一、設置安全強壯密碼的原則

    操作系統(tǒng)的密碼（口令）十分重要，它是抵抗攻擊的第一道防線，我們必須把密碼安全作為安全策略的第一步。如果攻擊者未能竊取到系統(tǒng)密碼，那么他就不能很好地和系統(tǒng)進行交互信息，對系統(tǒng)所能采取的入侵的方法也就不多了。因此，必須設置安全強壯的密碼。所有安全強壯的密碼至少要有下列四方面內(nèi)容的三種：

    大寫字母

    小寫字母

    數(shù)字

    非字母數(shù)字的字符，如標點符號等

    安全的密碼還要符合下列的規(guī)則

    不使用普通的名字或昵稱

    不使用普通的個人信息，如生日日期

    密碼里不含有重復的字母或數(shù)字

    至少使用八個字符

    另外，應該還要求用戶42天必須修改一次密碼。

    以下舉例說明強壯密碼的重要性：假設密碼設置為6位（包括任意五個字母和一位數(shù)字或符號），則其可能性將近有163億種。不過這只是是理論估算，實際上密碼比這有規(guī)律得多。例如，英文常用詞條約5000條，從5000個詞中任取一個字母與一個字符合成口令，僅有688萬種可能性，在一臺賽揚600（CPU主頻）的計算機上每秒可運算10萬次，則破解時間僅需1分鐘！即使采用窮舉方法，也只需9個小時；因此6位密碼十分不可靠。而對于8位密碼（包括七個字母和一位數(shù)字或符號）來說，若完全破解，則需要將近三年的時間。因此，密碼不要用全部數(shù)字，不要用自己的中英文名，不要用字典上的詞，一定要數(shù)字和字母交替夾雜，并最好加入@#$%!&*?之類的字符。

二、如何強制使用安全強壯的密碼

    WindowsNT/2000系統(tǒng)在默認配置下允許任何字符或字符串作為密碼，包括空格，這是相當不安全的，下面我們通過修改注冊表使得用戶設定的密碼中必須同時包含字母和數(shù)字，從而增強系統(tǒng)的安全性。具體設置如下：

    首先在“開始”“運行”菜單中輸入regedit.exe程序，如下圖：

   

    然后進入主鍵：

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

   

    新建Network子鍵（項）

   

   

    在右側(cè)窗口中新建（右鍵選擇“新建”）一個名為AlphanumPwds的雙字節(jié)（操作系統(tǒng)的不同，出來的菜單可能有不同，Dword同樣表示雙字節(jié)）值，（右鍵選擇”新建”）

     

   

    數(shù)值為1即可。

   

 

   

    （注：后面將會有大量操作注冊表的描述，過程如上圖大致類似，就不再采用圖示。）注冊表各項解釋如下：

    名稱： 指某個值的標示名，比如上圖的AlphanumPwds 。

    類型： 指該名稱的數(shù)據(jù)類型，共有三種：REG_SZ 字符串型，它的數(shù)據(jù)可以是字符串；REG_BINARY 二進制數(shù)據(jù)類型，它的數(shù)據(jù)就只能是0和1的組合； REG_DWORD 是雙字節(jié)數(shù)據(jù)類型，它的數(shù)據(jù)可以是十六進制數(shù)據(jù)。

    數(shù)據(jù)： 表示該值的內(nèi)容。

    我們還可以在密碼策略中進行相關的設置。

    在”控制面板” “管理工具” “本地安全策略” “帳戶策略”中的”密碼策略”。

   

    雙擊想要更改的項目，比如修改密碼長度最小值：

   

    點確定就可以了。

    按照上面的步驟作如下設置：

    密碼復雜性要求    啟用

    密碼長度最小值    8位

    強制密碼歷史     5次

    強制密碼歷史      42天

    注：后兩項會因操作系統(tǒng)的不同，設置名稱等會不盡相同，但意義都一樣。

    最后，請重新啟動計算機生效。

三、如何設置安全的帳號策略

    對于Windows NT系統(tǒng)而言，帳號策略的設置是通過域用戶管理器來實施的，從用戶管理器的菜單中選擇用戶權限，可以設置密碼使用時間，長度以及連續(xù)登錄失敗后的鎖定機制等。具體方法是：

    在上面的本地安全策略編輯器里，打開”帳戶策略”，配置如下圖所示：

   

