April 2010 - Posts - Phuong MSP

Community

Email Notifications

April 2010 - Posts

Ưu và Nhược Trong Bảo mật Windows 7

Windows 7 được coi là hệ điều hành an toàn nhất từ trước đến nay của Microsoft, nhưng nó chưa thực sự hoàn hảo. Hãy cùng chấm điểm những ưu và khuyết trong vấn đề bảo mật của Windows 7.

Trong bản tin Security Intelligence Report của Microsoft được công bố mới đây cho thấy đã có sự cải tiến vượt bậc về mức độ bảo mật từ Windows XP đến Windows 7. Tuy nhiên, không hệ điều hành nào là thực sự hoàn hảo. Cho dù Windows 7 được xem là “pháo đài vững chắc”, nhưng vẫn còn những yếu điểm để có thể bị đánh bại. Hãy cùng 2 chuyên gia bảo mật hàng đầu, Reguly và Wisniewski điểm qua những điểm mạnh và điểm yếu của “pháo đài” này.

Những cải tiến mới mẽ

Microsoft đã có những cải tiến quan trọng để bảo vệ nhân hệ thống của Windows và tăng cường thêm một vài tính năng bảo mật mới trong quá trình chuyển đổi và phát triển từ Windows XP đến Windows Vista. Với Windows 7, một vài tính năng bảo mật đó được tăng cường thêm và Microsoft cũng không quên bổ sung thêm các tính năng mới.

Dưới đây là một vài tính năng bảo mật đáng lưu ý của Windows 7:

1. ASLR (Address Space Layout Randomization) và DEP (Data Execution Prevention) là 2 tính năng đã từng có trong Windows Vista, nhưng đã được cải tiến đáng kể trên Windows 7.

ASLR là cơ chế bảo mật, sẽ gán các dữ liệu lên bộ nhớ một cách ngẫu nhiên nhằm tăng độ khó cho các kẻ tấn công có ý định lợi dụng những sơ hở của hệ thống.

Còn DEP là tính năng đã được từng được trang bị ở Windows XP, có tác dụng ngăn chặn tấn công thông qua lỗi tràn bộ nhớ đệm của hệ thống. Ngoài ra DEP còn có tác dụng ngăn chặn các đoạn mã độc tấn công và các tiến trình đang chạy trên hệ thống. Bạn đọc có thể xem thêm cách thức kích hoạt tính năng DEP trên Windows XP và Vista đã được Dân Trí giới thiệu tại đây.

Chester Wisniewski, cố vấn cao cấp của hãng bảo mật danh tiếng Sophos cho hay: “ASLR đã thực sự được cải tiến trong Windows 7, theo đó, các file thư viện (DLL) sẽ được load ngẫu nhiên vào trong địa chỉ bộ nhớ mỗi khi bạn khởi động hệ thống. Malware thường dựa vào các file cố định trên bộ nhớ để lợi dụng, và kỹ thuật này đã lợi dụng nhược điểm đó của các phần mềm mã độc.”

Wisniewski còn lưu ý thêm rằng DEP giờ đây đã bảo vệ tốt trình duyệt web Internet Explorer và các dịch vụ “xương sống” của hệ thống mà trước đây chưa được bảo vệ trong Windows Vista.

2. BitLocker: là tính năng mã hóa ổ đĩa lần đầu được Microsoft đưa ra trong Windows Vista. Ban đầu, tính năng này chỉ có thể mã hóa các phân vùng cài đặt Windows, và sau đó đã được mở rộng trong bản nâng cấp SP1, để mã hóa các phân vùng khác của ổ cứng, nhưng vẫn chưa thể mã hóa các ổ cứng gắn ngoài hoặc USB.

Tyler Reguly, kỹ sư trưởng của phòng nghiên cứu bảo mật nCirle cho hay, với Windows 7, Microsoft đã tích hợp thêm khả năng mã hóa dữ liệu trên USB, và tính năng này thực sự hiệu quả, bảo vệ hàng chục GB dữ liệu trên các thiết bị nhớ di động.

Bạn đọc có thể xem thêm cách thức sử dụng BitLocker trên Windows 7 đã được Dân trí giới thiệu tại đây.

3. Internet Explorer 8 (IE 8): đây là trình duyệt không thực sự dành riêng cho Windows 7 vì người dùng có thể download và sử dụng trên các phiên bản Windows cũ hơn. Nhưng cả Reguly và Wisniewki đều nhất trí rằng, IE8 thực sự là một bước đi đúng hướng của Microsoft.

Tyler Reguly bình luận: “Sự ra mắt của IE8 cho thấy rằng Microsoft đã thực sự quan tâm đến vấn đề bảo mật trên trình duyệt.”

Wisniewski cho biết thêm: “IE8 đã tích hợp thêm tính năng bảo vệ mới mang tên SmartScreen, tương tự với tính năng bảo mật của Google Chrome hay Firefox. Đây là tính năng lọc trang web, cho phép chặn các trang web chứa mã độc để bảo vệ cho người dùng”.

Nếu chưa sử dụng Windows 7, người dùng vẫn có thể download IE8 miễn phí tại đây (nếu gặp khó khăn trong việc download từ link trên, bạn có thể download tại đây)

Những “lỗ hổng” chưa được “lấp”

Như trên đã nói, mặc dù Microsoft rất nỗ lực trong việc nâng cao bảo mật, nhưng không hệ điều hành nào là thực sự hoàn hảo, và Windows 7 cũng như vậy. Dưới đây là một vài nhược điểm mà có lẽ, Microsoft phải lưu ý hơn trong các phiển bản Windows tiếp theo.

