Xây dựng quy trình kiểm thử xâm nhập hệ điều hành microsoft windows

Trang 1

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIÊN THÔNG KHOA AN TOÀN THÔNG TIN

Trang 2

Đồ án tốt nghiệp Đại học

LOI CAM ON

Trong suốt khoảng thời gian từ khi bắt đầu học tập ở Học viện đến nay, em đã nhận được rất nhiều sự quan tâm, giúp đỡ của quý Thầy Cô trong Học viện nói chung

và các Thầy Cô khoa An Toàn Thông Tin nói riêng Các Thầy Cô đã hết mình truyền

đạt tri thức cũng như cach học tập và làm việc cho em với sự nhiệt huyết của minh.

Những kiến thức em đã tiếp thu được trong quá trình học tập sẽ trở thành hành trang quý giá để giúp em bước vào cuộc sống một cách vững vàng và tự tin hơn.

Đặc biệt, em xin chân thành cảm ơn Thầy TS.Đinh Trường Duy đã nhiệt tình

hướng dẫn em trong suốt quá trình làm đồ án tốt nghiệp Nhờ vậy mà em đã hoàn

thành đồ án tốt nghiệp, trong quá trình Thầy hướng dẫn em đã học được thêm rất nhiều điều từ cách dùng từ khi làm bài đến cách trình bày nội dung sao cho mạch lạc Một

lần nữa em xin chân thành cảm ơn Thay.

Mặc dù đã dành nhiều thời gian và công sức để hoàn thiện đồ án, song kiến thức cũng như kinh nghiệm của em còn nhiều hạn chế, nên sẽ không thé tránh khỏi những thiếu sót mà bản thân mình chưa thấy được Em rất mong nhận được sự góp ý từ quý Thầy Cô.

Em xin chân thành cảm ơn!

Hà Nội, tháng 01 năm 2024Sinh viên thực hiện

Châu Phan Hoài Linh

Châu Phan Hoài Linh-B19DCAT110-D19CQAT02B

Trang 3

NHAN XÉT CUA GIANG VIÊN HUONG DAN

Điểm: (bằng chữ: )

Đồng ý/Không đồng ý cho sinh viên bảo vệ trước hội đồng chấm đồ án tốt nghiệp?

Hà Nội, ngày tháng năm 2024

CÁN BỘ - GIẢNG VIÊN HƯỚNG DẪN

(ký, họ tên)

Trang 4

NHAN XÉT CUA GIANG VIÊN PHAN BIEN

Hà Nội,ngày thang nam 2024

CAN BO - GIANG VIEN PHAN BIEN

(ky, ho tén)

Trang 5

MỤC LỤC

¡0 900922 i

DANH MỤC HINH ẢNH -L c2 2201111112225 1 111111 15551112ii

DANH MUC CAC BANG occ — A V

DANH MỤC CÁC TỪ VIET TẮT 2 2 1111111111111 2555555555111 1 11112 vi MO ĐẦU 5-5222 2122127121121122121121121121121111211 2110101121101 1211111 vii

CHƯƠNG 1: TONG QUAN VE HE DIEU HANH MICROSOFT WINDOWS 1

1.1 Tổng quan hệ điều hành Microsoft Windows - - s55: 1 1.1.1 Kiến trúc hệ điều hành Windows -ccc 2c sec 2 1.2 Các dòng hệ điều hành Windows Desktop -. . - c2 4 1.3 Các dòng hệ điều hành Windows Server - -. - << csse2 11 1.4 So sánh các dòng hệ điều hành Windows - -.c ccc<ccs¿ 14 1.5 KẾt chương Ï c2 0020121121111 ng nh nh nh nu nen 19 CHƯƠNG 2: CÁC VAN DE BAO MAT CUA HỆ DIEU HANH WINDOWS 19

2.1 Thực trạng van dé bao mật hiện nay của hệ điều hành Windows 20

2.2 Các van dé bảo mật của hệ điều hành Windows - - 20

2.2.1 Các van đề bảo mật trong kiến trúc hệ điều hành Windows 21

2.2.2 Các van đề bảo mật về tài khoản người dùng - - - 23

2.2.3 Các vấn đề bảo mật của các giao thức sử dụng trong hệ điều hành WInOWS QQQ QQ Q QQ Q Q Q ng needed HH HH ng EEE EEE DEES ke 25 2.2.4 Các vấn đề bảo mật với ứng dụng, dịch vụ trong hệ điều hanh WinOWS Q00 0n ng TT TH TH n ĐH ng Hee 29 2.3 Kết chương 2 c C20020 2000121121 ng nh nà nh Hit 31 CHƯƠNG 3: XÂY DỰNG QUY TRÌNH KIEM THU XÂM NHAP CHO HE DIEU HANH MICROSOFT WINDOWS 222021011111 n HH ướu 32 3.1 Nghiên cứu một số quy trình kiểm thử xâm nhập hệ điều hành hiện nay 32

3.1.1 Quy trình kiểm thử hệ điều hành SDC - 32

3.1.2 Quy trình kiểm thử hệ điều hành VAPT - -+: 35

3.2 Dé xuất quy trình kiểm thử hệ điều hành mới - - - 36

3.2.1 Quy trình kiểm thử mới cho hệ điều hành Microsoft Windows 37

3.2.2 Giới thiệu công cụ sử dụng trong quy trình . 40

3.2.3 Đánh giá quy trình kiểm thử dành cho hệ điều hành Windows 42

3.4 Kết chương 3 000111221 n TH HH TT TT T nhà e 43 CHƯƠNG 4: THỰC NGHIEM VÀ ĐÁNH GIÁ + cece c2 44 4.1 Kiểm thử xâm nhập hệ điều hành Windows Server 2016 44

4.2 Kiểm thử xâm nhập hệ điều hành Windows 10 - - 51

KET LUAN.oooccccccccccccccccceeseeecececeeuueeeeeeeeesueeececteeesaeeeeseteesaaeeseeeeaaaens 57 TAI LIEU THAM KHAO .00ccccseseeeececececececeeeeeeeeseseussuseeeeeeeeseeeess 1

Chau Phan Hoai Linh-B19DCAT110-D19CQAT02B

Trang 6

DANH MỤC HÌNH ẢNH

Hình 1.1 Microsoft Windows - Hệ điều hành nỗi tiếng của Microsoft 12

Hình 1.2 Kiến trúc hệ điều hành Windows .- n1 rsrieiiee 15 Hình 1.3 Kiến trúc Windows 7 000cccccccceeseeeceeeeeeeseeeeseeseeseeeeeseteeutieseess 17 Hình 2.1 Tổng số lỗ hồng bảo mật của hệ điều hành Windows qua từng năm 38

Hình 2.2 Bật/ tắt dịch vụ Remote Desktop Protocol trong Windows I1 48

Hình 3.1 Biéu đồ phụ thuộc các đối tượng kiểm soát bảo mật - - 57

Hình 3.2 Quy trình kiểm thử 5 bước cho hệ điều hành Windows - 64

Hình 3.3 Giao diện công cụ kiểm thử xâm nhập hệ điều hành Windows 69

Hình 3.4 Công cụ tìm kiếm leo thang đặc quyền PeasS-NG 70

Hình 4.1 Máy Windows Server 2016 ping đến Kali Linux <<: 74 Hình 4.2 Máy Kali Linux ping đến Windows Server 2016 cccccccSS552 74 Hình 4.3 Khởi động công cụ kiểm thử xâm nhập ⁄- 5252255255255 sees 75 Hình 4.3 Quá trình thu thập thông tin mục tiêu được khởi chạy 76

Hình 4.4 Thông tin về open port, phiên bản hệ điều hành của máy mục tiêu 76

Hình 4.5 Thông tin về Domain - ¿¿ 1122111112111 2211112251551 1 xe 77 Hình 4.7 Thông tin dịch vụ SMB trên máy chủ - 78

Hình 4.8 Thông tin về các bản ghi DNS trên may Windows Server 2016 78

Hình 4.9 Kết quả rà quét lỗ hồng trên máy Windows Server 2016 79

Hình 4.10 Mật khẩu hash được tìm thấy qua Kerberos -‹ - 5-5-5: 80 Hình 4.11 Thực hiện khai thác các lỗ hồng trên Windows Server 2016 81

Hình 4.12 Tổng kết va đánh giá độ an toàn của Windows Server 2016 82

Hình 4.13 Máy Windows 10 ping đến may Kali Linux . - 83

Hình 4.14 May Kali Linux ping đến máy Windows 10 - 84

Hình 4.15 Quá trình thu thập thông tin máy Windows 10 85

Hình 4.16 Thông tin về open ports, phiên bản hệ điều hành va domain của may „500 ———— nent cence ene nett dene eee ne neta eneeeenene esate eeeeaenene ea 87 Hình 4.17 Thông tin về dich vụ SMB của máy Windows 10 - : 87

Hình 4.18 Quá trình ra quét lỗ hồng trên máy Windows 10 88

Hình 4.19 Quá trình thực hiện kịch bản khai thác trên máy Windows 10 89

Hình 4.20 Đánh giá về tinh an toàn của hệ thống máy Windows 10 90

Trang 8

DANH MỤC CÁC TU VIET TAT

Ký hiệu Tên tiếng Anh Ý nghĩa tiếng Việt

Ngẫu nhiên hóa bô cục không gi

ASLR_ | Address space layout randomization gau nea oe ° cue ong gian

dia chi

CVE Common Vulnerabilities and Cac 16 héng va nguy co phoi nhiém Exposures phô biến

IUM Isolated User Mode Chế độ người dùng biệt lập

IP Internet Protocol giao thức InternetLAN Local Area Network Mang cục bộ

LDAP Lightweight Directory Access Giao thức truy cap co sở dữ liệu

RDP Remote Desktop Protocol Giao thức điều khién máy tinh từ xa VAPT Vulnerability Assessment and Đánh giá lỗ hông và kiểm tra thâm

MỞ DAU

Trang 9

Trong thời đại hiện nay, khi mà công nghệ thông tin và hệ thống máy tính đóng vai trò quan trọng trong mọi lĩnh vực, van dé bảo mật thông tin đã trở thành một ưu tiên hàng đầu Việc xây dựng và duy trì môi trường an toàn, đặc biệt là đối với hệ điều hành Windows - hệ điều hành phổ biến nhất thế giới, đặt ra nhiều thách thức và yêu cầu về kiểm thử xâm nhập Hiện nay đã có nhiều dịch vụ kiểm thử xâm nhập tuy nhiên

không phải ai cũng có điều kiện để tiếp cận Các công cụ hỗ trợ kiểm thử xâm nhập dành cho hệ điều hành Windows cũng được phát triên nhưng đa phan chúng đều phải

trả phí dé sử dụng Các công cụ miễn phí thì chỉ hỗ trợ cho một khía cạnh riêng trong

hệ điều hành, vì thế cần một quy trình đầy đủ kết hợp các công cụ này dé thực hiện

công việc kiểm thử xâm nhập hệ điều hành Windows.

Đồ án "Xây Dựng Quy Trình Kiểm Thử Xâm Nhập cho Hệ Điều Hành Windows" tập trung vào việc nghiên cứu, phát triển, và triển khai quy trình kiểm thử xâm nhập hiệu quả trên các hệ điều hành Windows Với sự gia tăng không ngừng của các mối de

dọa an ninh và các kỹ thuật tắn công ngày càng phức tạp, việc phát triển một quy trình

kiểm thử xâm nhập danh cho hệ điều hành Windows là quan trọng để phát hiện và

cảnh báo sớm các điểm yếu bảo mật, duy trì tinh ôn định của hệ thống.

Chương 1: Tổng Quan hệ điều hành Microsoft Windows

Chương này sẽ đưa ra một cái nhìn tổng quan về bảo mật trong hệ điều hành

Windows, tập trung vào kiến trúc hệ thống và các tính năng bảo mật của chúng Đánh

giá ưu nhược điểm trong vấn đề bảo mật và so sánh các dòng hệ điều hành Windows.

Chương 2: Các vấn đề bảo mật trong hệ điều hành Windows

Chương này trình bày về thực trạng bảo mật hiện nay của Windows và các vấn đề

bảo mật còn tổn tại của dòng hệ điều hành này.

Chương 3: Giới thiệu một số quy trình kiểm thử xâm nhập hệ điều hành hiện

nay và đề xuất quy trình kiểm thử xâm nhập mới

Chương này giới thiệu hai quy trình kiểm thử xâm nhập hệ điều hành nỗi bật hiện

nay đồng thời đánh giá ưu nhược điểm của chúng Ngoài ra còn giới thiệu quy trình

kiểm thử mới được đề xuất danh riêng cho hệ điều hành Windows.

Chương 4: Thực hiện kiểm thử xâm nhập trên hệ điều hành theo quy trình kiểm thử xâm nhập mới.

Chương này sẽ tập trung vào việc triển khai thực tế quy trình kiểm thử xâm nhập

trên hệ điều hành Windows đã đề xuất Các kịch bản thử nghiệm và các phương pháp

đánh giá sẽ được trình bày chi tiết để đảm bảo tính toàn vẹn vả hiệu suất của hệ thống.

Do thời gian có hạn cũng như kiến thức của còn hạn chế nên quá trình thực hiện đồ án sẽ khó tránh khỏi những thiếu sót Em rất mong nhận được các ý kiến đóng góp của

các Thay, Cô dé đồ án của em được hoàn thiện hơn.

Em xin chân thành cảm ơn!

Trang 10

CHƯƠNG 1: TONG QUAN VE HỆ DIEU HANH MICROSOFT WINDOWS

1.1 Tổng quan hệ điều hành Microsoft Windows

Hệ điều hành đầu tiên được phát triển bởi Microsoft là MS-DOS, được Microsoft

tạo ra cho dòng máy tính cá nhân IBM đầu tiên (theo Wikimedia) Phiên bản đầu tiên, DOS 1.0 được phát hành vào tháng 8 năm 1981 Nó bao gồm 4000 dòng mã nguồn

hợp ngữ và chạy trong 8 Kbyte bộ nhớ bằng bộ vi xử lý Intel 8086 MS-DOS là hệ

điều hành mà người dùng phải gõ lệnh thay vì sử dụng giao diện đồ họa (GUID) thân thiện hơn hiện nay Mặc dù có vẻ ngoài rất cơ bản nhưng MS-DOS là một hệ điều hành rất mạnh mẽ MS-DOS là hệ điều hành làm nền tảng cho Windows Nhiều tác vụ quản trị nâng cao trong Windows chỉ có thê được thực hiện bằng MS-DOS.

Hình 1.1 Microsoft Windows - Hệ điều hành nổi tiếng của Microsoft

Windows sau đó được Microsoft phát triển với phiên bản đầu tiên là Windows 1.0

ra mắt năm 1985, mở đầu cho kỷ nguyên của một hệ điều hành mạnh mẽ và được sử

dụng phô biến khắp thé giới Mục đích của Microsoft là cung cấp một giao diện người

dùng thân thiện được gọi là GUI (giao diện người dùng đồ họa) cho phép điều hướng

các tính năng hệ thống dé dàng hon Windows 1.0 chưa bao giờ thực sự phô biến Việc

phát hành là một khởi đầu không may suôn sẻ đối với gã không lồ công nghệ Người dùng nhận thay phần mềm không 6n định Tuy nhiên, giao diện điểm và nhấp chuột đã

giúp người dùng mới sử dụng máy tính dễ dàng hơn.

Tiếp sau đó là các hệ điều hành lần lượt ra đời và trở nên nỗi tiếng như Windows

Vista Windows 2000, Windows XP, Windows 7, Windows 8, Windows 10,

Windowsll, Những hệ điều hành này của Microsoft đã góp phan tạo nên một

Trang 11

Windows thống trị thị trường hệ điều hành và trở thành hệ điều hành thông dụng với người dùng trên toàn thế giới.

Với định hướng thiên về các tác vụ văn phòng, giải trí, cùng với kho ứng dụng đồ

sồ và khả năng tương thích với nhiều loại máy tính khác nhau Windows đang là hệ

điều hành được mọi người trên toàn thế giới tin tưởng và sử dụng.

1.1.1 Kiến trúc hệ điều hành Windows

Kiến trúc của của hệ điều hành Windows là một hệ thống phân lớp với hai thành

phần chính là chế độ người dùng và chế độ kernel Các ứng dụng người dùng chạy ở

chế độ người dùng, trong khi các tiễn trình thuộc hệ điều hành chạy ở chế độ kernel.

Các thành phan trung tâm trong chế độ kernel là lớp phần cứng (HAL), trình điều khiển và nhiều dịch vụ khác nhau được gọi là Dịch vụ điều hành Một thành phần quan trọng khác của chế độ kernel là trình điều khién thiết bị, quan lý các thiết bị vật lý, hệ thống file, giao thức mạng, Các thành phần của chế độ kernel của Windows như

* Executive: Chứa các dich vụ hệ điều hành cơ bản như quản lý bộ nhớ, quản lý tiễn trình và luồng, bảo mật, I/O và giao tiếp giữa các tiến trình.

* Kernel: Kiểm soát việc thực thi của (các) bộ xử lý Kernel quản lý việc lập lịch luồng, chuyên đổi quy trình, xử lý ngoại lệ và ngắt cũng như đồng bộ hóa đa bộ xử

+ Lớp trừu tượng phan cứng (HAL): Ánh xạ giữa các lệnh và phản hồi phần cứng

chung và những lệnh duy nhất cho một nền tảng cụ thể Nó tách biệt hệ điều hảnh

khỏi những khác biệt về phần cứng dành riêng cho nền tảng HAL làm cho bus hệ thống, bộ điều khiển truy cập bộ nhớ trực tiếp (DMA), bộ điều khiển ngắt, bộ hẹn giờ hệ thống và mô-đun bộ nhớ của mỗi máy tính trông giống nhau đối với các thành phần Executive và Kernel Nó cũng cung cấp sự hỗ trợ cần thiết cho đa xử lý

đối xứng (SMP).

° Trinh điều khiển thiết bị: Thư viện động mở rộng chức năng của Executive Chúng bao gồm các trình điều khiển thiết bi phần cứng giúp dịch các lệnh gọi chức

năng I/O của người dùng thành các yêu cau I/O của thiết bi phần cứng cụ thé và các

thành phan phần mềm dé triển khai hệ thống tệp, giao thức mạng và bất kỳ tiện ích

mở rộng hệ thống nào khác cần chạy ở chế độ kernel.

e Hệ thống cửa số và dé họa: Thực hiện các chức năng giao diện đồ họa người

dùng (GUI), chang hạn như xử lý các cửa số, điều khiển giao diện người dùng và

bản vẽ.

Trang 12

System supportprocesses

Service control SV Chostiex

manager » ESL ERE, [Task manager | Environment

Lsass Winmgmt.exe oS subsystems

Winlogon Spooler explorer | POSIX

System service dispatcher(Kernel-mode callable interfaces)

Win32 USER,

LLO manager % GDI

= 228 ||| a „| 2 # | < S5 2| 3

= Rs | # E B = llE Đ ế

= g |HE| ä lee | & las lies Es

s Slee | 5 bec B |S |5 Rlag

g 5 |EBg| 3 |ša| 3 |§2|sslEä

Lsass = local security authentication server Colored area indicates ExecutivePOSIX = portable operating system interface

GDI = graphics device interface

DLL = dynamic link libraries

Hình 1.2 Kiến trúc hệ điều hành Windows

Bốn loại quy trình cơ bản ở chế độ người dùng được Windows hỗ trợ bao gồm:

* Special system processes: Các dịch vụ ở chế độ người dùng cần thiết dé quan lý

hệ thong, chang hạn như trình quản lý phiên, hệ thống con xác thực, trình quản lý

dịch vụ và quy trình đăng nhập

*_ Service processes: Bộ đệm máy in, bộ ghi sự kiện, các thành phần chế độ người

dùng hợp tác với trình điều khiến thiết bị, các dịch vụ mạng khác nhau và nhiều

dịch vụ khác.

+ Environment subsystems: Cung cấp các tinh cách (môi trường) hệ điều hành

khác nhau Các hệ thống con được hỗ trợ là Win32/WinFX va POSIX Mỗi hệ thống con môi trường bao gồm một quy trình hệ thống con được chia sẻ giữa tất cả các ứng dụng sử dụng hệ thống con và thư viện liên kết động (DLL) dé chuyên đôi

lệnh gọi ứng dụng người dùng thành lệnh gọi LPC trên quy trình hệ thống con

và/hoặc lệnh gọi Windows gốc.

* User applications: Các tệp thực thi (EXE) và DLL cung cấp chức năng mà

người dùng chạy dé sử dụng hệ thống EXE va DLL thường nhắm mục tiêu vào

các hệ thống con môi trường cụ thể; mặc dù một số chương trình được cung cấp

Trang 13

như một phần của HĐH sử dụng giao diện hệ thống gốc (NTAPI) Ngoài ra còn có

hỗ trợ chạy các chương trình 16 bit được viết cho Windows 3.1 hoặc MS-DOS.

Windows được thiết kế để hỗ trợ các ứng dụng được viết cho nhiều hệ điều hành.

Windows cung cấp hỗ trợ này bằng cách sử dụng một tập hợp chung các thành phần

chế độ kernel làm nền tảng cho các hệ thống con được bảo vệ Việc triển khai mỗi hệ thống con bao gồm một quy trình riêng biệt, chứa các cấu trúc dit liệu dùng chung, các

đặc quyền, các đối tượng điều khiển và Executive cần thiết dé triển khai một cách cụ

Hệ thong con được bảo vệ cung cấp giao diện đồ họa hoặc giao diện dòng lệnh cho

người dùng Ngoài ra, mỗi hệ thống con được bảo vệ còn cung cấp API cho môi trường hoạt động cụ thể đó Điều này có nghĩa là các ứng dụng được tạo cho một môi trường cụ thê có thê chạy không thay đổi trên Windows.

1.2 Các dòng hệ điều hành Windows Desktop tiêu biểu 1.2.1 Hệ điều hành Windows 7

Windows 7 là một hệ điều hành được Microsoft phát hành vào ngày 22 tháng 10 năm 2009 Nó tiếp nối phiên bản trước của Windows là Windows Vista Windows 7 được xây dựng dựa trên Windows Vista và là một bản cập nhật cho hệ điều hành

Windows Vista (theo Wikimedia).

Windows 7 đã cải thiện được nhiều vấn dé tồn động trong Windows Vista Hệ điều

hành này có thời gian khởi động và tắt máy nhanh hơn nhiều so với Windows Vista.

Nó cũng dễ dàng hơn để cài đặt và cấu hình Các chức năng của hệ điều hành

Windows 7 cũng nhanh hơn so với các phiên bản trước Việc mở, di chuyền, giải nén,

nén và cải đặt các tệp và thư mục hiệu quả hơn các phiên bản hệ điều hành máy khách

trước đây của Microsoft Windows 7 cung cấp cho người dùng sự lựa chọn giữa kích

thước bộ xử lý 32 bit hoặc 64 bit 32 bit và 64 bit là không gian địa chỉ trong hệ thống.

Số lượng kích thước bộ xử lý càng cao thì khả năng xử lý thông tin càng nhanh.

Trang 14

logon os/2 Win16 ' Win32 MSDOS | POSIX

security DS/2 Win18 MSDOS POSIX |

subsystem subsystem VDM VDM subsystem |

l/O manager 5 ee 2 tư

Riêng security plug and | virtual hệ!

object process ụ rocedure

manager reference | manager play Mi 8 ở call window

cache monitor | Manager | manager facilit manager

Trong Windows 7, phiên bản 64 bịt chạy nhanh hơn và an toàn hơn phiên bản 32

bit Tất cả các phiên bản ngoại trừ Windows 7 Starter đều có sẵn cả phiên bản 32 bit và 64 bit Dé chạy phiên bản 64 bit của Windows 7, cần có phần cứng hỗ trợ 64 bit.

Phiên bản Windows 7 64 bit hỗ trợ các ứng dụng 32 bit sử dụng lớp mô phỏng

Windows trên Windows 64 (WOW64) x86 Lớp này cách ly ứng dụng 32 bit khỏi các

ứng dụng 64 bit dé ngăn sự cố với hệ thống tệp va registry.

1.2.1.1 Bảo mật trong Windows 7

Windows 7 đã giải quyết những vấn đề về bảo mật bằng cách tuân theo Vòng đời phát triển an toàn (SDLC), tức là các nhà phát triển thực thi đánh giá mã nghiêm ngặt

đối với tất cả các mã mới và họ đã thực hiện tái cấu trúc và xem xét mã của các hệ

điều hành cũ hơn Một số cải tién bảo mật lớn của Windows 7 như:

a) Ngăn chặn thực thi đữ liệu (DEP)

Trong quá trình thực thi một tiễn trình, sẽ có một số vị trí bộ nhớ không chứa mã thực thi Những kẻ tấn công sử dụng các phần này để bắt đầu các cuộc tấn công tiêm

mã Sau khi mã đã được chèn vào, chúng có thé thực hiện các cuộc tan công như tràn

bộ đệm.

Trang 15

Ngăn chặn thực thi dữ liệu là một kỹ thuật bảo mật được sử dụng để ngăn chặn

việc thực thi mã từ các trang dữ liệu đó Điều này được thực hiện bang cách đánh dau

các trang đữ liệu là không thê thực thi Điều này làm cho mã khó chạy hơn trong các vị

trí bộ nhớ đó Có hai cách triển khai DEP là DEP dựa trên phần cứng và DEP dựa trên

phần mềm.

b) Ngẫu nhiên hóa bố cục không gian địa chỉ (ASLR)

Ngau nhiên hóa bố cục không gian địa chỉ là một kỹ thuật dé tăng cường bảo mật

khỏi các cuộc tấn công dựa trên bộ nhớ phổ biến như tràn bộ đệm và đập ngăn xếp.

Các phiên bản cũ hơn của Windows thường sử dụng các vị trí bộ nhớ có thé dự đoán được để thực thi Điều này giúp kẻ tan công dễ dàng tìm thấy các thành phần quan

trọng của quy trình, bao gồm ngăn xếp chương trình và phần heap.

Đề khắc phục vấn đề này, ASLR đã được tạo ra ASLR ngẫu nhiên hóa một sé

phan của chương trình, chang hạn như ngăn xếp, heap, thư viện, v.v Điều này làm

cho địa chỉ bộ nhớ khó dự đoán hơn nhiều Phối hợp ASLR với DEP khiến việc thực

hiện các cuộc tấn công dựa trên bộ nhớ trở nên cực kỳ khó khăn ASLR được bao gồm

trong tất ca các hệ thống Windows từ Windows Vista trở đi.

c) Structured Exception Handler Overwrite Protection (SEHOP)

Structured Exception Handler Overwrite Protection (Bao vé viéc ghi dé trinh xu ly

ngoại lệ có cấu trúc) là một kỹ thuật được sử dụng dé ngăn chặn người dùng độc hai

khai thác ghi dé Structured Exception Handler (SEH) bằng việc kiểm tra động dé đảm

bảo rằng danh sách trình xử lý ngoại lệ của luồng không bị hỏng trước khi thực sự gọi

trình xử lý ngoại lệ.

SEHOP được bật theo mặc định trên hệ điều hành Windows 7 và Windows 8 Nó

có thé bị vô hiệu hóa nếu được yêu cầu thông qua việc sửa đôi các khóa đăng ký.

d) Kiểm soát tài khoản người dùng (UAC)

Kiểm soát tài khoản người dùng là một tính năng bảo mật lần đầu tiên được giới

thiệu trong Windows Vista dé giới hạn đặc quyền quản trị chi cho người dùng được ủy quyên Nó ngăn các tệp độc hại thực hiện các hành động với đặc quyền quản tri UAC

hoạt động bằng cách cho phép truy cập quản trị tạm thời cho người dùng có liên quan

nếu họ có thê tự xác thực trong lời nhắc UAC Một số hành động được quy định sẵn sẽ có thê kích hoạt cảnh báo UAC UAC được bật theo mặc định, nhưng có thể bị vô hiệu

hóa từ bảng điều khiến.

e) Cải tiến bảo mật hệ thống DNS (DNSSEC)

Cải tiến bảo mật hệ thống DNS là một tập hợp các thông số kỹ thuật được sử dụng

để bảo mật thông tin do hệ thống DNS cung cấp Đặc điểm kỹ thuật được đưa ra bởi

IETF (Lực lượng đặc nhiệm kỹ thuật Internet) Hỗ trợ DNSSEC lần đầu tiên được giới

thiệu cho Windows 7 và Windows Server 2008 R2 DNSSEC hoạt động thông qua

việc sử dụng các tiện ích mở rộng dé cải thiện những thiếu sót của hệ thống DNS dé

Trang 16

cung cấp cho máy khách DNS một số tính năng nhất định như xác thực nguồn gốc dữ

liệu và xác thực tính toàn vẹn dữ liệu.

DNSSEC sử dung mật mã khóa công khai dé ký điện tử các bản ghi tra cứu DNS Bản ghi DNS chính xác được xác thực bằng chuỗi tin cậy, hoạt động với một tập hợp

các khóa đã được xác minh từ vùng gốc DNS, là bên thứ ba đáng tin cậy.

f) Bitlocker

Bitlocker là một tinh năng bảo mật của Windows lần đầu tiên được giới thiệu cho Windows Vista và sau đó được tăng cường thêm cho Windows 7 Nó cung cấp khả

năng mã hóa toàn bộ đĩa cho Windows 7, nó được bao gồm như một phần của chính

hệ điều hành và nó không yêu cầu bất kỳ plugin nào của bên thứ ba đề hoạt động Nó

chỉ có sẵn cho các phiên bản Enterprise và Ultimate của Windows 7.

g) Cải thiện các thuật toán mật mã

Windows 7 có một số cải tiến trong hệ thống mật mã của nó Có một số thuật toán mật mã mới đề lựa chọn, bao gồm Blowfish, AES, Triple DES, v.v Windows 7 cũng hỗ trợ mật mã Elliptic Giao thức Kerberos trong Windows 7 đã được cập nhật dé sử dụng mã hóa AES qua DES Trình quản lý mạng LAN Windows đã được cập nhật dé

sử dụng băm NTLM2 theo mặc định thay vì thuật toán băm SHAI1 hoặc MDS.

h) Tường lửa

Tường lửa Windows là tường lửa dựa trên máy chủ được bao gồm trong mỗi bản sao của Windows Nó đã được đại tu rộng rãi trong Windows 7 Nó hiện cung cấp hỗ trợ đầy đủ cho IPsec Tường lửa Windows cũng sử dụng một framework mới gọi là

Windows Filtering Platform (WFP) WFP cung cấp khả năng lọc gói được cải thiện được tích hợp vào ngăn xếp TCP / IP.

i) Cải thiện cơ chế xác thực

Hỗ trợ xác thực tốt hơn đã được giới thiệu trong Windows 7 Điều này bao gồm hỗ

trợ truy cập sinh trắc học và thẻ thông minh Tài khoản người dùng có thể được xác

thực bằng xác thực hai yếu tố, tức là kết hợp mật khẩu và thẻ thông minh Tính năng đăng nhập một lần cũng đã được giới thiệu và có thể được sử dụng với thẻ thông minh

hay cũng có thé được tích hợp với một số dịch vụ bảo mật khác như EFS.

1.2.2 Hệ điều hành Windows 10

Windows 10 là phiên bản hệ điều hành nồi tiếng của hệ điều hành Microsoft được

phát hành vào ngày 29 tháng 7 năm 2015, là phiên bản kế thừa của Windows 8 (theo Wikimedia) Khi so sánh với các phiên bản Windows khác, Microsoft đã đưa nhiều cơ

chế bảo vệ tích hợp sẵn vào Windows 10 để đảm bảo tính bảo mật, tính toàn vẹn và

tính khả dụng của hệ thống Windows 10 đang ngày càng trở nên phô biến vì những

tính năng mới và cải tiễn thân thiện với người dùng.

1.2.2.1 Bảo mật trong Windows 10

Windows 10 được trang bị các khả năng bảo mật phức tạp dé ngăn chặn các cuộc

tấn công mạng ở hiện tại và tương lai Việc có thé triển khai các tính năng bảo mật của

Trang 17

Windows 10 tùy thuộc vào cấu hình phần cứng của máy tính Trong phần này, các tính

năng bảo mật mới của Windows 10 sẽ được đề cập đến dưới đây.

a) Kiến trúc kernel bảo mật mới trong Windows 10

Chế độ người dùng biệt lập (TUM) là một tính năng bao mật được giới thiệu trong

Windows 10 Enterprise, cho phép thực thi các ứng dụng đặc biệt trong môi trường

tách biệt với các ứng dụng thông thường Đề đạt được sự cô lập này, IUM dựa vào một kernel bảo mật chạy song song với kernel Windows thông thường đề xử lý các tác vụ cơ bản của hệ điều hành như lập lịch và quản lý bộ nhớ Ưu điểm chính của việc sử dụng kernel riêng biệt để xử ly IUM là nó không tải bất kỳ mô-đun nào của bên thứ ba Điều này cho phép kernel bảo mật hoạt động mà không có nguy cơ bị can thiệp từ mã của bên thứ ba, một vấn đề vẫn ảnh hưởng đến kernel thông thường.

Kernel bảo mật có thể dựa trên kernel của Windows 10 thông thường, mặc dù là

phiên bản đơn giản hơn nhiều So với kernel thông thường, nó thiếu một số thành phần điều hành như trình quan ly I/O, trình quan lý cấu hình, trình giám sát tham chiếu bảo mật, trình quản ly PnP và trình quản lý nguồn Điều này có nghĩa là kernel bao mật không thê tự hoạt động mà phải dựa vào chức năng có trong kernel thông thường Ưu

điểm của kiến trúc đơn giản hóa này là nó làm giảm bề mặt tấn công có thể xảy ra và

cho phép kernel bảo mật tập trung vào việc cung cấp khả năng cách ly quy trình.

Kernel bảo mật cũng có thể tải các phần mở rộng của kernel giúp mở rộng chức năng cơ bản khi cần thiết.

b) Xác thực sinh trắc học Windows

Windows Hello là một tính năng mới được giới thiệu trong Windows 10, nó cho

phép người dùng đăng nhập vào máy tính của mình mà không cần nhập mật khẩu; thay

vào đó, người đó có thể sử dụng các đặc điểm sinh trắc học như dấu vân tay, khuôn

mặt hoặc mắt Microsoft tuyên bố rằng họ sẽ không lưu trữ thông tin sinh trắc học của

người dùng trên máy chủ của mình; nó sẽ chỉ lưu trữ dữ liệu cục bộ trên máy của mỗi

người dùng Windows Hello không được hỗ trợ trên tất cả các máy tính Đề kiểm tra

xem PC có hỗ trợ Windows Hello hay không, đi tới Windows Setting (Windows + J),

chọn Account, sau đó nhấp vào “Tùy chọn đăng nhập”.

c) Device health attestation va conditional access

Device health attestation va conditional access là hai công cu hữu ich được xây

dựng dựa trên khái niệm không tin cậy dé kiếm soát quyền truy cập vào tài nguyên trong tô chức Trước khi được cấp quyền truy cập, thiết bị phải chứng minh danh tính

và “sức khỏe” của nó để có thể truy cập tài nguyên của tổ chức Device health

attestation được cung cấp thông qua dir liệu được mã hóa và lưu trữ trong TPM dé

chứng minh tình trạng của thiết bị Dữ liệu này bao gồm thông tin về phần sụn, quá

trình khởi động và phần mềm Với thông tin này, tình trạng thiết bị sẽ được kiểm soát

và chứng nhận an toàn.d) Windows Defender

Trang 18

Windows Defender cung cấp các khả năng chống vi-rút cơ bản cho Windows 10 Khi người dùng cài đặt một giải pháp chống vi-rút chuyên dụng, Windows Defender

sẽ tự động vô hiệu hóa Nếu người dùng chọn gỡ cài đặt giải pháp chống vi-rút hiện tại

của mình, Windows Defender sẽ quay trở lại và tự kích hoạt để bảo vệ máy Việc cải

đặt một giải pháp chống vi-rút chuyên dụng, tốt nhất là có tường lửa tích hợp, là điều quan trọng dé bảo vệ máy tinh và dữ liệu của người dùng.

e) Bao mật dựa trên ảo hóa (VBS)

Bảo mật dựa trên ảo hóa ( VBS), được giới thiệu từ phiền ban Windows 10 sử dụng

các tính năng ảo hóa phan cứng dé tạo và cách ly vùng bộ nhớ an toàn khỏi hệ điều

hành thông thường Windows sử dụng "chế độ bảo mật" này để triển khai các giải pháp bảo mật khác nhau, giúp hệ thống tăng cường khả năng bảo vệ khỏi các lỗ hồng Do đó, nó ngăn chặn việc sử dụng phần mềm độc hại nhằm vượt qua các cơ chế bảo vệ VBS sử dụng trình ảo hóa Windows dé tạo chế độ bảo mật ảo này và thực thi các hạn chế nhằm bảo vệ hệ thống quan trọng và tài nguyên hệ điều hành hoặc để bảo vệ

các tải sản bảo mật như thông tin xác thực người dùng đã được xác thực Ngay cả khi

phần mềm độc hại có được quyền truy cập vào nhân hệ điều hành, VBS vẫn có thể

ngăn chặn và hạn chế đáng kế các hành vi khai thác có thê xảy ra vì trình ảo hóa có thể ngăn phần mềm độc hại thực thi mã hoặc truy cập vào các bí mật của nên tảng.

1.2.3 Hệ điều hành Windows 11

Windows 11 là một hệ điều hành của Microsoft được công bố vào ngày 24 tháng 6

năm 2021, là một phần của họ hệ điều hành Windows NT Windows 11 được phát

hành rộng rãi vào ngày 5 tháng 10 năm 2021 dưới dạng bản nâng cấp miễn phí thông qua Windows Update cho các thiết bi đủ điều kiện chạy Windows 10 Hệ điều hành

này có các yêu cầu phần cứng nghiêm ngặt hơn so với Windows 10, trong đó

Microsoft chỉ hỗ trợ hệ điều hành này với các bản cập nhật trên các thiết bị sử dụng

CPU thế hệ thứ tám Intel Core hoặc mới hơn, AMD Ryzen CPU dựa trên vi kiến trúc

Zen+ hoặc Qualcomm Snapdragon 850, ARM Secure Boot va Trusted Platform

Module (TPM) 2.0 Ngoài ra, Windows 11 không còn hỗ trợ kiến trúc 32-bit x86 hoặc

các hệ thống sử dụng BIOS cũ.

Windows 11 được xây dựng dựa trên phiên bản tiền nhiệm bằng cách cải tiến giao

diện người dùng dé tuân theo các nguyên tac Fluent Design Việc thiết kế lại tập trung

vào tinh dé sử dụng và tính linh hoạt đi kèm với các tính năng mới và hiệu suất cũng như các bản cập nhật về bảo mật và khả năng truy cập, giải quyết một số thiếu sót của

Windows 10.

