1.15 安全设置操作系统的密码

很多黑客都是从破解系统口令入门的,因此,安全设置系统口令在网络攻防过程尤为重要。即使入侵者获取了系统的密码,但由于破解密码需要花费的时间成本太高,往往会放弃。设定系统口令时,大部分用户都会使用自己熟悉的单词,或者其他习惯使用的数字,如电话号码、生日等,这样做在便于记忆的同时,也悄悄为入侵者打开了方便之门。

1.15.1 系统密码安全隐患与现状

首先我们讨论一下系统密码的安全隐患及现状。

1.口令设置上的漏洞

中国杀毒网记载了一个有趣的心理试验:随机抽出100名在校大学生,要求他们分别写下两个单词,并告诉他们这两个单词是用于计算机的口令,非常重要,且将来的使用率也很高,要求他们尽量慎重考虑,结果却出人意料。

上述测试中,两个单词相同的有21人,相近的有33人。通过这些结果,如果满足字典攻击条件,使用字典攻击成功的可能性就非常高,我们称之为口令设置上的漏洞。

2.社会工程学对口令的攻击

黑客在入侵过程中会利用Google、百度等搜索引擎充分收集被攻击对象的各种资料,在攻击中这些资料将起到辅助作用。

笔者研究发现,在很多网络安全事故中,数据库服务器、FTP服务器、文件服务器、远程终端等均设置为相同的密码。利用社会工程学进行口令猜测,不但可以方便地渗透内网计算机,而且可以获取被入侵者的电子邮箱、QQ等账号所对应的密码。

3.内网渗透中对口令的攻击

内网渗透的思想源于特洛伊木马的思想。堡垒最容易从内部攻破,入侵者为了获得口令可谓煞费苦心,在他们江郎才尽的时候,打入“敌人”内部常常能柳暗花明。为了成功渗透内网,入侵者通常采用如下手段。

4.暴力破解对口令的攻击

当其他道路行不通的时候,入侵者就会尝试暴力破解。对弱口令来说,暴力破解相对较容易;相反,那些设置了很多策略的强口令就需要完备的字典、性能先进的硬件和大量的时间来支持,基本上很难破解。

1.15.2 系统密码安全设置策略

系统密码安全设置策略如下。

1.通过组策略加固密码

在“开始”→“运行”窗口中输入“gpedit.msc”并按“回车”键,就可以打开“组策略”窗口,如图1-90所示。

0086-1

图1-90 打开“组策略”窗口

在“组策略”窗口的左侧展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“密码策略”选项,在右边窗格中就会出现一系列的密码设置项。经过这里的配置,可以建立一个完备的密码策略,使密码得到最大限度的保护,如图1-91所示。

0087-1

图1-91 修改密码的默认策略

(1)密码必须符合复杂性要求

如果启用了这个策略,那么在设置和更改一个密码时,系统将会按照下面的规则检查密码是否有效。

在更改或创建密码时将执行复杂性要求。启用了这个策略,相信密码就会比较安全了,因为系统会强制使用这种安全性较高的密码。如果在创建或修改密码时没有达到这个要求,系统会给出提示并要求重新输入符合要求的安全密码。

(2)密码长度最小值

此安全设置确定了用户账户密码的最少字符数。可以将值设置为1到14个字符,或者将字符数设置为“0”以确定不需要密码(这是系统的默认值)。从安全的角度考虑,允许不需要密码的用户存在是非常危险的。建议密码长度不小于6位。

(3)密码最长存留期

此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)。可以将密码设置为在某些天数(1到999)后到期,或者将天数设置为0(密码永不过期)。如果密码最长使用期限介于1到999天,密码最短使用期限必须小于密码最长使用期限。如果将密码最长使用期限设置为0,则可以将密码最短使用期限设置为0到998天之间的任何值。

注意

最佳操作是将密码设置为30到90天后过期,具体取决于用户的环境。这样,攻击者用来破解用户密码及访问网络资源的时间将受到限制。

(4)强制密码历史

这个设置决定了保存用户曾经用过的密码个数。很多人都知道经常更换密码是个好方法,这样可以提高密码的安全性,但由于个人习惯,更换的常常是有限的几个密码。配置这个策略可以让系统记住用户曾经使用的密码,如果更换的新密码与系统“记忆”中的重复,系统就会给出提示。默认情况下,这个策略不保存用户的密码,用户可以根据自己的习惯进行设置,建议保存5个以上(最多可以保存24个)的密码。

(5)密码最短使用期限

此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置一个介于1到998的值,或者将天数设置为0(允许立即更改密码)。

密码最短使用期限必须小于密码最长使用期限,除非将密码最长使用期限设置为0(密码永不过期)。如果将密码最长使用期限设置为0,则可以将密码最短使用期限设置为0到998之间的任何值。

如果希望“强制密码历史”有效,需要将密码最短使用期限设置为大于0的值。如果没有设置密码最短使用期限,用户则可以循环选择密码,直到获得期望的旧密码。默认设置没有遵从此建议,以便管理员能够为用户指定密码,然后要求用户在登录时更改由管理员定义的密码。如果将密码历史设置为0,用户将不必选择新密码。因此,默认情况下将“强制密码历史”的值设置为1。

(6)为域中所有用户使用可还原的加密来存储密码

使用此安全设置确定操作系统是否使用可还原的加密来储存密码。此策略为某些应用程序提供支持,这些应用程序使用的协议需要用户密码进行身份验证。使用可还原的加密储存密码与储存纯文本密码在本质上是相同的。因此,除非应用程序的需求比保护密码信息更重要,否则不要启用此策略。

从上面这些设置项中我们不难得到一个最为简单有效的密码安全方案,即启用“密码必须符合复杂性要求”策略,然后设置“密码最短存留期”,最后开启“强制密码历史”。设置完成后,在“控制面板”中重新设置管理员的密码,这时的密码不仅本身是安全的(不低于6位且包含不同类别的字符),而且以后修改密码时也不易出现与以前重复的情况,这样的系统密码安全性非常高。

2.密码设置技巧

1.15.3 系统密码安全检查与防护

下面讨论系统密码安全检查与防护的常用手段。

1.用户与密码检测

要经常查看系统的用户是否正常,是否被添加了新的用户或者被提升了权限。

在“开始”→“运行”窗口中输入“cmd”并按“回车”键,在窗口中输入命令“net user”查看是否被添加了新用户,然后输入命令“net localgroup administrators”查看是否有用户被提升了管理员权限。如图1-92所示,在本例中仅存在一个管理员Administrator。如果存在多个具有管理员权限的用户,则说明系统极有可能被人入侵了。

0089-1

图1-92 查看管理员组中的用户

2.系统用户登录日志检测

日志文件作为操作系统中的一个特殊文件,在安全方面具有无可替代的价值。它每天都为我们忠实地记录系统中发生的一切事件,利用它可以快速对潜在的系统入侵进行记录和预测。下面介绍如何使用日志管理器来设置和查看安全事件。

01 打开日志管理器

依次单击“开始”→“程序”→“管理工具”→“事件查看器”选项,如图1-93所示。

0090-1

图1-93 打开事件查看器

02 设置日志属性

如图1-94所示,在“系统 属性”对话框的“常规”选项卡中可以对日志的大小、时间进行设置,如果发现日志记录不是在这个范围内,那么系统可能就被人“闯入”,而且修改了日志。

03 使用筛选器记录日志审核结果

打开筛选器,对日志中的事件类型等进行筛选。如图1-95所示,选中所有的时间类型,这样系统中发生的事件将会自动记录在案。

0090-2

图1-94 修改日志默认设置

0090-3

图1-95 使用筛选器记录事件

属性设置好后,就可以查看日志了,从中我们可以发现入侵者的蛛丝马迹。为了预防入侵者对日志的破坏,我们要定期对日志进行备份,如果有需要,还可以恢复之前的日志文件。