Hướng dẫn toàn diện về bảo mật Windows 7 – Phần 3

Trong phần này chúng tôi sẽ giới thiệu cho các bạn một số thông tin cơ
bản mà bạn cần biết để bảo mật Windows 7 đúng cách, bên cạnh đó là
một số chức năng bảo mật ít được biết đến hơn mà hệ điều hành mới
này cung cấp
.
Chúng tôi cũng sẽ giới thiệu nhiều cách giúp bạn có thể ngăn chặn tấn công,
bảo đảm an toàn dữ liệu và khôi phục trở lại sau tấn công một cách nhanh
chóng.
Có thể nói Windows 7 được thiết kế an toàn hơn. Khi được sử dụng như một
hệ điều hành độc lập, Windows 7 sẽ bảo vệ tốt người dùng cá nhân. Nó có
nhiều công cụ bảo mật hữu dụng bên trong, tuy nhiên chỉ khi được sử dụng
với Windows Server 2008 (R2) và Active Directory, thì sự bảo vệ sẽ đạt
hiệu quả cao hơn.
Trong bài này chúng tôi sẽ giới thiệu cho các bạn một số kiến thức cơ bản
cần thiết để bảo mật Windows 7 được đúng cách, giúp bạn đạt được mức
bảo mật cơ bản, xem xét một số cấu hình bảo mật nâng cao cũng như đi
khám phá một số chức năng bảo mật ít được biết đến hơn trong Windows
nhằm ngăn chặn và bảo vệ chống lại các tấn công có thể. Mục tiêu của bài
viết này là để giới thiệu các tính năng bảo mật của Windows 7, những nâng
cao và ứng dụng của chúng cũng như cung cấp cho bạn những kiến thức về
việc lên kế hoạch, sử dụng đúng các tính năng bảo mật này. Các khái niệm
mà chúng tôi giới thiệu sẽ được chia nhỏ và được tổ chức theo phương pháp
khối.
Lưu ý: Nếu làm việc trong công ty hoặc môi trường chuyên nghiệp khác,
các bạn không nên thực hiện các điều chỉnh với máy tính của công ty. Hãy
thực hiện theo đúng kế hoạch (hay chính sách) bảo mật đã được ban bố,
cũng như những hành động, nguyên lý và hướng dẫn tốt nhất đã được công
bố trong tổ chức. Nếu chưa quen với các chủ đề bảo mật và các sản phẩm
của Microsoft, hãy đọc tài liệu hướng dẫn của sản phẩm trước khi áp dụng

bất cứ thay đổi nào cho hệ thống.
Khôi phục thảm họa
Windows 7 khi đã được bảo mật đầy đủ, nó cần được backup để có thể khôi
phục lại một cách nhanh nhóng. Bạn có thể sử dụng phần mềm imaging
chụp lại cài đặt cơ bản để có thể cài đặt lại nhanh chóng nếu cần. Nếu phải
cài đặt lại Windows 7 từ đống đổ nát, bạn cũng cần phải thực hiện tất cả các
bước đã thực hiện bảo mật. Do công việc này có thể mất nhiều thời gian nên
chúng ta nên xem xét đến các giải pháp khôi phục, đặc biệt nếu Windows 7
được sử dụng trong doanh nghiệp. Các giải pháp công ty hoàn toàn có tính
năng imaging. Trong khi đó người dùng gia đình cũng có thể tạo một
snapshot cho các hệ thống của họ để có thể khôi phục nhanh chóng. Dù cách
nào, bạn cũng luôn có thể sử dụng các công cụ như System Restore, tiện ích
cho phép tạo snapshot cho hệ thống, tuy nhiên chỉ khi bạn có thể khởi động
hệ thống. Chỉ có một cách có thể khôi phục từ một thảm họa ở góc độ toàn
diện là lên kế hoạch từ trước về vấn đề đó và xây dựng một kế hoạch khôi
phục tỉ mỉ. Một kế hoạch khôi phục đơn giản sẽ là khi cài đặt được hoàn tất,
sau đó bảo đảm các đĩa cài đặt được bảo vệ an toàn cho sử dụng sau này.
Nếu thảm họa xảy ra, chúng ta sẽ khắc phục hệ thống và nếu không thể khắc
phục được, hãy khôi phục dữ liệu và cài đặt lại Windows từ các đĩa cài đặt.
Quá trình này sẽ mất rất nhiều thời gian và bạn sẽ bị rủi ro mất dữ liệu. Một
kế hoạch phản ứng với việc khôi phục thảm họa sẽ gồm có nhiều cách bảo
vệ dữ liệu của bạn và cung cấp nhiều tùy chọn để có thể khôi phục nhanh:
• Cài đặt Windows 7, các ứng dụng, các tập công cụ và làm vững chắc
hệ thống
• Tạo một backup hệ thống (imaging, ảo hóa, tạo điểm khôi phục, )
• Chuẩn bị giải pháp để backup và khôi phục dữ liệu tập trung
• Triển khai sử dụng, đợi sự việc hoặc thảm họa
• Khi sự việc xảy ra, tìm nguyên nhân gốc và sửa chữa nó
• Một thảm họa sẽ làm cho hệ thống vượt xa khả năng sửa chữa cũng
như rơi vào trạng thái ngừng sản xuất

• Khôi phục nhanh hệ điều hành cơ bản với các ứng dụng, nâng cấp
thông qua việc imaging hoặc ảo hóa
• Áp dụng lại dữ liệu (PST, ) thông qua kho lưu trữ dữ liệu tập trung
và bản đồ hóa ổ đĩa.
• Người dùng hệ thống quay trở lại làm việc nhanh chóng mà không bị
mất các dữ liệu quan trọng.
Tất cả hệ thống sẽ chắc chắn có một số dạng lỗi dù bạn có chuẩn bị kỹ càng
thế nào đi chăng nữa. Lỗi ổ đĩa, lỗi ứng dụng, lỗi bảo mật, Vì vậy, trong kế
hoạch bảo mật của mình, bạn nên xem xét đến những thứ này và cho phép
bạn có cơ hội để khôi phục lại. Bạn cũng cần xem xét cách sẽ khôi phục khi
xảy ra vấn đề với hệ thống như thế nào. Windows 7 cung cấp rất nhiều tùy
chọn để đưa dữ liệu của bạn trở lại và hoạt động nhanh chóng khi có sự kiện
thảm họa xảy ra.
Nếu cần sửa các file hệ thống, hoặc khôi phục lại một copy trước của hệ điều
hành, bạn có thể thực hiện dễ dàng với Windows 7. Windows 7 cung cấp
nhiều công cụ trợ giúp bạn bảo vệ và backup dữ liệu cá nhân của mình, cũng
như bản thân hệ điều hành. Việc sử dụng các công cụ chẳng hạn như ERD,
ASR, Backup and Restore, System Restore, Recovery Console, Safe Mode,
Last Known Good Installation và các tùy chọn khác đã giúp các quản trị
viên và người dùng có thể lái thảm họa từ phát hành XP. Nhiều người trong
số chúng tôi đã sử dụng một số công cụ Sysinternal để vực lại hệ thống và
chạy sau khi gặp phải các lỗi nghiêm trọng (BSOD).
Backup and Restore sẽ kèm luôn Data Backup. Backup hệ thống bản thân nó
được thực hiện với System Restore (hình 1), ở đây bạn có thể cấu hình điểm
khôi phục hệ điều hành để sử dụng về sau.

Hình 1: Sử dụng System Restore để tạo điểm khôi phục
Lưu ý: System Restore được sử dụng để tạo snapshot cho hệ thống,
snapshot này sau đó sẽ được lưu vào ổ cứng. Nếu muốn quay trở lại điểm
khôi phục đó, bạn cần có khả năng sử dụng System Restore lần nữa. Nếu

