Tải bản đầy đủ (.docx) (75 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Hệ thống thông tin

BÁO CÁO Tiểu luận môn an ninh mạng Hardening Windows Server 2003

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (557.3 KB, 75 trang )

BÁO CÁO
Hardening Windows Server 2003
Thành viên trong nhóm :
1. Nguyễn Thiện Hoàng 07520133
2. Trần Duy Khương 07520181
3. Thái Kim Triều 07520369
4. Trần Hồ Phương Nam 07520231
Giáo viên hướng đẫn: Tô Nguyễn Nhật Quang
TP.HCM 12/2014
Topic 3A
Windows 2003 Infrastructure Security
Server Roles
Sự khác biệt quan trọng giữa Windows Server 2000 với Windows Server 2003 là Server Roles.
Server Roles chủ yếu được cấu hình thiết lập cho một tác vụ cụ thể hay một nhóm các tác vụ.
Khi kích hoạt Server Roles cụ thể, bạn có thể cấu hình Windows cho tác vụ đó, và kết quả là bạn
đã tăng cường bảo mật vì chỉ dùng tài nguyên yêu cầu cho tác vụ đó.
Có 12 Server Roles khác nhau trong Windows Server 2003 RC1:
• Application Server (IIS, ASP.NET)
• DHCP Server
• DNS Server
• Domain Controller (Active Directory)
• File Server
• Mail Server (POP3, SMTP)
• Print Server
• Remote Access / VPN Server
• SharePoint Services Server
• Streaming Media Server
• Terminal Services Server
• WINS Server
Application Server (IIS, ASP.NET)
Application server cung cấp những dịch vụ ứng dụng quan trọng trong mạng ví dụ như database


(MySQL, SQL Server), Web, FPT server. Với application server, ta cấu hình chung cho các host
biết nơi thật sự lưu trữ file, @wthat is, database hay website, trên second hard drive.
DHCP Server
DHCP cung cấp một dịch vụ tuy đơn giản nhưng quan trọng để quản lý cấp phát địa chỉ IP trong
mạng. Trong Active Directory network, bạn phải chứng thực DHCP Server vào Active
Directory. Phải cẩn thận khi cấu hình DHCP Server để cho hệ thống không cấp phát IP cho các
client trái phép.
DNS Server
Khi Active Directory là xương xống của Windows 2003, Active Directory tin tưởng vào DNS,
DNS Server trở thành 1 phần quan trong trong tổng thể mạng.
Thường xuyên có những đợt tấn công và DNS, vì vậy, cấu hình riêng biệt cho Server rất quan
trọng. Phương thức tăng cường DNS sẽ được nói trong phần sau (phần WWW and Internet
Securiy Lession).
Domain Controller (Active Directory)
Từ phiên bản Windows 2000, thay đổi có ý nghĩa nhất là Active Directory và duy trì tiếp trong
Windows Server 2003. Active Directory là dịch vụ mà nội bộ mạng tin tưởng vào nó, và Domain
Controller thành 1 phần của cơ cấu điểu khiển Active Directory
File Server
File Server có vai trò minh bạch hơn so với các server khác. Tuy nhiên, do tính đơn giản, làm
việc quản trị không chặt chẽ, file ko an toàn. Trong server này, tính xác thực là then chốt trong
việc kiểm soát truy cập file và folder.
Mail Server (POP3, SMTP)
Mail Server nên chia thành 1 server riêng. Mail Server cũng giống như DNS là mục tiêu thường
xuyên của attacker. Vì thế nên tối thiểu vai trò và dịch vụ chạy trên máy này.
Print Server
Thường ko được chú ý, Print Server cũng khá quan trọng. Hồ sở cần được bảo mật nhất có thể
tới được mọi người trong công ty vì vẫn còn trong hàng đợi của Print Server khi ko được tăng
cường bảo mật.
Remote Access / VPN Server
Vai trò của Remote Access / VPN Server phải được dùng thật cẩn thận. Server này điểu khiển

client bằng truy cập trực tiếp vào mạng. Chứng thực ở đây là then chốt, bạn phải đảm bảo chỉ có
các client đã được chứng thực mới có khả năng kết nối vào mạng. Nếu bạn muốn dùng server
role này, phải tùy chỉnh chứng thực ở mức độ cao cho các client.
SharePoint Services Server
SharePoint là dịch vụ mới mà Microft đưa ra. SharePoint là dịch vụ hợp tác, để người sử dụng ở
nhiều vị trí khác nhau có thể truy cập và làm việc trên cùng dự án với nhau. Với từng vai trò của
từng người tại những vị trí khác nhau, việc chứng thực cũng rất quan trọng trong việc bảo mật
của server role này.
Streaming Media Server
The streaming media server cung cấp dịch vụ streaming dành cho audio và video cho các máy
client hay cho các nhân viên trong 1 tổ chức. Bạn có thể dùng streaming media server với nhiều
mục đích, ví dụ 1 trường hợp dịch vụ remote-access, việc chứng thực ở phía clients là chủ yếu.
Nếu bạn dự tính dùng dịch vụ đa phương tiện của Microsoft qua tường lửa, bạn phải cấu hình với
port khác (mặc dù dịch vụ này có thể cấu hình với port 80).
Để unicast streaming qua Microsoft's Multimedia Messaging Services mms, bạn cần dùng những
port mặc định sau:
• TCP - 1755 (Inbound và Outbound)
• UDP - 1755 (Inbound và Outbound)
• UDP - 1024-5000 (Outbound). Server và remote client sẽ đàm phán port sẽ được dùng
trong suốt phiên hoạt động.
Terminal Services Server
Các dịch vụ đầu cuối cung cấp thách thức duy nhất để bảo mật thật chuyên nghiệp. Những dịch
vụ này cho phép khách hàng từ xa kết nối vào server và ko chỉ truy cập file mà còn thực thi lệnh
và truy cập vào tài nguyên mạng. Khi các chức năng này được hoạt động, ví dụ như trường hợp
điều khiển truy cập từ xa với server khác, việc kiểm soát xem ai có quyền truy cập vào máy này
là tuyệt đối quan trọng. Một trạm server bị hỏng sẽ ngay lập tức gây hại cho tổ chức.
WINS Server
Windows Internet Name Service (WINS) khi Service này được triển khai trong mạng Local Area
Network nó sẽ phục vụ các Computer trong Network giải quyết để tìm NetBIOS names lẫn
nhau, và một Computer A trong Network này có thể thông qua WINS server để giải quyết được

