Bảo mật dịch vụ trong Windows Server 2008 (Phần 1)
Hầu hết mọi máy chủ đang được sử dụng đều chạy một số loại dịch
vụ nhất định nào đó, những dịch vụ này cấp quyền truy cập vào dữ liệu,
tài nguyên, ứng dụng và thực hiện một số chức năng khác của mạng và máy
chủ.
Nếu những dịch vụ này không được bảo vệ thì chúng rất dễ trở thành mục
tiêu của tin tặc. Khi một dịch vụ nào đó bị tấn công thì khả năng truy
cập vào máy chủ và có thể là mạng đang bị đe dọa. Điều này có thể dẫn
đến những hậu quả nghiêm trọng và gây tổn thất lớn.
Do đó khi tung ra phiên bản Windows Server 2008, Microsoft đã bổ sung
một số chức năng quản lý dịch vụ. Khi sử dụng kết hợp những công cụ
quản lý dịch vụ trong một Group Policy Object, bạn có thể an tâm vì
những dịch vụ của bạn đã được bảo vệ khá an toàn.
Loại dịch vụ cần được bảo mật
Dịch vụ thường ẩn chứa nhiều nguy hiểm cho hệ thống máy chủ và mạng bởi
vì thực tế cho thấy chúng luôn gây ra những lỗ hổng trên máy chủ cho
người dùng, ứng dụng và nhiều máy chủ khác truy cập vào tài nguyên. Khi
lỗ hổng quá lớn hay những dịch vụ không được bảo vệ, tin tặc có thể
chiếm quyền truy cập vào máy chủ đó. Vì vậy việc bảo vệ dịch vụ là rất
cần thiết trên hệ thống máy chủ. Làm tốt được công việc này máy chủ mới
có thể ngăn chặn được những phiên truy cập không mong muốn.
Khi đánh giá mức độ cần thiết của bảo vệ dịch vụ, bạn cần phải xem xét
những nguyên tắc cơ bản mà lỗ hổng được tạo ra và xem xét những cuộc
tấn công có thể thực hiện nhằm vào những dịch vụ và những cài đặt liên
quan của chúng. Dưới đây là một số vùng của dịch vụ cần được bảo vệ:
Danh sách quản lý truy cập (Access Control List).
Chế độ khởi chạy dịch vụ
Tài khoản dịch vụ
Mật khẩu tài khoản dịch vụ
Tất cả những vùng dịch vụ có liên quan tới bảo mật này giờ đây có thể
được kiểm soát trong Group Policy của Windows Server 2008 hoặc bản
Windows Vista Enterprise.
1. Truy cập Group Policy Objects (GPO)
Để sử dụng những cài đặt trong phần này, bạn cần phải sử dụng một trong số ứng dụng sau trong mạng:
Windows Server 2008 Domain Controller (Trình kiểm soát miền)
Windows Vista SP1 có cài đặt Remote Server Administrative Tools (Bộ công cụ quản trị máy chủ từ xa) và chạy trong một miền Windows Active Directory
Khi đã có hệ thống đáp ứng yêu cầu trên, bạn hãy sử dụng Group Policy
Management Console (GPMC) để quản lý và hiệu chỉnh GPO từ hệ thống đó.
Bạn sẽ không thể thấy những cài đặt mới từ một hệ thống khác không đáp
ứng các tiêu chí trên.
2. Access Control List
Để kiểm soát Access Control List , bạn sẽ cần sử dụng mục Services của một GPO trong Computer Configuration\Policies\Windows Settings\Security Settings\System Services.
Hình 1: Sử dụng System Services Policy để kiểm soát
Access Control List.
Để sử dụng chính sách này, bạn hãy tìm đến dịch vụ muốn quản lý trong
danh sách ở bảng bên phải và lựa chọn nó. Khi phải chuột lên tên dịch
vụ đó, bạn sẽ có thể hiệu chỉnh những thuộc tính cho dịch vụ đó. Khi
hiệu chỉnh thuộc tính bạn sẽ thấy một hộp thoại thuộc tính Properties.
Hình 2: Hộp thoại System Services Properties.
Để thay đổi Access Control List cho dịch vụ đó, lựa chọn hộp chọn Definethis policy setting sau đó click vào nút Edit Security. Sau khi click nút này, bạn sẽ thấy một hộp thoại Security for Windows Event Collector.
Hình 3: Hộp thoại Security quản lý Access Control List.
Chú ý rằng bạn có một số cấp phép chuẩn cài đặt cho dịch vụ, bao gồm:
Full Control: Kiểm soát đầy đủ.
Read: Chỉ đọc
Start, stop and pause: Khởi chạy, tắt và tạm dừng.
Write: Ghi.
Delete: Xóa.
Bạn có thể click vào nút Advanced để tạo một danh sách cấp phép riêng cho mỗi dịch vụ. Bạn có thể lựa chọn ra những cấp phép trong 14 cấp phép bảo mật chi tiết.
3. Chế độ khởi động dịch vụ
Chế độ khởi động dịch vụ rất quan trọng đối với những dich vụ không thể
hay không muốn cái đặt, nhưng bạn lại muốn chắc chắn rằng chúng sẽ
không khởi chạy khi hệ thống khởi động. Có ba cấp độ trong chế độ khởi
động dịch vụ, gồm có:
Automatic: Tự động khởi chạy.
Manual: Khởi chạy thủ công.
Disabled: Hủy chế độ khởi chạy.
Chế độ Automatic và Manual có
thể khởi chạy dịch vụ vào bất kì thời điểm nào tùy thuộc vào những cài
đặt của dịch vụ đó. Hai chế độ khởi động này cho phép khởi chạy dịch vụ
bằng một cuộc gọi tới dịch vụ.
Tuy nhiên, khi một dịch vụ được cài đặt chế độ Disabled, thì nó sẽ không thể khỏi chạy theo chế độ Automatic hay Manual.
Do đó bạn có thể sử dụng chế độ này để chặn máy chủ khởi chạy dịch vụ
cho đến khi một admin kích hoạt lại nó. Sử dụng chế độ khởi động này
cùng với Access Control List là một sự kết hợp khá mạnh vì quá trình phân quyền có thể giới hạn quyền khởi chạy hay thay đổi dịch vụ.
Bạn có thể quản lý chế độ khởi động trong chính sách tương tự khi thao tác với Access Control List (Hình 2 ở trên minh họa ba tùy chọn của chế độ khởi động).
4. Tài khoản dịch vụ
Nhiều dịch vụ yêu cầu phải đăng nhập trước khi sử dụng. Đó là vì tài
khoản này không chỉ cho phép truy cập vào hệ thống nơi nơi dịch vụ đang
chạy mà còn có thể truy cập vào những hệ thống khác trong mạng. Trong
những trường hợp này tài khoản Network Service hay Local System sẽ không hoạt động.
Trước đây, quá trình cấu hình dịch vụ phải được thực hiện trên hệ thống chứa dịch vụ đang chạy. Giờ đây, với Group Policy Preferences, bạn có thể kiểm soát tài khoản dịch vụ nào được sử dụng từ Active Directory kèm Group Policy.
Cài đặt bạn muốn thực hiện cấu hình được lưu trữ trong Computer Configuration\Preferences\Control Panel Settings\Services.
Hình 4: Sử dụng Group Policy Preferences để cấu hình tên tài khoản dịch vụ.
Để cấu hình cho một chính sách thực hiện quản lý dịch vụ, bạn chỉ cần phải chuột lên Services chọn New Service. Sau đó bạn có thể lựa chọn dịch vụ muốn cấu hình từ hộp thoại Services.
Hình 5: Hộp thoại chính sách Group Policy Preferences.
Bạn có thể duyệt tìm và lựa chọn dịch vụ muôn quản lý trong danh sách khi click vào nút bên cạnh trường Service name. Sau khi đã lựa chọn dịch vụ, click chọn radio This account và tìm tài khoản dịch vụ mà bạn muốn sử dụng từ Active Directory.
Khi thực hiện xong các thao tác trên là bạn đã hoàn thành cấu hình tài
khoản cho dịch vụ trên mỗi hệ thống dưới sự quản lý của GPO có chứa
chính sách cài đặt.
5. Mật khẩu tài khoản dịch vụ
Trong phần trên chúng ta chỉ thực hiện cấu hình tài khoản dịch vụ,
nhưng trên hình 5 bạn cũng có thể thấy chúng ta có thể thực hiện tạo
mật khẩu tại đó. Đây là một cài đặt rất mạnh, vì trước đây bạn chỉ có
thể thực hiện thao tác này trên máy tính chứa dịch vụ đang chạy hay sử
dụng một công cụ quản trị từ xa để kết nối tới máy chủ đó.
Sử dụng chính sách Group Policy Preferences bạn
có thể đảm bảo rằng tài khoản dịch vụ được cài đặt trong dịch vụ có một
mật khẩu chính xác với mật khẩu mà bạn đã tạo trong cơ sở dữ liệu Active Directory cho tài khoản đó. Điều này đồng nghĩa với việc khi thực hiện tạo lại mật khẩu cho dịch vụ trong Active Directory bạn chỉ cần cập nhật chính sách này và mật khẩu cho tài khoản để những mật khẩu này đồng bộ hóa với nhau.
Hình 6: Sử dụng GPO để đồng bộ hóa mật khẩu tài khoản dịch vụ với Active Directory.
Nhờ có những công cụ quản lý mới được tích hợp trong Windows Server
2008 và Vista, những dịch vụ trên mạng của bạn giờ đây đã được bảo vệ
khá an toàn. Bảo mật dịch vụ là một nhiệm vụ thiết yếu vì những dịch vụ
này cung cấp cổng truy cập vào máy chủ và những dữ liệu quan trong được
lưa trữ trên máy chủ. Bảo mật có thể được thực hiện qua việc kiểm soát
phân quyền, chế độ khởi chạy, tài khoản và mật khẩu dịch vụ. Bằng việc
sử dụng những cài đặt Group Policy tronmg miền Active Directory bạn có
thể bảo vệ được mọi loại dịch vụ đang chạy trên máy chủ trong miền
