Đồ án Bảo mật trong window server 2003

n dùng cho phiên giao dịch đó. b, Nhược điểm Tồn tại một điểm yếu: Nếu máy chủ trung tâm ngừng hoạt động thì mọi hoạt động sẽ ngừng lại. Điểm yếu này có thể được hạn chế bằng cách sử dụng nhiều máy chủ Kerberos. Giao thức đòi hỏi đồng hồ của tất cả những máy tính liên quan phải được đồng bộ. Nếu không đảm bảo điều này, cơ chế chứng thực dựa trên thời hạn sử dụng sẽ không hoạt động. Thiết lập mặc định đòi hỏi các đồng hồ không được sai lệch quá 10 phút. Cơ chế thay đổi mật khẩu không được tiêu chuẩn hóa. 2,Chính sách cục bộ 2.1,Giới thiệu Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung. Đồng thời dựa vào công cụ này bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mật. Hình 5 2.2 Thiết lập chính sách kiểm toán Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống, trên các đối tượng cũng như đối với các người dùng. Bạn có thể xem các ghi nhận này thông qua công cụ Event Viewer trong mục Security. 2.3 , Thiết lập quyền hệ thống cho người dùng Đối với hệ thống Windows Server 2003, bạn có hai cách cấp quyền hệ thống cho người dùng là: gia nhập tài khoản người dùng vào các nhóm tạo sẵn (built-in) để kế thừa quyền hoặc bạn dùng công cụ User Rights Assignment để gán từng quyền rời rạc cho người dùng. Trong hai công cụ đó bạn mở mục Local Policy\ User Rights Assignment để thêm ,bớt quyền hạn cho người dùng hoặc nhóm .Ta chọn quyền cần cấp rồi ấn ADD hoặc REMOVE . +Access This Computer from the Network : cho phép truy cập đến máy tính này thông qua mạng +Act as Part of the Operating System :cho phép các dịch vụ chứng thực ở mức thấp +Add Workstations to the Domain : cho phép thêm tài khoản vào vùng (domain) +Back Up Files and Directories : cho phép sao lưu dự phòng tập tin và thư mục +Bypass Traverse Checking :cho phép người dùng duyệt qua cấu trúc thư mục .nếu không có quyền xem + Change the System Time :thay đổi giờ hệ thống + Create a Pagefile :tạo 1 trang tập tin + Create a Token Object :cho phép tạo thẻ bài nếu dùng NTCreate Token API. + Create Permanent Shared Objects :tạo 1 đối tượng thư mục + Debug Programs : cho phép sử dụng chương trình DEBUG vào bất kì tiến trình nào + Deny Access to This Computer from the Network :cho phép khóa tài khoản người dùng hoặc nhóm truy cập đến máy tính này từ mạng + Deny Logon as a Batch File :từ chối logon như 1 file batch+ Deny Logon as a Service :từ chối logon như 1 tác vụ (service) + Deny Logon Locally: từ chối người dùng hoặc nhóm đăng nhập đến máy cục bộ Hình 6 + Enable Computer and User Accounts to Be Trusted by Delegation : cho phép tài khoản người dùng hoặc nhóm được ủy quyền cho người dùng hoặc máy tính + Force Shutdown from a Remote System :cho phép tắt máy tính từ hệ thống điều khiển từ xa + Generate Security Audits : cho phép tao entry vào Security log. + Increase Quotas :điều khiển hạn ngạch các tiến trình + Increase Scheduling Priority : Quy định một tiến trình có thể tăng hoặc giảm độ ưu tiên đã được gán cho tiến trình khác. + Load and Unload Device Drivers :cho phép cài đặt hoặc gỡ bõ driver của thiết bị khác + Lock Pages in Memory :khóa trang trong vùng nhớ + Log On as a Batch Job : Cho phép một tiến trình logon vào hệ thống và thi hành một tập tin chứa các lệnh hệ thống. + Log On as a Service : Cho phép một dịch vụ logon và thi hành một dịch vụ riêng. + Log On Locally : Cho phép người dùng logon tại máy tính Server. + Manage Auditing and Security Log : Cho phép người dùng quản lý Security log. + Modify Firmware Environment