Part 23 - User Account Control - Firewall(2)

Ai đã từng sử dụng Windows Vista cũng không khỏi bực mình vì những câu hỏi liên tục được hệ thống hiện ra hỏi ýngười dùng có chấp nhận kích hoạt chương trình yêu cầu hay không?, thực ra đó chính là tính năng User AccountControl (UAC) mới của Microsoft vừa tích hợp vào Windows Vista mà các phiên bản trước đó như XP, WindowsServer 2003… không thấy.
Nội dung trích xuất từ tài liệu:
Part 23 - User Account Control - Firewall(2) “Chuyên trang dành cho kỹ thuật viên tin học” CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬTPart 23 - User Account Control - FirewallAi đã từng sử dụng Windows Vista cũng không khỏi bực mình vì những câu hỏi liên tục được hệ thống hiện ra hỏi ýngười dùng có chấp nhận kích hoạt chương trình yêu cầu hay không?, thực ra đó chính là tính năng User AccountControl (UAC) mới của Microsoft vừa tích hợp vào Windows Vista mà các phiên bản trước đó như XP, WindowsServer 2003… không thấy.Lợi ích của việc tích hợp tính năng này là nhằm giảm thiểu đến mức thấp nhất sự tấn công, lây lan của Virus,Spyware… mà các năm trở lại đây bùng phát dữ dội tuy nhiên cái gì cũng có cái giá của nó, càng khắt khe chừng nàothì phiền toái càng nhiều.Tuy nhiên tính năng này chỉ tác động lên cho các User thuộc nhóm Administrators nhưng không phải Admin gốc(Root Admin)Nói thêm về vấn đề này thì trong Windows XP & Vista sau khi cài đặt hoàn tất hệ thống sẽ tự Disable AccountAdministrator (Root Admin) và buộc ta tạo một User Account mới và sẽ tự Add User mới này vào GroupAdministrators.Tuy cùng nằm chung Group Administrators nhưng User Account sẽ có quyền hạn chế hơn User Administrator mà cụthể là trong UACTrong ví dụ này tôi đã Enable User Account Administrator lên rồi và tạo 2 User mới là gccom1 & gccom2 trong đóUser gccom1 tôi sẽ gán vào Group Administrators. Bạn làm như sau:Tạo 2 User gccom1 & gccom2 sau đó vào Control Panel chọn User AccountsTiếp tục chọn mục Manage another account 1 of 13Sau đó click chọn Account gccom1 chọn tiếp mục Change the account type để gán quyền Admin cho User nàyChọn mục AdministratorBây giờ Logoff Administrator và Logon với gccom1 bạn vào Network Connections 2 of 13Nhấp vào Properties để tiến hành chỉnh sửa IP của máy, khi đó hệ thống sẽ bật lên hộp thoại User Account Controlvà hỏi ý bạn có muốn tiếp tục hay không? Đương nhiên ta chọn Continue thì vẫn có thể chỉnh sửa thoải mái vàgccom1 chính là một AdminĐể tắt sự phiền toái này bạn vào lại User Accounts chọn Turn User Account Control on or off 3 of 13Bỏ chọn mục Use User Account Control (UAC) to help protect your computer đi và tiến hành Restart lại máy.Như vậy từ rày về sau bạn sẽ không gặp phiền toái này nữa tuy nhiên Windows khuyến cáo bạn không nên tắt nó vìnhư thế vô tình máy bạn không được bảo vệ tốt các chương trình gián điệp sẽ dễ dàng hạ gục hệ thống của bạn.Bây giờ bạn logon với gccom2 và bạn vào Network ConnectionsNhấp vào Properties để tiến hành chỉnh sửa IP của máy, khi đó hệ thống sẽ bật lên hộp thoại User Account Controlvà hỏi ý bạn có muốn tiếp tục hay không? và yêu cầu đăng nhập dưới quyền Admin của máyNgoài việc chỉnh UAC bằng cách trên ta có thể dùng Group Policy để tùy biến đa dạng hơn 4 of 13Bạn vào Computer Configuration -> Windows Settings -> Sercurity Settings -> Local Policies -> SercurityOptionsUser Account Control: Behavior of the elevation prompt for administrators in Admin Approval ModeTùy chọn này tác động lên lên User là Admin và có 3 lựa chọn- Elevate without prompting: Không hiện nhắc nhở- Prompt for credentials: Hiện cảnh báo với việc xác thực mật khẩu- Prompt for consent: Cảnh báo thường xuyên 5 of 13User Account Control: Behavior of the elevation prompt for standard usersTùy chọn này tác động lên lên User không thuộc nhóm là Admin và có 2 lựa chọn:- Automatically deny elevation requests: tự động từ chối tất cả- Prompt for credentials: yêu cầu xác nhận mật khẩu Admin 6 of 13Ngoài ra trong Local computer policy của Windows Vista còn có thêm phần Windows Firewall như sau:- Inbouns Rules: giới hạn các ngõ vào hệ thống- Outbouns Rules: giới hạn các ngõ ra hệ thốngBây giờ giả sử tôi muốn khóa không cho truy cập trang web có IP là 203.162.4.190 chẳng hạn tôi làm như sau:Chọn Outbound Rules nhấp phải chọn New RuleChọn Custom 7 of 13Trong mục This program path chọn nút Browse… chọn theo đường dẫn C:\Program files\InternetExplorer\iexploer.exeDo ta chặn đầu ra là web nên gia thức sẽ là TCP/80 và chỉ tác động lên mục Remote port mà thôi 8 of 13Tại mục Customize the interface types to which this rule applies bạn Add IP cần chặn vàoChọnt tiếp Block the connection để khóa IP này 9 of 13Đặt tên cho công việc này là Lock IP 203.162.4.190Màn hình sau khi hoàn tấtBây giờ ta thử truy cập vào trang 203.162.4.190 sẽ thấy báo lỗi 10 of 13Kể từ phiên bản Windows XP SP2 trở đi Microsoft tích hợp luôn công cụ Windows Firewall vào hệ thống nhằm nângcao mức độ bảo mật cho khách hàng chống lại tình trạng Virus & Spyware ngày càng mạnh mẽ và đa dạng hơn.Tuy thế mặc định Windows do tính năng Firewall được bật lên nên với những ai đã xài quen với các hệ thống cũ cảmthấy khó chịu & phiền toái khi để Windows Firewall này chạy, vì một số tính năng mặc định thông thường sẽ bị han chếví dụ như bạn ping các máy trong mạng LAN sẽ không nhận được kết quả hồi đáp như mong đợi mặc dù trước đó hệthống mạng đã hoàn toàn thông suốt. 11 of 13Và như vậy một số khách hàng sử dụng ngay phương pháp “cơ bản” nhất là tắt Windows Firewall đi, tuy nhiên c ...