Download - Chương 10: Hỗ trợ và quản trị mạng
Chương 10:Hỗ trợ và quản trị mạng
Các khái niệm mạng cơ bản 2
Mục đích bài học
Quản lý tài khoản người dùng Làm tăng hiệu năng mạng Xây dựng kế hoạch bảo mật mạng Bảo vệ dữ liệu
Các khái niệm mạng cơ bản 3
Quản trị mạng
Quản trị mạng máy tính bao gồm: Đảm bảo mạng chạy theo đúng đặc tả Kiểm soát truy cập tài nguyên của người dùng Quản lý lưu lượng mạng Bảo mật mạng
Quản lý tài khoản người dùng và nhóm (rất quan trọng) Cấp phép truy cập và gán quyền
Các khái niệm mạng cơ bản 4
Quản lý tài khoản người dùng trong mạng
Người dùng chỉ được truy cập các tài nguyên được gán quyền và cho phép
Các tài nguyên khác, người dùng không được phép truy cấp
Có nhiều cách cấp phép truy cập Về nguyên tắc là giống nhau, khác nhau ở chi tiết cụ
thể
NOSs có nhiều tiện ích quản lý người dùng
Các khái niệm mạng cơ bản 5
Tạo tài khoản người dùng
Windows có 2 tài khoản được định nghĩa trước: Administrator – dùng để quản lý mạng;
cần có mật khẩu mạnh (dài, đặc biệt) và phải được bảo vệ; nên đổi tên; tài khoản không bị mất hiệu lực
Guest – cho người sử dụng là khách của hệ thống
Các khái niệm mạng cơ bản 6
Tạo tài khoản người dùng (tiếp)
Trước khi tạo người dùng: Tên đăng nhập – bao nhiêu ký tự Mật khẩu – khi để thay đổi, hạn chế dùng lại mật
khẩu Thời gian truy cập – nên hạn chế Kiểm tra (auditing) Bảo mật – yêu cầu giao thức bảo mật hoặc không
Các khái niệm mạng cơ bản 7
Mật khẩu
Để an toàn, người dùng nên đổi mật khẩu (theo định kỳ) Nếu quá thường xuyên, người dùng dễ quên Có thể thiết lập, khi nào thì mật khẩu cũ được tái sử
dụng
Nên có các ký tự hoa, thường trong mật khẩu Bao gồm số, dấu chấm và các ký tự đặc biệt khác
Các khái niệm mạng cơ bản 8
Mật khẩu (tiếp)
Giới hạn số lần nhập, khoá tài khoản khi người sử dụng nhập sai một lần quy định trước
Nên dùng mật khẩu dài Các hệ điều hành khác nhau, giới hạn chiều dài
mật khẩu cũng khác nhau: Windows 2000/2003: 128 ký tự Windows NT:14 ký tự Linux: 256 ký tự
Các khái niệm mạng cơ bản 9
Thời gian đăng nhập
Có thể hạn chế số giờ đăng nhập theo thời gian, ngày, hoặc cả hai Tránh sự xâm nhập ngoài giờ làm việc
Xác định những việc xảy ra khi người dùng truy nhập và hết thời gian cho phép Có thể ngắt liên kết người dùng hoặc đơn giản ngắt
liên kết đến các tài nguyên khác
Các khái niệm mạng cơ bản 10
Kiểm tra (Auditing)
Ghi lại các hoạt động nhằm bảo mật và và khắc phục lỗi Có thể ghi log đối với những lần truy nhập thất bại
hoặc với tất cả các truy nhập
Nên sử dụng Kiểm tra đơn giản Có thể ảnh hưởng bất lợi đến tài nguyên sẵn có của
hệ thống
Các khái niệm mạng cơ bản 11
Thiết lập quyền cho người sử dụng
Đơn giản cho việc quản trị là gán quyền theo nhóm Có 2 loại nhóm:
Các nhóm Local (cục bộ) – dùng cho máy đơn Bảng 10-1 mô tả các quyền được gán cho các
nhóm mặc định trong Windows 2000/2003 Các nhóm Global (tổng thể) – dùng trong domain
Nhóm chung Universal là một kiểu nhóm mới bắt đầu có Windows 2000
