Professional Documents
Culture Documents
Buoihoc6_Hedieuhanhmang
Buoihoc6_Hedieuhanhmang
Buổi học 6
2
Heä ñieàu haønh laø gì?
HĐH (Network Operating System):
NOS cung cấp các phục vụ về mạng như dùng
chung tệp, máy in, quản lý tài khoản người dùng
.... Nếu máy trạm dựa vào các dịch vụ được cung
cấp bởi máy chủ, một NOS được thiết kế tốt sẽ
cung cấp cơ chế bảo vệ cũng như khả năng đa
nhiệm điều này giúp tránh được các lỗi đáng tiếc
xảy ra. Xét về mặt kỹ thuật thì sự khác nhau
giữa máy trạm và máy chủ phụ thuộc vào phần
mềm được cài đặt trên đó.
Một mạng yêu cầu hai loại phần mềm sau:
3
4
Client software
Manager
Manager Group
Group 6
Bảo vệ an ninh trên mạng :
Do máy chủ biết được những người đã đăng nhập vào mạng nó có thể
quản lý các tài nguyên mà mỗi người sử dụng được quyền truy nhập.
Người quản trị mạng có thể gán các quyền truy nhập đối với các tài
nguyên khác nhau cho những người sử dụng khác nhau, điều này cho
phép người sử dụng lưu trữ các thông tin cá nhân cũng như các thông tin
nhạy cảm trên mạng tránh sự nhòm ngó của người khác.
Central licensing :
Theo luật bản quyền thì mỗi bản đăng ký chỉ được sử dụng cho một
người sử dụng, điều này sẽ gây khó khăn cả về mặt tài chính cũng như
quá trình cài đặt cho nhiều người trong cùng tổ chức hoặc công ty cùng
sử dụng một phần mềm nào đó. Tuy nhiên với centralizing licensing phần
mềm được cài đặt lên máy chủ cho phép mọi người cùng sử dụng một
cách nhất quán.
Bảo vệ dữ liệu :
Do những dữ liệu quan trọng nhất thường được lưu trữ trên máy chủ nên
nó thường được cài đặt cơ chế bảo vệ dữ liệu rất chặt chẽ, bảo vệ dữ
liệu đề cập đến các phương tiện bảo vệ sự toàn vẹn của thông tin được
lưu trữ trên máy chủ.
7
Các hệ điều hành mạng được thiết kế để hỗ trợ các tính năng đa
nhiệm và đa xử lý (Multitasking and Multiprocessing):
Vì máy chủ thường phải đáp ứng một khối lượng rất lớn các yêu
cầu từ các máy trạm nên nó cần có tốc độ rất nhanh để có thể
thực hiện nhiều nhiệm vụ cùng lúc.
• Multitasking :
Là kỹ thuật thực thi nhiều nhiệm vụ cùng lúc chỉ sử dụng một
CPU
• Multiprocessing:
Là kỹ thuật sử dụng nhiều CPU để xử lý một hoặc nhiều tiến
trình, NOS sẽ thực hiện việc phân chia nhiệm vụ, quản lý quá
trình thực hiện cho từng CPU.
• Multiuser :
Là kỹ thuật có thể cho nhiều người sử dụng cùng truy cập vào
một thời điểm
8
HEÄ ÑIEÀU HAØNH MAÏNG
Hệ điều hành mạng UNIX:
Đây là hệ điều hành do các nhà khoa học xây dựng và được dùng rất phổ biến trong
giới khoa học, giáo dục. Hệ điều hành mạng UNIX là hệ điều hành đa nhiệm, đa
người sử dụng, phục vụ cho truyền thông tốt. Nhược điểm của nó là hiện nay có
nhiều Version khác nhau, không thống nhất gây khó khǎn cho người sử dụng. Ngoài
ra hệ điều hành này khá phức tạp lại đòi hỏi cấu hình máy mạnh
Hệ điều hành mạng NetWare của Novell :
Trong những nǎm qua, Novell đã cho ra nhiều phiên bản của Netware: Netware 2.2,
3.11. 4.0 và hiện có 4.1.… Netware là một hệ điều hành mạng cục bộ dùng cho các
máy vi tính theo chuẩn của IBM hay các máy tính Apple Macintosh, chạy hệ điều
hành MS-DOS hoặc OS/2.
