SlideShare uma empresa Scribd logo
1 de 25
Baixar para ler offline
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát




Bảo mật cho các máy tính của một tổ chức

(Security Article Series -Bài viết hướng dẫn cách thức để bảo vệ cho các
Computer của một tổ chức. Thích hợp cho những ai quan tâm đến Network
Security.)


Một trong những yếu tố quan tâm hàng đầu trong việc Thiết kế Security
một hệ thống thông tin đó là kiểm soát chặt chẽ tất cả Computer của tổ
chức. Vì chúng là nơi cất giữ tài sản thông tin có giá trị của tổ chức.
Attacker có thể trực tiếp tấn công thẳng vào Computer và lấy đi những dữ
liệu quý báu.




Việc xác định những mối đe dọa và những lỗ hỗng ở tất cả computer trong
tổ chức là điều thiết yếu và cấp bách (Quan tâm đến Security cho
Computer kể từ lúc mua, cho đến khi cất chúng vào kho - life Cycle)




Hầu hết các loại Computer nếu không có những kẽ hỡ thiếu an toàn về vật
lý, thì bản thân hệ điều hành cũng có thể phơi bày những tử huyệt, những
miếng mồi ngon cho attacker. Security Admin phải đảm bảo an toàn và cập
nhật đầy đủ các miếng vá lỗi và thiết lập hệ thống phòng thủ trong suốt quá
trình “sống” của Computer.




Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát




Xác định những rủi ro và những mối đe dọa Computer.




Bảo mật suốt chu kì “sống” của một computer:


Vòng đời của một computer trải qua những giai đoạn sau:


• Tiến hành cài đặt: Trong suốt quá trình tiến hành cài đặt Hệ điều hành và
Ứng dụng, sự xâm nhập của Virus, và những lỗi cấu hình có thể là nguy cơ
trực tiếp cho Computer. Chú ý setup password cho tài khỏan built-in
ADMINISTRATOR tại giai đoạn này theo đúng chính sách đặt password
của tổ chức. Chúng ta có thói quen không tốt ở giai đoạn này là set
password null (không đặt pssword) !




• Xác lập chính sách bảo mật chuẩn (baseline security) theo quy định an
toàn thông tin của tổ chức sau khi hoàn thành cài đặt mỗi Computer


• Bảo mật cho các Computer có vai trò đặc biệt. ví dụ Web server ,
Database Server. Căn cứ trên chính sách bảo mật chuẩn, các security
admin cần tăng cường hơn nữa các xác lập bảo mật đối với các Computer
đặc biệt này nhằm tạo một hệ thống được bảo vệ tối đa có thể đương đầu
với các kiểu tấn công đa dạng và phức tạp từ phía attackers.




Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát



• Cập nhật security cho tất cả ứng dụng phát sinh lỗi trên Computer (thông
thường sẽ update các Service packs, securiry updates..) Đây là điều bắt
buộc để nâng cao hơn nữa baseline security đã được thiết lập


• Tạm biệt Computer: Kết thúc vòng đời, giờ là lúc đem chiếc Computer này
vào kho làm kỉ niệm hoặc giải phong một nó cho một ai đó cũng cần phải
security, attacker có thể lấy những thông tin còn sót lại trên HDD, hoặc các
thiết bị Media khác để khai thác những thông tin còn sót lại này.


Tầm quan trọng của việc bảo mật cho Computer


Những cuộc tấn công từ bên ngoài:


Khi một admin cài đặt software trên một computer mới, một Virus có thể lây
nhiễm vào Computer trước khi Admin này cài service pack bảo vệ hệ
thống. Virus này sẽ khai thác lỗ hổng đã xác định, và cài tiếp vào hệ thống
một chú Trojan Horse (ví dụ như Bo 2k). Admin hoàn thành việc cài
software và đưa vào sử dụng mà không hề biết rằng Computer có thể đã
nằm trong tầm kiểm soát của một attacker ngoài hệ thống Mạng của tổ
chức !




Hiểm họa từ bên trong:




Admin chọn cách cài đặt cho các Computer của tổ chức là cài đặt từ xa và


Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát



không cần phải theo dõi trong suốt quá trình cài đặt (unattended
Installation) , cách cài đặt này nhanh chóng và tỏ ra rất “professional”.
Trong suốt quá trình cài đặt operating system qua Mạng này, tài khỏan
Local administrator của các máy được cài đặt được chuyển qua Mạng dưới
dạng Clear-text (không mã hóa). Một nhân viên có chút trình độ về hệ
thống và Network, thúc đẩy bởi những động cơ bất hợp pháp có thể cài các
công cụ nghe lén và thâu tóm thông tin chuyển đi trên Mạng, đặc biệt là
các Local Administrator Password (nếu admin Mạng đang tiến hành cài đặt
qua Mạng cho Computer của sếp và password chuyển qua Mạng dưới
dạng cleart-text thì nguy to…vì dữ liệu của các Manager rất important và
hầu hết có giá trị economic..). Đây là một trong rất, rất nhiều những nguy
cơ attack từ bên trong Mạng nội bộ.




Những mối đe dọa phổ biến:




Mặc dù những kĩ thuật bảo mật được trang bị trên các Computer, thế
nhưng rủi ro lại đến từ yếu tố con người và những kẽ hở trong quy trình làm
việc với Computer.


Ví dụ như attacker có thể lấy thông tin từ Đĩa cứng, hoặc truy cập vào máy
tính qua các ứng dụng (không cài đặt các bản vá lỗi), mà nhân viên sử
dụng, đặc biệt là những ứng dung connecting với Internet như Chat,
Internet Browser, E-mail…




Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát




Thiết kế Security cho các Computer




Những phương thức chung secure Computer


Tiến hành cài đặt an toàn ngay từ ban đầu cho Hệ điều hành và các Ứng
dụng theo hướg dẫn:


Thực thi các cấu hình bảo mật mặc định cho HDH và ứng dụng
Chỉ cài đặt những ứng dụng và dịch vụ cần thiết trên các Server (ví dụ:
nkhông cài lung tung các ứng dụng và triễn khai những dich vụ không cần
thiết trên Mail, Web server của tổ chức..)
Xác lập bảo vệ cho tất cả các tài khỏan mặc định của hệ thống (ví dụ: tài
khoản mặc định Administrator nên được rename vì tên này ai cũng biết, và
set password phức hợp, sẽ có tác dụng lớn để đối phó với attacker trong
những cuộc tấn công dạng Brute force password)
Những file cài đặt cho HDH và application phải an toàn, phải được xác
nhận (digitally sign) từ nhà cung cấp, có thể dùng nhiều utility để kiểm tra
vấn đề này , ví dụ Sign verification…
Tiến hành cài đặt phải là những Người có đủ độ tin cậy trong tổ chức.
Nên cô lập Mạng trong quá trình cài đặt . Tạo một Network riêng dành cho
việc cài đặt nếu phải cài đặt HDH, ứng dụng qua Mạng (ví dụ dùng dịch vụ
RIS của Microsoft..), điều này là thiết yếu và tăng sự an toàn, có thể chống
được sự lây nhiễm Virus từ bên ngoài hoặc các Built-in account như


Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát



Administrator được tạo ra qua Mạng từ các unattended installation scripts
không bị thâu tóm.. các CD cài đặt HDH, ứng dụng nên tích hợp đầy đủ các
Service packs, security updates (vá lỗi ngay trong quá trình cài đặt)




Làm thế nào để cấu hình các xác lập chuẩn bảo mật cho một tổ
chức (Security baseline)


Trước khi triển khai Computer cho tổ chức, cần xác định các security
baseline. Các security admin có thể triển khai những security baseline này
trong suốt quá trình cài đặt hoặc sau đó. Trên Microsoft Windows 2000 và
Microsoft Windows XP, các admin có thể taọ và triển khai các security
templates để đạt được những yêu cầu bảo mật cần thiết.




Tuân thủ những hướng dẫn sau để tạo security baseline cho
các Computer




Tạo một chính sách security baseline cho các Computer theo đúng những
quy định của tổ chức về an toàn thông tin phục vụ cho các quy trình nghiệp
vụ. Chính sách này phải đảm bảo an toàn cho Computer, HDH và các ứng
dụng nghiệp vụ…


Ví dụ: chính sách chỉ định rằng tất cả HDH trong tổ chức phải chống được
kiểu tấn công SYN-ACK (synchronize acknowledge) denial of service


Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát



(DoS) tấn công từ chối dịch vụ. Một chính sách tốt cũng hình dung được vai
trò của Computer cần bảo vệ..




2. Tạo sẵn các security templates mẫu, cho phép chỉnh sửa. Ví dụ để bảo
vệ HDH chống lại SYN-ACK attacks, có thể đơn giản thêm vào Registry
những giá trị mong muốn nhằm thay đổi cách thức vận hành của TCP/IP
stack trong giao tiếp Mạng với các Computer khác, như vậy có thể chống
được những cuộc tấn công kiểu này.




3. vận hành thử và Kiểm tra các security templates này. Mỗi security
template được triển khai sẽ không có các yếu tố gây cản trở HDH, các dich
vụ khác, hoặc xung đột với các ứng dụng




4. Triển khai các security templates cho Computer thông qua những công
cụ như command Secedit Group Policy, hoặc tự động hóa triển khai cho
hàng loạt Computer thông qua các Group Policy của Active Directory
Domain (GPO)


Security cho các Computer có vai trò đặc biệt như thế nào.


Admin sẽ cài đặt những Ứng dụng và những dịch vụ phụ thuộc vào vai trò
của những Computer đó.




Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát



Như vậy những Computer đặc biệt này cần có những Security baseline
tương đối khác nhau để phù hợp với dịch vụ đang vận hành.


Ví dụ: Web server chạy dịch vụ Internet Information Services (IIS) cho
phép hàng ngàn truy cập mỗi ngày từ Internet với những mối nguy hiểm
luôn rình rập. Ngược lại thì một File server sẽ không chạy dịch vụ IIS và chỉ
có thể truy cập bởi những user trong mạng nội bộ . Thiết kế bảo mật cho
các Computer có vai trò đặc biệt đòi hỏi có kinh nghiệm và am hiểu chi tiết
về những ứng dụng và dịch vụ mà chúng đang vận hành. Ví dụ một
Windows 2000 administrator có thể không có những kiến thức để hiểu
được cách hoạt động của một database server như Microsoft SQL Server
2000, cho dù nó được cài đặ trên một Windows 2000.


Phải đảm bảo những cá nhân chịu trách nhiệm thiết kế bảo mật cho những
Server này có những hiểu biết cần thiết và kinh nghiệm đáp ứng được các
yêu cầu bảo mật cua tổ chức. Và cũng đảm bảo rằng tổ chức chúng ta có
những chính sách sẵn sàng, quản lý bảo mật cho các server ày khi chúng
thay đổi vai trò hoạt động. ví dụ File Server được triển khai lại thành một
Web server.


