Đồ án:Chính sách bảo mật trên win2k3 GVHD:Huỳnh Nguyễn Thành Luân
Password Policy, Account Lockout Policy và Kerberos Policy. Trong Windows
Server 2003 cho phép bạn quản lý chính sách tài khoản tại hai cấp độ là: cục bộ
và miền
1.2, Tìm hiểu
Muốn cấu hình các chính sách tài khoản người dùng ta vào:
Start /program/administrative tools/default domain security settings(hình 1)
SV :Nguyễn Văn Đại 5
Đồ án:Chính sách bảo mật trên win2k3 GVHD:Huỳnh Nguyễn Thành Luân
Hình 1
SV :Nguyễn Văn Đại 6
Đồ án:Chính sách bảo mật trên win2k3 GVHD:Huỳnh Nguyễn Thành Luân
1.2.1, Chính sách mật khẩu
Hình 2
Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn cho mật khẩu
của người dùng để tránh các trường hợp đăng nhập bất hợp pháp vào hệ thống.
Chính sách này cho phép bạn qui định :chiều dài ngắn nhất của mật khẩu, độ phức
tạp của mật khẩu…
SV :Nguyễn Văn Đại 7
Đồ án:Chính sách bảo mật trên win2k3 GVHD:Huỳnh Nguyễn Thành Luân
1.2.2, Chính sách khóa tài khoản
Hình 3
Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức
và thời điểm khóa tài khoản trong vùng hay trong hệ thống cục bộ. Chính sách
này giúp hạn chế tấn công thông qua hình thức logon từ xa.
SV :Nguyễn Văn Đại 8
Đồ án:Chính sách bảo mật trên win2k3 GVHD:Huỳnh Nguyễn Thành Luân
1.2.3, Chính sách Kerberos(hình 4)
Hình 4
1.2.4, Giới thiệu về Kerberos
Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tính
hoạt động trên những đường truyền không an toàn. Giao thức Kerberos có khả năng
chống lại việc nghe lén hay gửi lại các gói tin cũ và đảm bảo tính toàn vẹn của dữ liệu.
Mục tiêu khi thiết kế giao thức này là nhằm vào mô hình máy chủ máy khách (client-
SV :Nguyễn Văn Đại 9
Đồ án:Chính sách bảo mật trên win2k3 GVHD:Huỳnh Nguyễn Thành Luân
server) và đảm bảo nhận thực cho cả hai chiều.Giao thức được xây dựng dựa trên mật
mã hóa khóa đối xứng và cần đến một bên thứ ba mà cả hai phía tham gia giao dịch tin
tưởng.
a, Nguyên tắc hoạt động
Kerberos được thiết kế dựa trên giao thức Needham-Schroeder. Kerberos sử dụng một
bên thứ ba tham gia vào quá trình nhận thực gọi là "trung tâm phân phối khóa" (tiếng
Anh: Key distribution center - KDC). KDC bao gồm hai chức năng: "máy chủ xác thực"
(Authentication server - AS) và "máy chủ cung cấp vé" (Ticket granting server - TGS).
"Vé" trong hệ thống Kerberos chính là các chứng thực chứng minh nhân dạng của người
sử dụng.
Mỗi người sử dụng (cả máy chủ và máy khách) trong hệ thống chia sẻ một khóa chung
với máy chủ Kerberos. Việc sở hữu thông tin về khóa chính là bằng chứng để chứng
minh nhân dạng của một người sử dụng. Trong mỗi giao dịch giữa hai người sử dụng
trong hệ thống, máy chủ Kerberos sẽ tạo ra một khóa phiên dùng cho phiên giao dịch đó.
b, Nhược điểm
• Tồn tại một điểm yếu: Nếu máy chủ trung tâm ngừng hoạt động thì mọi hoạt
động sẽ ngừng lại. Điểm yếu này có thể được hạn chế bằng cách sử dụng nhiều
máy chủ Kerberos.
• Giao thức đòi hỏi đồng hồ của tất cả những máy tính liên quan phải được đồng
bộ. Nếu không đảm bảo điều này, cơ chế chứng thực dựa trên thời hạn sử dụng sẽ
không hoạt động. Thiết lập mặc định đòi hỏi các đồng hồ không được sai lệch
quá 10 phút.
• Cơ chế thay đổi mật khẩu không được tiêu chuẩn hóa.
