Bí mật cuộc chiến chống tin tặc của Microsoft

Tuy nhiên, cho tới nay vẫn chưa có một vụ đột nhập nào thành công bởi "bức tường thành" Microsoft quá vững chắc, có thể làm nản lòng bất cứ một cao thủ hacker nào. Những thứ quý giá nhất mà Microsoft đang lưu giữ là tài sản trí tuệ, bao gồm mã nguồn của tất cả hệ điều hành và ứng dụng của hãng này. Microsoft đã bảo vệ những tài sản sống còn này một cách rất nghiêm ngặt. Để tiếp cận chúng, người ta phải trải qua nhiều tầng bảo vệ khác nhau, chẳng hạn như tường lửa và phải truy cập bằng giao thức IPsec. Ngoài ra, toàn bộ hệ thống mạng nội bộ của Microsoft đều được trang bị cơ chế theo dõi các hành vi đáng ngờ, quét phát hiện và tiêu diệt virus, phần mềm độc hại, và nhiều thứ khác nữa.

Có một điều ngạc nhiên là Microsoft lại cho phép nhân viên của mình kết nối tới mạng công ty thông qua phương pháp truy cập từ xa RAS (Mạng riêng ảo - VPN). Với một môi trường mạng phức tạp như Microsoft, thì VPN tỏ ra khá thiếu an toàn. Nhưng làm thế nào mà Microsoft có thể hóa giải được các nguy cơ thường trực trong khi vẫn đảm bảo được khả năng cung cấp kết nối VPN cho nhân viên và khách hàng?

Định danh hai nhân tố

Lớp bảo vệ đầu tiên cho Microsoft VPN chính là định danh hai nhân tố. Sau một sự cố đột nhập nho nhỏ cách đây 8 năm, Microsoft đã cho cài đặt một nền tảng khóa công cộng (public key) dựa trên cơ chế xác nhận, và phát thẻ thông minh cho tất cả nhân viên và nhà thầu, cho phép họ truy cập từ xa tới mạng công ty. Định danh hai nhân tố yêu cầu người dùng cần phải có một thiết bị vật lý, ở đây là thẻ thông minh, và mật khẩu truy cập.

Sự cố được đề cập ở trên chính là vụ một đột nhập vào mạng Microsoft của một cracker (kẻ phá mã). Người này đã sử dụng tên đăng nhập và mật khẩu lấy cắp của nhân viên Microsoft và đã tiếp cận được một số mã nguồn. Vụ này được Walls Street Journal, Computerworld và một số tờ công nghệ khác đăng lại nhưng Microsoft đã không thừa nhận thông tin này.

Kết nối Sandbox

Lớp bảo vệ thứ hai cho mạng kết nối Microsoft VPN là “sandbox”. Trong bảo mật máy tính thì sandbox là một cơ chế bảo vệ giúp chạy an toàn các chương trình. Nó thường được sử dụng để thực thi mã chưa được thử nghiệm, hoặc các chương trình từ bên thứ ba, nhà cung cấp hoặc từ người dùng không tin cậy chưa được kiểm chứng.

Trước khi một máy tính kết nối có thể truy cập vào bất cứ tài nguyên hệ thống nào trên mạng Microsoft, nó phải chịu sự kiểm soát của một chương trình an ninh. Chỉ khi máy tính này đạt được những yêu cầu an toàn cần thiết, nó mới được phép kết nối vào mạng Microsoft.

Một chiếc máy tính chuẩn có thể kết nối vào mạng Microsoft phải cài đặt đầy đủ các bản vá lỗi, tường lửa Windows Firewall phải được kích hoạt, và không được kết nối tới bất cứ mạng VPN nào khác, hoặc đang sử dụng một phần mềm truy cập từ xa nào khác.

Nếu trình kiểm tra của Microsoft phát hiện ra máy tính không đủ yêu cầu, nó sẽ tự thực hiện những quy trình cần thiết, chẳng hạn như cài đặt bản vá lỗi, nâng cấp chương trình diệt virus… Nếu người dùng từ chối nâng cấp, ngay lập tức trình quét sẽ ngắt kết nối vào mạng. Khi quy trình kiểm tra này kết thúc, và PC đạt đủ yêu cầu, nó sẽ được phép kết nối vào sandbox và vào mạng doanh nghiệp.

Mã hóa và mật khẩu mạnh

Microsoft hiện đang tin tưởng và sử dụng giải pháp bảo mật có tên là EAP-TLS kết hợp với thẻ thông minh. Giải pháp này là sự tổng hợp của nhiều yếu tố như mã hóa VPN, định danh, mật khẩu cực mạnh, và cơ chế thay đổi mật khẩu thường xuyên.

Nếu đã từng trải nghiệm qua cơ chế bảo vệ của Windows Server 2003, bạn có thể hình dung ra mạng Microsoft cũng sử dụng một cơ chế tương tự.

E-mail và IM không qua RAS

Các nhân viên Microsoft thường gửi và nhận một số lượng lớn e-mail, và đó chính là nguyên tắc làm việc của họ. Tuy nhiên, nếu làm việc ở nhà mà kết nối VPN quá tải, họ sẽ phải sử dụng một giải pháp khác do nhóm Exchange phát triển. Đó là phương pháp kết nối tới máy chủ mail đầy đủ chức năng mà không cần trình kết nối phải ở trên mạng.

Để làm được điều đó, Microsoft đã thiết lập máy chủ proxy Exchange để Outlook truy cập vào Exchange thông qua RPC trên nền HTTP (được bảo vệ bằng cơ chế mã hóa SSL).

Cách đây vài năm, Microsoft đã phát triển các máy chủ proxy Exchange, cũng như các đoạn script (kịch bản) để đơn giản hóa quá trình thiết lập proxy cho các client Outlook.

Giải pháp này rất lý tưởng cho nhân viên và nhà thầu làm việc từ xa trên máy tính của họ, không cần sử dụng VPN mà vẫn truy cập được vào e-mail và trao đổi qua IM.