NetBIOS name của Computer B ở một Network khác (tất nhiên hệ thống WINS thông thường
chỉ được dùng để giải quyết tên Netbios names trong Nội bộ Network của Tổ chức, tránh nhầm
lẫn với cách giải quyết hostname của DNS server- có khả năng giải quyết tên dạng FQDN của
Internet hoặc Internal Network Domain.)
Các Computer trong Internal Network sẽ được cấu hình với vai trò WINS Clients, sẽ đăng kí tên
của mình (Netbios hay là tên Computer names) với WINS server. WINS clients cũng có thể gửi
các yêu cầu truy vấn tên đến WINS server để giải quyết Name thành IP addresses. Nếu trong Nội
bộ Network không có WINS Server, thì Windows clients sẽ gửi các message dạng Broadcast để
tìm Netbios name của Computer muốn giao tiếp.
Tuy nhiên, nếu các Computer này nằm tại một Network khác (với Network ID khác) thí các
Broadcast này sẽ bị ngăn chặn (chức năng ngăn chặn broadcast là mặc định trên các Router).
Lúc này, chúng ta có thể bố trí các máy WINS Server ở các Network khác nhau, sau đó mô tả
chúng là các Replication Partners của nhau.
Từ lập trường về bảo mật, WINS đã ko còn được dùng. Khi Active Directory được thiết kế để
hoạt động với DNS và dynamic DNS (DDNS) tiện lợi hơn khi dùng, WINS đã bị giảm thiểu.
Tuy nhiên, nếu môi trường cần WINS, bạn vẫn có thể dùng server role này. Khi dùng WINS, bạn
nên cấu hình mạng để giảm tối đa NetBIOS broadcast và giới hạn trao đổi giữa các client này.
Windows 2003 Infrastructure Security
Trong nhiều năm, Windows NT 4.0 đáp ứng thị trường rất tốt. Nó cung cấp 1 nền tảng rộng cho
công việc kinh doanh và được phổ biến rộng rãi. Tuy nhiên, đó chỉ là khởi đầu cho thời đại công
nghệ, và Microsoft cần phải đổi mới Windows Server. Nhưng Windows Server 2003 có gì mới
để chuyển sang sử dụng?
Với 1 cách tiếp cận hoàn toàn khác để quản lý mạng, Windows Server 2003 có nhiều thành phần
mới để người quản trị tiện lợi hơn khi dùng. Trong chủ đề này, ta sẽ khảo sát những thành phần
mới và tìm hiểu làm thế nào mà Windows Server 2003 tăng cường bảo mật và các nguồn tài
nguyên trong mạng.
Trong Windows 2003, nếu bạn đặt nhiều máy tính trong cùng 1 nhóm logic, và chia sẻ nguồn tài
nguyên với nhau, bạn phải tạo workgroup. Workgroup thường liên quan đến mạng chia sẻ ngang
hàng vì mọi máy đều giống nhau. Trong 1 workgroup có thể có 1 server; nói đơn giản thì đó là
stand-alone server. Trong trường hợp này, ko có cơ chế kiểm soát bảo mật mạng, và từng máy sử

dụng cơ sở dữ liệu bảo mật cục bộ riêng để kiểm soát truy cập tài nguyên.
Trong Windows 2003, cơ sở dữ liệu cục bộ là danh sách tài khoản người dùng và dữ liệu, vị trí
để truy cập tài nguyên trên từng máy cục bộ. Vì thế, nếu chia sẻ cho 20 người dùng Windows
2003, phải có 20 cơ sở dữ liệu cục bộ tương ứng. Công việc này ko hiệu quả cho người quản trị
để quản lý tài nguyên và bảo mật.
Cải tiến lớn trong thiết kế mạng với Windows 2003 là mô hình domain. Nhiều mô hình domain
của Windows NT giờ không còn sử dụng. Với thiết kế này, các máy tính được nhóm chung
nhưng kiểm soát khác nhau.
Trong Windows 2003 domain, ta phải nhóm computers và users cùng chia sẻ thư mục cơ sở dữ
liệu trung tâm. Thư mục cơ sở dữ liệu này chứa đựng user account, thông tin bảo mật, thông tin
dịch vụ, và nhiều thứ khác cho toàn bộ domain. Để truy cập vào thư mục này phải dựa vào
LDAP. Thư mục cơ sở dữ liệu này và phương thức để truy cập vào nó được gọi là Active
Directory (AD) và cũng được gọi là dịch vụ chỉ mục Windows 2003 (NTDS).
Giao thức LDAP (Lightweight Directory Access Protocol)
LDAP là một chuẩn giao thức truy cập thư mục đơn giản, hay là một ngôn ngữ để client và
severs sử dụng để giao tiếp với nhau.
LDAP là một giao thức “lightweight ” có nghĩa là đây là một giao thức có tính hiệu quả, đơn
giản và dễ dàng để cài đặt. trong khi chúng sử dụng các hàm ở mức cao. Điều này trái ngược với
giao thức “heavyweight” như là giao thức truy cập thư mục X.500 (DAP) sử dụng các phương
thức mã hoá quá phức tạp. LDAP sử dụng các tập các phương thức đơn giản và là một giao thức
thuộc tầng ứng dụng.
Active Directory là một hệ thống chuẩn và tập trung, dùng để tự động hóa việc quản lý mạng dữ
liệu người dùng, bảo mật và các nguồn tài nguyên được phân phối, cho phép tương tác với các
thư mục khác. Thêm vào đó, Active Directory được thiết kế đặc biệt cho các môi trường kết nối
mạng được phân bổ theo một kiểu nào đó.
Mô hình domain của Windows 2003 được quản trị bởi AD, nó thay thế cho tất cả mô hình
domain của Windows NT 4.0. Trong AD, không có máy tính nào được thiết kế là Primary hay
Backup Domain Controller. Thay vào đó, từng máy server mà tham gia vào việc quản lý domain
được gọi là Domain Controller và nó chứa bản sao chép tổng thể của thư mục cơ sở dữ liệu.
(Domain Controller phải chạy Windows Server 2003.)

Windows 2003 domain ko bị ràng buộc bởi vị trí hay cấu hình mạng. Các máy tính với cùng
domain có thể gần nhau như trong mạng LAN (kết nối theo Ethernet truyền thống) hay xa nhau
hơn theo mạng WAN (kết nối theo T1, E1, hay một vài công nghệ WAN khác).
Active Directory là 1 danh sách thông tin cơ sở dữ liệu cho từng đối tượng có trong domain.
Những thông tin này cho biết những đối tượng này sẽ tương tác với những đối tượng khác ra sao.
Khi dùng Active Directory trong Windows 2003, trong danh sách này có thể bao gồm thông tin
về user accounts, groups, computers, servers, printers, chính sách bảo mật (security policies), và
nhiều thông tin khác. Active Directory khởi đầu với 1 số ít các đối tượng và có thể phát triển đến
hàng hàng triệu đối tượng trong danh sách.
Một thành phần quan trọng của Windows 2003 là DNS. Lý do DNS quan trọng là tùy vào AD.
Active Directory tin tưởng vào DNS cung cấp naming information được yêu cầu tới vị trí tài
nguyên trong mạng.
Ngoài những thông tin được đề cập ở bài trước, AD nắm giữ những thông tin về access control.
Khi người dùng đăng nhập vào mạng, người đó phải được chứng thực bằng những thông tin có
trong Active Directory. Khi một người dùng cố gắng truy cập vào đối tượng, thông tin yêu cầu
để chứng thực truy cập được lưu trữ trong Active Directory và đươc gọi là Discretionary Access
Control List (DACL).
Các đối tượng trong Active Directory có thể được sắp đặt thành các class. Class đại diện cho 1
nhóm các đối tượng logic đã được người quản trị suy xét. Lớp đối tượng đó bao gồm user
acounts, computers, domains, groups, và Organizational Units (OUs). Bạn cũng có khả năng tạo
container chứa các đối tượng khác. 1 container là 1 đối tượng mà có thể chứa computers, users,
hay các đối tượng khác.
Active Directory Components
Trong Windows 2003 có một vài thành phần then chốt hoàn thành nên Active Directory. Các
thành phần mang tính logic và không có ranh giới là domains, forests, trees, và OUs. Các thành
phần của AD mang tính vật lý là domain controller và sites. Các chức năng của AD phân biệt cấu
trúc vật lý từ cấu trúc mạng logic.
Active Directory Logical Structure
Một lợi ích của Active Directory là khả năng xây dựng mạng logic phản chiếu từ cấu trúc logic
của tổ chức đó. Cấu trúc logic này trực quan với người sử dụng, và người đó có thể tìm và xác

định các tài nguyên bằng tên logic mà ko cần kiến thức xắp đặt vật lý trong mạng.
Thành phần chính đằng sau cấu trúc của Active Directory là domain. Một Windows 2003 AD
domain bao gồm ít nhất 1 domain và không giới hạn. Microsof đã đặt các đối tượng lưu trữ trong
domain rất thú vị. Những đối tượng này được định nghĩa giống với các đối tượng mà người dùng
cần khi làm công việc của họ. Ví dụ về những đối tượng này là printers, databases, mail
addresses, other users v.v Từng domain giữ những thông tin về tất cả đối tượng trong domain
và chỉ những đối tượng thuộc về domain đó. Những domain cho phép nối 1 hay nhiều vị trí vật
lý với nhau.
Hình 3-1: Ví dụ về mô hình logic mạng của Windows 2003 Active Diretory
Domain được dùng như 1 ranh giới để kiểm soát bảo mật tại nơi đó. Access Control List (ACL)
được dùng để điều chỉnh truy cập xác định đến các đối tượng domain, như là shared folder, để
quy định người sử dụng. ACL chứa đựng quyền cho phép hay chặn truy cập 1 đối tượng nào đó,
ví dụ như người dùng hay nhóm, hoặc 1 đối tượng khác ví dụ như file, folder, hay printer.
Trong domain có OUs. OU là nơi chứa mang tính logic được dùng để phản chiếu thêm cho cấu
trúc logic của tổ chức. OU có thể chứa uers, groups, shared folder và printer, và các OU khác
trong cùng domain. Mọi domain trong mạng cần phải có một cấu hình OU duy nhất, không phụ
thuộc vào domain khác.
Các chính sách bảo mật và các chính sách liên quan đến cách hành xử của computer và user
(Group Policies) có thể được chỉ định cho một stand-alone computer, a site, a domain, hay an
OU thích hợp. Có thể chỉ định cách chính sách cho từng OU mà bạn ko cần phải làm. Nếu muốn
dùng 1 chính sách dùng cho tất cả OUs trong mạng, bạn có thể chỉ định chính sách đó cho parent
OUs hay cho domain, vì cách hành xử mặc định cho phép các đối tượng con kế thừa cách chính
sách từ các đối tượng cha ở trong Active Directory. Một mục quan trọng khác cần chú ý là chính
những Group Policy là đối tượng trong AD; ngoài ra, các quyền thi hành có thể được cấp cho

 

GP. Để chính sách có hiệu lực với 1 đối tượng, đối tượng đó phải có quyền tối thiểu là Read và
quyền Apply Group Policy cho chính sách đó.
Một khái niệm mới trong Windows 2003 là forests và trees. Một tree là một cấu trúc logic, tạo

bởi nhóm thiết kế mạng, của 1 hay nhiều Windows 2000 domain chia sẻ cùng 1 namespace. Các
Domain được liến kết với nhau theo cấu trúc phân tầng và theo chuẩn đặt tên DNS. Trong hình
3-3, những domain con của SecuritySertified.Net dùng tên cha của nó trong cấu trúc tên.
Hình 3-3: Một domain tree của Windows 2003 dùng chuẩn đặt tên DNS
Trong cấu trúc Windows 2003 Active Directory, một forest là tập hợp của một hay nhiều domain
tree độc lập. Những tree độc lập này liên kết trust với nhau. Từng tree trong forest duy trì hệ
thống đặt tên DNS riêng, và không yêu cầu bất cứ namespace tương tự nào từ 1 tree khác. Từng
domain có chức năng riêng của nó, nhưng kết nối logic của forest cho phép truyền thông trên
toàn doanh nghiệp. Cơ cấu của Windows Server 2003 (.NET) phải thêm 1 bước nữa: thực hiện
tin cậy giữa 2 forest để tọa liên đoàn.



Việc thực hiện trust trong Windows 2003 Active Directory khá khác so với Windows NT 4.0.
Trong Windows 2003, tất cả trust giữa 2 domain mặc định có 2 chiều transitive trust. Trust dựa
trên Kerberos version 5 là tự động tạo trust khi một domain mới được thêm vào tree. Domain
khởi nguồn của tree được gọi là root domain, và các domain sau đó ở trạng thái 2 chiều transitive
trust nối với tree. Đó là do trust nên các user và computers từ domain nào đó có thể được chứng
thực tại tại bất kỳ domain trong tree hay forest. (Việc chứng thực dựa vào việc thiết lập quyền
riêng).
Note: một transitive trust nghĩa là nếu domain C trust domain B và domain B trust domain A thì
domain C trust domain A.
Khi có một Windows domain cũ trong mạng, như là Windows NT 4.0 domains, một trust cụ thể
có thể được tạo. Trust này được gọi là trust 1 chiều rõ ràng, và nó là notransitive. Như thế, một
mạng dùng Windows 2003 chạy Active Directory có thể truyền thông với domain cũ như
Windows NT 4.0.
Một tùy chỉnh khác để tự tạo trusts là kết nối 2 Windows 2003 domains nằm ở phía dưới của
trees trong các forest khác nhau. Việc này có thẻ giúp tăng tốc độ truyền thông giữa 2 domain.
Cách này được gọi là shotcut trust.
Active Directory Physical Structure

Mặc dù việc thiết kế chính và thực hiện Active Directory ở khía cạnh logic, khia cạnh vật lý cũng
phải được giải quyết. Các thành phần chính của khía cạnh vật lý của Active Directory là các site,
sự liên kết giữa các site, và Domain Controllers.
Site được định nghĩa theo microsoft "là một kết hợp của một hay nhiều Internet Protocol (IP)
subnets được kết nối bởi các liên kết đáng tin cậy tốc độ cao tập trung lại nếu được". Fast link
thường được gọi khi kết nối ở tốc độ tối thiểu là 512 Kbps. Nói cách khác, site được thiết kế để
ánh xạ cấu trúc vật lý trong mạng của bạn và có thể hoặc không được tạo các IP subnet khác
nhau.
Cần nhớ rằng domain được thiết kế để phản ánh các nhu cầu hợp lý trong mạng và áp dụng mô
hình logic đó để thiết kế một mạng vật lý. Không có sự liên quan giữa site và domain. Có thể có
nhiều domain trong 1 site, và có thể có nhiều site cho 1 domain.
Một site cũng không phải là 1 phần của DNS namespace. Có nghĩa là khi duyệt đến thư mục nào
dó, ban sẽ thấy các tài khoản user và computer được quản lý bởi domain hoặc OU, nhưng ko
phải bởi site. Có duy nhất 1 thứ mà site chứa đựng là các đối tượng Computer và các đối tượng
liên quan đến kết nối và các mô phỏng từ site này đến site khác.
Các thành phần tô điểm cho Active Directory chính là Domain Controllers (DCs). Những máy
tính chạy DC này phải chạy trên Windows 2003 Servers, và chúng có một bản sao chính xác của
Domain Directory. Trong thực tế, khi thay đổi trong DC thì cũng có hiệu lực với Active
Directory, và tất cả các DCs khác sẽ nhận được bản thay đổi này. Vì một vài domain controller
có thể chứng thực một user, từng controller được yêu cầu phải có Directory này. Các chức năng
căn bản của Domain Controller là:
• Từng DC lưu trữ 1 bản copy về thông tin Active Directory liên quan đến domain đó (gọi
tắt là một AD partition).
• Từng DC sao chép các thay đổi tới tất cả các DC khác để đảm bảo nhất quán mô hình
mạng.
• Từng DC sao chép các thay đổi quan trọng tới tất cả các DC khác ngay lập tức.
• Từng DC có thể yêu cầu chứng thực đăng nhập.
Windows 2003 DNS
Để Active Directory hoạt động trong khả năng của nó, DNS phải được chạy trong mạng. Việc
triển khai DNS namespace sẽ là nền tảng của AD namespace khi tạo. Bằng cách làm theo những

thủ tục này, bạn có thể dễ dàng truyền thông IP, dùng tên liên quan tới từng mạng.
Một tính năng chính của Windows 2003 là Dynamic DNS (DDNS). DDNS cho phép các client
(các client nhận IP address tự động (theo máy chủ DHCP)) có tên và IP address đã được đăng ký
trong mạng. Với một DDNS server chạy trong mạng, các máy client tự động truyền thông với
server, xác nhận tên và địa chỉ, và cập nhật thông tin DNS mà không cần user can thiệp vào.
Một lợi ích khi dùng DDNS trong mạng là khả năng loại bỏ các protocol và các servervice khác
mà đang được chạy liên kết với các tài nguyên. Ví dụ, Windows Internet Name Server (WINS)
của Windows NT 4.0 ko còn cần thiết và NetBEUI cũng thế, nhưng cũng nên cần để cung cấp
thêm khả năng tương tích ngược.
Group Policy Components
Thành phần cuối trong cở cở hạ tầng của Windows 2003 là group policy. Một group policy là 1
nhóm các thiết lập của user và computer mà được áp dụng cho computers, domains, OUs, và
sites. Ví dụ, bạn có thể thiết lập một group policy để gỡ bỏ 1 các đối tượng trong Start menu.
Khi cấu hình thiết lập group policy, nó được đặt ở Group Policy Object (GPO). GPO chịu trách
nhiệm kiểm soát ứng dụng chính sách tới các đối tượng Active Directory, như là sites, OUs, và
domains. Khi GPO được cấu hình, nó áp dụng các chính sách tới các đối tượng AD đã được chỉ
định, và mặc định, các chính sách sẽ có hiệu lực tói tất cả các computer chứa trong đối tượng
AD.
Các chính sách ảnh hưởng đến tất cả computers có thể ko như mong muốn, vì thế cần phải lọc
các chính sách cần thiết đã được triển khai cho computers và users. Để lọc ta dùng Access
Control List (ACLs).
Một vài rule được áp dụng cho GPO:
• Một GPO có thể liên kết đến 1 hay nhiều domain.
• Một GPO có thể liên kết đến 1 hay nhiều OU.
• Một domain có thể liên kết đến một hay nhiều GPO.
• Một OU có thể liên kết đến một hay nhiều GPO.
Group Policy Implementation
Để bắt đầu cấu hình GPO, bạn phải open và dùng Group Policy Editor. Với hầu hết các tùy chỉnh
quản lý trong Windows 2003, nó có thể được mở bằng công cụ Microsoft Management Console
(MMC).

Trong Group Policy Editor, bạn đã được thấy 2 đối tượng cha để quản lý là User Configuration
và Computer Configuration. Bạn tạo GPO sau đó áp dụng các yêu cầu cần thiết.
• Computer Configuration node cung cấp tùy chỉnh để quản lý cách hành xử của operating
system, account policies, IP security policies, và còn nhiều thứ khác.
• User Configuration node cung cấp tùy chỉnh để quản lý cách hành xử duy nhất tới user
như là Desktop settings, Control Palnel settings, Start menu settings, và nhiều thứ khác.
TASK 3A-1
Configuring a Custom MMC and GPO
 Khởi động máy tính của bạn vào Windows 2003,và đăng nhập vào Administrator
 Từ Start Menu,chọn Run và vào gõ mmc để vào Microsoft Management Console.
 Chọn FileAdd/Remove Snap-In.
 Click vào Add button
 Trong bảng danh sách,chọn Group Policy Object Editor,và click vào Add.
 Lưu trữ GPO trong Local computer,and click Finish.
 Click Close,và click OK để đóng cửa sổ Add/Remove Snap-in.
 Chọn FileSave,và lưu console với tên Custom_GPO.
 Rời khỏi GPO và làm các công việc tiếp theo.
*Editing GPOs
Khi bạn tạo ra các GPO,bạn có thể chỉnh sửa vào thêm tùy biến chúng.Nhớ rằng chính các GPO
là đối tượng AD.!Do đó, bạn có thể tạo bản sao của GPO, không cần áp dụng chúng nhưng lưu
chúng vào một tập tin, và email cho quản trị viên khác trong công ty của bạn và anh ấy chỉnh sửa
chúng hơn nữa cho các nhiệm vụ chính. Trong nhiệm vụ sau đây, bạn sẽ chỉnh sửa các GPO để
kiểm soát thiết lập mật khẩu trong domain
TASK 3A-2
Editing a GPO
 Vào Local Computer Policy
 Nếu cần chỉnh sửa GPO,vào Computer Configuration
 Vào Windows Settings.
 Vào Security Settings.
 Mở Account Polocies, chọn Password Policy,và nhấp đôi vào Enforce Password

History option.
 Cho số để nhớ mật khẩu,nhập 5 và click OK
 Nhấp đôi vào Maximum Password Age option
 Trong Maximum age of password,nhập 30 days và click OK
 Observe the console. Local Setting bạn cần điều chỉnh là khác nhau đang có hiệu quả
(mặc định) thiết lập.
" Tuy nhiên nếu bạn đóng và mở lại các GPO, các cài đặt mới này sẽ trở thành các thiết lập
hiệu quả.
 Đóng Custom_GPO mà không cần lưu,và sau đó mở lại nó để xác minh rằng các thiết
lập phù hợp và hiệu quả.
 Rời khỏi GPO và làm các công việc tiếp theo.
TASK 3A-3
Implementing Multiple GPOs
Mục tiêu: Kiểm tra ảnh hưởng của GPO triển khai thực hiện ở các cấp độ khác nhau và để xác
định policy setting có hiệu quả.
 Bạn đã được chỉ định để xác định cài đặt trình duyệt IE cho người dùng trong doanh
nghiệp của bạn, và bạn quyết định thử nghiệm xác định với các GPO khác nhau. Nếu bạn
xác định các GPO sau, những gì kết quả cuối cùng sẽ được khi một người dùng trong OU
này đăng nhập vào và chạy trình duyệt IE?
● Ở cấp độ web,cấu hình nút công cụ policy là để được kích hoạt,và các nút hiển thị
trở lại và nút Home cho thấy tùy chọn được kiểm tra.
Ở cấp độ domain,cấu hình nút công cụ policy là để được kích hoạt, các nút hiển thị
trở lại không được đánh dấu và hiển thị nút Stop tùy chọn được kiểm tra.
● Ở cấp độ OU,cấu hình nút công cụ policy là để được kích hoạt, hiển thị nút và nút
tìm kiếm và hiển thị các tùy chọn lịch sử được kiểm tra.
Topic 3B
Windows 2003 Authentication
Mặc dù được cải tiến và nâng cấp nhiều thành phần, Windows 2003 vẫn bắt buộc người dùng
phải xác thực trước khi được phép truy cập tài nguyên trong mạng. Điểm khác biệt của Windows
2003 so với các bản trước đó, như là Windows NT, là các phương thức xác thực. Phiên bản này

