Tải bản đầy đủ (.pdf) (96 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

Khóa luận tốt nghiệp Tìm hiểu các tính năng và dịch vụ của windows server 2008

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.9 MB, 96 trang )

GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 1

LỜI CẢM ƠN



Để hoàn thành chương trình học của hệ Cao Đẳng và làm đề án tốt nghiệp này,
chúng em đã nhận được sự hướng dẫn, giúp đỡ và gớp ý kiến nhiệt tình của quý
thầy cô Trường Cao Đẳng Nguyễn Tất Thành và Trường Trung Cấp Kinh Tế- Kỹ
Thuật Tân Việt.
Trước hết, em xin chân thành cảm ơn đến quí thầy cô Trường Trung Cấp Kinh Tế-
Kỹ Thuật Tân Việt, đặc biệt là những thầy cô đã tận tình dạy bảo cho chúng em
suốt thời gian học tập tại trường.
Em xin gửi lời biết ơn sâu sắc đến Thạc Sỉ - Nguyễn Minh Thi. Thầy đã dành rất
nhiều thời gian và tâm huyết hướng dẫn nghiên cứu và giúp em hoàn hành đề án tốt
nghiệp.
Nhân đây, tôi xin chân thành cảm ơn Ban Giám hiệu Trường Trung Cấp Kinh Tế-
Kỹ Thuật Tân Việt cùng quí thầy cô trong Khoa Công Nghệ Thông Tin đã tạo rất
nhiều điều kiện để em học tập và hoàn thành tốt khóa học.
Đồng thời, em cũng xin cảm ơn quí anh, chị và ban lãnh đạo Công Ty Cổ Phần SX
– TM – DV Phúc Nguyên đã tạo điều kiện cho em khảo sát và thực tập qui trình làm
việc của hệ thống để viết báo cáo tốt nghiệp và hoàn thành được đề án. Mặc dù em
đã có nhiều cố gắng hoàn thiện đề án bằng tất cả sự nhiệt tình và năng lực của mình,
tuy nhiên không thể tránh khỏi những thiếu sót. Rất mong được sự đóng góp quí
báo của các thầy cô và các bạn.


TP.HCM, ngày tháng 3 năm 2010


Sinh viên thực hiện





Nguyễn Thênh Đặng Hữu Minh
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 2
ĐỀ CƯƠNG CHI TIẾT

Tên Đề Tài: Tìm hiểu các tính năng và dịch vụ của windows server 2008
Giáo viên hướng dẫn: Thạc Sỉ - Nguyễn Minh Thi
Thời gian thực hiện: Từ ngày 13/01/2010 đến ngày 13/03/2010
Sinh viên thực hiện: Nguyễn Thênh ,Đặng Hữu Minh
Loại Đề Tài: Tìm hiểu các tính năng và dịch vụ của sever 2008

Nội dung đề tài: Tìm hiểu và nghiên cứu .
Cài đặt và cấu hình các dich vụ trong windows như cung cấp địa chỉ ip
(DHCP, DNS… )
Tìm hiểu về mạng ảo sever.
Tìm hiểu về Active Directory Recycle Bin trong Windows Server 2008 R2.
Tìm hiểu về Audit Policy.
Hướng phát triển của windows server ngày càng bảo mật cao hơn để ngăn
hacker tấn công vào hệ thống mạng.
Kế hoạch thực hiện:
Từ 13/01 – 20/02 tìm hiểu về windows server 2008 với các dịch vu .
Từ 20/02 - 02/03 cài đặt windows sever 2008 và các dịch vu của mớ

i trong
windows server để triển khai hệ thống mạng.
Từ 02/03 – 12/03 Tiến hành viết báo cáo về đề án windows server 2008.
Ngày 13/03/2010 Nộp Đề Án.
Xác nhận của GVHD


Th.S Nguyễn Minh Thi

Ngày 13 tháng 03 năm 2010
Sinh viên thực hiện


Nguyễn Thênh Đặng Hữu Minh
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 3

Mục lục

Chương 1 Mở Đầu 4
Chương 2 TỔNG QUÁT VỀ WINDOWS SERVER 2008 5
1) Windows Sever 2008 là gì ? 5
Chương 3 TÌM HIỂU VÀ NGHIÊN CỨU 8
1) Hệ Thống Windows Server 2008 Là gì ? 8
2) . Audit Policy là gì 9
3) Kiểm soát thành viên nhóm Administrator nội bộ 14
4) Thiết lập lại mật khẩu Administrator nội bộ 16
5) .UAC ( User Account Control) 19

6) Chính sách mật khẩu 20
7) Active Directory Recycle Bin trong Windows Server 2008 R2 LÀ GÌ? 27
Chương 4 CÀI ĐẶT WINDOWS SERVER 2008 ENTERPISE 32
1) Yêu cầu hệ thống 32
2) Quá trình cài đặt: 32
3) Xem các đối tượng đã xóa 40
4) .Xem Deleted Objects bằng tiện ích ldp.exe 41
5) Cách cài đặt Windows Virtualization Role trên Windows 2008? 48
6) Connection Manager Administration Kit 51
7) Thiết lập tường lửa và các mặc định bảo mật kết nối IPsec 70
8) Group Policy trong Windows Server 2008 84
9) Network Policy Server trong Windows Server 2008 là gì? 91
Chương 5 ĐỊNH HƯỚNG PHÁT TRIỂN 94
Chương 6 TÀI LIỆU THAM KHẢO 95
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 4
Chương 1 Mở Đầu



Ngày nay, ngành công nghệ thông tin trên thế giới ngày càng phát triển mạnh
mẽ, và ngày càng ứng dụng vào nhiều lĩnh vực như : kinh tế, khoa học kĩ thuật,
quân sự, y tế, giáo dục… và nó đã đáp ứng ngày càng nhiều yêu cầu của các lĩnh
vực này, để phục vụ cho nhu cầu của con người.
Với khả năng ứng dụng rộng rải của ngành công nghệ thông tin, với chính sách
phát triển ngành công nghệ thông tin của nhà nước phù hợp và thiết thực. Cùng với
sự phát triển của đất nước, cuốn theo đó là sự hình thành của các doanh nghiệp, với
nhu cầu ngày càng mở rộng quy mô cơ sở. Trong quá trình quản lý nhân sự cũng

như bảo mật thông tin quan trọng là một đòi hỏi vô cùng bức thiết với các doanh
nghiệp đó. Sự phát tiển ngày càng cao của các hệ điều hành, cũng như các hổ trợ
của nó trong việc quản lý cũng ngày càng phát triển. Nổi bật của Windows Server
2008 .
Qua đề tài này, sẽ tìm hiểu đôi nét về các dịch vụ của nó, giúp cho người quản
trị cũng như người sử dụng dễ dàng hơn trong thao tác khi làm việc trên môi trường
củaWindowsServer2008










GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 5
Chương 2 TỔNG QUÁT VỀ WINDOWS SERVER 2008
1) Windows Sever 2008 là gì ?
27 tháng 2 năm 2008 Microsoft mới chính thức đưa ra bản Windows Server
2008, và bản SP1 cho Vista nhưng ngay từ lúc này những công nghệ của Windows
Server 2008 đã bắt đầu được cộng đồng IT nghiên cứu. Dưới đây là 10 lý do đầu
tiên để cài đặt Windows Server 2008.
Mạng ảo( Windows Server Virtualization.)
Windows Server 2008 sẽ bao gồm cả tính năng Windows Server Virtualization
(WSV), một công cụ đầy hứa hẹn, đáp ứng yêu cầu tận dụng hiệu năng xử lý của

thiết bị phần cứng, quản lý công nghệ ảo hoá dễ dàng, nhằm giảm thời gian và chi
phí cho các ứng dụng. Nâng cao khả năng đáp ứng của hệ thống. Đặc biệt với
những nhà nghiên cứu về công nghệ đây thực sự là một công cụ hữu dụng trong khi
nghiên cứu, thử nghiệm Datacenters.
Bảo mật và ứng dụng( A World-Class Web and Applications Platform.)
Windows Server 2008 đáp ứng yêu cầu bảo mật, dễ dàng trong quản lý, phát triển
và độ tin cậy lớn khi hosting các ứng dụng, dịch vụ trên nền Web. Các tính năng ao
gồm: Đơn giản trong quản lý, nâng cao bảo mật, hiệu năng xử lý và hỗ trợ Web với
Internet Information Service 7.0 (IIS7), ASP.NET, Windows Communication
Foundation và Microsoft Windows SharePoint Services.
Cải thiện hệ thống mạng( Improved Networking Performance).
Windows Server 2008 được giới thiệu sẽ mang lại cải tiến lớn nhất về mạng từ khi
ra đời Windows NT 4.0 cho đến nay. Các công nghệ như Receive Windows
Autotuning, Receive Side Scaling, và Quality of Service (QOS) cho phép tổ chức
khai thác hết các tính năng từ công nghệ mạng Gigabit Network. Kết hợp với IPSec
và tính năng Windows Firewall với Advanced Security đáp ứng yêu cầu bảo mật hệ
thống và quá trình truyền thông tin trên mạng.
Tăng cường bảo mật và tuân thủ (Enhanced Security and Compliance).
Windows Server 2008 được phát triển trong thời điểm yêu cầu bảo mật hệ thống là
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 6
vô cùng quan trọng. Luôn được bảo vệ, Windows Server 2008 chỉ cài đặt những
services nào cần thiết cho máy chủ đáp ứng yêu cầu nào đó nhằm nâng cao hiệu
năng và tính bảo mật. Ghi lại các quá trình xảy ra trong hệ thống (System Auditing)
và mã hoá ổ cứng, Right Management Service đáp ứng yêu cầu bảo mật ngày càng
cao, tính tiện lợi cho các doanh nghiệp sử dụng.
Bback up các dữ liệu( Take Back Control Over Your Branch Offices).
Việc quản lý các máy chủ, các dịch vụ, và bảo mật khi truy cập từ xa là yêu cầu của

