科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道从管理员账户保障企业网络安全

从管理员账户保障企业网络安全

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

病毒或者木马只有先取得一个管理员帐户与密码才能成功,否则,其破坏性很小。所以,要保障企业的网络安全、电脑操作系统与文件的安全,就要开始从保障企业的管理员帐户开始。   

来源:论坛整理 2008年7月9日

关键字: 安全技术 安全防范 网络安全

  • 评论
  • 分享微博
  • 分享邮件

病毒或者木马只有先取得一个管理员帐户与密码才能成功,否则,其破坏性很小。所以,要保障企业的网络安全、电脑操作系统与文件的安全,就要开始从保障企业的管理员帐户开始。

  一、 检查是否有隐性帐户的存在

  微软操作系统支持多用户,也就是说,一个操作系统中,可以创建多个用户。我们在控制面板的帐户设置处,就可以看到当前操作系统的所有用户记录。但是,有一点我们没有想到,就是帐户记录也可以玩隐形。很多黑客在取得管理员帐户之后通常不会就用这个帐户进行非法操作,而是利用管理员用户的权限,新建一个用户名,然后将它隐藏掉。如此,控制面板用户帐户处,是看不到这个帐户的信息的。

  所以,当我们怀疑我们的电脑被黑的时候,有必要先检查是否有隐型用户名,并及时将其删除或者禁用掉。

  1、 如何建立隐形的帐户名

  (1) 先用其他方法获得用户的管理员帐户与密码。这个方法有很多,而有些菜鸟级的电脑玩家,又不喜欢给电脑的管理员帐户设置密码,没有什么安全措施。所以,管理员用户帐户与密码的取得,并非难事。

  (2) 取得密码后,利用net user命令,远程建立一个用户名,只是这个用户名后面,加入一个$号。如此,用户将看不到这个用户名。

  (3) 利用TXT文档写一个注册表程序,目的是用来提升我们刚才新建用户的权限。然后把这个文件拷到用户电脑上。利用系统的自动执行任务,在几分钟后,自动执行这个脚本,把信息写入到注册表中。

  (4) 然后再利用net user命令设置一下密码。测试一下,就可以利用这个隐型的用户名登陆系统了。重要的是,一是用户在图形界面下,如控制面板处看不到这个帐户的存在,比较隐蔽;二是这个帐户有管理员权限,权限很高,非法用户可以借此实现自己不可告人的目的。

  2、 如何查看隐性帐户

  在图形界面下,无法看到该帐户的存在,也就不能对其进行修改。为此,我们要查看是否用隐形帐户的存在,就只能在DOS状态下查看或者利用相关的工具进行查询,又或者在注册表中进行查询与修改。当在注册表进行更改的时候,我们要养成一个好的习惯,就是对注册表进行任何更改之前,注意对注册表进行更改。

  当然,隐形帐户就像一把双刃剑,可以被木马、黑客等利用,也可以被我们管理员所使用。我们在平时的管理中,也可以把管理员帐户设置成为隐形。如此,一方面普通的用户无法对其进行操作;另一方面,攻击者也不能轻易的知道该帐户的存在。这就可以提高管理员帐户的安全性,提高我们系统的安全性。

  二、 不显示上次登陆名

  在下次开机的时候,不在登陆界面显示上次登陆的帐户,这无疑也可以提高企业电脑操作系统的安全性。特别是有些用户没有设置密码的习惯,那么就不让其显示登陆的帐户名,如此的话,非授权的用户也就无法登陆你的系统。

  若想把系统的登陆界面设置成为不显示上次登陆名的话,可以通过系统自带的管理策略进行设置。具体的设置步骤如下:

  1、 双击“我的电脑”,打开“控制面板”,打开“管理工具”,打开“本地安全策略”。

  2、 在打开的窗口中,选择“本地策略”,选择“安全选项”,然后找到“交互式登陆:不显示上次的用户名”。默认情况下,这个功能没有启用。我们需要手工的把这个功能启用起来。如此,我们下次登陆电脑时,就不会显示上次登陆的用户名。

  这个功能对于防止那些未经电脑本人同意而私自登陆系统,非常有效。因为可能员工设置帐户密码非常的简单,甚至在公司里,所有的密码都是同一个,所以的话,旁边的同事很容易获取这个密码。再加上系统默认情况下,会显示上次登陆的密码,所以未经授权的用户,很容易就可以登陆到系统中去。但是,我们现在若在系统登陆的时候,不显示上次登陆的用户名,那么,其他未经过授权的员工,即使得到了密码,也是没有多少作用。没有用户名,光知道密码,仍然不能登陆到系统。

  三、 修改管理员帐户名称

  有些人是根据管理员的帐户名称来判断其管理权限。如通过工具,查到某个操作系统有Administrator用户帐户的话,则他们就会认为这个帐户是管理员帐户,他们攻击的重点,也就是这个帐户。他们会通过种种手段,破获这个帐户的登陆密码,如利用字典等工具进行密码破解。

  所以,我们若在安装系统后,把这个用户名改掉,改成其他名字的话,那么,他们就不能一目了然的知道,哪个帐户具有管理员权限了。同时,我们还可以设置一个以Administrator为名字的帐户,给这个帐户以最低的权限,并设置比较复杂的密码,给对方一个陷阱。当对方辛辛苦苦的把密码破解了,才发现这个用户名只有这么一点权限,想想那时候,不法攻击者的那副表情,一定很精彩。

  修改管理员帐户名称很简单,只需要在控制面板的帐户管理处,把帐户名字更改即可。

  所以对于这个帐户名称我有如下建议。

  一是把原由的系统管理员帐户,如Administrator名字改掉,并为之设置比较复杂的密码。改后的名字尽量让其看的普通一点,甚至以Guest为名,迷惑不法攻击者。

  二是若有必要的话,就再设置一个以Administrator为名字的登陆帐户,并赋予最低的权限,然后可以考虑设置比较复杂的密码。提高不法攻击者攻击系统的成本。

  三是对于普通用户不要给予过高的权限。以防止不法攻击者利用普通用户的帐户权限获得管理员权限。个人认为,企业中的普通员工,User权限就已经足够了。

  四、 不定期的更改密码策略

  企业用户要养成一个很好的密码管理习惯,若用户没有这个习惯,那么我们作为企业的网络管理专业人员,就要想一些比较好的方法,强迫用户养成这个习惯。我们利用系统自带的密码策略,可以达到这种目的。

  在我们设置用户帐号的时候,系统会提示我们进行一些密码管理的策略。我们可以通过这些策略,提高密码的强度,保障系统的安全。

  1、 用户下次登陆必须更改密码

  我们给员工创建系统帐户的时候,一般不要设置密码。而是让用户自己第一次登陆系统的时候,系统提示用户创建密码。如此的话,就可以保障用户的登陆密码只有员工一个人知道,出了问题时,也容易寻找责任人。

  在创建帐户的时候,我们选择“用户下次登陆时须更改密码”即可。则当用户下次以这个帐户进行登陆时,系统就会提示用户修改密码。

  2、 密码更改频率

  一般我们建议用户要经常更改密码,从而防止密码泄露所可能造成的损失。我们可以根据企业实际安全的需要,设置密码更改的频率。如我们可以对一些安全程度比较高的部门,如研发部门,要求他们必须三天更改一次密码;而其他的部门必须一个星期更改一次密码。用户提高密码更改频率,虽然会增加一定的工作量,但是,可以提高密码的安全性。就像我们银行卡的密码一样,需要定时不定时的更改。

  这个需求,我们可以根据密码策略中的“密码最长存留期”来实现。我们可以根据需要,设置密码最长的有效期限。当超过这个期限的时候,系统就会提示用户,必须修改原来的密码,否则的话,用户就不能登陆这个系统。通过这个强制的密码管理策略,“逼迫”用户提高密码的更换频率。

  同时,若用户三天两头用来用去就一两个密码的话,那么修改的意义也不大。我们喜欢用户在多久之内密码不能重复,提高密码修改的效率。为此,我们可以通过密码管理策略中的“强制密码历史”来实现。默认情况下,系统是不保留历史密码,也就是说,新密码可以跟旧密码一样。若我们需要的是,用户最近六次密码不能一致,从而提高密码的安全性。我们就可以在这里地方进行设置,让系统记住最近的六次密码更改记录。如此,用户在设置新的密码的时候,就不能跟最近六次一样,否在的话,系统是不会接受的。

  3、 对于密码的复杂程度的要求

  现在有的银行已经对银行卡的密码进行了一些限制,如用户不能设置以“666666”等简单密码。其实,这个密码的复杂程度在操作系统上也可以实现。

  在密码策略中,有个“密码必须符合复杂性要求”的选项。若我们选择这个选项的话,则用户设置密码的时候,不能以纯数字或者纯字母作为密码,而必须以数字或者字母结合的方式作为密码,以及密码的个数不能低于一定的位数。从增加密码的复杂程度,来提高密码的安全性。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章