Professional Documents
Culture Documents
(123doc) - Co-Che-An-Toan-Tren-Windows
(123doc) - Co-Che-An-Toan-Tren-Windows
Bảo mật trên Windows luôn là vấn đề được các nhà phát triển đặc biệt quan tâm,
đây được xem là hệ điều hành thông dụng nhất và cũng là cái đích để tin tặc dòm ngó.
Trong quá trình phát triển hơn 30 năm của Microsoft với nhiều phiên bản đã được phát
hành, vấn đề bảo mật cũng phát triển qua từng thời kì, có thể xem xét qua một số thời
kì như sau:
1. Khởi đầu cho vấn đề bảo mật
Hệ điều hành thế hệ đầu tiên phổ biến là MS-DOS, dễ sử dụng trên máy tính
với một người dùng mà không cần kết nối mạng, không có tính năng bảo mật và các
khái niệm như virus máy tính, hacker còn khá xa lại với người dùng. Tuy nhiên, sau
khi việc xuất hiện của phiên bản Windows 95 có vấn đề rủi ro cao trong trình duyệt
web Internet Exporer và nền tảng Active X. Đây cũng xem là thởi điểm khởi đầu
cho vấn đề bảo mật. Các hacker đã lợi dụng lỗ hổng bảo mật trong phần mềm Back
Orifice của Microsoft để chiếm quyền kiểm soát máy tính từ xa.
Tiếp sau Windows 95, phiên bản Windows NT 4.0 được giới thiệu năm 1996,
đi kèm với nó là lỗ hổng bảo mật cho phép các tin tặc có thể chiếm quyền quản lý
hệ thống máy tính. Từ đó, khi người dùng truy cập internet sẽ bị chuyển hướng tới
những trang web có nội dung xấu. Ngoài ra còn một số lỗ hổng nghiêm trọng buộc
Microsoft phải dùng cung cấp các bản vá, có những lỗi rất nặng không thể sửa chữa,
buộc phải tiến hành lập trình mới các phần mềm trên hệ điều hành.
Khi internet trở nên phổ biến hơn thì bảo mật thông tin người dùng là rất cần
thiết. Tuy nhiên, với máy tính chạy hệ điều hành Windows 98, 95 có thể bị đánh sập
toàn bộ hệ thống nếu truy cập vào một số trang web chứa mã độc hay mở e-mail từ
tài khoản Hotmail hoặc một dịch vụ webmail nào đó. Ngoài ra, có một vấn đề liên
quan tới rò rỉ thông tin cá nhân đối với máy tính cài Windows 98 đó là những văn
bản được tạo từ hai ứng dụng văn phòng là Word và Exel sẽ được gửi tự động đến
Microsoft trong quá trình đăng ký tự động của Windows98. Điều này sẽ tạo điều
kiện thuận lợi cho tin tặc chặn và đánh cắp thông tin trong văn bản đó. Trong khi
các dòng Windows 9x được cung cấp tuyd chọn có các thông tin nhiều người dùng,
chúng không có khái niệm về quyền truy cập, và không cho phép truy cập đồng thời,
chứng tỏ đây không phải là hệ điều hành đa người dùng thực sự. Ngoài ra các hệ
điều hành này chỉ thực hiện bảo vệ bộ nhớ một phần. Đây chính là một điểm trong
sự thiếu an toàn.
Không dừng lại ở đó, trong phiên bản Windows 2000 phải đối mặt với một
loạt những vấn đề bảo mật, đặc biệt đó là sự tấn công của những siêu “virus” như:
Melissa, IloveYou, Blaster, Code Red và Nimda…
Từ khi hệ điều hành windows trở nên phổ biến và thông dụng với nhiều người dùng
thì nhu cầu bảo vệ tính toàn vẹn của hệ thống xuất hiện. Hệ thống phải sử dụng nhiều kỹ
thuật bảo vệ hiện đại để tăng sự tin cậy, ngăn ngừa tác hại do phá hoại. Bảo vệ là vấn đề
nội bộ trong quá trình hoạt động, chương trình phải tuân thủ chính sách sử dụng tài nguyên.
Cơ chế bảo vệ làm tăng tính tin cậy bằng cách phát hiện lỗi tiềm ẩn tại giao diện giữa các
hệ thống con. Phát hiện sớm để tránh được trường hợp lỗi tại hệ thống con này ảnh hưởng
xấu đến hệ thống con khác. Tài nguyên được bảo vệ không bị lạm dụng bởi người dùng
chưa kiểm chứng, hoặc không có quyền truy cập. Hệ thống bảo vệ cung cấp phương thức
để phân biệt giữa truy cập được phép và truy cập trái phép.
