Đang tải... (xem toàn văn)
Windows 2003 Infrastructure Security
Topic 3AWindows 2003 Infrastructure SecurityServer RolesSự khác biệt quan trọng giữa Windows Server 2000 với Windows Server 2003 là Server Roles. Server Roles chủ yếu được cấu hình thiết lập cho một tác vụ cụ thể hay một nhóm các tác vụ. Khi kích hoạt Server Roles cụ thể, bạn có thể cấu hình Windows cho tác vụ đó, và kết quả là bạn đã tăng cường bảo mật vì chỉ dùng tài nguyên yêu cầu cho tác vụ đó.Có 12 Server Roles khác nhau trong Windows Server 2003 RC1:• Application Server (IIS, ASP.NET)• DHCP Server• DNS Server• Domain Controller (Active Directory)• File Server• Mail Server (POP3, SMTP)• Print Server• Remote Access / VPN Server• SharePoint Services Server• Streaming Media Server• Terminal Services Server• WINS ServerApplication Server (IIS, ASP.NET)Application server cung cấp những dịch vụ ứng dụng quan trọng trong mạng ví dụ như database (MySQL, SQL Server), Web, FPT server. Với application server, ta cấu hình chung cho các host biết nơi thật sự lưu trữ file, @wthat is, database hay website, trên second hard drive.DHCP ServerDHCP cung cấp một dịch vụ tuy đơn giản nhưng quan trọng để quản lý cấp phát địa chỉ IP trong mạng. Trong Active Directory network, bạn phải chứng thực DHCP Server vào Active Directory. Phải cẩn thận khi cấu hình DHCP Server để cho hệ thống không cấp phát IP cho các client trái phép.DNS Server Khi Active Directory là xương xống của Windows 2003, Active Directory tin tưởng vào DNS, DNS Server trở thành 1 phần quan trong trong tổng thể mạng.Thường xuyên có những đợt tấn công và DNS, vì vậy, cấu hình riêng biệt cho Server rất quan trọng. Phương thức tăng cường DNS sẽ được nói trong phần sau (phần WWW and Internet Securiy Lession).Domain Controller (Active Directory)Từ phiên bản Windows 2000, thay đổi có ý nghĩa nhất là Active Directory và duy trì tiếp trong Windows Server 2003. Active Directory là dịch vụ mà nội bộ mạng tin tưởng vào nó, và Domain Controller thành 1 phần của cơ cấu điểu khiển Active DirectoryFile ServerFile Server có vai trò minh bạch hơn so với các server khác. Tuy nhiên, do tính đơn giản, làm việc quản trị không chặt chẽ, file ko an toàn. Trong server này, tính xác thực là then chốt trong việc kiểm soát truy cập file và folder.Mail Server (POP3, SMTP)Mail Server nên chia thành 1 server riêng. Mail Server cũng giống như DNS là mục tiêu thường xuyên của attacker. Vì thế nên tối thiểu vai trò và dịch vụ chạy trên máy này.Print ServerThường ko được chú ý, Print Server cũng khá quan trọng. Hồ sở cần được bảo mật nhất có thể tới được mọi người trong công ty vì vẫn còn trong hàng đợi của Print Server khi ko được tăng cường bảo mật.Remote Access / VPN ServerVai trò của Remote Access / VPN Server phải được dùng thật cẩn thận. Server này điểu khiển client bằng truy cập trực tiếp vào mạng. Chứng thực ở đây là then chốt, bạn phải đảm bảo chỉ có các client đã được chứng thực mới có khả năng kết nối vào mạng. Nếu bạn muốn dùng server role này, phải tùy chỉnh chứng thực ở mức độ cao cho các client.SharePoint Services ServerSharePoint là dịch vụ mới mà Microft đưa ra. SharePoint là dịch vụ hợp tác, để người sử dụng ở nhiều vị trí khác nhau có thể truy cập và làm việc trên cùng dự án với nhau. Với từng vai trò của từng người tại những vị trí khác