BẢO MẬT MẠNG PHẦN II: Chính sách an toàn Account
cho Computer Security Account Policies - 8/6/2005 11h:8
(Bài này được cập nhật cách đây 1 giờ )

LÀM THẾ NÀO ĐỂ BẢO VỆ CÁC MÁY TÍNH CỦA MỘT TỔ
CHỨC

Phần 2: Chính sách an toàn Account cho Computer (Security Account
Policies )

Ở phần trước tôi đã giới thiệu những phương thức chung để bảo vệ máy tính
của một tổ chức. Phần tiếp theo này tôi sẽ trình bày những phương thức cụ
thể theo trình tự, từ quá trình setup hệ thống, vận hành hệ thống dựa trên
những chính sách an toàn từ basic cho đến những kĩ năng advance mà các
Security Admin cần quan tâm để áp dụng vào việc xây dựng các quy trình an
toàn thông tin cho tổ chức. Phần trình bày này tôi xin đề cập đến vấn đề an
ninh account (account security) và cách thức tạo account an toàn nhằm đối
phó với những kiểu tấn công rất phổ biến và hiệu quả dưới sự trợ giúp của
những công cụ phù thủy…

Chính sách về account và cách thức tạo account nghèo nàn là con đường dễ
dàng nhất cho attacker, như vậy những hình thức bảo mật khác được áp
dụng vào hệ thống như trang bị các công cụ chống maleware (prevent virus,
worm, spyware, ad-ware ), triển khai hệ thống phòng thủ Mạng (Firewall)
cũng sẽ không có tác dụng nào đáng kể, vì Admin quá thờ ơ trong cách thức
tạo account và đưa ra chính sách tạo account chứa đựng nhiều rủi ro này.

Yêu cầu xác định các chính sách tạo password mạnh và đưa ra được chiến
lược an toàn account áp dụng vào an toàn thông tin của tổ chức là vấn đề
mang tính cấp bách.

A. Làm thế nào để tạo và quản lý Account an toàn
Những yếu tố dưới đây sẽ cho chúng ta thấy cách thức tạo và quản lý
Account sao cho an toàn
 Account phải được bảo vệ bằng password phức hợp ( password
length, password complexity)
 Chủ sở hữu account chỉ được cung cấp quyền hạn truy cập thông tin
và dịch vụ cần thiết (không thiếu quyền hạn mà cũng không thể để
thừa)
 Mã hóa account trong giao dịch trên Mạng (kể cả giao dịch trong
Mạng nội bộ)
 Lưu trữ account an toàn ( nhất định database lưu giữ tai khoản phải
được đặt trên những hệ thống an toàn và được mã hóa)
 Huấn luyện nhân viên, những người trực tiếp sử dụng Computer cách
thức bảo mật account tránh rò rĩ (attacker có thể lợi dụng mối quan hệ
với nhân viên hoặc giả danh bộ phận kĩ thuật hỗ trợ xử lí sự cố hệ
thống từ xa để khai thác ), hướng dẫn cách thức thay đổi password khi
cần thiết và tránh tuyệt đối việc ghi lại account trên các stick-notes rồi
gián bừa bãi trên Monitorhoặc Keyboard ), Khóa (lock) ngay
Computer khi không sử dụng, mặc định trên các máy tính thường
cũng có chính sách tự động lock computer sau môt thời gian không sử
dụng, để giúp cho những nhân viên hay quên tránh được lỗi bảo mật
sơ đẳng (lỗi này giống như việc ra khỏi nhà mà không khóa cửa)
 Những người tạo và quản lý account (đặc biệt là những account hệ
thống – System accounts, và account vận hành, kiểm soát các dịch vụ
- service accounts) cho toàn bộ tổ chức là những người được xem là
AN TOÀN TUYỆT ĐỐI.
 Disable những account tạm thời chưa sử dụng, delete những account
không còn sử dụng.
 Tránh việc dùng chung Password cho nhiều account
 Khóa (lock) account sau một số lần người sử dụng log-on không

thành công vào hệ thống.
 Có thể không cho phép một số account quản trị hệ thống và dịch vụ,
không được log-on từ xa (remote location log-on), vì những hệ thống
và dịch vụ này rất quan trọng và thông thường chỉ cho phép được
kiểm soát từ bên trong (internal Network), nếu có nhu cầu quản trị và
support từ xa Security Admin vẫn dễ dàng thay đổi chính sách để đáp
ứng nhu cầu.
 Các Security admin khi log-on vào Server chỉ nên dùng account có
quyền hạn thấp, khi cần quản trị hay vận hành các dịch vụ, mới nên
dùng account System hoặc Service (ví dụ Microsoft Windows hỗ trợ
command run as thông qua run as service để cho phép độc lập quản
trị các thành phần của hệ thống, các dịch vụ mà không cần phải log-on
vào máy ban đầu bằng account admin). Điều này giúp chúng ta tránh
được các chương trình nguy hiểm đã lọt vào máy tính chạy với quyền
admin, khi đó các admin thật sự của Computer sẽ gặp nhiều rắc rối.
 Vá tất cả những lỗ hỗng hệ thống để ngăn chặn các kiểu tấn công “đặc
quyền leo thang” (bắt đầu lọt vào hệ thống với account thông thường
và sau đó leo thang đến quyền cao nhất)
 Trên đây là những phần trực quan nhất mà Admin Security cần hình
dung cụ thể khi thiết kế chính sách bảo mật account (account security
policies). Một trong những chính sách bảo vệ hệ thống cần phải xem
xet kĩ lưỡng nhất nhưng thông thường dễ lơ là thậm chí là coi nhẹ, mà
sự thực hầu hết các con đường xâm nhập vào hệ thống đều qua khai
thác Credentials (có được thông tin account), attacker nắm được
vulnerabilities ( yếu điểm ) này, nên lợi dụng khai thác rất hiệu quả.
B. Phân tích và thiết kế các chính sách an toàn cho account.

Phân tích những rủi ro và xác định các mối đe dọa đối với account:
Account cho một User sẽ xác định những hành động mà User đó có thể thực
hiện.

Việc phân loại account sẽ chỉ ra những cấp độ bảo vệ thích hợp khác nhau.

Loại account Độ tin cậy Ví dụ
Người dùng bên ngoài Thấp

User truy cập Web
server (anonymous
user), đối tác kinh
doanh (business
partners)
Nhân viên nội bộ

Vừa phải

Nhân viên hợp đồng,
nhân viên chính thức
Nhóm Administrator

Cao

Quyền quản trị hệ
thống, dịch vụ, dữ liệu
tổ chức…

Các account trên hệ thống sẽ nhận được 2 loại quyền cơ bản:
 User rights (Quyền hệ thống): Là loại đặc quyền mà User được hệ
thống cho phép thực thi những hành động đặc biệt (ví dụ: Quyền
Backup Files Và Folders, thay đổi thời gian hệ thống, shutdown hệ
thống…)


 Trên Windows các bạn có thể type command secpol.msc tại RUN, để
open Local Security Settings\ local policies\ User rights assignment
là nơi xác lập các User rights của hệ thống
 Permissions (Quyền truy cập): Được kiểm soát bởi DACLs
(Discretionary access control lists) của hệ thống, được phép truy cập
vào các File/Folder hay Active Directory objects (trong Domain) (ví
dụ User A được quyền Read/Modify đối với Folder C:\Data, User B
được Full Control đối với OU Business )
 Chú ý trong việc cấp phát Permission cho account, nên đưa account
vào Group để dễ kiểm soát, tránh việc phân quyền mang tính cá nhân
cho một account nào đó. Điều này tăng cường khả năng kiểm soát
account, vì khi số lượng account của hệ thống (Local hay Domain)
tăng lên thì việc tổ chức này tạo sự an toàn và dễ kiểm soát hơn.
Những kẽ hở từ Account có thể tạo cơ hội cho attacker:
Password:
 Password quá yếu (độ dài password quá ngắn, các kí tự đơn giản, lấy
ngày tháng năm sinh, tên những bộ phim, địa danh, nhân vật nổi tiếng
, đặt cho password).
 Dùng cùng password cho nhiều account. password được dán bừa bãi
lên Monitor/Keyboard, hoặc lưu password vào một text file không bảo
vệ.
 Chia sẽ password hệ thống của mình cho bạn đồng nghiệp…
Cấp phát đặc quyền:
 Cấp phát đặc quyền Administrator cho các User.
 Các services của hệ thống không dùng Service account.
 Cấp phát User right không cần thiết cho account.
Việc sử dụng account:
 Log-on vào máy với account Administrators khi thi hành những tác vụ
thông thường.
 Tạo những User account cho phép quyền quản trị các tài khoản khác.

Kích hoạt những tài khoản không còn được sử dụng (ví dụ nhân viên
đã nghỉ việc, tài khỏan vẫn được lưu hành trên hệ thống )
Thiết kế chính sách tạo Password đáp ứng bảo mật cho Account:
 Chính sách tạo password sao cho an toàn thực sư là một trong những
yếu tố chính để bảo vệ tài khoản. Chính sách này bao gồm các yếu tố
chính như sau:
 Thời gian tối đa sử dụng password (maximum password age): Hạn sử
dụng tối đa của password trước khi user phải thay đổi password. Thay
đổi password theo định kì sẽ giúp tăng cường an toàn cho tài khoản
 Thời gian tối thiểu password phải được sử dụng trước khi có thể thay
đổi (minimum password age). Admin có thể thiết lập thờigian này
khoảng vài ngày, trước khi cho phép user thay đổi password của họ.
 Thực thi password history: Số lần các password khác biệt nhau phải
sử dụng qua, trước khi quay lại dùng password cũ. Số Password
history càng cao thì độ an toàn càng lớn.
 Chiều dài password tối thiểu (minimum password length) cần phải
đặt. Càng dài càng an toàn
 Password phải đạt yêu cầu phức hợp: không chỉ về độ dài mà còn về
độ phức hợp của các kí tự đặt password (ví dụ bạn có thể thấy sự khác
biệt giữa password và P@ssW0rd)
 Khi dùng password phức hợp cần quan tâm:
 Không sử dụng họ và tên
 Chứa ít nhất 6 kí tự
 Có thể đan xen chữ hoa,(A Z) thường (a z), và các kí tự đặc biệt như:
!@#$%^&*()
 Account lockout: Sẽ bị khóa tài khoản trong một thời gian nhất định,
nếu như sau một số lần log-on không thành công vào hệ thống. Mục
đích của chính sách này nhằm ngăn chặn các cuộc tấn công dạng brute
force vào account để dò password.
Trên đây là những vấn đề cốt lõi trong việc tạo và quản lý Account sao cho

an toàn, nhằm đáp ứng các yêu cầu khắt khe trong chính sách an toàn thông
tin của tổ chức và đối với các Security Admin thiết nghĩ vấn đề này không
nên chễnh mãng hoặc thờ ơ, vì đây là “ngõ vào” đầu tiên mà attacker luôn
ưu tiên trong việc thăm dò, khai thác yếu điểm của hệ thống.