Triển Khai Chính Sách Bảo Mật Cho Mạng Máy Tính

Triển khai hệ thống quản lý và chính sách cho mạng máy tính doanh nghiệp bẳng Windows

Bên cạnh một cơ sở hạ tầng công nghệ thông tin hiện đại và các tính năng an ninh mạng đáng tin cậy. Các doanh nghiệp đều muốn có sự quản lý và kiểm soát chặt chẽ về hệ thống nhân sự của mình cũng như đảm bảo được các thành viên trong công ty có thể trao đổi thông tin và làm việc một cách dễ dàng. Do đó, yêu cầu đặt ra phải có hệ thống quản lý và chính chính sách cho mạng của doanh nghiệp. Vì vậy em đã chọn đề tài: “Triển khai hệ thống quản lý và chính sách cho mạng máy tính doanh nghiệp bằng Windows”.
Em xin chân thành cảm các thầy cô giáo Trường Đại học Thông Tin Liên Lạc đã tận tình giảng dạy, trang bị cho em những kiến thức cần thiết trong những năm học tại trường. Quãng thời gian em được học và bổ sung những kỹ năng còn thiếu sót để làm hành trang quý báu trên con đường lập nghiệp khi chuẩn bị ra trường.

Em xin chân thành cảm ơn thầy Nguyễn Hoàng Quân – Khoa Công Nghệ Thông Tin Trường Đại Học Thông Tin Liên Lạc đã tận tình quan tâm, giúp đỡ và hướng dẫn em trong suốt thời gian học tập để em hoàn thành tiểu luận tốt nghiệp này.

Mục Lục

CHƯƠNG I: TỔNG QUAN VỀ ĐỀ TÀI
1.1 Yêu cầu  của doanh nghiệp1.1.1 Yêu cầu đối với hệ thống Server
1.1.2 Yêu cầu đối với hệ thống Client
1.2 Hướng giải quyết
1.2.1 Đối với hệ thống Server
1.2.2 Đối với hệ thống Client

CHƯƠNG II: XÂY DỰNG CÁC CHÍNH SÁCH QUẢN LÝ MẠNG DOANH NGHIỆP TRÊN MÔI TRƯỜNG  WINDOWS SEVER 2008
2.1  Giới thiệu về Windows Sever 2008
2.2 Các Tính Năng Của Windows Server 2008
2.2.1 Công cụ quản trị Server Manager
2.2.2 Windows Server Core
2.2.3  Network Access Protection
2.2.4  Read-Only Domain Controllers
2.3  Một Số Tính Năng Mới Của Windows Server 2008
2.3.1 Công nghệ ảo hóa Hyper-V
2.3.2 File Classification Infrastructure
2.3.4 Quản lý trong ỗ đĩa và file
2.3.5 Một số tính năng khác
2.4 Các Lợi Ích Của Windows Sever 2008
2.4.1  Web
2.4.2  Ảo hóa
2.4.3 Bảo mật
2.5 Các phiên bản của Windows Server 2008
2.6 Cài đặt Windows Sever 2008
2.6.1 Yêu cầu phần cứng
2.6.2Cài đặt

CHƯƠNG III: TRIỂN KHAI XÂY DỰNG THIẾT KẾ VÀ QUẢN LÝ HỆ THỐNG MẠNG CHO DOANH NGHIỆP
3.1 Sơ đồ tổ chức
3.2 Sơ đồ mạng của doanh nghiệp
3.3 Xây dựng các dịch vụ
3.3.1 Dịch vụ DNS
3.3.2 Dịch vụ IIS
3.3.3 Dịch vụ tập tin (File Services)
3.3.4 Cài đặt  Firewall Forefront Threat Management Gateway 2010 (TMG)
3.4 Xây dựng các chính sách
3.4.1 Xây dựng Ou, Group, User
3.4.2  Tạo chính sách nhóm Group Policy trong Windows Server 2008 
KẾT LUẬNTÀI LIỆU THAM KHẢO

CHƯƠNG I: TỔNG QUAN VỀ ĐỀ TÀI

Cùng với sự phát triển của đất nước, hàng loạt công ty lớn nhỏ mọc lên với số lượng lớn máy vi tính. Vậy người quản trị phải làm gì để có thể quản lý một số lượng lớn người dùng như vậy? Có những người sẽ quản lý bằng cách sử dụng sổ sách giấy tờ. Nhưng câu hỏi đặt ra liệu có lâu dài, khoa học và giảm bớt gánh nặng cho người quản trị hay không?

