Giáo trình mô đun Quản trị nâng cao

ỦY BAN NHÂN DÂN TỈNH BR – VT TRƯỜNG CAO ĐẲNG NGHỀ GIÁO TRÌNH MÔ ĐUN QUẢN TRỊ NÂNG CAO NGHỀ: QUẢN TRỊ MẠNG TRÌNH ĐỘ CAO ĐẲNG, TRUNG CẤP Ban hành kèm theo Quyết định số: /QĐ-CĐN ngày 04 tháng 01 năm 2016 của Hiệu trưởng trường Cao đẳng nghề tỉnh BR - VT Bà Rịa – Vũng Tàu, năm 2016 TUYÊN BỐ BẢN QUYỀN Tài liệu này thuộc loại sách giáo trình nên các nguồn thông tin có thể được phép dùng nguyên bản hoặc trích dùng cho các mục đích về đào tạo và tham khảo. Mọi mục đích khác mang tính lệch lạc hoặc sử dụng với mục đích kinh doanh thiếu lành mạnh sẽ bị nghiêm cấm. LỜI GIỚI THIỆU Công nghệ thông tin ngày càng phát triển và thậm nhập vào nhiều lĩnh vực trong cuộc sống. Trong đó Quản trị mạng nâng cao là môn học không thể thiếu vô cùng quan trọng đối ngành công nghệ thông tin. Mục đích của giáo trình là trang bị cho học viên những kiến thức và kỹ năng: - Xây dựng và quản trị hạ tầng Active directory - Cài đặt và quản trị hạ tầng khóa CA - Cài đặt và cấu hình DHCP relay agent - Có khả năng tinh chỉnh và giám sát mạng Windows Server; - Triển khai được dịch vụ Routing and Remote Access (RRAS); - Có khả năng phát hiện và khôi phục Server bị hỏng; - Có khả năng cài đặt và quản lý máy tính từ xa thông qua RAS; - Xây dựng được một mạng riêng ảo VPN; - Cài đặt và cấu hình được các chính sách mặc định của Firewall, thực hiện chính xác thao tác sao lưu cấu hình mặc định của Firewall; - Thực hiện được thao tác xuất, nhập các chính sách của Firewall ra thành file; - Bố trí làm việc khoa học đảm bảo an toàn cho người và phương tiện học tập. - Bố trí làm việc khoa học đảm bảo an toàn cho người và phương tiện học tập. Mặc dù bản thân đã tham khảo các tài liệu và các ý kiến tham gia của các đồng nghiệp, song cuốn giáo trình vẫn không tránh khỏi những thiếu sót. Mong các bạn đóng góp ý kiến. Tôi xin cảm ơn các thầy cô khoa CNTT–Trường Cao đẳng nghề đã cho tôi các ý kiến đóng góp quý báu để tôi hoàn thiện giáo trình này. Vũng tàu, ngày 2 tháng 1 năm 2016 BIÊN SOẠN VŨ THỊ THO MỤC LỤC BÀI 1: DỊCH VỤ WINDOWS TERMINAL SERVICES 1. Tại sao phải dùng Terminal services 2. Các hình thức máy trạm kết nối đến máy chủ: 3. Cài đặt và cấu hình Terminal Service 3.1. Cài đặt Terminal Services: 3.2. Thêm các chương trình ứng dụng RemoteApp 3.3. Chia sẻ folder chứa file ứng dụng 3.4. Kiểm tra trên máy client 4.Triển khai các ứng dụng RemoteApp thông qua TS Web Access: 4.1. Cài đặt TS Web Access trên Terminal Server 4.2.Kiểm tra trên Terminal Client 5. Bảo mật Terminal Services của Windows Server 2008 5.1. Sử dụng chứng thực Smart Cards 5.2. Cấu hình bảo mật bổ sung bằng Group Policy BÀI 2: TÍNH NĂNG BẢO MẬT NÂNG CAO SERVER Thiết lập Advanced Firewall Giới thiệu Cấu hình Advanced FireWall Xác định port Cấu hình Inbound Rule Cấu hình Outbound Rule IP SECURITY Tổng quan IP Sec Khái niệm IP Sec Cấu trúc bảo mật của IP SEC Hiện trạng IP SEC Cấu hình IP Sec Cấu hình IP Sec cho tất cả các kết nối Cấu hình IP Sec cho kết nối được chỉ định Connection Security Rules Deploy connection Security Rules bằng GPO BÀI 3: THỰC THI DISTRIBUTED AD DS DEPLOYMENTS 1. Các thành phần Active directory 2. Thực thi Active directory 2.1. Cấu hình Child Domain trong AD 2.2. Thêm domain controller 2.3. Cấu hình DNS BÀI 