BỘ THÔNG TIN TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÁO CÁO BÀI TẬP LỚN Đề tài: Cơ chế an tồn Windows Mơn học: An tồn hệ điều hành Giảng viên: Phạm Hồng Duy Nhóm sinh viên thực hiện: Phạm Như Thao Hoàng Anh Văn Phan Đức Anh Nguyễn Thị Nga B14DCAT134 B14DCAT200 B14DCAT102 B14DCAT146 MỤC LỤC LỜI MỞ ĐẦU CHƯƠNG I TỔNG QUAN VẤN ĐỀ AN TOÀN BẢO MẬT TRÊN WINDOWS Khởi đầu cho vấn đề bảo mật Kỷ nguyên công nghệ bảo mật windows Phát triển hệ điều hành windows an toàn CHƯƠNG II: NGUYÊN LÝ AN TOÀN VÀ BẢO MẬT TRÊN HỆ ĐIỀU HÀNH WINDOWS An toàn hệ thống (Security) Bảo vệ an toàn hệ thống CHƯƠNG III PHÂN TÍCH BẢO MẬT TRÊN WINDOWS QUA HỆ THỐNG API API hỗ trợ chế xác thực API hỗ trợ phân quyền 11 API hỗ trợ chế mã hóa 11 API hỗ trợ chế theo dõi hệ thống 12 CHƯƠNG IV: SO SÁNH TÍNH AN TỒN VÀ BẢO MẬT GIỮA LINUX VÀ WINDOW 14 CHƯƠNG V: MỘT SỐ TÍNH NĂNG THỰC HIỆN CƠ CHẾ AN TỒN TRÊN WINDOWS 10 16 Secure Boot – UEFI (Khởi động bảo mật) 16 Early Antimalware (ELAM) 16 Windows Hello (kiểm tra tính xác thực) 17 User Account Control 18 Tường lửa 19 Bitlocker 20 CƠ CHẾ AN TOÀN HĐH WINDOWS LỜI MỞ ĐẦU Ngày nay, giới dần chuyển đổi từ công nghiệp hóa sang kỷ nguyên số, việc trao đổi thông tin qua mạng, sử dụng hệ thống quản lý tự động trở nên vô quan trọng Cũng lý nên nguy phải đối mặt với hàng loạt vụ công, mối đe dọa tiềm tàng từ virus, sâu máy tính, xâm nhập trái phép… lớn Vấn đề đẻm bảo an ninh, an toàn cho hệ thống tin tin ưu tiên hàng đầu cho công ty, doanh nghiệp Lựa chọn hệ điều hành phù hợp, có khả bảo mật, độ tin cậy cho người dùng cao quan trọng Ra đời từ sớm, 30 năm phát triển tư dòng lệnh sơ khai dành cho máy tính cá nhân người dùng, kết nối mạng, hệ điều hành Windows ngày phát triển, hướng tới tương tác đa người dùng, tích hợp nhiều kiến trúc chế bảo mật, mang lại tin cậy cao Tuy nhiên, hệ điều hành Windows tiềm tàng nhiều lỗ hổng bảo mật, vấn đề chuyên gia kẻ xấu tìm cách khai khác Nhân thấy vấn đề nghiên cứu chế an toàn hệ điều hành phổ biến giới Windows cần thiết Nội dung báo cáo nghiên cứu: “Cơ chế an tồn hệ điều hành Windows” gồm có chương: Chương I: Tổng quan vấn đề an toàn bảo mật Windows Chương II: Nguyên lý an toàn bảo mật hệ điều hành Windows Chương III: Phân tích bảo mật Windows qua hệ thống API Chương IV: So sánh an toàn bảo mật Windows Linux Chương V: Mốt số tính thực chế an toàn hệ điều hành Windows 10 CƠ CHẾ AN TOÀN HĐH WINDOWS CHƯƠNG I TỔNG QUAN VẤN ĐỀ AN TOÀN BẢO MẬT TRÊN WINDOWS Bảo mật Windows vấn đề nhà phát triển đặc biệt quan tâm, xem hệ điều hành thông dụng đích để tin tặc dòm ngó Trong q trình phát triển 30 năm Microsoft với nhiều phiên phát hành, vấn đề bảo mật phát triển qua thời kì, xem xét qua số thời kì sau: Khởi đầu cho vấn đề bảo mật Hệ điều hành hệ phổ biến MS-DOS, dễ sử dụng máy tính với người dùng mà khơng cần kết nối mạng, khơng có tính bảo mật khái niệm virus máy tính, hacker xa lại với người dùng Tuy nhiên, sau việc xuất phiên Windows 95 có vấn đề rủi ro cao trình duyệt web Internet Exporer tảng Active X Đây xem thởi điểm khởi đầu cho vấn đề bảo mật Các hacker lợi dụng lỗ hổng bảo mật phần mềm Back Orifice Microsoft để chiếm quyền kiểm sốt máy tính từ xa Tiếp sau Windows 95, phiên Windows NT 4.0 giới thiệu năm 1996, kèm với lỗ hổng bảo mật cho phép tin tặc chiếm quyền quản lý hệ thống máy tính Từ đó, người dùng truy cập internet bị chuyển hướng tới trang web có nội dung xấu Ngồi số lỗ hổng nghiêm trọng buộc Microsoft phải dùng cung cấp vá, có lỗi nặng sửa chữa, buộc phải tiến hành lập trình phần mềm hệ điều hành Khi internet trở nên phổ biến bảo mật thơng tin người