Cấu hình dễ dàng các thiết lập Password trong Windows Server 2008

[nod32]

Jakob H. Heidelberg

Trong loạt bài “Cấu hình thiết lập mật khẩu trong Windows Server 2008” ([Only registered and activated users can see links. ] và [Only registered and activated users can see links. ]) chúng tôi đã giới thiệu cho bạn về cách cấu hình các thiết lập mật khẩu cho những cá nhân sử dụng riêng lẻ hoặc nhóm bảo mật toàn cầu trong môi trường Active Directory của Windows Server 2008, đi kèm với nó là các phương pháp thực hiện. Còn trong bài này chúng tôi sẽ giới thiệu “Cách dễ dàng nhất” để quản lý các chính sách mật khẩu bổ sung đó trong môi trường miền Windows Server 2008.

Các phương pháp khác nhau

Giống như nhiều lĩnh vực khác đối với vấn đề quản trị Windows, bạn có một số tùy chọn khác nhau khi nó đến việc quản lý các chính sách mật khẩu mới, các thiết lập và tầm ảnh hưởng của nó. Khả năng đính kèm, tận dụng các công cụ như ADSIEdit, có thể không phải là cách tốt nhất cho các nhân viên trợ giúp ít kinh nghiệm, các quản trị viên quá bận rộn với công việc – họ cần đến các công cụ tốt hơn, có giao diện đồ họa (GUI) để thực hiện công việc, đẹp mắt và an toàn! Những người khác có thể lại cần các giải pháp có thể kịch bản hóa để thực hiện công việc của họ - và hầu hết họ đều đang nói về một sản phẩm đó là PowerShell? Đây quả thực là một công cụ tuyệt vời và miễn phí đã được phát hành trước khi Windows Server 2008 được phát hành – tất cả các công cụ này đều cung cấp cho chúng ta cả PowerShell command-lets (CmdLets) và một GUI đẹp mắt.

Trong bài này chúng tôi sẽ tập trung chính là tiện ích miễn phí của hãng Special Operations Software, tiện ích này mang tên [Only registered and activated users can see links. ] – công cụ này là một phiên bản bị hạn chế về mặt tính năng đối với [Only registered and activated users can see links. ]. Bên cạnh đó là nhiều giải pháp khác và một trong số chúng sẽ được đề cập ở phần cuối của bài này.

Specops Password Policy Basic

Thứ đầu tiên cần thực hiện là vào và download nó từ [Only registered and activated users can see links. ] – bạn sẽ cần phải tự đăng ký vào trang. Công cụ này yêu cầu đến Microsoft .NET Framework 2.0 và Microsoft Management Console (MMC) version 3.0 đã được cài đặt trên máy tính. Trong trường hợp của này, tôi sử dụng Microsoft Windows Server 2008 (RC1 beta version).

Trong suốt quá trình cài đặt, bạn hoàn toàn có thể chọn cài đặt Specops Password Policy Basic MMC snap-in hoặc Windows PowerShell CmdLets – mặc định là cả hai thành phần (chọn mặc định sẽ tốt hơn cho hầu hết các kịch bản). Sau khi cài đặt bạn sẽ có một MMC Snap-in mới như thể hiện trong hình 1.

Hình 1: Tổng quan của MMC Snap-in

Như những gì bạn thấy trong hình 1, snap-in hoàn toàn có khả năng kết nối với nhiều miền, trong trường hợp của này là đã kết nối đến windowsecurity.com.

Khi kích vào nút domain trong phần lề bên trái, chúng ta sẽ có được một cách nhìn tổng thể về các chính sách mật khẩu hiện đang có trong miền. Chúng gồm có thứ tự, tên chính sách mật khẩu, top 5 các thiết lập (chiều dài tối thiểu, các yêu cầu về độ phức tạp, tuổi thọ tối thiểu, tuổi thọ lớn nhất và các thiết lập “history”) và quan sát vắn tắt các thành viên chính sách (người dùng hoặc các nhóm bảo mật toàn cục).

Bên cạnh đó chúng ta còn có tùy chọn tạo chính sách mật khẩu mới (New password policy), soạn thảo chính sách mật khẩu đã được chọn (Edit selected password policy), xóa chính sách mật khẩu được chọn (Delete selected password policy), tra cứu chính sách mật khẩu cho người dùng (Lookup password policy for user) và tra cứu người dùng đã bị ảnh hưởng bởi chính sách đã chọn (Lookup users affected by selected policy) – xem trong hình 2.

Hình 2: Các chính sách mật khẩu có trong miền và tùy chọn của chúng ta

Trong trường hợp của này, chúng tôi đã chọn một chính sách mật khẩu cho “Helpdesk Employees”, trong bảng “Members of the selected password policy” ta có thể thấy được những người dùng có liên quan và các nhóm bảo mật. Bằng cách sử dụng mũi tên lên và xuống bạn có thể thiết lập thứ tự của các chính sách một cách hoàn toàn dễ dàng. Lưu ý rằng bạn hãy để ý qua phần Default Domain password policy (thường vẫn được định nghĩa bên trong Default Domain Policy GPO) như đã được đề cập từ trước, đây là một chính sách mật khẩu rất chặt để bảo đảm cho tất cả người dùng đều nằm trong nhóm bảo mật đúng và nếu không thì họ sẽ phải chịu chính sách mặc định rất nghiêm ngặt (và bị bắt buộc phải gọi tới Helpdesk).

Khi chọn “New password policy” hoặc “Edit selected password policy”, bạn sẽ có một hộp thoại trực giác (xem trong hình 3) – hơn nhiều so với tiện ích ADSIEdit mà chúng tôi đã giới thiệu trong một số bài khác cùng chủ đề.

Hình 3: Hộp thoại các chính sách mật khẩu

Đây chính là nơi chúng ta thiết lập các thiết lập chính sách mật khẩu, cụ thể gồm có các thiết lập để khóa một tài khoản. Có thể dễ dàng bổ sung hoặc xóa bớt các thành viên (người dùng hoặc nhóm bảo mật) từ một hộp thoại nào đó. Đây là một cách rất hay trong việc hiển thị các thiết lập chính sách mật khẩu – nhanh và dễ dàng, không gây bực mình và nhầm lẫn. Sử dụng giao diện tương tự như vậy sẽ tiết kiệm cho bạn được nhiều thời gian và những cố gắng để so sánh với tiện ích ADSIEdit – bạn quả thực không cần phải suy nghĩ nhiều, chỉ cần theo thiết kết và thực hiện các thiết lập mật khẩu theo thỏa thuận!

Một trong những thứ tương đối khó khăn trong các chính sách mật khẩu của Windows Server 2008 là việc chỉ định người dùng sẽ có các thiết lập chính sách nào. Specops gồm có hai tùy chọn: “Lookup password policy for user” (hình 4) và “Lookup users affected by selected policy” (hình 5).

Hình 4: Tra cứu nhanh bằng user

Thực sự rất dễ dàng thực hiện việc truy vấn để xem chính sách mật khẩu gì một người dùng nào đó gặp phải. Trong trường hợp ngược lại, nếu muốn xem người dùng nào bị ảnh hưởng bởi một chính sách mật khẩu nào đó thì chỉ cần chọn tùy chọn “Lookup users affected by selected policy” – các kết quả được thể hiện như bên dưới.

Hình 5: Tra cứu nhanh bằng chính sách

Chúng ta đã thấy được chức năng GUI của Specops Password Policy Basic – tất cả đều được so với các công cụ built-in (đi kèm). Tuy vậy, công cụ Specops có nhiều thứ cung cấp cho bạn hơn và tất cả đều miễn phí!

CmdLets của PowerShell

Specops Password Basic gồm có một cụm nhỏ CmdLets của PowerShell. Bảng 1 dưới đây là hướng dẫn vắn tắt về những gì có trong CmdLets miễn phí:


Trước khi sử dụng các CmdLet của PowerShell này, lệnh dưới đây phải được thực thi (bên trong tiện ích PowerShell):

Add-PSSnapin SpecopsSoft.PasswordPolicyBasic

Để có được một danh sách kiểu CmdLets, bạn sử dụng lệnh sau: Get-Command -Noun Basic*

Bạn có thể tham khảo thêm nhiều ví dụ mẫu của PowerShell [Only registered and activated users can see links. ].

Hình 6: PowerShell

PowerShell là một công cụ tuyệt vời cho việc thực hiện các nhiệm vụ lặp đi lặp lại như vậy, tài liệu hóa những gì mà bạn đã thực hiện và cách thực hiện nó như thế nào,…. Nhưng cả GUI được cung cấp và PowerShell CmdLets đều không đủ tốt cho bạn. Specops tỏ ra hơn hẳn và có một thứ bổ sung thêm đó là [Only registered and activated users can see links. ] (API). Cả công cụ quản trị Specops và CmdLets đều sử dụng API này và nó có thể được sử dụng bởi các chuyên gia phát triển nhóm thứ ba để tự động hoặc tích hợp các nhiệm vụ quản trị của Specops Password Policy Basic. Một ý tưởng ở đây là tạo kịch bản hoặc ứng dụng để bắt tất cả người dùng không bị “hit” bởi bất kỳ một chính sách nào ngoại trừ từ chính sách tài khoản Default Domain – đây sẽ là một ý tưởng tuyệt vời cho vấn đề bảo mật, đặc biệt nếu chính sách mặc định hầu như tỏ ra không an toàn.

Các tùy chọn bổ sung

Như đã đề cập từ trước, Specops Password Policy Basic không chỉ miễn phí mà còn có cả một số công cụ đi kèm (built-in). Các công cụ này giải quyết cho một số giải pháp bổ sung và chúng tôi sẽ đề cập đến hai trong số các công cụ này. Cả hai đều có các chức năng cơ bản như: tạo, sửa, xóa và liên kết các chính sách mật khẩu bắt buộc trong một miền.

Công cụ miễn phí đầu tiên là của Christoffer Andersson (TrueSec) có tên Microsoft MVP trong Directory Services. Bạn có thể download công cụ này [Only registered and activated users can see links. ], với phiên bản beta và cung cấp các chức năng cơ bản như thể hiện trong hình 7.

Hình 7: MMC của Christoffer Andersson

Công cụ miễn phí thứ hai là từ Dmitry Sotnikov và được xây dựng bằng PowerGUI – nằm trên một số AD CmdLets từ Quest miễn phí khác – bạn có thể download nó [Only registered and activated users can see links. ]. Hình 8 thể hiện GUI này.

Hình 8: Công cụ PowerGUI cho việc quản lý các chính sách mật khẩu bắt buộc

Kết luận

Hiểu cách làm việc của Granular Password Settings (Các thiết lập mật khẩu) – cách, thời điểm và tại sao lại sử dụng chúng – là một điều rất quan trọng. Hy vọng hai bài trước về thiết lập mật khẩu trong Windows Server 2008 đã làm cho bạn có được một số kiến thức về chủ đề này. Tự thiết kế chính sách mật khẩu có thể sẽ là khó nhất và phần chủ yếu nhất của quá trình thiết lập nhiều chính sách mật khẩu bên trong một miền Active Directory – nhưng quá trình bổ sung, sử dụng ADSIEdit có thể không phải là giải pháp tốt nhất khi cài đặt (“out of the box”) đối với Microsoft – chính vì vậy Specops đã xuất hiện để cứu nguy với sản phẩm miễn phí: Password Policy Basic. Chúng tôi nghĩ công cụ này sẽ cho bạn mọi thứ cần thiết để quản lý các chính sách mật khẩu bên trong miền Windows Server 2008.



Văn Linh (Theo Window Security)