Hướng dẫn toàn diện về bảo mật Windows 7 – Phần 2

Cài đặt và “làm vững chắc” Windows 7

Có thể nói Windows 7 là một thiết kế an toàn. Khi triển khai nó, bạn nên thực hiện một cài đặt fresh trên máy tính mới mua, cần có được cấu hình phần cứng đạt yêu cầu và sau đó “làm vững chắc” cho nó. Việc “làm vững chắc” hệ thống là một quá trình làm tăng mức bảo mật cho một máy tính mới được cài đặt bằng cách cấu hình các thiết lập bảo mật cần thiết, bỏ đi những phần mềm không cần thiết và thực hiện điều chỉnh một số thiết lập chính sách nâng cao.
Lưu ý: Bạn cần tạo một kế hoạch khi lựa chọn phần cứng cho Windows 7, vì nếu muốn sử dụng ảo hóa, hay tính năng Windows Trusted Platform Module (TPM) Management cũng như các tính năng khác chẳng hạn như BitLocker thì bạn cần phải mua đúng phần cứng mà nó hỗ trợ các tính năng này.
Khi hệ điều hành của bạn được cài đặt đúng cách và đã được cấu hình cơ bản, đây là lúc có thể thực hiện quá trình “làm vững chắc”. Liệu có cần phải có một cài đặt Windows mới hay có thể “làm vững chắc” một hệ thống đã được đưa vào sử dụng rồi? Về kỹ thuật, bạn có thể “làm vững chắc” bất cứ hệ thống nào đã được cài đặt và đang được sử dụng, tuy nhiên trước khi thực hiện, bạn nên làm tìm hiểu, phân tích , kiểm tra và thẩm định các mức bảo mật hiện được cấu hình trong sử dụng. Không “làm vững chắc” thứ gì đó đã bị thỏa hiệp rồi. Bạn cũng không thể biết cách ứng dụng bảo mật sẽ ảnh hưởng đến hệ thống sản xuất như thế nào khi sử dụng trong gia đình hay trong môi trường công ty. Một số hệ thống nhân bản được thiết lập để test sẽ tiêu tốn của bạn một chút thời gian và tài nguyên, tuy nhiên đây là việc đáng phải làm vì nó có thể tìm ra và tránh một số vấn đề có thể xuất hiện với thiết kế và triển khai của bạn. Bạn có thể gây thiệt hại hơn là làm cho tốt hơn nếu không biết các thay đổi thiết lập bảo mật hoặc các template sẽ ảnh hưởng thế nào tới các dịch vụ trên hệ thống sản xuất. Cho ví dụ, có thể áp dụng bảo mật cho một hệ thống và hạn chế các thay đổi về tính năng lọc của tường lửa, bỏ chức năng từ một chương trình mà bạn đã cài đặt và sử dụng - nó có thể sử dụng một cổng nào đó hiện được đóng bởi tường lửa và điều này sẽ dẫn đến lỗi kết nối. Vấn đề này có thể gây ra những hiệu quả không mong muốn nếu ứng dụng được sử dụng cho doanh nghiệp, cần thiết cho sản xuất và có thể cần khá nhiều thời gian để khám xét, khắc phục. Đó là lý do tại sao sẽ đơn giản hơn khi cài đặt fresh hệ điều hành Windows 7, sau đó “làm vững chắc” nó một cách nhanh chóng, bạn có thể thẩm định rằng sự bảo mật sẽ vẫn được duy trì cho tới khi triển khai nó. Thêm vào đó bạn cũng có thể làm cho quá trình diễn ra nhanh hơn, đặc biệt nếu đang sử dụng máy ảo (VM) hoặc VHD file, đây là những thứ cho bạn có nhiều tùy chọn tạo nhiều instance của desktop để có thể tự động chuyển đổi dự phòng ảo hoặc khôi phục trở lại nhanh chóng nếu không có các tùy chọn dự trữ. Ảo hóa sẽ đơn giản hóa quá trình cài đặt khi tạo các image vô tính cho mục đích backup, do đó bạn có thể khôi phục desktop của mình một cách dễ dàng và trong khoảng thời gian vài phút. Chúng tôi sẽ giới thiệu vấn đề ảo hóa trong phần sau của loạt bài này. Nếu việc tự động chuyển đổi dự phòng được kích hoạt và được cấu hình, người dùng desktop thậm chí có thể không nhận thấy hiện tượng ngưng chạy của máy móc tí nào nếu đã được ảo hóa.
Bạn có thể “làm vững chắc” hệ thống và sau đó truy cập dữ liệu an toàn của mình thông qua ổ đĩa, cơ sở dữ liệu và các kho chứa chia sẻ - tất cả đều được thực hiện ở tốc độ cao, với tùy chọn chuyển đổi dự phòng không chỉ giúp nó an toàn mà còn tạo sự tách biệt cho dữ liệu mà bạn truy cập. Nếu lên kế hoạch đúng, bạn có thể tạo một snapshot hoàn chỉnh cho phiên bản Windows an toàn, đã được cấu hình cũng như đã được cập nhật và khi xảy ra thảm họa, có thể khôi phục hệ thống một cách nhanh chóng. Sau đó, sau khi khôi phục hệ điều hành cơ bản, bạn có thể gắn lại ổ đĩa chia sẻ để truy cập dữ liệu.
Vậy khi cài đặt Windows, bạn cần thực hiện những bước gì để “làm vững chắc” nó? Và liệu có một thứ tự nào đó để chọn hay không? Nếu có một số bước cài đặt và “làm vững chắc” thì chúng sẽ là thứ tự cài đặt cơ bản, bỏ đi một số thứ không cần sử dụng, cập nhật hệ thống, áp dụng bảo mật cơ bản, sao đó tạo một backup để khôi phục nhanh khi cần thiết, xem danh sách bên dưới:
  • Bước 1 – Cài đặt hệ điều hành cơ bản bằng cách chọn các tùy chọn trong quá trình cài đặt làm tăng bảo mật, không chọn các dịch vụ, tùy chọn và chương trình không cần thiết.
  • Bước 2 – Cài đặt các Administrator toolkit, công cụ bảo mật và các chương trình cần thiết.
  • Bước 3 – Gỡ bỏ các dịch vụ, chương trình và phần mềm không cần thiết. Vô hiệu hóa hoặc gỡ bỏ các tài khoản người dùng hay nhóm người dùng không sử dụng.
  • Bước 4 – Nâng cấp các gói dịch vụ, bản vá lỗi, cũng như tất cả các chương trình đã được cài đặt.
  • Bước 5 – Thực hiện thẩm định bảo mật (quét, mẫu, MBSA,...) để đánh giá mức độ bảo mật hiện hành.
  • Bước 6 – Chạy System Restore và tạo điểm khôi phục. Ứng dụng backup và khôi phục để khôi phục thảm họa.
  • Bước 7 – Backup hệ điều hành theo một cách nào đó để khôi phục nhanh chóng nó trong trường hợp xảy ra thảm họa.
Đây chỉ là một danh sách đơn giản. Bạn có thể bổ sung thêm một số bước và mở rộng danh sách này hơn nữa. Rõ ràng nó không phải là một danh sách bắt buộc, tuy nhiên danh sách này là một  điểm khởi đầu khá tốt khi áp dụng bảo mật vào Windows 7 sau khi đã cài đặt cơ bản. Nếu hoàn tất một cài đặt fresh cho Windows 7, bước tiếp theo là gỡ bỏ phần mềm, dịch vụ, giao thức và chương trình mà bạn không muốn hay không cần chạy nó. Công việc này có thể thực hiện dễ dàng trong Control Panel.
Tiếp đến, bạn có thể vào Control Panel và thiết lập xem ai được phép sử dụng máy tính trong User Accounts applet. Ở đây bạn nên remove các tài khoản không cần thiết, hoặc vô hiệu hóa nó. Rõ ràng, nên cẩn thận với người dùng và nhóm người dùng mặc định, một số tài khoản đó sẽ được thắt chặt với các dịch vụ đang chạy, cách truy cập dữ liệu của bạn và ,... Bạn có thể vô hiệu hóa cũng như remove tài khoản một cách dễ dàng. Một kỹ thuật khác được sử dụng bởi hầu hết các chuyên gia bảo mật là để tài khoản quản trị viên nội bộ ở một nơi thích hợp và thẩm định nó cho các cố gắng sử dụng. Một cách làm chung là không sử dụng các tài khoản mặc định khi quản lý một mạng Microsoft với số lượng lớn các hệ thống và thiết lập các tài khoản quản trị viên mới có thể được lần vết nếu cần. Bằng cách thẩm định các tài khoản mặc định này và sử dụng tài khoản được tạo mới với các đặc quyền quản trị viên có liên quan với nó, bạn sẽ tăng được độ bảo mật lên gấp hai. Một là bạn sẽ phát hiện ra ai