GiaoTrinh AnToanHeThongMang

BỘ GIÁO DỤC VÀ ĐÀO TẠO
ĐẠI HỌC CÔNG NGHỆ TP.HCM
AN TOÀN HỆ THỐNG
MẠNG MÁY TÍNH
Biên soạn:
TS. Văn Thiên Hoàng
ThS. Dương Minh Chiến
www.hutech.edu.vn
AN TOÀN HỆ THỐNG MẠNG MÁY TÍNH
Ấn bản 2021
Các ý kiến đóng góp về tài liệu học tập này,xin gửi về e-mail của ban biên tập :
tailieuhoctap@hutech.edu.vn
MỤC LỤC I
MỤC LỤC
MỤC LỤC ................................................................................................ I
HƯỚNG DẪN ........................................................................................ VI
BÀI 1. TỔNG QUAN AN TOÀN HỆ THỐNG MẠNG MÁY TÍNH ..........................1
1.1 CÁC MỐI ĐE DỌA....................................................................................1
1.1.1 Amateurs..............................................................................................1
1.1.2 Hacktivists ...........................................................................................2
1.1.3 Lợi ích tài chính .....................................................................................2
1.1.4 Bí mật thương mại và chính trị toàn cầu...................................................2
1.1.5 Mức độ an toàn trong IoT (internet of things)...........................................2
1.2 TÁC ĐỘNG CỦA CÁC MỐI ĐE DỌA........................................................3
1.2.1 Thông tin nhận dạng cá nhân (PII) và thông tin bảo vệ sức khỏe (PHI).......3
1.2.2 Mất lợi thế cạnh tranh.....................................................................4
1.2.3 Chính trị và An ninh quốc gia...........................................................4
1.3 CÁC YẾU TỐ CỦA TRUNG TÂM ĐIỀU HÀNH AN NINH SOC (SECURITY
OPERATIONS CENTERS) .............................................................................5
1.3.1 Con người trong SOC......................................................................6
1.3.2 Quy trình trong SOC.......................................................................7
1.3.3 Công nghệ trong SOC.....................................................................8
1.3.4 Doanh nghiệp và Quản lý bảo mật....................................................9
1.3.5 Bảo mật và Tính khả dụng.............................................................
10
BÀI 2. HỆ ĐIỀU HÀNH WINDOWS ...........................................................12
2.1 TỔNG QUAN VỀ WINDOWS.............................................................12
2.1.1 Lịch sử hình thành Windows .......................................................... 12
2.1.2 Kiến trúc và hoạt động Windows .................................................... 19
2.2 WINDOWS ADMINISTRATION ........................................................32
2.2.1 Cấu hình và giám sát Windows ...................................................... 32
2.2.2 Bảo mật Windows ........................................................................ 43
BÀI 3. HỆ ĐIỀU HÀNH LINUX ..................................................................54
3.1 TỔNG QUAN VỀ HỆ ĐIỀU HÀNH LINUX............................................54
3.1.1 Khái niệm ................................................................................... 54
3.1.2 Giá trị của hệ điều hành Linux ....................................................... 54
3.1.3 Linux trong Trung tâm Điều hành An ninh (SOC) .............................. 56
3.1.4 Các công cụ Linux ........................................................................ 57
3.2 LÀM VIỆC TRONG SHELL LINUX ......................................................58
II MỤC LỤC
3.2.1 Shell Linux ..................................................................................58

3.2.2 Các lệnh cơ bản ...........................................................................58
3.2.3 Lệnh tệp và thư mục.....................................................................60
3.2.4 Làm việc với tập tin văn bản ..........................................................61
3.2.5 Tầm quan trọng của tập tin văn bản trong Linux...............................62
3.3 MÁY CHỦ VÀ MÁY TRẠM HỆ ĐIỀU HÀNH LINUX ............................. 63
3.3.1 Giới thiệu mô hình truyền thông Client – Server................................63
3.3.2 Máy chủ, dịch vụ và cổng kết nối....................................................64
3.3.3 Máy trạm ....................................................................................65
3.4 QUẢN TRỊ LINUX ...........................................................................66
3.4.1 Quản trị máy chủ cơ bản .................................................................66
3.4.2 Hệ thống tập tin Linux.....................................................................69
3.5 MÁY CHỦ LINUX ............................................................................ 73
3.5.1 Làm việc với GUI Linux..................................................................73
3.5.2 Làm việc trên máy chủ Linux .........................................................77
BÀI 4. CÁC PHƯƠNG PHÁP TẤN CÔNG HỆ THỐNG PHỔ BIẾN................... 84
4.1 SNIFFER ........................................................................................ 84
4.1.1 Giới thiệu ....................................................................................84
4.1.2 Những giao thức dễ bị tấn công ......................................................85
4.1.3 Các Công Cụ Sniffer......................................................................86
4.1.4 Active Sniff và Passive Sniff ...........................................................87
4.1.5 ARP Poisoning..............................................................................88
4.1.6 Wireshark và ứng dụng bộ lọc ........................................................89
4.1.7 MAC Flooding...............................................................................90
4.1.8 Kỹ Thuật DNS Spoofing .................................................................91
4.2 SOCIAL ENGINEERING................................................................... 93
4.2.1 Tổng quan...................................................................................93
4.2.2 Mục đích .....................................................................................94
4.2.3 Những kiểu tấn công thông dụng ....................................................94
4.2.4 Human-Based Social Engineering....................................................94
4.2.5 Computer-Based Social Engineering ................................................95
4.3 DOS............................................................................................... 96
4.3.1 Tổng quan...................................................................................96
4.3.2 Cơ Chế Hoạt Động Của DDoS .........................................................99
4.3.3 SMURF Attack ............................................................................ 102
4.3.4 “SYN” Flooding........................................................................... 102
4.4 SESSION HIJACKING ................................................................... 103
MỤC LỤC III

4.4.1 Tổng quan ............................................................................... 103
4.4.2 Phân biệt Spoofing và Hijacking .................................................. 103
4.4.3 Các dạng tấn công Session Hijacking ........................................... 104
4.4.4 Three-Way Handshake................................................................ 105
4.4.5 Dự Đoán Các Số Hiệu Tuần Tự .................................................... 106
4.4.6 Các Bước Trong Quá Trình Session Hijacking.................................. 108
4.4.7 Các Công Cụ Tấn Công Session Hijacking ..................................... 108
4.4.8 Những Mối Nguy Hiểm Của Session Hijacking................................. 110
4.5 FOOTPRINTING............................................................................110
4.5.1 Giới thiệu.................................................................................. 110
4.5.2 Quy Trình Thu Thập Thông Tin..................................................... 112
4.5.3 Phương pháp thu thập thông tin (Competitive Intelligence) ............. 113
4.5.4 Nslookup và DNSstuff................................................................. 117
4.5.5 Tìm Kiếm Địa Chỉ IP Của Mục Tiêu................................................ 118
4.5.6 Các Kiểu DNS Record.................................................................. 119
4.5.7 Sử Dụng Traceroute Trong Tiến Trình THU THẬP THÔNG TIN........... 120
4.5.8 Email Tracking........................................................................... 121
4.5.9 Web Spider .............................................................................. 121
4.6 SYSTEM HACKING ........................................................................122
4.6.1 Các bước tấn công ..................................................................... 122
4.7 BACKDOOR VÀ TROJAN ................................................................128
4.7.1 Backdoor .................................................................................. 128
4.7.2 Trojan ...................................................................................... 129
4.7.3 Kênh truyền Overt Và Covert....................................................... 131
4.7.4 Các Loại Trojan.......................................................................... 132
4.7.5 Wrapping.................................................................................. 137
4.7.6 Trojan Construction Kit và Trojan Maker........................................ 138
4.8 VIRUS VÀ WORM..........................................................................139
4.8.1 Sự khác biệt giữa virus và worm .................................................. 139
4.8.2 Phân loại Virus .......................................................................... 140
BÀI 5. CÁC PHƯƠNG PHÁP PHÒNG CHỐNG TẤN CÔNG...........................142
5.1 SNIFFER.......................................................................................142
5.2 SOCIAL ENGINEERING .................................................................143
5.3 DOS .............................................................................................144
5.4 SESSION HIJACKING....................................................................145
5.5 FOOTPRINTING............................................................................146
5.6 BACKDOOR VÀ TROJAN ................................................................146
IV MỤC LỤC
5.6.1 Công cụ giám sát port và dò tìm trojan.......................................... 147

5.6.2 Kiểm tra tính toàn vẹn của tập tin................................................. 148
5.7 VIRUS VÀ WORM ......................................................................... 149
5.8 SYSTEM HACKING – PENETRATION TESTING ............................... 149
5.8.1 Biện pháp đối phó với crack password ........................................... 149
5.8.2 Đối phó Rootkit.......................................................................... 150
BÀI 6. AN TOÀN HẠ TẦNG MẠNG .......................................................... 151
6.1 GIẢI PHÁP VÀ LỘ TRÌNH XÂY DỰNG BẢO MẬT HẠ TẦNG MẠNG .... 151
6.2 THIẾT KẾ MÔ HÌNH MẠNG AN TOÀN............................................. 152
6.3 CHÍNH SÁCH AN TOÀN MẠNG....................................................... 154
6.3.1 Quy trình tổng quan xây dựng chính sách tổng quan ....................... 154
6.3.2 Hệ thống ISMS........................................................................... 155
6.3.3 ISO 27000 Series ....................................................................... 156
6.4 FIREWALL ................................................................................... 159
6.4.1 Khái niệm.................................................................................. 159
6.4.2 Chức năng của tường lửa............................................................. 160
6.4.3 Nguyên lý hoạt động................................................................... 161
6.4.4 Phân loại................................................................................... 162
6.4.5 Thiết kế Firewall trong mô hình mạng............................................ 163
6.5 HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS........................................ 164
6.5.1 Giới thiệu IPS ............................................................................ 164
6.5.2 Kiến trúc hệ thống ngăn chặn xâm nhập........................................ 165
6.5.3 Phân loại IPS ............................................................................. 168
6.5.4 Kỹ thuật nhận biết và ngăn chặn của IPS....................................... 172
BÀI 7. MẬT MÃ VÀ CÁC GIAO THỨC BẢO MẬT ...................................... 175
7.1 BẢO MẬT THÔNG TIN VÀ MẬT MÃ ................................................ 175
7.1.1 Giới thiệu .................................................................................. 175
7.1.2 Kiến trúc an toàn của hệ thống truyền thông mở OSI ...................... 176
7.1.3 Mô hình an toàn mạng tổng quát................................................. 177
7.1.4 Lý thuyết mật mã hỗ trợ xây dựng ứng dụng bảo mật thông tin ..... 178
7.2 CÁC GIAO THỨC BẢO MẬT MẠNG.............................................. 183

7.2.1 Tổng quan Kerberos ................................................................. 183
7.2.2 SSL .......................................................................................... 186
7.2.3 IPSEC....................................................................................... 192
TÀI LIỆU THAM KHẢO........................................................................ 200
BÀI TẬP THỰC HÀNH ......................................................................... 201
BÀI 1. CÀI ĐẶT MÁY ẢO CYBEROPS ..................................................... 202
MỤC LỤC V
BÀI 2. TẠO TÀI KHOẢN NGƯỜI DÙNG ...................................................207
BÀI 3. TÌM HIỂU PROCESS, THREADS, HANDLES VÀ WINDOWS
REGISTRY........216
BÀI 4. TRA CỨU ROUTE.........................................................................225
BÀI 5. CÔNG CỤ WIRESHARK................................................................231
VI HƯỚNG DẪN
HƯỚNG DẪN
MÔ TẢ MÔN HỌC
Do các ứng dụng trên mạng Internet ngày các phát triển và mở rộng, nên an toàn
thông tin trên mạng đã trở thành nhu cầu bắt buộc cho mọi hệ thống ứng dụng. Vì
vậy, An toàn hệ thống mạng máy tính là môn học không thể thiếu của sinh viên
ngành mạng máy tính và an toàn thông tin. Mục đích của môn học này là cung cấp
cho sinh viên kiến thức về các vấn đề an ninh mạng hiện nay và giải pháp tổng thể
trong việc triển khai mạng an toàn.
NỘI DUNG MÔN HỌC

Bài 1: TỔNG QUAN AN TOÀN HỆ THỐNG MẠNG MÁY TÍNH.
Giới thiệu các mối đe dọa phổ biến hiện nay liên quan đến lợi ích tài chính, bí mật
thương mại và chính trị toàn cầu, cũng như mức độ an toàn trong IOT, tác động của
các mối đe dọa và các yếu tố của trung tâm điều hành an ninh SOC đảm bảo tính bảo
mật và tính khả dụng.
Bài 2: HỆ ĐIỀU HÀNH WINDOWS.
Giới thiệu tổng quan về hệ điều hành Windows, lịch sử hình thành, các phiên bản
và lỗ hổng hệ điều hành Windows. Cách thức quản trị, cấu hình và giám sát, cũng
như các vấn đề bảo mật trong Windows.
Bài 3: HỆ ĐIỀU HÀNH LINUX.
Trình bày khái niệm cơ bản về Linux, giá trị và tầm quan trọng của hệ điều hành
Linux trong trung tâm điều hành an ninh, các công cụ hay sử dụng và quản trị hệ điều
hành Linux.
Bài 4: TẤN CÔNG HỆ THỐNG.
Trình bày các bước tấn công mạng của hacker Các bước tấn công mạng gồm có:
(1) Thu thập thông tin để giành quyền truy cập; (2) Tạo ra user có đặt quyền trên hệ
thống hoặc nâng quyền hạn của user đã thu thập được; (3) Tạo và duy trì backdoor
để truy cập; (4) Che dấu các tập tin độc hại và (5) Xóa dấu vết. Để thu thập thông tin
HƯỚNG DẪN VII

thi Hacker ta sử dụng các kỹ thuật của bài học 2 (footprinting, scanning,
enumeration). Khi có thông tin về đối tượng thì Hacker sẽ tấn công mật khẩu để
giành quyền truy cập hệ thống. Tăng đặc quyền (Escalating Privileges) là thêm nhiều
quyền hơn cho một tài khoản người dùng. Hacker có tài khoản đặc quyền sẽ truy cập
cấp quản trị viên để cài đặt chương trình. Một khi Hacker đã có thể truy cập tài khoản
với quyền quản trị, Hacker sẽ thực thi các ứng dụng trên hệ thống đích. Mục đích của
việc thực thi ứng dụng có thể cài đặt một cửa sau trên hệ thống, cài đặt một
keylogger để thu thập thông tin bí mật, sao chép các tập tin, … Hacker cần che dấu
các tập tin trên một hệ thống nhằm ngăn chặn bị phát hiện..
Bài 5: AN NINH HẠ TẦNG MẠNG.
Trình bày giải pháp và lộ trình xây dựng bảo mật hạ tầng mạng, thiết kế mô hình
mạng an toàn, các chính sách an toàn mạng, thiết bị firewall và hệ thống ngăn chặn
xâm nhập IPS.
Bài 6: MẬT MÃ VÀ CÁC GIAO THỨC BẢO MẬT.
Trình bày các kiến thức về vấn đề bảo mật thông tin: các thách thức, kiến trúc an
toàn thông tin OSI, và các thuật toán mật mã cho phép cài đặt các dịch vụ của mô
hình OSI. Kiến trúc an toàn OSI gồm có 5 dịch vụ bảo mật: Xác thực các bên tham
gia, Điều khiển truy cập, Bảo mật dữ liệu, kiểm tra tính toàn vẹn, và chống chối bỏ.
Các thuật toán mã hóa cần thiết để cài đặt các dịch vụ này là: DES, 3DES, AES, RSA,
DiffieHellman, Hàm băm MD5, SHA, Mã xác thực MAC. Giao thức quản lý khóa và bảo
mật dữ liệu trong mạng Domain: Kerberos. Giao thức bảo mật dữ liệu đầu cuối SSL.
Giao thức bảo mật gói dữ liệu IP: IPSEC.
KIẾN THỨC TIỀN ĐỀ

Sinh viên có kiến thức khái quát về mạng máy tính.
YÊU CẦU MÔN HỌC

Người học phải dự học đầy đủ các buổi lên lớp và làm bài tập đầy đủ ở
nhà. CÁCH TIẾP CẬN NỘI DUNG MÔN HỌC
VIII HƯỚNG DẪN
Để học tốt môn này, người học cần đọc trước các nội dung chưa được học trên lớp;
tham gia đều đặn và tích cực trên lớp; hiểu các khái niệm, tính chất và ví dụ tại lớp
học. Sau khi học xong, cần ôn lại bài đã học, làm các bài tập và câu hỏi. Tìm đọc
thêm các tài liệu khác liên quan đến bài học và làm thêm bài tập.
PHƯƠNG PHÁP ĐÁNH GIÁ MÔN HỌC

- Điểm quá trình: 50%. Điểm kiểm tra thường xuyên trong quá trình học tập.
Điểm kiểm tra giữa học phần, điểm làm bài tập trên lớp, hoặc điểm chuyên cần.
- Điểm thi: 50%. Hình thức bài thi tự luận trong 90 phút, không được mang tài
liệu vào phòng thi. Nội dung gồm các câu hỏi và bài tập tương tự như các câu
hỏi và bài tập về nhà.
BÀI 1TỔNG QUAN AN TOÀN HỆ THỐNG MẠNG MÁY TÍNH 1
BÀI 1. TỔNG QUAN AN TOÀN HỆ

THỐNG MẠNG MÁY TÍNH
1.1 CÁC MỐI ĐE DỌA

Một số phần mềm độc hại ngày nay quá phức tạp và tốn kém để tạo ra các chuyên
gia bảo mật tin rằng chỉ có một quốc gia hoặc một nhóm quốc gia có thể có ảnh
hưởng và kinh phí để tạo ra nó. Phần mềm độc hại như vậy có thể được nhắm mục
tiêu để tấn công cơ sở hạ tầng dễ bị tổn thương của quốc gia, chẳng hạn như hệ
thống nước hoặc lưới điện.
Đây là mục đích của sâu Stuxnet, đã lây nhiễm ổ USB. Các ổ đĩa này được mang
bởi năm nhà cung cấp linh kiện của Iran, với mục đích thâm nhập vào các cơ sở hạt
nhân được các nhà cung cấp hỗ trợ. Stuxnet được thiết kế để xâm nhập vào hệ điều
hành Windows và sau đó nhắm vào phần mềm Step 7. Bước 7 được phát triển bởi
Siemens cho bộ điều khiển logic lập trình (PLC). Stuxnet đang tìm kiếm một mô hình
cụ thể của PLC Siemens điều khiển các máy ly tâm trong các cơ sở hạt nhân. Giun
này được truyền từ các ổ USB bị nhiễm vào các PLC và cuối cùng đã phá hủy nhiều
máy ly tâm này.
1.1.1 Amateurs
Gồm nhiều mối đe dọa nhưng không giới hạn như nghiệp dư (amateurs),
hacktivists, các nhóm tội phạm có tổ chức, các nhóm nhà nước được tài trợ và khủng
bố. Các mối đe dọa là cá nhân hoặc một nhóm cá nhân thực hiện các cuộc tấn công
trên mạng với một cá nhân hoặc tổ chức khác. Các cuộc tấn công trên mạng là những
hành vi có chủ ý, độc hại có ý định tác động tiêu cực đến một cá nhân hoặc tổ chức
khác.
2 BÀI 1TỔNG QUAN AN TOÀN HỆ THỐNG MẠNG MÁY TÍNH
Amateurs, còn được gọi là kiddies script, có ít hoặc không có kỹ năng. Họ thường
sử dụng các công cụ hoặc hướng dẫn hiện có trên Internet để khởi chạy các cuộc tấn
công. Một số chỉ tò mò, trong khi những người khác cố gắng thể hiện kỹ năng của họ
bằng cách gây hại. Mặc dù họ đang sử dụng các công cụ cơ bản, kết quả vẫn có thể bị
tàn phá.
1.1.2 Hacktivists
Hacktivists là tin tặc phản đối nhiều ý tưởng chính trị và xã hội khác nhau.
Hacktivists phản đối công khai các tổ chức hoặc chính phủ bằng cách đăng các bài
viết và video, rò rỉ thông tin nhạy cảm và phá vỡ các dịch vụ web với lưu lượng truy
cập bất hợp pháp trong các cuộc tấn công từ chối dịch vụ (DDoS) được phân phối.
1.1.3 Lợi ích tài chính
Phần lớn hoạt động hacking liên tục đe dọa an ninh được thúc đẩy bởi lợi ích tài
chính. Các tội phạm mạng muốn truy cập vào tài khoản ngân hàng, dữ liệu cá nhân
và bất kỳ thứ gì khác mà họ có thể tận dụng để tạo ra tiền.
1.1.4 Bí mật thương mại và chính trị toàn cầu
Trong vài năm qua, đã có rất nhiều câu chuyện về các quốc gia xâm nhập các quốc
gia khác, hoặc can thiệp vào chính trị nội bộ. Các quốc gia cũng quan tâm đến việc sử
dụng không gian mạng cho gián điệp công nghiệp. Hành vi trộm cắp tài sản trí tuệ có
thể tạo cho đất nước một lợi thế đáng kể trong thương mại quốc tế.
Bảo vệ chống lại các bụi phóng xạ từ gián điệp không gian mạng do nhà nước bảo
trợ và chiến tranh mạng sẽ tiếp tục là một ưu tiên cho các chuyên gia an ninh mạng.
1.1.5 Mức độ an toàn trong IoT (internet of things)
Internet of Things (IoT) là tất cả xung quanh chúng ta và nhanh chóng mở rộng.
Chúng tôi chỉ mới bắt đầu gặt hái những lợi ích của IoT. Những cách mới để sử dụng
những thứ được kết nối đang được phát triển hàng ngày. IoT giúp các cá nhân kết nối
mọi thứ để cải thiện chất lượng cuộc sống của họ. Ví dụ: nhiều người hiện đang sử

dụng thiết bị có thể kết nối có thể đeo để theo dõi hoạt động thể dục của họ. Bạn
hiện sở hữu bao nhiêu thiết bị kết nối với mạng gia đình hoặc Internet?
Các thiết bị này an toàn đến mức nào? Ví dụ, ai đã viết chương trình cơ sở? Lập
trình viên có chú ý đến các lỗi bảo mật không? Nhiệt kế gia dụng được kết nối của
bạn có dễ bị tấn công không? Điều gì về máy ghi hình kỹ thuật số của bạn (DVR)?
Nếu tìm thấy lỗ hổng bảo mật, phần vững trong thiết bị có được vá để loại bỏ lỗ hổng
bảo mật không? Nhiều thiết bị trên Internet không được cập nhật với phần mềm mới
nhất. Một số thiết bị cũ thậm chí không được phát triển để được cập nhật với các bản
vá lỗi. Hai tình huống này tạo cơ hội cho các diễn viên đe dọa và rủi ro an ninh cho
các chủ sở hữu của các thiết bị này.
Vào tháng 10 năm 2016, một cuộc tấn công DDoS chống lại nhà cung cấp tên
miền Dyn đã gỡ xuống nhiều trang web phổ biến. Cuộc tấn công đến từ một số lượng
lớn webcam, DVR, bộ định tuyến và các thiết bị IoT khác đã bị phần mềm độc hại
xâm phạm. Các thiết bị này tạo thành một “botnet” được kiểm soát bởi tin tặc. Botnet
này được sử dụng để tạo ra một cuộc tấn công DDoS khổng lồ đã vô hiệu hóa các
dịch vụ Internet thiết yếu.
1.2 TÁC ĐỘNG CỦA CÁC MỐI ĐE DỌA

1.2.1 Thông tin nhận dạng cá nhân (PII) và thông tin
bảo vệ sức khỏe (PHI)
Tác động kinh tế của các cuộc tấn công mạng rất khó xác định chính xác; tuy
nhiên, theo một bài viết ở Forbes, ước tính các doanh nghiệp mất 400 tỷ USD mỗi
năm cho các cuộc tấn công mạng.
Personally identifiable information (PII) là bất kỳ thông tin nào có thể được sử
dụng để xác định tích cực một cá nhân. Ví dụ về PII bao gồm:
• Tên
• Số an sinh xã hội
• Ngày sinh
• Số thẻ tín dụng

• Số tài khoản ngân hàng
• ID do chính phủ cấp
• Thông tin địa chỉ (đường phố, email, số điện thoại)
Một trong những mục tiêu hấp dẫn hơn của tội phạm mạng là lấy danh sách PII
mà sau đó có thể được bán trên web đen. Các trang web đen chỉ có thể được truy cập
với phần mềm đặc biệt và được sử dụng bởi tội phạm mạng để bảo vệ các hoạt động
của họ. PII bị đánh cắp có thể được sử dụng để tạo các tài khoản giả mạo, chẳng hạn
như thẻ tín dụng và các khoản vay ngắn hạn.
Một tập con của PII là thông tin sức khỏe được bảo vệ - Protected Health
Information (PHI). Cộng đồng y tế tạo và duy trì hồ sơ y tế điện tử - Electronic
Medical Records (EMRs) có chứa PHI. Tại Hoa Kỳ, việc xử lý PHI được quy định bởi
Đạo luật về trách nhiệm giải trình và trách nhiệm bảo hiểm y tế - Health Insurance
Portability and Accountability Act (HIPAA). Quy định tương đương trong Liên minh
châu Âu được gọi là Bảo vệ dữ liệu.
1.2.2 Mất lợi thế cạnh tranh
Các công ty ngày càng lo lắng về gián điệp của công ty trong không gian mạng.
Một mối quan tâm lớn nữa là mất niềm tin khi một công ty không thể bảo vệ dữ liệu
cá nhân của khách hàng. Việc mất lợi thế cạnh tranh có thể đến từ sự mất lòng tin
này hơn là một công ty hay quốc gia ăn cắp bí mật thương mại khác.
1.2.3 Chính trị và An ninh quốc gia
Nó không chỉ là các doanh nghiệp bị tấn công. Vào tháng 2 năm 2016, một hacker
đã xuất bản thông tin cá nhân của 20.000 nhân viên Cục Điều tra Liên bang Hoa Kỳ -
Federal Bureau of Investigation (FBI) và 9.000 nhân viên của Bộ An ninh Nội địa Hoa
Kỳ - Department of Homeland Security (DHS). Tin tặc dường như có động lực chính
trị.
Sâu Stuxnet được thiết kế đặc biệt để ngăn cản sự tiến bộ của Iran trong việc làm
giàu urani có thể được sử dụng trong vũ khí hạt nhân. Stuxnet là một ví dụ điển hình
về một cuộc tấn công mạng được thúc đẩy bởi những lo ngại về an ninh quốc gia.

Chiến tranh mạng là một khả năng nghiêm trọng. Các chiến binh hacker được nhà
nước hỗ trợ có thể gây gián đoạn và phá hủy các dịch vụ và tài nguyên quan trọng
trong một quốc gia địch. Internet trở nên cần thiết như một phương tiện cho các hoạt
động thương mại và tài chính. Việc gián đoạn các hoạt động này có thể tàn phá nền
kinh tế của một quốc gia. Bộ điều khiển, tương tự như những người bị tấn công bởi
Stuxnet, cũng được sử dụng để kiểm soát dòng chảy của nước ở các đập và chuyển
đổi điện trên lưới điện. Các cuộc tấn công vào các bộ điều khiển như vậy có thể có
hậu quả nghiêm trọng.
1.3 CÁC YẾU TỐ CỦA TRUNG TÂM ĐIỀU HÀNH AN

NINH SOC (SECURITY OPERATIONS
CENTERS)
Bảo vệ chống lại các mối đe dọa ngày nay đòi hỏi một cách tiếp cận chính thức, có
cấu trúc và có kỷ luật được thực hiện bởi các chuyên gia tại Trung tâm điều hành an
ninh. SOC cung cấp một loạt các dịch vụ, từ giám sát và quản lý, đến các giải pháp đe
dọa toàn diện và bảo mật được lưu trữ có thể được tùy chỉnh để đáp ứng nhu cầu của
khách hàng. Các SOC có thể hoàn toàn trong nhà, thuộc sở hữu và điều hành bởi một
doanh nghiệp hoặc các thành phần của SOC có thể được ký hợp đồng với các nhà
cung cấp bảo mật, chẳng hạn như Dịch vụ bảo mật được quản lý của Cisco.
Các yếu tố chính của SOC, thể hiện trong hình, là con người, quy trình và công
nghệ.

Hình 1.1: Các yếu tố chính của SOC
1.3.1 Con người trong SOC
Viện SANS (www.sans.org) phân loại vai trò mà mọi người chơi trong một SOC vào
bốn chức danh:
• Chuyên viên phân tích cảnh báo cấp 1 - Các chuyên gia này theo dõi các
cảnh báo đến, xác minh rằng sự cố thực sự đã xảy ra và chuyển tiếp vé lên
Cấp 2, nếu cần.
• Bậc 2 đáp ứng sự cố - Các chuyên gia này chịu trách nhiệm điều tra sâu về
các sự cố và tư vấn cho việc khắc phục hoặc hành động được thực hiện.
• Chuyên gia về vấn đề cấp 3 (SME) / Hunter - Các chuyên gia này có kỹ
năng chuyên môn về mạng, điểm cuối, tình báo mối đe dọa và kỹ thuật đảo
ngược phần mềm độc hại. Họ là những chuyên gia theo dõi các quá trình của
phần mềm độc hại để xác định tác động của nó và cách nó có thể được gỡ
bỏ. Họ cũng tham gia sâu vào việc săn tìm các mối đe dọa tiềm ẩn và triển
khai các công cụ phát hiện mối đe dọa.
• SOC Manager - Chuyên gia này quản lý tất cả các tài nguyên của SOC và
phục vụ như là điểm liên hệ cho tổ chức hoặc khách hàng lớn hơn.

Môn học này cung cấp sự chuẩn bị cho một chứng nhận phù hợp với vị trí của Nhà
phân tích cảnh báo cấp 1, còn được gọi là Nhà phân tích an ninh mạng.
Con số từ Viện SANS đồ họa đại diện cho cách các vai trò này tương tác với
nhau.
Hình 1.2: Các cấp độ trong SOC
1.3.2 Quy trình trong SOC
Một ngày của một nhà phân tích cấp 1 bắt đầu với việc giám sát hàng đợi cảnh báo
bảo mật. Hệ thống bán vé thường được sử dụng để cho phép các nhà phân tích chọn
cảnh báo từ hàng đợi để điều tra. Bởi vì phần mềm tạo cảnh báo có thể kích hoạt báo
động sai, một công việc của Nhà phân tích Cấp 1 có thể là xác minh rằng một cảnh
báo đại diện cho một sự cố bảo mật thực sự. Khi xác minh được thiết lập, sự việc có
thể được chuyển tiếp đến các điều tra viên hoặc nhân viên an ninh khác để được hành
động theo hoặc giải quyết như một báo động giả.
Nếu một vé không thể được giải quyết, Nhà Phân tích Cấp 1 sẽ chuyển vé tới một
Nhà phân tích Cấp 2 để điều tra và khắc phục sâu hơn. Nếu Chuyên viên Phân tích
Cấp 2 không thể giải quyết vé, cô sẽ chuyển nó đến một Chuyên viên Phân tích Cấp 3
với kiến thức chuyên sâu và kỹ năng săn bắt mối đe dọa.

Hình 1.3: Vai trò của con người trong SOC
1.3.3 Công nghệ trong SOC
Như thể hiện trong hình, một SOC cần một thông tin bảo mật và hệ thống quản lý
sự kiện (SIEM), hoặc tương đương của nó. Hệ thống này kết hợp dữ liệu từ nhiều
công nghệ. Hệ thống SIEM được sử dụng để thu thập và lọc dữ liệu, phát hiện và
phân loại các mối đe dọa, phân tích và điều tra các mối đe dọa, và quản lý các nguồn
lực để thực hiện các biện pháp phòng ngừa và giải quyết các mối đe dọa trong tương
lai. Công nghệ SOC bao gồm một hoặc nhiều điều sau đây:
• Thu thập sự kiện, tương quan và phân tích
• Giám sát an ninh
• Kiểm soát an ninh
• Quản lý nhật ký
• Đánh giá tổn thương
• Theo dõi lỗ hổng

• Mối đe dọa thông minh
Hình 1.3: Hệ thống giám sát SOC
1.3.4 Doanh nghiệp và Quản lý bảo mật
Đối với các mạng trung bình và lớn, tổ chức sẽ được hưởng lợi từ việc triển khai
SOC cấp doanh nghiệp. SOC có thể là một giải pháp hoàn chỉnh nội bộ. Tuy nhiên,
nhiều tổ chức lớn hơn sẽ thuê ngoài ít nhất một phần hoạt động SOC cho một nhà
cung cấp giải pháp bảo mật.
Cisco có một đội ngũ chuyên gia giúp đảm bảo giải quyết sự cố kịp thời và chính
xác. Cisco cung cấp một loạt các khả năng đáp ứng, chuẩn bị và quản lý sự cố:
• Dịch vụ chăm sóc toàn diện của Cisco Smart Net để giải quyết vấn đề nhanh
chóng
• Nhóm phản hồi sự cố bảo mật sản phẩm của Cisco (PSIRT)
• Nhóm phản hồi sự cố bảo mật máy tính của Cisco (CSIRT)
• Dịch vụ được quản lý của Cisco
• Hoạt động chiến thuật của Cisco (TacOps)
• Chương trình an toàn và an toàn vật lý của Cisco

1.3.5 Bảo mật và Tính khả dụng
Hầu hết các mạng doanh nghiệp phải luôn hoạt động và hoạt động. Nhân viên bảo
mật hiểu rằng để tổ chức thực hiện các ưu tiên của mình, sự sẵn có của mạng phải
được bảo toàn.
Mỗi doanh nghiệp hoặc ngành công nghiệp có khả năng hạn chế về thời gian
ngừng hoạt động của mạng. Sự khoan dung đó thường dựa trên sự so sánh chi phí
của thời gian chết liên quan đến chi phí đảm bảo chống lại thời gian chết. Ví dụ, trong
một doanh nghiệp bán lẻ nhỏ chỉ có một vị trí, có thể chấp nhận được một bộ định
tuyến là một điểm lỗi duy nhất. Tuy nhiên, nếu một phần lớn doanh số của doanh
nghiệp đó là từ người mua sắm trực tuyến thì chủ sở hữu có thể quyết định cung cấp
mức dư thừa để đảm bảo rằng kết nối luôn có sẵn.
Thời gian hoạt động được ưu tiên thường được đo bằng số phút xuống trong một
năm, như trong hình. Ví dụ: thời gian hoạt động “năm nines” nghĩa là mạng tăng
99.999% thời gian hoặc giảm không quá 5 phút mỗi năm. "Bốn nines" sẽ là một thời
gian chết của 53 phút một năm.
Tuy nhiên, bảo mật không thể mạnh đến nỗi nó cản trở nhu cầu của nhân viên
hoặc chức năng kinh doanh. Nó luôn luôn là một sự cân bằng giữa an ninh mạnh mẽ
và cho phép hoạt động kinh doanh hiệu quả.