四、系統(tǒng)文件權限的分類

    當要給文件設置權限的時候，要首先保證該分區(qū)格式為NTFS（Windows NT的文件系統(tǒng)），當然你也可以使用文件分配表（FAT）格式，但是FAT文件系統(tǒng)沒有對文件的訪問權限加以任何限制，F(xiàn)AT只在那些相對來講對安全要求較低的情況下使用。在NTFS文件系統(tǒng)中，可以使用權限對單個文件進行保護，并且可以把該權限應用到本地訪問和網(wǎng)絡訪問中。在NTFS文件系統(tǒng)上，可以對文件設置文件權限，對目錄設置目錄權限，用于指定可以訪問的組和用戶以及允許的訪問等級時。

    如果實施了NTFS的文件系統(tǒng)格式，可通過系統(tǒng)的資源管理器直接來管理文件的安全，設置目錄或文件的權限。

    以regedit.exe文件為例，右鍵選擇“屬性”，

    在“安全”標簽里面選擇不同組的名稱，就可以更改配置他們對該文件的操作權限。

   

    基于文件級的權限可以分配下面幾種：讀取（用戶可以讀取該文件的內(nèi)容），寫入（用戶可以寫入數(shù)據(jù)到該文件中），讀取及執(zhí)行（用戶可以執(zhí)行該程序），修改（用戶可以修改該文件內(nèi)容，包括刪除），完全控制（以上所有權限都有）。因此，適當?shù)貫椴煌瑱嘞薜膸ぬ柗峙湎鄳�的訪問權限（在”允許”，”拒絕”欄分別打勾，如下圖）對于文件系統(tǒng)的安全是致關重要的。

   

五、如何保護注冊表的安全

    Windows NT/2000中的注冊表（Registry）是一系列的數(shù)據(jù)庫文件，主要存儲在 系統(tǒng)安裝目錄\ System32\Config下，有些注冊表文件建立和存儲在內(nèi)存中，這些文件的備份也存儲在 系統(tǒng)安裝目錄\Repair下。由于所有配置和控制系統(tǒng)數(shù)據(jù)最終都存在于注冊表中，而且Registry的缺省權限設置是對“所有人”“完全控制”（FullControl）和“創(chuàng)建”（Create），這種設置可能會被惡意用戶刪除或者替換掉注冊表（Registry）文件。所以，如果注冊表權限沒有設置好的話，整個 Windows NT/2000的系統(tǒng)就不安全，因此我們必須控制注冊表的訪問權。

    對于注冊表（Registry），建議應嚴格限制只能在本地進行注冊，不能被遠程訪問，限制對注冊表（Registry）編輯工具的訪問。具體可以利用文件管理器設置只允許網(wǎng)絡管理員使用注冊表編輯工具regedit.exe或regedt32.exe，其他任何用戶不得使用；還可使用第三方工具軟件，比如Enterprise Administrator （Mission Critical Software）來鎖住注冊表（Registry）。或者把對注冊表缺省的所有用戶都能“完全控制”的權利改成只能“讀取”。

    在“開始”“運行”里面輸入regedt32如下圖：

   

   

    假設我們將HKEY_CURRENT_USER支更改成一般用戶只能讀，在菜單中選擇“安全”“權限” 如下圖：

   

   

    選擇組用戶users（在win2000系統(tǒng)中默認uers是一般用戶，如果在上面列表中沒有定義users組權限，可以選擇”添加”按紐，將該組進行權限設置）

   

    同時，

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg這個鍵應該只允許Administrators組成員訪問。修改方法參照上圖。

    為了能識別用戶，防止匿名登陸，應該在HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\LSA 下新建一個DWORD（雙字節(jié)）類型的RestrictAnonymous項，并設置其值為1（具體操作請參考上面的圖示）。

    實際上，如果把用戶操作注冊表的這種權利設置成“只讀”，將會給一些應用軟件帶來許多潛在的功能性問題，比如Dlexpert（下載專家，一個下載軟件），在下載的時候會將當前下載地址等信息寫入到注冊表里面，如果在設置了注冊表權限的機器上運行該程序，會出現(xiàn)下載地址無法保存的現(xiàn)象，解決辦法就是使用regedt32軟件將用戶權限更改回去，在這里，我們建議在重要服務器上不要安裝和運行其他非系統(tǒng)的軟件。

 

來源：巨靈鳥 歡迎分享本文