các nhà quản trị chuyên nghiệp. Windows Server 2008 với những tính năng cao cấp
nhưng cũng cải thiện đáng kể việc quản trị, mang đến những công cụ đơn giản hiệu
quả trong quản lý, bảo dưỡng hệ thống. Cac dịch vụ như Active Directory, bao gồm
Read-Only Domain Controllers và Administrative role.
Quản lý (Server Management Made Easier).
Ngày qua ngày máy chủ của bạn dữ liệu ngày một nhiều hơn, các dịch vụ đôi khi
cũng không chạy trơn tru nữa và bạn là nhà quản trị phải điều khiển từ xa để giám
sát và giải quyết những sự cố liên quan.
Tăng cường công tác Scripting và Tự động hóa (Enhanced Scripting and Task
Automation.
Một trong những công nghệ mới được cộng đồng IT đánh giá cao đó là: Công
cụ quản trị dòng lệnh mới Windows PowerShell, hỗ trợ đầy đủ ngôn ngữ Scripting,
giúp các nhà quản trị thực hiện các công việc một cách tự động. Với trọng tâm là
ngôn ngữ scripting cho các nhà quản trị, với hơn 120 công cụ dòng lệnh, với các
cấu trúc rõ dàng cho các ứng dụng cụ thể, Windows PowerShell cho phép người
quản trị dễ dàng hơn trong việc quản lý, quản trị hệ thống và lên lịch cho những tác
vụ cần chạy tự động.
Tập trung ứng dụng truy cập (Centralized Application Access.)
Với Window Server 2008, người dung sẽ được bảo mật trong khi truy cập vào các
ứng dụng qua các port cơ bản trên firewall. Với Windows Server Terminal Service
RemoteApp, chỉ cho một vài ứng dụng trên Windows, không cho phép điều khiển
toàn bộ màn hình, và chạy các ứng dụng từ việc remote từ một máy client.
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 7
Bảo vệ tính không lành mạnh từ Bước vào mạng. (Protect Unhealthy
Computers from Entering the Network.)
Network Access Protection (NAP) được sử dụng dể đảm bảo mọi máy tính kết nối
vào hệ thống mạng của công ty đều phải chịu chính sách kiểm tra "healthy - sức

khoẻ", nhằm giới hạn các máy tính không đáp ứng yêu cầu bảo mật truy cập vào hệ
thống gây ảnh hưởng tới các máy tính khác. Khi một máy tính muốn truy cập vào
hệ thống trước tiên phải đảm bảo các yêu cầu về trạng thái hệ thống, điều này cũng
ngăn chặn việc Virus phát tán qua mạng Internal gây ảnh hưởng cho hệ thống mạng
Tốt hơn Cùng với Windows Vista (Better Together with Windows Vista.)
XP ra đời đồng nghĩa với dòng Server của nó là Windows Server 2003, Vista ra đời
sẽ được kết hợp với Windows Server 2008. Cả hai đều là một phần trong một dự án
của Microsoft, và chia sẻ nhau khá nhiều công nghệ: Bảo mật, lưu trữ, quản lý,
mạng… Và Microsoft sẽ kết hợp hai hệ điều hành này nhằm tạo ra một hệ thống an
toàn từ Client cho tới Server. Đây là giải pháp Client – Server của Microsoft.Ngày
nay khi công việc càng ngày càng nhiều khi mà con người không còn thời gian để
tập luyện thể thao thì các công ty tung ra các công cụ, máy móc giúp con người tiết
kiệm thời gian mà vẫn có thể có một cơ thể khỏe mạnh một đầu óc minh mẫn để
làm việc.
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 8

Chương 3 TÌM HIỂU VÀ NGHIÊN CỨU
1) Hệ Thống Windows Server 2008 Là gì ?
a) Giới thiệu về Windows Server 2008
Hệ điều hành Windows Server 2008 là sản phẩm kế thừa những điểm mạnh
của những phiên bản Windows Server trước đó. Ngoài ra hệ điều hành mới này
cũng bổ sung những tính năng mới và những điểm cải tiến vượt trội như công nghệ
ảo hóa, tăng cường tính năng bảo mật, công cụ hỗ trợ quản trị hệ thống…Giúp tiết
kiệm thời gian, giảm chi phí, góp phần củng cố hạ tầng công nghệ thông tin tại các
tổ chức và doanh nghiệp.
Các phiên bản của Windows Server 2008:
Windows Server 2008 gồm có 8 phiên bản:

Windows Server 2008 Standard là phiên bản bao gồm các tính năng sẵn có, bổ
sung những cải tiến về Web và khả năng ảo hóa. Phiên bản này mang nền tảng
Server mềm dẻo và tin cậy, giúp tết kiệm thời gian và giảm chi phí; những công cụ
quản lý mạnh mẽ giúp người quản trị dễ dàng thực hiện hầu hết các nhiệm vụ quản
trị. Đồng thời, phiên bản này cũng đảm bảo tốt nhiệm vụ bảo mật, bảo vệ hệ thống
mạng.
Windows Server 2008 Enterprise là nền tảng thích hợp với hệ thống mạng và
các ứng dụng ở qui mô xí nghiệp, đặt biệt là những đơn vị có hạ tầng công nghệ
thông tin yêu cầu cao về khả năng thay đổi và mở rộng.
Windows Server 2008 Datacenter là phiên bản phù hợp với qui mô xí nghiệp,
đặt biệt là yêu cầu về mở rộng của khả năng ảo hóa.
Windows Web Server 2008 là phiên bản được thiết kế để xây dựng nên các
Web Server. Tích hợp với Microsoft .NET Framework, phiên bản này cho phép bạn
chạy nhanh chóng triển khai các ứng dụng Web và Web Services.
Windows Server 2008 for Itanium-Based Systems phù hợp với những cơ sở dữ
liệu lớn, những ứng dụng yêu cầu tính sẵn sàng và những khả năng mở rộng cao với
số bộ vi sử lý có thể lên tới 64.
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 9

Windows Server 2008 Standard without Hyper-V là Windows Server 2008
Standard không bao gồm Windows Server Hyper-V.
Windows Server 2008 Enterpise là Windows Server 2008 Enterpise không bao
gồm Windows Server Hyper-V.
Windows Server 2008 Datacenter without Hyper-V là Windows Server
Datacenter không bao gồm Windows Server Hyper-V.
2) . Audit Policy là gì
Computer Configuration\Policies\Windows Settings\Security Settings\Local

Policies\Audit Policy. Khi mở rộng nút này, ta sẽ thấy một danh sách các hạng mục
thẩm định có thể cấu hình, như thể hiện trong hình 1 bên dưới.

Hình.1: Các mục chính sách thẩm định Audit Policy cho phép ta chỉ định vùng
bảo mật nào mình muốn ghi
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 10


Hình.2: Mỗi một chính sách thẩm định cần phải được định nghĩa trước, sau đó
kiểu thẩm định được cấu hình.
a) .Đây là một giới thiệu vắn tắt về mỗi hạng mục điều khiển những gì:
Audit account logon events(Kiểm toán tài khoản đăng nhập các sự kiện) –
Hạng mục này sẽ thẩm định mỗi khi người dùng đăng nhập hoặc đăng xuất từ một
máy tính được sử dụng để hợp lệ hóa tài khoản. Ví dụ dễ hiểu nhất cho tình huống
này là khi một người dùng đăng nhập vào máy tính chạy hệ điều hành Windows XP
Professional nhưng lại được thẩm định bởi domain controller. Do domain controller
sẽ hợp lệ hóa người dùng, khi đó sự kiện sẽ được tạo trên domain controller. Thiết
lập này không có trong bất cứ hệ điều hành nào, ngoại trừ Windows Server 2003
domain controller, thành phần được cấu hình để thẩm định sự thành công của các sự
kiện. Đây cũng chính là cách tốt nhất để tất cả các máy chủ và domain controller
thẩm định các sự kiện này. Tuy nhiên giải pháp này cũng xuất hiện trong nhiều môi
trường, nơi các máy khách cũng được cấu hình để thẩm định các sự kiện này.
Audit account management(quản lý tài khoản) – Hạng mục này sẽ thẩm định
mỗi sự kiện có liên quan đến người dùng đang quản lý tài khoản (user, group hoặc
computer) trong cơ sở dữ liệu của người dùng trên máy tính được cấu hình thẩm
định. Những ví dụ cho các sự kiện này:
Tạo một tài khoản người dùng

GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 11

Bổ sung thêm một người dùng vào nhóm
Đặt lại tên một tài khoản người dùng
Thay đổi mật khẩu của tài khoản người dùng
Đối với domain controller, hạng mục này sẽ thẩm định những thay đổi đối với
tài khoản miền. Đối với máy chủ và máy khách, hạng mục sẽ thẩm định Security
Accounts Manager nội bộ và các tài khoản cư trú ở đó. Thiết lập này không được
kích hoạt cho bất cứ hệ điều hành nào ngoại trừ Windows Server 2003 domain
controller, được cấu hình để thẩm định thành công các sự kiện này.
Audit directory service access(dịch vụ truy cập vào thư mục) – Hạng mục này
sẽ thẩm định sự kiện có liên quan đến việc truy cập của người dùng vào đối tượng
Active Directory (AD), AD này đã được cấu hình để kiểm tra sự truy cập của người
dùng thông qua System Access Control List (SACL) của đối tượng. SACL của đối
tượng AD sẽ chỉ rõ ba vấn đề sau:
Tài khoản (của người dùng hoặc nhóm) sẽ được kiểm tra
Kiểu truy cập sẽ được kiểm tra, chẳng hạn như đọc, tạo, thay đổi,…
Sự truy cập thành công hay thất bại đối với đối tượng
Do mỗi một đối tượng đều có SACL riêng nên mức điều khiển sẽ rất chính
xác. Thiết lập này không được kích hoạt cho bất cứ hệ điều hành nào ngoại trừ
Windows Server 2003 domain controller, được cấu hình để thẩm định thành công
các sự kiện này. Đây cũng là cách tốt nhất để cho phép thẩm định thành công hay
thất bại đối với việc truy cập dịch vụ thư mục cho tất cả domain controller.
Audit logon events(Kiểm toán sự kiện đăng nhập) – Hạng mục này sẽ thẩm
định mỗi sự kiện có liên quan đến người dùng đang đăng nhập, đăng xuất hay đang
tạo một kết nối mạng đến một máy tính được cấu hình để thẩm định các sự kiện
đăng nhập. Một ví dụ điển hình về trường hợp sử dụng hạng mục này là thời điểm

các sự kiện được ghi là thời điểm người dùng đăng nhập vào máy trạm của họ bằng
tài khoản người dùng trong miền. controller, được cấu hình để thẩm định sự truy
cập thành công của các sự kiện này.
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 12

Audit object access (Kiểm toán, đối tượng truy cập)– Hạng mục này sẽ thẩm định
sự kiện khi người dùng truy cập một đối tượng nào đó. Các đối tượng ở đây có thể
là các file, thư mục, máy in, Registry key hay các đối tượng Active Directory.
Trong thực tế, bất cứ đối tượng nào có SACL sẽ đều được nhóm vào nhóm thẩm
định. Giống như việc thẩm định truy cập thư mục, mỗi một đối tượng đều có SACL
riêng, cho phép thẩm định mục tiêu các đối tượng riêng biệt. Tuy nhiên không có
đối tượng nào được cấu hình để thẩm định mặc định, điều đó có nghĩa rằng việc
kích hoạt thiết lập này sẽ không tạo ra bất kỳ thông tin được ghi nào. Khi thiết lập
được thiết lập và một SACL cho đối tượng được cấu hình, các entry sẽ hiển thị theo
những cố gắng truy cập đăng nhập đối tượng. Thông thường chúng ta không cần
cấu hình mức thẩm định này, nó chỉ cần thiết khi có nhu kiểm tra sự truy cập tài
nguyên nào đó.
Audit policy change (Kiểm soát chính sách thay đổi)– Hạng mục này sẽ thẩm định
mỗi sự kiện có liên quan đến thay đổi của một trong ba lĩnh vực “policy” trên máy
tính. Các lĩnh vực “policy” này gồm:
User Rights Assignment - Chỉ định quyền người dùng
Audit Policies – Các chính sách thẩm định
Trust relationships – Các mối quan hệ tin cậy
Thiết lập này không có trong bất cứ hệ điều hành nào ngoại trừ Windows Server
2003 domain controller, được cấu hình để thẩm định sự truy cập các sự kiện này.
Thứ tốt nhất để thực hiện là cấu hình mức thẩm định cho tất cả các máy tính trong
mạng.

