Cài đặt windows server đảm bảo an ninh
Chào cả nhà, hôm nay mình sẽ hướng dẫn các bạn cách cài đặt một server làm sao để đảm bảo an ninh tốt nhất cho server đấy. Trong loạt bài viết này mình sẽ chia làm các phần. Phần 1 cài đặt windows server, phần II sẽ là phần cấu hình đảm bảo an ninh cho server. Mình nghĩ phần cài đặt windows server thì hầu như bạn quản trị nào cũng biết (nếu bạn quản trị nào chưa từng cài thì có thể tham khảo internet có rất nhiều bài hướng dẫn cài đặt chi tiết). Do đó mình sẽ đi luôn vào phần cấu hình đảm bảo an ninh cho server.
Phần 2 – Cấu hình đảm bảo an ninh
Phần cấu hình đảm bảo an ninh cũng khá dài nên mình sẽ chia 2 bài. Mọi người chú ý theo dõi nhé.
1. Accout Policy
Đề cập đến các chính sách an ninh về mật khẩu như độ dài, ngắn, thời gian thay đổi, số lần nhập sai mật khẩu, …
Minimum password age
Nếu thiết lập này ko hợp lý, người sử dụng có thể liên tục thay đổi mật khẩu của mình cho đến khi có được mật khẩu cũ và như vậy chính sách lịch sử mật khẩu (Enforce password history) không còn tác dụng nữa.
Giá trị 2 là mức đặt tối thiểu do microsoft khuyến cáo, giá trị này có thể thay đổi để phù hợp với chính sách của từng công ty riêng.
Maximum password age
Bất kỳ 1 mật khẩu nào dù là mật khẩu phức tạp nhất cũng có thể bị hacker đoán hoặc bẻ khóa trong 1 khoảng thời gian nào đó với 1 bộ xử lý đủ mạnh. Như vậy, nguy cơ mật khẩu bị dò ra sẽ giảm nếu nó thường xuyên được thay đổi.
Giá trị này có thể thay đổi để phù hợp với chính sách của từng công ty riêng.
Minimum Password length
Passwords must meet complexity requirements
- Mật khẩu ít nhất 6 ký tự
- Phải có các ký tự thuộc các nhóm sau ( cần có ký tự thuộc ¾ nhóm ) Chữ hoa, Chữ thường, Số, Ký tự đặc biệt
- Mật khẩu không bao gồm 3 chữ liền nhau trong tên tài khoản hoặc tên xuất hiện, hoặc tên đầy đủ … nếu tên chỉ có 2 ký tự thì việc kiểm tra này sẽ được bỏ qua.
Account lockout duration
Account lockout threshold
Nếu không thiết lập cho “Interactive logon: Require Domain Controller authentication to unlock workstation” thì cả đăng nhập vào hệ thống sử dụng CTRL+ALT+DELETE và gõ mật khẩu khi bảo vệ màn hình cũng được đếm số lần đăng nhập.
Reset account lockout counter after
1.2. Chính sách tài khoản và quyền tài khoản
Access this computer from the network
Bypass traverse checking
Deny access to this computer form the network
2. Log
Audit system events
Audit logon events
Audit policy change
Audit account management
Audit process tracking
Audit account logon events
3. Update
Chọn chế độ Download update but let me choose whether to install them. Đây là chế độ tự động kiểm tra và download bản nhưng không tự động cài đặt. Việc cài đặt tự động có thể phát sinh một số lỗi không mong muốn khi đang chạy dịch vụ trên server.
4. System service
Loại bỏ các dịch vụ không cần thiết
Xác định các dịch vụ nào đang chạy và tìm hiểu xem nó có phù hợp với hệ thống hay không, sau đó dùng lệnh:
net stop
Loại bỏ cổng không cần thiết
Adminitrator tools -> Windows Firewall with Advanced Security.
Ở đây có 2 tùy chọn: Inbound Rules là các cổng vào, Oubound là các công ra. Bạn chọn 1 trong 2.
Sau đó chọn New Rules -> Chọn Port rồi Next -> Chọn cổng TCP hoặc UDP. Chọn Specific Local Port rồi đánh số cổng vào sau đó Next -> Chọn Block the Connection và Next.
Vậy là đã xong phần 2-1, mọi người chú ý theo dõi phần 2-2 nhé.
Phần 2 – Cấu hình đảm bảo an ninh
Phần cấu hình đảm bảo an ninh cũng khá dài nên mình sẽ chia 2 bài. Mọi người chú ý theo dõi nhé.
