Jun 19, 2012
77 Views

Thiết lập bảo mật sau khi cài đặt Active Directory

Written by

Các thiết lập ban đầu mà bạn cần phải thực hiện với Active Directory để bảo mật cho mạng trước khi bạn đi sâu vào việc thiết lập toàn bộ cơ sở hạ tầng. 

Việc cài đặt Active Directory không phải quá khó, tuy nhiên khi bạn đã cài đặt xong rồi thì có khá nhiều công việc cần phải thực hiện. Việc đầu tiên trong cấu hình Active Directory là thiết lập bảo mật cho nó. Có nhiều vùng mà bạn cần quan tâm và nhiều thiết lập cần được thay đổi để chuẩn bị cho việc bảo vệ các hành động trong mạng. Chúng ta hãy xem xét đến các thiết lập ban đầu mà bạn nên thực hiện đối với Active Directory để an toàn cho mạng trước khi đi vào thiết lập toàn bộ cơ sở hạ tầng. 

Tạo một tài khoản quản trị riêng

Sau khi cài đặt Active Directory, bạn cần phải thực hiện bảo vệ tài nguyên của mình ngay lập tức. Không chỉ thực hiện bảo vệ tài nguyên Active Directory mới mà còn phải tạo một thế giới thông qua đócó thể quản trị được một cách an toàn. Để thực hiện điều đó, bạn cần tạo một tài khoản người dùng mới được sử dụng khi quản trị bất cứ thứ gì có liên quan đến Active Directory.

Lưu ý:

Điều này có nghĩa rằng bạn không nên sử dụng tài khoản Administrator đi kèm theo thói quen hoặc quản trị Active Directory theo cách thông thường!

Khi đã tạo được tài khoản mới này, bạn cần add nó vào nhóm Domain Admins. Do chỉ có một miền lúc này nên bạn sẽ có được khả năng thực hiện bất cứ thứ gì bên trong miền này nếu cần thiết.

Lưu ý:

Bằng việc trở thành thành viên trong nhóm Domain Admins trong miền gốc (miền đầu tiên trong forest), bạn sẽ có được khả năng add hoặc remove các user khỏi các nhóm Schema Admins và Enterprise Admins. Mặc dù vậy, không có lý do nào để có thành viên trong các nhóm này cho tới khi bạn cần thực hiện một hành động yêu cầu đến mức đặc quyền này.

Trong quá trình tạo tài khoản người dùng, bạn nên tạo một mật khẩu dài và phức tạp. Điều này sẽ giúp bảo vệ được tài khoản của bạn chống lại các kẻ tấn công và hacker. Nếu mật khẩu yếu thì nó sẽ dễ dàng bị các hacker bẻ khóa và tấn công vào miền như một quản trị viên.

Thiết lập một mật khẩu dài và phức tạp cho tài khoản quản trị viên

Lúc này bạn đã có một tài khoản để quản trị miền, bạn nên bảo vệ tài khoản Administrator được thiết kế trước theo nghĩa đầy đủ nhất. Ban đầu, bạn cần bảo vệ mật khẩu của các tài khoản này. Tối thiểu cũng cần tạo một mật khẩu có chiều dài khoảng 15 đến 20 ký tự và có độ phức tạp.

Lưu ý rằng tất cả các mật khẩu này phải rất dài và sử dụng tối thiểu 3 kiểu ký tự trong mỗi mật khẩu.

Đặt lại tên cho tài khoản Administrator trong miền Active Directory đầu tiên

Mẹo này không mang tính kỹ thuật nhất mà bạn có thể từng nghe, nhưng nên thực hiện nó vì dẫu sao cũng tốt cho bạn. Thay đổi tên của tài khoản Administrator được thiết lập mặc định thành một tên khác. Bạn nên sử dụng cùng định dạng đối với các tài khoản người dùng khác (JohnDoe, GatesBill, SLJackson,..). Điều này sẽ giúp bảo vệ được tài khoản bởi các hacker đơn giản và thông thường. Rõ ràng, điều này không thay đổi SID cho tài khoản, nhưng chí ít việc duyệt qua một danh sách người dùng sẽ không dễ dàng để nhận ra được ngay.

Thiết lập chính sách mật khẩu trong chính sách miền mặc định (Default Domain Policy)

Quả thực đã có nhiều bài viết về cách thiết lập đúng chính sách mật khẩu cho một miền để giảm bề mặt tấn công. Chỉ khi các tham số đó bị lấy mất thì mạng của bạn mới có thể bị hổng. Mặc dù vậy, trong Default Domain Policy các thiết lập chính sách mật khẩu phải được thiết lập như thể hiện trong hình 1.

Hình 1

Đây là một số hướng dẫn cho các thiết lập của các chính sách này:

Thiết lập chính sáchGiá trị tối thiểuGiá trị an toàn
Tuổi thọ tối thiểu của mật khẩu11
Tuổi thọ tối đa của mật khẩu18045
Chiều dài tối thiểu của mật khẩu814+
Độ phức tạp của mật khẩu Enabled (Được kích hoạt)Enabled (Được kích hoạt)

Thiết lập chính sách khóa tài khoản trong Default Domain Policy

Các thiết lập chính sách khóa tài khoản là một chủ đề được tranh luận nhiều trong một thời gian dài. Có hai quan điểm đối với tranh luận này. Quan điểm thứ nhất cho rằng mật khẩu phải được khóa nếu có 3 hoặc quá 3 lần cố gắng nhập vào mật khẩu thất bại. Quan điểm thứ hai cho rằng nên phải có số lượng không hạn chế các lần cố gắng để người dùng đăng nhập, bởi vì có lúc họ không nhớ mật khẩu một chút nào.

Tranh luận theo kiểu này là khá tự nhiên vì các quan điểm đều có lý của nó. Vấn đề với việc khóa mật khẩu chỉ sau một vài lần cố gắng có thể khóa kẻ tấn công nhưng đôi khi cũng làm ảnh hưởng đến chính các nhân viên…

Với quan điểm thứ hai, tranh luận đưa ra một số lượng không hạn chế các lần thử có thể cho phép kẻ tấn công thực hiện nhiều lần thử để đăng nhập vào tài khoản bằng cách đoán nhiều mật khẩu khác nhau.

Từ quan điểm lập trường của tôi, tùy chọn cho phép một số lượng nào đó nhưng không vô hạn cho các lần thử sẽ tốt hơn và an toàn hơn. Nếu bạn thực hiện theo các hạn chế mật khẩu tốt về độ phức tạp và chiều dài thì khả năng đoán ra mật khẩu là gần như không thể, hoặc thậm chí dùng cả kịch bản để tìm kiếm cho nó. Mặc dù vậy, tôi gợi ý bạn nên thiết lập số lần thử khoảng 100 lần trước khi tài khoản bị khóa.

Hình 2 thể hiện các tùy chọn cho việc thiết lập chính sách khóa tài khoản (Account Lockout Policy).

Hình 2

Tạo các OU (Organizational Unit) cho tài khoản người dùng

Để cho các tài khoản người dùng và thiết lập của họ trên desktop được kiểm soát bạn cần phải tạo một OU cho các tài khoản người dùng. Các tài khoản người dùng (mặc định) được đặt trong một mục có tên “Users”, và hoàn toàn không có bất kỳ một GPO nào được liên kết với nó.

