操作系统密码安全隐患及设置研究分析(2)

　　(2) 密码长度最小值

　　此安全设置确定用户帐户密码包含的最少字符数。可以将值设置为介于 1 和 14 个字符之间，或者将字符数设置为“ 0”以确定不需要密码，这是系统的默认值，而从安全角度来考虑，允许不需要密码的用户存在是非常危险的。建议密码长度不小于6位。

　　(3) 密码最长存留期

　　此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)。可以将密码设置为在某些天数(介于 1 到 999 之间)后到期，或者将天数设置为 0，指定密码永不过期。如果密码最长使用期限介于 1 和 999 天之间，密码最短使用期限必须小于密码最长使用期限。如果将密码最长使用期限设置为 0，则可以将密码最短使用期限设置为介于 0 和 998 天之间的任何值。

　　注意：安全最佳操作是将密码设置为 30 到 90 天后过期，具体取决于您的环境。这样，攻击者用来破解用户密码以及访问网络资源的时间将受到限制。

　　(4)强制密码历史

　　这个设置决定了保存用户曾经用过的密码个数。很多人知道经常更换密码是个好方法，这样可以提高密码的安全性，但由于个人习惯，常常换来换去就是有限的几个密码。配置这个策略就可以让系统记住用户曾经使用过的密码，如果更换的新密码与系统“记忆”中的重复，系统就会给出提示。默认情况下，这个策略不保存用户的密码，可以根据自己的习惯进行设置，建议保存5个以上(最多可以保存24个)

　　(5)密码最短使用期限

　　此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置一个介于 1 和 998 天之间的值，或者将天数设置为 0，允许立即更改密码。 3COME文档编辑

　　密码最短使用期限必须小于密码最长使用期限，除非将密码最长使用期限设置为 0，指明密码永不过期。如果将密码最长使用期限设置为 0，则可以将密码最短使用期限设置为介于 0 和 998 之间的任何值。

　　如果希望“强制密码历史”有效，则需要将密码最短使用期限设置为大于 0 的值。如果没有设置密码最短使用期限，用户则可以循环选择密码，直到获得期望的旧密码。默认设置没有遵从此建议，以便管理员能够为用户指定密码，然后要求用户在登录时更改管理员定义的密码。如果将密码历史设置为 0，用户将不必选择新密码。因此，默认情况下将“强制密码历史”设置为 1。

　　(6)为域中所有用户使用可还原的加密来存储密码

　　使用此安全设置确定操作系统是否使用可还原的加密来储存密码。此策略为某些应用程序提供支持，这些应用程序使用的协议需要用户密码来进行身份验证。使用可还原的加密储存密码与储存纯文本密码在本质上是相同的。因此，除非应用程序需求比保护密码信息更重要，否则绝不要启用此策略。

　　从上面这些设置项中我们不难得到一个最简单有效的密码安全方案，即首先启用“密码必须符合复杂性要求”策略，然后设置“密码最短存留期”，最后开启“强制密码历史”。设置好后，在“控制面板”中重新设置管理员的密码，这时的密码不仅本身是安全的(不低于6位且包含不同类别的字符)，而且以后修改密码时也不易出现与以前重复的情况了，这样的系统密码安全性非常高。

　　2.密码设置技巧

　　(1)密码的位数不要少于6位，笔者设置的密码为32位，最好使用大写字母和小写字母、特殊符号和数字的集合;

　　(2)不要以任何单词、生日、数字、手机号、姓名或者拼音字母做为密码;

　　(3)密码中的英文字母最好有大小之分;

　　(4)不要用a、b、c等比较小顺序的字母或数字开头，因为用字典暴力破解的使用，一般都是从数字或英文字母排序开始算的，字母或数字顺序越小，破解的机率就大很多;

　　(5)也可以用一句话来设定密码，比如说“我是谁，我是我”;

　　(6)不要让别人很容易的得到你的信息，这包括身份证号码、电话号码、手机号码，等等;

　　(7)定期更改密码;

　　(8)不要把密码写在别人可以看到的地方，最好是强记在脑子里，更不能把自己的密码告诉别人，这样对自己对别人都是不负责任的行为。

　　(三)系统密码安全检查与防护

　　1.用户与密码检测

　　要经常查看系统的用户是否正常，是否被添加了新的用户，或者被提升了权限。在“开始”→“运行”窗口中输入“cmd”并回车，在窗口中输入命令：net user以查看是否被添加了新用户，然后再输入命令：“net localgroup administrators”以查看是否有用户被提升了管理员权限，在本例中仅仅存在一个管理员Administrator，如果存在多个管理员权限的用户，则说明系统极有可能被人入侵了!

　　2.系统用户登录日志检测

　　日志文件作为操作系统中的一个特殊文件，在安全方面具有无可替代的价值。它每天都为我们忠实地记录下系统所发生一切事件，利用它可以快速对潜在的系统入侵做出记录和预测。下面将介绍如何使用日志管理器来设置和查看安全事件。

　　(1)打开日志管理器

　　在“开始”→“程序”→“管理工具”→“事件查看器”。

　　(2)设置日志属性

　　鼠标右键点击“系统”属性→常规，可以对日志的大小、时间进行设置，如果发现你的日志记录不是在这个范围内，你的系统可能就被人“闯入”过，而且修改了你的日志。

　　(3)使用筛选器记录日志审核结果

　　接着打开筛选器，还可以对日志中的事件类型等进行筛选，选中所有的时间类型，这样系统发生事件后，将会自动记录在案!

　　属性设置好后，就可以查看日志了，从中我们可以发现入侵者的蛛丝马迹。

　　为了预防入侵者对日志的破坏我们还要定期对日志备份，如果有需要还可以恢复之前的日志文件。

 

3COME考试频道为您精心整理，希望对您有所帮助，更多信息在http://www.reader8.com/exam/

上一页1 2下一页查看更多 下一篇