服務(wù)器主機賬戶安全密碼原則及策略實施

徐文亭++肖強++王春莉++張卓群

摘 要：伴隨著信息技術(shù)的快速發(fā)展，各種Web應(yīng)用和業(yè)務(wù)管理系統(tǒng)的增多，使得服務(wù)器主機中存儲了大量的業(yè)務(wù)和敏感數(shù)據(jù)。由于網(wǎng)絡(luò)中存在黑客攻擊、蠕蟲病毒等安全威脅，因此提高服務(wù)器主機的安全級別尤為重要，其中更以服務(wù)器主機的賬戶密碼的安全為重中之重。論文介紹了常見弱密碼的規(guī)則和密碼強度評判標準及主機推薦密碼規(guī)則，最后給出Windows系統(tǒng)主機安全密碼策略。

關(guān)鍵詞：服務(wù)器；密碼；安全；策略

1 引言

主機是各種數(shù)據(jù)、程序、服務(wù)的聚集地，系統(tǒng)管理員常常采用遠程連接的方式進行維護，則必將涉及到遠程維護的最基本的安全問題—賬戶和密碼的安全策略。為操作系統(tǒng)設(shè)置一個足夠安全的賬戶是保障主機安全的最重要的屏障，管理員應(yīng)嚴格保護，任何粗心大意、賬戶和密碼的丟失、泄漏都應(yīng)堅決禁止。

從LockDown.com公布了的一份采用“暴力字母破解”方式獲取密碼的“時間列表”可以看出，單純的數(shù)字或字母組成的弱密碼的強度非常薄弱。

2 常見的弱密碼規(guī)則

一個有效的密碼就猶如一扇堅實的鐵門，保護著門后面的安全，而這扇門如果有規(guī)律可言，那么門外的偷窺者就很有可能研究出規(guī)律進而破解—弱密碼規(guī)則由此而來。

弱密碼也就是容易被破解的密碼，如簡單的數(shù)字組合，123456、000000等，或者與賬號相同的字母等，另外很多終端設(shè)備廠商出廠配置的通用密碼都屬于弱密碼。

在攻擊技術(shù)中，弱密碼規(guī)則是非常重要的一環(huán)，但本文的“弱密碼”已經(jīng)超越了原本弱密碼的范疇，即攻擊者認為的弱密碼在平常網(wǎng)絡(luò)中并不一定是弱的，只是這些密碼太具有規(guī)律性。

2.1 空密碼

空密碼就是沒有密碼，在個人計算機系統(tǒng)中，空密碼的存在是司空見慣，是密碼設(shè)置中最嚴重的錯誤。在攻擊者密碼生成字典中，一般用各種攻擊、破解工具均能識別不同形式的“%null%”來表示空密碼。

2.2 短密碼

短密碼是指密碼的位數(shù)很短。密碼位數(shù)越短，破解所需時間越少。以前的計算機因運算能力不足，加之網(wǎng)絡(luò)安全技術(shù)相對落后，通常認為三位以下的密碼是較弱的，但目前的情況是只要六位以下都算是弱密碼。

2.3 連續(xù)字符密碼

連續(xù)字符密碼是用連續(xù)的字符構(gòu)造出的，比如111111、aaaaaaaaa、cccbbbddd等，雖然密碼長度也可能在十五位以上，但對于攻擊者來說，這樣的字符串組合方式非常少，實際密碼強度并不高，所以屬于弱密碼范圍。

2.4 遵循鍵盤布局密碼

就是在構(gòu)建密碼時，用戶按照方便敲擊鍵盤的順序來制定的，比如asdfgh、～！@#$%^&，這樣的密碼雖然沒有連續(xù)字符，但密碼強度依然很弱。

2.5 常用英文單詞密碼

許多人習慣與使用某些英文單詞作為密碼，而這些作為密碼的常用單詞經(jīng)過統(tǒng)計，竟然非常驚人相似，說明無數(shù)人都在使用少數(shù)英文單詞作為自己的密碼。現(xiàn)在很多字典工具中默認包含了這些常用詞語，方便攻擊者使用。

2.6 和賬戶一樣的弱密碼

隨著網(wǎng)絡(luò)應(yīng)用越來越多，普通人需要記住的賬戶和密碼也越來越多，但很多人只能記住某些網(wǎng)站的賬戶而無法記住相對應(yīng)的密碼，所以，為了方便便將密碼修改成與賬戶一樣的字符，于是和賬戶一樣的弱密碼便產(chǎn)生了。現(xiàn)在很多窮舉攻擊工具就提供與賬戶一樣的弱密碼的監(jiān)測功能。

