BlueSmart's Blog

Bảo mật mạng Wi-Fi trong doanh nghiệp nhỏ

bluesmart — Fri, 27 Nov 2009 11:05:38 +0000

Việc bảo mật cho một mạng không dây phải xuất phát từ nhiều góc độ. Mã hóa có thể giúp bạn ngăn chặn những người dùng trái phép kết nối vào mạng Wi-Fi nhưng cách thức này vẫn thực sự không hiệu quả nếu người dùng trái phép này đột nhập vào bên trong tòa nhà công ty của bạn. Thêm vào đó khóa mã hóa có thể bị bẻ, khi đó hệ thống bảo mật của bạn coi như không. Mặc dù vậy dù nói thế nào đi chăng nữa thì mã hóa vẫn là một lớp bảo mật quan trọng nhất cho các mạng không dây, chính vì vậy bạn cần sử dụng thêm các biện pháp khác để tăng thêm nhiều lớp bảo mật có thể.
Các mẹo trong bài mà chúng tôi giới thiệu sẽ mô tả một số kỹ thuật và phương pháp để bảo vệ mạng Wi-Fi trong các doanh nghiệp nhỏ.
Các mẹo trong bài mà chúng tôi giới thiệu sẽ mô tả một số kỹ thuật và phương pháp để bảo vệ mạng Wi-Fi trong các doanh nghiệp nhỏ.
Sử dụng mã hóa WPA – tốt hơn là WPA2
Phương pháp mã hóa Wired Equivalent Privacy (WEP) được sử dụng từ lâu và dần cho thấy có một số hạn chế trong việc bảo mật Wi-Fi. Trong một số trường hợp các khóa của phương pháp mã hóa này có thể bị bẻ một cách dễ dàng và nhanh chóng. Chính vì vậy bạn nên sử dụng phương pháp mã hóa tiên tiến Wi-Fi Protected Access (WPA hoặc WPA2).
Phiên bản WPA đầu tiên, phiên bản sử dụng thuật toán Temporal Key Integrity Protocol (TKIP), cũng đã bị tấn công nhiều trong thời gian gần đây. Mặc dù vậy, những điểm yếu của WPA không tồi tệ như WEP và sử dụng những mật khẩu mạnh có thể trợ giúp thêm. Tuy nhiên, nếu các máy tính và thiết bị mạng trong doanh nghiệp bạn hỗ trợ cho WPA2 với thuật toán Advanced Encryption Standard (AES), hãy sử dụng công nghệ mới này.
Sử dụng phiên bản Enterprise của WPA/WPA2
Để ngăn không cho các nhân viên thấy các khóa mã hóa hoặc mật khẩu và không phải load chúng trên máy tính của họ, bạn hãy sử dụng phiên bản Enterprise của WPA hoặc WPA2 thay cho phiên bản Pre Shared Key (PSK) hoặc phiên bản sử dụng cá nhân. Bên cạnh đó trong trường hợp một nhân viên rời công ty, anh ta chắc chắn sẽ vẫn có khóa để mở mạng công ty bạn. Ngoài ra, laptop của họ cũng có thể bị đánh cắp và kẻ trộm đánh cắp chiếc laptop đó sẽ có thể biết được khóa. Chính vì vậy bạn cần thay đổi các thiết lập mã hóa, tuy nhiên đó là một việc làm khó. Trong trường hợp này hãy sử dụng WPA/WPA2-Enterprise để ẩn các khóa mã hóa thực; chương trình cũng không bao giờ load chúng vào các máy tính. Sau khi mọi thứ được cấu hình, người dùng đăng nhập vào mạng bằng username và password đã được thay đổi hoặc thu hồi.
WPA/WPA2-Enterprise yêu cầu một máy chủ RADIUS, đây là máy chủ dùng để quản lý các tài khoản người dùng. Bạn có thể sử dụng các dòng máy chủ RADIUS chuyên sử dụng trong các doanh nghiệp nhỏ như Elektron và ClearBox với giá thành khoảng 600$ đến 700$. Để tiết kiệm chi phí, bạn có thể chọn một dịch vụ cáu hình các máy chủ chẳng hạn như WiTopia, dịch vụ này có giá khoảng 99$ mỗi năm. Một tùy chọn khác là mua một điểm truy cập có một máy chủ RADIUS đi kèm như NWA-3160 của ZyXEL với giá khoảng 140$.
Bảo mật các cổng Ethernet
Mặc dù có thể sử dụng cộng nghệ mã hóa Wi-Fi mới nhất nhưng cũng vẫn là vô tác dụng nếu ai đó sử dụng các cổng Ethernet ngay trong tòa nhà công ty của bạn để truy cập vào mạng. Thêm vào đó, một số nhân viên cũng có thể vô tình cắm AP (điểm truy cập) của họ vào một cổng để tạo một điểm truy cập không dây vào mạng nội bộ của bạn qua cổng Ethernet này. Để hạn chế những tình huống như vậy, bạn cần phải bảo đảm rằng tất cả các Router, AP và các thiết bị mạng đều được ẩn và được bảo vệ an toàn.
Để bảo vệ an toàn hơn cho các mạng chạy dây, bạn có thể sử dụng cơ chế thẩm định 802.1X nếu biết các thiết bị lớp doanh nghiệp của mình có hỗ trợ nó. Việc sử dụng cách thức lọc địa chỉ MAC cũng có thể giúp bạn ngăn chặn những người dùng trái phép truy cập vào mạng. Mặc dù vậy, cả hai biện pháp trên đều không ẩn được lưu lượng trước những kẻ truy cập trộm vào các mạng chạy dây – xem các mẹo tiếp theo.

