一���、設置安全強壯密碼的原則
操作系統的密碼(口令)十分重要��,它是抵抗攻擊的第一道防線���,我們必須把密碼安全作為安全策略的第一步���。如果攻擊者未能竊取到系統密碼��,那么他就不能很好地和系統進行交互信息,對系統所能采取的入侵的方法也就不多了。因此���,必須設置安全強壯的密碼。所有安全強壯的密碼至少要有下列四方面內容的三種:
大寫字母
小寫字母
數字
非字母數字的字符,如標點符號等
安全的密碼還要符合下列的規則
不使用普通的名字或昵稱
不使用普通的個人信息,如生日日期
密碼里不含有重復的字母或數字
至少使用八個字符
另外,應該還要求用戶42天必須修改一次密碼。
以下舉例說明強壯密碼的重要性:假設密碼設置為6位(包括任意五個字母和一位數字或符號)�����,則其可能性將近有163億種���。不過這只是是理論估算���,實際上密碼比這有規律得多�����。例如,英文常用詞條約5000條��,從5000個詞中任取一個字母與一個字符合成口令���,僅有688萬種可能性�����,在一臺賽揚600(CPU主頻)的計算機上每秒可運算10萬次���,則破解時間僅需1分鐘��!即使采用窮舉方法,也只需9個小時��;因此6位密碼十分不可靠���。而對于8位密碼(包括七個字母和一位數字或符號)來說�����,若完全破解�����,則需要將近三年的時間��。因此��,密碼不要用全部數字,不要用自己的中英文名,不要用字典上的詞��,一定要數字和字母交替夾雜���,并最好加入@#$%!&*?之類的字符��。
二�����、如何強制使用安全強壯的密碼
WindowsNT/2000系統在默認配置下允許任何字符或字符串作為密碼,包括空格,這是相當不安全的�����,下面我們通過修改注冊表使得用戶設定的密碼中必須同時包含字母和數字��,從而增強系統的安全性���。具體設置如下:
首先在“開始”“運行”菜單中輸入regedit.exe程序���,如下圖:
然后進入主鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
新建Network子鍵(項)
在右側窗口中新建(右鍵選擇“新建”)一個名為AlphanumPwds的雙字節(操作系統的不同�����,出來的菜單可能有不同��,Dword同樣表示雙字節)值,(右鍵選擇”新建”)
數值為1即可���。
(注:后面將會有大量操作注冊表的描述���,過程如上圖大致類似��,就不再采用圖示��。)注冊表各項解釋如下:
名稱: 指某個值的標示名,比如上圖的AlphanumPwds 。
類型: 指該名稱的數據類型���,共有三種:REG_SZ 字符串型,它的數據可以是字符串;REG_BINARY 二進制數據類型,它的數據就只能是0和1的組合�����; REG_DWORD 是雙字節數據類型��,它的數據可以是十六進制數據�����。
數據: 表示該值的內容。
我們還可以在密碼策略中進行相關的設置。
在”控制面板” “管理工具” “本地安全策略” “帳戶策略”中的”密碼策略”�����。
雙擊想要更改的項目�����,比如修改密碼長度最小值:
點確定就可以了���。
按照上面的步驟作如下設置:
密碼復雜性要求 啟用
密碼長度最小值 8位
強制密碼歷史 5次
強制密碼歷史 42天
注:后兩項會因操作系統的不同��,設置名稱等會不盡相同,但意義都一樣。
最后,請重新啟動計算機生效。
三、如何設置安全的帳號策略
對于Windows NT系統而言,帳號策略的設置是通過域用戶管理器來實施的���,從用戶管理器的菜單中選擇用戶權限���,可以設置密碼使用時間��,長度以及連續登錄失敗后的鎖定機制等��。具體方法是:
在上面的本地安全策略編輯器里,打開”帳戶策略”���,配置如下圖所示:
四、系統文件權限的分類
