Hướng dẫn toàn diện về bảo mật Windows 7 – Phần 2
Trong phần hai của loạt bài này, chúng tôi sẽ tiếp tục giới thiệu cho các
bạn cách bảo mật Windows 7 và giới thiệu thêm một số chức năng bảo
mật ít được biết đến hơn mà hệ điều hành này cung cấp.
Windows 7 là hệ điều hành máy khách cho các máy tính desktop mới nhất
của Microsoft, nó được xây dựng dựa trên những điểm mạnh và sự khắc
phục những điểm yếu có trong các hệ điều hành tiền nhiệm, Windows XP và
Windows Vista. Mọi khía cạnh của hệ điều hành như, cách chạy các dịch vụ
và cách load các ứng dụng sẽ như thế nào, đã làm cho hệ điều hành này trở
nên an toàn hơn bao giờ hết. Tất cả các dịch vụ đều được nâng cao và có
nhiều tùy chọn bảo mật mới đáng tin cậy hơn. Tuy nhiên những cải tiến cơ
bản đối với hệ thống và các dịch vụ mới, Windows 7 còn cung cấp nhiều
chức năng bảo mật tốt hơn, nâng cao khả năng thẩm định cũng như các tính
năng kiểm tra, khả năng mã hóa các kết nối từ xa và dữ liệu, hệ điều hành
này cũng có nhiều cải tiến cho việc bảo vệ các thành phần bên trong, bảo
đảm sự an toàn cho hệ thống chẳng hạn như Kernel Patch Protection,
Service Hardening, Data Execution Prevention, Address Space Layout
Randomization và Mandatory Integrity Levels.
Có thể nói Windows 7 được thiết kế
an toàn hơn. Thứ nhất, nó được phát
triển trên cơ sở Security Development
Lifecycle (SDL) của Microsoft. Thứ
hai là được xây dựng để hỗ trợ cho c
yêu cầu tiêu chuẩn chung để có được
chứng chỉ Evaluation Assurance Level
(EAL) 4, đáp ứng tiêu chuẩn xử lý
thông tin Federal Information
Processing Standard (FIPS) #140-2.
Khi được sử dụng như một hệ điều
hành độc lập, Windows 7 sẽ bảo vệ tốt
người dùng cá nhân. Nó có nhiều công

điều hành, cách khôi phục hệ điều hành trở về trạng thái hoạt động trước đó,
một số cách bảo vệ dữ liệu và trạng thái hệ thống nếu thảm họa xảy ra.
Chúng tôi cũng giới thiệu một số chiến lược để thực hiện nhanh chóng các
công việc đó. Các chủ đề được giới thiệu trong bài cũng gồm có cách làm
việc an toàn trong khi online, cách cấu hình điều khiển sinh trắc học để kiểm
soát truy cập nâng cao, cách và thời điểm được sử dụng với Windows Server
2008 (và Active Directory) như thế nào, cách bạn có thể tích hợp một cách
an toàn các tùy chọn cho việc kiểm soát, quản lý và kiểm tra. Mục tiêu của
bài viết này là để giới thiệu cho các bạn các tính năng bảo mật của Windows
7, những nâng cao và ứng dụng của chúng cũng như cung cấp cho bạn
những kiến thức về việc lên kế hoạch, sử dụng đúng các tính năng bảo mật
này. Các khái niệm mà chúng tôi giới thiệu sẽ được chia nhỏ và được tổ
chức theo phương pháp khối.
Lưu ý: Nếu làm việc trong công ty hoặc môi trường chuyên nghiệp khác,
các bạn không nên thực hiện các điều chỉnh với máy tính của công ty. Hãy
thực hiện theo đúng kế hoạch (hay chính sách) bảo mật đã được ban bố,
cũng như những hành động, nguyên lý và hướng dẫn tốt nhất đã được công
bố trong tổ chức. Nếu chưa quen với các chủ đề bảo mật và các sản phẩm
của Microsoft, hãy đọc tài liệu hướng dẫn của sản phẩm trước khi áp dụng
bất cứ thay đổi nào cho hệ thống.
Quản lý và kiểm tra bảo mật
Windows 7 có thể an toàn như một pháo đài. Nếu sử dụng Windows 7 trong
doanh nghiệp, bạn có thể sử dụng cơ sở dữ liệu Active Directory và lợi dụng
nhiều tính năng nâng cao về bảo mật khi đăng nhập vào một Domain, hoặc
Group Policy nhằm thực thi bảo mật ở mức cao hơn. Dù bằng cách nào thì
sự quản lý tập trung các công cụ bảo mật, các thiết lập và bản ghi là vấn đề
quan trọng cần xem xét khi áp dụng bảo mật – cách bạn sẽ quản lý nó, kiểm
tra nó và sau đó nâng cấp nó khi đã cài đặt và cấu hình như thế nào? Với
Windows 7, bạn sẽ thấy có nhiều thay đổi dưới layout cơ bản về các công cụ
và dịch vụ dùng cho mục đích bảo mật. Cho ví dụ từ khóa ‘Security’ trong

