Home > INSTALLING AND CONFIGURING WINDOWS SERVER 2016 > INSTALLING AND CONFIGURING WINDOWS SERVER 2016 (Part 12)

INSTALLING AND CONFIGURING WINDOWS SERVER 2016 (Part 12)

December 1, 2016

XII. GPO SECURE MEMBER SERVER – AUDITING – APPLOCKER – ADVANCED FIREWALL

CÁC BƯỚC TRIỂN KHAI

1. Sử dụng Group Policy để bảo mật Member Servers

2. Auditing

a. Giám sát truy cập File hệ thống

b. Giám sát User Log on trên domain

3. Cấu hình Applocker Policy

4. Cấu hình Windows Firewall

A- CHUẨN BỊ

Mô hình bài lab bao gồm 2 máy:

+ PC01: Windows Server 2016 DC

+ PC03: Windows Server 2016 đã join domain

+ PC05: Windows 8.1 Enterprise đã join domain

– Trên PC01, tạo OU MemberServerOU, move Computer PC03 vào OU này và tạo thêm Group Server Admins

clip_image002

– Tạo User Teo.

B- THỰC HIỆN

1. Sử dụng Group Policy để bảo mật Member Servers (Thực hiện trên PC01)

– Mở Group Policy Management -> Bung Forest: NHATNGHE.LOCAL ->Domains -> NHATNGHE.LOCAL. Chuột phải vào Group Policy Objects, chọn New.

clip_image004

– Ở mục Name, đặt tên Member Server -> OK

clip_image005

– Chuột phải vào OU MemberServerOU, chọn Link an Existing GPO.

clip_image007

– Chọn Member Server -> OK

clip_image008

– Chuột phải vào Default Domain Policy -> chọn Edit

clip_image010

– Mở theo đường dẫn Computer Configuration -> Windows Settings -> Security Settings. Chuột phải vào Restricted Groups -> Add Group

clip_image012

– Nhấn Browse, nhập vào Administrators -> Check Names -> OK

clip_image013

– Khung Members of this group -> Add -> Browse

clip_image015

– Nhập vào: Server Admins, Domain Admins -> Check Names -> OK 3 lần.

clip_image016

– Chuột phải vào GPO Member Server -> chọn Edit

clip_image018

– Mở theo đường dẫn Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment. Chuột phải vào Allow log on locally, chọn Properties.

clip_image020

– Nhấn vào nút Add User or Group -> Nhập vào Administrators, Domain Admins -> Check Names -> OK -> OK

clip_image022

– Tiếp tục ở khung bên trái -> chọn Security Options. Khung bên phải -> chuột phải vào User Account Control: Admin Approval Mode for the Built-in Administrator account, chọn Properties

clip_image024

– Chọn Enabled -> OK

clip_image026

– Kiểm tra:

+ Trên máy PC03, log on Administrator. Mở CMD, gõ lệnh Gpupdate /force

clip_image028

+ Mở Server Manager, vào menu Tools -> chọn Computer Management

clip_image029

+ Bung mục Local Users and Groups -> Groups, double click vào Administrators

clip_image030

+ Quan sát thấy nhóm Domain Admins và Server Admins có quyền quản trị trên local.

clip_image032

+ Log off Administrators, log on bằng user Teo.

clip_image034

+ Quan sát thấy user Teo không được phép log on trên máy PC03 được.

clip_image036

2. Auditing

a. Giám sát truy cập File hệ thống

– Chuột phải vào GPO Member Server -> chọn Edit

clip_image038

– Mở theo đường dẫn Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy. Chuột phải vào Audit object access -> Chọn Properties.

clip_image040

– Đánh dấu chọn vào ô Define these policy settings, sau đó chọn 2 ô Success và Failure -> OK

clip_image041

– Qua máy PC03, mở File Explorer, tạo thư mục C:\Data. Chuột phải vào thư mục Data -> chọn Share with -> Specific people.

clip_image043

– Share user Teo -> Read/Write -> Share -> Done

clip_image044

– Chuột phải vào thư mục Data -> chọn Properties -> Nhấn Advanced

clip_image046

– Qua tab Auditing -> Nhấn Add

clip_image048

– Chọn Select a principal

clip_image050

– Nhập vào Domain Users -> Check Names -> OK

clip_image052

– Ở mục Type -> chọn All. Ở mục Basic permissions -> Đánh dấu chọn vào ô Write -> OK 3 lần

clip_image054

– Mở CMD, gõ lệnh: Gpupdate /force

clip_image056

– Kiểm tra:

+ Trên PC05, log on Administrator -> Mở CMD, gõ lệnh Gpupdate /force

+ Log off Administrator, log on user Teo. Nhấn tổ hợp phím ÿ + R, gõ \\pc03

clip_image057

– Tạo file tailieu.txt trong thư mục Data

clip_image059

– Qua máy PC03, mở Server Manager -> menu Tools -> chọn Event Viewer

clip_image061

– Ở khung bên trái chọn Windows Logs -> Security. Nhấn double click vào event.

clip_image063

– Thông tin về quá trình giám sát

clip_image064


b. Giám sát User Log on trên domain (Thực hiện trên máy PC01)

– Mở Group Policy Management -> Chuột phải vào Default Domain Policy -> chọn Edit

clip_image066

– Mở theo đường dẫn Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy. Chuột phải vào Audit account log on events -> Chọn Properties.

clip_image068

– Đánh dấu chọn vào ô Define these policy settings, sau đó chọn 2 ô Success và Failure -> OK

clip_image069

– Mở CMD, gõ lệnh Gpupdate /Force

clip_image071

– Kiểm tra:

+ Trên máy PC05, log on Administrator. Mở CMD, gõ lệnh Gpupdate /Force

+ Log off Administrator, log on user Teo (cố tình nhập mật khẩu sai)

clip_image072

+ Qua máy PC01, mở Event Viewer -> chọn Windows Logs -> Securities. Quan sát thấy event báo user teo không chứng thực được

clip_image074

– Qua máy PC05, log on user Teo, nhập đúng mật khẩu

– Qua máy PC01, kiểm tra Event Viewer, thấy event Audit Success do user Teo đăng nhập thành công.

clip_image075


3. Cấu hình Applocker Policy (Thực hiện trên PC01)

– Mở Active Directory Users and Computers, tạo OU ClientComputerOU, sau đó move computer PC05 vào OU này.

clip_image076

– Mở Group Policy Management -> Chuột phải vào Group Policy Objects -> chọn New

clip_image078

– Ở mục Name, đặt tên Software Control GPO -> OK

clip_image079

– Chuột phải vào GPO vừa tạo, chọn Edit.

clip_image081

– Mở theo đường dẫn: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Application Control Policies -> AppLocker. Chuột phải vào Executable Rules -> chọn Create Default Rules

clip_image083

– Quan sát thấy các Default Rule được tạo.

clip_image085

– Chuột phải vào Windows Installer Rules -> chọn Create Default Rules

clip_image087

– Quan sát thấy các Default Rule được tạo.

clip_image089

– Thực hiện tương tự tạo Create Default Rules cho Script Rules và Packaged app Rules

clip_image091

clip_image093

– Nhấn chuột vào AppLocker -> Ở khung bên phải chọn Configure rule enforcement

clip_image095

– Đánh dấu chọn vào Configured -> chọn Audit Only -> OK

clip_image096

– Mở theo đường dẫn Computer Configuration -> Policies -> Windows Settings -> Security Settings. Chuột phải vào Application Identity -> chọn Properties

clip_image098

– Đánh dấu chọn vào ô Define this policy setting -> chọn Automatic -> OK

clip_image099

– Chuột phải vào Executable Rules -> chọn Create New Rule

clip_image101

– Màn hình Before you begin -> Next

– Màn hình Permissions -> Select

clip_image103

– Nhập vào user Teo -> Check Names -> OK -> Next

clip_image104

– Màn hình Conditions -> chọn Path -> Next

clip_image106

– Nhấn Browse Files và trỏ đường dẫn đến file iexplore.exe -> Next

clip_image108

– Màn hình Exceptions -> Next

clip_image110

– Màn hình Name -> đặt tên Deny IE -> Create

clip_image112

– Quan sát Rule vừa tạo.

clip_image114

– Ở khung bên trái chọn AppLocker -> nhấn vào mục Configure rule enforcement

clip_image116

– Đánh dấu chọn vào các ô Configured -> chọn tất cả là Enforce rules -> OK

clip_image117

– Chuột phải vào ClientComputer OU -> chọn Link an Existing GPO

clip_image119

– Chọn Software Control GPO vừa tạo -> OK

clip_image121

– GPO đã được link vào OU.

clip_image123

– Mở CMD, gõ lệnh Gpupdate /Force

clip_image125

– Kiểm tra:

+ Trên PC05, log on user Teo, mở CMD, gõ lệnh Gpresult /R để kiểm tra policy áp lên Computer này

clip_image127

– Mở Internet Explorer -> nhận được thông báo lỗi.

clip_image128

4. Cấu hình Windows Firewall (Thực hiện trên PC01)

– Mở Active Directory Users and Computers, tạo group Application Servers trong MemberServerOU.

clip_image129

– Chuột phải vào group Application Servers -> chọn Properties

clip_image131

– Qua tab Members -> Add

clip_image133

– Chọn Object Types

clip_image134

– Chọn Computers -> OK 3 lần.

clip_image135

– Nhập vào PC03 -> Check Names -> OK -> OK

clip_image136

– Mở Group Policy Management, chuột phải vào Group Policy Objects -> New

clip_image138

– Ở mục Name, đặt tên là Application Servers GPO -> OK

clip_image139

– Chuột phải vào GPO vừa tạo -> chọn Edit

clip_image141

– Mở theo đường dẫn Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security. Nhấn vào Windows Firewall with Advanced Security – LDAP://CN={GUID}

clip_image143

– Chuột phải vào Inbound Rules -> New Rule

clip_image145

– Chọn Custom -> Next

clip_image147

– Màn hình Program -> Next

– Màn hình Protocol and Ports -> Mục Protocol: TCP -> Specific Ports: 8080 -> Next

clip_image149

– Màn hình Scope -> Next

– Màn hình Action -> chọn Allow the connection -> Next

clip_image151

– Màn hình Profile, bỏ dấu chọn ở ô Private và Public -> Next

clip_image153

– Màn hình Name, đặt tên Application Server Department Firewall Rule -> Finish

clip_image155

– Quan sát Inboud Rule vừa tạo.

clip_image157

– Chuột phải vào MemberServerOU -> chọn Link an Existing GPO

clip_image159

– Chọn Application Servers GPO -> OK

clip_image161

– Ở khung Security Filtering ở góc cuối cùng bên phải -> chọn Authenticated Users -> Remove -> OK -> Add

clip_image163

– Nhập vào Application Servers -> OK

clip_image164

– Quan sát Group Application Servers đã được thêm vào

clip_image166

– Kiểm tra:

+ Qua máy PC03, mở CMD, gõ lệnh Gpupdate /force

clip_image168

+ Mở Server Manager, vào menu Tools -> chọn Windows Firewall with advanced Security

clip_image169

+ Quan sát thấy Application Server Firewall Rule đã được kích hoạt trên máy PC03

clip_image171

%d bloggers like this: