🧩 Lab Hỗ Trợ: Cấu hình các loại kiểm soát bảo mật (Configuring Examples of Security Control Types)

🎯 Kịch bản (Scenario)

Bạn là thành viên nhóm bảo mật của công ty Structureality Inc.,
và nhiệm vụ của bạn là nâng cao mức độ an toàn tổng thể của tổ chức.

Trong bài lab này, bạn sẽ tìm hiểu và thực hành với các loại kiểm soát bảo mật khác nhau, bao gồm:

• Preventive Control (Kiểm soát phòng ngừa)

• Detective Control (Kiểm soát phát hiện)

• Directive Control (Kiểm soát chỉ dẫn/hướng dẫn)

• Corrective Control (Kiểm soát khắc phục)

Mục tiêu là giúp bạn hiểu bản chất, cách cấu hình, sử dụng và kiểm thử từng loại kiểm soát bảo mật này — qua đó có thể đưa ra khuyến nghị biện pháp khắc phục phù hợp khi phát hiện điểm yếu an ninh trong thực tế.

---

🖥️ Môi trường thực hành (Understand your environment)

Bạn sẽ làm việc trong máy ảo PC10,

• Hệ điều hành: Windows Server 2019

• Vai trò: máy client trong môi trường lab

💡 Nói cách khác: bạn sẽ cấu hình, kích hoạt và thử nghiệm các biện pháp bảo mật khác nhau trên máy ảo này.

---

🧠 Mục tiêu học tập (Objectives)

Bài lab này được thiết kế để đánh giá khả năng của bạn trong việc hiểu, phân biệt và áp dụng các loại kiểm soát bảo mật khác nhau, tương ứng với mục tiêu 1.1 trong kỳ thi CompTIA Security+ (SY0-701):

1.1 – Compare and contrast various types of security controls.
(So sánh và phân biệt các loại kiểm soát bảo mật khác nhau.)

---

🔐 Giải thích các loại Security Controls

Để hiểu rõ hơn trước khi bắt đầu lab, ta cùng ôn lại bốn nhóm kiểm soát bảo mật chính bạn sẽ thao tác trong bài này:

---

1️⃣ Preventive Controls – Kiểm soát phòng ngừa

Mục tiêu:
Ngăn chặn các sự cố bảo mật xảy ra ngay từ đầu.

Ví dụ thực tế:

• Chính sách mật khẩu mạnh (password complexity)

• Cấu hình firewall hoặc antivirus

• Cấm chạy USB ngoài (Device Control Policy)

• Triển khai MFA (xác thực đa yếu tố)

Trong lab này:
Bạn có thể sẽ bật hoặc cấu hình Group Policy để hạn chế truy cập hoặc ép người dùng tuân thủ chính sách bảo mật trước khi sự cố xảy ra.

---

2️⃣ Detective Controls – Kiểm soát phát hiện

Mục tiêu:
Phát hiện khi có hành vi hoặc sự kiện bất thường đang xảy ra hoặc đã xảy ra.

Ví dụ thực tế:

• Hệ thống giám sát (SIEM, IDS/IPS)

• Log hệ thống Windows Event Viewer

• Công cụ Audit Policy (ghi lại hoạt động người dùng)

Trong lab:
Bạn có thể bật Audit Policy hoặc Event Log Monitoring để phát hiện hoạt động truy cập trái phép hoặc lỗi bảo mật.

---

3️⃣ Directive Controls – Kiểm soát chỉ dẫn (hướng dẫn)

Mục tiêu:
Đưa ra chính sách, quy trình hoặc chỉ thị để người dùng hoặc hệ thống thực hiện đúng hướng dẫn bảo mật.

Ví dụ thực tế:

• Bảng quy định an ninh nội bộ (Security Policy)

• Biển cảnh báo (“Authorized Personnel Only”)

• Thông báo logon banner trên Windows Server
  (ví dụ: “Cảnh báo: chỉ dành cho người dùng được ủy quyền…”)

Trong lab:
Bạn sẽ cấu hình Logon Banner trong Local Group Policy để hiển thị thông điệp bảo mật khi người dùng đăng nhập vào hệ thống.

