Xem lại phần I: Thiết lập hệ thống password an toàn
Trong phần này chúng tôi sẽ cung cấp cho các bạn các hướng dẫn từng bước về bảo mật nâng cao bằng việc thực hiện các thiết lập password trên các máy tính trong tổ chức của bạn.
- Cấu hình các thiết lập chính sách password trong một miền dựa trên Active Directory
- Cấu hình các thiết lập chính sách password trên các máy tính riêng lẻ
Cấu hình thiết lập chính sách password trong một miền Active Directory
Yêu cầu
• Yêu cầu: Bạn phải được đăng nhập như một thành viên của nhóm quản trị miền.
• Công cụ: Active Directory Users and Computers
• Để thực thi chính sách password trên hệ thống máy tính của một miền Active Directory
- Vào Start > Control Panel, kích đúp Administrative Tools và sau đó kích đúp Active Directory Users and Computers.
- Click chuột phải vào gốc tên miền
- Chọn Properties từ menu xuất hiện:
Lưu ý: Hình trong tài liệu này là một môi trường kiểm tra và thông tin có thể thay đổi với các thông tin hiển thị trên màn hình của bạn. - Trong hộp thoại thuộc tính, chọn tab Group Policy, sau đó click New để tạo một đối tượng chính sách nhóm mới trong gốc domain. Nhập vào "Domain Policy" cho tên của chính sách mới sau đó click Close.
Lưu ý: Microsoft khuyên bạn rằng bạn nên tạo một đối tượng Group Policy mới thay vì soạn thảo cái được gọi là Default Domain Policy bởi vì việc làm này dễ dàng hơn trong việc khôi phục những vấn đề quan trọng với các thiết lập bảo mật. Nếu các thiết lập bảo mật mới gây ra các vấn đề nào đó thì bạn có thể tạm thời vô hiệu hóa đối tượng Group Policy mới cho tới khi bạn cô lập được các thiết lập đó. - Click chuột phải vào gốc tên miền, sau đó click vào Properties.
- Trong hộp thoại thuộc tính, click tab Group Policy, sau đó chọn Domain Policy.
- Click Up để chuyển GPO mới lên đầu danh sách, sau đó click Edit để mở Group Policy Object Editor cho GPO mà bạn đã tạo.
- Dưới Computer Configuration, điều hướng đến thư mục Windows Settings\Security Settings\Account Policies\Password Policy
- Trong khung chi tiết, kích đúp vào Enforce password history, chọn Define this policy setting, thiết lập giá trị của Keep password history là 24 sau đó click OK.
- Trong cửa số chi tiết, kích đúp Maximum password age, chọn Define this policy setting và thiết lập giá trị của Password will expire in là 42, click OK sau đó click OK tiếp để đóng cửa sổ Suggested Value Changes đã xuất hiện.
- Trong cửa sổ chi tiết, kích đúp Minimum Password Age, chọn Define this policy setting và thiết lập giá trị của Password can be changed after là 2 sau đó click OK.
- Trong cửa sổ chi tiết, kích đúp Minimum Password Length, chọn Define this policy setting và thiết lập giá trị của Password must be at least là 8 sau đó click OK.
- Trong cửa sổ chi tiết, kích đúp Password must meet complexity requirements, chọn Define this policy setting in the template, chọn Enabled sau đó click OK.
- Đóng Group Policy Object Editor, click OK để đóng hộp thoại properties của miền, sau đó thoát khỏi Active Directory Users and Computers.
Kiểm tra các thiết lập mới
Sử dụng thủ tục dưới đây để kiểm tra các thiết lập chính sách password phù hợp đã được chấp nhận chưa và có hiệu lực trong Domain Policy GPO không. Kiểm tra các thiết lập và hoạt động của chúng để bảo đảm rằng các chính sách password đúng sẽ được áp dụng cho người dùng trong miền.
Yêu cầu
• Yêu cầu: Bạn phải được đăng nhập như một thành viên của nhóm Domain Admins
• Công cụ: Active Directory Users and Computers.
• Để kiểm tra các thiết lập chính sách password cho một miền Active Directory
- Mở Active Directory Users and Computers, kích chuột phải vào miền của bạn, sau đó click Properties.
- Trong hộp thoại thuộc tính, click tab Group Policy, chọn Domain Policy GPO và sau đó click Edit để mở Group Policy Object Editor.
- Dưới Computer Configuration, bạn tìm đến thư mục Windows Settings\Security Settings\Account Policies\Password Policy và kiểm tra các thiết lập của bạn có đúng với các thiết lập được thể hiện ở đây không:
- Đóng Group Policy Object Editor, click OK để đóng hộp thoại properties cho miền của bạn, sau đó thoát khỏi Active Directory Users and Computers.
- Kiểm tra bảo đảm rằng người dùng không thể chỉ định các password ngắn hơn 8 kí tự, không thể tạo các password không phức tạp và không thể thay đổi ngay lập tức các password mới của họ.
Cấu hình các thiết lập chính sách password trên các máy tính đứng độc lập
Yêu cầu
• Yêu cầu: Bạn phải được đăng nhập như một thành viên của nhóm quản trị viên.
• Công cụ: Local Security Policy (chính sách bảo mật cục bộ).
• Để thực hiện chính sách password trên các hệ thống máy tính không thuộc một miền Active Directory bạn tiến hành như sau:
- Vào Start, click Control Panel, kích đúp Administrative Tools sau đó kích đúp tiếp vào Local Security Policy.
- Điều hướng đến thư mục Account Policies\Password Policy.
- Trong cửa sổ chi tiết, kích đúp vào Enforce password history, thiết lập giá trị của Keep password history là 24, sau đó click OK.
- Trong cửa sổ chi tiết, kích đúp vào Maximum password age, thiết lập giá trị của Password will expire in là 24, sau đó click OK.
- Trong cửa sổ chi tiết, kích đúp vào Minimum Password Age, thiết lập giá trị của Password can be changed after là 2, sau đó click OK.
- Trong cửa sổ chi tiết, kích đúp vào Minimum Password Length, thiết lập giá trị của Password must be at least là 8, sau đó click OK.
- Trong cửa sổ chi tiết, kích đúp vào Password must meet complexity requirements, chọn Enabled sau đó click OK.
- Đóng Local Security Policy.
Kiểm tra các thiết lập mới
Yêu cầu
• Yêu cầu: Bạn phải được đăng nhập như một thành viên của nhóm quản trị viên.
• Công cụ: Local Security Policy.
• Để kiểm tra các thiết lập chính sách password cho hệ thống máy tính này bạn là theo các bước sau:
- Mở Local Security Policy, điều hướng đến thư mục Account Policies\Password Policy và kiểm tra các thiết lập của bạn xem có đúng với những thiết lập được hiển thị ở đây không:
- Đóng Local Security Policy.
- Kiểm tra xem có bảo đảm người dùng không thể chỉ định các password ngắn hơn 8 kí tự, không thể tạo các password không phức tạp và không thể thay đổi các password mới của họ ngay lập tức.