4: OPERATIONS MASTER ROLES 1.Giới thiệu Operations master roles 1.1. FSMO là gì 1.2. Các vai trò của FSMO 2.Cấu hình Operations master roles 2.1. Transfer FSMO Roles 2.2. Size FSMO Roles BÀI 5: DỊCH VỤ ROUTING 1.Giới thiệu Routing 2. Cấu hình Routing : 2.1. Cài đặt role Routing and Remote Access 2.2. Cấu hình Static Route 2.3. Cấu hình Dynamic Route BÀI 6: DỊCH VỤ NAT Giới thiệu NAT /PAT Cấu hình NAT OUTBOUND & INBOUND ON SERVER Cấu hình NAT OUTBOUND Cấu hình NAT INBOUND Bài tập nâng cao BÀI 7: DỊCH VỤ DHCP RELAY Giới thiệu DHCP Relay Agent Tại sao phải sử dụng DHCP relay agent Ưu diểm của DCHP RELAY Cơ chế hoạt động DHCP Relay Agent Cấp phép (authorize) Level option của DHCP server Cài đặt và cấu hình DHCP Relay Agent Cài đặt và cấu hình DHCP server Cài đặt cấu hình DHCP Relay Cấu hình class level option trên DHCP Server BÀI 8: DỊCH VỤ VIRTUAL PRIVATE NETWORK 1. Tổng quan về VPN Khái niệm vpn Lợi ích của VPN Cơ chế hoạt động của VPN Giao thức sử dụng VPN Cấu hình VPN Client to Site Cấu hình VPN Site to Site BÀI 9 :TRIỂN KHAI CÁC DỊCH VỤ DỰA TRÊN CERTIFICATION AUTHORITY Cơ sở hạ tầng khóa công khai Giới thiệu về PKI Chứng chỉ số Giới thiệu Lợi ích của chứng chỉ số Triền khai dịch vụ CA trên môi trường windows server 2008 Cài Enterprise CA Cấp phát quản lý CA Triền khai một số dịch vụ mạng sử dụng CA Dịch vụ IP Sec Dịch vụ Web sử dụng SSL Dịch vụ VPN CHƯƠNG TRÌNH MÔ ĐUN QUẢN TRỊ MẠNG NÂNG CAO (QUẢN TRỊ MẠNG 2 ) Mã số mô đun: MĐ20 Thời gian mô đun: 120 giờ; ( Lý thuyết: 30 giờ; Thực hành: 90 giờ) I.VỊ TRÍ, TÍNH CHẤT CỦA MÔ ĐUN: - Vị trí: Mô đun được bố trí sau khi sinh viên học xong môn, mô đun: Mạng máy tính, Quản trị mạng 1, Quản trị hệ thống WebServer và MailServer - Tính chất: Là mô đun chuyên nghành bắt buộc. II. MỤC TIÊU MÔ ĐUN: - Có khả năng tinh chỉnh và giám sát mạng Windows Server; - Triển khai được dịch vụ Routing and Remote Access (RRAS); - Có khả năng phát hiện và khôi phục Server bị hỏng; - Có khả năng cài đặt và quản lý máy tính từ xa thông qua RAS; - Xây dựng được một mạng riêng ảo VPN; - Cài đặt và cấu hình được các chính sách mặc định của Firewall, thực hiện chính xác thao tác sao lưu cấu hình mặc định của Firewall; - Thực hiện được thao tác xuất, nhập các chính sách của Firewall ra thành file; - Bố trí làm việc khoa học đảm bảo an toàn cho người và phương tiện học tập. III. NỘI DUNG MÔ ĐUN: Nội dung tổng quát và phân phối thời gian : Số TT Tên các bài trong mô đun Thời gian Hình thức giảng dạy 1 Dịch vụ Windows terminal services 5 Tích hợp 2 Tính năng bảo mật nâng cao server 15 Tích hợp 3 Thực thi Distributed AD DS Deployments 20 Tích hợp 4 Operations master roles 10 Tích hợp Kiểm tra bài 1,2,3,4 5 Thực hành 5 Dịch vụ định tuyến Routing 10 Tích hợp 6 Dịch vụ NAT 10 Tích hợp 7 Dịch vụ DHCp Relay Agent 10 8 Dịch vụ Virtual Private Network 15 Tích hợp 9 Triển khai các dịch vụ dựa trên Certification Authority 15 Tích hợp Kiểm tra bài 5,6,7,8,9 5 Thực hành Cộng 120 BÀI 1 DỊCH VỤ WINDOWS TERMINAL SERVICES Tại sao phải dùng Terminal services Terminal Service Remote Application là một tính năng mới trên Windows Server 2008. Các chương trình ứng dụng sẽ được cài đặt sẵn trên Windows Server 2008, các máy trạm tuy không cài đặt chương trình ứng dụng, nhưng vẫn có thể khai thác các chương trình ứng dụng đó trên máy chủ thông qua Terminal Service. Terminal Service có đặc điểm như sau: -Sự truy cập liền mạch . Người dùng truy cập vào các ứng dụng hosting từ xa một cách liền mach như các ứng dụng đang được cài đặt cục bộ. Các ứng dụng hosting có thể cư trú trên các ứng dụng được cài đặt cục bộ. - Quản lý ứng dụng tập trung, dễ dàng, và đơn giản. -Dễ dàng quản lý các văn phòng chi nhánh,phù hợp nhất với những công ty không có nhân viên IT chuyên nghiệp tại các văn phòng chi nhánh. -Sử dụng các ứng dụng không tương thích cùng với nhau trong cùng 1 hệ thống - Các máy trạm không cần phải có cấu hình phần cứng mạnh và doanh nghiệp không phải tốn nhiều chi phí về bản quyền phần mềm khi sử dụng dịch vụ này. Tuy nhiên, doanh nghiệp vẫn phải mất chi phí bản quyền cho CAL (Client Access License), và chi phí này vẫn thấp, có thể chấp nhận được . - Máy trạm kết nối đến máy chủ thông qua Terminal Service nên máy trạm phải được cài đặt Remote Desktop Connection (RDC) 6.0 trở lên. 2. Các hình thức máy trạm kết nối đến máy chủ - Có 4 cách để máy trạm kết nối đến máy chủ khi khai thác chương trình ứng dụng trên máy chủ: Sử dụng trình duyệt web: Máy chủ phải cài đặt thêm Terminal Service Web Access, máy trạm phải được cài đặt Remote Desktop Connection (RDC) 6.1. RDC6.1 có sẵn trong Windows Vista Service Pack 1 và Windows XP Professional Service Pack 3. Sử dụng Network Access: Máy chủ tạo sẵn file .rdp (mỗi chương trình ứng dụng tương ứng 1 file .rdp) và được share trên máy chủ, máy trạm truy cập vào máy chủ, chạy trực tiếp file đó để khai thác chương trình ứng dụng trên máy chủ. Sử dụng Network Access: Máy chủ tạo sẵn file .msi (mỗi chương trình ứng dụng tương ứng 1 file .msi)và được share trên máy chủ, máy trạm truy cập vào máy chủ, chạy trực tiếp file đó để cài đặt các shortcut liên kết đến chương trình ứng dụng trên máy chủ. Các shortcut này được cài đặt trong Start menu của máy trạm, cụ thể là mục Remote Application. Máy trạm chạy các shortcut đó để khai thác chương trình ứng dụng trên máy chủ. Sử dụng policy (áp dụng cho môi trường Domain) để triển khai hàng loạt việc cài đặt shortcut liên kết đến chương trình ứng dụng trên máy chủ cho nhiều máy trạm. Cài đặt và cấu hình Terminal Service Chuẩn bị: Hệ thống gồm: - Server: Windows Server 2008 + Tạo local user: sv1/123 , sv2/ 123 và add vào group remote desktop users + Bật chế độ remote desktop trên máy server. + Change password Adminstrator là 123 - Client: Windows XP. Thực hiện: 3.1. Cài đặt Terminal Services: Start –> Programs –> Administrative Tools –> Server Manager Chuột phải Roles –> Add Roles Before you begin –> Next Chọn Terminal Services –> Next Hộp thoại Instruction to Terminal Services –> Next Chọn Terminal Server –>  Next Application Compatibility để mặc định –>Next Authentication Method –> Chọn Do Not Require Network Level Authentication –> Next Licensing Mode –> Configure later –> Next Add 2 user sv1 và sv2 vào để có thể access the terminal server Confirmation Installation –> chọn Install. Sau khi cài đặt xong thì chọn Restart –> OK Kiểm tra Remote Connection đã được enable Phải chuột Computer –> Chọn properties –> Remote Setting –> Tab Remote 3.2. Thêm các chương trình ứng dụng RemoteApp: - Start –> Program –> Administrative Tools ->Terminal Services ->TS RemoteApp Manager. - Menu Action –> Add RemoteApp Programs. Menu Action –> Add RemoteApp Programs Màn hình Wellcome –> Next Choose Program to add to RemoteApp Program list –> Chọn các ứng dụng cho Client –> Next Review Setting –> Finish Trong màn hình TS remote App –> Cuộn xuống cuối màn hình –> Phải chuột vào application và chọn Create Windows Installer Package Màn hình Welcome –> Next Để mặc định các thông số cấu hình –> Next Chọn Finish 3.3. Chia sẻ folder chứa file ứng dụng: C:\Program File –> Chuột phải lên Packaged Program –> Properties –> Share Folder –> Everyone Allow-Read –> OK 3.4. Kiểm tra trên máy client: Start –> Run –> Nhập địa chỉ ip Remote Server Vd: \\192.168.1.38 OK Hộp thoại yêu cầu khai báo username/password đăng nhập –>  Nhập sv1/123 –> OK Chọn ứng dụng cần dùng Chọn Connect Nhập vào user chứng thực –> OK Quá trình kết nối diễn ra và Ứng dụng cần dùng sẽ mờ ra 4.Triển khai các ứng dụng RemoteApp thông qua TS Web Access: 4.1. Cài đặt TS Web Access trên Terminal Server: - Server Manager –> Terminal Services –> Add Role Services. Chọn TS Web Acess –> Next Chọn Add Require Role Services Để các thông số mặc địnhàNextàChọn Install Start –> Programs –> Administrative Tools –> Terminal Service –> TS RemoteApp Manager Chuột phải các ứng dụng muốn hiển thị –> Chọn Show in TS Web Access 4.2.Kiểm tra trên Terminal Client Mở Internet Explorer –> Khung Address nhập vào địa chỉ Terminal Server http:// 192.168.1.38/ts –> Enter Hộp thoại khai báo username và password xuất hiện. Nhập sv1/123 Sau khi đăng nhập thành công -> Lựa chọn các ứng dụng cần dùng 5. Bảo mật Terminal Services của Windows Server 2008 5.1. Sử dụng chứng thực Smart Cards Sử dụng Smart Cards, người dùng không chỉ phải cung cấp các tiêu chuẩn đăng nhập hợp lệ mà còn phải có thể kết nối vật lý với thẻ thông minh đến thiết bị mà họ đang sử dụng như một thiết bị đầu cuối ở xa. Để yêu cầu thẩm định thẻ thông minh, bạn phải tạo một Group Policy Object để sử dụng cho Terminal Server. Trong GPO, duyệt đến Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options và kích hoạt thiết lập Interactive Logon: Require Smart Card. Thêm vào đó bạn cũng cần phải kích hoạt Smart Cards để có thể chuyển hướng đến Terminal Server bằng cách tích vào hộp kiểm Smart Cards trên tab Local Resources của Remote Desktop Connection trên các máy trạm của người dùng. Thực thi thẩm định mức mạng đối với tất cả máy khách Network Level Authentication (NLA) là một tính năng được giới thiệu trong phiên bản 6.0 của Remote Desktop Connection Client, tính năng này cho phép người dùng nhập vào trước các tiêu chuẩn đăng nhập của họ để sẽ được hiển thị tại cửa sổ đăng nhập của Windows Server. Windows Server 2008 cho phép chúng ta sử dụng tiện ích này và yêu cầu tất cả các máy khách đang kết nối để sử dụng nó. Để sử dụng NLA, bạn phải sử dụng Windows 2008 Server, và các máy khách đang kết nối phải hỗ trợ CredSSP (Windows XP SP3, Windows Vista, Windows 7) cũng như đang chạy Remote Desktop Connection 6.0 hoặc cao hơn. Bạn có thể cấu hình Terminal Server của mình để yêu cầu các máy khách của nó sử dụng NLA bằng các cách sau: Trong suốt quá trình cài đặt Terminal Services role ban đầu, khi bạn thấy màn hìnhSpecify Authentication Method for Terminal Server, chọn tùy chọn Allow connections only from computers running Remote Desktop with Network Level Authentication. Truy cập Terminal Services Configuration MMC Snap-In, kích chuột phải vào kết nối terminal server đang được sử dụng bởi các máy khách và chọn properties, sau đó chọn tùy chọn Allow connections only from computers running Remote Desktop with Network Level Authentication. Tạo một Group Policy Object, duyệt đến Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Security, kích hoạt thiết lập Require user authentication for remote connections by using Network Level Authentication setting và sử dụng nó cho một OU gồm có terminal server. Thay đổi cổng RDP mặc định Mặc định, Terminal Server thường sử dụng cổng 3389 cho lưu lượng RDP. Và một số hacker thành thạo trên thế giới đều biết được điều đó. Chính vì vậy một trong những thay đổi nhanh nhất mà bạn có thể thực hiện đối với môi trường Terminal Server của mình để tránh những kẻ xâm nhập và thay đổi thỏa thuận cổng mặc định. Để thay đổi cổng RDP mặc định cho Terminal Server, bạn hãy mở regedit và duyệt đến HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. Tìm key PortNumber và thay thế giá trị hex 00000D3D (tương đương với 3389) thành một giá trị khác mà bạn muốn sử dụng. Cách khác, bạn có thể thay đổi số cổng được sử dụng bởi Terminal Server của mình trên một kết nối cơ bản. Vẫn sử dụng regedit, duyệt đếnHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\connection name. Tiếp đó, tìm đến key PortNumber và thay thế giá trị hex bởi một giá trị khác mà bạn muốn. Cần phải lưu ý rằng khi thay đổi thiết lập trên máy chủ này, tất cả các máy khách kết nối cần phải được bảo đảm rằng chúng đang kết nối đến Terminal Server với cổng mới đã được gắn thẻ trên địa chỉ IP của các máy chủ. Cho ví dụ, việc kết nối đến Terminal Server với một địa chỉ IP trong là 192.168.0.1 có nghĩa hiện đang sử dụng cổng non-standard 8888 sẽ yêu cầu người dùng nhập 192.168.0.1:8888 vào Remote Desktop Connection. In ấn dễ dàng và hạn chế máy in được chuyển hướng Việc in ấn từ các thiết bị được kết nối nội bộ với các máy trạm client luôn là một yếu điểm của Terminal Services trước Windows Server 2008. Để thực hiện điều đó, bạn phải bảo đảm giống chính xác phiên bản của driver máy in đã được cài đặt trên cả máy chủ và máy khách, mặc dù vậy đôi khi sau đó vẫn không có sự làm việc. Từ quan điểm bảo mật, chúng ta không bao giờ muốn cài đặt thêm nhiều driver vào hệ thống của mình ngoài những gì bắt buộc. Mỗi một driver được cài đặt vào máy chủ đều có tiền ẩn khả năng mở rộng bề mặt tấn công của nó. Windows Server 2008 đã giới thiệu một tính năng có tên Easy Print, tính năng này sẽ thay đổi triệt để cách kết nối nội bộ các máy in được quản lý. Về bản chất, TS Easy Print là một driver phục vụ như một proxy để tất cả dữ liệu máy in được chuyển hướng qua. Khi một máy khách in đến một thiết bị bằng driver Easy Print, các thiết lập dữ liệu và máy in sẽ được chuyển đổi thành định dạng phổ biến rồi gửi đến Terminal Server xử lý. Thực hiện điều này, sau khi kích in, hộp thoại máy in sẽ được khởi chạy từ máy khách, không trong terminal session. Điều này có nghĩa rằng không driver nào đã được cài đặt