LÀM THẾ NÀO ĐỂ BẢO VỆ CÁC MÁY TÍNH CỦA MỘT TỔ CHỨC Phần 2: Chính sách an toàn Account cho Computer (Security Account Policies ) Ở phần trước tôi đã giới thiệu những phương thức chung để bảo vệ máy tính của một tổ chức. Phần tiếp theo này tôi sẽ trình bày những phương thức cụ thể theo trình tự, từ quá trình setup hệ thống, vận hành hệ thống dựa trên những chính sách an toàn từ basic cho đến những kĩ năng advance mà các Security Admin cần quan tâm để áp dụng vào việc xây dựng các quy trình an toàn thông tin cho tổ chức. Phần trình bày này tôi xin đề cập đến vấn đề an ninh account (account security) và cách thức tạo account an toàn nhằm đối phó với những kiểu tấn công rất phổ biến và hiệu quả dưới sự trợ giúp của những công cụ phù thủy… Chính sách về account và cách thức tạo account nghèo nàn là con đường dễ dàng nhất cho attacker, như vậy những hình thức bảo mật khác được áp dụng vào hệ thống như trang bị các công cụ chống maleware (prevent virus, worm, spyware, ad-ware ), triển khai hệ thống phòng thủ Mạng (Firewall) cũng sẽ không có tác dụng nào đáng kể, vì Admin quá thờ ơ trong cách thức tạo account và đưa ra chính sách tạo account chứa đựng nhiều rủi ro này. Yêu cầu xác định các chính sách tạo password mạnh và đưa ra được chiến lược an toàn account áp dụng vào an toàn thông tin của tổ chức là vấn đề mang tính cấp bách. A. Làm thế nào để tạo và quản lý Account an toàn Những yếu tố dưới đây sẽ cho chúng ta thấy cách thức tạo và quản lý Account sao cho an toàn • Account phải được bảo vệ bằng password phức hợp ( password length, password complexity) • Chủ sở hữu account chỉ được cung cấp quyền hạn truy cập thông tin và dịch vụ cần thiết (không thiếu quyền hạn mà cũng không thể để thừa) • Mã hóa account trong giao dịch trên Mạng (kể cả giao dịch trong Mạng nội bộ) • Lưu trữ account an toàn ( nhất định database lưu giữ tai khoản phải được đặt trên những hệ thống an toàn và được mã hóa) • Huấn luyện nhân viên, những người trực tiếp sử dụng Computer cách thức bảo mật account tránh rò rĩ (attacker có thể lợi dụng mối quan hệ với nhân viên hoặc giả danh bộ phận kĩ thuật hỗ trợ xử lí sự cố hệ thống từ xa để khai thác ), hướng dẫn cách thức thay đổi password khi cần thiết và tránh tuyệt đối việc ghi lại account trên các stick-notes rồi gián bừa bãi trên Monitorhoặc Keyboard ), Khóa (lock) ngay Computer khi không sử dụng, mặc định trên các máy tính thường cũng có chính sách tự động lock computer sau môt thời gian không sử dụng, để giúp cho những nhân viên hay quên tránh được lỗi bảo mật sơ đẳng (lỗi này giống như việc ra khỏi nhà mà không khóa cửa) • Những người tạo và quản lý account (đặc biệt là những account hệ thống – System accounts, và account vận hành, kiểm soát các dịch vụ - service accounts) cho toàn bộ tổ chức là những người được xem là AN TOÀN TUYỆT ĐỐI. • Disable những account tạm thời chưa sử dụng, delete những account không còn sử dụng. • Tránh việc dùng chung Password cho nhiều account • Khóa (lock) account sau một số lần người sử dụng log-on không thành công vào hệ thống. • Có thể không cho phép một số account quản trị hệ thống và dịch vụ, không được log-on từ xa (remote location log-on), vì những hệ thống và dịch vụ này rất quan trọng và thông thường chỉ cho phép được kiểm soát từ bên trong (internal Network), nếu có nhu cầu quản trị và support từ xa Security Admin Làm để bảo vệ tài khoản ngân hàng? Dịch vụ ngân hàng trực tuyến mang lại thoải mái cho bạn thực giao dịch lúc nơi Tuy nhiên, kèm theo tiện lợi rủi ro vấn đề bảo mật Để đảm bảo tài khoản ngân hàng bạn lúc trạng thái "an toàn", nhớ quy tắc vàng đây: Chọn tài khoản xác minh bước Lựa chọn tài khoản ngân hàng online cho phép người dùng xác minh bước Ngày có nhiều ngân hàng, tất ngân hàng trang bị thiết bị sử dụng để tạo mã code người dùng đăng nhập tài khoản online họ Mã code có giá trị khoảng thời gian ngắn bạn đăng nhập để truy cập tài khoản online yêu cầu nhập mã code vào Tạo mật mạnh Nếu ngân hàng bạn sử dụng yêu cầu người dùng phải tạo mật để truy cập tài khoản online, chắn mật mà bạn tạo đủ mạnh Mật mà bạn tạo nên kết hợp chữ số, ký tự đặc biệt chữ tốt VnDoc - Tải tài liệu, văn pháp luật, biểu mẫu miễn phí Không nên sử dụng thông tin tên, ngày tháng năm sinh, chứng minh thư, để tạo mật Và ngân hàng bạn sử dụng cho phép, khoảng vài tháng bạn nên đổi mật lần Lưu ý vấn đề bảo mật máy tính bạn Ngày nay, vấn đề bảo mật vấn đề hàng đầu người dùng quan tâm Ở mức độ tối thiểu chắn Firewall (tường lửa) máy tính bạn bật bạn sử dụng phần mềm diệt virus máy tính Điều để bảo vệ máy tính bạn khỏi Trojans, keyloggers các chương trình nguy hiểm khác (malware) truy cập trái phép lấy cắp thông tin, liệu tài bạn Ngoài bạn nên thường xuyên update (cập nhật) phiên hệ điều hành update cập nhật phần mềm để đảm bảo lỗ hổng bảo mật khác Hãy nhớ đăng xuất tài khoản sau lần bạn thực giao dịch Một giải pháp khác không phần quan trọng sau lần thực giao dịch xong bạn nên đăng xuất tài khoản để tránh tính trạng người khác sử dụng máy tính bạn biết mật Thiết lập thông báo tài khoản (nếu có) Một số ngân hàng gửi cho khách hàng họ thông báo thông tin lần thực giao dịch thông qua tin nhắn SMS email để người dùng xác nhận lại hoạt động, giao dịch VnDoc - Tải tài liệu, văn pháp luật, biểu mẫu miễn phí Kiểm tra tài khoản bạn đặn Với tài khoản ngân hàng online, bạn dễ dàng kiểm tra tài khoản lúc Do đừng lười biếng mà không kiểm tra tài khoản Bảo vệ thiết bị Hãy suy nghĩ cẩn thận mà bạn bè, người thân hay đồng nghiệp nhìn thấy máy tính Ví dụ, chia sẻ máy tính xách tay, iPad tablet Android, bạn nên đảm bảo thiết lập đa tài khoản với mật riêng Và sở hữu máy tính xách tay, bạn cần cảnh giác với hành vi lướt xem hình bạn từ phía sau Ngoài thử tìm đến giải pháp khóa bảo vệ phụ kiện giúp bảo vệ chống lại hành vi trộm cắp thiết bị kỹ thuật số bạn Chỉ sử dụng nguồn đáng tin cậy Bạn nên truy cập ngân hàng trực tuyến ứng dụng thức gõ địa trang web thông qua công cụ tìm kiếm đáng tin Google hay Bing Bạn nên tránh nhấn vào liên kết tự chuyển hướng bạn đến trang web ngân hàng trực tuyến, đặc biệt gửi thông qua phương tiện truyền thông xã hội qua email Những trang web sở hữu giao VnDoc - Tải tài liệu, văn pháp luật, biểu mẫu miễn phí diện giống trang web thức thiết kế để ăn cắp thông tin đăng nhập bạn Bạn nên thận trọng với email không mong muốn gọi điện thoại hỏi xin mã PIN hay mật tài khoản bạn Ngân hàng bạn không hỏi chi tiết này, chắn họ không thực qua điện thoại email VnDoc - Tải tài liệu, văn pháp luật, biểu mẫu miễn phí Làm thế nào để bảo vệ phát minh của bạn? Bạn có một ý tưởng rất tuyệt vời và chắc chắn rằng ý tưởng đó sẽ thành công. Nhưng làm thế nào để bảo vệ quyền sở hữu trí tuệ của bạn và chống lại những người khác ăn cắp ý tưởng của bạn? Sau đây là lời khuyên của các chuyên gia cho bạn. Tôi vừa nghĩ ra một ý tưởng tuyệt vời nhất, đó là . STOP. Đừng nói với tôi. Tôi không nghĩ đến chuyện ăn cắp ý tưởng của bạn cho mình, nhưng khi tôi nói điều đó với người khác về phát kiến của bạn thì rất có thể bạn sẽ bị mất nó. Cám ơn ông đã không cho tôi nói, nhưng tôi cần phải làm gì bây giờ? Đầu tiên bạn cần chắc chắn rằng ý tưởng của bạn thực sự tốt và nó là thứ mà sẽ có người muốn mua. Sẽ là lãng phí tiền của cho các bước tiếp theo nếu ý tưởng đó không có giá trị. Lúc đó thì điều quan trọng là đảm bảo rằng không có ai đã từng nghĩ ra ý tưởng đó trước bạn. Hãy nói cho tôi biết tôi nên bắt đầu từ đâu Việc nên làm đầu tiên là thử tìm kiếm ý tưởng đó trên internet. Nếu không tìm ra, nơi bạn cần đến kế tiếp là Cơ Quan Cấp Bằng Sáng Chế. Bằng cách tìm hiểu các tài liệu lưu trữ, bạn có thể tìm ra nếu có ai đó đã phát minh ra ý tưởng tương tự của bạn thậm chí nó được sử dụng theo một cách hoàn toàn khác. Nếu ý tưởng đã được ai đó nghĩ ra trước, bạn cần phải quay lại bàn vẽ. Bạn có thể tự tìm hiểu hoặc thuê một nhân viên hay luật sư về vấn đề bằng sáng chế thực hiện công việc đó cho bạn. Tuy nhiên bạn cũng cần chắc chắn rằng người được bạn thuê đã đăng ký nghề nghiệp. Nếu không tìm thấy ý tưởng nào giống như của bạn thì bạn có thể tiếp tục việc áp dụng ý tưởng của mình. Ông có thể nói cho tôi biết bằng sáng chế thực sự là cái gì? Bằng sáng chế được một quốc gia, ví dụ Anh quốc, cấp cho một cá nhân nào đó. Bằng sáng chế cho phép người này có quyền chống lại những người khác nghĩ ra, sử dụng hoặc bán phát minh đã được đăng ký của mình trong vòng 20 năm. Nhưng các chi tiết của ứng dụng phát minh được đưa ra công khai sau khi được cấp bằng 18 tháng. Mandy Haberman, nhà phát minh cốc Anyway Up cho trẻ tập đi, nói rằng nếu bạn đang làm việc trong một thị trường hoạt động chậm thì bạn có thể phát triển ý tưởng và có một khoảng thời gian dài để áp dụng nó trước khi đăng ký bản quyền. Nhưng nếu bạn làm trong thị trường phát triển nhanh thì bạn nên đăng ký bản quyền ngay. “Điều này thật phiền toái, nhưng vì đó là một ý tưởng khôn ngoan, vì rất có thể đang có một ai đó ở đầu bên kia của thế giới cũng có ý tưởng giống bạn”. Nếu tôi đang ở nước Anh, liệu tôi có thể lấy được bằng sáng chế có hiệu lực trên toàn Châu Âu được không? Chưa đâu, nhưng nếu phát minh của bạn tồn tại đủ lâu thì Hiệp hội Sáng chế Châu Âu sẽ được thành lập và hoạt động. Hội động bộ trưởng ở Brussels đã đồng ý về mặt nguyên tắc để thành lập một hệ thống cho phép những nhà phát minh đăng ký sở hữu bằng phát minh một cách hợp pháp trên toàn Liên Minh Châu Âu, điều này sẽ tiết kiệm hơn nhiều so với việc bảo vệ bản quyền ở Châu Âu tại thời điểm này. Cũng có thể sẽ có một toà án chung đặc biệt để giải quyết các tranh Cách phân quyền trong NTFS Cách phân quyền Permission folder trong NTFS : Các loại permission (nằm trong tab Security trong properties của 1 folder) Full control : Có toàn quyền trên folder. Modify : Có quyền sửa chữa như tạo, xoá, sửa folder Read and Execute : Quyền đọc (bào hàm cả việc gọi các phương thức, các file ứng dụng chạy ngầm) List folder content : Read : Quyền đọc Write : Quyền ghi kik edit◊ Special Permission : Quyền đặc biệt (Kik nút advance ngay dưới)  Trong phần đặc quyền chỉ chi tiết các quyền của 1 đối tượng đối với folder. Ví dụ 1 số quyền : Traverse Folder / Excute File : Quyền nhảy cóc và thực thi file (Cái này sẽ nói ở phần dưới). Read Attribute : Quyền đọc Read Extend Attribute : Quyền đọc những phần được thêm vào. Create Folder / Append Data : Tạo Folder và nối dữ liệu thêm vào cuối Write Attribute : Ghi thêm thuộc tính Take Ownership : Quyền sở hữu folder (có thể cướp quyền admin đối với folder 1 cách tạm thời) … Ta tiến hành Permission như sau: Trước hết bạn phải hiểu thế này : 1 user khi truy cập trên 1 server mặc định thuộc group Interactive, Domain Users. Còn khi truy cập từ xa đến server thì thuộc nhóm Network, Domain Users. Right-kik vào folder, chọn mục sharing and sercurity . Hộp thoại Properties hiện lên. Như đã nói ở trên, Permission áp dụng cho các máy ở xa sẽ sử dụng cả việc sharing; Nếu user từ xa truy cập, hãy sharing folder này (Chọn option Sharing this folder). Quyền của user máy trạm này = Quyền sharing + Quyền Security : - Quyền Sharing : Chọn Permission trong tab Sharing.♣ Hộp thoại Permission hiện lên. Ở đây bạn có thể add đối tượng để áp♣ dụng quyền Sharing, đó có thể là 1 group, hay 1 user. Sau đó chọn quyền bằng cách tick các option ở phía dưới. - Quyền Sercurity : Chọn tab Security Cũng như việc phân quyền trong tab Sharing♣ Tuy nhiên, phần Security phân quyền rõ ràng hơn nhiều. (Hãy chọn♣ Advance để xem chúng ta có những gì để gọi là "advanced" ) : • Tab Permission: o Permission entries : Các đối tượng phân quyền – chúng ta có thể thêm hoặc xoá các đối tượng này với add và remove button ngay phía dưới. o Note : 2 option phía dưới : Allow inheritable permission from parent … : Cho phép kế thừa quyền♣ từ thư mục cha. Ta có thể kiểm tra, trong properties của thư mục con, các quyền của cha được tick và ko thể thay đổi. Muốn có thể thay đổi ta huỷ dấu tick trong option này đi. Hộp thoại mới xuất hiện. Nhấn Copy nếu muốn giữ nguyên các đối tượng mặc định được áp dụng Permission. Chọn Remove để bỏ quyền thừa kế, và chỉ giữ lại những đối tượng đã được định nghĩa quyền thừa kế trước đó. • Tab Effective Permission : sử dụng để kiểm tra Pemission của 1 đối tượng cụ thể. Bấm Change sau đó Add đối tượng. • Tab Owner : là sử dụng với mục đích khi áp dụng chức năng Take Ownership. So sánh giữa NTFS, FAT32, FAT NTFS là một kiểu định dạng (file system) mới được sử dụng trong Win2k. NTFS cũng là một trong những tính năng làm tăng khả năng bảo mật. NTFS có những điểm khác so với FAT hoặc FAT32 ở những điểm sau:bảo mật tốt hơn, tăng khả năng nén đĩa và hỗ trợ đĩa cứng lên đến 2TetraBytes(2*1024 GigaBytes). Một điểm nữa, khi bạn cài đặt nhiều hệ điều hành trên một máy. Ví dụ Win98(FAT32) trên ổ đĩa C, Win2k(NTFS) trên ổ đĩa D. Khi khởi động Win98 thì bạn không thể truy xuất vào ổ đĩa D (NTFS partitions ). Hiểu môn na là ổ D đã bị ẩn đi. Điều đó giúp bạn dễ dàng hơn trong việc kiểm soát những files hệ thống và tăng thêm tính năng bảo mật của Win2k. Trước khi cài đặt, Windows XP luôn đòi hỏi format lại đĩa cứng theo định dạng FAT32 hoặc NTFS. Sử dụng các chương trình format đời mới hiện nay nó cũng đưa ra lựa chọn giữa FAT32 và NTFS. Vậy hệ Làm để bảo vệ Windows XP Microsoft không hỗ trợ Bài viết đưa nhóm phần mềm bảo vệ Windows XP trước mối đe dọa nguy hiểm từ Internet, mà Windows XP thức ngưng hỗ trợ từ tháng 04/2014 Như thông tin được, Microsoft thức khai tử Windows XP vào tháng 04 năm nay, Windows XP hoàn toàn không nhận gói cập nhật hay bảo mật từ Microsoft Trong vá lỗi bảo mật không phát hành cho Windows XP, thứ khác làm việc giống làm trước Vấn đề cốt lõi có lỗ hổng phát sau kết thúc hỗ trợ không cố định khắc phục nữa, hệ thống dễ bị tổn thương trước công Đó vấn đề mà người dùng Windows XP cần quan tâm đến Trong số nâng cấp lên Windows 8, thay vào chuyển sang Linux, người khác không muốn làm Nếu bạn người yêu thích muốn tiếp tục sử dụng Windows XP máy tính, bạn cần cải thiện việc bảo vệ hệ thống, đặc biệt bạn thường xuyên kết nối mạng Bài viết đưa nhóm phần mềm bảo vệ Windows XP trước mối đe dọa nguy hiểm từ Internet, mà Windows XP thức ngưng hỗ trợ từ tháng 04/2014 Sandbox Sandbox môi trường dùng để chạy phần mềm môi trường nằm kiểm soát chặt chẽ Sandbox giúp hạn chế chức đoạn mã, cấp quyền cho đoạn mã thực số chức định, từ thực can thiệp khác làm nguy hại cho máy tính người dùng Hiện có số phần mềm có tính Sandbox cung cấp miễn phí bị hạn chế nhiều tính Vì thế, bạn muốn sử dụng cách tốt biện pháp nâng cấp lên phiên Pro trả phí BufferZone Pro chẳn hạng Giảm nhẹ khai thác lỗ hổng Nếu Windows XP bị công hệ thống phòng thủ bị xâm nhập, bạn ngăn chặn cách sử dụng công cụ giảm thiểu việc khai thác lỗ hỏng Bạn sử dụng công cụ Anti-Exploit EMET Trong EMET sản phẩm Microsoft nên việc “am hiểu” Windows XP tốt 3 Tường lửa Tường lửa giúp Windows kiểm soát tốt truy cập mạng Nó cho phép từ chối cố gắng truy cập mạng ứng dụng phần mềm dựa thiết lập cấu hình có sẳn tùy chỉnh Nếu sử dụng phần mềm bảo mật, kèm theo tường lửa cho người sử dụng, antivirus cao cấp Các ứng dụng tường lửa tốt kể qua Comodo Firewall, Private Firewall Outpost Firewall Free Antivirus Một antivirus thiếu cho Windows XP Hiện có nhiều antivirus mạnh mẽ an toàn cho Windows XP, bạn đơn giản sử dụng antivirus miễn phí Avast Free Antivirus, Bitdefender Antivirus Free, Microsoft Security Essentials cho nhu cầu đơn giản 5 Luôn cập nhật Ngoài biện pháp an ninh, bạn cần phải cập nhật phiên cho ứng dụng phần mềm mà thường xuyên sử dụng trình duyệt web, trình kiểm tra email, Nếu thời gian, bạn dùng đến SUMO để làm việc cách tự động Tạm Kết Không cần quan trọng việc Windows XP bị khai tử vào tháng 04/2014 bạn không dựa dẫm vào gói cập nhật từ Microsoft Nếu cần thiết, giải pháp nâng cấp lên phiên Windows lựa chọn tốt mà bạn cần quan tâm Làm để bảo vệ tên miền? Domain (tên miền) biết đến địa website, xa mặt, giá trị tổ chức hay doanh nghiệp Internet Hiện tượng hàng loạt website lớn Việt Nam mang tên miền quốc tế bị hack chuyển registrar, lấy lại được, làm lên vấn đề bảo mật cho tên miền Tuy nhiên, cần thực số bước bản, bạn bảo vệ phần an toàn cho tên miền Internet Lựa chọn registrar để đăng ký tên miền Đây bước quan trọng bạn tiến hành mua tên miền để phát triển website, giống bạn trao chìa khóa nhà cho người khác bảo hộ Hiện Internet có nhiều nhà đăng ký tên miền dreamhost.com, namecheap com, yahoo.com, register.com, vv Giá tên miền thống nhất, độ vào khoảng - 10 USD/năm (.com, info, org) Với nhà đăng ký Register.com giá đắt, vào khoảng 35 - 40 USD/năm cho tên miền quốc tế Mức giá cao làm cho nhiều người “chê” không đăng ký Thật “tiền nấy”, Register.com cung cấp chế độ bảo mật tên miền cao bao gồm hỗ trợ Private Domain Protection, Automatic Domain Renewal nhiều dịch vụ khác Theo kinh nghiệm, có ý định phát triển web lâu dài không nên ham rẻ Việc lựa chọn nhà đăng ký tốt từ đầu giống tạo móng cho nhà bạn, móng có vững phát triển lâu dài Password Email Thường đăng ký, nhà cung cấp yêu cầu bạn cung cấp địa email để liên lạc, có email tên đăng nhập vào hệ thống quản trị tên miền nhà cung cấp Thói quen nhiều người dùng Internet đặt password chung cho email với tài khoản khác mạng Đều vô nguy hiểm, máy bạn bị dính keylogger (một chương trình ghi lại thao tác bàn phím hình) chắn hacker chiếm lĩnh toàn thông tin bạn Do để đảm bảo tính an toàn, bảo mật, bạn nên đặt password khác cho account Internet không dùng chung với tài khoản đăng nhập quản trị domain Domain Automatic Renew Domain Automatic Renew dịch vụ thường cung cấp domain registrar Đa phần người dùng không chọn phần nhiều nguyên nhân khác nhau, nhiên để tránh khỏi tình trạng “mất bò làm chuồng”, bạn nên chọn tính cho tên miền mình, lúc trước tên miền hết hạn khoảng thời gian đó, nhà cung cấp dịch vụ gởi mail thông báo đáo hạn domain, bạn chấp nhận từ chối Nếu không chọn tính hết hạn bạn tên miền sử dụng Có lẽ bạn nghe nói đến dịch vụ back order số nhà cung cấp, dịch vụ nguy hiểm cho phép hacker đăng ký trước tên miền sẵn sàng chộp lấy tên miền bạn vừa hết hạn (giá dịch vụ đắt so với giá thực tên miền) Việc sử dụng tùy chọn Automatic Renew phát huy tác dụng trường hợp này, ngăn cản hacker đánh cắp tên miền bạn Domain Lock Domain Lock tính khóa tên miền, không cho phép chuyển nhà đăng ký, tốt sau tên miền trỏ DNS, IP ổn định, bạn nên khóa tên miền lại Sử dụng DNS trung gian DNS trung gian dịch vụ hỗ trợ quản lý tên miền tầng thứ 2, tức tên miền bạn đăng ký nơi đâu, cần trỏ DNS server quản lý tạo account, bạn quản lý tên miền cách dễ dàng Một số DNS server uy tín Sitelutions.com, DNSEver com, vv Lợi điểm sử dụng DNS trung gian là: quản lý tên miền tập trung, dễ sử dụng, hỗ trợ nhiều domain tài khoản, đa số DNS Server miễn phí Trên số thủ thuật nhỏ giúp bạn bước đầu tự bảo mật cho domain Tuy vậy, chừng chưa phải hoàn toàn đầy đủ, bạn cần lưu ý Internet trang web tuyệt đối an toàn, bạn phải cảnh giác luôn quan tâm mức đến việc bảo vệ cho website