第十六章 網絡安全之賬號安全

用戶帳號不適當的安全問題是攻擊侵入係統的主要手段之一。其實小心的帳號管理員可以避免很多潛在的問題，如選擇強固的密碼、有效的策略加強通知用戶的習慣，分配適當的權限等。所有這些要求一定要符合安全結構的尺度。介於整個過程實施的複雜性，需要多個用戶共同來完成，而當維護小的入侵時就不需要麻煩這些所有的用戶。

整體的安全策略中本地帳號的安全是非常重要的。這節課，我們將探討用不同的方法來保護本地帳號的安全。

本章要點：

·描述帳號安全和密碼之間的關係

·在WindowsNT和UNIX係統的實現安全帳號的技術

·在NT下實施密碼策略的步驟

·描述UNIX密碼安全及密碼文件的格式

·分析UNIX下的安全威脅，拒絕帳號訪問和監視帳號

密碼的重要性

密碼是UNIX和WindowsNT安全基礎的核心。如果危及到密碼，那個基本的安全機製和模式將遭到嚴重影響。為了選擇強固的密碼，你需要在帳號策略裏設置更多相關的選項。你還要幫助用戶選擇強壯的密碼。

一個強固的密碼至於要有下列四方麵內容的三種：

·大寫字母

·小寫字母

·數字

·非字母數字的字符，如標點符號

強固的密碼還要符合下列的規則

·不使用普通的名字或昵稱

·不使用普通的個人信息，如生日日期

·密碼裏不含有重複的字母或數字

·至少使用八個字符

從黑客的思想考慮，避免密碼容易被猜出或發現（比如不要寫到紙條上放到抽屜裏）。

NT下的密碼安全

在NT下為了強製使用強壯的密碼，你可以更改注冊表裏的LSA值來實現，叫passfilt.dll，這個文件可以在WindowsNT的ServicePack2及以後的版本裏找到。在LSA鍵值下需要添加NotificationPackages字串並把值為passfilt.dll加進去。這串值必須在公司所有的域控製器裏都加入。同時你還需要使用passprop.exe這個程序來使passfilt.dll生效。

UNIX下的密碼安全

在UNIX中加密後的密碼信息是存在一個文件裏，通常是/etc/passwd。維護好這個文件的安全性是非常重要的。在UNIX係統裏它的屬主是具有最高權限的帳號，即root的。UNIX基本上有兩類用戶：普通用戶和係統特權用戶。有時特權用戶也被不確切地叫做超級用戶。實際上，一個超級用戶帳號的標識號是為零。當一個帳號建立的時候，會被分配一個唯一的標識數字(UID)。這個數字分配從0開始，最低的數字(也就是最高的權限)是分配給登陸帳號root的。Root可以執行任何程序，打開任何目錄，檢查任何文件，改變係統內任何對象的屬性及其它任意的功能。任何對於攻擊UNIX係統的黑客最終目的都是取得Root帳號。

Root掌管/etc/passwd文件。此文件可以被所有登陸的用戶讀取，它包含每一個用戶的認證信息。因此，在簡單的UNIX係統上任何人都可以複製這個文件的內容並分析哪個字段是包含加密後的密碼。然後利用不同的密碼一係列的嚐試和/etc/passwd加密後的字串進行比較。因此，密碼的選擇是UNIX係統安全級別中最重要的。

WindowsNT帳號安全

首先，也是最困難的任務就是確保隻有必需的帳戶被使用而且每個帳號僅有能滿足他們完成工作的最小權限。在一個大型的公司裏，通常是用一個或多個用戶域集中管理所有的用戶帳號。域是一個中央集權的帳號數據庫可以在分布於公司中間。因此有經驗的管理員盡量地把用戶放到較少的域裏麵以便於管理。這種限製通常促進公司策略的粘附性。本地組創建本地資源並管理權限。本地資源的機器要被配置成信任集中帳號域。但有時這種設置也是不可行的，因為和遠程站點間沒有足夠的帶寬。

有幾種技術可以解決帳號安全的問題。其中一個主要關心的是確保不再有新的帳號建立或已存在的帳戶權限不作改動。另一個簡單的方法就是利用netuser和netgroup命令把信息定向到一個文體文件裏後進行比照。有規律地運行這些命令並對輸出的文本文件中的帳號列表進行比較就能輕易地發現問題。一些內置的工具，比如係統任務進度表程序，可以自動的執行。也可以使用其它一些外部工具比如Perl或diff可以自動地對標準列表和當前的設置進行比照。