Audit privilege use (Kiểm soát đặc quyền sử dụng)– Hạng mục này sẽ thẩm định sự
kiện có liên quan đến việc thực hiện một nhiệm vụ nào đó được điều khiển bởi một
người dùng có thẩm quyền. Danh sách các quyền người dùng khá rộng, ta có thể
quan sát trong hình 3 bên dưới.
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 13


Hình 2.3: Danh sách quyền người dùng cho một máy tính Windows
Mặc định mức thẩm định này không được cấu hình để kiểm tra các sự kiện cho các
hệ điều hành nào. Thứ tốt nhất để thực hiện là cấu hình mức thẩm định này cho tất
cả các máy tính trong mạng.
Audit process tracking (Kiểm toán quá trình theo dõi)– Hạng mục này sẽ thẩm định
sự kiện có liên quan đến các quá trình trên máy tính. Ví vụ như các chương trình
kích hoạt, quá trình exit, gián tiếp truy cập đối tượng, nhân bản. Mức thẩm định này
sẽ tạo một số các sự kiện và thường không được cấu hình trừ khi một ứng dụng nào
đó đang được kiểm tra với mục đích khắc phục sự cố.
Audit system events (Kiểm toán, hệ thống các sự kiện)– Hạng mục này sẽ thẩm
định sự kiện có liên quan đến việc khởi động lại máy tính hoặc “shut down”. Các sự
kiện có liên quan với bản ghi bảo mật và bảo mật hệ thống cũng sẽ được kiểm tra
khi cách thức thẩm định này được kích hoạt. Đây là một cấu hình thẩm định được
yêu cầu cho máy tính cần kiểm tra không chỉ khi các sự kiện xuất hiện mà cả khi
bản thân bản ghi được xóa. Thiết lập này không có trong các hệ điều hành ngoại trừ
Windows Server 2003 domain controllers, được cấu hình để thẩm định sự truy cập
các sự kiện này. Đây là cách thức tốt nhất để cấu hình mức thẩm định này cho tất cả
các máy tính trong mạng.
Event ID trên hạng mục thẩm định(Sự kiện ID. Trên hạng mục thẩm định)
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh

Đặng Hữu Minh

Trang 14

Nếu là một quản trị viên có nhiều năm kinh nghiệm chắc hẳn ta sẽ thấy một số sự
kiện có tầm khá quan trọng khi nói đến việc kiểm tra và phân tích bảo mật. Điều đó
nói lên rằng trong số hàng nghìn các sự kiện được tạo ra trong bản ghi bảo mật, ta
cần tìm ra những sự kiện quan trọng trong số đông đó. Đây là một trích dẫn các sự
kiện quan trọng nhất theo hạng mục để ta có thể dựa vào đó nhằm kiểm tra từ các
bản ghi bảo mật.
Top 5 thiết lập bảo mật trong Group của Windows Server 2008
Làm thế nào để giảm bớt bề mặt tấn công trên các máy tính desktop bằng cách sử
dụng 5 thiết lập bảo mật trong Group Policy.
Với trên 5000 thiết lập trong Group Policy mới của Windows Server 2008, có thể ta
sẽ bị ngập giữa việc chọn xem thiết lập nào quan trọng nhất đối với bản thân và
mạng của mình. Việc thi hành các thiết lập bảo mật cho desktop để tăng bảo mật
một cách toàn diện chính là bằng cách giảm bề mặt tấn công sẵn có. Trong các thiết
lập bảo mật thì có một số chỉ hỗ trợ cho Windows Vista, còn một số khác có thể
tương thích với Windows XP SP2.
3) Kiểm soát thành viên nhóm Administrator nội bộ
Một trong những thiết lập không an toàn nhất có thể được ta cho người dùng là truy
cập quản trị nội bộ. Bằng cách add thêm một tài khoản người dùng vào nhóm
Administrators nội bộ, người dùng sẽ được cho hầu như các kiểm soát tối thượng
trên desktop của họ. Họ có thể thực hiện hầu hết các hành động, thậm chí nếu mạng
được cấu hình để từ chối tuy cập này. Các hành động mà người dùng có thể thực
hiện, nhờ có quyền quản trị nội bộ, gồm có:
Remove máy tính của họ ra khỏi miền
Thay đổi thiết lập Registry
Thay đổi các điều khoản trên thư mục và file
Thay đổi thiết lập hệ thống, như các thiết lập trong file nằm trong thư mục hệ thống.

