Hướng dẫn bảo mật kiểm soát thiết bị được cài đặt sẵn (Phần cuối)

Xem xét một cách tổng quan các tùy chọn điều khiển thiết bị trong Windows Vista.

Trong bài viết trước, chúng tôi đã liệt kê cho các bạn một số tùy chọn nói chung mà chúng ta có thể sử dụng để bảo vệ các thiết bị trong các phiên bản trước Windows Vista. Với Windows Vista chúng ta sẽ có các công cụ mới cho phép bảo mật mạnh hơn.

Trong phần tiếp theo này, chúng tôi sẽ giới thiệu một cách nhìn tổng quan về các tùy chọn đối với việc kiểm soát thiết bị trong Windows Vista và giới thiệu cách làm thế nào để tránh cạm bẫy thường dễ xảy ra nhất.

Bảo mật cần phải đi tiên phong và không nên lơ đãng

Khi đến với bảo mật, bạn phải cố gắng thực hiện các phép đo bảo mật bất cứ khi nào có thể. Điều đó có nghĩa là phải bảo vệ các hệ thống của bạn chống lại những mối đe dọa đã biết và kể cả chưa biết. Có thể bạn đã tự hỏi bản thân rằng cơ cấu bảo mật có thể làm việc như thế nào, điểm bắt đầu và điểm kết thúc khi đang cố gắng bảo vệ chống lại những gì chưa biết? Từ khóa ở đây chí ít cũng là đặc quyền và danh sách trắng. Để bảo vệ hệ thống của bạn chống lại những tấn công đã biết và chưa biết nói hoàn toàn không thể không đúng; dù sao đi chăng nữa thì cũng có thể hạn chế đi phần nào những hỏng hóc khi nó xuất hiện. Để thực hiện điều đó bạn phải bảo đảm không được lơ đãng hệ thống của mình. Nói theo cách khác, bạn nên bảo đảm kiểm tra phát hiện thấy một trong những thành phần của hệ thống bị xâm nhập và xử lý kịp thời thì hỏng hóc sẽ được hạn chế ở mức độ và phạm vi nhỏ nhất. Chính vì vậy bạn phải thiết kế ra một hệ thống bảo vệ chắc chắn. Một trong những nguyên lý bạn nên sử dụng khi thiết kế các giải pháp như vậy đó là phải “bảo mật theo chiều sâu”, những tên gọi mà bạn có thể đã nghe thấy rất nhiều trước đây. Nguyên lý này được mô tả rất rõ trong hình 1.


Hình 1
: Bảo mật được phân lớp theo “bảo mật theo chiều sâu”

Ý tưởng đằng sau “bảo mật theo chiều sâu” là để thiết kế các giải pháp gồm có nhiều lớp bảo mật độc lập, tất cả chúng đều có nhiệm vụ bảo vệ tài nguyên của bạn. Để một người dùng trái phép tăng mức truy cập đến tài nguyên mà bạn đang cố gắng bảo vệ thì anh ta phải phá hỏng các lớp phòng vệ đã thực hiện ở các tầng trong đó gồm có cả lớp con người, lớp không được mô tả trong hình 1. Nguyên lý này sẽ giúp hệ thống của bạn vẫn có thể an toàn trong trường hợp nó đã bị tấn công một số lớp. Với các nguyên lý này, chúng ta hãy xem một vài ví dụ làm thế nào có thể thực hiện các phép đo bảo mật đối với việc kiểm soát thiết bị trong Windows Vista.

Device Installation Control (Kiểm soát cài đặt thiết bị)

Windows Vista đã được nạp các tính năng bảo mật khác nhau, được so sánh với những “kẻ tiền nhiệm” mà chúng ta đã giới thiệu đến trong phần 1 của bài viết. Một trong những tính năng đó là Device Installation Control (kiểm soát cài đặt thiết bị), nó cung cấp cho bạn một cách cốt yếu để kiểm soát các thiết bị của một người dùng được phép cài đặt trên máy tính hay không và sẽ cài đặt như thế nào. Microsoft đã viết từng bước đối với cách làm thế nào đối với người dùng để bắt đầu với tính năng này nhưng trong bài viết này, chúng tôi sẽ giới thiệu với các bạn sâu hơn nữa với một số ví dụ làm thế nào để áp dụng chúng trước khi các nguyên lý liên quan trong việc sử dụng đặc quyển tối thiểu và danh sách trắng. Trước khi giới thiệu bạn cần biết một số vấn đề dưới đây:

  • Các thiết bị phải chưa được cài đặt trên máy trước thời điểm bạn muốn kiểm soát chúng.
  • Với lời khuyên trên, bạn nên sử dụng một máy tính biệt lập, máy tính này sẽ dùng để lấy các lớp thiết bị và ID của chúng để dùng nó vào việc hạn chế hoặc đưa chúng vào danh sách trắng.
  • Chú ý rằng, kiểm soát thiết bị trong Vista là dựa vào thiết bị điện tử. Điều này có nghĩa tất cả người dùng trên các máy tính có kiểm soát này sẽ bị ảnh hưởng. Một cách giải quyết khác là tạo sự hạn chế thiết bị khác của GPO và lọc phạm vi của GPO theo thành viên nhóm bảo mật. Mặc dù vậy nếu muốn kiểm soát thiết bị đúng người thì bạn vẫn cần đến các giải pháp của nhóm thứ 3.

Ví dụ 1: Kiểm soát thiết bị đặc quyền tối thiểu

Trong ví dụ này, chúng tôi sẽ giới thiệu cho các bạn cách làm thế nào để ngăn chặn người dùng cài đặt các thiết bị phần cứng lên máy tính Vista.

Chúng ta sử dụng Group Policy Management Console, vì vậy từ Vista bạn phải đăng nhập với một tài khoản miền cho phép sửa đổi Group Policies.

Tại cửa sổ lệnh Start | Search bạn đánh GPMC.MSC và nhấn Enter

1, Vào Computer Configuration > Administrative Templates > System > Device Installation > Device Installation Restrictions

2, Cấu hình các thiết lập dưới đây (như được hiển thị trong hình 2)

  • Allow administrators to override device installation policy (Cho phép các quản trị viên ghi đè cơ chế cài đặt thiết bị): Bạn chọn Disabled
  • Display a custom message when installation is prevented by policy (Hiển thị thông báo tùy chọn khi cài đặt bị ngăn chặn bởi chính sách): Chọn Enabled và chèn vào đó đoạn thông báo của bạn.
  • Display a custom message when installation is prevented by policy (Hiển thị thông báo tùy chọn khi cài đặt bị ngăn chặn bởi chính sách (tiêu đề thêm)): Chọn Enabled và chèn vào đó đoạn thông báo của bạn
  • Prevent installation of devices not described by other policy settings (Ngăn chặn việc cài đặt các thiết bị không mong muốn bằng các thiết lập chính sách khác): Chọn Enabled

    Lưu ý
    : Một số thiết lập có chức năng như trên có thể có chế độ thiết lập mặc định “Not configured”. Điều này là chính sách an toàn trong Vista đã thực hiện mặc định. Mặc dù vậy chúng tôi khuyên bạn nên cấu hình các thiết lập này một cách cụ thể cho sáng sủa hơn.


Hình 2
: Ngăn chặn bất kỳ người nào cài đặt thêm các phần cứng mới.

3, Sau khi đã áp dụng GPO, chúng ta sẽ kiểm tra thử các thiết lập này hoạt động như thế nào, hình 3, 4 và 5 thể hiện cho bạn thấy rõ điều này


Hình 3
: Một USB muốn cài vào máy tính


Hình 4
: Cơ chế hạn chế thiết bị đang làm việc có sử dụng đến thông báo mà bạn chèn vào


Hình 5
: Trong Device Manager bạn có thể thấy USB đã không được cài đặt

Ví dụ 2: Kiểm soát thiết bị bằng danh sách trắng

Trong ví dụ này chúng tôi sẽ giới thiệu cho các bạn cách làm thế nào để tránh người dùng cài đặt các thiết bị phần cứng trừ những thiết bị đã được liệt kê trong danh sách trắng. Trước khi thực hiện bạn nên biết một số thứ về các lớp thiết bị và ID (ID phần cứng). Hình 6 và 7 hiển thị cho bạn thấy những các lớp thiết bị và ID từ cửa sổ Device Manager.


Hình 6
: Xem các lớp thiết bị


Hình 7
: Xem ID của chúng

Với ví dụ này, chúng tôi sẽ giới thiệu cho bạn cách sử dụng tính năng hạn chế thiết bị dựa vào ID.

Bạn có thể thu thập cả các lớp thiết bị và ID mà bạn muốn hạn chế hoặc cho phép bằng cách sử dụng GUI trong Device Manager, phương pháp mà mọi người cảm thấy thân thiện nhất hoặc có thể thoải mái hơn và sử dụng dòng lệnh. Trong bài viết này, chúng tôi sẽ giới thiệu cho các bạn cách sử dụng một công cụ dòng lệnh khá thuận lợi của Microsoft được gọi là DevCon, bạn có thể tìm thấy nó ở đây.

