Các tính năng bảo mật trong Windows 7

Rob Vamosi

Quản trị mạng - Hai năm sau khi Windows Vista xuất hiện trước công chúng, nhiều công ty vẫn chưa nâng cấp để sử dụng hệ điều hành mới này. Nhiều trường hợp họ chỉ miễn cưỡng trong việc di trú sang Vista, vấn đề này có nguồn gốc từ nhiều vấn đề nhưng phải kể đến trong đó là vấn đề bảo mật.

Chính vì lẽ đó mà Microsoft đã xây dựng một hệ điều hành mới mang tên Windows 7, hiện hệ điều hành mới Windows 7 này đang được cung cấp dưới dạng thử nghiệm (bản beta) và được mong đợi sẽ được phát hành vào cuối năm nay. Trong Windows 7, Microsoft đã bổ sung thêm nhiều tính năng bảo mật, bên cạnh đó các tính năng phổ biến được mở rộng còn các tính năng thân thiện được nâng cao. Trong bài này chúng tôi sẽ giới thiệu cho các bạn một số các cải thiện về bảo mật mà chúng ta mong đợi trong hệ điều hành mới này.

Các công cụ di trú được cải thiện

Microsoft nói rằng Windows sẽ nhanh hơn và dễ dàng hơn trong việc cài đặt để sử dụng trong toàn bộ doanh nghiệp so với các di trú của các hệ điều hành trước. Nhiều thành phần cải thiện đã được biết đến như Dynamic Driver Provisioning, Multicast Multiple Stream Transfer và Virtual Desktop Infrastructure.

Với Dynamic Driver Provisioning, các driver được lưu một các tập trung, bằng các image khác nhau. Các chuyên gia về công nghệ có thể xắp sếp việc cài đặt bởi một tập các BIOS hoặc các ID Plug and Play của phần cứng máy tính. Microsoft cũng cho biết thêm rằng việc giảm số lượng các driver không cần thiết được cài đặt sẽ giúp tránh những xung đột tiềm tàng và sẽ cải thiện được nhiều vấn đề khác trong quá trình cài đặt. Trong Windows 7 cũng như Windows Vista, các chuyên gia CNTT có thể nâng cấp các image hệ thống một cách offline, thậm chí còn có thể duy trì một thư việc các image gồm có các driver, các gói, tính năng hay các nâng cấp phần mềm khác nhau.

Việc cài đặt và triển khai các image cụ thể trong toàn mạng – hoặc thậm chí cài đặt từng image riêng lẻ trên các máy trạm – đều diễn ra nhanh hơn trong Windows 7, để có được điều đó, Microsoft đã bổ sung thêm tính năng mới Multicast Multiple Stream Transfer. Thay vì phải kết nối riêng đến từng máy khách, bạn có thể triển khai các image "broadcast" của máy chủ trong toàn mạng đến các máy khách một cách đồng thời.

Virtual Desktop Infrastructure (VDI), một model triển khai máy trạm khác, cho phép người dùng truy cập vào các máy trạm của họ từ xa, chính vì vậy có thể tập trung được dữ liệu, ứng dụng và hệ điều hành. VDI hỗ trợ các cấu hình Windows Aero, Windows Media Player 11 video, multiple-monitor và sự hỗ trợ microphone cho thoại IP (VoIP) và việc  nhận dạng giọng nói. Công nghệ Easy Print mới cho phép người dùng VDI in trên các máy in cục bộ. Tuy nhiên sử dụng VDI lại yêu cầu một đăng ký đặc biệt từ phía Microsoft và không cung cấp chức năng đầy đủ trên hệ điều hành đã được cài đặt.

Việc bảo vệ tài nguyên công ty

Khi hệ điều hành được cài đặt, các tổ chức có thể bảo vệ tài nguyên của họ bằng việc thẩm định trong quá trình đăng nhập. Windows Vista gom các driver cho các bộ quét dấu vân tay và Windows 7 làm cho các thiết bị trở nên dễ dàng hơn đối với các chuyên gia công nghệ và người dùng trong quá trình thiết lập, cấu hình và quản lý. Windows 7 còn mở rộng sự hỗ trợ thẻ thông minh được cung cấp trong Windows Vista bằng cách cài đặt tự động các driver được yêu cầu để hỗ trợ thẻ thông minh và bộ đọc thẻ không cần sự cho phép của quản trị viên.

