2.2.3 系統(tǒng)管理員密碼設置

入侵者若想盜取系統(tǒng)內(nèi)的重要數(shù)據(jù)信息或執(zhí)行某項管理功能，就必須先獲得管理員權(quán)限，即破解管理員賬戶密碼。密碼破解軟件工作機制主要包括3種：巧妙猜測、詞典攻擊和自動嘗試字符組合。從理論上講，只要有足夠時間，使用這些方法可以破解任何賬戶密碼，破解一個弱密碼可能只需幾秒鐘即可完成，而要破解一個安全性較高的強密碼則可能需要幾個月甚至幾年的時間。因此，系統(tǒng)管理員賬戶必須使用強密碼，并且經(jīng)常更改密碼。

1. 注意事項

在設置管理員賬戶密碼時，應注意以下問題。

● 切忌賬號與密碼相同。如果將用戶賬號與密碼設置為相同，許多系統(tǒng)掃描工具默認將賬戶和密碼作為相同的設置掃描系統(tǒng)，無疑會省去攻擊者的很多力氣。

● 切忌使用自己的姓名。使用自己的姓或名、甚至是姓名作為密碼，實在是不堪一擊，對于本單位和熟悉本單位的人來講，姓名無疑是攻擊的首選，因為這幾乎誰都能猜得到。另外，在許多黑客編寫的字典中，往往將百家姓一一列出，放在字典的前列。

● 切忌使用英文詞組。一些常用或別致的英文單詞往往是用戶設置密碼時的最愛，在他們看來，這類密碼既便于記憶，又凸顯自己的個性。但事實上，那些絕頂聰明的黑客們也早已猜到并詳細地將其編入字典，因此，英文詞組絕不可用。

● 切忌使用特定意義的日期 以具有特定意義的日期作為密碼是任何人都十分喜愛的，這一類日期通常有自己生日、父母生日、兒女生日、朋友生日、重大節(jié)日、個人紀念日等等。不用說熟悉的人可以猜得到，即使是陌生人也可以通過窮舉的方式而得手。在黑客字典中，幾乎全部羅列以上所有的幾個組合，實在令人驚駭不已。

● 切忌使用簡單密碼 越是字符數(shù)少、越是簡單的密碼，在破解時所用的時間也就越短。一個以窮舉軟件每秒鐘可以重試10萬次之多，字數(shù)越少，字符越簡單化，排列組合的結(jié)果也就越少，也就越容易被攻破。

2. 安全密碼原則

若欲保證賬戶密碼的安全，應當遵循以下規(guī)則。

● 用戶密碼應包含英文字母的大小寫、數(shù)字、可打印字符，甚至是非打印字符，將這些符號排列組合使用，以期達到最好的保密效果。

● 用戶密碼不要太規(guī)則，不要將用戶姓名、生日和電話號碼作為密碼。不要用常用單詞作為密碼。

● 根據(jù)黑客軟件的工作原理，參照密碼破譯的難易程度，以破解需要的時間為排序指標，密碼長度設置時應遵循7位或14位的整數(shù)倍原則。

● 在通過網(wǎng)絡驗證密碼過程中，不得以明文方式傳輸，以免被監(jiān)聽截取。

● 密碼不得以明文方式存放在系統(tǒng)中，確保密碼以加密的形式寫在硬盤上并包含密碼的文件是只讀的。加密的方法很多，如基于單向函數(shù)的密碼加密，基于測試模式的密碼加密，基于公鑰加密方案的密碼加密，基于平方剩余的密碼加密，基于多項式共享的密碼加密，基于數(shù)字簽名方案的密碼加密等。經(jīng)過上述方法加密的密碼，即使是系統(tǒng)管理員也難以得到。

● 密碼應定期修改，應避免重復使用舊密碼，應采用多套密碼的命名規(guī)則。

● 建立賬號鎖定機制。一旦同一賬號密碼校驗錯誤若干次即斷開連接并鎖定該賬號，經(jīng)過一段時間才解鎖。

● 由網(wǎng)絡管理員設置一次性密碼機制，用戶在下次登錄時必須更換新的密碼。

3. 系統(tǒng)賬戶密碼要求

在Windows Server 2008系統(tǒng)中，安裝系統(tǒng)的同時就要求管理員必須指定符合要求的安全密碼，大大提高了用戶賬戶和系統(tǒng)的安全性。通常情況下，Windows Server 2008網(wǎng)絡中，對用戶賬戶密碼要求如下：

● 不包含全部或部分的用戶賬戶名。

● 長度至少為6個字符。

● 包含來自以下4個類別中的3個的字符：

大寫英文字母（從A到Z）。

小寫英文字母（從a到z）。

10個基本數(shù)字（從0到9）。

非字母字符（例如，!、$、#、%）。

對于未安裝Active Directory服務的Windows Server 2003計算機或修改了Windows Server 203/2008默認組策略的計算機，其用戶賬戶密碼可以隨意設置。

強密碼具有以下特征：

● 長度至少有7個字符。

● 不包含用戶的生日、電話、用戶名、真實姓名或公司名等。

● 不包含完整的字典詞匯。

● 包含全部下列4組字符類型。大寫字母（A,B,C...）、小寫字母（a,b,c...）、數(shù)字（從0～9）、非字母字符（鍵盤上所有未定義為字母和數(shù)字的字符，如` ～ ! @ # $ % ^ & *( ) _ + - = { } | [ ] \ : " ; ' < > ? , . /）。

除此之外，管理員賬戶的密碼應當定期修改，尤其是當發(fā)現(xiàn)有不良攻擊時，更應及時修改復雜密碼，以避免被破解。為避免密碼因過于復雜而忘記，可用筆記錄下來，并保存在安全的地方，或隨身攜帶避免丟失。其實，最安全的方法就是不使用常規(guī)密碼，而采用電子密鑰等一些幾乎無法破解的登錄方式，確保系統(tǒng)安全性。

4. 設置系統(tǒng)管理員賬戶密碼

Windows Server 2008系統(tǒng)安裝完成后，要求用戶立即為默認系統(tǒng)管理員賬戶（Administrator）設置密碼，并使用設置的密碼登錄系統(tǒng)。當然，在使用過程中，用戶也可以根據(jù)需要重新設置系統(tǒng)管理員賬戶密碼，具體操作請參考本書其他章節(jié)相關內(nèi)容。

（1）安裝完成后，登錄系統(tǒng)之前將顯示如圖2-11所示界面，要求第一次登錄之前必須更改密碼。

（2）單擊“確定”按鈕，顯示如圖2-12所示界面，用來設置密碼。

（3）在“新密碼”和“確認密碼”文本框中鍵入密碼，然后按Enter鍵，密碼更改成功，如圖2-13所示。