使用者帐户的安全性管理 - Microsoft

1、使用者帳戶的平安性管理 資策會數位教育研究所羅英嘉2007年4月1課程大綱Windows使用者帳戶簡介使用者帳戶的平安性管理目標帳戶管理不當的潛在風險 Windows密碼的平安性設定與管理Windows驗證協定的平安性設定與管理預設帳戶的平安性管理建議Administrator帳戶的平安性管理2使用者帳戶的平安性功能net use * server1data 每個使用者需要一個帳戶作為資訊環境下的平安性資格使用者帳戶作為登入系統與存取資源的資格依據使用者帳戶的平安性管理為系統平安性的基礎1. 登入系統需要一個身份2. 存取資源也需要一個身份3Windows 使用者帳戶類型本機使用者帳戶 (Lo

2、cal User Accounts) 儲存在機器上的SAM資料庫(%systemroot%system32configSAM)使用【本機使用者和群組】這個管理工具來建立與維護本機使用者帳戶 登入特定的機器並用以存取此部機器的資源。 網域使用者帳戶 (Domain User Accounts) 維護在網域控制站(Domain Controller)機器內的目錄資料庫(%systemroot%NTDSntds.dit) 使用【Active Directory使用者及電腦】工具來建立與維護網域使用者帳戶。登入網域後可以存取網路上的各項擁有權限的資源 為了方便、有效率、更平安的集中管理使用者帳戶，在A

3、ctive Directory目錄服務環境下， 管理員應只替員工建立網域使用者帳戶。4使用者帳戶平安屬性使用者帳戶包含使用者相關的平安性資訊：名稱密碼SID帳戶到期日群組成員允許登入的電腦允許登入的時間使用者帳戶控制旗標其它名稱密碼SID帳戶到期日允許登入的時間與電腦群組成員使用者帳戶控制旗標 檢視使用者平安屬性- whoami、ldp、adsiedit5平安性識別碼(Security Identifier；SID)每個平安性原則 (Security Principals) 都會有一個平安性識別碼 (SID) ，作為識別平安性資格之用途SID是一個可用來識別使用者、群組及電腦帳戶的不定長度資料

4、結構第一次建立帳戶時，就會分配一個唯一的 SIDWindows 中的內部平安制程序以 SID為識別之用，而非帳戶的使用者或群組名稱。SID 具唯一性，不會重複使用AD 原始模式下可以額外維護一個SIDHistory屬性以確保先前的權限與權利繼續生效6平安性識別碼結構SID格式：S-R-X-DomainID-RIDS：SID字串R：SID結構的修訂版本，通常是1X：識別授權，值為0-5，NT 授權為5DomainID：網域識別碼RID：用來辨識同一個網域內不同的帳戶範例： S-1-5-21-4360285915-3300260658-4173166950-1008版本1、識別授權為5(NT Au

5、thority) 、Domain ID為21-4360285915-3300260658-4173166950、RID為1008預設SID預設的administrator ：S-1-5-domain-500預設的guest：S-1-5-domain-501預設的administrators：S-1-5-32-544預設的Domain admins：S-1-5-domain-5127使用者帳戶的平安性管理目標防止帳戶被有意或無意濫用、誤用與破解而導致資源非經授權存取、資料外洩或不當篡改。偽裝與假造帳戶盜用帳戶破解帳戶密碼濫用帳戶濫用管理員帳戶非法存取、讀取與篡改機密文件PasswordTrade

6、 Secret.8帳戶管理不當的潛在風險1允許使用容易猜測與破解的密碼密碼破解(Password crack)2使用有安全性弱點的驗證方法連線攔截(Session Hijacking) 、重送(replay) 、密碼破解3使用者特權管理未符合最低權限原則逾越權限，未經授權存取4未稽核使用者帳戶無法查核使用者行為並作權責歸屬(Accounting)5濫用管理員帳戶增加未經授權變更電腦重要設定與下載惡意軟體的風險9身份驗證 (Authentication)身份驗證是一種確認並檢查使用者所宣稱的ID是否正確屬實的機制。身份驗證為系統存取控制的基礎，故身份驗證嚴謹與否直接影響到系統的平安性。身份驗證的

7、平安性度取決於：驗證的因子驗證協定驗證管理10身份驗證因子(Factors)利用只有使用者會知道的事物作為驗證的依據 (Something you know)密碼(password) 、個人身份號碼(PIN) 、口令(passphrase)型一因子 (Type I Factor)利用唯有使用者會擁有的事物作為驗證的依據 (Something you have)智慧卡、ATM卡型二因子 (Type II Factor)利用人類生物特徵的唯一性作為驗證的依據 (Something you are)指紋(Fingerprint)、虹膜 (Iris scan) 、臉部辨識(Facial scans)型

8、三因子 (Type III Factor)利用使用者工作的場合及位置來作為驗證的依據 (Somewhere you are)型四因子 (Type IV Factor)11多因子驗證方法(Multifactor) 驗證過程中假设使用二種或二種以上的因子就稱為嚴謹驗證(Strong authentication)。例如：智慧卡驗證12Windows平台支援的驗證方法密碼(password)最普遍的驗證方法，需妥善使用及管理密碼才能確保平安智慧卡(smart card)一種雙因子的高度平安性驗證方法，但需額外的憑證、讀卡機和管理本钱，適用於高度平安需求環境生物特徵工程驗證方法(biometrics)

9、 需由廠商提供軟硬體13Windows 密碼驗證C:windowssystem32configSAMC:windowsntdsntds.dit登入名稱密碼使用者資料庫單向雜湊函數密碼雜湊值登入使用者密碼雜湊值驗證比對存取控制鎖定狀態加密保護機制14使用者密碼登入處理程序使用者登入帳號 / 密碼 / 網域1Local Security 子系統 向 DC 請求使用者的 Session Ticket2Local Security子系統再向 DC 請求 Workstation Ticket31Kerberos ServiceTicket2Ticket3Ticket4Access Token6Local

10、 SecuritySubsystem建立 Access Token5DC 上的 Kerberos Service 將 Workstation Ticket 傳回給用戶端4Local Security 子系統 產生 Access Token5使用者使用 Access Token 來產生後續的 處理程序6通用類別伺服器網域控制站15身份驗證常見的攻擊威脅網路竊聽 (sniffer)連線攔截 (session Hijacking)重送攻擊 (replay)中間人攻擊 (Man-in-the Middle)16密碼破解法(Password Attacks)暴力破解法(Brute force)藉著合法字

11、元的組合不斷的嘗試直到猜測正確為止。字典查詢法 (Dictionary)利用一些常用的密碼和收集較可能的字彙，再藉由不斷地改變組合一直到破解密碼為止假设字彙檔收集得宜，將可較快速破解安插惡意程式鍵盤側錄(keyboard logging)偽裝登入程式17影響密碼驗證的平安性因素密碼類型(Password Type)動態密碼 (平安)靜態密碼 (方便)密碼的儲存與維護方式 有效的密碼使用原則(Password Policy)驗證協定 (Authentication Protocol)18Windows密碼驗證的平安性疑慮1LM Hash的密碼儲存方式易被破解2LANMan 與 NTLM二種老舊的

12、驗證協定平安性較差，易受攻擊破解3預設上，本機SAM資料庫允許使用者使用易被破解與猜測的密碼19使用LM 密碼的弱點密碼長度為 14 個字元，並將其分割成 2 個 7 個位元的字元片段儲存密碼填補空白字元到 14 個 密碼全部會轉換成大寫 因應：不儲存LM Hash禁用 LM驗證協定 abcdefghiABCDEFGHI=+KeyKeyDESDES連結LM Hash20Windows身分驗證協定驗證協定支援的平台特性說明 LANMan所有視窗平台LANMan最大有效的密碼長度為十四個字元，不過實際會區分為二個七字元長度來加密，密碼填滿空間到 14 個且密碼全部會轉換成大寫，所以此協定易受暴力破

13、解與攻擊NTLMNT4、Windows 2003、2000、XP已比LANMan安全。仍易受連線攔截, 重送攻擊,中間人的攻擊NTLM v2NT4+SP4、Windows 9x+DS Clients 、Windows 2003/2000/XP比NTLM更安全，加強了連線線安全，提供安全通道的建立並具備雙向驗證(Mutual Authentication)能力 KerberosWindows 2003、2000、XP Active Directory環境安全性最高、還有.21Kerberos 協定的優點與條件提供較快速有效率的驗證 (Fast authentication) 雙向驗證(Mutua

14、l authentication) 委託驗證 (Proxy authentication)互通性(Interoperability) Windows Kerberos使用條件：需Active Directory環境下使用Windows 2000以上的作業系統22提升密碼驗證的平安性指引確保所有驗證伺服器(例網域控制站)的實體平安性防止儲存 LM Hash 密碼防止使用易被猜測與破解的密碼設定密碼原則 (Password Policy)設定帳戶鎖定原則 (Lockout Policy)稽核使用者驗證 (Audit Authentication)只使用NTLMv2或Kerberos驗證協定強制Wi

15、ndows 9x使用者執行網域登入設定Windows 9x/NT 使用NTLMv2驗證協定23防止儲存 LM Hash 密碼 (群組原則)經由電腦設定Windows 設定平安性設定本機原則平安性選項 途徑網路平安性：下次密碼變更時不儲存 LAN Manager 雜湊值 DEMO24防止儲存 LM Hash 密碼(登錄資料庫)編輯登錄資料庫Windows 2000 SP 2以後 (請編輯所有網域控制站)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa新增機碼(Key)，名稱為 NoLMHash 重新開機Windows XP與Windows S

16、erver 2003HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa新增一個DWORD類型的值 NoLMHash = 1需待下回變更密碼時才不會儲存LM Hash的密碼25平安性密碼的使用建議 密碼應限制使用的期限。密碼應與使用者的名稱與字典字詞無關儘量混合大小寫、數字與特殊字元。密碼最少要有七個字元長度，越長來越不易被破解。禁止使用重複的密碼26啟用密碼原則 (password policy)防止使用者使用容易猜測及被破解的密碼使用可還原的加密來存放密碼強制執行密碼歷程記錄 密碼必須符合複雜性需求密碼最長有效期 密碼最短有效期 最小密碼長

17、度 DEMO27Windows的複雜密碼至少六個字元不能包含使用者全名的局部字串密碼內使用的字串必需包括以下四類字串中的三類：大寫字串：A, B, C,.Y,Z小寫字串：a,b,c,d,.y.z數字字串：0,1,2,3,4.8,9特殊字串：!,?,(,.建議：至少七個字元，包含大、小寫和特殊字元28啟用帳戶鎖定原則(Account lockout)假设使用者帳戶在一定時間內，使用錯誤的密碼達數次後，就會關閉此帳戶，禁止登入。防止非經授權的有心人士，藉由不斷的猜測密碼來入侵系統。重設帳戶鎖定計數器的時間間隔帳戶鎖定時間 帳戶鎖定閾值 DEMO29產生不易猜測的初始密碼-密碼產生器net user

18、 username /random30使用驗證協定原則LanMan驗證協定的密碼易被破解LanMan與 NTLM驗證協定可被連線攔截與中間人攻擊NTLM v2與Kerberos是較平安的驗證協定，所以Windows環境下建議最好只採用 NTLM v2與Kerberos二種驗證協定。LANMANNTLMNTLM v2Kerberos31LAN Manager 驗證層級設定指引純NT SP4以上網路環境用戶端設定只傳送 NTLMv2 回應拒絕 LM 和 NTLM伺服端設定只傳送 NTLMv2 回應拒絕 LM 和 NTLM企業網路架設RRAS設定只傳送 NTLMv2 回應拒絕 LM 有Win9x的網

