使用者帐户的安全性管理【精品-ppt】

使用者帳戶的安全性管理,資策會數位教育研究所羅英嘉2007年4月,- 2 -,課程大綱,Windows使用者帳戶簡介使用者帳戶的安全性管理目標帳戶管理不當的潛在風險 Windows密碼的安全性設定與管理Windows驗證協定的安全性設定與管理預設帳戶的安全性管理建議Administrator帳戶的安全性管理,- 3 -,使用者帳戶的安全性功能,net use * server1data,每個使用者需要一個帳戶作為資訊環境下的安全性資格使用者帳戶作為登入系統與存取資源的資格依據使用者帳戶的安全性管理為系統安全性的基礎,1. 登入系統需要一個身份,2. 存取資源也需要一個身份,- 4 -,Windows 使用者帳戶類型,本機使用者帳戶 (Local User Accounts) 儲存在機器上的SAM資料庫(%systemroot%system32configSAM)使用【本機使用者和群組】這個管理工具來建立與維護本機使用者帳戶 登入特定的機器並用以存取此部機器的資源。,網域使用者帳戶 (Domain User Accounts) 維護在網域控制站(Domain Controller)機器內的目錄資料庫(%systemroot%NTDSntds.dit) 使用【Active Directory使用者及電腦】工具來建立與維護網域使用者帳戶。登入網域後可以存取網路上的各項擁有權限的資源, 為了方便、有效率、更安全的集中管理使用者帳戶，在Active Directory目錄服務環境下， 管理員應只替員工建立網域使用者帳戶。,- 5 -,使用者帳戶安全屬性,使用者帳戶包含使用者相關的安全性資訊：名稱密碼SID帳戶到期日群組成員允許登入的電腦允許登入的時間使用者帳戶控制旗標其它,名稱,密碼,SID,帳戶到期日,允許登入的時間與電腦,群組成員,使用者帳戶控制旗標,檢視使用者安全屬性- whoami、ldp、adsiedit,- 6 -,安全性識別碼(Security Identifier；SID),每個安全性原則 (Security Principals) 都會有一個安全性識別碼 (SID) ，作為識別安全性資格之用途SID是一個可用來識別使用者、群組及電腦帳戶的不定長度資料結構第一次建立帳戶時，就會分配一個唯一的 SIDWindows 中的內部安全制程序以 SID為識別之用，而非帳戶的使用者或群組名稱。SID 具唯一性，不會重複使用AD 原始模式下可以額外維護一個SIDHistory屬性以確保先前的權限與權利繼續生效,- 7 -,安全性識別碼結構,SID格式：S-R-X-DomainID-RIDS：SID字串R：SID結構的修訂版本，通常是1X：識別授權，值為0-5，NT 授權為5DomainID：網域識別碼RID：用來辨識同一個網域內不同的帳戶範例： S-1-5-21-4360285915-3300260658-4173166950-1008版本1、識別授權為5(NT Authority) 、Domain ID為21-4360285915-3300260658-4173166950、RID為1008預設SID預設的administrator ：S-1-5-domain-500預設的guest：S-1-5-domain-501預設的administrators：S-1-5-32-544預設的Domain admins：S-1-5-domain-512,- 8 -,使用者帳戶的安全性管理目標,避免帳戶被有意或無意濫用、誤用與破解而導致資源非經授權存取、資料外洩或不當篡改。,偽裝與假造帳戶,盜用帳戶,破解帳戶密碼,濫用帳戶,濫用管理員帳戶,非法存取、讀取與篡改,機密文件PasswordTrade Secret.,- 9 -,帳戶管理不當的潛在風險,- 10 -,身份驗證 (Authentication),身份驗證是一種確認並檢查使用者所宣稱的ID是否正確屬實的機制。身份驗證為系統存取控制的基礎，故身份驗證嚴謹與否直接影響到系統的安全性。身份驗證的安全性度取決於：驗證的因子驗證協定驗證管理,- 11 -,身份驗證因子(Factors),利用只有使用者會知道的事物作為驗證的依據 (Something you know)密碼(password) 、個人身份號碼(PIN) 、口令(passphrase),型一因子 (Type I Factor),利用唯有使用者會擁有的事物作為驗證的依據 (Something you have)智慧卡、ATM卡,型二因子 (Type II Factor),利用人類生物特徵的唯一性作為驗證的依據 (Something you are)指紋(Fingerprint)、虹膜 (Iris scan) 、臉部辨識(Facial scans),型三因子 (Type III Factor),利用使用者工作的場合及位置來作為驗證的依據 (Somewhere you are),型四因子 (Type IV Factor),- 12 -,多因子驗證方法(Multifactor),驗證過程中若使用二種或二種以上的因子就稱為嚴謹驗證(Strong authentication)。