使用者帐户的安全性管理.ppt

使用者帳戶的安全性管理 資策會數位教育研究所 羅英嘉 2007年4月 課程大綱 Windows使用者帳戶簡介 使用者帳戶的安全性管理目標 帳戶管理不當的潛在風險 Windows密碼的安全性設定與管理 Windows驗證協定的安全性設定與管理 預設帳戶的安全性管理建議 Administrator帳戶的安全性管理 使用者帳戶的安全性功能 Windows 使用者帳戶類型 本機使用者帳戶 (Local User Accounts) 儲存在機器上的SAM資料庫(%systemroot%\system32\config\SAM) 使用【本機使用者和群組】這個管理工具來建立與維護本機使用者帳戶 登入特定的機器並用以存取此部機器的資源。 網域使用者帳戶 (Domain User Accounts) 維護在網域控制站(Domain Controller)機器內的目錄資料庫(%systemroot%\NTDS\ntds.dit) 使用【Active Directory使用者及電腦】工具來建立與維護網域使用者帳戶。 登入網域後可以存取網路上的各項擁有權限的資源 使用者帳戶安全屬性 使用者帳戶包含使用者相關的安全性資訊： 名稱 密碼 SID 帳戶到期日 群組成員 允許登入的電腦 允許登入的時間 使用者帳戶控制旗標 其它 安全性識別碼(Security Identifier；SID) 每個安全性原則 (Security Principals) 都會有一個安全性識別碼 (SID) ，作為識別安全性資格之用途 SID是一個可用來識別使用者、群組及電腦帳戶的不定長度資料結構 第一次建立帳戶時，就會分配一個唯一的 SID Windows 中的內部安全制程序以 SID為識別之用，而非帳戶的使用者或群組名稱。 SID 具唯一性，不會重複使用 AD 原始模式下可以額外維護一個SIDHistory屬性以確保先前的權限與權利繼續生效 安全性識別碼結構 SID格式：S-R-X-DomainID-RID S：SID字串 R：SID結構的修訂版本，通常是1 X：識別授權，值為0-5，NT 授權為5 DomainID：網域識別碼 RID：用來辨識同一個網域內不同的帳戶 範例： S-1-5-21-4360285915-3300260658-4173166950-1008 版本1、識別授權為5(NT Authority) 、Domain ID為21-4360285915-3300260658-4173166950、RID為1008 預設SID 預設的administrator ：S-1-5-domain-500 預設的guest：S-1-5-domain-501 預設的administrators：S-1-5-32-544 預設的Domain admins：S-1-5-domain-512 使用者帳戶的安全性管理目標 避免帳戶被有意或無意濫用、誤用與破解而導致資源非經授權存取、資料外洩或不當篡改。 帳戶管理不當的潛在風險 身份驗證 (Authentication) 身份驗證是一種確認並檢查使用者所宣稱的ID是否正確屬實的機制。 身份驗證為系統存取控制的基礎，故身份驗證嚴謹與否直接影響到系統的安全性。 身份驗證的安全性度取決於： 驗證的因子 驗證協定 驗證管理 身份驗證因子(Factors) 多因子驗證方法(Multifactor) 驗證過程中若使用二種或二種以上的因子就稱為嚴謹驗證(Strong authentication)。 例如：智慧卡驗證 Windows平台支援的驗證方法 密碼(password) 最普遍的驗證方法，需妥善使用及管理密碼才能確保安全 智慧卡(smart card) 一種雙因子的高度安全性驗證方法，但需額外的憑證、讀卡機和管理成本，適用於高度安全需求環境 生物特徵工程驗證方法(biometrics) 需由廠商提供軟硬體 Windows 密碼驗證 使用者密碼登入處理程序 身份驗證常見的攻擊威脅 網路竊聽 (sniffer) 連線攔截 (session Hijacking) 重送攻擊 (replay) 中間人攻擊 (Man-in-the Middle) 密碼破解法(Password Attacks) 暴力破解法(Brute force) 藉著合法字元的組合不斷的嘗試直到猜測正確為止。 字典查詢法 (Dictionary) 利用一些常用的密碼和收集較可能的字彙，再藉由不斷地改變組合一直到破解密碼為止 若字彙檔收集得宜，將可較快速破解 安插惡意程式 鍵盤側錄(keyboard logging) 偽裝登入程式 影響密碼驗證的安全性因素 密碼類型(Password Type) 動態密碼 (安全) 靜態密碼 (方便) 密碼的儲