Chapter4 - Securing Windows Networks (1) (1)

Machine Translated by Google
ĐHQGHCM – ĐẠI HỌC BÁCH KHOA

KHOA ĐIỆN TỬ – VIỄN THÔNG
CỤC VIỄN THÔNG – MẠNG
KHÓA HỌC
Mạng lưới công nghệ
chương
BẢO MẬT CỬA SỔ
1 Chính sách nhóm
04 MẠNG
Chủ biên: Nguyễn Việt Hà, Ph.D.
Ngày 6 tháng 6 năm 2023
Giảng viên: Nguyễn Việt Hà, Ph.D. Email: nvha@hcmus.edu.vn

2
Chính sách nhóm Chính sách nhóm
Chính sách nhóm
Thực hiện thay đổi cài đặt trên một hoặc hai hệ thống? Cho phép bạn:
oTạo một chính sách
o Nhắm mục tiêu chính sách đó đến người dùng hoặc hệ thống trong Đơn vị tổ chức
(OU), nhóm bảo mật hoặc thậm chí trên cơ sở cá nhân.
Còn khoảng 100 hệ thống,

Cung cấp hàng trăm hạng mục cấu hình cho phép bạn quản lý tập trung
quản lý cấu hình và bảo mật của tất cả các tên miền của bạn đã tham gia
các hệ thống.
Có thể áp dụng cho hàng nghìn người dùng và máy tính trong một
hoặc 2.000 hệ thống
tổ chức nhằm giảm thiểu thời gian và công sức cần thiết để quản lý
nhiệm vụ bất khả thi.
một miền lớn.
Nguyễn Việt Hà, Ph.D.

- Sở viễn thông – Mạng, FETEL,VNUHCM-Mỹ 3/5077 Nguyễn Việt Hà, Ph.D.
- Sở viễn thông – Mạng, FETEL,VNUHCM-Mỹ 4/5077
Đối tượng chính sách nhóm (GPO) là một tập hợp các cài đặt. Khi khởi động, Cấu hình Máy tính từ tất cả các GPO được áp dụng.
Phải được liên kết với một trang web, tên miền hoặc đối Ảnh hưởng đến cài đặt trên máy tính bất kể ai đăng nhập vào
tượng OU. GPO không áp dụng cho các nhóm Active Directory . hệ thống.
Cài đặt GPO được thực thi nghiêm ngặt. Khi người dùng đăng nhập, Cấu hình người dùng từ tất cả các GPO sẽ được áp dụng.
Người dùng không thể định cấu hình hoặc ghi đè cài đặt do GPO áp dụng. Được sử dụng để thực hiện các thay đổi có tác động đến
người dùng. User GPO theo dõi người dùng bất kể người dùng đăng nhập hệ thống nào
trong từ.
Thiết lập Chính sách nhóm được lưu trữ trong hai phần khác nhau trong GPO:
Cấu Hình Máy Tính Chiến thắng được áp dụng lần cuối.
Cấu hình người dùng GPO sau này có thể ghi đè hành vi của GPO trước đó.

Theo mặc định, Chính sách nhóm làm mới sau mỗi 90 phút, mặc dù có Có hai GPO mặc định trong mỗi miền Active Directory
có thể là một sự chậm trễ ngẫu nhiên lên đến 30 phút. Nếu cung cấp cấu hình bảo mật mặc định cho máy tính:
áp dụng thay đổi, có thể mất tới 120 phút để thay đổi đó thành
được áp dụng cho tất cả các hệ thống/người dùng.

GPO Chính sách Miền Mặc định được liên kết với đối tượng miền
và áp dụng cho tất cả tài khoản người dùng và máy tính trong miền.
Một số cài đặt không làm mới theo cách này và yêu cầu người dùng đăng xuất GPO Chính sách Bộ điều khiển Miền Mặc định được liên kết với
và đăng nhập lại hoặc yêu cầu khởi động lại hệ thống. Bộ điều khiển miền OU và áp dụng cho máy tính bộ điều khiển miền
tài khoản.
Ví dụ: chuyển hướng thư mục, ánh xạ ổ đĩa và một số tùy chọn tệp.

Di sản Di sản
Một tài khoản người dùng hoặc máy tính có thể nhận cài đặt từ Một vấn đề phổ biến xảy ra là khi quản trị viên hệ thống thực hiện
một số GPO. thay đổi thành chính sách cấp miền, nhưng thay đổi dường như không
áp dụng.
Để ngăn ngừa xung đột trong trường hợp
hai hoặc nhiều hơn trong số các GPO này chứa
Thủ phạm phổ biến nhất là
các giá trị khác nhau cho cùng một cài đặt,
Chính sách cấp đơn vị tổ chức đang ghi
GPO được áp dụng theo thứ tự sau:
đè cài đặt từ chính sách miền.
1. Chính sách cục bộ (do gpedit.msc đặt)
2. Chính sách trang web
3. Chính sách tên miền
4. Chính sách OU gốc

5. Đơn vị tổ chức con

Chặn GPO Chặn GPO

Định cấu hình cài đặt Kế thừa khối trên OU
để ngăn tài khoản người dùng và máy tính trong OU
từ việc áp dụng các GPO được liên kết với các đơn vị tổ chức mẹ, Chỉ ra rằng
tên miền hoặc trang web. Cài đặt Kế thừa khối
đã được định cấu

hình
Định cấu hình cài đặt Kế thừa khối trên một

miền để ngăn người dùng miền và máy tính
tài khoản từ việc áp dụng GPO được liên kết với các trang web.

Thực thi GPO Thực thi GPO

Định cấu hình cài đặt Được thực thi , GPO được liên kết sẽ được áp dụng cho
tài khoản người dùng và máy tính trong các miền và OU bị Chặn
Kế thừa được định cấu hình và sẽ được áp dụng sau các GPO khác để
Chỉ ra rằng nó là
đảm bảo rằng cài đặt của nó ghi đè cài đặt tương tự trong các GPO khác.
Được thực thi để đảm
bảo rằng Mặc định
Chính sách tên miền GPO

áp dụng cho tất cả các đơn vị
tổ chức, bao gồm cả đơn vị tổ chức R&D

Lọc GPO Liên kết GPO

Chính sách miền mặc định áp dụng cho tất cả tài khoản người dùng và máy tính trong Bạn có thể liên kết GPO với một hoặc nhiều đối tượng trang web, tên miền hoặc OU.
miền vì nhóm Người dùng được xác thực (chứa tất cả Sau khi một GPO được liên kết với một trang web, tên miền hoặc đối tượng OU, một đối tượng liên kết cho
tài khoản người dùng và máy tính được xác thực trong miền) được liệt kê trong GPO được hiển thị bên dưới.
Lọc bảo mật.
Để áp dụng Miền mặc định

Chính sách GPO cho người dùng cụ thể và Nếu bạn liên kết nhiều GPO với cùng
máy tính, bạn có thể gỡ bỏ một trang web, tên miền hoặc OU,
Nhóm người dùng được xác thực từ bạn có thể sửa đổi thứ tự liên kết
phần Lọc bảo mật cho các GPO.
và thêm người dùng cụ thể và

nhóm máy tính, hoặc cụ thể
tài khoản người dùng và máy tính.

Chính sách nhóm
Tất cả cài đặt được tự động lưu vào đối tượng GPO trong Active
Cơ sở dữ liệu thư mục cũng như được sao chép vào tệp được liên kết trong
Chia sẻ SYSVOL, nơi nó có thể được truy cập bởi các máy tính miền.
GPO cục bộ được lưu trữ trong C:\Windows\system32\grouppolicy ẩn

2 Cài đặt GPO
thư mục và không chứa cài đặt được định cấu hình theo mặc định.
Tuy nhiên, nếu cài đặt được cấu hình trong GPO cục bộ, chúng sẽ
được áp dụng trước các cài đặt trong bất kỳ GPO nào được liên kết với trang web,
miền và các đối tượng OU.

- Sở viễn thông – Mạng, FETEL,VNUHCM-Mỹ 17/5077 18
Cài đặt GPO Cài đặt GPO

Các phần Cấu hình Máy tính và Cấu hình Người dùng của mỗi Các phần Cấu hình Máy tính và Cấu hình Người dùng của mỗi
GPO chứa hai thư mục: GPO chứa hai thư mục:
Chính sách chứa cài đặt Chính sách Nhóm:

oCài đặt phần mềm Preferences chứa các tùy chọn Chính sách nhóm:
chỉ định các gói phần mềm được triển khai cho máy tính. oCung cấp cấu hình cho các tính năng của Windows.
oCài đặt Windows
cung cấp hệ điều hành oKhông giống như cài đặt Chính sách nhóm, tùy chọn Chính sách nhóm
cấu hình. cấu hình không được thực thi nghiêm ngặt và người dùng có thể sửa đổi
oMẫu hành chính sau đó.
cung cấp cấu hình cho

máy tính để bàn và điều hành
thành phần hệ thống.

Cài đặt phần mềm Cài đặt phần mềm
Cho phép bạn triển khai phần mềm trên máy tính. Cho phép bạn triển khai phần mềm trên máy tính.
Phần mềm này thường được lưu trữ trong một thư mục dùng chung trên máy chủ tệp và Phần mềm này thường được lưu trữ trong một thư mục dùng chung trên máy chủ tệp và
được đóng gói dưới dạng tệp Windows Installer (.msi). được đóng gói dưới dạng tệp Windows Installer (.msi).
Hơn nữa, có ba phương pháp triển khai phần mềm mà bạn có thể Hơn nữa, có ba phương pháp triển khai phần mềm mà bạn có thể
chọn từ: chọn từ:
Phần mềm được Xuất bản trong Cài đặt Phần mềm trong Người dùng Phần mềm được chỉ định trong Cài đặt phần mềm trong Người dùng
Người dùng có thể tùy ý cài đặt cấu hình (chỉ) của một GPO. oĐể cài đặt Cấu hình của một GPO được cung cấp dưới dạng một biểu tượng chương trình trên
phần mềm đã phát hành, người dùng có thể nhấp vào Cài đặt chương trình Menu bắt đầu, cũng như liên kết tệp.
từ mạng trong phần Chương trình và Tính năng của Điều khiển oPhần mềm này được cài đặt tự động lần đầu tiên mà một
Panel, chọn gói phần mềm và nhấp vào Cài đặt. người dùng nhấp vào biểu tượng chương trình trên menu Bắt đầu hoặc mở một
tập tin được liên kết với chương trình.

Cài đặt phần mềm Cài đặt phần mềm
Cho phép bạn triển khai phần mềm trên máy tính. Ví dụ: gói phần mềm Mozilla Firefox được xuất bản dưới
Cài đặt phần mềm trong Cấu hình người dùng của Miền mặc định
Phần mềm này thường được lưu trữ trong một thư mục dùng chung trên máy chủ tệp và
GPO chính sách.
được đóng gói dưới dạng tệp Windows Installer (.msi).
Nếu người dùng trong miền chọn cài đặt gói này trong Chương trình
và phần Tính năng của Bảng điều khiển, Cài đặt Firefox được liên kết
Hơn nữa, có ba phương pháp triển khai phần mềm mà bạn có thể File 72.0.2.msi sẽ được tải và cài đặt từ phần mềm chia sẻ
chọn từ:
trên server.domainx.com.
Phần mềm được chỉ định trong Cài đặt phần mềm trong
Cấu hình máy tính của GPO được cài đặt tự động
lần sau khi máy tính khởi động.

Cài đặt phần mềm Cài đặt Windows
Chính sách nhóm cũng có thể được cấu hình để tự động gỡ cài đặt phần mềm Chính sách giải quyết tên trong Cấu hình máy tính cho phép bạn
khi GPO không còn áp dụng cho tài khoản người dùng hoặc máy tính để định cấu hình cài đặt DNS để sử dụng với DNSSEC (Hệ thống tên miền
Tiện ích mở rộng bảo mật) và DirectAccess.
mà phần mềm đã được triển khai.
GPO sẽ không còn áp dụng cho tài khoản người dùng hoặc máy tính trong Tập lệnh (Khởi động/Tắt máy) trong Cấu hình Máy tính cho phép
các tình huống sau: bạn chỉ định các tập lệnh (ví dụ: tập lệnh PowerShell) sẽ được thực thi
khi máy tính khởi động hoặc tắt.
Quản trị viên máy chủ xóa gói phần mềm khỏi
cấu hình GPO và chọn ngay lập tức gỡ cài đặt
phần mềm từ tùy chọn người dùng và máy tính khi được nhắc. Tập lệnh (Đăng nhập/Đăng xuất) trong Cấu hình người dùng cho phép bạn
Quản trị viên máy chủ xóa GPO. chỉ định các tập lệnh (ví dụ: tập lệnh PowerShell) sẽ được thực thi khi
người dùng đăng nhập hoặc đăng xuất khỏi hệ thống Windows của họ.
Quản trị viên máy chủ xóa liên kết GPO tới đối tượng mà
chứa tài khoản người dùng hoặc máy tính.
Tài khoản người dùng hoặc máy tính được chuyển sang OU khác không Máy in đã Triển khai cho phép bạn triển khai các máy in dùng chung.
nhận các cài đặt từ GPO.

Cài đặt Windows Cài đặt Windows
Cài đặt Bảo mật cho phép bạn định cấu hình hầu hết các cài đặt liên quan đến bảo Chuyển hướng thư mục trong Cấu hình người dùng cho phép bạn lưu trữ
mật của Windows, chẳng hạn như chính sách khóa tài khoản và mật khẩu, nội dung của các thư mục người dùng (ví dụ: Desktop, Documents, Pictures) trong một
Cài đặt Kerberos, kiểm tra, quyền hệ điều hành, tùy chọn bảo mật, thư mục chia sẻ riêng cho từng tài khoản người dùng trên máy chủ tệp.
cài đặt nhật ký sự kiện, tư cách thành viên nhóm được thực thi bởi Chính sách nhóm, Khi người dùng truy cập các thư mục này trên PC, chúng sẽ tự động
cấu hình dịch vụ hệ thống, khóa đăng ký, tệp và thư mục, mạng không dây được chuyển hướng đến thư mục được liên kết trên máy chủ tệp.
Cấu hình mạng LAN, cấu hình Windows Defender Firewall, chứng chỉ
Cấu hình này đảm bảo rằng các tệp người dùng chỉ được lưu trên một tệp
cấu hình, cấu hình IPSec, cũng như các chính sách có thể được sử dụng
máy chủ, nơi chúng được sao lưu và bảo vệ tập trung bằng bộ lưu trữ có khả năng
để hạn chế các ứng dụng được phép chạy trên hệ thống. chịu lỗi.
Hầu hết các cài đặt bảo mật khả dụng nằm trong Máy tính
Chỉ cấu hình.
QoS dựa trên chính sách cho phép bạn giới hạn băng thông được sử dụng bởi TCP,
Lưu lượng UDP hoặc HTTP.

Cài đặt Windows mẫu hành chính

Cài đặt bảo mật Hầu hết các cài đặt cấu
Chính sách tài khoản hình trong GPO được lưu trữ
trong Mẫu quản trị .
oChính sách mật khẩu
oChính sách khóa tài khoản
oChính sách Kerberos
Chính sách địa phương
Nhật ký sự kiện
v.v.

mẫu hành chính mẫu hành chính

Bảng điều khiển cho phép bạn kiểm soát quyền truy cập vào Bảng điều khiển hoặc cụ thể Máy in trong Cấu hình Máy tính cho phép bạn định cấu hình
công cụ và khu vực cấu hình trong Bảng điều khiển, cũng như tự động tính năng in ấn và dịch vụ Print Spooler.
định cấu hình cài đặt Bảng điều khiển, chẳng hạn như tùy chọn vùng và ngôn ngữ.
Máy chủ trong Cấu hình máy tính cho phép bạn định cấu hình hệ thống
các tính năng sao lưu.
Máy tính để bàn trong Cấu hình người dùng cho phép bạn cung cấp máy tính để bàn
cấu hình (ví dụ: hình nền máy tính tiêu chuẩn), cũng như hạn chế
Thư mục được chia sẻ trong Cấu hình người dùng cho phép bạn định cấu hình
truy cập vào các tính năng và chức năng của máy tính để bàn.
khả năng xuất bản các thư mục được chia sẻ.
Menu Bắt đầu và Thanh tác vụ cho phép bạn định cấu hình hoặc hạn chế quyền truy cập vào
Mạng cho phép bạn định cấu hình cài đặt liên quan đến mạng (ví dụ: DNS), như
Các tính năng của menu Bắt đầu và thanh tác vụ
cũng như chức năng của các công nghệ liên quan đến mạng (ví dụ: Offline
Các tập tin)

mẫu hành chính
Hệ thống cho phép bạn định cấu hình các tính năng và Nhiều bên thứ ba
chức năng, chẳng hạn như quản lý năng lượng, tùy chọn tắt máy, và nhà sản manu
truy cập vào lưu trữ di động. xuất phần mềm cho phép bạn
để tải xuống và
cài đặt quản trị
tập tin mẫu mà

Cấu phần Windows cho phép bạn định cấu hình cài đặt để vận hành
có thể được nhập khẩu vào
các thành phần và chương trình hệ thống, chẳng hạn như Windows Update và File một GPO và được sử dụng để
Nhà thám hiểm.
định cấu hình cài đặt
cho phần mềm của họ.
Tất cả Cài đặt hiển thị các Mẫu quản trị riêng lẻ
cài đặt cấu hình có sẵn trong Cấu hình Người dùng hoặc Máy tính
phần theo thứ tự bảng chữ cái.

Ví dụ: Truy cập trang web bằng HTTPS
3 Triển khai chứng chỉ khóa công khai
35 Nguyễn Việt Hà, Ph.D.

Điểm yếu của quá trình chuyển giao chìa khóa Cơ quan chứng nhận (CA)
Tấn công trung gian Khóa công khai được gửi
đến một máy tính bên thứ
Hacker có thể chặn khóa công khai gửi từ máy chủ Web
vào trình duyệt Web (máy khách) và thay thế khóa công khai của riêng họ. ba đáng tin cậy được gọi là
Một chứng nhận
Cơ quan (CA) cho

oTrình duyệt web không biết khóa công khai nhận được là từ
xác nhận trước
máy chủ Web hoặc tin tặc.
chúng được sử dụng cho
công nghệ an toàn
Hacker có thể đánh chặn
(ví dụ: HTTPS).
giao tiếp và giải mã
khóa mã hóa đối xứng bằng cách sử dụng
khóa riêng của họ.
Hacker có thể chuyển hướng lưu lượng HTTPS

đến một trang web độc hại cho
mục đích đánh cắp thông tin.

Cơ quan chứng nhận (CA) Cơ quan chứng nhận (CA)
Sau khi CA xác minh danh tính của người dùng hoặc máy tính đã tạo Chữ ký số:
khóa công khai, nó tạo chứng chỉ khóa công khai (thường được rút ngắn thành Một hàm băm của khóa công khai được mã hóa bằng khóa riêng của
chứng chỉ) bao gồm: CA.
Một số sê-ri.
Để giải mã dữ liệu được mã hóa bằng
Tên chứng chỉ. khóa riêng, bạn phải sử dụng khóa liên quan
Công nghệ và mục đích sử dụng chứng chỉ (ví dụ: EFS, HTTPS, IPSec, khóa công khai của CA.
L2TP, IKEv2, mã hóa email, xác thực an toàn, v.v.). oNếu một chữ ký điện tử có thể được giải mã
Khóa công khai. bằng cách sử dụng khóa công khai của CA, nó chứng tỏ:
Chữ ký số của khóa công khai. Khóa riêng của CA phải được
Khoảng thời gian mà chứng chỉ có hiệu lực (thường là 1 năm). dùng để tạo chữ ký số. CA đã xác
Vị trí của Danh sách thu hồi chứng chỉ (CRL). minh danh tính của
máy tính hoặc người dùng đã tạo ra
Vị trí khóa công khai của CA (được gọi là gốc đáng tin cậy).
khóa công khai.

Cơ quan chứng nhận (CA) Cơ quan chứng nhận (CA)
Sau khi CA tạo chứng chỉ, CA sẽ trả lại chứng chỉ đó cho máy tính
đã tạo khóa công khai.
CA không trực tiếp tham gia vào quá trình mã hóa.
CA duy trì một danh sách bất kỳ số sê-ri chứng chỉ đã cấp nào
không nên được sử dụng trong danh sách Thu hồi Chứng chỉ (CRL).
A CRL là danh sách các chứng chỉ số đã bị CA thu hồi

trước ngày hết hạn thực tế hoặc được ấn định của chúng.
Máy khách nên kiểm tra CRL trước khi sử dụng khóa chung trong
chứng chỉ.

CA công cộng CA doanh nghiệp
Có nhiều CA công khai (hay gọi là CA thương mại) trên Internet Bởi vì lấy chứng chỉ từ CA công cộng cho từng người dùng và
cấp chứng chỉ có tính phí (Viettel, VNPT và FPT), cũng như một số máy tính trong tổ chức của bạn là không thực tế.
cấp chứng chỉ miễn phí (ví dụ: LetsEncrypt). Cấu hình hệ thống Windows Server 2019 làm CA doanh nghiệp trong
tổ chức của bạn có thể được sử dụng để cấp chứng chỉ tự động
cho người dùng và máy tính bằng các mẫu chứng chỉ và Chính sách nhóm
(Quá trình này được gọi là đăng ký tự động).
Bởi vì gốc đáng tin cậy của CA doanh nghiệp thường được cung cấp cho
chỉ máy tính của tổ chức, chỉ người dùng và máy tính trong tổ chức của bạn
tổ chức có thể xác thực các chứng chỉ đã được cấp bởi một
doanh nghiệp CA

CA doanh nghiệp Cài đặt CA doanh nghiệp
Khi đăng ký tự động được định cấu hình, thư mục gốc đáng tin cậy của doanh nghiệp
CA được tự động phân phối cho từng máy tính miền bằng cách sử dụng Nhóm
Chính sách.
Các tổ chức sử dụng CA doanh nghiệp để cấp chứng chỉ cho
người dùng và máy tính được cho là có cơ sở hạ tầng khóa công khai
(PKI).
Các tổ chức lớn có thể có một số CA được định cấu hình trong hệ thống phân cấp CA.
CA đầu tiên được triển khai trong hệ thống phân cấp được gọi là CA gốc và các CA khác
Các CA tham gia vào hệ thống phân cấp được gọi là các CA cấp dưới.
oTrong hầu hết các tổ chức, chỉ có một CA gốc doanh nghiệp duy nhất được
cần thiết.
- Sở viễn thông – Mạng, FETEL,VNUHCM-Mỹ
45/5077
46/5077
Không dây 802.1X
Nhiều người dùng ngày nay sử dụng các thiết bị di động, chẳng hạn như điện thoại thông minh và
máy tính xách tay, để truy cập tài nguyên của tổ chức bằng cách kết nối với mạng không dây
LAN (WLAN) chuyển tiếp lưu lượng đến mạng LAN vật lý trong tổ chức.
4 Không dây 802.1X

Mỗi mạng WLAN bao gồm một hoặc
nhiều điểm truy cập không dây (WAP)
hơn cho phép các thiết bị di động kết nối
bằng Wi-Fi.
47 Nguyễn Việt Hà, Ph.D.

48/5077
Không dây 802.1X Không dây 802.1X
Để giữ bí mật dữ liệu, hầu hết các WAP đều được cấu hình để mã hóa lưu lượng Vì tất cả người dùng mạng WLAN đều sử dụng cùng một mật khẩu Wi-Fi nên có nhiều
giữa thiết bị di động và WAP bằng Wi-Fi Protected có sẵn các công cụ bẻ khóa không dây có thể giải mã lưu lượng mạng WLAN WPA2 bằng cách
Access (WPA), chỉ sử dụng mã hóa đối xứng. so sánh nó với bảng băm của các mẫu không dây đã biết.
Wi-Fi Protected Access II (WPA2) là phiên bản phổ biến nhất. Để ngăn chặn điều này, một số WAP cho phép bạn định cấu hình kết nối VPN
cho từng thiết bị di động.
Phải chỉ định mật khẩu Wi-Fi cho Tuy nhiên, thay vào đó, hầu hết các tổ chức đều sử dụng máy chủ RADIUS để
mạng WLAN (còn được gọi là khóa chia sẻ tạo ngẫu nhiên các khóa mã hóa đối xứng cho từng ứng dụng khách di động.
trước hoặc PSK).
oCông nghệ này được gọi là 802.1X Wireless và ngăn
oMật khẩu Wi-Fi này sau đó được sử dụng
các công cụ bẻ khóa từ việc giải mã lưu lượng mạng WLAN.
để tạo ra một đối xứng
khóa mã hóa cho Wi-Fi
kết nối giữa điện thoại di động
thiết bị và WAP.

Bước 1: Khi người dùng thiết bị di động Bước 3: Người dùng được xác thực với một
kết nối với WAP, thiết bị di động của họ bộ điều khiển miền.
tự động tải xuống chứng chỉ

từ máy chủ RADIUS. Chứng
Bước 4: Nếu thông tin đăng nhập khớp với những thông tin trong
chỉ này được sử dụng để tạo một
đường hầm an toàn giữa điện thoại di động tài khoản người dùng, máy chủ RADIUS
ngẫu nhiên tạo ra một đối xứng
thiết bị, WAP và máy chủ RADIUS.
khóa mã hóa để sử dụng với WPA2.
Bước 2: Người dùng được yêu cầu đăng nhập

Bước 5: Máy chủ RADIUS gửi khóa đến
máy chủ RADIUS sử dụng Active Directory
cả thiết bị di động và WAP để sử dụng
thông tin đăng nhập tên miền được chuyển đến
khi mã hóa lưu lượng.
máy chủ RADIUS trên mạng an toàn
đường hầm.

Để cung cấp bảo mật bổ sung chống lại mạng không dây Wi-Fi Protected Access III (WPA3) là một công nghệ gần đây được
công cụ bẻ khóa, máy chủ RADIUS định kỳ được hỗ trợ bởi một số WAP.
tạo một khóa mã hóa đối xứng mới và Mặc dù WPA3 không sử dụng mật khẩu Wi-Fi giống như cách
lặp lại bước 4 và 5. WPA2 có, nó vẫn có thể bị xâm phạm bởi các công cụ bẻ khóa không dây.
Do đó, các tổ chức cũng sử dụng 802.1X Wireless để bảo vệ WPA3

mạng WLAN.
Hơn nữa, mỗi thiết bị di động kết nối với

WAP sử dụng 802.1X Wireless nhận được một
khóa mã hóa đối xứng khác mà nó sử dụng
để mã hóa lưu lượng.

Không dây 802.1X
Hầu hết các tổ chức triển khai một mạng WLAN riêng cho quyền truy cập của khách mà
không sử dụng 802.1X Wireless.
Mạng WLAN này được định cấu hình để chỉ cho phép truy cập vào tài nguyên
Internet chứ không phải tài nguyên của tổ chức.
Mặc dù ít phổ biến hơn nhưng 802.1X có thể 5 Dịch vụ cập nhật Windows Server
cũng được sử dụng để bảo vệ quyền truy cập vào
Bộ chuyển mạch mạng Ethernet
ủng hộ điều này.
Công nghệ này được gọi là

802.1X Có dây.

Dịch vụ cập nhật Windows Server Dịch vụ cập nhật Windows Server
Khi phát hiện ra các lỗ hổng, điểm yếu bảo mật trong quá trình vận hành Các máy chủ cập nhật của Microsoft trên Internet cung cấp các bản cập nhật mới nhất cho
hệ thống và các sản phẩm phần mềm khác, nhà cung cấp phần mềm phát hành một Các sản phẩm phần mềm của Microsoft và người dùng Windows có thể sử dụng Windows
cập nhật phần mềm liên quan để giải quyết vấn đề. phần cập nhật của Bảng điều khiển hoặc Cài đặt (Windows 10, Windows
Server 2016 trở lên) để tìm kiếm và cài đặt các bản cập nhật này, hoặc
lên lịch cài đặt cập nhật tự động.
Nên đảm bảo rằng các sản phẩm phần mềm trong tổ chức của bạn
cập nhật thường xuyên để cung cấp sự ổn định và bảo mật.

57/5077
58/5077
Dịch vụ cập nhật Windows Server Dịch vụ cập nhật Windows Server
Nếu một số máy tính trong một tổ chức có được Để giải quyết những vấn đề này, bạn có thể triển khai Windows Server
cập nhật từ Microsoft Update cùng một lúc Máy chủ Dịch vụ Cập nhật (WSUS) trong tổ chức của bạn.
thời gian, băng thông trên mạng của tổ chức
Kết nối Internet có thể trở nên bão hòa, ngăn truy cập Máy chủ WSUS này có thể được cấu hình để thường xuyên tải xuống các bản cập nhật
vào Microsoft Update và từ Microsoft Update cho từng sản phẩm phần mềm mà bạn có trong
tài nguyên Internet khác. tổ chức của bạn (một quá trình được gọi là đồng bộ hóa), cũng như
phân phối chúng đến các máy tính trong tổ chức của bạn.
Hơn nữa, bằng cách cho phép các máy tính trong Để đảm bảo rằng các máy tính
miền để nhận các bản cập nhật từ Microsoft nhận thông tin cập nhật từ
Cập nhật trực tiếp, bạn không thể dễ dàng xác định máy chủ WSUS thay vì
máy tính đã cài đặt một chương trình cụ thể Microsoft Update, bạn phải
cập nhật hoặc ngăn cài đặt các bản cập nhật cấu hình một GPO cung cấp
gây ra sự cố với phần mềm khác các cài đặt thích hợp.
các ứng dụng.

59/5077
60/5077
Dịch vụ cập nhật Windows Server Cài đặt WSUS
Trong các tổ chức lớn, bạn có thể

triển khai nhiều máy chủ WSUS
để cân bằng tải cập nhật
yêu cầu.
Các máy chủ WSUS này có thể
được định cấu hình để nhận các bản cập nhật

từ một máy chủ WSUS trung tâm
đồng bộ hóa với Microsoft

Cập nhật.

61/5077
62/5077
Bộ bảo vệ Windows
Trong Windows Server 2019, bộ bảo vệ Windows được khởi động theo mặc định và
cung cấp nhiều tính năng bảo mật hệ điều hành khác nhau, bao gồm
bảo vệ phần mềm độc hại, cũng như chức năng tường lửa và IPSec.
Bộ bảo vệ Windows có
6
được đổi tên thành Microsoft
Bộ bảo vệ Windows Defender bắt đầu với
Windows 10 build 1909.
63 - Sở viễn thông – Mạng, FETEL,VNUHCM-Mỹ

64/5077
Bộ bảo vệ Windows Bộ bảo vệ Windows
Bốn tính năng chính do Windows Defender cung cấp: Bốn tính năng chính do Windows Defender cung cấp:
1. Bảo vệ khỏi mối đe dọa và vi-rút cho phép bạn thực hiện quét phần mềm độc hại 2. Tường lửa & bảo vệ mạng cho phép bạn bật hoặc tắt
trên hệ thống của bạn, lên lịch quét phần mềm độc hại định kỳ, cũng như tường lửa cho máy tính của bạn khi được kết nối với một miền,
bật tính năng bảo vệ phần mềm độc hại theo thời gian thực và được phân phối trên đám mây. Bạn có thể mạng công cộng hoặc mạng riêng.
cũng cho phép truy cập thư mục được kiểm soát để ngăn chặn phần mềm tống tiền
sửa đổi các tập tin, thư mục và bộ nhớ trên hệ thống của bạn.
Máy tính có thể liên hệ với bộ điều khiển miền trên
mạng tự động là một phần của mạng miền.
Kết nối với mạng mới
bên ngoài tổ chức của bạn:

mạng công cộng (ví dụ,
WLAN tại quán cà phê) hoặc một
mạng riêng (ví dụ, một
mạng trong nhà).

65/5077
66/5077
3. Kiểm soát ứng dụng & trình duyệt cho phép bạn định cấu hình hành động được thực hiện 4. Bảo mật thiết bị
khi các ứng dụng mới được truy cập từ Internet (hành động mặc định oSecure boot là một tiêu chuẩn bảo mật được phát triển bởi các thành viên của
là để cảnh báo người dùng), cũng như định cấu hình bảo vệ khai thác ứng dụng Ngành PC để giúp đảm bảo rằng thiết bị chỉ khởi động bằng
đặc trưng.
phần mềm được Nhà sản xuất thiết bị gốc tin cậy
(OEM).
oKhi PC khởi động, phần sụn sẽ kiểm tra chữ ký của từng
phần mềm khởi động, bao gồm trình điều khiển phần sụn UEFI (cũng
được gọi là ROM tùy chọn), các ứng dụng EFI và hệ điều hành
hệ
thống. Nếu chữ ký hợp lệ, PC sẽ khởi động và phần sụn

trao quyền điều khiển cho hệ điều hành.

67/5077
68/5077
4. Bảo mật thiết bị 4. Bảo mật thiết bị

oKhởi động an toàn
Cách ly oCore cung cấp khả năng bảo vệ bổ sung chống lại phần mềm độc hại và
Khởi động an toàn ngăn chặn một kiểu tấn công tinh vi và nguy hiểm các cuộc tấn công khác bằng cách cô lập các quy trình máy tính khỏi
phần mềm độc hại—một rootkit—khỏi tải khi bạn khởi động hệ điều hành và thiết bị.
thiết bị.
- Rootkit sử dụng các quyền tương tự như hệ điều hành Nó thực hiện điều này bằng cách chạy các quy trình cốt lõi đó trong một môi trường ảo hóa.
và bắt đầu trước nó, có nghĩa là họ hoàn toàn có thể ẩn môi trường.
chúng tôi.
- Rootkit thường là một phần của toàn bộ bộ phần mềm độc hại
có thể bỏ qua thông tin đăng nhập cục bộ, ghi lại mật khẩu và tổ hợp phím,
chuyển các tệp riêng tư và thu thập dữ liệu mật mã.

