Điều khiển Service Security bằng Windows Server 2008

Windows Server 2008 của Microsoft có bổ sung thêm một số điều khiển mới về các dịch vụ. Khi kết hợp tất cả điều khiển mà Microsoft cung cấp cho các dịch vụ trong GPO thì bạn hoàn toàn có thể bảo đảm an toàn về các dịch vụ của mình.
Nội dung trích xuất từ tài liệu:
Điều khiển Service Security bằng Windows Server 2008Điều khiển Service Security bằng Windows Server 2008Nguồn:quantrimang.com Derek MelberWindows Server 2008 của Microsoft có bổ sung thêm một số điều khiểnmới về các dịch vụ. Khi kết hợp tất cả điều khiển mà Microsoft cung cấpcho các dịch vụ trong GPO thì bạn hoàn toàn có thể bảo đảm an toàn vềcác dịch vụ của mình.Giới thiệuGần đây mọi máy chủ mà bạn sở hữu trong môi trường đều sử dụng một số dịchvụ. Các dịch vụ này cung cấp sự truy cập dữ liệu, tải nguyên, các ứng dụng vàvùng quan trọng khác của máy chủ và chức năng mạng. Nếu các dịch vụ nàykhông được bảo vệ thì chúng sẽ trở thành một ứng viên lý tưởng cho những kẻtấn công. Khi một dịch vụ bị tấn công, sự truy cập đối với máy chủ và mạng bịđặt trong tình trạng nguy hiểm. Khả năng của dịch vụ đang bị phá hoại cũng đặttrong tình trạng nguy hiểm, có thể gây ra nhiều thiệt hại cả về thời gian lẫn tiềnbạc đối với máy chủ đang thực hiện các chức năng dịch vụ. Với Windows Server2008, Microsoft đã bổ sung thêm một số điều khiển dịch vụ mới. Khi kết hợp tấtcả các điều khiển mà Microsoft cung cấp cho các dịch vụ trong GPO thì bạn cóthể bảo đảm rằng các dịch vụ sẽ được bảo vệ một cách an toàn.Các lĩnh vực bảo vệ dịch vụCác dịch vụ vốn đã nguy hiểm đối với máy chủ và mạng vì chúng tạo ra các lỗhổng trong máy chủ cho người dùng, ứng dụng và các máy chủ khác truy cậpvào tài nguyên. Khi một lỗ hổng nào đó quá lớn hoặc dịch vụ không được bảo vệthì kẻ tấn có thể truy cập vào máy chu với những đặc quyền nâng cao. Chính vìvậy chúng ta cần phải bảo vệ các dịch vụ đó, chỉ cho phép truy cập những dịchvụ nào được thiết kế cho.Khi đánh giá nhu cầu gì cần phải được bảo vệ, bạn cần xem xét kỹ đến các lỗhổng cơ bản được tạo và nghĩ đến các tấn công tiềm tàng có thể được thực hiệnchống lại các dịch vụ và các thiết lập có liên quan của chúng. Dưới đây là mộtdanh sách các lĩnh vực tiềm tàng có liên quan tới dịch vụ cần được bảo vệ: Danh sách điều khiển truy cập của dịch vụ • Chế độ Startup cho dịch vụ • Tài khoản Service cho dịch vụ • Mật khẩu tài khoản dịch vụ •Tất cả các lĩnh vực có liên quan tới bảo mật này hiện có thể được kiểm soátbằng cách sử dụng Policy trong Windows Server 2008/Vista enterprise.Truy cập GPOĐể có thể lợi dụng được ưu điểm của các thiết lập đã được giới thiệu trong bàinày, bạn cần có một trong những thành phần dưới đây trong mạng của mình: Windows Server 2008 domain controller • Windows Vista SP1, có cài đặt Remote Server Administrative Tools, chạy • trong Windows Active Directory domainKhi có một trong những máy tính trên, bạn sẽ sử dụng Group PolicyManagement Console (GPMC) để quản lý và soạn thảo GPO từ máy tính này.Bạn không