2010/11/14

An ninh điện tử | An ninh cho Windows

Tóm lược
I.    Thường xuyên cập nhật hệ điều hành.
II.    Biết rõ các dữ liệu và tài liệu khác nhau nằm ở đâu trong máy. Sử dụng mật mã BIOS để bảo vệ máy điện toán khi khởi động. Sử dụng khóa màn hình hay màn hình có mật mã để ngăn chặn truy cập trực tiếp vào máy
III.    Không sử dụng mật mã trống hay tiết lộ mật mã cho người khác. Cần cẩn thận khi cài đặt phần mềm mới hay mua máy điện toán có cài đặt sẵn các phần mềm. Chỉ sử dụng những phần mềm cần thiết và xóa những gì không cần.       

Trong các phần trước chúng ta đã tìm hiểu về vấn đề an ninh trong môi trường làm việc và tầm quan trọng của việc nhận thức được các hoạt động của hệ thống máy điện toán. Chương này sẽ giới thiệu thêm về mặt kỹ thuật. Sự ổn định của hệ điều hành trong máy chính là một phần chính khi vận hành máy. Các cấu thành của phần mềm và phần cứng khác nhau có thể gây ra những ảnh hưởng tiêu cực tới những chức năng và an ninh hệ thống, nếu bạn không giữ được khả năng giám sát và điều khiển hệ thống. Hệ điều hành đem lại cơ hội làm gia tăng (hay suy giảm) mức độ an ninh của máy thông qua việc điều chỉnh một số thiết lập (settings) khác nhau. Tương tự như đầu não của máy điện toán. Trong lúc an ninh máy không chỉ hoàn toàn phụ thuộc vào hệ điều hành (Operating System, viết tắt là OS. Xem định nghĩa) điều quan trọng là phải biết được những yếu tố nhậy cảm và các điểm quản trị trọng yếu trong hệ điều hành  máy điện toán của bạn.

Hệ điều hành Windows (OS) được biết tới như là một hệ thống có nhiều lỗ hổng an ninh, nhưng nếu bạn không có ý định chuyển sang sử dụng một hệ điều hành nào khác (ví dụ như Ubuntu dựa trên hệ điều hành Linux), thì bạn nên biết những công nghệ nào là tối ưu nhất để bảo đảm an ninh cho hệ thống của mình. Phần này sẽ được chia ra làm các loại hình khác nhau và phân loại căn cứ vào các phiên bản khác nhau của Windows OS. Cần biết thêm là các phiên bản nhất định của Windows, như XP Professional, có các chức năng an ninh mà không được kích hoạt ở trạng thái mặc định mà bạn cần phải thực hiện việc kích hoạt chúng.

Cập nhật Windows (Update Windows)

Việc cập nhật Windows để bổ sung cho hệ điều hành, vốn sẽ lỗi thời khi phiên bản mới ra đời. Việc này bao gồm cập nhật và vá (patch) những chương trình cũ để giải quyết những lỗ hổng về chức năng, hay bảo mật khi được phát hiện. Những chương trình vá lớn được gọi là những “gói dịch vụ – (service pack). Microsoft hiện đã ngưng việc thực hiện cập nhật cho các phiên bản Windows 95, 98 và NT. Bạn có thể tìm và tải về các cập nhật trong những năm trước, nhưng hỗ trợ thường xuyên thì không còn nữa. Các cập nhật về an ninh và sửa lỗi cho Windows 2000 và XP sẽ còn được cung cấp ít nhất cho đến năm 2010.

Nếu bạn không có kết nối Internet thì bạn ít bị đe dọa bởi các cuộc tấn công điện tử. Khuyến cáo trong trường hợp này là bạn cần có được các cập nhật cho hệ điều hành từ đĩa mềm hay đĩa CD. Bạn cũng có thể gửi thư điện tử tới Microsoft để yêu cầu gởi đến các gói dịch vụ mới nhất (cần nhớ rằng bạn sẽ phải gửi các chi tiết thông tin về mã số bản quyền trong sản phẩm mà bạn mua).

Nếu bạn có kết nối Internet thì bạn có thể vào trang http://update.microsoft.com và theo hướng dẫn để thực hiện quy trình xác định xem phiên bản Windows nào mình đang có cũng như các cập nhật cần thiết, để rồi tải về và cài đặt những phần cần thiết. Nếu bạn sử dụng Windows XP cho máy của mình, thì trang mạng này trước hết sẽ kiểm tra mã bản quyền của phần mềm Windows mà bạn có. Kể cả khi kết nối Internet của bạn chậm và đắt đỏ, bạn vẫn nên thực hiện cài đặt những cập nhật đó. Nếu kết nối Internet là vấn đề thì hãy cài đặt các cập nhật thật quan trọng (Critical Updates).

Bạn cũng có thể có được các cập nhật cho hệ điều hành Windows của bất cứ phiên bản nào bằng cách vào trang Microsoft Catalogue  và tải về các hồ sơ cần thiết. Đây là cách thức ích lợi khi dùng chung các cập nhật Windows giữa các máy điện toán mà không cần kết nối tất cả mọi người vào Internet. Microsoft Catalogue có các chương trình cập nhật cho tất cả mọi phiên bản hệ điều hành và không kiểm tra mã bản quyền của sản phẩm mà bạn có.

Người sử dụng Windows ME, 2000 và XP có khả năng kết nối liên tục vào Internet có thể thiết trí sao cho Windows kiểm tra dịnh kỳ một cách tự động xem có cập nhật mới hay không và cài đặt nếu có. Vào“Control Panel” và chọn (trong 2000 - 'Automatic Updates', trong XP – 'Security Centre'). Định dạng các lựa chọn (Options) cho phép việc tải tự động và cài đặt. Ngoài ra cũng cần xóa các hố sơ tạm thời này (temporary files) vì chúng chiếm rất nhiều dung lượng trong bộ nhớ trong máy.

Cách Khóa Màn hình của Máy Điện toán

Mọi máy sử dụng hệ điều hành Windows đều cho phép tạo mật mã bảo vệ khả năng truy cập trực tiếp một khi máy khởi động. Đây có thể là việc khóa màn hình, hay ảnh màn hình có mật mã.

Khoá màn hình – Windows NT, 2000

        Đảm bảo rằng trương mục truy cập máy của bạn được thiết trí với mật mã
        Nhấn ba phím CRTL + ALT + DEL cùng lúc
        Nhấn: Enter


Khoá màn hình – Windows XP
Cách 1) Nhấn phím Windows (nếu có) cùng lúc với phím L
Cách 2) Bạn phải chuyển chủ đề màn hình thành“Classic”Windows để kích hoạt chức năng khóa màn hình.
Chọn: Start > Settings > Control Panel
Nhấn kép: User Accounts
Nhấn: Change the way users log on or off
Bỏ dấu chọn (un-click): Use the Welcome Screen

Bây giờ bạn có thể dùng ba phím cùng lúc Ctrl + Alt + Del.

Cách 3) Nhấn phải vào một điểm trống trong màn hình Desktop
            Chọn: New > Short cut
Chọn: rundll32.exe user32.dll, LockWorkStation
Nhấn: Next
Đánh: tên cho Icon mới (ví dụ: Khóa máy - Lock Computer)
Nhấn: OK

Qua đó sẽ tạo được một Icon mới trong màn hình Desktop. Nhấn kép vào Icon này để khóa màn hình máy. Để mở, bạn sẽ phải đánh mật mã.

Windows 95, 98, ME

Không có chức năng khóa màn hình riêng biệt trong  các phiên bản Windows này, do đó bạn sẽ phải tạo một ảnh màn hình có mật mã và tạo một Icon hay thời lượng hạn định để kích hoạt mật mã.

Ảnh màn hình - Screen Saver – (mọi phiên bản Windows)
Trong màn hình Desktop, kích phím chuột phải và chọn“Properties”từ trong Menu hiện ra. Chọn tới nhãn SCREEN SAVER và chọn ảnh màn hình. Chọn (click) ô“Password Protect”và đánh mật mã mình muốn vào đó. Đặt thời lượng hạn định (time limit) là 5 phút. Bây giờ tạo đường dẫn nhanh (Shortcut) để kích hoạt ảnh màn hình khi cần. Do đó bạn sẽ không phải chờ 5 phút để ảnh màn hình được kích hoạt nữa.

Kết quả sẽ cho một danh sách các ảnh màn hình mà máy có. Chọn ảnh bất kỳ mình muốn và nhấn chuột phải vào đó.

Chọn: Send to -> Desktop (Create ShortCut)

Bây giờ bạn đã có thể kích hoạt ảnh màn hình bằng cách nhấn vào Icon vừa tạo trong màn hình Desktop. Nhưng cũng có cách đơn giản hơn:
Nhấn chuột phải vào đường kết nối nhanh (Shortcut) này và chọn “Properties”
Nhấn vào ô có chữ “khóa kết nối nhanh” – “short cut key” và nhấn Ctrl + Alt + S

Nhấn: OK.
Bây giờ ảnh màn hình sẽ được kích hoạt mỗi khi bạn nhấn ba phím này cùng lúc.

Đây không phải là một cách thiết trí an ninh cao cấp, nhưng cũng còn hơn là để màn hình chạy mở mà không có mật mã nào.

Giành Cho Chuyên Viên : BIOS

Mọi máy đều có BIOS – Hệ thống Xuất Nhập Cơ Bản - Basic Input/Output System. Mục đích của hệ thống này là đưa ra những lệnh khởi động để bắt đầu quá trình vận hành. BIOS là một bộ các quy trình lệnh, khởi tạo phần mềm cơ bản khi ta bật máy lên. Các lệnh này sẽ kiểm tra các cấu thành của phần cứng, khởi động ổ cứng và hệ điều hành. Các lệnh chạy BIOS được lưu giữ trong ổ nhớ ROM - Ổ nhớ Chỉ đọc -  Read Only Memory, và thường người sử dụng không đọc được. Tuy nhiên, phần lớn các máy điện toán có các lựa chọn cho phép người dùng có thể kiểm định và thiết trí các cấu hình BIOS. Việc này bao gồm cả bảo mật bằng mật mã.

Để truy cập được vào BIOS của máy, thường phải nhấn một phím nhất định trên bàn phím trong khi quá trình khởi tạo bật nguồn đang diễn ra. Thường đây là phím F1 hoặc F2 hay F10, F12, phụ thuộc vào loại hệ thống BIOS mà bạn có. Đôi lúc đây cũng có thể là các phím ESC hoặc DEL key. Một số máy điện toán khởi động qua quá trình này rất nhanh và bạn có thể phải nhấn phím Pause trên bàn phím để đọc các dòng lệnh chạy được dễ dàng. Ở phần này chúng ta sẽ chỉ xem xét về mặt thiết trí mật mã mà thôi. Không được thay đổi các cấu hình  BIOS nếu không biết mục đích của các cấu hình đó là gì. Không phải BIOS nào cũng giống nhau, nhưng bạn sẽ thấy hai hoặc tất cả các mật mã trong BIOS của mình.

Mật mã khởi động nguồn - Power On password – Có mục đích bảo vệ BIOS không bị khởi động khi chưa có mật mã đúng. Sẽ không có thiết bị phần cứng nào được khởi động và máy sẽ không khởi động.

Mật mã ổ cứng – Có mục đích bảo vệ BIOS không bị đưa vào quá trình khởi động và khởi động ổ




cứng. Đây là một lựa chọn hữu ích cho các máy xách tay nếu thường để trong trạng thái“chờ”- standby.

Mật mã quản trị - Supervisor password (mật mã BIOS) – Đây là mật mã cơ bản có khả năng quản trị hai mật mã ở trên. Bạn không cần phải đặt mật mã này, nhưng nếu bạn quên hay muốn thay đổi mã khởi động nguồn hay mã ổ cứng ở trên thì sẽ phải cần mật mã này.

Việc đặt các mã này sẽ ngăn chặn được xâm nhập trực diện từ máy một khi máy đã bị tắt. Đây là cách nhanh chóng để làm nản lòng những kẻ muốn xâm nhập máy mà không có trình độ quá cao. Mức độ bảo mật này tuy vậy cũng chưa phải là tuyệt đối vì vẫn có những cách đi vòng mà không cần các mật mã BIOS. Phần lớn các cách này đều đòi hỏi phải can thiệp trực tiếp tức là mở máy ra. Một khi đã mở máy, bạn có thể Reset hệ BIOS hay chỉ đơn giản là tháo ổ cứng ra và lắp vào chạy ở một máy điện toán khác không có mật mã BIOS. Do đó, nếu bạn có khóa và túi đựng hay va li đựng máy điện toán xách tay đủ tốt, bạn có thể sẽ làm tăng thêm khả năng chống xâm nhập vào những thông tin trong máy của bạn. Nếu quên mã BIOS, bạn sẽ phải dùng các biện pháp nói trên để Reset máy.

Cài đặt phần mềm

Phần lớn các máy điện toán đều có một số các phần mềm được cài đặt sẵn. Cần nhớ rằng việc này có thể gây nguy hại cho an ninh máy của bạn. Thực ra bạn chỉ cần đĩa CD cài đặt Windows và bộ công cụ Security-in-a-Box để bắt đầu mà thôi. Bạn có thể tìm các phần mềm mình cần khác trên mạng Internet miễn phí.

Các phần mềm được cài đặt sẵn trong máy điện toán thường là các phiên bản thử nghiệm như các bộ quét virus thử (test version), các phần mềm đồ họa. Chúng có thể thậm chí chứa các phần mềm gián điệp (Chính phủ Trung quốc đang xem xét việc đưa ra luật yêu cầu mọi nhà sản xuất máy điện toán và những công ty bán máy điện toán phải cài đặt các phần mềm kiểm duyệt trong các máy mới bán ra). Nếu bạn chỉ sử dụng những phần mềm được khuyến cáo và đáng tin cậy, cài đặt bộ chống virus tốt cũng như thiết trí tường lửa, thì bạn có thể sẽ đảm bảo được an ninh hơn hẳn khi kết nối vào mạng Internet lần đầu tiên.

Khi cài đặt một phần mềm mới, hãy tìm hiểu trước nguồn gốc của phần mềm này để đưa ra đánh giá chính xác về sự đáng tin cậy của nguồn gốc phần mềm. Không nên cài đặt những phần mềm không cần thiết chỉ để trang trí màn hình của bạn hay phần mềm chỉ nhằm giúp điền các mẫu thông tin trên Internet được dễ dàng hơn. Chính những phần mềm đơn giản tưởng như vô hại này lại thường chứa đựng những virus hay nguy cơ gây hại nhất được mô tả trong tài liệu này. Nếu mục đích chính của bạn chỉ là một chiếc máy điện toán để đọc thư điện tử và soạn thảo văn bản thì chỉ cần Open Office (http://openoffice.org) và Mozilla Thunderbird (http://mozillamessaging.com/ thunderbird/) mà thôi. Không cần cài đặt phần mềm nào khác gì khác.

No comments:

Post a Comment