Các tính năng bảo mật nâng cao
Windows 7 có nhiều tính năng bảo mật nâng cao mà bạn có thể sử dụng, chẳng hạn như các tùy chọn mã hóa và sinh trắc học. Truyền thông an toàn qua các kết nối không an toàn phải được bảo đảm. Điều khiển truy cập, khai thác các thông tin đã thu thập được là thứ mà bạn cần lên kế hoạch khi triển khai Windows 7, vì các thảm họa có thể xuất hiện và dữ liệu cũng vì thế mà có thể mất bất cứ lúc nào.
>> Hướng dẫn toàn diện về bảo mật Windows 7 – Phần 7>> Hướng dẫn toàn diện về bảo mật Windows 7 – Phần 6
>> Hướng dẫn toàn diện về bảo mật Windows 7 – Phần 5
>> Hướng dẫn toàn diện về bảo mật Windows 7 – Phần 4
>> Hướng dẫn toàn diện về bảo mật Windows 7 – Phần 3
>> Hướng dẫn toàn diện về bảo mật Windows 7 – Phần 2
>> Hướng dẫn toàn diện về bảo mật Windows 7 – Phần 1
Tồi tệ hơn, vì các công việc di động và laptop được sử dụng cho mục đích cá nhân, bảo mật bị nguy hiểm khi người dùng mất laptop của họ, để quên nó ở đâu đó hoặc có thể bị mất cắp. Nếu USB được sử dụng và bị mất, dữ liệu của bạn sẽ được duy trì an toàn như thế nào? Để chuẩn bị cho những vấn đề này, bạn có thể triển khai các tính năng bảo mật dưới đây với Windows 7:
Sinh trắc học – Các vấn đề về sinh trắc học được sử dụng để điều khiển sự truy cập. Hầu hết các hệ thống (đặc biệt là dòng IBM/Lenovo ThinkPad) đã giới thiệu tính năng nhận dạng dấu vân tay. Cải tiến về kỹ thuật này có thể được sử dụng cho bất cứ hệ thống nào, từ các thiết bị gia đình, doanh nghiệp, hoặc ở đâu đó. Các thư viện công cộng sẽ từ bỏ việc sử dụng thẻ thư viện và thay vào đó là một máy quét võng mạc. Các ứng dụng điều khiển cha mẹ cho trẻ con tại nhà và các chức năng cá nhân sẽ được thực hiện dưới dạng ID sinh trắc học. Windows 7 đã sẵn sàng cho tất cả vấn đề đó. Microsoft đã làm việc cụ thể với các chuyên gia phát triển về nhận dạng vân tay và các hãng phần cứng để bảo đảm rằng Windows 7 sẵn sàng có thể thực hiện những gì mà nó hứa hẹn. Quản lý sự nhận dạng là một vấn đề quan trọng cần xem xét khi áp dụng bảo mật.
BitLocker Drive Encryption (BDE) – BitLocker (và BitLocker to Go), được sử dụng để cung cấp vấn đề bảo mật dữ liệu chứa trong csc hệ thống ổ đĩa ngoài và trong. Với Windows 7, bạn có thể sử dụng cả hai phiên bản BitLocker để bảo mật dữ liệu trên các ổ cứng trong, các ổ ngoài, ổ USB và các định dạng lưu trữ di động khác. BDE có thể bảo vệ dữ liệu được lưu trên các ổ này bằng cách yêu cầu các chứng chỉ truy cập nó và cũng sử dụng TPM.
Tính năng Trusted Platform Module (TPM) Management của Microsoft chỉ có sẵn trên phần cứng đồng thuận TPM. Khi đồng thuận, Windows Vista/7 và Windows Server 2008 có thể sử dụng các tính năng và các chức năng bảo mật nâng cao. Trusted Platform Module (TPM) Management của Microsoft là một tính năng mới có trong Windows Vista/7 và Microsoft Windows Server 2008. Chức năng cơ bản của nó là cho phép các hệ thống Windows có thể sử dụng quá trình nâng cao và các chức năng mã hóa ở mức phần cứng. Như được đề cập ở trên trong bài này, một trong số các tính năng này yêu cầu phần cứng (có khả năng tương thích) khá cao. Nếu bạn muốn sử dụng một tính năng nào đó và thấy nó ở trạng thái không tích cực hoặc không thể sử dụng, rất có thể nguyên nhân là phần cứng của bạn không đồng thuận với tính năng này, hoặc có thể bạn đang sử dụng sai phiên bản Windows 7 và tính năng đó không có trong phiên bản của bạn.
Mẹo: TPM có thể được cấu hình và quản lý thông qua các thành phần BIOS và MMC snap-in mà chúng tôi đã cài đặt ở trên.
Bạn cũng có thể kết nối an toàn đến các tài nguyên từ xa với Windows 7 bằng cách cấu hình các kết nối IPsec/VPN. Virtual Private Network (VPN) là một thuật ngữ được sử dụng để mô tả hình thức bảo mật được áp dụng nhằm giữ cho bạn được an toàn trước các tấn công. Bạn sẽ vẫn thực hiện kết nối qua một mạng công cộng không an toàn, tuy nhiên do đường hầm mã hóa được sử dụng nên dữ liệu của bạn sẽ được riêng tư và an toàn. Có thể tạo một kết nối VPN mới nhanh chóng bằng cách vào menu Start, đánh VPN và theo liên kết Control Panel để tạo kết nối VPN mới như thể hiện trong hình 3.
Hình 3: Cấu hình kết nối VPN
Bạn có thể tạo các kết nối với các hệ thống khác bằng cách sử dụng các giao thức nâng cao có cung cấp mức bảo mật thông qua các thuật toán mã hóa. Vấn đề này thường yêu cầu một bộ vi xử lý có khả năng cung cấp tùy chọn mã hóa phần cứng. Các VPN có thể được sử dụng để tạo các kết nối an toàn cho các hệ thống khác nhau.
Lưu ý: Nếu quản lý các hệ thống Microsoft từ xa, bạn có thể sử dụng Remote Desktop Connection (RDC). Nếu sử dụng Telnet làm công cụ kết nối từ xa cho các hệ thống Unix và các thiết bị mạng Cisco (ví dụ như vậy) thì bạn nên xem xét việc vô hiệu hóa dịch vụ này (bị vô hiệu hóa mặc định) và sử dụng Secure Shell (SSH).
Bạn cũng có thể tạo các kết nối đường hầm có thể quản lý với giao thức IPsec và quản lý chúng với giao diện quản lý MMC hoặc Windows Firewall. Thậm chí còn có các tính năng bên trong giao diện này cho phép bạn có thể quản lý và khắc phục sự cố các kết nối IPsec như các khóa bị lỗi kiểu, các vấn đề security association (SA), các vấn đề đối với tập mã hóa, thiết lập thời gian cũng như các vấn đề cấu hình ISAKMP khác. Những vấn đề này cũng có thể được quản lý trong Windows Firewall, Advanced Features.
Khi các tùy chọn điều khiển truy cập và khôi phục được chọn và bạn có thể kết nối một cách an toàn đến các tài nguyên mạng thông qua các đường hầm mã hóa, điều gì sẽ xảy ra nếu bạn muốn chia sẻ tài nguyên một cách an toàn qua mạng công ty hoặc gia đình? Windows 7 cung cấp một chức năng mới mang tên HomeGroup, chức năng có trong Control Panel. Bạn có thể cấu hình nó để tạo các thay đổi với hệ thống nhằm kết nối các máy tính khác trên mạng gia đình an toàn để chia sẻ tài nguyên như thể hiện trong hình 4 bên dưới.
Hình 4: Cấu hình Windows 7 HomeGroup
Windows 7 có thể được cấu hình để chia sẻ tài nguyên với các hệ thống khác trên mạng gia đình của bạn một cách an toàn. HomeGroup có thể cung cấp mức bảo mật cơ bản cho việc truy cập, sử dụng và chia sẻ dữ liệu. Cho ví dụ, nếu bạn cấu hình hai máy tính trên một mạng gia đình và một trong số chúng sử dụng máy in cục bộ, HomeGroup sẽ cho phép bạn chia sẻ máy in đó với tư cách tài nguyên để tất cả các hệ thống đều có thể sử dụng nó. Bạn cũng có thể đặt mật khẩu để bảo vệ nó và chỉ định những ai có thể sử dụng và những ai không. Với Windows 7, cách thức này thay thế cho việc phải sử dụng chức năng Workgroup. Mặc dù vậy không phải tất cả các phiên bản Windows 7 đều cho phép bạn tạo một HomeGroup. Các phiên bản Windows 7 đều có thể gia nhập một HomeGroup, tuy nhiên chỉ có thể tạo một HomeGroup trong các phiên bản Home Premium, Professional, hoặc Ultimate.
Rõ ràng, Windows 7 sẽ an toàn nhất khi sử dụng nó với Windows Server 2008 trong môi trường Active Directory. Chạy hệ điều hành lớp doanh nghiệp sẽ mở toanh cánh cửa cho các tính năng kiểm tra và khóa chặn đầy đủ nhất. Cho ví dụ, việc lướt web có thể được điều khiển và được kiểm tra với Active Directory, Group Policy, đặc biệt các template khóa chặn, các bộ kit cũng như các công cụ như proxy server. Người dùng có thể đăng nhập vào miền (Domain) và có thể được quản lý và kiểm tra hoàn toàn. Bất cứ thứ gì người dùng thực hiện cũng đều có thể được ghi chép lại. Bất cứ công cụ hoặc dịch vụ mà Windows cung cấp cũng đều có thể tùy chỉnh, thay đổi hoặc remove hoàn toàn.