Ngoài ra, Microsoft hiện yêu cầu các thiết bị chạy Windows 11 phải bao gom bao

mật dựa trên ảo hóa (VBS), tính toàn ven của mã được bảo vệ bởi siêu giám sát

(HVCI), và Secure Boot được bật theo mặc dinh.Hé điều hành cũng có tính năng bảo

vệ ngăn xếp được thực thi bằng phần cứng cho các bộ xử lý Intel và AMD được hỗ trợ

Trang 19

dé bảo vệ chống lại lỗ héng zero-day Giống như Windows 10, Windows 11 cũng hỗ

trợ xác thực đa yếu tố và xác thực sinh trắc học thông qua Windows Hello.

1.2.3.1 Các tính năng bảo mật trong Windows 11

Windows 11 ra đời với sứ mệnh thay thế Windows 10, nó đã và đang giải quyết nhiều van đề bảo mật còn tồn đọng của hệ điều hành tiền nhiệm dé dan trở thành hệ

điều hành an toàn và đang tin cậy nhất hiện nay Đề đạt được điều đó, Windows 11 đã

sử dụng những phương pháp và tính năng dé đảm bảo tính an toàn bảo mật của minh

như các phương pháp bảo mật phần cứng và phần mềm bao gồm:

a) Hardware Root-of-trust

Windows hoạt động bằng cách sử dụng hệ thống gốc tin cậy, trong đó mục tiêu là

duy trì tính toàn vẹn của hệ thống khi phần cứng tự bật Khi chương trình cơ sở được

tải và hệ điều hành được khởi chạy, root-of-trust sử dụng phần cứng để kiểm tra

chương trình cơ sở và mã hệ điều hành khởi động để xem nó có độc hại hay không.

Hardware Root-of-trust còn cung cấp một khu vực biệt lập và an toàn tách biệt khỏi hệ điều hành và được sử dụng để lưu trữ các khóa, dữ liệu và mã mã hóa.

b) Công nghệ bảo mật Pluton

Microsoft Pluton là bảo mật ngay tai chip CPU, được xây dựng dựa trên

root-of-trust hardware được mô tả trước đó Bộ xử lý bảo mật Pluton (PSP) hoạt động giống như chip TPM, nhưng có thé được coi là một biện pháp bảo mật bé sung.

c) Mé-dun nén tảng đáng tin cậy (TPM)

Công nghệ Mô-đun nền tang đáng tin cậy (TPM) được thiết kế dé cung cấp các chức năng liên quan đến bảo mật cho hệ điều hành Mô-đun nền tang đáng tin cậy

được thực hiện băng cách sử dụng chip vật lý được tích hợp trên bo mạch chủ, chip

này giao tiếp với phần còn lại của hệ thống bằng bus phần cứng Con chip này sau đó được sử dụng để tạo và lưu trữ các khóa mật mã một cách an toàn, điều này khiến phần mềm độc hại rất khó giả mạo đo nó là chip vật lý.

d) Khởi động an toàn và khởi động đáng tin cậy

Khởi động an toàn là một công cụ bảo mật Windows có chức năng giữ an toàn cho

thiết bị khỏi phần mềm độc hại trong quá trình khởi động cho đến khi phần mềm

chống virus được kích hoạt Khởi động an toàn đảm bảo thiết bị khởi động chỉ bằng bộ

nạp khởi động đã được nhà sản xuất thiết bị gốc phê duyệt trước.

e) Windows Defender Credential Guard

Windows Defender Credential Guard là một tính năng bảo mật giúp tách biệt thông

tin xác thực của người dùng khỏi phần còn lại của hệ điều hành băng cách sử dụng bảo

mật dựa trên ảo hóa Nó thực hiện điều này bằng cách lưu trữ thông tin xác thực trong

các vùng chứa riêng biệt, chỉ cấp quyền truy cập vào một số phần mềm đặc quyền nhất định Do đó, dữ liệu được giữ an toàn khỏi phần mềm độc hại ngay cả khi mạng bị lây

f) Khóa bảo mật FIDO và FIDO2

Trang 20

Windows Hello được chứng nhận FIDO Nhận dạng nhanh trực tuyến (FIDO) được

nhiều người coi là tiêu chuẩn hàng đầu về hình thức và chức năng của một giải pháp

xác thực an toàn, đơn giản và nhanh chóng Nó được phát triển bởi Liên minh FIDO

với mục tiêu thay thế mật khẩu và loại bỏ các mối đe dọa bảo mật như lừa đảo Khóa

bảo mật FIDO2 là một khóa, thường là USB, có thé được sử dụng làm phương thức xác thực thay thế cho mật khẩu.

1.3 Các dòng hệ điều hành Windows Server tiêu biểu

1.3.1 Hệ điều hành Windows Server 2016

Windows Server 2016 là một hệ điều hanh dành cho các máy chủ x64 cua

Microsoft, là phiên bản kế thừa của Windows Server 2012 R2 Windows Server 2016

được phát hành vào ngày 5 tháng 10 năm 2016 đã giới thiệu hai Container mới là

Windows server Containers và Hyper-V Containers Nó cũng bao gồm một số tính

năng cốt lõi bao gồm Nano Server, Windows containers, Active Directory Domain

Services, Active Directory Federation Services, Hyper-V va Windows Defender.

Microsoft cting da bao gom một số cơ chế bảo mật mới được thiết kế dé cải thiện bảo mật toàn diện hơn Bên cạnh đó một số tính năng khác cũng được nâng cấp trong

phiên ban 2016, có thể kế đến những tính năng bao mật phô biến nhất xuất hiện trong Windows Server 2016 bao gồm Credential Guard, Device Guard và Host Guardian

and Shielded Virtual Machines.

a) Credential Guard

Tính năng được thêm vào với mục đích là bảo vệ thông tin đăng nhập dé ngăn chặn bat

kỳ thông tin nhạy cảm nào bị xâm phạm Quá trình xác nhận sẽ sử dụng một chức

năng của Cơ quan bảo mật cục bộ (LSA) Credential Guard sử dụng LSA được bảo vệ

để bảo mật mọi thông tin đăng nhập được lưu trong bộ nhớ cache và cung cấp nên tảng

dé thực hiện các hoạt động nhạy cảm ) LSA cũng tao mã thông báo bảo mật, quản ly

chính sách bảo mật cục bộ và chính sách kiểm toán của hệ thống.

b) Device Guard

Device Guard là một tính năng của hệ điều hành hỗ trợ chế độ bảo mật ảo, bao gồm

ba loại tính năng bảo mật khác nhau và hoạt động như các thành phần của Device

Guard Ba tính năng bao mật đưới nhãn Device Guard bao gồm Device Guard consist

of Configurable Code Integrity, VSM Protected Code Integrity va Platform and UEFI

Secure Boot Ba tinh nang nay két hợp hoạt động cùng nhau dé ngăn chan hệ thong bi nhiễm phải phan mềm độc hai VSM Protected Code Integrity được thiết kế dé dam

bao tính toàn vẹn của mã chạy ở cấp kernel VSM Protected Code Integrity được soạn

thao dé hoạt động với chế độ bảo mật ảo.

c) Host Guardian and Shielded Virtual Machines.

Theo thời gian, ảo hóa may chủ đã chứng minh được mức độ an toàn cua nó, tuy

nhiên nó đã phải đối mặt với vấn đề đĩa cứng ảo của máy ảo bị sao chép Ngày nay,

Trang 21

các tính năng mới và cải tiến đã được Microsoft thiết kế trong phiên bản cập nhật của

Windows Server 2016 và đã có giải pháp cho vấn đề này.

Trước đây, một quản trị viên có thể mang các đĩa cứng ảo về nhà trên hệ thống

máy tinh của riêng minh dé có được tat cả quyền truy cập vào nội dung hiện có trong

đĩa cứng ảo Nếu quan trị viên thấy nó hap dẫn, anh ta có thé đi xa đến mức thiết lập máy chủ lưu trữ của riêng minh và khởi động đĩa cứng ảo bị đánh cắp Dé ngăn chặn kịch ban nay xảy ra, Microsoft đã ra mắt dịch vụ bảo vệ máy chủ của Microsoft, cho

phép tạo ra một máy ảo được bảo vệ.

Máy ảo được bảo vệ là các máy có dữ liệu ảo là BitLocker được mã hóa thông qua

TPM ảo Nếu đĩa cứng ảo bị xóa khỏi tổ chức, dữ liệu sẽ không ai có thể truy cập

Windows Server 2019 là một trong những phiên bản hệ điều hành máy chủ mạnh

mẽ và đa nhiệm của Microsoft, được thiết kế để đáp ứng nhu cầu ngày càng phức tạp của các tô chức và doanh nghiệp Được phát triển dựa trên các nền tảng thành công của các phiên bản trước đó, Windows Server 2019 mang lại nhiều cải tiến đáng kế về

bảo mật, hiệu suất, và quản lý hệ thống Windows Server 2019 không chỉ là một nền

tảng én định và an toàn mà còn là một công cụ mạnh mẽ dé hỗ trợ các tổ chức xây

dựng và quản lý môi trường máy chủ đa dạng của mình.

Với Windows Server 2019, Microsoft đã tập trung vào việc cung cấp các tính năng và công nghệ mới trong lĩnh vực bảo mật, phiên bản này tích hợp nhiều tính năng như

Advanced Threat Protection (ATP), Windows Defender ATP Exploit Guard cải tién VM Shielded, hỗ trợ Linux, cải tiến HTTP/2 giúp ngăn chặn và phan ứng nhanh chóng

trước các mối đe dọa mạng ngày càng phức tạp.

a) Advanced Threat Protection (ATP)

Hệ thống ATP của Bộ bảo vệ Windows được thiết kế để bảo vệ hạt nhân và bộ nhớ

hệ thống khỏi các tệp và quy trình độc hại, bang cách chặn hoặc chấm dứt chúng, dé ngăn chặn sự xâm nhập của máy chu Trong quá trình phát triển, nó dựa vào một số

khía cạnh cần được tính đến dé giảm thiểu sự xâm nhập.

b) Windows Defender ATP Exploit Guard

Windows Defender Exploit Guard bao gồm bốn khía cạnh được quan tâm dé giúp

thiết bị chống lại một loạt các hành vi tấn công.

* _ Giảm bề mặt tấn công (ASR): là một bộ kiểm soát dé ngăn chặn phần mềm độc hại xâm nhập vào máy bằng cách chặn các tệp độc hại đáng ngờ (tệp Office độc hạn), tập lệnh, chuyên động bên, hành vi ransomware và các mối đe dọa

dựa trên email.

» Bao vệ mạng: Bảo vệ mạng bố sung khả năng bảo vệ điểm cuối khỏi các mối đe dọa dựa trên web bằng cách chặn mọi quy trình gửi đi trên thiết bị tới các

Trang 22

máy chủ hoặc địa chỉ IP không đáng tin cậy thông qua Windows Defender

* Bao vệ chống Ransomware: được cung cấp bởi Controlled Access Folder (truy

cập thư mục có kiểm soát), bảo vệ dữ liệu nhạy cảm khỏi phần mềm tống tiền

bằng cách chặn các quy trình không đáng tin cậy truy cập vào các thư mục

được bảo vệ.

* Bao vệ khai thác: là một tập hợp các biện pháp giảm thiểu khai thác lỗ hồng

bảo mật có thé được cấu hình dé bảo vệ hệ thống và ứng dung.

c) Hỗ tro Linux

Windows Server 2019 hỗ trợ đầy đủ chạy Ubuntu, Red Hat Enterprise Linux và

SUSE Linux Enterprise Server bên trong các máy ảo được bảo vệ.

d) Cải tiến HTTP/2

Cải tiến HTTP / 2 là một cải tiến lớn so với các công nghệ HTTP hiện tại Các cải

tiến bao gồm bộ mật mã phía máy chủ tốt hon dé hỗ trợ đàm phán tốt hơn giúp giảm

thiểu lỗi kết nói.

Windows Server 2022 là phiên bản hệ điều hành máy chủ tiếp theo của Microsoft,

được phát triển trên nền tảng của Windows Server 2019 Nó đã được phát hành rộng

rãi vào ngày 18/8/2021, mang đến những thay đổi quan trọng trong lĩnh vực bảo mật,

hiệu suất, và quản lý hệ thống dé đáp ứng những yêu cầu ngày càng cao của các tô

chức và doanh nghiệp.

So với Windows Server 2019, những thay đối lớn đối với Windows Server 2022 là

rất ít Tuy nhiên, các cải tiễn làm cho phiên bản mới nhất này trở thành một lựa chọn

an toàn hon so với người tiền nhiệm của nó có thể ké đến như việc thay thé Internet

Explorer cũ trên các máy chủ bằng trình duyệt Edge hiện đại được cai đặt mặc định,

giới thiệu lõi bảo mật, cải tiến DNS qua HTTPS, hỗ trợ mã hóa giao thức Server

Message Block (SMB) với AES 256 GCM và CCM.

a) Lõi bao mật

Windows Server 2022 đã giới thiệu may chủ lõi bảo mật với nhiệm vu là tiêu

chuẩn bảo mật cho Windows Server, trong đó hệ điều hành tùy chọn sử dụng các chức

năng phần cứng để bảo mật cao hơn và ngược lại phần cứng máy chủ được thiết kế chính xác cho Windows Server 2022 Máy chủ lõi bảo mật mang đến sự kết hợp chặt

chẽ giữa phần cứng, trình điều khiển, phần mềm và Windows Server 2022.

Lõi bảo mật sử dụng tính toàn ven mã được bảo vệ bang hypervisor (HVCI), bao

vệ truy cập bộ nhớ trực tiếp hạt nhân (DMA), SystemGuard, Khởi động an toàn, bảo

mật dựa trên ảo hóa (VBS) và các tính năng bảo mật Mô-đun nền tảng đáng tin cậy

(TPM) 2.0 Các công nghệ này phải có mặt và được kích hoạt trên máy chủ.

b) Cải tiến DNS qua HTTPS

Trang 23

Hỗ trợ phía máy khách dé phân giải tên an toàn - DNS qua HTTPS (DoH) - là một cải tiến khác trong Windows Server 2022 và Windows 11 Kết nỗi được mã hóa giữa máy khách DNS và máy chủ DNS sẽ bảo vệ các truy van chống lại các cuộc tan công.

c) Hỗ trợ mã hóa giao thức Server Message Block (SMB)

Windows Server 2022 hỗ trợ mã hóa giao thức Server Message Block (SMB) với

AES 256 GCM (Galois / counter mode) và CCM (chế độ truy cập AES 256 và MAC

chuỗi khối mật mã (mã xác thực tin nhắn)) HTTPS va TLS 1.3 là mặc định trong Windows Server 2022.

1.4 So sánh các dòng hệ điều hành Windows

Mỗi hệ điều hành Windows đều có những đặc điểm riêng, cung cấp các tính năng

khác nhau và có sự phát triển, cập nhật khác nhau theo thời gian Tuy nhiên, những

dòng hệ điều hành càng về sau càng được cập nhật dé có khả năng bảo mật tốt hơn so

với phiên bản trước Với các tính năng bảo mới được phát triển, các phiên bản

Windows về sau càng ngày càng an toàn và đành được sự tin tưởng từ người dùng.

Sau đây chúng ta sẽ so sánh các phiên bản hệ điều hành Windows/Windows

Server nồi bật, đây là những phiên bản Windows/Windows Server có sự cải tiến lớn về

tính năng bảo mật là Windows 7, Windows 10 va Windows 11 va Windows Server

2016, Windows Server 2019 và Windows Server 2022 Dưới đây là bảng so sánh các

tính năng bảo mật đối với các dòng hệ điều hành Windows Desktop.

Tính năng bảo

' mặt, Windows 7 Windows 10 Windows 11

Chỉ là một tính Windows Defender | Windows Defender

ăng t đ hát triển và | tiếp tục được duy trì

Windows năng trong ược phá : riên và iep ue ược uy trì

Microsoft Security thay thê cho và cải tiên trong

Không được hỗ Windows Hello sử Cải tién Windows

trợ dụng sinh trắc học dé | Hello, cung cap cac cung cap cach tru hương thức dan

Windows Hello R 6 P y P R ` ` icap an toan hon vao nhap an toan va

thiét bi thuận tiện hơn.

Trang 24

năng quản lý cao và

BitLocker được cải

tiễn thêm một sé

chức nang giúp tang

tuy chon có thé được cung cấp khả năng bảo mật.

BitLocker tự động trên hau hết

các thiệt bị mới.

Windows Không hỗ trợ Có hỗ trợ trong bản | Có hỗ trợ trong bản

Information Enterprise Enterprise Protection

Device Guard cung

cap kha nang bao vé trén may tinh dé ban

tương tự như khóa Tiếp tục được duy

Device Guard Không hỗ trợ trên nền tang di động | trì và cải tiễn trong

(khóa toàn bộ ứng Windows 11.

Cung cấp giải pháp Tích hợp sâu với

nâng cao cho việc Microsoft 365

Microsoft Không hỗ trợ phân tích và phát Defender, tăng kha

Defender ATP hién de doa năng phát hiện va

giảm thời gian phảnứng.

Trang 25

UEEI Secure Boot

Secure Boot giúp ngăn phần mềm

không được hỗ trợ | độc hại tự nhúng vào

chính thức, không | phần cứng hoặc khởi | Tiếp tục được duy

thé kích hoạt trực động trước HDH trì và cải tiến trong

tiếp từ hệ điều Trusted Boot giúp Windows 11.

Secure Boot hanh duy tri tinh toan ven

cua phan còn lại của

hệ điều hành.

TPM (Trusted Tùy chọn đôi với Yêu cầu TPM 2.0

Platform Tuy chọn một số tính năng đối với một số tính

Module) năng

AppLocker Không hỗ trợ Có hỗ trợ Có hỗ trợ

Được cải tiễn tốt

Windows Không hỗ trợ Có hỗ trợ hơn so với

Security Windows 10

Bang 1.1 Bang so sánh tính năng bảo mật của các dòng hệ điều hành Windows

Đối với các dòng hệ điều hành Windows Server, những thay đổi lớn và đột phá

về bảo mật được giới thiệu ở các phiên bản từ Windows Server 2016, 2019, và Windows Server 2022 Các phiên bản mới hơn luôn được cải tiến và phát triển thêm

các tính năng bao mật mạnh mẽ, dé rõ hơn về các thay đổi và ưu điểm của từng dòng

hệ điều hành Windows Server, bảng 1.2 sẽ cho thay những điểm quan trong trong tinh

năng bảo mật của chúng.

, 7 Windows Server Windows ServerTính năng 2016 Windows Server 2019 2022

cai tién nang cao kha

Windows Defender 8

` h 4k nang phat hién va phan

giup chong lai phan

Trang 26

ma hóa 6 dia, bao ve Hỗ tro BitLocker Cai tién vé kha nang

BitLocker | di liệu trong trường 1 — °, og Network Unlock quan ly va trién khaihop may tinh bi mat

hoặc đánh cắp

Cải tiễn Credential cải tiễn về bảo mật thông| Guard với khả năng

Guard cho các kêt nôi |Credential Guard choRemote Desktop các ứng dụng

Hyper-V và Hyper-VM.

Cải tiến Device

Guard với khả năng

kiểm soát và chống

Chỉ có san trong các | Cải tiên vê khả năng

Device Guard lại các ứng dụng độc

hiên bản Enterprise an lý và triển khai.

phiên ban Enterprise | quan lý và triên khai hại Tích hợp với các

dịch vụ Microsoft

phiên ban Enterprise |AppLocker với khả năng |các dịch vụ Microsoft

quản lý và theo dõi tốt Defender.