Variables : Cho phép người dùng hoặc một tiến trình hiệu chỉnh các biến môi trường hệ thống. + Profile System Performance : Cho phép người dùng giám sát các tiến trình hệ thống thông qua công cụ Performance Logs and Alerts. + Remove Computer from Docking Station : Cho phép người dùng gỡ bỏ một Laptop thông qua giao diện người dùng của Windows 2003 + Replace a Process Level Token : Cho phép một tiến trình thay thế một token mặc định mà được tạo bởi một tiến trình con. + Restore Files and Directories : cho phép phục hồi tập tin và thư mục + Shut Down the System :cho phép tắt hệ thống + Synchronize Directory Service Data : Cho phép người dùng đồng bộ dữ liệu với một dịch vụ thư mục. + Take Ownership of Files or Other Objects : Cho người dùng tước quyền sở hữu của một đối tượng hệ thống. Hình 6.2 2.4 Thuộc tính bảo mật Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server khai báo thêm các thông số nhằm tăng tính bảo mật cho hệ thống như: không cho phép hiển thị người dùng đã logon trước đó hay đổi tên tài khoản người dùng tạo sẵn (administrator, guest). Trong hệ thống Windows Server 2003 hỗ trợ cho chúng ta rất nhiều lựa chọn bảo mật, nhưng trong giới hạn đồ án này chúng ta chỉ khảo sát các lựa chọn thông dụng Hình 7.1 +Shutdown: allow system to be shut down without having to log on : cho phép tắt hệ thống mà không cần logon + Audit : audit the access of global system objects : Giám sát việc truy cập các đối tượng hệ thống toàn cục. + Network security: force logoff when logon hours expires : Tự động logoff khỏi hệ thống khi người dùng hết thời gian sử dụng hoặc tài khoản hết hạn. + Interactive logon: do not require CTRL+ALT+DEL : Không yêu cầu ấn ba phím CTRL+ALT+DEL khi logon. + Interactive logon: do not display last user name : Không hiển thị tên người dùng đã logon trên hộp thoại Logon. + Account: rename administrator account : Cho phép đổi tên tài khoản Administrator thành tên mới + Account: rename guest account : Cho phép đổi tên tài khoản Guest thành tên mới +Account: Administrator account status :tài khoản admin Hình 7.2 +account:guest account status :tài khoản guest +account:limit local account use of blank passwords to console logon only : giới hạn tài khoản cục bộ sử dụng mật khẩu trắng khi logon +Audit:audit the user of backup and restore privilege :cho phép người dùng tạo lưu trữ và phục hồi đặc quyền +Audit: Shut down system immediately if unable to log security audits :tắt hệ thống ngay lập tức nếu bảo mật cho phép +DCOM:machine access restrictions in security +shutdown:clear vitual memory pagefile :xoa pagefile bộ nhớ ảo Hình 7.3 3,Sự kiện dăng nhập Giúp người dùng sử dụng dễ dàng hơn, hệ thống ,quản lý thông tin của người dùng khi đăng nhập, các lựa chọn thiết lập, lưu trữ thông tin người dùng khi đăng nhập . Hình 7.4 4,Giới thiệu về IPsec 4.1,Định nghĩa -Ipsec(IP scurity) là 1 giao thức hỗ trợ bảo mật dựa trên địa chỉ IP -Giao thức hoạt động ở tầng thứ 3 network trong mô hình OSI nên nó an toàn và tiện lợi hơn tầng APPLICATION 4.2,Cách sử dụng Để sử dụng IPsec bạn phải tạo ra qui tắc (rule) .1 qui tắc là sự kết hợp của :bộ lọc (filter) và hành động (action) 4.3,Tác dụng -IPsec của microsoft hỗ trợ 4 tác động (action),các tác động này giúp việc trao đổi thông tin ,dữ liệu giữa các máy tính an toàn hơn. +Block transmissions: có chức năng chặn những gói dữ liệu được truyền +Encryp transmissions:mã hóa dữ liệu được truyền +Sign transmissions: ký tên vào các gói dữ liệu được truyền nhằm tránh giã mạo +Permit