每個人在網絡中都有一個代表“身份”的名稱,稱爲“用戶”。用戶的權限不同,對計算機及網絡控制的能力與範圍就不同。Windows Server 2003操作系統中有兩種不同類型的用戶賬戶,即只能用來訪問本地計算機(或使用遠程計算機訪問本計算機)的“本地用戶賬戶”和可以訪問網絡中所有計算機的“域用戶賬戶”。用戶賬戶是進入網絡的鑰匙,對用戶權限的管理直接關係到網絡中應用系統的安全。安全的實質就是權限的使用,而權限又是被賦予每一個用戶的。因此,要確保用戶只擁有必要的權限,確保用戶的密碼不被破解。總之,只有確保用戶賬戶的安全,才能實現真正的系統安全和數據安全。
密碼是用戶登錄Windows Server 2003系統的鑰匙,如果沒有鑰匙總是要費一番力氣後,才能登錄到目標操作系統。無論***者採用何種遠程***,如果無法獲得管理員或超級管理員的用戶密碼,就無法完全控制整個系統。若想訪問系統,最簡單也是必要的方法就是竊取用戶的密碼。因此,對系統管理員賬戶來說,最需要保護的就是密碼,如果密碼被盜,也就意味着災難的降臨。
***者大多是通過各種系統和設置漏洞,獲得管理員密碼來獲得管理員權限的,然後,再實現對系統的惡意***。賬號的弱密碼設置會使***者易於破解而得以訪問計算機和網絡,而強密碼則難以破解,即使是密碼破解軟件也難以在短時間內辦到。密碼破解軟件一般使用3種方法進行破解:字典猜解、組合猜解和暴力猜解。毫無疑問,破解強密碼遠比破解弱密碼困難得多。因此,系統管理員賬戶必須使用強密碼。
據統計,大約80%的安全隱患是由於密碼設置不當引起的。因此,密碼的設置無疑是十分講究技巧的。在設置密碼時,請遵守密碼安全設置原則,該原則適用於任何使用密碼的場合,既包括Windows操作系統,也包括UNIX/Linux操作系統。
1)不可讓賬號與密碼相同
如果將密碼設置爲與用戶賬號相同的話,那麼幾乎所有的密碼破解軟件都將輕而易舉地將密碼探測出來。
2)不可使用自己的姓名
使用自己的姓或名,甚至是姓名作爲密碼,實在是不堪一擊。對於本單位和熟悉本單位的人來講,姓名無疑是***的首選,因爲這幾乎誰都能猜得到。另外,在許多***者編寫的密碼猜解字典中,往往將百家姓一一列出,並放在字典的前列。
3)不可使用英文詞組
一些常用或別緻的英文單詞往往是用戶設置密碼時的最愛。在他們看來,這類密碼既便於記憶,又突顯自己的個性。但事實上,那些絕頂聰明的***者也早已猜到並詳細地將其編入密碼猜解字典之中,因此,常用英文詞組絕不可用作密碼。
4)不可使用特定意義的日期
以具有特定意義的日期作爲密碼是任何人都十分喜愛的。這一類日期通常有自己的生日、父母的生日、兒女的生日、朋友的生日、重大節日以及個人紀念日等。不用說熟悉的人可以猜得到,即使是陌生人也可以通過窮舉的方式而得手。在***者的密碼猜解字典中,幾乎全部羅列以上所有的幾個組合。
5)不可使用簡單的密碼
一個密碼暴力猜解軟件每秒鐘可以嘗試10萬次之多。字數越少,字符越簡單化,排列組合的結果就越少,也就越容易被攻破。
綜上所述,若要保證密碼的安全,應當遵循以下規則:
- 用戶密碼應包含英文字母的大小寫、數字、可打印字符,甚至是非打印字符。建議將這些符號排列組合使用,以期達到最好的保密效果。
- 用戶密碼不要太規則,不要使用用戶姓名、生日、電話號碼以及常用單詞作爲密碼。
- 根據Windows系統密碼的散列算法原理,密碼長度設置應超過7位,最好爲14位。
- 密碼不得以明文方式存放在系統中,確保密碼以加密的形式寫在硬盤上幷包含密碼的文件是隻讀的。
- 密碼應定期修改,應避免重複使用舊密碼,應採用多套密碼的命名規則。
- 建立賬號鎖定機制。一旦同一賬號密碼校驗錯誤若干次,即斷開連接並鎖定該賬號,經過一段時間才解鎖。