Quản Trị Mạng - 2 từ Windows và security – bảo mật không phải lúc nào cũng tương thích. Trong quá khứ, cuộc tìm kiếm của Microsoft trong việc tạo một hệ điều hành càng dễ quản lý càng tốt đối với người dùng lại đồng nghĩa với việc phải hy sinh chức năng bảo vệ bởi nó rất dễ bị xâm nhập và lây nhiễm. Các vụ tai tiếng của Windows XP về lỗ hổng dễ bị sâu hại máy tính đột nhập là một ví dụ, và Microsoft đã nâng cấp hệ điều hành với một bức tường lửa – firewall. Tuy nhiên, họ lại để nó mặc định tắt.
Sau những lỗ hổng trong các phần mềm của hãng, Vista đã đánh dấu một bước lớn trong bảo mật Windows. Sau đó, Windows 7 tiếp tục phát triển sự cải tiến này khi thêm một số tính năng mới và cùng với việc tăng cường cho các tính năng khác – ví dụ hiển nhiên nhất là hệ thống User Account Control trong Windows Vista đã khiến người dùng phải tắt bỏ, mặc dù điều này có thể khiến hệ điều hành của họ có lỗ hổng để hacker có thể tận dụng, đổi lại thì họ có trải nghiệm bớt khó chịu hơn với hệ điều hành. Trong Windows 7, UAC đã được “tân trang” lại, giảm bớt xâm nhập và nhận biết rõ mối đê dọa hơn để có thể hoạt động hiệu quả hơn.
Những tính năng bảo mật khác của Windows 7 ít rõ ràng hơn, đặc biệt là những tính năng dành cho các doanh nghiệp có quan tâm tới bảo vệ an ninh cho không chỉ một mà toàn bộ mạng máy tính. Trong số những tính năng mới quan trọng nhất là DirectAccess, một sự thay thế cho VPN đối với các máy tính hoạt động trên hệ thống Windows; là tính năng Windows Biometric Framework, chuẩn hóa cách sử dụng vân tay trong các máy quét và các ứng dụng sinh trắc; và AppLocker, nâng cấp phiên bản trước đó của Windows là Software Restriction Policies nhằm hạn chế các phần mềm có thể chạy trên máy tính.
Một tính năng khác đáng chú ý là BitLocker To Go. Tính năng này cho phép mở rộng mã hóa ổ đĩa của BitLocker đối với các ổ cứng cắm ngoài và có phương pháp “tinh lọc” các profile firewall hiện có để tăng khả năng phòng thủ khi người dùng truy cập Internet.
Theo thói quen thông thường, những tính năng này được phổ biến rộng rãi mà không có sự phô trương hay hướng dẫn của hãng. Hãy cùng nhìn qua từng tính năng để có thể biết cách chúng giúp Windows trở nên an toàn hơn.
Chú ý rằng một số tính năng này có sẵn trong tất cả các phiên bản của Windows 7, trong khi một số khác chỉ có trên phiên bản Enterprise hay Ultimate. Hơn nữa, bạn không thể thực hiện đầy đủ một số tính năng trừ khi bạn cập nhật tất cả người dùng vào Windows 7 hoặc ít nhất là một - DirectAccess – có yêu cầu nền mà hầu hết các công ty không có. Tuy nhiên, những tính năng này hoạt động được với các nghệ cũ hơn đối với những người dùng vẫn “kiên định” sử dụng các phiên bản cũ của Windows.
Vì vậy, mặc dù bạn không thể tận dụng ngay lập tức toàn bộ các tính năng mới, nhưng bạn vẫn có thể lên kế hoạch sử dụng cũng như biết rõ hơn về chúng ngay tại thời điểm này. Chúng ta sẽ bắt đầu với những tính năng bạn có thể sử dụng ngay.
Multiple active firewall profiles
Windows 7 cung cấp một cải tiến tuy nhỏ nhưng rất quan trọng từ Vista trong cách quản lý profile firewall. Vista cho phép người dùng cài đặt các profile khác nhau cho công cộng, cá nhân và kết nối miền. Mạng cá nhân có thể là mạng Wi-Fi, riêng về chuẩn WEP hay WPA, dù không đăng nhập nhưng bạn vẫn có thể tin tưởng nó hơn là mạng công cộng hay các quán café. Một miền yêu cầu các xác nhận - mật khẩu, vân tay, thẻ thông minh hoặc các yếu tố kết hợp khác – để có thể đăng nhập.
Mỗi một loại profile có lựa chọn về ứng dụng và kết nối riêng để có thể được phép đi qua firewall. Ví dụ, đối với mạng cá nhân hoặc doanh nghiệp nhỏ, sử dụng Private là bạn có thể cho phép chia sẻ file và máy in, trong khi với mạng sử dụng Public, bạn có thể ngăn cản việc truy cập các file của bạn.
Các profile của firewall hoạt động tốt trừ trường hợp một máy tính được kết nối đồng thời với rất nhiều mạng, ví như Ethernet và mạng không dây. Trong trường hợp này, hệ thống cần phải mặc định sử dụng một profile hạn chế nhất. Tuy nhiên, điều này có thể gây rắc rối, ví như khi kết nối tới một VPN thông qua mạng Wi-Fi , Vista có thể nhận dạng kết nối đồng thời tới cả 2 mạng công cộng và cá nhân và áp dụng profile công cộng cho cả 2.
Tất cả các phiên bản của Windows 7 đều cho phép các máy tính hoạt động một số profile của firewall trong cùng một thời điểm, lưu giữ truy cập và hoạt động của các mạng đáng tin cậy trong khi nó sẽ ngăn chặn những mạng ít đáng tin cậy hơn. Bởi có rất nhiều chức năng truy cập từ xa yêu cầu cài đặt firewall bớt “nghiêm khắc”, giờ đây người dùng có thể làm việc an toàn hơn trong khi vẫn được bảo vệ từ các nguy cơ tấn công bên ngoài mạng.
Windows Biometric Framework
Với việc nhận dạng vân tay ngày càng phổ biến trên máy tính xách tay, nhiệm vụ thiết lập một chuẩn trong việc lưu trữ dữ liệu sinh trắc đã trở nên quan trọng hơn bao giờ hết. Với tính năng Windows Biometric Framework, một chuẩn để lưu trữ dữ liệu vân tay và truy cập nó thông qua tham chiếu giao diện lập trình ứng dụng API. Mặc dù hầu hết các tính năng của hệ thống phụ này chỉ thích hợp với các lập trình viên, có 2 điều quan trọng mà các doanh nghiệp nên biết:
Thứ nhất, trong khi máy quét vân tay chỉ có thể sử dụng để đăng nhập vào một máy tính mà không thể đăng nhập vào một miền của công ty thì Windows Biometric Framework lại có thể đăng nhập miền.
Thứ 2, người dùng có thể lưu tới 10 dấu vân tay, mỗi tay một dấu. Mặc dù hầu hết chúng ta không hề muốn bị mất dấu vân tay, có tới 10 dấu vân tay để sử dụng luân phiên đề phòng trường hợp xấu xảy ra. Ví như bạn bị bỏng khi đang nấu ăn hoặc không để ý bị kẹt tay vào cửa. Trong trường hợp này, bạn sẽ cảm ơn tính năng Windows Biometric Framework khi đã cho phép lưu tới 10 dấu vân tay, bởi bạn không phải chờ ngón tay đã lưu dấu vân tay hồi phục mà vẫn có thể truy cập máy tính của mình.
Dấu vân tay được thêm bằng cách sử dụng Biometric Device, có trong Control Panel của bất kì máy tính chạy hệ điều hành Windows 7, với máy quét dấu vân tay được gắn trước. Từ đó bạn có thể khởi động máy tính và truy cập miền. chú ý rằng bạn sẽ phải đăng nhập với quyền là người quản lý mới có thể thêm hoặc quản lý dấu vân tay trong Windows 7.
BitLocker To Go
Một trong những vấn đề về bảo mật nghiêm trọng nhất mà các doanh nghiệp phải đối mặt ngày nay là việc mất những chiếc di động quý giá có chứa thông tin quan trọng. Windows Vista's BitLocker đã bắt đầu nhấn mạnh vấn đề này bằng cách cho phép người dùng có thể mã hóa toàn bộ ổ cứng của máy tính xách ta. Vì thế, khi bị mất hoặc bị trộm, không ai có thể truy cập thông tin được lưu trong đó. BitLocker To Go thậm chí còn mở rộng các biện pháp bảo vệ tới cả những ổ cứng cắm ngoài.
Được tích hợp trong các phiên bản Windows 7 Enterprise và Ultimate, BitLocker To Go rất dễ sử dụng: phải chuột vào ổ đĩa và chọn Turn on BitLocker để mở một wizard có một loạt các bước để mã hóa ổ đĩa của bạn. chờ cho tới khi quá trình hoạt động thành công, bạn đã có một ổ đĩa được mã hóa. Thời gian đợi phụ thuộc vào tốc độ của máy tính và ổ cứng. Tuy nhiên, tốc độ mã hóa sẽ rơi vào khoảng 20 phút cho một ổ đĩa flash 2GB.
