Tải bản đầy đủ (.pdf) (21 trang)
  1. Trang chủ
    2. >>
  2. Giáo Dục - Đào Tạo
    3. >>
  3. Cao đẳng - Đại học

Cơ chế an toàn trên windows

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.04 MB, 21 trang )

BỘ THÔNG TIN TRUYỀN THÔNG
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

BÁO CÁO BÀI TẬP LỚN
Đề tài: Cơ chế an toàn trên Windows
Môn học: An toàn hệ điều hành
Giảng viên: Phạm Hoàng Duy
Nhóm sinh viên thực hiện:
1.
2.
3.
4.

Phạm Như Thao
Hoàng Anh Văn
Phan Đức Anh
Nguyễn Thị Nga

B14DCAT134
B14DCAT200
B14DCAT102
B14DCAT146


MỤC LỤC
LỜI MỞ ĐẦU ..................................................................................................................... 3
CHƯƠNG I. TỔNG QUAN VẤN ĐỀ AN TOÀN BẢO MẬT TRÊN WINDOWS ..... 4
1.

Khởi đầu cho vấn đề bảo mật .............................................................................. 4


2.

Kỷ nguyên của công nghệ bảo mật windows ...................................................... 5

3.

Phát triển hệ điều hành windows an toàn hơn ................................................... 5

CHƯƠNG II: NGUYÊN LÝ AN TOÀN VÀ BẢO MẬT TRÊN HỆ ĐIỀU HÀNH
WINDOWS.......................................................................................................................... 7
1.

An toàn hệ thống (Security) ................................................................................. 7

2.

Bảo vệ an toàn hệ thống........................................................................................ 8

CHƯƠNG III. PHÂN TÍCH BẢO MẬT TRÊN WINDOWS QUA HỆ THỐNG API
.............................................................................................................................................. 9
1.

API hỗ trợ cơ chế xác thực ................................................................................... 9

2.

API hỗ trợ phân quyền ....................................................................................... 11

3.


API hỗ trợ cơ chế mã hóa ................................................................................... 11

4.

API hỗ trợ cơ chế theo dõi hệ thống .................................................................. 12

CHƯƠNG IV: SO SÁNH TÍNH AN TOÀN VÀ BẢO MẬT GIỮA LINUX VÀ
WINDOW .......................................................................................................................... 14
CHƯƠNG V: MỘT SỐ TÍNH NĂNG THỰC HIỆN CƠ CHẾ AN TOÀN TRÊN
WINDOWS 10................................................................................................................... 16
1.

Secure Boot – UEFI (Khởi động bảo mật) ........................................................ 16

2.

Early Antimalware (ELAM) .............................................................................. 16

3.

Windows Hello (kiểm tra tính xác thực) ........................................................... 17

4.

User Account Control ......................................................................................... 18

5.

Tường lửa............................................................................................................. 19


6.

Bitlocker ............................................................................................................... 20

CƠ CHẾ AN TOÀN HĐH WINDOWS

2


LỜI MỞ ĐẦU
Ngày nay, thế giới đang dần chuyển đổi từ công nghiệp hóa sang kỷ nguyên số, do
đó việc trao đổi thông tin qua mạng, sử dụng các hệ thống quản lý tự động trở nên vô cùng
quan trọng. Cũng chính vì lý do đó nên nguy cơ phải đối mặt với hàng loạt các vụ tấn công,
các mối đe dọa tiềm tàng từ virus, sâu máy tính, xâm nhập trái phép… là rất lớn. Vấn đề
đẻm bảo an ninh, an toàn cho hệ thống tin tin được ưu tiên hàng đầu cho các công ty, doanh
nghiệp. Lựa chọn một hệ điều hành phù hợp, có khả năng bảo mật, độ tin cậy cho người
dùng cao là rất quan trọng. Ra đời từ rất sớm, hơn 30 năm phát triển tư những dòng lệnh sơ
khai dành cho chiếc máy tính cá nhân một người dùng, ít kết nối mạng, hệ điều hành
Windows ngày càng phát triển, hướng tới tương tác đa người dùng, tích hợp nhiều kiến trúc
và cơ chế bảo mật, mang lại sự tin cậy cao hơn. Tuy nhiên, hệ điều hành Windows vẫn tiềm
tàng nhiều lỗ hổng bảo mật, là vấn đề được các chuyên gia cũng như kẻ xấu tìm cách khai
khác. Nhân thấy vấn đề nghiên cứu cơ chế an toàn của một hệ điều hành phổ biến nhất thế
giới như Windows là rất cần thiết.
Nội dung của bài báo cáo nghiên cứu: “Cơ chế an toàn hệ điều hành Windows” gồm có 5
chương:
Chương I: Tổng quan vấn đề an toàn bảo mật trên Windows
Chương II: Nguyên lý an toàn và bảo mật trên hệ điều hành Windows
Chương III: Phân tích bảo mật trên Windows qua hệ thống API
Chương IV: So sánh an toàn và bảo mật trên Windows và Linux
Chương V: Mốt số tính năng thực hiện cơ chế an toàn trên hệ điều hành Windows