cho Terminal Server để xử lý các công việc in từ các thiết bị in kết nối nội bộ. Để cấu hình Easy Print, bạn cần phải bảo đảm tất cả các thiết bị in được gắn nội bộ phải có các máy in logic được cấu hình trên các máy khách đã thiết lập để sử dụng driver của Easy Print. Tính năng Easy Print được hỗ trợ bởi tất cả các máy khách Windows XP SP3, Windows Vista và Windows 7 đang chạy Remote Desktop Connection 6.1 hoặc mới hơn và .NET Framework 3 SP1. Khi đã cấu hình các thiết bị gắn nội bộ ở mức máy trạm, bạn cần bảo đảm rằng máy in duy nhất được chuyển hướng đến Terminal Server là máy in đang sử dụng TS Easy Print, thành phần được thiết lập như một máy in mặc định. Bạn có thể thực hiện điều này bằng cách tạo một Group Policy Object và duyệt đến Computer Configuration\ Administrative Templates\Windows Components\Terminal Services\Terminal Server\Printer Redirection, sau đó kích hoạt tùy chọn Redirect only the default client printer. Hạn chế các tài khoản người dùng Chúng ta cần phải biết rằng, khi một người dùng nào đó đang kết nối hay đang làm việc trực tiếp từ một máy chủ vốn đã có sự truy cập đến một vài thứ mà họ không cần đến, và để tạo một môi trường an toàn hơn, chúng ta cần phải hạn chế điều đó. Đây không chỉ là biện pháp để bảo vệ các tiêu chuẩn của người dùng đang được thỏa hiệp mà còn bảo vệ người dùng  chính đáng với những ý định không chính đáng. Một số thứ mà chúng ta có thể thực hiện ở đây là: Sử dụng các tài khoản cụ thể cho người dùng Người dùng có thể làm việc nội bộ với các ứng dụng nào đó, sau đó truy cập vào Terminal Server để truy cập đến các ứng dụng khác. Việc sử dụng cùng một tài khoản cho truy cập nội bộ và truy cập từ xa sẽ đơn giản hơn trong vấn đề quản lý, tuy nhiên nó cũng dễ bị thỏa hiệp hơn bởi các kẻ tấn công có thể thỏa hiệp một loạt các tiêu chuẩn để truy cập vào các ứng dụng. Việc tạo một tài khoảng người dùng riêng biệt cho sự truy cập Terminal Server và hạn chế quyền của nó cho những ứng dụng cần thiết sẽ giảm nhẹ được sự ảnh hưởng của kiểu thỏa hiệp này. Sử dụng các chính sách hạn chế phần mềm Các chính sách hạn chế phần mềm có thể được cấu hình để cho phép hoặc từ chối sự sử dụng đối với một số ứng dụng nào đó và vẫn được sử dụng trong các máy tính công cộng, mặc dù vậy chúng cũng rất tuyệt trong các môi trường Terminal Server. Kiểm tra sự truy cập người dùng vào máy chủ Terminal bằng Group Mặc định, chỉ có các thành viên của nhóm Terminal Servers Remote Desktop Users (và Domain/Local Administrators) mới có thể đăng nhập vào Terminal Server đó. Tuy nhiên bạn cần minh chứng và thẩm định các thành viên nhóm một cách thường xuyên. Nếu người dùng không cần đăng nhập vào một Terminal Server, hãy remove họ khỏi nhóm người dùng ở xa. 5.2. Cấu hình bảo mật bổ sung bằng Group Policy Nhiều cải tiến bảo mật cho các môi trường Terminal Server được cung cấp thông qua Group Policy. Đây là một số ví dụ điển hình mà chúng tôi muốn giới thiệu cho các bạn. 5.2.1.  Hạn chế người dùng Terminal Services vào một Session từ xa Trong hầu hết các trường hợp, một người dùng không cần khởi tạo nhiều session trên một Terminal Server. Việc cho phép người dùng khởi tạo nhiều session sẽ làm cho môi trường của bạn có nhiều lỗ hổng cho tấn công từ chối dịch vụ (DoS), do các tiêu