windows Server 2003
Environment
Chương 14:
Các đặc tính bảo mật trong
Windows Server 2003
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
2
Mục tiêu
• Xác định các phần tử và kỹ thuật khác nhau dùng
để bảo mật hệ thống Windows Server 2003
• Dùng các công cụ Security Configuration and
Analysis để cấu hình và rà soát các thiết lập bảo
mật
• Kiểm toán truy vập vào các tài nguyên và xem lại
các thiết lập Security log
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
3
Bảo mật hệ thống Windows
2003
• 5 vấn đề liên quan đến bảo mật:
• Authentication (Chứng thực)
• Access control (Điều khiển truy cập)
• Encryption (Bảo mật)
• Security policies (Các chính sách bảo mật)
• Service packs & hot fixes
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
4
Chứng thực
• Mức độ cơ bản được y/c là 1 user ID và mật khẩu để đăng
nhập hệ thống
• Trong 1 môi trường domain, chứng thực được tập trung
hóa trên mạng; trong khi với môi trường workgroup việc
chứng thực là cục bộ
• Trong 1 môi trường domain, 1 chứng thực có thể cung cấp
quyền truy cập đến nhiều domain và forest
• Các phương pháp chứng thực bổ sung có thể áp dụng với
các dịch vụ khác (như IIS)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
5
Điều khiển truy cập
• Điều khiển truy cập dùng để bảo mật các tài
nguyên như file, thư mục, máy in
• Các kiểu khác của điều khiển truy cập là các
quyền NTFS, thư mục chia sẻ, máy in và các
quyền trên đối tượng AD khác
• Nguyên lý “cấp ít quyền nhất” ngụ ý là các user
chỉ nên có quyền truy cập những cái gì họ cần
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
6
Bảo mật
• Các file bí mật lưu trên các NTFS volumn có thể
mã hóa dùng EFS
• EFS dùng kết hợp khóa công cộng và khóa riêng
• Giao thức IPSec mã hóa nội dung của các gói tin
gửi qua mạng dùng TCP/IP
• 2 chế độ IPSec: transport & tunnel
• IPSec gây khó khăn cho các hacker muốn can
thiệp vào dữ liệu mạng nhạy cảm
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
7
Các chính sách bảo mật
• Các thiết lập chính sách bảo mật có thể cấu hình từ
Local Security Policy và Group Policy Object
Editor MMC snap-ins
• Các thiết lập chính sách bảo mật điều khiển một
vùng các thiết lập bảo mật
• Windows Server 2003 có một số công cụ phân
tích chính sách bảo mật so với các mẫu có sẵn
• Security Configuration and Analysis MMC snap-in
• Ứng dụng dòng lệnh SECEDIT
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
8
Service Packs & Hot Fixes
• Nhiều bản cập nhật và patch quan trọng liên quan
đến bảo mật
• Các Hot fix cũng giúp xác định 1 số vấn đề đặc
biệt
• Chúng có thể tải và cài đặt từ Microsoft
• SUS có thể hỗ trợ tự động quản lý các bản cập
nhật
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
9
Dùng các công cụ Security
Configuration Manager
• Windows Server 2003 cung cấp các công cụ thiết
kế đặc biệt giúp cấu hình và quản lý các thiết lập
bảo mật (Security Configuration Manager)
• Những công cụ này cùng với các chính sách
Group có thể dùng để cài đặt mẫu Security Policy
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
10
Dùng các công cụ Security
Configuration Manager (tt)
• Công cụ Security Configuration and Analysis sẽ
so sánh mẫu bảo mật với các thiết lập đã làm
• Công cụ Security Configuration and Analysis
gồm:
• Các mẫu bảo mật
• Các mẫu bảo mật trong các đối tượng GP
• Công cụ Security Configuration and Analysis
• Lệnh SECEDIT
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
11
Các mẫu bảo mật
• Các mẫu giúp bảo đảm thống nhất và dễ dàng bảo
trì trên nhiều máy
• Các mẫu là các file văn bản
• Nhưng không dùng trình soạn thảo văn bản bình
thường để chỉnh sửa
• Có 1 số mẫu thiết kế sẵn
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
12
Các mẫu bảo mật (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
13
Thực tập 14-1:Xem các mẫu
bảo mật
• Mục tiêu: Làm quen với 1 số mẫu bảo mật có sẵn
• Start Run type mmc OK File
Add/Remove Snap-in Add
• Tìm và xem các mẫu có sẵn như chỉ dẫn
• Xem các chính sách liên hệ với các mẫu
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
14
Phân tích các mẫu bảo mật
thiết kế sẵn
• Các máy tính mạng có thể phân loại thành:
• Workstations
• Servers
• Domain controllers
• Các mẫu thiết kế sẵn có thể áp dụng cho 1 loại nào
đó
• Chỉ có Windows Server 2003, Windows XP,
Windows 2000 là dùng được mẫu thiết kế sẵn
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
15
Default Template
• Mẫu Setup Security.inf chứa các thiết lập bảo
mật mặc định
• Nội dung phụ thuộc cấu hình nguyên thủy của
máy tính (cài mới, nâng cấp)
• Cho phép administrator trả về thiết lập trước đó dễ
dàng
• Không nên áp dụng khi dùng GP
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
16
Incremental Templates
• Sửa đổi cải tiến các cấu hình bảo mật
• Chỉ có thể áp dụng dựa trên cấu hình mặc định bởi
vì chúng không xác lập cấu hình cơ bản
• Các mẫu gồm: compatws.inf, securews.inf,
securedc.inf, hisecws.inf, hisecdc.inf, iesacls.inf,
dc security.inf, rootsec.inf
• Cũng có thể tạo mẫu tùy biến
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
17
Áp dụng các mẫu bảo mật
• Có thể áp dụng trên máy cục bộ hoặc domain
• Với máy cục bộ
• Mở Local Security Setting MMC snap-in và import 1
chính sách
• Với domain
• Dùng các GPO
• Các thiết lập bảo mật từ các GPO đè lên thiết lập
cục bộ
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
18
Áp dụng các mẫu bảo mật (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
19
Thực tập 14-2:Tạo 1 mẫu bảo
mật
• Mục tiêu: Khảo sát việc tạo 1 mẫu bảo mật tùy
biến
• Mở 1 New Template từ MMC Security Templates
snap-in
• Cấu hình các thiết lập cho mẫu mới theo dự định
• Lưu mẫu
• Xem file mẫu
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
20
Thực tập 14-3: Áp dụng các
thiết lập mẫu bảo mật cho các
GPO
• Mục tiêu: Dùng GP để triển khai các thiết lập mẫu
bảo mật
• Start Administrative Tools Active Directory
Users and Computers
• Mở Default Domain Policy từ trang Properties của
domain
• Import vào mẫu đã tạo trước đó
• Kiểm tra lại các thiết lập
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
21
Security Configuration and
Analysis
• Security Configuration and Analysis snap-in cho
phép so sánh các thiết lập hệ thống hiện tại với các
mẫu đã cấu hình
• Việc so sánh sẽ xác định các thay đổi và những sự
yếu kém tiềm ẩn
• Có thể so sánh nhiều mẫu 1 lần
• Có thể kết hợp và lưu giữ
• Các thay đổi có thể tạo trực tiếp trong snap-in
bằng cách chọn cấu hình mong muốn
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
22
Security Configuration and
Analysis (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
23
Thực tập 14-2: Tạo 1 mẫu bảo
mật (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
24
Thực tập 14-4: Phân tích các thiết
lập bảo mật dùng Security
Configuration and Analysis
• Mở Security Configuration and Analysis snap-in
theo chỉ dẫn và mở 1 csdl mới
• Import mẫu hisecdc.inf để so sánh
• Thực hiện phân tích
• Xem lại và so sánh các thiết lập
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
25
Thực tập 14-4 (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
26
SECEDIT
• SECEDIT là công cụ dòng lệnh dùng để tạo và áp
dụng, phân tích các mẫu bảo mật
• Có thể dùng ở nơi mà GP không dùng được
• 6 switch chính:
• Analyze
• Configure
• Export
• Import
• Validate
• GenerateRollback
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
27
Kiểm toán truy cập tài nguyên
& phân tích báo cáo bảo mật
• Kiểm toán được dùng để theo dõi các sự kiện trên
mạng
• Một chính sách kiểm toán định nghĩa sự kiện nào
sẽ được ghi lại
• Và ghi thành công hay không cũng được ghi nhận
• Các sự kiện đã kiểm toán được ghi vào báo cáo
bảo mật, có thể xem được qua Event Viewer
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
28
Thực tập 14-5: Khảo sát các
thiết lập kiểm toán mặc định
• Objective: to explore the auditing settings of the default
domain controller GPO
• Mục tiêu: Khảo sát các thiết lập kiểm toán của GPO mặc
định
• Mở trang Properties của Domain Controllers OU trong
Active Directory Users and Computers
• Sửa chữa Default Domain Controllers Policy trong thẻ
Group Policy theo chỉ dẫn
• Mở nút Audit Policy và xem các thiết lập chính sách khác
nhau
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
29
Thực tập 14-5 (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
30
Thực tập 14-5 (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
31
Cấu hình kiểm toán
• Vai trò của máy tính trên mạng ảnh hưởng cách
cấu hình chính sách kiểm toán như thế nào
• Với các server thành viên hoặc các workstation
• Các chính sách kiểm toán được hiện thực dùng các
GPO gán cho domain hoặc các OU
• Với các DC
• Các chính sách kiểm toán được hiện thực thông qua
Default Domain Controllers Policy áp dụng cho
Domain Controllers OU
• Với các workstations & servers độc lập
• Các chính sách kiểm toán được định nghĩa dùng công
cụ Local Security Policy
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
32
Những yêu cầu và cấu hình 1
kiểm toán
• Yêu cầu:
• Phải có quyền thích hợp (Administrators Group /
Manage auditing and security log user)
• Kiểm toán file, thư mục chỉ có thể thực hiện trên các
NTFS volum
• Cấu hình 1 chính sách bảo mật
• Cấu hình kiểm toán dựa trên các sự kiện đã kiểm soát
và nbaijxayr ra việc đăng nhập thành công/thất bại
• Cấu hình kiểm toán dựa trên các đối tượng tài nguyên
xác định như file, thư mục, máy in và các đối tượng AD
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
33
Cấu hình 1 chính sách kiểm
toán (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
34
Thực tập 14-6: Cấu hình và
kiểm tra các thiết lập chính
sách kiểm toán
• Mục tiêu: Làm quen với việc thay đổi và kiểm tra
lại cấu hình các thiết lập chính sách kiểm toán
• Mở Default Domain Controllers Policy GPO
• Cấu hình lại theo y/c
• Refresh lại các thiết lập GP thủ công
• Kiểm tra các thiết lập mới và xem kết quả dùng
Event Viewer
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
35
Kiểm toán truy cập các đối tượng
• Có thể kiểm soát các lần thử truy cập và thành
công các file và thư mục trên các NTFS volumn
• Chú ý: điều này có thể sinh ra 1 số lượng lớn các
sự kiện được báo cáo
• Kiểm toán các đối tượng được cấu hình thông qua
Advanced Security Settings của tài nguyên
• Kiểm toán cũng có thể thực hiện với các đối tượng
AD
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
36
Kiểm toán truy cập các đối
tượng (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
37
Thực tập 14-7: Cấu hình kiểm
toán 1 thư mục NTFS
• Mục tiêu: lập báo cáo truy cập thành công/lỗi vào
thư mục NTFS
• Tạo và cấu hình các quyền NTFS cho 1 thư mục
mới
• Cấu hình các thiết lập kiểm toán cho thư mục đó
• Kiểm tra lại các thiết lập kiểm toán và quyền bằng
cách thử truy cập và xóa thư mục
• Dùng Event Viewer để kiểm tra kiểm toán chính
xác
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
38
Thực tập 14-7 (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
39
Những kinh nghiệm tốt
• Lập kế hoạch cẩn thận trước khi hiện thực chính
sách kiểm toán
• Hướng dẫn chung:
• Chỉ kiểm toán những sự kiện nào cung cấp thông tin
thực sự có ích
• Xem lại toàn bộ các báo cáo
• Kiểm toán thông tin nhạy cảm và bí mật
• Kiểm toán Everyone group
• Kiểm toán gán quyền cho các user
• Kiểm toán Administrators group
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
40
Phân tích các báo cáo bảo mật
• Với mỗi sự kiện định nghĩa trong chính sách, một
dòng được ghi vào báo cáo Security nếu sự kiện
xảy ra
• Dùng Event Viewer để xem báo cáo Security
• Báo cáo cung cấp tổng thể ngày giờ của mỗi sự
kiện và user nào thực thi
• Có nhiều chi tiết hơn nếu double-clicking vào
dòng đó
• Event Viewer cung cấp tùy chọn tìm và lọc để hỗ
trợ việc quản lý báo cáo
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
41
Phân tích các báo cáo bảo mật
(tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
42
Phân tích các báo cáo bảo mật
(tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
43
Thực tập 14-8: Cấu hình các
đặc tính Event Viewer Log
• Dùng Event Viewer để xem báo cáo Security cục
bộ
• Dùng tính năng Find để tìm kiểu chỉ định của sự
kiện theo y/c
• Tiếp theo dùng tính năng Filter để quản lý báo
cáo, hiển thị chỉ những sự kiện nào phù hợp tiêu
chuẩn
• Hiển thị lại toàn bộ các bản ghi trong báo cáo
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
44
Tổng kết
• Windows Server 2003 đưa ra 1 số tính năng liên
quan bảo mật thành 5 loại: authentication, access
control, encryption, security policies, service
packs and hot fixes
• Windows Server 2003 đưa ra 1 gói các công cụ
Security Configuration Manager
• Các mẫu bảo mật, thiết lập bảo mật trong các GPO, các
công cụ cấu hình và phân tích bảo mật, lệnh SECEDIT
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
45
Tổng kết (tt)
• Kiểm toán dùng để ghi báo cáo một số sự kiện đặc
biệt
• Chính sách kiểm toán quy định sự kiện nào được
kiểm soát
• Các tài nguyên và các đối tượng đặc biệt có thể
cấu hình để kiểm toán
• 1 Security log chứa 1 bản ghi cho sự kiện được
kiểm toán
• Dùng Event Viewer để xem lại các Security log
Các file đính kèm theo tài liệu này:
- bai_giang_70_290_mcse_guide_to_managing_a_microsoft_windows.pdf