thể xem được các thiết lập mới từ máy tính khác không có đủ cácphẩm chất yêu cầu như đã liệt kê ở trên.Danh sách điều khiển truy cập dịch vụĐể có thể điều khiển danh sách dịch vụ này, bạn cần sử dụng nút Services trongGPO, vị trí tìm thấy nút này tại: Computer Configuration\Policies\WindowsSettings\Security Settings\System Services, xem trong hình 1.Hình 1: System Services Policy để điều khiển danh sách điều khiển truy cập của dịch vụĐể sử dụng chính sách này, bạn cần tìm dịch vụ muốn điều khiển trong danhsách trong phần panel bên phải, sau đó chọn nó. Khi kích chuột phải vào têndịch vụ có thể soạn thảo các thuộc tính của dịch vụ. Khi soạn thảo các thuộc tínhcủa dịch vụ, bạn sẽ thấy hộp thoại trang thuộc tính xuất hiện như trong hình 2bên dưới. Hình 2: Hộp thoại trang thuộc tính của dịch vụ hệ thốngĐể thay đổi danh sách điều khiển truy cập cho dịch vụ, bạn hãy chọn hộp kiểmDefine this policy setting, sau đó kích nút Edit Security. Sau khi kích nút này sẽthấy hộp một thoại tương tự như trong hình 3 xuất hiện.Hình 3: Hộp thoại bảo mật để quản lý danh sách điều khiển truy cập của dịch vụLưu ý rằng ở đây có một số điều khoản chuẩn để có thể thiết lập trong dịch vụ, vídụ như:Full controlReadStart, stop, and pauseWriteDeleteCó thể thiết lập một danh sách tùy chỉnh các điều khoản bằng cách chọn nútAdvanced, khi đó bạn sẽ có 14 điều khoản bảo mật chi tiết để có thể thiết lập chomỗi dịch vụ.Chế độ Startup cho dịch vụChế độ Startup cho dịch vụ là một trong những chế độ quan trọng cho các dịchvụ mà bạn không thể hủy bỏ cài đặt hoặc không muốn, nhưng lại muốn bảo đảmkhông bắt đầu khi hệ thống khởi động. Có ba mức trong chế độ khởi động nàycho các dịch vụ nhưng thực sự chỉ có một mức giúp bảo vệ máy tính.AutomaticManualDisabledCác chế độ Automatic và Manual có thể có một dịch vụ bắt đầu bất cứ lúc này,phụ thuộc vào cách dịch vụ được thiết kế. Hai chế độ này cho phép dịch vụ vẫnđược bắt đầu bằng một cuộc gọi dịch vụ.Tuy nhiên, khi một dịch vụ được thiết lập là vô hiệu hóa thì nó sẽ không bắt đầucho tới khi được thiết lập sang các chế độ Automatic và Manual. Chính vì vậybạn có thể bảo vệ được máy chủ của mình từ các dịch vụ đang chạy cho tới khinó được kích hoạt bởi một quản trị viên. Sử dụng chế độ startup kết hợp vớidanh sách điều khiển truy cập có thể tạo sức mạnh đáng kể vì lúc này các điềukhoản có thể hạn chế người dùng nào có thể bắt đầu hoặc thay đổi dịch vụ.Bạn sẽ điều khiển chế độ startup trong cùng một chính sách như khi thực hiệnvới danh sách điều khiển truy cập. Hình 2 liệt kê các minh chứng cho 3 tùy chọnchế độ khởi động.Tài khoản dịch vụ cho dịch vụNhiều dịch vụ yêu cầu phải sử dụng tài khoản dịch vụ. Lý do cho vấn đề này làđể cho phép dịch vụ không chỉ truy cập máy tính nơi nó đang chạy mà còn cácmáy tính khác trong mạng. Trong trường hợp đó, các tài khoản Network Servicehoặc Local System sẽ không làm việc.Trước đây, cấu hình của tài khoản dịch vụ phải được thực hiện trên máy tính nơidịch vụ đang chạy. Nhưng giờ đây, với Group Policy ...