có thể sử dụng bất kì một trong số các phương pháp xác thực thông dụng như Kerberos, NTLM,
NTLM2, LM, RADIUS, SSL, Smart Cards…
Windows 2003 sử dụng cơ chế SSPI (Security support provider interface - giao diện cung cấp và
hỗ trợ các chức năng bảo mật) để cho phép sử dụng các phương thức xác thực nói trên. SSPI
chịu trách nhiệm giao tiếp giữa ứng dụng người dùng, như là web browser, và các phương thức
xác thực, như là NTLM hay Kerberos. Điều này có nghĩa là nhà phát triển ứng dụng không cần
thiết phải tạo ứng dụng giao tiếp với từng cơ chế xác thực, mà chỉ cần tạo một ứng dụng nhất để
giao tiếp với SSPI.
Mặc dù SSPI đóng vai trò quan trọng trong quá trình xác thực người dùng, quản trị viên không
tốn nhiều thời gian để cấu hình nó, bởi vì không có nhiều tùy chọn cấu hình hay quản lí liên quan
tới SSPI. Nó chỉ đơn giản đứng trung gian và chuyển tiếp các yêu cầu xác thực tới các dịch vụ
cung cấp xác thực tương ứng trên hệ thống.
Thành phần xác thực liên quan nhiều nhất tới quản trị viên là kiến trúc bảo mật (security
architecture) của Windows 2003. Kiến trúc này bao gồm hệ điều hành (OS) và Active Directory
(AD). Ví dụ, thông tin tài khoản và các thiết lập chính sách được lưu trữ trong AD, trong khi OS
sẽ quản lí việc hiện thực các process security cũng như lưu trữ các thông tin về mức độ tin cậy
giữa các phần trong network.
Nếu bạn đã cài đặt một domain Windows 2003, và tất cả các máy đều dùng Windows 2003, thì
phương thức xác thực mặc định là Kerberos (tất nhiên là bạn có thể thay đổi tùy chọn này).
Nếu hệ thống của bạn thuộc dạng mixed-mode (các domain controller sử dụng cả Windows 2003
và Windows NT 4.0 BDCs), hệ thống sẽ có khả năng giao tiếp tối đa trong mạng, nhưng sẽ
không phải là môi trường an toàn cao nhất, vì phải cung cấp các tùy chọn chứng thực cho cả 2 hệ
điều hành.
Authentication Methods
Trong các hệ điều hành trước Windows NT 4.0 SP4, chỉ có 2 phương thức được hỗ trợ trong cơ
chế xác thực dạng challenge/response là LAN Manager (LM) và Windows NT LanMan
(NTLM). Windows 2003 đã mở rộng và thêm vào NTLMv2 để tăng tính bảo mật cho hệ thống.
LM Authentication
Để đảm bảo tương thích tối đa với các hệ thống cũ, một yêu cầu nhất thiết là khả năng giao tiếp
giữa hệ thống mới và cũ. Nếu hệ thống cũ sử dụng phương thức xác thực LAN Manager, nó có

thể tạo điểm yếu cho hệ thống.
Cơ chế chứng thực LM sử dụng password dựa trên tập các chữ cái tiêu chuẩn, tức là không có
các kí tự đặc biệt, do đó độ mạnh của password không cao. Hơn nữa, cơ chế này không phân biệt
chữ hoa/thường trong password. Nngười dùng có thể sử dụng chữ hoa hoặc thường, nhưng hệ
thống luôn chuyển đổi về chữ hoa trước khi xử lí, càng góp phần làm suy yếu cơ chế bảo vệ.
Trong hệ thống Windows, password không được lưu trữ dưới dạng plain text, mà dưới dạng mã
băm (hash, sử dụng các hàm mã hóa một chiều). Cơ chế băm của LM cũng không đủ mạnh.
Chiều dài tối đa của password trong LM là 14 kí tự.
Hệ thống sẽ chuyển tất cả thành chữ hoa, sau đó tách thành 2 dãy, mỗi dãy 7 kí tự, mỗi kí tự
chiếm 1 byte. Mỗi dãy sẽ được sử dụng làm khóa để mã hóa một hằng số 64 bit theo thuật toán
DES, sau đó đặt 2 giá trị đã mã hóa kề nhau để tạo nên mã băm. Hình 3-5 thể hiện quá trình này.
Hình 3-5
Khi mã băm đã được tạo, bạn có thể nghĩ nó đủ an toàn, dựa trên độ dài của nó. Nhưng thực tế
cơ chế này có nhiều điểm yếu. Thứ nhất là tập kí tự. Vì chỉ sử dụng các kí tự cơ bản gồm 26 chữ
cái nên sẽ chỉ có 26
14
khả năng của chuỗi password, tức cỡ khoảng 10
19
. Việc phá vỡ password
này tương đương với bẻ khóa chuỗi 65 bits.
#$!%&'!!!!!!!!
((%))%*'!*)(!
!%&
+,**-*.
+/,01 232
"45!%!"
6!6)!,**
6!6)
6506!%!0 5705 6
Tuy vậy, vấn đề thứ hai, về quá trình chia tách password thành 2 nửa, nhanh chóng bị phát hiện.

Trong ví dụ trước, password được chia thành 2 chuỗi là MYPASSW và ORDISLO. Hai nửa này
có thể bị tấn công cùng lúc. Do đó số khả năng có thể của password thực tế chỉ có 26
7
+ 26
7
, tức
khoảng 10
10
. Như vậy việc crack sẽ tương ứng với crack chuỗi 32bits.
Thông thường nửa sau của password sẽ bị tấn công trước, vì người dùng ít khi đặt password dài
đủ 14 kí tự, do đó sẽ dễ tấn công phần này hơn. Sau đó, có thể dùng nửa thứ 2 này làm gợi ý để
đoán ra nửa đầu của password.
NTLM Authentication
Việc phát triển Windows NT đã tạo cơ hội cho MS tăng cường bảo mật cho cơ chế LM, và kết
quả là phương thức xác thực NTLM.
Điểm nâng cao chính trong cơ chế này đó là khả năng sử dụng password hỗ trợ toàn bộ tập kí tự
Unicode, đồng thời cũng phân biệt chữ hoa/thường. Hệ thống sẽ ghi nhận password là chuỗi 14
kí tự Unicode, mỗi kí tự chiếm 16bit.
Sau đó 14 kí tự này sẽ được chuyển thành mã băm 128 bit bằng thuật toán MD4 ( phát triển bởi
Ron Rivest). Hình 3-6 thể hiện quá trình này.
Hình 3-6
Mặc dù có khả năng chống đỡ tấn công nhiều hơn nhờ tập kí tự mở rộng, vẫn có một vấn đề
trong quá trình hiện thực NTLM. Đó là yêu cầu tương thích với các hệ thống cũ. Do đó Windows
cũng cung cấp một cơ chế tương ứng với LM hash, cho phép giao tiếp với các hệ thống trước đó.
8",8*1"
(!!)**-
+!9*&
: " :::;
Do Windows lưu trữ các giá trị NTLM và LM cho mỗi user, kẻ tấn công có thể tìm cách khai
thác giá trị LM hash trước. Sau khi đã giải mã được giá trị này, hắn có thể sử dụng một cơ chế

brute-force đơn giản để tìm ra chuỗi NTLM, vốn tương tự như LM, nhưng phân biệt chữ
hoa/thường. Windows lưu trữ các giá trị NTLM và LM trong Registry trong SAM.
NTLMv2
NTLMv2 được giới thiệu để tiếp tục quá trình nâng cao tính bảo mật của hệ thống. Cơ chế này
cho phép kiểm soát các giao tiếp sử dụng LM giữa client và server. Hơn nữa, NTLMv2 sử dụng
MD5 để tạo mã băm. Phiên bản NTLMv2 128 bit còn cung cấp cơ chế đảm bảo toàn vẹn dữ liệu
và chứng thực theo phiên (session).
Việc kiểm soát các tính năng tương thích của LM là một bước nâng cao rõ rệt với độ an toàn của
hệ thống. Hình 3-7 thể hiện thiết lập tùy chọn cho quá trình xác thực.
SYSKEY
Windows lưu trữ cả mã băm của LM và NTLM trong Registry. Do đó, việc truy xuất registry cần
được kiểm soát. Tuy nhiên, SAM có thể được trích xuất ra khỏi máy tính bằng đĩa recovery, hoặc
có thể dump từ Registry, do vậy cần có các cơ chế bảo vệ tốt hơn.
MS đã giới thiệu một cơ chế mới để đảm bảo an toàn cho SAM, gọi là System Key, hay gọi tắt là
SYSKEY. Cơ chế này sử dụng một key 128 bit để mã hóa SAM database, góp phần ngăn cản
quá trình trích xuất các mã băm ra khỏi máy. SYSKEY có sẵn mặc định trong Windows 2003,
Windows NT cần phải cài đặt thêm để có thể sử dụng chức năng này.
Một câu hỏi thường được đặt ra là: “Giá trị SYSKEY nên lưu trữ ở đâu, và phải làm gì với
chúng”. Các khóa này phải sẵn sàng để sử dụng đồng thời phải được bảo vệ đúng đắn. Có 3 tùy
chọn để quản lí chúng trong hệ thống:
• Cho phép máy tính tự phát sinh một khóa ngẫu nhiên để sử dụng làm SystemKey và lưu
trữ nó đâu đó trong Registry. Sau đó khóa này sẽ được sử dụng khi hệ thống khởi động
lại, và người dùng không cần nhập thêm giá trị khác.
• Cho phép máy tính tự phát sinh khóa và lưu trữ vào đĩa mềm. Sau đó, mỗi lần khởi động,
hệ thống sẽ yêu cầu đĩa mềm đó.
• Tạo một password và ghi nhớ. Mỗi lần hệ thống khởi động sẽ yêu cầu người dùng nhập
lại password này.
The Challenge and Response
Tất cả các phương thức xác thực đã đề cập như LM, NTLM, và NTLMv2, đều sử dụng một cơ
chế gọi là Challenge/Response. Một cách tồng quát, có thể mô tả các bước trong cơ chế này như

sau:
1. Client khởi đầu quá trình xác thực bằng cách vào logon screen và yêu cầu hệ thống cho
phép đăng nhập.
2. Server gửi một chuỗi kí tự ngẫu nhiên đến client. Chuỗi này gọi là chuỗi thách thức
(challenge).
3. . Client sẽ nhập username và password tương ứng. Sau đó hệ thống sẽ sử dụng mã băm
của password này làm khóa để mã hóa chuỗi thách thức ở trên. Giá trị này gọi là chuỗi trả
lời (response) và được gửi về server.
4. Server cũng tính toán giá trị mã hóa của chuỗi thách thức bằng cách sử dụng khóa là mã
băm của password của người dùng tương ứng đã được lưu trong database. Nếu giá trị tính
được bởi server trùng khớp với chuỗi trả lời của client gửi lên thì có nghĩa là client đã
nhập đúng password. Khi đó client được xác thực và đăng nhập vào hệ thống.
Windows 2003 Local Logon Process
Có 2 phương pháp để đăng nhập vào hệ thống Windows 2003 Server hoặc máy cục bộ. Hai
phương thức xác thực được sử dụng là Kerberos và NTLM, trong đó Kerberos là phương thức
chính. Trong trường hợp Windows không tìm thấy KDC (Key Distribution Center, trung tâm
phân phối khóa), thì chuyển sang sử dụng NTLM để xác thực trên máy cục bộ, với các thông tin
được lưu trong SAM (Security Accounts Manager) database.
Quá trình đăng nhập vào hệ thống cục bộ sử dụng NTLM như sau:
1. Người dùng nhập username và password, các giá trị này được thu thập bởi GINA
(Graphical Identification and Authentication, công cụ xác thực và định danh dựa trên
giao diện đồ họa) của Windows.
2. GINA chuyển thông tin trên cho LSA (Local Security Authority, dịch vụ nắm quyền bảo
mật cục bộ) để xác thực. LSA sẽ tạo các thẻ bài truy cập (access token), cung cấp môi
trường tương tác cho quá trình xác thực, kiểm soát các chính sách bảo mật cục bộ, và gửi
yêu cầu xác thực đến NTLM hoặc Kerberos tùy theo yêu cầu.
3. LSA sẽ gửi thông tin đến SSPI (Security Support Provider Interface), SSPI sẽ gửi đến
NTLM driver (gọi là MSV1-0 SSP). Nếu không sử dụng NTLM mà dùng Kerberos thì
SSPI sẽ chuyển tiếp thông tin đến dịch vụ quản lí của Kerberos.
4. NTLM driver sử dụng dịch vụ Netlogon để đối chiều và xác thực người dùng dựa vào

SAM database.
Kerberos in Windows 2003
Nếu bạn có một hệ thống domain Windows 2003 đang vận hành bình thường thì có nghĩa là
Kerberos đã được tích hợp sẵn và được dùng làm cơ chế xác thực mặc định khi các máy khác
(cũng dùng Windows 2003) đăng nhập vào domain.
Kerberos là một chuẩn của IETF dùng cho quá trình xác thực, được phát triển bởi Viện công
nghệ Massachusetts (MIT) những năm 1980s. Nó đã được áp dụng như một phương thức xác
thực an toàn trước khi được sử dụng trong Windows 2003. Có một số điểm khác nhau giữa
phương thúc Kerberos trong Windows 2003 và trong chuẩn MIT. Tuy nhiên, các máy không
chạy Windows nhưng dùng Kerberos vẫn có thể phối hợp hoạt động được với dịch vụ Kerberos
trên Windows 2003.
Chi tiết cụ thể về Kerberos vượt quá tầm thảo luận của tài liệu này. Bạn nên nắm rõ một số đặc
điểm tổng quát của nó để áp dụng cho quá trình xác thực.
Khi một user bắt đầu quá trình đăng nhập bằng cách cung cấp đặc điểm chứng thực (credentials,
bao gồm username/password, hoặc smartcard, hoặc đặc điểm sinh học) của họ, Windows sẽ liên
lạc với bộ điều khiển Active Directory của domain và xác định vị trí của KDC (Kerberos Key
Distribution Center). KDC sẽ trả về một TGT (Ticket Granting Ticket) cho người dùng đã được
xác thực. TGT chứa các thông tin định danh của người dùng này và đuợc dùng để truy cập các
thành phần khác của network.
Sau khi người dùng đã được xác thực, TGT cũng được dùng để yêu cầu các ticket khác để truy
cập các dịch vụ tương ứng trên network. Máy tính có chức năng cung cấp các ticket cho hệ thống
được gọi là TGS (Ticket Granting Server).
Tóm lại:
• Một AS (authenticate server, máy chủ xác thực) được dùng để tiến hành các hoạt động
xác thực thực sự của người dùng phía sau Kerberos. Trong hệ thống Windows 2000 trước
đó, nó chỉ được cấu hình thành một dịch vụ gọi là Authenticate Services.
• TGS là nơi tạo và cấp phát các ticket cho người dùng để truy cập tài nguyên. Trên
Windows 2000, TGS được cấu hình như là một dịch vụ (Ticket Grant Service).
• Trong Windows 2000, KDC bao gồm cả 2 dịch vụ là Authentication Service và Ticket
Grant Service.

