5 tính năng bảo mật của Windows 7
các doanh nghiệp nên biết
2 từ Windows và security – bảo mật không phải lúc nào cũng tương thích.
Trong quá khứ, cuộc tìm kiếm của Microsoft trong việc tạo một hệ điều hành
càng dễ quản lý càng tốt đối với người dùng lại đồng nghĩa với việc phải hy
sinh chức năng bảo vệ bởi nó rất dễ bị xâm nhập và lây nhiễm. Các vụ tai
tiếng của Windows XP về lỗ hổng dễ bị sâu hại máy tính đột nhập là một ví
dụ, và Microsoft đã nâng cấp hệ điều hành với một bức tường lửa – firewall.
Tuy nhiên, họ lại để nó mặc định tắt.
Sau những lỗ hổng trong các phần mềm của hãng, Vista đã đánh dấu một bước lớn
trong bảo mật Windows. Sau đó, Windows 7 tiếp tục phát triển sự cải tiến này khi
thêm một số tính năng mới và cùng với việc tăng cường cho các tính năng khác –
ví dụ hiển nhiên nhất là hệ thống User Account Control trong Windows Vista đã
khiến người dùng phải tắt bỏ, mặc dù điều này có thể khiến hệ điều hành của họ có
lỗ hổng để hacker có thể tận dụng, đổi lại thì họ có trải nghiệm bớt khó chịu hơn
với hệ điều hành. Trong Windows 7, UAC đã được “tân trang” lại, giảm bớt xâm
nhập và nhận biết rõ mối đê dọa hơn để có thể hoạt động hiệu quả hơn.
Những tính năng bảo mật khác của Windows 7 ít rõ ràng hơn, đặc biệt là những
tính năng dành cho các doanh nghiệp có quan tâm tới bảo vệ an ninh cho không chỉ
một mà toàn bộ mạng máy tính. Trong số những tính năng mới quan trọng nhất là
DirectAccess, một sự thay thế cho VPN đối với các máy tính hoạt động trên hệ
thống Windows; là tính năng Windows Biometric Framework, chuẩn hóa cách sử
dụng vân tay trong các máy quét và các ứng dụng sinh trắc; và AppLocker, nâng
cấp phiên bản trước đó của Windows là Software Restriction Policies nhằm hạn
chế các phần mềm có thể chạy trên máy tính.
Một tính năng khác đáng chú ý là BitLocker To Go. Tính năng này cho phép mở
rộng mã hóa ổ đĩa của BitLocker đối với các ổ cứng cắm ngoài và có phương pháp
“tinh lọc” các profile firewall hiện có để tăng khả năng phòng thủ khi người dùng
truy cập Internet.
Theo thói quen thông thường, những tính năng này được phổ biến rộng rãi mà
không có sự phô trương hay hướng dẫn của hãng. Hãy cùng nhìn qua từng tính

năng để có thể biết cách chúng giúp Windows trở nên an toàn hơn.
Chú ý rằng một số tính năng này có sẵn trong tất cả các phiên bản của Windows 7,
trong khi một số khác chỉ có trên phiên bản Enterprise hay Ultimate. Hơn nữa, bạn
không thể thực hiện đầy đủ một số tính năng trừ khi bạn cập nhật tất cả người dùng
vào Windows 7 hoặc ít nhất là một - DirectAccess – có yêu cầu nền mà hầu hết các
công ty không có. Tuy nhiên, những tính năng này hoạt động được với các nghệ cũ
hơn đối với những người dùng vẫn “kiên định” sử dụng các phiên bản cũ của
Windows.
Vì vậy, mặc dù bạn không thể tận dụng ngay lập tức toàn bộ các tính năng mới,
nhưng bạn vẫn có thể lên kế hoạch sử dụng cũng như biết rõ hơn về chúng ngay tại
thời điểm này. Chúng ta sẽ bắt đầu với những tính năng bạn có thể sử dụng ngay.
Multiple active firewall profiles
Windows 7 cung cấp một cải tiến tuy nhỏ nhưng rất quan trọng từ Vista trong cách
quản lý profile firewall. Vista cho phép người dùng cài đặt các profile khác nhau
cho công cộng, cá nhân và kết nối miền. Mạng cá nhân có thể là mạng Wi-Fi, riêng
về chuẩn WEP hay WPA, dù không đăng nhập nhưng bạn vẫn có thể tin tưởng nó
hơn là mạng công cộng hay các quán café. Một miền yêu cầu các xác nhận - mật
khẩu, vân tay, thẻ thông minh hoặc các yếu tố kết hợp khác – để có thể đăng nhập.
Mỗi một loại profile có lựa chọn về ứng dụng và kết nối riêng để có thể được phép
đi qua firewall. Ví dụ, đối với mạng cá nhân hoặc doanh nghiệp nhỏ, sử dụng
Private là bạn có thể cho phép chia sẻ file và máy in, trong khi với mạng sử dụng
Public, bạn có thể ngăn cản việc truy cập các file của bạn.
Các profile của firewall hoạt động tốt trừ trường hợp một máy tính được kết nối
đồng thời với rất nhiều mạng, ví như Ethernet và mạng không dây. Trong trường
hợp này, hệ thống cần phải mặc định sử dụng một profile hạn chế nhất. Tuy nhiên,
điều này có thể gây rắc rối, ví như khi kết nối tới một VPN thông qua mạng Wi-Fi ,
Vista có thể nhận dạng kết nối đồng thời tới cả 2 mạng công cộng và cá nhân và áp
dụng profile công cộng cho cả 2.
Tất cả các phiên bản của Windows 7 đều cho phép các máy tính hoạt động một số
profile của firewall trong cùng một thời điểm, lưu giữ truy cập và hoạt động của