---

4️⃣ Corrective Controls – Kiểm soát khắc phục

Mục tiêu:
Khôi phục hệ thống về trạng thái an toàn sau khi sự cố đã xảy ra.

Ví dụ thực tế:

• Chạy Windows Update hoặc khôi phục cấu hình mặc định

• Quét malware và loại bỏ mã độc

• Restore từ bản backup an toàn

• Reset tài khoản bị xâm phạm

Trong lab:
Bạn có thể khởi chạy một công cụ khắc phục (ví dụ: Windows Defender Scan) để xử lý hậu quả hoặc phục hồi sau sự cố.

---

🧩 Kết quả mong đợi sau khi hoàn thành lab

Sau khi hoàn tất các bước, bạn sẽ có thể:

1. Nhận biết rõ từng loại kiểm soát bảo mật và mục đích của chúng.

2. Cấu hình được các chính sách và công cụ tương ứng trong Windows Server 2019.

3. Đánh giá loại kiểm soát nào nên áp dụng trong từng tình huống.

4. Đề xuất biện pháp khắc phục (remediation) phù hợp với từng loại rủi ro hoặc điểm yếu an ninh.

---

💡 Gợi ý chuẩn bị trước khi vào lab thực hành

• Đăng nhập vào máy ảo PC10 bằng tài khoản .\admin / Pa$$w0rd.

• Mở Local Security Policy (secpol.msc) và Group Policy Editor (gpedit.msc) để quen giao diện.

• Mở sẵn Event Viewer để quan sát các log (phục vụ phần Detective Control).

• Chuẩn bị công cụ Windows Defender hoặc System Restore cho phần Corrective Control.

---

Bạn có muốn mình tiếp tục viết phần step-by-step hướng dẫn thao tác cụ thể trong lab này (từng bước cấu hình 4 loại control trên Windows Server 2019) không?
Ví dụ:
1️⃣ Thiết lập chính sách mật khẩu (Preventive)
2️⃣ Bật audit log (Detective)
3️⃣ Thêm cảnh báo logon banner (Directive)
4️⃣ Chạy Windows Defender Quick Scan (Corrective)

 

🧩 Cấu hình và kiểm thử kiểm soát phòng ngừa (Preventive Controls)

🎯 Mục tiêu của bài thực hành

Kiểm soát phòng ngừa (Preventive Control) là biện pháp được thiết kế để ngăn chặn một hành vi không mong muốn xảy ra ngay từ đầu, thay vì phát hiện hoặc khắc phục sau khi sự cố đã xảy ra.

Trong bài tập này, bạn sẽ:

1. Thực hiện một hành động vi phạm (unwanted activity) để kiểm tra hiện trạng.

2. Cấu hình một biện pháp phòng ngừa (preventive control) để ngăn chặn hành vi đó.

3. Kiểm thử lại hành động vi phạm để đảm bảo biện pháp phòng ngừa đã có tác dụng.

---

🧠 Kịch bản (Scenario)

Trên máy chủ DC10, đã tồn tại một thư mục chia sẻ tên là TOOLS.
Thư mục này được thiết kế để chỉ cấp quyền truy cập cho quản trị viên (domain hoặc local admin).

➡️ Người dùng thông thường (non-administrator) không được phép xem, truy cập hoặc đọc nội dung của thư mục chia sẻ này.

---

⚙️ Các bước thực hiện

Bước 1: Kiểm tra xem quyền chia sẻ hiện tại có đúng hay không

1. Chuyển sang máy ảo PC10.

2. Nhấn Ctrl+Alt+Delete, chọn Other user.

3. Đăng nhập bằng tài khoản người dùng thường:

   Username: Sam Password: Pa$$w0rd

4. Sau khi vào desktop, mở File Explorer (biểu tượng thư mục trên taskbar).

5. Trên thanh địa chỉ (address bar), nhập:

   \\10.1.16.1\TOOLS

   → Đây là đường dẫn UNC đến thư mục chia sẻ TOOLS trên máy chủ DC10.

✅ Kết quả quan sát:

• Người dùng Sam vẫn nhìn thấy nội dung của thư mục TOOLS.

❌ Vấn đề:
Sam không phải quản trị viên nhưng vẫn có quyền truy cập → cấu hình chia sẻ chưa được bảo vệ đúng cách.

