· 网络安全全国
管理员账号和密码
1 使用唯一的用户名和账号设置
大多数设备的默认管理员账户和凭证都是公开的,而管理员账户具有设备的管理权限。NSA建议移除设备的默认配置,并对每个设备重新配置一个唯一的、安全的管理员账户。
2 修改默认密码
大多数设备在管理员进行初始化配置前都有默认密码,甚至没有密码。而这些默认密码一般都是公开的。NSA建议移除所有的默认密码,并分配一个唯一的、复杂的、安全的密码。此外,在新设备加入网络时,修改默认用户和特权等级密码。
3 移除非必要的账号
NSA建议将授权登录设备的账户限制为必要的范围,其他账户建议移除。管理员离开组织或角色发生变化后,相关的账户应当被禁用或移除。
4 使用个人账户
NSA建议禁用所有共享和组管理员账户,对每个管理员使用唯一的账户来提供对配置变化的访问,以确保对每个设备的可审计性。如果组账户是必要的,NSA建议监控这些账号来检测可能的可疑活动。
5 使用安全算法保存密码
NSA建议设备上保存的所有密码都使用最安全的算法进行加密,不要明文保存。建议使用单向哈希算法,如果单向哈希算法不可用,应当使用强唯一密钥来加密密码。
6 创建强密码
NSA建议对不同级别的访问分配唯一的、复杂的密码,包括用户和特权级别访问。在路由认证、时间同步、VPN通道、SNMP和其他配置中需要保存密码的场景中也应该使用唯一的、复杂的密码。
7 使用唯一的密码
NSA建议对每个设备上的每个账户和特权级别分配唯一的、复杂的、安全的密码。NSA还建议对不同账户、不同级别份额、不同设备之间的密码重用进行检查。
8 必要的时候修改密码
NSA建议在密码或密码哈希被入侵后立刻修改密码,并安全保存。