transmissions:cho dữ liệu truyền thông qua dựa vào các qui tắc (rule) 4.4,Tìm hiểu Cách vào IPsec: StartàProgramsàadministrative toolsàdefault domain controller security settingsàIP security policies on local machine a, Cách thêm bộ lọc mới Nhấp phải vào IP security policies on active directory àmanage ip filter lists and filter actionsà chọn tab manage ip filter listsàadd để thêm Hình 8 Ấn NEXTàđiền tênàrồi ấn add Hình 9 Rồi chọn mirrored …. Để cho qui tắc có tác dụng qua lại giữa 2 máy Hình 10 Đến điền địa chỉ nguồn Hình 11 Đến điền dịa chỉ máy đích Hình 13 Chọn kiểu kết nối Hình 14 FINISH àok b,Thiết lập tác động lọc Chọn tab manage filter actions Hình 10 ấn add để thêmàđiền tênàaddàNEXT Hình 16 Chọn kiểu lọc Hình 17 Chọn tác động Hình 18 Bảo mật IP Hình 19 c, Cách kết hợp bộ lọc và tác động bảo mật Nhấp phải chuột IP security on active directoryàgreate ip security policyàadd để thêm IP mớiàđiền tên(hình 20) Hình 20 àchọn điểm kết thúc của kênh tunnel Hình 21 àchọn kiểu kết nối mạng Hình 22 àchọn bộ lọc IP Hình 23 àchọn tác động lọc Hình 24 àphương pháp xác nhận Hình 25 àFINISHàOK Trong khung cửa sổ chính công cụ domain controller policyànhấp phải vào tên ip vừa tạo chọn assign để chính sách này hoạt động trên server d,Các chính sách IP tạo sẵn CLIENT: qui định máy của bạn không chủ động sử dụng IPsec trừ khi đối tác yêu cầu.Và nó cho phép kết nối được với máy dung IPSEC hoặc không dùng IPSEC -SERVER:qui định máy bạn cố gắng khởi tạo IPSEC mỗi khi kết nối với máy tính khác.Nhưng nếu máy CLIENt không thể dùng IPSEC thì server vẫn chấp nhận kết nối không dùng IPSEC -Secure Server:bắt buộc sử dụng IPSEC trong mọi cuộc trao đổi dữ liệu trong server e,Kết luận IPSEC là 1 phần hỗ trợ giúp việc trao đổi dữ liệu được nâng cao và an toàn hơn II,Những biện pháp bảo mật nâng cao 1,Tìm hiểu về EFS trên WorkGroup 1.1,Giới thiệu và mục đích EFS là chữ viết tắt của Encrypt File System dược dung để mã hóa hệ thống tập tin thông qua certificate. Tạo Recovery Agent để phục hồi dữ liệu khi user bị mất Certificate 1.2,Chuẩn bị -1 máy chạy window xp -Tạo 1 user và logon bằng user. Vừa tạo ở đây đặt tên là nguyen van dai -Tao 1 thư mục test ,ở đây là trên ổ c tên là test 1.3, Mã hóa thư mục a. Logon U1. Start à Run à mmc à OK b. Chọn menu File à Add/Remove Snap-in … à Certificates à Add à Close à OK. ð Hiện tại trong Personal chưa có gì cả !!!(hình 26) Hình 26 Chọn menu File à Save à Desktop. Đặt tên file là Certificate_u1 c. Mở Windows Explorer à tạo thư mục C:\Test Click nút phải chuột trên thư mục Testà Properties Hình 27 d. Trong màn hình TestEFS Properties à Advanced.(hinh 28) Hình 28 Trong màn hình Advanced Attributes à đánh dấu chọn ô Encrypt contents to secure data à OK à Apply à OK(hình 29) Hình 29 e. Trong thư mục Test, tạo 1 file tên u1.txt với nội dung là “Day la file cua u1” f. Double click biểu tượng Certificate_u1 trên desktop à Lúc này, trong Certificates của Personal có 1 certificate của U1,đây là certificate “self singing” của u1 Hình 30 Logon Administrator, mở file C:\TestEFS\u1.txt ð không mở được. Hình 31 1.4. Admin tạo Recovery Agent a. Logon Administrator. Vào Start menu à Run à cmd b. Tại màn hình Command Prompt, gõ các lệnh sau: - CD \ - MD ABC - CD ABC - Trong ABC, đánh lệnh cipher /r:filename (VD : cipher /r:local_recover) và Enter. Chương trình sẽ tạo ra 2 file .CER và .PFX Sau đó quay về Windows Hình 32 4.