Upload
tuan
View
261
Download
2
Embed Size (px)
Citation preview
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
LỜI MỞ ĐẦUNhư chúng ta đã biết khoa học máy vi tính ngày nay vô cùng phát triển, do nhu
cầu trao đổi thông tin tăng lên không ngừng .Ngày nay máy vi tính là một vật bất khả
li thân của nhiều người, nó đi sâu vào đời sống và giúp lưu trữ, xử lý thông tin hết sức
đơn giản. Nhưng do yêu cầu công việc muốn trao đổi thông tin với nhau thì người ta
cần đến một giao thức hết sức quan trọng đó là giao thức mạng máy tính. Mạng vi tính
giúp rút ngắn khoảng cách về địa lí dù bạn ở nơi đâu Điều đó đã kéo theo sự phát triển
đến chóng mặt của các mạng máy vi tính như:mạng lan mạng wan, mạng internet…Để
đáp ứng yêu cầu thời đại, Microsoft nhà cung cấp phần mềm hàng đầu trên thề giới đã
tung ra nhiều hệ điều hành như: window server 2000, window server 2003… để điều
hành ,quản lý mạng máy vi tính. Cùng với nhu cầu trao đổi thông tin thì cũng yêu cầu
khả năng bảo mật thông tin đó ngày càng tốt hơn. Window server 2003 (win2k3)là
một sự lựa chọn đúng đắn. Win2k3 là phiên bản kế thừa và phát triển các hệ điều hành
trước đó. Nó đã tích hợp rất nhiều công cụ mạnh nhằm giúp người quản trị có thể thiết
lập bảo mật , quản trị hệ thống tin trong mạng của mình trước các cuộc thâm nhập hệ
thống trái phép.vì vậy việc tìm hiểu về chính sách bảo mật trong window server 2003
là một nhu cầu tất yếu.Tuy hiện giờ Microsoft đã tung ra phiên bản window server
2008 kế thừa và phát triển của win 2k3 nhưng win 2k3 vẫn là sử dụng phổ biến nhất.
Đầu tiên để tìm hiểu về chính sách bảo mật trong win2k3 chúng ta cần hiểu khái
niệm bảo mật trong window server 2003 là gì?và tại sao chúng ta lại đi tìm hiểu về
chính sách bảo mật trong win2k3?
Sau đó chúng ta sẽ đi sâu vào tìm hiểu các chính sách bảo mật trong win 2k3 gồm
những bộ phận nào và chức năng nhiệm vụ của từng bộ phận.
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
LỜI CẢM ƠN Em xin chân thành cảm ơn ban giám hiệu trường Đại Học Kinh Tế Quốc Dân Bộ
Môn Công nghệ Thông tin đã tạo điều kiện thuận lợi cho em thực hiện Báo Cáo này.
Cảm ơn thầy Phạm Minh Hoàn đã tận tình hướng dẫn , cung cấp tài liệu để em
thực hiện tốt đồ án này.
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
MỤC LỤC
Lởi mở đầu
Lời cảm ơn
Mục lục............................................................................................................................................................1
Chương I.: TỔNG QUAN VỀ HỌ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003...............................3
Chương II.: BẢO MẬT TRONG HỆ ĐIỀU HÀNH WINDOWS SERVER 2003..................................5
I, Tim hiêu hê thông bảo mât mang trong window server 2003...........................5
1,Khái niêm bảo mât trong window server 2003...............................................5
II, Các hê thông bảo mât cơ bản trên win 2003.....................................................5
1,Chinh sách tài khoản người dung.....................................................................5
1.1,Giơi thiêu......................................................................................................5
1.2, Tim hiêu......................................................................................................5
1.2.1, Chinh sach mật khẩu............................................................................6
1.2.2, Chinh sach khoa tài khoản..................................................................7
1.2.3, Chinh sach Kerberos(hình 4)...............................................................8
1.2.4, Giới thiệu về Kerberos..........................................................................8
2,Chinh sách cục bô..............................................................................................9
2.1,Giơi thiêu......................................................................................................9
2.2 Thiêt lâp chinh sách kiêm toán................................................................10
2.3 , Thiêt lâp quyên hê thông cho người dung.............................................10
2.4 Thuôc tinh bảo mât...................................................................................13
3,Sư kiên đăng nhâp...........................................................................................16
4,Giơi thiêu vê IPsec...........................................................................................16
4.1,Định nghĩa..................................................................................................16
4.2,Cách sử dụng.............................................................................................16
4.3,Tác dụng.....................................................................................................16
II,Những biên pháp bảo mât nâng cao.................................................................25
1,Tim hiêu vê EFS trên WorkGroup.................................................................25
1.1,Giơi thiêu và mục đich..............................................................................25
1.2,Chuẩn bị.....................................................................................................26
1.3, Mã hóa thư mục........................................................................................26
1.4. Admin tao Recovery Agent......................................................................28
2,EFS trên Domain..............................................................................................32
2.1, Mục đich :..................................................................................................32
2.2, Chuẩn bị :..................................................................................................32
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 1
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
2.3,Thưc hiên :.................................................................................................33
3,Bảo mât nhóm quản trị nôi bô trên các desktop...........................................33
4,Bảo mât trên Server 2003 Domain Controllers.............................................37
5, window firewall...............................................................................................42
5.1, giơi thiêu....................................................................................................42
5.2, Hương dẫn cài đặt....................................................................................42
5.3, Chức năng.................................................................................................44
5.4, Han chê......................................................................................................44
6,Giải Pháp Firewall ISA – Đơn Giản Mà Hiêu Quả......................................44
6.1,Mô hinh Giải pháp cho doanh nghiêp vừa và nhỏ.................................46
6.2,Ưu nhược điêm của giải pháp..................................................................47
6.3,Giải pháp Firewall Cisco Cho Doanh Nghiêp.........................................48
6.4 Môt sô mô hinh mang cho doanh nghiêp……………………………….50
III.Lời kêt.............................................................................................................50
IV.Những tài liêu tham khảo.............................................................................54
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 2
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Chương I.
TỔNG QUAN VỀ HỌ HỆ ĐIỀU HÀNH
WINDOWS SERVER 2003
Như chúng ta đã biết họ hệ điều hành Windows 2000 Server có 3 phiên bản chính là:
Windows 2000 Server,
Windows 2000 Advanced Server,
Windows 2000 Datacenter Server.
Với mỗi phiên bản Microsoft bổ sung các tính năng mở rộng cho từng loại dịch
vụ. Đến khi họ Server 2003 ra đời thì Mircosoft cũng dựa trên tính năng của từng
phiên bản để phân loại do đó có rất nhiều phiên bản của họ Server 2003 được tung ra
thị trường. Nhưng 4 phiên bản được sử dụng rộng rãi nhất là:
-Windows server 2003 web edition
-Windows server 2003 standard edition
-Windows server 2003 enterprise edition
-Windows server 2003 datacenter edition
So với các phiên bản 2000 thì họ hệ điều hành Server phiên bản 2003 có những đặc
tính mới sau:
- Network Load Balancing Clusters
Tổng hợp các sức mạnh đơn lẽ thành một
tăng cường khả năng chịu lỗi
- Windows Server 2003 hỗ trợ hệ điều hành WinXP tốt hơn như: hiểu
được chính sách nhóm (group policy) được thiết lập trong WinXP, có bộ công cụ
quản trị mạng đầy đủ các tính năng chạy trên WinXP.
- Tính năng cơ bản của Mail Server được tính hợp sẵn: đối với các công ty nhỏ
không đủ chi phí để mua Exchange để xây dựng Mail Server thì có thể sử dụng dịch
vụ POP3 và SMTP đã tích hợp sẵn vào Windows Server 2003 để làm một hệ thống
mail đơn giản phục vụ cho công ty.
- Cung cấp miễn phí hệ cơ sở dữ liệu thu gọn MSDE (Mircosoft Database
Engine) được cắt xén từ SQL Server 2000.Tuy MSDE không có công cụ quản trị
nhưng nó cũng giúp ích cho các công ty nhỏ triển khai được các ứng dụng liên quan
đến cơ sở dữ liệu mà không phải tốn chi phí nhiều để mua bản SQL Server.
- NAT Traversal hỗ trợ IPSec đó là một cải tiến mới trên môi trường 2003
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 3
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
này, nó cho phép các máy bên trong mạng nội bộ thực hiện các kết nối peer-to-peer
(mạng đồng đẳng) đến các máy bên ngoài Internet, đặt biệt là các thông tin được
truyền giữa các máy này có thể được mã hóa hoàn toàn.
- Bổ sung thêm tính năng NetBIOS over TCP/IP cho dịch vụ RRAS
(Routing and Remote Access). Tính năng này cho phép bạn duyệt các máy tính
trong mạng ở xa thông qua công cụ Network Neighborhood.
- Phiên bản Active Directory 1.1 ra đời cho phép chúng ta ủy quyền giữa các gốc
rừng với nhau đồng thời việc backup dữ liệu của Active Directory cũng dễ dàng hơn
- Hỗ trợ tốt hơn công tác quản trị từ xa do Windows 2003 cải tiến
RDP (Remote Desktop Protocol) có thể truyền trên đường truyền 40Kbps.
Web Admin cũng ra đời giúp người dùng quản trị Server từ xa thông qua một
dịch vụ Web một cách trực quan và dễ dàng.
- Hỗ trợ môi trường quản trị Server thông qua dòng lệnh phong phú hơn
- Các Cluster NTFS có kích thước bất kỳ khác với Windows 2000 Server chỉ
hỗ trợ 4KB
- Cho phép tạo nhiều gốc DFS (Distributed File System) trên cùng một Server.
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 4
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Chương II.:
BẢO MẬT TRONG HỆ ĐIỀU HÀNH WINDOWS
SERVER 2003.
I, Tim hiêu hê thông bảo mât mang trong window server 2003
1,Khái niêm bảo mât trong window server 2003
Bảo mật trong win2k3 là tập hợp tất cả các chính sách công cụ trong win2k3
nhằm thiết lập bảo mật hệ thống . Thiết lập chính sách bảo mật trên người dùng, nhóm,
quyền hạn của người dùng nhằm tăng cường mức an toàn cho mạng của mình.
II, Các hê thông bảo mât cơ bản trên win 2003
Trong win 2003 chúng ta có 2 phần dành cho bảo mật cơ bản đó là
Domain controller security setting và Default domain security setting . Hai phần này
có những thành phần giống nhau nhưng tác dụng, ảnh hưởng của chúng thì khác nhau.Nếu
chúng ta chỉnh trên phần Domain controller security setting thì sẽ có ảnh hưởng đến toàn bộ
domain: các tài khoản truy nhập domain từ các máy con và máy trạm.
Do vậy trong đồ án này em chỉ trình bày về Default domain security setting.
1,Chinh sách tài khoản người dung
1.1,Giơi thiêu
Chính sách tài khoản người dùng (Account Policy) được dùng để chỉ định các
thông số về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy ra. Nó
cho phép người dùng cấu hình các thông số bảo mật máy tính : chính sách mật khẩu,
khóa tài khoản và chứng thực Kerberos trong vùng. Nếu trên Server thành viên thì
người sử dụng sẽ thấy hai mục Password Policy và Account Lockout Policy, trên máy
Windows Server 2003 làm domain controller thì sẽ thấy ba thư mục Password Policy,
Account Lockout Policy và Kerberos Policy. Trong Windows Server 2003 cho phép
bạn quản lý chính sách tài khoản tại hai cấp độ là: cục bộ và miền
1.2, Tim hiêu
Muốn cấu hình các chính sách tài khoản người dùng ta vào:
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 5
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Start /program/administrative tools/default domain security settings(hình 1)
Hình 1
1.2.1, Chinh sách mât khẩu
Hình 2
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 6
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn cho mật khẩu
của người dùng để tránh các trường hợp đăng nhập bất hợp pháp vào hệ thống. Chính
sách này cho phép bạn qui định :chiều dài ngắn nhất của mật khẩu, độ phức tạp của
mật khẩu…
1.2.2, Chinh sách khóa tài khoản
Hình 3
Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức và thời
điểm khóa tài khoản trong vùng hay trong hệ thống cục bộ. Chính sách này giúp hạn
chế tấn công thông qua hình thức logon từ xa.
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 7
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
1.2.3, Chinh sách Kerberos(hinh 4)
Hình 4
1.2.4, Giơi thiêu vê Kerberos
Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tính
hoạt động trên những đường truyền không an toàn. Giao thức Kerberos có khả năng
chống lại việc nghe lén hay gửi lại các gói tin cũ và đảm bảo tính toàn vẹn của dữ liệu.
Mục tiêu khi thiết kế giao thức này là nhằm vào mô hình máy chủ máy khách (client-
server) và đảm bảo nhận thực cho cả hai chiều.Giao thức được xây dựng dựa trên mật mã
hóa khóa đối xứng và cần đến một bên thứ ba mà cả hai phía tham gia giao dịch tin tưởng.
a, Nguyên tắc hoat đông
Kerberos được thiết kế dựa trên giao thức Needham-Schroeder. Kerberos sử
dụng một bên thứ ba tham gia vào quá trình nhận thực gọi là "trung tâm phân phối
khóa" (tiếng Anh: Key distribution center - KDC). KDC bao gồm hai chức năng: "máy
chủ xác thực" (Authentication server - AS) và "máy chủ cung cấp vé" (Ticket granting
server - TGS). "Vé" trong hệ thống Kerberos chính là các chứng thực chứng minh
nhân dạng của người sử dụng.
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 8
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Mỗi người sử dụng (cả máy chủ và máy khách) trong hệ thống chia sẻ một khóa
chung với máy chủ Kerberos. Việc sở hữu thông tin về khóa chính là bằng chứng để
chứng minh nhân dạng của một người sử dụng. Trong mỗi giao dịch giữa hai người sử
dụng trong hệ thống, máy chủ Kerberos sẽ tạo ra một khóa phiên dùng cho phiên giao
dịch đó.
b, Nhược điêm
Tồn tại một điểm yếu: Nếu máy chủ trung tâm ngừng hoạt động thì mọi hoạt
động sẽ ngừng lại. Điểm yếu này có thể được hạn chế bằng cách sử dụng nhiều
máy chủ Kerberos.
Giao thức đòi hỏi đồng hồ của tất cả những máy tính liên quan phải được đồng
bộ. Nếu không đảm bảo điều này, cơ chế chứng thực dựa trên thời hạn sử dụng
sẽ không hoạt động. Thiết lập mặc định đòi hỏi các đồng hồ không được sai
lệch quá 10 phút.
Cơ chế thay đổi mật khẩu không được tiêu chuẩn hóa.
2,Chinh sách cục bô
2.1,Giơi thiêu
Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách
giám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung. Đồng
thời dựa vào công cụ này bạn có thể cấp quyền hệ thống cho các người dùng và thiết
lập các lựa chọn bảo mật.
Hình 5
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 9
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
2.2 Thiêt lâp chinh sách kiêm toán
Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các
sự kiện xảy ra trong hệ thống, trên các đối tượng cũng như đối với các người dùng.
Bạn có thể xem các ghi nhận này thông qua công cụ Event Viewer trong mục
Security.
2.3 , Thiêt lâp quyên hê thông cho người dung
Đối với hệ thống Windows Server 2003, bạn có hai cách cấp quyền hệ thống
cho người dùng là: gia nhập tài khoản người dùng vào các nhóm tạo sẵn (built-in) để
kế thừa quyền hoặc bạn dùng công cụ User Rights Assignment để gán từng quyền rời
rạc cho người dùng. Trong hai công cụ đó bạn mở mục Local Policy\ User Rights
Assignment để thêm ,bớt quyền hạn cho người dùng hoặc nhóm .Ta chọn quyền cần
cấp rồi ấn ADD hoặc REMOVE .
+Access This Computer from the Network : cho phép truy cập đến máy tính
này thông qua mạng
+Act as Part of the Operating System :cho phép các dịch vụ chứng thực ở mức thấp
+Add Workstations to the Domain : cho phép thêm tài khoản vào vùng (domain)
+Back Up Files and Directories : cho phép sao lưu dự phòng tập tin và thư mục
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 10
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
+Bypass Traverse Checking :cho phép người dùng duyệt qua cấu trúc thư
mục .nếu không có quyền xem
+ Change the System Time :thay đổi giờ hệ thống
+ Create a Pagefile :tạo 1 trang tập tin
+ Create a Token Object :cho phép tạo thẻ bài nếu dùng NTCreate Token API.
