Việc quản lư các nhận dạng người dùng là ưu tiên hàng đầu đối với nhiều doanh nghiệp ngày nay. Người dùng cần truy cập vào nhiều hệ thống và tài nguyên trên một mạng cộng tác bằng nhiều loại thiết bị khác nhau.
Tuy nhiên do có nhiều hệ thống không truyền thông với nhau (tương thích) do vậy hoàn toàn không có ǵ kỳ lạ khi phải có nhiều sự nhận dạng cho một người dùng. Kết quả là, việc quản lư các nhận dạng không cần thiết như vậy trở nên phức tạp, tốn nhiều thời gian, bên cạnh đó c̣n làm tăng rủi ro về vấn đề bảo mật do xuất hiện nhiều lỗi.
Giải pháp nhận dạng và truy cập của Microsoft là một tập hợp gồm các công nghệ nền tảng và sản phẩm được thiết kế giúp các tổ chức quản lư nhận dạng người dùng và quyền truy cập liên quan. Với sự ưu tiên tập trung vào vấn đề bảo mật và sự dễ dàng trong sử dụng, các giải pháp này giúp doanh nghiệp có thể nâng được năng suất, giảm chi phí về CNTT, loại trừ được sự phức tạp trong nhận dạng và quản lư truy cập. Giải pháp nhận dạng và truy cập của Microsoft gồm 5 vấn đề chính sau:
*
Dịch vụ thư mục: Đơn giản hóa sự quản lư cho người dùng và thiết bị
*
Cơ chế thẩm định mạnh: Bảo đảm sự truy cập mạnh mẽ hơn ngoài tên và mật khẩu người dùng.
*
Các nhận dạng nhóm: Cho phép cộng tác một cách an toàn trong toàn bộ tổ chức.
*
Bảo vệ thông tin: Bảo đảm dữ liệu một cách bí mật ở mọi nơi.
*
Quản lư chu tŕnh nhận dạng: Tự động quản lư nhận dạng và truy cập.
Microsoft Windows Server 2008 mở rộng trên cơ sở nền tảng truy cập và nhận dạng của Microsoft bằng một số tính năng mới và công nghệ giúp các tổ chức cải thiện được hiệu quả trong công việc, đơn giản hóa một số nguyên tắc và cho phép bảo mật chặt chẽ.
Những điểm mới trong dịch vụ thư mục (Directory Services)
Read-Only Domain Controllers: Một trong những tính năng mới đáng kể nhất cho Active Directory Domain Services (AD DS) trong Windows Server 2008 là Read-Only Domain Controller (RODC). RODC cho phép bạn dễ dàng triển khai bộ điều khiển miền với cấu h́nh chỉ đọc cơ sở dữ liệu miền. Điều này thích hợp với những vị trí, nơi bảo mật vật lư (thực) của bộ điều khiển miền không thể được bảo đảm, hay nơi kết nối mạng có thể bị ảnh hưởng xấu cho năng suất, hoặc nơi các ứng dụng khác phải chạy trên một bộ điều khiển miền và được duy tŕ bởi một quản trị viên máy chủ. Tất cả các kịch bản đó được sử dụng thường xuyên trong các triển khai văn pḥng chi nhánh.
RODC cũng giữ các đối tượng và thuộc tính của bộ điều khiển miền có khả năng ghi. Mặc dù vậy, việc tạo ra các thay đổi cục bộ không được thực hiện với bản sao của RODC; thay v́ đó, các thay đổi được thực hiện trên một bộ điều khiển miền có thể ghi và sau đó thay thế trở lại RODC. Điều này cho phép ngăn chặn được những thay đổi thực hiện tại các vị trí chi nhánh khỏi t́nh trạng bị sai lạc AD forest thông qua sự thay thế.
Các quản trị viên có thể chỉ định cấu h́nh một RODC để lưu (cache) các thông tin quan trọng của người dùng. Đầu tiên người dùng cố gắng thẩm định một RODC, sau đó RODC chuyển tiếp yêu cầu đến bộ điều khiển miền có khả năng ghi. Nếu thẩm định thành công, RODC cũng yêu cầu một bản copy các thông tin quan trọng của người dùng. Password Replication Policy (Chính sách sao chép mật khẩu) chỉ ra xem các thông tin quan trọng được cho phép có là một bản sao và được lưu trữ trên RODC hay không. Nếu các thông tin này được lưu, bước tiếp theo người dùng phải đăng nhâp, yêu cầu đăng nhập có thể được phục vụ trực tiếp bởi RODC cho tới khi nó được thông báo, thông qua bản sao, sự thay đổi thông tin. Các thông tin được lưu có thể giúp tăng năng suất người dùng bằng việc giảm ảnh hưởng của độ trễ trong mạng diện rộng (WAN) hoặc các vấn đề kết nối của người dùng ở các văn pḥng chi nhánh. AD DS cũng duy tŕ một danh sách tất cả các thông tin quan trọng được lưu trên RODC, nếu một RODC đă từng bị tấn công th́ một quản trị viên có thể thực thi thiết lập lại mật khẩu cho tất cả thông tin người dùng được lưu trên RODC.
RODC gồm có một tính năng ủy nhiệm cho phép viêc cài đặt và quản lư được ủy nhiệm cho các cá nhân không phải quản trị viên tại các chi nhánh văn pḥng. Các cá nhân tại văn pḥng chi nhánh có thể thực hiện hoàn tất một cài đặt bằng việc đính kèm máy chủ với tài khoản RODC mà một quản trị viên nào đó đă tạo từ trước. Tính năng này loại ra sự cần thiết phải sử dụng site tạm thời cho các bộ điều khiển miền văn pḥng chi nhánh hoặc để gửi phương tiện cài đặt và quản trị viên miền đến chi nhánh.
Active Directory Federation Services: Active Directory Federation Services (AD FS) là một role máy chủ trong hệ điều hành Windows Server 2008. Bạn có thể sử dụng AD FILESYSTEM để tạo giải pháp truy cập nhận dạng an toàn, với tính mở rộng cao có thể hoạt động trên nhiều nền tảng khác nhau như các môi trường Windows và không Windows. AD FILESYSTEM gồm có một tính năng chính sách import/export làm cho chúng dễ dàng hơn trong việc thiết lập mối quan hệ giữa các đối tác nhóm. Một nhà cung cấp với tư cách hội viên được bổ sung thêm để cho phép thẩm định theo role đối với Windows SharePoint Services (WSS) và Rights Management Services (RMS) cho người dùng từ đối tác nhóm, bên cạnh đó quản trị viên có khả năng giới hạn sự triển khai dịch vụ nhóm thông qua Group Policy. Ngoài ra c̣n có hỗ trợ cho các thiết lập kiểm tra sự hủy bỏ chứng chỉ khác nhau.
Directory Service auditing: Các quản trị viên có khả năng thẩm định thông qua hạng mục con của chính sách thẩm định mới Directory Service Changes. Chính sách thẩm định các thay đổi dịch vụ thư mục Directory Service Changes capture các giá trị thay đổi mới và cũ đă được thực hiện với các đối tượng Active Directory hoặc thuộc tính của chúng. Các quản trị viên sẽ biết chính xác ai là người đă thực hiện thay đổi khi thay đổi được tiến hành, đối tượng nào và thuộc tính nào được thay đổi và những giá trị nào được bắt đầu - kết thúc. Việc thẩm định dịch vụ thư mục được capture trong bản ghi sự kiện của Windows, có thể được hợp nhất hoặc có thể hành động thông qua Microsoft Operations Manager hoặc công cụ của các nhóm sản xuất phần mềm thứ ba. Mức chi tiết của việc ghi chép này giúp đơn giản hóa việc kiểm tra quản lư thay đổi của dịch vụ thư mục và có thể nâng cao được tính nguyên tắc thi hành trong một tổ chức.
Server Core role: AD DS và Active Directory Lightweight Directory Services (AD LDS) được hỗ trợ các role cho việc cài đặt Server Core của Windows Server 2008. Server Core là một tùy chọn cài đặt mới, cho phép tạo một môi trường lư tưởng cần đến ít sự bảo tŕ đối với các dịch vụ dựa trên role. Server Core được thiết kế để giảm các yêu cầu về quản lư và dịch vụ, trong khi đó hạn chế được bề mặt tấn công trong bản cài đặt của Windows Server 2008.
T́m hiểu thêm về Server Core.
Service-based AD DS: AD DS là một dịch vụ trong Windows Server 2008, nó có thể được dừng và bắt đầu thông qua Microsoft Management Console (MMC) hoặc từ ḍng lệnh. Service-based AD DS đơn giản hóa sự quản lư bằng việc giảm thời gian yêu cầu thực hiện các hoạt động offline như việc dồn ổ đĩa hoặc khôi phục offline. Nó cũng cải thiện khả năng sẵn có của các dịch vụ khác đang chạy trên một bộ điều khiển miền bằng cách giữ cho chúng ở trạng thái kích hoạt trong khi đang thực hiện việc bảo tŕ AD DS. Bất kỳ máy khách nào bị liệt vào một bộ điều khiển miền đă bị dừng sẽ liên lạc đơn giản với bộ điều khiển miền khác thông qua sự phát hiện.
AD DS Snapshot Viewer: Bằng việc trưng bày các thông tin về đối tượng trong các chế độ hiển thị bằng đồ họa của AD DS, Snapshot Viewer giúp bạn nhận ra các đối tượng đă chẳng may bị xóa. Các chế độ hiển thị bằng đồ họa này có thể được quan sát trên một bộ điều khiển miền mà không cần khởi chạy nó trong chế độ Directory Services Restore. Bằng cách so sánh trạng thái khác nhau của các đối tượng khi chúng xuất hiện trong các hiển thị khác nhau, bạn có thể dễ dàng quyết định AD DS backup nào sẽ được sử dụng để restore đối tượng đă xóa.
Fine-grained password and account lockout policy: Các chính sách mật khẩu chi tiết cho phép ghi rơ các chính sách mật khẩu, ứng dụng của các hạn chế mật khẩu khác nhau và chính sách khóa trái đối với những đối tượng người dùng khác nhau bên trong một miền riêng.
Install from media: Tùy chọn cài đặt từ môi trường (IFM) có thể được sử dụng để cài đặt một bộ điều khiển miền trong một miền đang tồn tại và tối đa hóa lưu lượng sao chép trong suốt quá tŕnh cài đặt.
Những điểm mới trong cơ chế thẩm định (Strong Authentication)
Cryptography API: Next Generation: Cryptography API: Next Generation (CNG) là một giao diện cơ sở hạ tầng lập tŕnh ứng dụng mới hoàn tất (API) trong Windows Server 2008 có bổ sung thêm các giao thức khuyến khích Suite B của trung tâm bảo mật quốc gia (Mỹ). Active Directory Certificate Services (AD CS) cho phép thúc đẩy CNG với những cần thiết về mă hóa. CNG là một thay thế có thuật ngữ dài cho CryptoAPI trong các phiên bản trước của Windows.
Trong AD CS, các thuật toán mă hóa cổ điển vẫn được hỗ trợ thông qua nhà cung cấp dịch vụ chứng chỉ (CSP), trong khi đó các thuật toán mă hóa mới như elliptic curve cryptography (ECC) cũng được hỗ trợ thông qua nhà cung cấp chính của CNG. Một trong những tính năng độc nhất của CNG là khả năng cho phép các tổ chức nâng cao thuật toán mă hóa thông thường khi cần thiết.
Mô h́nh quản trị Granular: AD CS sử dụng các tính năng bảo mật mới cung cấp sự kiểm soát đối với những người có thể cấp chứng chỉ, những chứng chỉ nào họ có quyền cấp và ai có thể được phát hành chứng chỉ. Các tính năng quản lư này tích hợp nhóm bảo mật AD DS vào các nhiệm vụ quản lư của các tác nhân được kết nạp và nhà quản lư chứng chỉ.
Các mẫu chứng chỉ V3: Trong AD CS, các mẫu chứng chỉ V3 thay thế cho các mẫu chứng chỉ V1 và V2 đă được giới thiệu đến trong các phiên bản trước của Windows; chúng hỗ trợ các thuật toán mă hóa CNG mới nhất của Windows Server 2008. Các mẫu thử V3 cũng cung cấp một phương pháp bảo mật hơn cho sự hợp lệ các bộ điều khiển miền máy khách và có thể mă hóa các truyền thông có liên quan đến AD CS của máy chủ và máy khách.
Quản lư cơ sở hạ tầng khóa công (PKI) trong toàn doanh nghiệp: PKIView, là một phần của Windows Server 2003 Resource Kit hiện đă được bổ sung vào bản cài đặt của AD CS trong Windows Server 2008.
PKIView đơn giản hóa sự quản lư PKI của một doanh nghiệp bằng việc kết hợp các nhiệm vụ quản lư CA sống bên trong một giao diện quản trị. Cách quan sát hợp nhất này đă xóa bỏ được danh giới về địa lư bằng việc cung cấp sự hỗ trơ toàn cầu thông qua hỗ trợ kư tự Unicode. Thông qua giao diện hợp nhất, các quản trị viên có thể:
*
Quan sát theo thứ bậc cơ sở hạ tầng hoàn tất của PKI đă được đăng kư và AD DS topology.
*
Quan sát mối quan cha/con – khi một CA root nào đó được chọn, tất cả các CA cấp dưới được ghi chi tiết bên trong cây gốc.