Sử dụng mã hóa mở rộng (VPN)
Để mã hóa mạng chạy dây và tăng độ mã hóa cho mạng Wi-Fi, bạn có thể sử dụng các VPN bằng cách mua một máy chủ VPN chuẩn, cài đặt phần mềm máy chủ trên một máy tính hay có thể mua một dịch vụ. Mỗi một máy tính trên mạng đều có thể được cấu hình để kết nối với máy chủ VPN. Khi đó lưu lượng của người dùng trên phía mạng chạy dây sẽ được mã hóa an toàn hơn.
Không kết nối với các mạng khác
Do các máy tính có thể đang chia sẻ các file hoặc có chứa dữ liệu nhạy cảm trong chúng nên bạn cần tránh kết nối chúng với các mạng khác. Kiểm tra Windows để bảo đảm rằng nó không được thiết lập để tự động kết nối đến các mạng có sẵn. Trong Vista, bạn có thể sử dụng các lệnh WLAN cho tiện ích Netsh để khóa tất cả các mạng trừ mạng của bạn. Điều này sẽ ngăn chặn tình trạng nhân viên trong công ty vô tình kết nối đến các mạng gần đó.
Tách biệt lưu lượng giữa các VLAN
Việc chia mạng của bạn thành những mạng ảo riêng (VLAN) sẽ tạo được sự bảo mật bên trong. Với cách thức này, bạn có thể kiểm soát tốt hơn tài nguyên và lưu lượng mạng mà các nhân viên có thể truy cập và nhận được. Có thể thiết lập sao cho nhân viên thông thường sẽ không thể mở được các file được chia sẻ trên các máy tính của nhân viên quản lý. Thêm vào đó, nếu một nhân viên kiểm tra lưu lượng mạng với ý đồ xấu thì nhân viên này chỉ thấy được lưu lượng trên mạng ảo của riêng họ. VLAN cũng có thể cung cấp tính năng bảo mật mở rộng khi người dùng trái phép có thể đột nhập được vào VLAN. Thêm vào đó, nếu ai đó muốn tăng quyền truy cập trái phép, người này cũng chỉ có thể truy cập đến một phần mạng nào đó trong toàn bộ hệ thống mạng của công ty.
Bảo mật các thư mục chia sẻ và các thiết bị NAS
Để kiểm soát chính xác các file và tài nguyên mà người dùng có thể truy cập, bạn cần thẩm định các điều khoản chia sẻ thư mục và các điều khoản NTFS của file và thư mục. Thêm vào đó, cấu hình các thiết lập chia sẻ cho bất cứ thiết bị drive mạng hoặc NAS nào (network attached storage). Cấu hình các thiết lập trợ giúp nhằm ngăn chặn người dùng không xác thực truy cập vào các file.
Thẩm định tường lửa
