banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành Windows Tự tạo sever hoàn chỉnh và bảo mật - Phần 2  XML
  [Article]   Tự tạo sever hoàn chỉnh và bảo mật - Phần 2 29/08/2009 14:05:32 (+0700) | #1 | 191437
[Avatar]
Mr.Kas
Member

[Minus]    0    [Plus]
Joined: 22/07/2009 14:36:56
Messages: 209
Offline
[Profile] [PM]
Được viết bởi Mr.Kas @ HVA (HVAOnline.net)
Copyright © 2009 Mr.Kas
“You have the rights to copy”
“Dành cho người mới, và rất rất mới ...”

Phần 2: Tinh chỉnh cài đặt và tối ưu Sever.


Phần này sẽ khá là step by step, chỉ những chỗ nào cần thiết tớ mới giải thích rõ ràng, còn không thì cứ tiếp tục làm thôi. Vì thực ra phần này cũng không có gì đáng quan tâm ngoài việc tìm hiểu về cách phân quyền và vài Services của hệ thống Windows. Bạn đọc có thể tìm tài liệu rất nhiều về phần này ngay trong trang chủ Microsoft.

Bước 1: Cài đặt các ứng dụng cần thiết.


Cài đặt SNMP để monitor Server: Vào Start => Control Panel => Add/Remove Programs => Add/Remove Windows Components Và sau đó đánh dấu chọn vào Applications Sever => Chọn Management and Monitoring Tools => Details => Chọn “Simple Network Management Protocol” và click OK để tiến hành cài đặt, có thể trong quá trình cài đặt buộc bạn phải cho CD Windows 2003 vào thì bạn cứ cho vào để Windows có thể cài đặt.

Cài đặt SSH trên Sever để quản trị từ xa, các bạn dùng phần mềm WinSSHD hoặc là một phần mềm khác để tạo kết nối SSH trên Sever Windows (vì Windows thường chỉ có remote desktop chứ không có SSH, chỉ trên Linux mới dùng SSH thường xuyên). Sau khi cài đặt xong và thoát khỏi WinSSHD thì nó sẽ được chạy ngầm như một service của hệ thống. Để tìm hiểu thêm các sử dụng WinSSHD thì bạn xem trên trang chủ của nó hoặc là bạn tự mày mò tìm hiểu, cũng đơn giản thôi, không có gì phức tạp.

Dùng FileZilla: Trong gói XAMPP có sẵn ứng dụng này, FireZilla có tác dụng là tạo ra một kết nối FTP, và bạn có thể dùng giao thức FTP để truyền tin giữa máy bạn và sever trong trường hợp bạn không có mặt ngay bên sever. Hoặc nếu bạn chọn phương án IIS + PHP thì sẽ không có FireZilla, bạn phải download trên trang chủ của nó và tiến hành cài đặt. Link download : http://filezilla-project.org/. Sau khi download và cài đặt, bạn sẽ thấy nó dễ sử dụng. Ở đây tớ sẽ không đề cập đến việc sử dụng nó mà để cho bạn từ tìm hiểu vì tớ muốn các bạn phải động tay động chân một tí. Nhớ là Nat cả mode/router theo đúng port mà bạn dùng để dùng giao thức FTP, defaults là port 21.

Cài đặt url Scan: url Scan là một công cụ giúp bảo mật, được cung cấp miễn phí ngay trên trang chủ của Microsoft. Bạn vào đây để Download url Scan: http://www.microsoft.com/downloads/details.aspx?familyid=23d18937-dd7e-4613-9928-7f94ef1c902a&displaylang=en Để tiết kiệm thời gian, chúng ta sẽ không đi sâu tìm hiểu về toots này, nếu bạn nào muốn tìm hiểu có thể dùng google để tìm hiểu thêm.

Một anti-virus: Tớ đề cử Avira, vì Avira cập nhật nhanh, dễ sữ dụng, và là anti virus hoàn toàn miễn phí. Nó sẽ giúp Sever chúng ta an toàn hơn.

Một firewall: Tớ thường hay chọn ZoneAlarm, nhưng nếu bạn không thích thì bạn có thể chọn Comodo, cả Comodo và ZoneAlarm đều là các firewall tốt, có chế độ cấu hình chi tiết và tỉ mỉ, kèm với đó là nó có cả bản miễn phí và bản thương mại, khuyến cáo là nên dùng bản miễn phí thôi, không cần dùng bản thương mại. Còn nếu bạn có một khoảng tiền dư dả thì dùng Kaspersky smilie, có kèm cả firewall và anti-virus.

