第四章Windows账户安全管理第一部分教学组织目的要求1.了解账户的基本概念、帐户安全设置的必要性2.掌握用户账户的管理、用户账户权限设置、用户组的管理3.学会利用IPSec设置相关安全策略4.掌握系统帐户口令破解的基础知识第二部分教学内容本章的教学内容是包含两大部分:一是用户账户和用户组管理的基础知识;二是用户账户和用户组管理中的安全加固。4.1账户的基本概念用户帐户是计算机的基本安全组件。计算机通过用户帐户来识别用户的身份,让有权限的人登录系统,访问特定的资源。windowssever2003为每个帐户提供了名称,如administator、guest等,这些名称主要是方便用户记忆、输入和使用的。在本地计算机中的用户帐户是不允许相同的。而在系统内部则使用安全标识符(SecurityIdentifier,SID)来识别用户身份,每个用户帐户都对应一个唯一的安全标识符。4.1账户的基本概念在windowssever2003中,安全标识符可以通过系统内置的whoami/user命令来查询4.1.1本地用户账户administrator:具有对服务器的完全控制权限,并可以根据需要向用户指派用户权利和访问控制权限。Guest:由没有实际帐户的用户使用。如果某个用户的帐户已被禁用,但还未删除,那该用户也可以使用Guest帐户。Guest帐户不需要密码。4.1.2本地组账户对用户进行分组管理可以更加有效并且灵活地进行权限配置,可以方便管理员对系统进行具体管理。WindowsServer2003中的组是从WindowsNT系统继承的安全管理形式,它指的是多个对象的集合,对象可以包括用户、计算机、联系人及其他组。4.2用户账户的管理启动计算机,以“Administrator”身份登录WindowsServer2003,然后右击“我的电脑”选择“管理”命令。4.2.1本地用户账户的创建根据实际情况在该对话框中设置创建新用户的选项。4.2.2设置本地账户属性打开计算机管理控制台,在弹出的菜单中根据实际需要选择菜单中的命令对账户进行操作。4.2.3本地用户帐户的删除当某一账户不再需要时可以将其删除。删除一个用户帐户之后会造成该用户的所有信息全部丢失。4.3用户组的管理在WindowsServer2003中组的概念就相当于公司中部门的概念,其实在WindowsServer2003中的组常常就对应着公司的部门,也就是说组的名称常常就是公司部门的名称。组内的账户就是部门的成员账户。组的出现,极大地方便了WindowsServer2003的账户管理和后面将要学习的资源访问权限的设置。4.3.1创建本地组并将成员添加本地组选择“新建组”命令4.3.1创建本地组并将成员添加本地组根据实际需要在相应的文本框内输入内容4.3.1创建本地组并将成员添加本地组组添加新成员4.3.1创建本地组并将成员添加本地组命令方式创建一个组,命令格式为:Netlocalgroupgroupname/add例如要添加一个名为computer的组,可以输入命令:Netlocalgroupcomputer/add4.3.2删除本地组删除本地组只是删除这个组,而不删除该组中的用户帐户、计算机帐户或组帐户。4.4系统账户权限设置网络安全的一个重要方面是对有管理权限的独立计算机和域成员计算机上的本地账户数据库以及域控制器上的ActiveDirectory目录服务的用户和组进行管理。WindowsServer2003是一个支持多用户、多任务的操作系统,这是权限设置的基础,一切权限设置都是基于用户和进程而言的,不同的用户在访问这台计算机时,将会有不同的权限。4.4.1理解权限权限是有高低之分的,高权限的用户可以对低权限的用户进行操作。我们平常使用计算机的过程中不会感觉到有权限在阻挠某些操作,这是因为我们在使用计算机的时候都用的是Administrators组中的用户登录的。经常使用Administrators登录,弊大于利。4.4.2用户安全设置Administrator用户重命名禁用Guest账户限制不必要的用户创建一个陷阱用户把共享文件的权限从Everyone组改成授权用户开启用户策略4.4.3本地安全设置4.4.3本地安全设置密码策略账户锁定策略审核策略用户权限分配安全选项公钥策略软件限制策略Internet协议安全性利用IPSec来禁止Ping右击“IP安全策略,在本地机器”,选择“管理IP筛选器表和筛选器操作”,创建一个IP筛选器和相关操作。在“管理IP筛选器表”中,按“添加”按钮建立新的IP筛选器,根据说明输入一些筛选条件,例如协议、端口、IP地址等。选择“管理筛选器操作”标签,创建一个“阻止”操作。创建IP安全策略,将事先制定的筛选条件和执行动作输入到策略中。指派,让策略生效。本章小结本章介绍了用户和用户组的基本概念,对用户和用户组和管理进行了详细说明,重点讨论了系统帐户的安全管理加固的相关设置。通过为账户设置有关的策略和权限,可以使帐户本身的安全性加强,可以实现对用户访问系统中各种数据权限的管理,以保护本地系统和网络服务器不被非法用户访问。实验:Win2003管理员密码的破解【背景知识】暴力口令破解方法是使用字母、数字和字符的随机组合反复进行试探性访问。暴力攻击程序通过设置一定的范围和规则反复访问服务器来破解一台服务器或数据文件(从理论上可以破解所有口令)。字典口令破解方法通过查询一个“字典文件”来尝试破译口令,“字典文件”文件包括一个很长的单词列表,字典攻击可以利用重复的登录或者收集加密的口令,并且试图同字典中的单词匹配,只要口令包含在字典中,就可以进行破解。所以,攻击的结果基于字典的强度,一个有经验的攻击者能通常在攻击之前针对受害者的名字、生日、电话号码、门牌号码、身份证号码中的几位生成相应的字典,这样破解效率更高。字典口令破解方法是最常用的口令破解方法。应对口令破解的方法是:使用强密码(10位以上,夹杂有数字、字母和其它特殊字符,并不包含个人特征的信息);设置错误的登录次数的阈值,超过阈值即进行锁定。实验:Win2003管理员密码的破解【实验目的】通过本实验,掌握Windowsserver2003管理员密码破解方法,并掌握如何通过安全设置来进行防范。【实验准备】Windowsserver2003服务端;NT-server密码破解器(一款专门针对于服务器管理员、SQL主机、FTP服务器的密码破解器);易优字典生成器。实验:Win2003管理员密码的破解实验步骤1将系统管理员设置一个密码,假设我们设置一个六位纯数字的密码。实验:Win2003管理员密码的破解实验步骤2利用易优字典生成器生成一个字典文件实验:Win2003管理员密码的破解实验步骤3结合生成的字典文件,利用NT-server密码破解器破解管理员密码。实验:Win2003管理员密码的破解【实验总结】导致口令容易破解的根本原因是我们一般都是采用弱口令,生成的字典文件只有7.62MB。假如我们只稍微增加一点难度,口令也是六位但包含有大小写字母,生成的字典文件大小将是423GB,这就超过了一般个人硬盘的容量。课后习题简述操作系统帐号密码的重要性以及常用密码破解方法。简述审核策略、密码策略、帐户策略的含义。用户安全设置包含哪些内容?简述利用IPSec来禁止Ping的主要步骤。