很多黑客的入门都是从破解系统口令开始的,因此安全设置系统口令在网络攻防过程就尤为重要,即使入侵者获取了系统的密码,但由于破解密码所需要花费的时间成本太大,而放弃!当我们设定系统口令时,一般的人都会用自己熟悉的单词,或其它一些习惯用的数字,比如电话号码、生日等,这在便于他们记忆的同时,也在悄悄的为入侵者打开了方便之门。本文就如何设置操作系统密码分别从攻击(社会工程学对口令的攻击,内网渗透,暴力破解)和防护(主要是策略)两个方面作了一次研究,如有疏漏的地方,请多多指正。
(一)系统密码安全隐患与现状研究 1.口令设置上的漏洞
中国杀毒网记载了一个有趣的心理试验:从某在校大学生中随机抽出一百名学生,然后要求他们写下二个单词,并告诉他们这两个单词是用于电脑的口令、非常重要,且将来的使用率也很高,要求他们尽量慎重考虑。
结果却很出人意料:
(1)用自己的中文拼音者最多,有37人。
(2)用常用的英文单词的有23人, 其中许多人都用了很有特定意义的单词,如:hello,good,happy以及anything等等!
(3)用计算机中经常出现的单词有18人,这些单词中还有操作系统的命令,如:system,command,copy,harddisk,mouse,等等!
(4)用自己的出生日期有7人,其中年月日各不相同,但其中有3人用了中国常用的日期表示方法!
上述测试中两个单词相同的有21人,接近相同的有33人,通过这些结果,如果在攻击过程中,满足字典攻击条件时,使用字典攻击成功的可能性非常高,我们称之为口令设置上的漏洞。
2.社会工程学对口令的攻击
黑客在入侵过程中会利用Google、百度等搜索引擎充分收集被攻击对象的各种资料,在攻击中,这些资料将起到辅助作用。通过本人的研究,发现在很多发生网络安全的事故中,很多数据库服务器、Ftp服务器、文件服务器、远程终端等均设置为相同密码,利用社会工程学来进行口令,不但可以很方便的渗透内网计算机,而且可以获取被入侵者的email、qq等帐号对应的密码。
3.内网渗透中对口令的攻击
内网渗透的思想是源于特洛伊木马的思想,堡垒最容易从内部攻破,入侵者为了能够获得口令可谓煞费苦心,在他们江郎才尽的时候,打入“敌人”内部常常能让他们感到柳暗花明。为了能够成功渗透内网,入侵者通常采用如下手段:
(1)通过利用传统手法比如sql注入,漏洞溢出等得到一个分站的服务器权限,然后根据在分站上收集到的邮箱信息、 Ftp信息、网络拓扑信息、管理员常用的管理工具等来渗透到主站。
(2) 通过传送具有诱惑性的木马来获得内网机器的控制权限,这应该算是一种社会工程学与漏洞的结合,比如0day,也就是word或是pdf或是ie0day发挥作用的地方。很多人拿到ie0day是直接用于挂马,其实ie0day还有更高的价值,那就是发邮件,如果管理员被成功的欺骗了并点击了入侵者发的邮件里的url链接,后果就很难预料了,最近BTV-7就介绍了淘宝商店发生的帐号盗用事件,就是通过“网络钓鱼”,让欺骗店主在“淘宝”网站输入用户帐号和密码而欺骗得逞!
(3) 社会工程学的又一次完美诠释:通过各种手段取得内网管理员或用户的信任,获得他的信息,比如QQ,Email,Msn等等,抓住他的弱点,或是心理,降低他的心理防线,在成熟的时候发送Url,或是打包的软件里捆绑木马等,内网将面临又一次的攻击。
4.暴力破解对口令的冲击
当其它道路行不通的时候,入侵者就会尝试暴力破解了,对于弱口令来说,暴力破解相对较容易;相反那些设置了很多策略的强口令就需要很完备的字典,性能先进的硬件和大量的时间来支持,基本上就很难破解了。
(二)系统密码安全设置策略 1.通过组策略来加固密码设置
在“开始”→“运行”窗口中输入“gpedit.msc”并回车就可以打开“组策略”设置窗口。
在“组策略”窗口的左侧展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“密码策略”在右边窗格中就会出现一系列的密码设置项,经过这里的配置,可以建立一个完备的密码策略,使密码得到最大限度的保护。
(1)密码必须符合复杂性要求
如果启用了这个策略,则在设置和更改一个密码时,系统将会按照下面的规则检查密码是否有效:
A.密码不能包含用户的账户名,不能包含用户姓名中超过两个连续字符的部分。
B.至少有六个字符长。
C.包含以下四类字符中的三类字符:英文大写字母(A 到 Z);英文小写字母(a 到 z);10 个基本数字(0 到 9);非字母字符(例如 !、$、#、%)。
在更改或创建密码时将执行复杂性要求,启用了这个策略,相信你的密码就会比较安全了,因为系统会强制你使用这种安全性高的密码。如果你在创建或修改密码时没有达到这个要求,系统会给出提示并要求重新输入符合要求的安全密码。
(2) 密码长度最小值
此安全设置确定用户帐户密码包含的最少字符数。可以将值设置为介于 1 和 14 个字符之间,或者将字符数设置为“ 0”以确定不需要密码,这是系统的默认值,而从安全角度来考虑,允许不需要密码的用户存在是非常危险的。建议密码长度不小于6位。
(3) 密码最长存留期
此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)。可以将密码设置为在某些天数(介于 1 到 999 之间)后到期,或者将天数设置为 0,指定密码永不过期。如果密码最长使用期限介于 1 和 999 天之间,密码最短使用期限必须小于密码最长使用期限。如果将密码最长使用期限设置为 0,则可以将密码最短使用期限设置为介于 0 和 998 天之间的任何值。
注意:安全最佳操作是将密码设置为 30 到 90 天后过期,具体取决于您的环境。这样,攻击者用来破解用户密码以及访问网络资源的时间将受到限制。
(4)强制密码历史
这个设置决定了保存用户曾经用过的密码个数。很多人知道经常更换密码是个好方法,这样可以提高密码的安全性,但由于个人习惯,常常换来换去就是有限的几个密码。配置这个策略就可以让系统记住用户曾经使用过的密码,如果更换的新密码与系统“记忆”中的重复,系统就会给出提示。默认情况下,这个策略不保存用户的密码,可以根据自己的习惯进行设置,建议保存5个以上(最多可以保存24个)
(5)密码最短使用期限
此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置一个介于 1 和 998 天之间的值,或者将天数设置为 0,允许立即更改密码。
密码最短使用期限必须小于密码最长使用期限,除非将密码最长使用期限设置为 0,指明密码永不过期。如果将密码最长使用期限设置为 0,则可以将密码最短使用期限设置为介于 0 和 998 之间的任何值。
如果希望“强制密码历史”有效,则需要将密码最短使用期限设置为大于 0 的值。如果没有设置密码最短使用期限,用户则可以循环选择密码,直到获得期望的旧密码。默认设置没有遵从此建议,以便管理员能够为用户指定密码,然后要求用户在登录时更改管理员定义的密码。如果将密码历史设置为 0,用户将不必选择新密码。因此,默认情况下将“强制密码历史”设置为 1。
(6)为域中所有用户使用可还原的加密来存储密码
使用此安全设置确定操作系统是否使用可还原的加密来储存密码。此策略为某些应用程序提供支持,这些应用程序使用的协议需要用户密码来进行身份验证。使用可还原的加密储存密码与储存纯文本密码在本质上是相同的。因此,除非应用程序需求比保护密码信息更重要,否则绝不要启用此策略。
从上面这些设置项中我们不难得到一个最简单有效的密码安全方案,即首先启用“密码必须符合复杂性要求”策略,然后设置“密码最短存留期”,最后开启“强制密码历史”。设置好后,在“控制面板”中重新设置管理员的密码,这时的密码不仅本身是安全的(不低于6位且包含不同类别的字符),而且以后修改密码时也不易出现与以前重复的情况了,这样的系统密码安全性非常高。
2.密码设置技巧
(1)密码的位数不要少于6位,笔者设置的密码为32位,最好使用大写字母和小写字母、特殊符号和数字的集合;
(2)不要以任何单词、生日、数字、手机号、姓名或者拼音字母做为密码;
(3)密码中的英文字母最好有大小之分;
(4)不要用a、b、c等比较小顺序的字母或数字开头,因为用字典暴力破解的使用,一般都是从数字或英文字母排序开始算的,字母或数字顺序越小,破解的机率就大很多;
(5)也可以用一句话来设定密码,比如说“我是谁,我是我”;
(6)不要让别人很容易的得到你的信息,这包括身份证号码、电话号码、手机号码,等等;
(7)定期更改密码;
(8)不要把密码写在别人可以看到的地方,最好是强记在脑子里,更不能把自己的密码告诉别人,这样对自己对别人都是不负责任的行为。
(三)系统密码安全检查与防护 1.用户与密码检测
要经常查看系统的用户是否正常,是否被添加了新的用户,或者被提升了权限。在“开始”→“运行”窗口中输入“cmd”并回车,在窗口中输入命令:net user以查看是否被添加了新用户,然后再输入命令:“net localgroup administrators”以查看是否有用户被提升了管理员权限,在本例中仅仅存在一个管理员Administrator,如果存在多个管理员权限的用户,则说明系统极有可能被人入侵了!
2.系统用户登录日志检测
日志文件作为操作系统中的一个特殊文件,在安全方面具有无可替代的价值。它每天都为我们忠实地记录下系统所发生一切事件,利用它可以快速对潜在的系统入侵做出记录和预测。下面将介绍如何使用日志管理器来设置和查看安全事件。
(1)打开日志管理器
在“开始”→“程序”→“管理工具”→“事件查看器”。
(2)设置日志属性
鼠标右键点击“系统”属性→常规,可以对日志的大小、时间进行设置,如果发现你的日志记录不是在这个范围内,你的系统可能就被人“闯入”过,而且修改了你的日志。
(3)使用筛选器记录日志审核结果
接着打开筛选器,还可以对日志中的事件类型等进行筛选,选中所有的时间类型,这样系统发生事件后,将会自动记录在案!
属性设置好后,就可以查看日志了,从中我们可以发现入侵者的蛛丝马迹。
为了预防入侵者对日志的破坏我们还要定期对日志备份,如果有需要还可以恢复之前的日志文件。
责任编辑:小草
您现在的位置: 