Tạo mật khẩu an toàn trong Windows – Phần 3

WINDOWS SERVER

Ạ

Ề ậ

ầ

ử

ọ

H ĐI U HÀNH-M NG Ệ T o m t kh u an toàn trong Windows – Ph n 3 ẩ ạ Share

] [Đ c: 534-Ngày đăng: 28-07-2009-Ngày s a: 28-07-2009

ầ ạ

ầ ủ ậ

ủ ượ ng Active Directory. N u xem l ườ ế

ư ế ướ ẽ ấ ầ

ớ ệ ệ

ẩ ậ

Giới thiệu

ự Trong hai ph n đ u c a lo t bài này, chúng tôi đã phô bày ra s ề c đi u th c v chính sách m t kh u c a Windows và cách nó đ ự ề ẩ i các khi n nh th nào trong môi tr ạ ể c, b n s tìm th y nó trong ph n Default Domain Policy ph n tr ầ ạ c s i thi u các công ngh đã đ m c đ nh. Chúng tôi cũng đã gi ượ ử ị ặ ữ nh ng d ng đ xâm nh p trái phép vào m t kh u Windows, miêu t ả ậ ể ụ h n ch trong m i m t t n công. ỗ ộ ấ ế ạ

ớ ầ ệ ẽ ạ ậ ộ

ư ế ẩ ả

ấ ệ ầ ầ ớ

ư ặ ả ặ ị

ư ộ ố ệ ể ả ậ

Chỉ sử dụng cụm từ

Trong ph n này, chúng tôi s gi ẩ i thi u cách t o m t m t kh u i quy t các v n đ mà Windows an toàn nh th nào, và m t kh u đó gi ậ ề ế ữ chúng tôi đã đ a ra trong hai ph n đ u. Ph n này cũng gi i thi u nh ng ầ kh năng m c đ nh có trong cài đ t Active Directory Windows 2000/2003/2008, cũng nh m t s công ngh có th tăng b o m t cho m t ậ kh u.ẩ

M t m t kh u đi n hình mà ng i có th s d ng nên là : Am3r1c@. ể ậ ẩ ộ ườ ể ử ụ

ầ ậ ẽ ể ữ ề ộ ứ ạ

ữ ễ ẩ ẽ ấ

ả ườ ể ể ế ộ

ướ

ạ ộ

ng nhóm IT ậ ứ

M t kh u ki u này s có đ nh ng nh ng yêu c u v đ ph c t p, tuy ủ ậ nhiên s r t khó nh và th c s không d đánh chút nào. Chính vì v y, ự ự t m t kh u này ra m t ch nào đó, có th đ nó ng ẩ ậ ỗ trên màn hình c a h , hay gi u d i bàn phím c a h ,… Thay cho cách ọ ủ ủ ẩ th c c x a gi ng nh m t kh u này, b n hãy th s d ng m t m t kh u ử ử ụ ứ ổ ư ki u c m t Ho cặ Tôi đã đi Đ c trong ể ụ kỳ ngh l ớ i dùng s ph i vi ẽ ọ ấ ẩ ư ậ ố ư Tôi là m t tr nh : ừ ộ ưở ấ . g n đây nh t ỉ ễ ầ

ỗ ọ ừ ẩ ộ

Đ c m i m t trong ba m t kh u và c m t ằ ỗ trên, sau đó th ử ừ ẽ s ụ ụ ẽ ấ ẩ ạ ộ

c b n đánh vào d dàng h n r t nhi u và cũng d nh h n. L u ý : ư đánh l ạ đ ượ ạ ậ i m i m t m t kh u xem sao. B n s th y r ng các c m t ề ớ ơ ễ

Khi các c m t ậ ễ đ t t ừ ạ ớ ộ ủ ậ ấ ố

ể i đa c a m t kh u thì các t n công ki u dictionary ho c Rainbow s g p nhi u khó khăn h n và có th cho phép ề ẩ ơ ụ ặ ể ơ ấ i đ dài t ẽ ặ

ng m t kh u lâu h n, th m chí lên đ n c năm tr i. ơ ữ ậ i dùng c a mình gi ủ ế ả ậ

ẩ ườ Trong ph n này, chúng tôi s gi ẽ ớ ữ ậ

ệ

c s ộ ộ

Bảo đảm sự nhất quán của chính sách mật khẩu cho miền và tài khoản người dùng nội bộ

ờ ẩ ố i thi u nh ng chính sách m t kh u t t ệ ầ c thi hành an toàn nh th nào, cách b o v nó trên các máy và cách nó đ ả ư ế ượ ể ượ ử tính (g m có c SAM n i b ) và nh ng công ngh nào có th đ ệ ữ ả d ng đ th c thi m t m t kh u t t. ụ ồ ể ự ẩ ố ậ ộ

ằ ả ả ấ ả

ủ i dùng (tài kho n đ ả ườ

ẩ ề

ộ ấ ổ ằ ượ ư ộ ế

ả ượ ư

ườ ứ ơ ợ

ườ ủ ể ờ

ủ ả ớ ậ ẩ

ộ i dùng mi n. ề

ườ đ ể ữ ượ ẩ ấ

các thi t c các tài C u hình built-in c a Active Directory b o đ m r ng t ấ c l u trong Active Directory và các tài kho n ng ả ậ c l u trong) đ u có cùng m t chính sách m t kh u. M c dù v y, kho n đ ặ ậ ả ượ ư m c OU b n có th thay đ i b ng cách liên k t và c u hình m t GPO ở ứ ể ạ c l u trong (organizational unit), m c n i OU có các tài kho n máy tính đ ng h p này, các desktop và máy ch (không ph i các chúng. Trong tr ả ộ i dùng n i domain controller) có có th nh SAM c a các tài kho n ng b đ tham gia vào m t chính sách m t kh u khác v i SAM c a các tài ộ ể ủ kho n ng ả Đ gi ạ t c ng ấ ả ậ

ủ ắ ườ ả

ể ự ọ

ể ệ ượ ữ ạ ấ

i ườ c tính nh t quán c a chính sách m t kh u cho t ậ ẩ dùng, b n có th thi hành GPO n m gi t l p chính sách m t kh u ế ậ ữ ể i dùng trong mi n. Đây cũng là Default c a mình cho các tài kho n ng ề ủ Domain Policy. Đ th c thi m t GPO, hãy kích ph i vào GPO và ch n tùy ả ộ ch n Enforce Menu. Hình 1 cho b n th y nh ng gì đ c th hi n trong khi ọ c u hình. ấ

ẽ ả ả ằ

ng Vi c thi hành Default Domain Policy s b o đ m r ng t ệ ườ ả t c tài kho n ấ i dùng trong SAM n i b đ u s d ng m t chính sách m t kh u nh t ộ ộ ề ử ụ ấ ả ậ ẩ ộ

Nhiều chính sách mật khẩu trên miền bằng công nghệ của Microsoft

quán

ơ ộ ề ả

ề ậ ộ

ả ỉ ế ệ ộ ơ

Microsoft đã tăng c h i và cung c p kh năng có nhi u chính sách m t ậ ấ ư t gân nh ng kh u trong m t mi n Active Directory. Đây không ph i tin gi ẩ ề nó mang đ n m t h i th m i. Công ngh này ch có s n trong mi n ẵ ớ ở t c các domain controller đ u ch y Windows Windows Server 2008, n i t ơ ấ ả ề ạ

ả ứ

ề ệ m c ch c năng ứ ậ c cho nh các chính sách m t ượ

Server 2008. Thêm vào đó, mi n cũng ph i ch y ạ ở Windows Server 2008. Công ngh này đ ư kh u m nh. ạ

ể ấ ế ạ ố

i đây : kh u. Đi u đó có nghĩa r ng b n có các tính năng d ầ ướ ề

ẩ ậ N u tình hu ng này phát sinh, b n có th c u hình các chính sách m t ẩ ạ • Các chuyên gia v CNTT ph i s d ng m t kh u 25 ký t ả ử ụ ề ẩ ậ

• Các nhà qu n lý nhân s ph i s d ng m t kh u 20 ký t ả ẩ ậ . ự . ự

ự ả ử ụ i dùng khác ph i s d ng m t kh u 17 ký t • Còn t t c nh ng ng ườ ả ử ụ . ự ẩ ậ

B t l ử ụ ấ ợ ấ

ấ ả ữ i trong cách s d ng này là không đ ố ượ ả ạ ạ

ầ ạ

ố ượ ấ

c c u hình trong Group ượ ng Active Directory b sung Policy mà thay vì đó b n ph i t o các đ i t ổ ể ử ụ bên trong Password Settings Container. Thành ph n mà b n có th s d ng ng m i này là ADSIEDIT.MSC, xem trong đ xem và c u hình các đ i t ớ ể hình 2.

ADSIEDIT.MSC có th đ c s d ng đ t o các chính sách m t kh u tinh ể ạ ậ ẩ

ể ượ ử ụ ề

h n trong các mi n Windows Server 2008. ơ Đ t o các đ i t ố ượ ể ạ ả ổ ả ạ

ng b sung, b n ph i kích chu t ph i vào Password ể ấ ng d n b n đ c u ạ ộ ẽ ướ ẫ

Settings Container và ch n New, Object. Wizard s h hình nh ng th c n thi ọ t. ứ ầ ữ ế

Nâng các chính sách mật khẩu lên mức kế

Tr ấ ề ể

ớ ẩ ủ ạ ẩ

ậ ơ ế ạ ọ

ủ

ử ụ ượ ậ ộ

c đây Microsoft đã cung c p cho chúng ta cách đi u khi n chính ướ sách m t kh u, còn nay, v i các chính sách m t kh u m nh c a Windows ậ Server 2008, chúng ta có nhi u s l a ch n h n. Tuy nhiên n u b n mu n ố ề ự ự ộ nâng các thi t l p chính sách m t kh u mi n Windows c a mình lên m t ề ẩ ậ ế ậ c toàn b các m t kh u, hãy s d ng công m c đ cho phép ki m soát đ ẩ ứ ể c Password Policy c a Special Operations Software. ụ ể ủ

V i công c này, b n có th c u hình nh ng gì đ i đây : t kê d c li ạ ữ ụ ượ ể ấ ướ ệ

ế ậ ự ế ợ ế ậ ữ ữ ẩ ữ

th ữ đ c bi ng, s và các ký t t. t l p s k t h p gi a nh ng h n ch m t kh u: ch in hoa, ch ạ ố ự ặ ệ

c g i là tu i th ượ ọ ậ ẩ ẫ ổ ọ

ế m t kh u trên m i chính sách. ỗ ẩ

ớ • Thi ườ • Các quy ch cho vi c h t h n m t kh u, hay v n đ ệ ế ạ ậ • Không cho phép các ký t liên ti p trong m t kh u. ự ế ậ ẩ

• T đ ng g i email h t h n m t kh u. ế ạ ự ộ ử ậ ẩ

• Các yêu c u chính sách m t kh u b sung;… ầ ậ ẩ ổ

Hình bên d i th hi n nh ng gì có trong giao di n c a Password Policy ướ ệ ủ ể ệ ữ

:

ụ ậ ẩ ạ

Kết luận

Specops Password Policy là m t công c chính sách m t kh u m nh cho các mi n c a Windows. ộ ề ủ

ậ ằ ẩ ạ ề

ệ ự ượ

ủ ệ ậ ệ ự ẩ ườ ậ

ấ ả ả ạ ượ ả ặ ị

ng Windows c n ph i đ ả ượ ầ ả

ủ

ậ ứ ạ ụ ọ

ạ i dùng c a mình làm th nào đ gi ể ữ ậ ề ẩ ạ ử ụ

ch c c a mình. M t kh u Windows luôn n m trong tr ng thái b t n công. Nhi u trong ị ấ ậ c th c hi n khá d dàng. Chính vì v y s các t n công có hi u l c và đ ễ ố i dùng b n ph i b o v m t kh u c a chính mình và m t kh u c a ng ủ ẩ ạ c đ t m c đ nh bên trong môi trên m ng mà mình qu n lý. Nh ng gì đ ặ ữ ỉ tr c thay đ i. Bên c nh đó b n c n ph i ch ầ ạ ổ ườ d n cho ng ẩ an toàn cho m t kh u ế ẫ c a mình nh t. Giáo d c h cách t o m t m t kh u dài, ph c t p và ạ ủ kh e…và bi ể ỏ b o v m t kh u cho t ả ườ ộ ấ t cách khai thác s d ng ph n m m t o các chính sách đ ầ ế ẩ ổ ứ ủ ệ ậ