Số tiết: 60 Giáo viên: TS Vũ Mạnh Tuấn E-mail: vutuankeio@gmail.com October 7, 2013 Học viện Kỹ thuật Quân Khoa CNTT – Bộ môn An ninh mạng Nội dung       Giới thiệu Windows Firewall IPSec Bảo vệ truy cập mạng (Network Access Protection) RODC Các công cụ khác: BitLocker, Terminal Services… October 7, 2013 Học viện Kỹ thuật Quân Khoa CNTT - An ninh mạng Bảo vệ vá lỗi cho lõi (Kernel patch protection) Ngăn ngừa thực liệu (Data execution prevention) BitLocker October 7, 2013 DirectAccess BitLocker To Go AppLocker Nhiều Profile cho Firewall Streamlined UAC Enhanced Storage Access DNSSEC Enhanced Auditing Suite-B for EFS, Keberos, TLS v1.2… Học viện Kỹ thuật Quân Windows Củng cố dịch vụ (Service hardening) Windows Server 2008 Cơ sở an ninh Phần 1: Công nghệ an ninh với Windows Biometric Framework HTTP PKI Enroll PVI smartcard Khoa CNTT - An ninh mạng An ninh Windows Server 2008  Windows Server 2008 tạo để nhấn mạnh khía cạnh an ninh mạng:  Làm giảm môi trường công nhân hệ điều hành       (kernel) thơng qua Server Core Mở rộng sách nhóm Windows Firewall Bảo vệ truy cập mạng (NAP) Hướng dẫn cấu hình an ninh Kiểm sốt tài khoản người dùng Mã hóa ổ đĩa với BitLocker October 7, 2013 Học viện Kỹ thuật Quân Khoa CNTT - An ninh mạng An ninh Windows Server 2008  Server Core giải pháp phù hợp cho máy chủ Web máy chủ khác vùng phi quân (DMZ) mạng  Vùng phi quân (DMZ)  Là phần mạng nằm mạng, ví dụ, nằm mạng riêng mạng Internet  Phân loại sách nhóm bao gồm:  Quản lý lượng  Gán máy in theo vị trí  Giao quyền để cài đặt driver cho máy in  Thiết lập cấu hình an ninh  Thiết lập cấu hình cho Internet Explorer October 7, 2013 Học viện Kỹ thuật Quân Khoa CNTT - An ninh mạng Tăng cường an ninh WS 2008  Phương thức an ninh tăng cường sách  Network Location Awareness  NAP  Giao thức an ninh Internet (Internet Security Protocol)  Cô lập Server Domain  Active Directory Domain Services Auditing  RODC  Kiểm soát cài đặt ổ đĩa tháo rời  PKI cho doanh nghiệp October 7, 2013 Học viện Kỹ thuật Quân Khoa CNTT - An ninh mạng Phần 2: Windows Firewall  What is a firewall?  Firewall types  How a firewall works  Default firewall behavior  Windows firewall features  Configuring Windows firewall October 7, 2013 Học viện Kỹ thuật Quân Khoa CNTT - An ninh mạng Firewall gì?  Một thiết bị lọc gói tin vào thơng qua để     trợ giúp việc chặn liệu không phép Mục đích tường lửa loại bỏ luồng liệu không mong muốn luồng liệu từ worm cho qua luồng liệu hợp lệ Việc lọc dựa IP, TCP, UDP tiêu chí khác liên quan đến gói tin liên quan đến xác thực Các tiêu chí cụ thể hóa tập luật firewall Tập luật firewall tương tự danh sách kiểm sốt truy cập  Ví dụ: permit host 172.16.1.1 host 180.50.1.1 eq Telnet October 7, 2013 Học viện Kỹ thuật Quân Khoa CNTT - An ninh mạng Các dạng Firewall  Lọc gói, trạng thái (stateful) proxy  Lọc gói đưa định dựa gói tin mà khơng cần quan tâm đến gói tin trước theo hướng (vào hay ra)  Firewall trạng thái giữ vết gói tin lọc dựa thông tin chuỗi gói tin  Proxy firewall hoạt động cở sở ứng dụng Người dùng gửi tới proxy proxy tạo gói tin xuất phát từ proxy October 7, 2013 Học viện Kỹ thuật Quân Khoa CNTT - An ninh mạng Các dạng Firewall  Firewall chạy mạng (network-based) chạy thiết bị đầu cuối (host-based)  Firewall chạy mạng chạy router, switch nhiều lớp (multi-layer switch) firewall chuyên dụng  Firewall chạy thiết bị đầu cuối chạy máy tính