Chia Sẽ Kinh Nghiệm Về IT



Tìm Kiếm Với Google
-


AD Security Active Directory Security

Gởi Ðề Tài Mới  Gửi trả lời
 
Công Cụ Xếp Bài
Tuổi 17-11-2009, 09:00 AM   #1
hoctinhoc
Guest
 
Trả Lời: n/a
Bảo mật trên Server 2003 Domain Controllers
Bảo mật trên Server 2003 Domain Controllers

Vì máy Domain Controller quản lý Windows domain và tất cả các máy tính nằm trong Domain đó, nên việc bảo vệ nó phải được quan tâm một cách thích đáng. Trong bài viết này, chúng ta sẽ điểm qua một vài việc cần phải làm để bảo vệ Domain Controllers:

Bảo vệ vật lý các DCs

Bước đầu tiên (nhưng thường bị bỏ qua) trong việc bảo vệ các DCs là phải chắc chắn chúng không thể bị gây hại một cách vậy lý. Điều này có nghĩa là chúng phải được đặt trong một phòng server với cửa khóa, và việc ra vào phòng server phải được kiểm soát nghiêm ngặt. Không có cách nào để bảo vệ các server an toàn 100%. Mục tiêu của việc bảo mật không có nghĩa là làm sao không cho những “gã xấu” lấy được các thông tin có giá trị, mà là làm sao hạn chế càng nhiều càng tốt.
Bảo vệ vật lý phải được triển khai thành nhiều lớp. Khóa cửa phòng server chỉ là lớp đầu tiên. Nó giống như bạn khóa cửa nhà hoặc của cổng vậy. Trong trường hợp lớp thứ nhất này bị phá, bạn nên thiết kế thêm hệ thống chuông báo động nếu có 1 truy nhập bất hợp pháp (người không biết mật mã để tắt hệ thống chuông báo động). Nếu có điều kiện hơn nữa thì có thể lắp thêm các hệ thống camera nhận diện có vật chuyển động (khi nào có vật chuyển động các camera sẽ ghi nhận lại).
Câu hỏi tiếp theo là chúng ta sẽ làm gì nếu tất cả các hàng rào của ta ở trên đều bị vượt qua? Có một số lưu ý sau đây dành cho các bạn:

1. Gỡ bỏ tất cả các ổ đĩa có thể tháo ra được như ổ mềm, ổ CD/DVD, các ổ cứng gắn ngoài, ổ USB,…Điều này sẽ gây khó khăn cho kẻ xâm nhập khi muốn chép một chương trình nào đó (ví dụ virus) vào máy hoặc chép dữ liệu từ máy ra. Các cổng có thể dùng gắn các thiết bị bên ngoài vào như USB/IEEE 1394, cổng serial, cổng parallel, cổng SCSI…, nếu bạn không có nhu cầu dùng chúng thì nên disable (thông qua Bios) hoặc tháo ra khỏi server luôn.
2. Khóa thùng server để ngăn cản việc lấy cắp ổ cứng hoặc gây hại đến các thành phần trong máy.
3. Đặt server vào cabinet và khóa lại và bảo vệ hệ thống điện cho server để đảm bảo không bị ngắt điện.

Bảo vệ các DCs khỏi việc tấn công từ xa

Một khi bạn đã hài lòng với việc bảo vệ server ở tần vật lý, việc tiếp theo cần phải chú ý là ngăn cản các hacker, cracker và attacker, không cho phép cho truy nhập vào DCs qua đường mạng. Tất nhiên, phương thức “tốt nhất” là bỏ các DCs ra khỏi mạng – nhưng tất nhiên điều này là không thể. Thay vì thế, bạn cần phải làm các bước sau để chống lại các phương pháp tấn công phổ biến.

Bảo mật tài khoản Domain

Một trong những cách dễ nhất (đối với hacker) và cũng là một trong nhưng cách phổ biến nhất để xâm nhập vào mạng và các DCs là truy cập vào bằng một tài khoản và mật khẩu hợp pháp.
Về cơ bản, hacker chỉ cần biết 2 thứ là có thể truy nhập vào mạng: một tài khoản hợp pháp và mật khẩu của tài khoản đó. Bạn làm cho công việc của anh ta dễ thở hơn nếu tiếp tục sử dụng tài khoản quản trị mặc định mà tên của nó (Administrator) thì tất cả các hacker đều biết. Công việc của anh ta bây giờ là chỉ cần tìm thêm một thông tin nữa (mật khẩu). Và không giống như các tài khoản thông thường, tài khoản quản trị mặc định không bị locked out (tạm khóa) nếu vượt quá số lần đăng nhập sai. Điều này có nghĩa là hacker chỉ cần đoán (sử dụng phương pháp brute-force) các mật khẩu cho đến khi đăng nhập được.
Điều này là lý do tại sao bạn nên đổi tên tài khoản quản trị có sẵn (built-in) này. Tất nhiên, việc đổi tên cũng không giúp gì mấy nếu bạn quên xóa dòng mô tả mặc định (“Built-in account for administering the computer/domain”). Ý tưởng ở đây là làm sao để kẻ tấn công khó đoán được tài khoản có quyền quản trị. Việc này chỉ có nghĩa là “làm chậm lại” quá trình tấn công. Một người có kinh nghiệm sẽ dễ dàng phát hiện ra điều này (ví dụ, SID của tài khoản administrator là không thể thay đổi được, nó luôn luôn kết thúc bằng 500. Có rất nhiều phần mềm giúp các hacker khám phá ra con số SID, và từ đó biết được tài khoản quản trị).
Trong Windows 2003, bạn có thể disable hoàn toàn tài khoản administator built-in. Trong trường hợp này, đầu tiên bạn phải tạo một tài khoản khác và cấp quyền quản trị. Tài khoản guest nên được disable (như mặc định). Nếu bạn cần cấp quyền guest cho ai đó, bạn nên tạo một tài khoản mới và giới hạn quyền truy cập của tài khoản đó.
Tất cả các tài khoản – mà đặc biệt là tải khoản quản trị - nên có mật khẩu mạnh bao gồm ít nhất là 8 ký tự: chữ, số và các ký tự đặc biệt, chữ in hoa và in thường, và không được có trong từ điển. Các người dùng cũng phải chú ý không viết mật khẩu ra giấy cũng như chia sẻ mật khẩu đó với một người khác (social engineering là một trong những cách phổ biến nhất mà các hacker sử dụng), và một chính sách về việc thay đổi mật khẩu thường xuyên phải được đặt ra.

Đặt lại đường dẫn cho AD Database

Cơ sở dữ liệu Active Directory (AD) bao gồm các thông tin nhạy cảm và cần phải được bảo vệ. Một cách để làm việc này là di chuyển các file từ đường dẫn mặc định, nơi mà các kẻ tấn công hy vọng sẽ tìm thấy chúng (trên system volume). Để an toàn hơn nữa, nên xem xét việc đặt chúng lên các striped hay mirrored volume để có thể khôi phục lại chúng trong trường hợp đĩa cứng bị hỏng.
Các file trên bao gồm:
a. Ntds.dit
b. Edb.log
c. Temp.edb
Ghi chú: Việc di chuyển các tập tin AD database sang một đĩa cứng vật lý khác cũng giúp tăng hiệu quả của DC.
Bạn có thể dùng tiện ích NTDSUTIL.EXE để di chuyển database và log file. Cách làm như sau:
1. Khởi động lại máy domain controller
2. Bấm F8 lúc startup để truy cấp vào tùy chọn Advanced
3. Từ menu, chọn Directory Services Restore Mode
4. Nếu bạn có hơn một phiên bản của Windows Server 2003 cài trên máy, chọn phiên bản đúng và bấm Enter.
5. Tại màn hình đăng nhập, gõ vào mật khẩu administrator được nhập trong quá trình DCPROMO
6. Chọn Start --> Run và gõ cmd để mở cửa sổ Command.
7. Tại cửa sổ lệnh, gõ NTDSUTIL.EXE
8. Tại dấu nhắc của NTDSUTIL, bấm FILES
9. Chọn database và log file bạn muốn di chuyển. Bấm MOVE DB TO hay MOVE LOGS TO.
10. Chọn QUIT 2 lần để quay về cửa sổ command và đóng cửa sổ command lại.
11. Khởi động lại và đăng nhập vào Windows Server 2003 như bình thường.

Bảo vệ thông tin mật khẩu với Syskey


Một trong nhưng thông tin nhạy cảm nhất được chứa trong Active Directory là thông tin về mật khẩu của các tài khoản trong Domain. Chương trình System Key (Syskey) được dùng để mã hóa thông tin mật khẩu của tài khoản được chứa trong directory services của domain controller.
Có 3 chế độ trong Syskey. Ở mode thứ nhất, được bật mặc định trên tất cả các Server 2003, một khóa hệ thống (system key) được tạo ra một cách ngẫu nhiên và phiên bản đã được mã hóa của khóa được lưu trữ cục bộ. Trong mode này, bạn vẫn có thể khởi động lại máy một cách bình thường.
Trong mode 2, khóa hệ thống được tạo ra và lưu trữ giống như mode 1, nhưng một mật khẩu khác, được chọn bởi administrator, cung cấp thêm sự bảo vệ. Khi bạn khởi động lại máy, bạn phải nhập mật khẩu syskey này trong quá trình startup. Mật khẩu này không được lưu trữ locally.
Mode thứ 3 là phương thức bảo mật nhất. Khóa được máy tính phát sinh ra được lưu trữ trên đĩa mềm thay vì trên máy. Bạn không thể khởi động được máy trừ khi bạn có được cái đĩa mềm đó, và bạn phải bỏ nó vào ổ đĩa khi được yêu cầu trong quá trình khởi động.
Ghi chú: trước khi thực hiện bước 2 hoặc 3, bạn nên xem xét về khả năng thực hiện. Ví dụ, việc bỏ đĩa mềm chứa mật khẩu syskey sẽ cần bạn phải bỏ vào; điều này có nghĩa là bạn không thể khởi động máy tính từ xa nếu không có ai ở đó để bỏ đĩa mềm vào cho bạn.
Dưới đây là các bước để tạo một syskey:
1. Chọn Start --> Run, gõ cmd
2. Tại cửa sổ command, gõ SYSKEY
3. Chọn UPDATE. Check vào ENCRYPTION ENABLED.
4. Để yêu cầu nhập mật khẩu syskey khi khởi động, chọn PASSWORD STARTUP.
5. Nhập mật khẩu vào (mật khẩu có thể từ 12 đến 128 ký tự).
6. Nếu bạn không muốn hỏi mật khẩu khi khởi động, chọn SYSTEM GENERATED PASSWORD.
7. Tùy chọn mặc định là STORE STARTUP KEY LOCALLY. Nếu bạn muốn lưu khóa trên đĩa mề, chọn STORE STARTUP KEY ON FLOPPY DISK.
Nếu bạn sử dụng mode 3, lưu mật khẩu trên đĩa mềm, thì bạn nên tạo thêm một đĩa mềm backup.
Điều quan trọng là nếu bạn làm mất đĩa mềm hoặc đĩa mềm bị hư, hay bạn quên mật khẩu syskey, không có cách nào có thể lấy lại được ngoài việc cài đặt lại domain controller. (thật ra có thể làm được với đĩa Hirent’s Boot)

Tóm tắt

Bảo vệ các DCs là phần sống còn trong kế hoạch bảo mật mạng của bạn. Trong bài viết này, chúng ta đã thảo luận làm thế nào để bảo vệ vật lý các DCs, bảo mật tài khoản domain, di chuyển các AD Database files, và cách sử dụng tiện ích Syskey để bảo vệ thông tin mật khẩu của các tài khoản được lưu trưc trên Domain Controllers.

(Lược dịch từ bài Securing Server 2003 Domain Controllers của Deb Shinder trên WindowSecurity)

Theo: Mait

  Trả lời ngay kèm theo trích dẫn này
Gửi trả lời



Quyền Hạn Của Bạn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Hình Cảm xúc đang Mở
[IMG] đang Mở
Mã HTML đang Tắt




Bây giờ là 12:45 PM. Giờ GMT +7



Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.