Tạo mật khẩu an toàn trong Windows

Cũng giống như bất cứ hệ điều hành mạng này, trái tim của vấn đề bảo mật chính là username và password. Có rất nhiều người dùng mặc định được tạo ra (Administrator và Guest là một trong số đó) và những username này đều có một mật khẩu đi kèm với chúng.
Nội dung trích xuất từ tài liệu:
Tạo mật khẩu an toàn trong Windows Tạo mật khẩu an toàn trong WindowsNguồn:quantrimang.com Derek MelberQuản trị mạng – Trong bài này chúng tôi sẽ giới thiệu cho các bạn một số vấnđề nhằm tăng độ bảo mật cho các mật khẩu trong Windows.Giới thiệuCũng giống như bất cứ hệ điều hành mạng này, trái tim của vấn đề bảo mậtchính là username và password. Có rất nhiều người dùng mặc định được tạo ra(Administrator và Guest là một trong số đó) và những username này đều có mộtmật khẩu đi kèm với chúng. Khi một người dùng nào đó muốn xác nhận hoặctruy cập vào tài nguyên, lúc đó hệ thống sẽ yêu cầu đến mật khẩu đối với tàikhoản của họ. Trong Windows Server 2003 (và các hệ điều hành sau này) yêucầu một mật khẩu mặc định. Mật khẩu này cần phải được bảo vệ ở mọi khíacạnh vì luôn tiềm ẩn khả năng bị capture, đoán, hack, hoặc theo một số cáchnào đó. Tuy nhiên có rất nhiều cách để bảo vệ mật khẩu Windows, loạt bài nàychúng tôi sẽ giới thiệu những gì bạn có thể thực hiện để tăng độ bảo mật đối vớicác mật khẩu của mình. Trước tiên, chúng ta phải hiểu cách thiết lập một mậtkhẩu như thế nào, cách điều khiển nó ra sao, sau đó là chúng có thể bị tấn côngtheo các hình thức nào, từ đó chúng ta mới có thể đánh giá để đưa ra các biệnpháp bảo vệ tốt đối với các tấn công.Các mật khẩu mặc định của WindowsKhi đăng nhập vào miền Active Directory, bạn cần phải nhập vào ba mục chính:username, password, domain name.Khi domain controller nhận được các thông tin này, nó sẽ phân tích mật khẩuhiện hành đối với username được liệt kê trong cơ sở dữ liệu Active Directory.Nếu mật khẩu này tương ứng với username trong cơ sở dữ liệu thì DomainController sẽ xác thực cho người dùng, cung cấp cho họ một thẻ xác nhận dùngđể truy cập vào các tài nguyên khác trong miền hay trong mạng.Khi người dùng muốn thay đổi mật khẩu đối với tài khoản của họ, thông tin nàycũng được gửi đến Domain Controller. Khi mật khẩu mới được người dùng nhậpvào và gửi đến Domain Controller, các chính sách đã được thiết lập sẽ bảo đảmmật khẩu có đủ các yêu cầu bảo mật tối thiểu. Một vài lưu ý về chính sách mậtkhẩu cho miền (cũng như cho tất cả các tài khoản người dùng nội bộ theo mặcđịnh): Đối với mật khẩu Windows, yêu cầu có tối thiểu 7 ký tự (Windows Server • 2003 và sau này) Các mật khẩu phải có 3 trong 4 kiểu ký tự: chữ hoa, chữ thường, số và • các ký tự đặc biệt như $!@*... Một mật khẩu mới phải được tạo trước 42 ngày để kích hoạt tài khoản • Một mật khẩu không thể được dùng lại cho tới khi 24 mật khẩu duy nhất • sau đó đã được tạo ra.Tất cả các thiết lập mật khẩu được thiết lập trong phần Computer Configurationcủa GPO, được liệt kê trong Password Policy. Hình 1 minh chứng những thiếtlập cho việc cấu hình chính sách mật khẩu. Hình 1: Các thiết lập Password Policy trong GPO được đặt trong Computer Configuration, không phải trong User ConfigurationNhững gì điều khiển chính sách mật khẩu miền?Trước tiên, Default Domain Policy GPO sẽ điều khiển chính sách mật khẩuPassword Policy cho tất cả các máy tính trong toàn bộ miền. Toàn bộ miền ởđây gồm có các Domain Controller, máy chủ, máy trạm (đã gia nhập miền) chotoàn bộ miền Active Directory. Default Domain Policy được liên kết với nút miền,nút miền này gồm tất cả các máy tính trong miền với tư cách một mục tiêu.Thứ hai, bất kỳ GPO nào đã được liên kết với miền đều có thể được sử dụng đểthiết lập và điều khiển các thiết lập chính sách mật khẩu. GPO chỉ có quyền ưutiên cao nhất ở mức miền, dùng để đánh bại bất cứ các thiết lập xung đột nào cóliên quan đến các thiết lập chính sách mật khẩu.Thứ ba, nếu GPO được liên kết với một khối tổ chức (OU), nó sẽ không điềukhiển mật khẩu cho các tài khoản người dùng định vị trong OU. Đây là lỗi rất hayxảy gặp. Các thiết lập chính sách mật khẩu không nên trên người dùng mà thayvào đó phải dựa trên máy tính, như thể hiện trong hình 1 bên dưới.Thứ tư, nếu một GPO được liên kết với một OU, các thiết lập chính sách mậtkhẩu đã tạo trong GPO sẽ ảnh hưởng đến SAM nội bộ trên bất kỳ máy tính nàonằm trong OU. Điều đó sẽ “trump” các thiết lập chính sách mật khẩu được cấuhình trong GPO liên kết với miền, tuy nhiên chỉ cho các tài khoản người dùng nộibộ được lưu trong các SAM nội bộ của các máy tính này.Thứ năm, nếu một GPO được liên kết với Default Domain Controllers OU, nó sẽkhông điều khiển cơ sở dữ liệu Active Directory của người dùng được lưu trongcác Domain Controller. Chỉ có một cách thay đổi các thiết lập chính sách mậtkhẩu của các tài khoản người dùng trong miền nằm bên trong một GPO có liênkết với miền (trừ khi bạn đang sử dụng Windows Server 2008 thì bạn mới có thểsử dụng các thiết lập chính xác mật khẩu tinh hơn để điều chỉnh).Thứ sáu, LanManager (LM) được hỗ trợ đầy đủ trên hầu hết các Windows ActiveDirectory enterprise đang t ...