1. Windows Firewall: Windows đã mất một khoản thời gian không ngắn để tiến hành sáp nhập tường lửa với hệ điều hành, kết quả là sự ra đời của Windows Firewall. Tuy nhiên, rất tiếc, tường lửa mặc định của Windows chưa bao giờ được đánh giá cao, do không cung cấp những tính năng mạnh mẽ để lọc dữ liệu chuyển qua kết nối Internet, ngăn chặn các cuộc tấn công từ bên ngoài…

Windows Firewall - nhẹ nhàng nhưng không thực sự hiệu quả

Tyler Reguly nói: “Về lựa chọn cá nhân, tôi sẽ không sử dụng một phần mềm của hãng thứ 3. Tôi nhận thấy chúng sử dụng quá nhiều tài nguyên và ảnh hưởng không nhỏ đến hiệu suất hệ thống. Sẽ thật tuyệt vời nếu Windows Firewall trở nên mạnh mẽ hơn. Tôi xin lưu ý rằng, có sự tương quan giữa “mạnh mẽ hơn” và “tốn nhiều tài nguyên hệ thống”. Có lẽ, nguyên do khiến các phần mềm tường lửa của hãng thứ 3 trở nên “ngốn” nhiều tài nguyên hệ thống bởi lẽ chúng mạnh mẽ và hiệu quả hơn. Đây là điều mà Microsoft cần phải quan tâm để cân bằng giữa hiệu năng sử dụng và bảo mật của Windows Firewall”.

2. Ẩn dấu định dạng file: Mặc định, Microsoft vẫn tiếp tục dấu đi các định dạng file quen thuộc đã được biết đến, nghĩa là nếu 1 file có tên đầy đủ “dantri.jpg” thì Windows sẽ chỉ hiển thị “dantri”.

Tuy nhiên, Chester Wisniewski lại cho rằng, việc ẩn đi định dạng file lại là một nhược điểm có thể khiến phần mềm gián điệp lợi dụng để qua mắt người dùng. Wisniewski nói: “Điều này có thể giúp Trojan từ email sẽ dễ dàng sử dụng mánh khóa đơn giản để qua mắt người dùng, bằng cách thêm vào 1 định dạng giả cho file. Chẳng hạn file “virus.jpg.exe” chứa mã độc, sẽ chỉ được Windows hiển thị dưới dạng “virus.jpg” và người dùng sẽ nhầm tưởng đó là 1 file ảnh định dạng jpg vô hại và vô tình kích hoạt nó”.

3. Chế độ giả lập XP: Đây là chế độ giả lập, cho phép sử dụng các thiết bị phần cứng hoặc phần mềm chưa tương thích hoặc không hoạt động được trên Windows 7. Các thiết bị và phần mềm sẽ hoạt động bình thường và ổn định trong môi trường Windows XP giả lập.

Vấn đề có thể gặp ở đây là mặc dù hoàn toàn là môi trường của Windows XP, nhưng chế độ giả lập này không được bất kỳ sự bảo vệ nào từ Windows 7.

Chế độ Windows XP - Máy tính ảo không có sự che chắn trên Windows 7

Wisniewski giải thích: “Chế độ Windows XP mở đầu 1 lớp mới phức tạp cho vấn đề bảo mật trên Windows. Mặc định, Windows 7 tự động thiết lập phân vùng từ máy ảo Windows XP, đây sẽ là “miếng mồi ngon” cho malware nếu như nó không được hoàn toàn bảo vệ.”

4. User Account Control (UAC): Từng bị xem là tính năng “thừa” khi được đưa vào Windows Vista. Mục đích là để người dùng dễ dàng quản lí và không bị virus tự động kích hoạt hay qua mặt, nhưng với phần lớn người dùng, UAC bị xem là sự phiền nhiễu, và không mấy ai giữ nguyên tính năng này để sử dụng.

UAC - Không mang lại hiệu quả như mong muốn

Microsoft đã có sự cải tiến đáng kể của UAC trên Windows 7, khi đã bớt “làm phiền” người dùng hơn so với trước đây, tuy nhiên, nó lại không thực sự hiệu quả trong việc ngăn chặn sự xâm nhập của các phần mềm độc hại. Cả Tyler Reguly và Chester Wisniewski đều thống nhất rằng UAC không thực sự là một tính năng bảo mật nhưng cũng cho rằng Microsoft cần phải tiếp tục phát triển UAC để nó trở nên hoàn thiện hơn.

Trên đây là những nhận định của 2 chuyên gia hàng đầu về bảo mật với những cải tiến của Windows 7. Còn bạn, nếu bạn chỉ là người dùng phổ thông, thì nhận định của riêng bạn dành cho tính năng an toàn của Windows 7 là như thế nào? Hãy tự rút ra những kết luận cho riêng mình sau khi sử dụng hệ điều hành rât được Microsoft kỳ vọng này.

(Phuong Kim Tran sưu tầm)

Posted: 04-14-2010 3:47 AM by kimphuong1989 | with no comments

Bảo mật trong Windows 7

Windows 7 có thể được coi là bước đầu hoàn thiện những tính năng bảo mật cao cấp của dòng hệ điều hành Windows, sau những tính năng cơ bản của XP, những thử nghiệm mới của Vista. Bài viết này liệt kê, giới thiệu những gì mà Microsoft kì vọng sẽ làm mọi người thay đổi cái nhìn về an toàn trên Windows.

Qua bài viết người đọc cũng sẽ làm quen với một số thuật ngữ mới trong hệ thống phân phối Windows vì không phải tất cả những phiên bản Windows 7 đều có các đặc tính bảo mật như nhau. Có thể những bạn đọc thường xuyên của blog này hoặc quen thuộc với các hệ điều hành nguồn mở sẽ thấy ngạc nhiên vì nhiều điểm tương đồng giữa các công nghệ mới của Microsoft được giới thiệu ở đây với những gì đã có ở Ubuntu/RedHat/Asianux từ rất lâu. Có thể sẽ có vài bài viết phân tích về những điểm tương đồng này trong tương lai.

1. AppLocker

AppLocker là giải pháp mới của Microsoft để điều khiển các ứng dụng có thể quản lý được (còn gọi là quản lý theo dạng whitelisting). AppLocker được tích hợp trực tiếp vào nhân của Windows 7, được xem như là một thay thế vượt trội hơn cho cơ chế chính sách giới hạn phần mềm dựa trên GPO (Group Policy Objects) còn gọi là SRPs (Software Restriction Policies). AppLocker bổ sung thêm nhiều policy quản lý phần mềm linh hoạt hơn.

Các tính năng điều khiển ứng dụng của AppLocker chỉ được tích hợp trong các stock-keeping unit (SKU) [1] Windows 7 Enterprise. Phiên bản Enterprise chỉ giới hạn cho những người dùng đăng kí Enterprise Agreement/Software Assurance (EA/SA). Tuy nhiên, cơ chế SRPs cung cấp khả năng quản lý ứng dụng cũ hơn phổ biến trên Windows XP và Vista thì có sẵn trong tất cả các phiên bản enterprise, business và Ultimate của Windows 7, Vista, XP (Các phiên bản Home mặc định không cho chỉnh sửa GPO). Hiện tại AppLocker không thay thế hoàn toàn cho SRPs, mà người dùng có thể sử dụng cả hai trên cùng một máy.

2. User Account Control

User Account Control (UAC) không phải là một kỹ thuật hay ứng dụng riêng rẽ mà là một tập hợp của những công nghệ nhằm phục vụ cho hai chức năng chính – thứ nhất và quan trọng nhất là tăng cường khả năng tương thích cho user khi chạy ứng dụng với tư cách standard user, và thứ hai là tăng cường khả năng bảo vệ cho hệ thống khi user chạy ứng dụng với tư cách administrator.

Tất cả các phiên bản Windows 7 đều có tích hợp UAC.

3. BitLocker

BitLocker được Microsoft đưa ra để đáp ứng nhu cầu full disk encryption (FDE) nhằm bảo vệ các file hệ thống và dữ liệu người dùng. Thông qua việc mật mã hóa nội dung của phân vùng ổ đĩa, nội dung sẽ được bảo vệ khỏi những truy cập trái phép. BitLocker được giới thiệu lần đầu trong Windows Vista và được cải tiến khá nhiều trong Win 7.

BitLocker chỉ có với các Enterprise SKU của Windows 7, giới hạn cho người dùng đăng kí EA/SA. Các policy cho BitLocker được quản lý qua GPO.

4. BitLocker To Go

Được phát triển trong cùng nhóm sản phẩm với BitLocker, và chia sẻ nhiều mã nguồn giống nhau, BitLocker To Go là giải pháp của Microsoft cho nhu cầu mật mã hóa những thiết bị lưu trữ di động. BitLocker To Go ra đời nhằm khắc phục những hạn chế quan trọng của phiên bản BitLocker trên Windows Vista.

BitLocker To Go chỉ có trên Enterprise SKU của Windows 7. Những policy của nó cũng được điều khiển thông qua GPO.

5. Internet Explorer 8 Security

IE 8 tiếp tục cuộc cách mạng trình duyệt của Microsoft với điểm nhấn về hỗ trợ những tiêu chuẩn Internet. IE8 được xây dựng trên những nền tảng bảo mật đã triển khai trong IE7.

Tất cả các phiên bản của Windows 7 đều có sẵn IE8. IE8 cũng có sẵn cho Vista, XP SP2.

6. DirectAccess

DirectAccess (DA) là giải pháp VPN cho phép người dùng từ xa có thể truy cập những tài nguyên mạng nội bộ một cách trong suốt. Có khái niệm tương đồng với giải pháp Server and Domain Isolation (SDI – được triển khai dưới nhiều dạng khác nhau từ Windows Server 2000, cho phép những kết nối được xác thực từ máy chủ đến máy chủ vào trong mạng nội bộ của một tổ chức), DA mở rộng khái niệm này để tạo ra những kết nối tin cậy đến người dùng ở những mạng từ xa (như mạng công cộng hay ở nhà hoặc mạng của tổ chức khác). DA tận dụng khả năng của IPSec và IPv6 có sẵn trong Windows 7 để thiết lập các phiên làm việc an toàn (có thể tùy chọn các cơ chế ESP, AH và mã hóa payload trong IPSec) để bảo vệ kênh truy cập vào tài nguyên của tổ chức từ những mạng không quản lý được.

DA chỉ có sẵn trong Enterprise SKU của Windows 7 và phiên bản Ultimate. Các policy cho DA được quản lý qua GPO. Ngoài ra để triển khai DA cần có 1 DA server ở vùng biên của mạng nội bộ, chạy Windows Server 2008 R2 hay mới hơn, đã join vào AD domain.

7. Windows Services Hardening

Được giới thiệu lần đầu ở Windows Vista, Windows Services Hardening (WSH) cho phép triển khai cơ chế Access Control Lists (ACLs) trên những services của Windows. Về cơ bản, các nhà phát triển có thể liệt kê những hành động cụ thể nào của các dịch vụ trên Windows được tương tác với những đối tượng cụ thể nào của mức hệ điều hành trên Widnows (cơ chế Whitelisting). Đây là một công nghệ bảo mật rất mạnh, bảo vệ hệ thống khỏi những xâm nhập nhắm vào các lỗ hổng có thể được nhúng vào trong những dịch vụ của hệ điều hành.

Tất cả các SKU của Windows 7 đều có WSH. WSH không được quản lý qua GPO mà thay vào đó là qua registry và các thiết lập cấu hình của từng máy. Cơ chế này được bật mặc định cho các dịch vụ của Windows.

8. Windows Firewall

Windows Firewall là tường lửa cá nhân hai chiều của Microsoft được tích hợp cho Windows 7. Cũng giống như nhiều công nghệ bảo mật khác trong Windows 7, firewall 2 chiều đã được giới thiệu lần đầu với Windows Vista, cùng với nền tảng thú vị Windows filtering. Về mặt chức năng, Windows Firewall giữ nguyên với Windows 7. Tuy nhiên về mặt cấu trúc, đã có một số thay đổi trong nền tảng Windows filter để xây dựng firewall. Nền tảng đó đã được thiết kế lại để trở nên theo module (modular) nhiều hơn.

Tất cả các phiên bản Windows 7 đều có Windows Firewall. Các policy của nó được điều khiển qua GPO.

9. ASLR, DEP and Safe Unlinking

Address Space Layout Randomization (ASLR) về cơ bản là kỹ thuật làm ngẫu nhiên hóa các bảng lời gọi hệ thống (system call) cho mỗi hệ thống Windows Vista lúc khởi động, tạo một nhân tố phát sinh đa dạng, khác nhau trên các hệ thống giống nhau. Bằng cách này, một đoạn mã tấn công vào một offset bộ nhớ nhất định sẽ có thể có hiệu quả trên một máy nhưng thất bại trên một máy khác giống y hệt. Như vậy đòi hỏi những tay viết mã độc phải dùng cách tấn công brute force hoặc không nhắm đến offset bộ nhớ nữa, cả hai cách sẽ gây khó khăn cho các hacker.

Data Execution Prevention (DEP) sử dụng sự hỗ trợ của phần cứng từ các bộ vi xử lí Intel và AMD để loại bỏ các cuộc tấn công chèn mã vào vùng nhớ (memory injection). DEP dùng phần cứng để áp dụng một luật “Không thực thi mã từ những vùng trong bộ nhớ đã được đánh dấu là dành cho dữ liệu”. Luật này ngăn chặn một tỉ lệ lớn các cuộc tấn công chèn mã vào vùng nhớ (chẳng hạn tấn công tràn bộ đệm).

Microsoft cũng thêm vào kỹ thuật Safe Unlinking ở Windows 7, có chức năng bảo vệ tương tự như DEP nhưng ở mức nhân hệ điều hành. Safe Unlinking là một đoạn mã ở mức kernel hỗ trợ cho việc cấp phát và thu hồi các vùng nhớ được thực hiện bởi Windows 7 kernel. Safe Unlinking thực hiện một loạt các kiểm tra trước khi bộ nhớ được thu hồi để đảm bảo là hacker không cố gắng xâm nhập vào hệ điều hành bằng cách được gọi là pool overrun (tương tự như buffer overflow, nhưng ở mức kernel).

Tất cả các phiên bản của Windows 7 đều có sẵn ASLR, DEP và Safe Unlinking.

10. USB Device Control

Hỗ trợ cơ chế điều khiển các thiết bị kết nối qua cổng USB dựa trên policy, bao gồm ngăn truy cập, cho phép truy cập đọc và ghi.

Cơ chế điều khiển thiết bị USB được tích hợp trong tất cả các phiên bản của Windows 7, được quản lý thông qua GPO.

11. Kernel Patch Protection & Signed Device Drivers với Win 7 64-bit

Kernel Patch Protection (KPP) [2] trước đây được gọi là PatchGuard là một đoạn mã ở mức kernel dùng để bảo vệ kernel Windows không bị kẻ tấn công đánh chặn, thay đổi mã nguồn (hay còn gọi là “hook”). KPP giám sát xem những tài nguyên trọng yếu được kernel sử dụng hay chính mã nguồn của kernel có bị thay đổi không. Nếu phát hiện ra một thay đổi trái phép vào những cấu trúc dữ liệu hoặc mã nguồn nhất định, hệ điều hành sẽ phát lệnh tắt toàn bộ hệ thống. Cơ chế này giúp ngăn chặn một số phần mềm xấu như key logger, nhưng đồng thời cũng có thể gây cản trở với những phần mềm bảo mật hợp lệ can thiệp vào kernel để giám sát các hoạt động ở mức kernel của Windows.

Vì những driver thiết bị được tải vào kernel mode có toàn quyền truy cập hệ thống nên Microsoft giới hạn lại khả năng cho phép user tải những driver thiết bị không rõ ràng vào hệ điều hành. Các driver giờ đây bắt buộc phải được digitally sign.

Tất cả các phiên bản 64 bit của Windows 7 đều được tích hợp KPP và yêu cầu device driver được chứng nhận (cũng như với Windows Vista 64 bit, Windows Server 2003 64 bit R2 và mới hơn). Các phiên bản 32 bit của Windows 7 không có chức năng này.

12. Network Access Protection

Network Access Protection (NAP) là giải pháp điều khiển truy cập vào tài nguyên mạng dựa trên một nhận dạng của máy client tuân theo chính sách an toàn của tổ chức.NAP cho phép quản trị mạng xác lập các mức truy cập vào mạng dựa trên client là ai, thuộc nhóm nào, và mức độ tuân thủ của client với chính sách của tổ chức. Nếu một client không thỏa mãn chính sách, NAP cung cấp cơ chế tự động thiết lập lại cho client đáp ứng đủ yêu cầu và sau đó tăng mức độ truy cập vào mạng cho client một cách tự động.

Nền tảng này được giới thiệu đầu tiên trong Windows Vista (sau đó là XP SP3) và về cơ bản không thay đổi gì trong Windows 7.

Tất cả các phiên bản business và enterprise của Windows 7 (Home và Starter không nằm trong diện này) đều có tích hợp NAP client.

13. Windows Defender

Windows Defender là công cụ chống phần mềm gián điệp (Anti-Spyware) đầu tiên được tích hợp trong Windows Vista và giữ nguyên với Windows 7.

Có sẵn trong tất cả các phiên bản của Windows 7.

14. Domain Name Systems Security Extensions Support

Domain Name Systems Security Extensions Support (DNSSEC) được định nghĩa đầu tiên vào năm 1999, bổ sung các chữ kí điện tử dựa trên cơ chế mật mã hóa vào các kết quả truy vấn DNS, giúp loại trừ khả năng một kẻ tấn công chèn vào các kết quả giả mạo. Tuy nhiên DNSSEC không ngăn chặn được tất cả các lỗ hổng liên quan đến DNS (chẳng hạn tấn công phishing hay lạm dụng sự cho phép trong nội bộ (authorized insider abuse)), và nó đòi hỏi toàn bộ nền tảng DNS phải được nâng cấp và có khả năng tạo cũng như xác nhận chữ ký điện tử. Riêng Windows 7, chương trình DNS client được tích hợp có thể bảo vệ giao tiếp ở mức cuối (last-hop communication) giữa client và DNS server, và nó cũng có khả năng kiểm tra server có công nhận một vùng (zone) được ký điện tử hay không.

Chức năng DNSSEC được hỗ trợ lần đầu trên Windows 7 và có sẵn cho tất cả các phiên bản, gồm cả Home và Starter. Đối với phiên bản Enterprise, DNSSEC được điều khiển thông qua GPO.

15. Windows Audit

Windows Audit subsystem được giới thiệu với Windows Vista và được cải tiến trong Windows 7. Nó cung cấp cơ chế sàng lọc chi tiết các record của tất cả các sự kiện trong Windows 7 trong một audit log.

Có sẵn trong tất cả các SKU Windows 7 và Windows Server 2008. Audit policy của Windows là một phần của Security Policy trong GPO và được quản lý thông qua GPO.

16. Rights Management Services Client

Microsoft tích hợp một chương trình Rights Management Services (RMS) client vào Windows 7. RMS là công nghệ quản lý giấy phép số của Microsoft(Digital Rights Management – DRM) ra đời năm 2002. RMS client được giới thiệu đầu tiên trong Vista và giữ nguyên với Windows 7.

Tất cả các phiên bản business và enterprise của Windows 7 đều được tích hợp.

17. Kết luận

Nhìn chung, Microsoft không ngừng đẩy mạnh các tính năng về bảo mật cho hệ điều hành chiến lược của mình. Tuy nhiên nhiều tính năng chỉ có cho người dùng Enterprise (có đăng kí EA/SA) nên không phải mọi người sử dụng Windows 7 đều tiếp cận được với các công nghệ này. Trong bài viết tới ta sẽ đi sâu hơn 1 chút, phân tích một số ưu, khuyết điểm chính của những công nghệ này, để xem thật sự Microsoft bảo vệ người sử dụng được đến mức nào.

(Trần Kim Phượng sưu tầm)

Posted: 04-14-2010 3:38 AM by kimphuong1989 | with no comments

Tổng quan Microsoft ForeFront TMG Client

Normal 0 false false false MicrosoftInternetExplorer4 I. Giới thiệu

Một trong những tính năng của ForeFront TMG là hỗ trợ cho một số client sử dụng để kết nối với TMG ForeFront firewall. Một trong những client là Microsoft Forefront TMG mà còn được biết đến như là một Winsock client cho hệ điều hành Windows. Sử dụng Client TMG có nhiều cải tiến hơn so với các client khác (web proxy, secure NAT). Forefront TMG client có thể được cài đặt trên máy client Windows và một số hệ điều hành máy chủ (nó không được khuyến khích ngoại trừ Server Terminal), được bảo vệ bởi Forefront 2010. Forefront TMG client cung cấp các thông báo kiểm tra https (được sử dụng với TMG 2010), tự động phát hiện, tăng cường bảo mật, hỗ trợ ứng dụng và kiểm soát truy cập cho máy client. Khi một máy client chạy Forefront TMG client cho một firewall yêu cầu, yêu cầu được chuyển tiếp tới một máy TMG Forefront 2010 để chuyển tiếp. Không có cơ sở hạ tầng định tuyến cụ thể là cần thiết vì trong quá trình Winsock. Forefront TMG client sẽ gửi thông tin người dùng mới mỗi yêu cầu, cho phép bạn tạo ra một chính sách tường lửa trên một máy TMG Forefront 2010 với quy định rằng việc sử dụng các chuyển tiếp chứng thực của client, nhưng chỉ dựa trên giao thức quy định TCP và UDP. Đối với tất cả các giao thức khác bạn phải sử dụng một kết nối client Secure NAT.

Ngoài các tính năng tiêu chuẩn của các firewall client trước, TMG client còn hỗ trợ:

- Kiểm tra thông báo HTTPS/

- Hỗ trợ AD Marker.

II. Tính năng tiêu chuẩn của TMG client

- Người dùng hoặc nhóm dựa trên các chính sách firewall cho web và không dựa trên giao thức TCP và UDP của web proxy.

- Hỗ trợ các giao thức phức tạp mà không yêu cầu sử dụng một bộ lọc ứng dụng TMG.

- Đơn giản hoá việc cấu hình định tuyến cho các tổ chức lớn.

- Tự khám phá thông tin TMG dựa trên các DNS và cài đặt DHCP server.

III. Yêu cầu về hệ thống

TMG client có một vài yêu cầu về hệ thống sau:

Hệ điều hành hỗ trợ:

- Windows 7.
- Windows server 2003
- Windows server 2008
- Windows vista.
- Windows XP.

Hỗ trợ các phiên bản ISA server và Forefront TMG:

- ISA Server 2004 Standard Edition
- ISA Server 2004 Enterprise Edition
- ISA Server 2006 Standard Edition
- ISA Server 2006 Enterprise Edition
- Forefront TMG MBE (Medium Business Edition)
- Forefront TMG 2010 Standard Edition
- Forefront TMG 2010 Enterprise Edition

Hệ điều hành hỗ trợ.

Normal 0 false false false MicrosoftInternetExplorer4

Bảng 1: Nguồn: http://technet.microsoft.com/en-us/library/dd897009.aspx

Client / Server tương thích

Normal 0 false false false MicrosoftInternetExplorer4

Bảng 2: nguồn http://technet.microsoft.com/en-us/library/dd897009.aspx

IV. Thiết lập TMG client trên TMG server

Chỉ có một vài cài đặt trên máy chủ Forefront TMG có trách nhiệm cấu hình của client TMG. Trước hết có thể kích hoạt client TMG hỗ trợ để định nghĩa mạng nội bộ trên máy chủ TMG khi bạn có thể nhìn thấy trong ảnh chụp màn hình sau đây.

Normal 0 false false false MicrosoftInternetExplorer4

Hình 1: Thiết lập TMG client trên TMG server.

Sau khi bật hỗ trợ TMG client (mặc định sau khi cài đặt là bình thường), nó cũng có thể tự động hoá cấu hình trình duyệt web của client. Trong suốt khoảng thời gian cập nhật của TMG client hoặc trong quá trình service start, trình duyệt được cài đặt cấu hình trong việc quản lý giao diện điều khiển.

Trong cài đặt ứng dụng cho TMG client trong giao diện điều khiển TMG có thể bật hoặc tắt một số ứng dụng phụ thuộc cài đặt.

Normal 0 false false false MicrosoftInternetExplorer4

Hình 2: Thiết lập TMG client.

AD Marker

Microsoft Forefront TMG cung cấp một chứng năng mới, tự động phát hiện máy chủ TMG cho TMG client. Không giống như các phiên bản Firewall client trước đó, các Forefront TMG client có thể sử dụng một điểm đánh dấu trong Active Directory để tìm server TMG tương ứng. TMG client sử dụng LDAP để tìm các thông tin cần thiết trong Active Directory.

Lưu ý:

Nếu TMG client không thấy các điểm đánh dấu AD nó sẽ không bị lỗi đến những khái niệm tự động phát hiện cổ điển thông qua DHCP và DNS, vì lý do bảo mật. Điều này được thực hiển để giảm nguy cơ của một kẻ tấn công đang cố gắng để buộc một lỗi với phương pháp an toàn hơn. Nếu một kết nối để Active Directory có thể được thành lập nhưng một Marker AD không thể tìm được.

TMGADconfig Tool

Để tạo một cấu hình AD Marker trong Active Directory, bạn có thể tải cấu hình TMG AD cụ thể từ Microsoft Download Center (tìm AdconfigPack.exe). Sau khi tải công cụ này về và cài đặt trên TMG, bạn có thể thực thi dòng lệnh sau để đăng ký phím đánh dấu AD:

Tmgadconfig add -default -type winsock -url http://nameoftmgserver.domain.tld:8080/wspad.dat

Cũng có thể loại bỏ các điểm đánh dấu AD với công cụ tmgadconfig nếu bạn không muốn sử dụng Marker AD nữa.

Cài đặt TMG client

Normal 0 false false false MicrosoftInternetExplorer4

Hình 3: Cài đặt TMG client.

Có thể xác định vị trí của máy chủ TMG bằng thủ công, hoặc tự động trong quá trình cài đặt TMG client. Sau khi cài đặt, có thể cấu hình lại các thiết lập của các cơ chế phát hiện TMG client bằng công cụ của TMG client mà bạn sẽ tìm thấy trong taskpane của client.

Normal 0 false false false MicrosoftInternetExplorer4

Hình 4: TMG client computer selection.

Tự động phát hiện nâng cao

Nếu bạn muốn thay đổi quá trình phát hiện tự động, TMG client bây giờ có một tuỳ chọn mới để xác định phương pháp sử dụng để tự động phát hiện TMG server.

Normal 0 false false false MicrosoftInternetExplorer4

Hình 5: Tự động phát hiện nâng cao.

Kiểm tra thông báo HTTPS

Microsoft Forefront TMG có một chức năng mới kiểm tra outgoing HTTPS kết nối traffic cho client. Để người dung biết về quá trình nhạy cảm này, TMG client mới có thể được sử dụng để thông báo cho người dùng kết nối HTTPS là nhận được gửi kiểm tra gửi đi, nếu bạn muốn làm điều này. Quản trị viên TMG cũng có tuỳ chọn để tắt quá trình này từ thông báo Center trên máy chủ TMG hoặc trên mỗi TMG client.

Normal 0 false false false MicrosoftInternetExplorer4

Hình 6: Bảo mật kết nói thông báo.

Nếu HTTPS được kích hoạt và thiết lập để thông báo cho người dung nếu kiểm tra HTTPS được sử dụng cũng được kích hoạt, người dùng có một TMG client cài đặt sẽ nhận được một thông báo như hình sau:

Normal 0 false false false MicrosoftInternetExplorer4

Hình 7: Thông báo Secure Connection.

Kết luận

Trong bài này, tôi đã cung cấp cho bạn tổng quan về quá trình cài đặt và cấu hình của Microsoft Forefront TMG client. đồng thời nói thêm về một số tính năng mới của Forefront TMG client. Theo tôi, bạn nên sử dụng TMG client bất cứ nơi nào có thể trong môi trường mạng, nhằm tăng cường tính bảo mật cho hệ thống.

(Trần Kim Phượng sưu tầm)

Posted: 04-02-2010 6:55 AM by kimphuong1989 | with no comments

Filed under: Microsoft ForeFront TMG Client

Tổng quan Microsoft ForeFront

Normal 0 false false false MicrosoftInternetExplorer4 Normal 0 false false false MicrosoftInternetExplorer4

I. Giới thiệu:

An toàn hệ thống luôn là vấn đề được quan tâm hành đầu của mọi công ty. Vào tháng 5/2007 Microsoft giới thiệu sản phẩm Microsoft forefront Normal 0 false false false MicrosoftInternetExplorer4 dòng sản phẩm bảo mật toàn diện, để giải quyết các vấn đề về Virus và Spyware và mang lại tình trạng an ninh tốt hơn cho hệ thống mạng của bạn. Normal 0 false false false MicrosoftInternetExplorer4

Các sản phẩm của Microsoft Forefront có thể dễ dàng tích hợp với các sản phẩm khác, với hạ tầng CNTT của doanh nghiệp và có thể được bổ sung thông qua các giải pháp của bên thứ ba cũng như các giải pháp bảo mật xuyên suốt và có chiều sâu. Các quá trình quản lý, báo cáo, phân tích và triển khai đã được đơn giản hóa giúp doanh nghiệp quản lý nguồn thông tin một cách hiệu quả hơn cũng như kiểm soát tốt hơn việc truy cập vào máy chủ và các ứng dụng. Với chế độ bảo vệ nhanh nhạy do Microsoft hỗ trợ, Microsoft Forefront sẽ giúp các doanh nghiệp tự tin đối đầu với những mối nguy hiểm luôn luôn biến đổi và những nhu cầu ngày một tăng trong kinh doanh.

II. Lợi Ích: Normal 0 false false false MicrosoftInternetExplorer4

Toàn diện: Microsoft Forefront mang đến một dòng sản phẩm bảo mật toàn diện, được tích hợp giúp bảo vệ hệ thống máy chủ, máy trạm và edge chống lại các hiểm họa luôn luôn biến đổi.

Normal 0 false false false MicrosoftInternetExplorer4 Forefront giúp bảo vệ các hệ điều hành máy chủ và máy trạm Microsoft. Tính năng chống malware nhanh nhạy của Microsoft ForeFront Client Security đã chống lại các nguy cơ về virut, spyware và các nguy cơ khác một cách hiệu quả. Sản phẩm Bảo mật Máy khách Microsoft cũng có tác dụng kịp thời trong việc ngăn chặn các mối nguy hiểm mới

Normal 0 false false false MicrosoftInternetExplorer4 Normal 0 false false false MicrosoftInternetExplorer4 Forefront giúp các doanh nghiệp bảo vệ các máy chủ ứng dụng dựa trên nền tảng Microsoft thông qua một chiến lược rất triệt để. Các Microsoft Forefront Security for Exchange Server và SharePoint giúp các doanh nghiệp bảo vệ các môi trường Microsoft Exchange Server 2007, Microsoft Office SharePoint Server 2007 và Microsoft Windows SharePoint Services 3.0 chống lại virus, spam và những nội dung không phù hợp. Những sản phẩm này được tích hợp nhiều chương trình quét virus của các hãng hàng đầu hoạt động trong lĩnh vực bảo mật, mang đến một giải pháp bảo mật toàn diện. Những sản phẩm này có thể được bảo quản lý một cách tập trung sử dụng MS ISA Server.

Normal 0 false false false MicrosoftInternetExplorer4 Forefront mang đến các tính năng quản lý thông tin cá nhân, công nghệ mã hóa, VPN, tường lửa có thể giúp các doanh nghiệp đảm bảo rằng chỉ những người sử dụng hợp pháp mới truy cập được vào các tài nguyên và dữ liệu CNTT cần tìm. ISA Server 2006 có khả năng kiểm soát việc truy cập rất tốt còn IAG 2007 giúp truy cập một cách an toàn vào các ứng dụng mạng từ những thiết bị đã được quản lý và chưa được quản lý.

Normal 0 false false false MicrosoftInternetExplorer4 Forefront giúp bảo vệ các dữ liệu nhạy cảm và các tài sản trí tuệ. ISA Server 2006 mang đến những công nghệ giúp các doanh nghiệp đảm bảo được tính bí mật và tính xác thực của các dữ liệu. Forefront cũng đưa ra các nguyên tắc giúp nhận dạng những file mang virus hoăc có thể gây ra một tổn hại nào đó cho hệ thống của bạn

Normal 0 false false false MicrosoftInternetExplorer4

Đơn giản hóa: Các sản phẩm Forefront được thiết kế nhằm đơn giản hóa việc triển khai, quản lý, phân tích và báo cáo về hệ thống CNTT để các doanh nghiệp có thể yên tâm là hệ thống của họ được bảo vệ an toàn.

