Những điểm mới trong bảo mật của Windows 7

Deb Shinder

Quản trị mạng – Trong bài này chúng tôi sẽ giới thiệu cho các bạn về các tính năng bảo mật của Windows 7 và sự nhận xét đứng hoàn toàn trên quan điểm bảo mật liệu nó có đáng để nâng cấp.

Giới thiệu

Phiên bản beta với các tính năng gần như hoàn tất của Windows 7 đã được Microsoft phát hành vào ngày 9 tháng 1 vừa qua, giới công nghệ đang ồn ào bàn tán về những thay đổi đối với giao diện, tuy nhiên Windows 7 còn những gì dưới vẻ ngoài hào nhoáng đó? Những gì đã được thay đổi sẽ ảnh hưởng như thế nào đối với hệ điều hành và vấn đề bảo mật mạng? Trong bài viết này, chúng tôi sẽ cùng các bạn đi tìm hiểu về các tính năng bảo mật của Windows 7 và đưa ra nhận xét đứng trên quan điểm bảo mật xem liệu chúng có đáng với sự nâng cấp. Chúng tôi sẽ tập trung một cách chi tiết vào những thay đổi về mặt giao diện quản lý bảo mật, những thay đổi về User Account Control, những nâng cao đối với BitLocker, về những tính năng mới như AppLocker và Biometric Framework.

Vấn đề phát sinh trong bảo mật của Vista

Đáp trả lại những phàn nàn rằng Windows không an toàn, Microsoft đã tập trung mạnh vào vấn đề bảo mật khi xây dựng hệ điều hành Windows Vista. Tính năng mã hóa ổ đĩa BitLocker drive, các điều khiển cha, phần mềm chống malware đi kèm (Windows Defender) và những cải tiến trong Windows firewall, Data Prevention Execution (DEP), IE với chế độ bảo vệ, bảo vệ dịch vụ và các tính năng quản lý số, nâng cấp lên Crypto API, Network Access Protection (NAP) client, những cải thiện về Encrypting File System (EFS), các chính sách hạn chế phần mềm và một loạt các nâng cao về bảo mật được giới thiệu trong Vista. Service Pack 1 đã được thêm vào một số các cải thiện có liên quan đến bảo mật, chẳng hạn như thẩm định BitLocker, bộ tạo số giả ngẫu nhiên Random Number Generator (RNG) cũng được thiết kế lại hay việc ký các file Remote Desktop Protocol (RDP),…

Mặc dù vậy tính năng bảo mật mà hầu hết người dùng thông báo là User Account Control (UAC), tính năng dành cho tất cả các tài khoản người dùng, gồm có các tài khoản quản trị, chạy trong chế độ người dùng chuẩn (standard user) một cách mặc định và yêu cầu nâng quyền khi cần đến các đặc quyền cao hơn. Bản tính của UAC cùng với tính năng bảo vệ máy trạm Secure Desktop nhằm ngăn chặn malware truy cập vào máy tính của bạn bằng các nhắc nhở về quyền quản trị nhưng cũng làm bực mình khi chúng xuất hiện quá nhiều và trở thành một sự hạn chế cho Vista.

Thách thức đặt ra cho nhóm Windows 7 là làm thế nào để hệ điều hành này được an toàn hơn Vista trong khi đó sự bảo mật tỏ ra “trong suốt” hơn đối với người dùng.

Security Center và Action Center

Security Center, truy cập thông qua Control Panel và dự định cung cấp một location tập trung để quản lý các thiết lập có liên quan đến bảo mật, đã được giới thiệu trong Windows XP SP2 và tiếp tục trong Vista. Với Windows 7, sự tập trung này mang tính cao hơn. Security Center bị loại bỏ và một Action Center được sử dụng để thay thế cho nó.

Hình 1: Action Center tập trung nhiều nhiệm vụ quản trị mang tính bảo mật

Các thiết lập UAC linh hoạt hơn

Trong Vista, bạn có thể vô hiệu hóa UAC thông qua Group Policy, tuy nhiên đây không phải là một giải pháp hữu hiệu vì nó bỏ mặc bạn và tạo lỗ hổng cho kẻ tấn công khai thác. Trong Windows 7, bạn có thể thiết lập UAC để nâng quyền mà không cần nhắc nhở, đây là một ý tưởng được phát triển hơn. Các phiên bản Home của Vista không có bộ soạn thảo Group Policy chính vì vậy rất khó khăn cho bạn trong việc chỉnh sửa registry để thực hiện thiết lập UAC. Microsoft đã cải tiến và làm cho nó trở nên dễ dàng hơn nhiều trong việc điều khiển hành vi của UAC trong Windows 7.