12 BÀI 2HỆ ĐIỀU HÀNH WINDOWS
BÀI 2. HỆ ĐIỀU HÀNH WINDOWS
2.1 TỔNG QUAN VỀ WINDOWS

2.1.1 Lịch sử hình thành Windows
2.1.1.1 Disk Operating System
Các máy tính đầu tiên không có thiết bị lưu trữ hiện đại như ổ đĩa cứng, ổ đĩa
quang hoặc bộ nhớ flash. Các phương pháp lưu trữ đầu tiên được sử dụng thẻ đục lỗ,
băng giấy, băng từ, và thậm chí cả băng cassette âm thanh.
Ổ đĩa mềm và đĩa cứng yêu cầu phần mềm đọc, ghi và quản lý dữ liệu mà chúng
lưu trữ. Hệ điều hành đĩa (DOS) là một hệ điều hành mà máy tính sử dụng để cho
phép các thiết bị lưu trữ dữ liệu này đọc và ghi tệp. DOS cung cấp một hệ thống tập
tin mà tổ chức các tập tin theo một cách cụ thể trên đĩa. Microsoft đã mua DOS và
phát triển MS-DOS. MS-DOS sử dụng một dòng lệnh làm giao diện cho mọi người để
tạo ra các chương trình và thao tác các tệp dữ liệu, như trong hình.
Với MS-DOS, máy tính đã có kiến thức cơ bản về cách truy cập ổ đĩa và tải các tệp
hệ điều hành trực tiếp từ đĩa như là một phần của quá trình khởi động. Khi nó được
tải, MS-DOS có thể dễ dàng truy cập đĩa vì nó được tích hợp vào hệ điều hành.
Các phiên bản đầu tiên của Windows bao gồm Giao diện người dùng đồ họa (GUI)
chạy trên MS-DOS với phiên bản đầu tiên là Windows 1.0 vào năm 1985. Hệ điều
hành đĩa vẫn điều khiển máy tính và phần cứng của nó. Một hệ điều hành hiện đại
như Windows 10 không được coi là một hệ điều hành đĩa. Nó được xây dựng trên
Windows NT, viết tắt của “Công nghệ mới”. Bản thân hệ điều hành nằm trong sự kiểm
soát trực tiếp của máy tính và phần cứng của nó. NT là một hệ điều hành hỗ trợ nhiều
BÀI 2HỆ ĐIỀU HÀNH WINDOWS 13

quy trình người dùng. Điều này khác nhiều so với quá trình đơn, MS-DOS của người
dùng đơn lẻ.
Ngày nay, nhiều thứ đã từng được thực hiện thông qua giao diện dòng lệnh của
MS-DOS có thể được thực hiện trong GUI của Windows. Bạn vẫn có thể trải nghiệm
những gì nó giống như để sử dụng MS-DOS bằng cách mở một cửa sổ lệnh, nhưng
những gì bạn thấy không còn MS-DOS, nó là một chức năng của Windows. Để trải
nghiệm một chút về những gì nó muốn làm việc trong MS-DOS, hãy mở một cửa sổ
lệnh bằng cách gõ cmd trong Windows Search và nhấn Enter. Đây là một số lệnh mà
bạn có thể sử dụng:
• dir - hiển thị danh sách tất cả các tệp trong thư mục hiện tại (thư mục) •
cd directory - thay đổi thư mục vào thư mục được chỉ định
• cd .. - thay đổi thư mục vào thư mục phía trên thư mục hiện tại •
cd\ - thay đổi thư mục vào thư mục gốc (thường là C :)
• copy - sao chép tệp sang vị trí khác
• del - xóa một hoặc nhiều tệp
• find - tìm kiếm văn bản trong các tệp
• mkdir - tạo một thư mục mới
• ren - đổi tên một tệp
• help - hiển thị tất cả các lệnh có thể được sử dụng, với mô tả ngắn gọn •
help command - hiển thị trợ giúp mở rộng cho lệnh được chỉ định
Hình 2.1: Giao diện MS-DOS

2.1.1.2 Các phiên bản Windows
Từ năm 1993, đã có hơn 20 bản phát hành Windows dựa trên hệ điều hành NT.
Hầu hết các phiên bản này đều được sử dụng bởi công chúng và doanh nghiệp vì tính
bảo mật của tệp được cung cấp bởi hệ thống tệp được hệ điều hành NT sử dụng. Các
doanh nghiệp cũng sử dụng hệ điều hành Windows NT dựa trên hệ điều hành NT. Điều
này là do nhiều phiên bản được xây dựng riêng cho máy trạm, máy chủ chuyên
nghiệp, máy chủ, máy chủ nâng cao và máy chủ trung tâm dữ liệu, để đặt tên chỉ là
một vài trong số nhiều phiên bản được xây dựng có mục đích.
Bắt đầu với Windows XP, phiên bản 64 bit đã có sẵn. Hệ điều hành 64 bit là một
kiến trúc hoàn toàn mới. Nó có một không gian địa chỉ 64-bit thay vì một không gian
địa chỉ 32-bit. Đây không chỉ đơn giản là gấp đôi số lượng không gian bởi vì các bit
này là số nhị phân. Trong khi Windows 32-bit có thể giải quyết một chút ít hơn 4 GB
RAM, Windows 64-bit về mặt lý thuyết có thể giải quyết 16,8 triệu terabyte. Khi hệ

điều hành và phần cứng đều hỗ trợ hoạt động 64 bit, có thể sử dụng các tập dữ liệu
cực lớn. Những bộ dữ liệu lớn này bao gồm cơ sở dữ liệu rất lớn, tính toán khoa học
và thao tác video kỹ thuật số độ nét cao với các hiệu ứng đặc biệt. Nói chung, các
máy tính và hệ điều hành 64 bit tương thích ngược với các chương trình 32 bit cũ hơn,
nhưng các chương trình 64 bit không thể chạy trên phần cứng 32 bit cũ hơn.
Với mỗi bản phát hành tiếp theo của Windows, hệ điều hành đã trở nên tinh tế hơn
bằng cách kết hợp nhiều tính năng hơn. Windows 7 được cung cấp với sáu phiên bản
khác nhau, Windows 8 có tới năm phiên bản và Windows 10 với tám phiên bản khác
nhau! Mỗi phiên bản không chỉ cung cấp các khả năng khác nhau mà còn có các mức
giá khác nhau. Microsoft đã nói rằng Windows 10 là phiên bản cuối cùng của
Windows, Windows đã trở thành một dịch vụ thay vì chỉ là một hệ điều hành. Họ nói
rằng thay vì mua hệ điều hành mới, người dùng sẽ chỉ cập nhật Windows 10 thay thế.
2.1.1.3 Windows GUI
Windows có giao diện người dùng đồ họa (GUI) để người dùng làm việc với các tệp
dữ liệu và phần mềm. GUI có một vùng chính được gọi là Desktop, thể hiện trong
hình 1. Desktop có thể được tùy biến với nhiều màu sắc và hình nền khác nhau.
Windows hỗ trợ nhiều người dùng, vì vậy mỗi người dùng có thể tùy chỉnh Desktop
theo ý thích của họ. Máy tính để bàn có thể lưu trữ các tệp, thư mục, lối tắt đến vị trí
và chương trình và ứng dụng. Desktop cũng có biểu tượng thùng rác, nơi các tập tin
được lưu trữ khi người dùng xóa chúng. Các tập tin có thể được phục hồi từ thùng rác
hoặc thùng rác có thể được dọn sạch các tập tin, mà thực sự xóa chúng.
Ở dưới cùng của màn hình là Thanh tác vụ. Thanh tác vụ có ba khu vực được sử
dụng cho các mục đích khác nhau. Ở bên trái là menu Bắt đầu. Nó được sử dụng để
truy cập vào tất cả các chương trình đã cài đặt, các tùy chọn cấu hình và tính năng
tìm kiếm. Tại trung tâm của thanh tác vụ, người dùng đặt các biểu tượng khởi chạy
nhanh chạy các chương trình cụ thể hoặc mở các thư mục cụ thể khi chúng được
nhấp. Cuối cùng, bên phải của Thanh tác vụ là khu vực thông báo. Vùng thông báo
hiển thị, trong nháy mắt, chức năng của nhiều chương trình và tính năng khác nhau.
Ví dụ: biểu tượng phong bì nhấp nháy có thể cho biết email mới hoặc biểu tượng
mạng có dấu “x” màu đỏ có thể biểu thị sự cố với mạng.
Thông thường, nhấp chuột phải vào biểu tượng sẽ hiển thị các chức năng bổ sung
có thể được sử dụng. Danh sách này được gọi là Trình đơn Ngữ cảnh, được hiển thị
trong Hình 2. Có các Menu ngữ cảnh cho các biểu tượng trong vùng thông báo, cũng
như cho các biểu tượng khởi động nhanh, các biểu tượng cấu hình hệ thống và các
tệp và thư mục. Trình đơn ngữ cảnh cung cấp nhiều chức năng được sử dụng phổ biến
nhất chỉ bằng cách nhấp vào. Ví dụ, Menu ngữ cảnh cho một tệp sẽ chứa các mục như
sao chép, xóa, chia sẻ và in. Để mở các thư mục và thao tác các tệp, Windows sử
dụng Windows File Explorer.
Windows File Explorer, cũng được hiển thị trong Hình 2, là công cụ được sử dụng
để điều hướng toàn bộ hệ thống tệp của máy tính, bao gồm nhiều thiết bị lưu trữ và
vị trí mạng. Sử dụng Windows File Explorer, bạn có thể dễ dàng tạo các thư mục, sao
chép các tập tin và thư mục, và di chuyển chúng xung quanh các vị trí và thiết bị
khác nhau. Về cơ bản, công cụ này có hai cửa sổ chính. Cái ở bên trái cho phép điều
hướng nhanh đến các thiết bị lưu trữ, thư mục mẹ và thư mục con. Hình bên phải
hiển thị nội dung của vị trí được chọn trong khung bên trái.
Hình 2.2: Giao diện Windows 10
Hình 2.3: Giao diện Windows Explorer
2.1.1.4 Lỗ hổng hệ điều hành
Hệ điều hành bao gồm hàng triệu dòng mã. Phần mềm được cài đặt cũng có thể
chứa hàng triệu dòng mã. Với tất cả các mã này có lỗ hổng. Lỗ hổng là một số lỗ
hổng hoặc điểm yếu có thể bị kẻ tấn công khai thác để giảm khả năng tồn tại của
thông tin của máy tính. Để tận dụng lợi thế của lỗ hổng hệ điều hành, kẻ tấn công
phải sử dụng kỹ thuật hoặc công cụ để khai thác lỗ hổng. Kẻ tấn công sau đó có thể
sử dụng lỗ hổng này để máy tính hoạt động trong một thời trang ngoài thiết kế dự
định của nó. Nói chung, mục đích là để giành quyền kiểm soát trái phép máy tính,
thay đổi quyền hoặc thao tác dữ liệu.
Đây là một số khuyến nghị bảo mật hệ điều hành Windows phổ biến:
• Bảo vệ chống vi rút hoặc phần mềm độc hại - Theo mặc định, Windows
sử dụng Windows Defender. Windows Defender cung cấp một bộ công cụ
bảo vệ được tích hợp trong hệ thống. Nếu Windows Defender bị tắt, hệ
thống sẽ trở nên dễ bị tấn công và phần mềm độc hại.
• Dịch vụ không xác định hoặc không được quản lý - Có nhiều dịch vụ chạy
đằng sau hậu trường. Điều quan trọng là phải đảm bảo rằng mỗi dịch vụ đều
có thể nhận dạng và an toàn. Với một dịch vụ không xác định chạy ẩn, máy
tính có thể dễ bị tấn công.
• Mã hóa - Khi dữ liệu không được mã hóa, nó có thể dễ dàng được thu thập và
khai thác. Điều này không chỉ quan trọng đối với máy tính để bàn, mà đặc
biệt là các thiết bị di động.
• Chính sách bảo mật - Một chính sách bảo mật tốt phải được cấu hình và
theo sau. Nhiều thiết lập trong điều khiển Windows Security Policy có thể
ngăn chặn các cuộc tấn công.
• Tường lửa - Theo mặc định, Windows sử dụng Tường lửa Windows để hạn
chế giao tiếp với các thiết bị trên mạng. Theo thời gian, các quy tắc có thể
không còn áp dụng nữa. Ví dụ, một cổng có thể được mở để không còn có
sẵn nữa. Điều quan trọng là phải xem lại cài đặt tường lửa định kỳ để đảm
bảo rằng các quy tắc vẫn có thể áp dụng và xóa bất kỳ quy tắc nào không
còn áp dụng.
• Quyền và quyền chia sẻ - Các quyền này phải được đặt chính xác. Thật dễ
dàng để chỉ cho nhóm "Mọi người" toàn quyền kiểm soát, nhưng điều này
cho phép tất cả mọi người làm những gì họ muốn cho tất cả các tệp. Tốt
nhất là cung cấp cho mỗi người dùng hoặc nhóm các quyền tối thiểu cần
thiết cho tất cả các tệp và thư mục.
• Mật khẩu yếu hoặc không có mật khẩu - Nhiều người chọn mật khẩu yếu
hoặc không sử dụng mật khẩu nào cả. Điều đặc biệt quan trọng là phải đảm
bảo rằng tất cả các tài khoản, đặc biệt là tài khoản Quản trị viên, đều có
mật khẩu rất mạnh.
• Đăng nhập với tư cách quản trị viên - Khi người dùng đăng nhập với tư
cách quản trị viên, bất kỳ chương trình nào họ chạy sẽ có đặc quyền của tài

khoản đó. Tốt nhất bạn nên đăng nhập với tư cách là Người dùng chuẩn và
chỉ sử dụng mật khẩu quản trị viên để thực hiện một số tác vụ nhất định.
2.1.2 Kiến trúc và hoạt động Windows
2.1.2.1 Phần cứng
Máy tính Windows sử dụng nhiều loại phần cứng khác nhau. Có thể cài đặt hệ điều
hành trên máy tính khỏi giá hoặc máy tính được tạo từ đầu. Khi hệ điều hành được cài
đặt, nó phải được phân lập từ sự khác biệt về phần cứng. Kiến trúc Windows cơ bản
được thể hiện trong hình. Một lớp đối tượng phần cứng - Hardware Abstraction Layer
(HAL) là mã xử lý tất cả các giao tiếp giữa phần cứng và hạt nhân. Hạt nhân là cốt lõi
của hệ điều hành và có quyền kiểm soát toàn bộ máy tính. Nó xử lý tất cả các yêu
cầu đầu vào và đầu ra, bộ nhớ và tất cả các thiết bị ngoại vi được kết nối với máy
tính.
Trong một số trường hợp, hạt nhân vẫn giao tiếp trực tiếp với phần cứng, vì vậy nó
không hoàn toàn độc lập với HAL. HAL cũng cần hạt nhân để thực hiện một số chức
năng.
Hình 2.4: Kiến trúc cơ bản hệ điều hành Windows
2.1.2.2 User Mode and Kernel Mode
Có hai chế độ khác nhau trong đó một CPU hoạt động khi máy tính đã cài đặt
Windows: chế độ người dùng và chế độ hạt nhân. Các ứng dụng được cài đặt chạy
trong chế độ người dùng và mã hệ điều hành chạy trong chế độ lõi. Mã đang thực
hiện trong chế độ hạt nhân có quyền truy cập không giới hạn vào phần cứng cơ bản
và có khả năng thực hiện bất kỳ lệnh CPU nào. Mã chế độ hạt nhân cũng có thể tham
chiếu trực tiếp bất kỳ địa chỉ bộ nhớ nào. Nói chung dành riêng cho các chức năng
đáng tin cậy nhất của hệ điều hành, treo trong mã chạy trong chế độ hạt nhân dừng
hoạt động của toàn bộ máy tính. Ngược lại, các chương trình như ứng dụng người
dùng, chạy ở chế độ người dùng và không có quyền truy cập trực tiếp vào vị trí phần
cứng hoặc bộ nhớ. Mã chế độ người dùng phải đi qua hệ điều hành để truy cập tài
nguyên phần cứng. Do sự cô lập được cung cấp bởi chế độ người dùng, các sự cố
trong chế độ người dùng bị giới hạn chỉ đối với ứng dụng và có thể khôi phục được.
Hầu hết các chương trình trong Windows đều chạy ở chế độ người dùng. Trình điều
khiển thiết bị, phần mềm cho phép hệ điều hành và thiết bị giao tiếp, có thể chạy ở
chế độ hạt nhân hoặc người dùng, tùy thuộc vào trình điều khiển.
Tất cả các mã chạy trong chế độ hạt nhân sử dụng cùng một không gian địa chỉ.
Trình điều khiển chế độ hạt nhân không bị cách ly khỏi hệ điều hành. Nếu một lỗi xảy
ra với trình điều khiển đang chạy trong chế độ hạt nhân, và nó ghi vào không gian địa
chỉ sai, hệ điều hành hoặc trình điều khiển chế độ hạt nhân khác có thể bị ảnh hưởng
bất lợi. Về mặt này, người lái xe có thể gặp sự cố, khiến toàn bộ hệ điều hành bị lỗi.
Khi mã chế độ người dùng chạy, nó được cấp hạt nhân của vùng địa chỉ bị hạn chế
của nó, cùng với một tiến trình được tạo riêng cho ứng dụng. Lý do cho chức năng
này chủ yếu là để ngăn chặn các ứng dụng thay đổi mã hệ điều hành đang chạy cùng
một lúc. Bằng cách có quy trình riêng của mình, ứng dụng đó có không gian địa chỉ
riêng của nó, hiển thị các ứng dụng khác không thể sửa đổi dữ liệu trong đó. Điều này
cũng giúp ngăn chặn hệ điều hành và các ứng dụng khác bị treo nếu ứng dụng đó gặp
sự cố.
Hình 2.5: Chế độ user Mode và Kernel Mode
2.1.2.3 Windows File Systems
Hệ thống tệp là cách thông tin được tổ chức trên phương tiện lưu trữ. Một số hệ
thống tệp có thể là lựa chọn tốt hơn để sử dụng hơn các hệ thống khác, tùy thuộc vào
loại phương tiện sẽ được sử dụng. Đây là những hệ thống tệp mà Windows hỗ trợ:
• Bảng phân bổ tệp - File Allocation Table (FAT) - Đây là một hệ thống tệp
đơn giản được hỗ trợ bởi nhiều hệ điều hành khác nhau. FAT có giới hạn về
số lượng phân vùng, kích thước phân vùng và kích thước tệp mà nó có thể
giải quyết, vì vậy nó không thường được sử dụng cho ổ đĩa cứng (HD) hoặc
ổ đĩa trạng thái rắn (SSD) nữa. Cả FAT16 và FAT32 đều có sẵn để sử dụng,
với FAT32 là phổ biến nhất vì nó có nhiều hạn chế hơn FAT16.
• exFAT - Đây là phiên bản mở rộng của FAT có ít hạn chế hơn FAT32, nhưng
không được hỗ trợ rất tốt bên ngoài hệ sinh thái Windows.
• Hệ thống tệp phân cấp cộng - Hierarchical File System Plus (HFS +) -
Hệ thống tệp này được sử dụng trên máy tính MAC OS X và cho phép tên
tệp, kích thước tệp và kích thước phân vùng dài hơn nhiều so với các hệ
thống tệp trước đó. Mặc dù nó không được Windows hỗ trợ mà không có
phần mềm đặc biệt, Windows có thể đọc dữ liệu từ phân vùng HFS +.
• Hệ thống tệp mở rộng - Extended File System (EXT) - Hệ thống tệp này
được sử dụng với các máy tính dựa trên Linux. Mặc dù nó không được hỗ trợ
bởi Windows, Windows có thể đọc dữ liệu từ phân vùng EXT với phần mềm
đặc biệt.
• Hệ thống tệp công nghệ mới - New Technology File System (NTFS) -
Đây là hệ thống tệp được sử dụng phổ biến nhất khi cài đặt Windows. Tất cả
các phiên bản của Windows và Linux đều hỗ trợ NTFS trong khi các máy tính
Mac-OS X chỉ có thể đọc phân vùng NTFS. Họ có thể ghi vào một phân vùng
NTFS sau khi cài đặt các trình điều khiển đặc biệt.
NTFS là hệ thống tệp được sử dụng rộng rãi nhất cho Windows vì nhiều lý do.
NTFS hỗ trợ các tệp và phân vùng rất lớn; nó rất tương thích với các hệ điều hành
khác. NTFS cũng rất đáng tin cậy và hỗ trợ các tính năng khôi phục. Quan trọng nhất,
nó hỗ trợ nhiều tính năng bảo mật. Kiểm soát truy cập dữ liệu đạt được thông qua các
bộ mô tả bảo mật. Các mô tả bảo mật này chứa quyền sở hữu tệp và quyền truy cập
xuống cấp tệp. NTFS cũng theo dõi nhiều dấu thời gian để theo dõi hoạt động của
tệp. Đôi khi được gọi là MACE, các dấu thời gian Sửa đổi, Truy cập, Tạo và Sửa đổi
mục nhập thường được sử dụng trong các cuộc điều tra pháp y để xác định lịch sử của
một tệp hoặc thư mục. NTFS cũng hỗ trợ mã hóa hệ thống tệp để bảo mật toàn bộ
phương tiện lưu trữ.
Luồng dữ liệu thay thế
NTFS lưu trữ các tệp dưới dạng một loạt thuộc tính, chẳng hạn như tên của tệp
hoặc dấu thời gian. Dữ liệu chứa tệp được lưu trữ trong thuộc tính $ DATA và được gọi
là luồng dữ liệu. Bằng cách sử dụng NTFS, bạn có thể kết nối các luồng dữ liệu thay
thế (ADS) với tệp. Điều này đôi khi được sử dụng bởi các ứng dụng lưu trữ thông tin
bổ sung về tệp. ADS là yếu tố quan trọng khi thảo luận về phần mềm độc hại. Điều
này là bởi vì nó rất dễ dàng để ẩn dữ liệu trong một ADS. Kẻ tấn công có thể lưu trữ
mã độc trong một ADS mà sau đó có thể được gọi từ một tệp khác.
Trong hệ thống tệp NTFS, tệp có ADS được xác định sau tên tệp và dấu hai chấm,
ví dụ: Testfile.txt: ADSdata. Tên tệp này cho biết một ADS được gọi là ADSdata được
liên kết với tệp có tên là Testfile.txt. Một ví dụ về ADS được thể hiện trong hình:

• Lệnh đầu tiên đặt văn bản "Alternate Data Here" vào một ADS của tệp
Testfile.txt được gọi là "ADS".
• Lệnh tiếp theo, dir, cho thấy tệp đã được tạo, nhưng ADS không hiển thị. •
Lệnh tiếp theo cho thấy có dữ liệu trong luồng dữ liệu Testfile.txt: ADS.
• Lệnh cuối cùng hiển thị ADS của tệp Testfile.txt vì công tắc r được sử dụng với
lệnh dir.
Trước khi có thể sử dụng thiết bị lưu trữ như đĩa, nó phải được định dạng bằng hệ
thống tệp. Đổi lại, trước khi một hệ thống tập tin có thể được đặt vào một thiết bị lưu
trữ, thiết bị cần phải được phân vùng. Một ổ đĩa cứng được chia thành các khu vực
được gọi là phân vùng. Mỗi phân vùng là một đơn vị lưu trữ logic có thể được định
dạng để lưu trữ thông tin, chẳng hạn như các tệp dữ liệu hoặc ứng dụng. Trong quá
trình cài đặt, hầu hết các hệ điều hành sẽ tự động phân vùng và định dạng không
gian ổ đĩa có sẵn với một hệ thống tệp chẳng hạn như NTFS.
Định dạng NTFS tạo ra các cấu trúc quan trọng trên đĩa để lưu trữ tệp và các bảng
để ghi lại vị trí của tệp:
• Partition Boot Sector - Đây là 16 lĩnh vực đầu tiên của ổ đĩa. Nó chứa vị trí
của bảng tệp chính (MFT). 16 lĩnh vực cuối cùng chứa một bản sao của khu
vực khởi động.
• MFT - Bảng này chứa các vị trí của tất cả các tệp và thư mục trên phân vùng,
bao gồm các thuộc tính tệp như thông tin bảo mật và dấu thời gian.
• System Files - Đây là những tệp ẩn chứa thông tin về các tập và thuộc tính
tệp khác.
• File Area - Khu vực chính của phân vùng nơi tệp và thư mục được lưu trữ.
Lưu ý: Khi định dạng phân vùng, dữ liệu trước đó vẫn có thể khôi phục được vì
không phải tất cả dữ liệu đã được xóa hoàn toàn. Không gian trống có thể được kiểm
tra và các tệp có thể được truy xuất có thể làm tổn hại đến bảo mật. Bạn nên thực
hiện xóa an toàn trên ổ đĩa đang được sử dụng lại. Quá trình xóa an toàn sẽ ghi dữ
liệu vào toàn bộ ổ đĩa nhiều lần để đảm bảo không có dữ liệu còn lại.
2.1.2.4 Quá trình khởi động Windows
Nhiều hành động xảy ra giữa thời điểm khi nút nguồn máy tính được nhấn và
Windows được nạp đầy đủ, như trong hình.
Có hai loại phần mềm máy tính tồn tại: Hệ thống đầu vào-đầu ra cơ bản (BIOS) và
Giao diện phần vững mở rộng hợp nhất (UEFI). Phần mềm BIOS được tạo ra vào đầu
những năm 1980 và hoạt động theo cách tương tự như khi nó được tạo ra. Khi máy
tính phát triển, nó đã trở thành khó khăn cho phần vững BIOS để hỗ trợ tất cả các
tính năng mới theo yêu cầu của người dùng. UEFI được thiết kế để thay thế BIOS và
hỗ trợ các tính năng mới.
Trong firmware BIOS, quá trình bắt đầu với giai đoạn khởi tạo BIOS. Đây là khi các
thiết bị phần cứng được khởi tạo và một nguồn tự kiểm tra (POST) được thực hiện để
đảm bảo tất cả các thiết bị này đang giao tiếp. Khi đĩa hệ thống được phát hiện, POST
kết thúc. Lệnh cuối cùng trong POST là tìm kiếm bản ghi khởi động chủ (MBR).
MBR chứa một chương trình nhỏ có trách nhiệm định vị và tải hệ điều hành. BIOS
thực thi mã này và hệ điều hành bắt đầu tải.
Ngược lại với firmware BIOS, firmware UEFI có nhiều khả năng hiển thị trong quá
trình khởi động. UEFI khởi động bằng cách tải các tệp chương trình EFI, được lưu trữ
dưới dạng tệp .efi trong phân hoạch đĩa đặc biệt, được gọi là Phân vùng Hệ thống EFI
(ESP).
Lưu ý: Máy tính sử dụng UEFI lưu trữ mã khởi động trong chương trình cơ sở. Điều
này giúp tăng tính bảo mật của máy tính vào lúc khởi động vì máy tính chuyển trực
tiếp sang chế độ được bảo vệ.
Cho dù phần mềm là BIOS hay UEFI, sau khi cài đặt Windows hợp lệ, tệp
Bootmgr.exe được chạy. Bootmgr.exe chuyển hệ thống từ chế độ thực sang chế độ
được bảo vệ để tất cả bộ nhớ hệ thống có thể được sử dụng.
Bootmgr.exe đọc Cơ sở dữ liệu cấu hình khởi động (BCD). BCD chứa bất kỳ mã bổ
sung cần thiết để khởi động máy tính, cùng với một dấu hiệu cho thấy máy tính sắp
hết ngủ đông hay đây là một khởi đầu lạnh. Nếu máy tính không hoạt động, quá trình
khởi động sẽ tiếp tục với Winresume.exe. Điều này cho phép máy tính đọc tệp
Hiberfil.sys chứa trạng thái của máy tính khi nó được đưa vào chế độ ngủ đông.

Nếu máy tính đang được khởi động từ một khởi đầu lạnh, thì tệp Winload.exe sẽ
được tải. Tệp Winload.exe tạo bản ghi cấu hình phần cứng trong sổ đăng ký. Sổ đăng
ký là bản ghi của tất cả các cài đặt, tùy chọn, phần cứng và phần mềm mà máy tính
có. Cơ quan đăng ký sẽ được khám phá sâu hơn sau trong chương này. Winload.exe
cũng sử dụng Kernel Mode Code Signing (KMCS) để đảm bảo rằng tất cả các trình
điều khiển được ký điện tử. Điều này đảm bảo rằng các trình điều khiển được an toàn
để tải khi máy tính khởi động.
Sau khi các trình điều khiển đã được kiểm tra, Winload.exe chạy Ntoskrnl.exe khởi
động hạt nhân Windows và thiết lập HAL. Cuối cùng, Hệ thống con của Trình quản lý
phiên (SMSS) đọc sổ đăng ký để tạo môi trường người dùng, khởi động dịch vụ
Winlogon và chuẩn bị máy tính để bàn của mỗi người dùng khi họ đăng nhập.
Hình 2.6: Tiến trình Boot Windows
2.1.2.5 Khởi động và tắt Windows
Có hai mục đăng ký quan trọng được sử dụng để tự động khởi động các ứng dụng
và dịch vụ:
• HKEY_LOCAL_MACHINE: Một số khía cạnh của cấu hình Windows được lưu
trữ trong khóa này, bao gồm thông tin về các dịch vụ bắt đầu với mỗi lần
khởi động.
• HKEY_CURRENT_USER: Một số khía cạnh liên quan đến người dùng đã đăng
nhập được lưu trữ trong khóa này, bao gồm thông tin về các dịch vụ chỉ bắt
đầu khi người dùng đăng nhập vào máy tính.
Các mục khác nhau trong các vị trí đăng ký này xác định dịch vụ và ứng dụng nào
sẽ bắt đầu, như được chỉ ra bởi loại mục nhập của chúng. Các loại này bao gồm Run,
RunOnce, RunServices, RunServicesOnce và Userinit. Các mục này có thể được nhập
thủ công vào sổ đăng ký, nhưng an toàn hơn nhiều khi sử dụng công cụ Msconfig.exe.
Công cụ này được sử dụng để xem và thay đổi tất cả các tùy chọn khởi động cho máy
tính. Sử dụng hộp tìm kiếm để tìm và mở công cụ Msconfig.
Có năm tab chứa các tùy chọn cấu hình:
• General - Ba loại khởi động khác nhau có thể được chọn tại đây. Bình thường
tải tất cả các trình điều khiển và dịch vụ. Chẩn đoán chỉ tải các trình điều
khiển và dịch vụ cơ bản. Chọn lọc cho phép người dùng chọn những gì cần
tải khi khởi động.
• Boot - Mọi hệ điều hành đã cài đặt có thể được chọn tại đây để bắt đầu.
Ngoài ra còn có các tùy chọn cho khởi động an toàn, được sử dụng để khắc
phục sự cố khởi động.
• Services - Tất cả các dịch vụ được cài đặt được liệt kê ở đây để chúng có thể
được chọn để bắt đầu khi khởi động.
• Startup - Tất cả các ứng dụng và dịch vụ được cấu hình để tự động bắt đầu
khi khởi động có thể được bật hoặc tắt bằng cách mở trình quản lý tác vụ từ
tab này.

• Tools - Nhiều công cụ hệ điều hành phổ biến có thể được khởi chạy trực tiếp
từ tab này.
Shutdown
Nó luôn luôn là tốt nhất để thực hiện một tắt máy thích hợp để tắt máy tính. Các
tập tin còn lại mở, các dịch vụ bị đóng không đúng thứ tự và các ứng dụng treo có thể
bị hỏng nếu tắt nguồn mà không thông báo trước cho hệ điều hành. Máy tính cần thời
gian để đóng mỗi ứng dụng, tắt từng dịch vụ và ghi lại bất kỳ thay đổi cấu hình nào
trước khi mất điện.
Trong khi tắt máy, máy tính sẽ đóng ứng dụng chế độ người dùng trước, sau đó là
các tiến trình chế độ hạt nhân. Nếu quá trình chế độ người dùng không phản hồi trong
một khoảng thời gian nhất định, Hệ điều hành sẽ hiển thị thông báo và cho phép
người dùng đợi ứng dụng phản hồi hoặc buộc phải kết thúc quá trình. Nếu quá trình
chế độ hạt nhân không phản hồi, việc tắt máy sẽ xuất hiện để treo và có thể cần phải
tắt máy tính bằng nút nguồn.
Có một số cách để tắt máy tính Windows: Bắt đầu các tùy chọn nguồn menu, dòng
lệnh shutdown và sử dụng Ctrl + Alt + Delete và nhấp vào biểu tượng nguồn. Có
ba tùy chọn khác nhau để chọn khi tắt máy tính: Tắt máy, tắt máy tính, Khởi động
lại, khởi động lại máy tính từ đầu và Hibernate ghi lại trạng thái hiện tại của máy tính
và môi trường người dùng và lưu trữ nó trong một tập tin. Chế độ ngủ đông cho phép
người dùng chọn đúng nơi họ rời đi rất nhanh với tất cả các tệp và chương trình vẫn
mở.
2.1.2.6 Processes, Threads, and Services
Một ứng dụng Windows được tạo thành từ các quy trình. Ứng dụng có thể có một
hoặc nhiều quy trình dành riêng cho nó. Quy trình là bất kỳ chương trình nào hiện
đang thực thi. Mỗi tiến trình chạy được tạo thành từ ít nhất một luồng. Một luồng là
một phần của quá trình có thể được thực thi. Bộ xử lý thực hiện các phép tính trên
luồng. Để định cấu hình các quy trình của Windows, hãy tìm Trình quản lý tác vụ. Tab
quy trình của Trình quản lý tác vụ được hiển thị trong Hình 1.
Tất cả các chủ đề dành riêng cho một quy trình được chứa trong cùng một không
gian địa chỉ. Điều này có nghĩa rằng các chủ đề này có thể không truy cập vào không
gian địa chỉ của bất kỳ quy trình nào khác. Điều này ngăn cản tham nhũng của các
quá trình khác. Bởi vì Windows đa nhiệm, nhiều luồng có thể được thực thi cùng một
lúc. Số lượng các chủ đề có thể được thực hiện cùng một lúc phụ thuộc vào số lượng
bộ vi xử lý của máy tính.
Một số tiến trình mà Windows chạy là các dịch vụ. Đây là những chương trình chạy
ẩn để hỗ trợ hệ điều hành và ứng dụng. Chúng có thể được thiết lập để tự khởi động
khi Windows khởi động hoặc chúng có thể được khởi động thủ công. Họ cũng có thể bị
ngừng, khởi động lại hoặc vô hiệu hóa. Các dịch vụ cung cấp chức năng chạy dài,
chẳng hạn như không dây hoặc truy cập vào máy chủ FTP. Để cấu hình Windows
Services, hãy tìm kiếm các dịch vụ. Ứng dụng bảng điều khiển Windows Services
được hiển thị trong Hình 2.8. Hãy rất cẩn thận khi thao tác cài đặt các dịch vụ này.
Một số chương trình dựa vào một hoặc nhiều dịch vụ để hoạt động đúng. Việc tắt dịch
vụ có thể ảnh hưởng xấu đến các ứng dụng hoặc các dịch vụ khác.
Hình 2.7: Các tiến trình chạy trên Windows
Hình 2.8: Các service trên Windows
2.1.2.7 Phân vùng bộ nhớ và xử lý
Một máy tính hoạt động bằng cách lưu trữ các lệnh trong RAM cho đến khi CPU xử
lý chúng. Không gian địa chỉ ảo cho một tiến trình là tập hợp các địa chỉ ảo mà quy
trình có thể sử dụng. Địa chỉ ảo không phải là vị trí thực tế trong bộ nhớ, mà là một
mục trong bảng trang được sử dụng để dịch địa chỉ ảo thành địa chỉ thực.
Mỗi quá trình trong một máy tính Windows 32 bit hỗ trợ không gian địa chỉ ảo cho
phép giải quyết tối đa 4 gigabyte. Mỗi quá trình trong một máy tính Windows 64-bit
hỗ trợ một không gian địa chỉ ảo là 8 terabyte.
Mỗi quy trình không gian người dùng chạy trong một không gian địa chỉ riêng, tách
biệt với các quy trình không gian người dùng khác. Khi quá trình không gian người
dùng cần truy cập tài nguyên hạt nhân, nó phải sử dụng một trình xử lý. Điều này là
do quy trình không gian người dùng không được phép truy cập trực tiếp vào các tài
nguyên hạt nhân này. Trình xử lý quy trình cung cấp quyền truy cập cần thiết cho quy
trình không gian của người dùng mà không cần kết nối trực tiếp đến nó.
Một trong những công cụ mạnh mẽ hơn để xem phân vùng bộ nhớ là Sysinternals
RamMap.
Hình 2.9: Giao diện công cụ Sysinternals RamMap

2.1.2.8 The Windows Registry
Windows lưu trữ tất cả thông tin về phần cứng, ứng dụng, người dùng và cài đặt
hệ thống trong cơ sở dữ liệu lớn được gọi là sổ đăng ký. Các cách mà các đối tượng
này tương tác cũng được ghi lại, chẳng hạn như những tệp nào một ứng dụng mở ra
và tất cả các chi tiết thuộc tính của các thư mục và ứng dụng. Cơ quan đăng ký là
một cơ sở dữ liệu phân cấp nơi mức cao nhất được gọi là tổ ong, bên dưới có các
khóa, tiếp theo là các khóa con. Giá trị, lưu trữ dữ liệu, được lưu trữ trong khóa và
khóa con. Khóa đăng ký có thể lên đến 512 cấp độ sâu.
Đây là năm tổ hợp đăng ký Windows:

• HKEY_CURRENT_USER (HKCU) - Giữ dữ liệu liên quan đến người dùng hiện
đang đăng nhập.
• HKEY_USERS (HKU) - Giữ dữ liệu liên quan đến tất cả các tài khoản người
dùng trên máy chủ.
• HKEY_CLASSES_ROOT (HKCR) - Giữ dữ liệu về đăng ký liên kết và nhúng

(OLE) đối tượng.
• HKEY_LOCAL_MACHINE (HKLM) - Giữ dữ liệu liên quan đến hệ thống.
• HKEY_CURRENT_CONFIG (HKCC) - Giữ dữ liệu về cấu hình phần cứng hiện

tại.
Không thể tạo tổ mới. Các khóa và giá trị đăng ký trong tổ ong có thể được tạo,
sửa đổi hoặc xóa bởi một tài khoản có quyền quản trị. Như thể hiện trong hình, công
cụ regedit.exe được sử dụng để sửa đổi registry. Hãy rất cẩn thận khi sử dụng công
cụ này. Những thay đổi nhỏ đối với cơ quan đăng ký có thể có tác động lớn hoặc thậm
chí thảm khốc.
Điều hướng trong registry rất giống với Windows explorer. Sử dụng bảng điều
khiển bên trái để điều hướng các tổ ong và cấu trúc bên dưới nó và sử dụng bảng bên
phải để xem nội dung của mục được đánh dấu trong bảng điều khiển bên trái. Với rất
nhiều khóa và khóa con, con đường chính có thể trở nên rất dài. Đường dẫn được hiển
thị ở dưới cùng của cửa sổ để tham khảo. Bởi vì mỗi khóa và khóa con về cơ bản là
một vùng chứa, đường dẫn được biểu diễn giống như một thư mục trong một hệ
thống tệp. Dấu gạch chéo ngược (\) được sử dụng để phân biệt cấu trúc phân cấp của
cơ sở dữ liệu.
Khóa đăng ký có thể chứa khóa con hoặc giá trị. Đây là các giá trị khác nhau mà
các khóa có thể chứa:
• REG_BINARY - Số hoặc giá trị Boolean
• REG_DWORD - Số lớn hơn 32 bit hoặc dữ liệu thô
• REG_SZ - Giá trị chuỗi
Bởi vì sổ đăng ký nắm giữ gần như tất cả các hệ điều hành và thông tin người
dùng, điều quan trọng là phải đảm bảo rằng nó không bị xâm phạm. Các ứng dụng

độc hại tiềm tàng có thể thêm các khóa registry để chúng bắt đầu khi máy tính khởi
động. Trong quá trình khởi động bình thường, người dùng sẽ không thấy chương trình
bắt đầu vì mục nhập trong sổ đăng ký và ứng dụng sẽ không hiển thị cửa sổ hoặc chỉ
báo khởi động khi máy tính khởi động. Một keylogger, ví dụ, sẽ tàn phá đến sự an
toàn của một máy tính nếu nó được bắt đầu lúc khởi động mà không có kiến thức
hoặc sự đồng ý của người dùng. Khi thực hiện kiểm tra bảo mật thông thường, hoặc
sửa chữa hệ thống bị nhiễm, hãy xem xét các vị trí khởi động ứng dụng trong sổ đăng
ký để đảm bảo rằng mỗi mục được biết và an toàn để chạy.
Cơ quan đăng ký cũng chứa hoạt động mà người dùng thực hiện trong quá trình sử
dụng máy tính thông thường hàng ngày. Điều này bao gồm lịch sử thiết bị phần cứng,
bao gồm tất cả các thiết bị đã được kết nối với máy tính bao gồm tên, nhà sản xuất
và số sê-ri. Thông tin khác, chẳng hạn như tài liệu người dùng và chương trình đã
mở, vị trí của họ và khi nào họ được truy cập được lưu trữ trong sổ đăng ký. Đây là
tất cả những thông tin rất hữu ích khi một cuộc điều tra pháp y cần được thực hiện.
2.2 WINDOWS ADMINISTRATION

2.2.1 Cấu hình và giám sát Windows
2.2.1.1 Run as Administrator
Như một cách bảo mật tốt nhất, không nên đăng nhập vào Windows bằng tài
khoản Administrator hoặc tài khoản có quyền quản trị. Điều này là do bất kỳ chương
trình nào được thực thi khi đăng nhập với các đặc quyền đó sẽ kế thừa chúng. Phần
mềm độc hại có đặc quyền quản trị có toàn quyền truy cập vào tất cả các tệp và thư
mục trên máy tính.
Đôi khi, cần phải chạy hoặc cài đặt phần mềm yêu cầu đặc quyền của Quản trị
viên. Để thực hiện điều này, có hai cách khác nhau để cài đặt nó:
• Run as Administrator - Nhấn chuột phải vào lệnh trong Windows File
Explorer và chọn Run as Administrator từ Trình đơn ngữ cảnh.
• Admin Command Prompt - Tìm kiếm lệnh, nhấn chuột phải vào tập tin thực
thi, và chọn Run as Administrator từ Context Menu. Mỗi lệnh được
thực thi từ dòng lệnh này sẽ được thực hiện với quyền Administrator, bao
gồm cả cài đặt phần mềm.
2.2.1.2 Local Users and Domains
Khi bạn khởi động máy tính mới lần đầu tiên hoặc bạn cài đặt Windows, bạn sẽ
được nhắc tạo một tài khoản người dùng. Điều này được gọi là người dùng cục bộ. Tài
khoản này sẽ chứa tất cả cài đặt tùy chỉnh, quyền truy cập, vị trí tệp và nhiều dữ liệu
người dùng cụ thể khác của bạn. Ngoài ra còn có hai tài khoản khác có mặt, khách và
quản trị viên. Cả hai tài khoản này đều bị tắt theo mặc định.
Như một phương pháp bảo mật tốt nhất, không kích hoạt tài khoản Administrator
và không cung cấp cho người dùng chuẩn quyền quản trị. Nếu người dùng cần thực
hiện bất kỳ chức năng nào yêu cầu quyền quản trị, hệ thống sẽ yêu cầu mật khẩu
Quản trị viên và chỉ cho phép tác vụ đó được thực hiện với tư cách quản trị viên. Bằng
cách nhập mật khẩu quản trị viên, điều này bảo vệ máy tính bằng cách ngăn chặn bất
kỳ phần mềm nào không được ủy quyền, từ cài đặt, thực thi hoặc truy cập tệp.
Tài khoản Khách không được bật. Tài khoản khách không có mật khẩu được liên
kết với nó vì nó được tạo khi một máy tính sẽ được sử dụng bởi nhiều người khác
nhau, những người không có tài khoản trên máy tính. Mỗi khi tài khoản khách đăng
nhập, môi trường mặc định được cung cấp cho họ với các đặc quyền hạn chế.
Để quản trị người dùng dễ dàng hơn, Windows sử dụng các nhóm. Một nhóm sẽ có
một tên và một tập hợp các quyền cụ thể liên kết với nó. Khi người dùng được đặt vào
một nhóm, quyền của nhóm đó được cấp cho người dùng đó. Người dùng có thể được
đặt vào nhiều nhóm để được cung cấp nhiều quyền khác nhau. Khi quyền chồng chéo,
các quyền nhất định, như "từ chối rõ ràng" sẽ ghi đè quyền được cung cấp bởi một
nhóm khác. Có nhiều nhóm người dùng khác nhau được tích hợp trong Windows được
sử dụng cho các tác vụ cụ thể. Ví dụ: nhóm Người dùng nhật ký hiệu suất cho phép
các thành viên lên lịch ghi nhật ký các bộ đếm hiệu suất và thu thập nhật ký cục bộ
hoặc từ xa. Người dùng và nhóm cục bộ được quản lý bằng applet bảng điều khiển
lusrmgr.msc, như trong hình.
Ngoài các nhóm, Windows cũng có thể sử dụng các miền để đặt quyền. Miền là
một loại dịch vụ mạng trong đó tất cả người dùng, nhóm, máy tính, thiết bị ngoại vi
và cài đặt bảo mật được lưu trữ và kiểm soát bởi cơ sở dữ liệu. Cơ sở dữ liệu này được
lưu trữ trên các máy tính đặc biệt hoặc các nhóm máy tính được gọi là bộ điều khiển
miền (DC). Mỗi người dùng và máy tính trên miền phải xác thực với DC để đăng nhập
và truy cập tài nguyên mạng. Cài đặt bảo mật cho mỗi người dùng và mỗi máy tính
được đặt bởi DC cho mỗi phiên. Bất kỳ cài đặt nào được cung cấp bởi DC đều mặc
định cho máy tính cục bộ hoặc cài đặt tài khoản người dùng.
2.2.1.3 CLI và PowerShell
Giao diện dòng lệnh của Windows (CLI) có thể được sử dụng để chạy các chương
trình, điều hướng hệ thống tệp và quản lý các tệp và thư mục. Ngoài ra, các tệp được
gọi là các tệp lô có thể được tạo để thực hiện nhiều lệnh liên tiếp, giống như một tập
lệnh cơ bản. Để mở Windows CLI, tìm kiếm cmd.exe và nhấp vào chương trình. Hãy
nhớ rằng kích chuột phải vào chương trình cung cấp tùy chọn để chạy với tư cách
quản trị viên, cung cấp nhiều quyền lực hơn cho các lệnh sẽ được sử dụng.
Dấu nhắc hiển thị vị trí hiện tại trong hệ thống tệp. Đây là một vài điều cần nhớ
khi sử dụng CLI:
• Theo mặc định, tên tệp và đường dẫn không phân biệt chữ hoa chữ thường.
• Thiết bị lưu trữ được gán một chữ cái để tham khảo. Thư, theo sau là dấu
gạch chéo ngược (\) cho biết thư mục gốc của thiết bị. Phân cấp thư mục và
tệp trên thiết bị được chỉ định bằng cách tách chúng bằng dấu gạch chéo
ngược. Ví dụ, C: \ Users \ Jim \ Desktop \ file.txt là tập tin được gọi là
file.txt trong thư mục Desktop trong thư mục Jim trong thư mục Users trên
thiết bị C :.
• Các lệnh có các công tắc tùy chọn sử dụng dấu gạch chéo chuyển tiếp (/) để
phân tách giữa lệnh và mỗi công tắc.
• Bạn có thể sử dụng phím Tab để tự động hoàn tất các lệnh khi thư mục hoặc
tệp được tham chiếu.
• Windows giữ một lịch sử của các lệnh được nhập trong một phiên CLI. Truy
cập các lệnh lịch sử bằng cách sử dụng các phím mũi tên lên và xuống.

• Để chuyển đổi giữa các thiết bị lưu trữ, hãy nhập chữ cái của thiết bị, sau đó
là dấu hai chấm, sau đó nhấn Enter.
Mặc dù CLI có nhiều lệnh và các tính năng, nhưng nó không thể làm việc cùng với
lõi của Windows hoặc GUI. Một môi trường khác, được gọi là Windows PowerShell, có
thể được sử dụng để tạo tập lệnh để tự động hóa các tác vụ mà CLI thông thường
không thể tạo. PowerShell cũng cung cấp một CLI để khởi tạo các lệnh. PowerShell là
một chương trình tích hợp trong Windows và có thể được mở bằng cách tìm kiếm
PowerShell và nhấp vào chương trình. Giống như CLI, PowerShell cũng có thể được
chạy với quyền quản trị.
Đây là các loại lệnh mà PowerShell có thể thực thi:
• cmdlets - Các lệnh này thực hiện một hành động và trả về một đầu ra hoặc
đối tượng cho lệnh tiếp theo sẽ được thực hiện.
• PowerShell scripts - Đây là những tệp có phần mở rộng .ps1 chứa các lệnh
PowerShell được thực hiện.
• PowerShell functions - Đây là các đoạn mã có thể được tham chiếu trong
một tập lệnh.
Để xem thêm thông tin về Windows PowerShell và bắt đầu sử dụng nó, hãy nhập
trợ giúp trong PowerShell, như trong hình. Bạn sẽ được cung cấp nhiều thông tin và
tài nguyên hơn để bắt đầu sử dụng PowerShell.
Có bốn cấp độ trợ giúp trong Windows PowerShell:
• get-help PS command - Hiển thị trợ giúp cơ bản cho lệnh
• get-help PS command [-examples] - Hiển thị trợ giúp cơ bản cho lệnh có các
ví dụ
• get-help PS command [-detailed] - Hiển thị trợ giúp chi tiết cho lệnh bằng
các ví dụ
• get-help PS command [-full] - Hiển thị tất cả thông tin trợ giúp cho lệnh có
các ví dụ ở độ sâu lớn hơn
Hình 2.10: Giao diện Windows PowerShell

2.2.1.4 Hướng dẫn quản trị Windows
Windows Management Instrumentation (WMI) được sử dụng để quản lý các máy

tính từ xa. Nó có thể lấy thông tin về các thành phần máy tính, thống kê phần cứng
và phần mềm, và theo dõi sức khỏe của các máy tính từ xa. Bạn có thể mở điều khiển
WMI bằng cách tìm kiếm quản lý máy tính, và sau đó nhấp chuột phải vào mục WMI
Control trong Dịch vụ và Ứng dụng và chọn Thuộc tính. Cửa sổ WMI Control
Properties được hiển thị trong hình.
Đây là bốn tab trong cửa sổ WMI Control Properties:
• General - Tóm tắt thông tin về máy tính cục bộ và WMI
• Backup/Restore - Cho phép sao lưu thủ công các số liệu thống kê được thu
thập bởi WMI

• Security - Cài đặt để định cấu hình ai có quyền truy cập vào các thống kê
WMI khác nhau
• Advanced - Cài đặt để cấu hình không gian tên mặc định cho WMI
Một số cuộc tấn công ngày nay sử dụng WMI để kết nối với hệ thống từ xa, sửa đổi
registry và chạy các lệnh. WMI giúp họ tránh bị phát hiện vì nó là lưu lượng chung,
thường được các thiết bị bảo mật mạng và các lệnh WMI từ xa thường không để lại
bằng chứng trên máy chủ từ xa. Bởi vì điều này, truy cập WMI nên được giới hạn
nghiêm ngặt.
Hình 2.11: Giao diện Windows Management Instrumentation (WMI)

2.2.1.5 Lệnh net
Windows có nhiều lệnh có thể được nhập vào dòng lệnh. Một lệnh quan trọng là
lệnh net, được sử dụng trong quản trị và bảo trì hệ điều hành. Lệnh net hỗ trợ nhiều
lệnh khác theo lệnh net và có thể được kết hợp với các switch để tập trung vào đầu ra
cụ thể.
Để xem danh sách nhiều lệnh net, gõ net help tại dấu nhắc lệnh. Hình này hiển thị
các lệnh mà lệnh net có thể sử dụng. Để xem trợ giúp chi tiết về bất kỳ lệnh net nào,
hãy gõ lệnh trợ giúp net.
Đây là một số lệnh net phổ biến:
• net accounts - Đặt yêu cầu mật khẩu và đăng nhập cho người dùng
• net session - Liệt kê hoặc ngắt kết nối các phiên giữa máy tính và các máy
tính khác trên mạng
• net share - Tạo, xóa hoặc quản lý tài nguyên được chia sẻ
• net start - Bắt đầu một dịch vụ mạng hoặc danh sách chạy các dịch vụ mạng
• net stop - Dừng dịch vụ mạng
• net use - Kết nối, ngắt kết nối và hiển thị thông tin về tài nguyên mạng được
chia sẻ
• net view - Hiển thị danh sách máy tính và thiết bị mạng trên mạng
Hình 2.12: Các lệnh Net hỗ trợ trên Windows

2.2.1.6 Trình quản lý tác vụ và Trình theo dõi tài nguyên
Có hai công cụ rất quan trọng và hữu ích để giúp quản trị viên hiểu nhiều ứng
dụng, dịch vụ và quy trình khác nhau đang chạy trên máy tính Windows. Những công
cụ này cũng cung cấp thông tin chi tiết về hiệu suất của máy tính, chẳng hạn như
CPU, bộ nhớ và mức sử dụng mạng. Những công cụ này đặc biệt hữu ích khi điều tra
một vấn đề mà phần mềm độc hại bị nghi ngờ. Khi một thành phần không thực hiện
đúng cách, các công cụ này có thể được sử dụng để xác định vấn đề có thể là gì.
Trình quản lý tác vụ
Trình quản lý tác vụ, cung cấp nhiều thông tin về những gì đang chạy và hiệu suất
chung của máy tính. Có bảy tab trong Trình quản lý Tác vụ:
• Quy trình - Tất cả các chương trình và quy trình hiện đang chạy được hiển thị
ở đây. Việc sử dụng CPU, bộ nhớ, đĩa và mạng của mỗi quá trình được hiển
thị trong các cột. Bạn có thể kiểm tra các thuộc tính của bất kỳ quy trình
nào trong số này hoặc kết thúc quá trình không hoạt động đúng cách hoặc
bị ngừng hoạt động.
• Hiệu suất - Một cái nhìn của tất cả các số liệu thống kê hiệu suất cung cấp
một cái nhìn tổng quan hữu ích của CPU, bộ nhớ, đĩa, và hiệu suất mạng.
Nhấp vào từng mục trong ngăn bên trái sẽ hiển thị số liệu thống kê chi tiết
của mục đó trong ngăn bên phải.
• Lịch sử ứng dụng - Việc sử dụng tài nguyên theo ứng dụng theo thời gian
cung cấp thông tin chi tiết về các ứng dụng đang tiêu thụ nhiều tài nguyên
hơn mức cần thiết. Nhấp vào Tùy chọn và Hiển thị lịch sử cho tất cả các quy
trình để xem lịch sử của mọi quá trình đã chạy kể từ khi máy tính được khởi
động.
• Khởi động - Tất cả các ứng dụng và dịch vụ khởi động khi máy tính khởi
động được hiển thị trong tab này. Để vô hiệu hóa một chương trình bắt đầu
lúc khởi động, bấm chuột phải vào mục đó và chọn Tắt.
• Người dùng - Tất cả người dùng đã đăng nhập vào máy tính được hiển thị
trong tab này. Cũng được hiển thị là tất cả các tài nguyên mà các ứng dụng
và quy trình của từng người dùng đang sử dụng. Từ tab này, quản trị viên có
thể ngắt kết nối người dùng khỏi máy tính.
• Chi tiết - Tương tự như tab Quy trình, tab này cung cấp các tùy chọn quản lý
bổ sung cho các quy trình như đặt ưu tiên để làm cho bộ xử lý dành nhiều
thời gian hơn cho quá trình. Mối quan hệ CPU cũng có thể được thiết lập để
xác định lõi hoặc CPU mà chương trình sẽ sử dụng. Ngoài ra, một tính năng
hữu ích được gọi là chuỗi chờ phân tích cho thấy bất kỳ quá trình nào mà
một quá trình khác đang chờ đợi. Tính năng này giúp xác định xem một quá
trình chỉ đơn giản là chờ đợi, hoặc bị đình trệ.
• Dịch vụ - Tất cả các dịch vụ được tải đều được hiển thị trong tab này. ID tiến
trình (PID) và mô tả ngắn cũng được hiển thị cùng với trạng thái Đang chạy
hoặc Ngưng. Ở phía dưới cùng, có một nút để mở Bảng điều khiển dịch vụ
cung cấp quản lý dịch vụ bổ sung.
Giám sát tài nguyên
Khi cần thêm thông tin chi tiết về việc sử dụng tài nguyên, bạn có thể sử dụng
Resource Monitor. Khi tìm kiếm lý do máy tính có thể hoạt động không đúng cách,
Resource Monitor có thể giúp tìm ra nguồn gốc của vấn đề. Trình giám sát tài nguyên
có năm tab:
• Overview - Việc sử dụng chung cho từng tài nguyên được hiển thị trong tab
này. Nếu bạn chọn một quy trình, quy trình sẽ được lọc trên tất cả các tab
để chỉ hiển thị thống kê của quy trình đó.
• CPU - PID, số lượng các luồng mà CPU đang sử dụng và mức sử dụng CPU
trung bình của mỗi quá trình được hiển thị trong tab này. Thông tin bổ sung
về bất kỳ dịch vụ nào mà quy trình dựa vào, và các tay cầm và mô-đun có
liên quan có thể được nhìn thấy bằng cách mở rộng các hàng thấp hơn.
• Bộ nhớ - Tất cả thông tin thống kê về cách mỗi quá trình sử dụng bộ nhớ
được hiển thị trong tab này. Ngoài ra, tổng quan về việc sử dụng tất cả RAM
được hiển thị bên dưới hàng Processes.
• Disk - Tất cả các quy trình đang sử dụng đĩa được hiển thị trong tab này, với
số liệu thống kê đọc / ghi và tổng quan về từng thiết bị lưu trữ.

• Network - Tất cả các quy trình đang sử dụng mạng được hiển thị trong tab
này, với số liệu thống kê đọc / ghi. Quan trọng nhất, các kết nối TCP hiện tại
được hiển thị, cùng với tất cả các cổng đang lắng nghe. Tab này rất hữu ích
khi cố gắng xác định ứng dụng và quy trình nào đang giao tiếp qua mạng.
Nó làm cho nó có thể cho biết nếu một quá trình trái phép là truy cập vào
mạng, nghe cho một thông tin liên lạc, và địa chỉ mà nó được giao tiếp.
2.2.1.7 Truy cập tài nguyên mạng
Giống như các hệ điều hành khác, Windows sử dụng mạng cho nhiều ứng dụng
khác nhau như web, email và các dịch vụ tệp. Được IBM phát triển ban đầu, Microsoft
hỗ trợ phát triển giao thức SMB (Message Message Block) để chia sẻ tài nguyên
mạng. SMB chủ yếu được sử dụng để truy cập các tệp trên máy chủ từ xa. Định dạng
Quy ước Đặt tên Phổ biến (UNC) được sử dụng để kết nối với các tài nguyên, ví dụ:
\\ servername \ sharename \ file
Trong UNC, servername là máy chủ lưu trữ tài nguyên. Đây có thể là tên DNS, tên
NetBIOS hoặc đơn giản là địa chỉ IP. Tên chia sẻ là thư mục gốc của thư mục trong hệ
thống tệp trên máy chủ từ xa, trong khi tệp là tài nguyên mà máy chủ cục bộ đang cố
tìm. Tệp có thể sâu hơn trong hệ thống tệp và cần phải chỉ định hệ thống phân cấp
này.
Khi chia sẻ tài nguyên trên mạng, khu vực của hệ thống tệp sẽ được chia sẻ sẽ cần
được xác định. Kiểm soát truy cập có thể được áp dụng cho các thư mục và tập tin để
hạn chế người dùng và nhóm với các chức năng cụ thể như đọc, viết hoặc từ chối.
Cũng có những chia sẻ đặc biệt được Windows tạo tự động. Các cổ phiếu này được gọi
là cổ phiếu hành chính. Một cổ phiếu hành chính được xác định bằng ký hiệu đô la ($)
xuất hiện sau tên cổ phiếu. Mỗi ổ đĩa có một chia sẻ quản trị, được biểu thị bằng chữ
cái khối lượng và $ như C $, D $ hoặc E $. Thư mục cài đặt Windows được chia sẻ với
tư cách quản trị viên $, thư mục máy in được chia sẻ dưới dạng bản in $ và có các cổ
phiếu quản trị khác có thể được kết nối. Chỉ những người dùng có đặc quyền quản trị
mới có thể truy cập các chia sẻ này.
Cách dễ nhất để kết nối với một phần là nhập UNC của phần chia sẻ vào Windows
File Explorer, trong hộp ở đầu màn hình hiển thị danh sách đường dẫn của vị trí hệ

thống tệp hiện tại. Khi Windows cố kết nối với phần chia sẻ, bạn sẽ được yêu cầu
cung cấp thông tin đăng nhập để truy cập tài nguyên. Hãy nhớ rằng vì tài nguyên
nằm trên máy tính từ xa, thông tin đăng nhập cần phải dành cho máy tính từ xa chứ
không phải máy tính cục bộ.
Bên cạnh việc truy cập chia sẻ trên máy chủ từ xa, bạn cũng có thể đăng nhập vào
máy chủ từ xa và thao tác máy tính đó như địa phương, thay đổi cấu hình, cài đặt
phần mềm hoặc khắc phục sự cố với máy tính. Trong Windows, chức năng này được
gọi là Giao thức bàn làm việc từ xa (RDP). Khi điều tra các sự cố bảo mật, một nhà
phân tích bảo mật sử dụng RDP thường xuyên để truy cập các máy tính từ xa. Để
khởi động RDP và kết nối với một máy tính từ xa, tìm kiếm máy tính từ xa và nhấp
vào ứng dụng. Cửa sổ Remote Desktop Connection được hiển thị trong hình.
Hình 2.13: Giao diện công cụ Remote Desktop Connection

2.2.1.8 Windows Server
Hầu hết các cài đặt Windows được thực hiện như cài đặt trên máy tính để bàn trên
máy tính để bàn và máy tính xách tay. Có một phiên bản Windows khác được sử dụng
chủ yếu trong các trung tâm dữ liệu được gọi là Windows Server. Đây là một dòng sản
phẩm của Microsoft bắt đầu với Windows Server 2003. Ngày nay, phiên bản mới nhất
là Windows Server 2016. Windows Server lưu trữ nhiều dịch vụ khác nhau và có thể
thực hiện các vai trò khác nhau trong một công ty.
Lưu ý: Mặc dù có một Windows Server 2000, nó được coi là một phiên bản máy
khách của Windows NT 5.0. Windows Server 2003 là một máy chủ dựa trên NT 5.2 và
bắt đầu một phiên bản Windows Server mới.
Đây là một số dịch vụ mà Windows Server lưu trữ:
• Network Services - DNS, DHCP, Dịch vụ đầu cuối, Bộ điều khiển mạng và ảo
hóa mạng Hyper-V
• File Services - SMB, NFS và DFS
• Web Services - FTP, HTTP và HTTPS
• Management - Chính sách nhóm và kiểm soát dịch vụ miền Active Directory
2.2.2 Bảo mật Windows
2.2.2.1 Lệnh netstat
Khi phần mềm độc hại xuất hiện trong máy tính, nó thường sẽ mở các cổng giao
tiếp trên máy chủ để gửi và nhận dữ liệu. Lệnh netstat có thể được sử dụng để tìm
kiếm các kết nối gửi đến hoặc gửi đi không được ủy quyền. Khi được sử dụng riêng,
lệnh netstat sẽ hiển thị tất cả các kết nối TCP đang hoạt động có sẵn.
Bằng cách kiểm tra các kết nối này, có thể xác định chương trình nào đang lắng
nghe các kết nối không được phép. Khi một chương trình bị nghi ngờ là phần mềm
độc hại, một nghiên cứu nhỏ có thể được thực hiện để xác định tính hợp pháp của nó.
Từ đó, quá trình có thể được tắt bằng Trình quản lý tác vụ và phần mềm xóa phần
mềm độc hại có thể được sử dụng để làm sạch máy tính.
Để làm cho quá trình này dễ dàng hơn, bạn có thể liên kết các kết nối với các tiến
trình đang chạy trong Trình quản lý Tác vụ. Để làm điều này, mở một dấu nhắc lệnh
với các đặc quyền quản trị và sử dụng lệnh netstat -abno, như trong hình.
Bằng cách kiểm tra các kết nối TCP đang hoạt động, một nhà phân tích sẽ có thể
xác định xem có bất kỳ chương trình đáng ngờ nào đang lắng nghe các kết nối đến
trên máy chủ hay không. Bạn cũng có thể theo dõi quá trình đó với Trình quản lý tác
vụ Windows và hủy quá trình. Có thể có nhiều quá trình được liệt kê cùng tên. Nếu
trường hợp này xảy ra, hãy sử dụng PID để tìm quy trình chính xác. Mỗi quá trình
chạy trên máy tính có một PID duy nhất. Để hiển thị PID cho các tiến trình trong Task
Manager, mở Task Manager, nhấn chuột phải vào tiêu đề bảng và chọn PID.
Hình 2.14: Các kết nối TCP đang hoạt động

2.2.2.2 Trình xem sự kiện
Windows Event Viewer ghi lại lịch sử của các ứng dụng, bảo mật và các sự kiện hệ
thống. Các tệp nhật ký này là công cụ khắc phục sự cố có giá trị vì chúng cung cấp

thông tin cần thiết để xác định sự cố. Để mở Trình xem sự kiện, hãy tìm kiếm và nhấp
vào biểu tượng chương trình.
Windows bao gồm hai loại bản ghi sự kiện: Nhật ký Windows và Nhật ký ứng dụng
và dịch vụ. Mỗi loại này có nhiều loại nhật ký. Các sự kiện được hiển thị trong các
nhật ký này có mức độ: thông tin, cảnh báo, lỗi hoặc quan trọng. Họ cũng có ngày và
giờ xảy ra sự kiện, cùng với nguồn của sự kiện và ID liên quan đến loại sự kiện đó.
Bạn cũng có thể tạo chế độ xem tùy chỉnh. Điều này rất hữu ích khi tìm kiếm một
số loại sự kiện nhất định, tìm các sự kiện đã xảy ra trong một khoảng thời gian nhất
định, hiển thị các sự kiện ở một mức nhất định và nhiều tiêu chí khác. Có chế độ xem
tùy chỉnh tích hợp được gọi là Sự kiện quản trị hiển thị tất cả các sự kiện quan trọng,
lỗi và cảnh báo từ tất cả nhật ký quản trị. Đây là một cái nhìn tốt để bắt đầu với khi
cố gắng khắc phục sự cố.
Hình 2.15: Giao diện Event Viewer

2.2.2.3 Quản lý Windows Update
Không có phần mềm nào là hoàn hảo và hệ điều hành Windows cũng không ngoại
lệ. Những kẻ tấn công liên tục đến với những cách mới để thỏa hiệp máy tính và khai
thác mã xấu. Một số cuộc tấn công đến nhanh đến nỗi không có sự phòng thủ chống
lại họ. Chúng được gọi là khai thác zero-day. Microsoft và các nhà phát triển phần
mềm bảo mật luôn cố gắng vượt qua những kẻ tấn công, nhưng chúng không phải lúc
nào cũng thành công. Để đảm bảo mức độ bảo vệ cao nhất chống lại các cuộc tấn
công này, hãy luôn đảm bảo Windows được cập nhật với các gói dịch vụ mới nhất và
các bản vá bảo mật.
Các bản vá là các bản cập nhật mã mà các nhà sản xuất cung cấp để ngăn chặn
một loại virus hoặc sâu mới được phát hiện gây ra một cuộc tấn công thành công.
Theo thời gian, các nhà sản xuất kết hợp các bản vá lỗi và nâng cấp thành một ứng
dụng cập nhật toàn diện được gọi là gói dịch vụ. Nhiều cuộc tấn công virus tàn phá có
thể ít nghiêm trọng hơn nếu nhiều người dùng tải xuống và cài đặt gói dịch vụ mới
nhất.
Windows thường xuyên kiểm tra trang web Windows Update để cập nhật mức độ
ưu tiên cao có thể giúp bảo vệ máy tính khỏi các mối đe dọa bảo mật mới nhất.
Những cập nhật này bao gồm các cập nhật bảo mật, cập nhật quan trọng và các gói
dịch vụ. Tùy thuộc vào cài đặt bạn chọn, Windows sẽ tự động tải xuống và cài đặt bất
kỳ bản cập nhật ưu tiên cao nào mà máy tính của bạn cần hoặc thông báo cho bạn
khi các bản cập nhật này khả dụng. Để định cấu hình cài đặt cho bản cập nhật
Windows, hãy tìm kiếm Windows Update và nhấp vào ứng dụng.
Trạng thái Cập nhật, được hiển thị trong hình, cho phép bạn kiểm tra các cập nhật
theo cách thủ công và xem lịch sử cập nhật của máy tính. Ngoài ra còn có các cài đặt
cho giờ mà máy tính sẽ không tự động khởi động lại, ví dụ như trong giờ làm việc
thông thường. Bạn cũng có thể chọn thời điểm khởi động lại máy tính sau khi cập
nhật, nếu cần, với tùy chọn Khởi động lại. Các tùy chọn nâng cao cũng có sẵn để chọn
cách các bản cập nhật được cài đặt và nhận các bản cập nhật cho các sản phẩm khác
của Microsoft.

Hình 2.16: Giao diện Windows Update
2.2.2.4 Chính sách bảo mật cục bộ
Chính sách bảo mật là một tập hợp các mục tiêu đảm bảo an ninh cho mạng, dữ
liệu và hệ thống máy tính trong một tổ chức. Chính sách bảo mật là tài liệu liên tục
phát triển dựa trên những thay đổi về công nghệ, kinh doanh và yêu cầu của nhân
viên.
Trong hầu hết các mạng sử dụng máy tính Windows, Active Directory được cấu
hình với Domains trên Windows Server. Máy tính Windows tham gia miền. Quản trị
viên định cấu hình Chính sách bảo mật miền áp dụng cho tất cả các máy tính tham
gia miền. Chính sách tài khoản được đặt tự động khi người dùng đăng nhập vào máy
tính là thành viên của miền. Chính sách bảo mật cục bộ của Windows, được hiển thị
trong hình, có thể được sử dụng cho các máy tính độc lập không phải là một phần của
miền Active Directory. Để mở applet Local Security Policy, hãy tìm kiếm Local Security
Policy và kích chương trình.

Nguyên tắc mật khẩu là một thành phần quan trọng của chính sách bảo mật. Bất
kỳ người dùng nào phải đăng nhập vào máy tính hoặc kết nối với tài nguyên mạng
đều phải có mật khẩu. Mật khẩu giúp ngăn chặn hành vi trộm cắp dữ liệu và hành vi
nguy hiểm. Mật khẩu cũng giúp xác nhận rằng việc ghi nhật ký sự kiện là hợp lệ bằng
cách đảm bảo rằng người dùng là người họ nói rằng họ đang có. Chính sách mật khẩu
được tìm thấy trong Chính sách tài khoản và xác định tiêu chí cho mật khẩu cho tất
cả người dùng trên máy tính cục bộ.
Sử dụng Chính sách khóa tài khoản trong Chính sách tài khoản để ngăn các lần
đăng nhập bạo lực. Bạn có thể đặt chính sách cho phép người dùng nhập sai tên
người dùng và / hoặc mật khẩu năm lần. Sau năm lần thử, tài khoản sẽ bị khóa trong
30 phút. Sau 30 phút, số lần thử được đặt lại về 0 và người dùng có thể tìm cách
đăng nhập lại.
Điều quan trọng là phải đảm bảo rằng máy tính được bảo mật khi người dùng vắng
mặt. Một chính sách bảo mật nên chứa một quy tắc về yêu cầu máy tính khóa khi
trình bảo vệ màn hình khởi động. Điều này sẽ đảm bảo rằng sau một thời gian ngắn
đi từ máy tính, trình bảo vệ màn hình sẽ bắt đầu và sau đó máy tính không thể được
sử dụng cho đến khi người dùng đăng nhập.
Nếu Chính sách bảo mật cục bộ trên mọi máy tính độc lập đều giống nhau, thì hãy
sử dụng tính năng Chính sách xuất. Lưu chính sách với một tên, chẳng hạn như
workstation.inf. Sao chép tệp chính sách vào một phương tiện hoặc ổ đĩa mạng bên
ngoài để sử dụng trên các máy tính độc lập khác. Điều này đặc biệt hữu ích nếu quản
trị viên cần định cấu hình các chính sách cục bộ mở rộng cho quyền người dùng và
tùy chọn bảo mật.
Local Security Policy applet chứa nhiều thiết lập bảo mật khác áp dụng riêng cho
máy tính cục bộ. Bạn có thể cấu hình Quyền người dùng, Quy tắc tường lửa và thậm
chí khả năng hạn chế các tệp mà người dùng hoặc nhóm được phép chạy với
AppLocker.

Hình 2.17: Giao diện Local Security Policy
2.2.2.5 Windows Defender
Phần mềm độc hại bao gồm vi-rút, sâu, ngựa Trojan, keyloggers, phần mềm gián
điệp và phần mềm quảng cáo. Chúng được thiết kế để xâm nhập quyền riêng tư, lấy
cắp thông tin, làm hỏng máy tính hoặc dữ liệu bị hỏng. Điều quan trọng là bạn phải
bảo vệ máy tính và thiết bị di động bằng phần mềm chống malware có uy tín. Các
loại chương trình chống phần mềm độc hại sau đây có sẵn:
• Antivirus protection - Chương trình này liên tục theo dõi virus. Khi phát
hiện thấy vi-rút, người dùng được cảnh báo và chương trình sẽ cố gắng cách
ly hoặc xóa vi-rút.
• Adware protection - Chương trình này liên tục tìm kiếm các chương trình
hiển thị quảng cáo trên máy tính của bạn.
• Phishing protection - Chương trình này chặn địa chỉ IP của các trang web
lừa đảo đã biết và cảnh báo người dùng về các trang web đáng ngờ.

• Spyware protection - Chương trình này quét các keyloggers và các phần
mềm gián điệp khác.
• Trusted / untrusted sources - Chương trình này cảnh báo bạn về các
chương trình không an toàn sắp được cài đặt hoặc các trang web không an
toàn trước khi chúng được truy cập.
Nó có thể mất nhiều chương trình khác nhau và nhiều lần quét để loại bỏ hoàn
toàn tất cả các phần mềm độc hại. Chỉ chạy một chương trình bảo vệ phần mềm độc
hại tại một thời điểm.
Một số tổ chức bảo mật có uy tín như McAfee, Symantec và Kaspersky, cung cấp
bảo vệ chống phần mềm độc hại bao gồm tất cả cho máy tính và thiết bị di động.
Windows có sẵn tính năng bảo vệ chống vi-rút và phần mềm gián điệp có tên
Windows Defender, được hiển thị trong hình. Windows Defender được bật theo mặc
định, cung cấp bảo vệ thời gian thực chống lại sự lây nhiễm.
Để mở Windows Defender, hãy tìm kiếm nó và nhấp vào chương trình. Mặc dù
Windows Defender hoạt động ẩn, bạn có thể thực hiện quét thủ công máy tính và
thiết bị lưu trữ. Bạn cũng có thể cập nhật thủ công các định nghĩa vi-rút và phần
mềm gián điệp trong tab Update. Ngoài ra, để xem tất cả các mục đã được tìm thấy
trong quá trình quét trước đó, hãy nhấp vào tab History.

