Professional Documents
Culture Documents
A2 - Nhà M 3 - Chá Äá 3
A2 - Nhà M 3 - Chá Äá 3
KỲ THI A2
MÔN: AN TOÀN THÔNG TIN
NHÓM 3: K48-CNTT
1
Mục Lục
Chương I: Tổng quan về hệ thống bảo mật của hệ điều hành windows qua các
phiên bản.....................................................................................................................................
1,Windows 95 - Khởi đầu cho vấn đề bảo mật.........................................................................
2, Windows NT 4.0 - Lỗ hổng bảo mật bị khai thác rầm rộ.....................................................
3, Windows 98 - Lỗ hổng bảo mật tiếp tục gây họa............................................................
4, Windows 2000 - Sự bệ rạc của hệ thống bảo mật............................................................
5, Window XP - Kỷ nguyên của công nghệ tường lửa.........................................................
6, Windows Server 2003 - 'Khởi đầu không như mơ...........................................................
7, Windows Vista - Thành quả của sự nỗ lực.......................................................................
8, Windows Server 2008 - Giảm thiểu các cuộc tấn công....................................................
9, Windows 7 - Chặn đường sống của virus Autorun trên US............................................
10, Windows 8,8.1...................................................................................................................
11. Window10 – phiên bản được coi là thành công nhất của hệ điều hành
Window tính đến thời điểm hiện tại......................................................................................
12, Window 11 – phiên bản mới nhất ở thời điểm hiện tại.................................................
Chương II: Nguyên lý an toàn bảo mật trên hệ điều hành windows.....................................
1, An toàn hệ thống.................................................................................................................
2, Các cơ chế an toàn bảo mật trên Window........................................................................
Chương III: Phân tích hệ thống API Window.........................................................................
1, API hỗ trợ cơ chế xác thực.................................................................................................
2, API hỗ trợ phân quyền.......................................................................................................
3, API hỗ trợ cơ chế theo dõi hệ thống..................................................................................
4, API hỗ trợ cơ chế mã hóa...................................................................................................
Chương IV: Bảo mật trên hệ điều hành window 11...............................................................
Bảo Mật Phần Cứng...............................................................................................................
Bảo mật hệ điều hành.............................................................................................................
Tổng quan về Windows Hello dành cho doanh nghiệp.......................................................
Nền tảng bảo mật Windows...................................................................................................
2
Chương I: Tổng quan về hệ thống bảo mật của hệ điều
hành windows qua các phiên bản
Trên hầu hết các phiên bản Windows, hệ thống bảo mật luôn là vấn đề
nhức nhối nhất, bởi hệ điều hành này luôn là cái đích để các hacker nhắm
đến.
Từ lâu, vấn đề bảo mật trên các phiên bản Windows luôn nhận được sự
quan tâm sát sao của cộng đồng IT, bởi Windows là hệ điều hành phổ biến
nhất trên toàn thế giới. Hệ thống bảo mật của Windows trên từng phiên bản
cụ thể luôn nhận được rất nhiều lời khen, nhưng cũng không ít lời phàn
nàn. Với sự ra đời của Windows 8 trong thời gian tới, người ta hy vọng sẽ
không còn phải phàn nàn về các lỗ hổng bảo mật của hệ điều hành này.
Dưới đây là những dấu mốc nổi bật trong quá trình phát triển của hệ thống
bảo mật trên các phiên bản Windows:
1,Windows 95 - Khởi đầu cho vấn đề bảo mật
Trước khi Windows 95 ra đời, những chiếc máy tính còn khá sơ sài với
hệ điều hành phổ biến là MS-DOS. Các khái niệm như virus máy tính,
hacker còn xa lạ với người dùng. Tuy nhiên, sự xuất hiện của hệ điều hành
này đã thay đổi toàn bộ. Các hacker trên thế giới đã ngay lập tức đánh dấu
Windows 95 vào “bản đồ tấn công” của mình. Những chiếc máy tính cài hệ
điều hành này đứng trước rủi ro cao về vấn đề bảo mật, do các cuộc tấn
công thông qua trình duyệt Web Internet Explorer và nền tảng ActiveX.
Vào năm 1998, giám đốc phát triển hệ thống bảo mật của hệ điều hành
Windows NT - Karan Khanna - đã phải thừa nhận sự yếu kém của công
nghệ bảo mật tích hợp trên Windows 95 và Windows 98. Ông cho biết, về
cơ bản Windows 95 và 98 được lập trình với những tính năng bảo mật phù
hợp với từng đối tượng khách hàng. Tuy nhiên, tại thời điểm phát triển sản
phẩm, hãng đã không lường trước được sự đa dạng cũng như cường độ của
các cuộc tấn công. Chính vì lý do đó mà hacker đã lợi dụng lỗ hổng bảo
mật trong phần mềm Back Orifice của Microsoft để chiếm quyền kiểm soát
máy tính từ xa. Trong khi đó, nhóm hacker Cult of the Dead Cow chia sẻ,
họ thực hiện cuộc tấn công để tạo sức ép lên Microsoft trong việc cải thiện
tính bảo mật trên hệ điều hành của mình.
2, Windows NT 4.0 - Lỗ hổng bảo mật bị khai thác rầm rộ
Bảo mật tiếp tục là một vấn đề nhức nhối sau khi “gã khổng lồ” phần
mềm tung ra phiên bản Windows NT 4.0 vào năm 1996, đi kèm một lỗ
hổng bảo mật cho phép hacker có thể chiếm quyền quản lý hệ thống máy
tính. Từ đó, người dùng truy cập Internet sẽ bị dẫn đến những trang web có
nội dung xấu. Bên cạnh đó còn một số lỗ hổng nghiêm trọng khiến
Microsoft phải dừng cung cấp các bản vá lỗi bảo mật, có những lỗi rất nặng
3
không thể sửa bằng các bản vá mà phải tiến hành lập trình lại rất nhiều
phần trên hệ điều hành.
3, Windows 98 - Lỗ hổng bảo mật tiếp tục gây họa
Microsoft lên tiếng xác nhận về một lỗi bảo mật trong các phiên bản
Windows 98 và 95. Theo đó, toàn bộ hệ thống máy tính có thể bị “đánh
sập” nếu như người dùng truy cập vào một trang web có chứa mã độc hoặc
mở e-mail từ tài khoản Hotmail hoặc một dịch vụ webmail nào khác. Ngoài
ra, còn có một số vấn đề liên quan đến việc rò rỉ thông tin cá nhân đối với
những máy tính cài Windows 98.
Chuyên gia bảo mật Richard Smith cho biết, những văn bản được tạo
bởi hai ứng dụng văn phòng Word và Excel sẽ được gửi đến Microsoft
trong quá trình đăng ký tự động của Windows 98. Bên cạnh đó, Smith còn
phát hiện thêm lỗi cho phép một số trang web có thể ăn cắp thông tin đăng
ký phần mềm của người dùng.
4
Prevention.
6, Windows Server 2003 - 'Khởi đầu không như mơ
Vào tháng 1 năm 2002, hệ thống bảo mật của Microsoft đã có những
khoảnh khắc lóe sáng, với bức thư nổi tiếng của Bill Gates gửi tới toàn bộ
nhân viên. Trong bức thư này, Bill Gates nhấn mạnh tới việc tập trung phát
triển và cải thiện hệ thống bảo mật trên hệ điều hành của mình và đưa ra
khái niệm Trustworthy Computing. Nỗ lực của “gã khổng lồ” phần mềm
này cũng đã được đền đáp, khi họ trở thành hình mẫu cho những công ty
phần mềm khác noi theo trong việc phát triển các công cụ bảo vệ thông tin
của người dùng. Tuy nhiên, thành quả đạt được về bảo mật của Microsoft
chưa thể bao phủ toàn bộ các sản phẩm của hãng. Chính vì vậy, chỉ chưa
đầy hai tháng sau khi phát hành Windows Server 2003, các kỹ sư của Bill
Gates đã phải tung ra một bản vá lỗi bảo mật. Theo đó, các trang web có
nội dung xấu hoặc chứa mã độc hại hoàn toàn có thể làm tê liệt hệ thống
máy chủ. Lỗ hổng này có liên quan đến trình duyệt web Internet Explorer 6
được tích hợp trên Windows Server 2003 cũng như các phiên bản hệ điều
hành khác của Microsoft.
Mặc dù, gặp phải một số rắc rối ngay khi mới phát hành, nhưng
Windows Server 2003 vẫn được các chuyên gia công nghệ thông tin đánh
giá là an toàn hơn nhiều so với tất cả các phiên bản hệ điều hành trước đó
của hãng.
7, Windows Vista - Thành quả của sự nỗ lực
Sau khi Bill Gates có những cam kết với cộng đồng IT, toàn bộ nguồn
nhân lực của Microsoft đã rất cố gắng để phát triển một phiên bản hệ điều
hành đáp ứng được sự chờ đợi của người dùng về vấn để bảo mật, đó chính
là thời điểm Windows Vista xuất hiện. Khi mà hầu hết các lỗ hổng bảo mật
trên phiên bản hệ điều hành mới đã được khắc phục, Windows Vista vẫn
gặp một số sự cố từ các cuộc tấn công của những loại virus mới, bao gồm,
sâu Storm gây ảnh hưởng lớn cho hàng triệu máy tính trên thế giới và
trojan Zeus với khả năng ăn cắp thông tin tài khoản ngân hàng. Windows
Vista ra đời với rất nhiều cải tiến bảo mật, nhưng đáng chú ý nhất chính là
chức năng User Account Control (UAC). Nó cho phép người dùng có thể
điều khiển máy tính thoải mái trong phạm vi an toàn đối với hệ thống, từ
đó giảm thiểu những thiệt hại do các phần mềm độc hại gây ra. Bên cạnh
đó, hệ điều hành mới còn được Microsoft bổ sung thêm chương trình
chống phần mềm gián điệp, tăng cường bộ lọc chống lừa đảo trên trình
duyệt Internet Explorer 7 và mặc định vô hiệu hóa Active X. Một tính năng
bảo mật khác là Bitlocker (chương trình mã hóa) cũng được bổ sung trên
Windows Vista.
8, Windows Server 2008 - Giảm thiểu các cuộc tấn công
Microsoft giới thiệu tới người dùng phiên bản hệ điều hành dành
5
Windows Server 2008, với sự bổ sung của tính năng Server Core. Tính
năng này cung cấp một môi trường tối thiểu để vận hành các vai trò máy
chủ cụ thể, giảm bớt các yêu cầu về bảo trì, quản lý và bề mặt tấn công đối
với những vai trò máy chủ đó.
Theo Microsoft, tính năng này giúp giảm thiểu đáng kể bề mặt tấn công
của hệ điều hành đồng thời giảm đến 70% các cuộc tấn công vào lỗ hổng
bảo mật so với 5 năm trước đây.
11. Window10 – phiên bản được coi là thành công nhất của hệ
điều hành Window tính đến thời điểm hiện tại.
Window 10 mang đến nhiều tính năng bảo mật, bao gồm cấu hình bảo
mật tiên tiến, Window Defender được cải thiện và tích hợp các tính năng
bảo mật như Window Hello( đăng nhập bằng nhận diện khuôn mặt và dấu
vân tay) và Window Sanbox (môi trường cách ly để chạy các ứng dụng
không đáng tin cậy).
6
12, Window 11 – phiên bản mới nhất ở thời điểm hiện tại
Windows 11 là phiên bản mới nhất của hệ điều hành Windows được
phát triển bởi Microsoft. Để đảm bảo an toàn và bảo mật cho người dùng,
Windows 11 có một số tính năng và cải tiến liên quan đến bảo mật như
Windows Hello: Windows 11 hỗ trợ Windows Hello, một công nghệ nhận
diện khuôn mặt, dấu vân tay hoặc PIN để đăng nhập vào hệ thống một cách
an toàn và tiện lợi hơn so với mật khẩu truyền thống. Nó cũng cải tiến
Window defender so với window 10. Tuy nhiên nó được các chuyên gia
cũng như người dùng đánh giá rằng là thiếu ổn định trong trải nghiệm
người dùng.
1, An toàn hệ thống
Bảo vệ hệ thống (protection) là một cơ chế kiểm soát việc sử dụng tài
nguyên của các tiến trình hay người sử dụng để đối phó với các tình huống
lỗi có thể phát sinh từ trong hệ thống . Trong khi đó khái niệm an toàn hệ
thống (security)muốn đề cập đến mức độ tin cậy mà hệ thống duy trì khi
phải đối phó không những với các vấn đề nội bộ, mà còn cả với những tác
hại đến từ môi trường ngoài .
7
được trong thực tế ! Thông thường, an toàn bị vi phạm vì các nguyên nhân
vô tình hay cố ý phá hoại. Việc chống đỡ các phá hoại cố ý là rất khó khăn
và gần như không thể đạt hiệu quả hoàn toàn. Bảo đảm an toàn hệ thống ở
cấp cao chống lại các tác hại từ môi trường ngoài như hoả hoạn, mất điện,
phái hoại...cần được thực hiện ở 2 mức độ vật lý (trang bị các thiết bị an
toàn cho vị trí đạt hệ thống...) và nhân sự (chọn lọc cẩn thận những nhân
viên làm việc trong hệ thống...). Nếu an toàn môi trường được bảo đảm khá
tốt, an toàn của hệ thống sẽ được duy trì tốt nhờ các cơ chế của hệ điều
hành (với sự trợ giúp của phần cứng).
Lưu ý rằng nếu bảo vệ hệ thống có thể đạt độ tin cậy 100%, thì các cơ
chế an toàn hệ thống được cung cấp chỉ với hy vọng ngăn chặn bớt các tình
huống bất an hơn là đạt đến độ an toàn tuyệt đối.
8
• Mục tiêu bảo vệ hệ thống (Protection)
Mục tiêu của việc bảo vệ hệ thống là:
Bảo vệ chống lỗi của tiến trình : khi có nhiều tiến trình cùng hoạt động, lỗi
của một tiến trình j phải được ngăn chặn không cho lan truyền trên hệ thống làm
ảnh hưởng đến các tiến trình khác. Đặc biệt , qua việc phát hiện các lỗi tiềm ẩn
trong các thành phần của hệ thống có thể tăng cường độ tin cậy hệ thống
( reliability) .
Chống sự truy xuất bất hợp lệ : Bảo đảm các bộ phận tiến trình sử dụng
tài nguyên theo một cách thức hợp lệ được qui định cho nó trong việc khai
thác các tài nguyên này.
Vai trò của bộ phận bảo vệ trong hệ thống là cung cấp một cơ chế
để áp dụng các chiến lược quản trị việc sử dụng tài nguyên . Cần phân biệt
khái niệm cơ chế và chiến lược:
Cơ chế : xác định làm thế nào để thực hiện việc bảo vệ, có thể có các
cơ chế phần mềm hoặc cơ chế phần cứng.
