5 lý do bảo mật để sử dụng Windows Vista
Ngu
ồ
n:quantrimang.com
Derek Melbe
r
Chúng tôi không thể không đồng ý nếu ai đó sợ chuyển từ hệ điều hành
Windows hiện hành đối với phần lớn người dùng sang hệ điều hành mới
Windows Vista. Có thể chúng ta đã từng nghe và đã thấy một số câu
chuyện từ các nâng cấp hệ điều hành trong quá khứ. Các ứng dụng không
làm việc, các driver không có sẵn, người dùng không thích nghi tốt,… Nhưng đó
chỉ là một số vấn đề
nhỏ mà hệ điều hành mới Vista gặp phải. Bên cạnh những
vấn đề đó còn có rất nhiều lý do bảo mật đầy thuyết phục khiến bạn phải chuyển
sang hệ điều hành mới này. Trong thực tế, chúng tôi cũng khuyên các bạn nên
chuyển sang hệ điều hành này ngay lập tức với các tính năng ưu việt của nó.
Trong bài này chúng tôi sẽ mô tả về 5 lý do bảo mật để các b
ạn có thể nhận ra
trong hệ điều hành mới này và tự tin chuyển sang không một chút lưỡng lự.
UAC cho người dùng chuẩn
User account control (UAC) đã được sử dụng rất nhiều và được thay đổi tên
trong suốt giai đoạn Beta của Windows Vista. Những mục tiêu cho việc giải
quyết các vấn đề của người dùng được nâng lên và đã có các kết quả đáng kể.
Nếu mục tiêu của bạn đối vớ
i UAC là để nhằm mục đích giải quyết lỗi LUA
(Least privilege user access - truy cập với quyển tối thiểu) thì bạn nên tiếp tục
với mục số hai. UAC không giải quyết lỗi LUA. Nếu bạn không quen với lỗi LUA,
nó là vấn đề bị gây ra bởi các ứng dụng mã nghèo bắt buộc người dùng phải là
quản trị viên nội bộ để chạy các ứng dụng thì đã có một số bản vá cho lỗ
i LUA.
Những gì UAC thực hiện cho người dùng là bảo vệ họ chống lại malware,
adware và các ứng dụng mã độc khác chạy trong chế độ background. Tất cả
chúng ta đều biết rằng người dùng hầu như sẽ kích vào mọi nút radio, đọc mọi
email và cài đặt các ứng dụng “vui nhộn hoặc hài ước”. UAC sẽ có sẵn để giúp
các bạn bảo vệ được máy tính của mình. Mục đích chính của UAC là bất kỳ
hành động nào c
ần đến quyền quản trị viên sẽ đều nhắc nhở người dùng về các
khả năng cần thiết. Nếu người dùng không phải là một quản trị viên thì nhiệm vụ
đó sẽ không thể được thực hiện.
Nhắc nhở người dùng ở đây sẽ là một nhắc nhở hỏi về các quyền của một quản
trị viên như thể hiện trong hình 1 bên dướ
i.
Hình 1: UAC nhắc người dùng phải có các khả năng quản trị viên
Nếu người dùng không phải là quản trị viên nội bộ thì hộp thoại này sẽ không
được cấu hình. Khi đó hai sự thay đổi sẽ không được cung cấp. Đầu tiên là cung
cấp cho người dùng các phẩm chất quản trị viên nội bộ. Nếu thực hiện điều này,
bạn sẽ cho phép người dùng có được truy cập quản trị viên nội bộ,
điều chẳng
hơn gì việc cho người dùng có được sức mạnh quản trị tài khoản. Thứ hai sẽ là
có quản trị viên đến và đưa vào các thông tin cho người dùng để thực hiện
nhiệm vụ, cũng không lý tưởng. Hãy hình dung một thế giới với hơn 10.000
người dùng cần một quản trị viên “vật lý” để nhập vào các phẩm chất cần thiết.
Điều này sẽ gây ra tình trạng lộn xộ
n lớn.
Giải pháp cho vấn đề này là phải có được báo cáo của người dùng rằng họ
không thể cài đặt ứng dụng “cần thiết” thông qua một số thủ tục. Sau đó nhân
viên CNTT mới có thể cung cấp giải pháp để cho phép người dùng truy cập vào
ứng dụng. Các giải pháp ở đây gồm có việc sử dụng Group Policy, Specops
Deploy, để cài đặt ứng dụng.
