Thứ bảy, 14/01/2006, 15:57 GMT+7

Trong vài năm qua, bảo mật đã giành một vị trí đặc biệt quan trọng trong chiến lược phát triển của Microsoft. Nhiều công cụ và cơ chế bảo mật đã được tích hợp sẵn trong Windows hoặc được tải miễn phí như là tiện ích cài đặt thêm. Có những công nghệ không thực sự hữu dụng, nhưng một số khác lại có tiềm năng rất lớn.

Dưới đây là 10 công nghệ của Microsoft bị đánh giá không đúng mức hoặc chưa được quan tâm:

1. TCP/IP filtering

Tất cả các phiên bản của Windows 2000 và Windows Server 2003 đều hỗ trợ TCP/IP filtering, cho phép người sử dụng có thể quản lý các cổng TCP/UDP và các giao thức IP mà HĐH Windows sẽ tiếp nhận từ những kết nối bên ngoài. Bạn có thể tìm thấy TCP/IP filtering trong hộp thoại Advanced TCP/IP trong thẻ Option của kết nối mạng. Cấu hình TCP/IP filtering giúp giới hạn các kết nối từ bên ngoài qua cổng TCP và UDP và những giao thức IP khác (bằng cách xác định con số giao thức của địa chỉ IP, ví dụ: giao thức IP có số 47 là GRE). TCP/IP filtering được áp dụng cho tất cả những giao tiếp mạng trên máy. Một giới hạn của TCP/IP filtering là nó không có khả năng chặn hoặc quản lý các gói ICMP. 

2. Microsoft Certificate Services (MCS)

Nền tảng của mã khoá công khai PKI (Public Key Infrastructure) là một yếu tố cần thiết với bất cứ công ty nào, đặc biệt là trong lĩnh vực bảo mật. PKI phụ thuộc vào việc tạo và truyền đi các chứng thực số được sử dụng để xác thực lại các máy tính và người sử dụng. Giải pháp chứng thực số của Microsoft MCS là một lựa chọn tốt trong việc cấp phép các chứng thực số trong thương mại, nhưng lại được coi là một giải pháp tốn kém cho hầu hết các mạng doanh nghiệp. Nếu sử dụng máy chủ Windows 2000 hoặc Windows Server 2003 trên hệ thống mạng, bạn có thể tạo ra dịch vụ chứng thực dựa vào Microsoft Certificate Services để phát hành các chứng thực số cho máy tính và người sử dụng. Người quản trị mạng cũng có thể cấu hình để làm việc với Active Directory. Vì vậy, người quản trị mạng có thể triển khai chứng thực số và quản lý được tất cả những máy tính và người dùng trong miền Active Directory.

3. Windows Firewall

Microsoft xây dựng tường lửa cá nhân (Personal Firewall) hoặc tường lửa trên máy tính kết nối mạng nhờ sử dụng Internet Connection Firewall (ICF). Mặc dù, ICF hoạt động khá tốt nhưng thiếu sự mềm dẻo và khả năng quản lý tập trung hiệu quả.  Tường lửa Windows Firewall cho phép người sử dụng chặn tất cả các kết nối mạng tới hệ thống tậptin host củaWindows, hoặc cấu hình để chạy các ứng dụng nào đó qua một số cổng định trước, nhưng cũng có ngoại lệ cho phép các kết nối từ một mạng hoặc một địa chỉ IP nào đó. Windows Firewall cũng hỗ trợ khả năng quản lý Active Directory.

4. Microsoft Baseline Security Analyzer (MBSA)

Microsoft Baseline Security Analyzer là công cụ miễn phí, người sử dụng có thể sử dụng để quét tất cả những máy trạm và máy chủ Windows để phát hiện những cấu hình bảo mật hiện tại trên những máy tính đã nối mạng này. MBSA cung cấp giao diện dễ sử dụng và người sử dụng có thể quét một hoặc hàng nghìn máy tính ở trong mạng rất nhanh chóng. Sử dụng giao diện dòng lệnh, MBSA hỗ trợ quét theo lịch và lưu trữ những tập tin cấu hình này trong cơ sở dữ liệu.

5. VPN cho những phần mạng bảo mật cao

Hầu hết các nhà quản trị mạng đều suy nghĩ và cho rằng VPN (Vitual Private Network) đơn thuần là một giải pháp truy cập từ xa. Mặc dù, VPN thực sự là một giải pháp truy cập từ xa hiệu quả, nhưng bạn cũng có thể sử dụng nó để tách riêng thành những phần mạng đòi hỏi bảo mật cao với toàn bộ mạng trong công ty. Ví dụ: Nếu có một lý do nào đó, người sử dụng cần truy cập vào máy chủ và máy trạm để truy cập vào bộ phận quản lý nhân sự? Nhưng, chỉ một số hoặc một nhóm người sử dụng mới được phép, không phải tất cả mọi người đều có thể truy cập. Bạn có thể đặt máy chủ  Microsoft VPN trên mạng và yêu cầu người sử dụng kết nối vào mạng qua L2TP/IPSec. Lúc đó, L2TP/IPSec yêu cầu xác thực máy tính của người sử dụng qua chứng thực số. Nếu muốn tăng mức độ bảo mật lên cao hơn, nhà quản trị có thể yêu cầu xác thực người sử dụng.

6. Phần mềm chính sách nhóm  (group policy software)

Group Policy nhằm mục đích giới hạn quyền truy cập, cho phép người sử dụng quản lý phần mềm nào có thể được phép chạy trên máy tính. Chẳng hạn, bạn có thể tạo một chính sách nhằm ngăn chặn những loại tập tin chạy tự động trong các tập tin đính kèm của email. Nếu lo sợ khả năng lây lan virus qua email, thì đây là một giải pháp rất phù hợp. Mặc dù, điều này cũng sẽ giới hạn những người sử dụng khác trên máy.

Group Policy có thể giúp bạn quản lý được người dùng, ai đã được tin tưởng và được cấp phép truy cập vào máy tính. Tuy nhiên, cần phải xem xét những chính sách đó có ảnh hưởng đến toàn bộ ngưởi sử dụng, hoặc chỉ quản lý từng bộ phận, trang Web, hay tên miền.

7. IPSec domain isolation

IPSec domain isolation là một phương thức để điều khiển giao thông giữa các máy tính trong mạng thuộc Active Directory. Có phải những hệ thống máy trạm cần phải kết nối tới máy trạm khác hay không? Có phải tất cả những hệ thống máy trạm đều cần phải kết nối với tất cả những máy chủ trong mạng? Có phải tất cả những máy chủ, thậm chí thuộc cùng một vùng (zone), cần kết nối với máy chủ khác?... Tất nhiên là không. Mặc dù, hầu hết người sử dụng đều nghĩ IPSec là một phương thức mã hoá dữ liệu, và phương pháp này không có xu hướng xử lý tốt và hiệu quả khi không triển khai mã hoá. Để biết thêm thông tin về IPSec doman isolation, hãy đọc tài liệu mà Microsoft cung cấp.

8. Internet Authentication Server (IAS)

Máy chủ xác thực Internet IAS của Microsoft là một phiên bản của chương trình RADIUS, cho phép người sử dụng có thể xác thực người sử dụng trong Active Directory với những máy tính không thuộc miền đó. Công nghệ này rất hữu ích cho truy cập các mạng WLAN (mạng LAN không dây), truy cập từ xa nhờ kết nối VPN, và xác thực người dùng Web Proxy. Bạn cũng có thể sử dụng các chính sách truy cập từ xa của IAS để quản lý mạng không dây, VPN, và kết nối Web Proxy. IAS là một phần của Widows Server 2003 và có thể được cài đặt/gỡ cài đặt tại Control Panel-> Add/Remove Programs.

9. Microsoft Firewall (Winsock proxy) Client

Microsoft Firewall Client là một ứng dụng Winsock proxy cho máy trạm và người dùng cuối. Winsock là viết tắt của Windows Socket, là một giao tiếp lập trình ứng dụng API được phát triển cho các ứng dụng Windows. Winsock được sử dụng để giao tiếp với các máy tính nối mạng khác nhờ sử dụng giao thức TCP/IP.

Firewall Client tự động chặn và tạo kết nối từ xa từ các ứng dụng Winsock tới các dịch vụ ISA Firewall trên máy chủ. Firewall Client chuyển tiếp các uỷ nhiệm người dùng qua một kênh kết nối đã được mã hoá, cho phép xác thực một cách trong suốt với ISA Firewall và cung cấp tính năng giới hạn truy cập mạnh về người dùng và nhóm người dùng. Firewall Client cũng chuyển tiếp các tên của ứng dụng tới IAS Firewall. Điều này cho phép các nhà quản trị có thể lấy tên người dùng và tên ứng dụng với mỗi kết nối qua ISA Firewall, và các thông tin này sẽ được lưu trong các tập tin log và báo cáo.

10. Hệ thống mã hoá tập tin EFS

Hệ thống mã hoá tập tin EFS cho phép người sử dụng có thể mã hoá các tập tin, nhóm các tập tin , thư mục... hoặc thậm chí toàn bộ đĩa cứng với lớp bảo mật mạnh. EFS có thể làm việc cùng với Active Directory và Group Policy để cung cấp một phương thức mã hoá mạnh trên hệ thống tập tin trên Windows hoặc qua hệ thống mạng khi truy cập tập tin từ WebDAV. EFS đặc biệt hữu ích khi triển khai trên máy tính xách tay, bởi chúng dễ bị mất trộm. Với EFS, Windows XP và Windows 2003 có thể ngăn ngừa khả năng bị mất trộm dữ liệu quan trọng và phá bỏ mật khẩu quản trị hệ thống (Administrator).

VietnamNet