Những Phương pháp chung để áp dụng Security Updates (cập
nhật security)


Có thể dùng những phương pháp sau để tiến hành cập nhật security cho
các Computer trên Mạng.




Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát




Dùng tính năng Windows Update: Để scan Computer, đảm bảo rằng tất cả
security updates mới nhất, các thành phần liên quan đến Windows
(Windows components) , và các driver cho thiết bị đã được cài đặt. Để sử
dụng Windows Update phải là thành viên của nhóm Administrators. Nếu
phải scan nhiều máy trên Mạng từ một location, có thể sử dụng tool: MBSA
(Microsoft Baseline Security Analyzer) của hãng Shavlik, một partner của
Microsoft. Hoặc chuyên dụng hơn và cung cấp giải pháp scan bảo mật toàn
diện có thể dùng GFI Languard network security scanner của GFI, rất phổ
biến với Admin.
Office Update: Scan và cập nhật những secuirty mới nhất cho bộ sản phẩm
Microsoft Office. Vá lỗi cho các sản phẩm này cũng là một việc rất quan
trong mà các Security admin cần chú ý. Chỉ thành viên nhóm
Administrators mới đuợc dùng tính năng này
Dùng Group Policy: Nếu triển khai security updates cho hàng loạt các
Computer trong môi trường Active directory domain, các admin sẽ sử dụng
các chính sách của Domain hoặc GPO cho các OU trong Domain. Khi
dùng Group Policy, User không cần phải làm bất cứ động tác nào vì thông
qua Active Directory service, Group Policy có thể thực hiện hoàn toan 2 tự
động
Dùng dịch vụ Microsoft Windows Software Update Services (WSUS/SUS):
Server cài đặt dịch vụ này, được xem là trung tâm phân phối các security
updateas cho các Computer trên Mạng. Admin có thể cấu hình trên các
Computer để tự động download security updates hoặc lập lịch biểu
(scheduling) download từ WSUS server này


Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát



Dùng tính năng Feature Pack (Microsoft Systems Management Server
(SMS) Update Services Feature Pack) có trong dịch vu SMS: Bao gồm
Wizard hướng dẫn đóng gói các Security updates và triển khai chúng đến
các Computer thông qua kho lưu trữ Software Inventory.
New Horizons VietNam (New Horizons Computer Learning centers Viet
Nam)
Ho Viet Ha
Instructor Team Leader
Email: hvha@newhorizons.com.vn


-------------


(Security Article Series -Bài viết hướng dẫn cách thức để bảo vệ cho các
Computer của một tổ chức. Thích hợp cho những ai quan tâm đến Network
Security.)


Một trong những yếu tố quan tâm hàng đầu trong việc Thiết kế Security
một hệ thống thông tin đó là kiểm soát chặt chẽ tất cả Computer của tổ
chức. Vì chúng là nơi cất giữ tài sản thông tin có giá trị của tổ chức.
Attacker có thể trực tiếp tấn công thẳng vào Computer và lấy đi những dữ
liệu quý báu.




Việc xác định những mối đe dọa và những lỗ hỗng ở tất cả computer trong
tổ chức là điều thiết yếu và cấp bách (Quan tâm đến Security cho
Computer kể từ lúc mua, cho đến khi cất chúng vào kho - life Cycle)


Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát




Hầu hết các loại Computer nếu không có những kẽ hỡ thiếu an toàn về vật
lý, thì bản thân hệ điều hành cũng có thể phơi bày những tử huyệt, những
miếng mồi ngon cho attacker. Security Admin phải đảm bảo an toàn và cập
nhật đầy đủ các miếng vá lỗi và thiết lập hệ thống phòng thủ trong suốt quá
trình “sống” của Computer.




Xác định những rủi ro và những mối đe dọa Computer.




Bảo mật suốt chu kì “sống” của một computer:


Vòng đời của một computer trải qua những giai đoạn sau:


• Tiến hành cài đặt: Trong suốt quá trình tiến hành cài đặt Hệ điều hành và
Ứng dụng, sự xâm nhập của Virus, và những lỗi cấu hình có thể là nguy cơ
trực tiếp cho Computer. Chú ý setup password cho tài khỏan built-in
ADMINISTRATOR tại giai đoạn này theo đúng chính sách đặt password
của tổ chức. Chúng ta có thói quen không tốt ở giai đoạn này là set
password null (không đặt pssword) !




Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát




• Xác lập chính sách bảo mật chuẩn (baseline security) theo quy định an
toàn thông tin của tổ chức sau khi hoàn thành cài đặt mỗi Computer


• Bảo mật cho các Computer có vai trò đặc biệt. ví dụ Web server ,
Database Server. Căn cứ trên chính sách bảo mật chuẩn, các security
admin cần tăng cường hơn nữa các xác lập bảo mật đối với các Computer
đặc biệt này nhằm tạo một hệ thống được bảo vệ tối đa có thể đương đầu
với các kiểu tấn công đa dạng và phức tạp từ phía attackers.


• Cập nhật security cho tất cả ứng dụng phát sinh lỗi trên Computer (thông
thường sẽ update các Service packs, securiry updates..) Đây là điều bắt
buộc để nâng cao hơn nữa baseline security đã được thiết lập


• Tạm biệt Computer: Kết thúc vòng đời, giờ là lúc đem chiếc Computer này
vào kho làm kỉ niệm hoặc giải phong một nó cho một ai đó cũng cần phải
security, attacker có thể lấy những thông tin còn sót lại trên HDD, hoặc các
thiết bị Media khác để khai thác những thông tin còn sót lại này.


Tầm quan trọng của việc bảo mật cho Computer


Những cuộc tấn công từ bên ngoài:


Khi một admin cài đặt software trên một computer mới, một Virus có thể lây
nhiễm vào Computer trước khi Admin này cài service pack bảo vệ hệ
thống. Virus này sẽ khai thác lỗ hổng đã xác định, và cài tiếp vào hệ thống


Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát



một chú Trojan Horse (ví dụ như Bo 2k). Admin hoàn thành việc cài
software và đưa vào sử dụng mà không hề biết rằng Computer có thể đã
nằm trong tầm kiểm soát của một attacker ngoài hệ thống Mạng của tổ
chức !




Hiểm họa từ bên trong:




Admin chọn cách cài đặt cho các Computer của tổ chức là cài đặt từ xa và
không cần phải theo dõi trong suốt quá trình cài đặt (unattended
Installation) , cách cài đặt này nhanh chóng và tỏ ra rất “professional”.
Trong suốt quá trình cài đặt operating system qua Mạng này, tài khỏan
Local administrator của các máy được cài đặt được chuyển qua Mạng dưới
dạng Clear-text (không mã hóa). Một nhân viên có chút trình độ về hệ
thống và Network, thúc đẩy bởi những động cơ bất hợp pháp có thể cài các
công cụ nghe lén và thâu tóm thông tin chuyển đi trên Mạng, đặc biệt là
các Local Administrator Password (nếu admin Mạng đang tiến hành cài đặt
qua Mạng cho Computer của sếp và password chuyển qua Mạng dưới
dạng cleart-text thì nguy to…vì dữ liệu của các Manager rất important và
hầu hết có giá trị economic..). Đây là một trong rất, rất nhiều những nguy
cơ attack từ bên trong Mạng nội bộ.




Những mối đe dọa phổ biến:




Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát




Mặc dù những kĩ thuật bảo mật được trang bị trên các Computer, thế
nhưng rủi ro lại đến từ yếu tố con người và những kẽ hở trong quy trình làm
việc với Computer.


Ví dụ như attacker có thể lấy thông tin từ Đĩa cứng, hoặc truy cập vào máy
tính qua các ứng dụng (không cài đặt các bản vá lỗi), mà nhân viên sử
dụng, đặc biệt là những ứng dung connecting với Internet như Chat,
Internet Browser, E-mail…




Thiết kế Security cho các Computer




Những phương thức chung secure Computer


Tiến hành cài đặt an toàn ngay từ ban đầu cho Hệ điều hành và các Ứng
dụng theo hướg dẫn:


Thực thi các cấu hình bảo mật mặc định cho HDH và ứng dụng
Chỉ cài đặt những ứng dụng và dịch vụ cần thiết trên các Server (ví dụ:
nkhông cài lung tung các ứng dụng và triễn khai những dich vụ không cần
thiết trên Mail, Web server của tổ chức..)
Xác lập bảo vệ cho tất cả các tài khỏan mặc định của hệ thống (ví dụ: tài
khoản mặc định Administrator nên được rename vì tên này ai cũng biết, và


Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát



set password phức hợp, sẽ có tác dụng lớn để đối phó với attacker trong
những cuộc tấn công dạng Brute force password)
Những file cài đặt cho HDH và application phải an toàn, phải được xác
nhận (digitally sign) từ nhà cung cấp, có thể dùng nhiều utility để kiểm tra
vấn đề này , ví dụ Sign verification…
Tiến hành cài đặt phải là những Người có đủ độ tin cậy trong tổ chức.
Nên cô lập Mạng trong quá trình cài đặt . Tạo một Network riêng dành cho
việc cài đặt nếu phải cài đặt HDH, ứng dụng qua Mạng (ví dụ dùng dịch vụ
RIS của Microsoft..), điều này là thiết yếu và tăng sự an toàn, có thể chống
được sự lây nhiễm Virus từ bên ngoài hoặc các Built-in account như
Administrator được tạo ra qua Mạng từ các unattended installation scripts
không bị thâu tóm.. các CD cài đặt HDH, ứng dụng nên tích hợp đầy đủ các
Service packs, security updates (vá lỗi ngay trong quá trình cài đặt)




Làm thế nào để cấu hình các xác lập chuẩn bảo mật cho một tổ
chức (Security baseline)


Trước khi triển khai Computer cho tổ chức, cần xác định các security
baseline. Các security admin có thể triển khai những security baseline này
trong suốt quá trình cài đặt hoặc sau đó. Trên Microsoft Windows 2000 và
Microsoft Windows XP, các admin có thể taọ và triển khai các security
templates để đạt được những yêu cầu bảo mật cần thiết.




Tuân thủ những hướng dẫn sau để tạo security baseline cho


Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát



các Computer




Tạo một chính sách security baseline cho các Computer theo đúng những
quy định của tổ chức về an toàn thông tin phục vụ cho các quy trình nghiệp
vụ. Chính sách này phải đảm bảo an toàn cho Computer, HDH và các ứng
dụng nghiệp vụ…


Ví dụ: chính sách chỉ định rằng tất cả HDH trong tổ chức phải chống được
kiểu tấn công SYN-ACK (synchronize acknowledge) denial of service
(DoS) tấn công từ chối dịch vụ. Một chính sách tốt cũng hình dung được vai
trò của Computer cần bảo vệ..




