Professional Documents
Culture Documents
Chapter4 - Securing Windows Networks (1) (1)
Chapter4 - Securing Windows Networks (1) (1)
Chapter4 - Securing Windows Networks (1) (1)
KHÓA HỌC
chương
BẢO MẬT CỬA SỔ
1 Chính sách nhóm
04 MẠNG
Chủ biên: Nguyễn Việt Hà, Ph.D.
Thực hiện thay đổi cài đặt trên một hoặc hai hệ thống? Cho phép bạn:
o Nhắm mục tiêu chính sách đó đến người dùng hoặc hệ thống trong Đơn vị tổ chức
(OU), nhóm bảo mật hoặc thậm chí trên cơ sở cá nhân.
Có thể áp dụng cho hàng nghìn người dùng và máy tính trong một
hoặc 2.000 hệ thống
tổ chức nhằm giảm thiểu thời gian và công sức cần thiết để quản lý
nhiệm vụ bất khả thi.
một miền lớn.
Đối tượng chính sách nhóm (GPO) là một tập hợp các cài đặt. Khi khởi động, Cấu hình Máy tính từ tất cả các GPO được áp dụng.
Phải được liên kết với một trang web, tên miền hoặc đối Ảnh hưởng đến cài đặt trên máy tính bất kể ai đăng nhập vào
tượng OU. GPO không áp dụng cho các nhóm Active Directory . hệ thống.
Cài đặt GPO được thực thi nghiêm ngặt. Khi người dùng đăng nhập, Cấu hình người dùng từ tất cả các GPO sẽ được áp dụng.
Người dùng không thể định cấu hình hoặc ghi đè cài đặt do GPO áp dụng. Được sử dụng để thực hiện các thay đổi có tác động đến
người dùng. User GPO theo dõi người dùng bất kể người dùng đăng nhập hệ thống nào
trong từ.
Thiết lập Chính sách nhóm được lưu trữ trong hai phần khác nhau trong GPO:
Cấu Hình Máy Tính Chiến thắng được áp dụng lần cuối.
Cấu hình người dùng GPO sau này có thể ghi đè hành vi của GPO trước đó.
Theo mặc định, Chính sách nhóm làm mới sau mỗi 90 phút, mặc dù có Có hai GPO mặc định trong mỗi miền Active Directory
có thể là một sự chậm trễ ngẫu nhiên lên đến 30 phút. Nếu cung cấp cấu hình bảo mật mặc định cho máy tính:
áp dụng thay đổi, có thể mất tới 120 phút để thay đổi đó thành
Một số cài đặt không làm mới theo cách này và yêu cầu người dùng đăng xuất GPO Chính sách Bộ điều khiển Miền Mặc định được liên kết với
và đăng nhập lại hoặc yêu cầu khởi động lại hệ thống. Bộ điều khiển miền OU và áp dụng cho máy tính bộ điều khiển miền
tài khoản.
Ví dụ: chuyển hướng thư mục, ánh xạ ổ đĩa và một số tùy chọn tệp.
Di sản Di sản
Một tài khoản người dùng hoặc máy tính có thể nhận cài đặt từ Một vấn đề phổ biến xảy ra là khi quản trị viên hệ thống thực hiện
một số GPO. thay đổi thành chính sách cấp miền, nhưng thay đổi dường như không
áp dụng.
Để ngăn ngừa xung đột trong trường hợp
hai hoặc nhiều hơn trong số các GPO này chứa
Thủ phạm phổ biến nhất là
các giá trị khác nhau cho cùng một cài đặt,
Chính sách cấp đơn vị tổ chức đang ghi
GPO được áp dụng theo thứ tự sau:
đè cài đặt từ chính sách miền.
miền vì nhóm Người dùng được xác thực (chứa tất cả Sau khi một GPO được liên kết với một trang web, tên miền hoặc đối tượng OU, một đối tượng liên kết cho
tài khoản người dùng và máy tính được xác thực trong miền) được liệt kê trong GPO được hiển thị bên dưới.
