Những tính năng bảo mật tin tưởng trong Vista là những tính năng nào ?

Vista là hệ điều hành được Microsoft công bố hoàn hảo nhất trừ trước tới nay, với những tính năng bảo mật: User Account Control (UAC), BitLocker, File and Registry Virtualization, Mandatory Integrity Controls (MICs) và IE Protected Mode. Trong bài viết này tôi giới thiệu các bạn các tính năng trên và ý nghĩa của chúng nhằm nâng cao bảo mật cho Windows Vista. 1. Account Administrator được disable mặc định. Thật đúng như vậy trong Vista tài khoản Administrat tor được mặc định disable, nhưng nó cũng sẽ được kích hoạt bởi một tài khoản trong group administrators. Do đó nhà sản xuất khuyến cáo nên hạn chế những tài khoản trong group administrators. Sau khi cài đặt Windows Vista tài khoản đầu tiên bạn tạo sẽ thuộc group administrators (điều này tương tự như trong Windows 2000 hay Windows XP), nhưng sau đó những user mà bạn tạo ra thêm chỉ thuộc group users. Sau khi bạn tạo tài khoản đó được coi là Second Administrator thì tài khoản mang tên Administrator chính sẽ bị disable. Điều này rất quan trọng bởi mặc định tài khoản Administrator bị disable không được thiết lập mật khẩu. Và một điều cần thiết là bạn nên thiết lập một mật khẩu khó cho tài khoản administrator, trong cả tính huống nó bị disable. Nếu bạn sử dụng tài khoản administrator thì trước tiên bạn đặt mật khẩu cho tài khoản đó, sau đó enable tài khoản đó lên. Cách enable tài khoản administrator Net user administrator /active:yes. 2. Chỉ có 4 Mandatory Integrity Controls. Mandatory Integrity Controls (MICs) đã được gán rõ rang cho từng user, object và các tiến trình trong Windows Vista. Security với mức độ tin cậy thấp (integrity) sẽ không thể chỉnh sửa các đối tượng hay các user có mức độ tin cậy cao hơn, kể cả trong NTFS user đó có đủ thẩm quyền. có bốn mức độ chính của MIC. · Low · Medium · High · System Hầu hết các users, bao gồm tất cả các users không thuộc group administrator, sẽ chạy với mức độ Medium Integrity. Dưới đây là một số mức độ được gán khác: · Kernel-level Windows files chạy với mức độ System integrity. · User-level code, như Windows Explorer và Task Manager, chạy với mức độ Medium integrity. · Tài khoản administrator hay một người dùng thuộc administrators group chạy với mức độ High integrity. · Internet Explorer (IE) trong Protected Mode chạy với mức độ Low integrity. · Nếu một object hay một tài nguyên chưa được gán chính xác mức độ rõ ràng thì nó sẽ hoạt động ở mức độ Medium integrity. Vai trò chính của MICs tạo sự cứng rắn cho các user bình thường, chương trình và những nội dung được download từ IE Protected Mode chốn lại việc chỉnh sửa file hệ thống. Bởi vì một user trong group administrators nhưng download một file từ IE’s về sẽ được bảo vệ, nó sẽ là một sự khó khăn cho những đoạn mã nguy hiểm chỉnh sửa các file hệ thống. Có ít nhất hai mức độ MIC nhỏ hơn: Untrusted và Protected Process. Mức độ Untrusted là mức độ thấp nhất trong MIC level và được gán cho tài khoản nặc danh khi kết nối đến hệ thống. Protected Process là mức độ cao nhất có thể của MIC level và chỉ sử dụng bởi hệ thống (system) khi cần thiết (dưới đây là bảng các mức độ MIC Levels). There are at least two other lesser-known MIC levels: Untrusted and Protected Process. Untrusted integrity is the lowest possible MIC level and is assigned to anonymous null connection sessions. Protected Process is the highest possible MIC level and is only used by the system when needed (see table for MIC levels). Bạn đã tìm hiểu qua các mức độ của MIC khi phân tích hay giải quyết sự cố, và bạn có thể sẽ dễ dàng thấy Hacker hay các đoạn mã nguy hiểm sẽ cố gắng chiếm mức độ Protected Proccess MIC level để thực hiện các ý đồ của chúng. 3. UAC giảm mức độ administrators muốn. Vista yêu cầu những việc liên quan tới hệ thống như việc cài đặt phần mềm, nâng cấp driver cho hệ thống thì đều phải được sự cho phép, và có đủ thẩm quyền mới được thực hiện các thao tác trên. Vista cũng có một tính năng mới yêu cầu giới hạn số lượng những tài khoản người dùng có quyền thực thi administrative, nhưng UAC không chỉ có một tính năng như vậy. UAC cụ thể yêu cầu những người tài khoản có đủ khả năng thực hiện các công cụ administrative tasks phải là tài khoản trong một group có thẩm quyền cao như, administrators hay backup operators. UAC không remove những quyền thực thi của user – nó chỉ cung cấp thêm khả năng bảo vệ hệ thống cho những users có đủ thẩm quyền khi thực hiện những tác vụ như – administrative task như emai hay Internet browsing. Khi một user trong nhóm administrators (không phải là tài khoản administrator) logs on, UAC gán hai vé security, được biết là một "split-token". Bình thường một user thuộc nhóm administrators sẽ không nhận được bằng chứng (token hay vé) cho đến khi user đó nâng cấp thong qua giao diện UAC. Mặc định trong Vista nếu người dùng chưa nhận được tấm vé về bảo mật thì sẽ như sau: · Vista sẽ xoá 9 đặc quyền được gán cho các tài khoản thuộc nhóm administrators · Mức độ MIC level của user sẽ được giảm xuống từ High xuống thành Medium · Deny-only SID · File and registry virtualization được áp dụng Khi user nâng cấp trong phiên làm việc của họ, thì các hạn chế quyền đối với tài khoản đó sẽ bị removed. Tuy nhiên Vista sẽ yêu cầu một user administrator để thực hiện các công cụ hệ thống. UAC bảo vệ cả hệ thống và người dùng bằng cách tạm thời removed các đặc quyền của họ cho đến khi nào họ yêu cầu. Khi đó người dùng trong tài khoản thuộc nhóm administrators khi thực hiện các công việc như email và duyệt web nếu bị những đoạn mã nguy hiểm sẽ không gây nguy hại đến hệ thống. Vista giảm số lượng yêu cầu quyền administrators bằng nhiều cách. Đầu tiên, Vista removed yêu cầu cần đặc quyền quản trị khi làm việc các công việc, như xem hay thay đổi time zone, cấu hình wireless networks, thay đổi thiết lập trong power management, tạo và cấu hình một kết nối VPN hay cài đặt những update cho hệ thống Windows. Điều này nhằm giảm thiểu các yêu cầu và tránh gây phiền hà đem lại sự thuận tiện cho người sử dụng. Tiếp, Vista cũng không nhất thiết chỉ administrators mới được thiết lập cụ thể như: device và ActiveX controls một user không cần phải là administrators vẫn có thể cài đặt. Ví dụ như, bạn cần cho phép người dùng cài đặt máy in, card mạng, USB devices và VPN software. Thứ 3, để cấu hình lại các thiết lập cơ bản về mạng, bạn có thể add một user không thuộc tài khoản administrators vào group Network Configuration Operator. User trong group này có thể chỉnh sửa địa chỉ IP, xoá DNS cache và thực hiện vài công cụ trong mạng. Và có hang tá các cách nhằm giảm số lượng các yêu cầu tài khoản administrator. 4. Chỉ có administrators có thể sử dụng UAC elevation (tương tự như raise nâng cấp trong phiên làm việc của user đó). Mặc định bạn không thể thêm một tài khoản không có thẩm quyền vào UAC consent. Điều này có nghĩa nếu một user không thuộc nhóm có thẩm quyền administrators, nó sẽ không thể nâng cấp quyền hạn của nó trong UAC. Tất cả tài khoản trong nhóm administrators, backup operators, network configuration operator và power user đều có khả năng nâng cấp trong phiên làm việc của mình. Bạn có thể sử dụng và liệt kê các danh sách họ trong UAC. Bạn không thể nâng cấp một user không nằm trong nhóm admin để thực hiện các tác vụ admin. Việc nâng cấp của các user để lấy lại đặc quyền mà hệ thống gán cho đã bị UAC hạn chế mà thôi. Ví dụ bạn có thể cho phép chạy một chương trình yêu cầu các mức độ cho phép khác nhau, nhưng bạn không muốn cho họ quyền quản trị. Bạn có thể tạo một user account và gán nó làm member của group power users (trong Vista không có đặc quyền mặc định hay permissions). Khi người dùng muốn nâng cấp trong phiên làm việc để chạy một ứng dụng, họ có thể sử dụng một tài khoản trong power users group. 5. UAC là một giới hạn bảo mật. UAC có danh giới giữa local hay domain. Microsoft không phát triển UAC như một firewall, hay bảo mật phát triển cho domains. UAC bảo vệ user và system trước các dạng tấn công bằng những đoạn mã nguy hiểm khi đăng nhập vào hệ thống bằng user có thẩm quyền cao. Và nó cũng cho phép khi người dung nâng cấp quyền của họ trong UAC, một nhưng nếu một người thường xuyên phải làm việc này có thể sẽ thấy sự bất tiện của công cụ này. 6. IE Protected Mode tất cả các nội dung được downloaded. Nó hữu dụng trong việc tăng cường bảo mật cho hệ thống khi nói về IE Protected Mode, cung cấp việc các thiết lập bảo mật trước các nội dung tự động download từ trang web trong quá trình duyệt web. Đầu tiên một ngoại lệ trong IE Protected Mode không áp dụng cho tất cả các Security Zone. Mặc định, IE Protect mode không áp dụng cho những Web site trong Trusted Sites Zone. "Mặc định khi web server với những file được thiết lập trong expired date sẽ tự động download về máy client trong đó có các file như file hình ảnh, âm thanh, các script… nhằm nâng cao tốc độ truy cập web site cho client. Tận dụng ứng dụng này các kẻ phá hoại sử dụng các đoạn mã nguy hiểm hay virus tích hợp trong các file này". Khi thực hiện IE Protected mode sẽ nâng cao bảo mật hơn cho hệ thống của bạn và yên tâm hơn khi lướt web dù bạn đăng nhập vào tài khoản người dùng có thẩm quyền cao. IE Protected Mode mang đến cho bạn những khả năng bảo mật khi chạy IE với mức độ Low MIC. Nó áp dụng cho hầu hết các đói tượng của IE, bao gồm Menu bars, brower helper, các add-ons và các nội dung tự động download bởi IE. Protected Mode được lưu với mức độ đặc quyền thấp LOW-INTEGRITY file và trong registry, không cho phép nó ảnh hưởng tới file hệ thống và các vùng được thiết lập mặc định là Medium-integrity. IE Protected Mode được tạo ra để bảo vệ các nội dung được download: đặc biệt với những nội dung được lưu tạm thời của IE. Các nội dung cụ thể như ActiveX hay các file … Ví như vùng Template vùng này chỉ IE mới truy cập được vào tất cả những người dùng trong Vista đều không thể truy cập vào các nội dung đã bị cấm trong hệ thống. 7. Tất cả các file chạy trong Windows đều được bảo vệ bởi Data Excution Prevention (DEP). IExplorer.exe, là một file thực thi chính trong IE, nó được chạy từ mặc định và được thiết lập trong Window’s DEP buffer overflow. Microsoft cụ thể lựa chọn không enable DEP cho IExplorer.exe bởi nó là sẽ có vấn đề với Java và nhiều plug-ins trong trình duyệt. 8. File và Registry Virtualization sẽ cấm tất cả các file nguy hiểm và tự động ghi vào registry. File and registry Virtualization thực hiện cấm tất cả các đoạn mã tự động ghi vào registry và các folder cụ thể như sau: · Program Files and subfolders · Program Files (x86) on 64-bit systems · Windows and all subfolders, including System32 · \Users\%AllUsersProfile% \ProgramData (was \Documents and Settings\All Users in XP) · \Documents and Settings (symbolic link) · HKLM\Software *NOTE*: Với thực tế tôi sử dụng thì một số phần mềm khi chạy sẽ sinh ra file tạm thời thì không thể để trong Program files của Vista được bởi điều này sẽ gây ra lỗi - Khắc phục bạn có thể cài đặt ra chỗ khác của hệ thống là ok Thêm vào đó nó sẽ giới hạn việc ghi vào locations dưới đây là các đối tượng cụ thể: · Default Vista applications · Files with executable extensions, such as .EXE, .BAT, .VBS and .SCR. bạn có thể thêm vào trong các định dạng trong: HKLM\System\CurrentControlSet\Services\Luafv\Param eters \ExcludedExtensionsAdd. · 64-bit applications and processes · Applications with a requested Execution Level directive in their executable manifest, like most Vista executables · Processes or applications running with administrative rights · Kernel mode applications · Operations not originating from an interactive log-in session, like file sharing · Applications modifying a registry key marked with the Don't_Virtualize registry flag Regarding the last point, any key under HKLM\Software has three new registry flags you can reveal through Reg.exe: · Don't_Virtualize · Don't_Silent_Fail · Recurse_Flag 9. Windows Resource Protection (WRP) bảo vệ hệ thống tương tự như Windows File Protection (WFP). Vista thay WRP cho một ứng dụng plug-in thường dùng là WFP. WFP được giới thiệu lần đầu tiên trong Windows 2000, và tương tự như System File Protection (SFP) được giới thiệu trong Windows ME. Và cả hai đều tương tự như WRP, nhưng các thiết lập và khả năng làm việc của chúng khác nhau. WFP chỉ bảo vệ files. WRP sẽ bảo vệ các file quan trọng, folders và keys thiết lập registry. WFP và SFP giám sát quá trình thay đổi nhằm bảo vệ các file hệ thống. Nếu sự thay đổi không được phép nó sẽ tự động lấy lại các thiết lập từ trước đó. Thông thường nó chỉ cảnh báo là WFP sẽ xuất hiện một bảng thông báo mà thôi. WRP sẽ cố gắng chống lại những thay đổi tài nguyên hệ thống. Administrators không thể chỉnh sửa tài nguyên hệ thống. Mặc định, chỉ có Windows Trusted Installer mới có khả năng sử dụng Windows Module Installer service. Như các Windows Installer, Hotfix.exe và update.exe mới có đủ thẩm quyền thay đổi tài nguyên hệ thống. WRP không tự động thay đổi các file đã được bảo vệ nhưng cố tình thay đổi bằng một bản đã được backup từ trước đó. WRP sẽ chỉ ghi lại những file hệ thống sau quá trình khởi động lại máy tính. 10. Windows Firewall mặc định không cấm những kết nối ra ngoài. Một cái khác, Vista thêm tính năng outbound blocking trong Windows Firwall. Cụ thể đó là Vista mặc định không cấm bất kỳ kết nối ra ngoài nào, nhưng điều này có thể chỉnh sửa. Vista cấm các giao tiếp không cần thiết từ các services mặc định. Ví dụ có 82 thiết lập mặc định cấm 34 services giao tiếp từ bên ngoài vào. Việc thiết lập dựa trên service khác hoàn toàn với các firewall dựa trên địa chỉ IP và Port. Cụ thể P2P Grouping Service sẽ bị cấm giao tiếp ra bên ngoài bằng tất cả các ports không chỉ ports mặc định là 3587. Và còn có nhiều thiết lập mặc định bị cấm, cụ thể có thể sẽ bị cấm trong Windows Defender, Session và SNMP Trap. Thật không may đó là muốn chỉnh sửa các thiết lập trên đều không thể thực hiện trong môi trường đồ hoạ. mặc định các filter được liệt kê tại HKLM\System\CurrentControlSet\Services\SharedAcces s\Parameters \FirewallPolicy\RestrictedServices\static\system Hiện tại, COM Scripting là một công cụ chính để quản lý các interface. Windows Vista có rất nhiều các thiết lập mặc định. Bạn có thể xem qua rất nhiều nguồn thông tin từ Internet các forum hay blogger.