|
||||||||
|
||||||||
|
|
Công Cụ | Xếp Bài |
05-02-2010, 07:05 PM | #1 |
Guest
Trả Lời: n/a
|
Bảo mật dịch vụ trong Windows Server 2008
Bảo mật dịch vụ trong Windows Server 2008 Hầu hết mọi máy chủ đang được sử dụng đều chạy một số loại dịch vụ nhất định nào đó, những dịch vụ này cấp quyền truy cập vào dữ liệu, tài nguyên, ứng dụng và thực hiện một số chức năng khác của mạng và máy chủ. Nếu những dịch vụ này không được bảo vệ thì chúng rất dễ trở thành mục tiêu của tin tặc. Khi một dịch vụ nào đó bị tấn công thì khả năng cập vào máy chủ và có thể là mạng đang bị đe dọa. Điều này có thể dẫn đến những hậu quả nghiêm trọng và gây tổn thất lớn. Do đó khi tung ra phiên bản Windows Server 2008, Microsoft đã bổ sung một số chức năng quản lý dịch vụ. Khi sử dụng kết hợp những công cụ quản lý dịch vụ trong một Group Policy Object, bạn có thể an tâm vì những dịch vụ của bạn đã được bảo vệ khá an toàn. Loại dịch vụ cần được bảo mật Dịch vụ thường ẩn chứa nhiều nguy hiểm cho hệ thống máy chủ và mạng bởi vì thực tế cho thấy chúng luôn gây ra những lỗ hổng trên máy chủ cho người dùng, ứng dụng và nhiều máy chủ khác truy cập vào tài nguyên. Khi lỗ hổng quá lớn hay những dịch vụ không được bảo vệ, tin tặc có thể chiếm quyền truy cập vào máy chủ đó. Vì vậy việc bảo vệ dịch vụ là rất cần thiết trên hệ thống máy chủ. Làm tốt được công việc này máy chủ mới có thể ngăn chặn được những phiên truy cập không mong muốn. Khi đánh giá mức độ cần thiết của bảo vệ dịch vụ, bạn cần phải xem xét những nguyên tắc cơ bản mà lỗ hổng được tạo ra và xem xét những cuộc tấn công có thể thực hiện nhằm vào những dịch vụ và những cài đặt liên quan của chúng. Dưới đây là một số vùng của dịch vụ cần được bảo vệ: * Danh sách quản lý truy cập (Access Control List). * Chế độ khởi chạy dịch vụ * Tài khoản dịch vụ * Mật khẩu tài khoản dịch vụ Tất cả những vùng dịch vụ có liên quan tới bảo mật này giờ đây có thể được kiểm soát trong Group Policy của Windows Server 2008 hoặc bản Windows Vista Enterprise. 1. Truy cập Group Policy Objects (GPO) Để sử dụng những cài đặt trong phần này, bạn cần phải sử dụng một trong số ứng dụng sau trong mạng: * Windows Server 2008 Domain Controller (Trình kiểm soát miền) * Windows Vista SP1 có cài đặt Remote Server Administrative Tools (Bộ công cụ quản trị máy chủ từ xa) và chạy trong một miền Windows Active Directory Khi đã có hệ thống đáp ứng yêu cầu trên, bạn hãy sử dụng Group Policy Management Console (GPMC) để quản lý và hiệu chỉnh GPO từ hệ thống đó. Bạn sẽ không thể thấy những cài đặt mới từ một hệ thống khác không đáp ứng các tiêu chí trên. 2. Access Control List Để kiểm soát Access Control List , bạn sẽ cần sử dụng mục Services của một GPO trong Computer Configuration\Policies\Windows Settings\Security Settings\System Services. Hình 1: Sử dụng System Services Policy để kiểm soát Access Control List. Để sử dụng chính sách này, bạn hãy tìm đến dịch vụ muốn quản lý trong danh sách ở bảng bên phải và lựa chọn nó. Khi phải chuột lên tên dịch vụ đó, bạn sẽ có thể hiệu chỉnh những thuộc tính cho dịch vụ đó. Khi hiệu chỉnh thuộc tính bạn sẽ thấy một hộp thoại thuộc tính Properties. Hình 2: Hộp thoại System Services Properties. Để thay đổi Access Control List cho dịch vụ đó, lựa chọn hộp chọn Define this policy setting sau đó click vào nút Edit Security. Sau khi click nút này, bạn sẽ thấy một hộp thoại Security for Windows Event Collector. Hình 3: Hộp thoại Security quản lý Access Control List. Chú ý rằng bạn có một số cấp phép chuẩn cài đặt cho dịch vụ, bao gồm: * Full Control: Kiểm soát đầy đủ. * Read: Chỉ đọc * Start, stop and pause: Khởi chạy, tắt và tạm dừng. * Write: Ghi. * Delete: Xóa. Bạn có thể click vào nút Advanced để tạo một danh sách cấp phép riêng cho mỗi dịch vụ. Bạn có thể lựa chọn ra những cấp phép trong 14 cấp phép bảo mật chi tiết. 3. Chế độ khởi động dịch vụ Chế độ khởi động dịch vụ rất quan trọng đối với những dich vụ không thểhay không muốn cái đặt, nhưng bạn lại muốn chắc chắn rằng chúng sẽkhông khởi chạy khi hệ thống khởi động. Có ba cấp độ trong chế độ khởiđộng dịch vụ, gồm có: * Automatic: Tự động khởi chạy. * Manual: Khởi chạy thủ công. * Disabled: Hủy chế độ khởi chạy. Chế độ Automatic và Manual có thể khởi chạy dịch vụ vào bất kì thời điểm nào tùy thuộc vào những càiđặt của dịch vụ đó. Hai chế độ khởi động này cho phép khởi chạy dịch vụ bằng một cuộc gọi tới dịch vụ. Tuy nhiên, khi một dịch vụ được cài đặt chế độ Disabled, thì nó sẽ không thể khỏi chạy theo chế độ Automatic hay Manual. Do đó bạn có thể sử dụng chế độ này để chặn máy chủ khởi chạy dịch vụ cho đến khi một admin kích hoạt lại nó. Sử dụng chế độ khởi động nàycùng với Access Control List là một sự kết hợp khá mạnh vì quá trình phân quyền có thể giới hạn quyền khởi chạy hay thay đổi dịch vụ. Bạn có thể quản lý chế độ khởi động trong chính sách tương tự khi thao tác với Access Control List (Hình 2 ở trên minh họa ba tùy chọn của chế độ khởi động). 4. Tài khoản dịch vụ Nhiều dịch vụ yêu cầu phải đăng nhập trước khi sử dụng. Đó là vì tài khoản này không chỉ cho phép truy cập vào hệ thống nơi nơi dịch vụ đang chạy mà còn có thể truy cập vào những hệ thống khác trong mạng. Trong những trường hợp này tài khoản Network Service hay Local System sẽ không hoạt động. Trước đây, quá trình cấu hình dịch vụ phải được thực hiện trên hệ thống chứa dịch vụ đang chạy. Giờ đây, với Group Policy Preferences, bạn có thể kiểm soát tài khoản dịch vụ nào được sử dụng từ Active Directory kèm Group Policy. Cài đặt bạn muốn thực hiện cấu hình được lưu trữ trong Computer Configuration\Preferences\Control Panel Settings\Services. Hình 4: Sử dụng Group Policy Preferences để cấu hình tên tài khoản dịch vụ. Để cấu hình cho một chính sách thực hiện quản lý dịch vụ, bạn chỉ cần phải chuột lên Services chọn New Service. Sau đó bạn có thể lựa chọn dịch vụ muốn cấu hình từ hộp thoại Services. Hình 5: Hộp thoại chính sách Group Policy Preferences. Bạn có thể duyệt tìm và lựa chọn dịch vụ muôn quản lý trong danh sách khi click vào nút bên cạnh trường Service name. Sau khi đã lựa chọn dịch vụ, click chọn radio This account và tìm tài khoản dịch vụ mà bạn muốn sử dụng từ Active Directory.Khi thực hiện xong các thao tác trên là bạn đã hoàn thành cấu hình tàikhoản cho dịch vụ trên mỗi hệ thống dưới sự quản lý của GPO có chứa chính sách cài đặt.5. Mật khẩu tài khoản dịch vụ Trong phần trên chúng ta chỉ thực hiện cấu hình tài khoản dịch vụ,nhưng trên hình 5 bạn cũng có thể thấy chúng ta có thể thực hiện tạo mật khẩu tại đó. Đây là một cài đặt rất mạnh, vì trước đây bạn chỉ cóthể thực hiện thao tác này trên máy tính chứa dịch vụ đang chạy hay sử dụng một công cụ quản trị từ xa để kết nối tới máy chủ đó. Sử dụng chính sách Group Policy Preferences bạncó thể đảm bảo rằng tài khoản dịch vụ được cài đặt trong dịch vụ có một mật khẩu chính xác với mật khẩu mà bạn đã tạo trong cơ sở dữ liệu Active Directory cho tài khoản đó. Điều này đồng nghĩa với việc khi thực hiện tạo lại mật khẩu cho dịch vụ trong Active Directory bạn chỉ cần cập nhật chính sách này và mật khẩu cho tài khoản để những mật khẩu này đồng bộ hóa với nhau. Hình 6: Sử dụng GPO để đồng bộ hóa mật khẩu tài