为你的系统提供双重加密
技巧与实践
通过给用户账号设置登录密码的方法可以阻止他人随意进入你的系统,然而目前有很多方法都可以破解登录密码,例如采用输入法漏洞、删除SAM文件以及使用“net user 用户账号 新密码”命令都能让用户密码形同虚设。微软也意识到了这一安全问题,因此在Windows 2000/XP以上的系统增加了SYSKEY命令,这个命令可以给你的系统进行二次加密,从而使你的系统安全性大大增强。
一. SYSKEY加密原理
SYSKEY命令可以用来选择系统密钥项并生成初始密钥值,这个密钥值可以是随机生成的密钥,也可以是密码派生的密钥。其实SYSKEY是被设计用来防止他人轻易获得SAM口令。它的工作过程为:当SYSKEY被激活后,SAM中的口令信息在存入注册表之前需要再次进行了一次加密处理。可以说SYSKEY使用了一个密钥,这个密钥能激活SYSKEY,由用户自己选择保存位置的。密钥可以保存在软盘,或在启动时由用户生成(通过用户输入的口令生成),或者直接保存在注册表中(默认情况),我们可以在这三种模式下随意转换。
提示:SYSKEY一旦启用就无法关闭,除非在启用SYSKEY前备份了注册表,然后再用备份的注册表来恢复当前注册表。
二.加密步骤
SYSKEY命令支持Winodws 2000/XP/2003系统,下面我们就以Windows XP为例介绍如何利用SYSKEY命令来给你的系统进行加密。
运行 “syskey”命令,然后在打开的“保证Windows XP账户数据的安全”窗口中选中“启用加密”项,接着点击“更新(U)”,这时将会弹出“启动密码”窗口。
在默认情况下选中的项是“系统自动产生的密码”,且这个密码保存的默认选项是“在本机上保存启动密码”,也就是说这个密码直接保存在注册表中。
如果选中“在软盘上保存启动密码”项,那么需要在你的软驱中插入一个软盘,点击确定即可生成一个带有密码的软盘,没有这张软盘,任何人都不能进入你的系统。
选中“密码启动”项并按要求输入所设置的密码就会在输入系统账户密码前要求输入在SYSKEY中设置的密码,因此这个密码的优先级要高于用户账号密码。
提示:SYSKEY密钥长度范围为1至128个字符,理论上密码越长其安全性越高,一般情况下建议使用至少12位字符的密码。