Windows帐户与口令的安全设置
Windows帐户与口令的安全设置
实验目的与要求
1.掌握windows操作系统中安全帐户的设置方法。
2.掌握windows操作系统中高强度登录密码的设置方法。
3.掌握利用syskey保护帐户信息的方法星座血型
实验环境
Windows xp操作系统
预备知识
1. windows的域安全策略
目前常见的安装在服务器端的windows操作系统中均带有“域安全策略”,这是一种非常有效的系统安全管理工具。可以通过一次单击“开始”-“设置”-“控制面板”-“管理工具”-“域安全策略”命
令,打开“域安全策略”进行相关设置。Windows的域安全设置可分为帐户策略,本地策略,公钥策略,事件日志,受限制的组,系统服务,注册表,文件系统,公钥策略和IP安全策略。
(1)账户策略是由用户名+密码组成,我们利用账户策略设置密码策略,账户锁定和Kerberos(只针对域)策略。
(2)本地策略。本地策略所设置的值只对本地计算机起作用,它包括审核策略,授权用户权限,设置各种安全机制。
(3)事件日志。主要对域(包括本地)的各种事件进行记录。为应用程序日志,系统日志和安全日志配置大小,访问方式和保留时间等参数。
(4)受限制的组。管理内置组的成员资格。一般内置组都有预定义功能,利用受限组可以更改这些预定义的功能。
(5)系统服务。为了运行在计算机上的服务配置安全性和启动设置。
(6)注册表。配置注册密钥的安全性,在windows xp中,注册表是一个集中式层次结构数据库,它存储windows所需要的必要信息,用于为用户,程序,硬件设备配置进行统计。
(7)文件系统。指定文件路径配置安全性。
(8)公钥策略。配置加密的数据恢复代理和信任认证中心证书。证书是软件服务证书,可以提供身份鉴定的支持,包括安全的E-mail功能,基于web的身份鉴定和SAM身份鉴定。
(9)IP安全性策略。配置IPSec(IP协议安全性)。IPSec是一个工业标准,用于对TCP/IP网络数据流加密以及保护企业内部网内部通信和跨越Internet的VPN(虚拟专用网络)通信的安全。
2.  windows的本地安全策略
绿豆汤煮多久
与之相对应的另一组windows操作系统中带有“本地安全策略”,例如windows xp操作系统。打开“本地安全策略”进行相关设置。顾名思义,域安全策略设置作用于整个域,而本地安全策略设置仅作用于本台计算机。本地安全策略包括4个子项目:“账户策略”,“本地策
略”,“软件限制策略”与“IP安全策略”,其中通过对对“账户策略”与“本地策略”的设置,可有效保护windows登录账户的安全性。本实验主要是通过对本地安全策略进行相应设置以提高操作系统账户和口令的安全。
3.  Administrator和Guest账户
滚筒洗衣机的优缺点“本地用户和组”位于“开始” – “设置” – “控制面板” – “管理工具” – “计算机管理”中,用户可以利用这一组管理工具来管理单台本地或远程计算机。可以使用“本地用户和组”保护并管理存储在本地激素那几上的用户账户和组。可以在特定计算机和仅这台
计算机上分配本地用户或组账户的权限和权力。
通过“本地用户和组”,可以为用户和组分配权力和权限,从而限制了用户和组织执行某些操作的能力。权限可授权用户在计算机上执行某些操作,如备份文件和文件夹或者关机。权限是与对象(通常是文件,文件夹或打印机)相关联的一种规则,它规定哪些用户可以访问该对象以及何种方式访问。
“本地用户和组”的“用户”文件夹显示了默认的用户账户以及操作系统用户所创建的用户账户。
其中有两个特殊的账户:Administrator和Guest账户。
Administrator和Guest账户是在安装windows时自动建立的账户,也称为内置账户。这两个账户在windows安装之后已经存在并且被赋予了相应的权限,它们不能被删除(既使是管理员也不能),其中Administartor账户还不允许被屏蔽,开始时Guest账户处于停用状态。Administartor和Guest账户的权限如下。
(1)Administrator。在域中和计算机中具有不受限制的权利,可以管理本地或域中的任何计算机,如创建账户,创建组,实施安全策略等。Administrator账户具有对服务器的安全控制权限,并可以根据需要向用户指派用户权利和访问控制权限。Administrator账户是服务器上Administartors组的成员。永远也不可以从Administrators组删除Administrator账户,但可以重命名或禁用该账户。由于大家都知道administrator账户存于许多版本的windows上,所以重命名或警用此账户将使恶意用户尝试并访问该账户变得更为困难。
(2)Guest,供在域中和计算机中没有固定账户的用户临时使用计算机或访问域。如果某个用户的账户已被禁用,但还未删除,那该用户也可以使用Guest账户,Guest账户不需要密码。默认情况下,Guest账户是禁用,但也可以启用它。该账户在默认情况下不允许对
计算机或域中的设置和资源做永久性改变。可以像任何用户账户一样设置Guest账户的权利和权限。默认情况下,Guest账户是默认的Guest组的成员,该组允许用户登录服务器,其他权利及任何权限都必须由administrator组的成员授予Guests组。
4. 高强度登录密码
登录密码是目前windows操作系统采用的,识别合法用户的一种常见有效手段,在保护windows操作系统安全,避免非法用户入侵方面具有重要的作用;若登录密码强度不够,那么整个操作系统的安全性将存在严重隐患。因此设置高强度的登录密码,并采用有效措施保护登录密码是保障计算机安全的一种基本手段。
一个高强度的密码至少要包括下列4个方面内容的3种:
大写字母
小写字母
数字多孔红菇
非字母数字的特殊字符,如标点符号等。
诗情画意的诗句另外高强度的密码还要符合下列的规则:
不使用普通的名字,昵称或缩写。
不使用普通的个人信息,如生日日期。
密码不能与用户名相同,或者相近。
密码里不含有重复的字母或数字。
另外,在目前的windows操作系统中,密码字符是7个一组进行存放的,密码破解工具在破解密码时通常是针对这种特点实施分组破解,因此密码的长度最好为7的整倍数。
5.SYSKEY
中统和军统的区别
从windows NT4 server pack 3开始,Microsoft提供了对SAM散列值进行进一步加密的方法,称为SYSKEY。SYSKEY是System key的缩写,它生成一个随机的128位密钥,对散
列值再次进行加密(请注意:不是对SAM文件加密,而是对散列值进行加密)。因此SYSKEY可以用来保护SAM数据库不被离线破解。用过去的加密机制,如果攻击者能够得到一份加密过的SAM库的拷贝,就能够在自己的机器上来破解用户口令。目前已经有一些专门用来破解SAM数据库的工具。SYSKEY对数据库采用了更多的加密措施,目的是增加破解的计算机量,使暴力破解从时间上考虑不可行。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。