1、第四章第四章 Windows账户安全管理账户安全管理 第一部分第一部分 教学组织教学组织一、目的要求一、目的要求1.了解账户的基本概念、帐户安全设置的必要性2.掌握用户账户的管理、用户账户权限设置、用户组的管理3.学会利用IPSec设置相关安全策略4.掌握系统帐户口令破解的基础知识二、工具器材二、工具器材1.Windows Server 2003操作系统2.NT-server密码破解器3.易优字典生成器第二部分第二部分 教学内容教学内容本章的教学内容是包含三大部分:o 一是用户账户和用户组管理的基础知识;o 二是用户账户和用户组管理中的安全加固;o 三是进行管理员密码破解的拓展训练,让学生懂得
2、设置强密码的必要性。4.1 账户的基本概念账户的基本概念o 用户帐户是计算机的基本安全组件。计算机通过用户帐户来识别用户的身份,让有权限的人登录系统,访问特定的资源。o windows sever2003为每个帐户提供了名称,如administator、guest等,这些名称主要是方便用户记忆、输入和使用的。在本地计算机中的用户帐户是不允许相同的。而在系统内部则使用安全标识符(Security Identifier,SID)来识别用户身份,每个用户帐户都对应一个唯一的安全标识符。4.1 账户的基本概念账户的基本概念o 在windows sever2003中,安全标识符可以通过系统内置的whoa
3、mi/user命令来查询 4.1.1本地用户账户o administrator :具有对服务器的完全控制权限,并可以根据需要向用户指派用户权利和访问控制权限。o guest :由没有实际帐户的用户使用。如果某个用户的帐户已被禁用,但还未删除,那该用户也可以使用 Guest 帐户。Guest 帐户不需要密码。4.1.2本地组账户o 对用户进行分组管理可以更加有效并且灵活地进行权限配置,可以方便管理员对系统进行具体管理。 o Windows Server 2003中的组是从Windows NT系统继承的安全管理形式,它指的是多个对象的集合,对象可以包括用户、计算机、联系人及其他组。 4.2 用户账
4、户的管理用户账户的管理o 启动计算机,以“Administrator”身份登录Windows Server 2003,然后右击“我的电脑”选择“管理”命令。4.2.1本地用户账户的创建o 根据实际情况在该对话框中设置创建新用户的选项。 4.2.2设置本地账户属性o 打开计算机管理控制台,在弹出的菜单中根据实际需要选择菜单中的命令对账户进行操作。4.2.3本地用户帐户的删除o 当某一账户不再需要时可以将其删除。删除一个用户帐户之后会造成该用户的所有信息全部丢失。4.3 用户组的管理用户组的管理o 在Windows Server 2003中组的概念就相当于公司中部门的概念,其实在Windows S
5、erver 2003中的组常常就对应着公司的部门,也就是说组的名称常常就是公司部门的名称。组内的账户就是部门的成员账户。组的出现,极大地方便了Windows Server 2003的账户管理和后面将要学习的资源访问权限的设置。4.3.1创建本地组并将成员添加本地组 o 选择“新建组”命令 4.3.1创建本地组并将成员添加本地组o 根据实际需要在相应的文本框内输入内容 4.3.1创建本地组并将成员添加本地组o 组添加新成员 4.3.1创建本地组并将成员添加本地组o 命令方式创建一个组,命令格式为:n Net localgroup groupname/addn 例如要添加一个名为computer的
6、组,可以输入命令:Net localgroup computer/add4.3.2删除本地组o 删除本地组只是删除这个组,而不删除该组中的用户帐户、计算机帐户或组帐户。 4.4 系统账户权限设置系统账户权限设置o 网络安全的一个重要方面是对有管理权限的独立计算机和域成员计算机上的本地账户数据库以及域控制器上的Active Directory目录服务的用户和组进行管理。 o Windows Server 2003是一个支持多用户、多任务的操作系统,这是权限设置的基础,一切权限设置都是基于用户和进程而言的,不同的用户在访问这台计算机时,将会有不同的权限。 4.4.1理解权限o 权限是有高低之分的,
7、高权限的用户可以对低权限的用户进行操作。o 我们平常使用计算机的过程中不会感觉到有权限在阻挠某些操作,这是因为我们在使用计算机的时候都用的是Administrators组中的用户登录的。 经常使用Administrators登录,弊大于利。 4.4.2用户安全设置o Administrator用户重命名 o 禁用Guest账户 o 限制不必要的用户o 创建一个陷阱用户 o 把共享文件的权限从Everyone组改成授权用户 o 开启用户策略 4.4.3本地安全设置4.4.3本地安全设置o 密码策略o 账户锁定策略o 审核策略 o 用户权限分配o 安全选项o 公钥策略o 软件限制策略o Inter
8、net 协议安全性 利用IPSec来禁止Ping o 右击“IP安全策略,在本地机器”,选择“管理IP筛选器表和筛选器操作”,创建一个IP筛选器和相关操作。o 在“管理IP筛选器表”中,按“添加”按钮建立新的IP筛选器,根据说明输入一些筛选条件,例如协议、端口、IP地址等。o 选择“管理筛选器操作”标签,创建一个“阻止”操作。o 创建IP安全策略 ,将事先制定的筛选条件和执行动作输入到策略中。o 指派,让策略生效 。本章小结本章小结o 本章介绍了用户和用户组的基本概念,对用户和用户组和管理进行了详细说明,重点讨论了系统帐户的安全管理加固的相关设置。通过为账户设置有关的策略和权限,可以使帐户本身
9、的安全性加强,可以实现对用户访问系统中各种数据权限的管理,以保护本地系统和网络服务器不被非法用户访问。实验实验: Win2003管理员密码的破解管理员密码的破解o【背景知识背景知识】n暴力口令破解方法是使用字母、数字和字符的随机组合反复进行试探性访问。暴力攻击程序通过设置一定的范围和规则反复访问服务器来破解一台服务器或数据文件(从理论上可以破解所有口令)。n字典口令破解方法通过查询一个“字典文件”来尝试破译口令,“字典文件”文件包括一个很长的单词列表,字典攻击可以利用重复的登录或者收集加密的口令,并且试图同字典中的单词匹配,只要口令包含在字典中,就可以进行破解。所以,攻击的结果基于字典的强度,
10、一个有经验的攻击者能通常在攻击之前针对受害者的名字、生日、电话号码、门牌号码、身份证号码中的几位生成相应的字典,这样破解效率更高。字典口令破解方法是最常用的口令破解方法。n应对口令破解的方法是:使用强密码(10位以上,夹杂有数字、字母和其它特殊字符,并不包含个人特征的信息);设置错误的登录次数的阈值,超过阈值即进行锁定。 实验实验: Win2003管理员密码的破解管理员密码的破解o 【实验目的实验目的】通过本实验,掌握Windows server 2003管理员密码破解方法,并掌握如何通过安全设置来进行防范。o 【实验准备实验准备】Windows server 2003服务端; NT-serv
11、er密码破解器(一款专门针对于服务器管理员、SQL主机、FTP服务器的密码破解器);易优字典生成器。实验实验: Win2003管理员密码的破解管理员密码的破解o 实验步骤实验步骤1n 将系统管理员设置一个密码,假设我们设置一将系统管理员设置一个密码,假设我们设置一个六位纯数字的密码(密码为个六位纯数字的密码(密码为110412,读者,读者可自行设置),稍后再来分析它是否安全。可自行设置),稍后再来分析它是否安全。 实验实验: Win2003管理员密码的破解管理员密码的破解o 实验步骤实验步骤2n 利用易优字典生成器生成一个字典文件利用易优字典生成器生成一个字典文件 实验实验: Win2003管
12、理员密码的破解管理员密码的破解o 实验步骤实验步骤3n 结合生成的字典文件,利用结合生成的字典文件,利用NT-server密码破密码破解器破解管理员密码。解器破解管理员密码。 实验实验: Win2003管理员密码的破解管理员密码的破解o 【实验总结实验总结】导致口令容易破解的根本原因是我们一般都是采用弱口令,生成的字典文件只有7.62MB 。假如我们只稍微增加一点难度,口令也是六位但包含有大小写字母,生成的字典文件大小将是423GB,这就超过了一般个人硬盘的容量。课后习题课后习题o 简述操作系统帐号密码的重要性以及常用密码破解方法。o 简述审核策略、密码策略、帐户策略的含义。o 用户安全设置包含哪些内容?o 简述利用IPSec来禁止Ping的主要步骤。