nhau, việc chứng thực cũng rất quan trọng trong việc bảo mật của server role này.Streaming Media Server The streaming media server cung cấp dịch vụ streaming dành cho audio và video cho các máy client hay cho các nhân viên trong 1 tổ chức. Bạn có thể dùng streaming media server với nhiều mục đích, ví dụ 1 trường hợp dịch vụ remote-access, việc chứng thực ở phía clients là chủ yếu. Nếu bạn dự tính dùng dịch vụ đa phương tiện của Microsoft qua tường lửa, bạn phải cấu hình với port khác (mặc dù dịch vụ này có thể cấu hình với port 80).Để unicast streaming qua Microsoft's Multimedia Messaging Services mms, bạn cần dùng những port mặc định sau:• TCP - 1755 (Inbound và Outbound)• UDP - 1755 (Inbound và Outbound)• UDP - 1024-5000 (Outbound). Server và remote client sẽ đàm phán port sẽ được dùng trong suốt phiên hoạt động.Terminal Services ServerCác dịch vụ đầu cuối cung cấp thách thức duy nhất để bảo mật thật chuyên nghiệp. Những dịch vụ này cho phép khách hàng từ xa kết nối vào server và ko chỉ truy cập file mà còn thực thi lệnh và truy cập vào tài nguyên mạng. Khi các chức năng này được hoạt động, ví dụ như trường hợp điều khiển truy cập từ xa với server khác, việc kiểm soát xem ai có quyền truy cập vào máy này là tuyệt đối quan trọng. Một trạm server bị hỏng sẽ ngay lập tức gây hại cho tổ chức.WINS ServerWindows Internet Name Service (WINS) khi Service này được triển khai trong mạng Local Area Network nó sẽ phục vụ các Computer trong Network giải quyết để tìm NetBIOS names lẫn nhau, và một Computer A trong Network này có thể thông qua WINS server để giải quyết được NetBIOS name của Computer B ở một Network khác (tất nhiên hệ thống WINS thông thường chỉ được dùng để giải quyết tên Netbios names trong Nội bộ Network của Tổ chức, tránh nhầm lẫn với cách giải quyết hostname của DNS server- có khả năng giải quyết tên dạng FQDN của Internet hoặc Internal Network Domain.)Các Computer trong Internal Network sẽ được cấu hình với vai trò WINS Clients, sẽ đăng kí tên của mình (Netbios hay là tên Computer names) với WINS server. WINS clients cũng có thể gửi các yêu cầu truy vấn tên đến WINS server để giải quyết Name thành IP addresses. Nếu trong Nội bộ Network không có WINS Server, thì Windows clients sẽ gửi các message dạng Broadcast để tìm Netbios name của Computer muốn giao tiếp.Tuy nhiên, nếu các Computer này nằm tại một Network khác (với Network ID khác) thí các Broadcast này sẽ bị ngăn chặn (chức năng ngăn chặn broadcast là mặc định trên các Router). Lúc này, chúng ta có thể bố trí các máy WINS Server ở các Network khác nhau, sau đó mô tả chúng là các Replication Partners của nhau.Từ lập trường về bảo mật, WINS đã ko còn được dùng. Khi Active Directory được thiết kế để hoạt động với DNS và dynamic DNS (DDNS) tiện lợi hơn khi dùng, WINS đã bị giảm thiểu. Tuy nhiên, nếu môi trường cần WINS, bạn vẫn có thể dùng server role này. Khi dùng WINS, bạn nên cấu hình mạng để giảm tối đa NetBIOS broadcast và giới hạn trao đổi giữa các client này.Windows 2003 Infrastructure SecurityTrong nhiều năm, Windows NT 4.0 đáp ứng thị trường rất tốt. Nó cung cấp 1 nền tảng rộng cho công việc kinh doanh và được phổ biến rộng rãi. Tuy nhiên, đó chỉ là khởi đầu cho thời đại công nghệ, và Microsoft cần phải đổi mới Windows Server. Nhưng Windows Server 2003 có gì mới để chuyển sang sử dụng?Với 1 cách tiếp cận hoàn toàn khác để quản lý mạng, Windows Server 2003 có nhiều thành phần mới để người quản trị tiện lợi hơn khi dùng. Trong chủ đề này, ta sẽ khảo sát những thành phần mới và tìm hiểu làm thế nào mà Windows Server 2003 tăng cường bảo mật và các nguồn tài nguyên trong mạng.Trong Windows 2003, nếu bạn đặt nhiều máy tính trong cùng 1 nhóm logic, và chia sẻ nguồn tài nguyên với nhau, bạn phải tạo workgroup. Workgroup thường liên quan đến mạng chia sẻ ngang hàng vì mọi máy đều giống nhau. Trong 1 workgroup có thể có 1 server; nói đơn giản thì đó là stand-alone server. Trong trường hợp này, ko có cơ chế kiểm soát bảo mật mạng, và từng máy sử dụng cơ sở dữ liệu bảo mật cục bộ riêng để kiểm soát truy cập tài nguyên.Trong Windows 2003, cơ sở dữ liệu cục bộ là danh sách tài khoản người dùng và dữ liệu, vị trí để truy cập tài nguyên trên từng máy cục bộ. Vì thế, nếu chia sẻ cho 20 người dùng Windows 2003, phải có 20 cơ sở dữ liệu cục bộ tương ứng. Công việc này ko hiệu quả cho người quản trị để quản lý tài nguyên và bảo mật.Cải tiến lớn trong thiết kế mạng với Windows 2003 là mô hình domain. Nhiều mô hình domain của Windows NT giờ không còn sử dụng. Với thiết kế này, các máy tính được nhóm chung nhưng kiểm soát khác nhau.Trong Windows 2003 domain, ta phải nhóm computers và users cùng chia sẻ thư mục cơ sở dữ liệu trung tâm. Thư mục cơ sở dữ liệu này chứa đựng user account, thông tin bảo mật, thông tin dịch vụ, và nhiều thứ khác cho toàn bộ domain. Để truy cập vào thư mục này phải dựa vào LDAP. Thư mục cơ sở dữ liệu này và phương thức để truy cập vào nó được gọi là Active Directory (AD) và cũng được gọi là dịch vụ chỉ mục Windows 2003 (NTDS).Giao thức LDAP (Lightweight Directory Access Protocol)LDAP là một chuẩn giao thức truy cập thư mục đơn giản, hay là một ngôn ngữ để client và severs sử dụng để giao tiếp với nhau.LDAP là một giao thức “lightweight ” có nghĩa là đây là một giao thức có tính hiệu quả, đơn giản và dễ dàng để cài đặt. trong khi chúng sử dụng các hàm ở mức cao. Điều này trái ngược với giao thức “heavyweight” như là giao thức truy cập thư mục X.500 (DAP) sử dụng các phương thức mã hoá quá phức tạp. LDAP sử dụng các tập các phương thức đơn giản và là một giao thức thuộc tầng ứng dụng.Active Directory là một hệ thống chuẩn và tập trung, dùng để tự động hóa việc quản lý mạng dữ liệu người dùng, bảo mật và các nguồn tài nguyên được phân phối, cho phép tương tác với các thư mục khác. Thêm vào đó, Active Directory được thiết kế đặc biệt cho các môi trường kết nối mạng được phân bổ theo một kiểu nào đó.Mô hình domain của Windows 2003 được quản trị bởi AD, nó thay thế cho tất cả mô hình domain của Windows NT 4.0. Trong AD, không có máy tính nào được thiết kế là Primary hay Backup Domain Controller. Thay vào đó, từng máy server mà tham gia vào việc quản lý domain được gọi là Domain Controller và nó chứa bản sao chép tổng thể của thư mục cơ sở dữ liệu. (Domain Controller phải chạy Windows Server 2003.)Windows 2003 domain ko bị ràng buộc bởi vị trí hay cấu hình mạng. Các máy tính với cùng domain có thể gần nhau như trong mạng LAN (kết nối theo Ethernet truyền thống) hay xa nhau hơn theo mạng WAN (kết nối theo T1, E1, hay một vài công nghệ WAN khác).Active Directory là 1 danh sách thông tin cơ sở dữ liệu cho từng đối tượng có trong domain. Những thông tin này cho biết những đối tượng này sẽ tương tác với những đối tượng khác ra sao.Khi dùng Active Directory trong Windows 2003, trong danh sách này có thể bao gồm thông tin về user accounts, groups, computers, servers, printers, chính sách bảo mật (security policies), và nhiều thông tin khác. Active Directory khởi đầu với 1 số ít các đối tượng và có thể phát triển đến hàng hàng triệu đối tượng trong danh sách.Một thành phần quan trọng của Windows 2003 là DNS. Lý do DNS quan trọng là tùy vào AD. Active Directory tin tưởng vào DNS cung cấp naming information được yêu cầu tới vị trí tài nguyên trong mạng.Ngoài những thông tin được đề cập ở bài trước, AD nắm giữ những thông tin về access control. Khi người dùng đăng nhập vào mạng, người đó phải được chứng thực bằng những thông tin có trong Active Directory. Khi một người dùng cố gắng truy cập vào đối tượng, thông tin yêu cầu để chứng thực truy cập được lưu trữ trong Active Directory và đươc gọi là Discretionary Access Control List (DACL).Các đối tượng trong Active Directory có thể được sắp đặt thành các class. Class đại diện cho 1 nhóm các đối tượng logic đã được người quản trị suy xét. Lớp đối tượng đó bao gồm user acounts, computers, domains, groups, và Organizational Units (OUs). Bạn cũng có khả năng tạo container chứa các đối tượng khác. 1 container là 1 đối tượng mà có thể chứa computers, users, hay các đối tượng khác.Active Directory ComponentsTrong Windows 2003 có một vài thành phần then chốt hoàn thành nên Active Directory. Các thành phần mang tính logic và không có ranh giới là domains, forests, trees, và OUs. Các thành phần của AD mang tính vật lý là domain controller và sites. Các chức năng của AD phân biệt cấu trúc vật lý từ cấu trúc mạng logic.Active Directory Logical StructureMột lợi ích của Active Directory là khả năng xây dựng mạng logic phản chiếu từ cấu trúc logic của tổ chức đó. Cấu trúc logic này trực quan với người sử dụng, và người đó có thể tìm và xác định các tài nguyên bằng tên logic mà ko cần kiến thức xắp đặt vật lý trong mạng.Thành phần chính đằng sau cấu trúc của Active Directory là domain. Một Windows 2003 AD domain bao gồm ít nhất 1 domain và không giới hạn. Microsof đã đặt các đối tượng lưu trữ trong domain rất thú vị. Những đối tượng này được định nghĩa giống với các đối tượng mà người dùng cần khi làm công việc của họ. Ví dụ về những đối tượng này là printers, databases, mail addresses, other users v.v . Từng domain giữ những thông tin về tất cả đối tượng trong domain và chỉ những đối tượng thuộc về domain đó. Những domain cho phép nối 1 hay nhiều vị trí vật lý với nhau. Hình 3-1: Ví dụ về mô hình logic mạng của Windows 2003 Active DiretoryDomain được dùng như 1 ranh giới để kiểm soát bảo mật tại nơi đó. Access Control List (ACL) được dùng để điều chỉnh truy cập xác định đến các đối tượng domain, như là shared folder, để quy định người sử dụng. ACL chứa đựng quyền cho phép hay chặn truy cập 1 đối tượng nào đó, ví dụ như người dùng hay nhóm, hoặc 1 đối tượng khác ví dụ như file, folder, hay printer.Trong domain có OUs. OU là nơi chứa mang tính logic được dùng để phản chiếu thêm cho cấu trúc logic của tổ chức. OU có thể chứa uers, groups, shared folder và printer, và các OU khác trong cùng domain. Mọi domain