Tên đề tài : Hướng dẫn toàn diện về bảo mật Windows 7
Windows 7 là hệ điều hành máy khách cho các máy tính desktop mới nhất của Microsoft, nó được xây dựng dựa trên những điểm mạnh và sự khắc phục những điểm yếu có trong các hệ điều hành tiền nhiệm, Windows XP và Windows Vista. Mọi khía cạnh của hệ điều hành như, cách chạy các dịch vụ và cách load các ứng dụng sẽ như thế nào, đã làm cho hệ điều hành này trở nên an toàn hơn bao giờ hết. Tất cả các dịch vụ đều được nâng cao và có nhiều tùy chọn bảo mật mới đáng tin cậy hơn. Tuy nhiên những cải tiến cơ bản đối với hệ thống và các dịch vụ mới, Windows 7 còn cung cấp nhiều chức năng bảo mật tốt hơn, nâng cao khả năng thẩm định cũng như các tính năng kiểm tra, khả năng mã hóa các kết nối từ xa và dữ liệu, hệ điều hành này cũng có nhiều cải tiến cho việc bảo vệ các thành phần bên trong, bảo đảm sự an toàn cho hệ thống chẳng hạn như Kernel Patch Protection, Service Hardening, Data Execution Prevention, Address Space Layout Randomization và Mandatory Integrity Levels. Có thể nói Windows 7 được thiết kế an toàn hơn. Thứ nhất, nó được phát triển trên cơ sở Security Development Lifecycle (SDL) của Microsoft. Thứ hai là được xây dựng để hỗ trợ cho các yêu cầu tiêu chuẩn chung để có được chứng chỉ Evaluation Assurance Level (EAL) 4, đáp ứng tiêu chuẩn xử lý thông tin Federal Information Processing Standard (FIPS) #140-2. Khi được sử dụng như một hệ điều hành độc lập, Windows 7 sẽ bảo vệ tốt người dùng cá nhân. Nó có nhiều công cụ bảo mật hữu dụng bên trong, tuy nhiên chỉ khi được sử dụng với Windows Server 2008 (R2) và Active Directory, thì sự bảo vệ sẽ đạt hiệu quả cao hơn. Bằng việc nâng mức độ bảo mật từ các công cụ như Group Policy, người dùng có thể kiểm soát mọi khía cạnh bảo mật cho desktop. Nếu được sử dụng cho cá nhân hoặc văn phòng nhỏ hệ điều hành này vẫn tỏ ra khá an toàn trong việc ngăn chặn nhiều phương pháp tấn công và có thể được khôi phục một cách nhanh chóng trong trường hợp gặp phải thảm họa, vì vậy mặc dù sẽ có nhiều ưu điểm hơn nếu có Windows 2008 nhưng điều này là không nhất thiết phải có để có được mức bảo mật cao cho Windows 7.
Tuy nhiên dù có thể cho rằng Windows 7 về bản thân nó là một hệ điều hành an toàn nhưng điều đó không có nghĩa rằng bạn chỉ dựa vào các cấu hình mặc định mà quên đi việc thực hiện một số điều chỉnh để gia cố thêm khả năng bảo mật của mình. Cần phải biết rằng bạn chính là đối tượng tấn công của một số dạng malware hay các tấn công trên Internet khi máy tính của bạn được sử dụng trong các mạng công cộng. Cần biết rằng nếu máy tính được sử dụng để truy cập Internet nơi công công thì hệ thống của bạn và mạng mà nó kết nối đến sẽ là miếng mồi ngon cho những kẻ tấn công.
32 trang |
Chia sẻ: tlsuongmuoi | Lượt xem: 2098 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Đề án Hướng dẫn toàn diện về bảo mật Windows 7, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
chíp chuyên dụng, TPM cũng vậy. TPM là một cách giới thiệu mức bảo mật phần cứng mới cho phương trình để bạn biết mình đang dần có một hệ thống vững chắc. Bạn có thể quản lý nó ở đây nếu thuân thủ theo TPM. TPM sẽ sử dụng bus phần cứng để truyền tải các thông báo và có thể được sử dụng kết hợp với các tính năng phần mềm giống như BitLocker.Khi đã tạo các giao diện điều khiển và đã biết cách truy cập vào các vùng để áp dụng các cấu hình bảo mật bên trong hệ điều hành, bước tiếp theo của bạn là kiểm tra hệ thống của mình. Có nhiều cách để thực hiện điều đó. Cho ví dụ, bạn có thể sử dụng phương pháp đơn giản (người dùng gia đình) và chỉ cần để ý đến nó theo thời gian trên một lịch trình đơn giản. Giống như, các tối chủ nhật sau khi lướt mạng, bạn kiểm tra các bản ghi tường lửa và các bản ghi Event Viewer trong giao diện điều khiển. Nếu đào sâu vào các tùy chọn có thể cấu hình, bạn sẽ phát hiện thấy mình có thể lập lịch trình các cảnh báo và thông báo, lọc các bản ghi và tự động lưu để xem lại,... Bảo đảm rằng bạn cần phải để ý đến mọi thứ. Bởi lẽ bảo mật tốt không có nghĩa là bảo mật đó sẽ được duy trì mãi mãi.Vậy, nói tóm lại – cách điển hình để bạn có thể truy cập và áp dụng bảo mật cho Windows 7 được nhanh là bên trong menu Start. Bạn cũng có thể làm việc bên trong Control Panel (các applet chẳng hạn như Administrative Tools, Windows Firewall và Windows Defender) để tăng truy cập vào các công cụ và các thiết lập bảo mật. Cũng có thể tạo một MMC tùy chỉnh và cấu hình nó nhằm tăng sự truy cập vào các công cụ khác vẫn còn ẩn khuất đâu đó, cũng như cung cấp một giao diện điều khiển tập trung để quản trị vấn đề bảo mật. Mặc dù có thể duyệt nhiều vùng khác nhau trong hệ điều hành và thực hiện cùng một việc, tuy nhiên hy vọng mẹo này có thể giúp bạn áp dụng bảo mật dễ dàng hơn bằng cách cung cấp sự truy cập vào các công cụ bảo mật có trong Windows 7. Ngoài ra bạn có thể áp dụng các template; tạo các nhiệm vụ và hành động và thậm chí tạo các cấu hình bảo mật với các tập công cụ nâng cao.Mẹo: Bạn cũng có thể áp dụng việc quản lý bảo mật trong các công cụ giống như PowerShell và Netsh (chẳng hạn như lệnh netsh advfirewall), từ đó có nhiều cách dễ dàng có thể áp dụng nhiều tùy chọn dựa trên kịch bản hay dòng lệnh để triển khai bảo mật trong Windows 7. Cũng có thể sử dụng các nhiệm vụ ‘task’ để bắt đầu các công việc, kịch bản hoặc file batch và các dịch vụ để bạn có thể (ví dụ) giữ một backup các bản ghi của Event Viewer cho hành động thẩm định, xem lại và cất giấu an toàn.Tiếp đến, cần có khả năng truy cập và cấu hình thêm hệ thống cơ bản sau khi cài đặt để “làm vững chắc” nó và do Windows Updates là không thể tránh được, nên bạn cần tạo một kế hoạch để chúng có thể download và cài đặt ngay lập tức. Đại đa số, các nâng cấp đều đến sau các tấn công, vì vậy test và cài đặc chúng ngay khi có thể là một hành động cần làm. Có nhiều lý do tại sao chúng được phát hành. Và được đặt tên là ‘Security Updates’ như thể hiện trong hình 2. Các nâng cấp này luôn được đánh số và bạn có thể được nghiên cứu trực tuyến để tìm kiếm thêm thông tin.
