• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Bao mat may chu cua mot to chuc
 

Bao mat may chu cua mot to chuc

on

  • 452 views

Bao cao giam sat moi truong, bao cao giam sat, cong ty moi truong, tu van moi truong, phan mem ke toan, thang may, thang máy, chống thấm, chong tham

Bao cao giam sat moi truong, bao cao giam sat, cong ty moi truong, tu van moi truong, phan mem ke toan, thang may, thang máy, chống thấm, chong tham

Statistics

Views

Total Views
452
Views on SlideShare
452
Embed Views
0

Actions

Likes
0
Downloads
3
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft Word

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Bao mat may chu cua mot to chuc Bao mat may chu cua mot to chuc Document Transcript

    • Công ty môi trường, tư vấn môi trường, báo cáo giám sát môi trường, báo cáo giám sátBảo mật cho các máy tính của một tổ chức(Security Article Series -Bài viết hướng dẫn cách thức để bảo vệ cho cácComputer của một tổ chức. Thích hợp cho những ai quan tâm đến NetworkSecurity.)Công ty môi trườngMột trong những yếu tố quan tâm hàng đầu trong việc Thiết kế Securitymột hệ thống thông tin đó là kiểm soát chặt chẽ tất cả Computer của tổchức. Vì chúng là nơi cất giữ tài sản thông tin có giá trị của tổ chức.Attacker có thể trực tiếp tấn công thẳng vào Computer và lấy đi những dữliệu quý báu.báo cáo giám sát môi trườngViệc xác định những mối đe dọa và những lỗ hỗng ở tất cả computer trongtổ chức là điều thiết yếu và cấp bách (Quan tâm đến Security choComputer kể từ lúc mua, cho đến khi cất chúng vào kho - life Cycle)Hầu hết các loại Computer nếu không có những kẽ hỡ thiếu an toàn về vậtlý, thì bản thân hệ điều hành cũng có thể phơi bày những tử huyệt, nhữngmiếng mồi ngon cho attacker. Security Admin phải đảm bảo an toàn và cậpnhật đầy đủ các miếng vá lỗi và thiết lập hệ thống phòng thủ trong suốtquá trình “sống” của Computer.Phần mềm kế toánXác định những rủi ro và những mối đe dọa Computer.Bảo mật suốt chu kì “sống” của một computer:Vòng đời của một computer trải qua những giai đoạn sau:• Tiến hành cài đặt: Trong suốt quá trình tiến hành cài đặt Hệ điều hànhvà Ứng dụng, sự xâm nhập của Virus, và những lỗi cấu hình có thể là nguycơ trực tiếp cho Computer. Chú ý setup password cho tài khỏan built-inPhan mem ke toan, thang may, thang máy, chong tham, chống thấm
    • Công ty môi trường, tư vấn môi trường, báo cáo giám sát môi trường, báo cáo giám sátADMINISTRATOR tại giai đoạn này theo đúng chính sách đặt password củatổ chức. Chúng ta có thói quen không tốt ở giai đoạn này là set passwordnull (không đặt pssword) !• Xác lập chính sách bảo mật chuẩn (baseline security) theo quy định antoàn thông tin của tổ chức sau khi hoàn thành cài đặt mỗi Computer• Bảo mật cho các Computer có vai trò đặc biệt. ví dụ Web server ,Database Server. Căn cứ trên chính sách bảo mật chuẩn, các securityadmin cần tăng cường hơn nữa các xác lập bảo mật đối với các Computerđặc biệt này nhằm tạo một hệ thống được bảo vệ tối đa có thể đương đầuvới các kiểu tấn công đa dạng và phức tạp từ phía attackers.• Cập nhật security cho tất cả ứng dụng phát sinh lỗi trên Computer (thôngthường sẽ update các Service packs, securiry updates..) Đây là điều bắtbuộc để nâng cao hơn nữa baseline security đã được thiết lập• Tạm biệt Computer: Kết thúc vòng đời, giờ là lúc đem chiếc Computernày vào kho làm kỉ niệm hoặc giải phong một nó cho một ai đó cũng cầnphải security, attacker có thể lấy những thông tin còn sót lại trên HDD,hoặc các thiết bị Media khác để khai thác những thông tin còn sót lại này.Tầm quan trọng của việc bảo mật cho ComputerNhững cuộc tấn công từ bên ngoài:Khi một admin cài đặt software trên một computer mới, một Virus có thểlây nhiễm vào Computer trước khi Admin này cài service pack bảo vệ hệthống. Virus này sẽ khai thác lỗ hổng đã xác định, và cài tiếp vào hệ thốngmột chú Trojan Horse (ví dụ như Bo 2k). Admin hoàn thành việc càisoftware và đưa vào sử dụng mà không hề biết rằng Computer có thể đãnằm trong tầm kiểm soát của một attacker ngoài hệ thống Mạng của tổchức !Hiểm họa từ bên trong:Phan mem ke toan, thang may, thang máy, chong tham, chống thấm