Bản chất của các cơ chế, nguyên lý an toàn và bảo mật trên Hệ điều hành Windows
đó là đảm bảo an toàn, bảo mật cho hệ thống và người dùng.
1. An toàn hệ thống (Security)
Bảo vệ hệ thống (protection là một cơ chế kiểm soát việc sử dụng tài nguyên của các
tiến trình hay người sử dụng để đối phó với các tính huống lỗi có thể phát sinh từ
trong hệ thống. Trong khi đó khía niệm an toàn hệ thống (security) muốn đề cập đến
mức độ tin cậy mà hệ thống duy trì khi phải đối phó không những với các vấn đề nội
bộ mà còn cả với những tác hại đến từ môi trường bên ngoài.
Các vấn đề về an toàn hệ thống
Hệ thống được gọi là an toàn nếu các tài nguyên được sử dụng đúng như quy
ước trong mọi hoàn cảnh. Kém may mắn là điều mà hiếm khi đạt được trong thực
tế. Thông thường, an toàn bị vi phạm vì các nguyên nhân vô tình hay cố ý phá hoại.
Việ chóng đỡ các phá hoạt cố ý là rất khó khăn và gần như không thể đạt hiệu quả
hoàn toàn. Bảo đảm an toàn hệ thống ở cấp cao chống lại các tác hại từ môi trường
ngoài như hỏa hoạn, mất điện, phá hoại cần được thực hiện ở 2 mức độ vật lý (trang
bị các thiết bị an toàn cho vị trí đặt hệ thống) và nhân sự (chọn lọc cẩn thận những
nhân viên làm việc trong hệ thống). Nếu an toàn môi trường được đảm bảo khá tốt,
an toàn của hệ thống sẽ được duy trì tốt nhờ các cơ chế của hệ điều hành (với sự
trợ giúp của phần cứng).
Lưu ý rằng nếu bảo vệ hệ thống có thể đạt độ tin cậy 100%, thì các cơ chế an toàn
hệ thống được cung cấp chỉ hy vọng ngăn chặn bớt các tình huống bất an hơn là
đạt đến độ an toàn tuyệt đối.
Kiểm định danh tính (Authentication)
Để đảm bảo an toàn, hệ điều hành cần giải quyết các vấn đề chủ yếu là kiểm
định danh tính (authentication). Hoạt động của hệ thống phụ thuộc vào khả năng
xác định các tiến trình đang xử lý. Khả năng này, đến lượt nó, lại phụ thuộc vào
Windows Linux
Độ tin cậy kém là một trong những hạn Linus nổi tiếng về độ tin cậy cao của nó.
chế lớn nhất của hệ điều hành này, nó Những server chạy trên linux đều rất ổn
gây rất nhiều khó khăn cho người sử định, có thể hoạt động trong thời gian
dụng. Hầu như tất cả những ai dùng dài. Tuy nhiên khả năng truy xuất các
windows cũng đã từng một lần rơi vào loại đĩa cứng là không đồng bộ có thể
tình cảnh “Blue Screen of Death”. Hệ gây nguy hại đến dữ liệu nếu xảy ra sự
điều hành này sử dụng rất nhiều tài cố.
nguyên khiến việc duy trì sự ổn định lâu
dài là rất khó khăn. So với Linux thì nó
tỏ ra ưu thế hơn ở việc tải dữ liệu.
Windows cung cấp các tùy chọn bảo Tính an toàn và bảo mật của linux được
mật rất phong phú, ngoài ra có chương kiểm tra và xác nhận bởi hàng triệu
trình ghi nhận, thống kê các tác vụ hợp người dùng và các chuyên gia trên toàn
lệ. Firewall cũng là một tấm chắn khá thế giới. Bởi vậy các lỗ hổng sẽ nhanh
tin cậy so với các phần mềm khác trên chóng được khắc phục.
thị trường Việc phân quyền chặt chẽ khiến việc
Microsoft thường cho rằng sản phẩm đọc ghi sửa xóa file vô cùng khó khăn
của họ an toàn về vấn đề bảo mật nhưng hơn so với Windows.
họ không đưa ra một sự đảm bảo nào. Firewall của Linux là một phần của hệ
Windows là phần mềm mã nguồn đóng, thống và nó rất đang tin cậy.
người dùng không thể xem xét mã Tuy nhiên, Linux chưa có chương trình
nguồn của windows, do đó không có thống kê hệ thống ghi nhận và phát hiện
cách nào để tự khắc phục những lỗ hổng các tác vụ không hợp lệ một cách
bảo mật của nó. Chỉ có nhóm chuyên chuyên nghiệp
gia của Microsoft mới có thể làm điều Virus là phần mềm do con người tạo ra,
đó. nhưng nếu nói Linux miễn nhiễm với
virus thì hơi quá. Thật sự thì có ít hacker
tấn công vài Linux. Số lượng Worm,
Troijan ở Linux ít hơn nhiều và gây hại
không đáng kể so với Windows.
