Tap_Chi_Security365_So_5

Document Sample
Tap_Chi_Security365_So_5 Powered By Docstoc
					Thư Ngõ !
                                  Đối với các bạn trẻ chọn IT là định hướng nghề
                                  nghiệp của mình, nhất là những ai đi về hướng quản
                                  trị thì có hai vấn đề lớn họ luôn quan tâm là an tòan
                                  thông tin và ứng dụng nguồn mở. Vậy để làm gì
                                  chứng nhận mình là một chuyên gia trong các lĩnh
vực trên ngòai bản CV liệt kê các kinh nghiệm hay quá trình công tác ? Đó chính là
các chứng chỉ bảo mật uy tín được chứng nhận bởi các tổ chức quốc tế và có giá trị
trên tòan thế giới. Vì vậy trong Tạp Chí Security365 Số 5 chúng ta sẽ tham khảo bài
giới thiệu về Comptia Security+.

Trong phần trước (SMAG 4) các bạn đã nắm về Windows XP với những thao tác quản
trị căn bản, chúng ta sẽ tiếp tục tìm hiểu sâu hơn, cùng với bài víết về Windows
Server 2008 và những bài viết hay khác…

Theo thống kê, 4 số Tạp Chí Security365 đầu tiên đều đã vượt mức 1000 lượt tải về,
đây là một tín hiệu vui và là nguồn động lực to lớn để Ban Biên Tập đều đặn cho xuất
bản 1 tuần 1 số, mời các bạn theo dõi và đón xem
Đăng kí nhận tạp chí qua thư điện tử tại đây : http://www.security365.vn
Các số Tạp Chí Security365 đã công bố:
   - Security365 Số 1
   - Security365 Số 2
   - Security365 Số 3
   - Security365 Số 4
Định Hướng Nghề Nghiệp
              Chứng Chỉ Quốc Tế Comptia SECURITY+
  Comptia Security+ là một trong 5 chứng chỉ bảo mật danh giá hiện nay, đó là MCSE
Security, Comptia SECURITY+, SCNP và CISSP. Trong đó, chứng chỉ CISSP được xếp
 hạng cao nhất nhưng theo đánh giá của các tổ chức quốc tế như certcity hay hotcert thì
       Security+ là một trong những chứng chỉ được nhiều người quan tâm nhất.

                                                  Được phát triển bởi tổ chức khảo
                                                  thí CompTIA (www.comptia.org),
                                                  hệ thống chứng chỉ bảo mật
                                                  Security+ không thiên về một công
                                                  nghệ cụ thể hay một dòng sản
                                                  phẩm nào đó mà nó trải rộng trên
                                                  nhiều lĩnh vực khác nhau từ hệ
                                                  điều hành Linux cho đến Windows
                                                  hay các khái niệm về cơ chế chứng
                                                  thực, kiểm sóat truy cập…Vì vậy
                                                  để đạt được chứng chỉ này thí sinh
                                                  cần có một kiến thức nền tảng
                                                  vững chắc về an tòan thông tin.
                                                  Với lệ phí thi 250 USD, các thí
                                                  sinh cần làm 1 bài kiểm tra trong
vòng 2.30 phút với 100 câu hỏi về bảo mật hệ thống, thí sinh sẽ được cấp chứng nhận
Comptia Security+ nếu có số điểm trên 70% (cập nhật thêm tại trang web
www.comptia.org).

Để học và thi Security+ trước tiên các bạn cần có kiến thức tốt về hệ thống windows /
linux cùng với ít nhất là 1 năm kinh nghiệm thực tế trong môi trường công nghệ thông
tin. Sau đó các bạn cần tham khảo các tài liệu về Security+, giải các đề thi thử trong vòng
3 đến 6 tháng là có thể đăng ki dự thi. Tuy nhiên để đạt được kết quả tốt nhất, các thí sinh
nên học hỏi kinh nghiệm từ những người đi truớc, tham khảo những tài liệu hay về bảo
mật, đặc biệt là những tài liệu chuyên sâu về Security+. Nếu có điều kiện nên tham gia
các trung tâm đào tạo về mạng và bảo mật như New Horizons, NetPRO hay Trung Tâm
Đào Tạo Bảo Mật Security365. Trước khi thi nên dành ra 1 tuần để ôn luyện và giải đáp
các đề thi mẫu. Comptia Security+ Bao Gồm 5 Chủ Đề Sau:

Domain 1: Các khái niệm chung về bảo mật (General Security Concepts)
Trong phần này các bạn cần nắm vững các khái niệm về cơ chế kiểm sóat truy cập như
RBAC, MAC, nhận dạng các dạng tấn công thông dụng như DDOS, Sniifer hay xác định
những dịch vụ nào là cần thiết hay không cần thiết cho một hệ thống máy tính.

Domain 2: Bảo Mật đường Truyền - An Tòan Truyền Thông (Comunication Security)



                                                                                          1
Phần 2 tập trung về các khía cạnh bảo mật thông tin trong quá trình truyền như an tòan
thông tin cho thư điện tử, hay quá trình truy cập từ xa, quá trình truyền và nhận file…

Domain 3: An Tòan Thông Tin Cho Hệ Thống Mạng – Bảo Mật Hệ Thống
Phần 3 tập trung vào các kỹ thuật bảo mật hệ thống như các kỹ năng dò tìm và phát hiện
xâm nhập, nâng cao độ an tòan cho các máy chủ và dịch vụ ..

Domain 4 : Cơ Bản Về Mã Hóa
Phần này trình bày những khái niệm cơ bản về mã hóa đối xứng/ bất đối xứng, công nghệ
PKI hay các thuật tóan mã hóa thông dụng như DES, 3DES…

Domain 5: An Tòan Thông Tin Cho Tổ Chức
Đây là phần cuối cùng của hệ thống Comptia Security +, các bạn cần nắm vững những
kiến thức về an tòan thông tin ở mức vật lý, các cơ chế sao lưu và phục hồi phòng khi
diễn ra tình trạng mất mát thông tin, quản lý quyền hay đánh giá các mức độ thiệt hại khi
có sự cố.

Một số trung tâm thường đào tạo theo các tài liệu chính thức về Security+ như của
Syngress hay Sybex thường bám theo 5 chủ đề này để trình bày nên nội dung mang nặng
tính lý thuyết, giáo điều thiếu tính thực tiễn làm cho các học viên khó hiểu, khó nhớ. Vi
vậy Security365 sử dụng giáo án được biên sọan bởi ElemenK về Security+, đây là một
giáo trình rất hay và phong phú vì không những nêu rõ và giải quyết những yêu cầu của 5
module mà còn minh họa một cách khóa học những kiến thức trên qua các bài Lab hay
những ứng dụng cụ thể.

Nội Dung Của Chương Trình Học tập Comptia Security+
Security+® Windows Server 2003 CompTIA® Certification

LESSON 1: SECURITY FUNDAMENTALS
A. Security Building Blocks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Security Goals – The CIA Triad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Security Factors – The Four As . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Access Control Methods. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Privilege Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
B. Authentication Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Authentication Factors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
User Name/Password Authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . .
Challenge Handshake Authentication Protocol (CHAP) . . . . . . . . . . . .
Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tokens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Biometrics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Multi-Factor Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mutual Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .


                                                                                                                2
C. Cryptography Fundamentals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Encryption. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Encryption Algorithms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hashing Encryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hashing Encryption Algorithms. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Symmetric Encryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Asymmetric Encryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cipher Types. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Symmetric Encryption Algorithms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Asymmetric Encryption Algorithms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Digital Signatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D. Security Policy Fundamentals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Security Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Security Policy Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Security Policy Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Common Security Policy Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Security Document Categories . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Documentation Handling Measures . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
LESSON 2: SECURITY THREATS
A. Social Engineering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Social Engineering Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hackers, Crackers, and Attackers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Attacker Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
B. Software-Based Threats. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Software Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Port Scanning Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eavesdropping Attacks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IP Spoofing Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hijacking Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Replay Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Man-in-the-Middle Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Denial of Service (DoS) Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Distributed Denial of Service (DDoS) Attacks . . . . . . . . . . . . . . . . . . . . . .
Types of DoS Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Malicious Code Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Types of Malicious Code. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .



                                                                                                                       3
Default Security Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Software Exploitation Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Types of Software Exploitation Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . .
Misuse of Privilege Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Password Attacks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Types of Password Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Backdoor Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C. Hardware-Based Threats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Hardware Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
LESSON 3:HARDENING INTERNAL SYSTEMS AND SERVICES
A. Harden Operating Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
System Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
System Vulnerability Categories. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hardening. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Security Baselines. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
System Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Windows Security Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Windows Auditing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Services, NLMs, and Daemons . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Service, NLM, and Daemon Vulnerabilities. . . . . . . . . . . . . . . . . . . . . . . .
Security Templates. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
B. Harden Directory Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Directory Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Common Directory Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Lightweight Directory Access Protocol (LDAP) . . . . . . . . . . . . . . . . . . . .
Directory Service Vulnerabilities. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C. Harden DHCP Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Dynamic Host Configuration Protocol (DHCP). . . . . . . . . . . . . . . . . . . . .
DHCP Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D. Harden File and Print Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
File and Print Server Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
The Server Message Block (SMB) Protocol. . . . . . . . . . . . . . . . . . . . . . . . .
SMB Signing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
LESSON 4:HARDENING INTERNETWORK DEVICES AND SERVICES
A. Harden Internetwork Connection Devices. . . . . . . . . . . . . . . . . . . . . . . . .
Internetwork Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .



                                                                                                                 4
Unnecessary Network Protocols. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Firmware Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Internetwork Device Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Demilitarized Zones (DMZs). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Intranets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Extranets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Virtual LANs (VLANs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Network Address Translation (NAT) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Network Media . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Network Media Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
B. Harden DNS and BIND Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DNS and BIND Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C. HardenWeb Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Web Server Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Web Server Authentication Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Web Server Vulnerabilities. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D. Harden File Transfer Protocol (FTP) Servers . . . . . . . . . . . . . . . . . . . . . . .
FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
FTP Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Secure Shell (SSH). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Secure FTP (SFTP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
E. Harden Network News Transfer Protocol (NNTP) Servers . . . . . . . . . . . . . .
NNTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NNTP Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F. Harden Email Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..
Simple Mail Transfer Protocol (SMTP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Email Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pretty Good Privacy (PGP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Secure Multipurpose Internet Mail Extensions (S/MIME) . . . . . . . . . . . . .
G. Harden Conferencing and Messaging Servers . . . . . . . . . . . . . . . . . . . . .
Conferencing and Messaging Vulnerabilities . . . . . . . . . . . . . . . . . . . . .
LESSON 5: SECURINGNETWORK COMMUNICATIONS
A. Protect Network Traffic with IP Security (IPSec). . . . . . . . . . . . . .. . . .
IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IPSec Algorithms. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .



                                                                                                                       5
IPSec Transport Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Internet Key Exchange (IKE) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Security Associations (SAs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IPSec Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Default IPSec Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IPSec Policy Rules. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
B. SecureWireless Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .
Wireless Protocol Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wireless Protocol Implementations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wireless Security Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wireless Vulnerabilities. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C. Harden aWeb Browser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..
Browser Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Internet Explorer Security Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D. Secure the Remote Access Channel . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Remote Access Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Telecommunications Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tunneling. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Virtual Private Networks (VPNs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VPN Protocols. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VPN Security Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Remote Access Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
LESSON 6:MANAGING PUBLIC KEY INFRASTRUCTURE (PKI)
A. Install a Certificate Authority (CA) Hierarchy. . . . . . . . . . . . . . . . . . . . . .
Digital Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Certificate Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Public Key Infrastructure (PKI). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PKI Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
CA Hierarchies (Trust Models) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
The Root CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Public and Private Roots . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Subordinate CAs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Centralized and Decentralized CA Hierarchies. . . . . . . . . . . . . . . . . . . .
B. Harden a Certificate Authority . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . .
Certificate Policies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Multiple and Dual Key Pairs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
The Certificate Life Cycle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .



                                                                                                                 6
CA Vulnerabilities. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C. Back Up a CA. . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D. Restore a CA. . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
LESSON 7:MANAGING CERTIFICATES
A. Enroll Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . .
The Certificate Enrollment Process. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
B. Secure Network Traffic by Using Certificates. . . . . . . . . . . . . . . . . . . ..
Secure Sockets Layer (SSL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HTTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Transport Layer Security (TLS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C. Renew Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . .
D. Revoke Certificates. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . .
Certificate Revocation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
The Certificate Revocation List (CRL) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
E. Back Up Certificates and Private Keys. . . . . . . . . . . . . . . . . .. . . . . .
Private Key Protection Methods. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F. Restore Certificates and Private Keys. . . . . . . . . . . . . . . . . . . . . . . . .
Private Key Restoration Methods. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Private Key Replacement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
LESSON 8: ENFORCINGORGANIZATIONAL SECURITY POLICIES
A. Enforce Corporate Security Policy Compliance . . . . . . . . . . . . . . . . . . .
Risk Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
B. Enforce Legal Compliance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .
Legal Requirements. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Forensic Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Human Resources (HR) Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C. Enforce Physical Security Compliance. . . . . . . . . . . . . . . . . . . . . . . . . . .
Physical Security Measures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Storage Media Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Business Continuity Plans (BCPs). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Disaster Recovery Plans (DRPs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Service Level Agreements (SLAs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Alternate Sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Secure Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Backup Storage Locations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D. Educate Users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . .
The Employee Education Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .



                                                                                                                    7
User Security Responsibilities. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
LESSON 9:MONITORING THE SECURITY INFRASTRUCTURE
A. Scan for Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . .
The Hacking Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ethical Hacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Security Utilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Types of Vulnerability Scans . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Port Ranges. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
B. Monitor for Intruders. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . .
Intrusion Detection Systems (IDSs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Host, Network, and Application-based IDS . . . . . . . . . . . . . . . . . . . . . . .
Passive and Active IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Signature and Anomaly IDS Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C. Set Up a Honeypot. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .
Honeypots . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Types of Honeypots . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D. Respond to Security Incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Incident Response Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Ngòai việc ứng dụng tài liệu Security+® Windows Server 2003 CompTIA®
Certification trong quá trình giảng dạy thì SECURITY365 còn cung cấp những bài Lab
và bài giảng mang đặc trưng riêng của mình, tổng hợp từ kiến thức và kinh nghiệm thực
tế của các instructor sẽ gíup chó các học viên hiểu sâu hơn các lý thuyết đã nêu và nâng
cao khả năng thi đạt chứng chỉ quốc tế về bảo mật thông tin hàng đầu hiện nay là
Comptia SECURITY+. Trong quá trình học tập hay nghiên cứu, nếu có phần nào không
rõ các bạn có thể liên hệ với những người biên sọan tài liệu qua địa chỉ mail
instructor@elearning.security365.biz




                                                                                                                   8
Tin Công Nghệ
Hàng trăm nghìn lượt tải báo dành riêng cho iPad

Ngày 3/3, tập đoàn News Corp của ông trùm truyền thông Rupert Murdoch đã tự hào thông
báo, tờ báo kỹ thuật số đầu tiên dành cho chiếc iPad của họ, The Daily, đã được tải hàng
trăm nghìn lượt sau khi ra mắt chỉ một tháng trước.




Tại hội nghị paidContent 2011 tổ chức tại New York, tổng biên tập The Daily, Greg
Clayman, phát biểu: "Thật là tuyệt! Chúng tôi chưa thể chỉ ra chính xác số lượt tải về, song
ước lượng cho thấy đến nay đã có hàng trăm nghìn lượt tải."

Dù tờ báo này chỉ kéo dài thời gian khuyến mãi "đọc miễn phí" tới ngày 21/3, song
Clayman khẳng định hiện đã có không ít độc giả sẵn sàng móc ví để trả phí thuê bao 99 cent
một tuần.

Vị tổng biên tập này từ chối tiết lộ số lượng chính xác độc giả đã đăng ký khoản mục trả
tiền. Ông chỉ nói đùa "nhiều hơn 1, nhưng chưa tới 1 tỷ đâu."

News Corp cho biết họ hoàn toàn đồng ý với điều khoản chia sẻ 30% doanh thu cho hãng
Apple, theo đúng thỏa thuận mà "Quả táo" áp dụng cho các nhà xuất bản khác đối với việc
kinh doanh nội dung số trên các sản phẩm của hãng này, đồng thời, News Corp cũng sẽ lên
kế hoạch để cung cấp The Daily cho những máy tính bảng khác chạy hệ điều hành Google
Android, chứ không bó buộc tờ báo này chỉ dành riêng cho iPad như hiện nay.

Clayman cho hay: "Chúng tôi muốn có mặt trên tất cả máy tính bảng cầm tay của khách
hàng. Hiện iPad đang là thiết bị thống trị với lượng bán hơn 15 triệu chiếc, song điều đó
không có nghĩa là những chiếc máy chạy Google Android không có vị thế riêng của mình.
News Corp hy vọng máy tính bảng chạy Android sẽ ngày càng khởi sắc hơn, và chúng tôi
có thể tận dụng được triệt để."

Mô tả chi tiết về tờ báo của mình, Clayman khẳng định The Daily có những đặc thù rất
riêng biệt, bởi nó kết hợp được các loại hình truyền thông gồm tin tức hàng ngày từ các tờ
báo cũng như mạng truyền hình Fox, tất cả đều là nguồn lực "trực thuộc" tập đoàn mẹ
News Corp.

Hiện nay, dự án phát triển The Daily đang có 100 nhân viên tham gia, với số vốn đầu tư ban
đầu khoảng 30 triệu USD. Ông chủ Murdoch kỳ vọng rằng tờ báo "không giống ai" này sẽ
giải quyết tốt bài toán khó hiện nay là làm sao có thể thu phí hợp lý đối với các độc giả đọc
nội dung đã được số hóa. Và theo "vị trùm" này thì khi nào bán được "hàng triệu bản,"
News Corp sẽ khẳng định rằng họ thành công.