đó đang cố gắng truy cập vào máy tính của mình bằng các tài khoản mặc định khi mà lẽ ra không ai được làm việc đó. Nếu được thẩm định, bạn có thể thấy các cố gắng và thời điểm chúng diễn ra. Ứng dụng bảo mật cho tài khoản được biết đến như một honeypot và hữu dụng trong việc tìm kiếm các cố gắng gây ra bởi những người dùng đang cố gắng truy cập vào hệ thống của bạn. Hai, bạn có thể bỏ được một nửa phương trình khi ai đó cố gắng crack tài khoản của bạn thông qua các chứng chỉ cơ bản, chẳng hạn như sự kết hợp của username và password. Nếu bạn lấy đi các thông tin dễ đoán về username, thì bạn chỉ còn lại mật khẩu, thứ có thể được cấu hình theo cách nào đó để không thể bị crack. Nếu đã thiết lập các tài khoản mặc định như một honeypot thì bạn có thể tạo một mật khẩu gần như không thể crack và hạn chế nó để không thể thực hiện thứ gì nếu có bị thỏa hiệp (hạn chế được ảnh hưởng khi bị thỏa hiệp). Bạn nên thay đổi tất cả mật khẩu cho các tài khoản mặc định. Sử dụng mật khẩu theo cách có thể làm cho mật khẩu được khỏe nhất để bảo mật cho các tài khoản và cần thẩm định chúng . Bạn cũng nên cấu hình chính sách để người dùng cần thay đổi mật khẩu qua một quá trình mà ở đó họ chỉ được phép thay đổi nó nếu chọn mật khẩu mới mạnh và không dễ bị hack. Đây chỉ là một mẹo “làm vững chắc” mang lại nhiều lợi ích, chẳng hạn như khả năng phát hiện các tấn công thông qua việc ghi chép và thẩm định.
Mẹo: Trong Windows Server 2008, bạn có thể cài đặt chức năng “core” (lõi), một quá trình “làm vững chắc” được áp dụng cho hệ thống trong giai đoạn cài đặt thực sự. Khi cài đặt, máy chủ chỉ chạy với những chức năng tối thiểu mà bạn cần đến, vì vậy sẽ giảm được bề mặt tấn công. Windows 7 có thể được “làm vững chắc” nhưng không có tùy chọn cài đặt giống như ở Windows Sever 2008. Để “làm vững chắc” Windows 7, bạn cần áp dụng các chính sách, các template hoặc phải tự cấu hình các thiết lập bảo mật cần thiết.
Nói là vậy nhưng cách mà bạn bắt đầu để khóa chặt và bảo mật cho Windows 7 như thế nào? Một cách dễ dàng nhất để bắt đầu quá trình “làm vững chắc” hệ thống của bạn là sử dụng menu Start để tìm kiếm bất cứ thứ gì có liên quan đến vấn đề bảo mật được lưu bên trong hệ thống và đã được đánh chỉ số. Để thực hiện điều đó, hãy kích nút Start để mở Start menu. Sau đó đánh vào từ khóa ‘security’ trong trường Search Programs and Files. Hình 3 bên dưới hiển thị các tùy chọn của Start menu  dựa trên từ khóa tìm kiếm ‘Security’.

Hình 3: Tìm và sau đó xem các tùy chọn bảo mật bên trong menu Start
Ở đây bạn có thể thấy các chương trình, Control Panel applet (hay các action), tài liệu và file đã được chọn và được tổ chức theo cách dễ xem và truy cập. Local Security Policy (nếu được chọn) là bộ chỉnh sửa chính sách, cho phép bạn xem và cấu hình các chính sách bảo mật cho hệ thống. Local Security Policy editor có thể thấy như trong hình 4. Ở đây bạn có thể thực hiện một số điều chỉnh cho tất cả các thiết lập dựa trên chính sách trên hệ điều hành của mình.

Hình 4: Xem và cấu hình bảo mật với chính sách bảo mật nội bộ
Mẹo – để có quyền điều khiển toàn bộ chính sách, bạn nên sử dụng Windows 7 với các sản phẩm Windows Server, chẳng hạn như Windows Server 2008 R2. Nếu thực hiện như vậy, bạn có thể sử dụng Active Directory (AD) và Group Policy.

(Theo Windowsecurity)

0 comments:

Post a Comment