bảo mật win 7 + bổ sung + check pass sđt + check pass 2

Windows 7 là hệ điều hành máy khách cho các máy tính desktop mới nhất của Microsoft, nó được xây dựng dựa trên những điểm mạnh và sự khắc phục những điểm yếu có trong các hệ điều hành tiền nhiệm, Windows XP và Windows Vista. Mọi khía cạnh của hệ điều hành như, cách chạy các dịch vụ và cách load các ứng dụng sẽ như thế nào, đã làm cho hệ điều hành này trở nên an toàn hơn bao giờ hết. Tất cả các dịch vụ đều được nâng cao và có nhiều tùy chọn bảo mật mới đáng tin cậy hơn. Tuy nhiên những cải tiến cơ bản đối với hệ thống và các dịch vụ mới, Windows 7 còn cung cấp nhiều chức năng bảo mật tốt hơn, nâng cao khả năng thẩm định cũng như các tính năng kiểm tra, khả năng mã hóa các kết nối từ xa và dữ liệu, hệ điều hành này cũng có nhiều cải tiến cho việc bảo vệ các thành phần bên trong, bảo đảm sự an toàn cho hệ thống chẳng hạn như Kernel Patch Protection, Service Hardening, Data Execution Prevention, Address Space Layout Randomization và Mandatory Integrity Levels.
Có thể nói Windows 7 được thiết kế an toàn hơn. Thứ nhất, nó được phát triển trên cơ sở Security Development Lifecycle (SDL) của Microsoft. Thứ hai là được xây dựng để hỗ trợ cho các yêu cầu tiêu chuẩn chung để có được chứng chỉ Evaluation Assurance Level (EAL) 4, đáp ứng tiêu chuẩn xử lý thông tin Federal Information Processing Standard (FIPS) #140-2. Khi được sử dụng như một hệ điều hành độc lập, Windows 7 sẽ bảo vệ tốt người dùng cá nhân. Nó có nhiều công cụ bảo mật hữu dụng bên trong, tuy nhiên chỉ khi được sử dụng với Windows Server 2008 (R2) và Active Directory, thì sự bảo vệ sẽ đạt hiệu quả cao hơn. Bằng việc nâng mức độ bảo mật từ các công cụ như Group Policy, người dùng có thể kiểm soát mọi khía cạnh bảo mật cho desktop. Nếu được sử dụng cho cá nhân hoặc văn phòng nhỏ hệ điều hành này vẫn tỏ ra khá an toàn trong việc ngăn chặn nhiều phương pháp tấn công và có thể được khôi phục một cách nhanh chóng trong trường hợp gặp phải thảm họa, vì vậy mặc dù sẽ có nhiều ưu điểm hơn nếu có Windows 2008 nhưng điều này là không nhất thiết phải có để có được mức bảo mật cao cho Windows 7.
Tuy nhiên dù có thể cho rằng Windows 7 về bản thân nó là một hệ điều hành an toàn nhưng điều đó không có nghĩa rằng bạn chỉ dựa vào các cấu hình mặc định mà quên đi việc thực hiện một số điều chỉnh để gia cố thêm khả năng bảo mật của mình. Cần phải biết rằng bạn chính là đối tượng tấn công của một số dạng malware hay các tấn công trên Internet khi máy tính của bạn được sử dụng trong các mạng công cộng. Cần biết rằng nếu máy tính được sử dụng để truy cập Internet nơi công công thì hệ thống của bạn và mạng mà nó kết nối đến sẽ là miếng mồi ngon cho những kẻ tấn công.
Trong bài này chúng tôi sẽ giới thiệu cho các bạn một số kiến thức cơ bản cần thiết để bảo mật Windows 7 được đúng cách, giúp bạn đạt được mức bảo mật cơ bản, xem xét một số cấu hình bảo mật nâng cao cũng như đi khám phá một số chức năng bảo mật ít được biết đến hơn trong Windows nhằm ngăn chặn và bảo vệ chống lại các tấn công có thể. Giới thiệu một số cách bảo đảm an toàn dữ liệu, thực hiện backup và chạy một cách nhanh chóng nếu bạn gặp phải một số tấn công hoặc bị trục trặc hệ thống ở mức độ thảm khốc ngoài khả năng xử lý của mình. Tiếp đó là một số khái niệm bảo mật, cách “làm vững chắc” Windows 7, cách cài đặt và cung cấp bảo mật cho các ứng dụng đang chạy, cách quản lý bảo mật trên một hệ thống Windows 7 và ngăn chặn các vấn đề gây ra bởi malware.
Bài viết cũng giới thiệu cho quá trình bảo vệ dữ liệu, các tính năng backup và khôi phục hệ điều hành, cách khôi phục hệ điều hành trở về trạng thái hoạt động trước đó, một số cách bảo vệ dữ liệu và trạng thái hệ thống nếu thảm họa xảy ra. Chúng tôi cũng giới thiệu một số chiến lược để thực hiện nhanh chóng các công việc đó. Các chủ đề được giới thiệu trong bài cũng gồm có cách làm việc an toàn trong khi online, cách cấu hình điều khiển sinh trắc học để kiểm soát truy cập nâng cao, cách và thời điểm được sử dụng với Windows Server 2008 (và Active Directory) như thế nào, cách bạn có thể tích hợp một cách an toàn các tùy chọn cho việc kiểm soát, quản lý và kiểm tra. Mục tiêu của bài viết này là để giới thiệu cho các bạn các tính năng bảo mật của Windows 7, những nâng cao và ứng dụng của chúng cũng như cung cấp cho bạn những kiến thức về việc lên kế hoạch, sử dụng đúng các tính năng bảo mật này. Các khái niệm mà chúng tôi giới thiệu sẽ được chia nhỏ và được tổ chức theo phương pháp khối.
Lưu ý: Nếu làm việc trong công ty hoặc môi trường chuyên nghiệp khác, các bạn không nên thực hiện các điều chỉnh với máy tính của công ty. Hãy thực hiện theo đúng kế hoạch (hay chính sách) bảo mật đã được ban bố, cũng như những hành động, nguyên lý và hướng dẫn tốt nhất đã được công bố trong tổ chức. Nếu chưa quen với các chủ đề bảo mật và các sản phẩm của Microsoft, hãy đọc tài liệu hướng dẫn của sản phẩm trước khi áp dụng bất cứ thay đổi nào cho hệ thống.
Những vấn đề bảo mật cơ bản
Trước khi đi sâu vào các chi tiết của Windows 7, chúng tôi muốn giới thiệu cho các bạn một số khái niệm cơ bản về vấn đề bảo mật và cách lập kế hoạch cho các ứng dụng của nó. Tiếp đó bạn cũng cần biết tại sao việc kiểm tra để duy trì bảo mật lại quan trọng đến vậy và cách kiểm tra chính xác các dịch vụ bảo mật để tìm ra vấn đề. Quan trọng nữa chúng ta cũng cần biết cách kiểm tra và khám phá xem liệu mình có để mở cửa cho các tấn công dễ dàng hoành hành không. Bảo mật không phải là thứ bạn có thể lập kế hoạch một cách tùy tiện và sau đó nhanh chóng đưa vào áp dụng. Nó là một khái niệm cần phải được áp dụng cho mỗi khía cạnh kỹ thuật trong triển khai cũng như trong thực hành. Nó cũng là một thứ cần phải được cân nhắc suy xét cẩn thận trước khi triển khai và sau đó được kiểm tra và quản lý sau khi áp dụng. Yêu cầu bạn phải tiến hành phân tích để có những điều chỉnh thích hợp với kiến trúc bảo mật hiện hành, cũng như khám phá ra các tấn công tiềm ẩn. Hầu hết, cần phải được test bởi một chương trình mã độc hoặc một kẻ tấn công nào đó để tìm sự truy cập trong quá trình này; sau đó bạn có thể đi tiên phong trong việc bảo vệ được mình nếu thấy các cố gắng và hành động nào đó xâm hại. Hãy tiến hành ghi chép và sau đó thẩm định, bạn sẽ tìm ra nhiều thông tin thú vị về những gì đang truy vấn các nhắc nhở đăng nhập router của mình, các cố gắng đăng nhập tài khoản quản trị viên,…
Các bản ghi và các cảnh báo rất hữu dụng vì, khi có vấn đề gì đó xảy ra bạn có thể phản ứng nhanh chóng và chính xác thông qua việc phân tích các địa chỉ IP nguồn, hoặc các cố gắng đăng nhập bị bắt bằng cách thẩm định. Việc đáp trả lại một tấn công với một kế hoạch chi tiết được gọi là hành động “đáp trả vụ việc” (incident response). Việc chuẩn bị sẽ là chiếc chìa khóa chính cho hành động “đáp trả vụ việc”, vì vậy có được một kế hoạch tiên phong và kế hoạch phản ứng là điều quan trọng cần phải có trước khi thảm họa xảy ra. Kế hoạch khôi phục thảm họa Disaster Recovery Plan (đôi khi được sử dụng kết hợp với kế hoạch tiếp tục công việc, BCP), sẽ gồm có một chiến lược khôi phục từ các vụ việc. Một số đơn vị CNTT cũng có các chuyên gia IT dành riêng cho nhóm đáp trả vụ việc, đây là nhóm sẽ chịu trách nhiệm theo kế hoạch đã đặt ra để khắc phục và giải quyết các vấn đề quan trọng có thể gây ra sự ngừng làm việc của hệ thống ở mức độ đáng kể, hoặc tồi tệ hơn là mất dữ liệu, các tấn công mạng và hệ thống,…
Với những người dùng gia đình và các hệ thống độc lập, bạn cần phải tuân theo một chiếc lược như vậy nhưng ở mức đơn giản hóa. Do vẫn cần bảo vệ mọi thứ, cần phải phản ứng với thảm họa, vì vậy một kế hoạch tốt được tạo trước cho việc khắc phục thảm họa sẽ làm một hướng đi đúng đắn cho bạn. Một ví dụ điển hình cho một kế hoạch đơn giản như vậy sẽ là, nếu hệ thống của bạn bị tiêm nhiễm malware (chẳng hạn một Trojan), rất có thể bạn sẽ phải cài đặt lại hệ điều hành nếu tất cả các cố gắng khôi phục và sửa chữa gặp thất bại. Nếu rơi phải trường hợp này, bạn cần gán cho các thành viên trong nhóm, các bước chi tiết và các thủ tục đã được chuẩn bị trước cho thảm họa để có thể phản ứng một cách chính xác và một quá trình test để bảo đảm rằng mọi thứ được thực hiện đúng sau khi khôi phục diễn ra. Việc có thể truy cập, hoặc có một copy các file cài đặt hoặc bất cứ chương trình và ứng dụng nào khác trong tay lúc này sẽ giúp bạn tiết kiệm được thời gian khắc phục sự cố, và nếu thiết lập đúng, nó có thể chỉ ra cho bạn hướng đi đúng mà bạn cần thực hiện.
Lưu ý: Để giúp bạn lên kế hoạch và biết thêm về vấn đề bảo mật, bạn có thể tìm kiếm các danh sách kiểm tra và các kế hoạch trong phần các liên kết tham chiếu của bài viết này.
Cũng nên xem lại các kế hoạch của mình một cách thường xuyên, đặc biệt sau khi một vấn đề nghiêm trọng nào đó đã xảy ra và có các mục hành động bổ sung nếu cần. Khi đã có kế hoạch phù hợp, bạn cần xem xét đến việc xây dựng trên nền tảng với nhiều chức năng và dịch vụ.
Mẹo: Bảo mật cần phải được xem xét và được áp dụng cho các hệ thống hoặc dịch vụ nào được sử dụng để có thể giảm nhẹ các rủi ro có liên quan trong khi đang làm việc. Và nếu bảo mật được áp dụng theo cách để có thể ngăn chặn trước một tấn công hoặc một thảm họa, thì những gì mà bạn phải bỏ ra sẽ ít tốn kém hơn rất nhiều. Bảo mật, thậm chí ở mức cơ bản nhất của nó cũng cần phải được áp dụng để giữ được dữ liệu cá nhân một cách an toàn nhưng vẫn phải đảm bảo sao cho nếu cần cài đặt lại hoàn toàn Windows từ đống đổ nát thì bạn vẫn có thể sử dụng lại dữ liệu của mình và có thể truy cập và sử dụng dữ liệu này. Bảo mật không thể bị bỏ qua.
Cũng nên xem xét đến việc triển khai bảo mật ở cả tính khái niệm và tính kỹ thuật bằng cách sử dụng khái niệm bảo mật phòng vệ có chiều sâu (Defense in Depth). Bảo mật cần phải được xem xét và được áp dụng cho tất cả các hệ thống, dịch vụ, ứng dụng và thiết bị mạng, cần phải giữ cho hệ thống của bạn luôn hoạt động và kết nối với Internet. Các chính sách được ban bố và các kế hoạch đã được phát triển sẽ giúp người dùng có được năng suất cao trong sử dụng các hệ thống, bên cạnh đó là các hiểu biết chung về việc sử dụng các chính sách. Liên tục bảo dưỡng sẽ làm cho khoản đầu tư của bạn tăng lên. Nhưng để ngăn chặn các lỗ hổng trong kiến trúc bảo mật, bạn phải xem xét đến việc lập kế hoạch và áp dụng model bảo mật có sử dụng khái niệm ‘Defense in Depth’. Hình 1 thể hiện ứng dụng của ‘Defense in Depth’ ở mức đơn giản nhất, bạn có thể bổ sung thêm các lớp khác, điều này tùy thuộc việc gia đình hoặc mạng công ty của bạn được thiết lập như thế nào.

Hình 1: Xem cách Defense in Depth được tập trung và được triển khai như thế nào
Defense in Depth như những gì các bạn thấy, có thể được tùy chỉnh sao cho phù hợp với các nhu cầu của bạn. Trong ví dụ này, chính sách bảo mật là cung cấp hướng bảo mật và sự truyền thông cho người dùng trong hệ thống và mạng. Thêm vào đó, cần được xem xét đến việc làm vững chắc các hệ thống, điện thoại, desktop, dịch vụ, ứng dụng, máy chủ, router, switch và PBX của bạn,.. tất cả, để bảo đảm rằng tất cả các lối vào đều được che chắn kỹ. Rõ ràng vẫn cần có một số hình thức bảo vệ Internet công cộng (chẳng hạn như tường lửa) trong quá trình sử dụng, tuy nhiên luôn phải mở rộng vấn đề này và bổ sung thêm các mục khác chẳng hạn như các bộ thăm dò, lọc, quét để có được nhiều sự hỗ trợ tinh vi hơn. Ngoài ra bạn cũng cần có cách kiểm tra và ghi lại tất cả các thông tin này nhằm mục đích cho việc đánh giá và xem lại nếu cần.
Windows 7 được thiết kế để có thể tích hợp vào được sử dụng trong bất cứ môi trường nào tuân theo mức bảo mật cao, chẳng hạn như chính phủ Mỹ và quân đội Mỹ. Khi xem xét đến các nguyên lý bảo mật cơ bản của Windows, bạn cần nhớ rằng bất cứ hệ thống mức doanh nghiệp nào cũng phải được cấp chứng chỉ ở mức bảo mật C2 từ sổ vàng. Microsoft Windows cũng cần tuân theo chứng chỉ tiêu chuẩn chung. Để có thêm thông tin về các chủ đề này, bạn có thể tìm các bài biết khác và các thông tin khác ở phía cuối trong phần các liên kết tham chiếu. Windows 7 khá linh hoạt, với nhiều tùy chọn cho phép cấu hình một hệ thống với chức năng hoàn tất (bảo mật tối thiểu), hoặc một cấu hình ở mức hoạt động cơ bản, chỉ có các hoạt động mà bạn cấu hình cho phép sử dụng (bảo mật tối đa). Với Windows 2008 và Windows 7, chức năng bảo mật sẽ tăng gấp mười lần khi được sử dụng cùng nhau đúng cách.
Lưu ý: Cần phải nhớ rằng từ chối một vấn đề (hoặc một vấn đề tiềm tàng) không phải một tùy chọn. Các vấn đề trước đây có thể được sử dụng sau này, hoặc bỏ qua một cách hoàn toàn. Sự lười biếng chỉ khiến bạn tốn kém nhiều thời gian. Mặc dù vậy bảo mật tối nghĩa lại không phải là bảo mật. Sự không tuân thủ theo một quy tắc chặt chẽ chỉ sẽ gây ra nhiều vấn đề sau này. Một triển khai bảo mật xuyên suốt trên các máy tính gia đình hoặc bên trong một doanh nghiệp (cả hai đề quan trọng) sẽ ngăn chặn được hiện tượng dò dỉ và các tấn công, cung cấp bảo mật đa lớp nhằm giúp cho hiện trạng bảo mật của bạn an toàn ở mức cao, tuy nhiên không phải là sẽ tránh hết được chúng. Bạn cần phải biết các kiến thức nền tảng về bảo mật, cách chuẩn bị trước và chống chọi với các tấn công như thế nào nếu muốn được an toàn.
Cho đến đây các bạn đã làm quen với một số khái niệm bảo mật cơ bản, chúng ta hãy đi xem xét những gì chúng tôi đã nghiên cứu được trong quá trình cấu hình các thiết lập bảo mật của Windows 7. Cần đứng trên quan điểm xem xét cách chúng ta đạt được kiến thức bắt đầu từ lý do tại sao chúng ta muốn áp dụng bảo mật, khi nào cần áp dụng nó, cũng như các lý do cho việc quản lý, kiểm tra và nâng cấp nó, tất cả những gì chúng ta cần thực hiện là đào sau hơn vào các khái niệm bảo mật đó trong khi cấu hình một thống Windows 7 cơ bản. Vấn đề này sẽ được thực hiện khá dễ dàng nếu bạn biết những gì bạn muốn thực hiện. Nếu một người dùng Windows mới hoặc những người rất khó khăn trong việc thích nghi với hệ điều hành mới này (có lẽ bạn đã bỏ qua Vista) thì chắc chắn bạn sẽ cần phải bỏ ra nhiều thời gian để tìm hiểu các công cụ và nghiên cứu chúng trên các website trực tuyến để có được hiểu biết sâu hơn. Cho ví dụ, bạn có thể tìm thấy nhiều template và checklist trực tuyến từ Microsoft.com, đây là những thứ sẽ cung cấp cho bạn khả năng áp dụng từng bước các vấn đề bảo mật trên các hệ thống Windows. Bạn cũng có thể tìm thấy các công cụ hữu dụng trong phần các liên kết tham chiếu ở phía cuối bài này.
Các Template không phải lúc nào cũng là câu trả lời, đôi khi nó có thể gây ra những hậu quả không mong muốn nếu không được sử dụng đúng cách (hoặc cấu hình đúng cách), cần luôn luôn quan sát các lưu ý – thậm chí download trực tiếp từ Microsoft.com. Một điều quan trọng nữa mà bạn cần phải thực hiện là luôn phải đọc các tài liệu đi kèm với template để có thể sử dụng đúng nó. Cũng cần phải nhấn mạnh thêm rằng, không có nền tảng cơ bản cho bản thân một hệ điều hành nào, hay các nguyên lý cơ bản mà hệ điều hành đó hoạt động, bạn cũng sẽ không thể duy trì mức bảo mật cao trong một thời gian dài. Những hiểu biết về hệ điều hành lõi và các dịch của nó cũng rất cần thiết nếu bạn muốn duy trì được tình trạng bảo mật mức cao, thậm chí sau khi đã cấu hình bảo mật trên hệ thống cơ bản của mình được đúng cách. Việc ghi chép của Event Viewer là cực kỳ hữu dụng, vì bạn có thể cấu hình hành động thẩm định (ví dụ) và nhận các thông tin chi tiết về những gì đang diễn ra bên trong các hệ thống của mình. Hầu hết (không phải là tất cả) các bản ghi đều mang bản tính khó hiểu và diễn giải các vấn đề dưới các thuật ngữ cơ bản nhất hoặc với tập các ngôn ngữ máy. Bạn sẽ cần online để tháo gỡ những vướng mắc của mình, đây là cách làm sẽ giúp bạn thực hiện công việc của mình được dễ dàng hơn. Và bạn sẽ thấy có rất nhiều thứ mình chưa biết và sẽ tìm thấy rất nhiều công cụ muốn bổ sung thêm vào bộ kit của mình cho các triển khai trong tương lai khi đã được test cẩn thận.
Cũng cần có một mức linh hoạt nào đó khi áp dụng bảo mật, một mức nào đó cho phép bạn có đạt được các mục tiêu và yêu cầu cần thiết cho doanh nghiệp (chẳng hạn như việc truy cập Internet) mà không xảy ra vấn đề gì, trong khi đó vẫn duy trì được mức bảo mật cao cần thiết. Một ví dụ tuyệt vời là công cụ User Account Control (UAC), đây là một công cụ khi được điều chỉnh, có thể cung cấp mức bảo mật cao, hoặc có thể tắt đi hoàn toàn. Bạn sẽ phải khởi động lại hệ thống của mình nếu tắt UAC.

Hình 2: Điều chỉnh Level of Security bằng cách điều chỉnh các thiết lập UAC
UAC được sử dụng để ngăn chặn không cho các chương trình và các ứng dụng thực hiện sự thay đổi với hệ điều hành của bạn. Nó làm việc bằng cách hạn chế sự truy cập bên trong lõi hệ điều hành, sau đó cung cấp các thông tin chi tiết đến người dùng về các chương trình đang cố gắng cài đặt hoặc can thiệp sâu vào cấu hình hệ điều hành. Đây là một công cụ hết sức hữu dụng, nó cho bạn có được cơ hội thẩm định chương trình gì đang làm việc và có thể can thiệp vào nếu đó là thứ bạn không muốn. UAC đã được giới thiệu từ thời Windows Vista, tuy nhiên do trong Vista người dùng không thể tắt tiện ích này nên nó dường như là một nỗi bực mình cho hầu hết. Trong Vista, UAC cũng làm bực dọc cho người dùng bởi họ dường như không thể tìm cách nào để giải quyết những vấn đề đó. Các chuyên gia phát triển Windows cũng gặp rất nhiều vấn đề rắc rối trong quá trình viết mã vì những hạn chế của UAC và một số vấn đề có liên quan nhưng cần thiết. Giờ đây, với Windows 7, UAC có thể tắt hoàn toàn, đây là cấu hình bảo mật mức không an toàn, tuy nhiên nó cung cấp cho người dùng sự linh hoạt và có thêm một sự lựa chọn.
Lưu ý: Cần bảo vệ cho hệ thống của bạn được an toàn, không nên tắt hoàn toàn UAC hoặc nếu tắt đi vì một lý do nào đó thì bạn cần bật nó nên ngay tức khắc.
________________________________________
Cài đặt và “làm vững chắc” Windows 7
Có thể nói Windows 7 là một thiết kế an toàn. Khi triển khai nó, bạn nên thực hiện một cài đặt fresh trên máy tính mới mua, cần có được cấu hình phần cứng đạt yêu cầu và sau đó “làm vững chắc” cho nó. Việc “làm vững chắc” hệ thống là một quá trình làm tăng mức bảo mật cho một máy tính mới được cài đặt bằng cách cấu hình các thiết lập bảo mật cần thiết, bỏ đi những phần mềm không cần thiết và thực hiện điều chỉnh một số thiết lập chính sách nâng cao.
Lưu ý: Bạn cần tạo một kế hoạch khi lựa chọn phần cứng cho Windows 7, vì nếu muốn sử dụng ảo hóa, hay tính năng Windows Trusted Platform Module (TPM) Management cũng như các tính năng khác chẳng hạn như BitLocker thì bạn cần phải mua đúng phần cứng mà nó hỗ trợ các tính năng này.
Khi hệ điều hành của bạn được cài đặt đúng cách và đã được cấu hình cơ bản, đây là lúc có thể thực hiện quá trình “làm vững chắc”. Liệu có cần phải có một cài đặt Windows mới hay có thể “làm vững chắc” một hệ thống đã được đưa vào sử dụng rồi? Về kỹ thuật, bạn có thể “làm vững chắc” bất cứ hệ thống nào đã được cài đặt và đang được sử dụng, tuy nhiên trước khi thực hiện, bạn nên làm tìm hiểu, phân tích , kiểm tra và thẩm định các mức bảo mật hiện được cấu hình trong sử dụng. Không “làm vững chắc” thứ gì đó đã bị thỏa hiệp rồi. Bạn cũng không thể biết cách ứng dụng bảo mật sẽ ảnh hưởng đến hệ thống sản xuất như thế nào khi sử dụng trong gia đình hay trong môi trường công ty. Một số hệ thống nhân bản được thiết lập để test sẽ tiêu tốn của bạn một chút thời gian và tài nguyên, tuy nhiên đây là việc đáng phải làm vì nó có thể tìm ra và tránh một số vấn đề có thể xuất hiện với thiết kế và triển khai của bạn. Bạn có thể gây thiệt hại hơn là làm cho tốt hơn nếu không biết các thay đổi thiết lập bảo mật hoặc các template sẽ ảnh hưởng thế nào tới các dịch vụ trên hệ thống sản xuất. Cho ví dụ, có thể áp dụng bảo mật cho một hệ thống và hạn chế các thay đổi về tính năng lọc của tường lửa, bỏ chức năng từ một chương trình mà bạn đã cài đặt và sử dụng - nó có thể sử dụng một cổng nào đó hiện được đóng bởi tường lửa và điều này sẽ dẫn đến lỗi kết nối. Vấn đề này có thể gây ra những hiệu quả không mong muốn nếu ứng dụng được sử dụng cho doanh nghiệp, cần thiết cho sản xuất và có thể cần khá nhiều thời gian để khám xét, khắc phục. Đó là lý do tại sao sẽ đơn giản hơn khi cài đặt fresh hệ điều hành Windows 7, sau đó “làm vững chắc” nó một cách nhanh chóng, bạn có thể thẩm định rằng sự bảo mật sẽ vẫn được duy trì cho tới khi triển khai nó. Thêm vào đó bạn cũng có thể làm cho quá trình diễn ra nhanh hơn, đặc biệt nếu đang sử dụng máy ảo (VM) hoặc VHD file, đây là những thứ cho bạn có nhiều tùy chọn tạo nhiều instance của desktop để có thể tự động chuyển đổi dự phòng ảo hoặc khôi phục trở lại nhanh chóng nếu không có các tùy chọn dự trữ. Ảo hóa sẽ đơn giản hóa quá trình cài đặt khi tạo các image vô tính cho mục đích backup, do đó bạn có thể khôi phục desktop của mình một cách dễ dàng và trong khoảng thời gian vài phút. Chúng tôi sẽ giới thiệu vấn đề ảo hóa trong phần sau của loạt bài này. Nếu việc tự động chuyển đổi dự phòng được kích hoạt và được cấu hình, người dùng desktop thậm chí có thể không nhận thấy hiện tượng ngưng chạy của máy móc tí nào nếu đã được ảo hóa.
Bạn có thể “làm vững chắc” hệ thống và sau đó truy cập dữ liệu an toàn của mình thông qua ổ đĩa, cơ sở dữ liệu và các kho chứa chia sẻ - tất cả đều được thực hiện ở tốc độ cao, với tùy chọn chuyển đổi dự phòng không chỉ giúp nó an toàn mà còn tạo sự tách biệt cho dữ liệu mà bạn truy cập. Nếu lên kế hoạch đúng, bạn có thể tạo một snapshot hoàn chỉnh cho phiên bản Windows an toàn, đã được cấu hình cũng như đã được cập nhật và khi xảy ra thảm họa, có thể khôi phục hệ thống một cách nhanh chóng. Sau đó, sau khi khôi phục hệ điều hành cơ bản, bạn có thể gắn lại ổ đĩa chia sẻ để truy cập dữ liệu.
Vậy khi cài đặt Windows, bạn cần thực hiện những bước gì để “làm vững chắc” nó? Và liệu có một thứ tự nào đó để chọn hay không? Nếu có một số bước cài đặt và “làm vững chắc” thì chúng sẽ là thứ tự cài đặt cơ bản, bỏ đi một số thứ không cần sử dụng, cập nhật hệ thống, áp dụng bảo mật cơ bản, sao đó tạo một backup để khôi phục nhanh khi cần thiết, xem danh sách bên dưới:
•    Bước 1 – Cài đặt hệ điều hành cơ bản bằng cách chọn các tùy chọn trong quá trình cài đặt làm tăng bảo mật, không chọn các dịch vụ, tùy chọn và chương trình không cần thiết.
•    Bước 2 – Cài đặt các Administrator toolkit, công cụ bảo mật và các chương trình cần thiết.
•    Bước 3 – Gỡ bỏ các dịch vụ, chương trình và phần mềm không cần thiết. Vô hiệu hóa hoặc gỡ bỏ các tài khoản người dùng hay nhóm người dùng không sử dụng.
•    Bước 4 – Nâng cấp các gói dịch vụ, bản vá lỗi, cũng như tất cả các chương trình đã được cài đặt.
•    Bước 5 – Thực hiện thẩm định bảo mật (quét, mẫu, MBSA,...) để đánh giá mức độ bảo mật hiện hành.
•    Bước 6 – Chạy System Restore và tạo điểm khôi phục. Ứng dụng backup và khôi phục để khôi phục thảm họa.
•    Bước 7 – Backup hệ điều hành theo một cách nào đó để khôi phục nhanh chóng nó trong trường hợp xảy ra thảm họa.
Đây chỉ là một danh sách đơn giản. Bạn có thể bổ sung thêm một số bước và mở rộng danh sách này hơn nữa. Rõ ràng nó không phải là một danh sách bắt buộc, tuy nhiên danh sách này là một  điểm khởi đầu khá tốt khi áp dụng bảo mật vào Windows 7 sau khi đã cài đặt cơ bản. Nếu hoàn tất một cài đặt fresh cho Windows 7, bước tiếp theo là gỡ bỏ phần mềm, dịch vụ, giao thức và chương trình mà bạn không muốn hay không cần chạy nó. Công việc này có thể thực hiện dễ dàng trong Control Panel.
Tiếp đến, bạn có thể vào Control Panel và thiết lập xem ai được phép sử dụng máy tính trong User Accounts applet. Ở đây bạn nên remove các tài khoản không cần thiết, hoặc vô hiệu hóa nó. Rõ ràng, nên cẩn thận với người dùng và nhóm người dùng mặc định, một số tài khoản đó sẽ được thắt chặt với các dịch vụ đang chạy, cách truy cập dữ liệu của bạn và ,... Bạn có thể vô hiệu hóa cũng như remove tài khoản một cách dễ dàng. Một kỹ thuật khác được sử dụng bởi hầu hết các chuyên gia bảo mật là để tài khoản quản trị viên nội bộ ở một nơi thích hợp và thẩm định nó cho các cố gắng sử dụng. Một cách làm chung là không sử dụng các tài khoản mặc định khi quản lý một mạng Microsoft với số lượng lớn các hệ thống và thiết lập các tài khoản quản trị viên mới có thể được lần vết nếu cần. Bằng cách thẩm định các tài khoản mặc định này và sử dụng tài khoản được tạo mới với các đặc quyền quản trị viên có liên quan với nó, bạn sẽ tăng được độ bảo mật lên gấp hai. Một là bạn sẽ phát hiện ra ai đó đang cố gắng truy cập vào máy tính của mình bằng các tài khoản mặc định khi mà lẽ ra không ai được làm việc đó. Nếu được thẩm định, bạn có thể thấy các cố gắng và thời điểm chúng diễn ra. Ứng dụng bảo mật cho tài khoản được biết đến như một honeypot và hữu dụng trong việc tìm kiếm các cố gắng gây ra bởi những người dùng đang cố gắng truy cập vào hệ thống của bạn. Hai, bạn có thể bỏ được một nửa phương trình khi ai đó cố gắng crack tài khoản của bạn thông qua các chứng chỉ cơ bản, chẳng hạn như sự kết hợp của username và password. Nếu bạn lấy đi các thông tin dễ đoán về username, thì bạn chỉ còn lại mật khẩu, thứ có thể được cấu hình theo cách nào đó để không thể bị crack. Nếu đã thiết lập các tài khoản mặc định như một honeypot thì bạn có thể tạo một mật khẩu gần như không thể crack và hạn chế nó để không thể thực hiện thứ gì nếu có bị thỏa hiệp (hạn chế được ảnh hưởng khi bị thỏa hiệp). Bạn nên thay đổi tất cả mật khẩu cho các tài khoản mặc định. Sử dụng mật khẩu theo cách có thể làm cho mật khẩu được khỏe nhất để bảo mật cho các tài khoản và cần thẩm định chúng . Bạn cũng nên cấu hình chính sách để người dùng cần thay đổi mật khẩu qua một quá trình mà ở đó họ chỉ được phép thay đổi nó nếu chọn mật khẩu mới mạnh và không dễ bị hack. Đây chỉ là một mẹo “làm vững chắc” mang lại nhiều lợi ích, chẳng hạn như khả năng phát hiện các tấn công thông qua việc ghi chép và thẩm định.
Mẹo: Trong Windows Server 2008, bạn có thể cài đặt chức năng “core” (lõi), một quá trình “làm vững chắc” được áp dụng cho hệ thống trong giai đoạn cài đặt thực sự. Khi cài đặt, máy chủ chỉ chạy với những chức năng tối thiểu mà bạn cần đến, vì vậy sẽ giảm được bề mặt tấn công. Windows 7 có thể được “làm vững chắc” nhưng không có tùy chọn cài đặt giống như ở Windows Sever 2008. Để “làm vững chắc” Windows 7, bạn cần áp dụng các chính sách, các template hoặc phải tự cấu hình các thiết lập bảo mật cần thiết.
Nói là vậy nhưng cách mà bạn bắt đầu để khóa chặt và bảo mật cho Windows 7 như thế nào? Một cách dễ dàng nhất để bắt đầu quá trình “làm vững chắc” hệ thống của bạn là sử dụng menu Start để tìm kiếm bất cứ thứ gì có liên quan đến vấn đề bảo mật được lưu bên trong hệ thống và đã được đánh chỉ số. Để thực hiện điều đó, hãy kích nút Start để mở Start menu. Sau đó đánh vào từ khóa ‘security’trong trường Search Programs and Files. Hình 3 bên dưới hiển thị các tùy chọn của Start menu  dựa trên từ khóa tìm kiếm ‘Security’.

Hình 3: Tìm và sau đó xem các tùy chọn bảo mật bên trong menu Start
Ở đây bạn có thể thấy các chương trình, Control Panel applet (hay các action), tài liệu và file đã được chọn và được tổ chức theo cách dễ xem và truy cập. Local Security Policy (nếu được chọn) là bộ chỉnh sửa chính sách, cho phép bạn xem và cấu hình các chính sách bảo mật cho hệ thống. Local Security Policy editor có thể thấy như trong hình 4. Ở đây bạn có thể thực hiện một số điều chỉnh cho tất cả các thiết lập dựa trên chính sách trên hệ điều hành của mình.

Hình 4: Xem và cấu hình bảo mật với chính sách bảo mật nội bộ
Mẹo – để có quyền điều khiển toàn bộ chính sách, bạn nên sử dụng Windows 7 với các sản phẩm Windows Server, chẳng hạn như Windows Server 2008 R2. Nếu thực hiện như vậy, bạn có thể sử dụng Active Directory (AD) và Group Policy.
________________________________________
Nếu muốn thiết lập cục bộ hành động thẩm định cho một sự kiện nào đó (chẳng hạn như sự kiện đăng nhập và đăng xuất), bạn có thể chỉ định hành động đó trong cửa sổ Local Security Policy (hình 4). Trong Control Panel, bạn có thể vào Administrative Tools applet để tìm Local Security Policy editor, hoặc tìm kiếm nó trong Start menu. Khi Windows 7 được sử dụng với Active Directory, bạn có thể sử dụng Group Policy, một dịch vụ mạnh cho phép bạn tùy chỉnh, quản lý và triển khai các thiết lập cũng như sự ưu tiên trong triển khai phần mềm một cách dễ dàng, tuy nhiên bạn cần kết nối Windows 7 với miền tích cực và quản lý nó đúng cách.
Nếu cần cấu hình bảo mật theo chính sách thì đây là cách làm đơn giản nhất. Tuy nhiên ngoài ra bạn cũng có thể thấy nhiều công cụ cần thiết cho việc cấu hình bảo mật trong Control Panel hoặc trong MMC mà bạn thiết kế và triển khai. Microsoft Security Center (Windows Vista, XP) đã được sử dụng để tập trung hầu hết các chức năng bảo mật trước đây. Đây là thứ được thay thế bằng Action Center, và các hành động bảo mật hiện dễ tìm hơn nhiều, được quan sát và được chọn dựa trên sự cho phép của bạn. Cho ví dụ, như thể hiện trong Start menu (hình 3), hành động ‘Check security status’ khi được chọn sẽ tạo một danh sách các cấu hình bảo mật mà Windows 7 khuyến khích, chẳng hạn như nâng cấp hệ thống, hay một chương trình như antivirus (AV). Khi được chọn, bạn sẽ được gửi đến Action Center để bạn biết thêm các vấn đề cần quan tâm.

Hình 5: Cấu hình các hành động bảo mật và các tùy chọn trong Control Panel
Mẹo: Hình 5 hiển thị các hành động có trong Control Panel mà bạn có thể lựa chọn. Nếu kích Start menu, đánh “security” và kích liên kết Control Panel, bạn sẽ nhận được một danh sách các hành động và cấu hình bảo mật, đây là danh sách bạn có thể tùy chỉnh ngay lập tức với các tùy chọn dễ tìm và dễ truy cập.
Khi ở trong Action Center (hoặc nếu đang xem danh sách các hành động), bạn có thể chuyển xuống phần dưới danh sách và cấu hình những gì phù hợp với mình. Đây là những giới thiệu vắn tắt về các tùy chọn có thể được cấu hình trong danh sách của Action Center:
•    Action Center – Action Center thay thế cho Security Center. Action Center là nơi bạn có thể chỉ định các hành động mà hệ điều hành có thể thực hiện. Với sự cho phép của bạn, các hành động có thể diễn ra. Ở đây bạn sẽ được thông báo rằng chưa thực hiện nâng cấp phần mềm Antivirus (ví dụ như vậy). Bạn có thể truy cập vào thành phần trung tâm để thực hiện các hành động có liên quan đến bảo mật cần thiết.
•    Internet Options – Duyệt web với bất cứ hình thức nào cũng đều mở cửa cho các rủi ro Internet. Nếu sử dụng máy chủ proxy, sử dụng hành động lọc và kiểm tra web, cập nhật các bản vá lỗi mới nhất cho hệ điều hành, bạn vẫn có thể rơi vào tình huống mà ở đó bảo mật của bạn bị thỏa hiệp. Bên trong Internet Options Control Panel applet, bạn có thể chỉ định các vùng an toàn, chỉ cho phép các URL nào đó được phép truy cập, triển khai các thiết lập bảo mật nâng cao trong tab Advanced và,... Bản thân trình duyệt cũng có tính năng lọc Phishing để ngăn chặn các tấn công Phishing và các tùy chọn cấu hình khác chẳng hạn như InPrivate Browsing, tính năng ngăn chặn việc lưu lại các thông tin cá nhân của ban sau khi duyệt web, đặc biệt hữu dụng khi sử dụng một máy tính dùng chung.
•    Windows Firewall – Giống như bất cứ phần mềm nào hoặc tường lửa phần cứng nào, Windows Firewall có thể làm chệch hướng các tấn công cơ bản và có thể được cấu hình ở “mức tinh hơn” đạt mức kiểm soát cao cho những gì vào ra khỏi hệ thống máy tính của bạn khi kết nối với một mạng public hay private. Bằng cách vào Control Panel và chọn Windows Firewall, bạn có thể truy cập đến hầu hết các thiết lập cấu hình của tường lửa. Có thể kích liên kết Advanced settings trong hộp thoại để truy cập Firewall with Advanced Settings và các tùy chọn cấu hình. Với Windows 7, bạn còn có thể triển khai nhiều chính sách tường lửa đồng thời và sử dụng thứ bậc miền mới để cấu hình và quản lý tường lửa Windows dễ dàng hơn.
•    Personalization – Tùy chọn Personalization là nơi bạn có thể thay đổi diện mạo bề ngoài của Windows, tuy nhiên nó cũng là nơi bạn cấu hình mật khẩu screensaver nếu muốn. Nếu chạy Windows 7 trong doanh nghiệp, người dùng nên biết cách khóa các máy trạm làm việc của họ bất cứ khi nào họ rời bàn làm việc hoặc sử dụng một thiết lập chính sách để thực hiện việc đó một cách tự động sau một khoảng thời gian không hoạt động nào đó, mặc dù vậy nếu quên, bộ bảo vệ màn hình đã được cấu hình sẽ yêu cầu đăng nhập lại có thể khá hữu dụng. Tại nhà, đây sẽ là tuyến phòng chống nếu bạn rời hệ thống của mình và quên khóa nó.
•    Windows Update – Tất cả các phát hành phần mềm đều yêu cầu một số mức vá nhất định. Bạn có thể chuẩn bị, test và phát triển phần mềm hoàn hảo nhưng không thể tính toán hết được mọi thứ. Cũng vậy, các nâng cấp và phát hành mới cũng yêu cầu các nâng cấp cho hệ điều hành qua thời gian tồn tại của phiên bản hệ điều hành hiện hành. Do có nhiều tiến bộ trong hệ thống, nhiều yêu cầu cần thiết cho các kỹ thuật phát triển, nhiều lỗ hổng bảo mật mới được phát hiện theo thời gian, các nâng cấp driver cho hiệu suất và chức năng tốt hơn  nên sẽ luôn có một nhu cầu cho Windows Update. Windows (và Microsoft) Update, hoặc các phiên bản quản lý bản vá của doanh nghiệp (WSUS,...) được sử dụng để kiểm soát và triển khai các nâng cấp. Các công cụ này được sử dụng để điều khiển, theo dõi và kiểm tra các nâng cấp hiện hành và tương lai cần thiết. Cấu hình sao cho nó có thể thực hiện nhiệm vụ này một cách tự động, hoặc bạn phải có thói quen thực hiện nó vì đây là một vấn đề thực sự quan trọng. Nếu bạn không vá hệ điều hành của mình những gì khuyến khích (đôi khi là yêu cầu), bạn có thể sẽ là đối tượng tấn công.
•    Programs and Features – Ngoài việc kiểm tra và thấy những gì Windows Updates cài đặt, bạn cũng cần kiểm tra để xem những gì mình đã cài đặt vào hệ thống của mình một cách thường xuyên, đặc biệt nếu làm việc trên Internet hoặc download phần mềm từ các máy chủ web trên Internet. Cho ví dụ, bằng việc cài đặt một nâng cấp Java, nếu bạn không đọc các thông tin hiển thị trên màn hình một cách cẩn thân trong quá trình cài đặt, bạn có thể sẽ cài đặt cả toolbar trên hệ thống của mình, thứ sẽ được tích hợp vào trình duyệt web của bạn. Giờ đây, dù có được sự kiểm soát chặt chẽ hơn về điều đó, tuy nhiên vẫn nên kiểm tra một cách định kỳ để thấy những gì hiện được cài đặt vào hệ thống của mình.
•    Windows Defender – Spyware là phần mềm được sử dụng chủ yếu cho các mục đích thương mại trái phép, nó sẽ thực hiện những thứ như phân phối một tải trọng trực tuyến, redirect trình duyệt của bạn hoặc gửi lại các thông tin trên hành động của bạn. Mặc dù phần mềm Antivirus có một số tùy chọn để chống lại hành vi này nhưng Windows Defender (hoặc các ứng dụng remove Spyware khác) có thể là một lựa chọn để dọn dẹp phần còn lại. Các Cookie mặc dù vô hại theo bản tính của nó, nhưng đôi khi lại bị thao túng với một vài lý do không đúng. Cần phải bảo đảm nâng cấp Windows Defender thường xuyên với các file định nghĩa mới và các nâng cấp cần thiết của nó để bảo đảm bạn có thể quét tất cả Spyware mới nhất. SpyNet cũng là một cộng đồng mà Microsoft nói về cách ngăn chặn các mối hiểm họa gây ra bởi Spyware.
•    User Accounts – Việc quản lý các tài khoản người dùng là cốt lõi của việc truy cập an toàn máy tính cũng như mọi thứ chạy bên trong nó. Cho ví dụ, nếu tạo một tài khoản người dùng mới và gán nó cho nhóm Administrators, bạn sẽ có quyền truy cập toàn bộ vào hệ thống máy tính. Nếu cấu hình tài khoản đó là người dùng chuẩn thì các điều khoản mà được phép sẽ rất hạn chế và người dùng chỉ được phép thực hiện một số thứ cụ thể nào đó. Bạn cũng có thể cấu hình mật khẩu với chính sách mật khẩu tối thiểu để bắt buộc người dùng phải tạo một mật khẩu khó bị crack. Khi Windows Server 2008 và Active Directory được triển khai, bạn có thể truy cập một vào một miền nào đó mà khi truy cập sẽ cho phép cấu hình các điều khoản NTFS “tinh hơn” cho thư mục và file cũng như các nguồn chia sẻ khác như máy in chẳng hạn.
•    Power Options – Power Options Control Panel applet là nơi bạn có thể cấu hình các hành vi mặc định cho hệ điều hành khi không được cắm nguồn trực tiếp, đóng hoặc chuyển sang chế độ “ngủ”. Cấu hình bảo mật để thiết lập là một mật khẩu được yêu cầu khi máy tính thức giấc từ trạng thái ngủ. Bất cứ khi nào có thể truy cập, bạn cũng cần xem xét một cách kỹ lưỡng.
Vậy nếu cần áp dụng bảo mật cho Windows 7, Start menu là một cách tốt để bắt đầu “làm vững chắc” một cách cơ bản hệ thống của bạn, mở cửa cho các công cụ có sẵn. Có nhiều tùy chọn ở đây bạn có thể sử dụng để “làm vững chắc” hệ thống Windows 7 của mình, đặc biệt bên trong Control Panel. Sử dụng Start menu cũng là cách dễ dàng để giúp bạn có được tuyến phòng vệ cho hệ thống của mình sau khi vừa cài đặt xong. Một mẹo mà bạn có thể thử là thiết lập một tuyến phòng vệ sau khi cài đặt ban đầu và cấu hình hệ thống của mình, nhiệm vụ sẽ yêu cầu bạn cấu hình tất cả các tùy chọn bảo mật, ứng dụng cũng như download các bản vá lỗi và nâng cấp, sau đó backup toàn bộ hệ thống với System Restore hay tiện ích tạo ảnh hệ thống. Giờ đây bạn sẽ có một snapshot cho hệ thống của mình trong trang thái fresh để đề phòng khi cần thiết có thể chuyển đổi. Có thể tạo một điểm khôi phục, để có thể sử dụng nếu hệ thống bị thỏa hiệp hay thảm họa. Chúng tôi sẽ giới thiệu cho các bạn một số tùy chọn của System Restore trong phần khôi phục thảm họa của loạt bài này.
Lưu ý: Start menu cũng có thể cung cấp nhiều thông tin về tài liệu có liên quan đến bảo mật trên hệ thống. Đây là một địa chỉ hữu dụng khi tìm kiếm tài liệu chẳng hạn như một chính sách bảo mật,...
Bạn có thể “làm vững chắc” một cách nhanh chóng Windows bằng cách download các công cụ và tài liệu trực tiếp từ Microsoft. Cho ví dụ, nếu muốn cấu hình mức bảo mật cơ bản cho Windows 7, bạn có thể dễ dàng download template bảo mật cơ bản để sử dụng, chạy nó và có được hầu hết các thiết lập bảo mật đã được điều chỉnh. Hình 6 cung cấp một Windows 7 Security Baseline Settings template với các entry được chia tab cho việc thẩm định tài khoản người dùng, BitLocker và ... Tìm hiểu thêm trong phần các liên kết tham chiếu ở cuối bài để tăng truy cập vào nó.

