Tạomậtkhẩuan to
àn trong
Windows –Phần1
– Trong bài này chúng tôi sẽ giới thiệu cho các bạn một số vấn
đề nhằm tăng độ bảo mật cho các mậtkhẩutrong Windows.
Giới thiệu
Cũng giống như bất cứ hệ điều hành mạng này, trái tim của vấn đề bảo mật
chính là username và password. Có rất nhiều người dùng mặc định được tạo ra
(Administrator và Guest là một trong số đó) và những username này đều có
một mậtkhẩu đi kèm với chúng. Khi một người dùng nào đó muốn xác nhận
hoặc truy cập vào tài nguyên, lúc đó hệ thống sẽ yêu cầu đến mậtkhẩu đối với
tài khoản của họ. TrongWindows Server 2003 (và các hệ điều hành sau này)
yêu c
ầu một mậtkhẩu mặc định. Mậtkhẩu này cần phải được bảo vệ ở mọi
khía cạnh vì luôn tiềm ẩn khả năng bị capture, đoán, hack, hoặc theo một số
cách nào đó. Tuy nhiên có rất nhiều cách để bảo vệ mậtkhẩu Windows, loạt
bài này chúng tôi sẽ giới thiệu những gì bạn có thể thực hiện để tăng độ bảo
mật đối với các mậtkhẩu của mình. Trước tiên, chúng ta phải hiểu cách thiết
lập một mậtkhẩu như thế nào, cách điều khiển nó ra sao, sau đó là chúng có
thể bị tấn công theo các hình thức nào, từ đó chúng ta mới có thể đánh giá để
đưa ra các biện pháp bảo vệ tốt đối với các tấn công.
Các mậtkhẩu mặc định của Windows
Khi đăng nhập vào miền Active Directory, bạn cần phải nhập vào ba mục
chính: username, password, domain name.
Khi domain controller nhận được các thông tin này, nó sẽ phân tích mậtkhẩu
hiện hành đối với username được liệt kê trong cơ sở dữ liệu Active Directory.
N
ếu mậtkhẩu này tương ứng với username trong cơ sở dữ liệu thì Domain
Controller sẽ xác thực cho người dùng, cung cấp cho họ một thẻ xác nhận d
ùng
để truy cập vào các tài nguyên khác trong miền hay trong mạng.
Khi người dùng muốn thay đổi mậtkhẩu đối với tài khoản của họ, thông tin
này cũng được gửi đến Domain Controller. Khi mậtkhẩu mới được người
dùng nhập vào và gửi đến Domain Controller, các chính sách đã được thiết lập
sẽ bảo đảm mậtkhẩu có đủ các yêu cầu bảo mật tối thiểu. Một vài lưu ý về
chính sách mậtkhẩu cho miền (cũng như cho tất cả các tài khoản người dùng
nội bộ theo mặc định):
Đối với mậtkhẩu Windows, yêu cầu có tối thiểu 7 ký tự (Windows
Server 2003 và sau này)
Các mậtkhẩu phải có 3 trong 4 kiểu ký tự: chữ hoa, chữ thường, số và
các ký tự đặc biệt như $!@*
Một mậtkhẩu mới phải được tạo trước 42 ngày để kích hoạt tài khoản
Một mậtkhẩu không thể được dùng l
ại cho tới khi 24 mậtkhẩu duy nhất
sau đó đã được tạo ra.
Tất cả các thiết lập mậtkhẩu được thiết lập trongphần Computer
Configuration của GPO, được liệt kê trong Password Policy. Hình 1 minh
chứng những thiết lập cho việc cấu hình chính sách mật khẩu.
Hình 1: Các thiết lập Password Policy trong GPO được đặt trong Computer
Configuration, không phải trong User Configuration
Những gì điều khiển chính sách mậtkhẩu miền?
Trước tiên, Default Domain Policy GPO sẽ điều khiển chính sách mậtkhẩu
Password Policy cho tất cả các máy tính trongtoàn bộ miền. Toàn bộ miền ở
đây gồm có các Domain Controller, máy chủ, máy trạm (đã gia nh
ập miền) cho
toàn bộ miền Active Directory. Default Domain Policy được liên kết với nút
miền, nút miền này gồm tất cả các máy tính trong miền với tư cách một mục
tiêu.
Thứ hai, bất kỳ GPO nào đã được liên kết với miền đều có thể đư
ợc sử dụng để
thiết lập và điều khiển các thiết lập chính sách mật khẩu. GPO chỉ có quyền ưu
tiên cao nhất ở mức miền, dùng để đánh bại bất cứ các thiết lập xung đột nào
có liên quan đến các thiết lập chính sách mật khẩu.
Thứ ba, nếu GPO được liên kết với một khối tổ chức (OU), nó sẽ không điều
khiển mậtkhẩu cho các tài khoản người dùng định vị trong OU. Đây là lỗi rất
hay xảy gặp. Các thiết lập chính sách mậtkhẩu không nên trên người dùng mà
thay vào đó phải dựa trên máy tính, như thể hiện trong hình 1 bên dưới.
Thứ tư, nếu một GPO được liên kết với một OU, các thiết lập chính sách mật
khẩu đã tạotrong GPO sẽ ảnh hưởng đến SAM nội bộ trên bất kỳ máy tính n
ào
nằm trong OU. Điều đó sẽ “trump” các thiết lập chính sách mậtkhẩu được cấu
hình trong GPO liên kết với miền, tuy nhiên chỉ cho các tài khoản người dùng
nội bộ được lưu trong các SAM nội bộ của các máy tính này.
Thứ năm, nếu một GPO được liên kết với Default Domain Controllers OU, nó
sẽ không điều khiển cơ sở dữ liệu Active Directory của người dùng được lưu
trong các Domain Controller. Ch
ỉ có một cách thay đổi các thiết lập chính sách
mật khẩu của các tài khoản người dùng trong miền nằm bên trong một GPO có
liên kết với miền (trừ khi bạn đang sử dụng Windows Server 2008 thì bạn mới
có thể sử dụng các thiết lập chính xác mậtkhẩu tinh hơn để điều chỉnh).
Thứ sáu, LanManager (LM) được hỗ trợ đầy đủ trên hầu hết các Windows
Active Directory enterprise đang tồn tại. LM là một giao thức thẩm định rất cũ
và rất yếu trong việc bảo vệ mật khẩu, chính vì vậy password hash được tạo ra
để hỗ trợ sự thẩm định với giao thức này. Có hai thiết lập GPO có thể điều
khiển sự hỗ trợ của LM và lưu LM hash. Chúng tôi s
ẽ giới thiệu cả hai thiết lập
này trongphần tiếp theo của loạt bài, bảo đảm rằng bạn biết cách cấu hình các
thiết lập này đúng và địa điểm chính xác để tạo các thiết lập trong GPO.
Kết luận
Các thiết lập chính sách mặc định cho miền Active Directory không quá đỗi tệ
mà hoàn toàn có thể cải thiện chúng. Các thiết lập mặc định ban đầu được cấu
hình và được lưu trong Default Domain Policy GPO, thành phần được liên kết
với nút miền. Với Windows 2000 và Server 2003, chỉ có một chính sách mật
khẩu cho Windows 2000/2003 domain! Điều đó có nghĩa rằng tất cả người
dùng (nhân viên IT, các chuyên gia phát triển ứng dụng, nhà quản lý, quản lý
nguồn nhân lực) có cùng những hạn chế về chính sách mật khẩu. Nếu có yếu
điểm nào đó cho một trong số những người dùng này thì chúng sẽ là yếu điểm
cho tất cả người dùng. Sự thay đổi có thể được thực hiện đối với SAM nội bộ
trên các máy chủ và máy trạm (không DC) từ các GPO được liên kết với OU
có các tài khoản máy tính này cư trú bên trong Active Directory. Các thiết lập
GPO này sẽ chỉ điều khiển các tài khoản người dùng nội bộ, không điều khiển
các tài khoản người dùng trong miền. LM cho thấy đã quá lỗi thời, không an
toàn và là một lựa chọn nghèo cho giao thức thẩm định, cần được đầu tư và vô
hiệu hóa nếu có thể. Trongphần tiếp theo của loạt bài này, chúng tôi sẽ không
chỉ nói về việc bảo vệ với LM mà còn giới thiệu một số cách mà các mậtkhẩu
Windows đã bị tấn công như thế nào.
. Tạo mật khẩu an to
àn trong
Windows – Phần 1
– Trong bài này chúng tôi sẽ giới thiệu cho các bạn một số vấn
đề nhằm tăng độ bảo mật cho các mật khẩu. tích mật khẩu
hiện hành đối với username được liệt kê trong cơ sở dữ liệu Active Directory.
N
ếu mật khẩu này tương ứng với username trong cơ sở dữ liệu