课程编写 | ||
类别 | 内容 | |
实验课题名称 | Windows帐户与口令的安全设置 | |
实验目的与要求 |
1. 掌握windows操作系统中安全帐户的设置方法。 2. 掌握windows操作系统中高强度登录密码的设置方法。 3. 掌握利用syskey保护帐户信息的方法 |
|
实验环境 | VPC1(虚拟PC) | 操作系统类型:windows xp,网络接口:本地连接 |
VPC1 连接要求 | PC 网络接口,本地连接与实验网络直连 | |
软件描述 |
1、学生机要求安装java环境 2、vpc安装Windows xp |
|
实验环境描述 |
1、 学生机与实验室网络直连; 2、 VPC1与实验室网络直连; 3、 学生机与VPC1物理链路连通; |
|
预备知识 |
1. windows的域安全策略 目前常见的安装在服务器端的windows操作系统中均带有“域安全策略”,这是一种非常有效的系统安全管理工具。可以通过一次单击“开始”-“设置”-“控制面板”-“管理工具”-“域安全策略”命令,打开“域安全策略”进行相关设置。Windows的域安全设置可分为帐户策略,本地策略,公钥策略,事件日志,受限制的组,系统服务,注册表,文件系统,公钥策略和IP安全策略。 (1) 账户策略是由用户名+密码组成,我们利用账户策略设置密码策略,账户锁定和Kerberos(只针对域)策略。 (2) 本地策略。本地策略所设置的值只对本地计算机起作用,它包括审核策略,授权用户权限,设置各种安全机制。 (3) 事件日志。主要对域(包括本地)的各种事件进行记录。为应用程序日志,系统日志和安全日志配置大小,访问方式和保留时间等参数。 (4) 受限制的组。管理内置组的成员资格。一般内置组都有预定义功能,利用受限组可以更改这些预定义的功能。 (5) 系统服务。为了运行在计算机上的服务配置安全性和启动设置。 (6) 注册表。配置注册密钥的安全性,在windows xp中,注册表是一个集中式层次结构数据库,它存储windows所需要的必要信息,用于为用户,程序,硬件设备配置进行统计。 (7) 文件系统。指定文件路径配置安全性。 (8) 公钥策略。配置加密的数据恢复代理和信任认证中心证书。证书是软件服务证书,可以提供身份鉴定的支持,包括安全的E-mail功能,基于web的身份鉴定和SAM身份鉴定。 (9) IP安全性策略。配置IPSec(IP协议安全性)。IPSec是一个工业标准,用于对TCP/IP网络数据流加密以及保护企业内部网内部通信和跨越Internet的VPN(虚拟专用网络)通信的安全。 2. windows的本地安全策略 与之相对应的另一组windows操作系统中带有“本地安全策略”,例如windows xp操作系统。打开“本地安全策略”进行相关设置。顾名思义,域安全策略设置作用于整个域,而本地安全策略设置仅作用于本台计算机。本地安全策略包括4个子项目:“账户策略”,“本地策略”,“软件限制策略”与“IP安全策略”,其中通过对对“账户策略”与“本地策略”的设置,可有效保护windows登录账户的安全性。本实验主要是通过对本地安全策略进行相应设置以提高操作系统账户和口令的安全。 3. Administrator和Guest账户 “本地用户和组”位于“开始” – “设置” – “控制面板” – “管理工具” – “计算机管理”中,用户可以利用这一组管理工具来管理单台本地或远程计算机。可以使用“本地用户和组”保护并管理存储在本地激素那几上的用户账户和组。可以在特定计算机和仅这台 计算机上分配本地用户或组账户的权限和权力。 通过“本地用户和组”,可以为用户和组分配权力和权限,从而限制了用户和组织执行某些操作的能力。权限可授权用户在计算机上执行某些操作,如备份文件和文件夹或者关机。权限是与对象(通常是文件,文件夹或打印机)相关联的一种规则,它规定哪些用户可以访问该对象以及何种方式访问。 “本地用户和组”的“用户”文件夹显示了默认的用户账户以及操作系统用户所创建的用户账户。其中有两个特殊的账户:Administrator和Guest账户。 Administrator和Guest账户是在安装windows时自动建立的账户,也称为内置账户。这两个账户在windows安装之后已经存在并且被赋予了相应的权限,它们不能被删除(既使是管理员也不能),其中Administartor账户还不允许被屏蔽,开始时Guest账户处于停用状态。Administartor和Guest账户的权限如下。 (1) Administrator。在域中和计算机中具有不受限制的权利,可以管理本地或域中的任何计算机,如创建账户,创建组,实施安全策略等。Administrator账户具有对服务器的安全控制权限,并可以根据需要向用户指派用户权利和访问控制权限。Administrator账户是服务器上Administartors组的成员。永远也不可以从Administrators组删除Administrator账户,但可以重命名或禁用该账户。由于大家都知道administrator账户存于许多版本的windows上,所以重命名或警用此账户将使恶意用户尝试并访问该账户变得更为困难。 (2) Guest,供在域中和计算机中没有固定账户的用户临时使用计算机或访问域。如果某个用户的账户已被禁用,但还未删除,那该用户也可以使用Guest账户,Guest账户不需要密码。默认情况下,Guest账户是禁用,但也可以启用它。该账户在默认情况下不允许对计算机或域中的设置和资源做永久性改变。可以像任何用户账户一样设置Guest账户的权利和权限。默认情况下,Guest账户是默认的Guest组的成员,该组允许用户登录服务器,其他权利及任何权限都必须由administrator组的成员授予Guests组。 4. 高强度登录密码 登录密码是目前windows操作系统采用的,识别合法用户的一种常见有效手段,在保护windows操作系统安全,避免非法用户入侵方面具有重要的作用;若登录密码强度不够,那么整个操作系统的安全性将存在严重隐患。因此设置高强度的登录密码,并采用有效措施保护登录密码是保障计算机安全的一种基本手段。 一个高强度的密码至少要包括下列4个方面内容的3种: 大写字母 小写字母 数字 非字母数字的特殊字符,如标点符号等。 另外高强度的密码还要符合下列的规则: 不使用普通的名字,昵称或缩写。 不使用普通的个人信息,如生日日期。 密码不能与用户名相同,或者相近。 密码里不含有重复的字母或数字。 另外,在目前的windows操作系统中,密码字符是7个一组进行存放的,密码破解工具在破解密码时通常是针对这种特点实施分组破解,因此密码的长度最好为7的整倍数。 5. SYSKEY 从windows NT4 server pack 3开始,Microsoft提供了对SAM散列值进行进一步加密的方法,称为SYSKEY。SYSKEY是System key的缩写,它生成一个随机的128位密钥,对散列值再次进行加密(请注意:不是对SAM文件加密,而是对散列值进行加密)。因此SYSKEY可以用来保护SAM数据库不被离线破解。用过去的加密机制,如果攻击者能够得到一份加密过的SAM库的拷贝,就能够在自己的机器上来破解用户口令。目前已经有一些专门用来破解SAM数据库的工具。SYSKEY对数据库采用了更多的加密措施,目的是增加破解的计算机量,使暴力破解从时间上考虑不可行。 |
|
实验内容 |
1. 演示如何对账户实施管理,以确保系统的安全性,其中包括限制用户数量,停用Guest账户,重命名管理员账户,设置双管理员账户和设置陷阱账户等几个部分。 2. 演示通过设置本地安全策略中的密码策略和账户锁定策略来确保账户的安全性。 3. 演示如何使用windows系统自带的syskey工具来保护SAM文件中的账户信息。 |
|
实验步骤 |
l 学生单击 “网络拓扑”进入实验场景,单击 “打开控制台”按钮,进入目标主机。如图所示: 打开实验平台,密码是123456,进入Windows XP系统。 1. 账户设置 (1)限制用户数量 去掉所有的测试账户,共享账户等,尽可能少建立有效账户,没有用的一律不要,多疑个账户就多一个安全隐患。系统的账户越多,被攻击成功的可能性越大。因此,要经常用一些扫描工具查看系统账户,账户权限及密码,并且及时删除不再使用的账户。对于windows主机,如果系统账户超过10个,一般能找出一两个弱口令账户,所以账户数量不要大于10个。 具体做法: 1. 依次单击“开始”-“控制面板” 命令,然后依次双击“管理工具”–“计算机管理”,弹出如图6.1所示的窗口。 2. 点击“本地用户和组” 前面的 “+”,然后单击“用户”,在右边出现的用户列表中,选择要删除的用户,单击右键,在弹出的快捷菜单中,选择“删除”,命令,在接下来出现的对话框中,单击“是”按钮。 3、停用Guest账户 将Guest账户停用,改成一个复杂的名称并加上密码,然后将它从Guests组删除,任何时候都不允许Guest账户登录系统。 具体做法: 右击Guest用户,点击“属性”,弹出所示窗口。 选择“账户已停用”复选框。 停用Guest账户 然后,在同一个快捷菜单中单击“重命名”,为Guest起一个新名字hhnihama;单击“设置密码”123456,建议设置一个复杂的密码。 接下来,单击“组”,在右边出现的组列表中,双击Guests组,在弹出的对话框中选择Guest账户,单击“删除”按钮. 4、重命名管理员账户 用户登录系统的账户名对于黑客来说也有着重要意义。当黑客得知账户名后,可发起有针对性的攻击。目前许多用户都在使用Administrator账户登录系统,这为黑客的攻击创造了条件。因此可以重命名administrator账户,使得黑客无法针对该账户发起攻击。但是注意不要使用admin root之类的特殊名字,尽量伪装成普通用户,例如user1。 具体做法: (1) 依次单击“开始” – “设置” – “控制面板”,然后依次双击“管理工具” – “计算机管理”,在弹出的窗口中单击“本地用户和组”前面的“+”,然后单击“用户”,在右边出现的用户列表中,选择administartor账户,单击右键,在弹出的快捷菜单中,单击“重命名”,在接下来出现的对话框中,为administrator账户重命名为admin。 (2) 打开“本地安全策略”窗口,在窗口左侧依次选择“安全设置“ – ”本地策略“ – ”安全选项“,如图6.4所示,在窗口右侧双击选择”账户:重命名系统管理员账户“选项,在弹出的对话框中将更改administrator账户名. 图6.5 打开“安全选项” 修改“系统管理员账户名称” (3)设置两个管理员账户 因为只要登录系统后,密码就存储在winLogon进程中,当有其他用户入侵计算机的时候就可以得到登录用户的密码,所以可以设置两个管理员账户,一个用来处理日常事务,一个用作备用。 (4)设置陷阱用户 在Guests组中设置一个administrator账户,把它的权限设置成最低,并给予一个复杂的密码(至少要超过10位的超级复杂密码)而且用户不能更改密码,这样就可以让那些企图入侵的黑客们花费一番工夫,并且可以借此发现他们的入侵企图。 具体做法如下: 依次单击“开始“ - ”设置“ – ”控制面板“,然后依次双击”管理工具“ – ”计算机管理“。 在弹出的窗口中单击“本地用户和组“前面的”+“,然后单击”用户“,在右边出现的用户列表中单击右键,在弹出的快捷菜单中单击”新用户“命令,在稍后弹出的”新用户“对话框中,输入用户名和一个足够复杂的密码,并选中”用户不能更改密码“复选框. 创建admin账户 单击“创建”按钮后,会发现在用户列表中已经出现了administrator账户,如图6.7所示。 admin账户已创建 将新创建的administrator用户添加到Guests组中,即单击“计算机管理”的“系统工具”中的“本地用户和组”前面的“+”,然后单击“组”,在右出现的用户列表中单击右键,在弹出的快捷菜单中单击“添加到组”命令。 向Guests组添加新用户 在弹出的“选择用户”对话框中单击“高级”按钮。 “选择用户”对话框 在弹出的“高级”对话框中单击“立即查找”,在查找到的用户列表中选中admin。然后单击“确定”按钮,出现的Guests对话框,由此可见admin账户已经添加到Guests组中了。 “选择用户-高级”对话框 guest组中已添加admin账户 5、本地安全策略设置 (1)(点击“开始”选择“运行”输入“secpol.msc”即可进入到本地安全策略中。)利用密码策略强制设置高强度密码 打开“本地安全设置”窗口,在窗口左边部分依次选择“账户策略” – “密码策略”。 选择“密码策略” 然后在窗口右侧列出的策略中双击“密码必须符合复杂性要求”,在“密码必须符合复杂性要求 属性”对话框中选中“已启用”,单击“确定”按钮。 设置密码复杂性策略 注:当启用“密码必须符合复杂性要求”策略后,密码必须符合下列要求才有效。 (1) 不得明显包含用户账户名或用户全名的一部分。 (2) 长度至少为6个字符 (3) 包含来自以下4个类别中的3种字符。 (4) 英文大小写字母(从A到Z) (5) 英文小写字母(从a到z) (6) 10个基本数字(从0到9) (7) 非字母字符(例如,!,$,#,%) 依次选择“控制面板” – “管理工具” – “计算机管理”窗口的左侧部分依次选择“系统工具” – “本地用户和组” – “用户”,然后在窗口右侧右键单击admin账户,在弹出的快捷菜单中选择”设置密码”。 