Tạo mật khẩu an toàn trong Windows
Ngu
ồn : quantrimang.com 
Derek Melbe
r
Quản trị mạng – Trong bài này chúng tôi sẽ giới thiệu cho các bạn một số vấn
đề nhằm tăng độ bảo mật cho các mật khẩu trong Windows.
Giới thiệu
Cũng giống như bất cứ hệ điều hành mạng này, trái tim của vấn đề bảo mật
chính là username và password. Có rất nhiều người dùng mặc định được tạo ra
(Administrator và Guest là một trong số đó) và những username này đều có m
ột
mật khẩu đi kèm với chúng. Khi một người dùng nào đó muốn xác nhận hoặc
truy cập vào tài nguyên, lúc đó hệ thống sẽ yêu cầu đến mật khẩu đối với tài
khoản của họ. Trong Windows Server 2003 (và các hệ điều hành sau này) yêu
cầu một mật khẩu mặc định. Mật khẩu này cần phải được bảo vệ ở mọi khía
cạnh vì luôn tiềm ẩn khả năng b
ị capture, đoán, hack, hoặc theo một số cách
nào đó. Tuy nhiên có rất nhiều cách để bảo vệ mật khẩu Windows, loạt bài này
chúng tôi sẽ giới thiệu những gì bạn có thể thực hiện để tăng độ bảo mật đối với
các mật khẩu của mình. Trước tiên, chúng ta phải hiểu cách thiết lập một mật
khẩu như thế nào, cách điều khiển nó ra sao, sau đó là chúng có thể bị tấ
n công
theo các hình thức nào, từ đó chúng ta mới có thể đánh giá để đưa ra các biện
pháp bảo vệ tốt đối với các tấn công.
Các mật khẩu mặc định của Windows
Khi đăng nhập vào miền Active Directory, bạn cần phải nhập vào ba mục chính:
username, password, domain name.
Khi domain controller nhận được các thông tin này, nó sẽ phân tích mật khẩu
hiện hành đối với username được liệt kê trong cơ sở dữ liệu Active Directory.
Nếu mật khẩu này t

Password Policy cho tất cả các máy tính trong toàn bộ miền. Toàn bộ miền ở
đây gồm có các Domain Controller, máy chủ, máy trạm (đã gia nhập miền) cho
toàn bộ miền Active Directory. Default Domain Policy được liên kết với nút miền,
nút miền này gồm tất cả các máy tính trong miền với tư cách một mục tiêu.
Thứ hai, bất kỳ GPO nào đã được liên kết với miền đều có thể được sử dụng để
thiết lập và điều khiển các thiết lập chính sách mật khẩu. GPO chỉ có quyền ưu
tiên cao nhất ở mức miền, dùng để đánh bại bất cứ các thiết lập xung đột nào có
liên quan đến các thiết lập chính sách mật khẩu.
Thứ ba, nếu GPO được liên kết với m
ột khối tổ chức (OU), nó sẽ không điều
khiển mật khẩu cho các tài khoản người dùng định vị trong OU. Đây là lỗi rất hay
xảy gặp. Các thiết lập chính sách mật khẩu không nên trên người dùng mà thay
vào đó phải dựa trên máy tính, như thể hiện trong hình 1 bên dưới.
Thứ tư, nếu một GPO được liên kết với một OU, các thiết lập chính sách mật
khẩu đã tạo trong GPO sẽ ảnh hưởng
đến SAM nội bộ trên bất kỳ máy tính nào
nằm trong OU. Điều đó sẽ “trump” các thiết lập chính sách mật khẩu được cấu
hình trong GPO liên kết với miền, tuy nhiên chỉ cho các tài khoản người dùng nội
bộ được lưu trong các SAM nội bộ của các máy tính này.
Thứ năm, nếu một GPO được liên kết với Default Domain Controllers OU, nó sẽ
không điều khiển cơ sở dữ liệu Active Directory của người dùng được lư
u trong
các Domain Controller. Chỉ có một cách thay đổi các thiết lập chính sách mật
khẩu của các tài khoản người dùng trong miền nằm bên trong một GPO có liên
kết với miền (trừ khi bạn đang sử dụng Windows Server 2008 thì bạn mới có thể
sử dụng các thiết lập chính xác mật khẩu tinh hơn để điều chỉnh).
Thứ sáu, LanManager (LM) được hỗ trợ đầy đủ trên hầu hết các Windows Active
Directory enterprise đang tồn tại. LM là một giao th
ức thẩm định rất cũ và rất yếu
trong việc bảo vệ mật khẩu, chính vì vậy password hash được tạo ra để hỗ trợ