Những cuộc tấn công từ bên ngoài: Khi một admin cài đặt software trên một computer mới, một Virus có
thể lây nhiễm vào Computer trước khi Admin này cài service pack
bảo vệ hệ thống. Virus này sẽ khai thác lỗ hổng đã xác định, và cài
tiếp vào hệ thống một chú Trojan Horse (ví dụ như Bo 2k). Admin
hoàn thành việc cài software và đưa vào sử dụng mà không hề biết
rằng Computer có thể đã nằm trong tầm kiểm soát của một attacker
ngoài hệ thống Mạng của tổ chức ! Hiểm họa từ bên trong:
Admin chọn cách cài đặt cho các Computer của tổ chức là cài đặt từ
xa và không cần phải theo dõi trong suốt quá trình cài đặt
(unattended Installation) , cách cài đặt này nhanh chóng và tỏ ra rất
“professional”. Trong suốt quá trình cài đặt operating system qua
Mạng này, tài khỏan Local administrator của các máy được cài đặt
được chuyển qua Mạng dưới dạng Clear-text (không mã hóa). Một
nhân viên có chút trình độ về hệ thống và Network, thúc đẩy bởi
những động cơ bất hợp pháp có thể cài các công cụ nghe lén và thâu
tóm thông tin chuyển đi trên Mạng, đặc biệt là các Local
Administrator Password (nếu admin Mạng đang tiến hành cài đặt qua
Mạng cho Computer của sếp và password chuyển qua Mạng dưới
dạng cleart-text thì nguy to…vì dữ liệu của các Manager rất important
và hầu hết có giá trị economic ). Đây là một trong rất, rất nhiều
những nguy cơ attack từ bên trong Mạng nội bộ.

w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e



Thiết kế Security cho các Computer Những phương thức chung secure Computer Tiến hành cài đặt an toàn ngay từ ban đầu cho Hệ điều hành và các
Ứng dụng theo hướg dẫn:

Thực thi các cấu hình bảo mật mặc định cho HDH và ứng dụng
Chỉ cài đặt những ứng dụng và dịch vụ cần thiết trên các Server (ví
dụ: nkhông cài lung tung các ứng dụng và triễn khai những dich vụ
không cần thiết trên Mail, Web server của tổ chức )
Xác lập bảo vệ cho tất cả các tài khỏan mặc định của hệ thống (ví
dụ: tài khoản mặc định Administrator nên được rename vì tên này ai
cũng biết, và set password phức hợp, sẽ có tác dụng lớn để đối phó
với attacker trong những cuộc tấn công dạng Brute force password)
Những file cài đặt cho HDH và application phải an toàn, phải được
xác nhận (digitally sign) từ nhà cung cấp, có thể dùng nhiều utility để
kiểm tra vấn đề này , ví dụ Sign verification…
Tiến hành cài đặt phải là những Người có đủ độ tin cậy trong tổ
chức.
Nên cô lập Mạng trong quá trình cài đặt . Tạo một Network riêng
dành cho việc cài đặt nếu phải cài đặt HDH, ứng dụng qua Mạng (ví
dụ dùng dịch vụ RIS của Microsoft ), điều này là thiết yếu và tăng sự
an toàn, có thể chống được sự lây nhiễm Virus từ bên ngoài hoặc các
Built-in account như Administrator được tạo ra qua Mạng từ các
unattended installation scripts không bị thâu tóm các CD cài đặt
HDH, ứng dụng nên tích hợp đầy đủ các Service packs, security

-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
Tạo một chính sách security baseline cho các Computer theo đúng
những quy định của tổ chức về an toàn thông tin phục vụ cho các
quy trình nghiệp vụ. Chính sách này phải đảm bảo an toàn cho
Computer, HDH và các ứng dụng nghiệp vụ…

Ví dụ: chính sách chỉ định rằng tất cả HDH trong tổ chức phải chống
được kiểu tấn công SYN-ACK (synchronize acknowledge) denial of
service (DoS) tấn công từ chối dịch vụ. Một chính sách tốt cũng hình
dung được vai trò của Computer cần bảo vệ 2. Tạo sẵn các security templates mẫu, cho phép chỉnh sửa. Ví dụ để
bảo vệ HDH chống lại SYN-ACK attacks, có thể đơn giản thêm vào
Registry những giá trị mong muốn nhằm thay đổi cách thức vận hành
của TCP/IP stack trong giao tiếp Mạng với các Computer khác, như
vậy có thể chống được những cuộc tấn công kiểu này. 3. vận hành thử và Kiểm tra các security templates này. Mỗi security
template được triển khai sẽ không có các yếu tố gây cản trở HDH,
các dich vụ khác, hoặc xung đột với các ứng dụng Click to buy NOW!
P
D
F
-

o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-

server như Microsoft SQL Server 2000, cho dù nó được cài đặ trên
một Windows 2000.

Phải đảm bảo những cá nhân chịu trách nhiệm thiết kế bảo mật cho
những Server này có những hiểu biết cần thiết và kinh nghiệm đáp
ứng được các yêu cầu bảo mật cua tổ chức. Và cũng đảm bảo rằng
tổ chức chúng ta có những chính sách sẵn sàng, quản lý bảo mật cho
các server ày khi chúng thay đổi vai trò hoạt động. ví dụ File Server
được triển khai lại thành một Web server.

Những Phương pháp chung để áp dụng Security Updates
(cập nhật security)

Có thể dùng những phương pháp sau để tiến hành cập nhật security
cho các Computer trên Mạng. Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e


C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o

đến các Computer thông qua kho lưu trữ Software Inventory.
New Horizons VietNam (New Horizons Computer Learning centers
Viet Nam)
Ho Viet Ha
Instructor Team Leader
Email: Chính sách an toàn Account cho Computer (Security Account
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w

i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m