Một điểm tiện lợi cho người dùng sử dụng mạng có áp dụng phương thức Kerberos đó là Single
Sign On (SSO). Với SSO, người dùng không cần phải xác thực lại nhiều lần mỗi khi truy cập các
dịch vụ khác nhau trên network. Họ chỉ cần đăng nhập vào một domain, các domain khác cũng
sẽ chấp nhận xác thực được chuyển đi bởi domain đó. Một lợi điểm khác đó là Kerberos có các
cơ chế để kiểm chứng định danh của người dùng chứ không chỉ là xác thực người dùng (Xác
thực người dùng, hay authentication, nghĩa là kiểm tra người dùng đó là A hoặc có quyền của A,
tức là chỉ cần username và password của A là được xác thực. Còn kiểm chứng định danh, hay
identification, nghĩa là kiểm tra người dùng đó thực sự là A).
Smart Cart in Windows 2003
Bắt đầu từ Windows 2000, và nay là Windows 2003, MS đã tích hợp sẵn các cơ chế hỗ trợ
smartcard, cung cấp thêm một phương thức xác thực sử dụng thêm các thành phần phần cứng,
góp phần tăng độ an toàn của hệ thống.
Trong Windos 2003, các Smart Cards sử dụng Kerberos và mật mã khóa công khai (public key
cryptography). Mật mã khóa công khai, hay mật mã bất đối xứng, sử dụng một khóa để mã hóa
và một khóa khác để giải mã. Chúng được gọi là cặp khóa private/public. Người dùng sẽ giữ bí
mất khóa private của mình, và công khai khóa public cho người khác biết. Cả 2 khóa này đều
được lưu trữ trên smartcard.
TASK 3B-1
Configuring NTLMv2 Authentication
Cài Đặt: Đăng nhập vào Windows 2003 với Administrator và mở Custom_GPO
 Vào Windows settingSecurity Setting,mở Local Policies,và chọn Security Options
 Nhấp đôi vào Network Security LAN Manager Authentication Level.
 Từ Local Policy Setting kéo xuống,chọn Send NTLMv2 Response Only,và click OK
 Click Yes tại prompt nếu bạn muốn thay đổi
 Đóng Custom_GPO,lưu lại các thiết lập. Bạn có vấn đề chứng thực trong các nhiệm vụ
sau,bạn có thể quay lại các câu trả lời để thiết lập LM và NTLM.
Topic 3C
Windows 2003 Security Configuration Tools
Trong Windows 2000, bạn đã được cung cấp nhiều công cụ và tài liệu để cấu hình và quản lý các
tùy chỉnh bảo mật cho máy tính cá nhân và cho mạng của nó. Những công cụ này bao gồm

Securiy Template Snap-In, Security Configuration và Analysis Snap-In, và Secedit.exe.
Secedit.exe là công cụ command-line được dùng để phân tích bảo mật của nhiều công ty trong
một domain.
User and Group Security
Tiêu điểm của Windows 2003 cũng giống với các hệ điều hành trước đó chính là users. Nếu ko
có user truy cập vào mạng, thì ko cần phải có mạng. Việc tạo user account là việc mà người quản
trị Windows cần phải làm.
Có 2 loại user account cở bản cần được tạo trong Windows 2003: domain users và local user.
• Một domain user account có khả năng log on vào mạng và truy cập vào các nguồn tài
nguyên cho phép trong domain.
• Một local user account có khả năng log on vào một computer xác định và truy cập vào
các tài nguyên cho phép trên computer đó.
Các tài khoản tồn tại sẵn khi cài Windows 2003 server là tài khoản Guest và Administrator. Bảo
mật Guest account nên được làm ngay lúc đó. Các bước để bảo mật Guest account trong
Windows NT 4.0 và Windows 2000 cũng giống nhau.
Restricting Logon Hours
Khi bạn tạo một vài user account, bạn nên xem xét việc hạn chế thời gian mà user đăng nhập
thành công. Việc cấu hình này rất quan trọng để bảo mật user accounts. Nếu chỉ cung cấp truy
cập trong suốt thời gian làm việc, thì ko có lý do gì để cho phép một user account 24x7 giờ
quyền truy cập mạng.
Ko may, trong Windows 2003 Server, giới hạn thời gian đăng nhập chỉ làm được cho Domain
(AD) user; tuy nhiên, các thủ tục vẫn có thể thực hiện như sau:
 Mở MMC, và thêm Active Directory Users And Computers Snap-in
 Lựa chọn thư mục Users, và double-click một đối tượng User mà bạn muốn giới hạn.
 Trong cửa sổ Properties, chọn thẻ Account, và click Logon Hours.
 Xác định thời gian giới hạn cần thiết.
 Click OK để đóng cửa sổ Logon Hours.
 Click OK để đóng User Properties và áp dụng thiết lập.
Expiration Dates for User Accounts
Để thiết lập thêm giới hạn thời gian sử dụng của một user account, bạn có thể kiểm soát truy cập

tài nguyên mạng bằng cách xác định giới hạn cho tài khoản đó. Nói cách khác, bạn tạo một user
account có kỳ hạn sử dụng.
Trong Windows 2003 Server, hạn chế thời giản sử dụng chỉ có hiệu lực cho Domain (AD) users.
Sau đây là các bước để thiết lập:
 Mở MMC, thêm Active Direcotry Users And Computers Snap-in.
 Lựa chọn thư mục Users, và double-click một đối tượng User mà bạn muốn giới hạn.
 Trong cửa sổ Properties, chọn thẻ Account.
 Để chỉnh Account Expiré, chọn End Of, và nhập vào thời gian mà bạn muốn tài khoản đó
hết hiệu lực.
 Click OK để đóng User Properties và áp dụng thiết lập.
Configuring Windows 2003 Groups
Khi bắt đầu làm việc với Windows 2003, rất có thể bạn muốn triển khai và cấu hình đầy đủ cấu
trúc cho Active Directory, để có được những quyền lợi. Tuy nhiên, khi bạn cài đặt một server lần
đầu, nó ko có gì hơn là một stand-alone server không phải là một phần của domain, cũng ko
phải là domain controller.
Sau khi máy đó trở thành domain controller (bạn có thể nâng cấp lên domain bằng lệnh
DCPROMO), bạn sẽ thấy rằng, với quyền administrator, sẽ có một vài group để quản lý. Những
group này bao gồm Domain Administrator và Domain User.
Có 2 loại group cơ bản: Security group và Distribution group. Distribution group được dùng để
quản lý các danh sách, như là danh sách email, và ko được trình bày chi tiết trong khóa học này.
Chúng ta tập trung vào Security groups. Những group này có thể chứa đựng users và security
groups khác, vì thế khá là linh hoạt để quản lý mạng.
Trong Windows NT 4.0, có 2 group là global hoặc local. Windows 2003 mở rộng hơn, có các
loại group như sau:
• Computer Local Một nhóm các máy tính xác định chỉ được dùng để truy cập vào tài
nguyên trên các máy local. Nó ko được tạo trên một Domain Controller.
• Domain Local Một group mà có các thành viên từ domain nào đó trong mạng. Những
group này chỉ được tạo trong Domain Controller và có thể truy cập vào tài nguyên trong
domain đó.
• Global Một group được dùng để kết hợp các user có các yêu cầu truy cập vào tài

