Kẻ “gác đền” cho Windows OS New

Kẻ “gác đền” cho Windows OS New

- in Thủ thuật
42

Hãy cùng Muôn Màu theo dõi nội dung hay nhất về Kẻ “gác đền” cho Windows OS dưới đây nhé:

Đa phần các cuộc tấn công vào Windows đều bắt nguồn từ việc khai thác lỗ hổng về cách quản lý bộ nhớ của các phần mềm mà người dùng tự cài vào.

Vậy bởi thế, Microsoft ko thể để các phần mềm mà họ ko làm ra ảnh hưởng đến người dùng cũng như danh tiếng của Microsoft được.

Cũng chính thành ra nhưng mà thay vì chờ đợi các nhà phát triển phần mềm tích hợp 3̉o mật bộ nhớ vào bên trong sản phẩm thì Microsoft đã đi trước 1 bước bằng việc tạo 1 lớp 3̉o mật ở cấp độ hệ quản lý (đó ko phải là 1 phần mềm 3̉o mật mà chúng ta phải cài thêm hay có thể gỡ bỏ).

Dụng cụ bảo mật này thì có nhẽ người nào sử dụng Windows cũng đều biết rồi, nó mang tên Windows Security (hay tên cũ là Windows Defender) !

#1. Nói thêm về Windows Security

tim-hieu-ve-windows-security-1

Trước đây thì Windows Security được biết đến là 1 phần mềm diệt virus miễn phí và thường được xếp hạng thấp hơn so với các chương trình 3̉o mật thương mại khác như: Kaspersky, ESET, AVG, Symatec,…

Nhưng mà tính từ lúc lúc hệ quản lý Windows 10 hiện ra đến nay thì Windows Security dần trở thành 1 thành phần cốt lõi của hệ quản lý Windows (3̀i viết này mình đang đề cập đến Windows Defender Exploit Guard, 1 thành phần của Windows Security chỉ có trên 3̉n Windows Pro/ Enterprise).

Nói thêm 1 chút về Exploit Guard trên Windows thì nó là tập hợp những cơ chế 3̉o mật nhằm giảm thiểu khả năng người dùng Windows bị tấn công:

  1. Attack Surface Reduction Rules: Giúp chặn lại virus/ malware ngay từ lúc được gửi vào máy (chẳng hạn như các macro độc hại của bộ phần mềm Office gửi đến hộp thư Email của người dùng).
  2. Network Protection: Quét lưu lượng traffic mạng nhằm phát hiện các hoạt động gửi/ nhận data của malware.
  3. Controlled Thư mục Access: Cung cấp phát hiện và ngăn chặn việc thay đổi các file quan trọng (như file tài liệu, file word, hình ảnh, file hệ thống,…) từ virus như virus tống tiền Ransomeware chẳng hạn.
  4. Exploit Protection (EP): Thay thế cho Enhanced Mitigation Experience Toolkit (EMET) cũ, EP bổ sung thêm các biện pháp phòng chống khai thác lỗ hỗng, ví dụ đối với “chống khai thác bộ nhớ” thì có: DEP (Data Execution Prevention) và ASLR (Address Space Layout Randomization).
Xem thêm  Cách tìm nhanh các thiết bị kết nối không dây dễ rơi mất bằng smartphone

Ngoài những cải tiến về cơ chế 3̉o mật so với người tiền nhiệm EMET thì Exploit Protection còn tích hợp với GPO, việc này giúp ích rất nhiều cho quản trị viên bởi GPO là công cụ đắc lực để quản lý hệ toàn bộ hệ thống mạng Windows.

Bằng việc admin sẽ chủ động đưa ra các phương pháp xử lý lúc phát hiện malware lợi dụng lỗi “tràn bộ nhớ đệm” để thực thi mã độc, phương án xử lý được triển khai phê duyệt các “policy”.

Sau lúc cài đặt các thành phần của Exploit Protection: DEP, ASLR, SEHOP trên 1 máy tính mẫu thì admin có thể xuất (export) các cài đặt này ra file xml rồi sử dụng GPO deploy cài đặt mẫu chứa trong file xml này đến toàn bộ các máy mong muốn.

Ngoài ra, với Windows PowerShell thì admin có thể trực tiếp kết nối đến máy người dùng và điều chỉnh các cài đặt 1 cách vô cùng nhanh chóng.

#2. Các thành phần ngăn chặn Memory Exploit Mitigation (MEM)

tim-hieu-ve-windows-security-2

+) Data Execution Prevention

Đa phần các malware khai thác lỗ hổng bộ nhớ sử dụng thủ thuật chèn mã độc vào vùng RAM memory của ứng dụng thông thường.

