Chia sẻ file an toàn Rất ít dịch vụ mạng được kích hoạt mặc định trên các máy Mac.. Việc thiết lập ra các máy chủ tập trung cho phép tận dụng được ưu thế của các nhóm, các chính sách và
Trang 1Bảo mật các dịch vụ
mạng Mac
Trang 2Quản trị mạng – Mac, với những ưu thế vượt trội nhờ xây dựng trên nền tảng UNIX, là một hệ thống an toàn hơn Windows Rất nhiều virus, spyware, malware và các lỗ hổng
mạng gây ra "bệnh dịch" cho các máy tính Windows đều tỏ ra bất lực trước Mac, tuy nhiên điều đó không có nghĩa là Mac không can dự vì đến các mối de dọa này Đây là một số cách thực hiện để bảo vệ cho Mac được an toàn bên trong các môi trường doanh nghiệp
Chia sẻ file an toàn
Rất ít dịch vụ mạng được kích hoạt mặc định trên các máy Mac
Những dịch vụ được kích hoạt tự động thường được yêu cầu cho việc kết nối mạng Điều đó có nghĩa rằng các hệ thống Mac đáp trả một số ít các yêu cầu đến từ các máy tính bên ngoài, điều này giúp nó tăng được sự bảo mật
Khi các quản trị viên doanh nghiệp triển khai các máy Mac,
Trang 3các file cần được chia sẻ từ một số máy chủ tập trung nào đó Việc thiết lập ra các máy chủ tập trung cho phép tận dụng được
ưu thế của các nhóm, các chính sách và các phương pháp
truyền thống khác để bảo vệ sự truy cập file trong mạng được
an toàn
Trong các trường hợp mà ở đó các file cần được chia sẻ từ các máy Mac riêng lẻ, dù sử dụng AFP, FTP hay SMB, bạn cần phải cấu hình các hệ thống để yêu cầu thẩm định người dùng Anonymous FTP mặc định bị vô hiệu hóa trên các máy Mac; bạn không nên đảo ngược thiết lập này Thêm vào đó sự truy cập khách cũng nên được vô hiệu hóa từ bên trong các
Account preference
Cần nhớ rằng, khi tính năng chia sẻ file được kích hoạt, người
dùng quản trị có thể mount (gắn) từ xa bất cứ phân vùng hoặc
ổ đĩa nào và cả người dùng quản trị và người dùng chuẩn đều
có thể truy cập các thư mục ở nhà của họ từ xa Các thư mục công sẽ tự động được chia sẻ khi có người dùng quản trị hoặc
Trang 4chuẩn mới được thêm vào
Trừ khi có một lý do thuyết phụ nào đó, bằng không các quản trị viên doanh nghiệp nên vô hiệu hóa các thiết lập mặc định
này bên trong Sharing preferences hoặc cửa sổ Get
Info của Finder để tăng độ bảo mật Tùy chỉnh việc chia sẻ
file thông qua cửa sổ Finder bên trong vùng Sharing &
Permissions của nó, cho phép tinh chỉnh bổ sung bất cứ chia
sẻ file nào được kích hoạt trên Mac
Chia sẻ màn hình an toàn
Các máy Mac gồm có các tính năng chia sẻ màn hình được thiết kế để hỗ trợ cho việc khắc phục sự cố các máy khách từ
xa Tính năng này sử dụng một hình thức mã hóa của giao thức Virtual Network Computing (VNC) Vì tính năng sẽ kích hoạt việc xem và điều khiển từ xa máy Mac, do đó bạn cần quan tâm để bảo đảm vấn đề bảo mật mạng Dịch vụ, khi được kích hoạt bên trong giao diện System Preferences Sharing, sẽ lắng nghe lưu lượng UDP và TCP trên cổng 5900
Trang 5Khi kích hoạt tính năng chia sẻ màn hình, hoặc khi các quản trị viên doanh nghiệp mua các đăng ký quản lý từ xa Apple
Remote Desktop (ARD), dịch vụ sẽ được kích hoạt Mặc định, tất cả người dùng không phải là khách đều được phép truy cập vào dịch vụ Do đó tốt nhất là các bạn nên hạn chế các điều khoản chia sẻ, sau đó chỉ cho phép trên các hệ thống mà ở đó bắt buộc tính năng này (nên vô hiệu hóa nó trên các hệ thống khi có thể để thắt chặt hơn vấn đề bảo mật) Khi dịch vụ cần phải được kích hoạt, quản trị viên cần chỉ rõ người dùng nào sẽ được phép truy cập tính năng chia sẻ màn hình
Bên trong giao diện Screen Sharing, chọn nút Allow
Access For để hạn chế sự truy cập chia sẻ màn hình với một số
người dùng có trong danh sách của bạn Liệt ra những tài
khoản người dùng nào xác thực có thể thực hiện các hoạt động
hỗ trợ và quản lý từ xa
Mac firewall
Nhiều quản trị viên doanh nghiệp triển khai các tường lửa
Trang 6vững chắc ở vành đai mạng Mặc dù vậy các router phần cứng bảo vệ các mạng bên trong không hết sức dễ dùng tí nào Khi bước đầu tiên được yêu cầu, chúng chỉ bảo vệ các hệ thống phía bên kia sau tường ở mức độ vừa phải, cũng không có tường lửa gateway bảo vệ hệ thống máy khách khi hệ thống đó hoạt động bên ngoài bởi các nhân viên lưu động Đó là lý do tại sao các quản trị viên doanh nghiệp nên xem xét việc phát huy ưu thế của tường lửa ứng dụng của Mac
Tường lửa ứng dụng cá nhân của Mac OS X Snow Leopard có thể phát huy ưu thế các rule và cho phép/vô hiệu hóa “động” lưu lượng để bảo vệ các dịch vụ mạng tốt hơn Nó cho phép các kết nối mạng dựa trên các yêu cầu dịch vụ và ứng dụng, không cứ các cổng tĩnh chuẩn, vì vậy bảo vệ tốt hơn các hệ thống di động so với các thiết bị phần cứng không phải lúc nào cũng có mặt Vì tường lửa hoạt động “động”, do đó nó sẽ cải thiện được vấn đề bảo mật
Xem xét thêm chương trình IM Khi người dùng đăng nhập và
Trang 7iChat được mở, tường lửa ứng dụng cá nhân sẽ cho phép các cổng cần thiết cho hoạt động của ứng dụng Tuy nhiên khi họ đóng ứng dụng (hoặc các dịch vụ khác, khi đăng xuất), tường lửa Mac sẽ đóng các cổng đó, vì vậy sẽ thắt chặt vấn đề bảo mật
Tường lửa của Mac được kích hoạt từ bên trong giao diện
System Preferences Security Kích tab Firewall sẽ mở giao
diện tường lửa Việc ghi chép luôn được kích hoạt Các thông tin ghi lại sẽ được lưu bên trong file
/private/var/log/appfirewall.log Ngoài ra, tường lửa có thể
được tùy chỉnh Sử dụng nút Advanced, bạn có thể kiểm tra
các dịch vụ tích cực và điều chỉnh các dịch vụ nào đó