Hướng dẫn toàn diện bảo mật Windows – Phần Trong giới thiệu cho bạn cách bảo mật Windows giới thiệu thêm số chức bảo mật biết đến mà hệ điều hành cung cấp Windows hệ điều hành máy khách cho máy tính desktop Microsoft, xây dựng dựa điểm mạnh khắc phục điểm yếu có hệ điều hành tiền nhiệm, Windows XP Windows Vista Mọi khía cạnh hệ điều hành như, cách chạy dịch vụ cách load ứng dụng nào, làm cho hệ điều hành trở nên an toàn hết Tất dịch vụ nâng cao có nhiều tùy chọn bảo mật đáng tin cậy Tuy nhiên cải tiến hệ thống dịch vụ mới, Windows cung cấp nhiều chức bảo mật tốt hơn, nâng cao khả thẩm định tính kiểm tra, khả mã hóa kết nối từ xa liệu, hệ điều hành có nhiều cải tiến cho việc bảo vệ thành phần bên trong, bảo đảm an toàn cho hệ thống chẳng hạn Kernel Patch Protection, Service Hardening, Data Execution Prevention, Address Space Layout Randomization Mandatory Integrity Levels Có thể nói Windows thiết kế an tồn Thứ nhất, phát triển sở Security Development Lifecycle (SDL) Microsoft Thứ hai xây dựng để hỗ trợ cho yêu cầu tiêu chuẩn chung để có chứng Evaluation Assurance Level (EAL) 4, đáp ứng tiêu chuẩn xử lý thông tin Federal Information Processing Standard (FIPS) #140-2 Khi sử dụng hệ điều hành độc lập, Windows bảo vệ tốt người dùng cá nhân Nó có nhiều cơng cụ bảo mật hữu dụng bên trong, nhiên sử dụng với Windows Server 2008 (R2) Active Directory, bảo vệ đạt hiệu cao Bằng việc nâng mức độ bảo mật từ công cụ Group Policy, người dùng kiểm sốt khía cạnh bảo mật cho desktop Nếu sử dụng cho cá nhân văn phòng nhỏ hệ điều hành tỏ an toàn việc ngăn chặn nhiều phương pháp cơng khơi phục cách nhanh chóng trường hợp gặp phải thảm họa, có nhiều ưu điểm có Windows 2008 điều khơng thiết phải có để có mức bảo mật cao cho Windows Tuy nhiên Windows thân hệ điều hành an tồn điều khơng có nghĩa bạn dựa vào cấu hình mặc định mà quên việc thực số điều chỉnh để gia cố thêm khả bảo mật Cần phải biết bạn đối tượng cơng số dạng malware hay công Internet máy tính bạn sử dụng mạng cơng cộng Cần biết máy tính sử dụng để truy cập Internet nơi công công hệ thống bạn mạng mà kết nối đến miếng mồi ngon cho kẻ công Trong giới thiệu cho bạn số kiến thức cần thiết để bảo mật Windows cách, giúp bạn đạt mức bảo mật bản, xem xét số cấu hình bảo mật nâng cao khám phá số chức bảo mật biết đến Windows nhằm ngăn chặn bảo vệ chống lại cơng Giới thiệu số cách bảo đảm an toàn liệu, thực backup chạy cách nhanh chóng bạn gặp phải số công bị trục trặc hệ thống mức độ thảm khốc khả xử lý Tiếp số khái niệm bảo mật, cách “làm vững chắc” Windows 7, cách cài đặt cung cấp bảo mật cho ứng dụng chạy, cách quản lý bảo mật hệ thống Windows ngăn chặn vấn đề gây malware Bài viết giới thiệu cho q trình bảo vệ liệu, tính backup khôi phục hệ điều hành, cách khôi phục hệ điều hành trở trạng thái hoạt động trước đó, số cách bảo vệ liệu trạng thái hệ thống thảm họa xảy Chúng giới thiệu số chiến lược để thực nhanh chóng cơng việc Các chủ đề giới thiệu gồm có cách làm việc an tồn online, cách cấu hình điều khiển sinh trắc học để kiểm soát truy cập nâng cao, cách thời điểm sử dụng với Windows Server 2008 (và Active Directory) nào, cách bạn tích hợp cách an tồn tùy chọn cho việc kiểm soát, quản lý kiểm tra Mục tiêu viết để giới thiệu cho bạn tính bảo mật Windows 7, nâng cao ứng dụng chúng cung cấp cho bạn kiến thức việc lên kế hoạch, sử dụng tính bảo mật Các khái niệm mà giới thiệu chia nhỏ tổ chức theo phương pháp khối Lưu ý: Nếu làm việc công ty môi trường chuyên nghiệp khác, bạn không nên thực điều chỉnh với máy tính cơng ty Hãy thực theo kế hoạch (hay sách) bảo mật ban bố, hành động, nguyên lý hướng dẫn tốt công bố tổ chức Nếu chưa quen với chủ đề bảo mật sản phẩm Microsoft, đọc tài liệu hướng dẫn sản phẩm trước áp dụng thay đổi cho hệ thống Những vấn đề bảo mật Trước sâu vào chi tiết Windows 7, muốn giới thiệu cho bạn số khái niệm vấn đề