Điều khiển đặc quyền tài khoản Administrator - Bản có dấu.
Dieu khien dac quyen tai khoan Administrator - Bản không dấu.

 

Vì sao lại là điều khiển tài khoản  Administrator?

Nếu là người quản trị  các mạng Windows, có thể bạn đặc biệt quan tâm  tới thành phần Active Directory doanh nghiệp. Với tất cả khái niệm bảo mật  liên quan như domain  controller (bộ điều khiển miền), server  (máy chủ), service (dịch vụ), application  (ứng dụng) và Internet  connectivity (kết nối Internet), chỉ cần bỏ ra thêm chút thời gian  bạn sẽ hiểu được cách kiểm soát các Administrator trong doanh nghiệp  của mình một cách phù hợp và chính xác  nhất.

Lý do các tài khoản  này cần được kiểm soát thì muôn hình muôn vẻ. Đầu tiên, trên mỗi mạng, dù trung bình hay lớn cũng có thể có hàng nghìn tài khoản  Administrator. Khả năng chúng vượt ra ngoài tầm kiểm soát là hoàn toàn có thực. Thứ hai, hầu hết các công ty  đều cho phép “người dùng tiêu chuẩn” truy cập  tài khoản  Administrator cục bộ, có thể dẫn đến nguy cơ rủi ro hay tai nạn nào đó. Thứ ba, tài khoản  Administrator nguyên bản ban đầu sẽ buộc phải dùng một cách dè dặt. Vì vậy, giới hạn đặc quyền là một cách thông minh  để quản lý hệ thống mạng  trong doanh nghiệp.

Bạn có bao nhiêu tài khoản  Administrator?

Để tìm ra câu trả lời cho câu hỏi  này, bạn cần tính toán một chút. Chúng ta sẽ bắt đầu với các máy tính  để bàn sử dụng Windows  với một tài khoản  Administrator cục bộ. Đó là Windows  NT, 200, XP và Vista. Ngoài ra còn có thể xét đến tất cả máy khách được dùng bởi “admin”, các nhà phát triển, nhân viên  và cả trong phạm vi máy chủ  hoạt động  như một thiết bị ứng dụng  hay dịch vụ. Cả một quán Internet  công cộng  hay các máy tính  dùng cho mục đích nghiên cứu, thí nghiệm, trạm làm việc  trung tâm  hóa, cũng được xét đến trong phạm vi này. Đừng đếm tài khoản  người dùng  ở đây, vì số thiết bị có thể không khớp với số người dùng.

Bây giờ cần xem xét đến số server  bạn có (lúc này chưa tính đến các domain  controller). Với server, bạn cần quan tâm  đến nhiệm vụ cụ thể của nó: lưu trữ  dữ liệu, in ấn, ứng dụng, sở hữu dịch vụ, hoạt động  như một văn phòng  hay mail, fax,… Mỗi thiết bị này đều có một SAM và một tài khoản  Administrator cục bộ. Tài khoản  này không được dùng thường xuyên, nhưng như thế có khi lại càng cần được điều khiển đặc quyền.

Cuối cùng, bạn cần xem đến các domain  controller. Trên bộ phận điều khiển miền này (cũng là một kiểu máy chủ) có một tài khoản  Administrator quan trọng, là tài khoản  điều khiển Active Directory. Ngoài ra còn là domain  gốc và đóng vai trò quản trị  chính cho doanh nghiệp. Nếu bạn có nhiều hơn một domain, mỗi domain  sẽ có một tài khoản  Administrator quan trọng  này. Tài khoản  Administrator tiếp theo chỉ điều khiển điện nguồn ở domain  nhưng cũng có tác động rất manh.

Giới hạn đặc quyền đăng nhập

Bạn không làm được gì nhiều để giới hạn vật lý đặc quyền đăng nhập các tài khoản  Administrator. Tuy nhiên không nên để chúng được sử dụng thường xuyên, cơ bản hàng ngày. Cần giới hạn chúng bằng cách hạn chế số người dùng  biết mật khẩu. Với tài khoản  Administrator liên quan đến Active Directory, tốt hơn hết là không để cho người dùng  nào biết toàn bộ mật khẩu. Điều này có thể thực hiện dễ dàng với hai tài khoản  Administrator khác nhau, chỉ nhập một phần mật khẩu, và dùng một tài liệu  dẫn dắt đến các phần chứa mật khẩu  đó. Nếu tài khoản  chưa cần phải dùng đến, cả hai phần dữ liệu  của mật khẩu  có thể được giữ nguyên. Một lựa chọn khác là sử dụng chương trình  tự động tạo mật khẩu, có thể tạo ra mật khẩu  tổng hợp.

Giới hạn khả năng truy cập  Administrator cục bộ

Cho dù bạn có cho phép người dùng  tiêu chuẩn quyền “admin access” (truy cập với vai trò admin) vào máy tính  của họ hay không, bạn vẫn cần giới hạn quyền truy cập  tài khoản  Administrator cục bộ. Có hai cách dễ dàng là thay đổi tên tài khoản  Administrator local hoặc thay đổi mật khẩu  thường xuyên. Có một nhóm các đối tượng Group Policy Object (GPO) cho từng kiểu thiết lập này. Đầu tiên là vào Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options như trong Hình 1. Phần chính sách bạn muốn cầu hình là Accounts: Rename Administrator Account (thay đổi lại tên tài khoản  Administrator).

Hình 1: Cấu hình lại để thay đổi tên cho tài khoản  Administrator

Chính sách thứ hai  bạn cần để cấu hình là các thiết lập policy mới sẽ ra mắt vào cuối năm 2007. Chính sách này là một phần trong bộ PolicyMaker, được đặt trong Computer Configuration|Windows Settings|Control Panel|Local Users and Groups như minh họa ở Hình 2.

Hình 2: Cấu hình để thiết lập lại mật khẩu  cho tài khoản  Administrator cục bộ

Chú ý: Điều này không ngăn cản được người dùng  tiêu chuẩn điều khiển định kỳ tài khoản. Chỉ có một cách thực hiện điều này là loại bỏ họ khỏi quyền admin control  trên máy tính.

Như đã nói ở trên, tài khoản  Administrator không nên sử dụng hàng ngày. Do đó, không có lý do  gì để cấu hình cho phép tài khoản  này truy cập  trên toàn bộ mạng. Một cách hay để giới hạn là không cho phép tài khoản  Administrator truy cập  server  và domain  controller qua mạng. Bạn có thể thực hiện điều này dễ dàng bằng thiết lập GPO, nằm trong Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment như Hình 3. Thiết lập bạn nên cấu hình có tên “Deny Access  to this computer  from Network” (Từ chối truy cập  mạng trên máy tính  này).

Hình 3: Cấu hình từ chối quyền truy cập  mạng bằng tài khoản  Administrator trên máy tính.

Các cấu hình khác

Nếu bạn là người rất tỉ mỉ trong việc giới hạn quyền truy cập  tài khoản  Administrator trên mạng của công ty, bạn có thể tham khảo thêm một số chi tiết sau:

• Không dùng tài khoản  Administrator như là một tài khoản  dịch vụ.

• Từ chối truy cập  Terminal Services trên server  hoặc domain  controller.

• Từ chối khả năng đăng nhập như một dịch vụ  trên server  và domain  controller cho tài khoản  Administrator.

• Từ chối đăng nhập như một job  batch (công việc theo lô) cho tài khoản  Administrator.

Các thiết lập này sẽ giới hạn phạm vi tác động của tài khoản  Administrator trên máy tính  hay trên mạng. Chúng không ngăn cản người dùng  có đặc quyền admin cấu hình quyền truy cập. Trong trường hợp này bạn cần thiết lập chế độ kiểm soát cả hai kiểu cấu hình của Administrator, cũng như khi tài khoản  này được dùng để đăng nhập và sử dụng User Rights. Các cấu hình này được hoàn chỉnh với việc sử dụng GPO. Bạn có thể tìm thấy chúng trong Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy như Hình 4.

Hình 4: Thiết lập chính sách kiểm định việc dùng và quản lý tài khoản.

Tóm tắt

Administrator là tài khoản  mạnh nhất, có tác động lớn nhất trong thế giới  của hệ điều hành  Windows. Nhưng cũng do tác động lớn của nó mà bạn nên giới hạn chỉ dùng khi thực sự cần đến nó. Như trong việc phục hồi nếu gặp sự cố hay cấu hình ban đầu. Để thực hiện hoạt động  giới hạn này, bạn cần đến các thiết lập bổ sung kiểm soát quyền sử dụng và truy cập  Administrator. Group Policy là cơ chế có tác dụng phân phối các thiết lập hạn chế đặc quyền tới tất cả các máy tính  cần giới hạn Administrator. Chỉ cần các thiết lập được tạo một cách phù hợp, tài khoản  Administrator sẽ được kiểm soát, không chỉ trong hoạt động  mà ngay cả khi muốn theo dõi nếu có kẻ xâm phạm nào đó muốn tấn công  mạng của bạn mà không cần tài khoản  nào

Hiện tại chưa có bình luận nào về bài viết Điều khiển đặc quyền tài khoản Administrator!

Bạn có ý kiến gì về bài viết Điều khiển đặc quyền tài khoản Administrator này? Hãy gởi suy nghĩ, bình luận, đánh giá, lời khuyên ... của bạn về bài viết Điều khiển đặc quyền tài khoản Administrator bạn tại đây.