Hình 2.18: Giao diện Windows defender
2.2.2.6 Windows Firewall
Tường lửa ngăn chặn có chọn lọc lưu lượng truy cập vào một máy tính hoặc phân
đoạn mạng. Tường lửa thường hoạt động bằng cách mở và đóng các cổng được sử
dụng bởi các ứng dụng khác nhau. Bằng cách chỉ mở các cổng được yêu cầu trên
tường lửa, bạn đang triển khai chính sách bảo mật hạn chế. Bất kỳ gói nào không
được cho phép rõ ràng đều bị từ chối. Ngược lại, một chính sách bảo mật cho phép
truy cập thông qua tất cả các cổng, ngoại trừ các cổng bị từ chối một cách rõ ràng.
Trong quá khứ, phần mềm và phần cứng được vận chuyển với các cài đặt cho phép.
Khi người dùng bỏ qua cấu hình thiết bị của họ, cài đặt mặc định cho phép nhiều thiết
bị tiếp xúc với kẻ tấn công. Hầu hết các thiết bị giờ đây đều có các cài đặt hạn chế
nhất có thể, trong khi vẫn cho phép thiết lập dễ dàng.
Để cho phép truy cập chương trình thông qua Tường lửa Windows, tìm kiếm Tường
lửa của Windows, nhấp vào tên của nó để chạy nó và bấm Cho phép ứng dụng
hoặc tính năng thông qua Tường lửa Windows, như trong hình 1.
Nếu bạn muốn sử dụng tường lửa phần mềm khác, bạn sẽ cần phải tắt Tường lửa
của Windows. Để vô hiệu hóa Tường lửa của Windows, bấm Bật hoặc tắt Tường lửa
của Windows.
Có thể tìm thấy nhiều cài đặt bổ sung trong Cài đặt nâng cao, như trong hình 2.
Ở đây bạn có thể tạo quy tắc lưu lượng truy cập vào hoặc ra dựa trên các tiêu chí
khác nhau. Bạn cũng có thể nhập và xuất các chính sách hoặc theo dõi các khía cạnh
khác nhau của tường lửa.
Hình 2.19: Giao diện Windows Firewall

Hình 2.20: Giao diện Advanced security trên Windows firewall
54 BÀI 3HỆ ĐIỀU HÀNH LINUX
BÀI 3. HỆ ĐIỀU HÀNH LINUX
3.1 TỔNG QUAN VỀ HỆ ĐIỀU HÀNH
LINUX 3.1.1 Khái niệm
Linux là một hệ điều hành được tạo ra vào năm 1991. Linux là nguồn mở, nhanh,
đáng tin cậy và nhỏ. Nó đòi hỏi rất ít tài nguyên phần cứng để chạy và có khả năng
tùy biến cao. Không giống như các hệ điều hành khác như Windows và Mac OS X,
Linux đã được tạo và hiện được duy trì bởi một cộng đồng lập trình viên. Linux là một
phần của một số nền tảng và có thể được tìm thấy trên các thiết bị ở mọi nơi từ “đồng
hồ đeo tay đến siêu máy tính”.
Một khía cạnh quan trọng khác của Linux là nó được thiết kế để kết nối với mạng,
giúp việc viết và sử dụng các ứng dụng dựa trên mạng trở nên đơn giản hơn nhiều.
Bởi vì Linux là nguồn mở, bất kỳ cá nhân hoặc công ty nào cũng có thể lấy mã nguồn
của hạt nhân, kiểm tra nó, sửa đổi nó và biên dịch lại theo ý muốn. Họ cũng được
phép phân phối lại chương trình có hoặc không có phí.
Bản phân phối Linux là thuật ngữ được sử dụng để mô tả các gói được tạo bởi các
tổ chức khác nhau. Các bản phân phối Linux (hoặc bản phân phối) bao gồm hạt nhân
Linux với các công cụ tùy chỉnh và các gói phần mềm. Mặc dù một số tổ chức này có
thể tính phí hỗ trợ phân phối Linux của họ (hướng tới các doanh nghiệp dựa trên
Linux), phần lớn trong số họ cũng cung cấp dịch vụ phân phối miễn phí mà không cần
hỗ trợ. Debian, Red Hat, Ubuntu, CentOS và SUSE chỉ là một vài ví dụ về bản phân
phối Linux.
3.1.2 Giá trị của hệ điều hành Linux
Linux thường là hệ điều hành được lựa chọn trong Trung tâm Điều hành An ninh -
Security Operations Center (SOC). Đây là một số lý do để chọn Linux:
BÀI 3HỆ ĐIỀU HÀNH LINUX 55

Linux là nguồn mở - Bất kỳ ai cũng có thể mua Linux miễn phí và sửa đổi nó để
phù hợp với nhu cầu cụ thể. Tính linh hoạt này cho phép các nhà phân tích và quản trị
viên thiết kế riêng một hệ điều hành đặc biệt cho phân tích bảo mật.
Linux CLI rất mạnh mẽ - Trong khi GUI làm cho nhiều tác vụ dễ thực hiện hơn, nó
làm tăng thêm sự phức tạp và đòi hỏi nhiều tài nguyên máy tính hơn để chạy. Giao
diện dòng lệnh Linux (CLI) cực kỳ mạnh mẽ và cho phép các nhà phân tích thực hiện
các nhiệm vụ không chỉ trực tiếp trên một thiết bị đầu cuối mà còn từ xa vì CLI đòi
hỏi rất ít tài nguyên.
Người dùng có quyền kiểm soát nhiều hơn đối với hệ điều hành - Người dùng quản
trị viên trong Linux, được gọi là người dùng root hoặc superuser, có quyền lực tuyệt
đối trên máy tính. Không giống như các hệ điều hành khác, người dùng root có thể
sửa đổi bất kỳ khía cạnh nào của máy tính bằng một vài tổ hợp phím. Khả năng này
đặc biệt có giá trị khi làm việc với các chức năng cấp thấp như ngăn xếp mạng. Nó
cho phép người dùng root có quyền kiểm soát chính xác cách các gói mạng được xử lý
bởi hệ điều hành.
Nó cho phép kiểm soát giao tiếp mạng tốt hơn - Kiểm soát là một phần vốn có của
Linux. Bởi vì hệ điều hành có thể được tinh chỉnh và điều chỉnh trong thực tế mọi khía
cạnh, nó là một nền tảng tuyệt vời để tạo ra các ứng dụng mạng. Đây chính là lý do
tại sao nhiều công cụ phần mềm dựa trên mạng lớn chỉ có sẵn cho Linux.
3.1.3 Linux trong Trung tâm Điều hành An ninh (SOC)
Hình 3.1: Capture một web request trên công cụ Wireshark

Tính linh hoạt được cung cấp bởi Linux là một tính năng tuyệt vời cho SOC. Toàn
bộ hệ điều hành có thể được điều chỉnh để trở thành nền tảng phân tích bảo mật
hoàn hảo. Ví dụ, quản trị viên chỉ có thể thêm các gói cần thiết vào hệ điều hành, làm
cho nó gọn gàng và hiệu quả. Các công cụ phần mềm cụ thể có thể được cài đặt và
cấu hình để làm việc cùng nhau, cho phép các quản trị viên xây dựng một máy tính
tùy chỉnh phù hợp hoàn hảo trong quy trình làm việc của SOC.
Đây là một vài công cụ thường được tìm thấy trong SOC:
• Phần mềm bắt gói tin mạng (Network packet capture software) - Phần
mềm này được sử dụng để chụp gói mạng. Đây là một công cụ quan trọng
cho một nhà phân tích SOC vì nó có thể quan sát và hiểu mọi chi tiết của
một giao dịch mạng. Hình này cho thấy một ảnh chụp màn hình của
Wireshark, một công cụ chụp gói phổ biến.

• Các công cụ phân tích mã độc (Malware analysis tools) - Trong trường
hợp phát hiện phần mềm độc hại mới, các công cụ này cho phép các nhà
phân tích chạy và thực thi phần mềm độc hại một cách an toàn mà không có
nguy cơ xâm phạm hệ thống cơ bản.
• Hệ thống phát hiện xâm nhập (Intrusion detection systems - IDS) -

Các công cụ này được sử dụng để theo dõi và kiểm tra giao thông theo thời
gian thực. Nếu bất kỳ khía cạnh nào của lưu lượng truy cập hiện tại phù hợp
với bất kỳ quy tắc nào được thiết lập, hành động được xác định trước sẽ
được thực hiện.
• Tường lửa (Firewall) - Phần mềm này được sử dụng để chỉ định, dựa trên
các quy tắc được xác định trước, cho dù lưu lượng truy cập có được phép vào
hoặc rời khỏi mạng hay không.
• Quản lý nhật ký (Log managers) - Các tệp nhật ký được sử dụng để ghi lại
các sự kiện. Bởi vì một mạng lớn có thể tạo ra một số lượng lớn các sự kiện
đăng nhập mục, quản lý đăng nhập được sử dụng để tạo điều kiện theo dõi
đăng nhập.
• Thông tin bảo mật và quản lý sự kiện (Security information and event
management - SIEM) - SIEM cung cấp phân tích thời gian thực các cảnh
báo và các mục nhật ký được tạo ra bởi các thiết bị mạng như IDS và tường
lửa.
• Hệ thống vé (Ticketing systems) - Giao vé, chỉnh sửa và ghi âm được thực
hiện thông qua hệ thống quản lý vé.
3.1.4 Các công cụ Linux
Ngoài các công cụ cụ thể của SOC, các máy tính Linux được sử dụng trong SOC
thường chứa các công cụ kiểm tra xâm nhập. Còn được gọi là PenTesting, kiểm tra
thâm nhập là quá trình tìm kiếm lỗ hổng trong mạng hoặc máy tính bằng cách tấn
công nó. Máy phát điện gói, máy quét cổng và khai thác bằng chứng khái niệm là ví
dụ về các công cụ PenTesting.
Kali Linux là một bản phân phối Linux được tạo ra để nhóm nhiều công cụ thâm
nhập. Kali chứa rất nhiều công cụ kiểm tra thâm nhập. Hình này hiển thị ảnh chụp
màn hình của Kali Linux. Lưu ý tất cả các loại công cụ kiểm tra thâm nhập chính.
3.2 LÀM VIỆC TRONG SHELL LINUX

3.2.1 Shell Linux
Trong Linux, người dùng giao tiếp với hệ điều hành bằng cách sử dụng CLI hoặc
GUI. Linux thường khởi động vào GUI theo mặc định, ẩn CLI khỏi người dùng. Một
cách để truy cập CLI từ GUI là thông qua một trình mô phỏng thiết bị đầu cuối. Các
ứng dụng này cung cấp cho người dùng quyền truy cập vào CLI và thường được đặt
tên như một số biến thể của từ "terminal". Trong Linux, các trình mô phỏng thiết bị
đầu cuối phổ biến là Terminator, eterm, xterm, konsole và gnome-terminal.
Nhấn vào đây để trải nghiệm Linux CLI trong trình duyệt web của bạn. Gõ lệnh ls
để liệt kê nội dung thư mục hiện tại. Giữ tab mở nếu bạn muốn thử một số lệnh khác
được thảo luận trong chương này.
Hình này cho thấy gnome-terminal, một trình mô phỏng thiết bị đầu cuối Linux
phổ biến.
Lưu ý: Các thuật ngữ shell, console, cửa sổ console, CLI terminal và cửa sổ
terminal thường được sử dụng thay thế cho nhau.
3.2.2 Các lệnh cơ bản

Lệnh Mô tả
mv Di chuyển hoặc đổi tên tệp và thư mục
chmod Sửa đổi quyền của tệp
chown Thay đổi quyền sở hữu tệp

dd Sao chép dữ liệu từ đầu vào đến đầu ra
pwd Hiển thị tên của thư mục hiện tại
ps Liệt kê quy trình hiện đang chạy trong hệ thống
su Mô phỏng đăng nhập với tư cách người dùng khác hoặc trở thành siêu
người dùng
sudo Chạy lệnh với tư cách người dùng khác
grep Được sử dụng để tìm kiếm các chuỗi ký tự cụ thể trong một tệp hoặc
các đầu ra lệnh khác. Để tìm kiếm thông qua đầu ra của lệnh trước, grep
phải được đặt ở cuối lệnh trước đó.
ifconfig Được sử dụng để hiển thị hoặc cấu hình thông tin liên quan đến card
mạng. Nếu được phát hành không có tham số, ifconfig sẽ hiển thị cấu
hình (các) card mạng hiện tại.
apt-get Được sử dụng để cài đặt, định cấu hình và xóa các gói trên Debian và
các dẫn xuất của nó.
Lưu ý: apt-get là giao diện người dùng thân thiện với người dùng đối
với dpkg, trình quản lý gói của Debian. Combo dpkg và apt-get là hệ
thống quản lý gói mặc định trong tất cả các dẫn xuất Debian Linux, bao
gồm cả Raspbian.
iwconfig Được sử dụng để hiển thị hoặc cấu hình thông tin liên quan đến card
mạng không dây. Tương tự như ifconfig, iwconfig sẽ hiển thị thông tin
không dây khi được phát hành mà không có tham số.
shutdown Tắt hệ thống. shutdown có thể được hướng dẫn để thực hiện một số
nhiệm vụ liên quan đến việc đóng cửa, bao gồm khởi động lại, tạm dừng,
đưa vào chế độ ngủ hoặc khởi động tất cả người dùng hiện đang kết nối.
passwd Được sử dụng để thay đổi mật khẩu. Nếu không có tham số nào được
cung cấp, passwd sẽ thay đổi mật khẩu cho người dùng hiện tại.
cat Được sử dụng để liệt kê nội dung của một tệp và dự kiến tên tệp là
tham số. Lệnh cat thường được sử dụng trên các tập tin văn bản.
man Được sử dụng để hiển thị tài liệu cho một lệnh cụ thể.
Các lệnh Linux là các chương trình được tạo để thực hiện một tác vụ cụ thể. Sử
dụng lệnh man (viết tắt của thủ công) để lấy tài liệu về các lệnh. Ví dụ, man ls cung
cấp tài liệu về lệnh ls từ hướng dẫn sử dụng.
Bởi vì lệnh là các chương trình được lưu trữ trên đĩa, khi người dùng gõ một lệnh,
trình bao phải tìm nó trên đĩa trước khi nó có thể được thực thi. Shell sẽ tìm kiếm các
lệnh do người dùng gõ vào các thư mục cụ thể và cố thực hiện chúng. Danh sách các
thư mục được kiểm tra bởi trình bao được gọi là đường dẫn. Đường dẫn chứa nhiều
thư mục thường được sử dụng để lưu trữ các lệnh. Nếu một lệnh không nằm trong
đường dẫn, người dùng phải chỉ định vị trí của nó hoặc trình bao sẽ không thể tìm
thấy nó. Người dùng có thể dễ dàng thêm các thư mục vào đường dẫn, nếu cần.
Để gọi một lệnh thông qua trình bao, chỉ cần gõ tên của nó. Shell sẽ cố gắng tìm
nó trong đường dẫn hệ thống và thực thi nó.
Lưu ý: Văn bản ở đây giả định người dùng có quyền thích hợp để thực hiện lệnh.
Quyền truy cập tệp trong Linux được đề cập ở phần sau của chương này.
3.2.3 Lệnh tệp và thư mục
Lệnh Mô tả
ls Hiển thị các tập tin bên trong một thư mục
cd Thay đổi thư mục hiện tại
mkdir Tạo thư mục trong thư mục hiện tại
cp Sao chép tệp từ nguồn đến đích

mv Di chuyển tệp vào một thư mục khác
rm Xóa tệp
grep Tìm kiếm các chuỗi ký tự cụ thể trong một tệp hoặc các đầu ra lệnh
khác
cat Liệt kê nội dung của một tệp và mong muốn tên tệp là tham số
Nhiều công cụ dòng lệnh được bao gồm trong Linux theo mặc định. Để điều chỉnh
hoạt động lệnh, người dùng có thể chuyển các tham số và chuyển mạch cùng với
lệnh. Hình này hiển thị một vài lệnh phổ biến nhất liên quan đến tệp và thư mục.
3.2.4 Làm việc với tập tin văn bản
Linux có nhiều trình soạn thảo văn bản khác nhau, với nhiều tính năng và chức
năng khác nhau. Một số trình soạn thảo văn bản bao gồm các giao diện đồ họa trong
khi các trình soạn thảo khác chỉ là các công cụ dòng lệnh. Mỗi trình soạn thảo văn bản
bao gồm một bộ tính năng được thiết kế để hỗ trợ một loại tác vụ cụ thể. Một số trình
chỉnh sửa văn bản tập trung vào lập trình viên và bao gồm các tính năng như đánh
dấu cú pháp, dấu ngoặc đơn, dấu ngoặc đơn, kiểm tra và các tính năng tập trung vào
lập trình khác.
Trong khi các trình soạn thảo văn bản đồ họa thuận tiện và dễ sử dụng, các trình
soạn thảo văn bản dòng lệnh rất quan trọng đối với người dùng Linux. Lợi ích chính
của các trình soạn thảo văn bản dựa trên dòng lệnh là chúng cho phép chỉnh sửa tệp
văn bản từ một máy tính từ xa.
Hãy xem xét kịch bản sau: người dùng phải thực hiện các tác vụ quản trị trên máy
tính Linux nhưng không ngồi trước máy tính đó. Sử dụng SSH, người dùng khởi động
một remote shell đến máy tính từ xa. Bên dưới vỏ từ xa dựa trên văn bản, giao diện
đồ họa không có sẵn, làm cho nó không thể dựa vào các công cụ như trình soạn thảo
văn bản đồ họa. Trong tình huống này, các chương trình dựa trên văn bản là rất quan
trọng.
Hình này cho thấy nano, một trình soạn thảo văn bản dòng lệnh phổ biến. Quản trị
viên đang chỉnh sửa quy tắc tường lửa. Trình soạn thảo văn bản thường được sử dụng
để cấu hình hệ thống và bảo trì trong Linux.
Do thiếu sự hỗ trợ đồ họa, nano (hoặc GNU nano) chỉ có thể được điều khiển bằng
bàn phím. Ví dụ, CTRL+O lưu tập tin hiện tại; CTRL+W mở menu tìm kiếm. GNU
nano sử dụng thanh phím tắt hai dòng ở cuối màn hình, nơi các lệnh cho ngữ cảnh
hiện tại được liệt kê. Nhấn CTRL+G cho màn hình trợ giúp và danh sách lệnh đầy đủ.
Hình 3.2: Giao diện trình soạn thảo văn bản Nano
3.2.5 Tầm quan trọng của tập tin văn bản trong Linux
Trong Linux, mọi thứ được coi là một tệp, bao gồm bộ nhớ, đĩa, màn hình, tệp và
các thư mục. Ví dụ, từ quan điểm của hệ điều hành, hiển thị thông tin trên màn hình
có nghĩa là ghi vào tập tin đại diện cho thiết bị hiển thị. Nó sẽ không có gì ngạc nhiên
khi bản thân máy tính được cấu hình thông qua các tập tin. Được gọi là tệp cấu hình,
chúng thường là tệp văn bản được sử dụng để lưu trữ điều chỉnh và cài đặt cho các
ứng dụng hoặc dịch vụ cụ thể. Thực tế mọi thứ trong Linux dựa trên các tệp cấu hình
để hoạt động. Một số dịch vụ không có một, nhưng một số tập tin cấu hình.

Người dùng có cấp quyền phù hợp có thể sử dụng trình chỉnh sửa văn bản để thay
đổi nội dung của tệp cấu hình. Sau khi các thay đổi được thực hiện, tệp sẽ được lưu
và có thể được sử dụng bởi dịch vụ hoặc ứng dụng liên quan. Người dùng có thể chỉ
định chính xác cách họ muốn bất kỳ ứng dụng hoặc dịch vụ nhất định nào hoạt động.
Khi ra mắt, các dịch vụ và ứng dụng kiểm tra nội dung của các tệp cấu hình cụ thể để
điều chỉnh hành vi của chúng cho phù hợp.
Trong hình, quản trị viên đã mở tệp cấu hình máy chủ trong nano để chỉnh sửa.
Chỉ superuser mới có thể thay đổi file host.
Lưu ý: Quản trị viên đã sử dụng lệnh sudo nano / etc / hosts để mở tệp. Lệnh
sudo (viết tắt của "superuser do") gọi đặc quyền superuser để sử dụng trình soạn
thảo văn bản nano để mở tệp máy chủ.
3.3 MÁY CHỦ VÀ MÁY TRẠM HỆ ĐIỀU HÀNH

LINUX
3.3.1 Giới thiệu mô hình truyền thông Client – Server
Máy chủ là các máy tính có cài đặt phần mềm cho phép chúng cung cấp dịch vụ
cho khách hàng. Có nhiều loại dịch vụ. Một số cung cấp các tài nguyên như tệp, thư
email hoặc trang web cho khách hàng theo yêu cầu. Các dịch vụ khác chạy các tác vụ
bảo trì như quản lý nhật ký, quản lý bộ nhớ, quét đĩa và hơn thế nữa. Mỗi dịch vụ yêu
cầu phần mềm máy chủ riêng biệt. Ví dụ, máy chủ trong hình yêu cầu phần mềm
máy chủ tệp để cung cấp cho khách hàng khả năng truy xuất và gửi tệp.
Hình 3.3: Server gửi tập tin cho Client

3.3.2 Máy chủ, dịch vụ và cổng kết nối
Đối với máy tính là máy chủ cho nhiều dịch vụ, cổng được sử dụng. Cổng là tài
nguyên mạng dành riêng được dịch vụ sử dụng. Một máy chủ được gọi là "lắng nghe"
trên một cổng khi nó đã liên kết chính nó với cổng đó.
Mặc dù quản trị viên có thể quyết định sử dụng cổng nào với bất kỳ dịch vụ cụ thể
nào, nhưng nhiều máy khách được cấu hình để sử dụng một cổng cụ thể theo mặc
định. Để làm cho nó dễ dàng hơn cho khách hàng, đó là thực tế phổ biến để rời khỏi
dịch vụ đang chạy trong cổng mặc định của nó. Hình này cho thấy một số cổng
thường được sử dụng và dịch vụ của họ. Đây cũng được gọi là “cổng nổi tiếng”.
Port
Dịch vụ
Number
21 Giao thức truyền tệp (FTP)
22 Secure Shell (SSH)

23 Dịch vụ đăng nhập từ xa Telnet
25 Giao thức chuyển thư đơn giản (SMTP)
53 Hệ thống tên miền (DNS)
80 Giao thức truyền siêu văn bản (HTTP)
110 Giao thức Bưu điện phiên bản 3 (POP3)
123 Giao thức thời gian mạng (NTP)
143 Giao thức truy nhập thông điệp Internet (IMAP)
161/162 Giao thức quản lý mạng đơn giản (SNMP)
443 Bảo mật HTTP (HTTPS)
3.3.3 Máy trạm
Máy trạm là các chương trình hoặc ứng dụng được thiết kế để giao tiếp với một
máy chủ cụ thể. Còn được gọi là ứng dụng khách, máy trạm sử dụng giao thức được
xác định rõ ràng để giao tiếp với máy chủ. Trình duyệt web là các máy trạm web được
sử dụng để giao tiếp với các máy chủ web thông qua Giao thức Truyền Siêu văn bản
(HTTP). Ứng dụng Giao thức truyền tệp (FTP) là phần mềm được sử dụng để giao tiếp
với máy chủ FTP.

Hình 3.4: Client Upload tập tin lên server
3.4 QUẢN TRỊ LINUX

3.4.1 Quản trị máy chủ cơ bản
3.4.1.1 Tập tin cấu hình dịch vụ
Trong Linux, các dịch vụ được quản lý bằng cách sử dụng các tệp cấu hình. Các tùy
chọn phổ biến là số cổng, vị trí của tài nguyên được lưu trữ và chi tiết ủy quyền của
ứng dụng khách. Khi dịch vụ bắt đầu, nó tìm kiếm các tập tin cấu hình của nó, tải
chúng vào bộ nhớ, và điều chỉnh chính nó theo các thiết lập trong các tập tin. Sửa đổi
tập tin cấu hình thường yêu cầu khởi động lại dịch vụ trước khi thay đổi có hiệu lực.
Bởi vì các dịch vụ thường yêu cầu đặc quyền superuser để chạy, tệp cấu hình dịch
vụ thường yêu cầu đặc quyền superuser để chỉnh sửa.
Không có quy tắc cho định dạng tệp cấu hình; đó là sự lựa chọn của nhà phát triển
dịch vụ. Tuy nhiên, định dạng tùy chọn = giá trị thường được sử dụng.

3.4.1.2 Nhật ký dịch vụ giám sát
Tệp nhật ký là các bản ghi mà máy tính lưu trữ để theo dõi các sự kiện quan trọng.
Các sự kiện hạt nhân, dịch vụ và ứng dụng đều được ghi lại trong các tệp nhật ký.
Việc quản trị viên định kỳ xem lại nhật ký máy tính là rất quan trọng để giữ cho nó
khỏe mạnh. Bằng cách theo dõi các tệp nhật ký Linux, quản trị viên có được hình ảnh
rõ ràng về hiệu suất, trạng thái bảo mật của máy tính và mọi vấn đề cơ bản. Phân
tích tệp nhật ký cho phép quản trị viên bảo vệ trước các sự cố sắp xảy ra trước khi
chúng xảy ra.
Trong Linux, các tệp nhật ký có thể được phân loại là:
• Nhật ký ứng dụng
• Nhật ký sự kiện
• Nhật ký dịch vụ
• Nhật ký hệ thống
Một số nhật ký chứa thông tin về các trình tiện ích đang chạy trong hệ thống
Linux. Một daemon là một tiến trình nền chạy mà không cần sự tương tác của người
dùng. Ví dụ, System Security Services Daemon (SSSD) quản lý truy cập từ xa và xác
thực cho khả năng đăng nhập một lần. Dưới đây là một số tệp nhật ký Linux phổ biến
và các chức năng của chúng:
• /var/log/messages - Thư mục này chứa các nhật ký hoạt động máy tính
chung. Nó chủ yếu được sử dụng để lưu trữ thông điệp hệ thống thông tin và
không quan trọng. Trong các máy tính dựa trên Debian, thư mục / var / log
/ syslog phục vụ cùng một mục đích.
• /var/log/auth.log - Tệp này lưu trữ tất cả các sự kiện liên quan đến xác
thực trong các máy tính Debian và Ubuntu. Bất cứ điều gì liên quan đến cơ
chế ủy quyền người dùng có thể được tìm thấy trong tập tin này.
• /var/log/secure - Thư mục này được sử dụng bởi các máy tính RedHat và
CentOS thay vì /var/log/auth.log. Nó cũng theo dõi đăng nhập sudo, thông
tin đăng nhập SSH và các lỗi khác được ghi bởi SSSD.
• /var/log/boot.log - Tệp này lưu trữ thông tin và thông báo liên quan đến
khởi động được ghi lại trong quá trình khởi động máy tính.
• /var/log/dmesg - Thư mục này chứa các thông điệp đệm vòng hạt nhân.
Thông tin liên quan đến thiết bị phần cứng và trình điều khiển của chúng
được ghi lại ở đây. Điều này rất quan trọng vì, do tính chất ở mức độ thấp
của chúng, các hệ thống ghi nhật ký như syslog không chạy khi các sự kiện
này diễn ra và do đó, thường không có sẵn cho người quản trị trong thời
gian thực.
• /var/log/kern.log - Tệp này chứa thông tin được ghi bởi hạt nhân.
• /var/log/cron - Cron là một dịch vụ được sử dụng để lên lịch các tác vụ tự
động trong Linux và thư mục này lưu trữ các sự kiện của nó. Bất cứ khi nào
một tác vụ được lên lịch (còn gọi là công việc cron) chạy, tất cả các thông tin
liên quan của nó bao gồm trạng thái thực thi và thông báo lỗi được lưu trữ ở
đây.
• /var/log/mysqld.log hoặc /var/log/mysql.log - Đây là tệp nhật ký

MySQL. Tất cả các thông báo gỡ lỗi, thất bại và thành công liên quan đến
quá trình mysqld và mysqld_safe daemon được đăng nhập ở đây. RedHat,
CentOS và Fedora lưu trữ các bản ghi MySQL dưới /var/log/mysqld.log,
trong khi Debian và Ubuntu duy trì nhật ký trong tệp /var/log/mysql.log.
Hình này hiển thị một phần của tệp nhật ký /var/log/syslog. Mỗi dòng đại diện
cho một sự kiện đã đăng nhập. Dấu thời gian ở đầu các dòng đánh dấu thời điểm diễn
ra sự kiện.

Hình 3.5: Các syslog trên Linux
3.4.2 Hệ thống tập tin Linux
3.4.2.1 Các loại hệ thống tệp trong Linux
Có rất nhiều loại hệ thống tệp khác nhau, thay đổi về tính chất của tốc độ, tính
linh hoạt, bảo mật, kích thước, cấu trúc, logic và hơn thế nữa. Việc quản trị viên
quyết định loại hệ thống tệp nào phù hợp nhất với hệ điều hành và các tệp sẽ lưu trữ.
Dưới đây là một vài loại hệ thống tệp thường được Linux tìm thấy và hỗ trợ:
• ext2 (hệ thống tệp mở rộng thứ hai) - ext2 là hệ thống tệp mặc định
trong một số bản phân phối Linux chính cho đến khi được thay thế bằng
ext3. Hầu như hoàn toàn tương thích với ext2, ext3 cũng hỗ trợ ghi nhật ký
(xem bên dưới). ext2 vẫn là hệ thống tệp được lựa chọn cho phương tiện lưu
trữ dựa trên flash vì thiếu tạp chí làm tăng hiệu suất và giảm thiểu số lượng
ghi. Vì các thiết bị bộ nhớ flash có số lượng thao tác ghi hạn chế nên việc

giảm thiểu hoạt động ghi sẽ làm tăng tuổi thọ của thiết bị. Tuy nhiên, các
hạt nhân Linux hiện đại cũng hỗ trợ ext4, một hệ thống tệp hiện đại hơn, với
hiệu năng tốt hơn và cũng có thể hoạt động ở chế độ ít nhật ký.
• ext3 (hệ thống tệp mở rộng thứ ba) - ext3 là một hệ thống tệp được ghi
nhật ký được thiết kế để cải thiện hệ thống tệp ext2 hiện có. Một tạp chí,
tính năng chính được thêm vào ext3, là một kỹ thuật được sử dụng để giảm
thiểu nguy cơ hỏng hệ thống tập tin trong trường hợp mất điện đột ngột.
Các hệ thống tập tin giữ một nhật ký (hoặc nhật ký) của tất cả các thay đổi
hệ thống tập tin sắp được thực hiện. Nếu máy tính bị treo trước khi thay đổi
hoàn tất, nhật ký có thể được sử dụng để khôi phục hoặc sửa bất kỳ sự cố
nào do sự cố xảy ra. Kích thước tệp tối đa trong các hệ thống tệp ext3 là 32
TB.
• ext4 (hệ thống tệp mở rộng thứ tư) - Được thiết kế như một người kế thừa
của ext3, ext4 được tạo dựa trên một loạt các phần mở rộng cho ext3. Trong
khi các phần mở rộng cải thiện hiệu suất của ext3 và tăng kích thước tệp
được hỗ trợ, các nhà phát triển hạt nhân Linux lo lắng về các vấn đề về tính
ổn định và phản đối việc thêm các phần mở rộng vào ext3 ổn định. Dự án
ext3 được chia thành hai; một giữ như ext3 và phát triển bình thường của
nó và khác, được đặt tên là ext4, kết hợp các phần mở rộng đã đề cập.
• NFS (Hệ thống tệp mạng) - NFS là hệ thống tệp dựa trên mạng, cho phép
truy cập tệp qua mạng. Từ quan điểm của người dùng, không có sự khác
biệt giữa việc truy cập một tệp được lưu trữ cục bộ hoặc trên một máy tính
khác trên mạng. NFS là một chuẩn mở cho phép bất cứ ai thực hiện nó.
• CDFS (Compact Disc File System) - CDFS được tạo riêng cho phương tiện
truyền thông đĩa quang.
• Swap File System - Hệ thống tập tin hoán đổi được sử dụng bởi Linux khi nó
hết RAM. Về mặt kỹ thuật, nó là một phân vùng trao đổi không có một hệ
thống tệp cụ thể nhưng nó có liên quan đến thảo luận hệ thống tệp. Khi điều
này xảy ra, hạt nhân di chuyển nội dung RAM không hoạt động đến phân
vùng trao đổi trên đĩa. Trong khi các phân vùng trao đổi (còn được gọi là
không gian hoán đổi) có thể hữu ích cho các máy tính Linux với một lượng

GiaoTrinh AnToanHeThongMang

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

GiaoTrinh AnToanHeThongMang

Uploaded by

Copyright:

Available Formats

BỘ GIÁO DỤC VÀ ĐÀO TẠO

ĐẠI HỌC CÔNG NGHỆ TP.HCM

TS. Văn Thiên Hoàng

ThS. Dương Minh Chiến

1.1.2 Hacktivists ...........................................................................................2

1.1.3 Lợi ích tài chính .....................................................................................2

1.1.4 Bí mật thương mại và chính trị toàn cầu...................................................2

1.1.5 Mức độ an toàn trong IoT (internet of things)...........................................2

1.2 TÁC ĐỘNG CỦA CÁC MỐI ĐE DỌA........................................................3

1.2.2 Mất lợi thế cạnh tranh.....................................................................4

1.2.3 Chính trị và An ninh quốc gia...........................................................4

3.2.1 Shell Linux ..................................................................................58

MỤC LỤC III

5.6.1 Công cụ giám sát port và dò tìm trojan.......................................... 147

7.2 CÁC GIAO THỨC BẢO MẬT MẠNG.............................................. 183

NỘI DUNG MÔN HỌC

Bài 2: HỆ ĐIỀU HÀNH WINDOWS.

Bài 3: HỆ ĐIỀU HÀNH LINUX.

Bài 4: TẤN CÔNG HỆ THỐNG.

HƯỚNG DẪN VII

Bài 5: AN NINH HẠ TẦNG MẠNG.

Bài 6: MẬT MÃ VÀ CÁC GIAO THỨC BẢO MẬT.

KIẾN THỨC TIỀN ĐỀ

YÊU CẦU MÔN HỌC

nhà. CÁCH TIẾP CẬN NỘI DUNG MÔN HỌC

VIII HƯỚNG DẪN

PHƯƠNG PHÁP ĐÁNH GIÁ MÔN HỌC

BÀI 1. TỔNG QUAN AN TOÀN HỆ

1.1 CÁC MỐI ĐE DỌA

1.1.3 Lợi ích tài chính

1.1.4 Bí mật thương mại và chính trị toàn cầu

1.1.5 Mức độ an toàn trong IoT (internet of things)

BÀI 1TỔNG QUAN AN TOÀN HỆ THỐNG MẠNG MÁY TÍNH 3

1.2 TÁC ĐỘNG CỦA CÁC MỐI ĐE DỌA

• Số thẻ tín dụng

• Số tài khoản ngân hàng

• ID do chính phủ cấp

• Thông tin địa chỉ (đường phố, email, số điện thoại)

1.2.2 Mất lợi thế cạnh tranh

1.2.3 Chính trị và An ninh quốc gia

BÀI 1TỔNG QUAN AN TOÀN HỆ THỐNG MẠNG MÁY TÍNH 5

1.3 CÁC YẾU TỐ CỦA TRUNG TÂM ĐIỀU HÀNH AN

6 BÀI 1TỔNG QUAN AN TOÀN HỆ THỐNG MẠNG MÁY TÍNH

1.3.1 Con người trong SOC

BÀI 1TỔNG QUAN AN TOÀN HỆ THỐNG MẠNG MÁY TÍNH 7

Hình 1.2: Các cấp độ trong SOC

1.3.2 Quy trình trong SOC

8 BÀI 1TỔNG QUAN AN TOÀN HỆ THỐNG MẠNG MÁY TÍNH

1.3.3 Công nghệ trong SOC

• Thu thập sự kiện, tương quan và phân tích

• Giám sát an ninh

• Kiểm soát an ninh

• Đánh giá tổn thương

• Theo dõi lỗ hổng

1.3.4 Doanh nghiệp và Quản lý bảo mật

• Dịch vụ được quản lý của Cisco

• Hoạt động chiến thuật của Cisco (TacOps)

• Chương trình an toàn và an toàn vật lý của Cisco

BÀI 1TỔNG QUAN AN TOÀN HỆ THỐNG MẠNG MÁY TÍNH 11

BÀI 2. HỆ ĐIỀU HÀNH WINDOWS

2.1 TỔNG QUAN VỀ WINDOWS

BÀI 2HỆ ĐIỀU HÀNH WINDOWS 13

• copy - sao chép tệp sang vị trí khác