/A’, khi đó bạn sẽ khởi chạy một Microsoft Management Console (MMC)
mới. Có thể lưu nó vào bất cứ vị trí nào trên hệ thống và đặt tên cho nó là bất
cứ gì bạn muốn. Để định cư, bạn cần phải vào menu File và chọn
Add/Remove Snap-in. Thêm tất cả các công cụ mà bạn muốn hoặc cần. Hình
1 hiển thị một giao diện tùy chỉnh với hầu hết nếu không phải tất cả các tùy
chọn bảo mật có sẵn.

Hình 1: Tạo giao diện bảo mật tập trung tùy chỉnh với Microsoft
Management Console Snap-In
Bạn sẽ thấy nhiều công cụ hữu dụng bên trong các tùy chọn snap-in có sẵn.
Cho ví dụ, TPM Management là một Microsoft Management Console
(MMC) snap-in cho phép các quản trị viên có thể tương tác với Trusted
Platform Module (TPM) Services. TPM services được sử dụng để quản trị
phần cứng bảo mật TPM trong máy tính của bạn. Điều này có nghĩa bạn cần
phần cứng chuyên dụng, nâng cấp BIOS và chọn đúng chíp CPU. Cũng
giống như việc ảo hóa cần một chíp chuyên dụng, TPM cũng vậy. TPM là
một cách giới thiệu mức bảo mật phần cứng mới cho phương trình để bạn
biết mình đang dần có một hệ thống vững chắc. Bạn có thể quản lý nó ở đây
nếu thuân thủ theo TPM. TPM sẽ sử dụng bus phần cứng để truyền tải các
thông báo và có thể được sử dụng kết hợp với các tính năng phần mềm
giống như BitLocker.
Khi đã tạo các giao diện điều khiển và đã biết cách truy cập vào các vùng để
áp dụng các cấu hình bảo mật bên trong hệ điều hành, bước tiếp theo của
bạn là kiểm tra hệ thống của mình. Có nhiều cách để thực hiện điều đó. Cho
ví dụ, bạn có thể sử dụng phương pháp đơn giản (người dùng gia đình) và
chỉ cần để ý đến nó theo thời gian trên một lịch trình đơn giản. Giống như,
các tối chủ nhật sau khi lướt mạng, bạn kiểm tra các bản ghi tường lửa và
các bản ghi Event Viewer trong giao diện điều khiển. Nếu đào sâu vào các
tùy chọn có thể cấu hình, bạn sẽ phát hiện thấy mình có thể lập lịch trình các
cảnh báo và thông báo, lọc các bản ghi và tự động lưu để xem lại, Bảo đảm


Hình 2: Cài đặt Windows Security Updates với Windows Update
Bạn cũng cần có được các gói dịch vụ mới được phát hành và áp dụng lại
chúng nếu cần. Các ứng dụng và các dịch vụ đang chạy khác trong hệ thống
cũng cần được quản lý, kiểm tra và nâng cấp thường xuyên, nhất là với các
chương trình phát hiện và loại bỏ Virus, Spyware.
Khi hệ thống của bạn đã được vá và được cấu hình cho sử dụng, nhiệm vụ
tiếp theo là cài đặt Microsoft Security Essentials (MSE), một chương trình
Antivirus (AV) của nhóm thứ ba, cấu hình Windows Defender (spyware) để
sử dụng và cấu hình bảo mật nhằm phát hiện (malware) phần mềm mã độc.
Lưu ý: Microsoft gần đây đã phát hành một dòng phần mềm bảo mật mới
mang tên Forefront. Dòng sản phẩm này bao phủ tất cả các khía cạnh trong
triển khai và quản lý bảo mật trong doanh nghiệp. Chúng cũng tạo sự chắc
chắn rằng hệ điều hành khách được an toàn với chức năng mới, chẳng hạn
như Microsoft Antivirus, có bên trong gói sản phẩm MSE.
Ngăn chặn và bảo vệ Malware
Mọi hệ thống dù là máy chủ file của Windows, desktop Linux hoặc máy
trạm Apple OS X, tất cả đều phải đối mặt với malware. Malware là một
thuật ngữ được sử dụng để đại diện cho tất cả các kiểu phần mềm mã độc có
thể đâm thủng, xâm nhập, chiếm quyền điều khiển và cuối cùng phá hủy hệ
điều hành máy tính của bạn, các ứng dụng hoặc dữ liệu cũng khó có thể khắc
phục khi bị tấn công. Tồi tệ hơn, malware không chỉ nhắm đến hệ điều hành
cơ bản mà nó còn nhắm đến cả dữ liệu cá nhân, sự riêng tư và nhận dạng.
Malware tồn tại dưới nhiều hình thức khác nhau, chẳng hạn như viruse,
worm, logic bomb và Trojan. Để giữ cho Windows 7 được an toàn, bạn cần
cấu hình nó sao cho tránh được phần mềm mã độc xâm nhập vào hệ thống.
Malware có thể xâm nhập theo con đường điển hình nhất là qua truy cập
Internet công cộng, nhận email, các tin nhắn IM (instant messaging), sử
dụng dữ liệu chia sẻ trên web và các máy chủ FTP, hoặc các ứng dụng phần
mềm dựa trên kết nối mạng công cộng khác, chẳng hạn như phần mềm chia

