Bài giảng Chính sách nhóm và bảo mật mạng

Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 1 Bài 03 : CHÍNH SÁCH NHÓM & BẢO MẬT MẠNG Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 2 Phần I CHÍNH SÁCH NHÓM(GROUP POLICY) Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 3 CHÍNH SÁCH NHÓM Tập hợp các thiết lập cấu hình của User và Computer gắn liền với Computers, OU, Domain, Sites Quyết định môi trường việc của User như : Desktop, programs, Startup Menu option.. Starup, Logon, logoff Quản lý tập trung môi trường làm việc của User Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 4 CHÍNH SÁCH NHÓM CỤC BỘ(Local Security Policy) Lập chính sách cho máy tính cụ bộ (Local Computer) Chính sách nhóm cục bộ bị thay thế bởi chính sách Domain MMC Snap-in -> Group Policy Hay Control Panel->Administrative Tools -> Local Security Policy Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 5 Thiết lập Account Policies Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 6 Password Policy Cung cấp sự bảo mật trên máy tính, tạo và quản lý Password Ngăn chặn User sự xâm nhập trái phép vào Computer Nhấp đôi lên thông số để thiếp lập giá trị Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 7 Password Policy Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 8 Password Policy Enforce Password History số lượng password có thể nhớ (default 0) Giá trị 0-24 Maximum Password Age Thời hạn sống tối đa của password (default 42ngày) Giá trị 0 – 999 ngày; 0 : không hết hạn Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 9 Password Policy Minimum Password Age Thời hạn sống tối thiểu của password(0 ngày) Giá trị 0 – 999 ngày Minimum Password Length Số ký tự tối thiểu của Password (0 ký tự) 0 –14 ký tự Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 10 Account Lockout Policy Thiết lập khóa tự động 1 tài khoản khi user không được phép cố đăng nhập vào Computer Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 11 Account Lockout Policy Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 12 Account Lockout Policy Account Lockout Duration khoản thời gian User bị khóa (30’) 0 : khóa vô thời hạn, 0 - 99999’ Account Lockout Threshold Số lần logon không thành, user sẽ bị khóa (0 lần) 0 – 999 lần, 0 : không bị khóa Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 13 Account Lockout Policy Reset Account Lockout Counter After Thời gian User đuợc mở khóa sau khi bị khóa (30’) Giá trị 1 – 99999’ Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 14 Security Options Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 15 Security Options Shutting Down the Computer Without Logging On Enable : Shutdown computer không cần logon Disable : shutdown phải logon3 Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 16 Security Options Clear Virtual Memory Pagefile When System Shuts Down Xoá bộ nhớ ảo khi shutdown computer (Enable/Disable) Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 17 Security Options Disable CTRL+ALT+DEL Requirement For Logon Enable/Disable Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 18 Security Options Do Not Display Last User Name In Logon Screen Enable/Disable Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 19 User Rights Assignment Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 20 User Rights Assignment Access this computer from the network Thiết lập các User trên được phép truy xuất đến máy tính này Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 21 User Rights Assignment Create a pagefile Thiết lập User được phép tạo bộ nhớ ảo Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 22 User Rights Assignment Deny logon Locally : Cấm User logon cục bộ Force shutdown from a remote system Thiết lập user có thể shutdown máy từ xa Log on Locally : Thiết lập user logon cục bộ Shutdown the system Thiết lập User có thể shutdown máy cụ bộ .... Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 23 Thực hành Chính sách nhóm cục bộ Thiết lập chính sách cho User (Account policy) Password, Lockout Account Thiết lập các thông số bảo mật (Security option) Shutting Down the Computer Without Logging On Disable CTRL+ALT+DEL Requirement For Logon …. Thiết lập Quyền User (User Rights Assignment) Access this computer from the network Shutdown the system Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 24 Thực hành Chính sách nhóm cục bộ Thiết lập Quyền User (User Rights Assignment) Log on Locally Deny logon Locally …. Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 25 Chính sách Nhóm - Domain Sites Domains OUs Computers Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 26 Group Policy Bảo mật môi trường làm việc User Nâng cao hiệu quả làm việc User Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 27 Group Policy Object GPO GPO chứa những thiết lập GP chi Sites, Domain, Ous GPO gồm 2 phần GPC : Group Policy Containers GPT : Group Policy Templates Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 28 Group Policy Object GPO GPC Là 1 ADO, chứa những thuộc tính của GPO Chứa thông tin GP Users và Computers GPT Là thư mục được tạo ra khi tạo GPO Lưu tại SysVol của DC Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 29 Tạo GP Tạo GP cho Sites, Domains, Ous Để tạo GP phải tạo GPO Thứ tự ảnh hưởng của GP Local GPO Site GPO Domain GPO OU GPO Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 30 Tạo GPO cho OU, Domain AD Users and Computers Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 31 Tạo GPO cho Site AD Sites and Services Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 32 Liên kết GPO với Site, Domain, OU Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 33 Tạo GPO dùng MMC snap-in MMC -> Group Policy Tạo Cho Site, Domain, OU Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 34 Phân quyền điều khiển GPO Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 35 Phân quyền điều khiển GPO Authenticated Users Read, Apply Group Policy, Special Permissions CREATOR OWNER Special Permissions Domain Administrators Read, Write, Create All Child Objects, Delete All Child Objects, Special Permissions Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 36 Phân quyền điều khiển GPO Enterprise Administrators, Như Domain Administrators SYSTEM Như Domain Administrators Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 37 Cấu hình cho GPO Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 38 Thiết lập 2 Kiểu cho GP Computer Configuration Thiết lập các đặt trưng cho máy tính Không quan tâm đến User logon User Configuration Thiết lập các đặt trưng cho User Không quan tâm đến Computer mà User logon Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 39 Một số thành phần GP Administrative Templates Registry, Desktop, Application, System Folder Redirect Thư mục user trên mạng Scripts Logon, Logoff, Start, shutdown Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 40 Một số thành phần GP Security setting Bảo mật Software Installation Cài đặt phần mềm tập trung Update, Removal Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 41 Cấu hình cho GPO Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 42 Cấu hình cho GPO(User configuration) Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 43 User configuration Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 44 User configuration Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 45 User configuration Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 46 User configuration Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 47 User configuration Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 48 Computer configuration Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 49 Computer configuration Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 50 Computer configuration Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 51 Vô hiệu lực GPO Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 52 Vô hiệu lực GPO Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 53 KỊCH BẢN ĐĂNG NHẬP Login Script Logff Script Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 54 Logon Scripts Kịch bản (Script) Là 1 đoạn chương trình ngắn thực thi được Logon Scripts áp dụng khi User đăng nhập Logoff Scripts áp dụng khi User đăng xuất Startup Scripts áp dụng khi Computer khởi động Shutdown Scripts áp dụng khi Computer Shutdown Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 55 Logon Scripts Kịch bản (Script) Áp dụng GP : Local, Site, Domain, OU GPO Viết Script ở dạng tập tin bó (batch file : *.bat), VBScripts (*.vbs), dòng lệnh Dos (*.cmd), hay bất kỳ 1 chương trình thực thi nào Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 56 Logon Script Options %HOMEDRIVE% %HOMEPATH% %OS% %PROCESSOR_ARCHITECTURE% %PROCESSOR_LEVEL% %USERDOMAIN% %USERNAME% %HOMESHARE% Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 57 Một số lệnh for %%variable in (set) do command [command- parameters] if [not] errorlevel number command [else expression] if [not] string1==string2 command [else expression] if [not] exist filename command [else expression] Echo, Pause, Rem, Call, Goto, Exit… Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 58 Một số lệnh Net use Net Logon Net Logoff Net Password Net View Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 59 Ví dụ Logon Scripts logon.bat Echo Tôi là : %UserName% Echo Miền của Tôi là : %UserDomain% Echo Ổ đĩa chủ : %HomeDrive% Echo Đường dẫn thư mục chủ : %HomePath% Echo Level CPU : %Processor_Level% Echo Os : %OS% Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 60 Ví dụ Logon Scripts logon.bat If %OS% == “Windows_NT” goto winnt Net Use G: \\%UserDomain%\Users\Win98\%UserName% Goto Ketthuc :Winnt Net Use G: \\%UserDomain%\Users\Winnt\%UserName% :Ketthuc exit Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 61 Ví dụ Logon Scripts VBScript stpopup.vbs Set oShell = CreateObject("WScript.Shell") oShell.Popup "Startup Script", 10, "Group Policy - Script Policy“ Wscript.Echo "Hello, World!" Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 62 Scripts cho GP Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 63 Scripts cho GP Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 64 Bài tập thực hành Khảo sát và thiết lập GP cục bộ (Local computer) Khảo sát và thiết lập GP Domain Tạo các kịch bản logon và logoff Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 65 Phần II : BẢO MẬT MẠNG Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 66 Các chủ đề chính ¨ Hạ tầng của bảo mật dùng khoá chung(Public Key Infrastructure (PKI) ) ¨ Hiện thực bảo mật mạng dùng IPSec Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 67 Public Key Infrastructure Khái niệm : Mã hóa dùng khóa chung là công nghệ rất quan trọng cho việc bảo mật thông tin trong thương mại hiện nay dùng trong các mạng Internet, intranet.. Mã hóa dùng khóa chung thực hiện hai thành phần thiêt yếu là xác thực người dùng và mã hóa dữ liệu Windows 2000 dùng mã hóa dùng khóa chung cho đăng nhập mạng bằng thẻ nhớ thông minh (smart card), mã hóa hệ thống file trong NTFS( Encrypting File System : EFS),và Internet Protocol Security (IPSec). Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 68 Public Key Infrastructure Những thành phần chính của PKI Certificate Services Active Directory PKI-enabled applications Những giao thức bảo mật Secure Sockets Layer (SSL) : Đưọc phát triển bởi tập đoàn Netscape Communications, xác thực cho Client, Server hay Client –Server cũng như mã hóa trong phiên truyền thông Internet Protocol Security (IPSec) : Tập giao thức được phát triển bởi IETF áp dụng trong việc chuyển các gói bảo mật trên mạng Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 69 Public Key Infrastructure Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 70 Hiện thực bảo mật mạng dùng IPSec Khái niệm : Windows 2000 hiện thiện IPSec cho việc xác thực cho những máy tính, mã hoá dữ liệu trong việc truyền thông của các máy tính trong mạng cũng như các mạng Internet, Intranet Nguời quản trị phải đảm bảo rằng thông tin trao đổi trên mạng phải chắc chắn rằng : Không được hiệu chỉnh bởi những người không có quyền Không được xem, sao chep bởi những người không có được Không được truy xuất bởi những người không xác thực Sau đây là một số phương thức mà người xâm nhập trái phép(Attacker) có thể thực hiện : Giám sát các gói trên mạng :Dùng những ứng dụng hay thiết bị quan sát theo dõi các gói tin Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 71 Hiện thực bảo mật mạng dùng IPSec Hiệu chỉnh dữ liệu : Attacker chỉnh sửa gói dữ liệu làm sai lệch thông tin và sau đó lấy những thông tin cần thiết Passwords : Attacker đánh cấp mật mã hay khóa Giả mạo địa chỉ(Address spoofing):Attacker dùng một chương trình đặt biệt để hiệu chỉnh lại thông tin gói IP Lớp Application : Attacker lợi dụng lỗ hỏng bảo mật của OS và ứng dụng để tấn công Tấn công từ chối dịch vụ (Denial-of-service ) : Gởi thông tin một cách ồ ạc đến Server dẫn đến hệ thống tê liệt Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 72 Hiện thực bảo mật mạng dùng IPSec Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 73 Hiện thực bảo mật mạng dùng IPSec IPSec bảo mật dữ liệu mạng bằng cách Xác thực các máy tính trong quá trình trao đổi dữ liệu Thiết lập sự kết hợp bảo mật giữa hai máy tính Mã hoá dữ liệu khi trao đổi Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 74 Hiện thực bảo mật mạng dùng IPSec Cho phép IPSec hiện thực : Run/mmc Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 75 Hiện thực bảo mật mạng dùng IPSec Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 76 Hiện thực bảo mật mạng dùng IPSec Những chính sách bảo mật IPSec có sẵn Client (Respond Only) : Dùng áp dụng cho những máy tính khi trả lời bảo mật yêu cầu từ những máy tính khác Server (Request Security) :Dùng áp dụng cho những máy tính mà việc truyền thông đến nó phải được bảo mật, còn chính nó truyền thông đi có thể không cần bảo mật Secure Server (Require Security) : Tất cả những máy tính khi truyền thông với nhau phải bảo mật (Request and Respond Security) Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 77 Hiện thực bảo mật mạng dùng IPSec Kích hoạt IPSec Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 78 Hiện thực bảo mật mạng dùng IPSec Cấu hình IPSec giữa 2 máy tính Windows 2000 Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 79 Hiện thực bảo mật mạng dùng IPSec Cấu hình IPSec giữa 2 mạng Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 80 Hiện thực bảo mật mạng dùng IPSec Cấu hình tùy chọn IPSec Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 81 Hiện thực bảo mật mạng dùng IPSec Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 82 Hiện thực bảo mật mạng dùng IPSec Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 83 Hiện thực bảo mật mạng dùng IPSec Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 84 Hiện thực bảo mật mạng dùng IPSec Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 85 Hiện thực bảo mật mạng dùng IPSec Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 86 Hiện thực bảo mật mạng dùng IPSec Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 87 Câu hỏi bài tập 1. Cấu hình IPSec như thế nào để hạn chế việc giả địa chỉ (Address Spoofing)? a. Mã hóa dịch vụ và giao thức b. Giám sát mạng c. Xác thực d. Chuyển gói đến Domain Controller 2. Tạo sao dùng IPSec trong chế độ Transport ? a. Buộc áp dụng IPsec cho tất cả những truyền thông mạng b. Hỗ trợ truyền thông cho những OS củ c. Bảo mật truyền thông giữa 2 máy tính Windows 2000 d. Bảo mật truyền thông giữa mạng máy tính Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 88 Câu hỏi bài tập 3) Không phải là thành phần luật của chính sách IPSec ? a. Filter Action b. Authentication Method c. IP Filter list d. Tunnel endpoint e. Network type f. Secure password g. IP Filter list Trung tâm Tin học Bách khoa Aptech @Bách Khoa Aptech 2004 Trang 89 Ôn tập và hỏi đáp