Đề tài Tìm hiểu các tính năng và dịch vụ của Window server

pdf 96 trang yendo 6901
Bạn đang xem 20 trang mẫu của tài liệu "Đề tài Tìm hiểu các tính năng và dịch vụ của Window server", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfde_tai_tim_hieu_cac_tinh_nang_va_dich_vu_cua_window_server.pdf

Nội dung text: Đề tài Tìm hiểu các tính năng và dịch vụ của Window server

  1. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh LỜI CẢM ƠN Để hoàn thành chương trình học của hệ Cao Đẳng và làm đề án tốt nghiệp này, chúng em đã nhận được sự hướng dẫn, giúp đỡ và gớp ý kiến nhiệt tình của quý thầy cô Trường Cao Đẳng Nguyễn Tất Thành và Trường Trung Cấp Kinh Tế- Kỹ Thuật Tân Việt. Trước hết, em xin chân thành cảm ơn đến quí thầy cô Trường Trung Cấp Kinh Tế- Kỹ Thuật Tân Việt, đặc biệt là những thầy cô đã tận tình dạy bảo cho chúng em suốt thời gian học tập tại trường. Em xin gửi lời biết ơn sâu sắc đến Thạc Sỉ - Nguyễn Minh Thi. Thầy đã dành rất nhiều thời gian và tâm huyết hướng dẫn nghiên cứu và giúp em hoàn hành đề án tốt nghiệp. Nhân đây, tôi xin chân thành cảm ơn Ban Giám hiệu Trường Trung Cấp Kinh Tế- Kỹ Thuật Tân Việt cùng quí thầy cô trong Khoa Công Nghệ Thông Tin đã tạo rất nhiều điều kiện để em học tập và hoàn thành tốt khóa học. Đồng thời, em cũng xin cảm ơn quí anh, chị và ban lãnh đạo Công Ty Cổ Phần SX – TM – DV Phúc Nguyên đã tạo điều kiện cho em khảo sát và thực tập qui trình làm việc của hệ thống để viết báo cáo tốt nghiệp và hoàn thành được đề án. Mặc dù em đã có nhiều cố gắng hoàn thiện đề án bằng tất cả sự nhiệt tình và năng lực của mình, tuy nhiên không thể tránh khỏi những thiếu sót. Rất mong được sự đóng góp quí báo của các thầy cô và các bạn. TP.HCM, ngày tháng 3 năm 2010 Sinh viên thực hiện Nguyễn Thênh Đặng Hữu Minh Trang 1
  2. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh ĐỀ CƯƠNG CHI TIẾT Tên Đề Tài: Tìm hiểu các tính năng và dịch vụ của windows server 2008 Giáo viên hướng dẫn: Thạc Sỉ - Nguyễn Minh Thi Thời gian thực hiện: Từ ngày 13/01/2010 đến ngày 13/03/2010 Sinh viên thực hiện: Nguyễn Thênh ,Đặng Hữu Minh Loại Đề Tài: Tìm hiểu các tính năng và dịch vụ của sever 2008 Nội dung đề tài: Tìm hiểu và nghiên cứu . Cài đặt và cấu hình các dich vụ trong windows như cung cấp địa chỉ ip (DHCP, DNS ) Tìm hiểu về mạng ảo sever. Tìm hiểu về Active Directory Recycle Bin trong Windows Server 2008 R2. Tìm hiểu về Audit Policy. Hướng phát triển của windows server ngày càng bảo mật cao hơn để ngăn hacker tấn công vào hệ thống mạng. Kế hoạch thực hiện: Từ 13/01 – 20/02 tìm hiểu về windows server 2008 với các dịch vu . Từ 20/02 - 02/03 cài đặt windows sever 2008 và các dịch vu của mới trong windows server để triển khai hệ thống mạng. Từ 02/03 – 12/03 Tiến hành viết báo cáo về đề án windows server 2008. Ngày 13/03/2010 Nộp Đề Án. Xác nhận của GVHD Ngày 13 tháng 03 năm 2010 Sinh viên thực hiện Th.S Nguyễn Minh Thi Nguyễn Thênh Đặng Hữu Minh Trang 2
  3. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Mục lục Chương 1 Mở Đầu 4 Chương 2 TỔNG QUÁT VỀ WINDOWS SERVER 2008 5 1) Windows Sever 2008 là gì ? 5 Chương 3 TÌM HIỂU VÀ NGHIÊN CỨU 8 1) Hệ Thống Windows Server 2008 Là gì ? 8 2) . Audit Policy là gì 9 3) Kiểm soát thành viên nhóm Administrator nội bộ 14 4) Thiết lập lại mật khẩu Administrator nội bộ 16 5) .UAC ( User Account Control) 19 6) Chính sách mật khẩu 20 7) Active Directory Recycle Bin trong Windows Server 2008 R2 LÀ GÌ? 27 Chương 4 CÀI ĐẶT WINDOWS SERVER 2008 ENTERPISE 32 1) Yêu cầu hệ thống 32 2) Quá trình cài đặt: 32 3) Xem các đối tượng đã xóa 40 4) .Xem Deleted Objects bằng tiện ích ldp.exe 41 5) Cách cài đặt Windows Virtualization Role trên Windows 2008? 48 6) Connection Manager Administration Kit 51 7) Thiết lập tường lửa và các mặc định bảo mật kết nối IPsec 70 8) Group Policy trong Windows Server 2008 84 9) Network Policy Server trong Windows Server 2008 là gì? 91 Chương 5 ĐỊNH HƯỚNG PHÁT TRIỂN 94 Chương 6 TÀI LIỆU THAM KHẢO 95 Trang 3
  4. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Chương 1 Mở Đầu Ngày nay, ngành công nghệ thông tin trên thế giới ngày càng phát triển mạnh mẽ, và ngày càng ứng dụng vào nhiều lĩnh vực như : kinh tế, khoa học kĩ thuật, quân sự, y tế, giáo dục và nó đã đáp ứng ngày càng nhiều yêu cầu của các lĩnh vực này, để phục vụ cho nhu cầu của con người. Với khả năng ứng dụng rộng rải của ngành công nghệ thông tin, với chính sách phát triển ngành công nghệ thông tin của nhà nước phù hợp và thiết thực. Cùng với sự phát triển của đất nước, cuốn theo đó là sự hình thành của các doanh nghiệp, với nhu cầu ngày càng mở rộng quy mô cơ sở. Trong quá trình quản lý nhân sự cũng như bảo mật thông tin quan trọng là một đòi hỏi vô cùng bức thiết với các doanh nghiệp đó. Sự phát tiển ngày càng cao của các hệ điều hành, cũng như các hổ trợ của nó trong việc quản lý cũng ngày càng phát triển. Nổi bật của Windows Server 2008 . Qua đề tài này, sẽ tìm hiểu đôi nét về các dịch vụ của nó, giúp cho người quản trị cũng như người sử dụng dễ dàng hơn trong thao tác khi làm việc trên môi trường củaWindowsServer2008 Trang 4
  5. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Chương 2 TỔNG QUÁT VỀ WINDOWS SERVER 2008 1) Windows Sever 2008 là gì ? 27 tháng 2 năm 2008 Microsoft mới chính thức đưa ra bản Windows Server 2008, và bản SP1 cho Vista nhưng ngay từ lúc này những công nghệ của Windows Server 2008 đã bắt đầu được cộng đồng IT nghiên cứu. Dưới đây là 10 lý do đầu tiên để cài đặt Windows Server 2008. Mạng ảo( Windows Server Virtualization.) Windows Server 2008 sẽ bao gồm cả tính năng Windows Server Virtualization (WSV), một công cụ đầy hứa hẹn, đáp ứng yêu cầu tận dụng hiệu năng xử lý của thiết bị phần cứng, quản lý công nghệ ảo hoá dễ dàng, nhằm giảm thời gian và chi phí cho các ứng dụng. Nâng cao khả năng đáp ứng của hệ thống. Đặc biệt với những nhà nghiên cứu về công nghệ đây thực sự là một công cụ hữu dụng trong khi nghiên cứu, thử nghiệm Datacenters. Bảo mật và ứng dụng( A World-Class Web and Applications Platform.) Windows Server 2008 đáp ứng yêu cầu bảo mật, dễ dàng trong quản lý, phát triển và độ tin cậy lớn khi hosting các ứng dụng, dịch vụ trên nền Web. Các tính năng ao gồm: Đơn giản trong quản lý, nâng cao bảo mật, hiệu năng xử lý và hỗ trợ Web với Internet Information Service 7.0 (IIS7), ASP.NET, Windows Communication Foundation và Microsoft Windows SharePoint Services. Cải thiện hệ thống mạng( Improved Networking Performance). Windows Server 2008 được giới thiệu sẽ mang lại cải tiến lớn nhất về mạng từ khi ra đời Windows NT 4.0 cho đến nay. Các công nghệ như Receive Windows Autotuning, Receive Side Scaling, và Quality of Service (QOS) cho phép tổ chức khai thác hết các tính năng từ công nghệ mạng Gigabit Network. Kết hợp với IPSec và tính năng Windows Firewall với Advanced Security đáp ứng yêu cầu bảo mật hệ thống và quá trình truyền thông tin trên mạng. Tăng cường bảo mật và tuân thủ (Enhanced Security and Compliance). Windows Server 2008 được phát triển trong thời điểm yêu cầu bảo mật hệ thống là Trang 5
  6. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh vô cùng quan trọng. Luôn được bảo vệ, Windows Server 2008 chỉ cài đặt những services nào cần thiết cho máy chủ đáp ứng yêu cầu nào đó nhằm nâng cao hiệu năng và tính bảo mật. Ghi lại các quá trình xảy ra trong hệ thống (System Auditing) và mã hoá ổ cứng, Right Management Service đáp ứng yêu cầu bảo mật ngày càng cao, tính tiện lợi cho các doanh nghiệp sử dụng. Bback up các dữ liệu( Take Back Control Over Your Branch Offices). Việc quản lý các máy chủ, các dịch vụ, và bảo mật khi truy cập từ xa là yêu cầu của các nhà quản trị chuyên nghiệp. Windows Server 2008 với những tính năng cao cấp nhưng cũng cải thiện đáng kể việc quản trị, mang đến những công cụ đơn giản hiệu quả trong quản lý, bảo dưỡng hệ thống. Cac dịch vụ như Active Directory, bao gồm Read-Only Domain Controllers và Administrative role. Quản lý (Server Management Made Easier). Ngày qua ngày máy chủ của bạn dữ liệu ngày một nhiều hơn, các dịch vụ đôi khi cũng không chạy trơn tru nữa và bạn là nhà quản trị phải điều khiển từ xa để giám sát và giải quyết những sự cố liên quan. Tăng cường công tác Scripting và Tự động hóa (Enhanced Scripting and Task Automation. Một trong những công nghệ mới được cộng đồng IT đánh giá cao đó là: Công cụ quản trị dòng lệnh mới Windows PowerShell, hỗ trợ đầy đủ ngôn ngữ Scripting, giúp các nhà quản trị thực hiện các công việc một cách tự động. Với trọng tâm là ngôn ngữ scripting cho các nhà quản trị, với hơn 120 công cụ dòng lệnh, với các cấu trúc rõ dàng cho các ứng dụng cụ thể, Windows PowerShell cho phép người quản trị dễ dàng hơn trong việc quản lý, quản trị hệ thống và lên lịch cho những tác vụ cần chạy tự động. Tập trung ứng dụng truy cập (Centralized Application Access.) Với Window Server 2008, người dung sẽ được bảo mật trong khi truy cập vào các ứng dụng qua các port cơ bản trên firewall. Với Windows Server Terminal Service RemoteApp, chỉ cho một vài ứng dụng trên Windows, không cho phép điều khiển toàn bộ màn hình, và chạy các ứng dụng từ việc remote từ một máy client. Trang 6
  7. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Bảo vệ tính không lành mạnh từ Bước vào mạng. (Protect Unhealthy Computers from Entering the Network.) Network Access Protection (NAP) được sử dụng dể đảm bảo mọi máy tính kết nối vào hệ thống mạng của công ty đều phải chịu chính sách kiểm tra "healthy - sức khoẻ", nhằm giới hạn các máy tính không đáp ứng yêu cầu bảo mật truy cập vào hệ thống gây ảnh hưởng tới các máy tính khác. Khi một máy tính muốn truy cập vào hệ thống trước tiên phải đảm bảo các yêu cầu về trạng thái hệ thống, điều này cũng ngăn chặn việc Virus phát tán qua mạng Internal gây ảnh hưởng cho hệ thống mạng Tốt hơn Cùng với Windows Vista (Better Together with Windows Vista.) XP ra đời đồng nghĩa với dòng Server của nó là Windows Server 2003, Vista ra đời sẽ được kết hợp với Windows Server 2008. Cả hai đều là một phần trong một dự án của Microsoft, và chia sẻ nhau khá nhiều công nghệ: Bảo mật, lưu trữ, quản lý, mạng Và Microsoft sẽ kết hợp hai hệ điều hành này nhằm tạo ra một hệ thống an toàn từ Client cho tới Server. Đây là giải pháp Client – Server của Microsoft.Ngày nay khi công việc càng ngày càng nhiều khi mà con người không còn thời gian để tập luyện thể thao thì các công ty tung ra các công cụ, máy móc giúp con người tiết kiệm thời gian mà vẫn có thể có một cơ thể khỏe mạnh một đầu óc minh mẫn để làm việc. Trang 7
  8. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Chương 3 TÌM HIỂU VÀ NGHIÊN CỨU 1) Hệ Thống Windows Server 2008 Là gì ? a) Giới thiệu về Windows Server 2008 Hệ điều hành Windows Server 2008 là sản phẩm kế thừa những điểm mạnh của những phiên bản Windows Server trước đó. Ngoài ra hệ điều hành mới này cũng bổ sung những tính năng mới và những điểm cải tiến vượt trội như công nghệ ảo hóa, tăng cường tính năng bảo mật, công cụ hỗ trợ quản trị hệ thống Giúp tiết kiệm thời gian, giảm chi phí, góp phần củng cố hạ tầng công nghệ thông tin tại các tổ chức và doanh nghiệp. Các phiên bản của Windows Server 2008: Windows Server 2008 gồm có 8 phiên bản: Windows Server 2008 Standard là phiên bản bao gồm các tính năng sẵn có, bổ sung những cải tiến về Web và khả năng ảo hóa. Phiên bản này mang nền tảng Server mềm dẻo và tin cậy, giúp tết kiệm thời gian và giảm chi phí; những công cụ quản lý mạnh mẽ giúp người quản trị dễ dàng thực hiện hầu hết các nhiệm vụ quản trị. Đồng thời, phiên bản này cũng đảm bảo tốt nhiệm vụ bảo mật, bảo vệ hệ thống mạng. Windows Server 2008 Enterprise là nền tảng thích hợp với hệ thống mạng và các ứng dụng ở qui mô xí nghiệp, đặt biệt là những đơn vị có hạ tầng công nghệ thông tin yêu cầu cao về khả năng thay đổi và mở rộng. Windows Server 2008 Datacenter là phiên bản phù hợp với qui mô xí nghiệp, đặt biệt là yêu cầu về mở rộng của khả năng ảo hóa. Windows Web Server 2008 là phiên bản được thiết kế để xây dựng nên các Web Server. Tích hợp với Microsoft .NET Framework, phiên bản này cho phép bạn chạy nhanh chóng triển khai các ứng dụng Web và Web Services. Windows Server 2008 for Itanium-Based Systems phù hợp với những cơ sở dữ liệu lớn, những ứng dụng yêu cầu tính sẵn sàng và những khả năng mở rộng cao với số bộ vi sử lý có thể lên tới 64. Trang 8
  9. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Windows Server 2008 Standard without Hyper-V là Windows Server 2008 Standard không bao gồm Windows Server Hyper-V. Windows Server 2008 Enterpise là Windows Server 2008 Enterpise không bao gồm Windows Server Hyper-V. Windows Server 2008 Datacenter without Hyper-V là Windows Server Datacenter không bao gồm Windows Server Hyper-V. 2) . Audit Policy là gì Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy. Khi mở rộng nút này, ta sẽ thấy một danh sách các hạng mục thẩm định có thể cấu hình, như thể hiện trong hình 1 bên dưới. Hình.1: Các mục chính sách thẩm định Audit Policy cho phép ta chỉ định vùng bảo mật nào mình muốn ghi Trang 9
  10. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình.2: Mỗi một chính sách thẩm định cần phải được định nghĩa trước, sau đó kiểu thẩm định được cấu hình. a) .Đây là một giới thiệu vắn tắt về mỗi hạng mục điều khiển những gì: Audit account logon events(Kiểm toán tài khoản đăng nhập các sự kiện) – Hạng mục này sẽ thẩm định mỗi khi người dùng đăng nhập hoặc đăng xuất từ một máy tính được sử dụng để hợp lệ hóa tài khoản. Ví dụ dễ hiểu nhất cho tình huống này là khi một người dùng đăng nhập vào máy tính chạy hệ điều hành Windows XP Professional nhưng lại được thẩm định bởi domain controller. Do domain controller sẽ hợp lệ hóa người dùng, khi đó sự kiện sẽ được tạo trên domain controller. Thiết lập này không có trong bất cứ hệ điều hành nào, ngoại trừ Windows Server 2003 domain controller, thành phần được cấu hình để thẩm định sự thành công của các sự kiện. Đây cũng chính là cách tốt nhất để tất cả các máy chủ và domain controller thẩm định các sự kiện này. Tuy nhiên giải pháp này cũng xuất hiện trong nhiều môi trường, nơi các máy khách cũng được cấu hình để thẩm định các sự kiện này. Audit account management(quản lý tài khoản) – Hạng mục này sẽ thẩm định mỗi sự kiện có liên quan đến người dùng đang quản lý tài khoản (user, group hoặc computer) trong cơ sở dữ liệu của người dùng trên máy tính được cấu hình thẩm định. Những ví dụ cho các sự kiện này: Tạo một tài khoản người dùng Trang 10
  11. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Bổ sung thêm một người dùng vào nhóm Đặt lại tên một tài khoản người dùng Thay đổi mật khẩu của tài khoản người dùng Đối với domain controller, hạng mục này sẽ thẩm định những thay đổi đối với tài khoản miền. Đối với máy chủ và máy khách, hạng mục sẽ thẩm định Security Accounts Manager nội bộ và các tài khoản cư trú ở đó. Thiết lập này không được kích hoạt cho bất cứ hệ điều hành nào ngoại trừ Windows Server 2003 domain controller, được cấu hình để thẩm định thành công các sự kiện này. Audit directory service access(dịch vụ truy cập vào thư mục) – Hạng mục này sẽ thẩm định sự kiện có liên quan đến việc truy cập của người dùng vào đối tượng Active Directory (AD), AD này đã được cấu hình để kiểm tra sự truy cập của người dùng thông qua System Access Control List (SACL) của đối tượng. SACL của đối tượng AD sẽ chỉ rõ ba vấn đề sau: Tài khoản (của người dùng hoặc nhóm) sẽ được kiểm tra Kiểu truy cập sẽ được kiểm tra, chẳng hạn như đọc, tạo, thay đổi, Sự truy cập thành công hay thất bại đối với đối tượng Do mỗi một đối tượng đều có SACL riêng nên mức điều khiển sẽ rất chính xác. Thiết lập này không được kích hoạt cho bất cứ hệ điều hành nào ngoại trừ Windows Server 2003 domain controller, được cấu hình để thẩm định thành công các sự kiện này. Đây cũng là cách tốt nhất để cho phép thẩm định thành công hay thất bại đối với việc truy cập dịch vụ thư mục cho tất cả domain controller. Audit logon events(Kiểm toán sự kiện đăng nhập) – Hạng mục này sẽ thẩm định mỗi sự kiện có liên quan đến người dùng đang đăng nhập, đăng xuất hay đang tạo một kết nối mạng đến một máy tính được cấu hình để thẩm định các sự kiện đăng nhập. Một ví dụ điển hình về trường hợp sử dụng hạng mục này là thời điểm các sự kiện được ghi là thời điểm người dùng đăng nhập vào máy trạm của họ bằng tài khoản người dùng trong miền. controller, được cấu hình để thẩm định sự truy cập thành công của các sự kiện này. Trang 11
  12. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Audit object access (Kiểm toán, đối tượng truy cập)– Hạng mục này sẽ thẩm định sự kiện khi người dùng truy cập một đối tượng nào đó. Các đối tượng ở đây có thể là các file, thư mục, máy in, Registry key hay các đối tượng Active Directory. Trong thực tế, bất cứ đối tượng nào có SACL sẽ đều được nhóm vào nhóm thẩm định. Giống như việc thẩm định truy cập thư mục, mỗi một đối tượng đều có SACL riêng, cho phép thẩm định mục tiêu các đối tượng riêng biệt. Tuy nhiên không có đối tượng nào được cấu hình để thẩm định mặc định, điều đó có nghĩa rằng việc kích hoạt thiết lập này sẽ không tạo ra bất kỳ thông tin được ghi nào. Khi thiết lập được thiết lập và một SACL cho đối tượng được cấu hình, các entry sẽ hiển thị theo những cố gắng truy cập đăng nhập đối tượng. Thông thường chúng ta không cần cấu hình mức thẩm định này, nó chỉ cần thiết khi có nhu kiểm tra sự truy cập tài nguyên nào đó. Audit policy change (Kiểm soát chính sách thay đổi)– Hạng mục này sẽ thẩm định mỗi sự kiện có liên quan đến thay đổi của một trong ba lĩnh vực “policy” trên máy tính. Các lĩnh vực “policy” này gồm: User Rights Assignment - Chỉ định quyền người dùng Audit Policies – Các chính sách thẩm định Trust relationships – Các mối quan hệ tin cậy Thiết lập này không có trong bất cứ hệ điều hành nào ngoại trừ Windows Server 2003 domain controller, được cấu hình để thẩm định sự truy cập các sự kiện này. Thứ tốt nhất để thực hiện là cấu hình mức thẩm định cho tất cả các máy tính trong mạng. Audit privilege use (Kiểm soát đặc quyền sử dụng)– Hạng mục này sẽ thẩm định sự kiện có liên quan đến việc thực hiện một nhiệm vụ nào đó được điều khiển bởi một người dùng có thẩm quyền. Danh sách các quyền người dùng khá rộng, ta có thể quan sát trong hình 3 bên dưới. Trang 12
  13. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 2.3: Danh sách quyền người dùng cho một máy tính Windows Mặc định mức thẩm định này không được cấu hình để kiểm tra các sự kiện cho các hệ điều hành nào. Thứ tốt nhất để thực hiện là cấu hình mức thẩm định này cho tất cả các máy tính trong mạng. Audit process tracking (Kiểm toán quá trình theo dõi)– Hạng mục này sẽ thẩm định sự kiện có liên quan đến các quá trình trên máy tính. Ví vụ như các chương trình kích hoạt, quá trình exit, gián tiếp truy cập đối tượng, nhân bản. Mức thẩm định này sẽ tạo một số các sự kiện và thường không được cấu hình trừ khi một ứng dụng nào đó đang được kiểm tra với mục đích khắc phục sự cố. Audit system events (Kiểm toán, hệ thống các sự kiện)– Hạng mục này sẽ thẩm định sự kiện có liên quan đến việc khởi động lại máy tính hoặc “shut down”. Các sự kiện có liên quan với bản ghi bảo mật và bảo mật hệ thống cũng sẽ được kiểm tra khi cách thức thẩm định này được kích hoạt. Đây là một cấu hình thẩm định được yêu cầu cho máy tính cần kiểm tra không chỉ khi các sự kiện xuất hiện mà cả khi bản thân bản ghi được xóa. Thiết lập này không có trong các hệ điều hành ngoại trừ Windows Server 2003 domain controllers, được cấu hình để thẩm định sự truy cập các sự kiện này. Đây là cách thức tốt nhất để cấu hình mức thẩm định này cho tất cả các máy tính trong mạng. Event ID trên hạng mục thẩm định(Sự kiện ID. Trên hạng mục thẩm định) Trang 13
  14. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Nếu là một quản trị viên có nhiều năm kinh nghiệm chắc hẳn ta sẽ thấy một số sự kiện có tầm khá quan trọng khi nói đến việc kiểm tra và phân tích bảo mật. Điều đó nói lên rằng trong số hàng nghìn các sự kiện được tạo ra trong bản ghi bảo mật, ta cần tìm ra những sự kiện quan trọng trong số đông đó. Đây là một trích dẫn các sự kiện quan trọng nhất theo hạng mục để ta có thể dựa vào đó nhằm kiểm tra từ các bản ghi bảo mật. Top 5 thiết lập bảo mật trong Group của Windows Server 2008 Làm thế nào để giảm bớt bề mặt tấn công trên các máy tính desktop bằng cách sử dụng 5 thiết lập bảo mật trong Group Policy. Với trên 5000 thiết lập trong Group Policy mới của Windows Server 2008, có thể ta sẽ bị ngập giữa việc chọn xem thiết lập nào quan trọng nhất đối với bản thân và mạng của mình. Việc thi hành các thiết lập bảo mật cho desktop để tăng bảo mật một cách toàn diện chính là bằng cách giảm bề mặt tấn công sẵn có. Trong các thiết lập bảo mật thì có một số chỉ hỗ trợ cho Windows Vista, còn một số khác có thể tương thích với Windows XP SP2. 3) Kiểm soát thành viên nhóm Administrator nội bộ Một trong những thiết lập không an toàn nhất có thể được ta cho người dùng là truy cập quản trị nội bộ. Bằng cách add thêm một tài khoản người dùng vào nhóm Administrators nội bộ, người dùng sẽ được cho hầu như các kiểm soát tối thượng trên desktop của họ. Họ có thể thực hiện hầu hết các hành động, thậm chí nếu mạng được cấu hình để từ chối tuy cập này. Các hành động mà người dùng có thể thực hiện, nhờ có quyền quản trị nội bộ, gồm có: Remove máy tính của họ ra khỏi miền Thay đổi thiết lập Registry Thay đổi các điều khoản trên thư mục và file Thay đổi thiết lập hệ thống, như các thiết lập trong file nằm trong thư mục hệ thống. Cài đặt ứng dụng Hủy bỏ cài đặt các ứng dụng, các bản vá bảo mật và các gói dịch vụ. Truy cập vào Website được tường lửa cho phép Trang 14
  15. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Download và cài đặt ActiveX controls, các ứng dụng Web hoặc các ứng dụng mã độc khác được download từ Internet. Mặc dù yêu cầu người dùng cần phải có quyền quản trị viên để cho phép các ứng dụng nào đó hoạt động, tuy nhiên kiểu truy cập này thường rất nguy hiểm và dễ đặt desktop và toàn bộ mạng vào các tấn công bảo mật. Với Group Policy của Windows Server 2008, người dùng hiện có thể được remove từ nhóm Administrators nội bộ bằng cách chỉ dùng một chính sách đơn giản. Thiết lập này điều khiển Windows XP SP2 và các hệ điều hành cao hơn. Chúng là các thiết lập Preferences mới của Group Policy. Để truy cập vào thiết lập này, ta cần mở Group Policy Object và vào phần: User Configuration\Preferences\Control Panel Sau đó kích chuột phải vào Local Users and Groups. Từ menu, kích New - Local Group. Khi đó hộp thoại dưới đây sẽ xuất hiện. Hình 2.4: Group Policy Preference cho Local Group Để cấu hình chính sách, ta hãy đánh Administrators vào hộp văn bản Group, sau đó tích vào hộp kiểm “Remove the current User”. Trong lúc background kế tiếp của Group Policy refresh tất cả các tài khoản người dùng nằm trong phạm vi quản lý của GPO, nơi thiết lập này được cấu hình, thì các tài khoản sẽ được remove ra khỏi nhóm Administrators trên máy tính họ đăng nhập. Trang 15
  16. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh 4) Thiết lập lại mật khẩu Administrator nội bộ Kết hợp với thiết lập Group Policy đầu tiên, mật khẩu Administrator nội bộ cũng cần phải thiết lập lại. Điều này là do người dùng có các đặc quyền quản trị viên trước khi remove họ ra khỏi nhóm quản trị nội bộ. Sau khi tài khoản người dùng đã được remove ra khỏi nhóm quản trị nội bộ, mật khẩu tài khoản nhóm này cần phải được thiết lập lại. Nếu thiết lập này có thể được thực hiện đồng thời với việc remove tài khoản người dùng thì họ sẽ không thể biết hoặc thay đổi mật khẩu Administrator nội bộ mới. Thiết lập này kiểm soát Windows XP SP2 và các hệ điều hành mới hơn. Nó là thiết lập Group Policy Preferences mới. Để truy cập vào thiết lập này, ta mở Group Policy Object và vào: Computer Configuration\Preferences\Control Panel Sau đó kích chuột phải vào Local Users and Groups. Từ menu, kích New - Local User. Hộp thoại dưới đây sẽ xuất hiện. Hình 2.5: Group Policy Preference cho Local User Trang 16
  17. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Để cấu hình chính sách, đánh Administrator vào hộp văn bản User name, sau đó đánh mật khẩu mới vào hộp văn bản Password, xác nhận mật khẩu trong hộp Confirm Password. Trong khi background của Group Policy mới refresh tất cả các tài khoản máy tính nằm trong phạm vi quản lý của GPO thì mật khẩu Administrator nội bộ sẽ được thiết lập lại. Windows Firewall với độ bảo mật nâng cao Trước đây, người dùng và các quản trị viên đều mơ màng về Windows Firewall, do những khả năng hạn chế về các sản phẩm của họ. Giờ đây, Windows Firewall có một số thiết lập bảo mật tiên tiến cho phép họ có những hiểu biết rõ ràng hơn về tường lửa. Windows Server 2008 giới thiệu một tường lửa mới và có nhiều cải thiện đáng kể; Windows Firewall với Advanced Security. Tường lửa mới này trong Windows có nhiều cải thiện và cũng rất giống với tường lửa được giới thiệu trong Windows Vista. Các tính năng mới có trong tường lửa mới này về vấn đề bảo mật nâng cao gồm có: Nhiều điều khiển truy cập đi vào Nhiều điều khiển truy cập gửi đi Tích hợp chặt chẽ với Windows Server 2008 Server Manager, với cấu hình tự động của tường lửa khi các dịch vụ được cài đặt bằng Server Manager. Cấu hình và việc quản lý chính sách IPsec được cải thiện mạnh mẽ, bên cạnh đó là còn có cả sự thay đổi tên. Các chính sách IPsec hiện được khai báo như các rule bảo mật kết nối (Connection Security Rules). Kiểm tra chính sách tường lửa được cải thiện Kiểm tra các chính sách IPsec được cải thiện (giờ đây được gọi là các Rule bảo mật kết nối) Kiểm tra tập trung các trong việc kết hợp chế độ bảo mật Main và Quick được cải thiện Trang 17
  18. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Các tính năng bảo mật tiên tiến mới của Windows Firewall không chỉ kết hợp chặt chẽ trong việc lọc inbound và outbound mà còn gồm có cả IPSec. Các thiết lập này chỉ có thể kiểm soát với Windows Vista và nằm trong vùng bảo mật của Group Policy. Để truy cập vào thiết lập này, ta hãy mở Group Policy Object và vào: Khi mở chính sách, ta sẽ thấy ba nút sau: Inbound rules Outbound rules Connection Security Rules Nếu kích chuột phải vào các tùy chọn này, ta có thể chọn tùy chọn New Rule, xem inbound rule được thể hiện như trong (hình 1.6 tao một firewall rule). Hình 2.6: Tạo một firewall rule. Trang 18
  19. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 2.7: Một trong những màn hình trong Inbound rule wizard. 5) .UAC ( User Account Control) User Account Control (UAC) cung cấp cho ta một tùy chọn giúp bảo vệ máy tính nơi người dùng và quản trị viên đăng nhập. UAC hiện là một ý tưởng tuyệt vời cho tất cả các quản trị viên và có thể là một giải pháp tốt cho người dùng chuẩn. Do UAC bắt buộc tất cả người dùng phải đều là người dùng chuẩn cho tất cả các nhiệm vụ, nó trợ giúp bảo vệ chống lại bất cứ ứng dụng hoặc virus nào muốn ghi vào các vùng được bảo vệ trên máy tính bằng cách nhắc nhở người dùng bằng một hộp thoại mỗi khi vùng được bảo vệ của máy tính bị truy cập. Có thể là truy cập một ứng dụng, cài đặt một ứng dụng, thay đổi registry, ghi vào file hệ thống, Các thiết lập kiểm soát UAC có thể được tìm thấy tại Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options, xem trong hình 4 bên dưới. Trang 19
  20. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 2.8: Các tùy chọn Group Policy để kiểm soát UAC 6) Chính sách mật khẩu Mặc dù các mật khẩu không thật sự hấp dẫn như một thiết lập bảo mật, nhưng khả năng kiểm soát các mật khẩu bằng Group Policy cũng không nên bỏ qua trong danh sách top 5 này. Windows Server 2008 vẫn sử dụng Group Policy để xác định các thiết lập chính sách tài khoản ban đầu, thứ không thay đổi từ Windows 2000. Các thiết lập được cấu hình ban đầu trong Default Domain Policy, nhưng chúng có thể được tạo trong bất kỳ GPO nào được liên kết với miền. Các thiết lập mà chúng ta có thể cấu hình được thể hiện trong hình 1.8 và các thiết lập thể hiện trong . Hình 2.9: Các thiết lập chính sách mật khẩu trong Default Domain Policy a) . Group Policy Preferences Trang 20
  21. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Group policy Preferences là một sự mở rộng của GP trên Windows Server 2008. Preferences bao gồm hơn 20 chức năng bổ sung liên quan đến GP, cho phép chúng ta mở rộng phạm vi câu hình các GPO. Với Preferences, chúng ta có thề thao tác với ổ đĩa mạng, thiết lập registry, quản lý tài khoản cục bộ, quản lý dịch vụ, file và thư mục Hình 2.10 : Thực hiện các thao tác trên Perferences với GPMC. Với công cụ GPMC, chúng ta có thể thực hiện tất cả các thao tác trên Preferences để cấu hình cho các GPO. Preferences được chia thành hai phần. Trong đó, thành phần thứ nhất là Windows Settings, bao gồm: Applications: cho phép cấu hình cho các ứng dụng. Driver Maps: cho phép tạo, thay thế, cập nhật và xóa các ổ đĩa mạng. Chúng ta cũng có thể cấu hình để hiển thị hoặc ẩn tất cả các ở đĩa. Environment: cho phép tạo, thay thế, cập nhật và xóa các biến môi trường trên hệ thống. Files: cho phép tạo, thay thế, cập nhật và xóa file trên máy trạm. Folders: cho phép tạo, thay thế, cập nhật và xóa thư mục trên máy trạm. Trang 21
  22. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh INI Files: cho phép tạo, thay thế, cập nhật và xóa file INI. Network Shares: cho phép tạo, thay thế, cập nhật và xóa các tài nguyên đã chia sẻ trên máy trạm. Registry: tùy chọn này cho phép chúng ta sao chép các thiết lập registry trên máy này và áp dụng cho máy khác. Chúng ta cũng có thể thực hiện các thao tác tạo, thay thế, cập nhật hoặc xóa trong registry trên máy trạm. Shortcuts: tương tác với phím nóng. b) Thành phần thứ hai là Control Panel Settings, bao gồm: Data Sources: tương tác với Open Database Connectivity (ODBC) Data Source. Devices: kích hoạt hoặc hủy kích hoạt thiết bị hoặc một tập các thiết bị phần cứng trên hệt thống. Folder Options: cấu hình folder options cho các máy trạm chạy hệ điều hành Windows XP hoặc Vista. Tại đây, chúng ta cũng có thể tương tác với chức năng Open With kết hợp với thành phần mở rộng của các file. Hình 2.11: Cấu hình folder options cho các máy trạm. Trang 22
  23. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Inrernet Settings: cho phép chúng ta thiết lập cấu hình cho các trình duyệt Internet Explorer phiên bản 5, 6 và 7 trên các máy trạm. Local users and Groups: tạo, hiệu chỉnh và xóa tài khoản cục bộ. Network Options: tương tác với các kết nối VPN (virtual private networking) hoặc dial-up. Power Options: tương tác với Power của máy trạm chạy hệ diều hành Windows XP. Hình 2.12 : Tương các với power của máy trạm chạy Windows XP. Printers: quản lý máy in cục bộ và máy in mạng. Regional Options: hiệu chỉnh các thông số như: định dạng ngày giờ, tiền tệ Scheduled Tasks: tạo, hiệu chỉnh hoặc xóa các tác vụ (task0 đã được lập lịch hoặc thực thi tức thì. Services: tương tác với các dịch vụ trên hệ thống. Start Menu: hiệu chỉnh menu Start của các máy trạm chạy hệ đều hành Windows XP hoặc Vista. c) Tìm Hiểu Về Windows 2008 Hyper-V là gì? Trang 23
  24. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Windows Server 2008 Hyper-V là một role mới trong Windows 2008, nó cho phép bạn có thể tạo và quản lý một môi trường máy chủ ảo. Bạn có thể chạy được nhiều máy chủ bên trong một máy. Tính năng này sẽ cho phép bạn có thể hợp nhất nhiều máy chủ để thành ít máy hơn. Giống như các sản phẩm ảo hóa khác, Hyper-V cũng có thể cung cấp hiệu quả sử dụng cao hơn đối với phần cứng và các tài nguyên Hãy nên nhớ rằng Windows 2008 Hyper-V khác rất nhiều so với Microsoft Virtual Server 2005. Virtual Server là một ứng dụng được cài đặt và chạy – cung cấp các dịch vụ ảo hóa. Trong khi đó Hyper-V là một tính năng được xây dựng trong hệ điều hành, nó hiệu quả hơn và cung cấp nhiều tính năng hơn so với Virtual Server. d) Những tính năng chính của Windows 2008 Hyper-V là gì? 1. Hỗ trợ cho các mạng LAN ảo. 2. Số lượng lớn bộ nhớ cho các máy ảo. 3. Khả năng có thể chạy các máy tính 32 bit và 64 bit cùng một thời điểm 4. Hỗ trợ đến 32GB RAM và 4CPU trong mỗi hệ điều hành khách. 5. Hỗ trợ cho cả chế độ một hoặc đa bộ vi xử lý đối với các máy ảo, 6. Hỗ trợ cho các màn hình quan sát, sử dụng để capture trạng thái của máy ảo tại các thời điểm. Bạn có thể quay trở về màn hình đó bất cứ thời điểm nào. 7. Hỗ trợ cho việc chuyển đổi nhanh – cho phép chuyển một máy ảo từ một máy chủ này sang một máy chủ khác mà không cần tắt máy ảo đó. 8. Hỗ trợ cho việc cân bằng tải mạng giữa các máy ảo 9. Tích hợp với Microsoft Virtual Machine Manager (VMM) sau này như một nền tảng quản lý tập trung. e) Các dịch vụ mạng Nếu bạn đã có một thời gian dài dùng Windows Server có thể đã quen với một số tính năng hoặc giao thức mạng, tuy nhiên trong phiên bản mới Windows Server 2008 lại không thấy có. Vậy những dịch vụ và giao thức nào của Windows Server đã bị remove và những gì sẽ được sử dụng để thay thế. Chúng ta hãy đi tìm hiểu trong bài này. Các dịch vụ và giao thức mạng nào bị remove trong Windows Server 2008? Trang 24
