Tạo mật khẩu an toàn trong Windows – Phần 3

Chia sẻ: Ngothanh Xuan | Ngày: | Loại File: DOCX | Số trang:5

Thêm vào BST

Báo xấu

77
lượt xem 11
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Trong hai phần đầu của loạt bài này, chúng tôi đã phô bày ra sự thực về chính sách mật khẩu của Windows và cách nó được điều khiển như thế nào trong môi trường Active Directory. Nếu xem lại các phần trước, bạn sẽ tìm thấy nó trong phần Default Domain Policy mặc định. Chúng tôi cũng đã giới thiệu các công nghệ đã được sử dụng để xâm nhập trái phép vào mật khẩu Windows, miêu tả những hạn chế trong mỗi một tấn công....

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Tạo mật khẩu an toàn trong Windows – Phần 3

HỆ ĐIỀU HÀNH-MẠNG WINDOWS SERVER Tạo mật khẩu an toàn trong Windows – Phần 3 Share [Đọc: 534-Ngày đăng: 28-07-2009-Ngày sửa: 28-07-2009] Trong hai phần đầu của loạt bài này, chúng tôi đã phô bày ra s ự thực về chính sách mật khẩu của Windows và cách nó được đi ều khiển như thế nào trong môi trường Active Directory. Nếu xem lại các phần trước, bạn sẽ tìm thấy nó trong phần Default Domain Policy mặc định. Chúng tôi cũng đã giới thiệu các công ngh ệ đã đ ược s ử dụng để xâm nhập trái phép vào mật khẩu Windows, miêu tả nh ững hạn chế trong mỗi một tấn công. Giới thiệu Trong phần này, chúng tôi sẽ giới thiệu cách tạo m ột m ật kh ẩu Windows an toàn như thế nào, và mật khẩu đó giải quyết các vấn đề mà chúng tôi đã đưa ra trong hai phần đầu. Phần này cũng gi ới thi ệu nh ững khả năng mặc định có trong cài đặt Active Directory Windows 2000/2003/2008, cũng như một số công nghệ có thể tăng bảo mật cho mật khẩu. Chỉ sử dụng cụm từ Một mật khẩu điển hình mà người có thể sử dụng nên là : Am3r1c@. Mật khẩu kiểu này sẽ có đủ những những yêu cầu về độ phức tạp, tuy nhiên sẽ rất khó nhớ và thực sự không dễ đánh chút nào. Chính vì vậy, người dùng sẽ phải viết mật khẩu này ra một chỗ nào đó, có th ể đ ể nó trên màn hình của họ, hay giấu dưới bàn phím của họ,… Thay cho cách thức cổ xưa giống như mật khẩu này, bạn hãy thử sử dụng một mật khẩu kiểu cụm từ như : Tôi là một trưởng nhóm IT Hoặc Tôi đã đi Đức trong kỳ nghỉ lễ gần đây nhất. Lưu ý : Đọc mỗi một trong ba mật khẩu và cụm từ trên, sau đó thử đánh lại mỗi một mật khẩu xem sao. Bạn sẽ thấy rằng các c ụm t ừ s ẽ được bạn đánh vào dễ dàng hơn rất nhiều và cũng dễ nhớ hơn. Khi các cụm từ đạt tới độ dài tối đa của mật khẩu thì các t ấn công ki ểu dictionary hoặc Rainbow sẽ gặp nhiều khó khăn hơn và có thể cho phép
người dùng của mình giữ mật khẩu lâu hơn, thậm chí lên đến cả năm trời. Trong phần này, chúng tôi sẽ giới thiệu những chính sách m ật kh ẩu t ốt và cách nó được thi hành an toàn như thế nào, cách bảo v ệ nó trên các máy tính (gồm có cả SAM nội bộ) và những công nghệ nào có thể được sử dụng để thực thi một mật khẩu tốt. Bảo đảm sự nhất quán của chính sách mật khẩu cho miền và tài khoản người dùng nội bộ Cấu hình built-in của Active Directory bảo đảm r ằng t ất c ả các tài khoản người dùng (tài khoản được lưu trong Active Directory và các tài khoản được lưu trong) đều có cùng một chính sách mật khẩu. Mặc dù vậy, bạn có thể thay đổi bằng cách liên kết và cấu hình m ột GPO ở mức OU (organizational unit), mức nơi OU có các tài kho ản máy tính đ ược l ưu trong chúng. Trong trường hợp này, các desktop và máy chủ (không phải các domain controller) có có thể nhờ SAM của các tài khoản người dùng n ội bộ để tham gia vào một chính sách mật khẩu khác với SAM của các tài khoản người dùng miền. Để giữ được tính nhất quán của chính sách mật khẩu cho tất cả người dùng, bạn có thể thi hành GPO nắm giữ các thiết lập chính sách mật khẩu của mình cho các tài khoản người dùng trong miền. Đây cũng là Default Domain Policy. Để thực thi một GPO, hãy kích phải vào GPO và ch ọn tùy chọn Enforce Menu. Hình 1 cho bạn thấy những gì đ ược th ể hi ện trong khi cấu hình. Việc thi hành Default Domain Policy sẽ bảo đảm rằng tất cả tài khoản người dùng trong SAM nội bộ đều sử dụng một chính sách mật khẩu nhất quán Nhiều chính sách mật khẩu trên miền bằng công nghệ của Microsoft Microsoft đã tăng cơ hội và cung cấp khả năng có nhiều chính sách m ật khẩu trong một miền Active Directory. Đây không phải tin gi ật gân nh ưng nó mang đến một hơi thở mới. Công nghệ này chỉ có sẵn trong mi ền Windows Server 2008, nơi tất cả các domain controller đều chạy Windows
Server 2008. Thêm vào đó, miền cũng phải chạy ở mức chức năng Windows Server 2008. Công nghệ này được cho như các chính sách m ật khẩu mạnh. Nếu tình huống này phát sinh, bạn có thể cấu hình các chính sách m ật khẩu. Điều đó có nghĩa rầng bạn có các tính năng dưới đây : • Các chuyên gia về CNTT phải sử dụng mật khẩu 25 ký tự. • Các nhà quản lý nhân sự phải sử dụng mật khẩu 20 ký tự. • Còn tất cả những người dùng khác phải sử dụng mật khẩu 17 ký tự. Bất lợi trong cách sử dụng này là không được cấu hình trong Group Policy mà thay vì đó bạn phải tạo các đối tượng Active Directory b ổ sung bên trong Password Settings Container. Thành phần mà bạn có th ể sử d ụng để xem và cấu hình các đối tượng mới này là ADSIEDIT.MSC, xem trong hình 2. ADSIEDIT.MSC có thể được sử dụng để tạo các chính sách mật khẩu tinh hơn trong các miền Windows Server 2008. Để tạo các đối tượng bổ sung, bạn phải kích chuột phải vào Password Settings Container và chọn New, Object. Wizard sẽ hướng dẫn b ạn đ ể c ấu hình những thứ cần thiết.
Nâng các chính sách mật khẩu lên mức kế Trước đây Microsoft đã cung cấp cho chúng ta cách điều khi ển chính sách mật khẩu, còn nay, với các chính sách mật khẩu mạnh của Windows Server 2008, chúng ta có nhiều sự lựa chọn hơn. Tuy nhiên nếu bạn mu ốn nâng các thiết lập chính sách mật khẩu miền Windows của mình lên m ột mức để cho phép kiểm soát được toàn bộ các mật khẩu, hãy sử dụng công cụ Password Policy của Special Operations Software. Với công cụ này, bạn có thể cấu hình những gì được liệt kê dưới đây : • Thiết lập sự kết hợp giữa những hạn chế mật khẩu: chữ in hoa, ch ữ thường, số và các ký tự đặc biệt. • Các quy chế cho việc hết hạn mật khẩu, hay vẫn được gọi là tu ổi th ọ mật khẩu trên mỗi chính sách. • Không cho phép các ký tự liên tiếp trong mật khẩu. • Tự động gửi email hết hạn mật khẩu. • Các yêu cầu chính sách mật khẩu bổ sung;… Hình bên dưới thể hiện những gì có trong giao diện của Password Policy : Specops Password Policy là một công cụ chính sách mật khẩu mạnh cho các miền của Windows. Kết luận
Mật khẩu Windows luôn nằm trong trạng thái bị tấn công. Nhi ều trong số các tấn công có hiệu lực và được thực hiện khá dễ dàng. Chính vì v ậy bạn phải bảo vệ mật khẩu của chính mình và mật khẩu của người dùng trên mạng mà mình quản lý. Những gì được đặt mặc định bên trong môi trường Windows cần phải được thay đổi. Bên cạnh đó bạn c ần phải ch ỉ dẫn cho người dùng của mình làm thế nào để gi ữ an toàn cho m ật kh ẩu của mình nhất. Giáo dục họ cách tạo một mật khẩu dài, ph ức t ạp và khỏe…và biết cách khai thác sử dụng phần mềm tạo các chính sách để bảo vệ mật khẩu cho tổ chức của mình.