Hướng Dẫn Bảo Mật Window 7
Cách Bảo Mật Window 7
Windows 7 là hệ điều hành máy khách cho
các máy tính desktop mới nhất của Microsoft, nó được xây dựng dựa trên những
điểm mạnh và sự khắc phục những điểm yếu có trong các hệ điều hành tiền nhiệm,
Windows XP và Windows Vista. Mọi khía cạnh của hệ điều hành như, cách chạy các
dịch vụ và cách load các ứng dụng sẽ như thế nào, đã làm cho hệ điều hành này
trở nên an toàn hơn bao giờ hết. Tất cả các dịch vụ đều được nâng cao và có
nhiều tùy chọn bảo mật mới đáng tin cậy hơn. Tuy nhiên những cải tiến cơ bản
đối với hệ thống và các dịch vụ mới, Windows 7 còn cung cấp nhiều chức năng bảo
mật tốt hơn, nâng cao khả năng thẩm định cũng như các tính năng kiểm tra, khả
năng mã hóa các kết nối từ xa và dữ liệu, hệ điều hành này cũng có nhiều cải
tiến cho việc bảo vệ các thành phần bên trong, bảo đảm sự an toàn cho hệ thống
chẳng hạn như Kernel Patch Protection, Service Hardening, Data Execution
Prevention, Address Space Layout Randomization và Mandatory Integrity Levels.
Có thể nói Windows 7 được thiết kế an
toàn hơn. Thứ nhất, nó được phát triển trên cơ sở Security Development
Lifecycle (SDL) của Microsoft. Thứ hai là được xây dựng để hỗ trợ cho các yêu
cầu tiêu chuẩn chung để có được chứng chỉ Evaluation Assurance Level (EAL) 4,
đáp ứng tiêu chuẩn xử lý thông tin Federal Information Processing Standard
(FIPS) #140-2. Khi được sử dụng như một hệ điều hành độc lập, Windows 7 sẽ bảo
vệ tốt người dùng cá nhân. Nó có nhiều công cụ bảo mật hữu dụng bên trong, tuy
nhiên chỉ khi được sử dụng với Windows Server 2008 (R2) và Active Directory,
thì sự bảo vệ sẽ đạt hiệu quả cao hơn. Bằng việc nâng mức độ bảo mật từ các
công cụ như Group Policy, người dùng có thể kiểm soát mọi khía cạnh bảo mật cho
desktop. Nếu được sử dụng cho cá nhân hoặc văn phòng nhỏ hệ điều hành này vẫn
tỏ ra khá an toàn trong việc ngăn chặn nhiều phương pháp tấn công và có thể
được khôi phục một cách nhanh chóng trong trường hợp gặp phải thảm họa, vì vậy
mặc dù sẽ có nhiều ưu điểm hơn nếu có Windows 2008 nhưng điều này là không nhất
thiết phải có để có được mức bảo mật cao cho Windows 7.
Tuy nhiên dù có thể cho rằng Windows 7
về bản thân nó là một hệ điều hành an toàn nhưng điều đó không có nghĩa rằng
bạn chỉ dựa vào các cấu hình mặc định mà quên đi việc thực hiện một số điều
chỉnh để gia cố thêm khả năng bảo mật của mình. Cần phải biết rằng bạn chính là
đối tượng tấn công của một số dạng malware hay các tấn công trên Internet khi
máy tính của bạn được sử dụng trong các mạng công cộng. Cần biết rằng nếu máy
tính được sử dụng để truy cập Internet nơi công công thì hệ thống của bạn và
mạng mà nó kết nối đến sẽ là miếng mồi ngon cho những kẻ tấn công.
Trong bài này chúng tôi sẽ giới thiệu
cho các bạn một số kiến thức cơ bản cần thiết để bảo mật Windows 7 được đúng
cách, giúp bạn đạt được mức bảo mật cơ bản, xem xét một số cấu hình bảo mật
nâng cao cũng như đi khám phá một số chức năng bảo mật ít được biết đến hơn
trong Windows nhằm ngăn chặn và bảo vệ chống lại các tấn công có thể. Giới
thiệu một số cách bảo đảm an toàn dữ liệu, thực hiện backup và chạy một cách
nhanh chóng nếu bạn gặp phải một số tấn công hoặc bị trục trặc hệ thống ở mức
độ thảm khốc ngoài khả năng xử lý của mình. Tiếp đó là một số khái niệm bảo
mật, cách “làm vững chắc” Windows 7, cách cài đặt và cung cấp bảo mật cho các
ứng dụng đang chạy, cách quản lý bảo mật trên một hệ thống Windows 7 và ngăn
chặn các vấn đề gây ra bởi malware.
Bài viết cũng giới thiệu cho quá trình
bảo vệ dữ liệu, các tính năng backup và khôi phục hệ điều hành, cách khôi phục
hệ điều hành trở về trạng thái hoạt động trước đó, một số cách bảo vệ dữ liệu
và trạng thái hệ thống nếu thảm họa xảy ra. Chúng tôi cũng giới thiệu một số
chiến lược để thực hiện nhanh chóng các công việc đó. Các chủ đề được giới
thiệu trong bài cũng gồm có cách làm việc an toàn trong khi online, cách cấu
hình điều khiển sinh trắc học để kiểm soát truy cập nâng cao, cách và thời điểm
được sử dụng với Windows Server 2008 (và Active Directory) như thế nào, cách
bạn có thể tích hợp một cách an toàn các tùy chọn cho việc kiểm soát, quản lý
và kiểm tra. Mục tiêu của bài viết này là để giới thiệu cho các bạn các tính
năng bảo mật của Windows 7, những nâng cao và ứng dụng của chúng cũng như cung
cấp cho bạn những kiến thức về việc lên kế hoạch, sử dụng đúng các tính năng
bảo mật này. Các khái niệm mà chúng tôi giới thiệu sẽ được chia nhỏ và được tổ
chức theo phương pháp khối.
Lưu ý:
Nếu làm việc trong công ty hoặc môi trường chuyên nghiệp khác, các bạn không
nên thực hiện các điều chỉnh với máy tính của công ty. Hãy thực hiện theo đúng
kế hoạch (hay chính sách) bảo mật đã được ban bố, cũng như những hành động,
nguyên lý và hướng dẫn tốt nhất đã được công bố trong tổ chức. Nếu chưa quen
với các chủ đề bảo mật và các sản phẩm của Microsoft, hãy đọc tài liệu hướng
dẫn của sản phẩm trước khi áp dụng bất cứ thay đổi nào cho hệ thống.
Những vấn đề bảo mật cơ bản
Trước khi đi sâu vào các chi tiết của
Windows 7, chúng tôi muốn giới thiệu cho các bạn một số khái niệm cơ bản về vấn
đề bảo mật và cách lập kế hoạch cho các ứng dụng của nó. Tiếp đó bạn cũng cần
biết tại sao việc kiểm tra để duy trì bảo mật lại quan trọng đến vậy và cách
kiểm tra chính xác các dịch vụ bảo mật để tìm ra vấn đề. Quan trọng nữa chúng
ta cũng cần biết cách kiểm tra và khám phá xem liệu mình có để mở cửa cho các
tấn công dễ dàng hoành hành không. Bảo mật không phải là thứ bạn có thể lập kế
hoạch một cách tùy tiện và sau đó nhanh chóng đưa vào áp dụng. Nó là một khái
niệm cần phải được áp dụng cho mỗi khía cạnh kỹ thuật trong triển khai cũng như
trong thực hành. Nó cũng là một thứ cần phải được cân nhắc suy xét cẩn thận
trước khi triển khai và sau đó được kiểm tra và quản lý sau khi áp dụng. Yêu
cầu bạn phải tiến hành phân tích để có những điều chỉnh thích hợp với kiến trúc
bảo mật hiện hành, cũng như khám phá ra các tấn công tiềm ẩn. Hầu hết, cần phải
được test bởi một chương trình mã độc hoặc một kẻ tấn công nào đó để tìm sự
truy cập trong quá trình này; sau đó bạn có thể đi tiên phong trong việc bảo vệ
được mình nếu thấy các cố gắng và hành động nào đó xâm hại. Hãy tiến hành ghi
chép và sau đó thẩm định, bạn sẽ tìm ra nhiều thông tin thú vị về những gì đang
truy vấn các nhắc nhở đăng nhập router của mình, các cố gắng đăng nhập tài
khoản quản trị viên,…
Các bản ghi và các cảnh báo rất hữu dụng
vì, khi có vấn đề gì đó xảy ra bạn có thể phản ứng nhanh chóng và chính xác
thông qua việc phân tích các địa chỉ IP nguồn, hoặc các cố gắng đăng nhập bị
bắt bằng cách thẩm định. Việc đáp trả lại một tấn công với một kế hoạch chi
tiết được gọi là hành động “đáp trả vụ việc” (incident response). Việc chuẩn bị
sẽ là chiếc chìa khóa chính cho hành động “đáp trả vụ việc”, vì vậy có được một
kế hoạch tiên phong và kế hoạch phản ứng là điều quan trọng cần phải có trước
khi thảm họa xảy ra. Kế hoạch khôi phục thảm họa Disaster Recovery Plan (đôi
khi được sử dụng kết hợp với kế hoạch tiếp tục công việc, BCP), sẽ gồm có một
chiến lược khôi phục từ các vụ việc. Một số đơn vị CNTT cũng có các chuyên gia
IT dành riêng cho nhóm đáp trả vụ việc, đây là nhóm sẽ chịu trách nhiệm theo kế
hoạch đã đặt ra để khắc phục và giải quyết các vấn đề quan trọng có thể gây ra
sự ngừng làm việc của hệ thống ở mức độ đáng kể, hoặc tồi tệ hơn là mất dữ
liệu, các tấn công mạng và hệ thống,…
Với những người dùng gia đình và các hệ
thống độc lập, bạn cần phải tuân theo một chiếc lược như vậy nhưng ở mức đơn
giản hóa. Do vẫn cần bảo vệ mọi thứ, cần phải phản ứng với thảm họa, vì vậy một
kế hoạch tốt được tạo trước cho việc khắc phục thảm họa sẽ làm một hướng đi
đúng đắn cho bạn. Một ví dụ điển hình cho một kế hoạch đơn giản như vậy sẽ là,
nếu hệ thống của bạn bị tiêm nhiễm malware (chẳng hạn một Trojan), rất có thể
bạn sẽ phải cài đặt lại hệ điều hành nếu tất cả các cố gắng khôi phục và sửa
chữa gặp thất bại. Nếu rơi phải trường hợp này, bạn cần gán cho các thành viên
trong nhóm, các bước chi tiết và các thủ tục đã được chuẩn bị trước cho thảm
họa để có thể phản ứng một cách chính xác và một quá trình test để bảo đảm rằng
mọi thứ được thực hiện đúng sau khi khôi phục diễn ra. Việc có thể truy cập,
hoặc có một copy các file cài đặt hoặc bất cứ chương trình và ứng dụng nào khác
trong tay lúc này sẽ giúp bạn tiết kiệm được thời gian khắc phục sự cố, và nếu
thiết lập đúng, nó có thể chỉ ra cho bạn hướng đi đúng mà bạn cần thực hiện.
Lưu ý:
Để giúp bạn lên kế hoạch và biết thêm về vấn đề bảo mật, bạn có thể tìm kiếm
các danh sách kiểm tra và các kế hoạch trong phần các liên kết tham chiếu của
bài viết này.
Cũng nên xem lại các kế hoạch của mình
một cách thường xuyên, đặc biệt sau khi một vấn đề nghiêm trọng nào đó đã xảy
ra và có các mục hành động bổ sung nếu cần. Khi đã có kế hoạch phù hợp, bạn cần
xem xét đến việc xây dựng trên nền tảng với nhiều chức năng và dịch vụ.
Mẹo:
Bảo mật cần phải được xem xét và được áp dụng cho các hệ thống hoặc dịch vụ nào
được sử dụng để có thể giảm nhẹ các rủi ro có liên quan trong khi đang làm
việc. Và nếu bảo mật được áp dụng theo cách để có thể ngăn chặn trước một tấn
công hoặc một thảm họa, thì những gì mà bạn phải bỏ ra sẽ ít tốn kém hơn rất
nhiều. Bảo mật, thậm chí ở mức cơ bản nhất của nó cũng cần phải được áp dụng để
giữ được dữ liệu cá nhân một cách an toàn nhưng vẫn phải đảm bảo sao cho nếu
cần cài đặt lại hoàn toàn Windows từ đống đổ nát thì bạn vẫn có thể sử dụng lại
dữ liệu của mình và có thể truy cập và sử dụng dữ liệu này. Bảo mật không thể
bị bỏ qua.
Cũng nên xem xét đến việc triển khai bảo
mật ở cả tính khái niệm và tính kỹ thuật bằng cách sử dụng khái niệm bảo mật
phòng vệ có chiều sâu (Defense in Depth). Bảo mật cần phải được xem xét và được
áp dụng cho tất cả các hệ thống, dịch vụ, ứng dụng và thiết bị mạng, cần phải
giữ cho hệ thống của bạn luôn hoạt động và kết nối với Internet. Các chính sách
được ban bố và các kế hoạch đã được phát triển sẽ giúp người dùng có được năng
suất cao trong sử dụng các hệ thống, bên cạnh đó là các hiểu biết chung về việc
sử dụng các chính sách. Liên tục bảo dưỡng sẽ làm cho khoản đầu tư của bạn tăng
lên. Nhưng để ngăn chặn các lỗ hổng trong kiến trúc bảo mật, bạn phải xem xét
đến việc lập kế hoạch và áp dụng model bảo mật có sử dụng khái niệm ‘Defense in
Depth’. Hình 1 thể hiện ứng dụng của ‘Defense in Depth’ ở mức đơn giản nhất,
bạn có thể bổ sung thêm các lớp khác, điều này tùy thuộc việc gia đình hoặc
mạng công ty của bạn được thiết lập như thế nào.
Hình 1: Xem cách Defense in Depth được tập trung và được triển khai như thế nào
Defense in Depth như những gì các bạn
thấy, có thể được tùy chỉnh sao cho phù hợp với các nhu cầu của bạn. Trong ví
dụ này, chính sách bảo mật là cung cấp hướng bảo mật và sự truyền thông cho
người dùng trong hệ thống và mạng. Thêm vào đó, cần được xem xét đến việc làm
vững chắc các hệ thống, điện thoại, desktop, dịch vụ, ứng dụng, máy chủ,
router, switch và PBX của bạn,.. tất cả, để bảo đảm rằng tất cả các lối vào đều
được che chắn kỹ. Rõ ràng vẫn cần có một số hình thức bảo vệ Internet công cộng
(chẳng hạn như tường lửa) trong quá trình sử dụng, tuy nhiên luôn phải mở rộng
vấn đề này và bổ sung thêm các mục khác chẳng hạn như các bộ thăm dò, lọc, quét
để có được nhiều sự hỗ trợ tinh vi hơn. Ngoài ra bạn cũng cần có cách kiểm tra
và ghi lại tất cả các thông tin này nhằm mục đích cho việc đánh giá và xem lại
nếu cần.
Windows 7 được thiết kế để có thể tích
hợp vào được sử dụng trong bất cứ môi trường nào tuân theo mức bảo mật cao,
chẳng hạn như chính phủ Mỹ và quân đội Mỹ. Khi xem xét đến các nguyên lý bảo
mật cơ bản của Windows, bạn cần nhớ rằng bất cứ hệ thống mức doanh nghiệp nào
cũng phải được cấp chứng chỉ ở mức bảo mật C2 từ sổ vàng. Microsoft Windows
cũng cần tuân theo chứng chỉ tiêu chuẩn chung. Để có thêm thông tin về các chủ
đề này, bạn có thể tìm các bài biết khác và các thông tin khác ở phía cuối
trong phần các liên kết tham chiếu. Windows 7 khá linh hoạt, với nhiều tùy chọn
cho phép cấu hình một hệ thống với chức năng hoàn tất (bảo mật tối thiểu), hoặc
một cấu hình ở mức hoạt động cơ bản, chỉ có các hoạt động mà bạn cấu hình cho
phép sử dụng (bảo mật tối đa). Với Windows 2008 và Windows 7, chức năng bảo mật
sẽ tăng gấp mười lần khi được sử dụng cùng nhau đúng cách.
