使用者帳戶的安全性管理45

1、- 1 -使用者帳戶的平安性管理使用者帳戶的平安性管理 資策會(huì)數(shù)位教育研究所羅英嘉2007年4月- 2 -課程大綱 Windows使用者帳戶簡(jiǎn)介 使用者帳戶的平安性管理目標(biāo) 帳戶管理不當(dāng)?shù)臐撛陲L(fēng)險(xiǎn) Windows密碼的平安性設(shè)定與管理 Windows驗(yàn)證協(xié)定的平安性設(shè)定與管理 預(yù)設(shè)帳戶的平安性管理建議 Administrator帳戶的平安性管理- 3 -使用者帳戶的平安性功能net use * server1data l每個(gè)使用者需要一個(gè)帳戶作為資訊環(huán)境下的平安性資格l使用者帳戶作為登入系統(tǒng)與存取資源的資格依據(jù)l使用者帳戶的平安性管理為系統(tǒng)平安性的基礎(chǔ)1. 登入系統(tǒng)需要一個(gè)身份2. 存取資源也

2、需要一個(gè)身份- 4 -Windows 使用者帳戶類型本機(jī)使用者帳戶本機(jī)使用者帳戶 (Local User Accounts) l儲(chǔ)存在機(jī)器上的SAM資料庫(kù)(%systemroot%system32configSAM)l使用【本機(jī)使用者和群組】這個(gè)管理工具來建立與維護(hù)本機(jī)使用者帳戶 l登入特定的機(jī)器並用以存取此部機(jī)器的資源。 網(wǎng)域使用者帳戶網(wǎng)域使用者帳戶 (Domain User Accounts) l維護(hù)在網(wǎng)域控制站(Domain Controller)機(jī)器內(nèi)的目錄資料庫(kù)(%systemroot%NTDSntds.dit) l使用【Active Directory使用者及電腦】工具來建立與維護(hù)

3、網(wǎng)域使用者帳戶。l登入網(wǎng)域後可以存取網(wǎng)路上的各項(xiàng)擁有權(quán)限的資源 為了方便、有效率、更平安的集中管理使用者帳戶，在Active Directory目錄服務(wù)環(huán)境下， 管理員應(yīng)只替員工建立網(wǎng)域使用者帳戶。- 5 -使用者帳戶平安屬性 使用者帳戶包含使用者相關(guān)的平安性資訊： 名稱 密碼 SID 帳戶到期日 群組成員 允許登入的電腦 允許登入的時(shí)間 使用者帳戶控制旗標(biāo) 其它名稱密碼SID帳戶到期日允許登入的時(shí)間與電腦群組成員使用者帳戶控制旗標(biāo)l 檢視使用者平安屬性- whoami、ldp、adsiedit- 6 -平安性識(shí)別碼(Security Identifier；SID) 每個(gè)平安性原則 (Secu

4、rity Principals) 都會(huì)有一個(gè)平安性識(shí)別碼 (SID) ，作為識(shí)別平安性資格之用途 SID是一個(gè)可用來識(shí)別使用者、群組及電腦帳戶的不定長(zhǎng)度資料結(jié)構(gòu) 第一次建立帳戶時(shí)，就會(huì)分配一個(gè)唯一的 SID Windows 中的內(nèi)部平安制程序以 SID為識(shí)別之用，而非帳戶的使用者或群組名稱。 SID 具唯一性，不會(huì)重複使用 AD 原始模式下可以額外維護(hù)一個(gè)SIDHistory屬性以確保先前的權(quán)限與權(quán)利繼續(xù)生效- 7 -平安性識(shí)別碼結(jié)構(gòu)SID格式：S-R-X-DomainID-RIDS：SID字串R：SID結(jié)構(gòu)的修訂版本，通常是1X：識(shí)別授權(quán)，值為0-5，NT 授權(quán)為5DomainID：網(wǎng)域識(shí)別

5、碼RID：用來辨識(shí)同一個(gè)網(wǎng)域內(nèi)不同的帳戶範(fàn)例： S-1-5-21-4360285915-3300260658-4173166950-1008 版本1、識(shí)別授權(quán)為5(NT Authority) 、Domain ID為21-4360285915-3300260658-4173166950、RID為1008預(yù)設(shè)SID預(yù)設(shè)的administrator ：S-1-5-domain-500預(yù)設(shè)的guest：S-1-5-domain-501預(yù)設(shè)的administrators：S-1-5-32-544預(yù)設(shè)的Domain admins：S-1-5-domain-512- 8 -使用者帳戶的平安性管理目標(biāo) 防止帳

6、戶被有意或無意濫用、誤用與破解而導(dǎo)致資源非經(jīng)授權(quán)存取、資料外洩或不當(dāng)篡改。偽裝與假造帳戶盜用帳戶破解帳戶密碼濫用帳戶濫用管理員帳戶非法存取、讀取與篡改機(jī)密文件PasswordTrade Secret.- 9 -帳戶管理不當(dāng)?shù)臐撛陲L(fēng)險(xiǎn)1允許使用容易猜測(cè)與破解的密碼允許使用容易猜測(cè)與破解的密碼密碼破解(Password crack)2使用有安全性弱點(diǎn)的驗(yàn)證方法使用有安全性弱點(diǎn)的驗(yàn)證方法連線攔截(Session Hijacking) 、重送(replay) 、密碼破解3使用者特權(quán)管理未符合最低權(quán)限原則使用者特權(quán)管理未符合最低權(quán)限原則逾越權(quán)限，未經(jīng)授權(quán)存取4未稽核使用者帳戶未稽核使用者帳戶無法查核使用

7、者行為並作權(quán)責(zé)歸屬(Accounting)5濫用管理員帳戶濫用管理員帳戶增加未經(jīng)授權(quán)變更電腦重要設(shè)定與下載惡意軟體的風(fēng)險(xiǎn)- 10 -身份驗(yàn)證 (Authentication) 身份驗(yàn)證是一種確認(rèn)並檢查使用者所宣稱的ID是否正確屬實(shí)的機(jī)制。 身份驗(yàn)證為系統(tǒng)存取控制的基礎(chǔ)，故身份驗(yàn)證嚴(yán)謹(jǐn)與否直接影響到系統(tǒng)的平安性。 身份驗(yàn)證的平安性度取決於： 驗(yàn)證的因子 驗(yàn)證協(xié)定 驗(yàn)證管理- 11 -身份驗(yàn)證因子(Factors)l利用只有使用者會(huì)知道的事物作為驗(yàn)證的依據(jù) (Something you know)l密碼(password) 、個(gè)人身份號(hào)碼(PIN) 、口令(passphrase)型一因子 (Typ

8、e I Factor)l利用唯有使用者會(huì)擁有的事物作為驗(yàn)證的依據(jù) (Something you have)l智慧卡、ATM卡型二因子 (Type II Factor)l利用人類生物特徵的唯一性作為驗(yàn)證的依據(jù) (Something you are)l指紋(Fingerprint)、虹膜 (Iris scan) 、臉部辨識(shí)(Facial scans)型三因子 (Type III Factor)l利用使用者工作的場(chǎng)合及位置來作為驗(yàn)證的依據(jù) (Somewhere you are)型四因子 (Type IV Factor)- 12 -多因子驗(yàn)證方法(Multifactor) 驗(yàn)證過程中假設(shè)使用二種或二種

9、以上的因子就稱為嚴(yán)謹(jǐn)驗(yàn)證(Strong authentication)。 例如：智慧卡驗(yàn)證- 13 -Windows平臺(tái)支援的驗(yàn)證方法 密碼(password) 最普遍的驗(yàn)證方法，需妥善使用及管理密碼才能確保平安 智慧卡(smart card) 一種雙因子的高度平安性驗(yàn)證方法，但需額外的憑證、讀卡機(jī)和管理本錢，適用於高度平安需求環(huán)境 生物特徵工程驗(yàn)證方法(biometrics) 需由廠商提供軟硬體- 14 -Windows 密碼驗(yàn)證C:windowssystem32configSAMC:windowsntdsntds.dit登入名稱密碼使用者資料庫(kù)單向雜湊函數(shù)密碼雜湊值登入使用者密碼雜湊值驗(yàn)證

10、比對(duì)存取控制鎖定狀態(tài)加密保護(hù)機(jī)制- 15 -使用者密碼登入處理程序使用者登入帳號(hào) / 密碼 / 網(wǎng)域Local Security 子系統(tǒng) 向 DC 請(qǐng)求使用者的 Session TicketLocal Security子系統(tǒng)再向 DC 請(qǐng)求 Workstation TicketLocal SecuritySubsystem建立 Access TokenDC 上的 Kerberos Service 將 Workstation Ticket 傳回給用戶端Local Security 子系統(tǒng) 產(chǎn)生 Access Token使用者使用 Access Token 來產(chǎn)生後續(xù)的 處理程序通用類別通用類別伺

11、服器伺服器網(wǎng)域控制站網(wǎng)域控制站- 16 -身份驗(yàn)證常見的攻擊威脅 網(wǎng)路竊聽 (sniffer) 連線攔截 (session Hijacking) 重送攻擊 (replay) 中間人攻擊 (Man-in-the Middle)- 17 -密碼破解法(Password Attacks) 暴力破解法(Brute force) 藉著合法字元的組合不斷的嘗試直到猜測(cè)正確為止。 字典查詢法 (Dictionary) 利用一些常用的密碼和收集較可能的字彙，再藉由不斷地改變組合一直到破解密碼為止 假設(shè)字彙檔收集得宜，將可較快速破解 安插惡意程式 鍵盤側(cè)錄(keyboard logging) 偽裝登入程式- 1

12、8 -影響密碼驗(yàn)證的平安性因素 密碼類型(Password Type) 動(dòng)態(tài)密碼 (平安) 靜態(tài)密碼 (方便) 密碼的儲(chǔ)存與維護(hù)方式 有效的密碼使用原則(Password Policy) 驗(yàn)證協(xié)定 (Authentication Protocol)- 19 -Windows密碼驗(yàn)證的平安性疑慮1LM Hash的密碼儲(chǔ)存方式易被破解2LANMan 與 NTLM二種老舊的驗(yàn)證協(xié)定平安性較差，易受攻擊破解3預(yù)設(shè)上，本機(jī)SAM資料庫(kù)允許使用者使用易被破解與猜測(cè)的密碼- 20 -使用LM 密碼的弱點(diǎn) 密碼長(zhǎng)度為 14 個(gè)字元，並將其分割成 2 個(gè) 7 個(gè)位元的字元片段儲(chǔ)存 密碼填補(bǔ)空白字元到 14 個(gè)

13、密碼全部會(huì)轉(zhuǎn)換成大寫 因應(yīng)： 不儲(chǔ)存LM Hash 禁用 LM驗(yàn)證協(xié)定 abcdefghiABCDEFGHI=+KeyKeyDESDES連結(jié)LM Hash- 21 -Windows身分驗(yàn)證協(xié)定驗(yàn)證協(xié)定驗(yàn)證協(xié)定支援的平臺(tái)支援的平臺(tái)特性說明特性說明 LANMan所有視窗平臺(tái)LANMan最大有效的密碼長(zhǎng)度為十四個(gè)字元，不過實(shí)際會(huì)區(qū)分為二個(gè)七字元長(zhǎng)度來加密，密碼填滿空間到 14 個(gè)且密碼全部會(huì)轉(zhuǎn)換成大寫，所以此協(xié)定易受暴力破解與攻擊NTLMNT4、Windows 2003、2000、XPl已比LANMan安全。l仍易受連線攔截, 重送攻擊,中間人的攻擊NTLM v2NT4+SP4、Windows 9x

14、+DS Clients 、Windows 2003/2000/XP比NTLM更安全，加強(qiáng)了連線線安全，提供安全通道的建立並具備雙向驗(yàn)證(Mutual Authentication)能力 KerberosWindows 2003、2000、XP Active Directory環(huán)境安全性最高、還有安全性最高、還有.- 22 -Kerberos 協(xié)定的優(yōu)點(diǎn)與條件 提供較快速有效率的驗(yàn)證 (Fast authentication) 雙向驗(yàn)證(Mutual authentication) 委託驗(yàn)證 (Proxy authentication) 互通性(Interoperability) Windows

15、 Kerberos使用條件： 需Active Directory環(huán)境下使用Windows 2000以上的作業(yè)系統(tǒng)- 23 -提升密碼驗(yàn)證的平安性指引 確保所有驗(yàn)證伺服器(例網(wǎng)域控制站)的實(shí)體平安性 防止儲(chǔ)存 LM Hash 密碼 防止使用易被猜測(cè)與破解的密碼 設(shè)定密碼原則 (Password Policy) 設(shè)定帳戶鎖定原則 (Lockout Policy) 稽核使用者驗(yàn)證 (Audit Authentication) 只使用NTLMv2或Kerberos驗(yàn)證協(xié)定 強(qiáng)制Windows 9x使用者執(zhí)行網(wǎng)域登入 設(shè)定Windows 9x/NT 使用NTLMv2驗(yàn)證協(xié)定- 24 -防止儲(chǔ)存 LM H

16、ash 密碼 (群組原則) 經(jīng)由電腦設(shè)定Windows 設(shè)定平安性設(shè)定本機(jī)原則平安性選項(xiàng) 途徑 網(wǎng)路平安性：下次密碼變更時(shí)不儲(chǔ)存 LAN Manager 雜湊值 - 25 -防止儲(chǔ)存 LM Hash 密碼(登錄資料庫(kù)) 編輯登錄資料庫(kù) Windows 2000 SP 2以後 (請(qǐng)編輯所有網(wǎng)域控制站) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 新增機(jī)碼(Key)，名稱為 NoLMHash 重新開機(jī) Windows XP與Windows Server 2003 HKEY_LOCAL_MACHINESYSTEMCurrentControl

17、SetControlLsa 新增一個(gè)DWORD類型的值 NoLMHash = 1需待下回變更密碼時(shí)才不會(huì)儲(chǔ)存LM Hash的密碼- 26 -平安性密碼的使用建議 密碼應(yīng)限制使用的期限。 密碼應(yīng)與使用者的名稱與字典字詞無關(guān) 儘量混合大小寫、數(shù)字與特殊字元。 密碼最少要有七個(gè)字元長(zhǎng)度，越長(zhǎng)來越不易被破解。 禁止使用重複的密碼- 27 -啟用密碼原則 (password policy) 防止使用者使用容易猜測(cè)及被破解的密碼使用可還原的加密來存放密碼強(qiáng)制執(zhí)行密碼歷程記錄 密碼必須符合複雜性需求密碼最長(zhǎng)有效期 密碼最短有效期 最小密碼長(zhǎng)度 - 28 -Windows的複雜密碼 至少六個(gè)字元 不能包含使用

18、者全名的局部字串 密碼內(nèi)使用的字串必需包括以下四類字串中的三類： 大寫字串：A, B, C,.Y,Z 小寫字串：a,b,c,d,.y.z 數(shù)字字串：0,1,2,3,4.8,9 特殊字串：!,?,(,. 建議：至少七個(gè)字元，包含大、小寫和特殊字元- 29 -啟用帳戶鎖定原則(Account lockout) 假設(shè)使用者帳戶在一定時(shí)間內(nèi)，使用錯(cuò)誤的密碼達(dá)數(shù)次後，就會(huì)關(guān)閉此帳戶，禁止登入。 防止非經(jīng)授權(quán)的有心人士，藉由不斷的猜測(cè)密碼來入侵系統(tǒng)。重設(shè)帳戶鎖定計(jì)數(shù)器的時(shí)間間隔帳戶鎖定時(shí)間 帳戶鎖定閾值 - 30 -產(chǎn)生不易猜測(cè)的初始密碼-密碼產(chǎn)生器 net user username /random-

19、31 -使用驗(yàn)證協(xié)定原則 LanMan驗(yàn)證協(xié)定的密碼易被破解 LanMan與 NTLM驗(yàn)證協(xié)定可被連線攔截與中間人攻擊 NTLM v2與Kerberos是較平安的驗(yàn)證協(xié)定，所以Windows環(huán)境下建議最好只採(cǎi)用 NTLM v2與Kerberos二種驗(yàn)證協(xié)定。- 32 -LAN Manager 驗(yàn)證層級(jí)設(shè)定指引純純NT SP4以上網(wǎng)路環(huán)境以上網(wǎng)路環(huán)境用戶端設(shè)定只傳送 NTLMv2 回應(yīng)拒絕 LM 和 NTLM伺服端設(shè)定只傳送 NTLMv2 回應(yīng)拒絕 LM 和 NTLM企業(yè)網(wǎng)路架設(shè)企業(yè)網(wǎng)路架設(shè)RRAS設(shè)定只傳送 NTLMv2 回應(yīng)拒絕 LM 有有Win9x的網(wǎng)路環(huán)境的網(wǎng)路環(huán)境Windows 9x

20、安裝 DSclient伺服端設(shè)定只傳送 NTLMv2 回應(yīng)拒絕 LM 和 NTLM- 33 -禁用LM, NTLM 驗(yàn)證協(xié)定(登錄編輯器) 假設(shè)為獨(dú)立伺服器，直接編輯登錄資料庫(kù) HKLMSYSTEMCurrentControlSetControlLSALMCompatibilityLevel 允許設(shè)定的值為0到5： 傳送 LM 及 NTLM 回應(yīng) 傳送 LM 和 NTLM - 如有交涉，使用 NTLMv2 工作階段平安性 只傳送 NTLM 回應(yīng) 只傳送 NTLMv2 回應(yīng) 只傳送 NTLMv2 回應(yīng)拒絕 LM 只傳送 NTLMv2 回應(yīng)拒絕 LM 和 NTLM- 34 -舊版作業(yè)系統(tǒng)支援 NT

21、LM v2 驗(yàn)證協(xié)定 NT4 + SP4 編輯以下登錄值HKEY_LOCAL_MACHINESystemCurrentControlSetcontrolLSALMCompatibilityLevel 用戶端設(shè)以上可使用NTLM v2 網(wǎng)域控制站設(shè)可拒絕LM與NTLM Windows 9x 安裝Windows 9x DSClient 套件 編輯以下登錄值HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSALMCompatibility 設(shè)為 3 (只傳送 NTLM 2 回應(yīng) 用戶端會(huì)使用 NTLM 2 驗(yàn)證並在伺服器支援時(shí)使用 NTLM 2 工作

22、階段平安性 )- 35 -禁用LM, NTLM 驗(yàn)證協(xié)定(群組原則) 編輯Default Domain Controllers Policy群組原則物件 經(jīng)由電腦設(shè)定Windows 設(shè)定平安性設(shè)定本機(jī)原則平安性選項(xiàng)網(wǎng)路平安性：LAN Manager 驗(yàn)證層級(jí)途徑- 36 -特殊使用者帳戶的平安性管理 管理員帳戶 (administrator) 服務(wù)帳戶(Service accounts) 來賓帳戶 (Guest)- 37 -管理員帳戶的重要性 Administrator為預(yù)設(shè)的視窗平臺(tái)的管理員帳戶，RID為500 Administrator具有本機(jī)完全的管理權(quán)限，允許無限制的執(zhí)行所有管理工作的

23、權(quán)限 網(wǎng)域管理員對(duì)網(wǎng)域內(nèi)所有電腦有完全管理權(quán)限 Administrator帳戶一旦被誤用或密碼被破解，系統(tǒng)平安性將完全瓦解。 Administrator帳戶應(yīng)嚴(yán)格的保護(hù)，謹(jǐn)慎的使用。- 38 -Administrator帳戶的平安特性 無法刪除 可以停用 允許網(wǎng)路鎖定，無法本機(jī)登入鎖定 允許變更名稱- 39 -保護(hù)administrator帳戶實(shí)務(wù) 設(shè)定複雜的密碼或使用智慧卡驗(yàn)證 建議符合複雜密碼要求並使用非鍵盤可直接輸入的字元 變更或去除描述屬性 變更管理員名稱 (rename administrator) 必要時(shí)可以停用或鎖定administrator帳戶 除非必要，儘量少直接使用admi

24、nistrator帳戶登入 - 40 -保護(hù)administrator帳戶(續(xù))電腦設(shè)定Windows設(shè)定平安性設(shè)定本機(jī)原則平安性選項(xiàng)帳戶：Administrator帳戶狀態(tài)l停用停用administrator帳戶帳戶電腦設(shè)定Windows 設(shè)定平安性設(shè)定本機(jī)原則平安性選項(xiàng)帳戶：重新命名系統(tǒng)管理員帳戶l變更變更administrator名稱名稱- 41 -服務(wù)帳戶(service account)的平安特性 一種用來啟動(dòng)特定服務(wù)的帳戶 平安性風(fēng)險(xiǎn) 非使用系統(tǒng)帳戶的服務(wù)帳戶會(huì)以明文的方式儲(chǔ)存在LSA secret 位置：HKEY_LOCAL_MACHINESECURITY LSA secret儲(chǔ)

25、放服務(wù)帳戶密碼、FTP與Web未加密密碼、遠(yuǎn)端存取服務(wù)與撥接帳戶名稱與密碼. 。 較少變更密碼 過多特權(quán) 潛在攻擊： 攻擊者可以利用工具截取出LSA secret的密碼 可能易被破解密碼 濫用服務(wù)帳戶特權(quán)- 42 -服務(wù)帳戶使用原則 使用系統(tǒng)帳戶或本機(jī)使用者帳戶啟動(dòng)服務(wù) 防止使用高權(quán)限的網(wǎng)域帳戶啟動(dòng)本機(jī)服務(wù) 而稽核服務(wù)帳戶的使用- 43 -服務(wù)帳戶使用原則(續(xù))限制服務(wù)帳戶使用者權(quán)利本機(jī)登入從網(wǎng)路存取這臺(tái)電腦透過終端機(jī)服務(wù)登入- 44 -Guest Windows XP/2003/Vista預(yù)設(shè)為關(guān)閉 並無任何管理權(quán)限 但可能為駭客利用以進(jìn)入系統(tǒng) 建議： 不要啟用 假設(shè)需啟用請(qǐng)?jiān)O(shè)密碼- 45

26、-稽核使用者的目的與步驟1設(shè)定稽核原則 (Audit Policy)2定期檢視安全性記錄檔3回應(yīng)處理l稽核的平安性目的在用來追查使用者在系統(tǒng)上的活動(dòng)l隨時(shí)掌控使用者在系統(tǒng)上的各項(xiàng)平安性行動(dòng)- 46 -設(shè)定稽核原則 (Audit Policy)稽核原則說 明稽核帳戶登入事件可記錄使用者網(wǎng)路登入事件稽核帳戶管理記錄帳戶新增、變更與移除事件稽核目錄服務(wù)存取使用者企圖存取Active Directory 物件?；说侨胧录涗浭褂谜弑緳C(jī)登入或登出以及網(wǎng)路連線至本機(jī)時(shí)稽核物件存取記錄使用者存取檔案、資料夾、印表機(jī)、登錄機(jī)碼等資源的事件稽核特殊權(quán)限使用使用者行使其使用者權(quán)限時(shí)- 47 -檢視平安性記錄檔

27、建立使用者帳戶：624 變更使用者帳戶：642 刪除使用者帳戶：630 登入成功：540(網(wǎng)路)、528(本機(jī)) 登入失?。?75、680- 48 -使用者存取權(quán)杖(Access Tokens)當(dāng)使用者登入驗(yàn)證成功後，LSA 建立了存取權(quán)杖存取權(quán)杖影響到登入後執(zhí)行的處理程序與網(wǎng)路存取的權(quán)限大小存取權(quán)杖上包含：使用者帳號(hào)的 SID使用者所屬群組的 SID使用者所擁有的權(quán)力 (User Right)- 49 -存取權(quán)杖的平安性管理 存取權(quán)杖影響使用者登入後在網(wǎng)路上的各項(xiàng)存取權(quán)利 平安性原則：嚴(yán)格控制使用者存取權(quán)利 群組成員權(quán) 使用者權(quán)利 設(shè)定原則：最低權(quán)限賦予原則，以防止逾越權(quán)限Administr

28、atorsguestdavidSeShutdownPrivilegeSeSecurityPrivilegeSeSecurityPrivilegeguestdavid- 50 -濫用管理員帳戶的風(fēng)險(xiǎn)與因應(yīng)l下載與安裝惡意程式l不當(dāng)?shù)男薷幕蚱茐南到y(tǒng)組態(tài)設(shè)定風(fēng)險(xiǎn)：l限制管理員身份與特權(quán)l(xiāng)RunAsl使用者帳戶控制(UAC；限Window Vista)因應(yīng)：- 51 -RunAs服務(wù) RunAs服務(wù)又稱為次要登入服務(wù)，允許使用者在不需要重新登入的情況下，利用另一個(gè)使用者的身份來執(zhí)行某個(gè)特定應(yīng)用程式。 操作方法： RUNAS.EXE 命令列工具程式 runas /profile /user:Admini

29、stratorsavtech regedit.exe 使用右鍵功能表內(nèi)的執(zhí)行為選項(xiàng)- 52 -Vista 使用者平安性管理新技術(shù)-使用者帳戶控制(UAC) 使用者帳戶控制(User Account Control，簡(jiǎn)稱UAC) 是 Windows Vista新支援的帳戶平安性管理技術(shù) UAC主要的設(shè)計(jì)目的在 降低未經(jīng)授權(quán)的使用者變更您的電腦重要設(shè)定的風(fēng)險(xiǎn)。 降低下載及安裝未經(jīng)授權(quán)的軟體風(fēng)險(xiǎn)- 53 -UAC的保護(hù)方法 預(yù)設(shè)上，所有使用者都是以標(biāo)準(zhǔn)使用者身份進(jìn)行作業(yè) (run as Standard User by default) 。 當(dāng)標(biāo)準(zhǔn)使用者身份執(zhí)行某些變更電腦組態(tài)或下載安裝程式的動(dòng)作前

30、，會(huì)先明確的要求您的授權(quán)或系統(tǒng)管理員的密碼 (Explicit consent required for elevation) 。- 54 -Vista 使用者帳戶 標(biāo)準(zhǔn)使用者帳戶標(biāo)準(zhǔn)使用者帳戶 並非 administrators群組成員，執(zhí)行管理作業(yè)時(shí)，會(huì)出現(xiàn)需要輸入管理員帳戶與密碼的提示對(duì)話視窗 系統(tǒng)管理員系統(tǒng)管理員 Administrators群組成員，執(zhí)行管理作業(yè)時(shí)，會(huì)出現(xiàn)需要按繼續(xù)按鈕才會(huì)繼續(xù)執(zhí)行的提示對(duì)話視窗 預(yù)設(shè)預(yù)設(shè)Administrator帳戶帳戶 預(yù)設(shè)停用，執(zhí)行管理工作可直接執(zhí)行時(shí)並不會(huì)出現(xiàn)提示對(duì)話視窗。- 55 -UAC的四種訊息類別 Windows 需要您的授權(quán)才能繼續(xù)作

31、業(yè)會(huì)影響到電腦其他使用者的 Windows 功能或程式需要獲得您的授權(quán)才能啟動(dòng)。請(qǐng)檢查動(dòng)作的名稱以確定它是您要執(zhí)行的功能或程式。 程式需要您的授權(quán)才能繼續(xù)不屬於 Windows 的程式需要您的授權(quán)才能啟動(dòng)。它擁有的有效數(shù)位簽章會(huì)指出其名稱及發(fā)行者，有助於確定該程式即其本身宣稱的程式。確定這是您要執(zhí)行的程式。 無法辨識(shí)的程式要存取您的電腦 無法辨識(shí)的程式是指沒有其發(fā)行者的有效數(shù)位簽章可確定該程式即其本身宣稱之程式的程式。這未必表示有危險(xiǎn)，許多舊版的合法程式就沒有簽章。不過，您應(yīng)該格外小心，且只允許執(zhí)行從信任的來源如原始CD或發(fā)行者的網(wǎng)站取得的程式。 此程式已被封鎖系統(tǒng)管理員已經(jīng)特別封鎖這個(gè)程式，

32、使其無法在您的電腦上執(zhí)行。假設(shè)要執(zhí)行此程式，您必須連絡(luò)系統(tǒng)管理員並要求解除封鎖該程式，或者是以系統(tǒng)管理員身份登入Windows。- 56 -使用者帳戶控制(UAC)運(yùn)作 管理者登入時(shí)，LSASS 會(huì)建立兩個(gè)存取權(quán)杖(Access Token)： 管理者權(quán)限的存取權(quán)杖， Limited User Account (LUA)存取權(quán)杖 winlogon.exe 使用 LUA 來建立第一個(gè)行程userinit.exe 執(zhí)行檔可以透過以下方式來使用系統(tǒng)管理者的存取權(quán)杖來執(zhí)行: 在程式的 manifest 檔案指定 在系統(tǒng)應(yīng)用程式相容性資料庫(kù)中指定 (使用 ACT 5.0) 安裝程式偵測(cè) (檔案?jìng)蓽y(cè)) 使

