Cài đặt windows server đảm bảo an ninh

hungp

Whi-----
27/12/2014
49
72 bài viết
Cài đặt windows server đảm bảo an ninh
Chào cả nhà, hôm nay mình sẽ hướng dẫn các bạn cách cài đặt một server làm sao để đảm bảo an ninh tốt nhất cho server đấy. Trong loạt bài viết này mình sẽ chia làm các phần. Phần 1 cài đặt windows server, phần II sẽ là phần cấu hình đảm bảo an ninh cho server. Mình nghĩ phần cài đặt windows server thì hầu như bạn quản trị nào cũng biết (nếu bạn quản trị nào chưa từng cài thì có thể tham khảo internet có rất nhiều bài hướng dẫn cài đặt chi tiết). Do đó mình sẽ đi luôn vào phần cấu hình đảm bảo an ninh cho server.

windows server.png

Phần 2 – Cấu hình đảm bảo an ninh
Phần cấu hình đảm bảo an ninh cũng khá dài nên mình sẽ chia 2 bài. Mọi người chú ý theo dõi nhé.
  • Phần 2-1: Phần này mình sẽ nói về việc cấu hình các phần: Accout Policy, Log, Update, System service.
  • Phần 2-2: Phần này mình sẽ nói về việc cấu hình các phần: Security Options, Share Permission, Backup dữ liệu.
Vậy giờ ta sẽ đi vào từng phần.

1. Accout Policy

Đề cập đến các chính sách an ninh về mật khẩu như độ dài, ngắn, thời gian thay đổi, số lần nhập sai mật khẩu, …

Minimum password age
  • Mô tả:
Thiết đặt an ninh này sẽ xác định khoảng thời gian mật khẩu phải sử dụng trước khi người dùng có thể thay đổi nó. Người dùng có thể thiết lập giá trị trong khoảng 1 và 998 ngày hoặc không thiết lập (mặc định sẽ là 0).
Nếu thiết lập này ko hợp lý, người sử dụng có thể liên tục thay đổi mật khẩu của mình cho đến khi có được mật khẩu cũ và như vậy chính sách lịch sử mật khẩu (Enforce password history) không còn tác dụng nữa.
  • Cấu hình:
Adminitrator tools àLocal Security PolicyàAccount PoliciesàPassword Policyà Minimum password age àProperties: Điều chỉnh đến giá trị 2.
Giá trị 2 là mức đặt tối thiểu do microsoft khuyến cáo, giá trị này có thể thay đổi để phù hợp với chính sách của từng công ty riêng.

Maximum password age
  • Mô tả:
Thiết đặt an ninh này sẽ xác định khoảng thời gian mật khẩu phải sử dụng trước khi hệ thống yêu cầu người dùng có thể thay đổi nó. Người dùng có thể thiết lập giá trị trong khoảng 1 và 999 ngày hoặc có thể mặc định rằng mật khẩu không bao giờ hết hạn bằng cách thiết lập số ngày 0.

Bất kỳ 1 mật khẩu nào dù là mật khẩu phức tạp nhất cũng có thể bị hacker đoán hoặc bẻ khóa trong 1 khoảng thời gian nào đó với 1 bộ xử lý đủ mạnh. Như vậy, nguy cơ mật khẩu bị dò ra sẽ giảm nếu nó thường xuyên được thay đổi.
  • Cấu hình:
Adminitrator tools àLocal Security PolicyàAccount PoliciesàPassword Policyà Maximum password age àproperties: Điều chỉnh đến giá trị trong khoảng từ 30-90.

Giá trị này có thể thay đổi để phù hợp với chính sách của từng công ty riêng.

Minimum Password length
  • Mô tả:
Thiết đặt an ninh này sẽ xác định số ký tự ít nhất cho mật khẩu người dùng. Người dùng có thể thiếp lập giá trị này từ 1 đến 14 ký tự hoặc có thể thiết lạp mật khẩu không được yêu cầu bằng cách đặt số ký tự thành 0.
  • Cấu hình:
Adminitrator tools àLocal Security PolicyàAccount PoliciesàPassword Policyà Minimum Password length àproperties : Đặt giá trị ở 8 hoặc cao hơn, tùy theo chính sách quy định công ty.

Passwords must meet complexity requirements
  • Mô tả:
Chính sách này đảm bảo mật khẩu phải thỏa mãn 1 số quy tắc để được coi là 1 mật khẩu mạnh. Nếu chính sách này được thiết lập thì mật khẩu sẽ phải tuân theo quy tắc sau:

- Mật khẩu ít nhất 6 ký tự

- Phải có các ký tự thuộc các nhóm sau ( cần có ký tự thuộc ¾ nhóm ) Chữ hoa, Chữ thường, Số, Ký tự đặc biệt

- Mật khẩu không bao gồm 3 chữ liền nhau trong tên tài khoản hoặc tên xuất hiện, hoặc tên đầy đủ … nếu tên chỉ có 2 ký tự thì việc kiểm tra này sẽ được bỏ qua.
  • Cấu hình:
Adminitrator tools àLocal Security PolicyàAccount PoliciesàPassword Policyà Passwords must meet complexity requirements àproperties : Chọn Enabled.

