Chào mừng các bạn
»»-((¯`·(¯`vŽ¯)--»*** MasterSpy *** «--(¯`vŽ¯)·`¯))-«« - Tường lửa mới trong Windows Vista và Windows Server Longhorn
ღLONELYღ
  Home
  => Cách tạo một trang web cho riêng mình !
  => Một số địa chỉ trang web hay dành cho bạn, ....cho tôi !
  => 5 bước cơ bản để diệt tận gốc Spyware
  => 10 điều “lính mới” nên biết
  => 10 bước để lập kế hoạch cho nghề nghiệp tương lai của bạn
  => 15 LỜI KHUYÊN HỌC TIẾNG ANH
  => 21 kho lưu dữ liệu miễn phí trên Internet
  => PHƯƠNG PHÁP XỬ LÝ LOGIC VỊ TỪ
  => 50 cuốn sách văn học cần đọc
  => Những bài học từ Adam Khoo
  => Dùng Admodify.net để quản trị và phục hồi Exchange 2003
  => Cuộc đời của Albert Einstein
  => Cảnh giác với hacker và keylogger!
  => Phần mềm miễn phí giúp bảo vệ computer khi online
  => Học thi - cần ăn uống hợp lý
  => Hacker “oánh” mỗi PC chỉ mất 39 giây
  => Xác định nguyên nhân máy tính tự khởi động !
  => Diệt virus Autorun
  => Bấm dây mạng !
  => Bảo vệ mắt khi sử dụng máy tính !
  => Blog ra đời như thế nào?
  => Bài tập Pascal kiểu bản ghi !
  => Hướng dẫn ôn tập lập trình Pascal căn bản !
  => Cách Diệt Virus
  => Cách gỡ bỏ thủ công Symantec Antivirus an toàn (Phần I)
  => Tổng hợp các lệnh ngoài DOS
  => Cài HIREN BOOTCD vào ổ cứng để cứu hộ
  => Cài windows media player 11 ( không cần active window)
  => Cấu hình mạng ADSL cho người dùng tại nhà
  => Thiết Lập Sevice trong windows XP (giúp máy chạy nhanh hơn)
  => Giới Thiệu Centos
  => Chẩn đoán lỗi của màn hình !
  => Chọn DNS truy cập mạng !
  => Kinh nghiệm phòng chống virus, spyware
  => Trắc nghiệm nghiệp vụ kế toán bằng tiếng Anh !
  => Hướng dẫn chụp hình bằng webcam
  => Tổng Hợp Code Dùng Trong Việc Tạo BLOG
  => Công dụng của các dịch vụ trong Windows
  => Sử dụng Popcap game mãi mãi !
  => Cử nhân CNTT không làm CNTT
  => Tìm hiểu DNS.Các bước thiết lập khi mới đăng ký tên miền
  => Làm DNS server online
  => Nội dung định nghĩa về vật chất của Lê Nin
  => Đọc và ... suy nghĩ !
  => Đôi điều về bảo mật hệ thống mạng trong công ty!
  => Khắc phục lỗi 999 Error của Yahoo
  => Chuyển dữ liệu của ổ C từ FAT32 thành NTFS
  => Gỡ password CMOS bằng cách nào?
  => Phần I: Cơ bản về lỗi "màn hình xanh" trong Windows
  => Tổng quan về Group Policy - từ đơn giản đến phức tạp !
  => Gửi nhiều file qua Yahoo Mail
  => Từ XP cài Hacao Linux 2.16 Pro (file ISO) vào đĩa cứng (LiveCD)
  => Chịu thuế và không chịu thuế
  => Hội thảo qua mạng với NetMeeting
  => HOST Free
  => Hướng dẫn download trên megaupload
  => KGB nén File từ 450MB còn 1.43MB rất tiện chia sẻ file trên mạng
  => Khắc phục rớt mạng liên tục
  => Kiến trúc Oracle
  => Thành công trên giảng đường đại học
  => Kỹ thuật Photoshop cơ bản !
  => Kinh nghiệm học tiếng ANH
  => KInh nghiệm học TOÁN CAO CẤP
  => Đôi điều về quá trình làm luận văn (Phần 2)
  => Làm theme cho Blog 360
  => Chia sẻ những điều học được từ cách làm việc theo nhóm
  => Vạch kế hoạch cho tương lai
  => Các Lệnh Cơ Bản trong LINUX
  => Lịch sử các nước ĐẾ QUỐC
  => Lịch sử Việt Nam
  => Links những trang web hay
  => Tạo mail server online bằng IP Động
  => Tự làm giao diện cho Yahoo Mash!
  => Mấy điểm cần tránh
  => Hỏi về IPHONE
  => Máy tính không khởi động từ ổ đĩa cứng!...?
  => MIÊU TẢ SẢN PHẨM MÁY IN hp1320
  => Phá Deep Freeze - Cướp lấy password!!!
  => Những "tuyệt chiêu" chọn mua laptop cũ
  => NHỮNG NGUYÊN TẮC CƠ BẢN CỦA BÁO CHÍ
  => Tìm hiểu nhân của hệ điều hành Linux
  => Sửa lỗi NTLDR is missing
  => Ổ cứng chóng hỏng vì... điều hòa nhiệt độ
  => Những phím tắt thông dụng trong Photoshop 7.0
  => Phím tắt trong WORDS
  => Bí mật của PHỤ NỮ
  => Hướng dẫn post hình lên mạng, và 1 số website để upload hình
  => Chương trình quản lý số điện thoại !
  => Quản lý các mạng Windows dùng script - Phần 2: Hoàn chỉnh script -
  => Cấu hình cho máy in N2500
  => Xóa nick của mình trong Friend List của người khác
  => Rollback Rx Pro:
  => User và pass của một số router
  => Giải pháp sao lưu trực tuyến miễn phí (Phần cuối)
  => Vài điều về Scanner
  => Chọn hệ điều hành của bạn
  => Làm server online tận dụng đường truyền ADSL
  => Thuật toán - Cấu trúc dữ liệu
  => So sánh Oracle và SQL Server ?
  => Cấu hình các công nghệ bảo vệ mạng Windows XP SP2 trên một máy tính
  => Tổng quan về tiết kiệm điện khi sử dụng máy tính !
  => Phần IV: Xử lý sự cố phần cứng
  => CÁC VẤN ĐỀ VỀ SỨC KHỎE PHỤ NỮ
  => Sử dụng phím tắt với Internet Explorer 7
  => SỰ PHÁT TRIỂN CỦA SINH VẬT
  => Nguồn gốc máng cỏ giáng sinh
  => Sưu tầm câu đố !
  => SVCHOST
  => Phòng chống virus cho mạng máy tính doanh nghiệp: kinh nghiệm thực tế
  => Các lệnh căn bản trong ngôn ngữ html
  => Sức mạnh của card đồ họa !
  => Cách tải Nhạc nét
  => Triết học và tâm sự của các nhà giáo
  => Phát triển chiều cao
  => Tăng tốc toàn bộ máy tính bằng tay
  => Tăng tốc WinXP
  => Chống mất cắp cho laptop với Laptop Alarm
  => Tạo file ghost!
  => Tạo một CSS layout từ một bản thiết kế (Phần 1 đến 8)
  => Tạo nick ảo trong Yahoo Messenger
  => Tết Đoan Ngọ bắt đầu từ giữa trưa
  => Thói quen tốt: Nghĩ vậy mà không phải vậy
  => Thomas Edison & những phát minh vĩ đại -
  => Windows Vista: các thủ thuật nhỏ khi sử dụng
  => Thủ thuật Blog 360
  => Thủ thuật Internet Explorer 7
  => Thủ thuật tăng tốc cho Windows
  => Thủ thuật Visual basic
  => Thủ thuật Yahoo! Messenger
  => Yahoo Messenger
  => Khám phá mạng xã hội Yahoo! Mash
  => Mẹo tìm kiếm
  => Tìm kiếm trong Excel
  => Tóc hợp khuôn mặt
  => Tokyo - Một chuyến đi
  => Mười quy luật then chốt về Bảo mật
  => Tổng hợp tất cả các kỹ thuật vượt tường lửa
  => Trang trí USB
  => Thuật toán - Cấu trúc dữ liệu CRC (Cyclic Redundancy Check)
  => Các Tuyệt kỹ khiến phái nữ phải ngã lòng
  => CÁCH UP ẢNH QUA HOST TẠI DIỄN ĐÀN
  => Quản lý danh sách bạn chat trong Yahoo! Messenger
  => Error Doctor 2007
  => TuneUp Utilities® 2007
  => Bộ gõ tiếng Việt: Unikey
  => Hướng dẫn viết bài
  => Tường lửa mới trong Windows Vista và Windows Server Longhorn
  => Web 2.0 không chỉ là công nghệ
  => Các website hữu ích về du học bậc sau đại học tại Hoa Kỳ
  => Wi-fi và an toàn thông tin
  => Thuật toán - Cấu trúc dữ liệu So khớp chuỗi với các ký tự wildcard
  => Xóa địa chỉ và homepage
  => USB không cho ghi
  => Yêu cầu của Quản trị mạng
  => Cách Add Feed trong Blog 360
  => Cách tạo theme trong suốt
  => Đề cương KT-Chính Trị
  Contact
  Guestbook
  Story
  Kiếm tiền thật dễ dàng

