Saturday, November 22, 2008

10 วิธีเพิ่มความปลอดภัยให้กับ Windows Vista

10 วิธีเพิ่มความปลอดภัยให้กับ Windows Vista
Windows XP เป็นระบบปฏิบัติการแบบเดสก์ท็อปหลักของไมโครซอฟท์เป็นระยะเวลาหลายปี ถึงจะเป็นที่นิยมใช้งานกันอย่างกว้างขวาง แต่มันก็มีปัญหาเรื่องความปลอดภัยเนื่องจากมีช่องโหว่ความปลอดภัยมากและง่ายในการถูกโฉมตี ดังนั้นเมื่อไมโครซอฟท์สร้าง Windows Vista เป้าหมายหลักที่ไมโครซอฟท์ตั้งไว้คือจะต้องแก้ไขปัญหาต่างๆ ที่เกิดขึ้นใน XP ไม่ให้เกิดขึ้นซ้ำใน Windows Vista

Windows Vista นั้นจะมีระบบความปลอดภัยสูงกว่า Windows XP แม้ว่าจะใช้งานโดยไม่มีการได้ทำการคอนฟิกระบบความปลอดภัยเพิ่มเติม อย่างไรก็ตามผู้ใช้ก็ควรทราบถึงวิธีการใช้ฟีเจอร์ทางความปลอดภัยใหม่ๆ เพื่อให้การใช้งาน Windows Vista มีความปลอดภัยยิ่งขึ้น ในบทความนี้จะสรุปทิปด้านความปลอดภัย 10 ข้อ ที่ช่วยให้การใช้งาน Windows Vista มีความปลอดภัยมากยิ่งขึ้น

1. เปิดใช้งาน Network Access Protection (NAP)
Network Access Protection (NAP) นั้นเป็นฟีเจอร์ที่มีใน Windows Server 2008 ซึ่งจะช่วยองค์กรในการสร้างนโยบายความปลอดภัยเครือข่ายซึ่งกำหนดเกณฑ์ (Criteria) ให้กับเครื่องไคลเอ็นต์ที่ใช้ Windows Vista ต้องปฏิบัติตาม เพื่อให้ได้รับการพิจารณาว่าเป็นเครื่องที่สุขภาพดีและอนุญาตให้แอคเชสระบบเครือข่ายได้ ตัวอย่างเช่น การกำหนดนโยบายให้เครื่องไคลเอ็นต์ที่ใช้ Windows Vista ต้องเปิดใช้งานไฟร์วอลล์ หรือจะต้องทำการติดตั้งแพตช์ตามที่กำหนด เมื่อยูสเซอร์พยายามทำการล็อกออนเข้าสู่ระบบเครือข่าย NAP จะทำการตรวจเช็คเครื่องคอมพิวเตอร์ที่ยูสเซอร์ใช้ในการล็อกออน หากเป็นไปตามนโยบายที่กำหนดไว้จึงจะอนุญาตให้เชื่อมต่อกับระบบเครือข่าย ในกรณีที่เครื่องคอมพิวเตอร์ที่ยูสเซอร์ใช้ในการล็อกออนไม่เป็นไปตามนโยบายที่กำหนดไว้ สามารถกำหนดได้ว่าจะส่งต่อไปยังจุดแก้ไขหรือจะปฏิเสธการใช้งานของยูสเซอร์ การเซ็ตอัพ NAP นั้นเป็นเรื่องยุ่งยากและซับซ้อน แต่อย่างไรก็ตามเป็นฟีเจอร์ด้านความปลอดภัยที่ดีที่ Windows Vista และ Windows Server 2008 นำเสนอ

2. เปิดใช้งาน Phishing Filter
ตรวจสอบให้แน่ใจว่าได้เปิด Phishing Filter โดย Phishing Filter นั้นจะช่วยยูสเซอร์ในการแยกแยะระหว่างเว็บไซต์ตัวจริงกับเว็บไซต์ที่ปลอมตัวเป็นเว็บไซต์ที่ได้รับความนิยม ถึงแม้ว่าฐานข้อมูลของ Phishing Filter จะยังไม่สมบูรณ์มากนัก แต่มันก็ได้รวมรายชื่อเว็บไซต์ตัวจริงกับเว็บไซต์ที่ปลอมตัวเป็นเว็บไซต์ที่ได้รับความนิยมในจำนวนที่มากเพียงพอที่ใช้ประโยชน์ได้ นอกจากนี้เพื่อให้ได้ผลมากยิ่งขึ้นองค์กรควรให้การฝึกอบรมแก่ผู้ใช้ให้ทราบถึงวิธีใช้งาน Phishing Filter ด้วย

3. ทำการอัพเดทวินโดวส์อย่างสม่ำเสมอ
ถึงแม้ว่าไมโครซอฟท์จะมีการทดสอบ Windows Vista ในเวอร์ชันเบต้าเป็นเวลายาวนาน แต่ก็เป็นเรื่องที่หลีกเลี่ยงไม่ได้ที่จะมีบั๊กและช่องโหว่ความปลอดภัยเลย โดยจะมีการค้นพบบั๊กและช่องโหว่ความปลอดภัยใหม่ๆ อยู่เป็นประจำและเมื่อมีการเผยแพร่ Security Exploit ต่อสาธารณ ก็มีความเป็นไปได้สูงที่แฮกเกอร์จะใช้เป็นช่องทางในการโจมตีระบบ นั้นคือเหตุผลสำคัญที่จะต้องมีโปรเซสการจัดการการแพตย์ระบบอย่างเหมาะสม การที่ไม่ทำการอัพเดท Windows Vista ด้วยเหตุผลที่ว่าไมโครซอฟท์ได้ออกแบบมาอย่างปลอดภัยแล้วจึงไม่จำเป็นต้องทำการอัพเดทบ่อยๆ เป็นเรื่องที่อันตรายอย่างยิ่ง

4. การตรวจสอบประวัติการอัพเดทอย่างสม่ำเสมอ
การตรวจสอบประวัติการอัพเดทอย่างสม่ำเสมอเป็นเรื่องที่สำคัญ เพื่อให้แน่ใจว่าได้ทำการติดตั้งอัพเดทอะไรบ้างบนระบบ โดยผู้ดูแลระบบจะต้องทราบวิธีการตรวจสอบประวัติการอัพเดทและต้องทำการตรวจสอบอย่างสม่ำเสมอ สำหรับวิธีการตรวจสอบว่าคอมพิวเตอร์ติดตั้งแพตช์อะไรไปแล้วบ้าง ทำได้ตามขั้นตอนดังนี้
1. คลิก Start คลิก Control Panel
2. คลิก Programs and Features จากนั้นคลิก View Installed Updates ซึ่งจะได้หน้าต่างประวัติการติดตั้งอัพเดท

5. ใช้งานร่วมกับ Windows Server 2008 โดเมน
เป็นเวลาหลายปีแล้วที่ไมโครซอฟท์ได้ใช้ Group Policies เป็นกลไกหลักในระบบความปลอดภัยของระบบปฏิบัติการวินโดวส์และก็ยังเป็นเช่นนั้นอยู่ใน Windows Vista โดยใน Windows Vista นั้น จะมีการตั้งค่า Group Policies มากกว่าในวินโดวส์ XP เป็นร้อยๆ ค่า การใช้งาน Group Policies นั้นสามารถที่จะกระทำที่ระดับโลคอลได้ซึ่งจะเหมาะสมกับการใช้งานแบบส่วนตัวหรือภายในบ้าน แต่สำหรับการจัดการ Group Policies ของ Windows Vista ภายในองค์กรนั้น การจัดการในระดับ Active Directory จะเหมาะสมและดีกว่า แต่อย่างไรก็ตามการจัดการ Group Policies ของ Windows Vista ในระดับ Active Directory นั้น ต้องใช้ร่วมกับ Windows Server 2008 โดเมน

6. ใช้ Network Profile
ในวินโดวส์ก่อนหน้า Windows Vista นั้น วินโดวส์จะปฏิบัติต่อการเชื่อมต่อเครือข่ายทั้งหมดอย่างเท่าเทียมกัน แต่ใน Windows Vista นั้น จะแบ่งการเชื่อมต่อเครือข่ายออกเป็น 3 รูปแบบด้วยกัน คือ Home, Work หรือ Public โดยใช้ Network and Sharing Center ยกเว้นในกรณีที่ใช้งาน Windows Vista ในสภาพแวดล้อมแบบ Windows Domain ซึ่งจะกำหนดเป็น Domain Network โดยอัตโนมัติ

การเลือก Network Profile ที่เหมาะสมนั้นเป็นเรื่องที่สำคัญ เนื่องจากวินโดวส์จะทำการตั้งค่าฟีเจอร์ด้านความปลอดภัยหลายๆ อย่าง ตามพื้นฐานของรูปแบบเครือข่ายมันที่เชื่อมต่ออยู่ ตัวอย่างเช่น Windows Vista จะทำการปิดใช้งานฟีเจอร์ Network Mapping ถ้าเชื่อมต่อกับเครือข่ายแบบ Public นอกจากนี้ ไฟร์วอลล์ของ Windows Vista นั้นก็มีการตั้งค่าตาม Network Profile ด้วยเช่นกัน

7. Windows Firewall ใน Windows Vista มีดีมากกว่าที่เห็น
หากมองเผินๆ Windows Firewall ใน Windows Vista นั้น จะเหมือนกันมากกับ Firewall ของ Windows XP ซึ่งอ็อปชันการคอนฟิกต่างๆ จะทำได้ค่อนข้างจำกัดโดยเฉพาะการคอนฟิกโดยใช้ Control Panel อย่างไรก็ตามใน Windows Vista นั้นไมโครซอฟท์ได้พัฒนาเครื่องมือจัดสำหรับใช้จัดการ Windows Firewall โดยเฉพาะ ซึ่งทำให้การคอนฟิกทำได้มากขึ้นและง่ายขึ้น นอกจากนี้ข้อหนึ่งที่เป็นจุดอ่อนของ Windows Firewall ใน Windows XP คือ สามารถป้องกันเฉพาะทราฟิกขาเข้า (Inbound) แต่ใน Windows Vista นั้น สามารถสามารถป้องกันทราฟิกได้ทั้งขาเข้า (Inbound) และขาออก (Outbound)

8. ใช้ Windows Vista 64-บิต
Windows Vista 64-บิต จะมีความปลอดภัยมากกว่า Windows Vista 32-บิต โดยใน Windows Vista 64-บิต จะมีฟีเจอร์ที่ชื่อ Address Space Layout Randomizer (ASLR) ซึ่งทำการสุ่มค่าออฟเซ็ทสำหรับการโหลดไฟล์ระบบ ทำให้โอกาสที่ไฟล์ระบบถูกโหลดในตำแหน่งเดิมเกิดขึ้นน้อยลง (ไม่เหมือนกับ Windows Vista 32-บิต ซึ่งไฟล์ระบบจะถูกโหลดในตำแหน่งเดิมทุกๆ ครั้ง) โดยการโหลดไฟล์ระบบแบสุ่มนี้จะช่วยป้องกันการ Exploit ที่พบทั่วไปในระบบ Windows XP

ฟีเจอร์ด้านความปลอดภัยอีกตัวหนึ่งของ Windows Vista 64-บิต คือ Data Execution Prevention (DEP) ซึ่งจะดูแลการเอ็กซีคิวท์โค้ดจากการรันในพื้นที่ของหน่วยความจำของระบบ โดย DEP ใน Windows Vista 64-บิต จะทำงานในระดับฮาร์ดแวร์ สำหรับ Windows Vista 32-บิต จะมีฟีเจอร์ DEP นี้ด้วยเช่นกันแต่จะไม่มีความซับซ้อนเหมือนกับอีดิชัน 64-บิต จะทำงานในระดับซอฟต์แวร์

9. อย่าใช้งานการเข้ารหัสข้อมูลจนกว่าจะเข้าใจถึงผลกระทบที่จะตามมา
ปัญหาทางด้านเทคนิคปัญหาหนึ่งที่ผู้ใช้ประสบค่อนข้างบ่อยๆ คือ ไม่สามารถทำการถอดรหัสข้อมูลได้เนื่องจากทำ Encryption Key หาย โชคไม่ดีที่วิธีการถอดรหัสข้อมูลในกรณีที่ทำ Encryption Key หายนั้นทำได้ไม่ง่ายนัก และที่แย่ไปกว่านั้นคือในหลายๆ กรณีที่ไม่มีหนทางที่จะทำการถอดรหัสข้อมูลได้เลย (โดยส่วนตัวเห็นด้วยกับแนวคิดนี้ เนื่องจากวัตถุประสงค์ของการเข้ารหัส คือ ความปลอดภัยของข้อมูล ถ้าหากข้อมูลที่ถูกเข้ารหัสสามารถถอดรหัสได้ง่ายก็จะไม่เป็นไปตามวัตถุประสงค์) ดังนั้นก่อนที่จะเข้ารหัสข้อมูลด้วย EFS หรือ BitLocker ให้แน่ใจว่ามีความเข้าใจโปรเซสของการทำการถอดรหัสและวิธีการป้องกันการไม่ให้ข้อมูลหายหรือสูญเสีย

10. อย่าประเมินความสามารถของโปรแกรม Windows Defender ต่ำเกินไป
ใน Windows Vista นั้น จะมีการติดตั้งโปรแกรม Windows Defender ซึ่งเป็นโปรแกรมป้องกันสปายแวร์ของไมโครซอฟท์โดยอัตโนมัติพร้อมกับการติดตั้งวินโดวส์ ถึงแม้ว่าในอดีตที่ผ่านมาหลายๆ ครั้งที่ผู้ดูแลระบบไม่ค่อยจะชอบโปรแกรมด้านความปลอดภัยของไมโครซอฟท์มากนัก เนื่องจากเห็นว่าทำให้มีภาระงานมากขึ้นและยากขึ้น ดังนั้นผู้ดูแลระบบส่วนใหญ่จึงนิยมที่จะใช้แอพพลิเคชันแบบ 3-party มากกว่า แต่อย่างไรก็ตาม Windows Defender จัดเป็นโปรแกรมป้องกันสปายแวร์ที่ดีตัวหนึ่ง ถึงจะไม่ได้ดีสมบูรณ์แบบ แต่ก็ทำงานกำจัดสปายแวร์ได้ในระดับที่น่าพอใจ


Tip Improve Windows Vista Security

© 2008 Thai Windows Administrator, All Rights Reserved.

0 Comment: