LÀM TH NÀO Đ B O V CÁC MÁY TÍNH C A M T T CH C
Ph n 2: Chính sách an toàn Account cho Computer (Security Account Policies )
ph n tr c tôi đã gi i thi u nh ng ph ng th c chung đ b o v máy tính c a m t ướ ươ
t ch c. Ph n ti p theo này tôi s trình bày nh ng ph ng th c c th theo trình t , t ế ươ
quá trình setup h th ng, v n hành h th ng d a trên nh ng chính sách an toàn t basic
cho đ n nh ng kĩ năng advance mà các Security Admin c n quan tâm đ áp d ng vàoế
vi c xây d ng các quy trình an toàn thông tin cho t ch c. Ph n trình bày này tôi xin đ
c p đ n v n đ an ninh account (account security) và cách th c t o account an toàn ế
nh m đ i phó v i nh ng ki u t n công r t ph bi n và hi u qu d i s tr giúp c a ế ướ
nh ng công c phù th y…
Chính sách v account và cách th c t o account nghèo nàn là con đ ng d dàng nh t ườ
cho attacker, nh v y nh ng hình th c b o m t khác đ c áp d ng vào h th ng như ượ ư
trang b các công c ch ng maleware (prevent virus, worm, spyware, ad-ware..), tri n
khai h th ng phòng th M ng (Firewall) cũng s không có tác d ng nào đáng k , vì
Admin quá th trong cách th c t o account và đ a ra chính sách t o account ch a ơ ư
đ ng nhi u r i ro này.
Yêu c u xác đ nh các chính sách t o password m nh và đ a ra đ c chi n l c an toàn ư ượ ế ượ
account áp d ng vào an toàn thông tin c a t ch c là v n đ mang tính c p bách.
A. Làm th nào đ t o và qu n lý Account an toàn ế
Nh ng y u t d i đây s cho chúng ta th y cách th c t o và qu n lý Account sao cho ế ướ
an toàn
Account ph i đ c b o v b ng password ph c h p ( password length, ượ
password complexity)
Ch s h u account ch đ c cung c p quy n h n truy c p thông tin và d ch v ượ
c n thi t (không thi u quy n h n mà cũng không th đ th a) ế ế
Mã hóa account trong giao d ch trên M ng (k c giao d ch trong M ng n i b )
L u tr account an toàn ( nh t đ nh database l u gi tai kho n ph i đ c đ tư ư ượ
trên nh ng h th ng an toàn và đ c mã hóa) ượ
Hu n luy n nhân viên, nh ng ng i tr c ti p s d ng Computer cách th c b o ườ ế
m t account tránh rò rĩ (attacker có th l i d ng m i quan h v i nhân viên
ho c gi danh b ph n kĩ thu t h tr x lí s c h th ng t xa đ khai
thác ), h ng d n cách th c thay đ i password khi c n thi t và tránh tuy t đ iướ ế
vi c ghi l i account trên các stick-notes r i gián b a bãi trên Monitorho c
Keyboard..), Khóa (lock) ngay Computer khi không s d ng, m c đ nh trên các
máy tính th ng cũng có chính sách t đ ng lock computer sau môt th i gianườ
không s d ng, đ giúp cho nh ng nhân viên hay quên tránh đ c l i b o m t ượ
s đ ng (l i này gi ng nh vi c ra kh i nhà mà không khóa c a) ơ ư
Nh ng ng i t o và qu n lý account (đ c bi t là nh ng account h th ng – ườ
System accounts, và account v n hành, ki m soát các d ch v - service
accounts) cho toàn b t ch c là nh ng ng i đ c xem là ườ ượ AN TOÀN TUY T
Đ I.
Disable nh ng account t m th i ch a s d ng, delete nh ng account không còn ư
s d ng.
Tránh vi c dùng chung Password cho nhi u account
Khóa (lock) account sau m t s l n ng i s d ng log-on không thành công vào ườ
h th ng.
Có th không cho phép m t s account qu n tr h th ng và d ch v , không
đ c log-on t xa (remote location log-on), vì nh ng h th ng và d ch v nàyượ
r t quan tr ng và thông th ng ch cho phép đ c ki m soát t bên trong ườ ượ
(internal Network), n u có nhu c u qu n tr và support t xa Security Adminế
v n d dàng thay đ i chính sách đ đáp ng nhu c u.
Các Security admin khi log-on vào Server ch nên dùng account có quy n h n
th p, khi c n qu n tr hay v n hành các d ch v , m i nên dùng account System
ho c Service (ví d Microsoft Windows h tr command run as thông qua run
as service đ cho phép đ c l p qu n tr các thành ph n c a h th ng, các d ch
v mà không c n ph i log-on vào máy ban đ u b ng account admin). Đi u này
giúp chúng ta tránh đ c các ch ng trình nguy hi m đã l t vào máy tính ch yượ ươ
v i quy n admin, khi đó các admin th t s c a Computer s g p nhi u r c r i.
Vá t t c nh ng l h ng h th ng đ ngăn ch n các ki u t n công “ đc quy n
leo thang” (b t đ u l t vào h th ng v i account thông th ng và sau đó leo ườ
thang đ n quy n cao nh t) ế
Trên đây là nh ng ph n tr c quan nh t mà Admin Security c n hình dung c
th khi thi t k chính sách b o m t account (account security policies). M t ế ế
trong nh ng chính sách b o v h th ng c n ph i xem xet kĩ l ng nh t nh ng ưỡ ư
thông th ng d l là th m chí là coi nh , mà s th c h u h t các con đ ngườ ơ ế ườ
xâm nh p vào h th ng đ u qua khai thác Credentials (có đ c thông tin ượ
account), attacker n m đ c vulnerabilities ( y u đi m ) này, nên l i d ng khai ượ ế
thác r t hi u qu .
B. Phân tích và thi t k các chính sách an toàn cho account. ế ế
Phân tích nh ng r i ro và xác đ nh các m i đe d a đ i v i account :
Account cho m t User s xác đ nh nh ng hành đ ng mà User đó có th th c hi n.
Vi c phân lo i account s ch ra nh ng c p đ b o v thích h p khác nhau.
Loi account
Độ tin cy
Ví d
Ng i dùng bên ngoài ườ
Th p
User truy c p Web server (anonymous user), đ i tác kinh doanh (business partners)..
Nhân viên n i b
V a ph i
Nhân viên h p đ ng, nhân viên chính th c..
Nhóm Administrator
Cao
Quy n qu n tr h th ng, d ch v , d li u t ch c…
Các account trên h th ng s nh n đ c 2 lo i quy n c b n ượ ơ :
User rights (Quy n h th ng): Là lo i đ c quy n mà User đ c h th ng cho ượ
phép th c thi nh ng hành đ ng đ c bi t (ví d : Quy n Backup Files Và
Folders, thay đ i th i gian h th ng, shutdown h th ng…)
Trên Windows các b n có th type command secpol.msc t i RUN, đ open
Local Security Settings\ local policies\ User rights assignment là n i xác l p cácơ
User rights c a h th ng
Permissions (Quy n truy c p): Đ c ki m soát b i ượ DACLs (Discretionary
access control lists) c a h th ng, đ c phép truy c p vào các File/Folder hay ượ
Active Directory objects (trong Domain) (ví d User A đ c quy n ượ
Read/Modify đ i v i Folder C:\Data, User B đ c Full Control đ i v i OUượ
Business..)
Chú ý trong vi c c p phát Permission cho account, nên đ a account vào Group ư
đ d ki m soát, tránh vi c phân quy n mang tính cá nhân cho m t account nào
đó. Đi u này tăng c ng kh năng ki m soát account, vì khi s l ng account ườ ượ
c a h th ng (Local hay Domain) tăng lên thì vi c t ch c này t o s an toàn
và d ki m soát h n. ơ
Nh ng k h t Account có th t o c h i cho attacker ơ :
Password:
Password quá y u (đ dài password quá ng n, các kí t đ n gi n, l y ngàyế ơ
tháng năm sinh, tên nh ng b phim, đ a danh, nhân v t n i ti ng , đ t cho ế
password).
Dùng cùng password cho nhi u account. password đ c dán b a bãi lên ượ
Monitor/Keyboard, ho c l u password vào m t text file không b o v . ư
Chia s password h th ng c a mình cho b n đ ng nghi p…
C p phát đ c quy n:
C p phát đ c quy n Administrator cho các User.
Các services c a h th ng không dùng Service account.
C p phát User right không c n thi t cho account. ế
Vi c s d ng account :
Log-on vào máy v i account Administrators khi thi hành nh ng tác v thông
th ng. ườ
T o nh ng User account cho phép quy n qu n tr các tài kho n khác. Kích ho t
nh ng tài kho n không còn đ c s d ng (ví d nhân viên đã ngh vi c, tài ượ
kh an v n đ c l u hành trên h th ng..) ượ ư
Thi t k chính sách t o Password đáp ng b o m t cho Accountế ế :
Chính sách t o password sao cho an toàn th c s m t trong nh ng y u t ư ế
chính đ b o v tài kho n. Chính sách này bao g m các y u t chính nh sau: ế ư
Th i gian t i đa s d ng password (maximum password age): H n s d ng t i
đa c a password tr c khi user ph i thay đ i password. Thay đ i password theo ướ
đ nh kì s giúp tăng c ng an toàn cho tài kho n ườ
Th i gian t i thi u password ph i đ c s d ng tr c khi có th thay đ i ượ ướ
(minimum password age). Admin có th thi t l p th igian này kho ng vài ngày, ế
tr c khi cho phép user thay đ i password c a h . ướ
Th c thi password history: S l n các password khác bi t nhau ph i s d ng
qua, tr c khi quay l i dùng password cũ. S Password history càng cao thì đướ
an toàn càng l n.
Chi u dài password t i thi u (minimum password length) c n ph i đ t. Càng
dài càng an toàn
Password ph i đ t yêu c u ph c h p: không ch v đ dài mà còn v đ ph c
h p c a các kí t đ t password (ví d b n có th th y s khác bi t gi a
password P@ssW0rd)
Khi dùng password ph c h p c n quan tâm:
Không s d ng h và tên
Ch a ít nh t 6 kí t
Có th đan xen ch hoa,(A..Z) th ng (a..z), và các kí t đ c bi t nh : ườ ư !@#$
%^&*()
Account lockout: S b khóa tài kho n trong m t th i gian nh t đ nh, n u nh ế ư
sau m t s l n log-on không thành công vào h th ng. M c đích c a chính sách
này nh m ngăn ch n các cu c t n công d ng brute force vào account đ
password.
Trên đây là nh ng v n đ c t lõi trong vi c t o và qu n lý Account sao cho an toàn,
nh m đáp ng các yêu c u kh t khe trong chính sách an toàn thông tin c a t ch c và
đ i v i các Security Admin thi t nghĩ v n đ này không nên ch nh mãng ho c th , ế ơ
vì đây là “ngõ vào” đ u tiên mà attacker luôn u tiên trong vi c thăm dò, khai thác y u ư ế
đi m c a h th ng.
Chính sách b o m t thông tin
Glory.com.vn chúng tôi coi tr ng t t c các quy n riêng t c a ng i s d ng. Trong ư ườ
m c này s trình bày cách th c chúng tôi s d ng các thông tin b n đã cung c p thông
qua trang web Glory.com.vn. Ph n quy đ nh v s riêng t này có th đ c thay đ i ư ượ
trong t ng lai. N u có thay đ i, các quy đ nh m i s đ c đăng trên trang web và b nươ ế ượ
có th thay đ i thông tin cá nhân c a b n qua ph n gi i thích d i đây. ướ
Thông tin cá nhân nào chúng tôi thu th p l i?
Khách vi ng thăm: B n không b yêu c u cung c p thông tin nh n d ng cá nhân khiế
vi ng thăm trang web Glory.com.vn. Chúng tôi ch thu th p s d ng các thông tin thôngế
th ng c a khách vi ng thăm mà không ph i là thông tin nh n d ng cá nhân, ví dườ ế
nh đ a ch IP n i máy b n s d ng.ư ơ
Đăng ký s d ng d ch v t trang web: B n đ c yêu c u cung c p thông tin cá nhân ượ
đ có th s d ng các d ch v chính trên trang web, các thông tin này s đ c hi n th ượ
rõ ràng trên web đ b n có th hoàn thành nó.
T p tin Cookie: Cookie là nh ng t p tin văn b n nh đ c l u trên c ng máy tính ượ ư
b n t h th ng máy ch đ giúp nh n di n ra máy tính b n. Cookie là t p tin ch đ c
do máy ch đ t t i đ y và không h th c thi b t kỳ đo n mã nào cũng nh không h ư
có virus. Chúng tôi ch s d ng cookie đ nh n ra b n khi b n đang vi ng thăm trang ế
web, giúp xác đ nh vi c s d ng và ph c v b n t t h n. ơ
Chúng tôi s d ng các thông tin thu th p đ c nh th nào? ượ ư ế
Thông tin t trang web: Thông tin b n cung c p khi b n đăng ký tài kho n t i
Glory.com.vn hay các thông tin b n đi n t i nh ng n i khác trên trang web mà có th ơ
đ c l u tr trên máy ch c a chúng tôi, hay trong m t s tr ng h p, thông tin đ cượ ư ườ ượ
l y t t p tin cookie trên máy b n. Thông tin này s đ c s d ng đ hoàn thành vi c ượ
t ng h p l i các d li u, ch không ph i là thông tin nh n d ng cá nhân nh m m c