Langbiang: tháng 9 2015

Cai dat va cau hinh Windows Server 2012 R2 (55)

(Tiếp theo của "Cai dat va cau hinh Windows Server 2012 R2 (54)")

Tóm tắt nội dung

- Software Restriction Policies là một chức năng trong Group Policy, cho phép bạn kiểm soát việc thực thi của các phần mềm trên máy tính.

- Default Security Level là chế độ bảo mật mặc định được thiết lập trong Security Level, chế độ này có ba tùy chọn: một là unrestricted – cho phép mọi phần mềm đều được chạy, ngoại trừ các phần mềm đã bị cấm một cách tường minh; hai là disallowed - cấm mọi phần mềm thực thi, ngoại trừ các phần mềm đã được cho phép một cách tường minh; ba là basic user - các phần mềm cần chạy bằng quyền quản trị sẽ không được thực thi, các phần mềm chạy bằng quyền người dùng được thực thi.

- Software Restriction Policies có bốn loại luật, gồm (theo thứ tự ưu tiên): Hash rules, Certificate rules, Path rules và Network zone rules. Khi được tạo ra, các luật này sẽ có độ ưu tiên cao hơn và sẽ thay thế các luật tương ứng trong Default Security Level.

- AppLocker là một chức năng trong Group Policy, nó cũng cho phép bạn kiểm soát việc thực thi của các phần mềm trên máy tính. Sử dụng AppLocker đơn giản hơn so với Software Restriction Policies.

Câu hỏi ôn tập

1. Loại luật nào sau đây không có trong Software Restriction Policies của Windows Server 2012 R2?

A. Hash rules

B. Certificate rules

C. Path rules

D. Firewall rules

2. Trong Software Restriction Policies, chiến lược nào sẽ cấm chạy mọi phần mềm, ngoại trừ các phần mềm đã được Administrator cho phép chạy một cách tường minh?

A. Basic user

B. Disallowed

C. Power user

D. Unrestricted

3. Tình huống nào sau đây làm cho hash rule bị mất tác dụng trong việc kiểm soát các phần mềm? (chọn tất cả các khả năng)

A. Khi bạn di chuyển tập tin đang được thiết lập hash rule tới thư mục khác.

B. Khi bạn nâng cấp tập tin đang được thiết lập hash rule lên phiên bản mới.

C. Khi tập tin đang được thiết lập hash rule bị virus làm thay đổi nội dung.

D. Khi bạn thay đổi quyền sử dụng (NTFS) trên tập tin đang được thiết lập hash rule.

4. Loại luật nào sau đây sẽ kiểm soát các tập tin có phần mở rộng là .msi?

A. Executable rules

B. Windows Installer rules

C. Script rules

D. Packaged app rules

5. Bạn phải khởi chạy bằng tay dịch vụ nào sau đây của Windows, để AppLocker có thể thực hiện các chính sách của nó?

A. Application Identity

B. Application Management

C. Credential Manager

D. Network Connectivity Assistant

6.4 Cấu hình Windows Firewall

Bạn có thể đặt các máy server trong phòng biệt lập để đảm bảo an toàn, tuy nhiên, các server vẫn phải kết nối với hệ thống mạng. Thông qua kết nối mạng, server sẽ trao đổi dữ liệu với bên ngoài. Để đảm bảo an toàn cho server, trong khi vẫn đáp ứng được nhu cầu sử dụng của người dùng, bạn cần thiết lập và cấu hình tường lửa (firewall).

Firewall là một phần mềm, được sử dụng để bảo vệ máy tính hoặc hệ thống mạng. Firewall sẽ kiểm soát việc đi vào và đi ra của các gói dữ liệu. Nó thực hiện chức năng này bằng cách kiểm tra nội dung của gói tin, so sánh nội dung của gói tin với các luật đã được thiết lập, để quyết định có cho gói tin đó đi qua hay không.

Mục đích của firewall là cho phép các gói tin cần thiết đối với nghiệp vụ của người dùng được phép đi qua và cấm tất cả các gói tin còn lại.

Khi làm việc với firewall, chúng ta không quan tâm tới vấn đề chứng thực và phân quyền.

Các nội dung sẽ được đề cập trong phần này:

- Windows Firewall

- Làm việc với Windows Firewall

Windows Firewall

Windows Firewall là chương trình tường lửa có sẵn trong Windows Server 2012 R2. Chương trình này được bật mặc định trên tất cả các hệ thống. Ở chế độ mặc định, Windows Firewall cấm hầu hết các gói tin đi vào hệ thống. Nó làm việc bằng cách kiểm tra nội dung của mỗi gói tin đi vào và đi ra, so sánh nội dung của gói tin với các luật, từ đó sẽ quyết định xem gói tin nào được phép đi qua và gói tin nào không.