Lưu ý:
Cần phải nhớ rằng từ chối một vấn đề (hoặc một vấn đề tiềm tàng) không phải một
tùy chọn. Các vấn đề trước đây có thể được sử dụng sau này, hoặc bỏ qua một
cách hoàn toàn. Sự lười biếng chỉ khiến bạn tốn kém nhiều thời gian. Mặc dù vậy
bảo mật tối nghĩa lại không phải là bảo mật. Sự không tuân thủ theo một quy tắc
chặt chẽ chỉ sẽ gây ra nhiều vấn đề sau này. Một triển khai bảo mật xuyên suốt
trên các máy tính gia đình hoặc bên trong một doanh nghiệp (cả hai đề quan
trọng) sẽ ngăn chặn được hiện tượng dò dỉ và các tấn công, cung cấp bảo mật đa
lớp nhằm giúp cho hiện trạng bảo mật của bạn an toàn ở mức cao, tuy nhiên không
phải là sẽ tránh hết được chúng. Bạn cần phải biết các kiến thức nền tảng về
bảo mật, cách chuẩn bị trước và chống chọi với các tấn công như thế nào nếu
muốn được an toàn.
Cho đến đây các bạn đã làm quen với một
số khái niệm bảo mật cơ bản, chúng ta hãy đi xem xét những gì chúng tôi đã
nghiên cứu được trong quá trình cấu hình các thiết lập bảo mật của Windows 7.
Cần đứng trên quan điểm xem xét cách chúng ta đạt được kiến thức bắt đầu từ lý
do tại sao chúng ta muốn áp dụng bảo mật, khi nào cần áp dụng nó, cũng như các
lý do cho việc quản lý, kiểm tra và nâng cấp nó, tất cả những gì chúng ta cần
thực hiện là đào sau hơn vào các khái niệm bảo mật đó trong khi cấu hình một
thống Windows 7 cơ bản. Vấn đề này sẽ được thực hiện khá dễ dàng nếu bạn biết
những gì bạn muốn thực hiện. Nếu một người dùng Windows mới hoặc những người
rất khó khăn trong việc thích nghi với hệ điều hành mới này (có lẽ bạn đã bỏ
qua Vista) thì chắc chắn bạn sẽ cần phải bỏ ra nhiều thời gian để tìm hiểu các
công cụ và nghiên cứu chúng trên các website trực tuyến để có được hiểu biết
sâu hơn. Cho ví dụ, bạn có thể tìm thấy nhiều template và checklist trực tuyến
từ Microsoft.com, đây là những thứ sẽ cung cấp cho bạn khả năng áp dụng từng
bước các vấn đề bảo mật trên các hệ thống Windows. Bạn cũng có thể tìm thấy các
công cụ hữu dụng trong phần các liên kết tham chiếu ở phía cuối bài này.
Các Template không phải lúc nào cũng là
câu trả lời, đôi khi nó có thể gây ra những hậu quả không mong muốn nếu không
được sử dụng đúng cách (hoặc cấu hình đúng cách), cần luôn luôn quan sát các
lưu ý – thậm chí download trực tiếp từ Microsoft.com. Một điều quan trọng nữa
mà bạn cần phải thực hiện là luôn phải đọc các tài liệu đi kèm với template để
có thể sử dụng đúng nó. Cũng cần phải nhấn mạnh thêm rằng, không có nền tảng cơ
bản cho bản thân một hệ điều hành nào, hay các nguyên lý cơ bản mà hệ điều hành
đó hoạt động, bạn cũng sẽ không thể duy trì mức bảo mật cao trong một thời gian
dài. Những hiểu biết về hệ điều hành lõi và các dịch của nó cũng rất cần thiết
nếu bạn muốn duy trì được tình trạng bảo mật mức cao, thậm chí sau khi đã cấu
hình bảo mật trên hệ thống cơ bản của mình được đúng cách. Việc ghi chép của
Event Viewer là cực kỳ hữu dụng, vì bạn có thể cấu hình hành động thẩm định (ví
dụ) và nhận các thông tin chi tiết về những gì đang diễn ra bên trong các hệ
thống của mình. Hầu hết (không phải là tất cả) các bản ghi đều mang bản tính
khó hiểu và diễn giải các vấn đề dưới các thuật ngữ cơ bản nhất hoặc với tập
các ngôn ngữ máy. Bạn sẽ cần online để tháo gỡ những vướng mắc của mình, đây là
cách làm sẽ giúp bạn thực hiện công việc của mình được dễ dàng hơn. Và bạn sẽ
thấy có rất nhiều thứ mình chưa biết và sẽ tìm thấy rất nhiều công cụ muốn bổ
sung thêm vào bộ kit của mình cho các triển khai trong tương lai khi đã được
test cẩn thận.
Cũng cần có một mức linh hoạt nào đó khi
áp dụng bảo mật, một mức nào đó cho phép bạn có đạt được các mục tiêu và yêu
cầu cần thiết cho doanh nghiệp (chẳng hạn như việc truy cập Internet) mà không
xảy ra vấn đề gì, trong khi đó vẫn duy trì được mức bảo mật cao cần thiết. Một
ví dụ tuyệt vời là công cụ User Account Control (UAC), đây là một công cụ khi
được điều chỉnh, có thể cung cấp mức bảo mật cao, hoặc có thể tắt đi hoàn toàn.
Bạn sẽ phải khởi động lại hệ thống của mình nếu tắt UAC.
Hình 2: Điều chỉnh Level of Security bằng cách điều chỉnh các thiết lập UAC
UAC được sử dụng để ngăn chặn không cho
các chương trình và các ứng dụng thực hiện sự thay đổi với hệ điều hành của
bạn. Nó làm việc bằng cách hạn chế sự truy cập bên trong lõi hệ điều hành, sau
đó cung cấp các thông tin chi tiết đến người dùng về các chương trình đang cố
gắng cài đặt hoặc can thiệp sâu vào cấu hình hệ điều hành. Đây là một công cụ
hết sức hữu dụng, nó cho bạn có được cơ hội thẩm định chương trình gì đang làm
việc và có thể can thiệp vào nếu đó là thứ bạn không muốn. UAC đã được giới
thiệu từ thời Windows Vista, tuy nhiên do trong Vista
người dùng không thể tắt tiện ích này nên nó dường như là một nỗi bực mình cho
hầu hết. Trong Vista, UAC cũng làm bực dọc cho người dùng bởi họ dường như
không thể tìm cách nào để giải quyết những vấn đề đó. Các chuyên gia phát triển
Windows cũng gặp rất nhiều vấn đề rắc rối trong quá trình viết mã vì những hạn
chế của UAC và một số vấn đề có liên quan nhưng cần thiết. Giờ đây, với Windows
7, UAC có thể tắt hoàn toàn, đây là cấu hình bảo mật mức không an toàn, tuy
nhiên nó cung cấp cho người dùng sự linh hoạt và có thêm một sự lựa chọn.
Lưu ý:
Cần bảo vệ cho hệ thống của bạn được an toàn, không nên tắt hoàn toàn UAC hoặc
nếu tắt đi vì một lý do nào đó thì bạn cần bật nó nên ngay tức khắc.
Cài đặt và “làm vững chắc” Windows 7
Có thể nói Windows 7 là một thiết kế an
toàn. Khi triển khai nó, bạn nên thực hiện một cài đặt fresh trên máy tính mới
mua, cần có được cấu hình phần cứng đạt yêu cầu và sau đó “làm vững chắc” cho
nó. Việc “làm vững chắc” hệ thống là một quá trình làm tăng mức bảo mật cho một
máy tính mới được cài đặt bằng cách cấu hình các thiết lập bảo mật cần thiết,
bỏ đi những phần mềm không cần thiết và thực hiện điều chỉnh một số thiết lập chính
sách nâng cao.
Lưu ý:
Bạn cần tạo một kế hoạch khi lựa chọn phần cứng cho Windows 7, vì nếu muốn sử
dụng ảo hóa, hay tính năng Windows Trusted Platform Module (TPM) Management
cũng như các tính năng khác chẳng hạn như BitLocker thì bạn cần phải mua đúng
phần cứng mà nó hỗ trợ các tính năng này.
Khi hệ điều hành của bạn được cài đặt
đúng cách và đã được cấu hình cơ bản, đây là lúc có thể thực hiện quá trình
“làm vững chắc”. Liệu có cần phải có một cài đặt Windows mới hay có thể “làm
vững chắc” một hệ thống đã được đưa vào sử dụng rồi? Về kỹ thuật, bạn có thể
“làm vững chắc” bất cứ hệ thống nào đã được cài đặt và đang được sử dụng, tuy
nhiên trước khi thực hiện, bạn nên làm tìm hiểu, phân tích , kiểm tra và thẩm
định các mức bảo mật hiện được cấu hình trong sử dụng. Không “làm vững chắc”
thứ gì đó đã bị thỏa hiệp rồi. Bạn cũng không thể biết cách ứng dụng bảo mật sẽ
ảnh hưởng đến hệ thống sản xuất như thế nào khi sử dụng trong gia đình hay
trong môi trường công ty. Một số hệ thống nhân bản được thiết lập để test sẽ
tiêu tốn của bạn một chút thời gian và tài nguyên, tuy nhiên đây là việc đáng
phải làm vì nó có thể tìm ra và tránh một số vấn đề có thể xuất hiện với thiết
kế và triển khai của bạn. Bạn có thể gây thiệt hại hơn là làm cho tốt hơn nếu
không biết các thay đổi thiết lập bảo mật hoặc các template sẽ ảnh hưởng thế
nào tới các dịch vụ trên hệ thống sản xuất. Cho ví dụ, có thể áp dụng bảo mật
cho một hệ thống và hạn chế các thay đổi về tính năng lọc của tường lửa, bỏ
chức năng từ một chương trình mà bạn đã cài đặt và sử dụng - nó có thể sử dụng
một cổng nào đó hiện được đóng bởi tường lửa và điều này sẽ dẫn đến lỗi kết
nối. Vấn đề này có thể gây ra những hiệu quả không mong muốn nếu ứng dụng được
sử dụng cho doanh nghiệp, cần thiết cho sản xuất và có thể cần khá nhiều thời
gian để khám xét, khắc phục. Đó là lý do tại sao sẽ đơn giản hơn khi cài đặt
fresh hệ điều hành Windows 7, sau đó “làm vững chắc” nó một cách nhanh chóng,
bạn có thể thẩm định rằng sự bảo mật sẽ vẫn được duy trì cho tới khi triển khai
nó. Thêm vào đó bạn cũng có thể làm cho quá trình diễn ra nhanh hơn, đặc biệt
nếu đang sử dụng máy ảo (VM) hoặc VHD file, đây là những thứ cho bạn có nhiều
tùy chọn tạo nhiều instance của desktop để có thể tự động chuyển đổi dự phòng
ảo hoặc khôi phục trở lại nhanh chóng nếu không có các tùy chọn dự trữ. Ảo hóa
sẽ đơn giản hóa quá trình cài đặt khi tạo các image vô tính cho mục đích
backup, do đó bạn có thể khôi phục desktop của mình một cách dễ dàng và trong
khoảng thời gian vài phút. Chúng tôi sẽ giới thiệu vấn đề ảo hóa trong phần sau
của loạt bài này. Nếu việc tự động chuyển đổi dự phòng được kích hoạt và được
cấu hình, người dùng desktop thậm chí có thể không nhận thấy hiện tượng ngưng
chạy của máy móc tí nào nếu đã được ảo hóa.
Bạn có thể “làm vững chắc” hệ thống và
sau đó truy cập dữ liệu an toàn của mình thông qua ổ đĩa, cơ sở dữ liệu và các
kho chứa chia sẻ - tất cả đều được thực hiện ở tốc độ cao, với tùy chọn chuyển
đổi dự phòng không chỉ giúp nó an toàn mà còn tạo sự tách biệt cho dữ liệu mà
bạn truy cập. Nếu lên kế hoạch đúng, bạn có thể tạo một snapshot hoàn chỉnh cho
phiên bản Windows an toàn, đã được cấu hình cũng như đã được cập nhật và khi
xảy ra thảm họa, có thể khôi phục hệ thống một cách nhanh chóng. Sau đó, sau
khi khôi phục hệ điều hành cơ bản, bạn có thể gắn lại ổ đĩa chia sẻ để truy cập
dữ liệu.
Vậy khi cài đặt Windows, bạn cần thực
hiện những bước gì để “làm vững chắc” nó? Và liệu có một thứ tự nào đó để chọn
hay không? Nếu có một số bước cài đặt và “làm vững chắc” thì chúng sẽ là thứ tự
cài đặt cơ bản, bỏ đi một số thứ không cần sử dụng, cập nhật hệ thống, áp dụng
bảo mật cơ bản, sao đó tạo một backup để khôi phục nhanh khi cần thiết, xem
danh sách bên dưới:
·
Bước 1 – Cài đặt hệ điều hành cơ bản bằng cách chọn
các tùy chọn trong quá trình cài đặt làm tăng bảo mật, không chọn các dịch vụ,
tùy chọn và chương trình không cần thiết.
·
Bước 2 – Cài đặt các Administrator toolkit, công cụ
bảo mật và các chương trình cần thiết.
·
Bước 3 – Gỡ bỏ các dịch vụ, chương trình và phần mềm
không cần thiết. Vô hiệu hóa hoặc gỡ bỏ các tài khoản người dùng hay nhóm người
dùng không sử dụng.
·
Bước 4 – Nâng cấp các gói dịch vụ, bản vá lỗi, cũng
như tất cả các chương trình đã được cài đặt.
·
Bước 5 – Thực hiện thẩm định bảo mật (quét, mẫu,
MBSA,...) để đánh giá mức độ bảo mật hiện hành.
·
Bước 6 – Chạy System Restore và tạo điểm khôi phục.
Ứng dụng backup và khôi phục để khôi phục thảm họa.
·
Bước 7 – Backup hệ điều hành theo một cách nào đó để
khôi phục nhanh chóng nó trong trường hợp xảy ra thảm họa.
Đây chỉ là một danh sách đơn giản. Bạn
có thể bổ sung thêm một số bước và mở rộng danh sách này hơn nữa. Rõ ràng nó
không phải là một danh sách bắt buộc, tuy nhiên danh sách này là một điểm
khởi đầu khá tốt khi áp dụng bảo mật vào Windows 7 sau khi đã cài đặt cơ bản. Nếu
hoàn tất một cài đặt fresh cho Windows 7, bước tiếp theo là gỡ bỏ phần mềm,
dịch vụ, giao thức và chương trình mà bạn không muốn hay không cần chạy nó.
Công việc này có thể thực hiện dễ dàng trong Control Panel.
Tiếp đến, bạn có
thể vào Control Panel và thiết lập xem ai được phép sử dụng máy tính trong User
Accounts applet. Ở đây bạn nên remove các tài khoản không cần thiết, hoặc vô
hiệu hóa nó. Rõ ràng, nên cẩn thận với người dùng và nhóm người dùng mặc định,
một số tài khoản đó sẽ được thắt chặt với các dịch vụ đang chạy, cách truy cập
dữ liệu của bạn và ,... Bạn có thể vô hiệu hóa cũng như remove tài khoản một
cách dễ dàng. Một kỹ thuật khác được sử dụng bởi hầu hết các chuyên gia bảo mật
là để tài khoản quản trị viên nội bộ ở một nơi thích hợp và thẩm định nó cho
các cố gắng sử dụng. Một cách làm chung là không sử dụng các tài khoản mặc định
khi quản lý một mạng Microsoft với số lượng lớn các hệ thống và thiết lập các
tài khoản quản trị viên mới có thể được lần vết nếu cần. Bằng cách thẩm định
các tài khoản mặc định này và sử dụng tài khoản được tạo mới với các đặc quyền
quản trị viên có liên quan với nó, bạn sẽ tăng được độ bảo mật lên gấp hai. Một
là bạn sẽ phát hiện ra ai đó đang cố gắng truy cập vào máy tính của mình bằng
các tài khoản mặc định khi mà lẽ ra không ai được làm việc đó. Nếu được thẩm
định, bạn có thể thấy các cố gắng và thời điểm chúng diễn ra. Ứng dụng bảo mật
cho tài khoản được biết đến như một honeypot và hữu dụng trong việc tìm kiếm các cố
gắng gây ra bởi những người dùng đang cố gắng truy cập vào hệ thống của bạn.
Hai, bạn có thể bỏ được một nửa phương trình khi ai đó cố gắng crack tài khoản
của bạn thông qua các chứng chỉ cơ bản, chẳng hạn như sự kết hợp của username
và password. Nếu bạn lấy đi các thông tin dễ đoán về username, thì bạn chỉ còn
lại mật khẩu, thứ có thể được cấu hình theo cách nào đó để không thể bị crack.
Nếu đã thiết lập các tài khoản mặc định như một honeypot thì bạn có thể tạo một
mật khẩu gần như không thể crack và hạn chế nó để không thể thực hiện thứ gì
nếu có bị thỏa hiệp (hạn chế được ảnh hưởng khi bị thỏa hiệp). Bạn nên thay đổi
tất cả mật khẩu cho các tài khoản mặc định. Sử dụng mật khẩu theo cách có thể
làm cho mật khẩu được khỏe nhất để bảo mật cho các tài khoản và cần thẩm định
chúng . Bạn cũng nên cấu hình chính sách để người dùng cần thay đổi mật khẩu
qua một quá trình mà ở đó họ chỉ được phép thay đổi nó nếu chọn mật khẩu mới
mạnh và không dễ bị hack. Đây chỉ là một mẹo “làm vững chắc” mang lại nhiều lợi
ích, chẳng hạn như khả năng phát hiện các tấn công thông qua việc ghi chép và
thẩm định.
Mẹo:
Trong Windows Server 2008, bạn có thể cài đặt chức năng “core” (lõi), một quá
trình “làm vững chắc” được áp dụng cho hệ thống trong giai đoạn cài đặt thực
sự. Khi cài đặt, máy chủ chỉ chạy với những chức năng tối thiểu mà bạn cần đến,
vì vậy sẽ giảm được bề mặt tấn công. Windows 7 có thể được “làm vững chắc”
nhưng không có tùy chọn cài đặt giống như ở Windows Sever 2008. Để “làm vững
chắc” Windows 7, bạn cần áp dụng các chính sách, các template hoặc phải tự cấu
hình các thiết lập bảo mật cần thiết.
Nói là vậy nhưng
cách mà bạn bắt đầu để khóa chặt và bảo mật cho Windows 7 như thế nào? Một cách
dễ dàng nhất để bắt đầu quá trình “làm vững chắc” hệ thống của bạn là sử dụng
menu Start để tìm kiếm bất cứ thứ gì có liên quan đến vấn đề bảo mật được lưu
bên trong hệ thống và đã được đánh chỉ số. Để thực hiện điều đó, hãy kích nút Start để mở Start menu. Sau đó đánh vào từ
khóa ‘security’trong
trường Search
Programs and Files.
Hình 3 bên dưới hiển thị các tùy chọn của Start menu dựa trên từ khóa tìm
kiếm ‘Security’.
Hình 3: Tìm và sau đó xem các tùy chọn bảo mật bên trong menu Start
Ở đây bạn có thể thấy các chương trình, Control
Panel applet (hay các action), tài liệu và file đã được chọn và được tổ chức
theo cách dễ xem và truy cập. Local Security Policy (nếu được chọn) là bộ chỉnh
sửa chính sách, cho phép bạn xem và cấu hình các chính sách bảo mật cho hệ
thống. Local Security Policy editor có thể thấy như trong hình 4. Ở đây bạn có
thể thực hiện một số điều chỉnh cho tất cả các thiết lập dựa trên chính sách
trên hệ điều hành của mình.
Hình 4: Xem và cấu hình bảo mật với chính sách bảo mật nội bộ
Mẹo – để có quyền điều khiển toàn bộ
chính sách, bạn nên sử dụng Windows 7 với các sản phẩm Windows Server, chẳng
hạn như Windows Server 2008 R2. Nếu thực hiện như vậy, bạn có thể sử dụng
Active Directory (AD) và Group Policy.
Nếu muốn thiết lập cục bộ hành động thẩm
định cho một sự kiện nào đó (chẳng hạn như sự kiện đăng nhập và đăng xuất), bạn
có thể chỉ định hành động đó trong cửa sổ Local Security Policy (hình 4). Trong
Control Panel, bạn có thể vào Administrative Tools applet để tìm Local Security
Policy editor, hoặc tìm kiếm nó trong Start menu. Khi Windows 7 được sử dụng
với Active Directory, bạn có thể sử dụng Group Policy, một dịch vụ mạnh cho
phép bạn tùy chỉnh, quản lý và triển khai các thiết lập cũng như sự ưu tiên
trong triển khai phần mềm một cách dễ dàng, tuy nhiên bạn cần kết nối Windows 7
với miền tích cực và quản lý nó đúng cách.
Nếu cần cấu hình bảo mật theo chính sách
thì đây là cách làm đơn giản nhất. Tuy nhiên ngoài ra bạn cũng có thể thấy
nhiều công cụ cần thiết cho việc cấu hình bảo mật trong Control Panel hoặc
trong MMC mà bạn thiết kế và triển khai. Microsoft Security Center (Windows
Vista, XP) đã được sử dụng để tập trung hầu hết các chức năng bảo mật trước
đây. Đây là thứ được thay thế bằng Action
Center , và các hành động
bảo mật hiện dễ tìm hơn nhiều, được quan sát và được chọn dựa trên sự cho phép
của bạn. Cho ví dụ, như thể hiện trong Start menu (hình 3), hành động ‘Check
security status’ khi được chọn sẽ tạo một danh sách các cấu hình bảo mật mà
Windows 7 khuyến khích, chẳng hạn như nâng cấp hệ thống, hay một chương trình
như antivirus (AV). Khi được chọn, bạn sẽ được gửi đến Action Center
để bạn biết thêm các vấn đề cần quan tâm.
Hình 5: Cấu hình các hành động bảo mật và các tùy chọn trong Control Panel
Mẹo:
Hình 5 hiển thị các hành động có trong Control Panel mà bạn có thể lựa chọn.
Nếu kích Start menu, đánh “security” và kích liên kết Control Panel, bạn sẽ
nhận được một danh sách các hành động và cấu hình bảo mật, đây là danh sách bạn
có thể tùy chỉnh ngay lập tức với các tùy chọn dễ tìm và dễ truy cập.
Khi ở trong Action Center
(hoặc nếu đang xem danh sách các hành động), bạn có thể chuyển xuống phần dưới
danh sách và cấu hình những gì phù hợp với mình. Đây là những giới thiệu vắn
tắt về các tùy chọn có thể được cấu hình trong danh sách của Action Center :
·
Action Center – Action
Center thay thế cho Security Center .
Action Center là nơi bạn có thể chỉ định các
hành động mà hệ điều hành có thể thực hiện. Với sự cho phép của bạn, các hành
động có thể diễn ra. Ở đây bạn sẽ được thông báo rằng chưa thực hiện nâng cấp
phần mềm Antivirus (ví dụ như vậy). Bạn có thể truy cập vào thành phần trung
tâm để thực hiện các hành động có liên quan đến bảo mật cần thiết.
·
Internet Options – Duyệt web với bất cứ hình thức nào cũng đều
mở cửa cho các rủi ro Internet. Nếu sử dụng máy chủ proxy, sử dụng hành động
lọc và kiểm tra web, cập nhật các bản vá lỗi mới nhất cho hệ điều hành, bạn vẫn
có thể rơi vào tình huống mà ở đó bảo mật của bạn bị thỏa hiệp. Bên trong
Internet Options Control Panel applet, bạn có thể chỉ định các vùng an toàn,
chỉ cho phép các URL nào đó được phép truy cập, triển khai các thiết lập bảo
mật nâng cao trong tab Advanced và,... Bản thân trình duyệt cũng có tính năng
lọc Phishing để ngăn chặn các tấn công Phishing và các tùy chọn cấu hình khác
chẳng hạn như InPrivate Browsing, tính năng ngăn chặn việc lưu lại các thông
tin cá nhân của ban sau khi duyệt web, đặc biệt hữu dụng khi sử dụng một máy
tính dùng chung.
·
Windows Firewall – Giống như bất cứ phần mềm nào hoặc tường lửa
phần cứng nào, Windows Firewall có thể làm chệch hướng các tấn công cơ bản và
có thể được cấu hình ở “mức tinh hơn” đạt mức kiểm soát cao cho những gì vào ra
khỏi hệ thống máy tính của bạn khi kết nối với một mạng public hay private.
Bằng cách vào Control Panel và chọn Windows Firewall, bạn có thể truy cập đến
hầu hết các thiết lập cấu hình của tường lửa. Có thể kích liên kết Advanced
settings trong hộp thoại để truy cập Firewall with Advanced Settings và các tùy
chọn cấu hình. Với Windows 7, bạn còn có thể triển khai nhiều chính sách tường
lửa đồng thời và sử dụng thứ bậc miền mới để cấu hình và quản lý tường lửa
Windows dễ dàng hơn.
·
Personalization – Tùy chọn Personalization là nơi bạn có thể
thay đổi diện mạo bề ngoài của Windows, tuy nhiên nó cũng là nơi bạn cấu hình
mật khẩu screensaver nếu muốn. Nếu chạy Windows 7 trong doanh nghiệp, người
dùng nên biết cách khóa các máy trạm làm việc của họ bất cứ khi nào họ rời bàn
làm việc hoặc sử dụng một thiết lập chính sách để thực hiện việc đó một cách tự
động sau một khoảng thời gian không hoạt động nào đó, mặc dù vậy nếu quên, bộ bảo
vệ màn hình đã được cấu hình sẽ yêu cầu đăng nhập lại có thể khá hữu dụng. Tại
nhà, đây sẽ là tuyến phòng chống nếu bạn rời hệ thống của mình và quên khóa nó.
·
Windows Update – Tất cả các phát hành phần mềm đều yêu cầu
một số mức vá nhất định. Bạn có thể chuẩn bị, test và phát triển phần mềm hoàn
hảo nhưng không thể tính toán hết được mọi thứ. Cũng vậy, các nâng cấp và phát
hành mới cũng yêu cầu các nâng cấp cho hệ điều hành qua thời gian tồn tại của
phiên bản hệ điều hành hiện hành. Do có nhiều tiến bộ trong hệ thống, nhiều yêu
cầu cần thiết cho các kỹ thuật phát triển, nhiều lỗ hổng bảo mật mới được phát
hiện theo thời gian, các nâng cấp driver cho hiệu suất và chức năng tốt hơn
nên sẽ luôn có một nhu cầu cho Windows Update. Windows (và Microsoft)
Update, hoặc các phiên bản quản lý bản vá của doanh nghiệp (WSUS,...) được sử
dụng để kiểm soát và triển khai các nâng cấp. Các công cụ này được sử dụng để
điều khiển, theo dõi và kiểm tra các nâng cấp hiện hành và tương lai cần thiết.
Cấu hình sao cho nó có thể thực hiện nhiệm vụ này một cách tự động, hoặc bạn
phải có thói quen thực hiện nó vì đây là một vấn đề thực sự quan trọng. Nếu bạn
không vá hệ điều hành của mình những gì khuyến khích (đôi khi là yêu cầu), bạn
có thể sẽ là đối tượng tấn công.
·
Programs and Features – Ngoài việc kiểm tra và thấy những gì Windows
Updates cài đặt, bạn cũng cần kiểm tra để xem những gì mình đã cài đặt vào hệ
thống của mình một cách thường xuyên, đặc biệt nếu làm việc trên Internet hoặc
download phần mềm từ các máy chủ web trên Internet. Cho ví dụ, bằng việc cài
đặt một nâng cấp Java, nếu bạn không đọc các thông tin hiển thị trên màn hình
một cách cẩn thân trong quá trình cài đặt, bạn có thể sẽ cài đặt cả toolbar
trên hệ thống của mình, thứ sẽ được tích hợp vào trình duyệt web của bạn. Giờ
đây, dù có được sự kiểm soát chặt chẽ hơn về điều đó, tuy nhiên vẫn nên kiểm
tra một cách định kỳ để thấy những gì hiện được cài đặt vào hệ thống của mình.
·
Windows Defender – Spyware là phần mềm được sử dụng chủ yếu cho
các mục đích thương mại trái phép, nó sẽ thực hiện những thứ như phân phối một
tải trọng trực tuyến, redirect trình duyệt của bạn hoặc gửi lại các thông tin
trên hành động của bạn. Mặc dù phần mềm Antivirus có một số tùy chọn để chống
lại hành vi này nhưng Windows Defender (hoặc các ứng dụng remove Spyware khác)
có thể là một lựa chọn để dọn dẹp phần còn lại. Các Cookie mặc dù vô hại theo
bản tính của nó, nhưng đôi khi lại bị thao túng với một vài lý do không đúng.
Cần phải bảo đảm nâng cấp Windows Defender thường xuyên với các file định nghĩa
mới và các nâng cấp cần thiết của nó để bảo đảm bạn có thể quét tất cả Spyware
mới nhất. SpyNet cũng là một cộng đồng mà Microsoft nói về cách ngăn chặn các
mối hiểm họa gây ra bởi Spyware.
·
User Accounts – Việc quản lý các tài khoản người dùng là cốt
lõi của việc truy cập an toàn máy tính cũng như mọi thứ chạy bên trong nó. Cho
ví dụ, nếu tạo một tài khoản người dùng mới và gán nó cho nhóm Administrators,
bạn sẽ có quyền truy cập toàn bộ vào hệ thống máy tính. Nếu cấu hình tài khoản
đó là người dùng chuẩn thì các điều khoản mà được phép sẽ rất hạn chế và người
dùng chỉ được phép thực hiện một số thứ cụ thể nào đó. Bạn cũng có thể cấu hình
mật khẩu với chính sách mật khẩu tối thiểu để bắt buộc người dùng phải tạo một
mật khẩu khó bị crack. Khi Windows Server 2008 và Active Directory được triển
khai, bạn có thể truy cập một vào một miền nào đó mà khi truy cập sẽ cho phép
cấu hình các điều khoản NTFS “tinh hơn” cho thư mục và file cũng như các nguồn
chia sẻ khác như máy in chẳng hạn.
·
Power Options – Power Options Control Panel applet là nơi
bạn có thể cấu hình các hành vi mặc định cho hệ điều hành khi không được cắm
nguồn trực tiếp, đóng hoặc chuyển sang chế độ “ngủ”. Cấu hình bảo mật để thiết
lập là một mật khẩu được yêu cầu khi máy tính thức giấc từ trạng thái ngủ. Bất
cứ khi nào có thể truy cập, bạn cũng cần xem xét một cách kỹ lưỡng.
Vậy nếu cần áp dụng bảo mật
cho Windows 7, Start menu là một cách tốt để bắt đầu “làm vững chắc” một cách
cơ bản hệ thống của bạn, mở cửa cho các công cụ có sẵn. Có nhiều tùy chọn ở đây
bạn có thể sử dụng để “làm vững chắc” hệ thống Windows 7 của mình, đặc biệt bên
trong Control Panel. Sử dụng Start menu cũng là cách dễ dàng để giúp bạn có
được tuyến phòng vệ cho hệ thống của mình sau khi vừa cài đặt xong. Một mẹo mà
bạn có thể thử là thiết lập một tuyến phòng vệ sau khi cài đặt ban đầu và cấu
hình hệ thống của mình, nhiệm vụ sẽ yêu cầu bạn cấu hình tất cả các tùy chọn
bảo mật, ứng dụng cũng như download các bản vá lỗi và nâng cấp, sau đó backup
toàn bộ hệ thống với System Restore hay tiện ích tạo ảnh hệ thống. Giờ đây bạn
sẽ có một snapshot cho hệ thống của mình trong trang thái fresh để đề phòng khi
cần thiết có thể chuyển đổi. Có thể tạo một điểm khôi phục, để có thể sử dụng
nếu hệ thống bị thỏa hiệp hay thảm họa. Chúng tôi sẽ giới thiệu cho các bạn một
số tùy chọn của System Restore trong phần khôi phục thảm họa của loạt bài này.
Lưu ý:
Start menu cũng có thể cung cấp nhiều thông tin về tài liệu có liên quan đến
bảo mật trên hệ thống. Đây là một địa chỉ hữu dụng khi tìm kiếm tài liệu chẳng
hạn như một chính sách bảo mật,...
Bạn có thể “làm vững chắc” một cách
nhanh chóng Windows bằng cách download các công cụ và tài liệu trực tiếp từ
Microsoft. Cho ví dụ, nếu muốn cấu hình mức bảo mật cơ bản cho Windows 7, bạn
có thể dễ dàng download template bảo mật cơ bản để sử dụng, chạy nó và có được
hầu hết các thiết lập bảo mật đã được điều chỉnh. Hình 6 cung cấp một Windows 7
Security Baseline Settings template với các entry được chia tab cho việc thẩm
định tài khoản người dùng, BitLocker và ... Tìm hiểu thêm trong phần các liên
kết tham chiếu ở cuối bài để tăng truy cập vào nó.
Hình 6: Cấu hình bảo mật cơ bản từ các Template của Microsoft
Lưu ý tùy chọn ‘Security Warning’ ở phía
trên toolbar (ribbon) của Microsoft Office Excel 2007, đây là tùy chọn ngăn
chặn bạn sử dụng template bằng cách vô hiệu hóa Macro cho tới khi bạn chú tâm
đến Security Warning (xem trong hình 6). Ở đây, Security Macros đã bị vô hiệu
hóa và được yêu cầu cho ứng dụng của template này. Đây là một ví dụ hoàn hoản
cho bảo mật và sự linh hoạt. Để có được sự linh hoạt trong ví dụ này, bạn cần
tắt bỏ hoặc hạn chế mức bảo mật được áp dụng cho nó. Chọn thủ công tùy chọn này
để chạy, hoặc vô hiệu hóa sự bảo vệ, chạy Macro sau đó nâng mức bảo mật một lần
nữa để giữ bảo mật đúng cách sẽ có được cài đặt mẫu.
Hệ thống của bạn đã sẵn sàng và bạn đã
cấu hình một số tính năng bảo mật cơ bản, lúc này bạn nên xem xét cách quản lý
nó, cũng như kiểm trra sự xâm nhập, malware và các vấn đề khác được phát hiện
thấy trong các bản ghi sự kiện.
Lưu ý:
Bạn nên lưu ý rằng Windows 7 có một tùy chọn mang tên XP-mode, đây là tùy chọn
được sử dụng cho việc giải quyết các vấn đề liên quan đến sự tương thích ứng
dụng cho các ứng dụng XP cũ. Như những gì chúng ta đã thảo luận về chủ đề ảo
hóa bên trên, khi xem xét việc sử dụng chế độ XP-mode, bạn hiện đang cài đặt
Virtual PC trên Windows 7 và chạy một instance của XP trên Virtual PC. Nếu sử
dụng XP-mode, hãy bảo đảm làm vững chắc bất cứ VM nào đang chạy trên các máy ảo
theo cách mà bạn làm với hệ điều hành cơ bản. Các hành động gồm có bảo vệ AV,
chính sách khóa, gói dịch vụ, nâng cấp phần mềm,... Bạn có thể cung cấp mức bảo
mật qua ảo hóa nhưng mức bảo mật đó là không hoàn tất, vì vậy bạn vẫn cần đến
một số bước “làm vững chắc”, thậm chí nếu ảo hóa được sử dụng.
Kết luận
Hệ thống Windows 7 gia đình có thể được
khóa chặn và quản lý một cách dễ dàng. Bạn có thể cấu hình nó một cách an toàn
để được truy cập trên Internet từ một vị trí từ xa. Windows 7 có thể được trang
bị một lá chắn nếu bạn thực sự muốn “làm vững chắc” để khóa chặn hoàn toàn các
điểm có thể xâm phạm. Tuy nhiên nó có thể vẫn trở thành đối tượng tấn công và
chắc chăn sẽ là vậy nếu bạn sử dụng máy tính trên Internet, một ví dụ như vậy.
Do đó chúng ta cần lập kế hoạch cho những khả năng có thể xảy ra và làm vững
chắc Windows 7 theo đó.
Khi xem xét đến việc sử dụng Windows 7,
trong tình hình các tấn công và khai thác ngày nay, các tùy chọn bảo mật và sự
linh hoạt là ưu tiên hành đầu cho việc tạo quyết định. Windows 7 rất an toàn
nhưng không phải an toàn 100%. Bạn cần phải biết áp dụng kiến thức, các công cụ
khác và các cấu hình nâng cao để bảo mật mọi khía cạnh của nó và sau đó nâng cấp
và kiểm tra chúng một cách thường xuyên. Đây là một công việc rất quan trọng và
đáng giá nếu bạn muốn tránh tấn công. Thêm vào đó Windows 7 cũng có nhiều cải
tiến về bảo mật và có thể được cấu hình để khôi phục nhanh chóng.
Các nguyên lý bảo mật cơ bản chẳng hạn
như Defense in Depth phải được áp dụng kết hợp với những hướng dẫn bảo mật và
các hành động tốt nhất để không chỉ áp dụng cho việc bảo vệ mà nó còn là nhiều
lớp che đậy toàn bộ kiến trúc và mã chương trình.
Trong phần này chúng ta mới chỉ đụng chạm
đến bề mặt trong phần này, có rất nhiều kiến thức khác mà chúng ta cần phải
nghiên cứu thêm, tuy nhiên hy vọng những thông tin này sẽ giúp ích cho bạn. Để
tìm hiểu thêm, bạn có thể đọc các liên kết tham chiếu bên dưới, đây là các
thông tin chi tiết về các công cụ miễn phí, các template và hướng dẫn. Và không
quên theo dõi đón đọc phần 2 và 3 sẽ được chúng tôi phát hành tới đây.
Hướng dẫn toàn diện về bảo
mật Windows 7 – Phần 2
Windows 7 là hệ điều hành máy khách cho
các máy tính desktop mới nhất của Microsoft, nó được xây dựng dựa trên những
điểm mạnh và sự khắc phục những điểm yếu có trong các hệ điều hành tiền nhiệm,
Windows XP và Windows Vista. Mọi khía cạnh của hệ điều hành như, cách chạy các
dịch vụ và cách load các ứng dụng sẽ như thế nào, đã làm cho hệ điều hành này
trở nên an toàn hơn bao giờ hết. Tất cả các dịch vụ đều được nâng cao và có
nhiều tùy chọn bảo mật mới đáng tin cậy hơn. Tuy nhiên những cải tiến cơ bản
đối với hệ thống và các dịch vụ mới, Windows 7 còn cung cấp nhiều chức năng bảo
mật tốt hơn, nâng cao khả năng thẩm định cũng như các tính năng kiểm tra, khả
năng mã hóa các kết nối từ xa và dữ liệu, hệ điều hành này cũng có nhiều cải
tiến cho việc bảo vệ các thành phần bên trong, bảo đảm sự an toàn cho hệ thống
chẳng hạn như Kernel Patch Protection, Service Hardening, Data Execution
Prevention, Address Space Layout Randomization và Mandatory Integrity Levels.
Có thể nói Windows 7 được thiết kế an toàn hơn. Thứ nhất,
nó được phát triển trên cơ sở Security Development Lifecycle (SDL) của Microsoft.
Thứ hai là được xây dựng để hỗ trợ cho các yêu cầu tiêu chuẩn chung để có được
chứng chỉ Evaluation Assurance Level (EAL) 4, đáp ứng tiêu chuẩn xử lý thông
tin Federal Information Processing Standard (FIPS) #140-2. Khi được sử dụng như
một hệ điều hành độc lập, Windows 7 sẽ bảo vệ tốt người dùng cá nhân. Nó có
nhiều công cụ bảo mật hữu dụng bên trong, tuy nhiên chỉ khi được sử dụng với
Windows Server 2008 (R2) và Active Directory, thì sự bảo vệ sẽ đạt hiệu quả cao
hơn. Bằng việc nâng mức độ bảo mật từ các công cụ như Group Policy, người dùng
có thể kiểm soát mọi khía cạnh bảo mật cho desktop. Nếu được sử dụng cho cá
nhân hoặc văn phòng nhỏ hệ điều hành này vẫn tỏ ra khá an toàn trong việc ngăn
chặn nhiều phương pháp tấn công và có thể được khôi phục một cách nhanh chóng
trong trường hợp gặp phải thảm họa, vì vậy mặc dù sẽ có nhiều ưu điểm hơn nếu
có Windows 2008 nhưng điều này là không nhất thiết phải có để có được mức bảo
mật cao cho Windows 7. Tuy nhiên dù có thể cho rằng Windows 7 về bản thân nó là
một hệ điều hành an toàn nhưng điều đó không có nghĩa rằng bạn chỉ dựa vào các
cấu hình mặc định mà quên đi việc thực hiện một số điều chỉnh để gia cố thêm
khả năng bảo mật của mình. Cần phải biết rằng bạn chính là đối tượng tấn công
của một số dạng malware hay các tấn công trên Internet khi máy tính của bạn
được sử dụng trong các mạng công cộng. Cần biết rằng nếu máy tính được sử dụng
để truy cập Internet nơi công công thì hệ thống của bạn và mạng mà nó kết nối
đến sẽ là miếng mồi ngon cho những kẻ tấn công.
Trong bài này chúng tôi sẽ giới thiệu
cho các bạn một số kiến thức cơ bản cần thiết để bảo mật Windows 7 được đúng
cách, giúp bạn đạt được mức bảo mật cơ bản, xem xét một số cấu hình bảo mật
nâng cao cũng như đi khám phá một số chức năng bảo mật ít được biết đến hơn
trong Windows nhằm ngăn chặn và bảo vệ chống lại các tấn công có thể. Giới
thiệu một số cách bảo đảm an toàn dữ liệu, thực hiện backup và chạy một cách
nhanh chóng nếu bạn gặp phải một số tấn công hoặc bị trục trặc hệ thống ở mức
độ thảm khốc ngoài khả năng xử lý của mình. Tiếp đó là một số khái niệm bảo
mật, cách “làm vững chắc” Windows 7, cách cài đặt và cung cấp bảo mật cho các
ứng dụng đang chạy, cách quản lý bảo mật trên một hệ thống Windows 7 và ngăn
chặn các vấn đề gây ra bởi malware. Bài viết cũng giới thiệu cho quá trình bảo
vệ dữ liệu, các tính năng backup và khôi phục hệ điều hành, cách khôi phục hệ
điều hành trở về trạng thái hoạt động trước đó, một số cách bảo vệ dữ liệu và
trạng thái hệ thống nếu thảm họa xảy ra. Chúng tôi cũng giới thiệu một số chiến
lược để thực hiện nhanh chóng các công việc đó. Các chủ đề được giới thiệu
trong bài cũng gồm có cách làm việc an toàn trong khi online, cách cấu hình
điều khiển sinh trắc học để kiểm soát truy cập nâng cao, cách và thời điểm được
sử dụng với Windows Server 2008 (và Active Directory) như thế nào, cách bạn có
thể tích hợp một cách an toàn các tùy chọn cho việc kiểm soát, quản lý và kiểm
tra. Mục tiêu của bài viết này là để giới thiệu cho các bạn các tính năng bảo
mật của Windows 7, những nâng cao và ứng dụng của chúng cũng như cung cấp cho
bạn những kiến thức về việc lên kế hoạch, sử dụng đúng các tính năng bảo mật
này. Các khái niệm mà chúng tôi giới thiệu sẽ được chia nhỏ và được tổ chức
theo phương pháp khối.
Lưu ý:
Nếu làm việc trong công ty hoặc môi trường chuyên nghiệp khác, các bạn không
nên thực hiện các điều chỉnh với máy tính của công ty. Hãy thực hiện theo đúng
kế hoạch (hay chính sách) bảo mật đã được ban bố, cũng như những hành động,
nguyên lý và hướng dẫn tốt nhất đã được công bố trong tổ chức. Nếu chưa quen
với các chủ đề bảo mật và các sản phẩm của Microsoft, hãy đọc tài liệu hướng
dẫn của sản phẩm trước khi áp dụng bất cứ thay đổi nào cho hệ thống.
Quản lý và kiểm tra bảo mật
Windows 7 có thể an toàn như một pháo
đài. Nếu sử dụng Windows 7 trong doanh nghiệp, bạn có thể sử dụng cơ sở dữ liệu
Active Directory và lợi dụng nhiều tính năng nâng cao về bảo mật khi đăng nhập
vào một Domain, hoặc Group Policy nhằm thực thi bảo mật ở mức cao hơn. Dù bằng
cách nào thì sự quản lý tập trung các công cụ bảo mật, các thiết lập và bản ghi
là vấn đề quan trọng cần xem xét khi áp dụng bảo mật – cách bạn sẽ quản lý nó,
kiểm tra nó và sau đó nâng cấp nó khi đã cài đặt và cấu hình như thế nào? Với
Windows 7, bạn sẽ thấy có nhiều thay đổi dưới layout cơ bản về các công cụ và
dịch vụ dùng cho mục đích bảo mật. Cho ví dụ từ khóa ‘Security’ trong menu
Start mà chúng ta đã thảo luận là nơi tập trung sự việc quản lý ứng dụng bảo
mật cho Windows 7.
Nguyên tắc chủ đạo là bạn cần phải áp
dụng bảo mật (sau đó quản lý nó) một cách dễ dàng. Không ai thích dò dẫm toàn
hệ điều hành để tìm ra các ứng dụng, dịch vụ, bản ghi và sự kiện hay các hành
động cấu hình, kiểm tra. Với Windows 7, người ta có thể nói rằng một người dùng
mới có thể bị lạc giữa một biển đường dẫn, wizard, applet và các giao diện điều
khiển trước khi tìm ra và cấu hình Windows Firewall, tính năng bảo mật cơ bản
nhất được cung cấp, thậm chí một số kỹ thuật viên nhiều kinh nghiệm có thể cho
rằng vẫn còn nhiều rắc rối đi chăng nữa thì đây vẫn là phiên bản Windows cho
phép quản lý dễ dàng nhất tất cả các thông tin bằng cách đánh chỉ số và cung
cấp qua việc tìm kiếm trong menu Start.
Ngoài menu Start, một cách thuận tiện
khác cho việc quản lý nhiều chức năng bảo mật trong Windows 7 là xây dựng một
Microsoft Management Console (MMC) tùy chỉnh và bổ sung thêm các công cụ của
bạn vào nó. Một trong những thứ sẽ làm lúng túng nhiều người dùng Windows mới
là các giải pháp doanh nghiệp của Microsoft cung cấp một cách mới để tập trung
sự điều khiển và kiểm tra mọi thứ trên các hệ thống trong mạng của bạn (MOM là
một ví dụ hoàn hảo). Hệ điều hành khách là một đơn vị độc lập (stand-alone)
nhưng cũng phải được bảo vệ cục bộ, vì vậy với người dùng gia đình, một giao
diện quản lý tùy chỉnh sẽ là câu trả lời cho các câu hỏi về quản lý bảo mật tập
trung. Tuy nhiên không may mắn, Security
Center lại được phân nhỏ
thành các Control Panel applet và MMC Snap-in – vậy bạn có thể tập trung sự
truy cập nhanh chóng vào các công cụ chính như thế nào? Để áp dụng bảo mật cho
hệ điều hành Windows 7, bạn phải truy cập nhiều vùng khác nhau của hệ thống để
tùy chỉnh cấu hình nhằm “làm vững chắc” nó, vậy nếu được quyền chọn các ứng
dụng và các chức năng cần thiết và đặt chúng vào một vùng nào đó, thì bạn có
thể nhanh chóng và dễ dàng truy cập trở lại chúng để thẩm định bảo mật và xem
lại các bản ghi.
Để tạo một giao diện quen thuộc, hãy vào
menu Start và đánh vào đó ‘MMC /A’, khi đó bạn sẽ khởi chạy một Microsoft
Management Console (MMC) mới. Có thể lưu nó vào bất cứ vị trí nào trên hệ thống
và đặt tên cho nó là bất cứ gì bạn muốn. Để định cư, bạn cần phải vào menu File
và chọn Add/Remove Snap-in. Thêm tất cả các công cụ mà bạn muốn hoặc cần. Hình
1 hiển thị một giao diện tùy chỉnh với hầu hết nếu không phải tất cả các tùy
chọn bảo mật có sẵn.
Hình 1: Tạo giao diện bảo mật tập trung tùy chỉnh với Microsoft Management Console Snap-In
Bạn sẽ thấy nhiều công cụ hữu dụng bên
trong các tùy chọn snap-in có sẵn. Cho ví dụ, TPM Management là một Microsoft
Management Console (MMC) snap-in cho phép các quản trị viên có thể tương tác
với Trusted Platform Module (TPM) Services. TPM services được sử dụng để quản
trị phần cứng bảo mật TPM trong máy tính của bạn. Điều này có nghĩa bạn cần
phần cứng chuyên dụng, nâng cấp BIOS và chọn đúng chíp CPU. Cũng giống như việc
ảo hóa cần một chíp chuyên dụng, TPM cũng vậy. TPM là một cách giới thiệu mức
bảo mật phần cứng mới cho phương trình để bạn biết mình đang dần có một hệ
thống vững chắc. Bạn có thể quản lý nó ở đây nếu thuân thủ theo TPM. TPM sẽ sử
dụng bus phần cứng để truyền tải các thông báo và có thể được sử dụng kết hợp
với các tính năng phần mềm giống như BitLocker.