UAC không chỉ bảo vệ người dùng cài đặt các ứng dụ
ng hoặc các widget nội bộ
mà nó còn bảo vệ họ chống lại các tấn công đến từ Internet. Trên Internet có rất
nhiều Website có thể lén lút phân phối và thực thi các phần mềm mã độc. Tuy
nhiên đối với Windows Vista và UAC, máy tính của bạn sẽ luôn nhận dạng được
bất cứ hành động nào đang xảy ra đối với các file hệ thống hoặc registry. Người
dùng của bạn sẽ được thông báo khi một sự thay đổi nào đó được kích hoạ
t bởi
website hay ứng dụng có chứa mã độc nào đó.
UAC cho quản trị viên
UAC là một giải pháp tốt cho người dùng, như một giải pháp lý tưởng cho các
quản trị viên. Nó gộp bất cứ ai là thành viên của nhóm quản trị viên nội bộ đối
với desktop trong một vấn đề. Với những người dùng này, sự bảo vệ chống lại
những kẻ tấn công là vô cùng quan trọng. Nếu bạn là một quản trị viên, nội bộ
hoặc miền, thì cầ
n phải bảo vệ được máy tính cũng như mạng của bạn.
Các quản trị viên nội bộ có thể được bảo vệ để chống lại các phần mềm mã độc
như malware, adware, hay các hành động không thích đáng từ các ứng dụng
web. Tuy vậy, sự khác biệt ở đây chính là quản trị viên nội bộ có quyền truy cập
mức quản trị viên… trừ khi họ sử dụng UAC!
Mộ
t sự thực thú vị của UAC là, dù ai đăng nhập vào hệ thống, dù là người dùng
với các đặc quyền Enterprise Admins, thì khi họ đăng nhập vào máy tính
Windows Vista sẽ đều được coi là người dùng chuẩn. Điều này sẽ diễn ra cho
tới khi có một nhiệm vụ nào đó yêu cầu các đặc quyền quản trị viên được kích
hoạt. Trong trường hợp này, một hộp thoại sẽ xuất hiện yêu cầu bạn cho phép
hoàn tất nhiệ
m vụ, xem thể hiện trong hình 2.
Hình 2: UAC nhắc quản trị viên về sự cho phép chạy một nhiệm vụ
Sự khác nhau giữa hộp thoại này và một một thoại cho người dùng là không có
các phẩm chất được yêu cầu. Người dùng đã đăng nhập vào máy tính Windows
Vista “là một quản trị viên”! Vì vậy, họ sẽ cho phép hệ thống thực hiện nhiệm vụ
yêu cầu các đặc quyền nâng cao. Điều này có nghĩa rằng cho
đến lúc này và
cho tất cả các nhiệm vụ họ vẫn là một người dùng chuẩn. Họ chỉ được cho phép
các đặc quyền nâng cao nếu đồng ý những tiêu chuẩn nâng đặc quyền của
UAC.
Điều này có nghĩa rằng không có gì xuất hiện đối với các file hệ thống hoặc
registry mà người dùng biết về hành động này. Nó sẽ bảo vệ quản trị viên tránh
được tình trạng tất cả các ứng dụng muốn chạ
y ẩn trong máy.
Một ưu điểm khác mà nó cung cấp là các tài khoản dual-admin sẽ không còn ở
đây mà thay vào đó là hai tài khoản được yêu cầu cho quản trị viên miền. Một tài
khoản bị hạn chế, các đặc quyền của người dùng chuẩn. Tài khoản này được sử
dụng cho các nhiệm vụ thông thường cần được thực hiện hàng ngày như kiểm
tra email, viết memo và các nhiệm vụ khác của các nhân viên. Tài khoản kia có
các đặc quyền quả
n trị viên. Tài khoản này được sử dụng cho các nhiệm vụ
mạng yêu cầu đến các đặc quyền mức quản trị hệ thống. Điều này có thể gây ra
một số thay đổi trong Active Directory, DNS, router, Sự tách biệt các nhiệm vụ
sẽ bảo vệ được mạng và desktop người dùng tránh được các tấn công.
Tất cả các tham số đo bảo mật này đều gộp chung vào ưu điểm trong việc bả
o
vệ máy tính chống lại các ứng dụng, malware, ad-ware, muốn truy cập vào
registry, các file hệ thống và các vùng được vảo vệ khác của máy tính một cách
lén lút. Những cố gắng truy cập này sẽ vẫn được thực hiện nhưng vì quản trị
viên chỉ là một người dùng chuẩn nên các cố gắng đó sẽ thất bại và hộp thoại sẽ
xuất hiện, yêu cầu về các điều khoản cho nó.
Thiế
t lập lại mật khẩu quản trị viên nội bộ
Kết hợp với những ưu điểm mà UAC cung cấp, khi bạn sử dụng Windows Vista
và ít nhất Windows Server 2008 domain controller, bạn sẽ có được các thiết lập
Group Policy mới. Các thiết lập mới này nằm trong kiểu thiết lập chính sách mới
có tên gọi là Group Policy Preferences.
Group Policy Preferences bổ sung thêm 3000 thiết lập và một số trợ giúp cho
việc bảo mật, nơi không có công c
ụ khác thực hiện trước đó. Hai thiết lập bảo
mật chính mà Preferences kiểm soát ảnh hưởng tới SAM nội bộ của các máy
trạm Windows Vista.
Đầu tiên là khả năng thiết lập lại mật khẩu quản trị viên, thông qua GPO. Thiết
lập này khá đơn giản, như thể hiện trong hình 3. Ưu điểm đích thực của thiết lập
này là nó sử dụng trong suốt quá trình refresh background của Group Policy. Với
ưu
điểm này, bạn hoàn toàn có thể áp dụng.
Hình 3: Group Policy Preference kiểm soát mật khẩu quản trị viên nội bộ
Điều khiển thành viên nhóm quản trị viên nội bộ
Thiết lập thứ hai mà Group Policy Preferences cung cấp kiểm soát là thành viên
của nhóm quản trị viên nội bộ. Ở đây, sự kiểm soát chính là remove tài khoản
người dùng từ một nhóm quản trị viên nội bộ và để trợ giúp trong khi chuyển
Least Privilege User Access (LUA).
Ở đây, các thiết lập chính sách chỉ là các hộp kiểm như
thể hiện trong hình 4 bên
dưới.
Hình 4: Group Policy nội bộ được sử dụng để remove người dùng khỏi nhóm
quản trị viên
Giống như thiết lập cho mật khẩu Administrator, thiết lập này cũng sử dụng trong
quá trình refresh background của Group Policy. Với áp dụng hai thiết lập này, sự
bảo mật của máy tính Vista của bạn sẽ tăng lên một cách rõ rệt với mỗi chu kỳ
refresh Group Policy 90 phút một lần.
Sự bảo mật của tường l
ửa nâng cao
Windows 2000 và Windows XP đã giới thiệu một tường lửa đáp ứng được một
số nhu cầu như không phải tất cả. Kết hợp với Firewall, Windows XP cũng đã
cung cấp khả năng sử dụng các chính sách IPSec. Tuy nhiên vấn đề với các giải
pháp này là nó quá khó để kết hợp cả hai, vì các kỹ thuật khá phức tạp khi cấu
hình, đặc biệt là IPSec.
Giờ đây, với Vista, b
ạn có Windows Firewall ưu việt hơn nhiều với sự kết hợp cả
hai công nghệ đó với nhau. Advanced Security của Windows Firewall mang đến
cho bạn sự kiểm soát cả về lưu lượng gửi đến và gửi đi. Các cổng, các dịch vụ
và ứng dụng có thể được kiểm soát thường xuyên và dễ dàng. Hình 5 minh
chứng cho một hộp thoại kiểm soát các rule gửi đến.
Hình 5: Bảo mật nâng cao cho rule gửi đến của tường lửa
Kết luận
Windows Vista cung cấp thêm một số đặc tính quan trọng và nhiều tham số bảo
mật đang để bạn cân nhắc và sử dụng. Nếu là một quản trị viên, bạn nên chuyển
sang Windows Vista với nhiều lý do. Lý do đơn giản trong đó là UAC của
Windows Vista mang đến bạn mộ
t giải pháp để có thể xử lý LUA cho các quản trị
viên. Bên cạnh đó, với người dùng chuẩn, UAC và các điều khiển bảo mật khác
còn mang đến cho các bạn các mức bảo mật cao hơn như một nền tảng cho
việc hoàn tất LUA đối với máy trạm của người dùng chuẩn.