Mạng máy tính - Chính sách hệ thống

ppt 41 trang vanle 2880
Bạn đang xem 20 trang mẫu của tài liệu "Mạng máy tính - Chính sách hệ thống", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pptmang_may_tinh_chinh_sach_he_thong.ppt

Nội dung text: Mạng máy tính - Chính sách hệ thống

  1. CHÍNH SÁCH HỆ THỐNG I. Chính sách tài khoản người dùng. II. Chính sách cục bộ. III. IPSec. 1
  2. I. CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG. ChínhChính sáchsách tàitài khoảnkhoản ngườingười dùngdùng làlà gìgì ?? AccountAccount PolicyPolicy:: đượcđược dùngdùng đểđể chỉchỉ địnhđịnh cáccác thôngthông sốsố vềvề tàitài khoảnkhoản ngườingười dùngdùng màmà nónó đượcđược sửsử dụngdụng khikhi tiếntiến trìnhtrình loginlogin xảyxảy rara NóNó chocho phépphép bạnbạn cấucấu hìnhhình cáccác thôngthông sốsố bảobảo mậtmật máymáy tínhtính nhưnhư:: mậtmật khẩukhẩu,, khóakhóa tàitài khoảnkhoản vàvà chứngchứng thựcthực trongtrong vùngvùng 2
  3. Nếu trên Server thành viên thì bạn sẽ thấy hai mục: • Password Policy • Account Lockout Policy Trên máy Windows Server 2003 làm domain controller sẽ có ba thư mục • Password Policy • Account Lockout Policy • Kerberos Policy. Trong Windows Server 2003 cho phép bạn quản lý chính sách tài khoản tại hai cấp độ là: cục bộ và miền. 3
  4. Cấu hình các chính sách tài khoản người dùng ta vào: Start Programs Administrative Tools Domain Security Policy hoặc Local Security Policy. 4
  5. 1. Chính sách mật khẩu. Password Policies: nhằm đảm bảo an toàn cho mật khẩu của người dùng, trách các trường hợp đăng nhập bất hợp pháp vào hệ thống. 5
  6. 2. Chính sách khóa tài khoản. Account Lockout Policy: quy định cách thức và thời điểm khóa tài khoản trong vùng hay trong hệ thống cục bộ. Chính sách này giúp hạn chế tấn công thông qua hình thức login từ xa. 7
  7. II. CHÍNH SÁCH CỤC BỘ. LocalLocal PoliciesPolicies:: chocho phépphép bạnbạn thiếtthiết lậplập cáccác chínhchính sáchsách giámgiám sátsát cáccác đốiđối tượngtượng trêntrên mạngmạng nhưnhư ngườingười dùngdùng vàvà tàitài nguyênnguyên dùngdùng chungchung ĐồngĐồng thờithời dựadựa vàovào côngcông cụcụ nàynày cócó thểthể cấpcấp quyềnquyền hệhệ thốngthống chocho cáccác ngườingười dùngdùng vàvà thiếtthiết lậplập cáccác lựalựa chọnchọn bảobảo mậtmật 9
  8. 1. Chính sách kiểm toán. Audit Policies: giám sát và ghi nhận các sự kiện xảy ra trong hệ thống, trên các đối tượng cũng như đối với các người dùng. 10
  9. 2. Quyền hệ thống của người dùng. Đối với hệ thống Windows Server 2003, bạn có hai cách cấp quyền hệ thống cho người dùng là: 1. Gia nhập tài khoản người dùng vào các nhóm tạo sẵn (built-in) để kế thừa quyền. 2. Dùng công cụ User Rights Assignment để gán từng quyền rời rạc cho người dùng. 12
  10. Dùng công cụ Local Security Policy (nếu máy không phải DC) hoặc Domain Controller Security Policy (nếu máy là DC). 13
  11. Cấp quyền “change the system time” cho “nguyennam” 14