Trang 27

Tùy chọn tích h

x hé độ bảo vệ như Attack Defender Không ho trợ Chế dộ báo ve nhự 2 Hác

Surface Reduction

Exploit Guard (ASR) công đánh lừa và thực

cung câp bảo vệchông lại các tân

thi mã độc hại.Chê độ bảo mật giúp

J Laz h " ˆ Cải tiên Secure Boot

ngăn chặn việc khởi |Giữ nguyên Secure Boot|, „,

R x x R ¬ , với khả năng tích hợp

Secure Boot lộng phân mêm không với kha năng tích hợp

xác thực Yêu cầu hỗ |với TPM và hỗ tro UEFL

trợ từ firmware UEFI.

mạnh mẽ với TPM và

hỗ trợ UEFI.

Cải tiến TPM với khả Tích hợp chế độ bao | Giữ nguyên tính năng năng tích hợp mạnh

TPM (Trusted| mật giúp ngăn chặn | TPM với khả năng tích

Quản lý thông qua Cải tiến Windows

Windows Windows Firewall |Hỗ trợ quản lý thông qua|Firewall với khả năng

Firewall with Advanced Windows Admin Center | quản lý và kiểm soát

Tuy chọn tích hợp, cung}_., weg

¬ y " , oD , nề Tiêp tục được cải tiên

Không tích hợp câp kiêm soát đôi với trong Windows 11

viéc thuc thi ing dung e

Cải tiên về quản lý va

Cung câp chê độ giới

hạn quyền của Cải tiến giới hạn

Kerberos j |Kerberos để giảm Tăng cường khả năn uyén của Kerberos

Trang 28

cap giám sát và phân tích|, nekTiép tục được cai tiên

trong Windows 11

Bang 1.2 Bang so sánh tinh năng bảo mật của các dòng hệ điêu hành Windows

1.5 Kết chương 1

Trong chương này đã đưa ra một cái nhìn tổng quan về bảo mật trong hệ điều hành

Windows, tập trung vào kiến trúc hệ thống và các tính năng bảo mật của chúng Đánh

giá ưu nhược điểm trong vấn đề bảo mật và so sánh các dòng hệ điều hành Windows Desktop cũng như Windows Server Tiếp theo ta sẽ tiếp tục nghiên cứu các van dé bảo

mật của hệ điều hành Windows.

CHUONG 2: CÁC VAN ĐÈ BAO MAT CUA HE DIEU HANH WINDOWS

Chau Phan Hoai Linh-B19DCAT110-D19CQAT02B 19

Trang 29

2.1 _ Thực trạng van đề bảo mật hiện nay của hệ điều hành Windows

Thế giới hiện nay tồn tại rất nhiều hệ điều hành khác nhau Tuy nhiên những hệ điều hành hiện nay chủ yếu xoay quanh bốn dòng chính là: Windows, OS X, Linux và UNIX Trong đó, Microsoft Windows thống trị thị trường hệ điều hành thế giới với gần 90% thị phần trong khi Apple và Linux chiếm 10% còn lại với rất nhiều hệ điều hành hiện có khác Tuy nhiên, hệ điều hành Windows lại có số lượng lỗ hông bảo mật

gần gấp đôi so với MAC OS X và các hệ điều hành nguồn mở khác.

Theo báo cáo bảo mật của Microsoft năm 2009, có hơn 90% các cuộc tấn công có chủ đích đến các sản phẩm của Microsoft là các cuộc tấn công khai thác lỗ hồng tràn

bộ đệm (thống kế của BeyondTrust) [8] Các lỗ hồng được tim thấy trong các ứng

dụng ít được chú ý hơn và được vá chậm hơn Các ứng dụng được sử dụng rộng rãi

như Microsoft Internet Explorer, Microsoft Office và Adobe Reader dé bị đe dọa hơn.

Total Number of Microsoft Vulnerabilities (2013 - 2022)

Hình 2.1 Tổng số lỗ hồng bảo mật của hệ điều hành Windows qua từng năm

Tính đến năm 2022, tông số lỗ héng của Microsoft Windows dat mức cao kỷ lục

lên đến 1.292 lỗ hồng, mức cao nhất mọi thời đại trong 10 năm trở lại đây Có thé kể

đến sự tăng vọt của các lỗ hồng leo thang đặc quyền và sự gia tăng tong thé về tông số

lỗ hổng này do một phần bởi sự phát triển và mở rộng các sản pham và công nghệ

2.2 Các van đề bảo mật của hệ điều hành Windows

Hệ điều hành Windows với sự phổ biến và sức ảnh hưởng lớn trong cộng đồng

người dùng đã không ngừng trở thành mục tiêu của các mối đe dọa và tan công ngày

càng tinh vi Mặc dù Microsoft đã không ngừng cải thiện bảo mật các sản phẩm hệ

điều hành của mình nhưng van đề về bảo mật của nó vẫn là một thách thức đối với cả

nhà phát triển và người sử dụng Trong phần này sẽ tập trung đề cập đến một số vấn đề

bảo mật tồn tại trong hệ điều hành Windows, bao gồm các vấn đề bảo mật trong kiến

Trang 30

trúc, van dé bảo mật về tài khoản người dùng, vấn đề bảo mật trong các giao thức, các

ứng dụng và dịch vụ chạy trên hệ điều hành Windows.

2.2.1 Các vấn đề bảo mật trong kiến trúc hệ điều hành Windows

Bat kỳ một hệ điều hành nào trên thế giới đều cũng sẽ tồn tại những điểm yếu trong các thành phần chức năng của nó, hệ điều hành Windows cũng không ngoại lệ Thực tế, Windows còn là hệ điều hành có nhiều điểm yếu bảo mật nhất và là mục tiêu

lý tưởng cho các cuộc tấn công Các điểm yếu trong các chức năng của hệ điều hành

Windows đã được phát hiện và đang tồn tại có thé được chia thành các loại điểm yếu

dựa trên chức năng (cả phần cứng và phần mềm) Đối với hệ thống Windows, ta có thé

phân loại các điểm yêu bảo mật của nó thành những loại sau đây:

a) Điểm yếu trong chức năng kiểm soát truy cập

Người dùng khi muốn truy cập vào tài nguyên,đữ liệu của hệ thống thì cần phải có

sự xác thực của hệ điều hành Số lượng lỗ hồng bảo mật được khai thác dựa vào các

điểm yếu trong chức năng kiểm soát truy cập của Windows luôn rất lớn Điểm yếu

trong chức năng này khiến hệ thống bị tan công có thể kê tới như là van đề về việc

phân quyền người dùng quá cao Nếu một người dùng có quyền quản trị

(administrator) mà không cần thiết thì có thé dẫn đến rủi ro về an ninh.

Một số phần mềm độc hại có thể sử dụng quyền này dé thực hiện các hành động

độc hai với hệ thống Đôi khi, dé dam bao tính tương thích và sự thuận tiện cho người dùng, Windows cũng cho phép một số ứng dụng hoặc dịch vụ chạy với quyền cao hơn mức độ cần thiết Điều này có thé gây nguy hiểm đến an toàn của hệ thống.

Một số ứng dụng và dịch vụ có thé yêu cầu quyên truy cập không cần thiết đến các

tài nguyên hệ thống, tạo ra cơ hội cho kẻ tấn công Việc cấu hình các chính sách truy

cập không tốt cũng tạo điều kiện cho các cuộc tấn công vào hệ thống Các kỹ thuật xã

hội hóa cũng có thé được sử dụng dé lừa đảo người dùng và lay thông tin đăng nhập

hoặc thực hiện các hành động không an toàn trên hệ thống.

b) Diém yếu trong chức năng chia sẻ chương trình và dữ liệu

Chức năng chia sẻ chương trình và dữ liệu trên hệ điều hành Windows cung cấp nhiều tiện ích cho người dùng nhưng cũng có thé tạo ra những điểm yếu bảo mật nếu không được quản lý đúng cách Những điểm yếu bảo mật trong chức năng chia sẻ

chương trình va dit liệu có thé kế đến như việc sử dụng các phương tiện chia sẻ không

an toàn như USB, 6 đĩa di động, hay các dịch vụ chia sẻ trực tuyến có thê tạo ra rủi ro

an ninh nếu không kiểm soát được.

Đối với việc quản lý truy cập vào các thư mục và tập tin chia sẻ Nếu không cài

đặt đúng quyền truy cập, có thé dẫn đến việc người dùng khác có thể truy cập và thậm

chi sửa đổi dữ liệu Việc chia sẻ tài nguyên qua mạng cũng có thé gây ra những lỗ hồng bảo mật nếu không được cau hình chính xác và an ninh trên mạng của hệ thống

không được kiểm soát tốt.

Trang 31

Nếu không kiểm soát được quyền đọc ghi đữ liệu của các thiết bị lưu trữ thì có thể

gây ra nguy cơ mat mát dữ liệu hoặc thậm chí là nhiễm virus Nếu dit liệu được chia sẻ

mà không sử dụng các phương pháp mã hóa, thông tin có thé bị đánh cắp dé dàng

trong quá trình truyền.

c) Điểm yếu trong chức năng kiểm soát Input/Output

Chức năng kiểm soát Input/Output (I/O) của hệ điều hành Windows đảm bảo sự

tương tác giữa hệ thống và các thiết bị ngoại vi, nhưng cũng có một số điểm yếu có thé

được khai thác để gây nguy hiểm cho hệ thống Ví dụ như việc không có cơ chế kiểm

soát chặt chẽ đối với quyền truy cập đối với các thiết bi I/O, có thé dẫn đến việc bị tấn công từ các ứng dụng độc hại hoặc người dùng không được ủy quyên.

