如何强化Windows NT网络安全(2)
作者:方华 来源:计算机世界 添加时间:2006-5-21 17:26:01| 在Windows NT中为设置方便起见,系统提供了几种权限的组合,用户可以直接使用它,这被称为标准权限。对于目录,标准权限包括了对目录以及目录中的文件所规定的权限,如表3。 |
| 标准权限 | 目录权限组合 | 文件权限组合 | | 不许访问 | (无) | (无) | | 显示 | (RX) | (未指定) | | 读 | (RX) | (RX) | | 添加 | (WX) | (未指定) | | 添加和读 | (RWX) | (RX) | | 更改 | (RWXD) | (RWXD) | | 完全控制 | (所有) | (所有) |
|
| 标准权限 | 文件权限组合 | | 不许访问 | (无) | | 读 | (RX) | | 更改 | (RWXD) | | 完全控制 | (所有) |
|
| 共享权限(Share Permissions)决定用户从网络上访问系统资源的方式,它针对的是通过网络协议访问Windows NT系统的用户和设置成共享状态的资源之间的关系。相对于文件,在Windows NT系统中只能针对目录(文件夹)设置共享。 |
| 如果把对象权限比作房间钥匙,那么共享权限就是大楼的门卫。即便你有房间钥匙,但如果门卫不让你进楼,你还是不能进到你的房间里。 |
| 共享权限对NTFS 和FAT文件系统都适用,权限类型与对象权限是一致的,但在Windows NT中设置共享权限时,通过共享设置的GUI工具只能设置组合共享权限(标准共享权限),这种组合共享权限分为四级,我们可以比照目录的对象权限来理解它们的含义。 |
| 在Windows NT中只能以目录为对象进行共享,共享权限分为四级,前一部分是指目录权限,后一部分是指目录中文件的权限,如表5所示。 |
| 共享权限 | 权限组合 | | 不许访问 | (无)(无) | | 读 | (RX)(RX) | | 更改 | (RWXD)(RWXD) | | 完全控制 | (所有)(所有) |
|
| 在实际使用中,主要是要搞清楚用户权力和对象权限这两个概念的区别,在此基础上合理地分配共享资源的共享权限,从而既有效地利用网络资源,又能保障系统的安全运行。 |
| 任何安装过Windows NT的人都知道,系统缺省安装了一个名为administrator的超级用户账号,它的口令缺省为空。管理员在进行设置时经常会将这一口令保留为空,其实这无异于为黑客入侵打开了方便之门。对于一个训练有素的管理员来说通常不会出现这个漏洞,但是第一次组建网络的人却往往会犯这个错误。所以应该修改系统管理员的口令,而且还可以修改此账号的用户名,这样可以尽量隐藏超级用户的身份,方法如下: |
| 在域用户管理器中单击administrator,打开“用户”菜单,选择“重命名”,然后输入所需的超级用户名。 |
| 此外,还有一个与之相关的小技巧:修改了系统管理员账号的用户名之后,不妨创建一个名为admin的新账号以作障眼法,选择一个空的口令,并不允许它访问任何网络资源。通过审核这个账号错误登录记录,你可以清楚地知道谁是网络上不规矩的用户。 |
| 物理设备的安全性是在考虑网络安全时容易被忽略的一个问题。在中小型网络中,由于受空间的限制,将服务器、集线器、转换器、远程拨号Modem放在未加锁的房间里是很常见的事。然而在某些情况下,很多黑客并不是仅仅通过拨号或猜密码的方式进入系统,而是直接攻击办公室。还有那些对工作不满的职员、蓄意破坏的维修工人,甚至是那些被认为安全的人,都可能是破坏系统的潜在因素。因此,切断物理上的直接接触对于一个安全的网络来说是完全必需的。 |
| 应该在所有的Windows NT服务器上安装Service Pack 4(以下简称为SP4),并在每次安装了新的软件和硬件后也应该重新安装SP4。SP4带来的安全效益是很大的,包括Server Message Block(SMB)签名、口令过滤和管理匿名用户等功能。它还允许使用系统密钥加密口令数据。 |
| SMB(又称为Common Internet文件系统)是一种认证协议,它提供了双方认证的功能,即在建立有效连接之前,客户端和服务器端都需要验证彼此的身份。同样,口令过滤对用户口令的选择加以限制。更关键的是对匿名账号的管理。Windows NT在使用RAS(远程访问服务)进行通讯时使用匿名用户账号,这里隐含着危机。借助SP4,可以控制对这些账号的存取。SP4系统密钥的特点也很有用。如果没有系统密钥,用户将无法登录到Windows NT服务器。而且这些密钥会通过加密保护存放在Security Accounts Manager(SAM)数据库中的口令数据。 |
| 给服务器打补丁对维护系统安全是很重要的,而且需要及时的升级补丁。新的补丁不断出现,而黑客的侵入却总是领先一步,并且总是令人难以预料。应该时刻留意微软的Web站点,上面经常会通报一些对付黑客入侵的解决办法。 |
| Windows NT的注册表比Windows95/98的要安全得多。可以为注册表分配密钥安全,这样可以阻止非法存取,甚至还可以给有注册表存取权限的用户分配管理员的权限。但是即使在合理地设置了注册表的存取控制以后,还存在着其他一些问题。例如,有用户已经发现了有关Windows NT注册表的一个很大的安全漏洞。问题出在安全密钥上,使用安全密钥可以指定特定的程序或服务在服务器登录后自动启动。Windows NT 的缺省安装允许所有的用户存取这些密钥,这样一来黑客就可以设置在每次登录后运行他们的程序。可以向微软公司或代理商咨询,或查找www.support.microsoft.com站点找到解决的办法。 |
| 请记住,系统安全并不是一劳永逸的。为了避免以后可能出现的问题,需要定期进行安全审计。这是一项费时的、专业化的、难度较大的工作,不过现在已经出现了简化这项工作并使其达到一定自动化程度的应用程序,如Security Dynamics Technology的Kane Security Analyst(KSA)for Windows NT 和Internet Security System(ISS)的Real Secure 等等。 |
| KSA将检查NTFS卷的权限控制的正确性、数据完整性和整体安全性。使用自动审计只需指定在某个时间范围内需要KSA检查的区域,系统会定时给出网络安全状况报告,该报告包括以下6个部分:口令强度、存取控制、用户账号限制、系统监视、数据完整性、数据保密性。KSA给出警告的可疑活动种类是有限的,所以最终还需要自己拿出时间来认真阅读报告,并依据报告信息做出判断。 |
| ISS公司的Real Secure有一个监控中心安装和运行在一台主机上,并在网络的多个位置安装监控引擎,能够监控整个网络。它实时地监视和审计内部、外部黑客的入侵,对异常的网络活动能够进行识别、审计、告警、拦截。 |