*
Khả năng quản lư trực tiếp mỗi nút bên trong giao diện.
*
Các chỉ thị mă màu thông báo về t́nh trạng của CA, các cây hoặc PKI doanh nghiệp ngay tức th́
Sự hỗ trợ cho các chuẩn mới nhất: AD CS trong Windows Server 2008 hỗ trợ cho các chuẩn mới nhất gồm: Online Certificate Status Protocol (OCSP), Issuing Distribution Point Extension (IDP CRLvà Simple Certificate Enrollment Protocol (SCEP).
Những điểm mới trong việc bảo vệ thông tin (Information Protection)
Cộng tác nhóm: Windows Server 2008 cung cấp sự bổ sung đầu về giải pháp dịch vụ quản lư quyền thi hành trong nhóm - Federated Rights Management Services - được tích hợp chọn vẹn. Sự tích hợp này kết hợp khía cạnh của Active Directory Federation Services (AD FS) với các khía cạnh khác của Active Directory Rights Management Services (AD RMS) để mang đến một cơ chế làm việc công tác mở rộng được triển khai dễ dàng hơn.
Trước Windows Server 2008, sự cộng tác có bảo vệ quyền cho các tổ chức mở rộng yêu cầu quản trị viên CNTT phải duy tŕ bên trong một tập hợp thứ cấp các thông tin cần thiết để sử dụng cho những người dùng mở rộng. Các thông tin cần thiết này là tài khoản miền hoặc một số biểu mẫu tích hợp Passport. Với sự tích hợp các tính năng của AD RMS với AD FS, người dùng mở rộng muốn truy cập vào một nội dung đă được bảo vệ của tổ chức sẽ bị thẩm định bởi chính địa phận của họ (bộ điều khiển miền), v́ vậy loại trừ bớt được những cần thiết cho việc duy tŕ một tập hợp các thông tin không cần thiết.
Khi người dùng mở rộng đă được thẩm định, các chính sách AD RMS được thi hành và AD RMS sẽ tự động cung cấp cho người dùng mở rộng một đăng kư thích hợp để làm việc với một nội dung được bảo vệ của tổ chức. Các quản trị viên có thể kiểm soát được những người dùng này tương tác như thế nào bên trong tổ chức của họ và cũng có thể định nghĩa các mẫu để áp dụng cho nhiều đối tác thành viên. Federated Rights Management Services trong Windows Server 2008 có khả năng tương thích hoàn toàn với các triển khai Microsoft Office SharePoint Server 2007 đang tồn tại và các hỗ trợ máy khách AD RMS mức thấp.
Vấn đề quản lư chung: Các chuyển đổi AD RMS trở nên thân thiện hơn cho cơ chế quản lư. Giao diện quản trị dựa trên web trong các chuyển đổi trước được cung cấp trong MMC snap-in. Thêm vào đó, việc quản trị AD RMS trở nên có tính nguyên tắc hơn với giao diện hướng nhiệm vụ có thể cung cấp các liên kết nhanh theo yêu cầu và nhiệm vụ cấu h́nh tùy chọn. Bốn nhóm bảo mật cho phép các quản trị viên có thể ủy nhiệm nhiệm vụ quản lư AD RMS cho ai đó hoặc một nhóm nào đó.
Windows BitLocker™ Drive Encryption: Windows BitLocker Drive Encryption là một tính năng bảo vệ dữ liệu có trong Windows Vista Enterprise và Windows Vista Ultimate đối với các máy tính khách và trong tất cả các phiên bản của Windows Server 2008. Windows BitLocker Drive Encryption là một tính năng mới từ Microsoft nhằm giải quyết với những vấn đề thực tại có đe dọa đến độ an toàn của dữ liệu.
Windows BitLocker Drive Encryption cho phép bảo vệ dữ liệu, tránh được việc mất dữ liệu vào tay những kẻ trộm dữ liệu. Tính năng này sử dụng Trusted Platform Module (TPM) 1.2 để bảo vệ dữ liệu và bảo đảm cho các máy tính đang sử dụng Windows Server 2008 không bị quấy nhiễu trong cả khi hệ thống offline. Windows BitLocker Drive Encryption nâng cao sự bảo vệ dữ liệu bằng việc đưa ra hai chức năng con: Mă hóa ổ đĩa và kiểm tra sự toàn vẹn về các thành phần khởi động ngay từ đầu.
Bạn có thể xem thêm về
Windows BitLocker Drive Encryption.
nguồn:
Sự nhận dạng và truy cập trong Windows Server 2008
Sự nhận dạng và truy cập trong Windows Server 2008
Linear Mode