Các chuyên gia về công nghệ có thể bảo vệ được cả các nội dung bên trong các phân vùng Windows 7 với BitLocker, đây là một hệ thống mã hóa toàn bộ đĩa cứng của Microsoft. Với Windows Vista, người dùng phải phân vùng lại ổ cứng của họ để tạo một hidden boot partition cần thiết, tuy nhiên Windows 7 sẽ tạo phân vùng một cách tự động khi BitLocker được kích hoạt. Trong Vista, các chuyên gia công nghệ phải sử dụng một khóa khôi phục duy nhất cho mỗi một phân vùng được bảo vệ nhưng Windows 7 lại mở rộng tính năng Data Recovery Agent (DRA) để nhóm tất cả các phân vùng được mã hóa và điều đó giúp chỉ cần một khóa mã cần thiết trên máy tính Windows được mã hóa bởi BitLocker.

BitLocker To Go là một tính năng mới cho phép người dùng chia sẻ các file được bảo vệ bởi BitLocker với những người dùng khác đang sử dụng hệ điều hành Windows Vista và Windows XP. Bộ đọc BitLocker To Go cung cấp sự truy cập “chỉ đọc” và sự đơn giản hóa cho các file được bảo vệ trên các hệ thống không được bảo vệ bởi BitLocker. Để mở khóa các file được bảo vệ, người dùng phải cung cấp mật khẩu thích hợp (hoặc các thông tin cần thiết đối với thẻ thông minh).

Việc điều khiển các ứng dụng

Windows 7 cũng giới thiệu tính năng mới mang tên AppLocker, đây là một tính năng nâng cao cho các thiết lập Group Policy để cho phép các tổ chức chỉ định các phiên bản ứng dụng nào mà người dùng có được sự đồng ý để chạy. Cho ví dụ, một nguyên tắc có thể cho phép người dùng cài đặt Adobe Acrobat Reader phiên bản 9.0 hoặc mới hơn, nhưng nó cũng có thể khóa cài đặt các phiên bản trước đây không có thẩm quyền rõ ràng. AppLocker gồm có một wizard tạo rule làm cho quá trình tạo các chính sách trở nên đơn giản hơn, bên cạnh đó nó cũng có một rule tự động để tạo một danh sách trắng có khả năng tùy chỉnh.

System Restore, thành phần lần đầu được giới thiệu trong Windows ME, nay cũng được nâng cấp trong Windows 7. Nâng cấp này được thể hiện ở chỗ, đầu tiên, System Restore hiển thị một danh sách các file nào đó sẽ được remove hoặc được bổ sung ở mỗi điểm khôi phục. Tiếp đến, các điểm khôi phục hiện hữu trong các backup, cho phép các chuyên gia công nghệ và các người dùng khác có được một danh sách tùy chọn lớn hơn trên một chu kỳ thời gian dài hơn.

Action Center là  một tính năng Control Panel tích hợp và mới, tính năng này cho phép người dùng Windows 7 có được một địa điểm tập trung cho việc tìm kiếm các nhiệm vụ và các thông báo chung dưới các biểu tượng. Action Center gồm có các cảnh báo và các thiết lập cấu hình cho các tính năng đang tồn tại, trong đó phải kể đến Security Center; Problem, Reports và Solutions; Windows Defender; Windows Update; Diagnostics; Network Access Protection; Backup and Restore; Recovery và User Account Control. Các cảnh báo kiểu popup hoàn toàn biến mất trong Windows 7, thay thế vào đó là một biểu tượng nằm trong khay hệ thống (một cờ có dấu X) nhằm cung cấp sự truy cập xuyên suốt đến vấn đề một cách trực tiếp hoặc đến Action Center để có được nhiều thông tin chi tiết hơn.

Có lẽ hình dáng nổi tiếng nhất và cũng gây bực mình nhất của thông báo Windows Vista đến từ tính năng User Account Control (UAC), các cảnh báo quản trị xuất hiện bất cứ khi nào bạn cần cấu hình một thiết lập hệ thống. Trong Vista, có những sự lựa chọn mang tính khắc nghiệt ví dụ như: Endure the messages (chịu đựng các thông báo), hoặc tắt bỏ UAC. Trong Windows 7, bạn có nhiều tùy chọn bổ sung. Một slider bar có thể cấu hình các mức thông báo thích hợp cho máy tính của bạn và UAC mặc định sẽ chỉ thông báo cho bạn khi các chương trình cố muốn thay đổi máy tính của bạn mà thôi.

