Giáo trình Quản trị mạng máy tính nâng cao

docx 73 trang huongle 6830
Download
Bạn đang xem 20 trang mẫu của tài liệu "Giáo trình Quản trị mạng máy tính nâng cao", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • docxgiao_trinh_quan_tri_mang_may_tinh_nang_cao.docx

Nội dung text: Giáo trình Quản trị mạng máy tính nâng cao

  1. Giáo trình Quản trị mạng máy tính nâng cao GIÁO TRÌNH ĐÀO TẠO QUẢN TRỊ MẠNG NÂNG CAO Mục lục PHẦN I: Cài đặt và cấu hình IIS cho Windows 2000 2 I.1. Hướng dẫn cài đặt IIS cho Windows 2000, XP 2 I.2. Kiểm tra trình chủ IIS 4 I.3. Trang Web đầu tay 6 I.4. Quản lý trình chủ Web Server 8 PHẦN II: Hướng dẫn cài đặt MDaemon 12 II.1. Cài đặt và thiết lập thông số 121 II.2. Thiết lập thông số Domain và POP 16 II.3. Định thời gian xử lý / chuyển thư 16 II.4. Thiết lập thông số cho POP 18 II.5. Tạo tài khoản thư, xóa và chỉnh sửa 19 II.6. Xóa địa chỉ thư, chỉnh sửa thông tin 20 PHẦN III:Các hướng dẫn cơ bản quản trị mạng Windows 2000 21 III.1. Cài đặt Domain Cotroller và cấu hình DNS 21 III.2. Sao lưu và phục hồi dữ liệu 46 III.3. An toàn và phân quyền người sử dụng trong mạng Windows 2000 53 Cục CNTT - Bộ Tài nguyên và Môi trường 1
  2. Giáo trình Quản trị mạng máy tính nâng cao PHẦN I: CÀI ĐẶT VÀ CẤU HÌNH IIS CHO WINDOWS 2000 I.1. Hướng dẫn cài đặt IIS cho Windows 2000, XP 1) Vào Control Panel, Start -> Settings -> Control Panel. Khi vào được Control Panel click vào Add/Remove Programs 2) Khi vào được Add/Remove Program, bạn chọn Add/Remove Windows Components. 3) Đánh dấu ở ô Internet Information Services (IIS). Rồi Click Next. Cục CNTT - Bộ Tài nguyên và Môi trường 2
  3. Giáo trình Quản trị mạng máy tính nâng cao 4) Cho đĩa CD Windows 2000 hay Windows XP (tùy theo hệ điều hành của bạn) vào rồi nhấn OK. 5) Windows sẽ bắt đầu cài đặt IIS components. Cục CNTT - Bộ Tài nguyên và Môi trường 3
  4. Giáo trình Quản trị mạng máy tính nâng cao 6) Cài đặt xong! I.2. Kiểm tra trình chủ IIS Để kiểm tra trình chủ đã khởi động và hoạt động tốt, có thể gõ địa chỉ cục bộ ngay trên trình duyệt như sau: hoặc Kết quả trình duyệt sẽ hiển thị trang Web mặc định (default.asp) của IIS cùng với trang hướng dẫn sử dụng ASP. Cục CNTT - Bộ Tài nguyên và Môi trường 4
  5. Giáo trình Quản trị mạng máy tính nâng cao Trang chủ mặc định của IIS Trang tài liệu hướng dẫn của IIS về lập trình ASP Cục CNTT - Bộ Tài nguyên và Môi trường 5
  6. Giáo trình Quản trị mạng máy tính nâng cao I.3. Trang Web đầu tay. 1) Ví dụ về trang HTML. Dùng notepad để lập ra một tập tin index.htm, rồi lưu xuống thư mục gốc Home directory (C:\Inetpub\wwwrooot) Wellcome to IIS Wellcome to IIS ! Thử lại kết quả trang HTML. Cục CNTT - Bộ Tài nguyên và Môi trường 6
  7. Giáo trình Quản trị mạng máy tính nâng cao 2) Ví dụ về trang ASP. Dùng notepad để lập ra một tập tin Hello.asp, rồi lưu xuống thư mục gốc Home directory (C:\Inetpub\wwwrooot) Wellcome to ASP Wellcome to ASP Hello " Next %> Thử lại kết quả trang ASP. Cục CNTT - Bộ Tài nguyên và Môi trường 7
  8. Giáo trình Quản trị mạng máy tính nâng cao I.4. Quản lý trình chủ Web Server 1) Mở trình quản lý MMC Microsoft cung cấp giao diện đồ họa cho phép quản lý toàn bộ ứng dụng Web gọi là MMC (Microsoft Management Console). Để hiển thị của sổ này có thể thực hiện như sau: Menu Start -> Programs -> Administrative Tools -> Internet Information Services. 2) Xem các thuộc tính của Default Web Site. Cục CNTT - Bộ Tài nguyên và Môi trường 8
  9. Giáo trình Quản trị mạng máy tính nâng cao 2.1) Đây là những thuộc tính khái quát của Web site. Ở đây chung ta có thể gán IP, vào cổng cố định cho web site bằng cách viết vào ô IP và port. Mạc định ban đầu IP sẽ có IP gán cho máy và cổng 80. Ngoài ra ta có thể mặc định thời gian server dành ra cho từng mối kết nối từ client trước khi ngắt kết nối đó. 2.2) Phần hiệu suất có những đặc tính sau, và tuy theo mật độ truy cập web site để thay hiệu xuất của web site và các tài nguyên của máy dành cho web service, như tăng thêm thời gian sử dụng CPU cho web service khi nhiều người truy cập. Cục CNTT - Bộ Tài nguyên và Môi trường 9
  10. Giáo trình Quản trị mạng máy tính nâng cao 2.3) Phầu mặc định thư mục chủ (Home directory) như sau. Trong phần này bạn có thể đổi thư mục chính của web site hay là thay đổi các quyền sử dụng trên thư mục đó. 2.4) Phần document là xác định một danh sách các trang default khi goi url của web site. Cục CNTT - Bộ Tài nguyên và Môi trường 10
  11. Giáo trình Quản trị mạng máy tính nâng cao 3) Tạo thư mục ảo (Virtual Folder) cho ứng dụng. Có thể tạo các thư mục ảo bên dưới ứng dụng Default Web Site. Để tạo thư mục ảo chứa ứng dụng, ta thực hiện các bước sau: 3.1) Nhấn phím phải vào Default Web Site, chọn New / Virtual Directory từ menu tắt. 3.2) MMC sẽ hiển thị trình trợ giúp Wizard đặt tên bí danh (Alias) cho thư mục ảo chẳng hạn AdvWords, sau đó chọn Next để đến bước kế tiếp. 3.3) MMC hiển thị hộp thoại để chọn đường dẫn vật lý trên máy chủ tương ứng với thư mục ảo AdvWords, 3.4) Nhấn Next để đến màn hình đặt cấu hình bảo vệ và đặc quyền cho thư mục ảo, Nhấn Next và Finish để xác nhận. IIS sẽ tạo một thư mục ảo AdvWorks bên dưới Default Web Site. Để truy xuất các trang thuộc thư mục ảo này có thể sử dụng địa chỉ Web URL như sau: Cục CNTT - Bộ Tài nguyên và Môi trường 11
  12. Giáo trình Quản trị mạng máy tính nâng cao PHẦN II: HƯỚNG DẪN CÀI ĐẶT MDAEMON Mail Offline là một hệ thống hoạt động dựa trên mô hình mạng nội bộ (Local Area Network) đã được cài đặt trước. Trong hệ thống mạng này bạn không cần phải có một máy chủ chuyên dùng, mà bạn chỉ cần chỉ định một máy có cấu hình tương đối để làm máy chủ (Mail Server), và dung lượng của đĩa cứng phải đủ chỗ để lưu thư, dung lượng đĩa cứng phải phù hợp với số lượng mail và số nhân viên của công ty bạn. Bạn hãy chọn vào đây để tham khảo thêm phần giới thiệu chung về mạng. II.1. Cài đặt và thiết lập thông số Trước tiên bạn phải có phần mềm, phần mềm này bạn có thể download ở địa chỉ ( sau khi hoàn thành việc download thì chúng ta bắt đầu việc cài đặt. Ðể cài đặt thì bạn chỉ cần double click vào file mà bạn mới vừa download xong (bạn chạy file *.bat để merge các file). Khi bạn chạy file setup thì bạn sẽ thấy được giao diện như (hình 01) sau đây: Hình 1 và bước tiếp theo bạn chỉ cần click vào nút Next thì giao diện tiếp theo sẽ là (hình 02) Cục CNTT - Bộ Tài nguyên và Môi trường 12
  13. Giáo trình Quản trị mạng máy tính nâng cao Hình 2 Nếu bạn muốn tiếp tục cài đặt chương trình thì bạn phải chấp nhận điều kiện trên và bạn tiếp tục click vào nút " I Agree To The Above " để tiếp tục quá trình cài đặt (hình 03) Hình 3 Bước tiếp theo bạn chọn ổ đĩa và thư mục mà bạn muốn chương trình sẽ cài đặt vào đó, mặc định chương trình Mail Deamon sẽ cài vào thư mục MDeamon của ổ đĩa C, ở bước này nếu bạn không muốn thay đổi đường dẫn mặc định thì bạn có thể click vào nút Next để tiếp tục quá trình cài đặt, còn bạn muốn thay đổi thì bạn có thể click vào nút Browse để bạn chỉ định lại đường dẫn của chương trình. Chúng ta qua bước tiếp theo như (hình 04) minh họa sau đây: Hình 4 ở bước này chương trình đòi hỏi bạn phải nhập tên đã đăng ký, hay bạn là người dùng thử, bạn có thể nhập tùy ý ở bước này. Sau đó bạn tiếp tục với việc click vào nút Next (hình 04) Cục CNTT - Bộ Tài nguyên và Môi trường 13
  14. Giáo trình Quản trị mạng máy tính nâng cao Hình 5 Bước tiếp theo bạn cứ để cấu hình mặc định theo chương trình và tiếp tục click Next (hình 05) Hình 6 Bây giờ chương trình sẽ tự động cài đặt, bạn vui lòng chờ trong giây lát (hình 06) Hình 7 Sau khi cài đặt được một lúc thì chương trình sẽ chuyển qua giao diện giống như trên, ở Cục CNTT - Bộ Tài nguyên và Môi trường 14
  15. Giáo trình Quản trị mạng máy tính nâng cao chương trình thì mục Primary DNS IP Address và Backup DNS IP Address đang để trống và bạn có thể điền vào địa chỉ IP giống như (hình 07) ở trên. Sau khi đã điền đầy đủ thì bạn có thể click vào Next để tiếp tục với giao diện tiếp theo Hình 8 Bây giờ bạn tiếp tục chọn Finish là bạn đã hoàn tất quá trình cài đặt. : Sau đó bạn phải Restart lại máy để đảm bảo rằng tất cả các thông số của chương trình được hoàn toàn lưu vào máy. Sau khi máy tính của bạn đã khởi động lại thì bạn sẽ thấy một biểu tượng hình lá thư màu trắng nằm ở góc dưới bên phải của màn hình. Ðể tiến hành việc cài đặt các thông số tiếp theo cho chương trình thì bạn di chuyển con trỏ về biểu tượng này và bạn click chuột phải thì bạn sẽ thấy một dòng chữ màu đen là Open Mdeamon bạn tiếp tục chọn vào đó. Bước đầu tiên bạn phải nhập license key để đăng ký, bạn vào Help rồi bạn chọn Register MDeamon, bạn có thể nhập license key theo (hình 9) minh họa sau đây: Hình 9 Sau đó bạn phải Restart máy một lần nữa để hoàn tất việc đăng ký. Cục CNTT - Bộ Tài nguyên và Môi trường 15
