1. Trang chủ
  2. » Luận Văn - Báo Cáo

Đồ án cuối kỳ môn bảo mật mạng data encryption

47 15 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Data Encryption
Tác giả Võ Quốc Huy, Nguyễn Hải Đăng
Người hướng dẫn TS. Trương Đình Tú
Trường học Trường Đại Học Tôn Đức Thắng
Chuyên ngành Bảo Mật Mạng
Thể loại Đồ án cuối kỳ
Năm xuất bản 2019
Thành phố Thành Phố Hồ Chí Minh
Định dạng
Số trang 47
Dung lượng 3,56 MB

Cấu trúc

  • CHƯƠNG 1 GROUP POLICY TRÊN WINDOWS SERVER 2012 (12)
    • 1.1 Giới thiệu (12)
    • 1.2 Cấu tạo của GPO (12)
    • 1.3 Nguyên tắc hoạt động của GPO (13)
  • CHƯƠNG 2 Data Encryption (13)
    • 2.1 Tổng quan (13)
    • 2.2 Nâng cấp Windows Server 2012 (Server Core) lên Domain Controller và (14)
      • 2.2.1 Sơ đồ địa chỉ như sau (14)
      • 2.2.2 Thực hiện nâng cấp máy Server lên Domain Controller (14)
      • 2.2.3 Thực hiện đặt IP tĩnh và đặt địa chỉ DNS server (18)
      • 2.2.4 Thực hiện Join máy Client vào Domain (20)
    • 2.3 Exercise 1: Full Disk Encryption using BitLocker (23)
      • 2.3.1 Task 1: Configure BitLocker settings via GPO (24)
        • 2.3.1.1 Bước 1 (24)
        • 2.3.1.2 Bước 2 (24)
        • 2.3.1.3 Bước 3 (25)
        • 2.3.1.4 Bước 4 (26)
        • 2.3.1.5 Bước 5 (27)
        • 2.3.1.6 Bước 7 (28)
        • 2.3.1.7 Bước 8 (29)
        • 2.3.1.8 Bước 9 (29)
        • 2.3.1.9 Bước 10 (30)
        • 2.3.1.10 Bước 11 (31)
      • 2.3.2 Task 2: Shrink the Existing Drive (32)
        • 2.3.2.1 Bước 1 (32)
        • 2.3.2.2 Bước 2 (33)
        • 2.3.2.3 Bước 3 (34)
      • 2.3.3 Task 3: Enable BitLocker (35)
        • 2.3.3.1 Bước 1 (35)
        • 2.3.3.2 Bước 2 (36)
      • 2.3.4 Task 4: Verify BitLocker functionality (37)
        • 2.3.4.1 Bước 1 (37)
        • 2.3.4.2 Bước 2 (38)
      • 2.3.5 Task 5: Manage BitLocker using the command prompt (39)
      • 2.3.6 Task 6: Unlock the Encrypted Drive using Recovery Keys (39)
        • 2.3.6.1 Bước 1 (39)
      • 2.3.7 Task 7: Remove BitLocker disk encryption on Drive E (42)
        • 2.3.7.1 Bước 1 (42)
    • 2.4 Exercise 2: Manage Security for Removable Media (43)
      • 2.4.1.1 Bước 1 (43)
  • TÀI LIỆU THAM KHẢO (47)

Nội dung

Trong bài báo cáo này chúng ta sẽ tìm hiểu cách thức triển khai chính sách GPO trên windows server 2012 cụ thể với hai bài tập về Full Disk Encryption using BitLocker và Manage Security for Removable Media

GROUP POLICY TRÊN WINDOWS SERVER 2012

Giới thiệu

Group Policy Object (GPO) là công cụ quản lý chính sách người dùng, giúp ngăn chặn và giới hạn các hành động có thể ảnh hưởng đến hệ thống GPO không chỉ bảo vệ hệ thống mà còn tiết kiệm thời gian trong việc quản lý và xử lý sự cố từ phía người dùng.