2.7 具有特殊意義的數(shù)字、字母密碼

使用具有特殊意義的數(shù)字、字母、字符生成密碼，如電話號碼、手機、生日、單位名稱縮寫等。

3 密碼強度評判標準——Google的密碼強度評判標準

對于主機來說，一個安全性足夠強的密碼是必須的，也是最基本的，網(wǎng)絡(luò)中有一份仿Google的密碼強度評判標準如表1所示，可以中肯地評價用戶密碼強度，用戶可使用該規(guī)則約束自己的密碼，以達到足夠的安全強度。

4 主機推薦密碼規(guī)則

作為主機密碼，使用上述規(guī)則中的100分密碼還是不夠的，應(yīng)該有自己非常強悍的密碼強度規(guī)則，如包含大寫字母、小寫字母、數(shù)字和特殊符號；密碼長度在12到14位之間；不存在相通的兩個（含兩個）密碼組成元素；不存在任意有規(guī)則的常用英文單詞；不存在任意有規(guī)則的常用漢語拼音；不存在有特殊意義的字母和數(shù)字等。

5 實現(xiàn)Windows主機安全密碼策略

有些主機管理員的賬戶密碼設(shè)置的比較簡單，特別是經(jīng)驗不太豐富的管理員容易犯這樣的錯誤，為防患于未然，使用組策略中的相關(guān)選項進行強制的密碼安全策略指派。輸入“gpedit.msc”，進入組策略界面，選擇“計算機配置windows設(shè)置賬戶策略密碼策略”進行相關(guān)設(shè)置。

5.1 啟用密碼復雜性要求策略

啟用該策略后，在更改或創(chuàng)建賬戶（密碼）時會執(zhí)行復雜性策略檢查，密碼必須符合下列最低要求：密碼不能包含賬戶名；密碼不能包含用戶名中超過兩個連續(xù)字符；密碼長度至少為6位；密碼至少包含大寫字母、小寫字母、數(shù)字、特殊字符四類字符3個。

5.2 啟用密碼長度最小值策略

對于主機密碼來說，密碼長度也要進行限制，找到“密碼長度最小值”選項，在設(shè)定窗口將最小密碼長度設(shè)為12，如此主機系統(tǒng)用戶的密碼安全將大大增強。

5.3 強制密碼更改時間策略

如何在盡量不影響正常使用的前提下，盡量限制暴力破解的時間呢，或者從攻擊者角度來考慮，如何極度降低破解成功率，則采用限制密碼使用時間，進行經(jīng)常性的修改是不粗的安全策略。通常建議設(shè)置密碼過期天數(shù)為30到90之間。

5.4 啟用強制密碼歷史策略

為了防止管理員經(jīng)常性、習慣性地使用幾個固定密碼進行循環(huán)使用，則需要啟用該策略。

5.5 錯誤鎖定策略

為防范暴力破解主機賬戶登錄密碼，需要設(shè)置賬號登錄的最大次數(shù)，如果攻擊者嘗試登錄該賬戶超過設(shè)定值，則賬號自動被鎖定，在管理員重置被鎖定賬戶或鎖定時間期滿之前無法再次使用改賬戶，從而避免被連續(xù)嘗試和攻擊。

在“賬戶鎖定策略”中可以將登錄嘗試次數(shù)設(shè)置為5到10次左右為宜。同時需設(shè)置“賬戶鎖定時間”，通常情況下建議設(shè)置一個非常長的時間，比如400分鐘，一邊讓可能被攻擊的賬戶無法在短時間內(nèi)再次進行登錄嘗試。

參考文獻

[1] 李江濤.局域網(wǎng)服務(wù)器安全管理與維護[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016，6：29-30.

[2] 丁瑞麒.如何做好服務(wù)器安全[J].計算機與網(wǎng)絡(luò)，2015，41（1）： 1008-1739.

[3] 程浩.服務(wù)器安全維護技巧[J].中國現(xiàn)代教育裝備，2015，16：23-25.

[4] 陳曉燕.加強網(wǎng)站服務(wù)器安全維護的技巧[J].通信世界，2015，21：45.

[5] 劉曉靜. 服務(wù)器的安全與防護[J].電子技術(shù)與軟件工程，2014，9：19 .

[6] 西安交大捷普網(wǎng)絡(luò)科技有限公司.構(gòu)建服務(wù)器的全面安全防護體系[J].信息安全與通信保密，2014，4：62-64.