  16. Giáo trình Quản trị mạng máy tính nâng cao II.2. Thiết lập thông số Domain và POP Bây giờ bạn vào mục Setup ở thanh Menu, chọn Primary Domain bạn chọn tab Domain /ISP (hình 10) Hình 10 Mục này thì bạn sẽ thấy Domain name, ở đây bạn sẽ điền vào tên miền mà bạn đã đăng ký với ISP. Phần HELO domain bạn cũng sẽ nhập tên miền mà bạn đã đăng ký trước với ISP. Phần Domain IP chương trình sẽ tự động khám phá ra IP của bạn. Phần ISP/gateway host`s IP or domain name, bạn điền vào 203.162.5.38, bạn chọn phần Send only undeliverable outbound mail to this host. Sau đó bạn click OK. II.3. Ðịnh thời gian xử lý / chuyển thư Tiếp theo cũng trong phần setup, bạn chọn phần Send/receive scheduler để định trước lịch và thời gian để xử lý mail vào và ra (hình 11) Cục CNTT - Bộ Tài nguyên và Môi trường 16
  17. Giáo trình Quản trị mạng máy tính nâng cao Hình 11 Local/RAW/mail processing interval khi bạn kéo thanh trượt hết về phía phải thì thời gian sẽ là 60 phút, khi đó chương trình sẽ đếm ngược đến 0 khi đó chương trình sẽ thực hiện việc xử lý mail. Bạn có thể kéo thanh trượt để định thời gian theo ý của bạn (hình 12) Hình 12 Cũng trong phần Setup bạn tìm mục RAS Dialup Settings để báo cho chương trình biết là sẽ dùng kết nối nào trong quá trình sử lý mail. Bạn đánh dấu vào mục Enable RAS dialup/dialdown engine (hình 13) Cục CNTT - Bộ Tài nguyên và Môi trường 17
  18. Giáo trình Quản trị mạng máy tính nâng cao Hình 13 Bạn chọn tiếp vào tab ISP Logon Settings, trong phần này thì bạn đánh dấu vào mục chọn Use any currently active dialup session, hoặc là bạn sẽ chỉ định tên một kết nối cố định bằng cách chọn mũi tên chỉ xuống trong phần Use this RAS dialup profile để bạn chọn tên kết nối mà bạn đã tạo trước đó. Logon name và Logon password bạn gõ vào username và password mà bạn đã đăng ký (hình 14) Hình 14 II.4. Thiết lập thông số cho POP Tiếp theo bạn chọn phần DomainPOP mail collection trong mục Setup, trong mục này chúng ta sẽ thiết lập thông số cho chương trình biết sẽ phải lấy mail ở đâu (hình 15) Cục CNTT - Bộ Tài nguyên và Môi trường 18
  19. Giáo trình Quản trị mạng máy tính nâng cao Hình 15 II.5. Tạo tài khoản thư, xóa, chỉnh sửa Trong phần Accounts bạn chọn phần Account Manager thì bạn sẽ thấy như (hình 16) duới đây: Hình 16 Bây giờ để tạo account mới bạn chọn vào New. Cục CNTT - Bộ Tài nguyên và Môi trường 19
  20. Giáo trình Quản trị mạng máy tính nâng cao Hình 17 Trong (hình 17) phần Real name bạn co thể nhập tên đầy đủ của người sử dụng, POP/IMAP bạn sẽ tạo địa chỉ email, ở phần này bạn điền vào username, username@mycompany.com sẽ là địa chỉ thực trong công ty bạn. Bạn phải chọn vào mục Allow this account to be để người sử dụng có thể dùng chương trình mail client để gửi nhận thư. Thí dụ: Outlook Express, Internet Mail, phần Account password thì bạn cũng có thể đặt mật khẩu hoặc bỏ trống. II.6. Xóa địa chỉ thư, chỉnh sửa thông tin Bạn cũng vào Accounts và bạn chọn Edit account hay Delete account để chỉnh sửa, chỉ đơn giản là chọn tên user để xóa và double click để trở lại phần Account Edit để chỉnh sửa thông tin về địa chỉ thư hay mật khẩu. Cục CNTT - Bộ Tài nguyên và Môi trường 20
  21. Giáo trình Quản trị mạng máy tính nâng cao PHẦN III: CÁC HƯỚNG DẪN CƠ BẢN QUẢN TRỊ MẠNG WINDOWS 2000 III.1. Cài đặt Domain Cotroller và cấu hình DNS Từ Start > Chọn Run > Gõ dcpromo Cục CNTT - Bộ Tài nguyên và Môi trường 21
  22. Giáo trình Quản trị mạng máy tính nâng cao Cục CNTT - Bộ Tài nguyên và Môi trường 22
  23. Giáo trình Quản trị mạng máy tính nâng cao Cục CNTT - Bộ Tài nguyên và Môi trường 23
  24. Giáo trình Quản trị mạng máy tính nâng cao Cục CNTT - Bộ Tài nguyên và Môi trường 24
  25. Giáo trình Quản trị mạng máy tính nâng cao Cục CNTT - Bộ Tài nguyên và Môi trường 25
  26. Giáo trình Quản trị mạng máy tính nâng cao Cục CNTT - Bộ Tài nguyên và Môi trường 26
  27. Giáo trình Quản trị mạng máy tính nâng cao Cục CNTT - Bộ Tài nguyên và Môi trường 27
  28. Giáo trình Quản trị mạng máy tính nâng cao Phần dưới đây hướng dẫn cách cấu hình Reverse Lookup DNS Reverse lookup zones không cần thiết lắm, tuy nhiên nó cần thiết khi muốn cho phép các clients giải quyết FQDNs (Full Qualify Domain Name) từ địa chỉ IP. Nó cũng tốt khi cài mail server. Cục CNTT - Bộ Tài nguyên và Môi trường 28
  29. Giáo trình Quản trị mạng máy tính nâng cao Cục CNTT - Bộ Tài nguyên và Môi trường 29
  30. Giáo trình Quản trị mạng máy tính nâng cao Cục CNTT - Bộ Tài nguyên và Môi trường 30
  31. Giáo trình Quản trị mạng máy tính nâng cao Cục CNTT - Bộ Tài nguyên và Môi trường 31
  32. Giáo trình Quản trị mạng máy tính nâng cao Cục CNTT - Bộ Tài nguyên và Môi trường 32
  33. Giáo trình Quản trị mạng máy tính nâng cao Phần dưới đây sẽ hướng dẫn cách cấu hình Pointer Record. Nguyên lý làm việc của nó là map địa chỉ IP với lại host name, ngược lại với phần forward lookup zones là map host name với lại IP. Thí dụ: Forward Lookup Zones: ns1.vanesoft.com nó sẽ chuyển đổi thành IP là Cục CNTT - Bộ Tài nguyên và Môi trường 33
  34. Giáo trình Quản trị mạng máy tính nâng cao 192.168.2.10 Reverse Lookup Zones: 192.168.2.10 nó sẽ chuyển thành ns1.vanesoft.com Lưu ý: Chỉ làm việc trong mạng LAN thôi, nếu phải tạo PTR ngoài LAN cần phải làm việc với ISP. Cục CNTT - Bộ Tài nguyên và Môi trường 34
  35. Giáo trình Quản trị mạng máy tính nâng cao Cục CNTT - Bộ Tài nguyên và Môi trường 35
  36. Giáo trình Quản trị mạng máy tính nâng cao Cục CNTT - Bộ Tài nguyên và Môi trường 36
  37. Giáo trình Quản trị mạng máy tính nâng cao Cục CNTT - Bộ Tài nguyên và Môi trường 37
  38. Giáo trình Quản trị mạng máy tính nâng cao Cục CNTT - Bộ Tài nguyên và Môi trường 38
  39. Giáo trình Quản trị mạng máy tính nâng cao Phần dưới đây sẽ hướng dẫn cách tạo A host record trên DNS để chỉ tới Web Server hay các server khác trong mạng LAN. A host record sẽ được tạo trong forward lookup zones, khi tạo A host record thì có nghĩa rằng đã map host name với lại IP được cài đặt trên server đó. Thí dụ: Có một web server nằm ở địa chỉ 192.168.2.10 thì A host record sẽ là www Host 192.168.2.10 Ý nghĩa có nó là nói với clients rằng nếu muốn tìm web server thì tới địa chỉ 192.168.2.10 Cục CNTT - Bộ Tài nguyên và Môi trường 39
  40. Giáo trình Quản trị mạng máy tính nâng cao Cục CNTT - Bộ Tài nguyên và Môi trường 40
  41. Giáo trình Quản trị mạng máy tính nâng cao Cục CNTT - Bộ Tài nguyên và Môi trường 41
  42. Giáo trình Quản trị mạng máy tính nâng cao Cục CNTT - Bộ Tài nguyên và Môi trường 42
  43. Giáo trình Quản trị mạng máy tính nâng cao Người quản trị còn một bước nữa là hoàn tất phần cấu hình và cài đặt DNS. Để DNS hoạt động tốt nó cần phải liên tục cập nhật những thay đổi trên DNS server với những DNS server khác trong LAN hoặc các DNS khác trên internet. Phần hướng dẫn sau đây cho phép DNS server của luôn cập nhật những thông tin của nó với các DNS khác. Cục CNTT - Bộ Tài nguyên và Môi trường 43
  44. Giáo trình Quản trị mạng máy tính nâng cao Cục CNTT - Bộ Tài nguyên và Môi trường 44
  45. Giáo trình Quản trị mạng máy tính nâng cao Cục CNTT - Bộ Tài nguyên và Môi trường 45
  46. Giáo trình Quản trị mạng máy tính nâng cao III.2. Sao lưu và phục hồi dữ liệu Thực tế cho thấy có rất nhiều trường hợp ổ cứng máy tính đột nhiên ngừng hoạt động, hay nói đơn giản là "đã chết", mà chẳng có nguyên nhân rõ rệt nào. Và khi điều này xảy ra, kể cả ỗ cứng vẫn trong thời gian bảo hành, vẫn thiệt thòi là vì không có một nhà sản xuất nào lại bảo hành cho dữ liệu được lưu trữ trong ổ đĩa. Giải pháp duy nhất là nhờ tới dịch vụ phục hồi dữ liệu, nhưng số tiền phải trả cũng khá đắt đỏ. Chính vì vậy, khi sự an toàn của dữ liệu được đặt lên hàng đầu thì việc sao lưu (backup) chúng trở nên vô cùng quan trọng. III.2.1. Sao lưu dữ liệu * Phương pháp sao lưu 1: Chụp hình ổ đĩa Phương pháp chụp hình ổ đĩa để sao lưu dữ liệu thực chất là tạo ra một bản copy phân ổ tương tự (một phần hoặc tất cả không gian ổ cứng để hệ điều hành có thể truy cập dưới dạng ổ logic, như ổ C: chẳng hạn) và lưu trữ chúng ở vị trí nào đó. Thường những file hình khi tạo ra bằng phương pháp này đều ở dạng nén, do vậy nó chiếm ít dung lượng hơn so với các file gốc. Trong trường hợp xảy ra sự cố, các file này có thể hồi phục thành một ổ cứng mới; và trong hầu hết trường hợp, chúng sẽ hồi phục lại nguyên trạng ổ đĩa cũ tại thời điểm file hình được tạo ra. "Chụp hình" thường là tính năng của một số sản phẩm phần mềm như Norton Ghost của Symantec. Chúng được dùng để cài đặt và cấu hình một lượng lớn máy tính trong mạng LAN với các tính năng tương tự nhau. Một quản trị viên sẽ cài đặt hệ thống và những chương trình cần thiết trên một máy tính, đảm bảo sao cho mọi thứ hoạt động trong tình trạng bình thường, và sau đó sẽ tạo ra một file hình của hệ thống đó để lưu trữ trên máy chủ. Khi sử dụng đĩa khởi động với phần mềm chụp ổ đĩa, các máy tính trong mạng sẽ truy cập tới file hình hệ thống của máy chủ và "bắt chước" cấu hình tương tự. Bằng cách làm này, quản trị viên sẽ tiết kiệm được rất nhiều thời gian thay vì phải cài đặt từng máy riêng rẽ trong hệ thống. Chụp ổ đĩa là phương pháp tốt nhất để bảo vệ dữ liệu trước nguy cơ hệ thống "sụp đổ" không thể cứu vãn. Ảnh được tạo ra sẽ hoàn toàn tương tự với bản gốc. Tuy nhiên, mỗi phương pháp đều có hạn chế chung, chẳng hạn như phương pháp này còn tồn tại 2 hạn chế: + Thứ nhất, các file hình có dung lượng khá lớn và mất thời gian tạo ra. Nếu sử dụng ổ ghi CD-R để tạo một file hình hoàn chỉnh, có thể sẽ phải mất vài chiếc đĩa CD. + Thứ hai, quan trọng hơn cả là các file hình chỉ chụp được trạng thái máy tính khi nó được tạo ra; còn nếu sau khi đã cài đặt thêm phần mềm hoặc tiến hành một vài thay đổi, thì file hình đó sẽ không thể lưu được các thay đổi này. Cục CNTT - Bộ Tài nguyên và Môi trường 46