các hãng thứ ba, hoặc sử dụng một số công cụ của Microsoft, chẳng hạn như
Windows Defender như thể hiện trong hình 3 bên dưới.

Hình 3: Sử dụng Windows Defender
Windows Defender có thể quét và loại bỏ Spyware. Một ứng dụng antivirus
sẽ quét một cách tích cực và cố gắng tìm và loại bỏ virus, worm và Trojan.
Nếu cả hai được sử dụng cùng nhau, bạn có thể bảo vệ một cách chủ động
hệ thống của mình trước hầu hết các tấn công. Giống như bản thân hệ điều
hành, bạn cũng cần liên tục cập nhật các ứng dụng này với nhiều bản vá
hoặc chúng có thể trở thành mục tiêu để tấn công. Thêm vào đó, các file
định nghĩa mới cũng cần được download và cài đặt thường xuyên để quét
các mối đe dọa mới.
Windows Defender là một tiện ích hữu dụng cho việc quét các file hệ thống
(Quick hoặc Full), và được cập nhật thường xuyên, một trong những điểm
quan trọng nhất khi lựa chọn bất cứ phần mềm spyware nào. Nếu các khái
niệm không được cập nhật tương xứng với các tấn công mới bị phát hiện
trên toàn thế giới thì hệ thống của bạn không thể bảo vệ bạn trước những tấn
công này.
Một số chương trình AV có thể quét một cách thông minh hệ thống của bạn
để tìm ra “những điều không bình thường”, hoặc “so khớp một mẫu trong
một tấn công tương tự”, thứ được gọi là những khám phá. Mặc dù hữu dụng
nhưng không thể bắt được mọi thứ để giữ cho các công cụ này cập nhật.
Windows Update sẽ nâng cấp Windows Defender khi bạn chạy nó. Các ứng
dụng thứ ba (loại trừ các driver thiết bị chính) thường không tìm thấy thông
qua Microsoft. Cũng cần cân nhắc đến việc chạy các công cụ này trong trạng
thái tích cực, vì khi đó bạn sẽ phải trả giá về hiệu suất bộ nhớ và xử lý cũng
như toàn bộ những gánh nặng về tài nguyên của hệ thống ở mức độ đáng kể.
Vì vậy cần phải đi xem xét kế hoạch cho việc triển khai này từ trước và bảo
đảm rằng các hệ thống Windows của bạn có thể xử lý được nó. Khi đã thiết
lập bảo vệ malware và chạy, bạn vẫn cần “làm vững chắc” một cách tích cực