Lọc bảo mật.
Tất cả cài đặt được tự động lưu vào đối tượng GPO trong Active
Cơ sở dữ liệu thư mục cũng như được sao chép vào tệp được liên kết trong
Chia sẻ SYSVOL, nơi nó có thể được truy cập bởi các máy tính miền.
Tuy nhiên, nếu cài đặt được cấu hình trong GPO cục bộ, chúng sẽ
được áp dụng trước các cài đặt trong bất kỳ GPO nào được liên kết với trang web,
miền và các đối tượng OU.
Cho phép bạn triển khai phần mềm trên máy tính. Cho phép bạn triển khai phần mềm trên máy tính.
Phần mềm này thường được lưu trữ trong một thư mục dùng chung trên máy chủ tệp và Phần mềm này thường được lưu trữ trong một thư mục dùng chung trên máy chủ tệp và
được đóng gói dưới dạng tệp Windows Installer (.msi). được đóng gói dưới dạng tệp Windows Installer (.msi).
Hơn nữa, có ba phương pháp triển khai phần mềm mà bạn có thể Hơn nữa, có ba phương pháp triển khai phần mềm mà bạn có thể
chọn từ: chọn từ:
Phần mềm được Xuất bản trong Cài đặt Phần mềm trong Người dùng Phần mềm được chỉ định trong Cài đặt phần mềm trong Người dùng
Người dùng có thể tùy ý cài đặt cấu hình (chỉ) của một GPO. oĐể cài đặt Cấu hình của một GPO được cung cấp dưới dạng một biểu tượng chương trình trên
phần mềm đã phát hành, người dùng có thể nhấp vào Cài đặt chương trình Menu bắt đầu, cũng như liên kết tệp.
từ mạng trong phần Chương trình và Tính năng của Điều khiển oPhần mềm này được cài đặt tự động lần đầu tiên mà một
Panel, chọn gói phần mềm và nhấp vào Cài đặt. người dùng nhấp vào biểu tượng chương trình trên menu Bắt đầu hoặc mở một
tập tin được liên kết với chương trình.
Cho phép bạn triển khai phần mềm trên máy tính. Ví dụ: gói phần mềm Mozilla Firefox được xuất bản dưới
Cài đặt phần mềm trong Cấu hình người dùng của Miền mặc định
Phần mềm này thường được lưu trữ trong một thư mục dùng chung trên máy chủ tệp và
GPO chính sách.
được đóng gói dưới dạng tệp Windows Installer (.msi).
Nếu người dùng trong miền chọn cài đặt gói này trong Chương trình
và phần Tính năng của Bảng điều khiển, Cài đặt Firefox được liên kết
Hơn nữa, có ba phương pháp triển khai phần mềm mà bạn có thể File 72.0.2.msi sẽ được tải và cài đặt từ phần mềm chia sẻ
chọn từ:
trên server.domainx.com.
Phần mềm được chỉ định trong Cài đặt phần mềm trong
Cấu hình máy tính của GPO được cài đặt tự động
lần sau khi máy tính khởi động.
Chính sách nhóm cũng có thể được cấu hình để tự động gỡ cài đặt phần mềm Chính sách giải quyết tên trong Cấu hình máy tính cho phép bạn
khi GPO không còn áp dụng cho tài khoản người dùng hoặc máy tính để định cấu hình cài đặt DNS để sử dụng với DNSSEC (Hệ thống tên miền
Tiện ích mở rộng bảo mật) và DirectAccess.
mà phần mềm đã được triển khai.
GPO sẽ không còn áp dụng cho tài khoản người dùng hoặc máy tính trong Tập lệnh (Khởi động/Tắt máy) trong Cấu hình Máy tính cho phép
các tình huống sau: bạn chỉ định các tập lệnh (ví dụ: tập lệnh PowerShell) sẽ được thực thi
khi máy tính khởi động hoặc tắt.