1. Việc triển khai được đơn giản hóa: Sự tích hợp của Forefront với Active Directory và System Center cho phép sẵn sàng triển khai các chính sách và phần mềm bảo mật. Người dùng cũng như những nhà quản trị có thể thấy được lợi ích từ việc phân bổ một cách tập trung các chính sách, hệ điều hành hay các phần mềm chống virus cho máy chủ cũng như máy trạm.

2. Việc phân tích và báo cáo được thống nhất: Forefront tập trung hóa sự tập hợp và phân tích các thông tin quản lý bảo mật vì các thông tin bảo mật được lưu trong kho chứa Máy chủ SQL riêng lẻ có thể sử dụng các dịch vụ Phân tích và Báo cáo máy chủ SQL để nhận diện và diễn giải các sự kiện bảo mật.

3. Việc quản lý được đơn giản hóa: Với Forefront, việc quản lý và báo cáo được tập trung hóa, các bộ phận của nó được tích hợp với các giải pháp Trung tâm Hệ thống và với các dịch vụ Cập nhật Máy chủ Windows. Các thiết bị quản lý đã được tích hợp Forefront mang đến các giao diện quen thuộc, dễ sử dụng, giúp giảm được thời gian đào tạo và chi phí quản lý.

Normal 0 false false false MicrosoftInternetExplorer4

Tích hợp cao: Các sản phẩm Forefront mang đến nhiều cấp độ tích hợp để bạn có thể kiểm soát và quản lý độ bảo mật của hệ thống mạng lưới một cách hiệu quả

Normal 0 false false false MicrosoftInternetExplorer4 1. Tích hợp với các ứng dụng máy chủ Microsoft của bạn: Các sản phẩm giúp truy cập an toàn và chống lại malware của Microsoft Forefornt được thiết kế nhằm tích hợp và bảo vệ các ứng dụng máy chủ dành cho doanh nghiệp như Microsoft Exchange, Microsoft Outlook Web Access và Microsoft Office SharePoint. Sự tích hợp này giúp chống lại những hiểm họa mới nhất có thể xảy đến với các ứng dụng.

2. Tích hợp với hệ thống hạ tầng cơ sở CNTT của bạn: Các sản phẩm Forefront có thể hoạt động tốt trong hạ tầng cơ sở thông tin có sẵn của bạn bao gồm Active Directory, Group Policies, Systems Management Server và Windows Update Services. Hạ tầng cơ sở hợp nhất này cho phép các doanh nghiệp quản lý việc khai các giải pháp bảo mật, kiểm soát hệ thống CNTT một cách liền mạch, không bị đứt quãng.

3. Tích hợp giữa các sản phẩm: Các sản phẩm Forefront có thể hoạt động tốt trong hạ tầng cơ sở thông tin có sẵn của bạn bao gồm Active Directory, Group Policies, Systems Management Server và Windows Update Services. Hạ tầng cơ sở hợp nhất này cho phép các doanh nghiệp quản lý việc khai các giải pháp bảo mật, kiểm soát hệ thống CNTT một cách liền mạch, không bị đứt quãng.

Normal 0 false false false MicrosoftInternetExplorer4

III.Yêu cầu Hệ Thống:

Microsoft forefront client security agent

• CPU: 700 MHz, RAM: 256 MB ,HDD: Còn trống 350 MB

• Security agent được triển khai trên các hệ điều hành sau:

- Windows Vista Business

- Windows Vista Ultimate

- Windows Vista Home

- Windows Vista Enterprise

- Windows Vista Business with Service Pack 1 or later

- Windows Vista Ultimate with Service Pack 1 or later

- Windows Vista Home with Service Pack 1 or later

- Windows Vista Enterprise with Service Pack 1 or later

- Windows XP with Service Pack 2 or later

- Windows 2000 with Service Pack 4

- Windows 2003 server with Services Pack 1

- Windows 2003 server R2

- Mới đây Microsoft giới thiệu Microsoft forefront client security 2.0 làm việc trên Windows 7 và Windows server 2008 R2

Microsoft forefront client security server

• CPU: 1Ghz, RAM 1GB, đĩa cứng còn trống ít nhất 6 GB.

• Hệ điều hành: Microsoft Windows Server® 2003 Service Pack 1 Standard Edition hoặc Enterprise Edition, hoặc Windows Server 2003 R2 Standard Edition hoặc Enterprise Edition

• Microsoft SQL Server™ 2005 Enterprise Edition hoặc Standard Edition with Service Pack 1 (bao gồm: Database Services, Reporting Services, Workstation Components, and Integration Services)

• Windows Server Update Services 2.0 with Service Pack 1 hoặc Windows Server Update Services 3.0

Tài Liệu Tham Khảo

http://www.microsoft.com/vietnam/forefront/default.aspx

Trần Kim Phượng

Normal 0 false false false MicrosoftInternetExplorer4

Posted: 04-02-2010 6:14 AM by kimphuong1989 | with no comments

Filed under: Microsoft ForeFront

Phuong MSP

Recent Posts

Tags

Community

Email Notifications

Archives

April 2010 - Posts

Ưu và Nhược Trong Bảo mật Windows 7

Bảo mật trong Windows 7

2. User Account Control

3. BitLocker

4. BitLocker To Go

5. Internet Explorer 8 Security

6. DirectAccess

7. Windows Services Hardening

8. Windows Firewall

9. ASLR, DEP and Safe Unlinking

10. USB Device Control

11. Kernel Patch Protection & Signed Device Drivers với Win 7 64-bit

12. Network Access Protection

13. Windows Defender

14. Domain Name Systems Security Extensions Support

15. Windows Audit

16. Rights Management Services Client

17. Kết luận

Tổng quan Microsoft ForeFront TMG Client

Tổng quan Microsoft ForeFront