69/5077
70/5077
4. Bảo mật thiết bị 4. Bảo mật thiết bị hiển thị xem máy tính của bạn có sử dụng UEFI hay không
oTính toàn vẹn của bộ nhớ (còn được gọi là Mã được bảo vệ bởi Hypervisor khởi động an toàn và hỗ trợ tính năng cách ly lõi được cung cấp bởi
Integrity - HVCI) là một tính năng của sự cô lập lõi. phần mở rộng ảo hóa bộ xử lý.
Có thể giúp ngăn chặn các chương trình độc hại sử dụng trình điều khiển cấp thấp
để chiếm quyền điều khiển máy Nếu hỗ trợ cách ly lõi, bạn có thể kích hoạt bộ nhớ
tính của bạn. Tính toàn vẹn của bộ nhớ hoạt động bằng cách tạo ra một môi trường biệt lập cài đặt toàn vẹn để ngăn phần mềm độc hại và các cuộc tấn công mạng từ
sử dụng ảo hóa phần cứng. truy cập các quy trình bảo mật cao.
- Trình điều khiển là một phần của phần mềm cho phép điều hành
hệ thống (trong trường hợp này là Windows) và một thiết bị (chẳng hạn như
bàn phím hoặc webcam, cho hai ví dụ) nói chuyện với từng người
khác. Khi thiết bị muốn Windows thực hiện điều gì đó, thiết bị
sử dụng trình điều khiển để gửi yêu cầu đó.

71/5077
72/5077
Bộ bảo vệ Windows
CÁM ƠN VÌ SỰ QUAN TÂM CỦA BẠN
Để định cấu hình quy tắc tường lửa hoặc quy tắc bảo mật kết nối trên nhiều
máy tính, bạn có thể sử dụng Chính sách nhóm.
Sau khi chỉnh sửa GPO, bạn có thể điều hướng đến Cấu hình máy tính,
Chính sách, Cài đặt Windows, Cài đặt bảo mật, Bộ bảo vệ Windows
Tường lửa với Bảo mật Nâng cao, Tường lửa của Bộ bảo vệ Windows với
Bảo mật nâng cao để truy cập Quy tắc gửi đến, Quy tắc gửi đi và
Các phần Quy tắc bảo mật kết nối.

Bộ môn Mạng và Viễn thông Khoa Điện tử và
Truyền thông
Đại học Khoa học Tự nhiên, Đại học Quốc gia TP.HCM
Email: nvha@hcmus.edu.vn

Chapter4 - Securing Windows Networks (1) (1)

Uploaded by

Copyright:

Available Formats

You might also like

Chapter4 - Securing Windows Networks (1) (1)

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Chapter4 - Securing Windows Networks (1) (1)

Uploaded by

Copyright:

Available Formats

Machine Translated by Google

ĐHQGHCM – ĐẠI HỌC BÁCH KHOA

CỤC VIỄN THÔNG – MẠNG

Mạng lưới công nghệ

Ngày 6 tháng 6 năm 2023

Giảng viên: Nguyễn Việt Hà, Ph.D. Email: nvha@hcmus.edu.vn

Chính sách nhóm Chính sách nhóm

Chính sách nhóm

oTạo một chính sách

Còn khoảng 100 hệ thống,

Nguyễn Việt Hà, Ph.D.

Chính sách nhóm Chính sách nhóm

Nguyễn Việt Hà, Ph.D.

Chính sách nhóm Chính sách nhóm

được áp dụng cho tất cả các hệ thống/người dùng.

Nguyễn Việt Hà, Ph.D.

1. Chính sách cục bộ (do gpedit.msc đặt)

2. Chính sách trang web

3. Chính sách tên miền

4. Chính sách OU gốc

Nguyễn Việt Hà, Ph.D.

Chặn GPO Chặn GPO

đã được định cấu

Định cấu hình cài đặt Kế thừa khối trên một

Nguyễn Việt Hà, Ph.D.

Thực thi GPO Thực thi GPO

Chính sách tên miền GPO

tổ chức, bao gồm cả đơn vị tổ chức R&D

Nguyễn Việt Hà, Ph.D.

Lọc GPO Liên kết GPO

Để áp dụng Miền mặc định

và thêm người dùng cụ thể và

Nguyễn Việt Hà, Ph.D.

Chính sách nhóm

GPO cục bộ được lưu trữ trong C:\Windows\system32\grouppolicy ẩn

Nguyễn Việt Hà, Ph.D.

Cài đặt GPO Cài đặt GPO

Chính sách chứa cài đặt Chính sách Nhóm:

cung cấp cấu hình cho

Nguyễn Việt Hà, Ph.D.

Cài đặt phần mềm Cài đặt phần mềm

Nguyễn Việt Hà, Ph.D.

Cài đặt phần mềm Cài đặt phần mềm

Nguyễn Việt Hà, Ph.D.

Cài đặt phần mềm Cài đặt Windows

nhận các cài đặt từ GPO.

Cài đặt Windows Cài đặt Windows

Nguyễn Việt Hà, Ph.D.

Cài đặt Windows mẫu hành chính

oChính sách khóa tài khoản

oChính sách Kerberos

Chính sách địa phương

Nguyễn Việt Hà, Ph.D.

mẫu hành chính mẫu hành chính

các tính năng sao lưu.

Các tập tin)

Nguyễn Việt Hà, Ph.D.

mẫu hành chính

cài đặt quản trị