Kiểm soát bảo mật dịch vụ bằng Windows Server 2008

Dựa trên những thông tin phản hồi từ phần một, chúng tôi đã mở rộng bài biết gốc (giờ đây được gọi là phần 1). Trong phần một đó, chúng tôi đã giới thiệu cho các bạn về cách bảo vệ các dịch vụ bằng cách sử dụng cả thiết lập Group Policy của các dịch vụ trước kia và chính sách của các dịch vụ mới được cải thiện trong Group Policy Preferences
Nội dung trích xuất từ tài liệu:
Kiểm soát bảo mật dịch vụ bằng Windows Server 2008 Kiểm soát bảo mật dịch vụ bằng Windows Server 2008Nguồn:quantrimang.com Derek MelberQuản trị mạng - Dựa trên những thông tin phản hồi từ phần một, chúng tôi đãmở rộng bài biết gốc (giờ đây được gọi là phần 1). Trong phần một đó, chúng tôiđã giới thiệu cho các bạn về cách bảo vệ các dịch vụ bằng cách sử dụng cả thiếtlập Group Policy của các dịch vụ trước kia và chính sách của các dịch vụ mớiđược cải thiện trong Group Policy Preferences. Cả hai thiết lập Group Policy nàyđều cho phép kiểm soát bảo mật dịch vụ theo các cách khác nhau. Trong phầnhai này, chúng tôi sẽ giới thiệu cho các bạn về các thiết lập bảo mật này, thêmvào đó là sự kiểm soát các tài khoản dịch vụ để điều khiển mỗi dịch vụ, cũngnhư nâng cấp “thời gian thực” của các dịch vụ và các tài khoản của họ. Thấuhiểu tầm quan trọng của các ứng dụng mạng với khả năng sẵn có cao và nhucầu của việc bảo mật của các quản trị viên mạng cũng như những người làmcông tác bảo mật. Tìm sự cân bằng giữa khả năng có sẵn và sự bảo mật cầnphải bỏ nhiều đầu tư công sức. Phần hai này sẽ mang đến cho các bạn nhữngtrang bị cần thiết đối với những nhu cầu có liên quan đến các dịch vụ và tàikhoản dịch vụ này.Bảo vệ tài khoản dịch vụCác tài khoản dịch vụ được sử dụng bởi các dịch vụ nhằm thực hiện các hànhđộng đối với máy tính nơi dịch vụ được cài đặt hoặc để kết nối đến các tàinguyên mạng khác để thực hiện một nhiệm vụ nào đó. Khi các tài khoản dịch vụđược tạo và được cấu hình, mức đặc quyền sẽ thay đổi. Trong hầu hết cáctrường hợp, các tài khoản dịch vụ được cấp một số mức đặc quyền quản trị viên.Với đa số các dịch vụ hướng đến phục vụ một mạng người dùng, thì các tàikhoản dịch vụ thường được cấp phép cho các thành viên trong nhóm DomainAdmins bên trong Active Directory. Trong một số trường hợp, các tài khoản dịchvụ có thể được cấp phép thành viên trong nhóm Enterprise Admins, đây là điềumà trong hầu hết các trường hợp quá xa so với sức mạnh cho một dịch vụ và tàikhoản của nó. Mặc dù vậy, phụ thuộc vào việc lập trình dịch vụ, thì đây có thể làmột cấu hình mang tính bắt buộc.Do các tài khoản dịch vụ được cấp phép để có được sức mạnh như vậy trongsuốt quá trình cài đặt và cấu hình, nên các tài khoản cần phải được bảo vệ đúngcách. Để bảo đảm an toàn cho các tài khoản này, các quản trị viên cần phải đưara các hành động với mỗi và các tài khoản dịch vụ. Nhiệm vụ không phức tạpnhưng cần phải cần cù để bảo đảm rằng các tài khoản được bảo vệ, được quảnlý và được kiểm tra để phát hiện kịp thời các hành động xấu. Các nhiệm vụ cầnphải được hoàn tất để bảo vệ các tài khoản dịch vụ gồm: Cấu hình người dùng tài khoản dịch vụ để hạn chế các khả năng đăng • nhập vào máy trạm. Mật khẩu cần phải được thiết lập thời gian hết hạn và thiết lập lại thường • xuyên.Những hạn chế máy trạmMột tài khoản người dùng được tạo và được lưu trong Active Directory đều bịhạn chế với các máy tính mà họ có thể đăng nhập. Hiếm khi bạn hạn chế một tàikhoản người dùng chuẩn để chỉ có một vài máy trạm họ có thể đăng nhập,nhưng trong một số trường hợp hiếm hoi thì điều đó là hoàn toàn có thể. Khi nóiđến các tài khoản dịch vụ, thì vấn đề này mang tầm toàn cầu. Lý do ở đây là, cáctài khoản dịch vụ có một số lượng máy tính hạn chế mà nó cần đăng nhập. Nếumột tài khoản dịch vụ nào đó đang được sử dụng bởi một người dùng chuẩnhoặc đang đăng nhập vào các máy tính ngoài máy tính đang chạy dịch vụ, khi đósẽ gây ra một vấn đề bảo mật đáng kể. Vì vậy, việc cấu hình tài khoản dịch vụđể chỉ có thể đăng nhập vào các máy tính nơi dịch vụ cư trú là một cấu hình bảomật tốt.Thiết lập cho việc hạn chế máy trạm (gồm có cả máy trạm và máy chủ) được đặtbên dưới các thuộc tính người dùng trong Active Directory Users andComputers. Bằng cách kích chuột phải vào tài khoản người dùng, bạn sẽ chọnProperties. Sau đó bên trong hộp thoại thuộc tính, chọn tab Account. Trên tabnày, bạn sẽ thấy nút Log On To như thể hiện trong hình 1. Hình 1: Hộp thoại các thuộc tính của người dùng có thể hạn chế các máy trạm mà các tài khoản người dùng đăng nhậpKhi chọn nút Workstations, bạn sẽ thấy một hộp thoại để nhập vào danh sáchtên máy trạm. Ở đây, bạn chỉ đánh tên của máy chủ vào nơi dịch vụ được cấuhình để hỗ trợ dịch vụ đang chạy trên máy chủ đó. Hình 2 thể hiện một ví dụ vềnhững gì có thể thực hiện cho tài khoản dịch vụ để hỗ trợ ứng dụng HR, nơi dịchvụ chạy trên ba máy chủ HR khác nhau. Hình 2: Hộp thoại các máy trạm cho phép bạn nhập vào tên của máy chủVới cấu hình này, tài khoản dịch vụ sẽ chỉ được phép đăng nhập vào ba máychủ đã được liệt kê. Điều đó có nghĩa rằng tài khoản, thậm chí nếu bị thỏa hiệp,sẽ không được phép đăng nhập từ bất kỳ máy tính khác trên mạng.Hết hạn và thiết lập lại mật khẩuCó rất nhiều tranh luận trong lĩnh vực IT liên quan đến việc có ...