Giáo trình Hệ điều hàng mạng (Phần 1) - Lê Khánh Dương

pdf 63 trang cucquyet12 4320
Bạn đang xem 20 trang mẫu của tài liệu "Giáo trình Hệ điều hàng mạng (Phần 1) - Lê Khánh Dương", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfgiao_trinh_he_dieu_hang_mang_phan_1_le_khanh_duong.pdf

Nội dung text: Giáo trình Hệ điều hàng mạng (Phần 1) - Lê Khánh Dương

  1. KHOA CÔNG NGHỆ THÔNG TIN BỘ MÔN MẠNG & TT Lê Khánh Dương (Chủ biên) Nhóm biên soạn: - Đỗ Đình Cường - Lê Tuấn Anh GIÁO TRÌNH HỆ ĐIỀU HÀNH MẠNG (Hệ Cao đẳng) THÁI NGUYÊN 2007
  2. CHƯƠNG 1: GIỚI THIỆU HỆ ĐIỀU HÀNH WINDOWS 2000 SERVER 1. Tổng quan về Windows 2000 server Windows 2000 Server là một hệ điều hành mạnh với nhiều tính năng. Dưới đây là một vài tính năng chính: Active Directory, dựa trên cơ sở là DS (chuẩn x.500) cung cấp những kiến trúc mạng có thể thay đổi, sử dụng dịch vụ đơn cung cấp cho một vài đối tượng hay hàng ngàn dịch vụ với hàng triệu đối tượng. 9 Giao tiếp quản lý gọi là MMC cho phép tuỳ chỉnh bởi người quản lý, cung cấp những công cụ quản lý được yêu cầu trong cơ cấu logic. 9 Cải tiến phần cứng, bao gồm khả năng Plug-and-play và Hardware Wizard làm cho việc cài đặt phần cứng trở nên thuận tiện hơn. 9 Dịch vụ quản lý File bao gồm những tính năng phân phối file hệ thống. Nâng cao tính bảo mật với EFS và khả nặng thiết lập những vùng đĩa được chỉ định cho số lượng lớn người dùng. 9 Tính an toàn cao với tiện ích Security Configuration and Analysis, giao thức Kerberos (truy nhập nguồn tài nguyên trong Windows 2000 domain) và IP Security Protocol cùng các cam người dùng thông minh. 9 Khả năng cung cấp điều khiển hệ điều hành, cài đặt thông qua dịch vụ disk imaging. 9 Tính năng offline tệp tin và thư mục, tự động cài đặt và sửa chữa những ứng dụng mạng và khả năng điều khiển Desktop của người dùng bằng cấu hình của Desktop. 9 Dịch vụ thiết bị đầu cuối cho phép từ Desktop truy nhập mạng máy tính sử dụng tính năng xử lý mạnh mẽ của máy chủ. 9 Kết nối Intemet với Intemet Infonnation Service (IIS). 9 Sẵn có tuỳ chọn khôi phục hệ thống bằng Startup and Recovery. Windows 2000 Server có 3 phiên bản khác nhau, và ta có thể lựa chọn phiên bản nào phù hợp nhất cho công việc của mình: Windows 2000 Server: được thiết kế để sử dụng cho các công ty nhỏ và vừa. Windows 2000 Advance Server và Datacenter được thiết kế dành cho các công ty cỡ vừa và cỡ lớn, hoặc các nhà cung cấp dịch vụ Intemet ISPS. Windows 2000 Server: Có tất cả các tính năng chính của Windows 2000. Windows 2000 Server có các dịch vụ như file and print các dịch vụ ứng dụng, dịch vụ 1
  3. web và truyền thông bao gồm: ƒ Tính bảo mật cao bởi khoá Keberos và khoá cơ sở công khai. ƒ Thiết bị đầu cuối. ƒ 4GB bộ nhớ. ƒ 2 bộ xử lý trên phiên bản cài đặt mới và 4 cách đa xử lý đối xứng (SMP) hỗ trợ các dịch vụ có thể Upgrade từ Windows NT. Windows 2000 Advance Server: Có nhiều tính năng mạnh hơn nữa, được thiết kế cho các điều hành cỡ vừa và cỡ lớn. Nó có tất cả các ưu điểm của Windows 2000 Server và hơn thế nữa: ƒ Tải mạng đối xứng. ƒ Dịch vụ Cluster cho các ứng dụng chấp nhận lỗi. ƒ Cung cấp 8GB bộ nhớ. ƒ Có 8 cách hỗ trợ SMP. Windows 2000 Datacenter Server: Windows 2000 Datacenter Server là dịch vụ mạnh nhất trong bộ Server. Hệ điều hành này được thiết kế đáp ứng cho 1 số lượng lớn các công việc trên mạng. Windows 2000 Datacenter Server bao gồm tất cả các tính năng của Windows 2000 Advance Server và còn: ƒ Nhiều hơn các dịch vụ cung cấp Cluster cao cấp. ƒ 64GB bộ nhớ. ƒ 16 cách hỗ trợ SMP (Phiên bản OEM có thể có đến 32 cách). Chú ý: Tất cả các tính năng của Windows 2000 Server đều có trong Windows 2000 Advance Server và Windows 2000 Datacenter Server. 2. Hướng dẫn cài đặt window 2000 Server a) Yêu cầu cấu hình phần cứng Bảng 1.1 Thành Phần Yêu cầu tối thiểu Khuyến cáo Bộ xử lý Pentium 133MHZ hoặc cao hơn. Pentium 166MHZ hoặc cao hơn. Bộ nhớ trong 128MB 256MB 2
  4. Đĩa trống 2GB đã cứng với 1 GB trống (cần Tùy thuộc vào các ứng dụng và dữ nhiêu hơn nêu muốn cài đặt liệu mà ta muôn lưu trữ trên máy. Windows 2000 Server từ trên mạng xuống) . Mạng Không cần Card mạng và bất cứ thiết bị nào khác được yêu cầu tùy theo tình trạng mạng (nếu ta muốn kết nối mạng toàn cầu Hiển thị Bộ điều khiển video và màn hình Bộ điều khiển video và màn hình phân giải VGA. phân giải VGA hoặc cao hơn. b) Các bước cài đặt Phần này sẽ trình bày một số chú ý trong quá trình cài đặt Windows 2000 server. Kích cỡ, dung lượng đĩa: Một điều cần quan tâm là cần phải định rõ dung lượng các ổ đĩa của ta. Ta cần lưu ý đến dung lượng phần trống dành cho hệ điều hành, dành cho các ứng dụng khác mà ta sẽ cài đặt, và cuối cùng là dành cho việc lưu trữ dữ liệu. Đối với Windows2000 Server, Microsoft khuyến cáo ta nên dành ra ít nhất 1GB phần trống. Dung lượng phần trống này cho phép chứa đựng các file của hệ điều hành và giới hạn các file sẽ phát sinh trong tương lai khi nâng cấp và cài đặt. Vùng hệ thống và vùng khởi động: Khi cài đặt Windows 2000, các file sẽ được lưu trữ ở 2 nơi, đó là vùng hệ thống và vùng khởi động. Vùng hệ thống chứa đựng những file cần thiết để khởi động hệ điều hành Windows 2000 Server. Những file lưu trữ trong vùng hệ thống chiếm 1 phần không đáng kể phần trống, chúng được mặc định sử dụng vùng tích cực của máy tính, thường là ổ đĩa C: Vùng khởi động chứa những file của hệ điều hành Windows, và chúng được mặc định đặt tại thư mục có tên là WindowsNT. Tuy nhiên ta cũng có thể thay đổi mặc định này trong quá trình cài đặt. Microsoft khuyến cáo vùng khởi động nên có dung lượng tối thiểu là 1GB. Lựa chọn file hệ thống: Một nhân tố khác cũng quyết định kế hoạch tổ chức phân vùng đĩa của ta là loại file hệ thống mà ta sẽ sử dụng. Windows 2000 Server hỗ trợ 3 loại file: 9 FAT 16 (File Allocation Table). 3
  5. 9 FAT 32. 9 NTFS (New Technology File System) FAT 16: FAT 16 là kiểu file hệ thống 16 bít được sử dụng rộng rãi trong DOS và Windows 3x. Những rãnh ghi trong FAT 16 lưu trữ file trên đĩa sử dụng bảng phân phối file và bảng chỉ dẫn. Với FAT, bảng chỉ dẫn đặt ở rãnh ghi của khối đầu tiên của file, tên file và phần mở rộng, ngày và thời gian và bất cứ giao tiếp nào khác với file. Sự bất lợi của FAT 16 là nó chỉ hỗ trợ phân vùng với dung lượng khoảng 2GB và nó có tính năng bảo mật an toàn như NTFS. Sự thuận lợi của FAT là có sự tương thích với những hệ cũ. Điều này rất quan trọng nếu máy tính của ta chạy dual-boot với DOS hay bất kỳ hệ điều hành nào khác. Ví dụ như DOS, Unix, Linux, OS/2, Windows 3.1 và Windows 9x đều thích hợp với FAT 16 . FAT 32: FAT 32 là phiên bản 32 bit của FAT, nó được đưa ra giới thiệu vào năm 1996 với Windows 95, OEM Server Release 2 (OSR2). FAT 32 có nhiều tính năng vượt trội hơn FAT 16: 9 Disk Partition có thể có dung lượng lớn hơn 2TB (terabytes). 9 Nhiều hơn những tính năng bảo vệ được thêm vào để dự phòng những sai sót nếu xảy ra lỗi ổ đĩa. 9 Nó cải tiến cách sử dụng phần trống đã bởi việc thay đổi lại cỡ của cluster Nhược điểm của FAT 32 là nó thiếu 1 vài tính năng cho Windows 2000 so với NTFS, ví dụ như: bảo mật cục bộ, mã hoá file, trích dẫn đĩa (disk quotas) và nén. Nếu ta quyết định sử dụng FAT, Windows 2000 sẽ tự động định dạng các partition với FAT 16 nếu dung lượng partition dưới 2GB và FAT 32 nếu dung lượng trên 2 GB . Chú ý: Windows NT 4 và các phiên bản sớm hơn của NT không hỗ trợ FAT 32. NTFS: NTFS là những file hệ thống được thiết kế để cung cấp những tính năng thêm vào cho Window NT và Windows 2000. NTFS phiên bản 5 gắn với Window 2000. Dưới đây là các tính năng của NTF S : 9 Khả năng thiết lập bảo mật cục bộ cho file và các thư mục. 9 Các tuỳ chọn nén dữ liệu. Tính năng này có thể biến đổi, làm giảm bớt phần đĩa lưu trữ ít hơn yêu cầu. 9 Uyển chuyển trong việc quy định đưa trích dẫn disk quotas. Đĩa trích dẫn được dùng để giới hạn số lượng phần trống mà 1 user có thể sử dụng. 9 Tuỳ chọn mã hoá file. Việc mã hoá tăng thêm tính an toàn cho dữ liệu. Trừ trường hợp ta muốn dual-boot máy của ta với hệ điều hành không khác 4
  6. Windows NT, nếu không, Microsoft khuyên ta nên dùng NTFS. Kiểu giấy phép: Có 2 cách chính để được cấp phép. Ta trả tiền cho hệ điều hành địa phương, và ta trả cho khách truy nhập. Cách này nên dùng nếu ta chạy Windows 2000 Server như một dịch vụ của ta và Windows 2000 Professional và Windows 98 cho khách hàng của ta. Ta phải lấy giấy phép cho hệ điều hành và với mỗi máy tính cá nhân. Ta cũng phải có giấy phép truy nhập dịch vụ mạng. Khi cài đặt Windows 2000 Server, ta phải chọn giữa giấy phép Per Server và Per Seat. Per Server sẽ chỉ ra số lượng kết nối mạng hiện tại có thể được làm bởi một máy chủ. Per Seat chỉ ra mỗi máy khách được cấp phép và mỗi máy khách có thể truy nhập nhiều máy chủ mà nó cần. Ta nên chọn loại Per Server nếu những người dùng của ta chỉ truy nhập một máy chủ tại một thời điểm. Ví dụ: ta có 10 người dùng và một máy chủ, sẽ rẻ hơn nếu ta lựa chọn Per Server thay vì Per Seat. Nếu những người dùng của ta truy nhập nhiều hơn một máy chủ tại cùng một thời điểm, ta nên chọn Per Seat. Ví dụ ta có 10 người dùng và 2 máy chủ, với kiểu Per Seat, ta chỉ cần mua 10 giấy phép gọi là Client Access Licenses (CALS). Nếu ta dùng Per Server, ta cần 10 giấy phép cho mỗi Server. Thành viên của Domain hoặc của Workgroup: Một lựa chọn cài đặt Windows 2000 Server để máy tính của ta sẽ trở thành một thành phần của một miền hay một thành phần của một nhóm làm việc. Ta nên cài đặt như một phần của Workgroup nếu ta là một thành phần của một nhóm nhỏ, phân quyền hoá mạng máy tính hay ta chạy Windows 2000 Server mà không kết nối mạng. Để ra nhập một Workgroup, đơn giản ta chỉ việc chọn Workgroup đó. Domains là một phần rộng hơn với quyền quản lý mạng trung tâm. Ta nên cài máy tính của mình như một thành phần của một Domain nếu bất cứ một máy chủ Windows 2000 Server nào trên mạng của ta cũng đều được cấu hình theo Domain Controller với Active Directory đã được cài đặt. Để ra nhập một Domain, ta phải chỉ ra tên chính xác của Domain và cung cấp 1 tên người dùng (username) và mật khẩu người dùng để kết nối thêm máy tính của ta vào Domain. Một bộ điều khiển miền của Domain và máy chủ Domain Name System (DNS) phải có sẵn để xác nhận khi gia nhập Domain. Nâng cấp một Member Server lên Domain Controller: Một Server đã được cài đặt thành công với hệ điều hành Windows 2000, ta có thể nâng cấp từ Server lên Domains Controller bằng cách sử dụng tiện ích DCPROMO. Ta có thể chỉ ra Server nào là Domain Controller đầu tiên trong domains mới hoặc thêm nó từ một domain sẵn có. Nếu ta sẵn có Active Directory cài đặt trên mạng của ta, ta 5