khoản dịch vụ với Active Directory. Nhờ có những công cụ quản lý mới được tích hợp trong Windows Server 2008 và Vista, những dịch vụ trên mạng của bạn giờ đây đã được bảo vệ khá an toàn. Bảo mật dịch vụ là một nhiệm vụ thiết yếu vì những dịch vụ này cung cấp cổng truy cập vào máy chủ và những dữ liệu quan trong được lưu trữ trên máy chủ. Bảo mật có thể được thực hiện qua việc kiểm soát phân quyền, chế độ khởi chạy, tài khoản và mật khẩu dịch vụ. Bằng việc sử dụng những cài đặt Group Policy tronmg miền Active Directory bạn có thể bảo vệ được mọi loại dịch vụ đang chạy trên máy chủ trong miền.Tài khoản dịch vụ thường được nhiều dịch vụ sử dụng để thực hiện những thao tác trên hệ thống nơi mà dịch vụ đó được cài đặt, hay kết nối đến những nguồn tài nguyên mạng khác để thực hiện một tác vụ nào đó. Và mỗi một tài khoản dịch vụ lại có một cấu hình và thẩm quyền khác nhau. Trong nhiều trường hợp, những tài khoản dịch vụ được phân quyền quản trị ở vài mức độ nhất định. Hầu hết các dịch vụ được sử dụng để hỗ trợ mạng người dùng thì những tài khoản của chúng nói chung đều thuộc nhóm Domain Admin trong Active Directory. Và trong một số tình huống, những tài khoản này lại là thành viên nhóm Enterprise Admin, khi đó chúng được phân quyền cao hơn cho một dịch vụ và tài khoản của những dịch vụ này. Tuy nhiên, tùy thuộc vào từng dịch vụ mà đây có thể là một cấu hình bắt buộc. Khi tài khoản dịch vụ được sử dụng với với nhiều quyền hơn trong khi cài đặt và lên cấu hình, thì những tài khoản này phải tuyệt đối bảo mật. Để đảm bảo bảo mật cho những tài khoản này, người quản trị phải thiết lập thêm các biện pháp với mỗi và mọi tài khoản dịch vụ. Những biện pháp này không quá phức tạp nhưng bạn phải áp dụng chúng để đảm bảo rằng những tài khoản này được bảo vệ, quản lý và giám sát chặt chẽ để chống lại mọi hành động phá hoại. Những biện pháp cần áp dụng để bảo vệ tài khoản dịch vụ bao gồm: * Cấu hình giới hạn khả năng đăng nhập vào trạm làm việc đối với tài khoản người dùng dịch vụ. * Đặt thời hạn cho mật khẩu và thường xuyên thiết lập lại. Giới hạn truy cập trạm làm việc Mọi tài khoản người dùng được khởi tạo và lưu trữ trong Active Directory đều có thể bị giới hạn đối với những hệ thống mà chúng có thể đăng nhập vào. Ít khi bạn giới hạn một tài khoản người dùng chuẩn chỉ đăng nhập được vào vài trạm làm việc, nhưng trong một số tình huống thì điều này cũng có thể xảy ra do tài khoản dịch vụ bị giới hạn về số lượng hệ thống cần đăng nhập. Nếu một tài khoản đang được một người dùng chuẩn sử dụng hay đăng nhập vào nhiều hệ thống ngoài hệ thống đang sử dụngdịch vụ đó thì đây là một vấn đề bảo mật đáng lo ngại. Do đó, việc cấuhình tài khoản dịch vụ chỉ có thể đăng nhập vào những hệ thống chứa dịch vụ đó là một biện pháp bảo mật khá hiệu quả. Cài đặt giới hạn cho trạm làm việc (bao gồm cả máy trạm và máy chủ) nằm trong User Properties của Active Directory Users and Computers. Phải chuột vào tài khoản người dùng (có chức năng như tài khoản dịch vụ) chọn Properties. Hộp thoại User Properties sẽ xuất hiện, tại đây chọn tab Account bạn sẽ thấy nút Log On To. Hình 7: Giới hạn tài khoản người dùng đăng nhập vào trạm làm việc trong hộp thoại User Properties. Khi lựa chọn nút Workstation, bạn sẽ thấy một hộp thoại khác xuất hiện với danh sách trạm làm việc. Tại đây, bạn chỉ cần nhập tên của những máy chủ nơi dịch vụ được cấu hình hỗ trợ cho dịch vụ đang chạy trên máy chủ đó. Hình 8 minh họa ví dụ tài khoản của một dịch vụ hỗ trợ cho ứng dụng HR, và dịch vụ đó chạy trên ba máy chủHR khác nhau. Hình 8: Hộp thoại Workstation cho phép