Bảo mật mật khẩu từ lâu đã là một vấn đề đối với các doanh nghiệp và các tiêu chuẩn an ninh mạng của họ. Mật khẩu tài khoản thường là liên kết yếu nhất trong thế bảo mật tổng thể cho nhiều tổ chức.
Nhiều công ty đã sử dụng chính sách mật khẩu mặc định của Microsoft trong nhiều thập kỷ. Mặc dù chúng có thể được tùy chỉnh, các doanh nghiệp thường chấp nhận các giá trị mặc định cho tổ chức của họ.
Chính sách mật khẩu mặc định của Windows là một khởi đầu tốt, nhưng có lỗ hổng bảo mật nào liên quan đến nó không? Hãy cùng xem các khuyến nghị hiện tại từ các cơ quan an ninh mạng hàng đầu và xem cách họ đo lường chống lại chính sách mật khẩu mặc định của Windows.
Cài đặt chính sách mật khẩu mặc định của Windows
Nhiều, nếu không phải là hầu hết, các môi trường kinh doanh ngày nay sử dụng Microsoft Active Directory làm giải pháp quản lý truy cập và nhận dạng của họ trong doanh nghiệp. Active Directory đã phục vụ các tổ chức trong khả năng này trong nhiều thập kỷ.
Một trong những khả năng tích hợp được cung cấp bởi Microsoft Active Directory Domain Services (ADDS) là khả năng tích hợp sẵn để cung cấp chính sách mật khẩu cho một tổ chức.
Một là gì chính sách mật khẩu? Chính sách mật khẩu cung cấp tập hợp các đặc điểm mật khẩu bắt buộc mà người dùng cuối phải đáp ứng khi chọn mật khẩu tài khoản của họ. Dưới đây là cái nhìn về cấu hình Chính sách mật khẩu chính sách tên miền mặc định của Active Directory với các giá trị điển hình mà nhiều tổ chức có thể sử dụng.
Bộ điều khiển miền Windows Server 2019 mới được quảng cáo Chính sách nhóm miền mặc định hiển thị cài đặt mặc định cho Chính sách mật khẩu.
 |
| Cài đặt Chính sách mật khẩu mặc định của Windows được xác định trong Chính sách nhóm miền mặc định |
Như bạn có thể thấy, các cài đặt chính sách cụ thể được định cấu hình cho bạn theo mặc định. Bao gồm các:
- Thực thi Lịch sử mật khẩu – 24 mật khẩu được ghi nhớ
- Độ tuổi mật khẩu tối đa – 42 ngày
- Độ tuổi mật khẩu tối thiểu – 1 ngày
- Độ dài mật khẩu tối thiểu – 7 ký tự
- Mật khẩu phải đáp ứng các yêu cầu phức tạp – Đã bật
- Lưu trữ mật khẩu bằng mã hóa có thể đảo ngược – Tàn tật
Làm thế nào để các giá trị mặc định này phù hợp với các khuyến nghị hiện tại từ các cơ quan an ninh mạng hàng đầu về các khuyến nghị mật khẩu?
Cài đặt chính sách mật khẩu mặc định của Windows có không an toàn không?
Đã có những thay đổi và khuyến nghị mạnh mẽ được đưa ra trong những năm gần đây liên quan đến bảo mật mật khẩu, thể hiện sự thay đổi trong các khuyến nghị về bảo mật mật khẩu. Các chuyên gia trong ngành an ninh mạng đang nhấn mạnh sự cần thiết phải kiểm tra mật khẩu dựa trên danh sách mật khẩu yếu đã biết (từ điển) và ít tập trung hơn vào các chính sách hết hạn mật khẩu vốn từ lâu đã trở thành một phần của chính sách mật khẩu doanh nghiệp.
Các Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) phát hành NIST Special Publication 800-63B (Nguyên tắc Nhận dạng Kỹ thuật số – Xác thực và Quản lý Vòng đời).
Trong Phần 5.1.1, ‘Bí mật đáng nhớ’, họ lưu ý hướng dẫn cụ thể này liên quan đến việc so sánh mật khẩu với mật khẩu đã biết từ từ điển hoặc danh sách vi phạm:
“Khi xử lý các yêu cầu thiết lập và thay đổi các bí mật đã ghi nhớ, người xác minh SẼ so sánh các bí mật tiềm năng với danh sách chứa các giá trị được biết là thường được sử dụng, được mong đợi hoặc bị xâm phạm. Ví dụ: danh sách CÓ THỂ bao gồm, nhưng không giới hạn ở:
- Mật khẩu có được từ các kho dữ liệu vi phạm trước đó.
- Từ điển.
- Các ký tự lặp lại hoặc tuần tự (ví dụ: ‘aaaaaa’, ‘1234abcd’).
- Các từ theo ngữ cảnh cụ thể, chẳng hạn như tên của dịch vụ, tên người dùng và các dẫn xuất
- của chúng. “
Một phần khác của hướng dẫn NIST cần lưu ý về các thay đổi mật khẩu bắt buộc theo các khoảng thời gian định kỳ:
“Người xác minh KHÔNG NÊN yêu cầu thay đổi các bí mật đã ghi nhớ một cách tùy tiện (ví dụ: định kỳ). Tuy nhiên, người xác minh SẼ buộc thay đổi nếu có bằng chứng về sự thỏa hiệp của người xác thực.”
Hướng dẫn NIST liên quan đến thay đổi mật khẩu định kỳ hiện được Microsoft khuyến nghị thụ động. bên trong Đường cơ sở bảo mật (DRAFT) cho Windows 10 v1903 và Windows Server v1903, Microsoft lưu ý những điều sau về các thay đổi mật khẩu định kỳ được thực thi:
“Nghiên cứu khoa học gần đây đặt ra câu hỏi về giá trị của nhiều phương pháp bảo mật mật khẩu lâu đời như chính sách hết hạn mật khẩu và chỉ ra những giải pháp thay thế tốt hơn như thực thi danh sách mật khẩu bị cấm (một ví dụ tuyệt vời là bảo vệ bằng mật khẩu Azure AD) và đa xác thực yếu tố. Mặc dù chúng tôi đề xuất các lựa chọn thay thế này, nhưng chúng không thể được thể hiện hoặc thực thi với các đường cơ sở cấu hình bảo mật được đề xuất của chúng tôi, được xây dựng trên cài đặt Chính sách nhóm tích hợp của Windows và không thể bao gồm các giá trị dành riêng cho khách hàng. “
Hướng dẫn của Microsoft giúp chỉ ra một lỗ hổng với khả năng Active Directory Group Policy được tích hợp sẵn. Không có phương tiện tích hợp nào để thực thi mật khẩu bị cấm một cách dễ dàng. Trong khi Microsoft ghi lại quy trình đăng ký bộ lọc mật khẩu .dll trong hướng dẫn ở đây, các tổ chức phải viết .dlls bộ lọc mật khẩu tùy chỉnh của riêng họ. Quá trình này có thể kéo theo những thách thức riêng của nó.
Nhìn vào các mặc định khác của Chính sách mật khẩu chính sách nhóm được bật, độ dài mật khẩu tối thiểu 7 ký tự thấp hơn so với những gì được ghi nhận bởi nhiều phương pháp hay nhất về an ninh mạng hàng đầu và khuyến nghị từ các cơ quan hàng đầu.
Lưu ý bên dưới độ dài mật khẩu tối thiểu tiêu chuẩn của chính sách mật khẩu cụ thể và nếu họ khuyên bạn nên so sánh mật khẩu với danh sách từ điển.
- Viện SANS (quản trị viên) – 12 ký tự, từ điển
- NIST – 8 ký tự, từ điển
- NCSC – từ điển
- Microsoft Technet – 14 ký tự
- Nghiên cứu của Microsoft – 8 ký tự, từ điển
Làm cách nào để các tổ chức có thể dễ dàng kiểm tra các chính sách mật khẩu hiện tại trong môi trường của họ và đảm bảo các chính sách này đáp ứng các phương pháp hay nhất về bảo mật mật khẩu được đề xuất? Làm thế nào để danh sách mật khẩu bị cấm có thể dễ dàng thực hiện trong môi trường Active Directory mà không có khả năng tích hợp này?
Specops Trình kiểm tra mật khẩu và Chính sách mật khẩu
Cả hai Trình kiểm tra mật khẩu Specops (Miễn phí và Chính sách mật khẩu Specops từ Phần mềm Specops cung cấp các công cụ cực kỳ mạnh mẽ có thể giúp các tổ chức kiểm tra chính sách mật khẩu hiện tại của họ và nhanh chóng triển khai bảo vệ mật khẩu bị vi phạm và từ điển tùy chỉnh.
Các tổ chức có thể triển khai chức năng này mà không cần phải lập trình và phát triển bộ lọc .dll mật khẩu tùy chỉnh.
Specops Password Auditor cung cấp một cách dễ dàng để có được khả năng hiển thị các rủi ro bảo mật mật khẩu trong môi trường của bạn một cách nhanh chóng. Đáng chú ý, điều này bao gồm các tài khoản có mật khẩu trống, mật khẩu được đặt không hết hạn, mật khẩu vi phạm, tài khoản quản trị cũ và nhiều tài khoản khác. Một trong những tính năng mà nó cung cấp là khả năng kiểm tra các chính sách mật khẩu của bạn.
Dưới đây, Trình kiểm tra mật khẩu Specops cho phép bạn nhanh chóng và dễ dàng kiểm tra các chính sách mật khẩu miền hiện tại của mình và so sánh chúng với các đề xuất chính sách mật khẩu tiêu chuẩn hàng đầu trong ngành.
 |
| So sánh Chính sách miền Active Directory với các đề xuất phương pháp hay nhất trong ngành cho mật khẩu |
Bạn có thể đi sâu vào từng đề xuất và xem chính sách mật khẩu Active Directory hiện tại của bạn không đáp ứng yêu cầu cụ thể nào.
 |
| Xem cài đặt chính sách mật khẩu so với các phương pháp hay nhất trong ngành cụ thể |
Ngoài khả năng hiển thị và các tính năng được cung cấp bởi Specops Password Auditor, Specops Password Policy cung cấp một cách dễ dàng để triển khai danh sách mật khẩu bị cấm trong môi trường Active Directory của bạn. Nó cũng tiến thêm một bước nữa bằng cách cho phép bạn triển khai bảo vệ bằng mật khẩu bị vi phạm.
 |
| Specops Password Policy vi phạm mật khẩu bảo vệ |
Bạn cũng có thể buộc người dùng thay đổi mật khẩu nếu mật khẩu của họ bị vi phạm.
 |
| Buộc thay đổi mật khẩu nếu mật khẩu của người dùng cuối bị vi phạm |
Chức năng danh sách mật khẩu bị vi phạm và bị cấm do Specops Password Policy cung cấp mở rộng chính sách mật khẩu mặc định của Windows. Do đó, các tổ chức có chính sách mật khẩu mạnh mẽ và an toàn hơn nhiều cho môi trường của họ.
Kết thúc
Bảo mật mật khẩu là rất quan trọng để bảo mật tổng thể hiệu quả cho dữ liệu quan trọng của doanh nghiệp của bạn. Tin tặc thường sử dụng hành vi trộm cắp thông tin đăng nhập như một cách dễ dàng vào cơ sở hạ tầng CNTT của bạn.
Microsoft Active Directory Domain Services (ADDS) là một giải pháp được sử dụng rộng rãi trong hầu hết các môi trường doanh nghiệp để quản lý danh tính và truy cập. Nó cũng xử lý việc thực thi chính sách mật khẩu cho nhiều người.
Chính sách mật khẩu mặc định của Windows do Active Directory cấu hình và thực thi bị thiếu hụt trong nhiều lĩnh vực. Đáng chú ý, nó thiếu bất kỳ khả năng tích hợp nào để kiểm tra mật khẩu so với danh sách từ điển tùy chỉnh hoặc danh sách mật khẩu bị vi phạm.
Specops Password Auditor và Chính sách mật khẩu giúp các doanh nghiệp nhanh chóng biết được các rủi ro về mật khẩu trong môi trường và dễ dàng thêm mật khẩu bị cấm và bảo vệ danh sách mật khẩu bị vi phạm.