  7. có thể tạo mới một domains.con với một cây domains có sẵn hay cài đặt một cây domains như một phần của 1 rừng đã có sẵn. Các bước trong phần này xem như ta đã tạo một domains contrroller đầu tiên trong domains mới, và ta đang cài Active Directory lần đầu tiên. Những bước này cũng xem như DNS vẫn chưa được định cấu hình cho mạng của ta. Để nâng cấp từ Server lên Domáin Controller, ta hãy làm theo các bước sau: 1. Chọn Start > Run, gõ DCPROMO trong hộp thoại Run, và nhấn OK. 2. Chương trình Active Directory Installation Wizard bắt đầu. Ta nhấn vào nút Next như trong hình 1.1 . Hình 1.1 3. Hộp thoại Domain Controller Type xuất hiện, xem hình 1.2. Chọn Domain Controller ở tuỳ chọn New Domain và nhấn Next. Nếu ta muốn thêm domain controller tới một domain có sẵn, ta chọn tuỳ chọn Additional Domain Controller for an Existing Domain. Hình 1.2 4. Hộp thoại Create Tree or Child Domain xuất hiện. Để tạo một domain tiếc mới, chọn tuỳ chọn Create a New Domain Tree và nhấn nút Next như trong hình 1.3 (Nếu ta đã cài đặt sẵn Active Directory trên mạng của mình và ta muốn tạo mới một cây domain con trong một cây domain đã có sẵn, ta chọn tuỳ chọn "Create a New Child Domain in an Existing Domain Tree"). 6
  8. Hình 1.3 5. Hình 1.4 là hộp thoại Create or Join Forest. Chọn tuỳ chọn "Create a New Fores of Domain Trees" và nhấn vào nút Next. (Nếu ta đã có sẵn Active Directory trên mạng của mình và muốn cây domain sẽ được cài đặt như là một phần của một rừng đã có sẵn, ta chọn "Place This New Domain Tree" trong tuỳ chọn Existing Forest). Hình 1.4 6 . Hộp thoại New Domain Na me xuất hiện như trong hình 1.5 , chỉ ra tên DNS đầy đủ cho domain mới. Ví dụ như sampledomain.com và nhấn nút Next để tiếp tục. Thông thường DNS được định cấu hình cho mạng trước khi ta tạo một domain controller. Hình 1.5 7
  9. 7. Tiếp đến là hộp thoại NetBIOS Domain Name như trong hình 1.6 Tên NetBIOS Domain được sử dụng để thuận tiện với máy trạm dùng WinNT. Mặc định là tên domain NetBIOS được đặt giống như tên DNS. Ta có thể thay đổi bằng một tên khác hoặc là chấp nhận cái tên mặc định này. Nhấn Next để tiếp tục. Hình 1.6 8. Sau đó là đến hộp thoại Database ang Log Locations như trong hình 1.7 Hộp thoại này cho phép ta xác định vị trí của cơ sở dữ liệu Active Directory và các file sổ ghi cơ sở dữ liệu. Ta có thể chấp nhận vị trí mặc định cho những file này hoặc lựa chọn một vị trí khác. Sau đó ta nhấn nút Next. Hình 1.7 9. Hộp thoại Shared System Volume sẽ xuất hiện như trong hình 1.8. Volume này phải là NTFS 5 volume. Ta có thể chấp nhận vị trí thư mục mặc định hoặc là lựa chọn một thư mục khác. Sau đó nhấn Next (Nếu partition không phải là NTFS 5, ta sẽ thấy thông báo lỗi chỉ ra rằng file hệ thống phải được chuyển đổi). 8
  10. Hình 1.8 10. Nếu DNS vẫn chưa được định cấu hình, ta sẽ thấy thông báo bắt đầu rằng dịch vụ DNS không thể định vị được như trong hình 1 .9 Nhấn nút OK để tiếp tục. Hình 1.9 11. Hộp thoại Configure DNS xuất hiện như trong hình 1.10. Để định cấu hình DNS, chọn tuỳ chọn Yes, Install and Configure DNS on This Computer (Recommend). Nếu ta muốn tự cài đặt DNS (bằng tay) chọn tuỳ chọn No, I Will Install and Configure DNS Myself. Sau khi ta đã tạo ra lựa chọn của mình, nhấn Next để tiếp tục. Hình 1.10 12 . Hộp thoại Permissions xuất hiện như trong hình 1.11 Nếu ta muốn có thể sử dụng các chương trình máy chủ trên máy chủ để chạy các phiên bản trước đó của Windows hoặc trong một domain điều hành các phiên bản trước đây của Windows chọn tuỳ chọn Permissions Compatible with pre-windows 2000 Server. Các trường hợp khác, lựa chọn tuỳ chọn Permissions Compatible giấy with Windows 2000 Server. 9
  11. sau đó, nhấn Next để tiếp tục. Hình 1.11 13. Tiếp đến là hộp thoại Directory Services Restore Mode Administrator Password như trong hình 1.12 Hộp thoại này cho phép ta xác định password có thể sử dụng khi máy chủ cần khởi động lại ở chế độ Directory Senvices Restore Mode. Nhập lại password một lần nữa để xác nhận và nhấn nút Next. Hình 1.12 Chú ý: Directory Services Restore Mode là một tuỳ chọn trên trình đơn Advanced Options, có sẵn khi Windows 2000 khởi động. Xem chương 15 để biết thêm chi tiết về những tùy chọn khác của Advanced Options này. 14. Sau đó là đến hộp thoại Summary như trong hình 1.13 Hộp thoại này cho phép ta xác nhận lại tất cả các lựa chọn ta đã làm. Nếu tất cả các thông tin đều chính xác, nhấn Next. 10
  12. Hình 1.13 15. Ta sẽ nhìn thấy hộp thoại Configuring Active Directory để ta biết rằng Wizard đang định cấu hình Active Directory và quá trình này có thể mất vài phút. Sau đó ta sẽ được nhắc đưa đĩa CD Windows 2000 Server của ta vào để copy thêm các file cần thiết. Cho đĩa CD vào Ổ CD-ROM và nhấn OK. 16. Hộp thoại Configuring Active Directory xuất hiện. Khi quá trình này hoàn thành, hộp thoại Completing the Active Directory Installation Wizard xuất hiện như trong hình 1.14 Nhấn Finish. Hình 1.14 17.Ta sẽ được nhắc khởi động tại Windows 2000 để thay đổi các ảnh hưởng. Nhấn Restart Now. 11
  13. CHƯƠNG 2 : QUẢN TRỊ NGƯỜI DÙNG (8 tiết lý thuyết) 1. Giới thiệu về tài khoản người dùng Một trong những nhiệm vụ cơ bản nhất trong việc quản trị mạng là tạo ra những tài khoản người dùng và nhóm người dùng. Khi không có tài khoản thì người dùng không thể đăng nhập vào hệ thống máy tính, khi không có tài khoản nhóm sẽ khiến quản trị nên khó có thể phân quyền người dùng trong việc truy cập và khai thác tài nguyên của hệ thống một cách chặt chẽ và linh hoạt. 1.1. Tổng quan về tài khoản người dùng Trong Windows 2000 server hỗ trợ hai kiểu người dùng: người dùng cục bộ và người dùng Active Directory. Một máy tính đang sử dụng hệ điều hành Windows 2000 server (được cấu hình là một máy chủ) có khả năng tự lưu trữ cơ sở dữ liệu tài khoản người dùng. Những người dùng được lưu trữ trong những máy cục bộ được gọi là người dùng địa phương. Active Directory là một dịch vụ thư mục được tích hợp sẵn trong Windows 2000 Server. Nó chứa thông tin trong một cơ sở dữ liệu trung tâm cho phép người dùng có thể có một tài khoản đơn lẻ trên mạng. Những người dùng hay nhóm người dùng được lưu trong Acitve Directory được gọi là người dùng Active Directory hay người dùng miền. 1.2. Các tài khoản người dùng có sẵn Khi cài đặt Windows 2000 Server, có một số tài khoản mặc định được tạo ra sẵn. Bảng 2.1 Các tài khoản mặc định Người dùng Mô tả Phạm vi định sẵn Administrator Tài khoản Administrator là một tài khoản đặc Cục bộ hay miền (local biệt có quyền đẩy đủ đối với máy tính Domain) Guests Cho phép người dùng truy cập vào máy Local và Domain tính ngay cả khi không có username và password. Tài khoản này mặc định bị vô hiệu hóa, khi tài khoản này được phép sử dụng thì cũng chỉ được cung cấp một số quyền hạn chế. ILS_Anonymous Là một tài khoản đặc biệt của dịch vụ ILS, ILS Domain User hỗ trợ môi trường telephony với các tính năng như hội nghị qua vi deo, fax. . . để sử dụng dịch vụ này cần cài đặt IIS. 12
  14. IUSR- Là tài khoản đặc biệt để truy cập nặc danh vào Local và Domain computername IIS ở những máy có cài IIS IWAM- Tài khoản này là tài khoản đặc biệt được dùng Local và Domain computername cho IIS để bắt đầu một ứng dụng trên một máy có cài đặt IIS Krbtgt Tài khoản này dùng cho dịch vụ Key Domain Distribution Center. TSInternetUser Là tài khoản dành Terminal Service. Domain Theo mặc định thì tên tài khoản Administrator được trao cho tài khoản có quyền đầy đủ với hệ thống. Có thể tăng cường an ninh của hệ thống bằng cách đổi tên tài khoản Administrator sau đó tạo ra một tài khoản có tên là Administrator nhưng không có quyền gì. Bằng cách này thì ngay cả khi một hacker có thể truy cập vào hệ thống với tên Administrator thì cũng không thể truy cập tới bất cứ tài nguyên nào của hệ thống. 1.3. Tổng quan về tài khoản nhóm Trên một máy chủ Windows 2000, chỉ có thể sử dụng những nhóm cục bộ. Một nhóm cục bộ sẽ lưu trong csdl của máy chủ Windows 2000. Trên Windows 2000 Domain controller trong Active Directory, có thể có những nhóm "an toàn" (security) và những nhóm "chia" sẽ (ditribution). Một nhóm an toàn là một nhóm những người dùng mà chỉ truy cập đến một số tài nguyên xác định. Sử dụng nhóm người dùng an toàn gán quyền truy cập cho những tài nguyên. Một nhóm chia sẻ là một nhóm những người dùng có những đặc điểm điểm chung. Nhóm chia sẻ có thể được dùng bởi những chương trình ứng dựng và thư điện tử. Windows 2000 domain controller cho phép lựa chọn phạm vi của nhóm có thể là domain, global hoặc universal. Mỗi kiểu phạm vi được sử dụng như sau: 9 Những nhóm vùng cục bộ được dùng để xác lập quyền truy xuất đối với các tài nguyên. Những nhóm cục bộ có thể chứa những tài khoản người dùng, những nhóm dùng chung và những nhóm toàn cục từ bất cứ vùng nào. Một nhóm vùng cục bộ cũng có thể chứa những nhóm vùng cục bộ khác trong vùng của mình. 9 Nhóm toàn cục được dùng để tổ chức những người dùng có những yêu cầu truy cập tương tự nhau. Nhóm toàn cục có thể chứa những người dùng và nhóm toàn cục từ vùng địa phương. 9 Nhóm đa năng được sử dụng để tổ chức người dùng và xuất hiện trong danh mục toàn cầu (một danh sách đặc biệt chứa những thông tin về tất cả các đối tượng trong Active Directory). Trên các máy tính cài Windows 2000 Professional và Windows 2000 server, tạo 13
  15. ra và quản lý những nhóm cục bộ thông qua tiện ích Local User and Groups - Trên Windows 2000 Server domain controller việc quản lý những nhóm người dùng thông qua tiện ích Microsoft Active Directory Users and Computers. 1.4 Tài khoản nhóm có sẵn Khi cài đặt Windows 2000 Server, có một số tài khoản nhóm được tạo sẵn theo mặc định. Bảng 2.2 Nhóm định sẵn Mô tả Phạm vi Account Operators Những thành viên của nhóm Account Operator Domain có thể tạo ra những người dùng và những tài khoản của người dùng và nhóm nhưng họ chỉ có thể quản lý những tài khoản người dùng và nhóm mà họ tạo ra Adiministrators Nhóm Administrators có đầy đủ những đặc Local và quyền đặc lợi. Những thành viên của nhóm có Domain thể cấp cho mình tất cả những quyền mà theo mặc định họ chưa có để có thể quản lý toàn bộ các đối tượng trên hệ thống (Các đối tượng trên hệ thống bao gồm hệ thống file, máy in, quản lý tài khoản ) Backup Operators Các thành viên của nhóm Backup Operator có Local và quyền sao lưu và phục hồi hệ thống file ngay cả Domain khi hệ thống file là NTFS và họ không được cấp quyền về hệ thống file. Tuy nhiên thành viên của nhóm này chỉ có quyền truy cập vào hệ thống file thông qua tiện ích Backup. Để có thể truy cập trực tiếp vào hệ thống file họ phải được cấp quyền truy nhập. Theo mặc định thì không có thành viên nào trong nhóm Backup Operator. Guests Nhóm Guests có quyền rất hạn chế đối với hệ Local và thống. Ta có thể cung cấp tài khoản này cho Domain những người dung không thường xuyên có thể truy cập tới một số tài nguyên xác định trên mạng. Nói chung thì hầu hết các quản trị viên đều không cho phép quyền truy cập Guest bởi vì tính nguy hiểm của nó. Mặc định thì tài khoản người dùng Guest là thành viên của 14
  16. nhóm Guest. Power Users Nhóm Power User có ít quyền hơn nhóm Local Administrators nhưng nhiều quyền hơn nhóm User. Power User có thể tạo ra người dùng và nhóm nhưng cũng chỉ có quản lý những người dùng và nhóm người dùng do nó tạo ra. Nó cũng có thể tạo ra sự chia sẻ mạng và máy in. Print Operator Thành viên của nhóm này có quyền quản trị Domain máy in. Replicator Nhóm này được tạo ra nhằm hỗ trợ việc tái tạo Local và thư mục là một tính năng của máy chủ. Chỉ có Domain những người dùng vùng mới có thể được cấp quyền vào nhóm này. Mặc định là không có thành viên nào trong nhóm này cả Server Operators Thành viên nhóm này có thể quản trị các máy Domain chủ vùng. Users Nhóm Users được dùng cho những người dùng Local và cuối là những người có quyền truy cập rất hạn Domain chế đối với hệ thống. Nếu ta cài đặt mới Server thì những thiết lập mặc định cho nhóm này sẽ ngăn cản không cho những người dùng trong nhóm có thể phá hỏng hệ điều hành cũng như những file trên máy. Theo mặc định thì toàn bộ người dùng trên hệ thống , trừ Guest, là thành viên của nhóm User. Cert Publishers Thành viên của nhóm Cert Publisher có thể Global quản lý những chứng chỉ, chứng nhận của công ty hay các đại lý. DHCP Nhóm DHCP Administrator có quyền quản trị Domain Administrators để quản lý máy chủ. DHCP Users Nhóm này có những quyền cần thiết để có thể Domain sử dụng các dịch vụ DHCP DnsAdmins Nhóm này có quyền quản lý những máy chủ Domain Domain Name System (DNS). Dnsupdateproxy Nhóm này có quyền cho phép những máy Global 15
  17. khách DNS có thể thực hiện những cập nhật động thay mặt những máy khách khác cũng như là những máy chủ DHCP. Domain Admins Nhóm Domain Admins có quyền điều hành Global toàn bộ trên domain. Domain Nhóm này chứa toàn bộ những máy trạm và Global Computers máy chủ thuộc về Domain. Domain Nhóm này chứa toàn bộ những điều khiển miền Global Controllers trên miền. Domain Guests Nhóm này có những quyền truy cập rất hạn chế Global đến miền. Nhóm này được tạo ra nhằm giúp ta có thể cho phép những người dùng không thường xuyên truy cập đến những tài nguyên xác định trên hệ thống. . . Domain Users Nhóm này chứa toàn bộ những người dùng Global miền. Ta nên cấp những quyền rất hạn chế cho nhóm này. Enterprise Admins Nhóm này có quyền điều hành toàn bộ trên hệ Global thống. Nó là nhóm có quyền cao nhất trong tất cả các nhóm Group Policy Nhóm này có quyền thay đổi chính sách của Global Creator Owners nhóm đối với miền RAS and IAS Chứa những dịch vụ truy cập từ xa (RAS- Domain Server Remote Access Service) và các máy chủ Intemet Authentication Service (IAS) trong miền. Những máy chủ trong nhóm này có thể truy cập từ xa đến những thuộc tính của người dùng Schema Admins Nhóm có quyền đặc biệt có thể thay đổi lược đồ Global của Active Directory WINS Users Nhóm WIN User có quyền đặc biệt có thể xem Domain những thông tin trên các máy chủ Windows Intemet Name Service (wins) 16
  18. Chú ý: Trên một điều khiển miền Windows 2000 Server, các nhóm được đặt trong các thư mục Users và Builtin. 2. Làm việc với các tài khoản người dùng cục bộ Để cài đặt và quản lý những người dùng cục bộ sử dụng tiện ích Local Users and Groups. Với tiện ích này có xóa bỏ, đặt lại thêm mới người dùng. Và thay đổi mật khẩu của người dùng. 2.1. Sử dụng tiện ích Local Users and Groups Có hai cách để truy cập đến tài khoản này: 9 Sử dụng Microsoft Management Console (MMC). 9 Sử dụng thông qua Computer Management. a) Sử dụng MMC Chọn Start → Run, nhập vào MMC, sau đó nhấn Enter để mở cửa sổ MMC. Hình 2.1 Chọn file → Add/Remove Snap-in để mở hộp thoại. Chọn Add để mở hộp thoại Add Standard Snap-in. Chọn Local Users and Group và cách vào nút Add. Hộp thoại Choose Target Machine xuất hiện với Local Computer được chọn. Click vào nút Finish. Sau đó quay lại hộp hoại Add Standard Snap-in cách vào nút Close. Sau đó click vào nút OK. Khi đó Local Users and Group được thêm vào MMC . 17
  19. Hình 2.2 Lưu lại bằng cách chọn Save và đặt đường dẫn (nên để ở Desktop để dễ truy cập). b) Sử dụng Computer Management Click chuột phải vào My Computer chọn Manager. Sau đó chọn Local Users and Groups. Hình 2.3 2.2 Tạo tài khoản người dùng Để tạo ra người dùng mới trên Windows 2000 Server ta phải đăng nhập vào hệ thống với tư cách là một người dùng có quyền tạo ra người dùng mới và phải là thành viên của nhóm Administrators hoặc là nhóm Power Users. a) Những quy tắc đặt tên người dùng: Yêu cầu duy nhất khi tạo ra người dùng mới đó là ta phải cung cấp tên người dùng hợp lệ. Hợp lệ tức là phải tuân theo những quy tắc của Windows 2000 về tên người dùng. Độ dài tên phải từ 1 đến 20 ký tự. 9 Tên của người dùng phải duy nhất, tức là phải khác với tất cả các tên và nhóm có 18
  20. trong hệ thống. 9 Tên người dùng phải không được chứa các ký tự sau: / \ [ 1 : ; 1 = ' + * ? " 9 Tên của người dùng không chứa dấu cách. b) Các tùy chọn đối với tài khoản người dùng mới: Mở Local User and Group tạo một tài khoản mới. Hình 2.4 Bảng 2.3 mô tả các tùy chọn trên: Tùy chọn Mô tả User Name Xác định tên của người dùng. Full Name Cung cấp thêm thông tin chi tiết về người dùng Description Bổ xung thêm những thông tin phụ. Password Mật khẩu của người dùng có thể dài tới 14 ký tự, phân biệt chữ hoa chữ thường Confirm Password Xác nhận lại mật khẩu. User Must Change Nếu mục này được chọn thì hệ thống sẽ bắt người dùng phải thay đổi mật khẩu trong lần đầu tiên đăng nhập. Password at Next Login Nhằm tăng tính bảo mật. theo mặc định thì mục này được chọn. User Cannot Nếu mục này được chọn thì người dùng không thể thay đổi Changepassword mật khẩu, nó hữu ích với các tài khoản Guest. Mặc định mục này không được chọn Password Never Expires Nếu chọn mục này thì mật khẩu sẽ không bao giờ hết hiệu lực ngay cả khi chính sách về mật khẩu được thiết lập Account is Disabled Nếu chọn thì tài khoản này không thể được dùng để đăng nhập vào hệ thống, chọn mục này cho những tài khoản 19
  21. mẫu hoặc các tài khoản hiện tại không được sử dụng, nó làm tăng tính bảo mật của hệ thống. c) Quản lý các đặc tính của người dùng cục bộ: Để có nhiều điều khiển hơn đối với tài khoản người dùng, có thể thiết lập cấu hình các đặc inh người sử dụng. Thông qua hộp thoại Properties ta có thể thay đổi các tùy chọn mật khẩu ban đầu, thêm một người sử dụng vào nhóm, và chỉ định những thông tin và hiện trạng người sử tụng. Để mở hộp thoại Properties vào tiện ích Local Users and Groups, mở thư mục Users và thân đúp chọn tài khoản. Hình 2.5 Thẻ General: chứa những thông tin mà ta cung cấp khi tạo tài khoản mới, bao gồm: Full Name (tên đầy đủ), Description, tùy chọn mật khẩu và tài khoản có bị vô hiệu hóa hay không. Thẻ Member Of: dùng để quản lý tư cách thành viên của các nhóm của người sử dụng (người sử dụng là thành viên của nhóm nào). Thẻ Profile: cho phép thiết lập các đặc tính để tùy chỉnh môi trường người dùng. Ta có thể chỉ định các mục sau đây cho người sử dụng. Hình 2.6 20
  22. 9 Thiết lập đường dẫn hiện trạng (Profile Path): Hiện trạng người sử dụng chứa các thông tin về môi trường Windows 2000 dành cho từng người dùng cụ thể. Ví dụ: thiết đặt hiện trạng bao gồm sắp xếp màn hình, các nhóm chương trình, màu màn hình người sử dụng nhìn thấy khi đăng nhập. Nếu tuỳ chọn cấu hình là một sở thích cá nhân, nó gần như sẽ là một phần của hiện trạng người sử dụng. Tuỳ chọn cấu hình liên quan đến máy tính không phải là một phần của hiện trạng người sử dụng. Ví dụ trình điều khiển chuột không phải là một phần của hiện trạng người sử dụng. Tuy nhiên, các đặc tính của cấu hình chuột như tốc độ, con trỏ, thiết đặt nút chuột phản ánh các sở thích cá nhân, là một phần của hiện trạng người sử dụng. Mặc định, khi người sử dụng đăng nhập, một hiện trạng sẽ được mở ra cho người đó. Lần đầu tiên người sử dụng đăng nhập, họ sẽ nhận được hiện trạng người sử dụng mặc định. Một thư mục trùng với tên đăng nhập của người sử dụng sẽ được tạo ra trong thư mục Documents and Settings. Thư mục hiện trạng người sử dụng chứa một file có tên là NTUSER.DAT và các thư mục con chứa các liên kết tới các biểu tượng trên màn hình của người sử dụng. Bất cứ thay đổi nào trên màn hình của người sử dụng sẽ được lưu trên máy cục bộ khi người sử dụng rời hệ thống. Ví dụ, giả sử người dùng Nam đăng nhập, chọn wallpaper cho anh ta, tạo các lối tất, tuỳ chỉnh màn hình theo ý thích của anh ta. Khi anh ta thoát khỏi hệ thống, hiện trạng của anh ta sẽ được lưu lại. Khi một người dùng khác đăng nhập vào cùng máy tính, hiện trạng của người đó (chứ không phải là hiện trạng của Nam) sẽ được nạp. Tùy chọn Profile Path (đường dẫn hiện trạng) trong thẻ Profile được sử dụng để chỉ định một vị trí khác cho các file hiện trạng mà không dùng vị trí mặc định. Điều này cho phép người dùng truy cập vào các hiện trạng được lưu trữ trong các file được chia sẻ trên mạng.Với cách này, các hiện trạng có thể được sử dụng cho các cá nhân người dùng hoặc được chia sẻ cho một nhóm người dùng. Để chỉ định một đường dẫn chỉ cần gõ nó vào hộp kí tự Profile Path. 9 Sử dụng các Script đăng nhập (Logon Scripts): Các script đăng nhập là các file chạy lúc người sử dụng đăng nhập vào mạng. Chúng thường là tệp BAT nhưng chúng có thể là bất cứ loại tệp thi hành nào ta có thể sử dụng các script đăng nhập để thiết lập các ánh xạ ổ đĩa hoặc chạy file thi hành nào đó mỗi lần một người sử dụng đăng nhập vào máy. Ví dụ ta có thể chạy một file thu thập thông tin về cấu hình máy và gửi dữ liệu tới cơ sở dữ liệu quản lí trung tâm. Các script đăng nhập cũng hữu ích cho việc tương thích với các máy khách không sử dụng Windows 2000, muốn đăng nhập nhưng vẫn duy trì các thiết đặt với hệ điều hành của họ. Để chạy một script đăng nhập cho một người dùng, nhập tên script vào hộp kí tự Logon Script trong thẻ Profile của hộp hội thoại Properttes. Script đăng nhập không được sử dụng nhiều lắm trong Windows 2000 mạng. Windows 2000 tự động thiết đặt hầu hết các cấu hình người dùng. 9 Thiết đặt thư mục chủ: Người sử dụng thường lưu trữ các file cá nhân hoặc các 21
  23. thông tin trong các thư mục riêng gọi là thư mục chủ. Trong thẻ Profile của hộp hội thoại Properties, ta có thể xác định vị trí của thư mục chủ là thư mục cục bộ hoặc thư mục trên mạng. Để chỉ định một thư mục có đường dẫn cục bộ, chọn tuỳ chọn Local Path và gõ đường dẫn vào hộp kí tự. Để chỉ định một đường dẫn trên mạng cho một thư mục, chọn tuỳ chọn Connect và chỉ định đường dẫn trên mạng bằng đường dẫn UNC (Universal Naming Convention). Trong trường họp này thư mục trên mạng đó phải tồn tại và phải được chia sẻ. Thẻ Dial-in: dùng để định nghĩa các đặc tính Dial-in như quyền truy cập từ xa hay tùy chọn Callback. Các tùy chọn này được dùng trong kết nối tới các máy chủ ở xa và các máy chủ của các mạng riêng ảo. 3. Làm việc với tài khoản người dùng Active Directory Để tạo tài khoản miền cho người sử dụng, ta sử dụng tiện ích Active Directory Users and Computers. Với tiện ích này, ta có thể thêm một người dùng vào một miền trong Active Directory. Phần dưới đây sẽ mô tả làm thế nào để tạo người dùng miền mới và quản lí các đặc tính của người dùng miền. 3.1 Tạo người dùng Active Direetory Tiện ích Active Directory Users and Groups, là công cụ chính để quản lí người dùng, nhóm và máy tính Active Directory. Ta truy cập đến tiện ích này thông qua Administrator Tools. Hình 2.7 Để tạo người dùng Active Directory làm theo các bước sau: 1. Chọn Start -> Programs -> Administrative Tools -> Active Directory Users and Computers . 2. Cửa sổ Active Directory Users and Computers xuất hiện. Nhấn chuột phải vào Users, chọn New từ mênh thả xuống, chọn User. 22