  25. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Dưới đây là các dịch vụ mạng và các giao thức mạng truyền thống vẫn được sử dụng trong các phiên bản hệ điều hành máy chủ khác nhưng không có trong Windows Server 2008: • Bandwidth Allocation Protocol (BAP) – BAP được sử dụng cho các kết nối multi-link PPP, đặc biệt với việc ràng buộc các liên kết ISDN. Ngày nay, không thực sự có nhiều nhu cầu để Windows Server kết nối trực tiếp với các kết nối PPP. • X.25 – giao thức mạng diện rộng, X.25 được thay thế bởi frame-relay và ngày nay còn có nhiều giao thức khác nữa bởi MPLS. • Serial Line Interface Protocol (SLIP) – giao thức SLIP được sử dụng cho kết nối mạng quay số nhưng nó có ít tính năng hơn PPP. Chính vì vậy PPP trở thành phương pháp chính cho kết nối quay số và PPTP, người anh em họ của PPP, thường được sử dụng cho các kết nối VPN với hệ thống Windows. • Asynchronous Transfer Mode (ATM) – tuy ATM vẫn có thể được sử dụng trong các mạng không dây nhưng nó kém được phát triển. Điều này thực sự đúng khi Windows Server kết nối trực tiếp với một mạng ATM. • NWLink IPX/SPX/NetBIOS Compatible Transport Protocol – thậm chí Novell Netware đã thay đổi sang IP chính vì vậy không có lý do gì để Windows vẫn sử dụng nó • Services for Macintosh (SFM) – với các hệ thống Apple Mac mới hiện đang chạy IP thì vẫn có một số nhu cầu cho dịch vụ kết nối mạng của Windows. • Open Shortest Path First (OSPF) trong định tuyến và truy cập từ xa • Basic Firewall trong Routing and Remote Access - Basic Windows Server Firewall sẽ được thay thế bởi Advanced Windows Firewall mới. • SPAP, EAP-MD5-CHAP, và MS-CHAP (cũng được biết đến với tên MS- CHAP v1) cho các kết nối PPP – các kết nối này đã được sử dụng với kết nối PPP và chúng đã được thay thế bằng một giao thức mới có nhiều tùy chọn hơn. f) Các dịch vụ mạng mới hiện có trong Windows Server 2008 Chúng ta hãy xem trong Windows Server 2008 có các dịch vụ mạng mới gì để thay thế cho các dịch vụ mạng trên. Trang 25
  26. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh • SMB 2.0 – không phải rằng bạn có thể “thấy” SMB rất tốt trong action và không phải rằng bạn tốn nhiều thời gian nghĩ về dữ liệu Windows được gửi đi như thế nào mà SMB 2.0 là một cải thiện đáng kể so với phiên bản 1.0 trong phiên bản Windows Server trước đó. SMB 2.0 hiện cho thấy sự hiệu quả hơn và giảm hiện tượng rớt mạng khi tạo các yêu cầu dữ liệu, nó hỗ trợ tốt các bộ đệm dữ liệu và chống lại các hiện tượng mạng không đều tốt hơn, ngoài ra còn hỗ trợ các liên kết biểu tượng. Bạn cần lưu ý rằng client và server đang truyền thông phải sử dụng SMB 2.0. Điều đó có nghĩa rằng bạn chỉ sử dụng một SMB 2.0 giữa một hệ thống Windows Server 2008, hệ thống Windows Vista hoặc kết hợp cả hai. • Ngăn xếp TCP/IP Network - Ngăn xếp mạng “thế hệ kế tiếp” được cải thiện trong Windows Server 2008 có một số nâng cao dưới đây: Tự động điều chỉnh nhận Windows Những nâng cao cho các môi trường có khả năng mất tín hiệu cao Phát hiện các kết nối xung quang không thể kết nối đối với IPv4 Hỗ trợ Fail-back cho các thay đổi gateway mặc định Các thay đổi trong PMTU cho sự phát hiện “lỗ đen” Hỗ trợ Framework chuẩn đoán mạng Hỗ trợ ESTATS Mô hình lọc gói mới với nền tảng Filtering của Windows Nâng cao nhiều cho IPv6 Những cải thiện về máy chủ DNS • Đáp ứng nhanh hơn cho tải máy chủ DNS Hỗ trợ IPv6 Hỗ trợ cho Read Only DCs (RODC) Hỗ trợ tên toàn cầu • Các nâng cao về chất lượng dịch vụ QoS Trang 26
  27. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh • Khả năng về mạng – trước đây, các ứng dụng mạng có thể treo nếu kết nối mạng bị mất. Với Windows Server 2008, các ứng dụng có thể có khả năng biết được xem mạng có kết nối hoặc bị hỏng kết nối và cần phải tác động lại hay không. • Windows Advanced Firewall – Advanced Firewall mới rất hữu hiệu và làm việc đối với cả lưu lượng mạng vào và ra. • Một số cải thiện về IPSec g) .Có thể bổ sung các tính năng và role dịch vụ mạng Điểm mới trong Windows Server 2008 là bạn có thể bổ sung thêm một số dịch vụ mạng, tuy nhiên bạn vẫn cần add chúng với tư cách một role hoặc một tính năng (feature). Cho ví dụ, DNS và DHCP là các role, bạn có thể xem thêm trong hình 1 bên dưới. Mặt khác, các tính năng như Network Load Balancing, SMTP Server, Telnet Server, TFTP client, WINS Server và Wireless Networking đều là các feature (xem trong hình 2 bên dưới). 7) Active Directory Recycle Bin trong Windows Server 2008 R2 LÀ GÌ? Trong Windows Server 2008 R2 có một tính năng khá mạnh trong việc khôi phục các đối tượng từ Active Directory đó là Active Directory Recycle Bin. Trong Trang 27
  28. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh bài viết chúng tôi sẽ cùng các bạn đi tìm hiểu về tính năng này và cách sử dụng nó như thế nào Windows Server 2008 R2 có một tính năng Active Directory Recycle Bin mới, đây là tính năng mà bạn có thể sử dụng để “undo” những gì bị xóa do vô tình cho cả Active Directory Domain Services (AD DS) và Active Directory Lightweight Directory Services (AD LDS). Active Directory Recycle Bin cho phép bạn khôi phục các đối tượng đã bị xóa do vô tình cách nhanh chóng và giảm thời gian chết trong việc mất dữ liệu. Để sử dụng Active Directory Recycle Bin, môi trường của bạn cần phải có đủ các điều kiện tiên quyết. Khi có đủ các tiêu chuẩn này bạn cũng vẫn cần phải thực hiện một số kế hoạch vì việc sử dụng Active Directory Recycle Bin sẽ hạn chế việc sử dụng một số tính năng khác. Bài viết này sẽ giới thiệu cho các bạn về cách thức làm việc của Active Directory Recycle Bin như thế nào, khi nào bạn có thể sử dụng và không thể sử dụng nó, cách thực hiện các nhiệm vụ có liên quan đến Active Directory Recycle Bin như thế nào. Bạn sẽ rất cần đến các thông tin này vì Active Directory Recycle Bin thực sự không có giao diện đồ họa thân thiện người dùng. a) Các điều kiện tiên quyết Active Directory Recycle Bin yêu cầu mức chức năng forest của Windows Server 2008 R2, nghĩa rằng tất cả các bộ điều khiển miền (domain controller) trong forest đều đã được cài đặt Windows Server 2008 R2 và tất cả các miền trong forest đều có mức chức năng domain của Windows Server 2008 R2. Active Directory Recycle Bin là một tính năng forest rộng mạng tính tùy chọn, có thể sử dụng cho tất cả các miền trong forest khi được kích hoạt. Tính năng này bị vô hiệu hóa mặc định cho dù mức chức năng forest được thiết lập là Windows Server 2008 R2. Bạn có thể kích hoạt Active Directory Recycle Bin bằng cách sử dụng lệnh Enable-ADOptionalFeature có trong Active Directory Module for Windows PowerShell trong Windows Server 2008 R2. Trang 28
  29. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Trước khi kích hoạt Active Directory Recycle Bin, bạn hãy chú ý rằng: Khi đã bật Active Directory Recycle Bin, tính năng này sẽ không thể vô hiệu hóa. Bạn có thể không thấy những vấn đề gặp phải đối với hạn chế này, tuy nhiên nó sẽ ngăn không cho bạn sử dụng các tính năng mới khác trong Windows Server 2008 R2, ví dụ như khả năng “roll back” (hành động nhằm đưa trở về trạng thái trước đó) hoặc hạ thấp các mức chức năng domain và forest. Hai tính năng này thường loại trừ lẫn nhau: Để “roll back” hoặc hạ thấp các mức chức năng, tất cả các tính năng tùy chọn của Active Directory phải được vô hiệu hóa. Sự trớ trêu ở đây là Active Directory Recycle Bin chỉ là một tính năng mang tính tùy chọn và không thể vô hiệu hóa khi đã được kích hoạt. Chính vì vậy, bạn sẽ không thể “roll back” hoặc hạ thấp các mức chức năng nếu đã kích hoạt Active Directory Recycle Bin. b) Cách làm việc của Active Directory Recycle Bin. Bằng cách kích hoạt Active Directory Recycle Bin, bạn sẽ thay đổi một cách có hiệu quả chu trình (lifecycle) cho các đối tượng AD DS. Để tìm hiểu rõ về cách làm việc của Active Directory Recycle Bin, chúng ta hãy xem xét đến chu trình của các đối tượng AD DS sau khi Active Directory Recycle Bin được kích hoạt (xem trong hình 1) Hình 1: Chu trình của đối tượng AD DS khi Active Directory Recycle Bin được kích hoạt Như những gì thể hiện trong hình 1, có bốn trạng thái trong một chu trình của đối tượng AD DS sau khi Active Directory Recycle Bin được kích hoạt: Live Trang 29
  30. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Deleted Recycled Physically Deleted Chúng ta hãy đi xem xét vắn tắt về các trạng thái này. c) Trạng thái Live Khi một đối tượng AD DS nằm trong thư mục, lúc này nó được coi như đang ở trạng thái Live. d) Trạng thái Deleted Khi một đối tượng AD DS bị xóa khỏi thư mục, đối tượng sẽ được chuyển sang trạng thái Deleted. Ở trạng thái này, đối tượng đã bị xóa logic ra khỏi thư mục. Sự xóa bỏ logic được định nghĩa dưới đây: Các thuộc tính được bảo tồn Tên riêng của đối tượng bị đọc sai. Đối tượng được chuyển vào mục các đối tượng đã xóa Deleted Objects. Đối tượng AD DS được duy trì ở trạng thái Deleted này trong suốt quãng thời gian tồn tại của đối tượng đã xóa. (Số lượng có thể được cấu hình; mặc định trong Windows Server 2008 R2 là 180 ngày). Khi một đối tượng ở trạng thái Deleted, bạn có thể đưa chúng trở về trạng thái Live trước đó bằng cách sử dụng Active Directory Recycle Bin và thực hiện một hành động khôi phục xác thực. e) Trạng thái Recycled Khi thời gian tồn tại của một đối tượng bị xóa vượt quá thời hạn cho phép, đối tượng AD DS sẽ bị chuyển sang trạng thái Recycled. Bước chuyển từ trạng thái Deleted sang trạng thái Recycled được thực hiện hoàn toàn tự động bởi hệ thống, hủy bỏ hầu hết các thuộc tính của đối tượng. Số lượng thời gian sống của đối tượng trong trạng thái này cũng có thể cấu hình; mặc định là 180 ngày. Khi một đối tượng nằm trong trạng thái Recycled, đối tượng sẽ không thể được khôi phục bằng Active Directory Recycle Bin. f) Trạng thái Physically Deleted Trang 30