Biển xanh ... cát trắng

 

Tham khảo tại đây :
http://www.microsoft.com/windowsserv...y/default.mspx

Tường lửa mới trong Windows Vista và Windows Server Longhorn

Microsoft® Windows Vista™ và Windows Server® Code Name "Longhorn" có một phiên bản mới và nâng cao về tường lửa. Giống như tường lửa trong Windows® XP Service Pack 2 (SP2) và Windows Server 2003 Service Pack 1 (SP1), tường lửa mới này cho phép hoặc khóa lưu lượng mạng theo cấu hình của nó và các ứng dụng hiện đang chạy để cung cấp một mức bảo vệ đối với những người dùng hoặc các chương trình trên mạng có ý đồ xấu. Tường lửa mới này cho phép bảo vệ một cách an toàn hơn và cấu hình nâng cao hơn.


Lưu ý: Bài viết này chỉ mô tả các đặc tính mới và giao diện người dùng cho tường lửa mới này. Nó không phải là một tài liệu hướng dẫn từng bước để cấu hình cho các hoàn cảnh cụ thể, ngoại lệ hoặc thói quen. Để có thể xem thêm kiến thức về các nhiệm vụ cấu hình đặc biệt, hoặc các trường hợp khác, bạn nên sử dụng trợ giúp bên trong Windows Vista. Từ destop của Windows Vista bạn click Start sau đó là Help and Support. Trong phần trợ giúp này, bạn đánh Windows Firewall trong mục Search và sau đó nhấn ENTER.

Những tính năng trong tường lửa Windows mới

Tường lửa mới trong Windows Vista và Windows Server "Longhorn" có các tính năng mới hơn so với Windows Firewall trong Windows XP SP2 và Windows Server 2003 SP1:



- Hỗ trợ lọc cho cả lưu lượng vào và ra.

- Microsoft Management Console (MMC) mới cho cấu hình giao diện người dùng đồ họa (GUI).

- Bộ lọc của tường lửa và các thiết lập bảo vệ bảo mật giao thức Internet (IPsec) được tích hợp.

- Các nguyên tắc (ngoại lệ) có thể được cấu hình cho các tài khoản dịch vụ thư mục Active Directory® và các nhóm, địa chỉ IP nguồn và đích, số giao thức IP, nguồn và đích giao thức Transmission Control Protocol (TCP) và các cổng giao thức User Datagram Protocol (UDP), tất cả hoặc nhiều cổng TCP hoặc UDP, các loại giao diện đặc biệt, giao thức điều khiển tin nhắn Internet (ICMP) và ICMP cho lưu lượng IPv6 và các dịch vụ.

Hỗ trợ việc lọc cho cả lưu lượng vào và ra

Loại bỏ tất cả lưu lượng vào không do yêu cầu không tương ứng với một trong hai thành phần lưu lượng đã gửi để đáp ứng cho một yêu cầu của máy tính (lưu lượng yêu cầu) hoặc lưu lượng không yêu cầu mà đã được phân biệt để loại trừ. Đây là một tính năng chủ yếu của tường lửa để chạy trên một máy tính, nó giúp chống lại sự tiêm nhiễm của các máy tính bởi virus trong mạng và worm được nhân rộng trong mạng thông qua lưu lượng vào không yêu cầu.

Tường lửa mới cũng hỗ trợ cho cả lưu lượng vào và ra. Ví dụ: một quản trị mạng có thể cấu hình tường lửa mới này một thiết lập cho phép khóa tất cả lưu lượng đã vào đến cổng cụ thể có sử dụng phần mềm virus, hoặc để chỉ ra các địa chỉ có nội dung nhạy cảm hoặc không mong muốn.
Mặc định của tường lửa mới này là:

- Khóa tất cả lưu lượng vào miễn là nó được yêu cầu hoặc hợp với những điều lệ đã cấu hình

- Cho phép tất cả lưu lượng ra miễn là nó hợp lệ với các điều lệ đã cấu hình

Microsoft Management Console (MMC) mới cho cấu hình giao diện người dùng đồ họa (GUI)

Với các tường lửa Windows hiện đã có, cấu hình GUI gồm có phần tường lửa Windows Firewall trong Control Panel và một số các thiết lập Group Policy trong mô đun phần mềm soạn thảo Group Policy.

Bạn có thể cấu hình tường lửa mới này với mục Windows Firewall trong Control Panel, chúng vẫn được hiển trị như trong các cấu hình tùy chọn trước đó của các phiên bản Windows đang tồn tại. Bạn có thể cấu hình các thiết lập cơ bản cho tường lửa mới này nhưng với các tính năng nâng cao thì không.

Bởi vì số lượng các tùy chọn cấu hình nâng cao và giá trị của việc có cùng GUI cho cả cấu hình cụ bộ và dựa trên Active Directory Group Policy, Windows Firewall mới cũng có thể được cấu hình với một Windows Firewall được đặt tên trong mô đun phần mềm quản lý MMC có bảo mật nâng cao trong thư mục Administrative Tools.

Với Windows Firewall mới cùng mô đun phần mềm bảo mật nâng cao, các quản trị mạng có thể cấu hình các thiết lập cho một Windows Firewall mới trên các máy tính từ xa, điều không thể thực hiện trong các Windows Firewall hiện hành không có một kết nối máy trạm từ xa.

Với cấu hình dòng lệnh cho các thiết lập của Windows Firewall mới, bạn cũng có thể sử dụng các lệnh trong netsh advfirewall. Chức năng này không được hỗ trợ trong các phiên bản Windows SP2 hoặc Windows Server 2003 SP1.

Với cấu hình dựa trên Group Policy cho Windows Firewall mới. Bạn tìm to Computer ConfigurationWindows SettingsSecurity SettingsWindows Firewall with Advanced Security trong mô đun phần mềm soạn thảo Group Policy. Windows Firewall mới sẽ áp dụng các thiết lập Group Policy được cấu hình cho Windows Firewall hiện hành tại Computer ConfigurationAdministrative TemplatesNetworkNetwork ConnectionsWindows Firewall. Các máy tính đang chạy Windows XP SP2 hoặc Windows Server “Longhorn” sẽ bỏ qua hầu hết các thiết lập Group Policy cho Windows Firewall mới.

Cấu hình tường lửa và Ipsec được tích hợp

Ipsec là một tập hợp các chuẩn Internet để cung cấp sự bảo vệ bằng mật mã cho lưu lượng IP. Trong Windows XP và Windows Server 2003, Windows Firewall và Ipsec được cấu hình tách biệt. Bởi vì cả tường lửa host-based và Ipsec trong Windows đều không thể khóa hoặc cho phép lưu lượng vào.

Các nguyên tắc có thể được cấu hình cho các nhóm và các tài khoản Active Directory

Với các nguyên tắc này, chúng chỉ ra rằng lưu lượng đến và lưu lượng đi phải được bảo vệ với Ipsec, bạn có thể chỉ ra danh sách các tài khoản máy tính và các nhóm hoặc các tài khoản người dùng và các nhóm được xác nhận để khởi đầu truyền thông được bảo vệ. Ví dụ, bạn có thể chỉ ra lưu lượng đến các máy chủ cụ thể với các dữ liệu nhạy cảm phải được bảo vệ và chỉ bắt đầu từ người dùng cụ thể hoặc các máy tính.

Các nguyên tắc có thể được cấu hình cho các địa chỉ IP nguồn và đích

Với Windows Firewall hiện tại, bạn có thể chỉ định phạm vi lưu lượng đến bị loại trừ. Phạm vi này định nghĩa phần lưu lượng của mạng bị loại trừ được cho phép bắt đầu, về bản chất đó chính là các địa chỉ IP nguồn của lưu lượng đến. Với một Windows Firewall mới, bạn có thể cấu hình cả địa chỉ nguồn và địa chỉ đích cho cả lưu lượng đến và đi, bằng cách làm đó của bạn nó sẽ định nghĩa sát hơn loại lưu lượng được cho phép hoặc được khóa. Ví dụ, nếu một máy tính với một địa chỉ IP cụ thể không được phép bắt đầu lưu lượng đến một số các máy chủ, bạn có thể tạo một nguyên tắc cổng khóa bằng cách chỉ định địa chỉ gán cục bộ như địa chỉ nguồn và địa chỉ của các máy chủ như các địa chỉ đích.

Với các địa chỉ đích, bạn cũng có thể chỉ định các địa chỉ được định nghĩa từ trước cho Windows Firewall:

Các cổng mặc định, các máy chủ WINS, DHCP và DNS

Các địa chỉ được định nghĩa trước này được ánh xạ một cách động tính đến các địa chỉ của các cổng mặc định, các máy chủ WINS, DHCP và DNS đã thiết lập hiện tại cho máy chủ.

Mạng cấp dưới (subnet) cục bộ

Các địa chỉ được định nghĩa trước này được ánh xạ đến tập các địa chỉ được định nghĩa bởi các địa chỉ IPv4 và dấu mạng con (subnet mask) của bạn hoặc tiếp đầu ngữ mạng con cục bộ Ipv6.
Các nguyên tắc có thể được cấu hình cho số giao thức IP

Trong Windows Firewall của các phiên bản Windows trước, bạn có thể tạo các nguyên tắc dựa trên lưu lượng TCP hoặc UDP, nhưng bạn không thể chỉ định các loại lưu lượng khác không sử dụng TCP hoặc UDP. Tường lửa mới này sẽ cho phép bạn lựa chọn giao thức bởi tên hoặc đánh một cách thủ công giá trị của các trường IPv4 Protocol hoặc Ipv6 Next Header cho lưu lượng mong muốn.

Các nguyên tắc có thể được cấu hình cho các cổng TCP và UDP nguồn và đích

Trong Windows Firewall của các phiên bản Windows trước, bạn có thể chỉ định cổng TCP hoặc UDP đích cho lưu lượng đến. Với Windows Firewall mới này, bạn có thể cấu hình cả hai cổng TCP hoặc UDP nguồn và đích cho lưu lượng đến và đi, bằng cách này bạn có thể định nghĩa sát hơn với các loại lưu lượng TCP hoặc UDP đối với vấn đề cho phép hoặc khóa. Ví dụ, nếu bạn muốn khóa lưu lượng nguy hiểm hay không mong muốn bằng sử dụng tập các cổng TCP đã biết thì bạn có thể tạo các nguyên tắc đóng hay mở bằng việc chỉ định các cổng TCP nguồn và đích của lưu lượng.

Các nguyên tắc có thể được cấu hình cho tất cả hay đa cổng

Khi cấu hình một nguyên tắc dựa vào cổng cho các Windows Firewall trong các phiên bản Windows trước, bạn chỉ có thể chỉ định một cổng TCP hoặ UDP đơn lẻ. Với Windows Firewall mới này, bạn hoàn toàn có thể chỉ định tất cả các công TCP hoặc UDP (cho tất cả lưu lượng TCP hay tất cả lưu lượng UDP) hoặc một danh sách được ngăn cách nhau bằng dấu phảy cho đa cổng. Để cấu hình Windows Firewall mới này cho một dãy cổng, bạn phải chỉ định tất cả các cổng trong dãy. Ví dụ, nếu bạn muốn cấu hình một nguyên tắc cho dãy cổng từ 1090-1095 thì bạn phải cấu hình các cổng như sau: 1090,1091,1092,1093,1094,1095.

Các nguyên tắc có thể được cấu hình cho các loại giao diện cụ thể

Với Windows Firewall trong các phiên bản Windows trước đây, tất cả các nguyên tắc được phép được áp dụng cho tất cả các giao diện. Nhưng đối với Windows Firewall mới này, bạn có thể chỉ định một nguyên tắc áp dụng cho tất cả giao diện hoặc chỉ định các loại cụ thể của giao diện gồm có giao diện LAN, truy cập từ xa, hoặc không dây. Ví dụ, nếu một ứng dụng chỉ được sử dụng trên các kết nối truy cập từ xa và nạn không muốn đặt các nguyên tắc cho các kết nối LAN và không dây thì bạn có thể cấu hình nguyên tắc để chỉ áp dụng cho các kết nối truy cập không dây.

Các nguyên tắc có thể được cấu hình cho lưu lượng ICMP và ICMPv6 bằng Type và Code

Với Windows Firewall trong các phiên bản Windows trước, bạn có thể kích hoạt các nguyên tắc cho một tập cố định các tin nhắn ICMP (for IPv4) và ICMPv6. Nhưng với Windows Firewall mới, bạn có một tập được định nghĩa trước của các tin nhắn ICMP và ICMPv6 được loại trừ và bạn có thể thêm các tin nhắn ICMP hoặc ICMPv6 mới bằng việc chỉ định các giá trị của trường Type và Code của tin nhắn ICMP hoặc ICMPv6. Ví dụ, nếu bạn muốn tạo một nguyên tắc cho tin nhắn ICMPv6 gói lớn, bạn có thể tạo một cách thủ công một nguyên tắc cho ICMPv6 Type 2 và Code 0.

Các nguyên tắc có thể được cấu hình cho các dịch vụ

Với Windows Firewall mới, bạn có thể chỉ định nguyên tắc áp dụng cho bất kỳ quá trình nào, chỉ cho các dịch vụ, cho một dịch vụ bằng tên của nó hoặc bạn có thể đánh tên ngắn của dịch vụ đó. Ví dụ, nếu bạn muốn cấu hình một nguyên tắc chỉ để áp dụng cho dịch vụ trình duyệt máy tính thì bạn có thể chọn dịch vụ trình duyệt trong danh sách các dịch vụ đang chạy trên máy tính.

Sử dụng Windows Firewall với Advanced Security snap-in

Thực hiện các bước sau để cấu hình thiết lập nâng cao cho Windows Firewall mới:

- Từ màn hình Windows Vista hoặc Windows Server "Longhorn", bạn click Control Panel > System and Maintenance > Administrative Tools và kích đúp vào Windows Firewall with Advanced Security.

Hình dưới đây cho các bạn thấy một ví dụ của Windows Firewall với mô đun phần mềm bảo mật nâng cao.



Để thay đổi trạng thái Windows Firewall, chỉ định các thiết lập thêm vào cho Ipsec hoặc chỉ định các thiết lập điều khiển Windows Firewall và ghi các thiết lập vào hồ sơ của nó, bạn click chuột phải vào Windows Firewall with Advanced Security trong phần cây sao đó click vào Properties. Hình dưới là một ví dụ.




Các thiết lập Domain Profile, Private Profile và Public profile áp dụng cho các mạng miền (domain), riêng (private) và công cộng (public).

Windows Firewall mới với cây Advanced Security có các nút dưới đây:

- Inbound Rules Lưu trữ các thiết lập được cấu hình cho lưu lượng vào.

- Outbound Rules Lưu trữ các thiết lập được cấu hình cho lưu lượng ra.

- Connection Security Rules Lưu trữ các thiết lập cho nguyên tắc lưu lượng được bảo vệ

- Monitoring Hiển thị thông tin về các nguyên tắc tường lửa hiện hành, các nguyên tắc bảo mật kết nối và các liên kết bảo mật. Nút kiểm tra không được hiển thị khi quan sát Windows Firewall với mô đun phần mềm bảo mật nâng cap bên trong mô đun soạn thảo Group Policy.

Khi bạn chọn nút bảo mật nâng cao (Advanced Security) trong Windows Firewall, cửa sổ sau sẽ được hiển thị:

- Overview và Getting Started Phần tổng quan (Overview) hiển thị trạng thái hiện tại của Windows Firewall mới chi hồ sơ chuẩn và miền gồm có hồ sơ tích cực. Phần Getting Started gồm có các liên kết đến các chủ đền cho bạn các nguyên tắc cấu hình bắt đầu.

- Resources Cung cấp các liên kết đến các chủ đề tài liệu cho Windows Firewall mới.

Cửa sổ Actions hiển thị các lệnh menu nội dung của nút được chọn hiện hành trong cây hoặc cửa sổ chi tiết.

Inbound rules
Outbound rules
Connection security rules

Cấu hình một Inbound rules

Để tạo một Inbound rules mới, bạn kích chuột phải vào Inbound Rules trong cây, sau đó kích New Rule. Lần lượt kích Inbound Rules trong cây, sau đó kích New Rule trong cửa sổ các hành động (Actions). Các nguyên tắc đi vào sẽ bắt đầu. Hình dưới đây là một ví dụ.



Từ cửa sổ Rule Type của New Inbound Rule wizard bạn có thể chọn như sau:

- Program Để chỉ định một nguyên tắc lưu lượng dựa trên tên một chương trình (được chỉ đinh bằng đường dẫn của nó và tên thực thi). Bạn cũng phải chỉ định một hành động (để cho phép, khóa hoặc bảo vệ), ghi hồ sơ cho các nguyên tắc áp dụng (chuẩn, miền hay cả hai) và tên của nguyên tắc.

- Port Để chỉ định một nguyên tắc lưu lượng đi vào dựa trên các cổng TCP hoặc UDP. Bạn cũng phải chỉ định một hành động (để cho phép, khóa hay bảo vệ), ghi hồ sơ cho nguyên tắc áp dụng (miền, công cộng hay riêng) và tên của nguyên tắc.

- Predefined Để chỉ định nguyên tắc dựa trên một trong những dịch vụ được định nghĩa trước. Bạn cũng phải chỉ định tên của nguyên tắc.

- Custom Để tạo một nguyên tắc tùy chỉnh. Bạn nên chọn tùy chọn này khi muốn cấu hình thủ công nguyên tắc này, có lẽ dựa trên các thiết lập nâng cao mà không được cấu hình thông qua các cửa sổ của New Inbound Rule wizard. Bạn phải chỉ định tên của nguyên tắc.

Sau khi New Inbound Rule wizard được hoàn tất, có một nguyên tắc đi vào mới với tên bạn đã chỉ định bên trong cửa sổ chi tiết. Để cấu hình các thuộc tính nâng cao cho nguyên tắc này, bạn kích chuột phải vào tên của nguyên tắc và sau đó kích Properties. Kích tên sau đó kích Properties trong cửa sổ Actions

Cấu hình Outbound rules

Để tạo một Outbound rules mới, bạn kích chuột phải vào Outbound Rules trong cây sau đó kích New Rule. Chọn Outbound Rules trong cây và kích New Rule trong cửa sổ Actions. New Outbound Rule wizard được bắt đầu. Hình dưới đây là một ví dụ.



Từ cửa sổ Rule Type của New Outbound Rule wizard bạn có thể chọn những tùy chọn dưới đây:

- Program

- Port

- Predefined

- Custom

Các loại nguyên tắc này cũng như các nguyên tắc đi vào, ngoại trừ chúng được cấu hình cho lưu lượng ra. Sau khi được hoàn tất, có một nguyên tắc đi ra mới với tên mà bạn đã chỉ định trong cửa sổ chi tiết. Để cấu hình các thuộc tính nâng cao cho nguyên tắc này, bạn kích chuột phải vào tên của nguyên tắc sau đó kích Properties. kích tên của nguyên tắc sau đó kích Properties trong cửa sổ Actions.

