0. 引言 1. windows系统账户弱密码检测 2. windows弱密码检测遇到的问题 3. linux系统账户弱密码检测

0. 引言

windows、linux密码暴力破解、身份认证、密码策略加固的相关知识，请参阅另外两篇文章

http:// http://

今天我们来讨论一下如何在客户端通过系统API实现弱密码的检测
总体来说，我们希望在系统层实现一套账户安全(弱密码)检测，需要注意以下几点

1. 采用模拟网络连接的方式，进行系统登录尝试在大多数情况是不可行的，操作系统身份认证中会进行账户防破解防御，例如windows上的账户安全策略(当尝试次数超过一个阈值，就会自动锁定帐号一定时间) 2. 采用操作系统"账户安全管理"框架，通过API方式进行弱密码的检测，会是一个更好的方向，windows、linux都提供了统一的身份认证可扩展框架 3. 虽然3389 RDP是常见的遭受弱密码暴力破解的途径，且账户是否可以登录3389远程桌面还受到账户所属组的影响(注册表中的一个键值标识)，但是要明白，windows中账户管理是一个核心机构，IPC、匿名IPC、NTM，底层都采用了windows账户认证框架，我们对windows系统管理员弱密码的检测，重点应该放在对windows账户认证框架的检测上，即直接检测administrator是否存在弱密码

0x1: Linux和Windows用户管理中的对应技术

Linux 与 Windows 用户管理中的对应技术  
　   Linux   Windows  
登录程序 *   login   Winlogon  
认证入口   PAM (Pluggable Authentication Modules)   GINA (Graphical Identification and Authentication)  
默认认证模块   pam_unix.so   msgina.dll  
用户系统入口 #   NSS (Name Service Switch)   LSASS (Local Security Authority Subsystem Service)  
默认本地用户系统   files (/etc/passwd, /etc/group, /etc/shadow)   SAM (Security Account Manager)  
常用目录用户系统   LDAP (Lightweight Directory Access Protocol)   AD (Active Directory)  
* 仅以 Linux 本地 shell 登录和 Windows 本地图形界面登录为例  
# NSS 与 LSASS 功能并不相同，只在用户认证的流程中的位置相似  

Windows和Linux一样，开放了用户身份认证与用户管理系统的接口，允许第三方如同开发Linux PAM/NSS那样，为Windows开发新的认证入口(GINA)与认证包(Windows Authentication Packages)
完整的GINA模块需要实现数十个接口，，而系统中一次只能配置一个有效的GINA，不像PAM那样可以通过配置文件灵活地组合使用只关注特定功能(认证、账户、密码或会话)的小模块。因此连微软自己的文档也告诫开发者，在编写新的GINA模块之前看看能不能用Hook之类偏Hack的技术实现自己所需的功能
正是由于GINA开发的繁琐性，才蕴生了开源的pGINA框架。pGINA本身是一个GINA模块，它提供了一致的图形界面，并将GINA的数十个接口二次抽象为几个简单易懂的接口

1. 密码认证(本文重点关注的内容) 2. 密码修改 3. 会话Hook ..

pGINA允许二次开发人员利用这些接口开发插件，实现自定义的认证交互程序。pGINA只适用于以密码作为认证凭证，在这一前提下，其功能可以涵盖GINA接口的主要功能点(认证管理、密码管理、屏幕锁定等)，而且图形界面交互的开发也由必须变为可选。因此，使用pGINA将在很大程度上简化自定义用户认证机制的开发。对于最终用户，只需要安装pGINA并配置指定的插件，即可使用新的用户名/密码源取代Windows默认的SAM用户名/密码认证

Relevant Link:

http://blog.linjian.org/tech/windows/kernel/gina-pgina

1. windows系统账户弱密码检测