Tạo mật khẩu an toàn trong Windows – Phần 3

Trong hai phần đầu của loạt bài này, chúng tôi đã phô bày ra sựthực về chính sách mật khẩu của Windows và cách nó được điềukhiển như thế nào trong môi trường Active Directory. Nếu xem lại cácphần trước, bạn sẽ tìm thấy nó trong phần Default Domain Policymặc định. Chúng tôi cũng đã giới thiệu các công nghệ đã được sửdụng để xâm nhập trái phép vào mật khẩu Windows, miêu tả nhữnghạn chế trong mỗi một tấn công....
Nội dung trích xuất từ tài liệu:
Tạo mật khẩu an toàn trong Windows – Phần 3HỆ ĐIỀU HÀNH-MẠNG WINDOWS SERVERTạo mật khẩu an toàn trong Windows – Phần 3Share [Đọc: 534-Ngày đăng: 28-07-2009-Ngày sửa: 28-07-2009] Trong hai phần đầu của loạt bài này, chúng tôi đã phô bày ra s ựthực về chính sách mật khẩu của Windows và cách nó được đi ềukhiển như thế nào trong môi trường Active Directory. Nếu xem lại cácphần trước, bạn sẽ tìm thấy nó trong phần Default Domain Policymặc định. Chúng tôi cũng đã giới thiệu các công ngh ệ đã đ ược s ửdụng để xâm nhập trái phép vào mật khẩu Windows, miêu tả nh ữnghạn chế trong mỗi một tấn công.Giớithiệu Trong phần này, chúng tôi sẽ giới thiệu cách tạo m ột m ật kh ẩuWindows an toàn như thế nào, và mật khẩu đó giải quyết các vấn đề màchúng tôi đã đưa ra trong hai phần đầu. Phần này cũng gi ới thi ệu nh ữngkhả năng mặc định có trong cài đặt Active Directory Windows2000/2003/2008, cũng như một số công nghệ có thể tăng bảo mật cho mậtkhẩu.Chỉsửdụngcụmtừ Một mật khẩu điển hình mà người có thể sử dụng nên là : Am3r1c@. Mật khẩu kiểu này sẽ có đủ những những yêu cầu về độ phức tạp, tuynhiên sẽ rất khó nhớ và thực sự không dễ đánh chút nào. Chính vì vậy,người dùng sẽ phải viết mật khẩu này ra một chỗ nào đó, có th ể đ ể nótrên màn hình của họ, hay giấu dưới bàn phím của họ,… Thay cho cáchthức cổ xưa giống như mật khẩu này, bạn hãy thử sử dụng một mật khẩukiểu cụm từ như : Tôi là một trưởng nhóm IT Hoặc Tôi đã đi Đức trongkỳ nghỉ lễ gần đây nhất. Lưu ý : Đọc mỗi một trong ba mật khẩu và cụm từ trên, sau đó thửđánh lại mỗi một mật khẩu xem sao. Bạn sẽ thấy rằng các c ụm t ừ s ẽđược bạn đánh vào dễ dàng hơn rất nhiều và cũng dễ nhớ hơn. Khi các cụm từ đạt tới độ dài tối đa của mật khẩu thì các t ấn công ki ểudictionary hoặc Rainbow sẽ gặp nhiều khó khăn hơn và có thể cho phépngười dùng của mình giữ mật khẩu lâu hơn, thậm chí lên đến cả năm trời. Trong phần này, chúng tôi sẽ giới thiệu những chính sách m ật kh ẩu t ốtvà cách nó được thi hành an toàn như thế nào, cách bảo v ệ nó trên các máytính (gồm có cả SAM nội bộ) và những công nghệ nào có thể được sửdụng để thực thi một mật khẩu tốt.Bảođảmsựnhấtquáncủachínhsáchmậtkhẩuchomiềnvàtàikhoảnngườidùngnộibộ Cấu hình built-in của Active Directory bảo đảm r ằng t ất c ả các tàikhoản người dùng (tài khoản được lưu trong Active Directory và các tàikhoản được lưu trong) đều có cùng một chính sách mật khẩu. Mặc dù vậy,bạn có thể thay đổi bằng cách liên kết và cấu hình m ột GPO ở mức OU(organizational unit), mức nơi OU có các tài kho ản máy tính đ ược l ưu trongchúng. Trong trường hợp này, các desktop và máy chủ (không phải cácdomain controller) có có thể nhờ SAM của các tài khoản người dùng n ộibộ để tham gia vào một chính sách mật khẩu khác với SAM của các tàikhoản người dùng miền. Để giữ được tính nhất quán của chính sách mật khẩu cho tất cả ngườidùng, bạn có thể thi hành GPO nắm giữ các thiết lập chính sách mật khẩucủa mình cho các tài khoản người dùng trong miền. Đây cũng là DefaultDomain Policy. Để thực thi một GPO, hãy kích phải vào GPO và ch ọn tùychọn Enforce Menu. Hình 1 cho bạn thấy những gì đ ược th ể hi ện trong khicấu hình. Việc thi hành Default Domain Policy sẽ bảo đảm rằng tất cả tài khoảnngười dùng trong SAM nội bộ đều sử dụng một chính sách mật khẩu nhất quánNhiềuchínhsáchmậtkhẩutrênmiềnbằngcôngnghệcủaMicrosoft Microsoft đã tăng cơ hội và cung cấp khả năng có nhiều chính sách m ậtkhẩu trong một miền Active Directory. Đây không phải tin gi ật gân nh ưngnó mang đến một hơi thở mới. Công nghệ này chỉ có sẵn trong mi ềnWindows Server 2008, nơi tất cả các domain controller đều chạy WindowsServer 2008. Thêm vào đó, miền cũng phải chạy ở mức chức năngWindows Server 2008. Công nghệ này được cho như các chính sách m ậtkhẩu mạnh. Nếu tình huống này phát sinh, bạn có thể cấu hình các chính sách m ậtkhẩu. Điều đó có nghĩa rầng bạn có các tính năng dưới đây : • Các chuyên gia về CNTT phải sử dụng mật khẩu 25 ký tự. • Các nhà quản lý nhân sự phải sử dụng mật khẩu 20 ký tự. • Còn tất cả những người dùng khác phải sử dụng mật khẩu 17 ký tự. Bất lợi trong cách sử dụng này là không được cấu hình trong GroupPolicy mà thay vì đó bạn phải tạo các đối tượng Active Directory b ổ sungbên trong Password Settings Container. Thành phần mà bạn có th ể sử d ụngđể xem và cấu hình các đối tượng mới này là ADSIEDIT.MSC, xem tronghình 2.ADSIEDIT.MSC có thể được sử dụng để tạo các chính sách mật khẩu tinh hơn trong các miền Windows Server 2008. Để tạo các đối tượng bổ sung, bạn phải kích chuột phải vào PasswordSettings Container và chọn New, Object. Wizard sẽ hướng dẫn b ạn đ ể c ấuhình những thứ cần thiết.Nângcácchínhsáchmậtkhẩulênmứckế Trước đây Microsoft đã cung cấp cho chúng ta cách điều khi ển chínhsách mật khẩu, còn nay, với các chính sác ...