Ngoài ra, ổ đĩa BitLocker To Go sẽ được giải mã bởi mật khẩu hoặc đối với các doanh nghiệp, họ có thể sử dụng thẻ thông minh với các xác nhận khác nhau.
Các ổ đĩa được mã hóa tháo ra được có thể tạo trên phiên bản Enterprise và Ultimate của Windows 7. Tuy nhiên, khi mã hóa một ổ đĩa, bạn có thể đọc và thêm dữ liệu trên ổ này từ bất kì một máy tính nào có chạy hệ điều hành Windows 7. Ngoài ra, bạn có thể cài đặt một ứng dụng reader trên ổ đã được mã hóa, cho phép người dùng đọc các dữ liệu từ máy tính Vista và XP.
Tính năng bảo mật phụ có thể áp dụng ở môi trường doanh nghiệp thông qua quyền người quản lý có thể cho phép người dùng chỉ được lưu dữ liệu trên ổ BitLocker To Go, đề phòng trường hợp người dùng lưu trữ dữ liệu trên ổ cứng không bảo mật. Người dùng Windows Server cũng có thể giữ mật khẩu khôi phục trong một chứng thư bằng cách sử dụng Active Directory. Vì vậy, nếu mật khẩu bị mất hoặc quên có thể khôi phục lại.
AppLocker
Quản lý các ứng dụng người dùng có thể cài đặt hoặc chạy là một cách hiệu quả để duy trì tính ổn định của hệ thống, ngăn chặn malware và bảo vệ việc các ứng dụng ngốn băng thông như BitTorrent truy cập.
Trong các phiên bản trước của Windows, điều này được thực hiện bởi tính năng Software Restriction Policies. Tính năng này có thể áp dụng để ngăn chặn một số phần mềm từ vị trí của bó trong file hệ thống hoặc làm chúng thất bại khi kết nối với mật mã của một ứng dụng đáng tin cậy.
Software Restriction Policies có thể gây một chút rắc rối khi thực hiện và duy trì hiệu quả. Một số chương trình cần cài đặt bên ngoài đường dẫn đặc trưng, đòi hỏi phải tạo một đường dẫn mới. Mặc dù những tính năng này cung cấp khả năng bảo mật cao nhưng lại thất bại mỗi khi chương trình nào đó được cập nhật. Vì vậy, người quản lý IT cần phải duy trì và cập nhật danh sách các rule và hủy chức năng cập nhật tự động của chương trình.
AppLocker, có sẵn trong Windows 7 Enterprise và Ultimate (cũng có trong Windows Server 2008 R2), có thêm một phương pháp mới, linh động trong việc quản lý phần mềm: publisher rule. Publisher rule dựa vào thông tin hồ sơ ký hiệu của chương trình, hiện đang có rất nhiều ứng dụng sử dụng.
Thông tin này chi tiết hơn so với đường dẫn file hay mã lệnh của dữ liệu, cho phép người quản lý có thể tạo các rule phức tạp như cho phép phần mềm chỉ được chạy từ một publisher cụ thể, với tên riêng biệt và tên file cụ thể hay một phiên bản cụ thể để hoạt động. Ví dụ, một rule có thể cho phép bất kì thứ gì từ Adobe có thể chạy hoặc chỉ Photoshop hoặc chỉ những phiên bản hiện nay và phiên bản trong tương lai của Photoshop.
Các rule của AppLocker có thể áp dụng cho các file thực thi, script, chương trình cài đặt hoặc thư viện hệ thống, cho phép người dùng đủ quyền để cài đặt những phần mềm cần thiết hoặc cập nhật mà không cần quyền người quản lý trong khi vẫn ngăn chặn họ việc sử dụng các phần mềm không được phép sử dụng.
Hơn nữa, các rule của AppLocker còn có thể áp dụng cho một số người cụ thể hoặc một nhóm người dùng, một nhóm kế toán hoặc một nhóm thiết kế đồ họa có sử dụng các phần mềm chuyên dụng khác, nhưng với AppLocker, chỉ một số quyền cụ thể được áp dụng cho mỗi nhóm với những hạn chế và quyền lợi khác nhau. AppLocker còn có thể dùng để phân biệt những người dùng khác nhau khi họ sử dụng chung một máy tính.
Tính năng tiết kiệm thời gian thực là khả năng tạo rule tự động từ một máy tính đáng tin cậy. Các quyền có thể chia sẻ và áp dụng toàn cầu đối với mạng sử dụng cài đặt Group Policy của Windows.
Một điều quan trọng cần phải lưu ý là các rule của AppLocker chỉ áp dụng cho những máy tính chạy hệ điều hành Windows 7 với phiên bản Enterprise hay Ultimate. Nếu một số người dùng trong công ty vẫn sử dụng các phiên bản cũ của Windows, bạn cần phải cài đặt Software Restriction Policies. Càng nhiều người dùng nâng cấp lên Windows 7, bạn có thể đồng bộ Software Restriction Policies và dựa vào tính năng AppLocker.
DirectAccess
Được Microsoft quảng cáo là thế hệ tiếp theo thay thế cho VPN, DirectAccess cho phép người dùng Windows 7 Enterprise và Windows 7 Ultimate có thể kết nối trực tiếp với Windows 2008 R2 và các thế hệ server khác trong tương lai. Trong khi người dùng thường quen với kết nối VPN, DirectAccess hoàn toàn dễ hiểu với người dùng cuối: khi máy tính kết nối với Internet, DirectAccess tự động tạo một mạng bảo mật cho mạng doanh nghiệp mà không cần tới bất kì một hành động nào của người dùng, và tự động định tuyến các yêu cầu đối với mạng nội bộ thông qua kết nối này.
Ngoài ra, DirectAccess có một số cải tiến so với kết nối VPN truyền thống trong việc tự động kết nối. Trước tiên, tính năng này sử dụng giao thức Internet IPsec và IPv6 để mã hóa và định tuyến kết nối end to end. Trong khi mã hóa VPN được thực hiện ở máy chủ VPN, DirectAccess có thể giữ mã hóa trong suốt quá trình kết nối đi và đến từ ứng dụng của máy chủ bên trong mạng doanh nghiệp. (DirectAccess hỗ trợ một số giao thức khác để tạo đường dẫn cho kết nối này thông qua mạng không hỗ trợ IPv6 hay IPsec)
Do DirectAccess sử dụng một cổng chuẩn Internet cho lưu lượng lưu thông, nó dễ dàng đi qua firewall mà không cần cấu hình thêm, một điều mà người dùng VPN luôn phải đối mặt.
Một tiện dụng khác của tính năng này là: do kết nối được tạo ra và duy trì tự động, người quản lý có thể liên tục quản lý và cập nhật những máy sử dụng DirectAccess, ngay cả khi người dùng không trực tiếp sử dụng nguồn của doanh nghiệp.
Điều này có nghĩa rằng VPN cần được kiểm duyệt, quét trước khi họ được phép truy cập mạng của doanh nghiệp, một quá trình làm chậm kết nối và hạn chế năng suất làm việc, cũng như chỉ cung cấp cho người quản lý IT một cửa sổ nhỏ trong thời gian quản lý máy truy cập từ xa. Với DirectAccess, các máy tính được cập nhật cùng thời điểm với các máy tính còn lại của mạng doanh nghiệp và được quản lý bất cứ khi nào người dùng muốn truy cập vào mạng doanh nghiệp.
Tuy nhiên, bạn phải chú ý rằng không phải doanh nghiệp nào cũng có thể chuyển ngay sang sử dụng DirectAccess. Hệ thống dựa vào cơ sở hạ tầng mạng cao cấp – bao gồm Windows Server 2008 R2 và IPv6 – mà một số doanh nghiệp chưa nâng cấp, họ sẽ phải mất một vài năm trước khi có đầy đủ các công cụ và kỹ thuật để có thể chuyển hoàn toàn sang sử dụng DirectAccess. Vì vậy, trong thời gian chờ đợi thì bạn có thể dùng kết nối VPN truyền thống.
Dẫu vậy, tính năng này vẫn đưa ra một đại cương cho mạng tương lai, bảo mật, luôn kết nối tới dữ liệu khi cho phép những người kết nối từ xa có thể làm việc như thể họ đang ngồi tại văn phòng chính.
Đối với các doanh nghiệp, Windows 7 giúp các công ty thiết lập sự hợp tác giữa phòng bảo mật IT và người dùng cuối , cho phép nhân viên làm việc trong khi vẫn áp dụng các quyền bảo mật và cập nhật từ mạng. Tất cả những tính năng chia sẻ này giống như một bản giao ước dễ sử dụng, không tốn một chút chi phí cho bảo mật và rất tiện ích cho các doanh nghiệp.