Xem thêm  Cách kiểm tra phiên bản .NET Framework trên Windows 10

Cách tấn công này khó lần ra dấu vết bởi sau lúc khởi động lại máy thì nó sẽ biến mất.

DEP giúp giảm nguy cơ đối với loại tấn công này bằng cách giới hạn Range-of-available-memory mà malware có thể truy cập cũng như ko cho phép file thực thi (executable) hoạt động ở vùng bộ nhớ được khai 3́o chỉ-dùng-lưu-trữ-thông-tin.

Kết hợp với các CPU hỗ trợ công nghệ này, DEP đánh dấu vùng bộ nhớ lưu trữ này bằng các bit no-execute (NX) hay còn gọi là chỉ-đọc (read-only), do đó các CPU này sẽ từ chối thực thi các file trên vùng memory kia.

+) Address Space Layout Randomization

Ngoài khai thác các ứng dụng người dùng cài vào máy ra thì malware có thể tấn công vào các processes của hệ thống Windows để xác định tiến trình này chứa mã thực thi/ dữ liệu ở địa chỉ nào trên RAM memory rồi ghi đè mã thực thi độc hại vào đó.

“Heap spraying” là 1 trong những kỹ thuật tấn công thực thi mã tùy ý (Arbitrarily execute code) phổ biến lúc ASLR chưa phát triển.

ASLR giúp hệ quản lý Windows tránh khỏi dạng tấn công này bằng cách randomize (ngẫu nhiên hóa) địa chỉ memory (nơi mà dữ liệu/ mã thực thi) của các thành phần hệ thống Windows đang sử dụng.

+) Structured Exception Handling Overwrite Protection

SEHOP của Windows giúp ngăn malware tấn công vào SEH (Structured Exception Handling), 1 thành phần của hệ thống bảo mật có trách nhiệm xử lý các exception (ngoại lệ) từ phần cứng đến phần mềm của máy.

Các 3̣n lưu ý là lúc bật SEHOP thì một số ứng dụng ko tương thích sẽ bị hiện tượng crash !

#3. Lời kết

3̀i viết này tuy mang nặng kiến thức cho các admin (quản trị viên) hệ thống mạng Windows, nhưng mà các 3̣n cũng phải thấy rằng các “bộ óc đầy sạn” của Microsoft đang nỗ lực nâng tầm 3̉o mật của Windows qua từng phiên 3̉n.

(Windows bị tấn công nhiều nhất là do số lượng người dùng quá lớn đi kèm với 1 số lượng ứng dụng/ ứng dụng khổng lồ, cộng với các thành phần bổ trợ đa dạng).

Microsoft cảnh 3́o rằng chỉ những Administrator am hiểu về các malware tấn công bộ nhớ mới tự điều chỉnh các cài đặt về “Exploit Protection” của Windows Defender Exploit Guard, bắt buộc phải thử nghiệm trong môi trường test trước lúc triển khai rộng rãi trong mạng doanh nghiệp, tránh gây “crash” các ứng dụng quan trọng của hệ thống.

Xem thêm  Cách sử dụng dịch vụ chuyển ảnh từ iCloud Photos sang Google Photos của Apple

Các 3̣n cũng phải tỉnh táo lúc một số 3̀i viết khuyên nên tắt các tính năng này để game hoặc sử dụng các ứng dụng ko bị crash, lỗi ko tương thích các thứ… Đây nên là phương án cuối cùng vì nó sẽ rất nguy hiểm trong thời buổi nhưng mà malware, virus tống tiền nhan nhản như ngày nay.

Cách tốt nhất để vẫn chạy được game và app cũ mà vẫn đảm 3̉o tính 3̉o mật cho máy tính ngày nay của 3̣n đó là dùng máy tính ảo hoặc thuê hẳn VPS Windows rồi remote vào, xài thoải mái ko lo có ngày bị mã hóa file kèm tống tiến bitcoin nha các 3̣n !

CTV: Dương Minh Thắng – Blogchiasekienthuc.com
Edit by Kiên Nguyễn

Bài viết đạt: 5/5 sao – (Có 1 lượt bình chọn)

Note: Bài viết này có lợi với bạn chứ? Đừng quên bình chọn bài viết, like và san sẻ cho bạn hữu và người nhà của bạn nhé !

Nguon: Thuthuatmaytinh.com

Trên đây là nội dung về Kẻ “gác đền” cho Windows OS được nhiều bạn đọc kiếm tìm ngày nay. Chúc quý bạn đọc thu được nhiều tri thức quý báu qua bài viết này!

You may also like

Cách quản lý thông báo trên Windows 11 hiệu quả

Hãy cùng Muôn Màu theo dõi nội dung