Để bảo vệ mạng của bạn trên Internet hay các tấn công nội bộ cũng như sự xâm nhập trái phép, bạn thường phải sử dụng tường lửa trên các máy tính và trên Router mạng của mình. Các cổng chỉ nên mở khi cần thiết. Để tăng thêm độ bảo mật, bạn có thể định nghĩa phạm vi địa chỉ IP có thể sử dụng cho các cổng.
Sử dụng lọc địa chỉ MAC
Mặc dù các hacker Wi-Fi có thể dễ dàng đánh lừa địa chỉ MAC của các adapter mạng, tuy nhiên nếu sử dụng lọc địa chỉ bạn có thể bổ sung thêm một lớp bảo mật nữa cho hệ thống của mình.
Vô hiệu hóa việc quảng bá SSID
Không quảng bá tên mạng sẽ làm cho hacker Wi-Fi mất nhiều thời gian hơn trong việc phát hiện ra mạng của bạn, đây cũng là một cách tăng thêm lớp bảo mật cho hệ thống của bạn. Tuy nhiên bạn cần biết rằng SSID vẫn có thể truy tìm và bị phát hiện trong một khoảng thời gian nào đó bằng một số công cụ. Thêm vào đó là việc ẩn SSID có thể gây ra một số vấn đề, chẳng hạn như nó có thể gây ra một số vấn đề về kết nối.
Nâng cấp kịp thời
Việc bảo vệ mạng và các máy tính của bạn yêu cầu một số hoạt động bảo trì bảo dưỡng. Bạn cần kiểm tra một cách định kỳ các nâng cấp về phần mềm cho các Router, các điểm truy cập và các thành phần khác. Tuy nhiên bên cạnh đó bạn cũng cần kiểm tra các adapter mạng được tích hợp trong các máy tính và nâng cấp driver mới nhất cho chúng nếu có. Thêm vào đó cần phải bảo đảm rằng các hệ điều hành trên tất cả các máy tính cần phải được cập nhật một cách kịp thời với các bản vá lỗi. Duy trì được những công việc trên bạn sẽ tránh được những hiểm họa từ các lỗi hổng trong phần mềm cũng như phần cứng hệ thống và bổ sung thêm khả năng hỗ trợ bảo mật từ những tính năng mới.
Kiểm soát vùng bao phủ của sóng điện từ
Nếu có thể khóa tín hiệu vô tuyến đến và đi trong một phạm vi nào đó của tòa nhà thì bạn sẽ không phải lo lắng về việc những kẻ tấn công Wi-Fi hay những kẻ truy cập trộm vào hệ thống của bạn ở phía ngoài toàn nhà công ty. Mặc dù điều này khó thực hiện trong thực tế nhưng bạn cũng nên có gắng giảm lượng tín hiệu vô tuyến lọt ra ngoài. Giữa việc định vị lại các AP và điều chỉnh mức công suất của chúng, bạn có thể cho phép tín hiệu của mình bao phủ trong một vùng nào đó thuộc tầm kiểm soát của mình.

