Thiết lập hệ thống password an toàn

Giới thiệu

Hầu hết người dùng đăng nhập vào máy tính cá nhân cục bộ của họ hay các máy tính từ xa thường sử dụng kết hợp tên người dùng và một mật khẩu được nhập từ bàn phím. Mặc dù có nhiều kỹ thuật khác để thẩm định, như các thẻ thông minh, sinh trắc học, hay mật khẩu mật lần đăng nhập của các hệ điều hành, nhưng hầu hết các tổ chức vẫn phụ thuộc vào mật khẩu truyền thống và vẫn sẽ tiếp tục như vậy trong những năm tới đây. Vì vậy việc tìm ra một mật khẩu tốt và áp đặt biện pháp mật khẩu cho các máy tính là một vấn đề quan trọng và cần thiết nên làm ở các tổ chức. Một mật khẩu tốt phải là mật khẩu có một số lượng phức tạp nhất định – gồm có chiều dài và các loại ký tự - để làm cho password trở nên khó đoán hơn hơn trước kẻ tội phạm mật khẩu. Việc thiết lập một chính sách password tốt cho tổ chức của bạn có thể giúp ngăn cản kẻ tấn công đóng vai người dùng hợp pháp và bằng cách đó có thể ngăn chặn việc mất dữ liệu, lộ tin tức nhạy cảm. Trong bài viết này chúng tôi sẽ giải thích cho các bạn làm thế nào để thực thi một chính sách password trên các máy tính đang chạy các hệ điều hành Microsoft Windows 2000, Windows XP, và Windows Server 2003.

Phụ thuộc xem máy tính trong tổ chức là thành viên của lĩnh vực Active Directory, máy tính độc lập hay cả hai trường hợp để thực thi các chính sách password tốt, bạn phải thực hiện một hoặc hai nhiệm vụ dưới đây:

• Cấu hình các thiết lập chính sách mật khẩu trong Active Directory Domain.
• Cấu hình các thiết lập trên các máy tính đứng độc lập.

Khi đã cấu hình được các thiết lập password hợp lý thì người dùng trong tổ chức bạn sẽ có thể tạo các password mới thỏa mãn chiều dài và độ phức tạp và người dùng sẽ không thể thay đổi ngay lập tức các password mới của họ.

Chú ý: Tất cả các hướng dẫn từng bước cụ thể trong tài liệu này được phát triển bằng việc sử dụng menu Start mặc định khi cài hệ điều hành. Nếu bạn đã thay đổi menu Start thì các bước có thể sẽ khác chút ít.

Trước khi bắt đầu

Trước khi cầu hình thiết lập password trên máy tính trong mạng, bạn cần phải thấy được các thiết lập gì có liên quan đến, chỉ rõ giá trị sẽ sử dụng cho các thiết lập này, và hiểu Windows lưu các thiết lập cấu hình password ở đâu.

Lưu ý: Các hệ điều hành Windows 95, Windows 98, và Windows Millennium Edition không hỗ trợ các tính năng bảo mật nâng cao như thiết lập password. Nếu mạng của bạn gồm các máy tính đứng độc lập (máy tính không liên quan tới một tên miền) đang chạy các hệ điều hành này thì bạn sẽ không thể thiết lập chức năng mật khẩu này lên chúng. Nếu mạng gồm các máy tính đang chạy hệ điều hành này là thành viên của miền dịch vụ thư mục Active Directory thì bạn có thể thực thi các thiết lập password tại mức miền.

Nhận dạng thiết lập liên quan đến password

Với Windows 2000, Windows XP, và Windows Server 2003, có năm thiết lập mà bạn phải cấu hình liên quan đến các đặc tính password: Enforce password history, Maximum password age, Minimum password age, Minimum password length, và Passwords must meet complexity requirements.

• Enforce password history (lược sử) chỉ ra số các password mới mà một người dùng phải sử dụng trước khi một password cũ được dùng lại. Giá trị của thiết lập này có thể nằm trong khoảng 0 đến 24; nếu giá trị này được thiết lập là 0 thì enforce password history bị vô hiệu hóa. Với hầu hết các tổ chức thường thiết lập giá trị này là 24.
  
• Maximum password age (tuổi thọ tối đa) chỉ ra bao nhiêu ngày một password có thể được sử dụng trước khi người dùng bị yêu cầu thay đổi nó. Giá trị này nằm giữa 0 đến 99; nếu nó được thiết lập là 0 thì các password không bao giờ hết hiệu lực. Thiết lập giá trị này quá thấp có thể là nguyên nhân gây mất tác dụng cho người dùng; ngược lại giá trị này quá cao hoặc vô hiệu hóa chúng thì nó sẽ cho phép các kẻ tấn công có thêm thời gian để xác định các password. Với hầu hết các tổ chức, giá trị này được thiết lập là 42 ngày.
  
• Minimum password age (tuổi thọ tối thiểu) chỉ ra bao nhiêu ngày một người dùng phải giữ các password mới trước khi họ có thể thay đổi chúng. Thiết lập này được thiết kế để làm việc với thiết lập Enforce password history để người dùng không thể nhanh chóng thiết lập lại các password và sau đó thay đổi lại password cũ của họ. Giá trị của thiết lập này có thể từ 0 đến 999; nếu nó được thiết lập bằng 0 thì người dùng có thể thay đổi ngay lập tức các password mới. Chúng tôi khuyên bạn nên thiết lập giá trị này là 2 ngày.
  
• Minimum password length (chiều dài tối thiểu) chỉ ra độ dài tối thiểu của các password như thế nào. Mặc dù Windows 2000, Windows XP và Windows Server 2003 hỗ trợ các password có tới 28 kí tự nhưng giá trị của thiết lập này chỉ ở khoảng 0 đến 4 kí tự. Nếu được thiết lập là 0 thì người dùng được cho phép có các password trống, vì vậy bạn không nên sử dụng giá trị 0. Trong trường hợp này chúng tôi khuyên bạn nên dùng 8 kí tự.
  
• Passwords must meet complexity requirements (các yêu cầu về độ phức tạp) chỉ ra độ phức tạp của các password được yêu cầu như thế nào. Nếu thiết lập này được kích hoạt thì mật khẩu người dùng cần theo các yêu cầu dưới đây.
  
  • Password phải dài ít nhất là 6 kí tự
    
  • Password gồm các kí tự ít nhất cũng gồm có ba trong năm loại sau:
    
    • Các kí tự chữ hoa trong bảng chữ cái (A-Z)
      
    • Các kí tự chữ thường hoa trong bảng chữ cái (a-z)
      
    • 10 chữ số cơ bản (0 - 9)
      
    • Các ký tự đặc biệt (ví dụ: !, $, #, hoặc %)
      
    • Các kí tự Unicode
      
  • Các password không nhiều hơn ba kí tự có trong tên tài khoản người dùng.
    
    Nếu tên tài khoản ít hơn ba kí tự thì kiểm tra này sẽ không được thực hiện bởi vì tốc độ các password này sẽ bị loại bỏ quá cao. Khi việc kiểm tra sẽ coi một số kí tự như các dấu phân cách để phân chia tên thành các phần riêng biệt gồm: dấu phẩy, dấu chấm, gạch ngang/dấu nối, gạch chân, phím “space”, kí hiệu pound và các phím tab. Khi các phần đó dài hơn 3 kí tự thì chúng được tìm trong password; nếu nó xuất hiện thì password sẽ bị loại. Ví dụ: tên "Erin M. Hagens" sẽ bị phân chia thành ba phần: "Erin", "M" và "Hagens". Vì trong phần thứ hai có một kí tự nên nó bị bỏ qua. Vì vậy người dùng này không thể có một password gồm cả "erin" hay "hagens" như một chuỗi con ở bất kỳ đâu trong password. Tất cả các kiểm tra này rất nhạy cảm.
    
    Những yêu cầu về độ phức tạp được bắt buộc đối với sự thay đổi password hoặc việc tạo mới chúng. Chúng tôi khuyên bạn nên cho phép thiết lập này.

Tìm hiểu xem hệ điều hành Windows lưu thông tin cấu hình các thiết lập password như thế nào

Trước khi bạn thực hiện các chính sách password trong tổ chức, bạn nên tìm hiểu một ít về thông tin của cấu hình chính sách password được lưu như thế nào trong Windows 2000, Windows XP và Windows Server 2003. Điều này là cần thiết bởi vì các kỹ thuật lưu trữ chính sách password giới hạn số lượng của các chính sách password khác nhau mà bạn có thể thực hiện và tác động như thế nào.

Chúng có thể là một chính sách đơn giản đối với mỗi cơ sở dữ liệu tài khoản. Một miền Active Directory được xem như một cơ sở dữ liệu tài khoản đơn, nó như là một cơ sở dữ liệu tài khoản cục bộ đứng độc lập trong máy tính. Các máy tính là các thành viên của miền này cũng có một cơ sở dữ liệu tài khoản cục bộ nhưng hầu hết các tổ chức đã triển khai các miền Active Directory đều yêu cầu người dùng đăng nhập vào các máy tính của họ và mạng bằng sử dụng các tài khoản dựa trên miền. Do vậy nếu bạn chỉ định chiều dài password tối thiểu là 14 kí tự cho miền thì tất cả người dùng trong miền phải sử dụng password có nhiều hơn 14 kí tự. Để thiết lập các yêu cầu khác cho một số lượng người dùng cụ thể bạn phải tạo một miền mới cho các tài khoản của họ.

Các miền Active Directory sử dụng các đối tượng chính sách nhóm (Group Policy objects - GPO) để lưu một loạt những thông tin về cấu hình gồm có các thiết lập chính sách password. Mặc dù Active Directory là một dịch vụ thư mục có thứ bậc, chúng hỗ trợ nhiều lớp của các “đơn vị tính tổ chức” (OU) và nhiều GPO, thì các thiết lập chính sách password cho miền phải được định nghĩa trọng một “container” gốc cho miền. Khi bộ điều khiển miền đầu tiên được tạo cho một miền Active Directory mới sẽ có hai GPO được tạo ra một cách tự động: GPO chính sách miền mặc định và GPO chính sách điều khiển miền mặc định. Chính sách miền mặc định được liên kết với “container” gốc. Nó bao gồm một vài thiết lập miền rộng quan trọng trong đó có các thiết lập chính sách password mặc định. Chính sách điều khiển miền mặc định được liên kết đến các bộ điều khiển miền OU và gồm các thiết lập bảo mật ban đầu cho các bộ điều khiển miền.

Một giải pháp mang tính thực tiễn tốt nhất để tránh việc thay đổi các GPO kèm theo. Nếu bạn cần áp dụng các thiết lập chính sách password mà phân tán ra thành các thiết lập mặc định thì bạn nên tạo một GPO mới và liên kết nó tới “container” gốc hoặc đến bộ điều khiển miền OU và gán nó ở mức ưu tiên cao hơn GPO kèm theo: nếu có hai GPO mâu thuẫn với các thiết lập được liên kết đến “container” gốc thì GPO có mức ưu tiên cao sẽ được ưu tiên trước.

Xem tiếp phần II: Thi hành từng bước các thiết lập chính sách password