Giáo trình An toàn mạng

Chương 1
TỔNG QUAN VỀ BẢO MẬT MẠNG
Một trong những yếu tố quan tâm hàng đầu trong việc Thiết kế Security một hệ thống thông tin đó là kiểm soát chặt chẽ tất cả Computer của tổ chức. Vì chúng là nơi cất giữ tài sản thông tin có giá trị của tổ chức. Attacker có thể trực tiếp tấn công thẳng vào Computer và lấy đi những dữ liệu quý báu. 
Việc xác định những mối đe dọa và những lỗ hỗng ở tất cả computer trong tổ chức là điều thiết yếu và cấp bách (Quan tâm đến Security cho Computer kể từ lúc mua, cho đến khi cất chúng vào kho - life Cycle)
Hầu hết các loại Computer nếu không có những kẽ hỡ thiếu an toàn về vật lý, thì bản thân hệ điều hành cũng có thể phơi bày những tử huyệt, những miếng mồi ngon cho attacker. Security Admin phải đảm bảo an toàn và cập nhật đầy đủ các miếng vá lỗi và thiết lập hệ thống phòng thủ trong suốt quá trình "sống" của Computer.
A. Xác định những rủi ro và những mối đe dọa Computer. 
Bảo mật suốt chu kì "sống" của một computer:
Vòng đời của một computer trải qua những giai đoạn sau: 
Tiến hành cài đặt: 
Trong suốt quá trình tiến hành cài đặt Hệ điều hành và Ứng dụng, sự xâm nhập của Virus, và những lỗi cấu hình có thể là nguy cơ trực tiếp cho Computer. Chú ý setup password cho tài khỏan built-in ADMINISTRATOR tại giai đoạn này theo đúng chính sách đặt password của tổ chức. Chúng ta có thói quen không tốt ở giai đoạn này là set password null (không đặt pssword)
Xác lập chính sách bảo mật chuẩn (baseline security) theo quy định an toàn thông tin của tổ chức sau khi hoàn thành cài đặt mỗi Computer
Bảo mật cho các Computer có vai trò đặc biệt. ví dụ Web server , Database Server. Căn cứ trên chính sách bảo mật chuẩn, các security admin cần tăng cường hơn nữa các xác lập bảo mật đối với các Computer đặc biệt này nhằm tạo một hệ thống được bảo vệ tối đa có thể đương đầu với các kiểu tấn công đa dạng và phức tạp từ phía attackers.
Cập nhật security cho tất cả ứng dụng phát sinh lỗi trên Computer (thông thường sẽ update các Service packs, securiry updates) Đây là điều bắt buộc để nâng cao hơn nữa baseline security đã được thiết lập
Tạm biệt Computer:
 Kết thúc vòng đời, giờ là lúc đem chiếc Computer này vào kho làm kỉ niệm hoặc giải phong một nó cho một ai đó cũng cần phải security, attacker có thể lấy những thông tin còn sót lại trên HDD, hoặc các thiết bị Media khác để khai thác những thông tin còn sót lại này.Tầm quan trọng của việc bảo mật cho Computer 
Những cuộc tấn công từ bên ngoài:
 Khi một admin cài đặt software trên một computer mới, một Virus có thể lây nhiễm vào Computer trước khi Admin này cài service pack bảo vệ hệ thống. Virus này sẽ khai thác lỗ hổng đã xác định, và cài tiếp vào hệ thống một chú Trojan Horse (ví dụ như Bo 2k). Admin hoàn thành việc cài software và đưa vào sử dụng mà không hề biết rằng Computer có thể đã nằm trong tầm kiểm soát của một attacker ngoài hệ thống Mạng của tổ chức
Hiểm họa từ bên trong:
Admin chọn cách cài đặt cho các Computer của tổ chức là cài đặt từ xa và không cần phải theo dõi trong suốt quá trình cài đặt (unattended Installation) , cách cài đặt này nhanh chóng và tỏ ra rất "professional". Trong suốt quá trình cài đặt operating system qua Mạng này, tài khỏan Local administrator của các máy được cài đặt được chuyển qua Mạng dưới dạng Clear-text (không mã hóa). Một nhân viên có chút trình độ về hệ thống và Network, thúc đẩy bởi những động cơ bất hợp pháp có thể cài các công cụ nghe lén và thâu tóm thông tin chuyển đi trên Mạng, đặc biệt là các Local Administrator Password (nếu admin Mạng đang tiến hành cài đặt qua Mạng cho Computer của sếp và password chuyển qua Mạng dưới dạng cleart-text thì nguy tovì dữ liệu của các Manager rất important và hầu hết có giá trị economic..). Đây là một trong rất, rất nhiều những nguy cơ attack từ bên trong Mạng nội bộ.
Những mối đe dọa phổ biến: 
Mặc dù những kĩ thuật bảo mật được trang bị trên các Computer, thế nhưng rủi ro lại đến từ yếu tố con người và những kẽ hở trong quy trình làm việc với Computer.
Ví dụ như attacker có thể lấy thông tin từ Đĩa cứng, hoặc truy cập vào máy tính qua các ứng dụng (không cài đặt các bản vá lỗi), mà nhân viên sử dụng, đặc biệt là những ứng dung connecting với Internet như Chat, Internet Browser, E-mail
B. Thiết kế Security cho các Computer 
Những phương thức chung bảo mật Computer Tiến hành cài đặt an toàn ngay từ ban đầu cho Hệ điều hành và các Ứng dụng theo hướng dẫn:
Thực thi các cấu hình bảo mật mặc định cho HDH và ứng dụng
Chỉ cài đặt những ứng dụng và dịch vụ cần thiết trên các Server (ví dụ: không cài lung tung các ứng dụng và triễn khai những dich vụ không cần thiết trên Mail, Web server của tổ chức..)
Xác lập bảo vệ cho tất cả các tài khỏan mặc định của hệ thống (ví dụ: tài khoản mặc định Administrator nên được rename vì tên này ai cũng biết, và set password phức hợp, sẽ có tác dụng lớn để đối phó với attacker trong những cuộc tấn công dạng Brute force password)
Những file cài đặt cho HDH và application phải an toàn, phải được xác nhận (digitally sign) từ nhà cung cấp, có thể dùng nhiều utility để kiểm tra vấn đề này , ví dụ Sign verification 
Tiến hành cài đặt phải là những Người có đủ độ tin cậy trong tổ chức. 
Nên cô lập Mạng trong quá trình cài đặt . Tạo một Network riêng dành cho việc cài đặt nếu phải cài đặt HDH, ứng dụng qua Mạng (ví dụ dùng dịch vụ RIS của Microsoft..), điều này là thiết yếu và tăng sự an toàn, có thể chống được sự lây nhiễm Virus từ bên ngoài hoặc các Built-in account như Administrator được tạo ra qua Mạng từ các unattended installation scripts không bị thâu tóm.. các CD cài đặt HDH, ứng dụng nên tích hợp đầy đủ các Service packs, security updates (vá lỗi ngay trong quá trình cài đặt)
Làm thế nào để cấu hình các xác lập chuẩn bảo mật cho một tổ chức (Security baseline) 
Trước khi triển khai Computer cho tổ chức, cần xác định các security baseline. Các security admin có thể triển khai những security baseline này trong suốt quá trình cài đặt hoặc sau đó. Trên Microsoft Windows 2000 và Microsoft Windows XP, các admin có thể taọ và triển khai các security templates để đạt được những yêu cầu bảo mật cần thiết.
Tuân thủ những hướng dẫn sau để tạo security baseline cho các Computer :
Tạo một chính sách security baseline cho các Computer theo đúng những quy định của tổ chức về an toàn thông tin phục vụ cho các quy trình nghiệp vụ. Chính sách này phải đảm bảo an toàn cho Computer, HDH và các ứng dụng nghiệp vụ
Ví dụ: chính sách chỉ định rằng tất cả HDH trong tổ chức phải chống được kiểu tấn công SYN-ACK (synchronize acknowledge) denial of service (DoS) tấn công từ chối dịch vụ. Một chính sách tốt cũng hình dung được vai trò của Computer cần bảo vệ..
Tạo sẵn các security templates mẫu, cho phép chỉnh sửa. Ví dụ để bảo vệ HDH chống lại SYN-ACK attacks, có thể đơn giản thêm vào Registry những giá trị mong muốn nhằm thay đổi cách thức vận hành của TCP/IP stack trong giao tiếp Mạng với các Computer khác, như vậy có thể chống được những cuộc tấn công kiểu này.
Vận hành thử và Kiểm tra các security templates này. Mỗi security template được triển khai sẽ không có các yếu tố gây cản trở HDH, các dich vụ khác, hoặc xung đột với các ứng dụng
Triển khai các security templates cho Computer thông qua những công cụ như command Secedit Group Policy, hoặc tự động hóa triển khai cho hàng loạt Computer thông qua các Group Policy của Active Directory Domain (GPO) Security cho các Computer có vai trò đặc biệt như thế nào.
Admin sẽ cài đặt những Ứng dụng và những dịch vụ phụ thuộc vào vai trò của những Computer đó.
Như vậy những Computer đặc biệt này cần có những Security baseline tương đối khác nhau để phù hợp với dịch vụ đang vận hành.
Ví dụ: Web server chạy dịch vụ Internet Information Services (IIS) cho phép hàng ngàn truy cập mỗi ngày từ Internet với những mối nguy hiểm luôn rình rập. Ngược lại thì một File server sẽ không chạy dịch vụ IIS và chỉ có thể truy cập bởi những user trong mạng nội bộ . Thiết kế bảo mật cho các Computer có vai trò đặc biệt đòi hỏi có kinh nghiệm và am hiểu chi tiết về những ứng dụng và dịch vụ mà chúng đang vận hành. Ví dụ một Windows 2000 administrator có thể không có những kiến thức để hiểu được cách hoạt động của một database server như Microsoft SQL Server 2000, cho dù nó được cài đặ trên một Windows 2000.
Phải đảm bảo những cá nhân chịu trách nhiệm thiết kế bảo mật cho những Server này có những hiểu biết cần thiết và kinh nghiệm đáp ứng được các yêu cầu bảo mật cua tổ chức. Và cũng đảm bảo rằng tổ chức chúng ta có những chính sách sẵn sàng, quản lý bảo mật cho các server ày khi chúng thay đổi vai trò hoạt động. ví dụ File Server được triển khai lại thành một Web server.
Những Phương pháp chung để áp dụng Security Updates (cập nhật security) 
Có thể dùng những phương pháp sau để tiến hành cập nhật security cho các Computer trên Mạng. 
Dùng tính năng Windows Update: Để scan Computer, đảm bảo rằng tất cả security updates mới nhất, các thành phần liên quan đến Windows (Windows components) , và các driver cho thiết bị đã được cài đặt. Để sử dụng Windows Update phải là thành viên của nhóm Administrators. Nếu phải scan nhiều máy trên Mạng từ một location, có thể sử dụng tool: MBSA (Microsoft Baseline Security Analyzer) của hãng Shavlik, một partner của Microsoft. Hoặc chuyên dụng hơn và cung cấp giải pháp scan bảo mật toàn diện có thể dùng GFI Languard network security scanner của GFI, rất phổ biến với Admin. 
Office Update: Scan và cập nhật những secuirty mới nhất cho bộ sản phẩm Microsoft Office. Vá lỗi cho các sản phẩm này cũng là một việc rất quan trong mà các Security admin cần chú ý. Chỉ thành viên nhóm Administrators mới đuợc dùng tính năng này 
Dùng Group Policy: Nếu triển khai security updates cho hàng loạt các Computer trong môi trường Active directory domain, các admin sẽ sử dụng các chính sách của Domain hoặc GPO cho các OU trong Domain. Khi dùng Group Policy, User không cần phải làm bất cứ động tác nào vì thông qua Active Directory service, Group Policy có thể thực hiện hoàn toan 2 tự động 
Dùng dịch vụ Microsoft Windows Software Update Services (WSUS/SUS): Server cài đặt dịch vụ này, được xem là trung tâm phân phối các security updateas cho các Computer trên Mạng. Admin có thể cấu hình trên các Computer để tự động download security updates hoặc lập lịch biểu (scheduling) download từ WSUS server này 
Dùng tính năng Feature Pack (Microsoft Systems Management Server (SMS) Update Services Feature Pack) có trong dịch vu SMS: Bao gồm Wizard hướng dẫn đóng gói các Security updates và triển khai chúng đến các Computer thông qua kho lưu trữ Software Inventory.Windows Update: 
Cập nhật service pack, security updates cho HDH. Dùng cho môi trường nhỏ SOHO.Office Update: Cập nhật service pack, security updates cho Office 2000/XP. Dùng cho môi trường nhỏ SOHO.
Group Policy: Triển khai cho các Computer dùng Windows 2000 /Windows XP trong Active Directory Domain. Đóng gói các service packs và security updates (thành định dang file .MSI) Bằng cách dùng các chính sách software installation policies.
WSUS: Câp nhật Security updates dựa trên chính sách Group Policy của Domain, cho các Computer dùng Windows 2000/Windows XP
SMS update services feature pack: Tất cả các SMS client Computer có thể kết nối đến SMS update services feature pack trên SMS server để cập nhật Service packs và security updateschính sách an toàn Account cho Computer (Security Account Policies)
Ở phần trước tôi đã giới thiệu những phương thức chung để bảo vệ máy tính của một tổ chức. Phần tiếp theo này tôi sẽ trình bày những phương thức cụ thể theo trình tự, từ quá trình setup hệ thống, vận hành hệ thống dựa trên những chính sách an toàn từ basic cho đến những kĩ năng advance mà các Security Admin cần quan tâm để áp dụng vào việc xây dựng các quy trình an toàn thông tin cho tổ chức. Phần trình bày này tôi xin đề cập đến vấn đề an ninh account (account security) và cách thức tạo account an toàn nhằm đối phó với những kiểu tấn công rất phổ biến và hiệu quả dưới sự trợ giúp của những công cụ phù thủy 
Chính sách về account và cách thức tạo account nghèo nàn là con đường dễ dàng nhất cho attacker, như vậy những hình thức bảo mật khác được áp dụng vào hệ thống như trang bị các công cụ chống maleware (prevent virus, worm, spyware, ad-ware..), triển khai hệ thống phòng thủ Mạng (Firewall) cũng sẽ không có tác dụng nào đáng kể, vì Admin quá thờ ơ trong cách thức tạo account và đưa ra chính sách tạo account chứa đựng nhiều rủi ro này. 
Yêu cầu xác định các chính sách tạo password mạnh và đưa ra được chiến lược an toàn account áp dụng vào an toàn thông tin của tổ chức là vấn đề mang tính cấp bách. 
C. Làm thế nào để tạo và quản lý Account an toàn
Những yếu tố dưới đây sẽ cho chúng ta thấy cách thức tạo và quản lý Account sao cho an toàn Account phải được bảo vệ bằng password phức hợp ( password length, password complexity)
Chủ sở hữu account chỉ được cung cấp quyền hạn truy cập thông tin và dịch vụ cần thiết (không thiếu quyền hạn mà cũng không thể để thừa) 
Mã hóa account trong giao dịch trên Mạng (kể cả giao dịch trong Mạng nội bộ) 
Lưu trữ account an toàn ( nhất định database lưu giữ tai khoản phải được đặt trên những hệ thống an toàn và được mã hóa) 
Huấn luyện nhân viên, những người trực tiếp sử dụng Computer cách thức bảo mật account tránh rò rĩ (attacker có thể lợi dụng mối quan hệ với nhân viên hoặc giả danh bộ phận kĩ thuật hỗ trợ xử lí sự cố hệ thống từ xa để khai thác ), hướng dẫn cách thức thay đổi password khi cần thiết và tránh tuyệt đối việc ghi lại account trên các stick-notes rồi gián bừa bãi trên Monitorhoặc Keyboard..), Khóa (lock) ngay Computer khi không sử dụng, mặc định trên các máy tính thường cũng có chính sách tự động lock computer sau môt thời gian không sử dụng, để giúp cho những nhân viên hay quên tránh được lỗi bảo mật sơ đẳng (lỗi này giống như việc ra khỏi nhà mà không khóa cửa)
Những người tạo và quản lý account (đặc biệt là những account hệ thống – System accounts, và account vận hành, kiểm soát các dịch vụ - service accounts) cho toàn bộ tổ chức là những người được xem là AN TOÀN TUYỆT ĐỐI. 
Disable những account tạm thời chưa sử dụng, delete những account không còn sử dụng. 
Tránh việc dùng chung Password cho nhiều account 
Khóa (lock) account sau một số lần người sử dụng log-on không thành công vào hệ thống. 
Có thể không cho phép một số account quản trị hệ thống và dịch vụ, không được log-on từ xa (remote location log-on), vì những hệ thống và dịch vụ này rất quan trọng và thông thường chỉ cho phép được kiểm soát từ bên trong (internal Network), nếu có nhu cầu quản trị và support từ xa Security Admin vẫn dễ dàng thay đổi chính sách để đáp ứng nhu cầu. 
Các Security admin khi log-on vào Server chỉ nên dùng account có quyền hạn thấp, khi cần quản trị hay vận hành các dịch vụ, mới nên dùng account System hoặc Service (ví dụ Microsoft Windows hỗ trợ command run as thông qua run as service để cho phép độc lập quản trị các thành phần của hệ thống, các dịch vụ mà không cần phải log-on vào máy ban đầu bằng account admin). Điều này giúp chúng ta tránh được các chương trình nguy hiểm đã lọt vào máy tính chạy với quyền admin, khi đó các admin thật sự của Computer sẽ gặp nhiều rắc rối. 
Vá tất cả những l ... s sẽ được đưa vào NORMAL.DOT, rồi từ đây chúng tự chèn vào các văn bản sạch khác. Dạng thứ hai của virus macro là lây vào bảng tính của Microsoft Exel, ít phổ biến hơn dạng thứ nhất.
Virus macro "độc" ở chỗ là nó làm cho mọi người nghi ngờ lẫn nhau. Hãy tưởng tượng bạn nhận được file TOTINH.DOC từ người mà mình thầm thương trộm nhớ, bạn sẽ làm gì đầu tiên? "Vớ vẩn! Dùng Winword để xem ngay chứ làm gì!" Hẳn bạn sẽ tự nhủ như vậy. Nhưng dù có sốt ruột cách mấy, bạn cũng nên cẩn thận dùng các chương trình diệt virus xem bức thư tình nồng cháy kia có tiềm ẩn một chú macro virus nào không rồi hãy quyết định xem nội dung của tập tin này! Đọc đến đây chắc bạn sẽ càu nhàu: "Làm gì có vẻ hình sự quá dzậy, không lẽ tình yêu trong thời đại vi tính không còn tính lãng mạn nữa hay sao?" Mặc dù người gửi thư không cố tình hại bạn (tất nhiên), nhưng sự cẩn thận của bạn trong trường hợp này là rất cần thiết, vì biết đâu bộ đếm nội của con virus trong bức thư đã đạt đến ngưỡng, chỉ cần bạn mở file một lần nữa thôi, đúng cái lúc mà bạn hồi hộp chờ Word in ra màn hình nội dung bức thư thì toàn bộ đĩa cứng của bạn đã bị xoá trắng! Đó chính là "độc chiêu" của macro virus NTTHNTA: xoá đĩa cứng khi số lần mở các file nhiễm là 20 !
3. Làm cách nào ngăn chặn sự xâm nhập của virus?
Virus tin học tuy ranh ma và bí hiểm, nhưng "vỏ quít dày có móng tay nhọn." Chúng cũng có thể bị ngăn chận và loại trừ một cách dễ dàng. Sau đây là một số biện pháp:
+ Anti-virus: Để phát hiện và diệt virus, người ta viết ra những chương trình chống virus, gọi là anti-virus. Nếu nghi ngờ máy tính của mình bị virus, hoặc giống như "lâu lâu đến bác sĩ khám xem có bệnh gì không", bạn có thể dùng các chương trình này quét sơ qua ổ đĩa của máy xem có chú virus nào đang rình rập trong máy tính hay không. Thông thường các anti-virus sẽ tự động diệt virus nếu chúng được chương trình phát hiện. Với một số chương trình chỉ phát hiện mà không diệt được, bạn phải để ý đọc các thông báo của nó.
Để sử dụng anti-virus hiệu quả, bạn nên trang bị cho mình một vài chương trình để sử dụng kèm, cái này sẽ bổ khuyết cho cái kia thì kết quả sẽ tốt hơn. Một điều cần lưu ý là nên chạy anti-virus trong tình trạng bộ nhớ tốt (khởi động máy từ đĩa mềm sạch) thì việc quét virus mới hiệu quả và an toàn, không gây lan tràn virus trên đĩa cứng. Có hai loại anti-virus, ngoại nhập và nội địa. 
Các anti-virus ngoại đang được sử dụng phổ biến là SCAN của McAfee, Norton Anti-virus của Symantec, Toolkit, Dr. Solomon... Các anti-virus này đều là những thương phẩm, có nghĩa là bạn phải bỏ tiền ra mua chứ không "xài chùa" được. Ưu điểm của chúng là số lượng virus được cập nhật rất lớn, tìm-diệt hiệu quả, có đầy đủ các công cụ hỗ trợ tận tình (thậm chí tỉ mỉ đến sốt ruột). Nhược điểm của chúng là cồng kềnh, đặc biệt chúng không nhận biết các virus "made in Vietnam". Để diệt bọn này, bạn phải dùng hàng nội địa thôi.
Các anti-virus nội thông dụng là D2 và BKAV. Đây là các phần mềm miễn phí (sau này họ có bán không thì chưa biết). Bạn có thể xài thoải mái mà không sợ bị kiện cáo lôi thôi (tất nhiên bạn đừng làm điều gì xâm phạm luật tác quyền, ví dụ như cố tình sửa tên tác giả trong chương trình chẳng hạn). Ngoài ưu điểm miễn phí, các anti-virus nội địa chạy rất nhanh do chúng nhỏ gọn, tìm-diệt khá hiệu quả và "rất nhạy cảm" với các virus nội địa. Nhược điểm của chúng là khả năng nhận biết các virus ngoại kém, ít được trang bị công cụ hỗ trợ và chế độ giao tiếp với user chưa được kỹ lưỡng lắm! "Chùa" cơ mà! Để khắc phục nhược điểm này, các anti-virus nội cố gắng cập nhật virus thường xuyên và phát hành nhanh chóng đến tay người dùng.
Tuy nhiên bạn cũng đừng quá tin tưởng vào các anti-virus. Sao kỳ vậy? Bởi vì anti-virus chỉ tìm-diệt được các virus mà nó đã cập nhật. Với các virus mới chưa được cập nhật vào thư viện chương trình thì anti-virus hoàn toàn mù tịt! Đây chính là nhược điểm lớn nhất của các anti-virus, là bài toán hóc búa tồn tại từ nhiều thập kỷ nay. Xu hướng của các anti-virus hiện nay là cố gắng nhận dạng virus mà không cần cập nhật. Symantec đang triển khai hệ chống virus theo cơ chế miễn dịch của IBM, sẽ phát hành trong tương lai. Phần mềm D2 nội địa cũng có những cố gắng nhất định trong việc nhận dạng virus lạ. Các phiên bản D2-Plus version 2xx cũng được trang bị các môđun nhận dạng New macro virus và New-Bvirus, sử dụng cơ chế chẩn đoán thông minh dựa trên cơ sở tri thức của lý thuyết hệ chuyên gia. Đây là các phiên bản thử nghiệm hướng tới hệ chương trình chống virus thông minh của chương trình này. Lúc đó phần mềm sẽ dự báo cho bạn sự xuất hiện của các loại virus mới. Nhưng dù sao bạn cũng nên tự trang bị thêm một số biện pháp phòng chống virus hữu hiệu như được đề cập sau đây.
+ Đề phòng B-virus: Đơn giản lắm, bạn hãy nhớ là đừng bao giờ khởi động máy từ đĩa mềm nếu có đĩa cứng, ngoại trừ những trường hợp tối cần thiết như khi đĩa cứng bị trục trặc chẳng hạn. Nếu buộc phải khởi động từ đĩa mềm, bạn hãy chắc rằng đĩa mềm này phải hoàn toàn sạch. Đôi khi việc khởi động từ đĩa mềm lại xảy ra một cách ngẫu nhiên, ví dụ như bạn để quên đĩa mềm trong ổ đĩa A ở phiên làm việc trước. Nếu như trong Boot record của đĩa mềm này có B-virus, và nếu như ở phiên làm việc sau, bạn quên không rút đĩa ra khỏi ổ thì B-virus sẽ "nhảy phóc" vào đĩa cứng của bạn ngay sau khi bạn bật nút Power ! 
Điều này nghe có vẻ hoang mang quá, bởi vì đâu có ai chắc chắn rằng lúc nào mình cũng nhớ kiểm tra đĩa mềm trong ổ A trước khi khởi động máy tính? Tuy nhiên bạn đừng quá lo lắng, D2-Plus đã dự trù trước các trường hợp này bằng chức năng chẩn đoán thông minh các Newg mãyrus trên các đĩa mềm. Chỉ cần chạy D2 thường xuyên, chương trình sẽ phân tích Boot record của các đĩa mềm có trên bàn làm việc của bạn và sẽ dự báo sự có mặt của chúng dưới tên gọi PROBABLE B-Virus, bạn chỉ cần nhấn ‘Y’ để D2 diệt chúng, thế là xong. 
+ Đề phòng F-virus: Nguyên tắc chung là không được chạy các chương trình không rõ nguồn gốc. Điều này hơi khó thực hiện nếu bạn có một chút "máu mê" săn lùng các chương trình trò chơi chuyền tay nhau. Hầu hết các chương trình hợp pháp được phát hành từ nhà sản xuất đều được đảm bảo. Vì vậy, khả năng tiềm tàng F-virus trong file COM,EXE chỉ còn lẩn quẩn xung quanh các chương trình trôi nổi (chuyền tay, lấy từ mạng,...) mà thôi. Nhớ nhé!
+ Đề phòng Macro virus: Như trên đã nói, họ virus này lây trên văn bản và bảng tính của Microsoft. Vì vậy, khi nhận một file DOC hay XL? nào, bạn hãy nhớ kiểm tra chúng trước khi mở ra. Điều phiền toái này có thể giải quyết bằng D2-Plus giống như trường hợp của New B-virus, các New macro virus sẽ được nhận dạng dưới tên PROBABLE Macro. Hơn nữa nếu sử dụng WinWord và Exel của Microsoft Office 97 thì bạn không phải lo lắng gì cả. Chức năng AutoDectect Macro virus của bộ Office này sẽ kích hoạt Warning Box nếu văn bản hoặc bảng tính cần mở có chứa macro. Bạn chỉ cần Disable chúng là có thể yên chí lớn rồi đó. 
Nếu “dính” virus làm sao gỡ chúng ra?
Vấn đề sẽ trở nên đơn giản khi bạn gặp phải một virus cũ. Nếu là B/F-virus, bạn hãy khởi động từ đĩa mềm hệ thống sạch. (Còn với virus macro thì không cần). Sau đó chạy anti-virus từ đĩa sạch. Nhớ kiểm tra tất cả các đĩa mềm của bạn, vì nếu còn sót thì chúng sẽ lây đi lây lại rất phiền.
Nếu New B-virus nằm trên boot record đĩa mềm, dùng D2-Plus để diệt. Trường hợp New B-virus lây vào đĩa cứng, khởi động máy bằng đĩa mềm, chạy D2-Plus, chọn Config/Mend Boot=On, chọn Drive.
Nếu có New F-virus thường trú, thì các anti-virus thường "la làng" bằng thông báo "New F-virus found in memory". Bạn hãy ngưng ngay các ứng dụng và tìm cách chép các file bị lây nhiễm gửi đến các địa chỉ anti-virus tin cậy để nhờ can thiệp.
Muốn “bắt virus” gửi cho “bác sĩ tin học” trừng trị phải làm thế nào?
Ngoại trừ các virus cũ đã được các anti-virus làm sạch, đôi khi bạn cần phải "bắt" các con mới gửi cho các anti-virus để các chuyên gia virus diệt nó dùm bạn. Việc làm này rất cần thiết, vì đây là chiếc cầu nối giữa bạn với anti-virus mà bạn ưa thích. Nếu làm được việc này, bạn sẽ thấy an tâm giống như có "bác sĩ nhà" vậy, chẳng còn sợ bệnh tật phiền nhiễu nữa.