2,Chính sách cục bộ
SV :Nguyễn Văn Đại 10
Đồ án:Chính sách bảo mật trên win2k3 GVHD:Huỳnh Nguyễn Thành Luân
2.1,Giới thiệu
Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám
sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung. Đồng thời dựa
vào công cụ này bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa
chọn bảo mật.
Hình 5
2.2 Thiết lập chính sách kiểm toán
SV :Nguyễn Văn Đại 11
Đồ án:Chính sách bảo mật trên win2k3 GVHD:Huỳnh Nguyễn Thành Luân
Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự kiện
xảy ra trong hệ thống, trên các đối tượng cũng như đối với các người dùng. Bạn có thể
xem các ghi nhận này thông qua công cụ Event Viewer trong mục Security.
2.3 , Thiết lập quyền hệ thống cho người dùng
Đối với hệ thống Windows Server 2003, bạn có hai cách cấp quyền hệ thống cho
người dùng là: gia nhập tài khoản người dùng vào các nhóm tạo sẵn (built-in) để kế thừa
quyền hoặc bạn dùng công cụ User Rights Assignment để gán từng quyền rời rạc cho
người dùng. Trong hai công cụ đó bạn mở mục Local Policy\ User Rights Assignment để
thêm ,bớt quyền hạn cho người dùng hoặc nhóm .Ta chọn quyền cần cấp rồi ấn ADD
hoặc REMOVE .
+Access This Computer from the Network : cho phép truy cập đến máy tính này thông
qua mạng
+Act as Part of the Operating System :cho phép các dịch vụ chứng thực ở mức thấp
SV :Nguyễn Văn Đại 12
Đồ án:Chính sách bảo mật trên win2k3 GVHD:Huỳnh Nguyễn Thành Luân
+Add Workstations to the Domain : cho phép thêm tài khoản vào vùng (domain)
+Back Up Files and Directories : cho phép sao lưu dự phòng tập tin và thư mục
+Bypass Traverse Checking :cho phép người dùng duyệt qua cấu trúc thư mục .nếu
không có quyền xem
+ Change the System Time :thay đổi giờ hệ thống
+ Create a Pagefile :tạo 1 trang tập tin
+ Create a Token Object :cho phép tạo thẻ bài nếu dùng NTCreate Token API.
+ Create Permanent Shared Objects :tạo 1 đối tượng thư mục
+ Debug Programs : cho phép sử dụng chương trình DEBUG vào bất kì tiến trình nào
+ Deny Access to This Computer from the Network :cho phép khóa tài khoản người
dùng hoặc nhóm truy cập đến máy tính này từ mạng
+ Deny Logon as a Batch File :từ chối logon như 1 file batch+ Deny Logon as a
Service :từ chối logon như 1 tác vụ (service)
+ Deny Logon Locally: từ chối người dùng hoặc nhóm đăng nhập đến máy cục bộ
Hình 6
+ Enable Computer and User Accounts to Be Trusted by Delegation : cho phép tài khoản
người dùng hoặc nhóm được ủy quyền cho người dùng hoặc máy tính
SV :Nguyễn Văn Đại 13
Đồ án:Chính sách bảo mật trên win2k3 GVHD:Huỳnh Nguyễn Thành Luân
+ Force Shutdown from a Remote System :cho phép tắt máy tính từ hệ thống điều
khiển từ xa
+ Generate Security Audits : cho phép tao entry vào Security log.
+ Increase Quotas :điều khiển hạn ngạch các tiến trình
+ Increase Scheduling Priority : Quy định một tiến trình có thể tăng hoặc giảm độ ưu
tiên đã được gán cho tiến trình khác.
+ Load and Unload Device Drivers :cho phép cài đặt hoặc gỡ bõ driver của thiết bị
khác
+ Lock Pages in Memory :khóa trang trong vùng nhớ
+ Log On as a Batch Job : Cho phép một tiến trình logon vào hệ thống và thi hành một
tập tin chứa các lệnh hệ thống.
+ Log On as a Service : Cho phép một dịch vụ logon và thi hành một dịch vụ riêng.
+ Log On Locally : Cho phép người dùng logon tại máy tính Server.
+ Manage Auditing and Security Log : Cho phép người dùng quản lý Security log.
+ Modify Firmware Environment Variables : Cho phép người dùng hoặc một tiến trình
hiệu chỉnh các biến môi trường hệ thống.
SV :Nguyễn Văn Đại 14
Không có nhận xét nào:
Đăng nhận xét