Áp policy để Recovery Agent có khả năng đọc các file bị mã hóa a. Logon administrator. Vào Start à Run à gõ gpedit.msc à OK b. Chọn Computer Configuration à Windows Settings à Security Settings à Public Key Policies à Click nút phải chuột trên Encrypting File System – chọn Add Data Recovery Agent …(hình 33) Hình 33 c. Màn hình Welcome … xuất hiện à Next. Trong màn hình Select Recovery Agents à chọn Browse Folders Hình 34 d. Tìm đến thư mục C:\ABC à chọn file local_recover.cer à Open(hình 35) (Lưu ý : file .cer) Hình 35 e. Trong màn hình Select Recovery Agents à Next. f. Trong màn hình Completing the Add Recovery Agent Wizard à Finish(hình 36) Hình 36 Thoát ra Command prompt, gõ lệnh : gpupdate /force g. Vào Start à Open : mmc – OK à Trong màn hình Console1 à Menu File – Add\Remove Snap-in Hình 37 Add à Certificates à Chọn My user account à Finish – OK Hình 38 h,Click nút phải chuột trên Personal à All Tasks à Import Hình 39 f. Màn hình Welcome … xuất hiện à Next. Chỉ đến thư mục C:\ABC – Chọn file có biểu tượng chìa khóa (có phần mở rộng là *.pfx) Hình 40 i. Trong màn hình File to Import , nhấn Next k. Trong màn hình Password, chọn ô Mark this key as exportable … à Next …. Finish Hình 41 n, Kết quả sau khi chỉnh certificates Hình 42 2,EFS trên Domain 1.1, Mục đích : Tương tự EFS trên WorkGroup 1.2, Chuẩn bị : 1 máy làm Domain Controller Install Enterprise CA Đặt password cho Administrator là 123 Tạo User có username/password u2/123 Cho u2 quyền logon locally Tạo thư mục C:\TestEFS 1.3,Thực hiện : 1.3.1,Logon bằng user u2. Tạo 1 file u2.txt. Encrypt file này a. Logon U2, đặt thuộc tính Encrypt cho thư mục C:\TestEFS (Tương tự trên XP) b. Sau khi mã hóa file xong, click nút phải chuột trên u2.txt à properties à Advanced à Details c. Trong màn hình Encryption Detail …, để ý trong phần Data Recovery Agents For This File As Defined By Recovery Policy à có Administrator è Admin sẽ đọc được file mà u2 mã hóa (Default). Nhấn OK để thoát ra. d. Vào Administrative Tools à Chuột phải trên Certification Authority à chọn Run as àUserName/Password: Administrator/123 e. Trong thư mục Issued Certificates à chú ý thấy u2 tự xin 1 certificate dùng cho việc mã hóa. Thoát ra khỏi màn hình Certificate Authority – không cần lưu lại. 1.3.2. Logon Administrator, mở file C:\TestEFS\u2.txt à mở được à Trong hệ thống Domain, Administrator mặc nhiên là Recovery Agent 3.Bảo mật nhóm quản trị nội bộ trên các desktop Có ba nhiệm vụ điển hình bạn cần thực hiện để bảo vệ nhóm Local Administrators. Windows Server 2003 và Windows Vista SP1 (được cài đặt RSAT) sẽ mang đến cho bạn những điều khiển mới đáng kinh ngạc làm cho các cấu hình này trở nên nhẹ nhàng! Nếu công ty của bạn cũng giống như hầu hết các công ty khác thì sẽ có nhiều người dùng có quyền quản trị viên nội bộ trên các máy trạm của họ. Có nhiều giải pháp để loại trừ sự cần thiết này, đây chính là hướng mà mọi công ty đều muốn thực hiện. Khi người dùng đăng nhập vào hệ thống với tư cách một quản trị viên nội bộ, các nhân viên CNTT sẽ không thể kiểm soát được người dùng đó hoặc máy tính của họ. Chính vì vậy để bảo vệ nhóm quản trị viên nội bộ trên các máy trạm bạn cần phải sử dụng đến một số công cụ mạnh. Có ba nhiệm vụ bạn cần thực hiện để bảo vệ nhóm người dùng này sẽ được giới thiệu đến trong bài. Windows Server 2003 và Windows Vista SP1 (được cài đặt RSAT) sẽ mang đến cho bạn những điều khiển mới đáng kinh ngạc làm cho các cấu hình này trở nên nhẹ nhàng! Nhiệm vụ 1: Remove tài khoản người dùng trong miền Nhiệm vụ ban dầu trong việc bảo vệ nhóm quản trị viên nội bộ là bảo đảm rằng người dùng sẽ không nằm trong