Theo Vietnam+
Add-on Firefox mới chiếm các phiên truy cập Facebook, Twitter

Firesheep, một add-on Firefox mới, cho phép "nhiều người bất kỳ" quét mạng Wi-Fi,
tìm người đang truy cập Internet và “cướp” truy cập của họ tới nhiều trang như
Facebook, Twitter cùng nhiều dịch vụ khác.




Add-on này tên là "Firesheep", được ông Eric Butler - một nhà phát triển ứng dụng web tự
do sống tại Seattle (Mỹ) - phát hành hôm Chủ Nhật 24/10/2010 tại hội nghị bảo mật
ToorCon. ToorCon đã diễn ra từ ngày 22 - 24/10/2010 tại San Diego (Mỹ).

Ông Butler cho biết đã tạo ra Firesheep để cho thấy sự nguy hiểm của việc truy cập các
website không được mã hóa từ các điểm truy cập Wi-Fi công cộng.

Mặc dù các website thường mã hóa người dùng đăng nhập với HTTPS hay SSL, một số ít
lại mã hóa lưu lượng (traffic) thực tế. "Điều này làm các cookie và người sử dụng dễ bị tổn
thương", ông Butler viết trong một bài đăng lên blog của mình. "Trên một mạng không dây
mở, về cơ bản các cookie đều ‘hét lên’ trong không khí, làm cho các cuộc tấn công cực kỳ
dễ dàng".

Với cookie của người dùng trong tay, một tên tội phạm có thể làm bất cứ điều gì người
dùng có thể làm trên website, ông Butler lưu ý. Trong số các website mà Firesheep có thể
“cướp” được quyền truy cập, phải kể tới Facebook, Twitter, Flickr, bit.ly, Google và
Amazon.
Firesheep thêm một thanh sidebar cho trình duyệt Firefox của Mozilla, hiển thị thông tin khi
có ai đó trên một mạng mở - như mạng Wi-Fi của quán cà phê chẳng hạn - đang thăm một
website không an toàn. "Click kép vào ai đó trong sidebar và bạn ngay lập tức đăng nhập
như họ", ông Butler cho biết.

Firesheep dường như có “sức hút không thể cưỡng lại”: Kể từ khi ông Butler đăng add-on
này lên website GitHub hôm Chủ Nhật 24/10/2010, nó đã được tải (miễn phí) về gần 50.000
lần. Hiện Firesheep chỉ hoạt động với các phiên bản Firefox cho Windows và Mac OS X.
Ông Butler đang làm việc trên phiên bản Firesheep cho Firefox trên Linux.

Người dùng có thể tự bảo vệ mình bằng cách từ chối truy cập vào các website không an
toàn khi ở trong các mạng mở.

Theo Pcworld
Làm sao để chống lại Firesheep?
Các chuyên gia đề xuất các biện pháp tự vệ phòng ngừa tấn công của add-on
Firefox mới chiếm quyền truy cập Facebook, Twitter thông qua Wi-Fi.




Hôm thứ Ba ngày 26/10/2010, các chuyên gia bảo mật đã đề xuất các biện pháp mà
người dùng có thể áp dụng để tự bảo vệ chống lại Firesheep, một add-on Firefox mới
cho phép các “tay mơ” chiếm quyền truy cập của người đang dùng Facebook, Twitter
và các dịch vụ phổ biến khác thông qua Wi-Fi.

“Cừu lửa” Firesheep thêm một thanh sidebar cho trình duyệt “cáo lửa” Firefox của
Mozilla. Nó cho biết bất kỳ ai ghé thăm một trang web không an toàn trong một mạng
mở, chẳng hạn như mạng Wi-Fi công cộng tại một quán cà phê. Chỉ đơn giản với một
cú nhấp đúp là tin tặc đã nhanh chóng truy cập tới trang nạn nhân đã đăng nhập vào,
từ Twitter và Facebook cho đến bit.ly và Flickr.

Kể từ khi nhà nghiên cứu Eric Butler phát hành Firesheep hôm Chủ nhật ngày
24/10/2010, tiện ích đã được tải về gần 220.000 lần. Nhưng người dùng vẫn chưa biết
phòng vệ.

Có một cách mà người dùng có thể tự bảo vệ chống lại những kẻ sử dụng Firesheep là
tránh các mạng Wi-Fi công cộng không được mã hóa và chỉ dùng mật khẩu, các
chuyên gia cho biết vào hôm thứ Ba. Tuy nhiên, Ian Gallagher, kỹ sư bảo mật cao cấp
của Security Innovation, đã phản bác quan điểm giản đơn đó. Gallagher là một trong
hai nhà nghiên cứu đã trình diễn Firesheep cuối tuần trước tại một hội nghị ở San
Diego, Mỹ. Trong một bài viết đăng trên blog vào hôm thứ Ba, ông cho rằng đây
không phải là một lỗ hổng trong mạng Wi-Fi, mà là thiếu an ninh từ các trang web mà
người dùng truy cập tới.

Vậy thì, nếu vẫn phải dùng Wi-Fi, người dùng cần làm gì? Việc phòng vệ tốt nhất,
theo Chet Wisniewski, một cố vấn an ninh cao cấp của hãng bảo mật Sophos, là sử
dụng một mạng riêng ảo (virtual private network - VPN) khi kết nối với các mạng
Wi-Fi công cộng, như tại sân bay hoặc một quán cà phê. Trong khi nhiều người dùng
doanh nghiệp sử dụng một VPN để kết nối với mạng văn phòng của họ khi họ đang
trên đường, người dùng cá nhân thường không có "đường hầm" an toàn tới Internet.

"Nhưng có một số dịch vụ VPN mà bạn có thể đăng ký sử dụng với chi phí 5 USD đến
10 USD mỗi tháng", Wisniewski cho biết. Strong VPN, nhà cung cấp dịch vụ Internet
tại Mỹ là một trong số đó. Một mạng VPN mã hóa tất cả các lưu lượng truyền đi giữa
một máy tính và Internet nói chung, bao gồm cả các trang web dễ bị Firesheep
“cướp”. "Đây là một giải pháp tốt, và thực sự không khác với việc sử dụng mạng Wi-
Fi đã được mã hóa", Wisniewski cho biết.

Tuy vậy, Gallagher cảnh báo rằng VPN không phải là một giải pháp tổng thể. "Lưu
lượng truyền của bạn sau đó sẽ để lại máy chủ đó cũng giống như nó sẽ để lại trên
MTXT của bạn, do đó, bất cứ ai chạy Firesheep hoặc các công cụ khác có thể truy
cập dữ liệu của bạn theo cùng một cách". "Một lời đề nghị mù quáng ‘sử dụng mạng
riêng ảo VPN’ không thực sự giải quyết vấn đề và chỉ có thể cung cấp một cảm nhận
sai lầm về bảo mật", ông nói.

Strong VPN phản đối: "Các máy chủ của chúng tôi được đặt ở trong một trung tâm
dữ liệu an toàn, do vậy không ai có thể ‘đánh hơi’ lưu lượng truyền dữ liệu vào/ra.
Lấy ví dụ, tất cả lưu lượng truy cập từ MTXT của bạn ở San Francisco đều được mã
hóa khi đi vào một trong các máy chủ ở Mỹ của chúng tôi".

Andrew Storms, Giám đốc giám sát an ninh của công ty bảo mật nCircle Security, có
trụ sở ở San Francisco (Mỹ), phủ nhận khẳng định của Strong VPN. "Tôi có thể thấy
từ quan điểm của Gallagher, rằng một VPN không giải quyết được vấn đề tận gốc, đó
là dịch vụ giai đoạn cuối", ông nói. "Tuy nhiên, mặc dù đúng là lưu lượng truyền sẽ là
ký tự rõ khi nó rời máy chủ VPN tới các trang web, không lấy gì làm chắc chắn rằng
ai đó sẽ ăn cắp chúng".

Nếu miễn phí là mục tiêu, có quá nhiều những lựa chọn, Wisniewski nói. Sean
Sullivan (một nhà tư vấn bảo mật của F-Secure) và Gallagher đã chỉ ra những add-on
Firefox miễn phí buộc trình duyệt sử dụng một kết nối được mã hóa khi truy cập các
trang web nhất định. Một trong những add-on Firefox này là HTTPS-Everywhere.
Tiện ích được cung cấp bởi Electronic Frontier Foundation (EFF), chỉ làm việc với
một danh sách các trang web đã được xác thực trước, bao gồm Twitter, Facebook,
PayPal và công cụ tìm kiếm của Google. Một lựa chọn khác, tiện ích Force-TLS, cũng
cùng cách thức hoạt động như vậy, nhưng cho phép người dùng xác định các trang
web để thi hành mã hóa chúng (dùng với giao thức HTTPS).