  47. Giáo trình Quản trị mạng máy tính nâng cao Nâng cấp file hình hàng ngày không phải là phương pháp mang tính thực tiễn. Để giải quyết vấn đề này, giải pháp tốt nhất là kết hợp giữa chụp hình ổ đĩa với các phương pháp sao lưu dữ liệu truyền thống. * Phương pháp sao lưu 2: Lưu file và đường dẫn Về cơ bản, lưu trữ có nghĩa là sao chép các file và thư mục ra một số phương tiện dự phòng như: ổ cứng, đĩa mềm, đĩa CD . Phần mềm sao lưu sẽ tạo ra một file nén để lưu trữ tất cả các file và đường dẫn được backup. Phương pháp này có thể tiết kiệm được không gian ổ đĩa và ngăn không cho truy cập vào các file sao lưu trừ khi cần thiết. Thuận tiện lớn nhất của phương pháp này là dễ tiến hành mà không cản trở những thao tác đang tiến hành trên máy. Sao lưu dữ liệu quan trọng từ các đường dẫn cụ thể rất dễ tiến hành, và hầu hết các phần mềm sao lưu (gồm cả những công cụ được tích hợp sẵn trong WinXP) đều cho phép có thể lên kế hoạch triển khai công việc backup. Thậm chí nếu muốn, có thể "giao" cho máy tính đảm nhận công việc này. Hầu hết các phần mềm backup sẽ theo dõi các đường dẫn và file cần lưu, và chỉ lưu các thay đổi kể từ lần sao lưu cuối cùng. * Sao lưu trong Windows XP Windows XP được trang bị những tính năng sao lưu và phục hồi dữ liệu khá hiệu quả. Người dùng XP Professional sẽ tìm thấy chương trình này tại thư mục: Start/programs/accessories/system tools/backup; trong khi đó, người dùng XP Home phải cài đặt chúng từ đĩa CD. Tính năng này sẽ cho phép có thể sao lưu các file lựa chọn trước, hoặc chỉ định rõ từng file. Cũng có thể tạo một backup toàn hệ thống, gồm cả "Đĩa mềm khôi phục hệ thống tự động" (ASR). Cách tốt nhất là kết hợp giữa hai phương pháp. Đầu tiên, cần tạo một backup toàn hệ thống (đặc biệt là chụp ảnh ổ đĩa). Ảnh này sẽ cho phép có thể phục hồi hệ thống về trạng thái ban đầu trước khi máy tính bị hỏng hóc. - Tạo file backup ảnh hệ thống: Để backup toàn bộ hệ thống, cần chạy trình hướng dẫn backup, sau đó chọn: "backup files and settings" (sao lưu file và cài đặt), và cuối cùng là: "all information on this computer". Cục CNTT - Bộ Tài nguyên và Môi trường 47
  48. Giáo trình Quản trị mạng máy tính nâng cao Chú ý: Phương pháp backup này sẽ tạo ra một ảnh tất cả các ổ đĩa trên máy tính. Nếu chỉ muốn backup ổ hệ thống (Csmile_image, thì thay vì sử dụng trình hướng dẫn, nhấn vào "advanced mode" (chức năng nâng cao) khi bắt đầu chương trình backup, và sau đó chọn "automated system recovery wizard" (trình phục hồi hệ thống tự động). Phương pháp này sẽ tiến hành các bước tương tự với phương pháp trên, nhưng nó sẽ chỉ backup ổ đĩa chính. Có thể lưu file ảnh backup hệ thống ngay trên ổ cứng hoặc các phương tiện khác (như đã nói ở trên). Chính vì file backup khác lớn, nên cần phải có kế hoạch sao lưu hợp lý. Ngay sau khi chỉ định vị trí đặt file hình hệ thống, máy tính sẽ tiến hành thực hiện công việc của mình. Khi quá trình này kết thúc, sẽ thấy một thông báo hiện ra, yêu cầu sao lưu các thông tin hồi phục hệ thống trên một đĩa mềm 1.44MB (đã format). Chiếc đĩa này rất quan trọng khi cần phục hồi lại hệ thống. Sau khi thực hiện xong các bước này, sẽ tiến hành backup từng phần dữ liêu cá nhân. - Backup dữ liệu cá nhân: Do chiếm một dung lượng khá lớn, nên không phải lúc nào phương pháp tạo file hình hệ thống cũng mang tính thực tiễn. Có một cách làm hay là tạo các tệp tin nén nhỏ, chứa file và tài liệu cần backup. Cục CNTT - Bộ Tài nguyên và Môi trường 48
  49. Giáo trình Quản trị mạng máy tính nâng cao Khi hệ thống gặp vấn đề, việc đầu tiên cần làm là hồi phục ảnh toàn bộ hệ thống (đã được tạo ra trước đó), và tiếp đến là phục hồi các file lưu gần nhất. Cách làm này có thể tránh mất mát dữ liệu ở mức tối đa. OK, đã đến lúc sao lưu các file dữ liệu quan trọng, chẳng hạn như "My documents, các shortcut và cài đặt màn hình Để thực hiện thao tác căn bản này, có thể dùng tính năng backup của Windows: Khởi động trình backup và chọn lựa phần "backup files and settings" và tiếp đến là "my documents and settings". Chọn vị trí cần lưu file và nhớ rằng trình backup Windows không hỗ trợ ghi trực tiếp vào đĩa CD, do vậy, nếu muốn tiến hành theo cách này, có thể copy file lưu vào một vị trí trên ổ cứng và sau đó burn (ghi) chúng vào đĩa CD. Khi trình backup hoàn tất, cần tái khởi động lại quá trình. Lần này cần sử dụng lựa chọn: "let me choose what to back up". Hãy đánh dấu vào các file hoặc folder cần backup. Nếu không muốn mất thời giờ với các thao tác backup, hoàn toàn có thể giao "nhiệm vụ" này cho máy tính thực hiện. Chọn "Advanced mode" và chọn tab "schedule jobs". Kích đúp vào ngày muốn trình backup tự động khởi tạo, và chọn "back up selected files, drives or network data", tiếp đến là đánh dấu vào các file hoặc đường dẫn muốn lưu. Cục CNTT - Bộ Tài nguyên và Môi trường 49
  50. Giáo trình Quản trị mạng máy tính nâng cao * Thẩm định quá trình backup Chọn vị trí file backup lưu và chọn loại backup. Nói chung, trừ khi cần backup một lượng lớn dữ liệu, còn nếu không chỉ sử dụng các cài đặt bình thường ("normal") để backup tất cả các file. Những cài đặt khác sẽ chỉ backup các file đã thay đổi kể từ lần backup cuối cùng. Nếu lựa chọn chức năng "thẩm định" quá trình backup sau khi nó được hoàn tất, có thể sẽ được yêu cầu bổ sung thêm dữ liệu backup vào file lưu hoặc viết đè lên các file cũ với phần backup mới. Trong hầu hết trường hợp, viết đè bao giờ cũng là lựa chọn tốt hơn cả, trừ phi muốn phục hồi các bản copy dữ liệu cũ hơn. Còn bổ sung thêm dữ liệu sẽ chỉ tăng dung lượng file cho mỗi lần thao tác, và hậu quả là dung lượng ổ đĩa sẽ nhanh chóng bị "ngốn" hết. Nếu cần đặt tên và khởi tạo kế hoạch cho trình backup. Hãy chắc chắn rằng nút "later" được chọn lựa, và tiếp đến là nhấn "set schedule". Từ đây, có thể lựa chọn khoảng thời gian hoặc thời gian muốn sử dụng cho trình backup (hàng ngày, hàng tuần, hàng tháng ) và một số cài đặt khác đối với trình backup tự động. Hãy đặt thời gian, nhấn vào nút "OK" và tiếp đến là nút "Next". Hãy nhập mật khẩu cho tài khoản vì hệ thống sẽ cần chúng để chạy trình backup tự động cho mỗi khoản riêng. Cục CNTT - Bộ Tài nguyên và Môi trường 50
  51. Giáo trình Quản trị mạng máy tính nâng cao III.2.2. Phục hồi dữ liệu Khi đã làm quen với quá trình backup, công việc bây giờ là phục hồi chúng. Đầu tiên, đối với trường hợp ổ cứng của máy bị "chết", sẽ cần phục hồi ảnh hệ thống bằng cách sử dụng đĩa CD Windows XP và đĩa mềm ASR đã được tạo ra trước đó. Khởi động hệ thống bằng đĩa CD Windows XP. Ngay sau khi màn hình máy tính hiện màu xanh, một dòng thông báo sẽ hiện thị ở cuối màn hình yêu cầu ấn F2 để khởi động chế độ hồi phục hệ thống tự động. Nhấn F2 và đưa đĩa mềm vào ổ. Nếu bỏ qua bước này, cần thực hiện lại, thường thì cũng phải 2-3 lần mới thành công. Hãy chắc rằng ổ đĩa mà muốn là ổ chính của hệ thống cần phải được chọn. Vì những lý do hiển nhiên, nên ổ đĩa này không thể là ổ đĩa lưu ảnh hệ thống. Quá trình cài đặt sẽ format tất cả ổ đĩa và tự động quá trình cài đặt. Khi màn hình phục hồi hệ thống xuất hiện, chọn chính xác các file backup và Windows sẽ tự động phục hồi hệ thống về thời điểm trước đây. Quá trình này có thể sẽ mất khoảng vài phút. Giả dụ có dữ liệu cá nhân được lưu trữ tại các vị trí riêng biệt, cần khởi tạo trình backup. Chọn "restore files and settings", một danh sách các file lưu được tạo ra trước đây sẽ hiển thị bên cửa sổ phía phải. Kích đúp vào file cần phục hồi và hãy đánh dấu vào file đó bên cửa sổ tay trái. Kích vào nút Next. Hệ thống sẽ thông báo cho rằng nó sẽ phục hồi file. Nếu muốn khôi phục chúng vào các vị trí khác nhau, hoặc thẩm định các cài đặt khác, chẳng hạn như viết đè, hãy chọn tab "advanced"; còn nếu không, chỉ cần kích vào "Next" để phục hồi các file và đường dẫn. Cục CNTT - Bộ Tài nguyên và Môi trường 51
  52. Giáo trình Quản trị mạng máy tính nâng cao * Một số tiện ích backup miễn phí Nếu không muốn sử dụng những tính năng backup có sẵn trong Windows, có thể dùng một số tiện ích backup miễn phí khác. Tuy nhiên, hầu hết các tiện ích backup này chỉ có chức năng lưu, chứ không có chức năng chụp ảnh hệ thống. 1. ASCOMPBackUpMaker BackUp Maker là một tiện ích backup miễn phí tuyệt vời. Nó cung cấp khả năng nhanh chóng tạo ra các file backup hoặc tạo lập kế hoạch backup tự động. Tuy nhiên, tính năng vượt trội hơn cả của tiện ích này chính là cho phép ghi file backup trực tiếp vào đĩa CD mà không cần phải sử dụng các trình burn đĩa của bên thứ ba. 2. BASK Một công cụ tốt để backup, hồi phục dữ liệu. Tuy giao diện có hơi khó nhìn, nhưng bù lại, BASK lại có những thanh công cụ dễ sử dụng. Nhược điểm của trình phần mềm này là không thể ghi backup trực tiếp ra đĩa CD. 3. Aethia DBackup Dễ sử dụng với các chức năng khởi tạo và phục hồi file nén backup, đặc biệt là khi đã chán ngấy với quá nhiều chức năng trong trình backup của Windows. Tuy nhiên, Aethia DBackup không thể tạo lập tác vụ backup định sẵn trong một khoảng thời gian. Cục CNTT - Bộ Tài nguyên và Môi trường 52