Với tiêu chí là càng ít ứng dụng thì chúng ta sẽ ít gặp các bug và sẽ an toàn hơn, nên chúng ta tạm thời cài đặt bấy nhiêu thôi. Trong quá trình làm việc tiếp theo, chúng ta cần thêm gì sẽ cài đặt vào.

Bước 2: Tinh chỉnh hệ thống và tháo gỡ những gì không cần thiết.

Trong Windows Sever 2003 cũng có những ứng dụng và sevices rất là dưa thừa, chúng ta có để để nguyên nó nhưng nếu tắt nó đi hoặc là tinh chỉnh, chúng ta sẽ có được thêm một khoảng bộ nhớ nữa, và trong một số trường hợp thì việc này rất cần thiết. Trong phần này chúng ta cũng sẽ thực hiện cả việc phân quyền, việc này có tác dụng tăng khả năng security cho hệ thống.

+ Phân quyền:


- Phân quyền: Vào trong My Computer => Chọn C:\ => Chọn Propertices => Tab Security và Remove nhóm Everyone. Tiếp đó click vào trong add và chọn nhóm Backup Operators. Tiếp theo vào trong advances => Chọn nhóm Backup Operators => Chọn Edit và alow tất cả. Sau đó click OK.

- Sau đó bạn chọn vào Nút add nằm trong Tab Security và chọn nhóm IIS_guest, bạn cũng làm như nhóm Backup Operators, nhưng thay vì allow tất cả bạn lại chọn Deny tất cả. Vì web root chúng ta sẽ đặt ở partition khác cho an toàn, không đặt trong partitioin chứa Windows, rất nguy hiểm. Apply onto: chọn This folder only.

- Lại click vào trong add và chọn nhóm Power User, chọn quyền của nhóm này là chọn Permission là Read and Execute, list Folder Contents và Read. Đối với User thường, click vào nút Advance, tại tab Security, tick vào check box “Replace permission entries on all child objects with entries show here that apply to child objects”, sau đó sẽ có của sổ thông báo Click Yes để tiếp tục. Nếu đúng theo dự định thì sẽ có thông báo lỗi là Error Applying Security. Click Continue để tiếp tục.

- Vào Advance một lần nữa và chọn Auditing tab, Click vào nút Add và chọn nhóm Administrator, và gán cho nhóm này những quyền hạn sau: Create File / Write Data, Create Folders / Append Data, Delete Subfolders and Files, Delete, Change Permissions, Take Ownership. Và trong phần Apply onto: chọn This folder only.

- Chúng ta cũng thực hiện lại Auditing với 2 nhóm Power User và Backup Operators. Sau đó sang các partition khác và làm việc tương tự thế này. Sẽ hơi mất thời gian, nhưng đó là an toàn, và nếu bạn làm nhanh thì sẽ thấy không vấn đề gì.

+ Chỉnh lại TCP/IP và vài thành phần phụ

- Bỏ đi vài giao thức không dùng đến, bạn vào My Network Place => Properties => Local Area Connection => Chọn tiếp Properties. Bạn bỏ chọn trong Client for Microsoft Networks và File and Printer Sharing for Microsoft Network.

- Chọn Internet Protocol (TCP/IP) => chọn Properties. Chọn Use the following IP address rồi nhập vào địa chỉ IP, subnet mask và Default gateway. Chọn Use the following DNS server address rồi nhập vào địa chỉ IP của DNS server.

- Click vào nút Advance => vào tab DNS => bỏ chọn mục Register this connection’s address in DNS.

- Trong tab WINS, xóa bỏ tất cả các IP nếu đang có. Tiếp theo là bỏ chọn Enable LMHOST lookup, chọn Disable NetBIOS over TCP/IP.

- Chọn tab Option => Chọn TCP/IP Filtering => click vào nút Properties => Click vào Enable TCP/IP Filtering (All adapter) => chọn tất cả sang Permit Only. Bạn chỉ add vào vào các Protocol và Port thực sự cần thiết. Mà trường hợp của chúng là là các port FTP, Http, SSH, SNMP, SNMP Trap, TCP, … (việc chọn port nào thì bạn xem trong bài viết này khi chạy các ứng dụng chúng cần prot gì thì bạn open port đó).

- Tiếp theo thì bạn bật chức năng Điều khiển từ xa, tắt chức năng Automatic Update, bỏ chức năng NetBIOS over TCP/IP.

+ Cấu hình IIS 6 một tí.


- Nhấn phải chuột vào biểu tượng PC và chọn All Tasks > Backup/Restore Configuration => Chọn Create Backup, đặt tên cho file backup => OK => Click Close.