10

CƠ CHẾ AN TOÀN HĐH WINDOWS

3


CHƯƠNG I. TỔNG QUAN VẤN ĐỀ AN TOÀN BẢO MẬT TRÊN
WINDOWS
Bảo mật trên Windows luôn là vấn đề được các nhà phát triển đặc biệt quan tâm,
đây được xem là hệ điều hành thông dụng nhất và cũng là cái đích để tin tặc dòm ngó.
Trong quá trình phát triển hơn 30 năm của Microsoft với nhiều phiên bản đã được phát
hành, vấn đề bảo mật cũng phát triển qua từng thời kì, có thể xem xét qua một số thời
kì như sau:
1. Khởi đầu cho vấn đề bảo mật
Hệ điều hành thế hệ đầu tiên phổ biến là MS-DOS, dễ sử dụng trên máy tính
với một người dùng mà không cần kết nối mạng, không có tính năng bảo mật và các
khái niệm như virus máy tính, hacker còn khá xa lại với người dùng. Tuy nhiên, sau
khi việc xuất hiện của phiên bản Windows 95 có vấn đề rủi ro cao trong trình duyệt
web Internet Exporer và nền tảng Active X. Đây cũng xem là thởi điểm khởi đầu
cho vấn đề bảo mật. Các hacker đã lợi dụng lỗ hổng bảo mật trong phần mềm Back
Orifice của Microsoft để chiếm quyền kiểm soát máy tính từ xa.
Tiếp sau Windows 95, phiên bản Windows NT 4.0 được giới thiệu năm 1996,
đi kèm với nó là lỗ hổng bảo mật cho phép các tin tặc có thể chiếm quyền quản lý
hệ thống máy tính. Từ đó, khi người dùng truy cập internet sẽ bị chuyển hướng tới
những trang web có nội dung xấu. Ngoài ra còn một số lỗ hổng nghiêm trọng buộc
Microsoft phải dùng cung cấp các bản vá, có những lỗi rất nặng không thể sửa chữa,
buộc phải tiến hành lập trình mới các phần mềm trên hệ điều hành.
Khi internet trở nên phổ biến hơn thì bảo mật thông tin người dùng là rất cần
thiết. Tuy nhiên, với máy tính chạy hệ điều hành Windows 98, 95 có thể bị đánh sập

toàn bộ hệ thống nếu truy cập vào một số trang web chứa mã độc hay mở e-mail từ
tài khoản Hotmail hoặc một dịch vụ webmail nào đó. Ngoài ra, có một vấn đề liên
quan tới rò rỉ thông tin cá nhân đối với máy tính cài Windows 98 đó là những văn
bản được tạo từ hai ứng dụng văn phòng là Word và Exel sẽ được gửi tự động đến
Microsoft trong quá trình đăng ký tự động của Windows98. Điều này sẽ tạo điều
kiện thuận lợi cho tin tặc chặn và đánh cắp thông tin trong văn bản đó. Trong khi
các dòng Windows 9x được cung cấp tuyd chọn có các thông tin nhiều người dùng,
chúng không có khái niệm về quyền truy cập, và không cho phép truy cập đồng thời,
chứng tỏ đây không phải là hệ điều hành đa người dùng thực sự. Ngoài ra các hệ
điều hành này chỉ thực hiện bảo vệ bộ nhớ một phần. Đây chính là một điểm trong
sự thiếu an toàn.
Không dừng lại ở đó, trong phiên bản Windows 2000 phải đối mặt với một
loạt những vấn đề bảo mật, đặc biệt đó là sự tấn công của những siêu “virus” như:
Melissa, IloveYou, Blaster, Code Red và Nimda…

CƠ CHẾ AN TOÀN HĐH WINDOWS

4


Sự yếu kém của hệ thống bảo vệ để malware tìm các tấn công vào máy chủ thông
tin Internet (IIS), gây ra lỗi tràn bộ đệm. Có thể kể đến một số tác hại của các cuộc
tấn công này đó là chiếm quyền điểu khiển máy chủ chạy Windows 2000 thông qua
IIS; nghiêm trọng hơn từ IP của người dùng, những kẻ gian có thể xâm nhập vào
máy tính, hay sự xuất hiện của lỗi bảo mật Plug and Play tạo điều kiện cho hàng loạt
virus “gặm nhấm” tài nguyên máy tính. Hơn thế nữa, với phiên bản này, các hacker
còn có thể tấn công máy tính qua hệ thống phân giải tên miền DNS.
2. Kỷ nguyên của công nghệ bảo mật windows
Những vấn đề thiết kế cùng với lỗi lập trình và sự phổ biến của Windows
khiến nó trở thành mục tiêu của virus và sâu máy tính. Tháng 6/2015, Counterpane

Internet Security của Bruce Schneier báo cáo trong 6 tháng có tới hơn 1000 mẫu
virus và sau mới. Năm 2005 Kaspersky tìm thấy khoảng 11.000 chương trình mã
độc, virus, Trojan,…cho Windows.
Các kỹ sư của Microsoft đã đưa ra phiên bản Windows XP. Mặc dù còn nhiều
lỗi bảo mật bị khai khác liên quan tới lỗ hổng TCP/IP, lỗi bảo mật của tính năng
Windows Help and Support Center, cùng nhiều lỗi khác tuy nhiên Windows XP giúp
người dùng yên tâm hơn phần nào khi có sự cải thiện khả năng chống đỡ tấn công.
Đặc biệt với phiên bản Service Pack 2, hệ thống tường lửa có khả năng tự động cập
nhật và ngăn chặn những cuộc tấn công từ ngoài nhờ sử dụng công nghệ Data
Excution Prevention. Đây được xem là kỷ nguyên công nghệ tường lửa trên
Windows.
Windows Vista, phiên bản mà các lỗ hổng bảo mật trên các phiên bản trước
đã được khắc phục, nhưng khi mới phát hành nó vẫn gặp sự cố từ các cuộc tấn công
từ những loại virus mới, đó là sâu Storm (làm ảnh hưởng hàng triệu máy), trojan
Zeus (có khả năng đánh cắp tài khoản ngân hàng). Điểm cải tiến nổi bật nhất ở phiên
bản này đó là chức năng User Account Control (UAC). Nó cho phép người dùng có
thể thoải mái điều khiển máy tính trong phạm vi an toàn của hệ thống. Ngoài ra còn
bổ sung chương trình chống phần mềm gián điệp, tăng cường bộ lọc chống lừa đảo
trên Internet Explorer 7 và mặc định vô hiệu hóa Active X. Tính năng Bitlocker cũng
được bổ sung trên Windows Vista.
3. Phát triển hệ điều hành windows an toàn hơn
Nối tiếp sự phát triển bảo mật trên hệ điều hành Windows Vista, phiên bản
Windows 7 đã có nhiều cải tiến nổi bật. Vẫn có nhưng lỗ hổng cần phải vá lỗi, đơn
cử như lỗi Zero – Day, liên quan tới giao thức chia sẻ thông tin Server Message
Block, mặc dù vậy nó cũng không còn quá nghiêm trọng như những phiên bản trước
đó. Tính năng Bitlocker cũng được cải tiến, mở rộng hỗ trợ với cả những thiết bị lưu
trữ di dộng. Thời điểm này, đối mặt với sự phát triển và phân tán của sâu Conficker
thông qua thiết bị USB, Microsoft đã lập trình để Windows 7 có cách giao tiếp với
USB mới không để nó có thể tự động kích hoạch qua chức năng AutoRun.


CƠ CHẾ AN TOÀN HĐH WINDOWS

5


Vào tháng 10/2012 phiên bản Windows 8 được công bố ra thị trường. Với
phiên bản này nhà phát triển đã tăng cường sức mạnh phần mềm diệt virut Defender,
tính năng khởi động an toàn của giao thức UEFI (giúp ngăn chặn các tấn công của
rootkit hay bootkit), tính năng SmartScreen Filter hỗ trợ ngăn chặn các web lừa đảo,
độc hại trên các trình duyệt Web, cùng với đó là khả năng quản lý mật khẩu đăng
nhập dịch vụ internet rất thông minh.
Tuy nhiên, có thể nói, cho tới thời điểm hiện tại, Microsoft khẳng định
Windows 10 là phiên bản hệ điều hành Windows bảo mật nhất. Phiên bản này là sự
đột phá, tích hợp nhiều tính năng bảo mật mới. Phải kể đến, Windows Hello sẽ giúp
người dùng loại bỏ những việc liên quan tới việc nhập khẩu để truy cập vào máy
tính. Khi kết hợp với một số công nghệ nhận diện khuôn mặt có sẵn trên các dòng
thiết bị Intel giúp mở khóa màn hình không cần đăng nhập. Phát triển hơn tính năng
SmartScreen. Điểm bảo mật mạnh mẽ nhất trên Windows 10 đó chính là phần mềm
danh tiếng Windows Defender, sử dụng dịch vụ đám mây, thu thập dữ liệu hàng tỷ
thiết bị chạy Windows trên thế giới đem tới khả năng phát hiện virus, phần mềm độc
hại hay trojan nhanh chóng và tối ưu nhất.

CƠ CHẾ AN TOÀN HĐH WINDOWS

6


CHƯƠNG II: NGUYÊN LÝ AN TOÀN VÀ BẢO MẬT TRÊN HỆ ĐIỀU
HÀNH WINDOWS
Từ khi hệ điều hành windows trở nên phổ biến và thông dụng với nhiều người dùng

thì nhu cầu bảo vệ tính toàn vẹn của hệ thống xuất hiện. Hệ thống phải sử dụng nhiều kỹ
thuật bảo vệ hiện đại để tăng sự tin cậy, ngăn ngừa tác hại do phá hoại. Bảo vệ là vấn đề
nội bộ trong quá trình hoạt động, chương trình phải tuân thủ chính sách sử dụng tài nguyên.
Cơ chế bảo vệ làm tăng tính tin cậy bằng cách phát hiện lỗi tiềm ẩn tại giao diện giữa các
hệ thống con. Phát hiện sớm để tránh được trường hợp lỗi tại hệ thống con này ảnh hưởng
xấu đến hệ thống con khác. Tài nguyên được bảo vệ không bị lạm dụng bởi người dùng
chưa kiểm chứng, hoặc không có quyền truy cập. Hệ thống bảo vệ cung cấp phương thức
để phân biệt giữa truy cập được phép và truy cập trái phép.
Bản chất của các cơ chế, nguyên lý an toàn và bảo mật trên Hệ điều hành Windows
đó là đảm bảo an toàn, bảo mật cho hệ thống và người dùng.
1. An toàn hệ thống (Security)
Bảo vệ hệ thống (protection là một cơ chế kiểm soát việc sử dụng tài nguyên của các
tiến trình hay người sử dụng để đối phó với các tính huống lỗi có thể phát sinh từ
trong hệ thống. Trong khi đó khía niệm an toàn hệ thống (security) muốn đề cập đến
mức độ tin cậy mà hệ thống duy trì khi phải đối phó không những với các vấn đề nội
bộ mà còn cả với những tác hại đến từ môi trường bên ngoài.
 Các vấn đề về an toàn hệ thống
Hệ thống được gọi là an toàn nếu các tài nguyên được sử dụng đúng như quy
ước trong mọi hoàn cảnh. Kém may mắn là điều mà hiếm khi đạt được trong thực
tế. Thông thường, an toàn bị vi phạm vì các nguyên nhân vô tình hay cố ý phá hoại.
Việ chóng đỡ các phá hoạt cố ý là rất khó khăn và gần như không thể đạt hiệu quả
hoàn toàn. Bảo đảm an toàn hệ thống ở cấp cao chống lại các tác hại từ môi trường
ngoài như hỏa hoạn, mất điện, phá hoại cần được thực hiện ở 2 mức độ vật lý (trang
bị các thiết bị an toàn cho vị trí đặt hệ thống) và nhân sự (chọn lọc cẩn thận những
nhân viên làm việc trong hệ thống). Nếu an toàn môi trường được đảm bảo khá tốt,
an toàn của hệ thống sẽ được duy trì tốt nhờ các cơ chế của hệ điều hành (với sự
trợ giúp của phần cứng).
Lưu ý rằng nếu bảo vệ hệ thống có thể đạt độ tin cậy 100%, thì các cơ chế an toàn
hệ thống được cung cấp chỉ hy vọng ngăn chặn bớt các tình huống bất an hơn là
đạt đến độ an toàn tuyệt đối.