Hình 6: Cấu hình bảo mật cơ bản từ các Template của Microsoft
Lưu ý tùy chọn ‘Security Warning’ ở phía trên toolbar (ribbon) của Microsoft Office Excel 2007, đây là tùy chọn ngăn chặn bạn sử dụng template bằng cách vô hiệu hóa Macro cho tới khi bạn chú tâm đến Security Warning (xem trong hình 6). Ở đây, Security Macros đã bị vô hiệu hóa và được yêu cầu cho ứng dụng của template này. Đây là một ví dụ hoàn hoản cho bảo mật và sự linh hoạt. Để có được sự linh hoạt trong ví dụ này, bạn cần tắt bỏ hoặc hạn chế mức bảo mật được áp dụng cho nó. Chọn thủ công tùy chọn này để chạy, hoặc vô hiệu hóa sự bảo vệ, chạy Macro sau đó nâng mức bảo mật một lần nữa để giữ bảo mật đúng cách sẽ có được cài đặt mẫu.
Hệ thống của bạn đã sẵn sàng và bạn đã cấu hình một số tính năng bảo mật cơ bản, lúc này bạn nên xem xét cách quản lý nó, cũng như kiểm trra sự xâm nhập, malware và các vấn đề khác được phát hiện thấy trong các bản ghi sự kiện.
Lưu ý: Bạn nên lưu ý rằng Windows 7 có một tùy chọn mang tên XP-mode, đây là tùy chọn được sử dụng cho việc giải quyết các vấn đề liên quan đến sự tương thích ứng dụng cho các ứng dụng XP cũ. Như những gì chúng ta đã thảo luận về chủ đề ảo hóa bên trên, khi xem xét việc sử dụng chế độ XP-mode, bạn hiện đang cài đặt Virtual PC trên Windows 7 và chạy một instance của XP trên Virtual PC. Nếu sử dụng XP-mode, hãy bảo đảm làm vững chắc bất cứ VM nào đang chạy trên các máy ảo theo cách mà bạn làm với hệ điều hành cơ bản. Các hành động gồm có bảo vệ AV, chính sách khóa, gói dịch vụ, nâng cấp phần mềm,... Bạn có thể cung cấp mức bảo mật qua ảo hóa nhưng mức bảo mật đó là không hoàn tất, vì vậy bạn vẫn cần đến một số bước “làm vững chắc”, thậm chí nếu ảo hóa được sử dụng.
Kết luận
Hệ thống Windows 7 gia đình có thể được khóa chặn và quản lý một cách dễ dàng. Bạn có thể cấu hình nó một cách an toàn để được truy cập trên Internet từ một vị trí từ xa. Windows 7 có thể được trang bị một lá chắn nếu bạn thực sự muốn “làm vững chắc” để khóa chặn hoàn toàn các điểm có thể xâm phạm. Tuy nhiên nó có thể vẫn trở thành đối tượng tấn công và chắc chăn sẽ là vậy nếu bạn sử dụng máy tính trên Internet, một ví dụ như vậy. Do đó chúng ta cần lập kế hoạch cho những khả năng có thể xảy ra và làm vững chắc Windows 7 theo đó.
Khi xem xét đến việc sử dụng Windows 7, trong tình hình các tấn công và khai thác ngày nay, các tùy chọn bảo mật và sự linh hoạt là ưu tiên hành đầu cho việc tạo quyết định. Windows 7 rất an toàn nhưng không phải an toàn 100%. Bạn cần phải biết áp dụng kiến thức, các công cụ khác và các cấu hình nâng cao để bảo mật mọi khía cạnh của nó và sau đó nâng cấp và kiểm tra chúng một cách thường xuyên. Đây là một công việc rất quan trọng và đáng giá nếu bạn muốn tránh tấn công. Thêm vào đó Windows 7 cũng có nhiều cải tiến về bảo mật và có thể được cấu hình để khôi phục nhanh chóng.
Các nguyên lý bảo mật cơ bản chẳng hạn như Defense in Depth phải được áp dụng kết hợp với những hướng dẫn bảo mật và các hành động tốt nhất để không chỉ áp dụng cho việc bảo vệ mà nó còn là nhiều lớp che đậy toàn bộ kiến trúc và mã chương trình.
Trong phần này chúng ta mới chỉ đụng chạm đến bề mặt trong phần này, có rất nhiều kiến thức khác mà chúng ta cần phải nghiên cứu thêm, tuy nhiên hy vọng những thông tin này sẽ giúp ích cho bạn. Để tìm hiểu thêm, bạn có thể đọc các liên kết tham chiếu bên dưới, đây là các thông tin chi tiết về các công cụ miễn phí, các template và hướng dẫn. Và không quên theo dõi đón đọc phần 2 và 3 sẽ được chúng tôi phát hành tới đây.
Hướng dẫn toàn diện về bảo mật Windows 7 – Phần 2
Windows 7 là hệ điều hành máy khách cho các máy tính desktop mới nhất của Microsoft, nó được xây dựng dựa trên những điểm mạnh và sự khắc phục những điểm yếu có trong các hệ điều hành tiền nhiệm, Windows XP và Windows Vista. Mọi khía cạnh của hệ điều hành như, cách chạy các dịch vụ và cách load các ứng dụng sẽ như thế nào, đã làm cho hệ điều hành này trở nên an toàn hơn bao giờ hết. Tất cả các dịch vụ đều được nâng cao và có nhiều tùy chọn bảo mật mới đáng tin cậy hơn. Tuy nhiên những cải tiến cơ bản đối với hệ thống và các dịch vụ mới, Windows 7 còn cung cấp nhiều chức năng bảo mật tốt hơn, nâng cao khả năng thẩm định cũng như các tính năng kiểm tra, khả năng mã hóa các kết nối từ xa và dữ liệu, hệ điều hành này cũng có nhiều cải tiến cho việc bảo vệ các thành phần bên trong, bảo đảm sự an toàn cho hệ thống chẳng hạn như Kernel Patch Protection, Service Hardening, Data Execution Prevention, Address Space Layout Randomization và Mandatory Integrity Levels.
Có thể nói Windows 7 được thiết kế an toàn hơn. Thứ nhất, nó được phát triển trên cơ sở Security Development Lifecycle (SDL) của Microsoft. Thứ hai là được xây dựng để hỗ trợ cho các yêu cầu tiêu chuẩn chung để có được chứng chỉ Evaluation Assurance Level (EAL) 4, đáp ứng tiêu chuẩn xử lý thông tin Federal Information Processing Standard (FIPS) #140-2. Khi được sử dụng như một hệ điều hành độc lập, Windows 7 sẽ bảo vệ tốt người dùng cá nhân. Nó có nhiều công cụ bảo mật hữu dụng bên trong, tuy nhiên chỉ khi được sử dụng với Windows Server 2008 (R2) và Active Directory, thì sự bảo vệ sẽ đạt hiệu quả cao hơn. Bằng việc nâng mức độ bảo mật từ các công cụ như Group Policy, người dùng có thể kiểm soát mọi khía cạnh bảo mật cho desktop. Nếu được sử dụng cho cá nhân hoặc văn phòng nhỏ hệ điều hành này vẫn tỏ ra khá an toàn trong việc ngăn chặn nhiều phương pháp tấn công và có thể được khôi phục một cách nhanh chóng trong trường hợp gặp phải thảm họa, vì vậy mặc dù sẽ có nhiều ưu điểm hơn nếu có Windows 2008 nhưng điều này là không nhất thiết phải có để có được mức bảo mật cao cho Windows 7. Tuy nhiên dù có thể cho rằng Windows 7 về bản thân nó là một hệ điều hành an toàn nhưng điều đó không có nghĩa rằng bạn chỉ dựa vào các cấu hình mặc định mà quên đi việc thực hiện một số điều chỉnh để gia cố thêm khả năng bảo mật của mình. Cần phải biết rằng bạn chính là đối tượng tấn công của một số dạng malware hay các tấn công trên Internet khi máy tính của bạn được sử dụng trong các mạng công cộng. Cần biết rằng nếu máy tính được sử dụng để truy cập Internet nơi công công thì hệ thống của bạn và mạng mà nó kết nối đến sẽ là miếng mồi ngon cho những kẻ tấn công.
Trong bài này chúng tôi sẽ giới thiệu cho các bạn một số kiến thức cơ bản cần thiết để bảo mật Windows 7 được đúng cách, giúp bạn đạt được mức bảo mật cơ bản, xem xét một số cấu hình bảo mật nâng cao cũng như đi khám phá một số chức năng bảo mật ít được biết đến hơn trong Windows nhằm ngăn chặn và bảo vệ chống lại các tấn công có thể. Giới thiệu một số cách bảo đảm an toàn dữ liệu, thực hiện backup và chạy một cách nhanh chóng nếu bạn gặp phải một số tấn công hoặc bị trục trặc hệ thống ở mức độ thảm khốc ngoài khả năng xử lý của mình. Tiếp đó là một số khái niệm bảo mật, cách “làm vững chắc” Windows 7, cách cài đặt và cung cấp bảo mật cho các ứng dụng đang chạy, cách quản lý bảo mật trên một hệ thống Windows 7 và ngăn chặn các vấn đề gây ra bởi malware. Bài viết cũng giới thiệu cho quá trình bảo vệ dữ liệu, các tính năng backup và khôi phục hệ điều hành, cách khôi phục hệ điều hành trở về trạng thái hoạt động trước đó, một số cách bảo vệ dữ liệu và trạng thái hệ thống nếu thảm họa xảy ra. Chúng tôi cũng giới thiệu một số chiến lược để thực hiện nhanh chóng các công việc đó. Các chủ đề được giới thiệu trong bài cũng gồm có cách làm việc an toàn trong khi online, cách cấu hình điều khiển sinh trắc học để kiểm soát truy cập nâng cao, cách và thời điểm được sử dụng với Windows Server 2008 (và Active Directory) như thế nào, cách bạn có thể tích hợp một cách an toàn các tùy chọn cho việc kiểm soát, quản lý và kiểm tra. Mục tiêu của bài viết này là để giới thiệu cho các bạn các tính năng bảo mật của Windows 7, những nâng cao và ứng dụng của chúng cũng như cung cấp cho bạn những kiến thức về việc lên kế hoạch, sử dụng đúng các tính năng bảo mật này. Các khái niệm mà chúng tôi giới thiệu sẽ được chia nhỏ và được tổ chức theo phương pháp khối.
Lưu ý: Nếu làm việc trong công ty hoặc môi trường chuyên nghiệp khác, các bạn không nên thực hiện các điều chỉnh với máy tính của công ty. Hãy thực hiện theo đúng kế hoạch (hay chính sách) bảo mật đã được ban bố, cũng như những hành động, nguyên lý và hướng dẫn tốt nhất đã được công bố trong tổ chức. Nếu chưa quen với các chủ đề bảo mật và các sản phẩm của Microsoft, hãy đọc tài liệu hướng dẫn của sản phẩm trước khi áp dụng bất cứ thay đổi nào cho hệ thống.
Quản lý và kiểm tra bảo mật
Windows 7 có thể an toàn như một pháo đài. Nếu sử dụng Windows 7 trong doanh nghiệp, bạn có thể sử dụng cơ sở dữ liệu Active Directory và lợi dụng nhiều tính năng nâng cao về bảo mật khi đăng nhập vào một Domain, hoặc Group Policy nhằm thực thi bảo mật ở mức cao hơn. Dù bằng cách nào thì sự quản lý tập trung các công cụ bảo mật, các thiết lập và bản ghi là vấn đề quan trọng cần xem xét khi áp dụng bảo mật – cách bạn sẽ quản lý nó, kiểm tra nó và sau đó nâng cấp nó khi đã cài đặt và cấu hình như thế nào? Với Windows 7, bạn sẽ thấy có nhiều thay đổi dưới layout cơ bản về các công cụ và dịch vụ dùng cho mục đích bảo mật. Cho ví dụ từ khóa ‘Security’ trong menu Start mà chúng ta đã thảo luận là nơi tập trung sự việc quản lý ứng dụng bảo mật cho Windows 7.
Nguyên tắc chủ đạo là bạn cần phải áp dụng bảo mật (sau đó quản lý nó) một cách dễ dàng. Không ai thích dò dẫm toàn hệ điều hành để tìm ra các ứng dụng, dịch vụ, bản ghi và sự kiện hay các hành động cấu hình, kiểm tra. Với Windows 7, người ta có thể nói rằng một người dùng mới có thể bị lạc giữa một biển đường dẫn, wizard, applet và các giao diện điều khiển trước khi tìm ra và cấu hình Windows Firewall, tính năng bảo mật cơ bản nhất được cung cấp, thậm chí một số kỹ thuật viên nhiều kinh nghiệm có thể cho rằng vẫn còn nhiều rắc rối đi chăng nữa thì đây vẫn là phiên bản Windows cho phép quản lý dễ dàng nhất tất cả các thông tin bằng cách đánh chỉ số và cung cấp qua việc tìm kiếm trong menu Start.
Ngoài menu Start, một cách thuận tiện khác cho việc quản lý nhiều chức năng bảo mật trong Windows 7 là xây dựng một Microsoft Management Console (MMC) tùy chỉnh và bổ sung thêm các công cụ của bạn vào nó. Một trong những thứ sẽ làm lúng túng nhiều người dùng Windows mới là các giải pháp doanh nghiệp của Microsoft cung cấp một cách mới để tập trung sự điều khiển và kiểm tra mọi thứ trên các hệ thống trong mạng của bạn (MOM là một ví dụ hoàn hảo). Hệ điều hành khách là một đơn vị độc lập (stand-alone) nhưng cũng phải được bảo vệ cục bộ, vì vậy với người dùng gia đình, một giao diện quản lý tùy chỉnh sẽ là câu trả lời cho các câu hỏi về quản lý bảo mật tập trung. Tuy nhiên không may mắn, Security Center lại được phân nhỏ thành các Control Panel applet và MMC Snap-in – vậy bạn có thể tập trung sự truy cập nhanh chóng vào các công cụ chính như thế nào? Để áp dụng bảo mật cho hệ điều hành Windows 7, bạn phải truy cập nhiều vùng khác nhau của hệ thống để tùy chỉnh cấu hình nhằm “làm vững chắc” nó, vậy nếu được quyền chọn các ứng dụng và các chức năng cần thiết và đặt chúng vào một vùng nào đó, thì bạn có thể nhanh chóng và dễ dàng truy cập trở lại chúng để thẩm định bảo mật và xem lại các bản ghi.
Để tạo một giao diện quen thuộc, hãy vào menu Start và đánh vào đó ‘MMC /A’, khi đó bạn sẽ khởi chạy một Microsoft Management Console (MMC) mới. Có thể lưu nó vào bất cứ vị trí nào trên hệ thống và đặt tên cho nó là bất cứ gì bạn muốn. Để định cư, bạn cần phải vào menu File và chọn Add/Remove Snap-in. Thêm tất cả các công cụ mà bạn muốn hoặc cần. Hình 1 hiển thị một giao diện tùy chỉnh với hầu hết nếu không phải tất cả các tùy chọn bảo mật có sẵn.

Hình 1: Tạo giao diện bảo mật tập trung tùy chỉnh với Microsoft Management Console Snap-In
Bạn sẽ thấy nhiều công cụ hữu dụng bên trong các tùy chọn snap-in có sẵn. Cho ví dụ, TPM Management là một Microsoft Management Console (MMC) snap-in cho phép các quản trị viên có thể tương tác với Trusted Platform Module (TPM) Services. TPM services được sử dụng để quản trị phần cứng bảo mật TPM trong máy tính của bạn. Điều này có nghĩa bạn cần phần cứng chuyên dụng, nâng cấp BIOS và chọn đúng chíp CPU. Cũng giống như việc ảo hóa cần một chíp chuyên dụng, TPM cũng vậy. TPM là một cách giới thiệu mức bảo mật phần cứng mới cho phương trình để bạn biết mình đang dần có một hệ thống vững chắc. Bạn có thể quản lý nó ở đây nếu thuân thủ theo TPM. TPM sẽ sử dụng bus phần cứng để truyền tải các thông báo và có thể được sử dụng kết hợp với các tính năng phần mềm giống như BitLocker.
Khi đã tạo các giao diện điều khiển và đã biết cách truy cập vào các vùng để áp dụng các cấu hình bảo mật bên trong hệ điều hành, bước tiếp theo của bạn là kiểm tra hệ thống của mình. Có nhiều cách để thực hiện điều đó. Cho ví dụ, bạn có thể sử dụng phương pháp đơn giản (người dùng gia đình) và chỉ cần để ý đến nó theo thời gian trên một lịch trình đơn giản. Giống như, các tối chủ nhật sau khi lướt mạng, bạn kiểm tra các bản ghi tường lửa và các bản ghi Event Viewer trong giao diện điều khiển. Nếu đào sâu vào các tùy chọn có thể cấu hình, bạn sẽ phát hiện thấy mình có thể lập lịch trình các cảnh báo và thông báo, lọc các bản ghi và tự động lưu để xem lại,... Bảo đảm rằng bạn cần phải để ý đến mọi thứ. Bởi lẽ bảo mật tốt không có nghĩa là bảo mật đó sẽ được duy trì mãi mãi.
Vậy, nói tóm lại – cách điển hình để bạn có thể truy cập và áp dụng bảo mật cho Windows 7 được nhanh là bên trong menu Start. Bạn cũng có thể làm việc bên trong Control Panel (các applet chẳng hạn như Administrative Tools, Windows Firewall và Windows Defender) để tăng truy cập vào các công cụ và các thiết lập bảo mật. Cũng có thể tạo một MMC tùy chỉnh và cấu hình nó nhằm tăng sự truy cập vào các công cụ khác vẫn còn ẩn khuất đâu đó, cũng như cung cấp một giao diện điều khiển tập trung để quản trị vấn đề bảo mật. Mặc dù có thể duyệt nhiều vùng khác nhau trong hệ điều hành và thực hiện cùng một việc, tuy nhiên hy vọng mẹo này có thể giúp bạn áp dụng bảo mật dễ dàng hơn bằng cách cung cấp sự truy cập vào các công cụ bảo mật có trong Windows 7. Ngoài ra bạn có thể áp dụng các template; tạo các nhiệm vụ và hành động và thậm chí tạo các cấu hình bảo mật với các tập công cụ nâng cao.
Mẹo: Bạn cũng có thể áp dụng việc quản lý bảo mật trong các công cụ giống như PowerShell và Netsh (chẳng hạn như lệnh netsh advfirewall), từ đó có nhiều cách dễ dàng có thể áp dụng nhiều tùy chọn dựa trên kịch bản hay dòng lệnh để triển khai bảo mật trong Windows 7. Cũng có thể sử dụng các nhiệm vụ ‘task’ để bắt đầu các công việc, kịch bản hoặc file batch và các dịch vụ để bạn có thể (ví dụ) giữ một backup các bản ghi của Event Viewer cho hành động thẩm định, xem lại và cất giấu an toàn.
Tiếp đến, cần có khả năng truy cập và cấu hình thêm hệ thống cơ bản sau khi cài đặt để “làm vững chắc” nó và do Windows Updates là không thể tránh được, nên bạn cần tạo một kế hoạch để chúng có thể download và cài đặt ngay lập tức. Đại đa số, các nâng cấp đều đến sau các tấn công, vì vậy test và cài đặc chúng ngay khi có thể là một hành động cần làm. Có nhiều lý do tại sao chúng được phát hành. Và được đặt tên là ‘Security Updates’ như thể hiện trong hình 2. Các nâng cấp này luôn được đánh số và bạn có thể được nghiên cứu trực tuyến để tìm kiếm thêm thông tin.

Hình 2: Cài đặt Windows Security Updates với Windows Update
Bạn cũng cần có được các gói dịch vụ mới được phát hành và áp dụng lại chúng nếu cần. Các ứng dụng và các dịch vụ đang chạy khác trong hệ thống cũng cần được quản lý, kiểm tra và nâng cấp thường xuyên, nhất là với các chương trình phát hiện và loại bỏ Virus, Spyware.
Khi hệ thống của bạn đã được vá và được cấu hình cho sử dụng, nhiệm vụ tiếp theo là cài đặt Microsoft Security Essentials (MSE), một chương trình Antivirus (AV) của nhóm thứ ba, cấu hình Windows Defender (spyware) để sử dụng và cấu hình bảo mật nhằm phát hiện (malware) phần mềm mã độc.
Lưu ý: Microsoft gần đây đã phát hành một dòng phần mềm bảo mật mới mang tên Forefront. Dòng sản phẩm này bao phủ tất cả các khía cạnh trong triển khai và quản lý bảo mật trong doanh nghiệp. Chúng cũng tạo sự chắc chắn rằng hệ điều hành khách được an toàn với chức năng mới, chẳng hạn như Microsoft Antivirus, có bên trong gói sản phẩm MSE.
________________________________________
Ngăn chặn và bảo vệ Malware
Mọi hệ thống dù là máy chủ file của Windows, desktop Linux hoặc máy trạm Apple OS X, tất cả đều phải đối mặt với malware. Malware là một thuật ngữ được sử dụng để đại diện cho tất cả các kiểu phần mềm mã độc có thể đâm thủng, xâm nhập, chiếm quyền điều khiển và cuối cùng phá hủy hệ điều hành máy tính của bạn, các ứng dụng hoặc dữ liệu cũng khó có thể khắc phục khi bị tấn công. Tồi tệ hơn, malware không chỉ nhắm đến hệ điều hành cơ bản mà nó còn nhắm đến cả dữ liệu cá nhân, sự riêng tư và nhận dạng. Malware tồn tại dưới nhiều hình thức khác nhau, chẳng hạn như viruse, worm, logic bomb và Trojan. Để giữ cho Windows 7 được an toàn, bạn cần cấu hình nó sao cho tránh được phần mềm mã độc xâm nhập vào hệ thống. Malware có thể xâm nhập theo con đường điển hình nhất là qua truy cập Internet công cộng, nhận email, các tin nhắn IM (instant messaging), sử dụng dữ liệu chia sẻ trên web và các máy chủ FTP, hoặc các ứng dụng phần mềm dựa trên kết nối mạng công cộng khác, chẳng hạn như phần mềm chia sẻ file ngang hàng (P2P). Khi một hệ thống (hoặc email mailbox) nào đó bị xâm nhập, malware có thể phát tán một cách nhanh chóng và đôi khi bạn không hề hay biết điều này. Malware cũng có thể truy cập vào hệ thống của bạn từ các ổ đĩa lạ hoặc các ổ đĩa ngoài không được bảo vệ, các ổ USB và đôi khi là cả qua bản thân mạng. Gần như rằng thông qua hành động nhận email hoặc xem nội dung trên các máy chủ trong mạng Internet công cộng thì bạn sẽ là đối tượng của một số dạng tấn công.
Để tránh malware, bạn phải cố gắng không giới thiệu nó. Việc ngăn chặn (phòng ngừa) malware khác với sự bảo vệ (chống) malware; mặc dù vậy cả hai công việc được thực hiện cùng nhau sẽ có nhiều lợi ích. Việc ngăn chặn chủ yếu tập trung vào các bước cần phải thực hiện để tránh malware xâm nhập vào hệ thống của bạn, từ đó bạn có thể ngăn chặn các tấn công hoặc các vấn đề tương lai có thể xảy ra. Bạn có thể hạn chế sự phơi bày theo nhiều cách. Việc ngăn chặn cần có kỷ luật và cần hiểu biết, áp dụng các khái niệm này một cách nhất quán khi cấu hình bất cứ nền tảng phần mềm nào. Sự bảo vệ là hình thức cài đặt các ứng dụng chẳng hạn như phần mềm Antivirus và các bộ quét Spyware. Bảo vệ (chống) malware còn có thể bằng việc áp dụng các hình thức các công cụ quét và lọc, các công cụ thẩm định và giao thức hoặc mã hóa tạo truyền thông an toàn.
Lưu ý: Có hai kiểu ứng dụng bảo mật; đi tiên phong (chủ động) và phản ứng trở lại. Lên kế hoạch, thiết kế và cân nhắc trong giao đoạn lập kế hoạch sẽ giúp bạn đi đúng hướng, nhưng để tiếp tục hỗ trợ, bạn cần xem xét cách quản lý và hỗ trợ nó. Với malware, bạn cần ưu tiên hàng đầu vào việc nâng cấp chương trình AV để có thể quét và ngăn chặn các mối đe dọa và các khai thác mới. Chủ động nên kế hoạch để bạn có thể cập nhật mọi thứ một cách an toàn, tuy nhiên luôn cần có một kế hoạch cho trường hợp sự phòng chống của bạn bị vi phạm.
Để quản lý, kiểm tra và bảo mật hệ thống trước các mối đe dọa malware tiềm ẩn, bạn nên cài đặt, cấu hình và cập nhật liên tục phần mềm Antivirus và phần mềm gỡ bỏ Spyware. Có thể cài đặt thêm ứng dụng phần mềm của các hãng thứ ba, hoặc sử dụng một số công cụ của Microsoft, chẳng hạn như Windows Defender như thể hiện trong hình 3 bên dưới.

Hình 3: Sử dụng Windows Defender
Windows Defender có thể quét và loại bỏ Spyware. Một ứng dụng antivirus sẽ quét một cách tích cực và cố gắng tìm và loại bỏ virus, worm và Trojan. Nếu cả hai được sử dụng cùng nhau, bạn có thể bảo vệ một cách chủ động hệ thống của mình trước hầu hết các tấn công. Giống như bản thân hệ điều hành, bạn cũng cần liên tục cập nhật các ứng dụng này với nhiều bản vá hoặc chúng có thể trở thành mục tiêu để tấn công. Thêm vào đó, các file định nghĩa mới cũng cần được download và cài đặt thường xuyên để quét các mối đe dọa mới.
Windows Defender là một tiện ích hữu dụng cho việc quét các file hệ thống (Quick hoặc Full), và được cập nhật thường xuyên, một trong những điểm quan trọng nhất khi lựa chọn bất cứ phần mềm spyware nào. Nếu các khái niệm không được cập nhật tương xứng với các tấn công mới bị phát hiện trên toàn thế giới thì hệ thống của bạn không thể bảo vệ bạn trước những tấn công này.
Một số chương trình AV có thể quét một cách thông minh hệ thống của bạn để tìm ra “những điều không bình thường”, hoặc “so khớp một mẫu trong một tấn công tương tự”, thứ được gọi là những khám phá. Mặc dù hữu dụng nhưng không thể bắt được mọi thứ để giữ cho các công cụ này cập nhật. Windows Update sẽ nâng cấp Windows Defender khi bạn chạy nó. Các ứng dụng thứ ba (loại trừ các driver thiết bị chính) thường không tìm thấy thông qua Microsoft. Cũng cần cân nhắc đến việc chạy các công cụ này trong trạng thái tích cực, vì khi đó bạn sẽ phải trả giá về hiệu suất bộ nhớ và xử lý cũng như toàn bộ những gánh nặng về tài nguyên của hệ thống ở mức độ đáng kể. Vì vậy cần phải đi xem xét kế hoạch cho việc triển khai này từ trước và bảo đảm rằng các hệ thống Windows của bạn có thể xử lý được nó. Khi đã thiết lập bảo vệ malware và chạy, bạn vẫn cần “làm vững chắc” một cách tích cực các vùng cần được khóa, chẳng hạn như các thiết lập Internet Explorer.
Bạn có thể bảo mật Windows 7 bằng cách sử dụng một tính năng mới mang tên Data Execution Prevention (DEP). Đây là một tính năng sẽ kiểm tra các chương trình của bạn và cách chúng sử dụng bộ nhớ hệ thống như thế nào. Sử dụng tính năng này bạn sẽ có thêm một mức bảo mật cho các chương trình muốn cư trú và sử dụng bộ nhớ như một cách khởi chạy tấn công. Bạn có thể bật nó cho tất cả các chương trình, hoặc chỉ một số chương trình bạn chọn. Để cấu hình cho sử dụng, bạn cần vào menu Start, mở Control Panel. Kích System applet, sau đó chọn tab Advanced, Performance Options, Data Execution Prevention như thể hiện trong hình 4 bên dưới.

Hình 4: Cấu hình Data Execution Prevention (DEP) trong Windows 7
Virus ngày nay phức tạp hơn rất nhiều so với chúng trước kia. Mỗi năm qua đi, các hack trở nên ngày càng khó ngăn chặn và malware ngày càng trở nên tinh vi hơn, có thể tự ẩn mình và phân phối trọng tải thê thảm. Thêm vào đó nó có thể thực hiện tấn công mà người dùng hoặc quản trị viên hệ thống không hề hay biết. Điều này là vì công nghệ ngày càng trở nên phức tạp và các tấn công cũng vậy. Cho ví dụ, bằng cách vào một trang web và xem nội dung bên trong của nó, bạn có thể cài đặt malware vào hệ thống của mình mà không hề hay biết thông qua các kịch bản lợi dụng các khai thác trong các lỗ hổng của trình duyệt web. Ngoài ra, do sự linh hoạt, trình duyệt rõ ràng được tạo ra để hoạt động với tất cả các giao thức, ngôn ngữ kịch bản, các plug-in và toolbar; do đó nó cũng khó giữ mức bảo mật cao mà không cần nâng cấp liên tục trình duyệt. Một gánh nặng nữa là việc truy cập các site để thực hiện công việc và liên tục bị hỏi về việc đưa các site vào vùng an toàn trước khi được phép truy cập, hoặc cho phép trình duyệt kiểm tra nhanh chóng xem các website có hợp lệ hay không. Vâng, nó sẽ giúp bạn an toàn hơn, tuy nhiên bạn sẽ phải giải quyết nhiều vấn đề phức tạp có liên quan đến việc hạn chế hoặc cho phép truy cập dựa trên mong muốn của mình, không chỉ là các file cấu hình hay danh sách các thiết lập mặc định.
Do việc truy cập Internet là hầu như được thực hiện cho các công việc hoặc giải trí, nên sự khóa chặn của Internet Explorer (IE) là cần thiết trừ khi bạn muốn lộ diện bản thân mình trước malware và các tấn công trình duyệt khi truy cập trực tuyến. Internet Explorer đã được nâng cấp một cách liên tục để bạn có nhiều tùy chọn bảo mật cho nó, có thể lướt web an toàn và được thông báo về những rủi ro tiềm ẩn, từ đó giúp bạn có thể quyết định có tiếp tục thực hiện hành vi nào đó hay không. Trong các phiên bản Windows trước, vấn đề này đã bị giảm nhẹ dưới nhiều cách làm và nhiều công cụ nhưng cốt lõi của vấn đề vẫn là Explorer, IE và cách nó thắt chặt ở mức độ thế nào với hệ điều hành cơ bản là một vấn đề thực. Phần mềm được phân tích và được viết lại hoàn toàn để nhóm tất cả các khía cạnh của ứng dụng bảo mật và các tập công cụ bảo mật tích hợp, chẳng hạn như Phishing filter. Đồng thời những tiến bộ về công nghệ khi được tích hợp vào các sản phẩm của Microsoft đã tạo nhiều tiến bộ trong mã và vì vậy các ứng dụng có tính bảo mật hơn. Ngày nay, IE là trình duyệt web an toàn nhất hiện có và thậm chí còn an toàn hơn khi được triển khai với Group Policy.
Mẹo: Để giữ mức rủi ro do tấn công gây ra ở mức thấp, chúng ta cần phải hạn chế việc truy cập vào các máy chủ web đang hosting các nội dung được biết đến đến như nguyên nhân gây ra các vấn đề này cho hệ thống của bạn. Các máy chủ đó gồm có các site khiêu dâm, các site download phần mềm miễn phí, chia sẻ file hoặc phần mềm P2P, máy chủ FTP công cộng, các biểu đồ IRC và,... Bạn có thể tạo một máy ảo và sử dụng nó để tăng cường sự bảo mật, tuy nhiên giải pháp này không hẳn đã an toàn. Nếu hạn chế được sự phơi bày, bạn sẽ giảm được khả năng trở thành nạn nhân của một tấn công.
Truy cập web theo một nguyên tắc chặt chẽ là một điều quan trọng. Ngoài việc cẩn thận, Internet Explorer cũng cần được cấu hình theo một cách nào đó để bạn không thể thực hiện bất cứ thứ gì không cho phép một cách rứt khoát. Trong phần này, chúng tôi đã giới thiệu sự cân bằng giữa bảo mật và tính linh hoạt và đó là một trong những ví dụ tốt nhất mà bạn có thể thao khảo. Cách bạn sử dụng Internet công cộng an toàn như thế nào mà không cần tốn gấp đôi số lượng thời gian mà bạn đang truy cập nó? Tìm ra một mức cân bằng nào đó và như được đề cập ở trên, có một kế hoạch cho việc khôi phục từ một tấn công có thể.
Các bước khóa IE (chẳng hạn như bật và cấu hình Phishing filter, sử dụng InPrivate Browsing, hoặc các tính năng bảo mật khác) sẽ giúp bạn an toàn hơn nếu không sử dụng bất cứ một thành phần nào, vì vậy tốt nhất hãy làm cho trình duyệt của bạn được an toàn nếu có thể, sau đó tắt hoặc giải phóng một số tùy chọn bảo mật khi bạn đã thích nghi với cách làm việc như một thói quen truy cập hiện hành. Khi cấu hình Internet Properties của IE, như thể hiện trong hình 5, bạn có thể áp dụng các cấu hình bảo mật trên tab Security cũng như các cấu hình bảo mật khác trên các tab khác.

Hình 5: Cấu hình Tab Options trong cửa sổ Internet Properties
Mẹo: Trong tab Internet Properties Security, bạn sẽ tìm thấy một hộp kiểm, nơi bạn có thể kích hoạt Protected Mode. Đây là chế độ cung cấp mức bảo mật cơ sở cho trình duyệt web của bạn.
Cho ví dụ, nếu chọn tab General, bạn có thể thay đổi trang chủ thành trống để mỗi lần mở trình duyệt bạn có thể chọn nơi mà mình muốn truy cập, không phải trình duyệt chọn trước cho bạn. Nếu bị chiếm quyền điều khiển, trang mặc định hiện hành có thể sẽ bị thay đổi thành một trang nào đó mà bạn không hề hay biết. Bạn cũng có thể xóa lưu ký duyệt của mình bất cứ khi nào thoát khỏi IE. Bạn có thể cấu hình các vùng an toàn, danh sách hạn chế, lọc, dịch vụ ủy nhiệm các giao thức nâng cao và,... Cần bỏ thời gian để nghiên cứu về cách trình duyệt của bạn có thể được bảo vệ như thế nào vì nó là tuyến đầu tiên trong quá trình phòng chống các tấn công malware của bạn.
________________________________________
Tất cả các công cụ này cũng làm việc cùng nhau sẽ tốt hơn – chẳng hạn như IE có thể giữ trạng thái khóa chặn, nhưng nếu có thứ gì đó lọt qua, thì UAC sẽ cắm cờ thành phần đó nếu nó cố tình tự động cài đặt.
Việc tránh malware xâm nhập có thể được thực hiện bằng nhiều tính năng khác nhau trong hệ thống ngoài các ứng dụng phần mềm Spyware và AV. Cho ví dụ, UAC (như được giới thiệu ở trên) là một ví dụ điển hình về tầm quan trọng sao nó cần phải có một công cụ như vậy. Nếu bạn truy cập một máy chủ web có chứa mã độc để xem và download nội dung, các kịch bản trong bản thân trang chủ của nó có thể được cấu hình để chạy các ứng dụng, các ứng dụng này sẽ cài đặt một cách thầm lặng trong chế độ background khi bạn sử dụng máy tính của mình. Nếu có bất cứ chương trình nào đó cố gắng tự cài đặt vào Windows 7, UAC (nếu được cấu hình ở mức bảo mật cao nhất), có thể bảo vệ bạn tránh được các kiểu tấn công như vậy.
Những thứ khác bạn có thể thực hiện để ngăn chặn malware là điều chỉnh Windows Firewall, kiểm tra hành động ghi chép của nó và cố gắng làm quen với những gì quả thực đang chạy trên hệ thống của bạn và bao nhiêu tài nguyên hệ thống mà nó đang sử dụng (việc khởi chạy và cư trú trong bộ nhớ, hiệu suất không gian đĩa,...). Sử dụng Task Manager cũng là một cách tuyệt vời để nhanh chóng tìm ra nhiều vấn đề như đã đề cập. Hình 6 thể hiện những gì đang chạy trong hệ thống của bạn. Nếu quan sát tab Processes, bạn sẽ thấy những gì đang chạy trong bộ nhớ và thấy quá trình đó có hợp lệ hay không.

Hình 6: Sử dụng Task Manager
Bạn cũng nên kiểm tra các bản ghi Event Viewer để thẩm định rằng các định nghĩa virus, cũng như các dịch vụ được download, cập nhật và được cài đặt đúng cách, không có lỗi nguy cấp nào được liệt kê mà không được chú trọng. Với tất cả các biện pháp phòng và chống đó, bạn vẫn có thể bị nhiễm malware vào hệ thống, sau đó nó có thể gây hại và phá hủy hoàn toàn dữ liệu của bạn.
Do malware vẫn có thể phá hủy một cách tiềm tàng hệ thống của bạn, thậm chí sau khi đã bảo mật toàn bộ hệ thống (cũng như đã cập nhật) nên bạn cần xem xét đến việc tạo một backup. Bạn luôn luôn cần backup dữ liệu cá nhân của mình mà không cần quan tâm tới việc mình đang ở trên hệ thống Windows, Linux hay Apple. Bạn có thể thực hiện backup theo nhiều cách, chẳng hạn như sử dụng tiện ích backup trong Windows 7, sử dụng một công cụ của hãng thứ ba, hoặc đơn giản là copy tất cả dữ liệu của bạn qua một ổ cứng ngoài hoặc burn nó vào một CD/DVD-ROM để cất giữ an toàn. Rõ ràng, giải pháp đơn giản nhất là bỏ qua nó và hy vọng mọi thứ sẽ tốt đẹp. Tuy nhiên nếu dựa vào dữ liệu của mình hoặc thấy nó là quan trọng, bạn hãy thực hiện backup cho nó ngay lập tức.
Khi dữ liệu đã được backup và được bảo vệ, bạn cần backup hệ thống với System Restore cũng như xem xét các phương pháp khôi phục thảm họa khác để có thể hoạt động trở lại sau khi gặp một vấn đề sự cố nào đó. Nếu không quen, bạn có thể khởi chạy và chạy System Restore và bắt đầu làm việc với nó. Công cụ này cực kỳ hữu dụng vì nó sẽ tạo một snapshot cấu hình hệ thống hiện hành và backup nó để dự phòng sau này. Mặc dù hành động này sẽ tiêu tốn của bạn một chút không gian đĩa, tuy nhiên nó sẽ rất đáng giá khi bạn gặp phải sự cố thực sự.
Các điểm truy cập malware khác cũng có thể nằm trong các tài liệu Windows Office và có thể được chạy như các chương trình được sử dụng tự động với ý định xâm nhập hệ thống của bạn. Các macro là các công cụ hữu dụng, tuy nhiên mặc định bị khóa toàn bộ. Sự nguy hiểm trong việc cho phép Macro (mặc định) là nếu bạn nhận một email có một tài liệu Office phân phối tải trọng, rất có thể bạn sẽ vô tình mở nó và tiêm nhiễm malware vào hệ thống. Quả thực đôi khi chúng ta quá để ý đến ứng dụng bảo mật trên hệ điều hành cơ sở mà thiếu suy nghĩ đến các chương trình chạy trên nó, hoặc mạng mà máy tính kết nối. Malware cũng có thể tiêm nhiễm qua mạng. Worm sẽ di chuyển từ chia sẻ Windows này sang chia sẻ Windows khác, các bộ quét có thể quét dọn hệ thống của bạn với hy vọng tìm được nó. Trojan có thể được cài đặt để kết nối các máy chủ từ xa và báo cáo các thông tin chi tiết về hệ thống của bạn và,...Bảo mật mạng – ngoài bảo mật hệ thống, cũng không được bỏ qua. Các tường lửa mạng có thể khóa sự truy cập của các tấn công, router và các switch có thể được làm vững chắc và cấu hình mã hóa nâng cao có thể được sử dụng để tạo các kết nối an toàn đến một mạng từ xa. Thậm chí việc quản lý quan mạng cũng cần được xem xét. Cho ví dụ, nếu không vô hiệu hóa dịch vụ Telnet (có trong Windows Features) và đang sử dụng nó một cách tích cực thay vì Secure Shell (SSH) (lấy ví dụ như vậy), thì bạn sẽ đang sử dụng giao thức TCP/IP có thể bị tấn công một cách dễ dàng. Tất cả bảo mật mà bạn đã tạo cho các hệ thống của mình hiện bị đánh liều vì bạn không thể bắt ứng dụng capture hoặc đánh hơi dữ liệu trên mạng của mình để từ đó có thể quét tích cực và capture mật khẩu trong sáng (không được mã hóa), cũng có thể xảy ra với mật khẩu được sử dụng tài khoản dịch vụ mặc định Windows Administrator. Chính vì vậy luôn luôn xem xét mạng như một điểm truy cập tiềm tàng cho malware và các tấn công vì nó thường bị bỏ qua.
Gói phần mềm Microsoft Security Essentials (MSE) có thể download miễn phí từ Microsoft, đây là phần mềm khi được cài đặt, nó sẽ bổ sung phần mềm quét AV cho hệ thống của bạn. Được thiết kế cho XP, Vista và Windows 7, gói phần mềm Security Essentials chỉ có sẵn từ Microsoft nếu bạn có một copy hợp lệ. Còn nếu không có, bạn không thể download và cài đặt nó. Trong trường hợp có thể, hãy cài đặt nó ngay tức khắc. Bạn sẽ cần hợp lệ hóa copy Windows 7 của mình nếu chưa làm việc đó trong quá trình cài đặt. Khi đã hợp lệ hóa, chương trình cài đặt sẽ kiểm tra hệ thống của bạn để xem các chương trình AV khác có đang chạy hay không. Bạn sẽ nhân được lời khuyên để sử dụng một bảo vệ AV nào, tuy nhiên không may, nếu bạn chọn để chạy cả hai cùng lúc, đôi khi điều đó sẽ xảy ra hiện tượng xuyên nhiễu giữa hai phần mềm, và bạn phải quản lý và kiểm tra (cũng như nâng cấp) và chịu gánh nặng về hiệu suất vì các chương trình AV sẽ sử dụng công suất xử lý và bộ nhớ khá cao, ảnh hưởng rõ nét đến hiệu suất của toàn bộ hệ thống. Khi được cài đặt, bạn có thể nâng cấp nó như thể hiện trong hình 7 bên dưới.

Hình 7: Chạy Microsoft Security Essentials Updates
Tiếp (trong hình 8), bạn có thể quét Quick, Full hoặc Custom để kiểm tra malware trên hệ thống. Việc thực hiện quét tích cực và thiết lập sự bảo vệ thời gian thực có thể được thực hiện nhanh chóng và dễ dàng. Đơn giản, chạy MSE và liên tục cập nhật nó để có sự bảo vệ AV hoàn tất. Một ưu điểm khác mà bạn có lúc này là nó có thể được cập nhật với Windows Update.

Hình 8: Quét Malware trong hệ thống với Microsoft Security Essentials
Khi đã cài đặt sự bảo vệ malware và thực hiện mọi thứ để ngăn chặn tích cực mối đe dọa này, bạn có thể tiếp tục “làm vững chắc” nó, tạo image cho nó, thiết lập một điểm khôi phục hoặc tiến lên tạo một hệ thống sản xuất thực và sử dụng nó.
Sử dụng một máy tính trên mạng Internet sẽ có nhiều nguy cơ tấn công. Cài đặt và sử dụng bảo vệ malware và spyware và giữ cập nhật nó liên tục. Luôn xem xét một thứ rằng khi được bảo vệ, bạn vẫn cần tự cập nhật để duy trì trạng thái bảo vệ và cố gắng tuân thủ theo các thói quen truy cập mạng của mình.
Mẹo: Cân nhắc việc không sử dụng các mục như Desktop Gadgets hoặc các nội dung “sống” khác vì như đề cập ở trên, bạn có thể tạo các lỗ hổng trong hệ thống của mình bởi các chương trình như vậy, cho dù chúng đã được ký. Nếu không cần thứ gì đó, hoặc không sử dụng nó nữa, một hành động an toàn là bạn nên remove nó ngay lập tức. Hành động trên của bạn không chỉ giúp giải phóng được không gian và sức mạnh trong xử lý mà bạn còn giảm được những rủi ro đến từ các tấn công bằng các hạn chế khả năng có thể vô tình cài đặt một gadget được được ký và tiềm tàng nhiều mối nguy hiểm. Bất cứ thứ gì không được gán, từ một nguồn không tin tưởng hoặc đáng ngờ, bạn không nên cài đặt chúng.
Kết luận
Hệ thống Windows 7 tại nhà có thể được khóa và được quản lý một cách dễ dàng. Bạn thậm chí còn có thể cấu hình nó một cách an toàn để có thể truy cập trên Internet từ một vị trí từ xa. Windows 7 có thể được xây dựng để đạn bắn không thủng nếu bạn thực sự muốn “làm vững chắc” nó và khóa toàn bộ các điểm có thể truy cập của hệ thống này. Tuy nhiên nó vẫn là một đối tượng cho các tấn công và có thể sẽ là như vậy nếu máy tính của bạn truy cập Internet. Chính vì vậy chúng ta cần phải lên kế hoạch cho những gì có thể xảy ra và làm vững chắc Windows 7 theo kế hoạch đó.
Khi xem xét đến việc sử dụng Windows 7, trong áp lực các tấn công và các khai thác ngày nay, các tùy chọn bảo mật và khả năng linh hoạt là ưu tiên hàng đầu khi tạo quyết định. Windows 7 rất an toàn, tuy nhiên không thể an toàn 100%. Bạn cần phải áp dụng các kiến thức, các công cụ và các cấu hình nâng cao để bảo mật tất cả các khía cạnh của nó và tiếp đó là cập nhật, kiểm tra chúng một cách thường xuyên. Cũng rất giá trị nếu bạn muốn tránh tấn công. Windows 7 có nhiều nâng cao về bảo mật và có thể được cấu hình để khôi phục một cách nhanh chóng.
Thêm vào đó, các nguyên lý bảo mật cơ bản chẳng hạn như Defense in Depth phải được áp dụng kết hợp với các hướng dẫn bảo mật khác và những thói quen tốt nhất để bạn không những áp dụng bảo mật để bảo vệ mà còn bổ sung thêm nhiều lớp bảo mật để phòng và chống cho toàn bộ kiến trúc và mã chạy bên trong nó.
Chúng ta mới chỉ động chạm tới bề mặt ở đây, còn có rất nhiều thứ mà chúng ta cần biết và tìm hiểu, tuy nhiên hy vọng phần này sẽ cung cấp cho các bạn được nhiều thông tin quý giá. Để tìm hiểu thêm, bạn có thể tham khảo các liên kết tham chiếu gồm có các thông tin chi tiết cũng như các công cụ, template và hướng dẫn miễn phí. Và hãy nhớ theo dõi phần ba của loạt bài này.
Hướng dẫn toàn diện về bảo mật Windows 7 – Phần 3
Có thể nói Windows 7 được thiết kế an toàn hơn. Khi được sử dụng như một hệ điều hành độc lập, Windows 7 sẽ bảo vệ tốt người dùng cá nhân. Nó có nhiều công cụ bảo mật hữu dụng bên trong, tuy nhiên chỉ khi được sử dụng với Windows Server 2008 (R2) và Active Directory, thì sự bảo vệ sẽ đạt hiệu quả cao hơn.
Trong bài này chúng tôi sẽ giới thiệu cho các bạn một số kiến thức cơ bản cần thiết để bảo mật Windows 7 được đúng cách, giúp bạn đạt được mức bảo mật cơ bản, xem xét một số cấu hình bảo mật nâng cao cũng như đi khám phá một số chức năng bảo mật ít được biết đến hơn trong Windows nhằm ngăn chặn và bảo vệ chống lại các tấn công có thể. Mục tiêu của bài viết này là để giới thiệu các tính năng bảo mật của Windows 7, những nâng cao và ứng dụng của chúng cũng như cung cấp cho bạn những kiến thức về việc lên kế hoạch, sử dụng đúng các tính năng bảo mật này. Các khái niệm mà chúng tôi giới thiệu sẽ được chia nhỏ và được tổ chức theo phương pháp khối.
Lưu ý: Nếu làm việc trong công ty hoặc môi trường chuyên nghiệp khác, các bạn không nên thực hiện các điều chỉnh với máy tính của công ty. Hãy thực hiện theo đúng kế hoạch (hay chính sách) bảo mật đã được ban bố, cũng như những hành động, nguyên lý và hướng dẫn tốt nhất đã được công bố trong tổ chức. Nếu chưa quen với các chủ đề bảo mật và các sản phẩm của Microsoft, hãy đọc tài liệu hướng dẫn của sản phẩm trước khi áp dụng bất cứ thay đổi nào cho hệ thống.
Khôi phục thảm họa
Windows 7 khi đã được bảo mật đầy đủ, nó cần được backup để có thể khôi phục lại một cách nhanh nhóng. Bạn có thể sử dụng phần mềm imaging chụp lại cài đặt cơ bản để có thể cài đặt lại nhanh chóng nếu cần. Nếu phải cài đặt lại Windows 7 từ đống đổ nát, bạn cũng cần phải thực hiện tất cả các bước đã thực hiện bảo mật. Do công việc này có thể mất nhiều thời gian nên chúng ta nên xem xét đến các giải pháp khôi phục, đặc biệt nếu Windows 7 được sử dụng trong doanh nghiệp. Các giải pháp công ty hoàn toàn có tính năng imaging. Trong khi đó người dùng gia đình cũng có thể tạo một snapshot cho các hệ thống của họ để có thể khôi phục nhanh chóng. Dù cách nào, bạn cũng luôn có thể sử dụng các công cụ như System Restore, tiện ích cho phép tạo snapshot cho hệ thống, tuy nhiên chỉ khi bạn có thể khởi động hệ thống. Chỉ có một cách có thể khôi phục từ một thảm họa ở góc độ toàn diện là lên kế hoạch từ trước về vấn đề đó và xây dựng một kế hoạch khôi phục tỉ mỉ. Một kế hoạch khôi phục đơn giản sẽ là khi cài đặt được hoàn tất, sau đó bảo đảm các đĩa cài đặt được bảo vệ an toàn cho sử dụng sau này. Nếu thảm họa xảy ra, chúng ta sẽ khắc phục hệ thống và nếu không thể khắc phục được, hãy khôi phục dữ liệu và cài đặt lại Windows từ các đĩa cài đặt. Quá trình này sẽ mất rất nhiều thời gian và bạn sẽ bị rủi ro mất dữ liệu. Một kế hoạch phản ứng với việc khôi phục thảm họa sẽ gồm có nhiều cách bảo vệ dữ liệu của bạn và cung cấp nhiều tùy chọn để có thể khôi phục nhanh:
•    Cài đặt Windows 7, các ứng dụng, các tập công cụ và làm vững chắc hệ thống
•    Tạo một backup hệ thống (imaging, ảo hóa, tạo điểm khôi phục,...)
•    Chuẩn bị giải pháp để backup và khôi phục dữ liệu tập trung
•    Triển khai sử dụng, đợi sự việc hoặc thảm họa
•    Khi sự việc xảy ra, tìm nguyên nhân gốc và sửa chữa nó
•    Một thảm họa sẽ làm cho hệ thống vượt xa khả năng sửa chữa cũng như rơi vào trạng thái ngừng sản xuất
•    Khôi phục nhanh hệ điều hành cơ bản với các ứng dụng, nâng cấp thông qua việc imaging hoặc ảo hóa
•    Áp dụng lại dữ liệu (PST,...) thông qua kho lưu trữ dữ liệu tập trung và bản đồ hóa ổ đĩa.
•    Người dùng hệ thống quay trở lại làm việc nhanh chóng mà không bị mất các dữ liệu quan trọng.
Tất cả hệ thống sẽ chắc chắn có một số dạng lỗi dù bạn có chuẩn bị kỹ càng thế nào đi chăng nữa. Lỗi ổ đĩa, lỗi ứng dụng, lỗi bảo mật,... Vì vậy, trong kế hoạch bảo mật của mình, bạn nên xem xét đến những thứ này và cho phép bạn có cơ hội để khôi phục lại. Bạn cũng cần xem xét cách sẽ khôi phục khi xảy ra vấn đề với hệ thống như thế nào. Windows 7 cung cấp rất nhiều tùy chọn để đưa dữ liệu của bạn trở lại và hoạt động nhanh chóng khi có sự kiện thảm họa xảy ra.
Nếu cần sửa các file hệ thống, hoặc khôi phục lại một copy trước của hệ điều hành, bạn có thể thực hiện dễ dàng với Windows 7. Windows 7 cung cấp nhiều công cụ trợ giúp bạn bảo vệ và backup dữ liệu cá nhân của mình, cũng như bản thân hệ điều hành. Việc sử dụng các công cụ chẳng hạn như ERD, ASR, Backup and Restore, System Restore, Recovery Console, Safe Mode, Last Known Good Installation và các tùy chọn khác đã giúp các quản trị viên và người dùng có thể lái thảm họa từ phát hành XP. Nhiều người trong số chúng tôi đã sử dụng một số công cụ Sysinternal để vực lại hệ thống và chạy sau khi gặp phải các lỗi nghiêm trọng (BSOD).
Backup and Restore sẽ kèm luôn Data Backup. Backup hệ thống bản thân nó được thực hiện với System Restore (hình 1), ở đây bạn có thể cấu hình điểm khôi phục hệ điều hành để sử dụng về sau.

Hình 1: Sử dụng System Restore để tạo điểm khôi phục
Lưu ý: System Restore được sử dụng để tạo snapshot cho hệ thống, snapshot này sau đó sẽ được lưu vào ổ cứng. Nếu muốn quay trở lại điểm khôi phục đó, bạn cần có khả năng sử dụng System Restore lần nữa. Nếu System Restore bị thỏa hiệp; bạn sẽ không thể sử dụng điểm khôi phục và cần dựa vào việc imaging, hoặc cài đặt lại.
Cũng có thể dựa vào các công cụ imaging để cài đặt lại nhanh chóng hệ điều hành hiện không thể sửa chữa được. Việc cài đặt các desktop Windows từ đống đổ nát là một tiến trình khá dài, đặc biệt nếu bạn đang chạy hệ thống chẳng hạn như XP. Có rất nhiều các hot fix, nâng cấp và các gói dịch vụ cần được sử dụng, cũng như các nâng cấp cho các ứng dụng giống như Microsoft Office. Một cách để fix thời gian cần thiết để khôi phục hệ thống không thể hoạt động do virus gây ra là cần có một image. Nếu System Restore hoặc các công cụ khác không thể làm cho hệ thống của bạn hoạt động trở lại, bạn cần sử dụng một copy Windows mới, tuy nhiên không sử dụng các hot fix và các nâng cấp lúc này – vì bạn có thể lại trở thành nạn nhân của cùng vấn đề đã gây cho hệ thống của bạn bị lỗi lúc trước.
Dữ liệu là thứ quan trọng nhất mà bất cứ ai cũng phải quan tâm đến nó. Dữ liệu cá nhân (hoặc công ty) cần được cung cấp sẵn ở mọi thời điểm và không bao giờ bị mất. Trong môi trường doanh nghiệp, dữ liệu thường được backup, được cất giữ cẩn thận và sẽ được mang ra để khôi phục nếu thảm họa xảy ra. Trong gia đình, cách thức như vậy cũng nên được thực hiện. Bạn có hoặc không muốn tạo một copy offsite cho dữ liệu của mình, nhưng việc backup để có thể khôi phục lại sau này nếu cần là thứ đầu tiên mà bạn cần xem xét thậm chí trước khi nghĩ về cách khôi phục Windows 7 trong tình trạng khẩn cấp như thế nào. Phương án thiết kế đúng nên làm là giữ một copy dữ liệu cá nhân của bạn trong một ổ cứng ngoài. Được kết nối thông qua USB (hoặc FireWire), dữ liệu của bạn có thể được truy cập bất cứ lúc nào. Bạn cũng có thể mirror copy vào ổ cứng thứ hai, hoặc thậm chí sử dụng giải pháp băng từ trong nhà để bảo vệ dữ liệu an toàn hơn. Nếu đang điều hành một doanh nghiệp của gia đình, bạn có thể sẽ muốn bổ sung thêm sự an toàn cho dữ liệu để phòng khi trường hợp có vấn đề gì đó xảy ra với gia đình thì doanh nghiệp của bạn vẫn không bị ảnh hưởng bởi nó. Vì vậy, nhìn chung – bạn cần phải có sự chuẩn bị. Cách tốt nhất để khôi phục khi gặp phải trường hợp lỗi dữ liệu hoặc xóa vô tình là backup dữ liệu của bạn để giữ an toàn.
Việc sử dụng các giải pháp tập trung là chìa khóa để làm cho những dữ liệu quan trọng của bạn có được khả năng có sẵn cao và an toàn. Cho ví dụ, nếu lưu tất cả dữ liệu của mình trên một ổ cứng bên trong và không bao giờ backup nó, khi đó bạn sẽ phải đối mặt với những rủi ro mất dữ liệu do ổ cứng bị lỗi và không thể sửa chữa. Một giải pháp đơn giản là sử dụng các tùy chọn backup ở mức tối thiểu, copy nó vào một ổ cứng ngoài. Tất cả các ổ cứng đều có thể bị lỗi vì vậy cho tới khi có công nghệ mới hơn bắt kịp được công nghệ đã triển khai, chúng ta sẽ thấy các máy tính gia đình và các mảng doanh nghiệp được lấp đầy các ổ đĩa đang chờ đợi lỗi xảy ra bất cứ lúc nào. Bạn phải backup dữ liệu hoặc phải gánh chịu hậu quả để mất nó. Khi đã chỉ ra vấn đề đó, tất cả những gì bạn cần thực hiện là tìm ra cách khôi phục nhanh Windows với cố gắng và thời gian tối thiểu.
Mẹo: Tốt nhất luôn lên kế hoạch cho kịch bản tồi tệ nhất. Nếu bạn cho rằng hệ thống của mình rốt cuộc sẽ bị đổ vỡ và không thể sửa chữa, việc có một backup tốt cho hệ thống và dữ liệu sẽ là hy vọng cứu cánh cho bạn. Nói ngắn gọn, kế hoạch bảo mật và ngăn chặn thậm chí dù có được thực hiện một cách hoàn hảo thì vẫn không thể gọi là an toàn 100%, vì vậy luôn có kế hoạch để sử dụng lại Windows 7 nếu bạn cần.
Có thể thiết lập một kế hoạch khôi phục thảm họa cho hệ điều hành của mình rất dễ dàng bằng việc ảo hóa. Bạn có thể download và cài đặt Virtual PC, hoặc Hyper-V của Microsoft. Hyper-V cung cấp một nền tảng cho phép bạn có thể tạo, quản lý và kiểm tra các máy ảo (VM). Nếu đang chạy Windows 7 tại nhà, bạn vẫn có thể ảo hóa hệ thống hoặc tài nguyên của mình và lợi dụng các ưu điểm của nó bên trong Virtual PC (ví dụ như vậy). Bằng cách này, nếu muốn tạo một VM làm backup, bạn hoàn toàn có thể. Một mẹo hữu ích mà bạn có thể áp dụng tại nhà là những gì các doanh nghiệp đang triển khai để thay đổi cách họ quản lý phần mềm và triển khai hệ thống. Việc sử dụng ảo hóa (Virtual PC/Server or Hyper-V) sẽ mang đến cho bạn nhiều cơ hội để có thể thay đổi nhanh cách bạn làm việc ở nhà. Nếu sử dụng VHD (một virtual hard drive file), bạn sẽ luôn có một copy cho hệ thống của mình. Có thể sử dụng Disk Management để tạo một VHD của Windows 7 như những gì thể hiện trong hình 2.

Hình 2: Tạo ổ ảo bằng Disk Management
Nếu trong doanh nghiệp, các hệ thống và tài nguyên có thể được ảo hóa và dữ liệu có thể có sẵn cao trong thiết bị Storage Area Network (SAN) hoặc Network Attached Storage (NAS) thì điều này sẽ giải quyết các vấn đề có liên quan tới thời gian khôi phục thảm họa xảy ra. Nếu tất cả các file được sử dụng bởi máy khách mà người dùng có thể tìm thấy thông qua ổ đĩa được mapping với máy chủ file thì về cơ bản tất cả những gì bạn cần thực hiện lúc đó là đợi cho lỗi phần cứng hệ thống xảy ra và đưa hệ thống hoạt động trở lại trên các máy tính mới. Hầu hết môi trường công ty với các hệ thống tối tân đều có thêm phần cứng dự phòng. Nếu thiết kế và sử dụng các khái niệm máy chủ dự phòng và sử dụng sự ảo hóa để cân bằng thì bạn có thể nhanh chóng khắc phục được sự cố, bên trong đơn vị tính là giây, người dùng có thể backup và chạy mà không mất nhịp làm việc của mình.
Nói tóm lại, luôn backup dữ liệu của bạn và bảo vệ hệ thống. Làm vững chắc nó tốt nhất với khả năng của bạn, tuy nhiên cũng cần cho phép bạn có được khả năng backup và hoạt động trở lại mà không tốn nhiều thời gian vào việc cài đặt phần mềm, driver và cấu hình lại hệ thống.
Lưu ý: Kết hợp chặt chẽ với vấn đề an toàn chịu lửa, hoặc giải pháp backup offsite cho dữ liệu để đề phòng những thảm họa về môi trường.
________________________________________
Các tính năng bảo mật nâng cao
Windows 7 có nhiều tính năng bảo mật nâng cao mà bạn có thể sử dụng, chẳng hạn như các tùy chọn mã hóa và sinh trắc học. Truyền thông an toàn qua các kết nối không an toàn phải được bảo đảm. Điều khiển truy cập, khai thác các thông tin đã thu thập được là thứ mà bạn cần lên kế hoạch khi triển khai Windows 7, vì các thảm họa có thể xuất hiện và dữ liệu cũng vì thế mà có thể mất bất cứ lúc nào. Tồi tệ hơn, vì các công việc di động và laptop được sử dụng cho mục đích cá nhân, bảo mật bị nguy hiểm khi người dùng mất laptop của họ, để quên nó ở đâu đó hoặc có thể bị mất cắp. Nếu USB được sử dụng và bị mất, dữ liệu của bạn sẽ được duy trì an toàn như thế nào? Để chuẩn bị cho những vấn đề này, bạn có thể triển khai các tính năng bảo mật dưới đây với Windows 7:
Sinh trắc học – Các vấn đề về sinh trắc học được sử dụng để điều khiển sự truy cập. Hầu hết các hệ thống (đặc biệt là dòng IBM/Lenovo ThinkPad) đã giới thiệu tính năng nhận dạng dấu vân tay. Cải tiến về kỹ thuật này có thể được sử dụng cho bất cứ hệ thống nào, từ các thiết bị gia đình, doanh nghiệp, hoặc ở đâu đó. Các thư viện công cộng sẽ từ bỏ việc sử dụng thẻ thư viện và thay vào đó là một máy quét võng mạc. Các ứng dụng điều khiển cha mẹ cho trẻ con tại nhà và các chức năng cá nhân sẽ được thực hiện dưới dạng ID sinh trắc học. Windows 7 đã sẵn sàng cho tất cả vấn đề đó. Microsoft đã làm việc cụ thể với các chuyên gia phát triển về nhận dạng vân tay và các hãng phần cứng để bảo đảm rằng Windows 7 sẵn sàng có thể thực hiện những gì mà nó hứa hẹn. Quản lý sự nhận dạng là một vấn đề quan trọng cần xem xét khi áp dụng bảo mật.
BitLocker Drive Encryption (BDE) – BitLocker (và BitLocker to Go), được sử dụng để cung cấp vấn đề bảo mật dữ liệu chứa trong csc hệ thống ổ đĩa ngoài và trong. Với Windows 7, bạn có thể sử dụng cả hai phiên bản BitLocker để bảo mật dữ liệu trên các ổ cứng trong, các ổ ngoài, ổ USB và các định dạng lưu trữ di động khác. BDE có thể bảo vệ dữ liệu được lưu trên các ổ này bằng cách yêu cầu các chứng chỉ truy cập nó và cũng sử dụng TPM.
Tính năng Trusted Platform Module (TPM) Management của Microsoft chỉ có sẵn trên phần cứng đồng thuận TPM. Khi đồng thuận, Windows Vista/7 và Windows Server 2008 có thể sử dụng các tính năng và các chức năng bảo mật nâng cao. Trusted Platform Module (TPM) Management của Microsoft là một tính năng mới có trong Windows Vista/7 và Microsoft Windows Server 2008. Chức năng cơ bản của nó là cho phép các hệ thống Windows có thể sử dụng quá trình nâng cao và các chức năng mã hóa ở mức phần cứng. Như được đề cập ở trên trong bài này, một trong số các tính năng này yêu cầu phần cứng (có khả năng tương thích) khá cao. Nếu bạn muốn sử dụng một tính năng nào đó và thấy nó ở trạng thái không tích cực hoặc không thể sử dụng, rất có thể nguyên nhân là phần cứng của bạn không đồng thuận với tính năng này, hoặc có thể bạn đang sử dụng sai phiên bản Windows 7 và tính năng đó không có trong phiên bản của bạn.
Mẹo: TPM có thể được cấu hình và quản lý thông qua các thành phần BIOS và MMC snap-in mà chúng tôi đã cài đặt ở trên.
Bạn cũng có thể kết nối an toàn đến các tài nguyên từ xa với Windows 7 bằng cách cấu hình các kết nối IPsec/VPN. Virtual Private Network (VPN) là một thuật ngữ được sử dụng để mô tả hình thức bảo mật được áp dụng nhằm giữ cho bạn được an toàn trước các tấn công. Bạn sẽ vẫn thực hiện kết nối qua một mạng công cộng không an toàn, tuy nhiên do đường hầm mã hóa được sử dụng nên dữ liệu của bạn sẽ được riêng tư và an toàn. Có thể tạo một kết nối VPN mới nhanh chóng bằng cách vào menu Start, đánh VPN và theo liên kết Control Panel để tạo kết nối VPN mới như thể hiện trong hình 3.

Hình 3: Cấu hình kết nối VPN
Bạn có thể tạo các kết nối với các hệ thống khác bằng cách sử dụng các giao thức nâng cao có cung cấp mức bảo mật thông qua các thuật toán mã hóa. Vấn đề này thường yêu cầu một bộ vi xử lý có khả năng cung cấp tùy chọn mã hóa phần cứng. Các VPN có thể được sử dụng để tạo các kết nối an toàn cho các hệ thống khác nhau.
Lưu ý: Nếu quản lý các hệ thống Microsoft từ xa, bạn có thể sử dụng Remote Desktop Connection (RDC). Nếu sử dụng Telnet làm công cụ kết nối từ xa cho các hệ thống Unix và các thiết bị mạng Cisco (ví dụ như vậy) thì bạn nên xem xét việc vô hiệu hóa dịch vụ này (bị vô hiệu hóa mặc định) và sử dụng Secure Shell (SSH).
Bạn cũng có thể tạo các kết nối đường hầm có thể quản lý với giao thức IPsec và quản lý chúng với giao diện quản lý MMC hoặc Windows Firewall. Thậm chí còn có các tính năng bên trong giao diện này cho phép bạn có thể quản lý và khắc phục sự cố các kết nối IPsec như các khóa bị lỗi kiểu, các vấn đề security association (SA), các vấn đề đối với tập mã hóa, thiết lập thời gian cũng như các vấn đề cấu hình ISAKMP khác. Những vấn đề này cũng có thể được quản lý trong Windows Firewall, Advanced Features.
Khi các tùy chọn điều khiển truy cập và khôi phục được chọn và bạn có thể kết nối một cách an toàn đến các tài nguyên mạng thông qua các đường hầm mã hóa, điều gì sẽ xảy ra nếu bạn muốn chia sẻ tài nguyên một cách an toàn qua mạng công ty hoặc gia đình? Windows 7 cung cấp một chức năng mới mang tên HomeGroup, chức năng có trong Control Panel. Bạn có thể cấu hình nó để tạo các thay đổi với hệ thống nhằm kết nối các máy tính khác trên mạng gia đình an toàn để chia sẻ tài nguyên như thể hiện trong hình 4 bên dưới.

Hình 4: Cấu hình Windows 7 HomeGroup
Windows 7 có thể được cấu hình để chia sẻ tài nguyên với các hệ thống khác trên mạng gia đình của bạn một cách an toàn. HomeGroup có thể cung cấp mức bảo mật cơ bản cho việc truy cập, sử dụng và chia sẻ dữ liệu. Cho ví dụ, nếu bạn cấu hình hai máy tính trên một mạng gia đình và một trong số chúng sử dụng máy in cục bộ, HomeGroup sẽ cho phép bạn chia sẻ máy in đó với tư cách tài nguyên để tất cả các hệ thống đều có thể sử dụng nó. Bạn cũng có thể đặt mật khẩu để bảo vệ nó và chỉ định những ai có thể sử dụng và những ai không. Với Windows 7, cách thức này thay thế cho việc phải sử dụng chức năng Workgroup. Mặc dù vậy không phải tất cả các phiên bản Windows 7 đều cho phép bạn tạo một HomeGroup. Các phiên bản Windows 7 đều có thể gia nhập một HomeGroup, tuy nhiên chỉ có thể tạo một HomeGroup trong các phiên bản Home Premium, Professional, hoặc Ultimate.
Rõ ràng, Windows 7 sẽ an toàn nhất khi sử dụng nó với Windows Server 2008 trong môi trường Active Directory. Chạy hệ điều hành lớp doanh nghiệp sẽ mở toanh cánh cửa cho các tính năng kiểm tra và khóa chặn đầy đủ nhất. Cho ví dụ, việc lướt web có thể được điều khiển và được kiểm tra với Active Directory, Group Policy, đặc biệt các template khóa chặn, các bộ kit cũng như các công cụ như proxy server. Người dùng có thể đăng nhập vào miền (Domain) và có thể được quản lý và kiểm tra hoàn toàn. Bất cứ thứ gì người dùng thực hiện cũng đều có thể được ghi chép lại. Bất cứ công cụ hoặc dịch vụ mà Windows cung cấp cũng đều có thể tùy chỉnh, thay đổi hoặc remove hoàn toàn.
Với các sản phẩm Forefront, mọi khía cạnh sử dụng máy tính, thẩm định nhận dạng, ghi chép và kiểm tra đều có sẵn và được quản lý trong một giao diện tập trung. Bạn có thể nâng Windows Server lên mức cao hơn nữa bằng cách tích hợp với Forefront. Forefront là một dòng sản phẩm mới của Microsoft, có thể cung cấp một trải nghiệm bảo mật hoàn chỉnh cho doanh nghiệp. Nó cung cấp các tính năng cho máy chủ, desktop, điều khiển truy cập và các giải pháp cá nhân cho SharePoint và nhiều thành phần khác. Khi chạy máy khách Windows trong môi trường doanh nghiệp, giải pháp này có thể cung cấp khả năng tinh chỉnh các thiết lập bảo mật cũng như nhiều tùy chọn cho việc quản lý và kiểm tra tập trung.
Trong một số trường hợp, bạn có thể phải chạy Active Directory. Cho ví dụ, điều gì sẽ xảy với bạn nếu chính sách bắt phải thẩm định tất cả các truy cập vào tài nguyên công ty và giữ lại một copy tất cả các email nhân viên? Khi làm việc trong doanh nghiệp, bạn chắc chắn sẽ gặp phải việc thẩm định – đặc biệt nếu làm việc trong công ty thương mại. Dữ liệu “phải” được bảo vệ và có thể khôi phục lại. Các mức bảo mật ở mức nào đó phải được đặt ra và điều này được thực hiện với luật pháp của chính phủ.
Trong doanh nghiệp, bạn sẽ có khả năng bảo mật hơn cho các máy trạm hoặc desktop bằng cách sử dụng dịch vụ thư mục Active Directory (AD DS), model miền, Group Policy và các công cụ khác để tập trung và điều khiển các chức năng bảo mật. Kerberos được nâng mức để giữ tất cả các phiên giao dịch được an toàn thông qua thẻ. Điều này sẽ tạo một nền tảng an toàn cho những gì được xây dựng bên trên nó. Nếu bạn xây dựng trên nền tảng đó, khả năng áp dụng được các mức điều khiển nâng cao sẽ không dừng lại ở đây.
Windows 7 có thể được quản lý như một máy khách và khi thực hiện điều đó trong một mô hình miền, Active Directory sẽ cung cấp bảo mật bằng việc tích hợp tất cả các dịch vụ, khả năng điều khiển truy cập vào nó và đi cùng là nhiều tùy chọn cho các chiến lược triển khai bảo mật, chẳng hạn như chỉ cài đặt thành phần “lõi” của những gì được cho là cần thiết nhằm hạn chế bề mặt tấn công ở mức thấp nhất, hoặc cài đặt và cấu hình, bổ sung thêm các dịch vụ, tất cả thông qua các tùy chọn và toolkit. Thêm vào đó, Group Policy khi được áp dụng đúng cách có thể giúp bạn triển khai nhiều tính năng chúng ta đã thảo luận, cho ví dụ, bạn có thể tích hợp BitLocker và AD và sau đó triển khai cùng một chính sách. Bạn có thể kiểm soát Internet Explorer cũng như hạn chế sự truy cập, khóa toàn bộ nó với các danh sách các site malware được cấu hình và các mạng được liệt vào danh sách đen.
Bạn cũng có thể triển khai các tính năng bảo mật nâng cao của Windows 7 để thắt chặt sự bảo mật hơn nữa, chẳng hạn như:
Advanced DNS Security – Extension Domain Name System Security (DNSSec) hỗ trợ với Windows 7 sẽ mang đến cho bạn một mức bảo mật mới cho việc phân định tên. Do DNS rất quan trọng và là phần xương sống của hầu hết các giải pháp, nên nó cũng là mục tiêu của nhiều tấn công. RFC 4033, 4034 và 4035 liệt ra các chuẩn mới cho việc lưu trữ bảo mật DNS và Microsoft đã biên dịch với Windows 7.
DirectAccess – DirectAccess là một tính năng của Windows 7 cho phép làm việc khi lưu động và khả năng làm việc từ xa qua Internet mà không cần sử dụng kỹ thuật VPN. DirectAccess được thắt chặt với tài nguyên doanh nghiệp để cho phép bạn truy cập chúng từ xa một cách an toàn. Nó cũng cho phép người dùng lưu động có khả năng nhận sự hỗ trợ từ xa từ các nhân viên CNTT. Ngoài ra DirectAccess còn cho phép bạn quản lý các máy tính từ xa và nâng cấp chúng thông qua Group Policy. Nó cũng sử dụng IPv6 trên IPsec để mã hóa lưu lượng qua Internet công cộng.
AppLocker – Khi làm việc với Local Security Policy Editor (hoặc Group Policy), bạn có thể cấu hình AppLocker, một tính năng trong Windows 7 có thể điều khiển các ứng dụng đã được cài đặt của bạn. Khi cấu hình, bạn có thể khóa chặn, hạn chế, điều khiển các ứng dụng desktop. Nó thực hiện các công việc đó qua một tập các rule. Bạn có thể cấu hình các rule để điều khiển ứng dụng, cách các nâng cấp được quản lý và,... Hình 5 thể hiện bộ Local Security Policy editor trong Windows 7, nơi bạn có thể cấu hình bảo mật ứng dụng với AppLocker.

Hình 5: Sử dụng AppLocker để bảo mật các ứng dụng
Cuối cùng, luôn xem xét đến mạng của bạn. Các hệ thống không dây là các hệ thống rất dễ bị xâm phạm. Các router, switch và các thiết bị quản lý khác trong mạng đều rất dễ bị tấn công nếu không làm vững chắc tốt. Đó là lý do tại sao khái niệm Defense in Depth lại quan trọng đến vậy – bạn cần khám phá các điểm đầu vào và các vùng có thể bị khai thác.
Mẹo: Với Windows Server 2008 R2 và các sản phẩm của bên thứ ba như Cisco Systems, bạn có thể triển khai NAP/NAC để bảo mật và thực thi chính sách điều khiển truy cập. Với Microsoft, cơ sở hạ tầng Network Access Protection (NAP) gồm có các máy khách NAP và các máy chủ Health Registration Authority (HRA) và có thể được điều khiển tốt hơn thông qua Network Policy Server (NPS). NAP sẽ điều khiển truy cập máy khách thông qua một chính sách đồng thuận được cấu hình trước. Nếu máy khách không có đủ các yêu cầu cần thiết, nó sẽ bị yêu cầu nhập vào đầy đủ các yêu cầu đó. Nó cũng có thể được cấu hình để khóa hoặc từ chối sự truy cập. Cisco sử dụng kỹ thuật tương tự như vậy mang tên Network Admission Control (NAC). Khi sử dụng cùng trong các môi trường Microsoft/Cisco, bạn có thể tạo mức bảo mật và kiểm soát cao.
Kết luận
Hệ thống Windows 7 tại nhà có thể được khóa chặn và quản lý dễ dàng. Thậm chí còn có thể cấu hình một cách an toàn để có thể truy cập Internet từ một vị trí từ xa nếu bạn rời nhà mà vẫn để máy tính ở trạng thái tích cực. Windows 7 có thể được bảo vệ để “đạn bắn không thủng” nếu bạn thực sự muốn làm vững chắc nó ở mức khóa chặn toàn bộ. Tuy nhiên nó cũng có thể trở thành đối tượng tấn công nếu bạn sử dụng máy tính trên Internet. Do đó chúng ta cần lên kế hoạch cho những gì có thể xảy ra và làm vững chắc Windows 7 theo đó.
Khi xem xét việc sử dụng Windows 7, với tình hình các tấn công, các khai thác hiện nay ngày một nhiều và tinh vi, các tùy chọn bảo mật và khả năng linh hoạt là sự ưu tiên hàng dầu trong việc tạo quyết định. Windows 7 quả thực an toàn, tuy nhiên không thể 100%. Bạn phải sử dụng kiến thức, các công cụ và các cấu hình nâng cao để bảo mật tất cả các khía cạnh của nó và sau đó nâng cấp và kiểm tra chúng một cách thường xuyên. Tất cả những công việc đó rất đáng giá nếu bạn tránh được tấn công. Bên cạnh đó Windows 7 còn có nhiều cải tiến về bảo mật và có thể được cấu hình để khôi phục một cách nhanh chóng.
Thêm vào các nguyên lý bảo mật cơ bản, chẳng hạn như Defense in Depth cần phải được áp dụng kết hợp với các hướng dẫn bảo mật khác và các biện pháp bảo mật tốt nhất để không chỉ áp dụng bảo mật trong bảo vệ mà còn làm gia cố thêm nhiều lớp bảo mật khác cho việc phòng chống.

Đây chỉ là kiến thức cơ bản nhất do Team Black Viper gửi đến các bạn







Bổ sung Report :

Dùng Account Chính Đã Veri , Fake Ip Cộng Hòa newdilan , Fake Ngôn Ngữ UK ! Báo Cáo Mạo Danh Tôi Và Avatar Bạo Lực + 1 Vé Đại Diện Doanh Nghiệp !! Rồi Vào Báo Cáo Sự Cố ---------> Đã Xảy Ra Lỗi ---------> Khác !!! Sau Đó Dán Tus Này Vào !! Hello Facebook Team ! Field Time This is impersonating me and insulting to the people in my village and my family . I Hope Facebook page Team Take This Personal Job To Get Back Honor To Us . Field Time This is Abuse and influence a lot to us. Mong Facebook Team Make It To Avoid Damage Clear About After . Please Sincere Thank You Team Facebook . Field Time is impersonating me : Post Link Nó Vào Đây

Report :

R.I.P báo cáo tài khoản không đủ tuổi

Kinh nghiệm RIP 13T + 14T mà chúng tôi kiểm tra lâu nay chia sẻ cho các bạn

- Đầu tiên xem avt của victim đang đặt là ảnh mạng hay ( ảnh thật )

- Nếu ảnh mạng thì ( RIP ok luôn )

- Nếu ảnh thật thì chọn thời điểm lúc nó đặt avt mạng rồi lại RIP

( Vì fb sẽ xem avt nó, rồi mới duyệt. Fb nó đéo xem album ảnh nó đâu. Fb đéo rảnh

1/Báo cáo tài khoản chưa đủ 13 tuổi

-Bước 1: Bạn đăng nhập vào tài khoản và chuyển ngôn ngữ facebook thành English (US) và Fake IP sang US

-Bước 2: Bạn truy cập vào địa chỉ facebook này, để báo cáo sai phạm:

https://www.facebook.com/help/contact/209046679279097

-Bước 3: Lúc này sẽ facebook hiện ra xuất hiện 4 ô trống.

+ Ô thứ nhất: Sao chép link người cần R.I.P để link ở dạng web ví dụ : https;//web.facebook.com/…

+Ô thứ hai: Viết tên facebook người cần R.I.P

+Ô thứ ba: Click chọn 9 năm

+ Ô thứ tư: Bạn dán dòng chữ này vào:

 -Hi Facebook Team- That child did wrong year of Birth To sign up for Facebook- I request Facebook Team delete that account asterms Facebook set out, - Thank you Facebook team

==Nhấp gửi

Dưới đây là thần chú khi đã Fake IP Hàn Quốc và ngôn ngữ Hàn Quốc

충분히 삭제 페이 스 북 계정 사용자입니다. 왜냐하면 그들은 단지 10 년 동안이이 선수 페이스 북 2014에 합류 했다. 검토 하 고이 시간 라인을 삭제 해야

Rip bằng 5 clone và Fake IP Hàn Quốc ,Ngôn ngữ Hàn Quốc

사실 그것은 페이스 북 미성년자 보냈다 때문에 내 오빠 , 내 가족 을 금지 하고있다 ,하지만 여전히 지출 을 시도하고 있습니다. 나는 페이스 북 팀 페이스 북 계정을 삭제 요청 , 또는 그것의 모든 . 그것은 10 살이었다. 페이스 북의 팀 감사합니다.