dùng cần thiết Tuy nhiên, với máy tính chạy hệ điều hành Windows 98, 95 bị đánh sập toàn hệ thống truy cập vào số trang web chứa mã độc hay mở e-mail từ tài khoản Hotmail dịch vụ webmail Ngồi ra, có vấn đề liên quan tới rò rỉ thơng tin cá nhân máy tính cài Windows 98 văn tạo từ hai ứng dụng văn phòng Word Exel gửi tự động đến Microsoft trình đăng ký tự động Windows98 Điều tạo điều kiện thuận lợi cho tin tặc chặn đánh cắp thơng tin văn Trong dòng Windows 9x cung cấp tuyd chọn có thơng tin nhiều người dùng, chúng khơng có khái niệm quyền truy cập, không cho phép truy cập đồng thời, chứng tỏ hệ điều hành đa người dùng thực Ngoài hệ điều hành thực bảo vệ nhớ phần Đây điểm thiếu an tồn Khơng dừng lại đó, phiên Windows 2000 phải đối mặt với loạt vấn đề bảo mật, đặc biệt công siêu “virus” như: Melissa, IloveYou, Blaster, Code Red Nimda… CƠ CHẾ AN TOÀN HĐH WINDOWS Sự yếu hệ thống bảo vệ để malware tìm cơng vào máy chủ thơng tin Internet (IIS), gây lỗi tràn đệm Có thể kể đến số tác hại cơng chiếm quyền điểu khiển máy chủ chạy Windows 2000 thông qua IIS; nghiêm trọng từ IP người dùng, kẻ gian xâm nhập vào máy tính, hay xuất lỗi bảo mật Plug and Play tạo điều kiện cho hàng loạt virus “gặm nhấm” tài nguyên máy tính Hơn nữa, với phiên này, hacker cơng máy tính qua hệ thống phân giải tên miền DNS Kỷ nguyên công nghệ bảo mật windows Những vấn đề thiết kế với lỗi lập trình phổ biến Windows khiến trở thành mục tiêu virus sâu máy tính Tháng 6/2015, Counterpane Internet Security Bruce Schneier báo cáo tháng có tới 1000 mẫu virus sau Năm 2005 Kaspersky tìm thấy khoảng 11.000 chương trình mã độc, virus, Trojan,…cho Windows Các kỹ sư Microsoft đưa phiên Windows XP Mặc dù nhiều lỗi bảo mật bị khai khác liên quan tới lỗ hổng TCP/IP, lỗi bảo mật tính Windows Help and Support Center, nhiều lỗi khác nhiên Windows XP giúp người dùng yên tâm phần có cải thiện khả chống đỡ công Đặc biệt với phiên Service Pack 2, hệ thống tường lửa có khả tự động cập nhật ngăn chặn cơng từ ngồi nhờ sử dụng công nghệ Data Excution Prevention Đây xem kỷ nguyên công nghệ tường lửa Windows Windows Vista, phiên mà lỗ hổng bảo mật phiên trước khắc phục, phát hành gặp cố từ cơng từ loại virus mới, sâu Storm (làm ảnh hưởng hàng triệu máy), trojan Zeus (có khả đánh cắp tài khoản ngân hàng) Điểm cải tiến bật phiên chức User Account Control (UAC) Nó cho phép người dùng thoải mái điều khiển máy tính phạm vi an toàn hệ thống Ngoài bổ sung chương trình chống phần mềm gián điệp, tăng cường lọc chống lừa đảo Internet Explorer mặc định vơ hiệu hóa Active X Tính Bitlocker bổ sung Windows Vista Phát triển hệ điều hành windows an toàn Nối tiếp phát triển bảo mật hệ điều hành Windows Vista, phiên Windows có nhiều cải tiến bật Vẫn có lỗ hổng cần phải vá lỗi, đơn cử lỗi Zero – Day, liên quan tới giao thức chia sẻ thông tin Server Message Block, khơng q nghiêm trọng phiên trước Tính Bitlocker cải tiến, mở rộng hỗ trợ với thiết bị lưu trữ di dộng Thời điểm này, đối mặt với phát triển phân tán sâu Conficker thông qua thiết bị USB, Microsoft lập trình để Windows có cách giao tiếp với USB khơng để tự động kích hoạch qua chức AutoRun CƠ CHẾ AN TOÀN HĐH WINDOWS Vào tháng 10/2012 phiên Windows công bố thị trường Với phiên nhà phát triển tăng cường sức mạnh phần mềm diệt virut Defender, tính khởi động an tồn giao thức UEFI (giúp ngăn chặn công rootkit hay bootkit), tính SmartScreen Filter hỗ trợ ngăn chặn web lừa đảo, độc hại trình duyệt Web, với khả quản lý mật đăng nhập dịch vụ internet thông minh Tuy nhiên, nói, thời điểm tại, Microsoft khẳng định Windows 10 phiên hệ điều hành Windows bảo mật Phiên đột phá, tích hợp nhiều tính bảo mật Phải kể đến, Windows Hello giúp người dùng loại bỏ việc liên quan tới việc nhập để truy cập vào máy tính Khi kết hợp với số cơng nghệ nhận diện khn mặt có sẵn dòng thiết bị Intel giúp mở khóa hình khơng cần đăng nhập Phát triển tính SmartScreen Điểm bảo mật mạnh mẽ Windows 10 phần mềm danh tiếng Windows Defender, sử dụng dịch vụ đám mây, thu thập liệu hàng tỷ thiết bị chạy Windows giới đem tới khả phát virus, phần mềm độc hại hay trojan nhanh chóng tối ưu CƠ CHẾ AN TỒN HĐH WINDOWS CHƯƠNG II: NGUYÊN LÝ AN TOÀN VÀ BẢO MẬT TRÊN HỆ ĐIỀU HÀNH WINDOWS Từ hệ điều hành windows trở nên phổ biến thông dụng với nhiều người dùng nhu cầu bảo vệ tính tồn vẹn hệ thống xuất Hệ thống phải sử dụng nhiều kỹ thuật bảo vệ tăng tin cậy, ngăn ngừa tác hại phá hoại Bảo vệ vấn đề nội trình hoạt động, chương trình phải tn thủ sách sử dụng tài nguyên Cơ chế bảo vệ làm tăng tính tin cậy cách phát lỗi tiềm ẩn giao diện hệ thống Phát sớm để tránh trường hợp lỗi hệ thống ảnh hưởng xấu đến hệ thống khác Tài nguyên bảo vệ không bị lạm dụng người dùng chưa kiểm chứng, khơng có quyền truy cập Hệ thống bảo vệ cung cấp phương thức để phân biệt truy cập phép truy cập trái phép Bản chất chế, nguyên lý an tồn bảo mật Hệ điều hành Windows đảm bảo an toàn, bảo mật cho hệ thống người dùng An toàn hệ thống (Security) Bảo vệ hệ thống (protection chế kiểm soát việc sử dụng tài nguyên tiến trình hay người sử dụng để đối phó với tính lỗi phát sinh từ hệ thống Trong khía niệm an tồn hệ thống (security) muốn đề cập đến mức độ tin cậy mà hệ thống trì phải đối phó khơng với vấn đề nội mà với tác hại đến từ mơi trường bên ngồi  Các vấn đề an toàn hệ thống Hệ thống gọi an toàn tài nguyên sử dụng quy ước hoàn cảnh Kém may mắn điều mà đạt thực tế Thơng thường, an tồn bị vi phạm ngun nhân vơ tình hay cố ý phá hoại Việ chóng đỡ phá hoạt cố ý khó khăn gần khơng thể đạt hiệu hồn toàn Bảo đảm an toàn hệ thống cấp cao chống lại tác hại từ mơi trường ngồi hỏa hoạn, điện, phá hoại cần thực mức độ vật lý (trang bị thiết bị an tồn cho vị trí đặt hệ thống) nhân (chọn lọc cẩn thận nhân viên làm việc hệ thống) Nếu an tồn mơi trường đảm bảo tốt, an toàn hệ thống trì tốt nhờ chế hệ điều hành (với trợ giúp phần cứng) Lưu ý bảo vệ hệ thống đạt độ tin cậy 100%, chế an tồn hệ thống cung cấp hy vọng ngăn chặn bớt tình bất an đạt đến độ an tồn tuyệt đối  Kiểm định danh tính (Authentication) Để đảm bảo an toàn, hệ điều hành cần giải vấn đề chủ yếu kiểm định danh tính (authentication) Hoạt động hệ thống phụ thuộc vào khả xác định tiến trình xử lý Khả này, đến lượt nó, lại phụ thuộc vào CƠ CHẾ AN TOÀN HĐH WINDOWS    việc xác định người dùng sử dụng hệ thống để kiểm tra người dùng cho phép thao tác tài nguyên Cách tiếp cận phổ biến để giải vấn đề sử dụng password để kiểm định danh tính người dùng Mỗi người dùng muốn sử dụng tài nguyên, hệ thống kiểm tra password người dùng nhập vào với password lưu trữ, đúng, người dùng cho phép sử dụng tài nguyên Password bảo vệ đối tượng hệ thống, chí đối tượng có password khác ứng với quyền truy cập khác Cơ chế password dễ hiểu dễ sử dụng sử dụng rộng rãi, nhiên yếu điểm nghiêm trọng phương pháp khả bảo mật password khó đạt hồn hảo, tác nhân tiêu cực đoán password người khác nhờ nhiều cách thức khác Mối đe dọa từ chương trình Trong mơi trường mà chương trình tạo lập người lại người khác sử dụng, xảy tình sử dụng khơng đúng, từ dó dẫn đến hậu khó lường Bảo vệ an toàn hệ thống An toàn bảo vệ hệ thống chức thiếu hệ điều hành đại Mục tiêu bảo vệ hệ thống (Protection)  Bảo vệ chống lỗi tiến trình: có nhiều tiến trình hoạt động, lỗi tiến trình phải ngăn chặn khơng cho lan truyền hệ thống làm ảnh hưởng đến tiến trình khác Đặc biệt, qua việc phát lỗi tiềm ẩn thành phần hệ thống tăng cường độ tin cậy hệ thống (reliability)  Chống truy xuất bất hợp lệ: bảo đảm phận tiến trình sử dugnj tài nguyên theo cách thức hợp lệ quy định việc khai thác tài nguyên Vai trò phận bảo vệ hệ thống cung cấp chế để áp dụng chiến lược quản trị việc sử dụng tài nguyên Cần phân biệt khái niệm chế chiến lược:  Cơ chế: xác định làm để thực việc bảo vệ, có chế phần mềm chế phần cứng  Chiến lược: định việc bảo vệ áp dụng nào: đối tượng hệ thống cần bảo vệ thao tác thích hợp đối tượng Để hệ thống có tính tương thích cao, cần phân tách chế chiến lược sử dụng hệ thống Các chiến lược sử dụng tài nguyên khác tùy theo ứng dụng thường dễ thay đổi Thơng thường chiến lược lập trình viên CƠ CHẾ AN TOÀN HĐH WINDOWS vận dụng vào ứng dụng để chống lỗi truy xuất bất hợp lệ đến tài nguyên, hệ thống cung cấp chế giúp người sử dụng thực chiến lược bảo vệ CHƯƠNG III PHÂN TÍCH BẢO MẬT TRÊN WINDOWS QUA HỆ THỐNG API API hỗ trợ chế xác thực 1.1 Giới thiệu lập trình xác thực local Là q trình xác minh thơng tin đăng nhập windows Tài khoản đăng nhập lưu lại local Sử dụng tiến trình để quản lý xác thực gọi local security sybsystem service (isa) 1.2 Qúa trình xác thực local  Khởi động máy nhấn CTRL-ALT -DELETE  Winlogon nhận SAS gọi GINA để hiển thị giao diện người dùng  GINA nhận username password từ người dùng gửi tới LSA CƠ CHẾ AN TOÀN HĐH WINDOWS  Sau liệu đăng nhập, GINA gọi LsaLogonUser để xác thực người dùng  LSA gọi gói chứng thực xác định chuyển liệu đăng nhập vào  Gói chứng thực kiểm tra liệu xác định việc xác thực có thành công hay không  Kết xác thực xác thực trả lại cho LSA từ LSA đến GINA  GINA hiển thị thành công thất bại việc xác thực cho người dùng trả kết xác thực cho Winlogon  Nếu xác thực thành công, phiên đăng nhập người dùng bắt đầu đăng nhập thông tin lưu để tham khảo tương lai 1.3 API xác thực Hai hàm xác thực quan trọng: LogonUser LsaLogonUser 1.4 API quản lý tài khoản Gồm kiểu tài khoản: a Administrators (quản trị) có tồn quyền kiểm sốt hệ thống b Standard users (người dùng chuẩn) : Kiểu tài khoản cho phép đăng nhập vào máy tính, chạy ứng dụng, hiệu chỉnh thông tin tài khoản riêng, lưu file thư mục người dùng chúng Người dùng bị hạn chế thực thay đổi hệ thống Guest (Tài khoản khách): với quyền hạn tối thiểu mặc định bị tắt  NetUserAdd: thêm tài khoản người dùng vào hệ thống Server Nếu thành công hàm trả NERR_Success Không thành công trả giá trị lỗi  NetUserDel: xóa tài khoản người dùng Server  NetUserSetInfo: thiết lập thông tin tài khoản người dùng  NetUserEnum: lấy danh sách tài khoản người dùng Server Nếu server NULL lấy danh sách tài khoản trê local 1.5 API quản lý quyền hạn tài khoản Hai công cụ User Accounts (trong control Panel) Local Users and Groups (trong Computer Management)  NetAccessAdd: thêm quyền hạn cho user tài nguyên cụ thể  NetAccessDel: Xóa quyền hạn tài nguyên người dùng nhóm người dùng server  NetAccessEnum: lấy danh sách quyền người dùng nhóm người dùng tài nguyên cụ thể  NetAccessCheck: kiểm tra người dùng nhóm người dùng cụ thể có quyền tài ngun cụ thể hay khơng  NetAccessSetInfo: hàm thiết lập quyền đọc ghi tài nguyên cụ thể cho tất người dùng nhóm người dùng CƠ CHẾ AN TỒN HĐH WINDOWS 10 API hỗ trợ phân quyền Gồm: Access Token, Security Descriptor 2.1 Access Token  Chứa thông tin định danh, định danh nhóm  Chứa danh sách quyền hạn tài khoản nhóm mà tài khoản thành viên 2.2 Security Descriptor  Khi đối tượng windows định security descriptor để chứa thông tin bảo mật đối tượng như:  Discretionary acess control list (DACL) thông tin điều khiển hệ thống ghi nhận lại hành động truy cập truy cập tới đối tượng API hỗ trợ chế mã hóa 3.1 Mã hóa password: Password user kết hợp loại password: LAN Manager Window NT password 3.1 LAN Manager (LM hash): chiều dài tối đa 14 kí tự Các bước tính:  password->uppercase ,  password null-padded -> 14 byte,  chia đôi thành byte phần, bytes -> bytes DES key  key dùng để mã hóa constand “KGS!@#$%” -> ciphertext  ciphertext nối lại với -> LM hash Window NT password (NT hash): dựa unicode char set, chiêu dài 128 kí tự, dùng mã hóa RSA MD4 3.2 Mã hóa ổ cứng: sử dụng hàm cryproAPI file advapi32.dll crypt32.dll để thực mã hóa bảo mật  Mã hóa ổ đĩa BitLocker: Là giải pháp mã hóa phân vùng ổ đĩa, kể USB Khởi chạy công cụ cách truy cập vào Control Panel, duyệt đến System and Security để mở tính BitLocker Drive Encryption CƠ CHẾ AN TOÀN HĐH WINDOWS 11 BitLocker Drive Encryption 3.3 Mã hóa file  Dùng Mã hóa EFS: mã hóa riêng tập tin, thư mục  Hoặc winXP cho phép người dùng tạo file zip với mật thiếp lập để mã hóa Ở win khác dùng phần mền bên thứ 3: winar, 7zip  Mã hóa tài liệu Office :Office Microsoft cung cấp cho người dùng mật để mã hóa, office 2007 dùng chuẩn AES API hỗ trợ chế theo dõi hệ thống Bản chất trình cài đặt even log windows cho ứng dụng:  Tạo event source registry để chứa event log ghi xuống ứng dụng  Tạo event message file event source liên kết đến  Ghi event message file xuống  Đọc thông tin event thông tin liên quan để theo dõi hệ thống Mục đích: ghi nhận kiện để xác định nguồn gốc thiệt hại hệ thống  Xác định ngày chỉnh sửa, xóa tài ngun CƠ CHẾ AN TỒN HĐH WINDOWS 12 Có đối tượng mà Audit Policy giám sát: user, hệ thống ứng dụng có hệ thống Công cụ đọc dùng để đọc thông tin, kiện ta ghi nhận thông qua Audit Policy: Event Viewer CƠ CHẾ AN TOÀN HĐH WINDOWS 13 CHƯƠNG IV: SO SÁNH TÍNH AN TỒN VÀ BẢO MẬT GIỮA LINUX VÀ WINDOW Windows Linux  Độ tin cậy hạn  Linus tiếng độ tin cậy cao chế lớn hệ điều hành này, Những server chạy linux ổn gây nhiều khó khăn cho người sử định, hoạt động thời gian dụng Hầu tất dùng dài Tuy nhiên khả truy xuất windows lần rơi vào loại đĩa cứng khơng đồng tình cảnh “Blue Screen of Death” Hệ gây nguy hại đến liệu xảy điều hành sử dụng nhiều tài cố nguyên khiến việc trì ổn định lâu dài khó khăn So với Linux tỏ ưu việc tải liệu  Windows cung cấp tùy chọn bảo mật phong phú, ngồi có chương trình ghi nhận, thống kê tác vụ hợp lệ Firewall chắn tin cậy so với phần mềm khác thị trường  Microsoft thường cho sản phẩm họ an toàn vấn đề bảo mật họ không đưa đảm bảo Windows phần mềm mã nguồn đóng, người dùng khơng thể xem xét mã nguồn windows, khơng có cách để tự khắc phục lỗ hổng bảo mật Chỉ có nhóm chuyên gia Microsoft làm điều  Tính an tồn bảo mật linux kiểm tra xác nhận hàng triệu người dùng chuyên gia toàn giới Bởi lỗ hổng nhanh chóng khắc phục  Việc phân quyền chặt chẽ khiến việc đọc ghi sửa xóa file vơ khó khăn so với Windows  Firewall Linux phần hệ thống tin cậy  Tuy nhiên, Linux chưa có chương trình thống kê hệ thống ghi nhận phát tác vụ không hợp lệ cách chuyên nghiệp  Virus phần mềm người tạo ra, nói Linux miễn nhiễm với virus q Thật có hacker công vài Linux Số lượng Worm, Troijan Linux nhiều gây hại khơng đáng kể so với Windows CƠ CHẾ AN TOÀN HĐH WINDOWS 14 Đặc điểm Cơ sở an toàn An ninh mạng giao thức Bảo mật ứng dụng Đảm bảo Các tiêu chuẩn mở Khả Xác thực, kiểm soát truy cập, mật mã Linux Kerberos, PKI, Winbind, ACLs, LSM, SELinux, - Kiểm