- Phần 2-1: Phần này mình sẽ nói về việc cấu hình các phần: Accout Policy, Log, Update, System service.
- Phần 2-2: Phần này mình sẽ nói về việc cấu hình các phần: Security Options, Share Permission, Backup dữ liệu.
1. Accout Policy
Đề cập đến các chính sách an ninh về mật khẩu như độ dài, ngắn, thời gian thay đổi, số lần nhập sai mật khẩu, …
Minimum password age
- Mô tả:
Nếu thiết lập này ko hợp lý, người sử dụng có thể liên tục thay đổi mật khẩu của mình cho đến khi có được mật khẩu cũ và như vậy chính sách lịch sử mật khẩu (Enforce password history) không còn tác dụng nữa.
- Cấu hình:
Giá trị 2 là mức đặt tối thiểu do microsoft khuyến cáo, giá trị này có thể thay đổi để phù hợp với chính sách của từng công ty riêng.
Maximum password age
- Mô tả:
Bất kỳ 1 mật khẩu nào dù là mật khẩu phức tạp nhất cũng có thể bị hacker đoán hoặc bẻ khóa trong 1 khoảng thời gian nào đó với 1 bộ xử lý đủ mạnh. Như vậy, nguy cơ mật khẩu bị dò ra sẽ giảm nếu nó thường xuyên được thay đổi.
- Cấu hình:
Giá trị này có thể thay đổi để phù hợp với chính sách của từng công ty riêng.
Minimum Password length
- Mô tả:
- Cấu hình:
Passwords must meet complexity requirements
- Mô tả:
- Mật khẩu ít nhất 6 ký tự
- Phải có các ký tự thuộc các nhóm sau ( cần có ký tự thuộc ¾ nhóm ) Chữ hoa, Chữ thường, Số, Ký tự đặc biệt
- Mật khẩu không bao gồm 3 chữ liền nhau trong tên tài khoản hoặc tên xuất hiện, hoặc tên đầy đủ … nếu tên chỉ có 2 ký tự thì việc kiểm tra này sẽ được bỏ qua.
- Cấu hình:
Account lockout duration
- Mô tả:
- Cấu hình:
Account lockout threshold
- Mô tả:
Nếu không thiết lập cho “Interactive logon: Require Domain Controller authentication to unlock workstation” thì cả đăng nhập vào hệ thống sử dụng CTRL+ALT+DELETE và gõ mật khẩu khi bảo vệ màn hình cũng được đếm số lần đăng nhập.
- Cấu hình:
Reset account lockout counter after
- Mô tả:
- Cấu hình:
1.2. Chính sách tài khoản và quyền tài khoản
Access this computer from the network
- Mô tả:
- Cấu hình:
Bypass traverse checking
- Mô tả:
- Cấu hình:
Deny access to this computer form the network
- Mô tả:
- Cấu hình:
2. Log
Audit system events
- Mô tả:
- Cấu hình:
Audit logon events
- Mô tả:
- Cấu hình:
Audit policy change
- Mô tả:
- Cấu hình:
Audit account management
- Mô tả:
- Cấu hình:
Audit process tracking
- Mô tả:
- Cấu hình:
Audit account logon events
- Mô tả:
- Cấu hình:
3. Update
- Mô tả:
- Cấu hình:
Chọn chế độ Download update but let me choose whether to install them. Đây là chế độ tự động kiểm tra và download bản nhưng không tự động cài đặt. Việc cài đặt tự động có thể phát sinh một số lỗi không mong muốn khi đang chạy dịch vụ trên server.
4. System service
Loại bỏ các dịch vụ không cần thiết
- Mô tả:
- Cấu hình:
Xác định các dịch vụ nào đang chạy và tìm hiểu xem nó có phù hợp với hệ thống hay không, sau đó dùng lệnh:
net stop
Loại bỏ cổng không cần thiết
- Mô tả:
- Cấu hình:
Adminitrator tools -> Windows Firewall with Advanced Security.
Ở đây có 2 tùy chọn: Inbound Rules là các cổng vào, Oubound là các công ra. Bạn chọn 1 trong 2.
Sau đó chọn New Rules -> Chọn Port rồi Next -> Chọn cổng TCP hoặc UDP. Chọn Specific Local Port rồi đánh số cổng vào sau đó Next -> Chọn Block the Connection và Next.
Vậy là đã xong phần 2-1, mọi người chú ý theo dõi phần 2-2 nhé.
Chỉnh sửa lần cuối bởi người điều hành: