70-290: MCSE Guide to Managing
a Microsoft Windows Server 2003
Environment
Chương 14:
Các đặc tính bảo mật trong
Windows Server 2003
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
2
Mục tiêu
• Xác định các phần tử và kỹ thuật khác nhau dùng
để bảo mật hệ thống Windows Server 2003
• Dùng các công cụ Security Configuration and
Analysis để cấu hình và rà soát các thiết lập bảo
mật
• Kiểm toán truy vập vào các tài nguyên và xem lại
các thiết lập Security log
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
3
Bảo mật hệ thống Windows
2003
• 5 vấn đề liên quan đến bảo mật:
• Authentication (Chứng thực)
• Access control (Điều khiển truy cập)
• Encryption (Bảo mật)
• Security policies (Các chính sách bảo mật)
• Service packs & hot fixes
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
4

Chứng thực
• Mức độ cơ bản được y/c là 1 user ID và mật khẩu để đăng
nhập hệ thống
• Trong 1 môi trường domain, chứng thực được tập trung
hóa trên mạng; trong khi với môi trường workgroup việc
chứng thực là cục bộ
• Trong 1 môi trường domain, 1 chứng thực có thể cung cấp
quyền truy cập đến nhiều domain và forest
• Các phương pháp chứng thực bổ sung có thể áp dụng với
các dịch vụ khác (như IIS)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
5
Điều khiển truy cập
• Điều khiển truy cập dùng để bảo mật các tài
nguyên như file, thư mục, máy in
• Các kiểu khác của điều khiển truy cập là các
quyền NTFS, thư mục chia sẻ, máy in và các
quyền trên đối tượng AD khác
• Nguyên lý “cấp ít quyền nhất” ngụ ý là các user
chỉ nên có quyền truy cập những cái gì họ cần
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
6
Bảo mật
• Các file bí mật lưu trên các NTFS volumn có thể
mã hóa dùng EFS
• EFS dùng kết hợp khóa công cộng và khóa riêng
• Giao thức IPSec mã hóa nội dung của các gói tin
gửi qua mạng dùng TCP/IP

• 2 chế độ IPSec: transport & tunnel
• IPSec gây khó khăn cho các hacker muốn can
thiệp vào dữ liệu mạng nhạy cảm
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
7
Các chính sách bảo mật
• Các thiết lập chính sách bảo mật có thể cấu hình từ
Local Security Policy và Group Policy Object
Editor MMC snap-ins
• Các thiết lập chính sách bảo mật điều khiển một
vùng các thiết lập bảo mật
• Windows Server 2003 có một số công cụ phân
tích chính sách bảo mật so với các mẫu có sẵn
• Security Configuration and Analysis MMC snap-in
• Ứng dụng dòng lệnh SECEDIT
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
8
Service Packs & Hot Fixes
• Nhiều bản cập nhật và patch quan trọng liên quan
đến bảo mật
• Các Hot fix cũng giúp xác định 1 số vấn đề đặc
biệt
• Chúng có thể tải và cài đặt từ Microsoft
• SUS có thể hỗ trợ tự động quản lý các bản cập
nhật
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
9

Dùng các công cụ Security
Configuration Manager
• Windows Server 2003 cung cấp các công cụ thiết
kế đặc biệt giúp cấu hình và quản lý các thiết lập
bảo mật (Security Configuration Manager)
• Những công cụ này cùng với các chính sách
Group có thể dùng để cài đặt mẫu Security Policy
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
10
Dùng các công cụ Security
Configuration Manager (tt)
• Công cụ Security Configuration and Analysis sẽ
so sánh mẫu bảo mật với các thiết lập đã làm
• Công cụ Security Configuration and Analysis
gồm:
• Các mẫu bảo mật
• Các mẫu bảo mật trong các đối tượng GP
• Công cụ Security Configuration and Analysis
• Lệnh SECEDIT
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
11
Các mẫu bảo mật
• Các mẫu giúp bảo đảm thống nhất và dễ dàng bảo
trì trên nhiều máy
• Các mẫu là các file văn bản
• Nhưng không dùng trình soạn thảo văn bản bình
thường để chỉnh sửa
• Có 1 số mẫu thiết kế sẵn

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
12
Các mẫu bảo mật (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
13
Thực tập 14-1:Xem các mẫu
bảo mật
• Mục tiêu: Làm quen với 1 số mẫu bảo mật có sẵn
• Start  Run  type mmc  OK  File 
Add/Remove Snap-in  Add
• Tìm và xem các mẫu có sẵn như chỉ dẫn
• Xem các chính sách liên hệ với các mẫu
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
14
Phân tích các mẫu bảo mật
thiết kế sẵn
• Các máy tính mạng có thể phân loại thành:
• Workstations
• Servers
• Domain controllers
• Các mẫu thiết kế sẵn có thể áp dụng cho 1 loại nào
đó
• Chỉ có Windows Server 2003, Windows XP,
Windows 2000 là dùng được mẫu thiết kế sẵn
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
15

Default Template
• Mẫu Setup Security.inf chứa các thiết lập bảo
mật mặc định
• Nội dung phụ thuộc cấu hình nguyên thủy của
máy tính (cài mới, nâng cấp…)
• Cho phép administrator trả về thiết lập trước đó dễ
dàng
• Không nên áp dụng khi dùng GP
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
16
Incremental Templates
• Sửa đổi cải tiến các cấu hình bảo mật
• Chỉ có thể áp dụng dựa trên cấu hình mặc định bởi
vì chúng không xác lập cấu hình cơ bản
• Các mẫu gồm: compatws.inf, securews.inf,
securedc.inf, hisecws.inf, hisecdc.inf, iesacls.inf,
dc security.inf, rootsec.inf
• Cũng có thể tạo mẫu tùy biến
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
17
Áp dụng các mẫu bảo mật
• Có thể áp dụng trên máy cục bộ hoặc domain
• Với máy cục bộ
• Mở Local Security Setting MMC snap-in và import 1
chính sách
• Với domain
• Dùng các GPO
• Các thiết lập bảo mật từ các GPO đè lên thiết lập

cục bộ
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
18
Áp dụng các mẫu bảo mật (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
19
Thực tập 14-2:Tạo 1 mẫu bảo
mật
• Mục tiêu: Khảo sát việc tạo 1 mẫu bảo mật tùy
biến
• Mở 1 New Template từ MMC Security Templates
snap-in
• Cấu hình các thiết lập cho mẫu mới theo dự định
• Lưu mẫu
• Xem file mẫu
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
20
Thực tập 14-3: Áp dụng các
thiết lập mẫu bảo mật cho các
GPO
• Mục tiêu: Dùng GP để triển khai các thiết lập mẫu
bảo mật
• Start  Administrative Tools  Active Directory
Users and Computers
• Mở Default Domain Policy từ trang Properties của
domain
• Import vào mẫu đã tạo trước đó

• Kiểm tra lại các thiết lập
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
21
Security Configuration and
Analysis
• Security Configuration and Analysis snap-in cho
phép so sánh các thiết lập hệ thống hiện tại với các
mẫu đã cấu hình
• Việc so sánh sẽ xác định các thay đổi và những sự
yếu kém tiềm ẩn
• Có thể so sánh nhiều mẫu 1 lần
• Có thể kết hợp và lưu giữ
• Các thay đổi có thể tạo trực tiếp trong snap-in
bằng cách chọn cấu hình mong muốn
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
22
Security Configuration and
Analysis (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
23
Thực tập 14-2: Tạo 1 mẫu bảo
mật (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
24
Thực tập 14-4: Phân tích các thiết
lập bảo mật dùng Security

Configuration and Analysis
• Mở Security Configuration and Analysis snap-in
theo chỉ dẫn và mở 1 csdl mới
• Import mẫu hisecdc.inf để so sánh
• Thực hiện phân tích
• Xem lại và so sánh các thiết lập
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
25
Thực tập 14-4 (tt)