Cấu tạo của GPO

- Group Policy Template: chứa các thuộc tính, 2 thuộc tính chính là User Configuration và computer configuration

• Là nơi chứa các chính sách, có thể tạo một hoặc nhiều chính sách GPO dùng cấu trúc AD để áp dụng các chính sách lên user hoặc computer

• Đường dẫn chứa các chính sách:

C:\Windows\SYSVOL\sysvol\banhflan.local\Policies

Nguyên tắc hoạt động của GPO

Các chính sách có thể được áp dụng cho OU, Site và Domain Theo mặc định, Group Policy Object (GPO) sẽ xử lý các chính sách theo thứ tự ưu tiên: OU, Site và cuối cùng là Domain.

Quá trình cập nhật GPO diễn ra khi máy tính khởi động và người dùng đăng nhập Sau đó, các chính sách GPO sẽ được cập nhật định kỳ mỗi 90 đến 120 phút Ngoài ra, người dùng có thể thực hiện cập nhật ngay lập tức các chính sách GPO bằng lệnh gpupdate /force.

Data Encryption

Tổng quan

Hình 2.1: Mô hình thực hiện demo

Hệ thống gồm có 02 máy tính:

- Máy Server chạy hệ điều hành Windows Server 2012 R2 – Domain Controller (IP: 192.168.116.131)

- Máy WIN8 chạy hệ điều hành Windows 8.1 R3 – Domain Workstation (IP: 192.168.116.132)

Nâng cấp Windows Server 2012 (Server Core) lên Domain Controller và

2.2.1 Sơ đồ địa chỉ như sau:

Thông số Windows Server 2012 Windows 8.1

Bảng 2.1: Thông số các máy trong demo

2.2.2 Thực hiện nâng cấp máy Server lên Domain Controller

Hình 2.2: Gõ lệnh “powershell.exe” để vào chế độ PowerShell

Hình 2.3: Gõ lệnh “cd c:\” để chuyển vào ổ C của máy chủ

Sau khi vào đường dẫn C:\>, ta gõ lệnh sau:

Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

Hình 2.4: Nhập lệnh để cài đặt dịch vụ

Hình 2.5: Máy chủ cài đặt dịch vụ ADDS

Tiếp theo ta nâng cấp lên Domain Controller với câu lệnh sau:

Install-ADDSForest -DomainName PRACTICELABS.COM

Hình 2.6: Chuẩn bị nâng cấp

Hình 2.7: Máy chủ tiến hành nâng cấp lên Domain Controller

Hình 2.8: Sau khi nâng cấp xong, máy chủ tự động reset lại máy

2.2.3 Thực hiện đặt IP tĩnh và đặt địa chỉ DNS server

Kiểm tra Server có bao nhiêu card mạng

Netsh interface ipv4 show interfaces

Hình 2.9: Thông tin card mạng của máy server Đặt địa chỉ IP tĩnh cho card Ethernet0 của máy Server:

Netsh interface ipv4 set address name=Ethernet0 source=static address2.168.116.131 mask%5.255.255.0 gateway2.168.116.2

Hình 2.10: Đặt IP tĩnh cho server Đặt địa chỉ của DNS Server

Netsh interface ipv4 add dnsserver name=Ethernet0 address2.168.116.131 index=1

Tắt Firewall trên máy Server

Netsh firewall set opmode mode=disable

Hình 2.12: Tắt tường lửa trên server

2.2.4 Thực hiện Join máy Client vào Domain

Tắt Firewall trên máy Client

Netsh firewall set opmode mode=disable

Hình 2.13: Tắt firewall trên máy Windows 8.1

Hình 2.14: Đặt IP tĩnh cho máy Windows 8.1

Tiến hành ping kiểm tra máy Server và Client có kết nối chưa ping 192.168.116.131

