第六章讲解学习
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
密码为抵御对企业的非法访问构筑了第一道防线。 Windows Server 2003家族拥有一项新增功能,可以在操作 系统启动时检查Administrator账户密码的复杂程度。如果 密码为空或者不满足复杂性要求,将显示Windows Installer 对话框,警告您Administrator账户不使用强密码可能存在 危险。如果继续使用空密码,您将无法通过网络访问该账 户。
通常所说的弱密码主要体现在以下几个方面:
根本没有密码,就是不设密码,这是许多初级网络管理员 最经常使用的。
包含用户名、真实姓名或公司名称,这也是我们日常经常 使用的。
包含完整的字典词汇。例如,Password就属于弱密码。这 很容易受到字典类的网络攻击。 而在Windows Server 2003系统中所规定的强密码则至少 需要满足以下条件:
6.1.3与以前系统相比的新增或更新的安全功能
1. 自Windows NT 4.0系统以后新增和更新的功能 加密文件系统 Internet协议安全性
2. 自Windows 2000系统以后的新增和更新功能 TCP/UDP端口所有权 加密文件系统改进功能 软件限制策略 Internet协议安全性监视改进功能
弱密码会使得攻击者易于访问您的计算机和网络,而强 密码则难以破解,即使使用当今的密码破解软件也难以办 到。密码破解工具正在不断进步,而用于破解密码的计算 机也比以往更为强大。密码破解软件使用下面三种方法之 一:巧妙猜测、词典攻击和自动尝试字符的各种可能的组 合。只要有足够时间,这种自动方法可以破解任何密码。 即便如此,破解强密码也远比破解弱密码困难得多。因为 安全的计算机需要对所有用户账户都使用强密码。
6.2.3 域账户密码使用原则
密码的使用最好遵循以下几个主要原则: 1. 鼓励用户遵循最佳密码保护策略 始终使用强密码。 如果不得不将密码写在纸上,请将纸张保存在安全的位置, 并在不再需要时销毁。 永远不要与任何人共享密码。 对所有用户账户都分别使用不同的密码。 密码一旦泄露,应立即更改密码。 谨慎选择密码在计算机上保存的位置。 2. 定义密码策略,用强密码保护所有用户账户 定义“强制密码历史”策略设置,可以使系统记忆几个以 前用过的密码。
定义“密码最长期限”策略设置,可以使密码的到期时间 尽可能短,通常的间隔是30至90天。
定义“最短密码期限”策略设置,可以使密码在指定的天 数内无法更改。
定义“最短密码长度”策略设置,可以使密码必须至少包 含指定个数的字符。
启用“密码必须符合复杂性要求”策略设置。 3. 谨慎定义账户锁定策略
第六章
ຫໍສະໝຸດ Baidu
6.1.2 Windows Server 2003系统新安全功能
1. 新功能 授权管理器 存储用户名和密码 软件限制策略
2. 更改成现有的技术 证书颁发机构 受限委派 有效权限工具 加密文件系统 (EFS) Everyone成员身份 基于操作的审核 重新应用安全默认值
本节详细内容参见书本的P187~P188页。
密码长度至少有七个字符。 不包含用户名、真实姓名或公司名称。 不包含完整的字典词汇。 与先前使用过的密码大不相同。递增密码 (Password1、
Password2、Password3 ...) 不能算作强密码。 包含书中表6-1所列的全部四组字符类型中三组或以上。
有的密码虽然可以满足大多数强密码的条件,但仍然较 弱。例如,Hello2U! 就是一个相对而言的弱密码,因为包 括一个完整、且顺序一致的单词。
本节详细内容参见书本的P188页。
6.2 域账户策略设置
本节要向大家介绍的就是这个域安全策略设置,不过它 的基本设置方法基本上都适用于单机的本地安全设置。
6.2.1域账户和本地策略简介 对于域账户,只有一种账户策略。账户策略必须在“默 认域策略设置”中定义,并且由组成该域的域控制器实施, 如图6-1所示。这一管理工具界面打开的方法是执行〖开始〗 →〖管理工具〗→〖域安全策略〗操作(注意不要选择了 “域控制器安全策略”选项,因为那只是针对域控制器本 身,而不是针对整个域网络)。 域控制器始终从“默认域策略设置”中获得账户策略, 即使已经存在了一个应用到包括该域控制器在内的组织单 位的不同账户策略。默认情况下,加入到域(例如成员计 算机)中的工作站和服务器会接收到相同的账户策略用于 本地账户。然而,本地账户策略可能不同于域账户策略。
不要随意使用账户锁定策略
如果决定采用账户锁定策略,应设置足够高的“账户锁定 阈值”策略设置,使合法用户不至于仅因敲错了密码而被 锁定。
如果合法用户在一台计算机上更改了密码,但没有同时更 改另一台计算机上的密码,这时合法用户将被锁定。 本节详细内容参见书本的P191~P192页。
6.2.4 域账户密码策略的设置
密码策略的设置方法同样适用于域账户或本地用户账户。 这部分设置项目包括: 强制密码历史 密码最长使用期限 密码最短使用期限 密码长度最小值 密码必须符合复杂性要求 用可还原的加密来存储密码
本节详细内容参见书本的P192~P194页。
6.2.5系统密钥实用程序
用户账户的密码信息存储在工作站和成员服务器注册表 的安全账户管理器(SAM)数据库中。在域控制器上,密 码信息存储在目录服务中。通常情况下,密码破解软件大 都针对SAM数据库或目录服务来获取用户账户的密码。系 统密钥实用程序(Syskey)为对抗密码破解软件建立了另 一道防线。它使用强加密技术来保证存储在SAM数据库或 目录服务中的账户密码信息的安全。破解经过加密的账户 密码会变得更加困难,更为耗时。
图6-1 默认域安全策略
在Windows Server 2003系统中账户策略包含密码策略、账 户锁定策略和Kerberos策略三个子集。而在Windows Server 2003系统中的本地策略中包含审核策略、用户权限分配和安 全选项三个子集。本节详细内容参见书本的P189~P190页。
6.2.2 域账户密码概述
通常所说的弱密码主要体现在以下几个方面:
根本没有密码,就是不设密码,这是许多初级网络管理员 最经常使用的。
包含用户名、真实姓名或公司名称,这也是我们日常经常 使用的。
包含完整的字典词汇。例如,Password就属于弱密码。这 很容易受到字典类的网络攻击。 而在Windows Server 2003系统中所规定的强密码则至少 需要满足以下条件:
6.1.3与以前系统相比的新增或更新的安全功能
1. 自Windows NT 4.0系统以后新增和更新的功能 加密文件系统 Internet协议安全性
2. 自Windows 2000系统以后的新增和更新功能 TCP/UDP端口所有权 加密文件系统改进功能 软件限制策略 Internet协议安全性监视改进功能
弱密码会使得攻击者易于访问您的计算机和网络,而强 密码则难以破解,即使使用当今的密码破解软件也难以办 到。密码破解工具正在不断进步,而用于破解密码的计算 机也比以往更为强大。密码破解软件使用下面三种方法之 一:巧妙猜测、词典攻击和自动尝试字符的各种可能的组 合。只要有足够时间,这种自动方法可以破解任何密码。 即便如此,破解强密码也远比破解弱密码困难得多。因为 安全的计算机需要对所有用户账户都使用强密码。
6.2.3 域账户密码使用原则
密码的使用最好遵循以下几个主要原则: 1. 鼓励用户遵循最佳密码保护策略 始终使用强密码。 如果不得不将密码写在纸上,请将纸张保存在安全的位置, 并在不再需要时销毁。 永远不要与任何人共享密码。 对所有用户账户都分别使用不同的密码。 密码一旦泄露,应立即更改密码。 谨慎选择密码在计算机上保存的位置。 2. 定义密码策略,用强密码保护所有用户账户 定义“强制密码历史”策略设置,可以使系统记忆几个以 前用过的密码。
定义“密码最长期限”策略设置,可以使密码的到期时间 尽可能短,通常的间隔是30至90天。
定义“最短密码期限”策略设置,可以使密码在指定的天 数内无法更改。
定义“最短密码长度”策略设置,可以使密码必须至少包 含指定个数的字符。
启用“密码必须符合复杂性要求”策略设置。 3. 谨慎定义账户锁定策略
第六章
ຫໍສະໝຸດ Baidu
6.1.2 Windows Server 2003系统新安全功能
1. 新功能 授权管理器 存储用户名和密码 软件限制策略
2. 更改成现有的技术 证书颁发机构 受限委派 有效权限工具 加密文件系统 (EFS) Everyone成员身份 基于操作的审核 重新应用安全默认值
本节详细内容参见书本的P187~P188页。
密码长度至少有七个字符。 不包含用户名、真实姓名或公司名称。 不包含完整的字典词汇。 与先前使用过的密码大不相同。递增密码 (Password1、
Password2、Password3 ...) 不能算作强密码。 包含书中表6-1所列的全部四组字符类型中三组或以上。
有的密码虽然可以满足大多数强密码的条件,但仍然较 弱。例如,Hello2U! 就是一个相对而言的弱密码,因为包 括一个完整、且顺序一致的单词。
本节详细内容参见书本的P188页。
6.2 域账户策略设置
本节要向大家介绍的就是这个域安全策略设置,不过它 的基本设置方法基本上都适用于单机的本地安全设置。
6.2.1域账户和本地策略简介 对于域账户,只有一种账户策略。账户策略必须在“默 认域策略设置”中定义,并且由组成该域的域控制器实施, 如图6-1所示。这一管理工具界面打开的方法是执行〖开始〗 →〖管理工具〗→〖域安全策略〗操作(注意不要选择了 “域控制器安全策略”选项,因为那只是针对域控制器本 身,而不是针对整个域网络)。 域控制器始终从“默认域策略设置”中获得账户策略, 即使已经存在了一个应用到包括该域控制器在内的组织单 位的不同账户策略。默认情况下,加入到域(例如成员计 算机)中的工作站和服务器会接收到相同的账户策略用于 本地账户。然而,本地账户策略可能不同于域账户策略。
不要随意使用账户锁定策略
如果决定采用账户锁定策略,应设置足够高的“账户锁定 阈值”策略设置,使合法用户不至于仅因敲错了密码而被 锁定。
如果合法用户在一台计算机上更改了密码,但没有同时更 改另一台计算机上的密码,这时合法用户将被锁定。 本节详细内容参见书本的P191~P192页。
6.2.4 域账户密码策略的设置
密码策略的设置方法同样适用于域账户或本地用户账户。 这部分设置项目包括: 强制密码历史 密码最长使用期限 密码最短使用期限 密码长度最小值 密码必须符合复杂性要求 用可还原的加密来存储密码
本节详细内容参见书本的P192~P194页。
6.2.5系统密钥实用程序
用户账户的密码信息存储在工作站和成员服务器注册表 的安全账户管理器(SAM)数据库中。在域控制器上,密 码信息存储在目录服务中。通常情况下,密码破解软件大 都针对SAM数据库或目录服务来获取用户账户的密码。系 统密钥实用程序(Syskey)为对抗密码破解软件建立了另 一道防线。它使用强加密技术来保证存储在SAM数据库或 目录服务中的账户密码信息的安全。破解经过加密的账户 密码会变得更加困难,更为耗时。
图6-1 默认域安全策略
在Windows Server 2003系统中账户策略包含密码策略、账 户锁定策略和Kerberos策略三个子集。而在Windows Server 2003系统中的本地策略中包含审核策略、用户权限分配和安 全选项三个子集。本节详细内容参见书本的P189~P190页。
6.2.2 域账户密码概述