Thiết lập mật khẩu cho Windows: Đảm bảo an toàn hệ thống (phần 1)

Giới thiệu

Giống như bất kỳ một hệ điều hành mạng nào, thứ quan trọng nhất cho việc bảo mật là username và password. Tài khoảng người dùng mặc định chỉ có tài khoản Administrator và tài khoản Guest được tạo. Mỗi khi người dùng muốn xác nhận hay truy cập vào bất cứ một nguồn tài nguyên nào thì đều phải dùng mật khẩu để truy nhập vào tài khoản của mình. Hiện tại hệ thống Domain của Windows Server 2003 (và phiên bản sau) yêu cầu một mật khẩu mặc định. Mật khẩu này cần được bảo vệ ở mọi nơi vì nó có nguy cơ bị sao chụp, lấy cắp, hack... hoặc một vài cách khác. Loạt bài viết này chúng ta sẽ thảo luận về một số cách để tăng cường tính bảo mật cho mật khẩu. Trước hết, chúng ta cần phải hiểu một mật khẩu được lập ra và được quản lý thế nào, tiếp đến nó có thể bị thâm nhập ra sao, vì thế mà chúng ta có thể đưa ra những biện pháp bảo vệ chống lại các cách thâm nhập thông thường đó.

Mật khẩu mặc định của Windows

Khi bạn muốn đăng nhập vào một Active Directory, bạn sẽ phải nhập ba khoá chính: username (tên người dùng), password (mật khẩu) và domain name (tên miền).

Khi domain controller (bộ điều khiển miền) nhận được thông tin, nó sẽ phân tích mật khẩu hiện hành ứng với tên người dùng được liệt kê trong danh sách cơ sở dữ liệu của Active Directory. Nếu mật khẩu khớp thì domain controller sẽ xác nhận người dùng hợp lệ và cung cấp cho người dùng mã thông báo để truy xuất các tài nguyên trên mạng / miền.

Khi người dùng muốn thay đổi mật khẩu của tài khoản, thông tin này cũng được gửi đến domain controller. Khi domain controller nhận được mật khẩu mới khi người dùng nhập vào, các chính sách đặt mật khẩu cho domain được đưa ra để bảo đảm password mới này đáp ứng các yêu cầu về an ninh ở mức tối thiểu. Một số lưu ý về chính sách mật khẩu cho Domain (cũng như cho các tài khoản người dùng cục bộ theo mặc định):

• Mật khẩu tối thiểu ít nhất là 7 ký tự (Windows Server 2003 các phiên bản sau).

• Mật khẩu phải bao gồm 3 trong 4 loại ký tự sau: chữ hoa, chữ thường, chữ số, các ký tự đặc biệt ($!@*...).

• Mật khẩu mới phải được kích hoạt trước 42 ngày để tài khoản hoạt động.

• Mật khẩu không thể được dùng lại cho đến khi 24 mật khẩu duy nhất được tạo.

Tất cả các thiết lập này tuân theo chuẩn cấu hình chính sách của máy tính (Group policy object - GPO) , được liệt kê trong chính sách mật khẩu.

Bảng 1 minh họa các thiết lập cho chính sách password .



Bảng 1: Thiết lập chính sách mật khẩu trong một GPO đặt dưới Computer Configuration mà không phải User Configuration.

Kiểm soát chính sách mật khẩu của Domain

Là người giảng dạy lâu năm về hệ thống bảo mật Windows, tôi đã làm việc với Active Directory từ năm 1999 và giảng dạy về hệ thống bảo mật Windows cho hàng nghìn chuyên gia công nghệ bao gồm cả chi tiết cụ thể xung quanh chính sách bảo mật Windows. Điều tôi thấy đáng lưu ý là hiện tại, sau hơn 9 năm Microsoft cho ra đời Active Directory cho đến tận bây giờ một số chuyên viên công nghệ thông tin vẫn còn lung túng trong việc kiểm soát hệ thống bảo mật hoặc đưa ra những lựa chọn để thay đổi chúng. Vì vậy, đây chính là tính xác thực và khả thi của hệ thống chính sách bảo mật Windows.

Trước nhất, chính sách nhóm mặc định của Domain là quản lý chính sách mật khẩu trên tất cả các máy tính trong toàn bộ Domain. Quả vậy, nó bao gồm Domain controller, server và desktop tham gia vào Domain. Chính sách nhóm mặc định của Domain được liên kết với nút Domain tất nhiên bao gồm tất cả các máy tính trong Domain như một đích đến.

Thứ hai là bất kỳ một GPO được kết nối tới Domain cũng có thể được dùng để lập ra và kiểm soát, điều khiển các thiết đặt chính sách mật khẩu. GPO có quyền ưu tiên tối cao ở cấp độ miền để có thể "thắng" trong bất kỳ xung đột về thiết lập nào khi thiết đặt chính sách mật khẩu.

Thứ ba là nếu một GPO được liên kết với một đơn vị tổ chức (OU) thì nó sẽ không kiểm soát password tài khoản người dùng thuộc OU đó. Điều này nhanh chóng trở thành lỗi chung nhất mà các chuyên gia IT hay mắc phải. Thiết lập chính sách mật khẩu không dựa trên người dùng mà hơn thế nó dựa trên cơ sở máy tính được chỉ rõ ở Bảng 1 ở trên.

Thứ tư là nếu một GPO liên kết với một OU, các thiết đặt chính sách mật khẩu được tạo dựng trong GPO đó sẽ tác động lên file SAM cục bộ ở bất kỳ máy tính nào thuộc OU đó. Điều này sẽ ảnh hưởng đặc biệt tới các cài đặt chính sách mật khẩu được thiết lập trong GPO nối với Domain, nhưng chỉ cho các tài khoản dùng nội mạng được lưu trong các file SAM cục bộ của những máy tính này.

Thứ năm, nếu một GPO liên kết với OU của Domain Controllers mặc định thì nó sẽ không kiểm soát các cơ sở dữ liệu Active Directory của người dùng được lưu trong các DC. Cách duy nhất để thay đổi các chế độ cài đặt chính sách mật khẩu cho các tài khoản người sử dụng Domain là trong một GPO nối với Domain (trừ khi bạn đang sử dụng các Domain Windows Server 2008, với các Domain này bạn có thể sử dụng các chính sách password nhỏ được miêu tả kỹ ở bài viết khác).

Sau cùng, Lan Manager (bộ quản lý LAN - LM) hoàn toàn được hỗ trợ trên phần lớn các Active Directory enterprises. LM là một giao thức xác nhận lỗi thời và không hiệu quả trong việc bảo mật mật khẩu cũng như dữ liệu mật khẩu "hash" phát sinh để hỗ trợ việc xác thực giao thức. Có hai dạng thiết lập GPO (thực chất là thiết lập đăng ký) quản lý nếu LM được hỗ trợ và nếu dữ liệu "hash" LM được lưu. Chúng ta sẽ đi sâu vào cả hai thiết lập này trong bài sau của loạt bài viết này để đảm bảo rằng bạn biết cách thiết lập trong một GPO cho đúng và chuẩn xác.

Kết luận

Thiết lập chính sách mật khẩu mặc định cho một Active Directory không tệ và có thể nâng cấp được. Thiết lập mặc định này ban đầu được tạo và lưu giữ trong Default Domain Policy GPO được kết nối với node Domain. Đối với các miền Windows 2000 và Server 2003, chỉ có duy nhất một chính sách mật khẩu. Điều này có nghĩa là tất cả người sử dụng (nhân viên IT, lập trình viên, nhân viên điều hành, HR,...) có những quyền hạn chính sách mật khẩu giống nhau. Nếu bạn thiết lập một chính sách với chế độ mật khẩu yếu cho một người thì đồng nghĩa với việc tất cả mọi người đều có chung một chính sách yếu kém đó. Các thiết lập GPO sẽ chỉ kiểm soát những tài khoản người dùng cục bộ mà không kiểm soát các tài khoản dùng trong miền. LM là một sự lựa chọn cũ, không an toàn cho tính xác thực của lệnh được kiểm tra và vô hiệu hóa nếu có thể. Trong bài viết tiếp theo chúng tôi sẽ không chỉ thảo luận về việc bảo vệ trước LM mà còn những con đường khác mà mật khẩu Windows bị xâm nhập.

Nguyễn Tuyết Mai (Theo Windowsecurity)