如今,Internet上采用WindowsNTServer作为服务器操作系统的网站越来越多,同时,很多企业采用NT平台作为其Intranet解决方案的基石。WindowsNT具有典型的Windows操作界面,简单易用。然而简单和安全是互相矛盾的两个因素,简单就不安全,安全可能就不简单。安全和稳定又是相互联系的,不安全的系统,其稳定性也直接受到影响。随着Internet开放性的发展,网上信息的泄露和篡改,黑客入侵,病毒传播等经常发生,这使WindowsNT的安全问题更加值得关注。 口令安全 WindowsNT口令的安全性比UNIX要脆弱得多,这是由其采用的数据库存储和加密机制所直接导致的。NT4.0将用户信息和加密口令保存在注册表中的SAM(安全帐户管理)文件中。口令的加密名义上分两层进行,实际上只有一层。第一层用RSAMD4系统对口令进行加密,第二层却不采取任何附加措施,因此缺乏基本的口令复杂性,形同虚设。用PWDump或NTCrack之类的解密工具即可解码SAM数据库并破解口令。 口令是对系统的最大安全威胁,口令被盗意味着用户在这台机器上的一切信息将全部丧失。为加强NT口令的安全性,首先需要安装SP3以上的补丁,根据使用经验,SP5效果较好些,SP4和SP6的稳定性和可靠性都不及SP5。但SP3以上的补丁对NT口令都有所加强;其次改变管理员帐户的名字,防止黑客攻击缺省命名的帐户,并使用更安全的口令。安全的口令应该大小写字母混合(注意只有一个大写字母时,不要放在开头或结尾),8位以上字符,将数字无序地加在字母中,系统用户的口令包含~!@#$等符号。另外设置跟踪管理员帐户,几次登录失败后即锁定帐户等。 文件系统安全 WindowsNT支持两种文件系统:FAT和NTFS。二者的区别在于NTFS是针对500M以上容量的硬盘驱动器设计的,支持文件和目录访问权限的设置,适用于存储应用程序和用户文件,而FAT对500M以下容量的硬盘进行了优化,且不支持文件和目录访问权限的设置。 WindowsNT的安全机制是以用户为核心的,试图访问受保护对象的每一行代码,该用户必须用口令向客户机证明自己的身份,每次安全性检查都要依靠用户鉴别。文件和目录可以有两种许可权限:共享许可权(SharePermissions)和文件许可权(FilePermissions)。共享许可权用于用户远程访问共享文件系统,当用户试图以共享方式访问文件时,系统会检查用户是否拥有访问权限。文件许可权是直接分配给文件和目录的访问权限,无论用户使用何种方式访问文件系统都起作用,需要将用户或工作组与特定的访问级别相联系。另外通过文件的属性可设置文件许可权、文件审核和文件所有者。 对文件权限的错误设置有可能带来安全上的问题,在复制或移动文件时,其权限设置会发生改变,如文件复制到一个目录下,它会继承该目录的权限,而移动文件时,无论移动到哪个目录下,它会保留原来的权限设置。因此需要经常检查文件的权限设置,尤其在文件被复制或移动之后。缺省的权限设置允许所有人改变关键目录的访问权,如NTFS卷的根目录,System32目录等,可以将这些关键目录的权限改为只读。另外可以通过FTP进行无授权的文件访问,要合理配置FTP服务器,确保服务器必须验证所有FTP申请。 Web服务器安全 IIS(InternetInformationServer)集成了多种Internet服务如WWW服务,FTP服务,Gopher服务等,利用它和WindowsNTServer密切配合,可以方便地构造Web站点。IIS中存在许多弱点,在缺省情况下,安装IIS会生成InetPub目录,其中又含有四个子目录。其中三个子目录是三种Internet服务器的根目录,用于存放三种服务的所有文件和目录,另外有一个目录用于文本存储,使用CGI,VisualBasic或Perl开发的WEB应用程序可以存储在此目录下。管理员应定时检查IIS的目录结构,并设置适当的许可权限。 与IIS流行的同时,ASP也成为系统程序员用来作网络管理编程的偏爱。ASP的开发和维护都比较简单,而且具有强大的功能,但存在一些安全方面的漏洞。在IIS3.0的时候就曾发现,在ASP程序后面加某字符串可以看到ASP的源代码。由于ASP的源代码中含有数据库的访问口令等关键数据,因此这直接影响到Web服务器的安全。 同IIS3.0比较,IIS4.0的安全性已经有很大的改进,例如其FTP帐户不是开在域内,而是在本机上。如果要作FTP服务器,用IIS本身所带的FTP比较好,据统计其安全性要高于其他FTP服务器端软件。另外要注意的是,一定要保证安装了所有可靠的安全补丁。 NTFS分区安全 如果在同一台主机上存在多种操作系统如DOS,Windows,Linux,就有可能通过访问其它操作系统,绕开NTFS本身的安全设置。有些工具可以不需要授权即访问Intel系统上的NTFS格式的硬盘驱动器,从而操纵NT的各种安全设置。如DOS/Windows的NTFS文件系统重定向器,LinuxNTFSReader,SAMBA等。在这种情况下就要使用专门的分区,并限制系统管理员组和备份操作员组,同时限制管理员使用的操作程序,禁止此类跨越操作系统的访问。 总的说来,WindowsNT的安全性有一定的保障,其安全方面的漏洞基本上都被SP补上,同时它不大容易通过远程管理被修改,但需要用户按照程序对缺省配置进行修改,而且系统管理员通过细微而谨慎的工作,才能获得一个安全而稳定的网络操作环境。返回
12:5006-7-16
上一篇: 强力输血!打造功能齐全的超级启动盘
下一篇: 让计算机启动更快的十五招