CHƯƠNG 4 - HDH Windows Linux PDF
Document Details
Uploaded by WellKnownFuchsia
PTIT HN
Tags
Summary
This document is a chapter on Windows and Linux operating systems. It covers topics such as security, updates, backups, and troubleshooting procedures. The document focuses on computer science concepts and practices for both operating systems.
Full Transcript
CHƯƠNG 4. ĐẢM BẢO AN TOÀN CHO HỆ ĐIỀU HÀNH WINDOWS Việc đảm bảo hệ thống vận hành một cách ổn định và an toàn luôn là vấn đề đặc biệt quan trọng. Chương này giới thiệu các chức năng cập nhật của Windows và một số cách thức giúp tự động thực hiện việc cập nhật. Bên cạnh đó, các chức năn...
CHƯƠNG 4. ĐẢM BẢO AN TOÀN CHO HỆ ĐIỀU HÀNH WINDOWS Việc đảm bảo hệ thống vận hành một cách ổn định và an toàn luôn là vấn đề đặc biệt quan trọng. Chương này giới thiệu các chức năng cập nhật của Windows và một số cách thức giúp tự động thực hiện việc cập nhật. Bên cạnh đó, các chức năng sao lưu và khôi phục hệ điều hành Windows cũng được giới thiệu cho sinh viên. Cuối chương mô tả cách thức xử lý căn bản giúp cho việc phát hiện và khắc phục các tình huống sự cố trong quá trình vận hành hệ thống Windows. Đồng thời, các phương pháp để tăng cường bảo mật cho hệ điều hành Windows cũng được nghiên cứu. 4.1 Cập nhật các bản vá Windows Windows là hệ thống phức tạp với rất nhiều bộ phận khác nhau. Để đảm bảo Windows hoạt động tin cậy và an toàn, người quản trị cần phải kiểm tra xem Microsoft có đưa ra bất kỳ các cập nhật cho Windows nào hay không bao gồm các bản sửa lỗi, gói dịch vụ, hay trình điều khiển. Khi có bản cập nhật, người quản trị cần cài đặt các bản cập nhật này sớm nhất có thể. Một cách để đảm bảo việc cập nhật được kịp thời là sử dụng tiện ích “Windows Update”. Chương trình này sẽ quét hệ thống để xác định các bản cập nhật và sửa lỗi cần thiết. Microsoft phân loại các bản cập nhật thành ba loại: quan trọng, khuyến nghị, và tùy chọn. Giao diện của chương trình này như trong hình dưới đây. Hình 4-1. Cài đặt chương trình cập nhật Windows Bản cập nhật quan trọng mang lại những lợi ích đáng kể với hệ thống như cải thiện an toàn, bảo mật, và độ tin cậy. Những bản cập nhật này cần được cài đặt ngay lập tức và việc cài đặt có thể được thực thi một cách tự động. Các bản cập nhật khuyến nghị xử lý những vấn đề không nghiêm trọng hay giúp cải thiện trải nghiệm của hệ thống. Cho dù bản cập nhật loại này không nhằm loại trừ các lỗi nghiêm trọng song chúng có thể cải thiện hiệu năng hệ thống một cách tương đối. Các bản cập nhật tùy chọn có thể là các trình điều khiển hay phần mềm mới nhằm cải thiện các trải nghiệm của hệ thống. Tùy thuộc vào kiểu cập nhật, Microsoft có thể phân chia thêm thành các loại như sau: ▪ Cập nhật an ninh: là bản cập nhật nhằm vào một sản phẩm/bộ phận cụ thể để vá các lỗ hổng an ninh. Nguy cơ tổn thương về an ninh được đánh giá dựa trên mức độ nghiêm trọng của chúng và được chia thành: nghiêm trọng, quan trọng, vừa phải, và thấp. ▪ Cập nhật rất quan trọng: là bản vá lỗi cho vấn đề cụ thể như các lỗi nghiêm trọng hay các lỗi không liên quan đến an ninh. ▪ Gói dịch vụ: là tập các bản cập nhật đã được kiểm tra. Với hệ thống nhỏ việc sử dụng tính năng tự động cập nhật rất hữu ích và giúp tiết kiệm thời gian. Khi này chương trình cập nhật chạy ở chế độ nền không ảnh hưởng đáng kể đến các chương trình khác. Trong mạng lớn có hàng trăm máy tính thì chương trình Windows Update không phù hợp. Khi này, cần sử dụng dịch vụ cập nhật máy chủ Windows WSUS (Windows Server Update Services). Dịch vụ này cho phép người quản trị quản lý việc phân phối các bản cập nhật và các bản vá lỗi tới các máy tính trong miền quản lý. WSUS tải về các bản cập nhật từ Microsoft hay từ các máy chủ WSUS khác. 4.2 Sao lưu và khôi phục dự phòng Sao lưu và khôi phục là các hoạt động tối quan trọng đảm bảo việc vận hành hệ thống được an toàn và tin cậy. Về cơ bản, sao lưu (back-up) là tạo các bản sao của dữ liệu để có thể khôi phục (restore) dữ liệu gốc trong tình huống lỗi. Mặc dầu, mục đích của việc sao lưu là rất rõ ràng song người quản trị cần phải đánh giá nhiều lựa chọn để xác định cách sao lưu/khôi phục phù hợp với máy tính chịu sự quản trị của mình. Các dữ liệu sao lưu có thể được lưu trữ trên nhiều phương tiện khác nhau như ổ đĩa cứng, ổ đĩa quang, hay băng từ. Băng từ đã từng là phương tiện sao lưu phổ biến nhờ có khả năng lưu trữ khối lượng lớn dữ liệu và chi phí thấp song tốc độ truy nhập chậm. Ổ đĩa quang mắc phải vấn đề suy giảm chất lượng lưu trữ theo thời gian. Ổ cứng trở thành phương tiện sao lưu phổ biến do chi phí giảm, tốc độ truy nhập cao. Trên thực tế thường sử dụng ở dạng ổ đĩa kết nối qua mạng nhằm nâng cao dung lượng và độ an toàn. Việc sao lưu toàn bộ hệ thống là hoàn toàn có thể làm được song người quản trị cần cân nhắc giữa các lần sao lưu sao cho phù hợp. Người quản trị có thể phân biệt loại file cần được sao lưu như chương trình và dữ liệu. Trên cơ sở đó áp dụng các chính sách sao lưu và lựa chọn phương tiện sao lưu. Mặt khác người quản trị có thể lựa chọn các phương pháp như sau để thực hiện việc sao lưu: ▪ Trực tuyến: Dùng đĩa cứng hoặc chuỗi đĩa cứng có thể khôi phục ngay lập tức. Phương pháp này đòi hỏi chi phí cao vì toàn bộ dữ liệu được sao lưu đồng thời với quá trình chạy của hệ thống. ▪ Cận trực tuyến: thường dùng băng từ, thời gian khôi phục lâu hơn ▪ Không trực tuyến: cần thao tác của người quản trị để thực hiện sao lưu. Cách này mất nhiều thời gian cho việc sao lưu và khôi phục ▪ Sao lưu toàn bộ/sao lưu phòng thảm họa: sao lưu toàn bộ hệ thống phòng sự cố có thể chuyển sang vị trí khác để hoạt động. Thực chất, cách này đòi hỏi không chỉ dự phòng về dữ liệu mà cả về thiết bị. Khi thực hiện các thao tác sao lưu người quản trị có thể áp dụng các chính sách lưu sau đây: ▪ Sao lưu toàn bộ: Tạo bản sao toàn bộ file và dữ liệu ▪ Sao lưu tăng dần: Sao lưu toàn bộ tiếp theo là sao lưu tăng dần ▪ Sao lưu khác biệt: Sao lưu toàn bộ tiếp theo là sao lưu các file và dữ liệu khác biệt. Để thuận tiện cho việc quản trị, Microsoft cung cấp chương trình sao lưu và khôi phục “Windows Server Backup”. Chương trình cho phép người quản trị lựa chọn các chính sách, loại file cũng như phương tiện sao lưu khác nhau. Việc sao lưu có thể được tiến hành theo lịch của người quản trị. Hình 4-2. Cấu hình thời gian thực hiện sao lưu. Người quản trị có thể chọn việc khôi phục được thực hiện căn cứ vào dữ liệu được sao lưu như trong hình sau: Hình 4-3. Chọn dữ liệu sao lưu theo ngày để khôi phục Ngoài ra tùy thuộc vào cách sao lưu mà người quản trị có thể lựa chọn việc khôi phục toàn bộ hệ thống hay một phần trạng thái của hệ thống. Cách này thường áp dụng khi hệ thống hoạt động không tin cậy do cài đặt các bản cập nhật không tương thích hoàn toàn với hệ thống đang chạy. 4.3 Khắc phục các sự cố trong Windows Có hai cách tiếp cận khi xử lý lỗi và thực tế thì cả hai cách này bổ trợ cho nhau: ▪ Kinh nghiệm : Xử lý vấn đề cụ thể đã gặp từ trước. Thông thường cách này dựa vào việc nhận biết các triệu chứng lỗi hay các thông báo lỗi. ▪ Hệ thống: nhằm xử lý triệt để vấn đề và giảm thiểu việc dự đoán nguyên nhân. Để xác định và xử lý triệt để lỗi trong quá trình vận hành hệ thống, người quản trị có thể áp dụng các bước như sau: 1. Tìm ra vấn đề: xác định và ghi lại các triệu chứng của sự cố và tìm trong thư viện kỹ thuật như “Microsoft Knowledge Base” hay cộng đồng trên mạng 2. Đánh giá cấu hình hệ thống: tìm hiểu các thay đổi cấu hình (kiểm tra trong Event viewer) diễn ra trong khoảng thời điểm xảy ra sự cố. Ngoài ra, liệt kê hay theo dõi các giải pháp có thể và cố gắng cách ly vấn đề bằng cách loại trừ phần cứng và phần mềm bằng cách chạy phần mềm kiểm tra đánh giá hoặc theo dõi file nhật ký. 3. Thực hiện kế hoạch: thử các giải pháp tiềm năng và có kế hoạch với sự việc bất ngờ đặc biệt khi giải pháp không có tác dụng hay ảnh hưởng tiêu cực đến hệ thống. 4. Kiểm tra kết quả: nếu vấn đề vẫn tồn tại thì thực hiện lại các bước trên 5. Chủ động: luôn ghi chú lại các thay đổi thực hiện trong khi xử lý sự cố. Việc này đặc biệt hữu ích trong tình huống giải pháp dự kiến không giải quyết được sự cố. Windows đi kèm với nhiều công cụ trợ giúp cho việc theo dõi trạng thái hoạt động của hệ thống như: − System Information − Event Viewer − Task Manager − Resource Monitor − Performance Monitor − System Configuration − Memory Diagnostics tool Microsoft cung cấp “Recovery Console” để giúp người quản trị xử lý trường hợp hệ thống không khởi động được. Chương trình Recovery console có thể được sử dụng qua giao diện dòng lệnh hoặc đồ họa. Với giao diện tối thiểu, chương trình này cho phép người quản trị thực hiện một số thao tác sửa lỗi cơ bản như loại bỏ các cấu hình tiềm ẩn lỗi, chạy hệ thống ở chế độ cấu hình tối thiểu (safe mode). Bên cạnh đó, chương trình này cung cấp một số lệnh như kiểm tra ổ đĩa chkdsk, cấm hay cho phép dịch vụ chạy qua câu lệnh enable/disable, sửa phân vùng khởi động fixboot, liệt kê các dịch vụ và trình điều khiển có trong máy tính listsvc… Hình 4-4. Lựa chọn sửa lỗi 4.4 Giám sát hoạt động và kiểm toán Windows Giám sát và tinh chỉnh hiệu năng là quá trình theo dõi việc vận hành của hệ thống để xác lập tiêu chuẩn cơ sở, xác định và xử lý vấn đề tiềm năng. Microsoft cung cấp một số công cụ cho người quản trị theo dõi hiệu năng và việc sử dụng tài nguyên hệ thống như giám sát hiệu năng (Performance Monitor), quản lý công việc (Task Manager), giám sát tài nguyên (Resource Monitor), và xem bản ghi sự kiện (Event Viewer). 4.4.1 Chương trình quản lý nhiệm vụ Chương trình quản lý nhiệm vụ theo dõi thông tin tổng thể về hiệu năng, các ứng dụng và tiến trình đang chạy, danh sách người dùng đăng nhập vào hệ thống. Như vậy, người quản trị có thể xác định được tình trạng chung của hệ thống. Về chức năng, chương trình cung cấp các thông tin như sau: ▪ Mục ứng dụng: cho biết danh sách ứng dụng đang chạy và trạng thái tương ứng. ▪ Tiến trình: các tiến trình của người dùng đang chạy trong hệ thống. ▪ Dịch vụ : các dịch vụ Windows đang chạy. ▪ Hiệu năng : theo dõi việc sử dụng các tài nguyên phần cứng như bộ xử lý, bộ nhớ, ổ đĩa. ▪ Kết nối mạng: giám sát các giao tiếp mạng được cài đặt và việc sử dụng chung. ▪ Người dùng: thông tin về người dùng đăng nhập vào hệ thống. Hình 4-5. Chương trình quản lý nhiệm vụ Không những vậy, chương trình quản lý công việc còn cho phép tương tác với các chương trình đang chạy hay người dùng đăng nhập vào hệ thống như chấm dứt chương trình hay loại bỏ người dùng ra khỏi hệ thống đang chạy. 4.4.2 Nhật ký Windows Hệ điều hành Windows định nghĩa sự kiện là bất cứ điều gì đáng kể xảy ra khi vận hành hệ điều hành hay ứng dụng. Các sự kiện này cần được lưu lại phục vụ mục đích theo dõi. Các thông tin có được theo dõi như cảnh báo, các lỗi, hay các sự kiện kiểm toán. Có hai kiểu file nhật ký sự kiện là: ▪ Nhật ký Windows: lưu lại các sự kiện hệ thống nói chung liên quan đến ứng dụng, an ninh, cài đặt và các thành phần hệ thống; ▪ Nhật ký dịch vụ và ứng dụng: lưu lại việc sử dụng của ứng dụng hay dịch vụ cụ thể. Hình 4-6. Chương trình xem các sự kiện được lưu lại Để xem nhật ký sự kiện, người quản trị sử dụng chương trình “Event Viewer” như trong hình trên. Với mỗi sự kiện chương trình sẽ đánh dấu tương ứng như sau: ▪ Thông tin: Thông báo thông thường về thao tác được thực hiện thành công. ▪ Cảnh báo: Mô tả sự kiện không nghiêm trọng nhưng cần chú ý để tránh các vấn đề xa hơn. ▪ Lỗi: Cho biết một lối hay vấn đề không nghiêm trọng xảy ra. ▪ Nghiêm trọng: Cho thấy một lỗi nghiêm trọng hay vấn đề rất đáng kể xảy ra. ▪ Kiểm toán thành công: Mô tả sự kiện kiểm toán an ninh thành công như yêu cầu. ▪ Kiểm toán thất bại: Mô tả sự kiện kiểm toán an ninh không thành công như yêu cầu. 4.4.3 Kiểm toán Việc kiểm toán cho phép người quản trị theo dõi cả truy nhập thực tế và cố thử truy nhập hay các sửa đổi các đối tượng và chính sách của hệ thống. Các đối tượng có thể là thư mục và file cũng như các đối tượng an ninh của hệ thống. Cách chính sách kiểm toán hỗ trợ việc đảm bảo an toàn cho hệ thống, theo dõi các sửa đổi các dữ liệu nhạy cảm hay các tài khoản cần để ý. Có hai tập chính sách kiểm toán trong một đối tượng chính sách nhóm GPO: chính sách kiểm toán truyền thống và nâng cao. Chính sách truyền thống có từ bản Server 2000. Chính sách này có nhược điểm là chúng không đủ cụ thể và khó cấu hình. Chính sách nâng cao khắc phục nhược điểm này và cung cấp 10 nhóm cài đặt với 58 chính sách kiểm toán riêng lẻ. Hình 4-7. Chính sách kiểm toán nâng cao Các nhóm chính sách tiêu biểu bao gồm: ▪ Đăng nhập: theo dõi việc xác thực thông tin đăng nhập ▪ Quản lý tài khoản: theo dõi các thao tác thay đổi tài khoản như người dùng, máy tính... ▪ Theo dõi chi tiết: theo dõi việc chạy chương trình, các lời gọi hàm từ xa... ▪ Truy nhập thư mục động: theo dõi việc truy nhập hay các chức năng của thư mục động. ▪ Truy nhập đối tượng: theo dõi việc truy nhập các file, thư mục hay ứng dụng. 4.5 Giới thiệu các công cụ quản trị Windows từ xa Để quản trị Windows từ xa, người quản trị có thể sử dụng các dịch vụ màn hình làm việc từ xa (Remote Desktop Services) cho phép sử dụng ứng dụng và dữ liệu trên máy tính ở xa. Với bản Server 2012, người quản trị có thể truy nhập máy chủ Windows cục bộ hay ở xa trực tiếp thông qua chương trình “Server Manager”. Khi này các máy tính được quản lý trông giống như các file bên trong thư mục (Hình 4-8). Người quản trị tương tác với các máy chủ thông qua giao diện tiêu chuẩn của Windows. Hình 4-8. Danh sách các máy chủ được quản trị từ giao diện Thông qua giao diện, người quản trị có thể truy nhập tới các chức năng cài đặt cấu hình hay quản trị máy chủ như trên máy cục bộ. Điều này giúp đơn giản hóa và thuận tiện cho việc quản trị. Ngầm định, bản Server 2012 được cấu hình để cho phép chức năng quản trị từ xa. Bản Server 2008 cũng có thể được quản trị từ xa qua “Server Manager” tuy nhiên với bản Server 2003 thì bị hạn chế. Trên bản Server 2012, người quản trị có thể dùng câu lệnh Configure-SMRemoting để cho phép hay cấm tính năng quản trị từ xa. Hình 4-9. Thêm máy chủ để quản trị Để quản trị các máy chủ trong hệ thống, người quản trị cần thực hiện các thao tác thêm máy chủ để quản lý từ chức năng “Add server” của chương trình “Server Manager” như trong hình sau. Sau khi có được các máy chủ cần quản lý, người quản trị có thể thực hiện các thao tác như tập hợp các sự kiện, theo dõi các dịch vụ và hiệu năng từ các máy được quản lý một cách thuận tiện và dễ dàng. 4.6 Tăng cường bảo mật cho Windows Bảo mật dữ liệu, bảo mật mạng, bảo mật thông tin xác thực và danh tính - tất cả những điều này đang trở nên ngày càng khó thực hiện hơn, tuy nhiên luôn có những công cụ và công nghệ mới ra đời có thể giúp chống lại các cuộc tấn công. Trong các bản Windows Server gần đây như 2016, 2019 đã có rất nhiều các cải tiến, nâng cấp của các phần mềm được cài sẵn nhằm tăng cường bảo mật cho Windows. 4.6.1 Windows Defender Antivirus Thuật ngữ Windows Defender đã xuất hiện từ nhiều năm và đã có các bước phát triển vượt bậc với các bản phát hành hệ điều hành mới. Windows Defender đã tồn tại từ năm 2005, vào thời điểm đó nó cung cấp khả năng bảo vệ chống phần mềm độc hại rất đơn giản. Kỷ nguyên Windows 8 đã giới thiệu một thay đổi khá đáng kinh ngạc cho người dùng Windows, bao gồm cả Windows Defender được tích hợp sẵn trong hệ điều hành. Mặc dù điều này nghe có vẻ tuyệt vời trên lý thuyết, nhưng các khả năng của Windows Defender không được như kỳ vọng. Tuy nhiên, cho đến ngày nay, phiên bản mới Windows Defender Advanced Threat Protection trở thành một phần mềm chống virus/phần mềm độc hại được cải tiến nhiều chức năng và đang chạy trên hàng triệu máy khách Windows 10 cũng như các phiên bản Windows Server hiện tại. Tính năng Chống Virut của Windows Defender Antivirus (WDA) tồn tại trong hệ điều hành và được bật theo mặc định, do đó có mức độ tích hợp và khả năng đáp ứng mà các nhà cung cấp bên thứ ba khó có thể sánh được. Một số người vẫn coi khả năng chống virus do Defender cung cấp là yếu, có lẽ một phần do nó được cung cấp miễn phí, nhưng chắc chắn WDA có nhiều lợi thế so với phần mềm diệt virus của bên thứ ba. Hệ điều hành máy chủ đầu tiên có tích hợp sẵn WDA là Windows Server 2016 và đặt nâng cấp hoàn thiện tại Windows Server 2019. a. Cài đặt Windows Defender Antivirus Tính năng diệt virut của WDA được cài đặt theo mặc định trong Windows Server 2016 và 2019. Trên thực tế, theo mặc định, WDA không chỉ được cài đặt mà còn tự động bảo vệ hệ thống ngay khi hệ điều hành được cài đặt. Tuy nhiên nếu WDA chưa được cài đặt, ta có thể vào “Server manager”, chọn “add roles and features”, chọn “features” rồi tích vào ô ghi Windows Defender Antivirus để cài đặt (hình 4-10). Hình 4-10. Cài đặt Windows Defender Antivirus Hình 4-11. Các tính năng của Windows Defender Các tính năng của Windows Defender nằm trong mục vùng bảo vệ Protection Areas bao gồm: Bảo vệ khỏi virus và mối đe dọa, bảo vệ tường lửa và mạng, điều khiển ứng dụng và trình duyệt, an ninh thiết bị (hình 4-11). b. Tắt Windows Defender Antivirus. WDA được bật theo mặc định, cũng như nhiều thành phần khác tạo nên dòng sản phẩm Windows Defender. Bằng cách gạt các tùy chọn trên hình 4-12, WDA có thể tạm thời bị tắt. Ngoài ra nếu người dùng không muốn dùng WDA vì đã có phần mềm diệt virut riêng muốn cài thì cần cài phần mềm nay, khởi động lại Windows Server thì WDA sẽ tự động tắt và không gây xung đột với phần mềm diệt virut của bên thứ ba. Hình 4-12. Quản lý các tùy chọn bảo vệ chống virus và mối đe dọa Nếu người dùng muốn hoàn toàn xóa bỏ WDA thì có thể sử dụng lệnh sau thông qua PowerShell (hình 4-13): Uninstall-WindowsFeature -Name Windows-Defender. Hình 4-13. Xóa WDA Ngoài ra, Windows Defender Advanced Threat Protection Exploit Guard (bộ bảo vệ các mối đe dọa nâng cao và bị tấn công khai thác của Windows) cũng là một tính năng bảo mật mới được Windows giới thiệu gần đây. Có 4 thành phần chính bao gồm: Attack Surface Reduction (ASR) (giảm bề mặt tấn công): ASR là một loạt các trình điều khiển có thể được kích hoạt để ngăn chặn việc khởi chạy một số loại tệp nhất định. Nó giúp giảm thiểu khả năng bị tấn công bởi các phần mềm độc hại khi người dùng không may nhấp vào các tệp đính kèm độc hại trong email. ASR có thể giúp ngăn chặn việc khởi chạy bất kỳ tệp thực thi hoặc tập lệnh nào từ bên trong email. Network protection (Bảo vệ mạng): kích hoạt Windows Defender Smart Screen để ngăn chặn các phần mềm độc hại hoạt động ngầm, có thể liên lạc được với kẻ tấn công (người tạo ra các phần mềm độc hại này) và truyền dữ liệu quan trọng ra ngoài. Smate Screen sử dụng việc xếp hạng uy tín của các trang web hoặc địa chỉ IP để chặn lưu lượng truy cập. Controlled folder access (truy cập thư mục được kiểm soát): giúp bảo vệ máy tính chống lại phần mềm tống tiền (Ransomware) bằng cách chặn các quy trình không đáng tin cậy xâm nhập vào các khu vực đã được bảo vệ trên ổ cứng. Ransomware là một loại phần mềm độc hại cài đặt ứng dụng vào máy tính nạn nhân, sau đó mã hóa các tệp trên. Nạn nhân không có khả năng mở hoặc sửa lại các tệp tin đó nếu không có khóa giải mã do đó nếu muốn giải mã cần mua khóa giải mã từ kẻ tấn công (nộp tiền chuộc). Hàng năm rất nhiều công ty đã phải trả các khoản tiền chuộc rất lớn do không có biện pháp bảo vệ tốt hoặc sao lưu dữ liệu. 4.6.2 Windows Defender Firewall Trong khoảng thời gian mà Windows XP và Windows 2003 thịnh hành thì Windows Firewall không được đánh giá cao vì nó gây ra nhiều vấn đề hơn là lợi ích nó mang lại và thường bị người dùng tắt đi khi sử dụng Windows. Tuy nhiên hiện nay với phiên bản mới Windows Defender Firewall with Advanced Security (WFAS), Windows Firewall trở nên mạnh mẽ, hiện đại hơn và có thể sử dụng để nâng cao khả năng bảo mật của hệ thống. Có 3 cách khác nhau để cấu hình Windows Firewall. a. Windows Defender Firewall (Control Panel): Windows Defender Firewall có thể thực hiện cài đặt và cấu hình Windows Firewall thông qua bảng điều khiển Control Panel quen thuộc với người dùng Windows (hình 4- 14): Hình 4-14. Cấu hình Windows Firewall thông qua Control Panel b. Firewall & network protection (Windows Security Settings): Bên cạnh cấu hình Windows Firewall thông qua Control Panel truyền thống thì nó cũng có thể cấu hình thông qua Windows Sercurity settings nằm trong Windows Setting và chọn Update & Security và nó chính là mục Firewall & network protection (hình 4- 15): Hình 4-15. Cấu hình Windows Firewall thông qua Firewall & network protection Trong phần cấu hình này ta có thể cài đặt tường lửa để bảo vệ dữ liệu truyền trong mạng LAN bằng cách bật Windows Firewall trong Domain network. c. Windows Defender Firewall with Advanced Security (WFAS) Những cài đặt nâng cao của Windows Firewall có thể được cấu hình bằng cách sử dụng câu lệnh wf.msc để khởi chạy WFAS trong PowerShell (hình 4.16). Hình 4-16. Cấu hình chi tiết cho Windows Firewall WFAS cung cấp thông tin chi tiết cho các hoạt động và các quy tắc của Windows Firewall và có thể thực hiện cấu hình chi tiết theo các yêu cầu cụ thể. Ngoài khu vực giám sát thì ta có thể xem các luật bảo vệ kết nối (connection Security Rules). Một trong những cải tiến của Windows Firewall đó là nó tạo ra các kết nối đường hầm được mã hóa. Cụ thể là Windows Firewall hỗ trợ cấu hình giao thức IPSec để mã hóa cho lưu lượng mạng. Theo hình 4-16, có 3 cấu hình tường lửa khác nhau giúp cho người dùng lựa chọn khi kết nối vào các loại mạng khác nhau (mạng nhà riêng, mạng công ty hay mạng địa điểm công cộng…), cụ thể là: - Domain profile: Cấu hình này chỉ có thể áp dụng khi máy tính tham gia vào miền (domain) nhất định, miền này có kết nối mạng và có domain controller điều khiển truy cập cho máy của người dùng. - Private profile: Khi kết nối người dùng chọn là nhà riêng (Home), cơ quan (Work) - Public profile: Đây là cấu hình mặc định của Windows các phiên bản mới nếu người dùng không lựa chọn mạng kết nối là Home hay Work. Đây là cấu hình khi người dùng sử dụng mạng ở nơi công cộng có độ an toàn thấp. Mỗi kết nối mạng có thể được gán một cấu hình riêng, tức là ta có thể có nhiều cấu hình tường lửa hoạt động cùng lúc trên cùng một hệ thống nhưng hình 4-16, Domain Profile và Public Profile đều hoạt động. Ngoài ra trong Inbound Rules và Outbound Rules người dùng hoàn toàn có thể thêm các luật riêng của mình và để kiểm soát lưu lượng. d. Quản lý WFAS với chính sách nhóm Hiện nay, ta có thể quản lý các luật của Windows Firewall trên máy chủ và máy khách. Tuy nhiên việc quản lý tập trung cho tất cả các thiết bị trong miền thì cần phải có sự trợ giúp của Đối tượng chính sách nhóm – Group Polocy Object (GPO). Nhờ có nó ta có thể thiết lập chính sách cho tất