- Thay đổi Master Properties cho Web Sites: Click phải chuột vào Folder có tên là Web Sites => chọn Properties Chọn Web Site => Enable Logging => Properties Tại New Log Schedule, When file size reaches: và thay đổi giá trị thành 50. Click vào tab Advanced, cuộn danh sách xuống và chọn Cookie và Referer Click OK.

- Mở mục Home Directory, chọn vào phần Application Settings => chọn Configuration và remove các phần mở rộng sau: .asa, .asp, .cdx, .cer, .idc, .shtm, .shtml, .stm. Sau đó vào OK để thoát.

- Tại mục Web Sites, nhấn phải chuột và chọn New => chọn Web Site => Next => thêm Description cho Web Site => Next => add địa chỉ IP và Port Number => Next => chọn một folder nằm trên partition khác với parititon C:\ => OK => Next => bỏ chọn Run scripts (such as ASP) => Next => Finish.

- Vào Default Web Site => Chọn Properties => Directory Security => Authentication and Access Control => Edit => bỏ chọn trong tất cả các mục để tắc Defaults Web Site.

- Xóa thư mục ảo C:\Windows\web\printers, sau đó backup database lại lần nữa : Start > Programs > Administrative Tools > Internet Information Services (IIS) Manager => chọn All Tasks => Backup/Restore Configuration => Create Backup => Đặt tên và bấm OK.

- Tiếp theo vào Start => Run => gpedit.msc => trong phần Computer Configuration => Administrative Templates => Printers => Disable mục Web Based Printing. Ở thư mục Network => Network Configurations, thay đổi giá trị Prohibit use of Internet Connection Sharing on your DNS Domain Network thành enabled bằng cách nhấn phải chuột và chọn Enable.

+ Cấu hình SNMP


- Vào My Computer => chọn Properties => Services and Applications => chọn Services => xuống mục SNMP Service và chọn Properties => vào tab Security và chọn Send authentication trap => click add => chọn READ ONLY ở phần Community rights.

- Ở phần Community Name (Community String), chọn một password và ghi nhớ lại. Community String này sẽ dùng cho các request SNMP truy cập vào server.

- Chọn Accept SNMP packets from these hosts => Click Add để thêm các địa chỉ IP cho mạng SNMP => Click vào tab TRAPS, trong mục Community, gõ: type => Click vào nút Add và gõ vào địa chỉ trap destinations => Click apply và click OK => Thoát.

+ Cấu hình Terminal Services.


- Start => Program Files => Administrator Tools => Terminal Service Configuration (TSC) => Trong panel bên phải, nhấn phải chuột vào RDP-Tcp và chọn Properties => Trong Tab General, chọn High trong mục Encryption Level => Trong Tab Session, Đánh dấu tick vào mục Override User Settings và chọn End a Disconnected Session: 3 Hours, Active Session Limit: 1 Day, Idle Session Limit: 30 Minutes => Đánh dấu tick vào mục Override User Settings và chọn: Disconnect from Session.

- Trong tab Remote Control => Chọn Do not allow remote control => Trong tab Under the Client Settings => bỏ chọn Use Connection Settings From User Settings => bỏ chọn Connect Client Printers at Logon and Default to Main Client Printer.

- Trong Tab Clients Settings Clipboard Mapping chọn tất cả trừ Clipboard Mapping. Tại tab Network Adapter => Click vào nút Maximum Connections và set giá trị là 2 => Click Apply và OK và thoát.

Mở rộng:

Một số bạn đề xuất ý kiến là nên dùng Plesk trên Sever để kiểm soát. Nhưng bản thân tớ thì lại không muốn dùng Plesk vì:

1.Sever này chỉ có mình dùng, cần gì cài đặt Plesk. Vì có ai dùng nữa đâu
2.Các bạn vẫn có thể quản lí mọi thứ tốt khi không có Plesk.
3.Việc cài đặt này rắc rối và và nếu xảy ra lỗi rất mất công fix.
4.…

= Done =

Vậy là bài hai của loạt tut này đã kết thúc. Ở phần này chúng ta đã tinh chỉnh cài đặt và tối ưu Sever, ngay lúc này bạn có thể kết nối sever vào trong internet và hoạt động như một sever hoàn chỉnh. Nhưng tớ khuyên bạn là chưa nên làm thế vội, vì qua hai bài viết, chúng ta chỉ thiết lập và cấu hình vài thành phần cơ bản, chưa có gì gọi là bảo mật cả, vì vậy sẽ rất nguy hiểm khi nối sever vào Net.

Cũng nhân đây xin thông báo một sự thay đổi nhỏ, khi dự định viết bài viết này, tớ có ý định viết 3 bài, gồm các chủ đề là Phần 1: Chuẩn bị một sever sẵn sàng để đáp ứng nhu cầu của bạn, Phần 2: Tinh chỉnh cài đặt và tối ưu Sever và Phần 3: Bảo mật cho Web sever. Nhưng vì trong lúc viết phần 1 và phần 2 nhận thấy phần 3 là một phần rất khó, cần có sự chuẩn bị kĩ càng và đầu tư kĩ lưỡng trước khi viết, không thể viết quá sơ sài, như thế sẽ không hay và cũng làm cho bài viết mất giá trị, nên tớ sẽ đầu tư viết bài 3 này một cách nghiêm túc. Và cũng vì vậy tớ quyết định tách bài 3 ra thành một bài viết riêng, không ảnh hưởng gì đến phần 1 và 2 đã trình bày ở trên, và phần 2 ở trên đã chính thức kết thúc chủ đề của loạt bài tạo dựng một web sever hoàn chỉnh.

Phần 3 (giờ sẽ là bài viết riêng biệt) sẽ được tớ viết trong thời gian sớm nhất để chia sẽ cũng các bạn.


Thân mến.

/hvaonline/posts/list/31012.html
Treo chuột, gác phím, cất modem, cắt NET. Lên núi luyện công chờ ngày trở lại ...
[Up] [Print Copy]
  [Article]   Tự tạo sever hoàn chỉnh và bảo mật - Phần 2 02/09/2009 10:30:31 (+0700) | #2 | 191757
ttbenle
Member

[Minus]    0    [Plus]
Joined: 01/09/2009 10:22:53
Messages: 3
Offline
[Profile] [PM]
Cám ơn bạn đã nhiệt tình hướng, rất hay.
[Up] [Print Copy]
  [Article]   Tự tạo sever hoàn chỉnh và bảo mật - Phần 2 02/09/2009 10:45:58 (+0700) | #3 | 191759
[Avatar]
Mr.Kas
Member

[Minus]    0    [Plus]
Joined: 22/07/2009 14:36:56
Messages: 209
Offline
[Profile] [PM]
Trong khi chưa có phần 3 thì các bạn tìm thêm lab security windows 2003 để tham khảo thêm nhé smilie
Treo chuột, gác phím, cất modem, cắt NET. Lên núi luyện công chờ ngày trở lại ...
[Up] [Print Copy]
  [Article]   Tự tạo sever hoàn chỉnh và bảo mật - Phần 2 13/09/2009 23:44:42 (+0700) | #4 | 192649
[Avatar]
Mr.Kas
Member

[Minus]    0    [Plus]
Joined: 22/07/2009 14:36:56
Messages: 209
Offline
[Profile] [PM]
Thành thật cáo lỗi cùng các bạn.

Hiện nay tớ đang rất bận. Vì vậy ý định viết bài viết về bảo mật Sever đã không thành.Thế nên tớ chỉ có thể tập hợp cho các bạn những link có nội dung về bảo mật Sever để các bạn tham khảo. Cùng từ đây, các bạn có thể tự viết một bài viết để bổ sung vào trong những bài viết trước của tớ smilie

http://nhatnghe.com/forum/showthread.php?t=27284
http://nhatnghe.com/forum/showthread.php?t=24899
http://nhatnghe.com/forum/showthread.php?p=14876
http://vnexperts.net/bai-viet-ky-thuat/security/472-bo-mt-may-ch-iis-server-phn-1.html
http://vnexperts.net/bai-viet-ky-thuat/security/473-bo-mt-may-ch-iis-phn-2.html
http://vnexperts.net/bai-viet-ky-thuat/security/474-bo-mt-may-ch-iis-phn-3-phn-cui.html
http://vnexperts.net/bai-viet-ky-thuat/security/461-s-dng-ipsec-tng-cng-bo-mt-cho-may-ch-domain-controllers.html
http://vnexperts.net/bai-viet-ky-thuat/security/639-hack-windows-toan-tp--cach-phong-chng.html
http://vnexperts.net/bai-viet-ky-thuat/security/578-ipsec-toan-tp-phn-1.html
http://vnexperts.net/bai-viet-ky-thuat/security/581-ipsec-phn-2-public-key-infrastructor.html
/hvaonline/readingRoom/item/20544.html
/hvaonline/readingRoom/item/20518.html
http://www.scribd.com/doc/16615955/Hn-ch-cac-cuc-tn-cong-DOS-tren-Windows-Server-2003

Hy vọng là qua các link trên các bạn phần nào thực hiện được việc bảo mật cho Sever của mình smilie

Thân mến.
Treo chuột, gác phím, cất modem, cắt NET. Lên núi luyện công chờ ngày trở lại ...
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|