Tuy nhiên, các trình duyệt khác như Internet Explorer của Microsoft và Google
Chrome thiếu những tiện ích tương tự. Sullivan đề xuất thêm giải pháp là sử dụng
thiết bị MiFi. Người dùng hãy mang theo nó làm điểm phát sóng Wi-Fi an toàn cho
chính mình, vì nó có thể mã hóa lưu lượng truyền. Nhưng MiFi không hề rẻ. Ví dụ
Verizon tặng không phần cứng nhưng tính chi phí dịch vụ khoảng 40 USD - 60 USD
mỗi tháng cho việc truy cập vào mạng 3G.

Cuối cùng thì chính người dùng di động tạo ra lỗ hổng phơi bày trước Firesheep do sử
dụng các truy cập không được mã hóa. Đó là quan điểm của Butler và Gallagher
nhằm bảo vệ cho hành động phát hành “cừu lửa”. Và chỉ các chủ trang web và nhà
cung cấp dịch vụ có thể khắc phục điều đó. Theo Butler thì "thành công" của
Firesheep không phải là sự chú ý mà nó giành được, mà rồi đây các trang web sẽ được
bảo mật thích hợp hơn. Và thành công thực sự sẽ là khi Firesheep không còn tác dụng.
Nhưng, thời điểm hiện tại, ngay cả các chuyên gia bảo mật cũng cảm thấy lo lắng.

Thep PcWorld
CONFIGURING WINDOWS SERVER 2008

Managing Server Roles and Features – Quản lý các vai trò (Roles) và các đặc
điểm (Features) của máy Server chạy hệ điều hành Windows 2008

      Các công cụ sử dụng cho việc quản trị
      Các Server Roles là gì ?
      Các Server Features là gì ?
      Cài đặt Server Roles và Features bằng cách sử dụng Server Manager

Microsoft đã thay đổi các cách mà các nhà quản trị Administrators dùng để quản lý
trong môi trường Server. Hệ điều hành được cài đặt trong môi trường an toàn và nhà
quản trị có thể lựa chọn trong số 4 phương pháp để cấu hình Server theo ý muốn của
họ.

Sau khi quá trình cài đặt thành công và nhà quản trị tiến hành đăng nhập vào Server,
cửa sổ Initial Configuration Tasks hiện lên và cho phép nhà quản trị cấu hình cài đặt
máy theo server name, cấu hình cách thông số liên quan đến networking
configuration, cấu hình tự động cập nhật automatic updates và các thông số cấu hình
tường lửa Windows Firewall setting. Sau khi sử dụng công cụ này, nhà quản trị có thể
lựa chọn cách khác để cấu hình đầy đủ hơn đó là sử dụng công cụ Microsoft
Management Consoles (MMCs) để quản lý Server, sử dụng Server Manager để cài đặt
hay remove – loại bỏ các Roles đi, ngoài ra nhà quản trị có thể dùng Windows Power
Shell để cấu hình (nếu họ thích).

      Các công cụ sử dụng cho việc quản trị
Hình 1 – Cửa sổ Initial Configuration Tasks cung cấp các công cụ cho việc quản trị hệ
thống.

Sau khi bạn hoàn thành việc cài đặt cho hệ điều hành, bạn có thể quản lý hệ thống với
4 công cũ khác nhau.

Khi đăng nhập đầu tiên, nhà quản trị Administrator bắt buộc phải nhập password cho
tài khoản quản trị của họ, sau đó cửa sổ Initial Configuration Tasks hiện lên, trong
này có 3 khu vực quản lý nhỏ được tích hợp. Hoặc bạn có thể vào Server manager
trong start\programs\administrative tools\server manager để cấu hình, trong này cho
phép bạn cấu hình server với các tính năng tương tự trong cửa sổ Initial Configuration
Tasks. Hoặc bạn có thể dùng công cụ MMC hay Windows Power Shell để cấu hình
tương tự. Sự lựa chọn công cụ để cấu hình Server tùy thuộc vào nhiệm vụ của các
người dùng users mong muốn thực hiện và phụ thuộc vào kinh nghiệm mà họ phải
làm việc với với các công cụ chuyên biệt.



    Các Server Roles là gì ?
   1 Server Role mô tả chức năng chính của 1 máy Server.
       + Các nhà quản trị Administrator có thể hướng toàn bộ 1 máy tính đóng 1 vai
   trò nào đó hay cài đặt nhiều server roles trên 1 máy tính duy nhất.
       + Mỗi Role có thể bao gồm 1 hay nhiều dịch vụ Roles hay các nhân tố bên
   dưới thuộc trong 1 Role
       + Server Manager là 1 công cụ được sử dụng để cài đặt, cấu hình và loại bỏ
   các Server Roles

   Server Roles trong Windows Server 2008 mô tả chức năng chính của 1 máy
   Server. Ví dụ, 1 server role có thể đóng vai trò là 1 Active Directory Domain
   Services hoặc là 1 Web Server. Bạn có thể chọn để cài đặt 1 hay là nhiều Roles
   trên Windows Server 2008. Công cụ Server Manager được dùng cho việc cài đặt
   và loại bỏ các Server Roles trong môi trường Windows Server 2008

    Các Server Features là gì ?
   Server Features cung cấp và hỗ trợ các tính năng mở rộng đến các Servers
       + Thông thường các nhà quản trị Administrator thêm vào các Features không
   đóng vai trò là chức năng chính của 1 Server, nhưng nó là yếu tố bổ sung cho các
   chức năng của các Roles đã được cài đặt.
       + Server Manager là công cụ dùng để cài đặt, cấu hình và quản lý các Features
   trong Windows Server 2008

   1 Feature không mô tả tổng quát chức năng chính của 1 Server. Thay vào đó nó
   đóng vai trò là 1 chức năng bổ sung, mở rộng cho các Roles đã được cài đặt. Ví dụ
   1 Failover Clustering là 1 feature mà Administrator có thể lựa chọn để cài đặt sau
   khi đang cài đặt các Roles đặc biệt, ví dụ như File Services, tạo nên 1 File
   Services Role giúp tăng khả năng chịu lỗi.


      Cài đặt Server Roles và Features bằng cách sử dụng Server Manager
Ví dụ: bạn đã hoàn thành việc cài đặt xong Windows Server 2008, trong ví dụ này bạn
sẽ lần lượt cài đặt 1 Role tên là : Terminal Services role và 1 Feature tên là Server
backup bằng cách sử dụng công cụ quản trị hệ thống Server Manager tool

Cài đặt 1 Role tên là : Terminal Services role
B1 : Bạn mở công cụ Server Manager                        bằng   cách    click   vào
Start\Programs\Administrative Tools\Server Manager

B2: Cửa sổ Server Manager hiện lên, trong này bạn thấy có 2 khung panel (xem hình
minh họa 2 )




Hình 2 – giao diện cửa sổ Server Manager

B3: Click phải ngay Roles , chọn Add Roles
B4: Cửa sổ Add Roles Wizard hiện lên chọn Next
B5 Trong trang Server Roles, đánh dấu check vào Terminal Services (theo hình minh
họa 3 bên dưới )
Hình 3 – cài đặt Role Terminal Services


B6 : Click Next cho đến khi bạn gặp trang Select Role Services, check vào mục
Terminal Server, sau đó click Next (Hình 4)
Hình 4 – Lựa chọn Cài đặt Terminal Server


B7: Sau đó bạn tiếp tục click Next cho đến khi gặp nút Install, click vào nút Install để
tiến hành cài đặt Role Terminal Services (hình 5)




   Hình 5 – Qúa Trình cài đặt Terminal Services diễn ra.


B8: Sau khi cài đặt xong, bạn click mở rộng Roles trong Server Manager, lúc này bạn
sẽ thấy Terminal Services đã cài đặt xong (Hình 6)




Hình 6 – Terminal services đã cài đặt xong.
Cài đặt 1 Feature tên là Windows Server backup
B1: Click start\programs\administrative tools\server manager.

B2: Trong cửa sổ Server Manager, chọn dòng Features, click phải chuột ngay
Features rồi chọn Add Features, giao diện Add Features Wizard hiện ra, check vào
mục con Windows Server Backup trong mục Windows Server Backup Features (xem
hình minh họa 1.1)




Hình 1.1 Cài đặt Windows Server Backup

B3: Click Next để tiến hành cài đặt Windows Server Backup. Cài đặt xong, click
Close để tắt cửa sổ Server Manager.

B4: Sau khi cài đặt xong, bạn click mở rộng Features trong Server Manager, lúc này
bạn sẽ thấy Windows Server Backup đã cài đặt xong (Hình minh họa 1.2)




Hình 1.2 – Windows Server Backup Features đã cài đặt xong.

Tóm lại :
   Chỉ cài đặt Roles và Features khi vào những mục đích riêng biệt và cần thiết
       trong việc cấu hình cho máy Server.
   Chỉ cho phép duy nhất các kết nối inbound (từ bên ngoài kết nối vô) mà những
       kết nối này đòi hỏi những Roles và Features đã cài đặt trước đó.
   Kích hoạt tính năng Remote Desktop cho các nhà quản trị Administrator vào
    trong Windows Server 2008 theo chế độ cài đặt CORE installations ( quản lý
    theo cơ chế dòng lệnh). Tức là các Administrator sẽ thiết lập các kết nối
    Terminal đến Shell và quản trị windows server 2008 theo công cụ là dùng các
    dòng lệnh (command line).
FTP – Giao Thức Truyền File Hiệu Quả


                                             Theo Bách khoa toàn thư mở Wikipedia

                                              FTP (viết tắt của tiếng Anh File Transfer
                                              Protocol, "Giao thức truyền tập tin")
                                              thường được dùng để trao đổi tập tin qua
                                              mạng lưới truyền thông dùng giao thức
TCP/IP (chẳng hạn như Internet - mạng ngoại bộ - hoặc intranet - mạng nội bộ). Hoạt
động của FTP cần có hai máy tính, một máy chủ và một máy khách). Máy chủ FTP,
dùng chạy phần mềm cung cấp dịch vụ FTP, gọi là trình chủ, lắng nghe yêu cầu về dịch
vụ của các máy tính khác trên mạng lưới. Máy khách chạy phần mềm FTP dành cho
người sử dụng dịch vụ, gọi là trình khách, thì khởi đầu một liên kết với máy chủ. Một khi
hai máy đã liên kết với nhau, máy khách có thể xử lý một số thao tác về tập tin, như tải
tập tin lên máy chủ, tải tập tin từ máy chủ xuống máy của mình, đổi tên của tập tin, hoặc
xóa tập tin ở máy chủ v.v. Vì giao thức FTP là một giao thức chuẩn công khai, cho nên
bất cứ một công ty phần mềm nào, hay một lập trình viên nào cũng có thể viết trình chủ
FTP hoặc trình khách FTP. Hầu như bất cứ một nền tảng hệ điều hành máy tính nào cũng
hỗ trợ giao thức FTP. Điều này cho phép tất cả các máy tính kết nối với một mạng lưới
có nền TCP/IP, xử lý tập tin trên một máy tính khác trên cùng một mạng lưới với mình,
bất kể máy tính ấy dùng hệ điều hành nào (nếu các máy tính ấy đều cho phép sự truy cập
của các máy tính khác, dùng giao thức FTP). Hiện nay trên thị trường có rất nhiều các
trình khách và trình chủ FTP, và phần đông các trình ứng dụng này cho phép người dùng
được lấy tự do, không mất tiền.


Khái quát

FTP thường chạy trên hai cổng, 20 và 21, và chỉ chạy riêng trên nền của TCP. Trình chủ
FTP lắng nghe các yêu cầu dịch vụ từ những kết nối vào máy của các trình khách FTP,
trên cổng 21. Đường kết nối trên cổng 21 này tạo nên một dòng truyền điều khiển, cho
phép các dòng lệnh được chuyển qua trình chủ FTP. Để truyền tải tập tin qua lại giữa hai
máy, chúng ta cần phải có một kết nối khác. Tùy thuộc vào chế độ truyền tải được sử
dụng, trình khách (ở chế độ năng động - active mode) hoặc trình chủ (ở chế độ bị động -
passive mode) đều có thể lắng nghe yêu cầu kết nối đến từ đầu kia của mình. Trong
trường hợp kết nối ở chế độ năng động, (trình chủ kết nối với trình khách để truyền tải dữ
liệu) , trình chủ phải trước tiên đóng kết vào cổng 20, trước khi liên lạc và kết nối với
trình khách. Trong chế độ bị động, hạn chế này được giải tỏa, và việc đóng kết trước là
một việc không cần phải làm.

Trong khi dữ liệu được truyền tải qua dòng dữ liệu, dòng điều khiển đứng im. Tình trạng
này gây ra một số vấn đề, đặc biệt khi số lượng dữ liệu đòi hỏi được truyền tải là một số
lượng lớn, và đường truyền tải chạy thông qua những bức tường lửa. Bức tường lửa là
dụng cụ thường tự động ngắt các phiên giao dịch sau một thời gian dài im lặng. Tuy tập
tin có thể được truyền tải qua hoàn thiện, song dòng điều khiển do bị bức tường lửa ngắt
mạch truyền thông giữa quãng, gây ra báo lỗi.

Mục đích của giao thức FTP

Mục đích của giao thức FTP, như được phác thảo trong bản RFC, là:

   1. Khuyến khích việc dùng chung tập tin (như chương trình ứng dụng vi tính hoặc
      dữ liệu)
   2. Khuyến khích việc sử dụng máy tính ở xa một cách gián tiếp / ngấm ngầm
      (implicit).
   3. Che đậy sự khác biệt về hệ thống lưu trữ tập tin giữa các máy chủ, hầu cho người
      dùng không cần phải quan tâm đến những sự khác biệt riêng tư của chúng.
   4. Truyền tải dữ liệu một cách đáng tin cậy và có hiệu quả cao.

Những phê bình về giao thức FTP

   1. Mật khẩu và nội dung của tập tin được truyền qua đường cáp mạng ở dạng văn
      bản thường (clear text), vì vậy chúng có thể bị chặn và nội dung bị lộ ra cho
      những kẻ nghe trộm. Hiện nay, người ta đã có những cải tiến để khắc phục nhược
      điểm này.
   2. Cần phải có nhiều kết nối TCP/IP: một dòng dành riêng cho việc điều khiển kết
      nối, một dòng riêng cho việc truyền tập tin lên, truyền tập tin xuống, hoặc liệt kê
      thư mục. Các phần mềm bức tường lửa cần phải được cài đặt thêm những lôgic
      mới, đế có thể lường trước được những kết nối của FTP.
   3. Việc thanh lọc giao thông FTP bên trình khách, khi nó hoạt động ở chế độ năng
      động, dùng bức tường lửa, là một việc khó làm, vì trình khách phải tùy ứng mở
      một cổng mới để tiếp nhận đòi hỏi kết nối khi nó xảy ra. Vấn đề này phần lớn
      được giải quyết bằng cách chuyển FTP sang dùng ở chế độ bị động.
   4. Người ta có thể lạm dụng tính năng ủy quyền, được cài đặt sẵn trong giao thức, để
      sai khiến máy chủ gửi dữ liệu sang một cổng tùy chọn ở một máy tính thứ ba. Xin
      xem thêm về FXP.
   5. FTP là một giao thức có tính trì trệ rất cao (high latency). Sự trì trệ gây ra do việc,
      nó bắt buộc phải giải quyết một số lượng lớn các dòng lệnh khởi đầu một phiên
      truyền tải.
   6. Phần nhận không có phương pháp để kiểm chứng tính toàn vẹn của dữ liệu được
      truyền sang. Nếu kết nối truyền tải bị ngắt giữa lưng chừng thì không có cách gì,
      trong giao thức, giúp cho phần nhận biết được rằng, tập tin nhận được là hoàn
      chỉnh hay còn vẫn còn thiếu sót. Sự hỗ trợ bên ngoài, như việc dùng kiểm tra tổng
      MD5, hoặc dùng kiểm độ dư tuần hoàn (cyclic redundancy checking) là một việc
      cần thiết.

Những vấn đề về bảo an khi dùng FTP
FTP là một phương pháp truyền tập tin có truyền thống phi bảo an (không an toàn), vì
theo như bản thiết kế gốc đặc tả của FTP, không có cách nào có thể truyền tải dữ liệu
dưới hình thức mật mã hóa được. Ảnh hưởng này có nghĩa là, phần lớn các cài đặt của
mạng lưới truyền thông, tên người dùng, mật khẩu, dòng lệnh FTP và tập tin được truyền
tải, đều có thể bị người khác trên cùng một mạng lưới, "ngửi" hoặc quan sát, dùng phần
mềm phân tích giao thức (protocol analyzer) (hoặc còn gọi là "dụng cụ ngửi dữ liệu",
tiếng Anh là "sniffer"). Nên chú ý rằng đây là vấn đề thường thấy ở các giao thức của
Internet được thiết kế trước khi SSL (Secure Sockets Layer) ra đời (tạm dịch là giao thức
"tầng kết nối bảo mật"), như HTTP, SMTP và Telnet. Giải pháp thường thấy, đối với vấn
đề này, là dùng SFTP (Secure Shell File Transfer Protocol - tạm dịch là "giao thức truyền
tập tin dùng trình bao bảo mật"), một giao thức dựa trên nền của SSH, hoặc trên FTPS
(FTP over SSL). SFTP là FTP được cộng thêm chức năng mã hoá dữ liệu của SSL hoặc
TLS (Transport Layer Security - tạm dịch là "Bảo mật tầng giao vận").

