Chính sách tài khoản người dùng (Account Policy) được dùng để chỉ định các thông số về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy ra, cho phép cấu hình các thông số bảo mật máy tính cho mật khẩu, khóa tài khoản và chứng thực Kerberos trong vùng.
CHÍNH SÁCH TÀI KHOẢN Chính sách tài khoản người dùng (Account Policy) dùng để định thông số tài khoản người dùng mà sử dụng tiến trình logon xảy ra, cho phép cấu hình thông số bảo mật máy tính cho mật khẩu, khóa tài khoản chứng thực Kerberos vùng Trên Windows Server 2008 làm DC có ba thư mục Password Policy, Account Lockout Policy Kerberos Policy Trong Windows Server 2008 cho phép quản lý sách tài khoản theo hai cấp độ là: cục miền Muốn cấu hình sách tài khoản người dùng ta vào Start > Administrative Tools>Local Security Policy Hình 2.2 Các sách tài khoản Account Policies 2.1.1 Chính sách mật Chính sách mật (Password Policies) nhằm đảm bảo an toàn cho mật người dùng để tránh trường hợp đăng nhập bất hợp pháp vào hệ thống Chính sách cho phép quy định chiều dài ngắn nhất, độ phức tạp mật Bảng 2.1 Chính sách mật Chính sách Mô tả Mặc định Số lần đặt mật mã Enforce Password không trùng 24 History Maximum Password Age Giá trị Giá trị nhỏ lớn 24 Quy định số ngày Giữ mật mã Giữ mật Giữ mật nhiều mà 42 mã mã mật mã 999 ngày dùng có hiệu lực Minimum Password Age Quy định số ngày mà ngày dùng thay đổi mật 999 ngày Minimum Password Length Quy định chiều dài ngắn mật mã 14 kí tự Password Must Meet Complexity Requirements Properties Mật yêu cầu có độ phức tạp Cho phép ký họa, ký tự số Không cho phép Cho phép Store Password Mật người Không cho Không Using Reversible dùng lưu phép cho phép Encryption dạng mã hóa Cho phép 2.1.2 Chính sách khóa tài khoản Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức thời điểm khóa tài khoản vùng hay hệ thống cục Chính sách giúp hạn chế công thông qua hình thức logon từ xa Các thông số cấu hình sách khóa tài khoản: Bảng 2.2 Chính sách khóa tài khoản người dùng Chính sách Mô tả Giá trị mặc định Giá trị Giá trị max Gợi ý Account Lockout Threshold Quy định số lần cố gắng đăng nhập trước tài khoản bị khóa 0 Thử 999 lần lần Account Lockout Duration Quy định thời gian khóa tài khoản Là Account lockout threshold thiết lập giá trị 30 phút Như giá trị mặc định 99999 phút phút Reset Quy định Là Như 99999 Account Lockout Counter After thời gian đếm lại số lần đăng nhập không thành công Account lockout threshold thiết lập giá trị phút giá trị mặc định phút phút 2.1.3 Chính sách Kerberos Kerberos giao thức bảo mật dùng để xác thực mạng máy tính hoạt động đường truyền không an toàn Khi sách thiết lập giúp chống lại việc nghe hay gửi lại gói tin cũ đảm bảo tính toàn vẹn liệu mô hình mạng client/server Mục tiêu giao thức nhằm vào mô hình máy chủ máy khách đảm bảo nhận thực cho hai chiều Giao thức xây dựng dựa mật mã hóa khóa đối xứng cần đến bên thứ ba mà hai phía tham gia giao dịch tin tưởng a Nguyên tắc hoạt động Kerberos thiết kế dựa giao thức Needham-Schrocder Kerberos sử dụng bên thứ ba tham gia vào trình nhận thực gọi “trung tâm phân phối khóa” (key distribution center - KDC) KDC bao gồm hai chức năng: "máy chủ xác thực" (authentication server - AS) "máy chủ cung cấp vé" (ticket granting server TGS) "Vé" hệ thống Kerberos chứng thực chứng minh tính hợp lệ người sử dụng Mỗi người sử dụng (cả máy chủ máy khách) hệ thống chia sẻ khóa chung với máy chủ Kerberos Việc sở hữu thông tin khóa chứng để chứng minh tính hợp lệ người sử dụng Trong giao dịch hai người sử dụng hệ thống, máy chủ Kerberos tạo khóa phiên dùng cho phiên giao dịch b Nhược điểm - Tồn điểm yếu: Nếu máy chủ trung tâm ngừng hoạt động hoạt động ngừng lại Điểm yếu hạn chế cách sử dụng nhiều máy chủ Kerberos - Giao thức đòi hỏi đồng hồ tất máy tính liên quan phải đồng Nếu không đảm bảo điều này, chế nhận thực thời hạn sử dụng không hoạt động Thiết lập mặc định đòi hỏi đồng hồ không sai lệch 10 phút - Cơ chế thay đổi mật không tiêu chuẩn hóa Hình 2.3 Các sách Kerberos Bảng 2.3 Chính sách Kerberos Chính sách Mô tả Thiết lập nội Thiết lập mặc định hiệu Chỉ địng hạn chế Enforce User Logon đăng nhập bẳt Không xác định Restrictions buộc Cho phép Chỉ định tuổi tối đa Maximum Lifetime cho thẻ phục vụ Không xác định for Service Ticket trước thay 600 phút Chỉ định tuổi tối đa Maximum Lifetime cho thẻ người dùng Không xác định for User Ticket trước thay 10 Chỉ định khoảng thời gian thẻ Maximum Lifetime bị thay Không xác định for User Renewal trướckhi tái sinh ngày Chỉ định thời gian Maximum Tolerance tối đa cho sựđồng Computer Clock Không xác định hoá máy Synchronization khách KDC phút ... mã hóa Cho phép 2.1.2 Chính sách khóa tài khoản Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức thời điểm khóa tài khoản vùng hay hệ thống cục Chính sách giúp hạn chế công... công thông qua hình thức logon từ xa Các thông số cấu hình sách khóa tài khoản: Bảng 2.2 Chính sách khóa tài khoản người dùng Chính sách Mô tả Giá trị mặc định Giá trị Giá trị max Gợi ý Account... sai lệch 10 phút - Cơ chế thay đổi mật không tiêu chuẩn hóa Hình 2.3 Các sách Kerberos Bảng 2.3 Chính sách Kerberos Chính sách Mô tả Thiết lập nội Thiết lập mặc định hiệu Chỉ địng hạn chế Enforce