TRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘI 2

VIỆN CNTT-KHOA CNTT

KỲ THI A2
MÔN: AN TOÀN THÔNG TIN
NHÓM 3: K48-CNTT

CHỦ ĐỀ 3: TÌM HIỂU VỀ KĨ THUẬT BẢO MẬT TRONG

WINDOWS

THÀNH VIÊN: VŨ NGỌC MINH

NGUYỄN ĐÌNH CHUNG

1
 Mục Lục

Chương I: Tổng quan về hệ thống bảo mật của hệ điều hành windows qua các
phiên bản.....................................................................................................................................
1,Windows 95 - Khởi đầu cho vấn đề bảo mật.........................................................................
2, Windows NT 4.0 - Lỗ hổng bảo mật bị khai thác rầm rộ.....................................................
3, Windows 98 - Lỗ hổng bảo mật tiếp tục gây họa............................................................
4, Windows 2000 - Sự bệ rạc của hệ thống bảo mật............................................................
5, Window XP - Kỷ nguyên của công nghệ tường lửa.........................................................
6, Windows Server 2003 - 'Khởi đầu không như mơ...........................................................
7, Windows Vista - Thành quả của sự nỗ lực.......................................................................
8, Windows Server 2008 - Giảm thiểu các cuộc tấn công....................................................
9, Windows 7 - Chặn đường sống của virus Autorun trên US............................................
10, Windows 8,8.1...................................................................................................................
11. Window10 – phiên bản được coi là thành công nhất của hệ điều hành
Window tính đến thời điểm hiện tại......................................................................................
12, Window 11 – phiên bản mới nhất ở thời điểm hiện tại.................................................
Chương II: Nguyên lý an toàn bảo mật trên hệ điều hành windows.....................................
1, An toàn hệ thống.................................................................................................................
2, Các cơ chế an toàn bảo mật trên Window........................................................................
Chương III: Phân tích hệ thống API Window.........................................................................
1, API hỗ trợ cơ chế xác thực.................................................................................................
2, API hỗ trợ phân quyền.......................................................................................................
3, API hỗ trợ cơ chế theo dõi hệ thống..................................................................................
4, API hỗ trợ cơ chế mã hóa...................................................................................................
Chương IV: Bảo mật trên hệ điều hành window 11...............................................................
Bảo Mật Phần Cứng...............................................................................................................
Bảo mật hệ điều hành.............................................................................................................
Tổng quan về Windows Hello dành cho doanh nghiệp.......................................................
Nền tảng bảo mật Windows...................................................................................................

2
Chương I: Tổng quan về hệ thống bảo mật của hệ điều
hành windows qua các phiên bản

Trên hầu hết các phiên bản Windows, hệ thống bảo mật luôn là vấn đề
nhức nhối nhất, bởi hệ điều hành này luôn là cái đích để các hacker nhắm
đến.
Từ lâu, vấn đề bảo mật trên các phiên bản Windows luôn nhận được sự
quan tâm sát sao của cộng đồng IT, bởi Windows là hệ điều hành phổ biến
nhất trên toàn thế giới. Hệ thống bảo mật của Windows trên từng phiên bản
cụ thể luôn nhận được rất nhiều lời khen, nhưng cũng không ít lời phàn
nàn. Với sự ra đời của Windows 8 trong thời gian tới, người ta hy vọng sẽ
không còn phải phàn nàn về các lỗ hổng bảo mật của hệ điều hành này.
Dưới đây là những dấu mốc nổi bật trong quá trình phát triển của hệ thống
bảo mật trên các phiên bản Windows:
1,Windows 95 - Khởi đầu cho vấn đề bảo mật
Trước khi Windows 95 ra đời, những chiếc máy tính còn khá sơ sài với
hệ điều hành phổ biến là MS-DOS. Các khái niệm như virus máy tính,
hacker còn xa lạ với người dùng. Tuy nhiên, sự xuất hiện của hệ điều hành
này đã thay đổi toàn bộ. Các hacker trên thế giới đã ngay lập tức đánh dấu
Windows 95 vào “bản đồ tấn công” của mình. Những chiếc máy tính cài hệ
điều hành này đứng trước rủi ro cao về vấn đề bảo mật, do các cuộc tấn
công thông qua trình duyệt Web Internet Explorer và nền tảng ActiveX.
Vào năm 1998, giám đốc phát triển hệ thống bảo mật của hệ điều hành
Windows NT - Karan Khanna - đã phải thừa nhận sự yếu kém của công
nghệ bảo mật tích hợp trên Windows 95 và Windows 98. Ông cho biết, về
cơ bản Windows 95 và 98 được lập trình với những tính năng bảo mật phù
hợp với từng đối tượng khách hàng. Tuy nhiên, tại thời điểm phát triển sản
phẩm, hãng đã không lường trước được sự đa dạng cũng như cường độ của
các cuộc tấn công. Chính vì lý do đó mà hacker đã lợi dụng lỗ hổng bảo
mật trong phần mềm Back Orifice của Microsoft để chiếm quyền kiểm soát
máy tính từ xa. Trong khi đó, nhóm hacker Cult of the Dead Cow chia sẻ,
họ thực hiện cuộc tấn công để tạo sức ép lên Microsoft trong việc cải thiện
tính bảo mật trên hệ điều hành của mình.
2, Windows NT 4.0 - Lỗ hổng bảo mật bị khai thác rầm rộ
Bảo mật tiếp tục là một vấn đề nhức nhối sau khi “gã khổng lồ” phần
mềm tung ra phiên bản Windows NT 4.0 vào năm 1996, đi kèm một lỗ
hổng bảo mật cho phép hacker có thể chiếm quyền quản lý hệ thống máy
tính. Từ đó, người dùng truy cập Internet sẽ bị dẫn đến những trang web có
nội dung xấu. Bên cạnh đó còn một số lỗ hổng nghiêm trọng khiến
Microsoft phải dừng cung cấp các bản vá lỗi bảo mật, có những lỗi rất nặng
3
 không thể sửa bằng các bản vá mà phải tiến hành lập trình lại rất nhiều
phần trên hệ điều hành.
3, Windows 98 - Lỗ hổng bảo mật tiếp tục gây họa
Microsoft lên tiếng xác nhận về một lỗi bảo mật trong các phiên bản
Windows 98 và 95. Theo đó, toàn bộ hệ thống máy tính có thể bị “đánh
sập” nếu như người dùng truy cập vào một trang web có chứa mã độc hoặc
mở e-mail từ tài khoản Hotmail hoặc một dịch vụ webmail nào khác. Ngoài
ra, còn có một số vấn đề liên quan đến việc rò rỉ thông tin cá nhân đối với
những máy tính cài Windows 98.
Chuyên gia bảo mật Richard Smith cho biết, những văn bản được tạo
bởi hai ứng dụng văn phòng Word và Excel sẽ được gửi đến Microsoft
trong quá trình đăng ký tự động của Windows 98. Bên cạnh đó, Smith còn
phát hiện thêm lỗi cho phép một số trang web có thể ăn cắp thông tin đăng
ký phần mềm của người dùng.

4, Windows 2000 - Sự bệ rạc của hệ thống bảo mật

Cuối những năm 90 và đầu những năm 2000 là khoảng thời gian vất vả
đối với những người phát triển Windows 2000 và các chương trình khác
của Microsoft khi phải đối mặt với một loạt những vấn đề bảo mật, đặc biệt
là sự tấn công của những “siêu virus” như: Melissa, ILoveYou, Blaster,
Code Red và Nimda... Lúc này, nhóm hacker Cult of the Dead Cow tiếp
tục “hoành hành” với phiên bản mới của phần mềm chiếm dụng quyền điều
khiển máy tính từ xa, phần mềm có thể hoạt động trên cả Windows NT,
Windows 2000 và Windows XP. Sự yếu kém của hệ thống bảo mật chính
là cơ sở để malware tấn công vào máy chủ thông tin Internet (IIS), gây hiện
tượng tràn bộ nhớ đệm. Tác hại của những đợt tấn công này có thể kể đến
như: hacker chiếm quyền kiểm soát máy chủ chạy Windows 2000 thông
qua IIS, nghiêm trọng hơn kẻ gian có thể xâm nhập vào máy tính thông qua
địa chỉ IP của người dùng, sự xuất hiện của lỗi bảo mật Plug and Play giúp
hàng loạt virus thoải mái “gặm nhấm” tài nguyên của máy tính. Ngoài ra,
với phiên bản hệ điều hành này, các hacker còn có thể tấn công vào máy
tính thông qua lỗi bảo mật liên quan đến DNS.
5, Window XP - Kỷ nguyên của công nghệ tường lửa
Mặc dù vẫn còn nhiều lỗi bảo mật bị khai thác, liên quan đến lỗ hổng
TCP/IP và lỗi bảo mật của tính năng Windows Help and Support Center,
cùng nhiều lỗi khác, Window XP đã khiến người dùng yên tâm hơn phần
nào với sự cải thiện nhiều ở khả năng chống đỡ các cuộc tấn công. Đặc
biệt hơn, khi Microsoft tung ra phiên bản Service Pack 2, tên mã
“Springboard”, với hệ thống tường lửa có khả năng tự động cập nhật và
ngăn chặn những cuộc tấn từ bên ngoài nhờ công nghệ Data Execution

4
Prevention.
6, Windows Server 2003 - 'Khởi đầu không như mơ
Vào tháng 1 năm 2002, hệ thống bảo mật của Microsoft đã có những
khoảnh khắc lóe sáng, với bức thư nổi tiếng của Bill Gates gửi tới toàn bộ
nhân viên. Trong bức thư này, Bill Gates nhấn mạnh tới việc tập trung phát
triển và cải thiện hệ thống bảo mật trên hệ điều hành của mình và đưa ra
khái niệm Trustworthy Computing. Nỗ lực của “gã khổng lồ” phần mềm
này cũng đã được đền đáp, khi họ trở thành hình mẫu cho những công ty
phần mềm khác noi theo trong việc phát triển các công cụ bảo vệ thông tin
của người dùng. Tuy nhiên, thành quả đạt được về bảo mật của Microsoft
chưa thể bao phủ toàn bộ các sản phẩm của hãng. Chính vì vậy, chỉ chưa
đầy hai tháng sau khi phát hành Windows Server 2003, các kỹ sư của Bill
Gates đã phải tung ra một bản vá lỗi bảo mật. Theo đó, các trang web có
nội dung xấu hoặc chứa mã độc hại hoàn toàn có thể làm tê liệt hệ thống
máy chủ. Lỗ hổng này có liên quan đến trình duyệt web Internet Explorer 6
được tích hợp trên Windows Server 2003 cũng như các phiên bản hệ điều
hành khác của Microsoft.
Mặc dù, gặp phải một số rắc rối ngay khi mới phát hành, nhưng
Windows Server 2003 vẫn được các chuyên gia công nghệ thông tin đánh
giá là an toàn hơn nhiều so với tất cả các phiên bản hệ điều hành trước đó
của hãng.
7, Windows Vista - Thành quả của sự nỗ lực
Sau khi Bill Gates có những cam kết với cộng đồng IT, toàn bộ nguồn
nhân lực của Microsoft đã rất cố gắng để phát triển một phiên bản hệ điều
hành đáp ứng được sự chờ đợi của người dùng về vấn để bảo mật, đó chính
là thời điểm Windows Vista xuất hiện. Khi mà hầu hết các lỗ hổng bảo mật
trên phiên bản hệ điều hành mới đã được khắc phục, Windows Vista vẫn
gặp một số sự cố từ các cuộc tấn công của những loại virus mới, bao gồm,
sâu Storm gây ảnh hưởng lớn cho hàng triệu máy tính trên thế giới và
trojan Zeus với khả năng ăn cắp thông tin tài khoản ngân hàng. Windows
Vista ra đời với rất nhiều cải tiến bảo mật, nhưng đáng chú ý nhất chính là
chức năng User Account Control (UAC). Nó cho phép người dùng có thể
điều khiển máy tính thoải mái trong phạm vi an toàn đối với hệ thống, từ
đó giảm thiểu những thiệt hại do các phần mềm độc hại gây ra. Bên cạnh
đó, hệ điều hành mới còn được Microsoft bổ sung thêm chương trình
chống phần mềm gián điệp, tăng cường bộ lọc chống lừa đảo trên trình
duyệt Internet Explorer 7 và mặc định vô hiệu hóa Active X. Một tính năng
bảo mật khác là Bitlocker (chương trình mã hóa) cũng được bổ sung trên
Windows Vista.
8, Windows Server 2008 - Giảm thiểu các cuộc tấn công
Microsoft giới thiệu tới người dùng phiên bản hệ điều hành dành
5
Windows Server 2008, với sự bổ sung của tính năng Server Core. Tính
năng này cung cấp một môi trường tối thiểu để vận hành các vai trò máy
chủ cụ thể, giảm bớt các yêu cầu về bảo trì, quản lý và bề mặt tấn công đối
với những vai trò máy chủ đó.

Theo Microsoft, tính năng này giúp giảm thiểu đáng kể bề mặt tấn công
của hệ điều hành đồng thời giảm đến 70% các cuộc tấn công vào lỗ hổng
bảo mật so với 5 năm trước đây.

9, Windows 7 - Chặn đường sống của virus Autorun trên US

Thời đại của Windows 7 mở ra với những vấn đề bảo mật không đáng
kể. Vẫn có những lỗ hổng cần phải vá lại, chẳng hạn như lỗi Zero-Day liên
quan đến giao thức chia sẻ thông tin Server Message Block, tuy nhiên nó
không quá nghiêm trọng như những gì mà Microsoft đã gặp trong quá khứ.
Bên cạnh đó, rất nhiều cải thiện về bảo mật đã được “gã khổng lồ” này đưa
ra. Chương trình mã hóa Bitlocker trên Windows 7 đã được mở rộng hỗ trợ
cả những thiết bị lưu trữ di động. Đối mặt với sự hoành hành và phát tán
của sâu Conficker thông qua thiết bị lưu trữ USB, Microsoft đã lập trình để
Windows 7 có cách thức “giao tiếp” mới với USB, khiến Conficker không
thể tự động kích hoạt thông qua chức năng AutoRun.

10, Windows 8,8.1

Window 8/8.1 đã giới thiệu Secure Boot, một tính năng tăng bảo mật
phần cứng giúp ngăn chặn các phần mềm độc hại khởi động trước hệ điều
hành. Tăng cường sức mạnh cho phần mềm diệt virus Windows Defender
tích hợp sẵn trên Windows 8, tính năng khởi động an toàn của giao thức
UEFI (ngăn chặn sự tấn công của rootkit hay bootkit), tính năng
SmartSceen Filter hỗ trợ các trình duyệt Web phổ biến Internet Explorer,
Firefox hay Chrome để ngăn chặn các trang web lừa đảo và độc hại, cùng
với đó là khả năng quản lý mật khẩu đăng nhập các dịch vụ trên Internet rất
thông minh.

11. Window10 – phiên bản được coi là thành công nhất của hệ
điều hành Window tính đến thời điểm hiện tại.
Window 10 mang đến nhiều tính năng bảo mật, bao gồm cấu hình bảo
mật tiên tiến, Window Defender được cải thiện và tích hợp các tính năng
bảo mật như Window Hello( đăng nhập bằng nhận diện khuôn mặt và dấu
vân tay) và Window Sanbox (môi trường cách ly để chạy các ứng dụng
không đáng tin cậy).
6
12, Window 11 – phiên bản mới nhất ở thời điểm hiện tại
Windows 11 là phiên bản mới nhất của hệ điều hành Windows được
phát triển bởi Microsoft. Để đảm bảo an toàn và bảo mật cho người dùng,
Windows 11 có một số tính năng và cải tiến liên quan đến bảo mật như
Windows Hello: Windows 11 hỗ trợ Windows Hello, một công nghệ nhận
diện khuôn mặt, dấu vân tay hoặc PIN để đăng nhập vào hệ thống một cách
an toàn và tiện lợi hơn so với mật khẩu truyền thống. Nó cũng cải tiến
Window defender so với window 10. Tuy nhiên nó được các chuyên gia
cũng như người dùng đánh giá rằng là thiếu ổn định trong trải nghiệm
người dùng.

Chương II: Nguyên lý an toàn bảo mật trên hệ

điều hành windows
Từ khi hệ điều hành windows trở nên phổ biến và thông dụng với nhiều
người dùng thì nhu cầu bảo vệ tính toàn vẹn của hệ thống xuất hiện . Hệ
thống phải sử dụng nhiều kỹ thuật bảo vệ hiện đại để tăng sự tin cậy, ngăn
ngừa tác hại do phá hoại. bảo vệ là vấn đề nội bộ:trong quá trình hoạt động
, chương trình phải tuân thủ chính sách sử dụng tài nguyên. Cơ chế bảo vệ
làm tăng tính tin cậy bằng cách phát hiện lỗi tiềm ẩn tại giao diện giửa các
hệ thống con . Phát hiện sớm có thể tránh được trường hợp lỗi tại hệ thống
con này ảnh hưởng xấu đến hệ thống con khác.Tài nguyên được bảo vệ
không bị lạm dụng bởi người dùng chưa kiểm chứng , hoặc không có quyền
truy cập . Hệ thống bảo vệ cung cấp phương thức để phân biệt giửa truy cập
được phép và truy cập trái phép.
Bản chất của các cơ chế, nguyên lý an toàn và bảo mật trên HĐH windows
đó là đảm bảo an toàn, bảo mật cho hệ thống và cho người dùng.

1, An toàn hệ thống
Bảo vệ hệ thống (protection) là một cơ chế kiểm soát việc sử dụng tài
nguyên của các tiến trình hay người sử dụng để đối phó với các tình huống
lỗi có thể phát sinh từ trong hệ thống . Trong khi đó khái niệm an toàn hệ
thống (security)muốn đề cập đến mức độ tin cậy mà hệ thống duy trì khi
phải đối phó không những với các vấn đề nội bộ, mà còn cả với những tác
hại đến từ môi trường ngoài .

• Các vấn đề về an toàn hệ thống

Hệ thống được gọi là an toàn nếu các tài nguyên được sử dụng đúng
như quy ước trong mọi hoàn cảnh. Kém may mắm là điều này hiếm khi đạt

7
được trong thực tế ! Thông thường, an toàn bị vi phạm vì các nguyên nhân
vô tình hay cố ý phá hoại. Việc chống đỡ các phá hoại cố ý là rất khó khăn
và gần như không thể đạt hiệu quả hoàn toàn. Bảo đảm an toàn hệ thống ở
cấp cao chống lại các tác hại từ môi trường ngoài như hoả hoạn, mất điện,
phái hoại...cần được thực hiện ở 2 mức độ vật lý (trang bị các thiết bị an
toàn cho vị trí đạt hệ thống...) và nhân sự (chọn lọc cẩn thận những nhân
viên làm việc trong hệ thống...). Nếu an toàn môi trường được bảo đảm khá
tốt, an toàn của hệ thống sẽ được duy trì tốt nhờ các cơ chế của hệ điều
hành (với sự trợ giúp của phần cứng).

Lưu ý rằng nếu bảo vệ hệ thống có thể đạt độ tin cậy 100%, thì các cơ
chế an toàn hệ thống được cung cấp chỉ với hy vọng ngăn chặn bớt các tình
huống bất an hơn là đạt đến độ an toàn tuyệt đối.

• Kiểm định danh tính (Authentication)

Để đảm bảo an toàn, hệ điều hành cần giải quyết tốt vấn đề chủ yếu là kiểm
định danh tính (authentication). Hoạt động của hệ thống bảo vệ phụ thuộc vào
khả năng xác định các tiến trình đang xử lý. Khả năng này, đến lượt nó, lại phụ
thuộc vào việc xác định được người dùng đang sử dụng hệ thống để có thể kiểm
tra người dùng này được cho phép thao tác trên những tài nguyên nào.
Cách tiếp cận phổ biến nhất để giải quyết vấn đề là sử dụng password để
kiểm định đúng danh tính của người dùng. Mỗi khi người dùng muốn sử dụng tài
nguyên, hệ thống sẽ kiểm tra password của người dùng nhập vào với password
được lưu trữ, nếu đúng, người dùng mới được cho phép sử dụng tài nguyên.
Password có thể đuợc để bảo vệ từng đối tượng trong hệ thống, thậm chí cùng
một đối tượng sẽ có các password khác nhau ứng với những quyền truy xuất
khác nhau.
Cơ chế password rất dễ hiểu và dễ sử dụng do vậy được sử dụng rộng rãi,
tuy nhiên yếu điểm nghiêm trọng của phương pháp này là khả năng bảo mật
password rất khó đạt được sự hoàn hảo, những tác nhân tiêu cực có thể đoán ra
password của người khác nhờ nhiều cách thức khác nhau.

• Mối đe dọa từ các chương trình

Trong môi trường mà một chương trình được tạo lập bởi người này lại
có thể được người khác sử dụng, có thể xảy ra các tình huống sử dụng
không đúng, từ đó dẫn đến những hậu qủa khó lường.

• Bảo vệ an toàn hệ thống

An toàn và bảo vệ hệ thống là chức năng không thể thiếu của các hệ
điều hành hiện đại.

8
 • Mục tiêu bảo vệ hệ thống (Protection)
Mục tiêu của việc bảo vệ hệ thống là:
Bảo vệ chống lỗi của tiến trình : khi có nhiều tiến trình cùng hoạt động, lỗi
của một tiến trình j phải được ngăn chặn không cho lan truyền trên hệ thống làm
ảnh hưởng đến các tiến trình khác. Đặc biệt , qua việc phát hiện các lỗi tiềm ẩn
trong các thành phần của hệ thống có thể tăng cường độ tin cậy hệ thống
( reliability) .

Chống sự truy xuất bất hợp lệ : Bảo đảm các bộ phận tiến trình sử dụng
tài nguyên theo một cách thức hợp lệ được qui định cho nó trong việc khai
thác các tài nguyên này.
Vai trò của bộ phận bảo vệ trong hệ thống là cung cấp một cơ chế
để áp dụng các chiến lược quản trị việc sử dụng tài nguyên . Cần phân biệt
khái niệm cơ chế và chiến lược:

Cơ chế : xác định làm thế nào để thực hiện việc bảo vệ, có thể có các
cơ chế phần mềm hoặc cơ chế phần cứng.

Chiến lược: quyết định việc bảo vệ được áp dụng như thế nào : những
đối tượng nào trong hệ thống cần được bảo vệ, và các thao tác thích hợp
trên các đối tượng này

Để hệ thống có tính tương thích cao , cần phân tách các cơ chế và chiến
lược được sử dụng trong hệ thống. Các chiến lược sử dụng tài nguyên là
khác nhau tùy theo ứng dụng, và thường dễ thay đổi . Thông thường các
chiến lược được lập trình viên vận dụng vào ứng dụng của mình để chống
lỗi truy xuất bất hợp lệ đến các tài nguyên, trong khi đó hệ thống cung cấp
các cơ chế giúp người sử dụng có thể thực hiện được chiến lược bảo vệ của
mình.

2, Các cơ chế an toàn bảo mật trên Window

o Cơ chế xác thực.
Vấn đề an ninh hàng đầu trong windows đó là xác thực người dùng .
hoạt động cảu hệ thống bảo vệ phụ thuộc vào khả năng định danh các tiến
trình đang chạy. Khả năng này lại phụ thuộc vào việc có xác định được
người dùng nào tạo ra tiến trình.

o Cơ chế kiểm chứng

Tài nguyên trong HĐH windows có thể là phần cứng ( bộ vi xử lý,
9
 phân đoạn bộ nhớ, máy in, ổ đĩa cứng, băng tần hay phần mềm ( file,
chương trình,…) và được windows gán cho một định danh duy nhất . chỉ
có thể sử dụng tài nguyên thông qua các thao tác đã được định nghĩa tường
minh. Tiến trình chỉ được phép truy cập đến những tài nguyên được phép.

o Mã hóa
Khi mạng máy tính trở nên phổ biến, nhiều thông tin bí mật đưuọc
truyền qua những môi trường không tin cậy ( thông tin có thể bị nghe trộm
hoặc bị thay đổi ). Để giử bí mật thông tin cho người dùng và tài nguyên
thì HĐH windows hay bất kỳ một HĐH nào khác cũng đều sử dụng
phương pháp mã hóa.

o Phòng tránh virus và các phần mềm độc hại

Firewall

Phần mềm diệt virus

Chương III: Phân tích hệ thống API Window

1, API hỗ trợ cơ chế xác thực
a, Giới thiệu lập trình xác thực trên môi trường local
 Là quá trình xác minh thông tin đăng nhập của một tài khoản nào
đó trên windows

 Tài khoản đăng nhập là tài khoản được lưu tại local

 sử dụng tiến trình để quản lý xác thực gọi là local security

subsystem service(lsa)

b, Quá trình xác thực trên local

 Khởi động máy , nhấn CTRL-ALT-DELETE

 Tiến trình dành cho việc đăng nhập hoạt động , winlogon. Exe
cấm tất cả các tiến trình khác

 GINA nhận USERNAME và PASSWORD từ người dùng gửi tới

LSA

 LSA chuyển thông tin xác thực tới KERBEROS

10
  KERBEROS không xác thực được vì không tìm thấy
KDC( không có domain controller)

 KERBEROS chuyển lại gói xác thực cho LSA

 LSA nhận lại và chuyển gói xác thực qua giao thức NTLM để cử
lý

 NTLM kiểm tra thông tin xác thực dựa và cơ sở dữ liệu file sam.
nếu không thành công gửi kết quả đến LSA. LSA gọi GINA báo
người dùng USERNAME không hợp lệ, yêu cầu nhập lại

 Nếu xác thực thành công , LSAtạo ra một ACCESS TOKEN cho
phiên LOGON của USER

 Dựa vào ACCESS TOKEN đề xuất với trạng thái hệ thống phù
hợp với USER

c, API xác thực và quản lý tài khoản

Đối với việc xác thực bằng LSA có hai hàm xác thực
quan trọng đó là :
 LogonUser
 LsaLogonuser
d, API quản lý tài khoản

Tên hàm Ý nghĩa hàm

NetUserAdd Thêm một tài khoản người dùng vào hệ thống Server. Hàm này
nhận về các thông tin gồm tên Server sẽ chứa tài khoản người
dùng đó, mật khẩu cũng như quyền hạn ban đầu của người dùng.
Nếu thực hiện hàm này thành công, giá trị được trả về là
NERR_Success. Nếu không thành công sẽ trả về giá trị lỗi (Xin
mời xem tham khảo để biết thêm thông tin chi tiết).

11
NetUserDel Xóa một tài khoản người dùng trên Server. Hàm này nhận về các
thông tin gồm tên Server sẽ chứa tài khoản đó, tên tài khoản muốn
xóa. Nếu thực hiện thành công, hàm này sẽ trả về lỗi (Xin mời
xem tham khảo để biết thêm thông tin chi tiết)

NetUserGetInfo Lấy thông tin của một tài khoản người dùng trên Server. Hàm này
nhận về các thông tin gồm tên của Server, tên tài khoản người
dùng cần lấy thông tin, cấp độ của dữ liệu (dữ liệu ở đây là thông
tin về tài khoản người dùng).

NetUserSetInfo Thiết lập các thông tin đối với một tài khoản người dùng.

NetUserEnum Lấy về danh sách tài khoản người dùng trên Server. Nếu Server là
NULL thì sẽ lấy về danh sách tài khoản người dùng trên máy local

e, API quản lý quyền hạn tài khoản

NetAcce ssAdd Thêm quyền hạn cho một User đối với một tài nguyên
cụ thể

NetAccessDel Xóa một quyền hạn nào đó trên tài nguyên đối với người dùng
hoặc nhóm người dùng trên Server.

NetAccessEnum Lấy về danh sách các quyền của người dùng hoặc nhóm người
dùng đối với một tài nguyên cụ thể.

NetAccessCheck Kiểm tra người dùng hoặc nhóm người dùng cụ thể có quyền
đối với một tài nguyên cụ thể hay không

12
NetAccessGetInfo Lấy về danh sách quyền đối với một tài nguyên cụ thể

NetAccessSetInfo Hàm thiết lập quyền đọc và ghi trên tài nguyên cụ thể cho tất cả
người dùng và nhóm người dùng.

2, API hỗ trợ phân quyền

 ACCESS TOKEN

 SECURITY DESCRIPTOR

a, ACCESS TOKEN
 Chứa thông tin định danh, định danh nhóm

 Chứa danh sách quyền hạn của tài khoản và nhóm mà tài khoản
đó là thành viên

b, SECURITY DESCRIPTOR
Khi một đối tượng được windows chỉ định một security
descriptor để chứa thông tin bảo mật về đối tượng như:

 Discretionary access control list (DACL): Tài khoản, nhóm nào

được quyền truy xuất đối tượng

 System access control list (SACL): Thông tin điều khiển hệ

thống ghi nhận lại những hành động truy cập tới đối tượng.

3, API hỗ trợ cơ chế theo dõi hệ thống

Bản chất của quá trình cài đặt even log trên windows cho các ứng
dụng:

 TẠO EVENT SOURCE TRONG REGISTRY ĐỂ CHỨA CÁC

EVENT LOG SẼ ĐƯỢC GHI XUỐNG ỨNG DỤNG

 TẠO EVENT MESSAGE FILE ĐƯỢC EVENT SOURCE

LIÊN KẾT ĐẾN.

13
  GHI EVENT MESSAGE FILE XUỐNG

 ĐỌC NHỮNG THÔNG TIN TRONG EVENT, CÙNG NHỮNG

THÔNG TIN LIÊN QUAN ĐỂ THEO DÕI HỆ THỐNG

 API LOG FILE

GetEventLogInformation Lấy thông tin về một event cụ thể trong event log

GetNumberOfEventLogRecords Nhận về số lượng các event được ghi trong event log

GetOldestEventLogRecord Lấy về con số thể hiện cho event đã được ghi lâu nhất
trong event log

NotifyChangeEventLog Hàm này dùng cho ứng dụng khi muốn nhận một
thông báo rằng có event đã được ghi

OpenBackupEventLog
Mở một tập tin event log đã được backup trước. Tập
tin được backup bằng hàm BackupEventLog. Khi
chúng ta mở một tập tin backup cũng như chúng ta
mở một event log trong registry bằng hàm
RegisterEventLog, kết quả là sẽ nhận được handle
của event log.

14
 OpenEventLog Hàm này dùng để mở một event log và lấy về
một handle của event log đó. Sau khi sử dụng
xong event log này, cần đóng lại handle của
event log bằng cách gọi hàm CloseEventLog

ReadEventLog Hàm này đọc toàn bộ những thông tin trong một
event log đã được ghi trước trong hệ thống

RegisterEventSource Hàm này dùng để lấy về handle của một event

source đã được đăng ký trước trong registry. Sau
khi mở và sử dụng xong cần đóng handle của
event source bằng cách gọi hàm
DeregisterEventSource

ReportEvent Ghi một event tới event log

4, API hỗ trợ cơ chế mã hóa

Sử dụng các hàm của CRYPTOAPI trong các file: advapi32.dll và crypt32.dll.
Để thực hiện mả việc mã hóa và bảo mật .

Tên hàm Ý nghĩa và cách sử dụng

CryptAcquireContext Hàm này dùng để lấy handle của container dùng
để lưu key, của một CSP. Handle này lấy về
dùng để những hàm trong CryptoAPI sử dụng
cho quá trình mã hóa.

CryptDecrypt Hàm này dùng để giải mã dữ liệu đã được mã
hóa bằng hàm CryptEncrypt

15
CryptDeriveKey Hàm này dùng để tạo ra một khóa mã hóa bí mật
từ một dữ liệu nào đó (ví dụ password)

CryptDestroyKey Hàm này dùng để giải phóng handle của một
khóa đã được sử dụng trước đó. Sau khi gọi hàm
nay, khóa sẽ không còn sử dụng được nữa.

CryptEncrypt Hàm này dùng để mã hóa dữ liệu

CryptExportKey Hàm này dùng để đưa một khóa (cặp khóa) từ
CSP ra để ứng dụng khác có thể sử dụng, theo
một cách thức bảo mật. Đầu tiên handle của khóa
sẽ được đưa tới hàm nay, sau đó hàm này sẽ trả
về một key BLOB. Key BLOB này có thể được
gửi trên mạng internet tới cho thành phần khác sử
dụng mà vẫn đảm bảo được độ an toàn, bí mật
của khóa. Key BLOB này sẽ không có ích gì cho
đến khi người nhận dùng hàm CryptImportKey
để đưa khóa (cặp khóa) vào CSP của họ.

CryptGenKey Hàm này tạo ra một khóa mã hóa bí mật hoặc
một cặp khóa public/private dùng cho CSP trong
việc mã hóa

CryptGetUserKey Hàm này dùng để lấy handle của một cặp khóa
public/private của user

CryptImportKey Hàm này chuyển khóa mã hóa từ BLOB sang
CSP

CryptReleaseContext Hàm này giải phóng handle của CSP vào key
container

16
Chương IV: Bảo mật trên hệ điều hành window
11
Bảo Mật Phần Cứng
 Nguồn gốc và sự tin cậy bảo mật phần cứng
1, Bảo vệ hệ thống Window Defender
Trong PC lõi bảo mật, Windows Defender System Guard Secure
Launch bảo vệ quá trình khởi động bằng công nghệ được gọi là Dynamic
Root of Trust for Measure (DRTM). Với DRTM, hệ thống ban đầu tuân theo
quy trình Khởi động an toàn UEFI thông thường. Tuy nhiên, trước khi khởi
chạy, hệ thống sẽ chuyển sang trạng thái tin cậy do phần cứng kiểm soát để
buộc (các) CPU đi theo đường dẫn mã được bảo mật bằng phần cứng. Nếu
rootkit/bootkit phần mềm độc hại đã vượt qua UEFI Secure Boot và nằm
trong bộ nhớ, DRTM sẽ ngăn nó truy cập vào các bí mật và mã quan trọng
được bảo vệ bởi môi trường bảo mật dựa trên ảo hóa. Công nghệ Firmware
Attack Surface Giảm có thể được sử dụng thay vì DRTM trên các thiết bị hỗ
trợ như Microsoft Surface.
2, Mô-đun nền tảng đáng tin cậy (TPM)
TPM mang lại lợi ích về bảo mật và quyền riêng tư cho phần cứng hệ
thống, chủ sở hữu nền tảng và người dùng. Windows Hello, BitLocker,
Windows Defender System Guard và các tính năng khác của Windows dựa
vào TPM cho các khả năng như tạo khóa, lưu trữ an toàn, mã hóa, đo lường
tính toàn vẹn khởi động và chứng thực. Phiên bản 2.0 của thông số kỹ thuật
bao gồm hỗ trợ cho các thuật toán mới hơn, có thể cải thiện hiệu suất ký
trình điều khiển và tạo khóa.
Bắt đầu với Windows 10, chứng nhận phần cứng của Microsoft yêu
cầu tất cả các PC Windows mới phải tích hợp và bật TPM 2.0 theo mặc
định. Với Windows 11, cả thiết bị mới và nâng cấp đều phải có TPM 2.0.
3, Microsoft Pluton
Bộ xử lý bảo mật Microsoft Pluton được Microsoft thiết kế với sự hợp
tác của các đối tác silicon. Pluton tăng cường khả năng bảo vệ của các thiết
bị Windows bằng root-of-trust phần cứng cung cấp khả năng bảo vệ bổ sung
cho các khóa mật mã và các bí mật khác. Pluton được thiết kế để giảm bề

17
mặt tấn công vì nó tích hợp chip bảo mật trực tiếp vào bộ xử lý. Nó có thể
được sử dụng với TPM 2.0 kín đáo hoặc như một bộ xử lý bảo mật độc lập.
Khi root của sự tin cậy được đặt trên một con chip riêng biệt trên bo mạch
chủ, đường dẫn giao tiếp giữa root của sự tin cậy và CPU có thể dễ bị tấn
công vật lý. Pluton hỗ trợ tiêu chuẩn công nghiệp TPM 2.0, cho phép khách
hàng được hưởng lợi ngay lập tức từ tính năng bảo mật nâng cao trong các
tính năng của Windows dựa trên TPM bao gồm BitLocker, Windows Hello
và Windows Defender System Guard.
Ngoài việc cung cấp nguồn gốc tin cậy, Pluton còn hỗ trợ chức năng
bảo mật khác ngoài những gì có thể có với thông số TPM 2.0 và khả năng
mở rộng này cho phép các tính năng hệ điều hành và chương trình cơ sở
Pluton bổ sung được cung cấp theo thời gian thông qua Windows Update.
Các thiết bị Windows 11 hỗ trợ Pluton đã có sẵn và số lượng tùy chọn với
Pluton ngày càng tăng.

 Bảo mật được hỗ trợ bằng silicon

1, Bảo mật dựa trên ảo hóa (VBS)
Ngoài nguồn gốc tin cậy của phần cứng hiện đại, còn có rất nhiều khả
năng khác trong các chip mới nhất giúp hệ điều hành tăng cường khả năng
chống lại các mối đe dọa, chẳng hạn như bằng cách bảo vệ quá trình khởi
động, bảo vệ tính toàn vẹn của bộ nhớ, cách ly logic tính toán nhạy cảm về
bảo mật và hơn. Hai ví dụ bao gồm bảo mật dựa trên ảo hóa (VBS) và tính
toàn vẹn mã được bảo vệ bởi Hypervisor (HVCI). Bảo mật dựa trên ảo hóa
(VBS), còn được gọi là cách ly lõi, là một khối xây dựng quan trọng trong
một hệ thống bảo mật. VBS sử dụng các tính năng ảo hóa phần cứng để lưu
trữ hạt nhân an toàn tách biệt khỏi hệ điều hành. Điều này có nghĩa là ngay
cả khi hệ điều hành bị xâm phạm, hạt nhân bảo mật vẫn được bảo vệ.
Bắt đầu với Windows 10, tất cả các thiết bị mới đều phải có hỗ trợ
chương trình cơ sở cho VBS và HCVI được bật theo mặc định trong BIOS.
Sau đó, khách hàng có thể kích hoạt hỗ trợ hệ điều hành trong Windows.
Với các bản cài đặt mới của Windows 11, hệ điều hành hỗ trợ VBS và
HVCI được bật theo mặc định cho tất cả các thiết bị đáp ứng các điều kiện
tiên quyết.

2, Tính toàn vẹn mã được bảo vệ bởi Hypervisor (HVCI)

18
 Tính toàn vẹn mã được bảo vệ bằng máy ảo hóa (HVCI), còn được
gọi là tính toàn vẹn của bộ nhớ, sử dụng VBS để chạy Tính toàn vẹn mã chế
độ hạt nhân (KMCI) bên trong môi trường VBS an toàn thay vì nhân
Windows chính. Điều này giúp ngăn chặn các cuộc tấn công cố gắng sửa đổi
mã chế độ kernel, chẳng hạn như trình điều khiển. Vai trò của KMCI là kiểm
tra xem tất cả mã hạt nhân đã được ký hợp lệ và chưa bị giả mạo hay chưa
trước khi được phép chạy. HVCI giúp đảm bảo rằng chỉ mã được xác thực
mới có thể được thực thi ở chế độ kernel.
Bắt đầu với Windows 10, tất cả các thiết bị mới đều phải có hỗ trợ
chương trình cơ sở cho VBS và HCVI được bật theo mặc định trong BIOS.
Sau đó, khách hàng có thể kích hoạt hỗ trợ hệ điều hành trong Windows.
Với các bản cài đặt mới của Windows 11, hệ điều hành hỗ trợ VBS và
HVCI được bật theo mặc định cho tất cả các thiết bị đáp ứng các điều kiện
tiên quyết.
3, Bảo vệ ngăn xếp được thi hành bằng phần cứng
Bảo vệ ngăn xếp được thực thi bằng phần cứng tích hợp phần mềm và
phần cứng để bảo vệ hiện đại chống lại các mối đe dọa trên mạng như hỏng
bộ nhớ và khai thác zero-day. Dựa trên Công nghệ thực thi luồng điều khiển
(CET) của Intel và AMD Shadow Stacks, tính năng bảo vệ ngăn xếp được
thi hành bằng phần cứng được thiết kế để bảo vệ khỏi các kỹ thuật khai thác
cố gắng chiếm đoạt các địa chỉ trả về trên ngăn xếp.
4, Bảo vệ truy cập bộ nhớ trực tiếp hạt nhân (DMA)
Kernel DMA Protection bảo vệ khỏi các thiết bị ngoại vi bên ngoài
truy cập trái phép vào bộ nhớ. Các mối đe dọa vật lý như các cuộc tấn công
Truy cập bộ nhớ trực tiếp (DMA) theo ổ đĩa thường xảy ra nhanh chóng khi
chủ sở hữu hệ thống không có mặt. Các thiết bị cắm nóng PCIe như
Thunderbolt, USB4 và CFexpress cho phép người dùng gắn các loại thiết bị
ngoại vi bên ngoài mới, bao gồm card đồ họa hoặc các thiết bị PCI khác, vào
PC của họ bằng cách cắm và chạy dễ dàng qua USB. Vì các cổng cắm nóng
PCI nằm ở bên ngoài và có thể truy cập dễ dàng nên các thiết bị dễ bị tấn
công bằng DMA theo ổ đĩa.

 PC lõi bảo mật

19
1, Bảo vệ phần sụn PC lõi an toàn
Microsoft đã làm việc với các đối tác OEM để cung cấp một loại thiết
bị đặc biệt có tên là PC lõi bảo mật. Các thiết bị được cung cấp kèm theo các
biện pháp bảo mật bổ sung được kích hoạt ở lớp chương trình cơ sở hoặc lõi
thiết bị, làm nền tảng cho Windows. PC lõi bảo mật giúp ngăn chặn các cuộc
tấn công của phần mềm độc hại và giảm thiểu các lỗ hổng trong chương
trình cơ sở bằng cách khởi chạy ở trạng thái sạch và đáng tin cậy khi khởi
động với gốc tin cậy được thi hành bằng phần cứng. Bảo mật dựa trên ảo
hóa được bật theo mặc định. Và với bộ nhớ hệ thống bảo vệ tính toàn vẹn
mã được bảo vệ bằng bộ ảo hóa (HVCI) tích hợp sẵn, PC lõi bảo mật đảm
bảo rằng tất cả các tệp thực thi chỉ được ký bởi các cơ quan có thẩm quyền
đã biết và được phê duyệt. PC lõi bảo mật cũng bảo vệ khỏi các mối đe dọa
vật lý như các cuộc tấn công Truy cập bộ nhớ trực tiếp (DMA) theo ổ đĩa.
2, Khóa cấu hình lõi bảo mật
Khóa cấu hình lõi bảo mật là tính năng PC lõi bảo mật
(SCPC) nhằm ngăn người dùng thực hiện các thay đổi không mong
muốn đối với cài đặt bảo mật. Với khóa cấu hình, hệ điều hành
giám sát các khóa đăng ký cấu hình từng tính năng và khi phát hiện
sự sai lệch, hệ điều hành sẽ hoàn nguyên về trạng thái SCPC mà
CNTT mong muốn sau vài giây.
Bảo mật hệ điều hành
 Bảo mật hệ thống
1, Khởi động an toàn và khởi động đáng tin cậy
Khởi động an toàn và Khởi động đáng tin cậy giúp ngăn phần mềm
độc hại và các thành phần bị hỏng tải khi thiết bị khởi động.
Khởi động an toàn bắt đầu với tính năng bảo vệ khởi động ban đầu
và sau đó Trusted Boot sẽ tiếp tục quá trình. Cùng với nhau, Secure Boot và
Trusted Boot giúp đảm bảo hệ thống khởi động an toàn và bảo mật.
2, Khởi động đo
Measured Boot đo lường tất cả các cài đặt cấu hình và mã quan trọng
trong quá trình khởi động Windows. Điều này bao gồm: chương trình cơ sở,
trình quản lý khởi động, bộ ảo hóa, hạt nhân, hạt nhân an toàn và hệ điều
20
hành. Đo khởi động lưu trữ các phép đo trong TPM trên máy và cung cấp
chúng trong nhật ký có thể được kiểm tra từ xa để xác minh trạng thái khởi
động của máy khách.
Tính năng Đo khởi động cung cấp cho phần mềm chống phần mềm
độc hại nhật ký đáng tin cậy (có khả năng chống giả mạo và giả mạo) của tất
cả các thành phần khởi động đã khởi động trước đó. Phần mềm chống phần
mềm độc hại có thể sử dụng nhật ký để xác định xem các thành phần chạy
trước nó có đáng tin cậy hay không hoặc liệu chúng có bị nhiễm phần mềm
độc hại hay không. Phần mềm chống phần mềm độc hại trên máy cục bộ có
thể gửi nhật ký đến máy chủ từ xa để đánh giá. Máy chủ từ xa có thể bắt đầu
các hành động khắc phục bằng cách tương tác với phần mềm trên máy khách
hoặc thông qua các cơ chế ngoài băng tần, nếu thích hợp.
3, Dịch vụ chứng nhận tình trạng thiết bị
Quy trình chứng nhận tình trạng thiết bị Windows hỗ trợ mô hình
không tin cậy giúp chuyển trọng tâm từ phạm vi tĩnh, dựa trên mạng sang
người dùng, tài sản và tài nguyên. Quá trình chứng thực xác nhận thiết bị,
chương trình cơ sở và quá trình khởi động ở trạng thái tốt và không bị giả
mạo trước khi chúng có thể truy cập tài nguyên của công ty. Các quyết định
được thực hiện bằng dữ liệu được lưu trữ trong TPM, cung cấp nguồn gốc
tin cậy an toàn. Thông tin được gửi đến một dịch vụ chứng thực, chẳng hạn
như Chứng thực Azure, để xác minh thiết bị ở trạng thái đáng tin cậy. Sau
đó, công cụ MDM như Microsoft Intune sẽ đánh giá tình trạng của thiết bị
và kết nối thông tin này với Azure Active Directory để truy cập có điều kiện.
4, Kiểm tra và cài đặt chính sách bảo mật của Windows
Microsoft cung cấp một bộ chính sách cài đặt bảo mật mạnh
mẽ mà quản trị viên CNTT có thể sử dụng để bảo vệ các thiết bị
Windows và các tài nguyên khác trong tổ chức của họ.

 Bảo vệ khỏi virus và mối đe dọa

1, Tính năng chống virus của Bộ bảo vệ Microsoft
Microsoft Defender Antivirus là một giải pháp bảo vệ có trong tất cả
các phiên bản Windows. Kể từ thời điểm bạn khởi động Windows, Tính
năng Chống Virut của Bộ bảo vệ Microsoft liên tục giám sát phần mềm độc

21
hại, vi rút và các mối đe dọa bảo mật. Các bản cập nhật được tải xuống tự
động để giúp giữ an toàn cho thiết bị của bạn và bảo vệ thiết bị khỏi các mối
đe dọa. Tính năng chống vi-rút của Bộ bảo vệ Microsoft bao gồm tính năng
bảo vệ chống vi-rút theo thời gian thực, dựa trên hành vi và theo kinh
nghiệm.
Sự kết hợp giữa tính năng quét nội dung luôn bật, giám sát hành vi
của tệp và quy trình cũng như các phương pháp phỏng đoán khác ngăn chặn
một cách hiệu quả các mối đe dọa bảo mật. Tính năng Chống vi rút của Bộ
bảo vệ Microsoft liên tục quét phần mềm độc hại và các mối đe dọa, đồng
thời phát hiện và chặn các ứng dụng không mong muốn tiềm ẩn (PUA), là
những ứng dụng được cho là có tác động tiêu cực đến thiết bị của bạn nhưng
không được coi là phần mềm độc hại.
2, Bảo vệ của Cơ quan An ninh Địa phương (LSA)
Windows có một số quy trình quan trọng để xác minh danh tính của
người dùng. Các quy trình xác minh bao gồm Cơ quan bảo mật cục bộ
(LSA), chịu trách nhiệm xác thực người dùng và xác minh thông tin đăng
nhập Windows. LSA xử lý mã thông báo và thông tin xác thực như mật khẩu
được sử dụng để đăng nhập một lần vào tài khoản Microsoft và dịch vụ
Azure. Để giúp bảo vệ những thông tin xác thực này, tính năng bảo vệ LSA
bổ sung chỉ cho phép tải mã đáng tin cậy, có chữ ký và cung cấp khả năng
bảo vệ đáng kể chống lại hành vi trộm cắp Thông tin xác thực.
Bảo vệ LSA được bật theo mặc định trên các thiết bị Windows 11
mới, dành cho doanh nghiệp, có hỗ trợ bổ sung cho các điều khiển quản lý
chính sách và khóa không phải UEFI thông qua MDM và chính sách nhóm.
3, Giảm bề mặt tấn công (ASR)
Quy tắc Giảm bề mặt tấn công (ASR) giúp ngăn chặn các hành vi
phần mềm thường bị lạm dụng để xâm phạm thiết bị hoặc mạng của bạn.
Bằng cách giảm số lượng bề mặt tấn công, bạn có thể giảm lỗ hổng tổng thể
của tổ chức.
Quản trị viên có thể định cấu hình các quy tắc ASR cụ thể để giúp
chặn một số hành vi nhất định, chẳng hạn như khởi chạy các tệp thực thi và
tập lệnh cố tải xuống hoặc chạy tệp, chạy các tập lệnh bị xáo trộn hoặc đáng
ngờ, thực hiện các hành vi mà ứng dụng thường không bắt đầu trong hoạt
động bình thường hàng ngày công việc.
4, Cài đặt bảo vệ chống giả mạo cho MDE
22
 Bảo vệ chống giả mạo là một chức năng trong Bộ bảo vệ Microsoft
dành cho Điểm cuối giúp bảo vệ một số cài đặt bảo mật nhất định, chẳng hạn
như bảo vệ chống vi-rút và mối đe dọa, khỏi bị vô hiệu hóa hoặc thay đổi.
Trong một số loại tấn công mạng, kẻ xấu cố gắng vô hiệu hóa các tính năng
bảo mật trên thiết bị. Việc tắt các tính năng bảo mật giúp cho kẻ xấu có
quyền truy cập dễ dàng hơn vào dữ liệu của bạn, khả năng cài đặt phần mềm
độc hại cũng như khả năng khai thác dữ liệu, danh tính và thiết bị của bạn.
Bảo vệ giả mạo giúp bảo vệ chống lại các loại hoạt động này.
5, Truy cập thư mục được kiểm soát
Bạn có thể bảo vệ thông tin có giá trị của mình trong các thư mục cụ
thể bằng cách quản lý quyền truy cập của ứng dụng vào các thư mục cụ thể.
Chỉ những ứng dụng đáng tin cậy mới có thể truy cập các thư mục được bảo
vệ, được chỉ định khi định cấu hình quyền truy cập thư mục được kiểm soát.
Các thư mục thường được sử dụng, chẳng hạn như các thư mục được sử
dụng cho tài liệu, hình ảnh, nội dung tải xuống, thường được đưa vào danh
sách các thư mục được kiểm soát. Quyền truy cập thư mục được kiểm soát
hoạt động với danh sách các ứng dụng đáng tin cậy. Các ứng dụng nằm
trong danh sách phần mềm đáng tin cậy sẽ hoạt động như mong đợi. Các
ứng dụng không có trong danh sách đáng tin cậy sẽ bị ngăn thực hiện bất kỳ
thay đổi nào đối với các tệp bên trong các thư mục được bảo vệ.
Quyền truy cập thư mục được kiểm soát giúp bảo vệ dữ liệu có giá trị
của người dùng khỏi các ứng dụng và mối đe dọa độc hại, chẳng hạn như
phần mềm tống tiền.
6, Bảo vệ khai thác
Tính năng bảo vệ chống khai thác tự động áp dụng một số kỹ thuật
giảm thiểu khai thác cho các quy trình và ứng dụng của hệ điều hành. Tính
năng bảo vệ chống khai thác hoạt động tốt nhất với Bộ bảo vệ Microsoft
dành cho Điểm cuối, tính năng này cung cấp cho các tổ chức báo cáo chi tiết
về các sự kiện và khối bảo vệ khai thác như một phần của các kịch bản điều
tra cảnh báo điển hình. Bạn có thể kích hoạt tính năng bảo vệ chống khai
thác trên một thiết bị riêng lẻ, sau đó sử dụng MDM hoặc chính sách nhóm
để phân phối tệp cấu hình cho nhiều thiết bị. Khi gặp phải biện pháp giảm
thiểu trên thiết bị, một thông báo sẽ được hiển thị từ Trung tâm hành động.
Bạn có thể tùy chỉnh thông báo với chi tiết công ty và thông tin liên hệ của
bạn. Bạn cũng có thể kích hoạt các quy tắc riêng lẻ để tùy chỉnh kỹ thuật mà
tính năng giám sát.

23
7, Màn hình thông minh của Bộ bảo vệ Microsoft
SmartScreen của Bộ bảo vệ Microsoft bảo vệ khỏi lừa đảo, các trang
web và ứng dụng chứa phần mềm độc hại cũng như việc tải xuống các tệp có
khả năng độc hại. Để nâng cao khả năng chống lừa đảo, SmartScreen cũng
cảnh báo mọi người khi họ nhập thông tin xác thực của mình vào một vị trí
tiềm ẩn rủi ro. CNTT có thể tùy chỉnh thông báo nào xuất hiện thông qua
MDM hoặc chính sách nhóm. Tính năng bảo vệ này chạy ở chế độ kiểm tra
theo mặc định, mang lại cho quản trị viên CNTT toàn quyền kiểm soát để
đưa ra quyết định liên quan đến việc tạo và thực thi chính sách.
8, Bộ bảo vệ Microsoft dành cho Điểm cuối.
Bộ bảo vệ Microsoft dành cho Điểm cuối là giải pháp phản hồi và
phát hiện điểm cuối dành cho doanh nghiệp, giúp các nhóm bảo mật phát
hiện, điều tra và ứng phó với các mối đe dọa nâng cao. Các tổ chức có thể sử
dụng dữ liệu sự kiện phong phú và thông tin chuyên sâu về tấn công mà
Defender for Endpoint cung cấp để điều tra các sự cố. Defender for Endpoint
tập hợp các yếu tố sau để cung cấp bức tranh hoàn chỉnh hơn về các sự cố
bảo mật: cảm biến hành vi điểm cuối, phân tích bảo mật đám mây, thông tin
về mối đe dọa và khả năng ứng phó phong phú.

• An ninh mạng
1, Bảo mật lớp vận chuyển (TLS)
Bảo mật lớp vận chuyển (TLS) là một giao thức mã hóa được thiết kế
để cung cấp bảo mật truyền thông qua mạng. TLS 1.3 là phiên bản mới nhất
của giao thức và được bật theo mặc định trong Windows 11. Phiên bản này
loại bỏ các thuật toán mã hóa lỗi thời, tăng cường bảo mật so với các phiên
bản cũ hơn và nhằm mục đích mã hóa càng nhiều thao tác bắt tay TLS càng
tốt. Quá trình bắt tay có hiệu suất cao hơn với trung bình ít chuyến khứ hồi
hơn cho mỗi kết nối và chỉ hỗ trợ năm bộ mật mã mạnh mang lại khả năng
bảo mật hoàn hảo về phía trước và ít rủi ro hoạt động hơn.
2, Bảo vệ kết nối và ghép nối Bluetooth
Số lượng thiết bị Bluetooth kết nối với Windows tiếp tục tăng.
Windows hỗ trợ tất cả các giao thức ghép nối Bluetooth tiêu chuẩn, bao gồm
các kết nối cổ điển và LE Secure, ghép nối đơn giản an toàn cũng như ghép
nối cổ điển và LE kế thừa. Windows cũng triển khai quyền riêng tư LE dựa
24
trên máy chủ. Các bản cập nhật Windows giúp người dùng luôn cập nhật các
tính năng bảo mật của hệ điều hành và trình điều khiển theo Nhóm lợi ích
đặc biệt Bluetooth (SIG), Báo cáo lỗ hổng tiêu chuẩn, cũng như các vấn đề
ngoài những vấn đề được yêu cầu bởi tiêu chuẩn ngành cốt lõi của
Bluetooth. Microsoft đặc biệt khuyến nghị người dùng nên đảm bảo chương
trình cơ sở và/hoặc phần mềm của phụ kiện Bluetooth luôn được cập nhật.
3, Bảo mật Wi-Fi
Truy cập được bảo vệ Wi-Fi (WPA) là chương trình chứng nhận bảo
mật được thiết kế để bảo mật mạng không dây. WPA3 là phiên bản chứng
nhận mới nhất và cung cấp phương thức kết nối an toàn và đáng tin cậy hơn
so với WPA2 và các giao thức bảo mật cũ hơn. Windows hỗ trợ ba chế độ
WPA3: WPA3 cá nhân với giao thức Hash-to-Element (H2E), WPA3
Enterprise và WPA3 Enterprise 192-bit Suite B.
Windows 11 cũng hỗ trợ WPA3 Enterprise do WFA xác định bao
gồm xác thực Chứng chỉ Máy chủ nâng cao và TLS 1.3 cho xác thực bằng
Xác thực EAP-TLS.
4, Mã hóa không dây cơ hội (OWE)
Mã hóa không dây cơ hội (OWE) là công nghệ cho phép các thiết bị
không dây thiết lập kết nối được mã hóa tới các điểm truy cập Wi-Fi công
cộng.
5, Tường lửa Windows
Tường lửa Windows với Bảo mật nâng cao cung cấp tính năng lọc lưu
lượng truy cập mạng hai chiều, dựa trên máy chủ, chặn lưu lượng truy cập
trái phép vào hoặc ra khỏi thiết bị cục bộ dựa trên các loại mạng mà thiết bị
được kết nối. Tường lửa Windows giảm bề mặt tấn công của thiết bị bằng
các quy tắc hạn chế hoặc cho phép lưu lượng truy cập theo nhiều thuộc tính
như địa chỉ IP, cổng hoặc đường dẫn chương trình. Giảm bề mặt tấn công
của thiết bị sẽ tăng khả năng quản lý và giảm khả năng tấn công thành công.
Với sự tích hợp với Bảo mật Giao thức Internet (IPsec), Tường lửa
Windows cung cấp một cách đơn giản để thực thi các giao tiếp mạng đầu
cuối, được xác thực. Nó cung cấp quyền truy cập theo cấp độ, có thể mở
rộng vào các tài nguyên mạng đáng tin cậy, giúp thực thi tính toàn vẹn của
dữ liệu và tùy ý giúp bảo vệ tính bảo mật của dữ liệu. Tường lửa Windows là
tường lửa dựa trên máy chủ được bao gồm trong hệ điều hành, không cần
thêm phần cứng hoặc phần mềm. Tường lửa Windows cũng được thiết kế để
25
bổ sung cho các giải pháp bảo mật mạng không phải của Microsoft hiện có
thông qua giao diện lập trình ứng dụng (API) được ghi lại.
6, Mạng riêng ảo (VPN)
Nền tảng máy khách Windows VPN bao gồm các giao thức VPN tích
hợp, hỗ trợ cấu hình, giao diện người dùng VPN phổ biến và hỗ trợ lập trình
cho các giao thức VPN tùy chỉnh. Các ứng dụng VPN có sẵn trong
Microsoft Store cho cả VPN doanh nghiệp và VPN tiêu dùng, bao gồm các
ứng dụng dành cho các cổng VPN doanh nghiệp phổ biến nhất.
Trong Windows 11, các điều khiển VPN được sử dụng phổ biến nhất
được tích hợp ngay vào ngăn Tác vụ nhanh. Từ ngăn Tác vụ nhanh, người
dùng có thể xem trạng thái VPN của mình, bắt đầu và dừng đường hầm VPN
cũng như truy cập ứng dụng Cài đặt để có thêm quyền kiểm soát.
7, Luôn bật VPN (đường hầm thiết bị)
Với Always On VPN, bạn có thể tạo cấu hình VPN dành riêng cho
thiết bị. Không giống như Đường hầm người dùng, chỉ kết nối sau khi người
dùng đăng nhập vào thiết bị, Đường hầm thiết bị cho phép VPN thiết lập kết
nối trước khi người dùng đăng nhập. Cả Đường hầm thiết bị và Đường hầm
người dùng đều hoạt động độc lập với cấu hình VPN của chúng, có thể được
kết nối cùng lúc và có thể sử dụng các phương thức xác thực khác nhau cũng
như các cài đặt cấu hình VPN khác nếu thích hợp.
8, Truy cập trực tiếp
DirectAccess cho phép người dùng từ xa kết nối với các tài nguyên
mạng của tổ chức mà không cần kết nối Mạng riêng ảo (VPN) truyền thống.
Với kết nối DirectAccess, các thiết bị từ xa luôn được kết nối với tổ
chức và người dùng từ xa không cần phải bắt đầu và dừng kết nối.
9, Dịch vụ tệp Khối tin nhắn máy chủ (SMB)
Mã hóa SMB cung cấp mã hóa đầu cuối cho dữ liệu SMB và bảo vệ
dữ liệu khỏi các sự cố nghe lén trên mạng nội bộ. Trong Windows 11, giao
thức SMB có các bản cập nhật bảo mật quan trọng, bao gồm mã hóa AES-
256 bit, ký SMB được tăng tốc, mã hóa mạng Truy cập bộ nhớ thư mục từ
xa (RDMA) và SMB qua QUIC cho các mạng không đáng tin cậy. Windows
11 giới thiệu bộ mật mã AES-256-GCM và AES-256-CCM để mã hóa SMB
3.1.1. Quản trị viên Windows có thể bắt buộc sử dụng bảo mật nâng cao hơn

26
hoặc tiếp tục sử dụng mã hóa AES-128 tương thích hơn và vẫn an toàn hơn.
10, Chặn tin nhắn máy chủ trực tiếp (SMB Direct)
SMB Direct (SMB qua truy cập bộ nhớ trực tiếp từ xa) là giao thức
lưu trữ cho phép truyền dữ liệu trực tiếp từ bộ nhớ này sang bộ nhớ khác
giữa thiết bị và bộ nhớ, với mức sử dụng CPU tối thiểu, trong khi sử dụng bộ
điều hợp mạng có khả năng RDMA tiêu chuẩn.
SMB Direct hỗ trợ mã hóa và giờ đây bạn có thể hoạt động với độ an
toàn tương tự như TCP truyền thống và hiệu suất của RDMA. Trước đây,
việc bật mã hóa SMB đã vô hiệu hóa vị trí dữ liệu trực tiếp, khiến RDMA
chậm như TCP. Giờ đây, dữ liệu đã được mã hóa trước khi bố trí, dẫn đến
giảm hiệu suất tương đối nhỏ trong khi bổ sung thêm quyền riêng tư của gói
được bảo vệ bằng AES-128 và AES-256.

 Mã hóa và bảo vệ dữ liệu

1, Quản lý BitLocker
BitLocker CSP cho phép giải pháp MDM, như Microsoft Intune, quản
lý các tính năng mã hóa BitLocker trên thiết bị Windows. Điều này bao gồm
ổ đĩa hệ điều hành, ổ đĩa cố định và bộ lưu trữ có thể tháo rời cũng như quản
lý khóa khôi phục vào Azure AD.
2, Kích hoạt BitLocker
Mã hóa ổ đĩa BitLocker là một tính năng bảo vệ dữ liệu tích hợp với
hệ điều hành và giải quyết các mối đe dọa đánh cắp hoặc lộ dữ liệu từ các
máy tính bị mất, bị đánh cắp hoặc ngừng hoạt động không thích hợp.
BitLocker sử dụng thuật toán AES ở chế độ hoạt động XTS hoặc CBC với
độ dài khóa 128 bit hoặc 256 bit để mã hóa dữ liệu trên ổ đĩa. Bộ lưu trữ
đám mây trên Microsoft OneDrive hoặc Azure có thể được sử dụng để lưu
nội dung khóa khôi phục. BitLocker có thể được quản lý bằng bất kỳ giải
pháp MDM nào như Microsoft Intune, sử dụng nhà cung cấp dịch vụ cấu
hình (CSP).
BitLocker cung cấp mã hóa cho HĐH, dữ liệu cố định và ổ dữ liệu di
động tận dụng các công nghệ như giao diện kiểm tra bảo mật phần cứng
(HSTI), Chế độ chờ hiện đại, Khởi động an toàn UEFI và TPM.

27
3, Ổ cứng được mã hóa
Ổ cứng được mã hóa là loại ổ cứng tự mã hóa ở cấp độ phần cứng và
cho phép mã hóa toàn bộ phần cứng ổ đĩa trong khi vẫn minh bạch đối với
người dùng thiết bị. Các ổ đĩa này kết hợp các lợi ích về bảo mật và quản lý
do BitLocker Drive Encryption cung cấp với sức mạnh của các ổ đĩa tự mã
hóa.
Bằng cách chuyển các hoạt động mã hóa sang phần cứng, ổ cứng
được mã hóa sẽ tăng hiệu suất BitLocker và giảm mức sử dụng CPU cũng
như mức tiêu thụ điện năng. Vì ổ cứng được mã hóa sẽ mã hóa dữ liệu
nhanh chóng nên việc triển khai BitLocker có thể được mở rộng trên các
thiết bị doanh nghiệp mà không ảnh hưởng nhiều đến năng suất.
4, Mã hóa dữ liệu cá nhân (PDE)
Mã hóa dữ liệu cá nhân (PDE) hoạt động với BitLocker và Windows
Hello for Business để bảo vệ hơn nữa tài liệu của người dùng và các tệp
khác, kể cả khi thiết bị được bật và khóa. Các tệp được mã hóa tự động và
liền mạch để mang lại cho người dùng mức độ bảo mật cao hơn mà không
làm gián đoạn quy trình làm việc của họ.
Windows Hello for Business được sử dụng để bảo vệ vùng chứa các
khóa mã hóa được PDE sử dụng. Khi người dùng đăng nhập, vùng chứa sẽ
được xác thực để giải phóng các khóa trong vùng chứa nhằm giải mã nội
dung của người dùng.
5, Mã hóa Email (S/MIME)
Mã hóa email cho phép người dùng mã hóa các email gửi đi và tệp
đính kèm, do đó chỉ những người nhận dự định có ID kỹ thuật số (chứng
chỉ) mới có thể đọc chúng. Người dùng có thể ký điện tử vào tin nhắn để xác
minh danh tính của người gửi và xác nhận tin nhắn không bị giả mạo. Người
dùng có thể gửi tin nhắn được mã hóa cho những người dùng khác trong tổ
chức của họ hoặc các liên hệ bên ngoài nếu họ có chứng chỉ mã hóa phù
hợp.

Tổng quan về Windows Hello dành cho doanh nghiệp

28
 Windows Hello for Business thay thế mật khẩu bằng xác thực hai yếu
tố mạnh mẽ trên thiết bị. Xác thực này bao gồm một loại thông tin xác thực
người dùng được gắn với thiết bị và sử dụng sinh trắc học hoặc mã PIN.
Windows Hello giải quyết các vấn đề sau về mật khẩu:
• Mật khẩu mạnh có thể khó nhớ và người dùng thường sử dụng lại mật
khẩu trên nhiều trang web.
• Vi phạm máy chủ có thể làm lộ thông tin xác thực mạng đối xứng
(mật khẩu).
• Mật khẩu có thể bị tấn công lại .
• Người dùng có thể vô tình để lộ mật khẩu của mình do các cuộc tấn
công lừa đảo.
Windows Hello cho phép người dùng xác thực:
• Một tài khoản Microsoft.
• Một tài khoản Active Directory.
• Tài khoản Microsoft Azure Active Directory (Azure AD).
• Dịch vụ nhà cung cấp danh tính hoặc Dịch vụ bên tin cậy hỗ trợ xác
thực Fast ID Online (FIDO) v2.0 .
Sau quá trình xác minh hai bước ban đầu của người dùng trong quá
trình đăng ký, Windows Hello được thiết lập trên thiết bị của người dùng và
Windows sẽ yêu cầu người dùng thiết lập một cử chỉ, có thể là sinh trắc học,
chẳng hạn như dấu vân tay hoặc mã PIN. Người dùng cung cấp cử chỉ để
xác minh danh tính của họ. Windows sau đó sử dụng Windows Hello để xác
thực người dùng.
Với tư cách là quản trị viên trong doanh nghiệp hoặc tổ chức giáo dục,
bạn có thể tạo chính sách để quản lý việc sử dụng Windows Hello for
Business trên các thiết bị chạy Windows 10 kết nối với tổ chức của bạn.
Đăng nhập sinh trắc học
Windows Hello cung cấp xác thực sinh trắc học được tích hợp đầy đủ,
đáng tin cậy dựa trên nhận dạng khuôn mặt hoặc khớp dấu vân tay.
Windows Hello sử dụng kết hợp camera hồng ngoại (IR) đặc biệt và phần
mềm để tăng độ chính xác và bảo vệ chống giả mạo. Các nhà cung cấp phần
cứng lớn đang vận chuyển các thiết bị có tích hợp camera tương thích với
29
Windows Hello. Phần cứng đầu đọc dấu vân tay có thể được sử dụng hoặc
thêm vào các thiết bị hiện không có phần cứng này. Trên các thiết bị hỗ trợ
Windows Hello, một cử chỉ sinh trắc học dễ dàng sẽ mở khóa thông tin xác
thực của người dùng.
• Nhận dạng khuôn mặt : Loại nhận dạng sinh trắc học này sử
dụng các camera đặc biệt nhìn thấy dưới ánh sáng hồng ngoại, cho phép
chúng phân biệt một cách đáng tin cậy sự khác biệt giữa một bức ảnh hoặc
bản quét và một người sống. Một số nhà cung cấp đang vận chuyển các
camera bên ngoài tích hợp công nghệ này và các nhà sản xuất máy tính xách
tay lớn cũng đang tích hợp nó vào thiết bị của họ.
• Nhận dạng vân tay : Loại nhận dạng sinh trắc học này sử dụng
cảm biến vân tay điện dung để quét dấu vân tay của bạn. Đầu đọc dấu vân
tay đã có sẵn cho máy tính Windows trong nhiều năm, nhưng thế hệ cảm
biến hiện tại đáng tin cậy hơn và ít xảy ra lỗi hơn. Hầu hết các đầu đọc dấu
vân tay hiện có đều hoạt động với Windows 10 và Windows 11, cho dù
chúng ở bên ngoài hay được tích hợp vào máy tính xách tay hay bàn phím
USB.
• Nhận dạng mống mắt : Loại nhận dạng sinh trắc học này sử dụng
máy ảnh để thực hiện quét mống mắt của bạn. HoloLens 2 là thiết bị đầu tiên
của Microsoft giới thiệu máy quét Iris. Các máy quét mống mắt này giống
nhau trên tất cả các thiết bị HoloLens 2.
Windows chỉ lưu trữ dữ liệu sinh trắc học được sử dụng để triển khai
Windows Hello một cách an toàn trên thiết bị cục bộ. Dữ liệu sinh trắc học
không được chuyển vùng và không bao giờ được gửi đến các thiết bị hoặc
máy chủ bên ngoài. Vì Windows Hello chỉ lưu trữ dữ liệu nhận dạng sinh
trắc học trên thiết bị nên không có điểm thu thập nào mà kẻ tấn công có thể
xâm phạm để đánh cắp dữ liệu sinh trắc học.

Sự khác biệt giữa Windows Hello và Windows Hello dành cho

doanh nghiệp
• Các cá nhân có thể tạo mã PIN hoặc cử chỉ sinh trắc học trên thiết bị
cá nhân của mình để đăng nhập thuận tiện. Việc sử dụng Windows Hello
này là duy nhất cho thiết bị được thiết lập nhưng có thể sử dụng hàm băm
mật khẩu tùy thuộc vào loại tài khoản của từng cá nhân. Cấu hình này được
gọi là mã PIN tiện lợi Windows Hello và không được hỗ trợ bởi xác thực bất
30
đối xứng (khóa chung/riêng) hoặc xác thực dựa trên chứng chỉ.
• Windows Hello for Business , được định cấu hình theo chính sách
nhóm hoặc chính sách quản lý thiết bị di động (MDM), luôn sử dụng xác
thực dựa trên khóa hoặc dựa trên chứng chỉ. Hành vi này làm cho nó an toàn
hơn mã PIN tiện lợi Windows Hello .
Lợi ích của Windows Hello
Các báo cáo về hành vi trộm cắp danh tính và hack quy mô lớn là
những tin tức thường xuyên được đưa tin. Không ai muốn được thông báo
rằng tên người dùng và mật khẩu của họ đã bị lộ.
Bạn có thể thắc mắc làm thế nào mã PIN có thể giúp bảo vệ thiết bị
tốt hơn mật khẩu . Mật khẩu là bí mật được chia sẻ; chúng được nhập vào
thiết bị và truyền qua mạng tới máy chủ. Tên tài khoản và mật khẩu bị chặn
có thể được sử dụng bởi bất kỳ ai, ở bất kỳ đâu. Vì chúng được lưu trữ trên
máy chủ nên việc vi phạm máy chủ có thể tiết lộ những thông tin xác thực
được lưu trữ đó.
Trong Windows 10 trở lên, Windows Hello sẽ thay thế mật khẩu. Khi
nhà cung cấp danh tính hỗ trợ khóa, quy trình cấp phép Windows Hello sẽ
tạo một cặp khóa mật mã được liên kết với Mô-đun nền tảng đáng tin cậy
(TPM), nếu thiết bị có TPM 2.0 hoặc trong phần mềm. Quyền truy cập vào
các khóa này và lấy chữ ký để xác thực quyền sở hữu khóa riêng của người
dùng chỉ được bật bằng mã PIN hoặc cử chỉ sinh trắc học. Quá trình xác
minh hai bước diễn ra trong quá trình đăng ký Windows Hello sẽ tạo ra mối
quan hệ đáng tin cậy giữa nhà cung cấp danh tính và người dùng khi phần
công khai của cặp khóa công khai/riêng tư được gửi đến nhà cung cấp danh
tính và được liên kết với tài khoản người dùng. Khi người dùng nhập cử chỉ
trên thiết bị, nhà cung cấp danh tính sẽ biết rằng đó là danh tính đã được xác
minh nhờ sự kết hợp giữa phím và cử chỉ Windows Hello.
Ghi chú
Windows Hello như một tính năng đăng nhập thuận tiện sử dụng xác
thực tên người dùng và mật khẩu thông thường mà không cần người dùng
nhập mật khẩu.

31
 Hãy tưởng tượng rằng ai đó đang nhìn qua vai bạn khi bạn rút tiền từ
máy ATM và nhìn thấy mã PIN mà bạn nhập. Có mã PIN đó sẽ không giúp
họ truy cập được vào tài khoản của bạn vì họ không có thẻ ATM của bạn.
Theo cách tương tự, việc tìm hiểu mã PIN cho thiết bị của bạn không cho
phép kẻ tấn công truy cập vào tài khoản của bạn vì mã PIN cục bộ trên thiết
bị cụ thể của bạn và không kích hoạt bất kỳ loại xác thực nào từ bất kỳ thiết
bị nào khác.
Windows Hello giúp bảo vệ danh tính người dùng và thông tin xác
thực của người dùng. Vì người dùng không nhập mật khẩu (ngoại trừ trong
quá trình cung cấp), điều này giúp tránh các cuộc tấn công lừa đảo và bạo
lực. Nó cũng giúp ngăn chặn các hành vi vi phạm máy chủ vì thông tin đăng
nhập Windows Hello là một cặp khóa bất đối xứng, giúp ngăn chặn các cuộc
tấn công lặp lại khi các khóa này được TPM bảo vệ.
Cách Windows Hello for Business hoạt động: những điểm
chính
• Thông tin đăng nhập Windows Hello dựa trên chứng chỉ hoặc cặp
khóa bất đối xứng. Thông tin xác thực Windows Hello có thể được liên kết
với thiết bị và mã thông báo nhận được bằng thông tin xác thực cũng được
liên kết với thiết bị.
• Nhà cung cấp danh tính xác thực danh tính người dùng và ánh xạ khóa
chung Windows Hello tới tài khoản người dùng trong bước đăng ký. Các
nhà cung cấp ví dụ là Active Directory, Azure AD hoặc tài khoản Microsoft.

32
• Khóa có thể được tạo trong phần cứng (TPM 1.2 hoặc 2.0 cho doanh
nghiệp và TPM 2.0 cho người tiêu dùng) hoặc phần mềm, dựa trên chính
sách. Để đảm bảo rằng các khóa được tạo trong phần cứng, bạn phải đặt
chính sách.
• Xác thực là xác thực hai yếu tố với sự kết hợp của khóa hoặc chứng
chỉ được gắn với thiết bị và thông tin mà người đó biết (mã PIN) hoặc thông
tin gì đó về người đó (sinh trắc học). Cử chỉ Windows Hello không chuyển
vùng giữa các thiết bị và không được chia sẻ với máy chủ. Các mẫu sinh trắc
học được lưu trữ cục bộ trên thiết bị. Mã PIN không bao giờ được lưu trữ
hoặc chia sẻ.
• Khóa riêng không bao giờ rời khỏi thiết bị khi sử dụng TPM. Máy chủ
xác thực có khóa chung được ánh xạ tới tài khoản người dùng trong quá
trình đăng ký.
• Mục nhập mã PIN và cử chỉ sinh trắc học đều kích hoạt Windows 10
trở lên sử dụng khóa riêng tư để ký mật mã dữ liệu được gửi đến nhà cung
cấp danh tính. Nhà cung cấp danh tính xác minh danh tính của người dùng
và xác thực người dùng.
• Tài khoản cá nhân (tài khoản Microsoft) và công ty (Active Directory
hoặc Azure AD) sử dụng một vùng chứa duy nhất cho các khóa. Tất cả các
khóa được phân tách bằng miền của nhà cung cấp danh tính để giúp đảm bảo
quyền riêng tư của người dùng.
• Khóa riêng của chứng chỉ có thể được bảo vệ bằng bộ chứa Windows
Hello và cử chỉ Windows Hello.
So sánh xác thực dựa trên khóa và dựa trên chứng chỉ
Windows Hello for Business có thể sử dụng khóa (phần cứng hoặc
phần mềm) hoặc chứng chỉ trong phần cứng hoặc phần mềm. Các doanh
nghiệp có cơ sở hạ tầng khóa công khai (PKI) để cấp và quản lý chứng chỉ
người dùng cuối có thể tiếp tục sử dụng PKI kết hợp với Windows Hello for
Business. Các doanh nghiệp không sử dụng PKI hoặc muốn giảm bớt công
sức liên quan đến việc quản lý chứng chỉ người dùng có thể dựa vào thông
tin xác thực dựa trên khóa cho Windows Hello. Chức năng này vẫn sử dụng
chứng chỉ trên bộ điều khiển miền làm gốc tin cậy. Bắt đầu với Windows 10
phiên bản 21H2, có một tính năng được gọi là độ tin cậy đám mây Kerberos
dành cho triển khai kết hợp, tính năng này sử dụng Azure AD làm gốc của
độ tin cậy. cloud Kerberos Trust sử dụng thông tin xác thực dựa trên khóa
cho Windows Hello nhưng không yêu cầu chứng chỉ trên bộ điều khiển
33
miền.
Windows Hello for Business có khóa, bao gồm cả tin cậy Kerberos
trên đám mây, không hỗ trợ thông tin xác thực được cung cấp cho RDP.
RDP không hỗ trợ xác thực bằng khóa hoặc chứng chỉ tự ký. RDP với
Windows Hello for Business được hỗ trợ triển khai dựa trên chứng chỉ dưới
dạng thông tin xác thực được cung cấp. Windows Hello for Business có
thông tin xác thực chính có thể được sử dụng với Remote Credential Guard .

Nền tảng bảo mật Windows

Microsoft cam kết liên tục đầu tư vào việc cải tiến quy trình phát triển
phần mềm của chúng tôi, xây dựng phần mềm có độ bảo mật cao theo thiết
kế và giải quyết các yêu cầu tuân thủ bảo mật. Tại Microsoft, chúng tôi đưa
ra những cân nhắc về bảo mật và quyền riêng tư ngay từ những giai đoạn
sớm nhất trong vòng đời của tất cả các quy trình phát triển phần mềm của
mình. Chúng tôi xây dựng hệ thống an ninh ngay từ đầu để có khả năng
phòng thủ vững chắc trong môi trường có nhiều mối đe dọa ngày nay.
Nền tảng bảo mật mạnh mẽ của chúng tôi sử dụng Chương trình
thưởng lỗi vòng đời phát triển bảo mật (SDL) của Microsoft, hỗ trợ các tiêu
chuẩn và chứng nhận bảo mật sản phẩm cũng như ký mã Azure. Do đó,
chúng tôi cải thiện tính bảo mật bằng cách sản xuất phần mềm có ít lỗi và lỗ
hổng hơn thay vì dựa vào việc áp dụng các bản cập nhật sau khi đã xác định
được lỗ hổng.
Sử dụng các liên kết trong bảng sau để tìm hiểu thêm về nền tảng bảo
mật:

 Nghiên cứu tấn công

1, Vòng đời phát triển bảo mật của Microsoft (SDL)
Vòng đời phát triển bảo mật của Microsoft (SDL) giới thiệu các
phương pháp, công cụ và quy trình bảo mật tốt nhất xuyên suốt tất cả các
giai đoạn kỹ thuật và phát triển.
2, Dịch vụ OneFuzz
Một loạt công cụ và kỹ thuật - chẳng hạn như lập mô hình mối đe dọa,
phân tích tĩnh, kiểm tra lông tơ và kiểm tra chất lượng mã - cho phép mọi kỹ

34
sư trong nhóm tiếp tục nhúng giá trị bảo mật vào Windows ngay từ ngày
đầu. Thông qua các biện pháp thực hành SDL, các kỹ sư của Microsoft liên
tục được cung cấp các phương pháp cập nhật và có thể thực hiện được để cải
thiện quy trình phát triển và bảo mật sản phẩm tổng thể trước khi mã được
phát hành.
3, Chương trình tiền thưởng Microsoft Windows Insider
Preview
Là một phần trong quy trình phát triển an toàn của chúng tôi, chương
trình tiền thưởng Microsoft Windows Insider Preview mời các nhà nghiên
cứu đủ điều kiện trên toàn cầu tìm và gửi các lỗ hổng tái tạo trong Kênh phát
triển Windows Insider Preview (WIP) mới nhất. Mục tiêu của chương trình
tiền thưởng Windows Insider Preview là phát hiện các lỗ hổng nghiêm trọng
có tác động trực tiếp và rõ ràng đến tính bảo mật của khách hàng sử dụng
phiên bản Windows mới nhất.
Thông qua sự hợp tác này với các nhà nghiên cứu trên toàn cầu, các
nhóm của chúng tôi xác định các lỗ hổng nghiêm trọng chưa được tìm thấy
trước đây trong quá trình phát triển và nhanh chóng khắc phục sự cố trước
khi phát hành Windows cuối cùng.

 Chứng nhận
1, Chứng nhận tiêu chí chung
Tiêu chí chung (CC) là tiêu chuẩn quốc tế hiện được duy trì bởi chính
phủ các quốc gia tham gia Thỏa thuận công nhận tiêu chí chung. CC xác
định một nguyên tắc phân loại chung cho các yêu cầu chức năng an toàn, các
yêu cầu đảm bảo an toàn và phương pháp đánh giá được sử dụng để đảm bảo
các sản phẩm đang được đánh giá đáp ứng các yêu cầu về chức năng và đảm
bảo. Microsoft đảm bảo rằng các sản phẩm kết hợp các tính năng và chức
năng được yêu cầu bởi Hồ sơ bảo vệ tiêu chí chung có liên quan và hoàn
thành các chứng nhận Tiêu chí chung cho các sản phẩm Microsoft Windows.
2, Xác thực Tiêu chuẩn xử lý thông tin liên bang (FIPS) 140
Ấn bản 140 về Tiêu chuẩn Xử lý Thông tin Liên bang (FIPS) là tiêu
chuẩn của chính phủ Hoa Kỳ xác định các yêu cầu bảo mật tối thiểu cho mô-
đun mật mã trong các sản phẩm CNTT. Microsoft duy trì cam kết tích cực

35
trong việc đáp ứng các yêu cầu của tiêu chuẩn FIPS 140, có các mô-đun mật
mã được xác thực theo FIPS 140-2 kể từ khi được thành lập lần đầu tiên vào
năm 2001. Nhiều sản phẩm của Microsoft, bao gồm Windows 11, Windows
10, Windows Server và nhiều dịch vụ đám mây , hãy sử dụng các mô-đun
mật mã này.

 Chuỗi cung ứng an toàn

1, Hóa đơn vật liệu phần mềm (SBOM)
SBOM được tận dụng để cung cấp tính minh bạch và nguồn gốc của
nội dung khi nội dung đó chuyển qua các giai đoạn khác nhau của chuỗi
cung ứng Windows. Điều này mang lại sự tin cậy giữa từng phân đoạn trong
chuỗi cung ứng, đảm bảo rằng hành vi giả mạo không xảy ra trong quá trình
tiêu thụ và trong quá trình vận chuyển, đồng thời cung cấp chuỗi hành trình
sản phẩm có thể chứng minh được đối với sản phẩm mà chúng tôi giao cho
khách hàng.
2, Ký mã Azure
Kiểm soát ứng dụng của Bộ bảo vệ Windows (WDAC) cho phép
khách hàng xác định các chính sách để kiểm soát những gì được phép chạy
trên thiết bị của họ. Chính sách WDAC có thể được áp dụng từ xa cho các
thiết bị sử dụng giải pháp MDM như Microsoft Intune.
Để đơn giản hóa việc hỗ trợ WDAC, các tổ chức có thể tận dụng
Azure Code Signing, một dịch vụ an toàn và được quản lý hoàn toàn để ký
các chính sách và ứng dụng WDAC.
Ký mã Azure giảm thiểu sự phức tạp của việc ký mã bằng dịch vụ
chìa khóa trao tay được hỗ trợ bởi cơ quan cấp chứng chỉ do Microsoft quản
lý, loại bỏ nhu cầu mua và tự quản lý mọi chứng chỉ ký. Dịch vụ này được
quản lý giống như bất kỳ tài nguyên Azure nào khác và tích hợp dễ dàng với
các bộ công cụ CI/CD và phát triển hàng đầu.
3, Bộ phát triển phần mềm ứng dụng Windows (SDK)
Các nhà phát triển có cơ hội thiết kế các ứng dụng có độ bảo mật cao
được hưởng lợi từ các biện pháp bảo vệ mới nhất của Windows. SDK ứng
dụng Windows cung cấp một bộ API và công cụ thống nhất để phát triển các
ứng dụng máy tính để bàn an toàn cho Windows. Để giúp tạo các ứng dụng
được cập nhật và bảo vệ, SDK tuân theo các tiêu chuẩn, giao thức và sự tuân
thủ bảo mật giống như hệ điều hành Windows cốt lõi.
36
37