Windows安全--防止密碼猜測
Windows 猜測密碼的防禦預設值是沒有開啟的,現在CPU速度越來越快,對一些複雜度太低的密碼,有一些網路上很容易取得的"管理工具",只要幾秒鐘就利出你電腦的全部密碼,雖然這是粗糙的會留下痕跡的手法,也是最有效率的入侵手法。
這些是指沒中木馬的安全設定
A. 對策是到系統管理工具,你可以再開始工作列打開 "系統管理工具" 的顯示,開啟系統管理工具\\ 本機的安全性原則\\安全性設定\\帳戶鎖定原則\\密碼原則\\
1.密碼必須符合複雜性要求-- 設為啟動
2.為密碼設定個有效期限
3.設定最小密碼長度
4.舊版的Windows 有個存放密碼的記得停用
這幾個是比較不重要的 :P,如果你自己使用的電腦可免,其實你要注意的是你所設定密碼的複雜度,至少有三個程式可以在幾秒鐘快速猜到密碼 (簡單的密碼)。
B.對付密碼猜測 系統管理工具\\ 本機的安全性原則\\安全性設定\\帳戶鎖定原則\\
1.重設帳戶鎖定計數器時間間隔 --- 30min
2.帳戶鎖定時間 --- 30min
3.帳戶所定閥值 --- 3到6次
這可以避免密碼猜測,當你受到攻擊,定閥值決定駭客只有幾次猜密碼次數。
當輸入錯物密碼到了定閥值的數目,電腦就鎖定該帳戶 30分鐘。
注意!!你自己輸入錯密碼到定閥值的數目,電腦也會鎖30分鐘!!
C. 到系統管理工具\\ 本機的安全性原則\\安全性設定\\本機原則\\稽核原則\\
稽核帳戶登入事件 稽核登入失敗。事件如果觸發,你可以在事件檢示看到這項。
你也可以稽核成功失敗,除了不要作程序追蹤的稽核外,你可以全部都稽核,當然也要看事件檢示才是,稽核會讓電腦變慢一點。
D. 系統管理工具\\ 本機的安全性原則\\安全性設定\\本機原則\\安全性原則\\ 網路安全性: LAN Manager 驗證等級
1. 安全性原則有的版本是寫安全性選項!! 這項設定非常多,你找到 網路安全性: LAN Manager 驗證等級
將設定值改成 "只傳送NTLMv2 回應 ,拒絕LM 和 NTLM "
這項粉重要可以避免被ㄎㄧㄤ到雜湊表,他可以離線猜測密碼,那複雜密碼也是遲早被猜出。
2.同頁,在舊版的Windows 找到,網路存取: 共用和安全性模式用於本機帳戶
在網域電腦上的預設值: 傳統,本機使用者用自身身分驗證。<--- 用這個
3.同頁,在舊版的Windows 找到 windows 2000 增強模式 ,啟動
4.同頁,停用Guest ,如果預設 Adminastrator 沒有用到,也停用
E.在我的電腦圖示按滑鼠右鍵\\管理\\本機的使用者和群組\\
在帳戶中,停用或刪掉沒用的帳戶。
F.回復帳號鎖定,最好關機前先檢查一下你的帳戶有沒被鎖不然萬一鎖住就要等30分鐘 :P
在我的電腦圖示按滑鼠右鍵\\管理\\本機的使用者和群組\\使用者
在你的使用者名稱上按滑鼠右鍵,如果鎖住就可以解鎖。
在這邊也可以設定密碼。
注意!! 在舊版的Windows 你應該為自己設一個使用者帳戶,避免用管理者登入使用。
在Windows7 VISTA 你可以開啟UAC 代替。
待續.....
這些是指沒中木馬的安全設定
A. 對策是到系統管理工具,你可以再開始工作列打開 "系統管理工具" 的顯示,開啟系統管理工具\\ 本機的安全性原則\\安全性設定\\帳戶鎖定原則\\密碼原則\\
1.密碼必須符合複雜性要求-- 設為啟動
2.為密碼設定個有效期限
3.設定最小密碼長度
4.舊版的Windows 有個存放密碼的記得停用
這幾個是比較不重要的 :P,如果你自己使用的電腦可免,其實你要注意的是你所設定密碼的複雜度,至少有三個程式可以在幾秒鐘快速猜到密碼 (簡單的密碼)。
B.對付密碼猜測 系統管理工具\\ 本機的安全性原則\\安全性設定\\帳戶鎖定原則\\
1.重設帳戶鎖定計數器時間間隔 --- 30min
2.帳戶鎖定時間 --- 30min
3.帳戶所定閥值 --- 3到6次
這可以避免密碼猜測,當你受到攻擊,定閥值決定駭客只有幾次猜密碼次數。
當輸入錯物密碼到了定閥值的數目,電腦就鎖定該帳戶 30分鐘。
注意!!你自己輸入錯密碼到定閥值的數目,電腦也會鎖30分鐘!!
C. 到系統管理工具\\ 本機的安全性原則\\安全性設定\\本機原則\\稽核原則\\
稽核帳戶登入事件 稽核登入失敗。事件如果觸發,你可以在事件檢示看到這項。
你也可以稽核成功失敗,除了不要作程序追蹤的稽核外,你可以全部都稽核,當然也要看事件檢示才是,稽核會讓電腦變慢一點。
D. 系統管理工具\\ 本機的安全性原則\\安全性設定\\本機原則\\安全性原則\\ 網路安全性: LAN Manager 驗證等級
1. 安全性原則有的版本是寫安全性選項!! 這項設定非常多,你找到 網路安全性: LAN Manager 驗證等級
將設定值改成 "只傳送NTLMv2 回應 ,拒絕LM 和 NTLM "
2.同頁,在舊版的Windows 找到,網路存取: 共用和安全性模式用於本機帳戶
在網域電腦上的預設值: 傳統,本機使用者用自身身分驗證。<--- 用這個
3.同頁,在舊版的Windows 找到 windows 2000 增強模式 ,啟動
4.同頁,停用Guest ,如果預設 Adminastrator 沒有用到,也停用
E.在我的電腦圖示按滑鼠右鍵\\管理\\本機的使用者和群組\\
在帳戶中,停用或刪掉沒用的帳戶。
F.回復帳號鎖定,最好關機前先檢查一下你的帳戶有沒被鎖不然萬一鎖住就要等30分鐘 :P
在我的電腦圖示按滑鼠右鍵\\管理\\本機的使用者和群組\\使用者
在你的使用者名稱上按滑鼠右鍵,如果鎖住就可以解鎖。
在這邊也可以設定密碼。
注意!! 在舊版的Windows 你應該為自己設一個使用者帳戶,避免用管理者登入使用。
在Windows7 VISTA 你可以開啟UAC 代替。
待續.....
留言
張貼留言