---

Bước 2: Cấu hình biện pháp phòng ngừa

1. Chuyển sang máy ảo DC10.

2. Nhấn Ctrl+Alt+Delete, đăng nhập bằng tài khoản quản trị:

   Username: Structureality\Administrator Password: Pa$$w0rd

3. Mở Server Manager.

4. Trong menu bên trái, chọn:

   File and Storage Services → Shares

5. Tìm thư mục chia sẻ TOOLS, nhấp chuột phải vào đó, chọn Properties.

6. Mở tab Permissions → nhấp Customize permissions.

---

Bước 3: Kiểm tra danh sách quyền (Access Control List - ACL)

Danh sách ACL có thể hiển thị các nhóm sau:

• LocalAdmin

• Domain Admins

• CREATOR OWNER

• Users

Câu hỏi đặt ra là:

Nhóm hoặc tài khoản nào KHÔNG nên có quyền truy cập vào thư mục TOOLS?

✅ Đáp án:
❌ Users

🧠 Giải thích:

• “Users” đại diện cho mọi người dùng thông thường trong miền (domain), bao gồm cả Sam.

• Thư mục TOOLS chỉ dành cho quản trị viên, nên nhóm này phải bị loại bỏ quyền truy cập (Remove hoặc Deny).

• Các nhóm Domain Admins và LocalAdmin vẫn cần có quyền để quản lý hệ thống.

• CREATOR OWNER là quyền mặc định cho người tạo tệp, vẫn có thể giữ nguyên.

---

Bước 4: Kiểm thử biện pháp phòng ngừa

1. Quay lại máy ảo PC10.

2. Đăng nhập lại bằng tài khoản Sam / Pa$$w0rd.

3. Mở File Explorer, nhập lại đường dẫn:

   \\10.1.16.1\TOOLS

✅ Kết quả mong đợi:

• Hệ thống hiển thị thông báo Access Denied (Từ chối truy cập).

• Người dùng Sam không thể xem hoặc mở nội dung trong thư mục TOOLS nữa.

Điều này chứng minh biện pháp phòng ngừa đã hoạt động đúng.

---

🧾 Kiểm tra lại kết quả (Check your work)

Mục tiêu	Đã hoàn thành
Xác định hành vi vi phạm (Sam truy cập thư mục TOOLS)	✅
Cấu hình quyền chia sẻ chỉ cho admin	✅
Loại bỏ nhóm “Users” khỏi danh sách ACL	✅
Kiểm thử biện pháp phòng ngừa bằng tài khoản Sam	✅
Đảm bảo người dùng không admin không thể truy cập	✅

---

🧩 Tóm tắt bài học

Nội dung	Ý nghĩa
Preventive Control	Là biện pháp ngăn chặn sự cố bảo mật xảy ra.
Ví dụ trong bài lab	Giới hạn quyền truy cập thư mục chỉ cho admin.
Kết quả đạt được	Người dùng thường (Sam) bị chặn truy cập chia sẻ TOOLS.
Giá trị bảo mật	Giảm nguy cơ rò rỉ dữ liệu hoặc truy cập trái phép.

---

✅ Đáp án câu hỏi cuối bài:

Which account or group object on the access control list should NOT have been assigned permissions on the share?

→ Đáp án: ✅ Users

 

 

🧩 Cấu hình và kiểm thử kiểm soát phát hiện (Configure and Test Detective Controls)

🎯 Mục tiêu

Kiểm soát phát hiện (Detective Control) là biện pháp ghi lại nhật ký (log) mỗi khi một sự kiện xảy ra — bất kể hành động đó là hợp pháp hay trái phép.
Mục tiêu là giúp phát hiện, điều tra và phân tích hành vi bất thường trong hệ thống.

Trong bài này, bạn sẽ:

1. Thực hiện một hành động (xóa thư mục) chưa được ghi log.

2. Cấu hình chính sách ghi log (Audit Policy).

3. Thực hiện lại hành động và kiểm tra xem log có được ghi lại không.

---

🖥️ Môi trường

Bạn đang thao tác trên máy ảo PC10, chạy Windows Server 2019, và sử dụng tài khoản Jaime, là thành viên của nhóm LocalAdmin (tức có quyền quản trị viên cục bộ).