nhập tên của máy chủ. Với cấu hình này, tài khoản dich vụ đó chỉ được cho phép đăng nhập vào ba máy chủ trong danh sách. Có nghĩa là tài khoản đó sẽ không được đăng nhập vào bất kì máy chủ nào khác trên mạng.Giới hạn hiệu lực mật khẩu và thiết lập lại mật khẩu Viêc tạo thời hạn cho cho mật khẩu đã từng trở thành một vấn đề thảo luận khá nhiều. Trong đó xuất hiện nhiều ý kiếm phản đối hơn đồng tình với nhiều lí lẽ được đưa ra. Nhưng với công nghệ hiện nay, mật khẩu tài khoản dịch vụ có thể được thiết lập thời hạn sử dụng và xác lập lại một các dễ dàng. Quá trình này chỉ gói gọn trong bốn bước đơn giản sau: Bước 1: Cấu hình cho tài khoản dịch vụ một mật khẩu hết hiệu lực. Trong hình 7 ở trên, có một tùy chọn cho mật khẩu không bao giờ hết hiệu lực ở phía cuối của hộp thoại. Bạn cần phải bỏ chọn tùy chọn này.Khi bỏ chọn tùy chọn này thì tài khoản dịch vụ sẽ được bổ sung vào chính sách mật khẩu cho toàn miền với thời hạn mật khẩu này hết hiệu lực. Windows Server 2003 và Windows Server 2008 mặc định ngày hết hiệu lực mật khẩu là 42 ngày. Có nghĩa là bạn sẽ phải xác lập lại mật khẩu cho dịch vụ mỗi tháng một lần. Bước 2: Xác lập lại mật khẩu cho tài khoản Trong ADUC bạn hãy lựa chọn đối tượng tài khoản dịch vụ rồi phải chuột lên nó. Trong menu chuột phải (hay menu ngữ cảnh) có một tùy chọn Reset Password. Click chọn tùy chọn này bạn sẽ thấy hộp thoại Reset Password xuất hiện, tại đây hãy nhập mật khẩu mới cho tài khoản. Lưu ý: Không được click chọn hộp chọn Usermust change password at next logon (người dùng phải thay đổi mật khẩu trong lần đăng nhập tới), bởi vì nếu chọn tùy chọn này sẽ gây ra mộtvấn đề lớn đó là tài khoản dịch vụ sẽ không cập nhật được mật khẩu của tài khoản đó vì nó chỉ được cấu hình thông qua dịch vụ. Hình 9: Hôp thoại Reset Password cho tài khoản dịch vụ. Bước 3: Áp dụng cài đặt Group Policy Preferences cho dịch vụ.Đây là một cài đặt mới chỉ xuất hiện khi bạn hiệu chỉnh GPO từ hệ thống Windows Server 2008 hay Windows Vista SP1 (khi đã cài đặt RSAT). Cài đặt mới này nằm trong Computer Configuration\Preferences\Control Panel Settings\Services. Trong hộp thoại New Service Properties bạn sẽ phải nhập chính xác tên tài khoản dịch vụ và mật khẩu mới. Bạn chỉ cần nhập mật khẩu tại đây và như vậy là bạn đã nhập vào ADUC cho tài khoản người dùng và mọi hệ thống được hướng vào GPO sẽ nhận được mật khẩu mới của tài khoản dịch vụ. Hình 10: Những cài đặt Group Policy Preferences Services có thể xác lập lại mật khẩu cho dịch vụ đang chạy trên hệ thống đích. Bước 4: Cập nhật tiến trình GPO ngay khi có thể. Bạn có thể vào mỗi máy chủ và khởi chạy tiện ích GPUPDATE, nhưng bạn sẽ phải mất thời gian chờ đợi và máy chủ có thể không thể khởi chạy. Bạn có thể sử dụng một công cụ khác trong Special Operations Software (SOS) có tên GPUPDATE, trùng tên với tiện ích sẵn có nhưng phương pháp vận hành lại hoàn toàn khác nhau. Đây là một sự thay thế snap-in cho ADUC cho phép quản trị viên refesh nền của Group Policy từ một trình quản lý miền. Tiện ích GPUPDATE trong SOS có thể cập nhật mọi hệ thống trong miền, trong một OU, hay một hệ thống riêng lẻ. Bạn có thể tải công cụ này tại đây. Tóm lại, tài khoản dịch vụ được đặc trưng bởi quá trình phân quyền, rất ít khi được kiểm soát và rất ít khi được xác lập lại mật khẩu. Điều này có thể tạo điều kiện cho tin tặc tấn công. Và không có lí do gì để cho phép một tài khoản dịch vụ đăng nhập vào bất kì hệ thống nào trongmiền. Do đó, thực hiện các thao tác trên là bạn đã có thể bảo vệ đượcmáy chủ, mạng và mọi hệ thống trong miền. Tìm bài viết khác Theo: Quản Trị Mạng |
|
|