Hệ điều hành mạng Windows for Worrkgroup : Đây là hệ điều hành mạng ngang hàng
nhỏ, cho phép một nhóm người làm việc (khoảng 3-4 người) dùng chung ổ đĩa trên
máy của nhau, dùng chung máy in nhưng không cho phép chạy chung một ứng dụng.
Dễ dàng cài đặt và cũng khá phổ biến.
Và thông dụng và phổ biến nhất hiện nay là các dòng như Windows XP Professional,
Windows 2000 Professional cho máy trạm, Windows Server 2000 Advenced hoặc
Windows 2003 cho Server. 9
10
Windows XP Professional heä ñieàu haønh
daønh cho maùy traïm
Yêu cầu phần cứng tối thiểu và khả năng nâng cấp
• CPU 233 MHz (500 MHz)
• RAM 64 MB (128 MB)
• HDD 1.5 GB (5 GB)
• Super VGA (800 × 600)
Là hệ điều hành dùng cho máy trạm:
• Dễ sử dụng
• Quản trị đơn giản
• Hỗ trợ phần cứng rộng rãi
• Quản lý File mở rộng và bảo mật
• Kết nối Internet đơn giản, hiệu quả
• Hỗ trợ đa xử lý đối xứng 2 CPU
11
An toàn và bảo mật cao
•Khả năng đa người dùng và đa nhiệm
•Quản lý theo từng account
•Quản lý đĩa
NO!
Ok
Ok
Logon
SAM
User 1
Logon
Logon
User 2 User 3
12
Overview Win XP Pro
Caøi ñaët Win XP Pro
13
What is the Boot.ini File?
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(1)partition(2)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(1)partition(2)\WINDOWS=Microsoft Windows X
SCSI(0)disk(1)rdisk(0)partition(1)\WINDOWS=Microsoft Windows 2000
1 1 2
Physical Disk
Controllers
Disks Partitions
14
Microsoft
Windows Server
2003
15
Là HĐH dùng cho Server
Dựa trên nền của Windows 2000, bổ sung và phát
triển các tính năng mới
4 phiên bản thông dụng nhất là:
o Standard Edition
o Enterprise Edition
o Datacenter Edition
o Web Edition
16
So với phiên bản 2000 thì họ điều hành 2003 có những
đặc tính mới sau:
o Khả năng kết chùm Server để san sẻ tải, cài đặt
RAM nóng (hot Swap)
o Hổ trợ WinXP tốt hơn như hiểu được chính sách
nhóm (Group Policy) được thiết lập trong XP, có bộ
công cụ quản trị mạng đầy đủ các tính năng chạy
trên WinXP.
o Tính năng cơ bản của Mail Server được tích hợp
sẳn, nên có thể dùng dịch vụ POP3 và SMTP để xây
dựng hệ thống mail đơn giản
o v.v…
17
Cấu hình máy để cài đặt Win2K3
Ít nhất 1 NIC
18
19
20
W2k3
MÔ HÌNH MẠNG
21
Các mô hình mạng trong môi trường W2k3
o Mô hình Workgroup
Đây là loại mô hình Peer to Peer, các dữ liệu tài
nguyên được lưu trữ phân tán tại các máy cục bộ, các
máy tự quản lý và chia sẻ.
Các máy sử dụng hđh hỗ trợ đa người dùng, lưu trữ
thông tin người dùng trong tập tin SAM (Security
Accounts Manager) ngay trên máy cục bộ, tập tin này
được mã hoá nhằm tránh người dùng khác ăn căp mật
khẩu để tấn công vào máy tính
Do thông tin người dùng lưu trữ tại máy trạm, nên việc
chứng thực người dùng đăng nhập máy tính cũng so
máy này tự chứng thực.