---

⚙️ Các bước thực hiện

Bước 1: Thực hiện hành động chưa được ghi log

1. Truy cập PC10 → gửi Ctrl+Alt+Delete → chọn Other user.

2. Đăng nhập bằng:

   Username: Jaime Password: Pa$$w0rd

3. Mở File Explorer → ở thanh bên trái, chọn thư mục LABFILES.

4. Nhấp chuột phải vào thư mục empty, chọn Delete.
   → Thư mục “empty” bị xóa ngay, không có xác nhận.

💡 Lưu ý: Mặc định của Windows Server 2019 là không yêu cầu xác nhận khi xóa.
Bạn có thể bật xác nhận trong Recycle Bin Properties, nhưng trong lab này không cần.

---

Bước 2: Kiểm tra log — xác nhận chưa có ghi nhận xóa

1. Nhấp chuột phải vào Start → chọn Event Viewer.

2. Mở rộng thư mục Windows Logs → chọn Security.

3. Chờ vài giây để tải log bảo mật.

4. Ở khung bên phải, chọn Find…, nhập từ khóa:

   empty

5. Kết quả hiện thông báo:

   “The search term was not found.”
   → Chọn OK.

✅ Kết luận:
→ Hành động xóa thư mục chưa được ghi lại (not audited).

📘 Trả lời câu hỏi:

The results of the find operation indicate what?
✅ Đáp án: Folder deletion is not being audited.

---

Bước 3: Bật chính sách Audit trong Local Security Policy

1. Ở thanh tìm kiếm, nhập:

   local

   → Mở Local Security Policy.

2. Mở rộng:

   Local Policies → Audit Policy

3. Nhấp chuột phải vào Audit object access → chọn Properties.

4. Tick cả hai ô:

   • ✅ Success

   • ✅ Failure

5. Chọn OK để lưu lại.

💡 Chính sách này bật ghi log khi có truy cập đối tượng (object) như file, folder,...
Tuy nhiên, bạn cần thêm cấu hình trên chính đối tượng để bật ghi log chi tiết.

---

Bước 4: Cấu hình audit cho thư mục LABFILES

1. Mở File Explorer → nhấp chuột phải vào LABFILES → chọn Properties.

2. Chuyển sang tab Security → chọn Advanced.

3. Trong cửa sổ Advanced Security Settings, chọn tab Auditing.

4. Nhấn Continue (vì bạn là admin).

5. Chọn Add → chọn Select a principal.

6. Nhập:

   everyone

   → chọn Check Names → OK.
   (Giờ dòng sẽ hiện “Everyone”.)

7. Chọn Show advanced permissions.

8. Tick hai mục:

   • ✅ Delete subfolders and files

   • ✅ Delete

9. Chọn OK để lưu.

10. Tick thêm mục:

• ✅ Replace all child object auditing entries…

11. Chọn OK để đóng tất cả cửa sổ.

✅ Giờ mọi hành động xóa trong thư mục LABFILES sẽ được ghi log.

---

Bước 5: Kiểm thử audit

1. Trong File Explorer, nhấp chuột phải vào thư mục:

   pcaps

   → chọn Delete.
   → Thư mục bị xóa.

---

Bước 6: Kiểm tra log trong Event Viewer

1. Quay lại Event Viewer → Security logs.

2. Ở khung bên phải, chọn Refresh.

3. Chọn dòng đầu tiên trong danh sách (điểm bắt đầu tìm).

4. Chọn Find…, nhập:

   4660

   → chọn Find Next.

📌 Event ID 4660 = “An object was deleted.”

5. Chọn Cancel để đóng Find.

6. Quan sát khung dưới → bạn sẽ thấy dòng:

   “An object was deleted.”

Nhưng: log 4660 không chứa tên đối tượng (tên thư mục bị xóa).

7. Cuộn lên khoảng 5 dòng phía trên → tìm Event ID 4663.

8. Chọn bản ghi Event ID 4663 gần nhất phía trên.

9. Xem tab General → bạn sẽ thấy dòng:

   Object Name: C:\LABFILES\pcaps

✅ Đây chính là bằng chứng (audit record) cho việc xóa thư mục pcaps.

---

📘 Giải thích ý nghĩa bảo mật

Detective Control này giúp:

• Ghi lại bằng chứng khi có thao tác nhạy cảm (xóa, sửa, truy cập).

• Hỗ trợ điều tra sự cố hoặc hành vi trái phép.

• Cung cấp log cho SIEM hoặc forensic analysis.

---

❓ Câu hỏi kiểm tra

What is the purpose of a detective control?

Các lựa chọn:

• Inform users of the proper steps to perform an activity

• ✅ Create a record of events and activities

• Notify subjects about system policies

• Deny access to an object

✅ Đáp án: Create a record of events and activities
→ Kiểm soát phát hiện (Detective Control) ghi lại nhật ký khi sự kiện xảy ra, giúp phân tích và điều tra.

---

✅ Tổng kết và xác minh

Mục tiêu	Kết quả
Thực hiện hành động chưa được ghi log	✅
Bật Audit Policy (Object Access)	✅
Cấu hình audit cho thư mục LABFILES	✅
Xóa thư mục và ghi nhận log 4660 / 4663	✅
Xác định chính xác Detective Control	✅

---

🧩 Tóm tắt kiến thức rút ra

Nội dung	Ý nghĩa
Detective Control	Giúp phát hiện và ghi nhận hành vi, phục vụ điều tra hoặc giám sát.
Event ID 4660	Ghi nhận hành động xóa đối tượng.
Event ID 4663	Chứa chi tiết đối tượng bị xóa (tên, đường dẫn, người thực hiện).
Lợi ích	Cung cấp bằng chứng khi điều tra sự cố hoặc vi phạm bảo mật.

---

🧾 Kết thúc bài lab

Đăng xuất khỏi PC10:

• Nhấp Start → Jaime → Sign out

• Nếu được hỏi “There are open programs,” chọn Sign out anyway

 

🧩 Cấu hình và kiểm thử kiểm soát chỉ dẫn (Directive Controls)

🎯 Mục tiêu

Directive Control (Kiểm soát chỉ dẫn) là biện pháp đưa ra hướng dẫn, thông báo, hoặc quy định rõ ràng cho người dùng, nhằm định hướng hành vi tuân thủ (compliant behavior).

Trong bài này, bạn sẽ:

1. Cấu hình một cảnh báo đăng nhập (logon banner) trên Windows Server.

2. Đăng xuất và đăng nhập lại để kiểm thử biện pháp này.

---

🖥️ Môi trường

Bạn làm việc trên máy ảo PC10, chạy Windows Server 2019, đăng nhập bằng tài khoản:

Username: Jaime Password: Pa$$w0rd

Tài khoản Jaime là Local Administrator, có quyền thực thi lệnh hệ thống.

---

⚙️ Các bước thực hiện

Bước 1: Đăng nhập và mở PowerShell

1. Kết nối tới PC10.

2. Gửi tổ hợp phím Ctrl+Alt+Delete, chọn Other user.

3. Đăng nhập bằng tài khoản:

   Jaime Pa$$w0rd

4. Nhấp chuột phải vào Start → chọn Windows PowerShell (Admin).

5. Khi có cửa sổ User Account Control, chọn Yes để cấp quyền quản trị.

---

Bước 2: Nhập đoạn mã PowerShell cấu hình cảnh báo

Trong cửa sổ Administrator: Windows PowerShell, nhập từng dòng lệnh sau
(và nhấn Enter sau mỗi dòng):

$BannerText = "This computer system is the property of Structureality Inc. It is for authorized use only. By using this system, all users acknowledge notice of and agree to comply with the Acceptable Use Policy (AUP). Unauthorized or improper use of this system may result in administrative disciplinary action, civil charges/criminal penalties, and/or other sanctions set forth in the AUP. By continuing to use this system, you indicate your awareness of and consent to these terms and conditions. If you are physically located in the European Union, you may have additional rights per the GDPR. Visit the website gdpr-info.eu for more information." New-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "legalnoticecaption" -Value "Authorized Use Only" -PropertyType "String" -Force | Out-Null New-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "legalnoticetext" -Value $BannerText -PropertyType "String" -Force | Out-Null

💡 Giải thích:

• Lệnh đầu tiên ($BannerText = ...) lưu nội dung cảnh báo vào biến $BannerText.

