1. “Chuyên trang dành cho kỹ thuật viên tin học”
CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT
Part 23 - User Account Control - Firewall
Ai đã từng sử dụng Windows Vista cũng không khỏi bực mình vì những câu hỏi liên tục được hệ thống hiện ra hỏi ý
người dùng có chấp nhận kích hoạt chương trình yêu cầu hay không?, thực ra đó chính là tính năng User Account
Control (UAC) mới của Microsoft vừa tích hợp vào Windows Vista mà các phiên bản trước đó như XP, Windows
Server 2003… không thấy.
Lợi ích của việc tích hợp tính năng này là nhằm giảm thiểu đến mức thấp nhất sự tấn công, lây lan của Virus,
Spyware… mà các năm trở lại đây bùng phát dữ dội tuy nhiên cái gì cũng có cái giá của nó, càng khắt khe chừng nào
thì phiền toái càng nhiều.
Tuy nhiên tính năng này chỉ tác động lên cho các User thuộc nhóm Administrators nhưng không phải Admin gốc
(Root Admin)
Nói thêm về vấn đề này thì trong Windows XP & Vista sau khi cài đặt hoàn tất hệ thống sẽ tự Disable Account
Administrator (Root Admin) và buộc ta tạo một User Account mới và sẽ tự Add User mới này vào Group
Administrators.
Tuy cùng nằm chung Group Administrators nhưng User Account sẽ có quyền hạn chế hơn User Administrator mà cụ
thể là trong UAC
Trong ví dụ này tôi đã Enable User Account Administrator lên rồi và tạo 2 User mới là gccom1 & gccom2 trong đó
User gccom1 tôi sẽ gán vào Group Administrators. Bạn làm như sau:
Tạo 2 User gccom1 & gccom2 sau đó vào Control Panel chọn User Accounts
Tiếp tục chọn mục Manage another account
1 of 13

2. Sau đó click chọn Account gccom1 chọn tiếp mục Change the account type để gán quyền Admin cho User này
Chọn mục Administrator
Bây giờ Logoff Administrator và Logon với gccom1 bạn vào Network Connections
2 of 13

3. Nhấp vào Properties để tiến hành chỉnh sửa IP của máy, khi đó hệ thống sẽ bật lên hộp thoại User Account Control
và hỏi ý bạn có muốn tiếp tục hay không? Đương nhiên ta chọn Continue thì vẫn có thể chỉnh sửa thoải mái và
gccom1 chính là một Admin
Để tắt sự phiền toái này bạn vào lại User Accounts chọn Turn User Account Control on or off
3 of 13

4. Bỏ chọn mục Use User Account Control (UAC) to help protect your computer đi và tiến hành Restart lại máy.
Như vậy từ rày về sau bạn sẽ không gặp phiền toái này nữa tuy nhiên Windows khuyến cáo bạn không nên tắt nó vì
như thế vô tình máy bạn không được bảo vệ tốt các chương trình gián điệp sẽ dễ dàng hạ gục hệ thống của bạn.
Bây giờ bạn logon với gccom2 và bạn vào Network Connections
Nhấp vào Properties để tiến hành chỉnh sửa IP của máy, khi đó hệ thống sẽ bật lên hộp thoại User Account Control
và hỏi ý bạn có muốn tiếp tục hay không? và yêu cầu đăng nhập dưới quyền Admin của máy
Ngoài việc chỉnh UAC bằng cách trên ta có thể dùng Group Policy để tùy biến đa dạng hơn
4 of 13

5. Bạn vào Computer Configuration -> Windows Settings -> Sercurity Settings -> Local Policies -> Sercurity
Options
User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
Tùy chọn này tác động lên lên User là Admin và có 3 lựa chọn
- Elevate without prompting: Không hiện nhắc nhở
- Prompt for credentials: Hiện cảnh báo với việc xác thực mật khẩu
- Prompt for consent: Cảnh báo thường xuyên
5 of 13

6. User Account Control: Behavior of the elevation prompt for standard users
Tùy chọn này tác động lên lên User không thuộc nhóm là Admin và có 2 lựa chọn:
- Automatically deny elevation requests: tự động từ chối tất cả
- Prompt for credentials: yêu cầu xác nhận mật khẩu Admin
6 of 13

7. Ngoài ra trong Local computer policy của Windows Vista còn có thêm phần Windows Firewall như sau:
- Inbouns Rules: giới hạn các ngõ vào hệ thống
- Outbouns Rules: giới hạn các ngõ ra hệ thống
Bây giờ giả sử tôi muốn khóa không cho truy cập trang web có IP là 203.162.4.190 chẳng hạn tôi làm như sau:
Chọn Outbound Rules nhấp phải chọn New Rule
Chọn Custom
7 of 13

8. Trong mục This program path chọn nút Browse… chọn theo đường dẫn C:Program filesInternet
Exploreriexploer.exe
Do ta chặn đầu ra là web nên gia thức sẽ là TCP/80 và chỉ tác động lên mục Remote port mà thôi
8 of 13

9. Tại mục Customize the interface types to which this rule applies bạn Add IP cần chặn vào
Chọnt tiếp Block the connection để khóa IP này
9 of 13

10. Đặt tên cho công việc này là Lock IP 203.162.4.190
Màn hình sau khi hoàn tất
Bây giờ ta thử truy cập vào trang 203.162.4.190 sẽ thấy báo lỗi
10 of 13

11. Kể từ phiên bản Windows XP SP2 trở đi Microsoft tích hợp luôn công cụ Windows Firewall vào hệ thống nhằm nâng
cao mức độ bảo mật cho khách hàng chống lại tình trạng Virus & Spyware ngày càng mạnh mẽ và đa dạng hơn.
Tuy thế mặc định Windows do tính năng Firewall được bật lên nên với những ai đã xài quen với các hệ thống cũ cảm
thấy khó chịu & phiền toái khi để Windows Firewall này chạy, vì một số tính năng mặc định thông thường sẽ bị han chế
ví dụ như bạn ping các máy trong mạng LAN sẽ không nhận được kết quả hồi đáp như mong đợi mặc dù trước đó hệ
thống mạng đã hoàn toàn thông suốt.
11 of 13

12. Và như vậy một số khách hàng sử dụng ngay phương pháp “cơ bản” nhất là tắt Windows Firewall đi, tuy nhiên chúng
ta không nên sử dụng cách này vì như thế vô tình đã để hệ thống của mình hoàn toàn không được bảo vệ tốt
Để tuỳ chỉnh các hạn chế này bạn vào Windows Firewall chọn Change Settings và chọn Tab Exceptions
Sau đó tuỳ theo ý muốn của mình mà bạn check hoặc uncheck các tính năng tương ứng
12 of 13

13. OK mình vừa giới thiệu xong phần User Account Control & Firewall 70-290, 70-620 của MCSA.
Công ty TNHH đầu tư phát triển tin học GC Com
Chuyên trang kỹ thuật máy vi tính cho kỹ thuật viên tin học
Điện thoại: (073) - 3.511.373 - 6.274.294
Website: http://www.gccom.net
13 of 13