Khi đã tạo các giao diện điều khiển và
đã biết cách truy cập vào các vùng để áp dụng các cấu hình bảo mật bên trong hệ
điều hành, bước tiếp theo của bạn là kiểm tra hệ thống của mình. Có nhiều cách
để thực hiện điều đó. Cho ví dụ, bạn có thể sử dụng phương pháp đơn giản (người
dùng gia đình) và chỉ cần để ý đến nó theo thời gian trên một lịch trình đơn
giản. Giống như, các tối chủ nhật sau khi lướt mạng, bạn kiểm tra các bản ghi
tường lửa và các bản ghi Event Viewer trong giao diện điều khiển. Nếu đào sâu vào
các tùy chọn có thể cấu hình, bạn sẽ phát hiện thấy mình có thể lập lịch trình
các cảnh báo và thông báo, lọc các bản ghi và tự động lưu để xem lại,... Bảo
đảm rằng bạn cần phải để ý đến mọi thứ. Bởi lẽ bảo mật tốt không có nghĩa là
bảo mật đó sẽ được duy trì mãi mãi.
Vậy, nói tóm lại – cách điển hình để bạn
có thể truy cập và áp dụng bảo mật cho Windows 7 được nhanh là bên trong menu
Start. Bạn cũng có thể làm việc bên trong Control Panel (các applet chẳng hạn
như Administrative Tools, Windows Firewall và Windows Defender) để tăng truy
cập vào các công cụ và các thiết lập bảo mật. Cũng có thể tạo một MMC tùy chỉnh
và cấu hình nó nhằm tăng sự truy cập vào các công cụ khác vẫn còn ẩn khuất đâu
đó, cũng như cung cấp một giao diện điều khiển tập trung để quản trị vấn đề bảo
mật. Mặc dù có thể duyệt nhiều vùng khác nhau trong hệ điều hành và thực hiện
cùng một việc, tuy nhiên hy vọng mẹo này có thể giúp bạn áp dụng bảo mật dễ
dàng hơn bằng cách cung cấp sự truy cập vào các công cụ bảo mật có trong
Windows 7. Ngoài ra bạn có thể áp dụng các template; tạo các nhiệm vụ và hành
động và thậm chí tạo các cấu hình bảo mật với các tập công cụ nâng cao.
Mẹo:
Bạn cũng có thể áp dụng việc quản lý bảo mật trong các công cụ giống như
PowerShell và Netsh (chẳng hạn như lệnh netsh advfirewall), từ đó có nhiều cách
dễ dàng có thể áp dụng nhiều tùy chọn dựa trên kịch bản hay dòng lệnh để triển
khai bảo mật trong Windows 7. Cũng có thể sử dụng các nhiệm vụ ‘task’ để bắt
đầu các công việc, kịch bản hoặc file batch và các dịch vụ để bạn có thể (ví
dụ) giữ một backup các bản ghi của Event Viewer cho hành động thẩm định, xem
lại và cất giấu an toàn.
Tiếp đến, cần có khả năng truy cập và
cấu hình thêm hệ thống cơ bản sau khi cài đặt để “làm vững chắc” nó và do
Windows Updates là không thể tránh được, nên bạn cần tạo một kế hoạch để chúng
có thể download và cài đặt ngay lập tức. Đại đa số, các nâng cấp đều đến sau
các tấn công, vì vậy test và cài đặc chúng ngay khi có thể là một hành động cần
làm. Có nhiều lý do tại sao chúng được phát hành. Và được đặt tên là ‘Security
Updates’ như thể hiện trong hình 2. Các nâng cấp này luôn được đánh số và bạn
có thể được nghiên cứu trực tuyến để tìm kiếm thêm thông tin.
Hình 2: Cài đặt Windows Security Updates với Windows Update
Bạn cũng cần có được các gói dịch vụ mới
được phát hành và áp dụng lại chúng nếu cần. Các ứng dụng và các dịch vụ đang
chạy khác trong hệ thống cũng cần được quản lý, kiểm tra và nâng cấp thường
xuyên, nhất là với các chương trình phát hiện và loại bỏ Virus, Spyware.
Khi hệ thống của bạn đã được vá và được
cấu hình cho sử dụng, nhiệm vụ tiếp theo là cài đặt Microsoft Security
Essentials (MSE), một chương trình Antivirus (AV) của nhóm thứ ba, cấu hình
Windows Defender (spyware) để sử dụng và cấu hình bảo mật nhằm phát hiện
(malware) phần mềm mã độc.
Lưu ý:
Microsoft gần đây đã phát hành một dòng phần mềm bảo mật mới mang tên
Forefront. Dòng sản phẩm này bao phủ tất cả các khía cạnh trong triển khai và
quản lý bảo mật trong doanh nghiệp. Chúng cũng tạo sự chắc chắn rằng hệ điều
hành khách được an toàn với chức năng mới, chẳng hạn như Microsoft Antivirus,
có bên trong gói sản phẩm MSE.
Ngăn chặn và bảo vệ Malware
Mọi hệ thống dù là máy chủ file của
Windows, desktop Linux hoặc máy trạm Apple OS X, tất cả đều phải đối mặt với
malware. Malware là một thuật ngữ được sử dụng để đại diện cho tất cả các kiểu
phần mềm mã độc có thể đâm thủng, xâm nhập, chiếm quyền điều khiển và cuối cùng
phá hủy hệ điều hành máy tính của bạn, các ứng dụng hoặc dữ liệu cũng khó có
thể khắc phục khi bị tấn công. Tồi tệ hơn, malware không chỉ nhắm đến hệ điều
hành cơ bản mà nó còn nhắm đến cả dữ liệu cá nhân, sự riêng tư và nhận dạng.
Malware tồn tại dưới nhiều hình thức khác nhau, chẳng hạn như viruse, worm,
logic bomb và Trojan. Để giữ cho Windows 7 được an toàn, bạn cần cấu hình nó
sao cho tránh được phần mềm mã độc xâm nhập vào hệ thống. Malware có thể xâm
nhập theo con đường điển hình nhất là qua truy cập Internet công cộng, nhận
email, các tin nhắn IM (instant messaging), sử dụng dữ liệu chia sẻ trên web và
các máy chủ FTP, hoặc các ứng dụng phần mềm dựa trên kết nối mạng công cộng
khác, chẳng hạn như phần mềm chia sẻ file ngang hàng (P2P). Khi một hệ thống
(hoặc email mailbox) nào đó bị xâm nhập, malware có thể phát tán một cách nhanh
chóng và đôi khi bạn không hề hay biết điều này. Malware cũng có thể truy cập
vào hệ thống của bạn từ các ổ đĩa lạ hoặc các ổ đĩa ngoài không được bảo vệ,
các ổ USB và đôi khi là cả qua bản thân mạng. Gần như rằng thông qua hành động
nhận email hoặc xem nội dung trên các máy chủ trong mạng Internet công cộng thì
bạn sẽ là đối tượng của một số dạng tấn công.
Để tránh malware, bạn phải cố gắng không
giới thiệu nó. Việc ngăn chặn (phòng ngừa) malware khác với sự bảo vệ (chống)
malware; mặc dù vậy cả hai công việc được thực hiện cùng nhau sẽ có nhiều lợi
ích. Việc ngăn chặn chủ yếu tập trung vào các bước cần phải thực hiện để tránh
malware xâm nhập vào hệ thống của bạn, từ đó bạn có thể ngăn chặn các tấn công
hoặc các vấn đề tương lai có thể xảy ra. Bạn có thể hạn chế sự phơi bày theo
nhiều cách. Việc ngăn chặn cần có kỷ luật và cần hiểu biết, áp dụng các khái
niệm này một cách nhất quán khi cấu hình bất cứ nền tảng phần mềm nào. Sự bảo
vệ là hình thức cài đặt các ứng dụng chẳng hạn như phần mềm Antivirus và các bộ
quét Spyware. Bảo vệ (chống) malware còn có thể bằng việc áp dụng các hình thức
các công cụ quét và lọc, các công cụ thẩm định và giao thức hoặc mã hóa tạo
truyền thông an toàn.
Lưu ý:
Có hai kiểu ứng dụng bảo mật; đi tiên phong (chủ động) và phản ứng trở lại. Lên
kế hoạch, thiết kế và cân nhắc trong giao đoạn lập kế hoạch sẽ giúp bạn đi đúng
hướng, nhưng để tiếp tục hỗ trợ, bạn cần xem xét cách quản lý và hỗ trợ nó. Với
malware, bạn cần ưu tiên hàng đầu vào việc nâng cấp chương trình AV để có thể
quét và ngăn chặn các mối đe dọa và các khai thác mới. Chủ động nên kế hoạch để
bạn có thể cập nhật mọi thứ một cách an toàn, tuy nhiên luôn cần có một kế
hoạch cho trường hợp sự phòng chống của bạn bị vi phạm.
Để quản lý, kiểm tra và bảo mật hệ thống
trước các mối đe dọa malware tiềm ẩn, bạn nên cài đặt, cấu hình và cập nhật
liên tục phần mềm Antivirus và phần mềm gỡ bỏ Spyware. Có thể cài đặt thêm ứng
dụng phần mềm của các hãng thứ ba, hoặc sử dụng một số công cụ của Microsoft,
chẳng hạn như Windows Defender như thể hiện trong hình 3 bên dưới.
Hình 3: Sử dụng Windows Defender
Windows Defender có thể quét và loại bỏ
Spyware. Một ứng dụng antivirus sẽ quét một cách tích cực và cố gắng tìm và
loại bỏ virus, worm và Trojan. Nếu cả hai được sử dụng cùng nhau, bạn có thể
bảo vệ một cách chủ động hệ thống của mình trước hầu hết các tấn công. Giống
như bản thân hệ điều hành, bạn cũng cần liên tục cập nhật các ứng dụng này với
nhiều bản vá hoặc chúng có thể trở thành mục tiêu để tấn công. Thêm vào đó, các
file định nghĩa mới cũng cần được download và cài đặt thường xuyên để quét các
mối đe dọa mới.
Windows Defender là một tiện ích hữu
dụng cho việc quét các file hệ thống (Quick hoặc Full), và được cập nhật thường
xuyên, một trong những điểm quan trọng nhất khi lựa chọn bất cứ phần mềm
spyware nào. Nếu các khái niệm không được cập nhật tương xứng với các tấn công
mới bị phát hiện trên toàn thế giới thì hệ thống của bạn không thể bảo vệ bạn
trước những tấn công này.
Một số chương trình AV có thể quét một
cách thông minh hệ thống của bạn để tìm ra “những điều không bình thường”, hoặc
“so khớp một mẫu trong một tấn công tương tự”, thứ được gọi là những khám phá.
Mặc dù hữu dụng nhưng không thể bắt được mọi thứ để giữ cho các công cụ này cập
nhật. Windows Update sẽ nâng cấp Windows Defender khi bạn chạy nó. Các ứng dụng
thứ ba (loại trừ các driver thiết bị chính) thường không tìm thấy thông qua
Microsoft. Cũng cần cân nhắc đến việc chạy các công cụ này trong trạng thái
tích cực, vì khi đó bạn sẽ phải trả giá về hiệu suất bộ nhớ và xử lý cũng như
toàn bộ những gánh nặng về tài nguyên của hệ thống ở mức độ đáng kể. Vì vậy cần
phải đi xem xét kế hoạch cho việc triển khai này từ trước và bảo đảm rằng các
hệ thống Windows của bạn có thể xử lý được nó. Khi đã thiết lập bảo vệ malware
và chạy, bạn vẫn cần “làm vững chắc” một cách tích cực các vùng cần được khóa,
chẳng hạn như các thiết lập Internet Explorer.
Bạn có thể bảo mật Windows 7 bằng cách
sử dụng một tính năng mới mang tên Data Execution Prevention (DEP). Đây là một
tính năng sẽ kiểm tra các chương trình của bạn và cách chúng sử dụng bộ nhớ hệ
thống như thế nào. Sử dụng tính năng này bạn sẽ có thêm một mức bảo mật cho các
chương trình muốn cư trú và sử dụng bộ nhớ như một cách khởi chạy tấn công. Bạn
có thể bật nó cho tất cả các chương trình, hoặc chỉ một số chương trình bạn
chọn. Để cấu hình cho sử dụng, bạn cần vào menu Start, mở Control Panel. Kích
System applet, sau đó chọn tab Advanced, Performance Options, Data Execution
Prevention như thể hiện trong hình 4 bên dưới.
Hình 4: Cấu hình Data Execution Prevention (DEP) trong Windows 7
Virus ngày nay phức tạp hơn rất nhiều so
với chúng trước kia. Mỗi năm qua đi, các hack trở nên ngày càng khó ngăn chặn
và malware ngày càng trở nên tinh vi hơn, có thể tự ẩn mình và phân phối trọng
tải thê thảm. Thêm vào đó nó có thể thực hiện tấn công mà người dùng hoặc quản
trị viên hệ thống không hề hay biết. Điều này là vì công nghệ ngày càng trở nên
phức tạp và các tấn công cũng vậy. Cho ví dụ, bằng cách vào một trang web và
xem nội dung bên trong của nó, bạn có thể cài đặt malware vào hệ thống của mình
mà không hề hay biết thông qua các kịch bản lợi dụng các khai thác trong các lỗ
hổng của trình duyệt web. Ngoài ra, do sự linh hoạt, trình duyệt rõ ràng được
tạo ra để hoạt động với tất cả các giao thức, ngôn ngữ kịch bản, các plug-in và
toolbar; do đó nó cũng khó giữ mức bảo mật cao mà không cần nâng cấp liên tục
trình duyệt. Một gánh nặng nữa là việc truy cập các site để thực hiện công việc
và liên tục bị hỏi về việc đưa các site vào vùng an toàn trước khi được phép
truy cập, hoặc cho phép trình duyệt kiểm tra nhanh chóng xem các website có hợp
lệ hay không. Vâng, nó sẽ giúp bạn an toàn hơn, tuy nhiên bạn sẽ phải giải
quyết nhiều vấn đề phức tạp có liên quan đến việc hạn chế hoặc cho phép truy
cập dựa trên mong muốn của mình, không chỉ là các file cấu hình hay danh sách
các thiết lập mặc định.
Do việc truy cập Internet là hầu như
được thực hiện cho các công việc hoặc giải trí, nên sự khóa chặn của Internet
Explorer (IE) là cần thiết trừ khi bạn muốn lộ diện bản thân mình trước malware
và các tấn công trình duyệt khi truy cập trực tuyến. Internet Explorer đã được
nâng cấp một cách liên tục để bạn có nhiều tùy chọn bảo mật cho nó, có thể lướt
web an toàn và được thông báo về những rủi ro tiềm ẩn, từ đó giúp bạn có thể
quyết định có tiếp tục thực hiện hành vi nào đó hay không. Trong các phiên bản
Windows trước, vấn đề này đã bị giảm nhẹ dưới nhiều cách làm và nhiều công cụ
nhưng cốt lõi của vấn đề vẫn là Explorer, IE và cách nó thắt chặt ở mức độ thế
nào với hệ điều hành cơ bản là một vấn đề thực. Phần mềm được phân tích và được
viết lại hoàn toàn để nhóm tất cả các khía cạnh của ứng dụng bảo mật và các tập
công cụ bảo mật tích hợp, chẳng hạn như Phishing filter. Đồng thời những tiến
bộ về công nghệ khi được tích hợp vào các sản phẩm của Microsoft đã tạo nhiều
tiến bộ trong mã và vì vậy các ứng dụng có tính bảo mật hơn. Ngày nay, IE là
trình duyệt web an toàn nhất hiện có và thậm chí còn an toàn hơn khi được triển
khai với Group Policy.
Mẹo:
Để giữ mức rủi ro do tấn công gây ra ở mức thấp, chúng ta cần phải hạn chế việc
truy cập vào các máy chủ web đang hosting các nội dung được biết đến đến như
nguyên nhân gây ra các vấn đề này cho hệ thống của bạn. Các máy chủ đó gồm có
các site khiêu dâm, các site download phần mềm miễn phí, chia sẻ file hoặc phần
mềm P2P, máy chủ FTP công cộng, các biểu đồ IRC và,... Bạn có thể tạo một máy
ảo và sử dụng nó để tăng cường sự bảo mật, tuy nhiên giải pháp này không hẳn đã
an toàn. Nếu hạn chế được sự phơi bày, bạn sẽ giảm được khả năng trở thành nạn
nhân của một tấn công.
Truy cập web theo một nguyên tắc chặt
chẽ là một điều quan trọng. Ngoài việc cẩn thận, Internet Explorer cũng cần
được cấu hình theo một cách nào đó để bạn không thể thực hiện bất cứ thứ gì
không cho phép một cách rứt khoát. Trong phần này, chúng tôi đã giới thiệu sự
cân bằng giữa bảo mật và tính linh hoạt và đó là một trong những ví dụ tốt nhất
mà bạn có thể thao khảo. Cách bạn sử dụng Internet công cộng an toàn như thế
nào mà không cần tốn gấp đôi số lượng thời gian mà bạn đang truy cập nó? Tìm ra
một mức cân bằng nào đó và như được đề cập ở trên, có một kế hoạch cho việc
khôi phục từ một tấn công có thể.
Các bước khóa IE (chẳng hạn như bật và
cấu hình Phishing filter, sử dụng InPrivate Browsing, hoặc các tính năng bảo
mật khác) sẽ giúp bạn an toàn hơn nếu không sử dụng bất cứ một thành phần nào,
vì vậy tốt nhất hãy làm cho trình duyệt của bạn được an toàn nếu có thể, sau đó
tắt hoặc giải phóng một số tùy chọn bảo mật khi bạn đã thích nghi với cách làm
việc như một thói quen truy cập hiện hành. Khi cấu hình Internet Properties của
IE, như thể hiện trong hình 5, bạn có thể áp dụng các cấu hình bảo mật trên tab
Security cũng như các cấu hình bảo mật khác trên các tab khác.
Hình 5: Cấu hình Tab Options trong cửa sổ Internet Properties
Mẹo:
Trong tab Internet Properties Security, bạn sẽ tìm thấy một hộp kiểm, nơi bạn
có thể kích hoạt Protected Mode. Đây là chế độ cung cấp mức bảo mật cơ sở cho
trình duyệt web của bạn.
Cho ví dụ, nếu chọn tab General, bạn có thể thay đổi trang chủ thành trống để mỗi lần mở trình duyệt bạn có thể chọn nơi mà mình muốn truy cập, không phải trình duyệt chọn trước cho bạn. Nếu bị chiếm quyền điều khiển, trang mặc định hiện hành có thể sẽ bị thay đổi thành một trang nào đó mà bạn không hề hay biết. Bạn cũng có thể xóa lưu ký duyệt của mình bất cứ khi nào thoát khỏi IE. Bạn có thể cấu hình các vùng an toàn, danh sách hạn chế, lọc, dịch vụ ủy nhiệm các giao thức nâng cao và,... Cần bỏ thời gian để nghiên cứu về cách trình duyệt của bạn có thể được bảo vệ như thế nào vì nó là tuyến đầu tiên trong quá trình phòng chống các tấn công malware của bạn.
Cho ví dụ, nếu chọn tab General, bạn có thể thay đổi trang chủ thành trống để mỗi lần mở trình duyệt bạn có thể chọn nơi mà mình muốn truy cập, không phải trình duyệt chọn trước cho bạn. Nếu bị chiếm quyền điều khiển, trang mặc định hiện hành có thể sẽ bị thay đổi thành một trang nào đó mà bạn không hề hay biết. Bạn cũng có thể xóa lưu ký duyệt của mình bất cứ khi nào thoát khỏi IE. Bạn có thể cấu hình các vùng an toàn, danh sách hạn chế, lọc, dịch vụ ủy nhiệm các giao thức nâng cao và,... Cần bỏ thời gian để nghiên cứu về cách trình duyệt của bạn có thể được bảo vệ như thế nào vì nó là tuyến đầu tiên trong quá trình phòng chống các tấn công malware của bạn.
Tất cả các công cụ này cũng làm việc
cùng nhau sẽ tốt hơn – chẳng hạn như IE có thể giữ trạng thái khóa chặn, nhưng
nếu có thứ gì đó lọt qua, thì UAC sẽ cắm cờ thành phần đó nếu nó cố tình tự
động cài đặt.
Việc tránh malware xâm nhập có thể được
thực hiện bằng nhiều tính năng khác nhau trong hệ thống ngoài các ứng dụng phần
mềm Spyware và AV. Cho ví dụ, UAC (như được giới thiệu ở trên) là một ví dụ
điển hình về tầm quan trọng sao nó cần phải có một công cụ như vậy. Nếu bạn
truy cập một máy chủ web có chứa mã độc để xem và download nội dung, các kịch
bản trong bản thân trang chủ của nó có thể được cấu hình để chạy các ứng dụng,
các ứng dụng này sẽ cài đặt một cách thầm lặng trong chế độ background khi bạn
sử dụng máy tính của mình. Nếu có bất cứ chương trình nào đó cố gắng tự cài đặt
vào Windows 7, UAC (nếu được cấu hình ở mức bảo mật cao nhất), có thể bảo vệ
bạn tránh được các kiểu tấn công như vậy.
Những thứ khác bạn có thể thực hiện để
ngăn chặn malware là điều chỉnh Windows Firewall, kiểm tra hành động ghi chép
của nó và cố gắng làm quen với những gì quả thực đang chạy trên hệ thống của
bạn và bao nhiêu tài nguyên hệ thống mà nó đang sử dụng (việc khởi chạy và cư
trú trong bộ nhớ, hiệu suất không gian đĩa,...). Sử dụng Task Manager cũng là
một cách tuyệt vời để nhanh chóng tìm ra nhiều vấn đề như đã đề cập. Hình 6 thể
hiện những gì đang chạy trong hệ thống của bạn. Nếu quan sát tab Processes, bạn
sẽ thấy những gì đang chạy trong bộ nhớ và thấy quá trình đó có hợp lệ hay
không.
Hình 6: Sử dụng Task Manager
Bạn cũng nên kiểm tra các bản ghi Event
Viewer để thẩm định rằng các định nghĩa virus, cũng như các dịch vụ được
download, cập nhật và được cài đặt đúng cách, không có lỗi nguy cấp nào được
liệt kê mà không được chú trọng. Với tất cả các biện pháp phòng và chống đó,
bạn vẫn có thể bị nhiễm malware vào hệ thống, sau đó nó có thể gây hại và phá
hủy hoàn toàn dữ liệu của bạn.
Do malware vẫn có thể phá hủy một cách
tiềm tàng hệ thống của bạn, thậm chí sau khi đã bảo mật toàn bộ hệ thống (cũng
như đã cập nhật) nên bạn cần xem xét đến việc tạo một backup. Bạn luôn luôn cần
backup dữ liệu cá nhân của mình mà không cần quan tâm tới việc mình đang ở trên
hệ thống Windows, Linux hay Apple. Bạn có thể thực hiện backup theo nhiều cách,
chẳng hạn như sử dụng tiện ích backup trong Windows 7, sử dụng một công cụ của
hãng thứ ba, hoặc đơn giản là copy tất cả dữ liệu của bạn qua một ổ cứng ngoài
hoặc burn nó vào một CD/DVD-ROM để cất giữ an toàn. Rõ ràng, giải pháp đơn giản
nhất là bỏ qua nó và hy vọng mọi thứ sẽ tốt đẹp. Tuy nhiên nếu dựa vào dữ liệu
của mình hoặc thấy nó là quan trọng, bạn hãy thực hiện backup cho nó ngay lập
tức.
Khi dữ liệu đã được backup và được bảo
vệ, bạn cần backup hệ thống với System Restore cũng như xem xét các phương pháp
khôi phục thảm họa khác để có thể hoạt động trở lại sau khi gặp một vấn đề sự
cố nào đó. Nếu không quen, bạn có thể khởi chạy và chạy System Restore và bắt
đầu làm việc với nó. Công cụ này cực kỳ hữu dụng vì nó sẽ tạo một snapshot cấu
hình hệ thống hiện hành và backup nó để dự phòng sau này. Mặc dù hành động này
sẽ tiêu tốn của bạn một chút không gian đĩa, tuy nhiên nó sẽ rất đáng giá khi
bạn gặp phải sự cố thực sự.
Các điểm truy cập malware khác cũng có
thể nằm trong các tài liệu Windows Office và có thể được chạy như các chương
trình được sử dụng tự động với ý định xâm nhập hệ thống của bạn. Các macro là
các công cụ hữu dụng, tuy nhiên mặc định bị khóa toàn bộ. Sự nguy hiểm trong
việc cho phép Macro (mặc định) là nếu bạn nhận một email có một tài liệu Office
phân phối tải trọng, rất có thể bạn sẽ vô tình mở nó và tiêm nhiễm malware vào
hệ thống. Quả thực đôi khi chúng ta quá để ý đến ứng dụng bảo mật trên hệ điều
hành cơ sở mà thiếu suy nghĩ đến các chương trình chạy trên nó, hoặc mạng mà
máy tính kết nối. Malware cũng có thể tiêm nhiễm qua mạng. Worm sẽ di chuyển từ
chia sẻ Windows này sang chia sẻ Windows khác, các bộ quét có thể quét dọn hệ
thống của bạn với hy vọng tìm được nó. Trojan có thể được cài đặt để kết nối
các máy chủ từ xa và báo cáo các thông tin chi tiết về hệ thống của bạn
và,...Bảo mật mạng – ngoài bảo mật hệ thống, cũng không được bỏ qua. Các tường
lửa mạng có thể khóa sự truy cập của các tấn công, router và các switch có thể
được làm vững chắc và cấu hình mã hóa nâng cao có thể được sử dụng để tạo các
kết nối an toàn đến một mạng từ xa. Thậm chí việc quản lý quan mạng cũng cần
được xem xét. Cho ví dụ, nếu không vô hiệu hóa dịch vụ Telnet (có trong Windows
Features) và đang sử dụng nó một cách tích cực thay vì Secure Shell (SSH) (lấy
ví dụ như vậy), thì bạn sẽ đang sử dụng giao thức TCP/IP có thể bị tấn công một
cách dễ dàng. Tất cả bảo mật mà bạn đã tạo cho các hệ thống của mình hiện bị
đánh liều vì bạn không thể bắt ứng dụng capture hoặc đánh hơi dữ liệu trên mạng
của mình để từ đó có thể quét tích cực và capture mật khẩu trong sáng (không
được mã hóa), cũng có thể xảy ra với mật khẩu được sử dụng tài khoản dịch vụ
mặc định Windows Administrator. Chính vì vậy luôn luôn xem xét mạng như một
điểm truy cập tiềm tàng cho malware và các tấn công vì nó thường bị bỏ qua.
Gói phần mềm Microsoft Security
Essentials (MSE) có thể download miễn phí từ Microsoft, đây là phần mềm khi
được cài đặt, nó sẽ bổ sung phần mềm quét AV cho hệ thống của bạn. Được thiết
kế cho XP, Vista và Windows 7, gói phần mềm
Security Essentials chỉ có sẵn từ Microsoft nếu bạn có một copy hợp lệ. Còn nếu
không có, bạn không thể download và cài đặt nó. Trong trường hợp có thể, hãy
cài đặt nó ngay tức khắc. Bạn sẽ cần hợp lệ hóa copy Windows 7 của mình nếu
chưa làm việc đó trong quá trình cài đặt. Khi đã hợp lệ hóa, chương trình cài
đặt sẽ kiểm tra hệ thống của bạn để xem các chương trình AV khác có đang chạy
hay không. Bạn sẽ nhân được lời khuyên để sử dụng một bảo vệ AV nào, tuy nhiên
không may, nếu bạn chọn để chạy cả hai cùng lúc, đôi khi điều đó sẽ xảy ra hiện
tượng xuyên nhiễu giữa hai phần mềm, và bạn phải quản lý và kiểm tra (cũng như
nâng cấp) và chịu gánh nặng về hiệu suất vì các chương trình AV sẽ sử dụng công
suất xử lý và bộ nhớ khá cao, ảnh hưởng rõ nét đến hiệu suất của toàn bộ hệ
thống. Khi được cài đặt, bạn có thể nâng cấp nó như thể hiện trong hình 7 bên
dưới.
Hình 7: Chạy Microsoft Security Essentials Updates
Tiếp (trong hình 8), bạn có thể quét
Quick, Full hoặc Custom để kiểm tra malware trên hệ thống. Việc thực hiện quét
tích cực và thiết lập sự bảo vệ thời gian thực có thể được thực hiện nhanh
chóng và dễ dàng. Đơn giản, chạy MSE và liên tục cập nhật nó để có sự bảo vệ AV
hoàn tất. Một ưu điểm khác mà bạn có lúc này là nó có thể được cập nhật với
Windows Update.
Hình 8: Quét Malware trong hệ thống với Microsoft Security Essentials
Khi đã cài đặt sự bảo vệ malware và thực
hiện mọi thứ để ngăn chặn tích cực mối đe dọa này, bạn có thể tiếp tục “làm
vững chắc” nó, tạo image cho nó, thiết lập một điểm khôi phục hoặc tiến lên tạo
một hệ thống sản xuất thực và sử dụng nó.
Sử dụng một máy tính trên mạng Internet
sẽ có nhiều nguy cơ tấn công. Cài đặt và sử dụng bảo vệ malware và spyware và
giữ cập nhật nó liên tục. Luôn xem xét một thứ rằng khi được bảo vệ, bạn vẫn
cần tự cập nhật để duy trì trạng thái bảo vệ và cố gắng tuân thủ theo các thói
quen truy cập mạng của mình.
Mẹo:
Cân nhắc việc không sử dụng các mục như Desktop Gadgets hoặc các nội dung
“sống” khác vì như đề cập ở trên, bạn có thể tạo các lỗ hổng trong hệ thống của
mình bởi các chương trình như vậy, cho dù chúng đã được ký. Nếu không cần thứ
gì đó, hoặc không sử dụng nó nữa, một hành động an toàn là bạn nên remove nó
ngay lập tức. Hành động trên của bạn không chỉ giúp giải phóng được không gian
và sức mạnh trong xử lý mà bạn còn giảm được những rủi ro đến từ các tấn công
bằng các hạn chế khả năng có thể vô tình cài đặt một gadget được được ký và
tiềm tàng nhiều mối nguy hiểm. Bất cứ thứ gì không được gán, từ một nguồn không
tin tưởng hoặc đáng ngờ, bạn không nên cài đặt chúng.
Kết luận
Hệ thống Windows 7 tại nhà có thể được
khóa và được quản lý một cách dễ dàng. Bạn thậm chí còn có thể cấu hình nó một
cách an toàn để có thể truy cập trên Internet từ một vị trí từ xa. Windows 7 có
thể được xây dựng để đạn bắn không thủng nếu bạn thực sự muốn “làm vững chắc”
nó và khóa toàn bộ các điểm có thể truy cập của hệ thống này. Tuy nhiên nó vẫn
là một đối tượng cho các tấn công và có thể sẽ là như vậy nếu máy tính của bạn
truy cập Internet. Chính vì vậy chúng ta cần phải lên kế hoạch cho những gì có
thể xảy ra và làm vững chắc Windows 7 theo kế hoạch đó.
Khi xem xét đến việc sử dụng Windows 7,
trong áp lực các tấn công và các khai thác ngày nay, các tùy chọn bảo mật và
khả năng linh hoạt là ưu tiên hàng đầu khi tạo quyết định. Windows 7 rất an
toàn, tuy nhiên không thể an toàn 100%. Bạn cần phải áp dụng các kiến thức, các
công cụ và các cấu hình nâng cao để bảo mật tất cả các khía cạnh của nó và tiếp
đó là cập nhật, kiểm tra chúng một cách thường xuyên. Cũng rất giá trị nếu bạn
muốn tránh tấn công. Windows 7 có nhiều nâng cao về bảo mật và có thể được cấu
hình để khôi phục một cách nhanh chóng.
Thêm vào đó, các nguyên lý bảo mật cơ bản chẳng hạn như Defense in Depth phải được áp dụng kết hợp với các hướng dẫn bảo mật khác và những thói quen tốt nhất để bạn không những áp dụng bảo mật để bảo vệ mà còn bổ sung thêm nhiều lớp bảo mật để phòng và chống cho toàn bộ kiến trúc và mã chạy bên trong nó.
Thêm vào đó, các nguyên lý bảo mật cơ bản chẳng hạn như Defense in Depth phải được áp dụng kết hợp với các hướng dẫn bảo mật khác và những thói quen tốt nhất để bạn không những áp dụng bảo mật để bảo vệ mà còn bổ sung thêm nhiều lớp bảo mật để phòng và chống cho toàn bộ kiến trúc và mã chạy bên trong nó.