Do việc truy cập Internet là hầu như được thực hiện cho các công việc hoặc
giải trí, nên sự khóa chặn của Internet Explorer (IE) là cần thiết trừ khi bạn
muốn lộ diện bản thân mình trước malware và các tấn công trình duyệt khi
truy cập trực tuyến. Internet Explorer đã được nâng cấp một cách liên tục để
bạn có nhiều tùy chọn bảo mật cho nó, có thể lướt web an toàn và được
thông báo về những rủi ro tiềm ẩn, từ đó giúp bạn có thể quyết định có tiếp
tục thực hiện hành vi nào đó hay không. Trong các phiên bản Windows
trước, vấn đề này đã bị giảm nhẹ dưới nhiều cách làm và nhiều công cụ
nhưng cốt lõi của vấn đề vẫn là Explorer, IE và cách nó thắt chặt ở mức độ
thế nào với hệ điều hành cơ bản là một vấn đề thực. Phần mềm được phân
tích và được viết lại hoàn toàn để nhóm tất cả các khía cạnh của ứng dụng
bảo mật và các tập công cụ bảo mật tích hợp, chẳng hạn như Phishing filter.
Đồng thời những tiến bộ về công nghệ khi được tích hợp vào các sản phẩm
của Microsoft đã tạo nhiều tiến bộ trong mã và vì vậy các ứng dụng có tính
bảo mật hơn. Ngày nay, IE là trình duyệt web an toàn nhất hiện có và thậm
chí còn an toàn hơn khi được triển khai với Group Policy.
Mẹo: Để giữ mức rủi ro do tấn công gây ra ở mức thấp, chúng ta cần phải
hạn chế việc truy cập vào các máy chủ web đang hosting các nội dung được
biết đến đến như nguyên nhân gây ra các vấn đề này cho hệ thống của bạn.
Các máy chủ đó gồm có các site khiêu dâm, các site download phần mềm
miễn phí, chia sẻ file hoặc phần mềm P2P, máy chủ FTP công cộng, các
biểu đồ IRC và, Bạn có thể tạo một máy ảo và sử dụng nó để tăng cường
sự bảo mật, tuy nhiên giải pháp này không hẳn đã an toàn. Nếu hạn chế được
sự phơi bày, bạn sẽ giảm được khả năng trở thành nạn nhân của một tấn
công.
Truy cập web theo một nguyên tắc chặt chẽ là một điều quan trọng. Ngoài
việc cẩn thận, Internet Explorer cũng cần được cấu hình theo một cách nào
đó để bạn không thể thực hiện bất cứ thứ gì không cho phép một cách rứt
khoát. Trong phần này, chúng tôi đã giới thiệu sự cân bằng giữa bảo mật và
tính linh hoạt và đó là một trong những ví dụ tốt nhất mà bạn có thể thao

khác nhau trong hệ thống ngoài các ứng dụng phần mềm Spyware và AV.
Cho ví dụ, UAC (như được giới thiệu ở trên) là một ví dụ điển hình về tầm
quan trọng sao nó cần phải có một công cụ như vậy. Nếu bạn truy cập một
máy chủ web có chứa mã độc để xem và download nội dung, các kịch bản
trong bản thân trang chủ của nó có thể được cấu hình để chạy các ứng dụng,
các ứng dụng này sẽ cài đặt một cách thầm lặng trong chế độ background
khi bạn sử dụng máy tính của mình. Nếu có bất cứ chương trình nào đó cố
gắng tự cài đặt vào Windows 7, UAC (nếu được cấu hình ở mức bảo mật
cao nhất), có thể bảo vệ bạn tránh được các kiểu tấn công như vậy.
Những thứ khác bạn có thể thực hiện để ngăn chặn malware là điều chỉnh
Windows Firewall, kiểm tra hành động ghi chép của nó và cố gắng làm quen
với những gì quả thực đang chạy trên hệ thống của bạn và bao nhiêu tài
nguyên hệ thống mà nó đang sử dụng (việc khởi chạy và cư trú trong bộ
nhớ, hiệu suất không gian đĩa, ). Sử dụng Task Manager cũng là một cách
tuyệt vời để nhanh chóng tìm ra nhiều vấn đề như đã đề cập. Hình 6 thể hiện
những gì đang chạy trong hệ thống của bạn. Nếu quan sát tab Processes, bạn
sẽ thấy những gì đang chạy trong bộ nhớ và thấy quá trình đó có hợp lệ hay
không.

Hình 6: Sử dụng Task Manager
Bạn cũng nên kiểm tra các bản ghi Event Viewer để thẩm định rằng các định
nghĩa virus, cũng như các dịch vụ được download, cập nhật và được cài đặt
đúng cách, không có lỗi nguy cấp nào được liệt kê mà không được chú
trọng. Với tất cả các biện pháp phòng và chống đó, bạn vẫn có thể bị nhiễm
malware vào hệ thống, sau đó nó có thể gây hại và phá hủy hoàn toàn dữ
liệu của bạn.
Do malware vẫn có thể phá hủy một cách tiềm tàng hệ thống của bạn, thậm
chí sau khi đã bảo mật toàn bộ hệ thống (cũng như đã cập nhật) nên bạn cần
xem xét đến việc tạo một backup. Bạn luôn luôn cần backup dữ liệu cá nhân
của mình mà không cần quan tâm tới việc mình đang ở trên hệ thống

