10 mẹo giúp ích cho bảo mật Windows (p1) 1: Giảm thiểu mặt bằng tấn công bất cứ khi nào có thể Một trong những bước đầu tiên cần phải làm để “gia cố” cho một chiếc máy tínhlà giảm thiểu bề mặttấn công của nó. Càng nhiều code chạytrên máy, khả năng code bị khai thác càng cao. Vì vậy bạn nên tháo gỡ hết tất cả nhữngphần không quan trọngcủahệ điều hànhvà những ứng dụng không sử dụngđến. 2: Chỉ sử dụng những ứng dụng có uy tín Đối với thị trường ngày nay, người dùng có xu hướng sử dụng phần mềm miễn phí,đượcgiảm giá mạnh hoặcứngdụng mã nguồn mở. Mặc dù không thể phủ nhận tầm quan trọngvà tiện ích của những ứngdụng này ở các văn phòng, sử dụng cá nhân, nhưngviệc thựchiện một cuộc nghiên cứu nhỏ trước khi sử dụng những ứng dụng này vẫn rấtquan trọng.Một số ứng dụng miễnphíhoặc có giá thấp được thiết kế nhằm phụcvụ người dùng, những ứngdụng khácđược thiết kế với mục đích lấy cắp thôngtin cá nhâncủa người dùng hoặctheo dõi thói quen duyệt webcủa họ. 3: Sử dụng một tài khoản người dùng thông thường nếu có thể Như một thói quen tốt,các quảntrị viên nên sử dụng tài khoản người dùng thông thường khi có thể. Nếu xảy ra lây nhiễmmalware, thường thì malwarecũng có quyền giốngnhư người đang đăng nhập.Vậynên, chắc chắn rằngmalware còn có thể gây ra nhiều pháhoại lớnhơn nữa nếu người dùng có quyềnadmin. 4: Tạo nhiều tài khoản Administrator Ở mục trước, chúng ta đã thảo luận về tầm quantrọng của việc sử dụngmột tài khoản người dùng thôngthường bấtcứ khi nào có thể và chỉ sử dụngtài khoản Admin khi bạn cầnthực hiệnmộthành độngnào đó cần có quyền người quản lý. Tuy nhiên, điều nàycũng khôngcó nghĩa làbạn nên sử dụngtài khoản Administrator. Nếu có nhiều Administrator trong côngty, bạn nên tạo một tài khoản Administrator chotừng người.Dovậy, khi có một hànhđộngcủa người quản lý được thựchiện,chắc chắnbạn sẽ biết được ai đã thực hiện nó. Vídụ, nếu có một Administrator tên là John Doe,bạn nên tạo 2 tàikhoản cho ngườidùng này.Một là tài khoản thông thường để sử dụnghàng ngày,và một làtài khoản quản lý chỉ sử dụng mỗikhicần. 2 tàikhoản này có thể lần lượtđặt tên là JohnDoe và Admin- JohnDoe. 5: Không nên ghi audit quá nhiều Mặc dù việc tạo cácpolicy audit để ghi lại cácsự kiện diễn rahàngngày có thể rất hữu ích, nhưngcó một vấnđề bạn nên nhớ: cái gìnhiềuquá cũngkhôngtốt. Khi bạn thựchiện quánhiều bản ghi audit,các file audit sẽ chiếm mộtdung lượng khá lớn.Điều này dẫnđến tìnhtrạng bạn khó có thể tìmthấy bản ghi mình muốn có. Vậy nên, thay vì ghilại tấtcả các sự kiện, tốthơn là chỉ tập trung vàonhững sự kiện quan trọng. 10 mẹo giúp ích cho bảo mật Windows (p2) 6: Tận dụng các policy bảo mật cục bộ Sử dụng ActiveDirectory dựa vào cài đặt policy nhóm không làmvô hiệu hóa nhu cầucài đặt policybảo mậtcục bộ. Hãynhớ rằng cài đặtpolicy nhóm được dùng chỉ khi aiđó đăng nhập bằng một tài khoản miền. Chúng sẽ khônglàm gì nếu ai đó đăng nhậpvào máytính bằng tài khoảncục bộ. Các policy bảo mật cụcbộ có thể giúp bảo vệ máy tínhcủa bạn chống lạiviệc sử dụng tài khoản cụcbộ. 7: Xem lại cấu hình firewall Bạn nên sử dụng fiewall ở vòng ngoài của mạng và trên từng máy trong mạng. Tuynhiên, như vậy vẫn chưa đủ. Bạn cũngnên xem lại danhsách cổngngoại lệ của firewall nhằm đảm bảo rằng chỉ nhữngcổng quantrọngvẫn được mở. Trọng tâm thường đặt ở nhữngcổng được dùng bởi hệ điều hànhWindows. Tuy nhiên, bạn cũng nên kiểm tra bất kì rulenào của firewall chấp nhận mở cổng 1433 và 1434.Nhữngcổngnày được dùng để giám sát và kếtnối từ xa tới server SQL. Chúnglà mục tiêu yêu thíchcủa hacker. 8: Cách ly các dịch vụ Bất cứ khi nào có thể, bạn nêncấuhìnhserver để chúngthực hiện một tác vụ cụ thể. Theo cách này,nếu một serverbị tấn công,hacker sẽ chỉ có thể chiếm quyền truy cập vào một tập hợp các dịch vụ nàođó.Chúngtôi nhậnra rằng sứcép tài chínhthường bắt các tổ chức phải chạy nhiều vai tròtrên servercủa họ. Trong những trường hợpnhư này, bạncó thể nâng cấp bảo mật màkhông phải tốn tiền bằng cách sử dụng ảo hóa. Trongmột môi trường ảo hóa nào đó, Microsoft cho phép bạntriển khai nhiều máyảochạy hệ điều hành WindowsServer2008R2chỉ với một license server. 9: Áp dụng các bản vá bảo mật theo bảng thời gian Bạn nên thường xuyên kiểm tra các bản vá trước khi áp dụng chúng vào server. Tuynhiên, mộtsố tổ chức vẫn cóthói quen bỏ qua quá trìnhkiểm tra. Chắc chắn chúngta khôngthể phủ nhận tầm quantrọng của việc đảm bảo độ ổnđịnh của server, nhưngbạn vẫn phải cân bằngnhucầu kiểmtra với nhu cầu bảo mật. Mỗi khi Microsoft cho ra mắt một bản vá bảo mật, bảnvá này đượcthiết kế để nhắm vào một lỗ hổngnào đó. Điềunày có nghĩa là hackerchắc chắn đã biết lỗ hổng này và sẽ tìm kiếm các phương án triển khai trong khibản vá cho lỗ hổng vẫn chưa được áp dụng. 10: Tận dụng Security Configuration Wizard Security ConfigurationWizardcho phép bạn tạo các policy bảo mật dựa trên XML, có thể áp dụng cho server của bạn. Những policynày được dùng để kích hoạt các dịchvụ, cấu hình cáccài đặt và đặt rule cho firewall. Tuynhiên, hãy nhớ rằng các policyđượctạo bởi SecurityConfigurationWizardkhông giống với các policy được tạotừ template bảo mật (sử dụng file .INF).Ngoài ra,bạn khôngthể sử dụng policy nhóm để triển khaipolicy SecurityConfigurationWizard. . trọng. 10 mẹo giúp ích cho bảo mật Windows (p2) 6: Tận dụng các policy bảo mật cục bộ Sử dụng ActiveDirectory dựa vào cài đặt policy nhóm không làmvô hiệu hóa nhu cầucài đặt policybảo mậtcục. 10 mẹo giúp ích cho bảo mật Windows (p1) 1: Giảm thiểu mặt bằng tấn công bất cứ khi nào có thể Một trong những bước đầu tiên cần phải làm để “gia cố” cho một chiếc máy tínhlà. nhận tầm quantrọng của việc đảm bảo độ ổnđịnh của server, nhưngbạn vẫn phải cân bằngnhucầu kiểmtra với nhu cầu bảo mật. Mỗi khi Microsoft cho ra mắt một bản vá bảo mật, bảnvá này đượcthiết kế để