例如：智慧卡驗證,- 13 -,Windows平台支援的驗證方法,密碼(password)最普遍的驗證方法，需妥善使用及管理密碼才能確保安全智慧卡(smart card)一種雙因子的高度安全性驗證方法，但需額外的憑證、讀卡機和管理成本，適用於高度安全需求環境生物特徵工程驗證方法(biometrics) 需由廠商提供軟硬體,- 14 -,Windows 密碼驗證,C:windowssystem32configSAMC:windowsntdsntds.dit,登入名稱,密碼,使用者資料庫,單向雜湊函數,密碼雜湊值,登入使用者,密碼雜湊值,驗證比對,存取控制鎖定狀態加密,保護機制,- 15 -,使用者密碼登入處理程序,Kerberos Service,Local SecuritySubsystem,通用類別伺服器,網域控制站,- 16 -,身份驗證常見的攻擊威脅,網路竊聽 (sniffer)連線攔截 (session Hijacking)重送攻擊 (replay)中間人攻擊 (Man-in-the Middle),- 17 -,密碼破解法(Password Attacks),暴力破解法(Brute force)藉著合法字元的組合不斷的嘗試直到猜測正確為止。字典查詢法 (Dictionary)利用一些常用的密碼和收集較可能的字彙，再藉由不斷地改變組合一直到破解密碼為止若字彙檔收集得宜，將可較快速破解安插惡意程式鍵盤側錄(keyboard logging)偽裝登入程式,- 18 -,影響密碼驗證的安全性因素,密碼類型(Password Type)動態密碼 (安全)靜態密碼 (方便)密碼的儲存與維護方式 有效的密碼使用原則(Password Policy)驗證協定 (Authentication Protocol),- 19 -,Windows密碼驗證的安全性疑慮,2,LANMan 與 NTLM二種老舊的驗證協定安全性較差，易受攻擊破解,3,預設上，本機SAM資料庫允許使用者使用易被破解與猜測的密碼,- 20 -,使用LM 密碼的弱點,密碼長度為 14 個字元，並將其分割成 2 個 7 個位元的字元片段儲存密碼填補空白字元到 14 個 密碼全部會轉換成大寫 因應：不儲存LM Hash禁用 LM驗證協定,- 21 -,Windows身分驗證協定,- 22 -,Kerberos 協定的優點與條件,提供較快速有效率的驗證 (Fast authentication) 雙向驗證(Mutual authentication) 委託驗證 (Proxy authentication)互通性(Interoperability) Windows Kerberos使用條件：需Active Directory環境下使用Windows 2000以上的作業系統,- 23 -,提升密碼驗證的安全性指引,確保所有驗證伺服器(例網域控制站)的實體安全性避免儲存 LM Hash 密碼避免使用易被猜測與破解的密碼設定密碼原則 (Password Policy)設定帳戶鎖定原則 (Lockout Policy)稽核使用者驗證 (Audit Authentication)只使用NTLMv2或Kerberos驗證協定強制Windows 9x使用者執行網域登入設定Windows 9x/NT 使用NTLMv2驗證協定,- 24 -,避免儲存 LM Hash 密碼 (群組原則),經由電腦設定Windows 設定安全性設定本機原則安全性選項 途徑網路安全性：下次密碼變更時不儲存 LAN Manager 雜湊值,DEMO,- 25 -,避免儲存 LM Hash 密碼(登錄資料庫),編輯登錄資料庫Windows 2000 SP 2以後 (請編輯所有網域控制站)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa新增機碼(Key)，名稱為 NoLMHash 重新開機Windows XP與Windows Server 2003HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa新增一個DWORD類型的值 NoLMHash = 1需待下回變更密碼時才不會儲存LM Hash的密碼,- 26 -,安全性密碼的使用建議,密碼應限制使用的期限。密碼應與使用者的名稱與字典字詞無關儘量混合大小寫、數字與特殊字元。密碼最少要有七個字元長度，越長來越不易被破解。禁止使用重複的密碼,- 27 -,啟用密碼原則 (password policy),避免使用者使用容易猜測及被破解的密碼,使用可還原的加密來存放密碼強制執行密碼歷程記錄 密碼必須符合複雜性需求密碼最長有效期 密碼最短有效期 最小密碼長度,DEMO,- 28 -,Windows的複雜密碼,至少六個字元不能包含使用者全名的部分字串密碼內使用的字串必需包括下列四類字串中的三類：大寫字串：A, B, C,.Y,Z小寫字串：a,b,c,d,.y.z數字字串：0,1,2,3,4.8,9特殊字串：!,?,(,.