Quản trị viên máy chủ xóa gói phần mềm khỏi
cấu hình GPO và chọn ngay lập tức gỡ cài đặt
phần mềm từ tùy chọn người dùng và máy tính khi được nhắc. Tập lệnh (Đăng nhập/Đăng xuất) trong Cấu hình người dùng cho phép bạn
Quản trị viên máy chủ xóa GPO. chỉ định các tập lệnh (ví dụ: tập lệnh PowerShell) sẽ được thực thi khi
người dùng đăng nhập hoặc đăng xuất khỏi hệ thống Windows của họ.
Quản trị viên máy chủ xóa liên kết GPO tới đối tượng mà
chứa tài khoản người dùng hoặc máy tính.
Tài khoản người dùng hoặc máy tính được chuyển sang OU khác không Máy in đã Triển khai cho phép bạn triển khai các máy in dùng chung.
Cài đặt Bảo mật cho phép bạn định cấu hình hầu hết các cài đặt liên quan đến bảo Chuyển hướng thư mục trong Cấu hình người dùng cho phép bạn lưu trữ
mật của Windows, chẳng hạn như chính sách khóa tài khoản và mật khẩu, nội dung của các thư mục người dùng (ví dụ: Desktop, Documents, Pictures) trong một
Cài đặt Kerberos, kiểm tra, quyền hệ điều hành, tùy chọn bảo mật, thư mục chia sẻ riêng cho từng tài khoản người dùng trên máy chủ tệp.
cài đặt nhật ký sự kiện, tư cách thành viên nhóm được thực thi bởi Chính sách nhóm, Khi người dùng truy cập các thư mục này trên PC, chúng sẽ tự động
cấu hình dịch vụ hệ thống, khóa đăng ký, tệp và thư mục, mạng không dây được chuyển hướng đến thư mục được liên kết trên máy chủ tệp.
Cấu hình mạng LAN, cấu hình Windows Defender Firewall, chứng chỉ
Cấu hình này đảm bảo rằng các tệp người dùng chỉ được lưu trên một tệp
cấu hình, cấu hình IPSec, cũng như các chính sách có thể được sử dụng
máy chủ, nơi chúng được sao lưu và bảo vệ tập trung bằng bộ lưu trữ có khả năng
để hạn chế các ứng dụng được phép chạy trên hệ thống. chịu lỗi.
Hầu hết các cài đặt bảo mật khả dụng nằm trong Máy tính
Chỉ cấu hình.
QoS dựa trên chính sách cho phép bạn giới hạn băng thông được sử dụng bởi TCP,
Lưu lượng UDP hoặc HTTP.
Chính sách tài khoản hình trong GPO được lưu trữ
trong Mẫu quản trị .
oChính sách mật khẩu
Nhật ký sự kiện
v.v.
công cụ và khu vực cấu hình trong Bảng điều khiển, cũng như tự động tính năng in ấn và dịch vụ Print Spooler.
định cấu hình cài đặt Bảng điều khiển, chẳng hạn như tùy chọn vùng và ngôn ngữ.
Máy chủ trong Cấu hình máy tính cho phép bạn định cấu hình hệ thống
Máy tính để bàn trong Cấu hình người dùng cho phép bạn cung cấp máy tính để bàn
cấu hình (ví dụ: hình nền máy tính tiêu chuẩn), cũng như hạn chế
Thư mục được chia sẻ trong Cấu hình người dùng cho phép bạn định cấu hình
truy cập vào các tính năng và chức năng của máy tính để bàn.
khả năng xuất bản các thư mục được chia sẻ.
Menu Bắt đầu và Thanh tác vụ cho phép bạn định cấu hình hoặc hạn chế quyền truy cập vào
Mạng cho phép bạn định cấu hình cài đặt liên quan đến mạng (ví dụ: DNS), như
Các tính năng của menu Bắt đầu và thanh tác vụ
cũng như chức năng của các công nghệ liên quan đến mạng (ví dụ: Offline
Hệ thống cho phép bạn định cấu hình các tính năng và Nhiều bên thứ ba
chức năng, chẳng hạn như quản lý năng lượng, tùy chọn tắt máy, và nhà sản manu
truy cập vào lưu trữ di động. xuất phần mềm cho phép bạn
để tải xuống và
Tất cả Cài đặt hiển thị các Mẫu quản trị riêng lẻ
cài đặt cấu hình có sẵn trong Cấu hình Người dùng hoặc Máy tính
phần theo thứ tự bảng chữ cái.
Điểm yếu của quá trình chuyển giao chìa khóa Cơ quan chứng nhận (CA)
Tấn công trung gian Khóa công khai được gửi
đến một máy tính bên thứ
Hacker có thể chặn khóa công khai gửi từ máy chủ Web
vào trình duyệt Web (máy khách) và thay thế khóa công khai của riêng họ. ba đáng tin cậy được gọi là
Một chứng nhận
Sau khi CA xác minh danh tính của người dùng hoặc máy tính đã tạo Chữ ký số:
khóa công khai, nó tạo chứng chỉ khóa công khai (thường được rút ngắn thành Một hàm băm của khóa công khai được mã hóa bằng khóa riêng của
chứng chỉ) bao gồm: CA.
Một số sê-ri.
Để giải mã dữ liệu được mã hóa bằng
Tên chứng chỉ. khóa riêng, bạn phải sử dụng khóa liên quan
Công nghệ và mục đích sử dụng chứng chỉ (ví dụ: EFS, HTTPS, IPSec, khóa công khai của CA.
L2TP, IKEv2, mã hóa email, xác thực an toàn, v.v.). oNếu một chữ ký điện tử có thể được giải mã
Khóa công khai. bằng cách sử dụng khóa công khai của CA, nó chứng tỏ:
Chữ ký số của khóa công khai. Khóa riêng của CA phải được
Khoảng thời gian mà chứng chỉ có hiệu lực (thường là 1 năm). dùng để tạo chữ ký số. CA đã xác
Vị trí của Danh sách thu hồi chứng chỉ (CRL). minh danh tính của
máy tính hoặc người dùng đã tạo ra
Vị trí khóa công khai của CA (được gọi là gốc đáng tin cậy).
khóa công khai.
Sau khi CA tạo chứng chỉ, CA sẽ trả lại chứng chỉ đó cho máy tính
đã tạo khóa công khai.
CA duy trì một danh sách bất kỳ số sê-ri chứng chỉ đã cấp nào
không nên được sử dụng trong danh sách Thu hồi Chứng chỉ (CRL).
Máy khách nên kiểm tra CRL trước khi sử dụng khóa chung trong
chứng chỉ.
Có nhiều CA công khai (hay gọi là CA thương mại) trên Internet Bởi vì lấy chứng chỉ từ CA công cộng cho từng người dùng và
cấp chứng chỉ có tính phí (Viettel, VNPT và FPT), cũng như một số máy tính trong tổ chức của bạn là không thực tế.
cấp chứng chỉ miễn phí (ví dụ: LetsEncrypt). Cấu hình hệ thống Windows Server 2019 làm CA doanh nghiệp trong
tổ chức của bạn có thể được sử dụng để cấp chứng chỉ tự động
cho người dùng và máy tính bằng các mẫu chứng chỉ và Chính sách nhóm
(Quá trình này được gọi là đăng ký tự động).
Bởi vì gốc đáng tin cậy của CA doanh nghiệp thường được cung cấp cho
chỉ máy tính của tổ chức, chỉ người dùng và máy tính trong tổ chức của bạn
tổ chức có thể xác thực các chứng chỉ đã được cấp bởi một
doanh nghiệp CA
Khi đăng ký tự động được định cấu hình, thư mục gốc đáng tin cậy của doanh nghiệp
CA được tự động phân phối cho từng máy tính miền bằng cách sử dụng Nhóm
Chính sách.
người dùng và máy tính được cho là có cơ sở hạ tầng khóa công khai
(PKI).
Các tổ chức lớn có thể có một số CA được định cấu hình trong hệ thống phân cấp CA.
CA đầu tiên được triển khai trong hệ thống phân cấp được gọi là CA gốc và các CA khác
Các CA tham gia vào hệ thống phân cấp được gọi là các CA cấp dưới.
oTrong hầu hết các tổ chức, chỉ có một CA gốc doanh nghiệp duy nhất được
cần thiết.
Nguyễn Việt Hà, Ph.D.
- Sở viễn thông – Mạng, FETEL,VNUHCM-Mỹ
45/5077
Nguyễn Việt Hà, Ph.D.
- Sở viễn thông – Mạng, FETEL,VNUHCM-Mỹ
46/5077
Nhiều người dùng ngày nay sử dụng các thiết bị di động, chẳng hạn như điện thoại thông minh và
máy tính xách tay, để truy cập tài nguyên của tổ chức bằng cách kết nối với mạng không dây
LAN (WLAN) chuyển tiếp lưu lượng đến mạng LAN vật lý trong tổ chức.
bằng Wi-Fi.
Để giữ bí mật dữ liệu, hầu hết các WAP đều được cấu hình để mã hóa lưu lượng Vì tất cả người dùng mạng WLAN đều sử dụng cùng một mật khẩu Wi-Fi nên có nhiều
giữa thiết bị di động và WAP bằng Wi-Fi Protected có sẵn các công cụ bẻ khóa không dây có thể giải mã lưu lượng mạng WLAN WPA2 bằng cách
Access (WPA), chỉ sử dụng mã hóa đối xứng. so sánh nó với bảng băm của các mẫu không dây đã biết.
Wi-Fi Protected Access II (WPA2) là phiên bản phổ biến nhất. Để ngăn chặn điều này, một số WAP cho phép bạn định cấu hình kết nối VPN
cho từng thiết bị di động.
Phải chỉ định mật khẩu Wi-Fi cho Tuy nhiên, thay vào đó, hầu hết các tổ chức đều sử dụng máy chủ RADIUS để
mạng WLAN (còn được gọi là khóa chia sẻ tạo ngẫu nhiên các khóa mã hóa đối xứng cho từng ứng dụng khách di động.
trước hoặc PSK).
oCông nghệ này được gọi là 802.1X Wireless và ngăn
oMật khẩu Wi-Fi này sau đó được sử dụng
các công cụ bẻ khóa từ việc giải mã lưu lượng mạng WLAN.
để tạo ra một đối xứng
khóa mã hóa cho Wi-Fi
kết nối giữa điện thoại di động
thiết bị và WAP.
Bước 1: Khi người dùng thiết bị di động Bước 3: Người dùng được xác thực với một
kết nối với WAP, thiết bị di động của họ bộ điều khiển miền.
Để cung cấp bảo mật bổ sung chống lại mạng không dây Wi-Fi Protected Access III (WPA3) là một công nghệ gần đây được
công cụ bẻ khóa, máy chủ RADIUS định kỳ được hỗ trợ bởi một số WAP.
tạo một khóa mã hóa đối xứng mới và Mặc dù WPA3 không sử dụng mật khẩu Wi-Fi giống như cách
lặp lại bước 4 và 5. WPA2 có, nó vẫn có thể bị xâm phạm bởi các công cụ bẻ khóa không dây.
Hầu hết các tổ chức triển khai một mạng WLAN riêng cho quyền truy cập của khách mà
không sử dụng 802.1X Wireless.
Mạng WLAN này được định cấu hình để chỉ cho phép truy cập vào tài nguyên
Internet chứ không phải tài nguyên của tổ chức.