sử dụng hệ điều hành Windows hay UNIX  Firewall cứng firewall mềm  Firewall cứng thiết bị phần cứng chuyên dụng thiết kế để hoạt động với hiệu suất cao  Firewall mềm, trạng thái, dựa thiết bị đầu cuối  Đánh giá gói tin đến xác định gói tin qua hay khơng dựa thơng tin gói tin tương tự trước  Firewall Windows Server 2008 phiên nâng cấp firewall Windows XP Windows Server 2003 October 7, 2013 Học viện Kỹ thuật Quân Khoa CNTT - An ninh mạng 10 Phần 5: Chính sách nhóm  Chính sách nhóm Windows Server 2008  Cho phép quản trị mạng tiêu chuẩn hóa mơi trường làm việc máy khách máy chủ cách thiết lập sách Active Director  Định nghĩa đặc tính sách nhóm:  Chính sách nhóm thiết lập cho site, domain, OU, máy      tính cục Chính sách nhóm khơng thể thiết lập cho vật chứa folder không thuộc OU Các cấu hình sách nhóm lưu trữ đối tượng sách nhóm (GPO) Các GPO cục khơng cục Chính sách nhóm thiết lập để ảnh hưởng tới tài khoản người dùng máy tính Khi sách nhóm cập nhật, chinh sách cũ bị xóa cập nhật cho tất máy khách October 7, 2013 Học viện Kỹ thuật Quân Khoa CNTT - An ninh mạng 57 An ninh Windows Server 2008 sử dụng sách an ninh  Các sách an ninh tập chinh sách riêng biệt  Nằm sách nhóm lớn site, domain, OU, máy tính cục  Các sách an ninh bao gồm:  Chính sách tài khoản  Chính sách kiểm toán (Audit Policy)  Quyền người dùng (User Rights)  Ccs tùy chịn an ninh (Security Options)  Các sách cho IP Security October 7, 2013 Học viện Kỹ thuật Quân Khoa CNTT - An ninh mạng 58 Thiết lập sách tài khoản  Chính sách tài khoản  Các biện pháp an ninh thiết lập sách nhóm áp dụng cho tài khoản cho tài khoản vật chứa sử dụng môi trường AD  Mật  Một lựa chọn thiết lập thời hạn hết hiệu lực mật để bắt buộc người dùng thay đổi mật thường xuyên  Một vài tổ chức yêu cầu mật phải có độ dài tối thiểu (ví dụ: ký tự)  Các tùy chọn cho mật       Tăng cường lịch sử mật Thời hạn sử dụng tối đa mật Thời hạn sử dụng tối thiểu mật Chiều dài mật tối thiểu Mật phải thỏa mãn yêu cầu phức tạp Lưu trữ mật sử dụng mã hóa thuận nghịch October 7, 2013 Học viện Kỹ thuật Quân Khoa CNTT - An ninh mạng 59 Khóa mật  Hệ điều hành sử dụng sách khóa mật  Để hạn chế truy cập tới tài khoản (kể ngời chủ tài khoản) sau số lần nhập mật khơng  Khóa mật thiết lập để tự động hủy sau khoảng thời gian  Hoặc cách can thiệp từ quản trị mạng  Một sách chung đặt khóa mật sau đến 10 lần nhập mật không  Các tham số cho khóa mật  Khoảng thời gian khóa  Ngưỡng khóa mật  Reset khóa mật sau October 7, 2013 Học viện Kỹ thuật Quân Khoa CNTT - An ninh mạng 60 Khóa mật  An ninh với Kerberos  Liên quan đến việc sử dụng vé (ticket) trao đổi máy khách yêu cầu đăng nhập truy cập dịch vụ mạng với máy chủ Active Directory chấp nhận truy cập  Nâng cao Windows Server 2008  Sử dụng mã hóa AES  Khi Active Directory cài đặt, sách tài khoản tự động cho phép sử dụng Kerberos October 7, 2013 Học viện Kỹ thuật Quân Khoa CNTT - An ninh mạng 61 Chính sách kiểm tốn  Ví dụ kiện mà tổ chức kiểm tốn là:  Sự kiện Logon Logoff tài khoản  Quản lý tài khoản  Truy cập dịch vụ thư mục  Sự kiện Logon Logoff máy tính cục  Truy cập đối tượng  Thay đổi sách  Sử dụng đặc quyền  Theo dõi tiến trình  Các kiến hệ thống October 7, 2013 Học viện Kỹ thuật Quân Khoa CNTT - An ninh mạng 62 Quyền người dùng  Quyền người dùng cho phép tài khoản nhóm thực nhiệm vụ xác định trước  Quyền khả truy cập máy chủ  Các quyền khác bao gồm việc gán đặc quyền để tạo tài khoản quản lý chức máy chủ  Một số ví dụ đặc quyền bao gồm:  Thêm workstation vào domain  Sao lưu file thư mục  Thay đổi thời gian hệ thống  Tạo đối tượng chia sẻ vĩnh viễn  Tạo việc kiểm tra an ninh  Nạp bỏ trình điều khiển thiết bị  Thực nhiệm vụ bảo trì volume  Tắt hệ thống October 7, 2013 Học viện Kỹ thuật Quân Khoa CNTT - An ninh mạng 63 Quyền người dùng  Các ví dụ quyền đăng nhập bao gồm:  Truy cập tới máy tính từ mạng  Cho phép đăng nhập cục  Cho phép đăng nhập thông qua Terminal Services  Từ chối truy cập tới máy tính từ mạng  Từ chối đăng nhập dịch vụ (logon as a service)  Từ chối đăng nhập cục  Từ chối đăng nhập thông qua Terminal Services October 7, 2013 Học viện Kỹ thuật Quân Khoa CNTT - An ninh mạng 64 Các tùy chọn an ninh  Trên 78 tùy chọn an ninh đặc biệt với nhiều tùy chọn đưa vào Windows Server 2008  Có thể cấu hình sách an ninh  Mỗi phân loại có tùy chọn đặc biệt October 7, 2013 Học viện Kỹ thuật Quân Khoa CNTT - An ninh mạng 65 Dịch vụ quản lý quyền AD  Dịch vụ quản lý quyền (RMS)  Các quyền an ninh Microsoft phát triển nhằm cung cấp an ninh cho tài liệu, bảng tính, e-mail, dạng file khác ứng dụng tạo  Các khả an ninh người dùng mã hóa, xác thực người dùng chứng an ninh nhằm đảm bảo an tồn cho thơng tin  Các bước thơng thường dịch vụ quản lý quyền  Ví dụ: Một người dùng tạo tài liệu Word  Để bảo vệ tài liệu với RMS, Word mã hóa tài liệu sử dụng khóa AES khóa RSA phụ  Máy chủ RMS môi trường AD cung cấp chứng (license) cho người dùng truy cập tài liệu  Người dùng đưa chứng cho máy chủ RMS cần truy cập tài liệu  Máy chủ RMS xác thực người dùng xác định mức truy cập October 7, 2013 Học viện Kỹ thuật Quân Khoa CNTT - An ninh mạng 66 Phần 6: Các dịch vụ khác  BitLocker  Terminal Services  RemoteApp  EasyPrint  Web Access October 7, 2013 Học viện Kỹ thuật Quân Khoa CNTT - An ninh mạng 67 BitLocker  Mã hóa liệu lưu trữ hệ thống volume hệ thống (system volume) volume liệu  Được giới thiệu Windows Vista  Nhằm bảo vệ liệu laptop bị bị ăn cắp  Với Windows Server 2008: sử dụng nới khơng đảm bảo an tồn  Đảm bảo khóa máy số PIN USB chứa số PIN cắm vào máy tính  Windows giới thiệu “BitLocker to Go”, tức BitLocker ổ đĩa USB TS RemoteApp  Là ứng dụng truy cập từ xa thông qua TS  Hiển thị thông tin hình cục ứng dụng chạy chỗ  Có cửa sổ riêng  Hiển thị taskbar  Có thể chạy ứng dụng khác máy tính người dùng  Có thể chia sẻ phiên làm việc TS với chương trình RemoteApp khác máy chủ đầu cuối TS EasyPrint  Cho phép người dùng in từ ứng dụng RemoteApp programs phiên làm việc Remote Desktop  Sử dụng máy in mạng với trình điều khiển máy in cài máy tính người dùng  Khơng cần cài đặt trình điều khiển máy in máy chủ TS Web Access  Là ứng dụng từ xa chạy từ trình duyệt Web  TS Web Access xuất phần SharePoint Web Part ... công ty dược chuyên nghiên cứu phát triển s n phẩm thuốc chữa bệnh CMaC có trụ s thành phố HCM chi nhánh phòng nghiên cứu nhiều thành phố nước  Do liệu truyền chi nhánh mang tính nhạy cảm, nên... UAC Enhanced Storage Access DNSSEC Enhanced Auditing Suite-B for EFS, Keberos, TLS v1.2… H c viện Kỹ thuật Quân Windows Củng cố dịch vụ (Service hardening) Windows Server 2008 Cơ s an ninh Phần... lỗi, checksum cho phép nhận biết thông báo cho máy nhận  Tuy nhiên, thuật tốn tính trường checksum phổ biến rộng rãi, nên hacker chặn liệu, thay đổi nội dung tính lại checksum máy gửi máy nhận