Hướng dẫn bảo mật Windows 7

Cho tới giờ đây, Windows Vista vẫn là một phiên bản an toàn nhất của
hệ điều hành Windows. Tuy nhiên hệ điều hành sắp tới, Windows 7 đã


chọn ra một số những điểm mà Windows Vista bỏ sót và cải thiện trên
nền tảng đó để cung cấp một trải nghiệm tính toán an toàn hơn. Bên
cạnh đó, Microsoft cũng đã tham khảo các thông tin phản hồi của người
dùng về hệ điều hành Vista để cải thiện trải nghiệm người dùng và bảo
đảm rằng các tính năng bảo mật trực giác hơn và thân thiện hơn với
người dùng. Trong bài này chúng tôi sẽ giới thiệu cho các bạn một số
nâng cao đáng kể trong bảo mật của Windows 7.
Bảo mật hệ thống lõi
Như đã thực hiện với Windows Vista, Microsoft đã phát triển Windows 7
theo Security Development Lifecycle (SDL). Họ đã xây dựng một hệ điều
hành mới từ đầu để tạo một môi trường tính toán an toàn và giữ lại những
tính năng bảo mật chính đã có trong Vista, chẳng hạn như Kernel Patch
Protection, Data Execution Prevention (DEP), Address Space Layout
Randomization (ASLR) và Mandatory Integrity Levels. Các tính năng này
cung cấp một nền tảng mạng trong việc bảo vệ chống lại các phần mềm độc
hại và các tấn công khác. Một số thành phần chính rất đáng để chúng ta chú
ý.
UAC nâng cao
Chắc chắn bạn đã biết được UAC là gì, đây là từ viết tắt cho cụm từ User
Account Control. UAC được giới thiệu trong Windows Vista, tính năng này
được tạo nhằm thực thi sự truy cập với đặc quyền tối thiểu và để cải thiện
chi phí tổng thể của chủ đầu tư bằng cách cho phép các tổ chức triển khai hệ
điều hành mà không cần cho phép sự truy cập mức quản trị viên cho người
dùng. Mặc dù, ý định chủ yếu của Microsoft với UAC là muốn các chuyên

gia phát triển phần mềm có khả năng viết mã thực thi tốt hơn mà không cần
phải truy cập đến các vùng nhậy cảm của hệ điều hành, tuy nhiên hầu hết
mọi người đều thấy UAC hiện diện như một tính năng bảo mật.
Khi người dùng nghĩ về UAC, họ thường đề cập đến nó với các nhắc nhở
cho phép truy cập mà nó tạo ra. Mặc dù Microsoft thực hiện một tiến trình
đáng kể từ khi Vista giới thiệu việc giảm một số kiểu và một số sự kiện có
thể kích hoạt nhắc nhở AC (hoặc ngăn chặn người dùng chuẩn thực hiện các
nhiệm vụ), nhưng UAC vẫn là một chủ đề khiến nhiều người phàn nàn về
Vista.

Với Windows 7, Microsoft đã tiếp tục giảm số các ứng dụng và các nhiệm
vụ của hệ điều hành kích hoạt nhắc nhở UAC. UAC lúc này đã có một giao
diện khá linh hoạt. Bên dưới các tài khoản người dùng User Accounts trong


Control Panel, bạn có thể chọn Change User Account Control Settings để
điều chỉnh tính năng bằng con trượt.
Con trượt cấu hình cho phép bạn chọn giữa bốn mức bảo vệ của UAC, từ
Always Notify (mức bảo vệ cơ bản của UAC mà Windows Vista cung cấp)
đến Never Notify. Hiển nhiên bạn có thể cấu hình mức bảo vệ cao nhất với
Always Notify. Lợi thế của việc thiết lập theo con trược Never Notify trái
với việc vô hiệu hóa UAC một cách hoàn toàn là nhắc nhở chỉ là một khía
cạnh của những gì UAC thực hiện. Dưới thiết lập Never Notify, các pop-up
của UAC sẽ không làm gián đoạn các công việc của bạn, một số bảo vệ lõi
của UAC vẫn được duy trì, gồm có Protected Mode Internet Explorer.
Hỗ trợ quét vân tay
Nhiều người dùng Windows có thể cấu hình hệ điều hành để đăng nhập họ
mà không cần username và password – tuy nhiên điều đó tương đương với
việc để mở cửa nhà bạn và bật sẵn đèn sáng để mời những người lạ vào

thăm. Các bạn nên gán tất cả các tài khoản người dùng trong Windows 7 với
một mật khẩu mạnh để bảo vệ máy tính của mình.
Mặc dù vậy, mật khẩu cũng không phải là giải pháp tối ưu, chúng vẫn có thể
bị bẻ khóa. Các mật khẩu an toàn chỉ khi chúng chưa được bẻ khóa. Các
chuyên gia khuyên người dùng nên sử dụng các cơ chế thẩm định hai hệ số nói theo cách khác là bổ sung thêm một lớp bảo vệ khác phía trên mật khẩu
– để thực thi bảo mật tốt hơn. Nhiều máy tính, laptop được trang bị với tính
năng bảo mật sinh trắc học dưới dạng quét vân tay. Với Windows 7,
Microsoft cuung cấp sự tích hợp nhịp nhàng hơn giữa hệ điều hành và phần
cứng quét vân tay.