Trên thực tế, công việc của người quản lý sẽ gặp khó khăn lớn trong việc kiểm soát, đảm bảo được độ bảo mật của dữ liệu cũng như không thuận tiện trong quản lý nhân viên của mình nếu không có một hệ thống quản lý phù hợp. Bất kỳ giải pháp nào các doanh nghiệp hướng tới muốn có sự khoa học, hợp lý và hữu ích khi áp dụng. Một hệ thống mạng thông suốt, đường truyền ổn định, đảm vảo tính an toàn bảo mật và có chính sách quản lý nhân viên khoa học, tập trung…là sự lựa chọn sáng suốt cho các doanh nghiệp.

Việc triển khai hệ thống quản lý và chính sách cho mạng máy tính doanh nghiệp bẳng Windows sẽ đảm bảo được yêu cầu đó. Có thể nói Windows Server 2008 không phải là phiên bản mới nhất nhưng không thể phủ nhận những tính năng vượt trội của nó. Lựa chọn sử dụng Windows Server 2008 là sự lựa chọn phù hợp cho nhu cầu của doanh nghiệp đặt ra. Một mặt đảm bảo được tính ổn định, được update đầy đủ và có các tính năng bảo mật cao. Mặt khác có thể giúp người quản trị dễ dàng hơn trong việc quản lý, kiểm soát nhân viên của mình.

1.1 Yêu cầu  của doanh nghiệp

      1.1.1 Yêu cầu đối với hệ thống Server

-         Các User được quản lý khoa học, tập trung.

-         Dữ liệu chạy thông suốt.

-         Hệ thống được bảo mật an toàn.

-         Backup dữ liệu tự động phòng mất dữ liệu khi xảy ra sự cố bất thường.

-         Sử dụng các thiết bị cân bằng tải.

-         Đưa ra các chính sách cho từng tài khoản người dùng.

-         Có trang Web của doanh nghiệp.

      1.1.2 Yêu cầu đối với hệ thống Client

-         Các nhân viên có tài khoản riêng để truy cập vào hệ thống.

-         Phải có những chính sách bảo mật để ngăn chặn các mối đe doạ từ Internet.

-         Hệ thống đảm bảo truy cập ổn định với số lượng dưới 50 máy.

-         Hệ thống mạng phải đảm bảo độ ổn định cao, an toàn về đường truyền, an toàn về dữ liệu, hạn chế mức thấp nhất các vụ tấn công từ bên ngoài đảm bảo an toàn thông tin.

-         Đảm bảo hạ tầng hệ thống kết nối internet, wifi, các ứng dụng, máy chủ, domain server, database server, mail server,webserver, ftp server, file server , camera, phần mềm và các tài nguyên hệ thống… hoạt động ổn định phục vụ cho công việc tại doanh nghiệp.

-         Quản lý vận hành các phần mềm nghiệp vụ (Kế toán, Nhân sự…) trong doanh nghiệp.

-         Quản trị cổng thông tin, website, cập nhật nội dung ... Quảng bá website, phụ trách triển khai chiến lược eMaketing trên website.

-         Nghiên cứu, xây dựng định hướng, chiến lược và phát triển CNTT để ứng dụng cho các hoạt động của doanh nghiệp trong từng giai đoạn phát triển, chuyển giao công nghệ.

1.2 Hướng giải quyết

      1.2.1 Đối với hệ thống Server

-         Tất cả các nhân viên và các phòng ban của công ty đều phải có thông tin riêng dựa trên chính sách username pasword để việc quản lý dễ dàng, thuận lợi cho người quản trị.