  24. 3. Hộp hội thoại New Object-user xuất hiện, xem hình 2.8 . Gõ vào tên người dùng, họ, tên đăng nhập. Tên đầy đủ và tên đăng nhập pre-Windows 2000 (dành cho các máy khách không dùng Windows 2000 muốn đăng nhập) sẽ được tự động thêm vào khi ta điền đủ các thông tin khác nhưng ta vẫn có thể thay đổi chúng nếu muốn. Nhấn nút Next. Hình 2.8 4. Hộp hội thoại New Object - User thứ 2 xuất hiện, xem hình 2.9. Gõ và xác nhận mật khẩu người dùng. Các hộp chếch trong hộp hội thoại này cho phép ta chỉ định việc người dùng phải thay đổi mật khẩu lúc đăng nhập, người dùng không thể thay đổi mật khẩu, mật khẩu không bao giờ hết hạn, hoặc tài khoản bị vô hiệu hoá. Nhấn nút Next. Hình 2.9 5. Hộp hội thoại New Object - User cuối cùng xuất hiện, xem hình 2.10. Hộp hội thoại này hiển thị tài khoản ta vừa cấu hình. Nếu tất cả các thông tin là chính xác, nhấn nút Finish. 23
  25. Hình 2.10 3.2 Quản lí các đặc tính người dùng Active Directory Với người dùng Active Directory, ta có thể cấu hình rất nhiều đặc tính khác nhau. Để duy cập tới hộp hội thoại Properties của một người dùng Active Directory, mở tiện ích Active Directory Users and Computers (bằng cách chọn Start -> Programs -> Administrative Tools -> Active Directory Users and Computers), mở thư mục Users, nhấn đúp vào tài khoản người dùng. Hộp hội thoại Active Directory user Properties xuất hiện với các thẻ cho 12 loại đặc tính chính: General Member Of Address Dial-in Account Environment Profile Sessions Telephones Remote Control Organization Terminal Services Profile a) Định cấu hình các đặc tính chung của người dùng Active Directory: Thẻ đặc tính General, xem hình 2.11 , chứa các thông tin mà ta cung cấp khi thiết lập một tài khoản người dùng mới. Ta có thể thêm thông tin vào các hộp Description và Office. Ta cũng có thể thêm các thông tin liên hệ với người sử dụng như số điện thoại, email, địa chỉ, địa chỉ trang Web. 24
  26. Hình 2.11 b) Thêm thông tin về địa chỉ của người dùng Active Directory: Ta có thể cung cấp thông tin về địa chỉ của người dùng thông qua thẻ Address, xem hình 2.12. Thẻ này có các hộp kí tự dành cho tên phố, số hòm thư, thành phố, tỉnh, mã zip code. Ta cũng có thể chọn tên nước hoặc tên vùng từ danh sách thả xuống Country/Region. Hình 2.12 c) Điều khiển tài khoản người dùng Active Directory: Thông qua thẻ Accounts, xem hình 2.13, ta có thể điều khiển tài khoản của người sử dụng. Thẻ này hiển thị thông tin về tên đăng nhập mà ta cung cấp khi ta thiết lập tài 25
  27. khoản người dùng mới và cho phép ta định cấu hình những thiết đặt sau: 9 Những giờ đăng nhập được cho người dùng. 9 Những máy tính mà người dùng có thể đăng nhập. 9 Các chính sách tài khoản áp dụng cho người dùng. 9 Khi nào tài khoản hết hạn. 9 Những thiết đặt này được mô tả trong các phần sau. Hình 2.13 d) Điều khiển giờ đăng nhập Khi ta nhấn vào nút Logon Hours, ta sẽ thấy hộp hội thoại Logon Hours, xem hình dưới. Mặc định, người dùng được phép đăng nhập 24 giờ một ngày, 7 ngày 1 tuần. Giờ đăng nhập được hạn chế trong quá trình backup máy tính. Ta cũng có thể muốn giới hạn giờ đăng nhập vì một số li do bảo mật. Hộp màu xanh chỉ ra là ta được phép đăng nhập, hộp màu trắng là không được phép đăng nhập. Ta có thể thay đổi giờ đăng nhập bằng cách chọn giờ ta muốn vay đổi và nhấn vào nút radio Logon Permitted (cho phép đăng nhập) hoặc nút radio Logon Denied (không cho phép đăng nhập). Hình 2.14 26
  28. e) Điều khiển truy cập vào máy tính: Khi nhấn vào nút Log On To, sẽ thấy hộp hội thoại Logon Workstations (đăng nhập vào trạm làm việc), xem hình 2.15. Hộp hội thoại này cho phép chỉ định việc người dùng có thể truy cập vào tất cả các máy tính trong mạng hoặc chỉ cho người dùng truy cập vào một số máy xác định trong mạng. Ví dụ, nếu Quản trị viên làm việc trong một môi trường bảo mật, ta có thể giới hạn chỉ cho tài khoản Quản trị viên được đăng nhập từ một máy nào đó. Ta có thể định cấu hình các máy tính để người dùng có thể truy cập dựa vào tên máy tính. Ta có thể thêm các máy các máy tính được cho phép bằng cách gõ vào tên máy tính và nhấn nút Add. Hình 2.15 f) Thiết đặt các tuỳ chọn cho tài khoản Các tuỳ chọn cho tài khoản được liệt kê trong thẻ Account cho phép ta điều khiển việc bảo mật mật khẩu cho tài khoản người dùng. Ta có thể xác định các tuỳ chọn tài khoản sau: 9 Người dùng phải đổi mật khẩu vào lần đăng nhập tiếp theo. 9 Người dùng không thể thay đổi mật khẩu. 9 Mật khẩu không bao giờ hết hạn. 9 Lưu trữ mật khẩu bằng cách mã hóa có thể đảo ngược lại được. g) Thiết đặt việc hết hạn của tài khoản: Nút radio End Of ở cuối thẻ Account cho phép thiết đặt việc hết hạn của tài khoản vào một ngày tháng cụ thể. Mặc định, các tài khoản là không hết hạn. Ta có thể muốn thiết đặt ngày hết hạn nếu ta có một nhân viên tạm thời và ta muốn vô hiệu hoá tài khoản của họ vào một ngày tháng nào đó. Tuỳ chọn này cũng hữu ích trong môi trường các trường học nơi các học viên cân tài khoản người dùng, những tài khoản của họ cần bị vô hiệu hoá vào cuối khoá học. 27
  29. h) Thiết đặt môi trường người dùng Active Directory: Thẻ Profile cho phép ta thiết đặt các hiện trạng người dùng, các script đăng nhập và thư mục chủ. Các tuỳ chọn này được định cấu hình theo cách tương tự như ta thiết đặt cho tài khoản người dùng cục bộ. Xem thêm phần "Setting Up the Local User Enviroment" trong chương này để biết thêm chi tiết về việc sử dụng các tuỳ chọn trong thẻ Profile. Thêm thông tin về số điện thoại của người dùng Active Directory Thẻ Telephone, xem hình 2.16, cho phép ta định cấu hình số điện thoại của người dùng như địa chỉ nhà, trang Web, số ĐT di động và địa chỉ IP. Ta cũng có thể ghi chú như : "Không gọi về nhà sau 10 giờ tối". Hình 2.16 i) Thêm thông tin về tổ chức Active Directory: Thẻ Organization, xem hình 2.17, cho phép ta cung cấp thông tin về vai trò của người dùng trong tổ chức của ta. Ta có thể đưa vào tiêu đề của người dùng, phòng, công ty và giám đốc Ta cũng có thể chỉ ra người dùng sẽ báo cáo trực tiếp cho ai. 28
  30. Hình 2.17 j) Quản lí Active Directory User Group Membership: Thẻ Member Of hiển thị các nhóm mà người dùng là thành viên, xem hình 2.18 . Ta có thể thêm một người dùng vào một nhóm bằng cách nhấn vào nút Add. Để loại bỏ người dùng khỏi một nhóm đã được liệt kê, tô sáng nhóm đó và nhấn nút Remove. Hình 2.18 k) Quản lí các đặc tính Dial-in: Qua thẻ Dial-in, xem hình 2.19, ta có thể định cấu hình quyền truy cập từ xa của người dùng cho các kết nối VPN hoặc dial-in. 29
  31. Hình 2.19 l) Định cấu hình các đặc tính Terminal Services (các dịch vụ đầu cuối): Bốn thẻ trong hộp hội thoại Active Directory user Properties chứa các đặc tính liên quan tới các dịch vụ đầu cuối là: ẹnvironment (Môi trường), Sessions (phiên), Remote Control (điều khiển từ xa) và Terminal Services Profile (hiện trạng các dịch vụ đầu cuối). 30
  32. CHƯƠNG 3: QUẢN LÝ BẢO MẬT (8 lý thuyết) Với windows2000 Server, ta có thể quản lý bảo mật tại mức cục bó hoặc mức miền. Tại mức miền, ta quản lý các chính sách bảo mật miền. Và tại mức cục bộ, ta quản lý các chính sách bảo mật cục bộ. Việc thiết lập bảo mật được cấu hình thông qua chính sách về nhóm người dùng. Các chính sách tài khoản người dùng được sử dụng điều khiển tiến trình đăng nhập, như việc cấu hình mật khẩu và tài khoản "lockout". Các chính sách cục bộ được sử dụng để định nghĩa các chính sách bảo mật cho chính máy tính này, như kiểm định quyền người dùng và các tuỳ chọn về bảo mật. Trong WinNT 4, ta có thể điều khiển Desktops của người dùng thông qua các chính sách hệ thống. Chức năng này cũng có trong Windows 2000 để tương thích với các phiên bản trước, nhưng nó được khuyến cáo là ta sử dụng các chính sách nhóm người dùng thay thế chính sách hệ thống để quản lý các tuỳ chọn. Công cụ "Security and Analysis Configuration" là các tiện ích mới của Windows 2000 Server, qua đó ta có thể phân tích cấu hình bảo mật của ta. Các tiện ích sử dụng khuôn mẫu bảo mật để so sánh cấu hình bảo mật hiện tại của ta với cấu hình ta yêu cầu. Trong chương này, ta sẽ học cách quản lý bảo mật trong môi trường Windows 2000 Server. Đầu tiên ta sẽ cài đặt trình điều khiển MMC để quản lý việc thiết lập tính bảo mật, sau đó học cách cấu hình các chính sách về tài khoản người dùng, các chính sách cục bộ và các chitlhd sách bảo mật. Phần cuối chương này sẽ mô tả cách để sử dụng tiện ích "Security and Analysis Configuration" để phân tích cấu hình bảo mật của ta. 1. Thiết lập quản lý bảo mật Windows 200 Server cho phép ta quản lý các thiết lập về bảo mật tại mức cục bộ cho máy tính cụ thể hoặc trên mức miền lớn. Mọi chính sách bảo mật miền ta định nghĩa đè lên các chình sách cục bộ của một máy tính. Ta quản lý các chính sách với chính sách nhóm người dùng cà đối tượng thích hợp: 9 Để quản lý chính sách cục bộ, ta sử dụng chính sách nhóm người dùng thông quan đối tượng Local Computer Group Policy. 9 Để quản lý chính sách miền, ta sử dụng chính sách nhóm người dùng thông quan đối tượng Domain Controllers Group Policy. Để thuận tiện cho công việc quản lý chính sách của ta, ta có thể thêm đối tượng Local Computer Policy and Domain Controller Security vào Microsoft Management Console (MMC). Ta cũng có thể truy cập các chính sách tài khoản người dùng và các chính sách cục bộ bằng cách chọn : 31
  33. Start ->Programs->Administrative Tools -> Domain Security Policy or Local Security Policy. 1.1. Tạo trình điều khiển quản lý cho các thiết lập bảo mật. 1. Chọn Start -> Run, gõ "MMC" vào hộp hội thoại Run và bấm nút OK để mở MMC. 2. Từ thực đơn chính, chọn Console ->Add/Remove Snap-in. 3. Trong hộp hội thoại Add/Remove Snap-in bấm nút Add. 4. Chọn Group Policy và bấm nút Add. 5. Đối tượng Group Policy chỉ định Local Computer là mặc định. Bấm nút Finish. 6. Trong hộp hội thoại Add/Remove Snap-in bấm nút OK. 7. Từ thực đơn chính, chọn Console ->Add/Remove Snap-in. 8. Trong hộp hội thoại Add/Remove Snap-in bấm nút Add. 9. Chọn Event Viewer và bấm nút Add. 10 Hộp hội thoại để chọn máy tính hiện ra với Local Computer được chọn mặc định. Bấm nút Finish sau đó bấm nút Close. 11. Trong hộp hội thoại Add/Remove Snap-in bấm nút OK. 12. Chọn Console ->save As. Ghi trình điều khiển với tên Security trong thư mục Administrative Tools ( đây là vùng mặc định ) và bấm nút Sa ve. Ta có thể truy cập trình điều khiển bằng cách chọn: Start -> Programs -> Administrative Tools -> Security. 2. Sử dụng các chính sách tài khoản người dùng. Các chính sách tài khoản người dùng được sử dụng để chỉ rõ các thuộc tính tài khoản người dùng liệt kê trong tiến trình đăng nhập. Nó cho phép ta cấu hình việc thiết lập sự bảo mật máy tính cho mật khẩu và chỉ định tài khoản "lockout" và xác nhận Kerberos với một miền. Sau khi ta đã nạp MMC cho Group Policy, ta sẽ nhìn thấy một lựa chọn cho Local Computer Policy. Để truy cập các mục Account Policies, mở ra Local Computer Policy, Computer Configuration, Windows Settings, Security Settings và Account Policies. 32
  34. Hình 3.1 Nếu ta đang dùng Windows 2000 member server, ta sẽ thấy hai mục: Password Policy và Account Lockout Policy. Nếu ta đang dùng Windows 2000server, máy được cấu hình là domain controller, ta sẽ thấy ba mục: Password Policy, Account Lockout Policy và Kerberos Policy. Các chính sách tài khoản người dùng có hiệu lực cho các member server và domain controller được giải thích trong phần kế tiếp. 2.1 Thiết lập các chính sách mật khẩu Các chính sách về mật khẩu bảo đảm các yêu cầu bảo mật phải bắt buộc trên máy tính. Chú ý rằng chính sách mật khẩu được đặt trên nền tảng mỗi máy tính là rất quan trọng; nó không thể được cấu hình cho người dùng cụ thể. Hình 3.2 thể hiện các chính sách về mật khẩu được định nghĩa trên Windows 2000 member server, nó được giải thích trong bảng dưới. Trên Windows 2000 domain controller, tất cả các chính sách được cấu hình là “not define” (không được định nghĩa). Hình 3.2 33
  35. Bảng 3.1 Các lựa chọn về chính sách mật khẩu: Chính sách Giải thích Giá trị Giá trị tối Giá trị tối đa mặc định thiểu Enforce Lưu giữ lịch sử Nhớ 0 mật Giống giá trị Nhớ 24 mật Password mật khẩu của khẩu mặc định khẩu History người dùng Maximum Xác định số Giữ mật Giữ mật khẩu Giữ mật khẩu Password Age ngày tối đa khẩu cho cho Cho 1 ngày cho 999 ngày. người dùng có 42 ngày thể giữ mật khẩu hợp lệ. Minimum Chỉ định 0 ngày (mật Giống như giá 999 ngày Password Age khoảng thời khẩu có thể bị trị mặc định gian mật khẩu thay đổi ngay lậ tức) phải giữ sau khi nó bị thay đổi Minimum Chỉ định số tối 0 ký tự Giống giá trị 14 ký tự. Password thiểu các ký tự (không mặc định. Length của mật khẩu yêu cầu phải có mật khẩu). Password Cho phép ta cài Vô hiệu Giống giá trị Có hiệu lực Must Meet đặt bộ lọc mật (disabled) mặc định (Enabale). Complexity khẩu Requirements Store Chỉ định mức Vô hiệu Giống giá trị Có hiệu lực Password cao hơn của (Disabled) mặc định (Enable). Using việc mã hóa cho việc lưu Revesible trữ các mật 34
  36. Encryption khẩu của người dùng. for All Users in the Domain. Các chính sách mật khẩu được sử dụng như sau: 9 Lựa chọn Enfore Password History được sử dụng để người dùng không thể sử dụng như những mật khẩu đã được sử dụng. Người dùng buộc phải tạo rẻ mật khẩu mới khi mà mật khẩu của họ chấm dứt hoặc bị thay đổi. 9 Lựa chọn Maximun Password Age được sử dụng để sau khi vượt quá số ngày tồn tại của mật khẩu, người dùng bị ép buộc phải thay đổi mật khẩu của họ. 9 Lựa chọn Minimum Password Age được sử dụng để ngăn cản người dùng không thay đổi mật khẩu vài lần liên tiếp nhanh chóng để mà làm thất bại mục đích của chính sách Enfore Password History. 9 Lựa chọn Minimum Password Length được sử dụng để bảo đảm rằng người dùng tạo ra mật khẩu tốt để chỉ ra rằng nó đáp ứng độ dài yêu cầu. Nếu lựa chọn này không được thiết lập, người dùng không được yêu cầu tạo mật khẩu. 9 Lựa chọn Password Must Meet Complexity Requirements được sử dụng để ngăn cản người dùng tránh sử dụng những mục mật khẩu được tìm thấy trong từ điển của tên phổ biến. 9 Lựa chọn Store Password Using Revesible Encryption for All Users in the Domain được sử dụng để cung cấp một mức cao hơn cho việc giữ an toàn mật khẩu của người dùng. Thiết lập các chính sách mật khẩu: 1. Chọn Start -> Programs -> Administrative Tools ->security và mở rộng nút Local Computer Policy. 2. Mở rộng nút làm xuất hiện: Computer Configuration, Windows Setting, Security Seuings, Account Policies, Password Policy. 3. Mở chinh sách Enforce Password History. Trong trường Effective Policy Setting, chỉ định 5 mật khẩu dược ghi nhớ. Bấm nút OK. 4. Mở chính sách Maximum Password Age. Trong trường Local Policy Setting chỉ định mật khẩu kết thúc trong 60 ngày. Bấm nút OK. 2.2 Thiết lập các chính sách về đăng nhập không hợp lệ Các chính sách Account Lockout dược sử dụng để chỉ định số lần thử đăng nhập khung hợp lệ có thể cho phép. Ta thiết lập các chính sách này sau x số lần thử đăng nhập không thành công trong khoảng y phút, tài khoản sẽ bị khóa trong khoảng thời gian xác định hoặc cho đến khi người quản trị mở trở lại tài khoản đó Các chính sách 35
  37. về số lần cho phép đăng nhập không hợp lệ cũng giống như cách các nhà băng điều khiển ATM truy cập mã bí mật. Ta có lượng chắc chắn các khả năng để đăng nhập thành công mã truy cập. Bằng cách đó, nếu ai đó ăn trộm thẻ họ không thể làm được việc là thử các phỏng đoán về mã truy cập cho đến khi họ có kết quả đúng. Nhưng sau khi thử không thành công với mã truy cập, máy ATM sẽ giữ thẻ. Sau đó cần yêu cầu thẻ mới từ ngân hàng. Hình 3.3 thể hiện các chính sách về đăng nhập không hợp lệ, nó được giải thích trong bảng 3.2. Hình 3.3 Bảng 3.2 các lựa chọn về đăng nhập không hợp lệ: Giá trị đề Giá trị đề Giá trị đề Giá trị đề Giá trị đề Giá trị đề nghị nghị nghị nghị nghị nghị Account Chỉ rõ số 0 (vô hiệu Giống giá 999 lần thử 5 lần thử. Lockout lần thử truy tài khoản trị mặc định. Threshold cập không không bị khóa). hợp lệ trước khi khóa. Account Chỉ rõ 0, nếu Giống giá 99,999 phút. 5 phút. Lockout khoảng thời Account trị mặc định Lockout Duration gian bị khóa threshold có nếu Account hiệu lực thì Lockout sẽ là 30 phút Threshold vị vượt quá 36
  38. Reset Chỉ định 0 nếu Giống giá 99,999 phút 5 phút Account khoảng thời Acccount trị mặc Lockout gian bộ Lockout định Counter đếm sẽ nhớ Threshold After các lần thử có hiệu lực đăng nhập thì sẽ là 5 phút không hợp lệ Các chính sách thiết lập Account lockout: 1. Chọn Start -> Programs -> Adminitrative Tools ->security và mở nút Local Computer Policy. 2. Mở rộng nút làm xuất hiện: Computer Configuration, Windows Seuings, Security Seuings, Account Policies, Account Lockout Policy. 3. Mở chính sách Account Lockout Threshold. Trong trường Local Pelicy Setting, chỉ định tài khoản sẽ bị khoá sau 3 lần cố thử đăng nhập. Bấm nút Ok. 4. Hộp hội thoại Suggestd Value Changes sẽ xuất hiện. Nhận giá trị mặc định cho Account lockout duration và Reset account lockout counter bằng cách bấm nút OK. 5. Rời khỏi hệ thống. Thử đăng nhập với tên Nam cùng với 3 lần nhập sai password. 6. Sau đó ta sẽ thấy thông điệp lỗi tuyên bố tài khoản bị khoá, đăng nhập với tài khoản Administrator. 7. Để khôi phục tài khoản của Nam, hãy mở mục Local Users and Groups trong MMC, mở nút Users, và nhấp kép chuột vào tài khoản Nam. Trong phần General của hộp hội thoại thuộc tính của Nam, bấm loại bỏ đánh dấu trong hộp chọn Account Locked Oặt. Sau đó bấm nút OK. 2.3 Thiết lập chính sách Kerberos Phiên bản Kerberos 5 là giao thức bảo mật được sử dụng trong Windows 2000 Server để xác thực người dùng và các dịch vụ mạng. Nó được gọi là xác minh kép hay xác thực lẫn nhau. Khi Windows 2000 Server được cài đặt như domain controller, nó tự động trở thành trung tâm phân phối khoá (key distribution center-KDC). KDC sẽ chịu trách nhiệm vụ tất cả các mật khẩu và các thông tin tài khoản người dùng trong các máy khách. Các phục vụ của Kerberos cũng được cài đặt trên mỗi máy khách và máy chủ Windows 2000. 1. Các yêu cầu kiểm định máy khách từ KDC sử dụng mật khẩu hoặc thẻ thông 37
  39. minh. 2. KDC phát cho máy khách thẻ gọi là thẻ công nhận (ticket-granting ticket - TGT). Máy khách có thể sử dụng TGT để truy cập các dịch vụ về thẻ này (ticket- granting serrvice - TGS). TGS cung cấp các thẻ phục vụ cho các máy khách. 3 . Máy khách trình thẻ phục vụ để yêu cầu các dịch vụ mạng.Các thẻ phục vụ sẽ kiểm định lẫn nhau phục vụ từ người dùng và phục vụ đến người dùng. Hình 3.4 hiển thị các chính sách Kerbeoros và các giải thích trong bảng 3.3 dưới. Hình 3.4 Bảng 3.3 các lựa chọn Kerbeoros. Chính sách Giải thích Thiết lập môi Thiết lập hiệu quả trường mặc định Enforce User Chỉ định hạn chế Không xác định. Cho phép. Logon Restrictions đăng nhập là bắt buộc. Maximum Chỉ định tuổi tối đa Không xác định. 600 phút. LifeTime for cho thẻ phục vụ trước khi thay mới. Service Ticket Maximum Chỉ định tuổi tối đa Không xác định. 10 giờ. Lifetime for cho thẻ người dùng trước khi thay mới. User Ticket Maximum Chỉ định khoảng Không xác định. 7 ngày. Lifetime for thời gian thẻ có thể bị thay mới trước User Renewal khi nó được tái sinh 38
  40. Maximum Chỉ định thời gian Không xác định. 5 phút. Tolerance tối đa cho sự đồng bộ hoá giữa máy Computer khách và KDC Synchronization 3. Sử dụng các chính sách cục bộ Sau khi đã học hết các phần trước, các chính sách tài khoản được sử dụng điều khiển thủ tục đăng nhập. Khi muốn điều khiển những thứ có thể làm sau khi đăng nhập, sử dụng các chính sách cục bộ. Với các chính sách cục bộ có thể thi hành việc kiểm định, chỉ định quyền người dùng và đặt các tuỳ chọn bảo mật. Thi hành, cầu hình, quản lý và gỡ rối các chính sách trong môi trường Windows 2000. 9 Thi hành, cầu hình, quản lý và gỡ rối các chính sách cục bộ trong môi trường Windows 2000. 9 Thi hành, cầu hình, quản lý và gỡ rối các chính sách hệ thống trong môi trường Windows 2000. Để sử dụng các chính sách cục bộ, đầu tiên ta thêm mục Local Computer Policy vào MMC. Sau đó từ MMC lần theo đường dẫn thư mục để truy cập thư mục Local Policies: Local Computer Policy, Computer Configuration, Window Setting, Security Settings, Local Policies. Hình 3.5 hiển thị các thư mục của Local Policies. Hình 3.5 Có ba thư mục trong Local Policies : Audit Policy, User Rights Assignment và Security Options. Các chính sách bao chùm các phần tiếp theo. 39
  41. 3.1 Thiết lập chính sách kiểm định Thi hành, cầu hình, quản lý và gỡ rối việc kiểm định. Ta kiểm định các sự kiện liên quan đến quản lý người dùng thông qua chính sách kiểm định. Bằng cách lưu lại vết của các sự kiện chính, ta có thể đưa ra được tiến trình của một nhiệm vụ được chỉ định, như tạo người dùng, hoàn thành hoặc không hoàn thành trong thủ tục ông nhập. Ta có thể nhận ra sự xâm phạm bảo mật được phát sinh khi người dùng cố thử truy cập các nhiệm vụ quản lý hệ thống mà không có sự cho phép. Khi ta định nghĩa một chính sách kiểm định cần lựa chọn kiểm định việc hoàn thành hay thất bại của sự kiện được chỉ định. Sự kiện hoàn thành có nghĩa là nhiệm vụ được hoàn thành một cách hoàn hảo. Sự kiện thất bại có nghĩa là nhiệm vụ đó không hoàn thành một cách trọn vẹn. Bình thường thì việc kiểm định không hoạt động và nó phải được người dùng cấu hình. Khi việc kiểm định được cấu hình ta sẽ thấy kết quả kiểm định thông qua tiện ích Even Viewer. Kiểm định nhiều sự kiện quá sẽ làm giảm khả năng thực hiện của hệ thống nguyên nhân là do yêu cầu xử lý cao của nó. Việc kiểm định cũng có thể sử dụng quá mức không gian đã để lưu trữ nhật ký kiểm định. Ta hãy sử dụng các tiện ích một cách hiệu quả. Hình 3 .6 biểu diễn các chính sách kiểm định và diễn được giải trong bảng 3 .4 dưới. Hình 3.6 40
