如何强化Windows NT网络安全(1)
作者:方华 来源:计算机世界 添加时间:2006-5-21 17:26:03| 据微软公司声称,Windows NT 是迄今为止最安全的网络操作系统,唯一能对Windows NT造成威胁的是非授权用户获得系统管理员的用户名和口令。因此,根据微软公司的说法,只需保管好系统管理员的账号,就完全可以高枕无忧。然而,事实却并非如此简单。Windows NT的确有很多很好的安全特色,但只有在手工配置启动后才能发挥其安全方面的功能和优势,而且Windows NT缺省的安装配置还很不安全。在设置Windows NT时,应该时时本着“安全第一”的原则来构建网络,下面介绍的这些方面则应充分引起注意。 |
| 保护所有的管理员和普通用户的账号,对于网络安全来说是极其重要的。首先应该确保每个用户拥有一个账号及其相应的合法用户名和自定义口令。 |
| 用户名同用户口令一样重要。在登录的过程中为了验证合法的存储权限和许可权,必须配合使用正确的用户名和用户口令。有些网络管理员让用户自己选择用户名,这不是一个好的策略,最好还是由网络管理员来统一指定用户名。用户名在本NT域中必须是惟一的,并且在整个网络域中也应该惟一标识该用户。像选择口令一样,不要害怕长的用户名(Windows NT支持长达20个字符的用户名)。 |
| 上面提到的自定义口令足以让有经验的网络管理员感到头疼。因为众所周知,让用户选择被黑客难以猜测到的口令并不是一件容易的事情。在共享型的以太网中,用户名与口令是以明文形式传输的,这是一个令人担忧的安全隐患。现在,就有几种新的工具能使黑客获得一串的用户名甚至于杂乱无序的口令。即使更改管理员的账号名称,一种叫Red Button的程序也能使黑客获取到管理员的账号。一旦他们拥有了一个用户名,黑客就能肆无忌惮地攻击你的网络。这种程序能穷尽字母、数字和各种特殊字符的组合直到猜出用户的口令。如果黑客能访问你的系统,那么他们有可能将SAM数据库的数据下载,这样的话,他们就可以坐在自己计算机前一边悠闲地吸着香烟,一边等候结果的出来,而不用担心被系统察觉。在获取口令以后,黑客可以模仿别的用户进入你的系统,让你的系统经受灾难。通过口令的复杂化,系统管理员能使口令被猜出的可能性减小。 |
| 当今的各种网络操作系统均有各自的口令保护方式。在Windows NT中,至少有三种方法保护你的口令。 |
| 方法一:Windows NT default。在域用户管理器->规则->账号中,你能强制一种策略,用户的口令必须满足一定的长度以及口令的有效期。设置口令有效期是很重要的,因为设置了口令有效期可以强制用户定时修改他们的口令,从而充分保证口令的机密性。 |
| 方法二:安装Service Pack 4。安装新版本的DLL文件,使系统拥有更强壮的口令保护方法。这种策略规定口令长度必须不小于6个字符,为大写、小写、特殊字符和数字的组合。除这些之外,用户不能以用户名和全名中的任一部分作为口令。下面是在域控制器实现这种口令过滤的方法。 |
| *把passfilt.dll从Service Pack 4光盘拷贝到\winnt\system32。 |
| *运行[Start]->Run->regedt32->[Enter]。 |
| HKEY_LOCAL_MACHINE\system\CurrentControlSet\Control\Lsa |
| *增加一个regmulti_SZ类型键,叫"NotificationPackages",输入值passfilt(如果值fpnwclnt已经存在,那么在fpnwclnt增加值passfilt)。 |
| *退出Registry Editor[Alt+F4]。 |
| 此外,虽然用户通常不希望锁定限制,但它却可以增加网络的安全性。锁定限制在“域用户管理器->规则->账号”中进行设置。锁定限制是指在若干次口令验证失败的情况下,使该账号无效。启动该选项后的缺省的失败次数是5次、并在30分钟后重新计数并且解除锁定。但锁定限制不属于NT缺省设置,必须经过系统管理员的启动才有效。这意味着如果合法用户不小心被锁定账户,账户的锁定在30分钟之后会自动解除,这会带来一定的危险。除非总是在监视黑客,否则黑客可以每30分钟尝试3个口令。因此,系统管理员应该将锁定期限设置为 “永久”,这意味着只有管理员才能解除锁定。 |
| 方法三:passprop.exe。这个文件在Windows NT Resource Kit光盘\I386\netadmin目录中,它能实现一种牢固的口令策略,在命令行方式下运行passprop.exe。管理员有以下多种方式能够加强口令的保护: |
| 恢复简单的口令方式(Windows NT的缺省方式) |
| 在域控制器上,除了在本机登录的情况下,允许在口令错误输入若干次后锁定administrator账号。 |
| 当administrator账号不能锁定时,恢复简单的口令方式(Windows NT的缺省方式) |
| Windows NT在安全管理方面具有不少优点。它在用户权力的控制方面应用起来既严格,又不乏灵活性。但许多初次接触Windows NT的人对它在权限管理方面的重要概念难以理解,因此使用起来便觉得过于繁琐,不得要领,甚至无意中制造了安全隐患,自己却被蒙在鼓里。 |
| Windows NT的权限管理涉及到用户权力、共享权限和对象权限等。 |
| 用户权力(User Rights)是指用户或用户组对整个系统的访问权力,这里使用“权力”这个词是为了与读、写等共享权限以及对象权限相区别。用户权力包括用户能否从网络访问服务器,是否拥有从运行Windows NT的服务器上登录的权力等。表1中列出了Windows NT可以设置的用户普通权力。 |
| 从网络访问计算机 | | 备份文件和目录 | | 更改系统时间 | | 强制从远程系统关机 | | 加载和下载设备驱动程序 | | 本地登录 | | 管理审核安全日志 | | 还原文件和目录 | | 关闭系统 | | 在域中添加工作站 | | 获得文件和其他对象的所有权 |
|
| 此外,用户权力还包括所谓的高级权力,它们通常用于特殊目的,比如为某些特殊程序(如Windows NT的系统服务程序)设置作为服务程序登录,而不把它们授予用户和用户组。 |
| 对象权限(Object Permissions)只能在NTFS中使用 。无论对网络用户还是在运行Windows NT的服务器上进行本地登录的用户,对象权限都起作用,也就是说,不论是否联网,对NTFS的文件和目录的权限设置都会发生效力。 |
| 对象权限是以系统资源为对象,设置用户访问控制列表(Access Control List)。在表中列出可以访问该资源所承认的用户和组列表及它们相应的权限类型,目录和文件访问权限如表2所示。 |