Nghiên cứu và triển khai công nghệ bảo vệ người dùng cuối dựa trên sản phẩm endpoint security platform của trend micro

Nghiên cứu và triển khai công nghệ bảo vệ người dùng cuối dựa trên sản phẩm endpoint security platform của trend micro

MỤC LỤC 1

DANH MỤC CÁC KÝ TỰ, CÁC CHỮ VIẾT TẮT 3

DANH MỤC HÌNH ẢNH 5

LỜI MỞ ĐẦU 9

CHƯƠNG I CÁC NGUY CƠ ĐE DỌA NGƯỜI SỬ DỤNG MÁY TÍNH VÀ VẤN ĐỀ QUẢN LÝ NGƯỜI DÙNG CỦA CÁC DOANH NGHIỆP 11

I C ÁC MỐI ĐE DỌA ĐỐI VỚI NGƯỜI SỬ DỤNG MÁY TÍNH 11

I.1 Nguy cơ về lỗ hổng hệ điều hành và ứng dụng 11

I.1.1 Lỗ hổng hệ điều hành 11

I.1.2 Lỗ hổng ứng dụng 11

I.2 Nguy cơ bị tấn công bởi các phần mềm mã độc hại 12

I.3 Nguy cơ về rò rỉ dữ liệu 13

I.4 Các mối đe dọa khi truy cập Web 14

II V ẤN ĐỀ CỦA CÁC DOANH NGHIỆP KHI QUẢN LÝ NGƯỜI DÙNG TRONG MẠNG 15

II.1 Quản lý người dùng máy tính sai mục đích 15

II.2 Hao phí điện năng và tổn hao thiết bị 15

II.3 Phức tạp trong triển khai các chính sách và giải pháp công nghệ thông tin 16

II.4 Quản lý toàn bộ hệ thống mạng và đảm bảo tính ổn định trong toàn mạng 16

CHƯƠNG II CÔNG NGHỆ BẢO VỆ NGƯỜI DÙNG CUỐI ENDPOINT SECURITY PLATFORM CỦA TREND MICRO VÀ TRIỂN KHAI BỘ SẢN PHẨM NÀY ĐỂ BẢO VỆ NGƯỜI DÙNG CUỐI 18

I G IỚI THIỆU CHUNG VỀ T REND M ICRO 18

I.1 Trend Micro Incorporated 18

I.2 Trend Micro và Big Fix 19

II C ÔNG NGHỆ BẢO VỆ NGƯỜI DÙNG CUỐI E NDPOINT S ECURITY P LATFORM CỦA T REND M ICRO 19 II.1 Endpoint Security Platform 20

II.1.1 Fixlet messages 24

II.1.2 Tasks 28

II.1.3 Baselines 28

II.1.4 Actions 29

II.1.5 Computers 30

II.1.6 Computer Group 31

II.1.7 Analyses 31

II.1.8 Console Operators 32

II.2 Patch management Module 34

II.2.1 Cung cấp bản vá cho hệ điều hành và ứng dụng 35

II.2.2.1 Triển khai các gói phần mềm 38

II.2.2.2 Thay đổi giá trị registry trong hệ điều hành Windows 40

II.2.3 Theo dõi ứng dụng chạy trong mạng 41

II.3 Power Management Module 43

II.4 Web Protection Module 46

II.5 Core Protection Module 50

II.5.1 Anti Malware 51

II.5.1.1 Công cụ quét làm việc như thế nào 51

II.5.1.2 Cập nhật công cụ quét 52

II.5.1.3 Damage Cleanup Service 53

II.5.1.4 GeneriClean 53

II.5.1.5 Các chế độ quét 53

II.5.2 Web Reputation 54

II.5.3 Commom Firewall 56

II.6 Data Leak Prevention Module 60

II.6.1 Xác định dữ liệu nhạy cảm 62

II.6.1.1 Fingerprints 63

II.6.1.2 Keywords 64

II.6.1.3 Patterns 66

II.6.1.4 File Attributes 67

II.6.2 Tạo một bản mẫu 68

II.6.3 Xây dựng và áp dụng chính sách 69

II.6.4 Data Discovery và Device Control 73

III T RIỂN KHAI E NDPOINT S ECURITY P LATFORM 75

III.1 Các thành phần của ESP 75

III.1.1 ESP Server 75

III.1.2 ESP Agent 76

III.1.3 ESP Relay 77

III.1.4 ESP Console 78

III.1.5 Web Reports 79

III.2 Các mô hình triển khai Endpoint Security Platform 80

III.2.1 Triển khai Single Server 80

III.2.2 Triển khai Multiple Server 82

III.2.3 Triển khai các thành phần ESP 84

III.2.3.1 Cài đặt Server 84

III.2.3.2 Triển khai ESP Agent 86

III.2.3.3 Triển khai ESP Relay 88

KẾT LUẬN 89

TÀI LIỆU THAM KHẢO: 91

DANH MỤC CÁC KÝ TỰ, CÁC CHỮ VIẾT TẮT

ESP là Endpoint Security Platform là sản phẩm bảo vệ người dùng cuối

của Trend Micro

CPM là Core Protection Module là một thành phần trong bộ sản phẩm

Endpoint Security Platform của Trend Micro

DLP là Data Lose Prevention là một thành phần trong bộ sản phẩm

Endpoint Security Platform của Trend Micro

WSUS là Windows Server Update Service là một máy chủ dịch vụ

cung cấp các bản cập nhật, bản vá của hãng Microsoft

MSXML là Microsoft XML Core Services là một dịch vụ ứng dụng

của Microsoft cho phép chạy các ứng dụng sử dụng JScript, VBScript

ESP Server là một thành phần trong triển khai Endpoint Security

Platform dữ vai trò trọng tâm sử lý dữ liệu

ESP Relay là một thành phần trong triển khai Endpoint Security

Platform dữ vai trò chuyển tiếp dữ liệu giữa các thành phần Agent và Server

ESP Agent là một thành phần trong triển khai Endpoint Security

Platform được cài đặt trực tiếp trên các máy trong mạng nhằm bảo vệ ngườidùng

ESP Console là công cụ để người quản trị có thể đưa ra các lênh để cấu

hình, điều khiển hệ thống Endpoint Security Platform

Web Report là công cụ hiển thị các báo cáo và thống kê lại các báo

cáo này để người quản trị dễ dàng theo dõi tình hình an ninh hệ thống

VPN là Virtual private network là công nghệ mạng riêng ảo để bảo vệ

dữ liệu người dùng trong mạng internet sử dụng phương pháp mã hóa dữ liệutruyền đi

DMZ là Demilitarized zone chỉ một vùng mạng phi quân sự người

dùng trong mạng hay ngoài mạng có thể truy cập vào vùng này

một dòng firewall của checkpoint bảo vệ mạng trên gateway với nhiều ứngdụng được tích hợp

DSA là Distributed Server Architecture chỉ một kiểu kiến trúc trong

triển khai hệ thống sử dụng nhiều server để nâng cao hiệu quả cũng như cácdịch vụ đi kèm như Failover và Failback

Failover là chỉ khả năng tự động chuyển hướng kết nối khi một thành

phần trong mạng không hoạt động

Failback là chỉ khả năng tự động thiết lập lại kết nối sau khi sự cố

LAN là Local Area Network dùng để chỉ mạng nội bộ.

Fixlet là một công nghệ của BigFix mang thông tin về các lỗ hổng hệ

điều hành và thông tin bản vá, cập nhật

RAM là Random-access memory là bộ nhớ truy cập ngẫu nhiên nó là

bộ nhớ chính của máy

HÌNH 1: LỊCH SỬ PHÁT TRIỂN SẢN PHẨM CỦA TREND

MICRO 19

HÌNH 2: GIAO DIỆN QUẢN LÝ ESP CONSOLE 22

HÌNH 3: HIỂN THỊ RÕ RÀNG THÔNG TIN TỪNG CLIENT 23

HÌNH 4: CÁC TAB TRONG ESP CONSOLE 23

HÌNH 5: CỬA SỔ HIỂN THỊ NỘI DUNG CHÍNH 24

HÌNH 6: MỘT LỖ HỔNG BẢO MẬT CỦA MICROSOFT 25

HÌNH 7: THÔNG TIN VỀ FIXLET 25

HÌNH 8: CÁC RELEVANT CỦA FIXLET 26

HÌNH 9: HÀNH ĐỘNG ĐƯỢC FIXLET ĐƯA RA 27

HÌNH 10: HIỂN THỊ RÕ RÀNG CÁC MÁY CẦN CẬP NHẬT BẢN VÁ 27

HÌNH 11: NỘI DỤNG MỘT TASK 28

HÌNH 12: BASELINES 29

HÌNH 13: ACTION 30

HÌNH 14: COMPUTERS 30

HÌNH 15: COMPUTER GROUP 31

HÌNH 16: ANALYSES 32

HÌNH 17: CONSOLE OPERATORS 32

HÌNH 18: MANAGE SITES 33

HÌNH 19: ADD MỘT SITE MỚI TRONG ESP 33

HÌNH 20: ÁP DỤNG THÊM MỘT SITE TRONG ESP 34

HÌNH 21: THÔNG TIN CỦA MASTHEAD FILE 34

HÌNH 23: TRIỂN KHAI MỘT FIXLET “TAKE ACTION” 36

HÌNH 24: TAB EXECUTION 37

HÌNH 25: PATCH MANAGEMENT OVERVIEW 38

HÌNH 26: SOFTWARE DISTRIBUTION WIZARD FOR WINDOWS 39

HÌNH 27: CÔNG CỤ TRIỂN KHAI CÁC ỨNG DỤNG CHO RED HAT LINUX 39

HÌNH 28: SỬA ĐỔI REGISTRY TRONG WINDOWS 40

HÌNH 29: LỰA CHỌN HÀNH ĐỘNG 41

HÌNH 30: APPLICATION TRACKING 42

HÌNH 31:DỄ DÀNG LỰA CHỌN CÁC ỨNG DỤNG MỚI 42

HÌNH 32: POWER PROFILE WIZARD 43

HÌNH 33: HIỂN THỊ NĂNG LƯỢNG TIÊU THỤ VÀ NĂNG LƯỢNG TIẾT KIỆM ĐƯỢC 44

HÌNH 34: CARD MẠNG HỖ TRỢ WAKE-ON-LAN BÊN PHẢI 44 HÌNH 35: SƠ ĐỒ TIÊU THỤ ĐIỆN NĂNG 45

HÌNH 36: WAKE ON WEB 46

HÌNH 37: WEB PROTECTION BLOCK HVAONLINE.NET 47

HÌNH 38: QUÁ TRÌNH ĐÁNH GIÁ MỘT WEB SITE 47

HÌNH 39: VÍ DỤ VỀ ĐIỂM CỦA MỘT WEB SITE 48

HÌNH 40: BÁO CÁO CỦA WPM 49

HÌNH 41: TẠO DANH SÁCH BLACK/WHITE LIST 49

HÌNH 42: GIAO DIỆN ĐIỀU KIỂN CỦA CPM 50

HÌNH 44: REAL-TIME SCAN 54

HÌNH 45: CPM CẢNH BÁO WEB NGUY HIỂM 55

HÌNH 46: THÊM VÀO CÁC TRANG WEB KHÔNG ĐƯỢC PHÉP TRUY CẬP 55

HÌNH 46: WEB REPUTATION TRONG CPM 56

HÌNH 47: TẠO MỘT LUẬT MỚI TRONG COMMOM FIREWALL 57

HÌNH 48: TẠO MỚI MỘT CHÍNH SÁCH 57

HÌNH 49: TẠO MỘT TASK POLICY 58

HÌNH 50: BIỂU ĐỒ THÔNG BÁO LƯỢNG TRUY CẬP VÀO CÁC CỔNG CỦA FIREWALL 59

HÌNH 51: CÁC BƯỚC THỰC HIỆN BẢO VỆ DỮ LIỆU 62

HÌNH 52: GIAO DIỆN TẠO MỘT DẤU VÂN TAY 63

HÌNH 53: TẠO MỚI MỘT BẢN KIỂM KÊ DẤU VÂN TAY 64

HÌNH 54: KẾT QUẢ SAU KHI ACQUIRED 64

HÌNH 55: KEYWORD 65

HÌNH 56: CÁC TỪ LIÊN QUAN ĐẾN TÊN TÀI KHOẢN 65

HÌNH 57: CÁC PATTERN ĐƯỢC ĐỊNH NGHĨA TRƯỚC 66

HÌNH 58: CÁCH TẠO MỘT PATTERM 66

HÌNH 59: XÁC ĐỊNH DỮ LIỆU NHẠY CẢM BẰNG FILE ATTRIBUTES 68

HÌNH 60: VÍ DỤ VỀ MỘT BẢN MẪU 68

HÌNH 61: COMPANY POLICIES 69

HÌNH 63: CHỌN KÊNH MÀ DLP SẼ QUÉT 70

HÌNH 64: CONDITIONS 70

HÌNH 65: ĐƯA RA HÀNH ĐỘNG CHO CHÍNH SÁCH 71

HÌNH 66: ĐƯA RA LỜI GIẢI THÍCH CHO HÀNH ĐỘNG 72

HÌNH 67: BẢN GHI LOG CỦA DLP 72

HÌNH 68: DEVICE CONTROL 73

HÌNH 69: LỰA CHỌN CÁC THIẾT BỊ CÓ THỂ ĐƯỢC SỬ DỤNG 73

HÌNH 70: DOWNLOAD TRỰC TIẾP CÔNG CỤ TRÊN WEB CONSOLE 74

HÌNH 71: MỘT LỜI NHẮC TỪ ESP 77

HÌNH 72: WEB REPORT 79

HÌNH 73: SINGLE SERVER 81

HÌNH 74: MÔ HÌNH SINGLE SERVER THƯỜNG ĐƯỢC TRIỂN KHAI 81

HÌNH 75: DISTRIBUTED SERVER ARCHITECTURE 82

HÌNH 76: DSA FAILOVER 83

HÌNH 77: BẮT ĐẦU CÀI ĐẶT ESP 84

HÌNH 78: LỰA CHỌN KIỂU CÀI ĐẶT 85

HÌNH 79: LICENSE AGREEMENT 85

HÌNH 80: SETUP TYPE 86

HÌNH 81: SERVER IDENTIFICATION 86

HÌNH 82: TRIỂN KHAI AGENT 87

HÌNH 84: ĐIỀN IP HAY DẢI IP CLIENT 88

Nhờ sự phát triển vô cùng mạnh mẽ của cuộc cách mạng công nghệthông tin và sự bùng nổ mạng Internet toàn cầu, giờ đây nguồn tài nguyênthông tin từ mọi nơi trên thế giới đã càng ngày càng trở nên gắn bó mật thiết,chặt chẽ Đồng thời, hệ thống mạng nói chung và Internet nói riêng vô hìnhdung đã giữ vai trò như một hệ thần kinh, liên quan đến mọi yếu tố, mọi thànhphần trong đời sống xã hội, là một trong ba nhân tố chính quyết định đến đờisống hàng ngày của con người.

Ngoài ra, mạng và Internet cũng là một phần không thể thiếu đối vớicác cơ quan, doanh nghiệp Sự phát triển nhanh chóng của công nghệ thôngtin giúp cho các doanh nghiệp tăng thêm được lợi nhuận và giảm bớt các chiphí Các ứng dụng tài chính, chứng khoán ngày càng nhiều và con người cũngđang dần phụ thuộc vào chúng nhiều hơn; số lượng tài khoản mật khẩu cầnphải nhớ ngày một tăng; số lượng thẻ tín dụng, thẻ thông minh ngày càngnhiều khiến người dùng không thể nào nhớ được và họ chọn giải pháp lưutrên máy tính hoặc trên điện thoại

Thông thường trong một hệ thống mạng thì số lượng máy trạm lúc nàocũng nhiều hơn số lượng máy chủ và đây cũng là đối tượng ít được các tổchức, doanh nghiệp quan tâm nhất Nó có thể trở thành hiểm họa đối với tổchức đó nếu như nó tiếp tục không được quan tâm bởi vì trên các máy nàymới là nơi lưu trữ nhiều dữ liệu nhạy cảm mà chúng ta cần bảo vệ Chính vìvậy vấn đề bảo vệ các thiết bị, người dùng cuối cũng cần phải được tổ chức,

cá nhân quan tâm hơn và việc xuất hiện ngày càng tinh vi các mối đe dọanghiêm trọng làm tổn hại đến người dùng đang đưa ra một nhu cầu cấp thiết

về việc bảo vệ người dùng cuối một cách toàn diện Xuất phát từ lý do đó em

chọn đề tài "Nghiên cứu và triển khai công nghệ bảo vệ người dùng cuối

dựa trên sản phẩm Endpoint Security Platform của Trend Micro" cho đồ

án tốt nghiệp của mình

Chương I: Các nguy cơ đe dọa người sử dụng máy tính và các vấn đềcủa doanh nghiệp trong quản lý người dùng: bao gồm tổng quan về các nguy

cơ đe dọa đến an ninh an toàn đối với người sử dụng máy tính hiện nay và cácvấn đề mà doanh nghiệp, tổ chức gặp phải trong quản lý người dùng của họ

Chương II: Giới thiệu về Trend Micro và các giải pháp, công nghệ của

họ nhằm nỗ lực bảo vệ toàn diện người dùng Giới thiệu kỹ thuật, chức năngtừng thành phần của bộ sản phẩm Endpoint Security Platform phân tích khảnăng bảo vệ của nó trong bối cảnh công nghệ thông tin ngày nay.Triển khaisản phẩm này đến người dùng cuối và việc quản lý sản phẩm này một cách tốtnhất

Em xin chân thành bày tỏ lòng cảm ơn sâu sắc đến Thạc Sỹ Bùi QuangPhúc và Giảng viên Trần Thị Lượng đã nhiệt tình giúp đỡ em trong quá trìnhhoàn thành bản đồ án này

CHƯƠNG I CÁC NGUY CƠ ĐE DỌA NGƯỜI SỬ DỤNG MÁY TÍNH VÀ VẤN ĐỀ QUẢN LÝ NGƯỜI DÙNG CỦA

CÁC DOANH NGHIỆP

I Các mối đe dọa đối với người sử dụng máy tính

I.1 Nguy cơ về lỗ hổng hệ điều hành và ứng dụng

Ví dụ như các lỗi hổng mang mã số MS00-078 được phát hiện vàongày 17/10/2000 Với lỗ hổng mang mã MS00-078 này bất kỳ một cá nhânnào cũng có thể dễ dàng chiếm quyền kiểm soát máy chủ của Microsoft chỉbằng một vài dòng lệnh đơn giản

Hay như lỗ hổng mang mã MS03-026 được người viết sâu Blaster khaithác tấn công vào, sâu Blaster lây lan rất nhanh gây ra hiện tượng restat vàshutdown liên tục

I.1.2 Lỗ hổng ứng dụng

Không chỉ có Hệ Điều Hành mới có lỗ hổng mà ngay cả các ứng dụngcũng có lỗ hổng,chúng là mục tiêu để malware và hacker khai thác Các lỗhổng này tồn tại rất nhiều ở gần như tất cả các phần mềm Có thể kể đến như

lỗ hổng bảo mật trong Internet Explorer 7 và Windows Vista, lỗ hổng nàyđược các chuyên gia bảo mật cảnh báo rằng có thể cho phép kẻ tấn công cóđược những thông tin người dùng bí mật Hay như lỗ hổng trên trình duyệtSafari của Apple có thể gây ra những hậu quả "tàn khốc" cho người dùngWindows, lỗ hổng này cho phép kẻ tấn công "thả" hàng loạt file exe lên máytính của nạn nhân

Như vậy người sử dụng tiềm ẩn rất nhiều nguy cơ về mất an toàn bởicác lỗ hổng của hệ điều hành và ứng dụng Các nhà phát hành hệ điều hànhhay ứng dụng luôn tìm cách đưa ra các bản vá sớm nhất đối với các lỗ hổngđược phát hiện để bảo vệ người dùng

I.2 Nguy cơ bị tấn công bởi các phần mềm mã độc hại

Có thể nói Malware như một nạn dịch tràn lan và không loại trừ mộtđối tượng sử dụng máy tính nào, ngày nay nguy cơ lớn nhất mà người sửdụng máy tính phải đối mặt đấy là malware chúng chui qua các lỗ hổng của

hệ điều hành và ứng dụng hay sơ xuất của người sử dụng với các thiết bị lưutrữ di động , từ các trang web hay email với mục đích lấy cắp, tàn phá dữ liệu,

mở cổng hậu cho hacker vv Chúng ta nên biết về khái niệm Malware và cácloại malware

Malware hay còn gọi mà “mã độc hại” hay “phần mềm độc hại” dùng

để chỉ một chương trình được cài vào một hệ thống với mục đích làm tổn hạiđến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của dữ liệu, hay các ứngdụng hoặc hệ điều hành

Malware bao gồm: virus, worm, trojan, malicious mobile code, blended

attacks, tracking cookie Ngoài ra, malware còn có các attack tools nhưbackdoor, rootkit, keystroke logger…

Thiệt hai mà các phần mềm mã độc hại gây ra là những con số khủngkhiếp có thể kể đến một vài Malware đáng sợ nhất như là:

Virus macro Melissa (1999) đã lây nhiễm ở mức độ toàn cầu Cácthông kê cho thấy loại virus dạng kịch bản macro trong Word này đã lâynhiễm vào 15/20 chiếc máy tính doanh nghiệp trên toàn cầu Melissa phát tánnhanh đến nối Intel, Microsoft và một số hãng phần mềm khác sử dụngOutlook đã buộc phải đóng toàn bộ hệ thống e-mail để hạn chế thiệt hại

Virus ILOVEYOU (2000) ghi đè các tệp tin nhạc, ảnh và một số địnhdạng khác với bản copy của chính nó Nguy hiểm hơn, virus còn tìm kiếm tên

và mật khẩu người dùng và gửi chúng tới e-mail tác giả Thiệt hại do virusnày gây ra ước tính khoảng 10-15 triệu USD.

Sâu MyDoom (2004) Làm cho mạng Internet toàn cầu chậm mất 10%;tăng thời gian tải xuống (load) trang web lên 50% Khả năng nhân bản củaMyDoom hiệu quả đến nỗi các hãng bảo mật thống kê rằng cứ mỗi 10 e-mailđược gửi đi có một e-mail "dính" sâu MyDoom được lập trình ngừng hoạtđộng vào ngày 12/2/2004

Vậy làm thế nào để các phần mềm mã độc hại lại xâm nhập vào đượctrong máy của chúng ta?

Có rất nhiều con đường để malware có thể xâm nhập vào như:

Chúng chui vào từ các lỗ hổng hệ điều hành và ứng dụng

Chúng có thể được mang đến bởi các thiếu bị lưu trữ di động như USB,

ổ cứng di động , đĩa mềm…

Chúng cũng có thể lây từ trên mạng internet thông qua các trang Webnguy hiểm hay những email lạ

Hay bị tấn công từ các máy bị nhiễm trong cùng một mạng

Những tập tin đính kèm, sự tò mò, v v việc lây nhiễm có thể xảy ra bất

cứ lúc nào đối với người sử dụng internet

I.3 Nguy cơ về rò rỉ dữ liệu

Nhiều tổ chức tập trung vào việc bảo vệ chống lại các tấn công bênngoài nhưng lại bỏ qua những hiểm họa thậm chí còn nguy hiểm hơn nhiều:mất cắp dữ liệu bởi ai đó bên trong công ty Đây là một góc nhìn quan trọngcần phải đề cập đến trong vấn đề bảo mật

Các hacker tấn công “bắn hạ” mạng thường nhận được rất nhiều sựquan tâm, vì vậy các công ty cũng thường quan tâm đến việc bảo vệ chống lạinhững mối đe dọa này Tuy nhiên nếu tổ chức của chúng ta chỉ tập trung vàokiểu bảo mật này, việc đó tương tự với kiểu đặt tất cả cố gắng vào việc ngănchặn một kẻ mang bom tấn công vào công ty nhưng lại quên đi sự quan tâmđến kẻ trộm lẩn trốn ở cửa sau và “đánh cắp” đi tất cả những tài sản quý giá

Việc mất mát và rò rỉ dữ liệu lưu trữ có thể do nhiều nguyên nhânnhưng ở đây chúng ta chia ra làm 2 loại chính là:

- Bị cố ý xem trộm hay lấy cắp dữ liệu:

Bị nhiễm các phần mềm mã độc hại và chúng thực hiện lấy cắp thôngtin nhạy cảm gửi cho chủ nhân của chúng

Bị tấn công kiểm soát hệ thống và bị lấy cắp dữ liệu

Bị người trong tổ chức xâm nhập để lấy cắp dữ liệu

Bị mất dữ liệu do bị đánh cắp thiết bị lưu trữ như usb, ô cứng di động,hay laptop dẫn đến bị lộ thông tin nhạy cảm

- Bị rò rỉ dữ liệu do vô ý

Bị lộ thông tin do người sử dụng chung máy tính

Bị rò rỉ dữ liệu do cho mượn thiết bị lưu trữ di động

Bị rò rỉ dữ liệu do lơ đãng trong công việc( để máy không khóa khivắng mặt)

I.4 Các mối đe dọa khi truy cập Web

Việc sử dụng web site đem đến cho con người rất nhiều tiện ích song đicùng với nó cũng có không ít những nguy cơ về mất an toàn thông tin chongười sử dụng nó

Các nguy cơ đối với người truy cập web có thể kể đến như:

Nguy cơ bị lừa đảo lấy trộm thông tin cá nhân từ các trang web lừa đảo.Nguy cơ bị lây nhiễm các phần mềm mã độc hại

Nguy cơ về tha hóa đạo đức lối sống bởi các trang web đồi trụy

Nguy bị lôi kéo kích động bởi các trang web phản động nói xấu chínhquyền, tổ chức hay kích động bạo lực

Các nguy cơ trên mạng đến những tác hại không thể lường hết được cóthể làm ngừng trệ cả một hệ thống khi chỉ do một cú click chuột, hay tiền

trong tài khoản không cánh mà bay Cũng có thể bị ngồi tù chỉ do một đoạncomment và vv…

II Vấn đề của các doanh nghiệp khi quản lý người dùng trong mạng

II.1 Quản lý người dùng máy tính sai mục đích

Việc lãng phí sức lao động luôn làm các doang nghiệp quan tâm, việcnhân viên làm việc khác trong giờ làm việc sẽ dẫn đến tổn hao rất nhiều vềtiền bạc và cũng là nguyên nhân của nhiều vấn đề khác liên quan đến an toànthông tin

Trong giờ làm việc thì các nhân viên có thể đọc báo, nghe nhạc, xemphim hay chơi game có thể là nhiều thứ khác những việc này không nhữngảnh hưởng đến băng thông mạng mà còn đem đến các nguy cơ về virus từ cáctrang web hay các phần mềm crack, game mini … cũng có thể dùng firewall

có thể chặn được các hành động ra khỏi mạng không đúng mục đích trong giờlàm việc, nhưng lúc này sẽ nảy sinh một số người có thể tò mò tìm cách vượtfirewall dẫn đến sẽ sử dụng các phần mềm crack hoặc những tools hack nhưvậy tiềm ẩn rất nhiều nguy cơ mất an toàn từ bên trong Vậy chúng ta cầnphải quản lý nhân viên nhắc nhở họ, việc quản lý không hề đơn giản vì đa sốngười dùng cuối ở phân tán và khó định vị Vì vậy việc quản lý, nhắc nhởnhân viên sử dụng mạng internet và máy tính đúng mục đích gặp nhiều khókhăn Đây cũng là một vấn đề đáng quan tâm trong việc quản lý người dùngcuối

II.2 Hao phí điện năng và tổn hao thiết bị

Đối với các công ty làm việc chủ yếu ở văn phòng thì hầu như mỗingười đều có một máy tính riêng vì vậy lượng điện năng tiêu thụ rất là lớn vàviệc để thiết bị chạy liên tục cũng ảnh hưởng đến tuổi thọ của các thiết bị này,

vì vậy mà vấn để quản lý điện năng cũng như chế độ làm việc của các thiết bịcũng được nhiều Doanh nghiệp quan tâm Nếu người sử dụng không tắt máykhi hết giờ làm việc thì không những tốn điện năng và tuổi thọ thiết bị mà còn

dễ dẫn đến hỏng hóc thiết bị và mất mát dữ liệu

II.3 Phức tạp trong triển khai các chính sách và giải pháp công nghệ thông tin

Việc thực thi chính sách về công nghệ thông tin cho cả một hệ thốngmạng thực sự là một vấn đề khi mà hệ thống đó có đến hàng nghìn thậm trítrăm nghìn client Như vậy có một số vấn đề mà người quản lý đặt ra ở đây là

Làm sao để có thể dễ dàn áp dụng 1 chính sánh về công nghệ thông tinmột cách linh động nhất

Vì việc áp dụng chính sách trong từng vùng mạng là khác nhau vì vậycần phải có một cơ chế để việc áp dụng chính sách được dễ dàng, linh độngnhất

Làm sao để triển khai các gói phần mềm xuống dưới người dùng nhanh

có một chính sách tổng thể và phải được quản lý tập trung Có một vài vấn đềđược đặt ra cho phần mềm quản lý tâp trung như là: phần mềm đó có cho biếtnhững máy nào đã cập nhật bản vá không, nếu chưa cập nhật thì còn nhữngbản vá nào chưa được cập nhật hiển thị thông tin hệ thống và cho phép dễdàng thực thi các chính sách trên toàn bộ các máy cũng như từng máy tínhđơn lẻ việc cập nhật dữ liệu và thực thi các chính sách có ảnh hưởng đến

công việc của người sử dụng không, có thể đưa ra các cảnh báo hay hướngdẫn gì đến người dùng không ….

Như vậy việc quản lý tập trung không chỉ là anti virus, không chỉ là cậpnhật các bản vá hệ điều hành ứng dụng hay chống rò rỉ dữ liệu… mà việcquản lý ở đây cần có một phần mềm quản lý tất cả những thành phần để đảmbảo an toàn cho người dùng cuối

CHƯƠNG II CÔNG NGHỆ BẢO VỆ NGƯỜI DÙNG CUỐI ENDPOINT SECURITY PLATFORM CỦA TREND MICRO

VÀ TRIỂN KHAI BỘ SẢN PHẨM NÀY ĐỂ BẢO VỆ NGƯỜI

DÙNG CUỐI

I Giới thiệu chung về Trend Micro.

I.1 Trend Micro Incorporated

Trend Micro Incorporated – Tập đoàn hàng đầu trong lĩnh vực bảo mậtnội dung và ngăn ngừa các nguy cơ hệ thống Được thành lập vào năm 1988,tại Los Angeles bởi Steve Chang, Jenny Chang và Eva Chen, hiện có trụ sởchính đặt tại Tokyo và hoạt động tại hơn 30 quốc gia khác nhau, Trend Microchuyên phát triển, cung cấp, và hỗ trợ các giải pháp bảo mật đáp ứng các nhucầu cho người dùng cá nhân và các tổ chức

Để có thể ngăn ngừa kịp thời với sự phát triển của những nguy cơ đedọa hệ thống, ngành bảo mật nhất thiết phải có khả năng phát hiện ra nhữngđoạn mã độc hại có khả năng phá hủy hệ thống Trend Micro được thành lậpnhằm giúp khách hàng hoàn toàn yên tâm và tạo nên một thế giới an toàntrong việc trao đổi thông tin số Bằng cách đáp ứng các dòng sản phẩm bảomật đa dạng nhằm bảo vệ một cách toàn diện tránh các nguy cơ đe dọa hệthống, Trend Micro cung cấp khả năng lựa chọn chi phí ở mức thấp nhất choviệc quản lý giải pháp

Trend Micro cung cấp giải pháp bảo vệ đa tầng giúp việc theo dõi, ápđặt, ngăn chặn, cũng như phục hồi hệ thống khi xảy ra sự cố nhanh chóng và

dễ dàng và đặc biệt là tất cả đều được quản lý một cách đồng nhất Các giảipháp của Trend Micro bao gồm một loạt các chính sách, các ứng dụng cánhân dễ sử dụng cũng như cập nhật thông tin chi tiết về virus (spam, spyware,hacker) và các mối nguy hiểm Web khác Những sản phẩm tiêu biểu gắn liềnvới lịch sử phát triển của Trend Micro như: PC-cillin ™, ServerProtect ™,Interscan ™ VirusWall, Trend Micro Smart Protection Network vv…

Hình 1: Lịch sử phát triển sản phẩm của Trend MicroNgoài ra, Trend Micro còn được xem như là một nền tảng toàn cầu đểkhách hàng có thể cập nhật thông tin về các nguy cơ độc hại, dịch vụ, đồngthời hổ trợ nhằm giúp khách hàng tránh khỏi các nguy cơ tiềm ẩn.

I.2 Trend Micro và Big Fix

BigFix Incorporated được thành lập vào năm 1997, được coi là một nhàcung cấp hàng đầu về lĩnh vực high-performance và security management chodoanh nghiệp Các sản phẩm của BigFix nhanh hơn, dễ dàng mở rộng vàthích nghi hơn so với các phần mềm thế hệ trước Từ Hệ thống Quản lý Vòngđời, an ninh và quản lý lỗ hổng bảo mật để bảo vệ Endpoint Với một kháiniệm mới về quản lý bảo mật Endpoint đấy là “sự liên quan”(relevance)BigFix đã thành công trong các sản phẩm quản lý an ninh, cấu hình và lỗhổng bảo mật

Sự hợp tác giữa Trend Micro và BigFix cho ra những sản phẩm bảo vệngười dùng cuối ưu việt nhất, có thể kể đến như là Endpoint SecurityPlatform Đây là một bộ sản phẩm bảo vệ toàn diện người dùng cuối trong các

Các thành phần của ESP bao gồm:

Endpoint Security Platform

Patch Management Module

Power Management Module

Web Protection Module

Core Protection Module

Data Leak Prevention Module

II.1 Endpoint Security Platform

Trend Micro Endpoint Security Platform làm giảm tính phức tạp bằngcách phân phối sức mạnh tính toán đến các thiết bị đầu cuối, sử dụng mộtAgent thông minh cung cấp một mức độ hiển thị và kiểm soát trước đây chưa

có Công nghệ một máy chủ duy nhất, một Agent, giao diện điều khiển duynhất cung cấp một điểm kiểm soát cho việc quản lý chính sách đầu cuối.Công nghệ này có hiệu năng cao, đơn giản hóa bảo vệ cho các tổ chức lớn,phân bố trên nhiều địa bàn, và thậm chí kể cả người làm việc kết nối từ xa.Doanh nghiệp có được lợi thế đáng kể trong tốc độ, sự linh hoạt, và khả năng

mở rộng, trong khi có thể giảm bớt cơ sở hạ tầng và giảm chi phí bảo trì liênkết với các hệ thống truyền thống và quản lý an ninh

Endpoint Security Platform là nền tảng cho giải pháp bảo vệ toàn diện,Endpoint Security Platform tạo ra một khuôn khổ thống nhất để bảo mật vàquản lý hệ thống Các doanh nghiệp sau đó tùy chỉnh các giải pháp bằng cáchchọn mô-đun nền tảng cụ thể hỗ trợ các môi trường đầu cuối duy nhất của họ,

dễ dàng triển khai các hệ thống an ninh và quản lý chức năng cần thiết đếnmỗi thiết bị đầu cuối Sau đó, có thể các mối đe dọa phát triển, doanh nghiệpcần thay đổi, mô-đun mới có thể được nhanh chóng triển khai thực hiện trêntất cả các thiết bị đầu cuối thời gian giảm xuống từ vài tuần và tháng tới chỉvài ngày hoặc giờ Với một kiến trúc khả năng mở rộng cao hỗ trợ lên đến250.000 người dùng trên một máy chủ quản lý, Endpoint Security Platformcho phép hệ thống quản lý và nhóm quản trị bảo đảm an toàn thiết bị đầu cuối

của mình một cách tâp trung với sự tin cậy và độ chính xác cao, giảm bớt sựphức tạp và rủi ro, và tiết kiệm chi phí.

Trend Micro Endpoint Security Platform (ESP) nhằm mục đích giảiquyết các vấn đề ngày càng phức tạp và quan trọng của việc giữ hệ thống củachúng ta cập nhật, tương thích, và tránh rò rỉ an ninh Nó sử dụng bằng sángchế Fixlet công nghệ để xác định dễ bị tổn thương các máy tính trong doanhnghiệp của chúng ta và cho phép chúng ta khắc phục chúng trên toàn mạngcủa chúng ta đơn giản với một vài nhấp chuột

 Phân phối và cập nhật các gói phần mềm

 Quản lý toàn bộ hệ thống mạng của chúng ta từ một bảng điềukhiển trung tâm

 Xem, sửa đổi, kiểm toán và cấu hình các máy tính trong mạng

mà trên đó đã cài ESP Agent

 Kênh thông tin liên lạc được mã hóa để bảo vệ thông tin nhạycảm

Fixlet công nghệ cho phép chúng ta phân tích tình trạng của các cấuhình, lỗ hổng, và những tồn đọng trên toàn bộ doanh nghiệp của chúng ta vàsau đó thực thi các chính sách tự động trong thời gian gần thực Với mục đăng

ký Fixlet, công tác phát hiện và giải quyết các vấn đề được thực hiện chochúng ta, cho phép chúng ta nhanh chóng cho phép sửa chữa mà không lãngphí thời gian trên thực hiện chi tiết từng thao tác Ngoài ra, các quản trị viên

có thể tạo ra hoặc tuỳ chỉnh của mình riêng với giải pháp Fixlet vụ cho phùhợp với nhu cầu mạng cụ thể của họ

ESP dễ cài đặt và đã được xây dựng trên nền mã hóa khóapublic/private-key để bảo đảm tính xác thực của Fixlet và hành động Việctruyền dữ liệu từ máy chủ quản lý đến các thành phần client đều được mã hóa

và máy chủ cũng xác định các client của mình thông qua các khóa công khai

mà nó đã được cài đặt sẵn khi các thành phần Agent được triển khai ESPđược thiết kế để cấp quyền lực tối đa cho người trị viên, với tác động tối thiểutrên giao thông mạng và tài nguyên máy tính ESP có khả năng xử lý hàngtrăm ngàn máy tính trong hệ thống mạng trải rộng toàn cầu

Hình 2: Giao diện quản lý ESP consoleMột khi ESP đã được cài đặt, chúng ta có thể dễ dàng sử dụng nó đểgiữ cho các máy tính trong mạng của chúng ta đúng cấu hình, cập nhật, và vátất cả từ một trung tâm ESP Console Nó có thể lăn ra một gói phần mềm như

là một ứng dụng phần mềm hoặc một miếng vá để một doanh nghiệp lớn cóthể được hoàn thành trong vài phút thay vì vài tuần, cho phép chúng ta đốimặt với nguy cơ tiềm tàng của virus và tấn công của hacker Việc thực hiệncập nhật cho các client được diễn ra mà người dùng sẽ không nhận thấy đượctrừ khi chúng ta thông báo cho họ biết

Chúng ta sẽ có thể theo dõi tiến độ của mỗi máy tính như cập nhật haycấu hình chính sách được áp dụng, làm đơn giản việc đánh giá mức độ tuân

thủ trên toàn bộ doanh nghiệp Ngoài việc tải về bản vá bảo mật, chúng tacũng có thể nhìn trực tiếp tại tất cả các máy tính của chúng ta bằng công cụquản lý các thuộc tính cụ thể, cho phép chúng ta nhóm lại để triển khai, thựcthi chính sách hoặc quản lý tài sản Chúng ta có thể đăng nhập vào giao diệnweb xem các thống kê kiểm toán hay biểu đồ hoạt động tổng thể rất thuậntiện.

Chúng ta cũng có thể sử dụng ESP để thu thập rất nhiều thông tin vềmáy tính của chúng ta như các ứng dụng cài đặt, thiết bị phần cứng, mạngthông tin, và nhiều hơn nữa Nếu có thông tin cụ thể để triển khai, chúng ta cóthể dùng ESP để thu thập các thông tin cần thiết (xem hình 3)

Hình 3: Hiển thị rõ ràng thông tin từng clientTrong ESP console các mục được quản lý dạng tab giúp dễ dàng quản

lý, việc chuyển giữa các tab để chọn các mục điểu khiển rất dễ dàng Để vậnhành và điều khiển chúng ta nhất chuột vào một trong các tab rồi kích đúpvào một dòng từ danh sách hiện ra, điều đó sẽ mở ra một cửa sổ nội dung bêndưới hiển thị chi tiết về nội dung được chọn

Hình 4: Các tab trong ESP consoleTrong giao diện quản lý chính chia làm các Tab sau:

II.1.1 Fixlet messages

Fixlet messages: Trong tab này hiển thị tất cả các fixlet được chia rathành từng mục riêng như My Customs Fixlet Messages là mục chứa cácfixlet do người quản trị tự định nghĩa

Mục all Fixlet Messages hiển thị toàn bộ Fixlet

Mục all Relevant Fixlet Messages hiển thị tất cả các Fixlet mà các máytrong công ty, tổ chức của chúng ta chưa được cấu hình

Khi kích vào một Fixlet Messages nội dung của Fixlet này sẽ hiển thị ởcửa sổ bên dưới

Hình 5: Cửa sổ hiển thị nội dung chínhTrong mỗi Fixlet chứa các thông tin sau, thông tin về lỗ hổng, thông tin

về bản vá, bản cập nhật, thông tin về hành động sẽ thực hiện khi Fixlet nàyđược triển khai và thông tin về các máy có liên quan Ở mỗi Fixlet BigFix sẽđưa ra một hành động cụ thể hoặc khuyến cáo đối với lỗ bảo mật đã được đềxuất

Ở tab Description sẽ mô tả về lỗ hổng và các hành động của Fixlet cóthể lựa chọn

Có thể lấy ví dụ như lỗ hổng mang mã MS09-037 đây là một lỗ hổngbảo mật trong Microsoft Active Template Library đã được Microsoft đưa rabản vá kb973540.(xem hình 4)

Hình 6: Một lỗ hổng bảo mật của MicrosoftTab Details đưa ra thông tin về Fixlet, mô tả các máy liên quan đến lỗhổng này và chi tiết hành động của Fixlet.

Hình 7: Thông tin về FixletThông tin về Fixlet bao gồm:

Thể loại: Security hotfix

CVE ID: CVE ID là thông tin về số ID của lỗ hổng bảo mật trong thưviện lỗ hổng bảo mật

Download side: Kích thước các file mà Fixlet sẽ download khi đượcthực thi

Source: Nguồn bản vá

Source ID : Mã số bản vá

Source severity: Mức độ nghiêm trọng

Source release date: Ngày phát hành bản vá

ESP sử dụng cái gọi là sự liên quan (Relevant) để biết được máy tínhnào chưa được cập nhật bản vá nào và đây là một trong những công nghệ bảnquyền của BigFix

ESP đưa ra các định nghĩa về một máy có liên quan đến lỗ hổng nàynhư sau:

Hình 8: Các relevant của Fixlet

Sự liên quan đầu tiên là hệ điều hành được xác định là Win và có ID =

3 nếu không thỏa mãn thì false

Sự liên quan thứ 2 là hệ điều hành có ngôn ngữ là English

Sự liên quan thứ 3 là xác định kiến trúc hệ điều hành không phải là64bit

Sự liên quan thứ 4 là xác định xem hệ điều hành là win2003 Sp2

Sự liên quan thứ 5 là xác định tồn tại Windows Media Player có phảiphiên bản 10.0.0.4006

Sự liên quan thứ 6 là kiểm tra máy chưa tồn tại bản vá kb973540

Và sự liên quan thứ 7 là wmplayer.exe là version 10

Nếu thỏa mãn được 7 sự liện quan trên thì nó được xác định là máy cầncập nhật bản vá

Và ở Fixlet cũng đưa ra hành động cụ thể luôn(xem hình 9)

Hình 9: Hành động được Fixlet đưa raHành động của Fixlet này bào gồm:

Download từ file WindowsServer2003-KB973540-x86-ENU.exe từlink http://download.microsoft.com/download/3/7/6/37678A71-A08C-4F5F-9FF2-D3BF90937EA1/WindowsServer2003-KB973540-x86-ENU.exe saukhi việc tải về hoàn tất thì kiểm tra lại file này xem có bị sửa đổi hay lỗi trongquá trình tải về không bằng cách so sánh mã SHA1 và kích thước đúng củafile Nếu đúng là file yêu cầu sẽ được thực thi

Tab applicable computers hiển thị các máy được Fixlet này áp dụngđiều này rất thuận tiên cho việc theo dõi cập nhật các Fixlet này được cậpnhật trực tiếp từ trung tâm dữ liệu của BigFix và nó được bổ xung hàng ngàynhằm đảm bảo có được giải pháp tốt nhất cho các lỗ hổng mới được pháthiện

Hình 10: hiển thị rõ ràng các máy cần cập nhật bản vá

Tab Action History sẽ hiển thị tất cả các hành động liên quan đến Fixletnày đã và đang được thực thi.

Như vậy một Fixlet có nội dung là để cập nhật một bản vá hay updatecho hệ điều hành hoặc phần mềm

Hình 11: Nội dụng một TaskTask cũng có các thành phần giống như Fixlet nhưng chúng được thiết

kế với mục đích khác với Fixlet chúng được tạo ra để thực thi một yêu cầu từngười quản trị ví dụ như triển khai một sản phẩm hay bật các chức năng dịch

vụ cụ thể

II.1.3 Baselines

Ô Baseline hiển thị một danh sách các Baseline có thể được sử dụng để

áp dụng một nhóm Fixlets và Tasks tự động cho bất kỳ một máy tính nào liênquan

Hình 12: BaselinesBaseline không có sẵn mà do người quản trị định nghĩa ví dụ như mộtbaseline bao gồm tất cả các bản vá critical cho dòng Windows 2003 Việc sửdụng Baseline sẽ giúp cho chúng ta đơn giản hơn trong việc thực thi các bản

vá hay thi hành các chính sách thay vì phải thực thi từng Fixlet, Task một chotừng loại hệ điều hành thì việc sử dụng Baseline cho phép thực thi một nhómcác Fixlet, Task giúp việc quản trị đơn giản hơn nhiều

II.1.4 Actions

Action là chức năng cốt lõi của hệ thống ESP Fixlet messages, Tasks

và Baselines cần Action để thực thi nhiệm vụ xử lý của chúng Các actionthường là các scrip có thể tùy chỉnh một giải pháp cụ thể cho từng ESP Agent,

Sử dụng sức mạnh của các biểu thức Relevance

Ô Actions hiển thị một danh sách các hành động đã hoặc đang chạytrên mạng của của chúng ta ở đây cho chúng ta biết được trang thái các hànhđộng này đã thực hiện được đến đâu, những hành động nào đang được thựcthi, những hành động nào đã hết hạn

Hình 13: ActionTrong Tab này cũng nêu rõ hành động của đơn vị nào và ai là người tạonên hành động này cũng như kiểu hành động.

II.1.5 Computers

Để được quản lý bởi ESP, mỗi thiết bị đầu cuối đang hoạt động trênmạng cần phải được cài đặt một Agent Một khi phần mềm Agent được càiđặt, chúng ta có thể kiểm soát các máy này ở mức cao cho phép cấu hình hoạtđộng phổ biến theo chính sách của tổ chức, phát hiện và loại bỏ phần mềmđộc hại, xem và tổng kết đặc tính, tạo báo cáo, và nhiều hơn nữa

Hình 14: ComputersTrong tab Computers có rất nhiều thông tin được hiển thị ví dụ như tênmáy, hệ điều hành mà máy đang sử dụng, tốc độ chíp của máy, bộ nhớ RAM,khoảng trống của ổ cài hệ điều hành, tín hiệu liên lạc lần cuối là bao giờ, đang

logon bằng tài khoản nào, thuộc quản lý bởi server relay nào, máy tính đóthuộc lớp mạng nào Ngoài ra khi thực hiện chọn một computer trong tabComputers sẽ hiển thị cho chúng ta thông tin đầy đủ về máy đấy bao gồmthông tin cấu hình thông tin các bản vá thông tin về các hành động đang thựcthi…

II.1.6 Computer Group

Tab này giúp quản trị viên thực hiện quản lý các máy tính theo nhóm ,vùng để tiện lợi hơn trong triển khai các chính sách bảo mật Các Groupcomputer có thể được phân theo chức năng như nhóm máy chủ , máy trạmhay phân theo hệ điều hành và theo từng vùng, văn phòng Một máy có thể ởtrong nhiều Group và nó chịu ảnh hưởng của cách chính sách được triển khaitrên các Group mà nó làm thành viên

Hình 15: Computer GroupII.1.7 Analyses

Các Analyses cho phép các nhà quản trị xem và tổng kết những cáikhác nhau về đặc tính của các máy tính trong mạng có một số các Analyseđược cung cấp bởi Trend Micro để kiểm tra các khía cạnh khác nhau của cácmáy tính trong mạng của chúng ta bao gồm phần cứng, các ứng dụng, và quan

hệ giữa các thành phần Server/Relay/Agent Các Analyse sẽ cung cấp cácthông tin cho chúng ta để đưa ra cấu hình hợp lý cho các thành phần trongmạng

Hình 16: AnalysesCác Analyse còn được sử dụng để theo dõi tình hình an ninh trong hệthống mạng như theo dõi các luồng thông tin ra vào khi xử dụng AnalyseCommon Firewall –inbound/outbound port violations.

II.1.8 Console Operators

ESP đưa ra hai loại tài khoản quản trị là master Operator và Operator,một tài khoản Master Operator có quyền quản trị cao nhất nó có thể chỉ địnhquyền quản lý cho các tài khoản Operator khác Khi một tài khoản MasterOperator hay Operator tham gia quản lý sẽ được hiển thị trong Tab ConsoleOperators

Hình 17: Console OperatorsMaster Operator sẽ chỉ định cho các Operator khác được quyền quản lýnhững máy client nào thì người quản trị viên đó chỉ có thể thao tác trên cácclien đấy Do Master Operator có quyền lực rất lớn nên chỉ nên có một tài

khoản Master Operator để tránh trường hợp khó kiểm soát các hành động củangười cùng cấp.

ESP đưa ra kiểu quản lý các thành phần của mình một các rất đơn giản.Việc thêm các module thành phần rất thuận tiện chỉ cần 1 file Masthead mangthông số về quá trình sử lý của ESP bao gồm các URL là nơi lưu các Fixlettin cậy, cụ thể là Masthead server của Trend hay Masthead server của BigFix

Hình 18: Manage sitesChẳng hạn như việc thêm vào Web Protection Module chúng ta cầnmột file masthead “Web Protection Module.efxm” được cung cấp bởi TrendMicro

Click vào Add Extenal site và chọn đến nơi lưu trữ masthead file

Hình 19: Add một site mới trong ESPclick vào Open để thêm site này vào trong manage sites

Hình 20: Áp dụng thêm một site trong ESPClick vào Apply để bắt đầu thu thập thông tin về site.

Hình 21: Thông tin của masthead fileNhư vậy ESP rất dễ dàng được mở rộng khi có các module mới, cácmodule này được mua dời tùy theo nhu cầu sử dụng của tổ chức giúp tránhlãng phí

II.2 Patch management Module

Patch management Module có khả năng cung cấp bản vá lỗi cho nhiều

hệ điều hành như: Windows 95, 98, NT 4+, Me, 2000, Server 2003, XP,Vista, Longhorn, Windows 2008 , Windows 7, Red Hat Linux 8.0, & 9.0, RedHat Linux Enterprise 3.0 & 4.0, Red Hat Fedora Core 3.0, 4.0 & 5.0, Solaris

7, 8, 9 & 10, HPUX 11.00 & 11.11, AIX 5.1, 5.2 & 5.3, SUSE 8, 9 & 10, Mac

OS X 10.3 & 10.4 Ngoài ra còn cung cấp bản vá và cập nhật cho bên thứ 3

thông qua một giao diện điều khiển duy nhất, một máy chủ duy nhất cho phépkết nối 250000 thiết bị đầu cuối Cũng có nhiều sản phẩm về quản lý bản vá

và cập nhật phần mềm khác như WSUS của Microsoft nhưng sản phẩm nàychỉ cập nhật cho hệ điều hành windows và các phần mềm của hãng Microsoft.Patch management Module không những cập nhật quản lý bản vá cho nhàcung cấp Microsoft, UNIX, Linux, và Mac mà còn cung cấp bản vá và cậpnhật cho các nhà cung cấp phần mềm như Adobe, Mozilla, RealNetworks,Apple, và Java

Patch management module mang lại cho người dùng cuối 2 thứ quantrọng nhất đấy là:

Cung cấp bản vá và cập nhật cho hệ điều hành và ứng dụng cho cácmáy client

Cung cấp khả năng triển khai các gói phần mềm hay sửa đổi cấu hìnhmột cách đơn giản cho người quản trị

II.2.1 Cung cấp bản vá cho hệ điều hành và ứng dụng

Các bản vá cũng như bản nâng cấp đều được cung cấp thông qua dạngFixlet messages được lấy trực tiếp trên server của BigFix các Fixlet này sẽđược tải về server ESP từ đó sẽ xem xét đến các client trong mạng về sự phùhợp với mỗi bản vá Việc triển khai các Fixlet này đơn giản chỉ với một vàicái kick chuột

Khi click đúp vào một Fixlet sẽ hiển thị cho ta nội dung thông tin cụ thể

về lỗ hổng, bản vá và hành động cụ thể

Hình 22: Triển khai một Fixlet

Ví dụ như Fixlet trên (xem hình 22) để thực hiện Fixlet này chúng tachọn dòng “Click here to initiate the deployment process” bảng take actionhiện ra

Hình 23: Triển khai một Fixlet “take action”

Ở tab Target cho phép chúng ta chọn từng máy một hoặc tất cả các máy

có liên quan hoặc theo một cấu hình nào đấy ví dụ như Ram trên 512mb

Tab Execution cho phép chúng ta đặt thời gian cho hành động

Hình 24: Tab Execution

Thời gian bắt đầu thực thi Fixlet, thời gian hết hạn của hành động cũngnhư khoảng thời gian diễn ra hành động ESP cho chúng ta nhiều lựa chọn vềthời gian để tối ưu hóa việc cập nhật mà không làm ảnh hưởng đến người sửdụng vì một số bản vá hay nâng cấp yêu cầu khởi động lại máy.

Tương tự như tab Target và Execution ESP cho phép tùy biến hànhđộng này khi được triển khai như tab Users sẽ quy định User nào log on thìmới thực thi hành động này Tab Messages giúp cho người quản trị có thể gửiđến người dùng cuối một thông báo về hành động đang thực hiện hay cáckhuyến cáo đối với người sử dụng hoặc cho phép người dùng cuối có quyềnngừng các hành động này Tab Offer sẽ giúp cho người dùng lựa chọn thựcthi hành động này theo quyết định của họ Tab Post-Actions giúp chúng tađưa ra một hành động sau khi Fixlet được triển khai hoàn tất, các hành độngđấy có thể là restart, shutdown hoặc không có hành động gì Tab Applicabilitygiúp chúng ta lựa chọn các máy tính liên quan Tab Success criteria sẽ quyếtđịnh hành động chạy đến khi nào được coi là thành công và như thế nào thìcoi là thất bại Tab Action Script sẽ cho chúng ta lựa chọn các Scrip để thựcthi Fixlet này Hoàn tất các tùy chọn (có thể đơn giản chỉ cần chọn các máycần áp dụng Fixlet tất cả các Tab khác để mặc định) thì chúng ta click vào nút

OK và ESP sẽ hỏi Private Key Password chúng ta điền key vào ok là hoàn tấtquá trình triển khai một Fixlet

Patch management module cũng cung cấp một bảng điều khiển tổngquan giúp chúng ta biết được tình hình về các bản vá trong hệ thống số lượngmáy và số lượng bản vá với sơ đồ trực quan dễ dàng trong việc theo dõi

Hình 25: Patch management OverviewESP cũng cung cấp một thành phần để thống kê những bản vá đang tồntại trong hệ thống là ESP Web Report.

II.2.2 Triển khai các gói phần mềm và sửa đổi Registry

II.2.2.1 Triển khai các gói phần mềm

Patch management module cho phép người quản trị có thể đẩy các phầnmềm ứng dụng xuống client thông qua các Fixlet tự tạo hoặc sử dụng công cụSoftware Distribution Wizard Ở Windows cũng cho phép đẩy các phần mềmxuống client sử dụng chính sách nhóm và đẩy gói cài MSI nhưng các máyclient phải Join Domain với lại cũng chỉ có thể thực hiện cho các máy cài hệđiều hành Windows ở Software Distribution Wizard thì lại khác ở mỗi dòng

hệ điều hành đều có thể thực hiện được

Hình 26: Software Distribution Wizard for WindowsTrên hình 26 là công cụ cho Windows vì hệ điều hành mã nguồn mở sửdụng các gói cài đặt khác với Windows vì vậy khi chúng ta thêm vào các sitecho hệ điều hành mã nguồn mở thì các cộng cụ để triển khai các gói phầnmềm cho các hệ điều hành này cũng được thêm vào Dưới đây là công cụtriển khai gói phần mềm cho Red Hat Linux.

Hình 27: công cụ triển khai các ứng dụng cho Red Hat Linux

Riêng dòng hệ điều hành Windows còn có thêm nhiều ngôn ngữ đểchúng ta có thể lựa chọn, các ngôn ngữ mà ESP hỗ trợ như:

English

Brazilian Portuguese

Czech,