Mạng máy tính - Chương 10: Hỗ trợ và quản trị mạng

Chương 10:Hỗ trợ và quản trị mạngCác khái niệm mạng cơ bản*Mục đích bài họcQuản lý tài khoản người dùngLàm tăng hiệu năng mạngXây dựng kế hoạch bảo mật mạngBảo vệ dữ liệuCác khái niệm mạng cơ bản*Quản trị mạngQuản trị mạng máy tính bao gồm:Đảm bảo mạng chạy theo đúng đặc tảKiểm soát truy cập tài nguyên của người dùngQuản lý lưu lượng mạngBảo mật mạngQuản lý tài khoản người dùng và nhóm (rất quan trọng)Cấp phép truy cập và gán quyền Các khái niệm mạng cơ bản*Quản lý tài khoản người dùng trong mạngNgười dùng chỉ được truy cập các tài nguyên được gán quyền và cho phépCác tài nguyên khác, người dùng không được phép truy cấpCó nhiều cách cấp phép truy cậpVề nguyên tắc là giống nhau, khác nhau ở chi tiết cụ thểNOSs có nhiều tiện ích quản lý người dùngCác khái niệm mạng cơ bản*Tạo tài khoản người dùngWindows có 2 tài khoản được định nghĩa trước:Administrator – dùng để quản lý mạng; cần có mật khẩu mạnh (dài, đặc biệt) và phải được bảo vệ; nên đổi tên; tài khoản không bị mất hiệu lực Guest – cho người sử dụng là khách của hệ thốngCác khái niệm mạng cơ bản*Tạo tài khoản người dùng (tiếp)Trước khi tạo người dùng:Tên đăng nhập – bao nhiêu ký tựMật khẩu – khi để thay đổi, hạn chế dùng lại mật khẩuThời gian truy cập – nên hạn chếKiểm tra (auditing) Bảo mật – yêu cầu giao thức bảo mật hoặc khôngCác khái niệm mạng cơ bản*Mật khẩuĐể an toàn, người dùng nên đổi mật khẩu (theo định kỳ)Nếu quá thường xuyên, người dùng dễ quênCó thể thiết lập, khi nào thì mật khẩu cũ được tái sử dụngNên có các ký tự hoa, thường trong mật khẩuBao gồm số, dấu chấm và các ký tự đặc biệt khác Các khái niệm mạng cơ bản*Mật khẩu (tiếp)Giới hạn số lần nhập, khoá tài khoản khi người sử dụng nhập sai một lần quy định trướcNên dùng mật khẩu dàiCác hệ điều hành khác nhau, giới hạn chiều dài mật khẩu cũng khác nhau: Windows 2000/2003: 128 ký tựWindows NT:14 ký tựLinux: 256 ký tựCác khái niệm mạng cơ bản*Thời gian đăng nhậpCó thể hạn chế số giờ đăng nhập theo thời gian, ngày, hoặc cả haiTránh sự xâm nhập ngoài giờ làm việcXác định những việc xảy ra khi người dùng truy nhập và hết thời gian cho phépCó thể ngắt liên kết người dùng hoặc đơn giản ngắt liên kết đến các tài nguyên khácCác khái niệm mạng cơ bản*Kiểm tra (Auditing)Ghi lại các hoạt động nhằm bảo mật và và khắc phục lỗiCó thể ghi log đối với những lần truy nhập thất bại hoặc với tất cả các truy nhậpNên sử dụng Kiểm tra đơn giảnCó thể ảnh hưởng bất lợi đến tài nguyên sẵn có của hệ thốngCác khái niệm mạng cơ bản*Thiết lập quyền cho người sử dụngĐơn giản cho việc quản trị là gán quyền theo nhómCó 2 loại nhóm:Các nhóm Local (cục bộ) – dùng cho máy đơnBảng 10-1 mô tả các quyền được gán cho các nhóm mặc định trong Windows 2000/2003Các nhóm Global (tổng thể) – dùng trong domainNhóm chung Universal là một kiểu nhóm mới bắt