Bảo mật dịch vụ trong Windows Server 2008 (Phần 2)

Quản trị mạng - Trong phần trước chúng ta đã đề cập đến phương pháp bảo mật dịch vụ bằng Group Policy và Group Policy Preferences. Những cài đặt của hai loại Group Policy này cho phép quản lý bảo mật dịch vụ theo nhiều phương pháp khác nhau.

Phần này sẽ đi sâu vào những cài đặt bảo mật này để cung cấp cho bạn nhiều quyền kiểm soát hơn nữa với những tài khoản dịch vụ cũng như quá trình cập nhật dịch vụ và các tài khoản của những dịch vụ này. Việc đảm bảo các ứng dụng mạng cũng như các ứng dụng bảo mật mạng luôn vận hành tốt là công việc rất quan trọng của người quản trị mạng và người chuyên trách bảo mật, nhưng để những ứng dụng này có được sự cân bằng cần thiết cần đến một vài thủ thuật nhỏ. Bài viết này sẽ hỗ trợ cho các bạn phương pháp quản lý dịch vụ, tài khoản dịch vụ và các ứng dụng trong Windows Server 2008.
Bảo vệ tài khoản dịch vụ

Tài khoản dịch vụ thường được nhiều dịch vụ sử dụng để thực hiện những thao tác trên hệ thống nơi mà dịch vụ đó được cài đặt, hay kết nối đến những nguồn tài nguyên mạng khác để thực hiện một tác vụ nào đó. Và mỗi một tài khoản dịch vụ lại có một cấu hình và thẩm quyền khác nhau. Trong nhiều trường hợp, những tài khoản dịch vụ được phân quyền quản trị ở vài mức độ nhất định. Hầu hết các dịch vụ được sử dụng để hỗ trợ mạng người dùng thì những tài khoản của chúng nói chung đều thuộc nhóm Domain Admin trong Active Directory. Và trong một số tình huống, những tài khoản này lại là thành viên nhóm Enterprise Admin, khi đó chúng được phân quyền cao hơn cho một dịch vụ và tài khoản của những dịch vụ này. Tuy nhiên, tùy thuộc vào từng dịch vụ mà đây có thể là một cấu hình bắt buộc.

Khi tài khoản dịch vụ được sử dụng với với nhiều quyền hơn trong khi cài đặt và lên cấu hình, thì những tài khoản này phải tuyệt đối bảo mật. Để đảm bảo bảo mật cho những tài khoản này, người quản trị phải thiết lập thêm các biện pháp với mỗi và mọi tài khoản dịch vụ. Những biện pháp này không quá phức tạp nhưng bạn phải áp dụng chúng để đảm bảo rằng những tài khoản này được bảo vệ, quản lý và giám sát chặt chẽ để chống lại mọi hành động phá hoại.

Những biện pháp cần áp dụng để bảo vệ tài khoản dịch vụ bao gồm:
  • Cấu hình giới hạn khả năng đăng nhập vào trạm làm việc đối với tài khoản người dùng dịch vụ.
  • Đặt thời hạn cho mật khẩu và thường xuyên thiết lập lại.
Giới hạn truy cập trạm làm việc

Mọi tài khoản người dùng được khởi tạo và lưu trữ trong Active Directory đều có thể bị giới hạn đối với những hệ thống mà chúng có thể đăng nhập vào. Ít khi bạn giới hạn một tài khoản người dùng chuẩn chỉ đăng nhập được vào vài trạm làm việc, nhưng trong một số tình huống thì điều này cũng có thể xảy ra do tài khoản dịch vụ bị giới hạn về số lượng hệ thống cần đăng nhập. Nếu một tài khoản đang được một người dùng chuẩn sử dụng hay đăng nhập vào nhiều hệ thống ngoài hệ thống đang sử dụng dịch vụ đó thì đây là một vấn đề bảo mật đáng lo ngại. Do đó, việc cấu hình tài khoản dịch vụ chỉ có thể đăng nhập vào những hệ thống chứa dịch vụ đó là một biện pháp bảo mật khá hiệu quả.

Cài đặt giới hạn cho trạm làm việc (bao gồm cả máy trạm và máy chủ) nằm trong User Properties của Active Directory Users and Computers. Phải chuột vào tài khoản người dùng (có chức năng như tài khoản dịch vụ) chọn Properties. Hộp thoại User Properties sẽ xuất hiện, tại đây chọn tab Account bạn sẽ thấy nút Log On To.

Hình 1: Giới hạn tài khoản người dùng đăng nhập vào trạm làm việc trong hộp thoại User Properties.

Khi lựa chọn nút Workstation, bạn sẽ thấy một hộp thoại khác xuất hiện với danh sách trạm làm việc. Tại đây, bạn chỉ cần nhập tên của những máy chủ nơi dịch vụ được cấu hình hỗ trợ cho dịch vụ đang chạy trên máy chủ đó. Hình 2 minh họa ví dụ tài khoản của một dịch vụ hỗ trợ cho ứng dụng HR, và dịch vụ đó chạy trên ba máy chủ HR khác nhau.

Hình 2: Hộp thoại Workstation cho phép nhập tên của máy chủ.

Với cấu hình này, tài khoản dich vụ đó chỉ được cho phép đăng nhập vào ba máy chủ trong danh sách. Có nghĩa là tài khoản đó sẽ không được đăng nhập vào bất kì máy chủ nào khác trên mạng.

Giới hạn hiệu lực mật khẩu và thiết lập lại mật khẩu

Viêc tạo thời hạn cho cho mật khẩu đã từng trở thành một vấn đề thảo luận khá nhiều. Trong đó xuất hiện nhiều ý kiếm phản đối hơn đồng tình với nhiều lí lẽ được đưa ra.

Nhưng với công nghệ hiện nay, mật khẩu tài khoản dịch vụ có thể được thiết lập thời hạn sử dụng và xác lập lại một các dễ dàng. Quá trình này chỉ gói gọn trong bốn bước đơn giản sau:

Bước 1: Cấu hình cho tài khoản dịch vụ một mật khẩu hết hiệu lực.

Trong hình 1 ở trên, có một tùy chọn cho mật khẩu không bao giờ hết hiệu lực ở phía cuối của hộp thoại. Bạn cần phải bỏ chọn tùy chọn này. Khi bỏ chọn tùy chọn này thì tài khoản dịch vụ sẽ được bổ sung vào chính sách mật khẩu cho toàn miền với thời hạn mật khẩu này hết hiệu lực. Windows Server 2003 và Windows Server 2008 mặc định ngày hết hiệu lực mật khẩu là 42 ngày. Có nghĩa là bạn sẽ phải xác lập lại mật khẩu cho dịch vụ mỗi tháng một lần.

Bước 2: Xác lập lại mật khẩu cho tài khoản

Trong ADUC bạn hãy lựa chọn đối tượng tài khoản dịch vụ rồi phải chuột lên nó. Trong menu chuột phải (hay menu ngữ cảnh) có một tùy chọn Reset Password. Click chọn tùy chọn này bạn sẽ thấy hộp thoại Reset Password xuất hiện, tại đây hãy nhập mật khẩu mới cho tài khoản.

Lưu ý: Không được click chọn hộp chọn User must change password at next logon (người dùng phải thay đổi mật khẩu trong lần đăng nhập tới), bởi vì nếu chọn tùy chọn này sẽ gây ra một vấn đề lớn đó là tài khoản dịch vụ sẽ không cập nhật được mật khẩu của tài khoản đó vì nó chỉ được cấu hình thông qua dịch vụ.

Hình 3: Hôp thoại Reset Password cho tài khoản dịch vụ.

Bước 3: Áp dụng cài đặt Group Policy Preferences cho dịch vụ.

Đây là một cài đặt mới chỉ xuất hiện khi bạn hiệu chỉnh GPO từ hệ thống Windows Server 2008 hay Windows Vista SP1 (khi đã cài đặt RSAT). Cài đặt mới này nằm trong Computer Configuration\Preferences\Control Panel Settings\Services. Trong hộp thoại New Service Properties bạn sẽ phải nhập chính xác tên tài khoản dịch vụ và mật khẩu mới. Bạn chỉ cần nhập mật khẩu tại đây và như vậy là bạn đã nhập vào ADUC cho tài khoản người dùng và mọi hệ thống được hướng vào GPO sẽ nhận được mật khẩu mới của tài khoản dịch vụ.

Hình 4: Những cài đặt Group Policy Preferences Services có thể xác lập lại mật khẩu cho dịch vụ đang chạy trên hệ thống đích.

Bước 4: Cập nhật tiến trình GPO ngay khi có thể

Bạn có thể vào mỗi máy chủ và khởi chạy tiện ích GPUPDATE, nhưng bạn sẽ phải mất thời gian chờ đợi và máy chủ có thể không thể khởi chạy. Bạn có thể sử dụng một công cụ khác trong Special Operations Software (SOS) có tên GPUPDATE, trùng tên với tiện ích sẵn có nhưng phương pháp vận hành lại hoàn toàn khác nhau. Đây là một sự thay thế snap-in cho ADUC cho phép quản trị viên refesh nền của Group Policy từ một trình quản lý miền. Tiện ích GPUPDATE trong SOS có thể cập nhật mọi hệ thống trong miền, trong một OU, hay một hệ thống riêng lẻ. Bạn có thể tải công cụ này tại đây.

Tóm lại, tài khoản dịch vụ được đặc trưng bởi quá trình phân quyền, rất ít khi được kiểm soát và rất ít khi được xác lập lại mật khẩu. Điều này có thể tạo điều kiện cho tin tặc tấn công. Và không có lí do gì để cho phép một tài khoản dịch vụ đăng nhập vào bất kì hệ thống nào trong miền. Do đó, thực hiện các thao tác trên là bạn đã có thể bảo vệ được máy chủ, mạng và mọi hệ thống trong miền.
Thứ Năm, 03/09/2009 16:24
31 👨 3.509
0 Bình luận
Sắp xếp theo