Làm thế nào để bảo mật cho các máy tính
của một tổ chức

(Security Article Series -Bài viết hướng dẫn cách thức để bảo vệ cho các
Computer của một tổ chức. Thích hợp cho những ai quan tâm đến Network
Security.)

Một trong những yếu tố quan tâm hàng đầu trong việc Thiết kế Security một
hệ thống thông tin đó là kiểm soát chặt chẽ tất cả Computer của tổ chức. Vì
chúng là nơi cất giữ tài sản thông tin có giá trị của tổ chức. Attacker có thể
trực tiếp tấn công thẳng vào Computer và lấy đi những dữ liệu quý báu.

Việc xác định những mối đe dọa và những lỗ hỗng ở tất cả computer trong tổ
chức là điều thiết yếu và cấp bách (Quan tâm đến Security cho Computer kể
từ lúc mua, cho đến khi cất chúng vào kho - life Cycle)

Hầu hết các loại Computer nếu không có những kẽ hỡ thiếu an toàn về vật lý,
thì bản thân hệ điều hành cũng có thể phơi bày những tử huyệt, những miếng
mồi ngon cho attacker. Security Admin phải đảm bảo an toàn và cập nhật đầy
đủ các miếng vá lỗi và thiết lập hệ thống phòng thủ trong suốt quá trình
“sống” của Computer.

A. Xác định những rủi ro và những mối đe dọa Computer.
Bảo mật suốt chu kì “sống” của một computer:
Vòng đời của một computer trải qua những giai đoạn sau:
• Tiến hành cài đặt: Trong suốt quá trình tiến hành cài đặt Hệ điều hành và


Hiểm họa từ bên trong:

Admin chọn cách cài đặt cho các Computer của tổ chức là cài đặt từ xa và
không cần phải theo dõi trong suốt quá trình cài đặt (unattended Installation) ,
cách cài đặt này nhanh chóng và tỏ ra rất “professional”. Trong suốt quá trình
cài đặt operating system qua Mạng này, tài khỏan Local administrator của
các máy được cài đặt được chuyển qua Mạng dưới dạng Clear-text (không
mã hóa). Một nhân viên có chút trình độ về hệ thống và Network, thúc đẩy
bởi những động cơ bất hợp pháp có thể cài các công cụ nghe lén và thâu tóm
thông tin chuyển đi trên Mạng, đặc biệt là các Local Administrator Password
(nếu admin Mạng đang tiến hành cài đặt qua Mạng cho Computer của sếp và
password chuyển qua Mạng dưới dạng cleart-text thì nguy to…vì dữ liệu của
các Manager rất important và hầu hết có giá trị economic ). Đây là một trong
rất, rất nhiều những nguy cơ attack từ bên trong Mạng nội bộ.

Những mối đe dọa phổ biến:

Mặc dù những kĩ thuật bảo mật được trang bị trên các Computer, thế nhưng
rủi ro lại đến từ yếu tố con người và những kẽ hở trong quy trình làm việc với
Computer.
Ví dụ như attacker có thể lấy thông tin từ Đĩa cứng, hoặc truy cập vào máy
tính qua các ứng dụng (không cài đặt các bản vá lỗi), mà nhân viên sử dụng,
đặc biệt là những ứng dung connecting với Internet như Chat, Internet
Browser, E-mail…

B. Thiết kế Security cho các Computer
Những phương thức chung secure Computer
Tiến hành cài đặt an toàn ngay từ ban đầu cho Hệ điều hành và các Ứng
dụng theo hướg dẫn:

Tạo một chính sách security baseline cho các Computer theo đúng những quy
định của tổ chức về an toàn thông tin phục vụ cho các quy trình nghiệp vụ.
Chính sách này phải đảm bảo an toàn cho Computer, HDH và các ứng dụng
nghiệp vụ…
Ví dụ: chính sách chỉ định rằng tất cả HDH trong tổ chức phải chống được
kiểu tấn công SYN-ACK (synchronize acknowledge) denial of service
(DoS) tấn công từ chối dịch vụ. Một chính sách tốt cũng hình dung được vai
trò của Computer cần bảo vệ

2. Tạo sẵn các security templates mẫu, cho phép chỉnh sửa. Ví dụ để bảo vệ
HDH chống lại SYN-ACK attacks, có thể đơn giản thêm vào Registry những
giá trị mong muốn nhằm thay đổi cách thức vận hành của TCP/IP stack trong
giao tiếp Mạng với các Computer khác, như vậy có thể chống được những
cuộc tấn công kiểu này.

3. vận hành thử và Kiểm tra các security templates này. Mỗi security
template được triển khai sẽ không có các yếu tố gây cản trở HDH, các dich
vụ khác, hoặc xung đột với các ứng dụng

4. Triển khai các security templates cho Computer thông qua những công cụ
như command Secedit Group Policy, hoặc tự động hóa triển khai cho hàng
loạt Computer thông qua các Group Policy của Active Directory Domain
(GPO)
Security cho các Computer có vai trò đặc biệt như thế nào.

Admin sẽ cài đặt những Ứng dụng và những dịch vụ phụ thuộc vào vai trò
của những Computer đó.
Như vậy những Computer đặc biệt này cần có những Security baseline tương
đối khác nhau để phù hợp với dịch vụ đang vận hành.
Ví dụ: Web server chạy dịch vụ Internet Information Services (IIS) cho phép

Administrators mới đuợc dùng tính năng này
 Dùng Group Policy: Nếu triển khai security updates cho hàng loạt các
Computer trong môi trường Active directory domain, các admin sẽ sử
dụng các chính sách của Domain hoặc GPO cho các OU trong Domain.
Khi dùng Group Policy, User không cần phải làm bất cứ động tác nào
vì thông qua Active Directory service, Group Policy có thể thực hiện
hoàn toan 2 tự động
 Dùng dịch vụ Microsoft Windows Software Update Services
(WSUS/SUS): Server cài đặt dịch vụ này, được xem là trung tâm phân
phối các security updateas cho các Computer trên Mạng. Admin có thể
cấu hình trên các Computer để tự động download security updates hoặc
lập lịch biểu (scheduling) download từ WSUS server này
 Dùng tính năng Feature Pack (Microsoft Systems Management Server
(SMS) Update Services Feature Pack) có trong dịch vu SMS: Bao gồm
Wizard hướng dẫn đóng gói các Security updates và triển khai chúng
đến các Computer thông qua kho lưu trữ Software Inventory.
Windows Update:
Cập nhật service pack, security updates cho HDH. Dùng cho môi
trường nhỏ SOHO.
Office Update:
Cập nhật service pack, security updates cho Office 2000/XP. Dùng cho
môi trường nhỏ SOHO.
Group Policy:
Triển khai cho các Computer dùng Windows 2000 /Windows XP trong
Active Directory Domain. Đóng gói các service packs và security
updates (thành định dang file .MSI) Bằng cách dùng các chính sách
software installation
policies.
WSUS:
Câp nhật Security updates dựa trên chính sách Group Policy của