Xuất phát từ nhu cầu thực tế hiện nay, nhu cầu lưu trữ dữ liệu và chuyển đổi dữ liệu từ nơi này sáng nơi khác của người dùng rất đa dạng: Email, Ổ đĩa DVD/CD, công nghệ điện toán đám mây. Việc sử dụng USB vẫn là một giải pháp lưu trữ và chuyển đổi dữ diệu phổ biến bởi tính tiện dụng của nó. Tuy nhiên, nhược điểm của giải pháp này là phải đối mặt với các rủi ro mất an toàn thông tin như bị thất lạc, bị nhiễm mã độc. Đặc biệt với các dữ liệu quan trọng liên quan đến an ninh, quốc phòng nếu bị lộ lọt sẽ gây hậu quả nghiêm trọng.
Do vậy, việc xây dựng chương trình tạo USB an toàn trên Windows là thực sự cần thiết với thực trạng hiện nay. Chương trình tạo USB an toàn trên Windows được thiết kế với giao diện thân thiện với người dùng, dễ dàng sử dụng với các tính năng chính là: tạo USB an toàn không mã hóa và tạo USB an toàn có mã hóa.
Phòng chống mã độc lây nhiễm từ máy tính vào thư mục gốc ổ đĩa USB và ngăn chặn thực thi các chương trình trên ổ USB bằng cách phân quyền truy cập; Đảm bảo an toàn cho thông tin lưu trữ trên USB bằng giải pháp mã hoá BitLocker được tích hợp sẵn trên Windows.
Phòng chống mã độc lây từ máy tính vào USB
Có nhiều giải pháp để bảo vệ ổ USB Flash, nhưng hầu hết trong số đó phụ thuộc vào hệ điều hành Windows. Phương pháp này sử dụng định dạng tập tin NTFS phân quyền bảo mật để bảo vệ ổ đĩa USB và có thể áp dụng trên tất cả hệ điều hành Windows.
Định dạng USB chuẩn NTFS
Cắm USB Flash vào cổng USB của máy tính, đăng nhập vào máy tính cài đặt Windows với tài khoản Administrator, vào Device Manager bằng cách click chuột phải lên My Computer (This PC), chọn Manage, sau đó chọn Disk Drives, kích chuột phải vào tên ổ đĩa USB và chọn Properties rồi di chuyển tới tab Policies và chọn Better performance trong Removal policy, rồi chọn OK (Hình 1).
Hình 1. Thiết lập thuộc tính Policies cho USB
Mở Computer (từ màn hình Desktop) hay Windows Explorer (nhấn tổ hợp phím Windows + E) rồi kích chuột phải vào ổ USB và chọn Format. Sau khi hộp thoại Fomat hiện ra, chọn định dạng NTFS, Quick Format như Hình 2, rồi chọn OK.
Hình 2. Thiết lập Format USB
Hình 3. Thiết lập tài khoản Everyone và quyền Read trên thư mục gốc ổ USB
Cấu hình phân quyền bảo mật cho USB Flash
- Từ Computer, kích chuột phải vào ổ USB và chọn “Properties”. Ở thẻ Security , Click Edit... thiết lập cho duy nhất tài khoản Everyone và chỉ có quyền đọc (read) trên thư mục gốc ổ G:, rồi OK (Hình 3). Sau đó tạo 1 thư mục (ví dụ: Data) trên thư mục gốc ổ đĩa USB để lưu trữ an toàn; click chuột phải lên thư mục Data trên USB, chọn “Properties”. Tiếp theo chọn thẻ Security, nhấn chọn nút Advanced và chọn thẻ Permissions sau đó chọn Change Permissions.