Hướng giải quyết: Xây dựng một hệ thống Domain trên đó cài đặt hệ điều hành Windows Server 2008 và các dịch vụ:

o   Active Directory(AD): để tạo ra các User, các Group, các OU và thiết lập các chính sách cho nhóm các user, dịch vụ này sẽ giúp người quản trị dễ dàng quản lý các user một cách khoa học.

o   Domain Name Service(DNS): Dịch vụ này làm nhiệm vụ phân giải địa chỉ IP thành tên miền và ngược lại giúp cho các máy Server cũng như các máy client join vào domain của công ty một cách dễ dàng.

-         Xây dựng hệ thống Firewall Forefront Threat Management Gateway 2010 (TMG) nhằm kiểm soát luồng dữ liệu ra vào khi làm việc của các user trong hệ thống mạng.

-         Xây dựng hệ thống 2 Server chạy song song, việc này tự động lưu chép dữ liệu qua lại giữa 2 Server đảm bảo dữ liệu luôn sẵn sàng.

      1.2.2 Đối với hệ thống Client

-         Trên DC Tạo và cung cấp các username password cho các nhân viên.

-         Có các Group không lồng vào nhau nên việc xử lý sự cố dễ dàng hơn.

-         Tài khoản thuộc về phạm vi nhóm đơn lẻ.

-         Xây dựng các chính sách bảo mật, quản lý luồng dữ liệu trên TMG  2010.

CHƯƠNG II: XÂY DỰNG CÁC CHÍNH SÁCH QUẢN LÝ MẠNG DOANH NGHIỆP TRÊN MÔI TRƯỜNG  WINDOWS SEVER 2008

2.1  Giới thiệu về Windows Sever 2008

Microsoft Windows Server 2008 là thế hệ kế tiếp của hệ điều hành Windows Server, có thể giúp các chuyên gia công nghệ thông tin có thể kiểm soát tối đa cơ sở hạ tầng của họ và cung cấp khả năng quản lý và hiệu lực chưa từng có, là sản phẩm hơn hẳn trong việc đảm bảo độ an toàn, khả năng tin cậy và môi trường máy chủ vững chắc hơn các phiên bản trước đây.

Windows Server 2008 cung cấp những giá trị mới cho các tổ chức bằng việc bảo đảm tất cả người dùng đều có thể có được những thành phần bổ sung từ các dịch vụ từ mạng. Windows Server 2008 cũng cung cấp nhiều tính năng vượt trội bên trong hệ điều hành và khả năng chuẩn đoán, cho phép các quản trị viên tăng được thời gian hỗ trợ cho các doanh nghiệp.

Windows Server 2008 được thiết kế để cung cấp cho các tổ chức có được nền tảng sản xuất tốt nhất cho ứng dụng, mạng và các dịch vụ web từ nhóm làm việc đến những trung tâm dữ liệu với tính năng động, tính năng mới có giá trị và những cải thiện mạnh mẽ cho hệ điều hành cơ bản.

Cải thiện hệ điều hành cho máy chủ Windows.Thêm vào tính năng mới, Windows Server 2008 cung cấp nhiều cải thiệm tốt hơn cho hệ điều hành cơ bản so với hệ điều hành Windows Server 2003.

Những cải thiện có thể thấy được gồm có các vấn đề về mạng, các tính năng bảo mật nâng cao, truy cập ứng dụng từ xa, quản lý role máy chủ tập trung, các công cụ kiểm tra độ tin cậy và hiệu suất, nhóm chuyển đổi dự phòng, sự triển khai và hệ thống file.

2.2 Các Tính Năng Của Windows Server 2008

      2.2.1 Công cụ quản trị Server Manager

Server Manager là một giao diện điều khiển được thiết kế để tổ chức và quản lý một server chạy hệ điều hành Windows Server 2008. Người quản trị có thể sử dụng Server Manager với những nhiều mục đích khác nhau.

-         Quản lý đồng nhất trên một server

-         Hiển thị trạng thái hiện tại của server

-         Nhận ra các vấn đề gặp phải đối với các role đã đƣợc cài đặt một cách dễ dàng hơn.

-         Quản lý các role trên server, bao gồm việc thêm và xóa role.

-         Thêm và xóa bỏ các tính năng

-         Chẩn đoán các dấu hiệu bất thường

-         Cấu hình server: có 4 công cụ ( Task Scheduler, Windows Firewall, Services và WMI Control).

-         Cấu hình sao lưu và lưu trữ: các công cụ giúp bạn sao lưu và quản lý ổ đĩa là Windows Server Backup và Disk Management đều nằm trên Server Manager.

      2.2.2 Windows Server Core

-         Server Core là một tính năng mới trong Windows Server 2008. Nó cho phép  có thể cài đặt với mục đích hỗ trợ đặc biệt và cụ thể đối với một số role.

-         Tất cả các tương tác với Server Core được thông qua các dòng lệnh.

-         Server Core mang lại những lợi ích sau:

o   Giảm thiểu được phần mềm, vì thế việc sử dụng dung lượng ổ đĩa cũng được giảm. Chỉ tốn khoảng 1GB khi cài đặt.

o   Bởi vì giảm thiểu được phần mềm nên việc cập nhật cũng không nhiều.

o   Giảm thiểu tối đa những hành vi xâm nhập vào hệ thống thông qua các port được mở mặc định.

o   Dễ dàng quản lý.

      2.2.3  Network Access Protection

-         Network Access Protection (NAP) là một hệ thống chính sách thi hành (Health Policy Enforcement) được xây dựng trong các hệ điều hành Windows Server 2008.

-         Cơ chế thực thi của NAP:

o   Kiểm tra tình trạng an toàn của client.

o   Giới hạn truy cập đối với các máy client không an toàn.

o   NAP sẽ cập nhật những thành phần cần thiết cho các máy client không an toàn, cho đến khi client đủ điều kiện an toàn.Cho phép client kết nối nếu client đã thỏa điều kiện.

o   NAP giúp  bảo vệ hệ thống mạng từ các client.

o   NAP cung cấp bộ thư viên API (Application Programming Interface), cho phép các nhà quản trị lập trình nhằm tăng tính bảo mật cho mình.

      2.2.4  Read-Only Domain Controllers

-         Read-Only Domain Controller (RODC) là một kiểu Domain Controller mới trên Windows Server 2008.Với RODC, doanh nghiệp có thể dễ dàng triển khai các Domain Controller ở những nơi mà sự bảo mật không được đảm bảo về bảo mật. RODC là một phần dữ liệu của Active Directory Domain Services.

-         Vì RODC là một phần dữ liệu của ADDS nên nó lưu trữ mọi đối tượng, thuộc tính và các chính sách giống như domain controller, tuy nhiên mật khẩu thì bị ngoại trừ.

2.3  Một Số Tính Năng Mới Của Windows Server 2008

      2.3.1 Công nghệ ảo hóa Hyper-V

Hyper-V là công nghệ ảo hóa server thế hệ mới của Microsoft, sự thay đổi lớn nhất mà Microsoft mang lại so với phiên bản Windows Server 2003. Hyper-V hoạt động trên nền hệ điều hành 64-bit. Với Hyper-V, người sử dụng có thể sở hữu một nền tảng ảo hóa linh hoạt, bảo mật, tối đa hiệu suất và tiết kiệm chi phí:

o   Hyper-V có thể thích nghi với doanh nghiệp lớn với hàng nghìn máy tính hoặc các doanh nghiệp nhỏ hay văn phòng chi nhánh. Hyper-V hỗ trợ bộ nhớ ảo lên đến 64GB, đa bộ vi xử lý.

o   Khả năng bảo mật giống như các server vật lý. Kết hợp các cộng cụ bảo mật Windows Firewall, Network Access Protection…do đó tính bảo mật tốt như môi trường thật.

o   Hyper-V giúp khai thác tối đa hiệu suất sử dụng phần cứng server. Bằng việc hợp nhất server, cho phép một server vật lý có thể đóng nhiều vai trò của nhiều server. Từ đó, tiết kiệm được chi phí từ các khoảng mua server, điện, không gian và bảo trì.

Hyper-V chỉ có thể hỗ trợ đến 32 bộ vi xử lý.

      2.3.2 File Classification Infrastructure

FCI là một tính năng built-in cho phép các chuyên gia CNTT phân loại và quản lý dữ liệu trong các máy chủ file. Dữ liệu có thể được phân loại với tác động doanh nghiệp mức thấp, cao hoặc trung bình, sau đó người dùng có thể backup các dữ liệu quan trọng nhất dễ dàng hơn và hiệu quả hơn.

      2.3.4 Quản lý trong ỗ đĩa và file

-         Cung cấp khả năng thay đổi kich thước phân vùng.

-         Shadow Copy hỗ trợ ổ đĩa quang, ổ đĩa mạng.

-         Distributed File System được cải tiến.

-         Cải tiến Failover Clustering.

-         Internet Storage Naming Server cho phép đăng ký, hủy đăng ký tập trung và truy xuất tới các ổ đĩa cứng iSCS.

      2.3.5 Một số tính năng khác

-         Windows Deployment Services thay thế cho Automated Deployment Services và Remote Installation Services.

-         IIS 7 thay thế IIS 6, tăng cường khả năng bảo mật, cải tiến công cụ chuẩn đoán, hỗ trợ quản lý.

-         Có thành phần "Desktop Experience" cung cấp khả năng cải tiến giao diện.

2.4 Các Lợi Ích Của Windows Sever 2008

Windows Server 2008 mang đến lợi ích trong bốn lĩnh vực: Web, Ảo hóa, Bảo mật, Nền tảng vững chắc cho các hoạt động của tổ chức.

      2.4.1  Web

Windows Server 2008 cung cấp một nền tảng đồng nhất để triển khai dịch vụ Web nhờ tích hợp IIS7.0, ASP.NET, Windows Communication Foundation và Microsoft Windows SharePoint Services.

Lợi ich của IIS 7.0:

o    Tinh năng phân tích

o    Quản trị hiệu quả.

o    Nâng cao tính bảo mật.

o    Giảm chi phí hỗ trợ.

o    Giao diện thân thiện và tiện dụng

o    Hỗ trợ việc sao chép giữa các site.

o    Copy dễ dàng các thiết lập của trang web giữa các máy chủ web khác nhau mà không cần phải thiết lập gì thêm.

o    Chính sách phân quyền quản trị các ứng dụng và các site rõ ràng.

      2.4.2  Ảo hóa

Phiên bản 64 bit của Windows Server 2008 được tích hợp sẵn công nghệ ảo hóa hypervisor :

o    Cho phép máy ảo tương tác trực tiếp với phần cứng máy chủ hiệu quả hơn.

o    Có khả năng ảo hóa nhiều hệ điều hành khác nhau trên cùng 1 phần cứng máy chủ sẽ làm giảm chi phí, tăng hiệu suất sử dụng phần cứng, tối ưu hóa hạ tầng, nâng cao tính sẵn sàng của máy chủ.

o    Tiết kiệm chi phí mua sắm bản quyền phần mềm.

o    Tich hợp và tập trung các ứng dụng phục vụ cho việc truy cập từ xa một cách dễ dàng bằng cách sử dụng Terminal Services.

      2.4.3 Bảo mật

Các tính năng an ninh bao gồm: Network Access Protection, Read-Only Domain Controller, BitLocker, Windows Firewall… cung cấp các mức bảo vệ chưa từng có cho hệ thống mạng, dữ liệu và công việc của tổ chức.

a.     Network Access Protection (NAP)

-         NAP dùng để thiết lập chính sách mạng đối với các máy trạm khi máy trạm đó muốn kết nối váo hệ thống mạng của tổ chức. Yêu cầu an ninh đối với máy trạm được kết nối với hệ thống mạng:

-         Đã cài đặt phầm mềm diệt virus.

-         Đã cập nhật phiên bản mới.

-         Đã cài đặt các bản và lỗi hệ thống hoặc đã cài đặt phần mềm firewall.

b.    Read-Only Domain Controller (RODC)

Là một kiểu Domain Controller (DC).

-         RODC chứa một bản sao các dữ liệu "chỉ đọc" của dữ liệu Active Directory (AD).

-         User không thẻ ghi trực tiếp vào RODC.

-         RODC không chứa thông tin về mật khẩu trong AD, mà chỉ caching các users được phép sử dụng ở đó.

è RODC thích hợp cho việc triển khai ở các chi nhánh, nơi có điều kiện bảo mật kém cũng như trình độ của nhân viên IT còn hạn chế.

c.       BitLocker:

Bảo vệ an toàn cho máy chủ, máy trạm, máy tính di động.

-         Mã hóa nội dung của ổ đĩa nhằm ngăn cản.

-         Nâng cao khả năng bảo vệ dữ liệu: kết hợp chức năng mã hóa tập tin hệ thống và kiểm tra tinh toàn vẹn của các thành phần khi boot.

-         Toàn bộ tập tin hệ thống được mã hóa, gồm cả file swap và file hibernation.

d.    Windows Firewall:

-         Ngăn chặn các lưu lượng mạng theo cấu hình và các ứng dụng dạng chạy để bảo vệ mạng khỏi các chương trình và người dùng nguy hiểm.

-         Hỗ trợ ngăn chặn các thông tin vào và ra.

-         Sử dụng MMC snap-in ( Windows Firewall with Adbanced Security) để đơn giản hóa việc cấu hình, quản trị.

2.5 Các phiên bản của Windows Server 2008

-         Windows Server 2008 Standard Edition

-         Windows Server 2008 Enterprise Edition

-         Windows Server 2008 Datacenter Edition

-         Windows Web Server 2008

2.6 Cài đặt Windows Sever 2008

      2.6.1 Yêu cầu phần cứng

Phần cứng	Yêu cầu tối thiểu	Đề nghị
Bộ vi xử lý	1 Ghz (x86), 1,4 Ghz (x64)	2Ghz hoặc lớn hơn
RAM	512MB RAM	2GB
Dung lượng trống	15GB	40GB

Bảng 1: Cấu hình phần cứng

Windows Server 2008 hỗ trợ cả 2 cấu trúc vi xử lý 32-bit và 64-bit. Tuy nhiên, phiên bản mới nhất là Windows Server 2008 R2, Windows Midmarket Server và Windows Small Business với những tính năng đa dịch vụ, các phiên bản này chỉ hỗ trợ cấu trúc vi xử lý 64-bit.

RAM  hỗ  trợ  tối đa cho hệ  thống  32-bit  là  4GB  khi  chạy  phiên  bản  Standard  Edition  và  64GB  khi  chạy phiên bản Enterprise và Datacenter. Nếu chạy hệ thống 64-bit, bộ nhớ RAM có thể hỗ trợ lên dến 32GB và  2TB  RAM  cho  phiên  bản Enterprise và Datacenter. Thêm vào đó, Windows  Server  2008  hỗ  trợ  hệ thống Itanium, tuy nhiên chip xử lí Intel Itanium 2 nhân là cần thiết.

CHƯƠNG III: TRIỂN KHAI XÂY DỰNG THIẾT KẾ VÀ QUẢN LÝ HỆ THỐNG MẠNG CHO DOANH NGHIỆP

3.1 Sơ đồ tổ chức

Sơ đồ chức năng hệ thống mạng cho doanh nghiệp

    Hệ thống bộ máy công ty bao gồm 3 phòng ban:

o   Phòng Nhân Sự: Có 3 nhân sự(NS), các User lần lượt là NS1, NS2, NS3 thuộc Group Nhansu.

o   Phòng Kinh Doanh: Có 3 nhân viên kinh doanh và các User là KD1, KD2, KD3 thuộc Group Kinhdoanh.

o   Phòng Kế Toán: Gồm 2 nhân viên, có User là KT1, KT2 thuộc Group Ketoan.

Ngoài ra có bộ phận Ban Giám đốc gồm Giám Đốc(GĐ) và Phó Giám Đốc(PGĐ).  Đây là bộ phận điều hành hoạt động của công ty. 

Liên hệ ngay để được hỗ trợ:

Điện thoại: 0976 148 368  – 0974.248.842

Email: citechnhatrang@gmail.com

Đăng ký trực tiếp tại:

Trung Tâm Đào Tạo CNTT CITECH 

Địa chỉ: Số 09 (Số 148B cũ), đường Mai Xuân Thưởng, P. Vĩnh Hải, TP. Nha Trang

(Đối diện sân Tennis - Trường ĐH Thông tin liên lạc)