Thi hành từng bước các thiết lập chính sách password
Trong phần này chúng tôi sẽ cung cấp cho các bạn các hướng dẫn từng
bước về bảo mật nâng cao bằng việc thực hiện các thiết lập password
trên các máy tính trong tổ chức của bạn.
Cấu hình các thiết lập chính sách password trong một miền dựa trên
Active Directory
Cấu hình các thiết lập chính sách password trên các máy tính riêng lẻ
Cấu hình thiết lập chính sách password trong một miền Active Directory
Yêu cầu
• Yêu cầu: Bạn phải được đăng nhập như một thành viên của nhóm quản trị
miền.
• Công cụ: Active Directory Users and Computers
• Để thực thi chính sách password trên hệ thống máy tính của một miền
Active Directory
1. Vào Start > Control Panel, kích đúp Administrative Tools và sau đó
kích đúp Active Directory Users and Computers.
2. Click chuột phải vào gốc tên miền
3. Chọn Properties từ menu xuất hiện:
Lưu ý: Hình trong tài liệu này là một môi trường kiểm tra và thông tin
có thể thay đổi với các thông tin hiển thị trên màn hình của bạn.
4. Trong hộp thoại thuộc tính, chọn tab Group Policy, sau đó click New
để tạo một đối tượng chính sách nhóm mới trong gốc domain. Nhập
vào "Domain Policy" cho tên của chính sách mới sau đó click Close.
Lưu ý: Microsoft khuyên bạn rằng bạn nên tạo một đối tượng Group
Policy mới thay vì soạn thảo cái được gọi là Default Domain Policy
bởi vì việc làm này dễ dàng hơn trong việc khôi phục những vấn đề
quan trọng với các thiết lập bảo mật. Nếu các thiết lập bảo mật mới gây
ra các vấn đề nào đó thì bạn có thể tạm thời vô hiệu hóa đối tượng
Group Policy mới cho tới khi bạn cô lập được các thiết lập đó.
5. Click chuột phải vào gốc tên miền, sau đó click vào Properties.
6. Trong hộp thoại thuộc tính, click tab Group Policy, sau đó chọn
Domain Policy.
7. Click Up để chuyển GPO mới lên đầu danh sách, sau đó click Edit để
mở Group Policy Object Editor cho GPO mà bạn đã tạo.
8. Dưới Computer Configuration, điều hướng đến thư mục Windows
Settings\Security Settings\Account Policies\Password Policy
9. Trong khung chi tiết, kích đúp vào Enforce password history, chọn
Define this policy setting, thiết lập giá trị của Keep password history
là 24 sau đó click OK.
10. Trong cửa số chi tiết, kích đúp Maximum password age, chọn
Define this policy setting và thiết lập giá trị của Password will expire
in là 42, click OK sau đó click OK tiếp để đóng cửa sổ Suggested
Value Changes đã xuất hiện.
11. Trong cửa sổ chi tiết, kích đúp Minimum Password Age, chọn
Define this policy setting và thiết lập giá trị của Password can be
changed after là 2 sau đó click OK.
12. Trong cửa sổ chi tiết, kích đúp Minimum Password Length,
chọn Define this policy setting và thiết lập giá trị của Password must
be at least là 8 sau đó click OK.
13. Trong cửa sổ chi tiết, kích đúp Password must meet complexity
requirements, chọn Define this policy setting in the template, chọn
Enabled sau đó click OK.
14. Đóng Group Policy Object Editor, click OK để đóng hộp thoại
properties của miền, sau đó thoát khỏi Active Directory Users and
Computers.
Kiểm tra các thiết lập mới
Sử dụng thủ tục dưới đây để kiểm tra các thiết lập chính sách password phù
hợp đã được chấp nhận chưa và có hiệu lực trong Domain Policy GPO
không. Kiểm tra các thiết lập và hoạt động của chúng để bảo đảm rằng các
chính sách password đúng sẽ được áp dụng cho người dùng trong miền.
Yêu cầu
• Yêu cầu: Bạn phải được đăng nhập như một thành viên của nhóm Domain
Admins
• Công cụ: Active Directory Users and Computers.
• Để kiểm tra các thiết lập chính sách password cho một miền Active
Directory
1. Mở Active Directory Users and Computers, kích chuột phải vào
miền của bạn, sau đó click Properties.
2. Trong hộp thoại thuộc tính, click tab Group Policy, chọn Domain
Policy GPO và sau đó click Edit để mở Group Policy Object Editor.
3. Dưới Computer Configuration, bạn tìm đến thư mục Windows
Settings\Security Settings\Account Policies\Password Policy và kiểm
tra các thiết lập của bạn có đúng với các thiết lập được thể hiện ở đây
không:
4. Đóng Group Policy Object Editor, click OK để đóng hộp thoại
properties cho miền của bạn, sau đó thoát khỏi Active Directory Users
and Computers.
5. Kiểm tra bảo đảm rằng người dùng không thể chỉ định các password
ngắn hơn 8 kí tự, không thể tạo các password không phức tạp và không
thể thay đổi ngay lập tức các password mới của họ.
Cấu hình các thiết lập chính sách password trên các máy tính đứng độc
lập
Yêu cầu
• Yêu cầu: Bạn phải được đăng nhập như một thành viên của nhóm quản trị
viên.
• Công cụ: Local Security Policy (chính sách bảo mật cục bộ).
• Để thực hiện chính sách password trên các hệ thống máy tính không thuộc
một miền Active Directory bạn tiến hành như sau:
1. Vào Start, click Control Panel, kích đúp Administrative Tools sau
đó kích đúp tiếp vào Local Security Policy.
2. Điều hướng đến thư mục Account Policies\Password Policy.
3. Trong cửa sổ chi tiết, kích đúp vào Enforce password history, thiết
lập giá trị của Keep password history là 24, sau đó click OK.
4. Trong cửa sổ chi tiết, kích đúp vào Maximum password age, thiết lập
giá trị của Password will expire in là 24, sau đó click OK.
5. Trong cửa sổ chi tiết, kích đúp vào Minimum Password Age, thiết lập
giá trị của Password can be changed after là 2, sau đó click OK.
6. Trong cửa sổ chi tiết, kích đúp vào Minimum Password Length, thiết
lập giá trị của Password must be at least là 8, sau đó click OK.
7. Trong cửa sổ chi tiết, kích đúp vào Password must meet complexity
requirements, chọn Enabled sau đó click OK.
8. Đóng Local Security Policy.
Kiểm tra các thiết lập mới
Yêu cầu
• Yêu cầu: Bạn phải được đăng nhập như một thành viên của nhóm quản trị
viên.
• Công cụ: Local Security Policy.
• Để kiểm tra các thiết lập chính sách password cho hệ thống máy tính này
bạn là theo các bước sau:
1. Mở Local Security Policy, điều hướng đến thư mục Account
Policies\Password Policy và kiểm tra các thiết lập của bạn xem có đúng
với những thiết lập được hiển thị ở đây không:
2. Đóng Local Security Policy.
3. Kiểm tra xem có bảo đảm người dùng không thể chỉ định các password
ngắn hơn 8 kí tự, không thể tạo các password không phức tạp và không
thể thay đổi các password mới của họ ngay lập tức.
