一种基于可还原加密机制的windows域内口令加强方法与流程

[0001]
本发明涉及网络安全技术领域，特别是涉及一种基于可还原加密机制的windows域内口令加强方法。


背景技术：

[0002]
在大多数大型企业中，windows办公网经常基于域进行纵向管理，方便管理人员统一配置域内机器、补丁下发等操作。但是基于域进行方便管理的同时也带来一定的危害，黑客等攻击人员可以通过域内口令猜解手段对域进行渗透，获取域权限，对企业造成网络安全危害，因此需要对域内口令进行加强。
[0003]
现有技术中，windows域内口令加强都是通过设置密码复杂度的安全策略进行，密码复杂度的安全策略包括如下几点：一、不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分；二、至少有六个字符长；三、应包含英文大写字母、英文小写字母、十个基本数字和非字母字符这四类字符中的三类字符。但是由上述密码复杂度的安全策略形成的加强口令不能排除经典弱口令、键盘型弱口令和关键字社工型弱口令等新型弱口令。随着域内密码数量的增多，大多数人会倾向于将密码设置为容易记忆的符合上述密码复杂度安全策略的密码，不能排除新型弱口令。新型弱口令对于攻击者来说仍属于弱口令，不会起到太大的阻拦作用，基于域进行windows办公网管理带来危害仍不能被避免，windows域的网络安全性不足。
[0004]
另外，域内密码属于不可逆的加密存储，管理人员无法获得windows办公网域内人员设置的密码，无法确定企业内密码是否安全。
[0005]
因此，针对现有技术不足，提供一种基于可还原加密机制的windows域内口令加强方法甚为必要。


技术实现要素：

[0006]
本发明的目的在于避免现有技术的不足之处而提供一种基于可还原加密机制的windows域内口令加强方法，能够通过可还原加密机制获取windows域内所有密码明文，然后与设置的弱口令密码规则进行匹配，判断出域内用户设置的明文密码的安全程度并排除域内所有弱口令，提高了windows域的网络安全性。
[0007]
本发明的目的通过以下技术措施实现。
[0008]
提供一种基于可还原加密机制的windows域内口令加强方法，包括以下步骤：
[0009]
s1：windows域的域控服务器设置可还原加密存储机制。
[0010]
s2：在windows域内设置密码规则表，所述密码规则表为不允许用户设置的密码集合。
[0011]
s3：windows域管理人员每隔δd时间段通过可还原加密存储机制获取一次域内所有用户的明文密码，其中，δd为正数。
[0012]
s4：将获取的明文密码与密码规则表内的密码进行匹配，当有明文密码与密码规
则表内的密码匹配成功时，对匹配成功的明文密码所属的用户进行提示。
[0013]
优选的，所述可还原加密存储机制为windows域内自带的可还原加密存储机制。
[0014]
优选的，所述密码规则表包括经典弱口令、键盘弱口令、关键字社工型弱口令和自定义弱口令中的至少一种。
[0015]
优选的，步骤s3中δd由windows域管理人员设定，其中10天≤δd≤30天。
[0016]
优选的，步骤s4所述明文密码与密码规则表内的密码采用顺序查找的方式进行匹配，将步骤s3获取的明文密码逐个作为查找对象，在密码规则表内进行顺序查找，当在密码规则表内查找到与作为查找对象的明文密码相同的密码时，则匹配成功。
[0017]
优选的，所述关键字社工型弱口令和自定义弱口令由windows域管理人员设定。
[0018]
优选的，步骤s4所述提示包含密码弱口令警告或者新密码修改策略。
[0019]
另一优选的，步骤s4所述提示包含密码弱口令警告和新密码修改策略，用户在接收到密码弱口令警告后按照新密码策略对密码进行修改。
[0020]
本发明的基于可还原加密机制的windows域内口令加强方法，包括以下步骤：s1：在windows域控服务器设置可还原加密存储机制；s2：在windows域内设置密码规则表，所述密码规则表为不允许用户设置的密码集合；s3：windows域管理人员每隔δd时间段通过可还原加密存储机制获取一次域内所有用户的明文密码，其中，δd为正数；；s4：将获取的明文密码与密码规则表内的密码进行匹配，当有明文密码与密码规则表内的密码匹配成功时，对匹配成功的明文密码所属的用户进行提示。通过可还原加密存储机制能够获取windows域内所有用户的密码明文，并将获取到的明文密码与设置的弱口令密码规则进行匹配，匹配成功后提示用户进行明文密码修改，排除域内所有弱口令，提高了windows域的网络安全性。
附图说明
[0021]
利用附图对本发明作进一步的说明，但附图中的内容不构成对本发明的任何限制。
[0022]
图1是本发明一种可还原加密机制的windows域内口令加强方法的明文密码与密码规则表进行匹配的示意图。
具体实施方式
[0023]
结合以下实施例对本发明作进一步说明。
[0024]
实施例1。
[0025]
一种基于可还原加密机制的windows域内口令加强方法，包括以下步骤：s1：在windows域的域控服务器内设置可还原加密存储机制。可还原加密存储机制为windows域内自带的可还原加密存储机制，是微软自带的一种密码设置，此设置支持使用需要了解用户密码以进行身份验证的协议的应用程序。使用可还原的加密来储存密码本质上与保存密码的明文版本相同，当通过远程访问或internet验证服务(ias)使用质询握手身份验证协议(chap)时，需要此策略。当在microsoft internet信息服务(iis)中使用摘要式验证时，也需要此策略。我们可以借用这种密码设置，获取到域内所有人员的密码明文。
[0026]
本实施例以windows7为例说明可还原加密存储机制设置过程，具体为唤出
windows7“控制面板”程序窗口，点击“系统和安全”图标；点击“管理工具”图标，在“管理工具”窗口点击“本地安全策略”图标调出“本地安全策略”程序窗口；在“本地安全策略”程序窗口“安全设置”部分点击“账户策略”；点击“账户策略”的子设置“密码策略”出现“用可还原的加密来存储密码”图标；最后用鼠标右击“用可还原的加密来存储密码”图标，弹出快捷菜单选择“属性”项，弹出“用可还原的加密来存储密码属性”对话框，勾选“本地安全设置”下的“已启用”复选框，windows7可还原加密存储机制设置完成。需要说明的是，windows的其它版本可还原加密存储机制的设置方式与windows7的设置方式基本一样，且均为本领域人员所熟知，在此不再赘述。
[0027]
s2：在windows域内设置密码规则表，密码规则表为不允许用户设置的密码集合。密码规则表包括经典弱口令、键盘弱口令、关键字社工型弱口令和自定义弱口令中的至少一种。经典弱口令为类似p@ssw0rd和pa$$w0rd等弱口令，键盘弱口令为类似于1qaz@wsx、！qaz2wsx和zxc1@zxc等弱口令，经典弱口令和键盘弱口令均为常见弱口令，可以从互联网获取。关键字社工型弱口令和自定义弱口令由windows域管理人员自行设定，对于一个企业来说，关键字社工型弱口令是管理人员根据企业关键字key按照一定规则设定，关键字key可以是企业的名称、名称的变种或企业自行定义的字符串，这里的变种一般是指字母与特殊符号相似变换，比如说a变种为@，s变种为$，o变种为0，规则可以为％key％@123和％key％2020等，可以使用不同的额企业，由企业的名称、名称的变种或企业自行定义的字符串按照上述％key％@123和％key％2020等规则可以生成大量关键字社工型弱口令。自定义弱口令可以由企业管理人员根据当前企业所在环境等具体设置，比如企业所在地为广州，自定义弱口令可以定义为gz％key％123或者0g％key％z0等容易被攻击者猜想出的弱口令。本实施例具体以百度公司为例说明关键字社工型弱口令和自定义弱口令的设定，此时％key％具体为baidu或baidu等，则相应的关键字社工型弱口令可以是bai du@123、baidu@123、b@idu123或者baidu2020，自定义弱口令可以是gzbai du123或者0gbaiduz0等，自定义弱口令可以根据当前企业所处的环境持续更新。经典弱口令、键盘弱口令、关键字社工型弱口令和自定义弱口令都符合密码复杂度包括数字、字母大小写、特殊符号等要求，但是又很容易被攻击者有针对性猜解出来的，所以仍然属于弱口令，企业安全仍受到威胁。
[0028]
s3：windows域管理人员每隔δd时间段通过可还原加密存储机制获取一次域内所有用户的明文密码，δd由windows域管理人员设定，其中10天≤δd≤30天，本实施例δd具体为30天。定期监测用户明文密码能够及时发现属于弱口令的明文密码，减少域内弱口令明文密码的存在，有效规避明文密码被破解，windows域被攻击者渗透的风险。
[0029]
s4：如图1所示，将获取的明文密码与密码规则表内的密码进行匹配，若有明文密码与密码规则表内的密码匹配成功，则对匹配成功的明文密码所属的用户进行提示。明文密码与密码规则表内的密码采用顺序查找的方式进行匹配，将步骤s3获取的明文密码逐个作为查找对象，在密码规则表内进行顺序查找，若在密码规则表内查找到与作为查找对象的明文密码相同的密码，则匹配成功。提示包含密码弱口令警告和新密码修改策略。需要说明的是，新密码策略由管理人员制定，可以包含禁止以企业关键字和环境等命名的策略。用户在接收到密码弱口令警告后按照新密码策略对密码进行修改，windows域内口令得到加强，保障了windows域的网络安全。
[0030]
该基于可还原加密机制的windows域内口令加强方法，巧妙利用系统自带功能实
现口令加强的思路，能够通过windows域自身功能可还原加密存储机制获取域内所有人员的明文密码，并与域内不允许用户设置的密码集合作匹配，匹配成功后提示用户修改明文密码，减少了域内弱口令数量，提升了windows域网络安全性。
[0031]
实施例2。
[0032]
一种基于可还原加密机制的windows域内口令加强方法，其他特征与实施例1相同，不同之处在于：本实施例具体以企业a在其办公网内进行口令加强的过程为例具体描述基于可还原加密机制的windows域内口令加强方法，包括以下步骤：
[0033]
s1：企业a管理人员在其办公网所在windows域的域控服务器设置可还原加密存储机制；
[0034]
s2：企业a管理人员在windows域内设置密码规则表，所述密码规则表为不允许设置的密码集合，包括经典弱口令、键盘弱口令、关键字社工型弱口令和自定义弱口令等新型弱口令，关键字社工型弱口令和自定义弱口令由企业a管理人员根据企业a的名称等按照自己定义的规则设定生成。
[0035]
s3：企业a管理人员每隔15天通过域控服务器设置的可还原加密存储机制获取一次企业所有人设置的的明文密码；
[0036]
s4：将获取的明文密码与密码规则表内的密码进行匹配，若有明文密码与密码规则表内的密码匹配成功，则对匹配成功的明文密码所属的员工进行提示，提示后员工修改自己相关的明文密码。本实施例中，密码规则表里的密码可以分块存储，并对存储区域进行排序，开始时先设置当前作为匹配对象的明文密码与密码规则表第一存储序列的新型弱口令密码进行匹配，在第一序列匹配不成功则进入下一个序列进行对比。无论当前作为匹配对象的明文密码有没有匹配成功，只要第一序列内没有铭文没密码进行匹配，则添加下一个作为匹配对象的明文密码作为匹配对象，采用这种方式加快了明文密码与密码规则表内弱口令密码的匹配速度。
[0037]
该基于可还原加密机制的windows域内口令加强方法，企业管理人员能够通过企业办公网所在域的域控服务器上设置的可还原加密存储机制获取企业内所用明文密码，并与设置的弱口令密码规则表进行快速匹配，排除企业明文密码内的弱口令明文密码，提升了企业办公网的网络安全性。
[0038]
最后应当说明的是，以上实施例仅用以说明本发明的技术方案而非对本发明保护范围的限制，尽管参照较佳实施例对本发明作了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的实质和范围。