Tweet
Configure User Rights trong Windows Server
Một trong những nguyên tắc quan trọng nhất khi quản trị Windows Server là Principle of Least Privilege (Nguyên tắc đặc quyền tối thiểu). Nguyên tắc này quy định rằng mỗi người dùng hoặc dịch vụ chỉ nên được cấp đúng những quyền cần thiết để thực hiện công việc của mình, không nhiều hơn. Điều này giúp giảm thiểu thiệt hại nếu tài khoản bị xâm phạm hoặc sử dụng sai mục đích.
Ví dụ, một quản trị viên Exchange không nhất thiết phải có quyền Domain Admin. Tương tự, nhân viên Help Desk chỉ nên có quyền reset mật khẩu hoặc mở khóa tài khoản, thay vì có toàn quyền trên Active Directory.
Một thực tiễn bảo mật được Microsoft khuyến nghị là sử dụng các tài khoản riêng biệt cho công việc hàng ngày và công việc quản trị. Chẳng hạn:
Việc sử dụng chung một tài khoản cho cả hai mục đích làm tăng nguy cơ bị đánh cắp thông tin xác thực thông qua phishing, malware hoặc trình duyệt web.
Các quyền của người dùng (User Rights) có thể được cấp thông qua:
Trong Windows Server có nhiều quyền hệ thống quan trọng cần được kiểm soát cẩn thận:
Access this computer from the network
Xác định người dùng hoặc nhóm nào được phép kết nối đến máy tính thông qua mạng. Nếu cấu hình sai, người dùng trái phép có thể truy cập tài nguyên chia sẻ trên máy chủ.
Allow log on locally
Xác định ai được phép đăng nhập trực tiếp vào máy chủ. Đối với các máy chủ quan trọng như Domain Controller, nên giới hạn quyền này cho một số ít quản trị viên.
Allow log on through Remote Desktop Services
Kiểm soát người dùng được phép đăng nhập thông qua RDP. Đây là một quyền nhạy cảm vì phần lớn các cuộc tấn công ransomware thường lợi dụng RDP để xâm nhập hệ thống.
Back up files and directories
Cho phép sao lưu toàn bộ dữ liệu trên máy chủ, ngay cả khi người dùng không có quyền đọc dữ liệu đó. Vì quyền này có thể gián tiếp truy cập mọi dữ liệu trên hệ thống nên chỉ nên cấp cho tài khoản hoặc dịch vụ backup chuyên dụng.
Add workstations to domain
Cho phép đưa máy tính vào miền Active Directory. Nếu không được kiểm soát, kẻ tấn công có thể thêm các thiết bị không được phép vào hệ thống.
Act as part of the operating system
Là một trong những quyền nhạy cảm nhất, cho phép tiến trình giả mạo người dùng mà không cần xác thực. Quyền này gần như không bao giờ nên cấp cho tài khoản người dùng thông thường.
Ngoài việc cấp quyền đúng mức, Windows Server còn cung cấp một số thiết lập bổ sung để tăng cường bảo mật cho tài khoản đặc quyền:
Ngược lại, một số cấu hình sau làm giảm mức độ an toàn của hệ thống và nên tránh sử dụng:
Do not require Kerberos preauthentication
Việc tắt Kerberos Preauthentication khiến tài khoản dễ bị tấn công AS-REP Roasting, cho phép kẻ tấn công lấy dữ liệu xác thực và thực hiện bẻ khóa mật khẩu ngoại tuyến.
Password Never Expires
Mật khẩu không bao giờ hết hạn làm tăng nguy cơ lộ thông tin xác thực trong thời gian dài. Thay vào đó, doanh nghiệp nên áp dụng chính sách mật khẩu mạnh kết hợp MFA và quy trình thay đổi mật khẩu phù hợp.
Use only Kerberos DES encryption types for this account
DES là thuật toán mã hóa đã lỗi thời và có thể bị phá vỡ trong thời gian ngắn bằng năng lực tính toán hiện đại. Các môi trường Windows Server hiện nay nên sử dụng AES 128 hoặc AES 256 cho Kerberos Authentication.
Tóm lại, việc cấu hình User Rights không chỉ là cấp quyền truy cập mà còn là xây dựng một mô hình Zero Trust và Least Privilege cho tài khoản đặc quyền. Tài khoản quản trị cần được tách biệt, giới hạn phạm vi sử dụng và được bảo vệ bằng các cơ chế xác thực hiện đại để giảm thiểu nguy cơ leo thang đặc quyền và chiếm quyền điều khiển hệ thống Windows Server.
Một trong những nguyên tắc quan trọng nhất khi quản trị Windows Server là Principle of Least Privilege (Nguyên tắc đặc quyền tối thiểu). Nguyên tắc này quy định rằng mỗi người dùng hoặc dịch vụ chỉ nên được cấp đúng những quyền cần thiết để thực hiện công việc của mình, không nhiều hơn. Điều này giúp giảm thiểu thiệt hại nếu tài khoản bị xâm phạm hoặc sử dụng sai mục đích.