  42. Bảng 3.4 Các lựa chọn chính sách kiểm định: Chính sách Giải thích Audit Account Logon Events Lưu lại vết khi người dùng đăng nhập, thoát khỏi hệ thống hoặc tạo ra liên kết mạng. Audit Account Lưu lại vết việc tạo, xóa và quản lý tài khoản người Management dùng và nhóm người dùng. Audit Directory Service Lưu lại vết truy cập phục vụ thư mục. Access Audit Logon Events Kiểm định các sự kiện liên quan đến đăng nhập, như chạy kịch bản đăng nhập hoặc là việc truy cập hiện trạng máy tính. Audit Privilege Lưu lại vết bất kỳ sự thay đổi người có thể hoặc Use không thể hoặc được xem kết quả của việc kiểm định. Audit Process Lưu lại vết các sự kiện như kích hoạt một chương Tracking trình truy cập một đối tượng và thoát khỏi một tiến trình. Audit Systen Lưu lại vết các sự kiện hệ thống như tắt máy, khởi Events động lại máy giống như các sự kiện liên quan đến Security loa trong Event Viewer. Thiết lập các chính sách kiểm định. 1. Chọn Start -> Programs -> Administrative Tools - Security và mở mục Local Computer Policy. 2. Mở các lần lượt các thư mục: Computer Configuration, Windows Settings, Securyti Seuings, Local Policies, Audit Policy. 3. Mở chính sách Audit Account Logon Events. Trong trường Local Policy Setting, chỉ định Audit These Attempts. Chọn Success và Failure. Bấm nút OK. 4. Mở chính sách Audit Account Management. Trong trường Local Policy Seuing, chỉ định Audit These Attempts, Chọn Success và Failure. Bấm nút OK. 5. Thoát khỏi hệ thống và thử truy cập với tên người dùng NamD. Việc đăng nhập sẽ thất bại (vì không có tài khoản nào có tên là NamD). 6. Đăng nhập lại hệ thống với tên người dùng là Administrator. Mở MMC và mở Event Viewer. 7. Từ Event Viewer mở Security 1og. Ta sẽ thấy các sự kiện được kiểm định 41
  43. được liệt kể trong bản ghi này. 3.2 Ấn định quyền người dùng Các chính sách về quyền người dùng xác định tính hợp pháp một người dùng hoặc nột nhóm người dùng trong máy tính.Quyền người dùng tham gia vào hệ thống. Nó không giống như sự cho phép, nó chỉ áp dụng cho các đối tượng được chỉ định . Ví dụ như một quyền người dùng chỉ được quyền Bách Up Files and Directories. Nó cho phép người dùng sao lưu tệp và các thư mục dù là người dùng đó không có quyền đi qua các tệp hệ thống. Các quyền người dùng khác cũng tương tự bởi vì chúng được phân phối truy cập hệ thống chỉ định để truy cập tài nguyên. Hình 3 .7 thể hiện các chính sách ấn định quyền người dùng và các diễn giải trong bảng 3.5 dưới. Hình 3.7 Bảng 3.5 Các chính sách ấn định quyền người dùng Quyền Giải thích Access This Computer Cho phép người dùng truy cập máy tính from the Network từ mạng. Act as Part of the Cho phép sự xác nhận mức thấp phục vụ Operating System việc xác minh với bất kỳ người dùng nào. Add Workstations to the Domain Cho phép người dùng tạo tài khoản truy cập vào domain. Back Up File and Directories Cho phép người dùng sao lưu tất cả các tệp và các thư mục bất kể có sự cho phép về tệp hay thư mục đó có được đặt hay 42
  44. không. Bypass Traverse Cho phép người dùng duyệt cây thư mục Checking cho dù người dùng đó không được phép liệt kê các thành phần thư mục. Change the System Time Cho phép người dùng thay đổi thời gian trong máy tính. Create a Pagefile Cho phép người dùng thay đổi kích thước trang tệp. Create Permanent Cho phép một tiến trình tạo một mã thông Shared Object báo nếu tiến trình sử dụng NtCreate Token API. Debug Programs Cho phép người dùng đính kèm chương trình gỡ rối vào bất kỳ một tiến trình. Deny Access to This Computer from the Cho phép ta từ chối những người dùng chỉ Network định hoặc nhóm người dùng truy cập vào máy tính từ mạng. Deny Logon as a Batch File Cho phép ta ngăn những người dùng chỉ định hoặc nhóm người dùng đăng nhập với tệp batch (batch file). Deny Logon as Service Cho phép ta ngăn những người dùng chỉ định hoặc nhóm người dùng đăng nhập với các phục vụ. Deny Logon Locally Cho phép ta từ chối những người dùng chỉ định hoặc nhóm người dùng truy cập vào nội bộ máy tính. Enable Computer and User Accounts to Cho phép người dùng hoặc nhóm người Be Trusted hy Delegation dùng thiết lập Trusted hy Delegation cho người dùng hoặc đối tượng máy tính. Force Shutdown from a Remote System Cho phép hệ thống có thể tắt bởi người dùng tại vị trí từ xa trên mạng. Generate Security Audits Cho phép người dùng, nhóm người dùng hoặc tiến trình để tạo các mục vào trong Security log Increase Scheduling Priority Cho phép người dùng thao tác các tiến trình được phục vụ bởi việc thực hiện các 43
  45. hạn ngạch xử lý. Load and Unload Device Drivers Cho phép người dùng tự động gỡ và nạp các trình điều khiển thiết bị Plugand- Play. Lock Page in Memory Quyền người dùng không dược sử dụng trong Windows 2000 (nó dự kiến bắt buộc dữ liệu được giữ trong bộ nhớ vật lý và không cho phép dữ liệu được phân trang vào các tệp trang. Log On as Batch Job Cho phép một tiến trình đăng nhập hệ thống và chạy một tệp bao gồm một hoặc nhiều lệnh thao tác hệ thống Log On as Service Cho phép phục vụ đăng nhập hệ thống hợp lệ chạy các phục vụ được chỉ định. Log On as Locally Cho phép người dùng đăng nhập vào máy tính nơi mà tài khoản người dùng đã được định nghĩa. Manage Audting anhd Security Log Cho phép người dùng quản lý Security log. Modify Firmwave Environment Variables Cho phép n hoặc một tiến trình thay đổi môi trường hệ thống Profile Single Process Cho phép người dùng giám sát tiến trình phi hệ thống thông qua các công cụ như Performance Logs và tiện ích Alerts. Profile System Performance Cho phép người dùng giám sát các tiến trình hệ thống thông qua các công cụ như Performance Logs và tiện ích Alerts. Remove Computer from Docking Station Cho phép người dùng tách rời một máy tính xách tay thông qua giao diện người dùng Windows 2000. Replate a Process Level Token Cho phép một tiến trình thây thế mã thông báo mặc định bởi mã được tạo tiến trình con với mã thông báo được chỉ định. Restore File anh Directories Cho phép người dùng khôi phục các tệp và các thư mục bất chấp sự cho phép về tệp và thư mục. 44
  46. Shut Down the System Cho phép người dùng tắt máy từ tại máy hiện tại. Synchronize Directory Service Data Cho phép người dùng đồng bộ hoá dữ liệu được kết hợp với phục vụ thư mục. Take Ownership of Files or Other Objects Cho phép người dùng giữ quyền sở hữu các đối tượng hệ thống. Thiết lập các quyền người dùng nội bộ: 1. Chọn Sta -> Program -> Administrative Tools -> Security và mở mục Local Computer Policy. 2. Mở lần lượt các thư mục: Computer Configuration, Windows Settings, Secunty Settings, Local Policies, User Rights Assignment. 3. Mở quyền người dùng Log On as a Service. Hộp hội thoại Local Security Policy Setting xuất hiện. 4. Bấm nút Add. Hộp hội thoại Select Users orr Group xuất hiện. 5. Chọn người dùng Nam. Bấm nút Add, sau đó bấm nút OK 3.3 Định nghĩa các tùy chọn bảo mật Các tùy chọn bảo mật được sử dụng để thiết lập sự bảo mật cho máy tính. Không giống như các chính sách về quyền người dùng được sử dụng cho 1 người hoặc 1 nhóm người dùng, các chính sách về cơ chế bảo mật chỉ áp dụng cho máy tính. Hình 3.8 chỉ ra các chính sách lựa chọn bảo mật, các chính sách này được miêu tả ở bảng 3.6 dưới. Hình 3.8 45
  47. Bảng 3.6 các lựa chọn bảo mật: Lựa chọn Miêu tả Giá trị mặc định Additional Restrictions Cho phép thêm các hạn chế cho Không có. for Anonymous Users các kết nối ẩn. Allow Server Operators Cho phép người quản lý Server Không xác định. to Schedule Tasks lên lịch làm việc xác định để chỉ ra thời gian chỉ định hoặc khoảng (domain controller only) thời gian nghỉ. Allow System to Be Sut Down Cho phép người dùng thoát Cho phép (nhưng sự thiết Without Having Logon khỏi hệ thống mà không nhất thiết lập chính sách cục bộ bị ghi người đó phải đăng nhập vào hệ đè lên nếu nếu các thiết lập thống chính sách của mức domain được cài đặt. Allow to Eject Removable Cho phép đóng các phương tiện Administrator. NTFS Media NTFS có thể di chuyển được. Amount of Time Idle Before Cho phép các phiên làm việc 15 phút. Disconnecting Sesion ngừng kết nối khi chúng rỗi Audit the Access of Global Cho phép truy nhập vào đối tượng Vô hiệu. System Object hệ thống bao trùm để kiểm định. Audit Use of All User Cho phép quyền người dùng, bao Vô hiệu. Rights including Backup gồm các đối tượng sao lưu dữ liệu phải được kiểm định. and Restore Privilege Automatically Log Off Tự động kết thúc phiên làm việc Cho phép. User when Logon Time của người dùng nếu họ đã hết thời gian đăng nhập vào hệ thống. Expires. Clear Virtual Memory Pagefile chỉ định rằng trang (của bộ nhớ Vô hiệu. when System Shutdown. ảo) sẽ được xoá hết khi hệ thống tắt. Digitally Sign Client Chỉ định rằng Server luôn giao Vô hiệu. Communication (always) tiếp với cháu bằng tínhiệu số. Digitally Sign Client Chỉ định rằng Server giao tiếp với Cho phép. Communication (when client bằng tín hiệu số khi có thể. possible) 46
  48. Digitally Sign Server Đảm bảo rằng các giao tiếp của Vô hiệu. Communication (always) Server luôn là tín hiệu số. Digitally Sign Server Đảm bảo rằng các giao tiếp của Vô hiệu. Communication (When Server là tín hiệu số khi có thể. possible) Disable Cho phép vô hiệu hóa yêu cầu Không xác định. CTRL+ALT+DEL nhấn CTRL+ALT+DEL để đăng nhập vào hệ thống. Requirement for Logon Do Noi Display Last Không hiện tên của người dùng Vô hiệu. User Name in Logon Screen cuối trên màn hình đăng nhập vào hệ thống. LAN Manager Chỉ định cấp độ xác nhận Gửi phản hồi của nhà quản Authentication Level người quản lí mạng cục bộ. lý mạng LAN Và NTLM (NT LAN Manager). Message Text for User Hiển thị dòng thông báo khi Dòng trống. Attempting to Logon người dùng đang cố đăng nhập vào hệ thống. Message Title for User Hiển thị tiêu đề thông báo khi Dòng trống. Attempting to Logon. người dùng đang cố đăng nhập vào hệ thống. Number of Previous Chỉ định số lần cố gắng đăng 10 Logon Attempts to Cache (in ca nhập được lưu trong bộ nhớ đệm. se domain controller is available). Prevent System Maintenance of Ngăn chặn sự thi hành hệ thống Vô hiệu. Computer Account Password của các tài khoản máy tính. Prevent Users from Ngăn không cho người sử dụng Vô hiệu. installing print divers cài đặt các trình điều khiển máy in. Prompt User to change Nhắc người dùng thay đổi mật 14 ngày trước khi hạn mật Password Before khẩu trước khi mật khẩu hết hết khẩu. hạn. Expiration. Recovery console:Allow Chỉ định rằng khi Recovery Vô hiệu. Console được nạp, đăng nhập của 47
  49. Automatic Administrative nhà quản trị phải là tự động, Logon không phải tự đăng nhập nữa. Recovery console: Cho phép sao chép các tệp từ tất Vô hiệu Allow Floppy Copy and cả các ổ đ a và các thư mục khi Recovery Console được nạp. Access to All Divers and Folders. Rename Administrator Cho phép tài khoản Không xác định. Accout Administrator có thể đổi tên. Rename Guest Account. Cho phép tài khoản Guest có thể Không xác định. đổi tên. Restric CD-ROM Hạn chế những người dùng - đăng Vô hiệu. Access Locally Logged nhập cục bộ truy nhập vào CD- ROM. on users only Restric Floppy Access Hạn chế những người dùng đăng Vô hiệu. Locally Logged-on nhập cục bộ truy nhập vào ổ đĩa mềm. users only Secure Channel: Digitally Chỉ định rằng dữ liệu kênh an Vô hiệu. Encrypt or Sign Secure Channel toàn luôn được mã số hoá hoặc tín Data (always). hiệu số hoá. Secure Channel: Digitally Chỉ định rằng dữ liệu kênh an Vô hiệu. Encrypt Secure Channel Data toàn được mã số hoá khi có thể. (when possible). Secure Channel: Digitally Sign Chỉ định rằng dữ liệu kênh an Cho phép Secure Channel Data (when toàn được tín hiệu số hoá khi có possible). thể. Secure Channel:Require Strong Cung cấp một kênh đảm bảo và Vô hiệu. (Window 2000 or yêu cầu một khoá phiên làm việc later) Session Key tốt (trong Window 2000 hoặc phiên bản cũ) Send Unencrypted Passwords to Cho phép mật khẩu không được Vô hiệu. Connect to mã hoá kết nối đến Thirdparty Third-party SMB Servers SMB Server. Shut Down System Chỉ định rằng hệ thống tắt ngay Vô hiệu 48
  50. immediately if Unable lập tức nếu nó không thể ghi lại sự kiểm định bảo mật to Log Security Audits. Smart Card Removal Thay đổi sự giao tiếp với thẻ Không hành động. Behavior thông minh. Strengthen Defaut Permission of Làm tăng sự cho phép mặc định Cho phép. Global của đối tượng hệ thống toàn cục. System Object (e.g. Symbolic Links) Unsigned Driver Điều khiển sự cài đặt các thiết bị Cảnh báo nhưng cho phép Installation Behavior không được đánh dấu. cài đặt. Unsigned Non-Driver Điều khiển sự cài đặt của các Installation Behavior Non- Driver được đánh dấu. Nếu ta thay đổi các chính sách bảo mật và chú ý rằng các thay đổi của ta không có tác dụng, nó có thể do đã có chính sách của nhóm được áp dụng định kỳ. ta có thể ép các chính sách của ta được cập nhật bằng cách gõ: secedit/ refreshpolicy machine- policy tại dấu nhắc dòng lệnh. Định nghĩa các lựa chọn bảo mật: 1. Chọn Start -> Programs -> Administrative Tools ->security và mở mục Local Computer Policy. 2. Mở các thư mực sau: Computer Configuration, Window Settings, Local Policies, Security Options. 3 . Mở chính sách Message Text for Users Attempting to Log On. Trong trường Local Policy Setting gõ Wellcom to all authorized user. Bấm nút OK. 4. Mở chính sách Prompts Uer to Changes Password Before Expriation. Trong trường Local Policy Setting. Chỉ định 3 ngày. Bấm nút OK. 5. Chọn Start -> Program -> Accessories -> Command Prompt. Tai dấu nhắc lệnh gõ: secedit lrefesholicy machine_policy và nhấn phím Enter. 6. Tại dấu nhắc lệnh gõ exit và nhấn phím Enter. 7. Thoát khỏi hệ thống và đăng nhập với tên người dùng Bắc (với mật khẩu congnghethongtin ). 8. Thoát khỏi hệ thống và đăng nhập với tên người dùng Administrator. 4. Sử dụng các chính sách hệ thống Thông qua các chính sách hệ thống, ta có thể điều khiển cấu hình hệ thống máy 49
  51. tính và môi trường làm việc của người dùng. Họ làm việc bằng cách soạn thảo Registry tương ứng với việc thiết lập chính sách. Ta có thể đặt các chính sách hệ thống cho những người dùng, nhóm và máy tính riêng biệt như tất cả người dùng và tất cả máy tính. Thi hành, cầu hình, quản lý và gỡ rối các chính sách trong môi trường Windows 2000: 9 Thi hành, cấu hình, quản lý và gỡ rối các chính sách cục bộ trong môi trường Windows 2000. 9 Thi hành, cấu hình, quản lý và gỡ rối các chính sách hệ thống trong môi trường Windows 2000. Các chính sách hệ thống thường được liên quan tới Window NT 4. Windows 2000 đề nghị ta sử dụng Group Policy để quản lý việc thiết đặt nền màn hình của người dùng như đã giải thích phần trước. Mặc dù vậy, ta vẫn có thể sử dụng System Policy Editor (POLEDIT) để quản lý các chính sách hệ thống trong Windows 2000. Các tệp chính sách hệ thống làm việc như sau trong dòng hệ điều hành Windows: 9 Các tệp chính sách hệ thống đã tạo trongwindows 2000 hoặc WindowsNT 4 sẽ làm việc với các máy khách Windows 2000 và WindowsNT 4. 9 Các tệp chính sách hệ thống đã tạo trong Windows98 hoặc Windows95 sẽ làm việc với các máy khách Windows98 hoặc Windows 95. Thông qua System Policy Editor, ta có thể cấu hình các chính sách hệ thống theo các bước sau: Người dùng mặc định: Chọn mặc định cho bất cứ người dùng nào đăng nhập vào từ máy tính NT (ghi vào khóa HKEY_CURENT_USER của Registry). Người dùng: Cho phép ta tạo các chính sách hệ thống theo yêu cầu cho người dùng cụ thể (ghi vào khóa HKEY_CURENT_USER của Registry). Nhóm: Những người sử dụng giống nhau các chính sách hệ thống. nhưng cho phép ta áp dụng các chính sách hệ thống đến các nhóm người dùng (ghi vào khóa HKEY_CURENT_USER của Registry). Default Computer: Chỉ định thiết lập mặc định cho bất kỳ máy tính Windows 2000 hoặc Windows NT 4 trong miền (ghi vào khoá HKEY_LOCAL_MACHINE của Registry) Computer: Cho phép ta tạo các chính sách tuỳ ý cho một máy tính cụ thể (ghi vào khoá HKEY_LOCAL_MACHINE của Registry). Mặc định rằng không chính sách hệ thống nào được sử dụng trừ khi người quản trị tạo ra chúng. Trong phần tiếp theo, ta sẽ học cách chọn để có thể cấu hình các chính sách 50
  52. người dùng hoặc nhóm người dùng và các lựa chọn được quản lý thông qua các chính sách máy tính. Để mà quản lý các chính sách hệ thống cho các.người dùng và nhóm người dùng chỉ định, máy tính cài Windows 2000 Server của ta phải được cấu hình là domain controller. 4.1 Cấu hình các chính sách hệ thống người dùng và nhóm người dùng Các chính sách đó ta có thể áp dụng cho tất cả mọi người dùng (thông qua biểu tượng Default User), đến người dùng chỉ định hoặc đến một nhóm người dùng, nó cho phép ta điều khiển màn hình nền và các thiết lập hệ thống. Các lựa chọn chính sách hệ thống của người dùng và nhóm người dùng được diễn giải trong bảng sau. Các chính sách hệ thống nhắc đến WindowsNT vì chúng được thiết kề chủ yếu để điều khiển máy khách NT để tương thích với các thế hệ trước. Bảng 3.7 Chính sách Lựa chọn Control Panel Cho phép ta chỉ định thiết lập việc hiển thị như ẩn Screen Saver và Appearance của hộp hội thoại Display Properties. Desktop Cho phép ta cấu hình hình ảnh nền và cách phối màu. Shell Cho phép ta cấu hình sự hạn chế như việc ẩn Network Neighbothood và không ghi các thiết lập khi người dùng thoát. System Cho phép ta đặt các hạn chế như làm vô hiệu các công cụ soạn thảo Registry và chỉ cho phép chạy các ứng dụng Windows. WindowsNT System Cho phép ta chỉ định dù có phân tích được hay không tệp AUTOEXEC.BAT và dù có chạy đồng bộ hoá các kịch bản đăng nhập. WindowsNT Shell Cho phép ta cấu hình các thư mục Window NT và chỉ định hạn chế liên quan đến NT shell. Mặc định, hệ thống khoá các chính sách hệ thống domain controller xác định trong NETLOGON dùng chung tệp NTCONFIG.POL. Nếu ta muốn các chính sách hệ thống của ta phải có hiệu lực trong hệ thống rộng, ta phải lưu ý và chia sẻ tệp này vì nó được chỉ định do người dùng khi chính sách hệ thống được tạo ra. 51
  53. 4.2 Quy định các chính sách hệ thống phù hợp Dựa theo các điều kiện, quy định chính sách hệ thống sẽ được sử dụng nếu người dùng có nhiều chính sách hệ thống được định nghĩa do người dùng hoặc do các thành viên của nhóm. Nếu người dùng có cấu hình tuỳ chọn chính sách hệ thống sẽ được sử dụng và các chính sách hệ thống này trong HKEỴCURREN USER của Registry. Điều này cho phép chỉ định các chính sách người dùng để lấy thứ tự lên trên bất kỳ các chính sách hệ thống người dùng mặc định hoặc nhóm đang tồn tại. Điều này có nghĩa là các chính sách hệ thống của 1 nhóm sẽ không được sử dụng nếu tồn tại một chính sách hệ thống của một người dùng. 9 Nếu người dùng là thành viên của bất kỳ nhóm nào có cấu hình các tuỳ chọn chính sách hệ thống và không có bất kỳ lựa chọn chính sách hệ thống cho người dùng được định nghĩa. Các chính sách hệ thống nhóm sẽ được hợp nhất vào phần HKEY_CURREN_USER trong Registry bởi thứ tự ưu tiên. Nếu có nhiều chính sách nhóm được định nghĩa, nó có thể xác định quyền ưu tiên của nhóm trong các tuỳ chọn của System Policy Editor. 9 Nếu người dùng không lựa chọn bất kỳ chính sách hệ thống người dùng hoặc chính sách hệ thống nhóm nào được áp dụng, khoá HKEY_CURRENT_USER sẽ được cập nhật với bất kỳ sự thay đổi nào được tạo ra bởi các chính sách hệ thống Default User. 9 Nếu hiện trạng người dùng và chính sách hệ thống cùng được thể hiện có các thiết lập xung đột cho các lựa chọn giống nhau, các lựa chọn chính sách hệ thống sẽ ghi đè lên cấu hình hiện trạng người dùng trong Registry. Ví dụ: thừa nhận rằng Nam là một thành viên của các nhóm HR và Mangers. Anh ta có các chính sách hệ thống người dùng thiết lập cho Nam và chính sách hệ thống nhóm được thiết lập cho HR mà Managers. Chính sách hệ thống nhóm cho Managers cao so với của HR. Các tuỳ chọn chính sách hệ thống người dùng và nhóm người dùng được cấu hình được liệt kê như sau: Tùy chọn HR Manager Nam Color Schema Xanh lá cây 256 Hồng 256 Xanh và đen Hide Screen Server Không thiết lập Không thiết lập. Ẩn Tab in Control Panel Hide Apperance Không thiết lập Ẩn Không thiết lập Tab in Control Panel 52
  54. Shell Restriction, Không thiết lập Ẩn Không thiết lập Hide Network Neighbothood Shell Restriction, Không thiết lập Ẩn Không thiết lập Save Setting on Exit Bảng 3.8 cơ sở của chính sách hệ thống: Tùy chọn Các chính sách được so sánh với Nam Color Schema Xanh và đen (thông qua Nam thiết lập). Hide Screen Saver Tab in Control Panel Ẩn (thông qua Nam thiết lập) Hide Apperance Tab in Control Palnel Ẩn (thông qua Nam thiết lập) Sell Restriction, Hide Neighborhood. Không thiết lập (các chính sách hệ thống người Network dùng không sử dụng nếu các chính sách hệ thống tông tại). Shell Restriction, Save Setting on Exit Không thiết lập (các chính sách hệ thống người dùng không sử dụng nếu các chính sách hệ thống tông tại). 4.3 Tạo các chính sách hệ thống cho người dùng và nhóm người dùng Nó rất rễ sử dụng cho soạn thảo cấu hình người dùng thông qua System Policy Editor, nó là giao diện đồ hoạ (GUI), hơn thế nó có thể soạn thảo trên cơ sơ văn bản Registry. Mặc dù vậy, khi ta sử dụng System Policy Editor, ta đang soạn Registry của ta, nhưng ta cần cẩn thận. Ta nên sao lưu Registry của ta trước khi thay đổi. Để cấu hình các chính sách hệ thống cho người dùng hoặc nhóm người dùng, hãy thực hiện theo các bước: 1. Chọn Start ->Run, gõ POLEDIT trong hộp hội thoại Run và bấm nút OK. 2. Cửa sổ System Policy Editor mở ra như trong hình 3.9. Chọn File -> New Policy. 53
  55. Hình 3.9 3. System Policy Editor hiển thị các biểu tượng cho Default Computer và Default User như hiển thị hình 3.10 . Chọn Edit -> Add User (hoặc Add Group) . Hình 3.10 4. Hộp hội thoại Add User(hoặc Add Group) xuất hiện như trong hình 3.11. Ta cần gõ tên của người dùng (hoặc của nhóm) hoặc bấm vào nút Browse để chọn từ danh sách các người dùng (hoặc nhóm người dùng ) được liệt kê sẵn. Sau khi ta thêm người dùng (mặc nhóm người dùng) bấm phím OK. Hình 3.11 5. Người dùng hoặc nhóm người dùng được ta chọn xuất hiện trong cửa sổ System Policy Editor. Để soạn thảo hoặc hiển thị các thiết lập chính sách của người dùng (hoặc của nhóm người dùng ) hãy nhấp kép vào người dùng hoặc nhóm người dùng). 6. Các chính sách sẽ được liệt kê trong phần Polices của hộp hội thoại Properties như trọng hình 3.12. Bấm vào các lựa chọn mà ta muốn cấu hình. 54
  56. Hình 3.12 7. Ta xem trong danh sách tất cả các chính sách ta có thể định nghĩa. Hình 3.13 hiển thị một ví dụ về các chính sách Shell, Restriction. Bấm vào hộp chọn (check box) có thể cấu hình mỗi lựa chọn như sau: 9 Hộp chọn mầu xám có nghĩa là không chính sách nào được được áp dụng. 9 Đánh dấu trong hộp chọn có nghĩa là chính sách đó được áp dụng. Coi như đó là giá trị đúng. 9 Hộp chọn trống (hay trắng) có nghĩa là chính sách đó không được áp dụng. Coi như đó là giá trị sai. Hình 3.13 8. Lặp lại các bước 6 và 7 để cấu hình cho mỗi lựa chọn mà ta muốn. Sau khi tất cả các lựa chọn được cấu hình. Bấm nút Ok 9. Sau khi kết thúc việc soạn thảo các chính sách về người dùng và nhóm người dùng, ghi lại các chính sách bằng cách chọn File -> Save. 55
