一����、設(shè)置安全強壯密碼的原則
操作系統(tǒng)的密碼(口令)十分重要�����,它是抵抗攻擊的第一道防線��,我們必須把密碼安全作為安全策略的第一步。如果攻擊者未能竊取到系統(tǒng)密碼���,那么他就不能很好地和系統(tǒng)進行交互信息���,對系統(tǒng)所能采取的入侵的方法也就不多了。因此�����,必須設(shè)置安全強壯的密碼�。所有安全強壯的密碼至少要有下列四方面內(nèi)容的三種:
大寫字母
小寫字母
數(shù)字
非字母數(shù)字的字符,如標(biāo)點符號等
安全的密碼還要符合下列的規(guī)則
不使用普通的名字或昵稱
不使用普通的個人信息���,如生日日期
密碼里不含有重復(fù)的字母或數(shù)字
至少使用八個字符
另外�,應(yīng)該還要求用戶42天必須修改一次密碼�。
以下舉例說明強壯密碼的重要性:假設(shè)密碼設(shè)置為6位(包括任意五個字母和一位數(shù)字或符號)���,則其可能性將近有163億種���。不過這只是是理論估算,實際上密碼比這有規(guī)律得多����。例如����,英文常用詞條約5000條��,從5000個詞中任取一個字母與一個字符合成口令����,僅有688萬種可能性,在一臺賽揚600(CPU主頻)的計算機上每秒可運算10萬次���,則破解時間僅需1分鐘���!即使采用窮舉方法,也只需9個小時����;因此6位密碼十分不可靠。而對于8位密碼(包括七個字母和一位數(shù)字或符號)來說��,若完全破解��,則需要將近三年的時間�����。因此,密碼不要用全部數(shù)字���,不要用自己的中英文名�,不要用字典上的詞���,一定要數(shù)字和字母交替夾雜����,并最好加入@#$%!&*?之類的字符����。
二、如何強制使用安全強壯的密碼
WindowsNT/2000系統(tǒng)在默認(rèn)配置下允許任何字符或字符串作為密碼����,包括空格,這是相當(dāng)不安全的���,下面我們通過修改注冊表使得用戶設(shè)定的密碼中必須同時包含字母和數(shù)字,從而增強系統(tǒng)的安全性���。具體設(shè)置如下:
首先在“開始”“運行”菜單中輸入regedit.exe程序���,如下圖:
然后進入主鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
新建Network子鍵(項)
在右側(cè)窗口中新建(右鍵選擇“新建”)一個名為AlphanumPwds的雙字節(jié)(操作系統(tǒng)的不同�����,出來的菜單可能有不同���,Dword同樣表示雙字節(jié))值,(右鍵選擇”新建”)
數(shù)值為1即可����。
(注:后面將會有大量操作注冊表的描述,過程如上圖大致類似����,就不再采用圖示。)注冊表各項解釋如下:
名稱: 指某個值的標(biāo)示名�,比如上圖的AlphanumPwds 。
類型: 指該名稱的數(shù)據(jù)類型��,共有三種:REG_SZ 字符串型����,它的數(shù)據(jù)可以是字符串�����;REG_BINARY 二進制數(shù)據(jù)類型��,它的數(shù)據(jù)就只能是0和1的組合�; REG_DWORD 是雙字節(jié)數(shù)據(jù)類型��,它的數(shù)據(jù)可以是十六進制數(shù)據(jù)���。
數(shù)據(jù): 表示該值的內(nèi)容�。
我們還可以在密碼策略中進行相關(guān)的設(shè)置�����。
在”控制面板” “管理工具” “本地安全策略” “帳戶策略”中的”密碼策略”�。
雙擊想要更改的項目,比如修改密碼長度最小值:
點確定就可以了�。
按照上面的步驟作如下設(shè)置:
密碼復(fù)雜性要求 啟用
密碼長度最小值 8位
強制密碼歷史 5次
強制密碼歷史 42天
注:后兩項會因操作系統(tǒng)的不同,設(shè)置名稱等會不盡相同�,但意義都一樣。
最后�,請重新啟動計算機生效。
三、如何設(shè)置安全的帳號策略
對于Windows NT系統(tǒng)而言�,帳號策略的設(shè)置是通過域用戶管理器來實施的�,從用戶管理器的菜單中選擇用戶權(quán)限,可以設(shè)置密碼使用時間�,長度以及連續(xù)登錄失敗后的鎖定機制等。具體方法是:
在上面的本地安全策略編輯器里�,打開”帳戶策略”,配置如下圖所示:
四��、系統(tǒng)文件權(quán)限的分類
當(dāng)要給文件設(shè)置權(quán)限的時候�����,要首先保證該分區(qū)格式為NTFS(Windows NT的文件系統(tǒng))����,當(dāng)然你也可以使用文件分配表(FAT)格式,但是FAT文件系統(tǒng)沒有對文件的訪問權(quán)限加以任何限制��,F(xiàn)AT只在那些相對來講對安全要求較低的情況下使用�。在NTFS文件系統(tǒng)中,可以使用權(quán)限對單個文件進行保護����,并且可以把該權(quán)限應(yīng)用到本地訪問和網(wǎng)絡(luò)訪問中。在NTFS文件系統(tǒng)上,可以對文件設(shè)置文件權(quán)限����,對目錄設(shè)置目錄權(quán)限,用于指定可以訪問的組和用戶以及允許的訪問等級時���。
如果實施了NTFS的文件系統(tǒng)格式��,可通過系統(tǒng)的資源管理器直接來管理文件的安全�,設(shè)置目錄或文件的權(quán)限�����。
以regedit.exe文件為例���,右鍵選擇“屬性”�,
在“安全”標(biāo)簽里面選擇不同組的名稱����,就可以更改配置他們對該文件的操作權(quán)限。
基于文件級的權(quán)限可以分配下面幾種:讀���。ㄓ脩艨梢宰x取該文件的內(nèi)容)��,寫入(用戶可以寫入數(shù)據(jù)到該文件中)���,讀取及執(zhí)行(用戶可以執(zhí)行該程序)����,修改(用戶可以修改該文件內(nèi)容����,包括刪除)�,完全控制(以上所有權(quán)限都有)。因此��,適當(dāng)?shù)貫椴煌瑱?quán)限的帳號分配相應(yīng)的訪問權(quán)限(在”允許”���,”拒絕”欄分別打勾����,如下圖)對于文件系統(tǒng)的安全是致關(guān)重要的���。
五���、如何保護注冊表的安全
Windows NT/2000中的注冊表(Registry)是一系列的數(shù)據(jù)庫文件,主要存儲在 系統(tǒng)安裝目錄\ System32\Config下,有些注冊表文件建立和存儲在內(nèi)存中�����,這些文件的備份也存儲在 系統(tǒng)安裝目錄\Repair下��。由于所有配置和控制系統(tǒng)數(shù)據(jù)最終都存在于注冊表中�,而且Registry的缺省權(quán)限設(shè)置是對“所有人”“完全控制”(FullControl)和“創(chuàng)建”(Create),這種設(shè)置可能會被惡意用戶刪除或者替換掉注冊表(Registry)文件�����。所以��,如果注冊表權(quán)限沒有設(shè)置好的話���,整個 Windows NT/2000的系統(tǒng)就不安全����,因此我們必須控制注冊表的訪問權(quán)����。
對于注冊表(Registry),建議應(yīng)嚴(yán)格限制只能在本地進行注冊�,不能被遠程訪問�����,限制對注冊表(Registry)編輯工具的訪問�。具體可以利用文件管理器設(shè)置只允許網(wǎng)絡(luò)管理員使用注冊表編輯工具regedit.exe或regedt32.exe�����,其他任何用戶不得使用���;還可使用第三方工具軟件,比如Enterprise Administrator (Mission Critical Software)來鎖住注冊表(Registry)����;蛘甙褜ψ员砣笔〉乃杏脩舳寄堋巴耆刂啤钡臋(quán)利改成只能“讀取”�����。
在“開始”“運行”里面輸入regedt32如下圖:
假設(shè)我們將HKEY_CURRENT_USER支更改成一般用戶只能讀�,在菜單中選擇“安全”“權(quán)限” 如下圖:
選擇組用戶users(在win2000系統(tǒng)中默認(rèn)uers是一般用戶,如果在上面列表中沒有定義users組權(quán)限�,可以選擇”添加”按紐,將該組進行權(quán)限設(shè)置)
同時���,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg這個鍵應(yīng)該只允許Administrators組成員訪問��。修改方法參照上圖�。
為了能識別用戶,防止匿名登陸���,應(yīng)該在HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\LSA 下新建一個DWORD(雙字節(jié))類型的RestrictAnonymous項���,并設(shè)置其值為1(具體操作請參考上面的圖示)。
實際上���,如果把用戶操作注冊表的這種權(quán)利設(shè)置成“只讀”����,將會給一些應(yīng)用軟件帶來許多潛在的功能性問題�,比如Dlexpert(下載專家,一個下載軟件)�,在下載的時候會將當(dāng)前下載地址等信息寫入到注冊表里面,如果在設(shè)置了注冊表權(quán)限的機器上運行該程序�����,會出現(xiàn)下載地址無法保存的現(xiàn)象����,解決辦法就是使用regedt32軟件將用戶權(quán)限更改回去��,在這里�,我們建議在重要服務(wù)器上不要安裝和運行其他非系統(tǒng)的軟件�。
來源:巨靈鳥 歡迎分享本文