Account lockout duration
  • Mô tả:
Thiết lập chính xác định số phút mà tài khoản bị khóa trước khi tự động trở thành mở khóa. Phạm vi có sẵn là từ 1 đến phút 99.999. Giá trị 0 xác định rằng tài khoản sẽ bị khóa cho đến khi Admin mở khóa.
  • Cấu hình:
Adminitrator tools àLocal Security PolicyàAccount PoliciesàAccount Lockout Policyà Account lockout duration àproperties : Đặt giá trị ở khoảng 30 phút.

Account lockout threshold
  • Mô tả:
Chính sách này xác định số lần truy nhập thất bại trước khi tài khoản bị khóa. Một tài khoản đã khóa không thể được sử dụng cho đến khi nó được reset lại bởi một quản trị viên hoặc cho đến khi số phút quy định của thời gian khóa tài khoản hết hạn. Bạn có thể thiết lập một giá trị từ 1 đến 999 lần đăng nhập thất bại , hoặc bạn có thể xác định rằng tài khoản sẽ không bao giờ bị khóa bằng cách thiết lập giá trị là 0 . Nếu ngưỡng khóa tài khoản được thiết lập để một số lớn hơn không , thời gian khóa tài khoản phải lớn hơn hoặc bằng giá trị của tài khoản Thiết lập lại lockout counter sau.

Nếu không thiết lập cho “Interactive logon: Require Domain Controller authentication to unlock workstation” thì cả đăng nhập vào hệ thống sử dụng CTRL+ALT+DELETE và gõ mật khẩu khi bảo vệ màn hình cũng được đếm số lần đăng nhập.
  • Cấu hình:
Adminitrator tools àLocal Security PolicyàAccount PoliciesàAccount Lockout Policyà Account lockout threshold àproperties : Chọn giá trị này khoảng trên 4 dưới 10.

Reset account lockout counter after
  • Mô tả:
Chính sách này chỉ ra thời gian 1 tài khoản bị khóa được reset số lần đăng nhập về 0, để lại có thể được sử dụng. Nếu “Account lockout threshold “ được thiết lập, thời gian này phải được thiết lập sao cho nó nhỏ hơn hoặc bằng “Account lockout duration”, giá trị này nằm từ 1-99,999.
  • Cấu hình:
Adminitrator tools àLocal Security PolicyàAccount PoliciesàAccount Lockout Policyà Reset account lockout counter after àproperties : Thiết lập giá trị này ở 30 phút.

1.2. Chính sách tài khoản và quyền tài khoản
Access this computer from the network

  • Mô tả:
Quyền này cho phép những người sử dụng và nhóm người sử dụng được có được phép kết nối với máy tính qua mạng. Dịch vụ đầu cuối sẽ không bị ảnh hưởng.
  • Cấu hình:
Adminitrator tools àLocal Security PolicyàLocal Policies à User Rights Assginment à Access this computer from the network àproperties: Xóa tài khoản Everyone.

Bypass traverse checking
  • Mô tả:
Chính sách này cho phép bất kỳ ai cũng có thể vượt qua kiểm tra phân quyền của thư mục. Nguy cơ lớn khi người quản trị hệ thống cho rằng, một tài khoản không thể xem thư mục cha thì cũng không thể đọc và xem nội dung thư mục con dẫn đến các ảnh hưởng nghiêm trọng đến hệ thống.
  • Cấu hình:
Adminitrator tools àLocal Security PolicyàLocal Policies à User Rights Assginment à Bypass traverse checking àproperties: Xóa tài khoản Everyone.

Deny access to this computer form the network
  • Mô tả:
Chính sách này cho phép người dùng có thể kết nối tới máy tính này qua mạng. Người dùng có thể truy cập vào máy tính thông qua đường mạng có thể liệt kê danh sách tên các tài khoản, tên các nhóm và các tài nguyên chia sẻ. Những tài khoản với quyền truy cập vào các mục chia sẻ và các file chia sẻ có thể kết nôi thông qua đường mạng và có thể sửa đổi dữ liệu.
  • Cấu hình:
Adminitrator tools àLocal Security PolicyàLocal Policies à User Rights Assginment à Deny access to this computer form the network àproperties: Xóa tài khoản Guest.

2. Log
Audit system events

  • Mô tả:
Chính sách này ghi lại thông tin khi người dùng khởi động lại hoặc tắt máy tính, hoặc khi 1 sự kiện xảy ra làm ảnh hưởng tới an ninh của máy tính hoặc nhật ký an ninh.
  • Cấu hình:
Adminitrator tools àLocal Security PolicyàLocal Policies àAudit Policy à Audit system events àproperties: Chọn Success và Failure.