nâng cao có thể được sử dụng để tạo các kết nối an toàn đến một mạng từ xa.
Thậm chí việc quản lý quan mạng cũng cần được xem xét. Cho ví dụ, nếu
không vô hiệu hóa dịch vụ Telnet (có trong Windows Features) và đang sử
dụng nó một cách tích cực thay vì Secure Shell (SSH) (lấy ví dụ như vậy),
thì bạn sẽ đang sử dụng giao thức TCP/IP có thể bị tấn công một cách dễ
dàng. Tất cả bảo mật mà bạn đã tạo cho các hệ thống của mình hiện bị đánh
liều vì bạn không thể bắt ứng dụng capture hoặc đánh hơi dữ liệu trên mạng
của mình để từ đó có thể quét tích cực và capture mật khẩu trong sáng
(không được mã hóa), cũng có thể xảy ra với mật khẩu được sử dụng tài
khoản dịch vụ mặc định Windows Administrator. Chính vì vậy luôn luôn
xem xét mạng như một điểm truy cập tiềm tàng cho malware và các tấn công
vì nó thường bị bỏ qua.
Gói phần mềm Microsoft Security Essentials (MSE) có thể download miễn
phí từ Microsoft, đây là phần mềm khi được cài đặt, nó sẽ bổ sung phần
mềm quét AV cho hệ thống của bạn. Được thiết kế cho XP, Vista và
Windows 7, gói phần mềm Security Essentials chỉ có sẵn từ Microsoft nếu
bạn có một copy hợp lệ. Còn nếu không có, bạn không thể download và cài
đặt nó. Trong trường hợp có thể, hãy cài đặt nó ngay tức khắc. Bạn sẽ cần
hợp lệ hóa copy Windows 7 của mình nếu chưa làm việc đó trong quá trình
cài đặt. Khi đã hợp lệ hóa, chương trình cài đặt sẽ kiểm tra hệ thống của bạn
để xem các chương trình AV khác có đang chạy hay không. Bạn sẽ nhân
được lời khuyên để sử dụng một bảo vệ AV nào, tuy nhiên không may, nếu
bạn chọn để chạy cả hai cùng lúc, đôi khi điều đó sẽ xảy ra hiện tượng xuyên
nhiễu giữa hai phần mềm, và bạn phải quản lý và kiểm tra (cũng như nâng
cấp) và chịu gánh nặng về hiệu suất vì các chương trình AV sẽ sử dụng công
suất xử lý và bộ nhớ khá cao, ảnh hưởng rõ nét đến hiệu suất của toàn bộ hệ
thống. Khi được cài đặt, bạn có thể nâng cấp nó như thể hiện trong hình 7
bên dưới.

Hình 7: Chạy Microsoft Security Essentials Updates

bắn không thủng nếu bạn thực sự muốn “làm vững chắc” nó và khóa toàn bộ
các điểm có thể truy cập của hệ thống này. Tuy nhiên nó vẫn là một đối
tượng cho các tấn công và có thể sẽ là như vậy nếu máy tính của bạn truy
cập Internet. Chính vì vậy chúng ta cần phải lên kế hoạch cho những gì có
thể xảy ra và làm vững chắc Windows 7 theo kế hoạch đó.
Khi xem xét đến việc sử dụng Windows 7, trong áp lực các tấn công và các
khai thác ngày nay, các tùy chọn bảo mật và khả năng linh hoạt là ưu tiên
hàng đầu khi tạo quyết định. Windows 7 rất an toàn, tuy nhiên không thể an
toàn 100%. Bạn cần phải áp dụng các kiến thức, các công cụ và các cấu hình
nâng cao để bảo mật tất cả các khía cạnh của nó và tiếp đó là cập nhật, kiểm
tra chúng một cách thường xuyên. Cũng rất giá trị nếu bạn muốn tránh tấn
công. Windows 7 có nhiều nâng cao về bảo mật và có thể được cấu hình để
khôi phục một cách nhanh chóng.
Thêm vào đó, các nguyên lý bảo mật cơ bản chẳng hạn như Defense in
Depth phải được áp dụng kết hợp với các hướng dẫn bảo mật khác và những
thói quen tốt nhất để bạn không những áp dụng bảo mật để bảo vệ mà còn bổ
sung thêm nhiều lớp bảo mật để phòng và chống cho toàn bộ kiến trúc và mã
chạy bên trong nó.
Chúng ta mới chỉ động chạm tới bề mặt ở đây, còn có rất nhiều thứ mà
chúng ta cần biết và tìm hiểu, tuy nhiên hy vọng phần này sẽ cung cấp cho
các bạn được nhiều thông tin quý giá. Để tìm hiểu thêm, bạn có thể tham
khảo các liên kết tham chiếu gồm có các thông tin chi tiết cũng như các công
cụ, template và hướng dẫn miễn phí. Và hãy nhớ theo dõi phần ba của loạt
bài này.