  31. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Khi thời gian sống của đối tượng trong trạng thái Recycled hết hạn, quá trình thu thập rác sẽ xóa đối tượng này ra khỏi cơ sở dữ liệu. g) .Sử dụng Active Directory Recycle Bin Việc xóa một đối tượng nào đó do vô tình rất có thể xay ra. Bằng vài kích chuột bạn có thể vô tình xóa đến hàng trăm hay thậm chí hàng ngày đối tượng. Viễn cảnh đó thật là tồi tệ, tuy nhiên Active Directory Recycle Bin có thể cho phép bạn chuộc lại lỗi lầm của mình. Các phần dưới đây sẽ cung cấp các thông tin chi tiết về cách kích hoạt Active Directory Recycle Bin, cách xem các đối tượng trong trạng thái Deleted và cách khôi phục các đối tượng bị xóa do vô tình. Trang 31
  32. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Chương 4 CÀI ĐẶT WINDOWS SERVER 2008 ENTERPISE 1) Yêu cầu hệ thống a) Để cài đặt Windows Server 2008 cấu hình phần cứng của máy phải thỏa mãn các yêu cầu sau: Thành phần Yêu cầu Bộ vi xử lý Tối thiểu: 1 Ghz (x86) hoặc 1.4 Ghz (x64) Khuyên dùng: >= 2 Ghz Bộ nhớ Tối thiểu: 512 Mb RAM Khuyên dùng: >= 2 Ghz Tối ưu: 2 Ghz RAM (Full Installation) hoặc 1 Ghz RAM (Server Core Installation) Dung lượng Tối thiểu: 10 Gb ổ đĩa còn trống Khuyên dùng: >=40 Gb Ổ đĩa cài đặt DVD-ROM Màn hình Super VGA (800 x 600) hoặc độ phân giải cao hơn 2) Quá trình cài đặt: a) Trong lần đầu tiên chạy cài đặt Windows Server 2008, bạn có 2 tùy chọn cài đặt là: Windows Server 2008 Enterprise (Full Installation). Windows Server 2008 Enterprise (Server Core Installation). Quá trình cài đặt Windows Server 2008 Enterpise như sau: Khởi động máy tính từ đĩa DVD Windows Server 2008 Enterpise. Lựa chọn ngôn ngữ dùng để cài đặt cùng những thông tin liên quan và bấm Next. Trang 32
  33. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 1 Lựa chọn ngôn ngữ cài đặt và thông tin liên quan. Bấm Install now để bắt đầu quá trình cài đặt. bạn kích chọn Repair your computer. Hình 2 Cài đặt hoặc phục hồi hệ thống. Nhập product key của phiên bản Windows Server 2008 Enterpise này. Nếu chưa muốn kích hoạt (activate) Windows vì mục đích kiểm tra hoặc dùng thử, bạn co thể bỏ dấu chọn ở mục Automatically activate Windows when I’m online và bấm Next. Trang 33
  34. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 3 Nhập product key.Chọn kiểu cài đặt Windows Server 2008 Enterpise (Full Installation), đánh dấu chọn mục I have selected the edition Windows that I purchased và bấm Next. Hình 4: Chọn kiểu cài đặt Enterpise. Trong màn hình License, bạn đọc kỹ các điều khoản của Microsoft. Nếu đồng ý, bạn đánh chọn vào I accept the liense terms và bấm Next. Trang 34
  35. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 5: Đồng ý với điều khoản của Microsoft. Trong màn hình Type of installation, bạn lựa chọn kiểu cài đặt thích hợp. Nếu muốn cài mới bạn chọn Custom (advanced). Nếu cần nâng cấp chương trình trên hệ điều hành Windows hiện thời bạn chọn Upgrade. Hình 6: Lựa chọn kiểu cài đặt thích hợp. Trang 35
  36. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Trong màn hình When install Windows, cho phép bạn chọn ổ đĩa cứng cài đặt hoặc tạo một phân vùng mới và bấm Next để tiếp tục. Hình 7: Tạo các phân vùng. Windows Server 2008 đã được cài đủ thông tin quá trình cài đặt bắt đầu. Hình 8: Tiến trình cài đặt của Windows Server 2008. Trang 36
  37. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Trong quá trình cài đặt, hệ thống sẽ tự động khởi động lại nhiều lần để thực hiện các thao tác cấu hình cần thiết. Sau khi cài đặt, cửa sổ màn hình chính xuất hiện và bạn đã sẵn sàng để đăng nhập. Hình 9: Màn hình chính đăng nhập hệ thống. Tên đăng nhập duy nhất là Administrator và mật khẩu để trống (Hình 1-10). Bạn được yêu cầu thây đổi mật khẩu và thiết lập một mật khẩu mới trong lần đăng nhập đầu tiên. Trang 37
  38. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 10: Hệ thống yêu cầu thây đổi mật khẩu Administrtor. Sau khi đăng nhập, hệ điều hành yêu cầu bạn cần thây đổi mật khẩu ngay. Hình 11: Thây đổi mật khẩu mới. b) Kích hoạt Active Directory Recycle Bin Active Directory Recycle Bin là một tính năng không mang tính bắt buộc, tuy nhiên bạn cần phải kích hoạt nếu muốn sử dụng nó. Bạn có thể kích hoạt tính năng Trang 38
  39. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh này bằng cách sử dụng Active Directory Module for Windows PowerShell. Như đã đề cập từ trước, phải cần đến mức chức năng forest của Windows Server 2008 R2. c) Các bước dưới đây sẽ mô tả chi tiết quá trình kích hoạt Active Directory Recycle Bin: Đăng nhập vào domain controller cho phép bạn thay đổi. Kích Start > All Programs > Administrative Tools > Active Directory Module for Windows PowerShell. Trong cửa sổ Active Directory Module for Windows PowerShell, đánh vào lệnh dưới đây, thay thế phần domain.local trong lệnh này bằng tên thích hợp: Nhấn Enter. Hình 2: Kích hoạt tính năng Active Directory Recycle Bin Như thể hiện trong hình 2, bạn sẽ được nhắc nhở bằng một thông báo xác nhận, thông báo này cảnh báo bạn rằng sự thay đổi này chỉ mang tính một chiều (không thể thay đổi ngược lại). Nếu bạn chắc chắn rằng mình muốn tiếp tục, hãy đánh Y và nhấn Enter. Active Directory Module for Windows PowerShell sẽ không báo cáo sự thay đổi thành công, không có sự kiện nào được ghi lại trong bản ghi sự kiện để mách bảo bạn rằng tính năng Active Directory Recycle Bin đã được kích hoạt. Tuy nhiên bạn có thể sử dụng lệnh Get-ADOptionalFeature để thẩm định rằng tính năng này đã được kích hoạt thành công. Trang 39
  40. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh d) Để thẩm định trạng thái của tính năng Active Directory Recycle Bin, hãy thực hiện theo các bước dưới đây: Đăng nhập vào domain controller. Kích Start > All Programs > Administrative Tools > Active Directory Module for Windows PowerShell. Trong cửa sổ Active Directory Module for Windows PowerShell, hãy đánh vào lệnh dưới đây: Nhấn Enter. Như những gì thể hiện trong hình 3, cửa sổ sẽ hiển thị trạng thái của tính năng Active Directory Recycle Bin. Những thông tin quan trọng được chứa trong phần EnabledScopes, đây là phần liệt kê danh sách các partition mà Active Directory Recycle Bin đã được kích hoạt Hình 3: Thẩm định trạng thái của Active Directory Recycle Bin 3) Xem các đối tượng đã xóa Khi Active Directory Recycle Bin được kích hoạt, bạn có thể sử dụng một trong hai công cụ dưới để xem các đối tượng đã bị xóa và được đặt vào mục Deleted Objects: Tiện ích ldp.exe Lightweight Directory Access Protocol (LDAP) Active Directory Module for Windows PowerShell Trang 40
  41. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh 4) .Xem Deleted Objects bằng tiện ích ldp.exe Để xem các đối tượng đã xóa bằng tiện ích ldp.exe, hãy thực hiện các bước sau: Đăng nhập vào một domain controller. Kích Start > Run, đánh ldp.exe, sau đó kích OK. Trên menu Connection, chọn Connect. Trong hộp thoại Connect (xem trong hình 4), đánh vào tên và domain controller trong forest root domain và kích OK. Hình 4: Hộp thoại Connect Trên menu Connection, chọn Bind. Trong hộp thoại Bind (xem trong hình 5), chọn tùy chọn “Bind as currently logged on user” hoặc “Bind with credentials“. Nhập vào các tiêu chuẩn, sau đó kích OK. Hình 5: Hộp thoại Bind Trang 41
  42. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Trên menu View, chọn Tree. Trong hộp thoại Tree View (xem trong hình 6), nhập vào tên riêng của forest root domain, sau đó kích OK. Hình 6: Hộp thoại Tree View Trên menu Options, chọn Controls Trong hộp thoại Controls (xem trong hình 7), mở danh sách Load Predefined và chọn Return deleted objects, sau đó kích OK. Hình 7: Hộp thoại Controls Mở rộng phần forest root domain trong cây giao diện, xem trong hình 8. Kích đúp vào nút “CN=Deleted Objects,DC=Domain,DC=local“, ở đây DC=Domain,DC=local chính là tên riêng của forest root domain. Trang 42
  43. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 8: Mục Deleted Objects Bất cứ đối tượng nào đã bị xóa cũng đều hiện hữu trong mục Deleted Objects này. Trong hình 8, đối tượng User1 hiện hữu vì nó đã bị xóa sau khi tính năng Active Directory Recycle Bin được kích hoạt. a) Xem các đối tượng đã xóa bằng Active Directory Module for Windows PowerShell Để xem các đối tượng đã xóa bằng Active Directory Module for Windows PowerShell, bạn thực hiện theo các bước dưới đây: Đăng nhập vào một domain controller. Kích Start > All Programs > Administrative Tools > Active Directory Module for Windows PowerShell. Trong cửa sổ Active Directory Module for Windows PowerShell (xem trong hình 9), đánh vào lệnh sau: Nhấn Enter. Trang 43
  44. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 9: Xem các đối tượng đã xóa bằng cách sử dụng Active Directory Module for Windows PowerShell. Như thể hiện trong hình 9, các đối tượng đã xóa được liệt kê theo danh sách Khôi phục các đối tượng bị xóaBạn có thể khôi phục các đối tượng bị xóa bằng cách sử dụng tiện ích ldp.exe hoặc sử dụng Active Directory Module for Windows PowerShell. b) Khôi phục đối tượng đã xóa bằng tiện ích ldp.exe Để khôi phục các đối tượng đã xóa bằng tiện ích này. Bạn thực hiện theo các bước dưới đây: Sử dụng tiện ích ldp.exe để tìm đối tượng mà bạn muốn khôi phục. (xem hướng dẫn trong phần trước). Trong cây giao diện, kích phải vào đối tượng mà bạn muốn khôi phục. Chọn Modify từ menu xuất hiện. Trong hộp thoại Modify (xem trong hình 10), hãy đánh isDeleted vào trường Edit Entry Attribute. Trong phần Operation của hộp thoại, hãy chọn Delete. Trang 44
  45. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 10: Điều chỉnh thuộc tính isDeleted Kích nút Enter. Hộp thoại sẽ được refresh với nhiều chi tiết được hiển thị hơn (xem trong hình 11). Đánh distinguishedName trong trường Edit Entry Attribute. Trong trường Values, đánh vào tên riêng ban đầu của đối tượng Active Directory. Trong phần Operation, chọn Replace. Tích vào hộp kiểm Extended ở phía dưới bên trái của hộp thoại. Kích nút Enter, sau đó kích Run. Trang 45
  46. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 11: Điều chỉnh thuộc tính distinguishedName Bạn đã điều chỉnh thành công thuộc tính để khôi phục lại đối tượng bị xóa, các thông tin của đối tượng sẽ biến mất trong cây giao diện (xem hình 12). Hình 12: So sánh hình này với hình 8 để xem các thông tin đã được khôi phục c) Khôi phục đối tượng đã xóa bằng Active Directory Module for Windows PowerShell Để khôi phục bằng phương pháp này, bạn hãy thực hiện theo các bước sau: Sử dụng Active Directory Module for Windows PowerShell để tìm thuộc tính Name cho đối tượng mà bạn muốn khôi phục (xem hướng dẫn trong phần trước). Trang 46
  47. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Trong cửa sổ Active Directory Module for Windows PowerShell (hình 13), đánh vào lệnh dưới đây, thay thế User1 bằng thuộc tính cho thuộc tính Name mà bạn muốn khôi phục: Nhấn Enter. Hình 13: Khôi phục đối tượng bị xóa bằng Active Directory Module for Windows PowerShell .Active Directory Module for Windows PowerShell sẽ không báo cáo về sự thành công của quá trình khôi phục, tuy nhiên bạn có thể tìm đối tượng trong thư mục để thẩm định cho sự thành công đó. Trang 47
  48. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 8: Màn hình các kết quả cài đặt 5) Cách cài đặt Windows Virtualization Role trên Windows 2008? . Đầu tiên là kích Start -> All Programs- > Administrative Tools -> Server Manager. Hình 1: Server Manager Sau khi mở Server Manager, kích Roles tại phần panel bên trái Sau đó kích Add Roles tại phần trên bên phải của màn hình. Trang 48
  49. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 2: Nút Add Roles Sau khi đã kích vào Add Roles sẽ xuất hiện Add Roles Wizard Hình 3: Add Roles Wizard Kích vào nút Next. Chọn Windows Server Virtualization. Trang 49
  50. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 4: Select Server Roles Kích Next. Hình 5: Màn hình cài đặt Windows Virtualization Kích Next Chọn Network card mà bạn muốn sử dụng cho các máy ảo, sau đó kích Next. Trang 50
  51. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 6: Chọn Windows 2008 Virtual Network Hình 7: Màn hình xác nhận cài đặt 6) Connection Manager Administration Kit Giống như các phiên bản trước của Windows Server, Windows Server 2008 cũng có bộ công cụ Connection Manager Administration Kit (CMAK) cho phép bạn Trang 51
  52. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh có thể tạo các kết nối VPN connectoid mà người dùng có thể sử dụng để kết nối đến các máy chủ VPN Windows Server 2008 của bạn. CMAK là một tính năng của Windows Server 2008 mà bạn có thể cài đặt bằng Windows Server 2008 Server Manager. Chỉ cần kích đúp vào liên kết Features trong phần panel bên trái của giao diện, sau đó kích vào link Add Features. Trên cửa sổ Select Features bạn hãy chọn Connection Manager Administration Kit và hoàn tất cài đặt. Sau đó bạn có thể mở CMAK từ menu của Administrative Tools. Thứ đầu tiên mà bạn sẽ thấy là trang Welcome to the Connection Manager Administration Kit Wizard. Kích Next. Trong trang Select the Target Operation System, bạn chọn hệ điều hành muốn tạo connectoid. Một khác biệt lớn giữa Windows XP và Windows Vista là Vista hỗ trợ giao thức SSTP SSL VPN. Trong ví dụ này, chúng tôi sẽ chọn Windows Vista và kích Next. Trang 52
  53. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 2 Trên cửa sổ ,. Kích Next. Hình 3 Trong trang Specify the Service Name and the File Name, bạn hãy đặt tên cho connectoid và tên file của gói CMAK. Trong ví dụ, sử dụng Service name của Trang 53
  54. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Corporate VPN. Tên này là những gì người dùng sẽ thấy sau khi cài đặt gói CMAK. Trong hộp File name, chúng ta sẽ nhập vào CorpVPN Hình 4 Trên cửa sổ Specify a Realm Name, bạn có thể nhập vào tên vùng cho tên người dùng. Tên này thường được sử dụng khi bạn đang sử dụng ISP như một gateway chứng thực cho máy chủ VPN. kích Next. Hình 5 Trang 54
  55. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Bạn có thể kết hợp thông tin từ các profile khác trong trang Merge Information from Other Profiles. kích Next. Hình 6 Trong trang Add Support for VPN Connections, bạn có thể cấu hình VPN connectoid để kết nối với một VPN trực tiếp trên Internet, hoặc thông qua một kết nối dial-up. Các kết nối dial-up không được sử dụng nhiều ở đây Allow the user to choose a VPN server before. Nếu bạn chọn Allow the user to choose a VPN server before connecting thì sẽ phải duyệt vào file .txt có các tên của các máy chủ đó, xem thể hiện trong hình bên dưới.chúng ta sẽ nhập vào địa chỉ IP đó trong hộp văn bản Always use the same VPN server. Kích Next Trang 55
  56. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 7 Trong trang Create or Modify a VPN Entry, bạn có thể thiết lập cấu hình chi tiết cho kết nối VPN. Giá trị mặc định Corporate VPN Tunnel đã được tạo cho chúng ta. Kích nút Edit để tạo các thay đổi theo ý của bạn. Hình 9 Trang 56
  57. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Trong tab General,. Đây là một ý tưởng rất thú vị cho các kết nối VPN client, vì các host này có thể có các file và máy in được chia sẻ với các mạng kết nối Hình 10 Trong tab IPv4, chúng ta có thể thiết lập các địa chỉ máy chủ DNS chính và thứ cấp. Hoặc bạn có thể thiết lập nó để máy khách nhận thông tin này từ máy chủ VPN. Trang 57
  58. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 11 Trong tab Security, bạn có thể thiết lập mã hóa client. Bạn cũng có thể thiết lập VPN strategy, đây chính là cách VPN client sẽ kết nối với máy chủ VPN như thế nào. Bạn cũng sẽ thấy bạn co các tùy chọn dưới đây: Chỉ sử dụng giao thức đường hầm điểm – điểm (Point to Point Tunneling protocol - PPTP) Thực hiện giao thức PPTP trước Chỉ sử dụng giao thức L2TP (Layer Two Tunneling Protocol) Thực hiện L2TP trước Chỉ sử dụng giao thức SSTP (Secure Socket Tunneling Protocol) Thực hiện SSTP trước Trong khung Logon security, bạn có thể chọn sử dụng Use Extensible Authentication Protocol hoặc Authentication methods. Nếu bạn chọn cái trước thì có thể cấu hình chứng thực EAP bạn muốn sử dụng còn nếu chọn cái sau thì bạn có thể tích vào các hộp kiểm cho các giao thức mà bạn muốn hỗ trợ trong đó gồm có PAP, CHAP và MS-CHAPv2. Trang 58
  59. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 12 Nếu chọn tùy chọn PEAP bạn có thể áp đặt client để hợp lệ hóa chứng chỉ máy chủ, và cũng áp đặt client để kết nối với một máy chủ nào đó như đã được định nghĩa bởi tên common/subject trên chứng chỉ máy chủ đã hiện diện đối với client bởi máy chủ VPN. Trang 59
  60. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 13 Trong tab Advanced, bạn có thể nhập vào hậu tố DNS mà kết nối VPN sẽ sử dụng để đăng ký với DDNS trên mạng bên trong nếu có DDNS đã được kích hoạt cho các client này. Hình 14 Trang 60
  61. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Trong tab Add a Customer Phone Book, bạn có thể nhóm các số đã được kết nối đến máy chủ dial-up trước đó trước khi kết nối VPN được thiết lập. Vì chúng ta không sử dụng các máy chủ dial-up trong kịch bản này nên sẽ không tạo một sổ điện thoại tùy chỉnh. Hình 15 Trong trang Specify Routing Table Updates, bạn có thể chọn nâng cấp bảng định tuyến trên client VPN truy cập từ xa để nó biết được các tuyến trên mạng mà nó được kết nối đến. Nếu bạn chọn tùy chọn Define a routing table update thì sẽ cần phải cung cấp một file định tuyến bằng cách sử dụng định dạng đã được mô tả ở đây. Nếu bạn để một entry trong URL to a route file, thì các entry của bảng định tuyến sẽ được cập nhật dựa trên entry đã được nhóm vào file có thể truy cập thông qua URL.Kích Next. Trang 61
  62. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 16 Trong trang Configure Proxy Settings for Internet Explorer, bạn có thể thiết lập địa chỉ Web proxy để trình duyệt nên sử dụng khi nó được kết nối với VPN. Lưu ý rằng đây là một địa chỉ khác để client có thể sử dụng khi nó không được kết nối với VPN. Tùy chọn là: Không cấu hình các thiết lập proxy Tự động copy các thiết lập Internet Explorer proxy cho người dùng hiện hành vào giao diện đường hầm. Điều này yêu cầu người dùng đã cấu hình các thiết lập Web proxy trong Internet Explorer rồi, nó mặc định điểm tự động cấu hình của VPN client. Tự động cấu hình các thiết lập proxy Tùy chọn cuối cùng yêu cầu bạn tạo một file văn bản có các thiết lập Web proxy đã được cấu hình. URL này có thông tin chi tiết về các yêu cầu cần thiết cho file văn bản này. Việc cấu hình máy chủ Web proxy rất có ích khi bạn muốn một VPN client sử dụng máy chủ Web proxy trên máy tính khác với máy chủ VPN mà VPN client Trang 62
  63. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh được kết nối. Thêm vào đó, hầu hết các Web proxy đều được sử dụng bởi các công ty có khả năng lọc nội dung, như vậy sẽ tăng được khả năng bảo mật. Kích Next. Hình 17 Có một số các hành động tùy chỉnh bạn có thể cấu hình VPN client để tiến hành. ở đây ta chọn (do not configure proxy settings) Hình 18 Trang 63
  64. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Trong trang Display a Custom Logon Bitmap, bạn có thể nhóm một đồ họa tùy chỉnh sẽ xuất hiện trong cửa sổ kết nối VPN client. Nếu bạn tạo một đồ họa tùy chỉnh, nó phải có kích thước 330x140 pixel. Sử dụng nút Browse để tìm đồ họa tùy chỉnh. Chúng tôi sẽ không sử dụng đồ họa này trong kịch bản chính vì vậy sẽ chấp nhận thiết lập mặc định, Default graphic, và kích Next. Hình 19 Bạn cũng có thể tạo một đồ họa tùy chỉnh cho Phone Book. Đồ họa này cần có kích thước 114x309 pixel. Chúng tôi không có Phone Book trong ví dụ này chính vì vậy sẽ chấp nhập thiết lập mặc định, Default graphic, và kích Next. Trang 64
  65. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 20 Bạn có thể tạo các file biểu tượng tùy chỉnh sẽ xuất hiện trong thư mục Network Center or Network Connection. Đây là các file biểu tượng (.ico) sẽ được sử dụng thay cho các biểu tượng mặc định, Default icons, và kích Next. Hình 21 Trang 65
  66. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Nếu bạn có một file trợ giúp tùy chỉnh dưới định dạng .chm thì có thể nhóm file này trong trang Include a Custom Help File. Chúng tôi không có file trợ giúp này trong ví dụ nên hãy kích Hình 22 Trong trang Display Custom Support Information, bạn nhóm một số điện thoại mà người dùng có thể gọi để yêu cầu hỗ trợ kỹ thuật. Kích Next. Hình 23 Trang 66
  67. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Trong trang Display a Custom License Agreement, bạn có thể nhóm một file văn bản đăng ký mà người dùng sẽ thấy khi cài đặt VPN connectoid. Chúng tôi không có file Hình 24 Trong trang , bạn nhóm các file bổ sung có thể được sử dụng trong các hành động tiền kết nối, gửi kết nối hoặc hủy kết nối disconnection. kích Next. Hình 25 Trang 67
  68. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Profile được hoàn tất và file cài đặt đã sẵn sàng được biên dịch. Kích Finish Hình 26 Cửa sổ Windows Explorer sẽ mở thư mục có file cài đặt. Cũng có trong thư mục này là các file mà bạn có thể sử dụng trong tương lai để nâng cấp gói. Copy file .exe vào điểm mà người dùng có thể download, ví dụ như một thư mục chia sẻ hoặc một website, sau đó cho mọi người biết ai yêu cầu kết nối VPN để có được các file và cài đặt nó trên máy tính của họ. Hình 27 Trang 68
