Cùng tìm hiểu tiếp những cách bảo mật thông tin quan trọng để bạn đảm bảo tối đa nhất hệ thống của doanh nghiệp, tổ chức mình.
Phân tích những rủi ro và xác định các mối đe dọa đối với account
Account cho một User sẽ xác định những hành động mà User đó có thể thực hiện.
Việc phân loại account sẽ chỉ ra những cấp độ bảo vệ thích hợp khác nhau.
Các account trên hệ thống sẽ nhận được hai loại quyền cơ bản:
User rights (Quyền hệ thống): Là loại đặc quyền mà User được hệ thống cho phép thực thi những hành động đặc biệt (ví dụ: Quyền Backup Files Và Folders, thay đổi thời gian hệ thống, shutdown hệ thống…)
Trên Windows bạn có thể gõ command secpol.msc tại RUN, để mở Local Security Settings\ local policiesX User rights assignment là nơi xác lập các User rights của hệ thống.
Permissions (Quyền truy cập): Được kiểm soát bởi DACLs (Discretionary access control lists) của hệ thống, được phép truy cập vào các File/ Folder hay Active Directory objects (trong Domain) (ví dụ User A được quyền Read/Modify đối với Folder C:\Data, User B được Full Control đôi với ou Business).
Chú ý trong việc cấp phát Permission cho account, nên đưa account vào Group để dễ kiểm soát, tránh việc phân quyền mang tính cá nhân cho một account nào đó. Điều này tăng cường khả năng kiểm soát account, vì khi số lượng account của hệ thống (Local hay Domain) tăng lên thì việc tổ chức này tạo sự an toàn và dễ kiểm soát hơn.
Những kẽ hở từ account có thể tạo cơ hội cho attacker.
Password
Password quá yếu (độ dài password quá ngắn, các kí tự đơn giản, lấy ngày tháng năm sinh, tên những bộ phim, địa danh, nhân vật nổi tiếng để đặt cho password).
Dùng cùng password cho nhiều account. Password được dán bừa bãi lên monitor/keyboard, hoặc lưu password vào một text file không bảo vệ.
Chia sẻ password hệ thống của mình cho bạn đồng nghiệp…
Cấp phát đặc quyền:
Cấp phát đặc quyền Administrator cho các User.
Các services của hệ thống không dùng Service account.
Cấp phát User right không cần thiết cho account.
Việc sử dụng account:
Log-on vào máy với account Administrators khi thi hành những tác vụ thông thường.
Tạo những User account cho phép quyền quản trị các tài khoản khác. Kích hoạt những tài khoản không còn được sử dụng (ví dụ nhân viên đã nghỉ việc, tài khỏan vẫn được lưu hành trên hệ thống).
Thiết kế chính sách tạo Password đáp ứng bảo mật cho Account:
Chính sách tạo password sao cho an toàn thực sự là một trong những yếu tố chính để bảo vệ tài khoản. Chính sách này bao gồm các yếu tố chính như sau:
Thời gian tối đa sử dụng password (maximum password age): Hạn sử dụng tối đa của password trước khi user phải thay đổi password. Thay đổi password theo định kì sẽ giúp tăng cường an toàn cho tài khoản.
Thời gian tối thiểu password phải được sử dụng trước khi có thể thay đổi (minimum password age). Admin có thể thiết lập thời gian này khoảng vài ngày, trước khi cho phép user thay đổi password của họ.
Thực thi password history: Sô” lần các password khác biệt nhau phải sử dụng qua, trước khi quay lại dùng password cũ. Số password history càng cao thì độ an toàn càng lớn.
Chiều dài password tối thiểu (minimum password length) cần phải đặt. Càng dài càng an toàn.
Password phải đạt yêu cầu phức hợp: không chỉ về độ dài mà còn về độ phức hợp của các kí tự đặt password (ví dụ bạn có thể thấy sự khác biệt giữa password và P@ssW0rd)
Khi dùng password phức hợp cần quan tâm
Không sử dụng họ và tên
Chứa ít nhất 6 kí tự
Có thể đan xen chữ hoa (A…Z), chữ thường (a…z), và các kí tự đặc biệt như: !@#$%A&*().
Account lockout: Sẽ bị khóa tài khoản trong một thời gian nhất định, nếu như sau một số lần log-on không thành công vào hệ thống. Mục đích của chính sách này nhằm ngăn chặn các cuộc tấn công dạng brute force vào account để dò password.
Trên đây là những vấn đề cốt lõi trong việc tạo và quản lý account sao cho an toàn, nhằm đáp ứng các yêu cầu khắt khe trong chính sách an toàn thông tin của tổ chức và đối với các Security Admin thiết nghĩ vấn đề này không nên chểnh mảng hoặc thờ ơ, vì đây là “ngõ vào” đầu tiên mà attacker luôn ưu tiên trong việc thăm dò, khai thác yếu điểm của hệ thống.
Chúc các bạn thành công!
){kind=link}