Please enable JavaScript to access this page.

Wednesday, February 4, 2009

Khám phá về IE 7 và Integrity Level (các mức toàn vẹn)

Trong bài này chúng tôi sẽ thảo luận với các bạn về cách Internet Explorer 7 trong Windows Vista bảo vệ bạn như thế nào với Protected Mode, cách làm việc với User Account Control và các mức toàn vẹn mà nó cung cấp để bảo vệ bạn trong quá trình truy cập Internet.
Giới thiệu
Khi bạn đang duyệt Internet, máy tính của bạn sẽ bị phơi bày trước nhiều kẻ tấn công, nhiều chương trình nguy hiểm, malware, adware, viruses, và các website gây chết người. Một số trong các bạn sẽ cảm thấy rằng nếu có một tường lửa tốt được cài đặt trên máy tính cá nhân của mình, sự bảo mật được thiết lập trên máy tính Windows XP SP2, bảo mật IE được cấu hình với những khả năng có thể hoặc bạn không truy cập vào các trang độc hại thì sẽ là an toàn cho bạn.
Tuy nhiên, các tấn công mã độc luôn thay đổi một cách tinh vi hơn hàng ngày và đại đa số các cách bảo vệ này đều là không đủ. Mặc dù nhiều bạn đang đọc bài này không sử dụng Windows Vista nhưng chúng tôi khuyên các bạn nên đọc để xem Vista cung cấp những gì hơn so với Windows XP về góc độ bảo mật trong Internet. Nếu bạn đã từng gặp phải trường hợp máy tính của mình bị nhiễm virus, bị tấn công bởi malware hoặc nhận một add on mà không có sự đồng ý của bạn thông qua Internet… Windows Vista có thể giúp bạn giải quyết một cách dễ dàng với các vấn đề đó. Trong bài này chúng tôi sẽ thảo luận với các bạn về cách Internet Explorer 7 trong Windows Vista bảo vệ bạn như thế nào với Protected Mode, cách làm việc với User Account Control và các mức toàn vẹn mà nó cung cấp để bảo vệ bạn trong quá trình truy cập Internet.
Lợi ích của User Account Control (UAC)
Chúng tôi đã giới thiệu nhiều bài về UAC nhưng có lẽ chừng đó vẫn chưa đủ về những gì mà nó cung cấp cho bạn, sau đây chúng ta hãy xem xét một ví dụ.
Khi một quản trị viên đăng nhập vào máy trạm của họ với đặc quyền tài khoản người dùng thuộc nhóm quản trị viên, khi đó tất cả các nhiệm vụ đều được thực hiện với các đặc quyền quản trị viên. Điều đó cũng có nghĩa rằng “bất kỳ” ứng dụng nào hoặc tất cả các vấn đê duyệt Internet đều được thực hiện với đặc quyền quản trị viên. Ngay khi người dùng đăng nhập vào máy tính Vista, nơi UAC đã được kích hoạt thì toàn bộ kịch bản này thay đổi. Khi UAC được kích hoạt, người dùng (đã đăng nhập bằng một tài khoản nằm trong nhóm quản trị viên) là một người dùng chuẩn với tất cả các nhiệm vụ đã được khởi tạo. Điều này có nghĩa rằng bất cứ phần mềm mã độc nào cũng chỉ có đặc quyền truy cập của một người dùng chuẩn … một khả năng rất hạn chế.
Đây là một khái niệm trung thực nhất với LUA (least privilege user access- tạm dịch là sự truy cập với đặc quyền tối thiểu) mà chúng tôi đã giới thiệu trong một số bài trước đây. (5 lý do bảo mật để sử dụng Windows Vista)
UAC thực hiện được vấn đề này bằng cách thay đổi sự thẩm định người dùng và các thẻ xử lý không gồm có nhóm quản trị viên. Bạn có thể thấy rõ sự hạn chế nếu xem thẻ xử lý với người dùng được đăng nhập vào máy tính Vista trong khi đang chạy hệ thống với tư cách một người dùng nằm trong nhóm quản trị viên.
Để thấy được điều đó, bạn hãy đăng nhập vào máy tính Vista với đặc quyền Administrator, sau đó kích nút Start| All Programs | Accessories | Command Prompt. Sau khi thực hiện thao tác này, Windows sẽ khởi chạy Process Explorer và tìm kiếm cmd.exe như thể hiện trong hình 1 bên dưới.

Hình 1: Process Explorer thể hiện tất cả các quá trình đang chạy
Lúc này, bạn hãy kích đúp vào quá trình cmd.exe để hiển thị trang thuộc tính, sau đó chọn tab Security, xem thể hiện trong hình 2.

Hình 2: Trang thuộc tính của cmd.exe có tab Security để hiển thị sự bảo mật của quá trình
Hình 2 thể hiện rằng nhóm Administrators có trạng thái cờ là “Deny”, điều đó để giảm các đặc quyền cho người dùng.
Protected Mode của IE7
IE 7 có một tính năng mới có thể được kích hoạt và vô hiệu hóa, tính năng này được gọi là Protected Mode. Protected Mode không phải là một công nghệ độc lập mà đúng hơn nó gồm có nhiều công nghệ được gói gọn trong một thuật ngữ Protected Mode. Hai công nghệ quan trọng nhất trong Protected Mode là UAC và Integrity Levels.
Chúng ta đã xem xét về UAC và sẽ khảo sát tỉ mỉ hơn về các mức toàn vẹn trong phần dưới. Lúc anyf, hãy xem xét cách kích hoạt Protected Mode và nơi nó đang làm việc ở đâu.
Để kích hoạt Protected Mode trong IE, bạn hãy vào Tools, sau đó chọn Internet Options. Khi nằm trong cửa sổ Internet Options, hãy kích tab Security, xem thể hiện trong hình 3.

Hình 3: Tab Security để cấu hình Internet Options
Mặc định tất cả các vùng của bạn sẽ được cấu hình để chạy trong chế độ Protected Mode, ngoại trừ vùng Trusted Sites. Bạn có thể thay đổi tất cả các thiết lập mặc định theo những gì mong muốn.
Khi đã kích hoạt Protected Mode, bạn có thể thấy được nó dưới dạng action trên mỗi site mà bạn ghé thăm. Ở dưới mỗi trang bạn sẽ thấy trạng thái của Protected Mode là On hoặc Off. Hình 4 minh chứng một site nơi Protected Mode đã được kích hoạt.

Hình 4: Protected Mode được hiển thị ở phần dưới của mỗi một website bạn ghé thăm
Xem xét các mức toàn vẹn
Khái niệm các mức toàn vẹn đến từ một ý tưởng có nhiều vùng khác nhau của bộ nhớ hệ điều hành máy tính mang tính truy cập và tính điều khiển. Trước đây, tất cả các ứng dụng, kể cả IE và các ứng dụng web đều chạy trong các vùng nhớ giống nhau. Điều này đã cho phép các ứng dụng mã độc có thể lợi dụng mức đặc quyền của người dùng (quản trị viên) và truy cập vào các ứng dụng đang chạy trong bộ nhớ. Điều đó rất nguy hiểm khi truy cập Internet, tuy nhiên hiện trong IE trong Windows Vista đã đóng được các lỗ hở đó.
Các mức toàn vẹn là sự kết hợp khái niệm UAC với các tính năng trong IE 7. IE 7 hiện có thể tự cách ly với các ứng dụng khác đang chạy trên máy tính. Cách thức này đã hạn chế được những gì các ứng dụng và chương trình mã độc, các add-on có thể truy cập thông qua Internet Explorer. Có thể thực hiện bên trong Windows Vista thông qua các mức toàn vẹn khác nhau. IE 7 chạy ở mức đặc quyền “Low”, điều đó có nghĩa rằng nó chỉ có thể truyền thông với các ứng dụng khác đang chạy ở mức “Low”. Hầu hết các ứng dụng đều chạy ở mức toàn vẹn “Medium”, đó cũng là ngưỡng cho sự cách ly xuất hiện. Khi các ứng dụng mà mã độc muốn truyền thông với đang chạy ở mức cao hơn (Medium) thì sự truyền thông sẽ thất bại (hay nói đúng hơn là  không được cho phép). Bạn có thể thấy rõ các mức này bằng cách sử dụng Process Monitor khi IE đang chạy. Hình 5 minh chứng iexplorer.exe khi được quan sát bằng Process Monitor.

Hình 5: IE 7 đang chạy ở mức toàn vẹn Low
Windows Vista và IE 7 cung cấp một môi trường an toàn hơn. Hình 6 thể hiện quá trình Firefox và mức toàn vẹn bên trong Process Monitor.

Hình 6: Firefox đang chạy ở mức toàn vẹn Medium
Điều này làm cho IE7 trở nên an toàn hơn và bảo vệ được toàn bộ máy tính tốt hơn nếu không chạy IE 7 trên Vista.
Kết luận
Windows Vista và IE 7 giới thiệu một số tính năng bảo mật cao. Trước tiên phải kể đến dó là UAC, đây là một tính năng bảo mật có thể được nâng quyền giúp bảo vệ máy tính và người dùng tránh được các ứng dụng và các chương trình mã độc truy cập vào máy tính với quyền quản trị viên. IE 7 mang đến một danh sách các tính năng bảo mật cao, phải kể đến trong đó là: Protected Mode và các mức toàn vẹn (Integrity Levels). Protected Mode có thể được cấu hình cho tất cả các vùng bên trong IE, theo sự thận trọng của bạn. Bạn cũng có thể điều chỉnh Protected Mode ở chế độ On hoặc Off khi xem mỗi website. Bên cạnh đó với IE7 còn có các mức toàn vẹn (Integrity Levels). Các mức này có thể cách ly IE với tất cả các ứng dụng đang chạy trên máy tính. Sự cách ly này sẽ làm cho các chương trình mã độc không thể truyền thông với hệ điều hành và các ứng dụng khách đang chạy trên máy tính.
Văn Linh (Theo WindowSecurity)

No comments:

Post a Comment