I. Bảo vệ mạng doanh nghiệp 1 Firewall
5.Cấu hình an ninh cho mạng doanh nghiệp
Trên cơ sở cấu hình mặc định, bạn có thể sử dụng tiện ích Local sercurity Policy (cho mạng Workgroup) hoặc Domain Sercurity Policy (cho mạng domain) để chỉnh sửa các tham số nhằm tăng cường bảo mật. Nếu như mạng thông suốt, mọi phần mềm đều chạy tốt thì bạn có thể an tâm sử dụng nó trong một thời gian khá dài.
Nếu như bạn không thay đổi, tức là vẫn giữ cấu hình mặt định, hệ thống của bạn chưa chắc đã an toàn. Bởi cấu hình mặc định thực chất là cấu hình 0, nghĩa là không bảo mật. Windows có hàn trăm tham số an ninh. Những chỉnh sửa cũng chỉ có thể thay đổi cỡ 10% số tham số, các service pack và hotfix thay đổi cỡ 1%, tổng cộng là 11%, nghĩa là không có thay đổi đáng kể gì trong cấu hình an ninh.
Trong khi lắp đặt, bạn nên biết rằng bảo mật tỉ lệ nghịch với chức năng. Khi bắt đầu tăng cường bảo mật thì bạn phải hạn chế dịch vụ của máy, hạn chế quyền sử dụng của người dùng. Việc này sẽ khiến người dùng mất tiện nghi, một số ứng dụng ngừng hoạt động, mạng không còn thông suốt nữa. Mặt khác tăng cường bảo mật đi đôi với kiểm định, tức là ghi lại nhiều hành động của người dùng. Việc này khiến hệ thống chạy chậm lại. Khi quá trình này ghi lại quá nhiều đến mức không thể ghi được nữa, để đảm bảo an ninh mạng, hệ thống sẽ từ chối dịch vụ (tự shutdown). Khi đó, bạn đã tự giết mình một cách hoàn hảo. Do đó, khi thiết kế hệ thông ở bất cứ chỗ nào có thể đánh đổi hiệu năng công việc để đổi lấy mức bảo mật, người thiết kế phải đặt ra tham số an ninh, và đặt cho tham số một giá trị mặc định nào đó. Giá trị mặt định đó tương ứng với hiệu năng công việc cực đại mức bảo mật cực tiểu.
Cấu hình an ninh là tập hợp các tham số an ninh. Một tham số an ninh là một tham số có ảnh hưởng mạnh đến an ninh của hệ thống như độ dài tối thiểu cho phép của mật khẩu. Cấu hình an ninh không phải là toàn bộ mà chỉ là một phần của chính sách an ninh. Chẳng hạn xét chính sách an ninh sau đây:
• Người dùng không được bỏ trống mật khẩu
• Người dùng không được thay đổi/xoá bỏ các tập tin chương trình • Người dùng không được không được nhận và gửi các tập tin có virus • Người dùng không được sao chép dữ liệu của công ty
• Người dùng không được giải trí qua Internet quá nhiều trong giờ làm việc. Điều 1 áp đặt bằng cấu hình an ninh. Điều 2 có thể áp đặt bằng cấu hình an ninh. Các điều còn lại chỉ có thể áp đặt bằng những phương tiện khác.
Trong Windows 2000/XP/2003, khi chạy chương trình Local sercurity Policy ta sẽ nhìn thấy toàn bộ cấu hình an ninh mạng. Có thể mở rộng cấu hình an ninh, nghĩa là thêm vào đó các tham số an ninh. Những tham số thêm này không phải từ trên trời rơi xuống mà chúng có sẵn trong hệ thống. Bạn chỉ đơn giản đưa chúng vào danh sách các tham số an ninh mà thôi. Giá trị tham số an ninh có thể không xác định.
Chương trình Local sercurity Policy dùng để sửa đổi cấu hình an ninh nội bộ. Trong domain bạn có thêm va công cụ là Domain Sercurity Policy, Domain Controller Sercurity Policy, Group Policy Edit để sửa đổi cấu hình Domain. Trong Windowsgroup không tồn tại công cụ nào tương tự. Cấu hình domain xác định vài tham số chung cho mọi máy, mọi người trong domain. Domain có thể trải ra trên nhiều site. Trường hợp này gặp ở doanh nghiệp với vài cơ sở rải rác trên địa bàn rộng. Mỗi site có cấu hình riêng, mỗi cấu hình site xác định các tham số chung cho mọi máy trong site.
