一、設(shè)置安全強(qiáng)壯密碼的原則

    操作系統(tǒng)的密碼（口令）十分重要，它是抵抗攻擊的第一道防線，我們必須把密碼安全作為安全策略的第一步。如果攻擊者未能竊取到系統(tǒng)密碼，那么他就不能很好地和系統(tǒng)進(jìn)行交互信息，對(duì)系統(tǒng)所能采取的入侵的方法也就不多了。因此，必須設(shè)置安全強(qiáng)壯的密碼。所有安全強(qiáng)壯的密碼至少要有下列四方面內(nèi)容的三種：

    大寫(xiě)字母

    小寫(xiě)字母

    數(shù)字

    非字母數(shù)字的字符，如標(biāo)點(diǎn)符號(hào)等

    安全的密碼還要符合下列的規(guī)則

    不使用普通的名字或昵稱(chēng)

    不使用普通的個(gè)人信息，如生日日期

    密碼里不含有重復(fù)的字母或數(shù)字

    至少使用八個(gè)字符

    另外，應(yīng)該還要求用戶(hù)42天必須修改一次密碼。

    以下舉例說(shuō)明強(qiáng)壯密碼的重要性：假設(shè)密碼設(shè)置為6位（包括任意五個(gè)字母和一位數(shù)字或符號(hào)），則其可能性將近有163億種。不過(guò)這只是是理論估算，實(shí)際上密碼比這有規(guī)律得多。例如，英文常用詞條約5000條，從5000個(gè)詞中任取一個(gè)字母與一個(gè)字符合成口令，僅有688萬(wàn)種可能性，在一臺(tái)賽揚(yáng)600（CPU主頻）的計(jì)算機(jī)上每秒可運(yùn)算10萬(wàn)次，則破解時(shí)間僅需1分鐘！即使采用窮舉方法，也只需9個(gè)小時(shí)；因此6位密碼十分不可靠。而對(duì)于8位密碼（包括七個(gè)字母和一位數(shù)字或符號(hào)）來(lái)說(shuō)，若完全破解，則需要將近三年的時(shí)間。因此，密碼不要用全部數(shù)字，不要用自己的中英文名，不要用字典上的詞，一定要數(shù)字和字母交替夾雜，并最好加入@#$%!&*?之類(lèi)的字符。

二、如何強(qiáng)制使用安全強(qiáng)壯的密碼

    WindowsNT/2000系統(tǒng)在默認(rèn)配置下允許任何字符或字符串作為密碼，包括空格，這是相當(dāng)不安全的，下面我們通過(guò)修改注冊(cè)表使得用戶(hù)設(shè)定的密碼中必須同時(shí)包含字母和數(shù)字，從而增強(qiáng)系統(tǒng)的安全性。具體設(shè)置如下：

    首先在“開(kāi)始”“運(yùn)行”菜單中輸入regedit.exe程序，如下圖：

   

    然后進(jìn)入主鍵：

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

   

    新建Network子鍵（項(xiàng)）

   

   

    在右側(cè)窗口中新建（右鍵選擇“新建”）一個(gè)名為AlphanumPwds的雙字節(jié)（操作系統(tǒng)的不同，出來(lái)的菜單可能有不同，Dword同樣表示雙字節(jié)）值，（右鍵選擇”新建”）

     

   

    數(shù)值為1即可。

   

 

   

    （注：后面將會(huì)有大量操作注冊(cè)表的描述，過(guò)程如上圖大致類(lèi)似，就不再采用圖示。）注冊(cè)表各項(xiàng)解釋如下：

    名稱(chēng)： 指某個(gè)值的標(biāo)示名，比如上圖的AlphanumPwds 。

    類(lèi)型： 指該名稱(chēng)的數(shù)據(jù)類(lèi)型，共有三種：REG_SZ 字符串型，它的數(shù)據(jù)可以是字符串；REG_BINARY 二進(jìn)制數(shù)據(jù)類(lèi)型，它的數(shù)據(jù)就只能是0和1的組合； REG_DWORD 是雙字節(jié)數(shù)據(jù)類(lèi)型，它的數(shù)據(jù)可以是十六進(jìn)制數(shù)據(jù)。

    數(shù)據(jù)： 表示該值的內(nèi)容。

    我們還可以在密碼策略中進(jìn)行相關(guān)的設(shè)置。

    在”控制面板” “管理工具” “本地安全策略” “帳戶(hù)策略”中的”密碼策略”。

   

    雙擊想要更改的項(xiàng)目，比如修改密碼長(zhǎng)度最小值：

   

    點(diǎn)確定就可以了。

    按照上面的步驟作如下設(shè)置：

    密碼復(fù)雜性要求    啟用

    密碼長(zhǎng)度最小值    8位

    強(qiáng)制密碼歷史     5次

    強(qiáng)制密碼歷史      42天

    注：后兩項(xiàng)會(huì)因操作系統(tǒng)的不同，設(shè)置名稱(chēng)等會(huì)不盡相同，但意義都一樣。

    最后，請(qǐng)重新啟動(dòng)計(jì)算機(jī)生效。

三、如何設(shè)置安全的帳號(hào)策略

    對(duì)于Windows NT系統(tǒng)而言，帳號(hào)策略的設(shè)置是通過(guò)域用戶(hù)管理器來(lái)實(shí)施的，從用戶(hù)管理器的菜單中選擇用戶(hù)權(quán)限，可以設(shè)置密碼使用時(shí)間，長(zhǎng)度以及連續(xù)登錄失敗后的鎖定機(jī)制等。具體方法是：

    在上面的本地安全策略編輯器里，打開(kāi)”帳戶(hù)策略”，配置如下圖所示：

   

四、系統(tǒng)文件權(quán)限的分類(lèi)

    當(dāng)要給文件設(shè)置權(quán)限的時(shí)候，要首先保證該分區(qū)格式為NTFS（Windows NT的文件系統(tǒng)），當(dāng)然你也可以使用文件分配表（FAT）格式，但是FAT文件系統(tǒng)沒(méi)有對(duì)文件的訪問(wèn)權(quán)限加以任何限制，F(xiàn)AT只在那些相對(duì)來(lái)講對(duì)安全要求較低的情況下使用。在NTFS文件系統(tǒng)中，可以使用權(quán)限對(duì)單個(gè)文件進(jìn)行保護(hù)，并且可以把該權(quán)限應(yīng)用到本地訪問(wèn)和網(wǎng)絡(luò)訪問(wèn)中。在NTFS文件系統(tǒng)上，可以對(duì)文件設(shè)置文件權(quán)限，對(duì)目錄設(shè)置目錄權(quán)限，用于指定可以訪問(wèn)的組和用戶(hù)以及允許的訪問(wèn)等級(jí)時(shí)。

    如果實(shí)施了NTFS的文件系統(tǒng)格式，可通過(guò)系統(tǒng)的資源管理器直接來(lái)管理文件的安全，設(shè)置目錄或文件的權(quán)限。

    以regedit.exe文件為例，右鍵選擇“屬性”，

    在“安全”標(biāo)簽里面選擇不同組的名稱(chēng)，就可以更改配置他們對(duì)該文件的操作權(quán)限。

   

    基于文件級(jí)的權(quán)限可以分配下面幾種：讀�。ㄓ脩�(hù)可以讀取該文件的內(nèi)容），寫(xiě)入（用戶(hù)可以寫(xiě)入數(shù)據(jù)到該文件中），讀取及執(zhí)行（用戶(hù)可以執(zhí)行該程序），修改（用戶(hù)可以修改該文件內(nèi)容，包括刪除），完全控制（以上所有權(quán)限都有）。因此，適當(dāng)?shù)貫椴煌瑱?quán)限的帳號(hào)分配相應(yīng)的訪問(wèn)權(quán)限（在”允許”，”拒絕”欄分別打勾，如下圖）對(duì)于文件系統(tǒng)的安全是致關(guān)重要的。

   

五、如何保護(hù)注冊(cè)表的安全

    Windows NT/2000中的注冊(cè)表（Registry）是一系列的數(shù)據(jù)庫(kù)文件，主要存儲(chǔ)在 系統(tǒng)安裝目錄\ System32\Config下，有些注冊(cè)表文件建立和存儲(chǔ)在內(nèi)存中，這些文件的備份也存儲(chǔ)在 系統(tǒng)安裝目錄\Repair下。由于所有配置和控制系統(tǒng)數(shù)據(jù)最終都存在于注冊(cè)表中，而且Registry的缺省權(quán)限設(shè)置是對(duì)“所有人”“完全控制”（FullControl）和“創(chuàng)建”（Create），這種設(shè)置可能會(huì)被惡意用戶(hù)刪除或者替換掉注冊(cè)表（Registry）文件。所以，如果注冊(cè)表權(quán)限沒(méi)有設(shè)置好的話，整個(gè) Windows NT/2000的系統(tǒng)就不安全，因此我們必須控制注冊(cè)表的訪問(wèn)權(quán)。

    對(duì)于注冊(cè)表（Registry），建議應(yīng)嚴(yán)格限制只能在本地進(jìn)行注冊(cè)，不能被遠(yuǎn)程訪問(wèn)，限制對(duì)注冊(cè)表（Registry）編輯工具的訪問(wèn)。具體可以利用文件管理器設(shè)置只允許網(wǎng)絡(luò)管理員使用注冊(cè)表編輯工具regedit.exe或regedt32.exe，其他任何用戶(hù)不得使用；還可使用第三方工具軟件，比如Enterprise Administrator （Mission Critical Software）來(lái)鎖住注冊(cè)表（Registry）�；蛘甙褜�(duì)注冊(cè)表缺省的所有用戶(hù)都能“完全控制”的權(quán)利改成只能“讀取”。

    在“開(kāi)始”“運(yùn)行”里面輸入regedt32如下圖：

   

   

    假設(shè)我們將HKEY_CURRENT_USER支更改成一般用戶(hù)只能讀，在菜單中選擇“安全”“權(quán)限” 如下圖：

   

   

    選擇組用戶(hù)users（在win2000系統(tǒng)中默認(rèn)uers是一般用戶(hù)，如果在上面列表中沒(méi)有定義users組權(quán)限，可以選擇”添加”按紐，將該組進(jìn)行權(quán)限設(shè)置）

   

    同時(shí)，

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg這個(gè)鍵應(yīng)該只允許Administrators組成員訪問(wèn)。修改方法參照上圖。

    為了能識(shí)別用戶(hù)，防止匿名登陸，應(yīng)該在HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\LSA 下新建一個(gè)DWORD（雙字節(jié)）類(lèi)型的RestrictAnonymous項(xiàng)，并設(shè)置其值為1（具體操作請(qǐng)參考上面的圖示）。

    實(shí)際上，如果把用戶(hù)操作注冊(cè)表的這種權(quán)利設(shè)置成“只讀”，將會(huì)給一些應(yīng)用軟件帶來(lái)許多潛在的功能性問(wèn)題，比如Dlexpert（下載專(zhuān)家，一個(gè)下載軟件），在下載的時(shí)候會(huì)將當(dāng)前下載地址等信息寫(xiě)入到注冊(cè)表里面，如果在設(shè)置了注冊(cè)表權(quán)限的機(jī)器上運(yùn)行該程序，會(huì)出現(xiàn)下載地址無(wú)法保存的現(xiàn)象，解決辦法就是使用regedt32軟件將用戶(hù)權(quán)限更改回去，在這里，我們建議在重要服務(wù)器上不要安裝和運(yùn)行其他非系統(tǒng)的軟件。

 

來(lái)源：巨靈鳥(niǎo) 歡迎分享本文