Quản trị mạng – Trong bài này chúng tôi sẽ giới thiệu cho các bạn những yếu tố có liên quan đến bảo mật của chế độ XP Mode trong Windows 7.
Chắc chắn các bạn đã nghe thấy rất nhiều về tính năng XP Mode mới trong Windows 7 – đây là một sự bổ sung của phiên bản mới Virtual PC của Microsoft bằng một máy ảo XP đã được đăng ký miễn phí để có thể sử dụng nhằm chạy các ứng dụng cũ – tuy nhiên có những vấn đề liên quan đến bảo mật của tính năng này mà chúng ta chưa hề biết hết? Chính vì vậy trong bài viết này chúng tôi sẽ giới thiệu cho các bạn cả những điểm mạnh cũng như những điểm yếu (dưới dạng bảo mật) có liên quan đến việc chạy VM đặc biệt này trên máy Windows 7.
Giải thích về XP Mode
Đầu tiên, các bạn cần phải hiểu rằng mặc dù tên của nó là “XP Mode”nhưng đây không phải một chế độ mà Windows 7 có thể chạy. Nó cũng không phải là thứ gì đó được xây dựng bên trong hệ điều hành mà thực sự là một ứng dụng riêng biệt, Windows Virtual PC, chạy một máy ảo đặc biệt (file.vmcx) được cung cấp bởi Microsoft. Những gì đặc biệt về nó là bạn không phải tạo một VM và cài đặt hệ điều hành XP; tất cả những công việc đó đều đã được thực hiện từ trước. Thêm vào đó: bạn cũng không cần phải mua một đăng ký Windows XP mà có thể download miễn phí đã được đăng ký từ trước. Tuy nhiên để có thể download miễn phí đó, bạn cần phải sở hữu một trong những phiên bản sau của hệ điều hành Windows 7: Professional hoặc Ultimate.
Bước đầu tiên trong quá trình chạy “XP Mode” là download và cài đặt ứng dụng Virtual PC của Windows. Sau đó bạn download Windows XP Mode VM. Tại thời điểm này, cả hai download này đều ở trạng thái thử nghiệm và có thể được download từ website của Microsoft.
Lúc này bạn có thể cài đặt các ứng dụng XP trong XP VM – các ứng dụng không chạy trên nền Windows 7 – và chúng sẽ xuất hiện trong menu Start của Windows 7, như thể hiện trong hình 1 bên dưới.
Hình 1: Các ứng dụng bạn cài đặt trong WVPC VM
sẽ xuất hiện trên menu Start của Windows 7.
Tuy nhiên đây chưa phải là những gì thú vị nhất. Các ứng dụng này còn xuất hiện trên desktop của Windows như thể chúng đang chạy trực tiếp trên Windows 7. Khi đó bạn sẽ không thấy desktop XP của máy ảo – trừ khi muốn điều đó. Như thể hiện trong hình 2, nếu bạn kích vào ứng dụng trong menu Start của Windows 7, nó sẽ khởi chạy VM trong chế độ background và mở ứng dụng.
Hình 2: Windows Virtual PC mở ứng dụng XP ảo
Trong hình 1, bạn có thể thấy ứng dụng Corel PhotoPaint 10 cũ đang chạy trong “XP Mode” trên desktop Windows 7, bên phải là ứng dụng Windows 7 (IE8) và không có sự khác biệt nào khi người dùng tương tác với cả hai ứng dụng đó.
Hình 3: Ứng dụng “XP Mode” đang chạy trong desktop của Windows 7
Lưu ý rằng Windows Virtual PC không bị hạn chế trong việc chạy “XP Mode” VM. Bạn có thể cài đặt các hệ điều hành khách khác (Vista, Windows 7) và chạy các ứng dụng tích hợp từ chúng. Đây là một tính năng bảo mật khá thú vị, chính vì vậy chúng tôi sẽ thảo luận nó ở phía dưới.
Trang 2: Các vấn đề bảo mật nào đối với XP Mode
Các vấn đề bảo mật nào đối với XP Mode
Có một số ý kiến cho rằng XP Mode là một thảm họa bảo mật. Tuy nhiên chúng ta hãy đi tìm hiểu thực chất xem vấn đề.
Một số người cho rằng những rủi ro của XP Mode sẽ hủy hoại nhiều tiến trình mà Microsoft đã tạo trong bảo mật những năm qua. Dường như XP Mode về cơ bản phải là một máy tính logic riêng và như vậy nó sẽ không được chia sẻ các thiết lập bảo mật, phần mềm bảo mật và các bản vá lỗi,… của máy chủ Windows 7. Đó là sự thực – tuy nhiên đó cũng là sự thực của bất cứ hệ điều hành khách nào chạy trong một VM trên bất cứ host nào. Một vấn đề nữa là Microsoft không cung cấp các công cụ trợ giúp cho việc quản lý tất cả những vấn đề này. Rõ ràng vì XP Mode VM xuất hiện trên mạng giống như một máy tính riêng biệt, nên nó có thể được quản lý theo cách mà các tổ chức quản lý các máy Windows XP của họ.
Nếu bạn sử dụng XP Mode, lúc này bạn phải quản lý PC nhiều gấp hai lần so với trước, thêm vào đó gánh nặng của XP Mode sẽ làm tăng giá thành và sự phức tạp.
Làm thế nào để XP Mode an toàn hơn?
Phải coi “XP Mode” không phải là một tính năng kỳ diệu trong Windows 7 mà nó chính là một instance thực của Windows XP chạy trong máy ảo và phải được cư xử như vậy cho các mục đích bảo mật. Để bảo đảm cho chúng được an toàn, bạn cần thực hiện theo những yêu cầu dưới đây:
- Bảo đảm có phần mềm anti-virus và anti-malware tương thích được cài đặt trên XP trong VM. Phần mềm bảo mật nội bộ trên máy chủ không bảo vệ được nó.
- Bảo đảm VM có tất cả các nâng cấp bảo mật của XP thông qua các nâng cấp tự động hoặc WSUS.
- Bảo đảm các ứng dụng được cài đặt trong VM phải nhận được các nâng cấp của các hãng phần mềm khi cần.
- Vô hiệu hóa các dịch vụ không cần thiết trên hệ điều hành XP đang chạy trong VM.
Nói tóm lại bạn nên thực hiện theo tất cả các hướng dẫn bảo mật cho Windows XP.
Để quản lý các XP Mode VM, thay đổi hành vi kết nối mạng mặc định trong XP VM từ NAT thành bắc cầu (bridged). Để thay đổi các thiết lập, mở thư mục Virtual Machines (Start | All Programs | Windows Virtual PC | Virtual Machines), kích chuột phải vào file . vmcx trong Virtual Windows XP và chọn Settings. Khi đó bạn sẽ thấy một hộp thoại xuất hiện như trong hình 4.
Hình 4: Bạn có thể thay đổi các thiết lập VM của XP để có sự bảo mật tốt nhất
Sử dụng MED-V để quản lý các máy ảo một cách tập trung
Vấn đề quản lý sẽ trở thành một vấn đề thực sự khi bạn có một số lượng lớn các máy ảo. Các công ty lớn có thể triển khai Microsoft Enterprise Desktop Virtualization (MED-V) và Microsoft Application Virtualization (APP-V) để quản lý cơ sở hạ tầng máy ảo của bạn. MED-V là một phần của Microsoft Desktop Optimization Pack (MDOP). MED-V có thể bổ sung thêm các chức năng quản lý để cho phép bạn có thể tạo, triển khai và nâng cấp các image ảo trong toàn bộ doanh nghiệp.
Với MED-V, bạn có được nhiều sự điều khiển thông minh hơn trên các máy ảo trong tổ chức của mình. Bạn có thể điều khiển các ứng dụng XP nào người dùng có thể sử dụng, điều khiển các thiết lập mạng của VM, thẩm định người dùng trước khi cho phép truy cập vào VM, sử dụng các chính sách công ty và các điều khoản sử dụng cho các VM, thậm chí còn có thể thiết lập ngày hết hạn cho các VM, sau đó chúng sẽ không hiện hữu đối với người dùng. Hành động Client có thể được kiểm tra một cách tập trung.
Với việc ảo hóa ứng dụng lớn, nơi các ứng dụng không được cài đặt trên máy khách, các tổ chức có thể triển khai Microsoft Application Virtualization (APP-V). Các ứng dụng ảo hóa sẽ được stream đến desktop, laptop và máy chủ đầu cuối. Mỗi ứng dụng chạy trong một môi trường ảo riêng biệt nhưng bạn vẫn có thể cut, paste và thực hiện các hoạt động tương tự giữa hai ứng dụng.
Những lợi ích bảo mật của XP Mode
Bên cạnh những khó khăn thách thức về bảo mật mà chúng ta vừa thảo luận cũng có rất nhiều lợi ích từ việc chạy các ứng dụng trong môi trường ảo. Các ứng dụng đó, về thực chất, có thể là được sandbox từ hệ điều hành chủ vì chúng đang chạy trên một hệ điều hành riêng.