Liên quan đến đặc trưng Group Policy là Công Cụ Định Cấu Hình Bảo Mật, công cụ này bao gồm các tiện ích Phân Tích và Định Cấu Hình Bảo Mật
và tiện ích Khuôn Mẫu Bảo Mật.
Công cụ Phân Tích và Định Cấu Hình Bảo Mật cho phép các administrator kiểm lại cấu hình hệ thống cho tương thích với khuôn mẫu đã định sẵn và tái định cấu hình bất kỳ một thiết lập nào không phù hợp. Công cụ này tiện dụng như một MMC snap-in, hay như một phiên bản dòng lệnh (secedit). Đây là một cơ chế mạnh cho mọi quyết định nhanh nếu một hệ thống gặp phải những yêu cầu bảo mật đường cơ sở. Thật không may, công việc phân tích và định cấu hình chỉ có thể áp dụng đối với những hệ thống cục bộ và không áp dụng được đối với phạm vi vùng miền. Tiện ích secedit có thể được dùng trong các logon batch script để bố trí cấu hình và phân tích đến các hệ thống ở xa, nhưng tiện ích này vẫn không trơn tru như tính năng của Group Policy trong môi trường phân phát.
Tuy nhiên một điều may mắn là những khuôn mẫu bảo mật có thể được nhập vào một Group Policy. Vì vậy, bất cứ miền, vùng, OU nào có GPO áp dụng vào sẽ nhận được những thiết lập khuôn mẫu bảo mật. Để nhập một khuôn mẫu bảo mật, kích phải chuột vào nút Computer Configuration\Windows Settings\Security Settings, và chọn Import từ trình đơn nội dung. Chức năng Import mặc định với %windir%\security\template directory, tại nơi đây tiêu chuẩn đặt ra của 11 khuôn mẫu bảo mật được lưu trữ.
Thực ra, 11 khuôn mẫu bảo mật này cũng tự chứa đựng công cụ Security Templates. Những file khuôn mẫu này xuất phát từ nhiều mức bảo mật khác nhau mà có thể sử dụng kết hợp với công cụ Phân Tích và Định Cấu Hình Bảo Mật. Mặc dù rất nhiều những tham số chưa được xác định nhưng chúng là những điểm khởi đầu tốt khi thiết kế một khuôn mẫu cho phân tích và định cấu hình hệ thống. Những file này có thể được hiển thị qua Security Templates MMC snap-in hay bằng định cấu hình thủ công với một trình soạn thảo văn bản (một lần nữa các file này có đuôi mở rộng là .inf và được định vị tại %windir%\security\templates\.)
Runas
Đối với những người thực sự quan tâm tới UNIX, để đến với Windows dường như chỉ là một bước nhỏ, nhưng cuối cùng Windows 2000 cho ra đời lệnh chuyển đổi đối tượng sử dụng ban đầu có tên runas. Vốn đã nổi tiếng từ lâu về Bảo mật, ta luôn mong muốn có được tính năng thực thi lệnh trong môi trường mà trương mục đối tượng sử dụng có đặc quyền ở mức hạn chế nhất. Malicious Trojans, các file chạy, thư diện tử, hay các trang Web từ xa trong một trình duyệt có thể khởi chạy tất cả các lệnh với đặc quyền của đối tượng sử dụng hiện tại; và đối tượng sử dụng này càng có nhiều đặc quyền thì những hỏng hóc tiền tàng càng tồi tệ.
Rất nhiều cuộc tấn công kiểu này có thể sảy ra trong mọi hoạt động thường ngày và vì vậy sẽ trở nên đặc biệt quan trọng đối với những ai cần đặc quyền Administrator để thực hiện một phần trong công việc thường ngày của họ (thêm trạm làm việc vào miền, quản lý người sử dụng, phần cứng – những công việc thông thường). Khi những thao tác bảo mật hữu hiệu nhất hoạt động, những ai không may đăng nhập vào hệ thống của họ như Administrator dường như không bao giờ có đủ thời gian để đăng nhập như một người sử dụng bình thường. Điều này thực sự nguy hiểm trong thế giới mạng máy tính đang phổ biến hiện nay. Nếu một Administrator gặp phải một trang Web có khả năng làm hại hay đọc một thư đã định dạng HTML với nội dung hoạt động nhúng (embedded active content) (xem Chương 16), thì những hư hỏng có thể lớn hơn rất nhiều so với khi Joe User mắc lỗi tương tự trên trạm làm việc độc lập của mình.
Lệnh runas cho phép mọi người có thể đăng nhập như một người sử dụng ít đặc quyền và dần leo lên Administrator trên cơ sở per-task. Ví dụ Joe được đăng nhập như một User bình thường vào hệ điều khiển miền qua Terminal Server, và anh ta bỗng nhiên muốn đổi một trong những mật khẩu Domain Admins (có thể một trong số chúng chỉ thoát khỏi canh giữa thao tác). Thật không may, anh ta thậm chí không thể khởi động được Active Directory Users And Computers như một người sử dụng bình thường cho phép thay đổi một mình Domain Admin password. Runas đến cứu giúp. Sau đây là những gì anh ta làm:
1. Nhấp Start / Run và sau đó gõ Enter
Runas /user:mydomain\administrator “mmc %windir%\system32\dsa.msc”
2. Nhập mật khẩu Administrator.
3. Khi Active Directory Users And Computers được khởi động (dsa.mmc), anh ta có thểđổi mật khẩu Administrator vào bất cứ lúc nào, nhờđặc quyền của chương mục mydomain\Administrator.
4. Sau đó anh ta thoát Active Directory Users And Computers và trở lại bình thường như một người sử dụng bình thường.
Anh Joe của chúng ta vừa tự mình thoát khỏi sự rườm rà khi phải đăng xuất Terminal Server, và sau đó lại đăng nhập như Administrator, đăng xuất một lần nữa, và lại đăng nhập trở lại như một người sử dụng bình thường. Ít đặc quyền quyết định ngày hôm đó.
Một trong nhiều ví dụ trước đây về người sử dụng thông minh khi dùng runas sẽ chạy một trình duyệt web hay một trình đọc mail như một người sử dụng ít đặc quyền. Tuy nhiên, đây là nơi runas đòi hỏi sự khéo léo như một mạch khá dài về danh sách địa chỉ thư NTBugtraq được viết chi tiết vào cuối tháng 3/2000 (vào http://www.ntbugtraq.com). Những người tham gia đều cố gắng tìm ra chính xác những đặc quyền nào sẽ hoạt động khi một URL được gọi ra trong cửa sổ tìm kiếm trong một hệ thống với nhiều cửa sổ mở, bao gồm một số với đặc quyền runas /u:Administrator. Một gợi ý đề ra là đặc một lối tắt vào trình tìm kiếm này (đã thu nhỏ) trong nhóm Startup, để nó luôn được khởi động với đặc quyền nhỏ nhất. Tuy nhiên một từ cuối cùng khi sử dụng runas theo cách này là với những ứng dụng khởi động thông qua trao đổi dữ liệu động (DDE), như IE, thông tin bảo mật quan trọng được thừa kế từ quá trình xử lý (mẹ) tạo lập. Vì vậy, runas thực sự chưa bao giờ tạo ra những xử lý cần thiết cho việc điều khiển hyperlinks, embedded Word docs, và rất nhiều thứ khác nữa. Tạo lập xử lý mẹ khác biệt bởi chương trình, vì vậy rất khó để xác định quyền sở hữu thực sự. Có thể hãng Microsoft một ngày nào đó sẽ phân biệt được liệu đây có thực sự là một thao tác bảo mật tốt hơn việc đăng xuất tất cả các cửa sổ Administrator để thực hiện trình tìm kiếm.
Runas không phải là một viên đạn bằng bạc. Khi được chỉ ra trong chuỗi Bugtraq, nó “sẽ giảm đi một số mối nguy hiểm này, nhưng lại tạo ra một số nguy hiểm khác” (Jeff Schmidt). Hãy sử dụng runas thật khôn khéo.
LỜI KHUYÊN: Giữ phím SHIFT khi nhấp phải chuột vào một file trong Windows 2000 Explorer – một tuỳ chọn gọi là Run As bây giờ sẽ xuất hiện trong trình đơn môi trường.
TƯƠNG LAI CỦA WINDOWS 2000
Trong phần này chúng tôi sẽđề cập đến tương lai phía trước của một vài công nghệ mới có liên quan tới bảo mật. Công nghệ này sẽ định dạng nền Windows 2000 khi nó tiến lên trong những năm sắp tới. Đặc biệt chúng tôi sẽ xem xét những bước phát triển sau:
.NET Framework
Windows XP / Codename Whistler.
.NET FRAMEWORK
.NET Framework (.NET FX) của hãng Microsoft chứa đựng một môi trường cho xây dựng, triển khai, và chạy Web Services và các ứng dụng khác. Bạn không nên bối rối trước .NET Initiative toàn thể của Microsoft, .NET Initiative toàn thể này liên quan đến những công nghệ tuân thủ theo thuật ngữ thông dụng như XML; Simple Object Access Protocol (SOAP); và Universal Discovery, Description and Intergration (UDDI). .NET Framework là một phần quan trọng của sáng kiến đó, nhưng nó thực sự là nền công nghệ khác biệt hẳn so với tổng thể tầm nhìn .NET của một máy tính cá nhân như một “ổ cắm cho các dịch vụ”.
Thực ra nhiều người gọi .NET Framework là một sự cạnh tranh tính năng vì tính năng đối với môi trường lập trình Java và các dịch vụ liên quan của Sun Microsystem. Rõ ràng đây là một sự chuyển đổi mang tính đột phá cho Microsoft. Bước chuyển này hỗ trợ sự phát triển và môi trường thực hiện hoàn toàn khác biệt với cơ sở truyền thống của thế giới Windows, Win32 API và NT Service. Giống như việc cắt giảm bớt trách nhiệm của công ty để giao phó tất cả các sản phẩm với mạng Internet mới ra đời vào giữa những năm 1990, NET Framework chính là khởi điểm quan trọng đối với Microsoft. Nó có thể được gắn ghép phổ biến vào những công nghệ khác của Microsoft trong tương lai. Hiểu được triển vọng của hướng đi mới này là rất cần thiết đối với những ai có trách nhiệm đưa công nghệ của Microsoft tiến bước trong tương lai.
CHÚ Ý Xem Hacking Exposed Windows 2000 (Osborne/McGraw-Hill, 2001) để biết thêm chi tiết về .NET Framework.
CODENAME WHISTLER
Mỗi chương trong bảo mật Windows 2000 sẽ là chưa đủ nếu như thieu sự kiểm tra những tính năng bảo mật mới được dự định trong phiên OS sắp tới. Kể từ khi bài viết này đến tay các bạn, Release Candidate 1 (RC1) cho Condename Whistler đã được tung ra, vì vậy sự phân tích toàn diện về tính năng này là một bước đi trước. Tuy nhiên, chúng ta sẽ đi khảo sát khái quát tính năng này và dừng những ấn tượng ban đầu của chúng ta ởđây.
Phiên Bản Whistler
Thế hệ tiếp theo của Windows hiện được chia thành SKU (Shop Keeper Units, đó là chỉ danh ID) khách và chủ. Những phiên bản máy khách được gọi là Windows XP và bao gồm bàn làm việc Professional Edition (Windows XP Pro), Home Edition với đích là SOHO/khách hàng, và Windows XP 64-bit Edition ứng dụng đặc biệt đầu trên. Những phiên bản chủ sẽ có thể mang tên .NET Server (mặc dù chúng vẫn được đề cập đến với cái tên codename Whistler) và sẽ có thể bao gồm cả những đặc tính của Server cũ và Advanced Server. Sau đây là tóm lược:
Máy khách
Windows XP Professional (bàn làm việc)
Windows XP Home Edition (khách hàng)
Windows XP 64-bit Edition (ứng dụng thực thi cao)
Máy chủ
.NET Server (Whistler)
CHÚ Ý Windows XP Home Edition được đề cập trong Chương 4.
Internet Connection Firewall (Tường bảo vệ kết nối Internet)
Internet Connection Firewall (ICF) có thể là tính năng bảo mật dễ nhận thấy nhất do nó gắn liền trên hệ điều hành OS mới. ICF đưa ra các tính năng trích lọc gói tin cho phép sử
dụng mạng hướng ra mở nhưng vẫn khoá tính năng kết nối hướng vào.