Windows 7 có sự hỗ trợ driver tốt hơn và đọc vân tay ổn định hơn trên các
nền tảng phần cứng khác nhau. Việc cấu hình và sử dụng bộ đọc vân tay với
Windows 7 để đăng nhập vào hệ điều hành, cũng như thẩm định người dung
cho các ứng dụng và các website khác hoàn toàn dễ dàng. Kích Biometric
Devices trong Control Panel để truy cập vào giao diện kết nạp và quản lý dữ
liệu vân tay cũng như tùy chỉnh các thiết lập bảo mật sinh trắc học.
Giao diện Biometric Devices sẽ hiển thị bất cứ thiết bị sinh trắc học nào mà
hệ thống phát hiện được. Nếu bộ đọc vân tay vẫn chưa được cấu hình, trạng
thái này sẽ hiển thị 'Not Enrolled'. Kích trạng thái đó để truy cập vào giao
diện điều khiển.
Bạn có thể quét một ngón tay hoặc tất cả mười ngón. Việc quét nhiều ngón
tay cho phép bạn vẫn có thể sử dụng bảo mật sinh trắc học dù ngón tay chính


bị tổn thương, lấy ví dụ, hoặc nếu tay củau bạn gặp vấn đề. Trên màn hình,
chọn ngón mà bạn muốn quét, sau đó đặt ngón tay của bạn lên bộ đọc vân
tay (hoặc kéo chầm chậm ngón tay của bạn qua bộ đọc vân, phụ thuộc vào
kiểu phần cứng của bạn). Bạn sẽ phải quét mỗi ngón tay thành công tối thiểu
ba lần để đăng ký nó trong cơ sở dữ liệu, tương tự như cách bạn phải nhập

lại một mật khẩu để xác nhận rằng bạn đã nhập đúng nó.
Bảo vệ dữ liệu
Hàng nghìn máy tính, đặc biệt là các laptop bị mất hay bị đánh cắp mỗi năm.
Nếu bạn không có một biện pháp bảo vệ và những điều khiển bảo mật thích
hợp thì những người dùng trái phép đang sở hữu máy tính của bạn có thể
truy cập vào bất cứ dữ liệu nhạy cảm nào đang có trong máy tính bạn. Rủi ro
với việc mất hoặc bị đánh cắp các thông tin nhạy cảm là rất cao do sự phát
triển nhanh chóng của các ổ USB nhỏ và các thiết bị cầm tay có thể lưu ngày
càng nhiều dữ liệu.
Windows 7 giữ lại các công nghệ bảo vệ dữ liệu của Windows Vista, chẳng
hạn như EFS (Encrypting File System) và hỗ trợ cho AD RMS (Active
Directory Rights Management Services). Thêm vào đó là các nâng cấp nhỏ
đối với các công nghệ này, Windows 7 đã cải thiện đáng kể công nghệ mã
hóa ổ cứng BitLocker của Vista, nó bổ sung thêm tính năng BitLocker to Go
để mã hóa dữ liệu trên các thiết bị cắm ngoài.
Mã hóa ổ cứng với BitLocker
Khi BitLocker xuất hiện lần đầu trong Windows Vista, nó chỉ có khả năng
mã hóa phân vùng hệ điều hành chính. Windows Vista SP2 (Service Pack 2)
đã mở rộng chức năng này để mã hóa các phân vùng khác, chẳng hạn như


các ổ đĩa hoặc các partition phụ trên ổ cứng chính, tuy nhiên vẫn không cho
phép người dùng mã hóa dữ liệu trên các ổ đĩa cắm ngoài. Windows 7 đã
giới thiệu BitLocker to Go để bảo vệ dữ liệu trên các ổ đĩa ngoài trong khi
vẫn cung cấp các phương tiện cho việc chia sẻ dữ liệu với các đối tác, khách
hàng cũng như các thành phần khác.

Trước khi sử dụng BitLocker Drive Encryption, các phân vùng đĩa của bạn
phải được cấu hình đúng cách. Windows yêu cầu một partition nhỏ, không
bị mã hóa để chứa các file hệ thống mà nó cần để bắt đầu quá trình khởi

động và thẩm định người dùng nhằm truy cập các phân vùng được mã hóa.
Tuy nhiên do hầu hết người dùng không quan tâm đến điều này khi họ thiết
lập các partition của ổ đĩa lúc ban đầu, vì vậy Microsoft đã tạo một công cụ


để thực hiện việc này và phân vùng lại ổ cứng nhằm chuẩn bị cho việc mã
hóa BitLocker.
Khi ổ đĩa của bạn được phân vùng đúng cách, bạn có thể mã hóa nó với
BitLocker. Kích BitLocker Drive Encryption trong Control Panel. Giao diện
điều khiển BitLocker sẽ hiển thị tất cả các ổ đĩa có sẵn và trạng thái mã hóa
của chúng (BitLocker hiện có đang bảo vệ chúng hay không). Bạn sẽ thấy sự
phân biệt giữa các ổ đĩa cứng, những ổ cố định được mã hóa với BitLocker,
các ổ ngoài được bảo vệ bằng BitLocker to Go.

Kích Turn on BitLocker bên cạnh ổ đĩa chưa được mã hóa để bắt đầu quá
trình mã hóa. Tiện ích sẽ yêu cầu bạn gán mật khẩu để mở dữ liệu đã khóa
hoặc chèn vào thẻ smartcard của bạn nếu bạn thích sự thẩm định này. Sau đó
BitLocker sẽ cho phép bạn lưu BitLocker Recovery Key, dưới dạng file văn
bản hoặc in ra. Bạn phải có BitLocker Recovery Key để mở khóa dữ liệu
nếu quên mật khẩu hoặc nếu sự thẩm định thất bại vì một lý do nào đó.
Khi quá trình bắt đầu, bạn có thể sử dụng Windows như thông thường, công
cụ sẽ mã hóa dữ liệu trong chế độ background. Sau khi nó mã hóa ổ cứng,


bạn có thể kích Manage BitLocker và chọn tùy chọn để mở khóa các ổ đĩa đã
mã hóa một cách tự động khi đăng nhập vào Windows.