Derek Melber
Chúng tôi không thể không đồng ý nếu ai đó sợ chuyển từ hệ điều hành Windows hiện hành đối với phần lớn người dùng sang hệ điều hành mới Windows Vista. Có thể chúng ta đã từng nghe và đã thấy một số câu chuyện từ các nâng cấp hệ điều hành trong quá khứ. Các ứng dụng không làm việc, các driver không có sẵn, người dùng không thích nghi tốt,… Nhưng đó chỉ là một số vấn đề nhỏ mà hệ điều hành mới Vista gặp phải. Bên cạnh những vấn đề đó còn có rất nhiều lý do bảo mật đầy thuyết phục khiến bạn phải chuyển sang hệ điều hành mới này. Trong thực tế, chúng tôi cũng khuyên các bạn nên chuyển sang hệ điều hành này ngay lập tức với các tính năng ưu việt của nó. Trong bài này chúng tôi sẽ mô tả về 5 lý do bảo mật để các bạn có thể nhận ra trong hệ điều hành mới này và tự tin chuyển sang không một chút lưỡng lự.
UAC cho người dùng chuẩn
User account control (UAC) đã được sử dụng rất nhiều và được thay đổi tên trong suốt giai đoạn Beta của Windows Vista. Những mục tiêu cho việc giải quyết các vấn đề của người dùng được nâng lên và đã có các kết quả đáng kể. Nếu mục tiêu của bạn đối với UAC là để nhằm mục đích giải quyết lỗi LUA (Least privilege user access - truy cập với quyển tối thiểu) thì bạn nên tiếp tục với mục số hai. UAC không giải quyết lỗi LUA. Nếu bạn không quen với lỗi LUA, nó là vấn đề bị gây ra bởi các ứng dụng mã nghèo bắt buộc người dùng phải là quản trị viên nội bộ để chạy các ứng dụng thì đã có một số bản vá cho lỗi LUA.
Những gì UAC thực hiện cho người dùng là bảo vệ họ chống lại malware, adware và các ứng dụng mã độc khác chạy trong chế độ background. Tất cả chúng ta đều biết rằng người dùng hầu như sẽ kích vào mọi nút radio, đọc mọi email và cài đặt các ứng dụng “vui nhộn hoặc hài ước”. UAC sẽ có sẵn để giúp các bạn bảo vệ được máy tính của mình. Mục đích chính của UAC là bất kỳ hành động nào cần đến quyền quản trị viên sẽ đều nhắc nhở người dùng về các khả năng cần thiết. Nếu người dùng không phải là một quản trị viên thì nhiệm vụ đó sẽ không thể được thực hiện.
Nhắc nhở người dùng ở đây sẽ là một nhắc nhở hỏi về các quyền của một quản trị viên như thể hiện trong hình 1 bên dưới.
Hình 1: UAC nhắc người dùng phải có các khả năng quản trị viên
Nếu người dùng không phải là quản trị viên nội bộ thì hộp thoại này sẽ không được cấu hình. Khi đó hai sự thay đổi sẽ không được cung cấp. Đầu tiên là cung cấp cho người dùng các phẩm chất quản trị viên nội bộ. Nếu thực hiện điều này, bạn sẽ cho phép người dùng có được truy cập quản trị viên nội bộ, điều chẳng hơn gì việc cho người dùng có được sức mạnh quản trị tài khoản. Thứ hai sẽ là có quản trị viên đến và đưa vào các thông tin cho người dùng để thực hiện nhiệm vụ, cũng không lý tưởng. Hãy hình dung một thế giới với hơn 10.000 người dùng cần một quản trị viên “vật lý” để nhập vào các phẩm chất cần thiết. Điều này sẽ gây ra tình trạng lộn xộn lớn.
Giải pháp cho vấn đề này là phải có được báo cáo của người dùng rằng họ không thể cài đặt ứng dụng “cần thiết” thông qua một số thủ tục. Sau đó nhân viên CNTT mới có thể cung cấp giải pháp để cho phép người dùng truy cập vào ứng dụng. Các giải pháp ở đây gồm có việc sử dụng Group Policy, Specops Deploy,.. để cài đặt ứng dụng.