Người dùng ít nhất phải thuộc vào một trong các nhóm trên
Các khái niệm mạng cơ bản 12
Nhóm cục bộ mặc định trong Windows 2000 Server
Nhóm Quyền
Administrators Có đầy đủ mọi quyền quản trị máy và mạng
Account Operators Quản trị người dùng và nhóm domain cục bộ (không tồn tại trong Windows 2003)
Backup Operators Sao lưu và phục hồi các file mà người dùng không thể truy cập
Guests là nhóm người “khách” chỉ có một số quyền nhỏ
Printer Operators Thêm, xoá, quản lý máy in trong domain
Server Operators Quản trị các máy chủ domain
Users Là nhóm người dùng được truy cập trên các tài nguyên mặc định ban đầu
Bảng 10-1 Các nhóm ngườ dùng cơ bản
Các khái niệm mạng cơ bản 13
Thiết lập quyền cho người sử dụng(tiếp)
Một số nhóm được tạo tự động Xem bảng 10-2
Tất cả người dùng đều thuộc vào nhóm Everyone Có thể thay đổi quyền
Trong Windows NT, các sự thay đổi được ghi lại vào Registry trong các files Security và Security Accounts Manager (SAM)
Trong Windows 2000/2003 servers, sự thay đổi được ghi vào CSDL Active Directory
Các khái niệm mạng cơ bản 14
Các nhóm tự động trong Windows 2000
Nhóm Mô tả
Everyone Tất cả người dùng trong domain
Authenticated Users Những người dùng được xác thực
Interactive Là những người dùng đăng nhập vào domain cục bộ
Mạng Là những người dùng đăng nhập vào domain qua mạng
Bảng 10-2
Các khái niệm mạng cơ bản 15
Quản lý nhóm
Có thể thêm hoặc bớt các quyền của nhóm Nhóm có thể được chứa trong nhóm khác
Windows 2000/2003 phải có nhóm cơ bản, nhóm gốc
Các nhóm cục bộ có thể bao gồm các nhóm tổng thể, không có ngược lại Cho phép liên lạc giữa các domain Quan hệ Trust được hiểu khi các thành viên của
domain này có thể truy cập tài nguyên của domain khác
Các khái niệm mạng cơ bản 16
Mối quan hệ Trust
Quản lý truyền thông giữa các domain Trong Windows NT, phải dùng hộp thoại Trust
Relationships để tạo trust giữa 2 domain Trong Windows 2000/2003 servers, mối quan hệ Trust tự
động mở rộng đối với các domain có liên quan với nhau Có 3 kiểm Trust:
Một chiều Hai chiều Chung
Các khái niệm mạng cơ bản 17
Vô hiệu hoá và xoá tài khoản người dùng
Trong Windows 2000/2003 có 2 tuỳ chọn để tài khoản người dùng ngừng hoạt động: Vô hiệu hoá – đóng tạm thời tài khoản. Xoá – xoá hoàn toàn tài khoản
Không thể áp dụng với tài khoản Administrator Trong Linux, tài khoản người dùng có thể bị
đóng bằng cách thay đổi nội dung file mật khẩu và có thể xoá bằng lệnh userdel
Các khái niệm mạng cơ bản 18
Đổi tên và sao chép tài khoản
2 tuỳ chọn khi người dùng mới thay thế người dùng cũ: Đổi tên tài khoản cũ – phải đổi mật khẩu
Trong Windows 2000/XP Professional, sử dụng tiện ích Users and Passwords, xem 10-1
Trong Windows 2000 Server, dùng công cụ Active Directory Users và Computers management, hình 10-2
Sao chép tài khoản cũ sang một tên mới; sau đó vô hiệu hoá tài khoản cũ
Các khái niệm mạng cơ bản 19
Tiện tích Users and Passwords
