Menu

0

₫0.00

Cùng tìm hiểu tiếp tục những bật mí trong vấn đề bảo mật cho máy tính của một tổ chức để đảm bảo không bị lộ nguồn data của doanh nghiệp ra bên ngoài.

Những phương pháp chung để áp dụng Security Updates (cập nhật security)

Có thể dùng những phương pháp sau để tiến hành cập nhật security cho các máy tính trên mạng.

Dùng tính năng Windows Update: Để scan máy tính, đảm bảo rằng tất cả security updates mới nhất, các thành phần liên quan đến Windows (Windows components), và các driver cho thiết bị đã được cài đặt. Để sử dụng Windows Update phải là thành viên của nhóm Administrators. Nếu phải scan nhiều máy trên mạng từ một location, có thể sử dụng công cụ: MBSA (Microsoft Baseline Security Analyzer) của hãng Shavlik, một đối tác của Microsoft. Hoặc chuyên dụng hơn là cung cấp giải pháp scan bảo mật toàn diện có thể dùng GFI Languard network security scanner của GFI, rất phổ biến với Admin.

Office Update: Scan và cập nhật những secuirty mới nhất cho bộ sản phẩm Microsoft Office. Vá lỗi cho các sản phẩm này cũng là một việc rất quan trọng mà các Security admin cần chú ý. Chỉ thành viên nhóm Administrators mới đuợc dùng tính năng này.

Dùng Group Policy: Nếu triển khai security updates cho hàng loạt các máy tính trong môi trường Active directory domain, các admin sẽ sử dụng các chính sách của Domain hoặc GPO cho các ou (office Update) trong Domain. Khi dùng Group Policy, User không cần phải làm bất cứ động tác nào vì thông qua Active Directory service, Group Policy có thể thực hiện hoàn toàn tự động.

Dùng dịch vụ Microsoft Windows Software Update Services (WSUS/SUS): Server cài đặt dịch vụ này, được xem là trung tâm phân phối các security updates cho các máy tính trên mạng. Admin có thể cấu hình trên các máy tính để tự động download security updates hoặc lập lịch biểu (scheduling) download từ wsus server này.

Dùng tính năng Feature Pack (Microsoft Systems Management Server (SMS) Update Services Feature Pack) có trong dịch vụ SMS: Bao gồm Wizard hướng dẫn đóng gói các Security updates và triển khai chúng đến các máy tính thông qua kho lưu trữ Software Inventory.

Bảo mật cho các máy tính của một tổ chức như thế nào?

Chính sách an toàn Account cho máy tính (Security Account Policies)

Ở phần trước đã giới thiệu những phương thức chung để bảo vệ máy tính của một tổ chức. Phần tiếp theo này sẽ trình bày những phương thức cụ thể theo trình tự, từ quá trình setup hệ thống, vận hành hệ thống dựa trên những chính sách an toàn từ basic cho đến những kĩ năng advance mà các Security Admin cần quan tâm để áp dụng vào việc xây dựng các quy trình an toàn thông tin cho tổ chức. Phần trình bày này xin đề cập đến vấn đề an ninh account (account security) và cách thức tạo account an toàn nhằm đối phó với những kiểu tấn công rất phổ biến và hiệu quả dưới sự trợ giúp của những công cụ phù thủy.

Chính sách về account và cách thức tạo account nghèo nàn là con đường dễ dàng nhất cho attacker, như vậy những hình thức bảo mật khác được áp dụng vào hệ thống như trang bị các công cụ chống maleware (prevent virus, worm, spyware, ad-ware..), triển khai hệ thống phòng thủ mạng (Firewall) cũng sẽ không có tác dụng nào đáng kể, vì Admin quá thờ ơ trong cách thức tạo account và đưa ra chính sách tạo account chứa đựng nhiều rủi ro.

Yêu cầu xác định các chính sách tạo password mạnh và đưa ra.được chiến lược an toàn account áp dụng an toàn vào thông tin của tổ chức là vấn đề mang tính cấp bách.

Làm thế nào để tạo và quản lý Account an toàn

Những yếu tố dưới đây sẽ cho chúng ta thấy cách thức tạo và quản lý account sao cho an toàn.

Account phải được bảo vệ bằng password phức hợp (password length, password complexity).

Chủ sở hữu account chỉ được cung cấp quyền hạn truy cập thông tin và dịch vụ cần thiết (không thiếu quyền hạn mà cũng không thể để thừa).

Mã hóa account trong giao dịch trên mạng (kể cả giao dịch trong mạng nội bộ).

Lưu trữ account an toàn (nhất định database lưu giữ tài khoản phải được đặt trên những hệ thống an toàn và được mã hóa).

Huấn luyện nhân viên, những người trực tiếp sử dụng máy tính cách thức bảo mật account tránh rò rỉ (attacker có thể lợi dụng mối quan hệ với nhân viên hoặc giả danh bộ phận kĩ thuật hỗ trợ xử lí sự cố hệ thống từ xa để khai thác), hướng dẫn cách thức thay đổi password khi cần thiết và tránh tuyệt đối việc ghi lại account trên các stick-note rồi dán bừa bãi trên monitor hoặc keyboard), khóa (lock) ngay máy tính khi không sử dụng, mặc định trên các máy tính thường cũng có chính sách tự động lock computer sau một thời gian không sử dụng, để giúp cho những nhân viên hay quên tránh được lỗi bảo mật sơ đẳng (lỗi này giống như việc ra khỏi nhà mà không khóa cửa).

Những người tạo và quản lý account (đặc biệt là những account hệ thống – System accounts, và account vận hành, kiểm soát các dịch vụ – service accounts) cho toàn bộ tổ chức là những người được xem là AN TOÀN TUYỆT ĐỐI.

Disable những account tạm thời chưa sử dụng, delete những account không còn sử dụng.

Tránh việc dùng chung Password cho nhiều account.

Khóa (lock) account sau một số lần người sử dụng log-on không thành công vào hệ thống.

Có thể không cho phép một số account quản trị hệ thống và dịch vụ, không được log-on từ xa (remote location log-on), vì những hệ thống và dịch vụ này rất quan trọng và thông thường chỉ cho phép được kiểm soát từ bên trong (internal Network), nếu có nhu cầu quản trị và hỗ trợ từ xa Security Admin vẫn dễ dàng thay đổi chính sách để đáp ứng nhu cầu.

Các Security admin khi log-on vào Server chỉ nên dùng account có quyền hạn thấp, khi cần quản trị hay vận hành các dịch vụ, mới nên dùng account System hoặc Service (ví dụ Microsoft Windows hỗ trợ command run as thông qua run as service để cho phép độc lập quản trị các thành phần của hệ thống, các dịch vụ mà không cần phải log-on vào máy ban đầu bằng account admin). Điều này giúp chúng ta tránh được các chương trình nguy hiểm đã lọt vào máy tính chạy với quyền admin, khi đó các admin thật sự của máy tính sẽ gặp nhiều rắc rối.

Vá tất cả những lỗ hổng hệ thống để ngăn chặn các kiểu tấn công “đặc quyền leo thang” (bắt đầu lọt vào hệ thống với account thông thường và sau đó leo thang đến quyền cao nhất).

Trên đây là những phần trực quan nhất mà Admin Security cần hình dung cụ thể khi thiết kế chính sách bảo mật account (account security policies). Một trong những chính sách bảo vệ hệ thống cần phải xem xét kĩ lưỡng nhất nhưng thông thường dễ lơ là thậm chí là coi nhẹ, mà sự thực hầu hết các con đường xâm nhập vào hệ thống đều qua khai thác Credentials (có được thông tin account), attacker nắm được vulnerabilities (yếu điểm) này, nên lợi dụng khai thác rất hiệu quả.

Cùng đón đọc phần tiếp theo để có cái nhìn chính xác nhất nhé!