70-290: MCSE Guide to Managing
a Microsoft Windows Server 2003
Environment

Chương 14:
Các đặc tính bảo mật trong
Windows Server 2003


Mục tiêu
• Xác định các phần tử và kỹ thuật khác nhau dùng
để bảo mật hệ thống Windows Server 2003
• Dùng các công cụ Security Configuration and
Analysis để cấu hình và rà soát các thiết lập bảo
mật
• Kiểm toán truy vập vào các tài nguyên và xem lại
các thiết lập Security log

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

2


Bảo mật hệ thống Windows
2003
• 5 vấn đề liên quan đến bảo mật:
•
•
•
•

•

Authentication (Chứng thực)
Access control (Điều khiển truy cập)
Encryption (Bảo mật)
Security policies (Các chính sách bảo mật)
Service packs & hot fixes

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

3


Chứng thực
• Mức độ cơ bản được y/c là 1 user ID và mật khẩu để đăng
nhập hệ thống
• Trong 1 môi trường domain, chứng thực được tập trung
hóa trên mạng; trong khi với môi trường workgroup việc
chứng thực là cục bộ
• Trong 1 môi trường domain, 1 chứng thực có thể cung cấp
quyền truy cập đến nhiều domain và forest
• Các phương pháp chứng thực bổ sung có thể áp dụng với
các dịch vụ khác (như IIS)

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

4



Điều khiển truy cập
• Điều khiển truy cập dùng để bảo mật các tài
nguyên như file, thư mục, máy in
• Các kiểu khác của điều khiển truy cập là các
quyền NTFS, thư mục chia sẻ, máy in và các
quyền trên đối tượng AD khác
• Nguyên lý “cấp ít quyền nhất” ngụ ý là các user
chỉ nên có quyền truy cập những cái gì họ cần

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

5


Bảo mật
• Các file bí mật lưu trên các NTFS volumn có thể
mã hóa dùng EFS
• EFS dùng kết hợp khóa công cộng và khóa riêng
• Giao thức IPSec mã hóa nội dung của các gói tin
gửi qua mạng dùng TCP/IP
• 2 chế độ IPSec: transport & tunnel
• IPSec gây khó khăn cho các hacker muốn can
thiệp vào dữ liệu mạng nhạy cảm
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

6



Các chính sách bảo mật
• Các thiết lập chính sách bảo mật có thể cấu hình từ
Local Security Policy và Group Policy Object
Editor MMC snap-ins
• Các thiết lập chính sách bảo mật điều khiển một
vùng các thiết lập bảo mật
• Windows Server 2003 có một số công cụ phân
tích chính sách bảo mật so với các mẫu có sẵn
• Security Configuration and Analysis MMC snap-in
• Ứng dụng dòng lệnh SECEDIT
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

7


Service Packs & Hot Fixes
• Nhiều bản cập nhật và patch quan trọng liên quan
đến bảo mật
• Các Hot fix cũng giúp xác định 1 số vấn đề đặc
biệt
• Chúng có thể tải và cài đặt từ Microsoft
• SUS có thể hỗ trợ tự động quản lý các bản cập
nhật

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

8



Dùng các công cụ Security
Configuration Manager
• Windows Server 2003 cung cấp các công cụ thiết
kế đặc biệt giúp cấu hình và quản lý các thiết lập
bảo mật (Security Configuration Manager)
• Những công cụ này cùng với các chính sách
Group có thể dùng để cài đặt mẫu Security Policy

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

9


Dùng các công cụ Security
Configuration Manager (tt)
• Công cụ Security Configuration and Analysis sẽ
so sánh mẫu bảo mật với các thiết lập đã làm
• Công cụ Security Configuration and Analysis
gồm:
•
•
•
•

Các mẫu bảo mật
Các mẫu bảo mật trong các đối tượng GP
Công cụ Security Configuration and Analysis

Lệnh SECEDIT
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

10


Các mẫu bảo mật
• Các mẫu giúp bảo đảm thống nhất và dễ dàng bảo
trì trên nhiều máy
• Các mẫu là các file văn bản
• Nhưng không dùng trình soạn thảo văn bản bình
thường để chỉnh sửa