建議：至少七個字元，包含大、小寫和特殊字元,- 29 -,啟用帳戶鎖定原則(Account lockout),若使用者帳戶在一定時間內，使用錯誤的密碼達數次後，就會關閉此帳戶，禁止登入。避免非經授權的有心人士，藉由不斷的猜測密碼來入侵系統。,重設帳戶鎖定計數器的時間間隔帳戶鎖定時間 帳戶鎖定閾值,DEMO,- 30 -,產生不易猜測的初始密碼-密碼產生器,net user username /random,- 31 -,使用驗證協定原則,LanMan驗證協定的密碼易被破解LanMan與 NTLM驗證協定可被連線攔截與中間人攻擊NTLM v2與Kerberos是較安全的驗證協定，所以Windows環境下建議最好只採用 NTLM v2與Kerberos二種驗證協定。,LANMAN,NTLM,NTLM v2,Kerberos,- 32 -,LAN Manager 驗證層級設定指引,純NT SP4以上網路環境,用戶端設定只傳送 NTLMv2 回應拒絕 LM 和 NTLM,伺服端設定只傳送 NTLMv2 回應拒絕 LM 和 NTLM,企業網路架設RRAS,設定只傳送 NTLMv2 回應拒絕 LM ,有Win9x的網路環境,Windows 9x 安裝 DSclient,伺服端設定只傳送 NTLMv2 回應拒絕 LM 和 NTLM,- 33 -,禁用LM, NTLM 驗證協定(登錄編輯器),若為獨立伺服器，直接編輯登錄資料庫HKLMSYSTEMCurrentControlSetControlLSALMCompatibilityLevel允許設定的值為0到5：傳送 LM 及 NTLM 回應傳送 LM 和 NTLM - 如有交涉，使用 NTLMv2 工作階段安全性 只傳送 NTLM 回應 只傳送 NTLMv2 回應 只傳送 NTLMv2 回應拒絕 LM 只傳送 NTLMv2 回應拒絕 LM 和 NTLM,- 34 -,舊版作業系統支援 NTLM v2 驗證協定,NT4 + SP4編輯下列登錄值HKEY_LOCAL_MACHINESystemCurrentControlSetcontrolLSALMCompatibilityLevel用戶端設以上可使用NTLM v2網域控制站設可拒絕LM與NTLM Windows 9x安裝Windows 9x DSClient 套件編輯下列登錄值HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSALMCompatibility設為 3 (只傳送 NTLM 2 回應 用戶端會使用 NTLM 2 驗證並在伺服器支援時使用 NTLM 2 工作階段安全性 ),- 35 -,禁用LM, NTLM 驗證協定(群組原則),編輯Default Domain Controllers Policy群組原則物件經由電腦設定Windows 設定安全性設定本機原則安全性選項網路安全性：LAN Manager 驗證層級途徑,DEMO,- 36 -,特殊使用者帳戶的安全性管理,管理員帳戶 (administrator)服務帳戶(Service accounts)來賓帳戶 (Guest),- 37 -,管理員帳戶的重要性,Administrator為預設的視窗平台的管理員帳戶，RID為500Administrator具有本機完全的管理權限，允許無限制的執行所有管理工作的權限網域管理員對網域內所有電腦有完全管理權限Administrator帳戶一旦被誤用或密碼被破解，系統安全性將完全瓦解。Administrator帳戶應嚴格的保護，謹慎的使用。,- 38 -,Administrator帳戶的安全特性,無法刪除可以停用允許網路鎖定，無法本機登入鎖定允許變更名稱,- 39 -,保護administrator帳戶實務,設定複雜的密碼或使用智慧卡驗證建議符合複雜密碼要求並使用非鍵盤可直接輸入的字元變更或清除描述屬性變更管理員名稱 (rename administrator)必要時可以停用或鎖定administrator帳戶除非必要，儘量少直接使用administrator帳戶登入,- 40 -,保護administrator帳戶(續),電腦設定Windows設定安全性設定本機原則安全性選項帳戶：Administrator帳戶狀態,停用administrator帳戶,電腦設定Windows 設定安全性設定本機原則安全性選項帳戶：重新命名系統管理員帳戶,變更administrator名稱,- 41 -,服務帳戶(service account)的安全特性,一種用來啟動特定服務的帳戶安全性風險非使用系統帳戶的服務帳戶會以明文的方式儲存在LSA secret位置：HKEY_LOCAL_MACHINESECURITYLSA secret儲放服務帳戶密碼、FTP與Web未加密密碼、遠端存取服務與撥接帳戶名稱與密碼. 。較少變更密碼過多特權潛在攻擊：攻擊者可以利用工具截取出LSA secret的密碼可能易被破解密碼濫用服務帳戶特權,- 42 -,服務帳戶使用原則,使用系統帳戶或本機使用者帳戶啟動服務避免使用高權限的網域帳戶啟動本機服務而稽核服務帳戶的使用,- 43 -,服務帳戶使用原則(續),限制服務帳戶使用者權利本機登入從網路存取這台電腦透過終端機服務登入,- 44 -,Guest,Windows XP/2003/Vista預設為關閉並無任何管理權限但可能為駭客利用以進入系統建議：不要啟用若需啟用請設密碼,- 45 -,稽核使用者的目的與步驟,稽核的安全性目的在用來追查使用者在系統上的活動,隨時掌控使用者在系統上的各項安全性行動,- 46 -,設定稽核原則 (Audit Policy),DEMO,- 47 -,檢視安全性記錄檔,建立使用者帳戶：624變更使用者帳戶：642刪除使用者帳戶：630登入成功：540(網路)、528(本機)登入失敗：675、680,- 48 -,使用者存取權杖(Access Tokens),AccessToken,Security ID: S-1-5-21-146.Group IDs: EmployeesEVERYONESalesUser Rights: SeChangeNotifyPrivilege- (attributes) 3 SeSecurityPrivilege - (attributes) 0,當使用者登入驗證成功後，LSA 建立了存取權杖存取權杖影響到登入後執行的處理程序與網路存取的權限大小存取權杖上包含：使用者帳號的 SID使用者所屬群組的 SID使用者所擁有的權力 (User Right),- 49 -,存取權杖的安全性管理,存取權杖影響使用者登入後在網路上的各項存取權利安全性原則：嚴格控制使用者存取權利群組成員權使用者權利設定原則：最低權限賦予原則，以避免逾越權限,Administrators,guest,david,SeShutdownPrivilege,SeSecurityPrivilege,SeSecurityPrivilege,guest,david,- 50 -,濫用管理員帳戶的風險與因應,- 51 -,RunAs服務,RunAs服務又稱為次要登入服務，允許使用者在不需要重新登入的情況下，利用另一個使用者的身份來執行某個特定應用程式。操作方法：RUNAS.EXE 命令列工具程式runas /profile /user:A regedit.exe使用右鍵功能表內的執行為選項,- 52 -,Vista 使用者安全性管理新技術-使用者帳戶控制(UAC),使用者帳戶控制(User Account Control，簡稱UAC) 是 Windows Vista新支援的帳戶安全性管理技術UAC主要的設計目的在降低未經授權的使用者變更您的電腦重要設定的風險。降低下載及安裝未經授權的軟體風險,- 53 -,UAC的保護方法,預設上，所有使用者都是以標準使用者身份進行作業 (run as Standard User by default) 。當標準使用者身份執行某些變更電腦組態或下載安裝程式的動作前，會先明確的要求您的授權或系統管理員的密碼 (Explicit consent required for elevation) 。,- 54 -,Vista 使用者帳戶,標準使用者帳戶並非 administrators群組成員，執行管理作業時，會出現需要輸入管理員帳戶與密碼的提示對話視窗系統管理員Administrators群組成員，執行管理作業時，會出現需要按繼續按鈕才會繼續執行的提示對話視窗預設Administrator帳戶預設停用，執行管理工作可直接執行時並不會出現提示對話視窗。,- 55 -,UAC的四種訊息類別,Windows 需要您的授權才能繼續作業會影響到電腦其他使用者的 Windows 功能或程式需要獲得您的授權才能啟動。請檢查動作的名稱以確定它是您要執行的功能或程式。 程式需要您的授權才能繼續不屬於 Windows 的程式需要您的授權才能啟動。它擁有的有效數位簽章會指出其名稱及發行者，有助於確定該程式即其本身宣稱的程式。確定這是您要執行的程式。 無法辨識的程式要存取您的電腦 無法辨識的程式是指沒有其發行者的有效數位簽章可確定該程式即其本身宣稱之程式的程式。這未必表示有危險，許多舊版的合法程式就沒有簽章。不過，您應該格外小心，且只允許執行從信任的來源（如原始CD或發行者的網站）取得的程式。 此程式已被封鎖系統管理員已經特別封鎖這個程式，使其無法在您的電腦上執行。若要執行此程式，您必須連絡系統管理員並要求解除封鎖該程式，或者是以系統管理員身份登入Windows。,- 56 -,使用者帳戶控制(UAC)運作,管理者登入時，LSASS 會建立兩個存取權杖(Access Token)：管理者