Làm gì để bảo mật cho các máy tính của một tổ chức

Làm thế nào để bảo mật cho các máy tính

của một tổ chức

(Security Article Series -Bài viết hướng dẫn cách thức để bảo vệ cho các

Computer của một tổ chức. Thích hợp cho những ai quan tâm đến Network

Security.)

Một trong những yếu tố quan tâm hàng đầu trong việc Thiết kế Security một

hệ thống thông tin đó là kiểm soát chặt chẽ tất cả Computer của tổ chức. Vì

chúng là nơi cất giữ tài sản thông tin có giá trị của tổ chức. Attacker có thể

trực tiếp tấn công thẳng vào Computer và lấy đi những dữ liệu quý báu.

Việc xác định những mối đe dọa và những lỗ hỗng ở tất cả computer trong tổ

chức là điều thiết yếu và cấp bách (Quan tâm đến Security cho Computer kể

từ lúc mua, cho đến khi cất chúng vào kho - life Cycle)

Hầu hết các loại Computer nếu không có những kẽ hỡ thiếu an toàn về vật lý,

thì bản thân hệ điều hành cũng có thể phơi bày những tử huyệt, những miếng

mồi ngon cho attacker. Security Admin phải đảm bảo an toàn và cập nhật đầy

đủ các miếng vá lỗi và thiết lập hệ thống phòng thủ trong suốt quá trình

“sống” của Computer.

A. Xác định những rủi ro và những mối đe dọa Computer.

Bảo mật suốt chu kì “sống” của một computer:

Vòng đời của một computer trải qua những giai đoạn sau:

• Tiến hành cài đặt: Trong suốt quá trình tiến hành cài đặt Hệ điều hành và

Ứng dụng, sự xâm nhập của Virus, và những lỗi cấu hình có thể là nguy cơ

trực tiếp cho Computer. Chú ý setup password cho tài khỏan built-in

ADMINISTRATOR tại giai đoạn này theo đúng chính sách đặt password của

tổ chức. Chúng ta có thói quen không tốt ở giai đoạn này là set password null

(không đặt pssword) !

• Xác lập chính sách bảo mật chuẩn (baseline security) theo quy định an toàn

thông tin của tổ chức sau khi hoàn thành cài đặt mỗi Computer

• Bảo mật cho các Computer có vai trò đặc biệt. ví dụ Web server , Database

Server. Căn cứ trên chính sách bảo mật chuẩn, các security admin cần tăng

cường hơn nữa các xác lập bảo mật đối với các Computer đặc biệt này nhằm

tạo một hệ thống được bảo vệ tối đa có thể đương đầu với các kiểu tấn công

đa dạng và phức tạp từ phía attackers.

• Cập nhật security cho tất cả ứng dụng phát sinh lỗi trên Computer (thông

thường sẽ update các Service packs, securiry updates..) Đây là điều bắt buộc

để nâng cao hơn nữa baseline security đã được thiết lập

• Tạm biệt Computer: Kết thúc vòng đời, giờ là lúc đem chiếc Computer này

vào kho làm kỉ niệm hoặc giải phong một nó cho một ai đó cũng cần phải

security, attacker có thể lấy những thông tin còn sót lại trên HDD, hoặc các

thiết bị Media khác để khai thác những thông tin còn sót lại này.

Tầm quan trọng của việc bảo mật cho Computer

Những cuộc tấn công từ bên ngoài:

Khi một admin cài đặt software trên một computer mới, một Virus có thể lây

nhiễm vào Computer trước khi Admin này cài service pack bảo vệ hệ thống.

Virus này sẽ khai thác lỗ hổng đã xác định, và cài tiếp vào hệ thống một chú

Trojan Horse (ví dụ như Bo 2k). Admin hoàn thành việc cài software và đưa

vào sử dụng mà không hề biết rằng Computer có thể đã nằm trong tầm kiểm

soát của một attacker ngoài hệ thống Mạng của tổ chức !

Hiểm họa từ bên trong:

Admin chọn cách cài đặt cho các Computer của tổ chức là cài đặt từ xa và

không cần phải theo dõi trong suốt quá trình cài đặt (unattended Installation) ,

cách cài đặt này nhanh chóng và tỏ ra rất “professional”. Trong suốt quá trình

cài đặt operating system qua Mạng này, tài khỏan Local administrator của

các máy được cài đặt được chuyển qua Mạng dưới dạng Clear-text (không

mã hóa). Một nhân viên có chút trình độ về hệ thống và Network, thúc đẩy

bởi những động cơ bất hợp pháp có thể cài các công cụ nghe lén và thâu tóm

thông tin chuyển đi trên Mạng, đặc biệt là các Local Administrator Password

(nếu admin Mạng đang tiến hành cài đặt qua Mạng cho Computer của sếp và

password chuyển qua Mạng dưới dạng cleart-text thì nguy to…vì dữ liệu của

các Manager rất important và hầu hết có giá trị economic..). Đây là một trong

rất, rất nhiều những nguy cơ attack từ bên trong Mạng nội bộ.

Những mối đe dọa phổ biến:

Mặc dù những kĩ thuật bảo mật được trang bị trên các Computer, thế nhưng

rủi ro lại đến từ yếu tố con người và những kẽ hở trong quy trình làm việc với

Computer.

Ví dụ như attacker có thể lấy thông tin từ Đĩa cứng, hoặc truy cập vào máy

tính qua các ứng dụng (không cài đặt các bản vá lỗi), mà nhân viên sử dụng,

đặc biệt là những ứng dung connecting với Internet như Chat, Internet

Browser, E-mail…

B. Thiết kế Security cho các Computer

Những phương thức chung secure Computer

Tiến hành cài đặt an toàn ngay từ ban đầu cho Hệ điều hành và các Ứng

dụng theo hướg dẫn:

 Thực thi các cấu hình bảo mật mặc định cho HDH và ứng dụng

 Chỉ cài đặt những ứng dụng và dịch vụ cần thiết trên các Server (ví dụ:

nkhông cài lung tung các ứng dụng và triễn khai những dich vụ không

cần thiết trên Mail, Web server của tổ chức..)

 Xác lập bảo vệ cho tất cả các tài khỏan mặc định của hệ thống (ví dụ:

tài khoản mặc định Administrator nên được rename vì tên này ai cũng

biết, và set password phức hợp, sẽ có tác dụng lớn để đối phó với

attacker trong những cuộc tấn công dạng Brute force password)

 Những file cài đặt cho HDH và application phải an toàn, phải được xác

nhận (digitally sign) từ nhà cung cấp, có thể dùng nhiều utility để kiểm

tra vấn đề này , ví dụ Sign verification…

 Tiến hành cài đặt phải là những Người có đủ độ tin cậy trong tổ chức.

 Nên cô lập Mạng trong quá trình cài đặt . Tạo một Network riêng dành

cho việc cài đặt nếu phải cài đặt HDH, ứng dụng qua Mạng (ví dụ dùng

dịch vụ RIS của Microsoft..), điều này là thiết yếu và tăng sự an toàn,

có thể chống được sự lây nhiễm Virus từ bên ngoài hoặc các Built-in

account như Administrator được tạo ra qua Mạng từ các unattended

installation scripts không bị thâu tóm.. các CD cài đặt HDH, ứng dụng

nên tích hợp đầy đủ các Service packs, security updates (vá lỗi ngay

trong quá trình cài đặt)

Làm thế nào để cấu hình các xác lập chuẩn bảo mật cho một tổ chức

(Security baseline)

Trước khi triển khai Computer cho tổ chức, cần xác định các security

baseline. Các security admin có thể triển khai những security baseline này

trong suốt quá trình cài đặt hoặc sau đó. Trên Microsoft Windows 2000 và

Microsoft Windows XP, các admin có thể taọ và triển khai các security

templates để đạt được những yêu cầu bảo mật cần thiết.

Tuân thủ những hướng dẫn sau để tạo security baseline cho các Computer

Tạo một chính sách security baseline cho các Computer theo đúng những quy

định của tổ chức về an toàn thông tin phục vụ cho các quy trình nghiệp vụ.

Chính sách này phải đảm bảo an toàn cho Computer, HDH và các ứng dụng

nghiệp vụ…

Ví dụ: chính sách chỉ định rằng tất cả HDH trong tổ chức phải chống được

kiểu tấn công SYN-ACK (synchronize acknowledge) denial of service

(DoS) tấn công từ chối dịch vụ. Một chính sách tốt cũng hình dung được vai

trò của Computer cần bảo vệ..

2. Tạo sẵn các security templates mẫu, cho phép chỉnh sửa. Ví dụ để bảo vệ

HDH chống lại SYN-ACK attacks, có thể đơn giản thêm vào Registry những

giá trị mong muốn nhằm thay đổi cách thức vận hành của TCP/IP stack trong

giao tiếp Mạng với các Computer khác, như vậy có thể chống được những

cuộc tấn công kiểu này.

3. vận hành thử và Kiểm tra các security templates này. Mỗi security

template được triển khai sẽ không có các yếu tố gây cản trở HDH, các dich

vụ khác, hoặc xung đột với các ứng dụng

4. Triển khai các security templates cho Computer thông qua những công cụ

như command Secedit Group Policy, hoặc tự động hóa triển khai cho hàng

loạt Computer thông qua các Group Policy của Active Directory Domain

(GPO)

Security cho các Computer có vai trò đặc biệt như thế nào.

Admin sẽ cài đặt những Ứng dụng và những dịch vụ phụ thuộc vào vai trò

của những Computer đó.

Như vậy những Computer đặc biệt này cần có những Security baseline tương

đối khác nhau để phù hợp với dịch vụ đang vận hành.

Ví dụ: Web server chạy dịch vụ Internet Information Services (IIS) cho phép

hàng ngàn truy cập mỗi ngày từ Internet với những mối nguy hiểm luôn rình

rập. Ngược lại thì một File server sẽ không chạy dịch vụ IIS và chỉ có thể

truy cập bởi những user trong mạng nội bộ . Thiết kế bảo mật cho các

Computer có vai trò đặc biệt đòi hỏi có kinh nghiệm và am hiểu chi tiết về

những ứng dụng và dịch vụ mà chúng đang vận hành. Ví dụ một Windows

2000 administrator có thể không có những kiến thức để hiểu được cách hoạt

động của một database server như Microsoft SQL Server 2000, cho dù nó

được cài đặ trên một Windows 2000.

Phải đảm bảo những cá nhân chịu trách nhiệm thiết kế bảo mật cho những

Server này có những hiểu biết cần thiết và kinh nghiệm đáp ứng được các yêu

cầu bảo mật cua tổ chức. Và cũng đảm bảo rằng tổ chức chúng ta có những

chính sách sẵn sàng, quản lý bảo mật cho các server ày khi chúng thay đổi vai

trò hoạt động. ví dụ File Server được triển khai lại thành một Web server.

Những Phương pháp chung để áp dụng Security Updates (cập nhật

security)

Có thể dùng những phương pháp sau để tiến hành cập nhật security cho các

Computer trên Mạng.

 Dùng tính năng Windows Update: Để scan Computer, đảm bảo rằng tất

cả security updates mới nhất, các thành phần liên quan đến Windows

(Windows components) , và các driver cho thiết bị đã được cài đặt. Để

sử dụng Windows Update phải là thành viên của nhóm Administrators.

Nếu phải scan nhiều máy trên Mạng từ một location, có thể sử dụng

tool: MBSA (Microsoft Baseline Security Analyzer) của hãng Shavlik,

một partner của Microsoft. Hoặc chuyên dụng hơn và cung cấp giải

pháp scan bảo mật toàn diện có thể dùng GFI Languard network

security scanner của GFI, rất phổ biến với Admin.

 Office Update: Scan và cập nhật những secuirty mới nhất cho bộ sản

phẩm Microsoft Office. Vá lỗi cho các sản phẩm này cũng là một việc

rất quan trong mà các Security admin cần chú ý. Chỉ thành viên nhóm

Administrators mới đuợc dùng tính năng này

 Dùng Group Policy: Nếu triển khai security updates cho hàng loạt các

Computer trong môi trường Active directory domain, các admin sẽ sử

dụng các chính sách của Domain hoặc GPO cho các OU trong Domain.

Khi dùng Group Policy, User không cần phải làm bất cứ động tác nào

vì thông qua Active Directory service, Group Policy có thể thực hiện

hoàn toan 2 tự động

 Dùng dịch vụ Microsoft Windows Software Update Services

(WSUS/SUS): Server cài đặt dịch vụ này, được xem là trung tâm phân

phối các security updateas cho các Computer trên Mạng. Admin có thể

cấu hình trên các Computer để tự động download security updates hoặc

lập lịch biểu (scheduling) download từ WSUS server này

 Dùng tính năng Feature Pack (Microsoft Systems Management Server

(SMS) Update Services Feature Pack) có trong dịch vu SMS: Bao gồm

Wizard hướng dẫn đóng gói các Security updates và triển khai chúng

đến các Computer thông qua kho lưu trữ Software Inventory.

Windows Update:

Cập nhật service pack, security updates cho HDH. Dùng cho môi

trường nhỏ SOHO.

Office Update:

Cập nhật service pack, security updates cho Office 2000/XP. Dùng cho

môi trường nhỏ SOHO.

Group Policy:

Triển khai cho các Computer dùng Windows 2000 /Windows XP trong

Active Directory Domain. Đóng gói các service packs và security

updates (thành định dang file .MSI) Bằng cách dùng các chính sách

software installation

policies.

WSUS:

Câp nhật Security updates dựa trên chính sách Group Policy của

Domain, cho các Computer dùng Windows 2000/Windows XP

SMS update services feature pack:

Tất cả các SMS client Computer có thể kết nối đến SMS update

services feature pack trên SMS server để cập nhật Service packs và

security updates