Trong Windows XP, những giao thức xác định Passport đã được thêm vào WinInet (WinInet là DLL có chức năng quản lý khả năng kết nối Internet). Hộ chiếu là giải pháp đăng nhập đơn của Microsoft vào Internet. Các chương mục đối tượng sử dụng được lưu trong những máy chủ chạy chương trình Microsoft, và khi đã được xác thực giá trị cho dịch vụ, một thiết bị chống giả mạo được thiết lập trên máy của đối tượng sử dụng trong một thời gian nhất định. Thiết bị này có thể được sử dụng để truy cập các trang khác có nội dung hỗ trợ lược đồ xác thực giá trị Hộ chiếu.
Biện pháp quản lý cục bộ và nhóm mới
Có một số thiết lập mới có thể được định cấu hình thông qua Biện Pháp Quản Lý Cục Bộ Và Nhóm của Windows XP/Whistler, bao gồm một thiết lập điều khiển mức độ thiếu hụt giá trị phức tạp của LAN Manager.
Ngoài nhiều thiết lập mới có thể được định cấu hình, Whistler cũng đưa ra một bổ sung mới cho Biện Pháp Quản Lý Nhóm có tên Resultant Set of Policy (RSOP). RSOP thực hiện khá nhiều chức năng. RSOP có chức năng truy hỏi những giao điểm giữa những đối tượng Quản lý nhóm áp dụng tại các cấp độ trong thư mục (vùng, miền, hay OU) và trở về thiết lập quản lý hiệu quả. Kiểm tra thứ tự quản lý theo cách này có thể công việc gỡ rối trở nên dễ dàng hơn. RSOP được thực hiện nhờ công cụ gpresult dòng lênh.
Quản Lý Uỷ Quyền (Credential Management)
Đặc tính Quản Lý Sự Uỷ Nhiệm cung cấp một nơi lưu giữ bảo mật của sự uỷ nhiệm cho đối tượng sử dụng, bao gồm mật khẩu và những xác nhận chứng thực X.509. Xác nhận này cung cấp một phương thức đăng nhập đơn nhất quán cho người sử dụng, bao gồm những đối tượng sử dụng tự do, thông qua việc cho phép họ dễ dàng truy cập nhờ thường xuyên sử dụng sự uỷ nhiệm một cách rõ ràng.
Tạo cho người sử dụng dễ dàng hơn khi phục hồi mật khẩu tại những hệ thống khác và lưu chúng trong một nơi độc lập, điều này dường như không phải là một ý kiến hay cho chúng ta. Tất nhiên, Windows có thể tự động lưu sự uỷ quyền quá lớn ngày hôm nay trong một vài nơi riêng biệt (mật khẩu của một trang Web qua IE, mật khẩu chương mục quay số, mật khẩu đăng nhập miền tại LSA….), vì vậy có thể một nơi chứa hay một API tập trung cho việc lưu trữ được bảo mật những thông tin trên là một sự tiến bộ đáng kể. Chúng ta sẽđược thấy sau.
Kích Hoạt Sản Phẩm Windows
Mặc dù không chỉ đơn thuần là một đặc tính bảo mật theo quan điểm của khách hàng của Microsoft, Kích Hoạt Sản Phẩm Windows (WPA) còn có
thể được nhìn nhận như một biện pháp bảo mật rất quan trọng theo quan điểm của Microsoft. Trong bất kỳ trường hợp nào, WPA vẫn tạo một chuyển biến quyết định trong quá trình phát triển Windows – trừ một ngoài lệ những phiên bản Volume Licensed (VL), mọi SKU khách của Windows sẽ có thể cần được kích hoạt thông qua đường viễn thông hay Internet.
Quản Lý Và Điều Khiển Từ Xa
Windows XP/Whistler có hai tính năng điều khiển từ xa được xây dựng dựa trên kỹ thuật SO. Những đặc tính này được quản lý bằng System Control Panel/Remote tab. Đầu tiên là Remote Assitance (trợ giúp từ xa), sẽ được thảo luận tại Chương 14.