System Restore bị thỏa hiệp; bạn sẽ không thể sử dụng điểm khôi phục và
cần dựa vào việc imaging, hoặc cài đặt lại.
Cũng có thể dựa vào các công cụ imaging để cài đặt lại nhanh chóng hệ điều
hành hiện không thể sửa chữa được. Việc cài đặt các desktop Windows từ
đống đổ nát là một tiến trình khá dài, đặc biệt nếu bạn đang chạy hệ thống
chẳng hạn như XP. Có rất nhiều các hot fix, nâng cấp và các gói dịch vụ cần
được sử dụng, cũng như các nâng cấp cho các ứng dụng giống như
Microsoft Office. Một cách để fix thời gian cần thiết để khôi phục hệ thống
không thể hoạt động do virus gây ra là cần có một image. Nếu System
Restore hoặc các công cụ khác không thể làm cho hệ thống của bạn hoạt
động trở lại, bạn cần sử dụng một copy Windows mới, tuy nhiên không sử
dụng các hot fix và các nâng cấp lúc này – vì bạn có thể lại trở thành nạn
nhân của cùng vấn đề đã gây cho hệ thống của bạn bị lỗi lúc trước.
Dữ liệu là thứ quan trọng nhất mà bất cứ ai cũng phải quan tâm đến nó. Dữ
liệu cá nhân (hoặc công ty) cần được cung cấp sẵn ở mọi thời điểm và không
bao giờ bị mất. Trong môi trường doanh nghiệp, dữ liệu thường được
backup, được cất giữ cẩn thận và sẽ được mang ra để khôi phục nếu thảm
họa xảy ra. Trong gia đình, cách thức như vậy cũng nên được thực hiện. Bạn
có hoặc không muốn tạo một copy offsite cho dữ liệu của mình, nhưng việc
backup để có thể khôi phục lại sau này nếu cần là thứ đầu tiên mà bạn cần
xem xét thậm chí trước khi nghĩ về cách khôi phục Windows 7 trong tình
trạng khẩn cấp như thế nào. Phương án thiết kế đúng nên làm là giữ một
copy dữ liệu cá nhân của bạn trong một ổ cứng ngoài. Được kết nối thông
qua USB (hoặc FireWire), dữ liệu của bạn có thể được truy cập bất cứ lúc
nào. Bạn cũng có thể mirror copy vào ổ cứng thứ hai, hoặc thậm chí sử dụng
giải pháp băng từ trong nhà để bảo vệ dữ liệu an toàn hơn. Nếu đang điều
hành một doanh nghiệp của gia đình, bạn có thể sẽ muốn bổ sung thêm sự an
toàn cho dữ liệu để phòng khi trường hợp có vấn đề gì đó xảy ra với gia đình
thì doanh nghiệp của bạn vẫn không bị ảnh hưởng bởi nó. Vì vậy, nhìn
chung – bạn cần phải có sự chuẩn bị. Cách tốt nhất để khôi phục khi gặp

phải trường hợp lỗi dữ liệu hoặc xóa vô tình là backup dữ liệu của bạn để
giữ an toàn.
Việc sử dụng các giải pháp tập trung là chìa khóa để làm cho những dữ liệu
quan trọng của bạn có được khả năng có sẵn cao và an toàn. Cho ví dụ, nếu
lưu tất cả dữ liệu của mình trên một ổ cứng bên trong và không bao giờ
backup nó, khi đó bạn sẽ phải đối mặt với những rủi ro mất dữ liệu do ổ
cứng bị lỗi và không thể sửa chữa. Một giải pháp đơn giản là sử dụng các
tùy chọn backup ở mức tối thiểu, copy nó vào một ổ cứng ngoài. Tất cả các
ổ cứng đều có thể bị lỗi vì vậy cho tới khi có công nghệ mới hơn bắt kịp
được công nghệ đã triển khai, chúng ta sẽ thấy các máy tính gia đình và các
mảng doanh nghiệp được lấp đầy các ổ đĩa đang chờ đợi lỗi xảy ra bất cứ lúc
nào. Bạn phải backup dữ liệu hoặc phải gánh chịu hậu quả để mất nó. Khi đã
chỉ ra vấn đề đó, tất cả những gì bạn cần thực hiện là tìm ra cách khôi phục
nhanh Windows với cố gắng và thời gian tối thiểu.
Mẹo: Tốt nhất luôn lên kế hoạch cho kịch bản tồi tệ nhất. Nếu bạn cho rằng
hệ thống của mình rốt cuộc sẽ bị đổ vỡ và không thể sửa chữa, việc có một
backup tốt cho hệ thống và dữ liệu sẽ là hy vọng cứu cánh cho bạn. Nói ngắn
gọn, kế hoạch bảo mật và ngăn chặn thậm chí dù có được thực hiện một cách
hoàn hảo thì vẫn không thể gọi là an toàn 100%, vì vậy luôn có kế hoạch để
sử dụng lại Windows 7 nếu bạn cần.
Có thể thiết lập một kế hoạch khôi phục thảm họa cho hệ điều hành của
mình rất dễ dàng bằng việc ảo hóa. Bạn có thể download và cài đặt Virtual
PC, hoặc Hyper-V của Microsoft. Hyper-V cung cấp một nền tảng cho phép
bạn có thể tạo, quản lý và kiểm tra các máy ảo (VM). Nếu đang chạy
Windows 7 tại nhà, bạn vẫn có thể ảo hóa hệ thống hoặc tài nguyên của
mình và lợi dụng các ưu điểm của nó bên trong Virtual PC (ví dụ như vậy).
Bằng cách này, nếu muốn tạo một VM làm backup, bạn hoàn toàn có thể.
Một mẹo hữu ích mà bạn có thể áp dụng tại nhà là những gì các doanh
nghiệp đang triển khai để thay đổi cách họ quản lý phần mềm và triển khai
hệ thống. Việc sử dụng ảo hóa (Virtual PC/Server or Hyper-V) sẽ mang đến

cho bạn nhiều cơ hội để có thể thay đổi nhanh cách bạn làm việc ở nhà. Nếu
sử dụng VHD (một virtual hard drive file), bạn sẽ luôn có một copy cho hệ
thống của mình. Có thể sử dụng Disk Management để tạo một VHD của
Windows 7 như những gì thể hiện trong hình 2.

Hình 2: Tạo ổ ảo bằng Disk Management
Nếu trong doanh nghiệp, các hệ thống và tài nguyên có thể được ảo hóa và
dữ liệu có thể có sẵn cao trong thiết bị Storage Area Network (SAN) hoặc
Network Attached Storage (NAS) thì điều này sẽ giải quyết các vấn đề có
liên quan tới thời gian khôi phục thảm họa xảy ra. Nếu tất cả các file được
sử dụng bởi máy khách mà người dùng có thể tìm thấy thông qua ổ đĩa được
mapping với máy chủ file thì về cơ bản tất cả những gì bạn cần thực hiện lúc
đó là đợi cho lỗi phần cứng hệ thống xảy ra và đưa hệ thống hoạt động trở
lại trên các máy tính mới. Hầu hết môi trường công ty với các hệ thống tối
tân đều có thêm phần cứng dự phòng. Nếu thiết kế và sử dụng các khái niệm
máy chủ dự phòng và sử dụng sự ảo hóa để cân bằng thì bạn có thể nhanh
chóng khắc phục được sự cố, bên trong đơn vị tính là giây, người dùng có
thể backup và chạy mà không mất nhịp làm việc của mình.
Nói tóm lại, luôn backup dữ liệu của bạn và bảo vệ hệ thống. Làm vững chắc
nó tốt nhất với khả năng của bạn, tuy nhiên cũng cần cho phép bạn có được
khả năng backup và hoạt động trở lại mà không tốn nhiều thời gian vào việc
cài đặt phần mềm, driver và cấu hình lại hệ thống.
Lưu ý: Kết hợp chặt chẽ với vấn đề an toàn chịu lửa, hoặc giải pháp backup
offsite cho dữ liệu để đề phòng những thảm họa về môi trường.
Các tính năng bảo mật nâng cao
Windows 7 có nhiều tính năng bảo mật nâng cao mà bạn có thể sử dụng,
chẳng hạn như các tùy chọn mã hóa và sinh trắc học. Truyền thông an toàn
qua các kết nối không an toàn phải được bảo đảm. Điều khiển truy cập, khai
thác các thông tin đã thu thập được là thứ mà bạn cần lên kế hoạch khi triển
khai Windows 7, vì các thảm họa có thể xuất hiện và dữ liệu cũng vì thế mà

có thể mất bất cứ lúc nào. Tồi tệ hơn, vì các công việc di động và laptop
được sử dụng cho mục đích cá nhân, bảo mật bị nguy hiểm khi người dùng
mất laptop của họ, để quên nó ở đâu đó hoặc có thể bị mất cắp. Nếu USB
được sử dụng và bị mất, dữ liệu của bạn sẽ được duy trì an toàn như thế nào?
Để chuẩn bị cho những vấn đề này, bạn có thể triển khai các tính năng bảo
mật dưới đây với Windows 7:
Sinh trắc học – Các vấn đề về sinh trắc học được sử dụng để điều khiển sự
truy cập. Hầu hết các hệ thống (đặc biệt là dòng IBM/Lenovo ThinkPad) đã
giới thiệu tính năng nhận dạng dấu vân tay. Cải tiến về kỹ thuật này có thể
được sử dụng cho bất cứ hệ thống nào, từ các thiết bị gia đình, doanh
nghiệp, hoặc ở đâu đó. Các thư viện công cộng sẽ từ bỏ việc sử dụng thẻ thư
viện và thay vào đó là một máy quét võng mạc. Các ứng dụng điều khiển
cha mẹ cho trẻ con tại nhà và các chức năng cá nhân sẽ được thực hiện dưới
dạng ID sinh trắc học. Windows 7 đã sẵn sàng cho tất cả vấn đề đó.
Microsoft đã làm việc cụ thể với các chuyên gia phát triển về nhận dạng vân
tay và các hãng phần cứng để bảo đảm rằng Windows 7 sẵn sàng có thể thực
hiện những gì mà nó hứa hẹn. Quản lý sự nhận dạng là một vấn đề quan
trọng cần xem xét khi áp dụng bảo mật.
BitLocker Drive Encryption (BDE) – BitLocker (và BitLocker to Go),
được sử dụng để cung cấp vấn đề bảo mật dữ liệu chứa trong csc hệ thống ổ
đĩa ngoài và trong. Với Windows 7, bạn có thể sử dụng cả hai phiên bản
BitLocker để bảo mật dữ liệu trên các ổ cứng trong, các ổ ngoài, ổ USB và
các định dạng lưu trữ di động khác. BDE có thể bảo vệ dữ liệu được lưu trên
các ổ này bằng cách yêu cầu các chứng chỉ truy cập nó và cũng sử dụng
TPM.
Tính năng Trusted Platform Module (TPM) Management của Microsoft chỉ
có sẵn trên phần cứng đồng thuận TPM. Khi đồng thuận, Windows Vista/7
và Windows Server 2008 có thể sử dụng các tính năng và các chức năng bảo
mật nâng cao. Trusted Platform Module (TPM) Management của Microsoft
là một tính năng mới có trong Windows Vista/7 và Microsoft Windows

Server 2008. Chức năng cơ bản của nó là cho phép các hệ thống Windows
có thể sử dụng quá trình nâng cao và các chức năng mã hóa ở mức phần
cứng. Như được đề cập ở trên trong bài này, một trong số các tính năng này
yêu cầu phần cứng (có khả năng tương thích) khá cao. Nếu bạn muốn sử
dụng một tính năng nào đó và thấy nó ở trạng thái không tích cực hoặc
không thể sử dụng, rất có thể nguyên nhân là phần cứng của bạn không đồng
thuận với tính năng này, hoặc có thể bạn đang sử dụng sai phiên bản
Windows 7 và tính năng đó không có trong phiên bản của bạn.
Mẹo: TPM có thể được cấu hình và quản lý thông qua các thành phần BIOS
và MMC snap-in mà chúng tôi đã cài đặt ở trên.
Bạn cũng có thể kết nối an toàn đến các tài nguyên từ xa với Windows 7
bằng cách cấu hình các kết nối IPsec/VPN. Virtual Private Network (VPN)
là một thuật ngữ được sử dụng để mô tả hình thức bảo mật được áp dụng
nhằm giữ cho bạn được an toàn trước các tấn công. Bạn sẽ vẫn thực hiện kết
nối qua một mạng công cộng không an toàn, tuy nhiên do đường hầm mã
hóa được sử dụng nên dữ liệu của bạn sẽ được riêng tư và an toàn. Có thể
tạo một kết nối VPN mới nhanh chóng bằng cách vào menu Start, đánh VPN
và theo liên kết Control Panel để tạo kết nối VPN mới như thể hiện trong
hình 3.

Hình 3: Cấu hình kết nối VPN
Bạn có thể tạo các kết nối với các hệ thống khác bằng cách sử dụng các giao
thức nâng cao có cung cấp mức bảo mật thông qua các thuật toán mã hóa.
Vấn đề này thường yêu cầu một bộ vi xử lý có khả năng cung cấp tùy chọn
mã hóa phần cứng. Các VPN có thể được sử dụng để tạo các kết nối an toàn
cho các hệ thống khác nhau.
Lưu ý: Nếu quản lý các hệ thống Microsoft từ xa, bạn có thể sử dụng
Remote Desktop Connection (RDC). Nếu sử dụng Telnet làm công cụ kết
nối từ xa cho các hệ thống Unix và các thiết bị mạng Cisco (ví dụ như vậy)
thì bạn nên xem xét việc vô hiệu hóa dịch vụ này (bị vô hiệu hóa mặc định)

và sử dụng Secure Shell (SSH).
Bạn cũng có thể tạo các kết nối đường hầm có thể quản lý với giao thức
IPsec và quản lý chúng với giao diện quản lý MMC hoặc Windows Firewall.
Thậm chí còn có các tính năng bên trong giao diện này cho phép bạn có thể
quản lý và khắc phục sự cố các kết nối IPsec như các khóa bị lỗi kiểu, các
vấn đề security association (SA), các vấn đề đối với tập mã hóa, thiết lập
thời gian cũng như các vấn đề cấu hình ISAKMP khác. Những vấn đề này
cũng có thể được quản lý trong Windows Firewall, Advanced Features.
Khi các tùy chọn điều khiển truy cập và khôi phục được chọn và bạn có thể
kết nối một cách an toàn đến các tài nguyên mạng thông qua các đường hầm
mã hóa, điều gì sẽ xảy ra nếu bạn muốn chia sẻ tài nguyên một cách an toàn
qua mạng công ty hoặc gia đình? Windows 7 cung cấp một chức năng mới
mang tên HomeGroup, chức năng có trong Control Panel. Bạn có thể cấu
hình nó để tạo các thay đổi với hệ thống nhằm kết nối các máy tính khác trên
mạng gia đình an toàn để chia sẻ tài nguyên như thể hiện trong hình 4 bên
dưới.

Hình 4: Cấu hình Windows 7 HomeGroup
Windows 7 có thể được cấu hình để chia sẻ tài nguyên với các hệ thống khác
trên mạng gia đình của bạn một cách an toàn. HomeGroup có thể cung cấp
mức bảo mật cơ bản cho việc truy cập, sử dụng và chia sẻ dữ liệu. Cho ví dụ,
nếu bạn cấu hình hai máy tính trên một mạng gia đình và một trong số chúng
sử dụng máy in cục bộ, HomeGroup sẽ cho phép bạn chia sẻ máy in đó với
tư cách tài nguyên để tất cả các hệ thống đều có thể sử dụng nó. Bạn cũng có
thể đặt mật khẩu để bảo vệ nó và chỉ định những ai có thể sử dụng và những
ai không. Với Windows 7, cách thức này thay thế cho việc phải sử dụng
chức năng Workgroup. Mặc dù vậy không phải tất cả các phiên bản
Windows 7 đều cho phép bạn tạo một HomeGroup. Các phiên bản Windows
7 đều có thể gia nhập một HomeGroup, tuy nhiên chỉ có thể tạo một
HomeGroup trong các phiên bản Home Premium, Professional, hoặc

Ultimate.
Rõ ràng, Windows 7 sẽ an toàn nhất khi sử dụng nó với Windows Server
2008 trong môi trường Active Directory. Chạy hệ điều hành lớp doanh
nghiệp sẽ mở toanh cánh cửa cho các tính năng kiểm tra và khóa chặn đầy
đủ nhất. Cho ví dụ, việc lướt web có thể được điều khiển và được kiểm tra
với Active Directory, Group Policy, đặc biệt các template khóa chặn, các bộ
kit cũng như các công cụ như proxy server. Người dùng có thể đăng nhập
vào miền (Domain) và có thể được quản lý và kiểm tra hoàn toàn. Bất cứ thứ
gì người dùng thực hiện cũng đều có thể được ghi chép lại. Bất cứ công cụ
hoặc dịch vụ mà Windows cung cấp cũng đều có thể tùy chỉnh, thay đổi
hoặc remove hoàn toàn.
Với các sản phẩm Forefront, mọi khía cạnh sử dụng máy tính, thẩm định
nhận dạng, ghi chép và kiểm tra đều có sẵn và được quản lý trong một giao
diện tập trung. Bạn có thể nâng Windows Server lên mức cao hơn nữa bằng
cách tích hợp với Forefront. Forefront là một dòng sản phẩm mới của
Microsoft, có thể cung cấp một trải nghiệm bảo mật hoàn chỉnh cho doanh
nghiệp. Nó cung cấp các tính năng cho máy chủ, desktop, điều khiển truy
cập và các giải pháp cá nhân cho SharePoint và nhiều thành phần khác. Khi
chạy máy khách Windows trong môi trường doanh nghiệp, giải pháp này có
thể cung cấp khả năng tinh chỉnh các thiết lập bảo mật cũng như nhiều tùy
chọn cho việc quản lý và kiểm tra tập trung.
Trong một số trường hợp, bạn có thể phải chạy Active Directory. Cho ví dụ,
điều gì sẽ xảy với bạn nếu chính sách bắt phải thẩm định tất cả các truy cập
vào tài nguyên công ty và giữ lại một copy tất cả các email nhân viên? Khi
làm việc trong doanh nghiệp, bạn chắc chắn sẽ gặp phải việc thẩm định –
đặc biệt nếu làm việc trong công ty thương mại. Dữ liệu “phải” được bảo vệ
và có thể khôi phục lại. Các mức bảo mật ở mức nào đó phải được đặt ra và
điều này được thực hiện với luật pháp của chính phủ.
Trong doanh nghiệp, bạn sẽ có khả năng bảo mật hơn cho các máy trạm
hoặc desktop bằng cách sử dụng dịch vụ thư mục Active Directory (AD DS),

model miền, Group Policy và các công cụ khác để tập trung và điều khiển
các chức năng bảo mật. Kerberos được nâng mức để giữ tất cả các phiên
giao dịch được an toàn thông qua thẻ. Điều này sẽ tạo một nền tảng an toàn
cho những gì được xây dựng bên trên nó. Nếu bạn xây dựng trên nền tảng
đó, khả năng áp dụng được các mức điều khiển nâng cao sẽ không dừng lại
ở đây.
Windows 7 có thể được quản lý như một máy khách và khi thực hiện điều
đó trong một mô hình miền, Active Directory sẽ cung cấp bảo mật bằng việc
tích hợp tất cả các dịch vụ, khả năng điều khiển truy cập vào nó và đi cùng
là nhiều tùy chọn cho các chiến lược triển khai bảo mật, chẳng hạn như chỉ
cài đặt thành phần “lõi” của những gì được cho là cần thiết nhằm hạn chế bề
mặt tấn công ở mức thấp nhất, hoặc cài đặt và cấu hình, bổ sung thêm các
dịch vụ, tất cả thông qua các tùy chọn và toolkit. Thêm vào đó, Group Policy
khi được áp dụng đúng cách có thể giúp bạn triển khai nhiều tính năng
chúng ta đã thảo luận, cho ví dụ, bạn có thể tích hợp BitLocker và AD và
sau đó triển khai cùng một chính sách. Bạn có thể kiểm soát Internet
Explorer cũng như hạn chế sự truy cập, khóa toàn bộ nó với các danh sách
các site malware được cấu hình và các mạng được liệt vào danh sách đen.
Bạn cũng có thể triển khai các tính năng bảo mật nâng cao của Windows 7
để thắt chặt sự bảo mật hơn nữa, chẳng hạn như:
Advanced DNS Security – Extension Domain Name System Security
(DNSSec) hỗ trợ với Windows 7 sẽ mang đến cho bạn một mức bảo mật
mới cho việc phân định tên. Do DNS rất quan trọng và là phần xương sống
của hầu hết các giải pháp, nên nó cũng là mục tiêu của nhiều tấn công. RFC
4033, 4034 và 4035 liệt ra các chuẩn mới cho việc lưu trữ bảo mật DNS và
Microsoft đã biên dịch với Windows 7.
DirectAccess – DirectAccess là một tính năng của Windows 7 cho phép làm
việc khi lưu động và khả năng làm việc từ xa qua Internet mà không cần sử
dụng kỹ thuật VPN. DirectAccess được thắt chặt với tài nguyên doanh
nghiệp để cho phép bạn truy cập chúng từ xa một cách an toàn. Nó cũng cho