• Hai lệnh tiếp theo ghi caption (“Authorized Use Only”) và nội dung cảnh báo chi tiết vào Registry key:

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System

• Thay đổi này tự động áp dụng ngay lập tức, không cần khởi động lại.

⚖️ Lưu ý thực tế:
Trước khi triển khai banner này trong doanh nghiệp thật, hãy tham khảo bộ phận pháp lý để đảm bảo nội dung tuân thủ các luật như GDPR, HIPAA hoặc AUP nội bộ.

---

Bước 3: Kiểm thử biện pháp chỉ dẫn

1. Đăng xuất khỏi PC10:

   • Nhấn Start → Jaime (hình tròn ở góc trên) → chọn Sign out.

   • Nếu có cảnh báo về chương trình đang mở, chọn Sign out anyway.

2. Tại màn hình đăng nhập, nhấn Ctrl+Alt+Delete.

✅ Kết quả mong đợi:

• Một cửa sổ cảnh báo hiển thị trước khi nhập mật khẩu:

  Authorized Use Only This computer system is the property of Structureality Inc. ...

• Người dùng phải đọc cảnh báo và chọn OK trước khi tiếp tục.

---

Bước 4: Đọc banner và đăng nhập lại

1. Đọc thông báo cảnh báo (đây là directive control mà bạn vừa cấu hình).

2. Chọn OK.

3. Đăng nhập lại bằng:

   Jaime / Pa$$w0rd

✅ Sau khi đăng nhập, hệ thống hoạt động bình thường.

---

🧠 Giải thích ý nghĩa bảo mật

Directive Controls không ngăn chặn hay phát hiện hành động vi phạm,
mà đưa ra hướng dẫn, răn đe, hoặc cảnh báo giúp người dùng hiểu hành vi nào được phép, hành vi nào bị cấm.

Ví dụ trong thực tế:

• Banner cảnh báo khi đăng nhập hệ thống.

• Chính sách AUP (Acceptable Use Policy).

• Bảng chỉ dẫn hoặc hướng dẫn bảo mật trong khu vực làm việc.

• Thông báo về quyền riêng tư (Privacy Notice) theo GDPR.

---

❓ Câu hỏi kiểm tra

What is the goal of directive controls?

Các lựa chọn:

• Prohibition (Cấm đoán)

• ✅ Compliance (Tuân thủ)

• Defense (Phòng thủ)

• Tracking (Theo dõi)

✅ Đáp án: Compliance

🧩 Giải thích:
Directive controls nhằm hướng người dùng đến hành vi tuân thủ quy định, giúp họ hiểu rõ giới hạn, quyền và nghĩa vụ khi sử dụng hệ thống.

---

✅ Kiểm tra lại kết quả (Check your work)

Mục tiêu	Đã hoàn thành
Tạo cảnh báo đăng nhập (directive control)	✅
Hiển thị cảnh báo trước khi đăng nhập	✅
Xác nhận người dùng phải đọc & chọn OK để tiếp tục	✅
Hiểu mục tiêu của directive control là Compliance	✅

---

🧩 Tóm tắt kiến thức rút ra

Nội dung	Ý nghĩa
Directive Control	Đưa ra hướng dẫn hoặc thông báo để người dùng hành xử đúng quy định.
Ví dụ trong lab	Logon Banner cảnh báo người dùng hệ thống.
Kết quả mong đợi	Người dùng nhận thức được trách nhiệm và giới hạn khi truy cập.
Mục tiêu bảo mật	Tăng tính tuân thủ (Compliance) và giảm rủi ro vi phạm chính sách.

---

✅ Tổng kết:
Bạn đã cấu hình và kiểm thử thành công Directive Control — cụ thể là Logon Warning Banner, giúp truyền đạt chính sách bảo mật trước khi người dùng đăng nhập vào hệ thống.

🧩 Cấu hình và kiểm thử kiểm soát khắc phục (Corrective Controls)

🎯 Mục tiêu

Kiểm soát khắc phục (Corrective Control) được thiết kế để:

• Phát hiện khi hệ thống ở trạng thái kém an toàn hoặc không mong muốn,

• Sau đó tự động hoặc thủ công khôi phục về trạng thái ổn định, an toàn hơn.

Trong bài này, bạn sẽ:

1. Dùng một công cụ lỗi để kiểm tra cơ chế tự bảo vệ sẵn có của Windows (Windows Corrective Control).

2. Tạo và kiểm thử một cơ chế khắc phục tùy chỉnh cho một tệp văn bản, mô phỏng cách hệ thống phục hồi nội dung gốc khi bị thay đổi.

---

🖥️ Môi trường

Bạn đang làm việc trên máy ảo PC10 (Windows Server 2019), đăng nhập bằng:

Username: Jaime Password: Pa$$w0rd

---

⚙️ Phần 1: Kiểm tra cơ chế khắc phục gốc của Windows

Bước 1. Kích hoạt lỗi hệ thống có kiểm soát

1. Mở File Explorer → chọn thư mục SYSINTERNALS (ở Quick Access).

2. Tìm và chạy file notmyfault64.exe.

   ⚠️ Nếu bạn thấy cửa sổ dòng lệnh (CLI) xuất hiện và biến mất, tức là bạn đã mở nhầm notmyfaultc64.exe → hãy mở lại đúng file GUI.

3. Khi có hộp thoại User Account Control, chọn Yes.

4. Trong giao diện NotMyFault, chọn:

   Code overwrite → Crash

5. Máy ảo PC10 sẽ ngay lập tức bị lỗi màn hình xanh (BSOD).
   Hệ thống sẽ thực hiện partial memory dump rồi tự khởi động lại.

✅ Kết quả:

• Bạn đã xác minh rằng Windows có cơ chế tự bảo vệ (native corrective control):
  Khi phát hiện ứng dụng “lỗi nghiêm trọng”, hệ thống dừng ngay toàn bộ tiến trình để bảo vệ tính ổn định.

💡 Bài học:
Mặc dù dữ liệu chưa lưu có thể bị mất, nhưng hệ thống được giữ nguyên tính toàn vẹn và an toàn.
Đây chính là corrective action tự động của Windows.

---

❓ Câu hỏi kiểm tra

What are the dual purposes of corrective controls?
(Chức năng kép của kiểm soát khắc phục là gì?)

✅ Đáp án đúng:

• ☑ Return the system to a normal and generally secure condition

• ☑ Address an unwanted or less secure state or event

🧠 Giải thích:
Kiểm soát khắc phục có 2 vai trò chính:

1. Xử lý sự cố hoặc trạng thái không an toàn,

2. Khôi phục hệ thống về trạng thái ổn định, an toàn.

---

⚙️ Phần 2: Tạo cơ chế khắc phục tùy chỉnh (Custom Corrective Control)

Bước 1: Tạo file mẫu

Mở PowerShell (Windows PowerShell) và nhập:

"This is important" | Set-Content notes.txt

→ Tạo tệp notes.txt chứa nội dung “This is important”.

Kiểm tra nội dung:

type notes.txt

---

Bước 2: Tạo “baseline” hash cho file

Tính giá trị hash SHA-256 của file và lưu lại:

Get-FileHash ./notes.txt -Algorithm SHA256 | Select-Object -ExpandProperty Hash | Set-Content ./hash.txt

→ File hash.txt lưu giá trị băm (hash) của nội dung gốc trong notes.txt.

Xem lại hash:

type hash.txt

---

Bước 3: Giả lập thay đổi nội dung (lỗi hoặc tấn công)

Thêm nội dung sai lệch:

echo blah >> notes.txt

Xem lại nội dung:

type notes.txt

→ File đã bị thay đổi, hash cũ không còn khớp.

---

Bước 4: Phát hiện thay đổi (so sánh hash)

Chạy lệnh:

if((Get-FileHash ./notes.txt -Algorithm SHA256).Hash -eq (Get-Content ./hash.txt)) {Write-Host "The file is correct."} else {Write-Host "The file has changed. Corrective action should be initiated."}

✅ Kết quả:

The file has changed. Corrective action should be initiated.

→ Hệ thống phát hiện sự thay đổi — đây chính là phần “detect” trong corrective control.

