Mạng máy tính

Buổi học 6
2
Heä ñieàu haønh laø gì?
 HĐH (Network Operating System):
NOS cung cấp các phục vụ về mạng như dùng
chung tệp, máy in, quản lý tài khoản người dùng
.... Nếu máy trạm dựa vào các dịch vụ được cung
cấp bởi máy chủ, một NOS được thiết kế tốt sẽ
cung cấp cơ chế bảo vệ cũng như khả năng đa
nhiệm điều này giúp tránh được các lỗi đáng tiếc
xảy ra. Xét về mặt kỹ thuật thì sự khác nhau
giữa máy trạm và máy chủ phụ thuộc vào phần
mềm được cài đặt trên đó.
 Một mạng yêu cầu hai loại phần mềm sau:
3
4
Client software

 Client Softwave nhận các yêu cầu từ người sử

dụng
 Nếu yêu cầu đó được cung cấp bởi các phần
mềm hệ thống trên máy trạm đó thì nó sẽ gửi
yêu cầu đó cho hệ điều hành trên máy trạm
thực hiện
 Nếu các yêu cầu được cung cấp bởi mạng nó
sẽ gửi yêu cầu cho máy chủ để yêu cầu dịch
vụ.
 Client Softwave còn được gọi là Requester (vì
nó yêu cầu dịch vụ từ máy chủ hoặc máy trạm)
5
Server software
 Phần mềm cho máy chủ (Server Softwave): Máy chủ tồn tại chỉ
đơn giản là để nhằm thoả mãn các yêu cầu của các máy trạm, do
máy chủ thực sự lưu trữ phần lớn dữ liệu của toàn mạng nó
thường cung cấp các vị trí thuận lợi để thực hiện các nhiệm vụ
như:
• Quản lý tài khoản người dùng :
NOS yêu cầu mỗi người sử dụng khi đăng User Accounts
nhập vào mạng phải có tài khoản đúng (bao
gồm tên và mật khẩu truy nhập).
Sau khi đã đăng nhập vào mạng người
dùng có quyền sử dụng các tài nguyên của
mạng tuỳ thuộc vào quyền truy nhập
của mình cho đến khi rời khỏi mạng. Các tài
khoản người dùng được tổ chức thành cơ sở dữ liệu và được quản lý bởi
người quản trị mạng (là người có quyền thêm, bớt, sửa đổi các tài khoản
người sử dụng).

Manager
Manager Group
Group 6
 Bảo vệ an ninh trên mạng :
Do máy chủ biết được những người đã đăng nhập vào mạng nó có thể
quản lý các tài nguyên mà mỗi người sử dụng được quyền truy nhập.
Người quản trị mạng có thể gán các quyền truy nhập đối với các tài
nguyên khác nhau cho những người sử dụng khác nhau, điều này cho
phép người sử dụng lưu trữ các thông tin cá nhân cũng như các thông tin
nhạy cảm trên mạng tránh sự nhòm ngó của người khác.
 Central licensing :
Theo luật bản quyền thì mỗi bản đăng ký chỉ được sử dụng cho một
người sử dụng, điều này sẽ gây khó khăn cả về mặt tài chính cũng như
quá trình cài đặt cho nhiều người trong cùng tổ chức hoặc công ty cùng
sử dụng một phần mềm nào đó. Tuy nhiên với centralizing licensing phần
mềm được cài đặt lên máy chủ cho phép mọi người cùng sử dụng một
cách nhất quán.
 Bảo vệ dữ liệu :
Do những dữ liệu quan trọng nhất thường được lưu trữ trên máy chủ nên
nó thường được cài đặt cơ chế bảo vệ dữ liệu rất chặt chẽ, bảo vệ dữ
liệu đề cập đến các phương tiện bảo vệ sự toàn vẹn của thông tin được
lưu trữ trên máy chủ.
7
 Các hệ điều hành mạng được thiết kế để hỗ trợ các tính năng đa
nhiệm và đa xử lý (Multitasking and Multiprocessing):
Vì máy chủ thường phải đáp ứng một khối lượng rất lớn các yêu
cầu từ các máy trạm nên nó cần có tốc độ rất nhanh để có thể
thực hiện nhiều nhiệm vụ cùng lúc.
• Multitasking :
Là kỹ thuật thực thi nhiều nhiệm vụ cùng lúc chỉ sử dụng một
CPU
• Multiprocessing:
Là kỹ thuật sử dụng nhiều CPU để xử lý một hoặc nhiều tiến
trình, NOS sẽ thực hiện việc phân chia nhiệm vụ, quản lý quá
trình thực hiện cho từng CPU.
• Multiuser :
Là kỹ thuật có thể cho nhiều người sử dụng cùng truy cập vào
một thời điểm
8
HEÄ ÑIEÀU HAØNH MAÏNG
 Hệ điều hành mạng UNIX:
Đây là hệ điều hành do các nhà khoa học xây dựng và được dùng rất phổ biến trong
giới khoa học, giáo dục. Hệ điều hành mạng UNIX là hệ điều hành đa nhiệm, đa
người sử dụng, phục vụ cho truyền thông tốt. Nhược điểm của nó là hiện nay có
nhiều Version khác nhau, không thống nhất gây khó khǎn cho người sử dụng. Ngoài
ra hệ điều hành này khá phức tạp lại đòi hỏi cấu hình máy mạnh
 Hệ điều hành mạng NetWare của Novell :
Trong những nǎm qua, Novell đã cho ra nhiều phiên bản của Netware: Netware 2.2,
3.11. 4.0 và hiện có 4.1.… Netware là một hệ điều hành mạng cục bộ dùng cho các
máy vi tính theo chuẩn của IBM hay các máy tính Apple Macintosh, chạy hệ điều
hành MS-DOS hoặc OS/2.
 Hệ điều hành mạng Windows for Worrkgroup : Đây là hệ điều hành mạng ngang hàng
nhỏ, cho phép một nhóm người làm việc (khoảng 3-4 người) dùng chung ổ đĩa trên
máy của nhau, dùng chung máy in nhưng không cho phép chạy chung một ứng dụng.
Dễ dàng cài đặt và cũng khá phổ biến.

 Và thông dụng và phổ biến nhất hiện nay là các dòng như Windows XP Professional,
Windows 2000 Professional cho máy trạm, Windows Server 2000 Advenced hoặc
Windows 2003 cho Server. 9
10
Windows XP Professional heä ñieàu haønh
daønh cho maùy traïm
 Yêu cầu phần cứng tối thiểu và khả năng nâng cấp
• CPU 233 MHz (500 MHz)
• RAM 64 MB (128 MB)
• HDD 1.5 GB (5 GB)
• Super VGA (800 × 600)
 Là hệ điều hành dùng cho máy trạm:
• Dễ sử dụng
• Quản trị đơn giản
• Hỗ trợ phần cứng rộng rãi
• Quản lý File mở rộng và bảo mật
• Kết nối Internet đơn giản, hiệu quả
• Hỗ trợ đa xử lý đối xứng 2 CPU

11
 An toàn và bảo mật cao
•Khả năng đa người dùng và đa nhiệm
•Quản lý theo từng account
•Quản lý đĩa

NO!
Ok
Ok
Logon
SAM

User 1

Logon
Logon

User 2 User 3
12
Overview Win XP Pro
Caøi ñaët Win XP Pro

13
What is the Boot.ini File?
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(1)partition(2)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(1)partition(2)\WINDOWS=Microsoft Windows X
SCSI(0)disk(1)rdisk(0)partition(1)\WINDOWS=Microsoft Windows 2000

multi(0) rdisk(1) partition(2)

rdis
0 k 0 1

1 1 2

Physical Disk
Controllers
Disks Partitions
14
Microsoft
Windows Server
2003
15
 Là HĐH dùng cho Server
 Dựa trên nền của Windows 2000, bổ sung và phát
triển các tính năng mới
 4 phiên bản thông dụng nhất là:
o Standard Edition
o Enterprise Edition
o Datacenter Edition
o Web Edition

16
 So với phiên bản 2000 thì họ điều hành 2003 có những
đặc tính mới sau:
o Khả năng kết chùm Server để san sẻ tải, cài đặt
RAM nóng (hot Swap)
o Hổ trợ WinXP tốt hơn như hiểu được chính sách
nhóm (Group Policy) được thiết lập trong XP, có bộ
công cụ quản trị mạng đầy đủ các tính năng chạy
trên WinXP.
o Tính năng cơ bản của Mail Server được tích hợp
sẳn, nên có thể dùng dịch vụ POP3 và SMTP để xây
dựng hệ thống mail đơn giản
o v.v…
17
Cấu hình máy để cài đặt Win2K3

CPU : Intel hoặc AMD 133MHz trở lên

Gợi ý 733 MHz trở lên

128 MB hoặc 256 MB

NTFS và còn trống 1,5 GB

Ít nhất 1 NIC

18
19
20
 W2k3
MÔ HÌNH MẠNG

21
Các mô hình mạng trong môi trường W2k3
o Mô hình Workgroup
Đây là loại mô hình Peer to Peer, các dữ liệu tài
nguyên được lưu trữ phân tán tại các máy cục bộ, các
máy tự quản lý và chia sẻ.
Các máy sử dụng hđh hỗ trợ đa người dùng, lưu trữ
thông tin người dùng trong tập tin SAM (Security
Accounts Manager) ngay trên máy cục bộ, tập tin này
được mã hoá nhằm tránh người dùng khác ăn căp mật
khẩu để tấn công vào máy tính
Do thông tin người dùng lưu trữ tại máy trạm, nên việc
chứng thực người dùng đăng nhập máy tính cũng so
máy này tự chứng thực.
22
Các mô hình mạng trong môi trường W2k3 (tt)
o Mô hình Domain
Hoạt động theo cơ chế Client – Server, trong hệ thống
mạng phải có ít nhất 1 máy tính đóng vai trò điều khiển
vùng (Domain Controller)
Máy tính này điều khiển toàn bộ hoạt động của mạng,
việc quản lý dữ liệu tài nguyên,chứng thực người dùng do
các Server trong miền đảm nhiệm.
Các thông tin người dùng được tập trung lại và do dịch vụ
Active Directory quản lý và lưu trữ trên máy điều khiển
vùng với tên file là NTDS.DIT, có thể lưu trữ thông tin
hàng triệu người dùng.

Việc đăng nhập vào mạng cũng do Domain Controler

chứng thực
23
 Chức năng
o Lưu giữ 1 danh sách tập trung các tên tài khoản người
dùng, mật khẩu tương ứng, và các tài khoản máy tính
o Cung cấp 1 Server đóng vai trò chứng thực
(Authentication Server) hoặc Server quản lý đăng nhập
(logon Server), còn gọi là Domain Controler
o Có cơ chế tạo tài khoản người dùng rất linh động, mềm
dẻo
o Cho phép chia nhỏ miền của mình thành các đơn vị nhỏ
hơn (Sub Domain, Organizational Unit), sau đó uỷ quyền
cho các quản trị viên từng bộ phận quản lý.

24
Mạng máy tính
 Tài khoản người dùng
User Acount là 1 đối tượng quan trọng đại diện cho người
dùng trên mạng, được phân biệt qua chuổi nhận dạng (User
name).
Chuổi nhận dạng này giúp hệ thống phân biệt giữa người
này với người khác trên mạng, từ đó người dùng có thể
đăng nhập vào mạng và truy xuất các tài nguyên mạng mà
mình được phép

User Acount
26
 Tài khoản người dùng cục bộ
Local User Account là tài khoản được định nghĩa trên máy
cục bộ, và chỉ được phép logon, truy cập tài nguyên trên
máy cục bộ
Nếu muốn truy cập tài nguyên trên mạng thì phải được
chứng thực tại máy có tài nguyên chia sẻ.
Các tài khoản này được lưu trong tập tin CSDL SAM tại
máy cục bộ (..\Windows\system32\config)

Logon

SAM

27
 Tài khoản người dùng miền
Domain User Account là tài khoản được định nghĩa
trên Active Directory và được phép logon vào
mạng tại bất kỳ máy trạm nào trong miền
Với tài khoản này người dùng có thể truy cập đến
các tài nguyên trên mạng
Các tài khoản này được chứa trong tập tin
NTDS.DIT (..\\Windows\NTDS)

Windows Server 2003 Domain

28
 Logging on …

Access Token

Logging on Locally

Active Directory

Access Token

Logging on to a Domain

29
 Tài khoản nhóm
Group Account là đối tượng đại diện cho một nhóm người
dùng nào đó. Dùng cho việc quản lý chung các đối tượng
người dùng
Việc phân bổ người dùng vào nhóm giúp ta dể dàng cấp
quyền cho họ trên các tài nguyên mạng như các thư mục
chia sẻ, máy in
Tài khoản nhóm không thể dùng để đăng nhập và được chia
làm 2 loại

• Nhóm bảo mật (Security Group)

• Nhóm phân phối (Distribution Group)

30
• Nhóm bảo mật (Security Group)
Được dùng để cấp phát các quyền hệ thống (Rights) và quyền truy
cập (Permission)
Giống như tài khoản người dùng, các nhóm bảo mật đều được chỉ
định các SID (Security ID)
• Nhóm phân phối (Distribution Group)
Là loại nhóm phi bảo mật, không có SID. Loại nhóm này không
được dùng bởi các nhà quản trị mà được dùng bởi các phần mềm
dịch vụ. Chúng được dùng để phân phối thư (Email) hoặc các tin
nhắn (message) ví dụ như dịch vụ MS Exchange.

31
 Các nhóm tạo sẵn đặc biệt
Interactive Đại diện cho users sử dụng máy tại chổ
Network Users đang kết nối mạng đến 1 máy tính khác

Everyone Tất cả mọi người dùng

System Đại diện cho hệ điều hành

Creator owner Users tạo ra và sở hữu tài nguyên nào đó

Authenticated user Users đã được hệ thống xác thực

Users đăng nhập nặc danh vào hệ thống ( sử dụng
Anonymous logon
FTP…)
Service Tài khoản đăng nhập với tư cách 1 dịch vụ

Dialup Users đăng nhập hệ thống bằng Dialup

32
 Quản lý tài khoản người dùng

Giống như Win XP,

ta quản lý tài khoản
người dùng: tạo, xoá,
đổi tên, cấp quyền…
thông qua giao diện
Computer
Management.

33
Chú ý
 Nên xoá tài khoản người dùng nếu chắc chắn rằng tài khoản
này sẽ không bao giờ dùng nữa.
Chú ý: Tài khoản bị xoá sẽ không phục hồi lại được nữa.
 Khi 1 tài khoản không sử dụng trong 1 thời gian dài, ta nên
khoá lại vì lý do bảo mật và an toàn hệ thống.
 Ta có thể đổi tên bất kỳ 1 tài khoản người dùng nào, và có
thể điều chỉnh lại những thông tin về tài khoản đó.
Khi ta đổi tên, SID của tài khoản đó không thay đổi.
 Ta cũng có thể thay đổi Password của bất kỳ tài khoản nào
nếu xét thấy cần thiết.

34
35
 Chính sách tài khoản người dùng (Account Policy) dùng để
chỉ định các thông số về tài khoản người dùng mà nó được
sử dụng khi tiến trình Logon xảy ra.
 Cho phép ta cấu hình các thông số bảo mật máy tính, mật
khẩu, khoá tài khoản và chứng thực.

Password Permission Computer

36
Khái niệm
Users
Nếu trên Server dùng
Workgoup ta sẽ thấy 2 mục
là Password Policy và
Account Lockout Policy còn
nếu Server đã nâng cấp lên
Domain Controler sẽ có
thêm 1 mục nữa là Kerberos
Policy
Start  Progams 
Administrative Tools 
Local Security Policy
hoặc Domain Security
Policy

37
 Chính sách mật khẩu

 Password Policy nhằm đảm bảo an toàn mật khẩu cho người dùng, tránh các
trường hợp đăng nhập bất hợp pháp vào hệ thống
Số lần đặt mật mã không được
trùng nhau
Số ngày nhiều nhất mà mật mã
có hiệu lực
Số ngày tối thiểu trước khi User
được phép đổi mật mã
Số ký tự ngắn nhất của mật mã

Mật mã phải có độ phức tạp

Mật mã được mã hoá

38
 Chính sách khoá tài khoản
 Account Lockout Policy quy định cách thức khoá tài khoản trong vùng hay
trong hệ thống cục bộ. Chính sách này giúp ta hạn chế bị tấn công bằng
phương pháp Logon từ xa.
Quy định thời gian khoá. Là 0,
Nhưng nếu Account Lockout
Threshold được thiết lập thì giá
trị này là 30 phút
Quy định số lần đăng nhập sai,
tài khoản sẽ bị khoá

Quy định thời gian đếm lại số lần

đăng nhập không thành công.
Là 0, nếu Account Lockout
Threshold được thiết lập thì giá
trị này là 30 phút
39
 Local Policy cho thiết lập các chính sách giám sát đối tượng trên mạng,
như : người dùng và tài nguyên dùng chung. Đồng thời dựa vào chính sách
này ta có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa
chọn bảo mật.

40
 Chính sách kiểm toán

Audit Policy cho phép giám sát và ghi nhận các sự kiện xảy ra trong hệ thống, trên các
đối tượng và các người dùng. Ghi nhận thông qua công cụ Event Viewer trong mục
Security

1-Ghi nhận khi Users logon hoặc

logoff hoặc tạo một kết nối mạng
Ghi nhận khi có sự thay đổi thông
tin về Tkhoản Users hoặc Group
Ghi nhận việc truy cập các dịch
vụ thư mục
Ghi nhận sự thay đổi trong chính sách kiểm toán Ghi nhận việc thi hành Script
Ghi nhận khi có thao tác quản trị bằng quyền hệ hoặc roaming profile
thống như cấp hoặc xoá quyền 1 ai đó Ghi nhận việc truy cập các file,
Ghi nhận sự hoạt động của ch.trình hay HĐH thư mục, máy in…

Ghi nhận khi khởi động lại máy hoặc tắt41

máy
 Quyền hệ thống của người dùng

 Có 2 cách cấp quyền hệ thống cho người dùng

1. Add tài khoản người dùng vào các nhóm đã được tạo sẵn (built-
in) để thừa kế quyền (đã học ở WinXP)

2. Hoặc dùng công

cụ User Right
Assigment để gán từng
quyền rời
rạc cho người dùng

42
Quyền hệ thống của người dùng (tt)
Quyền
Access This Computer in the
Network
Act as Part of the Operating
System
Add Workstations to the Domain
Backup file and Directories
Bypass Traverse checking
Change the System time
Mô tả
Cho phép người dùng truy cập máy tính này
thông qua mạng, mặc định mọi người đều
có quyền
Cho phép các dịch vụ chứng thực ở mức
thấp, được chưng thực bởi bất cứ người
dùng nào
Cho phép người dùng thêm 1 tài khoản
máytính vào vùng
Cho phép người dùng sao lưu
Cho phép duyệt cấu trúc thư mục nếu
không có quyền xem (list) thư mục này
Cho phép thay đổi giờ hệ thống
43
Quyền hệ thống của người dùng (tt)

Quyền Mô tả

Creat a Pagefile Cho phép thay đổi kích thước Pagefile

Cho phép 1 tiến trình tạo 1 thẻ bài nếu tiến trình
Creat a Token Object
này dùng NTCreat Token API

Cho phép 1 tiến trình tạo 1 đối tượng thư mục

Creat Permanent Shared Object
thông qua Win 2000 Object Manager
Cho phép người dùng gắn 1 chương trình debug
Debug Programs
vào bất cứ tiến trình nào

Deny Access to This Computer Cho phép khoá người dùng hoặc nhóm không
from the Net được truy cập đến các máy tính khác trên mạng

Cho phép ngăn cản users và nhóm được phép

Deny Logon as Batch file
logon như 1 batch file

44
Quyền hệ thống của người dùng (tt)
Quyền
Deny Logon as Service
Deny Logon Locally
Enable Computer and User
Accounts to Be Trusted by
Delegation
Force shutdow from a remote
system
Generate Security Audits
Increase Quotas
Mô tả
Cấm users và nhóm logon như 1 service
Cấm users và nhóm truy cập đến máy tính cục
bộ
Cho phép users hoặc nhóm được uỷ quyền cho
người dùng hoặc máy tính
Cho phép người dùng Shutdow máy từ xa thông
qua mạng
Cho phép tạo 1 entry vào Security log
Cho phép users điều khiển hạn nghạch của các
tiến trình
45
 Các lựa chọn bảo mật

 Security Options cho phép người quản trị Server khai báo thêm
các thông số nhằm tăng tính bảo mật thêm cho hệ thống như :
Không hiển thị Username
người dùng đã logon
trước
Hay đổi tên người dùng
tạo sẵn
Win 2k3 hổ trợ chúng ta
rất nhiều lựa chọn bảo
mât.
Nhưng trong giáo tài liệu
này chúng ta chỉ khảo sát
những lựa chọn thông
dụng
46
 Các lựa chọn bảo mật

Cho phép người dùng shutdown hệ thống mà không cần logon

Giám sát việc truy cập các đối tượng hệ thống toàn cục
Tự động logoff khi người
dùng hết thời gian sử dụng
hoặc tài khoản hết hạn
Không hiển thị tên người
dùng vừa logon trên hộp
thoại logon
Không cần nhấn CTRL+ATL+DEL
khi khởi động
Cho phép thay đôỉ tên Addministrator thành tên mới
Cho phép thay đôỉ tên Guest thành tên mới

47
THE END

48