Hướng dẫn toàn diện về bảo mật Windows 7 – Phần 1
Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách bảo mật
Windows 7 và giới thiệu thêm một số chức năng bảo mật ít được biết
đến hơn mà hệ điều hành này cung cấp.
Windows 7 là hệ điều hành máy khách cho các máy tính desktop mới nhất
của Microsoft, nó được xây dựng dựa trên những điểm mạnh và sự khắc
phục những điểm yếu có trong các hệ điều hành tiền nhiệm, Windows XP và
Windows Vista. Mọi khía cạnh của hệ điều hành như, cách chạy các dịch vụ
và cách load các ứng dụng sẽ như thế nào, đã làm cho hệ điều hành này trở
nên an toàn hơn bao giờ hết. Tất cả các dịch vụ đều được nâng cao và có
nhiều tùy chọn bảo mật mới đáng tin cậy hơn. Tuy nhiên những cải tiến cơ
bản đối với hệ thống và các dịch vụ mới, Windows 7 còn cung cấp nhiều
chức năng bảo mật tốt hơn, nâng cao khả năng thẩm định cũng như các tính
năng kiểm tra, khả năng mã hóa các kết nối từ xa và dữ liệu, hệ điều hành
này cũng có nhiều cải tiến cho việc bảo vệ các thành phần bên trong, bảo
đảm sự an toàn cho hệ thống chẳng hạn như Kernel Patch Protection,
Service Hardening, Data Execution Prevention, Address Space Layout
Randomization và Mandatory Integrity Levels.
Có thể nói Windows 7 được thiết kế an toàn hơn. Thứ nhất, nó được phát
triển trên cơ sở Security Development Lifecycle (SDL) của Microsoft. Thứ
hai là được xây dựng để hỗ trợ cho các yêu cầu tiêu chuẩn chung để có được
chứng chỉ Evaluation Assurance Level (EAL) 4, đáp ứng tiêu chuẩn xử lý
thông tin Federal Information Processing Standard (FIPS) #140-2. Khi được
sử dụng như một hệ điều hành độc lập, Windows 7 sẽ bảo vệ tốt người dùng
cá nhân. Nó có nhiều công cụ bảo mật hữu dụng bên trong, tuy nhiên chỉ khi
được sử dụng với Windows Server 2008 (R2) và Active Directory, thì sự
bảo vệ sẽ đạt hiệu quả cao hơn. Bằng việc nâng mức độ bảo mật từ các công
cụ như Group Policy, người dùng có thể kiểm soát mọi khía cạnh bảo mật
cho desktop. Nếu được sử dụng cho cá nhân hoặc văn phòng nhỏ hệ điều
hành này vẫn tỏ ra khá an toàn trong việc ngăn chặn nhiều phương pháp tấn
công và có thể được khôi phục một cách nhanh chóng trong trường hợp gặp
phải thảm họa, vì vậy mặc dù sẽ có nhiều ưu điểm hơn nếu có Windows
2008 nhưng điều này là không nhất thiết phải có để có được mức bảo mật
cao cho Windows 7.
Tuy nhiên dù có thể cho rằng Windows 7 về bản thân nó là một hệ điều hành
an toàn nhưng điều đó không có nghĩa rằng bạn chỉ dựa vào các cấu hình
mặc định mà quên đi việc thực hiện một số điều chỉnh để gia cố thêm khả
năng bảo mật của mình. Cần phải biết rằng bạn chính là đối tượng tấn công
của một số dạng malware hay các tấn công trên Internet khi máy tính của
bạn được sử dụng trong các mạng công cộng. Cần biết rằng nếu máy tính
được sử dụng để truy cập Internet nơi công công thì hệ thống của bạn và
mạng mà nó kết nối đến sẽ là miếng mồi ngon cho những kẻ tấn công.
Trong bài này chúng tôi sẽ giới thiệu cho các bạn một số kiến thức cơ bản
cần thiết để bảo mật Windows 7 được đúng cách, giúp bạn đạt được mức
bảo mật cơ bản, xem xét một số cấu hình bảo mật nâng cao cũng như đi
khám phá một số chức năng bảo mật ít được biết đến hơn trong Windows
nhằm ngăn chặn và bảo vệ chống lại các tấn công có thể. Giới thiệu một số
cách bảo đảm an toàn dữ liệu, thực hiện backup và chạy một cách nhanh
chóng nếu bạn gặp phải một số tấn công hoặc bị trục trặc hệ thống ở mức độ
thảm khốc ngoài khả năng xử lý của mình. Tiếp đó là một số khái niệm bảo
mật, cách “làm vững chắc” Windows 7, cách cài đặt và cung cấp bảo mật
cho các ứng dụng đang chạy, cách quản lý bảo mật trên một hệ thống
Windows 7 và ngăn chặn các vấn đề gây ra bởi malware.
Bài viết cũng giới thiệu cho quá trình bảo vệ dữ liệu, các tính năng backup
và khôi phục hệ điều hành, cách khôi phục hệ điều hành trở về trạng thái
hoạt động trước đó, một số cách bảo vệ dữ liệu và trạng thái hệ thống nếu
thảm họa xảy ra. Chúng tôi cũng giới thiệu một số chiến lược để thực hiện
nhanh chóng các công việc đó. Các chủ đề được giới thiệu trong bài cũng
gồm có cách làm việc an toàn trong khi online, cách cấu hình điều khiển
sinh trắc học để kiểm soát truy cập nâng cao, cách và thời điểm được sử
dụng với Windows Server 2008 (và Active Directory) như thế nào, cách bạn
có thể tích hợp một cách an toàn các tùy chọn cho việc kiểm soát, quản lý và
kiểm tra. Mục tiêu của bài viết này là để giới thiệu cho các bạn các tính năng
bảo mật của Windows 7, những nâng cao và ứng dụng của chúng cũng như
cung cấp cho bạn những kiến thức về việc lên kế hoạch, sử dụng đúng các
tính năng bảo mật này. Các khái niệm mà chúng tôi giới thiệu sẽ được chia
nhỏ và được tổ chức theo phương pháp khối.
Lưu ý: Nếu làm việc trong công ty hoặc môi trường chuyên nghiệp khác,
các bạn không nên thực hiện các điều chỉnh với máy tính của công ty. Hãy
thực hiện theo đúng kế hoạch (hay chính sách) bảo mật đã được ban bố,
cũng như những hành động, nguyên lý và hướng dẫn tốt nhất đã được công
bố trong tổ chức. Nếu chưa quen với các chủ đề bảo mật và các sản phẩm
của Microsoft, hãy đọc tài liệu hướng dẫn của sản phẩm trước khi áp dụng
bất cứ thay đổi nào cho hệ thống.
Những vấn đề bảo mật cơ bản
Trước khi đi sâu vào các chi tiết của Windows 7, chúng tôi muốn giới thiệu
cho các bạn một số khái niệm cơ bản về vấn đề bảo mật và cách lập kế
hoạch cho các ứng dụng của nó. Tiếp đó bạn cũng cần biết tại sao việc kiểm
tra để duy trì bảo mật lại quan trọng đến vậy và cách kiểm tra chính xác các
dịch vụ bảo mật để tìm ra vấn đề. Quan trọng nữa chúng ta cũng cần biết
cách kiểm tra và khám phá xem liệu mình có để mở cửa cho các tấn công dễ
dàng hoành hành không. Bảo mật không phải là thứ bạn có thể lập kế hoạch
một cách tùy tiện và sau đó nhanh chóng đưa vào áp dụng. Nó là một khái
niệm cần phải được áp dụng cho mỗi khía cạnh kỹ thuật trong triển khai
cũng như trong thực hành. Nó cũng là một thứ cần phải được cân nhắc suy
xét cẩn thận trước khi triển khai và sau đó được kiểm tra và quản lý sau khi
áp dụng. Yêu cầu bạn phải tiến hành phân tích để có những điều chỉnh thích
hợp với kiến trúc bảo mật hiện hành, cũng như khám phá ra các tấn công
tiềm ẩn. Hầu hết, cần phải được test bởi một chương trình mã độc hoặc một
kẻ tấn công nào đó để tìm sự truy cập trong quá trình này; sau đó bạn có thể
đi tiên phong trong việc bảo vệ được mình nếu thấy các cố gắng và hành
động nào đó xâm hại. Hãy tiến hành ghi chép và sau đó thẩm định, bạn sẽ
tìm ra nhiều thông tin thú vị về những gì đang truy vấn các nhắc nhở đăng
nhập router của mình, các cố gắng đăng nhập tài khoản quản trị viên,…
Các bản ghi và các cảnh báo rất hữu dụng vì, khi có vấn đề gì đó xảy ra bạn
có thể phản ứng nhanh chóng và chính xác thông qua việc phân tích các địa
chỉ IP nguồn, hoặc các cố gắng đăng nhập bị bắt bằng cách thẩm định. Việc
đáp trả lại một tấn công với một kế hoạch chi tiết được gọi là hành động
“đáp trả vụ việc” (incident response). Việc chuẩn bị sẽ là chiếc chìa khóa
chính cho hành động “đáp trả vụ việc”, vì vậy có được một kế hoạch tiên
phong và kế hoạch phản ứng là điều quan trọng cần phải có trước khi thảm
họa xảy ra. Kế hoạch khôi phục thảm họa Disaster Recovery Plan (đôi khi
được sử dụng kết hợp với kế hoạch tiếp tục công việc, BCP), sẽ gồm có một
chiến lược khôi phục từ các vụ việc. Một số đơn vị CNTT cũng có các
chuyên gia IT dành riêng cho nhóm đáp trả vụ việc, đây là nhóm sẽ chịu
trách nhiệm theo kế hoạch đã đặt ra để khắc phục và giải quyết các vấn đề
quan trọng có thể gây ra sự ngừng làm việc của hệ thống ở mức độ đáng kể,
hoặc tồi tệ hơn là mất dữ liệu, các tấn công mạng và hệ thống,…
Với những người dùng gia đình và các hệ thống độc lập, bạn cần phải tuân
theo một chiếc lược như vậy nhưng ở mức đơn giản hóa. Do vẫn cần bảo vệ
mọi thứ, cần phải phản ứng với thảm họa, vì vậy một kế hoạch tốt được tạo
trước cho việc khắc phục thảm họa sẽ làm một hướng đi đúng đắn cho bạn.
Một ví dụ điển hình cho một kế hoạch đơn giản như vậy sẽ là, nếu hệ thống
của bạn bị tiêm nhiễm malware (chẳng hạn một Trojan), rất có thể bạn sẽ
phải cài đặt lại hệ điều hành nếu tất cả các cố gắng khôi phục và sửa chữa
gặp thất bại. Nếu rơi phải trường hợp này, bạn cần gán cho các thành viên
trong nhóm, các bước chi tiết và các thủ tục đã được chuẩn bị trước cho
thảm họa để có thể phản ứng một cách chính xác và một quá trình test để
bảo đảm rằng mọi thứ được thực hiện đúng sau khi khôi phục diễn ra. Việc
có thể truy cập, hoặc có một copy các file cài đặt hoặc bất cứ chương trình
và ứng dụng nào khác trong tay lúc này sẽ giúp bạn tiết kiệm được thời gian
khắc phục sự cố, và nếu thiết lập đúng, nó có thể chỉ ra cho bạn hướng đi
đúng mà bạn cần thực hiện.
Lưu ý: Để giúp bạn lên kế hoạch và biết thêm về vấn đề bảo mật, bạn có thể
tìm kiếm các danh sách kiểm tra và các kế hoạch trong phần các liên kết
tham chiếu của bài viết này.
Cũng nên xem lại các kế hoạch của mình một cách thường xuyên, đặc biệt
sau khi một vấn đề nghiêm trọng nào đó đã xảy ra và có các mục hành động
bổ sung nếu cần. Khi đã có kế hoạch phù hợp, bạn cần xem xét đến việc xây
dựng trên nền tảng với nhiều chức năng và dịch vụ.
Mẹo: Bảo mật cần phải được xem xét và được áp dụng cho các hệ thống
hoặc dịch vụ nào được sử dụng để có thể giảm nhẹ các rủi ro có liên quan
trong khi đang làm việc. Và nếu bảo mật được áp dụng theo cách để có thể
ngăn chặn trước một tấn công hoặc một thảm họa, thì những gì mà bạn phải
bỏ ra sẽ ít tốn kém hơn rất nhiều. Bảo mật, thậm chí ở mức cơ bản nhất của
nó cũng cần phải được áp dụng để giữ được dữ liệu cá nhân một cách an
toàn nhưng vẫn phải đảm bảo sao cho nếu cần cài đặt lại hoàn toàn Windows
từ đống đổ nát thì bạn vẫn có thể sử dụng lại dữ liệu của mình và có thể truy
cập và sử dụng dữ liệu này. Bảo mật không thể bị bỏ qua.
Cũng nên xem xét đến việc triển khai bảo mật ở cả tính khái niệm và tính kỹ
thuật bằng cách sử dụng khái niệm bảo mật phòng vệ có chiều sâu (Defense
in Depth). Bảo mật cần phải được xem xét và được áp dụng cho tất cả các hệ
thống, dịch vụ, ứng dụng và thiết bị mạng, cần phải giữ cho hệ thống của
bạn luôn hoạt động và kết nối với Internet. Các chính sách được ban bố và
các kế hoạch đã được phát triển sẽ giúp người dùng có được năng suất cao
trong sử dụng các hệ thống, bên cạnh đó là các hiểu biết chung về việc sử
dụng các chính sách. Liên tục bảo dưỡng sẽ làm cho khoản đầu tư của bạn
tăng lên. Nhưng để ngăn chặn các lỗ hổng trong kiến trúc bảo mật, bạn phải
xem xét đến việc lập kế hoạch và áp dụng model bảo mật có sử dụng khái
niệm ‘Defense in Depth’. Hình 1 thể hiện ứng dụng của ‘Defense in Depth’
ở mức đơn giản nhất, bạn có thể bổ sung thêm các lớp khác, điều này tùy
thuộc việc gia đình hoặc mạng công ty của bạn được thiết lập như thế nào.
Hình 1: Xem cách Defense in Depth được tập trung và được triển khai như
thế nào
Defense in Depth như những gì các bạn thấy, có thể được tùy chỉnh sao cho
phù hợp với các nhu cầu của bạn. Trong ví dụ này, chính sách bảo mật là
cung cấp hướng bảo mật và sự truyền thông cho người dùng trong hệ thống
và mạng. Thêm vào đó, cần được xem xét đến việc làm vững chắc các hệ
thống, điện thoại, desktop, dịch vụ, ứng dụng, máy chủ, router, switch và
PBX của bạn, tất cả, để bảo đảm rằng tất cả các lối vào đều được che chắn
kỹ. Rõ ràng vẫn cần có một số hình thức bảo vệ Internet công cộng (chẳng
hạn như tường lửa) trong quá trình sử dụng, tuy nhiên luôn phải mở rộng
vấn đề này và bổ sung thêm các mục khác chẳng hạn như các bộ thăm dò,
lọc, quét để có được nhiều sự hỗ trợ tinh vi hơn. Ngoài ra bạn cũng cần có
cách kiểm tra và ghi lại tất cả các thông tin này nhằm mục đích cho việc
đánh giá và xem lại nếu cần.
Windows 7 được thiết kế để có thể tích hợp vào được sử dụng trong bất cứ
môi trường nào tuân theo mức bảo mật cao, chẳng hạn như chính phủ Mỹ và
quân đội Mỹ. Khi xem xét đến các nguyên lý bảo mật cơ bản của Windows,
bạn cần nhớ rằng bất cứ hệ thống mức doanh nghiệp nào cũng phải được cấp
chứng chỉ ở mức bảo mật C2 từ sổ vàng. Microsoft Windows cũng cần tuân
theo chứng chỉ tiêu chuẩn chung. Để có thêm thông tin về các chủ đề này,
bạn có thể tìm các bài biết khác và các thông tin khác ở phía cuối trong phần
các liên kết tham chiếu. Windows 7 khá linh hoạt, với nhiều tùy chọn cho
phép cấu hình một hệ thống với chức năng hoàn tất (bảo mật tối thiểu), hoặc
một cấu hình ở mức hoạt động cơ bản, chỉ có các hoạt động mà bạn cấu hình
cho phép sử dụng (bảo mật tối đa). Với Windows 2008 và Windows 7, chức
năng bảo mật sẽ tăng gấp mười lần khi được sử dụng cùng nhau đúng cách.
Lưu ý: Cần phải nhớ rằng từ chối một vấn đề (hoặc một vấn đề tiềm tàng)
không phải một tùy chọn. Các vấn đề trước đây có thể được sử dụng sau
này, hoặc bỏ qua một cách hoàn toàn. Sự lười biếng chỉ khiến bạn tốn kém
nhiều thời gian. Mặc dù vậy bảo mật tối nghĩa lại không phải là bảo mật. Sự
không tuân thủ theo một quy tắc chặt chẽ chỉ sẽ gây ra nhiều vấn đề sau này.
Một triển khai bảo mật xuyên suốt trên các máy tính gia đình hoặc bên trong
một doanh nghiệp (cả hai đề quan trọng) sẽ ngăn chặn được hiện tượng dò dỉ
và các tấn công, cung cấp bảo mật đa lớp nhằm giúp cho hiện trạng bảo mật
của bạn an toàn ở mức cao, tuy nhiên không phải là sẽ tránh hết được chúng.
Bạn cần phải biết các kiến thức nền tảng về bảo mật, cách chuẩn bị trước và
chống chọi với các tấn công như thế nào nếu muốn được an toàn.
Cho đến đây các bạn đã làm quen với một số khái niệm bảo mật cơ bản,
chúng ta hãy đi xem xét những gì chúng tôi đã nghiên cứu được trong quá
trình cấu hình các thiết lập bảo mật của Windows 7. Cần đứng trên quan
điểm xem xét cách chúng ta đạt được kiến thức bắt đầu từ lý do tại sao
chúng ta muốn áp dụng bảo mật, khi nào cần áp dụng nó, cũng như các lý do
cho việc quản lý, kiểm tra và nâng cấp nó, tất cả những gì chúng ta cần thực
hiện là đào sau hơn vào các khái niệm bảo mật đó trong khi cấu hình một
thống Windows 7 cơ bản. Vấn đề này sẽ được thực hiện khá dễ dàng nếu
bạn biết những gì bạn muốn thực hiện. Nếu một người dùng Windows mới
hoặc những người rất khó khăn trong việc thích nghi với hệ điều hành mới
này (có lẽ bạn đã bỏ qua Vista) thì chắc chắn bạn sẽ cần phải bỏ ra nhiều
thời gian để tìm hiểu các công cụ và nghiên cứu chúng trên các website trực
tuyến để có được hiểu biết sâu hơn. Cho ví dụ, bạn có thể tìm thấy nhiều
template và checklist trực tuyến từ Microsoft.com, đây là những thứ sẽ cung
cấp cho bạn khả năng áp dụng từng bước các vấn đề bảo mật trên các hệ
thống Windows. Bạn cũng có thể tìm thấy các công cụ hữu dụng trong phần
các liên kết tham chiếu ở phía cuối bài này.
Các Template không phải lúc nào cũng là câu trả lời, đôi khi nó có thể gây ra
những hậu quả không mong muốn nếu không được sử dụng đúng cách (hoặc
cấu hình đúng cách), cần luôn luôn quan sát các lưu ý – thậm chí download
trực tiếp từ Microsoft.com. Một điều quan trọng nữa mà bạn cần phải thực
hiện là luôn phải đọc các tài liệu đi kèm với template để có thể sử dụng đúng
nó. Cũng cần phải nhấn mạnh thêm rằng, không có nền tảng cơ bản cho bản
thân một hệ điều hành nào, hay các nguyên lý cơ bản mà hệ điều hành đó
hoạt động, bạn cũng sẽ không thể duy trì mức bảo mật cao trong một thời
gian dài. Những hiểu biết về hệ điều hành lõi và các dịch của nó cũng rất cần
thiết nếu bạn muốn duy trì được tình trạng bảo mật mức cao, thậm chí sau
khi đã cấu hình bảo mật trên hệ thống cơ bản của mình được đúng cách.
Việc ghi chép của Event Viewer là cực kỳ hữu dụng, vì bạn có thể cấu hình
hành động thẩm định (ví dụ) và nhận các thông tin chi tiết về những gì đang
diễn ra bên trong các hệ thống của mình. Hầu hết (không phải là tất cả) các
bản ghi đều mang bản tính khó hiểu và diễn giải các vấn đề dưới các thuật
ngữ cơ bản nhất hoặc với tập các ngôn ngữ máy. Bạn sẽ cần online để tháo
gỡ những vướng mắc của mình, đây là cách làm sẽ giúp bạn thực hiện công
việc của mình được dễ dàng hơn. Và bạn sẽ thấy có rất nhiều thứ mình chưa
biết và sẽ tìm thấy rất nhiều công cụ muốn bổ sung thêm vào bộ kit của mình
cho các triển khai trong tương lai khi đã được test cẩn thận.
Cũng cần có một mức linh hoạt nào đó khi áp dụng bảo mật, một mức nào
đó cho phép bạn có đạt được các mục tiêu và yêu cầu cần thiết cho doanh
nghiệp (chẳng hạn như việc truy cập Internet) mà không xảy ra vấn đề gì,
trong khi đó vẫn duy trì được mức bảo mật cao cần thiết. Một ví dụ tuyệt vời
là công cụ User Account Control (UAC), đây là một công cụ khi được điều
chỉnh, có thể cung cấp mức bảo mật cao, hoặc có thể tắt đi hoàn toàn. Bạn sẽ
phải khởi động lại hệ thống của mình nếu tắt UAC.
Hình 2: Điều chỉnh Level of Security bằng cách điều chỉnh các thiết lập
UAC
UAC được sử dụng để ngăn chặn không cho các chương trình và các ứng
dụng thực hiện sự thay đổi với hệ điều hành của bạn. Nó làm việc bằng cách
hạn chế sự truy cập bên trong lõi hệ điều hành, sau đó cung cấp các thông tin
chi tiết đến người dùng về các chương trình đang cố gắng cài đặt hoặc can
thiệp sâu vào cấu hình hệ điều hành. Đây là một công cụ hết sức hữu dụng,
nó cho bạn có được cơ hội thẩm định chương trình gì đang làm việc và có
thể can thiệp vào nếu đó là thứ bạn không muốn. UAC đã được giới thiệu từ
thời Windows Vista, tuy nhiên do trong Vista người dùng không thể tắt tiện
ích này nên nó dường như là một nỗi bực mình cho hầu hết. Trong Vista,
UAC cũng làm bực dọc cho người dùng bởi họ dường như không thể tìm
cách nào để giải quyết những vấn đề đó. Các chuyên gia phát triển Windows
cũng gặp rất nhiều vấn đề rắc rối trong quá trình viết mã vì những hạn chế
của UAC và một số vấn đề có liên quan nhưng cần thiết. Giờ đây, với
Windows 7, UAC có thể tắt hoàn toàn, đây là cấu hình bảo mật mức không
an toàn, tuy nhiên nó cung cấp cho người dùng sự linh hoạt và có thêm một
sự lựa chọn.
Lưu ý: Cần bảo vệ cho hệ thống của bạn được an toàn, không nên tắt hoàn
toàn UAC hoặc nếu tắt đi vì một lý do nào đó thì bạn cần bật nó nên ngay
tức khắc.
Cài đặt và “làm vững chắc” Windows 7
Có thể nói Windows 7 là một thiết kế an toàn. Khi triển khai nó, bạn nên
thực hiện một cài đặt fresh trên máy tính mới mua, cần có được cấu hình
phần cứng đạt yêu cầu và sau đó “làm vững chắc” cho nó. Việc “làm vững
chắc” hệ thống là một quá trình làm tăng mức bảo mật cho một máy tính
mới được cài đặt bằng cách cấu hình các thiết lập bảo mật cần thiết, bỏ đi
những phần mềm không cần thiết và thực hiện điều chỉnh một số thiết lập
chính sách nâng cao.
Lưu ý: Bạn cần tạo một kế hoạch khi lựa chọn phần cứng cho Windows 7,
vì nếu muốn sử dụng ảo hóa, hay tính năng Windows Trusted Platform
Module (TPM) Management cũng như các tính năng khác chẳng hạn như
BitLocker thì bạn cần phải mua đúng phần cứng mà nó hỗ trợ các tính năng
này.
Khi hệ điều hành của bạn được cài đặt đúng cách và đã được cấu hình cơ
bản, đây là lúc có thể thực hiện quá trình “làm vững chắc”. Liệu có cần phải
có một cài đặt Windows mới hay có thể “làm vững chắc” một hệ thống đã
được đưa vào sử dụng rồi? Về kỹ thuật, bạn có thể “làm vững chắc” bất cứ
hệ thống nào đã được cài đặt và đang được sử dụng, tuy nhiên trước khi thực
hiện, bạn nên làm tìm hiểu, phân tích , kiểm tra và thẩm định các mức bảo
mật hiện được cấu hình trong sử dụng. Không “làm vững chắc” thứ gì đó đã
bị thỏa hiệp rồi. Bạn cũng không thể biết cách ứng dụng bảo mật sẽ ảnh
hưởng đến hệ thống sản xuất như thế nào khi sử dụng trong gia đình hay
trong môi trường công ty. Một số hệ thống nhân bản được thiết lập để test sẽ
tiêu tốn của bạn một chút thời gian và tài nguyên, tuy nhiên đây là việc đáng
phải làm vì nó có thể tìm ra và tránh một số vấn đề có thể xuất hiện với thiết
kế và triển khai của bạn. Bạn có thể gây thiệt hại hơn là làm cho tốt hơn nếu
không biết các thay đổi thiết lập bảo mật hoặc các template sẽ ảnh hưởng thế
nào tới các dịch vụ trên hệ thống sản xuất. Cho ví dụ, có thể áp dụng bảo
mật cho một hệ thống và hạn chế các thay đổi về tính năng lọc của tường
lửa, bỏ chức năng từ một chương trình mà bạn đã cài đặt và sử dụng - nó có
thể sử dụng một cổng nào đó hiện được đóng bởi tường lửa và điều này sẽ
dẫn đến lỗi kết nối. Vấn đề này có thể gây ra những hiệu quả không mong
muốn nếu ứng dụng được sử dụng cho doanh nghiệp, cần thiết cho sản xuất
và có thể cần khá nhiều thời gian để khám xét, khắc phục. Đó là lý do tại sao
sẽ đơn giản hơn khi cài đặt fresh hệ điều hành Windows 7, sau đó “làm vững
chắc” nó một cách nhanh chóng, bạn có thể thẩm định rằng sự bảo mật sẽ
vẫn được duy trì cho tới khi triển khai nó. Thêm vào đó bạn cũng có thể làm
cho quá trình diễn ra nhanh hơn, đặc biệt nếu đang sử dụng máy ảo (VM)
hoặc VHD file, đây là những thứ cho bạn có nhiều tùy chọn tạo nhiều
instance của desktop để có thể tự động chuyển đổi dự phòng ảo hoặc khôi
phục trở lại nhanh chóng nếu không có các tùy chọn dự trữ. Ảo hóa sẽ đơn
giản hóa quá trình cài đặt khi tạo các image vô tính cho mục đích backup, do
đó bạn có thể khôi phục desktop của mình một cách dễ dàng và trong
khoảng thời gian vài phút. Chúng tôi sẽ giới thiệu vấn đề ảo hóa trong phần
sau của loạt bài này. Nếu việc tự động chuyển đổi dự phòng được kích hoạt
và được cấu hình, người dùng desktop thậm chí có thể không nhận thấy hiện
tượng ngưng chạy của máy móc tí nào nếu đã được ảo hóa.
Bạn có thể “làm vững chắc” hệ thống và sau đó truy cập dữ liệu an toàn của
mình thông qua ổ đĩa, cơ sở dữ liệu và các kho chứa chia sẻ - tất cả đều được
thực hiện ở tốc độ cao, với tùy chọn chuyển đổi dự phòng không chỉ giúp nó
an toàn mà còn tạo sự tách biệt cho dữ liệu mà bạn truy cập. Nếu lên kế
hoạch đúng, bạn có thể tạo một snapshot hoàn chỉnh cho phiên bản
Windows an toàn, đã được cấu hình cũng như đã được cập nhật và khi xảy
ra thảm họa, có thể khôi phục hệ thống một cách nhanh chóng. Sau đó, sau
khi khôi phục hệ điều hành cơ bản, bạn có thể gắn lại ổ đĩa chia sẻ để truy
cập dữ liệu.
Vậy khi cài đặt Windows, bạn cần thực hiện những bước gì để “làm vững
chắc” nó? Và liệu có một thứ tự nào đó để chọn hay không? Nếu có một số
bước cài đặt và “làm vững chắc” thì chúng sẽ là thứ tự cài đặt cơ bản, bỏ đi
một số thứ không cần sử dụng, cập nhật hệ thống, áp dụng bảo mật cơ bản,
sao đó tạo một backup để khôi phục nhanh khi cần thiết, xem danh sách bên
dưới:
• Bước 1 – Cài đặt hệ điều hành cơ bản bằng cách chọn các tùy chọn
trong quá trình cài đặt làm tăng bảo mật, không chọn các dịch vụ, tùy
chọn và chương trình không cần thiết.
• Bước 2 – Cài đặt các Administrator toolkit, công cụ bảo mật và các
chương trình cần thiết.
• Bước 3 – Gỡ bỏ các dịch vụ, chương trình và phần mềm không cần
thiết. Vô hiệu hóa hoặc gỡ bỏ các tài khoản người dùng hay nhóm
người dùng không sử dụng.
• Bước 4 – Nâng cấp các gói dịch vụ, bản vá lỗi, cũng như tất cả các
chương trình đã được cài đặt.
• Bước 5 – Thực hiện thẩm định bảo mật (quét, mẫu, MBSA, ) để
đánh giá mức độ bảo mật hiện hành.
• Bước 6 – Chạy System Restore và tạo điểm khôi phục. Ứng dụng
backup và khôi phục để khôi phục thảm họa.
• Bước 7 – Backup hệ điều hành theo một cách nào đó để khôi phục
nhanh chóng nó trong trường hợp xảy ra thảm họa.
Đây chỉ là một danh sách đơn giản. Bạn có thể bổ sung thêm một số bước và
mở rộng danh sách này hơn nữa. Rõ ràng nó không phải là một danh sách
bắt buộc, tuy nhiên danh sách này là một điểm khởi đầu khá tốt khi áp dụng
bảo mật vào Windows 7 sau khi đã cài đặt cơ bản. Nếu hoàn tất một cài đặt
fresh cho Windows 7, bước tiếp theo là gỡ bỏ phần mềm, dịch vụ, giao thức
và chương trình mà bạn không muốn hay không cần chạy nó. Công việc này
có thể thực hiện dễ dàng trong Control Panel.
Tiếp đến, bạn có thể vào Control Panel và thiết lập xem ai được phép sử
dụng máy tính trong User Accounts applet. Ở đây bạn nên remove các tài
khoản không cần thiết, hoặc vô hiệu hóa nó. Rõ ràng, nên cẩn thận với người
dùng và nhóm người dùng mặc định, một số tài khoản đó sẽ được thắt chặt
với các dịch vụ đang chạy, cách truy cập dữ liệu của bạn và , Bạn có thể
vô hiệu hóa cũng như remove tài khoản một cách dễ dàng. Một kỹ thuật
khác được sử dụng bởi hầu hết các chuyên gia bảo mật là để tài khoản quản
trị viên nội bộ ở một nơi thích hợp và thẩm định nó cho các cố gắng sử
dụng. Một cách làm chung là không sử dụng các tài khoản mặc định khi
quản lý một mạng Microsoft với số lượng lớn các hệ thống và thiết lập các
tài khoản quản trị viên mới có thể được lần vết nếu cần. Bằng cách thẩm
định các tài khoản mặc định này và sử dụng tài khoản được tạo mới với các
đặc quyền quản trị viên có liên quan với nó, bạn sẽ tăng được độ bảo mật lên
gấp hai. Một là bạn sẽ phát hiện ra ai đó đang cố gắng truy cập vào máy tính
của mình bằng các tài khoản mặc định khi mà lẽ ra không ai được làm việc
đó. Nếu được thẩm định, bạn có thể thấy các cố gắng và thời điểm chúng
diễn ra. Ứng dụng bảo mật cho tài khoản được biết đến như một honeypot và
hữu dụng trong việc tìm kiếm các cố gắng gây ra bởi những người dùng
đang cố gắng truy cập vào hệ thống của bạn. Hai, bạn có thể bỏ được một
nửa phương trình khi ai đó cố gắng crack tài khoản của bạn thông qua các
chứng chỉ cơ bản, chẳng hạn như sự kết hợp của username và password. Nếu
bạn lấy đi các thông tin dễ đoán về username, thì bạn chỉ còn lại mật khẩu,
thứ có thể được cấu hình theo cách nào đó để không thể bị crack. Nếu đã
thiết lập các tài khoản mặc định như một honeypot thì bạn có thể tạo một
mật khẩu gần như không thể crack và hạn chế nó để không thể thực hiện thứ
gì nếu có bị thỏa hiệp (hạn chế được ảnh hưởng khi bị thỏa hiệp). Bạn nên
thay đổi tất cả mật khẩu cho các tài khoản mặc định. Sử dụng mật khẩu theo
cách có thể làm cho mật khẩu được khỏe nhất để bảo mật cho các tài khoản
và cần thẩm định chúng . Bạn cũng nên cấu hình chính sách để người dùng
cần thay đổi mật khẩu qua một quá trình mà ở đó họ chỉ được phép thay đổi
nó nếu chọn mật khẩu mới mạnh và không dễ bị hack. Đây chỉ là một mẹo
“làm vững chắc” mang lại nhiều lợi ích, chẳng hạn như khả năng phát hiện
các tấn công thông qua việc ghi chép và thẩm định.
Mẹo: Trong Windows Server 2008, bạn có thể cài đặt chức năng “core”
(lõi), một quá trình “làm vững chắc” được áp dụng cho hệ thống trong giai
đoạn cài đặt thực sự. Khi cài đặt, máy chủ chỉ chạy với những chức năng tối
thiểu mà bạn cần đến, vì vậy sẽ giảm được bề mặt tấn công. Windows 7 có
thể được “làm vững chắc” nhưng không có tùy chọn cài đặt giống như ở
Windows Sever 2008. Để “làm vững chắc” Windows 7, bạn cần áp dụng các
chính sách, các template hoặc phải tự cấu hình các thiết lập bảo mật cần
thiết.
Nói là vậy nhưng cách mà bạn bắt đầu để khóa chặt và bảo mật cho
Windows 7 như thế nào? Một cách dễ dàng nhất để bắt đầu quá trình “làm
vững chắc” hệ thống của bạn là sử dụng menu Start để tìm kiếm bất cứ thứ
gì có liên quan đến vấn đề bảo mật được lưu bên trong hệ thống và đã được
đánh chỉ số. Để thực hiện điều đó, hãy kích nút
Start để mở Start menu. Sau
đó đánh vào từ khóa ‘
security’ trong trường Search Programs and Files.
Hình 3 bên dưới hiển thị các tùy chọn của Start menu dựa trên từ khóa tìm
kiếm ‘Security’.
Hình 3: Tìm và sau đó xem các tùy chọn bảo mật bên trong menu Start
Ở đây bạn có thể thấy các chương trình, Control Panel applet (hay các
action), tài liệu và file đã được chọn và được tổ chức theo cách dễ xem và
truy cập. Local Security Policy (nếu được chọn) là bộ chỉnh sửa chính sách,
cho phép bạn xem và cấu hình các chính sách bảo mật cho hệ thống. Local
Security Policy editor có thể thấy như trong hình 4. Ở đây bạn có thể thực
hiện một số điều chỉnh cho tất cả các thiết lập dựa trên chính sách trên hệ
điều hành của mình.
Hình 4: Xem và cấu hình bảo mật với chính sách bảo mật nội bộ
Mẹo – để có quyền điều khiển toàn bộ chính sách, bạn nên sử dụng
Windows 7 với các sản phẩm Windows Server, chẳng hạn như Windows
Server 2008 R2. Nếu thực hiện như vậy, bạn có thể sử dụng Active
Directory (AD) và Group Policy.
Nếu muốn thiết lập cục bộ hành động thẩm định cho một sự kiện nào đó
(chẳng hạn như sự kiện đăng nhập và đăng xuất), bạn có thể chỉ định hành
động đó trong cửa sổ Local Security Policy (hình 4). Trong Control Panel,
bạn có thể vào Administrative Tools applet để tìm Local Security Policy
editor, hoặc tìm kiếm nó trong Start menu. Khi Windows 7 được sử dụng
với Active Directory, bạn có thể sử dụng Group Policy, một dịch vụ mạnh
cho phép bạn tùy chỉnh, quản lý và triển khai các thiết lập cũng như sự ưu
tiên trong triển khai phần mềm một cách dễ dàng, tuy nhiên bạn cần kết nối
Windows 7 với miền tích cực và quản lý nó đúng cách.
Nếu cần cấu hình bảo mật theo chính sách thì đây là cách làm đơn giản nhất.
Tuy nhiên ngoài ra bạn cũng có thể thấy nhiều công cụ cần thiết cho việc
cấu hình bảo mật trong Control Panel hoặc trong MMC mà bạn thiết kế và
triển khai. Microsoft Security Center (Windows Vista, XP) đã được sử dụng
để tập trung hầu hết các chức năng bảo mật trước đây. Đây là thứ được thay
thế bằng Action Center, và các hành động bảo mật hiện dễ tìm hơn nhiều,
được quan sát và được chọn dựa trên sự cho phép của bạn. Cho ví dụ, như
thể hiện trong Start menu (hình 3), hành động ‘Check security status’ khi
được chọn sẽ tạo một danh sách các cấu hình bảo mật mà Windows 7
khuyến khích, chẳng hạn như nâng cấp hệ thống, hay một chương trình như
antivirus (AV). Khi được chọn, bạn sẽ được gửi đến Action Center để bạn
biết thêm các vấn đề cần quan tâm.
Hình 5: Cấu hình các hành động bảo mật và các tùy chọn trong Control
Panel
Mẹo: Hình 5 hiển thị các hành động có trong Control Panel mà bạn có thể
lựa chọn. Nếu kích
Start menu, đánh “security” và kích liên kết Control
Panel, bạn sẽ nhận được một danh sách các hành động và cấu hình bảo mật,
đây là danh sách bạn có thể tùy chỉnh ngay lập tức với các tùy chọn dễ tìm
và dễ truy cập.
Khi ở trong Action Center (hoặc nếu đang xem danh sách các hành động),
bạn có thể chuyển xuống phần dưới danh sách và cấu hình những gì phù hợp
với mình. Đây là những giới thiệu vắn tắt về các tùy chọn có thể được cấu
hình trong danh sách của Action Center:
• Action Center – Action Center thay thế cho Security Center. Action
Center là nơi bạn có thể chỉ định các hành động mà hệ điều hành có
thể thực hiện. Với sự cho phép của bạn, các hành động có thể diễn ra.
Ở đây bạn sẽ được thông báo rằng chưa thực hiện nâng cấp phần mềm
Antivirus (ví dụ như vậy). Bạn có thể truy cập vào thành phần trung
tâm để thực hiện các hành động có liên quan đến bảo mật cần thiết.
• Internet Options – Duyệt web với bất cứ hình thức nào cũng đều mở
cửa cho các rủi ro Internet. Nếu sử dụng máy chủ proxy, sử dụng hành
động lọc và kiểm tra web, cập nhật các bản vá lỗi mới nhất cho hệ
điều hành, bạn vẫn có thể rơi vào tình huống mà ở đó bảo mật của bạn
bị thỏa hiệp. Bên trong Internet Options Control Panel applet, bạn có
thể chỉ định các vùng an toàn, chỉ cho phép các URL nào đó được
phép truy cập, triển khai các thiết lập bảo mật nâng cao trong tab
Advanced và, Bản thân trình duyệt cũng có tính năng lọc Phishing
để ngăn chặn các tấn công Phishing và các tùy chọn cấu hình khác
chẳng hạn như InPrivate Browsing, tính năng ngăn chặn việc lưu lại
các thông tin cá nhân của ban sau khi duyệt web, đặc biệt hữu dụng
khi sử dụng một máy tính dùng chung.
• Windows Firewall – Giống như bất cứ phần mềm nào hoặc tường lửa
phần cứng nào, Windows Firewall có thể làm chệch hướng các tấn
công cơ bản và có thể được cấu hình ở “mức tinh hơn” đạt mức kiểm
soát cao cho những gì vào ra khỏi hệ thống máy tính của bạn khi kết
nối với một mạng public hay private. Bằng cách vào Control Panel và
chọn Windows Firewall, bạn có thể truy cập đến hầu hết các thiết lập
cấu hình của tường lửa. Có thể kích liên kết Advanced settings trong
hộp thoại để truy cập Firewall with Advanced Settings và các tùy
chọn cấu hình. Với Windows 7, bạn còn có thể triển khai nhiều chính
sách tường lửa đồng thời và sử dụng thứ bậc miền mới để cấu hình và
quản lý tường lửa Windows dễ dàng hơn.
• Personalization – Tùy chọn Personalization là nơi bạn có thể thay đổi
diện mạo bề ngoài của Windows, tuy nhiên nó cũng là nơi bạn cấu
hình mật khẩu screensaver nếu muốn. Nếu chạy Windows 7 trong
doanh nghiệp, người dùng nên biết cách khóa các máy trạm làm việc
của họ bất cứ khi nào họ rời bàn làm việc hoặc sử dụng một thiết lập
chính sách để thực hiện việc đó một cách tự động sau một khoảng thời
gian không hoạt động nào đó, mặc dù vậy nếu quên, bộ bảo vệ màn
hình đã được cấu hình sẽ yêu cầu đăng nhập lại có thể khá hữu dụng.
Tại nhà, đây sẽ là tuyến phòng chống nếu bạn rời hệ thống của mình
và quên khóa nó.
• Windows Update – Tất cả các phát hành phần mềm đều yêu cầu một
số mức vá nhất định. Bạn có thể chuẩn bị, test và phát triển phần mềm
hoàn hảo nhưng không thể tính toán hết được mọi thứ. Cũng vậy, các
nâng cấp và phát hành mới cũng yêu cầu các nâng cấp cho hệ điều
hành qua thời gian tồn tại của phiên bản hệ điều hành hiện hành. Do
có nhiều tiến bộ trong hệ thống, nhiều yêu cầu cần thiết cho các kỹ
thuật phát triển, nhiều lỗ hổng bảo mật mới được phát hiện theo thời
gian, các nâng cấp driver cho hiệu suất và chức năng tốt hơn nên sẽ
luôn có một nhu cầu cho Windows Update. Windows (và Microsoft)
Update, hoặc các phiên bản quản lý bản vá của doanh nghiệp
(WSUS, ) được sử dụng để kiểm soát và triển khai các nâng cấp. Các
công cụ này được sử dụng để điều khiển, theo dõi và kiểm tra các
nâng cấp hiện hành và tương lai cần thiết. Cấu hình sao cho nó có thể
thực hiện nhiệm vụ này một cách tự động, hoặc bạn phải có thói quen
thực hiện nó vì đây là một vấn đề thực sự quan trọng. Nếu bạn không
vá hệ điều hành của mình những gì khuyến khích (đôi khi là yêu cầu),
bạn có thể sẽ là đối tượng tấn công.
• Programs and Features – Ngoài việc kiểm tra và thấy những gì
Windows Updates cài đặt, bạn cũng cần kiểm tra để xem những gì
mình đã cài đặt vào hệ thống của mình một cách thường xuyên, đặc
biệt nếu làm việc trên Internet hoặc download phần mềm từ các máy
chủ web trên Internet. Cho ví dụ, bằng việc cài đặt một nâng cấp Java,
nếu bạn không đọc các thông tin hiển thị trên màn hình một cách cẩn
thân trong quá trình cài đặt, bạn có thể sẽ cài đặt cả toolbar trên hệ
thống của mình, thứ sẽ được tích hợp vào trình duyệt web của bạn.
Giờ đây, dù có được sự kiểm soát chặt chẽ hơn về điều đó, tuy nhiên
vẫn nên kiểm tra một cách định kỳ để thấy những gì hiện được cài đặt
vào hệ thống của mình.
• Windows Defender – Spyware là phần mềm được sử dụng chủ yếu
cho các mục đích thương mại trái phép, nó sẽ thực hiện những thứ
như phân phối một tải trọng trực tuyến, redirect trình duyệt của bạn
hoặc gửi lại các thông tin trên hành động của bạn. Mặc dù phần mềm
Antivirus có một số tùy chọn để chống lại hành vi này nhưng
Windows Defender (hoặc các ứng dụng remove Spyware khác) có thể
là một lựa chọn để dọn dẹp phần còn lại. Các Cookie mặc dù vô hại
theo bản tính của nó, nhưng đôi khi lại bị thao túng với một vài lý do
không đúng. Cần phải bảo đảm nâng cấp Windows Defender thường
xuyên với các file định nghĩa mới và các nâng cấp cần thiết của nó để
bảo đảm bạn có thể quét tất cả Spyware mới nhất. SpyNet cũng là một
cộng đồng mà Microsoft nói về cách ngăn chặn các mối hiểm họa gây
ra bởi Spyware.
• User Accounts – Việc quản lý các tài khoản người dùng là cốt lõi của
việc truy cập an toàn máy tính cũng như mọi thứ chạy bên trong nó.
Cho ví dụ, nếu tạo một tài khoản người dùng mới và gán nó cho nhóm
Administrators, bạn sẽ có quyền truy cập toàn bộ vào hệ thống máy
tính. Nếu cấu hình tài khoản đó là người dùng chuẩn thì các điều
khoản mà được phép sẽ rất hạn chế và người dùng chỉ được phép thực
hiện một số thứ cụ thể nào đó. Bạn cũng có thể cấu hình mật khẩu với
chính sách mật khẩu tối thiểu để bắt buộc người dùng phải tạo một
mật khẩu khó bị crack. Khi Windows Server 2008 và Active Directory
được triển khai, bạn có thể truy cập một vào một miền nào đó mà khi
truy cập sẽ cho phép cấu hình các điều khoản NTFS “tinh hơn” cho
thư mục và file cũng như các nguồn chia sẻ khác như máy in chẳng
hạn.
• Power Options – Power Options Control Panel applet là nơi bạn có
thể cấu hình các hành vi mặc định cho hệ điều hành khi không được
cắm nguồn trực tiếp, đóng hoặc chuyển sang chế độ “ngủ”. Cấu hình
bảo mật để thiết lập là một mật khẩu được yêu cầu khi máy tính thức
giấc từ trạng thái ngủ. Bất cứ khi nào có thể truy cập, bạn cũng cần
xem xét một cách kỹ lưỡng.
Vậy nếu cần áp dụng bảo mật cho Windows 7, Start menu là một cách tốt để
bắt đầu “làm vững chắc” một cách cơ bản hệ thống của bạn, mở cửa cho các
công cụ có sẵn. Có nhiều tùy chọn ở đây bạn có thể sử dụng để “làm vững
chắc” hệ thống Windows 7 của mình, đặc biệt bên trong Control Panel. Sử
dụng Start menu cũng là cách dễ dàng để giúp bạn có được tuyến phòng vệ
cho hệ thống của mình sau khi vừa cài đặt xong. Một mẹo mà bạn có thể thử
là thiết lập một tuyến phòng vệ sau khi cài đặt ban đầu và cấu hình hệ thống
của mình, nhiệm vụ sẽ yêu cầu bạn cấu hình tất cả các tùy chọn bảo mật,
ứng dụng cũng như download các bản vá lỗi và nâng cấp, sau đó backup
toàn bộ hệ thống với System Restore hay tiện ích tạo ảnh hệ thống. Giờ đây
bạn sẽ có một snapshot cho hệ thống của mình trong trang thái fresh để đề
phòng khi cần thiết có thể chuyển đổi. Có thể tạo một điểm khôi phục, để có
thể sử dụng nếu hệ thống bị thỏa hiệp hay thảm họa. Chúng tôi sẽ giới thiệu
cho các bạn một số tùy chọn của System Restore trong phần khôi phục thảm
họa của loạt bài này.
Lưu ý: Start menu cũng có thể cung cấp nhiều thông tin về tài liệu có liên
quan đến bảo mật trên hệ thống. Đây là một địa chỉ hữu dụng khi tìm kiếm
tài liệu chẳng hạn như một chính sách bảo mật,
Bạn có thể “làm vững chắc” một cách nhanh chóng Windows bằng cách
download các công cụ và tài liệu trực tiếp từ Microsoft. Cho ví dụ, nếu
muốn cấu hình mức bảo mật cơ bản cho Windows 7, bạn có thể dễ dàng
download template bảo mật cơ bản để sử dụng, chạy nó và có được hầu hết
các thiết lập bảo mật đã được điều chỉnh. Hình 6 cung cấp một Windows 7
Security Baseline Settings template với các entry được chia tab cho việc
thẩm định tài khoản người dùng, BitLocker và Tìm hiểu thêm trong phần
các liên kết tham chiếu ở cuối bài để tăng truy cập vào nó.
Hình 6: Cấu hình bảo mật cơ bản từ các Template của Microsoft
Lưu ý tùy chọn ‘Security Warning’ ở phía trên toolbar (ribbon) của
Microsoft Office Excel 2007, đây là tùy chọn ngăn chặn bạn sử dụng
template bằng cách vô hiệu hóa Macro cho tới khi bạn chú tâm đến Security
Warning (xem trong hình 6). Ở đây, Security Macros đã bị vô hiệu hóa và
được yêu cầu cho ứng dụng của template này. Đây là một ví dụ hoàn hoản
cho bảo mật và sự linh hoạt. Để có được sự linh hoạt trong ví dụ này, bạn
cần tắt bỏ hoặc hạn chế mức bảo mật được áp dụng cho nó. Chọn thủ công
tùy chọn này để chạy, hoặc vô hiệu hóa sự bảo vệ, chạy Macro sau đó nâng
mức bảo mật một lần nữa để giữ bảo mật đúng cách sẽ có được cài đặt mẫu.
Hệ thống của bạn đã sẵn sàng và bạn đã cấu hình một số tính năng bảo mật
cơ bản, lúc này bạn nên xem xét cách quản lý nó, cũng như kiểm trra sự xâm
nhập, malware và các vấn đề khác được phát hiện thấy trong các bản ghi sự
kiện.
Lưu ý: Bạn nên lưu ý rằng Windows 7 có một tùy chọn mang tên XP-mode,
đây là tùy chọn được sử dụng cho việc giải quyết các vấn đề liên quan đến
sự tương thích ứng dụng cho các ứng dụng XP cũ. Như những gì chúng ta đã
thảo luận về chủ đề ảo hóa bên trên, khi xem xét việc sử dụng chế độ XP-
mode, bạn hiện đang cài đặt Virtual PC trên Windows 7 và chạy một
instance của XP trên Virtual PC. Nếu sử dụng XP-mode, hãy bảo đảm làm
vững chắc bất cứ VM nào đang chạy trên các máy ảo theo cách mà bạn làm
với hệ điều hành cơ bản. Các hành động gồm có bảo vệ AV, chính sách
khóa, gói dịch vụ, nâng cấp phần mềm, Bạn có thể cung cấp mức bảo mật
qua ảo hóa nhưng mức bảo mật đó là không hoàn tất, vì vậy bạn vẫn cần đến
một số bước “làm vững chắc”, thậm chí nếu ảo hóa được sử dụng.
Kết luận
Hệ thống Windows 7 gia đình có thể được khóa chặn và quản lý một cách dễ
dàng. Bạn có thể cấu hình nó một cách an toàn để được truy cập trên Internet
từ một vị trí từ xa. Windows 7 có thể được trang bị một lá chắn nếu bạn thực
sự muốn “làm vững chắc” để khóa chặn hoàn toàn các điểm có thể xâm
phạm. Tuy nhiên nó có thể vẫn trở thành đối tượng tấn công và chắc chăn sẽ
là vậy nếu bạn sử dụng máy tính trên Internet, một ví dụ như vậy. Do đó
chúng ta cần lập kế hoạch cho những khả năng có thể xảy ra và làm vững
chắc Windows 7 theo đó.
Khi xem xét đến việc sử dụng Windows 7, trong tình hình các tấn công và
khai thác ngày nay, các tùy chọn bảo mật và sự linh hoạt là ưu tiên hành đầu
cho việc tạo quyết định. Windows 7 rất an toàn nhưng không phải an toàn
100%. Bạn cần phải biết áp dụng kiến thức, các công cụ khác và các cấu
hình nâng cao để bảo mật mọi khía cạnh của nó và sau đó nâng cấp và kiểm
tra chúng một cách thường xuyên. Đây là một công việc rất quan trọng và
đáng giá nếu bạn muốn tránh tấn công. Thêm vào đó Windows 7 cũng có
nhiều cải tiến về bảo mật và có thể được cấu hình để khôi phục nhanh
chóng.
Các nguyên lý bảo mật cơ bản chẳng hạn như Defense in Depth phải được
áp dụng kết hợp với những hướng dẫn bảo mật và các hành động tốt nhất để
không chỉ áp dụng cho việc bảo vệ mà nó còn là nhiều lớp che đậy toàn bộ
kiến trúc và mã chương trình.
Trong phần này chúng ta mới chỉ đụng chạm đến bề mặt trong phần này, có
rất nhiều kiến thức khác mà chúng ta cần phải nghiên cứu thêm, tuy nhiên hy
vọng những thông tin này sẽ giúp ích cho bạn. Để tìm hiểu thêm, bạn có thể
đọc các liên kết tham chiếu bên dưới, đây là các thông tin chi tiết về các
công cụ miễn phí, các template và hướng dẫn. Và không quên theo dõi đón
đọc phần 2 và 3 sẽ được chúng tôi phát hành tới đây.