2023年7月31日发(作者:)
操作系统密码安全隐患及设置研究分析
(一)系统密码安全隐患与现状讨论
1.口令设置上的漏洞
中国杀毒网记载了一个好玩的心理试验:从某在校大学生中随机抽出一百名学生,然后要求他们写下二个单词,并告知他们这两个单词是用于电脑的口令、特别重要,且将来的使用率也很高,要求他们尽量慎重考虑。
结果却很出人意料:
(1)用自己的中文拼音者最多,有37人。
(2)用常用的英文单词的有23人, 其中很多人都用了很有特定意义的单词,如:hello,good,happy以及anything等等!
(3)用计算机中常常消失的单词有18人,这些单词中还有操作系统的命令,如:system,command,copy,harddisk,mouse,等等!
(4)用自己的诞生日期有7人,其中年月日各不一样,但其中有3人用了中国常用的日期表示方法!
上述测试中两个单词一样的有21人,接近一样的有33人,通过这些结果,假如在攻击过程中,满意字典攻击条件时,使用字典攻击胜利的可能性特别高,我们称之为口令设置上的漏洞。
2.社会工程学对口令的攻击
黑客在入侵过程中会利用Google、百度等搜寻引擎充分收集被攻击
对象的各种资料,在攻击中,这些资料将起到帮助作用。通过本人的讨论,发觉在许多发生网络安全的事故中,许多数据库效劳器、Ftp效劳器、文件效劳器、远程终端等均设置为一样密码,利用社会工程学来进展口令,不但可以很便利的渗透内网计算机,而且可以猎取被入侵者的email、等帐号对应的密码。
3.内网渗透中对口令的攻击
内网渗透的思想是源于特洛伊木马的思想,堡垒最简单从内部攻破,入侵者为了能够获得口令可谓煞费苦心,在他们江郎才尽的时候,打入“敌人”内部经常能让他们感到柳暗花明。为了能够胜利渗透内网,入侵者通常采纳如下手段:
(1)通过利用传统手法比方sql注入,漏洞溢出等得到一个分站的效劳器权限,然后依据在分站上收集到的邮箱信息、 Ftp信息、网络拓扑信息、治理员常用的治理工具等来渗透到主站。
(2) 通过传送具有诱惑性的木马来获得内网机器的掌握权限,这应当算是一种社会工程学与漏洞的结合,比方0day,也就是word或是pdf或是ie0day发挥作用的地方。许多人拿到ie0day是直接用于挂马,其实ie0day还有更高的价值,那就是发邮件,假如治理员被胜利的哄骗了并点击了入侵者发的邮件里的url链接,后果就很难预料了,最近BTV-7就介绍了淘宝商店发生的帐号盗用大事,就是通过“网络钓鱼”,让哄骗店主在“淘宝”网站输入用户帐号和密码而哄骗得逞!
(3) 社会工程学的又一次完善诠释:通过各种手段取得内网治理员或用户的信任,获得他的信息,比方,Email,Msn等等,抓住他的弱点,或是心理,降低他的心理防线,在成熟的时候发送Url,或是打包的软件里捆绑木马等,内网将面临又一次的攻击。
4.暴力破解对口令的冲击
当其它道路行不通的时候,入侵者就会尝试暴力破解了,对于弱口令来说,暴力破解相对较简单;相反那些设置了许多策略的强口令就需要很完备的字典,性能先进的硬件和大量的时间来支持,根本上就很难破解了。
(二)系统密码安全设置策略
1.通过组策略来加固密码设置
在“开头”→“运行”窗口中输入“”并回车就可以翻开“组策略”设置窗口。
在“组策略”窗口的左侧绽开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“密码策略”在右边窗格中就会消失一系列的密码设置项,经过这里的配置,可以建立一个完备的密码策略,使密码得到限度的爱护。
(1)密码必需符合简单性要求
假如启用了这个策略,则在设置和更改一个密码时,系统将会根据下面的规章检查密码是否有效:
A.密码不能包含用户的账户名,不能包含用户姓名中超过两个连续字
符的局部。
B.至少有六个字符长。
C.包含以下四类字符中的三类字符:英文大写字母(A 到 Z);英文小写字母(a 到 z);10 个根本数字(0 到 9);非字母字符(例如 !、$、#、%)。
在更改或创立密码时将执行简单性要求,启用了这个策略,信任你的密码就会比拟安全了,由于系统会强制你使用这种安全性高的密码。假如你在创立或修改密码时没有到达这个要求,系统会给出提示并要求重新输入符合要求的安全密码。
(2) 密码长度最小值
此安全设置确定用户帐户密码包含的最少字符数。可以将值设置为介于 1 和 14 个字符之间,或者将字符数设置为“ 0”以确定不需要密码,这是系统的默认值,而从安全角度来考虑,允许不需要密码的用户存在是特别危急的。建议密码长度不小于6位。
(3) 密码最长存留期
此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)。可以将密码设置为在某些天数(介于 1 到 999 之间)后到期,或者将天数设置为 0,指定密码永不过期。假如密码最长使用期限介于 1 和 999 天之间,密码最短使用期限必需小于密码最长使用期限。假如将密码最长使用期限设置为 0,则可以将密码最短使用期限设置为介于 0 和 998 天之间的任何值。
留意:安全操作是将密码设置为 30 到 90 天后过期,详细取决于您的环境。这样,攻击者用来破解用户密码以及访问网络资源的时间将受到限制。
(4)强制密码历史
这个设置打算了保存用户曾经用过的密码个数。许多人知道常常更换密码是个好方法,这样可以提高密码的安全性,但由于个人习惯,经常换来换去就是有限的几个密码。配置这个策略就可以让系统记住用户曾经使用过的密码,假如更换的新密码与系统“记忆”中的重复,系统就会给出提示。默认状况下,这个策略不保存用户的密码,可以依据自己的习惯进展设置,建议保存5个以上(最多可以保存24个)
(5)密码最短使用期限
此安全设置确定在用户更改某个密码之前必需使用该密码一段时间(以天为单位)。可以设置一个介于 1 和 998 天之间的值,或者将天数设置为 0,允许马上更改密码。
密码最短使用期限必需小于密码最长使用期限,除非将密码最长使用期限设置为 0,指明密码永不过期。假如将密码最长使用期限设置为 0,则可以将密码最短使用期限设置为介于 0 和 998 之间的任何值。
假如盼望“强制密码历史”有效,则需要将密码最短使用期限设置为大于 0 的值。假如没有设置密码最短使用期限,用户则可以循环选择密码,直到获得期望的旧密码。默认设置没有遵从今建议,以便治理员能够
为用户指定密码,然后要求用户在登录时更改治理员定义的密码。假如将密码历史设置为 0,用户将不必选择新密码。因此,默认状况下将“强制密码历史”设置为 1。
(6)为域中全部用户使用可复原的加密来存储密码
使用此安全设置确定操作系统是否使用可复原的加密来储存密码。此策略为某些应用程序供应支持,这些应用程序使用的协议需要用户密码来进展身份验证。使用可复原的加密储存密码与储存纯文本密码在本质上是一样的。因此,除非应用程序需求比爱护密码信息更重要,否则绝不要启用此策略。
从上面这些设置项中我们不难得到一个最简洁有效的密码安全方案,即首先启用“密码必需符合简单性要求”策略,然后设置“密码最短存留期”,最终开启“强制密码历史”。设置好后,在“掌握面板”中重新设置治理员的密码,这时的密码不仅本身是安全的(不低于6位且包含不同类别的字符),而且以后修改密码时也不易消失与以前重复的状况了,这样的系统密码安全性特别高。
2.密码设置技巧
(1)密码的位数不要少于6位,笔者设置的密码为32位,使用大写字母和小写字母、特别符号和数字的集合;
(2)不要以任何单词、生日、数字、手机号、姓名或者拼音字母做为密码;
(3)密码中的英文字母有大小之分;
(4)不要用a、b、c等比拟小挨次的字母或数字开头,由于用字典暴力破解的使用,一般都是从数字或英文字母排序开头算的,字母或数字挨次越小,破解的机率就大许多;
(5)也可以用一句话来设定密码,比方说“我是谁,我是我”;
(6)不要让别人很简单的得到你的信息,这包括身份证号码、电话号码、手机号码,等等;
(7)定期更改密码;
(8)不要把密码写在别人可以看到的地方,是强记在脑子里,更不能把自己的密码告知别人,这样对自己对别人都是不负责任的行为。
(三)系统密码安全检查与防护
1.用户与密码检测
要常常查看系统的用户是否正常,是否被添加了新的用户,或者被提升了权限。在“开头”→“运行”窗口中输入“cmd”并回车,在窗口中输入命令:net user以查看是否被添加了新用户,然后再输入命令:“net
localgroup administrators”以查看是否有用户被提升了治理员权限,在本例中仅仅存在一个治理员Administrator,假如存在多个治理员权限的用户,则说明系统极有可能被人入侵了!