    • Công ty môi trường, tư vấn môi trường, báo cáo giám sát môi trường, báo cáo giám sátAdmin chọn cách cài đặt cho các Computer của tổ chức là cài đặt từ xa vàkhông cần phải theo dõi trong suốt quá trình cài đặt (unattendedInstallation) , cách cài đặt này nhanh chóng và tỏ ra rất “professional”.Trong suốt quá trình cài đặt operating system qua Mạng này, tài khỏanLocal administrator của các máy được cài đặt được chuyển qua Mạng dướidạng Clear-text (không mã hóa). Một nhân viên có chút trình độ về hệthống và Network, thúc đẩy bởi những động cơ bất hợp pháp có thể càicác công cụ nghe lén và thâu tóm thông tin chuyển đi trên Mạng, đặc biệtlà các Local Administrator Password (nếu admin Mạng đang tiến hành càiđặt qua Mạng cho Computer của sếp và password chuyển qua Mạng dướidạng cleart-text thì nguy to…vì dữ liệu của các Manager rất important vàhầu hết có giá trị economic..). Đây là một trong rất, rất nhiều những nguycơ attack từ bên trong Mạng nội bộ.Những mối đe dọa phổ biến:Mặc dù những kĩ thuật bảo mật được trang bị trên các Computer, thếnhưng rủi ro lại đến từ yếu tố con người và những kẽ hở trong quy trìnhlàm việc với Computer.Ví dụ như attacker có thể lấy thông tin từ Đĩa cứng, hoặc truy cập vào máytính qua các ứng dụng (không cài đặt các bản vá lỗi), mà nhân viên sửdụng, đặc biệt là những ứng dung connecting với Internet như Chat,Internet Browser, E-mail…Thiết kế Security cho các ComputerNhững phương thức chung secure ComputerTiến hành cài đặt an toàn ngay từ ban đầu cho Hệ điều hành và các Ứngdụng theo hướg dẫn:Phan mem ke toan, thang may, thang máy, chong tham, chống thấm
    • Công ty môi trường, tư vấn môi trường, báo cáo giám sát môi trường, báo cáo giám sátThực thi các cấu hình bảo mật mặc định cho HDH và ứng dụngChỉ cài đặt những ứng dụng và dịch vụ cần thiết trên các Server (ví dụ:nkhông cài lung tung các ứng dụng và triễn khai những dich vụ không cầnthiết trên Mail, Web server của tổ chức..)Xác lập bảo vệ cho tất cả các tài khỏan mặc định của hệ thống (ví dụ: tàikhoản mặc định Administrator nên được rename vì tên này ai cũng biết, vàset password phức hợp, sẽ có tác dụng lớn để đối phó với attacker trongnhững cuộc tấn công dạng Brute force password)Những file cài đặt cho HDH và application phải an toàn, phải được xácnhận (digitally sign) từ nhà cung cấp, có thể dùng nhiều utility để kiểm travấn đề này , ví dụ Sign verification…Tiến hành cài đặt phải là những Người có đủ độ tin cậy trong tổ chức.Nên cô lập Mạng trong quá trình cài đặt . Tạo một Network riêng dành choviệc cài đặt nếu phải cài đặt HDH, ứng dụng qua Mạng (ví dụ dùng dịch vụRIS của Microsoft..), điều này là thiết yếu và tăng sự an toàn, có thể chốngđược sự lây nhiễm Virus từ bên ngoài hoặc các Built-in account nhưAdministrator được tạo ra qua Mạng từ các unattended installation scriptskhông bị thâu tóm.. các CD cài đặt HDH, ứng dụng nên tích hợp đầy đủcác Service packs, security updates (vá lỗi ngay trong quá trình cài đặt)Làm thế nào để cấu hình các xác lập chuẩn bảo mật cho một tổchức (Security baseline)Trước khi triển khai Computer cho tổ chức, cần xác định các securitybaseline. Các security admin có thể triển khai những security baseline nàytrong suốt quá trình cài đặt hoặc sau đó. Trên Microsoft Windows 2000 vàMicrosoft Windows XP, các admin có thể taọ và triển khai các securitytemplates để đạt được những yêu cầu bảo mật cần thiết.Tuân thủ những hướng dẫn sau để tạo security baseline cho cácComputerTạo một chính sách security baseline cho các Computer theo đúng nhữngquy định của tổ chức về an toàn thông tin phục vụ cho các quy trìnhPhan mem ke toan, thang may, thang máy, chong tham, chống thấm