19、路環境Windows 9x 安裝 DSclient伺服端設定只傳送 NTLMv2 回應拒絕 LM 和 NTLM32禁用LM, NTLM 驗證協定(登錄編輯器)假设為獨立伺服器，直接編輯登錄資料庫HKLMSYSTEMCurrentControlSetControlLSALMCompatibilityLevel允許設定的值為0到5：傳送 LM 及 NTLM 回應傳送 LM 和 NTLM - 如有交涉，使用 NTLMv2 工作階段平安性 只傳送 NTLM 回應 只傳送 NTLMv2 回應 只傳送 NTLMv2 回應拒絕 LM 只傳送 NTLMv2 回應拒絕 LM 和 NTLM33舊版作業系統支援 N

20、TLM v2 驗證協定NT4 + SP4編輯以下登錄值HKEY_LOCAL_MACHINESystemCurrentControlSetcontrolLSALMCompatibilityLevel用戶端設以上可使用NTLM v2網域控制站設可拒絕LM與NTLM Windows 9x安裝Windows 9x DSClient 套件編輯以下登錄值HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSALMCompatibility設為 3 (只傳送 NTLM 2 回應 用戶端會使用 NTLM 2 驗證並在伺服器支援時使用 NTLM 2 工作階段平安性

21、)34禁用LM, NTLM 驗證協定(群組原則)編輯Default Domain Controllers Policy群組原則物件經由電腦設定Windows 設定平安性設定本機原則平安性選項網路平安性：LAN Manager 驗證層級途徑DEMO35特殊使用者帳戶的平安性管理管理員帳戶 (administrator)服務帳戶(Service accounts)來賓帳戶 (Guest)36管理員帳戶的重要性Administrator為預設的視窗平台的管理員帳戶，RID為500Administrator具有本機完全的管理權限，允許無限制的執行所有管理工作的權限網域管理員對網域內所有電腦有完全管理權

22、限Administrator帳戶一旦被誤用或密碼被破解，系統平安性將完全瓦解。Administrator帳戶應嚴格的保護，謹慎的使用。37Administrator帳戶的平安特性無法刪除可以停用允許網路鎖定，無法本機登入鎖定允許變更名稱38保護administrator帳戶實務設定複雜的密碼或使用智慧卡驗證建議符合複雜密碼要求並使用非鍵盤可直接輸入的字元變更或去除描述屬性變更管理員名稱 (rename administrator)必要時可以停用或鎖定administrator帳戶除非必要，儘量少直接使用administrator帳戶登入 39保護administrator帳戶(續)電腦設定Wi

23、ndows設定平安性設定本機原則平安性選項帳戶：Administrator帳戶狀態停用administrator帳戶電腦設定Windows 設定平安性設定本機原則平安性選項帳戶：重新命名系統管理員帳戶變更administrator名稱40服務帳戶(service account)的平安特性一種用來啟動特定服務的帳戶平安性風險非使用系統帳戶的服務帳戶會以明文的方式儲存在LSA secret位置：HKEY_LOCAL_MACHINESECURITYLSA secret儲放服務帳戶密碼、FTP與Web未加密密碼、遠端存取服務與撥接帳戶名稱與密碼. 。較少變更密碼過多特權潛在攻擊：攻擊者可以利用工具截

24、取出LSA secret的密碼可能易被破解密碼濫用服務帳戶特權41服務帳戶使用原則使用系統帳戶或本機使用者帳戶啟動服務防止使用高權限的網域帳戶啟動本機服務而稽核服務帳戶的使用42服務帳戶使用原則(續)限制服務帳戶使用者權利本機登入從網路存取這台電腦透過終端機服務登入43GuestWindows XP/2003/Vista預設為關閉並無任何管理權限但可能為駭客利用以進入系統建議：不要啟用假设需啟用請設密碼44稽核使用者的目的與步驟1設定稽核原則 (Audit Policy)2定期檢視安全性記錄檔3回應處理稽核的平安性目的在用來追查使用者在系統上的活動隨時掌控使用者在系統上的各項平安性行動45設定

25、稽核原則 (Audit Policy)稽核原則說 明稽核帳戶登入事件可記錄使用者網路登入事件稽核帳戶管理記錄帳戶新增、變更與移除事件稽核目錄服務存取使用者企圖存取Active Directory 物件。稽核登入事件記錄使用者本機登入或登出以及網路連線至本機時稽核物件存取記錄使用者存取檔案、資料夾、印表機、登錄機碼等資源的事件稽核特殊權限使用使用者行使其使用者權限時DEMO46檢視平安性記錄檔建立使用者帳戶：624變更使用者帳戶：642刪除使用者帳戶：630登入成功：540(網路)、528(本機)登入失敗：675、68047使用者存取權杖(Access Tokens)AccessTokenSec

26、urity ID: S-1-5-21-146.Group IDs: EmployeesEVERYONESalesUser Rights: SeChangeNotifyPrivilege- (attributes) 3 SeSecurityPrivilege - (attributes) 0當使用者登入驗證成功後，LSA 建立了存取權杖存取權杖影響到登入後執行的處理程序與網路存取的權限大小存取權杖上包含：使用者帳號的 SID使用者所屬群組的 SID使用者所擁有的權力 (User Right)48存取權杖的平安性管理存取權杖影響使用者登入後在網路上的各項存取權利平安性原則：嚴格控制使用者存取權利群

27、組成員權使用者權利設定原則：最低權限賦予原則，以防止逾越權限AdministratorsguestdavidSeShutdownPrivilegeSeSecurityPrivilegeSeSecurityPrivilegeguestdavid49濫用管理員帳戶的風險與因應下載與安裝惡意程式不當的修改或破壞系統組態設定風險：限制管理員身份與特權RunAs使用者帳戶控制(UAC；限Window Vista)因應：50RunAs服務RunAs服務又稱為次要登入服務，允許使用者在不需要重新登入的情況下，利用另一個使用者的身份來執行某個特定應用程式。操作方法：RUNAS.EXE 命令列工具程式runas

28、 /profile / regedit.exe使用右鍵功能表內的執行為選項51Vista 使用者平安性管理新技術-使用者帳戶控制(UAC)使用者帳戶控制(User Account Control，簡稱UAC) 是 Windows Vista新支援的帳戶平安性管理技術UAC主要的設計目的在降低未經授權的使用者變更您的電腦重要設定的風險。降低下載及安裝未經授權的軟體風險52UAC的保護方法預設上，所有使用者都是以標準使用者身份進行作業 (run as Standard User by default) 。當標準使用者身份執行某些變更電腦組態或下載安裝程式的動作前，會先明確的要求您的授權或系統管理員

29、的密碼 (Explicit consent required for elevation) 。53Vista 使用者帳戶標準使用者帳戶並非 administrators群組成員，執行管理作業時，會出現需要輸入管理員帳戶與密碼的提示對話視窗系統管理員Administrators群組成員，執行管理作業時，會出現需要按繼續按鈕才會繼續執行的提示對話視窗預設Administrator帳戶預設停用，執行管理工作可直接執行時並不會出現提示對話視窗。54UAC的四種訊息類別 Windows 需要您的授權才能繼續作業會影響到電腦其他使用者的 Windows 功能或程式需要獲得您的授權才能啟動。請檢查動作的名稱

30、以確定它是您要執行的功能或程式。 程式需要您的授權才能繼續不屬於 Windows 的程式需要您的授權才能啟動。它擁有的有效數位簽章會指出其名稱及發行者，有助於確定該程式即其本身宣稱的程式。確定這是您要執行的程式。 無法辨識的程式要存取您的電腦 無法辨識的程式是指沒有其發行者的有效數位簽章可確定該程式即其本身宣稱之程式的程式。這未必表示有危險，許多舊版的合法程式就沒有簽章。不過，您應該格外小心，且只允許執行從信任的來源如原始CD或發行者的網站取得的程式。 此程式已被封鎖系統管理員已經特別封鎖這個程式，使其無法在您的電腦上執行。假设要執行此程式，您必須連絡系統管理員並要求解除封鎖該程式，或者是以系統管理員身份登入Windows。55使用者帳戶控制(UAC)運作管