Hình 2: Cài đặt Windows Security Updates với Windows Update
Bạn cũng cần có được các gói dịch vụ mới được phát hành và áp dụng lại chúng nếu cần. Các ứng dụng và các dịch vụ đang chạy khác trong hệ thống cũng cần được quản lý, kiểm tra và nâng cấp thường xuyên, nhất là với các chương trình phát hiện và loại bỏ Virus, Spyware.Khi hệ thống của bạn đã được vá và được cấu hình cho sử dụng, nhiệm vụ tiếp theo là cài đặt Microsoft Security Essentials (MSE), một chương trình Antivirus (AV) của nhóm thứ ba, cấu hình Windows Defender (spyware) để sử dụng và cấu hình bảo mật nhằm phát hiện (malware) phần mềm mã độc.Lưu ý: Microsoft gần đây đã phát hành một dòng phần mềm bảo mật mới mang tên Forefront. Dòng sản phẩm này bao phủ tất cả các khía cạnh trong triển khai và quản lý bảo mật trong doanh nghiệp. Chúng cũng tạo sự chắc chắn rằng hệ điều hành khách được an toàn với chức năng mới, chẳng hạn như Microsoft Antivirus, có bên trong gói sản phẩm MSE.Ngăn chặn và bảo vệ Malware Mọi hệ thống dù là máy chủ file của Windows, desktop Linux hoặc máy trạm Apple OS X, tất cả đều phải đối mặt với malware. Malware là một thuật ngữ được sử dụng để đại diện cho tất cả các kiểu phần mềm mã độc có thể đâm thủng, xâm nhập, chiếm quyền điều khiển và cuối cùng phá hủy hệ điều hành máy tính của bạn, các ứng dụng hoặc dữ liệu cũng khó có thể khắc phục khi bị tấn công. Tồi tệ hơn, malware không chỉ nhắm đến hệ điều hành cơ bản mà nó còn nhắm đến cả dữ liệu cá nhân, sự riêng tư và nhận dạng. Malware tồn tại dưới nhiều hình thức khác nhau, chẳng hạn như viruse, worm, logic bomb và Trojan. Để giữ cho Windows 7 được an toàn, bạn cần cấu hình nó sao cho tránh được phần mềm mã độc xâm nhập vào hệ thống. Malware có thể xâm nhập theo con đường điển hình nhất là qua truy cập Internet công cộng, nhận email, các tin nhắn IM (instant messaging), sử dụng dữ liệu chia sẻ trên web và các máy chủ FTP, hoặc các ứng dụng phần mềm dựa trên kết nối mạng công cộng khác, chẳng hạn như phần mềm chia sẻ file ngang hàng (P2P). Khi một hệ thống (hoặc email mailbox) nào đó bị xâm nhập, malware có thể phát tán một cách nhanh chóng và đôi khi bạn không hề hay biết điều này. Malware cũng có thể truy cập vào hệ thống của bạn từ các ổ đĩa lạ hoặc các ổ đĩa ngoài không được bảo vệ, các ổ USB và đôi khi là cả qua bản thân mạng. Gần như rằng thông qua hành động nhận email hoặc xem nội dung trên các máy chủ trong mạng Internet công cộng thì bạn sẽ là đối tượng của một số dạng tấn công.Để tránh malware, bạn phải cố gắng không giới thiệu nó. Việc ngăn chặn (phòng ngừa) malware khác với sự bảo vệ (chống) malware; mặc dù vậy cả hai công việc được thực hiện cùng nhau sẽ có nhiều lợi ích. Việc ngăn chặn chủ yếu tập trung vào các bước cần phải thực hiện để tránh malware xâm nhập vào hệ thống của bạn, từ đó bạn có thể ngăn chặn các tấn công hoặc các vấn đề tương lai có thể xảy ra. Bạn có thể hạn chế sự phơi bày theo nhiều cách. Việc ngăn chặn cần có kỷ luật và cần hiểu biết, áp dụng các khái niệm này một cách nhất quán khi cấu hình bất cứ nền tảng phần mềm nào. Sự bảo vệ là hình thức cài đặt các ứng dụng chẳng hạn như phần mềm Antivirus và các bộ quét Spyware. Bảo vệ (chống) malware còn có thể bằng việc áp dụng các hình thức các công cụ quét và lọc, các công cụ thẩm định và giao thức hoặc mã hóa tạo truyền thông an toàn.Lưu ý: Có hai kiểu ứng dụng bảo mật; đi tiên phong (chủ động) và phản ứng trở lại. Lên kế hoạch, thiết kế và cân nhắc trong giao đoạn lập kế hoạch sẽ giúp bạn đi đúng hướng, nhưng để tiếp tục hỗ trợ, bạn cần xem xét cách quản lý và hỗ trợ nó. Với malware, bạn cần ưu tiên hàng đầu vào việc nâng cấp chương trình AV để có thể quét và ngăn chặn các mối đe dọa và các khai thác mới. Chủ động nên kế hoạch để bạn có thể cập nhật mọi thứ một cách an toàn, tuy nhiên luôn cần có một kế hoạch cho trường hợp sự phòng chống của bạn bị vi phạm.Để quản lý, kiểm tra và bảo mật hệ thống trước các mối đe dọa malware tiềm ẩn, bạn nên cài đặt, cấu hình và cập nhật liên tục phần mềm Antivirus và phần mềm gỡ bỏ Spyware. Có thể cài đặt thêm ứng dụng phần mềm của các hãng thứ ba, hoặc sử dụng một số công cụ của Microsoft, chẳng hạn như Windows Defender như thể hiện trong hình 3 bên dưới.
Hình 3: Sử dụng Windows Defender
Windows Defender có thể quét và loại bỏ Spyware. Một ứng dụng antivirus sẽ quét một cách tích cực và cố gắng tìm và loại bỏ virus, worm và Trojan. Nếu cả hai được sử dụng cùng nhau, bạn có thể bảo vệ một cách chủ động hệ thống của mình trước hầu hết các tấn công. Giống như bản thân hệ điều hành, bạn cũng cần liên tục cập nhật các ứng dụng này với nhiều bản vá hoặc chúng có thể trở thành mục tiêu để tấn công. Thêm vào đó, các file định nghĩa mới cũng cần được download và cài đặt thường xuyên để quét các mối đe dọa mới.Windows Defender là một tiện ích hữu dụng cho việc quét các file hệ thống (Quick hoặc Full), và được cập nhật thường xuyên, một trong những điểm quan trọng nhất khi lựa chọn bất cứ phần mềm spyware nào. Nếu các khái niệm không được cập nhật tương xứng với các tấn công mới bị phát hiện trên toàn thế giới thì hệ thống của bạn không thể bảo vệ bạn trước những tấn công này.Một số chương trình AV có thể quét một cách thông minh hệ thống của bạn để tìm ra “những điều không bình thường”, hoặc “so khớp một mẫu trong một tấn công tương tự”, thứ được gọi là những khám phá. Mặc dù hữu dụng nhưng không thể bắt được mọi thứ để giữ cho các công cụ này cập nhật. Windows Update sẽ nâng cấp Windows Defender khi bạn chạy nó. Các ứng dụng thứ ba (loại trừ các driver thiết bị chính) thường không tìm thấy thông qua Microsoft. Cũng cần cân nhắc đến việc chạy các công cụ này trong trạng thái tích cực, vì khi đó bạn sẽ phải trả giá về hiệu suất bộ nhớ và xử lý cũng như toàn bộ những gánh nặng về tài nguyên của hệ thống ở mức độ đáng kể. Vì vậy cần phải đi xem xét kế hoạch cho việc triển khai này từ trước và bảo đảm rằng các hệ thống Windows của bạn có thể xử lý được nó. Khi đã thiết lập bảo vệ malware và chạy, bạn vẫn cần “làm vững chắc” một cách tích cực các vùng cần được khóa, chẳng hạn như các thiết lập Internet Explorer.Bạn có thể bảo mật Windows 7 bằng cách sử dụng một tính năng mới mang tên Data Execution Prevention (DEP). Đây là một tính năng sẽ kiểm tra các chương trình của bạn và cách chúng sử dụng bộ nhớ hệ thống như thế nào. Sử dụng tính năng này bạn sẽ có thêm một mức bảo mật cho các chương trình muốn cư trú và sử dụng bộ nhớ như một cách khởi chạy tấn công. Bạn có thể bật nó cho tất cả các chương trình, hoặc chỉ một số chương trình bạn chọn. Để cấu hình cho sử dụng, bạn cần vào menu Start, mở Control Panel. Kích System applet, sau đó chọn tab Advanced, Performance Options, Data Execution Prevention như thể hiện trong hình 4 bên dưới.
Hình 4: Cấu hình Data Execution Prevention (DEP) trong Windows 7
Virus ngày nay phức tạp hơn rất nhiều so với chúng trước kia. Mỗi năm qua đi, các hack trở nên ngày càng khó ngăn chặn và malware ngày càng trở nên tinh vi hơn, có thể tự ẩn mình và phân phối trọng tải thê thảm. Thêm vào đó nó có thể thực hiện tấn công mà người dùng hoặc quản trị viên hệ thống không hề hay biết. Điều này là vì công nghệ ngày càng trở nên phức tạp và các tấn công cũng vậy. Cho ví dụ, bằng cách vào một trang web và xem nội dung bên trong của nó, bạn có thể cài đặt malware vào hệ thống của mình mà không hề hay biết thông qua các kịch bản lợi dụng các khai thác trong các lỗ hổng của trình duyệt web. Ngoài ra, do sự linh hoạt, trình duyệt rõ ràng được tạo ra để hoạt động với tất cả các giao thức, ngôn ngữ kịch bản, các plug-in và toolbar; do đó nó cũng khó giữ mức bảo mật cao mà không cần nâng cấp liên tục trình duyệt. Một gánh nặng nữa là việc truy cập các site để thực hiện công việc và liên tục bị hỏi về việc đưa các site vào vùng an toàn trước khi được phép truy cập, hoặc cho phép trình duyệt kiểm tra nhanh chóng xem các website có hợp lệ hay không. Vâng, nó sẽ giúp bạn an toàn hơn, tuy nhiên bạn sẽ phải giải quyết nhiều vấn đề phức tạp có liên quan đến việc hạn chế hoặc cho phép truy cập dựa trên mong muốn của mình, không chỉ là các file cấu hình hay danh sách các thiết lập mặc định.Do việc truy cập Internet là hầu như được thực hiện cho các công việc hoặc giải trí, nên sự khóa chặn của Internet Explorer (IE) là cần thiết trừ khi bạn muốn lộ diện bản thân mình trước malware và các tấn công trình duyệt khi truy cập trực tuyến. Internet Explorer đã được nâng cấp một cách liên tục để bạn có nhiều tùy chọn bảo mật cho nó, có thể lướt web an toàn và được thông báo về những rủi ro tiềm ẩn, từ đó giúp bạn có thể quyết định có tiếp tục thực hiện hành vi nào đó hay không. Trong các phiên bản Windows trước, vấn đề này đã bị giảm nhẹ dưới nhiều cách làm và nhiều công cụ nhưng cốt lõi của vấn đề vẫn là Explorer, IE và cách nó thắt chặt ở mức độ thế nào với hệ điều hành cơ bản là một vấn đề thực. Phần mềm được phân tích và được viết lại hoàn toàn để nhóm tất cả các khía cạnh của ứng dụng bảo mật và các tập công cụ bảo mật tích hợp, chẳng hạn như Phishing filter. Đồng thời những tiến bộ về công nghệ khi được tích hợp vào các sản phẩm của Microsoft đã tạo nhiều tiến bộ trong mã và vì vậy các ứng dụng có tính bảo mật hơn. Ngày nay, IE là trình duyệt web an toàn nhất hiện có và thậm chí còn an toàn hơn khi được triển khai với Group Policy.Mẹo: Để giữ mức rủi ro do tấn công gây ra ở mức thấp, chúng ta cần phải hạn chế việc truy cập vào các máy chủ web đang hosting các nội dung được biết đến đến như nguyên nhân gây ra các vấn đề này cho hệ thống của bạn. Các máy chủ đó gồm có các site khiêu dâm, các site download phần mềm miễn phí, chia sẻ file hoặc phần mềm P2P, máy chủ FTP công cộng, các biểu đồ IRC và,... Bạn có thể tạo một máy ảo và sử dụng nó để tăng cường sự bảo mật, tuy nhiên giải pháp này không hẳn đã an toàn. Nếu hạn chế được sự phơi bày, bạn sẽ giảm được khả năng trở thành nạn nhân của một tấn công.Truy cập web theo một nguyên tắc chặt chẽ là một điều quan trọng. Ngoài việc cẩn thận, Internet Explorer cũng cần được cấu hình theo một cách nào đó để bạn không thể thực hiện bất cứ thứ gì không cho phép một cách rứt khoát. Trong phần này, chúng tôi đã giới thiệu sự cân bằng giữa bảo mật và tính linh hoạt và đó là một trong những ví dụ tốt nhất mà bạn có thể thao khảo. Cách bạn sử dụng Internet công cộng an toàn như thế nào mà không cần tốn gấp đôi số lượng thời gian mà bạn đang truy cập nó? Tìm ra một mức cân bằng nào đó và như được đề cập ở trên, có một kế hoạch cho việc khôi phục từ một tấn công có thể.Các bước khóa IE (chẳng hạn như bật và cấu hình Phishing filter, sử dụng InPrivate Browsing, hoặc các tính năng bảo mật khác) sẽ giúp bạn an toàn hơn nếu không sử dụng bất cứ một thành phần nào, vì vậy tốt nhất hãy làm cho trình duyệt của bạn được an toàn nếu có thể, sau đó tắt hoặc giải phóng một số tùy chọn bảo mật khi bạn đã thích nghi với cách làm việc như một thói quen truy cập hiện hành. Khi cấu hình Internet Properties của IE, như thể hiện trong hình 5, bạn có thể áp dụng các cấu hình bảo mật trên tab Security cũng như các cấu hình bảo mật khác trên các tab khác.
Hình 5: Cấu hình Tab Options trong cửa sổ Internet Properties
Mẹo: Trong tab Internet Properties Security, bạn sẽ tìm thấy một hộp kiểm, nơi bạn có thể kích hoạt Protected Mode. Đây là chế độ cung cấp mức bảo mật cơ sở cho trình duyệt web của bạn.Cho ví dụ, nếu chọn tab General, bạn có thể thay đổi trang chủ thành trống để mỗi lần mở trình duyệt bạn có thể chọn nơi mà mình muốn truy cập, không phải trình duyệt chọn trước cho bạn. Nếu bị chiếm quyền điều khiển, trang mặc định hiện hành có thể sẽ bị thay đổi thành một trang nào đó mà bạn không hề hay biết. Bạn cũng có thể xóa lưu ký duyệt của mình bất cứ khi nào thoát khỏi IE. Bạn có thể cấu hình các vùng an toàn, danh sách hạn chế, lọc, dịch vụ ủy nhiệm các giao thức nâng cao và,... Cần bỏ thời gian để nghiên cứu về cách trình duyệt của bạn có thể được bảo vệ như thế nào vì nó là tuyến đầu tiên trong quá trình phòng chống các tấn công malware của bạn.Tất cả các công cụ này cũng làm việc cùng nhau sẽ tốt hơn – chẳng hạn như IE có thể giữ trạng thái khóa chặn, nhưng nếu có thứ gì đó lọt qua, thì UAC sẽ cắm cờ thành phần đó nếu nó cố tình tự động cài đặt.Việc tránh malware xâm nhập có thể được thực hiện bằng nhiều tính năng khác nhau trong hệ thống ngoài các ứng dụng phần mềm Spyware và AV. Cho ví dụ, UAC (như được giới thiệu ở trên) là một ví dụ điển hình về tầm quan trọng sao nó cần phải có một công cụ như vậy. Nếu bạn truy cập một máy chủ web có chứa mã độc để xem và download nội dung, các kịch bản trong bản thân trang chủ của nó có thể được cấu hình để chạy các ứng dụng, các ứng dụng này sẽ cài đặt một cách thầm lặng trong chế độ background khi bạn sử dụng máy tính của mình. Nếu có bất cứ chương trình nào đó cố gắng tự cài đặt vào Windows 7, UAC (nếu được cấu hình ở mức bảo mật cao nhất), có thể bảo vệ bạn tránh được các kiểu tấn công như vậy.Những thứ khác bạn có thể thực hiện để ngăn chặn malware là điều chỉnh Windows Firewall, kiểm tra hành động ghi chép của nó và cố gắng làm quen với những gì quả thực đang chạy trên hệ thống của bạn và bao nhiêu tài nguyên hệ thống mà nó đang sử dụng (việc khởi chạy và cư trú trong bộ nhớ, hiệu suất không gian đĩa,...). Sử dụng Task Manager cũng là một cách tuyệt vời để nhanh chóng tìm ra nhiều vấn đề như đã đề cập. Hình 6 thể hiện những gì đang chạy trong hệ thống của bạn. Nếu quan sát tab Processes, bạn sẽ thấy những gì đang chạy trong bộ nhớ và thấy quá trình đó có hợp lệ hay không.
