Điều khiển Service Security bằng Windows Server 2008
Ngu
ồn : quantrimang.com
Derek Melbe
r
Windows Server 2008 của Microsoft có bổ sung thêm một số điều khiển
mới về các dịch vụ. Khi kết hợp tất cả điều khiển mà Microsoft cung cấp
cho các dịch vụ trong GPO thì bạn hoàn toàn có thể bảo đảm an toàn về
các dịch vụ của mình.
Giới thiệu
Gần đây mọi máy chủ mà bạn sở hữu trong môi trường đều sử dụng một số dịch
vụ. Các dịch vụ này cung cấp sự truy cập dữ liệu, tải nguyên, các ứng dụng và
vùng quan trọng khác của máy chủ và chức năng mạng. Nếu các dịch vụ này
không được bảo vệ thì chúng sẽ trở thành một ứng viên lý tưởng cho những kẻ
tấn công. Khi một dịch vụ bị tấn công, sự truy cập đối với máy chủ và mạng bị
đặt trong tình trạng nguy hiểm. Khả năng củ
a dịch vụ đang bị phá hoại cũng đặt
trong tình trạng nguy hiểm, có thể gây ra nhiều thiệt hại cả về thời gian lẫn tiền
bạc đối với máy chủ đang thực hiện các chức năng dịch vụ. Với Windows Server
2008, Microsoft đã bổ sung thêm một số điều khiển dịch vụ mới. Khi kết hợp tất
cả các điều khiển mà Microsoft cung cấp cho các d
ịch vụ trong GPO thì bạn có
thể bảo đảm rằng các dịch vụ sẽ được bảo vệ một cách an toàn.
Các lĩnh vực bảo vệ dịch vụ
Các dịch vụ vốn đã nguy hiểm đối với máy chủ và mạng vì chúng tạo ra các lỗ
hổng trong máy chủ cho người dùng, ứng dụng và các máy chủ khác truy cập
vào tài nguyên. Khi một lỗ hổng nào đó quá lớn hoặc dịch vụ không được b
ảo vệ
thì kẻ tấn có thể truy cập vào máy chu với những đặc quyền nâng cao. Chính vì
vậy chúng ta cần phải bảo vệ các dịch vụ đó, chỉ cho phép truy cập những dịch
vụ nào được thiết kế cho.
Khi đánh giá nhu cầu gì cần phải được bảo vệ, bạn cần xem xét kỹ đến các lỗ
hổng cơ bản được tạo và nghĩ đến các tấn công tiềm tàng có thể
được thực hiện
chống lại các dịch vụ và các thiết lập có liên quan của chúng. Dưới đây là một
danh sách các lĩnh vực tiềm tàng có liên quan tới dịch vụ cần được bảo vệ:
•
Danh sách điều khiển truy cập của dịch vụ
•
Chế độ Startup cho dịch vụ
•
Tài khoản Service cho dịch vụ
•
Mật khẩu tài khoản dịch vụ
Tất cả các lĩnh vực có liên quan tới bảo mật này hiện có thể được kiểm soát
bằng cách sử dụng Policy trong Windows Server 2008/Vista enterprise.
Truy cập GPO
Để có thể lợi dụng được ưu điểm của các thiết lập đã được giới thiệu trong bài
này, bạn cần có một trong những thành phần dưới đây trong mạng của mình:
•
Windows Server 2008 domain controller
•
Windows Vista SP1, có cài đặt Remote Server Administrative Tools, chạy
trong Windows Active Directory domain
Khi có một trong những máy tính trên, bạn sẽ sử dụng Group Policy
Management Console (GPMC) để quản lý và soạn thảo GPO từ máy tính này.
Bạn không thể xem được các thiết lập mới từ máy tính khác không có đủ các
phẩm chất yêu cầu như đã liệt kê ở trên.
Danh sách điều khiển truy cập dịch vụ
Để có thể điều khiển danh sách dịch vụ này, bạn cần sử dụng nút Services trong
GPO, v
ị trí tìm thấy nút này tại: Computer Configuration\Policies\Windows
Settings\Security Settings\System Services, xem trong hình 1.
Hình 1: System Services Policy để điều khiển danh sách điều khiển truy cập của
dịch vụ
Để sử dụng chính sách này, bạn cần tìm dịch vụ muốn điều khiển trong danh
sách trong phần panel bên phải, sau đó chọn nó. Khi kích chuột phải vào tên
dịch vụ có thể soạn thảo các thuộc tính của dịch vụ. Khi soạn thảo các thuộc tính
của dịch vụ, bạn sẽ thấy hộp thoạ
i trang thuộc tính xuất hiện như trong hình 2
bên dưới.
Hình 2: Hộp thoại trang thuộc tính của dịch vụ hệ thống
Để thay đổi danh sách điều khiển truy cập cho dịch vụ, bạn hãy chọn hộp kiểm
Define this policy setting, sau đó kích nút Edit Security. Sau khi kích nút này sẽ
thấy hộp một thoại tương tự như trong hình 3 xuất hiện.
Hình 3: Hộp thoại bảo mật để quản lý danh sách điều khiển truy cập của dịch vụ
Lưu ý rằng ở đây có một số điều khoản chuẩn để có thể thiết lập trong dịch vụ, ví
dụ như:
Full control
Read
Start, stop, and pause
Write
Delete
Có thể thiết lập một danh sách tùy chỉnh các điều khoản bằng cách chọn nút
Advanced, khi đó bạn sẽ có 14 điều kho
ản bảo mật chi tiết để có thể thiết lập cho
mỗi dịch vụ.
Chế độ Startup cho dịch vụ
Chế độ Startup cho dịch vụ là một trong những chế độ quan trọng cho các dịch
vụ mà bạn không thể hủy bỏ cài đặt hoặc không muốn, nhưng lại muốn bảo đảm
không bắt đầu khi hệ thống khởi động. Có ba mức trong chế độ kh
ởi động này