 Kiểm định danh tính (Authentication)
Để đảm bảo an toàn, hệ điều hành cần giải quyết các vấn đề chủ yếu là kiểm
định danh tính (authentication). Hoạt động của hệ thống phụ thuộc vào khả năng
xác định các tiến trình đang xử lý. Khả năng này, đến lượt nó, lại phụ thuộc vào
CƠ CHẾ AN TOÀN HĐH WINDOWS

7




2.





việc xác định được người dùng đang sử dụng hệ thống để có thể kiểm tra người
dùng này được cho phép thao tác trên những tài nguyên nào.
Cách tiếp cận phổ biến nhất để giải quyết vấn đề là sử dụng password để kiểm
định danh tính của người dùng. Mỗi khi người dùng muốn sử dụng tài nguyên, hệ
thống sẽ kiểm tra password của người dùng nhập vào với password được lưu trữ,
nếu đúng, người dùng mới được cho phép sử dụng tài nguyên. Password có thể bảo
vệ được từng đối tượng trong hệ thống, thậm chí cùng một đối tượng sẽ có các
password khác nhau ứng với những quyền truy cập khác nhau. Cơ chế password
rất dễ hiểu và dễ sử dụng do vậy được sử dụng rộng rãi, tuy nhiên yếu điểm nghiêm
trọng của phương pháp này là khả năng bảo mật password rất khó đạt được sự hoàn
hảo, những tác nhân tiêu cực có thể đoán ra password của người khác nhờ nhiều
cách thức khác nhau.
Mối đe dọa từ các chương trình

Trong môi trường mà một chương trình được tạo lập bởi người này lại có thể
được người khác sử dụng, có thể xảy ra các tình huống sử dụng không đúng, từ dó
dẫn đến những hậu quả khó lường.
Bảo vệ an toàn hệ thống
An toàn và bảo vệ hệ thống là chức năng không thể thiếu của các hệ điều hành hiện
đại.
Mục tiêu bảo vệ hệ thống (Protection)
 Bảo vệ chống lỗi của tiến trình: khi có nhiều tiến trình cùng hoạt động, lỗi
của một tiến trình phải được ngăn chặn không cho lan truyền trên hệ thống
làm ảnh hưởng đến các tiến trình khác. Đặc biệt, qua việc phát hiện các lỗi
tiềm ẩn trong các thành phần của hệ thống có thể tăng cường độ tin cậy hệ
thống (reliability).
 Chống sự truy xuất bất hợp lệ: bảo đảm các bộ phận tiến trình sử dugnj tài
nguyên theo một cách thức hợp lệ được quy định nó trong việc khai thác các
tài nguyên này.
Vai trò của bộ phận bảo vệ hệ thống là cung cấp một cơ chế để áp dụng các chiến
lược quản trị việc sử dụng tài nguyên. Cần phân biệt khái niệm cơ chế và chiến
lược:
 Cơ chế: xác định làm thế nào để thực hiện việc bảo vệ, có thể có các cơ chế
phần mềm hoặc cơ chế phần cứng.
 Chiến lược: quyết định việc bảo vệ được áp dụng như thế nào: những đối
tượng nào trong hệ thống cần được bảo vệ và các thao tác thích hợp trên các
đối tượng này.
Để hệ thống có tính tương thích cao, cần phân tách các cơ chế và chiến lược được
sử dụng trong hệ thống. Các chiến lược sử dụng tài nguyên là khác nhau tùy theo
ứng dụng và thường dễ thay đổi. Thông thường các chiến lược được lập trình viên
CƠ CHẾ AN TOÀN HĐH WINDOWS

8



vận dụng vào ứng dụng của mình để chống lỗi truy xuất bất hợp lệ đến các tài
nguyên, trong khi đó hệ thống cung cấp các cơ chế giúp con người sử dụng có thể
thực hiện chiến lược bảo vệ của mình.

CHƯƠNG III. PHÂN TÍCH BẢO MẬT TRÊN WINDOWS QUA HỆ
THỐNG API
1. API hỗ trợ cơ chế xác thực
1.1 Giới thiệu lập trình xác thực trên local
Là quá trình xác minh thông tin đăng nhập trên windows. Tài khoản đăng
nhập được lưu lại local. Sử dụng tiến trình để quản lý xác thực gọi là local
security sybsystem service (isa).
1.2 Qúa trình xác thực trên local

 Khởi động máy nhấn CTRL-ALT -DELETE
 Winlogon nhận SAS và gọi GINA để hiển thị giao diện người dùng.
 GINA nhận username và password từ người dùng gửi tới LSA
CƠ CHẾ AN TOÀN HĐH WINDOWS

9


 Sau đó các dữ liệu đăng nhập, các GINA gọi LsaLogonUser để xác thực người
dùng.
 LSA gọi gói chứng thực xác định và chuyển dữ liệu đăng nhập vào nó.
 Gói chứng thực kiểm tra dữ liệu và xác định việc xác thực có thành công hay
không
 Kết quả xác thực xác thực trả lại cho LSA và từ LSA đến GINA.
 GINA hiển thị thành công hoặc thất bại của việc xác thực cho người dùng và
trả về kết quả xác thực cho Winlogon.

 Nếu xác thực thành công, phiên đăng nhập của người dùng bắt đầu và bộ đăng
nhập thông tin được lưu để tham khảo trong tương lai.
1.3 API xác thực
Hai hàm xác thực quan trọng: LogonUser và LsaLogonUser
1.4 API quản lý tài khoản
Gồm 2 kiểu tài khoản:
a. Administrators (quản trị) có toàn bộ quyền kiểm soát hệ thống.
b. Standard users (người dùng chuẩn) : Kiểu tài khoản này được cho phép đăng
nhập vào máy tính, chạy ứng dụng, hiệu chỉnh thông tin tài khoản riêng, lưu
file trong thư mục người dùng của chúng. Người dùng sẽ bị hạn chế thực hiện
thay đổi trên hệ thống.
Guest (Tài khoản khách): với quyền hạn tối thiểu và mặc định bị tắt
 NetUserAdd: thêm một tài khoản người dùng vào hệ thống Server. Nếu thành
công hàm trả về là NERR_Success. Không thành công trả về giá trị lỗi.
 NetUserDel: xóa một tài khoản người dùng trên Server.
 NetUserSetInfo: thiết lập các thông tin đối với tài khoản người dùng.
 NetUserEnum: lấy danh sách tài khoản người dùng trên Server. Nếu server
NULL sẽ lấy danh sách tài khoản trê local.
1.5 API quản lý quyền hạn tài khoản
Hai công cụ là User Accounts (trong control Panel) và Local Users and
Groups (trong Computer Management).
 NetAccessAdd: thêm quyền hạn cho 1 user đối với tài nguyên cụ thể
 NetAccessDel: Xóa 1 quyền hạn nào đó trên tài nguyên đối với người dùng
hoặc nhóm người dùng trên server.
 NetAccessEnum: lấy về danh sách các quyền của người dùng hoặc nhóm
người dùng đối với một tài nguyên cụ thể.
 NetAccessCheck: kiểm tra người dùng hoặc nhóm người dùng cụ thể có
quyền đối với tài nguyên cụ thể hay không.
 NetAccessSetInfo: hàm thiết lập quyền đọc và ghi trên tài nguyên cụ thể cho
tất cả người dùng và nhóm người dùng.

CƠ CHẾ AN TOÀN HĐH WINDOWS 10


2. API hỗ trợ phân quyền
Gồm: Access Token, Security Descriptor.
2.1 Access Token
 Chứa thông tin định danh, định danh nhóm
 Chứa danh sách quyền hạn của tài khoản và nhóm mà tài khoản đó là
thành viên.
2.2 Security Descriptor
 Khi một đối tượng được windows chỉ định một security descriptor để chứa
thông tin bảo mật về đối tượng như:
 Discretionary acess control list (DACL) thông tin điều khiển hệ thống ghi
nhận lại những hành động truy cập truy cập tới đối tượng.
3. API hỗ trợ cơ chế mã hóa
3.1 Mã hóa password:
Password của user là sự kết hợp của 2 loại password: LAN Manager và Window NT
password
3.1 LAN Manager (LM hash): chiều dài tối đa 14 kí tự
Các bước tính:
 password->uppercase ,
 password được null-padded -> 14 byte,
 được chia đôi thành 7 byte mỗi phần, mỗi 7 bytes -> 8 bytes DES key
 mỗi key dùng để mã hóa constand “KGS!@#$%” -> ciphertext
 2 ciphertext được nối lại với nhau -> LM hash
Window NT password (NT hash): dựa trên unicode char set, chiêu dài có thể 128 kí
tự, dùng mã hóa RSA MD4
3.2 Mã hóa ổ cứng: sử dụng các hàm của cryproAPI trong các file advapi32.dll và
crypt32.dll để thực hiện mã hóa và bảo mật.
 Mã hóa ổ đĩa BitLocker: Là giải pháp mã hóa phân vùng ổ đĩa, kể cả

USB. Khởi chạy công cụ này bằng cách truy cập vào Control Panel, duyệt
đến System and Security để mở tính năng BitLocker Drive Encryption
.

CƠ CHẾ AN TOÀN HĐH WINDOWS 11


BitLocker Drive Encryption
3.3 Mã hóa file
 Dùng Mã hóa EFS: mã hóa riêng từng tập tin, thư mục.
 Hoặc như trên winXP cho phép người dùng tạo ra file zip với mật khẩu được
thiếp lập để mã hóa. Ở các win khác dùng các phần mền bên thứ 3: winar, 7zip.
 Mã hóa tài liệu Office :Office của Microsoft cung cấp cho người dùng mật
khẩu để mã hóa, office 2007 dùng chuẩn AES
4. API hỗ trợ cơ chế theo dõi hệ thống
Bản chất của quá trình cài đặt even log trên windows cho các ứng dụng:
 Tạo event source trong registry để chứa các event log sẽ được ghi xuống ứng
dụng
 Tạo event message file được event source liên kết đến
 Ghi event message file xuống
 Đọc những thông tin trong event cùng những thông tin liên quan để theo dõi
hệ thống.
Mục đích: ghi nhận các sự kiện để xác định nguồn gốc và thiệt hại của hệ thống
 Xác định ngày giờ chỉnh sửa, xóa tài nguyên.

CƠ CHẾ AN TOÀN HĐH WINDOWS 12


Có 3 đối tượng mà Audit Policy giám sát: user, hệ thống và ứng dụng có trên hệ thống.
Công cụ đọc dùng để đọc thông tin, sự kiện ta ghi nhận thông qua Audit Policy: Event

Viewer.

CƠ CHẾ AN TOÀN HĐH WINDOWS 13


CHƯƠNG IV: SO SÁNH TÍNH AN TOÀN VÀ BẢO MẬT GIỮA LINUX VÀ
WINDOW
Windows
Linux
 Độ tin cậy kém là một trong những hạn  Linus nổi tiếng về độ tin cậy cao của nó.
chế lớn nhất của hệ điều hành này, nó
Những server chạy trên linux đều rất ổn
gây rất nhiều khó khăn cho người sử
định, có thể hoạt động trong thời gian
dụng. Hầu như tất cả những ai dùng
dài. Tuy nhiên khả năng truy xuất các
windows cũng đã từng một lần rơi vào
loại đĩa cứng là không đồng bộ có thể
tình cảnh “Blue Screen of Death”. Hệ
gây nguy hại đến dữ liệu nếu xảy ra sự
điều hành này sử dụng rất nhiều tài
cố.
nguyên khiến việc duy trì sự ổn định lâu
dài là rất khó khăn. So với Linux thì nó
tỏ ra ưu thế hơn ở việc tải dữ liệu.
 Windows cung cấp các tùy chọn bảo
mật rất phong phú, ngoài ra có chương
trình ghi nhận, thống kê các tác vụ hợp
lệ. Firewall cũng là một tấm chắn khá
tin cậy so với các phần mềm khác trên

thị trường
 Microsoft thường cho rằng sản phẩm
của họ an toàn về vấn đề bảo mật nhưng
họ không đưa ra một sự đảm bảo nào.
Windows là phần mềm mã nguồn đóng,
người dùng không thể xem xét mã
nguồn của windows, do đó không có
cách nào để tự khắc phục những lỗ hổng
bảo mật của nó. Chỉ có nhóm chuyên
gia của Microsoft mới có thể làm điều
đó.

 Tính an toàn và bảo mật của linux được
kiểm tra và xác nhận bởi hàng triệu
người dùng và các chuyên gia trên toàn
thế giới. Bởi vậy các lỗ hổng sẽ nhanh
chóng được khắc phục.
 Việc phân quyền chặt chẽ khiến việc
đọc ghi sửa xóa file vô cùng khó khăn
hơn so với Windows.
 Firewall của Linux là một phần của hệ
thống và nó rất đang tin cậy.
 Tuy nhiên, Linux chưa có chương trình
thống kê hệ thống ghi nhận và phát hiện
các tác vụ không hợp lệ một cách
chuyên nghiệp
 Virus là phần mềm do con người tạo ra,
nhưng nếu nói Linux miễn nhiễm với
virus thì hơi quá. Thật sự thì có ít hacker
tấn công vài Linux. Số lượng Worm,

Troijan ở Linux ít hơn nhiều và gây hại
không đáng kể so với Windows.

