精彩辩论：Windows 通过隐匿性来实现安全

         到目前为止，我们应该都知道隐匿式措施本身所构成的防御并不充足。但它们可以强化其他安全措施，并且 Roger 的数据也清楚地阐明了这一点。只要实施的成本不高，组织就不应该把它们排除在外。

　　与支持重命名一样，反对重命名管理员帐户也有根据。不过，在继续讨论之前，我必须承认 Roger 的最后一个论点蛮有效力的。但是，在高度托管的环境中，应该调查任何使用管理员帐户的登录，因为除了紧急恢复的情况之外，完全不应该使用该帐户。

　　●多此一举 重命名管理员帐户应当缓解的主要风险是有人从远程猜测它的密码。但重命名管理员帐户只会阻止在计算机上没有其他授权帐户的用户。这类攻击者通常会尝试一连串随机的密码登录管理员帐户。不过，无论攻击者是猜错帐户名还是猜错密码，都会收到相同的错误消息。

　　这就表明重命名管理员帐户的主要论据之一(脚本黑客会放弃)并不完全正确。他们并不会因为管理员帐户经过重命名而比使用原始名称时消失得更快，因为他们无法分辨!无论如何，他们猜测的都是一组相同的随机密码，然后继续攻击下一个对象。

　　这表示只要管理员帐户密码的安全级别足以击退攻击，重命名帐户就没有更多意义了。假设管理员帐户的密码包含 15 个字符，由从整个键盘挑选出的大小写字母、数字和符号组成。通过网络猜测该密码大概需要 591,310,404,907 年的时间。呵呵，比宇宙存在的时间长 43 倍。

　　现在，假设我们对管理员帐户进行重命名，将其命名为 1,000 个可能的值之一。这样一来，我们可将猜测密码的时间延长到 591,310,404,906,787 年，即比宇宙存在的时间长 43,161 倍。这样就比较安全吗?当然，我们安全多了。我们降低了攻击者猜测我们的密码的可能性吗?嗯，根本没有。换句话说，无论是否更改管理员帐户名，被攻击者猜测的可能性是一样的。重命名帐户会抵御尝试使用该帐户名的恶意软件，但不重命名帐户未必就会让恶意软件得逞。事实上，如果您使用强密码(您应该这么做)，无论帐户名是什么，都可保证它不会得逞。

　　很明显，许多安全指南要求重命名管理员帐户，但这并不表示它就是有意义、甚至是有效的安全措施。它只是妨碍了您对安全性做出适当的风险管理决策。安全指南通常要求进行没有什么意义的设置，而且在许多情况下，甚至要求进行根本不存在的设置。最后，要在安全性领域中稳定前进，我们必须突破安全指南要求的限制，实际分析问题，然后评估缓解措施是否有意义。在此，要特别注意一点 — 攻击者以功能为目标本身并不足以构成修改该功能的充分理由。只有在不修改功能会使攻击得逞的情况下，才应修改功能。

　　如果设有强密码，那么无论是否重命名帐户，攻击成功的可能性实际上为零。因此，只要您设置强密码，就没有特定的安全性理由需要重命名帐户。此外，如果您像我一样认同“对计算机所做的调整和更改越少，计算机越稳定”这一原则，则不对管理员帐户进行重命名才是更合理的。

　　●将注意力转移到低价值缓解措施上 通过隐匿性来实现安全的低价值缓解措施存在一个问题，就是它们可能会转移组织对高价值缓解措施的注意力。例如，在重命名管理员帐户上投入大量时间和精力后，就不能执行其他操作了。如果其他操作比重命名管理员帐户更有意义，则组织就错失了一次机会。听起来好像实际上不需要这样的代价，然而想象重命名 50,000 个管理员帐户，您就会开始产生这种想法。

　　更糟糕的是，一旦实施低价值缓解措施，组织的领导便会停下来休息，这种可能性非常大。管理层不一定始终能了解通过隐匿性缓解措施来实现安全的意义非常小，因此可能不再采取其他措施。这实际上为组织带来另一个重大风险，只要管理层花费一些时间和精力来了解实施的缓解措施的意义，即可在很大程度上避免这种风险。

　　●高管理成本 最后，根据缓解措施的实施程度，管理成本可能会变得相当大。如果只是通过设置组策略对象 (GPO) 来重命名管理员帐户，则成本非常低。每个人都将知道此名称，因此部署成本几乎为零。然而，它却没什么意义，如上所述，每个拥有帐户的人都会知道此名称。因此，要真正实现此缓解措施的价值，需要对不同的主机使用不同的名称，这样管理系统的成本就会非常高。

　　使用类似 passgen 的工具对网络上的所有管理员帐户设置 100 个字符的完全随机密码并使用不同的帐户进行日常管理的效果可能会更好。考虑到管理员帐户专用于灾难恢复(Windows Small Business Server 2003 除外)，这对网络管理系统不会产生任何影响。此外，攻击者正确猜测出任意管理员帐户的密码简直比大海捞针还难。设置独特的强密码最能保护系统，让脚本黑客一直猜密码去吧!

　　归根结底为风险管理

　　实际上，任何隐匿式安全措施都可以按照我们此处提供的方法进行分析。任何方案都各有利弊，适合于某个组织的正确方法不一定适合其他组织。最后，这就成了风险管理问题。风险是否超过了实施解决方案的成本?在保护信息资产方面做出的每个决策都必须是明智的风险管理决策，很少是选择黑或白这样简单的决策。

　　的确，已经为您做出了一些决策。例如，您当然可以选择不加密信用卡信息或存储信用卡验证代码，但这样可能让您的信用卡很快被别人破解和透支!风险太大，所以您别无选择，只能对这些信息进行加密。换句话说，这当然也是一项风险管理决策，只不过非常容易做出罢了。

　　同样，任何一个头脑清醒的人都不会将开放式无线网络连接到物理存储中存储网络的后端。但这并不表示此决策不是风险管理决策。它是。一个人可以选择这样做，并且如果真的做出了这样的选择，他应该承担后果(很遗憾，后果总是无人承担)。

　　在此，关键是清楚地表述您需要解决的问题、问题的建议解决方案以及每种方案的利与弊。然后，即可获得做出明智的风险管理决策所需的信息。如果没有这些信息，则只能凭直觉做出决策，这样的决策往往很糟糕。

上一页  [1] [2] [3] [4] [5] 

【责编:Zenghui】