trong mạng cần phải có một cấu hình OU duy nhất, không phụ thuộc vào domain khác.Các chính sách bảo mật và các chính sách liên quan đến cách hành xử của computer và user (Group Policies) có thể được chỉ định cho một stand-alone computer, a site, a domain, hay an OU thích hợp. Có thể chỉ định cách chính sách cho từng OU mà bạn ko cần phải làm. Nếu muốn dùng 1 chính sách dùng cho tất cả OUs trong mạng, bạn có thể chỉ định chính sách đó cho parent OUs hay cho domain, vì cách hành xử mặc định cho phép các đối tượng con kế thừa cách chính sách từ các đối tượng cha ở trong Active Directory. Một mục quan trọng khác cần chú ý là chính những Group Policy là đối tượng trong AD; ngoài ra, các quyền thi hành có thể được cấp cho GP. Để chính sách có hiệu lực với 1 đối tượng, đối tượng đó phải có quyền tối thiểu là Read và quyền Apply Group Policy cho chính sách đó.Một khái niệm mới trong Windows 2003 là forests và trees. Một tree là một cấu trúc logic, tạo bởi nhóm thiết kế mạng, của 1 hay nhiều Windows 2000 domain chia sẻ cùng 1 namespace. Các Domain được liến kết với nhau theo cấu trúc phân tầng và theo chuẩn đặt tên DNS. Trong hình 3-3, những domain con của SecuritySertified.Net dùng tên cha của nó trong cấu trúc tên.SecurityCertified.NetUK.SecurityCertified.NetUS.SecurityCertified.NetIL.US.SecurityCertified.NetHình 3-3: Một domain tree của Windows 2003 dùng chuẩn đặt tên DNSDomainDomainDomainDomain Trong cấu trúc Windows 2003 Active Directory, một forest là tập hợp của một hay nhiều domain tree độc lập. Những tree độc lập này liên kết trust với nhau. Từng tree trong forest duy trì hệ thống đặt tên DNS riêng, và không yêu cầu bất cứ namespace tương tự nào từ 1 tree khác. Từng domain có chức năng riêng của nó, nhưng kết nối logic của forest cho phép truyền thông trên toàn doanh nghiệp. Cơ cấu của Windows Server 2003 (.NET) phải thêm 1 bước nữa: thực hiện tin cậy giữa 2 forest để tọa liên đoàn.Việc thực hiện trust trong Windows 2003 Active Directory khá khác so với Windows NT 4.0. Trong Windows 2003, tất cả trust giữa 2 domain mặc định có 2 chiều transitive trust. Trust dựa trên Kerberos version 5 là tự động tạo trust khi một domain mới được thêm vào tree. Domain khởi nguồn của tree được gọi là root domain, và các domain sau đó ở trạng thái 2 chiều transitive trust nối với tree. Đó là do trust nên các user và computers từ domain nào đó có thể được chứng thực tại tại bất kỳ domain trong tree hay forest. (Việc chứng thực dựa vào việc thiết lập quyền riêng).Note: một transitive trust nghĩa là nếu domain C trust domain B và domain B trust domain A thì domain C trust domain A.Khi có một Windows domain cũ trong mạng, như là Windows NT 4.0 domains, một trust cụ thể có thể được tạo. Trust này được gọi là trust 1 chiều rõ ràng, và nó là notransitive. Như thế, một mạng dùng Windows 2003 chạy Active Directory có thể truyền thông với domain cũ như Windows NT 4.0.Một tùy chỉnh khác để tự tạo trusts là kết nối 2 Windows 2003 domains nằm ở phía dưới của trees trong các forest khác nhau. Việc này có thẻ giúp tăng tốc độ truyền thông giữa 2 domain. Cách này được gọi là shotcut trust.Active Directory Physical StructureMặc dù việc thiết kế chính và thực hiện Active Directory ở khía cạnh logic, khia cạnh vật lý cũng phải được giải quyết. Các thành phần chính của khía cạnh vật lý của Active Directory là các site, sự liên kết giữa các site, và Domain Controllers.Site được định nghĩa theo microsoft "là một kết hợp của một hay nhiều Internet Protocol (IP) subnets được kết nối bởi các liên kết đáng tin cậy tốc độ cao tập trung lại nếu được". Fast link thường được gọi khi kết nối ở tốc độ tối thiểu là 512 Kbps. Nói cách khác, site được thiết kế để ánh xạ cấu trúc vật lý trong mạng của bạn và có thể hoặc không được tạo các IP subnet khác nhau.Cần nhớ rằng domain được thiết kế để phản ánh các nhu cầu hợp lý trong mạng và áp dụng mô hình logic đó để thiết kế một mạng vật lý. Không có sự liên quan giữa site và domain. Có thể có nhiều domain trong 1 site, và có thể có nhiều site cho 1 domain.Một site cũng không phải là 1 phần của DNS namespace. Có nghĩa là khi duyệt đến thư mục nào dó, ban sẽ thấy các tài khoản user và computer được quản lý bởi domain hoặc OU, nhưng ko phải bởi site. Có duy nhất 1 thứ mà site chứa đựng là các đối tượng Computer và các đối tượng liên quan đến kết nối và các mô phỏng từ site này đến site khác.Các thành phần tô điểm cho Active Directory chính là Domain Controllers (DCs). Những máy tính chạy DC này phải chạy trên Windows 2003 Servers, và chúng có một bản sao chính xác của Domain Directory. Trong thực tế, khi thay đổi trong DC thì cũng có hiệu lực với Active Directory, và tất cả các DCs khác sẽ nhận được bản thay đổi này. Vì một vài domain controller có thể chứng thực một user, từng controller được yêu cầu phải có Directory này. Các chức năng căn bản của Domain Controller là:• Từng DC lưu trữ 1 bản copy về thông tin Active Directory liên quan đến domain đó (gọi tắt là một AD partition).• Từng DC sao chép các thay đổi tới tất cả các DC khác để đảm bảo nhất quán mô hình mạng.• Từng DC sao chép các thay đổi quan trọng tới tất cả các DC khác ngay lập tức.• Từng DC có thể yêu cầu chứng thực đăng nhập.Windows 2003 DNSĐể Active Directory hoạt động trong khả năng của nó, DNS phải được chạy trong mạng. Việc triển khai DNS namespace sẽ là nền tảng của AD namespace khi tạo. Bằng cách làm theo những thủ tục này, bạn có thể dễ dàng truyền thông IP, dùng tên liên quan tới từng mạng.Một tính năng chính của Windows 2003 là Dynamic DNS (DDNS). DDNS cho phép các client (các client nhận IP address tự động (theo máy chủ DHCP)) có tên và IP address đã được đăng ký trong mạng. Với một DDNS server chạy trong mạng, các máy client tự động truyền thông với server, xác nhận tên và địa chỉ, và cập nhật thông tin DNS mà không cần user can thiệp vào.Một lợi ích khi dùng DDNS trong mạng là khả năng loại bỏ các protocol và các servervice khác mà đang được chạy liên kết với các tài nguyên. Ví dụ, Windows Internet Name Server (WINS) của Windows NT 4.0 ko còn cần thiết và NetBEUI cũng thế, nhưng cũng nên cần để cung cấp thêm khả năng tương tích ngược.Group Policy ComponentsThành phần cuối trong cở cở hạ tầng của Windows 2003 là group policy. Một group policy là 1 nhóm các thiết lập của user và computer mà được áp dụng cho computers, domains, OUs, và sites. Ví dụ, bạn có thể thiết lập một group policy để gỡ bỏ 1 các đối tượng trong Start menu.Khi cấu hình thiết lập group policy, nó được đặt ở Group Policy Object (GPO). GPO chịu trách nhiệm kiểm soát ứng dụng chính sách tới các đối tượng Active Directory, như là sites, OUs, và domains. Khi GPO được cấu hình, nó áp dụng các chính sách tới các đối tượng AD đã được chỉ định, và mặc định, các chính sách sẽ có hiệu lực tói tất cả các computer chứa trong đối tượng AD. [...]... trong Windows 2003 là forests và trees. Một tree là một cấu trúc logic, tạo bởi nhóm thiết kế mạng, của 1 hay nhiều Windows 2000 domain chia sẻ cùng 1 namespace. Các Domain được liến kết với nhau theo cấu trúc phân tầng và theo chuẩn đặt tên DNS. Trong hình 3- 3, những domain con của SecuritySertified.Net dùng tên cha của nó trong cấu trúc tên. SecurityCertified.Net UK.SecurityCertified.Net US.SecurityCertified.Net IL.US.SecurityCertified.Net Hình... Directory là xương xống của Windows 2003, Active Directory tin tưởng vào DNS, DNS Server trở thành 1 phần quan trong trong tổng thể mạng. Thường xuyên có những đợt tấn cơng và DNS, vì vậy, cấu hình riêng biệt cho Server rất quan trọng. Phương thức tăng cường DNS sẽ được nói trong phần sau (phần WWW and Internet Securiy Lession). Domain Controller (Active Directory) Từ phiên bản Windows 2000, thay đổi... quản lý trong Windows 2003, nó có thể được mở bằng công cụ Microsoft Management Console (MMC). Trong Group Policy Editor, bạn đã được thấy 2 đối tượng cha để quản lý là User Configuration và Computer Configuration. Bạn tạo GPO sau đó áp dụng các yêu cầu cần thiết. • Computer Configuration node cung cấp tùy chỉnh để quản lý cách hành xử của operating system, account policies, IP security policies,... hình 3- 3, những domain con của SecuritySertified.Net dùng tên cha của nó trong cấu trúc tên. SecurityCertified.Net UK.SecurityCertified.Net US.SecurityCertified.Net IL.US.SecurityCertified.Net Hình 3-3: Một domain tree của Windows 2003 dùng chuẩn đặt tên DNS Domain DomainDomain Domain ... từng vai trò của từng người tại những vị trí khác nhau, việc chứng thực cũng rất quan trọng trong việc bảo mật của server role này. Streaming Media Server Hình 3-1: Ví dụ về mơ hình logic mạng của Windows 2003 Active Diretory Domain được dùng như 1 ranh giới để kiểm sốt bảo mật tại nơi đó. Access Control List (ACL) được dùng để điều chỉnh truy cập xác định đến các đối tượng domain, như là shared folder,... cách hành xử duy nhất tới user như là Desktop settings, Control Palnel settings, Start menu settings, và nhiều thứ khác. TASK 3A-1 Configuring a Custom MMC and GPO 1. Khởi động máy tính của bạn vào Windows 2003, và đăng nhập vào Administrator 2. Từ Start Menu,chọn Run và vào gõ mmc để vào Microsoft Management Console. 3. Chọn FileAdd/Remove Snap-In. 4. Click vào Add button 5. Trong bảng danh sách,chọn... nói trong phần sau (phần WWW and Internet Securiy Lession). Domain Controller (Active Directory) Từ phiên bản Windows 2000, thay đổi có ý nghĩa nhất là Active Directory và duy trì tiếp trong Windows Server 2003. Active Directory là dịch vụ mà nội bộ mạng tin tưởng vào nó, và Domain Controller thành 1 phần của cơ cấu điểu khiển Active Directory File Server File Server có vai trị minh bạch hơn so . Topic 3AWindows 2003 Infrastructure SecurityServer RolesSự khác biệt quan trọng giữa Windows Server 2000 với Windows Server 2003 là Server Roles.. broadcast và giới hạn trao đổi giữa các client này .Windows 2003 Infrastructure SecurityTrong nhiều năm, Windows NT 4.0 đáp ứng thị trường rất tốt. Nó cung