Hình 2.15: Ping kiểm tra kết nối

Tải công cụ Remote Server Administrator Tools tại địa chỉ: https://www.microsoft.com/en-us/download/details.aspx?id9296

Hình 2.16: Cài đặt công cụ Remote Server Administrator Tools trên máy Client Thực hiện Join client vào Domain PRACTICELABS.COM như sau:

- Click chuột phải vào My Computer > Properties > Chọn Change Setting > Chọn Change

- Thay đổi tên máy tính trong mục Computer name (chủ yếu cho dễ quản lý sau này)

- Chọn vào Domain và nhập Domain PRACTICELABS.COM sau đó chọn OK

- Sau đó khởi động lại máy để thay đổi có hiệu lực

Hình 2.17: Join máy Client vào Domain PRACTICELABS.COM

Exercise 1: Full Disk Encryption using BitLocker

Windows BitLocker là công nghệ mã hóa ổ đĩa giúp bảo vệ dữ liệu trên máy tính và các thiết bị lưu trữ di động, bao gồm USB, thông qua các dịch vụ mã hóa tích hợp sẵn.

BitLocker, lần đầu tiên ra mắt trong Windows Server 2008 và phiên bản Enterprise của Windows 7, tiếp tục được sử dụng trong các phiên bản sau Tính năng mã hóa đĩa có thể được kích hoạt thông qua chính sách máy tính cục bộ hoặc nhóm Để truy cập ổ đĩa đã mã hóa, người dùng cần nhập đúng mật khẩu Nếu quên mật khẩu, BitLocker sẽ cung cấp một chìa khóa dự phòng để người dùng có thể truy cập vào thư mục bị mã hóa.

2.3.1 Task 1: Configure BitLocker settings via GPO

Trong phần này, chúng ta sẽ thiết lập một Group Policy để triển khai BitLocker trên ổ cứng của thiết bị chạy hệ điều hành Windows 8.1 Để cấu hình cài đặt BitLocker thông qua các đối tượng Group Policy, hãy làm theo các bước hướng dẫn sau đây.

- Khởi động máy Windows Server 2012

- Bảng Server Manager Dashboard tự động mở khi bạn vừa đăng nhập vào hệ thống

- Tiếp đến chọn Tool trên thanh công cụ và chọn chức năng Group Policy Management

Figure 2.18 shows a screenshot of the Server Manager on a server computer, where the Tool > Group Policy Management option is currently selected in the dashboard.

- Trong Group Policy Management Console, mở rộng thẻ Forest: PRACTICELABS.COM sau đó chọn thẻ Domains

- Nháy chuột phải vào PRACTICELABS.COM và sau đó chọn Create a GPO in this domain, and link it here…

Để tạo một GPO trong tên miền, hãy nhấp chuột phải vào tên miền trong danh sách nội dung hiển thị trên màn hình máy tính Server, như thể hiện trong hình 2.19.

- Trong hộp thoại New GPO, điền vào ô Name chuỗi “Bitlocker for desktops”

Hình 2.20 hiển thị ảnh chụp màn hình từ máy tính Server, trong đó có hộp thoại New GPO với các giá trị cần nhập và nút OK đang được chọn.

- Mở rộng thẻ PRACTICELABS.COM ở phía bên trái của hộp thoại

Khi nhấp vào đường dẫn Bitlocker for desktops GPO, bạn sẽ nhận được thông báo về việc thay đổi thuộc tính liên kết của GPO Để không nhận thông báo này trong tương lai, hãy tích chọn vào ô "Do not show this message again".

Hình 2.21: Ảnh chụp màn hình của máy tính Server: Hộp thoại Group Policy Management Console sẽ hiển thị các cài đặt cần thiết phải được thực hiện và nút

- Chọn vào nhóm Authenticated Users trong phần Security Filtering thuộc khung bên phải của hộp thoại và sau đó nhấn Remove

- Hộp thoại Group Policy Management yêu cầu bạn xác nhận một lần nữa trước khi thực hiện thao tác xóa, nhấn OK

Hình 2.22 hiển thị ảnh chụp màn hình máy tính Server, trong đó có hộp thoại Quản lý Chính sách Nhóm, nhằm xác nhận lần cuối trước khi gỡ bỏ quyền ủy nhiệm, với nút OK được chọn.

Tiếp tục ở khung Security Filtering lần này sẽ nháy vào Add

Hình 2.23: Ảnh chụp màn hình của máy tính Server: Ngăn Security Filtering hiển thị nút Add được chọn và hiển thị trên Group Policy Management console 2.3.1.7 Bước 8:

- Trong Select Computer, hộp thoại Computer or Group, nháy vào Object Types

- Trong hộp thoại Object Types, tích vào ô Computers Chắc chắn rằng các tùy chọn đã được chọn đủ Nháy OK

Figure 2.24 shows a screenshot of the server computer, displaying the Object Types dialog box, which outlines the necessary settings that have been configured, with the OK button selected.

- Quay lại hộp thoại Select Computer, Computer or Group, chọn vào khung Object name và nhập WIN8

- Sau đó nhấn Check Names

- Tên của máy tính WIN8 đang được gạch dưới Điều này có nghĩa là máy tính này đang là thành viên của tên miền PRACTICELABS.COM

Figure 2.25 shows a screenshot of the Server computer, displaying the "Select User, Computer, or Group" dialog box, which highlights the mandatory input value field and the Check button.

The WIN8$ (PRACTICELABS\WIN8$) has now been integrated into the Security Filtering framework, indicating that the BitLocker for desktops group policy has been specifically applied to the WIN8 computer.

- Ở phía dưới nút PRACTICELABS.COM, nháy chuột phải vào đường dẫn Bitlocker for desktops GPO và chọn Edit

- Trong cửa sổ Group Policy Management Editor, mở rộng Computer Configuration > Policies > Administrative Templates > Windows Components

> Bitlocker Drive Encryption sau đó nháy chuột vào Operating System Drives

- Trong khung chi tiết ở phía bên phải, chuột phải vào Require additional authentication at startup sau đó chọn Edit

Hình 2.26 cho thấy ảnh chụp màn hình từ máy tính Server, hiển thị danh sách các tùy chọn khi nhấp chuột phải vào cài đặt chính sách Các tùy chọn menu chỉnh sửa được trình bày rõ ràng trên bảng điều khiển của Trình chỉnh sửa quản lý chính sách nhóm.

- Từ Require additional authentication at startup, nháy Enabled

- Trong phần Option, chọn Allow BitLocker without a compatible TPM

- Trong danh sách được các thuộc tính của Configure TPM, chọn Do not allow TPM Chọn OK

Hình 2.27: Ảnh chụp màn hình của máy tính Server: Yêu cầu xác thực bổ sung tại bảng điều khiển khởi động được hiển thị các cài đặt cần thiết

- Đóng Group Policy Management Editor và Group Policy Management console

- Cho Server Manager Dashboard đang hoạt động trên Server

2.3.2 Task 2: Shrink the Existing Drive Để có thể lưu lại khóa khôi phục thì bạn cần phải phân vùng ổ đĩa hiện có và tạo một phân vùng mới dành cho việc lưu trữ khóa dự phòng Máy tính này chỉ sử một ổ đĩa vì vậy BitLocker không cho phép khóa khôi phục được lưu vào ổ đĩa đã được mã hóa Để phân vùng ổ đĩa trên thiết bị Windows 8.1, hãy thực hiện theo các bước sau:

- Trên WIN8, mở Windows Explorer và nháy chuột phải vào This PC ở khung bên trái và chọn vào tùy chọn Computer Management

- Ở phía bên trái, mở rộng nút Storage và chọn vào tùy chọn Disk Management

- Chuột phải vào phân vùng C: và chọn Shrink Volume

Hình 2.28 hiển thị ảnh chụp màn hình của máy tính sử dụng hệ điều hành Windows 8, trong đó có danh sách các tùy chọn xuất hiện khi người dùng nhấp chuột phải vào vùng chưa được phân bổ của đĩa, bao gồm tùy chọn "Shrink".

Volume được hiển thị trong Computer Management console

Trong hộp thoại Shrink PC, nhập vào dung lượng phù hợp để tách phân vùng và chọn Shrink

Hình 2.29: Ảnh chụp màn hình của máy tính WIN8: Hộp thoại Shrink C đang hiển thị các cài đặt mặc định và nút Shrink đang được chọn

- Một phân vùng mới vừa được tạo ra

- Bây giờ bạn cần phải tạo ra một ổ cứng lưu trữ mới trên phân vùng vừa mới được chia ra Nháy chuột phải và chọn New Simple Volume

- Trong trang Welcome to the New Simple Volume Wizard page, đọc các thông tin được giới thiệu trong đó sau đó nháy Next

- Trong phần Specify Volume Size, vẫn giữ nguyên các cài đặt mặt định và nháy Next

- Trong phần Assign Drive Letter or Path, giữ nguyên kí tự tên mặc định của ổ cứng, và chọn Next

- Trong trang Format Partition, giữ nguyên cài đặt mặc định và nhấn Next

- Trong trang Completing the New Simple Volume Wizard, xem lại các cài đặt và sau đó nháy vào nút Finish

- Sau đó, đóng cửa sổ Computer Management

Hình 2.30 hiển thị ảnh chụp màn hình từ máy tính chạy Windows 8, trong đó trang hoàn tất phân mảng của New Simple Volume Wizard đang trình bày danh sách các thông số kỹ thuật liên quan đến việc tạo ổ cứng mới.

Hình 2.31: Ảnh chụp màn hình của máy tính WIN8: Computer Management console hiển thị danh sách các phân vùng đã được tạo mới

Exercise 2: Manage Security for Removable Media

Để bảo mật thông tin độc quyền, nhiều tổ chức cấm người dùng sử dụng thiết bị lưu trữ cá nhân nhằm ngăn chặn việc đánh cắp dữ liệu, bảo vệ bí mật thương mại Trong bài tập này, bạn sẽ học cách cấu hình bảo mật cơ bản cho phương tiện lưu trữ di động thông qua việc thiết lập Đối tượng chính sách nhóm (GPO) Để tìm hiểu thêm về công nghệ này, hãy tham khảo tài liệu khóa học hoặc sử dụng công cụ tìm kiếm để nghiên cứu sâu hơn.

- Từ Server Manager Dashboard, đi đến Tools > Group Policy Management

- Trên Group Policy Management console, mở rộng Forest: PRACTICELABS.COM, sau đó mở rộng Domains nếu chưa được mở rộng

- Nhấp chuột phải vào PRACTICELABS.COM và chọn Create a GPO in this domain, and link it here

- Trong hộp thoại New GPO gõ câu lệnh như sau :

Hình 2.42: Ảnh chụp màn hình của máy tính WIN8: Hộp thoại GPO mới được hiển thị với các giá trị rằng buộc được yêu cầu gõ vào

- Chuột phải vào Removable media và chọn Edit

- Trên cửa sổ Group Policy Management Editor, điều hướng đến Computer Configuration > Policies > Administrative Templates > System và chọn Removable Storage Access

- Trên ngăn chi tiết ở phía bên phải, nhấp chuột phải vào Removable Disks: Deny write access và chọn Edit

Trên máy tính sử dụng hệ điều hành Windows 8, hình ảnh cho thấy màn hình hiển thị danh sách các tùy chọn, trong đó có tùy chọn "Edit" được trình bày trên bảng điều khiển của Trình chỉnh sửa quản lý chính sách nhóm.