  53. Giáo trình Quản trị mạng máy tính nâng cao III.3. An toàn và phân quyền người sử dụng trong mạng Windows 2000 Windows 2000 là hệ điều hành mạng đa nhiệm 32 bit có nhiều tính năng ưu việt so với nhiều hệ điều hành khác. Kiến trúc Windows 2000 phân thành những đơn thể mang những nhiệm vụ xác định, tạo nên tính uyển chuyển và khả năng tương thích với nhiều hệ điều hành khác nhau. Bên cạnh đó, Windows 2000 còn bao gồm nhiều tính năng về an toàn và những dịch vụ mạng đối đẳng (peer - to - peer, còn gọi là mạng ngang hàng), được xem như những thành phần cơ sở của hệ điều hành. Một số mục tiêu trong việc thiết kế hệ điều hành mạng Windows 2000 đã đáp ứng được những yêu cầu của một hệ điều hành hiện đại, bao gồm: 1. Khả năng tương thích (Compatibility): Windows 2000 có khả năng tạo ra các môi trường cho các trình ứng dụng được viết cho các hệ điều hành khác (như MS-DOS, OS/2, Windows 3.x, POSIX), hỗ trợ một số hệ thống file thông dụng (như FAT, NTFS, HPFS) và khả năng nối kết với các môi trường mạng khác hiện có. 2. Tính thuận tiện (Portability): Windows 2000 có thể chạy được với các bộ vi xử lý hỗ trợ CISC (Complex Instruction Set Computer) như : Intel® 80386-80486, và RISC (Reduced Instruction Set Computer) như : MIPS® R4000, DEC Alpha. 3. Tính đa xử lý (Scalability): Windows 2000 có thể chạy trên máy tính có từ 1 đến 16 bộ vi xử lý, mở rộng lên những hệ máy lớn đáp ứng được những yêu cầu rất cao của môi trường kinh doanh. 4. Tính an toàn (Security): Windows 2000 cung cấp những tính năng an toàn rất đáng tin cậy bao gồm việc kiểm soát việc truy cập đến tài nguyên, bảo vệ bộ nhớ, kiểm soát toàn bộ quá trình thâm nhập của người dùng, tính an toàn và khả năng khắc phục sau sự cố 5. Khả năng xử lý chia sẻ và phân phối (Distributed Processing): Windows 2000 có khả năng nối kết với nhiều môi trường mạng khác mà có hỗ trợ nhiều loại giao thức truyền thông khác nhau, hỗ trợ những tính năng Client/Server cao cấp như NamePipe (Liên lạc giữa các máy Client thông qua Server bằng việc thiết lập luồng thông tin theo kiểu đường ống) và RPCs (Remote Procedure Call: hỗ trợ việc tạo nên những ứng dụng chia xẻ trên mạng, có khả năng truy cập đến các tài nguyên chung ) 6. Độ tin cậy (Reliability & Robustness): Windows 2000 cung cấp cơ chế đảm bảo các ứng dụng thi hành một cách an toàn, không vi phạm đến hệ thống và các ứng dụng khác. Windows 2000 còn cung cấp một hệ thống file có thể khôi phục (Recoverable) HTFS tiên tiến, những tính năng an toàn được cài đặt sẵn và kĩ thuật quản lý bộ nhớ cao cấp. Cục CNTT - Bộ Tài nguyên và Môi trường 53
  54. Giáo trình Quản trị mạng máy tính nâng cao 7. Tính đại chúng (Internationalization): Windows 2000 đề ra mục tiêu thiết kế để có thể ứng dụng ở nhiều quốc gia, nhiều ngôn ngữ. 8. Dễ nâng cấp, mở rộng (Extensibility): Kiến trúc Windows 2000 tiếp cận theo lối phân chia thành các đơn thể có nhiệm vụ xác định, cung cấp khả năng nâng cấp, mở rộng trong tương lai. III.3.1. CƠ CHẾ AN TOÀN TRÊN WINDOWS 2000 Như đã đề cập ở trên, kiến trúc hệ điều hành Windows 2000 được phân thành những đơn thể (còn gọi là thành phần), các đơn thể này được phân thành hai nhóm hoạt động ở hai chế độ: User mode và Kernel mode. Ở chế độ Kernel mode, các đơn thể có toàn quyền truy cập đến phần cứng ở dưới bao gồm khả năng sử dụng không hạn chế các chỉ thị CPU và các tài nguyên hệ thống ; các đơn thể của Windows 2000 thi hành ở chế độ này bao gồm Executive Services, Kernel, Hardware Abstraction Layer (HAL). Những hệ thống con (Subsystem) chịu trách nhiệm làm các môi trường ảo hỗ trợ cho các ứng dụng DOS/Win16, OS/2, POSIX hoạt động ở chế độ User mode, ở chế độ này các chương trình không trực tiếp truy cập đến phần cứng mà phải thông qua các đơn thể ở Kernel mode. Việc đặt các hệ thống con ở chế độ User mode giúp cho các nhà thiết kế dễ dàng hơn trong việc thay đổi, bổ sung các thành phần mà không làm ảnh hưởng đến thành phần khác ở Kernel mode. Trong môi trường Windows 2000, các ứng dụng chia sẻ với nhau các tài nguyên hệ thống bao gồm bộ nhớ, những thiết bị nhập xuất, file, bộ xử lí dưới sự giám sát chặt chẽ của hệ điều hành thông qua một cơ chế an toàn rất đáng tin cậy, đảm bảo các ứng dụng không thể truy cập đến những tài nguyên không được phép. Về mặt nội bộ, Windows 2000 xem tất cả các tài nguyên hệ thống, bao gồm cả tập tin (file) là những đối tượng. Việc tạo, đặt tên và hủy đối tượng thông qua một thành phần thực thi thuộc Kernel mode gọi là Object Manager - trình quản lý đối tượng. Ngoài ra Object Manager còn có nhiệm vụ bảo vệ đối tượng khỏi xự xâm phạm của các đối tượng khác, giám sát ai đang sử dụng đối tượng đó và đối tượng đó đang dùng những tài nguyên gì. Như vậy, khi một đối tượng được tạo ra nó được gán tên và kèm theo là những thông tin về an toàn áp đặt trên đối tượng đó, các thông tin này được lưu trữ trong những cấu trúc xác định và được gắn kèm với đối tượng đó. Một cách tổng quát, tất cả các đối tượng được bảo vệ (các tài nguyên hệ thống, người dùng ) trên Windows 2000 dùng chung những phương thức thiết lập và xác nhận việc truy cập. Điều đó đảm bảo rằng khi có một người cố truy cập đến một file trên đĩa hay đến một tiến trình trong bộ nhớ thì một bộ phận của hệ thống sẽ thực hiện việc kiểm tra tính hợp lệ và phân định kiểu đối tượng sẽ được truy cập đến, việc kiểm tra này dựa trên những thông tin về an toàn của đối tượng đó và của bản thân người truy cập. Một đặc điểm nổi bật của Windows 2000 mà không thể không nhắc đến trong cơ chế an toàn đó là hệ thống file NTFS. NTFS (New Technology File System) là một hệ thống file tiên tiến, mang nhiều đặc tính nổi bật so với nhiều hệ thống file khác Cục CNTT - Bộ Tài nguyên và Môi trường 54
  55. Giáo trình Quản trị mạng máy tính nâng cao như: tốc độ các thao tác trên file nhanh, độ tin cậy và an toàn cao. Ngoài ra NTFS còn cung cấp cơ chế điều khiển việc truy cập dữ liệu, phân định quyền truy cập đặc biệt là khả năng Recoverable tức là khả năng khôi phục dữ liệu nếu có sự cố bất ngờ xảy ra. Những đặc điểm này giúp tăng độ tin cậy của hệ thống, rất thích hợp với những môi trường cộng tác nhiều người dùng. Cơ chế an toàn Windows 2000 bao gồm một số thành phần chính sau: 1. Tiến trình đăng nhập (Logon Proccess): hoạt động ở chế độ User mode, chịu trách nhiệm nhận yêu cầu đăng nhập từ người dùng, bao gồm việc thể hiện hộp thoại thông báo đăng nhập có tên người dùng và mật khẩu của người đó. 2. Local Security Authority (LSA): đảm bảo người dùng có quyền đăng nhập vào hệ thống hay không. LSA là thành phần trung tâm của Hệ thống an toàn con của Windows 2000 (Security Subsystem), nó tạo nên Thẻ truy xuất bảo mật (Security Access Token) (giống như một giấy chứng nhận xuất nhập cảnh - sẽ được trình bày ở phần sau), điều khiển những hành vi an toàn cục bộ, cung cấp những dịch vụ xác nhận tính hợp lệ của người dùng tương tác. LSA còn xác nhận những thông báo kiểm tra do Bộ phận giám sát an toàn (Security Reference Monitor) tạo ra 3. Bộ phận giám sát an toàn (The Security Reference Monitor - SRM) là bộ phận chịu trách nhiệm giám sát các hành vi truy cập thông qua cơ chế an toàn nội bộ. Nói một cách khác, mọi yêu cầu tạo mới hay truy cập đến một đối tượng đều phải thông qua SRM. Nó cung cấp những dịch vụ phục vụ cho việc thiết lập truy cập đến các đối tượng, phân quyền và phát sinh những thông báo cần thiết. 4. Bộ phận quản lý tài khoản người dùng (Security Account Manager - SAM): lưu trữ cơ sở dữ liệu chứa các thông tin về tài khoản của tất cả người dùng và nhóm người dùng. SAM còn cung cấp những dịch vụ cho LSA sử dụng trong việc xác lập tính hợp lệ của người dùng. Tất cả những thành phần này hoạt động phối hợp với nhau, hình thành Hệ thống an toàn con (Security Subsystem). Hệ thống an toàn con này có trách nhiệm thực hiện các thao tác an toàn trên toàn bộ hệ điều hành Windows 2000. Windows 2000 Security Components Như vậy, cơ chế an toàn trên một hệ thống Windows 2000 áp dụng chủ yếu trong việc quản lý người dùng và quản lý đối tượng (các đối tượng ở đây có thể được xem như các tài nguyên hệ thống). Cụ thể gồm 2 phần chính: Kiểm soát đối tượng truy cập và Kiểm soát việc truy cập dữ liệu. Kiểm soát đối tượng truy cập là quản lý người dùng truy cập vào hệ thống thông qua cơ chế kiểm soát quá trình đăng nhập như: kiểm tra mật khẩu, định danh người dùng, cơ chế xác lập mật khẩu, thời gian tồn tại của mật khẩu, cơ chế phát hiện số lần nhập mật khẩu sai (Audit), các hạn chế về thời gian truy cập vào hệ thống Sau khi người dùng đã vào hệ thống một cách hợp lệ, phần còn lại của cơ chế an toàn là Kiểm soát việc truy cập dữ liệu, tài nguyên của người đó bằng cách dùng các cơ chế quyền áp dụng trên các đối tượng được truy cập, phân loại tài nguyên truy cập, giám sát truy cập Cục CNTT - Bộ Tài nguyên và Môi trường 55
