系统安全:Server系统账号密码设定原则

在网络中每一个用户都有一个自己的账号和密码,账号和密码的安全性就直接关系到用户的系统安全和数据安全。在Windows Server 2003操作系统中有两种不同类型的用户账户。下面就告诉大家一些有关于账号密码安全方面上的知识。

每个人在网络中都有一个代表"身份"的名称,称为"用户"。用户的权限不同,对计算机及网络控制的能力与范围就不同。Windows Server 2003操作系统中有两种不同类型的用户账户,即只能用来访问本地计算机(或使用远程计算机访问本计算机)的"本地用户账户"和可以访问网络中所有计算机的"域用户账户"。用户账户是进入网络的钥匙,对用户权限的管理直接关系到网络中应用系统的安全。安全的实质就是权限的使用,而权限又是被赋予每一个用户的。因此,要确保用户只拥有必要的权限,确保用户的密码不被破解。总之,只有确保用户账户的安全,才能实现真正的系统安全和数据安全。

密码是用户登录Windows Server 2003系统的钥匙,如果没有钥匙总是要费一番力气后,才能登录到目标操作系统。无论入侵者采用何种远程攻击,如果无法获得管理员或超级管理员的用户密码,就无法完全控制整个系统。若想访问系统,最简单也是必要的方法就是窃取用户的密码。因此,对系统管理员账户来说,最需要保护的就是密码,如果密码被盗,也就意味着灾难的降临。

入侵者大多是通过各种系统和设置漏洞,获得管理员密码来获得管理员权限的,然后,再实现对系统的恶意攻击。账号的弱密码设置会使入侵者易于破解而得以访问计算机和网络,而强密码则难以破解,即使是密码破解软件也难以在短时间内办到。密码破解软件一般使用3种方法进行破解:字典猜解、组合猜解和暴力猜解。毫无疑问,破解强密码远比破解弱密码困难得多。因此,系统管理员账户必须使用强密码。

据统计,大约80%的安全隐患是由于密码设置不当引起的。因此,密码的设置无疑是十分讲究技巧的。在设置密码时,请遵守密码安全设置原则,该原则适用于任何使用密码的场合,既包括Windows操作系统,也包括UNIX/Linux操作系统。

1) 不可让账号与密码相同

如果将密码设置为与用户账号相同的话,那么几乎所有的密码破解软件都将轻而易举地将密码探测出来。

2) 不可使用自己的姓名

使用自己的姓或名,甚至是姓名作为密码,实在是不堪一击。对于本单位和熟悉本单位的人来讲,姓名无疑是攻击的首选,因为这几乎谁都能猜得到。另外,在许多入侵者编写的密码猜解字典中,往往将百家姓一一列出,并放在字典的前列。

3) 不可使用英文词组

一些常用或别致的英文单词往往是用户设置密码时的最爱。在他们看来,这类密码既便于记忆,又突显自己的个性。但事实上,那些绝顶聪明的入侵者也早已猜到并详细地将其编入密码猜解字典之中,因此,常用英文词组绝不可用作密码。

4) 不可使用特定意义的日期

以具有特定意义的日期作为密码是任何人都十分喜爱的。这一类日期通常有自己的生日、父母的生日、儿女的生日、朋友的生日、重大节日以及个人纪念日等。不用说熟悉的人可以猜得到,即使是陌生人也可以通过穷举的方式而得手。在入侵者的密码猜解字典中,几乎全部罗列以上所有的几个组合。

5) 不可使用简单的密码

一个密码暴力猜解软件每秒钟可以尝试10万次之多。字数越少,字符越简单化,排列组合的结果就越少,也就越容易被攻破。

综上所述,若要保证密码的安全,应当遵循以下规则:

用户密码应包含英文字母的大小写、数字、可打印字符,甚至是非打印字符。建议将这些符号排列组合使用,以期达到最好的保密效果。

用户密码不要太规则,不要使用用户姓名、生日、电话号码以及常用单词作为密码。

根据Windows系统密码的散列算法原理,密码长度设置应超过7位,最好为14位。

密码不得以明文方式存放在系统中,确保密码以加密的形式写在硬盘上并包含密码的文件是只读的。

密码应定期修改,应避免重复使用旧密码,应采用多套密码的命名规则。

建立账号锁定机制。一旦同一账号密码校验错误若干次,即断开连接并锁定该账号,经过一段时间才解锁。