當要給文件設置權限的時候��,要首先保證該分區格式為NTFS(Windows NT的文件系統)�����,當然你也可以使用文件分配表(FAT)格式�����,但是FAT文件系統沒有對文件的訪問權限加以任何限制,FAT只在那些相對來講對安全要求較低的情況下使用�����。在NTFS文件系統中�����,可以使用權限對單個文件進行保護��,并且可以把該權限應用到本地訪問和網絡訪問中���。在NTFS文件系統上��,可以對文件設置文件權限���,對目錄設置目錄權限�����,用于指定可以訪問的組和用戶以及允許的訪問等級時���。
如果實施了NTFS的文件系統格式���,可通過系統的資源管理器直接來管理文件的安全���,設置目錄或文件的權限�����。
以regedit.exe文件為例,右鍵選擇“屬性”���,
在“安全”標簽里面選擇不同組的名稱,就可以更改配置他們對該文件的操作權限�����。
基于文件級的權限可以分配下面幾種:讀������。ㄓ脩艨梢宰x取該文件的內容)�����,寫入(用戶可以寫入數據到該文件中)��,讀取及執行(用戶可以執行該程序)�����,修改(用戶可以修改該文件內容,包括刪除),完全控制(以上所有權限都有)��。因此�����,適當地為不同權限的帳號分配相應的訪問權限(在”允許”���,”拒絕”欄分別打勾�����,如下圖)對于文件系統的安全是致關重要的。
五、如何保護注冊表的安全
Windows NT/2000中的注冊表(Registry)是一系列的數據庫文件��,主要存儲在 系統安裝目錄\ System32\Config下��,有些注冊表文件建立和存儲在內存中�����,這些文件的備份也存儲在 系統安裝目錄\Repair下。由于所有配置和控制系統數據最終都存在于注冊表中,而且Registry的缺省權限設置是對“所有人”“完全控制”(FullControl)和“創建”(Create)�����,這種設置可能會被惡意用戶刪除或者替換掉注冊表(Registry)文件��。所以�����,如果注冊表權限沒有設置好的話,整個 Windows NT/2000的系統就不安全,因此我們必須控制注冊表的訪問權���。
對于注冊表(Registry),建議應嚴格限制只能在本地進行注冊,不能被遠程訪問�����,限制對注冊表(Registry)編輯工具的訪問��。具體可以利用文件管理器設置只允許網絡管理員使用注冊表編輯工具regedit.exe或regedt32.exe�����,其他任何用戶不得使用;還可使用第三方工具軟件,比如Enterprise Administrator (Mission Critical Software)來鎖住注冊表(Registry)���。或者把對注冊表缺省的所有用戶都能“完全控制”的權利改成只能“讀取”。
在“開始”“運行”里面輸入regedt32如下圖:
假設我們將HKEY_CURRENT_USER支更改成一般用戶只能讀��,在菜單中選擇“安全”“權限” 如下圖:
選擇組用戶users(在win2000系統中默認uers是一般用戶���,如果在上面列表中沒有定義users組權限��,可以選擇”添加”按紐�����,將該組進行權限設置)
同時,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg這個鍵應該只允許Administrators組成員訪問���。修改方法參照上圖。
為了能識別用戶,防止匿名登陸�����,應該在HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\LSA 下新建一個DWORD(雙字節)類型的RestrictAnonymous項���,并設置其值為1(具體操作請參考上面的圖示)���。
實際上���,如果把用戶操作注冊表的這種權利設置成“只讀”���,將會給一些應用軟件帶來許多潛在的功能性問題�����,比如Dlexpert(下載專家,一個下載軟件)��,在下載的時候會將當前下載地址等信息寫入到注冊表里面���,如果在設置了注冊表權限的機器上運行該程序���,會出現下載地址無法保存的現象���,解決辦法就是使用regedt32軟件將用戶權限更改回去���,在這里�����,我們建議在重要服務器上不要安裝和運行其他非系統的軟件。
來源:巨靈鳥 歡迎分享本文
