Bài học 1Dịch vụ cần xem xét vô hiệu hóa hoặc hạn chế: liệt kê dịch vụ rủi ro (ví dụ: Remote Registry, SSDP, UPnP, Bluetooth Support) và quy trình an toàn vô hiệu hóa qua services.mscXác định dịch vụ Windows 7 tăng bề mặt tấn công như Remote Registry hoặc UPnP, học phương pháp an toàn vô hiệu hóa hoặc hạn chế sử dụng services.msc, bao gồm kiểm tra phụ thuộc và lập kế hoạch hoàn tác.
Inventorying enabled Windows 7 servicesIdentifying high-risk legacy servicesDisabling services via services.mscChecking dependencies before changesRollback and monitoring after changesBài học 2Củng cố quản lý tài khoản: đổi tên hoặc vô hiệu hóa tài khoản tích hợp, hạn chế đăng nhập tương tác và đặt giờ đăng nhậpCủng cố quản lý tài khoản bằng cách đổi tên hoặc vô hiệu hóa tài khoản tích hợp, hạn chế đăng nhập tương tác, thực thi giờ đăng nhập và giám sát sử dụng để giảm lạm dụng danh tính cục bộ và miền mạnh mẽ trên Windows 7.
Renaming or disabling AdministratorRestricting Guest and shared accountsLimiting local interactive logonsConfiguring logon hours and workstationsReviewing account usage and anomaliesBài học 3Ghi nhật ký và lưu trữ bảo mật: tập trung Nhật ký Sự kiện qua Chuyển tiếp Sự kiện Windows hoặc xuất định kỳHiểu cách tập trung Nhật ký Sự kiện Windows 7 sử dụng Chuyển tiếp Sự kiện Windows hoặc xuất, xác định thời gian lưu trữ, bảo vệ tính toàn vẹn nhật ký và đảm bảo nhật ký sẵn sàng cho phản ứng sự cố và đánh giá tuân thủ.
Key Windows 7 log types to collectConfiguring Windows Event ForwardingScheduled log export and archivalProtecting log integrity and accessDefining retention and storage limitsBài học 4Thực hiện quyền hạn nhỏ nhất: sử dụng tài khoản người dùng tiêu chuẩn và quy trình nâng cao (Run as)Thực hiện quyền hạn nhỏ nhất trên Windows 7 bằng tài khoản người dùng tiêu chuẩn, nâng cao được kiểm soát với Run as và tách nhiệm vụ quản trị. Học giảm sử dụng quản trị viên cục bộ trong khi bảo tồn quy trình hỗ trợ cần thiết.
Creating and using standard user accountsSeparating admin and daily use profilesUsing Run as and elevation promptsLimiting local administrator membershipAuditing privileged activity regularlyBài học 5Lựa chọn mã hóa đĩa (điều kiện tiên quyết BitLocker trên Windows 7 Professional), trường hợp sử dụng và biện pháp phòng ngừa trên phần cứng cũHiểu lựa chọn mã hóa đĩa cho Windows 7, bao gồm điều kiện tiên quyết BitLocker và hạn chế trên phiên bản Professional. Học khi nào mã hóa, quản lý khóa và kiểm tra gì trên phần cứng cũ trước triển khai.
BitLocker prerequisites and editionsSelecting volumes and data to encryptKey storage and recovery proceduresPerformance impact on legacy hardwareBackup and rollback considerationsBài học 6Cấu hình Tường lửa Windows với Bảo mật Nâng cao: tạo quy tắc vào/ra, hạn chế dịch vụ và cổng ở mức tối thiểuKhám phá Tường lửa Windows với Bảo mật Nâng cao để hạn chế lưu lượng vào/ra, tạo quy tắc chi tiết cho dịch vụ và cổng, áp dụng hồ sơ và kiểm tra cấu hình tránh làm gián đoạn ứng dụng cũ quan trọng.
Reviewing existing firewall profilesCreating inbound service rulesRestricting outbound application trafficUsing scope, users, and interface filtersTesting and documenting firewall changesBài học 7Chiến lược vá khi OS hết hỗ trợ: vá ảo, hạn chế bề mặt tấn công, vá ưu tiên ứng dụng bên thứ ba và cập nhật firmware/driver sau kiểm traHọc bảo vệ hệ thống Windows 7 không hỗ trợ bằng giảm dịch vụ lộ ra, áp dụng vá ảo ở lớp mạng, ưu tiên cập nhật bên thứ ba và triển khai firmware/driver an toàn sau kiểm tra.
Identifying critical exposed servicesVirtual patching with network controlsPrioritizing third-party application fixesTesting firmware and driver updatesDocumenting patch exceptions and risksBài học 8Kiểm soát vật lý và hoạt động: chính sách phương tiện tháo rời, hạn chế USB và thực hành mật khẩu boot/BIOS bảo mậtÁp dụng kiểm soát vật lý và hoạt động cho Windows 7, bao gồm mật khẩu BIOS và boot, hạn chế phương tiện tháo rời và chính sách thiết bị USB, ngăn truy cập trái phép và trích xuất dữ liệu trên điểm cuối cũ.
Setting BIOS and boot passwordsRestricting boot order and mediaUSB storage and device control optionsHandling lost or stolen legacy devicesOperational procedures for techniciansBài học 9Thay đổi chính sách bảo mật cục bộ: áp dụng chính sách kiểm toán, Phân công Quyền Người dùng và tùy chọn bảo mật (ví dụ: ký SMB, mức xác thực LAN Manager)Củng cố Windows 7 sử dụng Chính sách Bảo mật Cục bộ bằng điều chỉnh chính sách kiểm toán, Phân công Quyền Người dùng và tùy chọn bảo mật như ký SMB và mức xác thực LAN Manager, giám sát vấn đề tương thích trên miền cũ.
Configuring detailed audit policiesAdjusting User Rights AssignmentTuning SMB signing requirementsSetting LAN Manager auth levelsExporting and reusing policy templatesBài học 10Phân đoạn mạng và hạn chế dựa trên host: cấu hình quy tắc tường lửa hạn chế truy cập chỉ máy chủ và host quản lýSử dụng phân đoạn mạng và quy tắc tường lửa dựa trên host để hạn chế truy cập Windows 7 chỉ vào máy chủ cần thiết và trạm quản lý. Học vẽ luồng, hạn chế subnet và xác thực cách ly không làm hỏng dịch vụ.
Mapping required network communicationRestricting access to admin subnetsLimiting exposure to user networksFirewall rules for management hostsValidating segmentation with testingBài học 11Lựa chọn danh sách trắng ứng dụng có sẵn trên Windows 7 (thay thế Applocker, Chính sách Hạn chế Phần mềm) và cân nhắc triển khaiXem xét lựa chọn danh sách trắng ứng dụng trên Windows 7, bao gồm Chính sách Hạn chế Phần mềm và kịch bản AppLocker hạn chế. Học thiết kế quy tắc, kiểm tra chế độ kiểm toán và triển khai cấu hình ít gián đoạn.
Choosing SRP versus AppLocker optionsDesigning path and hash-based rulesUsing audit mode before enforcementDeploying policies to multiple hostsMaintaining allowlists over timeBài học 12Cấu hình chính sách người dùng và mật khẩu cục bộ: độ phức tạp mật khẩu, độ dài, hết hạn, khóa tài khoản qua Chính sách Bảo mật Cục bộ (secpol.msc)Cấu hình chính sách mật khẩu và khóa tài khoản cục bộ trên hệ thống Windows 7 độc lập. Học đặt độ phức tạp, độ dài, hết hạn và ngưỡng khóa sử dụng Chính sách Bảo mật Cục bộ tránh khóa người dùng.
Password length and complexity rulesPassword history and expiration tuningAccount lockout thresholds and timersConfiguring policies in secpol.mscBalancing usability with brute-force riskBài học 13Xác định tư thế bảo mật chấp nhận được cân bằng ổn định và thay đổi tối thiểuXác định đường cơ sở bảo mật chấp nhận được cân bằng ổn định và thay đổi tối thiểu cho Windows 7. Học phân loại hệ thống, đặt kiểm soát tối thiểu, tài liệu hóa rủi ro chấp nhận và lập kế hoạch cải thiện dần dần.
Classifying legacy system criticalitySetting minimum baseline controlsEvaluating impact versus security gainDocumenting accepted residual risksPlanning phased hardening improvementsBài học 14Chiến lược antivirus/antimalware tương thích Windows 7 và phương pháp cập nhật ngoại tuyếnHọc chọn công cụ antivirus và antimalware vẫn hỗ trợ Windows 7, cấu hình quét thời gian thực và định kỳ, duy trì bảo vệ trên mạng cô lập sử dụng cập nhật định nghĩa ngoại tuyến và phân phối thủ công.
Supported AV products for Windows 7Configuring real-time and scheduled scansOffline definition downloads and stagingUpdating isolated and air-gapped hostsVerifying AV health and event alerts