soát Truy cập - Kiểm tra hồ sơ bảo vệ, mật mã hạt nhân Xác thực lớp mạng Windows Kerberos, PKI, - Danh sách Kiểm soát Truy cập, - Kiểm soát, kiểm tra hồ sơ bảo vệ truy cập, ứng dụng Microsoft crypto - Giao diện lập trình OpenSSL, Open SSH, OpenLDAP, IPSec Antivirus, OpenAV, tường lửa, phát Panda, xâm nhập TrendMicro, Phần mềm khả tường máy chủ Web, lửa email, hỗ trợ Snort, Apache, thẻ thông minh sendmail, Postfix, PKCS 11 SSL, SSH, LDAP, AD, IPSec Chứng nhận Linux đạt tiêu chuẩn EAL3 chung, xử lý lỗi có lỗi tốt Xử lý Windows có EAL4 xử lý lỗi tốt Linux đáp ứng tất tiêu chuẩn mở Microsoft tham gia vào tiêu chuẩn mở có số tiêu chuẩn độc quyền IPSec, POSIX, Bảo mật tầng vận tải McAfee, Symantec, Check Point, IIS, Exchange / Outlook, PCKS 11 Ghi Linux tốt Cả tốt Linux tốt số Windows tốt Linux tốt CƠ CHẾ AN TOÀN HĐH WINDOWS 15 CHƯƠNG V: MỘT SỐ TÍNH NĂNG THỰC HIỆN CƠ CHẾ AN TOÀN TRÊN WINDOWS 10 Secure Boot – UEFI (Khởi động bảo mật) Khơng có hệ điều hành bảo vệ thiết bị ngồi tầm kiểm sốt Vì lý mà Microsoft kết hợp chặt chẽ với nhà phát triển phần cứng để yêu cầu bảo vệ cấp độ firmware chống lại khởi động rootkit làm ảnh hưởng tới khóa mã hóa UEFI mơi trường khởi động lập trình giới thiệu để thay cho BIOS, chưa thể thay đổi 30 năm qua Giống BIOS, UEFI chương trình khởi động trước phần mềm nào, khởi động nạp khởi động hệ điều hành UEFI chống lại loại phần mềm độc hại phức tạp gọi khởi động thơng qua việc sử dụng tính bảo mật Các triển khai gần UEFI (từ phiên bản) xác minh chữ ký số phần firmware thiết bị trước chạy Chỉ có nhà sản xuất phần cứng máy tính có quyền truy cập vào chứng kỹ thuật số bắt buộc tạo chữ ký phần mềm hợp lệ UEFI ngăn chặn tải khởi động dừa phần mềm Do UEFI tạo nên độ tin cậy cao Quy trình khởi động BIOS UEFI Với tính Secure Boot, UEFI, phối hợp với TPM, kiểm tra trình nạp khởi động xác định xem có đáng tin cậy hay khơng thông qua chữ ký số Early Antimalware (ELAM) Cơ chế khởi động UEFI bảo vệ trình nạp khởi động Trusted Boot bảo vệ nhân Windows thành phần khởi động Windows khác, hội để phần mềm độc hại bắt đầu lây nhiễm vào trình điểu khiển tránh khơng liên quan tới khởi động Microsoft Các ứng dụng chống malware truyền thống khơng bắt đầu trình điều khiển liên quan đến khởi động nạp, nên cho phép rootkit giả mạo trình điều khiển có hội làm việc Early Antimalware thiết kế cho phép giải pháp chống ma trận bắt đầu trước tất trình điều khiển ứng dụng khơng phải Microsoft ELAM CƠ CHẾ AN TỒN HĐH WINDOWS 16 kiểm tra tính tồn vẹn trình điều khiển ngoại lệ xem có đáng tin cậy hay khơng, Nếu phần mềm đọc hại sửa đồi trình điểu khiển liên quan tới khởi động, ELAM phát thay đổi Windowssẽ ngăn khơng co trình điều khiển hoạt động, ngăn chặn rootkit ELAM cho phép nhà cung cấp phần mềm antimalware đăng kí qt trình điểu khiển dược nạp q trình khởi động hồn tất ELAM phân loại trình điểu khiển sau:  Tốt: trình điểu khiển đăng kí khơng bị làm giả mạo  Xấu: Trình điểu khiển xác định phần mềm độc hại Khuyến cáo không nên kích hoạt điều khiển xấu biết đến  Xấu cần thiết cho khởi động: trình điểu khiển xác định phần mềm độc hại máy tính khơng thể khởi động thành cơng mà khơng tải trình điều khiển  Khơng xác định: trình điểu khiển chưa chứng thực ứng dụng phát triển phần mềm độc hại chưa phân loại Windows Hello (kiểm tra tính xác thực) Cơng nghệ bảo mật sinh trắc học khơng có mẻ, Microsoft nâng làm cho dễ sử dụng nhiều với tính Windows Hello phiên win 10 Tính dựa vào nhận diện khn mặt, dấu vân tay bạn để đăng nhập mà không cần phải gõ mật hay mã PIN để khởi động hệ điều hành Hiện nhiều hãng máy tính tích hợp đầu đọc dấu vân tay, muốn sử dụng tính nhận dạng khn mặt máy tính bạn cần tích hợp camera cơng nghệ Intel RealSense Hình ảnh cho chương trình Windows Hello Windows 10 Mặc dù nhà nghiên cứu phát dấu vân tay bị đánh cắp thiết bị Android, nhiên khó khăn nhiều với Windows Hello Cơng nghệ khơng lưu trữ hình ảnh ảnh hay dấu vân tay mà hình mẫu Windows CƠ CHẾ AN TỒN HĐH WINDOWS 17 Hello tạo khn mặt ngón tay giống đồ thị Chúng dựa 60 chi tiết khn mặt 40 điểm ngón tay, sau mã hóa, lưu trữ chip TPM khơng gửi khỏi máy tính Hơn nữa, hình ảnh khơng thể sử dụng để tái tạo khuôn mặt hay dấu vân tay Quét nhận dạng khn mặt Windows Hello Thiết lập tính này, vào Setting chọn Accounts ->Sign in-> Option, nhiên cần phải tạo mã PIN để mở khóa tùy chọn Hello Nếu hệ thống windows 10 đọc liệu khn mặt hay ngón tay lần phải dùng mã PIN để đăng nhập Tiếp theo làm theo hướng dẫn việc thiết lập nhận diện khuôn mặt Windows Hello để đăng nhập máy tính chạy Windows 10 hay dùng khởi động máy tính từ chế độ Sleep Mode User Account Control Kiểm soát Tài khoản Người dùng (UAC) giúp ngăn phần mềm độc hại gây hại cho máy tính giúp tổ chức triển khai môi trường máy tính để bàn quản lý tốt Với UAC, ứng dụng nhiệm vụ chạy bối cảnh bảo mật tài khoản quản trị viên, trừ quản trị viên đặc biệt cho phép quyền truy cập cấp quản trị vào hệ thống UAC chặn cài đặt tự động ứng dụng trái phép ngăn thay đổi vô ý cài đặt hệ thống UAC cho phép tất người dùng đăng nhập vào máy tính họ tài khoản người dùng chuẩn Các quy trình khởi chạy sử dụng token người dùng chuẩn thực tác vụ sử dụng quyền truy cập cấp cho người dùng chuẩn Ví dụ: Windows Explorer tự động thừa hưởng quyền người dùng cấp độ chuẩn Ngoài ra, ứng dụng bắt đầu sử dụng Windows Explorer (ví dụ cách nhấp đúp vào phím tắt) chạy với quyền người dùng chuẩn Nhiều ứng dụng, bao gồm ứng dụng có hệ điều hành, thiết kế để hoạt động theo cách Các ứng dụng khác, đặc biệt ứng dụng không thiết kế đặc biệt với cài đặt bảo mật, thường đòi hỏi phải có thêm quyền để chạy thành cơng Những loại ứng dụng gọi ứng dụng cũ Ngoài ra, hành động cài đặt phần mềm thay đổi cấu hình cho Windows Firewall, cần nhiều quyền CƠ CHẾ AN TOÀN HĐH WINDOWS 18 có sẵn cho tài khoản người dùng chuẩn Khi ứng dụng cần chạy với nhiều quyền người dùng chuẩn, UAC khơi phục nhóm người dùng bổ sung vào mã thông báo Điều cho phép người dùng kiểm soát rõ ràng ứng dụng thực thay đổi mức hệ thống máy tính thiết bị họ Theo mặc định, UAC đặt để thông báo cho bạn ứng dụng cố gắng thay đổi máy tính bạn, bạn thay đổi tần suất UAC thông báo cho bạn Trong Windows 10, User Account Control bổ sung số cải tiến  Tích hợp với giao diện quét Antimalware (AMSI) AMSI quét tất yêu cầu độ cao UAC cho phần mềm độc hại Nếu phát phần mềm độc hại, đặc quyền quản trị viên bị chặn Khi bạn nhắc nhở để nhập thông tin quan trọng nâng cấp chương trình bắt đầu Windows 10 Insider Preview Build 14328, bạn nhận thấy hộp thoại có giao diện phù hợp với ngôn ngữ thiết kế sử dụng Windows 10 Và nhắc Nhập thông tin xác thực, bạn chọn đăng nhập Windows Hello, mã PIN, chứng Hướng dẫn cho bạn thấy làm để thay đổi cài đặt Kiểm soát Tài khoản Người dùng (UAC) để biết thông báo thay đổi máy tính bạn Windows 10 Bạn phải đăng nhập với tư cách quản trị viên để thay đổi cài đặt UAC Tường lửa Tường lửa phần cứng, phần mềm, nhằm giúp bảo vệ an tồn cho máy tính bạn Những người dùng máy tính từ trước tới hầu hết nghe qua từ "Tường lửa" (Firewall), thường hiểu biện pháp bảo vệ an tồn cho máy tính Tuy nhiên, khái niệm tường lửa gì? Chức khơng phải biết Bài viết giúp bạn có nhìn tổng quan tường lửa chức Tường lửa xem rào chắn máy tính (hoặc mạng cục - local network) mạng khác (như Internet), điều khiển lưu lượng truy cập liệu vào Nếu khơng có tường lửa, luồng liệu vào mà khơng chịu cản trở Còn với tường lửa kích hoạt, việc liệu vào hay không thiết lập tường lửa quy đinh CƠ CHẾ AN TOÀN HĐH WINDOWS 19 Vì máy tính lại trang bị tường lửa? Hiện nay, hầu hết sử dụng router để kết nối internet Thông qua router này, chia sẻ kết nối mạng với nhiều thiết bị khác Tuy nhiên, cách kết nối internet trước lại khác Người dùng cắm sợi cáp Ethernet thẳng modem DSL, kết nối máy tính họ với mạng Internet cách trực tiếp Một máy tính kết nối trực tiếp với mạng Internet có địa IP cơng khai mà Internet biết Do đó, bạn chạy dịch vụ mạng máy mình, dịch vụ chia sẻ tập tin, máy in có sẵn HĐH, điều khiển từ xa (remote desktop), có kết nối internet, muốn, can thiệp vào hoạt động bạn Bitlocker BitLocker Drive Encryption tính bảo vệ liệu tích hợp với hệ điều hành giải mối đe dọa trộm cắp liệu tiếp xúc với máy tính bị mất, bị đánh cắp không sử dụng cách BitLocker cung cấp bảo vệ tốt sử dụng với Trusted Platform Module (TPM) phiên 1.2 trở lên TPM thành phần phần cứng cài đặt nhiều máy tính nhà sản xuất máy tính Nó hoạt động với BitLocker để giúp bảo vệ liệu người dùng đảm bảo máy tính khơng bị giả mạo hệ thống khơng hoạt động Tính Bitlocker Windows 10, phiên 1511  Thuật tốn mã hóa XTS-AES BitLocker hỗ trợ thuật tốn mã hóa XTSAES XTS-AES cung cấp bảo vệ bổ sung từ lớp cơng vào mã hóa mà dựa vào thao tác văn mật mã để gây thay đổi dự đốn văn túy BitLocker hỗ trợ hai phím 128-bit 256-bit XTS-AES Nó cung cấp lợi ích sau:  Thuật tốn tương thích với FIPS CƠ CHẾ AN TỒN HĐH WINDOWS 20  Dễ quản lý Bạn sử dụng thuật sỹ BitLocker, quản lý-bde, sách nhóm, sách MDM, Windows PowerShell WMI để quản lý thiết bị tổ chức bạn Lưu ý: Các ổ đĩa mã hóa XTS-AES truy cập phiên cũ Windows Điều khuyến cáo cho ổ đĩa hệ điều hành cố định hệ điều hành Các ổ đĩa tháo rời nên tiếp tục sử dụng thuật toán AES-CBC 128-bit AES-CBC 256-bit Các tính Bitlocker Windows 10, phiên 1507    Mã hóa phục hồi thiết bị Azure Active Directory Ngoài việc sử dụng Tài khoản Microsoft, tự động mã hóa thiết bị mã hóa thiết bị bạn kết nối với miền Azure Active Directory Khi thiết bị mã hóa, khố khơi phục BitLocker tự động chuyển sang Azure Active Directory Thao tác giúp khơi phục lại khóa BitLocker bạn mạng trở nên dễ dàng Bảo vệ cổng DMA: Bạn sử dụng sách DataProtection/ AllowDirectMemoryAccess MDM để chặn cổng DMA thiết bị khởi động Ngồi ra, thiết bị bị khóa, tất cổng DMA không sử dụng bị tắt, thiết bị cắm vào cổng DMA tiếp tục hoạt động Khi thiết bị mở khóa, tất cổng DMA bật trở lại Chính sách nhóm để định cấu hình khơi phục trước khởi động Bây bạn cấu hình thơng báo khơi phục trước khởi động phục hồi URL hiển thị hình phục hồi trước khởi động Để biết thêm thơng tin, xem phần Cấu hình thơng báo khơi phục phần URL "Cài đặt Chính sách Nhóm BitLocker" CƠ CHẾ AN TOÀN HĐH WINDOWS 21 ... cứu chế an toàn hệ điều hành phổ biến giới Windows cần thiết Nội dung báo cáo nghiên cứu: Cơ chế an toàn hệ điều hành Windows gồm có chương: Chương I: Tổng quan vấn đề an toàn bảo mật Windows. .. chế an toàn hệ điều hành Windows 10 CƠ CHẾ AN TOÀN HĐH WINDOWS CHƯƠNG I TỔNG QUAN VẤN ĐỀ AN TOÀN BẢO MẬT TRÊN WINDOWS Bảo mật Windows vấn đề nhà phát triển đặc biệt quan tâm, xem hệ điều hành... thiết bị chạy Windows giới đem tới khả phát virus, phần mềm độc hại hay trojan nhanh chóng tối ưu CƠ CHẾ AN TOÀN HĐH WINDOWS CHƯƠNG II: NGUYÊN LÝ AN TOÀN VÀ BẢO MẬT TRÊN HỆ ĐIỀU HÀNH WINDOWS Từ