phép người dùng lưu động có khả năng nhận sự hỗ trợ từ xa từ các nhân viên
CNTT. Ngoài ra DirectAccess còn cho phép bạn quản lý các máy tính từ xa
và nâng cấp chúng thông qua Group Policy. Nó cũng sử dụng IPv6 trên
IPsec để mã hóa lưu lượng qua Internet công cộng.
AppLocker – Khi làm việc với Local Security Policy Editor (hoặc Group
Policy), bạn có thể cấu hình AppLocker, một tính năng trong Windows 7 có
thể điều khiển các ứng dụng đã được cài đặt của bạn. Khi cấu hình, bạn có
thể khóa chặn, hạn chế, điều khiển các ứng dụng desktop. Nó thực hiện các
công việc đó qua một tập các rule. Bạn có thể cấu hình các rule để điều
khiển ứng dụng, cách các nâng cấp được quản lý và, Hình 5 thể hiện bộ
Local Security Policy editor trong Windows 7, nơi bạn có thể cấu hình bảo
mật ứng dụng với AppLocker.

Hình 5: Sử dụng AppLocker để bảo mật các ứng dụng
Cuối cùng, luôn xem xét đến mạng của bạn. Các hệ thống không dây là các
hệ thống rất dễ bị xâm phạm. Các router, switch và các thiết bị quản lý khác
trong mạng đều rất dễ bị tấn công nếu không làm vững chắc tốt. Đó là lý do
tại sao khái niệm Defense in Depth lại quan trọng đến vậy – bạn cần khám
phá các điểm đầu vào và các vùng có thể bị khai thác.
Mẹo: Với Windows Server 2008 R2 và các sản phẩm của bên thứ ba như
Cisco Systems, bạn có thể triển khai NAP/NAC để bảo mật và thực thi chính
sách điều khiển truy cập. Với Microsoft, cơ sở hạ tầng Network Access
Protection (NAP) gồm có các máy khách NAP và các máy chủ Health
Registration Authority (HRA) và có thể được điều khiển tốt hơn thông qua
Network Policy Server (NPS). NAP sẽ điều khiển truy cập máy khách thông
qua một chính sách đồng thuận được cấu hình trước. Nếu máy khách không
có đủ các yêu cầu cần thiết, nó sẽ bị yêu cầu nhập vào đầy đủ các yêu cầu
đó. Nó cũng có thể được cấu hình để khóa hoặc từ chối sự truy cập. Cisco sử
dụng kỹ thuật tương tự như vậy mang tên Network Admission Control
(NAC). Khi sử dụng cùng trong các môi trường Microsoft/Cisco, bạn có thể

tạo mức bảo mật và kiểm soát cao.
Kết luận
Hệ thống Windows 7 tại nhà có thể được khóa chặn và quản lý dễ dàng.
Thậm chí còn có thể cấu hình một cách an toàn để có thể truy cập Internet từ
một vị trí từ xa nếu bạn rời nhà mà vẫn để máy tính ở trạng thái tích cực.
Windows 7 có thể được bảo vệ để “đạn bắn không thủng” nếu bạn thực sự
muốn làm vững chắc nó ở mức khóa chặn toàn bộ. Tuy nhiên nó cũng có thể
trở thành đối tượng tấn công nếu bạn sử dụng máy tính trên Internet. Do đó
chúng ta cần lên kế hoạch cho những gì có thể xảy ra và làm vững chắc
Windows 7 theo đó.
Khi xem xét việc sử dụng Windows 7, với tình hình các tấn công, các khai
thác hiện nay ngày một nhiều và tinh vi, các tùy chọn bảo mật và khả năng
linh hoạt là sự ưu tiên hàng dầu trong việc tạo quyết định. Windows 7 quả
thực an toàn, tuy nhiên không thể 100%. Bạn phải sử dụng kiến thức, các
công cụ và các cấu hình nâng cao để bảo mật tất cả các khía cạnh của nó và
sau đó nâng cấp và kiểm tra chúng một cách thường xuyên. Tất cả những
công việc đó rất đáng giá nếu bạn tránh được tấn công. Bên cạnh đó
Windows 7 còn có nhiều cải tiến về bảo mật và có thể được cấu hình để khôi
phục một cách nhanh chóng.
Thêm vào các nguyên lý bảo mật cơ bản, chẳng hạn như Defense in Depth
cần phải được áp dụng kết hợp với các hướng dẫn bảo mật khác và các biện
pháp bảo mật tốt nhất để không chỉ áp dụng bảo mật trong bảo vệ mà còn
làm gia cố thêm nhiều lớp bảo mật khác cho việc phòng chống.