22
Các mô hình mạng trong môi trường W2k3 (tt)
o Mô hình Domain
Hoạt động theo cơ chế Client – Server, trong hệ thống
mạng phải có ít nhất 1 máy tính đóng vai trò điều khiển
vùng (Domain Controller)
Máy tính này điều khiển toàn bộ hoạt động của mạng,
việc quản lý dữ liệu tài nguyên,chứng thực người dùng do
các Server trong miền đảm nhiệm.
Các thông tin người dùng được tập trung lại và do dịch vụ
Active Directory quản lý và lưu trữ trên máy điều khiển
vùng với tên file là NTDS.DIT, có thể lưu trữ thông tin
hàng triệu người dùng.
24
Mạng máy tính
Tài khoản người dùng
User Acount là 1 đối tượng quan trọng đại diện cho người
dùng trên mạng, được phân biệt qua chuổi nhận dạng (User
name).
Chuổi nhận dạng này giúp hệ thống phân biệt giữa người
này với người khác trên mạng, từ đó người dùng có thể
đăng nhập vào mạng và truy xuất các tài nguyên mạng mà
mình được phép
User Acount
26
Tài khoản người dùng cục bộ
Local User Account là tài khoản được định nghĩa trên máy
cục bộ, và chỉ được phép logon, truy cập tài nguyên trên
máy cục bộ
Nếu muốn truy cập tài nguyên trên mạng thì phải được
chứng thực tại máy có tài nguyên chia sẻ.
Các tài khoản này được lưu trong tập tin CSDL SAM tại
máy cục bộ (..\Windows\system32\config)
Logon
SAM
27
Tài khoản người dùng miền
Domain User Account là tài khoản được định nghĩa
trên Active Directory và được phép logon vào
mạng tại bất kỳ máy trạm nào trong miền
Với tài khoản này người dùng có thể truy cập đến
các tài nguyên trên mạng
Các tài khoản này được chứa trong tập tin
NTDS.DIT (..\\Windows\NTDS)
28
Logging on …
Access Token
Logging on Locally
Active Directory
Access Token
Logging on to a Domain
29
Tài khoản nhóm
Group Account là đối tượng đại diện cho một nhóm người
dùng nào đó. Dùng cho việc quản lý chung các đối tượng
người dùng
Việc phân bổ người dùng vào nhóm giúp ta dể dàng cấp
quyền cho họ trên các tài nguyên mạng như các thư mục
chia sẻ, máy in
Tài khoản nhóm không thể dùng để đăng nhập và được chia
làm 2 loại
30
• Nhóm bảo mật (Security Group)
Được dùng để cấp phát các quyền hệ thống (Rights) và quyền truy
cập (Permission)
Giống như tài khoản người dùng, các nhóm bảo mật đều được chỉ
định các SID (Security ID)
• Nhóm phân phối (Distribution Group)
Là loại nhóm phi bảo mật, không có SID. Loại nhóm này không
được dùng bởi các nhà quản trị mà được dùng bởi các phần mềm
dịch vụ. Chúng được dùng để phân phối thư (Email) hoặc các tin
nhắn (message) ví dụ như dịch vụ MS Exchange.
31
Các nhóm tạo sẵn đặc biệt
Interactive Đại diện cho users sử dụng máy tại chổ
Network Users đang kết nối mạng đến 1 máy tính khác
33
Chú ý
Nên xoá tài khoản người dùng nếu chắc chắn rằng tài khoản
này sẽ không bao giờ dùng nữa.
Chú ý: Tài khoản bị xoá sẽ không phục hồi lại được nữa.
Khi 1 tài khoản không sử dụng trong 1 thời gian dài, ta nên
khoá lại vì lý do bảo mật và an toàn hệ thống.
Ta có thể đổi tên bất kỳ 1 tài khoản người dùng nào, và có
thể điều chỉnh lại những thông tin về tài khoản đó.
Khi ta đổi tên, SID của tài khoản đó không thay đổi.
Ta cũng có thể thay đổi Password của bất kỳ tài khoản nào
nếu xét thấy cần thiết.