Domain chứa các organisation units (OU), chẳng hạn Domain Controller, Servers, Workstations, Users… Khi nhấp chuột vào OU Properties/Group Policy, bạn sẽ thấy mỗi OU đều có thể có cấu hình riêng. Mỗi cấu hình OU xác định tham số chung cho mọi máy (hoặc người dùng trong OU). Đối với một máy, một người cụ thể thì các cấu hình được áp dụng chồng nhất; nghĩa là cái sau bổ sung cho cái trước hoặc đè lên cái trước đó, theo trình tự local, site, domain, OU.
Thực chất, cấu hình an ninh nằm trong tiện ích Registry và những chương trình nói trên đều là những chương trình biên tập Registry; nghĩa là mọi sửa đổi được áp dụng ngay và có tác dụng sau vài giây đến vài giờ kể từ khi áp dụng. Nhưng thường bạn không muốn áp dụng ngay mà muốn nghiên cứu, chỉnh sửa cẩn thận trước khi ap dụng. Hơn nữa, trong Workgroup, bạn muốn áp dụng một cấu hình mẫu cho nhiều máy. Như vậy, cần phải có phương tiện. Hãy thực hiện như sau:
• Xuất cấu hình từ registry ra file • Nhập file cấu hình vào registry • Biên tập file cấu hình
Microsoft có phát hành sách giải thích ý nghĩa của từng tham số an ninh và ảnh hưởng của chúng đến bảo mật hệ thông Windows 2000, Windows XP và Windows Server2003. Kèm theo mỗi sách là cấu hình an ninh mẫu cho từng loại máy như domain controller, member server, member workstation, member laptop…Đối với Windows 2000, mẫu cấu hình máy chỉ có một cấu hình mẫu. Đối với Windows XP mỗi loại máy có hai cấu hình mẫu tương ứng với hai mức bảo mật Enterprise và High Secure. Đối với Windows Server2003 mỗi máy cũng có 2 cấu hình như vậy.
Như ở trên đã nói, cấu hình mặc định là cấu hình không, và cấu hình dẫn xuất từ mặt định sau khi chỉnh sửa bằng tay và patch bằng các service pack/hotfix là cấu hình chỉnh sửa chỉ 11% của toàn bộ tham số có thể cấu hịnh. Sau khi đã xem xét, so sánh và chấm điểm thì các cấu hình mẫu của Microsoft và NSA được điểm như sau:
• Microsoft Enterprise Client: 0.9 • Microsoft High Secure: 1
• NSA: 1
So với cấu hình Enterprise Client, High Secure tắt đi một số dịch vụ và bật thêm một vài audit. Đây là điểm khác biệt quan trọng nhất. Ngoài ra, nhiều tham số bảo mật cũng thay đổi mức bảo mật tăng lên đáng kể và hiệu năng công việc giảm đi không đáng kể. Cấu hình Microsoft High Secure và cấu hình NSA gần như trùng nhau, thể hiện cùng một quan điểm thiết kế, nên được chấm điểm ngang nhau. Tuy vậy, khi so sánh chúng với nhau, có thể thấy chỗ khác biệt quan trọng:
• Cấu hình NSA loại trừ nhóm Power Users còn cấu hình Microsoft thì không loại trừ nhóm này. Nên biết rằng khác với Users, Power User có
quyền thay đổi các file/thư mục trong một chương trình và nhiều nơi nhạy cảm trong registry, cùng một vài đặc quyền khác.
• Cấu hình NSA xác lập thuộc tính bảo mật cho registry và các file/thư mục chương trình, còn cấu hình Microsoft thì không có phần này. Nên biết rằng cho đến nay, rất nhiều chương trình vẫn lưu dữ liệu trong thư mục làm việc của mình trong program files và nhiều nơi nhạy cảm registry.
Cho người dùng đặc quyền Users thì an toàn hơn Power Users rất nhiều. Tuy nhiên, đối với những phần mềm như legacy, Power Users thì chúng có thể sẽ là một giải pháp khả thi hơn.
Thuộc tính bảo mật cho registry và các file chương trình đã được xác lập đúng đắn ngay sau khi cài đặt Windows, nên chỉ có thể bị làm yếu đi do Admin tự tay thay đổi, hoặc do virus/spyware chạy bằng quyền admin. Thuộc tính bảo mật sẽ được phục hồi lại như cũ khi được cập nhật định kì theo cấu hình an ninh (nghĩa là khoảng vài giờ sau đó) nếu dùng cấu hình NSA, hoặc khi tình cờ phát hiện ra thay đổi nếu dùng Microsoft. Trường hợp nào cũng là quá muộn để ngăn chặn tác hại của virus/spy. Mặt khác, một phần mềm khi cài đặtcó thể làm yếu các thuộc tính vảo mật của một vài file dữ liệu nào đó để nhóm Users có thể ghi vào. Việc cập nhật thuộc tính bảo mật theo cấu hình NSA làm phần mềm đó ngưng hoạt động.
Trong khi mọi phần mềm ứng dụng thông thường, kể cả phần mềm legacy đều thích ứng tốt với NSA, hầu hết phần mềm hệ thống, kể cả những phẫn mềm mới nhất, đều tỏ ra di ứng với NSA. Mcafee Active VirusScan, Sygate Prosonal Firewall …khi được cài đặt thì đều không thể boot máy. Kasperky, Antivirus/ Firewall, F Secure Client Security thì xung đột với các chương trình sử dụng Internet và làm treo máy. Symantec Antivirus làm chậm lại máy một cách kì quái khi check mail…
Đối với môi trường Windows 2000, và Windows XP dùng cấu hình an ninh Microsoft High Secure. Thử nghiệm với F Secure, Symantec và TrendMicro, cả ba chương trình này đều chạy tốt cho ấn tượng ban đầu là môi trường này dường như đảm bảo tốt, tương thích với các phần mềm.
Bảo mật dữ liệu
Nếu như trong phần trước, chủ đề hướng tới bảo mật hệ thống thì trong phần này chủ đề hướng tới bảo mật dữ liệu người dùng.
Trong Windows, trên một partition đuợc format dưới dạng NTFS thì có thể thiết lập thuộc tính bảo mật cho từng thư mục. Cụ thể, trên mỗi thư mục, mỗi nhóm có thể có từ 0 đến 6 quyền truy nhập: Full Control, Modify, Read & Execute, List Folder Contents, Read và Write. Quyền truy nhập của mỗi thư mục F có thể được truyền lại cho các file trực tiếp thuộc F, cho các thư mục con của F, và các file thuộc thư mục con của F. Tương tự, quyền truy nhập của một nhóm G được truyền lại cho người dùng trực tiếp thuộc G, cho các nhóm con của G,và các người dùng thuộc nhóm con của G.
• Administrator có quyền Full Control với thư mục, thư mục con và các file trong D
• System có quyền Full Control với thư mục, thư mục con và các file trong D
• Users có quyền Read & Execute với thư mục, thư mục con và các file trong D
• Creator Owner có quyền Full Control chỉ với thư mục con và các file trong D (adsbygoogle = window.adsbygoogle || []).push({});
Luật 1, 2 và 3 cho Admins và System toàn quyền kiểm soát Partition D:\ và cho người dùng quyền đọc, nhưng không được thay đổi Partition D:\. Tuy nhiên nếu chỉ như vậy thì đối với một thư mục hay một file trong D:\, Creator Owner chỉ có thể là System hoặc một Admin vốn dĩ đã có quyền kiểm soát theo luật 1 & 2 rồi. Vậy luật 4 dùng để làm gì? ý đồ của luật này là về sau, trên một số thư mục con nào đó của D:\, Admin sẽ đặt thêm luật, tức là cấp thêm quyền truy nhập để mỗi người dùng có thể tạo lập những thư mục riêng tự mình kiểm soát. Cái hay của luật 4 nói riêng hay của toàn bộ Creator Owner nói chung là:
• Admin chỉ tạo điều kiện cho Users tạo lập folder chứ không phải đích thân làm công việc đó.
• Mặc dù Admin tạo điều kiện cho cả nhóm Users một cách tổng quát chứ không cần quan tâm đến từng Users, nhưng vẫn đảm bảo được sự phân biệt quyền truy nhập giữa Users tạo lập thư mục với những Users khác.
Luật gì cần đặt thêm? Câu hỏi này buộc ta quay lại phần đầu một chút. Sáu quyền truy nhập đã giới thiệu ở trên thực ra không độc lập với nhau. Thực tế, mỗi quyền trong số đó đều là tổ hợp của một số quyền trong 14 quyền truy nhập sơ cấp độc lập hoàn toàn với nhau. Xin không liệt kê cả 14 quyền truy nhập sơ cấp ở đây, mà chỉ lấy 2 quyền làm thí dụ là quyền đoạt chủ quyền và quyền thay đổi quyền. Quyền Full Control chẳng hạn là tổ hợp của 14 quyền truy nhập sơ cấp. Danh sách đầy đủ của 14 quyền truy nhập sơ cấp cũng như cấu tạo của 6 quyền truy nhập tổ hợp có thể tìm thấy trong Windows Help “file folder permission”, hay trong bất cứ quyển cẩm nang Windows nào.
Trước khi nói đến loại dữ liệu thứ ba, xin nhắc tới vài đặc quyền trong cơ chế kiểm soát truy nhập (của Windows và không chỉ riêng Windows) mà nếu bạn lạm dụng có thể ảnh hưởng xấu đến an ninh:
• Người chủ có quyền thay đổi quyền truy nhập thư mục/file của mình. • Admin có quyền reset mật khẩu của mọi người dùng.
• Admin có quyền đoạt chủ quyền của mọi file/thư mục kể cả file và thư mục mà tài khoản người chủ không còn tồn tại nữa.
Và một đặc điểm có tác dụng tốt cho an ninh: chủ quyền file/thư mục không thể trao mà chỉ có thể đoạt. Sau khi đoạt được chủ quyền, bạn không có cách nào trao trả lại chủ quyền cho người chủ cũ mà thiếu sự hợp tác của người đó. Chúng ta cũng đã nghe nói về dữ liệu public và private. Ngoài hai loại này
còn có một loại thứ 3 nữa gọi là “dữ liệu doanh nghiệp”. Ví dụ như dữ liệu kế toán. Đặc trưng của loại dữ liệu này là mội thư mục, mỗi file đều có một người dùng chịu trách nhiệm quản lí và vì thế có quyền cập nhật, bên cạnh một số người khác có nhu cầu biết, và vì thế có quyền đọc. Không được phép để người chủ file có quyền gì hơn so với người khác có quyền cập nhật. Hay nói cách khác khái niệm chủ quyền không được phép đóng vai trò gì đối với loại dữ liệu này. Đây có lẽ là loại dữ liệu được quan tâm bảo toàn và bảo mật nhiều nhất.
Thực ra đọc và cập nhật thư mục/file mới chỉ là những quyền truy nhập dữ liệu hết sức thô thiển. Chúng không cho phép bạn phân biệt, chẳng hạn, giữa hành động đọc văn bản trong một thư mục với hành động sao chép nguyên cả 100GB dữ liệu từ thư mục đó. Chúng hoàn toàn hành động “thu” và “chi” trên một tài khoản qua một phiên giao dịch với khách hàng. Kiểm soát truy nhập chặt chẽ đòi hỏi một sự phân quyền truy nhập tinh vi hơn.
Người dùng làm việc với dữ liệu thông qua phần mềm. Khi nhìn ở tầm cao, coi dữ liệu cùng với phần mềm như một đối tượng, thì việc “đọc văn bản” hay “sao chép”, “thu” hay “chi” là những hành động truy nhập ở mức cao, mức đối tượng. Chúng tôi kết thúc vấn đề kiểm soát truy nhập với kết luận rằng một chính sách kiểm soát truy nhập chặt chẽ chỉ có thể thi hành khi chúng ta ngăn chặn mọi con đường truy nhập dữ liệu ở mức file/thư mục, buộc người dùng truy nhập dữ liệu ở mức đối tượng thông qua những phần mềm cho phép phân quyền chi tiết như quyền sử dụng từng record, field, từng lệnh hoặc từng menu.