  56. Giáo trình Quản trị mạng máy tính nâng cao III.3.2. NHỮNG THÔNG TIN VỀ AN TOÀN III.3.2.1. Một số cấu trúc chung Trên Windows 2000, tất cả các đối tượng có tên đều chịu sự giám sát của hệ thống thông qua cơ chế an toàn, kể cả một số đối tượng không có tên. Nói một cách khác, mọi đối tượng trên Windows 2000 đều được bảo vệ. Những thông tin (còn gọi là thuộc tính) về an toàn của các đối tượng này được lưu trữ trong một cấu trúc mô tả bảo mật (Security Descriptor) kèm theo đối tượng, cấu trúc này bao gồm 4 thuộc tính chuẩn được áp dụng cho hầu hết các đối tượng trên Windows 2000 (bao gồm các đối tượng có tên, những tiến trình có tên và không có tên, tiểu trình, đối tượng thẻ bài, đối tượng semaphore, đối tượng event ), 4 thuộc tính này có thể mô tả như sau: 1. Owner security ID: là số bảo mật của người dùng hay nhóm sở hữu đối tượng đó. Người chủ sở hữu đối tượng có thể thay đổi những quyền được gán trên đối tượng này. 2. Group security ID: số bảo mật của nhóm, số này chỉ áp dụng đối với hệ thống con POSIX. 3. Discretionary ACL (Access Control List - ACL): gọi là Danh sách điều khiển truy cập của chủ sở hữu. Người chủ sở hữu đối tượng có quyền thay đổi nội dung của danh sách này, phân định ai có hay không có quyền truy cập đến đối tượng. 4. System ACL: là ACL dùng để điều khiển việc phát sinh những thông báo xác nhận của hệ thống. Người quản trị mạng có thể sửa đổi danh sách này. Ví dụ: Security Descriptor và ACL đối với một file xác định: Security Descriptor cho một đối tượng Windows 2000 có thể biểu diễn bằng 2 phương pháp: phương pháp tuyệt đối (Absolute) và phương pháp tương đối (Self- Relative). 1. Phương pháp tuyệt đối : Các thành phần của Security Descriptor là những con trỏ chỉ đến các thành phần thực sự chứa thông tin. Phương pháp này giúp cho mỗi thành phần được định vị riêng biệt, thích hợp khi có vài phần đã có sẵn. 2. Phương pháp tương đối : Các thành phần của Security Descriptor nằm trong một cấu trúc dữ liệu được sắp xếp theo một khối liên tục, các thành phần trong khối sẽ được truy xuất dựa trên độ lệch (offset) so với phần đầu khối. Phương pháp này thích hợp để lưu trữ Security Descriptor trên các thiết bị nhớ thứ cấp như băng từ hoặc truyền Security Descriptor đến những vùng mà không dùng được kiểu lưu trữ con trỏ như phương pháp tuyệt đối. Cục CNTT - Bộ Tài nguyên và Môi trường 56
  57. Giáo trình Quản trị mạng máy tính nâng cao Security Descriptor biểu diễn bằng 2 phương pháp: Số bảo mật (SID) là một số duy nhất được phát sinh bằng kĩ thuật băm (hash) dùng để phân biệt một người dùng (hoặc nhóm người dùng) với một người dùng khác đồng thời dùng để định danh người đó với hệ thống. Nội dung của SID được phát sinh dựa trên những thông tin như: tên máy tính, thông tin về người dùng, thông tin về vùng (domain), ngày, giờ hệ thống Cấu trúc của SID có thể nhìn thấy dưới dạng sau: S - R - X - Y1 - – Yn Trong đó: S là kí hiệu (Series of digits) phân định SID; R chỉ cấp độ tham khảo đến (Revision level); X chỉ giá trị Identifier Authority, Y1 Yn là các giá trị SubAuthority. Giá trị Identifier Authority là thông tin quan trọng nhất trong SID, thường là định danh của tổ chức phát hành SID. Ví dụ: SID có dạng S-1-4138-86 chỉ mức độ tham khảo lần 1, giá trị Identifier Authority là 4138, một SubAuthority là 86. Access Control List là một danh sách liên kết mà mỗi phần tử của danh sách này là một Access Control Entry (ACE), mỗi ACE có chứa một Số bảo mật (SID) duy nhất phân biệt một người dùng hay nhóm người dùng và một danh sách quy định người dùng được hay không được phép truy cập đến đối tượng (còn gọi là mặt nạ truy cập – Access Mask). ACE có thể có 3 loại, hai loại dành cho Discretionary access control (điều khiển truy cập tùy nghi) và một dành cho System security. Discretionary ACE gồm AccessAllowed and AccessDenied, ám chỉ việc cho phép hay không truy cập của người dùng hay nhóm người dùng đến đối tượng. System ACE (SystemAudit) được dùng để mô tả các sự kiện về an toàn (chẳng hạn như ai truy cập vào đối tượng gì) và để phát sinh những thông báo xác nhận an toàn. Cấu trúc dữ liệu của ACE: Mặt nạ truy cập (Access Mask) trong ACE là một tập hợp các quyền mà người dùng được phép hay không được phép áp dụng trên một đối tượng. Access Mask chứa 3 loại thông tin truy cập: kiểu truy cập xác định (Specific), kiểu truy cập chuẩn (Standard – kiểu này áp dụng cho mọi đối tượng) và kiểu chung (Generic – được ánh xạ đến 2 kiểu trên). Mỗi đối tượng có thể có đến 16 kiểu truy cập xác định, có được khi một định nghĩa kiểu của đối tượng. Ví dụ: Một đối tượng file có thể có các kiểu truy cập sau: 1. ReadData – Đọc dữ liệu. 2. WriteData – Viết. 3. AppendData – Bổ sung. 4. ReadEA (Extended Attribute) – Đọc với các thuộc tính mở rộng. Cục CNTT - Bộ Tài nguyên và Môi trường 57
  58. Giáo trình Quản trị mạng máy tính nâng cao 5. WriteEA (Extended Attribute) – Viết với các thuộc tính mở rộng. 6. Execute – Thi hành. 7. ReadAttributes – Đọc các thuộc tính. 8. WriteAttributes – Gán các thuộc tính. Ngoài những kiểu truy cập trên, mỗi đối tượng còn có các kiểu truy cập chuẩn (standard types) bao gồm: 1. SYNCHRONIZE: dùng để đồng bộ việc truy cập và cho phép một tiến trình chờ một đối tượng để được đưa vào trạng thái báo hiệu đánh thức (Signal). Kiểu này được áp dụng khi có nhiều tiến trình người dùng cùng truy cập đến một đối tượng mà trong một thời điểm chỉ cho phép một tiến trình sử dụng. 2. WRITE_OWNER: dùng để gán cho người viết dữ liệu. 3. WRITE_DACL: dùng để phân phối hoặc ngăn cấm quyền Viết lên Danh sách điều khiển truy cập ACL. 4. READ_CONTROL: dùng để phân phối hoặc ngăn cấm quyền Đọc lên bảng mô tả an toàn (security descriptor) hay chủ sở hữu. 5. DELETE: dùng để phân phối hoặc ngăn cấm việc xóa một đối tượng. III.3.2.2. Quản lý tài khoản người dùng Tài khoản là nơi chứa những thông tin nhằm giúp xác nhận người dùng vào hệ thống và quản lý việc truy cập của người dùng đó đến các đối tượng trong hệ thống. Tài khoản người dùng thường được lưu trong cơ sở dữ liệu Security Account Manager (SAM). Trong Windows 2000, tài khoản có thể chia làm 2 loại: cục bộ (local account) và toàn cục (global/domain account) mà sự khác nhau giữa 2 loại này là ở khả năng và quyền hạn đối với các đối tượng, tài nguyên. Đối với local account, phạm vi hoạt động là nội bộ trong một trạm Windows 2000 do đó nó thích hợp khi cần những truy cập đến tài nguyên trong nội bộ một trạm (trên Windows 2000 Server, nếu kiểu tài khoản là local account, người dùng không thể đăng nhập một cách cục bộ mà phải đăng nhập từ mạng), còn đối với domain account khả năng có thể mở rộng ra một phạm vi nhất định (vùng- domain) và có thể ảnh hưởng đến nhiều trạm trong phạm vi đó. Domain account lại có thể nhìn dưới 2 góc độ là Groups Accounts (Tài khoản của nhóm) và User Accounts (Tài khoản người dùng). Groups Accounts được dùng để Cục CNTT - Bộ Tài nguyên và Môi trường 58
  59. Giáo trình Quản trị mạng máy tính nâng cao đơn giản hóa công việc điều hành hệ thống và có thể được phân phối những quyền hạn (permissions) truy cập đến tài nguyên. Do đó, khi một người dùng là thành viên của một nhóm thì tài khoản người đó cũng được thừa hưởng những quyền hạn mà tài khoản nhóm có. Một số ưu điểm của việc dùng tài khoản nhóm: 1. Quyền hạn có thể được phân phối cho một lúc tất cả các thành viên trong nhóm. 2. Quyền hạn có thể được thu hồi từ tất cả các thành viên trong nhóm. 3. Quyền hạn của một người dùng tự động bị thu hồi khi người đó không còn là thành viên của nhóm. 4. Khi có nhiều người cùng gia nhập nhóm thì những quyền hạn cần thiết sẽ được phân phối cho những người đó mà không cần phải phân quyền cho từng cá nhân với cùng một loại quyền hạn. Một số nhóm cài sẵn (built-in) mang tính cục bộ trên một Windows 2000 Domain controller: Administrators, Backup Operators, Account Operators, Guests, Print Operators, Replicator, Server Operators, Users. Và một số nhóm toàn cục trên domain như: Domain Admins, Domain Guests, Domain Users. Ngoài ra, có một số nhóm trên Windows 2000 Workstation và Server không thuộc domain như: Administrators, Backup Operators, Power Users, Guests, Replicators, Users. Và có 5 nhóm ngầm định tồn tại trên mọi máy tính NT (domain controller, server, workstation): 1. INTERACTIVE: ám chỉ mọi người dùng tham gia một cách cục bộ. 2. NETWORK: mọi người dùng tham gia thông qua mạng. 3. EVERYONE: INTERACTIVE + NETWORK. 4. SYSTEM: hệ điều hành. 5. CREATOR OWNER: bất cứ ai tạo một đối tượng bất kì. Những Users Accounts ngầm định được tạo ra trong quá trình cài đặt Windows 2000 Server là Administrator và Guest. Administrator là tài khoản chính dùng cho việc quản trị của máy Server, tài khoản này cung cấp cho người dùng những khả năng như: 1. Tạo và quản lí tài khoản người dùng. 2. Tạo và quản lí những nhóm toàn cục. Cục CNTT - Bộ Tài nguyên và Môi trường 59
  60. Giáo trình Quản trị mạng máy tính nâng cao 3. Tạo và quản lí những nhóm cục bộ. 4. Gán quyền cho người dùng (user right). 5. Khóa máy Server. 6. Định dạng đĩa cứng Server. 7. Tạo những nhóm chung. 8. Lưu giữ những bảng tóm tắt tiểu sử (profile). 9. Quản lí việc chia sẻ thư mục. 10. Quản lí việc chia sẻ máy in mạng. Khi một người dùng đăng nhập vào hệ thống dưới một tên nào đó không tồn tại thì Windows 2000 sẽ cố gắng đăng nhập người đó bằng tài khoản Guest. Do đó nếu tài khoản Guest không được gán mật khẩu thì sau khi vào được hệ thống, một người dùng đăng nhập dưới tài khoản Guest có thể thực hiện một số thao tác có nguy cơ vi phạm tính an toàn của hệ thống (như việc chia sẻ tên đối tượng ). Ngầm định, tài khoản Guest sẽ bị vô hiệu hóa trên mọi máy NT Server mới cài đặt. Có một số thuộc tính liên quan đến tài khoản người dùng cần thiết khi thiết lập một tài khoản: 1. User name : tên người dùng, dài không quá 20 kí tự, duy nhất trên domain 2. Initial Password (tùy chọn): mật khẩu khởi tạo, dài không quá 14 kí tự 3. Full Name: tên đầy đủ của người dùng 4. Change Password at Next Logon (Yes/No) 5. User Cannot Change Password (Yes/No) 6. Password Never Expires (Yes/No): mật khẩu không bao giờ bị vô hiệu hóa 7. Account Disabled (Yes/No): vô hiệu hóa tài khoản 8. Home Directory: thư mục làm việc chính của tài khoản 9. Logon Script 10. Profile Cục CNTT - Bộ Tài nguyên và Môi trường 60
  61. Giáo trình Quản trị mạng máy tính nâng cao 11. Account Type: kiểu tài khoản (local/global) 12. Logon Hours: thời gian trong ngày mà tài khoản có hiệu lực 13. Dialin 14. Logon Workstation: danh sách các máy trạm mà người dùng có thể đăng nhập 15. Expiration date: ngày mà tài khoản bị vô hiệu hóa (ngày hết hạn) 16. Groups: danh sách các nhóm mà người dùng tham gia. III.3.2.3.Thừa kế quyền Các đối tượng trên Windows 2000 có thể được phân làm 2 loại: đối tượng container (hay đối tượng cha) và non-container. Đối tượng container về mặt logic có thể chứa những đối tượng khác (chẳng hạn như đối tượng thư mục có thể chứa các đối tượng file) còn đối tượng non-container thì không chứa đối tượng khác (như đối tượng file). Như vậy, khi một đối tượng được tạo bên trong một đối tượng khác thì nó sẽ được thừa hưởng những quyền hạn của đối tượng cha đó. Ví dụ: Khi ta tạo một thư mục con DATA bên trong thư mục D:\MAP thì thư mục con DATA sẽ được thừa hưởng những quyền của thư mục D:\MAP Theo ngầm định, khi ta thay đổi những quyền trên thư mục cha thì sự thay đổi chỉ có hiệu lực đối với thư mục đó và những file bên trong nó nhưng không có hiệu lực đối với các thư mục con và nội dung của thư mục con đó. Tuy nhiên, ở hộp thoại Directory Permissions ta có thể làm cho những thay đổi có hiệu lực bằng cách chọn tùy chọn Replace Permissions on Subdirectory và Replace Permissions on Existing File. III.3.2.4. Ghi nhận hoạt động của hệ thống Một trong những mục tiêu rất quan trọng của Windows 2000 là đảm bảo hệ thống hoạt động một cách có hiệu quả và độ tin cậy cao. Vì vậy, Windows 2000 cung cấp những tính năng cho phép theo dõi và ghi nhận những hoạt động của toàn bộ hệ thống thông qua khả năng giám sát những sự kiện (Event) đang xảy ra. Những sự kiện này bao gồm sự kiện liên quan đến an toàn hệ thống và sự kiện liên quan đến người dùng. Nhờ vậy, khi có bất kì sự cố nào xảy ra có nguy cơ gây phương hại đến tính an toàn của hệ thống, Windows 2000 sẽ đảm bảo việc hạn chế và ngăn chặn lỗi, kiểm tra và định vị lỗi đó. Mỗi sự kiện trong hệ thống đều có chứa những thông tin giúp phân định bao gồm: Event ID (định danh), Source (nơi phát sinh sự kiện), Type (kiểu sự kiện), Category (loại sự kiện) và các thông tin khác phụ thuộc vào loại và kiểu sự kiện. Cục CNTT - Bộ Tài nguyên và Môi trường 61
  62. Giáo trình Quản trị mạng máy tính nâng cao Các sự kiện có thể phân làm 7 loại: 1. Account Management (Quản lý người dùng và nhóm người dùng): mô tả những sự kiện liên quan đến việc thay đổi Cơ sở dữ liệu quản lý tài khoản người dùng. Ví dụ như: User Created (tạo mới người dùng), Group Membership Change (thay đổi thông tin trong nhóm) 2. Detailed Tracking (Quản lý các chương trình đang chạy): sự kiện liên quan đến hoạt động của các chương trình như kích hoạt chương trình, truy cập đến một đối tượng 3. Logon / Logoff (Quản lý trong quá trình đăng kí tham gia và thoát khỏi hệ thống): các sự kiện như: nhập mật khẩu, tên người dùng, kiểu tham gia vào hệ thống (cục bộ, thông qua mạng ) 4. Object Access (Quản lý việc truy cập file và các đối tượng khác): các sự kiện liên quan đến việc truy cập tài nguyên, thành công hay không thành công. 5. Policy Change (Thay đổi những cách thức về an toàn): chỉ những thay đổi đến cơ sở dữ liệu về an toàn như: thay đổi những đặc quyền, khả năng đăng nhập, xác nhận tính hợp lệ của đối tượng. 6. Privilege Use : chỉ những sự kiện liên quan đến quyền hạn của người dùng. 7. System Event: chỉ những sự kiện có ảnh hưởng đến tính an toàn của hệ thống. Để quan sát được những sự kiện xảy ra trong hệ thống, Windows 2000 cung cấp một trình tiện ích là Event Viewer. Event Viewer cho phép xem xét một cách rất chi tiết bất kì sự kiện nào xảy ra trong hệ thống như mở file, đóng file, hoạt động của các tiến trình của người dùng, thay đổi mật khẩu, các sự kiện xác nhận an toàn Ví dụ : Sự kiện phát sinh khi thao tác trên một file TEST.TXT. Kiểu sự kiện trên là Success Audit tức là xác nhận thao tác trên file là thành công, định danh Event ID là 560 tức là Object Open. Như vậy, sự kiện trong ví dụ ám chỉ việc mở file TEST.TXT của người dùng là thành công. Một số Event ID tham khảo: Quản lý việc truy cập đến đối tượng và file: 1. 560: Object Open : bắt đầu thao tác trên đối tượng (Mở file ) 2. 561: Handle Allocated : xác định đối tượng (Kiểm tra tính tồn tại ) 3. 562: Handle Closed : chấm dứt truy cập đến đối tượng (Đóng file) Cục CNTT - Bộ Tài nguyên và Môi trường 62
  63. Giáo trình Quản trị mạng máy tính nâng cao 4. 592: New Process Has Been Created : một tiến trình mới được tạo 5. 593: Process Has Exited : kết thúc một tiến trình Quản lý người dùng 1. 624: User Account Created : tạo mới tài khoản 2. 632: Global Group Member Added : thêm một người dùng vào nhóm global 3. 636: Local Group Member Added : thêm một người dùng vào nhóm local 4. 642: User Account Changed : thay đổi trên tài khoản người dùng Quản lý hệ thống 1. 512: Windows 2000 Starting Up : Wins NT bắt đầu khởi động 2. 514: Authentication package Loaded : tiến trình xác nhận trong quá trình đăng nhập được gọi (xem thêm quá trình đăng nhập của người dùng phần sau) Để có thể theo dõi được những sự kiện phát sinh khi thực hiện một thao tác đòi hỏi người dùng phải tham gia vào hệ thống với tư cách là Server Administrator để có thể thiết lập cơ chế xác nhận các sự kiện và dùng tiện ích User Manager for Domains để thiết lập cơ chế xác nhận bằng chức năng Audit Policy: III.3.3. ĐỐI TƯỢNG NGƯỜI DÙNG VÀ QUÁ TRÌNH ĐĂNG NHẬP III.3.3.1. Những thông tin về người dùng Đối tượng người dùng hay người dùng đơn giản là những người tham gia vào hệ thống. Họ có thể tham gia vào hệ thống Windows 2000 dưới hình thức một Windows 2000 Workstations, Server hay tham gia từ xa thông qua mạng. Mỗi người dùng trong hệ thống Windows 2000 bắt buộc phải có tên (user name), tài khoản (account) và một mật khẩu (password) để tham gia vào tài khoản đó. Những thông tin này sẽ được người quản trị mạng cung cấp và sẽ được lưu trữ trong cơ sở dữ liệu tài khoản (Security Accounts database - Security Policy database). Sau này khi người dùng tham gia vào hệ thống, bộ phận Local Security Authority (LSA) sẽ xác nhận tính hợp lệ của người đó dựa trên những thông tin đã lưu trong cơ sở dữ liệu và những thông tin mà người dùng nhập vào trong quá trình Logon. Tên người dùng là một chuỗi dài không quá 20 kí tự không phân biệt kiểu chữ hoa hay thường và không được chứa những kí tự đặc biệt như: / \ [ ]: ; ! = , + # ? . Tên người dùng còn được dùng như tên đăng nhập (logon name) duy nhất trên một vùng (domain) và là yêu cầu tối thiểu khi tạo tài khoản người dùng. Mật khẩu người dùng một chuỗi dài không quá 14 kí tự có phân biệt chữ hoa hay thường, duy nhất Cục CNTT - Bộ Tài nguyên và Môi trường 63
  64. Giáo trình Quản trị mạng máy tính nâng cao và được mã hóa để đảm bảo không thể đọc được từ bất kì người nào trong hệ thống kể cả người quản trị. Sau khi xác nhận người dùng với hệ thống, LSA sẽ tạo ra một Thẻ truy xuất bảo mật (Security Access Token - SAT) cho người dùng. SAT bao gồm một Số bảo mật (SID), những SID của nhóm mà người dùng tham gia và thêm một số thông tin khác như tên người dùng, tên của các nhóm chứa người dùng đó và khi người dùng thực thi những trình ứng dụng của mình thì một bản sao của SAT cũng sẽ được gởi đến cho trình ứng dụng đó. Như vậy, khi người dùng (hay trình ứng dụng của người dùng) muốn truy cập đến một đối tượng, Windows 2000 sẽ dựa trên SID chứa trong Thẻ truy xuất bảo mật và xem xét danh sách các quyền của người đó để đảm bảo việc truy cập là hợp lệ. III.3.3.2. Quyền của người dùng Một mục tiêu của cơ chế an toàn Windows 2000 là giám sát và điều khiển việc truy cập của người dùng vào một đối tượng nào đó trên hệ thống máy tính. Để thực hiện được điều này, cơ chế an toàn đã lưu giữ trong cơ sở dữ liệu những thông tin về an toàn của người dùng, của nhóm và của các đối tượng ngay khi họ được tạo ra, kiểm tra tính hợp lệ của những yêu cầu truy cập đến các đối tượng do người dùng trực tiếp tạo ra hay gián tiếp từ những trình ứng dụng của họ. Ngoài ra, hệ thống còn có nhiệm vụ giám sát và điều khiển việc truy cập của người dùng đến mọi đối tượng bao gồm đối tượng có thể nhìn thấy được như máy in, file hoặc những đối tượng tiềm ẩn như các tiến trình, name-pipe Như vậy, cơ chế an toàn không những điều khiển việc ra quyết định ai