Tải bản đầy đủ (.doc) (97 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Bảo mật Web Server 2003

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.97 MB, 97 trang )

Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
TRƯỜNG ĐẠI HỌC SƯ PHẠM TP HỒ CHÍ MINH
KHOA TOÁN TIN
GVHD: Thầy Trịnh Huy Hoàng
Nhóm SVTH: Nhóm 6
1. Võ Thị Diễm Hương
2. Ngô Mạnh Hùng
3. Ngô Thị Huyền
4. Nguyễn Thị Ngọc Nhi
Môn Mạng máy tính
Lớp Tin4 CQ
Khoá K30
Nhóm SVTH: Nhóm 6 Trang 1
Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
MỤC LỤC
PHẦN I: TỔNG QUAN VỀ BẢO MẬT 5
.I BẢO MẬT MẠNG VÀ NHỮNG ĐIỀU CẦN BIẾT 5
.II BẢO MẬT CÓ THỰC SỰ LÀ VẤN ĐỀ? 5
KHI NÓI VỀ VẤN ĐỀ BẢO MẬT, MỨC ĐỘ QUY MÔ VÀ TẦM QUAN TRỌNG CỦA NÓ LẠI LÀ SỰ KHÁC BIỆT
GIỮA CÁC DN LỚN VÀ DN VỪA & NHỎ. CÁC CÔNG TY CON THƯỜNG ÍT CÓ NGUỒN LỰC IT NỘI BỘ; PHẦN
LỚN KHÔNG CÓ GIÁM ĐỐC BẢO MẬT DO KINH PHÍ HẠN HẸP VÀ ÁP LỰC TIẾT KIỆM CHI PHÍ LUÔN LÀ BÓNG
ĐEN BAO PHỦ TOÀN BỘ HOẠT ĐỘNG KINH DOANH. 5
.1 Sự hưởng ứng của tầng lớp lãnh đạo 6
.2 Tiếp cận cân xứng 6
.3 Bổ nhiệm chuyên gia bảo mật 6
.4 Vai trò của chuyên gia bảo mật 7
.5 Bảo mật là Đường đi chứ không phải Đích đến 7
.6 Kết luận 7
.III AN TOÀN THÔNG TIN NÊN BẮT ĐẦU TỪ ĐÂU? 8
Vậy an toàn thông tin là gì? 8
.1 Hai yếu tố trên được liên kết lại thông qua các chính sách về ATTT 8


.2 Phương pháp đánh giá chất lượng hệ thống ATTT 9
.3 Phương pháp đánh giá theo số lượng không được sử dụng 10
PHẦN II: TẠI SAO PHẢI BẢO MẬT 12
.I BẢO MẬT THÔNG TIN NGUY HIỂM KHÔNG CHỈ ĐẾN TỪ HACKES 12
.II HỌC CÁCH TỰ VỆ TRƯỚC NHỮNG MỐI ĐE DỌA TỪ INTERNET 14
.1 75% số cuộc tấn công thành công nhờ khai thác lỗi bảo mật web 15
.2 Giảm thiểu rủi ro từ các cuộc tấn công bảo mật 16
PHẦN III: CÁC BIỆN PHÁP BẢO MẬT WEB SERVER 2003 18
.I WINDOWS SERVER 2003 CÓ GÌ MỚI? 18
.1 Management services Windows Server 2003: 18
.2 Resultant Set of Policy (RSoP) 18
.3 Windows Update 18
.4 Systems Management Server 2.0 18
.5 Networking – Communications 18
.6 Network Load Balancing 19
.7 IP v6 19
.8 Connection Manager Administration Kit (CMAK) 19
.9 Security 19
.10 Internet Connection Firewall (ICF 20
.II SỬ DỤNG BẢO MẬT CÓ SẴN TRONG WINDOWS SERVER 2003 20
.1 Các mẫu bảo mật định nghĩa sẵn trong Windows Server 2003 20
.2 Sử dụng một mẫu bảo mật 23
.III BẢO MẬT TRUY CẬP TỪ XA TRONG WINDOWS SERVER 2003 23
.1 Cách cấu hình chính sách truy cập từ xa 23
.2 Để cấu hình một chính sách mới, bạn thực hiện theo các bước sau: 24
.IV KỸ NĂNG BẢO MẬT VÀ PHÂN TÍCH SỰCỐ TRÊN XP, WINDOWS SERVER 2003 27
.1 Giới thiệu tổng quan 27
.2 Các yêu cầu quản trị: 29
.3 Bảo mật hệ thống File 29
.4 Bảo mật tài khoản người dùng, mật khẩu, thiết lập tường lửa 36

37
.5 Sử dụng mật khẩu 37
.6 Sử dụng tường lửa: 38
.7 Cập nhật các bản vá lỗi 38
Nhóm SVTH: Nhóm 6 Trang 2
Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
MỘT TRONG NHỮNG ĐIỀU TỐI QUAN TRỌNG LÀ "CẬP NHẬT ĐẦY ĐỦ CÁC BẢN VÁ LỖI CỦA WINDOWS"
TRƯỚC CƠN ĐẠI HỒNG THUỶ: VIRUS (BLASTER,NETSKY, SASSER, LOVEGATE, ), HACKER, PHẦN MỀM
GIÁN ĐIỆP. NẾU BẠN KHÔNG TUÂN THỦ QUY TẮC NÀY MÁY TÍNH CỦA BẠN SẼ BỊ HẠ GỤC CHỈ SAU TỪ 10
PHÚT ĐẾN 30 PHÚT. BẠN CÓ TIN KHÔNG? NẾU BẠN TIN TÔI THÌ HÃY TIẾP TỤC ĐỌC VÀ CẬP NHẬT
WINDOWS CÒN NẾU KHÔNG TIN TỐT NHẤT BẠN HÃY CHUYỂN SANG CÁC BÀI ĐỌC KHÁC THÚ VỊ HƠN.
NHƯNG NẾU CÓ ĐIỀU GÌ XẢY RA VỚI MÁY TÍNH CỦA BẠN THÌ ĐỪNG TRÁCH TÔI KHÔNG CẢNH BÁO NHÉ!
CÁCH TỐT NHẤT GIÚP BẠN TÌM HIỂU VỀ CÁC BẢN VÁ LỖI BẢO MẬT VÀ CÁC BẢN THÔNG BÁO BẢO MẬT
TỪ HÃNG MICROSOFT ĐƯỢC MÔ TẢ Ở TẠI HTTP://GO.MICROSOFT.COM/FWLINK/?LINKID=22339. TẠI ĐÂY
BẠN SẼ ĐĂNG KÝ ĐỂ CÓ THỂ CẬP NHẬT CÁC THÔNG TIN VỀ BẢO MẬT, CÁC BẢN VÁ LỖI BẢO MẬT QUA
EMAIL. THÊM NỮA NÓ CÒN CUNG CẤP CHO BẠN CÁC KIẾN THỨC VÀ CÔNG NGHỆ GIÚP BẠN TỰ ĐỘNG VÁ
LỖI HỆ ĐIỀU HÀNH 39
Tự động cập nhật 39
Windows 2000 SP 4, XP, 2003 cung cấp cho bạn các tính năng tự động kiểm tra và download các
bản vá lỗi bảo mật mới nhất từ Microsoft Automatic Update sẽ có thể cấu hình để giúp bạn
download tự động các bản vá mà không ảnh hưởng đến công việc bạn đang làm trên máy tính sau đó
nó sẽ nhắc nhở bạn cài đặt sau khi download được hoàn thành 39
.8 Kiểm tra bảo mật với công cụ Microsoft Baseline Security Analyzer 40
NẰM TRONG CHIẾN LƯỢC BẢO MẬT CỦA MICROSOFT, PHẦN MỀM MICROSOFT BASELINE SECURITY
ANALYZER (MBSA), SẼ BÁO CÁO CHO BẠN CÁC CẤU HÌNH KHÔNG BẢO MẬT VÀ CÁC BẢN VÁ LỖI
WINDOWS 2000, XP VÀ WINDOWS SERVER 2003. CHƯƠNG TRÌNH NÀY BẠN CÓ THỂ SỬ DỤNG TRÊN MÁY
BẠN HOẶC TRÊN MỘT MÁY ĐIỀU KHIỂN TỪ XA. PHẦN MỀM NÀY KHÔNG THỂ THIẾU CHO NHỮNG NHÀ
QUẢN TRỊ MẠNG CẦN PHÂN TÍCH HIỆN TRẠNG CỦA MÁY CHỦ. KỂ CẢ NHỮNG NGƯỜI DÙNG BÌNH THƯỜNG
NÓ CŨNG ĐƯA RA ĐƯỢC LỜI KHUYÊN VÀ CÁC CHỈ DẪN CẦN THIẾT VỀ BẢO MẬT 40
ĐỂ CÀI ĐẶT MBSA BẠN CẦN PHẢI DOWNLOAD PHẦN MỀM NÀY (DUNG LƯỢNG KHOẢNG 1.56 MB):