10 cách bảo mật DNS

bluesmart — Fri, 27 Nov 2009 10:46:51 +0000

Hệ thống tên miền (DNS) được sử dụng để xác định từ tên máy chủ đến những địa chỉ IP trên Internet và trên mạng cá nhân nền tảng TCP/IP. Máy chủ DNS thường là mục tiêu mà tin tặc khai thác và tấn công, tuy nhiên bạn cũng có thể bảo mật cho những máy chủ này bằng một số phương pháp sau:

1. Sử dụng DNS Forwarder

DNS Forwarder (Trình chuyển tiếp) là một máy chủ DNS thực hiện truy vấn DNS thay cho nhiều máy chủ DNS khác. DNS Forwarder được sử dụng để gỡ bỏ những tác vụ đang xử lý khỏi những máy chủ DNS đang thực hiện chuyển tiếp những truy vấn này sang Forwarder, và tăng lưu lượng bộ nhớ đệm DNS trên DNS Forwarder.

Một chức năng khác của DNS Forwarder đó là ngăn cản máy chủ DNS chuyển tiếp yêu cầu trong khi tương tác với những máy chủ DNS trên Internet. Đây là chức năng đặc biệt quan trọng vì khi đó máy chủ DNS chứa tài nguyên bên trong miền DNS. Thay vì cho phép những máy chủ DNS nội bộ tự thực hiện gọi lại lệnh và liên lạc với những máy chủ DNS khác, nó cấu hình cho máy chủ DNS nội bộ sử dụng một Forwader cho tất cả các miền không được phân quyền.

2. Sử dụng máy chủ DNS lưu trữ

Máy chủ DNS lưu trữ là một máy chủ DNS không thể phân quyền cho bất kì miền DNS nào. Nó được cấu hình thực hiện gọi lại lệnh hay sử dụng một Forwarder. Khi máy chủ này nhận một phản hồi, nó sẽ lưu kết quả và chuyển câu trả lời đến hệ thống gửi truy vấn DNS tới máy chủ DNS lưu trữ. Sau đó, máy chủ này có thể tập hợp nhiều phản hồi DNS giúp giảm đáng kể thời gian phản hồi cho những máy trạm DNS của máy chủ DNS lưu trữ.

Những máy chủ DNS lưu trữ có thể cải thiện bảo mật cho công ty khi được sử dụng như một Forwarder trong nhóm công cụ quản trị của bạn. Những máy chủ DNS nội bộ có thể được cài đặt để sử dụng máy chủ DNS lưu trữ như trình chuyển đổi của chúng, và máy chủ DNS lưu trữ thực hiện gọi lại lệnh thay cho những máy chủ DNS nội bộ. Việc sử dụng những máy chủ DNS lưu trữ như những Forwarder có thể cải thiện bảo mật bởi vì bạn không phải phụ thuộc vào những máy chủ DNS của nhà cung cấp được sử dụng như Forwarder khi bạn không tin tưởng vào cài đặt bảo mật trên máy chủ DNS của họ.

3. Sử dụng DNS Advertiser

DNS Advertiser (Trình quảng cáo) là một máy chủ DNS thực hiện truy vấn cho những miền mà DNS Advertiser được phân quyền. Ví dụ, nếu bạn lưu trữ tài nguyên cho domain.com và corp.com, máy chủ DNS công cộng sẽ được cấu hình với vùng file DNS cho miền domain.com và corp.com.

Sự khác biệt giữa DNS Advertiser với máy chủ DNS chứa vùng file DNS đó là DNS Advertiser trả lời những truy vấn từ tên miền mà nó phân quyền. Máy chủ DNS sẽ không gọi lại truy vấn được gửi tới những máy chủ khác. Điều này ngăn cản người dùng sử dụng máy chủ DNS công để xử lý nhiều tên miền khác nhau, và làm tăng khả năng bảo mật bằng cách giảm bớt những nguy cơ khi chạy DNS Resolver công cộng (gây tổn hại bộ nhớ đệm).

4. Sử dụng DNS Resolver

DNS Resolver (trình xử lý) là một máy chủ DNS có thể gọi lại lệnh để xử lý tên cho những miền không được máy chủ DNS phân quyền. Ví dụ, bạn có thể sử dụng một máy chủ DNS được phân quyền trong mạng nội bộ cho miền mạng nội bộ internalcorp.com. Khi một máy trạm trong mạng sử dụng máy chủ DNS này để đặt tên quantrimang.com, máy chủ DNS đó sẽ gọi lại lệnh bằng cách truy lục kết quả trên những máy chủ DNS khác.

Sự khác biệt giữa máy chủ DNS này và DNS resolver đó là DNS Resolver được dùng để đặt tên cho máy chủ Internet. Resolver có thể là một máy chủ DNS lưu trữ không được phân quyền cho bất kì miền DNS nào. Admin có thể chỉ cho phép người dùng nội bộ sử dụng DNS Resolver, hay chỉ cho phép người dùng ngoài sử dụng để cung cấp bảo mật khi sử dụng một máy chủ DNS bên ngoài ngoài tầm kiểm soát của admin, và có thể cho phép cá người dùng nội bộ và người dùng ngoài truy cập vào DNS Resolver.

