Bài giảng Quản trị mạng windows - Đào Quốc Phương

pdf 131 trang huongle 5790
Download
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Quản trị mạng windows - Đào Quốc Phương", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfbai_giang_quan_tri_mang_windows_dao_quoc_phuong.pdf

Nội dung text: Bài giảng Quản trị mạng windows - Đào Quốc Phương

  1. QuAÛn trÒ mAÏng 2 Sinh viên: Lớp: Không có việc gì khó Chỉ sợ lòng không bền Đào núi và lấp biển Quyết chí ắt làm nên. Lưu hành nội bộ 2010
  2. Tài liệu tham khảo Quản trị mạng Windows MỤC LỤC STAND-ALONE ROOT CA 2 ENTERPRISE CERTIFICATE AUTHORITY & KEY RECOVERY AGENT 12 SECURE SOCKET LAYER & IP SECURITY 38 EFS trên WORKGROUP 63 EFS trên DOMAIN 72 TRUST RELATIONSHIP 75 SECURITY TEMPLATES 87 MOVE ACTIVE DIRECTORY DATABASE 91 PASSWORD SYSKEY 96 MICROSOFT SECURITY BASELINE ANALYZER & SOFTWARE UPDATE SERVICE 98 RADIUS 111 GV: ThS. Đào Quốc Phương Trang 1
  3. Stand-alone root CA Quản trị mạng Windows STAND-ALONE ROOT CA I. Nội dung Dùng Certificate để mã hoá email II. Chuẩn bị - Một máy Windows Server 2003 (standalone) có thông tin như sau: + IP Address: 192.168.0.1 + Subnet mask: 255.255.255.0 + DNS: 192.168.0.1 - Tạo 2 local user account là U1 và U2 - Cài đặt Mdaemon (chương trình mail server) + domain name: congty.com + tạo 2 mailbox có username/password là U1/123 và U2/123 - Logon U1 Setup Outlook Express gởi mail cho chính mình - Logon U2 Setup Outlook Express gởi mail cho chính mình Hướng dẫn cài đặt MDaemon và cấu hình cơ bản cho chương trình quản lý email trên server a. Cài đặt Mdaemon6 - Cho đĩa CD-ROM SoftsQTM.iso vào ổ đĩa CD - Tìm đến thư mục MDaemon6 chạy file Mdaemon6.exe để cài đặt chương trình quản lý email GV: ThS. Đào Quốc Phương Trang 2
  4. Stand-alone root CA Quản trị mạng Windows b. Khai báo thông tin DNS Next c. Khai báo thông tin người quản trị chương trình Mdaemon bao gồm: Full name: tên đầy đủ Mailbox: tên hộp thư Password: mật khẩu người quản trị nhấn Next Next Sau đó nhớ chạy file keygen.exe để lấy số serial. d. Thiết lập thông tin domain cho MDaemon: nhấn menu Setup Primary Domain chỉnh sửa thông tin mục Domain name và Domain IP như hình bên Apply OK GV: ThS. Đào Quốc Phương Trang 3
  5. Stand-alone root CA Quản trị mạng Windows e. Tạo mailbox cho U1: vào menu Account New Account khai báo thông tin Full Name, Mailbox name, Account Password OK Thử xem Hộp mail của U1 lưu ở đâu bằng cách nhấn vào tab Mailbox, ghi nhớ đường dẫn này. Làm tương tự tạo mailbox cho U2 III. Thực hiện 1. U1 gởi mail cho U2 (không mã hóa), admin sửa mail của U2, U2 không phát hiện a. Logon U1, U1 gởi mail cho U2 b. Administrator sửa mail của U2 - Logon Administrator - Dùng Windows Explorer C:\Mdaemon\Users\congty.com\U2 - Sửa file md5xxxxxxxxxxxx.msg (thêm dòng chữ 123 vào phần body của email) GV: ThS. Đào Quốc Phương Trang 4
  6. Stand-alone root CA Quản trị mạng Windows c. U2 check mail - Logon U2, check mail Mail đã bị sửa mà U2 không biết 2. Cài đặt Stand-alone Root CA a. Cài ASP.NET: - Logon Administrator - Click menu Start Control Panel Add or Remove Programs Add/Remove Windows Components Application Server Details ASP.NET OK Next . Lưu ý: hoàn tất bước việc cài đặt ASP.NET trước khi sang bước tiếp theo GV: ThS. Đào Quốc Phương Trang 5
  7. Stand-alone root CA Quản trị mạng Windows b. Install Stand-alone root CA: Click menu Start Control Panel Add or Remove Programs Add/Remove Windows Components Certificate Services Next Stand-alone root CA Next Common Name for this CA: CongTy chấp nhận các giá trị mặc định chọn “Yes” khi được hỏi: “Do you want to enable Active Server Page now?” 3. Các User xin certificate để mã hoá email U1 xin certificate a. User U1 xin certificate: - Logon U1 - Mở IE dòng Address gõ Request a certificate E-mail Protection Certificate Name: U1, Email: u1@congty.com Click Submit - Chọn Yes GV: ThS. Đào Quốc Phương Trang 6
  8. Stand-alone root CA Quản trị mạng Windows b. U2 xin certificate - Logon U2 - Làm tương tự như trên c. Administrator cấp certificate cho U1 và U2 - Logon Administrator - Click menu Start Administrative Tools Certification Authority CongTy Pending Requests chọn 2 certificate click nút phải chuột All Tasks Issue GV: ThS. Đào Quốc Phương Trang 7
  9. Stand-alone root CA Quản trị mạng Windows -Chọn Issued Certificates thấy 2 certificate đã cấp cho U1 và U2 - Double click certificate của U1 đọc lại các thông - Đọc các thông tin trong tab Details tin trong tab General Lưu ý: 2 dòng Subject và Public key GV: ThS. Đào Quốc Phương Trang 8
  10. Stand-alone root CA Quản trị mạng Windows d. Install certificate của U1 - Logon U1 - Click menu Start Run gõ View the status of a pending certificate request E-Mail Protection Certificate Install this certificate e. Install certificate của U2 - Logon U2 - Làm tương tự như trên f. U2 mail cho U1 có Signing - Mở Outlook Express - Soạn mail mới To: u1@congty.com - Click Sign, click Send GV: ThS. Đào Quốc Phương Trang 9
  11. Stand-alone root CA Quản trị mạng Windows g. Administrator sửa mail của U1 - Logon Administrator - Mở Windows Explorer C:\Mdaemon\Users\congty.com\U1 - Sửa file md5xxxxxxxxxxxx.msg (thêm dòng chữ 123 vào phần body của email) h. U1 check mail - Logon U1 - Chạy Outlook Express nhận mail - Click Open Message U1 vẫn đọc được mail nhưng biết mail đã bị sửa. - U1 nhấn chuột phải vào sender U2 trong mục From và chọn Add to Adress Book để lưu thông tin U2 vào Contact List của mình GV: ThS. Đào Quốc Phương Trang 10
  12. Stand-alone root CA Quản trị mạng Windows i. U1 gởi mail cho U2 có Sign và Encrypt - Chạy Outlook Express - Soạn mail mới, click biểu tượng “Address Book” - Click U2 click To OK - Click Sign - Click Encrypt - Click Send j. Administrator sửa mail của U1 gửi cho U2 - Logon Administrator - Mở Windows Explorer C:\Mdaemon\Users\congty.com\U2 - Sửa file md5xxxxxxxxxxxx.msg k. U2 check mail - Logon U2 - Mở Outlook Express U2 không đọc được mail GV: ThS. Đào Quốc Phương Trang 11
