Page 25 - Hướng Dẫn Cách Phòng Thủ Và Khắc Phục Sự Cố Máy Tính
P. 25
Những người tạo và quản lý account (đặc biệt là
những account hệ thổhg - System accounts, và account
vận hành, kiểm soát các dịch vụ - Service accounts) cho
toàn bộ tô chức là những người được xem là an toàn tuyệt
đốỉ. Disable những account tạm thòi chưa sử dụng, delete
những account không còn sử dụng.
Tránh việc dùng chung Password cho nhiều account
Khóa (lock) account sau một số lần người sử dụng log-
on không thành công vào hệ thống.
Có thể không cho phép một sô" account quản trị hệ thống
và dịch vụ, không được log-on từ xa (remote location log-on),
vì những hệ thống và dịch vụ này rất quan trọng và thông
thường chỉ cho phép được kiểm soát từ bên trong (internal
Netxvork), nếu có nhu cầu quản trị và support từ xa Security
Admin vẫn dễ dàng thay đổi chính sách để đáp ứng nhu cầu.
Các Security admin khi log-on vào Server chỉ nên dùng
account có quyền hạn thấp, khi cần quản trị hay vận hành
các dịch vụ, mói nên dùng account System hoặc Service (Ví dụ
Microsoft Windows hỗ trỢ command run as thông qua run as
Service để cho phép độc lập quản trị các thành phần của hệ
thông, các dịch vụ mà không cần phải log-on vào máy ban đầu
bằng account admin). Điều này giúp chúng ta tránh đưọc các
chưởng trình nguy hiểm đã lọt vào máy tính chạy với quyền
admin, khi đó các admin thật sự của Computer sẽ gặp nhiều
rắc rốỉ. Và tất cả những lỗ hỗng hệ thông để ngăn chặn các
kiểu tấn công “đặc quyền leo thang” (bắt đầu lọt vào hệ thống
với account thông thường và sau đó leo thang đến quyền cao
nhất).
Trên đây là những phần trực quan nhất mà Admin
Security cần hình dung cụ thể khi thiết kê chính sách bảo
mật account (account security policies). Một trong những
chính sách bảo vệ hệ thông cần phải xem xet kĩ lưỡng nhất
26