---

Bước 5: Thực hiện khắc phục (restore nội dung gốc)

Chạy lệnh:

"This is important" | Set-Content notes.txt

→ File được khôi phục về nội dung chuẩn.

Kiểm tra lại:

type notes.txt

---

Bước 6: Xác minh đã khôi phục đúng

Chạy lại lệnh kiểm tra hash:

if((Get-FileHash ./notes.txt -Algorithm SHA256).Hash -eq (Get-Content ./hash.txt)) {Write-Host "The file is correct."} else {Write-Host "The file has changed. Corrective action should be initiated."}

✅ Kết quả:

The file is correct.

→ Nội dung đã được khôi phục thành công.

---

⚙️ Phần 3: Tự động hóa quá trình khắc phục

Bước 1: Tạo script tính hash (calchash.ps1)

Mở Notepad:

notepad calchash.ps1

Nhập nội dung sau:

Get-FileHash ./notes.txt -Algorithm SHA256 | Select-Object -ExpandProperty Hash | Set-Content ./hash.txt

Lưu file và đóng Notepad.

Chạy script:

./calchash.ps1

→ Tạo lại hash.txt.

---

Bước 2: Tạo script kiểm tra và khôi phục (check.ps1)

Mở Notepad:

notepad check.ps1

Nhập nội dung sau:

if((Get-FileHash ./notes.txt -Algorithm SHA256).Hash -ne (Get-Content ./hash.txt)) { "This is important" | Set-Content ./notes.txt Write-Host "The file has changed. Corrective action initiated." } else { Write-Host "The file is correct. No corrective action needed." }

Lưu và đóng Notepad.

Chạy script:

./check.ps1

✅ Kết quả:

The file is correct. No corrective action needed.

Thử lại:

echo blah >> notes.txt ./check.ps1

✅ Kết quả:

The file has changed. Corrective action initiated.

Kiểm tra nội dung file:

type notes.txt

→ File đã được khôi phục tự động về nội dung gốc:

This is important

---

❓ Câu hỏi kiểm tra

What is the typical means (which was used in this exercise) to detect changes in a file?

✅ Đáp án: Hashing

🧠 Giải thích:
Kỹ thuật hashing (băm dữ liệu) giúp phát hiện thay đổi trong nội dung file bằng cách so sánh giá trị hash hiện tại với giá trị hash gốc (baseline).
Nếu khác nhau → file bị sửa → cần kích hoạt corrective action.

---

✅ Tổng kết và xác minh

Mục tiêu	Đã hoàn thành
Xác minh corrective control gốc của Windows (BSOD protection)	✅
Tạo và thử nghiệm corrective control cho file	✅
Phát hiện và khôi phục file bị thay đổi	✅
Tự động hóa corrective action bằng script	✅

---

🧩 Tóm tắt kiến thức rút ra

Nội dung	Ý nghĩa
Corrective Control	Phát hiện và khôi phục trạng thái hệ thống an toàn khi có sự cố hoặc thay đổi.
Ví dụ trong lab	BSOD (native corrective control) và script khôi phục file notes.txt.
Phương pháp phát hiện thay đổi	Hashing (SHA256).
Mục tiêu kép	Xử lý trạng thái kém an toàn + khôi phục về trạng thái ổn định.
Ứng dụng thực tế	SigVerif, Windows File Protection, antivirus self-repair, scheduled integrity checks.

---

💡 Mở rộng thực tế

Bạn có thể:

• Lên lịch chạy check.ps1 khi khởi động (Startup Task) để tự kiểm tra file.

• Chạy calchash.ps1 mỗi khi bạn hợp pháp thay đổi nội dung file (để cập nhật baseline hash).

• Đây chính là cách Windows, antivirus hoặc hệ thống phát hiện và tự sửa chữa file bị thay đổi trái phép.

---

✅ Đáp án tóm tắt cuối bài

Câu hỏi	Đáp án đúng
1️⃣ Dual purposes of corrective controls	- Return system to secure condition - Address less secure state
2️⃣ Typical means to detect changes in file	Hashing

---

Bạn đã hoàn tất toàn bộ 4 loại kiểm soát bảo mật trong CompTIA Security+ Lab 🎉