Windows帐户与口令的安全设置

课程编写 内容 Windows帐户与口令的安全设置 1. 掌握windows操作系统中安全帐户的设置方法。 2. 掌握windows操作系统中高强度登录密码的设置方法。 3. 掌握利用syskey保护帐户信息的方法 称 要求 虚拟PC） 操作系统类型：windows xp，网络接口：本地连接 连接要求 PC 网络接口，本地连接与实验网络直连 1、学生机要求安装java环境 述 2、vpc安装Windows xp 1、 学生机与实验室网络直连; 2、 VPC1与实验室网络直连; 境描述 3、 学生机与VPC1物理链路连通； 1. windows的域安全策略 目前常见的安装在服务器端的windows操作系统中均带有“域安全策略”，这是一种非常有效的系统以通过一次单击“开始”-“设置”-“控制面板”-“管理工具”-“域安全策略”命令，打开“域安设置。Windows的域安全设置可分为帐户策略，本地策略，公钥策略，事件日志，受限制的组，系统件系统，公钥策略和IP安全策略。 （1） 账户策略是由用户名+密码组成，我们利用账户策略设置密码策略，账户锁定和Kerber（2） 本地策略。本地策略所设置的值只对本地计算机起作用，它包括审核策略，授权用户权机制。 （3） 事件日志。主要对域（包括本地）的各种事件进行记录。为应用程序日志，系统日志和访问方式和保留时间等参数。 （4） 受限制的组。管理内置组的成员资格。一般内置组都有预定义功能，利用受限组可以更能。 （5） 系统服务。为了运行在计算机上的服务配置安全性和启动设置。 （6） 注册表。配置注册密钥的安全性，在windows xp中，注册表是一个集中式层次结构数据 所需要的必要信息，用于为用户，程序，硬件设备配置进行统计。 （7） 文件系统。指定文件路径配置安全性。 （8） 公钥策略。配置加密的数据恢复代理和信任认证中心证书。证书是软件服务证书，可以持，包括安全的E-mail功能，基于web的身份鉴定和SAM身份鉴定。 （9） IP安全性策略。配置IPSec(IP协议安全性)。IPSec是一个工业标准，用于对TCP/IP网保护企业内部网内部通信和跨越Internet的VPN（虚拟专用网络）通信的安全。 2. windows的本地安全策略 与之相对应的另一组windows操作系统中带有“本地安全策略”，例如windows xp操作系统。打开进行相关设置。顾名思义，域安全策略设置作用于整个域，而本地安全策略设置仅作用于本台计算机括4个子项目：“账户策略”，“本地策略”，“软件限制策略”与“IP安全策略”，其中通过对对地策略”的设置，可有效保护windows登录账户的安全性。本实验主要是通过对本地安全策略进行相系统账户和口令的安全。 3. Administrator和Guest账户 “本地用户和组”位于“开始” – “设置” – “控制面板” – “管理工具” – 用户可以利用这一组管理工具来管理单台本地或远程计算机。可以使用“本地用户和组”保护并管理几上的用户账户和组。可以在特定计算机和仅这台 计算机上分配本地用户或组账户的权限和权力。 通过“本地用户和组”，可以为用户和组分配权力和权限，从而限制了用户和组织执行某些操作权用户在计算机上执行某些操作，如备份文件和文件夹或者关机。权限是与对象（通常是文件，文件联的一种规则，它规定哪些用户可以访问该对象以及何种方式访问。 “本地用户和组”的“用户”文件夹显示了默认的用户账户以及操作系统用户所创建的用户账户的账户：Administrator和Guest账户。 Administrator和Guest账户是在安装windows时自动建立的账户，也称为内置账户。这两个账户后已经存在并且被赋予了相应的权限，它们不能被删除（既使是管理员也不能），其中Administar屏蔽，开始时Guest账户处于停用状态。Administartor和Guest账户的权限如下。 （1） Administrator。在域中和计算机中具有不受限制的权利，可以管理本地或域中的任何计创建组，实施安全策略等。Administrator账户具有对服务器的安全控制权限，并可以根用户权利和访问控制权限。Administrator账户是服务器上Administartors组的成员。Administrators组删除Administrator账户，但可以重命名或禁用该账户。由于大家都账户存于许多版本的windows上，所以重命名或警用此账户将使恶意用户尝试并访问该（2） Guest，供在域中和计算机中没有固定账户的用户临时使用计算机或访问域。如果某个用但还未删除，那该用户也可以使用Guest账户，Guest账户不需要密码。默认情况下，G但也可以启用它。该账户在默认情况下不允许对计算机或域中的设置和资源做永久性改变账户一样设置Guest账户的权利和权限。默认情况下,Guest账户是默认的Guest组的成录服务器，其他权利及任何权限都必须由administrator组的成员授予Guests组。 4. 高强度登录密码 登录密码是目前windows操作系统采用的，识别合法用户的一种常见有效手段，在保护windows操作法用户入侵方面具有重要的作用；若登录密码强度不够，那么整个操作系统的安全性将存在严重隐患的登录密码，并采用有效措施保护登录密码是保障计算机安全的一种基本手段。 一个高强度的密码至少要包括下列4个方面内容的3种： 大写字母 小写字母 数字 非字母数字的特殊字符，如标点符号等。 另外高强度的密码还要符合下列的规则： 不使用普通的名字，昵称或缩写。 不使用普通的个人信息，如生日日期。 密码不能与用户名相同，或者相近。 密码里不含有重复的字母或数字。 另外，在目前的windows操作系统中，密码字符是7个一组进行存放的，密码破解工具在破解密码时点实施分组破解，因此密码的长度最好为7的整倍数。 5. SYSKEY 从windows NT4 server pack 3开始，Microsoft提供了对SAM散列值进行进一步加密的方法，称为System key的缩写，它生成一个随机的128位密钥，对散列值再次进行加密（请注意：不是对SAM文列值进行加密）。因此SYSKEY可以用来保护SAM数据库不被离线破解。用过去的加密机制，如果攻加密过的SAM库的拷贝，就能够在自己的机器上来破解用户口令。目前已经有一些专门用来破解SASYSKEY对数据库采用了更多的加密措施，目的是增加破解的计算机量，使暴力破解从时间上考虑不 1. 演示如何对账户实施管理，以确保系统的安全性，其中包括限制用户数量，停用Guest账户，重设置双管理员账户和设置陷阱账户等几个部分。 2. 演示通过设置本地安全策略中的密码策略和账户锁定策略来确保账户的安全性。 3. 演示如何使用windows系统自带的syskey工具来保护SAM文件中的账户信息。 ? 学生单击 “网络拓扑”进入实验场景，单击 “打开控制台”按钮，进入目标主机。如图所示： 打开实验平台，密码是123456，进入Windows XP系统。 1. 账户设置 (1)限制用户数量 去掉所有的测试账户，共享账户等，尽可能少建立有效账户，没有用的一律不要，多疑个账户系统的账户越多，被攻击成功的可能性越大。因此，要经常用一些扫描工具查看系统账户，账户权限及除不再使用的账户。对于windows主机，如果系统账户超过10个，一般能找出一两个弱口令账户，所以10个。 具体做法： 1. 依次单击“开始”-“控制面板” 命令，然后依次双击“管理工具”–“计算机管理”示的窗口。