Trong Windows 10, User Account Control đã bổ sung một số cải tiến .
Tích hợp với giao diện quét Antimalware (AMSI). AMSI quét tất cả
các yêu cầu độ cao UAC cho phần mềm độc hại. Nếu phát hiện phần
mềm độc hại, đặc quyền quản trị viên sẽ bị chặn.
Khi bạn được nhắc nhở để nhập các thông tin quan trọng hoặc nâng cấp một
chương trình bắt đầu bằng Windows 10 Insider Preview Build 14328, bạn sẽ
nhận thấy hộp thoại hiện có giao diện mới và hiện đại để phù hợp với ngôn ngữ
thiết kế được sử dụng trên Windows 10. Và bây giờ khi được nhắc Nhập thông
tin xác thực, bạn có thể chọn đăng nhập bằng Windows Hello, mã PIN, chứng
chỉ.
Hướng dẫn này sẽ cho bạn thấy làm thế nào để thay đổi cài đặt Kiểm soát Tài
khoản Người dùng (UAC) để biết khi nào được thông báo về những thay đổi đối
với máy tính của bạn trong Windows 10. Bạn phải đăng nhập với tư cách quản
trị viên để có thể thay đổi cài đặt UAC.
5. Tường lửa
Tường lửa có thể là phần cứng, có thể là phần mềm, nhằm giúp bảo vệ an
toàn cho máy tính của bạn.
Những người dùng máy tính từ trước tới nay hầu hết đều đã từng nghe qua từ
"Tường lửa" (Firewall), và thường hiểu rằng đây là một biện pháp bảo vệ an toàn
cho máy tính. Tuy nhiên, khái niệm tường lửa là gì? Chức năng của nó như thế
nào thì không phải ai cũng biết. Bài viết dưới đây sẽ giúp bạn có một cái nhìn
tổng quan nhất về tường lửa cũng như chức năng của nó.
Tường lửa được xem như một bức rào chắn giữa máy tính (hoặc mạng cục bộ
- local network) và một mạng khác (như Internet), điều khiển lưu lượng truy cập
dữ liệu vào ra. Nếu không có tường lửa, các luồng dữ liệu có thể ra vào mà không
chịu bất kì sự cản trở nào. Còn với tường lửa được kích hoạt, việc dữ liệu có thể
ra vào hay không sẽ do các thiết lập trên tường lửa quy đinh.
Thuật toán mã hóa XTS-AES. BitLocker hỗ trợ thuật toán mã hóa XTS-
AES. XTS-AES cung cấp sự bảo vệ bổ sung từ một lớp các cuộc tấn công
vào mã hóa mà dựa vào thao tác văn bản mật mã để gây ra những thay đổi
có thể dự đoán được trong văn bản thuần túy. BitLocker hỗ trợ cả hai phím
128-bit và 256-bit XTS-AES. Nó cung cấp những lợi ích sau:
Thuật toán này tương thích với FIPS.
Các tính năng mới của Bitlocker trong Windows 10, phiên bản 1507
Mã hóa và phục hồi thiết bị bằng Azure Active Directory. Ngoài việc
sử dụng Tài khoản Microsoft, tự động mã hóa thiết bị hiện có thể mã hóa
các thiết bị của bạn được kết nối với một miền Azure Active
Directory. Khi thiết bị được mã hóa, khoá khôi phục BitLocker sẽ tự động
được chuyển sang Azure Active Directory. Thao tác này sẽ giúp khôi phục
lại khóa BitLocker của bạn trên mạng trở nên dễ dàng hơn.
Bảo vệ cổng DMA: Bạn có thể sử dụng chính sách DataProtection/
AllowDirectMemoryAccess MDM để chặn các cổng DMA khi thiết bị
khởi động. Ngoài ra, khi thiết bị bị khóa, tất cả các cổng DMA không sử
dụng đều bị tắt, nhưng bất kỳ thiết bị nào đã được cắm vào cổng DMA sẽ
tiếp tục hoạt động. Khi thiết bị được mở khóa, tất cả các cổng DMA được
bật trở lại.
Chính sách nhóm mới để định cấu hình khôi phục trước khi khởi
động. Bây giờ bạn có thể cấu hình thông báo khôi phục trước khi khởi
động và phục hồi URL được hiển thị trên màn hình phục hồi trước khi
khởi động. Để biết thêm thông tin, hãy xem phần Cấu hình thông báo khôi
phục và phần URL trong "Cài đặt Chính sách Nhóm BitLocker".