FTP nặc danh
Nhiều máy chủ chạy trình chủ FTP cho phép cái gọi là "FTP nặc danh". Bố trí này cho
phép người dùng truy nhập vào máy chủ mà không cần có trương mục. Tên người dùng
của truy cập nặc danh thường là hai chữ 'nặc danh' hoặc một chữ 'ftp' mà thôi. Trương
mục này không có mật khẩu. Tuy người dùng thường bị đòi hỏi phải kèm địa chỉ thư điện
tử của mình vào, thay thế cho mật khẩu, hòng giúp phần mềm xác minh người dùng, song
thủ tục xác minh thường là rất sơ sài và hầu như không có - tùy thuộc vào trình chủ FTP
đang được dùng và sự cài đặt của nó. Internet Gopher đã được đề nghị trở thành một hình
thức thay thế của FTP nặc danh.

Dạng thức của dữ liệu

Có hai chế độ được dùng để truyền tải dữ liệu qua mạng lưới truyền thông:

   1. Chế độ ASCII
   2. Chế độ Nhị phân

Hai chế độ này khác nhau trong cách chúng gửi dữ liệu. Khi một tập tin được truyền
dùng chế độ ASCII, mỗi một chữ, mỗi con số, và mỗi ký tự đều được gửi trong dạng mã
ASCII. Máy nhận tin lưu trữ chúng trong một tập tin văn bản thường, dưới dạng thức
thích hợp (chẳng hạn, một máy dùng Unix sẽ lưu trữ nó trong dạng thức của Unix, một
máy dùng Macintosh sẽ lưu trữ nó trong dạng thức của Mac). Vì thế, khi chế độ ASCII
được dùng trong một cuộc truyền tải dữ liệu, phần mềm FTP sẽ tự cho rằng các dữ liệu
được truyền gửi có dạng thức văn bản thường (plain text), và lưu trữ trên máy nhận theo
dạng thức của máy. Chuyển đổi giữa các dạng thức văn bản thường bao gồm việc, thay
thế mã kết dòng và mã kết tập tin, từ những mã tự được dùng ở máy nguồn, sang những
mã tự được dùng ở máy đích, chẳng hạn một máy dùng hệ điều hành Windows, nhận một
tập tin từ một máy dùng hệ điều hành Unix, máy dùng Windows sẽ thay thế những chữ
xuống dòng (carriage return) bằng một cặp mã, bao gồm mã xuống dòng và mã thêm
hàng (carriage return and line feed pairs). Tốc độ truyền tải tập tin dùng mã ASCII cũng
nhanh hơn một chút, vì bit ở hàng cao nhất của mỗi byte của tập tin bị bỏ [1].

Gửi tập tin dùng chế độ nhị phân khác với cái trên. Máy gửi tập tin gửi từng bit một sang
cho máy nhận. Máy nhận lưu trữ dòng bit, y như nó đã được gửi sang. Nếu dữ liệu không
phải ở dạng thức văn bản thường, thì chúng ta phải truyền tải chúng ở chế độ nhị phân,
nếu không, dữ liệu sẽ bị thoái hóa, không dùng được.

Theo như cài đặt sẵn, phần lớn các trình khách FTP dùng chế độ ASCII khi khởi công.
Một số trình khách FTP xét nghiệm tên và nội dung của tập tin được gửi, để xác định chế
độ cần phải dùng.

FTP và các trình duyệt
Đa số các trình duyệt web (web browser) gần đây và trình quản lý tập tin (file manager)
có thể kết nối vào các máy chủ FTP, mặc dù chúng có thể còn thiếu sự hỗ trợ cho những
mở rộng của giao thức, như FTPS chẳng hạn. Điều này cho phép người dùng thao tác các
tập tin từ xa, thông qua kết nối FTP, dùng một giao diện quen thuộc, tương tự như giao
diện trong máy của mình (ví dụ liệt kê danh sách của các tập tin của máy ở xa trông
giống như phần liệt kê của máy mình, đồng thời các thao tác sao bản tập tin (copy), đổi
tên, xóa, v.v.. được xử lý như là chúng ở trong máy mình vậy). Phương pháp làm là thông
qua FTP URL, dùng dạng thức ftp(s)://<địa chỉ của máy chủ FTP> (ví dụ: ftp.gimp.org).
Tuy không cần thiết, song mật khẩu cũng có thể gửi kèm trong URL, ví dụ: ftp(s)://<tên
người dùng>:<mật khẩu>@<địa chỉ của máy chủ FTP>:<số cổng>. Đa số các trình duyệt
web đòi hỏi truyền tải FTP ở chế độ bị động, song không phải máy chủ FTP nào cũng
thích ứng được. Một số trình duyệt web chỉ cho phép tải tập tin xuống máy của mình mà
không cho phép tải tập tin lên máy chủ.

FTP trên nền SSH

"FTP trên nền của SSH" ám chỉ đến một kỹ thuật "đào hầm" cho một phiên giao dịch
dùng giao thức FTP bình thường, thông qua một kết nối dùng giao thức SSH.

Vì FTP (một giao thức khá bất thường, dựa trên nền của giao thức TCP/IP, mà hiện nay
người ta vẫn còn dùng) sử dựng nhiều kết nối TCP, cho nên việc đi ngầm dưới nền của
SSH là một việc khó khăn. Đối với đa số các trình khách của SSH, khi "kết nối điều
hành" (kết nối khởi đầu giữa máy khách tới máy chủ, dùng cổng 21) được thiết lập, SSH
chỉ có thể bảo vệ được đường kết nối này mà thôi. Khi việc truyền tải dữ liệu xảy ra, trình
FTP ở một trong hai đầu, sẽ thiết lập một kết nối TCP mới ("đường dẫn dữ liệu") và kết
nối này sẽ bỏ qua kết nối của SSH, làm cho nó không còn được hưởng tính tin cẩn
(confidentiality), sự bảo vệ tính toàn vẹn (integrity protection) của dữ liệu, hoặc những
tính năng khác mà SSH có.

Nếu trình khách FTP được cài đặt dùng chế độ bị động, và kết nối với một máy chủ dùng
giao diện SOCKS, là giao diện mà nhiều trình khách SSH có thể dùng để tiến cử việc đi
ngầm, việc dùng các đường kết nối của FTP, trên các kết nối của SSH, là một việc có thể
làm được.

Nếu không, các phần mềm trình khách SSH phải có kiến thức cụ thể về giao thức FTP,
giám sát và viết lại các thông điệp trong kết nối điều khiển của FTP, tự động mở các
đường truyền tải dữ liệu cho FTP. Phiên bản 3 của trình SSH (do công ty phần mềm
Communications Security Corp. sản xuất) là một ví dụ điển hình, hỗ trợ những khả năng
nói trên [2].

"FTP trên nền của SSH" còn đôi khi được gọi là FTP bảo an (secure FTP). Chúng ta
không nên nhầm cái này với những phương pháp bảo an FTP, như SSL/TLS hay còn gọi
là FTPS. Những phương pháp để truyền tải các tập tin khác, dùng SSH, không có liên
quan đến FTP, bao gồm SFTP (SSH file transfer protocol - giao thức truyền tải tập tin
dùng SSH) hoặc SCP (Secure copy - sao chép bảo an) - trong cả hai cái này, toàn bộ cuộc
hội thoại (xác minh người dùng và truyền tải dữ liệu) đều luôn luôn được bảo vệ bằng
giao thức SSH.
WINDOWS XP PROFESSIONAL
Managing File & Print

Trong bài học này chúng ta sẽ thực hiện các chức năng :
• Thiết lập các quyền của file/folder (file permision)
• Chia sẽ folder
Ở bài đầu tiên về Windows XP chúng ta đã làm quen với các thao tác tạo user, group và
cách thức add một user vào group. Tiếp theo các bạn sẽ thực hành các thao tác chia sẽ tập
tin và gán quyền hạn cho các tập tin này, bên cạnh đó là thực hành đối với các máy in
như cài đặt, chia sẽ và xử lý sự cố, gán quyền ưu tiên...
Một trong những chức năng lớn nhất của hệ thống mạng máy tính là xử lý thông tin và
chia sẽ dữ liệu, trong quá trình làm việc chắc chắn chúng ta cần phải truy cập dữ liệu trên
server, dữ liệu trên máy tính của đồng nghiệp hay chia sẽ các folder âm nhạc của mình
cho người khác cùng thưởng thức…Vì vậy việc chia sẽ thông tin và gán những quyền hạn
hợp lệ đối với người dùng là một thao tác rất quan trọng. Đầu tiên chúng ta hãy khảo sát
các hệ thống tập tin chính được hổ trợ bởi Windows XP là FAT/FAT32/NTFS

Bảng so sánh FAT/FAT32/NTFS v.5




Một đĩa cứng khi mới mua về cũng giống như một cái tủ chưa có những vách ngăn bên
trong, muốn sử dụng nó chúng ta cần phải đóng các kệ - những vách ngăn thích hợp để
đựng những vật dụng như sách vỡ.., việc này giống như quá trình định dạng (format) đĩa
cứng. Tuỳ theo kích thước của đĩa cứng mà chúng ta nên chọn những cơ chế “vách ngăn”
thích hợp để có thể sử dụng được tối đa dung lượng của nó, và chúng ta có 3 cơ chế chính
là:
• FAT: chỉ hổ trợ dung lượng phần chia tối đa 4GB do đó ngày nay hầu như không còn
(hoặc rất ít) được sử dụng.
• FAT32 : là mở rộng của FAT với kích thước phần chia tối đa lên đến 2TB, tuy nhiên
không hỗ trợ việc thiết lập các quyền hạn đối với tập tin, folder cho nên chúng ta không
nên sử dụng cơ chế này trừ một số tường hợp đặc biệt như muốn chia sẽ thông tin giữa
Windows 9x và Windows XP trên một hệ thống dualboot. Các bạn có thể download
simulation về một hệ thống dualboot tại đây:
www.security365.org/netcenter/download/baitap/dualboot.rar
• NTFS v.5 : là định dạng được sử dụng nhiều nhất do hỗ trợ kích thước phần chia lớn
(tham khảo hình vẽ), và cho phép thiết lập các quyền hạn NTSF permission đối với tập
tin và thư mục.. cho nên các bạn nên sử dụng NTSF cho hệ thống của mình. Tại sao lại có
v.5? Đó là do hệ thống NTFS xuất hiện từ Windows NT, tuy nhiên phiên bản NTFS trên
Windows 2000 có nhiều mở rộng hơn so với v.4 trên hệ thống Windows NT nên được đặt
tên là NTFS v.5, và Windows NT phải cài SP6 mới sử dụng được hệ thống tập tin này.
Và từ đây, khi nói đến các quyền hạn của người dùng đối với file/folder tức là chúng ta
đang nói đến các File/Folder NTFS permission.

NTFS Permission
Để quản lý các quyền truy cập trên hệ thống tập tin chúng ta phải gán các quyền NTFS
thông qua một danh sách các quyền hạn như Read/ Write hay Modify…, danh sách các
quyền hạn này được gọi là ACL (Access Control List), và các quyền riêng lẽ như Read
permission hay Write permission gọi là các ACE (Access Control Entry). Chúng ta có thể
gán các quyền là Allow (cho phép) hay Deny (không cho phép) đối với các ACE.
Folder permission : ví dụ dưới đây là quyền hạn của user red komodo đối với folder data,
chúng ta thấy có các Folder permission như sau:




Full Controll: có toàn quyền đối với folder ( thường thì người tạo ra folder sẽ được gán
quyền này)
Modify :thay đổi file trong folder, thay đổi thuộc tính, chạy chương trình trong folder,
xem nội của folder và các tập tin của nó.
Read& Execute: xem nội của folder và các tập tin, chạy chương trình trong folder.
List Folder Content :tương tự như Read & Execute
Read: xem nội của folder và các tập tin của folder
Write: thay đổi các file trong folder

• File Permision : cũng giống như folder, các file cũng có những quyền hạn như sau:
Khác Với Folder, Chúng Ta Không Có Quyền List Folder Content Đối Với Tập Tin. Tuy
Nhiên Các Quyền Khác Thì Vẫn Tương Tự.
Full Control: có toàn quyền đối với tập tin ( người tạo ra tập tin sẽ được gán quyền này)
Modify : thay đổi file và các thuộc tính, thực thi file.
Read & Execute :xem nội dung file và thực thi file.
Read : xem nội dung file
Write : thay đổi file và các thuộc tính của nó.
Câu hỏi : Đây là các trường hợp thường gặp trong thực tế và trong những câu hỏi của
Microsft khi thi các chứng chỉ của MCSE Security. Các anh/chị hãy gởi đáp án về cho
Instructor@Security365.Org
• Như vậy theo các anh/chị sự khác biệt chính giữa quyền Full Control và Modify là ở
điểm nào?
• Nếu chúng ta có một folder Data, và chúng ta muốn user red komodo, group
Accounting được phép đọc và ghi trên folder này để có thể lưu trữ dữ liệu nhưng không
cho phép xoá thì làm thế nào?
Sự Thừa Kế Của Các File/Folder Permission




Các quyền NTSF có tác dụng kế thừa đối với các folder con, như trong trường hợp trên
các folder Middle và Bottom sẽ có các quyền NTSF của folder Top + Các quyền NTSF
được thiết lập riêng cho nó. Tuy nhiên, chúng ta vẫn có thể block không cho kế thừa các
quyền NTSF từ folder cha như trường hợp của folder Top.
1. Thiết lập File và Folder Permission :
• Log in hệ thống với quyền Full Control đối với file/folder nào đó (ví dụ log in bằng
account security365 với quyền full control đối với folder NetSecurity)
• Click chuột phải vào folder NetSecurity và chọn Properties
• Trên hộp thoại thuộc tính của NetSecurity chọn tab Security




• Để gán quyền cho một user hay group nào đó đối với folder chúng ta có quyền full
control ( thường là các folder do chúng ta tạo ra hoặc có quyền administrator đối với hệ
thống) hãy click Add và chọn user/group tương ứng ví dụ user rk và cho phép chỉ đọc đối
với user này trên folder NetSecurity và Deny quyền Write:
•

Lưu ý : trong ví dụ trên chúng ta gán quyền đọc đối với rk trên folder NetSecurity và
Deny quyền Write, điều này có nghĩa là cho dù user rk (redkomodo) có thuộc về những
group có quyền Write đối với NetSecurity thì rk vẫn không được phép ghi bất kỳ dữ liệu
nào trong folder này và các folder con của nó vì quyền Deny phủ chồng (overwrite) lên
tất cả.
Trong trường hợp muốn thay đổi các quyền hạn đã thiết lập cho rk trên folder
NetSecurity các bạn chỉ cần mở lại ô thuộc tính như trên và gán lại các quyền thích hợp.
Ngoài cách gán quyền folder/file NTSF cho user theo cách trên chúng ta còn có thể gán
quyền cho một hoặc nhiều user thông qua group chứa những user này. Ví dụ sau sẽ gán
quyền Full Control đối với các user thuộc group Accounting:
• Sau khi nhấn nút Add trên chúng ta chọn group Accounting và click OK (2 lần)




•

• Trong ô Permissions for Accounting click Full Control, điều này có nghĩa là các user
thuộc về group Accouting như rk, student sẽ có quyền Full Control đố với folder
NetSecurity. Nhưng user rk thì không được phép Write vì ở trên chúng ta đã Deny quyền
Write của rk đối với folder NetSecurity.
Share Folder:
Trong một hệ thống mạng, chắc chắn chúng ta cần phải chia sẽ một số dữ liệu trên máy
của mình cũng như truy cập dữ liệu chia sẽ trên máy người khác. Vì vậy chúng ta cần
phải biết cách chia sẽ dữ liệu với những quyền hạn hợp lệ để tránh trường hợp các user
khác thực hiện các quyền không được phép đối với dữ liệu của mình (ví dụ xoá hay ghi
lên folder chia sẽ).
Trước tiên hãy mở Exploer và chọn Tool => Folder Option và chọn tab View




Tiếp theo hãy click vào mũi tên xổ xuống và bỏ dấu chọn ô check box Use simple file
sharing và click OK.




Bây giờ chúng ta hãy mở khung thuộc tính của các folder mà mình muốn chia sẽ ví dụ
NetSecurity và chọn tab Sharing. Các bạn có thể đặt tên trong phần Share name, mặc
định hệ thống sẽ đặt trùng tên với tên folder. Để chi tiết hơn chúng ta có thể thêm một số
ghi chú về folder này trong phần comment để các user dễ dàng phân biệt.
Ngoài ra, chúng ta có thể hạn chế số kết nối cùng lúc đến thư mục chia sẽ bằng cách xác
định trong ô Allow this number of users.
Đối với một folder share có 2 quyền hạn được áp đặt, ngoài quyền NTSF còn có Share
Permission, mặc định Everyone có quyền Read đối với các share folder. Chúng ta có thể
xác định quyền này bằng cách click vào nút Permissions để mở hộp thoại share
permission




Cách gán quyền tương tự như đối với NTSF permission. Có 3 loại share permission:
Read: kết nối đến folder, chạy chương trình, mở file, mở folder
Change: kết nối đến folder, mở file/folder, chạy chương trình, và tạo, xóa file hay sub
folder.
Full Control : tiến hành bất kỳ hoạt động nào đối với folder và file/subfolder.
Lưu ý: trong trường hợp chúng ta share folder nhưng không muốn hiển thị các folder
share này trên mạng các bạn có thể đặt tên share name với ký tự $ ở cuối.
Để quản lý các share folder, số lượng session kết nối đến các share folder và những file
được mở chúng ta dùng Computer Management Console và chọn task Shares:
Chúng ta có thể stop sharing một folder nào đó, disconnect một session..thông qua
console này. Mặc định trong phần share folder có rất nhiều mục chia sẽ dành cho các thao
tác quản trị và được ẩn như ADMIN$, C$. Để stop sharing các mục này các bạn hãy chọn
chuột phải vào chúng và click stop sharing, tuy nhiên sau khi máy tính khởi động chúng
vẫn bật chức năng share này lên lại. Vì vậy nếu muốn tắt hẳn thì các bạn phải tạo thêm
một key trong registry và disable chúng. Ở đây chúng tôi không trình bày chi tiết cách
thực hiện, nếu các bạn cần tham khảo có thể xem trong trang web www.labmice.net .




