|
|
| 来源 |
新浪科技 |
作者 |
公安部公共信息网络安全监察局 中国计算机学会计算机安全专业委员会 |
日期 |
2007-1-29 13:40:17 |
第五部分:Windows操作系统安全
一.设置安全强壮密码的原则
操作系统的密码(口令)十分重要,它是抵抗攻击的第一道防线,我们必须把密码安全作为安全策略的第一步。如果攻击者未能窃取到系统密码,那么他就不能很好地和系统进行交互信息,对系统所能采取的入侵的方法也就不多了。因此,必须设置安全强壮的密码。所有安全强壮的密码至少要有下列四方面内容的三种:
•大写字母;
•小写字母;
•数字;
•非字母数字的字符,如标点符号等。
安全的密码还要符合下列的规则
•不使用普通的名字或昵称;
•不使用普通的个人信息,如生日日期;
•密码里不含有重复的字母或数字;
•至少使用八个字符;
•应该还要求用户42天必须修改一次密码。
以下举例说明强壮密码的重要性:假设密码设置为6位(包括任意五个字母和一位数字或符号),则其可能性将近有163亿种。不过这只是是理论估算,实际上密码比这有规律得多。例如,英文常用词条约5000条,从5000个词中任取一个字母与一个字符合成口令,仅有688万种可能性,在一台赛扬600(CPU主频)的计算机上每秒可运算10万次,则破解时间仅需1分钟!即使采用穷举方法,也只需9个小时;因此6位密码十分不可靠。而对于8位密码(包括七个字母和一位数字或符号)来说,若完全破解,则需要将近三年的时间。因此,密码不要用全部数字,不要用自己的中英文名,不要用字典上的词,一定要数字和字母交替夹杂,并最好加入@#$%!&*?之类的字符。
二.如何强制使用安全强壮的密码
Windows NT/2000/XP/2003系统在默认配置下允许任何字符或字符串作为密码,包括空格,这是相当不安全的,下面我们通过修改注册表使得用户设定的密码中必须同时包含字母和数字,从而增强系统的安全性。具体设置如下:
首先在“开始”/“运行”菜单中输入regedit.exe程序,如下图:
然后进入主键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
新建Network子键(项),
类型:指该名称的数据类型,共有三种:
•REG_SZ 字符串型,它的数据可以是字符串;
•REG_BINARY二进制数据类型,它的数据就只能是0和1的组合;
•REG_DWORD 是双字节数据类型,它的数据可以是十六进制数据。
数据:表示该值的内容。在右侧窗口中新建(右键选择“新建”)一个名为AlphanumPwds的双字节(操作系统的不同,出来的菜单可能有不同,Dword同样表示双字节)值(右键选择“新建”),数值为1即可。(注:后面将会有大量操作注册表的描述,过程如上图大致类似,就不再采用图示。)注册表各项解释如下:
类型:指该名称的数据类型,共有三种:
•REG_SZ 字符串型,它的数据可以是字符串;
•REG_BINARY二进制数据类型,它的数据就只能是0和1的组合;
•REG_DWORD 是双字节数据类型,它的数据可以是十六进制数据。
数据:表示该值的内容。
我们还可以在密码策略中进行相关的设置。
在“控制面板”/“管理工具”/“本地安全策略”/“帐户策略”中的“密码策略”,双击想要更改的项目,比如修改密码长度最小值:点“确定“就可以了。
按照上面的步骤作如下设置:
•密码复杂性要求:启用密码长度最小值 8位;
•强制密码历史:5次;
•强制密码历史:42天
注:后两项会因操作系统的不同,设置名称等会不尽相同,但意义都一样。最后,请重新启动计算机生效。
三、如何设置安全的帐号策略
对于Windows NT/2000/XP/2003系统而言,帐号策略的设置是通过域用户管理器来实施的,从用户管理器的菜单中选择用户权限,可以设置密码使用时间,长度以及连续登录失败后的锁定机制等。具体方法是:
在上面的本地安全策略编辑器里,打开“帐户策略”,配置如下图所示:
四.系统文件权限的分类
当要给文件设置权限的时候,要首先保证该分区格式为NTFS(Windows NT/2000/XP/2003系统的文件系统),当然你也可以使用文件分配表(FAT)格式,但是FAT文件系统没有对文件的访问权限加以任何限制,FAT只在那些相对来讲对安全要求较低的情况下使用。在NTFS文件系统中,可以使用权限对单个文件进行保护,并且可以把该权限应用到本地访问和网络访问中。在NTFS文件系统上,可以对文件设置文件权限,对目录设置目录权限,用于指定可以访问的组和用户以及允许的访问等级时。 |
| 上一篇:《信息网络安全保护工作知识手册》(第四部分) |
| 下一篇:《信息网络安全保护工作知识手册》(第六部分) |
|