• Có 1 số mẫu thiết kế sẵn

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

11


Các mẫu bảo mật (tt)

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

12



Thực tập 14-1:Xem các mẫu
bảo mật
• Mục tiêu: Làm quen với 1 số mẫu bảo mật có sẵn
• Start  Run  type mmc  OK  File 
Add/Remove Snap-in  Add
• Tìm và xem các mẫu có sẵn như chỉ dẫn
• Xem các chính sách liên hệ với các mẫu

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

13


Phân tích các mẫu bảo mật
thiết kế sẵn
• Các máy tính mạng có thể phân loại thành:
• Workstations
• Servers
• Domain controllers

• Các mẫu thiết kế sẵn có thể áp dụng cho 1 loại nào
đó
• Chỉ có Windows Server 2003, Windows XP,
Windows 2000 là dùng được mẫu thiết kế sẵn
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

14



Default Template
• Mẫu Setup Security.inf chứa các thiết lập bảo
mật mặc định
• Nội dung phụ thuộc cấu hình nguyên thủy của
máy tính (cài mới, nâng cấp…)
• Cho phép administrator trả về thiết lập trước đó dễ
dàng
• Không nên áp dụng khi dùng GP

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

15


Incremental Templates
• Sửa đổi cải tiến các cấu hình bảo mật
• Chỉ có thể áp dụng dựa trên cấu hình mặc định bởi
vì chúng không xác lập cấu hình cơ bản
• Các mẫu gồm: compatws.inf, securews.inf,
securedc.inf, hisecws.inf, hisecdc.inf, iesacls.inf,
dc security.inf, rootsec.inf
• Cũng có thể tạo mẫu tùy biến

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

16



Áp dụng các mẫu bảo mật
• Có thể áp dụng trên máy cục bộ hoặc domain
• Với máy cục bộ
• Mở Local Security Setting MMC snap-in và import 1
chính sách

• Với domain
• Dùng các GPO

• Các thiết lập bảo mật từ các GPO đè lên thiết lập
cục bộ
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

17


Áp dụng các mẫu bảo mật (tt)

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

18


Thực tập 14-2:Tạo 1 mẫu bảo
mật
• Mục tiêu: Khảo sát việc tạo 1 mẫu bảo mật tùy
biến

• Mở 1 New Template từ MMC Security Templates
snap-in
• Cấu hình các thiết lập cho mẫu mới theo dự định
• Lưu mẫu
• Xem file mẫu

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

19


Thực tập 14-3: Áp dụng các
thiết lập mẫu bảo mật cho các
GPO
• Mục tiêu: Dùng GP để triển khai các thiết lập mẫu
bảo mật
• Start  Administrative Tools  Active Directory
Users and Computers
• Mở Default Domain Policy từ trang Properties của
domain
• Import vào mẫu đã tạo trước đó
• Kiểm tra lại các thiết lập
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

20


Security Configuration and

Analysis
• Security Configuration and Analysis snap-in cho
phép so sánh các thiết lập hệ thống hiện tại với các
mẫu đã cấu hình
• Việc so sánh sẽ xác định các thay đổi và những sự
yếu kém tiềm ẩn
• Có thể so sánh nhiều mẫu 1 lần
• Có thể kết hợp và lưu giữ
• Các thay đổi có thể tạo trực tiếp trong snap-in
bằng cách chọn cấu hình mong muốn
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

21


Security Configuration and
Analysis (tt)

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

22


Thực tập 14-2: Tạo 1 mẫu bảo
mật (tt)

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment


23


Thực tập 14-4: Phân tích các thiết
lập bảo mật dùng Security
Configuration and Analysis
• Mở Security Configuration and Analysis snap-in
theo chỉ dẫn và mở 1 csdl mới
• Import mẫu hisecdc.inf để so sánh
• Thực hiện phân tích
• Xem lại và so sánh các thiết lập

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

24


Thực tập 14-4 (tt)

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

25