服务器密码设置怎么设置才更安全?试试这些方法
前不久笔者应邀到某公司做网络渗透,这家公司的网络是由windows2003服务器和XP系统搭建的小型Active Directory,其中一台服务器连接着内网数据库,所有服务器都开放了远程终端。经过渗透测试,笔者发现了一些很严重的常见安全性问题,其中最值得一提的就是密码安全管理问题。
在测试WEB的时候,出现了SQL注入漏洞,也由此进一步获得了连接数据库的密码。然而数据库的机器可能故意放在DMZ区,所以不能上网。笔者在WEB网站中查找到了WEB管理员的密码,却发现和刚才获得的连接数据库密码明显有相同之处。WEB 管理员的密码是web@123456(123456代表的是朋友公司的名字),而连接数据库的密码是sql@123456。发现了这一点共同之处后,根据经验,笔者抱着侥幸的心理直接登陆终端输入密码webserver@123456,竟然成功了。就这样获得了WEB服务器的管理员权限。在之后的渗透过程中,笔者测试mail服务器的时候直接输入mailserver@123456,竟然也成功了。有了这样一个“公式”,接下来的测试就轻松多了,把服务器根据情况把密码重新组合,就这样把余下的服务器直接被轻松拿下。最后在其中一台服务器笔者还意外的“获得”了一个记录所有服务器的密码的XSL文档,这个XLS文档密码还包括了域名的密码。 笔者以往的经验表明,其实这样的情况非常普遍,假如读者是一位网管,可以回想一下,在读者所处的企业或所管理的服务器有没有这样的类似问题。但是正是因为这种密码的缺陷,给企业服务器或者内网带来灾难。 密码的安全一直以来都是一个难题。
其实,针对这种情况,每个企业都可以更有效地管理自己的密码。以下是笔者就密码管理给朋友公司的管理员提出的建议,也给广大的网管朋友提个醒:
一、 所有的服务器必须设置安全复杂的密码
二、 定期更改密码 主要是防止那些不慎落入黑客手中老密码再次被利用。
三、 新密码必须脱胎换骨,和旧密码毫无关联 更改密码时,切忌直接从老密码变换而来,尤其是那种只改变一个字母的做法。当管理员更改密码时,应该假设当前密码已经被人破解。类似webserver1@123456、web1@123456、mailserver1@123456这样的密码更改,要猜出来简直是太容易了。
四、 不使用常见单词和弱密码 比如password、qwer1234等,这类密码是绝对不能使用的。
五、 使用无规律可循的密码 就像在这次的测试中,笔者就是遵循着朋友公司的密码的规律,进入服务器的。所以产生密码的时候,不能使用有规律可循的密码。
六、 记录密码档的文档必须加密。
以下是微软官方提供的《确定与密码策略相关的设置》
• “强制密码历史”
确定互不相同的新密码的个数,在重新使用旧密码之前,用户必须使用过这么多的密码。此设置值可介于 0 和 24 之间;如果该值设置为 0,则强制密码历史被禁用。对多数组织而言,将该值设置为 24 个密码。
• “密码最长使用期限”
确定在要求用户更改密码之前用户可以使用该密码的天数。其值介于 0 和 999 之间;如果该值设置为 0,则密码从不过期。将值设得太低,则可能给用户带来不便;设得太高或者禁用,则为潜在攻击者提供更多时间来破解密码。对多数组织而言,将该值设置为 42 天。
• “密码最短使用期限”
确定用户可以更改新密码之前这些新密码必须保留的天数。此设置被设计为与“强制密码历史”设置一起使用,这样用户就不能很快地重置有次数要求的密码并更改回旧密码。该设置值可以介于 0 和 999 之间;如果设置为 0,用户可以立即更改新密码。建议将该值设为 2 天。
• “密码长度最小值”
确定密码最少可以有多少个字符。尽管 Windows 2000、Windows XP 和 Windows Server 2003 最多可支持 127 个字符的密码,但是该设置值只能介于 0 和 14 个字符之间。如果设置为 0,则允许用户使用空白密码,因此您不应使用 0 值。建议将该值设置为 8 个字符。
• “密码必须符合复杂性要求”
确定是否加强密码的复杂性。如果启用该设置,则用户密码符合以下要求: • 密码长度至少有 6 个字符。 • 密码至少包含以下 5 类字符中的 3 类字符: • 英语大写字母 (A - Z) • 英语小写字母 (a - z) • 10 个基数数字 (0 - 9) • 非字母数字(例如:!、$、# 或 %) • Unicode 字符 • 密码不得包含三个或三个以上来自用户帐户名中的字符。 如果帐户名长度少于 3 个字符,此检查便不会被执行,因为密码被拒绝的可能性相当高。检查用户全名时,有几个字符被看作分隔符,分隔符将名称分隔成单独的标记,这些分隔符为:逗号、句点、短划线/连字符、下划线、空格、磅字符和制表符。对于每个标记,如果长度有 3 个或以上的字符,则在密码中搜索该标记;如果存在该标记,则拒绝更改密码。例如,姓名“Erin M. Hagens”将拆分为三个标记:“Erin”、“M”和“Hagens”。由于第二个标记的长度只有一个字符,从而被忽略。因此,该用户密码中任何位置都不能包含“erin”或“hagens”子字符串。所有这些检查都区分大小写形式。
cookie的原理是什么?系统如何防cookie劫持?
1 Cookie是什么?2 窃取的原理是什么?3 系统如何防Cookie劫持呢?看完这三个回答, 你就明白哪位传奇大侠是如何成功的!!!Cookie:HTTP天然是无状态的协议, 为了维持和跟踪用户的状态, 引入了Cookie和Session
详情2018-02-14 15:45:34责编:llp 来源:驱动管家什么是binder机制?android的一套漏洞挖掘框架
Android系统服务即由Android提供的各种服务,比如WIFI,多媒体,短信等等,几乎所有的Android应用都要使用到系统服务。系统服务在为用户提供便利的同时,也存在着一些风险。比如,如果一个应用获取到了系统服务中
详情2018-01-26 10:57:44责编:llp 来源:驱动管家如何获取对方ip地址?用户如何防范自己的ip泄漏?
在正式进行各种“黑客行为”之前,黑客会采取各种手段,探测(也可以说“侦察”)对方的主机信息,以便决定使用何种最有效的方法达到自己的目的。来看看黑客是如何获知最基本的网络信息——对方的IP地址;以及用
详情2018-02-11 15:23:10责编:llp 来源:驱动管家dns服务器怎么防御攻击?保护dns服务器的方法是什么?
虽然现在看来已经可以算是陈年旧事,但就在互联网刚刚诞生的约二十年前,我们曾面临着一个巨大的难题:邮件服务器太过友好。简而言之,大多数邮件服务器允许任何人进行接入,并将邮件发送给任何收件者。要实现这
详情2018-01-17 18:08:10责编:llp 来源:驱动管家连接139端口的命令是什么?怎么通过139端口入侵网站?
net use 192 168 0 1 ipc$Content$nbsp; " " user:administrator提到139端口,我想知道的人一定非常多,本来是不想用写这个教程的,但考虑要照顾到新人,所以还是简单的写一下。首先,连接的命令是:netu
详情2018-02-13 12:51:13责编:llp 来源:驱动管家天网防火墙如何安装?天网防火墙怎么禁止本地用户使用ping命令?
任务一 正确安装天网防火墙任务二 利用防火墙进行以下实验1、禁止局域网用户使用PING命令对本机进行嗅探2、禁止本地QQ登录及应用3、禁止本地用户使用PING命令通过以上内容的学习,实际操作天网防火墙的设置,并
详情2018-01-22 10:55:31责编:llp 来源:驱动管家ripper病毒怎么删除?U盘里的ripper病毒无法删除怎么办?
电脑,软件DiskGenius下载地址:softs 19980 html1、打开DiskGenius软件,左面找到你的U盘,选定它。2、单击上方的‘硬盘’选项。3、选择其中的‘重建主引导记录’4、选择其中的‘清除
详情2018-01-15 19:00:15责编:llp 来源:驱动管家搜索关键字如何入侵?怎么入侵动网论坛?
上传 upload_Photo asp?PhotoUrlID=3 upload_Photo asp?PhotoUrlID=1---------------------------------------------------- 关键字:网站建设公司企业网站管理系统 后缀: admin login as
详情2018-01-29 14:59:08责编:llp 来源:驱动管家windows密码怎么破解?这款密码清除软件可以轻松做到
当你在使用电脑时,不小心将管理员登录密码忘记了,怎么办呢?虽然网上和各IT杂志介绍了很多种破解管理员登录密码的方法,但操作起来都比较麻烦,并且针对不同的系统须要用不同的破解方法。例如,用破解Winodws 2
详情2018-01-30 09:59:15责编:llp 来源:驱动管家什么是ipc?什么是空会话?
ipc$一 摘要网上关于 ipc$入侵的文章可谓多如牛毛,攻击步骤甚至已经成为了固化的模式,因此也没人愿意再把这已经成为定式的东西拿出来摆弄。不过话虽这样说,我认为这些文章讲解的并不详细,一些内容甚至是错
详情2018-01-05 09:04:38责编:llp 来源:驱动管家
- 电脑上是不是都没有手机驱动?要怎么安装?
- 怎么卸载ie浏览器?卸载ie浏览器需要注意哪些问题?
- ie浏览器打不开是什么原因导致的?ie浏览器打不开解决办法
- 哪些CPU散热器比较好?看看这些推荐
- 小米6X渲染图曝光,主打线下市场能否让小米在2018年锦上添花?
- 【游戏资讯】绝地求生大数据:吃鸡总数超过了1.3亿次
- 电脑突然关机或重启是怎么回事?要如何解决
- windows7没法录音 试试这几个解决办法
- 恢复驱动器有什么用?win8.1怎么创建恢复驱动器
- 宏碁笔记本安装AMD显卡驱动提示“找不到inf文件” 怎么解决
- 微信春节期间严打网络赌博行为 目前已处罚3万多个账号
- Win7系统桌面图标变成一块白色怎么办?可以试试这几个方法
- 删除硬盘时为什么硬盘驱动CDEF和光驱也出现在删除列表?
- 电脑不能正常关机怎么办?试试这个方法
- 更新显卡驱动有什么用?XP系统要如何更新显卡驱动?
- 【游戏攻略】绝地求生什么是拉枪线?拉枪线作用讲解
- 电脑玩游戏的时候卡顿是什么原因?玩游戏卡怎么解决
- 没打开几个程序但CPU占用率达到100%是什么原因?怎么解决
- win8系统的电脑驱动都正常 为什么音箱没有声音?
- RedHat Linux系统能不能连接无线网?如何安装无线网卡驱动