Hệ thống Windows sử dụng chồng giao thức TCP/IP để thực hiện các giao tiếp mạng. Dữ liệu của ứng dụng được đóng gói bằng nhiều giao thức khác nhau. Trong quá trình đóng gói, thông tin cho biết dữ liệu xuất phát từ đâu và đi đến đâu được bổ sung vào gói tin, trong đó có ba thông tin quan trọng hay được sử dụng để tạo luật trong tường lửa là:

- Địa chỉ IP: xác định duy nhất một host trên mạng. Bạn có thể tạo luật dựa trên địa chỉ IP để cho phép/cấm một máy tính hay một mạng gửi/nhận gói tin.

- Chỉ số của giao thức (protocol numbers): dựa vào chỉ số của giao thức để xác định xem gói tin đó là TCP hay UDP. Các máy tính chạy Windows thường sử dụng UDP để truyền các thông điệp ngắn như các giao tiếp trong DNS, DHCP; TCP được sử dụng để truyền các thông điệp lớn như các giao tiếp của web server, file server, print server.

- Chỉ số cổng (port number): dựa vào chỉ số cổng để xác định ứng dụng nào đang chạy trên máy tính. Dựa vào chỉ số cổng, bạn có thể tạo các luật để cho phép/hoặc cấm gói tin của các ứng dụng. Ví dụ, web server luôn nhận gói tin ở cổng 80, do vậy nếu tường lửa không cho phép gói tin có chỉ số cổng 80 đi qua sẽ làm cho web server không thể hoạt động bình thường.

Tường lửa có thể hoạt động theo hai cách:

- Cho mọi gói tin đi qua, trừ các trường hợp được liệt kê trong các luật.

- Cấm mọi gói tin đi qua, trừ các trường hợp được liệt kê trong các luật.

Cách thứ hai an toàn hơn cho hệ thống. Cụ thể, ban đầu, người quản trị sẽ khóa hoàn toàn hệ thống, sau đó sẽ chạy thử các ứng dụng, nếu ứng dụng yêu cầu mở cổng nào thì người quản trị sẽ tạo luật để mở cổng đó. Windows Firewall đang sử dụng cách này đối với các gói đi vào. Với các gói tin đi ra, Windows Firewall sử dụng cách đầu tiên, nghĩa là cho mọi gói tin đi qua, trừ các trường hợp đã được liệt kê trong các luật.

Làm việc với Windows Firewall

Để làm việc với Windows Firewall, bạn có thể sử dụng một trong hai giao diện là cửa sổ Windows Firewall hoặc cửa sổ Windows Firewall With Advanced Security.

Cửa sổ Windows Firewall là một giao diện đơn giản, nó cho phép người quản trị bật hoặc tắt tường lửa, thực hiện các thiết lập cho tường lửa. Để tạo luật hoặc thiết lập cấu hình phức tạp cần sử dụng Windows Firewall With Advanced Security.

Trong hầu hết các trường hợp, người quản trị ít khi làm việc trực tiếp với Windows Firewall. Vì khi cài đặt các chức năng của Windows Server 2012 R2, các cổng cần thiết cho chức năng sẽ được mở tự động trong quá trình cài đặt.

Ví dụ, khi bạn mở File Explorer lần đầu và truy cập vào hệ thống mạng, một cảnh báo sẽ xuất hiện, nội dung của cảnh báo là Network Discovery and File Sharing đang tắt, nên bạn không thể truy cập vào hệ thống mạng được.

Network Discovery chỉ là một tập các luật của tường lửa, nó kiểm soát các cổng mà Windows sử dụng để truy cập vào hệ thống mạng, gồm các cổng 137, 138, 1900, 2869, 3702, 5355, 5357, và 5358. Mặc định, Windows Server 2012 R2 vô hiệu các luật inbound trên các cổng này, kết quả là các cổng này bị cấm, các gói tin không thể đi qua. Khi bạn bấm chuột vào cảnh báo và chọn Turn On Network Discovery And File Sharing, cũng có nghĩa là bạn đang bật các luật của tường lửa, kết quả là mở các cổng ở trên.

Bạn cũng có thể kiểm soát các luật liên quan đến Network Discovery and File Sharing bằng các cách khác. Cụ thể, chuột phải vào biểu tượng cạc mạng trên thanh System Tray, chọn Open Network and Sharing Center, chọn Advanced Sharing Settings, tại đây, bạn có thể bật hoặc tắt Network Discovery, File Sharing, và một số chức năng khác.

Cũng trong cửa sổ Network and Sharing Center, bạn có thể chọn mục Windows Firewall để mở cửa sổ Windows Firewall, chọn tiếp mục Allow An App Or Feature Through Windows Firewall, đánh dấu chọn vào mục Network Discovery để mở chức năng này.

Cuối cùng trong cửa sổ Windows Firewall, bạn có thể chọn mục Advanced Settings, chọn nút Inbound Rules, bạn sẽ nhìn thấy chín luật cụ thể của Network Discovery, bạn có thể bật từng luật của Network Discovery.

Như bạn đã thấy, Network Discovery là một chức năng phức tạp của Windows, do vậy rất khó để kiểm soát nó. Đây là lý do tại sao Windows Firewall thường tập hợp các luật cần thiết cho các ứng dụng và dịch vụ thành một nhóm để tiện quản lý.

Thực hiện cấu hình

Cửa sổ Windows Firewall là nơi cho phép bạn cấu hình và quản lý tường lửa dễ nhất và an toàn nhất. Hầu hết các cấu hình liên quan đến tường lửa bạn đều có thể thực hiện tại cửa sổ này. Xem hình minh họa.

Sau đây là các thông tin có trong cửa sổ Windows Firewall:

- Tình trạng kết nối giữa máy tính và mạng domain, private, public

- Tình trạng của Windows Firewall là bật hay tắt

- Trạng thái các luật trên inbound (đường vào), outbound (đường ra)

- Tên các mạng hiện đang tồn tại

- Chế độ thông báo cho người dùng khi một chương trình bị khóa

Sau đây là các chức năng ở khung bên trái của cửa sổ Windows Firewall:

- Allow An App Or Feature Through Windows Firewall: mở cửa sổ Allowed Apps, tại đây bạn có thể cấu hình ứng dụng/dịch vụ nào được phép gửi dữ liệu qua tường lửa.

- Change Notification Settings: mở cửa sổ Customize Settings, cho phép thiết lập chế độ hoạt động của tường lửa.

- Turn Windows Firewall On Or Off: mở cửa sổ Customize Settings, cho phép thiết lập chế độ hoạt động của tường lửa.

- Restore Defaults: chuyển tường lửa về trạng thái mặc định ban đầu.

- Advanced Settings: mở cửa sổ Windows Firewall With Advanced Security

- Troubleshoot My Network: bật cửa sổ khắc phục sự cố Network and Internet.

---------------------------

Tham khảo (Lược dịch): Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014

---------------------------
Cập nhật 2015/9/18
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (56)

Cai dat va cau hinh Windows Server 2012 R2 (54)

(Tiếp theo của "Cai dat va cau hinh Windows Server 2012 R2 (53)")

Hash rules

Hash là một chuỗi kí số có kích thước cố định, nó là định danh duy nhất của mỗi chương trình hay tập tin. Hash được sinh ra dựa trên thuật toán, thuật toán này đảm bảo giá trị hash sinh ra là duy nhất cho mỗi tập tin.

Khi bạn tạo một luật dựa trên hash của tập tin, hệ thống sẽ lưu giá trị hash của tập tin trong Software Restriction Policies. Khi người dùng muốn chạy tập tin, hệ thống sẽ so khớp giá trị hash của tập tin với giá trị hash của nó trong Software Restriction Policies, nếu hai giá trị này khớp nhau, luật sẽ được thực thi.

Do giá trị hash được tạo dựa trên tập tin, nên khi bạn di chuyển tập tin tới vị trí khác thì giá trị hash vẫn không bị thay đổi. Tuy nhiên, nếu chương trình phá hoại làm thay đổi nội dung của tập tin, dẫn tới giá trị hash bị thay đổi, khi đó, luật trong Software Restriction Policies sẽ không cho chương trình được thực thi.

Certificate rules

Certificate rule là luật dựa vào chứng chỉ số (digital certificate) của mỗi phần mềm. Chứng chỉ số giúp xác định tính hợp pháp của phần mềm. Bạn có thể sử dụng certificate rule để cho phép các phần mềm có nguồn gốc tin cậy được chạy và cấm các phần mềm còn lại. Bạn cũng có thể sử dụng certificate rule để cho phép chạy các phần mềm đang bị cấm bởi thiết lập Disallowed.

Path rules

Path rule là luật dựa trên vị trí của phần mềm trên hệ thống lưu trữ. Bạn có thể sử dụng path rule để cho chạy các phần mềm bị cấm bởi thiết lập Disallowed, hoặc cấm chạy các phần mềm do thiết lập Unrestricted.

Vị trí của phần mềm có thể xác định bằng vị trí của nó trong thiết bị lưu trữ, hoặc thông tin về vị trí được khai báo trong cấu trúc Registry.

Tạo luật (path rule) dựa trên vị trí của phần mềm có hạn chế là khi bạn thay đổi vị trí lưu trữ của phần mềm sẽ làm cho luật không còn tác dụng. Ngược lại, nếu dựa vào thông tin vị trí của phần mềm trong Registry sẽ luôn đảm bảo luật được thực thi, vì khi bạn thay đổi vị trí lưu trữ của phần mềm, giá trị trong Registry sẽ được cập nhật tự động.

Network zone rules

Network zone rule là luật áp dụng cho các phần mềm được cài đặt bằng Windows Installer từ máy cục bộ (local computer), local intranet, trusted sites, restricted sites hoặc Internet. Bạn có thể sử dụng luật kiểu này để chỉ cho phép cài đặt các phần mềm có nguồn gốc đáng tin cậy trên hệ thống mạng. Ví dụ, thiết lập Internet zone rule để không cho phép Windows Installer tải về và cài đặt các phần mềm từ Internet và các nơi khác trên mạng.

Sử dụng nhiều luật

Trong một Software Restriction Policies, bạn có thể kết hợp nhiều loại luật trong Additional Rules và nhiều chiến lược bảo mật trong Security Levels. Ví dụ, bạn có thể sử dụng một path rule để cấm chạy phần mềm trong thư mục \\Server1\Accounting, một path rule để cho phép chạy phần mềm trong thư mục \\Server 1\Application. Bạn cũng có thể kết hợp certificate rule và hash rule.

Sau đây là thứ tự ưu tiên của các luật, luật có số thứ tự nhỏ hơn sẽ có độ ưu tiên cao hơn:

1. Hash rules

2. Certificate rules

3. Network zone rules

4. Path rules

Khi có xung đột giữa các luật, luật có độ ưu tiên cao hơn sẽ được áp dụng. Ví dụ, nếu có xung đột giữa hash rules và path rules, thì hash rules sẽ được áp dụng.

Khi có sự xung đột giữa hai luật cùng loại trên một phần mềm, thì luật nào có sự hạn chế phần mềm nhiều hơn sẽ được áp dụng. Ví dụ, một luật là Unrestricted và một luật là Disallowed thì luật sẽ được áp dụng là Disallowed.

Cấu hình cho Software Restriction Policies

Bạn có thể thiết lập các thuộc tính cho mục Software Restriction Policies, các thuộc tính này sẽ tác động trên toàn bộ các chính sách trong Software Restriction Policies.

Có ba thuộc tính bạn có thể thiết lập cho Software Restriction Policies là: Enforcement, Designated File Types, và Trusted Publishers.

Thuộc tính Enforcement

Thuộc tính này cho phép bạn lựa chọn: sẽ áp dụng chính sách cho tất cả các tập tin của ứng dụng bao gồm cả các tập tin DLL (dynamic link library), hay không áp dụng trên các tập tin DLL. Ở chế độ mặc định, chính sách sẽ không áp dụng trên các tập tin DLL. Xem hình minh họa.

Một ví dụ về ứng dụng Enforcement trong thực tế, Default Security Level được thiết lập là Disallowed và Enforcement được thiết lập là All Software, khi đó bạn sẽ phải tạo các chính sách để kiểm soát các tập tin DLL, ngược lại nếu trong Enforcement bạn loại ra các tập tin DLL, thì bạn sẽ không phải quan tâm tới việc kiểm soát các DLL.

Thuộc tính Designated File Types

Thuộc tính Designated File Types được sử dụng để xác định các loại tập tin sẽ bị tác động bởi các luật. Các loại tập tin được chọn ở đây sẽ áp dụng cho tất cả các luật trong Software Restriction Policies. Xem hình minh họa.

Thuộc tính Trusted Publishers

Thuộc tính Trusted Publishers cho phép người quản trị thiết lập chính sách liên quan đến certificate rule cho hệ thống. Xem hình minh họa.

Trong cửa sổ Trusted Publishers Properties, phần Trusted publisher management cho phép xác định ai được phép quản lý nguồn cấp certificate. Mặc định, administrator máy cục bộ có quyền xác định nguồn cấp certificate cho máy cục bộ, enterprise administrators có quyền xác định nguồn cấp certificate cho một OU. Đối với các hệ thống có yêu cầu bảo mật cao, người dùng không được phép lựa chọn nguồn cấp certificate.

