Kiến thức cơ bản về Windows

1. Các phiên bản Windows

#

• Tại sao cần nắm vững Windows Fundamentals? Bởi vì đây là hệ điều hành (OS) phổ biến nhất trong cả mạng gia đình lẫn doanh nghiệp hiện nay. Do đó, Windows luôn là mục tiêu tấn công hàng đầu của hacker và mã độc.

• Lịch sử phát triển Windows Desktop:

  • Windows XP: Từng là hệ điều hành phổ biến nhất thế giới.
  • Windows Vista & 8.x: Các phiên bản này gặp nhiều lỗi và có vòng đời khá ngắn.
  • Windows 7 & 10: Những phiên bản thành công nhất. Windows 10 đã chính thức ngừng hỗ trợ từ ngày 14/10/2025.
  • Windows 11: Phiên bản hiện hành, ra mắt ngày 05/10/2021. Hai bản phổ biến nhất là Home và Pro.

• Windows Server:

  • Phiên bản mới nhất hiện nay là Windows Server 2025.
  • Máy ảo (VM) dùng trong bài thực hành này chạy Windows Server 2019 Standard.

2. Giới thiệu về Windows

#

• Windows là một hệ điều hành đồ sộ, phức tạp với vô số tệp tin hệ thống, tiện ích, cấu hình và tính năng.
• Trước khi đi sâu vào bài học, hãy khởi động VM và dùng Remote Desktop để kết nối từ xa với thông tin sau:
  • Machine IP: Machine_IP
  • User: administrator
  • Pass: letmein123!

3. Hệ thống Tệp (File System)

#

1. Phân loại File System:

#

• NTFS (New Technology File System): Là định dạng tiêu chuẩn trên các máy tính và máy chủ Windows hiện đại. Điểm mạnh nhất của nó là cơ chế Journaling (ghi nhật ký hệ thống), giúp tự động khôi phục tệp/thư mục khi có sự cố bất ngờ.
• FAT16/FAT32: Định dạng cũ, hiện nay chủ yếu dùng cho các thiết bị lưu trữ ngoài như USB, thẻ nhớ MicroSD….
• NTFS vượt trội hơn FAT nhờ khả năng hỗ trợ file dung lượng lớn hơn 4GB, cho phép phân quyền chi tiết, nén dữ liệu và mã hóa tệp tin (EFS).

2. Phân quyền NTFS (NTFS Permissions):

#

• Gồm 6 quyền cơ bản:

  1. Full Control (Toàn quyền).
  2. Modify (Sửa đổi).
  3. Read & Execute (Đọc & Thực thi file).
  4. List folder contents (Liệt kê danh sách file trong thư mục).
  5. Read (Đọc).
  6. Write (Ghi/Lưu file).

  

3. Alternate Data Streams (ADS):

#

• Đây là một thuộc tính đặc thù của hệ thống tệp NTFS, cho phép đính kèm song song nhiều luồng dữ liệu vào cùng một tệp:
  • Mặc định, dữ liệu chính của một file NTFS được lưu ở một luồng “không tên” ($DATA). Tính năng ADS hỗ trợ gắn thêm các luồng “có tên” vào bản ghi Master File Table (MFT) của file đó.
  • Cú pháp: [Tên_File_Gốc].[ext]:[Tên_Luồng_Ẩn].[ext]. Ví dụ: picture1.png:malware.exe.
• Windows Explorer không thể nhìn thấy các luồng ADS vì đây là thuộc tính ẩn. Để phân tích, ta phải dùng PowerShell hoặc các công cụ chuyên dụng như Streams.exe trong bộ Sysinternals Suite. Không phải lúc nào tính năng này cũng bị lợi dụng cho mục đích xấu.

4. Thư mục Windows\System32:

#

• Hệ điều hành Windows thường được lưu ở ổ C:\Windows, nhưng không phải máy nào cũng vậy.
• Biến môi trường (Environment Variables): Lưu trữ đường dẫn và thông số hệ thống. Ví dụ: %windir% sẽ tự động trỏ đến đúng thư mục cài đặt Windows hiện tại.
• Thư mục System32: Chứa các tệp lõi (core files) cực kỳ quan trọng của Windows. Bất kỳ cấu hình sai lệch nào tại đây cũng có thể làm hệ điều hành “sập” hoàn toàn.

5. Tài khoản, User Profile và Phân quyền:

#

1. Phân loại tài khoản:

#

• Có 2 loại chính:
  • Administrator (Quản trị viên): Có toàn quyền kiểm soát hệ thống, thay đổi cài đặt cốt lõi, thêm/xóa người dùng, cấp quyền và cài đặt phần mềm.
  • Standard User (Người dùng tiêu chuẩn): Chỉ được tương tác với tệp/thư mục cá nhân. Không thể thực hiện bất kỳ lệnh nào can thiệp vào cấp độ hệ thống.

2. User Profile (Hồ sơ người dùng):

#

• Vị trí lưu trữ: C:\Users\[Tên_người_dùng].
• Profile sẽ tự động được tạo ở lần đầu tiên user đăng nhập, chứa các thư mục cá nhân mặc định như: Desktop, Documents, Downloads, Music….

3. Công cụ Quản lý & Nhóm (Groups):

#

• Chỉ Administrator mới có quyền dùng tính năng ‘Add someone else to this PC’ (Thêm người dùng mới) tại mục ‘Other users’ trong Start Menu.
• Mỗi Group (Nhóm) đã được thiết lập sẵn một bộ quyền hạn cụ thể. Khi gán một user vào group, họ sẽ kế thừa toàn bộ quyền của group đó. Mối quan hệ giữa Group và User là many-to-many.

6. User Account Control (UAC)

#

1. UAC là gì?

#

• Vấn đề: Đa số người dùng phổ thông thường dùng luôn tài khoản Administrator để lướt web, làm việc văn phòng…. Thói quen này cực kỳ rủi ro vì nếu máy nhiễm mã độc, mã độc đó cũng nghiễm nhiên có quyền Admin cao nhất để thao túng toàn bộ hệ thống.
• Giải pháp: UAC ra đời từ bản Windows Vista để khắc phục lỗ hổng này bằng cách kiểm soát chặt chẽ việc leo thang đặc quyền (privilege elevation).

2. Cơ chế hoạt động của UAC:

#

1. Mọi phần mềm đều chỉ chạy với quyền Standard theo mặc định (kể cả khi bạn đang dùng tài khoản Administrator).
2. Nếu một phần mềm/tác vụ yêu cầu quyền Admin, UAC sẽ bật bảng thông báo để xác minh.
3. Dấu hiệu nhận biết: Những chương trình cần quyền Admin sẽ có biểu tượng “chiếc khiên” đè lên icon mặc định của chúng.

3. Phản ứng của UAC theo từng loại tài khoản:

#

• Standard User: UAC sẽ bắt nhập mật khẩu của Administrator.
• Administrator User: UAC chỉ hiển thị bảng hỏi xác nhận Yes/No.
• Ngoại lệ: Tài khoản Admin cục bộ mặc định (Built-in local Administrator) không bị UAC kiểm soát.

7. Settings và Control Panel:

#

• Là 2 công cụ cốt lõi để thay đổi và quản lý hệ thống Windows.
• Control Panel:
  • Giao diện quản trị truyền thống, chuyên xử lý các cấu hình hệ thống nâng cao và phức tạp.
  • Gỡ cài đặt phần mềm: Control Panel -> Programs -> Programs and Features.
• Settings: Ra mắt từ Windows 8 và hiện là giao diện cài đặt (UI) chính thức cho người dùng cơ bản trên các bản Windows mới.

8. Task Manager

#

• Chức năng: Giám sát toàn bộ các tiến trình (processes) đang chạy và theo dõi biểu đồ hiệu năng phần cứng theo thời gian thực.
• Phím tắt truy cập: Ctrl + Shift + Esc.
• Giao diện: Mặc định mở ở chế độ thu gọn (Simple View). Nhấp vào “More details” để mở rộng giao diện phân tích đầy đủ.

9. MSConfig và Advanced System Settings

#

1. System Configuration - msconfig

#

• Mục đích chính của MSConfig là khắc phục các sự cố liên quan đến quá trình khởi động (Boot) của Windows. Yêu cầu quyền Local Administrator để sử dụng.

• Các thẻ (Tabs) cấu hình chính:

  • General: Chọn chế độ khởi động (Normal, Diagnostic, Selective).
  • Boot: Tùy biến các thông số khi boot hệ điều hành.
  • Services: Quản lý toàn bộ các dịch vụ chạy ngầm (đang chạy hoặc đã dừng).
  • Startup: Quản lý phần mềm khởi động cùng Windows. Lưu ý: Trên Windows Server, tính năng này bị khóa ở cả MSConfig lẫn Task Manager. Để xem danh sách phần mềm startup, bạn phải ấn Win + R -> gõ shell:startup.
  • Tools: Danh sách lối tắt mở nhanh các công cụ quản trị hệ thống khác.

