Tính năng bảo mật trong Windows 7

Windows 7 có thể được coi là bước đầu hoàn thiện những tính năng bảo mật cao cấp của dòng hệ điều hành Windows, sau những tính năng cơ bản của XP, những thử nghiệm mới của Vista. Bài viết này liệt kê, giới thiệu những gì mà Microsoft kì vọng sẽ làm mọi người thay đổi cái nhìn về an toàn trên Windows. Qua bài viết người đọc cũng sẽ làm quen với một số thuật ngữ mới trong hệ thống phân phối Windows vì không phải tất cả những phiên bản Windows 7 đều có các đặc tính bảo mật như nhau. Có thể những bạn đọc thường xuyên của blog này hoặc quen thuộc với các hệ điều hành nguồn mở sẽ thấy ngạc nhiên vì nhiều điểm tương đồng giữa các công nghệ mới của M$ được giới thiệu ở đây với những gì đã có ở Ubuntu/RedHat/Asianux từ rất lâu. Có thể sẽ có vài bài viết phân tích về những điểm tương đồng này trong tương lai.

Mục lục

  1. AppLocker
  2. User Account Control
  3. BitLocker
  4. BitLocker To Go
  5. Internet Explorer Version 8 Security
  6. DirectAccess
  7. Windows Services Hardening
  8. Windows Firewall
  9. ASLR, DEP and Safe Unlinking
  10. USB Device Control
  11. Kernel Patch Protection and Signed Device Drivers With 64-Bit Windows 7
  12. Network Access Protection
  13. Windows Defender
  14. Domain Name Systems Security Extensions Support
  15. Windows Audit Function
  16. Rights Management Services Client
  17. Kết luận

1. AppLocker

AppLocker là giải pháp mới của Microsoft để điều khiển các ứng dụng có thể quản lý được (còn gọi là quản lý theo dạng whitelisting). AppLocker được tích hợp trực tiếp vào nhân của Windows 7, được xem như là một thay thế vượt trội hơn cho cơ chế chính sách giới hạn phần mềm dựa trên GPO (Group Policy Objects) còn gọi là SRPs (Software Restriction Policies). AppLocker bổ sung thêm nhiều policy quản lý phần mềm linh hoạt hơn.

Các tính năng điều khiển ứng dụng của AppLocker chỉ được tích hợp trong các stock-keeping unit (SKU) [1] Windows 7 Enterprise. Phiên bản Enterprise chỉ giới hạn cho những người dùng đăng kí Enterprise Agreement/Software Assurance (EA/SA). Tuy nhiên, cơ chế SRPs cung cấp khả năng quản lý ứng dụng cũ hơn phổ biến trên Windows XP và Vista thì có sẵn trong tất cả các phiên bản enterprise, business và Ultimate của Windows 7, Vista, XP (Các phiên bản Home mặc định không cho chỉnh sửa GPO). Hiện tại AppLocker không thay thế hoàn toàn cho SRPs, mà người dùng có thể sử dụng cả hai trên cùng một máy.

2. User Account Control

User Account Control (UAC) không phải là một kỹ thuật hay ứng dụng riêng rẽ mà là một tập hợp của những công nghệ nhằm phục vụ cho hai chức năng chính – thứ nhất và quan trọng nhất là tăng cường khả năng tương thích cho user khi chạy ứng dụng với tư cách standard user, và thứ hai là tăng cường khả năng bảo vệ cho hệ thống khi user chạy ứng dụng với tư cách administrator.

Tất cả các phiên bản Windows 7 đều có tích hợp UAC.

3. BitLocker

BitLocker được M$ đưa ra để đáp ứng nhu cầu full disk encryption (FDE) nhằm bảo vệ các file hệ thống và dữ liệu người dùng. Thông qua việc mật mã hóa nội dung của phân vùng ổ đĩa, nội dung sẽ được bảo vệ khỏi những truy cập trái phép. BitLocker được giới thiệu lần đầu trong Windows Vista và được cải tiến khá nhiều trong Win 7.

BitLocker chỉ có với các Enterprise SKU của Windows 7, giới hạn cho người dùng đăng kí EA/SA. Các policy cho BitLocker được quản lý qua GPO.

4. BitLocker To Go

Được phát triển trong cùng  nhóm sản phẩm với BitLocker, và chia sẻ nhiều mã nguồn giống nhau, BitLocker To Go là giải pháp của M$ cho nhu cầu mật mã hóa những thiết bị lưu trữ di động. BitLocker To Go ra đời nhằm khắc phục những  hạn chế quan trọng của phiên bản BitLocker trên Windows Vista.

BitLocker To Go chỉ có trên Enterprise SKU của Windows 7. Những policy của nó cũng được điều khiển thông qua GPO.

5. Internet Explorer 8 Security

IE 8 tiếp tục cuộc cách mạng trình duyệt của M$ với điểm nhấn về hỗ trợ những tiêu chuẩn Internet. IE8 được xây dựng trên những nền tảng bảo mật đã triển khai trong IE7.

Tất cả các phiên bản của Windows 7 đều có sẵn IE8. IE8 cũng có sẵn cho Vista, XP SP2.

6. DirectAccess

DirectAccess (DA) là giải pháp VPN cho phép người dùng từ xa có thể truy cập những tài nguyên mạng nội bộ một cách trong suốt. Có khái niệm tương đồng với giải pháp Server and Domain Isolation (SDI – được triển khai dưới nhiều dạng khác nhau từ Windows Server 2000, cho phép những kết nối được xác thực từ máy chủ đến máy chủ vào trong mạng nội bộ của một tổ chức), DA mở rộng khái niệm này để tạo ra những kết nối tin cậy đến người dùng ở những mạng từ xa (như mạng công cộng hay ở nhà hoặc mạng của tổ chức khác). DA tận dụng khả năng của IPSec và IPv6 có sẵn trong Windows 7 để thiết lập các phiên làm việc an toàn (có thể tùy chọn các cơ chế ESP, AH và mã hóa payload trong IPSec) để bảo vệ kênh truy cập vào tài nguyên của tổ chức từ những mạng không quản lý được.

DA chỉ có sẵn trong Enterprise SKU của Windows 7 và phiên bản Ultimate. Các policy cho DA được quản lý qua GPO. Ngoài ra để triển khai DA cần có 1 DA server ở vùng biên của mạng nội bộ, chạy Windows Server 2008 R2 hay mới hơn, đã join vào AD domain.

7. Windows Services Hardening

Được giới thiệu lần đầu ở Windows Vista, Windows Services Hardening (WSH) cho phép triển khai cơ chế Access Control Lists (ACLs) trên những services của Windows. Về cơ bản, các nhà phát triển có thể liệt kê những hành động cụ thể nào của các dịch vụ trên Windows được tương tác với những đối tượng cụ thể nào của mức hệ điều hành trên Widnows (cơ chế Whitelisting). Đây là một công nghệ bảo mật rất mạnh, bảo vệ hệ thống khỏi những xâm nhập nhắm vào các lỗ hổng có thể được nhúng vào trong những dịch vụ của hệ điều hành.

Tất cả các SKU của Windows 7 đều có WSH. WSH không được quản lý qua GPO mà thay vào đó là qua registry và các thiết lập cấu hình của từng máy. Cơ chế này được bật mặc định cho các dịch vụ của Windows.

8. Windows Firewall

Windows Firewall là tường lửa cá nhân hai chiều của M$ được tích hợp cho Windows 7. Cũng giống như nhiều công nghệ bảo mật khác trong Windows 7, firewall 2 chiều đã được giới thiệu lần đầu với Windows Vista, cùng với nền tảng thú vị Windows filtering. Về mặt chức năng, Windows Firewall giữ nguyên với Windows 7. Tuy nhiên về mặt cấu trúc, đã có một số thay đổi trong nền tảng Windows filter để xây dựng firewall. Nền tảng đó đã được thiết kế lại để trở nên theo module (modular) nhiều hơn.

Tất cả các phiên bản Windows 7 đều có Windows Firewall. Các policy của nó được điều khiển qua GPO.

9. ASLR, DEP and Safe Unlinking

Address Space Layout Randomization (ASLR) về cơ bản là kỹ thuật làm ngẫu nhiên hóa các bảng lời gọi hệ thống (system call) cho mỗi hệ thống Windows Vista lúc khởi động, tạo một nhân tố phát sinh đa dạng, khác nhau trên các hệ thống giống nhau. Bằng cách này, một đoạn mã tấn công vào một offset bộ nhớ nhất định sẽ có thể có hiệu quả trên một máy nhưng thất bại trên một máy khác giống y hệt. Như vậy đòi hỏi những tay viết mã độc phải dùng cách tấn công brute force hoặc không nhắm đến offset bộ nhớ nữa, cả hai cách sẽ gây khó khăn cho các hacker.

Data Execution Prevention (DEP) sử dụng sự hỗ trợ của phần cứng từ các bộ vi xử lí Intel và AMD để loại bỏ các cuộc tấn công chèn mã vào vùng nhớ (memory injection). DEP dùng phần cứng để áp dụng một luật “Không thực thi mã từ những vùng trong bộ nhớ đã được đánh dấu là dành cho dữ liệu”. Luật này ngăn chặn một tỉ lệ lớn các cuộc tấn công chèn mã vào vùng nhớ (chẳng hạn tấn công tràn bộ đệm).

M$ cũng thêm vào kỹ thuật Safe Unlinking ở Windows 7, có chức năng bảo vệ tương tự như DEP nhưng ở mức nhân hệ điều hành. Safe Unlinking là một đoạn mã ở mức kernel hỗ trợ cho việc cấp phát và thu hồi các vùng nhớ được thực hiện bởi Windows 7 kernel. Safe Unlinking thực hiện một loạt các kiểm tra trước khi bộ nhớ được thu hồi để đảm bảo là hacker không cố gắng xâm nhập vào hệ điều hành bằng cách được gọi là pool overrun (tương tự như buffer overflow, nhưng ở mức kernel).

Tất cả các phiên bản của Windows 7 đều có sẵn ASLR, DEP và Safe Unlinking.

10. USB Device Control

Hỗ trợ cơ chế điều khiển các thiết bị kết nối qua cổng USB dựa trên policy, bao gồm ngăn truy cập, cho phép truy cập đọc và ghi.

Cơ chế điều khiển thiết bị USB được tích hợp trong tất cả các phiên bản của Windows 7, được quản lý thông qua GPO.

11. Kernel Patch Protection & Signed Device Drivers với Win 7 64-bit

Kernel Patch Protection (KPP) [2] trước đây được gọi là PatchGuard là một đoạn mã ở mức kernel dùng để bảo vệ kernel Windows không bị kẻ tấn công đánh chặn, thay đổi mã nguồn (hay còn gọi là “hook”). KPP giám sát xem những tài nguyên trọng yếu được kernel sử dụng hay chính mã nguồn của kernel có bị thay đổi không. Nếu phát hiện ra một thay đổi trái phép vào những cấu trúc dữ liệu hoặc mã nguồn nhất định, hệ điều hành sẽ phát lệnh tắt toàn bộ hệ thống. Cơ chế này giúp ngăn chặn một số phần mềm xấu như key logger, nhưng đồng thời cũng có thể gây cản trở với những phần mềm bảo mật hợp lệ can thiệp vào kernel để giám sát các hoạt động ở mức kernel của Windows.

Vì những driver thiết bị được tải vào kernel mode có toàn quyền truy cập hệ thống nên M$ giới hạn lại khả năng cho phép user tải những driver thiết bị không rõ ràng vào hệ điều hành. Các driver giờ đây bắt buộc phải được digitally sign.

