操作系統(tǒng)密碼安全隱患及設置研究分析

很多黑客的入門都是從*系統(tǒng)口令開始的，因此安全設置系統(tǒng)口令在網(wǎng)絡攻防過程就尤為重要，即使入侵者獲取了系統(tǒng)的密碼，但由于*密碼所需要花費的時間成本太大，而放棄!當我們設定系統(tǒng)口令時，一般的人都會用自己熟悉的單詞，或其它一些習慣用的數(shù)字，比如電話號碼、生日等，這在便于他們記憶的同時，也在悄悄的為入侵者打開了方便之門。本文就如何設置操作系統(tǒng)密碼分別從攻擊(社會工程學對口令的攻擊，內(nèi)網(wǎng)滲透，暴力*)和防護(主要是策略)兩個方面作了一次研究，如有疏漏的地方，請多多指正。
    (一)系統(tǒng)密碼安全隱患與現(xiàn)狀研究
    1.口令設置上的漏洞
    中國殺毒網(wǎng)記載了一個有趣的心理試驗：從某在校大學生中隨機抽出一百名學生，然后要求他們寫下二個單詞，并告訴他們這兩個單詞是用于電腦的口令、非常重要，且將來的使用率也很高，要求他們盡量慎重考慮。
    結果卻很出人意料：
    (1)用自己的中文拼音者最多，有37人。
    (2)用常用的英文單詞的有23人， 其中許多人都用了很有特定意義的單詞，如：hello，good，happy以及anything等等!
    (3)用計算機中經(jīng)常出現(xiàn)的單詞有18人，這些單詞中還有操作系統(tǒng)的命令，如：system,command,copy,harddisk,mouse,等等!
    (4)用自己的出生日期有7人，其中年月日各不相同，但其中有3人用了中國常用的日期表示方法!
    上述測試中兩個單詞相同的有21人，接近相同的有33人，通過這些結果，如果在攻擊過程中，滿足字典攻擊條件時，使用字典攻擊成功的可能性非常高，我們稱之為口令設置上的漏洞。
    2.社會工程學對口令的攻擊
    黑客在入侵過程中會利用Google、百度等搜索引擎充分收集被攻擊對象的各種資料，在攻擊中，這些資料將起到輔助作用。通過本人的研究，發(fā)現(xiàn)在很多發(fā)生網(wǎng)絡安全的事故中，很多數(shù)據(jù)庫服務器、Ftp服務器、文件服務器、遠程終端等均設置為相同密碼，利用社會工程學來進行口令，不但可以很方便的滲透內(nèi)網(wǎng)計算機，而且可以獲取被入侵者的email、qq等帳號對應的密碼。
    3.內(nèi)網(wǎng)滲透中對口令的攻擊
    內(nèi)網(wǎng)滲透的思想是源于特洛伊木馬的思想，堡壘最容易從內(nèi)部攻破，入侵者為了能夠獲得口令可謂煞費苦心，在他們江郎才盡的時候，打入“敵人”內(nèi)部常常能讓他們感到柳暗花明。為了能夠成功滲透內(nèi)網(wǎng)，入侵者通常采用如下手段：
    (1)通過利用傳統(tǒng)手法比如sql注入，漏洞溢出等得到一個分站的服務器權限，然后根據(jù)在分站上收集到的郵箱信息、 Ftp信息、網(wǎng)絡拓撲信息、管理員常用的管理工具等來滲透到主站。
    (2) 通過傳送具有誘惑性的木馬來獲得內(nèi)網(wǎng)機器的控制權限，這應該算是一種社會工程學與漏洞的結合，比如0day，也就是word或是pdf或是ie0day發(fā)揮作用的地方。很多人拿到ie0day是直接用于掛馬，其實ie0day還有更高的價值，那就是發(fā)郵件，如果管理員被成功的欺騙了并點擊了入侵者發(fā)的郵件里的url鏈接，后果就很難預料了，最近BTV-7就介紹了淘寶商店發(fā)生的帳號盜用事件，就是通過“網(wǎng)絡釣魚”，讓欺騙店主在“淘寶”網(wǎng)站輸入用戶帳號和密碼而欺騙得逞!
    (3) 社會工程學的又一次完美詮釋：通過各種手段取得內(nèi)網(wǎng)管理員或用戶的信任，獲得他的信息，比如QQ，Email，Msn等等，抓住他的弱點，或是心理，降低他的心理防線，在成熟的時候發(fā)送Url，或是打包的軟件里捆綁木馬等，內(nèi)網(wǎng)將面臨又一次的攻擊。
    4.暴力*對口令的沖擊
    當其它道路行不通的時候，入侵者就會嘗試暴力*了，對于弱口令來說，暴力*相對較容易;相反那些設置了很多策略的強口令就需要很完備的字典，性能先進的硬件和大量的時間來支持，基本上就很難*了。
    (二)系統(tǒng)密碼安全設置策略
    1.通過組策略來加固密碼設置
    在“開始”→“運行”窗口中輸入“gpedit.msc”并回車就可以打開“組策略”設置窗口。
    在“組策略”窗口的左側展開“計算機配置”→“Windows設置”→“安全設置”→“賬戶策略”→“密碼策略”在右邊窗格中就會出現(xiàn)一系列的密碼設置項，經(jīng)過這里的配置，可以建立一個完備的密碼策略，使密碼得到限度的保護。
    (1)密碼必須符合復雜性要求
    如果啟用了這個策略，則在設置和更改一個密碼時，系統(tǒng)將會按照下面的規(guī)則檢查密碼是否有效：
    A.密碼不能包含用戶的賬戶名，不能包含用戶姓名中超過兩個連續(xù)字符的部分。
    B.至少有六個字符長。
    C.包含以下四類字符中的三類字符：英文大寫字母(A 到 Z);英文小寫字母(a 到 z);10 個基本數(shù)字(0 到 9);非字母字符(例如 !、$、#、%)。
    在更改或創(chuàng)建密碼時將執(zhí)行復雜性要求，啟用了這個策略，相信你的密碼就會比較安全了，因為系統(tǒng)會強制你使用這種安全性高的密碼。如果你在創(chuàng)建或修改密碼時沒有達到這個要求，系統(tǒng)會給出提示并要求重新輸入符合要求的安全密碼。
    (2) 密碼長度最小值
    此安全設置確定用戶帳戶密碼包含的最少字符數(shù)?？梢詫⒅翟O置為介于 1 和 14 個字符之間，或者將字符數(shù)設置為“ 0”以確定不需要密碼，這是系統(tǒng)的默認值，而從安全角度來考慮，允許不需要密碼的用戶存在是非常危險的。建議密碼長度不小于6位。
    (3) 密碼最長存留期
    此安全設置確定在系統(tǒng)要求用戶更改某個密碼之前可以使用該密碼的期間(以天為單位)。可以將密碼設置為在某些天數(shù)(介于 1 到 999 之間)后到期，或者將天數(shù)設置為 0，指定密碼永不過期。如果密碼最長使用期限介于 1 和 999 天之間，密碼最短使用期限必須小于密碼最長使用期限。如果將密碼最長使用期限設置為 0，則可以將密碼最短使用期限設置為介于 0 和 998 天之間的任何值。
    注意：安全操作是將密碼設置為 30 到 90 天后過期，具體取決于您的環(huán)境。這樣，攻擊者用來*用戶密碼以及訪問網(wǎng)絡資源的時間將受到限制。
    (4)強制密碼歷史
    這個設置決定了保存用戶曾經(jīng)用過的密碼個數(shù)。很多人知道經(jīng)常更換密碼是個好方法，這樣可以提高密碼的安全性，但由于個人習慣，常常換來換去就是有限的幾個密碼。配置這個策略就可以讓系統(tǒng)記住用戶曾經(jīng)使用過的密碼，如果更換的新密碼與系統(tǒng)“記憶”中的重復，系統(tǒng)就會給出提示。默認情況下，這個策略不保存用戶的密碼，可以根據(jù)自己的習慣進行設置，建議保存5個以上(最多可以保存24個)
    (5)密碼最短使用期限
    此安全設置確定在用戶更改某個密碼之前必須使用該密碼一段時間(以天為單位)?？梢栽O置一個介于 1 和 998 天之間的值，或者將天數(shù)設置為 0，允許立即更改密碼。
    密碼最短使用期限必須小于密碼最長使用期限，除非將密碼最長使用期限設置為 0，指明密碼永不過期。如果將密碼最長使用期限設置為 0，則可以將密碼最短使用期限設置為介于 0 和 998 之間的任何值。
    如果希望“強制密碼歷史”有效，則需要將密碼最短使用期限設置為大于 0 的值。如果沒有設置密碼最短使用期限，用戶則可以循環(huán)選擇密碼，直到獲得期望的舊密碼。默認設置沒有遵從此建議，以便管理員能夠為用戶指定密碼，然后要求用戶在登錄時更改管理員定義的密碼。如果將密碼歷史設置為 0，用戶將不必選擇新密碼。因此，默認情況下將“強制密碼歷史”設置為 1。
    (6)為域中所有用戶使用可還原的加密來存儲密碼
    使用此安全設置確定操作系統(tǒng)是否使用可還原的加密來儲存密碼。此策略為某些應用程序提供支持，這些應用程序使用的協(xié)議需要用戶密碼來進行身份驗證。使用可還原的加密儲存密碼與儲存純文本密碼在本質上是相同的。因此，除非應用程序需求比保護密碼信息更重要，否則絕不要啟用此策略。
    從上面這些設置項中我們不難得到一個最簡單有效的密碼安全方案，即首先啟用“密碼必須符合復雜性要求”策略，然后設置“密碼最短存留期”，最后開啟“強制密碼歷史”。設置好后，在“控制面板”中重新設置管理員的密碼，這時的密碼不僅本身是安全的(不低于6位且包含不同類別的字符)，而且以后修改密碼時也不易出現(xiàn)與以前重復的情況了，這樣的系統(tǒng)密碼安全性非常高。
    2.密碼設置技巧
    (1)密碼的位數(shù)不要少于6位，筆者設置的密碼為32位，使用大寫字母和小寫字母、特殊符號和數(shù)字的集合;
    (2)不要以任何單詞、生日、數(shù)字、手機號、姓名或者拼音字母做為密碼;
    (3)密碼中的英文字母有大小之分;
    (4)不要用a、b、c等比較小順序的字母或數(shù)字開頭，因為用字典暴力*的使用，一般都是從數(shù)字或英文字母排序開始算的，字母或數(shù)字順序越小，*的機率就大很多;
    (5)也可以用一句話來設定密碼，比如說“我是誰，我是我”;
    (6)不要讓別人很容易的得到你的信息，這包括身份證號碼、電話號碼、手機號碼，等等;
    (7)定期更改密碼;
    (8)不要把密碼寫在別人可以看到的地方，是強記在腦子里，更不能把自己的密碼告訴別人，這樣對自己對別人都是不負責任的行為。
    (三)系統(tǒng)密碼安全檢查與防護
    1.用戶與密碼檢測
    要經(jīng)常查看系統(tǒng)的用戶是否正常，是否被添加了新的用戶，或者被提升了權限。在“開始”→“運行”窗口中輸入“cmd”并回車，在窗口中輸入命令：net user以查看是否被添加了新用戶，然后再輸入命令：“net localgroup administrators”以查看是否有用戶被提升了管理員權限，在本例中僅僅存在一個管理員Administrator，如果存在多個管理員權限的用戶，則說明系統(tǒng)極有可能被人入侵了!
    2.系統(tǒng)用戶登錄日志檢測
    日志文件作為操作系統(tǒng)中的一個特殊文件，在安全方面具有無可替代的價值。它每天都為我們忠實地記錄下系統(tǒng)所發(fā)生一切事件，利用它可以快速對潛在的系統(tǒng)入侵做出記錄和預測。下面將介紹如何使用日志管理器來設置和查看安全事件。
    (1)打開日志管理器
    在“開始”→“程序”→“管理工具”→“事件查看器”。
    (2)設置日志屬性
    鼠標右鍵點擊“系統(tǒng)”屬性→常規(guī)，可以對日志的大小、時間進行設置，如果發(fā)現(xiàn)你的日志記錄不是在這個范圍內(nèi)，你的系統(tǒng)可能就被人“闖入”過，而且修改了你的日志。
    (3)使用篩選器記錄日志審核結果
    接著打開篩選器，還可以對日志中的事件類型等進行篩選，選中所有的時間類型，這樣系統(tǒng)發(fā)生事件后，將會自動記錄在案!
    屬性設置好后，就可以查看日志了，從中我們可以發(fā)現(xiàn)入侵者的蛛絲馬跡。
    為了預防入侵者對日志的破壞我們還要定期對日志備份，如果有需要還可以恢復之前的日志文件。