Driver là một phan quan trọng của hệ thống I/O, và driver không an toàn có thé tạo

ra các lỗ hồng bảo mật Nếu một driver không được cập nhật hoặc có lỗ hồng, nó có

thể được sử dụng dé thực hiện các tan công vào hệ thống Một điểm yếu khó khắc

phục là người dùng không hiểu biết về bảo mật có thé gây ra rủi ro khi sử dụng các

thiết bị ngoại vi không an toàn hoặc thực hiện các hành động không an toàn liên quan

đến I/O Các lỗ hồng buffer overflow có thé được khai thác dé thực hiện các tan công.

Nếu một ứng dụng I/O không kiểm soát được đầu vào, có thê xảy ra overflow và dạng tấn công này có thể được thực hiện.Nếu không có sự kiểm soát chặt chẽ về quyền truy

cập vào các tập tin và thiết bị I/O, có thé xảy ra lỗi nhằm lẫn, và người dùng hoặc ứng dụng có thể ghi đè lên hoặc xóa các tập tin quan trọng Nếu hệ điều hành không nhận diện chính xác thiết bị I/O, có thé xảy ra tình trạng không mong muốn như lỗi giao tiếp hoặc sự có hệ thống.

d) Điểm yếu trong chức năng giám sát và kiểm toán

Chức năng giám sát và kiểm toán (monitoring and auditing) trong hệ điều hành Windows có vai trò quan trọng để theo dõi các hoạt động hệ thống và xác nhận tính toàn vẹn của dữ liệu Tuy nhiên, cũng có những điểm yếu có thé ảnh hưởng đến tinh an toàn và bảo mật của hệ thống như là việc cài đặt không chính xác chức năng giám

sát và kiểm toán sẽ khiến các sự kiện quan trọng có thể bị bỏ lỡ hoặc không được ghi lại đúng cách khiến các hành vi bat thường bị bỏ qua.

Kẻ tan công cũng có thể thực hiện các kỹ thuật chuyên hướng (tampering) dé thay đôi hoặc vô hiệu hóa các thông báo giám sát và kiểm toán dé tránh sự phát hiện của

người dùng Nếu dữ liệu kiểm toán không được bảo vệ chặt chẽ, nó còn có thé bị thay

đổi hoặc xóa bỏ bởi kẻ tấn công Điều quan trọng là cần phải dam bảo chức năng kiểm

toán và giám sát luôn hoạt động bình thường.

e) Điểm yếu trong chức năng quản lý cài đặt và vận hành

Việc kiểm soát chức năng quản lý cài đặt và vận hành năm ngoài hệ điều hành nên

nó đặc biệt dễ bị can thiệp và làm hỏng mã hệ thống bằng cách cài đặt các “bẫy” và các chương trình Trojan Horse Những điểm yếu khác trong chức năng này có thể kế

Trang 32

tới như việc các cài đặt mặc định của Windows không được thay đôi cài đặt mặc định,

dẫn tới nó không đảm bảo mức độ an toàn cao và hệ thống trở nên dé bị tan công.

Nếu người dùng hoặc quản tri viên không thực hiện cập nhật các ban vá một cách

đều đặn, các lỗ hồng bảo mật mới có thể được tận dụng để tấn công hệ thống Việc

quản lý người dùng không an toàn, chăng hạn như sử dụng quá nhiều tài khoản với quyên truy cập quản trị, có thé dẫn đến tăng rủi ro về an ninh.

Windows có thé chạy các ứng dụng từ nhiều nguồn khác nhau, điều này có thé tạo

ra mối đe dọa từ các ứng dụng không an toàn hoặc độc hại Nếu người quản trị không

cài đặt và cấu hình hệ thống hoặc ứng dụng đúng cách, có thé tạo ra lỗ hồng bảo mật

và gây ra các van đề về hiệu suất Khả năng giám sát và báo cáo không đủ có thé làm giảm khả năng phát hiện sự cô và rủi ro bảo mật.

f) Diém yếu trong Windows Registry

Windows Registry (viết tắt là Regedit) là một cơ sở đữ liệu phân cấp lưu trữ các cài

đặt cấp thấp cho hệ điều hành Microsoft Windows và cho các ứng dụng chọn sử dụng

số đăng ký Các kernel, trình điều khién thiết bị, dich vụ, Security Accounts Manager,

và giao diện người dùng đều có thé sử dung registry Windows registry cũng cho phép truy cập vào các bộ đếm dé định hình hiệu năng hệ thống Tuy nhiên có một số van đề

phé biến có thé xảy ra liên quan đến Windows Registry như các cuộc tan công làm sai

lệch Registry dẫn đến vấn đề hệ thống, thậm chí có thể khiến hệ điều hành không khởi động được Nếu có lỗi trong Registry, hệ thong có thé hoạt động không đúng cách Điều này có thê gây ra các vấn đề như lỗi ứng dụng, khởi động chậm chạp hoặc thậm

chí là không thé khởi động hệ điều hành.

Ngoài ra, néu một ứng dụng yêu cầu một cài đặt cụ thé trong Registry mà đã bị xóa

hoặc sửa đối, có thể gây ra lỗi khi khởi chạy ứng dụng đó Một số khóa Registry cần

thiết cho hệ thống hoặc ứng dụng bị mất hoặc bị hỏng, có thé gay ra van dé trong qua

trình khởi động hệ điều hành hoặc sử dụng các tính năng cụ thể 2.2.2 Các vấn đề bảo mật về tài khoản người dùng

Tài khoản người dùng trong hệ điều hành Windows là một cách để xác định và

quản lý quyền truy cập và tương tác với hệ thống, nó là tập hợp các cài đặt được sử

dụng dé hiểu các tùy chọn của người dùng, kiểm soát các tệp và thư mục, các tác vụ,

thiết bị và tài nguyên người dùng được phép sử dụng Tài khoản người dùng là cách

duy nhất đề thực hiện việc xác thực và trao quyền sử dụng thiết bị Windows cho người dùng Windows giới thiệu 3 loại tài khoản bao gồm User, Group và Computers.

Từ đó, vấn đề đặt ra là nếu như một tài khoản người dùng bị xâm phạm, có thê là

làm tiết lộ mật khẩu, hay đạt được bang các kỹ thuật như Bruce Force, leo thang đặc

quyền, nghe lén, phising đặc biệt là các tài khoản có quyền hạn cao như tài khoản

administration thì kẻ tắn công có thể tiếp cận với tất cả tài nguyên và tiến trình ứng với tài khoản đó và gây nguy hiểm cho máy tính Tan công đánh cắp tài khoản người dùng

Trang 33

là một trong những kiểu tấn công phổ biến và nguy hiểm đối với hệ điều hành

Windows hiện nay.

Để hiểu rõ các van đề bảo mật về tài khoản người dùng, ta cần tìm hiểu về một số

khái niệm sau đây:°® SAM

Tập tin SAM nằm trong đường dẫn “C:\Windows\System32\config” của hệ điều hành Windows là một tập tin quan trọng chứa thông tin về tài khoản người dùng và mật khẩu Tat cả dir liệu trong SAM đều được mã hóa Các hàm băm mật khẩu được

lưu trữ trong HKEY LOCALMACHINE\SAM SAM được bảo vệ chặt chẽ va không

thể truy cập trực tiếp từ phía người dùng thông thường ngoại trừ người quản trị hệ thống Do là một tập tin nhạy cảm nên sẽ rất nguy hiểm nếu nó bị xâm phạm, kẻ tấn

công có thể sử dụng các kỹ thuật như Bruce Force, Pass-the-Hash để có được mật

khẩu lưu trong nó Dé tăng cường bảo mật cho file quan trọng này, Windows đã giới

thiệu chức năng Syskey trong Windows NT 4.0.¢ User, Group, Computers

Group là một tập hợp các người dùng, nó là một hình thức quan lý người dung

trong Windows Group được sử dung dé phân quyền cho một số lượng lớn tài khoản

người dùng Moi tài khoản ở trong một group đều thừa hưởng những đặc quyền của

group ấy Thành viên của nhóm quản trị là một trong những mục tiêu ưu thích của kẻ

tan công khi những tài khoản trong đó đều có quyền hạn cao nhất đối với hệ thong.

Domain Admins và Enterprise Admins cũng là những mục tiêu hàng đầu trên một miền Windows vì thành viên của các group này được trao toàn quyền đối với mọi máy

tính trong các domain Đạt được quyền kiểm soát với các tài khoản này là mục tiêu quan trọng nhất trong việc tấn công hệ điều hành Windows.

¢ Active Directory

Active Directory (AD) là một dich vu quan lý hệ thống và tài nguyên trong môi trường Windows, được phát triển bởi Microsoft Các tài nguyên được Active Directory

lưu trữ và quản lý bao gồm File Server, Printer, Fax Service, Application, Data, User,

Group va Web Server Thông qua Active Directory người dùng có thé tìm kiếm bất kỳ

một tài nguyên nao dựa trên một hay nhiều thuộc tính của nó mà không can phải nhớ

tất cả đường dẫn và địa chỉ của tài nguyên đó, mỗi thiết bị và tài nguyên trên mạng sẽ

được ánh xạ đến một tên có khả năng nhận diện đầy đủ về nó Tên nay được Active Directory lưu trữ lai cùng với vi tri ban đầu của tài nguyên đó.

Các cuộc tan công nhắm vào Active Directory cũng rất phô biến, lợi dụng những lỗ

hồng trong kiểm soát truy cập, các 16 hồng trong các ứng dụng, dịch vụ được sử dụng,

lỗ hồng trong cấu hình Active Directory, kẻ tấn công có thé có quyền kiểm soát đối

với toàn bộ miền Microsoft đã sử dụng các phương pháp như xác thực Kerberos, giao

thức truy cập và quản lý dữ liệu LDAP (Lightweight Directory Access Protocol),

NTLM cho việc xác thực và SMB (Server Message Block) Signing dé bảo vệ khỏi tan