Cài đặt ứng dụng
Hủy bỏ cài đặt các ứng dụng, các bản vá bảo mật và các gói dịch vụ.
Truy cập vào Website được tường lửa cho phép
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 15

Download và cài đặt ActiveX controls, các ứng dụng Web hoặc các ứng dụng mã
độc khác được download từ Internet.
Mặc dù yêu cầu người dùng cần phải có quyền quản trị viên để cho phép các ứng
dụng nào đó hoạt động, tuy nhiên kiểu truy cập này thường rất nguy hiểm và dễ đặt
desktop và toàn bộ mạng vào các tấn công bảo mật. Với Group Policy của Windows
Server 2008, người dùng hiện có thể được remove từ nhóm Administrators nội bộ
bằng cách chỉ dùng một chính sách đơn giản. Thiết lập này điều khiển Windows XP
SP2 và các hệ điều hành cao hơn. Chúng là các thiết lập Preferences mới của Group
Policy. Để truy cập vào thiết lập này, ta cần mở Group Policy Object và vào phần:
User Configuration\Preferences\Control Panel
Sau đó kích chuột phải vào Local Users and Groups. Từ menu, kích New - Local
Group. Khi đó hộp thoại dưới đây sẽ xuất hiện.

Hình 2.4: Group Policy Preference cho Local Group
Để cấu hình chính sách, ta hãy đánh Administrators vào hộp văn bản Group, sau đó
tích vào hộp kiểm “Remove the current User”. Trong lúc background kế tiếp của
Group Policy refresh tất cả các tài khoản người dùng nằm trong phạm vi quản lý
của GPO, nơi thiết lập này được cấu hình, thì các tài khoản sẽ được remove ra khỏi
nhóm Administrators trên máy tính họ đăng nhập.
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh


Trang 16

4) Thiết lập lại mật khẩu Administrator nội bộ
Kết hợp với thiết lập Group Policy đầu tiên, mật khẩu Administrator nội bộ cũng
cần phải thiết lập lại. Điều này là do người dùng có các đặc quyền quản trị viên
trước khi remove họ ra khỏi nhóm quản trị nội bộ.
Sau khi tài khoản người dùng đã được remove ra khỏi nhóm quản trị nội bộ, mật
khẩu tài khoản nhóm này cần phải được thiết lập lại. Nếu thiết lập này có thể được
thực hiện đồng thời với việc remove tài khoản người dùng thì họ sẽ không thể biết
hoặc thay đổi mật khẩu Administrator nội bộ mới.
Thiết lập này kiểm soát Windows XP SP2 và các hệ điều hành mới hơn. Nó là thiết
lập Group Policy Preferences mới. Để truy cập vào thiết lập này, ta mở Group
Policy Object và vào:
Computer Configuration\Preferences\Control Panel
Sau đó kích chuột phải vào Local Users and Groups. Từ menu, kích New - Local
User. Hộp thoại dưới đây sẽ xuất hiện.


Hình 2.5: Group Policy Preference cho Local User
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 17


Để cấu hình chính sách, đánh Administrator vào hộp văn bản User name, sau đó
đánh mật khẩu mới vào hộp văn bản Password, xác nhận mật khẩu trong hộp
Confirm Password. Trong khi background của Group Policy mới refresh tất cả các
tài khoản máy tính nằm trong phạm vi quản lý của GPO thì mật khẩu Administrator
nội bộ sẽ được thiết lập lại.

Windows Firewall với độ bảo mật nâng cao
Trước đây, người dùng và các quản trị viên đều mơ màng về Windows Firewall, do
những khả năng hạn chế về các sản phẩm của họ. Giờ đây, Windows Firewall có
một số thiết lập bảo mật tiên tiến cho phép họ có những hiểu biết rõ ràng hơn về
tường lửa.
Windows Server 2008 giới thiệu một tường lửa mới và có nhiều cải thiện đáng kể;
Windows Firewall với Advanced Security. Tường lửa mới này trong Windows có
nhiều cải thiện và cũng rất giống với tường lửa được giới thiệu trong Windows
Vista. Các tính năng mới có trong tường lửa mới này về vấn đề bảo mật nâng cao
gồm có:
Nhiều điều khiển truy cập đi vào
Nhiều điều khiển truy cập gửi đi
Tích hợp chặt chẽ với Windows Server 2008 Server Manager, với cấu hình tự
động của tường lửa khi các dịch vụ được cài đặt bằng Server Manager.
Cấu hình và việc quản lý chính sách IPsec được cải thiện mạnh mẽ, bên cạnh đó là
còn có cả sự thay đổi tên. Các chính sách IPsec hiện được khai báo như các rule bảo
mật kết nối (Connection Security Rules).
Kiểm tra chính sách tường lửa được cải thiện
Kiểm tra các chính sách IPsec được cải thiện (giờ đây được gọi là các Rule bảo mật
kết nối)
Kiểm tra tập trung các trong việc kết hợp chế độ bảo mật Main và Quick được cải
thiện
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 18

Các tính năng bảo mật tiên tiến mới của Windows Firewall không chỉ kết hợp chặt
chẽ trong việc lọc inbound và outbound mà còn gồm có cả IPSec.
Các thiết lập này chỉ có thể kiểm soát với Windows Vista và nằm trong vùng bảo

mật của Group Policy. Để truy cập vào thiết lập này, ta hãy mở Group Policy Object
và vào:
Khi mở chính sách, ta sẽ thấy ba nút sau:
Inbound rules
Outbound rules
Connection Security Rules
Nếu kích chuột phải vào các tùy chọn này, ta có thể chọn tùy chọn New Rule, xem
inbound rule được thể hiện như trong (hình 1.6 tao một firewall rule).


Hình 2.6: Tạo một firewall rule.
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 19



Hình 2.7: Một trong những màn hình trong Inbound rule wizard.
5) .UAC ( User Account Control)
User Account Control (UAC) cung cấp cho ta một tùy chọn giúp bảo vệ máy tính
nơi người dùng và quản trị viên đăng nhập. UAC hiện là một ý tưởng tuyệt vời cho
tất cả các quản trị viên và có thể là một giải pháp tốt cho người dùng chuẩn. Do
UAC bắt buộc tất cả người dùng phải đều là người dùng chuẩn cho tất cả các nhiệm
vụ, nó trợ giúp bảo vệ chống lại bất cứ ứng dụng hoặc virus nào muốn ghi vào các
vùng được bảo vệ trên máy tính bằng cách nhắc nhở người dùng bằng một hộp thoại
mỗi khi vùng được bảo vệ của máy tính bị truy cập. Có thể là truy cập một ứng
dụng, cài đặt một ứng dụng, thay đổi registry, ghi vào file hệ thống,…
Các thiết lập kiểm soát UAC có thể được tìm thấy tại Computer
Configuration\Policies\Windows Settings\Security Settings\Local

Policies\Security Options, xem trong hình 4 bên dưới.
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 20


Hình 2.8: Các tùy chọn Group Policy để kiểm soát UAC
6) Chính sách mật khẩu
Mặc dù các mật khẩu không thật sự hấp dẫn như một thiết lập bảo mật, nhưng
khả năng kiểm soát các mật khẩu bằng Group Policy cũng không nên bỏ qua trong
danh sách top 5 này. Windows Server 2008 vẫn sử dụng Group Policy để xác định
các thiết lập chính sách tài khoản ban đầu, thứ không thay đổi từ Windows 2000.
Các thiết lập được cấu hình ban đầu trong Default Domain Policy, nhưng chúng có
thể được tạo trong bất kỳ GPO nào được liên kết với miền. Các thiết lập mà chúng
ta có thể cấu hình được thể hiện trong hình 1.8 và các thiết lập thể hiện trong .

Hình 2.9: Các thiết lập chính sách mật khẩu trong Default Domain Policy
a) . Group Policy Preferences
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 21

Group policy Preferences là một sự mở rộng của GP trên Windows Server
2008. Preferences bao gồm hơn 20 chức năng bổ sung liên quan đến GP, cho phép
chúng ta mở rộng phạm vi câu hình các GPO. Với Preferences, chúng ta có thề thao
tác với ổ đĩa mạng, thiết lập registry, quản lý tài khoản cục bộ, quản lý dịch vụ, file
và thư mục…



Hình 2.10 : Thực hiện các thao tác trên Perferences với GPMC.
Với công cụ GPMC, chúng ta có thể thực hiện tất cả các thao tác trên
Preferences để cấu hình cho các GPO.
Preferences được chia thành hai phần. Trong đó, thành phần thứ nhất là
Windows Settings, bao gồm:
Applications: cho phép cấu hình cho các ứng dụng.
Driver Maps: cho phép tạo, thay thế, cập nhật và xóa các ổ đĩa mạng. Chúng ta
cũng có thể cấu hình để hiển thị hoặc ẩn tất cả các ở đĩa.
Environment: cho phép tạo, thay thế, cập nhật và xóa các biến môi trường trên
hệ thống.
Files: cho phép tạo, thay thế, cập nhật và xóa file trên máy trạm.
Folders: cho phép tạo, thay thế, cập nhật và xóa thư mục trên máy trạm.
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 22

INI Files: cho phép tạo, thay thế, cập nhật và xóa file INI.
Network Shares: cho phép tạo, thay thế, cập nhật và xóa các tài nguyên đã chia
sẻ trên máy trạm.
Registry: tùy chọn này cho phép chúng ta sao chép các thiết lập registry trên
máy này và áp dụng cho máy khác. Chúng ta cũng có thể thực hiện các thao tác tạo,
thay thế, cập nhật hoặc xóa trong registry trên máy trạm.
Shortcuts: tương tác với phím nóng.
b) Thành phần thứ hai là Control Panel Settings, bao gồm:
Data Sources: tương tác với Open Database Connectivity (ODBC) Data
Source.
Devices: kích hoạt hoặc hủy kích hoạt thiết bị hoặc một tập các thiết bị phần
cứng trên hệt thống.

Folder Options: cấu hình folder options cho các máy trạm chạy hệ điều hành
Windows XP hoặc Vista. Tại đây, chúng ta cũng có thể tương tác với chức năng
Open With kết hợp với thành phần mở rộng của các file.

Hình 2.11: Cấu hình folder options cho các máy trạm.
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 23

Inrernet Settings: cho phép chúng ta thiết lập cấu hình cho các trình duyệt
Internet Explorer phiên bản 5, 6 và 7 trên các máy trạm.
Local users and Groups: tạo, hiệu chỉnh và xóa tài khoản cục bộ.
Network Options: tương tác với các kết nối VPN (virtual private networking)
hoặc dial-up.
Power Options: tương tác với Power của máy trạm chạy hệ diều hành
Windows XP.


