使用iMC作为认证及安全检查服务器,网络管理员需要对客户端操作系统弱密码进行检查控制的场景。
网络中使用iMC对用户认证,客户端安全检查进行管理,组网图略。
选择“业务”页签,单击导航树中的“用户 > 安全策略管理 > 操作系统密码监控”,如图1所示。在操作系统密码监控页面,可以修改操作系统密码词典和修改本地密码策略。
图1 操作系统密码监控
注:由于上传操作系统密码词典文件会存储在用户自助平台路径下,所以只有安装了用户自助平台后,才能修改系统密码监控和对操作系统密码进行监控。
1. 修改操作系统密码词典
进入操作系统密码监控页面,如图1。点击下载路径,下载密码词典文件。密码词典文件中定义了很多弱密码(即不安全的密码)。若iNode客户端检测到操作系统密码是该密码词典文件中的密码,则认为密码不安全,并对接入用户进行处理(监控、提醒、隔离、下线和加入黑名单并下线)。管理员可定制密码词典文件的弱密码。
定制密码词典文件方式有两种:
方式一:自己建立文件名为passwordDic.txt的文件,添加弱密码;需要注意的是:上传密码词典文件名必须是passwordDic.txt,格式为一行存放一个密码,文件大小应小于2M。
方式二:点击下载路径链接下载词典文件,更新词典文件的弱密码。
建议管理员以第二种方式下载该文件,这样可以保存之前操作的所有弱密码。并根据需要在文件中更新弱密码,上传更新后的密码词典文件,iNode客户端能根据最新的密码词典文件和iNode客户端内置的密码字典文件对操作系统密码进行检测。
修改操作系统密码词典具体操作步骤为:
选中图1的“上传密码词典文件”,会显示“密码词典文件”项,上传更新后的密码词典文件。不合格缺省处理方式可选择监控、提醒、隔离、下线或加入黑名单并下线。增加安全级别如果不做特定处理,检查操作系统密码的默认处理方式为不合格缺省处理方式选择的模式。
说明:不合格缺省处理方式为检查项不合格时采取的默认安全模式。增加或修改安全级别时,在不选择整体处理方式的情况下,安全级别配置页面继承配置项中的不合格缺省处理方式。
2. 修改本地密码策略
选中图1中“启用本地密码策略”,可启用本地密码策略。选中“密码必须符合复杂性要求”,终端操作系统在创建或更改密码时会检测密码是否符合复杂性要求。如果启用此策略,密码必须同时符合如下最低要求:
(1) 不能包含用户的帐号名:不能包含帐号名中超过两个连续字符的部分;
(2) 至少有六个字符;
(3) 包含以下四类字符中的三类字符:英文大写字母、英文小写字母、0-9、非字母字符。
“密码长度最小值”:设置终端操作系统帐号密码包含的最少字符数。可以设置0-14之间,0表示不需要密码。
“密码最长使用期限”:设置终端操作系统用户更改某个密码之前可以使用该密码的天数。可设置1到999之间,0表示密码永不过期。
“密码最短使用期限”:设置终端操作系统用户更改某个密码之前必须使用该密码的时间天数。可设置1到998之间,0表示可以立即修改密码。密码最短使用期限必须小于密码最长使用期限。
“强制密码历史”:设置终端操作系统用户再次使用某个旧密码之前,必须管理此用户帐号的新密码数,使管理员能够通过确保旧密码不被连续重新使用来增强安全性。可设置0到24之间。需要注意的是:若希望强制密码历史生效,则最短密码使用期限需是大于0的值。
注:如果iNode客户端所在终端的当前用户是域用户,本地密码策略不会生效。
3. 应用举例
(1)操作系统密码监控配置。下载密码词典文件,增加弱密码“123”,如图2所示。上传更新后的词典文件passwordDic.txt,如图3所示。
图2 密码词典文件passwordDic.txt
图3 更新密码词典文件
(2)增加安全级别test,设置检查操作系统密码不合格时的安全模式,可以选择具体处理模式:监控、提醒、隔离、下线和加入黑名单并下线。具体模式操作含义:
监控:安全检查不合格时,系统仅记录安全日志。
提醒:安全检查不合格时,系统会对用户进行提醒/修复操作,并记录安全日志。
隔离:安全检查不合格时,系统会对用户进行隔离操作和提醒/修复操作,并记录安全日志。
下线:安全检查不合格时,系统会对用户进行下线操作,并记录安全日志。
加入黑名单并下线:安全检查不合格时,系统会把接入用户帐号加入黑名单,并对用户进行下线操作,同时记录安全日志。此时,用户已加入黑名单,不能再用该帐号进行登录。如果继续使用该用户,需向管理员申请解除黑名单。
可根据具体环境选择安全模式,在此例中选择“加入黑名单并下线”。
图4 增加安全级别“test”
(3)增加安全策略test,PC配置项中的定时检查选中“检查操作系统密码”,如图5所示。可定制选择是否检查所有本地用户、是否仅检查iMC字典文件、是否认证时检查。
检查所有本地用户;表示检查本地所有用户,不选表示只检查当前登录用户。
仅检查iMC字典文件;选中表示仅检查iMC字典文件,即密码词典文件,不选中表示检查iMC密码词典文件和iNode客户端内置的密码字典文件。
认证时检查;选中该项表示会在接入用户上线认证时,对iNode客户端操作系统密码进行检查。对于此项,不管是否选择,接入用户处于在线时,系统都会定时检查iNode客户端操作系统密码。
图5 增加安全策略“test”
(4)增加接入策略test,用于限定接入用户接入使用网络必须符合的要求,可以被接入服务引用,如图6所示:
图6 增加接入策略“test”
(5)增加接入服务test,如图7所示,缺省接入策略选择步骤(4)增加的接入策略test,缺省安全策略选择步骤(3)增加的安全策略test:
图7 增加接入服务“test”
(6)增加接入用户test,输入密码和确认密码,接入服务勾选步骤(5)增加的接入服务test,如图8所示:
图8 增加接入用户test
(7)设置iNode客户端操作系统密码为“123”。使用步骤(6)增加的接入用户登录iNode客户端,如图9所示:
图9 客户端登录
(8)iNode客户端test接入用户登录安全检查结果:安全状态为不安全,如图10所示。安全检查结果为没有通过安全检查,已强制用户下线,如图11所示:
从安全检查结果中可以查看到提示信息为步骤(3)中增加安全策略test中检查操作系统密码不合格的提示信息。操作系统密码不合格具体处理为步骤(2)中增加安全级别中选择的“加入黑名单并下线”。
图10 inode安全检查状态
图11 inode安全检查结果
尝试重新使用test接入用户登录iNode客户端,身份认证失败,如图12所示提示用户已被加入黑名单。查询iMC配置台黑名单用户列表,如图13所示,test接入用户已被加入黑名单用户列表中,加入原因为“安全检查不通过”。
图12 认证失败
图13 黑名单用户列表
(9)修改安全级别test中检查操作系统不合格的安全模式,可修改为监控、提醒、隔离、下线;不同安全模式下具体操作处理可参考步骤(2)。隔离模式下安全检查结果如图14所示,下线模式安全检查结果如图15所示:
图14 隔离模式下安全检查结果
图15 下线模式下安全检查结果
无。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作