- Chọn Add... để thêm tài khoản Everyone sau đó chọn các quyền như mô tả ở Hình 5, rồi nhấn OK
Hình 4. Giao diện chọn Change Permissions (đổi quyền) trên Data
Lưu ý: Chỉ chọn các quyền như Hình 5 và không chọn các quyền sau:
+ Full control
+ Traverse folder / execute file
+ Write attributes
+ Write extended attributes
+ Delete
+ Change permissions
+ Take permissions
Hình 5. Chọn các quyền cho thư mục Data
Giải pháp kết hợp phân quyền truy cập và mã hóa Bitlocker cho USB
Hiện nay có một số công cụ mã hoá dữ liệu của các hãng thứ ba chạy trên Windows như: VeraCript, TrueCript, FireFly,...và cho phép mã hoá ổ đĩa USB Flash. Tuy nhiên sử dụng công cụ mã hoá BitLocker để mã hoá ổ USB là phù hợp hơn vì nó an toàn hơn, miễn phí và được tích hợp sẵn trên Windows (không phải cài đặt thêm).
BitLocker là chương trình được Microsoft tích hợp trong Windows 7 trở lên (các phiên bản Windows Home không được tích hợp) nhằm giúp người sử dụng mã hoá thư mục, tệp tin, ổ đĩa cứng và ổ USB Flash để bảo vệ dữ liệu cá nhân (cách thực hiện mã hóa như Hình 6,7,8,9).
Hình 6. Bật tính năng BitLocker
Hình 7. Thiết lập mật khẩu cho USB Flash
Hình 8. Giao diện quá trình mã hoá trên ổ đĩa
Hình 9. Mã hóa hoàn tất
Sau khi mã hoá xong, ta có một chiếc USB an toàn với đầy đủ các tính năng phân quyền, mã hóa bảo mật. Để sử dụng USB Flash đã mã hóa khi ta cắm USB vào máy tính, thực hiện nhập mật khẩu để mở khóa (Hình 10), sau đó sử dụng USB như bình thường.
Hình 10. Cửa sổ nhập mật khẩu bitlocker
Chống mã độc lây vào máy tính từ ổ đĩa ngoài
Giải pháp phòng chống mã độc lây nhiễm từ ổ đĩa USB không an toàn vào máy tính bằng cách vô hiệu hoá tính năng Autorun và thiết lập chính sách bảo mật SRP chống thực thi mã độc từ ổ đĩa USB bất kỳ. Để vô hiệu hóa tính năng Autorun, thực hiện các bước sau:
Bước 1: Mở hộp thoại Run (Start/Run, hoặc nhấn tổ hợp phím Win+R), gõ: gpedit.msc rồi nhấn OK (Hình 11).
Hình 11. Hộp thoại Run
Bước 2: Mở chọn mục Administrative Templates trong Computer Configuration (Hình 12).
Hình 12. Minh hoạ chọn Administrative Templates trong Computer Configuration
Bước 3: Tại cửa sổ Turn Off Autoplay: chọn Enable; Ở phía dưới (Options) là Turn off Autoplay on: chọn All Drivers, rồi (Apply) và OK (Hinh 13); Làm tương tự như trên với mục User Configuration.
Hình 13. Minh hoạ cách chọn All Settings /Turn off Autoplay /Enabled
Thiết lập chính sách SRP chống thực thi mã độc từ các ổ đĩa ngoài
Giải pháp phần này không giải quyết vấn đề ngăn chặn mã độc lây lan vào các ổ đĩa ngoài (chẳng hạn như USB Flash) và lây từ USB Flash bị nhiễm sang các máy tính khác. Nhưng nếu ổ đĩa ngoài bị nhiễm mã độc, nó sẽ không lây nhiễm vào máy tính được thiết lập chính sách bảo mật. Chính sách bảo mật được áp dụng là Software Restriction Policies (SRP) có trên các phiên bản Windows từ XP trở đi, nó ngăn cấm bất kỳ việc thực thi của các chương trình trực tiếp từ các ổ đĩa được chỉ định. Nếu mọi chương trình trên các ổ đĩa ngoài không thể chạy được, có nghĩa là bất kỳ loại mã độc có thể có trên ổ đĩa đó cũng không thể được kích hoạt lây nhiễm vào máy tính.