Security365 Support Team
CÁCH KHÔNG CHỈ ĐIỂM VỚI SSH TUNNELING
T/g : Nguyễn Trần Tường Vinh


                                                    Trong vai trò quản trị hệ thống
                                                    hay chuyên viên hổ trợ kỹ thuật,
                                                    đôi khi chúng ta cần kết nối từ
                                                    máy tính trong văn phòng đến
                                                    các máy tính ở nhà hoặc ở các
                                                    chi nhánh để tiến hành các thao
                                                    tác xử lý sự cố họăc hổ trợ kỹ
                                                    thuật nào đó thông qua các
                                                    chương trình như VNC,Terminal
                                                    Service hay RAdmin. Tuy nhiên
                                                    khi công ty sử dụng Firewall như
                                                    ISA, CheckPoint để bảo vệ hệ
                                                    thống và kiểm sóat các luồng dữ
                                                    liệu vào và ra một cách chặt chẽ
                                                    thì ta sẽ gặp trở ngại lớn. Chúng
                                                    ta không thể (hoặc không có
                                                    quyền) mở các TCP Port 4899
                                                    (Radmin), hay 5900 (VNC) để
thực hiện các kết nối của mình. Vậy làm cách nào để chúng ta vẫn có thể hòan thành
được công việc mà vẫn đảm bảo chính sách bảo mật của công ty không bị thay đổi?

Cho dù hệ thống của bạn có các Firewall bảo vệ thì các TCP Port quan trọng như 110
(pop3), 80 (http), 21 (ftp), 22 (ssh) vẫn thường mở để tiến hành các công việc cần thiết
như duyệt web, e-mail.. đặc biệt TCP Port 22 của dịch vụ SSH có chức năng mã hóa
phiên truyền thường được các firewall ưu ái cho qua, và chúng ta sẽ dựa vào dịch vụ này
để tạo ra một SSH Tuneling đáp ứng cho công việc của mình.

Ta cần có ssh server cài trên các máy ở xa (remote computer), ssh client trên máy điều
khiển (local computer) và những chương trình remote control như VNC, Terminal
Services hay RAdmin. Trong phần này tôi sẽ dùng một chường trình rất thông dụng là
RAdmin (ngòai ra VNC cũng là một phần mềm remote control 5 sao miễn phí rất được
ưa thích, cách thực hiện tương tự chỉ khác là ta phải dùng TCP Port 5900 thay cho 4899).

Cài SSH Server trên remote computer thông qua Cygwin

Nếu máy tính cần điều khiển chạy các hệ thống như Linux thì bạn có thể tải về các gói
openSSH từ http://sourceforge.net (thông thường trên các bản Redhat, FC hay Mandrake
đã có sẳn openSSH trên bộ đĩa source (ta chỉ cần vào Add/Remote Application và chọn
gói openSSH để cài đặt SSH Server. Còn nếu như các máy xa dùng hệ điều hành
Windows thì các bạn có thể cài Tectia SSH Server hay phần mềm Freeware Win_Open-
SSH (tải về từ http://are-peace.com/v2/download.php ). Trong phần này tôi trình bày giải
pháp cấu hình SSH Server dựa trên phần mềm tạo môi trường Linux trên Windows là
CYGWIN.

Cygwin là một phần mềm tuyệt vời có thể tạo một môi trường linux-like giúp các bạn
muốn nghiên cứu Linux nhưng ngại cài đặt và vẫn dùng hệ thống Windows hiện có của
mình. Cygwin có thể được cài trực tiếp từ Internet rất dễ dàng, mặc dù không phải là một
môi trường Linux thuần túy nhưng cũng giúp các bạn nắm được các cấu trúc và dòng
lệnh của Linux nhanh chóng. Các thông tin tham khảo và cài đặt cygwin có thể xem ở
http://cygwin.com.




Hình vẽ quá trình cài đặt từ http://cygwin.com

Chọn Ftp site và nhấn Next sau đó lựa các gói openssh và openssl trong khung Select
Packages của chương trình cài đặt, tuy nhiên ta có thể cài thêm các gói khác nếu muốn:
Hình vẽ các gói openssh và openssl trong Seclect Packages
Hình vẽ quá trình cài đặt cygwin với các package được chọn

Khi quá trình cài đặt hòan tất ta hãy nhấp vào biểu tượng cygwin trên Desktop để load
shell của cygwin, và thực thi dòng lệnh ssh-host-config để cấu hình SSH Server như hình
dưới đây:




Sau đó khởi động SSHD bằng lệnh net start sshd thông qua giao diện dòng lệnh của
Windows (nhấn Start->Run->CMD ).




Vậy là chúng ta đã hòan tất quá trình cấu hình remote server phục vụ cho công việc của
mình (ở đây tôi không trình bày phương pháp cài đặt VNC hay RAdmin).

Cài Đặt Và Cấu Hình SSH Client Trên Local Computer Bằng Putty

Một trong các chương trình ssh client miễn phí xuất sắc là PuTTY có thể tải về từ
www.webattack.com . Sau khi tải về ta chỉ cần double click vào biểu tượng PuTTY để
khởi động và nhập vào các tham số như dưới đây:
- Host Name (or IP address) 203.210.218.12 là địa chỉ public của remote server .

- Port 22 là TCP Port của SSH tại tầng vận chuyển

Tiếp theo hãy chọn mục Tunnels từ giao diện PuTTY để thiết lập SSH Tunnel theo các
thông số như hình bên (nhớ chọn nút Add để ghi các tham số này vào khung Forwarded
ports )
• Source port là port của chương trình remote control đang lắng nghe trên máy được điều
khiển (VNC dung port 5900, RAdmin: 4899).

• Destination là địa chỉ remote server và port đang lắng nghe.

Bây giờ ta đã có thể tiến hành công việc remote control vượt qua firewall dựa trên ssh
tunneling , hãy nhấn Open để tạo kết nối ssh đến remote server và đăng nhập với tài
khỏan hợp lệ. Sau khi quá trình đăng nhập hòan tất kiểm tra lại bằng lệnh netstat –na sẽ
thấy TCP Port 4899 trên máy ở xa đã được map đến máy nội bộ:




Tạo kết nối Remote Control bằng RAdmin client :
Cuối cùng, hãy mở RAdmin client kết nối đến TCP Port 4899 của máy nội bộ (IP
127.0.0.1 ), WoW!, với tài khỏan hợp lệ là chúng ta đã có thể tương tác được với màn
hình trên máy tính ở xa để tiến hành thao tác sửa chữa hay cài đặt thêm phần mềm mà
không cần thay đổi policy của firewall.




Hình vẽ màn hình của remote computer với public ip 203.210.218.12



Kết Luận :
Thông qua bài viết này tôi muốn nhấn mạnh thêm một khía cạnh khác thường được nhiều
người quan tâm đó là : “ tại sao công ty của tôi có các hệ thống firewall được cấu hình rất
chặt chẽ nhưng các hacker vẫn có thể vào/ra như chổ không người ”, bởi vì phương pháp
“ Cách Không Chỉ Điểm ” này cũng thường được các hacker áp dụng để vượt firewall từ
phía trong mạng nội bộ trên các máy đã bị nhiễm trojan. Vì khuôn khổ bài viết có hạn và
cũng không tiện cho việc trình bày giải pháp này, tuy nhiên các bạn yêu thích bảo mật chỉ
cần làm ngược lại để hòan thiện qui tắc Biết Người Biết Ta.
SEO - Hướng Dẫn Add Site Map Lên Google
                                              Trong bài hướng dẫn này chúng ta sẽ
                                              thực hành đưa sitemap diễn đàn của
                                              mình lên Google, thông thường thì kết
                                              quả của chúng ta đưa lên Google Server
                                              có thể sẽ nằm trong vùng đệm được gọi
                                              là sandbox để Google "kiểm duyệt"
                                              trước khi cập nhật chính thức vào
                                              database. VBB hỗ trợ công cụ add
                                              sitemap khá thuận tiện, nhưng các bạn
                                              cần lưu ý khi tiến hành cần phải tạo 1
folder để hệ thống có thể ghi dữ liệu sitemap vào, nếu không sẽ thấy thông báo lỗi
không tạo được sitemap...

Các bạn có thể gán quyền bằng nhiều cách, thông qua Cpanel, Web panel hay
FileZilla ...
Nếu có câu hỏi hãy gởi lên diễn đàn thảo luận tại đây…

				
DOCUMENT INFO
Categories:
Tags:
Stats:
views:24
posted:8/9/2011
language:Vietnamese
pages:45