Cai dat va cau hinh Windows Server 2012 R2 (55)

(Tiếp theo của "Cai dat va cau hinh Windows Server 2012 R2 (54)")



Tóm tắt nội dung

­

- Software Restriction Policies là một chức năng trong Group Policy, cho phép bạn kiểm soát việc thực thi của các phần mềm trên máy tính.
­

- Default Security Level là chế độ bảo mật mặc định được thiết lập trong Security Level, chế độ này có ba tùy chọn: một là unrestricted – cho phép mọi phần mềm đều được chạy, ngoại trừ các phần mềm đã bị cấm một cách tường minh; hai là disallowed - cấm mọi phần mềm thực thi, ngoại trừ các phần mềm đã được cho phép một cách tường minh; ba là basic user - các phần mềm cần chạy bằng quyền quản trị sẽ không được thực thi, các phần mềm chạy bằng quyền người dùng được thực thi.
­

- Software Restriction Policies có bốn loại luật, gồm (theo thứ tự ưu tiên): Hash rules, Certificate rules, Path rules và Network zone rules. Khi được tạo ra, các luật này sẽ có độ ưu tiên cao hơn và sẽ thay thế các luật tương ứng trong Default Security Level.
­

- AppLocker là một chức năng trong Group Policy, nó cũng cho phép bạn kiểm soát việc thực thi của các phần mềm trên máy tính. Sử dụng AppLocker đơn giản hơn so với Software Restriction Policies.

 

Câu hỏi ôn tập


1.      Loại luật nào sau đây không có trong Software Restriction Policies của Windows Server 2012 R2?
A.    Hash rules
B.     Certificate rules
C.     Path rules
D.    Firewall rules

2.      Trong Software Restriction Policies, chiến lược nào sẽ cấm chạy mọi phần mềm, ngoại trừ các phần mềm đã được Administrator cho phép chạy một cách tường minh?
A.    Basic user
B.     Disallowed
C.     Power user
D.    Unrestricted

3.      Tình huống nào sau đây làm cho hash rule bị mất tác dụng trong việc kiểm soát các phần mềm? (chọn tất cả các khả năng)
A.    Khi bạn di chuyển tập tin đang được thiết lập hash rule tới thư mục khác.
B.     Khi bạn nâng cấp tập tin đang được thiết lập hash rule lên phiên bản mới.
C.     Khi tập tin đang được thiết lập hash rule bị virus làm thay đổi nội dung.
D.    Khi bạn thay đổi quyền sử dụng (NTFS) trên tập tin đang được thiết lập hash rule.

4.      Loại luật nào sau đây sẽ kiểm soát các tập tin có phần mở rộng là .msi?
A.    Executable rules
B.     Windows Installer rules
C.     Script rules
D.    Packaged app rules

5.       Bạn phải khởi chạy bằng tay dịch vụ nào sau đây của Windows, để AppLocker có thể thực hiện các chính sách của nó?
A.    Application Identity
B.     Application Management
C.     Credential Manager
D.    Network Connectivity Assistant

 

6.4 Cấu hình Windows Firewall


Bạn có thể đặt các máy server trong phòng biệt lập để đảm bảo an toàn, tuy nhiên, các server vẫn phải kết nối với hệ thống mạng. Thông qua kết nối mạng, server sẽ trao đổi dữ liệu với bên ngoài. Để đảm bảo an toàn cho server, trong khi vẫn đáp ứng được nhu cầu sử dụng của người dùng, bạn cần thiết lập và cấu hình tường lửa (firewall).

Firewall là một phần mềm, được sử dụng để bảo vệ máy tính hoặc hệ thống mạng. Firewall sẽ kiểm soát việc đi vào và đi ra của các gói dữ liệu. Nó thực hiện chức năng này bằng cách kiểm tra nội dung của gói tin, so sánh nội dung của gói tin với các luật đã được thiết lập, để quyết định có cho gói tin đó đi qua hay không.

Mục đích của firewall là cho phép các gói tin cần thiết đối với nghiệp vụ của người dùng được phép đi qua và cấm tất cả các gói tin còn lại.

Khi làm việc với firewall, chúng ta không quan tâm tới vấn đề chứng thực và phân quyền.

Các nội dung sẽ được đề cập trong phần này:
­

- Windows Firewall
­

- Làm việc với Windows Firewall

 

Windows Firewall


Windows Firewall là chương trình tường lửa có sẵn trong Windows Server 2012 R2. Chương trình này được bật mặc định trên tất cả các hệ thống. Ở chế độ mặc định, Windows Firewall cấm hầu hết các gói tin đi vào hệ thống. Nó làm việc bằng cách kiểm tra nội dung của mỗi gói tin đi vào và đi ra, so sánh nội dung của gói tin với các luật, từ đó sẽ quyết định xem gói tin nào được phép đi qua và gói tin nào không.

Hệ thống Windows sử dụng chồng giao thức TCP/IP để thực hiện các giao tiếp mạng. Dữ liệu của ứng dụng được đóng gói bằng nhiều giao thức khác nhau. Trong quá trình đóng gói, thông tin cho biết dữ liệu xuất phát từ đâu và đi đến đâu được bổ sung vào gói tin, trong đó có ba thông tin quan trọng hay được sử dụng để tạo luật trong tường lửa là:
­

- Địa chỉ IP: xác định duy nhất một host trên mạng. Bạn có thể tạo luật dựa trên địa chỉ IP để cho phép/cấm một máy tính hay một mạng gửi/nhận gói tin.
­

- Chỉ số của giao thức (protocol numbers): dựa vào chỉ số của giao thức để xác định xem gói tin đó là TCP hay UDP. Các máy tính chạy Windows thường sử dụng UDP để truyền các thông điệp ngắn như các giao tiếp trong DNS, DHCP; TCP được sử dụng để truyền các thông điệp lớn như các giao tiếp của web server, file server, print server.
­

- Chỉ số cổng (port number): dựa vào chỉ số cổng để xác định ứng dụng nào đang chạy trên máy tính. Dựa vào chỉ số cổng, bạn có thể tạo các luật để cho phép/hoặc cấm gói tin của các ứng dụng. Ví dụ, web server luôn nhận gói tin ở cổng 80, do vậy nếu tường lửa không cho phép gói tin có chỉ số cổng 80 đi qua sẽ làm cho web server không thể hoạt động bình thường.

Tường lửa có thể hoạt động theo hai cách:
­

- Cho mọi gói tin đi qua, trừ các trường hợp được liệt kê trong các luật.
­

- Cấm mọi gói tin đi qua, trừ các trường hợp được liệt kê trong các luật.

Cách thứ hai an toàn hơn cho hệ thống. Cụ thể, ban đầu, người quản trị sẽ khóa hoàn toàn hệ thống, sau đó sẽ chạy thử các ứng dụng, nếu ứng dụng yêu cầu mở cổng nào thì người quản trị sẽ tạo luật để mở cổng đó. Windows Firewall đang sử dụng cách này đối với các gói đi vào. Với các gói tin đi ra, Windows Firewall sử dụng cách đầu tiên, nghĩa là cho mọi gói tin đi qua, trừ các trường hợp đã được liệt kê trong các luật.

 

Làm việc với Windows Firewall


Để làm việc với Windows Firewall, bạn có thể sử dụng một trong hai giao diện là cửa sổ Windows Firewall hoặc cửa sổ Windows Firewall With Advanced Security.

Cửa sổ Windows Firewall là một giao diện đơn giản, nó cho phép người quản trị bật hoặc tắt tường lửa, thực hiện các thiết lập cho tường lửa. Để tạo luật hoặc thiết lập cấu hình phức tạp cần sử dụng Windows Firewall With Advanced Security.

Trong hầu hết các trường hợp, người quản trị ít khi làm việc trực tiếp với Windows Firewall. Vì khi cài đặt các chức năng của Windows Server 2012 R2, các cổng cần thiết cho chức năng sẽ được mở tự động trong quá trình cài đặt.

Ví dụ, khi bạn mở File Explorer lần đầu và truy cập vào hệ thống mạng, một cảnh báo sẽ xuất hiện, nội dung của cảnh báo là Network Discovery and File Sharing đang tắt, nên bạn không thể truy cập vào hệ thống mạng được.

Network Discovery chỉ là một tập các luật của tường lửa, nó kiểm soát các cổng mà Windows sử dụng để truy cập vào hệ thống mạng, gồm các cổng 137, 138, 1900, 2869, 3702, 5355, 5357, và 5358. Mặc định, Windows Server 2012 R2 vô hiệu các luật inbound trên các cổng này, kết quả là các cổng này bị cấm, các gói tin không thể đi qua. Khi bạn bấm chuột vào cảnh báo và chọn Turn On Network Discovery And File Sharing, cũng có nghĩa là bạn đang bật các luật của tường lửa, kết quả là mở các cổng ở trên.

Bạn cũng có thể kiểm soát các luật liên quan đến Network Discovery and File Sharing bằng các cách khác. Cụ thể, chuột phải vào biểu tượng cạc mạng trên thanh System Tray, chọn Open Network and Sharing Center, chọn Advanced Sharing Settings, tại đây, bạn có thể bật hoặc tắt Network Discovery, File Sharing, và một số chức năng khác.

Cũng trong cửa sổ Network and Sharing Center, bạn có thể chọn mục Windows Firewall để mở cửa sổ Windows Firewall, chọn tiếp mục Allow An App Or Feature Through Windows Firewall, đánh dấu chọn vào mục Network Discovery để mở chức năng này.

Cuối cùng trong cửa sổ Windows Firewall, bạn có thể chọn mục Advanced Settings, chọn nút Inbound Rules, bạn sẽ nhìn thấy chín luật cụ thể của Network Discovery, bạn có thể bật từng luật của Network Discovery.

Như bạn đã thấy, Network Discovery là một chức năng phức tạp của Windows, do vậy rất khó để kiểm soát nó. Đây là lý do tại sao Windows Firewall thường tập hợp các luật cần thiết cho các ứng dụng và dịch vụ thành một nhóm để tiện quản lý.

 

Thực hiện cấu hình


Cửa sổ Windows Firewall là nơi cho phép bạn cấu hình và quản lý tường lửa dễ nhất và an toàn nhất. Hầu hết các cấu hình liên quan đến tường lửa bạn đều có thể thực hiện tại cửa sổ này. Xem hình minh họa.



Sau đây là các thông tin có trong cửa sổ Windows Firewall:
­

- Tình trạng kết nối giữa máy tính và mạng domain, private, public
­

- Tình trạng của Windows Firewall là bật hay tắt
­

- Trạng thái các luật trên inbound (đường vào), outbound (đường ra)
­

- Tên các mạng hiện đang tồn tại
­

- Chế độ thông báo cho người dùng khi một chương trình bị khóa

Sau đây là các chức năng ở khung bên trái của cửa sổ Windows Firewall:
­

- Allow An App Or Feature Through Windows Firewall: mở cửa sổ Allowed Apps, tại đây bạn có thể cấu hình ứng dụng/dịch vụ nào được phép gửi dữ liệu qua tường lửa.
­

- Change Notification Settings: mở cửa sổ Customize Settings, cho phép thiết lập chế độ hoạt động của tường lửa.
­

- Turn Windows Firewall On Or Off: mở cửa sổ Customize Settings, cho phép thiết lập chế độ hoạt động của tường lửa.
­

- Restore Defaults: chuyển tường lửa về trạng thái mặc định ban đầu.
­

- Advanced Settings: mở cửa sổ Windows Firewall With Advanced Security
­

- Troubleshoot My Network: bật cửa sổ khắc phục sự cố Network and Internet.
---------------------------
Tham khảo (Lược dịch): Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014
--------------------------- 
Cập nhật 2015/9/18
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (56)