Dưới đây là thần chú rip khi đã Fake IP sang Thái Lan và ngôn ngữ Thái Lan

- มันเป็น เยาวชน อายุต่ำกว่า 13 ใช้ Facebook กระดาษหรือ หลอกว่าเป็น บุคคลที่ฉันรู้จัก นี้เป็น บัญชี ที่หลอกลวง
- มันเป็น วัยหนุ่มสาว อายุต่ำกว่า 13 ใช้ Facebook
- นี่คือ บัญชีของ เลียนแบบ - บัญชี ที่จะ นำมาใช้ เพื่อวัตถุประสงค์ในการ สแปม - ผู้ใช้ รักษา หลายบัญชี ที่จะใช้ใน สแปม
- บัญชีนี้ ไม่ เพียงพอที่จะ ควบคุมการ ใช้

Dưới đây là ngôn ngữ Thổ NHĩ Kì và IP Thổ Nhĩ Kì

Bu hesap, 13 yaşın altındaki bir çocuk Bu bebek ve Facebook toplum için tehlikeli Çocukların tehlikeleri bu hesabı kilitlemek gerekir üstesinden gelmek için Size Facebook Ekibi ederiz

*Biến của báo cáo chưa đủ 13 tuổi

Chuẩn bị 3 acc facebook

Acc thứ nhất fake IP là NEWZEALAND

Acc thứ hai fake IP là ÚC

Acc thứ ba fake IP là Mỹ

Va`o link https://m.facebook.com/help/contact/209046679279097

Acc thứ nhất đã fake IP

-Ô đầu : Link của người cần R.I.P

-Ô 2: Tên người cần R.I.P

-Ô 3: Chọn ít hơn 9 năm

-Ô 4: Điền vào "Hi Facebook Team .That child did wrong year of Birth To sign up for Facebook . I request Facebook Team delete that account as terms Facebook set out . Thank you Facebook team"

==Nhấp gửi

Acc thứ hai đã fake IP điền tương tự acc 1 nhưng :

- Ô 3: Chọn 9 năm

-Ô 4: Điền vào  "i'm sure this is the account of a child, and this child is not old enough to use Facebook. This is a fake account and delete this Facebook account proposals of this child"

Acc thứ ba đã fake IP làm tương tự như acc thứ 2

Các kiểu RIP 13 tuổi không cần fake IP(thành công 50%)

Đổi ngôn ngữ Facebook của bạn sang English(US)

Vào link https://m.facebook.com/help/contact/209046679279097

- Ô thứ nhất: Link người cần RIP

- Ô thứ hai: tên Facebook người cần RIP

- Ô thứ ba: Click chọn 9 năm

- Ô thứ tư: Bạn dán dòng chữ này vào: ( Dòng này quan trọng nhất ) :

- Hi Facebook Team - That child did wrong year of Birth To sign up for Facebook- I request Facebook Team delete that account as terms Facebook set out. - Thank you Facebook team

==Nhấp gửi

2/ Báo cáo tài khoản Facebook chưa đủ 14 tuổi

-Bước 1:vào link https://www.facebook.com/help/contact/1408156889442791

-Bước 2: Một trang hiện ra có 4 dòng  hoặc 5 dòng

 + Dòng 1 : Link Người bạn muốn RIP

 + Dòng 2 : Tên Facebook Của Người bạn muốn RIP

 + Dòng 3 : Chỉnh Thành 11 Tuổi

 + Dòng 4 : Coppy cái này vào “- Hi Facebook Team

- That child did wrong year of Birth To sign up for Facebook

- I request Facebook Team delete that account as terms Facebook set out, - Thank you Facebook team”

==Nhấp gửi

3/Biến hoàn toàn của RIP 13 tuổi và 14 tuổi

- Đăng link của RIP 13 tuổi : https://www.facebook.com/help/contact/209046679279097

-Fake IP sang Ấn Độ

-Dùng 10 acc Facebook báo cáo như cách RIP 13 tuổi

- Đăng link của RIP 14 tuổi: http://fb.com/help/contact/1408156889442791

- Không cần Fake IP

- Chỉ cần 5 acc ( Phải là acc đã xác minh mail + sdt )

- Ngày sinh 5 acc không từ 1999 - > 2002

-Báo cáo như cách RIP 14 tuổi

Báo Cáo Người Dùng Chưa Đủ 13 Tuổi Theo hai IP

link 1 : https://www.facebook.com/help/contact/1408156889442791

link 2 ; https://www.facebook.com/help/contact/209046679279097

Link 1: Ip Việt Nam

Link 2: Ip US chọn dưới 9 tuổi mục khác điền: Here is one fake account. it's not properly declare his age to pass facebook security and no adult supervision. This account was to go fraudulent impersonation and harassment facebook community. I ask please delete this account. thanks facebook team

  Đổi tên :

Fake một cmnd với tên muốn đổi ,ngày sinh và địa chỉ thì giống của nick muốn đổi nhé

Có cmnd thật càng tốt

Vào link https://www.facebook.com/help/contact/245617802141709

Up cmnd lên

Khi mail về thì rep dạng dưới

-Hi Facebook Team

-My New Name It Isn’t Set On My Account

-My New Name Is: “Tên muốn đổi”

-And this is my ID Card: ( đính kèm cmnd)

-Thanks Facebook Team

Full rip

: 
Giới thiệu sơ lược về cuốn sách này
Cuốn sách này bao gồm toàn bộ những thủ thuật trên Facebook chẳng hạn như R.I.P,Un-lock,…v.v
Trong đây sẽ có một số link bạn cần dùng trong khi R.I.P rất dài và khó ghi trên tab vì vậy các bạn mua cuốn sách này hãy dung acc Facebook mà bạn đã dùng mua cuốn sách này nhắn tin tới địa chỉ Facebook  https://www.facebook.com/magdaline.waiboci để yêu cầu link nhé các bạn

Có thể bạn thắc mắc tại sao phải dùng acc mua nhắn tin tới ? Bởi vì lý do người khác giả mạo bạn để lấy link miễn phí nên chúng tôi phải làm như vậy ,mong các bạn thong cảm
.



Cái đầu tiên chúng tôi muốn giới thiệu các bạn đó là lấy Token và get mail
                              I . Get Mail
Get mail là như thế nào ? Get Mail tức là xem tên tài khoản mà người ta dùng để đăng nhập Facebook
Vậy cách làm như thế nào xin các bạn theo hướng dẫn nhé
           1)Lấy Token :
-Tạo một Notepad
-Vào một trang hack like nào đó để lấy token ,trang mà chúng tôi đề xuất các bạn là trang Haylike.net
-Nhấp vào chữ lấy Token ( Hình 1)









                                                                       Hình 1
-Sau đó một trang mới hiện ra  tiếp tục bạn nhấp vào chữ click vào đây  nhanh
-Nó sẽ hiện ra một trang mới tiếp tục nhấp vào chữ OK
-Bước này bạn phải sao chép toàn bộ dong link mau rồi bỏ vào notepad ,bởi vì dòng link có token của bạn chỉ hiện trong vòng 3 giây
-Từ chữ CAAC…và kết thúc trước chữ &expires_in=0 chính là Token của bạn (hình 2)





Nhập dòng link này vào : https://graph.facebook.com/fql?q=SELECT uid, email FROM user WHERE uid IN ( SELECT uid2 FROM friend WHERE uid1 = me() ) ORDER BY rand() limit 5000&access_token=    (nhập token vừa lấy vào đây) .vậy là tất cả các mail của các bạn bạn đã ở đây

Thế thì xem mail như thế nào ? Các bạn hãy làm theo hướng dẫn
-Khi vào trang ấy rồi thì các bạn muốn tìm email của một ai đó các bạn nhấp Ctrl+F nó sẽ hiện ra một cái bảng nhỏ ở góc phải trên
-Muốn xem email của ai thì các bạn nhấp vào ảnh đại diện ,cuối dòng link ảnh đại diện tính từ “.10000” cho đến kết thúc trước chữ “&type” Ví dụ : 100009346911083
-Các bạn sao chép chuỗi số đó bỏ vào bảng ở trang Get mail

Cách xem là như vậy và trong mail có một số cái như sau
+\u0040 :điều này các bạn phải hiểu \u0040 tức là kí tự @
+null: điều này có nghĩa là null tức người bạn cần biết không đăng nhập bằng mail

II.Check Pass
Bây giờ chúng tôi sẽ hướng dẫn các bạn Check Pass ,có thể gọi là hacknick ,Check mail là lấy acc Của người khác để mình sử dụng ,chúng tôi sẽ hướng dẫn các bạn cách Check Mail phổ biến tỉ lệ thành công là 50%

Đầu tiên bạn phải chuẩn bị những thứ sau :
-CMND chuẩn (chứng minh nhân dân chuẩn)
-Một email hoàn toàn mới tức là chưa dung để đăng kí Facebook
Cách làm như sau :
-Vào một cái acc nào đó bạn muốn Check sau đó sao chép cái đuôi link như hình (hình 3)
-Bạn hãy sao chép link đó và làm
Các bước tiếp nhé
-Đăng xuất ra ,nhấp vào Quên mật
 Khẩu
-Bỏ dòng đuôi link vừa rồi vào ô
  nhé ,nhấp Tìm kiếm
-Nhấp Không còn truy cập được nữa?
-Nhập email bạn vừa tạo vào,nhấp
 Tiếp tục
-Nhập tên đầy đủ của bạn
-Sao chép toàn bộ link của người cần
 Check
-Chọn khác
-Mã Quốc gia nhập vào 0084
-Mô tả vấn đề nhập vào :Tôi đã quên mất mật khẩu đăng nhập vào tài khoản của mình mong team Facebook gửi mật khẩu đến email mới của tôi –cám ơn team Facebook
-Chọn tệp :chọn cmnd bạn vừa tạo
=====Nhấp gửi vậy là bạn đợi facebook trả lời trong mail của bạn
Đây là cách lấy acc tỉ lệ khoảng 40-50% ,chỉ lấy được một số acc bảo mật thấp và thời gian giữ acc không lâu
                           III.Report
Report là gì ? Report chính là báo cáo ,báo cáo một tài khoản nào đó vi phạm quy định của Facebook có thể nói rằng đây chính là một cách RIP acc Facebook
  Chúng tôi sẽ giới thiệu với các bạn một kiểu report gần như là mới nhất và thành công cao nhất khoảng 70% thành công ,cách làm như thế nào thì các bạn hãy làm theo hướng dẫn
Report facebook kiểu 2015 :
Chuẩn bị : 5 acc Facebook
.Cách làm 1:
-Vào trang người bạn muốn report: Chọn dấu …(dấu 3 chấm)
+Chọn “Đây là một tài khoản giả mạo”
+Chọn “Người chơi trò chơi”
+Chọn “Gửi facebook xem xét”
Nhấp xong là Ok
.
-Cách làm 2:.cùng vào trang rồi chọn dấu 3 chấm
+Acc 1:chọn báo cáo “Trang cá nhân này đại diện cho một doanh nghiệp hoặc tổ chức “
+Acc 2 và 3:Chọn báo cáo “ tài khoản giả mạo” chọn tiếp “Khác”   
+Acc 4và 5:Chọn báo cáo “nội dung không phù hợp” tiếp tục chọn “khiêu dâm và khỏa thân “

 ( Không nên chọn ảnh đại diện vì facebook sẽ gửi 1 bản báo cáo đã có ai đó báo cáo ảnh của bạn có nội dung không phù hợp - rất khó die )

Report check point 5giây
- Bước 1 : Giả tên ,ảnh đại diện ,ảnh bìa ,ngày tháng năm sinh ,giới tính giống nạn nhân
      Nếu nạn nhân khóa ảnh đại diện thì có thể lấy bất kỳ một ảnh nào trong abum của nạn nhân
- Bước 2 : Báo cáo Giả mạo hoặc quấy rối tôi
- Bước 3 : Báo cáo Mạo danh là tôi
- Bước 4 : Chọn 1 stt hoặc 1 ảnh bìa báo cáo sai phạm Có phát Ngôn thù địch.
Đấy là dùng acc 2014 phải đổi tên giống còn nếu có acc từ 2004 đến 2007 thì khỏi phải đổi tên, cứ báo cáo đủ 4 bước .
Report checkpoint :
-Bước 1: Tạo một nick mới . fake tên và ảnh đại diện và ảnh bìa giống của nạn nhân
-Bước 2: Kết bạn với bạn là bạn chung với victim
-Bước 3: báo cáo nạn nhân mạo danh bạn
Cách này có lẽ không hiệu quả bằng các cách Report trên nhưng tỉ lệ cũng lên đến 50%
   
                           IV.R.I.P

    R.I.P tức là xóa một tài khoản Facebook nào đó mà bạn có thể gọi là ghét ,có nhiều kiểu R.I.P ,không phải chỉ cần một kiểu R.I.P là tài khoản chết bạn cần xem cách R.I.P nào hiệu quả hay cách R.I.P nào phù hợp với tài khoản đó,đầu tiên chúng tôi giới thiệu các bạn cách R.I.P với tỉ lệ thành công là 80% ,tỉ lệ thành công rất cao nhưng cũng sẽ một số sự cố ngoài ý muốn có thể xày ra .


Full R.I.P
-Bước 1: Chuyển IP thành US, đăng nhập một acc  2009, đổi ngôn ngữ FB sang english (US)
-Bước 2: vào 2 link https://www.facebook.com/help/contact/1408156889442791
                                https://www.facebook.com/help/contact/209046679279097
Cả 2 cái đều điền như nhau , ô đầu là link(URL)  facebook của  nạn nhân, ô thứ 2 tên facebook của nạn nhân, ô thứ 3 chọn 9 years ( cả 2 trang  ),
ô cuối cùng điền như sau.Đây là một ô quan trọng nhất vì vậy các bạn hãy điền đúng mẫu dưới đây:
This timeline is impersonating me and my friends. It harass people on Facebook.
I think this is a time line of baby, parents are not allowed.
Please let Facebook account deactivated for Facebook is increasingly safer. Thank you
--Nhấp gửi
-Bước 3: report tiếp 1 ảnh hoặc stt của nạn nhân với nội dung sex hoặc vi phạm chính trị tôn giáo
-Bước 4:Tạo 1 acc mới, fake 99% thông tin giống nạn nhân , xác nhận  mail, số điện thoại, kết bạn với acc 2009 ở trên,
-Bước 5:lấy acc 2009 báo cáo nạn nhân giả mạo acc vừa tạo
Lưu ý :cách rip có thể hiệu quả nhưng thành công là 80% bởi vì sau khi bạn báo cáo một trong hai acc đó tức là acc mới và acc của nạn nhận sẽ bị RIP
-Bước 6: lấy 1 acc càng nhiều sub thật càng tốt, đã xác nhận cmnd, kháng rip các kiểu vào report tài khoản giả mạo và chọn “Khác”, gửi lên facebook xem xét

R.I.P mạo danh
-Bước 1 : Cần 1 acc đã xác nhận email + sđt ( lưu ý chỉ dùng acc đăng nhập bằng tài khoản yahoo )
-Bước 2: Fake toàn bộ thong tin giống nạ nhân
-Bước 3: Chuyển ngôn ngữ Facebook sang ngôn ngữ Englihs US
-Bước 4: Fake IP US
-Bước 5: Báo cáo nạn nhân giả mạo bạn ,dùng tên giả .

R.I.P báo cáo tài khoản không đủ tuổi
Kinh nghiệm RIP 13T + 14T mà chúng tôi kiểm tra lâu nay chia sẻ cho các bạn
- Đầu tiên xem avt của victim đang đặt là ảnh mạng hay ( ảnh thật )
- Nếu ảnh mạng thì ( RIP ok luôn )
- Nếu ảnh thật thì chọn thời điểm lúc nó đặt avt mạng rồi lại RIP
( Vì fb sẽ xem avt nó, rồi mới duyệt. Fb nó đéo xem album ảnh nó đâu. Fb đéo rảnh
1/Báo cáo tài khoản chưa đủ 13 tuổi

-Bước 1: Bạn đăng nhập vào tài khoản và chuyển ngôn ngữ facebook thành English (US) và Fake IP US
-Bước 2: Bạn truy cập vào địa chỉ facebook này, để báo cáo sai phạm:
https://www.facebook.com/help/contact/209046679279097
-Bước 3: Lúc này sẽ facebook hiện ra xuất hiện 4 ô trống.
+ Ô thứ nhất: Sao chép link người cần R.I.P
+Ô thứ hai: Viết tên facebook người cần R.I.P
+Ô thứ ba: Click chọn 9 năm
+ Ô thứ tư: Bạn dán dòng chữ này vào:
 -Hi Facebook Team- That child did wrong year of Birth To sign up for Facebook- I request Facebook Team delete that account asterms Facebook set out, - Thank you Facebook team
==Nhấp gửi

Ip hàn quốc 충분히 삭제 페이 스 북 계정 사용자입니다. 왜냐하면 그들은 단지 10 년 동안이이 선수 페이스 북 2014에 합류 했다. 검토 하 고이 시간 라인을 삭제 해야

Chuyển ngôn ngữ thành hàn
*Biến của báo cáo chưa đủ 13 tuổi
Chuẩn bị 3 acc facebook
Acc thứ nhất fake IP là NEWZEALAND
Acc thứ hai fake IP là ÚC
Acc thứ ba fake IP là Mỹ

Va`o link https://m.facebook.com/help/contact/209046679279097
Acc thứ nhất đã fake IP
-Ô đầu : Link của người cần R.I.P
-Ô 2: Tên người cần R.I.P
-Ô 3: Chọn ít hơn 9 năm
-Ô 4: Điền vào "Hi Facebook Team .That child did wrong year of Birth To sign up for Facebook . I request Facebook Team delete that account as terms Facebook set out . Thank you Facebook team"
==Nhấp gửi
Acc thứ hai đã fake IP điền tương tự acc 1 nhưng :
- Ô 3: Chọn 9 năm
-Ô 4: Điền vào  "i'm sure this is the account of a child, and this child is not old enough to use Facebook. This is a fake account and delete this Facebook account proposals of this child"
Acc thứ ba đã fake IP làm tương tự như acc thứ 2

Các kiểu RIP 13 tuổi không cần fake IP(thành công 50%)
Đổi ngôn ngữ Facebook của bạn sang English(US)
Vào link https://m.facebook.com/help/contact/209046679279097

- Ô thứ nhất: Link người cần RIP
- Ô thứ hai: tên Facebook người cần RIP
- Ô thứ ba: Click chọn 9 năm
- Ô thứ tư: Bạn dán dòng chữ này vào: ( Dòng này quan trọng nhất ) :
- Hi Facebook Team - That child did wrong year of Birth To sign up for Facebook- I request Facebook Team delete that account as terms Facebook set out. - Thank you Facebook team
==Nhấp gửi
2/ Báo cáo tài khoản Facebook chưa đủ 14 tuổi

-Bước 1:vào link https://www.facebook.com/help/contact/1408156889442791
-Bước 2: Một trang hiện ra có 4 dòng  hoặc 5 dòng
 + Dòng 1 : Link Người bạn muốn RIP
 + Dòng 2 : Tên Facebook Của Người bạn muốn RIP
 + Dòng 3 : Chỉnh Thành 11 Tuổi
 + Dòng 4 : Coppy cái này vào “- Hi Facebook Team
- That child did wrong year of Birth To sign up for Facebook
- I request Facebook Team delete that account as terms Facebook set out, - Thank you Facebook team”
==Nhấp gửi

3/Biến hoàn toàn của RIP 13 tuổi và 14 tuổi

- Đăng link của RIP 13 tuổi : https://www.facebook.com/help/contact/209046679279097
-Fake IP sang Ấn Độ
-Dùng 10 acc Facebook báo cáo như cách RIP 13 tuổi


- Đăng link của RIP 14 tuổi: http://fb.com/help/contact/1408156889442791
- Không cần Fake IP
- Chỉ cần 5 acc ( Phải là acc đã xác minh mail + sdt )
- Ngày sinh 5 acc không từ 1999 - > 2002
-Báo cáo như cách RIP 14 tuổi

R.I.P Báo cáo người dùng đã chết
Trước khi bắt đầu cách RIP này các bạn cần Fake chứng tử điền tên Facebook và thông tin giống như người cần RIP,sau khi làm xong các bạn có thể bắt đầu
-Bước 1 : Vào link:  https://www.facebook.com/help/contact/191122007680088
-Bước 2 : Ô đầu tiên : Điền tên Facebook của người cần RIP vào
-Bước 3 : Điền link Facebook của người cần RIP
-Bước 4 : Ghi là Cha ( Vào phần thông tin ( acc mình ) kiếm phần gia đình . Thêm một thành viên gia đình .)
Điền tên facebook nó vào . rồi chọn là BỐ
-Bước 5 : Tên Facebook của bạn
-Bước 6:Ô dưới chọn là không
-Bước 7: Rồi Chọn tệp . gửi ảnh vừa fake xong .
==Nhấp gửi
R.I.P báo cáo người dung vi phạm tình dục
Bước 1 : Vào trang Facebook người cần RIP
Bước 2 : Chọn vào dấu ba chấm bên phần ảnh bìa , rồi chọn là Báo cáo
-Chọn báo cáo tài khoản này
-Chọn tiếp Dòng thời gian này toàn nội dung không phù hợp
-Chọn tiếp Gợi dục
==Nhấp cho Facebook xem xét

« « « « « « « « « « « « SEX « « « « « « « « « « « « « « « « « «
Bước 1 : https://www.facebook.com/help/contact/207005222725325
Bước 2 : Địa chỉ email ( Ví dụ : <a class="__cf_email__" href="/cdn-cgi/l/email-protection" data-cfemail="1d5c5f5e5d5a505c5451335e5250">[email protected]</a><script cf-hash='f9e31' type="text/javascript">
/* <![CDATA[ */!function(){try{var t="currentScript"in document?document.currentScript:function(){for(var t=document.getElementsByTagName("script"),e=t.length;e--;)if(t[e].getAttribute("cf-hash"))return t[e]}();if(t&&t.previousSibling){var e,r,n,i,c=t.previousSibling,a=c.getAttribute("data-cfemail");if(a){for(e="",r=parseInt(a.substr(0,2),16),n=2;a.length-n;n+=2)i=parseInt(a.substr(n,2),16)^r,e+=String.fromCharCode(i);e=document.createTextNode(e),c.parentNode.replaceChild(e,c)}}}catch(u){}}();/* ]]> */</script> hay <a class="__cf_email__" href="/cdn-cgi/l/email-protection" data-cfemail="30717273706971787f7f1e737f7d">[email protected]</a><script cf-hash='f9e31' type="text/javascript">
/* <![CDATA[ */!function(){try{var t="currentScript"in document?document.currentScript:function(){for(var t=document.getElementsByTagName("script"),e=t.length;e--;)if(t[e].getAttribute("cf-hash"))return t[e]}();if(t&&t.previousSibling){var e,r,n,i,c=t.previousSibling,a=c.getAttribute("data-cfemail");if(a){for(e="",r=parseInt(a.substr(0,2),16),n=2;a.length-n;n+=2)i=parseInt(a.substr(n,2),16)^r,e+=String.fromCharCode(i);e=document.createTextNode(e),c.parentNode.replaceChild(e,c)}}}catch(u){}}();/* ]]> */</script>
Bước 3 : Full name of the person you'd like to report ( Ghi tên FB của nó vào )
Bước 4 : Link FB của nó ( Ví dụ : Http://fb.com/ABC )
Bước 5 : Ghi là Việt Nam
Bước 6 : Chọn có , chọn dòng đầu , rồi ghi link 1 ảnh nào đó trên dòng thời gian của nó
Ví dụ ảnh đại diện , rồi copy link nó vào .
Ô cuối to nhất ghi là .
« Hình ảnh này mang tính chất khiêu dâm ! «

« « « « « « « « « « « « « « « Tù nhân « « « « « « « « « « « « « « « « « «
Bước 1 : https://www.facebook.com/help/contact/564493676910603
Bước 2 : Ô đầu ghi tên FB mình vào ( Tô Bửu Phát v.v.v )
Bước 3 : Ô 2 , ghi là . Công an quốc tế hay cái gì đó ( nổi tiếng 1 tí )
Bước 4 : Ô 3 , Ghi link FB nó vào ( Ví dụ : fb.com/ABC )
Bước 5 : Ô 4 , ghi tên FB nó vào
Bước 6 : Ô 5 , Lý do của nó là ( Trộm cắp tài sản )
Bước 7 : Ô 6 , ghi là Lí do gì đó , ví dụ vào đêm 12h y có ăn cắp 1 cái laptop gì đó v.v …
Bước 8 : ghi link FB mình vào !






________________________
Bước 1: Tạo 3-4 Tài Khoản Facebook Và Kết Bạn Với Nick Chính
Bước 2: Dùng 3-4 Nick Phụ Vừa Lập Báo Cáo Nạn Nhận Giả Vờ Là Nick Chính..
Bước 3: 3-4 Tin Nhắn Của Nick Phụ Sẽ Gữi Qua Inbox
Bạn Đồng ý Cả Những Tin Nhắn Đó...
Bước 4: Quay Lại Nick Chính.. --> Vào Tường Nạn Nhân
Báo Cáo Giả Vờ Là Tôi..
30-45 Phút Nạn Nhân Sẽ Die =))

Cách 1

Report checkpoint
B1: Tạo nick Tài khoản facebook mới .
B2: Fake Tên + Avatar + ảnh bìa ( không cần nơi ở quê quán hoặc tên đệm )
B3: Yêu cầu có 1 bạn chung
B4: Báo cáo dòng thời gian người ngày dùng tên giả . ( Tôi )
B5: F5 hóng 1 phút đổ lại .. bay nhé

Cách 2

Báo Cáo Người Dùng Chưa Đủ 13 Tuổi
link 1 : https://www.facebook.com/help/contact/1408156889442791
link 2 ; https://www.facebook.com/help/contact/209046679279097
Link 1: Ip Việt Nam
Link 2: Ip US chọn dưới 9 tuổi mục khác điền: Here is one fake account. it's not properly declare his age to pass facebook security and no adult supervision. This account was to go fraudulent impersonation and harassment facebook community. I ask please delete this account. thanks facebook team

Cách 3

link rip ảnh
https://www.facebook.com/help/contact/144059062408922
B1 : chọn hình ảnh
B2 : Chọn ảnh đại diện or ảnh bất kỳ ( tuỳ ảnh)
B3 : Chọn in the us
B4 : My child's rights
B5 : Dưới 13 tuổi
B6 : Url ảnh
B7 : Tên Victeam
B8 : Đánh dấu tích xog nhấn gửi cuối cùng là ngồi đợi




*****************************CÁCH R.I.P MỘT NGƯỜI ********************************
Vào wall nạn nhân, nhấp vào cái ô có 3 chấm ... xoq chọn : Báo cáo/chặn => gửi báo cáo => tích vào ô : Báo cáo sai phạm tài khoản của ... =>Xác nhận=> chọn Nhật kí này chứa toàn nội dung không phù hợp => Tích ô : Tình dục => tiếp tục => Tích ô gửi báo cáo !
************************************************** ********************************************
Báo cáo 13 Tuổi giả ip + xác định vị trí newzilan
Bước 1: Bạn đăng nhập vào tài khoản
Bước 2: Bạn truy cập vào địa chỉ facebook này, để báo cáo sai phạm:
https://www.facebook.com/help/contact/209046679279097
nhấn F5 cái đã
Bước 3: Lúc này sẽ fb hiện ra xuất hiện 4 ô trống.
- Ô thứ nhất: Copy vs Dán địa chỉ người cần Report
- Ô thứ hai: Viết tên người cần Report
- Ô thứ ba: Click chọn 9 năm...
- Ô thứ tư: Bạn dán dòng chữ này vào:
"Tôi nghĩ rằng đứa trẻ này không cũ để sử dụng Facebook"
Bước 4: Bạn bấm gửi...Thế là xong !!!
************************************************** ********************************************
Rip giả mạo :
Dành cho những acc <2k7
Vào đổi avt + cover giống acc nạn nhân
vào wall nạn nhân => nhấp dấu 3 chấm => báo cáo/chặn => Tích chọn gửi báo cáo => Tích "báo cáo sai phạm tài khoản của .. " => ấn xác nhận => Tích "dòng thừoi gian này đang mạo danh tôi hoặc ngừoi tôi biết .." => chọn "giả vờ là tôi " => nhấp tiếp tục =>tích ô gửi báo cáo => chọn tiếp tục => Chọn đồng ý


Báo cáo (report) 13 Tuổi
Bước 1: Bạn đăng nhập vào tài khoản
Bước 2: Bạn truy cập vào địa chỉ facebook này, để báo cáo sai phạm:
https://www.facebook.com/help/contact/209046679279097
Bước 3: Lúc này sẽ fb hiện ra xuất hiện 4 ô trống.
- Ô thứ nhất: Copy vs Dán địa chỉ người cần Report
- Ô thứ hai: Viết tên người cần Report
- Ô thứ ba: Click chọn 9 năm...
- Ô thứ tư: Bạn dán dòng chữ này vào:
"Tôi nghĩ rằng đứa trẻ này không cũ để sử dụng Facebook"
Bước 4: Bạn bấm gửi...Thế là xong !!!





Cách RIP 5s ----------
Chịu khó mất 1 clone nhé
Bước 1 : Vào wall nạn nhân ===> Fake tên + ngày sinh + nơi ở y hệt
Bước 2 : Làm 1 cái CMND giả điền tên nạn nhân ngày sinh nơi ở bla bla
Bước 3 : fake IP new gửi lên Facebook
Bước 4 : Nếu Facebook rep phản hồi thì lấy Clone đó tố cáo nạn nhân ===> Giả vờ là tôi ===> Tên giả ===> Tình Dục
===> Nhận Thành Quả
Rip Giấy Chứng Tử
Chịu khó fake giấy ctử https://m.facebook.com/help/contact/228813257197480 link đây
còn mấy cái kia chịu khó lên google dịch nhé :)))
Rip giả mạo
Đổi avatar + ảnh bìa giống nạn nhân
Cần clone 2007  ms làm ăn đc ^^
B1 : Copy ava and cover của nó về rồi treo zề B2 : Báo cáo sai phạm đây là tôi B3 : Rp thêm cái đây là trang cá nhân cũ của tôi B4 : Bồi thêm phát tên giả B5 : Làm thêm cái sai phạm ava
Rip Tình Dục
https://www.facebook.com/help/contact/207005222725325
Dòng 1 : Email của bạn
Dòng 2 : Full name Victim
Dòng 3 : Link Victim
Dòng 4 : Việt Nam
Dòng : Do you have documentation? : Chọn có or yes
Sau khi chọn có or yes thì nó hiện : 1 loạt dòng , chọn : Link to a news article
Nó hiện lên thêm 2 ô nữa :
- Ô 1 : ghi link 1 bài báo trên zing về hiếp dâm
- Ô 2 : Here is an account that I knew had sexually abused. facebook group requests please delete this account
Xong gửi . oke

Hướng dẫn report cho một số ng chưa biết FAKE IP NEW DI LÂN nhé. www.hola.org để cái app chuyển IP -rip 13t cu´ la` 6h~12h die Link: https://www.facebook.com/help/contact/209046679279097 Lúc này sẽ fb hiện ra xuất hiện 4 ô trống.
- Ô thứ nhất: Copy vs Dán địa chỉ người cần Report
- Ô thứ hai: Viết tên người cần Report
- Ô thứ ba: Click chọn 9 năm...
- Ô thứ tư: Bạn dán dòng chữ này vào:
" I think this child do not old to use Facebook " rip 14t thi` 6h die Link: https://www.facebook.com/help/contact/1408156889442791 ô1: Link fb ô2: tên Fb ô3: ít hon 9 nam ô4: - Hi Facebook Team - That child did wrong year of Birth To sign up for Facebook- I request Facebook Team delete that account as terms Facebook set out. - Thank you Facebook team



RIP TÌNH DỤC ( cho ai chưa biết thôi nhé)
link: https://www.facebook.com/help/contact/207005222725325
dòng 1: ghi mail của bạn
dòng 2: tên FB victim
dòng 3: link victim
dong 4: Việt Nam
Chọn Có
Chọn Dòng thứ 3
dán link: http://www.tinmoi.vn/canh-bao-nan-xam-hai-tinh-duc-tre-em-o-mot-huyen-mien-nui-011166046.html
Phần Bổ Sung :" Here is an account that I knew had sexually abused. facebook group requests please delete this account "
Fake IP nào cũng được miễn không IP Việt



11/Cách đổi tên không cần đợi 60 ngày
Theo 2 cách : ( https://www.facebook.com/help/contact/245617802141709 link contact để đổi tên )
1/ Vào link http://www.sanwebe.com/assets/generate-facebook-id-card/ làm 1 ID card Fb
2/ Up CMT - CMND thật or fake tùy các bạn .
Reply mail của facebook gửi về mail của các bạn .
-Hi Facebook Team
-My New Name It Isn’t Set On My Account
-My New Name Is: “Tên mới bạn muốn đổi”
-And this is my ID Card: ( đính kèm cmnd or ID card fb )
-Thanks Facebook Team.






Unlock tên
Up cmnd lên facebook và đợi mail gửi về . Reply mail của facebook team như mẫu sau :
Hi,
Someone report to you i used fake name but i don't think that is true . I have my ID card so i can prove my name is real . My info :
First name : ( họ )
Middle name : ( tên đệm)
Last name : ( tên )
Full name : họ và tên
Birthday : 00 - 00 - 00
My ID Passport ( hoặc là My ID ) : ( id của cmnd - mã số của cmnd. vd: 025852167 )
Please help me reconsider it . My ID card can prove my name is real . Hope you unlocked my facebook account soon for me .
And the last i want to say thank you for reply my mail and read it .
Thank .
Chúc các bạn thành công !


Các bạn vào link sau để kiếm ip :
http://gatherproxy.com/embed/?c=Netherlands
Kế tiếp bạn có 2 loại form dùng để mở tài khoản :
https://www.facebook.com/help/contact/logout?id=183000765122339
( Kháng nghị tài khoản bị vô hiệu hóa - Yêu cầu giấy tờ tùy thân )
https://www.facebook.com/help/contact/319547548123767
( Xác nhận danh tính của bạn bằng giấy tờ tùy thân )
Đơn rẹp mail có dạng như sau :

- Full Name :
- Date of Birth :
- Email :
- Url my facebook :
- I think my Facebook account is locked a mistake. Please help me to reconsider. Thanks Facebook Team !!





-------------------------------------------------------------------------------------------

https://www.facebook.com/help/contact/183000765122339
Kháng nghị tài khoản bị vô hiệu hóa - Yêu cầu giấy tờ tùy thân
https://www.facebook.com/help/contact/260749603972907
Tài khoản cá nhân của tôi đã bị vô hiệu hóa
https://www.facebook.com/help/contact/183190208381429
Xác nhận lại thông tin cá nhân của bạn
https://www.facebook.com/help/contact/319547548123767
Xác nhận danh tính của bạn bằng giấy tờ tùy thân
https://www.facebook.com/help/contact/317389574998690
Disabled - Ineligible


-----------------------------------------------------------------------

Font chữ fake cmnd đã việt hóa: http://adf.ly/qnVwQ ( Đợi 5s ấn bỏ quảng cáo )
Sau đây mình xin hướng dẫn các bạn cách mở nick facebook bị rp(giả mạo)
+ Đầu tiên cần Fake 1 cmnd để gửi cho Facebook(Có cmnd thật thì tốt)
+ Các bạn vào link: http://adf.ly/qnWuN ( Đợi 5s ấn bỏ qua quảng cáo ) để tải tool Fake cmnd về
+ Sau khi có cmnd thì ta gửi mail cho FB

///Lưu ý:
+ Fake cmnd cho giống thông tin ở FB
+ Ảnh thì không cần giống ảnh đại diện trên FB (Lấy ảnh 3x4 thật ghép vào, search gg là ảnh 3x4)
+ Tên cmnd (Mình đặt tên FB là Tô nhưng mình Fake cmnd là Trần Văn Ni Tô thì FB vẫn mở, nếu tên FB của bạn có kí tự đặt biệt thì xóa kí tự đặt biệt đi)

B1: Vào http://adf.ly/qnXPD ( Đợi 5s ấn bỏ qua quảng cáo )
Dòng 1: Điền địa chỉ email đăng kí FB
Dòng 2: Điền email để FB rep mail
Dòng 3: Họ và tên trong cmnd
+ Thêm ngày tháng năm sinh vào
+ Sau đó up cmnd lên
Dòng 4: Thông tin bổ sung ta điền
Hi Team Facebook.
Please check unlock FAQ my account
Email: Email đăng ký acc
Full name: Họ tên đầy đủ như trong cmnd
Birthday: Ngày tháng năm sinh như trong cmnd
My ID in passport: Số cmnd
I think there is one mistake in the lock my account!
Thanks for read!

Rồi gửi

---------------------------------------------------------------

https://www.facebook.com/help/contact/183000765122339

Kiến thức về mạng :

Kiến thức cơ bản về mạng: Phần 1 - Các thiết bị phần cứng mạng
Trong loạt bài này chúng ta sẽ bắt đầu hoàn toàn với nội dung cơ bản về mạng máy tính và hướng tới xây dựng một mạng thiết thực. Mở đầu là một số thảo luận về một số thành phần mạng khác nhau và chức năng của chúng.

Bạn đã từng thấy nhiều bài viết hướng đến mục đích dành cho các quản trị viên, những người ít nhất có một số kinh nghiệm nào đó. Còn ở đây sẽ chỉ là những phần cơ sở nhất hướng đến đối tượng là những người mới bắt đầu làm quen với mạng. Trong bài đầu tiên này chúng ta sẽ thảo luận một số thiết bị mạng khác nhau và khả năng làm được những gì của chúng.

Network Adapter (Bộ điều hợp mạng)

Thành phần đầu tiên nên đề cập tới trong số các thiết bị phần cứng mạng là bộ điều hợp mạng (network adapter). Thiết bị này còn được biết đến với nhiều tên khác nhau như network card (card mạng), Network Interface Card (card giao diện mạng), NIC. Tất cả đều là thuật ngữ chung của cùng một thiết bị phần cứng. Công việc của card mạng là gắn một cách vật lý máy tính để nó có thể tham gia hoạt động truyền thông trong mạng đó.

Điều đầu tiên bạn cần biết đến khi nói về card mạng là nó phải được ghép nối phù hợp với phương tiện truyền đạt mạng (network medium). Network medium chính là kiểu cáp dùng trên mạng. Các mạng không dây là một mảng khác và sẽ được thảo luận chi tiết trong một bài riêng sau.

Để card mạng ghép nối phù hợp với phương tiện truyền đạt mạng là một vấn đề thực sự vì chúng đòi hỏi phải đáp ứng được lượng lớn tiêu chuẩn cạnh tranh bắt buộc. Chẳng hạn, trước khi xây dựng một mạng và bắt đầu mua card mạng, dây cáp, bạn phải quyết định xem liệu nên dùng Ethernet, Ethernet đồng trục, Token Ring, Arcnet hay một tiêu chuẩn mạng nào khác. Mỗi tiêu chuẩn mạng có độ dài và nhược điểm riêng. Phác hoạ ra cái nào phù hợp nhất với tổ chức mình là điều hết sức quan trọng.

Ngày nay, hầu hết công nghệ mạng được đề cập đến ở trên đều nhanh chóng trở nên mai một. Bâu giờ chỉ có một kiểu mạng sử dụng dây nối còn được dùng trong các doanh nghiệp vừa và nhỏ là Ethernet. Bạn có thể xem phần minh hoạ card mạng Ethernet trong ví dụ hình A dưới đây.

Hình 1: Card Ethernet
Các mạng Ethernet hiện đại đều sử dụng cáp đôi xoắn vòng 8 dây. Các dây này được sắp xếp theo thứ tự đặc biệt và đầu nối RJ-45 được gắn vào phần cuối cáp. Cáp RJ-45 trông giống như bộ kết nối ở phần cuối dây điện thoại, nhưng lớn hơn. Các dây điện thoại dùng bộ kết nối RJ-11, tương phản với bộ kết nối RJ-45 dùng trong cáp Ethernet. Bạn có thể thấy ví dụ một cáp Ethernet với đầu nối RJ-45 trong hình B.

Hình 2: Cáp Ethernet với một đầu kết nối RJ-45
Hub và Switch

Như bạn đã thấy ở trên, máy tính dùng card mạng để gửi và nhận dữ liệu. Dữ liệu được truyền qua cáp Ethernet. Tuy nhiên, thông thường bạn không thể chỉ chạy một cáp Ethernet giữa hai PC để gọi đó là một mạng.

Với thời đại của khả năng truy cập Internet tốc độ cao ngày nay, chắc chắn bạn thường nghe nói đến thuật ngữ "broadband" (băng thông rộng). Băng thông rộng là kiểu mạng trong đó dữ liệu được gửi và nhận qua cùng một dây, còn ở Ethernet thì dùng hình thức truyền thông Baseband. Baseband sử dụng các dây riêng trong việc gửi và nhận dữ liệu. Điều này có nghĩa là nếu một máy tính đang gửi dữ liệu qua một dây cụ thể bên trong cáp Ethernet thì máy tính đang nhận dữ liệu cần một dây khác được định hướng lại tới cổng nhận của nó.

Bạn có thể xây dựng mạng cho hai máy tính theo cách này mà người ta thường gọi là hình thức cáp chéo. Cáp chéo đơn giản là một cáp mạng có các dây gửi và nhận ngược nhau tại một điểm cuối để các máy tính có thể được liên kết trực tiếp với nhau.

Vấn đề hạn chế khi dùng cáp mạng chéo là bạn không thể thêm hay bớt một máy tính khác nào ngoài hai máy đã được kết nối. Do đó tốt hơn so với cáp chéo, hầu hết mọi mạng đều sử dụng cáp Ethernet thông thường không có các dây gửi và nhận ngược nhau ở cuối đầu nối.

Tất nhiên các dây gửi và nhận phải ngược nhau ở một số điểm nào đó để quá trình truyền thông được thực hiện thành công. Đây là công việc của một hub hoặc switch. Hub cũng đang trở nên lỗi thời nhưng chúng ta vẫn nên nói đến chúng. Vì hiểu về hub sẽ giúp bạn bạn dễ dàng hơn nhiều khi nói tới switch.

Có một số kiểu hub khác nhau nhưng thông thường nói đến hub tức là nói đến một cái hộp với một bó cổng RJ-45. Mỗi máy tính trong mạng sẽ được kết nối tới một hub thông qua cáp Ethernet. Bạn có thể thấy một hub có hình dáng như trong hình C.


Hình 3: Hub là thiết bị hoạt động như một điểm kết nối trung tâm cho các máy tính trong một mạng.
Hub có hai nhiệm vụ khác nhau. Nhiệm vụ thứ nhất là cung cấp một điểm kết nối trung tâm cho tất cả máy tính trong mạng. Mọi máy tính đều được cắm vào hub. Các hub đa cổng có thể được đặt xích lại nhau nếu cần thiết để cung cấp thêm cho nhiều máy tính.

Nhiệm vụ khác của hub là sắp xếp các cổng theo cách để nếu một máy tính thực hiện truyền tải dữ liệu, dữ liệu đó phải được gửi qua dây nhận của máy tính khác.

Ngay bây giờ có thể bạn sẽ tự hỏi, làm sao dữ liệu có thể đến được đúng đích cần đến nếu nhiều hơn hai máy tính được kết nối vào một hub? Bí mật nằm trong card mạng. Mỗi card Ethernet đều được cung cấp một địa chỉ vật lý MAC (Media Access Control) duy nhất. Khi một máy tính trong mạng Ethernet truyền tải dữ liệu qua mạng có các máy PC kết nối với một hub, thực tế dữ liệu được gửi tới mọi máy có trong mạng. Tất cả máy tính đều nhận dữ liệu, sau đó so sánh địa chỉ đích với địa chỉ vật lý MAC của nó. Nếu khớp, máy tính sẽ biết rằng nó chính là người nhận dữ liệu, nếu không nó sẽ lờ dữ liệu đi.

Như bạn có thể thấy, khi một máy tính được kết nối qua một hub, mọi gói tin đều được gửi tới tất cả máy tính trong mạng. Vấn đề là máy tính nào cũng có thể gửi thông tin đi tại bất cứ thời gian nào. Bạn đã từng thấy một cuộc họp mà trong đó tất cả thành viên tham dự đều bắt đầu nói cùng một lúc? Vấn đề của kiểu mạng này chính là như thế.

Khi một máy tính cần truyền dữ liệu, nó kiểm tra xem liệu có máy nào khác đang gửi thông tin tại cùng thời điểm đó không. Nếu đường truyền rỗi, nó truyền các dữ liệu cần thiết. Nếu đã có một một máy khác đang sử dụng đường truyền, các gói tin của dữ liệu đang được chuyển qua dây sẽ xung đột và bị phá huỷ (đây chính là lý do vì sao kiểu mạng này đôi khi được gọi là tên miền xung đột). Cả hai máy tính sau đó sẽ phải chờ trong một khoảng thời gian ngẫu nhiên và cố gắng truyền lại các gói tin đã bị phá huỷ của mình.

Số lượng máy tính trên tên miền xung đột ngày càng tăng khiến số lượng xung đột cũng tăng. Do số lượng xung đột ngày càng tăng nên hiệu quả của mạng ngày càng giảm. Đó là lý do vì sao bây giờ gần như switch đã thay thế toàn bộ hub.

Một switch (bạn có thể xem trên hình D), thực hiện tất cả mọi nhiệm vụ giống như của một hub. Điểm khác nhau chỉ là ở chỗ, khi một PC trên mạng cần liên lạc với máy tính khác, switch sẽ dùng một tập hợp các kênh logic nội bộ để thiết lập đường dẫn logic riêng biệt giữa hai máy tính. Có nghĩa là hai máy tính hoàn toàn tự do để liên lạc với nhau mà không cần phải lo lắng về xung đột.


Hình 4: Switch trông giống hệt như hub nhưng hoạt động khác hơn nhiều.
Switch thực sự nâng cao được đáng kể hiệu quả của mạng. Bởi chúng loại trừ xung đột và còn nhiều hơn thế, chúng có thể thiết lập các đường dẫn truyền thông song song. Chẳng hạn khi máy tính A đang liên lạc với máy tính B thì không có lý do gì để máy tính C không đồng thời liên lạc với máy tính D. Trong một tên miền xung đột (collision domain), các kiểu truyền thông song song này là không thể bởi vì chúng sẽ dẫn đến xung đột.

Kết luận

Trong bài này chúng ta đã thảo luận về một số thành phần cơ bản để tạo một mạng đơn giản. Trong phần hai chúng ta vẫn sẽ tiếp tục quan tâm đến các thiết bị phần cứng mạng cơ bản. Xin mời các bạn tiếp tục đón xem ở phần sau.

Kiến thức cơ bản về mạng: Phần 2 - Router
Đây là phần tiếp theo sau bài mở đầu về các thiết bị phần cứng mạng. Trong phần này chúng ta sẽ thảo luận nội dung chi tiết của thiết bị mạng quan trọng nhất: router.

Cho dù là người mới bắt đầu làm quen với mạng nhưng chắc hẳn bạn đã từng nghe nói đến router. Các kết nối Internet băng thông rộng, sử dụng modem cáp hay modem DSL luôn đòi hỏi cần phải có router. Nhưng công việc của router không phải là cung cấp sự nối kết Internet mà là chuyển các gói dữ liệu từ mạng này tới mạng khác. Có nhiều kiểu router, từ đơn giản đến phức tạp. Các router bình dân thường được dùng cho kết nối Internet gia đình, còn nhiều router có mức giá “kinh khủng” thường được các đại gia là những gã khổng lồ ưa chuộng. Song, cho dù đắt hay rẻ, đơn giản hay phức tạp thì mọi router đều hoạt động với các nguyên tắc cơ bản như nhau.

Ở đây, chúng ta sẽ tập trung vào các router đơn giản với giá thành thấp, chủ yếu được dùng để nối kết một máy tính vào mạng Internet băng thông rộng. Bởi vì đối tượng của bài này là những người mới bắt đầu làm quen mới mạng. Và tất nhiên sẽ dễ dàng hơn nhiều khi bắt đầu với những gì đã từng quen thuộc cho hầu hết mọi người thay vì động đến sự phức tạp của router dùng trong các tập đoàn lớn. Nếu bạn đã có hiểu biết cơ bản về router và muốn có kiến thức chuyên sâu hơn, bạn sẽ tìm được cái mình cần trong một bài khác mà có dịp chúng tôi sẽ giới thiệu với các bạn sau.

Như đã nói ở trên, công việc của một router là chuyển các gói dữ liệu từ mạng này tới mạng khác. Định nghĩa này có vẻ lạ trong ngữ cảnh các máy tính đã được kết nối với đường truyền Internet băng thông rộng. Nhưng thực tế bạn nên biết mạng là một tập hợp lớn với các mạng con khác ở bên trong.

Vậy, nếu công việc của một router là chuyển lưu lượng giữa hai mạng, trong đó một mạng là Internet thì mạng kia ở đâu? Trong trường hợp cụ thể này chính là máy tính được kết nối tới router. Nó được cấu hình thực sự như một mạng đơn giản.

Để hình dung rõ hơn, bạn có thể xem ảnh minh hoạ trong Hình A và B. Hình A là mặt trước của một router băng thông rộng 3COM, còn hình B là mặt sau của nó.


Hình A: Mặt trước của router băng thông rộng (broadband) 3COM


Hình B: Router Internet băng thông rộng gồm một tập hợp các cổng RJ-45 giống như một hub hay switch
Như bạn có thể thấy trên hình, thực sự không có điểm nổi bật đặc biệt nào trong mặt trước của router. Sở dĩ chúng tôi vẫn đưa ra hình ảnh cụ thể của nó nhằm giúp các bạn, những người chưa quen thuộc với thiết bị này có thể biết được một router trông như thế nào. Hình B xem chừng có vẻ thú vị hơn.

Nhìn vào hình B bạn sẽ thấy có ba tập hợp cổng ở mặt sau router. Cổng bên trái nhất là nơi điện nguồn được nối với router. Ở giữa là một cổng RJ-45 dùng cho việc kết nối mạng từ xa. Trong trường hợp cụ thể này, router được dùng để cung cấp kết nối Internet. Cổng giữa chủ yếu được dùng để kết nối router với một modem cáp hay modem DSL. Các modem này sẽ cung cấp kết nối thực tới Internet.

Còn tập hợp ở bên phải gồm bốn cổng RJ-45. Nếu bạn xem lại phần đầu của loạt bài này bạn sẽ thấy các hub và switch cũng gồm số lượng lớn các nhóm cổng RJ-45. Trong trường hợp của hub hay switch, các cổng RJ-45 được dùng để cung cấp kết nối tới các máy tính trên mạng.

Ở router, các cổng đều hoạt động y như nhau. Router trong ví dụ ở đây có một switch bốn cổng dựng sẵn. Công việc của một router là chuyển các gói tin từ mạng này tới mạng khác. Ở trên chúng ta đã giải thích trong trường hợp của router băng thông rộng, Internet là một mạng còn máy tính đóng vai trò là một mạng thứ hai. Lý do vì sao một máy tính đơn lẻ lại có thay thế như một mạng tổng thể là do router không coi PC là một thiết bị độc lập. Router xem PC như một nút mạng. Như bạn có thể thấy trên hình B, router cụ thể này có thể cung cấp thực sự một mạng bốn máy tính. Hầu hết người dùng gia đình đều sử dụng kiểu cấu hình chỉ cần cắm một PC vào router. Cụ thể hơn, kiểu mạng này định tuyến các gói dữ liệu giữa một mạng nhỏ (ngay cả khi mạng đó chỉ có một máy tính đơn) và Internet (được xem như là mạng thứ hai).

Quá trình định tuyến

Để hiểu hoạt động định tuyến được thực hiện như thế nào, đầu tiên bạn phải biết một chút về cách thức hoạt động của giao thức TCP/IP.

Mọi thiết bị kết nối tới mạng TCP/IP đều có một địa chỉ IP duy nhất giới hạn trong giao diện mạng của nó. Địa chỉ IP là một dãy bốn số riêng phân tách nhau bởi các dấu chấm. Ví dụ một địa chỉ IP điển hình có dạng: 192.168.0.1.

Ví dụ dễ hiểu nhất khi nói về IP là địa chỉ nhà. Địa chỉ nhà thông thường luôn có số nhà và tên phố. Số nhà xác định cụ thể vị trí ngôi nhà trên phố đó. Địa chỉ IP cũng hoạt động tương tự như vậy. Nó gồm mã số địa chỉ mạng và mã số thiết bị. So sánh với địa chỉ nhà bạn sẽ thấy địa chỉ mạng giống như tên phố còn mã số thiết bị giống như số nhà vậy. Địa chỉ mạng chỉ mạng cụ thể thiết bị đang tham gia trong nó còn mã số thiết bị thì cung cấp cho thiết bị một nhận dạng trên mạng.

Vậy kết thúc của địa chỉ mạng và khởi đầu của mã số thiết bị ở đâu? Đây là công việc của một subnet mask. Subnet mask sẽ “nói” với máy tính vị trí cuối cùng của địa chỉ mạng và vị trí đầu tiên của số thiết bị trong địa chỉ IP. Hoạt động mạng con có khi rất phức tạp. Bạn có thể tham khảo chi tiết hơn trong một bài khác mà có dịp chúng tôi sẽ giới thiệu sau. Còn bây giờ hãy quan tâm đến những thứ đơn giản nhất, xem xét một subnet mask rất cơ bản.

Subnet mask thoạt nhìn rất giống với địa chỉ IP vì nó cũng có 4 con số định dạng theo kiểu phân tách nhau bởi các dấu chấm. Một subnet mask điển hình có dạng: 255.255.255.0.

Trong ví dụ cụ thể này, ba số dầu tiên (gọi là octet) đều là 255, con số cuối cùng là 0. Số 255 chỉ ra rằng tất cả các bit trong vị trí tương ứng của địa chỉ IP là một phần của mã số mạng. Số 0 cuối cùng ám chỉ không có bit nào trong vị trí tương ứng của địa chỉ IP là một phần của địa chỉ mạng. Do đó chúng thuộc về mã số thiết bị.

Nghe có vẻ khá lộn xộn, bạn sẽ hiểu hơn với ví dụ sau. Tưởng tượng bạn có một máy tính với địa chỉ IP là 192.168.1.1 và mặt nạ mạng con là: 255.255.255.0. Trong trường hợp này ba octet đầu tiên của subnet mask đều là 255. Điều này có nghĩa là ba octet đầu tiên của địa chỉ IP đều thuộc vào mã số mạng. Do đó vị trí mã số mạng của địa chỉ IP này là 192.168.1.x.

Điều này là rất quan trọng vì công việc của router là chuyển các gói dữ liệu từ một mạng sang mạng khác. Tất cả các thiết bị trong mạng (hoặc cụ thể là trên phân đoạn mạng) đều chia sẻ một mã số mạng chung. Chẳng hạn, nếu 192.168.1.x là số mạng gắn với các máy tính kết nối với router trong hình B thì địa chỉ IP cho bốn máy tính viên có thể là:
•    192.168.1.1
•    192.168.1.2
•    192.168.1.3
•    192.168.1.4
Như bạn thấy, mỗi máy tính trên mạng cục bộ đều chia sẻ cùng một địa chỉ mạng, còn mã số thiết bị thì khác nhau. Khi một máy tính cần liên lạc với máy tính khác, nó thực hiện bằng cách tham chiếu tới địa chỉ IP của máy tính đó. Chẳng hạn, trong trường hợp cụ thể này, máy tính có địa chỉ 192.168.1.1 có thể gửi dễ dàng các gói dữ liệu tới máy tính có địa chỉ 192.168.1.3 vì cả hai máy này đều là một phần trong cùng một mạng vật lý.

Nếu một máy cần truy cập vào máy nằm trên mạng khác thì mọi thứ sẽ khác hơn một chút. Giả sử rằng một trong số người dùng trên mạng cục bộ muốn ghé thăm website www.brienposey.com, một website nằm trên một server. Giống như bất kỳ máy tính nào khác, mỗi Web server có một địa chỉ IP duy nhất. Địa chỉ IP cho website này là 24.235.10.4.

Bạn có thể thấy dễ dàng địa chỉ IP của website không nằm trên mạng 192.168.1.x. Trong trường hợp này máy tính đang cố gắng tiếp cận với website không thể gửi gói dữ liệu ra ngoài theo mạng cục bộ, vì Web server không phải là một phần của mạng cục bộ. Thay vào đó máy tính cần gửi gói dữ liệu sẽ xem xét đến địa chỉ cổng vào mặc định.

Cổng vào mặc định (default gateway) là một phần của cấu hình TCP/IP trong một máy tính. Đó là cách cơ bản để nói với máy tính rằng nếu không biết chỗ gửi gói dữ liệu ở đâu thì hãy gửi nó tới địa chỉ cổng vào mặc định đã được chỉ định. Địa chỉ của cổng vào mặc định là địa chỉ IP của một router. Trong trường hợp này địa chỉ IP của router được chọn là 192.168.1.0

Chú ý rằng địa chỉ IP của router chia sẻ cùng một địa chỉ mạng như các máy khác trong mạng cục bộ. Sở dĩ phải như vậy để nó có thể truy cập tới các máy trong cùng mạng. Mỗi router có ít nhất hai địa chỉ IP. Một dùng cùng địa chỉ mạng của mạng cục bộ, còn một do ISP của bạn quy định. Địa chỉ IP này dùng cùng một địa chỉ mạng của mạng ISP. Công việc của router khi đó là chuyển các gói dữ liệu từ mạng cục bộ sang mạng ISP. ISP của bạn có các router riêng hoạt động cũng giống như mọi router khác, nhưng định tuyến đường đi cho gói dữ liệu tới các phần khác của Internet.

Kết luận

Như bạn có thể thấy, router là thành phần mạng cực kỳ quan trọng. Không có router, sự nối kết giữa các mạng (chẳng hạn như Internet) là không thể. Trong phần ba của loạt bài này chúng ta sẽ thảo luận chi tiết hơn về nội dung của giao thức TCP/IP.
Kiến thức cơ bản về mạng: Phần 3 - DNS Server
Đây là phần tiếp theo của loạt bài Kiến thức cơ bản dành cho những người mới bắt đầu làm quen và tìm hiểu về mạng máy tính. Sau hai bài giới thiệu Hub và Switch, Router, nội dung của bài này đề cập đến hoạt động của các server DNS (hệ thống tên miền).

Đây cũng là phần cuối cùng chúng tôi nói đến cách các máy tính trong một phân đoạn mạng chia sẻ vùng địa chỉ IP chung như thế nào.

Như chúng ta đã biết, khi một máy tính cần truy cập thông tin trên một máy nằm ở mạng khác hay phân đoạn mạng khác, nó cần đến sự trợ giúp của router. Router sẽ chuyển các gói dữ liệu cần thiết từ mạng này sang mạng khác (chẳng hạn như Internet). Nếu bạn đã từng đọc phần hai, chắc hẳn bạn nhớ, chúng tôi có đưa ra một ví dụ tạo một tham chiếu đến địa chỉ IP kết hợp với một website. Để có thể truy cập vào website này, trình duyệt Web của bạn phải biết địa chỉ IP của website. Sau đó trình duyệt cung cấp địa chỉ cho router, router sẽ xác định đường đi tới mạng khác và yêu cầu các gói dữ liệu tới máy đích phù hợp. Mỗi website đều có một địa chỉ IP nhưng bạn có thể ghé thăm các website này hằng ngày mà không cần quan tâm đến dãy con số đó của nó. Trong bài này chúng tôi sẽ chỉ cho bạn thấy lý do vì sao có thể thực hiện được.

Địa chỉ IP cũng giống như địa chỉ nhà vậy. Nó gồm có vị trí mạng (là dãy số hiệu chỉ phân đoạn mạng máy tính đang hoạt động trong đó), tương tự như tên phố; và vị trí thiết bị (xác định một máy tính cụ thể trong mạng), tương tự như số nhà. Biết về địa chỉ IP là yêu cầu cần thiết cho hoạt động truyền thông cơ sở TCP/IP giữa hai máy tính.

Khi bạn mở một trình duyệt Web và nhập tên website (được biết đến như là tên miền hay đường dẫn URL(Universal Resource Locator - bộ định vị vị trí tài nguyên chung)), trình duyệt sẽ đến thẳng website mà không cần phải thông qua việc nhập địa chỉ IP. Bạn có thể hình dung quá trình mở website cũng giống như quá trình chuyển thư đến địa chỉ nhận ghi trên phong bì ở bưu điện vậy. Địa chỉ IP trong truyền thông mạng đóng vai trò như địa chỉ trên phong bì. Thư không thể đến đúng nơi nếu bạn chỉ ghi tên người nhận mà "quên mất" địa chỉ của họ. Việc đến và mở được một website cũng như vậy. Máy tính của bạn không thể liên lạc được với website trừ khi nó biết địa chỉ IP của website đó.

Nhưng bạn không cần gõ địa chỉ IP mà trình duyệt vẫn mở được đúng website bạn muốn khi nhập tên miền vào. Vậy địa chỉ IP ở đâu? Quá trình "dịch" tên miền thành địa chỉ IP là công việc của một server DNS (trình chủ hệ thống tên miền).

Trong hai bài trước chúng ta đã từng nói tới một số khái niệm về cấu hình TCP/IP của máy tính, như địa chỉ IP, mặt nạ mạng con (subnet mask) và cổng vào mặc định (default gateway). Nhìn hình A bên dưới bạn sẽ thấy có thêm một tuỳ chọn cấu hình khác là "Preferred DNS server" (trình chủ hệ thống tên miền tham chiếu).


Hình A: Tuỳ chọn Preferred DNS Server được định nghĩa như là một phần của cấu hình TCP/IP trong máy tính.
Như bạn có thể thấy trong hình minh hoạ, tuỳ chọn "Preferred DNS server" được định nghĩa như là một phần của cấu hình TCP/IP. Có nghĩa là máy tính sẽ luôn biết địa chỉ IP của DNS server. Điều này là hết sức quan trọng vì máy tính không thể liên lạc được với máy tính khác sử dụng giao thức TCP/IP nếu nó không biết địa chỉ IP của máy kia.

Bây giờ chúng ta sẽ xem xét điều gì xảy ra khi bạn cố gắng tới thăm một website. Quá trình bắt đầu với việc bạn mở trình duyệt Web và nhập đường dẫn URL. Khi đó, trình duyệt biết rằng nó không thể xác định được vị trí của website nếu chỉ dựa vào một mình địa chỉ URL. Do đó nó truy vấn thông tin địa chỉ IP của DNS sever từ cấu hình TCP/IP của máy tính và đưa đường dẫn URL lên trình chủ DNS server. DNS server sau đó sẽ tra tìm đường dẫn URL trên bảng có danh sách địa chỉ IP của website. Sau đó nó trả ra địa chỉ IP cho trình duyệt Web và trình duyệt có thể liên lạc với website được yêu cầu.

Thực sự quá trình giải thích này có thể được mô tả đơn giản hơn một chút. Giải pháp tên miền trong DNS chỉ có thể hoạt động nếu DNS server có chứa một bản ghi tương ứng với website được yêu cầu. Nếu bạn vào một website ngẫu nhiên, DNS sever sẽ không có bản ghi về website này. Lý do là bởi Internet quá lớn. Có hàng triệu website và website mới được tạo ra mỗi ngày. Không có cách nào cho một server DNS đơn có thể bắt kịp tất cả các website và đáp ứng được tất cả yêu cầu từ bất kỳ ai có kết nối tới Internet.

Bây giờ giả sử một trình chủ DNS server đơn có thể lưu trữ các bản ghi cho mọi website tồn tại. Nếu dung lượng của trình chủ không phải là vấn đề thì server cũng sẽ bị tràn bởi các yêu cầu xử lý tên nhận được từ người dùng Internet ở khắp mọi nơi. Một DNS server trung tâm hoá thường là đích nhắm rất phổ biến của các cuộc tấn công.

Do đó, các trình chủ DNS server thường được phân phối sang nhiều điểm, tránh cho một server DNS đơn phải cung cấp xử lý tên cho toàn bộ Internet. Trên thế giới hiện nay có một tổ chức chuyên phụ trách việc cấp phát, đăng ký tên miền Internet là Internet Corporation for Assigned Names and Numbers (hay ICANN). Do quản lý tên miền cho toàn bộ mạng là một công việc khổng lồ nên ICANN phân bổ nhiều phần đáp ứng tên miền cho các hãng khác nhau. Chẳng hạn, Network Solutions phụ trách tên miền ".com". Nhưng không có nghĩa là Network Solutions duy trì danh sách các địa chỉ IP kết hợp với toàn bộ tên miền .com. Trong hầu hết mọi trường hợp, DNS server của Network Solution đều chứa bản ghi trỏ tới DNS server được xem là chính thức cho từng miền.

Để thấy được tất cả hoạt động như thế nào, tưởng tượng rằng bạn muốn vào website www.brienposey.com. Khi nhập yêu cầu vào trình duyệt, trình duyệt gửi địa chỉ URL vào trình chủ DNS server được chỉ định bởi cấu hình TCP/IP của máy tính bạn. Trình chủ DNS server không biết địa chỉ của website này. Do đó, nó gửi yêu cầu tới DNS server của ICANN. DNS server của ICANN cũng không biết địa chỉ IP của website bạn đang muốn vào mà chỉ biết địa chỉ IP của DNS server chịu trách nhiệm với tên miền có đuôi .COM. Nó sẽ trả lại địa chỉ này cho trình duyệt và trong quá trình trả về nó cũng thực hiện việc đưa yêu cầu tới DNS server cụ thể đó.

Mức DNS server cao nhất dành cho tên miền đuôi .COM sẽ không biết đến địa chỉ IP nào của website được yêu cầu, nhưng nó biết địa chỉ IP của DNS server chính thức cho tên miền brienposey.com. Nó sẽ gửi địa chỉ này trở lại máy đưa ra yêu cầu. Sau đó trình duyệt Web gửi truy vấn DNS tới DNS server có đủ thẩm quyền cho miền được yêu cầu. Và DNS server này sẽ trả ra địa chỉ IP của website, cho phép máy liên lạc với website nó yêu cầu.

Như bạn có thể thấy, có nhiều bước phải hoàn thành để một máy tính tìm ra địa chỉ IP của một website. Nhằm giảm bớt số truy vấn DNS phải thực hiện, kết quả của các truy vấn này thường được lưu trữ liệu trong vài giờ hoặc vài ngày, tuỳ thuộc vào máy được cấu hình như thế nào. Việc lưu trữ các địa chỉ IP nâng cao một cách tuyệt vời khả năng thực thi và tối thiểu hoá tổng lượng băng thông tiêu thụ cho các truy vấn DNS. Bạn có thể hình dung ra quá trình duyệt Web sẽ tệ hại đến mức nào nếu máy tính của bạn phải thực hiện tập hợp đầy đủ các truy vấn DNS bất kỳ thời gian nào bạn muốn xem trang Web mới.

Kết luận

Trong bài này chúng tôi đã giải thích cách trình chủ DNS server được dùng để xử lý tên miền cho địa chỉ IP. Mặc dù quá trình được mô tả có vẻ khác đơn giản, nhưng bạn cần nhớ rằng ICANN và các nhà đăn ký DNS mức cao như Network Solutions sử dụng công nghệ load balacing (tải cân bằng) để phân phối yêu cầu qua nhiều server DNS khác. Điều này giúp các server khỏi bị tràn và loại trừ khả năng có điểm lỗi đơn.
Kiến thức cơ bản về mạng: Phần 4 - Workstation và Server
Đây là phần tiếp theo trong loạt bài hướng dẫn cơ bản dành cho những người mới bắt quen hay tìm hiểu về mạng. Nội dung bài hôm nay là về sự khác nhau giữa Workstation (máy trạm) và Server (máy chủ).

Trước bài này, chúng ta đã có dịp thảo luận về các thiết bị phần cứng mạng và giao thức TCP/IP. Phần cứng mạng được dùng để thiết lập kết nối vật lý giữa các thiết bị, trong khi giao thức TCP/IP là ngôn ngữ trọng yếu dùng để liên lạc trong mạng. Ở bài này chúng ta cũng sẽ nói một chút về các máy tính được kết nối trong một mạng.

Cho dù bạn là người mới hoàn toàn, nhưng chắc hẳn bạn đã từng nghe nói đến các thuật ngữ server và workstation. Các thuật ngữ này thông thường được dùng để nói tới vai trò của máy tính trong mạng hơn là phần cứng máy tính. Chẳng hạn, một máy tính đang hoạt động như một server thì nó không cần thiết phải chạy cả phần cứng của server. Bạn có thể cài đặt một hệ điều hành server lên máy tính của mình. Khi đó máy tính sẽ hoạt động thực sự như một server mạng. Trong thực tế, hầu hết tất cả các máy chủ đếu sử dụng thiết bị phần cứng đặc biệt, giúp chúng có thể kiểm soát được khối lượng công việc nặng nề vốn có của mình.

Khái niệm máy chủ mạng (network server) thường hay bị nhầm về mặt kỹ thuật theo kiểu định nghĩa: máy chủ là bất kỳ máy tính nào sở hữu hay lưu trữ tài nguyên chia sẻ trên mạng. Nói như thế thì ngay cả một máy tính đang chạy windows XP cũng có thể xem là máy chủ nếu nó được cấu hình chia sẻ một số tài nguyên như file và máy in.

Các máy tính trước đây thường được tìm thấy trên mạng là peer (kiểu máy ngang hàng). Máy tính ngang hàng hoạt động trên cả máy trạm và máy chủ. Các máy này thường sử dụng hệ điều hành ở máy trạm (như windows XP), nhưng có thể truy vập và sở hữu các tài nguyên mạng.

Trước đây, mạng ngang hàng thường được tìm thấy chủ yếu trên các mạng rất nhỏ. Ý tưởng ở đây là nếu một công ty nhỏ thiếu tài nguyên để có được các máy chủ thực sự thì các máy trạm có thể được cấu hình để thực hiện nhiệm vụ "kép". Ví dụ, mỗi người dùng có thể tạo cho các file của mình khả năng truy cập chung với nhiều người khác trên mạng. Nếu một máy nào đó có gắn máy in, họ có thể chia sẻ nó cho công việc in ấn của toàn bộ máy trong mạng, tiết kiệm được tài nguyên.

Các mạng ngang hàng thường không sử dụng được trong các công ty lớn vì thiếu khả năng bảo mật cao và không thể quản lý trung tâm hoá. Đó là lý do vì sao các mạng ngang hàng thường chỉ được tìm thấy trong các công ty cực kỳ nhỏ hoặc người dùng gia đình sử dụng nhiều máy PC. windows Vista (thế hệ kế tiếp của windows XP) đang cố gắng thay đổi điều này. windows Vista cho phép người dùng mạng client/server tạo nhóm ngang hàng. Trong đó các thành viên của nhóm sẽ được chia sẻ tài nguyên với nhau trong chế độ bảo mật an toàn mà không cần ngắt kết nối với server mạng. Thành phần mới này sẽ được tung ra thị trường với vai trò như một công cụ hợp tác.

Các mạng ngang hàng không phổ biến bằng mạng client/server vì chúng thiếu an toàn và khả năng quản lý tập trung. Tuy nhiên, vì mạng máy tính được hình thành từ các máy chủ và máy trạm nên bản thân mạng không cần phải đảm bảo độ bảo mật cao và khả năng quản lý tập trung. Nên nhớ rằng server chỉ là một máy chuyên dùng để lưu trữ tài nguyên trên mạng. Nói như thế tức là có vô số kiểu máy chủ khác nhau và một trong số đó được thiết kế chuyên dùng để cung cấp khả năng bảo mật và quản lý.

Chẳng hạn, windows server có hai kiểu loại chính: member server (máy chủ thành viên) và domain controller (bộ điều khiển miền). Thực sự không có gì đặc biệt với member server. Member server đơn giản chỉ là máy tính được kết nối mạng và chạy hệ điều hành windows Server. Máy chủ kiểu member server có thể được dùng như một nơi lưu trữ file (còn gọi là file server) hoặc nơi sở hữu một hay nhiều máy in mạng (còn gọi là máy in server). Các member server cũng thường xuyên được dùng để lưu trữ chương trình ứng dụng mạng. Chẳng hạn, Microsoft cung cấp một sản phẩm gọi là Exchange Server 2003. Khi cài đặt lên member server, nó cho phép member server thực hiện chức năng như một mail server.

Domain controller (bộ điều khiển miền) thì đặc biệt hơn nhiều. Công việc của một domain controller là cung cấp tính năng bảo mật và khả năng quản lý cho mạng. Bạn đã quen thuộc với việc đăng nhập bằng cách nhập username và password? Trên mạng windows, đó chính là domain controller. Nó có trách nhiệm theo dõi và kiểm tra username, password.

Người chịu trách nhiệm quản lý mạng được gọi là quản trị viên (administrator). Khi người dùng muốn truy cập tài nguyên trên mạng Windows, quản trị viên sẽ dùng một tiện ích do domain controller cung cấp để tạo tài khoản và mật khẩu cho người dùng mới. Khi người dùng mới (hoặc người nào đó muốn có tài khoản thứ hai) cố gắng đăng nhập vào mạng, "giấy thông hành" của họ (username và password) được gửi tới domain controller. Domain cotroller sẽ kiểm tra tính hợp lệ bằng cách so sánh thông tin được cung cấp với bản sao chép lưu trữ trong cơ sở dữ liệu của nó. Nếu mật khẩu người dùng cung cấp và mật khẩu lưu trữ trong domain controller khớp với nhau, họ sẽ được cấp quyền truy cập mạng. Quá trình này được gọi là thẩm định (authentication).

Trên một mạng Windows, chỉ có domain controller thực hiện các dịch vụ thẩm định. Tất nhiên người dùng sẽ cần truy cập tài nguyên lưu trữ trên member server. Đây không phải là vấn đề gì lớn vì tài nguyên ở member server được bảo vệ bởi một tập hợp các đặc quyền liên quan đến thông tin bảo mật trên domain controller.

Để dễ hiểu hơn chúng ta sẽ lấy một ví dụ cụ thể. Giả sử username của tôi là QuanTri. Tôi nhập username và password vào, chúng sẽ được gửi tới domain controller để thẩm định. Khi bộ điều khiển miền thẩm định thông tin, nó không cung cấp cho tôi quyền truy cập bất kỳ tài nguyên nào. Nó chỉ kiểm tra tính hợp lệ từ thông tin tôi cung cấp. Khi truy cập tài nguyên của một member server, máy tính của tôi đưa mã thông báo truy cập đặc biệt, về cơ bản đã được thẩm định bởi một domain controller. Có thể member server không tin tôi, nhưng nó tin domain controller. Do đó, nếu domain controller xác nhận hợp lệ cho nhân dạng của tôi, member server sẽ chấp nhận và cung cấp khả năng truy cập bất cứ tài nguyên nào mà tôi có quyền.

Kết luận

Như bạn có thể thấy, quá trình thẩm định trên domain controller và cung cấp quyền truy cập tài nguyên mạng hơi phức tạp một chút. Chúng ta sẽ tiếp tục thảo luận về thẩm định (authentication) và truy cập tài nguyên (resource access) chi tiết hơn trong loạt bài sau. Còn bây giờ, tất cả chỉ là những gì đơn giản nhất nhằm giúp các bạn dễ hiểu. Trong phần tiếp của loạt bài này chúng ta sẽ thảo luận về domain controller chi tiết hơn với vai trò của domain controller trong Active Directory.
Kiến thức cơ bản về mạng: Phần 5 - Domain Controller
Domain controller là gì và lựa chọn thế nào cho hợp với cơ sở hạ tầng mạng của bạn?

Trong những bài trước chúng ta đã nói tới vai trò của các máy tính khác nhau trên mạng. Chắc hẳn các bạn còn nhớ, ngay trong phần 4 chúng ta đã nói một chút về domain controller. Còn bây giờ, trong bài này bạn sẽ được biết sâu hơn domain controller là gì và lựa chọn chúng ra sao cho hợp với cơ sở hạ tầng mạng của bạn.

Một trong những khái niệm quan trọng nhất của mạng Windows là domain (tức miền hay vùng). Một domain là tập hợp các tài khoản người dùng và tài khoản máy tính được nhóm lại với nhau để quản lý một cách tập trung. Và công việc quản lý là dành cho domain controller (bộ điều khiển miền) nhằm giúp việc khai thác tài nguyên trở nên dễ dàng hơn.

Vậy tại sao domain controller lại rất quan trọng? Trong mạng, bất kỳ máy trạm nào đang chạy hệ điều hành Windows XP cũng có một nhóm tài khoản người dùng tạo sẵn nào đó. Windows XP thậm chí còn cho phép bạn tạo một số tài khoản bổ sung nếu thấy cần thiết. Nếu máy trạm có chức năng như một hệ thống độc lập hoặc là một phần của mạng ngang hàng thì tài khoản người dùng mức máy trạm (được gọi là tài khoản người dùng cục bộ) không thể điều khiển truy cập tài nguyên mạng. Chúng chỉ được dùng để điều chỉnh truy cập máy cục bộ và hoạt động như với chức năng đảm bảo cho quản trị viên có thể thực hiện công việc bảo dưỡng, duy trì máy trạm, không cho phép người dùng cuối khả năng can thiệp vào các thiết lập trên máy trạm.

Lý do vì sao tài khoản người dùng cục bộ trên một máy trạm nhất định không được phép điều khiển truy cập tài nguyên nằm ngoài máy trạm đó là nó tăng thêm gánh nặng quản lý rất lớn. Tài khoản người dùng cục bộ chỉ nằm trên các máy trạm riêng rẽ. Nếu một tài khoản là có chức năng bảo mật chính trong mạng, quản trị viên sẽ phải di chuyển vật lý tới máy tính có tài khoản đó bất kỳ khi nào phải thực hiện thay đổi quyền hạn cho tài khoản. Vấn đề này không gây ra tác động gì lớn trong mạng nhỏ, nhưng sẽ trở nên cực kỳ nặng nề với ở mạng lớn hay khi cần áp dụng thay đổi rộng cho tất cả mọi tài khoản.

Một lý do khác nữa là không ai muốn phải chuyển tài khoản người dùng từ máy này sang máy khác. Chẳng hạn, nếu máy tính của một người dùng bị phá hoại, người đó không thể đăng nhập vào máy tính khác để làm việc vì tài khoản họ tạo chỉ có tác dụng trên máy cũ. Nếu muốn làm được việc anh ta sẽ phải tạo tài khoản mới trên máy khác.

Chỉ là một trong số rất nhiều lý do khiến việc sử dụng tài khoản người dùng cục bộ cho việc truy cập an toàn tài nguyên mạng là không thực tế. Thậm chí nếu bạn muốn triển khai kiểu bảo mật này, Windows cũng không cho phép. Tài khoản người dùng cục bộ chỉ có thể dùng tài nguyên cục bộ trên một máy trạm nhất định.

Domain có nhiệm vụ giải quyết các vấn đề vừa nêu và một số vấn đề khác nữa. Chúng sẽ tập trung hoá tài khoản người dùng (hay cấu hình khác, các đối tượng liên quan đến bảo mật; chúng ta sẽ đề cập đến trong bài sau). Điều này giúp việc quản trị dễ dàng hơn và cho phép người dùng đăng nhập từ bất kỳ máy tính nào có trên mạng (trừ khi bạn giới hạn quyền truy cập người dùng).

Với những thông tin đã được cung cấp chắc hẳn bạn sẽ nghĩ, về mặt nguyên lý, khi một người dùng nào đó muốn truy cập tài nguyên nằm trên một máy chủ (server), tài khoản người dùng mức server sẽ được dùng để điều khiển truy cập. Xét trên một số khía cạnh, ý tưởng này là đúng, nhưng còn có nhiều điều phải lưu ý hơn thế.

Trở lại đầu những năm 1990, khi tác giả bài báo này còn làm việc cho một công ty bảo hiểm lớn, sử dụng mạng với các máy chủ chạy hệ điều hành Novell NetWare. Windows networking hồi đó vẫn chưa được tạo ra và Novell NetWare là hệ điều hành server duy nhất có thể lựa chọn. Công ty chỉ có một network server, chứa tất cả mọi tài khoản người dùng và tài nguyên mạng cần truy cập. Một vài tháng sau, ai đó quyết định rằng người dùng ở công ty cần chạy một nhánh ứng dụng mới. Do kích thước của ứng dụng và số lượng dữ liệu lớn nên ứng dụng phải được đặt trên một server chuyên dụng.

Phiên bản Novell NetWare công ty đang dùng lúc đó chạy theo kiểu: tài nguyên nằm trên một server được bảo vệ bởi tài khoản người dùng cũng nằm trên server đó. Nhưng nảy sinh vấn đề: mỗi máy chủ có tập hợp tài khoản người dùng độc lập, hoàn chỉnh và riêng rẽ. Khi thêm một máy chủ khác vào mạng, người dùng vẫn có thể đăng nhập theo cách bình thường nhưng phải tạo username và password mới.

Thời gian đầu, mọi thứ trôi chảy. Nhưng khoảng một tháng sau, khi cài đặt thêm một số chương trình khác lên máy chủ mới, mọi việc trở nên tệ hại. Các máy chủ buộc người dùng phải thay đổi lại mật khẩu trong khi họ không nhận ra rằng phải đổi ở hai chỗ khác nhau. Có nghĩa là mật khẩu đã mất đi tính đồng bộ và bộ phận trợ giúp quá tải với các cuộc gọi liên quan đến lập lại mật khẩu. Khi công ty lớn mạnh hơn và bổ sung thêm nhiều máy chủ mới vào mạng, vấn đề ngày càng tồi tệ.

Cuối cùng sự việc được giải quyết khi Novell cho ra đời phiên bản 4.0 của NetWare. NetWare 4 giới thiệu công nghệ gọi là Directory Service (dịch vụ thư mục). Ý tưởng của nó là người dùng sẽ không phải tạo các tài khoản riêng rẽ trên từng server nữa. Thay vào đó một tài khoản đơn duy nhất được dùng để thẩm định tư cách người dùng trên toàn bộ mạng mà không cần biết có bao nhiêu máy chủ trên mạng đó.

Một điều thú vị khi tìm hiểu về domain là mặc dù mỗi domain có một giá trị duy nhất, không bao giờ lặp nhau trong mạng Microsoft (Novell không dùng domain) nhưng chúng làm việc theo nguyên tắc cơ bản giống nhau. Khi Windows 2000 được phát hành, Microsoft tích hợp một thành phần vẫn còn được dùng tới nay là Active Directory. Active Directory rất giống với Directory Service được mạng Novell sử dụng trước kia.

Toàn bộ công việc chúng ta phải làm với domain là gì? Khi máy chủ Windows sử dụng Windows 2000 Server, Windows Server 2003 hay Longhorn Server sắp ra mắt, công việc của domain controller (bộ điều khiển miền) là chạy dịch vụ Active Directory. Active Directory hoạt động như một nơi lưu trữ các đối tượng thư mục, trong đó có tài khoản người dùng (user account). Và một trong các công việc chính của bộ điều khiển tên miền là cung cấp dịch vụ thẩm định.

Nên hết sức lưu ý là domain controller cung cấp dịch vụ thẩm định (authentication) chứ không phải là dịch vụ cấp phép (authorization). Tức là, khi một người dùng nào đó đăng nhập vào mạng, một bộ điều khiển miền sẽ kiểm tra tính hợp lệ của username và password họ nhập vào có chính xác và khớp với dữ liệu lưu trong máy chủ hay không. Nhưng domain controller không nói với người dùng họ có quyền truy cập tài nguyên nào.

Tài nguyên trên mạng Windows được bảo vệ bởi các Danh sách điều khiển truy cập (ACL). Một ACL là danh sách chỉ rõ ai có quyền làm gì. Khi người dùng cố gắng truy cập tài nguyên, họ đưa ra nhân dạng của mình cho máy chủ chứa tài nguyên đó. Máy chủ sẽ kiểm tra để chắc chắn rằng nhân dạng người dùng này đã được thẩm định, sau đó tham chiếu chéo đến ACL để xem người dùng có quyền làm gì.

Kết luận

Như bạn có thể thấy, domain controller (bộ điều khiển miền) đóng vai trò rất quan trọng trong mạng Windows. Trong phần tiếp theo của loạt bài này chúng ta sẽ tiếp tục thêm một chút với domain controller và Active Directory.
Kiến thức cơ bản về mạng: Phần 6 - Windows Domain
Thảo luận chi tiết và phân tích kỹ lưỡng về Windows domain.

Trong một số bài trước của loạt bài này các bạn đã được giới thiệu một số khái niệm về domain (miền, tức là một vùng mạng được quan tâm nhất định) và domain controller (bộ quản lý miền). Tiếp tục với những kiến thức cơ sở nhất, hôm nay chúng tôi giới thiệu với bạn đọc một khái niệm khác: Windows domain. Có một số điều đã quen và cũng có một số điểm mới khác. Chúng ta hãy cùng xem chúng là cái gì.

Như đã giải thích trong phần 5, domain bây giờ không còn lạ lẫm gì với các bạn. Microsoft đưa ra khái niệm domain đầu tiên trong Windows NT Server. Vào thời kỳ đó, mỗi domain là một vùng riêng biệt, thường sở hữu tất cả tài khoản người dùng của toàn bộ công ty. Một quản trị viên phải hoàn toàn điều khiển domain và dữ liệu bên trong nó.

Nhưng đôi khi domain đơn riêng rẽ không mang tính thiết thực. Chẳng hạn, nếu một công ty có chi nhánh ở một vài thành phố khác nhau. Khi đó mỗi chi nhánh cần sẽ cần phải có một domain riêng, gây lãng phí và rất tốn kém. Trường hợp phổ biến khác là khi một công ty mua lại công ty khác. Tất nhiên hai công ty thường có hai domain khác nhau. Khi sát nhập lại thành một, chẳng nhẽ lại phải tiếp tục duy trì hai domain riêng như vậy.

Nhiều khi người dùng ở miền này cần truy cập tài nguyên trên miền khác. Trường hợp này không phải hiếm gặp. Đưa ra giải pháp cho vấn đề này, Microsoft đã tạo cáctrusts hỗ trợ cho việc truy cập dễ dàng hơn. Bạn có thể hình dung hoạt động củatrust cũng giống như công việc bảo vệ an ninh ở sân bay vậy.

Tại Mỹ, hành khách thường phải xuất trình bằng lái xe cho nhân viên an ninh sân bay trước khi lên các chuyến bay nội địa. Giả sử bạn dự định bay tới một nơi nào đó trong địa phận nước Mỹ. Nhân viên an ninh tại sân bay không biết bạn là ai và chắc chắn là không tin bạn. Nhưng họ tin chính quyền bang Nam Carolina, nơi bạn sinh sống, xác nhận nhân thân và cấp bằng lái xe cho bạn. Do đó bạn có thể trình bằng lái xe Nam Carolina và nhân viên an ninh sân bay sẽ cho phép bạn lên máy bay mặc dù họ không cần tin cá nhân bạn là ai.

Domain trust cũng hoạt động theo cách như vậy. Giả sử bạn là người quản trị một domain có chứa tài nguyên mà người dùng ở domain khác cần truy cập. Nếu bạn không phải là quản trị viên trong foreign domain thì bạn không có quyền điều khiển ai là người được cấp tài khoản người dùng trong domain đó. Nếu tin tưởng quản trị viên của domain bạn muốn có mối liên hệ, bạn có thể thiết lập một trust (có thể hiểu là mộtuỷ thác) để domain của bạn "uỷ thác" các thành viên của mình trở thành thành viên của domain kia. Foreign domain được gọi là domain "được uỷ thác".

Trong bài trước tôi đã nhấn mạnh rằng domain controller cung cấp dịch vụ thẩm định chứ không phải là dịch vụ cấp phép. Điều này hoàn toàn đúng ngay cả khi các quan hệ uỷ thác được thiết lập. Thiết lập quan hệ uỷ thác tới foreign domain không cung cấp cho người dùng trong domain đó quyền truy cập vào bất cứ tài nguyên nào trong miền của bạn. Bạn vẫn phải gán quyền cho người dùng như đối với người dùng trong domain riêng của mình.

Ở phần đầu của bài này chúng ta có nói rằng trong Windows NT, mỗi domain là một môi trường riêng rẽ, tự chứa các nội dung bên trong và các uỷ thác được tạo ra theo kiểu cho phép người dùng ở domain này truy cập tài nguyên trong domain khác. Các khái niệm đó cho đến nay vẫn đúng một phần, nhưng mô hình domain thì thay đổi một cách đáng kinh ngạc khi Microsoft tạo ra Active Directory. Chắc bạn vẫn còn nhớ Active Domain được giới thiệu đầu tiên trong Windows 2000 và hiện nay vẫn còn được dùng trong Windows Server 2003. Chắc chắn Active Directory sẽ quay trở lại sớm trong Longhorn Server, phiên bản hệ điều hành server mới nhất sắp ra mắt của Microsoft.

Một trong những điểm khác nhau chính giữa domain kiểu Windows NT và domain Active Directory là chúng không còn duy trì tình trạng hoàn toàn riêng rẽ nữa. Trong Windows NT, không có cấu trúc mang tính tổ chức cho các domain. Từng domain hoàn toàn độc lập với nhau. Còn trong môi trường Active Directory, cấu trúc có tổ chức chính được biết đến là forest (kiểu cấu trúc rừng). Một forest có thể chứa nhiều nhánh (tree) domain.

Bạn có thể hình dung domain tree cũng giống như cây gia đình (hay còn gọi là sơ đồ phả hệ). Một cây gia đình gồm có: cụ, kỵ, ông bà, cha mẹ rồi đến con cái... Mỗi thành viên trong cây gia đình có một số mối quan hệ với thành viên ở trên và bên dưới. Domain tree cũng tương tự như vậy. Bạn có thể nói vị trí của một domain bên trong cây bằng cách nhìn vào tên nó.

Các miền Active Directory dùng tên theo kiểu DNS, tương tự như tên dùng cho website. Bạn hãy nhớ lại, trong phần 3 của loạt bài này tôi đã giải thích các server DNS xử lý đường dẫn URL cho trình duyệt Web như thế nào. Kỹ thuật giống như vậy cũng được dùng nội bộ trong môi trường Active Directory. DNS là tên viết tắt của Domain Name Server (Máy chủ tên miền). Một DNS server là thành phần bắt buộc cho bất kỳ triển khai Active Directory nào.

Để biết hoạt động đặt tên miền diễn ra như thế nào, chúng ta hãy cùng xem quá trình thiết lập một mạng riêng ra sao. Domain chính trong mạng tôi lấy ví dụ có tênproduction.com. Tôi không thực sự sở hữu tên miền Internet production.com, nhưng điều đó không thành vấn đề vì miền này hoàn toàn riêng tư và chỉ có thể truy cập được từ bên trong mạng riêng của tôi.

Miền production.com được coi là domain mức đầu. Nếu đây là miền Internet, nó sẽ không giữ vị trí này nữa mà chỉ được xem là domain con của .com. Khi đó .com mới thực sự là domain mức đầu bảng. Mặc dù có một số điểm khác nhau không quan trọng lắm, nhưng nguyên tắc cơ bản giống như vậy vẫn được giữ nguyên. Tôi có thể dễ dàng tạo một domain con của production.com bằng cách tạo tên miền khác trongproduction.com, ví dụ sales.production.com chẳng hạn. Thậm chí còn có thể tạo một domain "cháu" như widgets.sales.production.com. Bạn có thể dễ dàng nói vị trí của một domain bên trong domain tree, chỉ cần nhìn vào số khoảng cách trong tên của miền.

Như trước đã đề cập, một forest Active Directory có thể chứa một số domain tree. Bạn không bị giới hạn tạo các single domain tree trong forest này. Mạng riêng của tôi dùng hai domain tree: production.com và test.com. Domain test.com bao gồm tất cả server trong quá trình thử nghiệm với một số kỹ thuật khác nhau. Còn production.com domain chứa các server thực sự dùng trong hoạt động kinh doanh. Domain này là mail server và một số file server.

Điểm đáng chú ý là khả năng tạo nhiều cây domain, cho phép bạn phân tách được mạng của mình, làm cho nó có ý nghĩa nhất với khả năng quản lý trong tương lai. Ví dụ, giả sử một công ty có năm văn phòng ở năm thành phố khác nhau. Công ty có thể dễ dàng tạo một rừng Active Directory gồm năm cây domain, mỗi cây cho một thành phố. Lúc đó mỗi chi nhánh trên một thành phố sẽ cần một quản trị viên. Và quản trị viên đó hoàn toàn tự do tạo các domain con cho domain tree của họ nếu thấy cần thiết.

Ưu điểm của kiểu cấu trúc này là tất cả domain đều nằm trong một forest chung. Điều này có nghĩa là hoạt động quản trị điều khiển từng domain riêng hay các domain tree được phân phối cho từng quản trị viên ở mỗi thành phố khác nhau. Còn quản trị viên forest cuối cùng sẽ duy trì hoạt động điều khiển toàn bộ domain trong forest. Hơn nữa, các mối quan hệ uỷ thác được đơn giản hoá rất hiệu quả. Mọi domain trong forest thiết lập các uỷ thác tự động tới domain khác. Và nó hoàn toàn có thể thiết lập các trust này với forest hoặc domain mở rộng.

Kết luận

Trong bài này chúng ta đã nói về cấu trúc có tổ chức được dùng trong việc tạo các miền Active Directory. Trong phần tiếp theo của loạt bài này chúng tôi sẽ giới thiệu với bạn các thức hoạt động truyền thông mạng làm việc trong mội trường Active Directory như thế nào.
Kiến thức cơ bản về mạng: Phần 7 - Giới thiệu về FSMO Role
Sự cần thiết của các FSMO role
Trong các phần trước của loạt bài này, chúng ta đã được biết đến Active Directory, với một rừng (forest) các cây miền (domain tree), trong đó tên của mỗi miền cũng đồng thời là vị trí của chúng trong forest. Với cấu trúc cây phân tầng tự nhiên của Active Directory, bạn có thể dễ dàng đoán biết được các miền ở gần phía trên là những miền quan trọng nhất (đôi khi có các Domain Controller bên trong các miền đó). Trong bài này chúng ta sẽ thảo luận quy tắc các Domain Controller riêng lẻ phải tuân thủ bên trong Active Directory forest.
Trước đây, chúng ta có nói về các miền bên trong Windows NT. Cũng giống như Active Directory, Windows NT domain hỗ trợ sử dụng đa Domain Controller. Xin nhớ rằng Domain Controller chịu trách nhiệm thẩm định thông tin đăng nhập của người dùng. Do đó, nếu Domain Controller không hoạt động, sẽ không có bất kỳ ai được phép đăng nhập vào mạng. Microsoft nhận thức sớm được điều này nên thiết kế Windows cho phép sử dụng đa Domain Controller cùng một lúc. Nếu một Domain Controller bị hỏng, Domain Controller khác có thể thay thế nó, giúp hoạt động thẩm định đăng nhập mạng không bị gián đoạn. Có nhiều Domain Controller cũng cho phép miền liên quan đến hoạt động tải được chia sẻ bởi đa máy tính, tránh đẩy gánh nặng lên toàn bộ một server đơn.
Mặc dù Windows NT hỗ trợ đa Domain Controller trong một miền, nhưng luôn có một Domain Controller được xem là quan trọng nhất. Người ta gọi đó là Primary Domain Controller (máy điều khiển miền chính) hay PDC. Bạn có thể nhớ lại là, một Domain Controller bao gồm một cơ sở dữ liệu chứa tất cả thông tin tài khoản người dùng bên trong miền (tất nhiên còn nhiều thứ khác). Cơ sở dữ liệu này được gọi là Security Accounts Manager, hay SAM.
Trong Windows NT, PDC lưu trữ bản copy chính của cơ sở dữ liệu. Các Domain Controller khác trong miền Windows NT được gọi là Backup Domain Controller (Domain Controller dự trữ), hay BDC. Mỗi lần thực hiện thay đổi trên cơ sở dữ liệu của Domain Controller, thay đổi này sẽ được ghi vào PDC. Sau đó PDC sao chép thay đổi ra tất cả các BDC khác trong miền. Theo nghĩa thông thường, PDC chỉ là Domain Controller trong miền Windows NT, là miền mà các bản update có thể được sử dụng. Nếu PDC bị lỗi, sẽ có cách thức điều khiển từ xa một BDC tới PDC, cho phép Domain Controller hoạt động theo đúng chức năng của nó trong miền, nhưng chỉ với vai trò PDC.
Các miền Active Directory hơi khác một chút. Active Directory sử dụng mô hình sao chép đa chủ, tức là mọi Domain Controller trong miền đều có thể ghi. Ở đây không còn khái niệm PDC hay BDC. Nếu một người quản trị cần thực hiện thay đổi trên cơ sở dữ liệu Active Directory, thay đổi này được áp dụng cho bất kỳ Domain Controller nào trong miền, và sau đó được sao chép tới các Domain Controller còn lại.
Mô hình sao chép đa chủ được đánh giá là ý tưởng không tồi. Nó mở ra cánh cửa mới cho các thay đổi mâu thuẫn trái chiều. Chẳng hạn, chuyện gì sẽ xảy ra nếu hai quản trị viên khác nhau áp dụng các thay đổi mâu thuẫn cho hai Domain Controller rải rác ở hai vị trí trong cùng một thời điểm?
Thông thường, Active Directory dành quyền ưu tiên cho các thay đổi mới nhất. Nhưng trong một số trường hợp, phương pháp này không thể giải quyết được xung đột nghiêm trọng. Do đó, Microsoft đưa ra gợi ý là tốt hơn hết bạn nên ngăn ngừa xung đột từ khi chúng chớm xuất hiện hoặc chưa xuất hiện, còn hơn là giải quyết chúng sau khi đã xảy ra.
Trong các trường hợp này, Windows cung cấp cho chúng ta giải pháp chỉ định một số Domain Controller thực hiện vai trò Flexible Single Master Operation (FSMO). Về cơ bản, sử dụng FSMO có nghĩa là các miền Active Directory hỗ trợ đầy đủ mô hình sao chép đa chủ, ngoại trừ trong một số trường hợp riêng nhất định, miền được khôi phục sử dụng mô hình đơn chủ. Có ba vai trò FROM khác nhau được gán ở mức domain, và hai vai trò bổ sung gán ở mức forest.
Các FSMO role được đặt ở đâu?
Hầu hết các role (vai trò) FSMO đều chỉ chú trọng đến bản thân chúng. Nhưng thông tin cho bạn biết Domain Controller nào sở hữu các role nào cũng hết sức quan trọng. Mặc định, Domain Controller đầu tiên trong rừng sở hữu 5 role. Khi các domain bổ sung được tạo, Domain Controller đầu tiên sẽ mang trực tuyến đến cho từng miền sở hữu 3 role FSMO mức domain.
Lý do quan trọng để biết Domain Controller nào nắm giữ các role nào là bởi thiết bị phần cứng sau này sẽ bị lão hoá và cuối cùng cũng buộc phải loại bỏ. Một trường hợp trước đây tôi từng chứng kiến, một quản trị viên mạng chuẩn bị triển khai mạng Active Directory cho công ty của anh ta. Trong thời gian chờ server mới được đưa đến, quản trị viên cài đặt Windows trên một PC cũ để thử nghiệm một số chức năng quản lý Active Directory khác nhau.
Cuối cùng các server mới đến, quản trị viên cấu hình chúng với vai trò Domain Controller trong miền đã được tạo thay vì tạo một rừng mới. Tất nhiên, như thế tức là chiếc PC cũ nắm giữ các role FSMO. Mọi thứ hoạt động tốt cho đến khi quản trị viên quyết định loại bỏ PC cũ khỏi mạng. Anh ta ngưng sử dụng server này, cũng chưa phải là vấn đề. Nhưng thiếu kinh nghiệm hơn là anh ta format lại ổ cứng của máy. Vô số vấn đề đột nhiên diễn ra liên tục trên Active Directory. Nếu quản trị viên nhận ra rằng máy mà anh ta loại bỏ khỏi miền đang nắm giữ domain và các role FSMO của forest, anh ta có thể tránh được tất cả vấn đề đang diễn ra. Trong trường hợp này, bạn cần nắm giữ lại cá role FSMO từ server chết để mạng có thể phục hồi lại các hoạt động bình thường.
FSMO Role, chúng là gì?
Chúng ta sẽ thảo luận chức năng cụ thể của các FROM role này trong phần sau của loạt bài này. Ở đây tôi chỉ muốn lướt qua khái niệm cơ bản, giúp bạn hình dung xem chúng là gì. Như đã nói ở trên, có ba role mức domain và hai role mức forest.
Các role mức miền bao gồm: Relative identifier, Primary Domain Controller Emulator và Infrastructure Master. Các role mức rừng gồm Schema Master và Domain Naming master. Dưới đây là bản mô tả tóm tắt chức năng của các role này:
Schema Master: quản lý bản sao của cơ sở dữ liệu Active Directory.
Domain Naming Master: quản lý danh sách các miền trong rừng.
Relative Identifier Master: chịu trách nhiệm đảm bảo cho tất cả đối tượng Active Directory trong một miền đều được nhận mã số nhân dạng bảo mật duy nhất.
Primary Domain Controller Emulator: hoạt động như một Primary Domain Controller  trong các miền có Domain Controller chạy Windows NT.
Infrastructure Master: Chịu trách nhiệm cập nhật thông tin nhân dạng bảo mật của một đối tượng và phân biệt tên trong tham chiếu chéo đối tượng miền.
Kết luận
Hy vọng đến giờ bạn đã có thể hiểu được tầm quan trọng của các role FSMO cho dù cho biết các nguyên tắc hoạt động thực sự của chúng là gì. Trong phần tiếp theo của loạt bài này, chúng ta sẽ tiếp tục thảo luận về role FSMO chi tiết hơn nhằm giúp bạn hiểu thực sự chúng làm gì. Chúng tôi cũng sẽ chỉ cho bạn cách xác định server nào sở hữu những role nào.

Kiến thức cơ bản về mạng: Phần 8 - Tiếp tục về FSMO Role
Bài viết này chúng tôi sẽ tiếp tục giới thiệu đến các bạn các role của FSMO bằng cách giới thiệu về những gì role thực hiện, hậu quả thất bại FSMO và làm thế nào để phát hiện máy chủ nào đang quản lý role FSMO.

Sự quan trọng của Role

Trong phần trước của bài này, chúng tôi đã giải thích về các miền Active Directory sử dụng mô hình đa master ngoại trừ trong các tình huống đặc biệt quan trọng để tránh xung đột. Trong các tình huống này, Windows sẽ hoàn nguyên mô hình đơn master trong một bộ điều khiển miền đơn thực hiện với tư cách thẩm định đơn nhất cho sự thay đổi theo yêu cầu. Các bộ điều khiển miền này dùng để giữ FSMO role (Flexible Single Operations Master).

Như những gì chúng tôi đã giải thích trong phần 7, có 5 FSMO role khác nhau. Hai role tồn tại tại mức forest và 3 tồn tại ở mức miền (domain). Các role mức forest gồm có Schema Master và Domain Naming master, trong khi đó các role FSMO mức miền lại gồm Relative Identifier Master, Primary Domain Controller (PDC) Emulator và Infrastructure Master.

Quả thực tôi đã cân nhắc xem có cần phải thảo luận hay không về FSMO role quá sớm trong loạt bài viết này. Rốt cuộc thì tôi cũng đã quyết định bởi FSMO role là rất quan trọng trong việc hỗ trợ chức năng Active Directory.

Tôi chắc bạn có thể biết, Active Directory đòi hỏi các dịch vụ DNS phải có thể truy cập và mỗi miền phải có ít nhất một bộ điều khiển miền. Khi một mạng nào đó dựa trên Active Directory được khởi tạo ban đầu thì bộ điểu khiển miền đầu tiên hầu như được cấu hình để thực hiện với tư cách là máy chủ DNS của mạng. Bộ điều khiển miền tương tự cũng được gán cho tất cả 5 FSMO role. Nếu các miền khác được tạo bên trong forest thì bộ điều khiển miền đầu tiên bên trong mỗi miền sẽ cấu hình FSMO role cho miền đó. Các FSMO role mức forest chỉ được cấu hình trên bộ điều khiển miền đơn mà không quan tâm đến số lượng miền trong một forest.

Tôi nói cho bạn điều này vì muốn nhắc về những gì sẽ xảy ra nếu một bộ điều khiển miền đang cấu hình FSMO role bị lỗi. Nếu bộ điều khiển miền gồm có các FSMO role mức forest bị lỗi thì bạn cần phải chú ý làm rạch ròi vấn đề. Không phải tất cả FSMO role đều có vai trò quan trọng đối với hoạt động của mạng mà chỉ có bộ điều khiển miền cấu hình FSMO role mức forest mới thường xuyên cấu hình các dịch vụ DNS - dịch vụ được xem là rất quan trọng đối với Active Directory. Nếu dịch vụ DNS được cấu hình trên một máy chủ riêng biệt và các miền bên trong mỗi forest có nhiều hơn một bộ điều khiển miền thì có thể sẽ không cần lưu ý đến lỗi (trừ khi bạn có phần mềm kiểm tra để cảnh báo đã bị lỗi)

Bình thương sẽ không có hậu quả ngay lập tức xảy ra đối với một FSMO role lỗi, nhưng một số triệu chứng lạ sẽ phát triển sau đó nếu vấn đề vẫn không được sửa. Trong trường hợp này, việc biết được các dấu hiệu của một FSMO role bị lỗi là rất quan trọng. Và cũng quan trọng đối với bạn đó là làm thế nào để xác định được máy chủ nào đang cấu hình mỗi FSMO role. Bằng cách đó, nếu các triệu chứng hợp với một lỗi FSMO role xuất hiện thì bạn có thể kiểm tra xem máy chủ đang cấu hình FSMO role có phải bị lỗi hay không và sau đó có thể xử lý sự cố cho máy chủ đó.

Schema Master

Active Directory không thực sự là một thứ gì ngoài cơ sở dữ liệu, cũng giống như cơ sở dữ liệu khác, Active Directory có một giản đồ. Tuy nhiên lại không giống như các cơ sở dữ liệu khác, giản đồ của Active Directory không phải giản đồ tĩnh. Có một số hoạt động cần thiết mở rộng giản đồ. Ví dụ, việc cài đặt Exchange Server cần giản đồ Active Directory để được mở rộng. Bất kỳ thời điểm nào diễn ra sự thay đổi giản đồ Active Directory thì những thay đổi đó cũng được áp dụng cho Schema Master.

Schema Master là một thành phần rất quan trọng của các FSMO role, vì vậy Microsoft để ẩn nó không cho nhìn thấy. Nếu cần phải tìm máy chủ nào đang cấu hình Schema Master role thì bạn phải đưa đĩa CD cài Windows Server 2003 và kích đúp vào file ADMINPAK.MSI trong thư mục I386. Khi thực hiện điều đó, Windows sẽ khởi chạy Administration Tools Pack Setup Wizard. Theo cửa sổ wizard để cài đặt gói các công cụ quản trị.

Khi quá trình cài đặt được hoàn tất, bạn đóng Setup wizard và mở Microsoft Management Console bằng cách nhập vào dòng lệnh MMC trong cửa số lệnh RUN. Khi cửa sổ được mở, chọn Add/Remove từ menu File. Sau khi chọn xong, cửa sổ sẽ hiển thị trang thuộc tính của thành phần Add/Remove. Kích chuột vào nút Add để xuất hiện một danh sách có sẵn các mô đun. Chọn mô đun Active Directory Schematrong danh sách và kích vào nút Add, sau đó nhấn Close và nút OK.

Bây giờ mô đun đã được tải ra, kích chuột phải vào Active Directory Schema và chọn Operations Master từ menu chuột phải. Một hộp thoại sẽ xuất hiện, hộp thoại này thông báo cho bạn biết rằng máy chủ nào đang cấu hình với tư cách là Schema Master của forest.

Domain Naming Master

Như tôi đã giải thích, một rừng Active Directory có thể gồm nhiều miền. Việc kiểm tra các miền này là công việc của Domain Naming Master. Nếu Domain Naming Master bị lỗi thì nó không thể tạo và gỡ bỏ các miền cho tới khi Domain Naming Master quay trở lại trực tuyến.

Để xác định máy chủ nào đang hoạt động như Domain Naming Master cho một forest, mở Active Directory Domains and Trusts, khi cửa sổ này được mở, kích chuột phải vào Active Directory Domains and Trusts và chọn Operations Masters. Sau khi chọn xong, Windows sẽ hiển thị Domain Naming master.

Relative Identifier (Bộ nhận dạng quan hệ)

Active Directory cho phép quản trị viên tạo các đối tượng Active Directory trên bất kỳ bộ điều khiển miền nào. Mỗi một đối tượng phải có một số hiệu nhận dạng quan hệ duy nhất để ngăn chặn các bộ nhận dạng quan hệ khỏi bị giống nhau, Relative Identifier Master chỉ định một nhóm bộ nhận dạng quan hệ cho mỗi một điều khiển miền. Khi một đối tượng mới được tạo trong một miền, bộ điều khiển miền mà đối tượng đang tạo sẽ lấy một trong những bộ nhận dạng quan hệ của nó ra khỏi nhóm và gán cho đối tượng. Khi một nhóm được khai thác hết thì bộ điều khiển miền phải liên lạc với Relative Identifier Master để có thêm bộ nhận dạng quan hệ. Như vậy, triệu chứng cuối cùng của Relative Identifier Master lỗi là hoàn toàn bất lực trong việc tạo các đối tượng trong Active Directory.

Để xác định máy chủ nào đang thực hiện như bộ nhận dạng quan hệ cho một miền, hãy mở Active Directory Users and Computers. Khi cửa số này được mở, kích chuột phải vào danh sách miền hiện hành và chọn Operations Masters. Windows sẽ hiển thị trang thuộc tính của Operations Masters. Trong cửa sổ này bạn có thể chọn bộ điều khiển miền nào đang thực hiện như bộ nhận dạng quan hệ bằng cách quan sát ở tabRID của trang thuộc tính.

Primary Domain Controller Emulator

Xuyên suốt loạt các bài viết này, tôi đã nói về role mà Primary Domain Controller (PDC) hoạt động trong môi trường Windows NT. Role của PDC emulator được tạo để cho phép các bộ điều khiển miền Active Directory cùng tồn tại với các bộ điều khiển miền Windows NT. Ý tưởng cơ bản ở đây là khi một tổ chức đang nâng cấp từ Windows NT lên Windows 2000 hoặc Windows Server 2003 thì PDC là bộ điều khiển miền đầu tiên được nâng cấp. Ở điểm này, bộ điều khiển miền được nâng cấp gần đây hoạt động như một bộ điều khiển miền Active Directory và một PDC cho các bộ điều khiển miền vẫn đang chạy Windows NT.

Role của PDC emulator ngày nay càng không liên quan nhiều hơn bởi vì rất ít các tổ chức sử dụng Windows NT Server. Nếu bạn cần chỉ định máy chủ nào trong miền đang cấu hình role của PDC Emulator dù cho bạn có thể thực hiện điều đó bằng cách mở Active Directory Users and Computers. Khi cửa số này được mở, bạn kích chuột phải vào miền hiện hành và chọn Operations Masters. Windows sẽ hiển thị trang thuột tính của Operations Masters. Bạn có thể xác định bộ điều khiển miền nào đang hành động như PDC Emulator bằng cách quan sát tại tab PDC của trang thuộc tính.

Infrastructure Master

Trong môi trường Active Directory, một forest có thể gồm nhiều miền. Tất nhiên ngụ ý của nó là các miền Active Directory không hoàn toàn mà các thực thể độc lập mà chúng đôi khi phải truyền thông với phần còn lại của forest. Đây chính là nơi mà Infrastructure Master diễn ra. Khi bạn tạo, thay đổi hoặc xóa một đối tượng bên trong một miền, sự thay đổi sẽ được truyền một cách tự nhiên xuyên suốt miền. Vấn đề là phần còn lại của forest không biết đến sự thay đổi này. Đây chính là công việc của Infrastructure Master, làm thế nào để cho phần còn lại của forest biết được có sự thay đổi.

Nếu máy chủ Infrastructure Master bị lỗi thì các thay đổi đối tượng sẽ không thể nhìn thấy trong đường biên miền. Ví dụ, nếu bạn đã đặt lại tên cho một tài khoản người dùng thì tài khoản người dùng vẫn sẽ xuất hiện với tên cũ khi được xem từ các miền khác trong forest.

Để xác định máy chủ nào đang thực hiện với tư cách Infrastructure Master cho một miền, mở Active Directory Users and Computers. Khi cửa số này được mở, bạn kích chuột phải vào danh sách miền hiện hành và chọn Operations Masters, Windows sẽ hiển thị trang thuộc tính của Operations Masters. Bạn có thể xác định được bộ điều khiển miền nào đang thực hiện với tư cách Operations Master bằng cách nhìn vào tabInfrastructure của trang thuộc tính.

Kết luận

Như những gì bạn có thể thấy, các role FSMO đóng vai trò quan trọng trong chức năng của Active Directory. Trong phần tiếp theo của loạt bài viết này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn về cấu trúc của Active Directory và việc định tên giản đồ được sử dụng bởi các đối tượng Active Directory.
Kiến thức cơ bản về mạng: Phần 9 – Thông tin về Active Directory
Trong các phần gần đây của loạt bài bài này, chúng tôi đã giới thiệu nhiều về Active Directory và cách nó làm việc với các bộ điều khiển miền mạng. Bạn cũng đã được giới thiệu qua các phần trước rằng Active Directory về cơ bản là một cơ sở dữ liệu gồm có nhiều đối tượng khác nhau như tài khoản người dùng và tài khoản máy tính. Trong phần này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn Active Directory được cấu trúc như thế nào. Nếu đã từng sử dụng Microsoft Access hoặc SQL Server thì bạn hoàn toàn có thể mở cơ sở dữ liệu và quan sát các thực thể bên trong nó. Mặc dù vậy, không có công cụ quản trị nào được sử dụng để quản lý Active Directory có thể cho bạn xem được toàn bộ cơ sở dữ liệu của Active Directory. Thay vì đó, Microsoft đã cung cấp một số công cụ khác nhau tương ứng với một lĩnh vực cụ thể của cơ sở dữ liệu. Với một quản trị viên, công cụ quản trị có thể sử dụng thường là Active Directory Users and Computers console.

Bạn có thể truy cập Active Directory Users and Computers console từ bộ điều khiển miền của Windows Server 2003 bằng cách chọn Active Directory Users and Computers từ menu Start / All Programs / Administrative Tools của máy chủ. Giao diện của nó được thể hiện như những gì bạn thấy trong hình A.

Hình A: Giao diện Active Directory Users and Computers là một công cụ
quản trị chính cho việc quản lý các đối tượng Active Directory.
Chúng ta sẽ thảo luận quá trình tạo hoặc soạn thảo các đối tượng Active Directory sau, bây giờ chúng tôi sẽ giới thiệu kỹ hơn về giao diện này bởi vì nó giúp chúng ta khám phá một chút về cấu trúc của Active Directory. Nếu nhìn vào hình A thì bạn sẽ thấy được rằng ở đây có một số thư mục lớn, mỗi một thư mục này tương ứng với một loại đối tượng cụ thể. Mỗi đối tượng trong Active Directory đều được gán một kiểu đối tượng (được biết đến như là lớp đối tượng).

Mỗi đối tượng cũng có một số thuộc tính liên quan. Các thuộc tính cụ thể thay đổi phụ thuộc vào kiểu đối tượng.

Ví dụ, thư mục Users chứa các tài khoản người dùng, tất cả được phân loại thành các đối tượng người dùng như trong hình B. Nếu kích chuột phải vào một trong các đối tượng người dùng này và chọn Properties từ menu chuột phải thì bạn sẽ thấy được trang thuộc tính của đối tượng (như trong hình C).

Hình B: Thư mục Users chứa các tài khoản người dùng,
tất cả được phân loại thành các đối tượng người dùng.

Hình C: Khi kích chuột phải vào một đối tượng người dùng và chọn
Properties thì bạn sẽ thấy trang thuộc tính của người dùng.
Nếu nhìn vào hình C thì bạn sẽ thấy rằng có một số trường thông tin khác nhau như tên, họ, số điện thoại… Mỗi trường đó tương ứng với một thuộc tính của một đối tượng. Mặc dù phần lớn các trường ở trong hình đều không phổ biến nhưng trong một số tình huống thực thì các trường này có thể được sử dụng để tạo thư mục cộng tác. Trong thực tế, nhiều ứng dụng được thiết kế để trích thông tin trực tiếp từ Active Directory. Ví dụ, Microsoft Exchange Server (sản phẩn e-mail server của Microsoft) tạo một danh sách địa chỉ toàn cục dựa trên nội dung của Active Directory. Danh sách này được sử dụng khi gửi các thông báo email đến người dùng khác trong công ty.

Nếu nhìn vào hình D, bạn sẽ thấy được một màn hình, trong đó chúng tôi đã thực hiện một tìm kiếm với tên Hershey, và Outlook đã trả toàn bộ danh sách địa chỉ toàn cục Global Address List gồm có tên Hershey. Không hề ngạc nhiên vì đây chỉ là một kết quả. Nếu nhìn vào phần kết quả của cửa sổ thì bạn sẽ thấy được nơi mà Outlook hiển thị tiêu đề của người dùng, số điện thoại doanh nghiệp và vị trí mà trường đó được phổ biến. Tất cả thông tin này đều được lấy từ Active Directory.

Hình D
Nếu muốn thấy các thông tin chi tiết hơn về người dùng, bạn hãy kích chuột phải vào tên của người dùng và chọn Properties.Khi đó cửa sổ như hình E sẽ được hiển thị. Bạn hãy nhớ rằng đây không phải là một màn hình quản trị. Đơn giản đây chỉ là một màn hình mà bất kỳ người dùng nào trong công ty cũng có thể truy cập trực tiếp thông qua Outlook 2007 để tìm thông tin về các nhân viên khác.

Hình E: Xem thông tin Active Directory trực tiếp thông qua Microsoft Outlook
Xét cho cùng thì Outlook là một sản phẩm của Microsoft, vì vậy nó chỉ tạo một cảm giác rằng Outlook sẽ có thể lấy thông tin từ Active Directory, một phần của một sản phẩm khác của Microsoft. Tuy nhiên có rất nhiều người không nhận ra một điều, đó là khá dễ dàng cho bất cứ ai có sự cho phép thích hợp để lấy thông tin từ Active Directory. Thực tế, có rất nhiều sản phẩm của nhóm thứ ba được thiết kế để tương tác với Active Directory. Một trong số chúng có khả năng lưu dữ liệu trong các phần Active Directory đặc biệt.

Lý do nó hợp lý với bạn hoặc với các hãng phần mềm nhóm thứ ba khi tương tác với Active Directory là vì Active Directory được dựa trên một chuẩn đã biết. Active Directory được dựa trên một chuẩn có tên gọi là X.500. Chuẩn này cơ bản là một cách chung chung trong việc thực hiện dịch vụ thư mục. Microsoft không chỉ là một công ty tạo dịch vụ thư mục dựa trên dịch vụ này mà Novell ban đầu cũng đã tạo dịch vụ thư mục NetWare Directory Service trên chuẩn này.

Đây cũng là một cách trong việc truy cập vào thông tin dịch vụ thư mục. Trong môi trường Active Directory, việc truy cập thông tin thư mục liên quan đến việc sử dụng Lightweight Directory Access Protocol (LDAP). Giao thức LDAP chạy trên phần đỉnh của giao thức TCP/IP.

Thứ đầu tiên mà bạn cần phải biết về giao thức LDAP là bất cứ tên nào được đặt cũng đều phải được phân biệt, bởi vì không có gì là ít quan trọng về nó (nó quan trọng hơn giao thức truy cập thư mục gốc, giao thức không được thiết kế để tận dụng ngăn xếp giao thức TCP/IP).

Mỗi đối tượng trong Active Directory đều được quy vào một tên phân biệt (thường được viết tắt là DN). Tên phân biệt được dựa trên vị trí của đối tượng bên trong thứ bậc thư mục. Có nhiều thành phần khác nhau trong tên phân biệt nhưng một số cái chung là một tên chung (được viết tắt là CN) và một miền tên (viết tắt là DC). Ví dụ, cho rằng miền Contoso.com gồm có một tài khoản có tên là User1 và tài khoản này được định vị trong thư mục Users. Trong trường hợp như vậy, tên phân biệt của tài khoản người dùng sẽ là:
CN=User1, CN=Users, DC=Contoso, DC=com
Kết luận

Trong phần này, chúng tôi đã giải thích thông tin được lưu trong Active Directory có thể được sử dụng bằng các ứng dụng mở rộng thông qua giao thức LDAP. Trong phần tiếp theo của loạt bài này chúng ta sẽ thảo luận về các tên phân biệt có liên quan đến Active Directory.
Kiến thức cơ bản về mạng: Phần 10 – Các tên phân biệt
Trong phần 8 của loạt bài này, chúng tôi đã giải thích cho các bạn về đối tượng tham chiếu giao thức LDAP trong Active Directory bởi tên phân biệt của chúng, mỗi một đối tượng trong thư mục có tên riêng của chính nó. Trong phần 9 này, chúng tôi muốn tiếp tục giới thiệu cho các bạn về các tên phân biệt như thế nào.

Trước khi bắt đầu

Trước khi bắt đầu, chúng tôi muốn nhắc lại rằng các tên phân biệt không duy nhất có trong Active Directory. Microsoft đã xây dựng Active Directory để lợi dụng các chuẩn công nghiệp được sử dụng bởi nhiều công ty khác như Novell và IBM. Bằng cách nghiên cứu về chúng, bạn không chỉ có được sự chuẩn bị tốt hơn cho việc quản lý Active Director mà còn có được một mức thân thiện nhất định nếu bạn đã từng được yêu cầu làm việc với hệ điều hành mạng không phải của Microsoft.

Các nguyên tắc đặt tên cơ bản

Các tên phân biệt với nhau nhờ thuộc tính, các thuộc tính này được gán giá trị. Mỗi một tên phân biệt thường gồm có nhiều cặp giá trị thuộc tính, bạn hãy xem một tên đơn giản.
CN=User1, CN=Users, DC=Contoso, DC=com
Trong ví dụ này, tên được tạo thành từ 4 cặp thuộc tính/ giá trị khác nhau, mỗi một cặp được phân biệt với nhau bằng dấu phẩy. Cặp thuộc tính/ giá trị thứ nhất là CN=USER1. Trong cặp này, CN (viết tắt cho Common Name) là thuộc tính và User1 là giá trị. Các thuộc tính và giá trị luôn luôn phân biệt với nhau bởi dấu bằng (=), còn các cặp thuộc tính/ giá trị được phân biệt với nhau bằng dấu phẩy (,).

Các tên phân biệt

Khi bạn xem tên CN=User1, CN=Users, DC=Contoso, DC=com, mọi thứ trở thành rõ ràng ngay lập tức. Nếu quan sát kỹ hơn tên phân biệt này thì bạn có thể nhận ra rằng nó là hệ có thứ bậc. Trong trường hợp riêng này, DC=com thể hiện mức cao của thứ bậc. DC=Contoso thể hiện mức thứ hai. Bạn có thể nói rằng COM và Contoso là các miền bởi vì cả hai sử dụng thuộc tính DC. Thứ bậc miền ‘nhại lại’ thứ bậc miền được sử dụng bởi các máy chủ DNS (bạn đã được giới thiệu về thứ bậc DNS trong các bài trước)

Bạn cần phải hiểu thứ bậc tên này làm việc như thế nào vì hai lý do. Thứ nhất, hiểu thứ bậc tên bạn có thể biết chính xác nơi một đối tượng cụ thể được định vị bên trong thư mục. Lý do khác là hiểu được bản chất của thứ bậc thư mục vì đôi khi các đường tắt sẽ được sử dụng để thay cho tên đầy đủ.

Để rõ hơn những gì đang nói, chúng ta hãy xem xét thêm về ví dụ trên: CN=User1, CN=Users, DC=Contoso, DC=com. Tên phân biệt này được gán cho mỗi một tài khoản người dùng (chính xác hơn là một đối tượng người dùng) có tên User1. Phần còn lại trong tên cho chúng ta biết vị trí của đối tượng trong thứ bậc thư mục.

Nếu bạn đang cố nói với một ai đó về vấn đề này thì có thể tình cờ đề cập đến nó như User1. Đôi khi LDAP cũng thực hiện tương tự như vậy. Điều này hoàn toàn có thể vì nó không cần thiết phải cung cấp thông tin về vị trí của đối tượng trong thứ bậc nếu vị trí đã được biết.

Ví dụ, nếu chúng tôi đang thực hiện một số hoạt động trên các đối tượng người dùng được đặt trong thư mục Users trong miền Contoso.com thì có thực sự cần thiết để tuyên bố rõ ràng rằng các đối tượng đều được đặt trong Users của miền Contoso.com hay không?

Trong tình huống này cũng như vậy, tên phân biệt thường được thay thế bởi Relative Display Name (viết tắt là RDN). Trong trường hợp CN=User1, CN=Users, DC=Contoso, DC=com, thì RDN là CN=User1. RDN luôn luôn được phân biệt của bộ nhận dạng rõ ràng nhất. Nó là cặp giá trị/ thuộc tính bên trái nhất trong tên phân biệt. Phần khác của tên phân biệt cũng được biết đến như tên cha. Trong trường hợp điển hình này, tên cha sẽ là CN=Users, DC=Contoso, DC=com.

Trước khi tiếp tục, chúng tôi muốn đề cập một vấn đề là Microsoft thường thiên về sử dụng định dạng tên khác nhau hơn là một số nhà sản xuất hệ điều hành mạng khác. Như những gì bạn đã thấy, các tên của Microsoft thiên về dựa vào container và miền. Không có gì sai với định dạng này bởi vì nó chiếu theo RFC 2253 để thiết lập các nguyên tắc cho tên riêng biệt.

Một số hệ điều hành mạng khác thiên về dựa trên các thứ bậc tên riêng biệt của họ trên các công ty và quốc gia hơn là các container và miền. Trong các kiểu tên đó, thuộc tính O được sử dụng để chỉ định tên tổ chức (công ty) và chữ cái C được sử dụng để chỉ định tên quốc gia. Bằng sử dụng quy ước đặt tên này, tên riêng biệt CN=User1, CN=Users, DC=Contoso, DC=com sẽ như sau:
CN=User1, O=Contoso, C=US
Hãy nhớ rằng cả hai định dạng này đều tuân theo RFC 2253, nhưng chúng không thể thay đổi cho nhau. Nhiệm vụ của tên là để miêu tả một đối tượng và vị trí của nó bên trong thư mục. Lý do về 2 định dạng tên khác nhau là Microsoft đã xây dựng thư mục của họ khác so với các đối thủ cạnh tranh khác.

Các kí tự đặc biệt trong tên

Cho đến giờ chúng ta mới chỉ thấy các dấu phẩy và dấu bằng có ý nghĩa đặc biệt trong phần nội dung của tên. Tuy nhiên còn có một số kí tự đặc biệt khác mà phần trên chúng tôi chưa giới thiệu. Các kí tự đặc biệt đó gồm có dấu cộng, dấu lớn hơn, nhỏ hơn, số, dấu trích dẫn và dấu xổ ngược - back slash (\). Chúng tôi sẽ không giới thiệu hết các kí tự đặc biệt này mà chỉ tập trung vào giới thiệu cho các bạn dấu back slash. Dấu này cho phép bạn đưa ra một lệnh LDAP để bỏ qua kí tự theo sau. Điều này cho phép lưu các kí tự bị cấm trong thư mục của bạn.

Để rõ hơn nó được sử dụng như thế nào, chúng ta hãy xem xét một tên đầy đủ được biểu diễn với tên và họ cách nhau bằng dấu phẩy. Tuy nhiên LDAP không cho phép bạn sử dụng lệnh CN=Smith, John vì dấu phẩy được sử dụng bởi LDAP để phân biệt các cặp thuộc tính/ giá trị. Nếu muốn lưu giá trị Smith, John trong thư mục, bạn có thể thực hiện bằng các tạo một dấu back slash như dưới đây:
CN=Smith\, John
Trong lệnh ở trên, dấu back slash làm cho LDAP phải coi dấu phẩy là dữ liệu chứ không phải là một phần của cú pháp câu lệnh. Cách khác để thực hiện điều này là dùng dấu trích dẫn. Mọi thứ bên trong dấu trích dẫn đều được coi như dữ liệu.

Có một quy tắc đặc biệt với việc sử dụng dấu back slash bên trong các dấu trích dẫn. Dấu back slash có thể được sử dụng để áp đặt LDAP bỏ qua các dấu back slash khác. Để đơn giản, nếu bạn cần gộp một dấu back slash vào phần dữ liệu thì đơn giản bạn chỉ cần sử dụng hai dấu back slash thay cho một dấu. Các trường hợp sự dụng dấu back slash giữa dấu trích dẫn được xem như không hợp lệ.

Kết luận

Thông qua nội dung bài bạn có thể thấy các nguyên tắc cho việc tạo một tên có thể khá tinh tế. Tuy vậy, việc hiểu được các tên sẽ là chìa khóa giúp bạn quản lý Active Directory tốt. Trong phần 10 tiếp theo chúng tôi sẽ tiếp tục giới thiệu bằng cách đưa ra các công cụ quản lý Active Directory.
Kiến thức cơ bản về mạng: Phần 11 - Active Directory Users và Computers Console
Trong các phần trước của loạt bài này chúng tôi đã giới thiệu cho các bạn về cách làm việc với AD. Trong phần này chúng tôi sẽ tiếp tục tất cả những gì cần phải thực hiện đối với một mạng.

Windows Server 2003 có một số công cụ khác được sử dụng cho việc quản lý AD. Công cụ quản lý AD này cho phép bạn sử dụng hầu hết các nhiệm vụ quản lý hàng ngày đó là Directory Users và Computers console. Như tên của nó, công cụ này được sử dụng để tạo, quản lý và xóa các tài khoản người dùng và máy tính.

Bạn có thể truy cập vào công cụ này bằng cách kích chuột vào nút Start của máy chủ và từ menu Start tìm đến All Programs / Administrative Tools. Tùy chọn Active Directory Users and Computers ở gần phía trên của menu Administrative Tools. Bạn cần phải nhớ rằng chỉ có các bộ điều khiển miền mới có tùy chọn này, vì vậy nếu không quan sát thấy lệnh Active Directory Users and Computers thì bạn phải đăng nhập vào bộ điều khiển miền.

Một thứ khác mà bạn phải chú ý đó là menu Administrative Tools gồm có một cặp công cụ AD khác: Active Directory Domains and Trusts và Active Directory Sites and Services. Chúng tôi sẽ giới thiệu các tiện ích này trong một số bài viết sau.

Khi mở mục Active Directory Users and Computers, bạn sẽ thấy xuất hiện một màn hình giống như hình A dưới đây. Bạn có thể xem lại từ các phần trước trong loạt bài này, AD có forest, forest này gồm có một hoặc nhiều miền. Mặc dù forest thể hiện toàn bộ AD nhưng bảng điều khiển Active Directory Users and Computers không cho phép làm việc với AD ở mức forest. Giao diện này chỉ là một công cụ mức miền. Thực tế, nếu nhìn vào hình A bạn sẽ thấy production.com được đánh dấu. Production.com là một miền trên mạng của chúng tôi. Tất cả các mục khác được liệt kê bên dưới đều là đối tượng của miền AD cho từng miền.

