漏洞
可以执行几种类型的密码攻击,以获取特定用户帐户的密码。这些攻击类型包括试图使用常见字词和短语的词典攻击,以及尝试使用每一种可能的字符组合的暴力攻击。另外,可通过获取帐户数据库并使用破解帐户和密码的实用程序来执行攻击。
对策
应该将“最短密码长度”的值至少设置为“8”。如果字符数设置为“0”,则不要求使用密码。
在大多数环境中都建议使用由 8 个字符组成的密码,因为它足够长,可提供充分的安全性,同时也足够短,便于用户记忆。此设置将对暴力攻击提供足够的防御能力。提高复杂性要求将有助于降低词典攻击的可能性。下一部分将讨论复杂性要求。
潜在影响
允许短密码将会降低安全性,因为使用对密码执行词典攻击或暴力攻击的工具可以很容易地破解短密码。要求很长的密码可能会造成密码输入错误而导致帐户锁定,从而增加了帮助台呼叫的次数。
要求极长的密码实际上可能会降低组织的安全性,因为用户更有可能写下自己的密码以免遗忘。但是,如果教会用户使用上述通行码,用户应该更容易记住这些密码。
密码必须符合复杂性要求
“密码必须符合复杂性要求”设置确定密码是否必须符合对强密码相当重要的一系列原则。
启用此策略要求密码符合下列要求:
• 密码长度至少为 6 个字符。
• 密码包含下列四类字符中的三类:
• 英语大写字符 (A–Z)
• 英语小写字符 (a–z)
• 10 个基数 (0–9)
• 非字母数字(例如:!、$、# 或 %)
• 密码不得包含三个或三个以上来自用户帐户名中的字符。如果帐户名长度低于三个字符,因为密码被拒概率过高而不会执行此项检查。检查用户全名时,有几个字符被看作是将名称分隔成单个令牌的分隔符,这些分隔符包括:逗号、句点、短划线/连字符、下划线、空格、磅字符和制表符。对于包含三个或更多字符的每个令牌,将在密码中对其进行搜索,如果发现了该令牌,就会拒绝密码更改。例如,姓名“Erin M. Hagens”将被拆分为三个令牌:“Erin”、“M”和“Hagens”。因为第二个令牌仅包含一个字符,因而会将其忽略。因此,该用户密码中的任何位置都不能包含“erin”或“hagens”子字符串。所有这些检查都是区分大小写的。
这些复杂性要求在密码更改或新建密码时强制执行。
不能直接修改 Windows Server 2003 策略中包括的这些规则。但是,可以创建一个新版本的 passfilt.dll,以应用不同的规则集。关于 passfilt.dll 的源代码,请参阅 Microsoft 知识库文章 151082“HOW T Password Change Filtering & Notification in Windows NT”,其网址为:http://support.microsoft.com/default.aspx?scid=151082(英文)。
此组策略设置可能的值是:
• 启用
• 禁用
• 没有定义
漏洞
只包含字母数字字符的密码非常容易被市场上可以买到的实用程序所破解。要防止出现这种情况,密码应该包含其他字符和要求。
对策
将“密码必须符合复杂性要求”的值设置为“启用”。
将此设置与“最短密码长度”值为“8”的设置结合使用,可确保一个密码至少有 218,340,105,584,896 种不同的可能性。这样就很难使用暴力攻击,但也并非不可能,如果某个攻击者具有足够的处理能力,能够每秒测试 100 万个密码,则可以在七天半左右的时间内确定这样一个密码。
潜在影响
启用默认的 passfilt.dll 可能会因帐户锁定而导致帮助台的呼叫次数增加,因为用户可能并没有使用包含字母表以外的字符的密码。但此设置非常灵活,所有用户都应该能够通过短时间的学习来满足这些要求。
自定义的 passfilt.dll 中包括的其他设置是使用非上行符。上行符是指按住 Shift 键并键入任何数字(1 – 10)时键入的字符。
同时,使用 Alt 键字符组合可大大增加密码的复杂性。但是,要求组织中的所有用户都遵守如此严格的密码要求可能会导致用户不满,并将导致帮助台极度繁忙。考虑在组织内实现这样一种要求,即使用 0128 – 0159 范围内的 Alt 字符作为所有管理员密码的一部分。此范围之外的 Alt 字符可表示标准的字母数字字符,而不会另外增加密码的复杂性。
用可还原的加密来存储密码(针对域中的所有用户)
“用可还原的加密来存储密码(针对域中的所有用户)”设置确定 Microsoft Windows Server 2003、Windows 2000 Server、Windows 2000 Professional 和 Windows XP Professional 是否使用可还原的加密来存储密码。
此策略支持使用需要了解用户密码以便进行身份验证的协议的应用程序。根据定义,存储以可还原方式加密的密码意味着可以对加密的密码进行解密。能够破解这种加密的高水平攻击者然后可以使用已被破坏的帐户来登录到网络资源。出于此原因,请永远不要启用此设置,除非应用程序的要求比保护密码信息更为重要。
使用通过远程访问的 CHAP 身份验证或 Internet 验证服务 (IAS) 时要求启用此设置。质询握手身份验证协议 (CHAP) 是 Microsoft 远程访问和网络连接使用的一种身份验证协议。Microsoft Internet 信息服务 (IIS) 的摘要式验证也要求启用此设置。
此组策略设置可能的值是:
• 启用
• 禁用
• 没有定义
漏洞
此设置确定 Windows Server 2003 是否以更容易遭到暴力攻击的一种较弱格式来存储密码。
对策
将“用可还原的加密来存储密码(针对域中的所有用户)”的值设置为“禁用”。
Windows网络安全指南 域级别策略设置技巧集
0
相关文章
关注我们
