10 tính năng bảo mật tin tưởng trong Vista

Có rất nhiều nhận thức sai về những tính năng bảo mật
của Windows Vista. Và đôi khi sự thiếu hiểu biết lại
mang đến sự phiền hà khi sử dụng, đặc biệt là các sản
phẩm công nghệ. Vista là hệ điều hành được Microsoft
công bố hoàn hảo nhất trừ trước tới nay, với những tính
năng bảo mật: User Account Control (UAC), BitLocker, File and
Registry Virtualization, Mandatory Integrity Controls (MICs) và IE
Protected Mode. Trong bài viết này tôi giới thiệu các bạn các tính nă
ng
trên và ý nghĩa của chúng nhằm nâng cao bảo mật cho Windows Vista.


1. Account Administrator được disable mặc định.
Thật đúng như vậy trong Vista tài khoản Administrat tor được mặc
định disable, nhưng nó cũng sẽ được kích hoạt bởi một tài khoản trong
group administrators. Do đó nhà sản xuất khuyến cáo nên hạn chế
những tài khoản trong group administrators. Sau khi cài đặt Windows
Vista tài khoản đầu tiên bạn tạo sẽ thuộc group administrators (điều
này tương tự như trong Windows 2000 hay Windows XP), nhưng sau
đó những user mà bạn tạo ra thêm chỉ thuộc group users. Sau khi bạ
n
tạo tài khoản đó được coi là Second Administrator thì tài khoản mang
tên Administrator chính sẽ bị disable.
Điều này rất quan trọng bởi mặc định tài khoản Administrator bị
disable không được thiết lập mật khẩu. Và một điều cần thiết là bạn
nên thiết lập một mật khẩu khó cho tài khoản administrator, trong cả
tính huống nó bị disable. Nếu bạn sử dụng tài khoản administrator thì
trước tiên bạn đặt mật khẩu cho tài khoả
n đó, sau đó enable tài khoản

đó lên.
Cách enable tài khoản administrator
Net user administrator /active:yes.
2. Chỉ có 4 Mandatory Integrity Controls.
Mandatory Integrity Controls (MICs) đã được gán rõ rang cho từng
user, object và các tiến trình trong Windows Vista. Security với mức độ

tin cậy thấp (integrity) sẽ không thể chỉnh sửa các đối tượng hay các
user có mức độ tin cậy cao hơn, kể cả trong NTFS user đó có đủ thẩm
quyền. có bốn mức độ chính của MIC.
· Low
· Medium
· High
· System
Hầu hết các users, bao gồm tất cả các users không thuộc group
administrator, sẽ chạy với mức độ Medium Integrity. Dưới đây là một
số mức độ được gán khác:
· Kernel-level Windows files chạy với mức độ System
integrity.
· User-level code, như Windows Explorer và Task Manager,
chạy với mức độ Medium integrity.
· Tài khoản administrator hay một người dùng thuộc
administrators group chạy với mức độ High integrity.
· Internet Explorer (IE) trong Protected Mode chạy với mức
độ Low integrity.
· Nếu một object hay một tài nguyên chưa được gán chính
xác mức độ rõ ràng thì nó sẽ hoạt động ở mức độ Medium
integrity.
Vai trò chính của MICs tạo sự cứng rắn cho các user bình thường,
chương trình và những nội dung được download từ IE Protected Mode

chốn lại việc chỉnh sửa file hệ thống. Bởi vì một user trong group
administrators nhưng download một file từ IE’s về sẽ được bảo vệ, nó
sẽ là một sự khó khăn cho nhữ
ng đoạn mã nguy hiểm chỉnh sửa các
file hệ thống.
Có ít nhất hai mức độ MIC nhỏ hơn: Untrusted và Protected Process.
Mức độ Untrusted là mức độ thấp nhất trong MIC level và được gán
cho tài khoản nặc danh khi kết nối đến hệ thống. Protected Process là
mức độ cao nhất có thể của MIC level và chỉ sử dụng bởi hệ thống
(system) khi cần thiết (dưới đây là bảng các mức độ MIC Levels).
There are at least two other lesser-known MIC levels: Untrusted and
Protected Process. Untrusted integrity is the lowest possible MIC level
and is assigned to anonymous null connection sessions. Protected
Process is the highest possible MIC level and is only used by the
system when needed (see table for MIC levels).

Bạn đã tìm hiểu qua các mức độ của MIC khi phân tích hay giải quyết
sự cố, và bạn có thể sẽ dễ dàng thấy Hacker hay các đoạn mã nguy
hiểm sẽ cố gắng chiếm mức độ Protected Proccess MIC level để thực
hiện các ý đồ của chúng.
3. UAC giảm mức độ administrators muốn.
Vista yêu cầu nh
ững việc liên quan tới hệ thống như việc cài đặt phần
mềm, nâng cấp driver cho hệ thống thì đều phải được sự cho phép, và
có đủ thẩm quyền mới được thực hiện các thao tác trên. Vista cũng có
một tính năng mới yêu cầu giới hạn số lượng những tài khoản người
dùng có quyền thực thi administrative, nhưng UAC không chỉ có một
tính năng như vậy.
UAC cụ thể yêu cầu nhữ
ng người tài khoản có đủ khả năng thực hiện

các công cụ administrative tasks phải là tài khoản trong một group có
thẩm quyền cao như, administrators hay backup operators. UAC không

remove những quyền thực thi của user – nó chỉ cung cấp thêm khả
năng bảo vệ hệ thống cho những users có đủ thẩm quyền khi thực
hiện những tác vụ như – administrative task như emai hay Internet
browsing.

Khi một user trong nhóm administrators (không phải là tài khoản
administrator) logs on, UAC gán hai vé security, được biết là một
"split-token". Bình thường một user thuộc nhóm administrators sẽ
không nhận được bằng chứng (token hay vé) cho đến khi user đó nâng

cấp thong qua giao diện UAC. Mặc định trong Vista nếu người dùng
chưa nhận được tấm vé về bảo mật thì sẽ như sau:
· Vista sẽ xoá 9 đặc quyền được gán cho các tài khoản
thuộc nhóm administrators
· Mức độ MIC level của user sẽ được giảm xuống từ High
xuống thành Medium
· Deny-only SID
· File and registry virtualization được áp dụng
Khi user nâng cấp trong phiên làm việc của họ, thì các hạn chế quyền
đối với tài khoản đó sẽ bị removed. Tuy nhiên Vista sẽ yêu c
ầu một
user administrator để thực hiện các công cụ hệ thống. UAC bảo vệ cả
hệ thống và người dùng bằng cách tạm thời removed các đặc quyền
của họ cho đến khi nào họ yêu cầu. Khi đó người dùng trong tài khoản
thuộc nhóm administrators khi thực hiện các công việc như email và
duyệt web nếu bị những đoạn mã nguy hiểm sẽ không gây nguy hại
đến hệ thống.

Vista giảm số lượng yêu cầ
u quyền administrators bằng nhiều cách.
Đầu tiên, Vista removed yêu cầu cần đặc quyền quản trị khi làm việc
các công việc, như xem hay thay đổi time zone, cấu hình wireless
networks, thay đổi thiết lập trong power management, tạo và cấu h
ì
nh

một kết nối VPN hay cài đặt những update cho hệ thống Windows.
Điều này nhằm giảm thiểu các yêu cầu và tránh gây phiền hà đem lại
sự thuận tiện cho người sử dụng.
Tiếp, Vista cũng không nhất thiết chỉ administrators mới được thiết lập
cụ thể như: device và ActiveX controls một user không cần phải là
administrators vẫn có thể cài đặt. Ví dụ như, bạn cần cho phép người
dùng cài đặt máy in, card mạng, USB devices và VPN software.
Th
ứ 3, để cấu hình lại các thiết lập cơ bản về mạng, bạn có thể add
một user không thuộc tài khoản administrators vào group Network
Configuration Operator. User trong group này có thể chỉnh sửa địa chỉ
IP, xoá DNS cache và thực hiện vài công cụ trong mạng. Và có hang tá

các cách nhằm giảm số lượng các yêu cầu tài khoản administrator.
4. Chỉ có administrators có thể sử dụng UAC elevation (tương tự

như raise nâng cấp trong phiên làm việc của user đó).
Mặc định bạn không thể thêm một tài khoản không có thẩm quyền vào

UAC consent. Điều này có nghĩa nếu một user không thuộc nhóm có
thẩm quyền administrators, nó sẽ không thể nâng cấp quyền hạn của
nó trong UAC. Tất cả tài khoản trong nhóm administrators, backup

operators, network configuration operator và power user đều có khả
năng nâng cấp trong phiên làm việc của mình. Bạn có thể sử dụng và
liệt kê các danh sách họ trong UAC. Bạn không thể nâng cấp một user
không nằm trong nhóm admin để thực hiện các tác vụ admin. Việc
nâng cấp của các user để lấy lại đặc quyền mà h
ệ thống gán cho đã bị
UAC hạn chế mà thôi.
Ví dụ bạn có thể cho phép chạy một chương trình yêu cầu các mức độ
cho phép khác nhau, nhưng bạn không muốn cho họ quyền quản trị.
Bạn có thể tạo một user account và gán nó làm member của group
power users (trong Vista không có đặc quyền mặc định hay
permissions). Khi người dùng muốn nâng cấp trong phiên làm việc để
chạy một ứng dụng, họ có thể sử dụng một tài khoản trong power
users group.
5. UAC là m
ột giới hạn bảo mật.
UAC có danh giới giữa local hay domain. Microsoft không phát triển
UAC như một firewall, hay bảo mật phát triển cho domains. UAC bảo
vệ user và system trước các dạng tấn công bằng những đoạn mã nguy
hiểm khi đăng nhập vào hệ thống bằng user có thẩm quyền cao. Và nó

cũng cho phép khi người dung nâng cấp quyền của họ trong UAC, một
nhưng nếu một người thường xuyên phải làm việc này có thể sẽ thấy
sự bất tiện của công cụ này.
6. IE Protected Mode tất cả các nội dung được downloaded.
Nó hữu dụng trong việc tăng cường bảo mật cho hệ thống khi nói về IE

Protected Mode, cung cấp việc các thiết lập bảo mật trước các nội
dung tự động download từ trang web trong quá trình duyệt web. Đầu
tiên một ngoại lệ trong IE Protected Mode không áp dụng cho tất cả

các Security Zone. Mặc định, IE Protect mode không áp dụng cho
những Web site trong Trusted Sites Zone.
"Mặc định khi web server với những file được thiết lập trong expired
date sẽ tự động download về máy client trong đó có các file như file
hình ảnh, âm thanh, các script… nhằm nâng cao tốc độ truy cập web
site cho client. Tận dụng ứng dụng này các kẻ phá hoại sử dụng các
đoạn mã nguy hiểm hay virus tích hợp trong các file này". Khi thực
hiện IE Protected mode sẽ nâng cao bảo mật hơn cho hệ thống của
bạn và yên tâm hơn khi lướt web dù bạn đăng nhập vào tài khoản
người dùng có thẩm quyền cao.
IE Protected Mode mang đến cho bạn những khả năng bảo mật khi
chạy IE với mức độ Low MIC. Nó áp dụng cho hầu hết các đói tượng
của IE, bao gồm Menu bars, brower helper, các add-ons và các nội
dung tự động download bởi IE.
Protected Mode được lưu với mức độ đặc quyền thấp LOW-INTEGRITY
file và trong registry, không cho phép nó ảnh hưởng tới file hệ thống
và các vùng được thiết lập mặc định là Medium-integrity.
IE Protected Mode được tạo ra để b
ảo vệ các nội dung được download:
đặc biệt với những nội dung được lưu tạm thời của IE. Các nội dung cụ
thể như ActiveX hay các file …
Ví như vùng Template vùng này chỉ IE mới truy cập được vào tất cả
những người dùng trong Vista đều không thể truy cập vào các nội
dung đã bị cấm trong hệ thống.
7. Tất cả các file chạy trong Windows đều được bảo vệ bởi Data
Excution Prevention (DEP).
IExplorer.exe, là một file thực thi chính trong IE, nó đượ
c chạy từ mặc
định và được thiết lập trong Window’s DEP buffer overflow. Microsoft
cụ thể lựa chọn không enable DEP cho IExplorer.exe bởi nó là sẽ có

vấn đề với Java và nhiều plug-ins trong trình duyệt.
8. File và Registry Virtualization sẽ cấm tất cả các file nguy
hiểm và tự động ghi vào registry.
File and registry Virtualization thực hiện cấm tất cả các đoạn mã tự
động ghi vào registry và các folder cụ thể như sau:
· Program Files and subfolders
· Program Files (x86) on 64-bit systems
· Windows and all subfolders, including System32
· \Users\%AllUsersProfile% \ProgramData
(was \Documents and Settings\All Users in XP)
· \Documents and Settings (symbolic link)
· HKLM\Software
*NOTE*: Với thực tế tôi sử dụng thì một số phần mềm khi chạy sẽ sinh

ra file tạm thời thì không thể để trong Program files của Vista được bởi
điều này sẽ gây ra lỗi - Khắc phục bạn có thể cài đặt ra chỗ khác của
hệ thống là ok
Thêm vào đó nó sẽ giới hạn việc ghi vào locations dưới đây là các đối
tượng cụ thể:
· Default Vista applications
· Files with executable extensions, such as .EXE, .BAT, .VBS

and .SCR. bạn có thể thêm vào trong các định dạng trong:
HKLM\System\CurrentControlSet\Services\Luafv\Parameter
s
\ExcludedExtensionsAdd.
· 64-bit applications and processes
· Applications with a requested Execution Level directive in
their executable manifest, like most Vista executables
· Processes or applications running with administrative

rights
· Kernel mode applications
· Operations not originating from an interactive log-in
session, like file sharing
· Applications modifying a registry key marked with the
Don't_Virtualize registry flag
Regarding the last point, any key under HKLM\Software has three new
registry flags you can reveal through Reg.exe:
· Don't_Virtualize
· Don't_Silent_Fail
· Recurse_Flag
9. Windows Resource Protection (WRP) bảo vệ hệ thống tương
tự như Windows File Protection (WFP).
Vista thay WRP cho một ứng dụng plug-in thường dùng là WFP. WFP
được giới thiệu lần đầu tiên trong Windows 2000, và tương tự như
System File Protection (SFP) được giới thiệu trong Windows ME. Và cả
hai đều tương tự như WRP, nhưng các thiết lập và khả năng làm việc
của chúng khác nhau.
WFP chỉ bảo vệ files. WRP sẽ bảo vệ các file quan trọng, folders và
keys thiết lậ
p registry. WFP và SFP giám sát quá trình thay đổi nhằm
bảo vệ các file hệ thống. Nếu sự thay đổi không được phép nó sẽ tự
động lấy lại các thiết lập từ trước đó. Thông thường nó chỉ cảnh báo là
WFP sẽ xuất hiện một bảng thông báo mà thôi.
WRP sẽ cố gắng chống lại những thay đổi tài nguyên hệ thống.
Administrators không thể chỉnh sửa tài nguyên hệ thống. Mặc định, chỉ

có Windows Trusted Installer mới có khả năng sử dụng Windows
Module Installer service. Như các Windows Installer, Hotfix.exe và
update.exe mới có đủ thẩm quyền thay đổi tài nguyên hệ thống.

WRP không tự động thay đổi các file đã được bảo vệ nhưng cố tình
thay đổi bằng một bản đã được backup từ trước đó. WRP sẽ chỉ ghi lại
những file hệ thống sau quá trình khởi động lại máy tính.
10. Windows Firewall mặc định không cấm những kết nối ra
ngoài.
Một cái khác, Vista thêm tính năng outbound blocking trong Windows
Firwall. Cụ thể đó là Vista mặc định không cấm bất kỳ kết nối ra ngoài
nào, nhưng điều này có thể chỉnh sửa.
Vista cấm các giao tiếp không cần thiết từ các services mặc định. Ví dụ

có 82 thiết lập mặc định cấm 34 services giao tiếp từ bên ngoài vào.
Việc thiết lập dựa trên service khác hoàn toàn với các firewall dựa trên
địa chỉ IP và Port. Cụ thể P2P Grouping Service sẽ bị cấm giao tiếp ra
bên ngoài bằng tất cả các ports không chỉ ports mặc định là 3587. Và
còn có nhiều thiết lập mặc định bị cấm, cụ thể có thể sẽ bị cấm trong
Windows Defender, Session và SNMP Trap.
Thật không may đó là muốn chỉnh sửa các thiết lập trên đề
u không thể

thực hiện trong môi trường đồ hoạ. mặc định các filter được liệt kê tại
HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\RestrictedServices\static\system
Hiện tại, COM Scripting là một công cụ chính để quản lý các interface.
Windows Vista có rất nhiều các thiết lập mặc định. Bạn có thể xem qua

rất nhiều nguồn thông tin từ Internet các forum hay blogger.