Hình 6: Sử dụng Task Manager
Bạn cũng nên kiểm tra các bản ghi Event Viewer để thẩm định rằng các định nghĩa virus, cũng như các dịch vụ được download, cập nhật và được cài đặt đúng cách, không có lỗi nguy cấp nào được liệt kê mà không được chú trọng. Với tất cả các biện pháp phòng và chống đó, bạn vẫn có thể bị nhiễm malware vào hệ thống, sau đó nó có thể gây hại và phá hủy hoàn toàn dữ liệu của bạn.Do malware vẫn có thể phá hủy một cách tiềm tàng hệ thống của bạn, thậm chí sau khi đã bảo mật toàn bộ hệ thống (cũng như đã cập nhật) nên bạn cần xem xét đến việc tạo một backup. Bạn luôn luôn cần backup dữ liệu cá nhân của mình mà không cần quan tâm tới việc mình đang ở trên hệ thống Windows, Linux hay Apple. Bạn có thể thực hiện backup theo nhiều cách, chẳng hạn như sử dụng tiện ích backup trong Windows 7, sử dụng một công cụ của hãng thứ ba, hoặc đơn giản là copy tất cả dữ liệu của bạn qua một ổ cứng ngoài hoặc burn nó vào một CD/DVD-ROM để cất giữ an toàn. Rõ ràng, giải pháp đơn giản nhất là bỏ qua nó và hy vọng mọi thứ sẽ tốt đẹp. Tuy nhiên nếu dựa vào dữ liệu của mình hoặc thấy nó là quan trọng, bạn hãy thực hiện backup cho nó ngay lập tức.Khi dữ liệu đã được backup và được bảo vệ, bạn cần backup hệ thống với System Restore cũng như xem xét các phương pháp khôi phục thảm họa khác để có thể hoạt động trở lại sau khi gặp một vấn đề sự cố nào đó. Nếu không quen, bạn có thể khởi chạy và chạy System Restore và bắt đầu làm việc với nó. Công cụ này cực kỳ hữu dụng vì nó sẽ tạo một snapshot cấu hình hệ thống hiện hành và backup nó để dự phòng sau này. Mặc dù hành động này sẽ tiêu tốn của bạn một chút không gian đĩa, tuy nhiên nó sẽ rất đáng giá khi bạn gặp phải sự cố thực sự.Các điểm truy cập malware khác cũng có thể nằm trong các tài liệu Windows Office và có thể được chạy như các chương trình được sử dụng tự động với ý định xâm nhập hệ thống của bạn. Các macro là các công cụ hữu dụng, tuy nhiên mặc định bị khóa toàn bộ. Sự nguy hiểm trong việc cho phép Macro (mặc định) là nếu bạn nhận một email có một tài liệu Office phân phối tải trọng, rất có thể bạn sẽ vô tình mở nó và tiêm nhiễm malware vào hệ thống. Quả thực đôi khi chúng ta quá để ý đến ứng dụng bảo mật trên hệ điều hành cơ sở mà thiếu suy nghĩ đến các chương trình chạy trên nó, hoặc mạng mà máy tính kết nối. Malware cũng có thể tiêm nhiễm qua mạng. Worm sẽ di chuyển từ chia sẻ Windows này sang chia sẻ Windows khác, các bộ quét có thể quét dọn hệ thống của bạn với hy vọng tìm được nó. Trojan có thể được cài đặt để kết nối các máy chủ từ xa và báo cáo các thông tin chi tiết về hệ thống của bạn và,...Bảo mật mạng – ngoài bảo mật hệ thống, cũng không được bỏ qua. Các tường lửa mạng có thể khóa sự truy cập của các tấn công, router và các switch có thể được làm vững chắc và cấu hình mã hóa nâng cao có thể được sử dụng để tạo các kết nối an toàn đến một mạng từ xa. Thậm chí việc quản lý quan mạng cũng cần được xem xét. Cho ví dụ, nếu không vô hiệu hóa dịch vụ Telnet (có trong Windows Features) và đang sử dụng nó một cách tích cực thay vì Secure Shell (SSH) (lấy ví dụ như vậy), thì bạn sẽ đang sử dụng giao thức TCP/IP có thể bị tấn công một cách dễ dàng. Tất cả bảo mật mà bạn đã tạo cho các hệ thống của mình hiện bị đánh liều vì bạn không thể bắt ứng dụng capture hoặc đánh hơi dữ liệu trên mạng của mình để từ đó có thể quét tích cực và capture mật khẩu trong sáng (không được mã hóa), cũng có thể xảy ra với mật khẩu được sử dụng tài khoản dịch vụ mặc định Windows Administrator. Chính vì vậy luôn luôn xem xét mạng như một điểm truy cập tiềm tàng cho malware và các tấn công vì nó thường bị bỏ qua.Gói phần mềm Microsoft Security Essentials (MSE) có thể download miễn phí từ Microsoft, đây là phần mềm khi được cài đặt, nó sẽ bổ sung phần mềm quét AV cho hệ thống của bạn. Được thiết kế cho XP, Vista và Windows 7, gói phần mềm Security Essentials chỉ có sẵn từ Microsoft nếu bạn có một copy hợp lệ. Còn nếu không có, bạn không thể download và cài đặt nó. Trong trường hợp có thể, hãy cài đặt nó ngay tức khắc. Bạn sẽ cần hợp lệ hóa copy Windows 7 của mình nếu chưa làm việc đó trong quá trình cài đặt. Khi đã hợp lệ hóa, chương trình cài đặt sẽ kiểm tra hệ thống của bạn để xem các chương trình AV khác có đang chạy hay không. Bạn sẽ nhân được lời khuyên để sử dụng một bảo vệ AV nào, tuy nhiên không may, nếu bạn chọn để chạy cả hai cùng lúc, đôi khi điều đó sẽ xảy ra hiện tượng xuyên nhiễu giữa hai phần mềm, và bạn phải quản lý và kiểm tra (cũng như nâng cấp) và chịu gánh nặng về hiệu suất vì các chương trình AV sẽ sử dụng công suất xử lý và bộ nhớ khá cao, ảnh hưởng rõ nét đến hiệu suất của toàn bộ hệ thống. Khi được cài đặt, bạn có thể nâng cấp nó như thể hiện trong hình 7 bên dưới.
Hình 7: Chạy Microsoft Security Essentials Updates
Tiếp (trong hình 8), bạn có thể quét Quick, Full hoặc Custom để kiểm tra malware trên hệ thống. Việc thực hiện quét tích cực và thiết lập sự bảo vệ thời gian thực có thể được thực hiện nhanh chóng và dễ dàng. Đơn giản, chạy MSE và liên tục cập nhật nó để có sự bảo vệ AV hoàn tất. Một ưu điểm khác mà bạn có lúc này là nó có thể được cập nhật với Windows Update.
Hình 8: Quét Malware trong hệ thống với Microsoft Security Essentials
Khi đã cài đặt sự bảo vệ malware và thực hiện mọi thứ để ngăn chặn tích cực mối đe dọa này, bạn có thể tiếp tục “làm vững chắc” nó, tạo image cho nó, thiết lập một điểm khôi phục hoặc tiến lên tạo một hệ thống sản xuất thực và sử dụng nó.Sử dụng một máy tính trên mạng Internet sẽ có nhiều nguy cơ tấn công. Cài đặt và sử dụng bảo vệ malware và spyware và giữ cập nhật nó liên tục. Luôn xem xét một thứ rằng khi được bảo vệ, bạn vẫn cần tự cập nhật để duy trì trạng thái bảo vệ và cố gắng tuân thủ theo các thói quen truy cập mạng của mình.Mẹo: Cân nhắc việc không sử dụng các mục như Desktop Gadgets hoặc các nội dung “sống” khác vì như đề cập ở trên, bạn có thể tạo các lỗ hổng trong hệ thống của mình bởi các chương trình như vậy, cho dù chúng đã được ký. Nếu không cần thứ gì đó, hoặc không sử dụng nó nữa, một hành động an toàn là bạn nên remove nó ngay lập tức. Hành động trên của bạn không chỉ giúp giải phóng được không gian và sức mạnh trong xử lý mà bạn còn giảm được những rủi ro đến từ các tấn công bằng các hạn chế khả năng có thể vô tình cài đặt một gadget được được ký và tiềm tàng nhiều mối nguy hiểm. Bất cứ thứ gì không được gán, từ một nguồn không tin tưởng hoặc đáng ngờ, bạn không nên cài đặt chúng.Kết luậnHệ thống Windows 7 tại nhà có thể được khóa và được quản lý một cách dễ dàng. Bạn thậm chí còn có thể cấu hình nó một cách an toàn để có thể truy cập trên Internet từ một vị trí từ xa. Windows 7 có thể được xây dựng để đạn bắn không thủng nếu bạn thực sự muốn “làm vững chắc” nó và khóa toàn bộ các điểm có thể truy cập của hệ thống này. Tuy nhiên nó vẫn là một đối tượng cho các tấn công và có thể sẽ là như vậy nếu máy tính của bạn truy cập Internet. Chính vì vậy chúng ta cần phải lên kế hoạch cho những gì có thể xảy ra và làm vững chắc Windows 7 theo kế hoạch đó.Khi xem xét đến việc sử dụng Windows 7, trong áp lực các tấn công và các khai thác ngày nay, các tùy chọn bảo mật và khả năng linh hoạt là ưu tiên hàng đầu khi tạo quyết định. Windows 7 rất an toàn, tuy nhiên không thể an toàn 100%. Bạn cần phải áp dụng các kiến thức, các công cụ và các cấu hình nâng cao để bảo mật tất cả các khía cạnh của nó và tiếp đó là cập nhật, kiểm tra chúng một cách thường xuyên. Cũng rất giá trị nếu bạn muốn tránh tấn công. Windows 7 có nhiều nâng cao về bảo mật và có thể được cấu hình để khôi phục một cách nhanh chóng.Thêm vào đó, các nguyên lý bảo mật cơ bản chẳng hạn như Defense in Depth phải được áp dụng kết hợp với các hướng dẫn bảo mật khác và những thói quen tốt nhất để bạn không những áp dụng bảo mật để bảo vệ mà còn bổ sung thêm nhiều lớp bảo mật để phòng và chống cho toàn bộ kiến trúc và mã chạy bên trong nó.Chúng ta mới chỉ động chạm tới bề mặt ở đây, còn có rất nhiều thứ mà chúng ta cần biết và tìm hiểu, tuy nhiên hy vọng phần này sẽ cung cấp cho các bạn được nhiều thông tin quý giá. Để tìm hiểu thêm, bạn có thể tham khảo các liên kết tham chiếu gồm có các thông tin chi tiết cũng như các công cụ, template và hướng dẫn miễn phí. Và hãy nhớ theo dõi phần ba của loạt bài này.
---------- Post added at 09:04 PM ---------- Previous post was at 09:03 PM ----------
Hướng dẫn toàn diện về bảo mật Windows 7 – Phần 3
Trong phần này chúng tôi sẽ giới thiệu cho các bạn một số thông tin cơ bản mà bạn cần biết để bảo mật Windows 7 đúng cách, bên cạnh đó là một số chức năng bảo mật ít được biết đến hơn mà hệ điều hành mới này cung cấp. Chúng tôi cũng sẽ giới thiệu nhiều cách giúp bạn có thể ngăn chặn tấn công, bảo đảm an toàn dữ liệu và khôi phục trở lại sau tấn công một cách nhanh chóng.Có thể nói Windows 7 được thiết kế an toàn hơn. Khi được sử dụng như một hệ điều hành độc lập, Windows 7 sẽ bảo vệ tốt người dùng cá nhân. Nó có nhiều công cụ bảo mật hữu dụng bên trong, tuy nhiên chỉ khi được sử dụng với Windows Server 2008 (R2) và Active Directory, thì sự bảo vệ sẽ đạt hiệu quả cao hơn.Trong bài này chúng tôi sẽ giới thiệu cho các bạn một số kiến thức cơ bản cần thiết để bảo mật Windows 7 được đúng cách, giúp bạn đạt được mức bảo mật cơ bản, xem xét một số cấu hình bảo mật nâng cao cũng như đi khám phá một số chức năng bảo mật ít được biết đến hơn trong Windows nhằm ngăn chặn và bảo vệ chống lại các tấn công có thể. Mục tiêu của bài viết này là để giới thiệu các tính năng bảo mật của Windows 7, những nâng cao và ứng dụng của chúng cũng như cung cấp cho bạn những kiến thức về việc lên kế hoạch, sử dụng đúng các tính năng bảo mật này. Các khái niệm mà chúng tôi giới thiệu sẽ được chia nhỏ và được tổ chức theo phương pháp khối.Lưu ý: Nếu làm việc trong công ty hoặc môi trường chuyên nghiệp khác, các bạn không nên thực hiện các điều chỉnh với máy tính của công ty. Hãy thực hiện theo đúng kế hoạch (hay chính sách) bảo mật đã được ban bố, cũng như những hành động, nguyên lý và hướng dẫn tốt nhất đã được công bố trong tổ chức. Nếu chưa quen với các chủ đề bảo mật và các sản phẩm của Microsoft, hãy đọc tài liệu hướng dẫn của sản phẩm trước khi áp dụng bất cứ thay đổi nào cho hệ thống.Khôi phục thảm họaWindows 7 khi đã được bảo mật đầy đủ, nó cần được backup để có thể khôi phục lại một cách nhanh nhóng. Bạn có thể sử dụng phần mềm imaging chụp lại cài đặt cơ bản để có thể cài đặt lại nhanh chóng nếu cần. Nếu phải cài đặt lại Windows 7 từ đống đổ nát, bạn cũng cần phải thực hiện tất cả các bước đã thực hiện bảo mật. Do công việc này có thể mất nhiều thời gian nên chúng ta nên xem xét đến các giải pháp khôi phục, đặc biệt nếu Windows 7 được sử dụng trong doanh nghiệp. Các giải pháp công ty hoàn toàn có tính năng imaging. Trong khi đó người dùng gia đình cũng có thể tạo một snapshot cho các hệ thống của họ để có thể khôi phục nhanh chóng. Dù cách nào, bạn cũng luôn có thể sử dụng các công cụ như System Restore, tiện ích cho phép tạo snapshot cho hệ thống, tuy nhiên chỉ khi bạn có thể khởi động hệ thống. Chỉ có một cách có thể khôi phục từ một thảm họa ở góc độ toàn diện là lên kế hoạch từ trước về vấn đề đó và xây dựng một kế hoạch khôi phục tỉ mỉ. Một kế hoạch khôi phục đơn giản sẽ là khi cài đặt được hoàn tất, sau đó bảo đảm các đĩa cài đặt được bảo vệ an toàn cho sử dụng sau này. Nếu thảm họa xảy ra, chúng ta sẽ khắc phục hệ thống và nếu không thể khắc phục được, hãy khôi phục dữ liệu và cài đặt lại Windows từ các đĩa cài đặt. Quá trình này sẽ mất rất nhiều thời gian và bạn sẽ bị rủi ro mất dữ liệu. Một kế hoạch phản ứng với việc khôi phục thảm họa sẽ gồm có nhiều cách bảo vệ dữ liệu của bạn và cung cấp nhiều tùy chọn để có thể khôi phục nhanh:
Cài đặt Windows 7, các ứng dụng, các tập công cụ và làm vững chắc hệ thống
Tạo một backup hệ thống (imaging, ảo hóa, tạo điểm khôi phục,...)
Chuẩn bị giải pháp để backup và khôi phục dữ liệu tập trung
Triển khai sử dụng, đợi sự việc hoặc thảm họa
Khi sự việc xảy ra, tìm nguyên nhân gốc và sửa chữa nó
Một thảm họa sẽ làm cho hệ thống vượt xa khả năng sửa chữa cũng như rơi vào trạng thái ngừng sản xuất
Khôi phục nhanh hệ điều hành cơ bản với các ứng dụng, nâng cấp thông qua việc imaging hoặc ảo hóa
Áp dụng lại dữ liệu (PST,...) thông qua kho lưu trữ dữ liệu tập trung và bản đồ hóa ổ đĩa.
Người dùng hệ thống quay trở lại làm việc nhanh chóng mà không bị mất các dữ liệu quan trọng.
Tất cả hệ thống sẽ chắc chắn có một số dạng lỗi dù bạn có chuẩn bị kỹ càng thế nào đi chăng nữa. Lỗi ổ đĩa, lỗi ứng dụng, lỗi bảo mật,... Vì vậy, trong kế hoạch bảo mật của mình, bạn nên xem xét đến những thứ này và cho phép bạn có cơ hội để khôi phục lại. Bạn cũng cần xem xét cách sẽ khôi phục khi xảy ra vấn đề với hệ thống như thế nào. Windows 7 cung cấp rất nhiều tùy chọn để đưa dữ liệu của bạn trở lại và hoạt động nhanh chóng khi có sự kiện thảm họa xảy ra.Nếu cần sửa các file hệ thống, hoặc khôi phục lại một copy trước của hệ điều hành, bạn có thể thực hiện dễ dàng với Windows 7. Windows 7 cung cấp nhiều công cụ trợ giúp bạn bảo vệ và backup dữ liệu cá nhân của mình, cũng như bản thân hệ điều hành. Việc sử dụng các công cụ chẳng hạn như ERD, ASR, Backup and Restore, System Restore, Recovery Console, Safe Mode, Last Known Good Installation và các tùy chọn khác đã giúp các quản trị viên và người dùng có thể lái thảm họa từ phát hành XP. Nhiều người trong số chúng tôi đã sử dụng một số công cụ Sysinternal để vực lại hệ thống và chạy sau khi gặp phải các lỗi nghiêm trọng (BSOD).Backup and Restore sẽ kèm luôn Data Backup. Backup hệ thống bản thân nó được thực hiện với System Restore (hình 1), ở đây bạn có thể cấu hình điểm khôi phục hệ điều hành để sử dụng về sau.
Hình 1: Sử dụng System Restore để tạo điểm khôi phục
Lưu ý: System Restore được sử dụng để tạo snapshot cho hệ thống, snapshot này sau đó sẽ được lưu vào ổ cứng. Nếu muốn quay trở lại điểm khôi phục đó, bạn cần có khả năng sử dụng System Restore lần nữa. Nếu System Restore bị thỏa hiệp; bạn sẽ không thể sử dụng điểm khôi phục và cần dựa vào việc imaging, hoặc cài đặt lại.Cũng có thể dựa vào các công cụ imaging để cài đặt lại nhanh chóng hệ điều hành hiện không thể sửa chữa được. Việc cài đặt các desktop Windows từ đống đổ nát là một tiến trình khá dài, đặc biệt nếu bạn đang chạy hệ thống chẳng hạn như XP. Có rất nhiều các hot fix, nâng cấp và các gói dịch vụ cần được sử dụng, cũng như các nâng cấp cho các ứng dụng giống như Microsoft Office. Một cách để fix thời gian cần thiết để khôi phục hệ thống không thể hoạt động do virus gây ra là cần có một image. Nếu System Restore hoặc các công cụ khác không thể làm cho hệ thống của bạn hoạt động trở lại, bạn cần sử dụng một copy Windows mới, tuy nhiên không sử dụng các hot fix và các nâng cấp lúc này – vì bạn có thể lại trở thành nạn nhân của cùng vấn đề đã gây cho hệ thống của bạn bị lỗi lúc trước.Dữ liệu là thứ quan trọng nhất mà bất cứ ai cũng phải quan tâm đến nó. Dữ liệu cá nhân (hoặc công ty) cần được cung cấp sẵn ở mọi thời điểm và không bao giờ bị mất. Trong môi trường doanh nghiệp, dữ liệu thường được backup, được cất giữ cẩn thận và sẽ được mang ra để khôi phục nếu thảm họa xảy ra. Trong gia đình, cách thức như vậy cũng nên được thực hiện. Bạn có hoặc không muốn tạo một copy offsite cho dữ liệu của mình, nhưng việc backup để có thể khôi phục lại sau này nếu cần là thứ đầu tiên mà bạn cần xem xét thậm chí trước khi nghĩ về cách khôi phục Windows 7 trong tình trạng khẩn cấp như thế nào. Phương án thiết kế đúng nên làm là giữ một copy dữ liệu cá nhân của bạn trong một ổ cứng ngoài. Được kết nối thông qua USB (hoặc FireWire), dữ liệu của bạn có thể được truy cập bất cứ lúc nào. Bạn cũng có thể mirror copy vào ổ cứng thứ hai, hoặc thậm chí sử dụng giải pháp băng từ trong nhà để bảo vệ dữ liệu an toàn hơn. Nếu đang điều hành một doanh nghiệp của gia đình, bạn có thể sẽ muốn bổ sung thêm sự an toàn cho dữ liệu để phòng khi trường hợp có vấn đề gì đó xảy ra với gia đình thì doanh nghiệp của bạn vẫn không bị ảnh hưởng bởi nó. Vì vậy, nhìn chung – bạn cần phải có sự chuẩn bị. Cách tốt nhất để khôi phục khi gặp phải trường hợp lỗi dữ liệu hoặc xóa vô tình là backup dữ liệu của bạn để giữ an toàn.Việc sử dụng các giải pháp tập trung là chìa khóa để làm cho những dữ liệu quan trọng của bạn có được khả năng có sẵn cao và an toàn. Cho ví dụ, nếu lưu tất cả dữ liệu của mình trên một ổ cứng bên trong và không bao giờ backup nó, khi đó bạn sẽ phải đối mặt với những rủi ro mất dữ liệu do ổ cứng bị lỗi và không thể sửa chữa. Một giải pháp đơn giản là sử dụng các tùy chọn backup ở mức tối thiểu, copy nó vào một ổ cứng ngoài. Tất cả các ổ cứng đều có thể bị lỗi vì vậy cho tới khi có công nghệ mới hơn bắt kịp được công nghệ đã triển khai, chúng ta sẽ thấy các máy tính gia đình và các mảng doanh nghiệp được lấp đầy các ổ đĩa đang chờ đợi lỗi xảy ra bất cứ lúc nào. Bạn phải backup dữ liệu hoặc phải gánh chịu hậu quả để mất nó. Khi đã chỉ ra vấn đề đó, tất cả những gì bạn cần thực hiện là tìm ra cách khôi phục nhanh Windows với cố gắng và thời gian tối thiểu.Mẹo: Tốt nhất luôn lên kế hoạch cho kịch bản tồi tệ nhất. Nếu bạn cho rằng hệ thống của mình rốt cuộc sẽ bị đổ vỡ và không thể sửa chữa, việc có một backup tốt cho hệ thống và dữ liệu sẽ là hy vọng cứu cánh cho bạn. Nói ngắn gọn, kế hoạch bảo mật và ngăn chặn thậm chí dù có được thực hiện một cách hoàn hảo thì vẫn không thể gọi là an toàn 100%, vì vậy luôn có kế hoạch để sử dụng lại Windows 7 nếu bạn cần.Có thể thiết lập một kế hoạch khôi phục thảm họa cho hệ điều hành của mình rất dễ dàng bằng việc ảo hóa. Bạn có thể download và cài đặt Virtual PC, hoặc Hyper-V của Microsoft. Hyper-V cung cấp một nền tảng cho phép bạn có thể tạo, quản lý và kiểm tra các máy ảo (VM). Nếu đang chạy Windows 7 tại nhà, bạn vẫn có thể ảo hóa hệ thống hoặc tài nguyên của mình và lợi dụng các ưu điểm của nó bên trong Virtual PC (ví dụ như vậy). Bằng cách này, nếu muốn tạo một VM làm backup, bạn hoàn toàn có thể. Một mẹo hữu ích mà bạn có thể áp dụng tại nhà là những gì các doanh nghiệp đang triển khai để thay đổi cách họ quản lý phần mềm và triển khai hệ thống. Việc sử dụng ảo hóa (Virtual PC/Server or Hyper-V) sẽ mang đến cho bạn nhiều cơ hội để có thể thay đổi nhanh cách bạn làm việc ở nhà. Nếu sử dụng VHD (một virtual hard drive file), bạn sẽ luôn có một copy cho hệ thống của mình. Có thể sử dụng Disk Management để tạo một VHD của Windows 7 như những gì thể hiện trong hình 2.
Hình 2: Tạo ổ ảo bằng Disk Management
Nếu trong doanh nghiệp, các hệ thống và tài nguyên có thể được ảo hóa và dữ liệu có thể có sẵn cao trong thiết bị Storage Area Network (SAN) hoặc Network Attached Storage (NAS) thì điều này sẽ giải quyết các vấn đề có liên quan tới thời gian khôi phục thảm họa xảy ra. Nếu tất cả các file được sử dụng bởi máy khách mà người dùng có thể tìm thấy thông qua ổ đĩa được mapping với máy chủ file thì về cơ bản tất cả những gì bạn cần thực hiện lúc đó là đợi cho lỗi phần cứng hệ thống xảy ra và đưa hệ thống hoạt động trở lại trên các máy tính mới. Hầu hết môi trường công ty với các hệ thống tối tân đều có thêm phần cứng dự phòng. Nếu thiết kế và sử dụng các khái niệm máy chủ dự phòng và sử dụng sự ảo hóa để cân bằng thì bạn có thể nhanh chóng khắc phục được sự cố, bên trong đơn vị tính là giây, người dùng có thể backup và chạy mà không mất nhịp làm việc của mình.Nói tóm lại, luôn backup dữ liệu của bạn và bảo vệ hệ thống. Làm vững chắc nó tốt nhất với khả năng của bạn, tuy nhiên cũng cần cho phép bạn có được khả năng backup và hoạt động trở lại mà không tốn nhiều thời gian vào việc cài đặt phần mềm, driver và cấu hình lại hệ thống.Lưu ý: Kết hợp chặt chẽ với vấn đề an toàn chịu lửa, hoặc giải pháp backup offsite cho dữ liệu để đề phòng những thảm họa về môi trường.Các tính năng bảo mật nâng caoWindows 7 có nhiều tính năng bảo mật nâng cao mà bạn có thể sử dụng, chẳng hạn như các tùy chọn mã hóa và sinh trắc học. Truyền thông an toàn qua các kết nối không an toàn phải được bảo đảm. Điều khiển truy cập, khai thác các thông tin đã thu thập được là thứ mà bạn cần lên kế hoạch khi triển khai Windows 7, vì các thảm họa có thể xuất hiện và dữ liệu cũng vì thế mà có thể mất bất cứ lúc nào. Tồi tệ hơn, vì các công việc di động và laptop được sử dụng cho mục đích cá nhân, bảo mật bị nguy hiểm khi người dùng mất laptop của họ, để quên nó ở đâu đó hoặc có thể bị mất cắp. Nếu USB được sử dụng và bị mất, dữ liệu của bạn sẽ được duy trì an toàn như thế nào? Để chuẩn bị cho những vấn đề này, bạn có thể triển khai các tính năng bảo mật dưới đây với Windows 7:Sinh trắc học – Các vấn đề về sinh trắc học được sử dụng để điều khiển sự truy cập. Hầu hết các hệ thống (đặc biệt là dòng IBM/Lenovo ThinkPad) đã giới thiệu tính năng nhận dạng dấu vân tay. Cải tiến về kỹ thuật này có thể được sử dụng cho bất cứ hệ thống nào, từ các thiết bị gia đình, doanh nghiệp, hoặc ở đâu đó. Các thư viện công cộng sẽ từ bỏ việc sử dụng thẻ thư viện và thay vào đó là một máy quét võng mạc. Các ứng dụng điều khiển cha mẹ cho trẻ con tại nhà và các chức năng cá nhân sẽ được thực hiện dưới dạng ID sinh trắc học. Windows 7 đã sẵn sàng cho tất cả vấn đề đó. Microsoft đã làm việc cụ thể với các chuyên gia phát triển về nhận dạng vân tay và các hãng phần cứng để bảo đảm rằng Windows 7 sẵn sàng có thể thực hiện những gì mà nó hứa hẹn. Quản lý sự nhận dạng là một vấn đề quan trọng cần xem xét khi áp dụng bảo mật.BitLocker Drive Encryption (BDE) – BitLocker (và BitLocker to Go), được sử dụng để cung cấp vấn đề bảo mật dữ liệu chứa trong csc hệ thống ổ đĩa ngoài và trong. Với Windows 7, bạn có thể sử dụng cả hai phiên bản BitLocker để bảo mật dữ liệu trên các ổ cứng trong, các ổ ngoài, ổ USB và các định dạng lưu trữ di động khác. BDE có thể bảo vệ dữ liệu được lưu trên các ổ này bằng cách yêu cầu các chứng chỉ truy cập nó và cũng sử dụng TPM.Tính năng Trusted Platform Module (TPM) Management của Microsoft chỉ có sẵn trên phần cứng đồng thuận TPM. Khi đồng thuận, Windows Vista/7 và Windows Server 2008 có thể sử dụng các tính năng và các chức năng bảo mật nâng cao. Trusted Platform Module (TPM) Management của Microsoft là một tính năng mới có trong Windows Vista/7 và Microsoft Windows Server 2008. Chức năng cơ bản của nó là cho phép các hệ thống Windows có thể sử dụng quá trình nâng cao và các chức năng mã hóa ở mức phần cứng. Như được đề cập ở trên trong bài này, một trong số các tính năng này yêu cầu phần cứng (có khả năng tương thích) khá cao. Nếu bạn muốn sử dụng một tính năng nào đó và thấy nó ở trạng thái không tích cực hoặc không thể sử dụng, rất có thể nguyên nhân là phần cứng của bạn không đồng thuận với tính năng này, hoặc có thể bạn đang sử dụng sai phiên bản Windows 7 và tính năng đó không có trong phiên bản của bạn.Mẹo: TPM có thể được cấu hình và quản lý thông qua các thành phần BIOS và MMC snap-in mà chúng tôi đã cài đặt ở trên.Bạn cũng có thể kết nối an toàn đến các tài nguyên từ xa với Windows 7 bằng cách cấu hình các kết nối IPsec/VPN. Virtual Private Network (VPN) là một thuật ngữ được sử dụng để mô tả hình thức bảo mật được áp dụng nhằm giữ cho bạn được an toàn trước các tấn công. Bạn sẽ vẫn thực hiện kết nối qua một mạng công cộng không an toàn, tuy nhiên do đường hầm mã hóa được sử dụng nên dữ liệu của bạn sẽ được riêng tư và an toàn. Có thể tạo một kết nối VPN mới nhanh chóng bằng cách vào menu Start, đánh VPN và theo liên kết Control Panel để tạo kết nối VPN mới như thể hiện trong hình 3.
Hình 3: Cấu hình kết nối VPN
Bạn có thể tạo các kết nối với các hệ thống khác bằng cách sử dụng các giao thức nâng cao có cung cấp mức bảo mật thông qua các thuật toán mã hóa. Vấn đề này thường yêu cầu một bộ vi xử lý có khả năng cung cấp tùy chọn mã hóa phần cứng. Các VPN có thể được sử dụng để tạo các kết nối an toàn cho các hệ thống khác nhau.Lưu ý: Nếu quản lý các hệ thống Microsoft từ xa, bạn có thể sử dụng Remote Desktop Connection (RDC). Nếu sử dụng Telnet làm công cụ kết nối từ xa cho các hệ thống Unix và các thiết bị mạng Cisco (ví dụ như vậy) thì bạn nên xem xét việc vô hiệu hóa dịch vụ này (bị vô hiệu hóa mặc định) và sử dụng Secure Shell (SSH).Bạn cũng có thể tạo các kết nối đường hầm có thể quản lý với giao thức IPsec và quản lý chúng với giao diện quản lý MMC hoặc Windows Firewall. Thậm chí còn có các tính năng bên trong giao diện này cho phép bạn có thể quản lý và khắc phục sự cố các kết nối IPsec như các khóa bị lỗi kiểu, các vấn đề security association (SA), các vấn đề đối với tập mã hóa, thiết lập thời gian cũng như các vấn đề cấu hình ISAKMP khác. Những vấn đề này cũng có thể được quản lý trong Windows Firewall, Advanced Features.Khi các tùy chọn điều khiển truy cập và khôi phục được chọn và bạn có thể kết nối một cách an toàn đến các tài nguyên mạng thông qua các đường hầm mã hóa, điều gì sẽ xảy ra nếu bạn muốn chia sẻ tài nguyên một cách an toàn qua mạng công ty hoặc gia đình? Windows 7 cung cấp một chức năng mới mang tên HomeGroup, chức năng có trong Control Panel. Bạn có thể cấu hình nó để tạo các thay đổi với hệ thống nhằm kết nối các máy tính khác trên mạng gia đình an toàn để chia sẻ tài nguyên như thể hiện trong hình 4 bên dưới.
Hình 4: Cấu hình Windows 7 HomeGroup
Windows 7 có thể được cấu hình để chia sẻ tài nguyên với các hệ thống khác trên mạng gia đình của bạn một cách an toàn. HomeGroup có thể cung cấp mức bảo mật cơ bản cho việc truy cập, sử dụng và chia sẻ dữ liệu. Cho ví dụ, nếu bạn cấu hình hai máy tính trên một mạng gia đình và một trong số chúng sử dụng máy in cục bộ, HomeGroup sẽ cho phép bạn chia sẻ máy in đó với tư cách tài nguyên để tất cả các hệ thống đều có thể sử dụng nó. Bạn cũng có thể đặt mật khẩu để bảo vệ nó và chỉ định những ai có thể sử dụng và những ai không. Với Windows 7, cách thức này thay thế cho việc phải sử dụng chức năng Workgroup. Mặc dù vậy không phải tất cả các phiên bản Windows 7 đều cho phép bạn tạo một HomeGroup. Các phiên bản Windows 7 đều có thể gia nhập một HomeGroup, tuy nhiên chỉ có thể tạo một HomeGroup trong các phiên bản Home Premium, Professional, hoặc Ultimate.Rõ ràng, Windows 7 sẽ an toàn nhất khi sử dụng nó với Windows Server 2008 trong môi trường Active Directory. Chạy hệ điều hành lớp doanh nghiệp sẽ mở toanh cánh cửa cho các tính năng kiểm tra và khóa chặn đầy đủ nhất. Cho ví dụ, việc lướt web có thể được điều khiển và được kiểm tra với Active Directory, Group Policy, đặc biệt các template khóa chặn, các bộ kit cũng như các công cụ như proxy server. Người dùng có thể đăng nhập vào miền (Domain) và có thể được quản lý và kiểm tra hoàn toàn. Bất cứ thứ gì người dùng thực hiện cũng đều có thể được ghi chép lại. Bất cứ công cụ hoặc dịch vụ mà Windows cung cấp cũng đều có thể tùy chỉnh, thay đổi hoặc remove hoàn toàn.Với các sản phẩm Forefront, mọi khía cạnh sử dụng máy tính, thẩm định nhận dạng, ghi chép và kiểm tra đều có sẵn và được quản lý trong một giao diện tập trung. Bạn có thể nâng Windows Server lên mức cao hơn nữa bằng cách tích hợp với Forefront. Forefront là một dòng sản phẩm mới của Microsoft, có thể cung cấp một trải nghiệm bảo mật hoàn chỉnh cho doanh nghiệp. Nó cung cấp các tính năng cho máy chủ, desktop, điều khiển truy cập và các giải pháp cá nhân cho SharePoint và nhiều thành phần khác. Khi chạy máy khách Windows trong môi trường doanh nghiệp, giải pháp này có thể cung cấp khả năng tinh chỉnh các thiết lập bảo mật cũng như nhiều tùy chọn cho việc quản lý và kiểm tra tập trung.Trong một số trường hợp, bạn có thể phải chạy Active Directory. Cho ví dụ, điều gì sẽ xảy với bạn nếu chính sách bắt phải thẩm định tất cả các truy cập vào tài nguyên công ty và giữ lại một copy tất cả các email nhân viên? Khi làm việc trong doanh nghiệp, bạn chắc chắn sẽ gặp phải việc thẩm định – đặc biệt nếu làm việc trong công ty thương mại. Dữ liệu “phải” được bảo vệ và có thể khôi phục lại. Các mức bảo mật ở mức nào đó phải được đặt ra và điều này được thực hiện với luật pháp của chính phủ.Trong doanh nghiệp, bạn sẽ có khả năng bảo mật hơn cho các máy trạm hoặc desktop bằng cách sử dụng dịch vụ thư mục Active Directory (AD DS), model miền, Group Policy và các công cụ khác để tập trung và điều khiển các chức năng bảo mật. Kerberos được nâng mức để giữ tất cả các phiên giao dịch được an toàn thông qua thẻ. Điều này sẽ tạo một nền tảng an toàn cho những gì được xây dựng bên trên nó. Nếu bạn xây dựng trên nền tảng đó, khả năng áp dụng được các mức điều khiển nâng cao sẽ không dừng lại ở đây.Windows 7 có thể được quản lý như một máy khách và khi thực hiện điều đó trong một mô hình miền, Active Directory sẽ cung cấp bảo mật bằng việc tích hợp tất cả các dịch vụ, khả năng điều khiển truy cập vào nó và đi cùng là nhiều tùy chọn cho các chiến lược triển khai bảo mật, chẳng hạn như chỉ cài đặt thành phần “lõi” của những gì được cho là cần thiết nhằm hạn chế bề mặt tấn công ở mức thấp nhất, hoặc cài đặt và cấu hình, bổ sung thêm các dịch vụ, tất cả thông qua các tùy chọn và toolkit. Thêm vào đó, Group Policy khi được áp dụng đúng cách có thể giúp bạn triển khai nhiều tính năng chúng ta đã thảo luận, cho ví dụ, bạn có thể tích hợp BitLocker và AD và sau đó triển khai cùng một chính sách. Bạn có thể kiểm soát Internet Explorer cũng như hạn chế sự truy cập, khóa toàn bộ nó với các danh sách các site malware được cấu hình và các mạng được liệt vào danh sách đen.Bạn cũng có thể triển khai các tính năng bảo mật nâng cao của Windows 7 để thắt chặt sự bảo mật hơn nữa, chẳng hạn như:Advanced DNS Security – Extension Domain Name System Security (DNSSec) hỗ trợ với Windows 7 sẽ mang đến cho bạn một mức bảo mật mới cho việc phân định tên. Do DNS rất quan trọng và là phần xương sống của hầu hết các giải pháp, nên nó cũng là mục tiêu của nhiều tấn công. RFC 4033, 4034 và 4035 liệt ra các chuẩn mới cho việc lưu trữ bảo mật DNS và Microsoft đã biên dịch với Windows 7.DirectAccess – DirectAccess là một tính năng của Windows 7 cho phép làm việc khi lưu động và khả năng làm việc từ xa qua Internet mà không cần sử dụng kỹ thuật VPN. DirectAccess được thắt chặt với tài nguyên doanh nghiệp để cho phép bạn truy cập chúng từ xa một cách an toàn. Nó cũng cho phép người dùng lưu động có khả năng nhận sự hỗ trợ từ xa từ các nhân viên CNTT. Ngoài ra DirectAccess còn cho phép bạn quản lý các máy tính từ xa và nâng cấp chúng thông qua Group Policy. Nó cũng sử dụng IPv6 trên IPsec để mã hóa lưu lượng qua Internet công cộng.AppLocker – Khi làm việc với Local Security Policy Editor (hoặc Group Policy), bạn có thể cấu hình AppLocker, một tính năng trong Windows 7 có thể điều khiển các ứng dụng đã được cài đặt của bạn. Khi cấu hình, bạn có thể khóa chặn, hạn chế, điều khiển các ứng dụng desktop. Nó thực hiện các công việc đó qua một tập các rule. Bạn có thể cấu hình các rule để điều khiển ứng dụng, cách các nâng cấp được quản lý và,... Hình 5 thể hiện bộ Local Security Policy editor trong Windows 7, nơi bạn có thể cấu hình bảo mật ứng dụng với AppLocker.
Hình 5: Sử dụng AppLocker để bảo mật các ứng dụng
Cuối cùng, luôn xem xét đến mạng của bạn. Các hệ thống không dây là các hệ thống rất dễ bị xâm phạm. Các router, switch và các thiết bị quản lý khác trong mạng đều rất dễ bị tấn công nếu không làm vững chắc tốt. Đó là lý do tại sao khái niệm Defense in Depth lại quan trọng đến vậy – bạn cần khám phá các điểm đầu vào và các vùng có thể bị khai thác.Mẹo: Với Windows Server 2008 R2 và các sản phẩm của bên thứ ba như Cisco Systems, bạn có thể triển khai NAP/NAC để bảo mật và thực thi chính sách điều khiển truy cập. Với Microsoft, cơ sở hạ tầng Network Access Protection (NAP) gồm có các máy khách NAP và các máy chủ Health Registration Authority (HRA) và có thể được điều khiển tốt hơn thông qua Network Policy Server (NPS). NAP sẽ điều khiển truy cập máy khách thông qua một chính sách đồng thuận được cấu hình trước. Nếu máy khách không có đủ các yêu cầu cần thiết, nó sẽ bị yêu cầu nhập vào đầy đủ các yêu cầu đó. Nó cũng có thể được cấu hình để khóa hoặc từ chối sự truy cập. Cisco sử dụng kỹ thuật tương tự như vậy mang tên Network Admission Control (NAC). Khi sử dụng cùng trong các môi trường Microsoft/Cisco, bạn có thể tạo mức bảo mật và kiểm soát cao.Kết luậnHệ thống Windows 7 tại nhà có thể được khóa chặn và quản lý dễ dàng. Thậm chí còn có thể cấu hình một cách an toàn để có thể truy cập Internet từ một vị trí từ xa nếu bạn rời nhà mà vẫn để máy tính ở trạng thái tích cực. Windows 7 có thể được bảo vệ để “đạn bắn không thủng” nếu bạn thực sự muốn làm vững chắc nó ở mức khóa chặn toàn bộ. Tuy nhiên nó cũng có thể trở thành đối tượng tấn công nếu bạn sử dụng máy tính trên Internet. Do đó chúng ta cần lên kế hoạch cho những gì có thể xảy ra và làm vững chắc Windows 7 theo đó.Khi xem xét việc sử dụng Windows 7, với tình hình các tấn công, các khai thác hiện nay ngày một nhiều và tinh vi, các tùy chọn bảo mật và khả năng linh hoạt là sự ưu tiên hàng dầu trong việc tạo quyết định. Windows 7 quả thực an toàn, tuy nhiên không thể 100%. Bạn phải sử dụng kiến thức, các công cụ và các cấu hình nâng cao để bảo mật tất cả các khía cạnh của nó và sau đó nâng cấp và kiểm tra chúng một cách thường xuyên. Tất cả những công việc đó rất đáng giá nếu bạn tránh được tấn công. Bên cạnh đó Windows 7 còn có nhiều cải tiến về bảo mật và có thể được cấu hình để khôi phục một cách nhanh chóng.Thêm vào các nguyên lý bảo mật cơ bản, chẳng hạn như Defense in Depth cần phải được áp dụng kết hợp với các hướng dẫn bảo mật khác và các biện pháp bảo mật tốt nhất để không chỉ áp dụng bảo mật trong bảo vệ mà còn làm gia cố thêm nhiều lớp bảo mật khác cho việc phòng chống.
Các file đính kèm theo tài liệu này:
- Hướng dẫn toàn diện về bảo mật Windows 7.doc