cài đặt hoặc sau đó. Trên Microsoft Windows 2000 và Microsoft Windows XP, các
admin có thể taọ và triển khai các security templates để đạt được những yêu cầu
bảo mật cần thiết.


Tuân thủ những hướng dẫn sau để tạo security baseline cho các Computer


Tạo một chính sách security baseline cho các Computer theo đúng những quy định
của tổ chức về an toàn thông tin phục vụ cho các quy trình nghiệp vụ. Chính sách
này phải đảm bảo an toàn cho Computer, HDH và các ứng dụng nghiệp vụ…

Ví dụ: chính sách chỉ định rằng tất cả HDH trong tổ chức phải chống được kiểu tấn
công SYN-ACK (synchronize acknowledge) denial of service (DoS) tấn công từ
chối dịch vụ. Một chính sách tốt cũng hình dung được vai trò của Computer cần
bảo vệ


2. Tạo sẵn các security templates mẫu, cho phép chỉnh sửa. Ví dụ để bảo vệ HDH
chống lại SYN-ACK attacks, có thể đơn giản thêm vào Registry những giá trị
mong muốn nhằm thay đổi cách thức vận hành của TCP/IP stack trong giao tiếp
Mạng với các Computer khác, như vậy có thể chống được những cuộc tấn công
kiểu này.


3. vận hành thử và Kiểm tra các security templates này. Mỗi security template
được triển khai sẽ không có các yếu tố gây cản trở HDH, các dich vụ khác, hoặc
xung đột với các ứng dụng


4. Triển khai các security templates cho Computer thông qua những công cụ như

command Secedit Group Policy, hoặc tự động hóa triển khai cho hàng loạt
Computer thông qua các Group Policy của Active Directory Domain (GPO)

Security cho các Computer có vai trò đặc biệt như thế nào.

Admin sẽ cài đặt những Ứng dụng và những dịch vụ phụ thuộc vào vai trò của
những Computer đó.

Như vậy những Computer đặc biệt này cần có những Security baseline tương đối
khác nhau để phù hợp với dịch vụ đang vận hành.

Ví dụ: Web server chạy dịch vụ Internet Information Services (IIS) cho phép hàng
ngàn truy cập mỗi ngày từ Internet với những mối nguy hiểm luôn rình rập. Ngược
lại thì một File server sẽ không chạy dịch vụ IIS và chỉ có thể truy cập bởi những
user trong mạng nội bộ . Thiết kế bảo mật cho các Computer có vai trò đặc biệt đòi
hỏi có kinh nghiệm và am hiểu chi tiết về những ứng dụng và dịch vụ mà chúng
đang vận hành. Ví dụ một Windows 2000 administrator có thể không có những
kiến thức để hiểu được cách hoạt động của một database server như Microsoft SQL
Server 2000, cho dù nó được cài đặ trên một Windows 2000.

Phải đảm bảo những cá nhân chịu trách nhiệm thiết kế bảo mật cho những Server
này có những hiểu biết cần thiết và kinh nghiệm đáp ứng được các yêu cầu bảo mật
cua tổ chức. Và cũng đảm bảo rằng tổ chức chúng ta có những chính sách sẵn sàng,
quản lý bảo mật cho các server ày khi chúng thay đổi vai trò hoạt động. ví dụ File
Server được triển khai lại thành một Web server.

Những Phương pháp chung để áp dụng Security Updates (cập nhật security)

Có thể dùng những phương pháp sau để tiến hành cập nhật security cho các
Computer trên Mạng.




Dùng tính năng Windows Update: Để scan Computer, đảm bảo rằng tất cả security
updates mới nhất, các thành phần liên quan đến Windows (Windows components) ,
và các driver cho thiết bị đã được cài đặt. Để sử dụng Windows Update phải là
thành viên của nhóm Administrators. Nếu phải scan nhiều máy trên Mạng từ một
location, có thể sử dụng tool: MBSA (Microsoft Baseline Security Analyzer) của
hãng Shavlik, một partner của Microsoft. Hoặc chuyên dụng hơn và cung cấp giải
pháp scan bảo mật toàn diện có thể dùng GFI Languard network security scanner
của GFI, rất phổ biến với Admin.
Office Update: Scan và cập nhật những secuirty mới nhất cho bộ sản phẩm
Microsoft Office. Vá lỗi cho các sản phẩm này cũng là một việc rất quan trong mà
các Security admin cần chú ý. Chỉ thành viên nhóm Administrators mới đuợc dùng
tính năng này
Dùng Group Policy: Nếu triển khai security updates cho hàng loạt các Computer
trong môi trường Active directory domain, các admin sẽ sử dụng các chính sách
của Domain hoặc GPO cho các OU trong Domain. Khi dùng Group Policy, User
không cần phải làm bất cứ động tác nào vì thông qua Active Directory service,
Group Policy có thể thực hiện hoàn toan 2 tự động
Dùng dịch vụ Microsoft Windows Software Update Services (WSUS/SUS): Server
cài đặt dịch vụ này, được xem là trung tâm phân phối các security updateas cho các
Computer trên Mạng. Admin có thể cấu hình trên các Computer để tự động
download security updates hoặc lập lịch biểu (scheduling) download từ WSUS
server này
Dùng tính năng Feature Pack (Microsoft Systems Management Server (SMS)
Update Services Feature Pack) có trong dịch vu SMS: Bao gồm Wizard hướng dẫn
đóng gói các Security updates và triển khai chúng đến các Computer thông qua
kho lưu trữ Software Inventory.
New Horizons VietNam (New Horizons Computer Learning centers Viet Nam)

Ho Viet Ha
Instructor Team Leader
Email:


Chính sách an toàn Account cho Computer (Security Account Policies )

Ở phần trước tôi đã giới thiệu những phương thức chung để bảo vệ máy tính của
một tổ chức. Phần tiếp theo này tôi sẽ trình bày những phương thức cụ thể theo
trình tự, từ quá trình setup hệ thống, vận hành hệ thống dựa trên những chính sách
an toàn từ basic cho đến những kĩ năng advance mà các Security Admin cần quan
tâm để áp dụng vào việc xây dựng các quy trình an toàn thông tin cho tổ chức.
Phần trình bày này tôi xin đề cập đến vấn đề an ninh account (account security) và
cách thức tạo account an toàn nhằm đối phó với những kiểu tấn công rất phổ biến
và hiệu quả dưới sự trợ giúp của những công cụ phù thủy…

Chính sách về account và cách thức tạo account nghèo nàn là con đường dễ dàng
nhất cho attacker, như vậy những hình thức bảo mật khác được áp dụng vào hệ
thống như trang bị các công cụ chống maleware (prevent virus, worm, spyware,
ad-ware ), triển khai hệ thống phòng thủ Mạng (Firewall) cũng sẽ không có tác
dụng nào đáng kể, vì Admin quá thờ ơ trong cách thức tạo account và đưa ra chính
sách tạo account chứa đựng nhiều rủi ro này.

Yêu cầu xác định các chính sách tạo password mạnh và đưa ra được chiến lược an
toàn account áp dụng vào an toàn thông tin của tổ chức là vấn đề mang tính cấp
bách.


A. Làm thế nào để tạo và quản lý Account an toàn


Những yếu tố dưới đây sẽ cho chúng ta thấy cách thức tạo và quản lý Account sao
cho an toàn

Account phải được bảo vệ bằng password phức hợp ( password length, password
complexity)
Chủ sở hữu account chỉ được cung cấp quyền hạn truy cập thông tin và dịch vụ cần
thiết (không thiếu quyền hạn mà cũng không thể để thừa)
Mã hóa account trong giao dịch trên Mạng (kể cả giao dịch trong Mạng nội bộ)
Lưu trữ account an toàn ( nhất định database lưu giữ tai khoản phải được đặt trên
những hệ thống an toàn và được mã hóa)
Huấn luyện nhân viên, những người trực tiếp sử dụng Computer cách thức bảo mật
account tránh rò rĩ (attacker có thể lợi dụng mối quan hệ với nhân viên hoặc giả
danh bộ phận kĩ thuật hỗ trợ xử lí sự cố hệ thống từ xa để khai thác ), hướng dẫn
cách thức thay đổi password khi cần thiết và tránh tuyệt đối việc ghi lại account
trên các stick-notes rồi gián bừa bãi trên Monitorhoặc Keyboard ), Khóa (lock)
ngay Computer khi không sử dụng, mặc định trên các máy tính thường cũng có
chính sách tự động lock computer sau môt thời gian không sử dụng, để giúp cho
những nhân viên hay quên tránh được lỗi bảo mật sơ đẳng (lỗi này giống như việc
ra khỏi nhà mà không khóa cửa)
Những người tạo và quản lý account (đặc biệt là những account hệ thống – System
accounts, và account vận hành, kiểm soát các dịch vụ - service accounts) cho toàn
bộ tổ chức là những người được xem là AN TOÀN TUYỆT ĐỐI.
Disable những account tạm thời chưa sử dụng, delete những account không còn sử
dụng.
Tránh việc dùng chung Password cho nhiều account
Khóa (lock) account sau một số lần người sử dụng log-on không thành công vào hệ
thống.
Có thể không cho phép một số account quản trị hệ thống và dịch vụ, không được
log-on từ xa (remote location log-on), vì những hệ thống và dịch vụ này rất quan
trọng và thông thường chỉ cho phép được kiểm soát từ bên trong (internal

Network), nếu có nhu cầu quản trị và support từ xa Security Admin vẫn dễ dàng
thay đổi chính sách để đáp ứng nhu cầu.
Các Security admin khi log-on vào Server chỉ nên dùng account có quyền hạn thấp,
khi cần quản trị hay vận hành các dịch vụ, mới nên dùng account System hoặc
Service (ví dụ Microsoft Windows hỗ trợ command run as thông qua run as service
để cho phép độc lập quản trị các thành phần của hệ thống, các dịch vụ mà không
cần phải log-on vào máy ban đầu bằng account admin). Điều này giúp chúng ta
tránh được các chương trình nguy hiểm đã lọt vào máy tính chạy với quyền admin,
khi đó các admin thật sự của Computer sẽ gặp nhiều rắc rối.
Vá tất cả những lỗ hỗng hệ thống để ngăn chặn các kiểu tấn công “đặc quyền leo
thang” (bắt đầu lọt vào hệ thống với account thông thường và sau đó leo thang đến
quyền cao nhất)
Trên đây là những phần trực quan nhất mà Admin Security cần hình dung cụ thể
khi thiết kế chính sách bảo mật account (account security policies). Một trong
những chính sách bảo vệ hệ thống cần phải xem xet kĩ lưỡng nhất nhưng thông
thường dễ lơ là thậm chí là coi nhẹ, mà sự thực hầu hết các con đường xâm nhập
vào hệ thống đều qua khai thác Credentials (có được thông tin account), attacker
nắm được vulnerabilities ( yếu điểm ) này, nên lợi dụng khai thác rất hiệu quả.
B. Phân tích và thiết kế các chính sách an toàn cho account.

Phân tích những rủi ro và xác định các mối đe dọa đối với account:
Account cho một User sẽ xác định những hành động mà User đó có thể thực hiện.
Việc phân loại account sẽ chỉ ra những cấp độ bảo vệ thích hợp khác nhau.
Các account trên hệ thống sẽ nhận được 2 loại quyền cơ bản:
User rights (Quyền hệ thống): Là loại đặc quyền mà User được hệ thống cho phép
thực thi những hành động đặc biệt (ví dụ: Quyền Backup Files Và Folders, thay đổi
thời gian hệ thống, shutdown hệ thống…)


Trên Windows các bạn có thể type command secpol.msc tại RUN, để open Local

Security Settings\ local policies\ User rights assignment là nơi xác lập các User
rights của hệ thống
Permissions (Quyền truy cập): Được kiểm soát bởi DACLs (Discretionary access
control lists) của hệ thống, được phép truy cập vào các File/Folder hay Active
Directory objects (trong Domain) (ví dụ User A được quyền Read/Modify đối với
Folder C:\Data, User B được Full Control đối với OU Business )
Chú ý trong việc cấp phát Permission cho account, nên đưa account vào Group để
dễ kiểm soát, tránh việc phân quyền mang tính cá nhân cho một account nào đó.
Điều này tăng cường khả năng kiểm soát account, vì khi số lượng account của hệ
thống (Local hay Domain) tăng lên thì việc tổ chức này tạo sự an toàn và dễ kiểm
soát hơn.
Những kẽ hở từ Account có thể tạo cơ hội cho attacker:

Password:
Password quá yếu (độ dài password quá ngắn, các kí tự đơn giản, lấy ngày tháng
năm sinh, tên những bộ phim, địa danh, nhân vật nổi tiếng , đặt cho password).
Dùng cùng password cho nhiều account. password được dán bừa bãi lên
Monitor/Keyboard, hoặc lưu password vào một text file không bảo vệ.
Chia sẽ password hệ thống của mình cho bạn đồng nghiệp…