Cho hiệu suất tốt hơn

Windows Defender, sản phẩm antispyware của Microsoft, cho những cải thiện rõ dệt trong Windows 7. Tuy nhiên Microsoft đã remove công cụ Software Explorer, hãng này khẳng định rằng tiện ích này không ảnh hưởng đến việc phát hiện và trừ khử spyware. Điều đó có thể là một sự thực, tuy nhiên Software Explorer sẽ cho phép bạn xem các chương trình hay các quá trình nào đang chạy, trong đó sẽ gồm có cả các chương trình bạn không biết về chúng hoặc các chương trình bạn muốn. Có lẽ Microsoft sẽ thay đổi lại quyết định cuối cùng của họ trong phiên bản chính thức.

Một tính năng mới khác của Windows 7 đó là Windows Filtering Platform (WFP), một nhóm các API và các dịch vụ hệ thống cho phép các hãng thứ ba có thể nhúng các chương trình mã nguồn của họ và sâu hơn trong các tài nguyên bên trong tường lửa nguyên bản của Windows, điều này đã làm cải thiện hiệu suất của hệ thống. Microsoft nhấn mạnh rằng WFP sẽ là một nền tảng phát triển chứ không phải là một tường lửa đơn thuần, tuy nhiên WFP đang được tạo ra với mục đích khắc phục một số vấn đề tường lửa trong Windows Vista.

Trong Vista, Microsoft đã giới thiệu khái niệm profile cho các kiểu kết nối mạng khác nhau - home, network, public và domain.  Điều này là chưa đủ với những người dùng muốn truy cập từ xa vào mạng VPN của công ty, do một tường lửa đã được thiết lập "home" hoặc "public," và các thiết lập mạng của công ty không được áp dụng ở đây. Windows 7 và WFP có một ngoại lệ cho phép các chính sách đa tường lửa, chính vì vậy các chuyên gia về công nghệ có thể duy trì một tập các rule cho các máy khách từ xa và các  máy khách được kết nối vật lý với mạng của họ. Ngoài ra Windows 7 cũng hỗ trợ Domain Name System Security Extensions (DNSSEC), đây là các giao thức mới được thiết lập nhằm cho phép các tổ chức sự tự tưởng hơn trong khi các bản ghi DNS không được sử dụng.

Các tính năng cho  người dùng di động

Windows 7 có hai tính năng nâng cao được thiết kế cho người dùng di động. Với DirectAccess, những người làm việc di động có thể kết nối với mạng công ty của họ bất cứ thời điểm nào họ có truy cập Internet – không cần đến kết nối VPN. DirectAccess nâng cấp các thiết lập Group Policy và phân phối các nâng cấp phần mềm bất cứ khi nào máy tính (di động) của người dùng có kết nối Internet, dù người dùng có đăng nhập vào mạng công ty hay không. Điều này bảo đảm rằng người dùng di động có thể cập nhật một cách kịp thời các chính sách của công ty. Với BranchCache, một copy dư liệu được truy cập từ một Website mạng nội bộ hoặc từ một máy chủ file sẽ được lưu trữ nội bộ bên trong văn phòng chi nhánh. Từ đó người dùng từ xa có thể sử dụng BranchCache để truy cập vào dữ liệu chia sẻ này thay cho việc phải sử dụng kết nối với văn phòng trụ sở.

Windows 7 cũng cải thiện cả việc thẩm định sự kiện. Những yêu cầu của doanh nghiệp trở nên dễ dàng hơn trong việc thực thi việc quản lý các cấu hình thẩm định, kiểm tra các thay đổi được thực hiện bởi người dùng hoặc nhóm nào đó, bên cạnh đó việc báo cáo được thực hiện thường xuyên hơn. Cho ví dụ, Windows 7 báo cáo tại sao người này được cho phép hoặc bị từ chối truy cập đến các thông tin nào đó.

Thứ Ba, 03/02/2009 14:24
51 👨 3.910
Video đang được xem nhiều