Việc thiết lập một chính sách password tốt cho tổ chức của bạn có thể giúp ngăn cản kẻ tấn công đóng vai người dùng hợp pháp và bằng cách đó có thể ngăn chặn việc mất dữ liệu, lộ tin tức
Trang 1Thiết lập hệ thống password an toàn
Trang 2Hầu hết người dùng đăng nhập vào máy tính cá nhân cục bộ của họ hay các máy tính từ xa thường sử dụng kết hợp tên người dùng và một mật khẩu được nhập từ bàn phím Mặc dù có nhiều kỹ thuật khác để thẩm định, như các thẻ thông minh, sinh trắc học, hay mật khẩu mật lần đăng nhập của các hệ điều hành, nhưng hầu hết các tổ chức vẫn phụ thuộc vào mật khẩu truyền thống và vẫn sẽ tiếp tục như vậy trong những năm tới đây Vì vậy việc tìm ra một mật khẩu tốt và áp đặt biện pháp mật khẩu cho các máy tính là một vấn đề quan trọng và cần thiết nên làm ở các tổ chức Một mật khẩu tốt phải là mật khẩu
có một số lượng phức tạp nhất định – gồm có chiều dài và các loại ký tự - để làm cho password trở nên khó đoán hơn hơn trước kẻ tội phạm mật khẩu Việc thiết lập một chính sách password tốt cho tổ chức của bạn có thể giúp ngăn cản kẻ tấn công đóng vai người dùng hợp pháp và bằng cách đó có thể ngăn chặn việc mất dữ liệu, lộ tin tức nhạy cảm Trong bài viết này chúng tôi
sẽ giải thích cho các bạn làm thế nào để thực thi một chính sách password trên các máy tính đang chạy các hệ điều hành Microsoft Windows 2000, Windows XP, và Windows Server 2003
Phụ thuộc xem máy tính trong tổ chức là thành viên của lĩnh vực Active
Trang 3Directory, máy tính độc lập hay cả hai trường hợp để thực thi các chính sách password tốt, bạn phải thực hiện một hoặc hai nhiệm vụ dưới đây:
Cấu hình các thiết lập chính sách mật khẩu trong Active Directory
Domain
Cấu hình các thiết lập trên các máy tính đứng độc lập
Khi đã cấu hình được các thiết lập password hợp lý thì người dùng trong tổ chức bạn sẽ có thể tạo các password mới thỏa mãn chiều dài và độ phức tạp
và người dùng sẽ không thể thay đổi ngay lập tức các password mới của họ
Chú ý: Tất cả các hướng dẫn từng bước cụ thể
trong tài liệu này được phát triển bằng việc sử dụng menu Start mặc định khi cài hệ điều hành Nếu bạn
đã thay đổi menu Start thì các bước có thể sẽ khác chút ít
Trước khi bắt đầu
Trước khi cầu hình thiết lập password trên máy tính trong mạng, bạn cần phải
Trang 4thấy được các thiết lập gì có liên quan đến, chỉ rõ giá trị sẽ sử dụng cho các thiết lập này, và hiểu Windows lưu các thiết lập cấu hình password ở đâu
Lưu ý: Các hệ điều hành Windows 95, Windows 98, và Windows
Millennium Edition không hỗ trợ các tính năng bảo mật nâng cao như thiết lập password Nếu mạng của bạn gồm các máy tính đứng độc lập (máy tính không liên quan tới một tên miền) đang chạy các hệ điều hành này thì bạn sẽ không thể thiết lập chức năng mật khẩu này lên chúng Nếu mạng gồm các máy tính đang chạy hệ điều hành này là thành viên của miền dịch vụ thư mục Active Directory thì bạn có thể thực thi các thiết lập password tại mức miền
Nhận dạng thiết lập liên quan đến password
Với Windows 2000, Windows XP, và Windows Server 2003, có năm thiết
lập mà bạn phải cấu hình liên quan đến các đặc tính password: Enforce
password history, Maximum password age, Minimum password age, Minimum password length, và Passwords must meet complexity
requirements
Trang 5 Enforce password history (lược sử) chỉ ra số các password mới mà
một người dùng phải sử dụng trước khi một password cũ được dùng lại Giá trị của thiết lập này có thể nằm trong khoảng 0 đến 24; nếu giá trị này được thiết lập là 0 thì enforce password history bị vô hiệu hóa Với hầu hết các tổ chức thường thiết lập giá trị này là 24
Maximum password age (tuổi thọ tối đa) chỉ ra bao nhiêu ngày một
password có thể được sử dụng trước khi người dùng bị yêu cầu thay đổi
nó Giá trị này nằm giữa 0 đến 99; nếu nó được thiết lập là 0 thì các password không bao giờ hết hiệu lực Thiết lập giá trị này quá thấp có thể là nguyên nhân gây mất tác dụng cho người dùng; ngược lại giá trị này quá cao hoặc vô hiệu hóa chúng thì nó sẽ cho phép các kẻ tấn công
có thêm thời gian để xác định các password Với hầu hết các tổ chức, giá trị này được thiết lập là 42 ngày
Minimum password age (tuổi thọ tối thiểu) chỉ ra bao nhiêu ngày một
người dùng phải giữ các password mới trước khi họ có thể thay đổi
chúng Thiết lập này được thiết kế để làm việc với thiết lập Enforce password history để người dùng không thể nhanh chóng thiết lập lại
Trang 6các password và sau đó thay đổi lại password cũ của họ Giá trị của thiết lập này có thể từ 0 đến 999; nếu nó được thiết lập bằng 0 thì người dùng có thể thay đổi ngay lập tức các password mới Chúng tôi khuyên bạn nên thiết lập giá trị này là 2 ngày
Minimum password length (chiều dài tối thiểu) chỉ ra độ dài tối thiểu
của các password như thế nào Mặc dù Windows 2000, Windows XP
và Windows Server 2003 hỗ trợ các password có tới 28 kí tự nhưng giá trị của thiết lập này chỉ ở khoảng 0 đến 4 kí tự Nếu được thiết lập là 0 thì người dùng được cho phép có các password trống, vì vậy bạn không nên sử dụng giá trị 0 Trong trường hợp này chúng tôi khuyên bạn nên dùng 8 kí tự
Passwords must meet complexity requirements (các yêu cầu về độ
phức tạp) chỉ ra độ phức tạp của các password được yêu cầu như thế nào Nếu thiết lập này được kích hoạt thì mật khẩu người dùng cần theo các yêu cầu dưới đây
Trang 7
o Password phải dài ít nhất là 6 kí tự
o Password gồm các kí tự ít nhất cũng gồm có ba trong năm loại
sau:
Các kí tự chữ hoa trong bảng chữ cái (A-Z)
Các kí tự chữ thường hoa trong bảng chữ cái (a-z)
10 chữ số cơ bản (0 - 9)
Các ký tự đặc biệt (ví dụ: !, $, #, hoặc %)
Các kí tự Unicode
o Các password không nhiều hơn ba kí tự có trong tên tài khoản
người dùng
Nếu tên tài khoản ít hơn ba kí tự thì kiểm tra này sẽ không được
Trang 8thực hiện bởi vì tốc độ các password này sẽ bị loại bỏ quá cao Khi việc kiểm tra sẽ coi một số kí tự như các dấu phân cách để phân chia tên thành các phần riêng biệt gồm: dấu phẩy, dấu chấm, gạch ngang/dấu nối, gạch chân, phím “space”, kí hiệu pound và các phím tab Khi các phần đó dài hơn 3 kí tự thì chúng được tìm trong password; nếu nó xuất hiện thì password sẽ bị loại Ví dụ: tên "Erin M Hagens" sẽ bị phân chia thành ba phần:
"Erin", "M" và "Hagens" Vì trong phần thứ hai có một kí tự nên
nó bị bỏ qua Vì vậy người dùng này không thể có một password gồm cả "erin" hay "hagens" như một chuỗi con ở bất kỳ đâu trong password Tất cả các kiểm tra này rất nhạy cảm
Những yêu cầu về độ phức tạp được bắt buộc đối với sự thay đổi password hoặc việc tạo mới chúng Chúng tôi khuyên bạn nên cho phép thiết lập này
Tìm hiểu xem hệ điều hành Windows lưu thông tin cấu hình các thiết lập password như thế nào
Trang 9Trước khi bạn thực hiện các chính sách password trong tổ chức, bạn nên tìm hiểu một ít về thông tin của cấu hình chính sách password được lưu như thế nào trong Windows 2000, Windows XP và Windows Server 2003 Điều này
là cần thiết bởi vì các kỹ thuật lưu trữ chính sách password giới hạn số lượng của các chính sách password khác nhau mà bạn có thể thực hiện và tác động như thế nào
Chúng có thể là một chính sách đơn giản đối với mỗi cơ sở dữ liệu tài khoản Một miền Active Directory được xem như một cơ sở dữ liệu tài khoản đơn,
nó như là một cơ sở dữ liệu tài khoản cục bộ đứng độc lập trong máy tính Các máy tính là các thành viên của miền này cũng có một cơ sở dữ liệu tài khoản cục bộ nhưng hầu hết các tổ chức đã triển khai các miền Active
Directory đều yêu cầu người dùng đăng nhập vào các máy tính của họ và mạng bằng sử dụng các tài khoản dựa trên miền Do vậy nếu bạn chỉ định chiều dài password tối thiểu là 14 kí tự cho miền thì tất cả người dùng trong miền phải sử dụng password có nhiều hơn 14 kí tự Để thiết lập các yêu cầu khác cho một số lượng người dùng cụ thể bạn phải tạo một miền mới cho các tài khoản của họ
Trang 10Các miền Active Directory sử dụng các đối tượng chính sách nhóm (Group Policy objects - GPO) để lưu một loạt những thông tin về cấu hình gồm có các thiết lập chính sách password Mặc dù Active Directory là một dịch vụ thư mục có thứ bậc, chúng hỗ trợ nhiều lớp của các “đơn vị tính tổ chức” (OU) và nhiều GPO, thì các thiết lập chính sách password cho miền phải được định nghĩa trọng một “container” gốc cho miền Khi bộ điều khiển miền đầu tiên được tạo cho một miền Active Directory mới sẽ có hai GPO được tạo ra một cách tự động: GPO chính sách miền mặc định và GPO chính sách điều khiển miền mặc định Chính sách miền mặc định được liên kết với
“container” gốc Nó bao gồm một vài thiết lập miền rộng quan trọng trong đó
có các thiết lập chính sách password mặc định Chính sách điều khiển miền mặc định được liên kết đến các bộ điều khiển miền OU và gồm các thiết lập bảo mật ban đầu cho các bộ điều khiển miền
Một giải pháp mang tính thực tiễn tốt nhất để tránh việc thay đổi các GPO kèm theo Nếu bạn cần áp dụng các thiết lập chính sách password mà phân tán ra thành các thiết lập mặc định thì bạn nên tạo một GPO mới và liên kết
nó tới “container” gốc hoặc đến bộ điều khiển miền OU và gán nó ở mức ưu tiên cao hơn GPO kèm theo: nếu có hai GPO mâu thuẫn với các thiết lập
Trang 11được liên kết đến “container” gốc thì GPO có mức ưu tiên cao sẽ được ưu tiên trước