hội viên của nhóm nữa. Điều này nói bao giờ cũng dễ hơn thực hiện vì hầu hết các công ty đều cấu hình tài khoản miền của người dùng là thành viên trong nhóm này khi cài đặt máy tính của người dùng. Hãy xem xét đến kịch bản ở nơi mà bạn giải quyết vấn đề với những người dùng đang đăng nhập vào máy tính của họ với quyền quản trị viên nội bộ và lúc này bạn cần phải remove các tài khoản người dùng trong miền từ nhóm quản trị viên nội bộ trên mỗi máy trạm trong môi trường sản xuất của mình. Bạn có tới 10.000 máy trạm, laptop, và những người dùng từ xa, chính vì vậy có một nhiệm đặt ra với bạn. Nếu tạo một kịch bản để thực hiện nhiệm vụ này thì bạn sẽ phải dựa vào người dùng để đăng xuất và quay trở về kịch bản để tiếp tục chạy. Không bao giờ xảy ra đối với khoảng một nửa các máy trạm, chính vì vậy bạn cần đến một cách khác. Một giải pháp hoàn hảo ở đây là sử dụng Local Group – Group Policy Preference có thể thực hiện nhiệm vụ này trong khoảng 90 phút. Để thực hiện công việc này, bạn chỉ cần soạn thảo Group Policy Object (GPO) và cấu hình chính sách sau: User Configuration\Preferences\Control Panel Settings\Local Users và Groups\New\Local Group, thao tác sẽ mở ra hộp thoại New Local Group Properties như thể hiện trong hình 1.1. Sau khi mở trang thuộc tính này, hãy chọn “Remove the current user”. Tùy chọn này sẽ ảnh hưởng đến tất cả các tài khoản trong phạm vi quản lý của GPO có thiết lập này. Thiết lập này sẽ áp dụng trong suốt quá trình refresh ngầm của Group Policy tiếp theo, quá trình diễn ra không đến 90 phút. Hình 1.1: Local Group GPP cho phép bạn kiểm soát thành viên của nhóm quản trị viên nội bộ Nhiệm vụ 2: Thêm Domain Admin và Local Administrator Bước kế tiếp trong quá trình bảo vệ nhóm quản trị viên của nội bộ là bảo đảm rằng nhóm toàn cục Domain Admins và tài khoản local Administrator đều được thêm vào nhóm local Administrators trên mỗi desktop. Có thể sử dụng chính sách Restricted Groups (các nhóm hạn chế) có trong Windows Active Directory Group Policy để thực hiện nhiệm vụ này. Tuy nhiên vấn đề với giải pháp này ở chỗ chính sách này là một chính sách “xóa và thay thế”, không phải là chính sách theo đúng nghĩa nối thêm dữ liệu. Chính vì vậy khi bạn cấu hình một chính sách để thực hiện nhiệm vụ này thì bạn sẽ xóa toàn bộ nội dung của nhóm local Administrators và thay thế nó bằng hai tài khoản này. Bằng cách sử dụng chính sách Local Users and Groups được mô tả trong nhiệm vụ 1, bạn không chỉ có thể remove người dùng đã đăng nhập mà còn có thể bổ sung thêm hai tài khoản chính để bảo đảm có đúng các đặc quyền quản trị được thiết lập trên mỗi máy trạm, xem thể hiện trong hình 2. Hình1.2: Gắn thêm thành viên của nhóm local Administrators Nhiệm vụ 3: Revome các tài khoản cụ thể Bước cuối cùng trong công việc bảo vệ nhóm local Administrators là bảo đảm rằng chỉ có các tài khoản xác thực mới có quyền hội viên. Trong nhiều trường hợp, có những nhóm trong miền được thêm vào nhóm local Administrators để thực hiện một nhiệm vụ nào đó, hoàn tất một dự án hoặc thực hiện việc bảo trì. Nếu các nhóm này không cần thiết phải nằm trong nhóm local Administrators thì bạn hoàn toàn có thể remove chúng bằng chính sách Local Users and Groups mới. Trong một trường hợp cũng tương tự như vậy mà bạn đã thêm vào hai tài khoản trong nhiệm vụ 2 thì cũng có thể thêm các tài khoản vào chính sách cần được remove. Để thực hiện điều này, bạn hãy chọn tùy chọn “Remove from this group” khi thêm tài khoản vào chính sách, xem thể hiện trong hình 3. Hình 1.3: Remove một nhóm hoặc một người dùng nào đó từ nhóm local Administrators Lúc này bạn có thể kiểm soát được toàn bộ thành viên của nhóm local Administrators, thậm chí còn có thể remove các tài khoản nhóm và người dùng không cần thiết. Có được các công cụ và các Rule Để bạn có thể lợi dụng các thiết lập của Group Policy Preferences trong Windows Server 2008 và Vista bạn chỉ cần có một trong những thứ dưới đây đối với mạng của mình: Windows Server 2008 Server Windows Vista SP1, đã cài đặt Remote Server Administrative Toolset Cả hai hệ điều hành này đều có Group Policy Management Console và Group Policy Management Editor mới và đã được cải tiến. Các thiết lập có trong Group Policy Preferences mới có thể áp dụng cho các hệ điều hành dưới đây: Windows XP SP2 và phiên bản cao hơn Windows Server 2003 SP1 và phiên bản cao hơn Windows Vista SP1 và phiên bản cao hơn Windows Server 2008 và phiên bản cao hơn Tuy nhiên bất kỳ phiên bản Windows 2000 nào lại không được! Kết luận 100% sự thật ở đây là các nhân viên CNTT không hề có điều khiển trên những máy trạm mà người dùng có các đặc quyền quản trị viên. Chính vì vậy tất các các công ty cần phải thực thi việc kiểm soát các máy trạm cũng như bảo vệ nhóm quản trị nội bộ. Các bước được giới thiệu trong bài này hoàn toàn có thể nhờ có sự trợ giúp của Group Policy Preferences có trong Windows Server 2008 và Vista. Chỉ cần một vài click, bạn có thể sẽ có được 100% quyền kiểm soát đối với các máy trạm của mình và nhóm quản trị nội bộ. Các thiết lập này sẽ áp dụng trong vòng khoảng 90 phút, có hiệu lực cho tất cả các máy tính nằm trong miền và trong mạng. 4,Bảo mật trên Server 2003 Domain Controllers 4.1, giới thiệu Vì máy Domain Controller quản lý Windows domain và tất cả các máy tính nằm trong Domain đó, nên việc bảo vệ nó phải được quan tâm một cách thích đáng. Trong phần, chúng ta sẽ điểm qua một vài việc cần phải làm để bảo vệ Domain Controllers. 4.2, Thực hiện Bảo vệ Domain controller (DCs) gồm 3 bước Bước 1: Bảo vệ vật lý các DCs a. Gỡ bỏ tất cả các ổ đĩa có thể tháo ra được như ổ mềm, ổ CD/DVD, các ổ cứng gắn ngoài, ổ USB,…Điều này sẽ gây khó khăn cho kẻ xâm nhập khi muốn chép một chương trình nào đó (ví dụ virus) vào máy hoặc chép dữ liệu từ máy ra. Các cổng có thể dùng gắn các thiết bị bên ngoài vào như USB/IEEE 1394, cổng serial, cổng parallel, cổng SCSI…, nếu bạn không có nhu cầu dùng chúng thì nên disable (thông qua Bios) hoặc tháo ra khỏi server luôn.b. Khóa thùng server để ngăn cản việc lấy cắp ổ cứng hoặc gây hại đến các thành phần trong máy.c. Đặt server vào cabinet và khóa lại và bảo vệ hệ thống điện cho server để đảm bảo không bị ngắt điện. Bước 2: Bảo vệ các DCs khỏi việc tấn công từ xa Một khi bạn đã hài lòng với việc bảo vệ server ở tần vật lý, việc tiếp theo cần phải chú ý là ngăn cản các hacker, cracker và attacker, không cho phép cho truy nhập vào DCs qua đường mạng. Tất nhiên, phương thức “tốt nhất” là bỏ các DCs ra khỏi mạng – nhưng tất nhiên điều này là không thể. Thay vì thế, bạn cần phải làm các bước sau để chống lại các phương pháp tấn công phổ biến Bước 3: Bảo mật tài khoản DomainMột trong những cách dễ nhất (đối với hacker) và cũng là một trong nhưng cách phổ biến nhất để xâm nhập vào mạng và các DCs là truy cập vào bằng một tài khoản và mật khẩu hợp pháp.nếu bạn sử dụng tài khoản quản trị mặc định mà tên của nó (Administrator) thì tất cả các hacker đều biết. Công việc của anh ta bây giờ là chỉ cần tìm thêm một thông tin nữa (mật khẩu). Và không giống như các tài