- Từ hộp thoại Removable Disks: Deny write access chọn Kích hoạt Nhấn vào

- Sau đó, đóng Group Policy Management Editor and Group Policy Management console

Hình 2.44: Hộp thoại Removable Disks

Hình 2.45: Máy WIN8 không ghi file vào USB được.

Ngày đăng: 15/12/2021, 16:56

HÌNH ẢNH LIÊN QUAN

Hình 1.1: Group Policy Template - Đồ án cuối kỳ môn bảo mật mạng data encryption
Hình 1.1 Group Policy Template (Trang 12)
Hình 1.2: Group Policy Container - Đồ án cuối kỳ môn bảo mật mạng data encryption
Hình 1.2 Group Policy Container (Trang 13)
Hình 2.1: Mô hình thực hiện demo. - Đồ án cuối kỳ môn bảo mật mạng data encryption
Hình 2.1 Mô hình thực hiện demo (Trang 14)
Hình 2.2: Gõ lệnh “powershell.exe” để vào chế độ PowerShell. - Đồ án cuối kỳ môn bảo mật mạng data encryption
Hình 2.2 Gõ lệnh “powershell.exe” để vào chế độ PowerShell (Trang 15)
Hình 2.4: Nhập lệnh để cài đặt dịch vụ. - Đồ án cuối kỳ môn bảo mật mạng data encryption
Hình 2.4 Nhập lệnh để cài đặt dịch vụ (Trang 16)
Hình 2.6: Chuẩn bị nâng cấp. - Đồ án cuối kỳ môn bảo mật mạng data encryption
Hình 2.6 Chuẩn bị nâng cấp (Trang 17)
Hình 2.8: Sau khi nâng cấp xong, máy chủ tự động reset lại máy. - Đồ án cuối kỳ môn bảo mật mạng data encryption
Hình 2.8 Sau khi nâng cấp xong, máy chủ tự động reset lại máy (Trang 18)
Hình 2.11: Đặt DNS Server. - Đồ án cuối kỳ môn bảo mật mạng data encryption
Hình 2.11 Đặt DNS Server (Trang 19)
Hình 2.10: Đặt IP tĩnh cho server. - Đồ án cuối kỳ môn bảo mật mạng data encryption
Hình 2.10 Đặt IP tĩnh cho server (Trang 19)
Hình 2.12: Tắt tường lửa trên server. - Đồ án cuối kỳ môn bảo mật mạng data encryption
Hình 2.12 Tắt tường lửa trên server (Trang 20)
Hình 2.13: Tắt firewall trên máy Windows 8.1. - Đồ án cuối kỳ môn bảo mật mạng data encryption
Hình 2.13 Tắt firewall trên máy Windows 8.1 (Trang 21)
Hình 2.15: Ping kiểm tra kết nối. - Đồ án cuối kỳ môn bảo mật mạng data encryption
Hình 2.15 Ping kiểm tra kết nối (Trang 22)
Hình 2.17: Join máy Client vào Domain PRACTICELABS.COM - Đồ án cuối kỳ môn bảo mật mạng data encryption
Hình 2.17 Join máy Client vào Domain PRACTICELABS.COM (Trang 23)
Hình 2.20: Ảnh chụp màn hình của máy tính Server: Hộp thoại New GPO đang hiển - Đồ án cuối kỳ môn bảo mật mạng data encryption
Hình 2.20 Ảnh chụp màn hình của máy tính Server: Hộp thoại New GPO đang hiển (Trang 26)
Hình 2.21: Ảnh chụp màn hình của máy tính Server: Hộp thoại Group Policy Management Console sẽ hiển thị các cài đặt cần thiết phải được thực hiện và nút - Đồ án cuối kỳ môn bảo mật mạng data encryption
Hình 2.21 Ảnh chụp màn hình của máy tính Server: Hộp thoại Group Policy Management Console sẽ hiển thị các cài đặt cần thiết phải được thực hiện và nút (Trang 27)

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w