sẽ được phép sử dụng đối tượng nào mà còn điều khiển việc truy cập đó sẽ diễn ra ra sao. Windows 2000 cũng quy định người quản trị mạng (hay bất cứ ai có quyền thay đổi cơ chế quyền) có toàn quyền tạo, gán và thay đổi các quyền của người dùng đến một đối tượng, khả năng này gọi là discretionary access control. Ví dụ, người quản trị mạng có thể đặt nhóm NHANVIEN chỉ có quyền Read đối với thư mục SOFTWARES, còn nhóm QUANTRI có quyền Read, Write và Execute trên thư mục này. Để có thể áp đặt quyền hạn của người dùng đối với một file hay thư mục, có thể dùng trình quản lý file Explorer, chọn mục Permissons trên trình đơn hay trên menu con khi nhấn nút phải chuột vào một file hay thư mục. Ví dụ: Một số quyền (Permissions) cơ bản mà người dùng có thể có đối với một file xác định: đọc (Read), viết (Write), xóa (Delete), thay đổi quyền (Change Permission), thi hành (Execute), lấy quyền sở hữu (Take Ownership), cấm truy cập (No Access) Hầu hết người dùng trong Windows 2000 đều thuộc ít nhất một nhóm cài sẵn (built- in group) nào đó như Administrators, Guests, Users và do đó, ngầm định người đó sẽ được thừa hưởng những quyền (rights) và khả năng (capabilities) thao tác trên hệ thống mà nhóm đó có. Ví dụ, nếu người dùng là thành viên của nhóm Administrators sẽ có thể thực hiện các thao tác quản trị hệ thống như tạo mới tài khoản, thay đổi mật khẩu người dùng, thiết lập quyền Nếu người dùng là thành viên của nhiều nhóm thì quyền của người đó là tập hợp của quyền của tất cả các nhóm hội lại. Cục CNTT - Bộ Tài nguyên và Môi trường 64
  65. Giáo trình Quản trị mạng máy tính nâng cao Trên Windows 2000 có 3 thuật ngữ đều mang ý nghĩa thể hiện quyền hạn của người dùng đối với hệ thống đó là Permissions, User rights và Built-in capabilities nhưng trong thực tế chúng có ý nghĩa khác biệt. Ta có thể giải thích như sau: 1. Permissions (sự cho phép): ám chỉ quyền hạn của người dùng liên quan đến việc sử dụng tài nguyên bao gồm những luật và thao tác mà người đó có hoặc không thể thực hiện trên đối tượng tài nguyên đó. Những quyền hạn loại này được lưu trữ trong Danh sách điều khiển truy cập ACL liên kết với một đối tượng tài nguyên. Ví dụ, đối với tài nguyên file và thư mục có các quyền như Read, Write, Delete 2. User rights (Quyền của người dùng): ám chỉ quyền hạn của người dùng liên quan đến những thao tác có liên quan đến việc quản trị hệ thống như Shut down máy, đăng nhập, thay đổi thời gian hệ thống User rights được phân phối ngầm định cho các nhóm cài sẵn và có thể phủ lấp cả Permissions. Ví dụ, khi người dùng là thành viên của nhóm Backup Operators người đó có quyền Tạo dự phòng (backup) và phục hồi dữ liệu (restore) cho dù có thể người đó không có các quyền (permissions) Read hay Write. User rights và Permission có thể được thay đổi bởi người dùng thuộc nhóm Administrators. 3. Built-in capabilities: ám chỉ những khả năng mạnh liên quan đến việc quản trị hệ thống của những nhóm cài sẵn như tạo mới tài khoản, chia sẻ tài nguyên, định dạng đĩa cứng trên máy server Những khả năng này là ngầm định, không thể thay đổi bởi bất cứ ai kể cả Administrators. III.3.3.4. Quá trình đăng nhập Trước khi người dùng có thể thực hiện bất kì thao tác nào trong hệ thống Windows 2000, người đó phải trải qua một quá trình đăng kí thâm nhập – đăng nhập. Việc đăng kí bao gồm việc nhập vào Tên người dùng (User name), Mật khẩu (Password) và Tên máy tính (Computer name / Domain). Windows 2000 sẽ dùng Tên cho việc định danh và Mật khẩu để xác nhận và để phân phối hay hạn chế quyền của người dùng sẽ dựa trên những thông tin đó. Ta có sơ đồ đăng nhập của người dùng vào hệ thống: Cụ thể thể hiện qua các bước : 1. Người dùng nhấn tổ hợp phím Ctrl+Alt+Del để bắt đầu quá trình đăng kí. Ctrl+Alt+Del là tổ hợp phím đặc biệt đánh dấu việc bắt đầu tải hệ điều hành vào bộ nhớ và có thể tránh được việc một số chương trình bất hợp lệ (như virus ) có thể vào trước hệ điều hành đánh lừa người dùng để lấy cắp Tên người dùng và Mật khẩu. 2. Người dùng nhập Tên và Mật khẩu, tiến trình đăng nhập Logon Process sẽ gọi LSA. 3. LSA sẽ chạy một tiến trình xác nhận Authentication package. 4. Authentication package sẽ dựa vào Tên và Mật khẩu người dùng để xác định xem Cục CNTT - Bộ Tài nguyên và Môi trường 65
  66. Giáo trình Quản trị mạng máy tính nâng cao tài khoản của người dùng có tồn tại trong Cơ sở dữ liệu tài khoản hay không. Nếu không tồn tại, tiến trình quay trở lại bước 2. 5. Nếu tài khoản tồn tại, trình quản lý tài khoản SAM sẽ trả về một SID của người dùng và của nhóm chứa người dùng cho trình Authentication package. 6. Trình Authentication package tạo ra một logon session và gửi logon session đó với SID người dùng về cho LSA. 7. Nếu việc đăng kí bị hủy, logon session cũng sẽ bị hủy và quay lại bước 1. Ngược lại, một Thẻ truy xuất bảo mật sẽ được tạo cho người dùng (chứa các SID và quyền của người dùng) và được gửi trở lại Tiến trình logon đánh dấu việc xác nhận thành công. 8. Logon session sẽ gọi Win32 subsystem để tạo một môi trường mới cho người dùng. 9. Người dùng bắt đầu sử dụng Windows 2000. Thẻ truy xuất bảo mật (Security Access Token) được tạo ra nhằm đảm bảo khi người dùng tìm cách truy xuất đến những đối tượng được bảo vệ, Bộ phận giám sát an toàn (Security Reference Monotor) sẽ thi hành một thủ tục để kiểm tra tính hợp lệ của truy xuất dựa trên thẻ truy xuất này. Bất kì tiến trình nào mà người dùng tạo ra cũng đều được gắn thêm thẻ truy xuất bảo mật của người đó và được dùng để kiểm tra tính hợp lệ khi tiến trình đó muốn truy xuất và sử dụng tài nguyên. Thẻ truy xuất bảo mật chứa một số thông tin sau: 1. Số bảo mật của người dùng (Owner’s Security ID) 2. Số bảo mật của nhóm (Group’s Security ID) 3. Các đặc quyền (Privileges) 4. Số bảo mật của nhóm chính. 5. Danh sách điều khiển truy cập ngầm định (Default Access-control list (ACL) ) 6. Nguồn của thẻ truy xuất. 7. Kiểu của thẻ truy xuất (thẻ chính hay đã phân cấp) 8. Mức độ phân cấp hiện hành. 9. Những thông tin khác. Cục CNTT - Bộ Tài nguyên và Môi trường 66
  67. Giáo trình Quản trị mạng máy tính nâng cao III.3.3.5. Xác nhận việc truy cập Để đảm bảo việc truy cập của người dùng đến một đối tượng là hợp lệ, Windows 2000 sẽ so sánh những thông tin về an toàn trong Thẻ truy xuất bảo mật - SAT của người đó với những thông tin trong bảng mô tả an toàn của đối tượng. Như vậy, việc truy cập bước đầu được xem là thành công nếu những thông tin này phù hợp với nhau. Tức là những thông tin về an toàn trong Danh sách điều khiển truy cập – ACL liên kết với đối tượng (ACE) xác nhận người dùng có quyền truy cập đến nó. Tập hợp các kiểu truy cập mà người dùng muốn thực hiện trên một đối tượng hình thành nên Mặt nạ truy cập yêu cầu (desired access mask). Mặt nạ truy cập này thường được chương trình của người dùng tạo ra và được so sánh với từng ACE trong danh sách ACL của đối tượng được truy cập. Quá trình xác nhận truy cập thông qua các bước: 1. SID trong ACE liên kết với đối tượng được so sánh với các SID trong Thẻ truy xuất của người dùng. Nếu không giống thì việc so sánh chuyển qua ACE tiếp theo. (Các ACE AccessDenied được xử lý trước các ACE AccessAllowed – Xem lại phần I. Những thông tin về an toàn) 2. Nếu việc truy cập bị hoãn lại, hệ thống sẽ kiểm tra kiểu truy cập trong Mặt nạ truy cập yêu cầu xem có phải là READ_CONTROL hay WRITE_DAC và người muốn truy cập có phải là chủ sở hữu đối tượng hay không (Nếu người sử dụng là chủ sở hữu đối tượng thì 2 kiểu truy cập READ_CONTROL và WRITE_DAC được gán tự động). Nếu đúng thì quyền truy cập được phân phối cho người đó. 3. Đối với ACE AccessDenied, hệ thống sẽ so sánh những kiểu truy cập trong ACE với Mặt nạ truy cập ở trên, nếu có bất kì truy cập nào trùng giữa 2 mặt nạ này thì truy xuất bị huỷ bỏ. Ngược lại sẽ so sánh đến ACE kết tiếp. 4. Đối với ACE AccessAllowed, hệ thống cũng so sánh tương tự như bước 3. Nếu trùng thì người dùng sẽ được phân phối quyền truy cập, ngược lại qua ACE kế tiếp. 5. Nếu đến cuối danh sách ACL mà Mặt nạ truy cập yêu cầu vẫn không trùng thì việc truy cập bị hủy bỏ. Cục CNTT - Bộ Tài nguyên và Môi trường 67
  68. Giáo trình Quản trị mạng máy tính nâng cao III.3.4. CƠ CHẾ AN TOÀN TRÊN FILE VÀ THƯ MỤC Đảm bảo tính an toàn dữ liệu là một trong những đặc tính rất ưu việt của Windows 2000 và là một yêu cầu cơ bản của bất kì một hệ điều hành mạng nào. Trên Windows 2000, một đối tượng dữ liệu (file, thư mục) trong cùng một thời điểm có thể có nhiều người cùng truy cập đến. Việc dùng chung như vậy gọi là sự chia sẻ file trên mạng, điều đó dẫn đến việc tính bảo mật và nhất quán của dữ liệu có thể bị vi phạm. Để thực hiện điều đó, Windows 2000 đã cung cấp những khả năng thiết lập cơ chế an toàn trên một đối tượng dữ liệu như đặt quyền hạn, thiết lập những giao tác (transaction) trên một đối tượng dữ liệu, khả năng giám sát việc truy cập của người dùng - Một giao tác trên một đối tượng dữ liệu là một tập hợp các thao tác truy cập đến đối tượng dữ liệu đó sao cho khi thành công một giao tác thì cũng tương ứng tất cả các thao tác cũng hoàn tất một cách trọn vẹn, ngược lại nếu giao tác không thành công thì đảm bảo đối tượng dữ liệu trở về tình trạng ban đầu lúc trước khi thực hiện giao tác. An toàn trên file và thư mục là một phần trong cơ chế an toàn chung đối với mọi đối tượng trên Windows 2000. Do đó, một số tính năng an toàn chung cũng được áp dụng cho file và thư mục tương tự như các đối tượng khác. Ngoài ra, để có thể thực hiện cơ chế an toàn đến một đối tượng file đòi hỏi Windows 2000 phải được cài với hệ thống file NTFS, đối với FAT an toàn chỉ đến cấp thư mục. 1. Đối tượng file và việc điều khiển một thao tác trên file: Đối tượng file là một sự logic hóa một tập hợp dữ liệu có cấu trúc hoặc không được lưu trữ trên thiết bị lưu trữ. Do đó, khi thao tác trên một đối tượng file, có thể người sử dụng không cần biết cấu trúc thật sự của file và cách mà hệ thống sử lí với nó. Một đối tượng file có thể chứa những dữ liệu đặc biệt của hệ thống hay đơn giản là dữ liệu của người dùng thông thường và để đảm bảo việc truy cập là hợp lệ, Windows 2000 cho phép thiết lập thuộc tính an toàn trên một đối tượng theo nhiều mức độ khác nhau, hạn chế hoặc ngăn cấm những truy cập không được phép. Một cách ngầm định, khi một đối tượng dữ liệu (file, thư mục) được tạo ra thì nó được gán một số quyền ngầm định dùng chung cho mọi người dùng và các quyền dành riêng cho chủ sở hữu đối tượng đó. Ngoài ra, các quyền mặc định trên một đối tượng file có thể giới hạn trong phạm vi một máy tính Windows 2000 hay như là một tài nguyên chung trên mạng. Như đã đề cập, cơ chế an toàn trên file được áp dụng như mọi đối tượng khác. Việc tạo, sửa đổi hay xoá file cũng được xử lý thông qua thành phần thực thi Object Manager thông qua sự giám sát của Bộ phận giám sát an toàn (SRM). Tất cả những yêu cầu thao tác trên một đối tượng file (bao gồm các thao tác như: mở file, tạo mới, xóa file ) của người dùng trước khi đến được bộ phận Object Manager đều phải qua quá trình xác nhận của SRM. SRM sẽ kiểm tra và so sánh những thông tin trong Thẻ truy xuất bảo mật của người dùng (SAT) và trong Danh sách điều khiển truy cập (ACL) của đối tượng đó (ACL : xin xem phần I. Những thông tin về an toàn) để xác nhận xem người đó có quyền thao tác trên đối tượng file đó hay không, nếu có thì gồm những quyền gì Nếu bộ phận giám sát an toàn (SRM) từ chối yêu cầu tạo đối tượng file thì yêu cầu này không đến được Object Manager và nó sẽ thông báo trở lại cho I/O Manager Cục CNTT - Bộ Tài nguyên và Môi trường 68
  69. Giáo trình Quản trị mạng máy tính nâng cao biết rằng thao tác yêu cầu đã bị từ chối. Ngược lại thì yêu cầu sẽ được chuyển đến Object Manager. Object Manager tạo ra file và gửi một mã trạng thái về cho I/O Manager thông báo thao tác đã thành công hay thất bại. Tương tự như mọi đối tượng khác, những thông tin về an toàn trên một đối tượng file được lưu trữ trong Bảng mô tả an toàn Security Descriptor. Bảng này chứa một số thông tin liên quan đến file như: Tên file, Thư mục chứa file, các SID và các Danh sách điều khiển truy cập. Danh sách điều khiển truy cập cho một đối tượng file gọi là Danh sách điều khiển truy cập tùy chọn (tự do) Descretionary ACL chỉ ra ai có quyền truy cập đến file, ai bị ngăn cấm. Mỗi ACE trong DACL sẽ chỉ đến một đối tượng người dùng và chứa các quyền mà người đó có đối với file trong Mặt nạ truy cập Access Mask. Mặt nạ truy cập của một đối tượng file có chứa 3 kiểu quyền: kiểu xác định, kiểu chuẩn và kiểu chung. Kiểu xác định gồm có: FILE_READ_DATA, FILE_WRITE_DATA, FILE_APPEND_DATA, FILE_READ_EA, FILE_WRITE_EA, FILE_EXECUTE, FILE_READ_ATTRIBUTES, FILE_WRITE_ATTRIBUTES (xin xem phần I. Những thông tin về an toàn). Kiểu chung gồm: FILE_GENERIC_READ, FILE_GENERIC_WRITE, FILE_GENERIC_EXECUTE. Có một sự phân biệt giữa DACL rỗng (empty DACL) và DACL không được gán (unassigned DACL). Một DACL rỗng có nghĩa là không có quyền truy cập nào cung cấp cho đối tượng đó và không ai được phép truy cập, tuy nhiên, chủ sở hữu của đối tượng vẫn có thể thay đổi DACL và cung cấp lại các quyền. DACL không được gán nghĩa là không có sự bảo vệ nào đối với đối tượng và mọi người đều có quyền truy cập. 2. Quyền hạn trên file a. Phân loại quyền: Các quyền (permissions – có thể gọi là sự cho phép) được áp đặt đối với file và thư mục là khác nhau và được phân phối hay hạn chế tùy thuộc thao tác truy cập đến đối tượng. Một đối tượng dữ liệu (file, thư mục) trên Windows 2000 được cung cấp 2 loại quyền: quyền đặc biệt và quyền chuẩn. Các quyền đặc biệt gồm: 1. R (Read): đọc 2. W (Write): viết 3. X (Execute): thực hiện Cục CNTT - Bộ Tài nguyên và Môi trường 69
  70. Giáo trình Quản trị mạng máy tính nâng cao 4. D (Delete): xóa 5. P (Change Permissions): thay đổi quyền 6. O (Take Ownership): lấy quyền sở hữu Các thao tác và áp dụng quyền đặc biệt đối với file : Các thao tác và áp dụng quyền đặc biệt đối với thư mục : Các quyền tiêu chuẩn gồm: Các quyền đối với file 1. Read (RX) : đọc và chạy chương trình (nếu là file chương trình) 2. Change (RWXD) : đọc, sửa và xóa file 3. Full Control (RWXDOP) : đọc, sửa, xóa, đặt quyền hạn và lấy quyền sở hữu. 4. No Access : cấm truy cập, ngay cả khi người dùng là thành viên của nhóm đã được cấp quyền truy cập. Các quyền đối với thư mục được biểu diễn theo dạng sau (Các quyền đối với bản thân thư mục)(Các quyền thừa kế cho những file trong thư mục đó) 1. List (RX)(Không xác định) : người dùng chỉ có quyền liệt kê file và thư mục con trong thư mục này. Ngoài ra, nếu người dùng có quyền có thể thay đổi thư mục này và không thể truy cập đến những file mới tạo sau khi đặt quyền này. 2. Read (RX)(RX) : đọc nội dung của file trong thư mục và chạy ứng dụng trong thư mục đó. 3. Add (WX)(Không xác định) : có thể thêm file vào thư mục nhưng không thể đọc nội dung hay thay đổi file. 4. Add & Read (RWX)(RX) : có thể thêm file, đọc nhưng không được sửa nội dung. 5. Change (RWXD)(RWXD) : có thể thêm, đọc, sửa đổi nội dung và xóa file trong thư mục. 6. Full Control (RWXDPO)(RWXDPO) : có thể thêm, đọc, sửa đổi, xóa, đặt quyền và lấy quyền sở hữu của thư mục và các file trong thư mục đó. Cục CNTT - Bộ Tài nguyên và Môi trường 70
  71. Giáo trình Quản trị mạng máy tính nâng cao 7. No Access ()() : cấm truy cập. Ví dụ : Một thư mục được áp đặt quyền là (RWX)(RX) có nghĩa là (RWX) là quyền đối với thư mục và (RX) là quyền đối với các file trong thư mục đó. Như vậy người dùng có quyền thêm file vào trong thư mục và đọc nó nhưng không được sửa đổi các file trong thư mục đó. Một số đặc điểm quan trọng khi thiết lập quyền trên một đối tượng file và thư mục: 1. Có thể ngăn chặn người dùng truy cập đến một quyền bằng cách không đáp ứng quyền đến người đó. Nghĩa là không cần phải gán quyền No Access đến từng người hoặc nhóm mà không truy cập đến file và thư mục. 2. Quyền hạn có tính chất tích lũy. Nghĩa là, nếu người dùng A được gán quyền Read trên thư mục D:\BAITAP và nhóm mà chứa người dùng A có quyền Change trên thư mục đó thì quyền tổng hợp dành cho người dùng là Read + Change = Change Quyền hạn có tính kế thừa: những thư mục con và những file được tạo ra trong thư mục D:\BAITAP sẽ thừa hưởng những quyền có trên thư mục D:\BAITAP. Theo quy định, người dùng thuộc nhóm Administrators và Server Operators có toàn quyền thao tác việc phân quyền trên file và thư mục, bao gồm cả những file và thư mục chia sẻ. Quyền hạn trên file và thư mục có thể được phân phối cho những người dùng và nhóm sau: 1. Người dùng Domain trên vùng có chứa server 2. Người dùng Domain trên một Trusted domain 3. Những nhóm cục bộ trên vùng chứa server 4. Những nhóm toàn cục trên vùng chứa server 5. Những nhóm toàn cục trong một Trusted domain 6. Các nhóm và người dùng đặc biệt: Everyone, INTERACTIVE, NETWORK, SYSTEM, CREATOR OWNER. Quyền đối với những tên chia sẻ: Trên Windows 2000 một tài nguyên thư mục có thể được chia sẻ cho nhiều người dùng truy cập từ nhiều nơi khác nhau trên mạng. Do đó, một tài nguyên thư mục có thể có nhiều tên chia sẻ và được gán những quyền hạn khác nhau ứng với mỗi tên chia sẻ đó. Điều này có lợi khi chủ sở hữu hoặc người quản trị muốn những nhóm người dùng khác nhau có những quyền truy cập khác nhau trên một thư mục được Cục CNTT - Bộ Tài nguyên và Môi trường 71
  72. Giáo trình Quản trị mạng máy tính nâng cao chia sẻ. Ngầm định, người dùng thuộc nhóm Administrators và Server Operators có thể thay đổi những quyền trên một chia sẻ. Những quyền hạn trên những thư mục chia sẻ chỉ có tác dụng khi thư mục đó được truy cập trên mạng (kiểu tài khoản là local account) và những quyền đó áp đặt cho cả những file và thư mục con bên trong. Do vậy, nếu người dùng tham gia một cách cục bộ chỉ những quyền hạn trên file và thư mục có tác dụng (với hệ thống file NTFS) còn những quyền trên thư mục chia sẻ thì không. Mỗi thao tác của người dùng đối với một đối tượng file hay thư mục đều được hệ điều hành ghi nhận và thể hiện dưới dạng một sự kiện (event), cho dù thao tác thành công hay thất bại. Các thao tác này bao gồm: mở file, đọc nội dung một file, xem tên file, liệt kê danh sách file trong một thư mục, xóa file, xóa thư mục đều được liệt một cách chi tiết trong trình Event Viewer. Cục CNTT - Bộ Tài nguyên và Môi trường 72
  73. Giáo trình Quản trị mạng máy tính nâng cao Cục CNTT - Bộ Tài nguyên và Môi trường 73