Giảm mặt tấn công của các tài khoản quản trị viên

Chúng ta đã thấy được có một xu hướng mới đang đến với mạng công ty đó là các nhà quản trị mạng muốn hạn chế được những gì mà tài khoản “quản trị viên” có thể thực hiện trong môi trường mạng. Không chỉ các quản trị viên từ Active Directory mà cả quản trị viên trên các máy trạm và máy chủ trong toàn doanh nghiệp. Có khá nhiều cách cấu hình mà chúng ta có thể thực hiện để hạn chế được hay nói cách khác là kiểm soát được các tài khoản này. Tuy nhiên vấn đề quan trọng là cần phải làm gì, những cấu hình nào có ý nghĩa đối với bạn và những gì không nên thực hiện khi nói đến các tài khoản quản trị trong toàn tổ chức. Đây, chúng tôi sẽ trả lời tất cả các câu hỏi đó để bảo đảm rằng bạn có thể tạo được các cấu hình thích hợp cũng như biết những gì mà bạn có thể để mở.

Các tài khoản quản trị nằm ở đâu?

Trước khi bắt đầu hạn chế các tài khoản quản trị trên mạng, thì bạn cần phải hiểu được chúng nằm ở đâu và chúng có những đặc quyền gì. Đầu tiên chúng ta phải bắt đầu bằng việc quan sát trên các máy trạm và máy chủ trong tổ chức. Tất cả máy tính chạy Windows đều có một tài khoản quản trị được cấu hình ở phần cài đặt. Tài khoản này là tài khoản có mức cao nhất mà bạn có ở mỗi máy tính. Tài khoản này có tư cách hội viên trong nhóm quản trị, được ban cho quyền điều khiển cao nhất trên máy tính đó.

Cũng có các tài khoản quản trị được cấu hình trong Active Directory. Miền đầu tiên được cấu hình trong Active Directory doanh nghiệp của bạn có một tài khoản quản trị đặc biệt. Lý do nó đặc biệt là do các nhóm mà nó có tư cách hội viên trong đó. Tài khoản quản trị ban đầu này có tư cách hội viên trong các nhóm bảo mật chính dưới đây:

  • Administrators
  • Domain Admins
  • Enterprise Admins
  • Schema Admins

Miền ban đầu gồm cả các nhóm Enterprise Admins và Schema Admins. Mỗi miền thêm vào sẽ có một tài khoản quản trị với tư cách là hội viên trong nhóm Domain Admins và Administrator

Các quản trị viên có thể thực hiện những gì

Bây giờ chúng ta đã biết nơi các tài khoản quản trị cư trú, vậy chúng có thể thực hiện những gì? Các tài khoản quản trị viên cục bộ có đầy đủ quyền truy nhập trên chính máy tính mà nó đang tồn tại. Điều đó có nghĩa là chúng có thể thay đổi bất cứ tài nguyên nào trên máy tính như các dịch vụ, tài khoản, tài nguyên, ứng dụng và các file được lưu trong máy tính.

Các tài khoản quản trị viên trong Active Directory có cùng một quyền ngang nhau. Khi các tài khoản đó có quyền điều khiển mức miền hoặc cao hơn, chúng không chỉ kiểm soát các dịch vụ, tài khoản, tài nguyên, ứng dụng và các file được lưu trong bộ điều khiển miền, mà còn với bất kỳ máy tính nào trong miền tương ứng. Quản trị viên nằm trong miền ban đầu của Active Directory cũng có quyền lực này trên mỗi máy tính riêng trong toàn bộ mạng tài khoản. Và quản trị doanh nghiệp có thể kiểm soát tất cả các khía cạnh của mạng tài khoản này.

Kiểm soát các tài khoản quản trị viên

Như bạn có thể thấy, các tài khoản quản trị viên có rất nhiều quyền lực. Chính vì vậy bạn cần phải bảo vệ tài khoản này. Có rất nhiều tùy chọn để giảm được rủi ro có liên quan đến việc bị tấn công hay bị thỏa hiệp tài khoản này. Các đề xuất này có thể dường như là công việc mở rộng, các phương pháp hoặc khái niện không hiệu quả có thể làm cho bạn giảm năng suất. Khi xem xét đến bất cứ khái niệm bảo mật nào bạn sẽ phải có kế hoạch nhất định. Bảo mật hoàn toàn không dễ dàng gì, nếu nó dễ thì chúng ta đã không phải quan tâm quá nhiều đến nó như vậy. Vậy bạn phải thực hiện những gì để bảo vệ các tài khoản quản trị viên trong môi trường của mình?

Đầu tiên, không sử dụng các tài khoản quản trị viên. Các tài khoản này chỉ nên được sử dụng để thiết lập môi trường ban đầu, sau khi thiết lập bạn cần phải đưa “tài khoản người dùng thông thường” vào nhóm quản trị viên hoặc một trong những hội viên của nhóm quản trị khác nhau. Điều này sẽ đạt được các kết quả giống nhau và không cần sử dụng “tài khoản quản trị viên thực sự”.

Thứ hai, không sử dụng “tài khoản người dùng bình thường” được đặt trong Administrator hoặc một trong các nhóm quản trị khác theo định kỳ và nhiệm vụ người dùng chuẩn. Kiểm tra email, viết các bản ghi nhớ, dẫn chứng tư liệu,… nên được thực hiện với tài khoản người dùng chuẩn mà không cần cho tài khoản quản trị. Điều này yêu cầu cần phải có tài khoản song song cho các quản trị viên. Một giải pháp luân phiên để thực hiện điều đó là sử dụng Vista với UAC được kích hoạt. Ở Vista, UAC là một công nghệ lý tưởng cho việc giải quyết vấn đề này.

Thứ ba, vô hiệu hóa tài khoản quản trị viên – Administrator. Bạn chỉ có thể thực hiện việc này với Windows XP và Server 2003, được thể hiện bằng một thiết lập trong Group Policy Object, xem hình 1.


Hình 1: Với Group Policy Object, bạn có thể vô hiệu hóa bất kỳ tài khoản quản trị viên nào

Tôi sẽ phải đưa ra một số cảnh báo trước khi bạn vô hiệu hóa tài khoản này. Đầu tiên, bạn cần bảo đảm tạo một tài khoản quản trị khác trước khi vô hiệu hóa tài khoản này. Nếu không thực hiện điều này thì bạn sẽ khóa chính bản thân bạn ở bên ngoài hệ thống khi tạo một tài khoản kiểu quản trị viên khác. Kế đến, bạn cần xem xét những gì sẽ phải thực hiện đối với các kế hoạch khôi phục khi xảy ra tình huống xấu. Không có tài khoản quản trị viên, bạn có thể sẽ không có quyền truy cập vào một số file, dịch vụ và các công cụ khôi phục thảm họa nào đó.

Thứ tư, thiết lập Active Directory và thành phần được ủy thác Group Policy thay vì chỉ ném các tài khoản người dùng vào nhóm quản trị miền. Trong hầu hết các trường hợp, bạn có thể sử dụng công cụ ủy thác và các kỹ thuật để cho quản trị viên quyền điều khiển trên Active Directory và Group Policy. Hình 2 và hình 3 thể hiện cho bạn giao diện cho các vùng điều khiển ủy thác.


Hình 2: Ủy thác Active Directory


Hình 3: Ủy thác Group Policy

Thứ năm, bạn nên kích hoạt việc thẩm định đối với các tài nguyên, nơi mà các quản trị viên không có quyền truy cập, và không nên chấp nhận sự tự truy cập của bản thân họ. Những gì sẽ phải thực hiện ở đó là giúp bảo vệ được tài nguyên ở những nơi mà các quản trị viên không nên có quyền truy cập trực tiếp. Điều này có thể là một giải pháp thông minh cho các file có liên quan đến HR, tài chính, quản trị, cổ phần của công ty,… Hãy nhớ những gì chúng ta đã thảo luận trong phần trước đối với các tài khoản quản trị viên khác và sự truy cập của họ. Một quản trị việc không được liệt kê trong danh sách trên một tài nguyên không có nghĩa rằng họ không thể thự bổ sung thêm bản thân họ. Bạn có thể kích hoạt việc thẩm định trên bất kỳ máy tính nào bằng Group Policy như những gì thể hiện trên hình 4.


Hình 4: Thẩm định để kiểm tra sự truy cập của các quản trị viên

Thứ sáu, các tài khoản quản trị viên và tất cả tài khoản người dùng đã cấu hình với quyền quản trị viên cần phải có mật khẩu bảo vệ tốt. Các mật khẩu đó cũng cần được thay đổi thường xuyên. Không đưa ra thời hạn hết hạn của mật khẩu sẽ không tốt cho việc bảo mật ở đây.

Cuối cùng, một mẹo cần phải chỉ ra cho các bạn không thực sự là một sự cấu hình hay thiết lập, mà đơn giản chỉ cần bảo vệ công ty và các tài nguyên của công ty với tất cả chi phí có thể. Nếu có một cảm giác không tốt về một quản trị viên hoặc một ai đó có quyền quản trị viên thì bạn phải có các biện pháp đối với họ, có thể mạnh đến mức đào thải. Đó thực sự là một điều khó khăn nhưng nếu ai đó không thể tin tưởng thì họ phải bị thay thế ra khỏi môi trường của bạn để đảm bảo an toàn cho toàn công ty.

Kết luận

Các tài khoản quản trị viên và nhóm quản trị có liên quan rất mạnh mẽ trong môi trường Windows. Các tài khoản này có nhiều quyền năng hơn những gì bạn vẫn thường nghĩ về nó. Bạn có thể bảo vệ môi trường của mình có nghĩa là phải kiểm soát chặt chẽ được các tài khoản đó. Chính vì vậy bạn cần phải quan tâm đến tất cả các chú ý mà chúng tôi đã giới thiệu trên để bảo vệ chúng, tuy một số tùy chọn có thể làm giảm hiệu quả và có thể phát sinh ra nhiều công đoạn cho tất cả các quản trị viên mỗi khi họ muốn thực hiện nhiệm vụ cần đến quyền truy cập cao. Nhưng xét tổng thể, để kiểm soát được các tài khoản kiểu quản trị viên thì đó là một nhu cầu cần thiết. Bạn cần thực hiện hành động bảo vệ này ngay lập tức trước khi mạng của bạn bị phá hoại như trường hợp trong câu “mất bò mới lo làm chuồng”!

Thứ Sáu, 31/08/2007 10:45
31 👨 285