+ Create Permanent Shared Objects :tạo 1 đối tượng thư mục
+ Debug Programs : cho phép sử dụng chương trình DEBUG vào bất kì tiến trình nào
+ Deny Access to This Computer from the Network :cho phép khóa tài khoản
người dùng hoặc nhóm truy cập đến máy tính này từ mạng
+ Deny Logon as a Batch File :từ chối logon như 1 file batch+ Deny Logon as a
Service :từ chối logon như 1 tác vụ (service)
+ Deny Logon Locally: từ chối người dùng hoặc nhóm đăng nhập đến máy cục bộ
Hình 6
+ Enable Computer and User Accounts to Be Trusted by Delegation : cho phép
tài khoản người dùng hoặc nhóm được ủy quyền cho người dùng hoặc máy tính
+ Force Shutdown from a Remote System :cho phép tắt máy tính từ hệ thống
điều khiển từ xa
+ Generate Security Audits : cho phép tao entry vào Security log.
+ Increase Quotas :điều khiển hạn ngạch các tiến trình
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 11
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
+ Increase Scheduling Priority : Quy định một tiến trình có thể tăng hoặc giảm độ
ưu tiên đã được gán cho tiến trình khác.
+ Load and Unload Device Drivers :cho phép cài đặt hoặc gỡ bõ driver của thiết
bị khác
+ Lock Pages in Memory :khóa trang trong vùng nhớ
+ Log On as a Batch Job : Cho phép một tiến trình logon vào hệ thống và thi
hành một tập tin chứa các lệnh hệ thống.
+ Log On as a Service : Cho phép một dịch vụ logon và thi hành một dịch vụ riêng.
+ Log On Locally : Cho phép người dùng logon tại máy tính Server.
+ Manage Auditing and Security Log : Cho phép người dùng quản lý Security log.
+ Modify Firmware Environment Variables : Cho phép người dùng hoặc một tiến
trình hiệu chỉnh các biến môi trường hệ thống.
+ Profile System Performance : Cho phép người dùng giám sát các tiến trình hệ
thống thông qua công cụ Performance Logs and Alerts.
+ Remove Computer from Docking Station : Cho phép người dùng gỡ bỏ một
Laptop thông qua giao diện người dùng của Windows 2003
+ Replace a Process Level Token : Cho phép một tiến trình thay thế một token
mặc định mà được tạo bởi một tiến trình con.
+ Restore Files and Directories : cho phép phục hồi tập tin và thư mục
+ Shut Down the System :cho phép tắt hệ thống
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 12
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
+ Synchronize Directory Service Data : Cho phép người dùng đồng bộ dữ liệu
với một dịch vụ thư mục.
+ Take Ownership of Files or Other Objects : Cho người dùng tước quyền sở
hữu của một đối tượng hệ thống.
Hình 6.2
2.4 Thuôc tinh bảo mât
Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server khai
báo thêm các thông số nhằm tăng tính bảo mật cho hệ thống như: không cho phép hiển
thị người dùng đã logon trước đó hay đổi tên tài khoản người dùng tạo sẵn
(administrator, guest). Trong hệ thống Windows Server 2003 hỗ trợ cho chúng ta rất
nhiều lựa chọn bảo mật, nhưng trong giới hạn đồ án này em chỉ khảo sát các lựa chọn
thông dụng
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 13
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Hình 7.1
+Shutdown: allow system to be shut down without having to log on : cho phép tắt
hệ thống mà không cần logon
+ Audit : audit the access of global system objects : Giám sát việc truy cập các
đối tượng hệ thống toàn cục.
+ Network security: force logoff when logon hours expires : Tự động logoff khỏi
hệ thống khi người dùng hết thời gian sử dụng hoặc tài khoản hết hạn.
+ Interactive logon: do not require CTRL+ALT+DEL : Không yêu cầu ấn ba
phím CTRL+ALT+DEL khi logon.
+ Interactive logon: do not display last user name : Không hiển thị tên người
dùng đã logon trên hộp thoại Logon.
+ Account: rename administrator account : Cho phép đổi tên tài khoản
Administrator thành tên mới
+ Account: rename guest account : Cho phép đổi tên tài khoản Guest thành tên mới
+Account: Administrator account status :tài khoản admin
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 14
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Hình 7.2
+account:guest account status :tài khoản guest
+account:limit local account use of blank passwords to console logon only : giới
hạn tài khoản cục bộ sử dụng mật khẩu trắng khi logon
+Audit:audit the user of backup and restore privilege :cho phép người dùng tạo
lưu trữ và phục hồi đặc quyền
+Audit: Shut down system immediately if unable to log security audits :tắt hệ
thống ngay lập tức nếu bảo mật cho phép
+DCOM:machine access restrictions in security
+shutdown:clear vitual memory pagefile :xoa pagefile bộ nhớ ảo
Hình 7.3
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 15
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
3,Sư kiên dăng nhâp
Giúp người dùng sử dụng dễ dàng hơn, hệ thống ,quản lý thông tin của người dùng
khi đăng nhập, các lựa chọn thiết lập, lưu trữ thông tin người dùng khi đăng nhập .
Hình 7.4
4,Giơi thiêu vê IPsec
4.1,Định nghĩa
-Ipsec(IP scurity) là 1 giao thức hỗ trợ bảo mật dựa trên địa chỉ IP
-Giao thức hoạt động ở tầng thứ 3 network trong mô hình OSI nên nó an toàn
và tiện lợi hơn tầng APPLICATION
4.2,Cách sử dụng
Để sử dụng IPsec bạn phải tạo ra qui tắc (rule) .1 qui tắc là sự kết hợp của :bộ
lọc (filter) và hành động (action)
4.3,Tác dụng
-IPsec của microsoft hỗ trợ 4 tác động (action),các tác động này giúp việc trao
đổi thông tin ,dữ liệu giữa các máy tính an toàn hơn.
+Block transmissions: có chức năng chặn những gói dữ liệu được truyền
+Encryp transmissions:mã hóa dữ liệu được truyền
+Sign transmissions: ký tên vào các gói dữ liệu được truyền nhằm tránh giã mạo
+Permit transmissions:cho dữ liệu truyền thông qua dựa vào các qui tắc (rule)
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 16
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
4.4,Tim hiêu
Cách vào IPsec:
StartProgramsadministrative toolsdefault domain controller security
settingsIP security policies on local machine
a, Cách thêm bô lọc mơi
Nhấp phải vào IP security policies on active directory manage ip filter lists and
filter actions chọn tab manage ip filter listsadd để thêm
Hình 8
Ấn NEXTđiền tênrồi ấn add
Hình 9
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 17
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Rồi chọn mirrored …. Để cho qui tắc có tác dụng qua lại giữa 2 máy
Hình 10
Đến điền địa chỉ nguồn
Hình 11
Đến điền dịa chỉ máy đích
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 18
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Hình 13
Chọn kiểu kết nối
Hình 14
FINISH ok
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 19
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
b,Thiêt lâp tác đông lọc
Chọn tab manage filter actions
Hinh15
ấn add để thêmđiền tênaddNEXT
Hình 16
Chọn kiểu lọc
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 20
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Hình 17
Chọn tác động
Hình 18
Bảo mật IP
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 21
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Hình 19
c, Cách kêt hợp bô lọc và tác đông bảo mât
Nhấp phải chuột IP security on active directorygreate ip security policyadd
để thêm IP mớiđiền tên(hình 20)
Hình 20
chọn điểm kết thúc của kênh tunnel
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 22
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Hình 21
chọn kiểu kết nối mạng
Hình 22
chọn bộ lọc IP
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 23
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Hình 23
chọn tác động lọc
Hình 24
phương pháp xác nhận
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 24
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Hình 25
FINISHOK
Trong khung cửa sổ chính công cụ domain controller policynhấp phải vào tên ip vừa
tạo chọn assign để chính sách này hoạt động trên server
d,Các chinh sách IP tao sẵn
CLIENT: qui định máy của bạn không chủ động sử dụng IPsec trừ khi đối tác
yêu cầu.Và nó cho phép kết nối được với máy dung IPSEC hoặc không dùng IPSEC
-SERVER:qui định máy bạn cố gắng khởi tạo IPSEC mỗi khi kết nối với máy tính
khác.Nhưng nếu máy CLIENt không thể dùng IPSEC thì server vẫn chấp nhận kết nối
không dùng IPSEC
-Secure Server:bắt buộc sử dụng IPSEC trong mọi cuộc trao đổi dữ liệu trong server
e,Kêt luân
IPSEC là 1 phần hỗ trợ giúp việc trao đổi dữ liệu được nâng cao và an toàn hơn
II,Những biên pháp bảo mât nâng cao
1,Tim hiêu vê EFS trên WorkGroup
1.1,Giơi thiêu và mục đich
EFS là chữ viết tắt của Encrypt File System dược dung để mã hóa hệ thống tập
tin thông qua certificate.