các mạng đáng tin cậy trong khi nó sẽ ngăn chặn những mạng ít đáng tin cậy hơn.
Bởi có rất nhiều chức năng truy cập từ xa yêu cầu cài đặt firewall bớt “nghiêm
khắc”, giờ đây người dùng có thể làm việc an toàn hơn trong khi vẫn được bảo vệ
từ các nguy cơ tấn công bên ngoài mạng.

Windows Biometric Framework
Với việc nhận dạng vân tay ngày càng phổ biến trên máy tính xách tay, nhiệm vụ
thiết lập một chuẩn trong việc lưu trữ dữ liệu sinh trắc đã trở nên quan trọng hơn
bao giờ hết. Với tính năng Windows Biometric Framework, một chuẩn để lưu trữ
dữ liệu vân tay và truy cập nó thông qua tham chiếu giao diện lập trình ứng dụng
API. Mặc dù hầu hết các tính năng của hệ thống phụ này chỉ thích hợp với các lập
trình viên, có 2 điều quan trọng mà các doanh nghiệp nên biết:
Thứ nhất, trong khi máy quét vân tay chỉ có thể sử dụng để đăng nhập vào một
máy tính mà không thể đăng nhập vào một miền của công ty thì Windows
Biometric Framework lại có thể đăng nhập miền.

Thứ 2, người dùng có thể lưu tới 10 dấu vân tay, mỗi tay một dấu. Mặc dù hầu hết
chúng ta không hề muốn bị mất dấu vân tay, có tới 10 dấu vân tay để sử dụng luân
phiên đề phòng trường hợp xấu xảy ra. Ví như bạn bị bỏng khi đang nấu ăn hoặc
không để ý bị kẹt tay vào cửa. Trong trường hợp này, bạn sẽ cảm ơn tính năng
Windows Biometric Framework khi đã cho phép lưu tới 10 dấu vân tay, bởi bạn
không phải chờ ngón tay đã lưu dấu vân tay hồi phục mà vẫn có thể truy cập máy
tính của mình.
Dấu vân tay được thêm bằng cách sử dụng Biometric Device, có trong Control
Panel của bất kì máy tính chạy hệ điều hành Windows 7, với máy quét dấu vân tay
được gắn trước. Từ đó bạn có thể khởi động máy tính và truy cập miền. chú ý rằng
bạn sẽ phải đăng nhập với quyền là người quản lý mới có thể thêm hoặc quản lý
dấu vân tay trong Windows 7.
BitLocker To Go
Một trong những vấn đề về bảo mật nghiêm trọng nhất mà các doanh nghiệp phải

đối mặt ngày nay là việc mất những chiếc di động quý giá có chứa thông tin quan
trọng. Windows Vista's BitLocker đã bắt đầu nhấn mạnh vấn đề này bằng cách cho
phép người dùng có thể mã hóa toàn bộ ổ cứng của máy tính xách ta. Vì thế, khi bị
mất hoặc bị trộm, không ai có thể truy cập thông tin được lưu trong đó. BitLocker
To Go thậm chí còn mở rộng các biện pháp bảo vệ tới cả những ổ cứng cắm ngoài.