UAC không chỉ bảo vệ người dùng cài đặt các ứng dụng hoặc các widget nội bộ mà nó còn bảo vệ họ chống lại các tấn công đến từ Internet. Trên Internet có rất nhiều Website có thể lén lút phân phối và thực thi các phần mềm mã độc. Tuy nhiên đối với Windows Vista và UAC, máy tính của bạn sẽ luôn nhận dạng được bất cứ hành động nào đang xảy ra đối với các file hệ thống hoặc registry. Người dùng của bạn sẽ được thông báo khi một sự thay đổi nào đó được kích hoạt bởi website hay ứng dụng có chứa mã độc nào đó.
UAC cho quản trị viên
UAC là một giải pháp tốt cho người dùng, như một giải pháp lý tưởng cho các quản trị viên. Nó gộp bất cứ ai là thành viên của nhóm quản trị viên nội bộ đối với desktop trong một vấn đề. Với những người dùng này, sự bảo vệ chống lại những kẻ tấn công là vô cùng quan trọng. Nếu bạn là một quản trị viên, nội bộ hoặc miền, thì cần phải bảo vệ được máy tính cũng như mạng của bạn.
Các quản trị viên nội bộ có thể được bảo vệ để chống lại các phần mềm mã độc như malware, adware, hay các hành động không thích đáng từ các ứng dụng web. Tuy vậy, sự khác biệt ở đây chính là quản trị viên nội bộ có quyền truy cập mức quản trị viên… trừ khi họ sử dụng UAC!
Một sự thực thú vị của UAC là, dù ai đăng nhập vào hệ thống, dù là người dùng với các đặc quyền Enterprise Admins, thì khi họ đăng nhập vào máy tính Windows Vista sẽ đều được coi là người dùng chuẩn. Điều này sẽ diễn ra cho tới khi có một nhiệm vụ nào đó yêu cầu các đặc quyền quản trị viên được kích hoạt. Trong trường hợp này, một hộp thoại sẽ xuất hiện yêu cầu bạn cho phép hoàn tất nhiệm vụ, xem thể hiện trong hình 2.
Hình 2: UAC nhắc quản trị viên về sự cho phép chạy một nhiệm vụ
Sự khác nhau giữa hộp thoại này và một một thoại cho người dùng là không có các phẩm chất được yêu cầu. Người dùng đã đăng nhập vào máy tính Windows Vista “là một quản trị viên”! Vì vậy, họ sẽ cho phép hệ thống thực hiện nhiệm vụ yêu cầu các đặc quyền nâng cao. Điều này có nghĩa rằng cho đến lúc này và cho tất cả các nhiệm vụ họ vẫn là một người dùng chuẩn. Họ chỉ được cho phép các đặc quyền nâng cao nếu đồng ý những tiêu chuẩn nâng đặc quyền của UAC.
Điều này có nghĩa rằng không có gì xuất hiện đối với các file hệ thống hoặc registry mà người dùng biết về hành động này. Nó sẽ bảo vệ quản trị viên tránh được tình trạng tất cả các ứng dụng muốn chạy ẩn trong máy.
Một ưu điểm khác mà nó cung cấp là các tài khoản dual-admin sẽ không còn ở đây mà thay vào đó là hai tài khoản được yêu cầu cho quản trị viên miền. Một tài khoản bị hạn chế, các đặc quyền của người dùng chuẩn. Tài khoản này được sử dụng cho các nhiệm vụ thông thường cần được thực hiện hàng ngày như kiểm tra email, viết memo và các nhiệm vụ khác của các nhân viên. Tài khoản kia có các đặc quyền quản trị viên. Tài khoản này được sử dụng cho các nhiệm vụ mạng yêu cầu đến các đặc quyền mức quản trị hệ thống. Điều này có thể gây ra một số thay đổi trong Active Directory, DNS, router, ... Sự tách biệt các nhiệm vụ sẽ bảo vệ được mạng và desktop người dùng tránh được các tấn công.
Tất cả các tham số đo bảo mật này đều gộp chung vào ưu điểm trong việc bảo vệ máy tính chống lại các ứng dụng, malware, ad-ware,.. muốn truy cập vào registry, các file hệ thống và các vùng được vảo vệ khác của máy tính một cách lén lút. Những cố gắng truy cập này sẽ vẫn được thực hiện nhưng vì quản trị viên chỉ là một người dùng chuẩn nên các cố gắng đó sẽ thất bại và hộp thoại sẽ xuất hiện, yêu cầu về các điều khoản cho nó.
Thiết lập lại mật khẩu quản trị viên nội bộ
Kết hợp với những ưu điểm mà UAC cung cấp, khi bạn sử dụng Windows Vista và ít nhất Windows Server 2008 domain controller, bạn sẽ có được các thiết lập Group Policy mới. Các thiết lập mới này nằm trong kiểu thiết lập chính sách mới có tên gọi là Group Policy Preferences.
Group Policy Preferences bổ sung thêm 3000 thiết lập và một số trợ giúp cho việc bảo mật, nơi không có công cụ khác thực hiện trước đó. Hai thiết lập bảo mật chính mà Preferences kiểm soát ảnh hưởng tới SAM nội bộ của các máy trạm Windows Vista.
Đầu tiên là khả năng thiết lập lại mật khẩu quản trị viên, thông qua GPO. Thiết lập này khá đơn giản, như thể hiện trong hình 3. Ưu điểm đích thực của thiết lập này là nó sử dụng trong suốt quá trình refresh background của Group Policy. Với ưu điểm này, bạn hoàn toàn có thể áp dụng.
Hình 3: Group Policy Preference kiểm soát mật khẩu quản trị viên nội bộ
Điều khiển thành viên nhóm quản trị viên nội bộ
Thiết lập thứ hai mà Group Policy Preferences cung cấp kiểm soát là thành viên của nhóm quản trị viên nội bộ. Ở đây, sự kiểm soát chính là remove tài khoản người dùng từ một nhóm quản trị viên nội bộ và để trợ giúp trong khi chuyển Least Privilege User Access (LUA).
Ở đây, các thiết lập chính sách chỉ là các hộp kiểm như thể hiện trong hình 4 bên dưới.
Hình 4: Group Policy nội bộ được sử dụng để remove người dùng khỏi nhóm quản trị viên
Giống như thiết lập cho mật khẩu Administrator, thiết lập này cũng sử dụng trong quá trình refresh background của Group Policy. Với áp dụng hai thiết lập này, sự bảo mật của máy tính Vista của bạn sẽ tăng lên một cách rõ rệt với mỗi chu kỳ refresh Group Policy 90 phút một lần.
Sự bảo mật của tường lửa nâng cao
Windows 2000 và Windows XP đã giới thiệu một tường lửa đáp ứng được một số nhu cầu như không phải tất cả. Kết hợp với Firewall, Windows XP cũng đã cung cấp khả năng sử dụng các chính sách IPSec. Tuy nhiên vấn đề với các giải pháp này là nó quá khó để kết hợp cả hai, vì các kỹ thuật khá phức tạp khi cấu hình, đặc biệt là IPSec.
Giờ đây, với Vista, bạn có Windows Firewall ưu việt hơn nhiều với sự kết hợp cả hai công nghệ đó với nhau. Advanced Security của Windows Firewall mang đến cho bạn sự kiểm soát cả về lưu lượng gửi đến và gửi đi. Các cổng, các dịch vụ và ứng dụng có thể được kiểm soát thường xuyên và dễ dàng. Hình 5 minh chứng cho một hộp thoại kiểm soát các rule gửi đến.
Hình 5: Bảo mật nâng cao cho rule gửi đến của tường lửa
Kết luận
Windows Vista cung cấp thêm một số đặc tính quan trọng và nhiều tham số bảo mật đang để bạn cân nhắc và sử dụng. Nếu là một quản trị viên, bạn nên chuyển sang Windows Vista với nhiều lý do. Lý do đơn giản trong đó là UAC của Windows Vista mang đến bạn một giải pháp để có thể xử lý LUA cho các quản trị viên. Bên cạnh đó, với người dùng chuẩn, UAC và các điều khiển bảo mật khác còn mang đến cho các bạn các mức bảo mật cao hơn như một nền tảng cho việc hoàn tất LUA đối với máy trạm của người dùng chuẩn.