Chiến lược: quyết định việc bảo vệ được áp dụng như thế nào : những
đối tượng nào trong hệ thống cần được bảo vệ, và các thao tác thích hợp
trên các đối tượng này
Để hệ thống có tính tương thích cao , cần phân tách các cơ chế và chiến
lược được sử dụng trong hệ thống. Các chiến lược sử dụng tài nguyên là
khác nhau tùy theo ứng dụng, và thường dễ thay đổi . Thông thường các
chiến lược được lập trình viên vận dụng vào ứng dụng của mình để chống
lỗi truy xuất bất hợp lệ đến các tài nguyên, trong khi đó hệ thống cung cấp
các cơ chế giúp người sử dụng có thể thực hiện được chiến lược bảo vệ của
mình.
o Mã hóa
Khi mạng máy tính trở nên phổ biến, nhiều thông tin bí mật đưuọc
truyền qua những môi trường không tin cậy ( thông tin có thể bị nghe trộm
hoặc bị thay đổi ). Để giử bí mật thông tin cho người dùng và tài nguyên
thì HĐH windows hay bất kỳ một HĐH nào khác cũng đều sử dụng
phương pháp mã hóa.
Tài khoản đăng nhập là tài khoản được lưu tại local
Tiến trình dành cho việc đăng nhập hoạt động , winlogon. Exe
cấm tất cả các tiến trình khác
LSA nhận lại và chuyển gói xác thực qua giao thức NTLM để cử
lý
NTLM kiểm tra thông tin xác thực dựa và cơ sở dữ liệu file sam.
nếu không thành công gửi kết quả đến LSA. LSA gọi GINA báo
người dùng USERNAME không hợp lệ, yêu cầu nhập lại
Nếu xác thực thành công , LSAtạo ra một ACCESS TOKEN cho
phiên LOGON của USER
Dựa vào ACCESS TOKEN đề xuất với trạng thái hệ thống phù
hợp với USER
Đối với việc xác thực bằng LSA có hai hàm xác thực
quan trọng đó là :
LogonUser
LsaLogonuser
d, API quản lý tài khoản
NetUserAdd Thêm một tài khoản người dùng vào hệ thống Server. Hàm này
nhận về các thông tin gồm tên Server sẽ chứa tài khoản người
dùng đó, mật khẩu cũng như quyền hạn ban đầu của người dùng.
Nếu thực hiện hàm này thành công, giá trị được trả về là
NERR_Success. Nếu không thành công sẽ trả về giá trị lỗi (Xin
mời xem tham khảo để biết thêm thông tin chi tiết).
11
NetUserDel Xóa một tài khoản người dùng trên Server. Hàm này nhận về các
thông tin gồm tên Server sẽ chứa tài khoản đó, tên tài khoản muốn
xóa. Nếu thực hiện thành công, hàm này sẽ trả về lỗi (Xin mời
xem tham khảo để biết thêm thông tin chi tiết)
NetUserGetInfo Lấy thông tin của một tài khoản người dùng trên Server. Hàm này
nhận về các thông tin gồm tên của Server, tên tài khoản người
dùng cần lấy thông tin, cấp độ của dữ liệu (dữ liệu ở đây là thông
tin về tài khoản người dùng).
NetUserSetInfo Thiết lập các thông tin đối với một tài khoản người dùng.
NetUserEnum Lấy về danh sách tài khoản người dùng trên Server. Nếu Server là
NULL thì sẽ lấy về danh sách tài khoản người dùng trên máy local
NetAcce ssAdd Thêm quyền hạn cho một User đối với một tài nguyên
cụ thể
NetAccessDel Xóa một quyền hạn nào đó trên tài nguyên đối với người dùng
hoặc nhóm người dùng trên Server.
NetAccessEnum Lấy về danh sách các quyền của người dùng hoặc nhóm người
dùng đối với một tài nguyên cụ thể.
NetAccessCheck Kiểm tra người dùng hoặc nhóm người dùng cụ thể có quyền
đối với một tài nguyên cụ thể hay không
12
NetAccessGetInfo Lấy về danh sách quyền đối với một tài nguyên cụ thể
NetAccessSetInfo Hàm thiết lập quyền đọc và ghi trên tài nguyên cụ thể cho tất cả
người dùng và nhóm người dùng.
SECURITY DESCRIPTOR
a, ACCESS TOKEN
Chứa thông tin định danh, định danh nhóm
Chứa danh sách quyền hạn của tài khoản và nhóm mà tài khoản
đó là thành viên
b, SECURITY DESCRIPTOR
Khi một đối tượng được windows chỉ định một security
descriptor để chứa thông tin bảo mật về đối tượng như:
13
GHI EVENT MESSAGE FILE XUỐNG
GetEventLogInformation Lấy thông tin về một event cụ thể trong event log
GetNumberOfEventLogRecords Nhận về số lượng các event được ghi trong event log
GetOldestEventLogRecord Lấy về con số thể hiện cho event đã được ghi lâu nhất
trong event log
NotifyChangeEventLog Hàm này dùng cho ứng dụng khi muốn nhận một
thông báo rằng có event đã được ghi
OpenBackupEventLog Mở một tập tin event log đã được backup trước. Tập
tin được backup bằng hàm BackupEventLog. Khi
chúng ta mở một tập tin backup cũng như chúng ta
mở một event log trong registry bằng hàm
RegisterEventLog, kết quả là sẽ nhận được handle
của event log.
14
OpenEventLog Hàm này dùng để mở một event log và lấy về
một handle của event log đó. Sau khi sử dụng
xong event log này, cần đóng lại handle của
event log bằng cách gọi hàm CloseEventLog
ReadEventLog Hàm này đọc toàn bộ những thông tin trong một
event log đã được ghi trước trong hệ thống
CryptAcquireContext Hàm này dùng để lấy handle của container dùng
để lưu key, của một CSP. Handle này lấy về
dùng để những hàm trong CryptoAPI sử dụng
cho quá trình mã hóa.
CryptDecrypt Hàm này dùng để giải mã dữ liệu đã được mã
hóa bằng hàm CryptEncrypt
15
CryptDeriveKey Hàm này dùng để tạo ra một khóa mã hóa bí mật
từ một dữ liệu nào đó (ví dụ password)
CryptDestroyKey Hàm này dùng để giải phóng handle của một
khóa đã được sử dụng trước đó. Sau khi gọi hàm
nay, khóa sẽ không còn sử dụng được nữa.
CryptExportKey Hàm này dùng để đưa một khóa (cặp khóa) từ
CSP ra để ứng dụng khác có thể sử dụng, theo
một cách thức bảo mật. Đầu tiên handle của khóa
sẽ được đưa tới hàm nay, sau đó hàm này sẽ trả
về một key BLOB. Key BLOB này có thể được
gửi trên mạng internet tới cho thành phần khác sử
dụng mà vẫn đảm bảo được độ an toàn, bí mật
của khóa. Key BLOB này sẽ không có ích gì cho
đến khi người nhận dùng hàm CryptImportKey
để đưa khóa (cặp khóa) vào CSP của họ.
CryptGenKey Hàm này tạo ra một khóa mã hóa bí mật hoặc
một cặp khóa public/private dùng cho CSP trong
việc mã hóa
CryptGetUserKey Hàm này dùng để lấy handle của một cặp khóa
public/private của user
CryptImportKey Hàm này chuyển khóa mã hóa từ BLOB sang
CSP
CryptReleaseContext Hàm này giải phóng handle của CSP vào key
container
16
Chương IV: Bảo mật trên hệ điều hành window
11
Bảo Mật Phần Cứng
Nguồn gốc và sự tin cậy bảo mật phần cứng
1, Bảo vệ hệ thống Window Defender
Trong PC lõi bảo mật, Windows Defender System Guard Secure
Launch bảo vệ quá trình khởi động bằng công nghệ được gọi là Dynamic
Root of Trust for Measure (DRTM). Với DRTM, hệ thống ban đầu tuân theo
quy trình Khởi động an toàn UEFI thông thường. Tuy nhiên, trước khi khởi
chạy, hệ thống sẽ chuyển sang trạng thái tin cậy do phần cứng kiểm soát để
buộc (các) CPU đi theo đường dẫn mã được bảo mật bằng phần cứng. Nếu
rootkit/bootkit phần mềm độc hại đã vượt qua UEFI Secure Boot và nằm
trong bộ nhớ, DRTM sẽ ngăn nó truy cập vào các bí mật và mã quan trọng
được bảo vệ bởi môi trường bảo mật dựa trên ảo hóa. Công nghệ Firmware
Attack Surface Giảm có thể được sử dụng thay vì DRTM trên các thiết bị hỗ
trợ như Microsoft Surface.
2, Mô-đun nền tảng đáng tin cậy (TPM)
TPM mang lại lợi ích về bảo mật và quyền riêng tư cho phần cứng hệ
thống, chủ sở hữu nền tảng và người dùng. Windows Hello, BitLocker,
Windows Defender System Guard và các tính năng khác của Windows dựa
vào TPM cho các khả năng như tạo khóa, lưu trữ an toàn, mã hóa, đo lường
tính toàn vẹn khởi động và chứng thực. Phiên bản 2.0 của thông số kỹ thuật
bao gồm hỗ trợ cho các thuật toán mới hơn, có thể cải thiện hiệu suất ký
trình điều khiển và tạo khóa.
Bắt đầu với Windows 10, chứng nhận phần cứng của Microsoft yêu
cầu tất cả các PC Windows mới phải tích hợp và bật TPM 2.0 theo mặc
định. Với Windows 11, cả thiết bị mới và nâng cấp đều phải có TPM 2.0.
3, Microsoft Pluton
Bộ xử lý bảo mật Microsoft Pluton được Microsoft thiết kế với sự hợp
tác của các đối tác silicon. Pluton tăng cường khả năng bảo vệ của các thiết
bị Windows bằng root-of-trust phần cứng cung cấp khả năng bảo vệ bổ sung
cho các khóa mật mã và các bí mật khác. Pluton được thiết kế để giảm bề
17
mặt tấn công vì nó tích hợp chip bảo mật trực tiếp vào bộ xử lý. Nó có thể
được sử dụng với TPM 2.0 kín đáo hoặc như một bộ xử lý bảo mật độc lập.
Khi root của sự tin cậy được đặt trên một con chip riêng biệt trên bo mạch
chủ, đường dẫn giao tiếp giữa root của sự tin cậy và CPU có thể dễ bị tấn
công vật lý. Pluton hỗ trợ tiêu chuẩn công nghiệp TPM 2.0, cho phép khách
hàng được hưởng lợi ngay lập tức từ tính năng bảo mật nâng cao trong các
tính năng của Windows dựa trên TPM bao gồm BitLocker, Windows Hello
và Windows Defender System Guard.
Ngoài việc cung cấp nguồn gốc tin cậy, Pluton còn hỗ trợ chức năng
bảo mật khác ngoài những gì có thể có với thông số TPM 2.0 và khả năng
mở rộng này cho phép các tính năng hệ điều hành và chương trình cơ sở
Pluton bổ sung được cung cấp theo thời gian thông qua Windows Update.
Các thiết bị Windows 11 hỗ trợ Pluton đã có sẵn và số lượng tùy chọn với
Pluton ngày càng tăng.
18
Tính toàn vẹn mã được bảo vệ bằng máy ảo hóa (HVCI), còn được
gọi là tính toàn vẹn của bộ nhớ, sử dụng VBS để chạy Tính toàn vẹn mã chế
độ hạt nhân (KMCI) bên trong môi trường VBS an toàn thay vì nhân
Windows chính. Điều này giúp ngăn chặn các cuộc tấn công cố gắng sửa đổi
mã chế độ kernel, chẳng hạn như trình điều khiển. Vai trò của KMCI là kiểm
tra xem tất cả mã hạt nhân đã được ký hợp lệ và chưa bị giả mạo hay chưa
trước khi được phép chạy. HVCI giúp đảm bảo rằng chỉ mã được xác thực
mới có thể được thực thi ở chế độ kernel.
Bắt đầu với Windows 10, tất cả các thiết bị mới đều phải có hỗ trợ
chương trình cơ sở cho VBS và HCVI được bật theo mặc định trong BIOS.
Sau đó, khách hàng có thể kích hoạt hỗ trợ hệ điều hành trong Windows.
Với các bản cài đặt mới của Windows 11, hệ điều hành hỗ trợ VBS và
HVCI được bật theo mặc định cho tất cả các thiết bị đáp ứng các điều kiện
tiên quyết.
3, Bảo vệ ngăn xếp được thi hành bằng phần cứng
Bảo vệ ngăn xếp được thực thi bằng phần cứng tích hợp phần mềm và
phần cứng để bảo vệ hiện đại chống lại các mối đe dọa trên mạng như hỏng
bộ nhớ và khai thác zero-day. Dựa trên Công nghệ thực thi luồng điều khiển
(CET) của Intel và AMD Shadow Stacks, tính năng bảo vệ ngăn xếp được
thi hành bằng phần cứng được thiết kế để bảo vệ khỏi các kỹ thuật khai thác
cố gắng chiếm đoạt các địa chỉ trả về trên ngăn xếp.
4, Bảo vệ truy cập bộ nhớ trực tiếp hạt nhân (DMA)
Kernel DMA Protection bảo vệ khỏi các thiết bị ngoại vi bên ngoài
truy cập trái phép vào bộ nhớ. Các mối đe dọa vật lý như các cuộc tấn công
Truy cập bộ nhớ trực tiếp (DMA) theo ổ đĩa thường xảy ra nhanh chóng khi
chủ sở hữu hệ thống không có mặt. Các thiết bị cắm nóng PCIe như
Thunderbolt, USB4 và CFexpress cho phép người dùng gắn các loại thiết bị
ngoại vi bên ngoài mới, bao gồm card đồ họa hoặc các thiết bị PCI khác, vào
PC của họ bằng cách cắm và chạy dễ dàng qua USB. Vì các cổng cắm nóng
PCI nằm ở bên ngoài và có thể truy cập dễ dàng nên các thiết bị dễ bị tấn
công bằng DMA theo ổ đĩa.
21
hại, vi rút và các mối đe dọa bảo mật. Các bản cập nhật được tải xuống tự
động để giúp giữ an toàn cho thiết bị của bạn và bảo vệ thiết bị khỏi các mối
đe dọa. Tính năng chống vi-rút của Bộ bảo vệ Microsoft bao gồm tính năng
bảo vệ chống vi-rút theo thời gian thực, dựa trên hành vi và theo kinh
nghiệm.
Sự kết hợp giữa tính năng quét nội dung luôn bật, giám sát hành vi
của tệp và quy trình cũng như các phương pháp phỏng đoán khác ngăn chặn
một cách hiệu quả các mối đe dọa bảo mật. Tính năng Chống vi rút của Bộ
bảo vệ Microsoft liên tục quét phần mềm độc hại và các mối đe dọa, đồng
thời phát hiện và chặn các ứng dụng không mong muốn tiềm ẩn (PUA), là
những ứng dụng được cho là có tác động tiêu cực đến thiết bị của bạn nhưng
không được coi là phần mềm độc hại.
2, Bảo vệ của Cơ quan An ninh Địa phương (LSA)
Windows có một số quy trình quan trọng để xác minh danh tính của
người dùng. Các quy trình xác minh bao gồm Cơ quan bảo mật cục bộ
(LSA), chịu trách nhiệm xác thực người dùng và xác minh thông tin đăng
nhập Windows. LSA xử lý mã thông báo và thông tin xác thực như mật khẩu
được sử dụng để đăng nhập một lần vào tài khoản Microsoft và dịch vụ
Azure. Để giúp bảo vệ những thông tin xác thực này, tính năng bảo vệ LSA
bổ sung chỉ cho phép tải mã đáng tin cậy, có chữ ký và cung cấp khả năng
bảo vệ đáng kể chống lại hành vi trộm cắp Thông tin xác thực.
Bảo vệ LSA được bật theo mặc định trên các thiết bị Windows 11
mới, dành cho doanh nghiệp, có hỗ trợ bổ sung cho các điều khiển quản lý
chính sách và khóa không phải UEFI thông qua MDM và chính sách nhóm.
3, Giảm bề mặt tấn công (ASR)
Quy tắc Giảm bề mặt tấn công (ASR) giúp ngăn chặn các hành vi
phần mềm thường bị lạm dụng để xâm phạm thiết bị hoặc mạng của bạn.
Bằng cách giảm số lượng bề mặt tấn công, bạn có thể giảm lỗ hổng tổng thể
của tổ chức.
Quản trị viên có thể định cấu hình các quy tắc ASR cụ thể để giúp
chặn một số hành vi nhất định, chẳng hạn như khởi chạy các tệp thực thi và
tập lệnh cố tải xuống hoặc chạy tệp, chạy các tập lệnh bị xáo trộn hoặc đáng
ngờ, thực hiện các hành vi mà ứng dụng thường không bắt đầu trong hoạt
động bình thường hàng ngày công việc.
4, Cài đặt bảo vệ chống giả mạo cho MDE
22
Bảo vệ chống giả mạo là một chức năng trong Bộ bảo vệ Microsoft
dành cho Điểm cuối giúp bảo vệ một số cài đặt bảo mật nhất định, chẳng hạn
như bảo vệ chống vi-rút và mối đe dọa, khỏi bị vô hiệu hóa hoặc thay đổi.
Trong một số loại tấn công mạng, kẻ xấu cố gắng vô hiệu hóa các tính năng
bảo mật trên thiết bị. Việc tắt các tính năng bảo mật giúp cho kẻ xấu có
quyền truy cập dễ dàng hơn vào dữ liệu của bạn, khả năng cài đặt phần mềm
độc hại cũng như khả năng khai thác dữ liệu, danh tính và thiết bị của bạn.
Bảo vệ giả mạo giúp bảo vệ chống lại các loại hoạt động này.
5, Truy cập thư mục được kiểm soát
Bạn có thể bảo vệ thông tin có giá trị của mình trong các thư mục cụ
thể bằng cách quản lý quyền truy cập của ứng dụng vào các thư mục cụ thể.
Chỉ những ứng dụng đáng tin cậy mới có thể truy cập các thư mục được bảo
vệ, được chỉ định khi định cấu hình quyền truy cập thư mục được kiểm soát.
Các thư mục thường được sử dụng, chẳng hạn như các thư mục được sử
dụng cho tài liệu, hình ảnh, nội dung tải xuống, thường được đưa vào danh
sách các thư mục được kiểm soát. Quyền truy cập thư mục được kiểm soát
hoạt động với danh sách các ứng dụng đáng tin cậy. Các ứng dụng nằm
trong danh sách phần mềm đáng tin cậy sẽ hoạt động như mong đợi. Các
ứng dụng không có trong danh sách đáng tin cậy sẽ bị ngăn thực hiện bất kỳ
thay đổi nào đối với các tệp bên trong các thư mục được bảo vệ.
Quyền truy cập thư mục được kiểm soát giúp bảo vệ dữ liệu có giá trị
của người dùng khỏi các ứng dụng và mối đe dọa độc hại, chẳng hạn như
phần mềm tống tiền.
6, Bảo vệ khai thác
Tính năng bảo vệ chống khai thác tự động áp dụng một số kỹ thuật
giảm thiểu khai thác cho các quy trình và ứng dụng của hệ điều hành. Tính
năng bảo vệ chống khai thác hoạt động tốt nhất với Bộ bảo vệ Microsoft
dành cho Điểm cuối, tính năng này cung cấp cho các tổ chức báo cáo chi tiết
về các sự kiện và khối bảo vệ khai thác như một phần của các kịch bản điều
tra cảnh báo điển hình. Bạn có thể kích hoạt tính năng bảo vệ chống khai
thác trên một thiết bị riêng lẻ, sau đó sử dụng MDM hoặc chính sách nhóm
để phân phối tệp cấu hình cho nhiều thiết bị. Khi gặp phải biện pháp giảm
thiểu trên thiết bị, một thông báo sẽ được hiển thị từ Trung tâm hành động.
Bạn có thể tùy chỉnh thông báo với chi tiết công ty và thông tin liên hệ của
bạn. Bạn cũng có thể kích hoạt các quy tắc riêng lẻ để tùy chỉnh kỹ thuật mà
tính năng giám sát.
23
7, Màn hình thông minh của Bộ bảo vệ Microsoft
SmartScreen của Bộ bảo vệ Microsoft bảo vệ khỏi lừa đảo, các trang
web và ứng dụng chứa phần mềm độc hại cũng như việc tải xuống các tệp có
khả năng độc hại. Để nâng cao khả năng chống lừa đảo, SmartScreen cũng
cảnh báo mọi người khi họ nhập thông tin xác thực của mình vào một vị trí
tiềm ẩn rủi ro. CNTT có thể tùy chỉnh thông báo nào xuất hiện thông qua
MDM hoặc chính sách nhóm. Tính năng bảo vệ này chạy ở chế độ kiểm tra
theo mặc định, mang lại cho quản trị viên CNTT toàn quyền kiểm soát để
đưa ra quyết định liên quan đến việc tạo và thực thi chính sách.
8, Bộ bảo vệ Microsoft dành cho Điểm cuối.
Bộ bảo vệ Microsoft dành cho Điểm cuối là giải pháp phản hồi và
phát hiện điểm cuối dành cho doanh nghiệp, giúp các nhóm bảo mật phát
hiện, điều tra và ứng phó với các mối đe dọa nâng cao. Các tổ chức có thể sử
dụng dữ liệu sự kiện phong phú và thông tin chuyên sâu về tấn công mà
Defender for Endpoint cung cấp để điều tra các sự cố. Defender for Endpoint
tập hợp các yếu tố sau để cung cấp bức tranh hoàn chỉnh hơn về các sự cố
bảo mật: cảm biến hành vi điểm cuối, phân tích bảo mật đám mây, thông tin
về mối đe dọa và khả năng ứng phó phong phú.
• An ninh mạng
1, Bảo mật lớp vận chuyển (TLS)
Bảo mật lớp vận chuyển (TLS) là một giao thức mã hóa được thiết kế
để cung cấp bảo mật truyền thông qua mạng. TLS 1.3 là phiên bản mới nhất
của giao thức và được bật theo mặc định trong Windows 11. Phiên bản này
loại bỏ các thuật toán mã hóa lỗi thời, tăng cường bảo mật so với các phiên
bản cũ hơn và nhằm mục đích mã hóa càng nhiều thao tác bắt tay TLS càng
tốt. Quá trình bắt tay có hiệu suất cao hơn với trung bình ít chuyến khứ hồi
hơn cho mỗi kết nối và chỉ hỗ trợ năm bộ mật mã mạnh mang lại khả năng
bảo mật hoàn hảo về phía trước và ít rủi ro hoạt động hơn.
2, Bảo vệ kết nối và ghép nối Bluetooth
Số lượng thiết bị Bluetooth kết nối với Windows tiếp tục tăng.
Windows hỗ trợ tất cả các giao thức ghép nối Bluetooth tiêu chuẩn, bao gồm
các kết nối cổ điển và LE Secure, ghép nối đơn giản an toàn cũng như ghép
nối cổ điển và LE kế thừa. Windows cũng triển khai quyền riêng tư LE dựa
24
trên máy chủ. Các bản cập nhật Windows giúp người dùng luôn cập nhật các
tính năng bảo mật của hệ điều hành và trình điều khiển theo Nhóm lợi ích
đặc biệt Bluetooth (SIG), Báo cáo lỗ hổng tiêu chuẩn, cũng như các vấn đề
ngoài những vấn đề được yêu cầu bởi tiêu chuẩn ngành cốt lõi của
Bluetooth. Microsoft đặc biệt khuyến nghị người dùng nên đảm bảo chương
trình cơ sở và/hoặc phần mềm của phụ kiện Bluetooth luôn được cập nhật.
3, Bảo mật Wi-Fi
Truy cập được bảo vệ Wi-Fi (WPA) là chương trình chứng nhận bảo
mật được thiết kế để bảo mật mạng không dây. WPA3 là phiên bản chứng
nhận mới nhất và cung cấp phương thức kết nối an toàn và đáng tin cậy hơn
so với WPA2 và các giao thức bảo mật cũ hơn. Windows hỗ trợ ba chế độ
WPA3: WPA3 cá nhân với giao thức Hash-to-Element (H2E), WPA3
Enterprise và WPA3 Enterprise 192-bit Suite B.
Windows 11 cũng hỗ trợ WPA3 Enterprise do WFA xác định bao
gồm xác thực Chứng chỉ Máy chủ nâng cao và TLS 1.3 cho xác thực bằng
Xác thực EAP-TLS.
4, Mã hóa không dây cơ hội (OWE)
Mã hóa không dây cơ hội (OWE) là công nghệ cho phép các thiết bị
không dây thiết lập kết nối được mã hóa tới các điểm truy cập Wi-Fi công
cộng.
5, Tường lửa Windows
Tường lửa Windows với Bảo mật nâng cao cung cấp tính năng lọc lưu
lượng truy cập mạng hai chiều, dựa trên máy chủ, chặn lưu lượng truy cập
trái phép vào hoặc ra khỏi thiết bị cục bộ dựa trên các loại mạng mà thiết bị
được kết nối. Tường lửa Windows giảm bề mặt tấn công của thiết bị bằng
các quy tắc hạn chế hoặc cho phép lưu lượng truy cập theo nhiều thuộc tính
như địa chỉ IP, cổng hoặc đường dẫn chương trình. Giảm bề mặt tấn công
của thiết bị sẽ tăng khả năng quản lý và giảm khả năng tấn công thành công.
Với sự tích hợp với Bảo mật Giao thức Internet (IPsec), Tường lửa
Windows cung cấp một cách đơn giản để thực thi các giao tiếp mạng đầu
cuối, được xác thực. Nó cung cấp quyền truy cập theo cấp độ, có thể mở
rộng vào các tài nguyên mạng đáng tin cậy, giúp thực thi tính toàn vẹn của
dữ liệu và tùy ý giúp bảo vệ tính bảo mật của dữ liệu. Tường lửa Windows là
tường lửa dựa trên máy chủ được bao gồm trong hệ điều hành, không cần
thêm phần cứng hoặc phần mềm. Tường lửa Windows cũng được thiết kế để
25
bổ sung cho các giải pháp bảo mật mạng không phải của Microsoft hiện có
thông qua giao diện lập trình ứng dụng (API) được ghi lại.
6, Mạng riêng ảo (VPN)
Nền tảng máy khách Windows VPN bao gồm các giao thức VPN tích
hợp, hỗ trợ cấu hình, giao diện người dùng VPN phổ biến và hỗ trợ lập trình
cho các giao thức VPN tùy chỉnh. Các ứng dụng VPN có sẵn trong
Microsoft Store cho cả VPN doanh nghiệp và VPN tiêu dùng, bao gồm các
ứng dụng dành cho các cổng VPN doanh nghiệp phổ biến nhất.
Trong Windows 11, các điều khiển VPN được sử dụng phổ biến nhất
được tích hợp ngay vào ngăn Tác vụ nhanh. Từ ngăn Tác vụ nhanh, người
dùng có thể xem trạng thái VPN của mình, bắt đầu và dừng đường hầm VPN
cũng như truy cập ứng dụng Cài đặt để có thêm quyền kiểm soát.
7, Luôn bật VPN (đường hầm thiết bị)
Với Always On VPN, bạn có thể tạo cấu hình VPN dành riêng cho
thiết bị. Không giống như Đường hầm người dùng, chỉ kết nối sau khi người
dùng đăng nhập vào thiết bị, Đường hầm thiết bị cho phép VPN thiết lập kết
nối trước khi người dùng đăng nhập. Cả Đường hầm thiết bị và Đường hầm
người dùng đều hoạt động độc lập với cấu hình VPN của chúng, có thể được
kết nối cùng lúc và có thể sử dụng các phương thức xác thực khác nhau cũng
như các cài đặt cấu hình VPN khác nếu thích hợp.
8, Truy cập trực tiếp
DirectAccess cho phép người dùng từ xa kết nối với các tài nguyên
mạng của tổ chức mà không cần kết nối Mạng riêng ảo (VPN) truyền thống.
Với kết nối DirectAccess, các thiết bị từ xa luôn được kết nối với tổ
chức và người dùng từ xa không cần phải bắt đầu và dừng kết nối.
9, Dịch vụ tệp Khối tin nhắn máy chủ (SMB)
Mã hóa SMB cung cấp mã hóa đầu cuối cho dữ liệu SMB và bảo vệ
dữ liệu khỏi các sự cố nghe lén trên mạng nội bộ. Trong Windows 11, giao
thức SMB có các bản cập nhật bảo mật quan trọng, bao gồm mã hóa AES-
256 bit, ký SMB được tăng tốc, mã hóa mạng Truy cập bộ nhớ thư mục từ
xa (RDMA) và SMB qua QUIC cho các mạng không đáng tin cậy. Windows
11 giới thiệu bộ mật mã AES-256-GCM và AES-256-CCM để mã hóa SMB
3.1.1. Quản trị viên Windows có thể bắt buộc sử dụng bảo mật nâng cao hơn
26
hoặc tiếp tục sử dụng mã hóa AES-128 tương thích hơn và vẫn an toàn hơn.
10, Chặn tin nhắn máy chủ trực tiếp (SMB Direct)
SMB Direct (SMB qua truy cập bộ nhớ trực tiếp từ xa) là giao thức
lưu trữ cho phép truyền dữ liệu trực tiếp từ bộ nhớ này sang bộ nhớ khác
giữa thiết bị và bộ nhớ, với mức sử dụng CPU tối thiểu, trong khi sử dụng bộ
điều hợp mạng có khả năng RDMA tiêu chuẩn.
SMB Direct hỗ trợ mã hóa và giờ đây bạn có thể hoạt động với độ an
toàn tương tự như TCP truyền thống và hiệu suất của RDMA. Trước đây,
việc bật mã hóa SMB đã vô hiệu hóa vị trí dữ liệu trực tiếp, khiến RDMA
chậm như TCP. Giờ đây, dữ liệu đã được mã hóa trước khi bố trí, dẫn đến
giảm hiệu suất tương đối nhỏ trong khi bổ sung thêm quyền riêng tư của gói
được bảo vệ bằng AES-128 và AES-256.