bảo mật cách lập kế hoạch cho ứng dụng Tiếp bạn cần biết việc kiểm tra để trì bảo mật lại quan trọng đến cách kiểm tra xác dịch vụ bảo mật để tìm vấn đề Quan trọng cần biết cách kiểm tra khám phá xem liệu có để mở cửa cho cơng dễ dàng hồnh hành khơng Bảo mật khơng phải thứ bạn lập kế hoạch cách tùy tiện sau nhanh chóng đưa vào áp dụng Nó khái niệm cần phải áp dụng cho khía cạnh kỹ thuật triển khai thực hành Nó thứ cần phải cân nhắc suy xét cẩn thận trước triển khai sau kiểm tra quản lý sau áp dụng Yêu cầu bạn phải tiến hành phân tích để có điều chỉnh thích hợp với kiến trúc bảo mật hành, khám phá công tiềm ẩn Hầu hết, cần phải test chương trình mã độc kẻ cơng để tìm truy cập q trình này; sau bạn tiên phong việc bảo vệ thấy cố gắng hành động xâm hại Hãy tiến hành ghi chép sau thẩm định, bạn tìm nhiều thơng tin thú vị truy vấn nhắc nhở đăng nhập router mình, cố gắng đăng nhập tài khoản quản trị viên,… Các ghi cảnh báo hữu dụng vì, có vấn đề xảy bạn phản ứng nhanh chóng xác thơng qua việc phân tích địa IP nguồn, cố gắng đăng nhập bị bắt cách thẩm định Việc đáp trả lại công với kế hoạch chi tiết gọi hành động “đáp trả vụ việc” (incident response) Việc chuẩn bị chìa khóa cho hành động “đáp trả vụ việc”, có kế hoạch tiên phong kế hoạch phản ứng điều quan trọng cần phải có trước thảm họa xảy Kế hoạch khôi phục thảm họa Disaster Recovery Plan (đôi sử dụng kết hợp với kế hoạch tiếp tục cơng việc, BCP), gồm có chiến lược khôi phục từ vụ việc Một số đơn vị CNTT có chuyên gia IT dành riêng cho nhóm đáp trả vụ việc, nhóm chịu trách nhiệm theo kế hoạch đặt để khắc phục giải vấn đề quan trọng gây ngừng làm việc hệ thống mức độ đáng kể, tồi tệ liệu, công mạng hệ thống,… Với người dùng gia đình hệ thống độc lập, bạn cần phải tuân theo lược mức đơn giản hóa Do cần bảo vệ thứ, cần phải phản ứng với thảm họa, kế hoạch tốt tạo trước cho việc khắc phục thảm họa làm hướng đắn cho bạn Một ví dụ điển hình cho kế hoạch đơn giản là, hệ thống bạn bị tiêm nhiễm malware (chẳng hạn Trojan), bạn phải cài đặt lại hệ điều hành tất cố gắng khôi phục sửa chữa gặp thất bại Nếu rơi phải trường hợp này, bạn cần gán cho thành viên nhóm, bước chi tiết thủ tục chuẩn bị trước cho thảm họa để phản ứng cách xác q trình test để bảo đảm thứ thực sau khơi phục diễn Việc truy cập, có copy file cài đặt chương trình ứng dụng khác tay lúc giúp bạn tiết kiệm thời gian khắc phục cố, thiết lập đúng, cho bạn hướng mà bạn cần thực Lưu ý: Để giúp bạn lên kế hoạch biết thêm vấn đề bảo mật, bạn tìm kiếm danh sách kiểm tra kế hoạch phần liên kết tham chiếu viết Cũng nên xem lại kế hoạch cách thường xuyên, đặc biệt sau vấn đề nghiêm trọng xảy có mục hành động bổ sung cần Khi có kế hoạch phù hợp, bạn cần xem xét đến việc xây dựng tảng với nhiều chức dịch vụ Mẹo: Bảo mật cần phải xem xét áp dụng cho hệ thống dịch vụ sử dụng để giảm nhẹ rủi ro có liên quan làm việc Và bảo mật áp dụng theo cách để ngăn chặn trước cơng thảm họa, mà bạn phải bỏ tốn nhiều Bảo mật, chí mức cần phải áp dụng để giữ liệu cá nhân cách an toàn phải đảm bảo cho cần cài đặt lại hồn tồn Windows từ đống đổ nát bạn sử dụng lại liệu truy cập sử dụng liệu Bảo mật bị bỏ qua Cũng nên xem xét đến việc triển khai bảo mật tính khái niệm tính kỹ thuật cách sử dụng khái niệm bảo mật phịng vệ có chiều sâu (Defense in Depth) Bảo mật cần phải xem xét áp dụng cho tất hệ thống, dịch vụ, ứng dụng thiết bị mạng, cần phải giữ cho hệ thống bạn hoạt động kết nối với Internet Các sách ban bố kế hoạch phát triển giúp người dùng có suất cao sử dụng hệ thống, bên cạnh hiểu biết chung việc sử dụng sách Liên tục bảo dưỡng làm cho khoản đầu tư bạn tăng lên Nhưng để ngăn chặn lỗ hổng kiến trúc bảo mật, bạn phải xem xét đến việc lập kế hoạch áp dụng model bảo mật có sử dụng khái niệm ‘Defense in Depth’ Hình thể ứng dụng ‘Defense in Depth’ mức đơn giản nhất, bạn bổ sung thêm lớp khác, điều tùy thuộc việc gia đình mạng công ty bạn thiết lập Hình 1: Xem cách Defense in Depth tập trung triển khai Defense in Depth bạn thấy, tùy chỉnh cho phù hợp với nhu cầu bạn Trong ví dụ này, sách bảo mật cung cấp hướng bảo mật truyền thông cho người dùng hệ thống mạng Thêm vào đó, cần xem xét đến việc làm vững hệ thống, điện thoại, desktop, dịch vụ, ứng dụng, máy chủ, router, switch PBX bạn, tất cả, để bảo đảm tất lối vào che chắn kỹ Rõ ràng cần có số hình thức bảo vệ Internet cơng cộng (chẳng hạn tường lửa) trình sử dụng, nhiên phải mở rộng vấn đề bổ sung thêm mục khác chẳng hạn thăm dị, lọc, qt để có nhiều hỗ trợ tinh vi Ngồi bạn cần có cách kiểm tra ghi lại tất thông tin nhằm mục đích cho việc đánh giá xem lại cần Windows thiết kế để tích hợp vào sử dụng môi trường tuân theo mức bảo mật cao, chẳng hạn phủ Mỹ quân đội Mỹ Khi xem xét đến nguyên lý bảo mật Windows, bạn cần nhớ hệ thống mức doanh nghiệp phải cấp chứng mức bảo mật C2 từ sổ vàng Microsoft Windows cần tuân theo chứng tiêu chuẩn chung Để có thêm thơng tin chủ đề này, bạn tìm biết khác thơng tin khác phía cuối phần liên kết tham chiếu Windows linh hoạt, với nhiều tùy chọn cho phép cấu hình hệ thống với chức hoàn tất (bảo mật tối thiểu), cấu hình mức hoạt động bản, có hoạt động mà bạn cấu hình cho phép sử dụng (bảo mật tối đa) Với Windows 2008 Windows 7, chức bảo mật tăng gấp mười lần sử dụng cách Lưu ý: Cần phải nhớ từ chối vấn đề (hoặc vấn đề tiềm tàng) tùy chọn Các vấn đề trước sử dụng sau này, bỏ qua cách hoàn toàn Sự lười biếng khiến bạn tốn nhiều thời gian Mặc dù bảo mật tối nghĩa lại bảo mật Sự không tuân thủ theo quy tắc chặt chẽ gây nhiều vấn đề sau Một triển khai bảo mật xuyên suốt máy tính gia đình bên doanh nghiệp (cả hai đề quan trọng) ngăn chặn tượng dị dỉ cơng, cung cấp bảo mật đa lớp nhằm giúp cho trạng bảo mật bạn an tồn mức cao, nhiên khơng phải tránh hết chúng Bạn cần phải biết kiến thức tảng bảo mật, cách chuẩn bị trước chống chọi với công muốn an toàn Cho đến bạn làm quen với số khái niệm bảo mật bản, xem xét chúng tơi nghiên cứu trình cấu hình thiết lập bảo mật Windows Cần đứng quan điểm xem xét cách đạt kiến thức lý muốn áp dụng bảo mật, cần áp dụng nó, lý cho việc quản lý, kiểm tra nâng cấp nó, tất cần thực đào sau vào khái niệm bảo mật cấu hình thống Windows Vấn đề thực dễ dàng bạn biết bạn muốn thực Nếu người dùng Windows người khó khăn việc thích nghi với hệ điều hành (có lẽ bạn bỏ qua Vista) chắn bạn cần phải bỏ nhiều thời gian để tìm hiểu cơng cụ nghiên cứu chúng website trực tuyến để có hiểu biết sâu Cho ví dụ, bạn tìm thấy nhiều template checklist trực tuyến từ Microsoft.com, thứ cung cấp cho bạn khả áp dụng bước vấn đề bảo mật hệ thống Windows Bạn tìm thấy công cụ hữu dụng phần liên kết tham chiếu phía cuối Các Template khơng phải lúc câu trả lời, gây hậu khơng mong muốn không sử dụng cách (hoặc cấu hình cách), cần ln ln quan sát lưu ý – chí download trực tiếp từ Microsoft.com Một điều quan trọng mà bạn cần phải thực phải đọc tài liệu kèm với template để sử dụng Cũng cần phải nhấn mạnh thêm rằng, khơng có tảng cho thân hệ điều hành nào, hay nguyên lý mà hệ điều hành hoạt động, bạn khơng thể trì mức bảo mật cao thời gian dài Những hiểu biết hệ điều hành lõi dịch cần thiết bạn muốn trì tình trạng bảo mật mức cao, chí sau cấu hình bảo mật hệ thống cách Việc ghi chép Event Viewer hữu dụng, bạn cấu hình hành động thẩm định (ví dụ) nhận thơng tin chi tiết diễn bên hệ thống Hầu hết (không phải tất cả) ghi mang tính khó hiểu diễn giải vấn đề thuật ngữ với tập ngôn ngữ máy Bạn cần online để tháo gỡ vướng mắc mình, cách làm giúp bạn thực cơng việc dễ dàng Và bạn thấy có nhiều thứ chưa biết tìm thấy nhiều công cụ muốn bổ sung thêm vào kit cho triển khai tương lai test cẩn thận Cũng cần có mức linh hoạt áp dụng bảo mật, mức cho phép bạn có đạt mục tiêu yêu cầu cần thiết cho doanh nghiệp (chẳng hạn việc truy cập Internet) mà không xảy vấn đề gì, trì mức bảo mật cao cần thiết Một ví dụ tuyệt vời công cụ User Account Control (UAC), cơng cụ điều chỉnh, cung cấp mức bảo mật cao, tắt hoàn toàn Bạn phải khởi động lại hệ thống tắt UAC Hình 2: Điều chỉnh Level of Security cách điều chỉnh thiết lập UAC UAC sử dụng để ngăn chặn không cho chương trình ứng dụng thực thay đổi với hệ điều hành bạn Nó làm việc cách hạn chế truy cập bên lõi hệ điều hành, sau cung cấp thơng tin chi tiết đến người dùng chương trình cố gắng cài đặt can thiệp sâu vào cấu hình hệ điều hành Đây cơng cụ hữu dụng, cho bạn có hội thẩm định chương trình làm việc can thiệp vào thứ bạn không muốn UAC giới thiệu từ thời Windows Vista, nhiên Vista người dùng tắt tiện ích nên dường nỗi bực cho hầu hết Trong Vista, UAC làm bực dọc cho người dùng họ dường khơng thể tìm cách để giải vấn đề Các chuyên gia phát triển Windows gặp nhiều vấn đề rắc rối trình viết mã hạn chế UAC số vấn đề có liên quan cần thiết Giờ đây, với Windows 7, UAC tắt hồn tồn, cấu hình bảo mật mức khơng an tồn, nhiên cung cấp cho người dùng linh hoạt có thêm lựa chọn Lưu ý: Cần bảo vệ cho hệ thống bạn an toàn, khơng nên tắt hồn tồn UAC tắt lý bạn cần bật nên tức khắc Cài đặt “làm vững chắc” Windows Có thể nói Windows thiết kế an tồn Khi triển khai nó, bạn nên thực cài đặt fresh máy tính mua, cần có cấu hình phần cứng đạt u cầu sau “làm vững chắc” cho Việc “làm vững chắc” hệ thống trình làm tăng mức bảo mật cho máy tính cài đặt cách cấu hình thiết lập bảo mật cần thiết, bỏ phần mềm không cần thiết thực điều chỉnh số thiết lập sách nâng cao Lưu ý: Bạn cần tạo kế hoạch lựa chọn phần cứng cho Windows 7, muốn sử dụng ảo hóa, hay tính Windows Trusted Platform Module (TPM) Management tính khác chẳng hạn BitLocker bạn cần phải mua phần cứng mà hỗ trợ tính Khi hệ điều hành bạn cài đặt cách cấu hình bản, lúc thực q trình “làm vững chắc” Liệu có cần phải có cài đặt Windows hay “làm vững chắc” hệ thống đưa vào sử dụng rồi? Về kỹ thuật, bạn “làm vững chắc” hệ thống cài đặt sử dụng, nhiên trước thực hiện, bạn nên làm tìm hiểu, phân tích , kiểm tra thẩm định mức bảo mật cấu hình sử dụng Khơng “làm vững chắc” thứ bị thỏa hiệp Bạn biết cách ứng dụng bảo mật ảnh hưởng đến hệ thống sản xuất sử dụng gia đình hay môi trường công ty Một số hệ thống nhân thiết lập để test tiêu tốn bạn chút thời gian tài nguyên, nhiên việc đáng phải làm tìm tránh số vấn đề xuất với thiết kế triển khai bạn Bạn gây thiệt hại làm cho tốt thay đổi thiết lập bảo mật template ảnh hưởng tới dịch vụ hệ thống sản xuất Cho ví dụ, áp dụng bảo mật cho hệ thống hạn chế thay đổi tính lọc tường lửa, bỏ chức từ chương trình mà bạn cài đặt sử dụng - sử dụng cổng đóng tường lửa điều dẫn đến lỗi kết nối Vấn đề gây hiệu không mong muốn ứng dụng sử dụng cho doanh nghiệp, cần thiết cho sản xuất cần nhiều thời gian để khám xét, khắc phục Đó lý đơn giản cài đặt fresh hệ điều hành Windows 7, sau “làm vững chắc” cách nhanh chóng, bạn thẩm định bảo mật trì triển khai Thêm vào bạn làm cho q trình diễn nhanh hơn, đặc biệt sử dụng máy ảo (VM) VHD file, thứ cho bạn có nhiều tùy chọn tạo nhiều instance desktop để tự động chuyển đổi dự phịng ảo khơi phục trở lại nhanh chóng khơng có tùy chọn dự trữ Ảo hóa đơn giản hóa q trình cài đặt tạo image vơ tính cho mục đích backup, bạn khơi phục desktop cách dễ dàng khoảng thời gian vài phút Chúng giới thiệu vấn đề ảo hóa phần sau loạt Nếu việc tự động chuyển đổi dự phịng kích hoạt cấu hình, người dùng desktop chí không nhận thấy tượng ngưng chạy máy móc tí ảo hóa Bạn “làm vững chắc” hệ thống sau truy cập liệu an tồn thơng qua ổ đĩa, sở liệu kho chứa chia sẻ - tất thực tốc độ cao, với tùy chọn chuyển đổi dự phịng khơng giúp an tồn mà cịn tạo tách biệt cho liệu mà bạn truy cập Nếu lên kế hoạch đúng, bạn tạo snapshot hồn chỉnh cho phiên Windows an toàn, cấu cập nhật xảy thảm họa, khơi phục hệ thống cách nhanh chóng Sau đó, sau khơi phục hệ điều hành bản, bạn gắn lại ổ đĩa chia sẻ để truy cập liệu Vậy cài đặt Windows, bạn cần thực bước để “làm vững chắc” nó? Và liệu có thứ tự để chọn hay khơng? Nếu có số bước cài đặt “làm vững chắc” chúng thứ tự cài đặt bản, bỏ số thứ không cần sử dụng, cập nhật hệ thống, áp dụng bảo mật bản, tạo backup để khôi phục nhanh cần thiết, xem danh sách bên dưới: • Bước – Cài đặt hệ điều hành cách chọn tùy chọn trình cài đặt làm tăng bảo mật, khơng chọn dịch vụ, tùy chọn chương trình khơng cần thiết • Bước – Cài đặt Administrator toolkit, cơng cụ bảo mật chương trình cần thiết • Bước – Gỡ bỏ dịch vụ, chương trình phần mềm khơng cần thiết Vơ hiệu hóa gỡ bỏ tài khoản người dùng hay nhóm người dùng khơng sử dụng • Bước – Nâng cấp gói dịch vụ, vá lỗi, tất chương trình cài đặt • Bước – Thực thẩm định bảo mật (quét, mẫu, MBSA, ) để đánh giá mức độ bảo mật hành • Bước – Chạy System Restore tạo điểm khôi phục Ứng dụng backup khơi phục để khơi phục thảm họa • Bước – Backup hệ điều hành theo cách để khơi phục nhanh chóng trường hợp xảy thảm họa Đây danh sách đơn giản Bạn bổ sung thêm số bước mở rộng danh sách Rõ ràng khơng phải danh sách bắt buộc, nhiên danh sách điểm khởi đầu tốt áp dụng bảo mật vào Windows sau cài đặt Nếu hoàn tất cài đặt fresh cho Windows 7, bước gỡ bỏ phần mềm, dịch vụ, giao thức chương trình mà bạn khơng muốn hay khơng cần chạy Cơng việc thực dễ dàng Control Panel Tiếp đến, bạn vào Control Panel thiết lập xem phép sử dụng máy tính User Accounts applet Ở bạn nên remove tài khoản khơng cần thiết, vơ hiệu hóa Rõ ràng, nên cẩn thận với người dùng nhóm người dùng mặc định, số tài khoản thắt chặt với dịch vụ chạy, cách truy cập liệu bạn , Bạn vơ hiệu hóa remove tài khoản cách dễ dàng Một kỹ thuật khác sử dụng hầu hết chuyên gia bảo mật để tài khoản quản trị viên nội nơi thích hợp thẩm định cho cố gắng sử dụng Một cách làm chung không sử dụng tài khoản mặc định quản lý mạng Microsoft với số lượng lớn hệ thống thiết lập tài khoản quản trị viên lần vết cần Bằng cách thẩm định tài khoản mặc định sử dụng tài khoản tạo với đặc quyền quản trị viên có liên quan với nó, bạn tăng độ bảo mật lên gấp hai Một bạn phát cố gắng truy cập vào máy tính tài khoản mặc định mà lẽ không làm việc Nếu thẩm định, bạn thấy cố gắng thời điểm chúng diễn Ứng dụng bảo mật cho tài khoản biết đến honeypot hữu dụng việc tìm kiếm cố gắng gây người dùng cố gắng truy cập vào hệ thống bạn Hai, bạn bỏ nửa phương trình cố gắng crack tài khoản bạn thơng qua chứng bản, chẳng hạn kết hợp username password Nếu bạn lấy thơng tin dễ đốn username, bạn cịn lại mật khẩu, thứ cấu hình theo cách để khơng thể bị crack Nếu thiết lập tài khoản mặc định honeypot bạn tạo mật gần khơng thể crack hạn chế để khơng thể thực thứ có bị thỏa hiệp (hạn chế ảnh hưởng bị thỏa hiệp) Bạn nên thay đổi tất mật cho tài khoản mặc định Sử dụng mật theo cách làm cho mật khỏe để bảo mật cho tài khoản cần thẩm định chúng Bạn nên cấu hình sách để người dùng cần thay đổi mật qua trình mà họ phép thay đổi chọn mật mạnh không dễ bị hack Đây mẹo “làm vững chắc” mang lại nhiều lợi ích, chẳng hạn khả phát công thông qua việc ghi chép thẩm định Mẹo: Trong Windows Server 2008, bạn cài đặt chức “core” (lõi), trình “làm vững chắc” áp dụng cho hệ thống giai đoạn cài đặt thực Khi cài đặt, máy chủ chạy với chức tối thiểu mà bạn cần đến, giảm bề mặt cơng Windows “làm vững chắc” khơng có tùy chọn cài đặt giống Windows Sever 2008 Để “làm vững chắc” Windows 7, bạn cần áp dụng sách, template phải tự cấu hình thiết lập bảo mật cần thiết Nói cách mà bạn bắt đầu để khóa chặt bảo mật cho Windows nào? Một cách dễ dàng để bắt đầu trình “làm vững chắc” hệ thống bạn sử dụng menu Start để tìm kiếm thứ có liên quan đến vấn đề bảo mật lưu bên hệ thống đánh số Để thực điều đó, kích nút Start để mở Start menu Sau đánh vào từ khóa ‘security’ trường Search Programs and Files Hình bên hiển thị tùy chọn Start menu dựa từ khóa tìm kiếm ‘Security’ Hình 3: Tìm sau xem tùy chọn bảo mật bên menu Start Ở bạn thấy chương trình, Control Panel applet (hay action), tài liệu file chọn tổ chức theo cách dễ xem truy cập Local Security Policy (nếu chọn) chỉnh sửa sách, cho phép bạn xem cấu hình sách bảo mật cho hệ thống Local Security Policy editor thấy hình Ở bạn thực số điều chỉnh cho tất thiết lập dựa sách hệ điều hành Hình 4: Xem cấu hình bảo mật với sách bảo mật nội Mẹo – để có quyền điều khiển tồn sách, bạn nên sử dụng Windows với sản phẩm Windows Server, chẳng hạn Windows Server 2008 R2 Nếu thực vậy, bạn sử dụng Active Directory (AD) Group Policy Nếu muốn thiết lập cục hành động thẩm định cho kiện (chẳng hạn kiện đăng nhập đăng xuất), bạn định hành động cửa sổ Local Security Policy (hình 4) Trong Control Panel, bạn vào Administrative Tools applet để tìm Local Security Policy editor, tìm kiếm Start menu Khi Windows sử dụng với Active Directory, bạn sử dụng Group Policy, dịch vụ mạnh cho phép bạn tùy chỉnh, quản lý triển khai thiết lập ưu tiên triển khai phần mềm cách dễ dàng, nhiên bạn cần kết nối Windows với miền tích cực quản lý cách Nếu cần cấu hình bảo mật theo sách cách làm đơn giản Tuy nhiên bạn thấy nhiều cơng cụ cần thiết cho việc cấu hình bảo mật Control Panel MMC mà bạn thiết kế triển khai Microsoft Security Center (Windows Vista, XP) sử dụng để tập trung hầu hết chức bảo mật trước Đây thứ thay Action Center, hành động bảo mật dễ tìm nhiều, quan sát chọn dựa cho phép bạn Cho ví dụ, thể Start menu (hình 3), hành động ‘Check security status’ chọn tạo danh sách cấu hình bảo mật mà Windows khuyến khích, chẳng hạn nâng cấp hệ thống, hay chương trình antivirus (AV) Khi chọn, bạn gửi đến Action Center để bạn biết thêm vấn đề cần quan tâm Hình 5: Cấu hình hành động bảo mật tùy chọn Control Panel Mẹo: Hình hiển thị hành động có Control Panel mà bạn lựa chọn Nếu kích Start menu, đánh “security” kích liên kết Control Panel, bạn nhận danh sách hành động cấu hình bảo mật, danh sách bạn tùy chỉnh với tùy chọn dễ tìm dễ truy cập Khi Action Center (hoặc xem danh sách hành động), bạn chuyển xuống phần danh sách cấu hình phù hợp với Đây giới thiệu vắn tắt tùy chọn cấu hình danh sách Action Center: • Action Center – Action Center thay cho Security Center Action Center nơi bạn định hành động mà hệ điều hành thực Với cho phép bạn, hành động diễn Ở bạn thông báo chưa thực nâng cấp phần mềm Antivirus (ví dụ vậy) Bạn truy cập vào thành phần trung tâm để thực hành động có liên quan đến bảo mật cần thiết • Internet Options – Duyệt web với hình thức mở cửa cho rủi ro Internet Nếu sử dụng máy chủ proxy, sử dụng hành động lọc kiểm tra web, cập nhật vá lỗi cho hệ điều hành, bạn rơi vào tình mà bảo mật bạn bị thỏa hiệp Bên Internet Options Control Panel applet, bạn định vùng an tồn, cho phép URL phép truy cập, triển khai thiết lập bảo mật nâng cao tab Advanced và, Bản thân trình duyệt có tính lọc Phishing để ngăn chặn công Phishing tùy chọn cấu hình khác chẳng hạn InPrivate Browsing, tính ngăn chặn việc lưu lại thông tin cá nhân ban sau duyệt web, đặc biệt hữu dụng sử dụng máy tính dùng chung • Windows Firewall – Giống phần mềm tường lửa phần cứng nào, Windows Firewall làm chệch hướng cơng cấu hình “mức tinh hơn” đạt mức kiểm sốt cao cho vào khỏi hệ thống máy tính bạn kết nối với mạng public hay private Bằng cách vào Control Panel chọn Windows Firewall, bạn truy cập đến hầu hết thiết lập cấu hình tường lửa Có thể kích liên kết Advanced settings hộp thoại để truy cập Firewall with Advanced Settings tùy chọn cấu hình Với Windows 7, bạn cịn triển khai nhiều sách tường lửa đồng thời sử dụng thứ bậc miền để cấu hình quản lý tường lửa Windows dễ dàng • Personalization – Tùy chọn Personalization nơi bạn thay đổi diện mạo bề Windows, nhiên nơi bạn cấu hình mật screensaver muốn Nếu chạy Windows doanh nghiệp, người dùng nên biết cách khóa máy trạm làm việc họ họ rời bàn làm việc sử dụng thiết lập sách để thực việc cách tự động sau khoảng thời gian khơng hoạt động đó, quên, bảo vệ hình cấu hình u cầu đăng nhập lại hữu dụng Tại nhà, tuyến phịng chống bạn rời hệ thống qn khóa • Windows Update – Tất phát hành phần mềm yêu cầu số mức vá định Bạn chuẩn bị, test phát triển phần mềm hồn hảo khơng thể tính toán hết thứ Cũng vậy, nâng cấp phát hành yêu cầu nâng cấp cho hệ điều hành qua thời gian tồn phiên hệ điều hành hành Do có nhiều tiến hệ thống, nhiều yêu cầu cần thiết cho kỹ thuật phát triển, nhiều lỗ hổng bảo mật phát theo thời gian, nâng cấp driver cho hiệu suất chức tốt nên ln có nhu cầu cho Windows Update Windows (và Microsoft) Update, phiên quản lý vá doanh nghiệp (WSUS, ) sử dụng để kiểm soát triển khai nâng cấp Các công cụ sử dụng để điều khiển, theo dõi kiểm tra nâng cấp hành tương lai cần thiết Cấu hình cho thực nhiệm vụ cách tự động, bạn phải có thói quen thực vấn đề thực quan trọng Nếu bạn khơng vá hệ điều hành khuyến khích (đơi u cầu), bạn đối tượng cơng • Programs and Features – Ngồi việc kiểm tra thấy Windows Updates cài đặt, bạn cần kiểm tra để xem cài đặt vào hệ thống cách thường xuyên, đặc biệt làm việc Internet download phần mềm từ máy chủ web Internet Cho ví dụ, việc cài đặt nâng cấp Java, bạn không đọc thông tin hiển thị hình cách cẩn thân q trình cài đặt, bạn cài đặt toolbar hệ thống mình, thứ tích hợp vào trình duyệt web bạn Giờ đây, dù có kiểm sốt chặt chẽ điều đó, nhiên nên kiểm tra cách định kỳ để thấy cài đặt vào hệ thống • Windows Defender – Spyware phần mềm sử dụng chủ yếu cho mục đích thương mại trái phép, thực thứ phân phối tải trọng trực tuyến, redirect trình duyệt bạn gửi lại thông tin hành động bạn Mặc dù phần mềm Antivirus có số tùy chọn để chống lại hành vi Windows Defender (hoặc ứng dụng remove Spyware khác) lựa chọn để dọn dẹp phần cịn lại Các Cookie vơ hại theo tính nó, đơi lại bị thao túng với vài lý không Cần phải bảo đảm nâng cấp Windows Defender thường xuyên với file định nghĩa nâng cấp cần thiết để bảo đảm bạn quét tất Spyware SpyNet cộng đồng mà Microsoft nói cách ngăn chặn mối hiểm họa gây Spyware • User Accounts – Việc quản lý tài khoản người dùng cốt lõi việc truy cập an tồn máy tính thứ chạy bên Cho ví dụ, tạo tài khoản người dùng gán cho nhóm Administrators, bạn có quyền truy cập tồn vào hệ thống máy tính Nếu cấu hình tài khoản người dùng chuẩn điều khoản mà phép hạn chế người dùng phép thực số thứ cụ thể Bạn cấu hình mật với sách mật tối thiểu để bắt buộc người dùng phải tạo mật khó bị crack Khi Windows Server 2008 Active Directory triển khai, bạn truy cập vào miền mà truy cập cho phép cấu hình điều khoản NTFS “tinh hơn” cho thư mục file nguồn chia sẻ khác máy in chẳng hạn • Power Options – Power Options Control Panel applet nơi bạn cấu hình hành vi mặc định cho hệ điều hành khơng cắm nguồn trực tiếp, đóng chuyển sang chế độ “ngủ” Cấu hình bảo mật để thiết lập mật yêu cầu máy tính thức giấc từ trạng thái ngủ Bất truy cập, bạn cần xem xét cách kỹ lưỡng Vậy cần áp dụng bảo mật cho Windows 7, Start menu cách tốt để bắt đầu “làm vững chắc” cách hệ thống bạn, mở cửa cho công cụ có sẵn Có nhiều tùy chọn bạn sử dụng để “làm vững chắc” hệ thống Windows mình, đặc biệt bên Control Panel Sử dụng Start menu cách dễ dàng để giúp bạn có tuyến phịng vệ cho hệ thống sau vừa cài đặt xong Một mẹo mà bạn thử thiết lập tuyến phịng vệ sau cài đặt ban đầu cấu hình hệ thống mình, nhiệm vụ yêu cầu bạn cấu hình tất tùy chọn bảo mật, ứng dụng download vá lỗi nâng cấp, sau backup tồn hệ thống với System Restore hay tiện ích tạo ảnh hệ thống Giờ bạn có snapshot cho hệ thống trang thái fresh để đề phòng cần thiết chuyển đổi Có thể tạo điểm khơi phục, để sử