Hình A: Giao diện Active Directory Users and Computers cho phép quản lý các miền riêng lẻ
Bạn có thể thấy rằng production.com là một trong các miền trên mạng của chúng tôi và không có miền nào khác được liệt kê trong hình A. Điều đó là vì Active Directory Users and Computers chỉ liệt kê một miền tại một thời điểm để giữ cho giao diện trông gọn gàng. Miền được liệt kê trong giao diện tương ứng với bộ điều khiển miền mà bạn đã đăng nhập. Ví dụ, trong khi viết bài này, tôi đã đăng nhập vào một trong các bộ điều khiển miền đó là production.com, vì vậy Active Directory Users and Computers sẽ kết nối đến miền production.com.

Vấn đề ở đây là các miền đó thường bị phân tán về mặt địa lý. Ví dụ, trong công ty lớn phải có các miền khác nhau cho mỗi văn phòng của công ty. Nếu lúc này bạn đang ở Miami, Florida và miền khác của công ty hiện diện cho một văn phòng tại Las Vegas, Nevada thì nó sẽ không phải di chuyển một quãng đường lớn dọc toàn nước Mỹ mỗi khi bạn cần quản lý miền Las Vegas.

Mặc dù Active Directory Users and Computers mặc định hiển thị miền có liên quan đến bộ điều khiển miền mà bạn đã đăng nhập, nhưng vẫn có thể sử dụng giao diện này để hiển thị bất kỳ miền nào mà bạn có quyền thao tác với chúng. Tất cả những gì cần phải làm lúc này là kích chuột phải vào miền đang được hiển thị, sau đó chọn lệnh Connect to Domain từ menu chuột phải. Khi thực hiện như vậy sẽ có một màn hình được hiển thị, màn hình này cho phép đánh vào đó tên miền mà bạn muốn kết nối hoặc kích vào nút Browse và duyệt miền.

Khi một miền được đặt ở xa thì bạn có thể rất khó để đăng nhập trực tiếp vào bộ điều khiển miền. Ví dụ, tôi đã làm việc trong một số văn phòng, trong đó các bộ điều khiển miền được đặt trong các tòa nhà riêng biệt hoặc không có điều kiện thuận lợi cho tôi đăng nhập vào bộ điều khiển miền để thực hiện công việc bảo trì hàng ngày.

Tuy nhiên một tin tốt đó là không cần phải đăng nhập vào bộ điều khiển miền để truy cập vào giao diện Active Directory Users and Computers mà chỉ cần đăng nhập vào bộ điều khiển miền để truy cập vào giao diện Active Directory Users and Computers từ menu Administrative Tools. Bạn có thể truy cập giao diện này với tư cách máy chủ thành viên bằng cách nạp một cách thủ công nó vào Microsoft Management Console.

Để thực hiện điều đó, bạn nhập lệnh MMC vào cửa sổ lệnh RUN của máy chủ. Khi thực hiện xong máy chủ sẽ mở một Microsoft Management Console trống. Tiếp theo đó bạn chọn lệnh Add / Remove Snap-In từ menu File của giao diện điều khiển. Windows lúc này sẽ mở cửa sổ thuộc tính của Add / Remove Snap-In. Kích nút Addtrên tab Standalone trong cửa sổ thuộc tính, bạn sẽ thấy một danh sách các snap-in có sẵn. Chọn tùy chọn Active Directory Users and Computers từ danh sách snap-in đó và kích Add, tiếp theo đó là Close và OK. Giao diện điều khiển lúc này sẽ được nạp.

Trong một số trường hợp load giao diện theo cách này có thể gây ra lỗi. Nếu bạn thấy xuất hiện lỗi và giao diện không cho phép quản lý miền sau khi kích chuột phải trên mục Active Directory Users and Computers và chọn lệnh Connect to Domain Controller từ menu chuột phải. Lúc này bạn có thể kết nối giao diện điều khiển đến một bộ điều khiển miền nào đó mà không cần đăng nhập vào bộ điều khiển miền đó. Bằng cách đó bạn sẽ có thể quản lý được miền giống như trong giao diện điều khiển của bộ điều khiển miền.

Kỹ thuật đó làm việc sẽ rất thú vị nếu bạn có một máy chủ , nhưng điều gì sẽ xảy ra nếu máy trạm làm việc của bạn đang sử dụng Windows Vista, và tất cả máy chủ đều nằm bên phía bên kia của tòa nhà.

Một trong những giải pháp đơn giản nhất để giải quyết vấn đề này đó là thiết lập một phiên RDP cho một trong những máy chủ. RDP là giao thức máy trạm từ xa (Remote Desktop Protocol). Giao thức này sẽ cho phép điều khiển từ xa các máy chủ trong tổ chức của bạn. Trong môi trường Windows Server 2003 bạn có thể kích hoạt một phiên từ xa bằng cách kích chuột phải vào My Computer và chọn lệnh Properties từ menu chuột phải. Khi đó bạn sẽ thấy đươc cửa sổ thuộc tính của hệ thống. Vào tabRemote và chọn hộp kiểm Enable Remote Desktop on this Computer (xem hình B).

Hình B: Cấu hình một máy chủ để hỗ trợ các kết nối máy trạm từ xa (Remote Desktop)
Để kết nối đến máy chủ từ máy Windows Vista, bạn chọn lệnh Remote Desktop Connection từ menu All Programs / Accessories. Khi thực hiện xong, bạn sẽ thấy màn hình xuất hiện như màn hình thể hiện dưới hình C. Lúc này hãy nhập vào tên máy chủ của bạn và kích nút Connect để thiết lập một phiên điều khiển xa.

Hình C: Có thể kết nối đến một máy chủ từ xa dễ dàng hơn bằng Windows Vista
Kết luận

Trong phần này chúng tôi đã giới thiệu cho bạn về Active Directory Users and Computers. Trong đó chúng tôi đã giải thích về cách sử dụng giao diện này để quản lý các miền từ xa. Trong phần 12 tới chúng tôi sẽ tiếp tục giới thiệu cho bạn về các khả năng khác của công cụ này. Mời các bạn đón đọc.
Kiến thức cơ bản về mạng: Phần 12 – Quản lý tài khoản người dùng
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn về Active Directory Users và Computers console. Mặc dù trong phần đó đã giới thiệu cách kết nối đến miền cần chọn bằng giao diện này, nhưng còn một vấn đề mà chúng tôi muốn giới thiệu tiếp đó là cách sử dụng giao diện điều khiển này trong các nhiệm vụ quản lý hàng ngày. Trong phần này, chúng tôi sẽ giới thiệu cho các bạn một số kỹ thuật cơ bản cho việc bảo quản tài khoản người dùng.

Tạo một tài khoản người dùng (User Account)

Một trong những sử dụng thấy nhiều nhất ở Active Directory Users trong Computers console là tạo các tài khoản người dùng mới. Để thực hiện điều đó, bạn mở mục tương ứng với miền chứa người dùng, chọn mục Users. Sau khi thực hiện như vậy, một panel chi tiết của giao diện sẽ hiển thị tất cả tài khoản người dùng đang tồn tại trong miền (như trong hình A).

Hình A: Chọn mục Users, giao diện điều khiển sẽ hiển thị
tất cả các tài khoản người dùng trong miền
Bây giờ kích chuột phải vào mục Users và chọn New. Khi đó bạn sẽ thấy được các menu con, từ menu con này có thể chọn nhiều kiểu đối tượng khác nhau mà bạn có thể tạo. Nói về kỹ thuật, Users chỉ là một mục và bạn có thể đưa vào rất nhiều kiểu đối tượng. Tuy vậy sẽ không tốt nếu bạn thực hiện lưu nhiều đối tượng khác hơn là các đối tượng người dùng trong mục Users. Với trường hợp bài này đưa ra, bạn chọn lệnh Users từ các menu con. Khi đó sẽ thấy một hộp thoại xuất hiện như trong hình B.

Hình B: Hộp thoại New Object – User cho phép tạo tài khoản người dùng mới
Như những gì thấy trong hình, Windows ban đầu chỉ yêu cầu nhập vào một số thông tin cơ bản về người dùng. Mặc dù cửa sổ này hỏi nhiều thứ khác như tên và họ, nhưng về mặt kỹ thuật thì nó không cần thiết lắm. Phần thông tin cần thiết mà bạn cần phải cung cấp đó là tên đăng nhập của người dùng. Mặc dù các trường khác chỉ là những lựa chọn tùy thích nhưng chúng tôi vẫn khuyên bạn nên điền đầy đủ thông tin vào các trường này.

Lý do nên điền đầy vào hết các trường này là vì tài khoản người dùng không hơn gì một đối tượng sẽ cứ trú bên trong Active Directory. Các thành phần như tên và họ là thuộc tính của đối tượng người dùng mà bạn đang tạo. Càng nhiều thông tin về thuộc tính thì các thông tin được lưu bên trong Active Directory sẽ càng trở lên hữu dụng. Xét cho cùng, Active Directory là một cơ sở dữ liệu mà bạn có thể truy vấn thông tin. Trong thực tế, nhiều ứng dụng làm việc bằng cách trích rút các thuộc tính khác nhau từ Active Directory. Khi đã điền đầy các trường này, kích nút Next, khi đó bạn sẽ thấy màn hình tiếp theo xuất hiện như trong hình C dưới đây.

Hình C: Cần phải gán mật khẩi cho tài khoản mới
Việc gán một mật khẩu là hoàn toàn đơn giản, tất cả những gì cần làm là đánh và nhập lại mật một mật khẩu. Mặc định, người dùng thường bị yêu cầu thay đổi mật khẩu cho lần đăng nhập kế tiếp. Tuy vậy, bạn có thể tránh trường hợp này bằng cách xóa hộp kiểm “User Must Change Password at Next Logon”. Cũng có nhiều hộp kiểm khác cho phép ngăn chặn người dùng thay đổi tất cả các mật khẩu của họ. Bạn có thể tùy chọn để thiết lập thời hạn vô hạn cho mật khẩu hoặc vô hiệu hóa toàn bộ tài khoản.

Có một điều cần phải lưu ý là màn hình để thiết lập mật khẩu ở trên không phải là tất cả. Khi bạn gán mật khẩu cho một tài khoản người dùng mới, mật khẩu này phải tuân theo chính sách bảo mật của công ty bạn. Nếu mật khẩu sử dụng không có các yêu cầu cần thiết đã được đưa ra bởi chính sách nhóm có thể áp dụng thì tài khoản người dùng này sẽ không được tạo.

Kích Next bạn sẽ thấy một màn hình hiển thị toàn bộ các tùy chọn mà bạn đã chọn. Xác nhận tất cả các thông tin đều đúng, khi đó chỉ cần kích Finish và một tài khoản người dùng mới sẽ được tạo.

Chỉnh sửa và bổ sung các thuộc tính của tài khoản

Như đã nói ở trên, chúng ta đã thấy được sự quan trọng trong việc điền các thuộc tính khác nhau khi tạo một tài khoản mới. Bạn có thể thấy nhiều màn hình liên quan đến việc tạo tài khoản mới không thực sự có nhiều thuộc tính. Tuy vậy, Active Directory còn gồm có hàng tá thuộc tính kèm theo có liên quan đến các tài khoản của người dùng này.

Có một số thuộc tính mà bạn có thể rất dễ sử dụng và có ích. Chúng tôi khuyến khích các thuộc tính đang cư trú mà có liên quan đến thông tin liên hệ cơ bản. Trong thực tế, một số công ty thường tạo các thư mục công ty dựa trên thông tin được lưu trong thuộc tính Active Directory này, nó vẫn là một ý tưởng tốt cho việc định cư thông tin tài khoản người dùng trong Active Directory. Ví dụ, với mục đích cần khởi động lại một máy chủ, trong khi đó một người dùng vẫn đăng nhập vào ứng dụng cư trú trên máy chủ. Nếu có các thông tin liên hệ của người dùng được lưu trong Active Directory thì bạn có thể tra cứu số điện thoại của người dùng một cách dễ dàng và gọi cho người dùng này yêu cầu họ đăng xuất.

Trước khi giới thiệu cho bạn cách đặt các thuộc tính của Active Directory, chúng tôi muốn nhấn mạnh rằng, kỹ thuật tương tự cũng có thể được sử dụng cho việc thay đổi các thuộc tính đang tồn tại. Ví dụ, nếu một nhân viên nữ đã kết hôn, cô ta có thể thay đổi họ của mình (theo truyền thống một số nước). Bạn có thể sử dụng các kỹ thuật mà chúng tôi sẽ giới thiệu sau đây để thay đổi nội dung thuộc tính cần thiết có liên quan.

Để truy cập vào các thuộc tính tài khoản người dùng khác nhau, đơn giản bạn chỉ cần kích chuột phải vào tài khoản người dùng được chọn, sau đó chọn Properties. Sau khi thực hiện như vậy, bạn sẽ gặp một màn hình như trong hình D.

Hình D: Trang thuộc tính của người dùng được sử dụng để lưu thuộc tính
và thông tin cấu hình cho tài khoản người dùng.
Như có thể thấy được trên hình, tab General có thể cho phép thay đổi tên hoặc tên hiển thị của người dùng. Bạn cũng có thể điền vào (hoặc thay đổi) một số trường khác như phần mô tả, văn phòng, điện thoại, email, hoặc website. Nếu quan tâm đến việc lưu trữ thêm các thông tin chi tiết hơn về người dùng thì bạn có thể duyệt qua các tab Address, Telephones, và Organization. Các tab này có tất cả các trường dành cho việc lưu trữ thông tin chi tiết hơn về người dùng.

Xác lập lại mật khẩu người dùng

Bạn có thể thấy trên hình D có rất nhiều tab khác nhau. Hầu hết các tab này đều liên quan đến bảo mật và cấu hình cho tài khoản người dùng. Một thành phần mà hầu hết các quản trị viên mới dường như đều phát hiện ra khi khám khá các tab này đó là không có tùy chọn cho việc thiết lập lại mật khẩu của người dùng.

Nếu cần phải thiết lập lại mật khẩu của người dùng thì bạn phải đóng cửa sổ này. Sau khi thực hiện điều đó, bạn kích chuột phải vào tài khoản người dùng và chọn lệnh Reset Password trong menu chuột phải.

Kết luận

Trong phần này, chúng tôi đã giới thiệu cho bạn các quá trình tạo một tài khoản người dùng, việc đặt các thuộc tính của Active Directory khác nhau có liên quan đến tài khoản đó, và việc thiết lập lại mật khẩu của tài khoản. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ tiếp tục giới thiệu về các khả năng khác của Active Directory Users và Computers console.
Kiến thức cơ bản về mạng: Phần 13 - Tạo các nhóm
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách sử dụng Active Directory Users and Computers console để tạo và quản lý tài khoản người dùng. Trong phần này, chúng tôi muốn tiếp tục giới thiệu cho bạn về các nhóm.

Trong môi trường miền, các tài khoản người dùng là rất cần thiết. Tài khoản người dùng cho phép một người dùng được phân biệt với các người dùng khác trên mạng. Điều này có nghĩa là bạn hoàn toàn có thể kiểm tra hành động trực tuyến của người dùng và cũng có thể trao cho tài khoản người dùng một tập hợp cho phép, gán cho người dùng một địa chỉ email duy nhất, và có được tất cả các cần thiết khác của mỗi người.

Lời khuyên của chúng tôi là dù bạn quản lý một mạng rất nhỏ thì cũng nên xử lý mạng nhỏ này như nó là một mạng lớn, bởi vì bạn sẽ không thể biết được mạng của bạn sẽ phình ra trở thành một mạng lớn vào khi nào. Bằng việc sử dụng các công nghệ quản lý tốt ngay từ khi bắt đầu sẽ giúp bạn tránh được những cơn ác mộng sau này.

Chúng tôi đã thấy được những hậu quả trong việc phát triển nhanh và không mong muốn đối với các mạng trong thế giới thực. Khoảng 15 năm cách đây, tác giả của bài viết này đã được thuê quản trị mạng cho một công ty bảo hiểm. Tại thời điểm đó, mạng này rất nhỏ. Nó chỉ có một số máy trạm làm việc được kết nối. Người chịu tránh nhiệm về mạng trước kia không có nhiều kinh nghiệm về CNTT và đã bị đuổi việc. Việc không có nền tảng CNTT, không có sự hiểu biết tốt, anh ta đã cấu hình mạng để tất cả các thiết lập cấu hình tồn tại đối với tất cả người dùng cơ bản.

Lúc đó, điều này không có vấn đề gì vì không có nhiều người dùng và nó cũng dễ dàng quản lý các tài khoản khác nhau và các cho phép. Trong vòng một năm đã có đến trên 200 máy tính được kết nối mạng. Thời gian này tác giả đã rời công ty được một vài năm nhưng vẫn còn có hàng nghìn người đang dùng một mạng mà chỉ được thiết kế ban đầu để quản lý cho đơn vị người dùng tính theo vài chục người.

Bạn có thể hình dung ra được cảm nhận của những người dùng mạng lúc này. Một số yếu điểm bắt đầu xuất hiện, một số có liên quan đến hiệu suất phần cứng, nhưng hầu như tất cả lý do chính là hiệu quả quản lý các tài khoản người dùng của một mạng được thiết lập hạn chế ngay từ ban đầu. Quả thực, mạng đã trở thành một đống hỗn độn đến nỗi tất cả tài khoản của người dùng đã bị xóa và được tạo lại từ đống đổ nát đó. Rõ ràng, sự tăng trưởng quá nhanh không như mong đợi có thể gây ra nhiều vấn đề nhưng bạn có thể vẫn phân vân rằng tại sao trong thế giới thực mọi thứ lại dễ trở thành không thể quản lý như vậy đối tất cả các tài khoản đến nỗi phải xóa chúng.

Như chúng tôi đã đề cập từ trước, tất cả các thiết lập cấu hình và bảo mật là dựa theo người dùng. Điều đó có nghĩa rằng nếu một quản lý viên nào đó đến hỏi chỉ cho anh ta ai đã truy cập vào tài nguyên mạng, chúng ta sẽ phải xem các tài khoản để xem có người dùng nào đã truy cập vào tài nguyên đó không. Khi chỉ có một số người dùng thì việc kiểm tra này chỉ cần xem xem những người dùng này có truy cập vào đó hay không (chỉ mất khoảng chừng 20 phút). Tuy nhiên đối với một mạng lớn có đến hàng trăm người, thì làm như vậy sẽ mất quá nhiều công sức.

Giả dụ các sự kiện mà chúng tôi đã miêu tả đã xảy ra cách đây hàng thập kỷ. Khi mà nền công nghệ thông tin chưa lớn mạnh, thì các sự kiện đó có thể vẫn xuất hiện và được thực hiện bình thường. Tuy nhiên, khi mà các hệ điều hành mạng như trước kia không còn tồn tại nữa nhưng bài học về những ngày lịch sử đó vẫn cần phải nhắc lại.

Tất cả các vấn đề chúng tôi đã miêu tả có thể được ngăn chặn nếu các nhóm được sử dụng ở đây. Ý tưởng cơ bản nằm sau các nhóm này là, một nhóm có thể gồm có nhiều tài khoản người dùng. Khi các thiết lập bảo mật được gán ở mức nhóm thì bạn sẽ không bao giờ nên gán các cho phép trực tiếp đến tài khoản người dùng mà thay vì đó bạn nên gán sự cho phép cho một nhóm, sau đó tạo cho người dùng là một thành viên trong các nhóm đó.

Chúng tôi đã nhận ra rằng, điều này có thể gây ra một chút phức tạp, do vậy chúng tôi sẽ minh chứng kỹ thuật này cho bạn. Giả dụ rằng một trong số các máy chủ file của bạn có một thư mục tên Data, và bạn cần phải đồng ý cho một người dùng truy cập (đọc) thư mục Data này. Thay vì gán trực tiếp sự cho phép cho người dùng, bạn hãy tạo một nhóm.

Để thực hiện điều đó, bạn mở Active Directory Users and Computers console. Khi giao diện được mở, kích chuột phải vào mục Users, chọn lệnh New | Group. Bằng cách làm như vậy, bạn sẽ thấy xuất hiện một màn hình tương tự như màn hình được hiển thị trong hình A. Tối thiểu, bạn cũng phải gán tên cho một nhóm. Để dễ dàng cho quản lý, chúng ta hãy gọi nhóm này là Data, vì nhóm này sẽ được sử dụng để bảo vệ thư mục Data. Lúc này, không quan tâm về phạm vi của nhóm hoặc các thiết lập kiểu của nó. Chúng tôi sẽ giới thiệu về các thiết lập này trong phần tiếp theo của loạt bài này.

Hình A: Nhập vào tên nhóm mà bạn đang tạo
Kích OK, và nhóm Data sẽ được bổ sung vào danh sách người dùng như trong hình B. Lưu ý rằng, biểu tượng của nhóm sử dụng hai đầu người, điều đó chỉ thị rằng nó là một nhóm, biểu tượng một đầu người được sử dụng cho tài khoản người dùng.

Hình B: Nhóm Data được bổ sung vào danh sách người dùng
Bây giờ kích đúp vào nhóm Data, bạn sẽ thấy trang thuộc tính của nhóm. Chọn tabMembers của trang thuộc tính, kích nút Add. Lúc này bạn hoàn toàn có thể bổ sung thêm các tài khoản người dùng vào nhóm. Các tài khoản bổ sung là các thành viên nhóm. Bạn có thể thấy những gì trong tab này thông qua hình C.

Hình C: Tab Members liệt kê tất cả các thành viên của nhóm
Lúc này là thời điểm đưa nhóm ra làm việc. Để thực hiện điều này, bạn kích chuột phải vào thư mục Data, chọn lệnh Properties. Khi đó bạn sẽ thấy xuất hiện trang thuộc tính của thư mục. Vào tab Security của trang này, kích nút Add. Khi được nhắc nhở, bạn nhập vào tên của nhóm đã tạo (Data) và kích OK. bạn hoàn toàn có thể thiết lập một tập các cho phép (điều khoản) đối với nhóm. Bất cứ điều khoản nào áp dụng cho nhóm cũng được áp dụng cho các thành viên của nhóm. Bạn có thể thấy trong hình D, có một số quyền được áp dụng đối với thư mục một cách mặc định. Tốt nhất bạn nên xóa các quyền này (Users group) ra khỏi danh sách điều khiển truy cập để ngăn chặn các mâu thuẫn điều khoản.

Hình D: Nhóm Data được bổ sung vào danh sách điều khiển truy cập của thư mục
Hãy nhớ rằng trước đây chúng ta đã đề cập đến bao nhiêu công sức để tìm ra được người dùng nào đã truy cập vào tài nguyên? Khi các nhóm được sử dụng, quá trình này trở nên đơn giản rất nhiều. Nếu bạn cần biết người dùng nào đã truy cập vào thư mục, hãy xem các nhóm nào đã truy cập vào thư mục đó trước như trong hình D. Khi đã xác định được nhóm có thể truy cập vào thư mực, việc tìm ra ai có các quyền truy cập vào thư mục cũng đơn giản như việc kiểm tra danh sách các thành viên nhóm (như trong hình C). Bất cứ thời điểm nào những người dùng khác cần truy cập vào thư mục, hãy bổ sung tên của họ vào danh sách thành viên nhóm. Ngược lại, bạn cũng có thể xóa các điều khoản cho thư mục bằng các xóa tên của người dùng khỏi danh sách thành viên.

Kết luận

Trong phần này, chúng tôi đã giới thiệu cho bạn cách tạo các nhóm bảo mật trong môi trường Windows Server 2003. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ tiếp tục giới thiệu đến sự ảnh hưởng của việc chọn các kiểu nhóm khác nhau như thế nào.
Kiến thức cơ bản về mạng: Phần 14 – Các nhóm bảo mật
Trong bài phần trước chúng tôi đã giới thiệu cho các bạn cách tạo nhóm abảo mật trong Windows Server 2003. Khi giới thiệu những thứ đó, chắc hẳn bạn cũng đã thấy được rằng Windows sẽ cho phép tạo một số kiểu nhóm khác nhau như được thể hiện trong hình A. Quả thật vậy, mỗi một kiểu nhóm này có một mục đích cụ thể. Trong bài này, chúng tôi sẽ giới thiệu cho các bạn về mỗi kiểu nhóm này được sử dụng cho mục đích gì.

Hình A: Windows cho phép bạn tạo một số kiểu nhóm khác nhau.
Nếu nhìn vào hộp thoại hiển thị bên trên, bạn sẽ thấy được vùng Group Scope cung cấp một số tùy chọn để tạo nhóm domain local, global, hay universal. Ngoài ra cũng có một kiểu nhóm thứ 4 không được hiển thị ở đây, nó được gọi một cách đơn giản là nhóm local.

Local Group

Các nhóm local là các nhóm riêng cho từng máy tính. Bạn sẽ biết về nó ngay bây giờ, các máy tính cục bộ có thể gồm có nhiều tài khoản người dùng độc lập hoàn toàn với các tài khoản thuộc về miền máy tính đó được kết nối tới. Chúng được biết đến như các tài khoản người dùng cục bộ, và chúng chỉ có khả năng truy cập từ máy tính mà chúng cư trú. Thêm nữa, các tài khoản người dùng cục bộ cũng chỉ có thể tồn tại trên các máy trạm và trên các máy chủ thành viên. Các bộ điều khiển miền không cho phép tồn tại các tài khoản người dùng cục bộ. Cần lưu ý những vấn đề đó thì bạn sẽ không hề ngạc nhiên khi các nhóm đó chỉ đơn giản là các nhóm riêng cho từng máy chủ thành viên hay máy trạm làm việc. Một nhóm local thường được sử dụng để quản lý các tài khoản người dùng cục bộ. Ví dụ, nhóm local Administrators cho phép bạn có thể chỉ rõ người dùng nào là quản trị viên trên máy tính cục bộ.

Mặc dù nhóm local chỉ có thể được sử dụng để bảo đảm việc cư trú của tài nguyên trên máy tính cục bộ nhưng điều đó không có nghĩa rằng các thành viên trong nhóm cũng bị hạn chế đối với những người dùng cục bộ này. Trong khi đó một nhóm local có thể và thường gồm những người dùng cục bộ thì nó cũng gồm có cả các người dùng trong miền. Hơn nữa các nhóm local cũng có thể gồm có cả các nhóm khác cư trú ở mức miền. Ví dụ, bạn có thể tạo cho một nhóm universal một thành viên của nhóm local, các thành viên của nhóm universal về cơ bản sẽ trở thành các thành viên của nhóm local. Trong thực tế, một nhóm local có thể gồm local user, domain user, domain local group, global group và universal group.

Có hai điều báo trước ở đây mà bạn cần phải biết. Đầu tiên như bạn có thể chú ý thấy, một nhóm local không thể chứa một nhóm local khác. Bạn dường như cảm thấy có thể thả một nhóm này vào trong một nhóm khác, nhưng không thể làm như vậy với nhóm local. Một số thành viên tại Microsoft đã có lần giải thích lý do cho vấn đề này là để ngăn chặn một tình huống mà ở đó hai nhóm local trở thành các thành viên của nhau.

Một vấn đề khác mà bạn cần biết nữa là các nhóm local đó chỉ có thể gồm domain users và domain level groups nếu máy tính gồm nhóm local là một thành viên thuộc miền. Ngược lại, nhóm local chỉ có thể gồm local users.

Domain Local Groups

Khác hẳn với những gì bạn vừa đọc được về các nhóm local, ý tưởng của nhóm domain local dường như hoàn toàn trái ngược. Lý do tại sao các nhóm domain local tồn tại là vì các bộ điều khiển miền không có cơ sở dữ liệu tài khoản cục bộ. Điều này có nghĩa rằng không có các thứ khác như vậy khi người dùng cục bộ hay các nhóm local trên một bộ điều khiển miền. Thậm chí các bộ điều khiển miền có các tài nguyên cục bộ cần được quản lý. Đây chính là nơi các nhóm domain local thực hiện vai trò của nó.

Khi bạn cài đặt Windows Server 2003 trên một máy tính, máy tính sẽ được bắt đầu như một máy chủ độc lập hay một máy chủ thành viên chẳng hạn. Trong cả hai trường hợp đó thì tài khoản người dùng cục bộ và nhóm cục bộ đều được tạo ra trong suốt quá trình cài đặt. Bây giờ mục đích của bạn là muốn chuyển đổi một máy vào một bộ điều khiển miền. Khi bạn chạy DCPROMO, các nhóm local và tài khoản người dùng cục bộ được chuyển đổi vào các nhóm domain local và tài khoản người dùng domain.

Ở đây bạn cần phải biết được rằng tất cả các bộ điều khiển miền bên trong một miền đều chia sẻ một cơ sở dữ liệu tài khoản người dùng chung với nhau. Điều đó có nghĩa là nếu bạn thêm một người dùng vào nhóm domain local trên một bộ điều khiển miền thì người dùng này sẽ là một thành viên của nhóm domain local trên mọi bộ điều khiển miền trong tòan bộ miền.

Một thứ quan trọng nhất mà bạn cần lưu ý ở đây về các nhóm domain local là có hai kiểu khác nhau. Như chúng tôi đã đề cập tới, khi DCPROMO được chạy, nhóm local được chuyển đổi thành các nhóm domain local. Bất kỳ nhóm domain local nào được tạo ra bằng việc chạy DCPROMO đều được định vị trong thư mục Builtin trong Active Directory Users and Computers console, xem hình B.

Hình B: Các nhóm domain local đã tạo bởi DCPROMO cư trú trong Builtin container
Vấn đề này khá quan trong là vì có một số hạn chế áp đặt trên một số nhóm domain local. Các nhóm bị hạn chế này không thể bị chuyển hoặc bị xóa. Hay nói cách khác bạn không thể tạo cho các nhóm này là thành viên của nhóm domain local khác.

Những hạn chế này không áp dụng cho các nhóm domain local mà bạn tạo. Các nhóm domain local mà bạn tại sẽ tồn tại trong mục Users. Từ đó, bạn hoàn toàn thoải mái chuyển hoặc xóa chúng mặc theo ý thích của bạn.

Chúng tôi đã nói với bạn về tất cả những năng slàm việc với Windows Server, chúng tôi vẫn chưa thấy một chủ đề tốt nào cho việc tạo các nhóm domain local. Trong thực tế, các nhóm này cơ bản giống hệt như các nhóm global, ngoại trừ những gì chúng bị hạn chế đối với một miền riêng.

Global Groups

Global groups là một kiểu nhóm được sử dụng phổ biến nhất. Trong hầu hết các trường hợp, nhóm global đơn giản chỉ làm việc như một bộ sưu tập các tài khoản người dùng Active Directory. Thứ mà chúng ta cần quan tâm về các nhóm này là chúng có thể được đặt bên trong nhau. Bạn có thể tạo cho nhóm global một thành viên của một nhóm global khác, miễn là cả hai nhóm này tồn tại bên trong cùng một domain.

Cần phải lưu ý rằng, các nhóm global này chỉ có thể có tài nguyên Active Directory. Chính vì vậy bạn không thể định vị một tài khoản người dùng nội bộ hoặc nhóm nội bộ trong nó. Mặc dù vậy bạn lại vẫn có thể thêm vào nhóm global này một nhóm local. Trong thực tế làm như vậy là cách thường được sử dụng nhất đối với việc cấp các quyền cho người dùng miền để họ có thể thao tác với các tài nguyên được lưu trên máy tính cục bộ. Ví dụ, với mục đích bạn muốn cho các nhà quản lý trong công ty có được các quyền quản trị viên đối với các máy trạm của họ (nên nhớ rằng đây chỉ là một ví dụ chứ không phải là một lời khuyên răn bạn nên làm như vậy). Để thực hiện điều đó, bạn có thể tạo một nhóm global có tên gọi Managers và đặt mỗi một tài khoản người dùng miền của người bạn muốn làm trong nó. Sau đó bạn có thể bổ sung nhóm Managers vào nhóm local Administrators của máy trạm, theo cách đó bạn đã làm cho các nhà quản lý của bạn có được quyền của quản trị viên trên các máy trạm đó.

Kết luận

Trong bài này, chúng tôi đã giải thích rằng Windows có hỗ trợ sử dụng bốn kiểu nhóm bảo mật khác nhau. Và cũng trong đó, chúng tôi đã giới thiệu sự khác nhau giữa các nhóm local, domain local và global. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn về các nhóm universal.
Kiến thức cơ bản về mạng: Phần 15 – Universal Groups & Group Nesting
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho bạn khái niệm về cách sử dụng các nhóm để quản lý truy cập mạng, tiếp đó là việc cho phép các điều khoản trực tiếp đối với người dùng. Chúng tôi cũng đã giải thích Windows Server 2003 hỗ trợ một số kiểu nhóm khác và mỗi một kiểu nhóm đó lại có những ưu và nhược điểm riêng.

Trong bài đó, chúng tôi đã nói về local group, domain local group và global group. Bạn có thể dễ dàng quản lý toàn bộ mạng bằng cách chỉ sử dụng các kiểu nhóm này. Tuy nhiên còn có nhiều kiểu nhóm mà Windows Server 2003 hỗ trợ nhưuniversal group.

Nếu một số bạn chưa nắm chắc về local groups, domain local groups, và global groups thì các universal group ban đầu dường như sẽ giống như một câu trả lời cho những yêu cầu tìm hiểu của bạn. Các nhóm Universal group là nhóm về bản chất không phải là chủ đề cho những hạn chế áp dụng đối với các kiểu nhóm khác. Ví dụ, trong bài trước, chúng tôi đã đề cập đến rằng bạn không thể đặt một nhóm nội bộ hoặc nhóm miền nội bộ (domain local group) vào một nhóm nội bộ khác. Tuy nhiên bạn lại có thể đặt một nhóm universal group vào một nhóm nội bộ (local group). Các nguyên tắc này áp dụng đối với các loại nhóm khác mà không áp dụng đối với nhóm universal group.

Rõ ràng, vấn đề này càng đặt ra nhiều thắc mắc về tại sao bạn nên sử dụng các nhóm còn lại nếu chúng có những hạn chế mà các nhóm universal group có thể khắc phục được.

Một trong những lý do chính có quá nhiều kiểu nhóm khác nhau vì Windows Server là một sản phẩm tiến hóa dần dần. Các nhóm Universal group đã được giới thiệu trong Windows 2000 Server, cùng với Active Directory. Các phiên bản trước của Windows Server (trước đây vẫn gọi là Windows NT Server) đã hỗ trợ việc sử dụng các nhóm, nhưng nhóm universal group vẫn không được đưa ra khi các phiên bản này thịnh hành. Khi Microsoft đã phát hành Windows 2000 Server, họ muốn tiếp tục hỗ trợ các kiểu nhóm khác với tư cách duy trì sự tương thích với các phiên bản trước đó trong Windows NT. Tương tự như vậy, Windows Server 2003 cũng hỗ trợ các kiểu nhóm đã có từ trước cũng với các lý do tương thích.

Sự thật là các nhóm universal group đã không tồn tại trong thời kỳ Windows NT Server, điều đó có nghĩa rằng Windows NT không hỗ trợ cho các nhóm này. Điều này đã gây ra một số vấn đề nếu bạn có máy chủ Windows NT nào đó trong hệ thống của mình.

Windows 2000 Server là một cải tiến rõ rệt so với Windows NT Server, một số tính năng mới sẽ chỉ làm việc trên mạng mà không cần các bộ điều khiển miền của Windows NT Server. Để giải quyết vấn đề này, Microsoft đã tạo một khái niệmnative mode. Chúng tôi sẽ nói chi tiết hơn về native mode trong phần sau, nhưng ý tưởng cơ bản của nó là khi Windows 2000 Server được cài đặt ban đầu thì nó sẽ hoạt động trong một chế độ gọi là mixed mode. Chế độ này tương thích hoàn toàn với Windows NT, nhưng nhiều tính năng của Windows 2000 lại không thể được sử dụng cho tới khi bạn loại bỏ các bộ điều khiển miền của Windows NT và chuyển sang chế độ native mode. Mặc dù về thuật ngữ có phần hơi khác nhưng nó cũng là những khái niệm cơ bản được áp dụng cho Windows Server 2003.

Universal group là một trong những tính năng chỉ có tác dụng nếu các bộ điều khiển miền của bạn đang hoạt động trong chế độ Native Mode của Windows 2000 Server hoặc cao hơn. Đó là lý do tại sao bạn không thể sử dụng các nhóm universal group trong mọi tình huống.

Ngay cả khi tất cả máy chủ của bạn đang chạy trên hệ điều hành Windows Server 2003, và forest của bạn hoàn toàn ở trong chế độ native, thì sử dụng universal group trong hầu hết các trường hợp vẫn là một ý tưởng không tốt.

Như đã nói trong phần trước của loạt bài này, chúng tôi giới thiệu cho bạn khái niệm về global catalog servers. Các máy chủ global catalog server là các bộ điều khiển miền đã được gán nhiệm vụ giữ kiểm tra mọi đối tượng trong forest. Điển hình, mỗi vị trí Active Directory đều có bản copy của chính nó cho global catalog, điều đó có nghĩa rằng ở bất kỳ thời điểm nào một máy chủ global catalog cũng đều được cập nhật, thông tin cập nhật phải được tạo bản sao cho các máy chủ này.

Khi bạn tạo một universal group, cả tên nhóm và danh sách hội viên của nhóm đều được ghi vào các máy chủ global catalog. Điều này có nghĩa rằng khi tạo nhiều nhóm universal group thì các máy chủ global catalog sẽ như phồng lên. Khi global catalog càng lớn thì số lượng thời gian mà nó cần để sao global catalog từ một máy chủ global catalog này sang một máy chủ global catalog khác càng tăng. Nếu không được kiểm tra thì điều này có thể dẫn đến các vấn đề về hiệu suất mạng.

Trong trường hợp này có thể bạn đang phân vân rằng kiểu còn lại của các nhóm không cáng đáng nổi lượng tải trên global catalog. Ví dụ, các nhóm global group đã được liệt kê trong global catalog, nhưng danh sách hội viên của chúng lại không có. Chính vì vậy nguyên lý cơ bản của Microsoft là hoàn toàn “OK” để tạo các nhóm universal group nhưng bạn nên sử dụng chúng một cách dè xẻn.

Group Nesting

Một khái niệm có liên quan đến nhóm cuối cùng mà chúng tôi muốn giới thiệu cho các bạn đó là Nesting. Cách đơn giản nhất để giải thích về nhóm này là so sánh nó với các con búp bê của Nga. Các kiểu búp bê này được thiết kế để chúng có thể đặt được vào bên trong mỗi con khác lớn hơn. Con nhỏ nhất sẽ được đặt vào con nhỏ nhất trừ nó và cứ thế tiếp tục, chúng ta sẽ đặt được tất cả các con búp bê nhỏ vào trong một con lớn. Ý tưởng đặt đối tượng này bên trong đối tượng khác tương tự được gọi là nesting (xếp lồng).

Có nhiều lý do khác nhau cho việc đưa ra các nhóm nesting này. Một trong những lý do chung nhất là việc tương thích các tài nguyên với các văn phòng. Ví dụ, một công ty bắt đầu tạo nhóm cho mỗi phòng ban. Họ có thể tạo nhóm Tải chính, nhóm Thị trường, nhóm CNTT... Tiếp theo họ sẽ đặt người dùng vào nhóm sao cho phù hợp với phòng ban mà người dùng đã làm. Bước tiếp theo trong tiến trình sẽ là tạo các nhóm phù hợp với các tài nguyên khác nhau mà bạn cần đồng ý cho phép truy cập vào. Ví dụ, nếu bạn đã biết rằng một ai đó trong phòng tài chính cần truy cập vào một ứng dụng tài khoản thì có thể tạo một nhóm cho phép truy cập vào ứng dụng đó và sau đó đặt nhóm tài chính vào nhóm đó. Bạn không phải xếp lồng các nhóm nhưng việc làm như vậy đôi khi cho phép dễ làm việc trong tổ chức của mình, trong khi vẫn tiết kiệm được lượng công việc trong tiến trình. Trong trường hợp ví dụ trước, bạn không phải đặt một cách thủ công mỗi một tài khoản người dùng riêng lẻ vào nhóm cho ứng dụng tài khoản mà thay vì đó bạn chỉ cần dùng lại nhóm đã tồn tại trước đó.

Lưu ý rằng không phải mọi nhóm đều có thể được xếp lồng vào nhóm khác. Bảng dưới đây sẽ liệt kê các loại nhóm nào có thể xếp lồng được:
Loại nhóm    Có thể được xếp lồng trong nhóm Local    Có thể được xếp lồng trong nhóm Domain Local    Có thể được xếp lồng trong nhóm Global    Có thể được xếp lồng trong nhóm Universal
Local    Không    Không    Không    Không
Domain Local    Có    Có (nếu cùng miền)    Không    Không
Global    Có    Có    Có (nếu cùng miền)    Có
Universal    Có    Có    Không    Có
Lưu ý:

Nếu Windows đang sử dụng trong chế độ mixed mode của hệ điều hành Windows 2000 thì bạn sẽ bị những hạn chế dưới đây:

• Không thể tạo các nhóm Universal groups
• Các nhóm Domain local group chỉ chứa nhóm global
• Các nhóm Global group không chứa các nhóm khác

Kết luận

Trong bài này, chúng tôi đã giới thiệu cho các bạn một số ưu điểm về việc xếp lồng một nhóm này vào trong nhóm khác. Cùng với đó chúng tôi cũng giới thiệu một số tình huống có thể để áp dụng điều này. Phần tiếp theo của loạt bài này có thể sẽ giới thiệu tiếp cho các bạn về nguyên tắc mà hệ điều hành Windows thực hiện trong việc kết nối mạng, mời các bạn đón đọc.
Kiến thức cơ bản về mạng - Phần 16: Kết nối mạng hệ điều hành Windows
Thời gian vừa qua chúng tôi nhận được một số email của độc giả muốn biết tại sao hầu hết các bài trong loạt bài này chỉ tập trung vào Windows. Thực sự mà nói với mỗi cá nhân, có thể có những người thích Linux hơn Microsoft hoặc một hệ điều hành nào đó khác chẳng hạn, nhưng vẫn phân vân tại sao Windows lại cần thiết đến vậy. Điều này hoàn toàn là sự thực, vì việc kết nối mạng đã được nghiên cứu và thực hiện ngay từ trước khi có Windows. Chính vì vậy tôi muốn giới thiệu đến các bạn về role mà Windows giữ vai trò trong việc kết nối mạng.

Có một điều cần nói với các bạn, đó là mọi hệ điều hành đều thực hiện việc kết nối mạng theo cùng một cách đơn giản. Mặc dù hệ điều hành này có thể hiệu quả hơn hệ điều hành kia, nhưng kết quả cuối cùng cơ bản là giống nhau. Windows, Macintosh, Linux và UNIX tất cả đều có thể truyền thông trên cùng một mạng Internet bằng các giao thức giống nhau.

Chúng tôi chọn viết về Windows là vì nó là một hệ điều hành được sử dụng phổ dụng nhất trên toàn thế giới hiện nay, cũng với mục đích phục vụ được nhiều độc giả nhất.

Windows đã làm những gì cho thế giới

Bây giờ chúng ta hãy đi vào những cố gắng và thành công mà Windows mang lại cho thế giới công nghệ nói chung, và các doanh nghiệp nói riêng. Lý do Windows trở thành một hệ điều hành có ảnh hưởng lớn như vậy là vì nó đã giải quyết được hai vấn đề lớn mà lĩnh vực CNTT đòi hỏi.

Đầu tiên đó là trước khi tạo ra Windows, các máy tính tương đối khó sử dụng. Trước Windows 3.x, hầu hết các máy tính chạy một hệ điều hành của Microsoft đó là MS-DOS. DOS là một thuật ngữ được viết tắt cho Disk Operating System.

Hệ điều hành DOS quả thực đã làm việc khá tốt, nhưng nó đã còn có quá nhiều thiếu sót theo một chuẩn mực nào đó. Đây là hệ điều hành dựa trên văn bản. Điều đó có nghĩa rằng nếu muốn khởi chạy một ứng dụng thì bạn không thể kích chuột vào một biểu tượng nào đó trên màn hình như hiện hệ điều hành đang sử dụng bây giờ mà những gì bạn phải thực hiện vào thời điểm này là phải biết đến các tập lệnh cần thiết để khởi chạy ứng dụng. Nếu bạn muốn biết có bao nhiêu dung lượng không gian đĩa trống thì không thể sử dụng việc kích chuột phải vào biểu tượng đĩa mà phải sử dụng lệnh CHKDSK hay DIR. Đây quả là điều thực sự phức tạp đối với những người dùng không chuyên.

Phần đông người dùng đã không thích điều này. Vì muốn sử dụng DOS thậm chí chỉ là cơ bản cũng cần phải học một số lệnh nào đó. Nhiều lệnh trong số đó có thể gây hỏng nặng đến dữ liệu nếu bạn vô tình sử dụng lệnh sai, và như vậy quả là một điều không ai mong muốn.

Việc sử dụng máy tính đã dần dần trở thành phổ biến trước khi Microsoft giới thiệu một hệ điều hành bằng đồ họa, như vậy Windows đã giúp việc thao tác với các máy tính trở nên dễ dàng hơn rất nhiều.

Điều thứ hai mà Windows đã thực hiện còn quan trọng hơn nhiều đó là cung cấp một thành phần cho phép các driver tách hoàn toàn với các ứng dụng.

Ở thời điểm của DOS, nó là một ứng dụng mà các chuyên gia đã phát triển để gộp các driver thiết bị với tư cách là một phần của ứng dụng. Ví dụ, bộ xử lý từ trên thị trường tốt nhất vào thời đó là một sản phẩm mà bây giờ không còn tồn tại, tên trước kia của nó là PFS Write. Một trong những thứ mà đã biến PFS Write trở thành một sản phẩm tốt như vậy là nó đã hỗ trợ cho rất nhiều máy in.

Hãy lưu ý rằng, ở thời điểm này không hề có việc hỗ trợ tới card video và âm thanh,…

Cách mà các driver lệ thuộc với ứng dụng quả tồi tệ cho cả các chuyên gia phát triển ứng dụng lẫn khách hàng. Nó cũng không có lợi cho những chuyên gia phát triển ứng dụng, vì họ phải tốn nhiều thời gian vào việc viết một lượng vô cùng lớn các driver thiết bị, điều đó đã làm tăng giá thành cũng như thời gian để hoàn thành xong sản phẩm và đưa ra cung cấp cho thị trường. Chính vì ứng dụng chỉ có thể hỗ trợ một tập hạn chế phần cứng nào đó nên chuyên gia phát triển sẽ không thể hỗ trợ cho hết được các sản phẩm phần cứng mà khách hàng có.

Việc các driver thiết bị gắn chặt với ứng dụng cũng gây khó khăn cho khách hàng. Điển hình, phần cứng cũ hơn sẽ không được hỗ trợ, thường thì phải bắt buộc khách hàng mua phần cứng mới cùng với ứng dụng mới của họ. Lúc đó góc độ phần cứng cũng không thường xuyên được hỗ trợ. Các chuyên gia phát triển ứng dụng đã phải tạo ra các driver phù hợp với phần đông số lượng người dùng, chính vì vậy thực sự hiếm có một ứng dụng nào có driver cho những phần cứng mới nhất. Thông thường phần cứng mới lại không tương thích với driver phần cứng cũ trước đó, nhưng sau đó một vài năm góc độ phần cứng đã được thay đổi.

Khi Microsoft tạo ra Windows, họ đã tạo ra một môi trường mà trong đó, bất kỳ ứng dụng nào cũng có thể tương tác với bất kỳ phần cứng nào. Bảo đảm rằng, các ứng dụng vẫn có những yêu cầu phần cứng tối thiểu nhưng các model phần cứng cũng như các nhãn hiệu không thực sự quan trọng nhiều như trước kia. Ví dụ, nếu bạn muốn in tài liệu này, nó sẽ không cần biết loại máy in mà bạn có là gì miễn là có cài đặt driver trên máy tính rồi.

Windows đã xây dựng trong nhiều lớp. Mỗi một ứng dụng Windows lại sinh một số công việc in ấn theo cùng một cách mà không tâm đến ứng dụng là gì, hoặc kiểu máy in mà công việc in ấn đang gửi đến là gì. Hệ điều hành Windows sử dụng driver in cụ thể để dịch công việc in ấn đó thành định dạng mà máy in có thể hiểu được. Quá trình thực sự phức tạp hơn nhiều nhưng ở đây tôi chỉ muốn giới thiệu ý tưởng cơ bản mà không đi vào những chi tiết trong kiến trúc.

Điểm tuyệt vời nhất là các ứng dụng từ driver thiết bị giúp đỡ được nhiều đối tượng. Các chuyên gia phát triển ứng dụng không phải chịu gánh nặng đối với việc phải viết các driver thiết bị, và các khách hàng lúc này hoàn toàn có thể thoải mái sử dụng bất kỳ phần cứng nào mà họ muốn (miễn là có những chuẩn tối thiểu yêu cầu cho sự tương thích) mà không cần phải lo lắng xem nó có làm việc với ứng dụng nào đó của mình hay không.

Kết luận

Như những gì bạn đã biết, Microsoft đã có thể thiết kế Windows theo cách cho phép các ứng dụng có thể tách rời driver thiết bị. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn về cách kiến trúc này hỗ trợ cho việc kết nối mạng như thế nào.
Kiến thức cơ bản về mạng: Phần 17 – Mô hình OSI
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu về một quá trình được sử dụng trong Windows (và các hệ điều hành mạng khác), quá trình này cho phép các ứng dụng của các hãng được phát triển mà không cần phải lo lắng nhiều về vấn đề tạo driver cho thành phần phần cứng cụ thể. Mặc dù khái niệm này được sử dụng rộng rãi trong tất cả các hệ điều hành Windows, nhưng nó đặc biệt quan trọng khi nói đến vấn đề kết nối mạng. Để biết tại sao điều này lại quan trọng đến vậy chúng ta hãy xem xét đến những gì mà chúng tôi đã giới thiệu trong phần trước có liên quan đến phần cứng.

Mục đích để một ứng dụng có thể truyền thông trên mạng. Một chuyên gia phát triển ứng dụng không xây dựng các driver mạng bên trong ứng dụng, mà họ chỉ viết một cách đơn thuần ứng dụng theo cách của họ để có thể cho phép ứng dụng này thực hiện các cuộc gọi đến hệ điều hành Windows. Chính các nhà máy sản xuất adapter mạng của máy tính mới cung cấp các driver có thể liên kết làm việc với Windows, và cũng như vậy, Windows thực hiện những công việc cần thiết còn lại để làm sao ứng dụng có thể truyền thông với adapter mạng.

Rõ ràng đó mới chỉ là những gì chung chung. Công việc cụ thể bên trong đó phức tạp hơn những gì mà chúng ta vừa nói ở trên. Tuy nhiên cũng phải nói rằng adapter mạng cũng chỉ là một thiết bị được thiết kế để gửi và nhận các gói dữ liệu. Bản thân Card mạng không hề biết về Windows, ứng dụng hoặc thậm chí cả các giao thức đang được sử dụng. Ví dụ mà chúng tôi vừa cung cấp nhằm cho các bạn biết rằng có đến ba lớp khi thực hiện công việc này đó là: ứng dụng, hệ điều hành và phần cứng vật lý.

Trước khi giải thích các lớp này là gì và chúng thực hiện những công việc gì, chúng tôi muốn giới thiệu một số khái niệm làm vấn đề dễ hiểu hơn. Thực tế, nếu bạn mở trang thuộc tính của Local Area Connection (như trong hình A), thì có thể thấy một kết nối mạng được thiết lập bằng một số thành phần khác nhau, như network client – máy khách của mạng, driver của adapter mạng, và giao thức - protocol. Mỗi một thành phần này lại tương ứng với một hoặc nhiều lớp khác nhau.

Hình A: Trang thuộc tính của Local Area Connection cho chúng ta một cái nhìn
về các lớp mạng khác nhau được dùng trong Windows.
Mô hình mạng mà Windows và hầu hết các hệ điều hành mạng khác sử dụng được gọi là mô hình OSI. Thuật ngữ OSI được viết tắt bởi cụm từ tiếng Anh Open System Interconnection Basic Reference. Mô hình này gồm có bảy lớp khác nhau. Mỗi một lớp trong mô hình này được thiết kế để có thể thực hiện một nhiệm vụ cụ thể nào đó và làm thuận tiện cho việc truyền thông giữa lớp trên và lớp dưới nó. Bạn có thể nhìn thấy những gì mà mô hình OSI thể hiện trong hình B bên dưới.

Hình B: Mô hình OSI
Lớp Application

Lớp trên cùng trong mô hình OSI là lớp Application. Thứ đầu tiên mà bạn cần hiểu về lớp này là nó không ám chỉ đến các ứng dụng mà người dùng đang chạy mà thay vào đó nó chỉ cung cấp nền tảng làm việc (framework) mà ứng dụng đó chạy bên trên.

Để hiểu lớp ứng dụng này thực hiện những gì, chúng ta hãy giả dụ rằng một người dùng nào đó muốn sử dụng Internet Explorer để mở một FTP session và truyền tải một file. Trong trường hợp cụ thể này, lớp ứng dụng sẽ định nghĩa một giao thức truyền tải. Giao thức này không thể truy cập trực tiếp đến người dùng cuối mà người dùng cuối này vẫn phải sử dụng ứng dụng được thiết kế để tương tác với giao thức truyền tải file. Trong trường hợp này, Internet Explorer sẽ làm ứng dụng đó.

Lớp Presentation

Lớp Presentation thực hiện một số công việc phức tạp hơn, tuy nhiên mọi thứ mà lớp này thực hiện có thể được tóm gọn lại trong một câu. Lớp này lấy dữ liệu đã được cung cấp bởi lớp ứng dụng, biến đổi chúng thành một định dạng chuẩn để lớp khác có thể hiểu được định dạng này. Tương tự như vậy lớp này cũng biến đổi dữ liệu mà nó nhận được từ lớp session (lớp dưới) thành dữ liệu mà lớp Application có thể hiểu được. Lý do lớp này cần thiết đến vậy là vì các ứng dụng khác nhau có dữ liệu khác nhau. Để việc truyền thông mạng được thực hiện đúng cách thì dữ liệu cần phải được cấu trúc theo một chuẩn nào đó.

Lớp Session

Khi dữ liệu đã được biến đổi thành định dạng chuẩn, máy gửi đi sẽ thiết lập một phiên – session với máy nhận. Đây chính là lớp sẽ đồng bộ hoá quá trình liên lạc của hai máy và quản lý việc trao đổi dữ liệu. Lớp phiên này chịu trách nhiệm cho việc thiết lập, bảo trì và kết thúc session với máy từ xa.

Một điểm thú vị về lớp session là nó có liên quan gần với lớp Application hơn với lớp Physical. Có thể một số người nghĩ răng việc kết nối session mạng như một chức năng phần cứng, nhưng trong thực tế session lại được thiết lập giữa các ứng dụng. Nếu người dùng đang chạy nhiều ứng dụng thì một số ứng dụng này có thể đã thiết lập session với các tài nguyên ở xa tại bất kỳ thời điểm nào.

Lớp Transport

Lớp Transport chịu trách nhiệm cho việc duy trì vấn đề điều khiển luồng. Hệ điều hành Windows cho phép người dùng có thể chạy nhiều ứng dụng một cách đồng thời, chính vì vậy mà nhiều ứng dụng, và bản thân hệ điều hành cần phải truyền thông trên mạng đồng thời. Lớp Transport lấy dữ liệu từ mỗi ứng dụng và tích hợp tất cả dữ liệu đó vào trong một luồng. Lớp này cũng chịu trách nhiệm cho việc cung cấp vấn đề kiểm tra lỗi và thực hiện khôi phục dữ liệu khi cần thiết. Bản chất mà nói, lớp Transport chịu trách nhiệm cho việc bảo đảm tất cả dữ liệu từ máy gửi đến máy nhận.

Lớp Network

Lớp mạng Network là lớp có trách nhiệm quyết định xem dữ liệu sẽ đến máy nhận như thế nào. Lớp này nắm những thành phần như việc định địa chỉ, định tuyến, và các giao thức logic. Do loạt bài này dành cho những người mới bắt đầu làm quen với các kiếm thức về mạng nên sẽ không đi chuyên sâu vào kỹ thuật, tuy nhiên chúng tôi nói qua rằng lớp mạng này tạo các đường logic được biết đến như các mạch ảo giữa máy nguồn và máy đích. Mạch ảo này cung cấp các gói dữ liệu riêng lẻ để chúng có thể đến được đích của chúng. Bên cạnh đó lớp mạng cũng chịu trách nhiệm cho việc quản lý lỗi của chính nó, cho việc điều khiển xếp chuỗi và điều khiển tắc nghẽn.

Việc sắp xếp các gói là rất cần thiết bởi mỗi một giao thức giới hạn kích thước tối đa của một gói. Số lượng dữ liệu phải được truyền đi thường vượt quá kích thước gói lớn nhất. Chính vì vậy mà dữ liệu được chia nhỏ thành nhiều gói nhỏ. Khi điều này xảy ra, lớp mạng sẽ gán vào mỗi gói nhỏ này một số thứ tự nhận dạng.

Khi dữ liệu này đến được máy tính người nhận thì lớp mạng lại kiểm tra số thứ nhận dạng của các gói và sử dụng chúng để sắp xếp dữ liệu đúng như những gì mà chúng được chia lúc trước từ phía người gửi, bên cạnh đó còn có nhiệm vụ chỉ ra gói nào bị thiếu trong quá trình gửi.

Nếu bạn chưa hiểu kỹ về khái niệm này, hãy hình dung rằng bạn cần gửi mail một tài liệu có dung lượng lớn đến một người bạn của mình, nhưng không có một phong bì đủ lớn. Để giải quyết vấn đề này thì bạn phải chia nhỏ một số trang vào các phong bì nhỏ, sau đó dán nhãn các phòng bì này lại để bạn của bạn có thể biết được thứ tự của các trang trong đó. Điều này cũng tương tự như những gì mà lớp mạng thực hiện.

Lớp Data Link

Lớp liên kết dữ liệu Data Link có thể được chia nhỏ thành hai lớp khác; Media Access Control (MAC) và Logical Link Control (LLC). MAC về cơ bản thiết lập sự nhận dạng của môi trường trên mạng thông qua địa chỉ MAC của nó. Địa chỉ MAC là địa chỉ được gán cho adapter mạng ở mức phần cứng. Đây là địa chỉ được sử dụng cuối cùng khi gửi và nhận các gói. Lớp LLC điều khiển sự đồng bộ khung và cung cấp một mức kiểm tra lỗi.

Lớp Physical

Lớp vật lý Physical của mô hình OSI ám chỉ đến các chi tiết kỹ thuật của phần cứng. Lớp vật lý định nghĩa các đặc điểm như định thời và điện áp. Lớp này cũng định nghĩa các chi tiết kỹ thuật phần cứng được sử dụng bởi các adapter mạng và bởi cáp mạng (thừa nhận rằng kết nối là kết nối dây). Để đơn giản hóa, lớp vật lý định nghĩa những gì để nó có thể truyền phát và nhận dữ liệu.

Làm việc hai chiều

Cho đến lúc này, chúng ta đã thảo luận về mô hình OSI dưới dạng một ứng dụng cần truyền tải dữ liệu trên mạng. Mô hình này cũng được sử dụng khi một máy tính nào đó nhận dữ liệu. Khi dữ liệu được nhận, dữ liệu đó đi ngược trở lên từ lớp vật lý. Các lớp còn lại làm việc để tách bỏ những gì đã được đóng gói bên phía gửi và biến đổi dữ liệu về định dạng mà lớp ứng dụng có thể sử dụng được.

Kết luận

Trong phần này, chúng tôi đã giới thiệu cho các bạn về cách Windows sử dụng mô hình OSI như thế nào để thực hiện việc kết nối mạng. Bạn cũng nên hiểu rằng mô hình OSI chỉ là một hướng dẫn với tư cách để vấn đề kết nối mạng được thực hiện như thế nào. Còn trong thế giới thực, các ngăn xếp giao thức đôi khi kết hợp nhiều lớp vào một thành phần nào đó. Về vấn đề đó, chúng tôi sẽ giới thiệu cho các bạn trong phần tiếp theo của loạt bài này.
Kiến thức cơ bản về mạng: Phần 18 – Chia sẻ tài nguyên
Trong phần trước của loạt bài này chúng tôi đã giới thiệu cho các bạn về mô hình OSI và cách nó được sử dụng như thế nào trong việc thi hành sự trừu tượng hóa giữa phần cứng và phần mềm. Trong bài này, chúng tôi sẽ giới thiệu với các bạn về việc tạo các tài nguyên trên một mạng. Nếu bạn muốn tìm hiểu thêm về các ngăn xếp giao thức và sự liên quan của chúng với mô hình OSI, hãy đọc một số bài khác của chúng tôi về chủ đề này.

Với chú ý đó, chúng tôi muốn đưa sự tập trung của bạn vào việc tạo các tài nguyên trong một mạng. Nếu bạn vẫn còn phân vân chưa hiểu thì toàn bộ lý do cho việc xây dựng mạng ở một địa điểm nào đó đầu tiên là để chia sẻ tài nguyên giữa các máy tính trong mạng. Thông thường, việc chia sẻ tài nguyên có nghĩa là chia sẻ file và thự mục, tuy nhiên không phải lúc nào cũng vậy. Vấn đề chia sẻ mạng còn có thể làm tiết kiệm chi phí cho công ty trong việc mua và duy trì máy in cho các máy tính trong mạng.

Nhỏ hơn nữa là các mạng gia đình cũng cần chia sẻ tài nguyên. Kiểu mạng gia đình chung nhất có cả điểm truy cập không dây cũng được phục vụ như một router Internet. Trong các kiểu mạng này thì kết nối Internet là một tài nguyên được chia sẻ.

Như vậy có khá nhiều kiểu tài nguyên khác nhau có thể được chia sẻ trong một mạng. Quá trình thực sự cho việc chia sẻ tài nguyên luôn thay đổi, phụ thuộc vào kiểu tài nguyên đang được chia sẻ và vào các hệ điều hành mạng đang được sử dụng. Với lưu ý đó, chúng tôi sẽ thảo luận bằng cách nói về cách chia sẻ các file và thư mục trong một mạng như thế nào.

Trước khi bắt đầu, chúng tôi muốn đề cập nhanh với các bạn rằng thông tin mà chúng tôi đang giới thiệu được dựa trên Windows Server 2003. Windows Server 2003, Windows XP, và phiên bản trước đó của Windows quản lý việc chia sẻ file và thư mục cơ bản theo cùng một cách giống nhau. Các bước mà bạn sử dụng trong quá trình chia sẻ sẽ thay đổi tùy từng hệ điều hành khác nhau, tuy nhiên những khái niệm cơ bản thì hoàn toàn tương tự. Windows Vista lại cần đến một phương pháp khác để chia sẻ file so với các sản phẩm trước đó vẫn thực hiện. Với lưu ý đó, chúng tôi sẽ đề cập về việc chia sẻ file và Windows Vista sau trong loạt bài này. Lúc này những gì được giới thiệu là không áp dụng cho Vista.

Tạo một file chia sẻ

Nếu bạn muốn chia sẻ các file được lưu trong một máy chủ thì cần phải tạo một file chia sẻ. File chia sẻ về bản chất là một điểm đầu vào đã được chỉ định thông qua những người dùng nào có thể truy cập file. Lý do việc chia sẻ một file cần thiết đến như vậy là vì sẽ có một rủi ro lớn về mặt bảo mật khi chia sẻ toàn bộ nội dung của máy chủ.

Việc tạo một file chia sẻ thực sự rất đơn giản. Để thực hiện điều này, bạn hãy bắt đầu quá trình bằng việc tạo một thư mục ở vị trí muốn dữ liệu chia sẻ sẽ cư trú trong đó. Cho ví dụ, nhiều máy chủ file có một mảng lưu trữ đã được chỉ định hoặc ổ dữ liệu chỉ với mục đích chính là lưu dữ liệu (trái với các file chương trình và các thành phần của hệ điều hành ).

Trong hầu hết các trường hợp, bạn có thể có khá nhiều thư mục đáng giá để chia sẻ. Và với mỗi thư mục cũng cần đến các nhu cầu bảo mật cho riêng. Bạn có thể tạo một chia sẻ tách biệt cho mỗi thư mục, tuy nhiên làm như vậy thường bị coi là một ý tưởng không tốt trừ khi mỗi chia sẻ cư trú trên một ổ đĩa khác nhau. Có nhiều ngoại lệ cho mỗi một cách thức, tuy nhiên trong hầu hết các trường hợp thì bạn chỉ muốn tạo một file chia sẻ trên một ổ đĩa là quá đủ. Bạn có thể đặt tất cả các thư mục con bên trong thư mục này sau đó gán những điều khoản cần thiết trên mỗi thư mục cơ sở.

Nếu bạn đã có một nhóm các thư mục trong một vị trí nào đó, không nên lo lắng về nó. Bạn có thể dễ dàng tạo một thư mục mới và sau đó chuyển các thư mục đang tồn tại vào trong thư mục mới này. Tùy chọn khác là tạo một file chia sẻ ở cấp ổ đĩa, trong trường hợp này bạn sẽ không phải chuyển các thư mục đang tồn tại.

Với mục đích của bài này, chúng tôi sẽ giả dụ rằng bạn đã tạo được một thư mục, thư mục này lại có các thư mục con bên trong và bạn sẽ chia sẻ toàn thư mục này. Khi đã tạo một thư mục như vậy, hãy kích chuột phải vào thư mục đó và chọn lệnh “Sharing and Security” từ menu chuột phải. Bạn sẽ thấy một trang thuộc tính của thư mục xuất hiện như trong hình A.

Hình A: Tab Sharing cho phép bạn có thể chọn tùy chọn chia sẻ thư mục
Như những gì bạn thấy trong hình, tab Sharing cho phép kiểm soát xem thư mục nào được chia sẻ và thư mục nào không. Khi chọn tùy chọn “Share this Folder” bạn sẽ được gợi ý nhập vào tên chia sẻ. Tên chia sẻ mà bạn chọn rất quan trọng. Windows rất cầu kỳ với các tên được sử dụng cho việc chia sẻ này, chính vì vậy chúng tôi khuyên bạn nên sử dụng tên chia sẻ này dưới 16 ký tự và tránh sử dụng khoảng trống hoặc một số ký hiệu khác. Lưu ý rằng nếu bạn tạo ký tự cuối cùng của tên chia sẻ là một dấu đô la ($) thì file chia sẻ mà bạn đang tạo sẽ không thể nhìn thấy. Đây có thể gọi là một chia sẻ ẩn. Windows cung cấp một số chia sẻ ẩn một cách mặc định, tuy nhiên chúng tôi sẽ nói về các chia sẻ ẩn này trong phần sau của loạt bài này.

Trường “Comment” cho phép bạn nhập vào chú thích về chia sẻ được sử dụng cho mục đích gì. Vấn đề này hoàn toàn cho các mục đích quản trị. Các Comment ở đây là hoàn toàn tùy chọn, tuy nhiên việc dẫn chứng bằng tài liệu các chia sẻ không bao giờ là một ý tưởng tồi.

Lúc này chúng ta hãy xem xét về phần User Limit. Bạn sẽ thấy trong hình phần User Limit được thiết lập mặc định là Maximum Allowed (cho phép cực đại). Bất cứ thời điểm nào triển khai máy chủ Windows thì bạn đều phải có một đăng ký truy cập máy khách cần thiết. Bạn có thể tùy chọn trong việc mua đăng ký cho mỗi máy khách riêng hoặc đăng ký máy chủ để hỗ trợ một số kết nối nào đó. Ở bất kỳ một tỷ lệ nào thì khi hạn chế của người dùng được thiết lập là Maximum Allowed thì điều đó đều có nghĩa rằng một số lượng không hạn chế các máy khách có thể kết nối với thư mục chia sẻ cho tới khi số kết nối đạt đến số lượng tối ta các đăng ký mà bạn đã mua. Nếu bạn đang sử dụng mô hình đăng ký trên máy khách thì việc truy cập vào thư mục chia sẻ hoàn toàn không bị hạn chế về mặt kỹ thuật, nhưng vẫn phải bảo đảm rằng bạn phải có một đăng ký cho mỗi máy khách.

Một tùy chọn khác nữa của bạn là cho phép một số lượng người dùng nào đó kết nối vào thư mục chia sẻ. Ở đây Microsoft đưa ra tùy chọn hạn chế số lượng các kết nối đồng thời đến thư mục chia sẻ để bảo đảm cho phần cứng của bạn.

Kết luận

Trong bài báo chúng tôi đã giới thiệu với các bạn về các cách chia sẻ tài nguyên nào trong mạng. Trong phần tiếp theo của loạt bài này chúng tôi sẽ giới thiệu tiếp về cách thiết lập các điều khoản trên thư mục chia sẻ mà bạn vừa tạo.
Kiến thức cơ bản về mạng: Phần 19 – Các điều khoản mức chia sẻ
Trong phần trước của loạt bài này, chúng tôi đã bắt đầu giới thiệu cho các bạn cách tạo một mạng chia sẻ để có thể sử dụng nhằm mục đích chia sẻ các tài nguyên có trên một máy chủ. Cho đến lúc này, chúng ta đã tạo một chia sẻ nhưng vẫn chưa trao quyền truy cập cho một ai với chia sẻ đó. Trong phần này, chúng tôi sẽ tiếp tục giới thiệu về các điểm khác biệt giữa mức file và các điều khoản mức chia sẻ.

Bảo mật mục chia sẻ

Mặc dù toàn bộ mục đích tạo chia sẻ là nhằm cho phép người dùng trong mạng có thể truy cập vào các tài nguyên bên trong mục chia sẻ, tuy nhiên bạn vẫn phải cẩn thận về các mức truy cập vào tài nguyên đối với người dùng. Ví dụ, giả sử công ty có một bảng tính liệt kê các thông tin về lương cho mỗi một nhân viên. Lúc này giả định rằng mọi người trong phòng kế toán có thể truy cập vào bảng tính đó và cập nhật nội dung bên trong. Do phòng kế toán phải chịu trách nhiệm cho việc in các hóa đơn nên họ cần phải truy cập vào bảng tính này nhưng có thể bạn lại không muốn họ thực hiện việc sửa đổi nó. Vì sự nhạy cảm của các thông tin trong bảng tính nên bạn có thể không muốn cho bất kỳ ai trong công ty truy cập vào đó. Với những lưu ý đó, chúng ta hãy xem xét kiểu bảo mật này có thể được thực hiện như thế nào.

Thứ đầu tiên mà bạn cần hiểu về chia sẻ là có hai kiểu bảo mật khác nhau có thể sử dụng. Bạn có thể chọn sử dụng bảo mật mức chia sẻ, bảo mật mức file hoặc cả hai.

Bảo mật mức chia sẻ sử dụng trực tiếp cho điểm chia sẻ mà bạn đã tạo. Khi người dùng kết nối vào SharePoint để truy cập file thì các điều khoản về mức chia sẻ mà bạn thiết lập sẽ được áp dụng. Ngược lại, các điều khoản mức file được áp dụng một cách trực tiếp đối với file và thư mục thay cho sự chia sẻ.

Lý do có hai kiểu điều khoản khác nhau trong Windows là vì hệ điều hành Windows hỗ trợ hai định dạng khác nhau: FAT và NTFS. FAT là hệ thống file có từ trước và được giới thiệu vào những năm 80. FAT là hệ thống file không hỗ trợ cho việc bảo mật mức file còn NTFS lại được thiết kế để vá đi những khiếm khuyết đó. Bạn có thể áp dụng bảo mật mức file trực tiếp cho các file và thư mục đang đặt trên ổ đĩa có định dạng NTFS.

Do hệ thống file NTFS không hỗ trợ bảo mật mức file nên Microsoft cho phép bạn sử dụng bảo mật mức chia sẻ với tư cách là một cách để cải thiện những thiếu sót về hệ thống file. Ngày nay hệ thống file NTFS hầu hết được sử dụng còn hệ thống file FAT vẫn còn đó nhưng ít được sử dụng. Bạn có thể vẫn sử dụng các điều khoản mức chia sẻ nếu muốn nhưng tốt hơn bạn hãy sử dụng các điều khoản chia sẻ mức file.

Vậy những gì làm cho các điều khoản mức file trở nên tốt hơn các điều khoản mức chia sẻ? Với những người mới bắt đầu, các điều khoản mức chia sẻ chỉ áp dụng nếu người dùng đang truy cập vào file thông qua một chia sẻ. Đây có thể là một vấn đề vì Windows cho phép bạn có thể tạo nhiều điểm chia sẻ trên một ổ đĩa. Nếu các điểm chia sẻ đã được tạo một cách kém cẩn thận thì chúng có thể chồng chéo lên các điểm khác. Điều này có thể làm cho người dùng có các mức điều khoản không như mong muốn đối với file và thư mục.

Một lý do khác tại sao các điều khoản mức file lại được ưa thích hơn điều khoản mức chia sẻ là vì các điều khoản mức chia sẻ không cung cấp sự bảo vệ trừ khi người dùng truy cập vào các file thông qua SharePoint. Nếu một người dùng nào đó đã đăng nhập vào một giao diện quản lý máy chủ nội bộ thì họ có thể duyệt vào ổ đĩa cứng nội bộ mà không cần thông qua SharePoint. Nếu các điều khoản chia sẻ là kiểu điều khoản đang được sử dụng thì người dùng có thể truy cập với đầy đủ quyền vào các file bên trong chia sẻ.

Các điều khoản mức file cũng cho phép bảo vệ dữ liệu nếu máy chủ được khởi động để chuyển đổi hệ điều hành, hoặc nếu ổ đĩa cứng bị chuyển khỏi máy chủ và thay thế vào máy chủ khác. Các điều khoản mức chia sẻ không cung cấp kiểu bảo vệ này.

Do các điều khoản mức file cao hơn nhiều so với điều khoản mức chia sẻ nên bạn có thể sẽ phân vân rằng tại sao lại muốn tạo một chia sẻ cho tất cả mọi người. Bạn cần tạo một chia sẻ vì nó có vai trò như một điểm đầu vào cho việc truy cập hệ thống file trong mạng. Nếu bạn cần cho phép người dùng truy cập vào các file trên một máy chủ file thì không thực sự cần tạo các chia sẻ. Tuy vậy, bạn có thể bảo vệ chia sẻ bằng cách sử dụng các điều khoản mức file thay vì phụ thuộc vào các điều khoản mức chia sẻ.

Chúng ta đã tạo một thư mục có tên Data trong phần trước của loạt bài này, sau đó đã chia sẻ thư mục đó. Để thiết lập các điều khoản trong thư mục này, bạn hãy kích chuột phải vào nó, chọn Properties. Sau khi thực hiện thao tác đó bạn sẽ thấy xuất hiện một trang thuộc tính của thư mục.

Lúc này hãy xem xét đến tab Sharing của trang thuộc tính này, xem trong hình A để có thêm thông tin chi tiết. Như những gì thể hiện trên hình, tab này có nútPermissions. Bạn có thể kích vào nút này để thiết lập các điều khoản mức chia sẻ cho chia sẻ.

Hình A: Nút Permissions được sử dụng để thiết lập các điều khoản mức chia sẻ
Chúng ta hãy xem xét sang tab Security. Tab này được sử dụng để thiết lập các điều khoản mức file, bắt đầu tại thư mục này trở đi, SharePoint sẽ được ràng buộc. Thứ đầu tiên mà bạn cần biết về các điều khoản mức file là dù trong bất cứ hoàn cảnh nào chúng cũng sử dụng khái niệm kế thừa. Kế thừa ở đây có nghĩa đơn giản rằng khi bạn thiết lập một điều khoản, điều khoản đó áp dụng không chỉ cho thư mục và còn cho mọi thứ trong nó. Nó có thể gồm các thư mục con tồn tại và các file bên trong thư mục con.

Một thứ khác mà bạn cần biết về các điều khoản mức file là sự kế thừa của một số điều khoản sẽ áp dụng một cách tự động. Nếu quan sát trong hình B thì bạn sẽ thấy tab Security của trang thuộc tính. Như những gì bạn thấy trong hình, một vài tập các điều khoản khác nhau đã được áp dụng. Chi tiết về ý nghĩa của các thiết lập này như thế nào sẽ được giới thiệu chi tiết trong các loạt bài sau. Lúc này bạn chỉ cần biết sự thật là có một số điều khoản được áp dụng một cách tự động.

Hình B: Tab Security có thể được sử dụng để thiết lập bảo mật mức file
cho thư mục mà SharePoint được ràng buộc.
Nếu quan sát tab Security, bạn sẽ lưu ý thấy rằng nửa đầu của tab này gồm có một danh sách các user và nhóm. Dưới đó là một danh sách các điều khoản. Nếu bạn muốn áp dụng một tập các điều khoản cho một người dùng hoặc nhóm thì chỉ cần chọn người dùng hoặc nhóm mà bạn muốn làm việc ở phía nửa trên của tab, sau đó thiết lập các điều khoản ở nửa dưới. Rõ ràng trước khi có thể thiết lập các điều khoản bạn cần phải hiểu về những điều khoản đó có ý nghĩa gì. Chúng tôi sẽ giới thiệu chi tiết đến vấn đề đó trong phần tiếp theo của loạt bài này.

Kết luận

Trong phần 19 này chúng tôi đã giới thiệu cho các bạn cách có thể bảo vệ một SharePoint bằng các điều khoản mức file hoặc mức chia sẻ, hoặc cả hai. Trong phần tiếp theo của loạt bài này chúng tôi sẽ giới thiệu thêm về bản thân các điều khoản này làm việc như thế nào và cách áp dụng chúng cho các file và thư mục.
Kiến thức cơ bản về mạng: Phần 20 – Các điều khoản mức File
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu về các thư mục chia sẻ có thể được bảo vệ bằng cách sử dụng các điều khoản mức chia sẻ hoặc điều khoản NTFS. Trong bài đó, chúng tôi cũng đã giới thiệu cách sử dụng các điều khoản mức chia sẻ, nhưng nó có liên quan nhiều đến chia sẻ file an toàn bằng các điều khoản NTFS, chính vì vậy trong phần này chúng tôi sẽ giới thiệu tiếp cho các bạn về các điều khoản này.

Lệnh chuyển đổi (Convert)

Như chúng tôi đã giải thích nhiều lần trước đây, bạn chỉ có thể sử dụng bảo mật mức file cho các phân vùng được định dạng bằng hệ thống file NTFS. Nếu phân vùng được định dạng bằng FAT hoặc FAT32 thì bạn sẽ bị hạn chế trong việc sử dụng các điều khoản mức chia sẻ. Tuy nhiên bạn lại có thể chuyển đổi giữa FAT hoặc phân vùng FAT32 thành NTFS mà không cần phải định dạng lại phân vùng. Thực hiện thao các chuyển đổi như vậy bằng lệnh Convert. Nếu phân vùng mà bạn quan tâm về vấn đề bảo mật đã được định dạng NTFS thì có thể bỏ qua phần này.

Lệnh chuyển đổi này sử dụng rất đơn giản. Trong biểu mẫu đơn giản nhất của nó, bạn chỉ cần chỉ định ký tự ổ đĩa được gán cho phân vùng muốn chuyển đổi, hệ thống file mà bạn muốn sử dụng (trong trường hợp này là NTFS). Ví dụ, nếu bạn muốn chuyển đổi ổ D: thành NTFS, cấu trúc lệnh sẽ như dưới đây:
CONVERT D: /FS:NTFS
Dù cú pháp cơ bản này luôn làm việc nhưng bên cạnh đó còn có hai khóa chuyển đổi bổ sung mà chúng tôi khuyên các bạn nên sử dụng cùng với lệnh này. Khóa chuyển đổi đầu tiên nên sử dụng là /X. Khóa chuyển đổi này bắt buộc phân vùng được gỡ ra trước khi quá trình chuyển đổi diễn ra. Lý do tạo sao bạn nên sử dụng khóa chuyển đổi này là vì nó sẽ tránh được tình trạng hỏng các file mở trong suốt quá trình chuyển đổi. Rõ ràng một tác động thứ yếu ở đây là việc quản lý các file mở đều sẽ bị hủy kết nối.

Một khóa chuyển đổi khác nữa là /NoSecurity. Khóa chuyển đổi này lệnh cho Windows rằng bạn muốn để lại mọi thứ trên phân vùng để mọi người đều có khả năng truy cập sau khi quá trình chuyển đổi được hoàn tất. Rõ ràng, việc áp dụng khóa chuyển đổi đã đi ngược lại toàn bộ mục đích chuyển đổi phân vùng ban đầu. Tuy vậy, chúng tôi vẫn thích ở khóa chuyển đổi này vì nó cho bạn có thể chọn việc thi hành tất cả các thiết lập bảo mật từ một vụ tấn công nào đó thay cho phải xử lý với các thiết lập bảo mật mặc định của Windows. Khi cả hai chuyển đổi này được áp dụng, lệnh sẽ giống như bên dưới đây:
CONVERT D: /FS:NTFS /X /NoSecurity
Các điều khoản NTFS

Với hầu hết các phần, các điều khoản NTFS là điều khoản rất dễ dàng trong thiết lập. Chỉ cần kích chuột phải vào một thư mục và chọn lệnh Properties. Bạn có thể gán các điều khoản NTFS cho thư mục trên tab Security của trang thuộc tính như thể hiện trong hình A bên dưới.

Hình A: Các điều khoản NTFS được gán thông qua tab Security của trang thuộc tính
Như những gì bạn có thể thấy trên hình, phần trên của tab gồm có một danh sách các user và group. Bạn có thể sử dụng các nút Add và Remove để bổ sung hoặc remove user và group ra khỏi danh sách này. Bên cạnh đó cũng có thể thiết lập các điều khoản cho người dùng hoặc nhóm bằng cách chọn user hoặc group từ danh sách, sau đó sử dụng các hộp kiểm trong phần bên dưới tab.

Bản thân các điều khoản này rất rễ hiểu, chính vì vậy chúng tôi sẽ không đi vào cụ thể những gì trong mỗi điều khoản đó. Chỉ có hai thứ mà bạn cần biết về tab này đó là: trước tên bạn có thể chọn “allowing permission”, “denying permission”, hoặc “not doing either”. Cần lưu ý rằng tùy chọn “denying permission” luôn ghi đè một điều khoản trước đó. Bạn cũng cần nhận ra rằng nếu không thiết lập một điều khoản thì bạn có thể sẽ không nhận được điều khoản thông qua sự thừa kế. Chúng tôi sẽ nói thêm về vấn đề thừa kế này trong phần dưới.

Một thứ khác cần biết về tab này đó là, mặc dù bạn có thể thiết lập các điều khoản trên những người dùng hoặc nhóm người dùng riêng biệt nhưng với những người dùng riêng lẻ thì thường được gán cho những điều khoản kiểu poor (kém hơn). Nếu bạn gán những điều khoản cho người dùng riêng biệt thì sẽ thiếu một số thứ và có thể khiến bạn khá không hài lòng. Chính vì vậy bạn nên gán điều khoản cho các nhóm.

Một điểm nữa mà bạn có thể thấy được trong hình trên đó chính là nút Advanced. Do đây là bài dành cho những người mới bắt đầu về vấn đề mạng nên chúng tôi không muốn tốn nhiều thời gian nói về những khái niệm nâng cao nhưng có hai khía cạnh rất quan trọng của các điều khoản NTFS mà bạn cần phải biết.

Bếu kích vào nút Advanced, bạn sẽ thấy trang thuộc tính của Advanced Security Settings, thể hiện trong hình B bên dưới. Hãy quan sát hai hộp kiểm phía dưới của tab Permissions.

Hình B: Hai hộp kiểm ở phần dưới của tab Permissions cho phép bạn kiểm soát sự thừa kế
Hệ thống file NTFS sử dụng một khái niệm đó là sự thừa kế. Khái niệm này có nghĩa khi bạn thiết lập một điều khoản thì điều khoản đó sẽ áp dụng cho bất cứ file hoặc thư mục con nào nằm bên dưới nó. Hộp kiểm đầu tiên trong tab Permissions được tích một cách mặc định. Nó cho phép kế thừa để áp dụng cho các thư mục đã chọn và thư mục con bên trong nó.

Hộp kiểm thứ hai cho phép bạn thay thế bất cứ điều khoản đang tồn tại nào trên các file và thư mục con bằng các điều khoản được thể hiện trong danh sách trên.

Như những gì bạn có thể hình dung, các hộp kiểm này đều có tác động rất mạnh và việc sử dụng chúng sai có thể gây hậu quả lớn. Chính vì vậy chúng tôi khuyên các bạn đừng bao giờ sử dụng chúng và trong thực tế Microsoft cũng khuyên như vậy.

Những mâu thuẫn

Có một trong những thứ về cách làm việc của hệ thống file NTFS và cách làm việc của hệ thống bảo mật Windows nói chung, đôi khi xảy ra những vấn đề mâu thuẫn trong bảo mật. Ví dụ, một người dùng có thể là một thành viên của hai nhóm khác nhau với các điều khoản mâu thuẫn nhau. Khi điều này xảy ra, sẽ có một tập toàn bộ các rule có thể được áp dụng để chỉ ra các điều khoản nào có ưu tiên cao hơn.

Vì loạt bài này được viết dành cho những người mới bắt đầu, nên chúng tôi sẽ không đi sâu vào những vấn đề phức tạp của các rule. Một thứ mà chúng tôi muốn nói với các bạn ở đây là tuyên bố phủ nhận sẽ luôn ghi đè lên các điều khoản khác. Thay cho phải dùng một giới thiệu khác về phần còn lại của các rule, chúng tôi muốn giới thiệu cho các bạn một công cụ có thể sử dụng để xác định các điều khoản có hiệu lực.

Chúng tôi đã giới thiệu cho các bạn về trang thuộc tính của Advanced Security Settings, nhưng hãy xem xét đến tab Effective Permissions của nó, thể hiện trong hình C bên dưới. tab này cho phép bạn nhập vào tên của người dùng và nhóm. Thông qua đó nó sẽ thể hiện các điều khoản có hiệu lực cho người dùng hoặc nhóm đó.

Hình C: Tab Effective Permissions cho phép bạn thấy được các điều khoản NTFS
có hiệu lực đối với một số người dùng hoặc nhóm nào đó
Kết luận

Đây sẽ là phần cuối cùng trong loạt bài này, lý do chúng tôi muốn dừng bài viết bởi vì mục đích của loạt bài này là dành cho những người mới làm quen với mạng. Chính vì vậy những giới thiệu chuyên sâu sẽ làm cho các bạn khó hiểu. Tuy nhiên trong tương lai chúng tôi sẽ cung cấp thêm cho các bạn những kiến thức sâu hơn về chủ đề này, mong các bạn hãy đón đọc cũng như gửi các ý kiến phản hồi.