Tài liệu Tạo mật khẩu an toàn trong Windows – Phần 1 docx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (183.36 KB, 3 trang )
Tạo mật khẩu an toàn trong Windows – Phần 1
Giới thiệu
Cũng giống như bất cứ hệ điều hành mạng này, trái tim của vấn đề bảo mật chính là
username và password. Có rất nhiều người dùng mặc định được tạo ra (Administrator và
Guest là một trong số đó) và những username này đều có một mật khẩu đi kèm với
chúng. Khi một người dùng nào đó muốn xác nhận hoặc truy cập vào tài nguyên, lúc đó
hệ thống sẽ yêu cầu đến mật khẩu đối với tài khoản của họ. Trong Windows Server 2003
(và các hệ điều hành sau này) yêu cầu một mật khẩu mặc định. Mật khẩu này cần phải
được bảo vệ ở mọi khía cạnh vì luôn tiềm ẩn khả năng bị capture, đoán, hack, hoặc theo
một số cách nào đó. Tuy nhiên có rất nhiều cách để bảo vệ mật khẩu Windows, loạt bài
này chúng tôi sẽ giới thiệu những gì bạn có thể thực hiện để tăng độ bảo mật đối với các
mật khẩu của mình. Trước tiên, chúng ta phải hiểu cách thiết lập một mật khẩu như thế
nào, cách điều khiển nó ra sao, sau đó là chúng có thể bị tấn công theo các hình thức nào,
từ đó chúng ta mới có thể đánh giá để đưa ra các biện pháp bảo vệ tốt đối với các tấn
công.
Các mật khẩu mặc định của Windows
Khi đăng nhập vào miền Active Directory, bạn cần phải nhập vào ba mục chính:
username, password, domain name.
Khi domain controller nhận được các thông tin này, nó sẽ phân tích mật khẩu hiện hành
đối với username được liệt kê trong cơ sở dữ liệu Active Directory. Nếu mật khẩu này
tương ứng với username trong cơ sở dữ liệu thì Domain Controller sẽ xác thực cho người
dùng, cung cấp cho họ một thẻ xác nhận dùng để truy cập vào các tài nguyên khác trong
miền hay trong mạng.
Khi người dùng muốn thay đổi mật khẩu đối với tài khoản của họ, thông tin này cũng
được gửi đến Domain Controller. Khi mật khẩu mới được người dùng nhập vào và gửi
đến Domain Controller, các chính sách đã được thiết lập sẽ bảo đảm mật khẩu có đủ các
yêu cầu bảo mật tối thiểu. Một vài lưu ý về chính sách mật khẩu cho miền (cũng như cho
tất cả các tài khoản người dùng nội bộ theo mặc định):
Đối với mật khẩu Windows, yêu cầu có tối thiểu 7 ký tự (Windows Server 2003
và sau này)
Các mật khẩu phải có 3 trong 4 kiểu ký tự: chữ hoa, chữ thường, số và các ký tự
đặc biệt như $!@*...
Một mật khẩu mới phải được tạo trước 42 ngày để kích hoạt tài khoản
Một mật khẩu không thể được dùng lại cho tới khi 24 mật khẩu duy nhất sau đó
đã được tạo ra.
Tất cả các thiết lập mật khẩu được thiết lập trong phần Computer Configuration của
GPO, được liệt kê trong Password Policy. Hình 1 minh chứng những thiết lập cho việc
cấu hình chính sách mật khẩu.
Hình 1: Các thiết lập Password Policy trong GPO được đặt trong Computer
Configuration, không phải trong User Configuration
Những gì điều khiển chính sách mật khẩu miền?
Trước tiên, Default Domain Policy GPO sẽ điều khiển chính sách mật khẩu Password
Policy cho tất cả các máy tính trong toàn bộ miền. Toàn bộ miền ở đây gồm có các
Domain Controller, máy chủ, máy trạm (đã gia nhập miền) cho toàn bộ miền Active
Directory. Default Domain Policy được liên kết với nút miền, nút miền này gồm tất cả
các máy tính trong miền với tư cách một mục tiêu.
Thứ hai, bất kỳ GPO nào đã được liên kết với miền đều có thể được sử dụng để thiết lập
và điều khiển các thiết lập chính sách mật khẩu. GPO chỉ có quyền ưu tiên cao nhất ở
mức miền, dùng để đánh bại bất cứ các thiết lập xung đột nào có liên quan đến các thiết
lập chính sách mật khẩu.
Thứ ba, nếu GPO được liên kết với một khối tổ chức (OU), nó sẽ không điều khiển mật
khẩu cho các tài khoản người dùng định vị trong OU. Đây là lỗi rất hay xảy gặp. Các
thiết lập chính sách mật khẩu không nên trên người dùng mà thay vào đó phải dựa trên
máy tính, như thể hiện trong hình 1 bên dưới.
Thứ tư, nếu một GPO được liên kết với một OU, các thiết lập chính sách mật khẩu đã tạo
trong GPO sẽ ảnh hưởng đến SAM nội bộ trên bất kỳ máy tính nào nằm trong OU. Điều
đó sẽ “trump” các thiết lập chính sách mật khẩu được cấu hình trong GPO liên kết với
miền, tuy nhiên chỉ cho các tài khoản người dùng nội bộ được lưu trong các SAM nội bộ
của các máy tính này.
Thứ năm, nếu một GPO được liên kết với Default Domain Controllers OU, nó sẽ không
điều khiển cơ sở dữ liệu Active Directory của người dùng được lưu trong các Domain
Controller. Chỉ có một cách thay đổi các thiết lập chính sách mật khẩu của các tài khoản
người dùng trong miền nằm bên trong một GPO có liên kết với miền (trừ khi bạn đang sử
dụng Windows Server 2008 thì bạn mới có thể sử dụng các thiết lập chính xác mật khẩu
tinh hơn để điều chỉnh).
Thứ sáu, LanManager (LM) được hỗ trợ đầy đủ trên hầu hết các Windows Active
Directory enterprise đang tồn tại. LM là một giao thức thẩm định rất cũ và rất yếu trong
việc bảo vệ mật khẩu, chính vì vậy password hash được tạo ra để hỗ trợ sự thẩm định với
giao thức này. Có hai thiết lập GPO có thể điều khiển sự hỗ trợ của LM và lưu LM hash.
Chúng tôi sẽ giới thiệu cả hai thiết lập này trong phần tiếp theo của loạt bài, bảo đảm
rằng bạn biết cách cấu hình các thiết lập này đúng và địa điểm chính xác để tạo các thiết
lập trong GPO.
Kết luận
Các thiết lập chính sách mặc định cho miền Active Directory không quá đỗi tệ mà hoàn
toàn có thể cải thiện chúng. Các thiết lập mặc định ban đầu được cấu hình và được lưu
trong Default Domain Policy GPO, thành phần được liên kết với nút miền. Với Windows
2000 và Server 2003, chỉ có một chính sách mật khẩu cho Windows 2000/2003 domain!
Điều đó có nghĩa rằng tất cả người dùng (nhân viên IT, các chuyên gia phát triển ứng
dụng, nhà quản lý, quản lý nguồn nhân lực) có cùng những hạn chế về chính sách mật
khẩu. Nếu có yếu điểm nào đó cho một trong số những người dùng này thì chúng sẽ là
yếu điểm cho tất cả người dùng. Sự thay đổi có thể được thực hiện đối với SAM nội bộ
trên các máy chủ và máy trạm (không DC) từ các GPO được liên kết với OU có các tài
khoản máy tính này cư trú bên trong Active Directory. Các thiết lập GPO này sẽ chỉ điều
khiển các tài khoản người dùng nội bộ, không điều khiển các tài khoản người dùng trong
miền. LM cho thấy đã quá lỗi thời, không an toàn và là một lựa chọn nghèo cho giao thức
thẩm định, cần được đầu tư và vô hiệu hóa nếu có thể. Trong phần tiếp theo của loạt bài
này, chúng tôi sẽ không chỉ nói về việc bảo vệ với LM mà còn giới thiệu một số cách mà
các mật khẩu Windows đã bị tấn công như thế nào.