  57. Tạo các chính sách hệ thống cho một người dùng trên domain controller: 1. Sử dụng tiện ích Active Directory Users and Computer để tạo một người dùng Nam. 2. Chọn Start -> Run, gõ POLEDIT trong hộp hội thoại Run và bấm nút OK. 3. Trong cửa sổ System Policy Editor chọn File ->New Policy. 4. Chọn Edit ->Add User. Trong hộp hội thoại Add User bấm vào nút Browse. Chọn người dùng Nam và bấm nút Add, Sau đó bấm nút OK. 5. Nhấp kép vào người dùng Nam. Trong thành phần giao tiếp Policy chọn Shell tiếp đó là Restrictions. Đánh dấu hộp chọn Remove Run Command from Start Menu và hộp chọn Hide Drives in My Computer. Sau đó bấm nút OK. 6. Chọn File -> Save trong hộp hội thoại Save As chọn C:\WINNT\sysvol\sysvol\yourdomain\Scripts\NTCONFIG.POL. 4.4 Cấu hình các chính sách hệ thống máy tính Cần quản lý thiết lập máy tính thông qua các chính sách hệ thống. Sau đây là một số các lựa chọn mà ta có thể cấu hình: 9 Thiết lập mạng được sử dụng để điều khiển cập nhật chính sách hệ thống. 9 Thiết lập hệ thống được sử dụng chạy các mục lúc khởi động. 9 Thiết lập Windows NT Network để điều khiển cách các sự chia sẻ thiết bị ẩn được tạo. 9 Thiết lập Windows NT Printers để điều khiển lựa chọn cấu hình máy in. 9 Thiết lập Windows NT Remove Access để điều khiển lựa chọn truy cập từ xa. 9 Thiết lập Windows NT Shell để điều khiển các mục đối tượng được khách hàng chia sẻ như các mục trong Desktop và trong thực đơn Start. 9 Thiết lập Windows NT System được sử dụng cấu hình đăng nhập và thiết lập tệp hệ thống. Thiết lập Windows NT User Profiles được sử dụng cấu hình các thiết lập hiện trạng người dùng. . 5. Sử dụng công cụ Security Configuration and Analyis Windows 2000 Server bao gồm một tiện ích được gọi là Security Configuration and Analysis, ta có thể sử dụng để phân tích.nhằm hỗ trợ việc cấu hình các thiết lập bảo mật nội bộ trong máy tính. Tiện ích này làm việc bằng cách so sánh cấu hình bảo mật hiện thời của ta với cấu hình mẫu trong các thiết lập đề nghị của ta. Thực thi, cấu hình, quản lý và gỡ rối vấn đề bảo mật bằng cách sử dụng tập công cụ cấu hình bảo mật (Security Configuration Tool Set). Tiến trình phân tích bảo mật 56
  58. gồm các bước sau: 1. Sử dụng tiện ích Security Configuration and Analysis, chỉ định cơ sở dữ liệu làm việc sẽ được sử dụng suốt thời gian phân tích bảo mật. 2. Mở mẫu về bảo mật mà ta sử dụng làm nền tảng để ta cấu hình sự bảo mật tương tự như mẫu này. 3 . Thực hiện phân tích vấn đề bảo mật. Nó sẽ so sánh lại cấu hình của ta với mẫu mà ta đã chỉ định trong bước 2 . 4. Xem lại kết quả của việc phân tích. 5 . Quyết định bất cứ sự khác nhau nào được chỉ ra thông kết quả phân tích. Tiện ích Security Configuration and Analysis có trong MMC. Sau khi ta thêm tiện ích này vào trong MMC, ta có thể chạy tiến trình phân tích bảo mật, nó được diễn giải trong phần tiếp theo. 5.1 Chỉ định cơ sở dữ liệu bảo mật Cơ sở dữ liệu bảo mật dược sử dụng để lưu trữ kết quả phân tích bảo mật của ta. Để chỉ định cơ sở dữ liệu bảo mật hãy thực hiện theo các bước sau: 1. Trong MMC bấm chuột phải vào Security Configuration and Analysis và chọn Open Database từ mênh như trong hình 3.14: Hình 3.14 Hộp hội thoại Open Database sẽ xuất hiện như trong hình 3.15. Trong ô Filename gõ tên tệp cơ sở dữ liệu ta sẽ tạo. Mặc định phần mở rộng của tệp là .sbd (cho cơ sở dữ liệu cảo mật). Bấm nút OK. Hình 3.15 System Services Đặt cơ chế bảo mật cho các phục vụ hệ thống mô hình khởi động mà các phục vụ của hệ thống nội bộ sẽ được sử dụng. Sau khi ta thêm Security vào MMC, ta có thể mở 1 mẫu bảo mật đơn giản và 57
  59. thay đổi chúng như sau: 1. trong MMC bung nút Security Templates và mở thư mục cho \Windir\Security\Templates. 2. Nhập kép chuột vào bản mẫu mà ta muốn soạn thảo bao gồm basicv (basic server) và basicdc (basic domain controller). 3. Tạo mọi sự thay đổi mà ta muốn từ bản mẫu đơn giản này. Cũng thường chỉ là các chỉ định mà ta muốn hệ thống được cấu hình. Sau đó ta ghi bản mẫu được lựa chọn, bấm chuột phải làm xuất hiện thực đơn và chọn tuỳ chọn Save As từ thực đơn này. Chỉ định vị trí và tên tệp cho bản mẫu mới này. Mặc định nó sẽ được ghi với phần mở rộng là .inf trong thư mục \Windir\Security\Templates b) Mở mẫu bảo mật: Sau khi ta cấu hình bản mẫu, ta có thể nhập nó để sử dụng cùng tiện ích Security Configuration and Analysis. Để nhập mẫu bảo mật trong MMC, bấm chuột phải vào tiện ích Security Configuration and Analysis và chọn Import Template. Sau đó chọn tệp mà ta muốn mở và bấm nút Open. 5.3 Phân tích bảo mật Bước tiếp theo là thực hiện phân tích bảo mật. Để thực hiện việc phân tích này, bấm chuột phải vào tiện ích Security Configuration and Analysis và chọn Analyze Computer Now. Ta sẽ thấy hộp hội thoại Perform Analysis xuất hiện cho phép ta chỉ định vị trí và tên tệp cho đường dẫn tệp lưu trữ các lỗi sẽ được phát sinh trong suốt quá trình phân tích. Sau khi các thông tin đã được cấu hình, bấm nút OK. Khi việc phân tích hoàn thành, ta sẽ quay trở lại cửa sổ MMC chính. Từ đây ta có thể xem kết quả của quả trình phân tích bảo mật. Hiển thị kết quả phân tích bảo mật và xác định những sự sai khác. Kết quả của việc phân tích bảo mật dược lưu trữ trong Security Configuration and Analysis, dưới mục bảo mật được cấu hình ( xem bảng 3.9). Ví dụ để xem kết quả của các chính sách mật khẩu, nhấp kép chuột vào Security Configuration and Analysis, nhấp kép chuột vào Account Policies và nhấp kép chuột vào Password Policy. Hình 3.16 hiển thị ví dụ của kết quả của sự phân tích bảo mật cho các chính sách mật khẩu. 58
  60. 2. Hộp hội thoại Import Template mở ra, chọn mẫu mà ta muốn sử dụng. Ta có thể chọn các mẫu định nghĩa sẵn thông qua hộp hội thoại này. Trong phần tiếp theo, ta sẽ học cách tạo ra và sử dụng các tệp mẫu tuỳ biến. Ta chọn và bấm nút OK. 5.2 Mẫu bảo mật Bước tiếp theo trong tiến trình phân tích bảo mật là nhập một mẫu về bảo mật. Mẫu này được sử dụng như công cụ so sánh. Tiện ích Security Configuration and Analysis so sánh thiết lập bảo mật của các thiết lập trong bản mẫu với các thiết lập hiện thời của ta. Ta không đặt bảo mật thông qua các mẫu. Đúng hơn là mẫu bảo mật chỉ là nơi mà ta tổ chức tất cả các thuộc tính bảo mật của ta trên vị trí đơn lẻ. Với nhà quản trị, ta có thể định nghĩa một bản mẫu về bảo mật trên máy tính đơ lẻ và chuyển chúng cho tất cả các máy chỉ thông qua mạng. a) Tạo mẫu bảo mật: Ta tạo bản mẫu bảo mật thông qua Security Templates trong MMC. Ta có thể cấu hình nó với các mục như trong bảng 3.9 các cấu hình mẫu bảo mật sau: Bảng 3.9 Mục của mẫu bảo mật Giải thích Account Policies Chỉ định cấu hình phải được sử dụng cho các chính sách mật khẩu, các chính sách kiểm soát tài khoản thử đăng nhập và các chính sách Kerberos. Local Polices Chỉ định cấu hình phải được sử dụng cho các chính sách kiểm định, các chính sách quyền người dùng và các lựa chọn bảo mật. Event Log Cho phép ta đặt thiết lập cấu hình áp dụng cho các tệp nhật ký của Event Viewer. Restricted Groups Cho phép ta quản trị các thành viên của nhóm nội bộ 59
  61. Registry Chỉ định bảo mật cho các khoá Registry nội bộ. File System Chỉ định bảo mật cho các tệp hệ thống nội bộ. Hình 3.16 Các chính sách đã được phân tích sẽ có các dấu X hoặc √ tại mỗi chính sách như hiển thị trong hình trên. Dấu X có biểu thị chính sách mẫu và chính sách hiện thời là không tương ứng. Dấu √ có biểu thị chính sách mẫu và chính sách hiện thời là tương ứng. Nếu có bất kỳ sự trái ngược nào đã được biểu diễn, ta phải sử dụng Group Policy để giải quyết sự tranh chấp ấy. Ví dụ: Sử dụng Security Configuration and Analysis ở phần này ta sẽ thêm Security Configuration and Analysis vào MMC, chỉ định ra một cơ sở dữ liệu bảo mật, tạo một mẫu bảo mật, nhập mẫu bảo mật, thực hiện phân tích và xem xét kết quả. Thêm tiện ích Security Configuration and Analysis 1. Chọn Start -> Programs ->Administrative Tools ->security. 2. Chọn Console -> Add/Remove Snap-in. 3. Trong hộp hội thoại Add/Remove Snap-in bấm chuột vào nút Add. Chọn Security Configuration and Analysis rồi bấm vào nút Add. Rồi bấm vào nút Close. 4. Trong hộp hội thoại Add/Remove Snap-in bấm nút OK Chỉ định cơ sở dữ liệu bảo mật: 1. Trong MMC bấm chuột phải vào Security Configuration and Analysis, chọn Open Database. 2. Trong hộp hội thoại Open Database gõ sampledb trong hộp nhập tên tệp. Sau đó bấm Open. 3. Trong hộp hội thoại Import Template chọn mẫu baicsv và bấm nút Open. 60
  62. Tạo mẫu bảo mật: 1. Trong MMC chọn Chọn Console -> Add/Remove Snapin. 2. Trong hộp hội thoại Add/Remove Snap-in bấm chuột vào nút Add. Chọn Security Template rồi bấm vào nút Add. Rồi bấm vào nút Close. 3. Trong hộp hội thoại Add/Remove Snap-in bấm nút OK. 4. Mở mục Security Template sau đó mở thư mục Window NT\Security\Templates. 5. Nhấp đúp vào tệp basicsv. 6. Chọn Acocunt Polices, sau đó là Password Policy. 7. Soạn thảo các chính sách mật khẩu theo các bước sau: 9 Đặt tuỳ chọn Enfoce Password History là nhớ 10 mật khẩu. 9 Thiết lập tuỳ chọn Passwords Must Meet Complexity Requirements là cho phép. 9 Đặt tuổi thọ tối đa là 30 ngày. 8. Chọn tệp basicsv và bấm vào tựu chọn Save As. 9. Trong hộp hội thoại Save As gõ tên tệp servertest vào thư mục mặc định. Bấm nút Save. Nhập mẫu bảo mật: 1. Chọn Security Configuration and Analysis, bấm chuột phải và chọn Import Template. 2. Trong hộp hội thoại Import Template chọn tệp servertest và bấm nút Open. Thực hiện và xem xét kết quả phân tích bảo mật: 1. Chọn Security Configuration and Analysis bấm chuột phải và chọn Analyze Computer Now. 2. Trong hộp hội thoại Perform Analysis chấp nhận đường dẫn mặc định cho tệp ghi lại lỗi và bấm nút OK. 3 . Khi quay trở lại cửa sổ chính MMC nhấp đúp vào Security Configuration and Analysis. 4. Nhấp đúp vào Accout Policies và nhấp đúp vào Password Policy. Ta sẽ thấy kết quả của sự phân tích cho mỗi chính sách được chỉ định bởi dấu X và √ cạnh mỗi chính sách. Tổng kết chương Trong chương này ta đã học được về các đặc tính của Windows 2000 Server. Nó bao phủ các chủ đề : 61
  63. 9 Thiết lập bảo mật, nó có thể được áp dụng cho mức nội bộ hoặc mức miền. Việc quản lý các chính sách bảo mật nội bộ, sử dụng Group Policy với đối tượng Local Computer Group Policy. Để quản lý các chính sách bảo mật miền sử dụng Group Policy với đối tượng Domain Controller Group Policy. 9 Các chính sách tài khoản điều khiển tiến trình đăng nhập. Có 3 loại chính sách tài khoản là mật khẩu, chính sách kiểm soát sự vi phạm đăng nhập và chính sách Kerberos. 9 Các chính sách nội bộ điều khiển những cái mà ta có thể làm với máy tính nội bộ. Có 3 loại chính sách gồm: kiểm định, ấn định quyền người dùng, và các chính sách lựa chọn bảo mật. 9 Các chính sách hệ thống được sử dụng định nghĩa môi trường Desktop của người dùng. Trong Window 2000 các chính sách hệ thống này được giữ lại nhằm tương thích với máy khách Window 9x và WindowsNT. 9 Tiện ích Security and Analysis Configuration được sử dụng phân tích cấu hình bảo mật của ta. ta thực hiện tiện ích này để so sánh thiết lập bảo mật tồn tại với cấu hình mẫu đi ta thiết lập sự sai khác. 62