Audit logon events
  • Mô tả:
Chính sách này xác định sự kiện khi mỗi user đăng nhập, đăng xuất hoặc kết nối từ mạng vào máy tính. Ghi lại những truy cập thất bại, những thông tin này sẽ rất hữu ích để xác định các cuộc tấn công, tuy nhiên cấu hình này cũng tạo ra các nguy cơ bị tình trạng DoS, bởi vì 1 kẻ tấn công có thể tạo ra hàng triệu truy cập thất bại, làm đầy bản ghi log an ninh và buộc máy chủ phải tắt.
  • Cấu hình:
Adminitrator tools àLocal Security PolicyàLocal Policies àAudit Policy à Audit logon events àproperties : Tick Success.

Audit policy change
  • Mô tả:
Chính sách này sẽ ghi lại thông tin khi có sự thay đổi về quyền hạn của người sử dụng truy cập vào các chính sách, chính sách tường lửa, chính sách kiểm tra hoặc các chính sách tin cậy. Chính sách này cần thiết khi bạn muốn biết xem tài khoản nào đã thay đổi các quyền truy cập, hay các chính sách của hệ thống để có thể có được các thay đổi hợp lý.
  • Cấu hình:
Adminitrator tools àLocal Security PolicyàLocal Policies àAudit Policy à Audit policy change àproperties: Chọn Success.

Audit account management
  • Mô tả:
Thiết đặt bảo mật này sẽ quản lý từng sự kiện của tài khoản trên một máy tính. Ví dụ về tài khoản quản lý sự kiện bao gồm: Một tài khoản người dùng hoặc nhóm được tạo, thay đổi, hoặc xóa, một mật khẩu được thiết lập hoặc thay đổi.
  • Cấu hình:
Adminitrator tools àLocal Security PolicyàLocal Policies àAudit Policy à Audit account management àproperties: Chọn Success.

Audit process tracking
  • Mô tả:
Chính sách này ghi lại thông tin khi một chương trình được kích hoạt hoặc tắt đi, một tiến trình bị tắt đi,…
  • Cấu hình:
Adminitrator tools àLocal Security PolicyàLocal Policies àAudit Policy à Audit process tracking àproperties: Tick Success và Failure.

Audit account logon events
  • Mô tả:
Chính sách này xác định khi nào thì 1 tài khoản từ 1 máy tính khác truy nhập và truy xuất vào máy tính hiện tại. Cần thiết lập chính sách này để sớm phát hiện ra được các tài khoản nào đang trái phép truy cập từ xa vào hệ thống.
  • Cấu hình:
Adminitrator tools àLocal Security PolicyàLocal Policies àAudit Policy à Audit system events àproperties: Chọn Success và Failure.

3. Update
  • Mô tả:
Windows Update là một dịch vụ của Microsoft cho phép bạn xác định, tải về và cài đặt các bản vá lỗi mới nhất của Windows. Nếu dịch vụ này bị tắt thì hệ thống windows sẽ không thể tự động cập nhật được các bản vá lỗi và nguy cơ server bị dính lỗ hổng zero-day là khá cao.
  • Cấu hình:
Control Panel à Windows Update àChange setting: Chọn Download update but let me choose whether to install them.
Chọn chế độ Download update but let me choose whether to install them. Đây là chế độ tự động kiểm tra và download bản nhưng không tự động cài đặt. Việc cài đặt tự động có thể phát sinh một số lỗi không mong muốn khi đang chạy dịch vụ trên server.

4. System service
Loại bỏ các dịch vụ không cần thiết

  • Mô tả:
Trên hệ thống khi ta cài mặc định sẽ có một số dich vụ tự động cài đặt mặc định và một số dịch vụ không cần thiết với nhiệm vụ của server đấy.
  • Cấu hình:
Vào cmd gõ lệnh: net start . Rồi xem các dịch vụ.

Xác định các dịch vụ nào đang chạy và tìm hiểu xem nó có phù hợp với hệ thống hay không, sau đó dùng lệnh:
net stop

Loại bỏ cổng không cần thiết
  • Mô tả:
Trên hệ thống khi ta cài sẽ mặc định có một số cổng được mở để chạy các dịch vụ. Một số cổng thường hay tồn tại các lỗ hổng giúp cho kẻ tấn công có thể khai thác được hệ thống.
  • Cấu hình:
Vào cmd gõ lệnh: netstat -an . Rồi xem cổng đang chạy.

Adminitrator tools -> Windows Firewall with Advanced Security.

Ở đây có 2 tùy chọn: Inbound Rules là các cổng vào, Oubound là các công ra. Bạn chọn 1 trong 2.

Sau đó chọn New Rules -> Chọn Port rồi Next -> Chọn cổng TCP hoặc UDP. Chọn Specific Local Port rồi đánh số cổng vào sau đó Next -> Chọn Block the Connection và Next.

Vậy là đã xong phần 2-1, mọi người chú ý theo dõi phần 2-2 nhé.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
windows server
Bên trên