Bản thứ hai, máy tính để bàn từ xa, là máy chủđầu cuối cho hệ điều hành Windows XP. (Nó không có sẵn trong phiên bản gốc). Nó cung cấp sựđăng nhập lẫn nhau từ xa vào vỏ hệ điều hành Windows XP thông qua giao thức máy tính để bàn từ xa (RDP), chỉ giống như máy chủ đầu cuối. RDP sử dụng TCP 3389 mà sẽ có trong các máy cùng với máy tính để bàn từ xa có khẳ năng. Tài liệu hiện hành của Microsoft đề nghị một khung cảnh thông dụng để sử dụng các máy tính để bàn từ xa: một nhân viên của công ty có thể thiết lập từ xa vào trạm làm việc ở cơ quan của anh ta hay cô ta và sau đó kết nối tới các hệ thống vào ban đêm từ nhà để sắp xếp một vài tác vụ chưa hoàn thành. Chúng ta nghi ngại nhiều sự an toàn của nhà quản trị luôn mơ mộng hão huyền khi nó có thể trên các mạng của họ.
Chuẩn Plug and Play phổ biến
Hệ điều hành Windows XP/ Whistler thêm sự hỗ trợ lựa chọn cho chuẩn Plug and Play (cắm vào là chạy) chung, mà là một chuẩn cải tiến cho sự khám phá các thiết bị chung và sự nhận dạng thông qua các mạng. Bức tranh rõ rệt về máy tính của bạn luồn qua mạng và định dạng bất kỳ một máy in nào, dung lượng của chúng, v..v.. Tất nhiên, quá trình khám phá này là một đường hai chiều, và nhiều thiết bị khác cũng có thể lượm lặt thông tin về hệ thống của bạn thông qua UpnP. Loại đó giống như là SNMP cùng với sự khám phá tự động và không có xác nhận (trong khuynh hướng đặc trưng). Nếu dịch vụ UpnP điều khiển bằng tay được lắp đặt( thông qua chương trình thêm vào /di chuyển/ bộ phận Window/ các dịch vụ mạng’ thiết bị Plug and Play), và dịch vụ máy chủ thiết bị UpnP có thể, hệ thống sẽ nghe trên TCP 2869. Dịch vụ này hồi đáp tới những câu lệnh HTTP dặc biệt. Giao thức khám phá dịch vụ đơn giản (SSDP) cũng được thiết lập và nghe thông qua nhiều IP.Theo ý kiến của chúng tôi, UpnP có thể thêm vào sự xác thực trong phiên bản 2 của giao thức, và đến lúc ấy Microsoft nên đưa nó ra.
Một chú ý về những ổ cắm thô và những yêu cầu không có căn cứ khác
Nhiều yêu cầu thổi phồng về sự an toàn của Window XP/ Whistler đã diễn ra từng ngày, và càng nhiều đảm bảo sẽ được làm tốt hơn sau khi công bố. Tuy được làm bởi Microsoft, những điều hỗ trợ nó, hay nhiều người chỉ trích nó, là những yêu cầu sẽ chỉ bị tiêu tan bởi thời gian và sự kiểm chứng trong những hoàn cảnh của thế giới thực. Gần đây, người hay
châm chọc sự an toàn Steve Gibson đưa ra một quyết đoán gây xôn xao dư luận rằng Window XP khuyến khích giao diện chương trình được gọi là những ổ cắm thô sẽ dẫn đến địa chỉ mạng mở rộng lừa bịp và dịch vụ từ chối những cuộc xâm nhập trên nền những công nghệ như vậy. Chúng ta sẽđưa mọi người trù tích cuối cùng trên quyết đoán này rằng vị trí của chúng ta sẽđược kết luận trên sự an toàn của Window.
Hầu hết những sự quản cáo “không an toàn” về những kết quả Window từ những lỗi chung đã tồn tại trên nhiều công nghệ khác và trong một thời gian dài. Nó chỉ tồi tệ duy nhất bởi sự phát triển mở rộng của Window. Nếu bạn chọn sử dụng diễn đàn Window cho nhiều lý do rằng nó quá phổ biến ( dễ sử dụng, thích hợp, v..v..), bạn sẽ chịu gánh nặng về sự hiểu biết về cách tạo nó an toàn và giữ được nó như thế nào. Hy vọng rằng, bạn cảm thấy tự tin với kiến thức thu được từ quyển sách này . Chúc may mắn !
