弱密码是每一个数据中心的核心隐患。令我感到惊奇的是,我们却不曾更多地关注到这点。
在我的报告中会介绍关于使用老式弱密码的一些最大的和最突出的安全隐患。我在Windows服务器和工作站中、SQL服务器系统、Internet信息服务(IIS)和Outlook Web Access看到这些隐患。
很多人使用黑客工具攻击系统以证明自己的能力,也许少数行为属于这一类。但总的来说,实践证明弱密码和其他安全基础知识需要你随时关注。
那么,你可以做些什么呢? Windows管理员和经理们拥有有史以来最强大的密码强制策略工具:利用Microsoft Active Directory中的AD,您有能力控制100%的Windows相关的密码。
这虽然听起来很简单,但很多人仍然没有充分利用其优势。即使是独立的系统也允许您使用Windows本地安全策略得到相应的保障。
除此以外,在Windows环境中,我经常看到诸如“密码必须符合复杂性的要求”和“强制密码”基本提示,而同时已启用“密码最长使用期限”——这常常令用户非常烦恼。有时我甚至看到,微软为强密码所建议的详细说明书。拥有一个42天的密码最长使用期限可被视为一种最佳做法,但这并不意味着它适合您的业务。
问题是,许多Windows环境还没有确定一个合理的密码策略。一个清晰、简明和管理核准的政策是至关重要的,但往往被忽略。管理人员只是不想去处理。
即使你已经定义了一个密码策略,你应该知道,这是不够的。请确保你有一个良好的策略,并让您的用户知道和了解。同样不要忽略其它在您的环境中所显露的密 码。密码对于一个非Windows系统,往往会存在风险,因此一定要培训你的用户重视所有不同的系统中的不同用户的密码。
最后,利用解密密码工具,如Ophcrack、Elcomsoft公司的Proactive System Password Recovery可以使Windows口令无效。但是,这不是问题的关键。如QualysGuard或Acunetix Web Vulnerability Scanner是一个很好的破解Windows密码漏洞的扫描工具。如果安全顾问或监测员可以做到这一点,那么恶意的内部或外部攻击者也可以做到这些。这只是一个时间问题。
访问并控制密码是计算机和网络安全的最根本的方面之一,但在2009年,今天我们似乎仍然无法避开它的攻击。由于政策和缺乏管理,有可能没有因 Windows密码的弱点找到合理的借口。为修补您的这个问题,在2010年后,即使所有的高级防火墙,为你的数据泄漏和恶意软件攻击提供保护技术,我相 信在您的公司,修复脆弱的密码策略对整个企业都是一劳永逸的,为了提高安全我们将做更多的尝试。
评论