Từ hộp thoại thuộc tính cho cả hai nguyên tắc đi vào và đi ra, bạn có thể cấu hình các thiết lập trên các tab sau:

- General Tên của nguyên tắc và hành động của nó (cho phép các kết nối, chỉ cho phép các kết nối an toàn hoặc khóa).

- Programs and Services Chương trình hay các dịch vụ cho nguyên tắc áp dụng. Bạn có thể chỉ định tùy chọn cả hai chương trình và dịch vụ. Nếu bạn chỉ định cả hai bạn phải làm phù hợp kết nối với nguyên tắc.

- User and Computers (đi vào) hoặc Computers (đi ra) Nếu các hành động của nguyên tắc chỉ cho phép các kết nối an toàn thì người dùng hoặc các tài khoản máy tính đó được thẩm định để thực hiện các kết nối bảo vệ.

- Protocols and Ports Giao thức IP của nguyên tắc, các cổng TCP hoặc UDP nguồn và đích và các thiết lập ICMP hoặc ICMPv6

- Scope Các địa chỉ nguồn và đích của nguyên tắc.

- Advanced Các hồ sơ hoặc các loại giao diện cho nguyên tắc áp dụng và cho các nguyên tắc đi vào, bạn muốn cho phép hay không cho phép lưu lượng loại trừ này qua router đang thực hiện dịch địa chỉ mạng bằng sử dụng công nghệ Teredo.

Cấu hình Connection Security Rule

Để tạo một nguyên tắc bảo mật kết nối mới, bạn kích chuột phải vào Connection Security Rules trong cây sau đó New Rule. Kích Connection Security Rules trong cây sau đó là New Rule trong cửa sổ Actions.



Từ cửa sổ Rule Type của New Connection Security Rule wizard bạn có thể chọn các tùy chọn dưới đây:

- Isolation Để chỉ định máy tính nào bị cô lập với các máy tính khác dựa trên các thành viên trong cơ sở hạ tầng Active Directory hoặc do chúng có một trạng thái được nâng cấp và trạng thái sức khỏe hiện tại của nó. Bạn phải chỉ định khi bạn muốn sự thẩm định xuất hiện (cho ví dụ, với các lưu lượng vào hoặc ra và bạn có muốn yêu cầu hoặc chỉ các bảo vệ yêu cầu hay không), phương pháp thẩm định cho lưu lượng được bảo vệ và tên của nguyên tắc. Việc cô lập các máy tính dựa trên các trạng thái sức khỏe của nó sử dụng nền Network Access Protection mới trong Windows Vista và Windows Server Longhorn.

- Authentication exemption Để chỉ định các máy tính không có thẩm định quyền hoặc bảo vệ lưu lượng bằng địa chỉ IP của chúng.

- Server to server Để chỉ định sự bảo vệ lưu lượng giữa các máy tính cụ thể, các máy chủ điển hình. Bạn phải chỉ định tập các điểm cuối sẽ trao đổi lưu lượng được bảo vệ bằng địa chỉ IP khi bạn muốn sự thẩm định xuất hiện - phương pháp thẩm định cho lưu lượng bảo vệ và tên cho nguyên tắc.

- Tunnel Để chỉ định sự bảo vệ lưu lượng được tạo, điển hình được sử dụng khi gửi các gói xuyên qua Internet giữa hai máy tính cổng (gateway) bảo mật. Bạn phải chỉ định điểm cuối đường hầm bằng bởi địa chỉ IP, phương pháp thẩm định quyền và tên cho nguyên tắc.

- Custom Để tạo công thức không chỉ định sự bảo vệ. Bạn nên chọn tùy chọn này khi bạn muốn cấu hình thủ công một nguyên tắc, có lẽ dựa trên các thuộc tính nâng cao không thể được cấu hình qua các cửa sổ của New Connection Security Rule wizard. Bạn phải chỉ định tên của nguyên tắc.

Sau khi New Connection Security Rule wizard được hoàn tất, có một nguyên tắc mới với tên mà bạn đã chỉ định bên trong cửa sổ chi tiết của nút Connection Security Rules. Để cấu hình các thuộc tính nâng cao cho nguyên tắc, bạn kích chuột phải vào tên của nguyên tắc, sau đó kích Properties. Kích vào tên trong cửa sổ chi tiết sau đó kích Properties trong cửa sổ Actions.

Từ hộp thoại thuộc tính cho một nguyên tắc, bạn có thể cấu hình các thiết lập trên các tab dưới đây:

- General Tên và phần mô tả của nguyên tắc và nguyên tắc được kích hoạt hay không.

- Computers Tập các máy tính, bởi địa chỉ IP, cho lưu lượng được bảo vệ.

- Authentication Khi bạn muốn thẩm định cho bảo vệ lưu lượng xuất hiện (cho ví dụ cho lưu lượng đến và đi và bạn có muốn yêu cầu hay chỉ sự bảo vệ yêu cầu hay không) và phương pháp thẩm định cho lưu lượng được bảo vệ.

- Advanced Các hồ sơ và các loại giao diện cho nguyên tắc áp dụng và đường hầm Ipsec.

Itgatevn - Microsoft

Longhorn đã sẵn sàng cung cấp mật khẩu đa

Tôi đã từng nghe suốt 7 năm qua một câu rằng: “Ước gì Microsoft cho phép các chính sách mật khẩu đa miền trong một miền đơn”. Và bây giờ điều đó đã thành sự thực! Thế hệ server tiếp theo của Microsoft, với tên nguồn là Longhorn sẽ cung cấp chức năng này một cách rất đặc trưng. Sau thời gian dài chờ đợi, bây giờ một trong các thành phần được yêu cầu nhiều nhất cho Windows Active Directory đã được đáp ứng. Liệu Windows 2000 và Windows 2003 có cung cấp thành phần này không? Nếu câu trả lời của bạn là có thì sau khi đọc xong bài này bạn sẽ hiểu rõ quan điểm ấy sai lầm ra sao, đồng thời cũng sẽ biết được khả năng của Longhorn trong lĩnh vực này.

Triển khai chính sách mật khẩu miền với Active Directory Windows 2000/2003

Trong quá trình cài đặt Windows Active Directory cho một Domain Controller, hai Group Policy Object (GPO), tức đối tượng chính sách nhóm được tạo. Các GPO này được đặt tên là Default Domain Controllers Policy và Default Domain Policy. Đầu tiên, tất nhiên chúng ta sẽ hướng đến các máy kiểm soát miền, liên kết với đơn vị tổ chức Domain Controller (OU) nhưng chỉ với OU trong quá trình cài đặt mới Active Directory. Trách nhiệm chính của GPO này là thiết lập đặc quyền người dùng cho Domain Controller, cũng như một số thiết lập bảo mật hỗn hợp khác.

Default Domain Policy liên kết tới nút miền trong toàn bộ quá trình cài đặt, với một trách nhiệm mặc định. Đó là thiết lập Password Policy cho tất cả tài khoản người dùng trong miền. Password Policies chỉ là một trong ba phần khác nhau ở khu vực Account Policies. Bên cạnh đó còn có Account Lockout Policies và Kerberos Policies.

Bên trong Default Domain Policy, các thiết lập kiểm soát mật khẩu tài khoản người dùng trong miền và giới hạn khoá được tạo, như trong Hình 1, Hình 2 bên dưới.


Hình 1: Các thiết lập Password Policies.



Hình 2: Các thiết lập Account Lockout Policies.

Nếu các giá trị mặc định không được hoan nghênh, bạn có thể chỉnh sửa chúng. Có hai hướng thực hiện là update Default Domain Policy để đạt được các thiết lập Password Policy mong đợi. Hoặc không thay đổi GPO mặc định mà tạo mới một GPO khác. Sau đó liên kết nó với miền, cấu hình với các thiết lập Password Policy mong đợi cũng như các thiết lập khác và chuyển lên mức ưu tiên cao hơn Default Domain Policy, như trong Hình 3.



Hình 3: GPO mới với mức ưu tiên cao hơn được tạo để cung cấp
Password Policy cho tất cả tài khoản người dùng trong miền.

Thiết lập chính sách mật khẩu quản lý tài khoản bảo mật cục bộ (SAM)

Nếu bạn nghĩ rằng Password Policy có thể được thiết lập trong một GPO liên kết tới một OU mới do bạn tạo thì bạn đúng. Nhưng nếu bạn nghĩ rằng các thiết lập Password Policy trong GPO mới này sẽ tác động tới tài khoản người dùng nằm trong OU đó thì bạn đã sai. Đây là khái niệm sai lầm rất phổ biến về cách thức hoạt động của Password Policy trong các miền Active Directory Windows 2000/2003.

Các thiết lập được tạo trong những GPO này không ảnh hưởng tới tài khoản người dùng, nhưng ảnh hưởng tới tài khoản máy tính. Điều này được thể hiện trong hình minh hoạ 1 ở trên. Bạn có thể thấy phần Account Policies rõ ràng nằm dưới nút Computer Configuration trong GPO.

Sự nhầm lẫn ngày càng tăng do sự thật là tài khoản máy tính không có mật khẩu, còn tài khoản người dùng thì có. Để khắc phục, các GPO thực hiện cấu hình SAM (trình quản lý tài khoản bảo mật) trên máy tính, đưa ra các kiểm soát giới hạn mật khẩu cho tài khoản người dùng cục bộ được lưu trữ ở đó.

Cũng cần chú ý rằng các thiết lập Password Policies trong GPO liên kết tới OU mặc định có quyền ưu tiên cao hơn Default Domain Policy. Do đó, bất kỳ thiết lập nào được thực hiện trong GPO liên kết tới OU sẽ có tác động mức miền. Điều này có thể thay đổi qua tuỳ chọn Enfored trên GPO liên kết tới miền có các thiết lập Password Policy mong đợi, như minh hoạ trên Hình 4.


Hình 4: GPO liên kết tới miền với cấu hình tuỳ chọn Enforced.

Chính sách mật khẩu miền Longhorn

Trong Longhorn, khái niệm và hoạt động về thiết lập chính sách mật khẩu cho tài khoản người dùng trong miền thường có kết quả đảo ngược. Các chính sách mật khẩu đa miền hiện nay có thể áp dụng cho cùng một miền. Tất nhiên, đây là thành phần đã được mong đợi từ lâu, rất lâu rồi, từ cái thời của Windows NT 4.0. Câu này cũng đã trở nên quá quen thuộc: “Tôi muốn có mật khẩu tổng hợp hơn cho quản trị viên so với người dùng tiêu chuẩn trong miền”.

Bây giờ, bạn có thể tạo chính sách mật khẩu tuỳ chọn cho bất kỳ kiểu người dùng nào trong môi trường của mình. Đó có thể là những người trong lĩnh vực HR, tài chính, nhân viên, quản trị IT, nhân viên hỗ trợ…

Các thiết lập bạn sẽ có trong thời kỳ chuyển nhượng cũng giống như bên trong các Group Policy Object hiện nay. Chỉ có điều là bạn sẽ không cần dùng Group Policy để cấu hình chúng. Với Longhorn, có một đôi tượng mới tỏng Active Directory cho bạn cấu hình. Đó là Password Settings Object, bao gồm toàn bộ các thuộc tính hiện thời có trong Password Policies và Account Lockout Policies.

Để triển khai, bạn cần tạo một đối tượng LDAP mới có tên msDS-PasswordSettings bên dưới nơi lưu trữ Password Settings. Đường dẫn LDAP có dạng: “cn=Password Settings,cn=System,dc=domainname,dc=com”. Bên dưới đối tượng mới này, bạn sẽ cần điền thông tin cho các thuộc tính sau:

msDS-PasswordSettingsPrecedence: Đây là một thuộc tính quan trọng, có thể điều khiển trường hợp một người dùng có tư cách thành viên trong đa nhóm với các chính sách mật khẩu khác nhau được thiết lập.

msDS-PasswordReversibleEncryptionEnabled: Bật/tắt chức năng để biết liệu cơ chế mã hoá đảo ngược có được hỗ trợ hay không.

msDS-PasswordHistoryLength: Xác định có bao nhiêu mật khẩu phải là duy nhất trước khi nó có thể được dùng lại.

msDS-PasswordComplexityEnabled: Thiết lập cơ chế mật khẩu yêu cầu ít nhất 6 ký tự, 3 hay 4 kiểu ký tự và từ chối mật khẩu nào được dùng làm tên đăng nhập.

msDS-MinimumPasswordLength: Thiết lập độ dài nhỏ nhất cho mật khẩu.

msDS-MinimumPasswordAge: Xác định người dùng phải dùng mật khẩu trong bao lâu trước khi thay đổi nó.

msDS-MaximumPasswordAge: Xác định người dùng có thể dùng mật khẩu trong bao lâu trước khi chúng được yêu cầu thay đổi.

msDS-LockoutObservationWindow: Xác định khoảng thời gian bộ đếm mật khẩu sai sẽ được thiết lập lại.

msDS-LockoutDuration: Xác định thời gian bao lâu tài khoản sẽ bị khoá sau quá nhiều lần nhập mật khẩu sai.

Sau khi các thuộc tính được cấu hình, đối tượng mới sẽ được liên kết với nhóm mở rộng Active Directory. Chương trình liên kết hoàn chỉnh ở bước thêm tên LDAP của nhóm vào thuộc tính msDS-PSOAppliesTo.

Tóm tắt

Longhorn sẽ được trình diện với một số thành phần mới, công nghệ mới và phương thức mới cho hoạt động điều khiển và quản lý đối tượng trong doanh nghiệp của bạn. Cho đến bây giờ, một trong các thành phàn ấn tượng nhất và nhanh chóng sẽ trở nên phổ biến là khả năng thiết lập chính sách đa mật khẩu trong một miền đơn. Có thể trong đầu bạn đã bắt đầu hình suy nghĩ về tác động của chức năng mới lên môi trường hệ hiện tại của mình và bắt đầu vạch kế hoạch về cái bạn muốn thực hiện trong một thời gian dài.

T.Thu (Security)


Vô hiệu hóa các ổ USB, CD-ROM, Floppy Disk và LS-120 bằng Group Policy

Microsoft Group Policy cho phép tạo các file mẫu Administrative Template (.adm) tùy thích để áp dụng cho các thiết lập registry không có sẵn trong chế độ mặc định. Mẫu ADM trong bài viết này cho phép vô hiệu hóa bộ cài các thiết bị trên.

Mặc định, Group Policy không tạo diều kiện dễ dàng để vô hiệu hóa các ổ có thể di chuyển như cổng USB, ổ CD-ROM, ổ mềm và ổ mềm công suất cáo LS-120. Tuy nhiên, Group Policy có thể được mở rộng để sử dụng các tùy chọn bằng các mẫu ADM. Mẫu ADM trong bài này cho phép quản trị viên có thể vô hiệu hóa các ổ trên, bảo đảm rằng chúng không thể sử dụng.

Cách thức tiến hành
Code:
Nhập mẫu quản trị này vào Group Policy bằng một file .adm.
 
CLASS MACHINE
CATEGORY !!category
 CATEGORY !!categoryname
 POLICY !!policynameusb
   KEYNAME "SYSTEMCurrentControlSetServicesUSBSTOR"
   EXPLAIN !!explaintextusb
     PART !!labeltextusb DROPDOWNLIST REQUIRED
 
       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
 POLICY !!policynamecd
   KEYNAME "SYSTEMCurrentControlSetServicesCdrom"
   EXPLAIN !!explaintextcd
     PART !!labeltextcd DROPDOWNLIST REQUIRED
 
       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 1 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
 POLICY !!policynameflpy
   KEYNAME "SYSTEMCurrentControlSetServicesFlpydisk"
   EXPLAIN !!explaintextflpy
     PART !!labeltextflpy DROPDOWNLIST REQUIRED
 
       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
 POLICY !!policynamels120
   KEYNAME "SYSTEMCurrentControlSetServicesSfloppy"
   EXPLAIN !!explaintextls120
     PART !!labeltextls120 DROPDOWNLIST REQUIRED
 
       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
 END CATEGORY
END CATEGORY
 
[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"

Mẫu này sẽ được duy trì hơn chính sách thực và sẽ tác động lên registry của các máy khách với thiết lập của nó. Nếu mẫu này bị xóa bỏ khỏi Group Policy đã áp dụng nó, registry sẽ thay đổi nó trở lại như cũ. Nếu bạn muốn đảo ngược lại các thiết lập được tạo ra bởi mẫu này, các đơn giản là đảo ngược các tùy chọn sang re-enable cho các ổ.

Áp dụng cho các phiên bản dưới đây của Windows

• Microsoft Windows Server 2003, Standard Edition (32-bit x86)
• Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
• Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
• Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems


Văn Linh ( Microsoft)
 
Today, there have been 13 visitors (53 hits) on this page!
=> Do you also want a homepage for free? Then click here! <=
Đến với thành phố biển Vũng Tàu