Giảm mặt tấn công của các tài khoản quản trị viên

Chúng ta đã thấy được có một xu hướng mới đang đến với mạng công ty
đó là các nhà quản trị mạng muốn hạn chế được những gì mà tài khoản
“quản trị viên” có thể thực hiện trong môi trường mạng. Không chỉ các
quản trị viên từ Active Directory mà cả quản trị viên trên các máy trạm
và máy chủ trong toàn doanh nghiệp. Có khá nhiều cách cấu hình mà
chúng ta có thể thực hiện để hạn chế được hay nói cách khác là kiểm soát
được các tài khoản này. Tuy nhiên vấn đề quan trọng là cần phải làm gì,
những cấu hình nào có ý nghĩa đối với bạn và những gì không nên thực hiện
khi nói đến các tài khoản quản trị trong toàn tổ chức. Đây, chúng tôi sẽ trả lời
tất cả các câu hỏi đó để bảo đảm rằng bạn có thể tạo được các cấu hình thích
hợp cũng như biết những gì mà bạn có thể để mở.

Các tài khoản quản trị nằm ở đâu?

Trước khi bắt đầu hạn chế các tài khoản quản trị trên mạng, thì bạn cần phải
hiểu được chúng nằm ở đâu và chúng có những đặc quyền gì. Đầu tiên chúng
ta phải bắt đầu bằng việc quan sát trên các máy trạm và máy chủ trong tổ
chức. Tất cả máy tính chạy Windows đều có một tài khoản quản trị được cấu
hình ở phần cài đặt. Tài khoản này là tài khoản có mức cao nhất mà bạn có ở
mỗi máy tính. Tài khoản này có tư cách hội viên trong nhóm quản trị, được
ban cho quyền điều khiển cao nhất trên máy tính đó.

Cũng có các tài khoản quản trị được cấu hình trong Active Directory. Miền
đầu tiên được cấu hình trong Active Directory doanh nghiệp của bạn có một
tài khoản quản trị đặc biệt. Lý do nó đặc biệt là do các nhóm mà nó có tư
cách hội viên trong đó. Tài khoản quản trị ban đầu này có tư cách hội viên
trong các nhóm bảo mật chính dưới đây:
 Administrators
 Domain Admins
 Enterprise Admins
 Schema Admins
Miền ban đầu gồm cả các nhóm Enterprise Admins và Schema Admins. Mỗi
miền thêm vào sẽ có một tài khoản quản trị với tư cách là hội viên trong
nhóm Domain Admins và Administrator

Các quản trị viên có thể thực hiện những gì

Bây giờ chúng ta đã biết nơi các tài khoản quản trị cư trú, vậy chúng có thể
thực hiện những gì? Các tài khoản quản trị viên cục bộ có đầy đủ quyền truy
nhập trên chính máy tính mà nó đang tồn tại. Điều đó có nghĩa là chúng có
thể thay đổi bất cứ tài nguyên nào trên máy tính như các dịch vụ, tài khoản,
tài nguyên, ứng dụng và các file được lưu trong máy tính.

Các tài khoản quản trị viên trong Active Directory có cùng một quyền ngang
nhau. Khi các tài khoản đó có quyền điều khiển mức miền hoặc cao hơn,
chúng không chỉ kiểm soát các dịch vụ, tài khoản, tài nguyên, ứng dụng và
các file được lưu trong bộ điều khiển miền, mà còn với bất kỳ máy tính nào
trong miền tương ứng. Quản trị viên nằm trong miền ban đầu của Active
Directory cũng có quyền lực này trên mỗi máy tính riêng trong toàn bộ mạng
tài khoản. Và quản trị doanh nghiệp có thể kiểm soát tất cả các khía cạnh của
mạng tài khoản này.


Kiểm soát các tài khoản quản trị viên

Như bạn có thể thấy, các tài khoản quản trị viên có rất nhiều quyền lực.
Chính vì vậy bạn cần phải bảo vệ tài khoản này. Có rất nhiều tùy chọn để
giảm được rủi ro có liên quan đến việc bị tấn công hay bị thỏa hiệp tài khoản
này. Các đề xuất này có thể dường như là công việc mở rộng, các phương
pháp hoặc khái niện không hiệu quả có thể làm cho bạn giảm năng suất. Khi
xem xét đến bất cứ khái niệm bảo mật nào bạn sẽ phải có kế hoạch nhất định.
Bảo mật hoàn toàn không dễ dàng gì, nếu nó dễ thì chúng ta đã không phải
quan tâm quá nhiều đến nó như vậy. Vậy bạn phải thực hiện những gì để bảo
vệ các tài khoản quản trị viên trong môi trường của mình?

Đầu tiên, không sử dụng các tài khoản quản trị viên. Các tài khoản này chỉ
nên được sử dụng để thiết lập môi trường ban đầu, sau khi thiết lập bạn cần
phải đưa “tài khoản người dùng thông thường” vào nhóm quản trị viên hoặc
một trong những hội viên của nhóm quản trị khác nhau. Điều này sẽ đạt được
các kết quả giống nhau và không cần sử dụng “tài khoản quản trị viên thực
sự”.

Thứ hai, không sử dụng “tài khoản người dùng bình thường” được đặt trong
Administrator hoặc một trong các nhóm quản trị khác theo định kỳ và nhiệm
vụ người dùng chuẩn. Kiểm tra email, viết các bản ghi nhớ, dẫn chứng tư
liệu,… nên được thực hiện với tài khoản người dùng chuẩn mà không cần
cho tài khoản quản trị. Điều này yêu cầu cần phải có tài khoản song song cho
các quản trị viên. Một giải pháp luân phiên để thực hiện điều đó là sử dụng
Vista với UAC được kích hoạt. Ở Vista, UAC là một công nghệ lý tưởng cho
việc giải quyết vấn đề này.

Thứ ba, vô hiệu hóa tài khoản quản trị viên – Administrator. Bạn chỉ có thể
thực hiện việc này với Windows XP và Server 2003, được thể hiện bằng một

thiết lập trong Group Policy Object, xem hình 1.

Hình 1: Với Group Policy Object, bạn có thể vô hiệu hóa bất kỳ tài khoản
quản trị viên nào
Tôi sẽ phải đưa ra một số cảnh báo trước khi bạn vô hiệu hóa tài khoản này.
Đầu tiên, bạn cần bảo đảm tạo một tài khoản quản trị khác trước khi vô hiệu
hóa tài khoản này. Nếu không thực hiện điều này thì bạn sẽ khóa chính bản
thân bạn ở bên ngoài hệ thống khi tạo một tài khoản kiểu quản trị viên khác.
Kế đến, bạn cần xem xét những gì sẽ phải thực hiện đối với các kế hoạch
khôi phục khi xảy ra tình huống xấu. Không có tài khoản quản trị viên, bạn
có thể sẽ không có quyền truy cập vào một số file, dịch vụ và các công cụ
khôi phục thảm họa nào đó.

Thứ tư, thiết lập Active Directory và thành phần được ủy thác Group Policy
thay vì chỉ ném các tài khoản người dùng vào nhóm quản trị miền. Trong hầu
hết các trường hợp, bạn có thể sử dụng công cụ ủy thác và các kỹ thuật để
cho quản trị viên quyền điều khiển trên Active Directory và Group Policy.
Hình 2 và hình 3 thể hiện cho bạn giao diện cho các vùng điều khiển ủy thác.

Hình 2: Ủy thác Active Directory

Hình 3: Ủy thác Group Policy
Thứ năm, bạn nên kích hoạt việc thẩm định đối với các tài nguyên, nơi mà
các quản trị viên không có quyền truy cập, và không nên chấp nhận sự tự truy
cập của bản thân họ. Những gì sẽ phải thực hiện ở đó là giúp bảo vệ được tài
nguyên ở những nơi mà các quản trị viên không nên có quyền truy cập trực
tiếp. Điều này có thể là một giải pháp thông minh cho các file có liên quan
đến HR, tài chính, quản trị, cổ phần của công ty,… Hãy nhớ những gì chúng
ta đã thảo luận trong phần trước đối với các tài khoản quản trị viên khác và
sự truy cập của họ. Một quản trị việc không được liệt kê trong danh sách trên

một tài nguyên không có nghĩa rằng họ không thể thự bổ sung thêm bản thân
họ. Bạn có thể kích hoạt việc thẩm định trên bất kỳ máy tính nào bằng Group
Policy như những gì thể hiện trên hình 4.

Hình 4: Thẩm định để kiểm tra sự truy cập của các quản trị viên
Thứ sáu, các tài khoản quản trị viên và tất cả tài khoản người dùng đã cấu
hình với quyền quản trị viên cần phải có mật khẩu bảo vệ tốt. Các mật khẩu
đó cũng cần được thay đổi thường xuyên. Không đưa ra thời hạn hết hạn của
mật khẩu sẽ không tốt cho việc bảo mật ở đây.

Cuối cùng, một mẹo cần phải chỉ ra cho các bạn không thực sự là một sự cấu
hình hay thiết lập, mà đơn giản chỉ cần bảo vệ công ty và các tài nguyên của
công ty với tất cả chi phí có thể. Nếu có một cảm giác không tốt về một quản
trị viên hoặc một ai đó có quyền quản trị viên thì bạn phải có các biện pháp
đối với họ, có thể mạnh đến mức đào thải. Đó thực sự là một điều khó khăn
nhưng nếu ai đó không thể tin tưởng thì họ phải bị thay thế ra khỏi môi
trường của bạn để đảm bảo an toàn cho toàn công ty.

Kết luận

Các tài khoản quản trị viên và nhóm quản trị có liên quan rất mạnh mẽ trong
môi trường Windows. Các tài khoản này có nhiều quyền năng hơn những gì
bạn vẫn thường nghĩ về nó. Bạn có thể bảo vệ môi trường của mình có nghĩa
là phải kiểm soát chặt chẽ được các tài khoản đó. Chính vì vậy bạn cần phải
quan tâm đến tất cả các chú ý mà chúng tôi đã giới thiệu trên để bảo vệ
chúng, tuy một số tùy chọn có thể làm giảm hiệu quả và có thể phát sinh ra
nhiều công đoạn cho tất cả các quản trị viên mỗi khi họ muốn thực hiện
nhiệm vụ cần đến quyền truy cập cao. Nhưng xét tổng thể, để kiểm soát được
các tài khoản kiểu quản trị viên thì đó là một nhu cầu cần thiết. Bạn cần thực
hiện hành động bảo vệ này ngay lập tức trước khi mạng của bạn bị phá hoại

như trường hợp trong câu “mất bò mới lo làm chuồng”!