Tất cả các phiên bản 64 bit của Windows 7 đều được tích hợp KPP và yêu cầu device driver được chứng nhận (cũng như với Windows Vista 64 bit, Windows Server 2003 64 bit R2 và mới hơn). Các phiên bản 32 bit của Windows 7 không có chức năng này.

12. Network Access Protection

Network Access Protection (NAP) là giải pháp điều khiển truy cập vào tài nguyên mạng dựa trên một nhận dạng của máy client tuân theo chính sách an toàn của tổ chức.NAP cho phép quản trị mạng xác lập các mức truy cập vào mạng dựa trên client là ai, thuộc nhóm nào, và mức độ tuân thủ của client với chính sách của tổ chức. Nếu một client không thỏa mãn chính sách, NAP cung cấp cơ chế tự động thiết lập lại cho client đáp ứng đủ yêu cầu và sau đó tăng mức độ truy cập vào mạng cho client một cách tự động.

Nền tảng này được giới thiệu đầu tiên trong Windows Vista (sau đó là XP SP3) và về cơ bản không thay đổi gì trong Windows 7.

Tất cả các phiên bản business và enterprise của Windows 7 (Home và Starter không nằm trong diện này) đều có tích hợp NAP client.

13. Windows Defender

Windows Defender là công cụ chống phần mềm gián điệp (Anti-Spyware) đầu tiên được tích hợp trong Windows Vista và giữ nguyên với Windows 7.

Có sẵn trong tất cả các phiên bản của Windows 7.

14. Domain Name Systems Security Extensions Support

Domain Name Systems Security Extensions Support (DNSSEC) được định nghĩa đầu tiên vào năm 1999, bổ sung các chữ kí điện tử dựa trên cơ chế mật mã hóa vào các kết quả truy vấn DNS, giúp loại trừ khả năng một kẻ tấn công chèn vào các kết quả giả mạo. Tuy nhiên DNSSEC không ngăn chặn được tất cả các lỗ hổng liên quan đến DNS (chẳng hạn tấn công phishing hay lạm dụng sự cho phép trong nội bộ (authorized insider abuse)), và nó đòi hỏi toàn bộ nền tảng DNS phải được nâng cấp và có khả năng tạo cũng như xác nhận chữ ký điện tử. Riêng Windows 7, chương trình DNS client được tích hợp có thể bảo vệ giao tiếp ở mức cuối (last-hop communication) giữa client và DNS server, và nó cũng có khả năng kiểm tra server có công nhận một vùng (zone) được ký điện tử hay không.

Chức năng DNSSEC được hỗ trợ lần đầu trên Windows 7 và có sẵn cho tất cả các phiên bản, gồm cả Home và Starter. Đối với phiên bản Enterprise, DNSSEC được điều khiển thông qua GPO.

15. Windows Audit

Windows Audit subsystem được giới thiệu với Windows Vista và được cải tiến trong Windows 7. Nó cung cấp cơ chế sàng lọc chi tiết các record của tất cả các sự kiện trong Windows 7 trong một audit log.

Có sẵn trong tất cả các SKU Windows 7 và Windows Server 2008. Audit policy của Windows là một phần của Security Policy trong GPO và được quản lý thông qua GPO.

16. Rights Management Services Client

M$ tích hợp một chương trình Rights Management Services (RMS) client vào Windows 7. RMS là công nghệ quản lý giấy phép số của M$ (Digital Rights Management – DRM) ra đời năm 2002. RMS client được giới thiệu đầu tiên trong Vista và giữ nguyên với Windows 7.

Tất cả các phiên bản business và enterprise của Windows 7 đều được tích hợp.

17. Kết luận

Nhìn chung, M$ không ngừng đẩy mạnh các tính năng về bảo mật cho hệ điều hành chiến lược của mình. Tuy nhiên nhiều tính năng chỉ có cho người dùng Enterprise (có đăng kí EA/SA) nên không phải mọi người sử dụng Windows 7 đều tiếp cận được với các công nghệ này. Trong bài viết tới ta sẽ đi sâu hơn 1 chút, phân tích một số ưu, khuyết điểm chính của những công nghệ này, để xem thật sự M$ bảo vệ người sử dụng được đến mức nào.

Dongthao

——————-

Tài liệu tham khảo:

[0] Planning for the Security Features of Windows 7 – Neil MacDonald, Gartner

[1] Khái niệm SKU xem ở Wikipedia. Có thể hiểu nôm na 1 SKU Windows là một bản cài đặt Windows mà người dùng mua về. Xem thêm ở đây để biết về sự khác nhau của các phiên bản Windows.

[2] Scott Field, Architect về Windows Kernel Security của M$ có một bài giới thiệu về KPP rất dễ hiểu và đầy đủ: An Introduction to Kernel Patch Protection.

About dongthao

The best things in life, they are free ... (Cry on my shoulder lyric)
This entry was posted in Security, Windows and tagged , . Bookmark the permalink.

Có 11 phản hồi tại Tính năng bảo mật trong Windows 7

  1. Cảm ơn bài viết, mình đang định thử dùng win 7

  2. hacksro nói:

    Windows 7 dùng là sướng nhất

  3. cafeden nói:

    Thanks, em mới chỉ cài giao diện win 7 thui mà đã thấy phê rùi! Nhưng mà hổng có tiền mua!

  4. Nồi Hơi nói:

    nhưng windows 7 ko thích hợp cho các game có game gua

  5. Hoa Cat Dang nói:

    Minh dang dung Windows 7, giao dien rat tuyet nhung hoi kho su dung. Ah,co ai biet cach xem nhat ky may tinh tren Windows 7 lam on chi giup minh nhe. Thanks .

  6. Bài viết này rất hữu ích, nó sẽ tạo cho mọi người tâm lý yên tâm hơn khi sử dụng windows 7. Trước đây tôi cũng có quan điểm giống với nhiều người : ” Win XP còn xài tốt, cài Win 7 làm gì, Win 7 chạy nhiều chương trình bị lỗi, không chơi được game, … ” . Nhưng từ khi mua con laptop 4GB Ram tôi buộc phải cài Win 7 vì Win XP chỉ nhận tối đa 3GB RAM. Tôi nhận thấy rằng Win 7 có rất nhiều tính năng hữu ích, đặc biệt là trong vấn đề bảo mật. Hơn thế nữa, lý do không dùng Win 7 vì có nhiều phần mềm và game không tương thích bây giờ đã không còn đúng, hầu hết tất cả các phần mềm và game ngày nay đều được sản xuất để phù hợp với Win 7, thậm chí nhiều cái còn ko tương thích với XP.
    Hì. Vì vậy theo tôi mọi người nên sử dụng Win 7 đi nhé. Cám ơn chủ topic về bài viết này!

      • meocon nói:

        thời đại j rồi…..dùng win đi bà con ơi…..
        win 8 đã đạt 1 tỷ lượt download/ngày

      • minhsonuit nói:

        Chẳng lẽ phải như bạn Meocon đi trước thời đại??Theo như cái quy luật của cái hãng này thì cứ 1 Hệ điều hành thành công thì hệ điều hành tiếp theo sẽ là 1 thất bại!

      • tao là táo nói:

        “win 8 đã đạt 1 tỷ lượt download/ngày” ? Vậy là chỉ 10 ngày là số lượng download windows 8 về bằng với dân số cả thế giới. Vậy

        1- Bao nhiêu % dân số toàn cầu sử dụng máy tính
        2- Bao nhiêu % trong số các máy tính trên thế giới sử dụng các OS khác ngoài windows
        3- Bao nhiêu % người sử dụng còn bỡ ngỡ với Windows 7 chứ chưa nói tới 8
        4- và còn bao nhiêu câu hỏi tựa như thế nữa……
        Và cái câu chốt lại là nói thì có sách, mách có chứng. nguồn từ đâu ra con số đó?

  7. dongthao nói:

    Bài này mình viết từ tháng 1 năm 2010 các bạn nhé.

Gửi phản hồi

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s