Chúng ta mới chỉ động chạm tới bề mặt ở
đây, còn có rất nhiều thứ mà chúng ta cần biết và tìm hiểu, tuy nhiên hy vọng
phần này sẽ cung cấp cho các bạn được nhiều thông tin quý giá. Để tìm hiểu
thêm, bạn có thể tham khảo các liên kết tham chiếu gồm có các thông tin chi
tiết cũng như các công cụ, template và hướng dẫn miễn phí. Và hãy nhớ theo dõi
phần ba của loạt bài này.
Hướng dẫn toàn diện về bảo
mật Windows 7 – Phần 3
Có thể nói Windows 7 được thiết kế an
toàn hơn. Khi được sử dụng như một hệ điều hành độc lập, Windows 7 sẽ bảo
vệ tốt người dùng cá nhân. Nó có nhiều công cụ bảo mật hữu dụng bên trong, tuy
nhiên chỉ khi được sử dụng với Windows Server 2008 (R2) và Active Directory,
thì sự bảo vệ sẽ đạt hiệu quả cao hơn.
Trong bài này chúng tôi sẽ giới thiệu
cho các bạn một số kiến thức cơ bản cần thiết để bảo mật Windows 7 được đúng
cách, giúp bạn đạt được mức bảo mật cơ bản, xem xét một số cấu hình bảo mật
nâng cao cũng như đi khám phá một số chức năng bảo mật ít được biết đến hơn
trong Windows nhằm ngăn chặn và bảo vệ chống lại các tấn công có thể. Mục tiêu
của bài viết này là để giới thiệu các tính năng bảo mật của Windows 7, những
nâng cao và ứng dụng của chúng cũng như cung cấp cho bạn những kiến thức về
việc lên kế hoạch, sử dụng đúng các tính năng bảo mật này. Các khái niệm mà
chúng tôi giới thiệu sẽ được chia nhỏ và được tổ chức theo phương pháp khối.
Lưu ý:
Nếu làm việc trong công ty hoặc môi trường chuyên nghiệp khác, các bạn không
nên thực hiện các điều chỉnh với máy tính của công ty. Hãy thực hiện theo đúng
kế hoạch (hay chính sách) bảo mật đã được ban bố, cũng như những hành động,
nguyên lý và hướng dẫn tốt nhất đã được công bố trong tổ chức. Nếu chưa quen
với các chủ đề bảo mật và các sản phẩm của Microsoft, hãy đọc tài liệu hướng
dẫn của sản phẩm trước khi áp dụng bất cứ thay đổi nào cho hệ thống.
Khôi phục thảm họa
Windows 7 khi đã được bảo mật đầy đủ, nó
cần được backup để có thể khôi phục lại một cách nhanh nhóng. Bạn có thể sử
dụng phần mềm imaging chụp lại cài đặt cơ bản để có thể cài đặt lại nhanh chóng
nếu cần. Nếu phải cài đặt lại Windows 7 từ đống đổ nát, bạn cũng cần phải thực
hiện tất cả các bước đã thực hiện bảo mật. Do công việc này có thể mất nhiều
thời gian nên chúng ta nên xem xét đến các giải pháp khôi phục, đặc biệt nếu
Windows 7 được sử dụng trong doanh nghiệp. Các giải pháp công ty hoàn toàn có
tính năng imaging. Trong khi đó người dùng gia đình cũng có thể tạo một
snapshot cho các hệ thống của họ để có thể khôi phục nhanh chóng. Dù cách nào,
bạn cũng luôn có thể sử dụng các công cụ như System Restore, tiện ích cho phép
tạo snapshot cho hệ thống, tuy nhiên chỉ khi bạn có thể khởi động hệ thống. Chỉ
có một cách có thể khôi phục từ một thảm họa ở góc độ toàn diện là lên kế hoạch
từ trước về vấn đề đó và xây dựng một kế hoạch khôi phục tỉ mỉ. Một kế hoạch
khôi phục đơn giản sẽ là khi cài đặt được hoàn tất, sau đó bảo đảm các đĩa cài
đặt được bảo vệ an toàn cho sử dụng sau này. Nếu thảm họa xảy ra, chúng ta sẽ
khắc phục hệ thống và nếu không thể khắc phục được, hãy khôi phục dữ liệu và
cài đặt lại Windows từ các đĩa cài đặt. Quá trình này sẽ mất rất nhiều thời
gian và bạn sẽ bị rủi ro mất dữ liệu. Một kế hoạch phản ứng với việc khôi phục
thảm họa sẽ gồm có nhiều cách bảo vệ dữ liệu của bạn và cung cấp nhiều tùy chọn
để có thể khôi phục nhanh:
·
Cài đặt Windows 7, các ứng dụng, các tập công cụ và làm vững
chắc hệ thống
·
Tạo một backup hệ thống (imaging, ảo hóa, tạo điểm khôi
phục,...)
·
Chuẩn bị giải pháp để backup và khôi phục dữ liệu tập trung
·
Triển khai sử dụng, đợi sự việc hoặc thảm họa
·
Khi sự việc xảy ra, tìm nguyên nhân gốc và sửa chữa nó
·
Một thảm họa sẽ làm cho hệ thống vượt xa khả năng sửa chữa cũng
như rơi vào trạng thái ngừng sản xuất
·
Khôi phục nhanh hệ điều hành cơ bản với các ứng dụng, nâng cấp
thông qua việc imaging hoặc ảo hóa
·
Áp dụng lại dữ liệu (PST,...) thông qua kho lưu trữ dữ liệu tập
trung và bản đồ hóa ổ đĩa.
·
Người dùng hệ thống quay trở lại làm việc nhanh chóng mà không
bị mất các dữ liệu quan trọng.
Tất cả hệ thống sẽ chắc chắn có một số
dạng lỗi dù bạn có chuẩn bị kỹ càng thế nào đi chăng nữa. Lỗi ổ đĩa, lỗi ứng
dụng, lỗi bảo mật,... Vì vậy, trong kế hoạch bảo mật của mình, bạn nên xem xét
đến những thứ này và cho phép bạn có cơ hội để khôi phục lại. Bạn cũng cần xem
xét cách sẽ khôi phục khi xảy ra vấn đề với hệ thống như thế nào. Windows 7
cung cấp rất nhiều tùy chọn để đưa dữ liệu của bạn trở lại và hoạt động nhanh
chóng khi có sự kiện thảm họa xảy ra.
Nếu cần sửa các file hệ thống, hoặc khôi
phục lại một copy trước của hệ điều hành, bạn có thể thực hiện dễ dàng với
Windows 7. Windows 7 cung cấp nhiều công cụ trợ giúp bạn bảo vệ và backup dữ
liệu cá nhân của mình, cũng như bản thân hệ điều hành. Việc sử dụng các công cụ
chẳng hạn như ERD, ASR, Backup and Restore, System Restore, Recovery Console,
Safe Mode, Last Known Good Installation và các tùy chọn khác đã giúp các quản
trị viên và người dùng có thể lái thảm họa từ phát hành XP. Nhiều người trong
số chúng tôi đã sử dụng một số công cụ Sysinternal để vực lại hệ thống và chạy
sau khi gặp phải các lỗi nghiêm trọng (BSOD).
Backup and Restore sẽ kèm luôn Data Backup. Backup hệ thống bản thân nó được thực hiện với System Restore (hình 1), ở đây bạn có thể cấu hình điểm khôi phục hệ điều hành để sử dụng về sau.
Backup and Restore sẽ kèm luôn Data Backup. Backup hệ thống bản thân nó được thực hiện với System Restore (hình 1), ở đây bạn có thể cấu hình điểm khôi phục hệ điều hành để sử dụng về sau.
Hình 1: Sử dụng System Restore để tạo điểm khôi phục
Lưu ý: System Restore được sử dụng để tạo
snapshot cho hệ thống, snapshot này sau đó sẽ được lưu vào ổ cứng. Nếu muốn
quay trở lại điểm khôi phục đó, bạn cần có khả năng sử dụng System Restore lần
nữa. Nếu System Restore bị thỏa hiệp; bạn sẽ không thể sử dụng điểm khôi phục
và cần dựa vào việc imaging, hoặc cài đặt lại.
Cũng có thể dựa vào các công cụ imaging
để cài đặt lại nhanh chóng hệ điều hành hiện không thể sửa chữa được. Việc cài
đặt các desktop Windows từ đống đổ nát là một tiến trình khá dài, đặc biệt nếu
bạn đang chạy hệ thống chẳng hạn như XP. Có rất nhiều các hot fix, nâng cấp và
các gói dịch vụ cần được sử dụng, cũng như các nâng cấp cho các ứng dụng giống
như Microsoft Office. Một cách để fix thời gian cần thiết để khôi phục hệ thống
không thể hoạt động do virus gây ra là cần có một image. Nếu System Restore
hoặc các công cụ khác không thể làm cho hệ thống của bạn hoạt động trở lại, bạn
cần sử dụng một copy Windows mới, tuy nhiên không sử dụng các hot fix và các
nâng cấp lúc này – vì bạn có thể lại trở thành nạn nhân của cùng vấn đề đã gây
cho hệ thống của bạn bị lỗi lúc trước.
Dữ liệu là thứ quan trọng nhất mà bất cứ
ai cũng phải quan tâm đến nó. Dữ liệu cá nhân (hoặc công ty) cần được cung cấp
sẵn ở mọi thời điểm và không bao giờ bị mất. Trong môi trường doanh nghiệp, dữ
liệu thường được backup, được cất giữ cẩn thận và sẽ được mang ra để khôi phục
nếu thảm họa xảy ra. Trong gia đình, cách thức như vậy cũng nên được thực hiện.
Bạn có hoặc không muốn tạo một copy offsite cho dữ liệu của mình, nhưng việc
backup để có thể khôi phục lại sau này nếu cần là thứ đầu tiên mà bạn cần xem
xét thậm chí trước khi nghĩ về cách khôi phục Windows 7 trong tình trạng khẩn
cấp như thế nào. Phương án thiết kế đúng nên làm là giữ một copy dữ liệu cá
nhân của bạn trong một ổ cứng ngoài. Được kết nối thông qua USB (hoặc
FireWire), dữ liệu của bạn có thể được truy cập bất cứ lúc nào. Bạn cũng có thể
mirror copy vào ổ cứng thứ hai, hoặc thậm chí sử dụng giải pháp băng từ trong
nhà để bảo vệ dữ liệu an toàn hơn. Nếu đang điều hành một doanh nghiệp của gia
đình, bạn có thể sẽ muốn bổ sung thêm sự an toàn cho dữ liệu để phòng khi
trường hợp có vấn đề gì đó xảy ra với gia đình thì doanh nghiệp của bạn vẫn
không bị ảnh hưởng bởi nó. Vì vậy, nhìn chung – bạn cần phải có sự chuẩn bị.
Cách tốt nhất để khôi phục khi gặp phải trường hợp lỗi dữ liệu hoặc xóa vô tình
là backup dữ liệu của bạn để giữ an toàn.
Việc sử dụng các giải pháp tập trung là
chìa khóa để làm cho những dữ liệu quan trọng của bạn có được khả năng có sẵn
cao và an toàn. Cho ví dụ, nếu lưu tất cả dữ liệu của mình trên một ổ cứng bên
trong và không bao giờ backup nó, khi đó bạn sẽ phải đối mặt với những rủi ro
mất dữ liệu do ổ cứng bị lỗi và không thể sửa chữa. Một giải pháp đơn giản là
sử dụng các tùy chọn backup ở mức tối thiểu, copy nó vào một ổ cứng ngoài. Tất
cả các ổ cứng đều có thể bị lỗi vì vậy cho tới khi có công nghệ mới hơn bắt kịp
được công nghệ đã triển khai, chúng ta sẽ thấy các máy tính gia đình và các
mảng doanh nghiệp được lấp đầy các ổ đĩa đang chờ đợi lỗi xảy ra bất cứ lúc
nào. Bạn phải backup dữ liệu hoặc phải gánh chịu hậu quả để mất nó. Khi đã chỉ
ra vấn đề đó, tất cả những gì bạn cần thực hiện là tìm ra cách khôi phục nhanh
Windows với cố gắng và thời gian tối thiểu.
Mẹo: Tốt nhất luôn lên kế hoạch cho kịch bản
tồi tệ nhất. Nếu bạn cho rằng hệ thống của mình rốt cuộc sẽ bị đổ vỡ và không
thể sửa chữa, việc có một backup tốt cho hệ thống và dữ liệu sẽ là hy vọng cứu
cánh cho bạn. Nói ngắn gọn, kế hoạch bảo mật và ngăn chặn thậm chí dù có được
thực hiện một cách hoàn hảo thì vẫn không thể gọi là an toàn 100%, vì vậy luôn
có kế hoạch để sử dụng lại Windows 7 nếu bạn cần.
Có thể thiết lập một kế hoạch khôi phục
thảm họa cho hệ điều hành của mình rất dễ dàng bằng việc ảo hóa. Bạn có thể
download và cài đặt Virtual PC, hoặc Hyper-V của Microsoft. Hyper-V cung cấp
một nền tảng cho phép bạn có thể tạo, quản lý và kiểm tra các máy ảo (VM). Nếu
đang chạy Windows 7 tại nhà, bạn vẫn có thể ảo hóa hệ thống hoặc tài nguyên của
mình và lợi dụng các ưu điểm của nó bên trong Virtual PC (ví dụ như vậy). Bằng
cách này, nếu muốn tạo một VM làm backup, bạn hoàn toàn có thể. Một mẹo hữu ích
mà bạn có thể áp dụng tại nhà là những gì các doanh nghiệp đang triển khai để
thay đổi cách họ quản lý phần mềm và triển khai hệ thống. Việc sử dụng ảo hóa
(Virtual PC/Server or Hyper-V) sẽ mang đến cho bạn nhiều cơ hội để có thể thay
đổi nhanh cách bạn làm việc ở nhà. Nếu sử dụng VHD (một virtual hard drive
file), bạn sẽ luôn có một copy cho hệ thống của mình. Có thể sử dụng Disk
Management để tạo một VHD của Windows 7 như những gì thể hiện trong hình 2.
Hình 2: Tạo ổ ảo bằng Disk Management
Nếu trong doanh nghiệp, các hệ thống và
tài nguyên có thể được ảo hóa và dữ liệu có thể có sẵn cao trong thiết bị
Storage Area Network (SAN) hoặc Network Attached Storage (NAS) thì điều này sẽ
giải quyết các vấn đề có liên quan tới thời gian khôi phục thảm họa xảy ra. Nếu
tất cả các file được sử dụng bởi máy khách mà người dùng có thể tìm thấy thông
qua ổ đĩa được mapping với máy chủ file thì về cơ bản tất cả những gì bạn cần
thực hiện lúc đó là đợi cho lỗi phần cứng hệ thống xảy ra và đưa hệ thống hoạt
động trở lại trên các máy tính mới. Hầu hết môi trường công ty với các hệ thống
tối tân đều có thêm phần cứng dự phòng. Nếu thiết kế và sử dụng các khái niệm
máy chủ dự phòng và sử dụng sự ảo hóa để cân bằng thì bạn có thể nhanh chóng
khắc phục được sự cố, bên trong đơn vị tính là giây, người dùng có thể backup
và chạy mà không mất nhịp làm việc của mình.
Nói tóm lại, luôn backup dữ liệu của bạn
và bảo vệ hệ thống. Làm vững chắc nó tốt nhất với khả năng của bạn, tuy nhiên
cũng cần cho phép bạn có được khả năng backup và hoạt động trở lại mà không tốn
nhiều thời gian vào việc cài đặt phần mềm, driver và cấu hình lại hệ thống.
Lưu ý:
Kết hợp chặt chẽ với vấn đề an toàn chịu lửa, hoặc giải pháp backup offsite cho
dữ liệu để đề phòng những thảm họa về môi trường.
Các tính năng bảo mật nâng cao
Windows 7 có nhiều tính năng bảo mật
nâng cao mà bạn có thể sử dụng, chẳng hạn như các tùy chọn mã hóa và sinh trắc
học. Truyền thông an toàn qua các kết nối không an toàn phải được bảo đảm. Điều
khiển truy cập, khai thác các thông tin đã thu thập được là thứ mà bạn cần lên
kế hoạch khi triển khai Windows 7, vì các thảm họa có thể xuất hiện và dữ liệu
cũng vì thế mà có thể mất bất cứ lúc nào. Tồi tệ hơn, vì các công việc di động
và laptop được sử dụng cho mục đích cá nhân, bảo mật bị nguy hiểm khi người
dùng mất laptop của họ, để quên nó ở đâu đó hoặc có thể bị mất cắp. Nếu USB
được sử dụng và bị mất, dữ liệu của bạn sẽ được duy trì an toàn như thế nào? Để
chuẩn bị cho những vấn đề này, bạn có thể triển khai các tính năng bảo mật dưới
đây với Windows 7:
Sinh trắc học – Các vấn đề về sinh trắc học được sử
dụng để điều khiển sự truy cập. Hầu hết các hệ thống (đặc biệt là dòng
IBM/Lenovo ThinkPad) đã giới thiệu tính năng nhận dạng dấu vân tay. Cải tiến về
kỹ thuật này có thể được sử dụng cho bất cứ hệ thống nào, từ các thiết bị gia
đình, doanh nghiệp, hoặc ở đâu đó. Các thư viện công cộng sẽ từ bỏ việc sử dụng
thẻ thư viện và thay vào đó là một máy quét võng mạc. Các ứng dụng điều khiển
cha mẹ cho trẻ con tại nhà và các chức năng cá nhân sẽ được thực hiện dưới dạng
ID sinh trắc học. Windows 7 đã sẵn sàng cho tất cả vấn đề đó. Microsoft đã làm
việc cụ thể với các chuyên gia phát triển về nhận dạng vân tay và các hãng phần
cứng để bảo đảm rằng Windows 7 sẵn sàng có thể thực hiện những gì mà nó hứa
hẹn. Quản lý sự nhận dạng là một vấn đề quan trọng cần xem xét khi áp dụng bảo
mật.
Tính năng Trusted Platform Module (TPM)
Management của Microsoft chỉ có sẵn trên phần cứng đồng thuận TPM. Khi đồng
thuận, Windows Vista/7 và Windows Server 2008 có thể sử dụng các tính năng và
các chức năng bảo mật nâng cao. Trusted Platform Module (TPM) Management của
Microsoft là một tính năng mới có trong Windows Vista/7 và Microsoft Windows
Server 2008. Chức năng cơ bản của nó là cho phép các hệ thống Windows có thể sử
dụng quá trình nâng cao và các chức năng mã hóa ở mức phần cứng. Như được đề
cập ở trên trong bài này, một trong số các tính năng này yêu cầu phần cứng (có
khả năng tương thích) khá cao. Nếu bạn muốn sử dụng một tính năng nào đó và
thấy nó ở trạng thái không tích cực hoặc không thể sử dụng, rất có thể nguyên
nhân là phần cứng của bạn không đồng thuận với tính năng này, hoặc có thể bạn
đang sử dụng sai phiên bản Windows 7 và tính năng đó không có trong phiên bản
của bạn.
Mẹo:
TPM có thể được cấu hình và quản lý thông qua các thành phần BIOS và MMC snap-in
mà chúng tôi đã cài đặt ở trên.
Bạn cũng có thể kết nối an toàn đến các
tài nguyên từ xa với Windows 7 bằng cách cấu hình các kết nối IPsec/VPN.
Virtual Private Network (VPN) là một thuật ngữ được sử dụng để mô tả hình thức
bảo mật được áp dụng nhằm giữ cho bạn được an toàn trước các tấn công. Bạn sẽ
vẫn thực hiện kết nối qua một mạng công cộng không an toàn, tuy nhiên do đường
hầm mã hóa được sử dụng nên dữ liệu của bạn sẽ được riêng tư và an toàn. Có thể
tạo một kết nối VPN mới nhanh chóng bằng cách vào menu Start, đánh VPN và theo
liên kết Control Panel để tạo kết nối VPN mới như thể hiện trong hình 3.
Hình 3: Cấu hình kết nối VPN
Bạn có thể tạo các kết nối với các hệ
thống khác bằng cách sử dụng các giao thức nâng cao có cung cấp mức bảo mật
thông qua các thuật toán mã hóa. Vấn đề này thường yêu cầu một bộ vi xử lý có
khả năng cung cấp tùy chọn mã hóa phần cứng. Các VPN có thể được sử dụng để tạo
các kết nối an toàn cho các hệ thống khác nhau.
Lưu ý:
Nếu quản lý các hệ thống Microsoft từ xa, bạn có thể sử dụng Remote Desktop
Connection (RDC). Nếu sử dụng Telnet làm công cụ kết nối từ xa cho các hệ thống
Unix và các thiết bị mạng Cisco (ví dụ như vậy) thì bạn nên xem xét việc vô
hiệu hóa dịch vụ này (bị vô hiệu hóa mặc định) và sử dụng Secure Shell (SSH).
Bạn cũng có thể tạo các kết nối đường
hầm có thể quản lý với giao thức IPsec và quản lý chúng với giao diện quản lý
MMC hoặc Windows Firewall. Thậm chí còn có các tính năng bên trong giao diện
này cho phép bạn có thể quản lý và khắc phục sự cố các kết nối IPsec như các
khóa bị lỗi kiểu, các vấn đề security association (SA), các vấn đề đối với tập
mã hóa, thiết lập thời gian cũng như các vấn đề cấu hình ISAKMP khác. Những vấn
đề này cũng có thể được quản lý trong Windows Firewall, Advanced Features.
Khi các tùy chọn điều khiển truy cập và
khôi phục được chọn và bạn có thể kết nối một cách an toàn đến các tài nguyên
mạng thông qua các đường hầm mã hóa, điều gì sẽ xảy ra nếu bạn muốn chia sẻ tài
nguyên một cách an toàn qua mạng công ty hoặc gia đình? Windows 7 cung cấp một
chức năng mới mang tên HomeGroup, chức năng có trong Control Panel. Bạn có thể
cấu hình nó để tạo các thay đổi với hệ thống nhằm kết nối các máy tính khác
trên mạng gia đình an toàn để chia sẻ tài nguyên như thể hiện trong hình 4 bên
dưới.
Hình 4: Cấu hình Windows 7 HomeGroup
Windows 7 có thể được cấu hình để chia
sẻ tài nguyên với các hệ thống khác trên mạng gia đình của bạn một cách an
toàn. HomeGroup có thể cung cấp mức bảo mật cơ bản cho việc truy cập, sử dụng
và chia sẻ dữ liệu. Cho ví dụ, nếu bạn cấu hình hai máy tính trên một mạng gia
đình và một trong số chúng sử dụng máy in cục bộ, HomeGroup sẽ cho phép bạn
chia sẻ máy in đó với tư cách tài nguyên để tất cả các hệ thống đều có thể sử
dụng nó. Bạn cũng có thể đặt mật khẩu để bảo vệ nó và chỉ định những ai có thể
sử dụng và những ai không. Với Windows 7, cách thức này thay thế cho việc phải
sử dụng chức năng Workgroup. Mặc dù vậy không phải tất cả các phiên bản Windows
7 đều cho phép bạn tạo một HomeGroup. Các phiên bản Windows 7 đều có thể gia
nhập một HomeGroup, tuy nhiên chỉ có thể tạo một HomeGroup trong các phiên bản
Home Premium, Professional, hoặc Ultimate.
Rõ ràng, Windows 7 sẽ an toàn nhất khi
sử dụng nó với Windows Server 2008 trong môi trường Active Directory. Chạy hệ
điều hành lớp doanh nghiệp sẽ mở toanh cánh cửa cho các tính năng kiểm tra và
khóa chặn đầy đủ nhất. Cho ví dụ, việc lướt web có thể được điều khiển và được
kiểm tra với Active Directory, Group Policy, đặc biệt các template khóa chặn,
các bộ kit cũng như các công cụ như proxy server. Người dùng có thể đăng nhập
vào miền (Domain) và có thể được quản lý và kiểm tra hoàn toàn. Bất cứ thứ gì
người dùng thực hiện cũng đều có thể được ghi chép lại. Bất cứ công cụ hoặc
dịch vụ mà Windows cung cấp cũng đều có thể tùy chỉnh, thay đổi hoặc remove
hoàn toàn.
Với các sản phẩm Forefront, mọi khía
cạnh sử dụng máy tính, thẩm định nhận dạng, ghi chép và kiểm tra đều có sẵn và
được quản lý trong một giao diện tập trung. Bạn có thể nâng Windows Server lên
mức cao hơn nữa bằng cách tích hợp với Forefront. Forefront là một dòng sản
phẩm mới của Microsoft, có thể cung cấp một trải nghiệm bảo mật hoàn chỉnh cho
doanh nghiệp. Nó cung cấp các tính năng cho máy chủ, desktop, điều khiển truy
cập và các giải pháp cá nhân cho SharePoint và nhiều thành phần khác. Khi chạy
máy khách Windows trong môi trường doanh nghiệp, giải pháp này có thể cung cấp
khả năng tinh chỉnh các thiết lập bảo mật cũng như nhiều tùy chọn cho việc quản
lý và kiểm tra tập trung.
Trong một số trường hợp, bạn có thể phải
chạy Active Directory. Cho ví dụ, điều gì sẽ xảy với bạn nếu chính sách bắt
phải thẩm định tất cả các truy cập vào tài nguyên công ty và giữ lại một copy
tất cả các email nhân viên? Khi làm việc trong doanh nghiệp, bạn chắc chắn sẽ
gặp phải việc thẩm định – đặc biệt nếu làm việc trong công ty thương mại. Dữ
liệu “phải” được bảo vệ và có thể khôi phục lại. Các mức bảo mật ở mức nào đó
phải được đặt ra và điều này được thực hiện với luật pháp của chính phủ.
Trong doanh nghiệp, bạn sẽ có khả năng
bảo mật hơn cho các máy trạm hoặc desktop bằng cách sử dụng dịch vụ thư mục
Active Directory (AD DS), model miền, Group Policy và các công cụ khác để tập
trung và điều khiển các chức năng bảo mật. Kerberos được nâng mức để giữ tất cả
các phiên giao dịch được an toàn thông qua thẻ. Điều này sẽ tạo một nền tảng an
toàn cho những gì được xây dựng bên trên nó. Nếu bạn xây dựng trên nền tảng đó,
khả năng áp dụng được các mức điều khiển nâng cao sẽ không dừng lại ở đây.
Windows 7 có thể được quản lý như một
máy khách và khi thực hiện điều đó trong một mô hình miền, Active Directory sẽ
cung cấp bảo mật bằng việc tích hợp tất cả các dịch vụ, khả năng điều khiển
truy cập vào nó và đi cùng là nhiều tùy chọn cho các chiến lược triển khai bảo
mật, chẳng hạn như chỉ cài đặt thành phần “lõi” của những gì được cho là cần thiết
nhằm hạn chế bề mặt tấn công ở mức thấp nhất, hoặc cài đặt và cấu hình, bổ sung
thêm các dịch vụ, tất cả thông qua các tùy chọn và toolkit. Thêm vào đó, Group
Policy khi được áp dụng đúng cách có thể giúp bạn triển khai nhiều tính năng
chúng ta đã thảo luận, cho ví dụ, bạn có thể tích hợp BitLocker và AD và sau đó
triển khai cùng một chính sách. Bạn có thể kiểm soát Internet Explorer cũng như
hạn chế sự truy cập, khóa toàn bộ nó với các danh sách các site malware được
cấu hình và các mạng được liệt vào danh sách đen.
Bạn cũng có thể triển khai các tính năng
bảo mật nâng cao của Windows 7 để thắt chặt sự bảo mật hơn nữa, chẳng hạn như:
Advanced DNS Security – Extension Domain Name System Security
(DNSSec) hỗ trợ với Windows 7 sẽ mang đến cho bạn một mức bảo mật mới cho việc
phân định tên. Do DNS rất quan trọng và là phần xương sống của hầu hết các giải
pháp, nên nó cũng là mục tiêu của nhiều tấn công. RFC 4033, 4034 và 4035 liệt
ra các chuẩn mới cho việc lưu trữ bảo mật DNS và Microsoft đã biên dịch với Windows
7.
DirectAccess – DirectAccess là một tính năng của
Windows 7 cho phép làm việc khi lưu động và khả năng làm việc từ xa qua
Internet mà không cần sử dụng kỹ thuật VPN. DirectAccess được thắt chặt với tài
nguyên doanh nghiệp để cho phép bạn truy cập chúng từ xa một cách an toàn. Nó
cũng cho phép người dùng lưu động có khả năng nhận sự hỗ trợ từ xa từ các nhân
viên CNTT. Ngoài ra DirectAccess còn cho phép bạn quản lý các máy tính từ xa và
nâng cấp chúng thông qua Group Policy. Nó cũng sử dụng IPv6 trên IPsec để mã
hóa lưu lượng qua Internet công cộng.
AppLocker – Khi làm việc với Local Security Policy
Editor (hoặc Group Policy), bạn có thể cấu hình AppLocker, một tính năng trong
Windows 7 có thể điều khiển các ứng dụng đã được cài đặt của bạn. Khi cấu hình,
bạn có thể khóa chặn, hạn chế, điều khiển các ứng dụng desktop. Nó thực hiện
các công việc đó qua một tập các rule. Bạn có thể cấu hình các rule để điều
khiển ứng dụng, cách các nâng cấp được quản lý và,... Hình 5 thể hiện bộ Local
Security Policy editor trong Windows 7, nơi bạn có thể cấu hình bảo mật ứng
dụng với AppLocker.
Hình 5: Sử dụng AppLocker để bảo mật các ứng dụng
Cuối cùng, luôn xem xét đến mạng của
bạn. Các hệ thống không dây là các hệ thống rất dễ bị xâm phạm. Các router,
switch và các thiết bị quản lý khác trong mạng đều rất dễ bị tấn công nếu không
làm vững chắc tốt. Đó là lý do tại sao khái niệm Defense in Depth lại quan
trọng đến vậy – bạn cần khám phá các điểm đầu vào và các vùng có thể bị khai
thác.
Mẹo: Với Windows Server 2008 R2 và các sản
phẩm của bên thứ ba như Cisco Systems, bạn có thể triển khai NAP/NAC để bảo mật
và thực thi chính sách điều khiển truy cập. Với Microsoft, cơ sở hạ tầng
Network Access Protection (NAP) gồm có các máy khách NAP và các máy chủ Health
Registration Authority (HRA) và có thể được điều khiển tốt hơn thông qua
Network Policy Server (NPS). NAP sẽ điều khiển truy cập máy khách thông qua một
chính sách đồng thuận được cấu hình trước. Nếu máy khách không có đủ các yêu
cầu cần thiết, nó sẽ bị yêu cầu nhập vào đầy đủ các yêu cầu đó. Nó cũng có thể
được cấu hình để khóa hoặc từ chối sự truy cập. Cisco sử dụng kỹ thuật tương tự
như vậy mang tên Network Admission Control (NAC). Khi sử dụng cùng trong các
môi trường Microsoft/Cisco, bạn có thể tạo mức bảo mật và kiểm soát cao.
Kết luận
Hệ thống Windows 7 tại nhà có thể được
khóa chặn và quản lý dễ dàng. Thậm chí còn có thể cấu hình một cách an toàn để
có thể truy cập Internet từ một vị trí từ xa nếu bạn rời nhà mà vẫn để máy tính
ở trạng thái tích cực. Windows 7 có thể được bảo vệ để “đạn bắn không thủng”
nếu bạn thực sự muốn làm vững chắc nó ở mức khóa chặn toàn bộ. Tuy nhiên nó
cũng có thể trở thành đối tượng tấn công nếu bạn sử dụng máy tính trên
Internet. Do đó chúng ta cần lên kế hoạch cho những gì có thể xảy ra và làm
vững chắc Windows 7 theo đó.
Khi xem xét việc sử dụng Windows 7, với
tình hình các tấn công, các khai thác hiện nay ngày một nhiều và tinh vi, các
tùy chọn bảo mật và khả năng linh hoạt là sự ưu tiên hàng dầu trong việc tạo
quyết định. Windows 7 quả thực an toàn, tuy nhiên không thể 100%. Bạn phải sử
dụng kiến thức, các công cụ và các cấu hình nâng cao để bảo mật tất cả các khía
cạnh của nó và sau đó nâng cấp và kiểm tra chúng một cách thường xuyên. Tất cả
những công việc đó rất đáng giá nếu bạn tránh được tấn công. Bên cạnh đó
Windows 7 còn có nhiều cải tiến về bảo mật và có thể được cấu hình để khôi phục
một cách nhanh chóng.
Thêm vào các nguyên lý bảo mật cơ bản,
chẳng hạn như Defense in Depth cần phải được áp dụng kết hợp với các hướng dẫn
bảo mật khác và các biện pháp bảo mật tốt nhất để không chỉ áp dụng bảo mật
trong bảo vệ mà còn làm gia cố thêm nhiều lớp bảo mật khác cho việc phòng chống.
Đây chỉ là kiến thức cơ bản nhất
No comments