Tạo Recovery Agent để phục hồi dữ liệu khi user bị mất Certificate
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 25
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
1.2,Chuẩn bị
-1 máy chạy window xp
-Tạo 1 user và logon bằng user. Vừa tạo ở đây đặt tên là le van duc
-Tao 1 thư mục test ,ở đây là trên ổ c tên là test
1.3, Mã hóa thư mục
a. Logon U1. Start Run mmc OK
b. Chọn menu File Add/Remove Snap-in … Certificates Add Close OK.
Hiện tại trong Personal chưa có gì cả !!!(hình 26)
Hình 26
Chọn menu File Save Desktop. Đặt tên file là Certificate_u1
c. Mở Windows Explorer tạo thư mục C:\Test
Click nút phải chuột trên thư mục Test Properties
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 26
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Hình 27
d. Trong màn hình TestEFS Properties Advanced.(hinh 28)
Hình 28
Trong màn hình Advanced Attributes đánh dấu chọn ô Encrypt contents to secure
data OK Apply OK(hình 29)
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 27
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Hình 29
e. Trong thư mục Test, tạo 1 file tên u1.txt với nội dung là “Day la file cua u1”
f. Double click biểu tượng Certificate_u1 trên desktop Lúc này, trong Certificates
của Personal có 1 certificate của U1,đây là certificate “self singing” của u1
Logon Administrator, mở file C:\TestEFS\u1.txt không mở được.
Hinh 31
1.4. Admin tao Recovery Agent
a. Logon Administrator. Vào Start menu Run cmd
b. Tại màn hình Command Prompt, gõ các lệnh sau:
- CD \
- MD ABC
- CD ABC
- Trong ABC, đánh lệnh cipher /r:filename (VD : cipher /r:local_recover) và Enter.
Chương trình sẽ tạo ra 2 file .CER và .PFX
Sau đó quay về Windows
4.Áp policy để Recovery Agent có khả năng đọc các file bị mã hóa
a. Logon administrator. Vào Start Run gõ gpedit.msc OK
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 28
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
b. Chọn Computer Configuration Windows Settings Security Settings Public
Key Policies Click nút phải chuột trên Encrypting File System – chọn Add Data
Recovery Agent …(hình 32)
Hình 32
c. Màn hình Welcome … xuất hiện Next.
Trong màn hình Select Recovery Agents chọn Browse Folders
Hình 33
d. Tìm đến thư mục C:\ABC chọn file local_recover.cer Open(hình 35)
(Lưu ý : file .cer)
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 29
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Hình 34
e. Trong màn hình Select Recovery Agents Next.
f. Trong màn hình Completing the Add Recovery Agent Wizard Finish
Thoát ra Command prompt, gõ lệnh : gpupdate /force
g. Vào Start Open : mmc – OK Trong màn hình Console1 Menu File – Add\
Remove Snap-in
Hình 35
Add Certificates Chọn My user account Finish – OK
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 30
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Hình 36
h,Click nút phải chuột trên Personal All Tasks Import
Hình 37
f. Màn hình Welcome … xuất hiện Next. Chỉ đến thư mục C:\ABC – Chọn file
có biểu tượng chìa khóa (có phần mở rộng là *.pfx)
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 31
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Hình 38
i. Trong màn hình File to Import , nhấn Next
k. Trong màn hình Password, chọn ô Mark this key as exportable … Next ….
Finish
Hình 39
n,Tiếp tục ấn next để thu được kết quả sau khi chỉnh certificates
2,EFS trên Domain
2.1, Mục đich :
Tương tự EFS trên WorkGroup
2.2, Chuẩn bị :
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 32
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
- 1 máy làm Domain Controller
- Install Enterprise CA
- Đặt password cho Administrator là 123
- Tạo User có username/password u2/123
- Cho u2 quyền logon locally
- Tạo thư mục C:\TestEFS
2.3,Thưc hiên :
1.3.1,Logon bằng user u2. Tạo 1 file u2.txt. Encrypt file này
a. Logon U2, đặt thuộc tính Encrypt cho thư mục C:\TestEFS
(Tương tự trên XP)
b. Sau khi mã hóa file xong, click nút phải chuột trên u2.txt properties Advanced Details
c. Trong màn hình Encryption Detail …, để ý trong phần Data Recovery Agents
For This File As Defined By Recovery Policy có Administrator Admin sẽ đọc
được file mà u2 mã hóa (Default).
Nhấn OK để thoát ra.
d. Vào Administrative Tools Chuột phải trên Certification Authority chọn
Run as UserName/Password: Administrator/123
e. Trong thư mục Issued Certificates chú ý thấy u2 tự xin 1 certificate dùng
cho việc mã hóa.
Thoát ra khỏi màn hình Certificate Authority – không cần lưu lại.
1.3.2. Logon Administrator, mở file C:\TestEFS\u2.txt mở được Trong hệ thống
Domain, Administrator mặc nhiên là Recovery Agent
3, Bảo mât nhóm quản trị nôi bô trên các desktop
Có ba nhiệm vụ điển hình bạn cần thực hiện để bảo vệ nhóm Local
Administrators. Windows Server 2003 và Windows Vista SP1 (được cài đặt RSAT) sẽ
mang đến cho bạn những điều khiển mới đáng kinh ngạc làm cho các cấu hình này trở
nên nhẹ nhàng!
Nếu công ty của bạn cũng giống như hầu hết các công ty khác thì sẽ có nhiều
người dùng có quyền quản trị viên nội bộ trên các máy trạm của họ. Có nhiều giải
pháp để loại trừ sự cần thiết này, đây chính là hướng mà mọi công ty đều muốn thực
hiện. Khi người dùng đăng nhập vào hệ thống với tư cách một quản trị viên nội bộ, các
nhân viên CNTT sẽ không thể kiểm soát được người dùng đó hoặc máy tính của họ.
Chính vì vậy để bảo vệ nhóm quản trị viên nội bộ trên các máy trạm bạn cần phải sử
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 33
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
dụng đến một số công cụ mạnh. Có ba nhiệm vụ bạn cần thực hiện để bảo vệ nhóm
người dùng này sẽ được giới thiệu đến trong bài.
Nhiêm vụ 1: Remove tài khoản người dung trong miên
Nhiệm vụ ban dầu trong việc bảo vệ nhóm quản trị viên nội bộ là bảo đảm rằng
người dùng sẽ không nằm trong hội viên của nhóm nữa. Điều này nói bao giờ cũng dễ
hơn thực hiện vì hầu hết các công ty đều cấu hình tài khoản miền của người dùng là
thành viên trong nhóm này khi cài đặt máy tính của người dùng.
Hãy xem xét đến kịch bản ở nơi mà bạn giải quyết vấn đề với những người
dùng đang đăng nhập vào máy tính của họ với quyền quản trị viên nội bộ và lúc này
bạn cần phải remove các tài khoản người dùng trong miền từ nhóm quản trị viên nội
bộ trên mỗi máy trạm trong môi trường sản xuất của mình. Bạn có tới 10.000 máy
trạm, laptop, và những người dùng từ xa, chính vì vậy có một nhiệm đặt ra với bạn.
Nếu tạo một kịch bản để thực hiện nhiệm vụ này thì bạn sẽ phải dựa vào người dùng
để đăng xuất và quay trở về kịch bản để tiếp tục chạy. Không bao giờ xảy ra đối với
khoảng một nửa các máy trạm, chính vì vậy bạn cần đến một cách khác.
Một giải pháp hoàn hảo ở đây là sử dụng Local Group – Group Policy Preference có
thể thực hiện nhiệm vụ này trong khoảng 90 phút. Để thực hiện công việc này, bạn chỉ
cần soạn thảo Group Policy Object (GPO) và cấu hình chính sách sau: User
Configuration\Preferences\Control Panel Settings\Local Users và Groups\New\Local
Group, thao tác sẽ mở ra hộp thoại New Local Group Properties như thể hiện trong
hình 1.1. Sau khi mở trang thuộc tính này, hãy chọn “Remove the current user”. Tùy
chọn này sẽ ảnh hưởng đến tất cả các tài khoản trong phạm vi quản lý của GPO có
thiết lập này. Thiết lập này sẽ áp dụng trong suốt quá trình refresh ngầm của Group
Policy tiếp theo, quá trình diễn ra không đến 90 phút.
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 34
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Hình 1.1: Local Group GPP cho phép bạn kiểm soát thành viên của nhóm
quản trị viên nội bộ
Nhiêm vụ 2: Thêm Domain Admin và Local Administrator
Bước kế tiếp trong quá trình bảo vệ nhóm quản trị viên của nội bộ là bảo đảm
rằng nhóm toàn cục Domain Admins và tài khoản local Administrator đều được thêm
vào nhóm local Administrators trên mỗi desktop.
Có thể sử dụng chính sách Restricted Groups (các nhóm hạn chế) có trong
Windows Active Directory Group Policy để thực hiện nhiệm vụ này. Tuy nhiên vấn đề
với giải pháp này ở chỗ chính sách này là một chính sách “xóa và thay thế”, không
phải là chính sách theo đúng nghĩa nối thêm dữ liệu. Chính vì vậy khi bạn cấu hình
một chính sách để thực hiện nhiệm vụ này thì bạn sẽ xóa toàn bộ nội dung của nhóm
local Administrators và thay thế nó bằng hai tài khoản này.
Bằng cách sử dụng chính sách Local Users and Groups được mô tả trong nhiệm
vụ 1, bạn không chỉ có thể remove người dùng đã đăng nhập mà còn có thể bổ sung
thêm hai tài khoản chính để bảo đảm có đúng các đặc quyền quản trị được thiết lập
trên mỗi máy trạm, xem thể hiện trong hình 2.
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 35
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Hình1.2: Gắn thêm thành viên của nhóm local Administrators
Nhiêm vụ 3: Revome các tài khoản cụ thê
Bước cuối cùng trong công việc bảo vệ nhóm local Administrators là bảo đảm
rằng chỉ có các tài khoản xác thực mới có quyền hội viên. Trong nhiều trường hợp, có
những nhóm trong miền được thêm vào nhóm local Administrators để thực hiện một
nhiệm vụ nào đó, hoàn tất một dự án hoặc thực hiện việc bảo trì. Nếu các nhóm này
không cần thiết phải nằm trong nhóm local Administrators thì bạn hoàn toàn có thể
remove chúng bằng chính sách Local Users and Groups mới.
Trong một trường hợp cũng tương tự như vậy mà bạn đã thêm vào hai tài khoản
trong nhiệm vụ 2 thì cũng có thể thêm các tài khoản vào chính sách cần được remove.
Để thực hiện điều này, bạn hãy chọn tùy chọn “Remove from this group” khi thêm tài
khoản vào chính sách, xem thể hiện trong hình 3.
Hình 1.3: Remove một nhóm hoặc một người dùng nào đó từ nhóm local
Administrators
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 36
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Lúc này bạn có thể kiểm soát được toàn bộ thành viên của nhóm local
Administrators, thậm chí còn có thể remove các tài khoản nhóm và người dùng không
cần thiết.
Có được các công cụ và các Rule
Để bạn có thể lợi dụng các thiết lập của Group Policy Preferences trong Windows
Server 2008 và Vista bạn chỉ cần có một trong những thứ dưới đây đối với mạng của mình:
Windows Server 2008 Server
Windows Vista SP1, đã cài đặt Remote Server Administrative Toolset
Cả hai hệ điều hành này đều có Group Policy Management Console và Group Policy
Management Editor mới và đã được cải tiến.
Các thiết lập có trong Group Policy Preferences mới có thể áp dụng cho các hệ điều
hành dưới đây:
Windows XP SP2 và phiên bản cao hơn
Windows Server 2003 SP1 và phiên bản cao hơn
Windows Vista SP1 và phiên bản cao hơn
Windows Server 2008 và phiên bản cao hơn
Tuy nhiên bất kỳ phiên bản Windows 2000 nào lại không được!
Kêt luân : 100% sự thật ở đây là các nhân viên CNTT không hề có điều khiển trên
những máy trạm mà người dùng có các đặc quyền quản trị viên. Chính vì vậy tất các
các công ty cần phải thực thi việc kiểm soát các máy trạm cũng như bảo vệ nhóm quản
trị nội bộ. Các bước được giới thiệu trong bài này hoàn toàn có thể nhờ có sự trợ giúp
của Group Policy Preferences có trong Windows Server 2008 và Vista. Chỉ cần một
vài click, bạn có thể sẽ có được 100% quyền kiểm soát đối với các máy trạm của mình
và nhóm quản trị nội bộ. Các thiết lập này sẽ áp dụng trong vòng khoảng 90 phút, có
hiệu lực cho tất cả các máy tính nằm trong miền và trong mạng.
4,Bảo mât trên Server 2003 Domain Controllers
4.1, giơi thiêu
Vì máy Domain Controller quản lý Windows domain và tất cả các máy tính nằm trong
Domain đó, nên việc bảo vệ nó phải được quan tâm một cách thích đáng. Trong phần,
chúng ta sẽ điểm qua một vài việc cần phải làm để bảo vệ Domain Controllers.
4.2, Thưc hiên
Bảo vệ Domain controller (DCs) gồm 3 bước
Bươc 1: Bảo vê vât lý các DCs
a. Gỡ bỏ tất cả các ổ đĩa có thể tháo ra được như ổ mềm, ổ CD/DVD, các ổ cứng
gắn ngoài, ổ USB,…Điều này sẽ gây khó khăn cho kẻ xâm nhập khi muốn chép một
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 37
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
chương trình nào đó (ví dụ virus) vào máy hoặc chép dữ liệu từ máy ra. Các cổng có
thể dùng gắn các thiết bị bên ngoài vào như USB/IEEE 1394, cổng serial, cổng
parallel, cổng SCSI…, nếu bạn không có nhu cầu dùng chúng thì nên disable (thông
qua Bios) hoặc tháo ra khỏi server luôn.
b. Khóa thùng server để ngăn cản việc lấy cắp ổ cứng hoặc gây hại đến các thành
phần trong máy
c. Đặt server vào cabinet và khóa lại và bảo vệ hệ thống điện cho server để đảm
bảo không bị ngắt điện.
Bươc 2: Bảo vê các DCs khỏi viêc tấn công từ xa
Một khi bạn đã hài lòng với việc bảo vệ server ở tần vật lý, việc tiếp theo cần
phải chú ý là ngăn cản các hacker, cracker và attacker, không cho phép cho truy nhập
vào DCs qua đường mạng. Tất nhiên, phương thức “tốt nhất” là bỏ các DCs ra khỏi
mạng – nhưng tất nhiên điều này là không thể. Thay vì thế, bạn cần phải làm các bước
sau để chống lại các phương pháp tấn công phổ biến
Bươc 3: Bảo mât tài khoản Domain
Một trong những cách dễ nhất (đối với hacker) và cũng là một trong nhưng
cách phổ biến nhất để xâm nhập vào mạng và các DCs là truy cập vào bằng một tài
khoản và mật khẩu hợp pháp.nếu bạn sử dụng tài khoản quản trị mặc định mà tên của
nó (Administrator) thì tất cả các hacker đều biết. Công việc của anh ta bây giờ là chỉ
cần tìm thêm một thông tin nữa (mật khẩu). Và không giống như các tài khoản thông
thường, tài khoản quản trị mặc định không bị locked out (tạm khóa) nếu vượt quá số
lần đăng nhập sai. Điều này có nghĩa là hacker chỉ cần đoán (sử dụng phương pháp
brute-force) các mật khẩu cho đến khi đăng nhập được. Điều này là lý do tại sao bạn
nên đổi tên tài khoản quản trị có sẵn (built-in) này. Tất nhiên, việc đổi tên cũng không
giúp gì mấy nếu bạn quên xóa dòng mô tả mặc định (“Built-in account for
administering the computer/domain”). Ý tưởng ở đây là làm sao để kẻ tấn công khó
đoán được tài khoản có quyền quản trị. Việc này chỉ có nghĩa là “làm chậm lại” quá
trình tấn công. Một người có kinh nghiệm sẽ dễ dàng phát hiện ra điều này.