27
3, Ổ cứng được mã hóa
Ổ cứng được mã hóa là loại ổ cứng tự mã hóa ở cấp độ phần cứng và
cho phép mã hóa toàn bộ phần cứng ổ đĩa trong khi vẫn minh bạch đối với
người dùng thiết bị. Các ổ đĩa này kết hợp các lợi ích về bảo mật và quản lý
do BitLocker Drive Encryption cung cấp với sức mạnh của các ổ đĩa tự mã
hóa.
Bằng cách chuyển các hoạt động mã hóa sang phần cứng, ổ cứng
được mã hóa sẽ tăng hiệu suất BitLocker và giảm mức sử dụng CPU cũng
như mức tiêu thụ điện năng. Vì ổ cứng được mã hóa sẽ mã hóa dữ liệu
nhanh chóng nên việc triển khai BitLocker có thể được mở rộng trên các
thiết bị doanh nghiệp mà không ảnh hưởng nhiều đến năng suất.
4, Mã hóa dữ liệu cá nhân (PDE)
Mã hóa dữ liệu cá nhân (PDE) hoạt động với BitLocker và Windows
Hello for Business để bảo vệ hơn nữa tài liệu của người dùng và các tệp
khác, kể cả khi thiết bị được bật và khóa. Các tệp được mã hóa tự động và
liền mạch để mang lại cho người dùng mức độ bảo mật cao hơn mà không
làm gián đoạn quy trình làm việc của họ.
Windows Hello for Business được sử dụng để bảo vệ vùng chứa các
khóa mã hóa được PDE sử dụng. Khi người dùng đăng nhập, vùng chứa sẽ
được xác thực để giải phóng các khóa trong vùng chứa nhằm giải mã nội
dung của người dùng.
5, Mã hóa Email (S/MIME)
Mã hóa email cho phép người dùng mã hóa các email gửi đi và tệp
đính kèm, do đó chỉ những người nhận dự định có ID kỹ thuật số (chứng
chỉ) mới có thể đọc chúng. Người dùng có thể ký điện tử vào tin nhắn để xác
minh danh tính của người gửi và xác nhận tin nhắn không bị giả mạo. Người
dùng có thể gửi tin nhắn được mã hóa cho những người dùng khác trong tổ
chức của họ hoặc các liên hệ bên ngoài nếu họ có chứng chỉ mã hóa phù
hợp.
28
Windows Hello for Business thay thế mật khẩu bằng xác thực hai yếu
tố mạnh mẽ trên thiết bị. Xác thực này bao gồm một loại thông tin xác thực
người dùng được gắn với thiết bị và sử dụng sinh trắc học hoặc mã PIN.
Windows Hello giải quyết các vấn đề sau về mật khẩu:
• Mật khẩu mạnh có thể khó nhớ và người dùng thường sử dụng lại mật
khẩu trên nhiều trang web.
• Vi phạm máy chủ có thể làm lộ thông tin xác thực mạng đối xứng
(mật khẩu).
• Mật khẩu có thể bị tấn công lại .
• Người dùng có thể vô tình để lộ mật khẩu của mình do các cuộc tấn
công lừa đảo.
Windows Hello cho phép người dùng xác thực:
• Một tài khoản Microsoft.
• Một tài khoản Active Directory.
• Tài khoản Microsoft Azure Active Directory (Azure AD).
• Dịch vụ nhà cung cấp danh tính hoặc Dịch vụ bên tin cậy hỗ trợ xác
thực Fast ID Online (FIDO) v2.0 .
Sau quá trình xác minh hai bước ban đầu của người dùng trong quá
trình đăng ký, Windows Hello được thiết lập trên thiết bị của người dùng và
Windows sẽ yêu cầu người dùng thiết lập một cử chỉ, có thể là sinh trắc học,
chẳng hạn như dấu vân tay hoặc mã PIN. Người dùng cung cấp cử chỉ để
xác minh danh tính của họ. Windows sau đó sử dụng Windows Hello để xác
thực người dùng.
Với tư cách là quản trị viên trong doanh nghiệp hoặc tổ chức giáo dục,
bạn có thể tạo chính sách để quản lý việc sử dụng Windows Hello for
Business trên các thiết bị chạy Windows 10 kết nối với tổ chức của bạn.
Đăng nhập sinh trắc học
Windows Hello cung cấp xác thực sinh trắc học được tích hợp đầy đủ,
đáng tin cậy dựa trên nhận dạng khuôn mặt hoặc khớp dấu vân tay.
Windows Hello sử dụng kết hợp camera hồng ngoại (IR) đặc biệt và phần
mềm để tăng độ chính xác và bảo vệ chống giả mạo. Các nhà cung cấp phần
cứng lớn đang vận chuyển các thiết bị có tích hợp camera tương thích với
29
Windows Hello. Phần cứng đầu đọc dấu vân tay có thể được sử dụng hoặc
thêm vào các thiết bị hiện không có phần cứng này. Trên các thiết bị hỗ trợ
Windows Hello, một cử chỉ sinh trắc học dễ dàng sẽ mở khóa thông tin xác
thực của người dùng.
• Nhận dạng khuôn mặt : Loại nhận dạng sinh trắc học này sử
dụng các camera đặc biệt nhìn thấy dưới ánh sáng hồng ngoại, cho phép
chúng phân biệt một cách đáng tin cậy sự khác biệt giữa một bức ảnh hoặc
bản quét và một người sống. Một số nhà cung cấp đang vận chuyển các
camera bên ngoài tích hợp công nghệ này và các nhà sản xuất máy tính xách
tay lớn cũng đang tích hợp nó vào thiết bị của họ.
• Nhận dạng vân tay : Loại nhận dạng sinh trắc học này sử dụng
cảm biến vân tay điện dung để quét dấu vân tay của bạn. Đầu đọc dấu vân
tay đã có sẵn cho máy tính Windows trong nhiều năm, nhưng thế hệ cảm
biến hiện tại đáng tin cậy hơn và ít xảy ra lỗi hơn. Hầu hết các đầu đọc dấu
vân tay hiện có đều hoạt động với Windows 10 và Windows 11, cho dù
chúng ở bên ngoài hay được tích hợp vào máy tính xách tay hay bàn phím
USB.
• Nhận dạng mống mắt : Loại nhận dạng sinh trắc học này sử dụng
máy ảnh để thực hiện quét mống mắt của bạn. HoloLens 2 là thiết bị đầu tiên
của Microsoft giới thiệu máy quét Iris. Các máy quét mống mắt này giống
nhau trên tất cả các thiết bị HoloLens 2.
Windows chỉ lưu trữ dữ liệu sinh trắc học được sử dụng để triển khai
Windows Hello một cách an toàn trên thiết bị cục bộ. Dữ liệu sinh trắc học
không được chuyển vùng và không bao giờ được gửi đến các thiết bị hoặc
máy chủ bên ngoài. Vì Windows Hello chỉ lưu trữ dữ liệu nhận dạng sinh
trắc học trên thiết bị nên không có điểm thu thập nào mà kẻ tấn công có thể
xâm phạm để đánh cắp dữ liệu sinh trắc học.
31
Hãy tưởng tượng rằng ai đó đang nhìn qua vai bạn khi bạn rút tiền từ
máy ATM và nhìn thấy mã PIN mà bạn nhập. Có mã PIN đó sẽ không giúp
họ truy cập được vào tài khoản của bạn vì họ không có thẻ ATM của bạn.
Theo cách tương tự, việc tìm hiểu mã PIN cho thiết bị của bạn không cho
phép kẻ tấn công truy cập vào tài khoản của bạn vì mã PIN cục bộ trên thiết
bị cụ thể của bạn và không kích hoạt bất kỳ loại xác thực nào từ bất kỳ thiết
bị nào khác.
Windows Hello giúp bảo vệ danh tính người dùng và thông tin xác
thực của người dùng. Vì người dùng không nhập mật khẩu (ngoại trừ trong
quá trình cung cấp), điều này giúp tránh các cuộc tấn công lừa đảo và bạo
lực. Nó cũng giúp ngăn chặn các hành vi vi phạm máy chủ vì thông tin đăng
nhập Windows Hello là một cặp khóa bất đối xứng, giúp ngăn chặn các cuộc
tấn công lặp lại khi các khóa này được TPM bảo vệ.
Cách Windows Hello for Business hoạt động: những điểm
chính
• Thông tin đăng nhập Windows Hello dựa trên chứng chỉ hoặc cặp
khóa bất đối xứng. Thông tin xác thực Windows Hello có thể được liên kết
với thiết bị và mã thông báo nhận được bằng thông tin xác thực cũng được
liên kết với thiết bị.
• Nhà cung cấp danh tính xác thực danh tính người dùng và ánh xạ khóa
chung Windows Hello tới tài khoản người dùng trong bước đăng ký. Các
nhà cung cấp ví dụ là Active Directory, Azure AD hoặc tài khoản Microsoft.
32
• Khóa có thể được tạo trong phần cứng (TPM 1.2 hoặc 2.0 cho doanh
nghiệp và TPM 2.0 cho người tiêu dùng) hoặc phần mềm, dựa trên chính
sách. Để đảm bảo rằng các khóa được tạo trong phần cứng, bạn phải đặt
chính sách.
• Xác thực là xác thực hai yếu tố với sự kết hợp của khóa hoặc chứng
chỉ được gắn với thiết bị và thông tin mà người đó biết (mã PIN) hoặc thông
tin gì đó về người đó (sinh trắc học). Cử chỉ Windows Hello không chuyển
vùng giữa các thiết bị và không được chia sẻ với máy chủ. Các mẫu sinh trắc
học được lưu trữ cục bộ trên thiết bị. Mã PIN không bao giờ được lưu trữ
hoặc chia sẻ.
• Khóa riêng không bao giờ rời khỏi thiết bị khi sử dụng TPM. Máy chủ
xác thực có khóa chung được ánh xạ tới tài khoản người dùng trong quá
trình đăng ký.
• Mục nhập mã PIN và cử chỉ sinh trắc học đều kích hoạt Windows 10
trở lên sử dụng khóa riêng tư để ký mật mã dữ liệu được gửi đến nhà cung
cấp danh tính. Nhà cung cấp danh tính xác minh danh tính của người dùng
và xác thực người dùng.
• Tài khoản cá nhân (tài khoản Microsoft) và công ty (Active Directory
hoặc Azure AD) sử dụng một vùng chứa duy nhất cho các khóa. Tất cả các
khóa được phân tách bằng miền của nhà cung cấp danh tính để giúp đảm bảo
quyền riêng tư của người dùng.
• Khóa riêng của chứng chỉ có thể được bảo vệ bằng bộ chứa Windows
Hello và cử chỉ Windows Hello.
So sánh xác thực dựa trên khóa và dựa trên chứng chỉ
Windows Hello for Business có thể sử dụng khóa (phần cứng hoặc
phần mềm) hoặc chứng chỉ trong phần cứng hoặc phần mềm. Các doanh
nghiệp có cơ sở hạ tầng khóa công khai (PKI) để cấp và quản lý chứng chỉ
người dùng cuối có thể tiếp tục sử dụng PKI kết hợp với Windows Hello for
Business. Các doanh nghiệp không sử dụng PKI hoặc muốn giảm bớt công
sức liên quan đến việc quản lý chứng chỉ người dùng có thể dựa vào thông
tin xác thực dựa trên khóa cho Windows Hello. Chức năng này vẫn sử dụng
chứng chỉ trên bộ điều khiển miền làm gốc tin cậy. Bắt đầu với Windows 10
phiên bản 21H2, có một tính năng được gọi là độ tin cậy đám mây Kerberos
dành cho triển khai kết hợp, tính năng này sử dụng Azure AD làm gốc của
độ tin cậy. cloud Kerberos Trust sử dụng thông tin xác thực dựa trên khóa
cho Windows Hello nhưng không yêu cầu chứng chỉ trên bộ điều khiển
33
miền.
Windows Hello for Business có khóa, bao gồm cả tin cậy Kerberos
trên đám mây, không hỗ trợ thông tin xác thực được cung cấp cho RDP.
RDP không hỗ trợ xác thực bằng khóa hoặc chứng chỉ tự ký. RDP với
Windows Hello for Business được hỗ trợ triển khai dựa trên chứng chỉ dưới
dạng thông tin xác thực được cung cấp. Windows Hello for Business có
thông tin xác thực chính có thể được sử dụng với Remote Credential Guard .
34
sư trong nhóm tiếp tục nhúng giá trị bảo mật vào Windows ngay từ ngày
đầu. Thông qua các biện pháp thực hành SDL, các kỹ sư của Microsoft liên
tục được cung cấp các phương pháp cập nhật và có thể thực hiện được để cải
thiện quy trình phát triển và bảo mật sản phẩm tổng thể trước khi mã được
phát hành.
3, Chương trình tiền thưởng Microsoft Windows Insider
Preview
Là một phần trong quy trình phát triển an toàn của chúng tôi, chương
trình tiền thưởng Microsoft Windows Insider Preview mời các nhà nghiên
cứu đủ điều kiện trên toàn cầu tìm và gửi các lỗ hổng tái tạo trong Kênh phát
triển Windows Insider Preview (WIP) mới nhất. Mục tiêu của chương trình
tiền thưởng Windows Insider Preview là phát hiện các lỗ hổng nghiêm trọng
có tác động trực tiếp và rõ ràng đến tính bảo mật của khách hàng sử dụng
phiên bản Windows mới nhất.
Thông qua sự hợp tác này với các nhà nghiên cứu trên toàn cầu, các
nhóm của chúng tôi xác định các lỗ hổng nghiêm trọng chưa được tìm thấy
trước đây trong quá trình phát triển và nhanh chóng khắc phục sự cố trước
khi phát hành Windows cuối cùng.
Chứng nhận
1, Chứng nhận tiêu chí chung
Tiêu chí chung (CC) là tiêu chuẩn quốc tế hiện được duy trì bởi chính
phủ các quốc gia tham gia Thỏa thuận công nhận tiêu chí chung. CC xác
định một nguyên tắc phân loại chung cho các yêu cầu chức năng an toàn, các
yêu cầu đảm bảo an toàn và phương pháp đánh giá được sử dụng để đảm bảo
các sản phẩm đang được đánh giá đáp ứng các yêu cầu về chức năng và đảm
bảo. Microsoft đảm bảo rằng các sản phẩm kết hợp các tính năng và chức
năng được yêu cầu bởi Hồ sơ bảo vệ tiêu chí chung có liên quan và hoàn
thành các chứng nhận Tiêu chí chung cho các sản phẩm Microsoft Windows.
2, Xác thực Tiêu chuẩn xử lý thông tin liên bang (FIPS) 140
Ấn bản 140 về Tiêu chuẩn Xử lý Thông tin Liên bang (FIPS) là tiêu
chuẩn của chính phủ Hoa Kỳ xác định các yêu cầu bảo mật tối thiểu cho mô-
đun mật mã trong các sản phẩm CNTT. Microsoft duy trì cam kết tích cực
35
trong việc đáp ứng các yêu cầu của tiêu chuẩn FIPS 140, có các mô-đun mật
mã được xác thực theo FIPS 140-2 kể từ khi được thành lập lần đầu tiên vào
năm 2001. Nhiều sản phẩm của Microsoft, bao gồm Windows 11, Windows
10, Windows Server và nhiều dịch vụ đám mây , hãy sử dụng các mô-đun
mật mã này.