đầu có Windows 2000 Người dùng ít nhất phải thuộc vào một trong các nhóm trênCác khái niệm mạng cơ bản*Nhóm cục bộ mặc định trong Windows 2000 Server NhómQuyềnAdministratorsCó đầy đủ mọi quyền quản trị máy và mạngAccount OperatorsQuản trị người dùng và nhóm domain cục bộ (không tồn tại trong Windows 2003)Backup OperatorsSao lưu và phục hồi các file mà người dùng không thể truy cậpGuestslà nhóm người “khách” chỉ có một số quyền nhỏPrinter OperatorsThêm, xoá, quản lý máy in trong domainServer OperatorsQuản trị các máy chủ domainUsersLà nhóm người dùng được truy cập trên các tài nguyên mặc định ban đầuBảng 10-1 Các nhóm ngườ dùng cơ bảnCác khái niệm mạng cơ bản*Thiết lập quyền cho người sử dụng(tiếp)Một số nhóm được tạo tự độngXem bảng 10-2Tất cả người dùng đều thuộc vào nhóm Everyone Có thể thay đổi quyềnTrong Windows NT, các sự thay đổi được ghi lại vào Registry trong các files Security và Security Accounts Manager (SAM)Trong Windows 2000/2003 servers, sự thay đổi được ghi vào CSDL Active Directory Các khái niệm mạng cơ bản*Các nhóm tự động trong Windows 2000 NhómMô tảEveryoneTất cả người dùng trong domainAuthenticated UsersNhững người dùng được xác thựcInteractiveLà những người dùng đăng nhập vào domain cục bộMạngLà những người dùng đăng nhập vào domain qua mạngBảng 10-2Các khái niệm mạng cơ bản*Quản lý nhómCó thể thêm hoặc bớt các quyền của nhómNhóm có thể được chứa trong nhóm khácWindows 2000/2003 phải có nhóm cơ bản, nhóm gốcCác nhóm cục bộ có thể bao gồm các nhóm tổng thể, không có ngược lạiCho phép liên lạc giữa các domainQuan hệ Trust được hiểu khi các thành viên của domain này có thể truy cập tài nguyên của domain khácCác khái niệm mạng cơ bản*Mối quan hệ TrustQuản lý truyền thông giữa các domainTrong Windows NT, phải dùng hộp thoại Trust Relationships để tạo trust giữa 2 domainTrong Windows 2000/2003 servers, mối quan hệ Trust tự động mở rộng đối với các domain có liên quan với nhauCó 3 kiểm Trust:Một chiềuHai chiềuChungCác khái niệm mạng cơ bản*Vô hiệu hoá và xoá tài khoản người dùng Trong Windows 2000/2003 có 2 tuỳ chọn để tài khoản người dùng ngừng hoạt động:Vô hiệu hoá – đóng tạm thời tài khoản.Xoá – xoá hoàn toàn tài khoảnKhông thể áp dụng với tài khoản AdministratorTrong Linux, tài khoản người dùng có thể bị đóng bằng cách thay đổi nội dung file mật khẩu và có thể xoá bằng lệnh userdel Các khái niệm mạng cơ bản*Đổi tên và sao chép tài khoản2 tuỳ chọn khi người dùng mới thay thế người dùng cũ:Đổi tên tài khoản cũ – phải đổi mật khẩuTrong Windows 2000/XP Professional, sử dụng tiện ích Users and Passwords, xem 10-1Trong Windows 2000 Server, dùng công cụ Active Directory Users và Computers management, hình 10-2Sao chép tài khoản cũ sang một tên mới; sau đó vô hiệu hoá tài khoản cũCác khái niệm mạng cơ bản*Tiện tích Users and Passwords Hình 10-1 Tiện ích Users and Password trong Windows 2000Các khái niệm mạng cơ bản*Active Directory Users và Computer ManagementHình 10-2 Trình quản lý Active Directory Users and Computers management Các khái niệm mạng cơ bản*Quản lý hiệu năng mạngKiểm soát các tham số sau:Dữ liệu ra vào máy chủ (theo từng giây)Các lệnh trong hàng đợiSố lượng xung đột trong mạng Ethernet (theo từng giây)Các lỗi bảo mậtDuy trì kết nối đến các máy chủ Hiệu năng mạngCác khái niệm mạng cơ bản*Hiệu năng mạngCó 3 công cụ để quản lý hiệu năng hệ thống trên máy dùng phiên bản Windows server và Windows professional Event Viewer: xem các sự kiệnPerformance Monitor: kiểm soát hiệu năngNetwork Monitor: kiểm soát mạngCó rất nhiều phần mềm mã nguồn mở cũng như là phần mềm thương mại (shareware) dùng cho máy chủ Linux Các khái niệm mạng cơ bản*Event ViewerEvent Viewer tạo ra 3 file log:System Log – ghi lại các thông tin về dịch vụ của hệ điều hành và phần cứng Security Log – ghi lại các thông tin về bảo mậtApplication Log – ghi lại các thông tin về các ứng dụngCác khái niệm mạng cơ bản*Event Viewer (tiếp)Với Active Directory, Event Viewer còn thêm 3 mức nữa:Directory ServiceDNS ServerFile Replication ServiceCác khái niệm mạng cơ bản*Performance MonitorGhi lại từng sự kiện để chỉ ra khuynh hướngLưu vết của các bộ đếm cho các đối tượng hệ thốngĐối tượng là thành phần của phần mềm làm việc với các thành phần khác để cung cấp dịch vụBộ đếm là một phần của đối tượng của rãnh riêng biệtHình 10-4 chỉ % thời gian Xử lý và % và thời gian Ngắt mỗi giâyCác khái niệm mạng cơ bản*Lưu vết thời gian Processor và Ngắt bằng Performance MonitorHình 10 -4 Lưu vết thời gian Processorvà và Ngắt bằng trình Performance MonitorCác khái niệm mạng cơ bản*Performance Monitor (tiếp)Giám sát các đối tượng hệ thống để xác định “nút cổ chai”:Đĩa logic và vật lý trên máy chủGiao diện mạngCác bộ đếm giao thức, như bộ đếm các gói tin IP packets (từng giây)Bộ chuyển hướngMáy chủDanh sách hàng đợi các công việc trên máy chủGiám sát khi tất cả đều hoạt động tốt để thiêt lập “cơ sở” cho việc so sánhCác khái niệm mạng cơ bản*Network MonitorPhải cài đặt từ đĩa CD trên nền WindowsTrở thành một phần của Administrative Tools (các công cụ quản trị) Làm việc như một bộ phân tích giao thức trên cơ sở phần mềmGiám sát lưu lượng mạng và tạo báo cáoSử dụng bộ lọc để kiểm soát dữ liệuĐọc toàn bộ hiệu năng của mạngCác khái niệm mạng cơ bản*Quản lý tổng thể hệ thốngQuản lý ổ cứng, bộ nhớ và CPU Hard Drive Performance – dùng Performance Monitor để xem vùng đĩa trống, việc đáp ứng các yêu cầu, và khi nào ổ đĩa bậnMemory Use – kiểm tra paging file, gồm các lỗi phần mềm và phần cứngCPU Utilization – kiểm soát % bộ đếm thời gian sử dụng CPU để tính được hiệu năng sử dụng CPU trung bình Các khái niệm mạng cơ bản*Thống kê mạngDùng Performance Monitor để kiểm tra giao diện mạng và các giao thứcQuản lý việc sử dụng mạng bằng Network Monitor hoặc bộ đếm tổng số byte/giây của Performance Monitor để đo được hiệu năng của mạngMức độ tận dùng khả năng của mạng (có thể chấp nhận được):Trong mạng token ring: 80% (chấp nhận được)Trong mạng Ethernet: 50 – 60%Các khái niệm mạng cơ bản*Duy trì thông tin lịch sử về mạngDữ lại các bản ghi cũ về các sự kiện và hiệu năng mạngSử dụng các bản ghi này để tìm ra khuynh hướng và xác định lỗiCác bản ghi chỉ cần vừa đủ cho phân tíchCác khái niệm mạng cơ bản*Quản lý bảo mật dữ liệu mạng2 yếu tố của bảo mật dữ liệuĐảm bảo dữ liệu được an toànĐảm bảo dữ liệu bị lỗi có thể được thay thếLập kế hoạch cho bảo mật mạngXác định dấu hiệu, nguy cơXác định chi phíTrao đổi với mọi người về nhu cầu hệ thống bảo mật Các khái niệm mạng cơ bản*Các mô hình bảo mật2 cách nhìn:Bảo mật vật lý – dựa trên phần cứngBảo mật dữ liệu – dựa trên phần mềmCó 2 mô hình cho bảo mật dữ liệuMô hình hướng chia sẻ – gắn thông tin bảo mật vào đối tượng; áp dụng cho tất cả mọi người muốn truy cập đối tượngMô hình hướng người dùng – tập trung vào quyền của người dùngCác khái niệm mạng cơ bản*Thực thi bảo mật2 giai đoạnThiết lập hệ thống bảo mật, hệ thống phải thật rõ ràng, thiết lập mật khẩu cho hệ thống Đào tạo người sử dụng Các khái niệm mạng cơ bản*Các đặc điểm mới trong bảo mật của Windows 2000/2003Rất nhiều điểm mới trong Windows 2000 (đã được đưa vào Windows XP và Server 2003) liên quan đến bảo mật bao gồm:Kerberos v5 cho xác thực người dùngPublic Key Infrastructure (PKI) cho trao đổi chữ ký điện tử và xác thực điện tửNâng cao các chính sách bảo mật trong Group Policy được quản lý bởi Active DirectoryNâng cao kỹ thuật và giao thức bảo mật IPUnix và Linux cũng bao gồm các đặc điểm bảo mật nàyCác khái niệm mạng cơ bản*An toàn mới cho Windows Server 2003Ngôn ngữ lệnh thời gian thực – giảm lỗi có thể gây tốn thương cho WindowsIIS 6.0 – được cấu hình bảo mật cao nhấtCác máy trạm không bảo mật không đăng nhập được – Windows 95, và NT trước bộ vá lỗi SP4 mặc định không truy cập vào windows 2003; Tin hiệu SMB và mã hoá được yêu cầu với tất cả máy trạm Các khái niệm mạng cơ bản*Duy trì bảo mậtĐảm bảo rằng kế hoạch được thiết lập đúng mục đích vàlàm việc theo dự kiếnChỉnh sửa kế hoạch để không có thiếu sótCác khái niệm mạng cơ bản*Bảo mật chống VirusesVirus máy tính là một thách thức lớn với hệ bảo mậtCó thể chống lây nhiễm virus tại:Máy trạm – Dùng phần mềm diệt virus để quét các file từ máy chủ, từ InternetMáy chủ – Quét các dữ liệu vào ramáy chủ; phòng tránh virus cho tất cả máy chủ trong mạngCổng Internet – quét các trình duyệt, FTP, email; chặn , cô lập các virus trước khi chúng vào mạngCác khái niệm mạng cơ bản*Dùng Tường Lửa để chặn sự xâm nhập từ InternetLợi ích của tường lửa:Chặn sự xâm nhập không được xác thực từ bên ngoài vào các tài nguyên mạngChặn các gói tin mạng “xấu” có thể vô hiệu hoá mạng và tài nguyên của nóHạn chế truy cập các tài nguyên trên mạng InternetTường lửa dành cho mạng công ty thường giá thành cao và khó cấu hìnhTường lửa cho máy cá nhân thường chống lại sự tấn công từ InternetCác khái niệm mạng cơ bản*Bảo mật mạng không dâySử dụng một trong các phương pháp sau:Thiêt lập SSID – dùng một sâu phức tạp; không gửi SSID ra toàn mạng (broadcast)Hạn chế dùng Web – có thể bị bẻ khoá Nên dùng WPA – rất khó phá khoá; được kết hợp vào trong chuẩn 802.11i Các khái niệm mạng cơ bản*Tránh mất mát dữ liệuLỗi ổ cứng là điều rất nghiêm trọngDùng lược đồ 3 tầng để bảo vệ dữ liệuGiảm khả năng mất dữ liệuKhôi phục dữ liệu nhanhXây dựng lại dữ liệu mất hoặc sai Các khái niệm mạng cơ bản*Sao lưu ra băng từLà phương pháp sao lưu thông dụng nhấtTốc độ nhanh, dung lượng lớn, chi phí hợp lýCó 5 dạng:Full IncrementalDifferential CopyDailyCác khái niệm mạng cơ bản*Sao lưu ra băng từ (tiếp)Mô hình sao lưu tốt là sao lưu full hàng tuần và sao lưu differential hàng ngàyTa có thể khôi phục dữ liệu từ 2 dạng sao lưu nàyThiết lập lịch sao lưu và bố trí nhân sự thực hiện Thử nghiệm để xác định xem sao lưu có đúng khôngBăng từ để nơi thoáng mát, khô ráo, không để ra ánh sáng mặt trờiQuay vòng băng từCác khái niệm mạng cơ bản*Sửa hoặc khôi phục hệ thống Windows Các hệ điều hành thường có các công cụ sửa chữaWindows NT sử dụng đĩa Emergency Repair (ERD) Windows 2000/2003 Recovery Console là một công cụ mạnh, hỗ trợ 26 lệnhRecovery Console Last Known Good Configuration System Restore Driver RollbackCác khái niệm mạng cơ bản*Recovery ConsoleHỗ trợ 27 lệnhFixmbr: thay thế master boot record (là sector đầu tiên trên đĩa cứng chứa các thông tin về phân vùng chính và phân vùng mở rộng)Fixboot: ghi vào một một sector khởi động mớiFormat: format đĩaDiskpart: quản lý phân vùngBao gồm rất nhiều tiện ích khácCác khái niệm mạng cơ bản*System RestoreCó sẵn trong Windows XPKhôi phục hệ thống đến trạng thái hoạt động tốt, gần đây nhất Nhiều điểm khôi phục cần được tạo raThay đổi các file hệ thống và registry làm cho các ứng dụng hoặc phần cứng hoạt động không tốt hoặc không hoạt độngCó thể chạy từ khởi động XP thông thường hoặc trong chế độ Safe Mode Các khái niệm mạng cơ bản*Driver RollbackĐược tích hợp sẵn trong Windows XP và Windows Server 2003Cho phép khôi phục phiên bản phần mềm cũ khi phiên bản mới được xoáChạy từ tiện ích Device ManagerCác khái niệm mạng cơ bản*Nguồn điện hoạt động liên tục (UPS)Có sẵn pin bên trong, và bao gồm các khả năng:Không gây ồnCó bộ phận chống đột biếnCó 2 chê độ:Stand-by – dùng dây dẫn từ nguồn điện đến nguồn nuôi pin Online – tiếp tục cung cấp nguồn thông qua pin lưu điện; Các khái niệm mạng cơ bản*Các hệ thống chống chịu lỗiCác cấu hình đĩa chống chịu lỗi, thực hiện qua phần cứng hoặc phần mềmCó 2 loại:Disk Mirroring: Nhân bản đĩa Disk striping with parityDựa trên công nghệ Redundant Array of Inexpensive Disks (RAID)Các khái niệm mạng cơ bản*RAID 1: Nhân bản đĩaGhi dữ liệu lên 2 đĩa, ghi đồng thờiNhân kép sử dụng 2 đĩa và 2 trình điều khiểnNhược điểm là sử dụng dung lượng đĩa gấp 2Các khái niệm mạng cơ bản*RAID 5: Disk Striping with ParityTăng hiệu quả về sử dụng dung lượng đĩaTối thiểu là 3 đĩaWindows NT và Windows 2000 Server hỗ trợ tối đa 32 đĩa, Raid5 xem chúng như 1 đĩa logicHình 10-7 Mình họa Stripe thiết lập với ParityCó thể phục hồi chỉ khi có đơn đĩa bị hỏngYêu cầu nhiều dung lượng đĩa cho việc tính toán parity Các khái niệm mạng cơ bản*Stripe Set with ParityCác khái niệm mạng cơ bản*Bộ nhân bản thông minhLà ứng dụng dạng client-server được giới thiệu trong phiên bản Windows 2000 Tạo hệ thống nhân bản (sao chép) thông minh trên máy chủVận hành dưới các chính sách của domain và sự cấp phép của người sử dụng Hiển thị lại màn hình người sử dụng ngay khi đăng nhập vào máyCó thể triển khai, khôi phục, hoặc thay thế dữ liệu người dùng, phần mềm, và thiết lập cá nhânCác khái niệm mạng cơ bản*Tóm tắt chươngBảo trì mạng phải luôn được tiến hành, không chỉ là việc cài đặt phần mềm và phần cứngNgười quản trị phải cẩn trọng trong quản lý mạngCông việc chính của quản trị mạng là thiết lập, quản lý sự truy cập của người dùng vào các tài nguyên mạng. Các khái niệm mạng cơ bản*Tóm tắt (tiếp)Windows NT sử dụng trình User Manager for Domains và Windows 2000 sử dụng Active Directory Users and Computers để quản lý người dùng và nhóm Nhóm có thể là cục bộ hoặc tổng thểEveryone là nhóm mặc định với bất kỳ người dùng nàoQuyền có thể được gán cho người dùng, nhóm người dùng để truy cập vào các tài nguyên mạngCác khái niệm mạng cơ bản*Tóm tắt (tiếp)Mật khẩu nên được thay đổi định kỳ và không nên dùng lại các mật khẩu cũMật khẩu nên gợi nhớ song cũng nên chứa các ký tự đặc biệt, chữ hoa, con số để tăng tính bảo mậtLiên lạc giữa 2 domain được quản lý thông qua qua hệ Trust (uỷ nhiệm) trong Windows NT và Windows 2000Các khái niệm mạng cơ bản*Tóm tắt chương (tiếp)Quan hệ Trust cho phép các máy có thể trao đổi tài nguyên giữa các domainTrong Windows NT, ta có thể thiết lập quan hệ Trust 1 chiều hoặc 2 chiều giữa các domainTrong Windows 2000, quan hệ Trust luôn mặc định là 2 chiềuTrong Windows NT và Windows 2000 Server sử dụng Event Viewer, Performance Monitor, và Network Monitor để quản lý hiệu năng mạngCác khái niệm mạng cơ bản*Tóm tắt chương (tiếp)Sử dụng nhiều công cụ để kiểm tra thông tin hệ thống, driver, bảo mật, và ứng dụngCả bảo mật vật lý, dựa trên phần cứng, và bảo mật dữ liệu, dựa trên phần mềm, đều là các vấn đề bảo mật mạng quan trọngChống virus là một yêu cầu rất quan trọng trong an toàn mạngChống virus có thể thực hiện từ phía máy trạm, máy chủ, hoặc tại cổng truy cập Internet. Nhưng tốt nhất là kết hợp cả 3