3.

Access Control: Authentication: Password Policies

Activity 1: (Create a new user)
- Log on to the system as Admin (leave password blank).
- Click Start Control PanelUsers Accounts
- Click Create a New Account, which will allow you to create a new user.
- Enter the following information that is in bold:
Screen 1:
Enter the information for the new user.
User name: user1
**CLICK NEXT**
Screen 2:
Pick an Account Type
Select: Limited
**CLICK CREATE ACCOUNT**
Screen 3:
**Select account you just created**
**CLICK CREATE PASSWORD**
Screen 4:
New Password: user1
Confirm: user1
**CLICK CREATE PASSWORD
Activity 2: (Password Policy Settings for Length)
Step One:
- Continuing in Control PanelAdministrative ToolsLocal Security Policy.

- Expand Account Policies.

- Click on the Password Policy option.

**IMPORTANT**
Make sure all values (except maximum password age) is either 0 or Disabled
- Double-click Minimum password length.
- In the Minimum password length properties window, change the value from 0
to 9.

- Click OK.
- Close ALL windows and log off as Admin.
Step Two:
- Log on as User1 (use password created in Activity 1.)

- StartControl Panel(switch to Classic View if necessary) User Accounts.

- Click Change password…, for User1.
- Type in the following information that's bold:
Old Password: user1
New Password: password
Confirm New Password: password
**CLICK Change Password**
5. You will receive a message.
QUESTION?
What is the message you received? (Write this message down.)*

6. Try assigning password1 as the new password.

QUESTION?
Was password1 successful?

7. Close ALL windows and Log off as user1.

Activity 3: (Password Policy Settings for Complexity)
Step One:
- Log on to the system as an Admin (leave password blank).
- Click StartControl PanelAdministrative ToolsLocal Security Policy.
- Expand Account Policies (if not already).
- Click on the Password Policy option.
- Double-click Passwords must meet complexity requirements.
- Click the Enable radio button.

- Click OK.
- Close ALL windows and log off as Admin.
Step Two:
- Log on as User1 (password is set as password1.)
- StartControl PanelUser Accounts.
- Click Change my password…, for User1.
- Type in the following information that is in bold:
Old Password: password1
New Password: password
Confirm New Password: password

**CLICK Change Password**

- You will receive a message.
QUESTION?
What is the message you received? (Write this message down.)*
- Try assigning Password1 as the new password. (Was this successful?)

Note: the old password is still password1.

- Close ALL windows and log off as user1.
QUESTION?
List all possible settings that can be configured for the Windows XP Local Password
Policy. For each, define and explain why each setting is an important aspect of the
Local
Password Policy.
Trả lời:
Có 6 chính sách đặt mật khẩu cục bộ cho Windows XP:
- Enforce password history (thực thi lịch sử mật khẩu): Cài đặt bảo mật này xác
định số lượng mật khẩu mới duy nhất phải được liên kết với tài khoản người
dùng trước khi mật khẩu cũ có thể được sử dụng lại. Giá trị phải nằm trong
khoảng từ 0 đến 24 mật khẩu. Chính sách này cho phép quản trị viên tăng
cường bảo mật bằng cách đảm bảo rằng mật khẩu cũ không được sử dụng lại
liên tục.
- Maximum password age (tuổi mật khẩu tối đa): Cài đặt bảo mật này xác định
khoảng thời gian (tính theo ngày) mà mật khẩu có thể được sử dụng trước khi
hệ thống yêu cầu người dùng thay đổi mật khẩu. Bạn có thể đặt mật khẩu hết
hạn sau một số ngày từ 1 đến 999 hoặc bạn có thể chỉ định rằng mật khẩu
không bao giờ hết hạn bằng cách đặt số ngày là 0. Nếu tuổi mật khẩu tối đa là
từ 1 đến 999 ngày, tuổi mật khẩu tối thiểu phải nhỏ hơn tuổi mật khẩu tối đa.
Nếu tuổi mật khẩu tối đa được đặt thành 0, tuổi mật khẩu tối thiểu có thể là bất
kỳ giá trị nào trong khoảng từ 0 đến 998 ngày. Cách tốt nhất là bảo mật mật
khẩu hết hạn sau mỗi 30 đến 90 ngày, tùy thuộc vào môi trường của bạn. Bằng
cách này, kẻ tấn công có một khoảng thời gian giới hạn để bẻ khóa mật khẩu
của người dùng và có quyền truy cập vào tài nguyên mạng của bạn.
 - Minimum password age (tuổi mật khẩu tối thiểu): Cài đặt bảo mật này xác định
khoảng thời gian (tính theo ngày) mà mật khẩu phải được sử dụng trước khi
người dùng có thể thay đổi mật khẩu. Bạn có thể đặt giá trị trong khoảng từ 1
đến 998 ngày hoặc bạn có thể cho phép thay đổi ngay lập tức bằng cách đặt số
ngày thành 0. Tuổi mật khẩu tối thiểu phải nhỏ hơn tuổi Mật khẩu tối đa, trừ
khi tuổi mật khẩu tối đa được đặt thành 0, cho biết mật khẩu sẽ không bao giờ
hết hạn. Nếu tuổi mật khẩu tối đa được đặt thành 0, tuổi mật khẩu tối thiểu có
thể được đặt thành bất kỳ giá trị nào trong khoảng từ 0 đến 998. Định cấu hình
tuổi mật khẩu tối thiểu là hơn 0 nếu bạn muốn Thực thi lịch sử mật khẩu có
hiệu lực. Nếu không có tuổi mật khẩu tối thiểu, người dùng có thể quay vòng
mật khẩu nhiều lần cho đến khi họ đạt được mục yêu thích cũ. Nếu lịch sử mật
khẩu được đặt thành 0, người dùng không phải chọn mật khẩu mới. Vì lý do
này, thực thi lịch sử mật khẩu được đặt thành 1 theo mặc định.
- Minimum password length (độ dài mật khẩu tối thiểu): Cài đặt bảo mật này xác
định số lượng ký tự ít nhất mà mật khẩu cho tài khoản người dùng có thể chứa.
Bạn có thể đặt giá trị từ 1 đến 14 ký tự hoặc bạn có thể thiết lập rằng không yêu
cầu mật khẩu bằng cách đặt số lượng ký tự thành 0.
- Password must meet complexity requirements (mật khẩu phải đáp ứng các yêu
cầu phức tạp): Cài đặt bảo mật này xác định liệu mật khẩu phải đáp ứng các
yêu cầu phức tạp. Nếu chính sách này được bật, mật khẩu phải đáp ứng các yêu
cầu tối thiểu sau:
+ Không chứa tên tài khoản của người dùng hoặc các phần của tên đầy đủ của
người dùng vượt quá hai ký tự liên tiếp
+ Có ít nhất sáu ký tự
+ Ký tự viết hoa tiếng Anh (A đến Z)
+ Ký tự chữ thường tiếng Anh (a đến z)
+ 10 chữ số cơ bản (0 đến 9)
+ Các ký tự không phải là chữ cái (ví dụ:!, $, #,%)
Yêu cầu phức tạp được thi hành khi mật khẩu được thay đổi hoặc tạo.
- Store passwords using reversible encryption (lưu mật khẩu bằng mã hóa đảo
ngược): Cài đặt bảo mật này xác định xem hệ điều hành có lưu trữ mật khẩu
bằng mã hóa đảo ngược hay không. Chính sách này cung cấp hỗ trợ cho các
ứng dụng sử dụng giao thức yêu cầu kiến thức về mật khẩu của người dùng cho
mục đích xác thực. Lưu trữ mật khẩu bằng mã hóa đảo ngược về cơ bản giống
như lưu trữ các phiên bản văn bản gốc của mật khẩu. Vì lý do này, chính sách
này sẽ không bao giờ được kích hoạt trừ khi các yêu cầu ứng dụng lớn hơn nhu
cầu bảo vệ thông tin mật khẩu.
Activity 4: (Setting an Account Lockout Policy)
Step One:
- Log on to the system as an Admin (leave password blank).
- Click StartControl PanelAdministrative ToolsLocal Security Policy.
- Expand Account Policies (if not already).
- Click Account Lockout Policy.
**IMPORTANT**
Make sure the value for Account lockout threshold is 0.

- Double-click Account lockout threshold.

- In the Account lockout threshold properties window, change the invalid logon
attempts
to 3.
- Click OK.
- You will be prompted with the Suggested Value Changes window.
- Click OK to accept default settings.
- Close ALL windows and log off as Admin.
Step Two:
- Log on as user1, OMITTING THE PASSWORD three times.
- Log on a fourth time.
- You will receive a message.
QUESTION?
What is the message you received? (Write this message down.)*

- Click OK.
Step Three: (Unlocking a user account as an Administrator.)
- Log on to the system as an Admin (leave password blank).
- Click StartControl PanelAdministrative ToolsComputer Management.
- Expand Local Users and Groups.
- Click Users.
- Double click on the name of the user who is locked out, user1.
- Uncheck the option that says Account is locked out.

- Click the OK button.

- Close ALL open windows.
Step Four: (Removing user1 account)
- Click StartControl PanelUsers Accounts
- Click on user1.
- Click the Delete Account button, which will remove user.

- Click Delete files.

- Click Delete Account.

- Close ALL windows and log off the machine.

QUESTION?
List all possible settings that can be configured for the Windows XP Account Lockout
Policy. For each, define and explain why each setting is an important aspect of the
Account Lockout Policy.
Có 3 chính sách khóa tài khoản:
- Account lockout duration (thời hạn khóa tài khoản): Cài đặt bảo mật này xác
định số phút tài khoản bị khóa vẫn bị khóa trước khi tự động được mở khóa.
Phạm vi có sẵn là từ 0 phút đến 99.999 phút. Nếu bạn đặt thời lượng khóa tài
khoản thành 0, tài khoản sẽ bị khóa cho đến khi quản trị viên mở khóa rõ ràng.
Nếu ngưỡng khóa tài khoản được xác định, thời lượng khóa tài khoản phải lớn
hơn hoặc bằng thời gian đặt lại. Chính sách này chỉ có ý nghĩa khi ngưỡng
khóa tài khoản được chỉ định.
- Account lockout threshold (ngưỡng khóa tài khoản): Cài đặt bảo mật này xác
định số lần đăng nhập thất bại khiến tài khoản người dùng bị khóa. Không thể
sử dụng tài khoản bị khóa cho đến khi được quản trị viên đặt lại hoặc cho đến
khi hết thời gian khóa tài khoản. Bạn có thể đặt giá trị từ 0 đến 999 lần đăng
nhập thất bại. Nếu bạn đặt giá trị thành 0, tài khoản sẽ không bao giờ bị khóa.
Các lần thử mật khẩu không thành công đối với các máy trạm hoặc máy chủ
thành viên đã bị khóa bằng cách sử dụng CTRL + ALT + DELETE hoặc trình
bảo vệ màn hình được bảo vệ bằng mật khẩu được tính là các lần đăng nhập
thất bại.
- Reset account lockout counter after (đặt lại bộ đếm khóa tài khoản sau thời
gian...): Cài đặt bảo mật này xác định số phút phải trôi qua sau lần đăng nhập
thất bại trước khi bộ đếm cố gắng đăng nhập thất bại được đặt lại thành 0 lần
đăng nhập xấu. Phạm vi có sẵn là 1 phút đến 99 999 phút. Nếu ngưỡng khóa tài
khoản được xác định, thời gian đặt lại này phải nhỏ hơn hoặc bằng thời lượng
khóa tài khoản. Chính sách này chỉ có ý nghĩa khi ngưỡng khóa tài khoản được
chỉ định.