10 mẹo giúp ích cho bảo mật Windows (p1) pot
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (154.85 KB, 5 trang )
10 mẹo giúp ích cho bảo mật
Windows (p1)
1: Giảm thiểu mặt bằng tấn công bất cứ khi nào có thể
Một trong những bước đầu tiên cần phải làm để “gia cố” cho một chiếc máy
tínhlà giảm thiểu bề mặttấn công của nó. Càng nhiều code chạytrên máy, khả
năng code bị khai thác càng cao. Vì vậy bạn nên tháo gỡ hết tất cả nhữngphần
không quan trọngcủahệ điều hànhvà những ứng dụng không sử dụngđến.
2: Chỉ sử dụng những ứng dụng có uy tín
Đối với thị trường ngày nay, người dùng có xu hướng sử dụng phần mềm
miễn phí,đượcgiảm giá mạnh hoặcứngdụng mã nguồn mở. Mặc dù không thể
phủ nhận tầm quan trọngvà tiện ích của những ứngdụng này ở các văn phòng, sử
dụng cá nhân, nhưngviệc thựchiện một cuộc nghiên cứu nhỏ trước khi sử dụng
những ứng dụng này vẫn rấtquan trọng.Một số ứng dụng miễnphíhoặc có giá
thấp được thiết kế nhằm phụcvụ người dùng, những ứngdụng khácđược thiết kế
với mục đích lấy cắp thôngtin cá nhâncủa người dùng hoặctheo dõi thói quen
duyệt webcủa họ.
3: Sử dụng một tài khoản người dùng thông thường nếu có thể
Như một thói quen tốt,các quảntrị viên nên sử dụng tài khoản người dùng
thông thường khi có thể. Nếu xảy ra lây nhiễmmalware, thường thì malwarecũng
có quyền giốngnhư người đang đăng nhập.Vậynên, chắc chắn rằngmalware còn
có thể gây ra nhiều pháhoại lớnhơn nữa nếu người dùng có quyềnadmin.
4: Tạo nhiều tài khoản Administrator
Ở mục trước, chúng ta đã thảo luận về tầm quantrọng của việc sử dụngmột
tài khoản người dùng thôngthường bấtcứ khi nào có thể và chỉ sử dụngtài khoản
Admin khi bạn cầnthực hiệnmộthành độngnào đó cần có quyền người quản lý.
Tuy nhiên, điều nàycũng khôngcó nghĩa làbạn nên sử dụngtài khoản
Administrator.
Nếu có nhiều Administrator trong côngty, bạn nên tạo một tài khoản
Administrator chotừng người.Dovậy, khi có một hànhđộngcủa người quản lý
được thựchiện,chắc chắnbạn sẽ biết được ai đã thực hiện nó. Vídụ, nếu có một
Administrator tên là John Doe,bạn nên tạo 2 tàikhoản cho ngườidùng này.Một là
tài khoản thông thường để sử dụnghàng ngày,và một làtài khoản quản lý chỉ sử
dụng mỗikhicần. 2 tàikhoản này có thể lần lượtđặt tên là JohnDoe và Admin-
JohnDoe.
5: Không nên ghi audit quá nhiều
Mặc dù việc tạo cácpolicy audit để ghi lại cácsự kiện diễn rahàngngày có
thể rất hữu ích, nhưngcó một vấnđề bạn nên nhớ: cái gìnhiềuquá cũngkhôngtốt.
Khi bạn thựchiện quánhiều bản ghi audit,các file audit sẽ chiếm mộtdung lượng
khá lớn.Điều này dẫnđến tìnhtrạng bạn khó có thể tìmthấy bản ghi mình muốn
có. Vậy nên, thay vì ghilại tấtcả các sự kiện, tốthơn là chỉ tập trung vàonhững sự
kiện quan trọng.
10 mẹo giúp ích cho bảo mật
Windows (p2)
6: Tận dụng các policy bảo mật cục bộ
Sử dụng ActiveDirectory dựa vào cài đặt policy nhóm không làmvô hiệu hóa
nhu cầucài đặt policybảo mậtcục bộ. Hãynhớ rằng cài đặtpolicy nhóm được
dùng chỉ khi aiđó đăng nhập bằng một tài khoản miền. Chúng sẽ khônglàm gì nếu
ai đó đăng nhậpvào máytính bằng tài khoảncục bộ. Các policy bảo mật cụcbộ có
thể giúp bảo vệ máy tínhcủa bạn chống lạiviệc sử dụng tài khoản cụcbộ.
7: Xem lại cấu hình firewall
Bạn nên sử dụng fiewall ở vòng ngoài của mạng và trên từng máy trong
mạng. Tuynhiên, như vậy vẫn chưa đủ. Bạn cũngnên xem lại danhsách cổngngoại
lệ của firewall nhằm đảm bảo rằng chỉ nhữngcổng quantrọngvẫn được mở.
Trọng tâm thường đặt ở nhữngcổng được dùng bởi hệ điều hànhWindows.
Tuy nhiên, bạn cũng nên kiểm tra bất kì rulenào của firewall chấp nhận mở cổng
1433 và 1434.Nhữngcổngnày được dùng để giám sát và kếtnối từ xa tới server
SQL. Chúnglà mục tiêu yêu thíchcủa hacker.
8: Cách ly các dịch vụ
Bất cứ khi nào có thể, bạn nêncấuhìnhserver để chúngthực hiện một tác vụ
cụ thể. Theo cách này,nếu một serverbị tấn công,hacker sẽ chỉ có thể chiếm
quyền truy cập vào một tập hợp các dịch vụ nàođó.Chúngtôi nhậnra rằng sứcép
tài chínhthường bắt các tổ chức phải chạy nhiều vai tròtrên servercủa họ. Trong
những trường hợpnhư này, bạncó thể nâng cấp bảo mật màkhông phải tốn tiền
bằng cách sử dụng ảo hóa. Trongmột môi trường ảo hóa nào đó, Microsoft cho
phép bạntriển khai nhiều máyảochạy hệ điều hành WindowsServer2008R2chỉ
với một license server.
9: Áp dụng các bản vá bảo mật theo bảng thời gian
Bạn nên thường xuyên kiểm tra các bản vá trước khi áp dụng chúng vào
server. Tuynhiên, mộtsố tổ chức vẫn cóthói quen bỏ qua quá trìnhkiểm tra. Chắc
chắn chúngta khôngthể phủ nhận tầm quantrọng của việc đảm bảo độ ổnđịnh
của server, nhưngbạn vẫn phải cân bằngnhucầu kiểmtra với nhu cầu bảo mật.
Mỗi khi Microsoft cho ra mắt một bản vá bảo mật, bảnvá này đượcthiết kế
để nhắm vào một lỗ hổngnào đó. Điềunày có nghĩa là hackerchắc chắn đã biết lỗ
hổng này và sẽ tìm kiếm các phương án triển khai trong khibản vá cho lỗ hổng vẫn
chưa được áp dụng.
10: Tận dụng Security Configuration Wizard
Security ConfigurationWizardcho phép bạn tạo các policy bảo mật dựa trên
XML, có thể áp dụng cho server của bạn. Những policynày được dùng để kích hoạt
các dịchvụ, cấu hình cáccài đặt và đặt rule cho firewall. Tuynhiên, hãy nhớ rằng
các policyđượctạo bởi SecurityConfigurationWizardkhông giống với các policy
được tạotừ template bảo mật (sử dụng file .INF).Ngoài ra,bạn khôngthể sử dụng
policy nhóm để triển khaipolicy SecurityConfigurationWizard.