34
35
Chính sách tài khoản người dùng (Account Policy) dùng để
chỉ định các thông số về tài khoản người dùng mà nó được
sử dụng khi tiến trình Logon xảy ra.
Cho phép ta cấu hình các thông số bảo mật máy tính, mật
khẩu, khoá tài khoản và chứng thực.
36
Khái niệm
Users
Nếu trên Server dùng
Workgoup ta sẽ thấy 2 mục
là Password Policy và
Account Lockout Policy còn
nếu Server đã nâng cấp lên
Domain Controler sẽ có
thêm 1 mục nữa là Kerberos
Policy
Start Progams
Administrative Tools
Local Security Policy
hoặc Domain Security
Policy
37
Chính sách mật khẩu
Password Policy nhằm đảm bảo an toàn mật khẩu cho người dùng, tránh các
trường hợp đăng nhập bất hợp pháp vào hệ thống
Số lần đặt mật mã không được
trùng nhau
Số ngày nhiều nhất mà mật mã
có hiệu lực
Số ngày tối thiểu trước khi User
được phép đổi mật mã
Số ký tự ngắn nhất của mật mã
38
Chính sách khoá tài khoản
Account Lockout Policy quy định cách thức khoá tài khoản trong vùng hay
trong hệ thống cục bộ. Chính sách này giúp ta hạn chế bị tấn công bằng
phương pháp Logon từ xa.
Quy định thời gian khoá. Là 0,
Nhưng nếu Account Lockout
Threshold được thiết lập thì giá
trị này là 30 phút
Quy định số lần đăng nhập sai,
tài khoản sẽ bị khoá
40
Chính sách kiểm toán
Audit Policy cho phép giám sát và ghi nhận các sự kiện xảy ra trong hệ thống, trên các
đối tượng và các người dùng. Ghi nhận thông qua công cụ Event Viewer trong mục
Security
42
Quyền hệ thống của người dùng (tt)
Quyền Mô tả
Cho phép người dùng truy cập máy tính này
Access This Computer in the
thông qua mạng, mặc định mọi người đều
Network
có quyền
Cho phép các dịch vụ chứng thực ở mức
Act as Part of the Operating
thấp, được chưng thực bởi bất cứ người
System
dùng nào
Cho phép người dùng thêm 1 tài khoản
Add Workstations to the Domain
máytính vào vùng
Backup file and Directories Cho phép người dùng sao lưu
Bypass Traverse checking Cho phép duyệt cấu trúc thư mục nếu
không có quyền xem (list) thư mục này
Change the System time Cho phép thay đổi giờ hệ thống
43
Quyền hệ thống của người dùng (tt)
Quyền Mô tả
Cho phép 1 tiến trình tạo 1 thẻ bài nếu tiến trình
Creat a Token Object
này dùng NTCreat Token API
Deny Access to This Computer Cho phép khoá người dùng hoặc nhóm không
from the Net được truy cập đến các máy tính khác trên mạng
44
Quyền hệ thống của người dùng (tt)
Quyền Mô tả
45
Các lựa chọn bảo mật
Security Options cho phép người quản trị Server khai báo thêm
các thông số nhằm tăng tính bảo mật thêm cho hệ thống như :
Không hiển thị Username
người dùng đã logon
trước
Hay đổi tên người dùng
tạo sẵn
Win 2k3 hổ trợ chúng ta
rất nhiều lựa chọn bảo
mât.
Nhưng trong giáo tài liệu
này chúng ta chỉ khảo sát
những lựa chọn thông
dụng
46
Các lựa chọn bảo mật
Giám sát việc truy cập các đối tượng hệ thống toàn cục
Tự động logoff khi người
dùng hết thời gian sử dụng
hoặc tài khoản hết hạn
Không hiển thị tên người
dùng vừa logon trên hộp
thoại logon
Không cần nhấn CTRL+ATL+DEL
khi khởi động
Cho phép thay đôỉ tên Addministrator thành tên mới
Cho phép thay đôỉ tên Guest thành tên mới
47
THE END
48