khoản thông thường, tài khoản quản trị mặc định không bị locked out (tạm khóa) nếu vượt quá số lần đăng nhập sai. Điều này có nghĩa là hacker chỉ cần đoán (sử dụng phương pháp brute-force) các mật khẩu cho đến khi đăng nhập được. Điều này là lý do tại sao bạn nên đổi tên tài khoản quản trị có sẵn (built-in) này. Tất nhiên, việc đổi tên cũng không giúp gì mấy nếu bạn quên xóa dòng mô tả mặc định (“Built-in account for administering the computer/domain”). Ý tưởng ở đây là làm sao để kẻ tấn công khó đoán được tài khoản có quyền quản trị. Việc này chỉ có nghĩa là “làm chậm lại” quá trình tấn công. Một người có kinh nghiệm sẽ dễ dàng phát hiện ra điều này. Trong Windows 2003, bạn có thể disable hoàn toàn tài khoản administator built-in. Trong trường hợp này, đầu tiên bạn phải tạo một tài khoản khác và cấp quyền quản trị. Tài khoản guest nên được disable (như mặc định). Nếu bạn cần cấp quyền guest cho ai đó, bạn nên tạo một tài khoản mới và giới hạn quyền truy cập của tài khoản đó.Tất cả các tài khoản – mà đặc biệt là tải khoản quản trị - nên có mật khẩu mạnh bao gồm ít nhất là 8 ký tự: chữ, số và các ký tự đặc biệt, chữ in hoa và in thường, và không được có trong từ điển. Các người dùng cũng phải chú ý không viết mật khẩu ra giấy cũng như chia sẻ mật khẩu đó với một người khác (social engineering là một trong những cách phổ biến nhất mà các hacker sử dụng), và một chính sách về việc thay đổi mật khẩu thường xuyên phải được đặt ra. Bước 4 Đặt lại đường dẫn cho AD DatabaseCơ sở dữ liệu Active Directory (AD) bao gồm các thông tin nhạy cảm và cần phải được bảo vệ. Một cách để làm việc này là di chuyển các file từ đường dẫn mặc định, nơi mà các kẻ tấn công hy vọng sẽ tìm thấy chúng (trên system volume). Để an toàn hơn nữa, nên xem xét việc đặt chúng lên các striped hay mirrored volume để có thể khôi phục lại chúng trong trường hợp đĩa cứng bị hỏng.Các file trên bao gồm:a. Ntds.ditb. Edb.logc. Temp.edbGhi chú: Việc di chuyển các tập tin AD database sang một đĩa cứng vật lý khác cũng giúp tăng hiệu quả của DC.Bạn có thể dùng tiện ích NTDSUTIL.EXE để di chuyển database và log file. Cách làm như sau:1. Khởi động lại máy domain controller 2. Bấm F8 lúc startup để truy cấp vào tùy chọn Advanced 3. Từ menu, chọn Directory Services Restore Mode 4. Nếu bạn có hơn một phiên bản của Windows Server 2003 cài trên máy, chọn phiên bản đúng và bấm Enter.5. Tại màn hình đăng nhập, gõ vào mật khẩu administrator được nhập trong quá trình DCPROMO(hình a) Hình a 6. Chọn Start --> Run và gõ cmd, Tại cửa sổ lệnh, gõ NTDSUTIL.EXE 7. Tại dấu nhắc của NTDSUTIL, bấm FILES 8. Chọn database và log file bạn muốn di chuyển. Bấm MOVE DB TO hay MOVE LOGS TO.9. Chọn QUIT 2 lần để quay về cửa sổ command và đóng cửa sổ command lại.10. Khởi động lại và đăng nhập vào Windows Server 2003 như bình thường Bước 5 Bảo vệ thông tin mật khẩu với SyskeyMột trong nhưng thông tin nhạy cảm nhất được chứa trong Active Directory là thông tin về mật khẩu của các tài khoản trong Domain. Chương trình System Key (Syskey) được dùng để mã hóa thông tin mật khẩu của tài khoản được chứa trong directory services của domain controller.Có 3 chế độ trong Syskey. Ở mode thứ nhất, được bật mặc định trên tất cả các Server 2003, một khóa hệ thống (system key) được tạo ra một cách ngẫu nhiên và phiên bản đã được mã hóa của khóa được lưu trữ cục bộ. Trong mode này, bạn vẫn có thể khởi động lại máy một cách bình thường.Trong mode 2, khóa hệ thống được tạo ra và lưu trữ giống như mode 1, nhưng một mật khẩu