DOWNLOAD MBSA 40
41
42
SAU ĐÓ KÍCH VÀO START SCAN 42
ĐỂ QUÉT CÁC CẤU HÌNH BẢO MẬT BẠN LÀM NHƯ SAU: 42
LOẠI BỎ LỰA CHỌN CHECK FOR SECURITY UPDATES, VÀ CHẮC CHẮN RẰNG CÁC LỰA CHỌN SAU PHẢI
ĐƯỢC ĐÁNH DẤU: (CÁCH LÀM NÀY NGƯỢC VỚI CÁCH LÀM TRÊN) 42
CHECK FOR WINDOWS VULNERABILITIES 42
CHECK FOR WEAK PASSWORDS 42
CHECK FOR IIS VULNERABILITIES 42
CHECK FOR SQL VULNERABILITIES 42
SAU ĐÓ KÍCH VÀO START SCAN 42
SAU KHI QUÉT XONG, BẢNG BÁO CÁO KẾT QUẢ SẼ XUẤT HIỆN GIỐNG NHƯ KHI BẠN QUÉT CÁC BẢN CẬP
NHẬT CỦA WINDOWS UPDATE. NÓ CHỈ KHÁC Ở CHỖ LÀ TẠI KHÁC ĐƯỜNG LIÊN KẾT TRONG KẾT QUẢ
ĐƯỢC TÌM THẤY. KHI BẠN KÍCH VÀO LIÊN KẾT, MỘT TRANG SẼ XUẤT HIỆN VỚI CHI TIẾT CÁC KẾT QUẢ
TÌM THẤY, CÁC GIẢI PHÁP ĐƯỢC ĐƯA RA 42
VẬY THÌ BẠN PHẢI LÀM GÌ VÀ GIẢI PHÁP NHƯ THẾ NÀO?XIN VUI LÒNG KÍCH VÀO LIÊN KẾT “HOW TO
CORRECT THIS” BẠN SẼ ĐƯỢC LIỆT KÊ CÁC NỘI DUNG CHI TIẾT, GIẢI PHÁP, CÁC GIẢI THÍCH VÀ BẠN PHẢI
LÀM GÌ VÀ TỪNG BƯỚC GIẢI QUYẾT VẤN ĐỀ 42
VÍ DỤ SAU KHI KIỂM TRA MÁY TÍNH THỬ NGHIỆM TÔI CÓ KẾT QUẢ NHƯ SAU 42
43
45
.9 Rà soát & vá lỗi Bảo mật 45
STEP 1: CÀI ĐẶT MICROSOFT SUS SERVER 46
NHỮNG HẠN CHẾ CỦA MICROSOFT SUS SERVER 49
STEP 2: QUẢN LÝ PATCH VỚI GFI LANGUARD N.S.S 50
KIỂM TRA CÁC PATCHES VÀ SERVICE PACKS ĐÃ CÀI ĐẶT 50
STEP 3: BÁO CÁO 52
KẾT LUẬN 53
GFI 54

.V HỌC CÁCH TỰ VỆ TRƯỚC NHỮNG MỐI ĐE DỌA TỪ INTERNET 54
.1 Quảng cáo trong lốt cảnh báo bảo mật của hệ điều hành 54
Nhóm SVTH: Nhóm 6 Trang 3
Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
.2 Những công cụ Windows sẽ nói lên tất cả 55
.3 Đăng kí tên miền cá nhân 55
.4 Cẩn thận với những món hời 56
.5 Back-up ‘System State’ trong Windows 2000 56
.6 Back-up Registry của hệ điều hành Windows 57
.7 Hãy cẩn thận với các điểm Wi-Fi hotspot công cộng 57
.8 Hãy cẩn thận khi đọc kho lưu trữ email trực tuyến (Mailing list) 58
.9 Cẩn thận với các phần mềm chống spyware và pop-up “giả mạo” 58
.10 Chặn những trang web chứa spyware 59
.11 “Bắt cóc” trình duyệt 60
.12 Mua các phần mềm bẻ khoá mật khẩu 60
.VI BẢO MẬT CÁC SERVER, WEBSITE KHỎI SỰ TẤN CÔNG CỦA GOOGLE 61
.1 Giới thiệu 61
.2 Những cú pháp tìm kiếm nâng cao với Google 61
.3 Truy vấn các site hoặc server dễ bị tấn công sử dụng các cú pháp nâng cao của Google 63
.4 Bảo mật các server hoặc site khỏi sự tấn công của Google 66
.5 Kết luận 66
.VII CÓ THỂ DÙNG IPSEC TRÊN WINDOWS 2000/ XP/2003 ĐỂ CHẶN PING PACKETS 67
.1 Chặn PING trên một computer 67
.2 10 quy tắc then chốt về an toàn và bảo mật 84
.VIII KINH NGHIỆM QUẢN LÝ AN TOÀN THÔNG TIN HIỆU QUẢ 88
.1 Giới thiệu 88
.2 Thu thập thông tin 88
.3 Chính sách bảo mật 88
.4 Đánh giá rủi ro/Phân tích lỗ hổng 89
.5 Nhận thức về bảo mật 89

.6 Proactive Measures 90
.7 Kế hoạch bảo mật 90
.8 Kết luận 91
.IX BẢO MẬT MÁY CHỦ IIS 92
.1 Chỉ kích hoạt những Web Service Extensions cần thiết 92
.2 Dưới đây là danh sách các Web Service Extensions, chi tiết tác dụng của từng thành phần 92
.3 Thiết lập NTFS Permissions 93
.4 Thiết lập IIS Web Site Permissions 94
.5 Thiết lập cấu hình IIS Logging 95
.6 Thực hiện bảo mật máy chủ IIS thật thiếu sót nếu không nhắc tới việc đưa ra những chính sách
bảo mật cụ thể 96
Nhóm SVTH: Nhóm 6 Trang 4
Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
PHẦN I: TỔNG QUAN VỀ BẢO MẬT
.I BẢO MẬT MẠNG VÀ NHỮNG ĐIỀU CẦN BIẾT
Trong khi công nghệ mạng và Internet mang lại
nhiều cơ hội phát triển và cạnh tranh mới cho các
doanh nghiệp vừa và nhỏ (SMB) thì cũng là lúc nó
làm dấy lên nhu cầu cần phải bảo vệ hệ thống máy
tính trước các đe doạ về bảo mật.
Theo một cuộc khảo sát được Viện Bảo mật máy
tính CSI tiến hành năm 2003, có tới 78% máy tính
bị tấn công qua mạng Internet (năm 2000 là 59%).
Ngày nay, thậm chí cả những
doanh nghiệp nhỏ nhất cũng
cảm thấy họ cần phải thực
hiện các hoạt động kinh doanh
trực tuyến, và kéo theo đó
nhiều nhân tố cần phải đảm
bảo cho mô hình này.

Tuy nhiên, theo Jim
Browning, phó chủ tịch kiêm
giám đốc nghiên cứu SMB của
Gartner, hầu hết các doanh
nghiệp không nhìn nhận đúng
mực tầm quan trọng của bảo mật, họ thường xem nhẹ chúng trong khi đáng ra đó
phải là ưu tiên hàng đầu khi tiến hành các hoạt động trực tuyến.
Nếu không được bảo vệ đúng mực, mỗi phần của hệ thống mạng đều trở thành
mục tiêu tấn công của tin tặc, của đối thủ cạnh tranh, hay thậm chí là cả nhân viên
trong công ty. Mặc dù trong năm 2005 có tới 40% SMB thực hiện quản lý mạng
bảo mật và sử dụng Internet nhiều hơn nhưng theo thống kê của Gartner, hơn một
nửa trong số họ thậm chí không biết là mình bị tin tặc tấn công.
.II BẢO MẬT CÓ THỰC SỰ LÀ VẤN ĐỀ?
Khi nói về vấn đề bảo mật, mức độ quy mô và tầm quan trọng của nó lại là sự
khác biệt giữa các DN lớn và DN vừa & nhỏ. Các công ty con thường ít có nguồn
lực IT nội bộ; phần lớn không có giám đốc bảo mật do kinh phí hạn hẹp và áp lực
tiết kiệm chi phí luôn là bóng đen bao phủ toàn bộ hoạt động kinh doanh.
Tuy nhiên, tất cả các công ty dù lớn dù nhỏ khi kết nối vào mạng Internet đều
có chung những nhân tố cần bảo vệ: uy tín, tài sản trí thức, và thậm chí cả sự tồn
tại của doanh nghiệp đó. Không có bàn tay chuyên gia, không có kinh phí dồi dào
Nhóm SVTH: Nhóm 6 Trang 5
Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
thì thử hỏi làm sao DN nhỏ có thể chống lại những cạm bẫy và nguy hiểm trong
không gian mạng?
Những nguyên tắc và hướng dẫn sau sẽ giúp tiếp cận và giải quyết các vấn đề bảo
mật theo đúng hướng:
.1 Sự hưởng ứng của tầng lớp lãnh đạo
Nguyên tắc đầu tiên là người lãnh đạo công ty phải nhận thức được tầm quan
trọng của vấn đề bảo mật.
Lý do: Thứ nhất, chiến lược bảo mật phải là một chức năng của chiến lược kinh

doanh. Hay nói một cách đơn giản, mục đích của chức năng bảo mật là đảm bảo
độ an toàn cho các hoạt động kinh doanh. Điều này có nghĩa hiểu được chiến lược,
tiếp cận và ưu tiêu hoá hoạt động kinh doanh là ưu cầu cần có để thiết lập chính
sách và chi phí cho bảo mật.
Lý do thứ hai là chính sách doanh nghiệp cần phải được đặt lên hàng đầu. Tuy
nhiên, phần lớn các chính sách lại không coi trọng khía cạnh bảo mật hoặc khuyến
khích phát triển đội ngũ quản lý IT. Không một phân tích nào của quản trị hệ
thống có thể thay thế cho một lời nói của cấp lãnh đạo rằng: "Bảo mật rất quan
trọng với chúng ta, và đó cũng là lý do tại sao chúng ta phải làm vậy". Sự tham gia
và ủng hộ từ mức quản lý cao nhất đảm bảo sự tham gia và thi hành của tất cả
nhân viên công ty trong nỗ lực xây dựng chính sách an toàn bảo mật.
.2 Tiếp cận cân xứng
Ngân sách dồi dào sẽ giúp doanh nghiệp chủ động hơn trong vấn đề bảo mật.
Tuy nhiên, nhận thức được tầm quan trọng của chi phí bảo mật không phải công ty
nào cũng làm được, kể cả các công ty lớn. Chính vì vậy, doanh nghiệp càng quy
mô thì càng phải ưu tiên cho bảo mật. Thực tế cho thấy, mức chi phí bảo mật
thường tương xứng với quy mô của doanh nghiệp. Chẳng hạn, một công ty trị giá
10 triệu USD có mức chi phí bảo mật bằng 1/10 so với công ty 100 triệu USD.
Vấn đề cốt lõi là mức chi phí bỏ ra cần phải tương xứng với giá trị bảo vệ. Cũng
giống bảo hiểm, cần có tỷ lệ % nhất định của tài sản để tương ứng với mức chi phí
bỏ ra nhằm giảm rủi ro mất mát tài sản, hoặc bù trừ vào khấu hao hoạt động. Tỷ lệ
% đó dao động tuỳ thuộc vào mức độ quan trọng của tài sản đối với doanh nghiệp.
Hiểu được chiến lược kinh doanh, và rủi ro có thể xảy ra, một doanh nghiệp có thể
định ra và áp dụng chính sách bảo mật một cách hiệu quả nhất.
.3 Bổ nhiệm chuyên gia bảo mật
Khi đã xem xét tới việc cải thiện mạng lưới và an toàn thông tin, một câu hỏi
thường được đặt ra là: "Bao nhiêu % nhân viên sẽ nghiêm chỉnh thực hiện các quy
định bảo mật?". Câu trả lời "Không" thường không phải là giải pháp tích cực
nhưng có rất nhiều công ty đưa ra đáp án này. Với các doanh nghiệp nhỏ, việc có
Nhóm SVTH: Nhóm 6 Trang 6

Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
hẳn một nhóm bảo mật là điều xa xỉ và hầu như chẳng ai có đủ kinh phí để làm
một việc như thế.
Nhưng tại sao lại không có hẳn một người đảm nhận công việc này, hoặc thậm chí
là kiêm nghiệm? Một người chẳng tốt hơn là không có người nào? Ai sẽ là người
đảm nhận công việc đó, và nội dung công việc cần phải báo cáo với ai? Một số
doanh nghiệp thường giao việc bảo mật cho phòng/ban IT; nhưng doanh nghiệp
khác lại quy cho bộ phận tài chính. Một số khác có chuyên gia bảo mật thì chịu
trách nhiệm báo cáo trực tiếp với CEO (giám đốc điều hành). Tuy nhiên, câu trả
lời cho vấn đề này lại không quan trọng bằng việc hiểu được vai trò thực sự của
chuyên gia bảo mật trong doanh nghiệp, đó là chuyên gia đó có vai trò gì và như
thế nào.
.4 Vai trò của chuyên gia bảo mật
Chuyên gia bảo mật ít nhất phải dành một phần thời gian đáng kể cho việc nghiên
cứu các vấn đề bảo mật. Nhận biết được tầm quan trọng của bảo mật và các
nguyên tắc liên quan sẽ là bước đi quan trọng trong việc củng cố và nâng cao tính
an toàn thông tin doanh nghiệp.
Thứ hai, những chuyên gia bảo mật được bổ nhiệm cần phải có quyền hạn nhất
định đối với các vấn đề bảo mật, và quyền hạn này cần phải được công nhận rộng
rãi trong nội bộ công ty.
Về trách nhiệm, dựa trên những bàn bạc và thảo luận với người quản lý hoặc qua
hiểu biết về kinh doanh, chuyên gia bảo mật cần xác định được những rủi ro bảo
mật hàng đầu đối với công ty. Chuyên gia này cần thảo ra các kế hoạch giảm thiểu
rủi ro tới mức có thể chấp nhận được với khoản kinh phí và thời gian tương xứng.
Một vấn đề phát sinh có thể cần tới 12 tháng mới giải quyết xong, nhưng cũng có
thể chỉ mất 3 tháng với điều kiện kinh phí bỏ ra cao hơn. CEO sẽ là người cuối
cùng đưa ra quyết định đối với các rủi ro theo kiểu phải chi phí tốn kém như thế
nào sau khi xem xét kỹ lưỡng khả năng và nguồn lực của toàn bộ doanh nghiệp.
.5 Bảo mật là Đường đi chứ không phải Đích đến
Bảo mật là vấn đề thuộc về mức độ chứ không phải là trạng thái. Không có một

sản phẩm đơn lẻ nào, nhân sự hoặc chính sách nào có thể cung cấp sự an toàn triệt
để về bảo mật. Bất cứ công ty nào cũng có thể cải thiện được mức an toàn thông
tin bằng cách tuân thủ quy trình 3 bước đơn giản sau:
• Phát triển chính sách và những yêu cầu cần thiết
• Thực thi giải pháp
• Kiểm chứng kết quả
Quy trình trên cần thực hiện lặp đi lặp lại, và kết quả của nó sẽ giúp cải thiện mức
độ bảo mật của doanh nghiệp.
.6 Kết luận
Nhóm SVTH: Nhóm 6 Trang 7
Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
Các doanh nghiệp dù lớn hay nhỏ đều có chung những nguy cơ khi kết nối với
mạng Internet: nguy cơ về tài sản trí tuệ; uy tín; và khả năng hoạt động kinh
doanh. Tuy nhiên, những công ty cỡ nhỏ thường đối mặt thêm với một vấn đề, đó
là thử thách giải quyết các rủi ro bảo mật trong khi nguồn lực IT nội bộ không đủ
hoặc không có. Hạn chế này có thể khắc phục bằng sự tham gia của đội ngũ quản
lý cấp cao trong việc hoạch định kế hoạch bảo mật; liên kết chiến lược bảo mật
với chiến lược kinh doanh; dành ra ít nhất một người đảm đương các công việc
liên quan tới bảo mật; và chọn lựa khéo léo một nhà cung cấp giải pháp bảo mật
tốt nhất.
.III AN TOÀN THÔNG TIN NÊN BẮT ĐẦU TỪ ĐÂU?
Khi nói đến an toàn thông tin (ATTT), điều đầu tiên người ta thường nghĩ đến là
xây dựng tường lửa (Firewall) hoặc một cái gì đó tương tự để ngăn chặn các cuộc
tấn công và xâm nhập bất hợp pháp. Cách tiếp cận như vậy không hoàn toàn đúng
vì bản chất ATTT không đơn thuần chỉ là sử dụng một số công cụ hoặc một vài
giải pháp nào đó mà để đảm bảo ATTT cho một hệ thống cần có một cái nhìn tổng
quát và khoa học hơn.
Vậy an toàn thông tin là gì?
Không thể đảm bảo an toàn 100%, nhưng ta có thể
giảm bớt các rủi ro không mong muốn dưới tác

động từ mọi phía của các lĩnh vực hoạt động kinh
tế xã hội . Khi các tổ chức, đơn vị tiến hành đánh
giá những rủi ro và cân nhắc kỹ những biện pháp
đối phó về ATTT, họ luôn luôn đi đến kết luận:
những giải pháp công nghệ (kỹ thuật) đơn lẻ
không thể cung cấp đủ sự an toàn. Những sản
phẩm Anti-virus, Firewalls và các công cụ khác
không thể cung cấp sự an toàn cần thiết cho hầu hết các tổ chức. ATTT là một mắt
xích liên kết hai yếu tố: yếu tố công nghệ và yếu tố con người.
• Yếu tố công nghệ: bao gồm những sản phẩm như Firewall, phần mềm
phòng chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành và
những ứng dụng như: trình duyệt Internet và phần mềm nhận Email từ máy
trạm.
• Yếu tố con người: Là những người sử dụng máy tính, những người làm
việc với thông tin và sử dụng máy tính trong công việc của mình.
.1 Hai yếu tố trên được liên kết lại thông qua các chính sách về ATTT.
Theo ISO 17799, An Toàn Thông Tin là khả năng bảo vệ đối với môi trường
thông tin kinh tế xã hội, đảm bảo cho việc hình thành, sử dụng và phát triển vì lợi
ích của mọi công dân, mọi tổ chức và của quốc gia. Thông qua các chính sách về
ATTT, lãnh đạo thể hiện ý chí và năng lực của mình trong việc quản lý hệ thống
thông tin. ATTT được xây dựng trên nền tảng một hệ thống các chính sách, quy
tắc, quy trình và các giải pháp kỹ thuật nhằm mục đích đảm bảo an toàn tài nguyên
thông tin mà tổ chức đó sở hữu cũng như các tài nguyên thông tin của các đối tác,
Nhóm SVTH: Nhóm 6 Trang 8
Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
các khách hàng trong một môi trường thông tin toàn cầu. Như vậy, với vị trí quan
trọng của mình, có thể khẳng định vấn đề ATTT phải bắt đầu từ các chính sách
trong đó con người là mắt xích quan trọng nhất.
Con người – khâu yếu nhất trong toàn bộ quá trình đảm bảo an toàn thông tin. Hầu
như phần lớn các phương thức tấn công được hacker sử dụng là khai thác các điểm

yếu của hệ thống thông tin và đa phần các điểm yếu đó rất tiếc lại do con người
tạo ra. Việc nhận thức kém và không tuân thủ các chính sách về ATTT là nguyên
nhân chính gây ra tình trạng trên. Đơn cử là vấn đề sử dụng mật khẩu đã được quy
định rất rõ trong các chính sách về ATTT song việc tuân thủ các quy định lại
không được thực hiện chặt chẽ. Việc đặt một mật khẩu kém chất lượng, không
thay đổi mật khẩu định kỳ, quản lý mật khẩu lỏng lẻo là những khâu yếu nhất mà
hacker có thể lợi dụng để xâm nhập và tấn công.
.2 Phương pháp đánh giá chất lượng hệ thống ATTT
Có lẽ không một vị lãnh đạo nào dám khẳng định nội bộ công ty là thực sự an toàn
và tin cậy. Trong bối cảnh nền kinh tế thị trường như hiện nay, sự canh tranh diễn
ra gay gắt thậm chí giữa các nhân viên trong nội bộ công ty: tranh dành khách
hàng , mục đích thăng tiến hoặc các mục đích không lành mạnh khác. Ở một số tổ
chức, lợi dụng sự lỏng lẻo trong quản lý về ATTT, nhân viên đã có những hành vi
bất lương như lấy cắp thông tin mật, chiếm đoạt tài khoản khách hàng , ăn cắp tiền
thông qua hệ thống tín dụng… Theo thống kê, khoảng 70% các rủi ro về ATTT là
xuất phát từ nội bộ trong tổ chức. Một trong những câu hỏi luôn được đặt ra trước
các nhà lãnh đạo và các nhà quản trị thông tin là: “Hệ thống thông tin của tổ chức
an toàn đến mức độ nào?” Câu hỏi này là mối quan tâm lớn nhất và cũng là vấn đề
nhạy cảm nhất trong các khâu quản lý hệ thống thông tin.
Trả lời câu hỏi này thật không đơn giản nhưng không phải là không có câu trả lời.
Để giải đáp vấn đề trên, chủ yếu dựa vào hai phương pháp đánh giá ATTT như
sau:
+ Phương pháp đánh giá theo chất lượng ATTT của hệ thống bằng cách cho
điểm.Ví dụ: hệ thống đạt 60/100 điểm hoặc 60%
+ Phương pháp đánh giá theo số lượng thiết bị - công nghệ bảo mật.
Trong thực tế , phương pháp đánh giá theo chất lượng là phương pháp duy nhất để
đánh giá mức độ an toàn của các tài nguyên trong hệ thống thông tin. Ở Việt Nam,
việc đánh giá ATTT theo chất lượng là hoàn toàn mới. Người ta dễ ngộ nhận việc
trang bị một công cụ ATTT như (Firewall, Anti-virus…) là đảm bảo được ATTT
cho hệ thống. Chất lượng ATTT phải được đánh giá trên toàn bộ các yếu tố đảm

bảo tính an toàn cho hệ thống từ tổ chức, con người, an ninh vật lý, quản lý tài
nguyên … đến việc sử dụng các công cụ kỹ thuật. Nói cách khác, chất lượng
ATTT được đánh giá trên cơ sở thực thi các chính sách về ATTT trong hệ thống.
Các chính sách này được chuẩn hoá và được công nhận là các tiêu chuẩn về ATTT
áp dụng trên phạm vi toàn thế giới.
Nhóm SVTH: Nhóm 6 Trang 9
Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
.3 Phương pháp đánh giá theo số lượng không được sử dụng.
.3.1. Tiêu chuẩn đánh giá về chất lượng ATTT.
Việc đánh giá mức độ ATTT của các tổ chức thường được tiến hành theo
kinh nghiệm và dựa trên các quy định mang tính cảm tính, cục bộ của tổ chức đó
mà không tính đến các tiêu chuẩn đã được thế giới công nhận. Vài năm trước đây,
Viện Tiêu chuẩn của Anh (BSI) cùng với một số tổ chức thương mại khác như
Shell, National Westminster Bank, Midland Bank… đã nghiên cứu và đề xuất một
tiêu chuẩn về ATTT. Đến năm 1995, tiêu chuẩn này được công nhận là tiêu chuẩn
quốc gia về quản lý ATTT - BS7799. Tiêu chuẩn này độc lập với mô hình hoạt
động của các công ty. Lãnh đạo công ty, các CSO/CIO… đã dựa trên cơ sở các
tiêu chuẩn này để thiết lập các chính sách ATTT cho đơn vị mình. Ngay sau khi ra
đời, BS7799 đã được sử dụng ở 27 nước bao gồm các nước thuộc khối liên hiệp
Anh cũng như một số quốc gia khác như Thụy Sỹ, Hà Lan Đến năm 2000, Tổ
chức tiêu chuẩn thế giới ISO trên cơ sở BS7799 đã xây dựng tiêu chuẩn ISO
17799 và tiêu chuẩn này trở thành tiêu chuẩn quốc tế về quản lý chất lượng ATTT
(ISO/IEC 17799). Tính đến tháng 2/2005 đã có khoảng hơn 1000 tổ chức đã nhận
chứng chỉ ISO 17799 trong đó có Hitachi, Nokia, Fujitsu, Siemen và rất nhiều
hãng tên tuổi khác.
.3.2. Những phần cơ bản của ISO 17799:
 Chính sách chung
 An ninh nhân sự (Personel Security)
 Xác định, phân cấp và quản lý tài nguyên (Asset Identification,
Classification & Control).

 An ninh vật lý (Physical Security).
 An ninh tổ chức (Security Organization).
 Quản trị IT và mạng (IT operations and network management).
 Quản lý truy cập và các phương pháp (Access control & methods).
 Phát triển HT và bảo trì (System development & maintenance).
 Tính liên tục trong kinh doanh và kế hoạch phục hồi sau sự cố (Bussiness
Continuty & Disaster Recovery Planning)
 Phù hợp hệ thống với các yếu tố về luật pháp, đạo đức (Low, Inestigation
and Ethics).
Nhóm SVTH: Nhóm 6 Trang 10
Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
Chính sách về an toàn thông tin được tổ chức theo mô hình kim tự
tháp.Cách tổ chức này giúp cho các nhà lãnh đạo quản lý chất lượng an toàn thông
tin một cách khoa học và hiệu quả.
Trên đỉnh kim tự tháp mô tả các chính sách được áp dụng trong tổ chức.Tại sao ta
phải thiết lập chính sách này? Phạm vi và đối tượng tác động của chính sách?
Không có một chính sách áp dụng chung cho mọi đơn vị. Trong một tổ chức có
nhiều bộ phận, từng bộ phận lại có chức năng nhiệm vụ khác nhau, tính chất và
cách tổ chức thông tin cũng khác nhau. Bộ phận kinh doanh có mô hình thiết kế hệ
thống riêng với cơ sở dữ liệu mang đặc thù kinh doanh, bộ phận sản xuất ,bộ phận
nghiên cứu cũng có cấu trúc hệ thống và cơ sở dữ liệu của riêng mình.Trình độ
nhận thức về an toàn thông tin cũng rất chênh lệch. Chính vì vậy khi thiết lập các
chính sách, nhà quản lý cần xác định rõ mục đích của chính sách được thiết lập,
đối tượng thực thi, phạm vi tác động…
Lớp thứ hai trên mô hình mô tả các quy tắc, quy định thực thi các chính
sách. Để thực hiện các chính sách ta phải làm gì? Hệ thống các quy tắc ATTT
được thể hiện trên 10 lĩnh vực lớn bao hàm các quy định từ tổ chức, con người, an
ninh vật lý đến các công cụ kỹ thuật an toàn thông tin. Các quy tắc được xây dựng
trên mô hình IT chuẩn của tổ chức và thể hiện được tính đặc thù của tổ chức đó.
Thông qua việc thực thi các quy tắc, có thể đánh giá chất lượng an toàn thông tin

của một tổ chức thông qua kiểm toán (Audit) .
Lớp thứ ba là lớp cuối cùng của mô hình. Đây là các quy trình, các giải
pháp hỗ trợ thực thi các quy tắc, quy định trên. Nó trả lời cho câu hỏi làm như thế
nào để thực thi các quy định trên? Các nhà quản trị an toàn thông tin (CSO) cùng
các quản trị IT thiết lập các quy trình này và phổ biến đến mọi nhân viên trong tổ
chức, ví dụ “Quy trình thay đổi mật khẩu”, ”Quy trình cài đặt các chương trình
diệt virut ,chống các chương trình độc hại ” v.v.Các quy trình này có thể liên quan
đến nhiều chính sách và đối tượng sử dụng khác nhau.
.3.3. Việc áp dụng ISO 17799 đem lại lợi ích gì cho tổ chức?
Việc áp dụng các tiêu chuẩn về ATTT theo ISO 17799 làm tăng nhận thức cho đội
ngũ cán bộ nhân viên về ATTT. Xây dựng một môi trường an toàn, có khả năng
miễn dịch trước các rủi ro, giảm thiểu các nguy cơ do con người gây ra. Tiêu
chuẩn ISO 17799 đề ra những nguyên tắc chung trong quá trình thiết kế, xây dựng
hệ thống thông tin một cách khoa học, giúp cho việc quản lý hệ thống trở nên sáng
sủa, an toàn, minh bạch hơn. Chúng ta xây dựng một “bức tường người an toàn”
(Secure People Wall) trong tổ chức. Một môi trường thông tin an toàn, trong sạch
sẽ có tác động không nhỏ đến việc giảm thiểu chi phí vật chất đầu tư cho ATTT
vốn dĩ rất tốn kém. Về lâu dài, việc nhận được chứng chỉ ISO 17799 là một lời
khẳng định thuyết phục với các đối tác, các khách hàng về một môi trường thông
tin an toàn và trong sạch. Tạo điều kiện thuận lợi cho sự hội nhập một môi trường
Nhóm SVTH: Nhóm 6 Trang 11
Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
thông tin lành mạnh. Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ
chức.
.3.4. Vấn đề đào tạo nguồn nhân lực
Theo IDG vào khoảng năm 2006 sẽ bùng nổ một nghề mới trong lĩnh vực
IT – nghề an toàn thông tin.Chức danh CSO (Chief Security Officer) trở nên quen
thuộc trong lĩnh vực IT.
Cập nhật và nâng cao kiến thức về ATTT và nhận thức về vai trò của nó
trong hệ thống IT là một điều rất quan trọng và cấp bách vì xét cho cùng hành

động của con người là yếu tố quyết định. Mặc dù ATTT được biết đến rộng rãi
nhưng yếu tố con người thường ít được các tổ chức quan tâm đến. Đối với những
nhà quản trị, họ cần một chính sách an toàn và một chương trình nhận thức cũng
như đánh giá chất lượng về ATTT nhưng tiếc rằng hiện nay chưa có nhiều giải
pháp thực sự quan tâm vào vấn đề làm sao để tăng cường sự vững chắc cho mối
liên kết vốn dĩ rất yếu ớt này trong mắt xích ATTT.
Hiện nay, một số doanh nghiệp tại Việt Nam đã có sự chuyển biến tích cực
trong vấn đề nhận thức về ATTT. Họ sẵn sàng đầu tư ngân sách đào tạo nguồn
nhân lực nhằm tạo nền tảng vững chắc về nhận thức và kiến thức ATTT cho đội
ngũ nhân viên của doanh nghiệp. Điển hình là như: Sở Khoa học và Công nghệ
Đồng Nai, Công ty Bảo hiểm Bảo Minh, Fujitsu Vietnam, Ngân hàng Á Châu
Bên cạnh đó vẫn còn nhiều doanh nghiệp nhất là các doanh nghiệp vừa và nhỏ vẫn
chưa tiếp cận và hiểu hết tầm quan trọng của việc thiết lập các chính sách về
ATTT và quản lý tiêu chuẩn chất lượng ATTT theo ISO 17799 thực sự vẫn còn xa
lạ và mới mẻ đối với họ.
An toàn thông tin nói chung và đánh giá chất lượng về an toàn thông tin nói
riêng vẫn còn là vấn đề mới ở Việt Nam. Hy vọng bài viết giúp cho các nhà quản
lý, các nhà hoạch định chính sách có thêm thông tin về vấn đề quản lý chất lượng
ATTT cũng như cách tiếp cận với vấn đề an toàn thông tin – một vấn đề hết sức
nhạy cảm hiện nay. Đồng thời bài viết cũng nêu rõ vai trò của con người – khâu
yếu nhất trong đảm bảo an toàn thông tin cũng như tầm quan trọng của vấn đề đào
tạo nguồn nhân lực trong lĩnh vực này.
PHẦN II: TẠI SAO PHẢI BẢO MẬT
Cũng như nhiều loại hình tội phạm khác, các đe doạ về mạng và tài nguyên
Internet xuất phát từ cộng đồng nhỏ. Tuy nhỏ nhưng nhân tố này lại không ngừng
lớn mạnh bởi ít có chế tài nào kiềm chế nó một cách hiệu quả, chỉ cần một công cụ
tấn công được phát tán lên mạng là ngay lập tức rất nhiều hệ thống máy tính trở
thành mục tiêu tấn công thông qua các lỗ hổng phần mềm. Những kẻ đứng đằng
sau các vụ tấn công này có thể là tin tặc, bẻ khoá phần mềm hoặc "nội gián".
.I BẢO MẬT THÔNG TIN NGUY HIỂM KHÔNG CHỈ ĐẾN TỪ HACKES

Đã từ lâu khi nghĩ đến an toàn thông tin là các nhà quản trị hệ thống lại nơm
nớp lo sợ các cuộc tấn công bất ngờ đến từ attackers, hackers. Suy nghĩ này không
Nhóm SVTH: Nhóm 6 Trang 12
Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
sai, nhưng sẽ thật là thiếu sót nếu không nghĩ đến các nguy cơ tiềm ẩn khác, mà
mức độ nguy hiểm cũng không kém gì, nếu không muốn nói là chúng có thể gây
ra các thảm họa lớn.
Bản liệt kê dưới đây mô tả hầu hết các nguy cơ đe dọa đến an toàn thông
tin, đặc biệt là đối với các hệ thống thông tin vĩ mô Loại bỏ các mối đe dọa này
không phải là chuyện một sớm một chiều, nhưng trước hết cần xây dựng ý thức rõ
ràng về những hiểm họa này, và sau đó lên kế hoạch thực hiện quản lý và phòng
tránh rủi ro thích hợp cho tổ chức của bạn.
Những mối đe dọa chung
Mối đe dọa Ví dụ điển hình
Thảm họa bất ngờ Hỏa hoạn
Thảm họa bất ngờ Lụt lội
Thảm họa bất ngờ Động đất
Thảm họa bất ngờ Bão lớn
Thảm họa bất ngờ Khủng bố tấn công
Thảm họa bất ngờ Bạo loạn
Thảm họa bất ngờ Đất lở
Thảm họa bất ngờ Tuyết lở
Thảm họa bất ngờ Tai nạn lao động
Sự cố máy tính Sự cố nguồn điện
Sự cố máy tính Hỏng phần cứng
Sự cố Mạng
Sự cố Mạng máy tính- Các thiết bị nối
Mạng hỏng
Sự cố máy tính
Hệ thống điều khiển môi trường vận

hành thiết bị hỏng
Nhóm SVTH: Nhóm 6 Trang 13
Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
Người không có chủ ý phá hoại Nhưng thiếu hiểu biết về hệ thống
Người không có chủ ý phá hoại Những nhân viên ngờ nghệch
Người có chủ ý phá hoại Hacker, cracker
Người có chủ ý phá hoại Tội phạm máy tính
Người có chủ ý phá hoại Tình báo công nghệ cao
Người có chủ ý phá hoại Gián điệp được chính phủ đỡ đầu, tài trợ
Người có chủ ý phá hoại
Khai thác dựa trên sự quen biết, quan hệ
với người trong tổ chức. Cao hơn là dùng
các kĩ thuật đánh lừa, nhằm lấy các tài
khoản hệ thống. Những nhân viên không
hiểu biết rõ về hệ thống thông tin thường
rất dễ bị khai thác
Người có chủ ý phá hoại Nhân viên bất mãn hiện thời
Người có chủ ý phá hoại Nhân viên cũ có hiềm khích, bất mãn
Người có chủ ý phá hoại
Khủng bố công nhệ cao, phát động các
cuộc chiến trên không gian ảo
Người có chủ ý phá hoại
Nhân viên lơ đễnh, cẩu thả khi quản lý hệ
thống
Người có chủ ý phá hoại
Nhân viên không trung thực (là nạn nhân
hoặc nhận đút lót để bán thông tin, tiết lộ
thông tin)
Người có chủ ý phá hoại
Xâm nhập trực tiếp vào hệ thống thông

tin di động
Bảo mật Internet có thể ảnh hưởng trực tiếp tới doanh thu và tình hình kinh
doanh của doanh nghiệp. Một cuộc khảo sát của CSI và Đội chống xâm nhập máy
tính FBI năm 2003 cho thấy, trong số 75% doanh nghiệp được khảo sát đều cho
rằng họ phải gánh chịu thiệt hại về tài chính từ sự cố bảo mật; 47% doanh nghiệp
cho biết có thể đánh giá chính xác thiệt hại bảo mật; và 23% cho biết thất thu
khoảng 10 triệu USD mỗi năm do các hành vi đột nhập tấn công.
Một thiệt hại khác rất khó đánh giá nhưng lại cực kỳ quan trọng đối với
SMB, đó là khoảng thời gian trục trặc về hệ thống (downtime) và thiệt hại sản
phẩm do phản ứng chậm chạm đối với sự cố bảo mật. Trong rất nhiều trường hợp,
doanh nghiệp phải tạm thời gỡ bỏ các máy chủ quan trọng, hệ thống desktop và
dây chuyền liên quan tới sự cố bảo mật. Tuy phải đối mặt với những thiệt hại tiềm
tàng nhưng rất nhiều doanh nghiệp nhỏ vẫn chưa chú trọng tới nguy cơ này.
.II HỌC CÁCH TỰ VỆ TRƯỚC NHỮNG MỐI ĐE DỌA TỪ INTERNET
Nhóm SVTH: Nhóm 6 Trang 14
Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
Cho dù là máy tính của bạn đã có 3 năm tuổi hay chỉ 3
ngày tuổi thì chúng đều phải đối mặt với những vấn đề
bảo mật tương tự như nhau. Virus và sâu máy tính luôn
luôn rình rập tấn công hệ thống của bạn mỗi khi bạn lên
mạng; phần mềm gián điệp ẩn mình trong những bức
thư điện tử hay cố gắng đột nhập hệ thống thông qua
các quảng cáo trực tuyến.
Các con trojan hiểm độc bất cứ lúc nào cũng như theo
từng bước chân của bạn trong cuộc sống trực tuyến và
sẵn sàng cùng với bọn lừa đảo (phishing) sâu xé hệ
thống nhằm ăn cắp thông tin cá nhân của bạn, phá hỏng
hệ thống của bạn.
Do vậy mà bài tổng hợp của chúng tôi sau đây hi vọng sẽ giúp cho bạn giữa
an toàn một phần nào “cuộc sống trực tuyến” - cuộc sống đang dần trở thành một

phần tất yếu của cuộc sống.
.1 75% số cuộc tấn công thành công nhờ khai thác lỗi bảo mật web
Theo các chuyên gia bảo mật 75% các tấn công thành công của hacker trên
Internet dựa vào việc khai thác các lỗ hổng, lỗi an
toàn bảo mật trong các ứng dụng web. Và để tìm cách
chống lại những cuộc tấn công này ngày 29/3/2006,
hội thảo đề “Bảo mật ứng dụng Web, trận chiến mới
chống lại 75% các cuộc tấn công của hacker” được tổ
chức tại Hà Nội.
Hội thảo này do NetContinuum - một công ty Mỹ
trong lĩnh vực cung cấp các giải pháp bảo mật cho
ứng dụng web, phối hợp với các công ty Misoft, công ty Hệ thống Thông tin FPT
và công ty VietShield tổ chức. Nhân dịp này, NetContinuum cũng chính thức công
bố Misoft là nhà phân phối chính thức các sản phẩm của hãngtại Việt Nam.
Ông Vijay Sarathy - Giám đốc Dịch vụ hỗ trợ khách hàng của NetContinuum cho
biết: “Theo đánh giá của IDC, 75% các tấn công thành công của hacker trên
Internet dựa vào việc khai thác các lỗ hổng, lỗi an toàn bảo mật trong các ứng
dụng web. Vài năm trở lại đây, trong lĩnh vực an toàn bảo mật thông tin xuất hiện
một khái niệm mới "Tường lửa ứng dụng Web - Web Application Firewall"
nhằm nhấn mạnh sự cấp thiết của các giải pháp công nghệ để chống lại nguy cơ
này. Chúng tôi đã sớm nhận thức được nguy cơ và đi đầu trong việc nghiên cứu
phát triển giải pháp công nghệ bảo mật cho các ứng dụng web. Chúng tôi nhận
thấy công nghệ thông tin Việt Nam đang có những bước phát triển mạnh mẽ và
Việt Nam hiện là một thị trường đầy tiềm năng trong khu vực”.
Theo ông Vũ Quốc Thành, Tổng Giám đốc Misoft: “Ở Việt Nam, các ứng dụng
Web ngày càng được nhiều cơ quan, tổ chức sử dụng. Các ứng dụng web một mặt
Nhóm SVTH: Nhóm 6 Trang 15
Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
mở ra rất nhiều những khả năng, cơ hội kinh doanh mới cho các tổ chức, doanh
nghiệp, song mặt khác cũng đã và đang đặt hệ thống thông tin của các đơn vị này

trước những mối đe dọa bị hacker tấn công. Nguy cơ này càng trở nên nghiêm
trọng hơn đối với những tổ chức có các ứng dụng web quan trọng như Web
Portal, e-Banking, e-Commerce, Câu hỏi tất yếu là cần làm gì để có thể đối phó
với nguy cơ này”.
Theo ý kiến của nhiều chuyên gia, qua các ứng dụng Web, người dùng có thể làm
việc, mua sắm, tra cứu thông tin một cách tiện lợi từ bất kì nơi nào chỉ bằng một
trình duyệt Web. Việc phổ biến các ứng dụng Web này đồng thời cũng thu hút sự
chú ý của tin tặc nhằm vào các trang Web để khai thác. Bên cạnh các công nghệ
truyền thống như Network Firewall (tường lửa), Intrusion Prevention System (hệ
thống ngăn chặn xâm nhập), thì Web Application Firewall (tường lửa bảo vệ ứng
dụng Web) có thể bảo vệ các tổ chức trước những rủi ro đó.
.2 Giảm thiểu rủi ro từ các cuộc tấn công bảo mật
Tăng cường kiểm soát chặt chẽ việc cài đặt phần mềm của nhân viên sẽ giúp các
công ty cải thiện tình hình an ninh mạng.
Phần lớn các sự cố về an ninh mạng đều có
chung một nguyên nhân: người dùng cuối
(end-user) cài đặt hoặc chạy các chương trình
không được quản lý hoặc không được phê
chuẩn bởi các chuyên viên quản trị mạng
(admin). Hầu hết các cuộc tấn công vào an
ninh mạng xảy ra do người sử dụng vô tình
cài đặt các malware (malware là các phần
mềm làm hỏng chức năng chương trình ứng
dụng, cố gắng ẩn nấp, trốn tránh không bị
phát hiện bởi các chương trình chống
spyware, virus và các tiện ích hệ thống), trong đó, có nhiều chương trình có bản
chất rất nguy hiểm và sẽ bị tấn công ngay sau khi cài đặt như như virus, sâu máy
tính (worm), Trojan, và phần mềm gián điệp (spyware).
Trong khi đó, có nhiều chương trình khác lúc đầu rất hữu ích nhưng sau đó lại tạo
điều kiện cho các hình thức tấn công bảo mật khác xuất hiện. Có thể nói bất kỳ

một hành động cài đặt phần mềm nào, cho dù đó là Skype, Java, RealPlayer,
Firefox, QuickTime, iTunes, hay thậm chí phần mềm diệt vius, đều làm gia tăng
nguy cơ bị tấn công. Chẳng hạn nếu công ty cho phép các nhân viên cài đặt các
công cụ Flash của Macromedia, hệ thống máy tính có thể bị tấn công bởi các mã
điều khiển Flash độc hại. Hay cài đặt các thanh công cụ tìm kiếm nhanh hay tìm
kiếm từ desktop của Google, thông tin mật trong máy cũng có nguy cơ bị truy lục.
Ngay cả khi công ty cho phép các nhân viên dùng các đĩa CD cá nhân trên máy
tính của công ty, nguy cơ thâm nhập của các chương trình malware cũng rất cao.
Nhóm SVTH: Nhóm 6 Trang 16
Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
Chính vì vậy, điều mà các công ty cần làm để giảm thiểu những điểm yếu về an
ninh mạng là: Kiểm soát các phầm mềm mà nhân viên cài đặt và ứng dụng; nhận
biết được những cài đặt tiện ích (add-in) nào của trình duyệt web đang chạy trên
máy và ActiveX controls nào được cài đặt (ActiveX controls là các hệ thống tiêu
chuẩn dùng để xây dựng các thành phần (component) trong môi trường
Windows); Chuyên viên CNTT phải kiểm soát ở mức cao nhất và tiến hành việc
cấp phép cài đặt. Dĩ nhiên, các biện pháp này thường được cho là tốn kém về thời
gian và tiền bạc, nhưng thực tế, sẽ là không thấm vào đâu khi so với thời gian và
tiền bạc mà các công phải bỏ ra khi phải chiến đấu với malware, virus, worm,
Trojan, spam và các hình thức tấn công khác.
Cho dù, trên thực tế, việc kiểm soát 100% những gì nhân viên cài đặt hoặc tải
xuống từ Internet gần như không thể, nhưng các công ty cũng có thể kiểm soát
được các rủi ro về an ninh máy tính nếu xây dựng được một kế hoạch kiểm soát
trên cơ sở cân nhắc những yếu tố sau đây:
 Thiết lập và giáo dục nhân viên về chính sách cài đặt phần mềm của công ty,
chẳng hạn như họ phải biết được rằng phần mềm mà họ có ý định cài đặt cần
phải có sự phê chuẩn của admin hay không.
 Khuyến cáo nhân viên những loại phần mềm nào tránh cài đặt, làm cho họ
hiểu rằng bất kỳ một phần mềm nào cũng tiềm ẩn, dù ít hay nhiều, trực tiếp
hay gián tiếp, các nguy cơ đối với an ninh mạng.

 Đưa ra một cơ chế cho phép admin biết được các nhân viên đang chạy
những chương trình gì trên máy tính của họ. Nếu công ty không thể kiểm soát
việc cài đặt thì phải biết được nhân viên đang chạy những chương trình nào.
 Xây dựng một quy trình để đảm bảo các ứng dụng mới được cài đặt một
cách an toàn, chẳng hạn như công ty muốn loại bỏ một số ứng dụng của phần
mềm như chia sẻ file (file-sharing) hay peer-to-peer.
 Đảm bảo kích hoạt tính năng tự động cập nhật (auto-update), nếu có, của
các phần mềm. Tuy nhiên, cũng không nên hoàn toàn tin tưởng vào tính năng
này bởi một số phiên bản mới của các phần mềm không có khả năng loại bỏ
những mã cũ, dễ bị tấn công như các phiên bản mới của Adobe Acrobat hay
Java của Sun Microsystems.
 Gỡ bỏ tất cả các chương trình có độ rủi ro bảo mật cao, song song với việc
phạt những nhân viên tái phạm trong việc cài đặt phần mềm.
 Thiết lập một phương thức giám sát các lớp nội dung (content layer) để ngăn
các giao thức không được cấp phép xâm nhập vào hệ thống máy tính khi tiến
hành cài đặt các chương trình ứng dụng.
 Nâng cao ý thức của admin đối với các chương trình mới và yêu cầu họ báo
cáo ngay cho Trưởng phòng CNTT về các nguy cơ mới được phát hiện để phân
tích và có biện pháp kịp thời.
Có một điều chắc chắn là các nhân viên văn phòng sẽ tiếp tục cài đặt, download
ngày càng nhiều phần mểm và như thế nguy cơ đe dọa đối với an ninh mạng sẽ rất
khó lường. Điều mà chúng ta có thể làm được là kiểm soát những gì đã được cài
đặt và đang chạy trên các máy tính được quản lý.
Nhóm SVTH: Nhóm 6 Trang 17
Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
PHẦN III: CÁC BIỆN PHÁP BẢO MẬT WEB SERVER 2003
.I WINDOWS SERVER 2003 CÓ GÌ MỚI?
.1 Management services Windows Server 2003:
Phát triển thêm nhiều tính năng mới cho những công cụ quản lý như
Windows Management Instrumentation (WMI), Group Policy, Resultant Set of

Policy (RSoP) và thêm vào một số policy mới để giúp người quản trị có thể dễ
dàng và linh hoạt hơn trong việc cấu hình và gán quyền cho user và group. Với
Microsoft IntelliMirror Management bạn sẽ không tốn thời gian để thực hiện lại
những hiệu chỉnh riêng của bạn trên desktop vì Windows Server 2003 đã quản lý
cho bạn tất cả.
Những tính năng mới được thêm vào cho Group Policy Management
Console (GPMC) để quản lý Group Policy với mô hình framework và những tính
năng mới để dễ dàng hơn trong việc sử dụng Active Directory. Những tính năng
mới được thể hiện rõ như là khả năng sao lưu và khôi phục cho các Group Policy,
khả năng import/export, copy/paste cho Group Policy, report được những gì đã
hiệu chỉnh cho Group Policy, sử dụng các mẫu cấu hình cho các user.
.2 Resultant Set of Policy (RSoP)
Cung cấp những công cụ cơ bản nhất cho việc hoạch định, kiểm tra và xử
lý những trục trặc cho Group Policy. Với RSoP, người quản trị mạng sẽ dễ dàng
lên kế hoạch để thay đổi thiết lập policy cho những user và máy tính trên mạng
hoặc cũng có thể dùng để kiểm tra những policy hiện đang sử dụng trên một máy
tính đã định.
Hơn 200 policy được thêm vào Windows Server 2003 để bạn dễ dàng thiết
lập những giới hạn sử dụng. Nổi bật nhất là những policy phục vụ cho việc quản lý
những dịch vụ Remote Assistance, AutoUpdating, và Error Reporting
.3 Windows Update
Bạn có thể chọn điều khiển được những gì cần cập nhật mà bạn đã có kế
hoạch định sẵn để thực hiện. Windows có thể tự động tải và cài đặt những gì cần
thiết. Với Microsoft Software Update Services bạn còn có thể giới hạn được
những phiên bản của Windows Update và đưa những phần update cho những user
trong mạng nội bộ mà không cần phải đi trực tiếp qua Internet.
.4 Systems Management Server 2.0
Cung cấp được những bản báo cáo, chẩn đoán của phần mềm và hệ thống.
.5 Networking – Communications
Nhóm SVTH: Nhóm 6 Trang 18

Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
Tăng cường thêm tính linh hoạt và kế thừa những gì đã xây dựng từ hệ điều
trước cũng như những cơ sở hạ tầng mạng đã có, Windows Server 2003 đưa ra sử
dụng chuẩn IP v6, hỗ trợ Point-to-Point Protocol trên Ethernet (PPPoE) và Internet
Protocol Security (IPSec) trên Network Address Translation (NAT) nhằm đáp ứng
được những nhu cầu của người dùng trong tương lai.
Sự tin cậy và bảo mật trên Windows Server 2003 đã được nâng lên rõ rệt
qua những việc bảo mật bằng firewall (Internet Connection Firewall) và khả năng
bảo mật trong việc truy xuất mạng sử dụng công nghệ IEEE 802.1X (Extensible
Authentication Protocol over LAN) trên máy client. Windows Server 2003 cũng
đưa ra một cách mạng mới trong việc bảo vệ và bảo mật khi truy xuất cho cả mạng
có dây cũng như là không dây. Ngoài ra còn có khả năng cân bằng tải cho mạng
riêng ảo (VPN) và Internet Authentication Service (IAS).
Trong Windows Server 2003,
.6 Network Load Balancing
Sử dụng được trên nhiều card mạng khác nhau nên bạn có thể hiệu chỉnh
được trên nhiều host khác nhau. Phân tải được cho cả Firewall và Proxy Server sử
dụng ISA (Microsoft Internet Security and Acceleration) và có thể tạo được kịch
bản (script) cho phân tải mạng (những phiên bản trước không có tính năng này).
Bạn có thể dễ dàng quản lý và điều khiển từ xa hay cục bộ thông qua Network
Load Balancing Manager.
.7 IP v6
Được sử dụng và xem như thế hệ kế tiếp của giao thức truyền dữ liệu trên
Internet. Nó giải quyết được những lỗi và những nhược điểm mà trên IP v4 chưa
giải quyết được như việc thiếu hụt địa chỉ, bảo mật, tự động cấu hình, khả năng
mở rộng, IP v6 được Windows Server 2003 sử dụng ngay trên những tiện ích của
mình như: Internet Explorer, Telnet Client, FTP Client, IIS 6.0.
.8 Connection Manager Administration Kit (CMAK)
Được nâng cấp cho phép kết nối đến nhiều VPN Server, tự động hiệu chỉnh được
proxy server trên máy client. Internet Connection Firewall (ICF) sẵn sàng có thể

dùng cho các kết nối trên LAN, dial-up, VPN, hoặc PPPoE. Nó được thiết kế sử
dụng trong mô hình doanh nghiệp nhỏ, cung cấp những tính năng để bảo vệ những
máy tính làm việc trên mạng.
.9 Security
Bổ sung thêm nghi thức IEEE 802.1X để bảo vệ an toàn dữ liệu trong việc
truyền dữ liệu trên mạng LAN không dây. Encrypting File System (EFS) là kỹ
Nhóm SVTH: Nhóm 6 Trang 19
Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
thuật dùng để mã hóa và giải mã những tập tin trên những ổ đĩa NTFS để bảo đảm
an toàn thông tin. Chỉ người đã mã hóa tập tin mới mở và thao tác được với tập tin
đó.
.10 Internet Connection Firewall (ICF
Được sử dụng để bảo vệ máy tính kết nối Internet hoặc những máy tính
nằm ở phía sau một gateway kết nối Internet bằng Internet Connection Sharing
(ICS). Internet Authentication Server (IAS) là một Remote Authentication Dial-in
User Server (RADIUS) dùng để quản lý việc sự xác nhận và cấp quyền cho user.
Nó còn dùng để quản lý những kết nối mạng sử dụng nhiều kỹ thuật khác nhau
như dial-up, mạng riêng ảo (VPNs), và firewall.
Windows Server 2003 cung cấp khả năng xác nhận và cấp quyền user để
kết nối không dây và Ethernet LANs. Đây là điểm hoàn hảo của Windows Server
2003 hỗ trợ sử dụng giao thức IEEE 802.1X. Tăng cường tính năng bảo mật cho
Web Server, IIS 6.0 bảo đảm an toàn tối đa bằng cách mặc nhiên là cài đặt “locked
down”.
Chức năng mã hóa cơ sở dữ liệu Offline, tính năng này sẽ mã hóa hoặc giải
mã toàn bộ dữ liệu Offline. Administrator sẽ là user có quyền được chỉ định ra
những dữ liệu nào thuộc loại Offline để mã hóa. Nâng cao khả năng bảo mật cho
toàn hệ thống là: tăng khả năng thực thi 35% khi sử dụng Secure Sockets Layer
(SSL). IIS mặc nhiên không được cài đặt
.II SỬ DỤNG BẢO MẬT CÓ SẴN TRONG WINDOWS SERVER 2003
Đây là một trong số các bài hướng dẫn từng bước đơn

giản dễ hiểu của phần trợ giúp Microsoft cung cấp cho
người dùng. Bài này mô tả cách thức áp dụng các mẫu
bảo mật được định nghĩa sẵn trong Windows Server
2003 như thế nào. Microsoft Windows Server 2003 cung
cấp một số mẫu bảo mật giúp bạn tăng cường mức an
toàn cho mạng của mình. Bạn có thể chỉnh sửa chúng
cho phù hợp với yêu cầu riêng bằng cách dùng thành phần Security Templates
trong Microsoft Management Console (MMC).
.1 Các mẫu bảo mật định nghĩa sẵn trong Windows Server 2003
.1.1. Bảo mật mặc định (Setup security.inf)
Setup security.inf được tạo ra trong quá trình cài đặt và riêng biệt cho từng máy
tính. Mỗi máy tính có một kiểu Setup security.inf khác nhau tuỳ thuộc chương
trình cài đặt là hoàn toàn mới từ ban đầu hay là bản nâng cấp. Nó thể hiện các
thiết lập bảo mật mặc định được ứng dụng trong quá trình cài đặt của hệ điều
hành, gồm cả đặc quyền file cho thư mục gốc của ổ hệ thống. Mẫu bảo mật này
có thể được dùng cho cả máy chủ và máy khách nhưng không thể dùng áp
Nhóm SVTH: Nhóm 6 Trang 20
Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
dụng cho bộ điều khiển tên miền. Bạn cũng có thể dùng các phần của mô hình
mẫu này cho hoạt động phục hồi nếu có trường hợp rủi ro xuất hiện.
Không áp dụng Setup security.inf bằng cách sử dụng Group Policy vì điều này
có thể làm giảm tốc độ thực thi hệ thống.
Chú ý: Trong Microsoft Windows 2000 có hai mẫu bảo mật hỗn hợp cùng tồn
tại: ocfiless (cho các server file) và ocfilesw (cho các workstation). Trong
Windows Server 2003, cả hai file này được thay thế bởi file Setup security.inf.
.1.2. Bảo mật mặc định cho bộ điều khiển tên miền (DC security.inf)
Mẫu này tạo ra khi server được tăng cấp lên bộ điều khiển tên miền. Nó ánh xạ
các thiết lập bảo mật mặc định file, thanh ghi và dịch vụ hệ thống. Nếu bạn áp
dụng lại mô hình này, các thiết lập sẽ được đặt ở giá trị mặc định. Tuy nhiên
kiểu mẫu này có thể ghi đè đặc quyền lên các file, khoá thanh ghi và dịch vụ hệ

thống mới do chương trình khác tạo ra.
.1.3. Tương thích (Compatws.inf)
Mẫu này thay đổi các quyền của file và thanh ghi được cấp phát cho thành viên
của nhóm Users, nhất quán với yêu cầu của hầu hết chương trình không nằm
trong Windows Logo Program for Software. Mẫu Compatible cũng loại bỏ tất
cả thành viên của nhóm Power Users.
Để biết thêm thông tin về Windows Logo Program for Software, bạn có thể
tham khảo tại website của Microsoft:

Chú ý: Không được áp dụng mẫu Compatible cho bộ điều khiển tên miền.
Bảo mật (Secure*.inf)
Mẫu Secure định nghĩa các thiết lập bảo mật nâng cao ít nhất ảnh hưởng tới độ
tương thích của chương trình. Ví dụ như định nghĩa mật khẩu, chế độ lockout
và các thiết lập kiểm toán mạnh hơn. Thêm vào đó, các khuôn mẫu này còn
giới hạn việc sử dụng chương trình quản lý mạng cục bộ LAN Manager và các
giao thức thẩm định NTLM bằng cách cấu hình client chỉ gửi phần trả lời
NTLMv2 và cấu hình server từ chối trả lời LAN Manager.
Có hai kiểu mô hình bảo mật dựng sẵn trong Windows Server 2003:
Securews.inf cho các trạm làm việc và Securedc.inf bộ điều khiển tên miền. Để
biết thêm thông tin về cách dùng các mẫu mô hình này và một số mẫu bảo mật
khác, bạn có thể tìm kiếm trong phần trợ giúp Help and Support Center của
Microsoft với từ khoá "predefined security templates" (các mẫu bảo mật định
nghĩa sẵn).
.1.4. Bảo mật cao (hisec*.inf)
Nhóm SVTH: Nhóm 6 Trang 21
Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
Highly Secure mô tả chi tiết các giới hạn bổ sung chưa được định nghĩa
trong Secure, chẳng hạn như mức mã hoá và ký hiệu cần thiết cho việc thẩm
định và trao đổi dữ liệu qua kênh bảo mật, giữa client và server Server
Message Block (SMB).

.1.5. Bảo mật thư mục gốc hệ thống (Rootsec.inf)
Mẫu này đặc tả các quyền của thư mục gốc (root). Mặc định, Rootsec.inf
định nghĩa quyền hạn cho file gốc của ổ hệ thống. Bạn có thể dùng mô hình
này để áp dụng lại các đặc quyền thư mục gốc nếu chúng bị thay đổi ngẫu
nhiên. Hoặc bạn có thể chỉnh sửa mô hình mẫu này để áp dụng các quyền hạn
gốc giống nhau cho nhiều bộ khác. Mẫu này không ghi đè các quyền tường
minh được định nghĩa ở các đối tượng con; nó chỉ sao chép các quyền đã được
thừa kế ở các đối tượng con đó.
.1.6. Mẫu không có SID cho người dùng Server Terminal (Notssid.inf)
Bạn có thể áp dụng mẫu này để loại bỏ bộ định dạng bảo mật (SID) Windows
Terminal Server khỏi hệ thống file và các vị trí thanh ghi khi dịch vụ đích
(Terminal Services) không chạy. Sau khi bạn thực hiện điều này, bảo mật hệ
thống sẽ không được cải thiện đầy đủ một cách cần thiết.
Để biết thêm thông tin chi tiết về tất cả mô hình mẫu định nghĩa sẵn trong
Windows Server 2003, bạn có thể tìm kiếm trong phần trợ giúp Help and
Support Center của Microsoft với từ khoá "predefined security templates".
Chú ý quan trọng: Thực thi một mô hình mẫu bảo mật trên bộ điều khiển tên
miền có thể thay đổi các thiết lập của thành phần Default Domain Controller
Policy hoặc Default Domain Policy. Mô hình mẫu được sử dụng có thể ghi đè
quyền hạn lên các file mới, các khoá thanh ghi và dịch vụ hệ thống do chương
Nhóm SVTH: Nhóm 6 Trang 22
Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
trình khác tạo ra. Sau khi sử dụng mô hình bảo mật mẫu, có thể bạn sẽ phải khôi
phục lại "chính sách" cũ. Trước khi thực hiện một số bước sau trên bộ điều khiển
tên miền, hãy tạo bản sao lưu của file chia sẻ SYSVOL.
.2 Sử dụng một mẫu bảo mật
1. Vào Start, chọn Run, gõ mmc lên ô lệnh và bấm OK.
Trong menu File, kích lên Snap-in Add/Remove.
Chọn Add.
2. Trong danh sách Available Stand Alone Snap-ins, chọn Security

Configuration and Analysis, bấm Add > Close và cuối cùng là OK.
3. Ở ô bên trái, kích vào Security Configuration and Analysis và xem
hướng dẫn ở khung bên phải.
4. Kích phải chuột lên Security Configuration and Analysis, chọn Open
Database.
5. Trong hộp tên File, gõ tên file dữ liệu rối kích vào Open.
6. Kích vào mẫu bảo mật bạn muốn dùng, sau đó bấm lên Open để nhập
thông tin nằm trong mẫu vào cơ sở dữ liệu.
Kích phải chuột lên Security Configuration and Analysis ở khung bên trái rồi
chọn Configure Computer Now.
.III BẢO MẬT TRUY CẬP TỪ XA TRONG WINDOWS SERVER 2003
Hướng dẫn từng bước dưới đây sẽ giới thiệu cho bạn cách đặt chính sách bảo
mật truy cập từ xa trong Microsoft Windows Server 2003 ở chế độ thông
thường. Ngoài ra cũng giới thiệu cách thiết lập chính sách này trên Windows
Server 2003 trong các máy chủ truy cập từ xa. Trong Microsoft Windows
Server 2003 ở chế độ thông thường, bạn có thể sử dụng ba kiểu chính sách
truy cập từ xa dưới đây:
 Explicit allow (Cho phép hoàn toàn)
Chính sách truy cập từ xa được thiết lập là "Grant remote access permission"
(Cho phép truy cập từ xa) và kết nối phù hợp với các điều kiện của chính sách.
 Explicit deny (Từ chối hoàn toàn)
Chính sách truy cập từ xa được thiết lập là "Deny remote access permission"
(Từ chối truy cập từ xa) và kết nối phù hợp với các điều kiện của chính sách.
 Implicit deny (Từ chối hoàn toàn tuyệt đối)
Kết nối không phù hợp với tất cả các điều kiện truy cập của chính sách.
Để thiết lập một chính sách truy cập từ xa, cấu hình chính sách. Sau đó, cấu
hình thiết lập dial-in của tài khoản người dùng để chỉ ra các quyền truy cập từ
xa được kiểm soát bởi chính sách.
.1 Cách cấu hình chính sách truy cập từ xa
Mặc định, hai chính sách truy cập từ xa được cung cấp trong Windows

Server 2003:
Connections to Microsoft Routing and Remote Access server
Nhóm SVTH: Nhóm 6 Trang 23
Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
Chính sách này tương ứng với các kết nối truy cập từ xa được tạo đối với
Routing và dịch vụ truy cập từ xa.
Connections to other access servers (Kết nối đến các máy chủ truy cập
khác)
Chính sách này tương ứng với các kết nối vào, không quan tâm đến loại máy
chủ truy cập mạng.
Windows Server 2003 sử dụng chính sách Connections to other access servers
chỉ khi một trong những điều kiện sau được thỏa mãn: Chính sách
Connections to Microsoft Routing and Remote Access server không có sẵn.
Các chính sách cũ hơn đã được thay đổi.
.2 Để cấu hình một chính sách mới, bạn thực hiện theo các bước sau:
1. Kích Start, vào Programs, Administrative Tools, sau đó là Routing and
Remote Access.
2. Mở Server_Name, sau đó kích Remote Access Policies.
Lưu ý, nếu bạn không cấu hình truy cập từ xa, hãy kích Configure and
Enable Routing and Remote Access trên menu Action, và sau đó thực hiện
theo các bước trong Routing and Remote Access Server Setup Wizard.
1. Tạo một chính sách mới
Các bước ví dụ dưới đây sẽ mô tả cho các bạn cách tạo một chính sách
mới cho phép hoàn toàn quyền truy cập từ xa đối với một người dùng cụ
thể trong những ngày nào đó. Chính sách này cũng khóa hoàn toàn sự truy
cập trong những ngày khác.
* Kích chuột phải vào Remote Access Policies, sau đó kích New Remote
Access Policy.
* Trong New Remote Access Policy Wizard, kích Next.
* Trong hộp Policy name, đánh Test Policy, sau đó kích Next.

* Trong trang Access Method, kích Dial-up, sau đó kích Next.
* Trong trang User or Group Access, kích User hoặc Group, sau đó kích
Next.
Lưu ý nếu bạn muốn cấu hình chính sách truy cập từ xa cho một nhóm,
thì kích Add, đánh tên của nhóm trong hộp Enter Object Names To
Select, sau đó kích OK.
* Trong trang Authentication Methods, bảo đảm rằng chỉ có hộp chọn
Microsoft Encrypted Authentication version 2 (MS-CHAPv2) được chọn,
sau đó kích Next.
* Trong trang Policy Encryption Level, kích Next.
* Kích Finish.
Một chính sách mới có tên là Test Policy xuất hiện trong Remote Access
Policies
* Trong cửa sổ bên phải, kích chuột phải vào Test Policy sau đó kích
Properties.
Nhóm SVTH: Nhóm 6 Trang 24
Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng
* Kích Edit Profile, chọn hộp thoại Allow access only on these days and at
these times, sau đó kích Edit.
* Kích Denied, Monday through Friday from 8:00 A.M. to 4:00 P.M >
Permitted > OK,
* Kích OK để đóng hộp thoại Edit Dial-in Profile.
* Kích OK để đóng hộp thoại Test Policy Properties.
Chính sách Test Policy đã có hiệu lực
* Lặp lại các bước để tạo một chính sách khác có tên là Test Block Policy.
* Trong cửa sổ bên phải, kích chuột phải vào Test Block Policy, sau đó
chọn Properties.
* Trong hộp thoại Test Block Policy Properties, kích Deny remote access
permission.
Lúc này chính sách Test Block Policy có hiệu lực

3. Thoát khỏi Routing and Remote Access.
Cách cấu hình thiết lập dial-in tài khoản người dùng
Để chỉ định các quyền truy cập từ xa được kiểm soát bởi chính sách truy
cập này, bạn thực hiện các bước như sau:
1. Kích Start, vào Programs > Administrative Tools, sau đó sử dụng
một trong các phương pháp dưới đây.
* Phương pháp 1: Với bộ điều khiển miền Active Directory
Nếu máy tính là một bộ điều khiển miền dịch vụ thư mục Active
Directory, bạn thực hiện các bước dưới đây:
a. Kích Active Directory Users and Computers.
b. Trong menu hình cây, mở Your_domain, sau đó kích Users.
* Phương pháp 2: Với máy chủ Windows Server 2003 độc lập
Nếu máy tính của bạn là một máy chủ Windows Server 2003 độc lập, bạn
thực hiện theo các bước dưới đây:
a. Kích Computer Management.
b. Trong cửa sổ menu hình cây, kích vào System Tools >
Local Users and Groups, sau đó là Users.
2. Kích chuột phải vào tài khoản người dùng, sau đó chọn Properties.
3. Trong tab Dial-in, kích Control access through Remote Access
Policy, sau đó kích OK.
Lưu ý, nếu Control access through Remote Access Policy không có sẵn,
thì Active Directory có thể đang hoạt động trong chế độ “Mixed”.
Xử lý sự cố
Nếu không sử dụng các nhóm để chỉ định quyền truy cập từ xa trong cấu
hình chính sách thì bạn hãy bảo đảm rằng tài khoản khách phải được vô
hiệu hóa. Cũng như vậy, bạn phải bảo đảm rằng đã thiết lập quyền truy cập
từ xa cho tài khoản khách là Deny access. Để thực hiện điều đó, hãy sử
dụng một trong các phương pháp dưới đây:
Phương pháp 1: Với bộ điều khiển miền Active Directory
Nhóm SVTH: Nhóm 6 Trang 25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×