33、用者自行要求以系統(tǒng)管理員身份執(zhí)行 可以透過群組原則或本機(jī)平安性原則來停用這個(gè)功能- 57 -UAC 架構(gòu)- 58 -使用者平安性管理指引1確保網(wǎng)域控制站的實(shí)體平安 (例鎖在機(jī)房、禁止非磁碟開機(jī))2強(qiáng)制密碼原則 (Password Policy)與鎖定原則 (Lockout Policy)3不要儲(chǔ)存 LM Hash 密碼4儘量防止使用NTLM與LanMan驗(yàn)證協(xié)定5管理員帳戶的使用：嚴(yán)格的驗(yàn)證方法(例智慧卡)、變更名稱、設(shè)定複雜的密碼、使用執(zhí)行為(RunAs)與UAC機(jī)制6正確的使用服務(wù)帳戶與來賓帳戶7稽核使用者帳戶 (Audit user account security)8權(quán)限與群組成員指派

34、需符合最低權(quán)限授予原則 (Least privilege) 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.- 60 -t&w-z1C4G7JbMePhTkWnZr$u*x+A2E5H8KcNfQiUlXp#s%v)y0B3F6IaLdOgSjVmYq!t*w-z1D4G7JbMeQhTkWoZr$u(x+B

35、2E5H9KcNfRiUmXp#s&v)y0C3F6IaLdPgSjVnYq!t*w-A1D4G8JbMeQhTlWoZr%u(x+B2E6H9KcOfRiUmXp!s&v)z0C3F7IaMdPgSkVnYq$t*x-A1D5G8JbNeQhTlWo#r%u(y+B2E6H9LcOfRjUmXp!s&w)z0C4F7IaMdPhSkVnZq$t*x-A2D5G8KbNeQiTlXo#r%v(y+B3E6I9LcOgRjUmYp!t&w)z1C4F7JaMdPhSkWnZq$u*x-A2D5H8KbNfQiTlXo#s%v(y0B3E6I9LdOgRjVmYp!t&w-z1C4G7JaMePh

36、TkWnZr$u*x+A2E5H8KcNfQiUlXo#s%v)y0B3F6I9LdOgSjVmYq!t&w-z1D4G7JbMePhTkWoZr$u(x+A2E5H9KcNfRiUlXp#s&v)y0C3F6IaLdPgSjVnYq!t*w-A1D4G8JbMeQhTkWoZr%u(x+B2E5H9KcOfRiUmXp#s&v)z0C3F7IaLdPgSkVnYq$t*w-A1D5G8JbNeQhTlWo#r%u(y+B2E6H9LcOfRjUmXp!s&v)z0C4F7IaMdPgSkVnZq$t*x-A1D5G8KbNeQiTlWo#r%v(y+B3E6H9LcOgRjUmYp!s&w)

37、z1C4F7JaMdPhSkWnZq$u*x-A2D5G8KbNfQiTlXo#r%v(y0B3E6I9LcOgRjVmYp!t&w)z1C4G7JaMePhSkWnZr$u*x+A2D5H8KcNfQiUlXo#s%v)y0B3F6I9LdOgSjVmYq!t&w-z1C4G7JbMePhTkWnZr$u(x+A2E5H8KcNfRiUlXp#s%v)y0C3F6IaLdOgSjVnYq!t*w-z1D4G8JbMeQhTkWoZr%u(x+B2E5H9KcNfRiUmXp#s&v)y0z0C3F7IaLdPgSjVnYq$t*w-A1D4G8JbNeQhTlWoZr%u(y+B2E6H9K

38、cOfRjUmXp!s&v)z0C4F7IaMdPgSkVnZq$t*x-A1D5G8KbNeQiTlWo#r%u(y+B3E6H9LcOfRjUmYp!s&w)z0C4F7JaMdPhSkVnZq$u*x-A2D5G8KbNfQiTlXo#r%v(y0B3E6I9LcOgRjVmYp!t&w)z1C4F7JaMePhSkWnZq$u*x+A2D5H8KbNfQiUlXo#s%v(y0B3F6I9LdOgRjVmYq!t&w-w-z1C4G7JbMePhTkWnZr$u(x+A2E5H8KcNfRiUlXp#s%v)y0C3F6IaLdOgSjVmYq!t*w-z1D4G7JbMeQhTkWo

39、Zr$u(x+B2E5H9KcNfRiUmXp#s&v)y0C3F7IaLdPgSjVnYq$t*w-A1D4G8JbNeQhTlWoZr%u(x+B2E6H9KcOfRiUmXp!s&v)z0z0C3F7IaMdPgSkVnYq$t*x-A1D5G8JbNeQiTlWo#r%u(y+B3E6H9LcOfRjUmYp!s&w)z0C4F7JaMdPhSkVnZq$u*x-A2D5G8KbNeQiTlXo#r%v(y+B3E6I9LcOgRjUmYp!t&w)z1C4F7JaMePhSkWnZq$u*x+A2D5H5H8KbNfQiUlXo#s%v(y0B3F6I9LdOgRjVmYq!t&w-

40、z1C4G7JbMePhTkWnZr$u*x+A2E5H8KcNfQiUlXp#s%v)y0B3F6IaLdOgSjVmYq!t*w-z1D4G7JbMeQhTkWoZr$u(x+B2E5H9KcNfRiUmXp#s&v)y0C3F6IaLdPgSjVnYq!t*w-A1D4G8JbMeQhTlWoZr%u(x+B2E6H9KcOfRiUmXp!s&v)v)z0C3F7IaMdPgSkVnYq$t*x-A1D5G8JbNeQiTlWo#r%u(y+B3E6H9LcOfRjUmXp!s&w)z0C4F7IaMdPhSkVnZq$t*x-A2D5G8KbNeQiTlXo#r%v(y+B3E6I9L

41、cOgRjUmYp!t!t&w)z1C4F7JaMePhSkWnZq$u*x+A2D5H8KbNfQiUlXo#s%v(y0B3E6I9LdOgRjVmYp!t&w-z1C4G7JaMePhTkWnZr$u*x+A2E5H8KcNfQiUlXp#s%v)y0B3F6IaLdOgSjVmYq!t*w-z1D4G7JbMePhTkWoZr$u(x+A2E5H9KcNfRiUlXp#s&v)y0y0C3F6IaLdPgSjVnYq!t*w-A1D4G8JbMeQhTlWoZr%u(x+B2E6H9KcOfRiUmXp!s&v)z0C3F7IaMdPgSkVnYq$t*w-A1D5G8JbNeQhTl

42、Wo#r%u(y+B2B2E6H9LcOfRjUmXp!s&w)z0C4F7IaMdPhSkVnZq$t*x-A2D5G8KbNeQiTlXo#r%v(y+B3E6I9LcOgRjUmYp!t&w)z1C4F7JaMdPhSkWnZq$u*x-A2D5H8KbNfQiTlXo#s%v(y0B3E6I9LdOgRjVmYp!t&w-z1C4G7JaJaMePhTkWnZr$u*x+A2E5H8KcNfQiUlXp#s%v)y0B3F6IaLdOgSjVmYq!t&w-z1D4G7JbMePhTkWoZr$u(x+A2E5H9KcNfRiUlXp#s&s&v)y0C3F6IaLdPgSjVnYq!

43、t*w-A1D4G8JbMeQhTlWoZr%u(x+B2E6H9KcOfRiUmXp#s&v)z0C3F7IaLdPgSkVnYq$t*w-A1D5G8JbNeQhTlWo#r%u(y+B2E6H9LcOfRjUmXp!s&w)z0C4F7IaMaMdPhSkVnZq$t*x-A2D5G8KbNeQiTlXo#r%v(y+B3E6H9LcOgRjUmYp!s&w)z1C4F7JaMdPhSkWnZq$u*x-A2D5H8KbNbNfQiTlXo#s%v(y0B3E6I9LdOgRjVmYp!t&w-z1C4G7JaMePhTkWnZr$u*x+A2E5H8KcNfQiUlXo#s%v)y0B

44、3F6I9LdOgSjVmYq!t&w-z1D4G7JbMePhTkWoZr$u(x+A2E5H9H9KcNfRiUlXp#s&v)y0C3F6IaLdPgSjVnYq!t*w-A1D4G8JbMeQhTlWoZr%u(x+B2E5H9KcOfRiUmXp#s&v)z0z0C3F7IaLdPgSkVnYq$t*w-A1D5G8JbNeQhTlWo#r%u(y+B2E6H9LcOfRjUmXp!s&w)z0C4F7IaMdPhSkVnZq$t*x-A2D5G8KbNeQiTlWo#r%v(y+B3E6H9LcOgRjRjUmYp!s&w)z1C4F7JaMdPhSkWnZq$u*x-A2D5H8

45、KbNfQiTlXo#s%v(y0B3E6I9LdOgRjVmYp!t&w-z1C1C4G7JaMePhTkWnZr$u*x+A2E5H8KcNfQiUlXo#s%v)y0B3F6I9LdOgSjVmYq!t&w-z1D4G7JbMePhTkWoZr$u(x+A2E5H9KcNfRiUlXp#s&v)y0C3F6IaIaLdPgSjVnYq!t*w-A1D4G8JbMeQhTlWoZr%u(x+B2E5H9KcOfRiUmXp#s&v)z0C3F7IaLdPgSkVkVnYq$t*w-A1D5G8JbNeQhTlWo#r%u(y+B2E6H9LcOfRjUmXp!s&w)z0C4F7IaMdPhSkVnZq$t*x-A1D5G8KbNeQiTlWo#r%v(y+B3E6H9LcOgRjRjUmYp!s&w)z1C4F7JaMdPhSkWnZq$u*x-A2D5H8KbNfQiTl