Hệ điều hành Windows phổ biến nhất thế giới cũng fihông ngoại lệ với việc gia tăng các cuộc tấn công mạng và sự phát triển của các phần mềm độc hại, bảo mật trong Windows trở thành một t
Trang 1BỌ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG THƯƠNG TP.HỒ CHÍ MINH KHOA CONG NGHE THONG TIN
TIEU LUAN HOC PHAN: HE DIEU HANH TÊN ĐỀ TAI : BAO MAT TRONG WINDOWS VA CO CHE BAO MAT CUA FIREWALL
Nhóm 4:
Nguyễn Tấn Tài
Phạm Nguyễn Hoàng Tuấn
Trần Hoàng Khánh
Hoàng Thanh Minh
Ngô Quang Tiến
Thành phố Hồ Chí Minh, tháng 10 năm 2024
LỜI CẢM ƠN
Trang 2MỤC LỤC
MỤC LỤC HÌNHẢNH _ 3
1 Lời mở đầu 4
2 Lý do chọn đề tài 4
3 Mục tiêu của bài tiểu luận _ 4
1 Tầm quan trọng của bảo mật Windows va Firewall 6
1.1 Cơ chế bảo mật chính trong hệ điều hành Windows ó
1.2 Vai trò của firewall trong hệ điều hành 7
2 Các công cụ bảo mật chính trong Windows 9
2.1 App & Browser Control_ 9
2.2 Windows Defender Antivirus 10
2.3 Firewall & Networfi Protection 11
2.4 Device Security 11
2.5 Credential Guard va Windows Defender Application Guard (WDAG) 12 2.6 Exploit Guard 13
3 Firewall trong Windows 15
3.1 Các chức năng chính của Windows Defender Firewall 15
3.2 Cac tinh nang bao mat nang cao cua Windows Defender Firewall 16
3.4 Bảo vệ toàn diện với Firewall trong hệ thống Windows 17
4 Ví dụ về các cuộc tấn công mang và cách bảo vệ trong Windows 18 4.1 Ransomware WannaCry (2017 18
4.2 Tan céng phishing qua email 18
4.3 Tan cong brute-force 19
5 Device Security trong Windows 20
5.1 Cach ly léi{ Core Isolation) 20
5.2 Khởi đông an toàn (Secure Boot) 20
5.3 TPM (Trusted Platform Module) 21
Trang 35.5 Windows Defender Credential Guard 21
Kết luận 22
MỤC LỤC HÌNH ẢNH
MỞ DẦU
1 Lời mở đầu
Trong thời đại công nghệ số phát triển vượt bậc, hệ điều hành fihông chỉ đóng vai trò là nền tảng cho các ứng dụng và dịch vụ, mà còn là "cửa ngõ" quan trọng bảo vệ hệ thống fihỏi những mối đe dọa từ môi trường mạng Hệ điều hành Windows phổ biến nhất thế giới cũng fihông ngoại lệ với việc gia tăng các cuộc tấn công mạng và sự phát triển của các phần mềm độc hại, bảo mật trong Windows trở thành một trong những yếu tố then chốt giúp người dùng bảo vệ dữ liệu cá nhân và hệ thống của mình Bên cạnh đó tường lửa (Firewall) là một thành phần quan trọng trong chiến lược bảo mật, giúp ngăn chặn các fiết nối fihông mong muốn và bảo vệ hệ thống fihỏi các cuộc tấn công tỉềm ẩn từ bên ngoài
2 Lý do chọn đề tài
Sự bùng nổ của Internet và các dịch vụ trực tuyến đã dẫn đến sự gia tăng về tần suất và quy mô của các mổi đe dọa mạng Người dùng Windows, dù là cá nhân hay doanh nghiệp, đều có thể trở thành mục tiêu của các cuộc tấn công mạng, từ việc xâm nhập vào hệ thống đến đánh cắp thông tin Chính vì vậy, việc hiểu rõ cơ chế bảo mật trong Windows và cách firewall hoạt động trở nên cấp thiết hơn bao giờ hết Việc chọn đề tài này nhằm mục đích giúp người đọc nắm bắt được các fihía cạnh cơ bản và nâng cao của bảo mật trong hệ điều hành Windows, đồng thời hiểu rõ vai trò quan trọng của firewall trong việc bảo vệ hệ thống trước các nguy cơ tiềm ẩn từ môi trường mạng
3 Mục tiêu của bài tiểu luận
Mục tiêu của bài tiểu luận này là trình bày một cách chỉ tiết và dễ hiểu về các cơ chế bảo mật trong Windows và cách firewall hoạt động để bảo vệ hệ thống Cụ thể, bài viết sẽ giúp:
«Giải thích về các tính năng bảo mật chính của Windows như Windows Defender, User Account Control (UAC), và hệ thống cập nhật Windows Update
ePhân tích chỉ tiết về cơ chế hoạt động của firewall, bao gồm các quy tắc lọc gói tin, fiiểm tra trạng thái fiết nối, và vai trò của firewall trong việc bảo vệ hệ thống fihỏi các mối đe dọa từ bên ngoài eLàm sáng tỏ các thách thức bảo mật hiện nay và cách các công cụ bảo mật như firewall có thể ứng phó với những thách thức đó
1 Tầm quan trọng của bảo mật Windows và Firewall
Trang 4toàn cầu, từ các máy tính cá nhân, máy trạm đến hệ thống máy chủ trong các doanh nghiệp lớn Được phát triển bởi Microsoft, hệ điều hành Windows đã trải qua nhiều phiên bản và cải tiến với các tính năng hiện đại và giao diện thân thiện, đáp ứng nhu cầu của người dùng từ căn bản đến nâng cao Là một hệ điều hành phổ biến lớn Windows thường xuyên phải đối mặt với hàng loạt các mối đe dọa từ phần mềm độc hại, virus, các cuộc tấn công mạng có tính chất ngày càng tỉnh vi
Hệ điều hành này được tích hợp sẵn nhiều công cụ Các tính năng bảo mật như Windows Defender, User Account Control (UAC) Cac cong cụ bảo mật mạnh mẽ nhằm bảo vệ người dùng trước các mối nguy hiểm từ bên ngoài, đảm bảo an toàn dữ liệu và hệ thống năng bảo mật tích hợp sẵn trong Windows, giống như Windows Defender, User Account Control (UAC), các cơ chế mã hóa ổ đĩa như BitLocfier, cung cấp nhiều lớp bảo vệ chống lại phần mềm độc hại, truy cập trái phép và các hành vi tấn công nguy hiểm đóng vai trò quan trọng trong việc tạo ra lớp bảo vệ vững chắc cho người dùng cá nhân lẫn doanh nghiệp Hơn nữa, cơ chế cập nhật tự động của Windows Update giúp vá các lỗ hổng bảo mật fiịp thời, bảo vệ hệ thống fihỏi những rủi ro tiềm ẩn
Bao mật trong Windows fihông chỉ bảo vệ người dùng cá nhân fihỏi mất mát dữ liệu và vỉ phạm quyền riêng tư mà còn đảm bảo hệ thống fihỏi các phần mềm độc hại mà còn giúp ngăn chặn các hành vi tấn công mạng, bảo vệ dữ liệu quan trọng và đảm bảo sự ổn định cho toàn bộ hệ thống sự ổn định và hiệu quả trong các mồi trường doanh nghiệp Đặc biệt, với sự phát triển của và các cơ chế mã hóa ổ đĩa các dịch vụ trực tuyến và môi trường làm việc từ xa, vai trò của bảo mật trong Windows càng trở nên quan trong để ngăn chặn các cuộc tấn công từ bên ngoài, bảo vệ toàn bộ mạng lưới thông tin và tài nguyên quan trọng của tổ chức Bảo mật trong hệ điều hành Windows là một yếu tố vô cùng quan trọng nhằm bảo vệ hệ thống, dữ liệu, và người dùng fihỏi các mối đe dọa an ninh mạng ngày càng tỉnh
vi Chính vì vậy một trong những ưu tiên hàng đầu của Microsoft luôn là phát triển và fihông ngừng cải tiến, nâng cấp các cơ chế bảo mật mạnh mẽ nhằm đảm bảo an toàn cho hệ thống và người dùng Windows cũng liên tục phát hành các bản vá lỗi bảo mật thông qua Windows Update Điều này đảm bảo rằng mọi lỗ hổng bảo mật mới phát hiện đều được xử lý fiịp thời, ngăn chặn các mối đe dọa có thể xâm nhập vào hệ thống Các tính năng này đều được thiết fiế để hoạt động liền mạch nhằm đảm bảo rằng người dùng fihông bị gián đoạn trong quá trình sử dụng, đồng thời bảo vệ hệ thống fihỏi các nguy cơ tiềm tàng từ môi trường mạng
1.2 Vai trò của firewall trong hệ điều hành
Firewall đóng vai trò quan trọng trong cơ chế bảo mật của hệ điều hành, bảo vệ hệ thống fihỏi các cuộc tấn công từ bên ngoài bằng cách fiiểm soát và giám sát lưu lượng dữ liệu ra vào hệ thống Nó hoạt động như một lá chắn, ngăn chặn các fiết nối fihông hợp lệ và chỉ cho phép các fiết nối được xác thực Điều này giúp hệ thống tránh bị xâm nhập và tấn công bởi các mối đe dọa phổ biến như tấn công
từ chối dịch vu (DoS), malware, hoặc truy cập trái phép
Windows Defender Firewall đóng vai trò quan trọng trong chiến lược bảo mật của Windows Đây là lớp phòng thủ đầu tiên giúp bảo vệ hệ thống fihỏi các cuộc tấn công mạng Firewall fihông chỉ fiiểm soát lưu lượng dữ liệu ra vào hệ thống mà còn giúp bảo vệ fihỏi các cuộc tấn công từ bên ngoài bằng cách lọc các gói tin fihông hợp lệ, chặn các fiết nối trái phép và ngăn chặn phần mềm độc hại từ việc
Trang 5đảm bảo rằng chỉ có các lưu lượng dữ liệu hợp lệ được phép truy cập hệ thống Nó cũng có fihä năng theo dõi trạng thái fiết nối (stateful inspection), giúp đảm bảo rằng các fiết nối mạng hiện tại được duy trì một cách an toàn và các fiết nối trái phép sẽ bị chặn
Ngoài ra, firewall còn giúp ngăn chặn sự lây lan của phần mềm độc hại và bảo vệ các tài nguyên mạng quan trọng như máy chủ và dữ liệu nhạy cảm fihỏi bị tấn công Vai trò của firewall trở nên đặc biệt quan trọng trong môi trường mạng phức tạp và hiện đại, nơi mà các mối đe dọa ngày càng tỉnh vỉ và fihó lường
Các phương pháp bảo vệ hệ thống của firewall:
e Kiểm soát truy cập và ngăn chặn tấn công: Firewall giám sát và fiiểm soát lưu lượng mạng dựa trên các quy tắc xác định, ngăn chặn các fiết nối fihông hợp lệ từ bên ngoài và bảo vệ hệ thống fihỏi các cuộc tấn công mạng
e Kiểm tra và giám sát trạng thái fiết nối: Thông qua tính năng fiiểm tra trạng thái fiết nối, firewall theo dõi và giám sát các fiết nối hiện có, đảm bảo rằng chỉ các fiết nối hợp lệ mới được duy trì
e Ngan chan phan mém doc hai: Firewall chan cac fiết nối có thể chứa mã độc hoặc phần mềm fihông mong muốn, ngăn fihông cho chúng lây lan vào hệ thống
e Bảo vệ các dịch vụ và tài nguyên mạng: Firewall đóng vai trò bảo vệ các dịch vụ mạng quan trọng và các tài nguyên như máy chủ hoặc dữ liệu nhạy cảm fihỏi các cuộc tấn công và truy cập trái phép
e Kiểm soát lưu lượng truy cập nội bộ: Ngoài việc ngăn chặn các mối đe dọa từ bên ngoài, firewall còn giúp fiiểm soát lưu lượng mạng nội bộ, ngăn ngừa việc phát tán malware trong hệ thống
2 Các công cụ bảo mật chính trong Windows
Hệ điều hành Windows fihông ngừng được cập nhật và cải thiện để đối phó với các mối đe dọa an ninh mạng ngày càng tỉnh vỉ với sự phát triển của các mối đe dọa an ninh mạng như phần mềm độc hại (malware), ransomware và các cuộc tấn công lừa đảo (phishing) Microsoft đã trang bị cho Windows một loạt các công cụ và tính năng bảo mật mạnh mẽ để đảm bảo hệ thống của người dùng luôn an toàn fihỏi các mối đe dọa mạng và phần mềm độc hại Các công cụ này fihông chỉ bảo vệ người dùng fihỏi phần mềm độc hại, mà còn giúp fiiểm soát truy cập, bảo mật dữ liệu, và bảo vệ hệ thống trước các cuộc tấn công mạng Dưới đây là các tính năng chính mà hệ điều hành Windows sử dụng để bảo vệ hệ thống fihỏi các mối đe dọa
2.1 App & Browser Control
App & Browser Control là một trong những tính năng quan trọng trong Windows Security, bảo vệ người dùng fihỏi các ứng dụng fihông đáng tỉn cậy và các trang web độc hại Công cụ này sử dụng Windows Defender SmartScreen để fiiểm tra các tệp tin, ứng dụng, và trang web mà người dùng truy
Trang 6tỉn hoặc ứng dụng tải về từ Internet Khi người dùng mở một tệp tin hay cài đặt ứng dụng, SmartScreen sẽ phân tích và so sánh với cơ sở dữ liệu danh tiếng trực tuyến của Microsoft Nếu tệp tin hoặc ứng dụng chưa được nhận diện hoặc có fihả năng độc hại, hệ thống sẽ cảnh báo và yêu cầu người dùng đưa ra quyết định xác nhận trước fihi mở tệp tỉn giúp bảo vệ người dùng fihỏi rủi ro tiềm ẩn Điều này giúp giảm nguy cơ bị lây nhiễm phần mềm độc hại hoặc bị lừa đảo qua các trang web phishing
Các tùy chọn fiiểm soát bao gồm:
e _ Warn (Cảnh báo): Thông báo cho người dùng trước fihi mở hoặc cài đặt ứng dụng fihông rõ nguồn gốc
e _ Blocfi (Chặn): Ngăn chặn hoàn toàn các ứng dụng fihông an toàn
e = Off (Tat): Tat chirc nang bao vé (fih6ng fihuyén fihich)
e SmartScreen for Microsoft Edge (SmartScreen cho trinh duyét Microsoft Edge):
e SmartScreen bảo vệ người dùng fihi duyệt web trên Microsoft Edge bang cách ngăn chặn truy cập vào các trang web chứa malware hoặc có dấu hiệu lừa đảo
e Khi phát hiện nguy cơ, SmartScreen sẽ hiển thị cảnh báo và yêu cầu xác nhận từ người dùng trước fihi tiếp tục truy cập vào trang web
Bảo vệ fihai thác lỗ hổng :
Exploit Protection bảo vệ hệ thống fihỏi các cuộc tấn công nhằm fihai thác các lỗ hổng bảo mật trong
hệ điều hành hoặc phần mềm Nó cho phép tùy chỉnh mức độ bảo vệ cho từng ứng dụng cụ thể, đảm bảo rằng các vùng bộ nhớ quan trọng của hệ thống fihông bị xâm phạm hoặc thay đổi bởi mã độc 2.2 Windows Defender Antivirus
Windows Defender Antivirus là một công cụ bảo mật mạnh mẽ được tích hợp sẵn trong hệ điều hành Windows cung cấp fihả năng bảo vệ theo thời gian thực fihỏi các mối đe dọa như virus, trojan, Spyware, và ransomware Một số tính năng nổi bật bao gồm:
Bảo vệ theo thời gian thực : Windows Defender liên tục giám sát các hoạt động trên hệ thống từ việc tải tệp, mở ứng dụng, cho đến duyệt web, quét các tệp mới tải về và các chương trình đang chạy để phát hiện và ngăn chặn mối đe dọa ngay lập tức Tính năng này hoạt động ngầm và fihông làm ảnh hưởng đến hiệu suất của máy tính Nếu phát hiện bất fiỳ hành vỉ nào fihả nghỉ hoặc mối đe dọa từ phần mềm độc hại, Windows Defender sẽ ngay lập tức chặn hoặc cách ly tệp tin đó
Bảo vệ dựa trên đám mây : Tính năng này sử dụng công nghệ đám mây để cập nhật nhanh chóng các mau virus và mối đe dọa mới nhất Cho phép Windows Defender có fihä năng phân tích và cập nhật các định nghĩa virus mới một cách nhanh chóng, mới nhất từ cơ sở dữ liệu toàn cầu Điều này giúp hệ thống có thể nhận diện các mối đe dọa mới mà trước đó chưa được biết đến
Quét định fiỳ : Ngoài việc bảo vệ theo thời gian thực, Windows Defender cũng cung cấp chức năng quét hệ thống theo lịch trình định sẵn Người dùng có thể thiết lập các lần quét định fiỳ để phát hiện
Trang 7thống fihỏi các phần mềm độc hại mà còn đóng vai trò bảo vệ mạng thông qua việc giám sát lưu lượng
dữ liệu và các fiết nối mạng Các tính năng này giúp hệ thống bảo vệ trước các cuộc tấn công mạng phổ biến:
2.3 Firewall & Networfi Protection
Windows Firewall (hay còn gọi là Windows Defender Firewall) là một tính năng bảo mật thiết yếu giúp bảo vệ hệ thống fihỏi các fiết nối mạng trái phép và các cuộc tấn công từ bên ngoài Windows Defender Firewall hoạt động như một lá chắn bảo vệ hệ thống fihỏi các fiết nối mạng trái phép và các cuộc tấn công từ bên ngoài Firewall này fihông chỉ giúp fiiểm soát lưu lượng mạng mà còn cung cấp fihả năng bảo vệ nâng cao, giúp ngăn chặn các cuộc tấn công mạng tỉnh vi
Lọc gói tỉn : Firewall giám sát và lọc các gói tỉn dựa trên quy tắc được thiết lập, ngăn chặn hoặc cho phép các fiết nối dựa trên các tiêu chí như địa chỉ IP, cổng và giao thức Điều này giúp ngăn chặn các truy cập fihông mong muốn từ bên ngoài, đồng thời bảo vệ mạng nội bộ
Kiểm tra trạng thái : Firewall theo dõi trạng thái của các fiết nối hiện có và chỉ cho phép các gói tin hợp
lệ dựa trên trạng thái đã được thiết lập Tính năng này giúp ngăn chặn các gói tin giả mạo hoặc fihông hợp lệ, bảo vệ hệ thống tốt hơn trước các cuộc tấn công phức tạp, chẳng hạn như tấn công giả mạo {spoofing) hoặc các cuộc tấn công fihai thác lỗ hổng trong fiết nối mạng
Tích hợp với Windows Security : Windows Firewall được tích hợp chặt chẽ với Windows Security, cho phép người dùng dễ dàng quản lý và cấu hình các quy tắc tường lửa cho từng ứng dụng hoặc dịch vụ Điều này đảm bảo sự linh hoạt và an toàn cao hơn cho các mạng doanh nghiệp và gia đình Lọc tầng ứng dụng : Một tính năng quan trọng fihác là fihả năng lọc lưu lượng mạng dựa trên từng ứng dụng cụ thể Điều này cho phép quản trị viên mạng fiiểm soát chỉ tiết hơn các ứng dụng nào được phép fiết nối với mạng và ứng dụng nào bị chặn
2.4 Device Security
Device Security trong Windows cung cấp một lớp bảo vệ đặc biệt nhằm bảo vệ các thành phần phần cứng và hệ thống cốt lõi fihỏi các mối đe dọa an ninh mạng Tính năng này bao gồm các cơ chế bảo mật như Core Isolation, Memory Integrity, và Secure Boot
Core Isolation: Tính năng này tạo ra một môi trường bảo mật riêng biệt cho các tiến trình hệ điều hành quan trọng Bằng cách cô lập các tiến trình này fihỏi các phần mềm fihông đáng tin cậy, Core Isolation giúp ngăn chặn phần mềm độc hại truy cập và thay đổi các phần cốt lõi của hệ điều hành
Memory Integrity: Đây là một phần của Core Isolation, giúp bảo vệ các driver (trình điều fihiển} của hệ điều hành fihỏi bị can thiệp bởi phần mềm fihông đáng tỉn cậy Memory Integrity đảm bảo rằng các driver chỉ có thể truy cập bộ nhớ hệ thống nếu chúng đã được xác thực và dang tin cay
Secure Boot: Bao vé quá trình fihởi động hệ điều hành, ngăn chặn các phần mềm độc hại như rootfiits fihởi động cùng với hệ điều hành Chỉ những phần mềm đã được fiý xác thực mới được phép fihởi động, đảm bảo rằng hệ thống fihông bị xâm nhập ngay từ giai đoạn fihởi động
Trang 8nhằm bảo vệ thong tin đăng nhập của người dùng fihỏi các cuộc tấn công phổ biến như Pass-the-Hash
và Pass-the-Ticfiet Các cuộc tấn công này thường nhắm vào thông tỉn xác thực của người dùng, cho phép hacfier sử dụng thông tin đăng nhập bị đánh cắp để xâm nhập vào hệ thống
Credential Guard sử dụng công nghệ ảo hóa để cô lập các thông tỉn xác thực nhạy cảm fihỏi phần còn lại của hệ điều hành Thông qua việc tạo ra một fihông gian ảo độc lập, các thông tỉn đăng nhập sẽ được bảo vệ an toàn, ngăn chặn hacfier truy cập hoặc sử dụng thông tin này dù hệ điều hành chính có
bị xâm nhập
Lợi ích bảo mật: Với Credential Guard, thông tin đăng nhập được cô lập và bảo vệ bằng các công nghệ
ảo hóa tiên tiến Điều này giúp giảm thiểu nguy cơ hacfier chiếm quyền truy cập vào hệ thống bằng cách tái sử dụng thông tỉn xác thực bị đánh cắp
Ví dụ : Một hacfier cố gắng sử dụng fiỹ thuật Pass-the-Hash để truy cập vào mạng nội bộ của một doanh nghiệp thông qua thông tin đăng nhập bị đánh cắp Tuy nhiên, nhờ có Credential Guard, thông tỉn đăng nhập của người dùng đã được bảo vệ trong một môi trường ảo hóa an toàn, fihiến hacfier fihông thể sử dụng được thông tin này để truy cập vào hệ thống
Windows Defender Application Guard (WDAG] : là một tính năng bảo mật tiên tiến fihác của Windows, được thiết fiế để bảo vệ hệ điều hành chính fihỏi các mối đe dọa từ các trang web và ứng dụng fihông đáng tỉn cậy WDAG cung cấp một môi trường ảo hóa cách ly, nơi các trang web và ứng dụng tỉềm ẩn rủi ro có thể chạy mà fihông làm ảnh hưởng đến hệ điều hành chính
'WDAG đặc biệt hữu ích trong môi trường doanh nghiệp, nơi mà nhân viên thường phải truy cập vào các trang web fihông xác định hoặc mở các email từ các nguồn fihông rõ ràng Tính năng này giúp ngăn chặn các cuộc tấn công từ malware hoặc trang web lừa đảo mà fihông làm gián đoạn công việc của nhân viên
Lợi ích bảo mật: WDAG tạo ra một fihông gian ảo hóa an toàn, cách ly các trang web hoặc ứng dụng có nguy cơ gây hại Bằng cách này, các mối đe dọa tiềm ẩn sẽ fihông thể xâm nhập hoặc làm hỏng hệ thống chính của thiết bị
Ví dụ : Một nhân viên trong doanh nghiệp vô tình truy cập vào một trang web lừa đảo qua email 'WDAG ngay lập tức cách ly trang web trong một container ảo hóa, ngăn fihông cho bất fiỳ mã độc nào
từ trang web có thể lây lan vào hệ điều hành chính, đảm bảo sự an toàn cho hệ thống và dữ liệu 2.6 Exploit Guard
Exploit Guard là một tập hợp các công nghệ bảo mật tiên tiến trong Windows, được thiết fiế để bảo vệ
hệ thống fihỏi các cuộc tấn công fihai thác lỗ hổng bảo mật Với nhiều lớp bảo vệ, Exploit Guard đảm bảo rằng hệ thống và các thiết bị của người dùng luôn an toàn trước các cuộc tấn công mạng tỉnh vi, đặc biệt là những cuộc tấn công fihai thác các lỗ hổng bảo mật trong phần mềm hoặc hệ điều hành Attacfi Surface Reduction (Giảm bề mặt tấn công)
Attacfi Surface Reduction (ASR) la một tính năng quan trọng trong Exploit Guard, giúp giảm thiểu các
Trang 9lỗ hổng trong hệ điều hành và phần mềm
Ví dụ : ASR có thể ngăn chặn các tập lệnh VBA trong tài liệu Word hoặc Excel bị nhiễm mã độc, bảo vệ
hệ thống fihỏi việc các tập lệnh này chạy và gây hại cho hệ thống
Networfi Protection (Bảo vệ mạng)
Networfi Protection ngăn chặn các fiết nối mạng đến các địa chỉ IP hoặc tên miền độc hại Tính năng này liên tục giám sát lưu lượng truy cập mạng và chặn các địa chỉ IP liên quan đến các cuộc tấn công hoặc các hoạt động bất hợp pháp, giúp ngăn chặn mã độc xâm nhập hệ thống qua các fiết nối mạng fihông an toàn
Ví dụ : Khi một máy tính trong mạng cố gắng fiết nối đến một tên miền đã được xác định là nguy hiểm, Networfi Protection sẽ ngăn chặn fiết nối này và cảnh báo người quản trị, giúp bảo vệ mạng nội bộ fihỏi các mối đe doa tiém ẩn
Controlled Folder Access (Bảo vệ thư mục quan trong)
Controlled Folder Access là một tính năng bảo mật của Exploit Guard giúp bảo vệ các thư mục quan trọng trên hệ thống fihỏi sự truy cập hoặc thay đổi trái phép bởi các phần mềm fihông đáng tỉn cậy Điều này rất hiệu quả trong việc ngăn chặn ransomware và các phần mềm độc hại fihác mã hóa hoặc xóa dữ liệu quan trọng
Ví dụ : Trong trường hợp ransomware cố gắng mã hóa dữ liệu trong thư mục Documents, Controlled Folder Access sẽ ngay lập tức ngăn chặn quyền truy cập của ransomware, bảo vệ dữ liệu của người dùng fihỏi bị mã hóa và xóa
3 Firewall trong Windows
Windows Defender Firewall là một trong những thành phần cốt lõi của hệ điều hành Windows, được thiết fiế để fiiểm soát luồng dữ liệu ra vào hệ thống, ngăn chặn các fiết nối trái phép và bảo vệ hệ thống fihỏi các mối đe dọa bên ngoài Không chỉ cung cấp fihả năng bảo vệ mặc định, firewall còn cho phép người dùng tùy chỉnh các quy tắc bảo mật để phù hợp với nhu cầu của hệ thống hoặc tổ chức 3.1 Các chức năng chính của Windows Defender Firewall
Lọc gói tin (Pacfiet Filtering):
Tường lửa giám sát lưu lượng dữ liệu đi qua hệ thống và lọc các gói tin dựa trên các quy tắc do người dùng thiết lập Điều này bao gồm việc xác định và chặn các fiết nối từ địa chỉ IP fihông đáng tin cậy, các cổng fihông an toàn, hoặc các giao thức có nguy cơ bị fihai thác
Tính linh hoạt: Người dùng có thể tùy chỉnh chỉ tiết cách firewall xử lý lưu lượng qua từng cổng cụ thể
Ví dụ, firewall có thể được cấu hình để cho phép các ứng dụng email hoạt động qua cổng 25 (SMTP), trong fihi chặn các fiết nối đến từ cổng 135 để ngăn chặn các cuộc tấn công phổ biến như “DDoSft hoặc quét cổng
Kiểm tra trạng thái fiết nối :
Trang 10Defender Firewall có thể theo dõi trạng thái của các fiết nối mạng hiện có và chỉ cho phép lưu lượng hợp pháp Điều này giúp hệ thống bảo vệ trước các cuộc tấn công liên quan đến fiết nối mạng fihông hợp lệ, bao gồm tấn công giả mạo (spoofing) hoặc cố gắng phá vỡ trạng thái fiết nối hiện tại Chặn các fiết nối trái phép (Unauthorized Connection Blocfiing):
Firewall có thể phát hiện và chặn các nỗ lực xâm nhập hệ thống bằng cách chặn lưu lượng từ các nguồn fihông đáng tin cậy hoặc nghỉ ngờ là có hại Điều này đặc biệt quan trọng trong các môi trường doanh nghiệp, nơi mà các hệ thống thường xuyên bị tấn công từ các địa chỉ IP lạ hoặc các cuộc tấn công dò quét
Ví dụ: Trong một tổ chức lớn, các quy tắc tường lửa có thể được thiết lập để chặn tất cả các fiết nối fihông được phép từ các thiết bị bên ngoài, trừ các địa chỉ IP đã được cấp phép trước
3.2 Các tính năng bảo mật nâng cao của Windows Defender Firewall
Networfi Address Translation (NAT):
NAT là một tính nang quan trọng được tích hợp trong Windows Firewall, giúp che giấu địa chỉ IP thật của các máy tính trong mạng nội bộ Khi một máy tính trong mạng nội bộ fiết nối ra ngoài internet, NAT sé chỉ hiển thị địa chỉ IP công cộng của hệ thống, từ đó bảo vệ các máy tính nội bộ fihỏi bị xâm nhập trực tiếp
Ví dụ : NAT sẽ giúp bảo vệ các máy tính cá nhân trong một mạng doanh nghiệp bằng cách chỉ cho phép các yêu cầu từ các địa chỉ IP công cộng đã được xác định, ngăn chặn fiẻ tấn công tìm thấy các thiết bị bên trong mạng nội bộ
Lọc theo lớp ứng dụng (Application Layer Filtering ) :
Windows Firewall có fihả năng lọc lưu lượng mạng dựa trên các ứng dụng cụ thể Điều này cho phép người dùng fiiểm soát chặt chẽ những ứng dụng nào được phép fiết nối ra ngoài mạng và ứng dụng nào bị chặn Chỉ những ứng dụng đã được cấu hình bảo mật hoặc được phê duyệt mới được phép giao tiếp với mạng, ngăn chặn các ứng dụng fihông đáng tỉn cậy hoặc fihông an toàn
Ví dụ: Trong một công ty, người quản trị mạng có thể cấu hình firewall để cho phép các ứng dụng quản
lý dự án truy cập internet, trong fihi chặn các ứng dụng fihông liên quan hoặc có nguy cơ cao như các trình tải xuống fihông rõ nguồn gốc
3.3 Quản lý Firewall trong môi trường doanh nghiệp
Quản lý bằng Group Policy:
Một trong những tinh năng nổi bật của Windows Defender Firewall là fihä năng được quản lý tập trung trong môi trường doanh nghiệp thông qua Group Policy Điều này giúp các tổ chức triển fihai các chính sách bảo mật nhất quán trên toàn hệ thống mà fihông cần phải cấu hình từng máy tính riêng lẻ
Ví dụ: Người quản trị có thể thiết lập một quy tắc trong Group Policy để chỉ cho phép các fiết nối đến máy chủ qua các cổng an toàn, đồng thời chặn mọi fiết nối đến từ các máy fihông thuộc mạng nội bộ