2.系统用户登录日志检测
日志文件作为操作系统中的一个特别文件,在安全方面具有无可替代
的价值。它每天都为我们忠实地记录下系统所发生一切大事,利用它可以快速对潜在的系统入侵做出记录和猜测。下面将介绍如何使用日志治理器来设置和查看安全大事。
(1)翻开日志治理器
在“开头”→“程序”→“治理工具”→“大事查看器”。
(2)设置日志属性
鼠标右键点击“系统”属性→常规,可以对日志的大小、时间进展设置,假如发觉你的日志记录不是在这个范围内,你的系统可能就被人“闯入”过,而且修改了你的日志。
(3)使用筛选器记录日志审核结果
接着翻开筛选器,还可以对日志中的大事类型等进展筛选,选中全部的时间类型,这样系统发生大事后,将会自动记录在案!
属性设置好后,就可以查看日志了,从中我们可以发觉入侵者的蛛丝马迹。
为了预防入侵者对日志的破坏我们还要定期对日志备份,假如有需要还可以恢复之前的日志文件。
2023年7月31日发(作者:)
操作系统密码安全隐患及设置研究分析
(一)系统密码安全隐患与现状讨论
1.口令设置上的漏洞
中国杀毒网记载了一个好玩的心理试验:从某在校大学生中随机抽出一百名学生,然后要求他们写下二个单词,并告知他们这两个单词是用于电脑的口令、特别重要,且将来的使用率也很高,要求他们尽量慎重考虑。
结果却很出人意料:
(1)用自己的中文拼音者最多,有37人。
(2)用常用的英文单词的有23人, 其中很多人都用了很有特定意义的单词,如:hello,good,happy以及anything等等!
(3)用计算机中常常消失的单词有18人,这些单词中还有操作系统的命令,如:system,command,copy,harddisk,mouse,等等!
(4)用自己的诞生日期有7人,其中年月日各不一样,但其中有3人用了中国常用的日期表示方法!
上述测试中两个单词一样的有21人,接近一样的有33人,通过这些结果,假如在攻击过程中,满意字典攻击条件时,使用字典攻击胜利的可能性特别高,我们称之为口令设置上的漏洞。
2.社会工程学对口令的攻击
黑客在入侵过程中会利用Google、百度等搜寻引擎充分收集被攻击
对象的各种资料,在攻击中,这些资料将起到帮助作用。通过本人的讨论,发觉在许多发生网络安全的事故中,许多数据库效劳器、Ftp效劳器、文件效劳器、远程终端等均设置为一样密码,利用社会工程学来进展口令,不但可以很便利的渗透内网计算机,而且可以猎取被入侵者的email、等帐号对应的密码。
3.内网渗透中对口令的攻击
内网渗透的思想是源于特洛伊木马的思想,堡垒最简单从内部攻破,入侵者为了能够获得口令可谓煞费苦心,在他们江郎才尽的时候,打入“敌人”内部经常能让他们感到柳暗花明。为了能够胜利渗透内网,入侵者通常采纳如下手段:
(1)通过利用传统手法比方sql注入,漏洞溢出等得到一个分站的效劳器权限,然后依据在分站上收集到的邮箱信息、 Ftp信息、网络拓扑信息、治理员常用的治理工具等来渗透到主站。
(2) 通过传送具有诱惑性的木马来获得内网机器的掌握权限,这应当算是一种社会工程学与漏洞的结合,比方0day,也就是word或是pdf或是ie0day发挥作用的地方。许多人拿到ie0day是直接用于挂马,其实ie0day还有更高的价值,那就是发邮件,假如治理员被胜利的哄骗了并点击了入侵者发的邮件里的url链接,后果就很难预料了,最近BTV-7就介绍了淘宝商店发生的帐号盗用大事,就是通过“网络钓鱼”,让哄骗店主在“淘宝”网站输入用户帐号和密码而哄骗得逞!
(3) 社会工程学的又一次完善诠释:通过各种手段取得内网治理员或用户的信任,获得他的信息,比方,Email,Msn等等,抓住他的弱点,或是心理,降低他的心理防线,在成熟的时候发送Url,或是打包的软件里捆绑木马等,内网将面临又一次的攻击。
4.暴力破解对口令的冲击
当其它道路行不通的时候,入侵者就会尝试暴力破解了,对于弱口令来说,暴力破解相对较简单;相反那些设置了许多策略的强口令就需要很完备的字典,性能先进的硬件和大量的时间来支持,根本上就很难破解了。
(二)系统密码安全设置策略
1.通过组策略来加固密码设置
在“开头”→“运行”窗口中输入“”并回车就可以翻开“组策略”设置窗口。
在“组策略”窗口的左侧绽开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“密码策略”在右边窗格中就会消失一系列的密码设置项,经过这里的配置,可以建立一个完备的密码策略,使密码得到限度的爱护。
(1)密码必需符合简单性要求
假如启用了这个策略,则在设置和更改一个密码时,系统将会根据下面的规章检查密码是否有效:
A.密码不能包含用户的账户名,不能包含用户姓名中超过两个连续字
符的局部。
B.至少有六个字符长。
C.包含以下四类字符中的三类字符:英文大写字母(A 到 Z);英文小写字母(a 到 z);10 个根本数字(0 到 9);非字母字符(例如 !、$、#、%)。
在更改或创立密码时将执行简单性要求,启用了这个策略,信任你的密码就会比拟安全了,由于系统会强制你使用这种安全性高的密码。假如你在创立或修改密码时没有到达这个要求,系统会给出提示并要求重新输入符合要求的安全密码。
(2) 密码长度最小值
此安全设置确定用户帐户密码包含的最少字符数。可以将值设置为介于 1 和 14 个字符之间,或者将字符数设置为“ 0”以确定不需要密码,这是系统的默认值,而从安全角度来考虑,允许不需要密码的用户存在是特别危急的。建议密码长度不小于6位。
(3) 密码最长存留期
此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)。可以将密码设置为在某些天数(介于 1 到 999 之间)后到期,或者将天数设置为 0,指定密码永不过期。假如密码最长使用期限介于 1 和 999 天之间,密码最短使用期限必需小于密码最长使用期限。假如将密码最长使用期限设置为 0,则可以将密码最短使用期限设置为介于 0 和 998 天之间的任何值。
留意:安全操作是将密码设置为 30 到 90 天后过期,详细取决于您的环境。这样,攻击者用来破解用户密码以及访问网络资源的时间将受到限制。
(4)强制密码历史
这个设置打算了保存用户曾经用过的密码个数。许多人知道常常更换密码是个好方法,这样可以提高密码的安全性,但由于个人习惯,经常换来换去就是有限的几个密码。配置这个策略就可以让系统记住用户曾经使用过的密码,假如更换的新密码与系统“记忆”中的重复,系统就会给出提示。默认状况下,这个策略不保存用户的密码,可以依据自己的习惯进展设置,建议保存5个以上(最多可以保存24个)
(5)密码最短使用期限
此安全设置确定在用户更改某个密码之前必需使用该密码一段时间(以天为单位)。可以设置一个介于 1 和 998 天之间的值,或者将天数设置为 0,允许马上更改密码。
密码最短使用期限必需小于密码最长使用期限,除非将密码最长使用期限设置为 0,指明密码永不过期。假如将密码最长使用期限设置为 0,则可以将密码最短使用期限设置为介于 0 和 998 之间的任何值。