    • Công ty môi trường, tư vấn môi trường, báo cáo giám sát môi trường, báo cáo giám sátnghiệp vụ. Chính sách này phải đảm bảo an toàn cho Computer, HDH vàcác ứng dụng nghiệp vụ…Ví dụ: chính sách chỉ định rằng tất cả HDH trong tổ chức phải chống đượckiểu tấn công SYN-ACK (synchronize acknowledge) denial of service (DoS)tấn công từ chối dịch vụ. Một chính sách tốt cũng hình dung được vai tròcủa Computer cần bảo vệ..2. Tạo sẵn các security templates mẫu, cho phép chỉnh sửa. Ví dụ để bảovệ HDH chống lại SYN-ACK attacks, có thể đơn giản thêm vào Registrynhững giá trị mong muốn nhằm thay đổi cách thức vận hành của TCP/IPstack trong giao tiếp Mạng với các Computer khác, như vậy có thể chốngđược những cuộc tấn công kiểu này.3. vận hành thử và Kiểm tra các security templates này. Mỗi securitytemplate được triển khai sẽ không có các yếu tố gây cản trở HDH, các dichvụ khác, hoặc xung đột với các ứng dụng4. Triển khai các security templates cho Computer thông qua những côngcụ như command Secedit Group Policy, hoặc tự động hóa triển khai chohàng loạt Computer thông qua các Group Policy của Active DirectoryDomain (GPO)Security cho các Computer có vai trò đặc biệt như thế nào.Admin sẽ cài đặt những Ứng dụng và những dịch vụ phụ thuộc vào vai tròcủa những Computer đó.Như vậy những Computer đặc biệt này cần có những Security baselinetương đối khác nhau để phù hợp với dịch vụ đang vận hành.Ví dụ: Web server chạy dịch vụ Internet Information Services (IIS) chophép hàng ngàn truy cập mỗi ngày từ Internet với những mối nguy hiểmluôn rình rập. Ngược lại thì một File server sẽ không chạy dịch vụ IIS và chỉcó thể truy cập bởi những user trong mạng nội bộ . Thiết kế bảo mật choPhan mem ke toan, thang may, thang máy, chong tham, chống thấm
    • Công ty môi trường, tư vấn môi trường, báo cáo giám sát môi trường, báo cáo giám sátcác Computer có vai trò đặc biệt đòi hỏi có kinh nghiệm và am hiểu chi tiếtvề những ứng dụng và dịch vụ mà chúng đang vận hành. Ví dụ mộtWindows 2000 administrator có thể không có những kiến thức để hiểuđược cách hoạt động của một database server như Microsoft SQL Server2000, cho dù nó được cài đặ trên một Windows 2000.Phải đảm bảo những cá nhân chịu trách nhiệm thiết kế bảo mật cho nhữngServer này có những hiểu biết cần thiết và kinh nghiệm đáp ứng được cácyêu cầu bảo mật cua tổ chức. Và cũng đảm bảo rằng tổ chức chúng ta cónhững chính sách sẵn sàng, quản lý bảo mật cho các server ày khi chúngthay đổi vai trò hoạt động. ví dụ File Server được triển khai lại thành mộtWeb server.Những Phương pháp chung để áp dụng Security Updates (cậpnhật security)Có thể dùng những phương pháp sau để tiến hành cập nhật security chocác Computer trên Mạng.Dùng tính năng Windows Update: Để scan Computer, đảm bảo rằng tất cảsecurity updates mới nhất, các thành phần liên quan đến Windows(Windows components) , và các driver cho thiết bị đã được cài đặt. Để sửdụng Windows Update phải là thành viên của nhóm Administrators. Nếuphải scan nhiều máy trên Mạng từ một location, có thể sử dụng tool: MBSA(Microsoft Baseline Security Analyzer) của hãng Shavlik, một partner củaMicrosoft. Hoặc chuyên dụng hơn và cung cấp giải pháp scan bảo mật toàndiện có thể dùng GFI Languard network security scanner của GFI, rất phổbiến với Admin.Office Update: Scan và cập nhật những secuirty mới nhất cho bộ sản phẩmMicrosoft Office. Vá lỗi cho các sản phẩm này cũng là một việc rất quantrong mà các Security admin cần chú ý. Chỉ thành viên nhómAdministrators mới đuợc dùng tính năng nàyDùng Group Policy: Nếu triển khai security updates cho hàng loạt cácComputer trong môi trường Active directory domain, các admin sẽ sử dụngcác chính sách của Domain hoặc GPO cho các OU trong Domain. Khi dùngGroup Policy, User không cần phải làm bất cứ động tác nào vì thông quaPhan mem ke toan, thang may, thang máy, chong tham, chống thấm
    • Công ty môi trường, tư vấn môi trường, báo cáo giám sát môi trường, báo cáo giám sátActive Directory service, Group Policy có thể thực hiện hoàn toan 2 tự độngDùng dịch vụ Microsoft Windows Software Update Services (WSUS/SUS):Server cài đặt dịch vụ này, được xem là trung tâm phân phối các securityupdateas cho các Computer trên Mạng. Admin có thể cấu hình trên cácComputer để tự động download security updates hoặc lập lịch biểu(scheduling) download từ WSUS server nàyDùng tính năng Feature Pack (Microsoft Systems Management Server(SMS) Update Services Feature Pack) có trong dịch vu SMS: Bao gồmWizard hướng dẫn đóng gói các Security updates và triển khai chúng đếncác Computer thông qua kho lưu trữ Software Inventory.New Horizons VietNam (New Horizons Computer Learning centers VietNam)Ho Viet HaInstructor Team LeaderEmail: hvha@newhorizons.com.vn-------------(Security Article Series -Bài viết hướng dẫn cách thức để bảo vệ cho cácComputer của một tổ chức. Thích hợp cho những ai quan tâm đến NetworkSecurity.)Một trong những yếu tố quan tâm hàng đầu trong việc Thiết kế Securitymột hệ thống thông tin đó là kiểm soát chặt chẽ tất cả Computer của tổchức. Vì chúng là nơi cất giữ tài sản thông tin có giá trị của tổ chức.Attacker có thể trực tiếp tấn công thẳng vào Computer và lấy đi những dữliệu quý báu.Việc xác định những mối đe dọa và những lỗ hỗng ở tất cả computer trongtổ chức là điều thiết yếu và cấp bách (Quan tâm đến Security choComputer kể từ lúc mua, cho đến khi cất chúng vào kho - life Cycle)Hầu hết các loại Computer nếu không có những kẽ hỡ thiếu an toàn về vậtlý, thì bản thân hệ điều hành cũng có thể phơi bày những tử huyệt, nhữngmiếng mồi ngon cho attacker. Security Admin phải đảm bảo an toàn và cậpPhan mem ke toan, thang may, thang máy, chong tham, chống thấm
    • Công ty môi trường, tư vấn môi trường, báo cáo giám sát môi trường, báo cáo giám sátnhật đầy đủ các miếng vá lỗi và thiết lập hệ thống phòng thủ trong suốtquá trình “sống” của Computer.Xác định những rủi ro và những mối đe dọa Computer.Bảo mật suốt chu kì “sống” của một computer:Vòng đời của một computer trải qua những giai đoạn sau:• Tiến hành cài đặt: Trong suốt quá trình tiến hành cài đặt Hệ điều hànhvà Ứng dụng, sự xâm nhập của Virus, và những lỗi cấu hình có thể là nguycơ trực tiếp cho Computer. Chú ý setup password cho tài khỏan built-inADMINISTRATOR tại giai đoạn này theo đúng chính sách đặt password củatổ chức. Chúng ta có thói quen không tốt ở giai đoạn này là set passwordnull (không đặt pssword) !• Xác lập chính sách bảo mật chuẩn (baseline security) theo quy định antoàn thông tin của tổ chức sau khi hoàn thành cài đặt mỗi Computer• Bảo mật cho các Computer có vai trò đặc biệt. ví dụ Web server ,Database Server. Căn cứ trên chính sách bảo mật chuẩn, các securityadmin cần tăng cường hơn nữa các xác lập bảo mật đối với các Computerđặc biệt này nhằm tạo một hệ thống được bảo vệ tối đa có thể đương đầuvới các kiểu tấn công đa dạng và phức tạp từ phía attackers.• Cập nhật security cho tất cả ứng dụng phát sinh lỗi trên Computer (thôngthường sẽ update các Service packs, securiry updates..) Đây là điều bắtbuộc để nâng cao hơn nữa baseline security đã được thiết lập• Tạm biệt Computer: Kết thúc vòng đời, giờ là lúc đem chiếc Computernày vào kho làm kỉ niệm hoặc giải phong một nó cho một ai đó cũng cầnphải security, attacker có thể lấy những thông tin còn sót lại trên HDD,hoặc các thiết bị Media khác để khai thác những thông tin còn sót lại này.Phan mem ke toan, thang may, thang máy, chong tham, chống thấm
    • Công ty môi trường, tư vấn môi trường, báo cáo giám sát môi trường, báo cáo giám sátTầm quan trọng của việc bảo mật cho ComputerNhững cuộc tấn công từ bên ngoài:Khi một admin cài đặt software trên một computer mới, một Virus có thểlây nhiễm vào Computer trước khi Admin này cài service pack bảo vệ hệthống. Virus này sẽ khai thác lỗ hổng đã xác định, và cài tiếp vào hệ thốngmột chú Trojan Horse (ví dụ như Bo 2k). Admin hoàn thành việc càisoftware và đưa vào sử dụng mà không hề biết rằng Computer có thể đãnằm trong tầm kiểm soát của một attacker ngoài hệ thống Mạng của tổchức !Hiểm họa từ bên trong:Admin chọn cách cài đặt cho các Computer của tổ chức là cài đặt từ xa vàkhông cần phải theo dõi trong suốt quá trình cài đặt (unattendedInstallation) , cách cài đặt này nhanh chóng và tỏ ra rất “professional”.Trong suốt quá trình cài đặt operating system qua Mạng này, tài khỏanLocal administrator của các máy được cài đặt được chuyển qua Mạng dướidạng Clear-text (không mã hóa). Một nhân viên có chút trình độ về hệthống và Network, thúc đẩy bởi những động cơ bất hợp pháp có thể càicác công cụ nghe lén và thâu tóm thông tin chuyển đi trên Mạng, đặc biệtlà các Local Administrator Password (nếu admin Mạng đang tiến hành càiđặt qua Mạng cho Computer của sếp và password chuyển qua Mạng dướidạng cleart-text thì nguy to…vì dữ liệu của các Manager rất important vàhầu hết có giá trị economic..). Đây là một trong rất, rất nhiều những nguycơ attack từ bên trong Mạng nội bộ.Những mối đe dọa phổ biến:Mặc dù những kĩ thuật bảo mật được trang bị trên các Computer, thếnhưng rủi ro lại đến từ yếu tố con người và những kẽ hở trong quy trìnhlàm việc với Computer.Phan mem ke toan, thang may, thang máy, chong tham, chống thấm
    • Công ty môi trường, tư vấn môi trường, báo cáo giám sát môi trường, báo cáo giám sátVí dụ như attacker có thể lấy thông tin từ Đĩa cứng, hoặc truy cập vào máytính qua các ứng dụng (không cài đặt các bản vá lỗi), mà nhân viên sửdụng, đặc biệt là những ứng dung connecting với Internet như Chat,Internet Browser, E-mail…Thiết kế Security cho các ComputerNhững phương thức chung secure ComputerTiến hành cài đặt an toàn ngay từ ban đầu cho Hệ điều hành và các Ứngdụng theo hướg dẫn:Thực thi các cấu hình bảo mật mặc định cho HDH và ứng dụngChỉ cài đặt những ứng dụng và dịch vụ cần thiết trên các Server (ví dụ:nkhông cài lung tung các ứng dụng và triễn khai những dich vụ không cầnthiết trên Mail, Web server của tổ chức..)Xác lập bảo vệ cho tất cả các tài khỏan mặc định của hệ thống (ví dụ: tàikhoản mặc định Administrator nên được rename vì tên này ai cũng biết, vàset password phức hợp, sẽ có tác dụng lớn để đối phó với attacker trongnhững cuộc tấn công dạng Brute force password)Những file cài đặt cho HDH và application phải an toàn, phải được xácnhận (digitally sign) từ nhà cung cấp, có thể dùng nhiều utility để kiểm travấn đề này , ví dụ Sign verification…Tiến hành cài đặt phải là những Người có đủ độ tin cậy trong tổ chức.Nên cô lập Mạng trong quá trình cài đặt . Tạo một Network riêng dành choviệc cài đặt nếu phải cài đặt HDH, ứng dụng qua Mạng (ví dụ dùng dịch vụRIS của Microsoft..), điều này là thiết yếu và tăng sự an toàn, có thể chốngđược sự lây nhiễm Virus từ bên ngoài hoặc các Built-in account nhưAdministrator được tạo ra qua Mạng từ các unattended installation scriptskhông bị thâu tóm.. các CD cài đặt HDH, ứng dụng nên tích hợp đầy đủcác Service packs, security updates (vá lỗi ngay trong quá trình cài đặt)Làm thế nào để cấu hình các xác lập chuẩn bảo mật cho một tổPhan mem ke toan, thang may, thang máy, chong tham, chống thấm
    • Công ty môi trường, tư vấn môi trường, báo cáo giám sát môi trường, báo cáo giám sátchức (Security baseline)Trước khi triển khai Computer cho tổ chức, cần xác định các securitybaseline. Các security admin có thể triển khai những security baseline nàytrong suốt quá trình cài đặt hoặc sau đó. Trên Microsoft Windows 2000 vàMicrosoft Windows XP, các admin có thể taọ và triển khai các securitytemplates để đạt được những yêu cầu bảo mật cần thiết.Tuân thủ những hướng dẫn sau để tạo security baseline cho cácComputerTạo một chính sách security baseline cho các Computer theo đúng nhữngquy định của tổ chức về an toàn thông tin phục vụ cho các quy trìnhnghiệp vụ. Chính sách này phải đảm bảo an toàn cho Computer, HDH vàcác ứng dụng nghiệp vụ…Ví dụ: chính sách chỉ định rằng tất cả HDH trong tổ chức phải chống đượckiểu tấn công SYN-ACK (synchronize acknowledge) denial of service (DoS)tấn công từ chối dịch vụ. Một chính sách tốt cũng hình dung được vai tròcủa Computer cần bảo vệ..2. Tạo sẵn các security templates mẫu, cho phép chỉnh sửa. Ví dụ để bảovệ HDH chống lại SYN-ACK attacks, có thể đơn giản thêm vào Registrynhững giá trị mong muốn nhằm thay đổi cách thức vận hành của TCP/IPstack trong giao tiếp Mạng với các Computer khác, như vậy có thể chốngđược những cuộc tấn công kiểu này.3. vận hành thử và Kiểm tra các security templates này. Mỗi securitytemplate được triển khai sẽ không có các yếu tố gây cản trở HDH, các dichvụ khác, hoặc xung đột với các ứng dụng4. Triển khai các security templates cho Computer thông qua những côngcụ như command Secedit Group Policy, hoặc tự động hóa triển khai choPhan mem ke toan, thang may, thang máy, chong tham, chống thấm
    • Công ty môi trường, tư vấn môi trường, báo cáo giám sát môi trường, báo cáo giám sáthàng loạt Computer thông qua các Group Policy của Active DirectoryDomain (GPO)Security cho các Computer có vai trò đặc biệt như thế nào.Admin sẽ cài đặt những Ứng dụng và những dịch vụ phụ thuộc vào vai tròcủa những Computer đó.Như vậy những Computer đặc biệt này cần có những Security baselinetương đối khác nhau để phù hợp với dịch vụ đang vận hành.Ví dụ: Web server chạy dịch vụ Internet Information Services (IIS) chophép hàng ngàn truy cập mỗi ngày từ Internet với những mối nguy hiểmluôn rình rập. Ngược lại thì một File server sẽ không chạy dịch vụ IIS và chỉcó thể truy cập bởi những user trong mạng nội bộ . Thiết kế bảo mật chocác Computer có vai trò đặc biệt đòi hỏi có kinh nghiệm và am hiểu chi tiếtvề những ứng dụng và dịch vụ mà chúng đang vận hành. Ví dụ mộtWindows 2000 administrator có thể không có những kiến thức để hiểuđược cách hoạt động của một database server như Microsoft SQL Server2000, cho dù nó được cài đặ trên một Windows 2000.Phải đảm bảo những cá nhân chịu trách nhiệm thiết kế bảo mật cho nhữngServer này có những hiểu biết cần thiết và kinh nghiệm đáp ứng được cácyêu cầu bảo mật cua tổ chức. Và cũng đảm bảo rằng tổ chức chúng ta cónhững chính sách sẵn sàng, quản lý bảo mật cho các server ày khi chúngthay đổi vai trò hoạt động. ví dụ File Server được triển khai lại thành mộtWeb server.Những Phương pháp chung để áp dụng Security Updates (cậpnhật security)Có thể dùng những phương pháp sau để tiến hành cập nhật security chocác Computer trên Mạng.Dùng tính năng Windows Update: Để scan Computer, đảm bảo rằng tất cảsecurity updates mới nhất, các thành phần liên quan đến WindowsPhan mem ke toan, thang may, thang máy, chong tham, chống thấm
    • Công ty môi trường, tư vấn môi trường, báo cáo giám sát môi trường, báo cáo giám sát(Windows components) , và các driver cho thiết bị đã được cài đặt. Để sửdụng Windows Update phải là thành viên của nhóm Administrators. Nếuphải scan nhiều máy trên Mạng từ một location, có thể sử dụng tool: MBSA(Microsoft Baseline Security Analyzer) của hãng Shavlik, một partner củaMicrosoft. Hoặc chuyên dụng hơn và cung cấp giải pháp scan bảo mật toàndiện có thể dùng GFI Languard network security scanner của GFI, rất phổbiến với Admin.Office Update: Scan và cập nhật những secuirty mới nhất cho bộ sản phẩmMicrosoft Office. Vá lỗi cho các sản phẩm này cũng là một việc rất quantrong mà các Security admin cần chú ý. Chỉ thành viên nhómAdministrators mới đuợc dùng tính năng nàyDùng Group Policy: Nếu triển khai security updates cho hàng loạt cácComputer trong môi trường Active directory domain, các admin sẽ sử dụngcác chính sách của Domain hoặc GPO cho các OU trong Domain. Khi dùngGroup Policy, User không cần phải làm bất cứ động tác nào vì thông quaActive Directory service, Group Policy có thể thực hiện hoàn toan 2 tự độngDùng dịch vụ Microsoft Windows Software Update Services (WSUS/SUS):Server cài đặt dịch vụ này, được xem là trung tâm phân phối các securityupdateas cho các Computer trên Mạng. Admin có thể cấu hình trên cácComputer để tự động download security updates hoặc lập lịch biểu(scheduling) download từ WSUS server nàyDùng tính năng Feature Pack (Microsoft Systems Management Server(SMS) Update Services Feature Pack) có trong dịch vu SMS: Bao gồmWizard hướng dẫn đóng gói các Security updates và triển khai chúng đếncác Computer thông qua kho lưu trữ Software Inventory.New Horizons VietNam (New Horizons Computer Learning centers VietNam)Ho Viet HaInstructor Team LeaderEmail: hvha@newhorizons.com.vnChính sách an toàn Account cho Computer (Security AccountPolicies )Ở phần trước tôi đã giới thiệu những phương thức chung để bảo vệ máytính của một tổ chức. Phần tiếp theo này tôi sẽ trình bày những phươngthức cụ thể theo trình tự, từ quá trình setup hệ thống, vận hành hệ thốngPhan mem ke toan, thang may, thang máy, chong tham, chống thấm
    • Công ty môi trường, tư vấn môi trường, báo cáo giám sát môi trường, báo cáo giám sátdựa trên những chính sách an toàn từ basic cho đến những kĩ năngadvance mà các Security Admin cần quan tâm để áp dụng vào việc xâydựng các quy trình an toàn thông tin cho tổ chức. Phần trình bày này tôixin đề cập đến vấn đề an ninh account (account security) và cách thức tạoaccount an toàn nhằm đối phó với những kiểu tấn công rất phổ biến vàhiệu quả dưới sự trợ giúp của những công cụ phù thủy…Chính sách về account và cách thức tạo account nghèo nàn là con đườngdễ dàng nhất cho attacker, như vậy những hình thức bảo mật khác đượcáp dụng vào hệ thống như trang bị các công cụ chống maleware (preventvirus, worm, spyware, ad-ware..), triển khai hệ thống phòng thủ Mạng(Firewall) cũng sẽ không có tác dụng nào đáng kể, vì Admin quá thờ ơtrong cách thức tạo account và đưa ra chính sách tạo account chứa đựngnhiều rủi ro này.Yêu cầu xác định các chính sách tạo password mạnh và đưa ra được chiếnlược an toàn account áp dụng vào an toàn thông tin của tổ chức là vấn đềmang tính cấp bách.A. Làm thế nào để tạo và quản lý Account an toànNhững yếu tố dưới đây sẽ cho chúng ta thấy cách thức tạo và quản lýAccount sao cho an toànAccount phải được bảo vệ bằng password phức hợp ( password length,password complexity)Chủ sở hữu account chỉ được cung cấp quyền hạn truy cập thông tin vàdịch vụ cần thiết (không thiếu quyền hạn mà cũng không thể để thừa)Mã hóa account trong giao dịch trên Mạng (kể cả giao dịch trong Mạng nộibộ)Lưu trữ account an toàn ( nhất định database lưu giữ tai khoản phải đượcđặt trên những hệ thống an toàn và được mã hóa)Huấn luyện nhân viên, những người trực tiếp sử dụng Computer cách thứcbảo mật account tránh rò rĩ (attacker có thể lợi dụng mối quan hệ với nhânviên hoặc giả danh bộ phận kĩ thuật hỗ trợ xử lí sự cố hệ thống từ xa đểkhai thác ), hướng dẫn cách thức thay đổi password khi cần thiết và tránhtuyệt đối việc ghi lại account trên các stick-notes rồi gián bừa bãi trênPhan mem ke toan, thang may, thang máy, chong tham, chống thấm
    • Công ty môi trường, tư vấn môi trường, báo cáo giám sát môi trường, báo cáo giám sátMonitorhoặc Keyboard..), Khóa (lock) ngay Computer khi không sử dụng,mặc định trên các máy tính thường cũng có chính sách tự động lockcomputer sau môt thời gian không sử dụng, để giúp cho những nhân viênhay quên tránh được lỗi bảo mật sơ đẳng (lỗi này giống như việc ra khỏinhà mà không khóa cửa)Những người tạo và quản lý account (đặc biệt là những account hệ thống –System accounts, và account vận hành, kiểm soát các dịch vụ - serviceaccounts) cho toàn bộ tổ chức là những người được xem là AN TOÀNTUYỆT ĐỐI.Disable những account tạm thời chưa sử dụng, delete những accountkhông còn sử dụng.Tránh việc dùng chung Password cho nhiều accountKhóa (lock) account sau một số lần người sử dụng log-on không thànhcông vào hệ thống.Có thể không cho phép một số account quản trị hệ thống và dịch vụ,không được log-on từ xa (remote location log-on), vì những hệ thống vàdịch vụ này rất quan trọng và thông thường chỉ cho phép được kiểm soáttừ bên trong (internal Network), nếu có nhu cầu quản trị và support từ xaSecurity Admin vẫn dễ dàng thay đổi chính sách để đáp ứng nhu cầu.Các Security admin khi log-on vào Server chỉ nên dùng account có quyềnhạn thấp, khi cần quản trị hay vận hành các dịch vụ, mới nên dùngaccount System hoặc Service (ví dụ Microsoft Windows hỗ trợ commandrun as thông qua run as service để cho phép độc lập quản trị các thànhphần của hệ thống, các dịch vụ mà không cần phải log-on vào máy banđầu bằng account admin). Điều này giúp chúng ta tránh được các chươngtrình nguy hiểm đã lọt vào máy tính chạy với quyền admin, khi đó cácadmin thật sự của Computer sẽ gặp nhiều rắc rối.Vá tất cả những lỗ hỗng hệ thống để ngăn chặn các kiểu tấn công “đặcquyền leo thang” (bắt đầu lọt vào hệ thống với account thông thường vàsau đó leo thang đến quyền cao nhất)Trên đây là những phần trực quan nhất mà Admin Security cần hình dungcụ thể khi thiết kế chính sách bảo mật account (account security policies).Một trong những chính sách bảo vệ hệ thống cần phải xem xet kĩ lưỡngnhất nhưng thông thường dễ lơ là thậm chí là coi nhẹ, mà sự thực hầu hếtcác con đường xâm nhập vào hệ thống đều qua khai thác Credentials (cóđược thông tin account), attacker nắm được vulnerabilities ( yếu điểm )này, nên lợi dụng khai thác rất hiệu quả.B. Phân tích và thiết kế các chính sách an toàn cho account.Phan mem ke toan, thang may, thang máy, chong tham, chống thấm
    • Công ty môi trường, tư vấn môi trường, báo cáo giám sát môi trường, báo cáo giám sátPhân tích những rủi ro và xác định các mối đe dọa đối với account:Account cho một User sẽ xác định những hành động mà User đó có thểthực hiện.Việc phân loại account sẽ chỉ ra những cấp độ bảo vệ thích hợp khác nhau.Các account trên hệ thống sẽ nhận được 2 loại quyền cơ bản:User rights (Quyền hệ thống): Là loại đặc quyền mà User được hệ thốngcho phép thực thi những hành động đặc biệt (ví dụ: Quyền Backup Files VàFolders, thay đổi thời gian hệ thống, shutdown hệ thống…)Trên Windows các bạn có thể type command secpol.msc tại RUN, để openLocal Security Settings local policies User rights assignment là nơi xác lậpcác User rights của hệ thốngPermissions (Quyền truy cập): Được kiểm soát bởi DACLs (Discretionaryaccess control lists) của hệ thống, được phép truy cập vào các File/Folderhay Active Directory objects (trong Domain) (ví dụ User A được quyềnRead/Modify đối với Folder C:Data, User B được Full Control đối với OUBusiness..)Chú ý trong việc cấp phát Permission cho account, nên đưa account vàoGroup để dễ kiểm soát, tránh việc phân quyền mang tính cá nhân cho mộtaccount nào đó. Điều này tăng cường khả năng kiểm soát account, vì khisố lượng account của hệ thống (Local hay Domain) tăng lên thì việc tổchức này tạo sự an toàn và dễ kiểm soát hơn.Những kẽ hở từ Account có thể tạo cơ hội cho attacker:Password:Password quá yếu (độ dài password quá ngắn, các kí tự đơn giản, lấy ngàytháng năm sinh, tên những bộ phim, địa danh, nhân vật nổi tiếng , đặt chopassword).Dùng cùng password cho nhiều account. password được dán bừa bãi lênMonitor/Keyboard, hoặc lưu password vào một text file không bảo vệ.Chia sẽ password hệ thống của mình cho bạn đồng nghiệp…Cấp phát đặc quyền:Cấp phát đặc quyền Administrator cho các User.Các services của hệ thống không dùng Service account.Cấp phát User right không cần thiết cho account.Việc sử dụng account:Phan mem ke toan, thang may, thang máy, chong tham, chống thấm
    • Công ty môi trường, tư vấn môi trường, báo cáo giám sát môi trường, báo cáo giám sátLog-on vào máy với account Administrators khi thi hành những tác vụthông thường.Tạo những User account cho phép quyền quản trị các tài khoản khác. Kíchhoạt những tài khoản không còn được sử dụng (ví dụ nhân viên đã nghỉviệc, tài khỏan vẫn được lưu hành trên hệ thống..)Thiết kế chính sách tạo Password đáp ứng bảo mật cho Account:Chính sách tạo password sao cho an toàn thực sư là một trong những yếutố chính để bảo vệ tài khoản. Chính sách này bao gồm các yếu tố chínhnhư sau:Thời gian tối đa sử dụng password (maximum password age): Hạn sửdụng tối đa của password trước khi user phải thay đổi password. Thay đổipassword theo định kì sẽ giúp tăng cường an toàn cho tài khoảnThời gian tối thiểu password phải được sử dụng trước khi có thể thay đổi(minimum password age). Admin có thể thiết lập thờigian này khoảng vàingày, trước khi cho phép user thay đổi password của họ.Thực thi password history: Số lần các password khác biệt nhau phải sửdụng qua, trước khi quay lại dùng password cũ. Số Password history càngcao thì độ an toàn càng lớn.Chiều dài password tối thiểu (minimum password length) cần phải đặt.Càng dài càng an toànPassword phải đạt yêu cầu phức hợp: không chỉ về độ dài mà còn về độphức hợp của các kí tự đặt password (ví dụ bạn có thể thấy sự khác biệtgiữa password và P@ssW0rd)Khi dùng password phức hợp cần quan tâm:Không sử dụng họ và tênChứa ít nhất 6 kí tựCó thể đan xen chữ hoa,(A..Z) thường (a..z), và các kí tự đặc biệt như:!@#$%^&*()Account lockout: Sẽ bị khóa tài khoản trong một thời gian nhất định, nếunhư sau một số lần log-on không thành công vào hệ thống. Mục đích củachính sách này nhằm ngăn chặn các cuộc tấn công dạng brute force vàoaccount để dò password.Trên đây là những vấn đề cốt lõi trong việc tạo và quản lý Account sao choan toàn, nhằm đáp ứng các yêu cầu khắt khe trong chính sách an toànthông tin của tổ chức và đối với các Security Admin thiết nghĩ vấn đề nàykhông nên chễnh mãng hoặc thờ ơ, vì đây là “ngõ vào” đầu tiên màattacker luôn ưu tiên trong việc thăm dò, khai thác yếu điểm của hệ thống.Phan mem ke toan, thang may, thang máy, chong tham, chống thấm
    • Công ty môi trường, tư vấn môi trường, báo cáo giám sát môi trường, báo cáo giám sátNew Horizons VietNam (New Horizons Computer Learning CentersVietNam)Ho Viet HaInstructor Team Leader Email: hvha@newhorizons.com.vnPhan mem ke toan, thang may, thang máy, chong tham, chống thấm