Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn  Như chúng ta đã biết khoa học máy vi tính ngày nay vô cùng phát triển, do nhu cầu trao đổi thông tin tăng lên không ngừng .Ngày nay máy vi tính là một vật bất khả li thân của nhiều người, nó đi sâu vào đời sống và giúp lưu trữ, xử lý thông tin hết sức đơn giản. Nhưng do yêu cầu công việc muốn trao đổi thông tin với nhau thì người ta cần đến một giao thức hết sức quan trọng đó là giao thức mạng máy tính. Mạng vi tính giúp rút ngắn khoảng cách về địa lí dù bạn ở nơi đâu Điều đó đã kéo theo sự phát triển đến chóng mặt của các mạng máy vi tính như:mạng lan mạng wan, mạng internet…Để đáp ứng yêu cầu thời đại, Microsoft nhà cung cấp phần mềm hàng đầu trên thề giới đã tung ra nhiều hệ điều hành như: window server 2000, window server 2003… để điều hành ,quản lý mạng máy vi tính. Cùng với nhu cầu trao đổi thông tin thì cũng yêu cầu khả năng bảo mật thông tin đó ngày càng tốt hơn. Window server 2003 (win2k3)là một sự lựa chọn đúng đắn. Win2k3 là phiên bản kế thừa và phát triển các hệ điều hành trước đó. Nó đã tích hợp rất nhiều công cụ mạnh nhằm giúp người quản trị có thể thiết lập bảo mật , quản trị hệ thống tin trong mạng của mình trước các cuộc thâm nhập hệ thống trái phép.vì vậy việc tìm hiểu về chính sách bảo mật trong window server 2003 là một nhu cầu tất yếu.Tuy hiện giờ Microsoft đã tung ra phiên bản window server 2008 kế thừa và phát triển của win 2k3 nhưng win 2k3 vẫn là sử dụng phổ biến nhất. Đầu tiên để tìm hiểu về chính sách bảo mật trong win2k3 chúng ta cần hiểu khái niệm bảo mật trong window server 2003 là gì?và tại sao chúng ta lại đi tìm hiểu về chính sách bảo mật trong win2k3? Sau đó chúng ta sẽ đi sâu vào tìm hiểu các chính sách bảo mật trong win 2k3 gồm những bộ phận nào và chức năng nhiệm vụ của từng bộ phận. Sinh Viên :Lê Văn Đức Lớp :CNTT 48b Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn  Em xin chân thành cảm ơn ban giám hiệu trường Đại Học Kinh Tế Quốc Dân Bộ Môn Công nghệ Thông tin đã tạo điều kiện thuận lợi cho em thực hiện Báo Cáo này. Cảm ơn thầy Phạm Minh Hoàn đã tận tình hướng dẫn , cung cấp tài liệu để em thực hiện tốt đồ án này. Sinh Viên :Lê Văn Đức Lớp :CNTT 48b Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn  Windows Firewall Làm việc như thế nào 43   !" ##$%$%&''( Như chúng ta đã biết họ hệ điều hành Windows 2000 Server có 3 phiên bản chính là: Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server. Với mỗi phiên bản Microsoft bổ sung các tính năng mở rộng cho từng loại dịch vụ. Đến khi họ Server 2003 ra đời thì Mircosoft cũng dựa trên tính năng của từng phiên bản để phân loại do đó có rất nhiều phiên bản của họ Server 2003 được tung ra thị trường. Nhưng 4 phiên bản được sử dụng rộng rãi nhất là: Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 1 Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn -Windows server 2003 web edition -Windows server 2003 standard edition -Windows server 2003 enterprise edition -Windows server 2003 datacenter edition So với các phiên bản 2000 thì họ hệ điều hành Server phiên bản 2003 có những đặc tính mới sau: - Network Load Balancing Clusters Tổng hợp các sức mạnh đơn lẽ thành một tăng cường khả năng chịu lỗi - Windows Server 2003 hỗ trợ hệ điều hành WinXP tốt hơn như: hiểu được chính sách nhóm (group policy) được thiết lập trong WinXP, có bộ công cụ quản trị mạng đầy đủ các tính năng chạy trên WinXP. - Tính năng cơ bản của Mail Server được tính hợp sẵn: đối với các công ty nhỏ không đủ chi phí để mua Exchange để xây dựng Mail Server thì có thể sử dụng dịch vụ POP3 và SMTP đã tích hợp sẵn vào Windows Server 2003 để làm một hệ thống mail đơn giản phục vụ cho công ty. - Cung cấp miễn phí hệ cơ sở dữ liệu thu gọn MSDE (Mircosoft Database Engine) được cắt xén từ SQL Server 2000.Tuy MSDE không có công cụ quản trị nhưng nó cũng giúp ích cho các công ty nhỏ triển khai được các ứng dụng liên quan đến cơ sở dữ liệu mà không phải tốn chi phí nhiều để mua bản SQL Server. - NAT Traversal hỗ trợ IPSec đó là một cải tiến mới trên môi trường 2003 này, nó cho phép các máy bên trong mạng nội bộ thực hiện các kết nối peer-to-peer (mạng đồng đẳng) đến các máy bên ngoài Internet, đặt biệt là các thông tin được truyền giữa các máy này có thể được mã hóa hoàn toàn. - Bổ sung thêm tính năng NetBIOS over TCP/IP cho dịch vụ RRAS (Routing and Remote Access). Tính năng này cho phép bạn duyệt các máy tính trong mạng ở xa thông qua công cụ Network Neighborhood. - Phiên bản Active Directory 1.1 ra đời cho phép chúng ta ủy quyền giữa các gốc rừng với nhau đồng thời việc backup dữ liệu của Active Directory cũng dễ dàng hơn - Hỗ trợ tốt hơn công tác quản trị từ xa do Windows 2003 cải tiến RDP (Remote Desktop Protocol) có thể truyền trên đường truyền 40Kbps. Web Admin cũng ra đời giúp người dùng quản trị Server từ xa thông qua một dịch vụ Web một cách trực quan và dễ dàng. Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 2 Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn - Hỗ trợ môi trường quản trị Server thông qua dòng lệnh phong phú hơn - Các Cluster NTFS có kích thước bất kỳ khác với Windows 2000 Server chỉ hỗ trợ 4KB - Cho phép tạo nhiều gốc DFS (Distributed File System) trên cùng một Server. ) *"+%" !" # #$%$%&''( , /01234567.83.93:7;/<7;=>:?>:&''( @,AB//2.567.833:7;/<7;=>:?>:&''( Bảo mật trong win2k3 là tập hợp tất cả các chính sách công cụ trong win2k3 nhằm thiết lập bảo mật hệ thống . Thiết lập chính sách bảo mật trên người dùng, nhóm, quyền hạn của người dùng nhằm tăng cường mức an toàn cho mạng của mình. ,BC234567.83C563:D;/&''( Trong win 2003 chúng ta có 2 phần dành cho bảo mật cơ bản đó là Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 3 Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn Domain controller security setting và Default domain security setting . Hai phần này có những thành phần giống nhau nhưng tác dụng, ảnh hưởng của chúng thì khác nhau.Nếu chúng ta chỉnh trên phần Domain controller security setting thì sẽ có ảnh hưởng đến toàn bộ domain: các tài khoản truy nhập domain từ các máy con và máy trạm. Do vậy trong đồ án này em chỉ trình bày về Default domain security setting. @,E=BC3F/G76H/<I @@,/J/3/21 Chính sách tài khoản người dùng (Account Policy) được dùng để chỉ định các thông số về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy ra. Nó cho phép người dùng cấu hình các thông số bảo mật máy tính : chính sách mật khẩu, khóa tài khoản và chứng thực Kerberos trong vùng. Nếu trên Server thành viên thì người sử dụng sẽ thấy hai mục Password Policy và Account Lockout Policy, trên máy Windows Server 2003 làm domain controller thì sẽ thấy ba thư mục Password Policy, Account Lockout Policy và Kerberos Policy. Trong Windows Server 2003 cho phép bạn quản lý chính sách tài khoản tại hai cấp độ là: cục bộ và miền @&, /01 Muốn cấu hình các chính sách tài khoản người dùng ta vào: Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 4 Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn Start /program/administrative tools/default domain security settings(hình 1) Hình 1 @&@,E=BC.83GK1 Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 5 Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn Hình 2 Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn cho mật khẩu của người dùng để tránh các trường hợp đăng nhập bất hợp pháp vào hệ thống. Chính sách này cho phép bạn qui định :chiều dài ngắn nhất của mật khẩu, độ phức tạp của mật khẩu… @&&,E=BCGLM3F/G76 Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 6 Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn Hình 3 Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức và thời điểm khóa tài khoản trong vùng hay trong hệ thống cục bộ. Chính sách này giúp hạn chế tấn công thông qua hình thức logon từ xa. @&(,E=BCA>:5>:7=N-OP Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 7 Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn Hình 4 @&O,/J/3/21?QA>:5>:7= Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tính hoạt động trên những đường truyền không an toàn. Giao thức Kerberos có khả năng chống lại việc nghe lén hay gửi lại các gói tin cũ và đảm bảo tính toàn vẹn của dữ liệu. Mục tiêu khi thiết kế giao thức này là nhằm vào mô hình máy chủ máy khách (client- server) và đảm bảo nhận thực cho cả hai chiều.Giao thức được xây dựng dựa trên mật mã hóa khóa đối xứng và cần đến một bên thứ ba mà cả hai phía tham gia giao dịch tin tưởng. M,1RD3SC793TU Kerberos được thiết kế dựa trên giao thức Needham-Schroeder. Kerberos sử dụng một bên thứ ba tham gia vào quá trình nhận thực gọi là "trung tâm phân phối khóa" (tiếng Anh: Key distribution center - KDC). KDC bao gồm hai chức năng: "máy chủ xác thực" (Authentication server - AS) và "máy chủ cung cấp vé" (Ticket granting server - TGS). "Vé" trong hệ thống Kerberos chính là các chứng thực chứng minh nhân dạng của người sử dụng. Mỗi người sử dụng (cả máy chủ và máy khách) trong hệ thống chia sẻ một khóa chung với máy chủ Kerberos. Việc sở hữu thông tin về khóa chính là bằng chứng để Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 8 [...]