maytinh_xachtay
New member
Việc thiết lập một chính sách password tốt cho tổ chức của bạn có thể giúp ngăn cản kẻ tấn công đóng vai người dùng hợp pháp và bằng cách đó có thể ngăn chặn việc mất dữ liệu, lộ tin tức nhạy cảm. Trong bài viết này chúng tôi sẽ giải thích cho các bạn làm thế nào để thực thi một chính sách password trên các máy tính đang chạy các hệ điều hành Microsoft Windows 2000, Windows XP, và Windows Server 2003.
Phụ thuộc xem máy tính trong tổ chức là thành viên của lĩnh vực Active Directory, máy tính độc lập hay cả hai trường hợp để thực thi các chính sách password tốt, bạn phải thực hiện một hoặc hai nhiệm vụ dưới đây:
Cấu hình các thiết lập chính sách mật khẩu trong Active Directory Domain.
Cấu hình các thiết lập trên các máy tính đứng độc lập.
Khi đã cấu hình được các thiết lập password hợp lý thì người dùng trong tổ chức bạn sẽ có thể tạo các password mới thỏa mãn chiều dài và độ phức tạp và người dùng sẽ không thể thay đổi ngay lập tức các password mới của họ.
Trước khi bắt đầu
Trước khi cầu hình thiết lập password trên máy tính trong mạng, bạn cần phải thấy được các thiết lập gì có liên quan đến, chỉ rõ giá trị sẽ sử dụng cho các thiết lập này, và hiểu Windows lưu các thiết lập cấu hình password ở đâu.
Nhận dạng thiết lập liên quan đến password
Với Windows 2000, Windows XP, và Windows Server 2003, có năm thiết lập mà bạn phải cấu hình liên quan đến các đặc tính password: Enforce password history, Maximum password age, Minimum password age, Minimum password length, và Passwords must meet complexity requirements.
Enforce password history (lược sử) chỉ ra số các password mới mà một người dùng phải sử dụng trước khi một password cũ được dùng lại. Giá trị của thiết lập này có thể nằm trong khoảng 0 đến 24; nếu giá trị này được thiết lập là 0 thì enforce password history bị vô hiệu hóa. Với hầu hết các tổ chức thường thiết lập giá trị này là 24.
Maximum password age (tuổi thọ tối đa) chỉ ra bao nhiêu ngày một password có thể được sử dụng trước khi người dùng bị yêu cầu thay đổi nó. Giá trị này nằm giữa 0 đến 99; nếu nó được thiết lập là 0 thì các password không bao giờ hết hiệu lực. Thiết lập giá trị này quá thấp có thể là nguyên nhân gây mất tác dụng cho người dùng; ngược lại giá trị này quá cao hoặc vô hiệu hóa chúng thì nó sẽ cho phép các kẻ tấn công có thêm thời gian để xác định các password. Với hầu hết các tổ chức, giá trị này được thiết lập là 42 ngày.
Minimum password age (tuổi thọ tối thiểu) chỉ ra bao nhiêu ngày một người dùng phải giữ các password mới trước khi họ có thể thay đổi chúng. Thiết lập này được thiết kế để làm việc với thiết lập Enforce password history để người dùng không thể nhanh chóng thiết lập lại các password và sau đó thay đổi lại password cũ của họ. Giá trị của thiết lập này có thể từ 0 đến 999; nếu nó được thiết lập bằng 0 thì người dùng có thể thay đổi ngay lập tức các password mới. Chúng tôi khuyên bạn nên thiết lập giá trị này là 2 ngày.
Minimum password length (chiều dài tối thiểu) chỉ ra độ dài tối thiểu của các password như thế nào. Mặc dù Windows 2000, Windows XP và Windows Server 2003 hỗ trợ các password có tới 28 kí tự nhưng giá trị của thiết lập này chỉ ở khoảng 0 đến 4 kí tự. Nếu được thiết lập là 0 thì người dùng được cho phép có các password trống, vì vậy bạn không nên sử dụng giá trị 0. Trong trường hợp này chúng tôi khuyên bạn nên dùng 8 kí tự.
Passwords must meet complexity requirements (các yêu cầu về độ phức tạp) chỉ ra độ phức tạp của các password được yêu cầu như thế nào. Nếu thiết lập này được kích hoạt thì mật khẩu người dùng cần theo các yêu cầu dưới đây.
Password phải dài ít nhất là 6 kí tự
Password gồm các kí tự ít nhất cũng gồm có ba trong năm loại sau:
Các kí tự chữ hoa trong bảng chữ cái (A-Z)
Các kí tự chữ thường hoa trong bảng chữ cái (a-z)
10 chữ số cơ bản (0 - 9)
Các ký tự đặc biệt (ví dụ: !, $, #, hoặc %)
Các kí tự Unicode
Các password không nhiều hơn ba kí tự có trong tên tài khoản người dùng.
Nếu tên tài khoản ít hơn ba kí tự thì kiểm tra này sẽ không được thực hiện bởi vì tốc độ các password này sẽ bị loại bỏ quá cao. Khi việc kiểm tra sẽ coi một số kí tự như các dấu phân cách để phân chia tên thành các phần riêng biệt gồm: dấu phẩy, dấu chấm, gạch ngang/dấu nối, gạch chân, phím “space”, kí hiệu pound và các phím tab. Khi các phần đó dài hơn 3 kí tự thì chúng được tìm trong password; nếu nó xuất hiện thì password sẽ bị loại. Ví dụ: tên "Erin M. Hagens" sẽ bị phân chia thành ba phần: "Erin", "M" và "Hagens". Vì trong phần thứ hai có một kí tự nên nó bị bỏ qua. Vì vậy người dùng này không thể có một password gồm cả "erin" hay "hagens" như một chuỗi con ở bất kỳ đâu trong password. Tất cả các kiểm tra này rất nhạy cảm.
Những yêu cầu về độ phức tạp được bắt buộc đối với sự thay đổi password hoặc việc tạo mới chúng. Chúng tôi khuyên bạn nên cho phép thiết lập này.
Tìm hiểu xem hệ điều hành Windows lưu thông tin cấu hình các thiết lập password như thế nào
Trước khi bạn thực hiện các chính sách password trong tổ chức, bạn nên tìm hiểu một ít về thông tin của cấu hình chính sách password được lưu như thế nào trong Windows 2000, Windows XP và Windows Server 2003. Điều này là cần thiết bởi vì các kỹ thuật lưu trữ chính sách password giới hạn số lượng của các chính sách password khác nhau mà bạn có thể thực hiện và tác động như thế nào.
Chúng có thể là một chính sách đơn giản đối với mỗi cơ sở dữ liệu tài khoản. Một miền Active Directory được xem như một cơ sở dữ liệu tài khoản đơn, nó như là một cơ sở dữ liệu tài khoản cục bộ đứng độc lập trong máy tính. Các máy tính là các thành viên của miền này cũng có một cơ sở dữ liệu tài khoản cục bộ nhưng hầu hết các tổ chức đã triển khai các miền Active Directory đều yêu cầu người dùng đăng nhập vào các máy tính của họ và mạng bằng sử dụng các tài khoản dựa trên miền. Do vậy nếu bạn chỉ định chiều dài password tối thiểu là 14 kí tự cho miền thì tất cả người dùng trong miền phải sử dụng password có nhiều hơn 14 kí tự. Để thiết lập các yêu cầu khác cho một số lượng người dùng cụ thể bạn phải tạo một miền mới cho các tài khoản của họ.
Các miền Active Directory sử dụng các đối tượng chính sách nhóm (Group Policy objects - GPO) để lưu một loạt những thông tin về cấu hình gồm có các thiết lập chính sách password. Mặc dù Active Directory là một dịch vụ thư mục có thứ bậc, chúng hỗ trợ nhiều lớp của các “đơn vị tính tổ chức” (OU) và nhiều GPO, thì các thiết lập chính sách password cho miền phải được định nghĩa trọng một “container” gốc cho miền. Khi bộ điều khiển miền đầu tiên được tạo cho một miền Active Directory mới sẽ có hai GPO được tạo ra một cách tự động: GPO chính sách miền mặc định và GPO chính sách điều khiển miền mặc định. Chính sách miền mặc định được liên kết với “container” gốc. Nó bao gồm một vài thiết lập miền rộng quan trọng trong đó có các thiết lập chính sách password mặc định. Chính sách điều khiển miền mặc định được liên kết đến các bộ điều khiển miền OU và gồm các thiết lập bảo mật ban đầu cho các bộ điều khiển miền.
Phụ thuộc xem máy tính trong tổ chức là thành viên của lĩnh vực Active Directory, máy tính độc lập hay cả hai trường hợp để thực thi các chính sách password tốt, bạn phải thực hiện một hoặc hai nhiệm vụ dưới đây:
Cấu hình các thiết lập chính sách mật khẩu trong Active Directory Domain.
Cấu hình các thiết lập trên các máy tính đứng độc lập.
Khi đã cấu hình được các thiết lập password hợp lý thì người dùng trong tổ chức bạn sẽ có thể tạo các password mới thỏa mãn chiều dài và độ phức tạp và người dùng sẽ không thể thay đổi ngay lập tức các password mới của họ.
Trước khi bắt đầu
Trước khi cầu hình thiết lập password trên máy tính trong mạng, bạn cần phải thấy được các thiết lập gì có liên quan đến, chỉ rõ giá trị sẽ sử dụng cho các thiết lập này, và hiểu Windows lưu các thiết lập cấu hình password ở đâu.
Nhận dạng thiết lập liên quan đến password
Với Windows 2000, Windows XP, và Windows Server 2003, có năm thiết lập mà bạn phải cấu hình liên quan đến các đặc tính password: Enforce password history, Maximum password age, Minimum password age, Minimum password length, và Passwords must meet complexity requirements.
Enforce password history (lược sử) chỉ ra số các password mới mà một người dùng phải sử dụng trước khi một password cũ được dùng lại. Giá trị của thiết lập này có thể nằm trong khoảng 0 đến 24; nếu giá trị này được thiết lập là 0 thì enforce password history bị vô hiệu hóa. Với hầu hết các tổ chức thường thiết lập giá trị này là 24.
Maximum password age (tuổi thọ tối đa) chỉ ra bao nhiêu ngày một password có thể được sử dụng trước khi người dùng bị yêu cầu thay đổi nó. Giá trị này nằm giữa 0 đến 99; nếu nó được thiết lập là 0 thì các password không bao giờ hết hiệu lực. Thiết lập giá trị này quá thấp có thể là nguyên nhân gây mất tác dụng cho người dùng; ngược lại giá trị này quá cao hoặc vô hiệu hóa chúng thì nó sẽ cho phép các kẻ tấn công có thêm thời gian để xác định các password. Với hầu hết các tổ chức, giá trị này được thiết lập là 42 ngày.
Minimum password age (tuổi thọ tối thiểu) chỉ ra bao nhiêu ngày một người dùng phải giữ các password mới trước khi họ có thể thay đổi chúng. Thiết lập này được thiết kế để làm việc với thiết lập Enforce password history để người dùng không thể nhanh chóng thiết lập lại các password và sau đó thay đổi lại password cũ của họ. Giá trị của thiết lập này có thể từ 0 đến 999; nếu nó được thiết lập bằng 0 thì người dùng có thể thay đổi ngay lập tức các password mới. Chúng tôi khuyên bạn nên thiết lập giá trị này là 2 ngày.
Minimum password length (chiều dài tối thiểu) chỉ ra độ dài tối thiểu của các password như thế nào. Mặc dù Windows 2000, Windows XP và Windows Server 2003 hỗ trợ các password có tới 28 kí tự nhưng giá trị của thiết lập này chỉ ở khoảng 0 đến 4 kí tự. Nếu được thiết lập là 0 thì người dùng được cho phép có các password trống, vì vậy bạn không nên sử dụng giá trị 0. Trong trường hợp này chúng tôi khuyên bạn nên dùng 8 kí tự.
Passwords must meet complexity requirements (các yêu cầu về độ phức tạp) chỉ ra độ phức tạp của các password được yêu cầu như thế nào. Nếu thiết lập này được kích hoạt thì mật khẩu người dùng cần theo các yêu cầu dưới đây.
Password phải dài ít nhất là 6 kí tự
Password gồm các kí tự ít nhất cũng gồm có ba trong năm loại sau:
Các kí tự chữ hoa trong bảng chữ cái (A-Z)
Các kí tự chữ thường hoa trong bảng chữ cái (a-z)
10 chữ số cơ bản (0 - 9)
Các ký tự đặc biệt (ví dụ: !, $, #, hoặc %)
Các kí tự Unicode
Các password không nhiều hơn ba kí tự có trong tên tài khoản người dùng.
Nếu tên tài khoản ít hơn ba kí tự thì kiểm tra này sẽ không được thực hiện bởi vì tốc độ các password này sẽ bị loại bỏ quá cao. Khi việc kiểm tra sẽ coi một số kí tự như các dấu phân cách để phân chia tên thành các phần riêng biệt gồm: dấu phẩy, dấu chấm, gạch ngang/dấu nối, gạch chân, phím “space”, kí hiệu pound và các phím tab. Khi các phần đó dài hơn 3 kí tự thì chúng được tìm trong password; nếu nó xuất hiện thì password sẽ bị loại. Ví dụ: tên "Erin M. Hagens" sẽ bị phân chia thành ba phần: "Erin", "M" và "Hagens". Vì trong phần thứ hai có một kí tự nên nó bị bỏ qua. Vì vậy người dùng này không thể có một password gồm cả "erin" hay "hagens" như một chuỗi con ở bất kỳ đâu trong password. Tất cả các kiểm tra này rất nhạy cảm.
Những yêu cầu về độ phức tạp được bắt buộc đối với sự thay đổi password hoặc việc tạo mới chúng. Chúng tôi khuyên bạn nên cho phép thiết lập này.
Tìm hiểu xem hệ điều hành Windows lưu thông tin cấu hình các thiết lập password như thế nào
Trước khi bạn thực hiện các chính sách password trong tổ chức, bạn nên tìm hiểu một ít về thông tin của cấu hình chính sách password được lưu như thế nào trong Windows 2000, Windows XP và Windows Server 2003. Điều này là cần thiết bởi vì các kỹ thuật lưu trữ chính sách password giới hạn số lượng của các chính sách password khác nhau mà bạn có thể thực hiện và tác động như thế nào.
Chúng có thể là một chính sách đơn giản đối với mỗi cơ sở dữ liệu tài khoản. Một miền Active Directory được xem như một cơ sở dữ liệu tài khoản đơn, nó như là một cơ sở dữ liệu tài khoản cục bộ đứng độc lập trong máy tính. Các máy tính là các thành viên của miền này cũng có một cơ sở dữ liệu tài khoản cục bộ nhưng hầu hết các tổ chức đã triển khai các miền Active Directory đều yêu cầu người dùng đăng nhập vào các máy tính của họ và mạng bằng sử dụng các tài khoản dựa trên miền. Do vậy nếu bạn chỉ định chiều dài password tối thiểu là 14 kí tự cho miền thì tất cả người dùng trong miền phải sử dụng password có nhiều hơn 14 kí tự. Để thiết lập các yêu cầu khác cho một số lượng người dùng cụ thể bạn phải tạo một miền mới cho các tài khoản của họ.
Các miền Active Directory sử dụng các đối tượng chính sách nhóm (Group Policy objects - GPO) để lưu một loạt những thông tin về cấu hình gồm có các thiết lập chính sách password. Mặc dù Active Directory là một dịch vụ thư mục có thứ bậc, chúng hỗ trợ nhiều lớp của các “đơn vị tính tổ chức” (OU) và nhiều GPO, thì các thiết lập chính sách password cho miền phải được định nghĩa trọng một “container” gốc cho miền. Khi bộ điều khiển miền đầu tiên được tạo cho một miền Active Directory mới sẽ có hai GPO được tạo ra một cách tự động: GPO chính sách miền mặc định và GPO chính sách điều khiển miền mặc định. Chính sách miền mặc định được liên kết với “container” gốc. Nó bao gồm một vài thiết lập miền rộng quan trọng trong đó có các thiết lập chính sách password mặc định. Chính sách điều khiển miền mặc định được liên kết đến các bộ điều khiển miền OU và gồm các thiết lập bảo mật ban đầu cho các bộ điều khiển miền.