Bảo mật cho các máy tính của một tổ chức như thế nào? ( Phần 2)
December 22, 2018Chúng ta cùng đi tiếp phần nội dung “Bảo mật cho các máy tính của một tổ chức như thế nào?” để cùng nắm được những cách đảm bảo an toàn cho hệ thống máy tính của doanh nghiệp mình.
Thiết kế Security cho các Computer
Những phương thức chung bảo đảm an toàn cho máy tính
Tiến hành cài đặt an toàn ngay từ ban đầu cho hệ điều hành và các ứng dụng theo hướng dẫn:
Thực thi các cấu hình bảo mật mặc định cho hệ điều hành và ứng dụng.
Chỉ cài đặt những ứng dụng và dịch vụ cần thiết trên các Server (ví dụ: không cài lung tung các ứng dụng và triển khai những dịch vụ không cần thiết trên Mail, Web server của tổ chức)
Xác lập bảo vệ cho tất cả các tài khoản mặc định của hệ thống (ví dụ: tài khoản mặc định Administrator nên được đổi tên vì tên này ai cũng biết, và set password phức hợp, sẽ có tác dụng lớn để đối phó với attacker trong những cuộc tấn công dạng Brute force password).
Những file cài đặt cho hệ điều hành và ứng dụng phải an toàn, phải được xác nhận (digitally sign) từ nhà cung cấp, có thể dùng nhiều utility để kiểm tra vấn đề này, ví dụ Sign verification.
Tiến hành cài đặt phải là những người có đủ độ tin cậy trong tổ chức.
Nên cô lập mạng trong quá trình cài đặt. Tạo một Network riêng dành cho việc cài đặt nếu phải cài đặt hệ điều hành, ứng dụng qua mạng (ví dụ dùng dịch vụ RIS của Microsoft..), điều này là thiết yếu và tăng sự an toàn, có thể chống được sự lây nhiễm Virus từ bên ngoài hoặc các Built-in account như Administrator được tạo ra qua mạng từ các unattended installation scripts không bị thâu tóm… Các CD cài đặt hệ điều hành ứng dụng nên tích hợp đầy đủ các Service packs, security updates (vá lỗi ngay trong quá trình cài đặt).
Làm thế nào để cấu hình các xác lập chuẩn bảo mật cho một tổ chức (Security baseline)
Trước khi triển khai máy tính cho tổ chức, cần xác định các security baseline. Các security admin có thể triển khai những security baseline này trong suốt quá trình cài đặt hoặc sau đó. Trên Microsoft Windows 2000 và Microsoft Windows XP, các admin có thể tạo và triển khai các security templates để đạt được những yêu cầu bảo mật cần thiết.
Tuân thủ những hướng dẫn sau để tạo security baseline cho các máy tính
Tạo một chính sách security baseline cho các máy tính theo đúng những quy định của tổ chức về an toàn thông tin phục vụ cho các quy trình nghiệp vụ. Chính sách này phải đảm bảo an toàn cho máy tính, hệ điều hành và các ứng dụng nghiệp vụ…
Ví dụ: chính sách chỉ định rằng tất cả HDH trong tổ chức phải chống được kiểu tấn công SYN-ACK (synchronize acknowledge) denial of service (DoS) tấn công từ chối dịch vụ. Một chính sách tốt cũng hình dung được vai trò của máy tính cần bảo vệ.
1. Tạo sẵn các security templates .mẫu, cho phép chỉnh sửa. Ví dụ để bảo vệ hệ điều hành chống lại SYN-ACK attacks, có thể đơn giản thêm vào Registry những giá trị mong muốn nhằm thay đổi cách thức vận hành của TCP/IP stack trong giao tiếp mạng với các máy tính khác, như vậy có thể chống được những cuộc tấn công kiểu này.
2. Vận hành thử và kiểm tra các security template này. Mỗi security template được triển khai sẽ không có các yếu tố gây cản trở hệ điều hành, các dịch vụ khác, hoặc xung đột với các ứng dụng
3. Triển khai các security template cho máy tính thông qua những công cụ như command Secedit Group Policy, hoặc tự động hóa triển khai cho hàng loạt máy tính thông qua các Group Policy của Active Directory Domain (GPO).
Security cho các máy tính có vai trò đặc biệt như thế nào.
Admin sẽ cài đặt những ứng dụng và những dịch vụ phụ thuộc vào vai trò của những máy tính đó.
Như vậy những máy tính đặc biệt này cần có những Security baseline tương đối khác nhau để phù hợp với dịch vụ đang vận hành.
Ví dụ: Web server chạy dịch vụ Internet Information Services (IIS) cho phép hàng ngàn lượt truy cập mỗi ngày từ Internet với những mối nguy hiểm luôn rình rập. Ngược lại thì một File server sẽ không chạy dịch vụ IIS và chỉ có thể truy cập bởi những user trong mạng nội bộ. Thiết kế bảo mật cho các máy tính có vai trò đặc biệt đòi hỏi có kinh nghiệm và am hiểu chi tiết về những ứng dụng và dịch vụ mà chúng đang vận hành. Ví dụ một Windows 2000 administrator có thể không có những kiến thức để hiểu được cách hoạt động của một database server như Microsoft SQL Server 2000, cho dù nó được cài đặt trên Windows 2000.
Phải đảm bảo những cá nhân chịu trách nhiệm thiết kế bảo mật cho những Server này có những hiểu biết cần thiết và kinh nghiệm đáp ứng được các yêu cầu bảo mật của tổ chức. Và cũng đảm bảo rằng tổ chức chúng ta có những chính sách sẵn sàng, quản lý bảo mật cho các server này khi chúng thay đổi vai trò hoạt động, ví dụ File Server được triển khai lại thành một Web server.
Đón chờ phần tiếp theo nhé!