Bài giảng Quản trị an ninh mạng

ước khi phát triển một chiến lược thì điều quan trong là phải hiểu biết khái niệm về hiểm hoạ, khi nói về hiểm họa đối với sự an toàn thì phải nhớ rằng hiểm hoạ gồm cả số liệu khách quan và nhận thức chủ quan dựa trên tâm lý cá nhân. Về lý thuyết công thức cơ bản để xét về các yếu tố khách quan khá đơn giản. Ta chỉ cần ước lượng về mức độ quan trọng của thông tin đối với những người không được phép biết, về mức độ họ phải trả giá khi vi phạm luật pháp để lấy thông tin và về thiệt hại của cơ quan khi mất thông tin. Cho nên mục tiêu là phải đảm bảo giá trị của thông tin được bảo vệ cao hơn chi phí để bảo mật thông tin. Trong thực tế công thức này phức tạp hơn vì giá trị của thông tin thường là một khái niệm chủ quan và gía trị đối với người phá hoại có khi không phải ở bản thân tin tức mà chỉ vì mục đích khiêu khích hoặc báo thù. Một vấn đề là cần bảo mật nhưng không nên tốn kém qúa nhiều cho việc bảo mật thông tin mà đối thủ có thể lâý qua những con QUẢN TRỊ AN NINH MẠNG TATA Jsc. - CIC đường khác. Điều quan trọng nhất khi đưa ra một chính sách bảo mật là xác định cần bảo vệ thông tin nào. Việc đó là do cá nhân sở hữu thông tin đưa ra quyết định. Thiết lập một chính sách an toàn. Bước đầu tiên khi lập ra một chính sách an toàn cho intranet là viết ra một văn bản hiến chương. Hiến chương này gồm hai phần: công bố các mục tiêu và công bố trách nhiệm. Những mục tiêu được chọn phải làm cho người đọc có một ý niệm là cơ quan đứng ở chỗ nào trên cán cân giá trị so với chi phí, nhu cầu kinh doanh so với hiểm hoạ, sự cởi mở so với khép kín, và đâu là vị trí tối ưu trong sự cân bằng đó. Chính sách là cởi mở tất cả trừ một vài điểm cấm hay cấm tất cả trừ một vài điểm mở. Điều đó sẽ có những tác dụng và hậu quả khác nhau đói với năng xuất và tính sáng tạo của tổ chức. Bước thứ hai để tạo ra chính sách an toàn cho mạng là tạo ra một qui trình thành văn mô tả về trách nhiệm đảm bảo an toàn mạng thuộc về ai, được ban hành thế nào và có tính pháp lệnh như thế nào. Văn bản này bao gồm hai phần: phần về quản lý và phần về cá nhân sử dụng. Phần về quản lý phải mô tả trách nhiệm từng cấp tổ chức và quản lý. Các đối tượng cần đảm bảo an toàn và cách giám sát là một phần quan trọn trong chương này. Các đối tượng phải phù hợp với những mục tiêu mà hiến chương đã đề ra. ở những chố thích hợp, cần nêu ra các tiêu chuẩn để đưa ra những quyết định liên quan đến mục tiêu và chính sách của cơ quan. Tiêu chuẩn về phân loại mức an toàn là rất cần thiết để giúp nhà quản lý phải quyết định xem xếp từng loại thông tin vào đâu. Phần về trách nhiệm của nhân viên phải rất rõ ràng co nêu cả những hình phạt khi vi phạm. Tất cả các qui định đều phải được phổ biến đến từng nhân viên. Xây dựng những bảng ưu tiên. Một trong các phương pháp phổ biến để giám sát truy cập thông tin trên máy tính là dùng các bảng ưu tiên. Một bảng ưu tiên có một dòng về các lớp bảo mật của thông tin và một danh sách tất cả nhưng người dùng có thể truy cập vào hệ thống. Các ô ở trong bảng dùng để ghi sự ưu tiên truy cập cho từng người dùng. Trong mỗi ô có thể xác định một người dùng nào đó được hay không được quyền truy cập. QUẢN TRỊ AN NINH MẠNG TATA Jsc. - CIC Các bảng ưu tiên được dùng phổ biến vì nó là một tài liệu được định dạng rất thuận lợi cho việc ghi vào một chương trình điều khiển tự động việc truy cập. Khi một người dùng muốn truy cập một thông tin nào đó thì thoạt tiên hệ thống xem xét xem đó là ai. Khi người này cần thông tin cụ thể nào thì phần mềm kiểm tra xem bảng ưu tiên để xem anh ta có được phép hay không. Hệ thống này không những đơn giản việc quản lý những người truy cập mà còn làm đơn giản việc truy cập cho người dùng. Chính là nhờ có bảng ưu tiên mà người dùng chỉ phải xưng danh một lần chứ không phải mỗi lần khi truy cập lại xưng danh. Một trong những cách khi xây dựng bảng ưu tiên của xí nghiệp là xác định độ mịn của các trường. Đứng về phía quan điểm quá trình thì nên xếp các người dùng thành từng lớp riêng biệt và quyết định theo lớp hơn là theo cá nhân. Tương tự cũng nên xếp thông tin theo lớp và quyết định theo lớp hơn là theo thông tin riêng biệt. Về lý thuyết đây là việc thích ứng thông tin với lớp người dùng. Để cho có hiệu quả, khi xây dựng bảng ưu tiên cho nên có sự tham gia của các tổ chức tạo ra và quản lý thông tin. Các phương pháp chủ yếu trong quản trị an ninh mạng là xác thực người dùng và kiểm soát truy nhập, mã hoá dữ liệu, kiểm soát truy cập router, bức tường lửa và quản lý truy cập từ xa. 1. Xác thực người dùng và quản lý truy cập Cần thiết lập cơ chế xác thực người dùng và kiểm soát truy cập vào các tài nguyên mạng. Thông thường quá trình đăng nhập mạng thực hiện việc xác nhận người dùng bằng cách kiểm tra tên (userID) và mật khẩu theo một cơ sở dữ liệu người đã được thiết lập từ trước và luôn được cập nhật. Việc kiểm soát truy cập giới hạn phạm vi và quyền truy cập tài nguyên mạng cho những người dùng đã được quyền vào mạng. 2. Mã hoá dữ liệu Khoá mã công nghệ quan trọng nhất cho sự an toàn của mạng. Ngoài sự bảo vệ thông tin đang truyền tải nó còn những công dụng khác nữa là đảm bảo sự toàn vẹn của nội dung thông tin trong tài liệu hay hợp đồng hợp pháp kháckhi hai bên đã đi đến thoả QUẢN TRỊ AN NINH MẠNG TATA Jsc. - CIC thuận. Một vài kiểu khoá mã dùng những phần cứng đặc biệt, nhưng cũng có khi chỉ hoàn toàn là phần mềm. Khoá mã dùng công thức toán để xáo trộn thông tin. Những người sử dụng công thức cung cấp một chìa khoá (1 từ hoặc 1 chuỗi ký tự) mà công thức đã dùng để tạo ra khoá mã duy nhất. Ngày nay có hai loại chìa khoá. Loại thứ nhất gọi là khoá đối xứng, nghĩa là cùng một chuỗi ký tự vừa làm dùng để mã hoá thông tin lại vừa để hoàn nguyên thông tin về dạng bình thường. Loại thứ hai gọi là khoá không đối xứng vì chuỗi ký tự dùng để mã hoá thông tin thì không có khả năng hoàn nguyên nó về dạng bình thường. Phải dùng một chuỗi ký tự khác để giải mã thông tin. Số ký tự trong một khoá là một yếu tố để xác định độ khó trong việc đoán ra khoá và giải mã thông tin. Các khoá không đối xứng có vài cách sử dụng rất thực dụng, chẳng hạn một trong hai chìa khoá có thể đưa ra công cộng, còn có chìa khoá kia thì giữ riêng. Bằng cách đó nếu ai muốn gửi một bản tin bảo mật thì họ khoá mã bằng chìa khoá công cộng của người nhận, là người duy nhất giữ chìa khóa riêng mình, có thể giải mã. Như vậy là không còn thương lượng và không phải ghi nhớ chìa khoá duy nhất của từng đối tác khi cần trao đổi thông tin. 3. Kiểm soát truy cập router Điều này cho phép kiểm soát các gói tin chuyển qua các cổng của router dựa trên danh sách kiểm soát truy cập router (hay điều kiện lọc). Danh sách truy cập này xác định điều kiện cho phép các gói qua… qua. 4. Bức tường lửa Để giải quyết vấn đề bảo vệ mạng nội bộ khỏi những kẻ phá hoại bên ngoài thâm nhập vào thông tin và giành quyền điều khiển các tài nguyên máy móc trong mạng nội bộ giải pháp được lựa chọn là sử dụng bức tường lửa (fire wall) để tạo ra một giao diện bảo mật nằm giữa mạng bên trong và mạng bên ngoài. Firewall cho phép kiểm soát việc truyền thông giữa hai mạng, và như vậy cũng có chức năng hạn chế người dùng bên trong truy nhập tới các dịch vụ thông tin bên ngoài. Firewall có thể khác nhau tuỳ QUẢN TRỊ AN NINH MẠNG TATA Jsc. - CIC theo chức năng và kỹ thuật thực hiện. Tuy nhiên, hoạt động của chúng gắn liền với họ giao thức TCP/IP tức là liên quan đến các gói dữ liệu nhận được từ dịch vụ mạng chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS…) và điạ chỉ IP của chúng. Bức tường lửa (Firewall) Sơ bộ có thể chia Firewall thành các dạng sau: 1) Bộ lọc chần (Screening Filter) sử dụng router để nối mạng riêng với bên ngoài. Loại này kiểm tra điạ chỉ IP các gói dữ liệu đi qua để kiểm soát việc truy cập từ bên ngoài vào các máy và ports ở mạng riêng bên trong, đồng thời hạn chế việc truy nhập từ trong ra ngoài. Tuy nhiên chúng không có khả năng kiểm soát truy cập ở mức ứng dụng. 2) Bastion chuyển bản tin từ/đến những người sử dụng có thẩm quyền và từ chối phục vụ những người khác. Loại này có thể kiểm tra truy nhập ở mức (layer) người sử dụng hay mức ứng dụng. Tuy nhiên giá thành sẽ cao khi số người sử dụng tăng lên, ngoài ra kẻ phá hoại có thể tìm cách biết được thông tin để giả mạo người sử dụng có thẩm quyền, chui vào mạng bên trong. 3) Phối hợp hai kỹ thuật nêu trên để tạo ra độ mềm dẻo và hiệu quả an ninh tối đa. QUẢN TRỊ AN NINH MẠNG TATA Jsc. - CIC Về mặt vật lý Firewall bao gồm một hay nhiều máy chủ kết nối với các bộ dẫn đường hoặc có chức năng dẫn đường. Hiện nay nhiều sản phẩm Firewall được đưa ra để tạo cổng kết nối mạng bảo mật (Secured Network Gateway-SNG). Những tính năng chính của Firewall được SNG hỗ trợ trong cụ thể hoá các dịch vụ sau: 1) Đường hầm IP bảo mật (Secured IP tunnels)-thường dùng để kết nối mạng nội bộ nhằm phân tần, sử dụng đường truyền công cộng. Các gói dữ liệu IP cùng headers ở đầu gửi được đóng trong một gói mới (encapsulation) và được mã hoá trước khi truyền đi. Firewall ở đầu nhận sẽ bóc gói ra (giải mã) và trả lại dữ liệu ban đầu. Người quản trị Firewall sẽ quyết định mức độ bảo vệ và loại thông tin được bảo vệ. Người sử dụng không cần quan tâm đến quá trình xảy ra. • Secure IP Tunnels Inte l Internal Networ k Internet FW One FW Two IP - Encapsulate IP on IP - Encrypt using DES/CDMP - Virtual Private Networks Đường hầm bảo mật IP 2) Bộ lọc IP (IP Filter) – dùng để giới hạn việc trao đổi thông tin chỉ cho một nhóm người sử dụng và các ứng dụng định trước. Việc cho đi qua hay loại bỏ các gói dữ liệu dựa trên các địa chỉ IP nguồn và đích, kiểu của giao thức IP, các gói dữ liệu được chuyển đi từ/đến Firewall hay chỉ được dẫn qua. QUẢN TRỊ AN NINH MẠNG TATA Jsc. - CIC UDP,ICMP,TCP w/ack • Source/Dest IP address,port,direction,.... Seamless, transparent access • Vorlfy connection information • Monitor TCP to set up dynamic UDP filltering • Roveals & uses internal IP addresses • Trust based upon IP address Expert Filter 3) Máy chủ uỷ quyền – nhận yêu cầu của người dùng trong mạng nội bộ, rồi thực hiện kết nối với thông tin bên ngoài. Như vậy có thể kiểm soát được người dùng (và hạn chế các ứng dụng họ yêu cầu) trước khi gửi các yêu cầu ra ngoài mạng và giấu được địa chỉ ở mạng trong (chỉ công khai ra ngoài điạ chỉ Firewall). Tương tự có thể kiểm soát và cho phép người dùng bên ngoài vào khai thác tài nguyên thông tin ở mạng bên trong. QUẢN TRỊ AN NINH MẠNG TATA Jsc. - CIC • Non- transparent • Hides internal IP addresses (outbound) • Trust granted to authenticated inđviual Application proxy gateway 4) Máy chủ SOCKS – nhận yêu cầu của người dùng mạng bên trong có phần mềm client đã được máy SOCKS hoá và kết nối anh ta với các ứng dụng bên ngoài. So với máy chủ uỷ quyền phương thức này tiện hơn cho người dùng mạng bên trong, giảm tải trên Firewall nhưng không thích hợp để kiểm tra người dùng bên ngoài thâm nhập vào. • Seamless, transparent access • Hides Internal IP addresses • SOCKS V5 adds UDP and Indentification and Authentication Socks Circuit Gateway QUẢN TRỊ AN NINH MẠNG TATA Jsc. - CIC 5) Dịch vụ vùng tên (Domain Name Service) – chỉ đáp ứng các yêu cầu từ mạng bên ngoài với những thông tin quyết định đưa ra công khai, bảo vệ mạng nội bộ khỏi những kẻ khai thác thông tin để mạo danh như người sử dụng có thẩm quyền. • External DNS reveals only public addresses • Internal DNS reveals company host addresses to secure network Domain Name Service 6) Secure mail relay- cung cấp giao diện điện thư tín bảo mật với mạng bên ngoài và chuyển tiếp đến Mail server ở trong mạng nội bộ đảm bảo các chức năng thư tín đầy đủ. QUẢN TRỊ AN NINH MẠNG TATA Jsc. - CIC Mail Forwarding 5. Quản lý truy cập từ xa Giao thức xác thực mật khẩu (PAP) là lược đồ xác thực được các máy phục vụ PPP dùng để xác nhận tính hợp lệ của người yêu cầu kết nối từ xa. PAP áp dụng thủ tục bắt tay hai chiều. Sau khi kết nối được thiết lập người yêu cầu gửi tên và mật khẩu để máy phục vụ kiểm tra. Máy phục vụ gửi lại xác nhận nếu đúng. Trong trường hợp ngược lại sẽ ngắt kết nối và yêu cầu gửi lại tên, mật khẩu để kiểm tra. Giao thức các thực bắt tay- khẩu lệnh (Challenge- Handshake Authentication Protocol – CHAP) là lược đồ xác thực được các máy phục vự PPP dùng để xác nhận tính hợp lệ của người yêu cầu kết nối và vào thời điểm bất kỳ sau đó. CHAP áp dụngthủ tục bắt tay ba lần. Sau khi kết nối được thiết lập máy phục vụ gửi “khẩu lệnh” đến cho người yêu cầu. Người yêu cầu gửi lại một giá trị được tính ra từ đó bằng cách sử dụng hàm bâưm (Hush) một chiều. Máy phục vụ kiểm tra lại giá trị đó so với tính toán của chính mình. Nừu khớp sẽ công nhận tính sát thực, nếu không sẽ ngắt kết nối. RADIUS (Remote Authentication Dial-in User Services) và TACACS (Terminal Access Controllor Access System) là các giao thức dành riêng để giải quyết việc xác thực giữa máy phục vụ truy cập và máy phục vụ xác thực. QUẢN TRỊ KẾ TON TATA Jsc. - CIC QUẢN TRỊ KẾ TOÁN Mạng máy tính được xem là hạ tầng cơ sở thông tin của một cơ quan, do vậy cần thiết phải đặt ra vấn đề quản lý và khai thác có hiệu quả nhất. Quản trị kế toán giúp để cung cấp cho người dùng bao gồm: • Các thiết bị truyền thông: LAN, WAN, các đường thuê bao, đường điện thoại, các hệ thống PBX v.v. • Phần cứng máy tính (máy phục vụ, máy trạm) • Phần mềm và các hệ thống và các phần mềm tiện ích trong dịch vụ, trung tâm dữ liệu. • Các dịch vụ bao gồm các dịch vụ truyền thông và dịch vụ thông tin. Sau khi phân bổ quyền sử dụng tài nguyên mạng cho người dùng, việc tính cước phí sử dụng mạng thông thường dựa vào các thông tin sau: Nhóm A: • Giá thành xây dựng mạng • Chi phí thường xuyên đảm bảo hoạt động của mạng • Giá thành các hệ thống đầu cuối Nhóm B: • Số lượng vận chuyển dữ liệu • Số lượng các gói tin • Mức độ sử dụng giao thức Dưới đây là một ví dụ về tính cước sử dụng hàng tháng QUẢN TRỊ KẾ TON TATA Jsc. - CIC 1. Cước phí cơ bản X1 = (a+b) / c 2. Cước phí sử dụng X2 = (a+b) * (e/d) Trong đó: giá thành xây dựng mạng chi phí đảm bảo hoạt động số các hệ thống đầu cuối số lượng dữ liệu vận chuyển trong mạng số lượng dữ liệu tạo ra bởi các hệ thống đầu cuối CC CÔNG CỤ QUẢN TRỊ MẠNG TATA Jsc. - CIC CÁC CÔNG CỤ QUẢN TRỊ MẠNG Giới thiệu chung Dưới đây là danh sách các công cụ quản trị vận hành mạng (ngoài các công cụ do hệ điều hành mạng cung cấp) va miền ứng dụng của chúng. Các công cụ quản trị Phần cứng chuyên dụng Phần mềm Quản trị tài nguyên Quản trị lỗi Thiết bị kiểm tra chuyên dụng Quản trị hiệu suất Bộ phân tích mạng LAN CC CÔNG CỤ QUẢN TRỊ MẠNG TATA Jsc. - CIC Hệ thống quản trị mạng tích hợp (SNMP manager) 1. Một số khái niệm Hệ thống quản trị mạng tích hợp dựa trên giao thức ở tầng ứng dụng tên là SNMP cho phép trao đổi thông tin quản trị giữa các thiết bị mạng. Một mạng quản trị bởi SNMP có các thành phần sau: SNMP manager, agents và các thiết bị quản lý được (managed đevices). Các thiết bị quản lý được là phần tử trên mạng như router, máy phục vụ truy cập từ xa, switch, hub, cầu, các máy tính, máy in v.v. trên đó có cài đặt module phần mềm quản trị SNMP agent. Tại đây các thông tin phục vụ cho công việc quản trị mạng được thu thập, lưu giữ để SNMP manager sử dụng. Agents có chức năng chuyển đổi thông tin quản trị tại chỗ về dạng tương thích với SNMP. Manager là phần mềm quản trị trên môi trường TCP/IP, được cài trên một hay một vài máy trạm trong mạng, để giám sát và điều khiển các thiết bị mạng. SNMP manager và agents trao đổi thông tin với nhau sử dụng các lệnh SNMP cơ bản read, write, trap, traversal operation. Manager giám sát các thiết bị bằng cách thu thập thông tin (read) từ các agents. Việc điều khiển được thực hiện bằng cách cập nhật (write) các thông tin quản trị tại các agents. Các agents cũng có thể thông báo sự kiện cho manager (trap). Các thông tin quản trị SNMP được chứa trong CSDL (trên agents) gọi là MIB (Managêmnt Information Base). 2. Các chức năng. CC CÔNG CỤ QUẢN TRỊ MẠNG TATA Jsc. - CIC SNMP manager có thể giúp tạo ra sơ đồ cấu trúc hình mạng và các biểu đồ để giám sát hoạt động mạng, đặt các giá trị ngưỡng bắt giữ các sự kiện, vẽ đồ thị từ các thông tin thu thập được và lưu trữ để phục vụ quản lý thống kê. SNMP manager cũng cung cấp các giao diện ứng dụng API để người dùng tự phát triển các công cụ của riêng mình. Dưới đây là liệt kê các chức năng quản trị chính SNMP manager hỗ trợ. Đối tượng quản trị Hạng mục Chức năng SNMP agent Nút mạng thường Quản trị cấu hinh Cho biết các thiết bị kết nối vào mạng Cho biết thuộc tính các thiết bị kết nối vào mạng Cho biết những nút mạng được thêm vào hay tách ra Cho biết thông tin về cấu hình mạng như các địa chỉ thông tin định tuyến Quản trị lỗi (quản trị trạng thái) Theo dõi trạng thái các nút mạng Quản trị hiệu suất Quản trị phân cấp CC CÔNG CỤ QUẢN TRỊ MẠNG TATA Jsc. - CIC Hỗ trợ vận hành (O: Có hỗ trợ, +: hỗ trợ một phần, -: không hỗ trợ) Sản phẩm loại này thường được đóng gói theo các dạng sau: • Chỉ cung cấp các chức năng cơ bản (làm nền để bổ sung các ứng dụng cung cấp các chức năng cao cấp hơn). • Chỉ cung cấp các ứng dụng phát triển thêm chức năng (phần cơ bản mua từ trước) • Có đủ cả hai phần nói trên (khả năng mở rộng kém). Hệ thống quản trị mạng tích hợp là một công cụ: • Cho phép giám sát cấu hình tòan mạng và các hệ thống đầu cuối riêng biệt và các thiết bị truyền thông (Quản trị trạng thái) • Có thể phát hiện các sự kiện SNMP. (Để phân tích và định danh lỗi, cần bổ sung thêm các ứng dụng khác) (Quản trị lỗi) • Có thể giám sát thông tin lưu chuyển của hệ thống đầu cuối và thiết bị truyền thông. (Để giám sát dữ liệu lưu chuyển trên mạng cần bổ sung thêm các ứng dụng khác (quản trị hiệu suất) LAN analyzer LAN analyzer có thể là một phần mềm chạy trên một máy trạm hoặc một thiết bị chuyên dụng tích hợp cả phần cứng và phần mềm trong đó. Các chức năng cơ bản bao gồm: • Giám sát: thu thập và hiển thị các dữ liệu trên LAN CC CÔNG CỤ QUẢN TRỊ MẠNG TATA Jsc. - CIC • Phân tích: phân tích dữ liệu theo giao thức hay điạ chỉ và chiết ra những dữ liệu thuộc về một giao thức riêng biệt • Mô phỏng: tạo giả và đưa dữ liệu mô phỏng lên mạng để kiểm tra. LAN analyzer giám sát và hiển thị các thông số về hoạt động của mạng trong từng khoảng thời gian xác định. Các thông số đó là: • Dữ liệu lưu chuyển trên toàn mạng • Số các nút kết nối vào mạng • Hệ số sử dụng mạng • Số các frame và bytes chuyển qua mạng. • Lượng dữ liệu gửi/nhận của từng nút mạng • Phân bổ dữ liệu theo gói tin • Hệ số sử dụng theo giao thức. Chức năng phân tích chính là phân tích 7 tầng OSI (một số LAN analyzer không chỉ hạn chế ở các tầng 3 & 4 như TCP/IP) và phân tích các giao thức riêng biệt, frame hay các bytes. Trong chức năng mô phỏng LAN analyzer đã gửi dữ liệu từ một hệ thống đầu cuối xác định khác, xử lý và gửi lại dữ liệu cũ. LAN analyzer là công cụ cho phép phát hiện lỗi trên mạng. Cùng với một hệ thống chuyên gia, nó có thể phát hiện lỗi, thông báo, định vị và cô lập nguyên nhân gây lỗi. ỉng dụng thứ hai là giám sát lưu chuyển trên toàn mạng và từng hệ thống đầu cuối riêng biệt với mục đích quản trị hiệu suất. Quản lý máy trạm CC CÔNG CỤ QUẢN TRỊ MẠNG TATA Jsc. - CIC Đây là các công cụ để quản lý tài nguyên trên các máy trạm trong mạng, cho phép hiển thị cấu hình và trạng thái làm việc thời gian thực phần cứng và phần mềm máy tính. Một công cụ nữa là khả năng điều khiển từ xa: • Người quản trị trao đổi với người dùng (Chatting) • Truyền file giữa người quản trị và người dùng. • Hiển thị màn hình của người dùng tại máy của người quản trị kiểm tra. • Phân phối phần mềm. Công cụ quản trị sao lưu Các công cụ quản trị sao lưu cung cấp bổ sung một số chức năng ngoài các chức năng chuẩn của người điều hành mạng. • Sao lưu qua mạng • Quản lý việc lập lịch sao lưu • Quản lý sao lưu file sử dụng trong CSDL, sao lưu • Sao lưu các file không được truy cập trong một khoảng thời gian nhất định Các thiết bị kiểm tra chuyên dụng Các thiết bị kiểm tra chuyên dụng dùng để phát hiện các lỗi phần cứng. Hai loại phổ biến là kiểm tra cáp và kiểm tra transeiver. Có một số thiết bị khác cũng được sử dụng như đồng hồđo Ohm (do trở kháng để kiểm tra chập cáp) và TDR (Time Domain Reflectometer- gửi dung tín hiện len cáp đang kiểm tra va theo dõi tín hiệu phản xạ. NHIỆM VỤ NGƯỜI QUẢN TRỊ MẠNG TATA Jsc. - CIC NHIỆM VỤ CỦA NGƯỜI QUẢN TRỊ MẠNG. Quản lý người dùng • Tạo, xóa và quản lý tài khoản người dùng • Đảm bảo mạng không bị truy cập trái phép • Phân bổ quyền truy cập tài nguyên mạng cho các người dùng • Đào tạo và hỗ trợ người dùng trên mạng Quản trị tài nguyên mạng • Quản trị tài sản • Triển khai và hỗ trợ cho các thiết bị trên mạng • Nâng cấp và thay thể các thiết bị mạng • Gắn/bỏ máy tính trong mạng. Quản trị cấu hình • Hoạch định cấu hình mạng trước khi triển khai, lắp đặt • Hoạch định mở rộng mạng và lập hồ sơ cấu hình mạng • Cài đặt phần mềm mới và nâng cấp các phần mềm sẵn có. Quản trị hiệu suất mạng • Giám sát hoạt động của mạng • Hiệu chỉnh mạng nhằm đạt hiệu suất cao nhất. Bảo dưỡng mạng NHIỆM VỤ NGƯỜI QUẢN TRỊ MẠNG TATA Jsc. - CIC • Phòng ngừa, phát hiện và giải quyết các vấn đề trên mạng • Sao lưu bảo vệ dữ liệu • Giám sát và chấn chỉnh khong gian đĩa các máy phục vụ • Bảo vệ mạng khỏi virus • Xử lý sự cố hỏng hóc trên mạng NHIỆM VỤ NGƯỜI QUẢN TRỊ MẠNG TATA Jsc. - CIC PHẦN IV QUẢN TRỊ MẠNG WINDOWS 2000 MỤC LỤC chương I: Tổng quan về window 2000 .....................................................................93 1.1. Giới thiệu về windows 2000 ......................................................................93 1.2. Các nét đặc trưng của Windows 2000 .......................................................95 1.3. Giới thiệu về Active Directory services.....................................................97 1.4. Giới thiệu về Workgroup & Domain trong Windows 2000 ......................99 Chương II: Cài đặt Windows 2000 Server..............................................................103 2.1. Chuẩn bị để cài đặt Windows 2000 Server..............................................103 2.2. Cài đặt Windows 2000 Server từ đầu ......................................................108 2.3. Nâng cấp lên Windows 2000 Server........................................................110 2.4. Một số khó khăn thường gặp khi cài đặt Windows 2000 server và cách khắc phục ..........................................................................................................111 Chương III: Cấu hình Active Directory và Domain Controller..............................113 1.1. Cấu hình Active Directory .......................................................................113 1.2. Thiết lập một máy Windows 2000 Domain Controller ...........................118 Chương IV: Giao diện người dùng và công cụ MMC trong Windows 2000 .........121 4.1. Giới thiệu về Microsoft Management Console (MMC) ...........................121 4.2. Sử dụng Console .......................................................................................123 NHIỆM VỤ NGƯỜI QUẢN TRỊ MẠNG TATA Jsc. - CIC Chương V: Thiết lập và quản lý các tài khoản người dùng và nhóm .....................125 5.1. Khái niệm chung .......................................................................................125 5.2. Thiết lập và quản lý tài khoản người dùng ...............................................128 5.3. Thiết lập và quản lý tài khoản nhóm.........................................................153 5.4. Quản lý các chính sách nhóm....................................................................159 Chương VI: Quản lý và chia sẻ tài nguyên mạng ...................................................166 6.1. Cơ sở của việc chia sẻ dùng chung tập tin ................................................166 6.2. Thiết lập các folder dùng chung (share)....................................................166 6.3. Quản lý các quyền truy cập.......................................................................168 6.4. Các share ẩn ..............................................................................................173 6.5. Các Common Share...................................................................................173 6.6. Các phương pháp kết nối vào share ..........................................................173 Chương VII: Cài đặt các giao thức dịch vụ mạng...................................................174 7.1. Cấu hình (Configurating) TCP/IP ..