10 tính năng bảo mật tin tưởng trong Vista

Có rất nhiều nhận thức sai về những tính năng bảo mật
của Windows Vista. Và đôi khi sự thiếu hiểu biết lại
mang đến sự phiền hà khi sử dụng, đặc biệt là các sản
phẩm công nghệ. Vista là hệ điều hành được Microsoft
công bố hoàn hảo nhất trừ trước tới nay, với những tính
năng bảo mật: User Account Control (UAC), BitLocker, File and
Registry Virtualization, Mandatory Integrity Controls (MICs) và IE
Protected Mode. Trong bài viết này tôi giới thiệu các bạn các tính nă
ng
trên và ý nghĩa của chúng nhằm nâng cao bảo mật cho Windows Vista.1. Account Administrator được disable mặc định.
Thật đúng như vậy trong Vista tài khoản Administrat tor được mặc
định disable, nhưng nó cũng sẽ được kích hoạt bởi một tài khoản trong
group administrators. Do đó nhà sản xuất khuyến cáo nên hạn chế
những tài khoản trong group administrators. Sau khi cài đặt Windows
Vista tài khoản đầu tiên bạn tạo sẽ thuộc group administrators (điều
này tương tự như trong Windows 2000 hay Windows XP), nhưng sau
đó những user mà bạn tạo ra thêm chỉ thuộc group users. Sau khi bạ
n
tạo tài khoản đó được coi là Second Administrator thì tài khoản mang
tên Administrator chính sẽ bị disable.
Điều này rất quan trọng bởi mặc định tài khoản Administrator bị
disable không được thiết lập mật khẩu. Và một điều cần thiết là bạn
nên thiết lập một mật khẩu khó cho tài khoản administrator, trong cả
tính huống nó bị disable. Nếu bạn sử dụng tài khoản administrator thì
trước tiên bạn đặt mật khẩu cho tài khoả
n đó, sau đó enable tài khoản

chốn lại việc chỉnh sửa file hệ thống. Bởi vì một user trong group
administrators nhưng download một file từ IE’s về sẽ được bảo vệ, nó
sẽ là một sự khó khăn cho nhữ
ng đoạn mã nguy hiểm chỉnh sửa các
file hệ thống.
Có ít nhất hai mức độ MIC nhỏ hơn: Untrusted và Protected Process.
Mức độ Untrusted là mức độ thấp nhất trong MIC level và được gán
cho tài khoản nặc danh khi kết nối đến hệ thống. Protected Process là
mức độ cao nhất có thể của MIC level và chỉ sử dụng bởi hệ thống
(system) khi cần thiết (dưới đây là bảng các mức độ MIC Levels).
There are at least two other lesser-known MIC levels: Untrusted and
Protected Process. Untrusted integrity is the lowest possible MIC level
and is assigned to anonymous null connection sessions. Protected
Process is the highest possible MIC level and is only used by the
system when needed (see table for MIC levels).

Bạn đã tìm hiểu qua các mức độ của MIC khi phân tích hay giải quyết
sự cố, và bạn có thể sẽ dễ dàng thấy Hacker hay các đoạn mã nguy
hiểm sẽ cố gắng chiếm mức độ Protected Proccess MIC level để thực
hiện các ý đồ của chúng.
3. UAC giảm mức độ administrators muốn.
Vista yêu cầu nh
ững việc liên quan tới hệ thống như việc cài đặt phần
mềm, nâng cấp driver cho hệ thống thì đều phải được sự cho phép, và
có đủ thẩm quyền mới được thực hiện các thao tác trên. Vista cũng có
một tính năng mới yêu cầu giới hạn số lượng những tài khoản người
dùng có quyền thực thi administrative, nhưng UAC không chỉ có một
tính năng như vậy.
UAC cụ thể yêu cầu nhữ
ng người tài khoản có đủ khả năng thực hiện

Vista giảm số lượng yêu cầ
u quyền administrators bằng nhiều cách.
Đầu tiên, Vista removed yêu cầu cần đặc quyền quản trị khi làm việc
các công việc, như xem hay thay đổi time zone, cấu hình wireless
networks, thay đổi thiết lập trong power management, tạo và cấu h
ì
nh

một kết nối VPN hay cài đặt những update cho hệ thống Windows.
Điều này nhằm giảm thiểu các yêu cầu và tránh gây phiền hà đem lại
sự thuận tiện cho người sử dụng.
Tiếp, Vista cũng không nhất thiết chỉ administrators mới được thiết lập
cụ thể như: device và ActiveX controls một user không cần phải là
administrators vẫn có thể cài đặt. Ví dụ như, bạn cần cho phép người
dùng cài đặt máy in, card mạng, USB devices và VPN software.
Th
ứ 3, để cấu hình lại các thiết lập cơ bản về mạng, bạn có thể add
một user không thuộc tài khoản administrators vào group Network
Configuration Operator. User trong group này có thể chỉnh sửa địa chỉ
IP, xoá DNS cache và thực hiện vài công cụ trong mạng. Và có hang tá

các cách nhằm giảm số lượng các yêu cầu tài khoản administrator.
4. Chỉ có administrators có thể sử dụng UAC elevation (tương tự

như raise nâng cấp trong phiên làm việc của user đó).
Mặc định bạn không thể thêm một tài khoản không có thẩm quyền vào

UAC consent. Điều này có nghĩa nếu một user không thuộc nhóm có
thẩm quyền administrators, nó sẽ không thể nâng cấp quyền hạn của
nó trong UAC. Tất cả tài khoản trong nhóm administrators, backup

các Security Zone. Mặc định, IE Protect mode không áp dụng cho
những Web site trong Trusted Sites Zone.
"Mặc định khi web server với những file được thiết lập trong expired
date sẽ tự động download về máy client trong đó có các file như file
hình ảnh, âm thanh, các script… nhằm nâng cao tốc độ truy cập web
site cho client. Tận dụng ứng dụng này các kẻ phá hoại sử dụng các
đoạn mã nguy hiểm hay virus tích hợp trong các file này". Khi thực
hiện IE Protected mode sẽ nâng cao bảo mật hơn cho hệ thống của
bạn và yên tâm hơn khi lướt web dù bạn đăng nhập vào tài khoản
người dùng có thẩm quyền cao.
IE Protected Mode mang đến cho bạn những khả năng bảo mật khi
chạy IE với mức độ Low MIC. Nó áp dụng cho hầu hết các đói tượng
của IE, bao gồm Menu bars, brower helper, các add-ons và các nội
dung tự động download bởi IE.
Protected Mode được lưu với mức độ đặc quyền thấp LOW-INTEGRITY
file và trong registry, không cho phép nó ảnh hưởng tới file hệ thống
và các vùng được thiết lập mặc định là Medium-integrity.
IE Protected Mode được tạo ra để b
ảo vệ các nội dung được download:
đặc biệt với những nội dung được lưu tạm thời của IE. Các nội dung cụ
thể như ActiveX hay các file …
Ví như vùng Template vùng này chỉ IE mới truy cập được vào tất cả
những người dùng trong Vista đều không thể truy cập vào các nội
dung đã bị cấm trong hệ thống.
7. Tất cả các file chạy trong Windows đều được bảo vệ bởi Data
Excution Prevention (DEP).
IExplorer.exe, là một file thực thi chính trong IE, nó đượ
c chạy từ mặc
định và được thiết lập trong Window’s DEP buffer overflow. Microsoft
cụ thể lựa chọn không enable DEP cho IExplorer.exe bởi nó là sẽ có

rights
· Kernel mode applications
· Operations not originating from an interactive log-in
session, like file sharing
· Applications modifying a registry key marked with the
Don't_Virtualize registry flag
Regarding the last point, any key under HKLM\Software has three new
registry flags you can reveal through Reg.exe:
· Don't_Virtualize
· Don't_Silent_Fail
· Recurse_Flag
9. Windows Resource Protection (WRP) bảo vệ hệ thống tương
tự như Windows File Protection (WFP).
Vista thay WRP cho một ứng dụng plug-in thường dùng là WFP. WFP
được giới thiệu lần đầu tiên trong Windows 2000, và tương tự như
System File Protection (SFP) được giới thiệu trong Windows ME. Và cả
hai đều tương tự như WRP, nhưng các thiết lập và khả năng làm việc
của chúng khác nhau.
WFP chỉ bảo vệ files. WRP sẽ bảo vệ các file quan trọng, folders và
keys thiết lậ
p registry. WFP và SFP giám sát quá trình thay đổi nhằm
bảo vệ các file hệ thống. Nếu sự thay đổi không được phép nó sẽ tự
động lấy lại các thiết lập từ trước đó. Thông thường nó chỉ cảnh báo là
WFP sẽ xuất hiện một bảng thông báo mà thôi.
WRP sẽ cố gắng chống lại những thay đổi tài nguyên hệ thống.
Administrators không thể chỉnh sửa tài nguyên hệ thống. Mặc định, chỉ

có Windows Trusted Installer mới có khả năng sử dụng Windows
Module Installer service. Như các Windows Installer, Hotfix.exe và
update.exe mới có đủ thẩm quyền thay đổi tài nguyên hệ thống.