前不久筆者應邀到某公司做網(wǎng)絡滲透，這家公司的網(wǎng)絡是由windows2003服務器和XP系統(tǒng)搭建的小型Active Directory，其中一臺服務器連接著內(nèi)網(wǎng)數(shù)據(jù)庫，所有服務器都開放了遠程終端。經(jīng)過滲透測試，筆者發(fā)現(xiàn)了一些很嚴重的常見安全性問題，其中最值得一提的就是密碼安全管理問題。 　　在測試WEB的時候，出現(xiàn)了SQL注入漏洞，也由此進一步獲得了連接數(shù)據(jù)庫的密碼。然而數(shù)據(jù)庫的機器可能故意放在DMZ區(qū)，所以不能上網(wǎng)。筆者在WEB網(wǎng)站中查找到了WEB管理員的密碼，卻發(fā)現(xiàn)和剛才獲得的連接數(shù)據(jù)庫密碼明顯有相同之處。WEB 管理員的密碼是web@123456(123456代表的是朋友公司的名字)，而連接數(shù)據(jù)庫的密碼是sql@123456。發(fā)現(xiàn)了這一點共同之處后，根據(jù)經(jīng)驗，筆者抱著僥幸的心理直接登陸終端輸入密碼webserver@123456，竟然成功了。就這樣獲得了WEB服務器的管理員權限。在之后的滲透過程中，筆者測試mail服務器的時候直接輸入mailserver@123456，竟然也成功了。有了這樣一個“公式”，接下來的測試就輕松多了，把服務器根據(jù)情況把密碼重新組合，就這樣把余下的服務器直接被輕松拿下。最后在其中一臺服務器筆者還意外的“獲得”了一個記錄所有服務器的密碼的XSL文檔，這個XLS文檔密碼還包括了域名的密碼。 　　筆者以往的經(jīng)驗表明，其實這樣的情況非常普遍，假如讀者是一位網(wǎng)管，可以回想一下，在讀者所處的企業(yè)或所管理的服務器有沒有這樣的類似問題。但是正是因為這種密碼的缺陷，給企業(yè)服務器或者內(nèi)網(wǎng)帶來災難。 　　密碼的安全一直以來都是一個難題。其實，針對這種情況，每個企業(yè)都可以更有效地管理自己的密碼。以下是筆者就密碼管理給朋友公司的管理員提出的建議，也給廣大的網(wǎng)管朋友提個醒： 　　一、 所有的服務器必須設置安全復雜的密碼 　　二、 定期更改密碼 　　主要是防止那些不慎落入黑客手中老密碼再次被利用。 　　三、 新密碼必須脫胎換骨，和舊密碼毫無關聯(lián) 　　更改密碼時，切忌直接從老密碼變換而來，尤其是那種只改變一個字母的做法。當管理員更改密碼時，應該假設當前密碼已經(jīng)被人破解。類似webserver1@123456、web1@123456、mailserver1@123456這樣的密碼更改，要猜出來簡直是太容易了。 　　四、 不使用常見單詞和弱密碼 　　比如password、qwer1234等，這類密碼是絕對不能使用的。 　　五、 使用無規(guī)律可循的密碼 　　就像在這次的測試中，筆者就是遵循著朋友公司的密碼的規(guī)律，進入服務器的。所以產(chǎn)生密碼的時候，不能使用有規(guī)律可循的密碼。 　　六、 記錄密碼檔的文檔必須加密。 　　以下是微軟官方提供的《確定與密碼策略相關的設置》 　　• “強制密碼歷史”確定互不相同的新密碼的個數(shù)，在重新使用舊密碼之前，用戶必須使用過這么多的密碼。此設置值可介于 0 和 24 之間;如果該值設置為 0，則強制密碼歷史被禁用。對多數(shù)組織而言，將該值設置為 24 個密碼。 　　• “密碼最長使用期限”確定在要求用戶更改密碼之前用戶可以使用該密碼的天數(shù)。其值介于 0 和 999 之間;如果該值設置為 0，則密碼從不過期。將值設得太低，則可能給用戶帶來不便;設得太高或者禁用，則為潛在攻擊者提供更多時間來破解密碼。對多數(shù)組織而言，將該值設置為 42 天。 　　• “密碼最短使用期限”確定用戶可以更改新密碼之前這些新密碼必須保留的天數(shù)。此設置被設計為與“強制密碼歷史”設置一起使用，這樣用戶就不能很快地重置有次數(shù)要求的密碼并更改回舊密碼。該設置值可以介于 0 和 999 之間;如果設置為 0，用戶可以立即更改新密碼。建議將該值設為 2 天。 　　• “密碼長度最小值”確定密碼最少可以有多少個字符。盡管 Windows 2000、Windows XP 和 Windows Server 2003 最多可支持 127 個字符的密碼，但是該設置值只能介于 0 和 14 個字符之間。如果設置為 0，則允許用戶使用空白密碼，因此您不應使用 0 值。建議將該值設置為 8 個字符。 　　• “密碼必須符合復雜性要求”確定是否加強密碼的復雜性。如果啟用該設置，則用戶密碼符合以下要求： 　　• 密碼長度至少有 6 個字符。 　　• 密碼至少包含以下 5 類字符中的 3 類字符： 　　• 英語大寫字母 (A - Z) 　　• 英語小寫字母 (a - z) 　　• 10 個基數(shù)數(shù)字 (0 - 9) 　　• 非字母數(shù)字(例如：!、$、# 或 %) 　　• Unicode 字符 　　• 密碼不得包含三個或三個以上來自用戶帳戶名中的字符。 　　如果帳戶名長度少于 3 個字符，此檢查便不會被執(zhí)行，因為密碼被拒絕的可能性相當高。檢查用戶全名時，有幾個字符被看作分隔符，分隔符將名稱分隔成單獨的標記，這些分隔符為：逗號、句點、短劃線/連字符、下劃線、空格、磅字符和制表符。對于每個標記，如果長度有 3 個或以上的字符，則在密碼中搜索該標記;如果存在該標記，則拒絕更改密碼。例如，姓名“Erin M. Hagens”將拆分為三個標記：“Erin”、“M”和“Hagens”。由于第二個標記的長度只有一個字符，從而被忽略。因此，該用戶密碼中任何位置都不能包含“erin”或“hagens”子字符串。所有這些檢查都區(qū)分大小寫形式。

版權聲明：本站文章來源標注為YINGSOO的內(nèi)容版權均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務器上建立鏡像，否則將依法追究法律責任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學習參考，不代表本站立場，如有內(nèi)容涉嫌侵權，請聯(lián)系alex-e#qq.com處理。