Copy tiện ích dòng lệnh vào máy tham chiếu Vista và mở dòng lệnh như một quản trị viên. Chúng tôi sẽ không giới thiệu hết về các tùy chọn trong dòng lệnh ở đây mà chỉ giới thiệu đơn giản cách sử dụng DevCon trong ví dụ.

1, Tại dòng lệnh bạn đánh lệnh như hiển thị trong hình 8:

devcon classes

Lệnh này sẽ hiển thị tất cả các lớp thiết bị có trên máy tính mà bạn dùng để đọc ID và lớp này.


Hình 8
: Toàn bộ danh sách các lớp thiết bị trên máy tính dùng để lấy ID

2, Trong ví dụ, chúng ta thực hiện đối với một USB 4GB (tức là chỉ có USB này mới có quyền cài đặt vào hệ thống cần bảo vệ của bạn), vì vậy chúng ta cần ID thiết bị từ thiết bị này máy tính tham chiếu, đánh lệnh như hình 9:

devcon hwids usb*

Chú ý một số thứ đối với ví dụ về dòng lệnh này. Tham số thứ hai “usb” xuất hiện do chúng ta sử dụng lệnh DevCon trước đó. Thêm vào ‘asterix’ sẽ hiển thị tất cả các USB đã được cài đặt trên máy tính tham chiếu. Vị trí ID phần cứng như thế hiện trong hình 9 và copy ID này trước khi tiếp tục các bước tiếp theo.


Hình 9
: Cách xác định ID phần cứng cụ thể từ cửa sổ lệnh

Lưu ý: Bạn cần phải biết được ID phần cứng nào sẽ copy. Khi làm việc với danh sách trắng, bạn luôn luôn copy ID phần cứng đứng đầu đối với một thiết bị cụ thể. Nếu thực hiện danh sách đen thì bạn phải xem xét đến việc sử dụng các ID phần cứng ở dưới. Nói tóm lại đây là các ID thiết bị khác với ID mà bạn mong muốn nó có thể làm việc với hệ thống của mình.

Tiếp tục, chúng ta sẽ sử dụng Group Policy Management Console, vì vậy từ Vista bạn phải đăng nhập vào tài khoản miền cho phép thay đổi Group Policies

Tại cửa sổ lệnh Start | Search bạn đánh GPMC.MSC sau đó nhấn Enter

3, Vào Computer Configuration > Administrative Templates > System > Device Installation > Device Installation Restrictions

4, Cấu hình các thiết lập dưới đây

  • Allow administrators to override device installation policy (Cho phép quản trị viên có thể ghi đè chính sách cài đặt thiết bị): Chọn Enabled
  • Display a custom message when installation is prevented by policy (Hiển thị thông báo tùy chọn khi ngăn cấm không cho cài đặt): Chọn Enabled và chèn vào dòng chữ bạn cần hiển thị
  • Display a custom message when installation is prevented by policy (Hiển thị thông báo tùy chọn khi ngăn cấm không cho cài đặt): Chọn Enabled và chèn vào dòng chữ bạn cần hiển thị
  • Allow installation of devices that match any of these device Ids (Cho phép cài đặt thiết bị phù hợp có ID thích hợp): Chọn Enable và nhấn Show… như hình 10
  • Nhấn Add... và thêm vào ID phần cứng từ bước 2
  • Prevent installation of devices not described by other policy settings (Không cho phép cài đặt các thiết bị không được liệt kê trong danh sách): Enabled


Hình 10
: Thêm mới một ID phần cứng cho thiết bị vào danh sách trắng

5, Kiểm tra các thiết lập của bạn đối với các thiết bị có tên hoặc không có tên trong danh sách trắng.

Kết luận

Mặc dù nó không phải là một biện pháp hoàn hảo nhưng phần hạn chế cài đặt trong Vista này quả thực là một tính năng lý tưởng và nó quả thực có ích hơn so với những gì chúng ta đã thấy trong phần 1 nhất là đối với các thiết bị truyền thông không dây. Việc nhận ra các thiết bị truyền thông không dây được sử dụng bởi một người dùng trái phép là một vấn đề quan trọng. Bằng cách sử dụng tính năng Device Installation Restriction của Vista bạn hoàn toàn có thể dễ dàng thực hiện điều đó. Khai thác triệt để tính năng này, bạn có thể bảo vệ các client của bạn một cách an toàn.

Thứ Hai, 09/04/2007 10:44
31 👨 586
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp