Laura Koetzle, nhà phân tích cao cấp của Forrester nói rằng tại hệ điều hành Windows Server 2003 thì phần mềm Internet Information Server (IIS) được tắt ngầm định, vì thế những máy tính không có kết nối Web thì không nhất thiết phải được bảo vệ để chống lại các cuộc tấn công trên Web.
Windows Server 2003 được thiết kế để có thể bảo mật tốt hơn so với ''những người tiền nhiệm'' của nó. Microsoft đã tiếp cận theo hai hướng để đạt được mục tiêu trên: thứ nhất, Microsoft đã bổ sung thêm một vài tính năng để nâng cao khả năng bảo mật, và thứ hai là hãng này đã sửa đổi nhiều thiết lập của hệ điều hành và vì vậy nhiều chức năng đã được tắt ngầm định. Liệu hai hướng tiếp cận này có giúp cho Microsoft giải quyết được các vấn đề về bảo mật đã từng gây phiền phức cho hãng này trong vòng hơn một thập kỷ qua, hay là người khổng lồ phần mềm vẫn còn phải vượt qua một chặng đường dài trước mắt?
Nhìn chung, các nhà phân tích dường như đều có chung nhận định rằng các tính năng bảo mật mới trong Windows Server 2003 chẳng có mấy ý nghĩa đối với các nhà quản trị hệ thống, chẳng qua chỉ là một số thay đổi trong việc xác lập các tính năng ngầm định của hệ điều hành mà thôi. Nói cách khác, các Giám đốc Thông tin sẽ vẫn phải vác trên đôi vai gánh nặng của việc đảm bảo cho mọi thứ hoạt động an toàn ngày này qua ngày khác.
Tài liệu hướng dẫn
Microsoft đã phát hành hai tài liệu ngắn giới thiệu về những cải tiến bảo mật trong Windows Server 2003, đó là ''Bảo mật có gì mới'' và ''Những đổi mới về bảo mật trong Windows Server 2003''. Đây là những cuốn sách cho những cái nhìn tổng quan nhất về khả năng bảo mật của Windows Server 2003.
Một trong số các tính năng mới được thiết kế cho hệ điều hành Windows Server 2003 là khả năng hỗ trợ sâu rộng cho chuẩn bảo mật Kerberos. Chuẩn này cho phép sử dụng các nguồn lực điện toán cụ thể trong một khoảng thời gian định sẵn. Ngoài ra, đó còn là những thay đổi trong việc thực thi khoá công khai (PKI), chẳng hạn như khả năng lưu trữ và nhận các khoá riêng (private keys) theo một cách thức logic hơn.
Hơn thế nữa, Microsoft còn cho phép người sử dụng chỉ phải đăng nhập một lần bằng mật khẩu của mình khi họ truy cập từ mạng của mình đến các mạng khác. Khả năng đăng nhập một lần (single sign-on) được thực hiện thông qua một công nghệ gọi là Forrest Trusts. Công nghệ này liên kết các Active Directory chạy trên các máy tính khác nhau.
Ngoại trừ những điểm mới nói trên thì hãng Microsoft vẫn còn bỏ quên nhiều thứ. Chẳng hạn như, mặc dù Microsoft đã tập trung tiêu điểm vào công nghệ Passport để có thể thực hiện hoàn hảo việc truyền dữ liệu cá nhân của khách hàng, thì hãng này đã thất bại trong việc hỗ trợ Ngôn ngữ Đánh dấu Xác nhận Bảo mật (SAML) - một chuẩn Ngôn ngữ Đánh dấu Mở rộng (XML) được thiết kế để thực hiện chức năng truyền dữ liệu tương tự như trên. Microsoft nói rằng bạn có thể chuyển thông tin SAML giữa các máy tính, nhưng trên thực tế khả năng sử dụng SAML của Windows không hề được như vậy, nhà phân tích John Pescatore của hãng Gartner khẳng định.
Tắt ngầm định IIS
Nhà phân tích Laura Koetzle của Forrester nói rằng tại hệ điều hành Windows Server 2003 thì phần mềm Internet Information Server (IIS) được tắt ngầm định, vì thế những máy tính không có kết nối Web thì không nhất thiết phải được bảo vệ để chống lại các cuộc tấn công trên Web. Tính tổng cộng, theo Microsoft, thì có 35 tính năng khác nhau đã được tắt ngầm định.
Ông John Pescatore nói rằng việc tắt các tính năng là một bài học lớn mà Microsoft đã rút ra được từ phiên bản Windows 2000. ''Chúng tôi nhận thấy rằng 65% nguy cơ đến từ việc các tính năng được bật ngầm định'', ông Pescatore nói.
Bảo mật ngầm định
Liệu có thể có một thiết lập bảo mật ngầm định? Dường như đây là một thuật ngữ bị dùng sai. Các nhà quản trị hệ thống vẫn đang chịu trách nhiệm sửa đổi các thiết lập để tạo ra một cấu hình phù hợp cho hệ thống máy tính của công ty mình. Để làm được điều này, họ cần phải nghiên cứu một văn bản PDF dài 290 trang có tên là ''Hướng dẫn bảo mật Windows 2003'', và xem thêm một tài liệu khác là Các nguy cơ và biện pháp đối phó''. Đây là tài liệu có tính thực tiễn cao giúp các nhà quản trị vận hành Windows một cách an toàn. Tài liệu đưa ra nhiều biện pháp bảo mật để người quản trị có thể lựa chọn, nhằm cân bằng giữa nguy cơ bị tấn công với yêu cầu xác bảo mật hệ thống.
Chẳng hạn như, người quản trị có thể thiết lập số lần đăng nhập mật khẩu cho người dùng từ mức 0 - 999 lần. Đặt giá trị như vậy cho phép các chương trình bẻ khoá mật khẩu có 0 - 999 cơ hội để đoán mật khẩu, tuy nhiên điều này còn tốt hơn nhiều so với việc khoá ngay tài khoản sau vài ba lần đăng nhập bất thành, bởi vì các chương trình phá hoại có thể lợi dụng điều này để làm tê liệt hệ thống máy tính của một công ty sau khi nó thực hiện việc kiểm tra mật khẩu vài lần.
Đối với các nhà quản trị mạng còn sợ ''tránh vỏ dưa gặp vỏ dừa'', Microsoft đưa ra lời khuyên: Các công ty có thể lựa chọn một trong hai cách trên, tuỳ thuộc vào sự nhận biết các mối hiểm họa cũng như những rủi ro mà họ đang cố gắng làm giảm bớt''.
Những nguy cơ từ việc lựa chọn
Về bản chất, một hệ thống với khả năng mềm dẻo cao có khi lại là một vấn đề. ''Tài liệu hướng dẫn của Microsoft cung cấp những giải pháp thực tiễn, nhưng trên thực tế thì sự việc phức tạp hơn nhiều, nó giống như là một hệ thống không thể nào quản lý được. Và đó là lúc các lỗ hổng xuất hiện'', Dana Gardner, nhà phân tích cao cấp của Yankee Group nói.
Mặc dù Gardner ca ngợi việc Microsoft tắt các tính năng ngầm định, nhưng ông ta cũng cảnh báo rằng vấn đề bảo mật trên thực tiễn vượt xa việc tắt các tính năng ngầm định. ''Các công ty đều nhận ra rằng bảo mật giống như là một cuộc kết hôn giữa hai người. Không chỉ có một bên nỗ lực mà phải cả Microsoft và các nhà quản trị hệ thống''.
Nghi ngờ hay tin tưởng?
Các nhà phân tích tin rằng phải mất từ 12 đến 18 tháng thì mới có thể kết luận những nỗ lực bảo mật của Microsoft có ''đơm hoa kết trái'' hay không. Vấn đề có vẻ trở nên phức tạp khi người khổng lồ phần mềm trong năm nay sẽ tung ra một số phiên bản phần mềm mới, đó là SQL Server và Exchange, cũng như gói công nghệ có tên mã là Palladium mà Microsoft đã từng đề cập đến như là một Cơ sở Điện toán Bảo mật Thế hệ tiếp theo.
Cuối cùng, thành tố quan trọng nhất để xác định khả năng bảo mật của Windows có lẽ là mã chương trình. Cho dù các tính năng có được bật hay tắt ngầm định, thì chỉ có Microsoft mới có thể thay đổi mã chương trình. Cần phải nhiều tháng nữa mới có thể xác định được liệu Windows Server 2003 có bảo mật hơn ''những người tiền nhiệm'', nhưng cho đến nay thì các nhà phân tích vẫn nhìn nhận lời cam kết của Microsoft với một thái độ nghi ngờ.
''Khi Windows XP được tung ra thị trường, Bill Gates đã từng nói đây là hệ điều hành Windows bảo mật nhất. Hai tuần sau chúng tôi phát hiện ra lỗ hổng Plug-and-Play. Và lúc đó thì chúng tôi tự hỏi liệu lời cam kết của Microsoft có thể tin tưởng'', nhà phân tích John Pescatore nói.
Hồng Ngọc - Theo E-Commerce Times