5. Bảo vệ bộ nhớ đệm DNS

“Ô nhiễm” bộ nhớ đệm DNS là một vấn đề phát sinh chung. Hầu hết máy chủ DNS có thể lưu trữ kết quả truy vấn DNS trước khi chuyển tiếp phản hồi tới máy chủ gửi truy vấn. Bộ nhớ đệm DNS có thể cải thiện đáng kể khả năng thực hiện truy vấn DNS. Nếu bộ nhớ đệm máy chủ DNS bị “ô nhiễm” với nhiều mục nhập DNS ảo, người dùng có thể bị chuyển tiếp tới những website độc hại thay vì những website dự định truy cập.

Hầu hết máy chủ DNS có thể được cấu hình chống “ô nhiễm” bộ nhớ đệm. Ví dụ. máy chủ DNS Windows Server 2003 được cấu hình mặc định chống “ô nhiễm bộ” nhớ đệm. Nếu đang sử dụng máy chủ DNS Windows 2000, bạn có thể cài đặt chống ô nhiễm bằng cách mở hộp thoại Properties trong máy chủ DNS, chọn tab Advanced, sau đó đánh dấu hộp chọn Prevent Cache Pollution và khởi động lại máy chủ DNS.

6. Bảo mật kết nối bằng DDNS

Nhiều máy chủ DNS cho phép cập nhật động. Tính năng cập nhật động giúp những máy chủ DNS này đăng ký tên máy chủ DNS và địa chỉ IP cho những máy chủ DHCP chứa địa chỉ IP. DDNS có thể là một công cụ hỗ trợ quản trị hiệu quả trong khi cấu hình thủ công những mẫu tài nguyên DNS cho những máy chủ này.

Tuy nhiên, việc không kiểm tra những bản cập nhật DDNS có thể gây ra một vấn đề về bảo mật. Người dùng xấu có thể cấu hình máy chủ cập nhật động những tài nguyên trên máy chủ DNS (như máy chủ dữ liệu, máy chủ web hay máy chủ cơ sở dữ liệu) và định hướng kết nối tới máy chủ đích sang PC của họ.

Bạn có thể giảm nguy cơ gặp phải những bản cập nhập DNS độc hai bằng cách yêu cầu bảo mật kết nối tới máy chủ DNS để cập nhật động. Điều này có thể dễ dàng thực hiện bằng cách cài đặt máy chủ DNS sử dụng những vùng tương hợp Active Directory và yêu cầu bảo mật cập nhật động. Tất cả miền thành viên có thể cập nhật động thông tin DNS một cách bảo mật sau khi thực hiện cài đặt.

7. Ngừng chạy Zone Transfer

Zone Transfer (vùng chuyển đổi) nằm giữa máy chủ DNS chính và máy chủ DNS phụ. Những máy chủ DNS chính được phân quyền cho những miền cụ thể chứa vùng file DNS có thể ghi và cập nhật khi cần thiết. Máy chủ DNS phụ nhận một bản sao chỉ đọc của những vùng file này từ máy chủ DNS chính. Máy chủ DNS phụ được sử dụng để tăng khă năng thực thi truy vấn DNS trong một tổ chức hay trên Internet.

Tuy nhiên, Zone Transfer không giới hạn máy chủ DNS phụ. Bất cứ ai cũng có thể chạy một truy vấn DNS cấu hình máy chủ DNS để cho phép Zone Transfer kết xuất toàn bộ vùng file cơ sở dữ liệu. Người dùng xấu có thể sử dụng thông tin này để thăm dò giản đồ tên trong công ty và tấn công dịch vụ cấu trúc hạ tầng chủ chốt. Bạn có thể ngăn chặn điều này bằng cách cấu hình máy chủ DNS từ chối Zone Transfer thực hiên yêu cầu, hay cấu hình máy chủ DNS cho phép Zone Transfer chỉ từ chối yêu cầu của một số máy chủ nhất định.

8. Sử dụng Firewall kiểm soát truy cập DNS

Firewall có thể được sử dụng để chiếm quyền kiểm soát đối với những người dùng kết nối máy chủ DNS. Với những máy chủ DNS chỉ sử dụng cho những truy vấn từ máy trạm nội bộ, admin cần phải cấu hình firewall để chặn kết nối từ những máy chủ ngoài vào những máy chủ DNS này. Với những máy chủ DNS được sử dụng như Forwarder lưu trữ, firewall cần được cấu hình chỉ cho phép nhận những truy vấn DNS từ máy chủ DNS được sử dụng như Forwarder lưu trữ. Một cài đặt firewall policy rất quan trọng đó là chặn những người dùng nội bộ sử dụng giao tiếp DNS kết nối vào những máy chủ DNS ngoài.

9. Cài đặt kiểm soát truy cập vào Registry của DNS

Trên những máy chủ DNS nền tảng Windows, kiểm soát truy cập cần được cấu hình trong những cài đặt Registry liên quan tới máy chủ DNS để cho phép những tài khoản được yêu cầu truy cập đọc và thay đổi cài đặt của Registry.

Key DNS trong HKLM\CurrentControlSet\Services cần được cấu hình chỉ cho phép Admin và tài khoản hệ thống truy cập, ngoài ra những tài khoản này cần được cấp quyền Full Control.

10. Cài đặt kiểm soát truy cập vào file hệ thống DNS

Trên những máy chủ DNS nền tảng Windows, bạn nên cấu hình kiểm soát truy cập trên file hệ thống liên quan tới máy chủ DNS vì vậy chỉ những tài khoản yêu cầu truy cập vào chúng được cho phép đọc hay thay đổi những file này.

Thư mục %system_directory%\DNS và những thư mục con cần được cài đặt chỉ cho phép tài khoản hệ thống truy cập vào, và tài khoản hệ thống cần được cấp quyền Full Control.

Tắt máy tính tự động

bluesmart — Fri, 27 Nov 2009 10:34:37 +0000

Sự kết hợp giữa shortcut đến file Shutdown.exe với Windows Task Scheduler sẽ cho bạn một cách tự động tắt máy tính vào cuối buổi chiều mỗi ngày.

Việc tạo một shortcut để tắt máy của bạn rất đơn giản, chỉ cần nhấn Start | Shut down, phụ thuộc vào phiên bản hệ điều hành Windows mà bạn đang sử dụng, có thể có Shut down lần nữa. Tuy nhiên có một cách thuận tiện hơn điều đó mà chúng tôi muốn giới thiệu với các bạn trong bài đó là sự kết hợp một shortcut như vậy với Windows Task Scheduler, kết hợp này sẽ thật sự rất có ích với các nhân viên quản lý CNTT trong một văn phòng rất nhiều máy tính và tiết kiệm được năng lượng cũng như hóa đơn tiền điện hàng tháng phải trả cho các công ty.

Chúng tôi sẽ giới thiệu cho các bạn về Task Scheduler của Windows XP trước. Để khởi chạy nó, bạn hãy mở Scheduled Tasks từ Control Panel, kích đúp vào Add Scheduled Task. Khi đó Scheduled Task Wizard sẽ xuất hiện, chuyển qua một danh sách các ứng dụng, kích nút Browse và điều hướng đến Windows\system32\shutdown.exe. Đặt tên cho nhiệm vụ và chọn tùy chọn Daily. Chọn thời gian trong ngày mà bạn muốn tắt hệ thống của mình. Wizard sẽ hỏi bạn username và password; bạn có thể điền vào username và password hoặc có thể bỏ qua nó.

Trước khi nhấn Finish để lưu nhiệm vụ, kiểm tra hộp kiểm đã được kiểm Open advanced properties for this task when I click Finish. Có một mẹo ở đây đối với Shutdown.exe – nó sẽ chỉ làm việc nếu bạn cung cấp cho nó các tham số. Nếu bạn kích đúp vào bản thân chương trình, không gì xảy ra. Chính vì vậy, trong hộp thoại thuộc tính nâng cao, trong hộp Run, hãy gắn thêm một dấu cách cộng với tối thiểu một mục nào đó bên dưới từ Menu A và bất cứ hoặc không mục nào từ Menu B vào phần cuối một shortcut.

Menu A
-s shut down
-l log off
-r reboot

Menu B

-t xx Trì hoãn shutdown khoảng xx giây (Windows sẽ hiển thị một hộp thoại cảnh báo)
- c “Văn bản của bạn” Thêm “văn bản của bạn” vào hộp thoại cảnh báo

Trước khi kích OK để đóng hộp, di chuyển chuột qua tab Settings và tích vào hộp Only start the task if the computer has been idle for at least:, thiết lập giá trị thời gian phù hợp.

Để thiết lập một hành động shutdown theo lịch trình trong Windows Vista, quá trình cũng gần giống như vậy. Chỉ có một chỗ, thay vì bắt đầu trong Control Panel, bạn sẽ khởi chạy Task Scheduler từ Start menu (taskschd.msc). Sau đó, trong phần panel bên phải, kích Create Task…. Trong hộp thoại xuất hiện ra, đặt tên cho nhiệm vụ trong tab General. Trong tab Triggers, tạo một New trigger. Chọn On a schedule và đưa ra lịch trình; xác nhận hộp chọn Enabled ở dưới đã được kiểm. Từ tab Actions, chọn Start a program, trỏ đến C:\Windows\system32\Shutdown.exe và bổ sung thêm các tiếp lệnh như bạn thực hiện với Windows XP ((-s để bắt đầu, và các tiếp lệnh khác nếu bạn muốn). Cuối cùng, trong tab Conditions, kiểm tra hộp kiểm đã được đánh dấu Start the task only if the computer is idle for:, và chọn số lượng thời gian sao cho phù hợp.

Lưu ý: Dù bạn đang sử dụng XP hay Vista, khi sự kiện shutdown được kích hoạt, chỉ có một cách có thể stop nó đó là cần phải khởi chạy Shutdown.exe với tiếp lệnh -a (bỏ qua). Chính vì vậy bạn có thể tạo một biểu tượng khởi chạy nhanh hoặc một biểu tượng trên desktop với tên gọi “Cancel shutdown” để thực hiện hành động stop này.

C:\Windows\system32\shutdown.exe -a.

Sử dụng Shutdown.exe trên mạng (workgroup hoặc domain):

Đối với các quản trị viên mạng, các bạn có thể tạo một file batch nào để thiết lập hành động shutdown cho tất cả các máy tính mà bạn có thể truy cập đến. Chúng tôi đang giả định rằng bạn không có Active Directory; nếu rơi vào trường hợp này, bạn có thể sử dụng giao diện đồ họa để thực hiện. Bạn sẽ cần đến một địa chỉ IP hoặc tên của mỗi máy tính. Đôi khi tường lửa sẽ chặn quá trình này, chính vì vậy hãy hủy chọn tính năng “Enable NetBIOS” trong màn hình cấu hình của tường lửa hoặc mở cổng TCP port 139 để cho phép truy cập.

Bạn cần hai dòng trong nhắc lệnh để shut down một máy tính từ xa. Đầu tiên đó là tăng truy cập vào máy tính:

net use \\ip address or name of remote machine /user:username password

Nếu username gồm có các khoảng trống, nó cần các dấu ngoặc kép, cho ví dụ /user:”BlueSmart”.

shutdown -m\\ipaddress –s

Lưu ý: Có thể bổ sung thêm các tiếp lệnh khác như ở trên. Để có một danh sách đầy đủ, bạn hãy đánh shutdown /?. Bạn cũng có thể đưa thêm vào các comment vào như “Cảnh báo: Hệ thống sẽ shutdown trong vòng 2 phút nữa. Hãy tắt tất cả các công việc của bạn ngay từ lúc này.” Để shut down một nhóm các máy tính, hãy tạo một file batch. Bạn cần net use và sau đó dòng shutdown cho mỗi máy tính. Và từ đây bạn có thể sử dụng Task Scheduler để shut down nhóm máy tính của mình cùng một thời điểm mà bạn đặt hàng ngày.