2. Advanced System Settings

#

• Cung cấp các thiết lập chuyên sâu về hiệu năng và khả năng phục hồi hệ thống. Truy cập bằng cách gõ View advanced system settings vào Start Menu.

1. Page file (RAM ảo)

#

• Cơ chế: Khi RAM vật lý bị đầy, Windows sẽ cắt một phần ổ cứng (gọi là Page File) để làm bộ nhớ ảo. Cơ chế này giúp máy không bị giật lag hay crash ứng dụng do thiếu RAM.
• Cấu hình: Tại tab Advanced -> mục Performance chọn Settings. Có thể tự set cứng dung lượng (MB), chọn ổ đĩa lưu trữ hoặc để Windows tự động tối ưu.

2. Startup and Recovery (Crash Dump)

#

• Cơ chế: Khi gặp lỗi hệ thống nghiêm trọng (như Màn hình xanh - BSOD), Windows sẽ tự động xuất một bản ghi trạng thái lỗi ra file Crash Dump. Các Sysadmin dùng file này để tìm nguyên nhân gốc rễ (root cause).
• Phân loại Dump: Automatic (Tự động), Kernel (Nhân HĐH), Small (256 KB), Complete (Đầy đủ toàn bộ RAM), hoặc None (Tắt).
• Cấu hình: Tại tab Advanced -> mục Startup and Recovery chọn Settings.

10. Tùy chỉnh UAC

#

• Người dùng có thể tùy biến mức độ cảnh báo hoặc tắt hẳn UAC.
• Có 4 mức độ bảo mật:
  • Always notify: Mức cao nhất, cảnh báo mọi thay đổi trên hệ thống.
  • Notify for Apps: Chỉ cảnh báo khi phần mềm bên thứ 3 can thiệp, bỏ qua các thay đổi cài đặt nội bộ của Windows.
  • Notify without dimming: Giống mức 2 nhưng màn hình không bị tối đi khi hiện cảnh báo.
  • Never notify: Tắt hoàn toàn UAC.

11. Computer Management

#

1. System Tools (Công cụ Hệ thống)

#

a. Task Scheduler

• Chức năng: Hẹn giờ tự động chạy các tác vụ (chạy script, mở phần mềm…) theo mốc thời gian hoặc điều kiện (trigger) định trước.
• Sử dụng: Vào Task Scheduler Library để xem toàn bộ danh sách tác vụ đang có. Để lên lịch mới, chọn Create Basic Task bên khung Actions.

b. Event Viewer

• Chức năng: Là “Hộp đen” lưu lại toàn bộ sự kiện (log) diễn ra trên máy để phục vụ chẩn đoán lỗi và điều tra bảo mật.
• Giao diện 3 cột:
  • Cột trái: Cây thư mục các nguồn tạo log.
  • Cột giữa: Bảng tóm tắt và chi tiết từng sự kiện.
  • Cột phải: Các nút thao tác (Actions).
• Phân loại: Log được chia thành 5 mức độ (như Application, Security, System…).

c. Shared Folder (Thư mục chia sẻ)

• Chức năng: Quản lý tập trung các tài nguyên đang chia sẻ trên mạng LAN.
• Bao gồm:
  • Shares: Danh sách các thư mục đang share (gồm cả share ẩn mặc định như C$, ADMIN$).
  • Sessions: Ai đang kết nối vào máy bạn.
  • Open files: Họ đang mở file/thư mục cụ thể nào.

d. Local Users and Groups: Quản lý user và nhóm quyền trên máy cục bộ.

e. Performance:

• Công cụ: Performance Monitor (perfmon).
• Chức năng: Vẽ biểu đồ hiệu năng phần cứng (real-time hoặc qua file log) để tìm ra “thủ phạm” gây giật lag máy.

f. Device Manager: Xem cấu hình, cập nhật Driver hoặc tắt/bật phần cứng (chuột, bàn phím, card màn hình…).

2. Storage (Lưu trữ)

#

• Disk Management là tiện ích quản trị ổ cứng chuyên sâu. Dùng để:
  • Khởi tạo ổ đĩa mới.
  • Mở rộng phân vùng (Extend Volume).
  • Thu hẹp phân vùng (Shrink Volume).
  • Đổi ký tự ổ đĩa (C:, D:, E:…).

3. Services and Applications

#

• Services: Danh sách toàn bộ các dịch vụ chạy ngầm trên máy và trạng thái của chúng (Running/Stopped).
• Kiểu khởi động (Startup Types):
  • Automatic: Tự động chạy ngay khi bật máy.
  • Manual: Chỉ chạy khi có tiến trình khác gọi tới.
  • Disabled: Khóa hoàn toàn, không cho chạy.
• WMI Control: Quản lý dịch vụ WMI. WMI cho phép dùng script (VBScript/PowerShell) để can thiệp và quản lý máy tính từ xa/cục bộ. Lưu ý: Công cụ dòng lệnh cũ WMIC đã bị Microsoft khai tử từ bản Windows 10 (21H1) và được thay thế bằng PowerShell.

12. System Information - msinfo32

#

• Chức năng: Gom toàn bộ cấu hình phần cứng, thành phần hệ thống và môi trường phần mềm vào một bảng tổng hợp duy nhất để dễ chẩn đoán bệnh.
• Các phân vùng chính: Màn hình System Summary tóm tắt thông số tổng quan (CPU, RAM, Mainboard…).
  • Hardware Resources: Thông số kỹ thuật bậc thấp của phần cứng (dành cho chuyên gia).
  • Components: Liệt kê chi tiết từng thiết bị ngoại vi/nội vi đã lắp vào máy.
  • Software Environment: Gồm các phần mềm cài thêm, kết nối mạng, tiến trình đang chạy và đặc biệt là Biến môi trường (Environment Variables).
• Biến Môi trường (Environment Variables): Nơi HĐH lưu các thông số định tuyến chung để các phần mềm khác biết cách hoạt động.
• 2 cách để mở Environment Variables:
  1. Control Panel -> System and Security -> System -> Advanced system settings -> Environment Variables.
  2. Settings -> System -> About -> Advanced system settings -> Environment Variables.

13. Resource Monitor - resmon

#

• Resmon là gì? Là phiên bản “kính lúp” của Task Manager, soi cực kỳ chi tiết mức độ tiêu thụ CPU, RAM, Disk và Network của từng tiến trình (per-process). Chuyên dùng cho người dùng nâng cao.
• Tính năng đáng chú ý:
  • Advanced Filtering: Tích chọn một phần mềm để lọc toàn bộ dữ liệu mạng/đĩa/CPU chỉ liên quan đến nó.
  • Tương tác: Tạm dừng (Pause), Tiếp tục (Resume) hoặc Ép đóng (End process) trực tiếp.
  • Process Analysis: Tìm ra các tiến trình đang bị lỗi “deadlock” (tắc nghẽn) hoặc tranh chấp quyền đọc/ghi file.
• Giao diện:
  • Overview Tab: Tóm tắt 4 thông số chính.
  • Các tab riêng biệt: Phân tích cực sâu về từng loại tài nguyên.
  • Cột đồ thị bên phải: Vẽ biểu đồ Real-time.

14. Command Prompt - cmd

#

• CMD là gì? Là giao diện dòng lệnh kinh điển của Windows. Dù có giao diện đồ họa (GUI), CMD vẫn là vũ khí mạnh nhất để xử lý sự cố.
• Nhóm lệnh thông tin cơ bản:
  • hostname: Xem tên máy tính.
  • whoami: Xem tên user đang đăng nhập.
• Nhóm lệnh Mạng & Khắc phục sự cố:
  • ipconfig: Xem cấu hình card mạng (IP, Gateway, Subnet…).
  • netstat: Kiểm tra các cổng (port) đang mở và kết nối mạng TCP/IP. Có thể ghép thêm cờ (như -a, -b) để lọc kết quả.
• Nhóm lệnh quản trị mạng (net):
  • Lệnh gốc net dùng để quản lý tài nguyên, đi kèm với các lệnh con như net user (quản lý user), net localgroup (quản lý nhóm), net share (quản lý thư mục share)….
• Cú pháp trợ giúp (Help):
  • /?: Chèn vào sau một lệnh để xem sổ tay hướng dẫn (Ví dụ: ipconfig /?).
  • Lệnh net không nhận cờ /?. Phải dùng cú pháp: net help [tên_lệnh_con] (Ví dụ: net help user).
  • cls: Xóa trắng màn hình terminal cho dễ nhìn.

15. Windows Registry - regedit

#

• Registry là gì? Là cơ sở dữ liệu (Database) cực kỳ quan trọng, có cấu trúc dạng cây thư mục. Nó lưu trữ mọi cài đặt cốt tủy của HĐH, phần cứng, user và phần mềm.
• Lưu trữ những gì?
  • Profile của user, cấu hình phần cứng.
  • Thông tin phần mềm, định dạng đuôi file.
• Công cụ: Dùng lệnh regedit/regedt32 để mở Registry Editor.
• !!! CẢNH BÁO: Registry là vùng cấm địa đối với người dùng tay ngang. Sửa sai một key trong đây hoàn toàn có thể làm “chết” hệ điều hành ngay lập tức.