【51CTO獨(dú)家特稿】每個(gè)人在網(wǎng)絡(luò)中都有一個(gè)代表"身份"的名稱，稱為"用戶"。用戶的權(quán)限不同，對計(jì)算機(jī)及網(wǎng)絡(luò)控制的能力與范圍就不同。Windows Server 2003操作系統(tǒng)中有兩種不同類型的用戶賬戶，即只能用來訪問本地計(jì)算機(jī)（或使用遠(yuǎn)程計(jì)算機(jī)訪問本計(jì)算機(jī)）的"本地用戶賬戶"和可以訪問網(wǎng)絡(luò)中所有計(jì)算機(jī)的"域用戶賬戶"。用戶賬戶是進(jìn)入網(wǎng)絡(luò)的鑰匙，對用戶權(quán)限的管理直接關(guān)系到網(wǎng)絡(luò)中應(yīng)用系統(tǒng)的安全。安全的實(shí)質(zhì)就是權(quán)限的使用，而權(quán)限又是被賦予每一個(gè)用戶的。因此，要確保用戶只擁有必要的權(quán)限，確保用戶的密碼不被破解?？傊挥写_保用戶賬戶的安全，才能實(shí)現(xiàn)真正的系統(tǒng)安全和數(shù)據(jù)安全。

密碼是用戶登錄Windows Server 2003系統(tǒng)的鑰匙，如果沒有鑰匙總是要費(fèi)一番力氣后，才能登錄到目標(biāo)操作系統(tǒng)。無論入侵者采用何種遠(yuǎn)程攻擊，如果無法獲得管理員或超級管理員的用戶密碼，就無法完全控制整個(gè)系統(tǒng)。若想訪問系統(tǒng)，最簡單也是必要的方法就是竊取用戶的密碼。因此，對系統(tǒng)管理員賬戶來說，最需要保護(hù)的就是密碼，如果密碼被盜，也就意味著災(zāi)難的降臨。

入侵者大多是通過各種系統(tǒng)和設(shè)置漏洞，獲得管理員密碼來獲得管理員權(quán)限的，然后，再實(shí)現(xiàn)對系統(tǒng)的惡意攻擊。賬號的弱密碼設(shè)置會使入侵者易于破解而得以訪問計(jì)算機(jī)和網(wǎng)絡(luò)，而強(qiáng)密碼則難以破解，即使是密碼破解軟件也難以在短時(shí)間內(nèi)辦到。密碼破解軟件一般使用3種方法進(jìn)行破解：字典猜解、組合猜解和暴力猜解。毫無疑問，破解強(qiáng)密碼遠(yuǎn)比破解弱密碼困難得多。因此，系統(tǒng)管理員賬戶必須使用強(qiáng)密碼。

據(jù)統(tǒng)計(jì)，大約80%的安全隱患是由于密碼設(shè)置不當(dāng)引起的。因此，密碼的設(shè)置無疑是十分講究技巧的。在設(shè)置密碼時(shí)，請遵守密碼安全設(shè)置原則，該原則適用于任何使用密碼的場合，既包括Windows操作系統(tǒng)，也包括UNIX/Linux操作系統(tǒng)。

1) 不可讓賬號與密碼相同

如果將密碼設(shè)置為與用戶賬號相同的話，那么幾乎所有的密碼破解軟件都將輕而易舉地將密碼探測出來。

2) 不可使用自己的姓名

使用自己的姓或名，甚至是姓名作為密碼，實(shí)在是不堪一擊。對于本單位和熟悉本單位的人來講，姓名無疑是攻擊的首選，因?yàn)檫@幾乎誰都能猜得到。另外，在許多入侵者編寫的密碼猜解字典中，往往將百家姓一一列出，并放在字典的前列。

3) 不可使用英文詞組

一些常用或別致的英文單詞往往是用戶設(shè)置密碼時(shí)的最愛。在他們看來，這類密碼既便于記憶，又突顯自己的個(gè)性。但事實(shí)上，那些絕頂聰明的入侵者也早已猜到并詳細(xì)地將其編入密碼猜解字典之中，因此，常用英文詞組絕不可用作密碼。

4) 不可使用特定意義的日期

以具有特定意義的日期作為密碼是任何人都十分喜愛的。這一類日期通常有自己的生日、父母的生日、兒女的生日、朋友的生日、重大節(jié)日以及個(gè)人紀(jì)念日等。不用說熟悉的人可以猜得到，即使是陌生人也可以通過窮舉的方式而得手。在入侵者的密碼猜解字典中，幾乎全部羅列以上所有的幾個(gè)組合。

5) 不可使用簡單的密碼

一個(gè)密碼暴力猜解軟件每秒鐘可以嘗試10萬次之多。字?jǐn)?shù)越少，字符越簡單化，排列組合的結(jié)果就越少，也就越容易被攻破。

綜上所述，若要保證密碼的安全，應(yīng)當(dāng)遵循以下規(guī)則：

用戶密碼應(yīng)包含英文字母的大小寫、數(shù)字、可打印字符，甚至是非打印字符。建議將這些符號排列組合使用，以期達(dá)到最好的保密效果。

用戶密碼不要太規(guī)則，不要使用用戶姓名、生日、電話號碼以及常用單詞作為密碼。

根據(jù)Windows系統(tǒng)密碼的散列算法原理，密碼長度設(shè)置應(yīng)超過7位，最好為14位。

密碼不得以明文方式存放在系統(tǒng)中，確保密碼以加密的形式寫在硬盤上并包含密碼的文件是只讀的。

密碼應(yīng)定期修改，應(yīng)避免重復(fù)使用舊密碼，應(yīng)采用多套密碼的命名規(guī)則。

建立賬號鎖定機(jī)制。一旦同一賬號密碼校驗(yàn)錯(cuò)誤若干次，即斷開連接并鎖定該賬號，經(jīng)過一段時(shí)間才解鎖。

【51CTO獨(dú)家特稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處。】

【編輯推薦】

1. Windows系統(tǒng)組策略中的八個(gè)酷炫小技巧
2. Windows XP中設(shè)置NTFS權(quán)限基本策略和原則