  69. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hãy chạy file và xem cảm nhận như thế nào đối với người dùng. Thứ đầu tiên mà họ sẽ thấy là một hộp thoại hỏi xem có muốn cài đặt Corporate VPN không. Không phải điều này được dựa trên tên mà bạn nhóm lúc ban đầu của CMAK Người dùng sẽ có một lựa chọn tạo kết nối có sẵn cho All users hoặc My use only. Một thứ mà người dùng cần phải biết ở đây là nếu họ muốn đăng nhập thông qua kết nối dial-up thì họ cần tạo connectoid có sẵn đối với All users. Nếu người dùng không đăng nhập thông qua kết nối dial-up thì họ có thể chọn My use only để có được cấu hình an toàn hơn. Hình 28 Hộp thoại đăng nhập xuất hiện. Nhập vào tên người dùng, mật khẩu và miền, nếu máy chủ VPN là một thành viên miền của miền bạn đang sử dụng RADIUS cho chứng thực miền. Kích Connect. Lúc này người dùng sẽ kết nối với VPN. Trang 69
  70. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 29 7) Thiết lập tường lửa và các mặc định bảo mật kết nối IPsec Windows Server 2003 đã có một tường lửa khá cơ bản cho phép bảo vệ máy tính chống lại các kết nối bên ngoài mà bạn không muốn chúng kết nối với máy chủ. Vấn đề này rất hữu dụng trong việc bảo vệ các máy Windows Server 2003, tuy nhiên nó khá đơn giản và không cho phép điều khiển hạt nhân cho cả truy cập đi vào và gửi đi đối với các máy Windows Server 2003. Thêm vào đó, tường lửa trong Windows Server 2003 lại không được tích hợp chặt chẽ với các dịch vụ đã được cài đặt, chính vì vậy bạn phải cấu hình tường lửa bất cứ khi nào thêm vào một máy chủ mới hoặc dịch vụ mới. Windows Server 2008 giới thiệu một tường lửa mới và có nhiều cải thiện đáng kể; Windows Firewall với Advanced Security. Tường lửa mới này trong Windows có nhiều cải thiện và cũng rất giống với tường lửa được giới thiệu trong Windows Vista. Các tính năng mới có trong tường lửa mới này về vấn đề bảo mật nâng cao gồm có: Trang 70
  71. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Nhiều điều khiển truy cập đi vào Nhiều điều khiển truy cập gửi đi Tích hợp chặt chẽ với Windows Server 2008 Server Manager, với cấu hình tự động của tường lửa khi các dịch vụ được cài đặt bằng Server Manager. Cấu hình và việc quản lý chính sách IPsec được cải thiện mạnh mẽ, bên cạnh đó là còn có cả sự thay đổi tên. Các chính sách IPsec hiện được khai báo như các rule bảo mật kết nối (Connection Security Rules). Kiểm tra chính sách tường lửa được cải thiện Kiểm tra các chính sách IPsec được cải thiện (giờ đây được gọi là các Rule bảo mật kết nối) Kiểm tra tập trung các trong việc kết hợp chế độ bảo mật Main và Quick được cải thiện Có nhiều tùy chọn cấu hình có trong tường lửa mới này, chính vì vậy trong bài này chúng tôi sẽ chia làm ba phần, phần đầu là giới thiệu về các tùy chọn cấu hình cơ bản cho tường lửa và cho các chính sách IPsec. Phần hai sẽ tập trung đến cách tạo các rule đi vào và gửi đi, còn trong phần ba sẽ giới thiệu về cách tạo các rule bảo mật kết nối. Giao diện điều khiển Windows Firewall with Advanced Security có thể được mở từ menu Administrative Tools. Khi mở giao diện điều khiển này, bạn sẽ thấy được phần panel bên trái như những gì thể hiện trong hình dưới đây. Trang 71
  72. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 1 Panel ở giữa của giao diện điều khiển sẽ cung cấp cho bạn các thông tin về profile Domain, Private và Public. Mặc định các giá trị này cho mỗi profile là: Windows Firewall là “on” Kết nối gửi đi không hợp lệ với rule sẽ được cho phép Với những người có quyền quản trị tường lửa thì thành phần cuối cùng dường như có phần hơi lộn xộn vì trên các tường lửa của mạng, nếu không có rule nào cho phép một kết nối thì mặc định rule “clean up” được kích hoạt và kết nối sẽ bị khóa. Trang 72
  73. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 2 Domain Profile là tab đầu tiên xuất hiện trong hộp thoại Windows Firewall with Advanced Security Properties. Domain Profile áp dụng khi máy tính được kết nối với mạng công ty và có thể liên lạc với miền có Domain Profile có thể áp dụng trong đại đa số các trường hợp. Ngoại từ khi máy chủ không phải là thành viên miền, trong trường hợp đó thì Private Profile sẽ áp dụng nó a) Khung State bạn cấu hình như sau: Firewall state. Trạng thái này có thể off hoặc on. Nó được mặc định và nên để như vậy. Inbound connections. Các thiết lập mặc định để khóa. Điều này có nghĩa rằng các kết nối không có một rule cho phép sẽ bị khóa. Có hai tùy chọn khác ở đây: Allow, tùy chọn này sẽ cho phép tất cả các kết nối gửi đến và Block all connections, sẽ khóa tất cả các kết nối gửi đi. , vì tùy chọn Block all connections có thể khóa tất cả các kết nối gửi đến, Outbound connections. Thiết lập mặc định là Allow (default), cho phép kết nối gửi đi. Một tùy chọn khác ở đây là khóa các kết nối gửi đi. Chúng tôi khuyên bạn nên chọn mặc định bằng không máy tính sẽ không thể kết nối với các máy tính khác. Trang 73
  74. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Trong khung Settings bạn có thể cấu hình các thiết lập để điều khiển một số hành vi của tường lửa. Kích nút Customize. Hình 3 Khi đó hộp thoại Customize Settings for the Domain Profile sẽ xuất hiện. Trong khung Firewall settings, bạn cấu hình muốn hay không muốn có thông báo được hiển thị khi kết nối gửi đến bị khóa. Thiết lập này được mặc định là No và bạn nên để lại lựa chọn mặc định đó. Vì nếu chọn yes thì sẽ gặp phải rất nhiều thông báo cho các kết nối được gửi đi đến máy chủ. Trang 74
  75. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 4 Trên hộp thoại Windows Firewall with Advanced Security Properties, trong khung Logging bạn có thể cấu hình một số tùy chọn cho việc Logging cho Windows Firewall. Kích Customize. Hình 5 Trang 75
  76. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Khi đó hộp thoại Customize Logging Settings for the Domain Profile sẽ xuất hiện. Tên của file bản ghi mặc định sẽ là pfireall.log và được lưu trong vị trí mặc định trên đĩa cứng nội bộ. Bạn có thể thay đổi vị trí này nếu thích bằng cách đánh vào đó một đường dẫn mới vào hộp Name hoặc kích vào nút Browse.Giá trị Size limit (KB) được mặc định cho kích thước file bản ghi là 4 MB (4096 KB). Hình 6 Trong tab, bạn có thể cấu hình các thiết lập tường lửa giống với thiết lập mà bạn đã thực hiện trên tab, tuy nhiên các thiết lập này sẽ chỉ ảnh hưởng khi máy tính của bạn được kết nối với mạng riêng, mạng riêng này không được kết nối với miền. Trang 76
  77. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 7 Trong tab Public Profile, bạn cấu hình các thiết lập áp dụng khi máy tính kết nối với mạng công cộng. Các cấu hình này sẽ không áp dụng cho các máy chủ vì chúng được sử dụng khi máy tính được kết nối với một mạng công cộng. Trang 77
  78. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 8 b) .Trong tab IPsec Settings, có hai khung: IPsec defaults. Có các thiết lập IPsec mặc định được áp dụng khi bạn tạo các rule bảo mật kết nối (tên mới cho các chính sách IPsec). Lưu ý rằng khi tạo các Rule bạn sẽ có tùy chọn để thay đổi các thiết lập trên mỗi rule từ các thiết lập mặc định. IPsec exemptions. Mặc định, các IPsec exemptions được vô hiệu hóa. Tuy vậy bạn có thể khắc phục sự cố mạng bằng cách sử dụng Ping, tracert và các công cụ ICMP khác dễ dàng hơn rất nhiều nếu thay đổi nó từ chế độ mặc định No (default) thành Yes. Kích nút Customize trong khung IPsec defaults. Hình 9 Trong hộp thoại Customize IPsec Settings , bạn có thể cấu hình như dưới đây: Key Exchange (Main Mode) Data Protection (Quick Mode) Authentication Method Trang 78
  79. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Mỗi một tùy chọn này đều được cấu hình bằng một tập các giá trị mặc định mà Microsoft đã cân nhắc từ trước. Mặc dù vậy chúng đều có thể được thiết lập lại. Với Key exchange (Main Mode) và Data Protection (Quick Mode) bạn cần chọn tùy chọn Advanced. Còn với các tùy chọn Authentication Method bạn có thể chọn tùy chọn khác hoặc sử dụng tùy chọn Advanced để điều khiển tinh chỉnh hơn các phương pháp chứng thực.Trong khung Key exchange (Main Mode), bạn hãy kích vào tùy chọn Advanced, sau đó kích nút Customize. Hình 10 Khi đó hộp thoại Customize Advanced Key Exchange Settings sẽ xuất hiện. Các thiết lập mặc định được thể hiện ở đây. Như những gì bạn thấy, AES-128 là phương pháp ưu tiên được sử dụng cho key exchange và nếu không có sẵn ở đây thì nó sẽ là 3DES. Key lifetimes cũng được cấu hình trên trang này. Key exchange algorithm được thiết lập mặc định là Diffie-Hellman Group 2. Group 1 là 768 bits, Group 2 là 1024 bits và Group 14 là 2048 bits.Kích Cancel trong trang Customize Advanced Key Exchange Settings. Trang 79
  80. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 11 Chúng ta sẽ trở về với trang Customize IPsec Settings. Trong khung Data Protection, chọn tùy chọn Advanced và kích Customize. Hình 12 Trang 80
  81. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Trong trang Customize Data Protection Settings, bạn cấu hình các tùy chọn mã hóa và toàn vẹn dữ liệu. Mặc định, ESP được sử dụng cho sự toàn vẹn dữ liệu và ESP với mã hóa AES-128 được sử dụng cho việc mã hóa dữ liệu. Lưu ý rằng AES- 128 không được hỗ trợ trong các phiên bản trước của Windows, chính vì vậy các thiết lập cấu hình có thể sử dụng với DES (3DES). Hình 13 Trong bất kỳ giao thức mã hóa và toàn vẹn dữ liệu nào, bạn cũng có thể kích nút Edit sau khi chọn giao thức để xem xem các thiết lập giao thức. Khi kích đúp vào giao thức ESP integrity bạn sẽ thấy ESP đã được chọn và là giao thức được khuyên dùng Trang 81
  82. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 14 Nếu kích đúp vào mục mã hóa ESP, bạn sẽ thấy hộp thoại cấu hình cho tùy chọn đó. Ở đây bạn có thể thấy được rằng ESP chỉ được chọn một cách mặc định, vì sự bất lực của AH trong việc đi qua các thiết bị NAT. Hình 15 Trang 82
  83. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Tùy chọn cuối cùng bạn có thể cấu hình các mặc định là Authentication Method. Để xem các thông tin chi tiết về các phương pháp chứng thực có sẵn, kích tùy chọn Advanced và sau đó kích Customize. Hình 16 Ở đây bạn sẽ thấy hộp thoại Customize Advanced Authentication Methods. Bạn có thể thấy các thiết lập mặc định được kích hoạt chỉ cho chứng thực Computer (Kerberos V5). Nó được quy vào đây như một chứng thực đầu tiên First Authentication. Bạn cũng có thể chọn kích hoạt User Authentication cho một chứng thực thứ hai Second Authentication. Trang 83