Hình 2.12 : Tương các với power của máy trạm chạy Windows XP.
Printers: quản lý máy in cục bộ và máy in mạng.
Regional Options: hiệu chỉnh các thông số như: định dạng ngày giờ, tiền tệ…
Scheduled Tasks: tạo, hiệu chỉnh hoặc xóa các tác vụ (task0 đã được lập lịch
hoặc thực thi tức thì.
Services: tương tác với các dịch vụ trên hệ thống.
Start Menu: hiệu chỉnh menu Start của các máy trạm chạy hệ đều hành
Windows XP hoặc Vista.
c) Tìm Hiểu Về Windows 2008 Hyper-V là gì?
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh


Trang 24

Windows Server 2008 Hyper-V là một role mới trong Windows 2008, nó cho
phép bạn có thể tạo và quản lý một môi trường máy chủ ảo. Bạn có thể chạy được
nhiều máy chủ bên trong một máy. Tính năng này sẽ cho phép bạn có thể hợp nhất
nhiều máy chủ để thành ít máy hơn. Giống như các sản phẩm ảo hóa khác, Hyper-V
cũng có thể cung cấp hiệu quả sử dụng cao hơn đối với phần cứng và các tài nguyên
Hãy nên nhớ rằng Windows 2008 Hyper-V khác rất nhiều so với Microsoft Virtual
Server 2005. Virtual Server là một ứng dụng được cài đặt và chạy – cung cấp các
dịch vụ ảo hóa. Trong khi đó Hyper-V là một tính năng được xây dựng trong hệ
điều hành, nó hiệu quả hơn và cung cấp nhiều tính năng hơn so với Virtual Server.
d) Những tính năng chính của Windows 2008 Hyper-V là gì?
1. Hỗ trợ cho các mạng LAN ảo.
2. Số lượng lớn bộ nhớ cho các máy ảo.
3. Khả năng có thể chạy các máy tính 32 bit và 64 bit cùng một thời điểm
4. Hỗ trợ đến 32GB RAM và 4CPU trong mỗi hệ điều hành khách.
5. Hỗ trợ cho cả chế độ một hoặc đa bộ vi xử lý đối với các máy ảo,
6. Hỗ trợ cho các màn hình quan sát, sử dụng để capture trạng thái của máy ảo tại
các thời điểm. Bạn có thể quay trở về màn hình đó bất cứ thời điểm nào.
7. Hỗ trợ cho việc chuyển đổi nhanh – cho phép chuyển một máy ảo từ một máy
chủ này sang một máy chủ khác mà không cần tắt máy ảo đó.
8. Hỗ trợ cho việc cân bằng tải mạng giữa các máy ảo
9. Tích hợp với Microsoft Virtual Machine Manager (VMM) sau này như một nền
tảng quản lý tập trung.
e) Các dịch vụ mạng
Nếu bạn đã có một thời gian dài dùng Windows Server có thể đã quen với một
số tính năng hoặc giao thức mạng, tuy nhiên trong phiên bản mới Windows Server
2008 lại không thấy có. Vậy những dịch vụ và giao thức nào của Windows Server
đã bị remove và những gì sẽ được sử dụng để thay thế. Chúng ta hãy đi tìm hiểu

trong bài này.
Các dịch vụ và giao thức mạng nào bị remove trong Windows Server 2008?
GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh
Đặng Hữu Minh

Trang 25

Dưới đây là các dịch vụ mạng và các giao thức mạng truyền thống vẫn được sử
dụng trong các phiên bản hệ điều hành máy chủ khác nhưng không có trong
Windows Server 2008:
• Bandwidth Allocation Protocol (BAP) – BAP được sử dụng cho các kết nối
multi-link PPP, đặc biệt với việc ràng buộc các liên kết ISDN. Ngày nay, không
thực sự có nhiều nhu cầu để Windows Server kết nối trực tiếp với các kết nối PPP.
• X.25 – giao thức mạng diện rộng, X.25 được thay thế bởi frame-relay và
ngày nay còn có nhiều giao thức khác nữa bởi MPLS.
• Serial Line Interface Protocol (SLIP) – giao thức SLIP được sử dụng cho kết
nối mạng quay số nhưng nó có ít tính năng hơn PPP. Chính vì vậy PPP trở thành
phương pháp chính cho kết nối quay số và PPTP, người anh em họ của PPP, thường
được sử dụng cho các kết nối VPN với hệ thống Windows.
• Asynchronous Transfer Mode (ATM) – tuy ATM vẫn có thể được sử dụng
trong các mạng không dây nhưng nó kém được phát triển. Điều này thực sự đúng
khi Windows Server kết nối trực tiếp với một mạng ATM.
• NWLink IPX/SPX/NetBIOS Compatible Transport Protocol – thậm chí
Novell Netware đã thay đổi sang IP chính vì vậy không có lý do gì để Windows vẫn
sử dụng nó
• Services for Macintosh (SFM) – với các hệ thống Apple Mac mới hiện đang
chạy IP thì vẫn có một số nhu cầu cho dịch vụ kết nối mạng của Windows.
• Open Shortest Path First (OSPF) trong định tuyến và truy cập từ xa
• Basic Firewall trong Routing and Remote Access - Basic Windows Server
Firewall sẽ được thay thế bởi Advanced Windows Firewall mới.

• SPAP, EAP-MD5-CHAP, và MS-CHAP (cũng được biết đến với tên MS-
CHAP v1) cho các kết nối PPP – các kết nối này đã được sử dụng với kết nối PPP
và chúng đã được thay thế bằng một giao thức mới có nhiều tùy chọn hơn.
f) Các dịch vụ mạng mới hiện có trong Windows Server 2008
Chúng ta hãy xem trong Windows Server 2008 có các dịch vụ mạng mới gì để
thay thế cho các dịch vụ mạng trên.

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×