CƠ CHẾ AN TOÀN HĐH WINDOWS 14


Đặc điểm
Cơ sở an toàn

An ninh mạng
và các giao
thức

Bảo mật ứng
dụng

Đảm bảo

Các tiêu chuẩn
mở

Khả năng
Xác thực, kiểm
soát truy cập,
mật mã.

Linux
Kerberos, PKI,
Winbind,
ACLs, LSM,

SELinux,
- Kiểm soát
Truy cập
- Kiểm tra hồ
sơ bảo vệ, mật
mã hạt nhân

Xác thực lớp
mạng

Windows
Kerberos, PKI,
- Danh sách
Kiểm soát Truy
cập,
- Kiểm soát,
kiểm tra hồ sơ
bảo vệ truy
cập, ứng dụng
Microsoft
crypto
- Giao diện lập
trình

OpenSSL,
Open SSH,
OpenLDAP,
IPSec
Antivirus,
OpenAV,

tường lửa, phát Panda,
hiện xâm nhập TrendMicro,
Phần mềm
khả năng tường
máy chủ Web, lửa
email, hỗ trợ
Snort, Apache,
thẻ thông minh. sendmail,
Postfix, PKCS
11

SSL, SSH,
LDAP, AD,
IPSec

Chứng nhận
Linux đã đạt
tiêu chuẩn
được EAL3 và
chung, xử lý lỗi có lỗi tốt
Xử lý

Windows có
EAL4 và xử lý
lỗi tốt

Linux đáp ứng
tất cả các tiêu
chuẩn mở


Microsoft tham
gia vào các tiêu
chuẩn mở
nhưng có một
số tiêu chuẩn
độc quyền.

IPSec, POSIX,
Bảo mật tầng
vận tải

McAfee,
Symantec,
Check Point,
IIS,
Exchange /
Outlook, PCKS
11

Ghi chú

Linux là tốt
hơn

Cả 2 đều tốt

Linux tốt hơn
một số cái

Windows tốt

hơn

Linux tốt hơn

CƠ CHẾ AN TOÀN HĐH WINDOWS 15


CHƯƠNG V: MỘT SỐ TÍNH NĂNG THỰC HIỆN CƠ CHẾ AN TOÀN
TRÊN WINDOWS 10
1. Secure Boot – UEFI (Khởi động bảo mật)
Không có một hệ điều hành nào có thể bảo vệ các thiết bị ngoài tầm kiểm
soát. Vì lý do đó mà Microsoft đã kết hợp chặt chẽ với các nhà phát triển phần
cứng để yêu cầu bảo vệ cấp độ firmware chống lại sự khởi động và rootkit có thể
làm ảnh hưởng tới các khóa đã được mã hóa.
UEFI là một môi trường khởi động có thể lập trình được giới thiệu như để
thay thế cho BIOS, nhưng vẫn chưa thể thay đổi trong 30 năm qua. Giống như
BIOS, UEFI sẽ là chương trình khởi động trước bất kì phần mềm nào, nó khởi
động bộ nạp khởi động của hệ điều hành. UEFI có thể chống lại một loại phần
mềm độc hại phức tạp được gọi là bộ khởi động thông qua việc sử dụng tính năng
bảo mật của nó.
Các triển khai gần đây của UEFI (từ phiên bản) có thể xác minh chữ ký số
của phần firmware của thiết bị trước khi chạy nó. Chỉ có nhà sản xuất phần cứng
của máy tính có quyền truy cập vào chứng chỉ kỹ thuật số bắt buộc tạo chữ ký
phần mềm hợp lệ. UEFI có thể ngăn chặn các bộ tải khởi động dừa trên phần
mềm. Do đó UEFI tạo nên độ tin cậy cao.

Quy trình khởi động giữa BIOS và UEFI
Với tính năng Secure Boot, UEFI, phối hợp với TPM, có thể kiểm tra trình
nạp khởi động và xác định xem nó có đáng tin cậy hay không thông qua chữ ký
số.

2. Early Antimalware (ELAM)
Cơ chế khởi động UEFI bảo vệ trình nạp khởi động và Trusted Boot đã bảo
vệ nhân của Windows hoặc các thành phần khởi động Windows khác, do đó cơ
hội để các phần mềm độc hại bắt đầu lây nhiễm vào trình điểu khiển là tránh
không liên quan tới khởi động của Microsoft. Các ứng dụng chống malware
truyền thống không bắt đầu cho tới khi các trình điều khiển liên quan đến khởi
động được nạp, nên cho phép rootkit giả mạo là một trình điều khiển có cơ hội
được làm việc.
Early Antimalware được thiết kế cho phép giải pháp chống ma trận bắt đầu
trước tất cả các trình điều khiển và ứng dụng không phải của Microsoft. ELAM
CƠ CHẾ AN TOÀN HĐH WINDOWS 16


kiểm tra tính toàn vẹn của các trình điều khiển ngoại lệ xem có đáng tin cậy hay
không, Nếu phần mềm đọc hại sửa đồi trình điểu khiển liên quan tới khởi động,
ELAM sẽ phát hiện sự thay đổi này và Windowssẽ ngăn không co trình điều
khiển đó hoạt động, ngăn chặn được các rootkit. ELAM cũng cho phép các nhà
cung cấp phần mềm antimalware đăng kí quét các trình điểu khiển dược nạp
trong quá trình khởi động được hoàn tất.
ELAM phân loại các trình điểu khiển như sau:
 Tốt: trình điểu khiển đã được đăng kí và không bị làm giả mạo.
 Xấu: Trình điểu khiển đã được xác định là phần mềm độc hại. Khuyến
cáo không nên kích hoạt điều khiển xấu được biết đến.
 Xấu nhưng cần thiết cho khởi động: trình điểu khiển đã được xác định
là phần mềm độc hại nhưng máy tính không thể khởi động thành công
mà không tải trình điều khiển này.
 Không xác định: trình điểu khiển chưa được chứng thực bởi ứng dụng
phát triển phần mềm độc hại hoặc chưa được phân loại
3. Windows Hello (kiểm tra tính xác thực)
Công nghệ bảo mật sinh trắc học không có gì mới mẻ, nhưng Microsoft đã

nâng làm cho nó dễ sử dụng hơn nhiều với tính năng Windows Hello trong phiên
bản win 10. Tính năng này dựa vào nhận diện khuôn mặt, dấu vân tay của bạn
để đăng nhập mà không cần phải gõ mật khẩu hay mã PIN để khởi động hệ điều
hành. Hiện nay nhiều hãng máy tính đã tích hợp đầu đọc dấu vân tay, còn muốn
sử dụng tính năng nhận dạng khuôn mặt thì máy tính của bạn cần tích hợp camera
công nghệ Intel RealSense.

Hình ảnh cho chương trình Windows Hello Windows 10
Mặc dù các nhà nghiên cứu đã phát hiện dấu vân tay có thể bị đánh cắp trên
thiết bị Android, tuy nhiên sẽ khó khăn hơn nhiều với Windows Hello. Công
nghệ này không lưu trữ hình ảnh ảnh hay dấu vân tay mà hình mẫu Windows
CƠ CHẾ AN TOÀN HĐH WINDOWS 17


Hello tạo ra khuôn mặt hoặc ngón tay giống một đồ thị. Chúng dựa trên 60 chi
tiết khuôn mặt và 40 điểm trên ngón tay, sau đó mã hóa, lưu trữ trên chip TPM
và không bao giờ được gửi ra khỏi máy tính. Hơn nữa, hình ảnh này không thể
sử dụng để tái tạo khuôn mặt hay dấu vân tay.

Quét nhận dạng khuôn mặt trên Windows Hello
Thiết lập tính năng này, hãy vào Setting chọn Accounts ->Sign in-> Option,
tuy nhiên cần phải tạo mã PIN để mở khóa các tùy chọn Hello. Nếu hệ thống
windows 10 không thể đọc được dữ liệu khuôn mặt hay ngón tay 5 lần thì phải
dùng mã PIN để đăng nhập. Tiếp theo đó là làm theo hướng dẫn việc thiết lập
nhận diện khuôn mặt.
Windows Hello để đăng nhập máy tính chạy Windows 10 hay cũng có thể
dùng khởi động máy tính từ chế độ Sleep Mode.
4. User Account Control
Kiểm soát Tài khoản Người dùng (UAC) giúp ngăn phần mềm độc hại gây
hại cho máy tính và giúp các tổ chức triển khai môi trường máy tính để bàn được

quản lý tốt hơn. Với UAC, ứng dụng và nhiệm vụ luôn chạy trong bối cảnh bảo
mật của một tài khoản không phải quản trị viên, trừ khi một quản trị viên đặc biệt
cho phép quyền truy cập cấp quản trị vào hệ thống. UAC có thể chặn cài đặt tự
động các ứng dụng trái phép và ngăn các thay đổi vô ý đối với cài đặt hệ
thống. UAC cho phép tất cả người dùng đăng nhập vào máy tính của họ bằng tài
khoản người dùng chuẩn. Các quy trình khởi chạy sử dụng token người dùng
chuẩn có thể thực hiện các tác vụ sử dụng quyền truy cập được cấp cho người
dùng chuẩn. Ví dụ: Windows Explorer tự động được thừa hưởng quyền người
dùng cấp độ chuẩn. Ngoài ra, bất kỳ ứng dụng nào được bắt đầu sử dụng
Windows Explorer (ví dụ bằng cách nhấp đúp vào một phím tắt) cũng chạy cùng
với bộ quyền người dùng chuẩn. Nhiều ứng dụng, bao gồm cả những ứng dụng
có trong hệ điều hành, được thiết kế để hoạt động theo cách này. Các ứng dụng
khác, đặc biệt là các ứng dụng không được thiết kế đặc biệt với các cài đặt bảo
mật, thường đòi hỏi phải có thêm quyền để chạy thành công. Những loại ứng
dụng này được gọi là ứng dụng cũ. Ngoài ra, các hành động như cài đặt phần
mềm mới và thay đổi cấu hình cho Windows Firewall, cần nhiều quyền hơn
CƠ CHẾ AN TOÀN HĐH WINDOWS 18


những gì có sẵn cho tài khoản người dùng chuẩn. Khi ứng dụng cần chạy với
nhiều quyền người dùng chuẩn, UAC có thể khôi phục các nhóm người dùng bổ
sung vào mã thông báo. Điều này cho phép người dùng kiểm soát rõ ràng các
ứng dụng đang thực hiện thay đổi mức hệ thống đối với máy tính hoặc thiết bị
của họ.
Theo mặc định, UAC được đặt để thông báo cho bạn bất cứ khi nào ứng dụng
cố gắng thay đổi máy tính của bạn, nhưng bạn có thể thay đổi tần suất UAC
thông báo cho bạn.
Trong Windows 10, User Account Control đã bổ sung một số cải tiến .



Tích hợp với giao diện quét Antimalware (AMSI). AMSI quét tất cả
các yêu cầu độ cao UAC cho phần mềm độc hại. Nếu phát hiện phần
mềm độc hại, đặc quyền quản trị viên sẽ bị chặn.

Khi bạn được nhắc nhở để nhập các thông tin quan trọng hoặc nâng cấp một
chương trình bắt đầu bằng Windows 10 Insider Preview Build 14328, bạn sẽ
nhận thấy hộp thoại hiện có giao diện mới và hiện đại để phù hợp với ngôn ngữ
thiết kế được sử dụng trên Windows 10. Và bây giờ khi được nhắc Nhập thông
tin xác thực, bạn có thể chọn đăng nhập bằng Windows Hello, mã PIN, chứng
chỉ.
Hướng dẫn này sẽ cho bạn thấy làm thế nào để thay đổi cài đặt Kiểm soát Tài
khoản Người dùng (UAC) để biết khi nào được thông báo về những thay đổi đối
với máy tính của bạn trong Windows 10. Bạn phải đăng nhập với tư cách quản
trị viên để có thể thay đổi cài đặt UAC.
5. Tường lửa
Tường lửa có thể là phần cứng, có thể là phần mềm, nhằm giúp bảo vệ an
toàn cho máy tính của bạn.
Những người dùng máy tính từ trước tới nay hầu hết đều đã từng nghe qua từ
"Tường lửa" (Firewall), và thường hiểu rằng đây là một biện pháp bảo vệ an toàn
cho máy tính. Tuy nhiên, khái niệm tường lửa là gì? Chức năng của nó như thế
nào thì không phải ai cũng biết. Bài viết dưới đây sẽ giúp bạn có một cái nhìn
tổng quan nhất về tường lửa cũng như chức năng của nó.
Tường lửa được xem như một bức rào chắn giữa máy tính (hoặc mạng cục bộ
- local network) và một mạng khác (như Internet), điều khiển lưu lượng truy cập
dữ liệu vào ra. Nếu không có tường lửa, các luồng dữ liệu có thể ra vào mà không
chịu bất kì sự cản trở nào. Còn với tường lửa được kích hoạt, việc dữ liệu có thể
ra vào hay không sẽ do các thiết lập trên tường lửa quy đinh.
CƠ CHẾ AN TOÀN HĐH WINDOWS 19



Vì sao máy tính lại được trang bị tường lửa?
Hiện nay, hầu hết chúng ta đều sử dụng router để kết nối internet. Thông qua
router này, chúng ta có thể chia sẻ kết nối mạng với nhiều thiết bị khác nhau. Tuy
nhiên, cách kết nối internet trước đây lại khác. Người dùng cắm sợi cáp Ethernet
thẳng modem DSL, kết nối máy tính của họ với mạng Internet 1 cách trực tiếp.
Một máy tính kết nối trực tiếp với mạng Internet đều có một địa chỉ IP công
khai mà bất kì ai trên Internet cũng có thể biết được. Do đó, khi bạn chạy bất kì
dịch vụ mạng nào trên máy mình, như dịch vụ chia sẻ tập tin, máy in có sẵn trên
HĐH, điều khiển từ xa (remote desktop), thì bất cứ ai có kết nối internet, nếu
muốn, đều có thể can thiệp vào hoạt động của bạn.
6. Bitlocker
BitLocker Drive Encryption là một tính năng bảo vệ dữ liệu tích hợp với hệ
điều hành và giải quyết các mối đe dọa về trộm cắp dữ liệu hoặc tiếp xúc với các
máy tính bị mất, bị đánh cắp hoặc không được sử dụng đúng cách.
BitLocker cung cấp sự bảo vệ tốt nhất khi được sử dụng với Trusted Platform
Module (TPM) phiên bản 1.2 trở lên. TPM là một thành phần phần cứng được
cài đặt trong nhiều máy tính mới hơn bởi các nhà sản xuất máy tính. Nó hoạt
động với BitLocker để giúp bảo vệ dữ liệu người dùng và đảm bảo rằng máy tính
không bị giả mạo trong khi hệ thống không hoạt động.
Tính năng Bitlocker mới trong Windows 10, phiên bản 1511


Thuật toán mã hóa XTS-AES. BitLocker hỗ trợ thuật toán mã hóa XTSAES. XTS-AES cung cấp sự bảo vệ bổ sung từ một lớp các cuộc tấn công
vào mã hóa mà dựa vào thao tác văn bản mật mã để gây ra những thay đổi
có thể dự đoán được trong văn bản thuần túy. BitLocker hỗ trợ cả hai phím
128-bit và 256-bit XTS-AES. Nó cung cấp những lợi ích sau:
 Thuật toán này tương thích với FIPS.
CƠ CHẾ AN TOÀN HĐH WINDOWS 20





Dễ quản lý. Bạn có thể sử dụng thuật sỹ BitLocker, quản lý-bde,
chính sách nhóm, chính sách MDM, Windows PowerShell hoặc
WMI để quản lý nó trên các thiết bị trong tổ chức của bạn. Lưu
ý: Các ổ đĩa được mã hóa bằng XTS-AES sẽ không thể truy cập
được trên phiên bản cũ hơn của Windows. Điều này chỉ được
khuyến cáo cho các ổ đĩa hệ điều hành cố định và hệ điều hành. Các
ổ đĩa có thể tháo rời nên tiếp tục sử dụng các thuật toán AES-CBC
128-bit hoặc AES-CBC 256-bit.

Các tính năng mới của Bitlocker trong Windows 10, phiên bản 1507






Mã hóa và phục hồi thiết bị bằng Azure Active Directory. Ngoài việc
sử dụng Tài khoản Microsoft, tự động mã hóa thiết bị hiện có thể mã hóa
các thiết bị của bạn được kết nối với một miền Azure Active
Directory. Khi thiết bị được mã hóa, khoá khôi phục BitLocker sẽ tự động
được chuyển sang Azure Active Directory. Thao tác này sẽ giúp khôi phục
lại khóa BitLocker của bạn trên mạng trở nên dễ dàng hơn.
Bảo vệ cổng DMA: Bạn có thể sử dụng chính sách DataProtection/
AllowDirectMemoryAccess MDM để chặn các cổng DMA khi thiết bị
khởi động. Ngoài ra, khi thiết bị bị khóa, tất cả các cổng DMA không sử
dụng đều bị tắt, nhưng bất kỳ thiết bị nào đã được cắm vào cổng DMA sẽ
tiếp tục hoạt động. Khi thiết bị được mở khóa, tất cả các cổng DMA được
bật trở lại.

Chính sách nhóm mới để định cấu hình khôi phục trước khi khởi
động. Bây giờ bạn có thể cấu hình thông báo khôi phục trước khi khởi
động và phục hồi URL được hiển thị trên màn hình phục hồi trước khi
khởi động. Để biết thêm thông tin, hãy xem phần Cấu hình thông báo khôi
phục và phần URL trong "Cài đặt Chính sách Nhóm BitLocker".

CƠ CHẾ AN TOÀN HĐH WINDOWS 21



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×