Mặc dù ít phổ biến hơn nhưng 802.1X có thể 5 Dịch vụ cập nhật Windows Server
cũng được sử dụng để bảo vệ quyền truy cập vào
Bộ chuyển mạch mạng Ethernet
Dịch vụ cập nhật Windows Server Dịch vụ cập nhật Windows Server
Khi phát hiện ra các lỗ hổng, điểm yếu bảo mật trong quá trình vận hành Các máy chủ cập nhật của Microsoft trên Internet cung cấp các bản cập nhật mới nhất cho
hệ thống và các sản phẩm phần mềm khác, nhà cung cấp phần mềm phát hành một Các sản phẩm phần mềm của Microsoft và người dùng Windows có thể sử dụng Windows
cập nhật phần mềm liên quan để giải quyết vấn đề. phần cập nhật của Bảng điều khiển hoặc Cài đặt (Windows 10, Windows
Server 2016 trở lên) để tìm kiếm và cài đặt các bản cập nhật này, hoặc
lên lịch cài đặt cập nhật tự động.
Nên đảm bảo rằng các sản phẩm phần mềm trong tổ chức của bạn
cập nhật thường xuyên để cung cấp sự ổn định và bảo mật.
Dịch vụ cập nhật Windows Server Dịch vụ cập nhật Windows Server
Nếu một số máy tính trong một tổ chức có được Để giải quyết những vấn đề này, bạn có thể triển khai Windows Server
cập nhật từ Microsoft Update cùng một lúc Máy chủ Dịch vụ Cập nhật (WSUS) trong tổ chức của bạn.
thời gian, băng thông trên mạng của tổ chức
Kết nối Internet có thể trở nên bão hòa, ngăn truy cập Máy chủ WSUS này có thể được cấu hình để thường xuyên tải xuống các bản cập nhật
vào Microsoft Update và từ Microsoft Update cho từng sản phẩm phần mềm mà bạn có trong
tài nguyên Internet khác. tổ chức của bạn (một quá trình được gọi là đồng bộ hóa), cũng như
phân phối chúng đến các máy tính trong tổ chức của bạn.
Hơn nữa, bằng cách cho phép các máy tính trong Để đảm bảo rằng các máy tính
miền để nhận các bản cập nhật từ Microsoft nhận thông tin cập nhật từ
Cập nhật trực tiếp, bạn không thể dễ dàng xác định máy chủ WSUS thay vì
máy tính đã cài đặt một chương trình cụ thể Microsoft Update, bạn phải
cập nhật hoặc ngăn cài đặt các bản cập nhật cấu hình một GPO cung cấp
gây ra sự cố với phần mềm khác các cài đặt thích hợp.
các ứng dụng.
Bộ bảo vệ Windows
Trong Windows Server 2019, bộ bảo vệ Windows được khởi động theo mặc định và
cung cấp nhiều tính năng bảo mật hệ điều hành khác nhau, bao gồm
bảo vệ phần mềm độc hại, cũng như chức năng tường lửa và IPSec.
Bộ bảo vệ Windows có
6
được đổi tên thành Microsoft
Bộ bảo vệ Windows Defender bắt đầu với
Windows 10 build 1909.
Bốn tính năng chính do Windows Defender cung cấp: Bốn tính năng chính do Windows Defender cung cấp:
1. Bảo vệ khỏi mối đe dọa và vi-rút cho phép bạn thực hiện quét phần mềm độc hại 2. Tường lửa & bảo vệ mạng cho phép bạn bật hoặc tắt
trên hệ thống của bạn, lên lịch quét phần mềm độc hại định kỳ, cũng như tường lửa cho máy tính của bạn khi được kết nối với một miền,
bật tính năng bảo vệ phần mềm độc hại theo thời gian thực và được phân phối trên đám mây. Bạn có thể mạng công cộng hoặc mạng riêng.
cũng cho phép truy cập thư mục được kiểm soát để ngăn chặn phần mềm tống tiền
sửa đổi các tập tin, thư mục và bộ nhớ trên hệ thống của bạn.
Máy tính có thể liên hệ với bộ điều khiển miền trên
mạng tự động là một phần của mạng miền.
Bốn tính năng chính do Windows Defender cung cấp: Bốn tính năng chính do Windows Defender cung cấp:
3. Kiểm soát ứng dụng & trình duyệt cho phép bạn định cấu hình hành động được thực hiện 4. Bảo mật thiết bị
khi các ứng dụng mới được truy cập từ Internet (hành động mặc định oSecure boot là một tiêu chuẩn bảo mật được phát triển bởi các thành viên của
là để cảnh báo người dùng), cũng như định cấu hình bảo vệ khai thác ứng dụng Ngành PC để giúp đảm bảo rằng thiết bị chỉ khởi động bằng
đặc trưng.
phần mềm được Nhà sản xuất thiết bị gốc tin cậy
(OEM).
oKhi PC khởi động, phần sụn sẽ kiểm tra chữ ký của từng
phần mềm khởi động, bao gồm trình điều khiển phần sụn UEFI (cũng
được gọi là ROM tùy chọn), các ứng dụng EFI và hệ điều hành
hệ
Bốn tính năng chính do Windows Defender cung cấp: Bốn tính năng chính do Windows Defender cung cấp:
phần mềm độc hại—một rootkit—khỏi tải khi bạn khởi động hệ điều hành và thiết bị.
thiết bị.
- Rootkit sử dụng các quyền tương tự như hệ điều hành Nó thực hiện điều này bằng cách chạy các quy trình cốt lõi đó trong một môi trường ảo hóa.
và bắt đầu trước nó, có nghĩa là họ hoàn toàn có thể ẩn môi trường.
chúng tôi.
- Rootkit thường là một phần của toàn bộ bộ phần mềm độc hại
có thể bỏ qua thông tin đăng nhập cục bộ, ghi lại mật khẩu và tổ hợp phím,
Bốn tính năng chính do Windows Defender cung cấp: Bốn tính năng chính do Windows Defender cung cấp:
4. Bảo mật thiết bị 4. Bảo mật thiết bị hiển thị xem máy tính của bạn có sử dụng UEFI hay không
oTính toàn vẹn của bộ nhớ (còn được gọi là Mã được bảo vệ bởi Hypervisor khởi động an toàn và hỗ trợ tính năng cách ly lõi được cung cấp bởi
Integrity - HVCI) là một tính năng của sự cô lập lõi. phần mở rộng ảo hóa bộ xử lý.
Có thể giúp ngăn chặn các chương trình độc hại sử dụng trình điều khiển cấp thấp
để chiếm quyền điều khiển máy Nếu hỗ trợ cách ly lõi, bạn có thể kích hoạt bộ nhớ
tính của bạn. Tính toàn vẹn của bộ nhớ hoạt động bằng cách tạo ra một môi trường biệt lập cài đặt toàn vẹn để ngăn phần mềm độc hại và các cuộc tấn công mạng từ
sử dụng ảo hóa phần cứng. truy cập các quy trình bảo mật cao.
- Trình điều khiển là một phần của phần mềm cho phép điều hành
hệ thống (trong trường hợp này là Windows) và một thiết bị (chẳng hạn như
bàn phím hoặc webcam, cho hai ví dụ) nói chuyện với từng người
khác. Khi thiết bị muốn Windows thực hiện điều gì đó, thiết bị
sử dụng trình điều khiển để gửi yêu cầu đó.
Bộ bảo vệ Windows
CÁM ƠN VÌ SỰ QUAN TÂM CỦA BẠN
Để định cấu hình quy tắc tường lửa hoặc quy tắc bảo mật kết nối trên nhiều
máy tính, bạn có thể sử dụng Chính sách nhóm.
Sau khi chỉnh sửa GPO, bạn có thể điều hướng đến Cấu hình máy tính,
Chính sách, Cài đặt Windows, Cài đặt bảo mật, Bộ bảo vệ Windows
Tường lửa với Bảo mật Nâng cao, Tường lửa của Bộ bảo vệ Windows với
Bảo mật nâng cao để truy cập Quy tắc gửi đến, Quy tắc gửi đi và
Các phần Quy tắc bảo mật kết nối.