Xem xét một cách tổng quan các tùy chọn điều khiển thiết bị trong Windows Vista.

[You must be registered and logged in to see this link.],
chúng tôi đã liệt kê cho các bạn một số tùy chọn nói chung mà chúng ta
có thể sử dụng để bảo vệ các thiết bị trong các phiên bản trước Windows
Vista. Với Windows Vista chúng ta sẽ có các công cụ mới cho phép bảo mật
mạnh hơn.

Trong phần tiếp theo này, chúng tôi sẽ giới thiệu một
cách nhìn tổng quan về các tùy chọn đối với việc kiểm soát thiết bị
trong Windows Vista và giới thiệu cách làm thế nào để tránh cạm bẫy
thường dễ xảy ra nhất.

Bảo mật cần phải đi tiên phong và không nên lơ đãng

Khi
đến với bảo mật, bạn phải cố gắng thực hiện các phép đo bảo mật bất cứ
khi nào có thể. Điều đó có nghĩa là phải bảo vệ các hệ thống của bạn
chống lại những mối đe dọa đã biết và kể cả chưa biết. Có thể bạn đã tự
hỏi bản thân rằng cơ cấu bảo mật có thể làm việc như thế nào, điểm bắt
đầu và điểm kết thúc khi đang cố gắng bảo vệ chống lại những gì chưa
biết? Từ khóa ở đây chí ít cũng là đặc quyền và danh sách trắng. Để bảo
vệ hệ thống của bạn chống lại những tấn công đã biết và chưa biết nói
hoàn toàn không thể không đúng; dù sao đi chăng nữa thì cũng có thể hạn
chế đi phần nào những hỏng hóc khi nó xuất hiện. Để thực hiện điều đó
bạn phải bảo đảm không được lơ đãng hệ thống của mình. Nói theo cách
khác, bạn nên bảo đảm kiểm tra phát hiện thấy một trong những thành phần
của hệ thống bị xâm nhập và xử lý kịp thời thì hỏng hóc sẽ được hạn chế
ở mức độ và phạm vi nhỏ nhất. Chính vì vậy bạn phải thiết kế ra một hệ
thống bảo vệ chắc chắn. Một trong những nguyên lý bạn nên sử dụng khi
thiết kế các giải pháp như vậy đó là phải “bảo mật theo chiều sâu”,
những tên gọi mà bạn có thể đã nghe thấy rất nhiều trước đây. Nguyên lý
này được mô tả rất rõ trong hình 1.


Ý tưởng đằng sau “bảo mật theo chiều sâu” là để thiết
kế các giải pháp gồm có nhiều lớp bảo mật độc lập, tất cả chúng đều có
nhiệm vụ bảo vệ tài nguyên của bạn. Để một người dùng trái phép tăng mức
truy cập đến tài nguyên mà bạn đang cố gắng bảo vệ thì anh ta phải phá
hỏng các lớp phòng vệ đã thực hiện ở các tầng trong đó gồm có cả lớp con
người, lớp không được mô tả trong hình 1. Nguyên lý này sẽ giúp hệ
thống của bạn vẫn có thể an toàn trong trường hợp nó đã bị tấn công một
số lớp. Với các nguyên lý này, chúng ta hãy xem một vài ví dụ làm thế
nào có thể thực hiện các phép đo bảo mật đối với việc kiểm soát thiết bị
trong Windows Vista.

Device Installation Control (Kiểm soát cài đặt thiết bị)

Windows
Vista đã được nạp các tính năng bảo mật khác nhau, được so sánh với
những “kẻ tiền nhiệm” mà chúng ta đã giới thiệu đến trong phần 1 của bài
viết. Một trong những tính năng đó là Device Installation Control (kiểm
soát cài đặt thiết bị), nó cung cấp cho bạn một cách cốt yếu để kiểm
soát các thiết bị của một người dùng được phép cài đặt trên máy tính hay
không và sẽ cài đặt như thế nào. Microsoft đã viết từng bước đối với
cách làm thế nào đối với người dùng để bắt đầu với tính năng này nhưng
trong bài viết này, chúng tôi sẽ giới thiệu với các bạn sâu hơn nữa với
một số ví dụ làm thế nào để áp dụng chúng trước khi các nguyên lý liên
quan trong việc sử dụng đặc quyển tối thiểu và danh sách trắng. Trước
khi giới thiệu bạn cần biết một số vấn đề dưới đây:

• 
  
  Các thiết bị phải chưa được cài đặt trên máy trước thời điểm bạn muốn kiểm soát chúng.
  
• 
  
  Với lời khuyên trên, bạn nên sử dụng một máy tính biệt lập, máy
  tính này sẽ dùng để lấy các lớp thiết bị và ID của chúng để dùng nó vào
  việc hạn chế hoặc đưa chúng vào danh sách trắng.
  
• 
  
  Chú ý rằng, kiểm soát thiết bị trong Vista là dựa vào thiết bị
  điện tử. Điều này có nghĩa tất cả người dùng trên các máy tính có kiểm
  soát này sẽ bị ảnh hưởng. Một cách giải quyết khác là tạo sự hạn chế
  thiết bị khác của GPO và lọc phạm vi của GPO theo thành viên nhóm bảo
  mật. Mặc dù vậy nếu muốn kiểm soát thiết bị đúng người thì bạn vẫn cần
  đến các giải pháp của nhóm thứ 3.
  

Ví dụ 1: Kiểm soát thiết bị đặc quyền tối thiểu

Trong
ví dụ này, chúng tôi sẽ giới thiệu cho các bạn cách làm thế nào để ngăn
chặn người dùng cài đặt các thiết bị phần cứng lên máy tính Vista.

Chúng
ta sử dụng Group Policy Management Console, vì vậy từ Vista bạn phải
đăng nhập với một tài khoản miền cho phép sửa đổi Group Policies.

Tại cửa sổ lệnh Start | Search bạn đánh GPMC.MSC và nhấn Enter

1, Vào Computer Configuration > Administrative Templates > System > Device Installation > Device Installation Restrictions

2, Cấu hình các thiết lập dưới đây (như được hiển thị trong hình 2)

• 
  
  Allow administrators to override device installation policy (Cho phép các quản trị viên ghi đè cơ chế cài đặt thiết bị): Bạn chọn Disabled
  
  
• 
  
  Display a custom message when installation is prevented by policy (Hiển thị thông báo tùy chọn khi cài đặt bị ngăn chặn bởi chính sách): Chọn Enabled và chèn vào đó đoạn thông báo của bạn.
  
  
• 
  
  Display a custom message when installation is prevented by policy (Hiển thị thông báo tùy chọn khi cài đặt bị ngăn chặn bởi chính sách (tiêu đề thêm)): Chọn Enabled và chèn vào đó đoạn thông báo của bạn
  
  
• 
  
  Prevent installation of devices not described by other policy settings (Ngăn chặn việc cài đặt các thiết bị không mong muốn bằng các thiết lập chính sách khác): Chọn Enabled
  
  Lưu ý:
  Một số thiết lập có chức năng như trên có thể có chế độ thiết lập mặc
  định “Not configured”. Điều này là chính sách an toàn trong Vista đã
  thực hiện mặc định. Mặc dù vậy chúng tôi khuyên bạn nên cấu hình các
  thiết lập này một cách cụ thể cho sáng sủa hơn.
  

3, Sau khi đã áp dụng GPO, chúng ta sẽ kiểm tra thử
các thiết lập này hoạt động như thế nào, hình 3, 4 và 5 thể hiện cho bạn
thấy rõ điều này


Ví dụ 2: Kiểm soát thiết bị bằng danh sách trắng

Trong
ví dụ này chúng tôi sẽ giới thiệu cho các bạn cách làm thế nào để tránh
người dùng cài đặt các thiết bị phần cứng trừ những thiết bị đã được
liệt kê trong danh sách trắng. Trước khi thực hiện bạn nên biết một số
thứ về các lớp thiết bị và ID (ID phần cứng). Hình 6 và 7 hiển thị cho
bạn thấy những các lớp thiết bị và ID từ cửa sổ Device Manager.


Với ví dụ này, chúng tôi sẽ giới thiệu cho bạn cách sử dụng tính năng hạn chế thiết bị dựa vào ID.

Bạn
có thể thu thập cả các lớp thiết bị và ID mà bạn muốn hạn chế hoặc cho
phép bằng cách sử dụng GUI trong Device Manager, phương pháp mà mọi
người cảm thấy thân thiện nhất hoặc có thể thoải mái hơn và sử dụng dòng
lệnh. Trong bài viết này, chúng tôi sẽ giới thiệu cho các bạn cách sử
dụng một công cụ dòng lệnh khá thuận lợi của Microsoft được gọi là
DevCon, bạn có thể tìm thấy nó [You must be registered and logged in to see this link.].

Copy
tiện ích dòng lệnh vào máy tham chiếu Vista và mở dòng lệnh như một
quản trị viên. Chúng tôi sẽ không giới thiệu hết về các tùy chọn trong
dòng lệnh ở đây mà chỉ giới thiệu đơn giản cách sử dụng DevCon trong ví
dụ.

1, Tại dòng lệnh bạn đánh lệnh như hiển thị trong hình 8:

devcon classes

Lệnh này sẽ hiển thị tất cả các lớp thiết bị có trên máy tính mà bạn dùng để đọc ID và lớp này.


2, Trong ví dụ, chúng ta thực hiện đối với một USB
4GB (tức là chỉ có USB này mới có quyền cài đặt vào hệ thống cần bảo vệ
của bạn), vì vậy chúng ta cần ID thiết bị từ thiết bị này máy tính tham
chiếu, đánh lệnh như hình 9:

devcon hwids usb*

Chú ý một số thứ đối với ví dụ về dòng lệnh này. Tham số thứ hai “usb”
xuất hiện do chúng ta sử dụng lệnh DevCon trước đó. Thêm vào ‘asterix’
sẽ hiển thị tất cả các USB đã được cài đặt trên máy tính tham chiếu. Vị
trí ID phần cứng như thế hiện trong hình 9 và copy ID này trước khi tiếp
tục các bước tiếp theo.


Lưu ý: Bạn cần phải biết được ID phần
cứng nào sẽ copy. Khi làm việc với danh sách trắng, bạn luôn luôn copy
ID phần cứng đứng đầu đối với một thiết bị cụ thể. Nếu thực hiện danh
sách đen thì bạn phải xem xét đến việc sử dụng các ID phần cứng ở dưới.
Nói tóm lại đây là các ID thiết bị khác với ID mà bạn mong muốn nó có
thể làm việc với hệ thống của mình.

Tiếp tục, chúng ta sẽ sử
dụng Group Policy Management Console, vì vậy từ Vista bạn phải đăng nhập
vào tài khoản miền cho phép thay đổi Group Policies

Tại cửa sổ lệnh Start | Search bạn đánh GPMC.MSC sau đó nhấn Enter

3, Vào Computer Configuration > Administrative Templates > System > Device Installation > Device Installation Restrictions

4, Cấu hình các thiết lập dưới đây

• 
  
  Allow administrators to override device installation policy (Cho phép quản trị viên có thể ghi đè chính sách cài đặt thiết bị): Chọn Enabled
  
  
• 
  
  Display a custom message when installation is prevented by policy (Hiển thị thông báo tùy chọn khi ngăn cấm không cho cài đặt): Chọn Enabled và chèn vào dòng chữ bạn cần hiển thị
  
  
• 
  
  Display a custom message when installation is prevented by policy (Hiển thị thông báo tùy chọn khi ngăn cấm không cho cài đặt): Chọn Enabled và chèn vào dòng chữ bạn cần hiển thị
  
  
• 
  
  Allow installation of devices that match any of these device Ids (Cho phép cài đặt thiết bị phù hợp có ID thích hợp): Chọn Enable và nhấn Show… như hình 10
  
  
• 
  
  Nhấn Add... và thêm vào ID phần cứng từ bước 2
  
  
• 
  
  Prevent installation of devices not described by other policy settings (Không cho phép cài đặt các thiết bị không được liệt kê trong danh sách): Enabled
  

5, Kiểm tra các thiết lập của bạn đối với các thiết bị có tên hoặc không có tên trong danh sách trắng.

Kết luận

Mặc
dù nó không phải là một biện pháp hoàn hảo nhưng phần hạn chế cài đặt
trong Vista này quả thực là một tính năng lý tưởng và nó quả thực có ích
hơn so với những gì chúng ta đã thấy trong phần 1 nhất là đối với các
thiết bị truyền thông không dây. Việc nhận ra các thiết bị truyền thông
không dây được sử dụng bởi một người dùng trái phép là một vấn đề quan
trọng. Bằng cách sử dụng tính năng Device Installation Restriction của
Vista bạn hoàn toàn có thể dễ dàng thực hiện điều đó. Khai thác triệt để
tính năng này, bạn có thể bảo vệ các client của bạn một cách an toàn.