  84. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 17 8) Group Policy trong Windows Server 2008 a) Starter GPOs là gì Trong Windows Server 2008 - Starter GPO. Với Starter GPO bạn có thể có khả năng lưu các mẫu cơ bản để sử dụng khi tạo mới các đối tượng Group Policy (GPO). Các mẫu này có thể được export sang các môi trường miền khác, cho phép bạn có được khả năng linh hoạt cao. Các phần tiếp theo của bài này, chúng tôi sẽ giới thiệu cho các bạn đến các tính năng mới của Group Policy Management Console (GPMC) version 2.0, Các thiết lập chính sách mới cho Windows Server 2008, Group Policy Preferences Extensions Một vấn đề lưu ý ở đây đó là các thông tin được sử dụng trong bài này đều được dựa trên thông tin thu lượm được từ các phiên bản thử nghiệm của Windows Server 2008 (Beta 3, RC0 và RC1). Vì vậy một số tính năng và một số hộp thoại có thể thay đổi chút ít so với bản phát hành cuối cùng. Được xây dựng trong Windows Server 2008 với một giao diện mới - Group Policy Management Console (GPMC) version 2.0, trông và cảm nhận có vẻ khá giống với các phiên bản cũ nhưng nó có một số đặc tính mới được bổ sung trong phiên bản Trang 84
  85. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh này. Có thể các bạn đã biết, Service Pack 1 cho Windows Vista có thể sẽ uninstall phiên bản GPMC với tư cách một phần trong hệ điều hành - khiến cho bạn không hề có một công cụ để quản lý các GPO miền nào Tuy nhiên không nên thất vọng như vậy: xung quanh phát hành SP1 cho Windows Vista, GPMC version 2.0 sẽ được cung cấp như một download riêng từ website của Microsoft. Để sử dụng GPMC version 2 bạn cần phải có một trong hai thành phần dưới đây: Microsoft Windows Vista Service Pack 1 với download GPMC 2.0 hoặc Microsoft Windows Server 2008 có tính năng Group Policy Management Khi mở GPMC 2.0 bạn có thể sẽ thấy một mục chứa mới (trống rỗng) có tên "Starter GPOs". Mục này có thể giữ những gì mà tôi gọi là các “mẫu” nhằm mục đích tạo các GPO mới - với hạn chế rằng chỉ có các thiết lập “Administrative Templates” được cung cấp - từ ‘Computer Configuration’ và ‘User Configuration’. Các thiết lập như “Software Settings” (cài đặt phần mềm) và “Windows Settings” (các kịch bản, chính sách tài khoản, quyền người dùng, các chính sách hạn chế phần mềm, ). không có trong Starter GPOs. Hình 1 Các thiết lập từ “Administrative Templates” Khi tạo các GPO mới, bạn có thể chọn để sử dụng Starter GPO như một Source Starter GPO (hay còn gọi là mẫu) – để dễ dàng cho việc tạo đa GPO với cùng một cấu hình cơ sở. Trang 85
  86. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 2 b) .Thư mục mới trong SYSVOL Nếu đây là lần đầu tiên bạn muốn kiểm tra hoặc sử dụng Starter GPOs, bạn sẽ phải kích hoạt tính năng trong các miền có liên quan đến nó. Vấn đề này được thực hiện bằng cách kích chuột vào nút “Create Starter GPOs Folder” hoặc chỉ cần kích chuột phải vào mục “Starter GPOs” và chọn “New ”,Tùy chọn sau đó sẽ tạo cho bạn một thư mục Starter GPOs. Hình 3: Sử dụng lần đầu tiên Hộp thoại “New Starter GPO” sẽ xuất hiện, yêu cầu bạn nhập vào tên và chú thích. Trang 86
  87. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 4 : Tạo một Starter GPO mới Lưu ý rằng, bất cứ thứ gì bạn đánh vào trong trường “Comment” sẽ được kế thừa đến bất cứ GPO nào được tạo với Starter GPO này như một tài nguyên gốc. " Hình 5 Thư mục StarterGPOs trong SYSVOL Với mỗi Starter GPO mới tạo, bạn sẽ thấy một thư mục mới bên trong thư mục này - mỗi thư mục này sẽ có một GUID duy nhất (giống như các GPO thông thường). Vì vậy khi bạn tạo một GPO mới với Starter GPO đóng vai trò nguồn thì quá trình COPY đơn giản sẽ được thực hiện bên dưới kịch bản. Các thư mục con và các file bên dưới thư mục Starter GPOs GUID được copy vào thư mục Trang 87
  88. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 6 Chuẩn bị tạo một GPO mới, nhưng không tạo từ bất kỳ “đống hỗn độn” nào Khi kích chuột phải vào Starter GPO, xem hình 6, bạn có thể chọn để tạo “New GPO From Starter GPO ”. Khi đó sẽ xuất hiện hầu hết các hộp thoại giống nhau khi bạn chọn tạo một GPO mới từ mục “Group Policy Objects” (xem hình 4) - hoặc khi kích chuột phải vào một đơn vị tổ chức - Organizational Unit (OU), hoặc bản thân miền và chọn tùy chọn: ”Create a GPO in this domain, and Link it here ” – chỉ lúc này hộp chọn “Source Starter GPO” mới bị vô hiệu. Hình 7 Source Starter GPO chuyển sang màu xám Cabinet và những thứ bên trong Có những thứ rất thú vị mà bạn có thể export các mẫu GPO (Starter GPOs) sang file Trang 88
  89. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Cabinet (.CAB) và sau đó import cabinet này vào một môi trường khác – hoàn toàn độc.lập Hình 8 Tải và Lưu file Cabinet Nếu bạn cũng tò mò như tôi, thì có thể rất mệt với tất cả những gì bên trong file .CAB . Hãy cho phép tôi giải đáp mối bận tâm đó của bạn: mỗi file sẽ gồm có tối thiểu 2 (nếu không được cấu hình) đến 6 file nén, phụ thuộc vào những thiết lập gì bạn đã cấu hình trong Starter GPO riêng: Tên file Một hạn chế đối với việc export Cabinet là bạn chỉ có thể export một Starter GPO trên một file Cabinet. Vì vậy thủ tục này không được tiếp quản từ một thủ tục backup thông thường, vấn đề này sẽ được giới thiệu trong phần tiếp theo. Các Backup Starter GPO tách biệtBạn phải tạo một quá trình backup tách biệt cho các Starter GPO. Điều này là bởi vì chúng không được backup thông bạn kích chuột phải vào mục “Starter GPOs” bạn sẽ thấy một tùy chọn “Back Up All ”. Tùy chọn này sẽ backup tất cả các Starter GPO (xem hình 9). qua phương pháp GPMC "Backup All" mà bạn có thể thực hiện với các GPO thông thường – nhưng chúng có một thủ tục backup riêng. Trang 89
  90. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 9: Backup tất cả Starter GPO cùng một lúc Nếu bạn chỉ kích chuột phải vào Starter GPO trong panel bên phải của GPMC thì sẽ thấy tùy chọn “Back Up ”. Tùy chọn này sẽ tạo một backup chỉ cho riêng Starter GPO này. Hình 10 Chọn một backup cục bộCũng như nhiều tính năng khác của Windows, bạn có thể ủy nhiệm các điều khoản cho phép đối với một người dùng hay nhóm nào đó . Trang 90
  91. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Hình 11: Tab Delegation cho Starter GPOs Tab này phản ánh các điều khoản bảo mật NTFS tên các “StarterGPOs”- thư mục bên dưới SYSVOL (xem phần trên); chỉ có người dùng hay các nhóm được ủy quyền mới hiện trong đây. 9) Network Policy Server trong Windows Server 2008 là gì? NPS không chỉ là một sự thay thế cho IAS mà nó còn thực hiện nhiều hơn những gì IAS đã từng làm. Trong khi nhiều bạn trong số chúng ta có thể mới chỉ xem để thực hiện những thứ tương tự mà IAS đã thực hiện được trong Windows 2003 thì khi cài đặt NPS bạn sẽ thấy được rất nhiều chức năng mới trong đó. Đây là những gì mà NPS thực hiện giống như ở IAS đã từng có: Định tuyến lưu lượng cho LAN và WAN Cho phép truy cập vào các tài nguyên nội bộ thông qua kết nối VPN hoặc dial-up. Tạo và ép buộc sự truy cập mạng thông qua các kết nối VPN hoặc dial-up. Tuy nhiên NPS còn có thể cung cấp các chức năng khác như: Các dịch vụ VPN Các dịch vụ Dial-up Truy cập được bảo vệ 802.11 Routing & Remote Access (RRAS) Đăng ký chứng thực thông qua Windows Active Directory Điều khiển truy cập mạng bằng các chính sách Trang 91
  92. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh .Những gì mà NPS thực hiện trên là tất cả các chức năng có liên quan đến NAP. Ví dụ - System Health Validators, Remediation Server Groups, Health Polices, a) Cách cài đặt NPS NPS là một thành phần của Windows Server 2008. Điều đó có nghĩa rằng bạn chỉ cần cài đặt nó bằng thành phần “Adding a Component”, như hình dưới đây: Hình 1: Bổ sung thêm thành phần NPS Tiếp theo bạn chọn Network Policy and Access Services Hình 2: Chọn Role NPS Trang 92
  93. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh b) Cách quản lý NPS Nếu bạn đang xem xét để thực hiện các chức năng ISA truyền thống, thì cách đơn giản nhất để quản lý các dịch vụ NPS mới là sử dụng Windows 2008 Server Manager. Bên trong Server Manager, bạn sẽ thấy Roles và role bên trong, cũng vậy bạn sẽ thấy cả Network Policy and Access Services, như dưới đây: Như những gì bạn có thể nhìn thấy, có 3 dịch vụ liên quan đến NPS, máy chủ chính sách mạng - network policy server (được đặt tên IAS), quản lý kết nối truy cập từ xa - remote access connection manager (RasMan) và các dịch vụ truy cập từ xa và định tuyến - routing and remote access service (được đặt tên là RemoteAccess). Với những người sử dụng IAS . Để cấu hình và quản lý dịch vụ Network Policy Server (NPS) riêng lẻ, có một công cụ quản trị mới Windows 2008 Server có tên gọi là Network Policy Server. Khi đã được load, bạn sẽ thấy giao diện như sau: Phần RADIUS Clients and Servers là phần mà các bạn có thể đã quen, như phần Polices. Những điểm mới ở đây là “Remote Access Logging” của IAS cũ đã được đặt lại tên là “Accounting” và thư mục Network Access Protection mới. c) Kiến trúc NPS Có một số phần trong kiến trúc của Network Policy Server. Dưới đây là hình minh họa. Như những gì bạn có thể thấy từ hình minh họa trên, NPS server mà chúng ta đã cài đặt trong bài này chỉ là một trong những phần nằm trong cơ sở hạ tầng NPS. Không phải tất cả các thành phần này đều được yêu cầu. Những thành phần nào của cơ sở hạ tầng này được yêu cầu hoàn toàn dựa vào chức năng mà bạn đang muốn thực hiện. Trang 93
  94. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Chương 5 ĐỊNH HƯỚNG PHÁT TRIỂN Qua mô hình trên ta thấy sự bảo mật trong group polices security ở windows server 2008 hơn hẳn windows server 2003, các chính sách được qui định chặc chẻ hơn, ngoài ra còn có tích hợp tường lửa firewall. Nhờ đó mà khả năng thiết lập các chính sách bảo mật trong windows server 2008 như cài đặt firewall, thiết lập cho firewall chọn những chương trình cần thiết để cho phép hay không cho phép, thiết lập các chính sách mật khẩu trong group polices security, tạo ổ đỉa ảo để truy cập qua mạng, tạo các file resrouce managerment để cấm copy nhửng file không mong muốn ngoài ra còn một số chính sách khác nhìn chung nhóm em đã làm được. Một số vấn đề cần khắc phục là khả năng thiết lập các chính sách trong tường lửa firewall chưa được tốt lắm, khả năng thiết lập trong wins còn nhiều hạn chế Trong tương lai sự phát của các hệ thống mạng sẻ được bảo mật hơn vì vậy cần có sự ra đời của các hệ điều hành mới hơn và bảo mật hơn windows server 2008 sẻ giúp cho các nhà quản trị mạng tốt hơn về cách thiết lập các chính sách trong group polices, các tương lửa firewall sẻ được tích hợp những tính năng mới để có thể ngăn cẳn sự tấn công của hacker. Trang 94
  95. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Chương 6 TÀI LIỆU THAM KHẢO Quản Trị windows server 2008 1 Tác Giả Tô Thanh Hải Quản Trị windows server 2008 2 Tác Giả Phương Lan www.quangtrimang.com www.hocIT.com.vn www.nhatnghe.com.vn/forum www.tinhoc.com www.12.bin.vn Trang 95
  96. GVHD: ThS.Nguyễn Minh Thi SVTT: Nguyễn Thênh Đặng Hữu Minh Trang 96