设置administrator账户的密码 此时在弹出“为administrator设置密码”对话框中,输入123456,因为已经启用“密码”必须符合复杂性要求“安全策略”,所以若设置简单密码,则会弹出所示的提示。 提示密码设置不符合要求 6、保护密码安全策略的设置 (1)设置密码长度最小值 设置密码最小值有助于防止用户设置过短的密码,避免用户密码被轻易猜出。 打开“本地安全策略”,在窗口右侧双击“密码长度最小值”,则打开了该项策略的设置,所示 设置密码长度最小值 一旦该策略生效,再次更改密码时,则必须符合该策略中设置的密码长度,否则会弹出与图6.15类似的错误提示。 (2)密码最长存留期与密码最短存留期 设置密码最长存留期可提醒用户在经过一定时间后更改正在使用的密码,这有助于防止长时间使用固定密码嗲来的安全隐患。设置密码最短存留期不仅可避免由于高度频繁地更改更改密码带来的密码难以使用的问题(如由于高度频繁地更改密码导致用户记忆混乱),而且可防止黑客在入侵系统后更改用户密码。 打开“本地安全策略”,在窗口右侧双击“密码最长存留期”,则打开了该项策略的设置,所示(以类似的方式,可以进行“密码最短存留期”的设置)。 设置密码最长存留期 (3)强制密码历史 “强制密码历史”安全策略可有效防止用户交替使用几个有限的密码所带来的安全问题。该策略可以让系统记住哟牛股和曾经使用过的密码。若用户更改的新密码与已使用过的密码一样,系统会给出提示。该安全策略最多可以记录24个曾使用过的密码。 打开“本地安全策略”,在窗口右侧双击“强制密码历史”,则打开了该项策略的设置。 设置强制密码历史 注:为了使“强制密码历史”安全策略生效,必须将“密码最短存留期”的值设为一个大于0的值。 (4)账户锁定策略 账户锁定策略可发现账户操作中的异常事件,并对发生异常的账户进行锁定,从而保护账户的安全性。 打开“本地安全策略”窗口,在窗口左侧依次选择“账户策略” – “账户锁定策略”,则会看到该策略有3个设置项:“复位账户锁定计数器”,“账户锁定时间”,“账户锁定阀值”。 账户锁定策略 “账户锁定阀值”可设置在几次登录失败后就锁定该账户。这能有效防止黑客对该账户密码的穷举猜测。当“账户锁定阀值”的值设定为一个非0值后。这能有效防止黑客对账户密码穷举的猜测。当“账户锁定阀值”的值设定为一个非0值后,则可以设置“复位账户锁定计数器”和“账户锁定时间”两个安全策略的值。其中“复位账户锁定计数器”设置了计数器,复位为0时所经过的分钟数;“账户锁定时间”设置了账户保持锁定状态的分钟数,当时间过后,账户会自动解锁,以确保合法的用户在账户解锁后可以通过使用正确的密码登录系统。 当“账户锁定阀值”设置为一个非0值后,“复位账户锁定计数器”与“账户锁定时间”会自动设置为默认值,如图6.20所示。默认值可在这两个安全策略中分别修改。 “复位账户锁定计数器”与“账户锁定时间”的默认值 7、利用syskey保护账户信息 SYSKEY可以使用启动密钥来保护SAM文件中的账户信息。默认情况下,启动密钥是一个随机生成的密钥,存储在本地计算机上,这个启动密钥在计算机启动时必须正确输入才能登录系统,运行SYSKEY有两种方式: 1. 依次单击“开始” – “运行” 命令,在“运行”对话框中输入syskey命令。然后单击“确定”按钮,会出现如图4.22所示的SYSKEY设置界面。 运行SYSKEY 8、 依次单击“开始” – “程序” – “附件” – “命令提示符” 命令,在盘符后输入syskey命令,按Enter键,会出现“保证windows xp账户数据库的安全”的对话框,也就是skskey的设置界面。 启用了SYSKEY 单击“确定”按钮,此刻会发现操作系统没有任何提示,但是其实已经完成了对SAM散列值的二次加密工作。此时,及时攻击者通过另外一个系统进入系统,盗走SAM文件的副本或者在线提取密码散列值,这份副本或散列值对于攻击者也是没有意义的,因为syskey提供了安全保护。 如果要设置系统启动密码或启动软盘就要单击对话框中的“更新”按钮,弹出所示的对话框。 启用SYSKEY 若想设置系统启动时的密码可以单击“密码启动“,并在文本框中输入你的设置密码。 若先制作启动盘可以依次单击“系统产生的密码“和”在软盘上保存启动密码“ 若想保存一个密码作为操作系统的一部分,在系统开始时不需要任何交互操作,可依次单击“系统产生的密码“和”在本机上保存启动密码“。 当然,要防止黑客进入系统后对本地计算机上存储的启动密钥进行暴力搜索,还是建议将启动密钥存储在软盘或移动硬盘上,实现启动密钥与本地计算机的分离。 9、实验到此就结束了,关闭实验环境。 |