Sử dụng AppLocker

Software Restriction Policies là một công cụ mạnh, tuy nhiên, nó đòi hỏi người quản trị phải thực hiện nhiều việc hơn. Đặc biệt, nếu bạn cấu hình theo kiểu disallowed, khi đó ngoài việc tạo luật để cho các phần mềm ứng dụng được chạy, bạn còn phải tạo luật cho rất nhiều các chương trình của chính Windows Server 2012 R2.

Applocker còn có tên gọi khác là Application Control Policies. Applocker là một chức năng của Windows, nó kiểm soát ứng dụng thông qua các luật, tuy nhiên việc tạo luật rất đơn giản.

Các luật của Applocker có thể áp dụng cho từng user hoặc từng group cụ thể. Bạn cũng có thể tạo luật để áp dụng cho tất cả các phiên bản trong tương lai của một ứng dụng.

Hạn chế của Applocker là các chính sách của nó chỉ áp dụng được trên các máy tính cài Windows 7 và Windows Server 2008 R2 trở lên.

Các loại luật

Các thiết lập của AppLocker được lưu trong các GPO, cụ thể tại Computer Configuration\Windows Settings\Security Settings\Application Control Policies\AppLocker. Xem hình minh họa.

AppLocker chứa bốn nút, trong đó chứa các luật sau:

- Executable Rules: chứa các luật áp dụng cho các tập tin có phần mở rộng là .exe và .com

- Windows Installer Rules: chứa các luật áp dụng cho các gói cài đặt bằng Windows Installer, các tập tin có phần mở rộng là .msi và .msp

- Script Rules: chứa các luật áp dụng cho các tập tin dạng script, với phần mở rộng là .ps1, .bat, .cmd, .vbs, và .js

- Package App Rules: chứa các luật áp dụng cho các ứng dụng mua từ Windows Stores

Khi tạo luật trong mỗi nút, việc cho phép chạy hoặc cấm chạy một tài nguyên có thể dựa vào một trong các cách sau:

- Publisher: dựa vào chứng chỉ số của phần mềm, có thể tạo luật áp dụng cho mọi phiên bản của phần mềm.

- Path: dựa vào tên của tập tin hoặc thư mục, hạn chế của cách này là mọi tập tin đều có thể bị luật này tác động, nếu tên hoặc vị trí của nó khớp với luật.

- File Hash: dựa vào giá trị hash của tập tin

Thiết lập default rules

Khi được bật, AppLocker sẽ khóa tất cả các tập tin thực thi, các installer package, các script (ngoại trừ các đối tượng đã được áp dụng luật Allow). Vì vậy, bạn cần phải tạo ra luật để cho phép chạy các tập tin cần thiết cho Windows và các ứng dụng hệ thống. Để thực hiện, bấm chuột phải vào từng nút trong AppLocker, chọn Create Default Rules.

Default rules của mỗi nút cũng giống như các luật thông thường, do vậy, bạn có thể nhân bản, thay đổi hoặc xóa nếu cần. Bạn cũng có thể tự tạo các luật trong Default rules, miễn là đảm bảo Windows hoạt động bình thường mà không cần can thiệp gì thêm.

Để sử dụng AppLocker, phải bật dịch vụ Application Identify, mặc định, dịch vụ này thuộc loại khởi chạy bằng tay, do vậy, bạn phải khởi chạy nó trong cửa sổ Services trước khi Windows có thể áp dụng các chính sách của AppLocker.

Tạo luật tự động

Ưu điểm lớn nhất của AppLocker là khả năng tạo luật tự động. Để thực hiện, bấm chuột phải vào nút cần tạo luật, chọn Automatically Generate Rules để mở của sổ Automatically Generate Rules Wizard. Sau khi chọn thư mục, user và group chịu sự tác động của luật, trang Rule Preferences xuất hiện, trang này cho phép chọn loại luật sẽ được tạo. Sau đó xuất hiện trang Review Rules, tóm tắt nội dung của luật và thêm luật vào nút.

Tạo luật thủ công

Ngoài việc tạo luật tự động, bạn cũng có thể tạo luật thủ công. Để thực hiện, bấm chuột phải vào nút cần tạo luật, chọn Create New Rule. Wizard yêu cầu bạn cung cấp các thông tin sau:

- Action: xác định hành động của luật là allow (cho chạy) hay deny (cấm chạy). Trong AppLocker, luật deny có độ ưu tiên cao hơn luật allow.

- User Or Group: lựa chọn đối tượng chịu sự tác động của luật

- Conditions: xác định loại luật sẽ được tạo, luật sẽ chạy dựa trên chữ kí số, tên của tập tin, hay giá trị hash.

- Exceptions: xác định các ngoại lệ