các máy tham gia miền, thậm chí có thể tạo GPO riêng áp dụng cho máy chủ và GPO riêng áp dụng cho máy khách. Hơn nữa hoàn toàn có thể gom một vài máy lại thành một nhóm nhỏ và tạo một GPO cho nhóm đó. Hình IV-17. Cấu hình Windows Firewall trong GPO 4.6.3 Áp dụng các công nghệ mã hóa Ngày nay việc trao đổi dữ liệu qua internet có sử dụng mã hóa đã trở nên quen thuộc đối với người dùng, các tổ chức cũng như các doanh nghiệp. Bên cạnh một số ít các công ty lưu trữ web giá rẻ cung cấp các trang đăng nhập truyền lưu lượng truy cập không được mã hóa thì hầu hết lưu lượng truy cập trang web đã được mã hóa bằng cách sử dụng các trang web https. Điều này rất quan trọng bởi vì bất kỳ thứ gì người dùng gửi qua Internet hiện đang sử dụng HTTP thông thường hoặc email không được mã hóa đều có thể được đọc bởi bên thứ ba. Mặc dù có thể thấy sự cải thiện ngày càng tốt hơn trong việc bảo vệ lưu lượng truy cập của trình duyệt internet nhưng các doanh nghiệp, tổ chức vẫn còn đang thiếu sự quan tâm đến sự an toàn của dữ liệu trong mạng nội bộ của mình. Tin tặc có rất nhiều phương pháp, công cụ để xâm nhập vào mạng nội bộ của doanh nghiệp, từ đó nếu không đảm bảo an toàn cho dữ liệu bên trong mạng nội bộ thì mọi thứ sẽ bị khai thác dễ dàng bởi kẻ tấn công. Các phiên bản Windows Server gần đây (cụ thể Windows Server 2019) cung cấp khả năng chống lại các hành vi xâm nhập bất hợp pháp và bảo vệ dữ liệu của người dùng trong mạng nội bộ. Các công cụ cung cấp bảo mật có thể kể đến sau đây: a. BitLocker và the vitural TPM Bitlocker được cài đặt trên máy khách và cung cấp khả năng mã hóa toàn bộ ổ đĩa, do đó nếu máy tính hay máy tính xách tay của công ty bị đánh cắp thì dữ liệu trong các ổ cứng đều được bảo vệ. Ngoài ra công nghệ này cũng phát huy ưu điểm khi yêu cầu cần thiết phải lưu trữ dữ liệu trên các thiết bị lưu trữ di động. Ngoài ra, công nghệ điện toán đám mây ngày càng phát triển và trở nên quen thuộc với người dung. Tuy nhiên việc bảo vệ dữ liệu trên “đám mây” thì vẫn là vấn đề lớn, khi mà người quản trị đối với nền tảng máy chủ ảo hóa này có có thể dễ dàng lấy dữ liệu trên ổ cứng máy chủ của khách hàng bằng cách đơn giản là tạo bản sao các tệp nội dung VHDX và đọc chúng trên hệ thống cá nhân của họ. Lúc này Bitlocker sẽ không thể sử dụng để mã hóa máy ảo bởi vì khi ổ cứng được mã hóa thì máy ảo sẽ không thể khởi động và không được mở khóa mã hóa. Có 2 phương pháp để mở khóa máy để khởi động được. Cách đầu tiên là lưu trữ các khóa mở bên trong mô đun nền tảng an toàn - Trusted Platform Module (TPM), đây là một vi mạch vật lý tích hợp ngay trong hầu hết các máy tính ngày nay và ta chỉ cần có mật khẩu để vào TPM sau đó TPM sẽ mở khóa bitlocker. Cách thứ hai là sử dụng một USB có chứa khóa mở khóa Bitlocker. Tuy nhiên cả hai phương pháp này đều không thể áp dụng khi người dùng sử dụng dịch vụ của cá công ty lưu trữ đám mây, bởi vì máy ảo không có chip TPM vật lý và người dùng cũng không có cách nào để cắm USB vào để mở khóa. Kể từ Windows Server 2016, Microft đã cung cấp cho người dùng the vitural TPM, đây là công nghệ TPM ảo lưu khóa mở và có thể sử dụng với các máy ảo. Tức là người dùng có thể mInã hóa máy chủ cho dù nó được lưu trữ trên các máy chủ ảo Hyper-V vật lý của họ hay ở trên các dịch vụ đám mây như Azura. Việc sử dụng BitLocker và vitural TPMs để mã hóa và bảo vệ các tệp ổ cứng ảo được gọi là Shielded Vitural Machine, được giới thiệu ở Windows Server 2016 và được hoàn thiện ở Windows Server 2019. b. Mạng ảo được mã hóa (Encrypted virtual networks - EVN) Sử dụng công nghệ mạng do phần mềm định nghĩa - Software Defined Networking (SDN), EVN cho phép: Cấu hình, kiểm soát và quản lý mạng sử dụng giao diện quản trị đồ họa; Linh hoạt của mạng để di chuyển máy chủ và khối lượng công việc từ mạng con này sang mạng con khác mà không phải thay đổi địa chỉ IP hoặc định tuyến trên các máy chủ; Tự động mã hóa tất cả lưu lượng truy cập giữa các máy chủ mà không cần phải cấu hình mã hóa đó trên lần lượt trên các máy chủ. c. Mã hóa hệ thống tệp (Encrypting File System – EFS) EFS là thành phần của cả máy chủ và máy khách Windows. Trong khi BitLocker mã hóa toàn bộ ổ cứng hoặc ổ đĩa, EFS cho phép mã hóa tệp hoặc thư mục cụ thể. Windows cần sử dụng chứng chỉ người dùng như một phần của quy trình mã hóa/giải mã và do đó cần sử dụng PKI nội bộ là để quản lý khóa. Tuy nhiên, các khóa xác thực thường là mật khẩu người dùng do vậy nguy cơ bảo mật cao nếu tài khoản người dùng bị lộ. BitLocker và EFS có thể cùng tồn tại, giữ an toàn cho dữ liệu ở hai tầng khác nhau thay vì chỉ dựa vào một trong các công nghệ mã hóa dữ liệu có sẵn. d. IPSec Với việc sử dụng SSL trên các web HTTPs để mã hóa dữ liệu truyền trên Internet thì IPsec là giải pháp để bảo vệ dữ liệu truyền trong mạng nội bộ. IPsec là một bộ giao thức có thể được sử dụng để xác thực và mã hóa các gói tin trong quá trình giao tiếp mạng. Trong Windows, IPsec được sử dụng khi cấu hình máy chủ RA của dịch vụ truy cập từ sử dụng VPN, được gọi là IPsec (IKEv2) tunnels. Ngoài ra dịch vụ từ xa DirectAccess cũng sử dụng IPsec để đảm bảo kết nối an toàn giữa máy khách DirectAccess và máy chủ DirectAccess. Các dịch vụ được quản lý chung bởi bảng điều khiển quản lý truy cập từ xa - Remote Access Management Console. e. Các mật khẩu bị cấm Các mật khẩu bị cấm (banned passwords) là chức năng mới của Azure Active Directory – dịch vụ đám mây của Microsoft. Microsoft duy trì một danh sách chung về các mật khẩu yếu phổ biến (chẳng hạn như từ password) và tự động chặn tất cả các biến thể của mật khẩu như P@ssword, Password123, v.v. Bất kỳ mật khẩu kiểu này sẽ bị chặn hoàn toàn và người dùng không thể lấy chúng để đặt mật khẩu. Ngoài ra người dùng cũng có thể tự thêm dữ liệu vào danh sách này. Sau khi mật khẩu bị cấm được thiết lập và hoạt động trong Azure, nó cũng có thể hoạt động trên thư mục động của máy người dùng bằng cách sử dụng dịch vụ proxy bảo vệ mật khẩu của Azure Active Directory. Dịch vụ này đảm bảo rằng mật khẩu mà người dùng cố gắng đặt trên máy chủ miền cục bộ phù hợp với các quy tắc được xác định bởi mật khẩu bị cấm của Azure. Dịch vụ này được triển khai khi người dùng sử dụng Azure Active Directory và hỗ trợ cả Windows Server 2012. Để sử dụng công nghệ này, tất nhiên người dùng phải sử dụng Azure Active Directory, tức là phải trả phí cho Azure, vì vậy công nghệ bị hạn chế về người dùng. Tuy nhiên, nếu người dùng có và đồng bộ hóa với Azure Active Directory, thì công nghệ này có hỗ trợ các phiên bản cũ hơn của Domain Controller, ví dụ như Windows Server 2012. 4.7 Câu hỏi ôn tập cuối chương 1. Trình bày các cách thức cập nhật trong Windows? 2. Tại sao cần có sao lưu và khôi phục? Trình bày các phương pháp và chính sách sao lưu trên Windows? 3. Các cách tiếp cận để xử lý lỗi trên Windows là gì? Nêu quy trình để xác định và xử lý triệt để lỗi trong quá trình vận hành hệ thống? 4. Liệt kê các công cụ trợ giúp theo dõi hệ thống trong Windows? 5. Các công cụ giúp theo dõi hiện năng và sử dụng tài nguyên hệ thống trong Windows là gì? 6. Chương trình quản lý nhiệm vụ trong Windows cung cấp các thông tin gì? 7. Nhật ký Windows là gì? Có mấy kiểu file nhật ký sự kiện? 8. Tạo sao lại cần kiểm toán? Trình bày cách thức kiểm toán trên Windows? 9. Trình bày khái niệm và cách cài đặt các công cụ quản trị Windows từ xa? 10. Trình bày khái niệm và cách cài đặt Windows Defender Firewall? 11. Trình bày về Windows Defender Firewall with Advanced Security? 12. Trình bày về các phương pháp sử dụng công nghệ mã hóa: BitLocker, EVN, IPSec, banned passwords.
