CHÍNH SÁCH TÀI KHOẢN
Chính sách tài khoản người dùng (Account Policy) được dùng để chỉ định
các thông số về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy
ra, cho phép cấu hình các thông số bảo mật máy tính cho mật khẩu, khóa tài khoản
và chứng thực Kerberos trong vùng.
Trên Windows Server 2008 làm DC có ba thư mục Password Policy, Account
Lockout Policy và Kerberos Policy. Trong Windows Server 2008 cho phép quản lý
chính sách tài khoản theo hai cấp độ là: cục bộ và miền. Muốn cấu hình các chính
sách tài khoản người dùng ta vào Start > Administrative Tools>Local Security
Policy.
Hình 2.2 Các chính sách tài khoản Account Policies
2.1.1. Chính sách mật khẩu
Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn cho mật
khẩu của người dùng để tránh các trường hợp đăng nhập bất hợp pháp vào hệ
thống. Chính sách này cho phép quy định chiều dài ngắn nhất, độ phức tạp của mật
khẩu.
Bảng 2.1 Chính sách mật khẩu
Chính sách
Mô tả
Mặc định
Số lần đặt mật mã
Enforce Password
không được trùng 24
History
nhau
Maximum
Password Age
Giá
trị Giá
trị
nhỏ nhất lớn nhất
0
24
Quy định số ngày Giữ mật mã Giữ mật Giữ mật
nhiều nhất mà trong
42 mã trong mã trong
mật mã ngươi ngày
1 ngày
999 ngày
dùng có hiệu lực
Minimum
Password Age
Quy định số ngày
ít nhất mà ngươi
1 ngày
dùng có thể thay
đổi mật khẩu
0
999 ngày
Minimum
Password Length
Quy định chiều
dài ngắn nhất của 7
mật mã
0
14 kí tự
Password
Must
Meet Complexity
Requirements
Properties
Mật khẩu yêu cầu
có độ phức tạp
Cho phép
như ký họa, ký tự
số
Không
cho phép
Cho phép
Store
Password Mật khẩu người
Không cho Không
Using Reversible dùng được lưu
phép
cho phép
Encryption
dưới dạng mã hóa
Cho phép
2.1.2. Chính sách khóa tài khoản
Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức và
thời điểm khóa tài khoản trong vùng hay trong hệ thống cục bộ. Chính sách này
giúp hạn chế tấn công thông qua hình thức logon từ xa. Các thông số cấu hình
chính sách khóa tài khoản:
Bảng 2.2 Chính sách khóa tài khoản người dùng
Chính sách
Mô tả
Giá trị mặc định
Giá trị
min
Giá trị
max
Gợi ý
Account
Lockout
Threshold
Quy định số
lần cố gắng
đăng nhập
trước khi tài
khoản bị
khóa
0
0
Thử 999
lần
5 lần
Account
Lockout
Duration
Quy định
thời gian
khóa tài
khoản
Là 0 nhưng nếu
Account lockout
threshold được
thiết lập thì giá trị
này là 30 phút
Như
giá trị
mặc
định
99999
phút
5
phút
Reset
Quy định
Là 0 nhưng nếu
Như
99999
5
Account
Lockout
Counter
After
thời gian
đếm lại số
lần đăng
nhập không
thành công
Account lockout
threshold được
thiết lập thì giá trị
này là 5 phút
giá trị
mặc
định
phút
phút
2.1.3. Chính sách Kerberos
Kerberos là một giao thức bảo mật dùng để xác thực trong các mạng máy
tính hoạt động trên những đường truyền không an toàn. Khi chính sách được thiết
lập giúp chống lại việc nghe lén hay gửi lại những gói tin cũ và đảm bảo tính toàn
vẹn của dữ liệu trong mô hình mạng client/server. Mục tiêu của giao thức này là
nhằm vào mô hình máy chủ máy khách và đảm bảo nhận thực cho cả hai chiều.
Giao thức được xây dựng dựa trên mật mã hóa khóa đối xứng và cần đến một bên
thứ ba mà cả hai phía tham gia giao dịch tin tưởng.
a. Nguyên tắc hoạt động
Kerberos được thiết kế dựa trên giao thức Needham-Schrocder. Kerberos sử dụng
một bên thứ ba tham gia vào quá trình nhận thực gọi là “trung tâm phân phối khóa”
(key distribution center - KDC). KDC bao gồm hai chức năng: "máy chủ xác thực"
(authentication server - AS) và "máy chủ cung cấp vé" (ticket granting server TGS). "Vé" trong hệ thống Kerberos chính là các chứng thực chứng minh tính hợp
lệ của người sử dụng.
Mỗi người sử dụng (cả máy chủ và máy khách) trong hệ thống chia sẻ một
khóa chung với máy chủ Kerberos. Việc sở hữu thông tin về khóa chính là bằng
chứng để chứng minh tính hợp lệ của một người sử dụng. Trong mỗi giao dịch giữa
hai người sử dụng trong hệ thống, máy chủ Kerberos sẽ tạo ra một khóa phiên dùng
cho phiên giao dịch đó.
b. Nhược điểm
- Tồn tại một điểm yếu: Nếu máy chủ trung tâm ngừng hoạt động thì mọi
hoạt động sẽ ngừng lại. Điểm yếu này có thể được hạn chế bằng cách sử dụng
nhiều máy chủ Kerberos.
- Giao thức đòi hỏi đồng hồ của tất cả những máy tính liên quan phải được
đồng bộ. Nếu không đảm bảo điều này, cơ chế nhận thực giữa trên thời hạn sử dụng
sẽ không hoạt động. Thiết lập mặc định đòi hỏi các đồng hồ không được sai lệch
quá 10 phút.
- Cơ chế thay đổi mật khẩu không được tiêu chuẩn hóa.
Hình 2.3 Các chính sách Kerberos
Bảng 2.3 Chính sách Kerberos
Chính sách
Mô tả
Thiết lập nội bộ Thiết
lập
mặc định
hiệu quả
Chỉ địng hạn chế
Enforce User Logon
đăng nhập là bẳt Không xác định
Restrictions
buộc
Cho phép
Chỉ định tuổi tối đa
Maximum Lifetime
cho thẻ phục vụ Không xác định
for Service Ticket
trước khi thay mới
600 phút
Chỉ định tuổi tối đa
Maximum Lifetime
cho thẻ người dùng Không xác định
for User Ticket
trước khi thay mới
10 giờ
Chỉ định khoảng
thời gian thẻ có thể
Maximum Lifetime
bị
thay
mới Không xác định
for User Renewal
trướckhi nó được
tái sinh
7 ngày
Chỉ định thời gian
Maximum Tolerance
tối đa cho sựđồng
Computer
Clock
Không xác định
bộ hoá giữa máy
Synchronization
khách và KDC
5 phút