服务器主机账户安全密码原则及策略实施

摘 要：伴随着信息技术的快速发展，各种Web应用和业务管理系统的增多，使得服务器主机中存储了大量的业务和敏感数据。由于网络中存在黑客攻击、蠕虫病毒等安全威胁，因此提高服务器主机的安全级别尤为重要，其中更以服务器主机的账户密码的安全为重中之重。论文介绍了常见弱密码的规则和密码强度评判标准及主机推荐密码规则，最后给出Windows系统主机安全密码策略。

关键词：服务器；密码；安全；策略

1 引言

主机是各种数据、程序、服务的聚集地，系统管理员常常采用远程连接的方式进行维护，则必将涉及到远程维护的最基本的安全问题—账户和密码的安全策略。为操作系统设置一个足够安全的账户是保障主机安全的最重要的屏障，管理员应严格保护，任何粗心大意、账户和密码的丢失、泄漏都应坚决禁止。

从LockDown.com公布了的一份采用“暴力字母破解”方式获取密码的“时间列表”可以看出，单纯的数字或字母组成的弱密码的强度非常薄弱。

2 常见的弱密码规则

一个有效的密码就犹如一扇坚实的铁门，保护着门后面的安全，而这扇门如果有规律可言，那么门外的偷窥者就很有可能研究出规律进而破解—弱密码规则由此而来。

弱密码也就是容易被破解的密码，如简单的数字组合，123456、000000等，或者与账号相同的字母等，另外很多终端设备厂商出厂配置的通用密码都属于弱密码。

在攻击技术中，弱密码规则是非常重要的一环，但本文的“弱密码”已经超越了原本弱密码的范畴，即攻击者认为的弱密码在平常网络中并不一定是弱的，只是这些密码太具有规律性。

2.1 空密码

空密码就是没有密码，在个人计算机系统中，空密码的存在是司空见惯，是密码设置中最严重的错误。在攻击者密码生成字典中，一般用各种攻击、破解工具均能识别不同形式的“%null%”来表示空密码。

2.2 短密码

短密码是指密码的位数很短。密码位数越短，破解所需时间越少。以前的计算机因运算能力不足，加之网络安全技术相对落后，通常认为三位以下的密码是较弱的，但目前的情况是只要六位以下都算是弱密码。

2.3 连续字符密码

连续字符密码是用连续的字符构造出的，比如111111、aaaaaaaaa、cccbbbddd等，虽然密码长度也可能在十五位以上，但对于攻击者来说，这样的字符串组合方式非常少，实际密码强度并不高，所以属于弱密码范围。

2.4 遵循键盘布局密码

就是在构建密码时，用户按照方便敲击键盘的顺序来制定的，比如asdfgh、～！@#$%^&，这样的密码虽然没有连续字符，但密码强度依然很弱。

2.5 常用英文单词密码

许多人习惯与使用某些英文单词作为密码，而这些作为密码的常用单词经过统计，竟然非常惊人相似，说明无数人都在使用少数英文单词作为自己的密码。现在很多字典工具中默认包含了这些常用词语，方便攻击者使用。

2.6 和账户一样的弱密码

随着网络应用越来越多，普通人需要记住的账户和密码也越来越多，但很多人只能记住某些网站的账户而无法记住相对应的密码，所以，为了方便便将密码修改成与账户一样的字符，于是和账户一样的弱密码便产生了。现在很多穷举攻击工具就提供与账户一样的弱密码的监测功能。

2.7 具有特殊意义的数字、字母密码

使用具有特殊意义的数字、字母、字符生成密码，如电话号码、手机、生日、单位名称缩写等。

3 密码强度评判标准——Google的密码强度评判标准

对于主机来说，一个安全性足够强的密码是必须的，也是最基本的，网络中有一份仿Google的密码强度评判标准如表1所示，可以中肯地评价用户密码强度，用户可使用该规则约束自己的密码，以达到足够的安全强度。

4 主机推荐密码规则

作为主机密码，使用上述规则中的100分密码还是不够的，应该有自己非常强悍的密码强度规则，如包含大写字母、小写字母、数字和特殊符号；密码长度在12到14位之間；不存在相通的两个（含两个）密码组成元素；不存在任意有规则的常用英文单词；不存在任意有规则的常用汉语拼音；不存在有特殊意义的字母和数字等。

5 实现Windows主机安全密码策略

有些主机管理员的账户密码设置的比较简单，特别是经验不太丰富的管理员容易犯这样的错误，为防患于未然，使用组策略中的相关选项进行强制的密码安全策略指派。输入“gpedit.msc”，进入组策略界面，选择“计算机配置windows设置账户策略密码策略”进行相关设置。

5.1 启用密码复杂性要求策略

启用该策略后，在更改或创建账户（密码）时会执行复杂性策略检查，密码必须符合下列最低要求：密码不能包含账户名；密码不能包含用户名中超过两个连续字符；密码长度至少为6位；密码至少包含大写字母、小写字母、数字、特殊字符四类字符3个。

5.2 启用密码长度最小值策略

对于主机密码来说，密码长度也要进行限制，找到“密码长度最小值”选项，在设定窗口将最小密码长度设为12，如此主机系统用户的密码安全将大大增强。

5.3 强制密码更改时间策略

如何在尽量不影响正常使用的前提下，尽量限制暴力破解的时间呢，或者从攻击者角度来考虑，如何极度降低破解成功率，则采用限制密码使用时间，进行经常性的修改是不粗的安全策略。通常建议设置密码过期天数为30到90之间。

5.4 启用强制密码历史策略

为了防止管理员经常性、习惯性地使用几个固定密码进行循环使用，则需要启用该策略。

5.5 错误锁定策略

为防范暴力破解主机账户登录密码，需要设置账号登录的最大次数，如果攻击者尝试登录该账户超过设定值，则账号自动被锁定，在管理员重置被锁定账户或锁定时间期满之前无法再次使用改账户，从而避免被连续尝试和攻击。

在“账户锁定策略”中可以将登录尝试次数设置为5到10次左右为宜。同时需设置“账户锁定时间”，通常情况下建议设置一个非常长的时间，比如400分钟，一边让可能被攻击的账户无法在短时间内再次进行登录尝试。

参考文献

[1] 李江涛.局域网服务器安全管理与维护[J].网络安全技术与应用，2016，6：29-30.

[2] 丁瑞麒.如何做好服务器安全[J].计算机与网络，2015，41（1）： 1008-1739.

[3]程浩.服务器安全维护技巧[J].中国现代教育装备，2015，16：23-25.

[4] 陈晓燕.加强网站服务器安全维护的技巧[J].通信世界，2015，21：45.

[5] 刘晓静. 服务器的安全与防护[J].电子技术与软件工程，2014，9：19 .

[6] 西安交大捷普网络科技有限公司.构建服务器的全面安全防护体系[J].信息安全与通信保密，2014，4：62-64.

推荐访问： 账户 原则 策略 密码 主机

---