假如盼望“强制密码历史”有效,则需要将密码最短使用期限设置为大于 0 的值。假如没有设置密码最短使用期限,用户则可以循环选择密码,直到获得期望的旧密码。默认设置没有遵从今建议,以便治理员能够
为用户指定密码,然后要求用户在登录时更改治理员定义的密码。假如将密码历史设置为 0,用户将不必选择新密码。因此,默认状况下将“强制密码历史”设置为 1。
(6)为域中全部用户使用可复原的加密来存储密码
使用此安全设置确定操作系统是否使用可复原的加密来储存密码。此策略为某些应用程序供应支持,这些应用程序使用的协议需要用户密码来进展身份验证。使用可复原的加密储存密码与储存纯文本密码在本质上是一样的。因此,除非应用程序需求比爱护密码信息更重要,否则绝不要启用此策略。
从上面这些设置项中我们不难得到一个最简洁有效的密码安全方案,即首先启用“密码必需符合简单性要求”策略,然后设置“密码最短存留期”,最终开启“强制密码历史”。设置好后,在“掌握面板”中重新设置治理员的密码,这时的密码不仅本身是安全的(不低于6位且包含不同类别的字符),而且以后修改密码时也不易消失与以前重复的状况了,这样的系统密码安全性特别高。
2.密码设置技巧
(1)密码的位数不要少于6位,笔者设置的密码为32位,使用大写字母和小写字母、特别符号和数字的集合;
(2)不要以任何单词、生日、数字、手机号、姓名或者拼音字母做为密码;
(3)密码中的英文字母有大小之分;
(4)不要用a、b、c等比拟小挨次的字母或数字开头,由于用字典暴力破解的使用,一般都是从数字或英文字母排序开头算的,字母或数字挨次越小,破解的机率就大许多;
(5)也可以用一句话来设定密码,比方说“我是谁,我是我”;
(6)不要让别人很简单的得到你的信息,这包括身份证号码、电话号码、手机号码,等等;
(7)定期更改密码;
(8)不要把密码写在别人可以看到的地方,是强记在脑子里,更不能把自己的密码告知别人,这样对自己对别人都是不负责任的行为。
(三)系统密码安全检查与防护
1.用户与密码检测
要常常查看系统的用户是否正常,是否被添加了新的用户,或者被提升了权限。在“开头”→“运行”窗口中输入“cmd”并回车,在窗口中输入命令:net user以查看是否被添加了新用户,然后再输入命令:“net
localgroup administrators”以查看是否有用户被提升了治理员权限,在本例中仅仅存在一个治理员Administrator,假如存在多个治理员权限的用户,则说明系统极有可能被人入侵了!
2.系统用户登录日志检测
日志文件作为操作系统中的一个特别文件,在安全方面具有无可替代
的价值。它每天都为我们忠实地记录下系统所发生一切大事,利用它可以快速对潜在的系统入侵做出记录和猜测。下面将介绍如何使用日志治理器来设置和查看安全大事。
(1)翻开日志治理器
在“开头”→“程序”→“治理工具”→“大事查看器”。
(2)设置日志属性
鼠标右键点击“系统”属性→常规,可以对日志的大小、时间进展设置,假如发觉你的日志记录不是在这个范围内,你的系统可能就被人“闯入”过,而且修改了你的日志。
(3)使用筛选器记录日志审核结果
接着翻开筛选器,还可以对日志中的大事类型等进展筛选,选中全部的时间类型,这样系统发生大事后,将会自动记录在案!
属性设置好后,就可以查看日志了,从中我们可以发觉入侵者的蛛丝马迹。
为了预防入侵者对日志的破坏我们还要定期对日志备份,假如有需要还可以恢复之前的日志文件。
![7.1.1 常见的操作系统攻击方式[共2页]](/uploads/image/0277.jpg)
发布评论