2009年10月10日 星期六

Windows安全--防止密碼猜測

Windows 猜測密碼的防禦預設值是沒有開啟的,現在CPU速度越來越快,對一些複雜度太低的密碼,有一些網路上很容易取得的"管理工具",只要幾秒鐘就利出你電腦的全部密碼,雖然這是粗糙的會留下痕跡的手法,也是最有效率的入侵手法。


這些是指沒中木馬的安全設定

A. 對策是到系統管理工具,你可以再開始工作列打開 "系統管理工具" 的顯示,開啟系統管理工具\\ 本機的安全性原則\\安全性設定\\帳戶鎖定原則\\密碼原則\\
1.密碼必須符合複雜性要求-- 設為啟動
2.為密碼設定個有效期限
3.設定最小密碼長度
4.舊版的Windows 有個存放密碼的記得停用

這幾個是比較不重要的 :P,如果你自己使用的電腦可免,其實你要注意的是你所設定密碼的複雜度,至少有三個程式可以在幾秒鐘快速猜到密碼 (簡單的密碼)。
B.對付密碼猜測 系統管理工具\\ 本機的安全性原則\\安全性設定\\帳戶鎖定原則\\

1.重設帳戶鎖定計數器時間間隔 ---  30min
2.帳戶鎖定時間  ---  30min

3.帳戶所定閥值 --- 3到6次



這可以避免密碼猜測,當你受到攻擊,定閥值決定駭客只有幾次猜密碼次數。
當輸入錯物密碼到了定閥值的數目,電腦就鎖定該帳戶 30分鐘。

注意!!你自己輸入錯密碼到定閥值的數目,電腦也會鎖30分鐘!!

C. 到系統管理工具\\ 本機的安全性原則\\安全性設定\\本機原則\\稽核原則\\

稽核帳戶登入事件  稽核登入失敗。事件如果觸發,你可以在事件檢示看到這項。

你也可以稽核成功失敗,除了不要作程序追蹤的稽核外,你可以全部都稽核,當然也要看事件檢示才是,稽核會讓電腦變慢一點。

D. 系統管理工具\\ 本機的安全性原則\\安全性設定\\本機原則\\安全性原則\\ 網路安全性: LAN Manager 驗證等級

1. 安全性原則有的版本是寫安全性選項!! 這項設定非常多,你找到 網路安全性: LAN Manager 驗證等級

將設定值改成 "只傳送NTLMv2 回應 ,拒絕LM 和 NTLM "

這項粉重要可以避免被ㄎㄧㄤ到雜湊表,他可以離線猜測密碼,那複雜密碼也是遲早被猜出。


2.同頁,在舊版的Windows 找到,網路存取: 共用和安全性模式用於本機帳戶

在網域電腦上的預設值: 傳統,本機使用者用自身身分驗證。<--- 用這個


3.同頁,在舊版的Windows 找到 windows 2000 增強模式 ,啟動

4.同頁,停用Guest ,如果預設 Adminastrator 沒有用到,也停用



E.在我的電腦圖示按滑鼠右鍵\\管理\\本機的使用者和群組\\

在帳戶中,停用或刪掉沒用的帳戶。


F.回復帳號鎖定,最好關機前先檢查一下你的帳戶有沒被鎖不然萬一鎖住就要等30分鐘 :P

在我的電腦圖示按滑鼠右鍵\\管理\\本機的使用者和群組\\使用者

在你的使用者名稱上按滑鼠右鍵,如果鎖住就可以解鎖。
在這邊也可以設定密碼。
注意!! 在舊版的Windows 你應該為自己設一個使用者帳戶,避免用管理者登入使用。
在Windows7 VISTA 你可以開啟UAC 代替。


待續.....

沒有留言:

張貼留言