  13. Enterprise CA & Key recovery agent Quản trị mạng Windows ENTERPRISE CERTIFICATE AUTHORITY & KEY RECOVERY AGENT PHẦN 1: ENTERPRISE CERTIFICATE AUTHORITY I. Nội dung - Cài đặt Enterprise Root CA - Cấp Certificate cho user. User dùng certificate để signing và encrypt mail - User export key - Khi key bị hỏng hoặc thất lạc, user không thể đọc được các mail đã signing, encrypt. - User import key. Khả năng đọc và mã hoá dữ liệu của user được phục hồi như cũ. II. Chuẩn bị - Yêu cầu hệ thống: 01 máy Windows Server 2003 làm Domain Controller (Enterprise version ) + IP Address: 192.168.0.1 + Subnet mask: 255.255.255.0 + DNS: 192.168.0.1 + Domain: congty.com 1. Tạo các object trong Active Directory Logon Administrator a. Chỉnh Password Policy (gợi ý: vào Domain Security Policy) b. Tạo OU TestCA. Trong OU TestCA, tạo user U1 (Display name: Doremon, password: 123) GV: ThS. Đào Quốc Phương Trang 12
  14. Enterprise CA & Key recovery agent Quản trị mạng Windows c. Khai báo Email address trong properties của U1: d. Cho user U1 làm thành viên của group Print U1@congty.com Operators (để U1 có quyền logon locally vào domain controller) 2. Cài đặt và cấu hình mail server (như đã hướng dẫn ở bài Lab trước) a. Cài MDaemon6 b. Khai báo domain: Trong cửa sổ MDaemon6 menu Setup Primary domain Nhập domain name và HELLO domain (VD: congty.com) Nhập Domain IP: 192.168.0.1 c. Tạo mail box cho user U1: Trong cửa sổ MDaemon6 menu Accounts New account Nhập Full name: “Doremon”, Mailbox name: “U1”, Password: “123” 3. Tạo, kiểm tra và cấu hình mail account của U1: Logon U1 a. Tạo mail account cho U1 trong chương trình Outlook Express. Nhập Full name: “Doremon”, Email addresss: U1@congty.com”, Password: “123”. Lưu ý dùng địa chỉ IP của máy chủ 192.168.0.1 để khai báo Incoming và Outgoing Mail Server. b. Kiểm tra hoạt động của mail account: U1 gửi mail cho chính mình GV: ThS. Đào Quốc Phương Trang 13
  15. Enterprise CA & Key recovery agent Quản trị mạng Windows c. Cấu hình để lưu bản sao mail của U1 trên mail server: trong Outlook Express menu Tools Accounts tab Mail chọn mail box của U1 Properties tab Advanced đánh dấu chọn mục “Leave a copy ” III. Thực hiện 1. Cài đặt Enterprise Root CA a. Cài ASP.NET: (như đã hướng dẫn trong bài Lab trước) Logon Administrator Click menu Start Settings Control Panel Add or Remove Programs Add/Remove Windows Components Application Server Details ASP.NET OK Next . GV: ThS. Đào Quốc Phương Trang 14
  16. Enterprise CA & Key recovery agent Quản trị mạng Windows b. Cài Enterprise Root CA “CongTy”: Click menu Start Settings Control Panel Add or Remove Programs Add/Remove Windows Components chọn Certificate Services. (Lưu ý chọn Enterprise Root CA và Enable Active Server Page) 2. Cấp Certificate cho user. User dùng Certificate để signing, encrypt mail: a. Logon U1, xin certificate: Mở chương trình IE, nhập địa chỉ: Request a certificate User certificate Submit Install this certificate Yes GV: ThS. Đào Quốc Phương Trang 15
  17. Enterprise CA & Key recovery agent Quản trị mạng Windows GV: ThS. Đào Quốc Phương Trang 16
  18. Enterprise CA & Key recovery agent Quản trị mạng Windows GV: ThS. Đào Quốc Phương Trang 17
  19. Enterprise CA & Key recovery agent Quản trị mạng Windows b. Kiểm tra certificate của U1: Start Run gõ “mmc” Trong console, chọn menu File Add/Remove Snap-in Add chọn Certificates Add Close. Lưu console trên desktop với tên “U1_Cert.msc” c. Logon U1, gửi mail có signing và encrypt (cho chính mình) GV: ThS. Đào Quốc Phương Trang 18
  20. Enterprise CA & Key recovery agent Quản trị mạng Windows 3. User export key Mở Console “U1_Cert.msc” đã lưu ở bước 2b. Click phải chuột trên Certificate của U1 chọn All Task Export Trong hộp thoại Certificate Export Wizard, chọn “Yes, Export Private key” Next chọn “Personal Info ” và “Enable Strong ” Next nhập password: 123, confirm password: 123 Next nhấn nút Browse, tạo folder C:\CertKey, đặt tên file là “doremon.pfx” Next chọn Place all certificates ”: Personal Next Finish GV: ThS. Đào Quốc Phương Trang 19
  21. Enterprise CA & Key recovery agent Quản trị mạng Windows 4. Giả lập key bị thất lạc a. Logon Administrator b. Logon U1 xem lại mail đã signing và encrypt trước đó Xoá profile của user U1 - Nhấn chuột phải My Computer Properties Advanced trong mục User Profiles, nhấn Settings chọn profile của U1 và chọn Delete. GV: ThS. Đào Quốc Phương Trang 20
  22. Enterprise CA & Key recovery agent Quản trị mạng Windows 5. User import key a. Log on U1, tạo lại console U1_cert (xem 2b), dùng console certificate để import key từ file pfx. Nhấn Next và nhập password 123, nhấn Next và Finish để khôi phục lại certificate GV: ThS. Đào Quốc Phương Trang 21
  23. Enterprise CA & Key recovery agent Quản trị mạng Windows b. Xem lại mail đã signing và encrypt trước đó GV: ThS. Đào Quốc Phương Trang 22
  24. Enterprise CA & Key recovery agent Quản trị mạng Windows PHẦN 2: KEY RECOVERY AGENT I. Nội dung - Cài đặt Enterprise Root CA - Issue enterprise certificate cho user. User dùng certificate để signing, encrypt mail. - Administrator tạo Key Recovery Agent (KRA) - Khi key bị hỏng hoặc thất lạc, user không thể đọc được các mail đã signing, encrypt - Key Recovery Agent phục hồi key cho user. II. Chuẩn bị: tương tự phần 1 III. Thực hiện 1. Cài đặt Enterprise Root CA: tương tự phần 1 2. Administrator tạo Key Recovery Agent (KRA) a. Tạo certificate template mới: bằng cách điều chỉnh một certificate template có sẵn và gán quyền sử dụng cho user. - Logon Administrator GV: ThS. Đào Quốc Phương Trang 23
  25. Enterprise CA & Key recovery agent Quản trị mạng Windows - Nhấn Start Programs Administrative click nút phải trên Template User Duplicate Tools Certification Authority click nút phải chuột trên Certificate Template Manage Trong tab General, nhập Template display name và Trong tab Request handling, chọn option Template name: “UserVersion2” “Archive subject’s encryption private key” GV: ThS. Đào Quốc Phương Trang 24
  26. Enterprise CA & Key recovery agent Quản trị mạng Windows Trong tab Security, cấp cho 2 group Authentcated Users and Domain Users các quyền: Read, Enroll và Autoenroll Apply OK. Đóng chương trình “Certificate Template” b. Phát hành certificate template mới: KRA và UserVersion2 Trở lại chương trình Certificate Authority. Click nút phải chuột trên Certificate Template New Certificate Template to Issue. Chọn 2 template “Key Recovery Agent” và “UserVersion2” OK GV: ThS. Đào Quốc Phương Trang 25
  27. Enterprise CA & Key recovery agent Quản trị mạng Windows c. Tạo KRA: Mở chương trình IE, nhập địa chỉ : Request a certificate advanced certificate request Create and submit a request to this CA GV: ThS. Đào Quốc Phương Trang 26
  28. Enterprise CA & Key recovery agent Quản trị mạng Windows chọn Certificate template “Key Recovery Agent” Submit Thông báo kết quả sau khi đã gửi yêu cầu GV: ThS. Đào Quốc Phương Trang 27
  29. Enterprise CA & Key recovery agent Quản trị mạng Windows Cấp Certificate cho KRA: Start Programs Administrative Tools Certification Authority mở mục Pending Requests chọn certificate nhấn phải chuột All Tasks Issue và xem kết quả trong mục Issued Certificates GV: ThS. Đào Quốc Phương Trang 28
  30. Enterprise CA & Key recovery agent Quản trị mạng Windows d. KRA install certificate: Mở chương trình IE, nhập địa chỉ: View the status of a pending certificate request Key Recovery Agent Certificate Install this certificate Yes GV: ThS. Đào Quốc Phương Trang 29
  31. Enterprise CA & Key recovery agent Quản trị mạng Windows e. Cấu hình thuộc tính archive the key cho KRA: Start Programs Administrative Tools Certification Authority nhấn chuột phải chọn Properties của root CA trong tab Recovery Agents, chọn option “Archive the key”, chọn nút Add GV: ThS. Đào Quốc Phương Trang 30
  32. Enterprise CA & Key recovery agent Quản trị mạng Windows chọn KRA certificate OK Yes để restart Certificates Services 3. User dùng certificate để sign & encrypt mail a. User xin enterprise certificate: - Logon U1, thực hiện tương tự phần 1 nhưng chọn certificate template UserVersion2 do Admin mới tạo. - Mở chương trình IE, nhập địa chỉ : Request a certificate advanced certificate request Create and submit a request to this CA GV: ThS. Đào Quốc Phương Trang 31
  33. Enterprise CA & Key recovery agent Quản trị mạng Windows chọn Certificate template “UserVersion2” Submit Yes Install this certificate GV: ThS. Đào Quốc Phương Trang 32
  34. Enterprise CA & Key recovery agent Quản trị mạng Windows b. User dùng certificate để signing, encrypt mail (tương tự 2c trong phần 1) - U1 gửi thư cho chính mình có sigining và encrypt GV: ThS. Đào Quốc Phương Trang 33
  35. Enterprise CA & Key recovery agent Quản trị mạng Windows 4. Giả lập certificate bị thất lạc a. Logon Administrator. Xoá profile của user U1 b. Logon U1 xem lại mail đã signing và encrypt trước đó 5. Key Recovery Agent phục hồi key cho user - Logon Administrator a. Copy số serial certificate của user U1 còn lưu tại root và paste vào một file text. Loại bỏ các khoảng trắng rồi copy vào clipboard một lần nữa. Start Programs Administrative Tools Certification Authority mở mục Issued Certificates chọn certificate của U1 nhấn phải chuột Open GV: ThS. Đào Quốc Phương Trang 34
  36. Enterprise CA & Key recovery agent Quản trị mạng Windows Chọn tab Detail chọn mục Serial number quét khối dòng số phía dưới và copy vào một file text, loại bỏ khoảng trắng và copy một lần nữa vào clipboard. b. Lưu archived key của user U1 vào file *.pfx: - Nhập dòng lệnh trong cửa sổ command line: certutil –getkey [số serial] abc.pfx (Paste số serial vào) GV: ThS. Đào Quốc Phương Trang 35
  37. Enterprise CA & Key recovery agent Quản trị mạng Windows c. Phục hồi key của user U1 vào file *.pfx: - Nhập dòng lệnh trong cửa sổ command-line: certutil –recoverkey abc.pfx doremon.pfx (không cần nhập password) GV: ThS. Đào Quốc Phương Trang 36
  38. Enterprise CA & Key recovery agent Quản trị mạng Windows d. User import key: - Logon U1 - Dùng console certificate để import key từ file pfx và xem lại mail đã signing và encrypt trước đó. GV: ThS. Đào Quốc Phương Trang 37
  39. Secure Socket Layer & IP Security Quản trị mạng Windows SECURE SOCKET LAYER & IP SECURITY PHẦN 1: SECURE SOCKET LAYER I. Nội dung - Xin Certificate cho WebServer để user truy cập bằng HTTPS (HTTP Secure) II. Chuẩn bị - Yêu cầu hệ thống: 01 máy Domain Controller Windows Server 2003 Enterprise + IP Address: 192.168.0.1 + Subnet mask: 255.255.255.0 + DNS: 192.168.0.1 + Domain: congty.com 1. Cài đặt Enterprise Root CA a. Cài ASP.NET: (như đã hướng dẫn trong bài Lab trước) Logon Administrator Click menu Start Settings Control Panel Add or Remove Programs Add/Remove Windows Components Application Server Details ASP.NET OK Next . b. Cài Enterprise Root CA “CongTy”: Click menu Start Settings Control Panel Add or Remove Programs Add/Remove Windows Components chọn Certificate Services. (Lưu ý chọn Enterprise Root CA và Enable Active Server Page) GV: ThS. Đào Quốc Phương Trang 38
  40. Secure Socket Layer & IP Security Quản trị mạng Windows 2. Tạo trang web default: \Intepub\wwwroot\default.htm Welcome to My Web page ^_^ My name is Quoc Phuong III. Thực hiện 1. Kiểm chứng: lần lượt truy cập web default bằng HTTP và HTTPS - Nhập địa chỉ trong IE: trang web hiển thị bình thường. - Nhập địa chỉ trong IE: trang web không thể hiển thị. GV: ThS. Đào Quốc Phương Trang 39
  41. Secure Socket Layer & IP Security Quản trị mạng Windows 2. Xin certificate cho webserver: a. Mở Properties của IIS: - Start Programs Administrative Tools Internet Information Services (IIS) Manager click phải chuột vào Default Web Site Properties GV: ThS. Đào Quốc Phương Trang 40
  42. Secure Socket Layer & IP Security Quản trị mạng Windows b. Xin certificate: - Trong tab Directory Security chọn Server Certificate Next chọn Create a new certificate Next chọn Send the request immediately Next Nhập các thông tin theo yêu cầu chọn port SSL là 443 Finish GV: ThS. Đào Quốc Phương Trang 41
  43. Secure Socket Layer & IP Security Quản trị mạng Windows GV: ThS. Đào Quốc Phương Trang 42
  44. Secure Socket Layer & IP Security Quản trị mạng Windows 3. Truy cập web default bằng HTTPS: - Nhập địa chỉ trong IE: hệ thống cảnh báo chọn Yes trang Web hiển thị bình thường GV: ThS. Đào Quốc Phương Trang 43
  45. Secure Socket Layer & IP Security Quản trị mạng Windows PHẦN 2: IP SECURITY I. Nội dung - Dùng Certificate làm key mã hoá dữ liệu trên đường truyền II. Chuẩn bị - Yêu cầu hệ thống: 02 máy Windows Server 2003 Enterprise - Kiểm tra đường truyền bằng lệnh PING IP card LAN - 2 máy đổi password administrator thành 123 - Máy lẻ (PC1): + IP Address: 192.168.5.1 + Subnet mask: 255.255.255.0 - Máy chẵn (PC2): + IP Address: 192.168.5.2 + Subnet mask: 255.255.255.0 - Máy chẵn cài ASP.NET & Stand-alone root CA III. Thực hiện 1. Xin certificate cho 2 computer: a. Máy lẻ bổ sung danh sách trusted site: - Trong chương trình IE chọn menu Tools Internet Options GV: ThS. Đào Quốc Phương Trang 44