Để thiết lập chính sách bảo mật, ta phải đăng nhập với tài khoản Administrators. Mở hộp thoại Run, gõ lệnh: secpol.msc (Hình 14) > Chọn Software Restriction Policies trong Security Settings (Hình 15) > nhấn chuột phải vào Additional Rules trong mục Software Restriction Policies > nhấn Action > chọn New Path Rules.
Hình 14. Dùng hộp thoại Run để mở chính sách bảo mật secpol.msc
Hình 15. Giao diện chính sách bảo mật cục bộ Local Security Policy
Tại đây ta thêm các ổ đĩa USB (F:\, G:\, H:\, I:\) vào Additional Rules của SRP (Hình 16). Làm như vậy nhằm đảm bảo cho các file khả thi không thể chạy trực tiếp từ các ổ đĩa ngoài F:, G:, H:, I:. Sau đó thực hiện khởi động lại máy tính để thực hiện cập nhật chính sách bảo mật.
.png)
Hình 16. Thêm các ổ đĩa USB vào Additional Rules của SRP
Giao diện chương trình SafedUSB
SafedUSB là chương trình tạo USB an toàn trên Windows thực hiện tự động hoá giải pháp được nêu trong mục 2.1 và 2.2 đã nêu trên. Chương trình có giao diện đơn giản, dễ sử dụng với đầy đủ các tính năng như: định dạng NTFS, phân quyền truy cập thư mục tệp tin trên ổ đĩa cho người dùng, mã hoá BitLocker, thiết lập chính sách nhóm (group policy), chính sách bảo mật (Security Policy),… nhằm đơn giản hóa thao tác cho người sử dụng.
Chương trình tạo USB an toàn trên Windows có giao diện như Hình 17 với các thành phần chính như sau:
- Thanh tiêu đề;
- Các tùy chọn: Lựa chọn ổ đĩa; đặt nhãn USB;
- Các tùy chọn phân quyền Ổ đĩa và các Thư mục;
- Tùy chọn mã hóa;
- Các nút chức năng.
Chức năng chính của SafedUSB:
Hai chức năng chính tạo và bảo vệ USB an toàn:
- Phòng chống mã độc lây nhiễm vào USB.
- Mã hóa bảo vệ dữ liệu được lưu trữ trên USB.
Hình 17. Giao diện chương trình tạo USB an toàn
Bài viết này đã đưa ra một giải pháp khá đơn giản và hiệu quả trong việc sử dụng USB Flash an toàn trên Hệ điều hành Windows bằng cách áp dụng một số tính năng có sẵn của Windows như: định dạng NTFS, phân quyền truy cập thư mục tệp tin trên ổ đĩa cho người dùng, mã hoá BitLocker, thiết lập chính sách nhóm (Group Policy), chính sách bảo mật (Security Policy). Trên cơ sở đó, nhóm tác giả bài viết đã xây dựng một công cụ nhỏ gọn SafedUSB tạo USB an toàn có hai chức năng chính là phòng chống lây nhiễm mã độc vào USB và mã hoá bảo vệ dữ liệu được lưu trữ trên USB. Công cụ SafedUSB có thể chạy trên các phiên bản Windows được sử dụng phổ biến hiện nay (Windows 7/8/8.1/10). Độc giả có thể tải phần mềm SafedUSB thông qua đường link để sử dụng.
Trần Ngọc Anh
13:00 | 14/09/2021
07:00 | 06/12/2021
08:00 | 13/12/2021
11:00 | 29/07/2021
09:00 | 20/08/2021
08:00 | 06/11/2023
Khi 5G ngày càng phổ biến và được nhiều doanh nghiệp sử dụng cho truyền tải không dây, một câu hỏi quan trọng được đặt ra đó là: “Ai chịu trách nhiệm đảm bảo bảo mật cho 5G?”. Việc triển khai 5G bảo mật bao gồm nhiều khía cạnh và trách nhiệm, nó sẽ là trách nhiệm chung của cả các nhà cung cấp dịch vụ và các doanh nghiệp triển khai.
15:00 | 03/09/2023
Để bảo vệ thông tin dữ liệu được an toàn và tránh bị truy cập trái phép, mã hóa là một trong những cách thức hiệu quả nhất đảm bảo dữ liệu không thể đọc/ghi được, ngay cả trong trường hợp bị xâm phạm. Trong số 1 (065) 2022 của Tạp chí An toàn thông tin đã hướng dẫn về cách mã hóa ổ đĩa cứng sử dụng Bitlocker. Tuy nhiên, với người dùng phiên bản Windows 10 Home thì giải pháp này lại không được hỗ trợ. Bài viết sau sẽ giới thiệu đến độc giả VeraCrypt, một công cụ mã hóa miễn phí đa nền tảng với khả năng hỗ trợ nhiều thuật toán mật mã và hàm băm, cho phép người dùng mã hóa các tệp tin, phân vùng hệ thống và tạo ổ đĩa ảo mã hóa với tùy chọn phù hợp.
13:00 | 30/05/2023
Mặc dù mạng 5G sẽ mang lại nhiều lợi ích cho xã hội và người dân, nhưng 5G cũng làm tăng thêm những rủi ro mới. Bảo mật 5G là vấn đề chung mà thế giới đang phải đối mặt, do đó cần tăng cường nghiên cứu, học hỏi kinh nghiệm của các nước để làm phong phú hơn kịch bản ứng phó của quốc gia mình.
09:00 | 23/05/2023
Cookie của trình duyệt đôi khi bị hỏng và không hoạt động như mong đợi, khiến các trang web tải không chính xác và thậm chí có thể bị lỗi. Khi điều này xảy ra, người dùng có thể khắc phục sự cố bằng cách xóa tất cả cookie ở mọi nơi, tất cả cùng một lúc hoặc có thể xóa cookie được liên kết với một trang web cụ thể. Đối với Microsoft Edge, việc xóa các cookie cụ thể yêu cầu phải đi sâu vào menu cài đặt (Settings).
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
Dựa trên công bố của công ty quản lý định danh và truy cập Okta (Mỹ) vào ngày 20/10/2023 liên quan đến một vi phạm bảo mật gần đây, các nhà nghiên cứu đã xác định rằng các tác nhân đe dọa đã giành được quyền truy cập thành công vào hệ thống hỗ trợ khách hàng của Okta, kẻ tấn công có thể xem các tệp tải lên (upload) liên quan đến các trường hợp hỗ trợ mới bằng mã thông báo phiên hợp lệ, các tác nhân đe dọa sau đó đã có được quyền truy cập vào hệ thống của khách hàng. Trong bài viết này sẽ mô tả tác động của các hành vi vi phạm của nhà cung cấp danh tính (IdP) và cách các tổ chức có thể tự chủ động bảo vệ mình trước các cuộc tấn công này.
16:00 | 14/11/2023
Các cuộc chiến tranh giành lãnh địa trên không gian mạng trong tương lai sẽ xuất hiện và gia tăng giữa các nhóm tội phạm mạng khi nhiều đối thủ tập trung vào cùng một mục tiêu. Vừa qua Fortinet đã công bố Báo cáo Dự báo về các mối đe dọa an ninh mạng năm 2024 từ đội ngũ nghiên cứu FortiGuard Labs đưa ra những tác động của AI tới mô hình chiến tranh mạng, đồng thời nhấn mạnh xu hướng các mối đe dọa mới nổi có thể định hình bối cảnh chuyển đổi số trong năm tới và những năm sau.
09:00 | 06/12/2023