nguyên mạng giống nhau. Global groups có thể chứa các thành viên trong group của
domain và có thể truy cập vào tài nguyên ở domain đó cũng như các domain khác.
• Universal Được dùng trong môi trường multidomain, nơi mà các nhóm user từ các
domain khác nhau có chung tài nguyên sử dụng và có chung nhu cầu truy cập. Để triển
khai Universal group, hệ thống mạng phải chạy native mode, nghĩa là chỉ có Windows
2000/2003 Domain Controller được dùng. Chế độ này được dùng khi tất cả Windows NT
4.0 Domain Controller được nâng cấp thành Windows 2000/2003.
Cũng có thể kết hợp các group với nhau, như là xếp Global groups trong Universal groups nếu
như được yêu cầu trong tình hình lúc đó. Có thể có một tài nguyên mà bạn cố kiểm soát truy cập
vào và có một vài Global groups tồn tại và đã được cấu hình đúng cho các user. Trong trường
hợp đó, một Universal group sẽ hoạt động để kiểm soát truy cập mạng. Bạn có thể đặt Universal
groups trong Domain Local Groups và kiểm soát truy cập các tài nguyên bằng cách đặt quyền
cho Domain Local group.
Những group này được dùng khi kiểm soát truy cập tới các tài nguyên, cả 2 quyền allowing và
denying dựa vào nhu cầu bảo mật của bạn. Nếu bạn muốn bảo mật computer, user, và môi
trường mạng, bạn sẽ phải dùng đến group policies.
Locking Down the Adminnistrator Account
Administrator account có 4 điểm quan trọng, theo quan điểm an ninh:
• Tên của tài khoản tích hợp của người quản trị là Administrator.
• Tài khoản này có thể được bỏ trống password trong quá trình cài đặt.
• Tài khoản tích hợp của người quản trị là thành viên của Administrator group tích hợp.
• Tài khoản tích hợp này không bị khóa.
Bất cứ người nào quen thuộc với hệ điều hành đều biết những điểm này. Cho nên một
administrator trước tiên nên thay đổi tên của tài khoản quản trị tích hợp ko liên quan đến admin
kèm theo một mật khẩu mạnh.
Bạn cũng nên cấm tài khoản này đăng nhập vào máy tính này qua mạng. Nghe có vẻ khác
thường, thế nhưng bạn sẽ thấy rằng tài khoản này ko bị khóa, bất kể với một chính sách khóa tài
khoản mà bạn dùng; ví dụ, nếu bạn tạo một chính sách khóa tài khoản để khóa một user account
sau 3 lần đăng nhập thất bại, tất cả tài khoản khác với tài khoản tích hợp của người quản trị sẽ
tuân theo chính sách này.

Hiện nay, trong hầu hết các tổ chức, các máy tính quan trong như file, print, authentication, web,
mail, and ftp servers thường được đặt trong vùng bảo mật vật lý. Chỉ có nhà quản trị mạng mới
được phép vào vùng đó. Nếu bạn đảm bảo các bảo mật vật lý, thì chỉ có cách tấn công vào server
theo đường mạng. Tài khoản có chức vụ cao nhất trong server là Administrator account. Tấn
công vào Administrator account đã được bảo vệ bởi việc khóa chính sách. Ngoài ra, tài khoản
admin này ko nên đăng nhập theo đường mạng.
TASK 3C-1
Securing Administrator Account Acess
 Từ Start Menu,nhấp chuột phải vào Computer,and chọn Manage.
 Ở khung bên trái,mở Local Users And Group, và chọn thư mục Users.
 Ở khung bên phải,nhấp chuột phải vào administrator và chọn Rename.
 Với tên tài khoản mới, nhập scnpXXX,XXX là các số như 001.
 Từ Start Menu, chọn Log Off và click Log Off.
 Nhấn Ctrl+Alt+Del để đăng nhập.
 Gõ scnpXXX và click OK để đăng nhập.
 Nhấn Ctrl+Alt+Del và click Change Password.
 Old password để trống.Trong ô New password, gõ aA1234!
" Gõ aA1234! trong ô Confirm New Password, và click OK.
 Lúc này password đã được thay đổi.Click Cancel để đóng màn hình Ctrl+Alt+Del.
 Từ Start Menu,nhấp chuột phải vào My Computer, và chọn Manage.
 Vào System ToolsLocal Users and Group, và click Users.
 Nhấp chuột phải vào tài khoản scnpXXX và chọn Set Password.
 Gõ và xác nhập aA1234! và click OK.
 Ở khung bên phải, nhấp chuột phải vào bất kì chổ nào và chọn New User.
 Với tên tài khoản mới, gõ Administrator để tạo tài khoản mới.
 Gõ vào mật khẩu là bB5678! và xác nhận nó.
  Bỏ chọn vào User Must Change Password At Next Logon.
" Chọn User Cannot Change Password and Password Never Expires. Click Create, và
click Close để hoàn thành tạo tài khoản mới.
 Nhấp chuột phải vào tài khoản mới tạo và chọn Properties.

 Chọn Member of Tab.
 Chọn Users group và click Remove.
 Click Apply, và click OK.
 Ở khung bên phải, nhấp chuột phải vào bất cứ đâu và chọn New User.
 Với tên tài khoản mới, gõ scnpXXXb, với password là cC13579!.
 Bỏ chọn User Must Change Password At Next Logon.
 Click Create, và click Close.
  Nhấp chuột phải vào tài khoản mới tạo và chọn Properties.
" Chọn Member of Tab.
 Click vào nút Add, gõ Administrators ở trong bảng Object Name To Select và click
OK.
 Chọn User group và click Remove.
 Click Apply, và click OK.
 Mở Custom_GPO.
 Ở khung bên phải,nhấp đôi chuột vào Policy.Deny Access To This Computer From
The Network.
 Click Add, nhập scnpXXX; Administrator trong bảng Object Name To select, và click
OK.
 Click OK để add tài khoản.
 Nhấp đôi chuột vào Policy Deny Logon Locally.
  Click Add button, gõ Administrator trong bảng Object Name To select, và click OK.
" Click OK để tạo tài khoản.
 Đóng lại tất cả các cửa sổ rùi lưu lại các chỉnh sửa của bạn.
TASK 3C-2
Testing Administrative Access
Cài Đặt: Đăng nhập vào Windows 2003 với tên người dùng là Administrator.
 Thoát và cố gắng đăng nhập trên Administrator.Bạn sẽ thấy thông báo hệ thống không
thể đăng nhập vào.Click OK.
 Đăng nhập lại với tên tài khoản Administrator. Thời gian này bạn sẽ đăng nhập thành
công.

 Trên vùng khởi động,tạo 1 folder có tên Newtest và với folder,tạo một file text có tên
doc1.txt.
 Nhấp chuột phải vào new folder, và chọn Sharing.
 Chọn Share This Folder, và click vào nút Permissions.
 Chọn Everyone và click Remove.
 Click vào nút Add, và gõ scnpXXX; scnpXXXb trong bảng text và click OK.Rồi click
OK.
 Từ máy tính trong mạng Lan,mở Run dialog box (từ Start Menu,chọn Run).

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×