Tạo Hiren’s BootCD Trên USB

bluesmart — Fri, 27 Nov 2009 10:09:24 +0000

Hiren’s BootCD là một sự lựa chọn tốt nhất. Từ bản 4.0 còn sơ khai đến nay, phiên bản 8.0 của Hiren’s BootCD có thể nói là đã tập hợp gần như tất cả các soft dùng trong DOS, đủ mọi chức năng, từ quản lí HDD cho đến duyệt file NTFS trên DOS, rồi Test hệ thống, RAM cho đến phục hồi password cho Windows NT/XP,etc.
Tuy nhiên, muốn dùng Hiren’s, bạn phải ghi tập tin *.iso ra CD, sau đó boot vào CD. Nhưng hiện nay, việc lưu trữ bằng CD đã dần thay thế bằng USB tiện lợi hơn. Thế nên tại sao chúng ta ko dời bộ Hiren’s từ CD lên USB để tăng tín tiện lợi, thứ nhất là dễ cập nhật version mới của Hiren (nhất là Virus Definitions cho các soft Anti-Virus), thứ 2 là có thể chỉnh sửa, thêm bớt các tools cho Hiren’s (nếu bạn rành về lệnh DOS).
Các Bước thực hiện:
Đầu tiên là cần phải có “nguyên vật liệu” để bào chế Hiren’s BootUSB:
+ Phiên bản Hiren’s mới nhất
Thực Hiện:
1. Cài đặt và mở UltraISO (khuyến khích dùng ultraISO).
2. Mở tập tin Hiren.iso (dùng UltraISO), vào menu Bootable >> Save Boot Files . Chọn nơi lưu phần boot file của Hiren’s (e.g: BootFiles.bif).

3. Sau khi làm bước 2, ta sẽ có file BootFiles.bif, file này của UltraISO nhưng nó ko mặc định mở (ko thừa nhận đứa con của mình ^_^). Để mở thằng này bằng UltraISO thì tại hộp Open (Ctrl + O cho lẹ), phần File of types chọn All files, sau đó chọn BootFiles.bif.
4. Mở tập tin *.bif này ta sẽ có phần quan trong nhất: các file boot của Hiren’s. Chọn tất cả các tập tin (ko nhấn Ctrl + A được mà hãy nhấn Shift + End), click phải >> chọn Extract >> chọn nơi lưu (e.g: C:\BootUSB).

5. Vậy là xong 50%, chạy một trong 2 USB format tools đã d’load trên. Các thiết lập có thể coi hình minh họa, chỉ xin lưu ý 2 điều là: thứ nhất (rất quan trọng) là phải format theo chuẩn FAT mới có thể boot được (đã test) và thứ 2 là chọn Creat a DOS…. thì gõ đường dẫn đến thư mục BootUSB trên (ở đây là C:\BootUSB).

6. Vào thư mục BootUSB, copy tất cả các file trong thư mục này và chép đè vào USB của bạn (chép đè nhé!). Vậy là xong 90%
7. Bước cuối cùng, dùng WinRAR (hay UltraISO cũng được), extract thư mục BootCD trong tập tin Hiren.iso ra ngoài (sau đó có thể xóa thư mục WinTools đi để tiết kiệm dung lượng). Copy cả thư mục BootCD này vào USB, như vậy USB sẽ có các tập tin như hình:

Cuối cùng là làm cách nào để boot từ USB, điều quan trọng là mainboard của bạn phải hỗ trợ (nếu ko thì làm từ nãy giớ là vô ích). Cắm USB vào, reboot máy, vào CMOS cấu hình lại thứ tự boot đầu tiên là USB (phải cắm USB trong suốt quá trình boot để main board nhận được thiết bị).

Cuối cùng là làm cách nào để boot từ USB, điều quan trọng là mainboard của bạn phải hỗ trợ (nếu ko thì làm từ nãy giớ là vô ích). Cắm USB vào, reboot máy, vào CMOS cấu hình lại thứ tự boot đầu tiên là USB (phải cắm USB trong suốt quá trình boot để main board nhận được thiết bị).

Các bạn có thể download 2 công cụ trên ở đây.

Hello world!

bluesmart — Fri, 27 Nov 2009 06:09:55 +0000

Welcome to WordPress.com. This is your first post. Edit or delete it and start blogging!