Hình 10-1 Tiện ích Users and Password trong Windows 2000
Các khái niệm mạng cơ bản 20
Active Directory Users và Computer Management
Hình 10-2 Trình quản lý Active Directory Users and Computers management
Các khái niệm mạng cơ bản 21
Quản lý hiệu năng mạng
Kiểm soát các tham số sau: Dữ liệu ra vào máy chủ (theo từng giây) Các lệnh trong hàng đợi Số lượng xung đột trong mạng Ethernet (theo từng
giây) Các lỗi bảo mật Duy trì kết nối đến các máy chủ Hiệu năng mạng
Các khái niệm mạng cơ bản 22
Hiệu năng mạng
Có 3 công cụ để quản lý hiệu năng hệ thống trên máy dùng phiên bản Windows server và Windows professional Event Viewer: xem các sự kiện Performance Monitor: kiểm soát hiệu năng Network Monitor: kiểm soát mạng
Có rất nhiều phần mềm mã nguồn mở cũng như là phần mềm thương mại (shareware) dùng cho máy chủ Linux
Các khái niệm mạng cơ bản 23
Event Viewer
Event Viewer tạo ra 3 file log: System Log – ghi lại các thông tin về dịch vụ của hệ
điều hành và phần cứng Security Log – ghi lại các thông tin về bảo mật Application Log – ghi lại các thông tin về các ứng
dụng
Các khái niệm mạng cơ bản 24
Event Viewer (tiếp)
Với Active Directory, Event Viewer còn thêm 3 mức nữa: Directory Service DNS Server File Replication Service
Các khái niệm mạng cơ bản 25
Performance Monitor
Ghi lại từng sự kiện để chỉ ra khuynh hướng Lưu vết của các bộ đếm cho các đối tượng hệ
thống Đối tượng là thành phần của phần mềm làm việc với
các thành phần khác để cung cấp dịch vụ Bộ đếm là một phần của đối tượng của rãnh riêng
biệt
Hình 10-4 chỉ % thời gian Xử lý và % và thời gian Ngắt mỗi giây
Các khái niệm mạng cơ bản 26
Lưu vết thời gian Processor và Ngắt bằng Performance Monitor
Hình 10 -4 Lưu vết thời gian Processorvà và Ngắt bằng trình Performance Monitor
Các khái niệm mạng cơ bản 27
Performance Monitor (tiếp)
Giám sát các đối tượng hệ thống để xác định “nút cổ chai”: Đĩa logic và vật lý trên máy chủ Giao diện mạng Các bộ đếm giao thức, như bộ đếm các gói tin IP packets (từng
giây) Bộ chuyển hướng Máy chủ Danh sách hàng đợi các công việc trên máy chủ
Giám sát khi tất cả đều hoạt động tốt để thiêt lập “cơ sở” cho việc so sánh
Các khái niệm mạng cơ bản 28
Network Monitor
Phải cài đặt từ đĩa CD trên nền Windows Trở thành một phần của Administrative Tools
(các công cụ quản trị) Làm việc như một bộ phân tích giao thức trên cơ sở
phần mềm Giám sát lưu lượng mạng và tạo báo cáo Sử dụng bộ lọc để kiểm soát dữ liệu
Đọc toàn bộ hiệu năng của mạng
Các khái niệm mạng cơ bản 29
Quản lý tổng thể hệ thống
Quản lý ổ cứng, bộ nhớ và CPU Hard Drive Performance – dùng Performance
Monitor để xem vùng đĩa trống, việc đáp ứng các yêu cầu, và khi nào ổ đĩa bận
Memory Use – kiểm tra paging file, gồm các lỗi phần mềm và phần cứng
CPU Utilization – kiểm soát % bộ đếm thời gian sử dụng CPU để tính được hiệu năng sử dụng CPU trung bình
Các khái niệm mạng cơ bản 30
Thống kê mạng
Dùng Performance Monitor để kiểm tra giao diện mạng và các giao thức
Quản lý việc sử dụng mạng bằng Network Monitor hoặc bộ đếm tổng số byte/giây của Performance Monitor để đo được hiệu năng của mạng
Mức độ tận dùng khả năng của mạng (có thể chấp nhận được): Trong mạng token ring: 80% (chấp nhận được) Trong mạng Ethernet: 50 – 60%
Các khái niệm mạng cơ bản 31
Duy trì thông tin lịch sử về mạng
Dữ lại các bản ghi cũ về các sự kiện và hiệu năng mạng Sử dụng các bản ghi này để tìm ra khuynh hướng và
xác định lỗi
Các bản ghi chỉ cần vừa đủ cho phân tích
Các khái niệm mạng cơ bản 32
Quản lý bảo mật dữ liệu mạng
2 yếu tố của bảo mật dữ liệu Đảm bảo dữ liệu được an toàn Đảm bảo dữ liệu bị lỗi có thể được thay thế
Lập kế hoạch cho bảo mật mạng Xác định dấu hiệu, nguy cơ Xác định chi phí Trao đổi với mọi người về nhu cầu hệ thống bảo mật
Các khái niệm mạng cơ bản 33
Các mô hình bảo mật
2 cách nhìn: Bảo mật vật lý – dựa trên phần cứng Bảo mật dữ liệu – dựa trên phần mềm
Có 2 mô hình cho bảo mật dữ liệu Mô hình hướng chia sẻ – gắn thông tin bảo mật vào
đối tượng; áp dụng cho tất cả mọi người muốn truy cập đối tượng
Mô hình hướng người dùng – tập trung vào quyền của người dùng
Các khái niệm mạng cơ bản 34
Thực thi bảo mật
2 giai đoạn Thiết lập hệ thống bảo mật, hệ thống phải thật rõ
ràng, thiết lập mật khẩu cho hệ thống Đào tạo người sử dụng
Các khái niệm mạng cơ bản 35
Các đặc điểm mới trong bảo mật của Windows 2000/2003
Rất nhiều điểm mới trong Windows 2000 (đã được đưa vào Windows XP và Server 2003) liên quan đến bảo mật bao gồm: Kerberos v5 cho xác thực người dùng Public Key Infrastructure (PKI) cho trao đổi chữ ký
điện tử và xác thực điện tử Nâng cao các chính sách bảo mật trong Group
Policy được quản lý bởi Active Directory Nâng cao kỹ thuật và giao thức bảo mật IP
Unix và Linux cũng bao gồm các đặc điểm bảo mật này
Các khái niệm mạng cơ bản 36
An toàn mới cho Windows Server 2003
Ngôn ngữ lệnh thời gian thực – giảm lỗi có thể gây tốn thương cho Windows
IIS 6.0 – được cấu hình bảo mật cao nhất Các máy trạm không bảo mật không đăng nhập
được – Windows 95, và NT trước bộ vá lỗi SP4 mặc định không truy cập vào windows 2003; Tin hiệu SMB và mã hoá được yêu cầu với tất cả máy trạm
Các khái niệm mạng cơ bản 37
Duy trì bảo mật
Đảm bảo rằng kế hoạch được thiết lập đúng mục đích vàlàm việc theo dự kiến
Chỉnh sửa kế hoạch để không có thiếu sót
Các khái niệm mạng cơ bản 38
Bảo mật chống Viruses
Virus máy tính là một thách thức lớn với hệ bảo mật
Có thể chống lây nhiễm virus tại: Máy trạm – Dùng phần mềm diệt virus để quét các file từ máy
chủ, từ Internet Máy chủ – Quét các dữ liệu vào ra
máy chủ; phòng tránh virus cho tất cả máy chủ trong mạng Cổng Internet – quét các trình duyệt,
FTP, email; chặn , cô lập các virus trước khi chúng vào mạng
Các khái niệm mạng cơ bản 39
Dùng Tường Lửa để chặn sự xâm nhập từ Internet
Lợi ích của tường lửa: Chặn sự xâm nhập không được xác thực từ bên ngoài vào các
tài nguyên mạng Chặn các gói tin mạng “xấu” có thể vô hiệu hoá mạng và tài
nguyên của nó Hạn chế truy cập các tài nguyên trên mạng Internet
Tường lửa dành cho mạng công ty thường giá thành cao và khó cấu hình
Tường lửa cho máy cá nhân thường chống lại sự tấn công từ Internet
Các khái niệm mạng cơ bản 40
Bảo mật mạng không dây
Sử dụng một trong các phương pháp sau: Thiêt lập SSID – dùng một sâu phức tạp; không gửi
SSID ra toàn mạng (broadcast) Hạn chế dùng Web – có thể bị bẻ khoá Nên dùng WPA – rất khó phá khoá; được kết hợp
vào trong chuẩn 802.11i
Các khái niệm mạng cơ bản 41
Tránh mất mát dữ liệu
Lỗi ổ cứng là điều rất nghiêm trọng Dùng lược đồ 3 tầng để bảo vệ dữ liệu
Giảm khả năng mất dữ liệu Khôi phục dữ liệu nhanh Xây dựng lại dữ liệu mất hoặc sai
Các khái niệm mạng cơ bản 42
Sao lưu ra băng từ
Là phương pháp sao lưu thông dụng nhất Tốc độ nhanh, dung lượng lớn, chi phí hợp lý Có 5 dạng:
Full Incremental Differential Copy Daily
Các khái niệm mạng cơ bản 43
Sao lưu ra băng từ (tiếp)
Mô hình sao lưu tốt là sao lưu full hàng tuần và sao lưu differential hàng ngày Ta có thể khôi phục dữ liệu từ 2 dạng sao lưu này
Thiết lập lịch sao lưu và bố trí nhân sự thực hiện Thử nghiệm để xác định xem sao lưu có đúng
không Băng từ để nơi thoáng mát, khô ráo, không để ra
ánh sáng mặt trời Quay vòng băng từ
Các khái niệm mạng cơ bản 44
Sửa hoặc khôi phục hệ thống Windows
Các hệ điều hành thường có các công cụ sửa chữa Windows NT sử dụng đĩa Emergency Repair (ERD) Windows 2000/2003 Recovery Console là một công
cụ mạnh, hỗ trợ 26 lệnh Recovery Console Last Known Good Configuration System Restore Driver Rollback
Các khái niệm mạng cơ bản 45
Recovery Console
Hỗ trợ 27 lệnh Fixmbr: thay thế master boot record (là sector đầu
tiên trên đĩa cứng chứa các thông tin về phân vùng chính và phân vùng mở rộng)
Fixboot: ghi vào một một sector khởi động mới Format: format đĩa Diskpart: quản lý phân vùng Bao gồm rất nhiều tiện ích khác
Các khái niệm mạng cơ bản 46
System Restore
Có sẵn trong Windows XP Khôi phục hệ thống đến trạng thái hoạt động tốt,
gần đây nhất Nhiều điểm khôi phục cần được tạo ra Thay đổi các file hệ thống và registry làm cho
các ứng dụng hoặc phần cứng hoạt động không tốt hoặc không hoạt động
Có thể chạy từ khởi động XP thông thường hoặc trong chế độ Safe Mode
Các khái niệm mạng cơ bản 47
Driver Rollback
Được tích hợp sẵn trong Windows XP và Windows Server 2003
Cho phép khôi phục phiên bản phần mềm cũ khi phiên bản mới được xoá
Chạy từ tiện ích Device Manager
Các khái niệm mạng cơ bản 48
Nguồn điện hoạt động liên tục (UPS)
Có sẵn pin bên trong, và bao gồm các khả năng: Không gây ồn Có bộ phận chống đột biến
Có 2 chê độ: Stand-by – dùng dây dẫn từ nguồn điện đến nguồn
nuôi pin Online – tiếp tục cung cấp nguồn thông qua pin lưu
điện;
Các khái niệm mạng cơ bản 49
Các hệ thống chống chịu lỗi
Các cấu hình đĩa chống chịu lỗi, thực hiện qua phần cứng hoặc phần mềm
Có 2 loại: Disk Mirroring: Nhân bản đĩa Disk striping with parity
Dựa trên công nghệ Redundant Array of Inexpensive Disks (RAID)
Các khái niệm mạng cơ bản 50
RAID 1: Nhân bản đĩa
Ghi dữ liệu lên 2 đĩa, ghi đồng thời Nhân kép sử dụng 2 đĩa và 2 trình điều khiển Nhược điểm là sử dụng dung lượng đĩa gấp 2
Các khái niệm mạng cơ bản 51
RAID 5: Disk Striping with Parity
Tăng hiệu quả về sử dụng dung lượng đĩa Tối thiểu là 3 đĩa
Windows NT và Windows 2000 Server hỗ trợ tối đa 32 đĩa, Raid5 xem chúng như 1 đĩa logic
Hình 10-7 Mình họa Stripe thiết lập với Parity Có thể phục hồi chỉ khi có đơn đĩa bị hỏng Yêu cầu nhiều dung lượng đĩa cho việc tính toán
parity
Các khái niệm mạng cơ bản 52
Stripe Set with Parity
Các khái niệm mạng cơ bản 53
Bộ nhân bản thông minh
Là ứng dụng dạng client-server được giới thiệu trong phiên bản Windows 2000 Tạo hệ thống nhân bản (sao chép) thông minh trên
máy chủ Vận hành dưới các chính sách của domain và sự cấp
phép của người sử dụng Hiển thị lại màn hình người sử dụng ngay khi đăng
nhập vào máy Có thể triển khai, khôi phục, hoặc thay thế dữ liệu
người dùng, phần mềm, và thiết lập cá nhân
Các khái niệm mạng cơ bản 54
Tóm tắt chương
Bảo trì mạng phải luôn được tiến hành, không chỉ là việc cài đặt phần mềm và phần cứng
Người quản trị phải cẩn trọng trong quản lý mạng
Công việc chính của quản trị mạng là thiết lập, quản lý sự truy cập của người dùng vào các tài nguyên mạng.
Các khái niệm mạng cơ bản 55
Tóm tắt (tiếp)
Windows NT sử dụng trình User Manager for Domains và Windows 2000 sử dụng Active Directory Users and Computers để quản lý người dùng và nhóm
Nhóm có thể là cục bộ hoặc tổng thể Everyone là nhóm mặc định với bất kỳ người dùng nào Quyền có thể được gán cho người dùng, nhóm người
dùng để truy cập vào các tài nguyên mạng
Các khái niệm mạng cơ bản 56
Tóm tắt (tiếp)
Mật khẩu nên được thay đổi định kỳ và không nên dùng lại các mật khẩu cũ
Mật khẩu nên gợi nhớ song cũng nên chứa các ký tự đặc biệt, chữ hoa, con số để tăng tính bảo mật
Liên lạc giữa 2 domain được quản lý thông qua qua hệ Trust (uỷ nhiệm) trong Windows NT và Windows 2000
Các khái niệm mạng cơ bản 57
Tóm tắt chương (tiếp)
Quan hệ Trust cho phép các máy có thể trao đổi tài nguyên giữa các domain
Trong Windows NT, ta có thể thiết lập quan hệ Trust 1 chiều hoặc 2 chiều giữa các domain
Trong Windows 2000, quan hệ Trust luôn mặc định là 2 chiều
Trong Windows NT và Windows 2000 Server sử dụng Event Viewer, Performance Monitor, và Network Monitor để quản lý hiệu năng mạng
Các khái niệm mạng cơ bản 58
Tóm tắt chương (tiếp)
Sử dụng nhiều công cụ để kiểm tra thông tin hệ thống, driver, bảo mật, và ứng dụng
Cả bảo mật vật lý, dựa trên phần cứng, và bảo mật dữ liệu, dựa trên phần mềm, đều là các vấn đề bảo mật mạng quan trọng
Chống virus là một yêu cầu rất quan trọng trong an toàn mạng
Chống virus có thể thực hiện từ phía máy trạm, máy chủ, hoặc tại cổng truy cập Internet. Nhưng tốt nhất là kết hợp cả 3