Tạo mật khẩu an to
àn trong
Windows – Phần 1
– Trong bài này chúng tôi sẽ giới thiệu cho các bạn một số vấn
đề nhằm tăng độ bảo mật cho các mật khẩu trong Windows.

Giới thiệu
Cũng giống như bất cứ hệ điều hành mạng này, trái tim của vấn đề bảo mật
chính là username và password. Có rất nhiều người dùng mặc định được tạo ra
(Administrator và Guest là một trong số đó) và những username này đều có
một mật khẩu đi kèm với chúng. Khi một người dùng nào đó muốn xác nhận
hoặc truy cập vào tài nguyên, lúc đó hệ thống sẽ yêu cầu đến mật khẩu đối với
tài khoản của họ. Trong Windows Server 2003 (và các hệ điều hành sau này)
yêu c
ầu một mật khẩu mặc định. Mật khẩu này cần phải được bảo vệ ở mọi
khía cạnh vì luôn tiềm ẩn khả năng bị capture, đoán, hack, hoặc theo một số
cách nào đó. Tuy nhiên có rất nhiều cách để bảo vệ mật khẩu Windows, loạt
bài này chúng tôi sẽ giới thiệu những gì bạn có thể thực hiện để tăng độ bảo
mật đối với các mật khẩu của mình. Trước tiên, chúng ta phải hiểu cách thiết
lập một mật khẩu như thế nào, cách điều khiển nó ra sao, sau đó là chúng có
thể bị tấn công theo các hình thức nào, từ đó chúng ta mới có thể đánh giá để
đưa ra các biện pháp bảo vệ tốt đối với các tấn công.
Các mật khẩu mặc định của Windows
Khi đăng nhập vào miền Active Directory, bạn cần phải nhập vào ba mục
chính: username, password, domain name.
Khi domain controller nhận được các thông tin này, nó sẽ phân tích mật khẩu
hiện hành đối với username được liệt kê trong cơ sở dữ liệu Active Directory.
N
ếu mật khẩu này tương ứng với username trong cơ sở dữ liệu thì Domain
Controller sẽ xác thực cho người dùng, cung cấp cho họ một thẻ xác nhận d
ùng

ợc sử dụng để
thiết lập và điều khiển các thiết lập chính sách mật khẩu. GPO chỉ có quyền ưu
tiên cao nhất ở mức miền, dùng để đánh bại bất cứ các thiết lập xung đột nào
có liên quan đến các thiết lập chính sách mật khẩu.
Thứ ba, nếu GPO được liên kết với một khối tổ chức (OU), nó sẽ không điều
khiển mật khẩu cho các tài khoản người dùng định vị trong OU. Đây là lỗi rất
hay xảy gặp. Các thiết lập chính sách mật khẩu không nên trên người dùng mà
thay vào đó phải dựa trên máy tính, như thể hiện trong hình 1 bên dưới.
Thứ tư, nếu một GPO được liên kết với một OU, các thiết lập chính sách mật
khẩu đã tạo trong GPO sẽ ảnh hưởng đến SAM nội bộ trên bất kỳ máy tính n
ào
nằm trong OU. Điều đó sẽ “trump” các thiết lập chính sách mật khẩu được cấu
hình trong GPO liên kết với miền, tuy nhiên chỉ cho các tài khoản người dùng
nội bộ được lưu trong các SAM nội bộ của các máy tính này.
Thứ năm, nếu một GPO được liên kết với Default Domain Controllers OU, nó
sẽ không điều khiển cơ sở dữ liệu Active Directory của người dùng được lưu
trong các Domain Controller. Ch
ỉ có một cách thay đổi các thiết lập chính sách
mật khẩu của các tài khoản người dùng trong miền nằm bên trong một GPO có
liên kết với miền (trừ khi bạn đang sử dụng Windows Server 2008 thì bạn mới
có thể sử dụng các thiết lập chính xác mật khẩu tinh hơn để điều chỉnh).
Thứ sáu, LanManager (LM) được hỗ trợ đầy đủ trên hầu hết các Windows
Active Directory enterprise đang tồn tại. LM là một giao thức thẩm định rất cũ
và rất yếu trong việc bảo vệ mật khẩu, chính vì vậy password hash được tạo ra
để hỗ trợ sự thẩm định với giao thức này. Có hai thiết lập GPO có thể điều
khiển sự hỗ trợ của LM và lưu LM hash. Chúng tôi s
ẽ giới thiệu cả hai thiết lập
này trong phần tiếp theo của loạt bài, bảo đảm rằng bạn biết cách cấu hình các
thiết lập này đúng và địa điểm chính xác để tạo các thiết lập trong GPO.
Kết luận