+ Với new macro virus, bạn chỉ cần chép nguyên xi file DOC, XL? cho các nhà phát triển anti-virus là xong.
+ Với new B-virus, bạn hãy gửi đĩa đến anti-virus nếu con này nằm trên boot record đĩa mềm. Nếu nó đã vào bộ nhớ, chỉ cần đọc đĩa (bằng lệnh DIR A: chẳng hạn) rồi gửi đĩa qua đường bưu điện.
+ Với new F-virus thì khó "bắt" hơn vì chúng che chắn rất kỹ. Thông thường khi F-virus lây vào file, kích thước của tập tin COM, EXE sẽ tăng lên. Như vậy việc tăng kích thước chính là dấu hiệu cho biết sự có mặt của F-virus trên file. Bạn chỉ cần chép các file này gửi đi. Tuy nhiên một số F-virus lại che dấu kích thước vật lý thực của file khi virus đang thường trú. Vì vậy bạn cần khởi động máy tính bằng đĩa mềm sạch mới có thể đối chiếu kích thước file hiện tại với kích thước cũ được.
Như vậy bạn cần phải nhớ kích thước cũ của file thực thi. Để đơn giản bạn hãy chạy thử các phần mềm thông dụng như NCMAIN.EXE, DOSKEY.COM trong môi trường nhiễm New F-virus, rồi gửi các file này. 
Chúng tôi mong rằng bạn sẽ quan tâm đến những vấn đề mà tư liệu này đề cập. Nó sẽ giúp ích cho bạn trong việc bảo vệ dữ liệu của mình. Hãy cùng chúng tôi ngăn chận bàn tay tội lỗi của virus tin học, vì một thế giới vi tính an toàn và tươi đẹp. Xin chúc bạn vui, khỏe và thành đạt trong công việc.
	Sưu tần trên Internet
4. Phòng chống Virus
Một mô hình phòng thủ hiệu quả và chắc chắn là thiết lập nhiều tuyến phòng vệ, nào là phòng vệ bên ngoài với tường lửa cứng (tích hợp trong router), tường lửa mềm (phần mềm trong máy tính), phần mềm chống virus, phần mềm chống spyware... rồi phải cập nhật bản sửa lỗi những lỗ hổng bảo mật của hệ điều hành và của những phần mềm cài đặt trên máy tính. Tuy nhiên, nhiều người dùng gia đình không đủ khả năng (tài chính, kiến thức) để thực hiện điều này. Vậy tuyến phòng vệ nào là cần thiết và phù hợp?
1. Tường lửa (firewall) kiểm soát dữ liệu ra vào máy tính của bạn và cảnh báo những hành vi đáng ngờ; là công cụ bảo vệ máy tính chống lại sự xâm nhập bất hợp pháp bằng cách quản lý toàn bộ các cổng của máy tính khi kết nối với môi trường bên ngoài (mạng Lan, Internet...). Tường lửa có sẵn trong Windows XP chỉ giám sát được dòng dữ liệu vào máy tính chứ không kiểm soát được dòng dữ liệu ra khỏi máy tính. Người dùng gia đình thường ít có kinh nghiệm về bảo mật và virus, tường lửa sẽ không phát huy tác dụng vì người dùng không thể xử lý các cảnh báo. Hơn nữa, việc cài đặt tường lửa sẽ làm cho máy tính hoạt động chậm đi.
2. Phần mềm chống virus. Rất nhiều bài viết của chúng tôi đã giới thiệu với bạn đọc những phần mềm chống virus tốt nhất, từ những bộ phần mềm "tất cả trong một" đến những phần mềm độc lập và miễn phí. Chúng đều có những điểm mạnh yếu riêng nhưng đáng buồn là không phần mềm nào có thể bảo vệ máy tính của bạn một cách toàn diện. Một số bạn đọc không cài đặt phần mềm chống virus vì thấy hệ thống trở nên chậm chạp. Họ chấp nhận mạo hiểm (hoặc không biết) những rủi ro khi đánh đổi sự an toàn của máy tính để lấy tốc độ. Một vài bạn đọc lại cho rằng máy tính sẽ an toàn hơn, được bảo vệ tốt hơn nếu cài đặt nhiều phần mềm chống virus. Điều này cũng không tốt vì sẽ xảy ra tranh chấp giữa các phần mềm khi chúng tranh giành quyền kiểm soát hệ thống.
Ghi chú:
Thường xuyên cập nhật danh sách nhận dạng virus (virus definitions) sẽ giúp phần mềm làm việc hiệu quả hơn.
"Thủ” sẵn địa chỉ, nơi có thể tải về phần mềm BKVA trong trường hợp những phần mềm phòng chống virus của nước ngoài không phát hiện được virus có xuất xứ từ Việt Nam.
3. Cập nhật bản sửa lỗi. Lỗ hổng bảo mật của phần mềm là "điểm yếu" virus lợi dụng để xâm nhập vào máy tính của bạn. Thật không may là những điểm yếu này lại khá nhiều và người dùng cũng không quan tâm đến việc này. Hãy giữ cho hệ điều hành, trình duyệt web và phần mềm chống virus luôn được cập nhật bằng tính năng tự động cập nhật (auto update); nếu tính năng này không hoạt động (do sử dụng bản quyền bất hợp pháp), hãy cố gắng tải về từ website của nhà sản xuất bằng cách thủ công. Bạn sẽ tăng cường tính năng phòng thủ hiệu quả cho hệ thống và tránh tình trạng virus "tái nhiễm" sau khi diệt.
4. Trình duyệt an toàn hơn. Nếu so sánh, bạn dễ dàng nhận thấy Internet Explorer là trình duyệt web có nhiều lỗ hổng bảo mật nhất dù Microsoft liên tục đưa ra những bản sửa lỗi. Sử dụng những trình duyệt thay thế như Mozilla Firefox, Opera... hoặc cài đặt thêm một trong những trình duyệt này để tận dụng những ưu điểm của mỗi phần mềm và tăng tính bảo mật khi lướt web.
5. Suy nghĩ kỹ trước khi cài đặt. Nhiều bạn đọc thích táy máy, tải về và cài đặt nhiều phần mềm khác nhau để thử nghiệm. Điều này dẫn đến việc chúng ta không kiểm soát được những phần mềm sẽ làm gì trên máy tính. Thực tế cho thấy cài đặt quá nhiều phần mềm sẽ "bổ sung" thêm những lỗ hổng bảo mật mới, tạo điều kiện cho tin tặc dễ dàng xâm nhập vào máy tính của bạn, góp phần làm đổ vỡ hệ thống phòng thủ mà bạn dày công tạo dựng.
6. Sử dụng máy tính với quyền user. Với Windows NT/2000/XP, việc đăng nhập và sử dụng máy tính với tài khoản mặc định thuộc nhóm Administrators là một hành động mạo hiểm vì virus sẽ được "thừa hưởng" quyền hạn của tài khoản này khi xâm nhập vào hệ thống, máy tính của bạn có thể trở thành zombie và tấn công máy tính khác. Tài khoản thuộc nhóm Users sẽ không được phép thay đổi các thiết lập liên quan đến hệ thống, bạn sẽ tránh được nhiều nguy cơ bị phá hoại và những phiền toái, cả khi virus xâm nhập vào máy tính.
Sử dụng máy tính với quyền User sẽ khiến người dùng gặp nhiều khó khăn trong quá trình cài đặt ứng dụng và thực hiện một số tác vụ liên quan đến hệ thống nhưng chúng tôi vẫn khuyến khích bạn đọc tự giới hạn quyền sử dụng trên máy tính của mình. Hơn nữa, bạn không cần cài thêm phần mềm phòng chống spyware. Tài nguyên hệ thống không bị chiếm dụng, máy tính hoạt động nhanh hơn.
7. Sao lưu hệ thống. Bạn có thể bỏ qua bước này nếu tin rằng máy tính của mình luôn chạy tốt. Hãy thực hiện việc sao lưu vào thời điểm máy tính hoạt động ổn định, đã cài đặt những phần mềm cần thiết. Bạn có thể đưa hệ thống trở lại trạng thái đã sao lưu chỉ với vài thao tác đơn giản khi cần thiết. Để tạo tập tin ảnh của phân vùng đĩa cứng, bạn có thể sử dụng một trong những phần mềm như Drive Image của PowerQuest, Norton Ghost của Symantec, DriveWorks của V Communications, Acronis True Image của Acronis...
Việc sao lưu sẽ rất hữu ích với những bạn đọc thích táy máy, thử nghiệm tính năng phần mềm, thường xuyên truy cập vào những website "đen". Bạn sẽ tiết kiệm rất nhiều thời gian thay vì phải đi xử lý những sự cố do virus gây ra hoặc phải cài lại HĐH và những phần mềm cần thiết.
Lời kết
Ý thức người dùng là yếu tố quan trọng nhất để mô hình phòng thủ có hiệu quả chứ không phải từ việc sử dụng những phần mềm phòng chống mạnh nhất, tốt nhất. Không phần mềm nào đủ khả năng ngăn chặn virus nếu người dùng vẫn "vô tư” truy cập vào những những website "đen", website cung cấp serial, keygen (dùng để "bẻ khoá” phần mềm). Trên thực tế, máy tính cá nhân của chúng tôi chỉ cài đặt phần mềm phòng chống virus và sử dụng tài khoản thuộc nhóm Users (cả trong văn phòng) mà vẫn đảm bảo an toàn khi lướt web.