Lưu ý:
Các quản trị viên CNTT sẽ bớt căng thẳng trong việc biết người dùng sẽ không thể thay đổi các thiết lập UAC trừ khi họ có các đặc quyền quản trị viên.

Trong phần panel bên trái của Action Center, có một tùy chọn mang tên User Account Control Settings. Hành vi nhắc nhở của UAC được điều chỉnh thông qua một slider bar với bốn vị trí có thể lựa chọn:

  • Always Notify: Bạn sẽ nhận được các nhắc nhở của UAC khi cài đặt phần mềm hoặc thực hiện các thay đổi đối với hệ thống.
  • Notify Only When Programs Try to Make Changes: Bạn sẽ nhận được các nhắc nhở nếu một chương trình nào đó yêu cầu các đặc quyền nâng cao, tuy nhiên sẽ không khi bạn thực hiện các thay đổi đối với các thiết lập của Windows (mặc định).
  • Notify Only When Programs Try to Make Changes (Do Not Dim the Desktop): Giống như mặc định ngoại từ Secure Desktop bị vô hiệu hóa trong khi nhắc nhở.
  • Never Notify: Bạn không được nhắc nhở khi thay đổi các thiết lập Windows hoặc khi cài đặt phần mềm mới (không được tiến cử sử dụng)

Hình 2: Một slider bar cho phép bạn điều khiển UAC nhắc nhở bạn như thế nào trong
Windows 7

Sự nâng cao trong BitLocker

BitLocker, một sản phẩm có trong Vista phiên bản Enterprise và Ultimate, cho phép bạn mã hóa toàn bộ các phân vùng bằng AES, sử dụng Trusted Platform Module (TPM) chip có trong một số máy tính hoặc USB key. Tính năng này nhằm ngăn chặn việc khởi động vào hệ điều hành hoặc truy cập dữ liệu đã được mã hóa một cách trái phép (cho ví dụ, việc cài đặt một instance khác của hệ điều hành và khởi động trong đó). Nó là một công cụ rất hữu dụng cho các hệ thống di động vì nguy cơ mất dữ liệu lớn hơn.

Trong Vista, BitLocker ban đầu chỉ được sử dụng để mã hóa phân vùng mà ở đó hệ điều hành được cài đặt. Service Pack 1 có bổ sung thêm tính năng mã hóa nhiều phân vùng đĩa cố định, tuy nhiên bạn không thể sử dụng nó để mã hóa các ổ đĩa ngoài. Trong Windows 7, BitLocker đã có những cải tiến nâng cao để hỗ trợ mã hóa cho các ổ đĩa ngoài và các thiết bị nhớ flash. Tính năng này hiện được mang tên “BitLocker to Go”. Đây là một tính năng được rất nhiều nhiều công ty chờ đợi vì lưu trữ các dữ liệu nhạy cảm trên các USB key đang dần trở nên phổ biến.

Lưu ý:
Bạn cũng có thể sử dụng một chính sách yêu cầu cho các thiết bị ngoài có sự bảo vệ BitLocker trước khi người dùng ghi dữ liệu vào chúng.

BitLocker được quản lý thông qua một applet trong Control Panel, xem thể hiện trong hình 3.

Hình 3: Trong Windows 7, bạn có thể sử dụng mã hóa BitLocker, remove các ổ đĩa cũng như fix chúng.

Bạn có thể chọn cách sử dụng một mật khẩu nào đó để mở đĩa, hoặc có thể sử dụng thẻ thông mình và PIN, xem thể hiện trong hình 4.

Hình 4: Khi mã hóa một đĩa bằng BitLocker, bạn có thể sử dụng mật khẩu hoặc thẻ thông minh để mở Internet

Bạn cũng có thể thiết lập một khóa khôi phục để có thể mở thiết bị của mình nếu quên mất mật khẩu. Khóa khôi phục có thể được lưu vào file hoặc được in hoặc lưu vào một vùng an toàn nào đó (hoặc cả hai). Nó có thể được thực hiện một cách nhanh chóng, phụ thuộc vào kích thước của ổ đĩa. Khi thực hiện sẽ có một thanh bar thể hiện tiến trình được thực hiện như trong hình 5.

Hình 5: Thanh bar quá trình giúp bạn nắm được thông tin trong tiến trình mã hóa

Để có thêm thông tin chi tiết về BitLocker và BitLocker to Go trong Windows 7, bạn sẽ tham khảo tài liệu sau.

AppLocker

Windows 7 còn có một chốt chặn khác đó là AppLocker, đây là một tính năng mới của Group Policy. Tính năng mới này cho phép các quản trị viên có thể điều khiển các phiên bản của các ứng dụng mà người dùng có thể cài đặt và sử dụng. Điều này làm cho bạn hoàn toàn có thể ngăn chặn người dùng cài đặt và chạy các phiên bản của các ứng dụng cũ hơn có chứa các lỗ hổng về bảo mật.

Các trong phiên bản trước đây của Windows có sử dụng Software Restriction Policies để điều khiển chương trình nào mà người dùng có thể chạy. Tuy nhiên AppLocker đã cải thiện để người dùng cấu hình một cách dễ dàng hơn thông qua ba kiểu rule: Path, File Hash và Publisher. Rule Publisher thay thế cho Certificate Rules trong SRP và cho phép bạn có thêm khả năng linh hoạt và nhiều tùy chọn. Chúng cũng khó khăng hơn để có thể bị đánh lừa.

Để có thêm thông tin chi tiết hơn về AppLocker, bạn hãy tham khảo tại đây.

Framework sinh trắc học (Biometric Framework)

Trong Vista, nếu muốn sử dụng đăng nhập theo vân tay, bạn phải sử dụng phần mềm được cung cấp bởi hãng sensor nhận dạng vân tay. Một tính năng mới trong Windows 7 là Biometric Framework có thể cung cấp sự hỗ trợ một cách bẩm sinh cho các thiết bị hỗ trợ dấu vân tay và làm cho các chuyên gia phát triển trở nên dễ dàng hơn khi đặt vấn đề bảo mật sinh trắc học vào các ứng dụng của họ. Bạn sẽ thấy một applet mới trong Control Panel có tên gọi Biometric Devices được sử dụng để quản lý dấu vân tay, xem thể hiện trong hình 6.

Hình 6: Bạn có thể quản lý các thiết bị sinh trắc học thông qua Control Panel

Các thiết lập có thể được điều chỉnh để cho phép người dùng đăng nhập vào Windows hoặc vào miền bằng thông qua các thiết bị sinh trắc học.

Lưu ý:
Lúc này, các bộ các biến vân tay hiện chỉ là các thiết bị sinh trắc họ được hỗ trợ bởi Windows Biometric Framework.

Windows Biometric Service (WBS) là một phần nằm trong framework cho phép quản lý các bộ đọc dấu vân tay và thực hiện như một I/O proxy giữa các ứng dụng khách và thiết bị sinh trắc học, chính vì vậy các ứng dụng không thể truy cập trực tiếp vào dữ liệu sinh trắc học. Từ đó bảo vệ người dùng một cách an toàn hơn.

Để có thêm thông tin chi tiết về WBS, bạn hãy xem thêm tài liệu ở đây.

Kết luận

Với Windows 7, quả thực Microsoft đã tiếp tục những cố gắng của mình nhằm chung cấp một hệ điều hành mới an toàn hơn trong khi vẫn lắng nghe người dùng đưa ra những nhận xét của mình về hệ điều hành mới này. Lúc này, nhóm phát triển Windows 7 đã cải thiện được một số tính năng bảo mật từ các hệ điều hành trước dưới bối cảnh về kinh nghiệm người dùng, kinh nghiệm của quản trị viên và các mức bảo mật được thực thi. Đối với những người dùng doanh nghiệp và các quản trị viên mạng, thì những nâng cao về sự bảo mật trong Windows 7 quả thực rất đáng để nâng cấp.

Thứ Hai, 16/02/2009 13:02
33 👨 2.249
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp