Policies )

Ở phần trước tôi đã giới thiệu những phương thức chung để bảo vệ
máy tính của một tổ chức. Phần tiếp theo này tôi sẽ trình bày những
phương thức cụ thể theo trình tự, từ quá trình setup hệ thống, vận
hành hệ thống dựa trên những chính sách an toàn từ basic cho đến
những kĩ năng advance mà các Security Admin cần quan tâm để áp
dụng vào việc xây dựng các quy trình an toàn thông tin cho tổ chức.
Phần trình bày này tôi xin đề cập đến vấn đề an ninh account
(account security) và cách thức tạo account an toàn nhằm đối phó
với những kiểu tấn công rất phổ biến và hiệu quả dưới sự trợ giúp
của những công cụ phù thủy…

Chính sách về account và cách thức tạo account nghèo nàn là con
đường dễ dàng nhất cho attacker, như vậy những hình thức bảo mật
khác được áp dụng vào hệ thống như trang bị các công cụ chống
maleware (prevent virus, worm, spyware, ad-ware ), triển khai hệ
thống phòng thủ Mạng (Firewall) cũng sẽ không có tác dụng nào
đáng kể, vì Admin quá thờ ơ trong cách thức tạo account và đưa ra
chính sách tạo account chứa đựng nhiều rủi ro này.

Yêu cầu xác định các chính sách tạo password mạnh và đưa ra được
chiến lược an toàn account áp dụng vào an toàn thông tin của tổ
chức là vấn đề mang tính cấp bách. A. Làm thế nào để tạo và quản lý Account an toàn

Những yếu tố dưới đây sẽ cho chúng ta thấy cách thức tạo và quản
lý Account sao cho an toàn


d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e

thường cũng có chính sách tự động lock computer sau môt thời gian
không sử dụng, để giúp cho những nhân viên hay quên tránh được
lỗi bảo mật sơ đẳng (lỗi này giống như việc ra khỏi nhà mà không
khóa cửa)
Những người tạo và quản lý account (đặc biệt là những account hệ
thống – System accounts, và account vận hành, kiểm soát các dịch
vụ - service accounts) cho toàn bộ tổ chức là những người được xem
là AN TOÀN TUYỆT ĐỐI.
Disable những account tạm thời chưa sử dụng, delete những account
không còn sử dụng.
Tránh việc dùng chung Password cho nhiều account
Khóa (lock) account sau một số lần người sử dụng log-on không
thành công vào hệ thống.
Có thể không cho phép một số account quản trị hệ thống và dịch vụ,
không được log-on từ xa (remote location log-on), vì những hệ thống
và dịch vụ này rất quan trọng và thông thường chỉ cho phép được
kiểm soát từ bên trong (internal Network), nếu có nhu cầu quản trị
và support từ xa Security Admin vẫn dễ dàng thay đổi chính sách để
đáp ứng nhu cầu.
Các Security admin khi log-on vào Server chỉ nên dùng account có
quyền hạn thấp, khi cần quản trị hay vận hành các dịch vụ, mới nên
dùng account System hoặc Service (ví dụ Microsoft Windows hỗ trợ
command run as thông qua run as service để cho phép độc lập quản
trị các thành phần của hệ thống, các dịch vụ mà không cần phải log-
on vào máy ban đầu bằng account admin). Điều này giúp chúng ta
tránh được các chương trình nguy hiểm đã lọt vào máy tính chạy với
quyền admin, khi đó các admin thật sự của Computer sẽ gặp nhiều
rắc rối.
Vá tất cả những lỗ hỗng hệ thống để ngăn chặn các kiểu tấn công
Click to buy NOW!

c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d

Các account trên hệ thống sẽ nhận được 2 loại quyền cơ bản:
User rights (Quyền hệ thống): Là loại đặc quyền mà User được hệ
thống cho phép thực thi những hành động đặc biệt (ví dụ: Quyền
Backup Files Và Folders, thay đổi thời gian hệ thống, shutdown hệ
thống…) Trên Windows các bạn có thể type command secpol.msc tại RUN, để
open Local Security Settings\ local policies\ User rights assignment là
nơi xác lập các User rights của hệ thống
Permissions (Quyền truy cập): Được kiểm soát bởi DACLs
(Discretionary access control lists) của hệ thống, được phép truy cập
vào các File/Folder hay Active Directory objects (trong Domain) (ví dụ
User A được quyền Read/Modify đối với Folder C:\Data, User B được
Full Control đối với OU Business )
Chú ý trong việc cấp phát Permission cho account, nên đưa account
vào Group để dễ kiểm soát, tránh việc phân quyền mang tính cá
nhân cho một account nào đó. Điều này tăng cường khả năng kiểm
soát account, vì khi số lượng account của hệ thống (Local hay
Domain) tăng lên thì việc tổ chức này tạo sự an toàn và dễ kiểm soát
hơn.
Click to buy NOW!
P
D
F
-
X
C
h
a

D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c

sử dụng tối đa của password trước khi user phải thay đổi password.
Thay đổi password theo định kì sẽ giúp tăng cường an toàn cho tài
khoản
Thời gian tối thiểu password phải được sử dụng trước khi có thể thay
đổi (minimum password age). Admin có thể thiết lập thờigian này
khoảng vài ngày, trước khi cho phép user thay đổi password của họ.
Thực thi password history: Số lần các password khác biệt nhau phải
sử dụng qua, trước khi quay lại dùng password cũ. Số Password
history càng cao thì độ an toàn càng lớn.
Chiều dài password tối thiểu (minimum password length) cần phải
đặt. Càng dài càng an toàn
Password phải đạt yêu cầu phức hợp: không chỉ về độ dài mà còn về
độ phức hợp của các kí tự đặt password (ví dụ bạn có thể thấy sự
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w

g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
khác biệt giữa password và P@ssW0rd)
Khi dùng password phức hợp cần quan tâm:
Không sử dụng họ và tên

phối hợp nhiều biện pháp khác nhau: Luôn cập nhật bản sửa lỗi cho Windows và phần mềm ứng dụng,
cấu hình lại cho trình duyệt, cài đặt phần mềm chống vi rút và luôn cập nhật thông tin vi rút mới nhất.
Sử dụng tường lửa (firewall) để giám sát cả hai chiều thông tin (từ máy tính đi ra và từ ngoài vào). Và
cuối cùng, đừng quên cài đặt thêm các tiện ích phòng chống chương trình “gián điệp” (spyware) xâm
nhập. Thật may, tất cả các công cụ trên đều có sẵn và miễn phí.

Cập nhật bản sửa lỗi

Đa số các phần mềm ứng dụng, nhất là các sản phẩm do Microsoft sản xuất, đều có tính năng tự động
cập nhật bản sửa lỗi qua Internet. Cơ chế này trong thời gian qua đã chứng minh tác dụng hữu ích của
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m