Tổng kết
Với sự khác thường về sự khai thác của IIS5, Windows 2000 đã chỉ ra được sự tiến bộ thông qua NT4 trong từng giai đoạn của toàn bộ sự an toàn. Thêm vào những đặc trưng an toàn mới như là IIPSec và một chính sách an toàn đã phân bổ chính xác cũng giúp tăng trở ngại cho những kẻ xâm nhập và giảm gánh nặng cho nhà quản lý. Đây là một vài mẹo an toàn đã biên dịch từ sự thảo luận của chúng ta trong chương này và chương 5 về NT, và từ một lựa chọn về những nguồn an toàn nhất cuả Window 2000 trên mạng Internet:
▼ Kiểm tra sự xâm nhập nguy hiểm vào Window 2000 để hoàn thành sự bảo vệ an toàn cho Window 2000 từ đầu đến cuối. Quyển sách đó bao quát và mở rộng thông tin đã đề cập trong cuốn sách này để phát hành kết quả phân tích an toàn toàn diện của Microsoft về vị trí hệđiều hành và những phiên bản tương lai.
■ Nhìn vào bài tổng kết từ chương 5 để kiểm tra danh sách vạch ranh giới tới NT vững chắc. Hầu hết, nếu tất cả những thông số này không ứng dụng cho Window 2000. ( Tuy nhiên, một vài trong số chúng có thể trong một vài phần mới của UI - cụ thể Nhómđối tượng chính sách “ Cấu hình máy tính\ Cài đặt Window\ Cài đặt an toàn\ Những chính sách cục bộ\ Những lựa chọn an toàn”.
■ Sử dụng dánh sách an toàn được Microsoft cung cấp có sắn tại http://
www.microsoft.com/security. Cũng đưa ra công cụ cấu hình IIS5 cho phép người sử dụng định ra khuôn mẫu trên nền tảng những bài thực hành tốt được tạo và được ứng dụng cho các Máy chủ thông tin mạng Internet Window 2000 .
■ Xem http://
www.microsoft.com/TechNet/prodtechnol/sql/maintain/security/sql2ksec. Asp, thông tin về sự an toàn SQL Server 2000 trên Window 2000, và xem http://
www.sqlsecurity.com thông tin chi tiết về tính dễ gây nguy hiểm nhất trên SQL. Cũng vậy, sự xâm nhập nguy hiểm vào Window 2000 bao gồm toàn bộ chương này về những cuộc xâm nhập SQL và những biện pháp đối phó tất cả các nguồn.
■ Nhớ rằng cấp hệđiều hành (OS) có thể không phải là nơi một hệ thống sẽ bị tấn công. Cấp ứng dụng này luôn xa sự nguy hiểm hơn - đặc biệt sự hiện đại, không có quốc tịch, các ứng dụng trên nền trang web. Thực hiện sự chuyên cần của bạn tại cấp OS sử dụng thông tin đã cung cấp trong chương này, nhưng tiêu điểm cao và chủ yếu bảo vệ toàn bộ lớp ứng dụng.
■ Nó có thể nghe rất ấu trĩ, nhưng đảm bảo bạn đang triển khai một phiên bản cấp cao của Window 2000. Máy chủ và những sản phẩm Máy chủ tiên tiến đưa ra một số lượng lớn những dịch vụ (đặc biệt khi có cấu hình như là bộđiều khiển miền thư
mục chủđộng ) và nên được bảo vệ chặt chẽ tránh khỏi những mạng không tin cậy, những người sử dụng và bất kỳ cái gì bạn vẫn còn mơ hồ.
■ Sqr dụng tối thiểu bằng sự an toàn cao: nếu không có cài gì tồn tại để xâm nhập, những kẻ xâm nhập sẽ không có cách nào đểđột nhập được. Sử dụng dịch vụ .msc gây mất khả năng hoạt động những dịch vụ không cần thiết. Những dịch vụ cần thiết còn lại, định hình chúng một cách an toàn; ví dụ, cấu hình dịch vụ DSN của Windows 2000 hạn chế vùng chuyển dịch tới các máy chủ chuyên biệt.
■ Nếu tài liệu và các dịch vụ in không cần thiết, vô hiệu khả năng hoạt động của NetBIOS qua TCP/IP bằng cách mở Mạng và Quay số kết nối và chọn Advanced\ Advanced Settings và huỷ lựa chọn File và Printer Sharing For Microsoft Networks cho mỗi thiết bị điều hợp mà bạn muốn bảo vệ, đã minh hoạ trong hình 6-1 ởđầu chương này. Những cái còn lại là những cách tốt nhất để cấu hình nên giao diện bên ngoài máy chủ kết nối mạng Internet.
■ Sử dụng màng lọc TCP/IP và những màng lọc IPSec mới (đã miêu tả trong chương này) để khoá truy cập tới bất kỳ một cổng nghe nào khác ngoại trừ chức năng hoàn toàn cần thiết tối thiểu.
■ Bảo vệ các giao diện Internet của máy chủ về tường lửa hay những lối đi được trang bị để hạn chế những cuộc xâm nhập dịch vụ từ chối như là dòng lũ SYN và những cơn bão phá vỡ IP. Thêm vào đó, những bước đưa ra trong chương này làm vững mạnh Windows 2000 chống lại tiêu chuẩn IP dựa trên những cuộc xâm nhập DoS, và đạt được sự trộn lẫn thích hợp để nối tạm IP không liên quan đến những lỗi máy tính.
■ Giữ cập nhập với toàn bộ những gói dịch vụ gần đây và những sự nối an toàn. Xem http:// www.microsoft.com/securityđể xem bang tin danh sách cập nhập. ■ Hạn chế những đặc quyền đăng nhập tương tác để dừng những cuộc xâm nhập mạnh đặc quyền ( giống như dịch vụ tên là dựđoán trước đường ống và các vấn đề trạm windows) trước khi chúng bắt đầu.
■ Bất kể khi nào có thể, thoát khỏi kh vực Máy chủđầu cuối hơn là chỉ ngắt kết nối từ chúng, để không dời những khu vực mở cho những nhà quản lý đểu xâm nhập vào.
■ Sử dụng những công cụ mới như Chính sách Nhóm ( gpedit.msc) và Cấu hình an toàn và sự Phân tích công cụ theo khuôn mẫu truyền thống đểả trợ giúp tạo và xây dựng những cấu hình an toàn thông suốt môi trường Windows 2000 cu bạn. ■ Tuân theo một chính sách mạnh về sự an toàn vật lý để bảo vệ chống lại những cuộc xâm nhập ngoại tuyến chống lại SAM và EFS được minh hoạ trong chương này. Sự thực thi SYSKEY trong chếđộ mật khẩu hay đĩa mềm được bảo vệđể tạo ra những cuộc xâm nhập này khó hơn. Giữ những máy chủ nhạy an toàn về mặt vật lý, đặt mật khẩu BIOS để bảo vệ sự nạp tuần tự, và xoá hay vô hiệu hoá ổđĩa mềm và xoá các thiết bị truyền thông mà có thể nạp hệ thống để thay đổi OSes.
■ Theo “ Best Practices for Using EFS” tìm thấy trong Windows 2000 trợ giúp các tập tin, để thực thi sự mã hoá mức thư mực rỗng cho nhiều người sử dụng dữ liệu khi có thể, đặc biệt cho những người sử dụng máy tính xách tay. Đảm bảo xuất khẩu và sau đó xoá sự sao chép cục bộ sự phục hồi khoá chi nhánh để các biểu tượng EFS đã mã hoá không dễ bị nguy hiểm đối với các cuộc xâm nhập ngoại tuyến mà làm tổn hại Nhà quản lý phục hồi chứng nhận.
■ Thuê bao tới danh sách gọi NTBugtraq ( http:// www.ntbugtraq.com) để giữ vững những thảo luận hiện hành trong sự an toàn của NT 2000. Nếu khối lượng lưu chuyển trên danh sách trở nên vững vàng cho một vài rãnh, thay đổi sự mô tả cảu bạn tới các dạng điện báo, mà trong đó một điện báo của tất cả những tin nhắn quan
trọng được đưa ra định kỳ còn được mong đợi. Để nhận danh sách thư dạng điện báo trong mạng NT an toàn, gửi một tin nhắn tới listserv@listserv.ntbugtraq.com
cùng với “đặt điện báo NT an toàn” trong đoạn giữa cuả tin nhắn. ( bạn không cần một tuyến đối tượng) .
▲ Danh sách thưđiện tử của Win2KsecAdvice taih http:// www.ntsecurity.net mà giống hệt NTBugtraq, thỉnh thoảng có nội dung danh sách NTBugtraq sót. Nó cũng có một phiên bản điện báo thuận tiện.