Bạn không chỉ tạo một OU cho các tài khoản người dùng mà trong hầu hết các trường hợp, bạn sẽ tạo một cấu trúc có thứ bậc và OU có cấu trúc cho các tài khoản người dùng. Điều này sẽ cho phép bạn quản lý các thiết lập GPO nào ảnh hưởng đến tài khoản người dùng nào. Các ý tưởng cho cấu trúc logic của OU cho các tài khoản người dùng có các OU được đưa ra dưới đây:

  • Các văn phòng như phòng tài chính, CNTT,…
  • Các vùng như vùng đông bắc, châu á, chi nhánh 1,…
  • Các Role công việc như Manager, Executive, HelpDesk,…

Tạo các OU cho tài khoản máy tính

Bạn cũng có thể tạo các OU cho tài khoản máy tính, với cùng lý do như tài khoản người dùng. Ở đây bạn có thể xem xét các kiểu máy tính hiện có, chúng có thể được phân loại vào các hạng mục dưới đây:

  • Các máy chủ như IIS, Exchange, application,…
  • Các desktop như CNTT, di động,…

Tạo một GPO và liên kết đến OU mới cho các tài khoản máy tính

Để bảo đảm các máy tính của bạn được an toàn khi chúng ở trong miền, bạn cần phải có một tập các thiết lập an toàn khi gia nhập một miền. Để thực hiện điều này, bạn chỉ cần tạo một GPO và liên kết nó đến OU cho các tài khoản máy tính ừa tạo. Ý tưởng cho các thiết lập mà bạn nên có trong GPO gồm có:

  • Kích hoạt UAC
  • Thiết lập lại mật khẩu quản trị nội bộ
  • Kiểm soát thành viên của nhóm Administrators
  • Kiểm soát các kết nối nặc danh
  • Kiểm soát các giao thức chứng thực đăng nhập đã được hỗ trợ

Cấu hình DSN để chuyển tiếp

Hầu hết các công ty đều cần đến cài đặt này, tuy nhiên không phải tất cả. Tuy vậy, dựa vào những gì bạn đã thấy trong trường, hầu hết các công ty cần nhắm đến cấu hình DNS một cách ngay lập tức để cho phép truy cập vào Internet, nhưng cũng bảo vệ cả DNS có hỗ trợ Active Directory. Để thực hiện điều này, bạn cần cấu hình DNS hỗ trợ môi trường Active Directory để chuyển tiếp tất cả các yêu cầu Internet đến một máy chủ DNS có hỗ trợ Internet. Điều này yêu cầu các thiết lập dưới đây:

  • Cấu hình tất cả các client của miền để sử dụng DNS hỗ trợ Active Directory
  • Cấu hình các máy chủ Active Directory DNS để chuyển tiếp yêu cầu đến các máy chủ DNS gửi đi.

Đặt lại tên toàn bộ tài khoản Administrator trong tất cả các miền

Bạn nên đặt lại tên tài khoản Administrator trong Security Accounts Manager (SAM) nội bộ của mỗi máy tính (máy chủ và desktop) trong miền cũng như cho mỗi một miền mới mà bạn add vào forest. Bạn có thể thực hiện điều này thông qua GPO, thể hiện trong hình 3, cách thức này sẽ giúp cho bạn cấu hình dễ dàng hơn và hiệu quả hơn. Thêm nữa nó không loại trừ một tấn công đang tìm kiếm tên mới, nhưng sẽ làm giảm được các tấn công vào hệ thống với tên mặc định.

Hình 3

Kết luận

Khi bạn đã cài đặt Active Directory và đang chạy, bạn chỉ mới bắt đầu các cấu hình của mình. Để bảo đảm có một Active Directory an toàn và ổn định, bạn cần phải thực hiện một số các thiết lập ngay lập tức để đưa mọi thứ được cấu hình và an toàn. Bạn cần nhắm đến việc quản trị miền, gồm có tài khoản Administrator đi kèm và các tài khoản sẽ được sử dụng để quản lý Active Directory hàng ngày. Với việc kiểm soát người dùng và desktop trong môi trường, bạn cần thực hiện các thiết lập cho phép bảo vệ mật khẩu của người dùng, cũng như kiểm soát các desktop và tài khoản người dùng thông qua Group Policy. Nếu bạn thực hiện được những bảo mật quan trọng này sau khi cài đặt Active Directory thì cũng có nghĩa thực hiện được tốt việc bảo vệ an toàn mạng và công ty bạn.

Article Categories:
IT & Network
    http://linholiver.com

    https://linholiver.com/diary/about/