  46. Secure Socket Layer & IP Security Quản trị mạng Windows trong tab Security, chọn zone Trusted sites chọn nút Sites nhập vào mục “Add this Web site to the zone”: http://[IP của máy chẵn]/certsrv bỏ chọn “Require server certification ” chọn nút Add Close OK b. Hai máy xin certificate - Máy lẻ: trong IE, nhập địa chỉ: http://[IP của máy chẵn]/certsrv - Máy chẵn: trong IE, nhập địa chỉ: GV: ThS. Đào Quốc Phương Trang 45
  47. Secure Socket Layer & IP Security Quản trị mạng Windows - Cả 2 máy: chọn Request a certificate Advanced certificate request Create and submit a request to this CA điền các thông tin cần thiết GV: ThS. Đào Quốc Phương Trang 46
  48. Secure Socket Layer & IP Security Quản trị mạng Windows - Chú ý: tại mục “Type of Certificate Needed”, chọn Client Authentication Ceritficate; đánh dấu chọn “Store certificate in the local computer certificate store” - Submit c. Cấp certificate cho 2 computer: GV: ThS. Đào Quốc Phương Trang 47
  49. Secure Socket Layer & IP Security Quản trị mạng Windows - Máy chẵn: Start Programs Administrative Tools Certification Authority. Trong cửa sổ Certification Authority, chọn mục Pending Request lần lượt click phải chuột vào từng request All Tasks Issue d. Hai máy install certificate: - Hai máy mở lại trang web xin certificate chọn View the status of a pending request click Authentication Certificate Install this certificate GV: ThS. Đào Quốc Phương Trang 48
  50. Secure Socket Layer & IP Security Quản trị mạng Windows e. Hai máy tạo console PC_cert: - Start Run “mmc” menu File Add / remove snap-in Add Certificates chọn Computer account chọn Local computer - Trong console, chọn menu File Save as lưu console lên Desktop với tên “PC_Cert” GV: ThS. Đào Quốc Phương Trang 49
  51. Secure Socket Layer & IP Security Quản trị mạng Windows Lưu ý certificate của máy lẻ đang bị lỗi GV: ThS. Đào Quốc Phương Trang 50
  52. Secure Socket Layer & IP Security Quản trị mạng Windows f. Máy lẻ import certificate root CA: - Trong console PC_Cert (tạo ở phần e): chọn Trusted Root Certificate Authorities click phải chuột vào Certificates All Tasks Import Trong hộp thoại Certificate Import Wizard chọn nút Browse My Network Places GV: ThS. Đào Quốc Phương Trang 51
  53. Secure Socket Layer & IP Security Quản trị mạng Windows CerConfig on PCxx Pcxx_Congty.crt Open Next GV: ThS. Đào Quốc Phương Trang 52
  54. Secure Socket Layer & IP Security Quản trị mạng Windows chọn “Place all certificates in the following stores: Trusted Root Certificate Authorities” Finish GV: ThS. Đào Quốc Phương Trang 53
  55. Secure Socket Layer & IP Security Quản trị mạng Windows 2. Tạo IPSec Policy cho 2 máy: (2 máy thực hiện như nhau) a. Tạo console IPSec: - Start Run gõ “mmc” Add / Remove snap-in Add lần lượt chọn IP Security Policy Management cho Local Computer và Services cho Local Computer Lưu console lên Desktop với tên IPSec.msc. GV: ThS. Đào Quốc Phương Trang 54
  56. Secure Socket Layer & IP Security Quản trị mạng Windows b. Tạo policy IPSec mới: - Trong console IPSec click phải chuột vào IP Security Policy Management Create IP Security Policy Next đặt tên policy: “IPSec by Cert” Next bỏ chọn “Activate the default ” Next bỏ chọn “Edit properties” Finish GV: ThS. Đào Quốc Phương Trang 55
  57. Secure Socket Layer & IP Security Quản trị mạng Windows c. Cấu hình policy “IPSec by Cert”: - Trong console IPSec click phải chuột vào IPSec by Cert Properties trong tab Rules của IPSec by Cert Properties chọn nút Add Next GV: ThS. Đào Quốc Phương Trang 56
  58. Secure Socket Layer & IP Security Quản trị mạng Windows trong hộp thoại Tunnel Endpoint chọn “This rule does not specify a tunnel” Next trong hộp thoại Network Type chọn “All network connections” Next GV: ThS. Đào Quốc Phương Trang 57
  59. Secure Socket Layer & IP Security Quản trị mạng Windows trong hộp thoại IP Filter List đánh dấu chọn “All IP Traffic” Next trong hộp thoại Filter Action đánh dấu chọn “Require Security” Next GV: ThS. Đào Quốc Phương Trang 58
  60. Secure Socket Layer & IP Security Quản trị mạng Windows trong hộp thoại Authentication Method đánh dấu chọn: “Use a certificate ” chọn nút Browse trong hộp thoại Select Certificate chọn CA “CongTy” OK GV: ThS. Đào Quốc Phương Trang 59
  61. Secure Socket Layer & IP Security Quản trị mạng Windows quay về hộp thoại Authentication Method Next Finish quay về IPSec by Cert Properties OK GV: ThS. Đào Quốc Phương Trang 60
  62. Secure Socket Layer & IP Security Quản trị mạng Windows d. Assgin Policy và restart services - Trong console IPSec click phải chuột vào IPSec by Cert Assign - Cũng trong console IPSec chọn Services click phải chuột vào IPSec Services Restart GV: ThS. Đào Quốc Phương Trang 61
  63. Secure Socket Layer & IP Security Quản trị mạng Windows 3. Kiểm chứng quá trình mã hóa: - Trong command-line của máy chẵn, nhập dòng lệnh PING [IP máy lẻ] -t GV: ThS. Đào Quốc Phương Trang 62
  64. EFS trên Workgroup Quản trị mạng Windows EFS trên WORKGROUP I. Mục đích - Dùng Certifcate để mã hoá hệ thống file (Encrypt File System) - Tạo Recovery Agent để phục hồi dữ liệu khi user bị mất Certificate II. Chuẩn bị - 1 máy chạy Windows XP - Tạo 1 username và password là u1/123 - Logon bằng user này, tạo thư mục C:\TestEFS III. Thực hiện 1. Mã hoá thư mục TestEFS, sau đó tạo file u1.txt a. Logon U1. Start Run gõ “mmc” OK b. Chọn menu File Add / Remove snap-in Certificates Add Close OK Hiện tại trong Personal chưa có gì cả !!! Chọn menu File Save Desktop. Đặt tên file là Certificate_u1 GV: ThS. Đào Quốc Phương Trang 63
  65. EFS trên Workgroup Quản trị mạng Windows c. Mở Windows Explorer tạo thư mục C:\TestEFS Click nút phải chuột trên thư mục TestEFS Properties d. Trong màn hình TestEFS Properties Advanced Trong màn hình Advanced Attributes đánh dấu chọn ô Encrypt contents to secure data OK Apply OK GV: ThS. Đào Quốc Phương Trang 64
  66. EFS trên Workgroup Quản trị mạng Windows e. Trong thư mục TestEFS tạo 1 file u1.txt với nội dung là “Day la file cua U1” f. Double click biểu tượng Certificate_u1 trên desktop Lúc này trong Certificates của Personal có 1 certificate của U1 ĐÂY LÀ CERTIFICATE “SELF SIGNING” CỦA U1 2. Administrator không mở được file này - Logon Administrator, mở file C:\TestEFS\u1.txt không mở được GV: ThS. Đào Quốc Phương Trang 65
  67. EFS trên Workgroup Quản trị mạng Windows 3. Admin tạo Recovery Agent a. Logon Administrator, vào Start Run cmd b. Tại màn hình Command Prompt, gõ các lệnh sau: CD\ MD ABC CD ABC Trong ABC, đánh lệnh cipher /r:filename (vd: cipher /r:local_recover) và Enter Chương trình sẽ tạo ra 2 file .CER và .PFX 4. Áp policy để Recovery Agent có khả năng đọc các file bị mã hoá a. Logon Administrator, vào Start Run gõ gpedit.msc OK b. Chọn Computer Configuration Windows Settings Security Settings Public Key Policies click nút phải chuột trên Encrypting File System – chọn Add Data Recovery Agent GV: ThS. Đào Quốc Phương Trang 66
  68. EFS trên Workgroup Quản trị mạng Windows c. Màn hình Welcome xuất hiện Next. Trong màn hình Select Recovery Agents chọn Browse Folders d. Tìm đến thư mục C:\ABC chọn file local_recover.cer Open (Lưu ý: chọn file *.cer) e. Trong màn hình Select Recovery Agents Next f. Trong màn hình Completing the Add Recovery Agent Wizard Finish - Thoát ra Command Prompt, gõ lệnh gpupdate /force GV: ThS. Đào Quốc Phương Trang 67
  69. EFS trên Workgroup Quản trị mạng Windows g. Vào Start Run gõ mmc OK Trong màn hình Console1 menu File Add / Remove Snap-in Add Certificates chọn My user account Finish – OK h. Để ý trong Personal chưa có gì GV: ThS. Đào Quốc Phương Trang 68
  70. EFS trên Workgroup Quản trị mạng Windows i. Click nút phải chuột trên Personal All Tasks Import j. Màn hình Welcome xuất hiện Next. Chỉ đến thư mục C:\ABC – chọn file có biểu tượng chìa khoá (có phần mở rộng là *.pfx) GV: ThS. Đào Quốc Phương Trang 69
  71. EFS trên Workgroup Quản trị mạng Windows k. Trong màn hình File to Import, nhấn Next l. Trong màn hình Password, chọn ô Mark this key as exportable Next Finish GV: ThS. Đào Quốc Phương Trang 70
  72. EFS trên Workgroup Quản trị mạng Windows m. Kết quả sau khi import certificate như hình bên 5. U1 tạo file mới: Logon U1, tạo file mới C:\TestEFS\u2.txt 6. Kiểm tra chức năng Recovery Agent a. Admin mở file u2.txt mở được b. Admin mở file u1.txt không mở được c. Logon U1, mở file u1.txt, rồi đóng lại d. Logon Administrator, mở lại file u1.txt GV: ThS. Đào Quốc Phương Trang 71
  73. EFS trên Domain Quản trị mạng Windows EFS trên DOMAIN I. Mục đích - Tương tự EFS trên WorkGroup II. Chuẩn bị - 1 máy làm Domain Controller - Install Enterprise Root CA - Đặt password cho Administrator là 123 - Tạo User có username/password là u2/123 - Cho u2 quyền logon locally - Tạo thư mục C:\TestEFS III. Thực hiện 1. Logon bằng user U2. Tạo 1 file u2.txt. Encrypt file này a. Logon U2, đặt thuộc tính Encrypt cho thư mục C:\TestEFS (Tương tự trên XP) Tạo file C:\TestEFS\u2.txt GV: ThS. Đào Quốc Phương Trang 72
  74. EFS trên Domain Quản trị mạng Windows b. Sau khi mã hoá file xong, click nút phải chuột trên u2.txt Properties Advanced Details c. Trong màn hình Encrypt Detail , để ý trong phần Data Recovery Agents For This File As Defined By Recovery Policy có Administrator Admin sẽ đọc được file mà u2 mã hoá (Default). Nhấn OK để thoát ra GV: ThS. Đào Quốc Phương Trang 73
  75. EFS trên Domain Quản trị mạng Windows d. Vào Administrative Tools chuột phải trên Certification Authority chọn Run as Username/password: Administrator/123 e. Trong thư mục Issued Certificates chú ý thấy u2 tự xin 1 certificate dùng cho việc mã hoá Thoát ra khỏi màn hình Certificate Authority – không cần lưu lại 2. Logon Administrator, mở file C:\TestEFS\u2.txt mở được kết luận trong hệ thống Domain, Administrator mặc nhiên là Recovery Agent GV: ThS. Đào Quốc Phương Trang 74
  76. Trust Relationship Quản trị mạng Windows TRUST RELATIONSHIP I. Mục đích - Giúp các domain không thuộc cùng forest có khả năng thừa hưởng quá trình chứng thực của nhau. II. Chuẩn bị - 2 máy làm Domain Controller và có địa chỉ IP được cho như bảng dưới đây - Máy lẻ (PC1) làm domain: saigon.vn. Tạo 1 alias tên www.saigon.vn - Máy chẵn (PC2) làm domain: hanoi.vn. Tạo 1 alias tên www.hanoi.vn - Đổi password Administrator của 2 máy. - Trên máy lẻ (PC1), tạo username: doremon – password: 123 - Trên máy chẵn, tạo và share thư mục C:\Public Folder - Chỉnh thời gian trên 2 máy giống nhau PC1 PC2 (saigon.vn) (hanoi.vn) IP: 192.168.5.1/24 IP: 192.168.5.2/24 DNS: 192.168.5.1 DNS: 192.168.5.2 III. Thực hiện Lưu ý: tất cả thao tác trên 2 máy đều sử dụng quyền của Administrator. 1. Thiết lập cấu hình DNS Forwarder để hai domain có thể phân giải tên của nhau. Thực thi các bước sau trên máy PC1 (domain saigon.vn) GV: ThS. Đào Quốc Phương Trang 75
  77. Trust Relationship Quản trị mạng Windows a. Start Administrative Tools DNS Trong DNS console click nút phải chuột trên computer name (PC1) Properties b. Trong màn hình PC1 Properties chọn tab Forwarders click New GV: ThS. Đào Quốc Phương Trang 76
  78. Trust Relationship Quản trị mạng Windows c. Trong New Forwarder, tại ô DNS Domain, gõ vào tên domain bên kia. VD: hanoi.vn OK d. Trong màn hình này, vẫn để điểm sáng trên hanoi.vn, nhập vào địa chỉ IP của domain đó trong ô Selected domain : 192.168.5.2 Add OK GV: ThS. Đào Quốc Phương Trang 77
  79. Trust Relationship Quản trị mạng Windows e. Click nút phải chuột trên DNS Server All Tasks Restart Thực hiện tương tự trên PC2 (domain hanoi.vn) f. Sau khi hoàn tất việc cấu hình trên domain hanoi.vn, về máy PC1, chạy nslookup để kiểm tra sự phân giải tên qua lại giữa các domain (xem hình bên) GV: ThS. Đào Quốc Phương Trang 78
  80. Trust Relationship Quản trị mạng Windows 2. Cấu hình Trust Relationship: a. Vẫn đang ở trên máy PC1, vào Administrative Tools Active Directory Domain and Trusts, màn hình như hình bên xuất hiện. Click nút phải chuột trên domain (saigon.vn) Properties b. Chọn New Trust GV: ThS. Đào Quốc Phương Trang 79
  81. Trust Relationship Quản trị mạng Windows c. Màn hình Welcome xuất hiện Next. Trong màn hình Trust Name, nhập NETBIOS name của domain bên kia (VD: hanoi.vn). Sau đó nhấn Next d. Trong màn hình Direction of Trust, chọn Two way Next GV: ThS. Đào Quốc Phương Trang 80
  82. Trust Relationship Quản trị mạng Windows Trong màn hình Sides of Trusts, chọn Both this domain and the specifier domain Next e. Nhập vào username và password administrator của domain bên kia Next f. Trong màn hình Trust Selection Complete Next g. Trong màn hình Trust Creation Complete Next GV: ThS. Đào Quốc Phương Trang 81
  83. Trust Relationship Quản trị mạng Windows h. Trong màn hình Confirm Outgoing Trust, chọn Yes, confirm the outgoing trust Next i. Trong màn hình Confirm Incoming Trust, chọn Yes, confirm the incoming trust Next GV: ThS. Đào Quốc Phương Trang 82
  84. Trust Relationship Quản trị mạng Windows j. Trong màn hình Complete the New Trust Wizard Finish OK k. Sau khi nhấn OK, bạn nhận được màn hình sau. Nhấn OK l. Lưu ý: 2 máy domain cùng restart máy lại GV: ThS. Đào Quốc Phương Trang 83
  85. Trust Relationship Quản trị mạng Windows m. Sau khi restart máy lại, màn hình logon của 2 máy sẽ như hình bên 3. Kiểm tra: - Cấp quyền cho user trên domain saigon.vn được sử dụng share folder trên domain hanoi.vn a. Mở Windows Explorer, chọn drive C:, click nút phải chuột trên Public Folder chọn tab Security Add GV: ThS. Đào Quốc Phương Trang 84
  86. Trust Relationship Quản trị mạng Windows b. Trong Select Users, Computers, or Groups – click Location c. Trong Locations – chọn saigon.vn OK GV: ThS. Đào Quốc Phương Trang 85
  87. Trust Relationship Quản trị mạng Windows d. Find now chọn user doremon OK e. Màn hình nhận được sẽ như sau. OK OK GV: ThS. Đào Quốc Phương Trang 86
  88. Security Templates Quản trị mạng Windows SECURITY TEMPLATES I. Nội dung - Áp đặt các Security Template vào từng Server, OU tương ứng để làm gia tăng độ bảo mật của toàn bộ hệ thống mạng máy tính. II. Chuẩn bị - 1 máy Win2K3 đã nâng cấp domain controller. + IP Address: 192.168.0.1 + Subnet mask: 255.255.255.0 + DNS: 192.168.0.1 + Domain name: congty.com - Copy file Windows Server 2003 Security Guide.rar về ổ đĩa C:\ và giải nén III. Thực hiện 1. Tạo cấu trúc OU, phù hợp từng loại hình Server Start Run gõ vào dsa.msc click nút phải chuột trên congty.com New Organizational Unit. Tạo lần lượt các OU như hình bên GV: ThS. Đào Quốc Phương Trang 87
  89. Security Templates Quản trị mạng Windows 2. Tạo Group Policy và áp security template trên Domain Root a. Vào Start Programs Administrative Tools Mở Active Directory Users and Computers b. Trong Active Directory Users and Computers click nút phải chuột trên CongTy.com chọn Properties vào tab Group Policy chọn New đặt tên cho Group Policy mới tạo là “Domain Policy” c. Trong cửa sổ congty.com Properties chọn Domain Policy chọn Edit d. Trong cửa sổ Group Policy Object Editor vào Computer Configuration Windows Settings Security Settings click phải chuột trên Security Settings chọn Import Policy Trong cửa sổ Import Policy From, trong ô Look in chỉ đường dẫn vào C:\Windows Server 2003 Security Guide\Tools and Templates\Securiry Guide\Security Templates chọn file Enterprise Client – Domain Open GV: ThS. Đào Quốc Phương Trang 88
  90. Security Templates Quản trị mạng Windows 3. Tạo Group Policy và Add Security template trên OU Domain Controller a. Vào Start Programs Administrative Tools Mở Active Directory Users and Computers. b. Trong Active Directory Users and Computers click nút phải chuột trên OU Domain Controller chọn Properties vào tab Group Policy chọn New đặt tên cho Group Policy mới tạo là “Domain Controller Policy” c. Trong cửa sổ Domain Controller Properties chọn Domain Controller Policy chọn Edit GV: ThS. Đào Quốc Phương Trang 89
  91. Security Templates Quản trị mạng Windows d. Trong cửa sổ Group Policy Object Editor vào Computer Configuration Windows Settings Security Settings click phải chuột trên Security Settings chọn Import Policy Trong cửa sổ Import Policy From, trong ô Look in chỉ đường dẫn vào C:\Windows Server 2003 Security Guide\Tools and Templates\Securiry Guide\Security Templates chọn file Enterprise Client – Domain Controller Open 4. Tạo Group Policy và Add Security template trên OU còn lại - Lại làm tương tự như bước 4 Lưu ý: phải áp các file security template vào các OU tương ứng GV: ThS. Đào Quốc Phương Trang 90
  92. Move Active Directory Database Quản trị mạng Windows MOVE ACTIVE DIRECTORY DATABASE I. Nội dung - Thông thường khi xây dựng một Domain Controller, file database của Active Directory là ntds.dit nằm ở vị trí mặc định là %systemroot%\NTDS (vd: c:\windows\ntds.dit). Để gia tăng độ an toàn, ta sẽ di dời database này sang vị trí khác. II. Chuẩn bị - Gắn thêm ổ cứng E:\ dung lượng 1GB vào máy tính, định dạng NTFS - Thực hiện bài Lab với máy đang là Domain Controller + IP Address: 192.168.0.1 + Subnet mask: 255.255.255.0 + DNS: 192.168.0.1 + Domain name: congty.com III. Thực hiện 1. Kiểm tra đường dẫn mặc định: - Logon bằng Administrator vào C:\WINDOWS\NTDS - Kiểm tra xem có các file: edb.chk, ntds.dit, temb.edb (đây chính là cái cần chuyển) 2. Backup System State Data để phòng tránh trong qua trình move database bị thất bại a. Vào Start Programs Accessories System Tools Backup GV: ThS. Đào Quốc Phương Trang 91
  93. Move Active Directory Database Quản trị mạng Windows b. Trong cửa sổ Welcome to the Backup or Restore Wizard bỏ dấu chọn tại ô Always start in wizard mode chọn Advanced Mode c. Trong cửa sổ Backup Utility đánh dấu chọn vào ô System State gõ E:\SSD.bkf vào ô Backup media or file name (để lưu file backup SSD vài ổ đĩa E:\) chọn Start Backup trong cửa sổ Backup Job Information chọn Start Backup. d. Sau khi kết thúc quá trình Backup vào E:\ kiểm tra đã có file SSD.bkf GV: ThS. Đào Quốc Phương Trang 92
  94. Move Active Directory Database Quản trị mạng Windows 3. Tiến hành di chuyển Database của AD a. Khởi động máy lại, nhấn F8, chọn chế độ khởi động là Directory Service Restore Mode (nếu máy có nhiều bản Windows thì chọn Windows cần Move Directory để Logon vào) b. Logon Administrator vào command-line gõ lệnh ntdsutil Enter GV: ThS. Đào Quốc Phương Trang 93
  95. Move Active Directory Database Quản trị mạng Windows c. Trong CMD xuất hiện dòng ntdsutil gõ lệnh files Enter d. Trong CMD xuất hiện dòng file maintenance gõ lệnh move DB to C:\SecureDATA Enter (hệ thống bắt đầu chuyển AD Database qua thư mục C:\Secure\DATA) GV: ThS. Đào Quốc Phương Trang 94
  96. Move Active Directory Database Quản trị mạng Windows e. Sau khi hoàn tất trong CMD sẽ xuất hiện dòng file maintence: gõ lệnh quit f. Trong dòng ntdsutil: gõ lệnh quit gõ lệnh exit 4. Kiểm tra lại đường dẫn chứa Active Directory Database a. Sau khi hoàn tất phần 3 Restart máy vào Windows ở chế độ bình thường b. Logon Administrator vào C:\SecureDATA Kiểm tra có các file edb.chk; ntds.dit; temb.edb c. Vào C:\WINDOWS\NTDS không thấy các file edb.chk; ntds.dit; temb.edb GV: ThS. Đào Quốc Phương Trang 95
  97. Password Syskey Quản trị mạng Windows PASSWORD SYSKEY I. Nội dung - Tạo password cho hệ thống máy tính Workstation hoặc Active Directory Database của Domain Controller, nhằm tăng cường độ bảo mật, phòng tránh các tools chương trình đoán password Administrator theo cơ chế Bruteforce II. Chuẩn bị - Thực hiện trên bất kỳ máy nào III. Thực hiện a. Logon Administrator Vào Start Run gõ syskey trong cửa sổ Securing the Windows Account Database chọn Update GV: ThS. Đào Quốc Phương Trang 96
  98. Password Syskey Quản trị mạng Windows trong cửa sổ Startup Key chọn Password Startup gõ 123 vào ô Password và Confirm OK trong cửa sổ Success chọn OK b. Khởi động máy lại khi máy khởi động sẽ thấy 1 cửa sổ yêu cầu nhập vào password của Syskey nhập password là 123 Lưu ý: sau khi nhập được password của syskey ta mới vào được màn hình Welcome to Windows. GV: ThS. Đào Quốc Phương Trang 97
  99. MSBA & SUS Quản trị mạng Windows MICROSOFT SECURITY BASELINE ANALYZER & SOFTWARE UPDATE SERVICE I. Nội dung - Cài đặt Microsoft Security Baseline Analyzer để rà soát, thống kê các lỗ hỏng của hệ thống, nhằm đưa ra giải pháp khắc phục. - Cài đặt SUS cho hệ thống, nhằm tăng cường tính an toàn, ổn định cho các server bằng việc cập nhật liên tục các bản vá lỗi của hệ điều hành và các software Microsoft. Nhưng vẫn đảm bảo không làm nghẽn lưu lượng ra Internet. II. Chuẩn bị - Mô hình lab gồm 2 máy Windows Server 2003 + Máy PC1 làm SUS Server, máy PC2 làm Client (Máy PC02 có thể sử dụng Windows XP) + 2 file SUS10SP1.exe và MBSASetup-en.msi nằm trong đĩa SoftsQTM.iso III. Thực hiện 1. Cài đặt MSBA: (thực hiện trên PC1) - Bỏ đĩa SoftsQTM.iso vào CDROM GV: ThS. Đào Quốc Phương Trang 98
  100. MSBA & SUS Quản trị mạng Windows a. Chạy file MBSASetup- en.msi Trong cửa sổ Welcome chọn Next Trong cửa sổ License Agreement chọn ô I accept the license agreement Next GV: ThS. Đào Quốc Phương Trang 99
  101. MSBA & SUS Quản trị mạng Windows b. Trong cửa sổ Destination Folder để mặc định chọn Next trong cửa sổ Start Installation chọn Install Finish GV: ThS. Đào Quốc Phương Trang 100
  102. MSBA & SUS Quản trị mạng Windows c. Mở biểu tượng Microsoft Baseline Securtity Analyzer 1.2 trên desktop trong cửa sổ Microsoft Baseline Securtity Analyzer chọn Scan more than one computer d. Trong cửa sổ Pick mutiple computers to scan trong IP address range nhập vào địa chỉ “IP của PC1” to “IP của PC2” (vd: 192.168.5.1 to 192.168.5.2) chọn Start Scan chương trình sẽ bắt đầu dò lỗi bảo mật GV: ThS. Đào Quốc Phương Trang 101
  103. MSBA & SUS Quản trị mạng Windows e. Sau khi quá trình scan hoàn tất trong cửa sổ View security report những mục nào đánh dấu chéo màu đỏ là những phần bị lỗi bảo mật muốn xem chi tiết thì chọn How to correct this Xem các lỗi mà MBSA quét ra được, tìm giải pháp khắc phục. GV: ThS. Đào Quốc Phương Trang 102
  104. MSBA & SUS Quản trị mạng Windows 2. Cài SUS trên máy PC1 a. Vào Control Panel Add or Remove Programs Add / Remove Windows Components Trong Add / Remove Windows Components, vào Detail của mục Application Server trong Application Server, đánh dấu chọn vào ô Internet Information Services (IIS) OK Next Finish GV: ThS. Đào Quốc Phương Trang 103
  105. MSBA & SUS Quản trị mạng Windows b. Chạy file SUS10SP1.exe để cài SUS trong cửa sổ Welcome Next GV: ThS. Đào Quốc Phương Trang 104
  106. MSBA & SUS Quản trị mạng Windows c. Trong cửa sổ End- User License Agreement chọn I accept the License Agreement Next trong cửa sổ Choose setup type chọn Typical GV: ThS. Đào Quốc Phương Trang 105
  107. MSBA & SUS Quản trị mạng Windows d. Trong cửa sổ Ready to install chọn Install Sau khi quá trình cài đặt hoàn tất chọn Finish trong cửa sổ Software Update Service chọn mục Set option trong cửa sổ bên trái. GV: ThS. Đào Quốc Phương Trang 106
  108. MSBA & SUS Quản trị mạng Windows e. Trong cửa sổ set options bên phải trong mục Select which server to synchronize content from chọn Synchronize directly from the Microsoft Windows Services servers trong mục Select Where you want to store updates chọn ô Save the updates to a local folder trong các ô ngôn ngữ, bỏ trắng tất cả các ô chỉ chọn English chọn Apply GV: ThS. Đào Quốc Phương Trang 107
  109. MSBA & SUS Quản trị mạng Windows f. Trong Software Update Services chọn mục Synchronize server Trong cửa sổ Synchronize server chọn Synchronization Now hệ thống sẽ bắt đầu quá trình đồng bộ dữ liệu với trang Micrsoft Update 3. Cấu hình cho máy PC2 update từ máy PC1 a. Vào Start Run gõ gpedit.msc trong cửa sổ Group Policy Object Editor vào Computer Configuration Administrative Templates Windows Update GV: ThS. Đào Quốc Phương Trang 108
  110. MSBA & SUS Quản trị mạng Windows b. Trong Windows Update Mở policy Configure Automatic Updates Trong cửa sổ Configure Automatic Updates Properties chọn Enabled Trong ô Configure Automatic Updating chọn 4 – Auto download and schedule the install OK GV: ThS. Đào Quốc Phương Trang 109
  111. MSBA & SUS Quản trị mạng Windows c. Mở policy Specify intranet Microsoft update service location chọn Enable trong ô nhập chỉ IP máy PC1 (vd: vào 2 ô Set the intranet update service for detecting updates và Set intranet statistics server OK đóng tất cả các cửa sổ đang có vào Start Run gõ gpupdate /force GV: ThS. Đào Quốc Phương Trang 110
  112. Radius Quản trị mạng Windows RADIUS I. Mục đích - Dùng RADIUS để authenticate cho remote user sử dụng VPN II. Chuẩn bị - Mô hình 3 máy: địa chỉ IP các khai báo như bảng dưới đây - Máy PC2 join domain bằng card mạng CROSS - Tạo group VPN_group, tạo user vpn_client (password: 123). Cho user này được phép sử dụng remote access (allow access) và là thành viên của VPN_group Máy Domain (PC1) VPN Server (PC2) VPN Client (RADIUS Server) (RADIUS Client) (PC3) IP: 172.16.2.16/24 IP: 172.16.2.15/24 IP: 192.168.2.15/24 IP: 192.168.2.14/24 P.DNS: 172.16.2.16 P.DNS: 172.16.2.16 III. Thực hiện 1. Install IAS, sau đó cấu hình RADIUS Server và các phần liên quan (Register IAS trong AD, Remote access policy) GV: ThS. Đào Quốc Phương Trang 111
  113. Radius Quản trị mạng Windows a. Install IAS - Vào Control Panel Add or Remove Programs Add / Remove Windows Components Networking Services – nhấn Details đánh dấu ô Internet Authentication Service OK. b. Sau cùng nhấn Finish khi đã hoàn tất GV: ThS. Đào Quốc Phương Trang 112
  114. Radius Quản trị mạng Windows c. Cấu hình RADIUS Server. - Vào Start Administrative Tools Internet Authentication Service d. Màn hình IAS xuất hiện. Chuột phải trên Internet Authentication Serivice (Local) – chọn Register Server in Active Directory. e. Nhấn OK GV: ThS. Đào Quốc Phương Trang 113
  115. Radius Quản trị mạng Windows f. Nhấn OK g. Khai báo RADIUS Client (VPN Server). - Chuột phải trên RADIUS Clients New RADIUS Client h. Trong ô Friendly-name, nhập vào VPN Server. Trong ô Client address (IP or DNS): nhập vào IP của VPN Server. Trong trường hợp này là 172.16.2.15. Sau đó nhấn Verify GV: ThS. Đào Quốc Phương Trang 114
  116. Radius Quản trị mạng Windows i. Trong màn hình này, nhấn Resolve. Sau đó nhấn OK j. Trong màn hình này, trong Client Vendor, click vào mũi tên, chọn Microsoft. Trong ô Shared secret và Confirm shared secret gõ vào 123 Sau đó nhấn Finish GV: ThS. Đào Quốc Phương Trang 115
  117. Radius Quản trị mạng Windows k. Cấu hình Remote Access Policy Chuột phải trên Remote Access Policies New Remote Access Policy l. Màn hình Welcome xuất hiện, nhấn Next. Trong màn hình kế tiếp này, giữ nguyên option đang chọn. Trong Policy name, nhập vào tên của policy (vd: VPN- RADIUS). Sau đó nhấn Next. GV: ThS. Đào Quốc Phương Trang 116
  118. Radius Quản trị mạng Windows m. Trong Access Method, chọn VPN. Nhấn Next n. Trong User or Group Access. Chọn Group – nhấn Add GV: ThS. Đào Quốc Phương Trang 117
  119. Radius Quản trị mạng Windows o. Tìm group VPN_Group. Sau đó nhấn OK p. Màn hình User or Group Access xuất hiện lại, nhấn Next GV: ThS. Đào Quốc Phương Trang 118
  120. Radius Quản trị mạng Windows q. Trong màn hình Authentication Methods, giữ nguyên tuỳ chọn, nhấn Next r. Trong màn hình Policy Encryption Level, chỉ giữ lại Strongest encryption Nhấn Next và Finish GV: ThS. Đào Quốc Phương Trang 119
  121. Radius Quản trị mạng Windows s. Mở Windows Explorer, vào drive C:, tạo 1 folder tên Public Folder. Sau đó share folder này. 2. Cấu hình VPN Server (dùng RRAS) a. Logon lên máy PC2 bằng Administrator. Vào Start Administrative Tools Routing and Remote Access GV: ThS. Đào Quốc Phương Trang 120
  122. Radius Quản trị mạng Windows b. Trong màn hình Routing and Remote Access. Chuột phải trên compute rname (VD: PC2), chọn Configure and Enable Routing and Remote Access c. Màn hình Welcome xuất hiện. Nhấn Next d. Trong màn hình Configuration, chọn Remote access (dial-up or VPN) Next GV: ThS. Đào Quốc Phương Trang 121
  123. Radius Quản trị mạng Windows e. Trong màn hình Remote access – chọn VPN Next f. Trong màn hình VPN connection – chọn card LAN và bỏ chọn ô Enable security on the selected Nhấn Next GV: ThS. Đào Quốc Phương Trang 122
  124. Radius Quản trị mạng Windows g. Trong màn hình IP Address Assignment – chọn From a specified range of address Next h. Trong màn hình Address Range Assignment New i. Trong màn hình New Address Range, nhập vào 172.16.2.100 – 172.16.2.179 Xong rồi, nhấn OK. GV: ThS. Đào Quốc Phương Trang 123
  125. Radius Quản trị mạng Windows j. Quay trở lại màn hình Address Range Assignment Next k. Trong màn hình Managing Mutiple Remote Access Server chọn Yes, setup this server to work with a RADIUS server. Nhấn Next GV: ThS. Đào Quốc Phương Trang 124
  126. Radius Quản trị mạng Windows l. Nhập vào IP address của RADIUS Server. Trong trường hợp này là 172.16.2.16 Trong ô Shared secret, nhập vô 123. Xong, nhấn Next. Chương trình sẽ bắt đầu install m. Trong quá trình install, chương trình có hiển thị 1 số thông báo. Nhấn OK để bỏ qua Chúng ta vừa hoàn tất việc cấu hình PC2 thành VPN Server (RADIUS Client) 3. Tạo VPN Connection kết nối đến VPN Server với username và password được cung cấp bởi PC1 a. Chuột phải trên icon My Network Places (trên Desktop) Properties, double click trên Create a New Connection. Màn hình Welcome to xuất hiện. Nhấn Next GV: ThS. Đào Quốc Phương Trang 125
  127. Radius Quản trị mạng Windows b. Trong màn hình này, chọn Connect to the network at my workplace. Nhấn Next c. Trong màn hình này, chọn Virtual Private Network connection, nhấn Next. GV: ThS. Đào Quốc Phương Trang 126
  128. Radius Quản trị mạng Windows d. Trong ô Company Name, nhập vào 1 tên tượng trưng, VD: VPN client. Nhấn Next e. Trong màn hình VPN Server Selection, nhập vào địa chỉ của VPN Server là 192.168.2.15. Nhấn Next GV: ThS. Đào Quốc Phương Trang 127
  129. Radius Quản trị mạng Windows f. Trong màn hình này, chọn My use only. Nhấn Next g. Trong màn hình này, đánh dấu chọn ô Add a shortcut to this connection to my desktop. Nhấn Finish GV: ThS. Đào Quốc Phương Trang 128
  130. Radius Quản trị mạng Windows h. Kiểm tra IP trước khi connect đến VPN Server Vào Start Run cmd Nhập vào ipconfig Chúng ta thấy 1 địa chỉ IP của card mạng mà thôi i. Test Connection Double click trên icon mới tạo trên desktop Trong ô Username, nhập vào: vpn_client Trong ô Password, nhập vào 123 Đánh dấu ô Save this Sau cùng click Connect j. Màn hình lần lượt sẽ như hình bên GV: ThS. Đào Quốc Phương Trang 129
  131. Radius Quản trị mạng Windows k. Sau khi việc kết nối thành công, bạn sẽ thấy 1 icon (hình 2 máy tình) nữa xuất hiện ở góc phải dưới của màn hình l. Kiểm tra IP sau khi connect: Vào Start Run cmd Nhập vào ipconfig Lúc này ngoài địa chỉ IP của card LAN, còn có địa chỉ IP được VPN Server cấp nữa m. Truy cập lên máy PC1 để lấy dữ liệu Vào Start Run gõ vào \\172.16.2.16, màn hình nhận được sẽ như hình bên GV: ThS. Đào Quốc Phương Trang 130