2. Tạo sẵn các security templates mẫu, cho phép chỉnh sửa. Ví dụ để bảo
vệ HDH chống lại SYN-ACK attacks, có thể đơn giản thêm vào Registry
những giá trị mong muốn nhằm thay đổi cách thức vận hành của TCP/IP
stack trong giao tiếp Mạng với các Computer khác, như vậy có thể chống
được những cuộc tấn công kiểu này.




3. vận hành thử và Kiểm tra các security templates này. Mỗi security
template được triển khai sẽ không có các yếu tố gây cản trở HDH, các dich
vụ khác, hoặc xung đột với các ứng dụng




Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát



4. Triển khai các security templates cho Computer thông qua những công
cụ như command Secedit Group Policy, hoặc tự động hóa triển khai cho
hàng loạt Computer thông qua các Group Policy của Active Directory
Domain (GPO)


Security cho các Computer có vai trò đặc biệt như thế nào.


Admin sẽ cài đặt những Ứng dụng và những dịch vụ phụ thuộc vào vai trò
của những Computer đó.


Như vậy những Computer đặc biệt này cần có những Security baseline
tương đối khác nhau để phù hợp với dịch vụ đang vận hành.


Ví dụ: Web server chạy dịch vụ Internet Information Services (IIS) cho
phép hàng ngàn truy cập mỗi ngày từ Internet với những mối nguy hiểm
luôn rình rập. Ngược lại thì một File server sẽ không chạy dịch vụ IIS và chỉ
có thể truy cập bởi những user trong mạng nội bộ . Thiết kế bảo mật cho
các Computer có vai trò đặc biệt đòi hỏi có kinh nghiệm và am hiểu chi tiết
về những ứng dụng và dịch vụ mà chúng đang vận hành. Ví dụ một
Windows 2000 administrator có thể không có những kiến thức để hiểu
được cách hoạt động của một database server như Microsoft SQL Server
2000, cho dù nó được cài đặ trên một Windows 2000.


Phải đảm bảo những cá nhân chịu trách nhiệm thiết kế bảo mật cho những
Server này có những hiểu biết cần thiết và kinh nghiệm đáp ứng được các
yêu cầu bảo mật cua tổ chức. Và cũng đảm bảo rằng tổ chức chúng ta có


Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát



những chính sách sẵn sàng, quản lý bảo mật cho các server ày khi chúng
thay đổi vai trò hoạt động. ví dụ File Server được triển khai lại thành một
Web server.


Những Phương pháp chung để áp dụng Security Updates (cập
nhật security)


Có thể dùng những phương pháp sau để tiến hành cập nhật security cho
các Computer trên Mạng.




Dùng tính năng Windows Update: Để scan Computer, đảm bảo rằng tất cả
security updates mới nhất, các thành phần liên quan đến Windows
(Windows components) , và các driver cho thiết bị đã được cài đặt. Để sử
dụng Windows Update phải là thành viên của nhóm Administrators. Nếu
phải scan nhiều máy trên Mạng từ một location, có thể sử dụng tool: MBSA
(Microsoft Baseline Security Analyzer) của hãng Shavlik, một partner của
Microsoft. Hoặc chuyên dụng hơn và cung cấp giải pháp scan bảo mật toàn
diện có thể dùng GFI Languard network security scanner của GFI, rất phổ
biến với Admin.
Office Update: Scan và cập nhật những secuirty mới nhất cho bộ sản phẩm
Microsoft Office. Vá lỗi cho các sản phẩm này cũng là một việc rất quan
trong mà các Security admin cần chú ý. Chỉ thành viên nhóm
Administrators mới đuợc dùng tính năng này
Dùng Group Policy: Nếu triển khai security updates cho hàng loạt các


Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát



Computer trong môi trường Active directory domain, các admin sẽ sử dụng
các chính sách của Domain hoặc GPO cho các OU trong Domain. Khi
dùng Group Policy, User không cần phải làm bất cứ động tác nào vì thông
qua Active Directory service, Group Policy có thể thực hiện hoàn toan 2 tự
động
Dùng dịch vụ Microsoft Windows Software Update Services (WSUS/SUS):
Server cài đặt dịch vụ này, được xem là trung tâm phân phối các security
updateas cho các Computer trên Mạng. Admin có thể cấu hình trên các
Computer để tự động download security updates hoặc lập lịch biểu
(scheduling) download từ WSUS server này
Dùng tính năng Feature Pack (Microsoft Systems Management Server
(SMS) Update Services Feature Pack) có trong dịch vu SMS: Bao gồm
Wizard hướng dẫn đóng gói các Security updates và triển khai chúng đến
các Computer thông qua kho lưu trữ Software Inventory.
New Horizons VietNam (New Horizons Computer Learning centers Viet
Nam)
Ho Viet Ha
Instructor Team Leader
Email: hvha@newhorizons.com.vn




Chính sách an toàn Account cho Computer (Security Account
Policies )


Ở phần trước tôi đã giới thiệu những phương thức chung để bảo vệ máy
tính của một tổ chức. Phần tiếp theo này tôi sẽ trình bày những phương


Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát



thức cụ thể theo trình tự, từ quá trình setup hệ thống, vận hành hệ thống
dựa trên những chính sách an toàn từ basic cho đến những kĩ năng
advance mà các Security Admin cần quan tâm để áp dụng vào việc xây
dựng các quy trình an toàn thông tin cho tổ chức. Phần trình bày này tôi xin
đề cập đến vấn đề an ninh account (account security) và cách thức tạo
account an toàn nhằm đối phó với những kiểu tấn công rất phổ biến và hiệu
quả dưới sự trợ giúp của những công cụ phù thủy…


Chính sách về account và cách thức tạo account nghèo nàn là con đường
dễ dàng nhất cho attacker, như vậy những hình thức bảo mật khác được
áp dụng vào hệ thống như trang bị các công cụ chống maleware (prevent
virus, worm, spyware, ad-ware..), triển khai hệ thống phòng thủ Mạng
(Firewall) cũng sẽ không có tác dụng nào đáng kể, vì Admin quá thờ ơ
trong cách thức tạo account và đưa ra chính sách tạo account chứa đựng
nhiều rủi ro này.


Yêu cầu xác định các chính sách tạo password mạnh và đưa ra được chiến
lược an toàn account áp dụng vào an toàn thông tin của tổ chức là vấn đề
mang tính cấp bách.




A. Làm thế nào để tạo và quản lý Account an toàn


Những yếu tố dưới đây sẽ cho chúng ta thấy cách thức tạo và quản lý
Account sao cho an toàn




Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát



Account phải được bảo vệ bằng password phức hợp ( password length,
password complexity)
Chủ sở hữu account chỉ được cung cấp quyền hạn truy cập thông tin và
dịch vụ cần thiết (không thiếu quyền hạn mà cũng không thể để thừa)
Mã hóa account trong giao dịch trên Mạng (kể cả giao dịch trong Mạng nội
bộ)
Lưu trữ account an toàn ( nhất định database lưu giữ tai khoản phải được
đặt trên những hệ thống an toàn và được mã hóa)
Huấn luyện nhân viên, những người trực tiếp sử dụng Computer cách thức
bảo mật account tránh rò rĩ (attacker có thể lợi dụng mối quan hệ với nhân
viên hoặc giả danh bộ phận kĩ thuật hỗ trợ xử lí sự cố hệ thống từ xa để
khai thác ), hướng dẫn cách thức thay đổi password khi cần thiết và tránh
tuyệt đối việc ghi lại account trên các stick-notes rồi gián bừa bãi trên
Monitorhoặc Keyboard..), Khóa (lock) ngay Computer khi không sử dụng,
mặc định trên các máy tính thường cũng có chính sách tự động lock
computer sau môt thời gian không sử dụng, để giúp cho những nhân viên
hay quên tránh được lỗi bảo mật sơ đẳng (lỗi này giống như việc ra khỏi
nhà mà không khóa cửa)
Những người tạo và quản lý account (đặc biệt là những account hệ thống –
System accounts, và account vận hành, kiểm soát các dịch vụ - service
accounts) cho toàn bộ tổ chức là những người được xem là AN TOÀN
TUYỆT ĐỐI.
Disable những account tạm thời chưa sử dụng, delete những account
không còn sử dụng.
Tránh việc dùng chung Password cho nhiều account
Khóa (lock) account sau một số lần người sử dụng log-on không thành


Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát



công vào hệ thống.
Có thể không cho phép một số account quản trị hệ thống và dịch vụ, không
được log-on từ xa (remote location log-on), vì những hệ thống và dịch vụ
này rất quan trọng và thông thường chỉ cho phép được kiểm soát từ bên
trong (internal Network), nếu có nhu cầu quản trị và support từ xa Security
Admin vẫn dễ dàng thay đổi chính sách để đáp ứng nhu cầu.
Các Security admin khi log-on vào Server chỉ nên dùng account có quyền
hạn thấp, khi cần quản trị hay vận hành các dịch vụ, mới nên dùng account
System hoặc Service (ví dụ Microsoft Windows hỗ trợ command run as
thông qua run as service để cho phép độc lập quản trị các thành phần của
hệ thống, các dịch vụ mà không cần phải log-on vào máy ban đầu bằng
account admin). Điều này giúp chúng ta tránh được các chương trình nguy
hiểm đã lọt vào máy tính chạy với quyền admin, khi đó các admin thật sự
của Computer sẽ gặp nhiều rắc rối.
Vá tất cả những lỗ hỗng hệ thống để ngăn chặn các kiểu tấn công “đặc
quyền leo thang” (bắt đầu lọt vào hệ thống với account thông thường và
sau đó leo thang đến quyền cao nhất)
Trên đây là những phần trực quan nhất mà Admin Security cần hình dung
cụ thể khi thiết kế chính sách bảo mật account (account security policies).
Một trong những chính sách bảo vệ hệ thống cần phải xem xet kĩ lưỡng
nhất nhưng thông thường dễ lơ là thậm chí là coi nhẹ, mà sự thực hầu hết
các con đường xâm nhập vào hệ thống đều qua khai thác Credentials (có
được thông tin account), attacker nắm được vulnerabilities ( yếu điểm ) này,
nên lợi dụng khai thác rất hiệu quả.
B. Phân tích và thiết kế các chính sách an toàn cho account.




Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát



Phân tích những rủi ro và xác định các mối đe dọa đối với account:
Account cho một User sẽ xác định những hành động mà User đó có thể
thực hiện.
Việc phân loại account sẽ chỉ ra những cấp độ bảo vệ thích hợp khác nhau.


Các account trên hệ thống sẽ nhận được 2 loại quyền cơ bản:
User rights (Quyền hệ thống): Là loại đặc quyền mà User được hệ thống
cho phép thực thi những hành động đặc biệt (ví dụ: Quyền Backup Files Và
Folders, thay đổi thời gian hệ thống, shutdown hệ thống…)




Trên Windows các bạn có thể type command secpol.msc tại RUN, để open
Local Security Settings local policies User rights assignment là nơi xác lập
các User rights của hệ thống
Permissions (Quyền truy cập): Được kiểm soát bởi DACLs (Discretionary
access control lists) của hệ thống, được phép truy cập vào các File/Folder
hay Active Directory objects (trong Domain) (ví dụ User A được quyền
Read/Modify đối với Folder C:Data, User B được Full Control đối với OU
Business..)
Chú ý trong việc cấp phát Permission cho account, nên đưa account vào
Group để dễ kiểm soát, tránh việc phân quyền mang tính cá nhân cho một
account nào đó. Điều này tăng cường khả năng kiểm soát account, vì khi
số lượng account của hệ thống (Local hay Domain) tăng lên thì việc tổ
chức này tạo sự an toàn và dễ kiểm soát hơn.
Những kẽ hở từ Account có thể tạo cơ hội cho attacker:




Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát



Password:
Password quá yếu (độ dài password quá ngắn, các kí tự đơn giản, lấy ngày
tháng năm sinh, tên những bộ phim, địa danh, nhân vật nổi tiếng , đặt cho
password).
Dùng cùng password cho nhiều account. password được dán bừa bãi lên
Monitor/Keyboard, hoặc lưu password vào một text file không bảo vệ.
Chia sẽ password hệ thống của mình cho bạn đồng nghiệp…
Cấp phát đặc quyền:
Cấp phát đặc quyền Administrator cho các User.
Các services của hệ thống không dùng Service account.
Cấp phát User right không cần thiết cho account.
Việc sử dụng account:
Log-on vào máy với account Administrators khi thi hành những tác vụ thông
thường.
Tạo những User account cho phép quyền quản trị các tài khoản khác. Kích
hoạt những tài khoản không còn được sử dụng (ví dụ nhân viên đã nghỉ
việc, tài khỏan vẫn được lưu hành trên hệ thống..)
Thiết kế chính sách tạo Password đáp ứng bảo mật cho Account:
Chính sách tạo password sao cho an toàn thực sư là một trong những yếu
tố chính để bảo vệ tài khoản. Chính sách này bao gồm các yếu tố chính
như sau:
Thời gian tối đa sử dụng password (maximum password age): Hạn sử dụng
tối đa của password trước khi user phải thay đổi password. Thay đổi
password theo định kì sẽ giúp tăng cường an toàn cho tài khoản
Thời gian tối thiểu password phải được sử dụng trước khi có thể thay đổi
(minimum password age). Admin có thể thiết lập thờigian này khoảng vài


Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát



ngày, trước khi cho phép user thay đổi password của họ.
Thực thi password history: Số lần các password khác biệt nhau phải sử
dụng qua, trước khi quay lại dùng password cũ. Số Password history càng
cao thì độ an toàn càng lớn.
Chiều dài password tối thiểu (minimum password length) cần phải đặt.
Càng dài càng an toàn
Password phải đạt yêu cầu phức hợp: không chỉ về độ dài mà còn về độ
phức hợp của các kí tự đặt password (ví dụ bạn có thể thấy sự khác biệt
giữa password và P@ssW0rd)
Khi dùng password phức hợp cần quan tâm:
Không sử dụng họ và tên
Chứa ít nhất 6 kí tự
Có thể đan xen chữ hoa,(A..Z) thường (a..z), và các kí tự đặc biệt như: !
@#$%^&*()
Account lockout: Sẽ bị khóa tài khoản trong một thời gian nhất định, nếu
như sau một số lần log-on không thành công vào hệ thống. Mục đích của
chính sách này nhằm ngăn chặn các cuộc tấn công dạng brute force vào
account để dò password.
Trên đây là những vấn đề cốt lõi trong việc tạo và quản lý Account sao cho
an toàn, nhằm đáp ứng các yêu cầu khắt khe trong chính sách an toàn
thông tin của tổ chức và đối với các Security Admin thiết nghĩ vấn đề này
không nên chễnh mãng hoặc thờ ơ, vì đây là “ngõ vào” đầu tiên mà
attacker luôn ưu tiên trong việc thăm dò, khai thác yếu điểm của hệ thống.




Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải

Mais conteúdo relacionado

Destaque

MAIRA LIZBETH LINARES
MAIRA LIZBETH LINARESMAIRA LIZBETH LINARES
MAIRA LIZBETH LINARESklaumilenitha
 
Skype4 pyで遊んでみた
Skype4 pyで遊んでみたSkype4 pyで遊んでみた
Skype4 pyで遊んでみたDaijirou Yamada
 
Resume logiminco spm
Resume logiminco spmResume logiminco spm
Resume logiminco spmMiguel Reina
 
Bidang yang dinilai dlm skpm standars 1 dan 2
Bidang yang dinilai dlm skpm standars 1 dan 2Bidang yang dinilai dlm skpm standars 1 dan 2
Bidang yang dinilai dlm skpm standars 1 dan 2noraini hassan
 
Duality in AdS/CFT, Chicago 7 Nov. 2014
Duality in AdS/CFT, Chicago 7 Nov. 2014Duality in AdS/CFT, Chicago 7 Nov. 2014
Duality in AdS/CFT, Chicago 7 Nov. 2014Sebastian De Haro
 
Mobile Lessons From Around The World | Somo Webinar
Mobile Lessons From Around The World | Somo WebinarMobile Lessons From Around The World | Somo Webinar
Mobile Lessons From Around The World | Somo WebinarSomo
 
Quy dinh hoa chat qcvn de an moi truong chi tiet
Quy dinh hoa chat qcvn de an moi truong chi tietQuy dinh hoa chat qcvn de an moi truong chi tiet
Quy dinh hoa chat qcvn de an moi truong chi tietTư vấn môi trường
 

Destaque (11)

MAIRA LIZBETH LINARES
MAIRA LIZBETH LINARESMAIRA LIZBETH LINARES
MAIRA LIZBETH LINARES
 
Ledysgutierrez
LedysgutierrezLedysgutierrez
Ledysgutierrez
 
Skype4 pyで遊んでみた
Skype4 pyで遊んでみたSkype4 pyで遊んでみた
Skype4 pyで遊んでみた
 
Resume logiminco spm
Resume logiminco spmResume logiminco spm
Resume logiminco spm
 
Bidang yang dinilai dlm skpm standars 1 dan 2
Bidang yang dinilai dlm skpm standars 1 dan 2Bidang yang dinilai dlm skpm standars 1 dan 2
Bidang yang dinilai dlm skpm standars 1 dan 2
 
Yafo Flea Market
Yafo Flea MarketYafo Flea Market
Yafo Flea Market
 
Itethicreport
ItethicreportItethicreport
Itethicreport
 
Duality in AdS/CFT, Chicago 7 Nov. 2014
Duality in AdS/CFT, Chicago 7 Nov. 2014Duality in AdS/CFT, Chicago 7 Nov. 2014
Duality in AdS/CFT, Chicago 7 Nov. 2014
 
Hb Services .net ieee project 2015 - 16
Hb Services .net ieee project 2015 - 16Hb Services .net ieee project 2015 - 16
Hb Services .net ieee project 2015 - 16
 
Mobile Lessons From Around The World | Somo Webinar
Mobile Lessons From Around The World | Somo WebinarMobile Lessons From Around The World | Somo Webinar
Mobile Lessons From Around The World | Somo Webinar
 
Quy dinh hoa chat qcvn de an moi truong chi tiet
Quy dinh hoa chat qcvn de an moi truong chi tietQuy dinh hoa chat qcvn de an moi truong chi tiet
Quy dinh hoa chat qcvn de an moi truong chi tiet
 

Semelhante a Bao mat cho cac may tinh cua to chuc

Vu tuananh
Vu tuananhVu tuananh
Vu tuananhVũ Anh
 
SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2Con Ranh
 
SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1Con Ranh
 
Mạng máy tính nâng cao
Mạng máy tính nâng caoMạng máy tính nâng cao
Mạng máy tính nâng caossuserd16c49
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananhVũ Anh
 
Báo cáo lần 1
Báo cáo lần 1Báo cáo lần 1
Báo cáo lần 1Anhh Hữu
 
Bao caothuctap
Bao caothuctapBao caothuctap
Bao caothuctapLong Prồ
 
Rà soát Malware bằng SysInternal Suite
Rà soát Malware bằng SysInternal SuiteRà soát Malware bằng SysInternal Suite
Rà soát Malware bằng SysInternal SuitePhạm Trung Đức
 
Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)An Pham
 
Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)An Pham
 
Báo cáo thực tập
Báo cáo thực tậpBáo cáo thực tập
Báo cáo thực tậpTrần Hiệu
 
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPTBài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPTMasterCode.vn
 
Tuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hackingTuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hackingv7q3t
 
Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...
Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...
Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...Thịt Xốt Cà Chua
 
Báo Cáo Thự Tập ISA Server 2006
Báo Cáo Thự Tập ISA Server 2006Báo Cáo Thự Tập ISA Server 2006
Báo Cáo Thự Tập ISA Server 2006xeroxk
 
Báo cáo thực tập
Báo cáo thực tậpBáo cáo thực tập
Báo cáo thực tậpTrần Hiệu
 
Part 16 sercurity template - audit -www.key4_vip.info
Part 16   sercurity template - audit -www.key4_vip.infoPart 16   sercurity template - audit -www.key4_vip.info
Part 16 sercurity template - audit -www.key4_vip.infolaonap166
 
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh QuýTổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh QuýQuý Đồng Nast
 

Semelhante a Bao mat cho cac may tinh cua to chuc (20)

Vu tuananh
Vu tuananhVu tuananh
Vu tuananh
 
SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2
 
SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1
 
Mạng máy tính nâng cao
Mạng máy tính nâng caoMạng máy tính nâng cao
Mạng máy tính nâng cao
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananh
 
Phan1.3
Phan1.3Phan1.3
Phan1.3
 
Báo cáo lần 1
Báo cáo lần 1Báo cáo lần 1
Báo cáo lần 1
 
Bao caothuctap
Bao caothuctapBao caothuctap
Bao caothuctap
 
Rà soát Malware bằng SysInternal Suite
Rà soát Malware bằng SysInternal SuiteRà soát Malware bằng SysInternal Suite
Rà soát Malware bằng SysInternal Suite
 
Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)
 
Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)
 
Báo cáo thực tập
Báo cáo thực tậpBáo cáo thực tập
Báo cáo thực tập
 
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPTBài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
 
Tuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hackingTuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hacking
 
Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...
Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...
Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng ...
 
Báo Cáo Thự Tập ISA Server 2006
Báo Cáo Thự Tập ISA Server 2006Báo Cáo Thự Tập ISA Server 2006
Báo Cáo Thự Tập ISA Server 2006
 
Chuyên đề group policy
Chuyên đề group policyChuyên đề group policy
Chuyên đề group policy
 
Báo cáo thực tập
Báo cáo thực tậpBáo cáo thực tập
Báo cáo thực tập
 
Part 16 sercurity template - audit -www.key4_vip.info
Part 16   sercurity template - audit -www.key4_vip.infoPart 16   sercurity template - audit -www.key4_vip.info
Part 16 sercurity template - audit -www.key4_vip.info
 
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh QuýTổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
 

Mais de Tư vấn môi trường

de an moi truong chi tiet_Quy dinh hoa_chat
de an moi truong chi tiet_Quy dinh hoa_chatde an moi truong chi tiet_Quy dinh hoa_chat
de an moi truong chi tiet_Quy dinh hoa_chatTư vấn môi trường
 
Hop dong tham tra tktc cong ty moi truong, de an bao ve moi truong
Hop dong tham tra tktc cong ty moi truong, de an bao ve moi truongHop dong tham tra tktc cong ty moi truong, de an bao ve moi truong
Hop dong tham tra tktc cong ty moi truong, de an bao ve moi truongTư vấn môi trường
 
Quy dinh danh gia tac dong moi truong chien luoc 26 2011-tt-btnmt
Quy dinh danh gia tac dong moi truong chien luoc 26 2011-tt-btnmtQuy dinh danh gia tac dong moi truong chien luoc 26 2011-tt-btnmt
Quy dinh danh gia tac dong moi truong chien luoc 26 2011-tt-btnmtTư vấn môi trường
 
Xu ly khi thai khong khi tu cong nghiep san xuat giay 1
Xu ly khi thai khong khi tu cong nghiep san xuat giay 1Xu ly khi thai khong khi tu cong nghiep san xuat giay 1
Xu ly khi thai khong khi tu cong nghiep san xuat giay 1Tư vấn môi trường
 
Xử lý nước cấp [cong ty moi truong]
Xử lý nước cấp [cong ty moi truong]Xử lý nước cấp [cong ty moi truong]
Xử lý nước cấp [cong ty moi truong]Tư vấn môi trường
 
Cong ty-moi-truong-xu ly khi thai khong khi tu cong nghiep san xuat giay
Cong ty-moi-truong-xu ly khi thai khong khi tu cong nghiep san xuat giayCong ty-moi-truong-xu ly khi thai khong khi tu cong nghiep san xuat giay
Cong ty-moi-truong-xu ly khi thai khong khi tu cong nghiep san xuat giayTư vấn môi trường
 
tintucmoitruong.com - huong dan su dung kloxo
tintucmoitruong.com - huong dan su dung kloxotintucmoitruong.com - huong dan su dung kloxo
tintucmoitruong.com - huong dan su dung kloxoTư vấn môi trường
 

Mais de Tư vấn môi trường (20)

Giao trinh quan trac moi truong chuong 1
Giao trinh quan trac moi truong   chuong 1Giao trinh quan trac moi truong   chuong 1
Giao trinh quan trac moi truong chuong 1
 
Hop dong tham tra tktc
Hop dong tham tra tktcHop dong tham tra tktc
Hop dong tham tra tktc
 
Mau ho so moi thau xay lap
Mau ho so moi thau xay lapMau ho so moi thau xay lap
Mau ho so moi thau xay lap
 
de an moi truong chi tiet_Quy dinh hoa_chat
de an moi truong chi tiet_Quy dinh hoa_chatde an moi truong chi tiet_Quy dinh hoa_chat
de an moi truong chi tiet_Quy dinh hoa_chat
 
Environmental studies[cong ty moi truong]
Environmental studies[cong ty moi truong]Environmental studies[cong ty moi truong]
Environmental studies[cong ty moi truong]
 
Hop dong tham tra tktc cong ty moi truong, de an bao ve moi truong
Hop dong tham tra tktc cong ty moi truong, de an bao ve moi truongHop dong tham tra tktc cong ty moi truong, de an bao ve moi truong
Hop dong tham tra tktc cong ty moi truong, de an bao ve moi truong
 
Giaotrinhquantrac congtymoitruong
Giaotrinhquantrac congtymoitruongGiaotrinhquantrac congtymoitruong
Giaotrinhquantrac congtymoitruong
 
Quy dinh danh gia tac dong moi truong chien luoc 26 2011-tt-btnmt
Quy dinh danh gia tac dong moi truong chien luoc 26 2011-tt-btnmtQuy dinh danh gia tac dong moi truong chien luoc 26 2011-tt-btnmt
Quy dinh danh gia tac dong moi truong chien luoc 26 2011-tt-btnmt
 
Mau bao cao giam sat, cong ty moi truong
Mau bao cao giam sat, cong ty moi truongMau bao cao giam sat, cong ty moi truong
Mau bao cao giam sat, cong ty moi truong
 
Công trình xử lý nước thải
Công  trình xử lý nước thảiCông  trình xử lý nước thải
Công trình xử lý nước thải
 
Xu ly khi thai khong khi tu cong nghiep san xuat giay 1
Xu ly khi thai khong khi tu cong nghiep san xuat giay 1Xu ly khi thai khong khi tu cong nghiep san xuat giay 1
Xu ly khi thai khong khi tu cong nghiep san xuat giay 1
 
Xử lý nước cấp [cong ty moi truong]
Xử lý nước cấp [cong ty moi truong]Xử lý nước cấp [cong ty moi truong]
Xử lý nước cấp [cong ty moi truong]
 
Cong ty-moi-truong-xu ly nuoc cap q2
Cong ty-moi-truong-xu ly nuoc cap q2Cong ty-moi-truong-xu ly nuoc cap q2
Cong ty-moi-truong-xu ly nuoc cap q2
 
Cong ty-moi-truong-xu ly khi thai khong khi tu cong nghiep san xuat giay
Cong ty-moi-truong-xu ly khi thai khong khi tu cong nghiep san xuat giayCong ty-moi-truong-xu ly khi thai khong khi tu cong nghiep san xuat giay
Cong ty-moi-truong-xu ly khi thai khong khi tu cong nghiep san xuat giay
 
cong ty moi truong - dich vu moi truong
cong ty moi truong - dich vu moi truongcong ty moi truong - dich vu moi truong
cong ty moi truong - dich vu moi truong
 
tintucmoitruong.com - huong dan su dung kloxo
tintucmoitruong.com - huong dan su dung kloxotintucmoitruong.com - huong dan su dung kloxo
tintucmoitruong.com - huong dan su dung kloxo
 
moi truong cao nguyen xanh
moi truong cao nguyen xanhmoi truong cao nguyen xanh
moi truong cao nguyen xanh
 
Môi trường là gì
Môi trường là gìMôi trường là gì
Môi trường là gì
 
Môi trường là gì
Môi trường là gìMôi trường là gì
Môi trường là gì
 
Moi truong
Moi truongMoi truong
Moi truong
 

Bao mat cho cac may tinh cua to chuc

  • 1. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát Bảo mật cho các máy tính của một tổ chức (Security Article Series -Bài viết hướng dẫn cách thức để bảo vệ cho các Computer của một tổ chức. Thích hợp cho những ai quan tâm đến Network Security.) Một trong những yếu tố quan tâm hàng đầu trong việc Thiết kế Security một hệ thống thông tin đó là kiểm soát chặt chẽ tất cả Computer của tổ chức. Vì chúng là nơi cất giữ tài sản thông tin có giá trị của tổ chức. Attacker có thể trực tiếp tấn công thẳng vào Computer và lấy đi những dữ liệu quý báu. Việc xác định những mối đe dọa và những lỗ hỗng ở tất cả computer trong tổ chức là điều thiết yếu và cấp bách (Quan tâm đến Security cho Computer kể từ lúc mua, cho đến khi cất chúng vào kho - life Cycle) Hầu hết các loại Computer nếu không có những kẽ hỡ thiếu an toàn về vật lý, thì bản thân hệ điều hành cũng có thể phơi bày những tử huyệt, những miếng mồi ngon cho attacker. Security Admin phải đảm bảo an toàn và cập nhật đầy đủ các miếng vá lỗi và thiết lập hệ thống phòng thủ trong suốt quá trình “sống” của Computer. Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
  • 2. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát Xác định những rủi ro và những mối đe dọa Computer. Bảo mật suốt chu kì “sống” của một computer: Vòng đời của một computer trải qua những giai đoạn sau: • Tiến hành cài đặt: Trong suốt quá trình tiến hành cài đặt Hệ điều hành và Ứng dụng, sự xâm nhập của Virus, và những lỗi cấu hình có thể là nguy cơ trực tiếp cho Computer. Chú ý setup password cho tài khỏan built-in ADMINISTRATOR tại giai đoạn này theo đúng chính sách đặt password của tổ chức. Chúng ta có thói quen không tốt ở giai đoạn này là set password null (không đặt pssword) ! • Xác lập chính sách bảo mật chuẩn (baseline security) theo quy định an toàn thông tin của tổ chức sau khi hoàn thành cài đặt mỗi Computer • Bảo mật cho các Computer có vai trò đặc biệt. ví dụ Web server , Database Server. Căn cứ trên chính sách bảo mật chuẩn, các security admin cần tăng cường hơn nữa các xác lập bảo mật đối với các Computer đặc biệt này nhằm tạo một hệ thống được bảo vệ tối đa có thể đương đầu với các kiểu tấn công đa dạng và phức tạp từ phía attackers. Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
  • 3. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát • Cập nhật security cho tất cả ứng dụng phát sinh lỗi trên Computer (thông thường sẽ update các Service packs, securiry updates..) Đây là điều bắt buộc để nâng cao hơn nữa baseline security đã được thiết lập • Tạm biệt Computer: Kết thúc vòng đời, giờ là lúc đem chiếc Computer này vào kho làm kỉ niệm hoặc giải phong một nó cho một ai đó cũng cần phải security, attacker có thể lấy những thông tin còn sót lại trên HDD, hoặc các thiết bị Media khác để khai thác những thông tin còn sót lại này. Tầm quan trọng của việc bảo mật cho Computer Những cuộc tấn công từ bên ngoài: Khi một admin cài đặt software trên một computer mới, một Virus có thể lây nhiễm vào Computer trước khi Admin này cài service pack bảo vệ hệ thống. Virus này sẽ khai thác lỗ hổng đã xác định, và cài tiếp vào hệ thống một chú Trojan Horse (ví dụ như Bo 2k). Admin hoàn thành việc cài software và đưa vào sử dụng mà không hề biết rằng Computer có thể đã nằm trong tầm kiểm soát của một attacker ngoài hệ thống Mạng của tổ chức ! Hiểm họa từ bên trong: Admin chọn cách cài đặt cho các Computer của tổ chức là cài đặt từ xa và Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
  • 4. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát không cần phải theo dõi trong suốt quá trình cài đặt (unattended Installation) , cách cài đặt này nhanh chóng và tỏ ra rất “professional”. Trong suốt quá trình cài đặt operating system qua Mạng này, tài khỏan Local administrator của các máy được cài đặt được chuyển qua Mạng dưới dạng Clear-text (không mã hóa). Một nhân viên có chút trình độ về hệ thống và Network, thúc đẩy bởi những động cơ bất hợp pháp có thể cài các công cụ nghe lén và thâu tóm thông tin chuyển đi trên Mạng, đặc biệt là các Local Administrator Password (nếu admin Mạng đang tiến hành cài đặt qua Mạng cho Computer của sếp và password chuyển qua Mạng dưới dạng cleart-text thì nguy to…vì dữ liệu của các Manager rất important và hầu hết có giá trị economic..). Đây là một trong rất, rất nhiều những nguy cơ attack từ bên trong Mạng nội bộ. Những mối đe dọa phổ biến: Mặc dù những kĩ thuật bảo mật được trang bị trên các Computer, thế nhưng rủi ro lại đến từ yếu tố con người và những kẽ hở trong quy trình làm việc với Computer. Ví dụ như attacker có thể lấy thông tin từ Đĩa cứng, hoặc truy cập vào máy tính qua các ứng dụng (không cài đặt các bản vá lỗi), mà nhân viên sử dụng, đặc biệt là những ứng dung connecting với Internet như Chat, Internet Browser, E-mail… Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
  • 5. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát Thiết kế Security cho các Computer Những phương thức chung secure Computer Tiến hành cài đặt an toàn ngay từ ban đầu cho Hệ điều hành và các Ứng dụng theo hướg dẫn: Thực thi các cấu hình bảo mật mặc định cho HDH và ứng dụng Chỉ cài đặt những ứng dụng và dịch vụ cần thiết trên các Server (ví dụ: nkhông cài lung tung các ứng dụng và triễn khai những dich vụ không cần thiết trên Mail, Web server của tổ chức..) Xác lập bảo vệ cho tất cả các tài khỏan mặc định của hệ thống (ví dụ: tài khoản mặc định Administrator nên được rename vì tên này ai cũng biết, và set password phức hợp, sẽ có tác dụng lớn để đối phó với attacker trong những cuộc tấn công dạng Brute force password) Những file cài đặt cho HDH và application phải an toàn, phải được xác nhận (digitally sign) từ nhà cung cấp, có thể dùng nhiều utility để kiểm tra vấn đề này , ví dụ Sign verification… Tiến hành cài đặt phải là những Người có đủ độ tin cậy trong tổ chức. Nên cô lập Mạng trong quá trình cài đặt . Tạo một Network riêng dành cho việc cài đặt nếu phải cài đặt HDH, ứng dụng qua Mạng (ví dụ dùng dịch vụ RIS của Microsoft..), điều này là thiết yếu và tăng sự an toàn, có thể chống được sự lây nhiễm Virus từ bên ngoài hoặc các Built-in account như Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
  • 6. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát Administrator được tạo ra qua Mạng từ các unattended installation scripts không bị thâu tóm.. các CD cài đặt HDH, ứng dụng nên tích hợp đầy đủ các Service packs, security updates (vá lỗi ngay trong quá trình cài đặt) Làm thế nào để cấu hình các xác lập chuẩn bảo mật cho một tổ chức (Security baseline) Trước khi triển khai Computer cho tổ chức, cần xác định các security baseline. Các security admin có thể triển khai những security baseline này trong suốt quá trình cài đặt hoặc sau đó. Trên Microsoft Windows 2000 và Microsoft Windows XP, các admin có thể taọ và triển khai các security templates để đạt được những yêu cầu bảo mật cần thiết. Tuân thủ những hướng dẫn sau để tạo security baseline cho các Computer Tạo một chính sách security baseline cho các Computer theo đúng những quy định của tổ chức về an toàn thông tin phục vụ cho các quy trình nghiệp vụ. Chính sách này phải đảm bảo an toàn cho Computer, HDH và các ứng dụng nghiệp vụ… Ví dụ: chính sách chỉ định rằng tất cả HDH trong tổ chức phải chống được kiểu tấn công SYN-ACK (synchronize acknowledge) denial of service Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
  • 7. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát (DoS) tấn công từ chối dịch vụ. Một chính sách tốt cũng hình dung được vai trò của Computer cần bảo vệ.. 2. Tạo sẵn các security templates mẫu, cho phép chỉnh sửa. Ví dụ để bảo vệ HDH chống lại SYN-ACK attacks, có thể đơn giản thêm vào Registry những giá trị mong muốn nhằm thay đổi cách thức vận hành của TCP/IP stack trong giao tiếp Mạng với các Computer khác, như vậy có thể chống được những cuộc tấn công kiểu này. 3. vận hành thử và Kiểm tra các security templates này. Mỗi security template được triển khai sẽ không có các yếu tố gây cản trở HDH, các dich vụ khác, hoặc xung đột với các ứng dụng 4. Triển khai các security templates cho Computer thông qua những công cụ như command Secedit Group Policy, hoặc tự động hóa triển khai cho hàng loạt Computer thông qua các Group Policy của Active Directory Domain (GPO) Security cho các Computer có vai trò đặc biệt như thế nào. Admin sẽ cài đặt những Ứng dụng và những dịch vụ phụ thuộc vào vai trò của những Computer đó. Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
  • 8. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát Như vậy những Computer đặc biệt này cần có những Security baseline tương đối khác nhau để phù hợp với dịch vụ đang vận hành. Ví dụ: Web server chạy dịch vụ Internet Information Services (IIS) cho phép hàng ngàn truy cập mỗi ngày từ Internet với những mối nguy hiểm luôn rình rập. Ngược lại thì một File server sẽ không chạy dịch vụ IIS và chỉ có thể truy cập bởi những user trong mạng nội bộ . Thiết kế bảo mật cho các Computer có vai trò đặc biệt đòi hỏi có kinh nghiệm và am hiểu chi tiết về những ứng dụng và dịch vụ mà chúng đang vận hành. Ví dụ một Windows 2000 administrator có thể không có những kiến thức để hiểu được cách hoạt động của một database server như Microsoft SQL Server 2000, cho dù nó được cài đặ trên một Windows 2000. Phải đảm bảo những cá nhân chịu trách nhiệm thiết kế bảo mật cho những Server này có những hiểu biết cần thiết và kinh nghiệm đáp ứng được các yêu cầu bảo mật cua tổ chức. Và cũng đảm bảo rằng tổ chức chúng ta có những chính sách sẵn sàng, quản lý bảo mật cho các server ày khi chúng thay đổi vai trò hoạt động. ví dụ File Server được triển khai lại thành một Web server. Những Phương pháp chung để áp dụng Security Updates (cập nhật security) Có thể dùng những phương pháp sau để tiến hành cập nhật security cho các Computer trên Mạng. Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
  • 9. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát Dùng tính năng Windows Update: Để scan Computer, đảm bảo rằng tất cả security updates mới nhất, các thành phần liên quan đến Windows (Windows components) , và các driver cho thiết bị đã được cài đặt. Để sử dụng Windows Update phải là thành viên của nhóm Administrators. Nếu phải scan nhiều máy trên Mạng từ một location, có thể sử dụng tool: MBSA (Microsoft Baseline Security Analyzer) của hãng Shavlik, một partner của Microsoft. Hoặc chuyên dụng hơn và cung cấp giải pháp scan bảo mật toàn diện có thể dùng GFI Languard network security scanner của GFI, rất phổ biến với Admin. Office Update: Scan và cập nhật những secuirty mới nhất cho bộ sản phẩm Microsoft Office. Vá lỗi cho các sản phẩm này cũng là một việc rất quan trong mà các Security admin cần chú ý. Chỉ thành viên nhóm Administrators mới đuợc dùng tính năng này Dùng Group Policy: Nếu triển khai security updates cho hàng loạt các Computer trong môi trường Active directory domain, các admin sẽ sử dụng các chính sách của Domain hoặc GPO cho các OU trong Domain. Khi dùng Group Policy, User không cần phải làm bất cứ động tác nào vì thông qua Active Directory service, Group Policy có thể thực hiện hoàn toan 2 tự động Dùng dịch vụ Microsoft Windows Software Update Services (WSUS/SUS): Server cài đặt dịch vụ này, được xem là trung tâm phân phối các security updateas cho các Computer trên Mạng. Admin có thể cấu hình trên các Computer để tự động download security updates hoặc lập lịch biểu (scheduling) download từ WSUS server này Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
  • 10. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát Dùng tính năng Feature Pack (Microsoft Systems Management Server (SMS) Update Services Feature Pack) có trong dịch vu SMS: Bao gồm Wizard hướng dẫn đóng gói các Security updates và triển khai chúng đến các Computer thông qua kho lưu trữ Software Inventory. New Horizons VietNam (New Horizons Computer Learning centers Viet Nam) Ho Viet Ha Instructor Team Leader Email: hvha@newhorizons.com.vn ------------- (Security Article Series -Bài viết hướng dẫn cách thức để bảo vệ cho các Computer của một tổ chức. Thích hợp cho những ai quan tâm đến Network Security.) Một trong những yếu tố quan tâm hàng đầu trong việc Thiết kế Security một hệ thống thông tin đó là kiểm soát chặt chẽ tất cả Computer của tổ chức. Vì chúng là nơi cất giữ tài sản thông tin có giá trị của tổ chức. Attacker có thể trực tiếp tấn công thẳng vào Computer và lấy đi những dữ liệu quý báu. Việc xác định những mối đe dọa và những lỗ hỗng ở tất cả computer trong tổ chức là điều thiết yếu và cấp bách (Quan tâm đến Security cho Computer kể từ lúc mua, cho đến khi cất chúng vào kho - life Cycle) Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
  • 11. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát Hầu hết các loại Computer nếu không có những kẽ hỡ thiếu an toàn về vật lý, thì bản thân hệ điều hành cũng có thể phơi bày những tử huyệt, những miếng mồi ngon cho attacker. Security Admin phải đảm bảo an toàn và cập nhật đầy đủ các miếng vá lỗi và thiết lập hệ thống phòng thủ trong suốt quá trình “sống” của Computer. Xác định những rủi ro và những mối đe dọa Computer. Bảo mật suốt chu kì “sống” của một computer: Vòng đời của một computer trải qua những giai đoạn sau: • Tiến hành cài đặt: Trong suốt quá trình tiến hành cài đặt Hệ điều hành và Ứng dụng, sự xâm nhập của Virus, và những lỗi cấu hình có thể là nguy cơ trực tiếp cho Computer. Chú ý setup password cho tài khỏan built-in ADMINISTRATOR tại giai đoạn này theo đúng chính sách đặt password của tổ chức. Chúng ta có thói quen không tốt ở giai đoạn này là set password null (không đặt pssword) ! Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
  • 12. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát • Xác lập chính sách bảo mật chuẩn (baseline security) theo quy định an toàn thông tin của tổ chức sau khi hoàn thành cài đặt mỗi Computer • Bảo mật cho các Computer có vai trò đặc biệt. ví dụ Web server , Database Server. Căn cứ trên chính sách bảo mật chuẩn, các security admin cần tăng cường hơn nữa các xác lập bảo mật đối với các Computer đặc biệt này nhằm tạo một hệ thống được bảo vệ tối đa có thể đương đầu với các kiểu tấn công đa dạng và phức tạp từ phía attackers. • Cập nhật security cho tất cả ứng dụng phát sinh lỗi trên Computer (thông thường sẽ update các Service packs, securiry updates..) Đây là điều bắt buộc để nâng cao hơn nữa baseline security đã được thiết lập • Tạm biệt Computer: Kết thúc vòng đời, giờ là lúc đem chiếc Computer này vào kho làm kỉ niệm hoặc giải phong một nó cho một ai đó cũng cần phải security, attacker có thể lấy những thông tin còn sót lại trên HDD, hoặc các thiết bị Media khác để khai thác những thông tin còn sót lại này. Tầm quan trọng của việc bảo mật cho Computer Những cuộc tấn công từ bên ngoài: Khi một admin cài đặt software trên một computer mới, một Virus có thể lây nhiễm vào Computer trước khi Admin này cài service pack bảo vệ hệ thống. Virus này sẽ khai thác lỗ hổng đã xác định, và cài tiếp vào hệ thống Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
  • 13. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát một chú Trojan Horse (ví dụ như Bo 2k). Admin hoàn thành việc cài software và đưa vào sử dụng mà không hề biết rằng Computer có thể đã nằm trong tầm kiểm soát của một attacker ngoài hệ thống Mạng của tổ chức ! Hiểm họa từ bên trong: Admin chọn cách cài đặt cho các Computer của tổ chức là cài đặt từ xa và không cần phải theo dõi trong suốt quá trình cài đặt (unattended Installation) , cách cài đặt này nhanh chóng và tỏ ra rất “professional”. Trong suốt quá trình cài đặt operating system qua Mạng này, tài khỏan Local administrator của các máy được cài đặt được chuyển qua Mạng dưới dạng Clear-text (không mã hóa). Một nhân viên có chút trình độ về hệ thống và Network, thúc đẩy bởi những động cơ bất hợp pháp có thể cài các công cụ nghe lén và thâu tóm thông tin chuyển đi trên Mạng, đặc biệt là các Local Administrator Password (nếu admin Mạng đang tiến hành cài đặt qua Mạng cho Computer của sếp và password chuyển qua Mạng dưới dạng cleart-text thì nguy to…vì dữ liệu của các Manager rất important và hầu hết có giá trị economic..). Đây là một trong rất, rất nhiều những nguy cơ attack từ bên trong Mạng nội bộ. Những mối đe dọa phổ biến: Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
  • 14. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát Mặc dù những kĩ thuật bảo mật được trang bị trên các Computer, thế nhưng rủi ro lại đến từ yếu tố con người và những kẽ hở trong quy trình làm việc với Computer. Ví dụ như attacker có thể lấy thông tin từ Đĩa cứng, hoặc truy cập vào máy tính qua các ứng dụng (không cài đặt các bản vá lỗi), mà nhân viên sử dụng, đặc biệt là những ứng dung connecting với Internet như Chat, Internet Browser, E-mail… Thiết kế Security cho các Computer Những phương thức chung secure Computer Tiến hành cài đặt an toàn ngay từ ban đầu cho Hệ điều hành và các Ứng dụng theo hướg dẫn: Thực thi các cấu hình bảo mật mặc định cho HDH và ứng dụng Chỉ cài đặt những ứng dụng và dịch vụ cần thiết trên các Server (ví dụ: nkhông cài lung tung các ứng dụng và triễn khai những dich vụ không cần thiết trên Mail, Web server của tổ chức..) Xác lập bảo vệ cho tất cả các tài khỏan mặc định của hệ thống (ví dụ: tài khoản mặc định Administrator nên được rename vì tên này ai cũng biết, và Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
  • 15. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát set password phức hợp, sẽ có tác dụng lớn để đối phó với attacker trong những cuộc tấn công dạng Brute force password) Những file cài đặt cho HDH và application phải an toàn, phải được xác nhận (digitally sign) từ nhà cung cấp, có thể dùng nhiều utility để kiểm tra vấn đề này , ví dụ Sign verification… Tiến hành cài đặt phải là những Người có đủ độ tin cậy trong tổ chức. Nên cô lập Mạng trong quá trình cài đặt . Tạo một Network riêng dành cho việc cài đặt nếu phải cài đặt HDH, ứng dụng qua Mạng (ví dụ dùng dịch vụ RIS của Microsoft..), điều này là thiết yếu và tăng sự an toàn, có thể chống được sự lây nhiễm Virus từ bên ngoài hoặc các Built-in account như Administrator được tạo ra qua Mạng từ các unattended installation scripts không bị thâu tóm.. các CD cài đặt HDH, ứng dụng nên tích hợp đầy đủ các Service packs, security updates (vá lỗi ngay trong quá trình cài đặt) Làm thế nào để cấu hình các xác lập chuẩn bảo mật cho một tổ chức (Security baseline) Trước khi triển khai Computer cho tổ chức, cần xác định các security baseline. Các security admin có thể triển khai những security baseline này trong suốt quá trình cài đặt hoặc sau đó. Trên Microsoft Windows 2000 và Microsoft Windows XP, các admin có thể taọ và triển khai các security templates để đạt được những yêu cầu bảo mật cần thiết. Tuân thủ những hướng dẫn sau để tạo security baseline cho Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
  • 16. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát các Computer Tạo một chính sách security baseline cho các Computer theo đúng những quy định của tổ chức về an toàn thông tin phục vụ cho các quy trình nghiệp vụ. Chính sách này phải đảm bảo an toàn cho Computer, HDH và các ứng dụng nghiệp vụ… Ví dụ: chính sách chỉ định rằng tất cả HDH trong tổ chức phải chống được kiểu tấn công SYN-ACK (synchronize acknowledge) denial of service (DoS) tấn công từ chối dịch vụ. Một chính sách tốt cũng hình dung được vai trò của Computer cần bảo vệ.. 2. Tạo sẵn các security templates mẫu, cho phép chỉnh sửa. Ví dụ để bảo vệ HDH chống lại SYN-ACK attacks, có thể đơn giản thêm vào Registry những giá trị mong muốn nhằm thay đổi cách thức vận hành của TCP/IP stack trong giao tiếp Mạng với các Computer khác, như vậy có thể chống được những cuộc tấn công kiểu này. 3. vận hành thử và Kiểm tra các security templates này. Mỗi security template được triển khai sẽ không có các yếu tố gây cản trở HDH, các dich vụ khác, hoặc xung đột với các ứng dụng Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
  • 17. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát 4. Triển khai các security templates cho Computer thông qua những công cụ như command Secedit Group Policy, hoặc tự động hóa triển khai cho hàng loạt Computer thông qua các Group Policy của Active Directory Domain (GPO) Security cho các Computer có vai trò đặc biệt như thế nào. Admin sẽ cài đặt những Ứng dụng và những dịch vụ phụ thuộc vào vai trò của những Computer đó. Như vậy những Computer đặc biệt này cần có những Security baseline tương đối khác nhau để phù hợp với dịch vụ đang vận hành. Ví dụ: Web server chạy dịch vụ Internet Information Services (IIS) cho phép hàng ngàn truy cập mỗi ngày từ Internet với những mối nguy hiểm luôn rình rập. Ngược lại thì một File server sẽ không chạy dịch vụ IIS và chỉ có thể truy cập bởi những user trong mạng nội bộ . Thiết kế bảo mật cho các Computer có vai trò đặc biệt đòi hỏi có kinh nghiệm và am hiểu chi tiết về những ứng dụng và dịch vụ mà chúng đang vận hành. Ví dụ một Windows 2000 administrator có thể không có những kiến thức để hiểu được cách hoạt động của một database server như Microsoft SQL Server 2000, cho dù nó được cài đặ trên một Windows 2000. Phải đảm bảo những cá nhân chịu trách nhiệm thiết kế bảo mật cho những Server này có những hiểu biết cần thiết và kinh nghiệm đáp ứng được các yêu cầu bảo mật cua tổ chức. Và cũng đảm bảo rằng tổ chức chúng ta có Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
  • 18. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát những chính sách sẵn sàng, quản lý bảo mật cho các server ày khi chúng thay đổi vai trò hoạt động. ví dụ File Server được triển khai lại thành một Web server. Những Phương pháp chung để áp dụng Security Updates (cập nhật security) Có thể dùng những phương pháp sau để tiến hành cập nhật security cho các Computer trên Mạng. Dùng tính năng Windows Update: Để scan Computer, đảm bảo rằng tất cả security updates mới nhất, các thành phần liên quan đến Windows (Windows components) , và các driver cho thiết bị đã được cài đặt. Để sử dụng Windows Update phải là thành viên của nhóm Administrators. Nếu phải scan nhiều máy trên Mạng từ một location, có thể sử dụng tool: MBSA (Microsoft Baseline Security Analyzer) của hãng Shavlik, một partner của Microsoft. Hoặc chuyên dụng hơn và cung cấp giải pháp scan bảo mật toàn diện có thể dùng GFI Languard network security scanner của GFI, rất phổ biến với Admin. Office Update: Scan và cập nhật những secuirty mới nhất cho bộ sản phẩm Microsoft Office. Vá lỗi cho các sản phẩm này cũng là một việc rất quan trong mà các Security admin cần chú ý. Chỉ thành viên nhóm Administrators mới đuợc dùng tính năng này Dùng Group Policy: Nếu triển khai security updates cho hàng loạt các Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
  • 19. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát Computer trong môi trường Active directory domain, các admin sẽ sử dụng các chính sách của Domain hoặc GPO cho các OU trong Domain. Khi dùng Group Policy, User không cần phải làm bất cứ động tác nào vì thông qua Active Directory service, Group Policy có thể thực hiện hoàn toan 2 tự động Dùng dịch vụ Microsoft Windows Software Update Services (WSUS/SUS): Server cài đặt dịch vụ này, được xem là trung tâm phân phối các security updateas cho các Computer trên Mạng. Admin có thể cấu hình trên các Computer để tự động download security updates hoặc lập lịch biểu (scheduling) download từ WSUS server này Dùng tính năng Feature Pack (Microsoft Systems Management Server (SMS) Update Services Feature Pack) có trong dịch vu SMS: Bao gồm Wizard hướng dẫn đóng gói các Security updates và triển khai chúng đến các Computer thông qua kho lưu trữ Software Inventory. New Horizons VietNam (New Horizons Computer Learning centers Viet Nam) Ho Viet Ha Instructor Team Leader Email: hvha@newhorizons.com.vn Chính sách an toàn Account cho Computer (Security Account Policies ) Ở phần trước tôi đã giới thiệu những phương thức chung để bảo vệ máy tính của một tổ chức. Phần tiếp theo này tôi sẽ trình bày những phương Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
  • 20. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát thức cụ thể theo trình tự, từ quá trình setup hệ thống, vận hành hệ thống dựa trên những chính sách an toàn từ basic cho đến những kĩ năng advance mà các Security Admin cần quan tâm để áp dụng vào việc xây dựng các quy trình an toàn thông tin cho tổ chức. Phần trình bày này tôi xin đề cập đến vấn đề an ninh account (account security) và cách thức tạo account an toàn nhằm đối phó với những kiểu tấn công rất phổ biến và hiệu quả dưới sự trợ giúp của những công cụ phù thủy… Chính sách về account và cách thức tạo account nghèo nàn là con đường dễ dàng nhất cho attacker, như vậy những hình thức bảo mật khác được áp dụng vào hệ thống như trang bị các công cụ chống maleware (prevent virus, worm, spyware, ad-ware..), triển khai hệ thống phòng thủ Mạng (Firewall) cũng sẽ không có tác dụng nào đáng kể, vì Admin quá thờ ơ trong cách thức tạo account và đưa ra chính sách tạo account chứa đựng nhiều rủi ro này. Yêu cầu xác định các chính sách tạo password mạnh và đưa ra được chiến lược an toàn account áp dụng vào an toàn thông tin của tổ chức là vấn đề mang tính cấp bách. A. Làm thế nào để tạo và quản lý Account an toàn Những yếu tố dưới đây sẽ cho chúng ta thấy cách thức tạo và quản lý Account sao cho an toàn Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
  • 21. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát Account phải được bảo vệ bằng password phức hợp ( password length, password complexity) Chủ sở hữu account chỉ được cung cấp quyền hạn truy cập thông tin và dịch vụ cần thiết (không thiếu quyền hạn mà cũng không thể để thừa) Mã hóa account trong giao dịch trên Mạng (kể cả giao dịch trong Mạng nội bộ) Lưu trữ account an toàn ( nhất định database lưu giữ tai khoản phải được đặt trên những hệ thống an toàn và được mã hóa) Huấn luyện nhân viên, những người trực tiếp sử dụng Computer cách thức bảo mật account tránh rò rĩ (attacker có thể lợi dụng mối quan hệ với nhân viên hoặc giả danh bộ phận kĩ thuật hỗ trợ xử lí sự cố hệ thống từ xa để khai thác ), hướng dẫn cách thức thay đổi password khi cần thiết và tránh tuyệt đối việc ghi lại account trên các stick-notes rồi gián bừa bãi trên Monitorhoặc Keyboard..), Khóa (lock) ngay Computer khi không sử dụng, mặc định trên các máy tính thường cũng có chính sách tự động lock computer sau môt thời gian không sử dụng, để giúp cho những nhân viên hay quên tránh được lỗi bảo mật sơ đẳng (lỗi này giống như việc ra khỏi nhà mà không khóa cửa) Những người tạo và quản lý account (đặc biệt là những account hệ thống – System accounts, và account vận hành, kiểm soát các dịch vụ - service accounts) cho toàn bộ tổ chức là những người được xem là AN TOÀN TUYỆT ĐỐI. Disable những account tạm thời chưa sử dụng, delete những account không còn sử dụng. Tránh việc dùng chung Password cho nhiều account Khóa (lock) account sau một số lần người sử dụng log-on không thành Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
  • 22. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát công vào hệ thống. Có thể không cho phép một số account quản trị hệ thống và dịch vụ, không được log-on từ xa (remote location log-on), vì những hệ thống và dịch vụ này rất quan trọng và thông thường chỉ cho phép được kiểm soát từ bên trong (internal Network), nếu có nhu cầu quản trị và support từ xa Security Admin vẫn dễ dàng thay đổi chính sách để đáp ứng nhu cầu. Các Security admin khi log-on vào Server chỉ nên dùng account có quyền hạn thấp, khi cần quản trị hay vận hành các dịch vụ, mới nên dùng account System hoặc Service (ví dụ Microsoft Windows hỗ trợ command run as thông qua run as service để cho phép độc lập quản trị các thành phần của hệ thống, các dịch vụ mà không cần phải log-on vào máy ban đầu bằng account admin). Điều này giúp chúng ta tránh được các chương trình nguy hiểm đã lọt vào máy tính chạy với quyền admin, khi đó các admin thật sự của Computer sẽ gặp nhiều rắc rối. Vá tất cả những lỗ hỗng hệ thống để ngăn chặn các kiểu tấn công “đặc quyền leo thang” (bắt đầu lọt vào hệ thống với account thông thường và sau đó leo thang đến quyền cao nhất) Trên đây là những phần trực quan nhất mà Admin Security cần hình dung cụ thể khi thiết kế chính sách bảo mật account (account security policies). Một trong những chính sách bảo vệ hệ thống cần phải xem xet kĩ lưỡng nhất nhưng thông thường dễ lơ là thậm chí là coi nhẹ, mà sự thực hầu hết các con đường xâm nhập vào hệ thống đều qua khai thác Credentials (có được thông tin account), attacker nắm được vulnerabilities ( yếu điểm ) này, nên lợi dụng khai thác rất hiệu quả. B. Phân tích và thiết kế các chính sách an toàn cho account. Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
  • 23. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát Phân tích những rủi ro và xác định các mối đe dọa đối với account: Account cho một User sẽ xác định những hành động mà User đó có thể thực hiện. Việc phân loại account sẽ chỉ ra những cấp độ bảo vệ thích hợp khác nhau. Các account trên hệ thống sẽ nhận được 2 loại quyền cơ bản: User rights (Quyền hệ thống): Là loại đặc quyền mà User được hệ thống cho phép thực thi những hành động đặc biệt (ví dụ: Quyền Backup Files Và Folders, thay đổi thời gian hệ thống, shutdown hệ thống…) Trên Windows các bạn có thể type command secpol.msc tại RUN, để open Local Security Settings local policies User rights assignment là nơi xác lập các User rights của hệ thống Permissions (Quyền truy cập): Được kiểm soát bởi DACLs (Discretionary access control lists) của hệ thống, được phép truy cập vào các File/Folder hay Active Directory objects (trong Domain) (ví dụ User A được quyền Read/Modify đối với Folder C:Data, User B được Full Control đối với OU Business..) Chú ý trong việc cấp phát Permission cho account, nên đưa account vào Group để dễ kiểm soát, tránh việc phân quyền mang tính cá nhân cho một account nào đó. Điều này tăng cường khả năng kiểm soát account, vì khi số lượng account của hệ thống (Local hay Domain) tăng lên thì việc tổ chức này tạo sự an toàn và dễ kiểm soát hơn. Những kẽ hở từ Account có thể tạo cơ hội cho attacker: Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
  • 24. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát Password: Password quá yếu (độ dài password quá ngắn, các kí tự đơn giản, lấy ngày tháng năm sinh, tên những bộ phim, địa danh, nhân vật nổi tiếng , đặt cho password). Dùng cùng password cho nhiều account. password được dán bừa bãi lên Monitor/Keyboard, hoặc lưu password vào một text file không bảo vệ. Chia sẽ password hệ thống của mình cho bạn đồng nghiệp… Cấp phát đặc quyền: Cấp phát đặc quyền Administrator cho các User. Các services của hệ thống không dùng Service account. Cấp phát User right không cần thiết cho account. Việc sử dụng account: Log-on vào máy với account Administrators khi thi hành những tác vụ thông thường. Tạo những User account cho phép quyền quản trị các tài khoản khác. Kích hoạt những tài khoản không còn được sử dụng (ví dụ nhân viên đã nghỉ việc, tài khỏan vẫn được lưu hành trên hệ thống..) Thiết kế chính sách tạo Password đáp ứng bảo mật cho Account: Chính sách tạo password sao cho an toàn thực sư là một trong những yếu tố chính để bảo vệ tài khoản. Chính sách này bao gồm các yếu tố chính như sau: Thời gian tối đa sử dụng password (maximum password age): Hạn sử dụng tối đa của password trước khi user phải thay đổi password. Thay đổi password theo định kì sẽ giúp tăng cường an toàn cho tài khoản Thời gian tối thiểu password phải được sử dụng trước khi có thể thay đổi (minimum password age). Admin có thể thiết lập thờigian này khoảng vài Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải
  • 25. Báo cáo giám sát môi trường định kỳ, báo cáo môi trường, báo cáo giám sát ngày, trước khi cho phép user thay đổi password của họ. Thực thi password history: Số lần các password khác biệt nhau phải sử dụng qua, trước khi quay lại dùng password cũ. Số Password history càng cao thì độ an toàn càng lớn. Chiều dài password tối thiểu (minimum password length) cần phải đặt. Càng dài càng an toàn Password phải đạt yêu cầu phức hợp: không chỉ về độ dài mà còn về độ phức hợp của các kí tự đặt password (ví dụ bạn có thể thấy sự khác biệt giữa password và P@ssW0rd) Khi dùng password phức hợp cần quan tâm: Không sử dụng họ và tên Chứa ít nhất 6 kí tự Có thể đan xen chữ hoa,(A..Z) thường (a..z), và các kí tự đặc biệt như: ! @#$%^&*() Account lockout: Sẽ bị khóa tài khoản trong một thời gian nhất định, nếu như sau một số lần log-on không thành công vào hệ thống. Mục đích của chính sách này nhằm ngăn chặn các cuộc tấn công dạng brute force vào account để dò password. Trên đây là những vấn đề cốt lõi trong việc tạo và quản lý Account sao cho an toàn, nhằm đáp ứng các yêu cầu khắt khe trong chính sách an toàn thông tin của tổ chức và đối với các Security Admin thiết nghĩ vấn đề này không nên chễnh mãng hoặc thờ ơ, vì đây là “ngõ vào” đầu tiên mà attacker luôn ưu tiên trong việc thăm dò, khai thác yếu điểm của hệ thống. Xử lý nước thải, xử lý khí thải, công ty xử lý nước thải