Ví dụ, một quản trị viên Exchange không nhất thiết phải có quyền Domain Admin. Tương tự, nhân viên Help Desk chỉ nên có quyền reset mật khẩu hoặc mở khóa tài khoản, thay vì có toàn quyền trên Active Directory.
Một thực tiễn bảo mật được Microsoft khuyến nghị là sử dụng các tài khoản riêng biệt cho công việc hàng ngày và công việc quản trị. Chẳng hạn:
- minhdang dùng để đọc email, duyệt web, tham gia Teams.
- adm-minhdang chỉ dùng khi thực hiện các tác vụ quản trị hệ thống.
Việc sử dụng chung một tài khoản cho cả hai mục đích làm tăng nguy cơ bị đánh cắp thông tin xác thực thông qua phishing, malware hoặc trình duyệt web.
Các quyền của người dùng (User Rights) có thể được cấp thông qua:
- Local Security Policy
- Group Policy Object (GPO)
- Active Directory Group Membership
Trong Windows Server có nhiều quyền hệ thống quan trọng cần được kiểm soát cẩn thận:
Access this computer from the network
Xác định người dùng hoặc nhóm nào được phép kết nối đến máy tính thông qua mạng. Nếu cấu hình sai, người dùng trái phép có thể truy cập tài nguyên chia sẻ trên máy chủ.
Allow log on locally
Xác định ai được phép đăng nhập trực tiếp vào máy chủ. Đối với các máy chủ quan trọng như Domain Controller, nên giới hạn quyền này cho một số ít quản trị viên.
Allow log on through Remote Desktop Services
Kiểm soát người dùng được phép đăng nhập thông qua RDP. Đây là một quyền nhạy cảm vì phần lớn các cuộc tấn công ransomware thường lợi dụng RDP để xâm nhập hệ thống.
Back up files and directories
Cho phép sao lưu toàn bộ dữ liệu trên máy chủ, ngay cả khi người dùng không có quyền đọc dữ liệu đó. Vì quyền này có thể gián tiếp truy cập mọi dữ liệu trên hệ thống nên chỉ nên cấp cho tài khoản hoặc dịch vụ backup chuyên dụng.
Add workstations to domain
Cho phép đưa máy tính vào miền Active Directory. Nếu không được kiểm soát, kẻ tấn công có thể thêm các thiết bị không được phép vào hệ thống.
Act as part of the operating system
Là một trong những quyền nhạy cảm nhất, cho phép tiến trình giả mạo người dùng mà không cần xác thực. Quyền này gần như không bao giờ nên cấp cho tài khoản người dùng thông thường.
Ngoài việc cấp quyền đúng mức, Windows Server còn cung cấp một số thiết lập bổ sung để tăng cường bảo mật cho tài khoản đặc quyền:
- Logon Hours: Chỉ cho phép đăng nhập trong khoảng thời gian xác định.
- Logon Workstations: Giới hạn tài khoản chỉ được đăng nhập từ các máy quản trị được chỉ định (Privileged Access Workstations).
- Smart card is required for interactive logon: Yêu cầu xác thực bằng Smart Card hoặc chứng chỉ số.
- Account is sensitive and cannot be delegated: Ngăn tài khoản bị Kerberos Delegation sử dụng.
- Account Expires: Đặt thời hạn sử dụng cho các tài khoản tạm thời hoặc tài khoản nhà thầu.
Ngược lại, một số cấu hình sau làm giảm mức độ an toàn của hệ thống và nên tránh sử dụng:
Do not require Kerberos preauthentication
Việc tắt Kerberos Preauthentication khiến tài khoản dễ bị tấn công AS-REP Roasting, cho phép kẻ tấn công lấy dữ liệu xác thực và thực hiện bẻ khóa mật khẩu ngoại tuyến.
Password Never Expires
Mật khẩu không bao giờ hết hạn làm tăng nguy cơ lộ thông tin xác thực trong thời gian dài. Thay vào đó, doanh nghiệp nên áp dụng chính sách mật khẩu mạnh kết hợp MFA và quy trình thay đổi mật khẩu phù hợp.
Use only Kerberos DES encryption types for this account
DES là thuật toán mã hóa đã lỗi thời và có thể bị phá vỡ trong thời gian ngắn bằng năng lực tính toán hiện đại. Các môi trường Windows Server hiện nay nên sử dụng AES 128 hoặc AES 256 cho Kerberos Authentication.
Tóm lại, việc cấu hình User Rights không chỉ là cấp quyền truy cập mà còn là xây dựng một mô hình Zero Trust và Least Privilege cho tài khoản đặc quyền. Tài khoản quản trị cần được tách biệt, giới hạn phạm vi sử dụng và được bảo vệ bằng các cơ chế xác thực hiện đại để giảm thiểu nguy cơ leo thang đặc quyền và chiếm quyền điều khiển hệ thống Windows Server.
Attached Files