Trong Windows 2003, bạn có thể disable hoàn toàn tài khoản administator
built-in. Trong trường hợp này, đầu tiên bạn phải tạo một tài khoản khác và cấp quyền
quản trị. Tài khoản guest nên được disable (như mặc định). Nếu bạn cần cấp quyền
guest cho ai đó, bạn nên tạo một tài khoản mới và giới hạn quyền truy cập của tài
khoản đó.
Tất cả các tài khoản – mà đặc biệt là tải khoản quản trị - nên có mật khẩu mạnh
bao gồm ít nhất là 8 ký tự: chữ, số và các ký tự đặc biệt, chữ in hoa và in thường, và
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 38
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
không được có trong từ điển. Các người dùng cũng phải chú ý không viết mật khẩu ra
giấy cũng như chia sẻ mật khẩu đó với một người khác (social engineering là một
trong những cách phổ biến nhất mà các hacker sử dụng), và một chính sách về việc
thay đổi mật khẩu thường xuyên phải được đặt ra.
Bươc 4: Đặt lai đường dẫn cho AD Database
Cơ sở dữ liệu Active Directory (AD) bao gồm các thông tin nhạy cảm và cần
phải được bảo vệ. Một cách để làm việc này là di chuyển các file từ đường dẫn mặc
định, nơi mà các kẻ tấn công hy vọng sẽ tìm thấy chúng (trên system volume). Để an
toàn hơn nữa, nên xem xét việc đặt chúng lên các striped hay mirrored volume để có
thể khôi phục lại chúng trong trường hợp đĩa cứng bị hỏng.
Các file trên bao gồm:
a. Ntds.dit
b. Edb.log
c. Temp.edb
Ghi chú: Việc di chuyển các tập tin AD database sang một đĩa cứng vật lý khác cũng
giúp tăng hiệu quả của DC.
Bạn có thể dùng tiện ích NTDSUTIL.EXE để di chuyển database và log file. Cách
làm như sau:
1. Khởi động lại máy domain controller
2. Bấm F8 lúc startup để truy cấp vào tùy chọn Advanced
3. Từ menu, chọn Directory Services Restore Mode
4. Nếu bạn có hơn một phiên bản của Windows Server 2003 cài trên máy, chọn phiên
bản đúng và bấm Enter.
5. Tại màn hình đăng nhập, gõ vào mật khẩu administrator được nhập trong quá trình
DCPROMO(hình a)
Hình a
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 39
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
6. Chọn Start --> Run và gõ cmd, Tại cửa sổ lệnh, gõ NTDSUTIL.EXE
7. Tại dấu nhắc của NTDSUTIL, bấm FILES
8. Chọn database và log file bạn muốn di chuyển. Bấm MOVE DB TO hay MOVE
LOGS TO.
9. Chọn QUIT 2 lần để quay về cửa sổ command và đóng cửa sổ command lại.
10. Khởi động lại và đăng nhập vào Windows Server 2003 như bình thường
Bươc 5: Bảo vê thông tin mât khẩu vơi SyskeyMột trong nhưng thông tin nhạy cảm
nhất được chứa trong Active Directory là thông tin về mật khẩu của các tài khoản
trong Domain. Chương trình System Key (Syskey) được dùng để mã hóa thông tin mật
khẩu của tài khoản được chứa trong directory services của domain controller.
Có 3 chế độ trong Syskey. Ở mode thứ nhất, được bật mặc định trên tất cả các Server
2003, một khóa hệ thống (system key) được tạo ra một cách ngẫu nhiên và phiên bản
đã được mã hóa của khóa được lưu trữ cục bộ. Trong mode này, bạn vẫn có thể khởi
động lại máy một cách bình thường.
Trong mode 2, khóa hệ thống được tạo ra và lưu trữ giống như mode 1, nhưng
một mật khẩu khác, được chọn bởi administrator, cung cấp thêm sự bảo vệ. Khi bạn
khởi động lại máy, bạn phải nhập mật khẩu syskey này trong quá trình startup. Mật
khẩu này không được lưu trữ locally.
Mode thứ 3 là phương thức bảo mật nhất. Khóa được máy tính phát sinh ra
được lưu trữ trên đĩa mềm thay vì trên máy. Bạn không thể khởi động được máy trừ
khi bạn có được cái đĩa mềm đó, và bạn phải bỏ nó vào ổ đĩa khi được yêu cầu trong
quá trình khởi động.
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 40
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Ghi chú: trước khi thực hiện bước 2 hoặc 3, bạn nên xem xét về khả năng thực hiện.
Ví dụ, việc bỏ đĩa mềm chứa mật khẩu syskey sẽ cần bạn phải bỏ vào; điều này có
nghĩa là bạn không thể khởi động máy tính từ xa nếu không có ai ở đó để bỏ đĩa mềm
vào cho bạn.
Dưới đây là các bước để tạo một syskey:
1. Chọn Start --> Run, gõ cmd
2. Tại cửa sổ command, gõ SYSKEY
3. Chọn UPDATE. Check vào ENCRYPTION ENABLED.
4. Để yêu cầu nhập mật khẩu syskey khi khởi động, chọn PASSWORD STARTUP.
5. Nhập mật khẩu vào (mật khẩu có thể từ 12 đến 128 ký tự).
6. Nếu bạn không muốn hỏi mật khẩu khi khởi động, chọn SYSTEM GENERATED
PASSWORD.
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 41
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
7. Tùy chọn mặc định là STORE STARTUP KEY LOCALLY. Nếu bạn muốn lưu
khóa trên đĩa mề, chọn STORE STARTUP KEY ON FLOPPY DISK.
Nếu bạn sử dụng mode 3, lưu mật khẩu trên đĩa mềm, thì bạn nên tạo thêm một
đĩa mềm backup.
Kêt luân
Bảo vệ các DCs là phần sống còn trong kế hoạch bảo mật mạng của bạn. Trong
bài viết này, chúng ta đã thảo luận làm thế nào để bảo vệ vật lý các DCs, bảo mật tài
khoản domain, di chuyển các AD Database files, và cách sử dụng tiện ích Syskey để
bảo vệ thông tin mật khẩu của các tài khoản được lưu trưc trên Domain Controllers
5, window firewall
5.1 giơi thiêu
Windows Firewall, trước đây là Firewall kết nối Internet hoặc ICF, là một ranh
giới bảo vệ màn hình và thông tin hạn chế di chuyển giữa máy tính của bạn và một
mạng lưới hoặc Internet. Này cung cấp một dòng chống lại một người có thể thử truy
cập vào máy tính của bạn từ bên ngoài Firewall Windows mà không cần sự cho phép
của bạn.
5.2, Hương dẫn cài đặt
Nếu bạn đang chạy win2k3, Windows Firewall được bật theo mặc định. Tuy nhiên,
một số nhà sản xuất máy tính và quản trị mạng có thể tắt nó đi.
Để mở Windows Firewall
1. Click Start và sau đó chọn Control Panel.
2. Trong bảng điều khiển, nhấp vào Windows Security Center.
3. Click vào Windows Firewall.
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 42
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
.
Lưu ý Bạn không cần phải sử dụng Windows Firewall, bạn có thể cài đặt và
chạy bất kỳ tường lửa mà bạn chọn. Đánh giá các tính năng của tường lửa khác và
sau đó quyết định tường lửa tốt nhất nhu cầu của bạn. Nếu bạn chọn cài đặt và chạy
một tường lửa, tắt Windows Firewall.
Windows Firewall Làm viêc như thê nào
Khi ai đó trên Internet hoặc trên một mạng cố gắng để kết nối với máy tính của
bạn, chúng tôi gọi đó là một nỗ lực yêu cầu "không mong muốn." Khi máy tính của
bạn nhận được một yêu cầu không được yêu cầu, Windows Firewall chặn kết nối. Nếu
bạn chạy một chương trình như một chương trình tin nhắn tức thì hoặc mạng nhiều
người một trò chơi mà cần phải nhận được thông tin từ Internet hoặc mạng, tường lửa
sẽ hỏi nếu bạn muốn chặn hoặc bỏ cấm (cho phép) kết nối. Bạn sẽ thấy một cửa sổ như
hình dưới đây.
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 43
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Firewall bảo mật cảnh báo
Nếu bạn chọn để mở khóa các kết nối, Windows Firewall sẽ tạo ra một ngoại lệ
đó tường lửa sẽ không làm phiền bạn khi mà chương trình cần nhận được thông tin
trong tương lai.
5.3, Chức năng
- Trợ giúp chặn virus máy tính và sâu từ đến máy tính của bạn.
- Xin phép của bạn để chặn hoặc bỏ cấm yêu cầu kết nối nhất định.
- Tạo một bản ghi (log bảo mật là một), nếu bạn muốn có một, đó là hồ sơ và
không thành công nỗ lực thành công để kết nối với máy tính của bạn. Điều này có thể
hữu ích như một công cụ xử lý sự cố.
5.4, Han chê
-Không phát hiện virus máy tính hoặc vô hiệu hóa và sâu nếu nó đã có trên máy
tính của bạn. Vì lý do đó, bạn cũng nên cài đặt phần mềm chống virus và giữ cho nó
được cập nhật để giúp ngăn chặn virus, sâu, và các mối đe dọa an ninh khác làm hư hại
máy tính của bạn hoặc sử dụng máy tính của bạn để lan truyền virus cho người khác.
- Không Stop bạn từ mở e-mail với file đính kèm nguy hiểm. Không mở file
đính kèm e-mail từ những người gửi mà bạn không biết. Ngay cả khi bạn biết và tin
tưởng là nguồn gốc của e-mail bạn vẫn nên thận trọng. Nếu ai đó gửi cho bạn một file
đính kèm e-mail, nhìn vào dòng tiêu đề một cách cẩn thận trước khi mở nó. Nếu dòng
tiêu đề là gibberish hoặc không thực hiện bất kỳ ý nghĩa đối với bạn, hãy kiểm tra với
người gửi trước khi mở nó.
- Không ngăn chặn thư rác hoặc e-mail không mong muốn xuất hiện trong hộp
thư của bạn. Tuy nhiên, một số chương trình e-mail có thể giúp bạn làm điều này.
6,Giải Pháp Firewall ISA – Đơn Giản Mà Hiêu Quả
Trong thực tế hiện nay bảo mật thông tin đang đóng vai trò thiết yếu chứ không
còn là một “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụng công nghệ
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 44
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
thông tin. Chúng tôi muốn nói đến vai trò to lớn của việc ứng dụng CNTT đã & đang
diễn ra sôi động, không chỉ thuần túy là những công cụ (hardware, software), mà thực
sự đã được xem như là giải pháp cho nhiều vấn đề.
Ứng dụng CNTT một cách có hiểu quả & “bền vững”, là tiêu chí hàng đầu. Xét
trên bình diện một doanh nghiệp khi ứng dụng CNTT vào sản xuất kinh doanh cũng
luôn mong muốn có được điều nay. Tính hiệu quả là điều bắt buộc, và sự “bền vũng”
cũng là điều tất yếu. Dưới góc nhìn của một chuyên gia về bảo mật hệ thống, khi triển
khai một hệ thống thông tin & xây dụng được cơ chế bảo vệ chặt chẽ, an toàn, như vậy
là góp phần duy trì tính “bền vững” cho hệ thống thông tin doanh nghiệp đó.
Tất cả chúng ta đều hiểu rằng giá trị thông tin của doanh nghiệp là tài sản vô
giá.Không chỉ thuần túy về vật chất, những giái trị khác không thể đo đếm được như
uy tín của họ với khách hàng sẽ ra sao, nếu những thông tin giao dịch với khách hàng
bị đánh cắp, rồi sau đó bị lợi dụng vào những mục đích khác …Hacker, attacker, virus,
worm, phishing, những khái niệm này giờ đây không còn xa lạ, và thực sự là mối lo
ngại hàng đầu của tất cả các hệ thống thông tin (PCs, Enterprise Networks, Internet,
etc…) Và chính vì vậy, tất cả những hệ thống này cần trang b5i những công cụ đủ
mạnh, am hiểu cách xử lý để đối phó với những thế lực đen đáng sợ đó.
Ai tao ra bức tường lửa đủ mạnh này để có thể “thiêu cháy” mọi ý đồ xâm
nhập?! Xin thưa rằng trước hết đó là ý thức sử dụng máy tính an toàn của tất cả mọi
nhân viên trong một tổ chức, sự am hiệu tinh tường của Security Admin trong tổ chức
đó, và cuối cùng là những công cụ đắc lực nhất phục vụ cho “cuộc chiến” này. Đó là
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 45
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
các firewall, từ Personal Firewall bảo vệ cho từng computer cho đến các Enternprise
Firewall có khả năng bảo vệ an toàn cho toàn bộ hệ thống Network của một tổ chức.
Và Microsoft ISA Server là một Enterprise Firewall như thế! Một sản phẩm tốt và là
người bạn tin cậy để bạo vệ an toàn cho doanh nghiệp bạn.
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 46
6.1,Mô hinh Giải pháp cho doanh nghiêp vừa và nhỏ
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
6.2,Ưu nhược điêm của giải pháp
ISA Server 2006 là phiên bản mới nhất của sản phẩm Microsoft ISA Server. Về
giao diện thì ISA 2006 giống ISA 2004 đến 90%. Tuy nhiên, nó có những tính năng
mới nổi trội hơn mà ISA 2004 vẫn còn hạn chế, chẳng hạn như:
- Phát triển hỗ trợ OWA, OMA, ActiveSync và RPC/http Publishing
- Hỗ trợ SharePoint Portal Server.
- Hỗ trợ cho việc kết nối nhiều Certificates tới 1 Web listener
- Hỗ trợ việc chứng thực LDAP cho Web Publishing Rules
Đặc điểm nổi bật của bản 2006 so với 2004 là tính năng Publishing và VPN.
. Về khả năng Publishing Severvice
- ISA 2006 có thế tự tạo ra các form trong khi người dùng truy cập vào trang
OWA, qua đấy hỗ trợ chứng thực kiểu form-based. chống lại các người dùng bất hợp
pháp vào trang web OWA. tính năng này được phát triển dưới dạng Add-ins.
- Cho phép public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ liệu trong
phiên kết nối được mã hóa trên Internet (kể cả password).
- Block các kết nối non-encrypted MAPI đến Exchange Server, cho phép Outlook của
người dùng kết nối an toàn đến Exchange Server
- Rất nhiều các Wizard cho phép người quản trị public các Server nội bộ ra internet 1
cách an toàn. hỗ trợ cả các sản phẩm mới như Exchange 2007.
Khả năng kết tối VPN:
- Cung cấp Wizard cho phép cấu hình tự động site-to-site VPN ở 2 văn phòng
riêng biệt. tất nhiên ai thích cấu hình bằng tay tại từng điểm một cũng được. tích hợp
hoàn toàn Quanratine,
Stateful filtering and inspection, kiểm tra đầy đủ các điều kiện trên VPN Connection,
Site to site, secureNAT for VPN Clients, ...
- Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet, hỗ trợ
PPTP, L2TP/IPSec, IPSec Tunnel site-to-site.
.khả năng quản lý
- Dễ dàng quản lý.
- Rất nhiều Wizard.
- Backup và Restore đơn giản. Cho phép ủy quyền quản trị cho các User/Group
- Log và Report đơn giản, dễ truy vết.
- Cấu hình 1 nơi, chạy ở mọi nơi (cài ISA Enterprise)
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 47
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
- Khai báo thêm server vào array dễ dàng.
- Hỗ trợ tối đa 32 node Network Loadbalancing
- Firewall rule đa dạng
- IDS: Hệ thống phát hiện xâm nhập
- Flood Resiliency
- HTTP compression
- Diffserv.
6.3,Giải pháp Firewall Cisco Cho Doanh Nghiêp
Bất kỳ công ty nào đều cần có chế độ bảo mật cần thiết tương ứng. Thiết bị
Firewall Cisco ASA 5500 Series cung cấp năng lực bảo mật hiện đại có đủ mức độ
linh hoạt để đáp ứng các yêu cầu của công ty trong quá trình phát triển và thay đổi.
Những đặc điểm nổi bật:
Thiết bị An Ninh Mạng ASA 5500 Series là tiêu điểm của một giải pháp
hoàn thiện cho việc bảo vệ truy cập mạng. Tích hợp chặt chẽ với hệ thống quản lý và
giám sát của Cisco cho phép tổ chức có thể triển khai và bảo trì một giải pháp bảo mật
để bảo vệ các ứng dụng quan trọng và thông tin mật.
Thiết bị an ninh mạng dòng Cisco ASA 5500 là một nền tảng thiết bị có cấu trúc
module cung cấp các dịch vụ an ninh mạng và VPN. Có 4 tính năng:
o Tường lửa (Firewall): Bảo mật mạng từ các cuộc xâm nhập không xác thực,
trong khi vẫn cho phép hoạt động mạng diễn ra bình thường, không bị trì trệ.
Cisco ASA 5500 cung cấp các dịch vụ cao cấp gồm: identity-based access
control, denial of service (DoS) attack protection…
o Mã hoá SSL/IPsec VPN: Mở rộng hệ thống mạng bằng cách cho phép truy
cập mạng từ xa nhưng vẫn đảm bảo an toàn với các công nghệ mã hóa.
o Ngăn chặn xâm nhập (Intrusion Prevention): Bảo vệ tài nguyên quan trọng
trong mạng từ các cuộc tấn công, có đầy đủ chức năng của hệ thống ngăn
chặn xâm nhập (IPS). Cisco ASA 5500 Series chống lại các mối đe dọa như
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 48
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
các lỗ hổng bảo mật từ các ứng dụng, hệ điều hành, directed attacks, worms,
and các dạng khác của malware.
Bảo mật nội dung (Content Security): Tăng tính hiệu quả sử dụng và loại bỏ mối đe
dọa từ những nội dung không mong muốn trong mạng. Cisco ASA 5500 Series gồm
các tính năng sau: URL filtering anti-phishing, anti-spam, antivirus, anti-spyware, and
content filtering.
Giữ cho mạng của bạn được an toàn có nghĩa là nhân viên của bạn luôn có thể làm
việc tốt hơn trên nền hệ thống đó. Thiết bị Firewall Cisco ASA 5500 Series chính là
thiết bị phòng vệ đầu tiên và tốt nhất của bạn.
Cac tinh năng chung:
o Giúp bảo vệ doanh nghiệp của bạn trước sâu máy tính, đánh cắp dữ liệu
và tấn công trên mạng .
o Bổ sung giá trị cho doanh nghiệp của bạn bằng cách nâng cao hiệu suất
và năng suất .
o Phối hợp làm việc với các thiết bị định tuyến dịch vụ tích hợp của
Cisco .
o Dễ sử dụng và quản lý
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 49
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
6.4 Môt sô mô hinh mang cho doanh nghiêp
Mô hình mạng dùng cho doanh nghiệp nhỏ
Đây là giải pháp dùng cho Doanh nghiệp nhỏ với các yêu cầu cơ bản như :
• Chia sẻ dữ liệu(File Server), chia sẻ máy in(Print Server)
• Truy cập Internet với 1 đường truyền ADSL
Đây chỉ là mạng nhỏ thông thường. Các máy sử dụng chung một đường mạng và 1 dải ip.
- File Server có nhiệm vụ chía sẻ và quản lí, lưu trữ dữ liệu tập trung & quản lí máy in.
( Rất thuận lợi cho những cty nhỏ ít phòng ban không cần đến private network)
Nhược điểm của mô hình:0 Tính bảo mật kém.
- Khả năng lây nhiễm và phát tán virut rất cao. " Không có firewall chặn ở cửa
vào internet, ... antivirut...
Với mô hình mạng trên sử dụng mạng Workgroup tuy có lợi điểm là đơn giản ,
dễ triển khai nhưng không thuận lợi trong công tác quản trị và tính bảo mật kém,
Giải pháp an toàn :Giải pháp an toàn cho mô hình này là rất khó, muốn được an toàn
cái này phải phục thuộc vào người người quản trị ở đó,phải đưa ra những cảnh báo hay
nội quy đối với người dùng. Cài đặt một số phần mền…
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 50
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
Hệ thống mạng domain network dùng trong quản lý doanh nghiệp
Máy domain
IP :192.168.1.2
SM :255.255.255.0
GW:192.168.1.1
DNS:192.168.1.2
ADSL
IP:192.168.1.1
SM:255.255.255.0
Printer
Ip :192.168.1.254
SM:255.255.255.0
Client1,Client2
IP :DHCP
Giới Thiệu:
Với các mô hình sử dụng mạng workgroup tuy có lợi thế là đơn giản ,dễ triển khai
nhưng không dễ triển khai trong công tác quản trị và tính bảo mật kém do vậy mô hình
này giới thiệu hệ thống domain network với các ưu điểm sau
-Quản lý tập trung mọi thành phần trong hệ thống
-Khả năng bảo mật cao nhưng thuận lợi nhờ cơ chế single set of Credential
-Khả năng co giãn linh động trong mọi quy mô dễ dàng mở rộng
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 51
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
-Áp dụng cơ chế quản lý dựa trên policy (Policy based Administrator)
-Cho phép triển khai các Application tích hợp trong AD database do vậy tận dụng
được cơ chế Replication của AD
-DNS : dùng để phân giải tên máy thành địa chỉ IP và ngược lại. Dùng cái này
sẽ nâng cao bảo mật lên một bước đáng kể
-DHCP : dùng để cấp phát IP động
-Với các hệ thống Mạng lớn nhiều Tài nguyên và có sự phân cấp trong việc truy
cập các loại Tài nguyên, việc phân chia hệ thống mạng Vật lý ra các Network_IDs
hoăc Subnets khác nhau sẽ đem lại các lợi thế khác như
- Tránh hiện tượng nghẽn mạch đường truyền do số Hosts trong Network Logic quá nhiều
- Ngăn chặn các hiện tượng lan truyền toàn mạch (broadcast) do sử dụng hoặc do
Virus
- Dễ dàng thiết lập các bộ lọc (Filter) để định tuyến khi truy cập Tài nguyên
- Việc cấp quyền cũng đơn giản hơn.
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 52
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
III.LỜI KẾTTrong giới hạn thời gian của đố án,em chỉ nói trình bày những phần cơ bản
trong hệ thống bảo mật trong win 2003 như thiết lập chính sách tài khoản người dùng.
chính sách cục bộ,sự kiện dăng nhập,bảo mật trên địa chỉ IP,Mô hình giải pháp cho
doanh nghiệp vừa và nhỏ. và một số thủ thuật mà em tìm hiểu được trên mạng và qua
một số loại sách . Bảo mật trên win 2003 là một đề tài rất rộng, nhưng nó rất hay vì nó
là một nhu cầu tất yếu khi mà win 2003 đang được thịnh hành và nhu cầu bảo mật
thông tin tăng lên không ngừng . Khi thực hiện đồ án này em đã có thêm rất nhiều kĩ
năng về bảo mật mạng, những kĩ năng này sẽ giúp em rất nhiều trong học tập cũng như
làm việc sau này.
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 53
Nghiên Cứu Hệ Thống Bảo mật HDH windows 2003 GVHD:Phạm Minh Hoàn
IV.NHỮNG TÀI LIỆU THAM KHẢO- Quản trị window server 2003 ;tác giả:Quách Lượm
- Giáo trình hệ điều hành window server 2003;tác giả:trường CNTT hữu nghị VIỆT-
HÀN
- Làm chủ window server 2003 –tập 2;tác giả :Phạm Hoàng Dũng
- Làm chủ window server 2003 –tập 1; tác giả:Phạm Hoàng Dũng
- Tham khảo toàn diệm window server 2003-tập 3:quản lý và phục hồi sự cố trong
window server 2003; tác giả:Lữ Đức Hảo
- Giáo trình dịch vụ mang 2003;tác giả :Tiêu Đông Nhơn
Sinh Viên :Lê Văn Đức Lớp :CNTT 48b 54