Được tích hợp trong các phiên bản Windows 7 Enterprise và Ultimate, BitLocker
To Go rất dễ sử dụng: phải chuột vào ổ đĩa và chọn Turn on BitLocker để mở một
wizard có một loạt các bước để mã hóa ổ đĩa của bạn. chờ cho tới khi quá trình
hoạt động thành công, bạn đã có một ổ đĩa được mã hóa. Thời gian đợi phụ thuộc
vào tốc độ của máy tính và ổ cứng. Tuy nhiên, tốc độ mã hóa sẽ rơi vào khoảng 20
phút cho một ổ đĩa flash 2GB.
Ngoài ra, ổ đĩa BitLocker To Go sẽ được giải mã bởi mật khẩu hoặc đối với các
doanh nghiệp, họ có thể sử dụng thẻ thông minh với các xác nhận khác nhau.
Các ổ đĩa được mã hóa tháo ra được có thể tạo trên phiên bản Enterprise và
Ultimate của Windows 7. Tuy nhiên, khi mã hóa một ổ đĩa, bạn có thể đọc và thêm
dữ liệu trên ổ này từ bất kì một máy tính nào có chạy hệ điều hành Windows 7.
Ngoài ra, bạn có thể cài đặt một ứng dụng reader trên ổ đã được mã hóa, cho phép
người dùng đọc các dữ liệu từ máy tính Vista và XP.
Tính năng bảo mật phụ có thể áp dụng ở môi trường doanh nghiệp thông qua
quyền người quản lý có thể cho phép người dùng chỉ được lưu dữ liệu trên ổ
BitLocker To Go, đề phòng trường hợp người dùng lưu trữ dữ liệu trên ổ cứng
không bảo mật. Người dùng Windows Server cũng có thể giữ mật khẩu khôi phục
trong một chứng thư bằng cách sử dụng Active Directory. Vì vậy, nếu mật khẩu bị
mất hoặc quên có thể khôi phục lại.
AppLocker
Quản lý các ứng dụng người dùng có thể cài đặt hoặc chạy là một cách hiệu quả để
duy trì tính ổn định của hệ thống, ngăn chặn malware và bảo vệ việc các ứng dụng
ngốn băng thông như BitTorrent truy cập.
Trong các phiên bản trước của Windows, điều này được thực hiện bởi tính năng

Software Restriction Policies. Tính năng này có thể áp dụng để ngăn chặn một số
phần mềm từ vị trí của bó trong file hệ thống hoặc làm chúng thất bại khi kết nối
với mật mã của một ứng dụng đáng tin cậy.
Software Restriction Policies có thể gây một chút rắc rối khi thực hiện và duy trì
hiệu quả. Một số chương trình cần cài đặt bên ngoài đường dẫn đặc trưng, đòi hỏi
phải tạo một đường dẫn mới. Mặc dù những tính năng này cung cấp khả năng bảo
mật cao nhưng lại thất bại mỗi khi chương trình nào đó được cập nhật. Vì vậy,
người quản lý IT cần phải duy trì và cập nhật danh sách các rule và hủy chức năng
cập nhật tự động của chương trình.
AppLocker, có sẵn trong Windows 7 Enterprise và Ultimate (cũng có trong
Windows Server 2008 R2), có thêm một phương pháp mới, linh động trong việc
quản lý phần mềm: publisher rule. Publisher rule dựa vào thông tin hồ sơ ký hiệu
của chương trình, hiện đang có rất nhiều ứng dụng sử dụng.
Thông tin này chi tiết hơn so với đường dẫn file hay mã lệnh của dữ liệu, cho phép
người quản lý có thể tạo các rule phức tạp như cho phép phần mềm chỉ được chạy
từ một publisher cụ thể, với tên riêng biệt và tên file cụ thể hay một phiên bản cụ
thể để hoạt động. Ví dụ, một rule có thể cho phép bất kì thứ gì từ Adobe có thể
chạy hoặc chỉ Photoshop hoặc chỉ những phiên bản hiện nay và phiên bản trong
tương lai của Photoshop.
Các rule của AppLocker có thể áp dụng cho các file thực thi, script, chương trình
cài đặt hoặc thư viện hệ thống, cho phép người dùng đủ quyền để cài đặt những
phần mềm cần thiết hoặc cập nhật mà không cần quyền người quản lý trong khi
vẫn ngăn chặn họ việc sử dụng các phần mềm không được phép sử dụng.
Hơn nữa, các rule của AppLocker còn có thể áp dụng cho một số người cụ thể hoặc
một nhóm người dùng, một nhóm kế toán hoặc một nhóm thiết kế đồ họa có sử
dụng các phần mềm chuyên dụng khác, nhưng với AppLocker, chỉ một số quyền
cụ thể được áp dụng cho mỗi nhóm với những hạn chế và quyền lợi khác nhau.
AppLocker còn có thể dùng để phân biệt những người dùng khác nhau khi họ sử
dụng chung một máy tính.
Tính năng tiết kiệm thời gian thực là khả năng tạo rule tự động từ một máy tính

đáng tin cậy. Các quyền có thể chia sẻ và áp dụng toàn cầu đối với mạng sử dụng
cài đặt Group Policy của Windows.
Một điều quan trọng cần phải lưu ý là các rule của AppLocker chỉ áp dụng cho
những máy tính chạy hệ điều hành Windows 7 với phiên bản Enterprise hay
Ultimate. Nếu một số người dùng trong công ty vẫn sử dụng các phiên bản cũ của
Windows, bạn cần phải cài đặt Software Restriction Policies. Càng nhiều người
dùng nâng cấp lên Windows 7, bạn có thể đồng bộ Software Restriction Policies và
dựa vào tính năng AppLocker.
DirectAccess
Được Microsoft quảng cáo là thế hệ tiếp theo thay thế cho VPN, DirectAccess cho
phép người dùng Windows 7 Enterprise và Windows 7 Ultimate có thể kết nối trực
tiếp với Windows 2008 R2 và các thế hệ server khác trong tương lai. Trong khi
người dùng thường quen với kết nối VPN, DirectAccess hoàn toàn dễ hiểu với
người dùng cuối: khi máy tính kết nối với Internet, DirectAccess tự động tạo một
mạng bảo mật cho mạng doanh nghiệp mà không cần tới bất kì một hành động nào
của người dùng, và tự động định tuyến các yêu cầu đối với mạng nội bộ thông qua
kết nối này.
Ngoài ra, DirectAccess có một số cải tiến so với kết nối VPN truyền thống trong
việc tự động kết nối. Trước tiên, tính năng này sử dụng giao thức Internet IPsec và
IPv6 để mã hóa và định tuyến kết nối end to end. Trong khi mã hóa VPN được
thực hiện ở máy chủ VPN, DirectAccess có thể giữ mã hóa trong suốt quá trình kết
nối đi và đến từ ứng dụng của máy chủ bên trong mạng doanh nghiệp.
(DirectAccess hỗ trợ một số giao thức khác để tạo đường dẫn cho kết nối này
thông qua mạng không hỗ trợ IPv6 hay IPsec)
Do DirectAccess sử dụng một cổng chuẩn Internet cho lưu lượng lưu thông, nó dễ
dàng đi qua firewall mà không cần cấu hình thêm, một điều mà người dùng VPN
luôn phải đối mặt.
Một tiện dụng khác của tính năng này là: do kết nối được tạo ra và duy trì tự động,
người quản lý có thể liên tục quản lý và cập nhật những máy sử dụng
DirectAccess, ngay cả khi người dùng không trực tiếp sử dụng nguồn của doanh

nghiệp.
Điều này có nghĩa rằng VPN cần được kiểm duyệt, quét trước khi họ được phép
truy cập mạng của doanh nghiệp, một quá trình làm chậm kết nối và hạn chế năng
suất làm việc, cũng như chỉ cung cấp cho người quản lý IT một cửa sổ nhỏ trong
thời gian quản lý máy truy cập từ xa. Với DirectAccess, các máy tính được cập
nhật cùng thời điểm với các máy tính còn lại của mạng doanh nghiệp và được quản
lý bất cứ khi nào người dùng muốn truy cập vào mạng doanh nghiệp.
Tuy nhiên, bạn phải chú ý rằng không phải doanh nghiệp nào cũng có thể chuyển
ngay sang sử dụng DirectAccess. Hệ thống dựa vào cơ sở hạ tầng mạng cao cấp –
bao gồm Windows Server 2008 R2 và IPv6 – mà một số doanh nghiệp chưa nâng
cấp, họ sẽ phải mất một vài năm trước khi có đầy đủ các công cụ và kỹ thuật để có
thể chuyển hoàn toàn sang sử dụng DirectAccess. Vì vậy, trong thời gian chờ đợi
thì bạn có thể dùng kết nối VPN truyền thống.
Dẫu vậy, tính năng này vẫn đưa ra một đại cương cho mạng tương lai, bảo mật,
luôn kết nối tới dữ liệu khi cho phép những người kết nối từ xa có thể làm việc như
thể họ đang ngồi tại văn phòng chính.
Đối với các doanh nghiệp, Windows 7 giúp các công ty thiết lập sự hợp tác giữa
phòng bảo mật IT và người dùng cuối , cho phép nhân viên làm việc trong khi vẫn
áp dụng các quyền bảo mật và cập nhật từ mạng. Tất cả những tính năng chia sẻ
này giống như một bản giao ước dễ sử dụng, không tốn một chút chi phí cho bảo
mật và rất tiện ích cho các doanh nghiệp.