dụng hệ thống bị thỏa hiệp hay thảm họa Chúng giới thiệu cho bạn số tùy chọn System Restore phần khôi phục thảm họa loạt Lưu ý: Start menu cung cấp nhiều thơng tin tài liệu có liên quan đến bảo mật hệ thống Đây địa hữu dụng tìm kiếm tài liệu chẳng hạn sách bảo mật, Bạn “làm vững chắc” cách nhanh chóng Windows cách download công cụ tài liệu trực tiếp từ Microsoft Cho ví dụ, muốn cấu hình mức bảo mật cho Windows 7, bạn dễ dàng download template bảo mật để sử dụng, chạy có hầu hết thiết lập bảo mật điều chỉnh Hình cung cấp Windows Security Baseline Settings template với entry chia tab cho việc thẩm định tài khoản người dùng, BitLocker Tìm hiểu thêm phần liên kết tham chiếu cuối để tăng truy cập vào Hình 6: Cấu hình bảo mật từ Template Microsoft Lưu ý tùy chọn ‘Security Warning’ phía toolbar (ribbon) Microsoft Office Excel 2007, tùy chọn ngăn chặn bạn sử dụng template cách vơ hiệu hóa Macro bạn tâm đến Security Warning (xem hình 6) Ở đây, Security Macros bị vơ hiệu hóa yêu cầu cho ứng dụng template Đây ví dụ hồn hoản cho bảo mật linh hoạt Để có linh hoạt ví dụ này, bạn cần tắt bỏ hạn chế mức bảo mật áp dụng cho Chọn thủ cơng tùy chọn để chạy, vơ hiệu hóa bảo vệ, chạy Macro sau nâng mức bảo mật lần để giữ bảo mật cách có cài đặt mẫu Hệ thống bạn sẵn sàng bạn cấu hình số tính bảo mật bản, lúc bạn nên xem xét cách quản lý nó, kiểm trra xâm nhập, malware vấn đề khác phát thấy ghi kiện Lưu ý: Bạn nên lưu ý Windows có tùy chọn mang tên XP-mode, tùy chọn sử dụng cho việc giải vấn đề liên quan đến tương thích ứng dụng cho ứng dụng XP cũ Như thảo luận chủ đề ảo hóa bên trên, xem xét việc sử dụng chế độ XPmode, bạn cài đặt Virtual PC Windows chạy instance XP Virtual PC Nếu sử dụng XP-mode, bảo đảm làm vững VM chạy máy ảo theo cách mà bạn làm với hệ điều hành Các hành động gồm có bảo vệ AV, sách khóa, gói dịch vụ, nâng cấp phần mềm, Bạn cung cấp mức bảo mật qua ảo hóa mức bảo mật khơng hồn tất, bạn cần đến số bước “làm vững chắc”, chí ảo hóa sử dụng Kết luận Hệ thống Windows gia đình khóa chặn quản lý cách dễ dàng Bạn cấu hình cách an tồn để truy cập Internet từ vị trí từ xa Windows trang bị chắn bạn thực muốn “làm vững chắc” để khóa chặn hồn tồn điểm xâm phạm Tuy nhiên trở thành đối tượng công chăn bạn sử dụng máy tính Internet, ví dụ Do cần lập kế hoạch cho khả xảy làm vững Windows theo Khi xem xét đến việc sử dụng Windows 7, tình hình cơng khai thác ngày nay, tùy chọn bảo mật linh hoạt ưu tiên hành đầu cho việc tạo định Windows an tồn khơng phải an tồn 100% Bạn cần phải biết áp dụng kiến thức, cơng cụ khác cấu hình nâng cao để bảo mật khía cạnh sau nâng cấp kiểm tra chúng cách thường xuyên Đây công việc quan trọng đáng giá bạn muốn tránh cơng Thêm vào Windows có nhiều cải tiến bảo mật cấu hình để khơi phục nhanh chóng Các nguyên lý bảo mật chẳng hạn Defense in Depth phải áp dụng kết hợp với hướng dẫn bảo mật hành động tốt để không áp dụng cho việc bảo vệ mà cịn nhiều lớp che đậy tồn kiến trúc mã chương trình Trong phần đụng chạm đến bề mặt phần này, có nhiều kiến thức khác mà cần phải nghiên cứu thêm, nhiên hy vọng thơng tin giúp ích cho bạn Để tìm hiểu thêm, bạn đọc liên kết tham chiếu bên dưới, thông tin chi tiết cơng cụ miễn phí, template hướng dẫn Và khơng qn theo dõi đón đọc phần phát hành tới  ... để bảo mật Windows cách, giúp bạn đạt mức bảo mật bản, xem xét số cấu hình bảo mật nâng cao khám phá số chức bảo mật biết đến Windows nhằm ngăn chặn bảo vệ chống lại cơng Giới thiệu số cách bảo. .. thực theo kế hoạch (hay sách) bảo mật ban bố, hành động, nguyên lý hướng dẫn tốt công bố tổ chức Nếu chưa quen với chủ đề bảo mật sản phẩm Microsoft, đọc tài liệu hướng dẫn sản phẩm trước áp dụng... nhiều Bảo mật, chí mức cần phải áp dụng để giữ liệu cá nhân cách an toàn phải đảm bảo cho cần cài đặt lại hồn tồn Windows từ đống đổ nát bạn sử dụng lại liệu truy cập sử dụng liệu Bảo mật bị