... 48b Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn Hình 9 Rồi chọn mirrored … Để cho qui tắc có tác dụng qua lại giữa 2 máy Hình 10 Đến điền địa chỉ nguồn Sinh Viên :Lê Văn Đức 18 Lớp :CNTT 48b Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn Hình 11 Đến điền dịa chỉ máy đích Hình 13 Chọn kiểu kết nối Sinh Viên :Lê Văn Đức 19 Lớp :CNTT 48b Nghiên Cứu Hệ Thống Bảo mật. .. nhằm tăng tính bảo mật cho hệ thống như: không cho phép hiển thị người dùng đã logon trước đó hay đổi tên tài khoản người dùng tạo sẵn (administrator, guest) Trong hệ thống Windows Server 2003 hỗ trợ cho chúng ta rất nhiều lựa chọn bảo mật, nhưng trong giới hạn đồ án này em chỉ khảo sát các lựa chọn thông dụng Sinh Viên :Lê Văn Đức 13 Lớp :CNTT 48b Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm... Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn Hình 14 FINISH ok b,Thiết lập tác động lọc Chọn tab manage filter actions Hình15 ấn add để thêmđiền tênaddNEXT Sinh Viên :Lê Văn Đức 20 Lớp :CNTT 48b Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn Hình 16 Chọn kiểu lọc Hình 17 Chọn tác động Sinh Viên :Lê Văn Đức 21 Lớp :CNTT 48b Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm... Lớp :CNTT 48b Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn Hình 26 Chọn menu File  Save  Desktop Đặt tên file là Certificate_u1 c Mở Windows Explorer  tạo thư mục C:\Test Click nút phải chuột trên thư mục Test Properties Hình 27 d Trong màn hình TestEFS Properties  Advanced.(hinh 28) Sinh Viên :Lê Văn Đức 27 Lớp :CNTT 48b Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm... File – Add\Remove Snap-in Sinh Viên :Lê Văn Đức 30 Lớp :CNTT 48b Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn Hình 35 Add  Certificates  Chọn My user account  Finish – OK Hình 36 h,Click nút phải chuột trên Personal  All Tasks  Import Sinh Viên :Lê Văn Đức 31 Lớp :CNTT 48b Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn Hình 37 f Màn hình Welcome … xuất hiện... điểm kết thúc của kênh tunnel Hình 21 chọn kiểu kết nối mạng Sinh Viên :Lê Văn Đức 23 Lớp :CNTT 48b Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn Hình 22 chọn bộ lọc IP Hình 23 chọn tác động lọc Sinh Viên :Lê Văn Đức 24 Lớp :CNTT 48b Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn Hình 24 phương pháp xác nhận Hình 25 FINISHOK Trong khung cửa sổ chính công cụ... thời dựa vào công cụ này bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mật Hình 5 2.2 Thiết lập chính sách kiểm toán Sinh Viên :Lê Văn Đức 9 Lớp :CNTT 48b Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống, trên các đối tượng cũng như đối với các... System :cho phép tắt hệ thống Sinh Viên :Lê Văn Đức 12 Lớp :CNTT 48b Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn + Synchronize Directory Service Data : Cho phép người dùng đồng bộ dữ liệu với một dịch vụ thư mục + Take Ownership of Files or Other Objects : Cho người dùng tước quyền sở hữu của một đối tượng hệ thống Hình 6.2 2.4 Thuộc tính bảo mật Các lựa chọn bảo mật (Security Options)... :Lê Văn Đức 15 Lớp :CNTT 48b Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn 3,Sự kiện dăng nhập Giúp người dùng sử dụng dễ dàng hơn, hệ thống ,quản lý thông tin của người dùng khi đăng nhập, các lựa chọn thiết lập, lưu trữ thông tin người dùng khi đăng nhập Hình 7.4 4,Giới thiệu về IPsec 4.1,Định nghĩa -Ipsec(IP scurity) là 1 giao thức hỗ trợ bảo mật dựa trên địa chỉ IP -Giao... người dùng hoặc máy tính + Force Shutdown from a Remote System :cho phép tắt máy tính từ hệ thống điều khiển từ xa + Generate Security Audits : cho phép tao entry vào Security log + Increase Quotas :điều khiển hạn ngạch các tiến trình Sinh Viên :Lê Văn Đức 11 Lớp :CNTT 48b Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn + Increase Scheduling Priority : Quy định một tiến trình có thể . 48b 1 Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn -Windows server 2003 web edition -Windows server 2003 standard edition -Windows server 2003 enterprise edition -Windows. mình. ,BC234567.83C563:D;/&''( Trong win 2003 chúng ta có 2 phần dành cho bảo mật cơ bản đó là Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 3 Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn Domain. :Lê Văn Đức Lớp :CNTT 48b 5 Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn Hình 2 Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn cho mật khẩu của người dùng để