  12. 3. Các lựa chọn bảo mật Security Options: cho phép Admin khai báo thêm các thông số nhằm tăng tính bảo mật cho hệ thống như: không cho phép hiển thị người dùng đã login trước đó hay đổi tên tài khoản người dùng tạo sẵn (administrator, guest). 19
  13. III. IPSec IP Security (IPSec) là một giao thức hỗ trợ thiết lập các kết nối an toàn dựa trên IP, hoạt động ở tầng ba (Network) trong mô hình OSI IPSec cũng là một thành phần quan trọng hỗ trợ giao thức L2TP trong công nghệ mạng riêng ảo VPN (Virtual Private Network). Để sử dụng IPSec phải tạo ra các qui tắc (rule), một qui tắc IPSec là sự kết hợp giữa hai thành phần là các bộ lọc IPSec (filter) và các tác động IPSec (action). 21
  14. 1. Các tác động bảo mật. IPSec hỗ trợ bốn loại tác động (action) bảo mật, các tác động bảo mật này giúp hệ thống có thể thiết lập những cuộc trao đổi thông tin giữa các máy được an toàn. 1. Block transmissons: có chức năng ngăn chận những gói dữ liệu truyền đến. Ví dụ: bạn muốn IPSec ngăn chận dữ liệu truyền từ máy A đến máy B, thì đơn giản là chương trình IPSec trên máy B loại bỏ mọi dữ liệu truyền đến từ máy A. 22
  15. 2. Encrypt transmissions: có chức năng mã hóa những gói dữ liệu được truyền. Ví dụ: chúng ta muốn dữ liệu được truyền từ máy A đến máy B, nhưng chúng ta sợ rằng có người sẽ nghe trộm trên đường truyền nối kết mạng giữa hai máy A và B. Cho nên chúng ta cần cấu hình cho IPSec để mã hóa dữ liệu. 3. Sign transmissions: có chức năng ký tên vào các gói dữ liệu truyền, nhằm tránh những kẻ tấn công trên mạng giả dạng những gói dữ liệu được truyền từ những máy mà bạn đã thiết lập quan hệ tin cậy. 23
  16. 4. Permit transmissions: có chức năng là cho phép dữ liệu được truyền qua, chúng dùng để tạo ra các qui tắc (rule) hạn chế một số điều và không hạn chế một số điều. Ví dụ: một qui tắc dạng này “Hãy ngăn chặn tất cả những dữ liệu truyền tới, chỉ trừ dữ liệu truyền trên các cổng 80 và 1433”. Chú ý: đối với hai tác động bảo mật theo phương pháp ký tên và mã hóa thì hệ thống còn yêu cầu bạn chỉ ra IPSec dùng phương pháp chứng thực nào. 24
  17. 2. Các bộ lọc IPSec Bộ lọc IPSec chủ yếu dựa trên các yếu tố sau: ü Địa chỉ IP, subnet hoặc tên DNS của máy nguồn. ü Địa chỉ IP, subnet hoặc tên DNS của máy đích. ü Theo số hiệu cổng (port) và kiểu cổng (TCP, UDP, ICMP ) 25
  18. 3. Triển khai IPSec trên Windows Server 2003 Trong hệ thống Windows Server 2003 không hỗ trợ một công cụ riêng cấu hình IPSec, do đó để triển khai IPSec chúng ta dùng các công cụ thiết lập chính sách dành cho máy cục bộ hoặc dùng cho miền. 26
  19. n Để mở công cụ cấu hình IPSec: Start Programs က¾ Administrative Tools Local Security Policy, trong công cụ đó chọn IP Security Policies on Local Machine. 27
  20. 3.1 Các chính sách IPSec tạo sẵn. Trong khung cửa sổ chính của công cụ cấu hình IPSec, bên phải chúng ta thấy xuất hiện ba chính sách được tạo sẵn tên là: Client, Server và Secure. q Client (Respond Only): chính sách qui định máy tính của bạn không chủ động dùng IPSec trừ khi nhận được yêu cầu dùng IPSec từ máy đối tác. Chính sách này cho phep bạn có thể kết nối được cả với các máy tính dùng IPSec hoặc không dùng IPSec. 28
  21. q Server (Request Security): chính sách này qui định máy server của bạn chủ động cố gắng khởi tạo IPSec mỗi khi thiết lập kết nối với các máy tính khác, nhưng nếu máy client không thể dùng IPSec thì Server vẫn chấp nhận kết nối không dùng IPSec. q Secure Server (Require Security): chính sách này qui định không cho phép bất kỳ cuộc trao đổi dữ liệu nào với Server hiện tại mà không dùng IPSec. 29
  22. 3.2 Ví dụ tạo chính sách IPSec đảm bảo một kết nối được mã hóa. n Trong phần này chúng ta sẽ thiết lập một chính sách IPSec nhằm đảm bảo một kết nối được mã hóa giữa hai máy tính. n Hai máy tính, máy A có : 203.162.100.1 và máy B có: 203.162.100.2. Ta sẽ thiết lập chính sách IPSec trên mỗi máy thêm hai qui tắc, trừ hai qui tắc của hệ thống gồm: một qui tắc áp dụng cho dữ liệu truyền vào máy và một qui tắc áp dụng cho dữ liệu truyền ra khỏi máy. 30
  23. Ví dụ qui tắc đầu tiên trên máy A bao gồm: Ø Bộ lọc (filter): kích hoạt qui tắc này khi có dữ liệu truyền đến địa chỉ 203.162.100.1, qua bất kỳ cổng nào. Ø Tác động bảo mật (action): mã hóa dữ liệu đó. Ø Chứng thực: chìa khóa chia sẻ trước là chuỗi “quantri”. 31
  24. n Qui tắc thứ hai áp dụng cho máy A cũng tương tự nhưng bộ lọc có nội dung ngược lại là “dữ liệu truyền đi từ địa chỉ 203.162.100.1”. n Chú ý: cách dễ nhất để tạo ra một qui tắc là trước tiên bạn phải qui định các bộ lọc và tác động bảo mật, rồi sau đó mới tạo ra qui tắc từ các bộ lọc và tác động bảo mật này. n Các bước để thực hiện một chính sách IPSec theo yêu cầu như trên: 32
  25. n Trong công cụ Domain Controller Security Policy, bạn nhấp phải chuột trên mục IP Security Policies on Active Directory, rồi chọn Manage IP filter lists and filter actions. 33
  26. n Hộp thoại xuất hiện, bạn nhấp chuột vào nút add để thêm một bộ lọc mới. Bạn nhập tên cho bộ lọc này, trong ví dụ này chúng ta đặt tên là “Connect to 203.162.100.1”. Bạn nhấp chuột tiếp vào nút Add để hệ thống hướng dẫn bạn khai báo các thông tin cho bộ lọc. 34
  27. n Bạn theo hướng dẫn của hệ thống để khai báo các thông tin, chú ý nên đánh dấu vào mục Mirrored để qui tắc này có ý nghĩa hai chiều bạn không phải tốn công để tạo ra hai qui tắc. n Mục Source address chọn My IP Address, mục Destination address chọn A specific IP Address và nhập địa chỉ “203.162.100.1” vào, mục IP Protocol Type bạn để mặc định. n Cuối cùng bạn chọn Finish để hoàn thành phần khai báo, bạn nhấp chuột tiếp vào nút OK để trở lại hộp thoại đầu tiên. 35
  28. n Tiếp theo bạn chuyển sang Tab Manage Filter Actions để tạo ra các tác động bảo mật. 37
  29. n Trong hộp thoại chính sách IPSec, bạn nhấp chuột vào nút Add để tạo ra qui tắc mới. 39
  30. n Đến bước này thì công việc thiết lập chính sách IPSec theo yêu cầu trên của bạn đã hoàn thành, trongkhung của sổ chính của công cụ Domain Controller Security Policy, bạn nhấp phải chuột lên chính sách First IPSec và chọn Assign để chính sách này được hoạt động trên hệ thống Server. 40