Top 10 thiết lập bảo mật sau khi cài đặt Active Directory

Top 10 thiết lập bảo mật sau khi cài đặt Active Directory .Các thiết lập ban đầu mà bạn cần phải thực hiện với Active Directory để bảo mật cho mạng trước khi bạn đi sâu vào việc thiết lập toàn bộ cơ sở hạ tầng. Việc cài đặt Active Directory không phải quá khó, tuy nhiên khi bạn đã cài đặt xong rồi thì có khá nhiều công việc cần phải thực hiện. Việc đầu tiên trong cấu hình Active Directory là thiết lập bảo mật cho nó. Có nhiều vùng mà bạn cần quan tâm và nhiều thiết lập cần...
Nội dung trích xuất từ tài liệu:
Top 10 thiết lập bảo mật sau khi cài đặt Active Directory Top 10 thiết lập bảo mật sau khi cài đặt Active Directory Các thiết lập ban đầu mà bạn cần phải thực hiện với Active Directory để bảo mật cho mạng trước khi bạn đi sâu vào việc thiết lập toàn bộ cơ sở hạ tầng. Việc cài đặt Active Directory không phải quá khó, tuy nhiên khi bạn đã cài đặt xong rồi thì có khá nhiều công việc cần phải thực hiện. Việc đầu tiên trong cấu hình Active Directory là thiết lập bảo mật cho nó. Có nhiều vùng mà bạn cần quan tâm và nhiều thiết lập cần được thay đổi để chuẩn bị cho việc bảo vệ các hành động trong mạng. Chúng ta hãy xem xét đến các thiết lập ban đầu mà bạn nên thực hiện đối với Active Directory để an toàn cho mạng trước khi đi vào thiết lập toàn bộ cơ sở hạ tầng. Tạo một tài khoản quản trị riêng Sau khi cài đặt Active Directory, bạn cần phải thực hiện bảo vệ tài nguyên của mình ngay lập tức. Không chỉ thực hiện bảo vệ tài nguyên Active Directory mới mà còn phải tạo một thế giới thông qua đócó thể quản trị được một cách an toàn. Để thực hiện điều đó, bạn cần tạo một tài khoản người dùng mới được sử dụng khi quản trị bất cứ thứ gì có liên quan đến Active Directory. Lưu ý: Điều này có nghĩa rằng bạn không nên sử dụng tài khoản Administrator đi kèm theo thói quen hoặc quản trị Active Directory theo cách thông thường! Khi đã tạo được tài khoản mới này, bạn cần add nó vào nhóm Domain Admins. Do chỉ có một miền lúc này nên bạn sẽ có được khả năng thực hiện bất cứ thứ gì bên trong miền này nếu cần thiết. Lưu ý: Bằng việc trở thành thành viên trong nhóm Domain Admins trong miền gốc (miền đầu tiên trong forest), bạn sẽ có được khả năng add hoặc remove các user khỏi các nhóm Schema Admins và Enterprise Admins. Mặc dù vậy, không có lý do nào để có thành viên trong các nhóm này cho tới khi bạn cần thực hiện một hành động yêu cầu đến mức đặc quyền này. Trong quá trình tạo tài khoản người dùng, bạn nên tạo một mật khẩu dài và phức tạp. Điều này sẽ giúp bảo vệ được tài khoản của bạn chống lại các kẻ tấn công và hacker. Nếu mật khẩu yếu thì nó sẽ dễ dàng bị các hacker bẻ khóa và tấn công vào miền như một quản trị viên. Thiết lập một mật khẩu dài và phức tạp cho tài khoản quản trị viên Lúc này bạn đã có một tài khoản để quản trị miền, bạn nên bảo vệ tài khoản Administrator được thiết kế trước theo nghĩa đầy đủ nhất. Ban đầu, bạn cần bảo vệ mật khẩu của các tài khoản này. Tối thiểu cũng cần tạo một mật khẩu có chiều dài khoảng 15 đến 20 ký tự và có độ phức tạp. Lưu ý rằng tất cả các mật khẩu này phải rất dài và sử dụng tối thiểu 3 kiểu ký tự trong mỗi mật khẩu. Đặt lại tên cho tài khoản Administrator trong miền Active Directory đầu tiên Mẹo này không mang tính kỹ thuật nhất mà bạn có thể từng nghe, nhưng nên thực hiện nó vì dẫu sao cũng tốt cho bạn. Thay đổi tên của tài khoản Administrator được thiết lập mặc định thành một tên khác. Bạn nên sử dụng cùng định dạng đối với các tài khoản người dùng khác (JohnDoe, GatesBill, SLJackson,..). Điều này sẽ giúp bảo vệ được tài khoản bởi các hacker đơn giản và thông thường. Rõ ràng, điều này không thay đổi SID cho tài khoản, nhưng chí ít việc duyệt qua một danh sách người dùng sẽ không dễ dàng để nhận ra được ngay. Thiết lập chính sách mật khẩu trong chính sách miền mặc định (Default Domain Policy) Quả thực đã có nhiều bài viết về cách thiết lập đúng chính sách mật khẩu cho một miền để giảm bề mặt tấn công. Chỉ khi các tham số đó bị lấy mất thì mạng của bạn mới có thể bị hổng. Mặc dù vậy, trong Default Domain Policy các thiết lập chính sách mật khẩu phải được thiết lập như thể hiện trong hình 1. Hình 1 Đây là một số hướng dẫn cho các thiết lập của các chính sách này: Thiết lập chính Giá trị tối thiểu Giá trị an toàn sách Tuổi thọ tối thiểu 1 1 của mật khẩu Tuổi thọ tối đa 180 45 của mật khẩu Chiều dài tối thiểu của mật 8 14+ khẩu Độ phức tạp của Enabled (Được Enabled (Được mật khẩu kích hoạt) kích hoạt) Thiết lập chính sách khóa tài khoản trong Default Domain Policy Các thiết lập chính sách khóa tài khoản là một chủ đề được tranh luận nhiều trong một thời gian dài. Có hai quan điểm đối với tranh luận này. Quan điểm thứ nhất cho rằng mật khẩu phải được khóa nếu có 3 hoặc quá 3 lần cố gắng nhập vào mật khẩu thất bại. Quan điểm thứ hai cho rằng nên phải có số lượng không hạn chế các lần cố gắng để người dùng đăng nhập, bởi vì có lúc họ không nhớ mật khẩu một chút nào. Tranh luận theo kiểu này là khá tự nhiên vì các quan điểm đều có lý của nó. Vấn đề với việc khóa mật khẩu chỉ sau một vài lần cố gắng có thể khóa kẻ tấn công nhưng đôi khi cũng làm ảnh hưởng đến chính các nhân viên... Với quan điểm thứ hai, tranh luận đưa ra một số lượng không hạn chế các lần thử có thể cho phép kẻ tấn công thực hiện nhiều lần thử để đăng nhập vào tài khoản bằng cách đoán nhiều mật khẩu khác nhau. Từ quan điểm lập trường của tôi, tùy chọn cho phép một số lượng nào đó nhưng không vô hạn cho các lần thử sẽ tốt hơn và an toàn hơn. Nếu bạn thực hiện theo các hạn chế mật khẩu tốt về độ phức tạp và chiều dài thì khả năng đoán ra mật khẩu là gần như không thể, hoặc thậm chí dùng cả kịch bản để tìm kiếm cho nó. Mặc dù vậy, tôi gợi ý bạn nên thiết lập số lần thử khoảng 100 lần trước khi tài khoản bị khóa. Hình 2 thể hiện các tùy chọn cho việc thiết lập chính sách khóa tài khoản (Account Lockout Policy). Hình 2 Tạo các OU (Organizational Unit) cho tài khoản người dùng Để cho các tài khoản người dùng và thiết lập của họ trên desktop được kiểm soát ...