Với các sản phẩm Forefront, mọi khía cạnh sử dụng máy tính, thẩm định nhận dạng, ghi chép và kiểm tra đều có sẵn và được quản lý trong một giao diện tập trung. Bạn có thể nâng Windows Server lên mức cao hơn nữa bằng cách tích hợp với Forefront. Forefront là một dòng sản phẩm mới của Microsoft, có thể cung cấp một trải nghiệm bảo mật hoàn chỉnh cho doanh nghiệp. Nó cung cấp các tính năng cho máy chủ, desktop, điều khiển truy cập và các giải pháp cá nhân cho SharePoint và nhiều thành phần khác. Khi chạy máy khách Windows trong môi trường doanh nghiệp, giải pháp này có thể cung cấp khả năng tinh chỉnh các thiết lập bảo mật cũng như nhiều tùy chọn cho việc quản lý và kiểm tra tập trung.
Trong một số trường hợp, bạn có thể phải chạy Active Directory. Cho ví dụ, điều gì sẽ xảy với bạn nếu chính sách bắt phải thẩm định tất cả các truy cập vào tài nguyên công ty và giữ lại một copy tất cả các email nhân viên? Khi làm việc trong doanh nghiệp, bạn chắc chắn sẽ gặp phải việc thẩm định – đặc biệt nếu làm việc trong công ty thương mại. Dữ liệu “phải” được bảo vệ và có thể khôi phục lại. Các mức bảo mật ở mức nào đó phải được đặt ra và điều này được thực hiện với luật pháp của chính phủ.
Trong doanh nghiệp, bạn sẽ có khả năng bảo mật hơn cho các máy trạm hoặc desktop bằng cách sử dụng dịch vụ thư mục Active Directory (AD DS), model miền, Group Policy và các công cụ khác để tập trung và điều khiển các chức năng bảo mật. Kerberos được nâng mức để giữ tất cả các phiên giao dịch được an toàn thông qua thẻ. Điều này sẽ tạo một nền tảng an toàn cho những gì được xây dựng bên trên nó. Nếu bạn xây dựng trên nền tảng đó, khả năng áp dụng được các mức điều khiển nâng cao sẽ không dừng lại ở đây.
Windows 7 có thể được quản lý như một máy khách và khi thực hiện điều đó trong một mô hình miền, Active Directory sẽ cung cấp bảo mật bằng việc tích hợp tất cả các dịch vụ, khả năng điều khiển truy cập vào nó và đi cùng là nhiều tùy chọn cho các chiến lược triển khai bảo mật, chẳng hạn như chỉ cài đặt thành phần “lõi” của những gì được cho là cần thiết nhằm hạn chế bề mặt tấn công ở mức thấp nhất, hoặc cài đặt và cấu hình, bổ sung thêm các dịch vụ, tất cả thông qua các tùy chọn và toolkit. Thêm vào đó, Group Policy khi được áp dụng đúng cách có thể giúp bạn triển khai nhiều tính năng chúng ta đã thảo luận, cho ví dụ, bạn có thể tích hợp BitLocker và AD và sau đó triển khai cùng một chính sách. Bạn có thể kiểm soát Internet Explorer cũng như hạn chế sự truy cập, khóa toàn bộ nó với các danh sách các site malware được cấu hình và các mạng được liệt vào danh sách đen.
Bạn cũng có thể triển khai các tính năng bảo mật nâng cao của Windows 7 để thắt chặt sự bảo mật hơn nữa, chẳng hạn như:
Advanced DNS Security – Extension Domain Name System Security (DNSSec) hỗ trợ với Windows 7 sẽ mang đến cho bạn một mức bảo mật mới cho việc phân định tên. Do DNS rất quan trọng và là phần xương sống của hầu hết các giải pháp, nên nó cũng là mục tiêu của nhiều tấn công. RFC 4033, 4034 và 4035 liệt ra các chuẩn mới cho việc lưu trữ bảo mật DNS và Microsoft đã biên dịch với Windows 7.
DirectAccess – DirectAccess là một tính năng của Windows 7 cho phép làm việc khi lưu động và khả năng làm việc từ xa qua Internet mà không cần sử dụng kỹ thuật VPN. DirectAccess được thắt chặt với tài nguyên doanh nghiệp để cho phép bạn truy cập chúng từ xa một cách an toàn. Nó cũng cho phép người dùng lưu động có khả năng nhận sự hỗ trợ từ xa từ các nhân viên CNTT. Ngoài ra DirectAccess còn cho phép bạn quản lý các máy tính từ xa và nâng cấp chúng thông qua Group Policy. Nó cũng sử dụng IPv6 trên IPsec để mã hóa lưu lượng qua Internet công cộng.
AppLocker – Khi làm việc với Local Security Policy Editor (hoặc Group Policy), bạn có thể cấu hình AppLocker, một tính năng trong Windows 7 có thể điều khiển các ứng dụng đã được cài đặt của bạn. Khi cấu hình, bạn có thể khóa chặn, hạn chế, điều khiển các ứng dụng desktop. Nó thực hiện các công việc đó qua một tập các rule. Bạn có thể cấu hình các rule để điều khiển ứng dụng, cách các nâng cấp được quản lý và,... Hình 5 thể hiện bộ Local Security Policy editor trong Windows 7, nơi bạn có thể cấu hình bảo mật ứng dụng với AppLocker.
Hình 5: Sử dụng AppLocker để bảo mật các ứng dụng
Cuối cùng, luôn xem xét đến mạng của bạn. Các hệ thống không dây là các hệ thống rất dễ bị xâm phạm. Các router, switch và các thiết bị quản lý khác trong mạng đều rất dễ bị tấn công nếu không làm vững chắc tốt. Đó là lý do tại sao khái niệm Defense in Depth lại quan trọng đến vậy – bạn cần khám phá các điểm đầu vào và các vùng có thể bị khai thác.
Mẹo: Với Windows Server 2008 R2 và các sản phẩm của bên thứ ba như Cisco Systems, bạn có thể triển khai NAP/NAC để bảo mật và thực thi chính sách điều khiển truy cập. Với Microsoft, cơ sở hạ tầng Network Access Protection (NAP) gồm có các máy khách NAP và các máy chủ Health Registration Authority (HRA) và có thể được điều khiển tốt hơn thông qua Network Policy Server (NPS). NAP sẽ điều khiển truy cập máy khách thông qua một chính sách đồng thuận được cấu hình trước. Nếu máy khách không có đủ các yêu cầu cần thiết, nó sẽ bị yêu cầu nhập vào đầy đủ các yêu cầu đó. Nó cũng có thể được cấu hình để khóa hoặc từ chối sự truy cập. Cisco sử dụng kỹ thuật tương tự như vậy mang tên Network Admission Control (NAC). Khi sử dụng cùng trong các môi trường Microsoft/Cisco, bạn có thể tạo mức bảo mật và kiểm soát cao.
Kết luận
Hệ thống Windows 7 tại nhà có thể được khóa chặn và quản lý dễ dàng. Thậm chí còn có thể cấu hình một cách an toàn để có thể truy cập Internet từ một vị trí từ xa nếu bạn rời nhà mà vẫn để máy tính ở trạng thái tích cực. Windows 7 có thể được bảo vệ để “đạn bắn không thủng” nếu bạn thực sự muốn làm vững chắc nó ở mức khóa chặn toàn bộ. Tuy nhiên nó cũng có thể trở thành đối tượng tấn công nếu bạn sử dụng máy tính trên Internet. Do đó chúng ta cần lên kế hoạch cho những gì có thể xảy ra và làm vững chắc Windows 7 theo đó.
Khi xem xét việc sử dụng Windows 7, với tình hình các tấn công, các khai thác hiện nay ngày một nhiều và tinh vi, các tùy chọn bảo mật và khả năng linh hoạt là sự ưu tiên hàng dầu trong việc tạo quyết định. Windows 7 quả thực an toàn, tuy nhiên không thể 100%. Bạn phải sử dụng kiến thức, các công cụ và các cấu hình nâng cao để bảo mật tất cả các khía cạnh của nó và sau đó nâng cấp và kiểm tra chúng một cách thường xuyên. Tất cả những công việc đó rất đáng giá nếu bạn tránh được tấn công. Bên cạnh đó Windows 7 còn có nhiều cải tiến về bảo mật và có thể được cấu hình để khôi phục một cách nhanh chóng.
Thêm vào các nguyên lý bảo mật cơ bản, chẳng hạn như Defense in Depth cần phải được áp dụng kết hợp với các hướng dẫn bảo mật khác và các biện pháp bảo mật tốt nhất để không chỉ áp dụng bảo mật trong bảo vệ mà còn làm gia cố thêm nhiều lớp bảo mật khác cho việc phòng chống.
Văn Linh (Theo Windowsecurity)
Hotline: 0976xx0168
Email: jerrybui82@gmail.com
Y!M: jerrybui82
Skype: jerrybui82