Trong phần này chúng tôi sẽ giới thiệu cách tạo một mật khẩu
Windows đủ an toàn để khắc phục được tất cả các vấn đề đã đưa
ra trong hai cài đặt đầu tiên của loạt bài.
Tạo mật khẩu an toàn trong Windows – Phần 1
Giới thiệu
Trong hai phần đầu của loạt bài này, chúng tôi đã phô bày ra sự
thực về chính sách mật khẩu của Windows và cách nó được điều khiển như thế nào trong môi
trường Active Directory. Nếu xem lại các phần trước, bạn sẽ tìm thấy nó trong phần Default
Domain Policy mặc định. Chúng tôi cũng đã giới thiệu các công nghệ đã được sử dụng để xâm
nhập trái phép vào mật khẩu Windows, miêu tả những hạn chế trong mỗi một tấn công. Trong
phần này, chúng tôi sẽ giới thiệu cách tạo một mật khẩu Windows an toàn như thế nào, và mật
khẩu đó giải quyết các vấn đề mà chúng tôi đã đưa ra trong hai phần đầu. Phần này cũng giới thiệu
những khả năng mặc định có trong cài đặt Active Directory Windows 2000/2003/2008, cũng như
một số công nghệ có thể tăng bảo mật cho mật khẩu.
Chỉ sử dụng cụm từ
Một mật khẩu điển hình mà người có thể sử dụng nên là:
Am3r1c@
Mật khẩu kiểu này sẽ có đủ những những yêu cầu về độ phức tạp, tuy nhiên sẽ rất khó nhớ và thực
sự không dễ đánh chút nào. Chính vì vậy, người dùng sẽ phải viết mật khẩu này ra một chỗ nào
đó, có thể để nó trên màn hình của họ, hay giấu dưới bàn phím của họ,… Thay cho cách thức cổ
xưa giống như mật khẩu này, bạn hãy thử sử dụng một mật khẩu kiểu cụm từ như:
Tôi là một trưởng nhóm IT.
Hoặc
Tôi đã đi Đức trong kỳ nghỉ lễ gần đây nhất.
Lưu ý: Đọc mỗi một trong ba mật khẩu và cụm từ trên, sau đó thử đánh lại mỗi một mật khẩu xem
sao. Bạn sẽ thấy rằng các cụm từ sẽ được bạn đánh vào dễ dàng hơn rất nhiều và cũng dễ nhớ hơn.
Khi các cụm từ đạt tới độ dài tối đa của mật khẩu thì các tấn công kiểu dictionary hoặc Rainbow
sẽ gặp nhiều khó khăn hơn và có thể cho phép người dùng của mình giữ mật khẩu lâu hơn, thậm
chí lên đến cả năm trời.
Trong phần này, chúng tôi sẽ giới thiệu những chính sách mật khẩu tốt và cách nó được thi hành
an toàn như thế nào, cách bảo vệ nó trên các máy tính (gồm có cả SAM nội bộ) và những công
nghệ nào có thể được sử dụng để thực thi một mật khẩu tốt.
Bảo đảm sự nhất quán của chính sách mật khẩu cho miền và tài khoản người dùng nội bộ
Cấu hình built-in của Active Directory bảo đảm rằng tất cả các tài khoản người dùng (tài khoản
được lưu trong Active Directory và các tài khoản được lưu trong) đều có cùng một chính sách mật
khẩu. Mặc dù vậy, bạn có thể thay đổi bằng cách liên kết và cấu hình một GPO ở mức OU
(organizational unit), mức nơi OU có các tài khoản máy tính được lưu trong chúng. Trong trường
hợp này, các desktop và máy chủ (không phải các domain controller) có có thể nhờ SAM của các
tài khoản người dùng nội bộ để tham gia vào một chính sách mật khẩu khác với SAM của các tài
khoản người dùng miền.
Để giữ được tính nhất quán của chính sách mật khẩu cho tất cả người dùng, bạn có thể thi hành
GPO nắm giữ các thiết lập chính sách mật khẩu của mình cho các tài khoản người dùng trong
miền. Đây cũng là Default Domain Policy. Để thực thi một GPO, hãy kích phải vào GPO và chọn
tùy chọn Enforce Menu. Hình 1 cho bạn thấy những gì được thể hiện trong khi cấu hình.
Hình 1: Việc thi hành Default Domain Policy sẽ bảo đảm rằng tất cả tài khoản người dùng trong
SAM nội bộ đều sử dụng một chính sách mật khẩu nhất quán
Nhiều chính sách mật khẩu trên miền bằng công nghệ của Microsoft
Microsoft đã tăng cơ hội và cung cấp khả năng có nhiều chính sách mật khẩu trong một miền
Active Directory. Đây không phải tin giật gân nhưng nó mang đến một hơi thở mới. Công nghệ
này chỉ có sẵn trong miền Windows Server 2008, nơi tất cả các domain controller đều chạy
Windows Server 2008. Thêm vào đó, miền cũng phải chạy ở mức chức năng Windows Server
2008. Công nghệ này được cho như các chính sách mật khẩu mạnh.
Nếu tình huống này phát sinh, bạn có thể cấu hình các chính sách mật khẩu. Điều đó có nghĩa rầng
bạn có các tính năng dưới đây:
• Các chuyên gia về CNTT phải sử dụng mật khẩu 25 ký tự
• Các nhà quản lý nhân sự phải sử dụng mật khẩu 20 ký tự
• Còn tất cả những người dùng khác phải sử dụng mật khẩu 17 ký tự
Bất lợi trong cách sử dụng này là không được cấu hình trong Group Policy mà thay vì đó bạn phải
tạo các đối tượng Active Directory bổ sung bên trong Password Settings Container. Thành phần
mà bạn có thể sử dụng để xem và cấu hình các đối tượng mới này là ADSIEDIT.MSC, xem trong
hình 2.
Hình 2: ADSIEDIT.MSC có thể được sử dụng để tạo các chính sách mật khẩu tinh hơn trong các
miền Windows Server 2008.
Để tạo các đối tượng bổ sung, bạn phải kích chuột phải vào Password Settings Container và chọn
New, Object. Wizard sẽ hướng dẫn bạn để cấu hình những thứ cần thiết.
Nâng các chính sách mật khẩu lên mức kế
Trước đây Microsoft đã cung cấp cho chúng ta cách điều khiển chính sách mật khẩu, còn nay, với
các chính sách mật khẩu mạnh của Windows Server 2008, chúng ta có nhiều sự lựa chọn hơn. Tuy
nhiên nếu bạn muốn nâng các thiết lập chính sách mật khẩu miền Windows của mình lên một mức
để cho phép kiểm soát được toàn bộ các mật khẩu, hãy sử dụng công cụ Password Policy của
Special Operations Software.
Với công cụ này, bạn có thể cấu hình những gì được liệt kê dưới đây:
• Thiết lập sự kết hợp giữa những hạn chế mật khẩu: chữ in hoa, chữ thường, số và các ký tự
đặc biệt.
• Các quy chế cho việc hết hạn mật khẩu, hay vẫn được gọi là tuổi thọ mật khẩu trên mỗi
chính sách.
• Không cho phép các ký tự liên tiếp trong mật khẩu
• Tự động gửi email hết hạn mật khẩu
• Các yêu cầu chính sách mật khẩu bổ sung;…
Hình 3 thể hiện những gì có trong giao diện của Password Policy:
Hình 3: Specops Password Policy là một công cụ chính sách mật khẩu mạnh cho các miền của
Windows
Kết luận
Mật khẩu Windows luôn nằm trong trạng thái bị tấn công. Nhiều trong số các tấn công có hiệu lực
và được thực hiện khá dễ dàng. Chính vì vậy bạn phải bảo vệ mật khẩu của chính mình và mật
khẩu của người dùng trên mạng mà mình quản lý. Những gì được đặt mặc định bên trong môi
trường Windows cần phải được thay đổi. Bên cạnh đó bạn cần phải chỉ dẫn cho người dùng của
mình làm thế nào để giữ an toàn cho mật khẩu của mình nhất. Giáo dục họ cách tạo một mật khẩu
dài, phức tạp và khỏe…và biết cách khai thác sử dụng phần mềm tạo các chính sách để bảo vệ mật
khẩu cho tổ chức của mình.