Theo Microsoft, Vista là hệ điều hành (HĐH) an toàn nhất từ trước đến nay của hãng. Windows Vista hứa hẹn khóa chặt PC và tạo nên kỷ nguyên "điện toán an toàn" và những phần mềm phá hoại (malware) hung hăng trở thành chuyện của quá khứ.

Tuy nhiên, chỉ 3 tháng sau khi HĐH này chính thức tung ra thị trường, đã nảy sinh nhiều vấn đề. Các hãng phát triển phần mềm chống malware, giới hacker và các chuyên gia bảo mật đã đưa ra những nghi ngờ về tính hiệu quả của các giải pháp bảo mật của Microsoft, thậm chí có người còn cho rằng mô hình bảo mật của Vista chỉ là "trò đùa".

Microsoft luôn là mục tiêu hấp dẫn, đặc biệt khi hãng đưa ra những tuyên bố "quá đà”. Sự thật thì những thử nghiệm đầu tiên cho thấy Vista an toàn hơn nhiều so với các phiên bản Windows trước đây. Nhưng điều đó không có nghĩa HĐH mới này đánh dấu sự kết thúc những nỗi lo bảo mật của Windows. Một số phiền phức cho các nhà quản trị IT sẽ giảm đi, nhưng những điểm yếu và cách khắc phục vẫn là mối bận tâm hàng đầu.
Không cần quản trị
Một trong những cải tiến bảo mật được tán dương nhiều nhất của Vista lại bị phê phán nhiều nhất. UAC (User Account Control) nhằm giải quyết một lỗ hổng thâm niên trong cách thức Windows kiểm soát quyền của người dùng, nhưng những người không ưa nói rằng nó không đủ mạnh và không hiệu quả do thiết kế không thích hợp.

Vấn đề ở đây là vai trò của tài khoản quản trị. Giải pháp tốt nhất là người dùng chỉ được cấp quyền quản trị khi thực hiện các tác vụ yêu cầu quyền này, như cài đặt trình điều khiển (driver) thiết bị hay thay đổi các thông số (registry). Nhưng thực tế cho thấy, mặc định người dùng thường đăng nhập với tài khoản quản trị, ngay cả với những tác vụ thông thường. Khi người dùng đăng nhập với quyền quản trị, sâu và Trojan horse được mặc sức tung hoành.

Tệ hơn, sự lơ là của Microsoft về quyền người dùng khuyến khích các hãng phần mềm độc lập sử dụng cẩu thả, dùng những cách thức lập trình không an toàn làm vấn đề càng trầm trọng thêm. Nhiều ứng dụng Windows không chịu làm việc trừ phi chúng được phép chạy với quyền quản trị đầy đủ - nghĩa là chạy với cách thức ít an toàn nhất.

UAC cố gắng sửa chữa thói quen xấu này, mặc định chạy phần mềm với quyền tiết giảm. Khi một ứng dụng cố làm điều gì đó yêu cầu quyền quản trị, UAC sẽ nhắc nhở người dùng với hộp thoại hỏi xem có cho phép "nâng" ứng dụng lên cấp có quyền cao hơn hay không.

Không may, UAC có kẽ hở. Trên blog của mình, Joanna Rutkowska đưa ra chi tiết nhiều lỗ hổng của UAC Vista có nguy cơ bị khai thác (infoworld.com/5129). Ví dụ, các trình cài đặt phần mềm luôn được phép chạy với quyền quản trị đầy đủ như trong các phiên bản Windows cũ. Thêm nữa, Ollie Whitehouse, chuyên gia bảo mật của Symantec, còn chỉ ra các tập tin thực thi được cung cấp cùng với Vista có thể dùng để "qua mặt" UAC (infoworld.com/5130). Như vậy các vấn đề liên quan đến tài khoản quản trị vẫn còn đó.

Tuy nhiên, không chỉ có kẽ hở lập trình qua mặt cơ chế bảo vệ của UAC, mà các hộp thoại xác nhận của UAC có thể phiền toái và hơi khó hiểu. Người dùng có thể tìm cách cấm UAC để khỏi phiền toái, hay có thể coi thường thông điệp cảnh báo và nhấn OK mà không thèm suy nghĩ. Hơn nữa, họ còn có thể dễ dàng bị lừa bởi những chiêu thức tâm lý hay giả mạo.

Theo tài liệu về UAC của Microsoft (Windows Vista Best Practice Guidance for Consummers, infoworld.com/5128): "Windows Vista cung cấp nhiều tính năng để bảo vệ hệ thống của bạn, nhưng nó yêu cầu việc sử dụng đúng đắn. Việc bảo vệ an toàn hệ thống của bạn tùy thuộc vào hành vi của bạn, vì vậy hãy suy nghĩ trước khi nhấn". Nói cách khác, UAC đặt trách nhiệm về sự an toàn của hệ thống vào tay người dùng - điều khó an toàn tuyệt đối.

Thực sự, Microsoft không khuyến khích khách hàng nghĩ UAC như là màn chắn bảo vệ rõ ràng - và vì vậy, như Rutkowska ghi, hãng không xem các kẽ hở trong việc thực hiện UAC là lỗ hổng bảo mật (infoworld.com/5085).
Cần tinh chỉnh
Microsoft còn bổ sung nhiều tính năng khác cho Windows Vista ngoài UAC, nhiều tính năng trong số đó nhằm tăng tính bảo mật toàn diện cho HĐH. Nhưng nếu xem xét kỹ thì những phần bổ sung này chỉ là những cải tiến nhỏ so với các phiên bản Windows trước.

Windows Firewall đã được thiết lập mặc định trên tất cả cài đặt Windows mới kể từ Windows Service Pack 2. Với Vista, Windows Firewall có thêm khả năng chặn các kết nối đi ra cũng như đi vào - một cải tiến đáng kể khi mà các hiểm họa từ phần mềm gián điệp (spyware), giả danh (phishing) và các cuộc tấn công từ chối dịch vụ (DdoS) ngày càng gia tăng. Tuy nhiên, việc lọc các gói tin đi ra mặc định không được kích hoạt. Nếu không có thao tác cấu hình thủ công, firewall của Vista không bảo vệ an toàn hơn bao nhiêu so với firewall của XP SP2.