如今，Internet上采用WindowsNTServer作为服务器操作系统的网站越来越多，同时，很多企业采用NT平台作为其Intranet解决方案的基石。WindowsNT具有典型的Windows操作界面，简单易用。然而简单和安全是互相矛盾的两个因素，简单就不安全，安全可能就不简单。安全和稳定又是相互联系的，不安全的系统，其稳定性也直接受到影响。随着Internet开放性的发展，网上信息的泄露和篡改，黑客入侵，病毒传播等经常发生，这使WindowsNT的安全问题更加值得关注。　　口令安全　　WindowsNT口令的安全性比UNIX要脆弱得多，这是由其采用的数据库存储和加密机制所直接导致的。NT4.0将用户信息和加密口令保存在注册表中的SAM(安全帐户管理)文件中。口令的加密名义上分两层进行，实际上只有一层。第一层用RSAMD4系统对口令进行加密，第二层却不采取任何附加措施，因此缺乏基本的口令复杂性，形同虚设。用PWDump或NTCrack之类的解密工具即可解码SAM数据库并破解口令。　　口令是对系统的最大安全威胁，口令被盗意味着用户在这台机器上的一切信息将全部丧失。为加强NT口令的安全性，首先需要安装SP3以上的补丁，根据使用经验，SP5效果较好些，SP4和SP6的稳定性和可靠性都不及SP5。但SP3以上的补丁对NT口令都有所加强；其次改变管理员帐户的名字，防止黑客攻击缺省命名的帐户，并使用更安全的口令。安全的口令应该大小写字母混合（注意只有一个大写字母时，不要放在开头或结尾），8位以上字符，将数字无序地加在字母中，系统用户的口令包含～!@＃＄等符号。另外设置跟踪管理员帐户，几次登录失败后即锁定帐户等。　　文件系统安全　　WindowsNT支持两种文件系统：FAT和NTFS。二者的区别在于NTFS是针对500M以上容量的硬盘驱动器设计的，支持文件和目录访问权限的设置，适用于存储应用程序和用户文件，而FAT对500M以下容量的硬盘进行了优化，且不支持文件和目录访问权限的设置。　　WindowsNT的安全机制是以用户为核心的，试图访问受保护对象的每一行代码，该用户必须用口令向客户机证明自己的身份，每次安全性检查都要依靠用户鉴别。文件和目录可以有两种许可权限：共享许可权（SharePermissions）和文件许可权（FilePermissions）。共享许可权用于用户远程访问共享文件系统，当用户试图以共享方式访问文件时，系统会检查用户是否拥有访问权限。文件许可权是直接分配给文件和目录的访问权限，无论用户使用何种方式访问文件系统都起作用，需要将用户或工作组与特定的访问级别相联系。另外通过文件的属性可设置文件许可权、文件审核和文件所有者。　　对文件权限的错误设置有可能带来安全上的问题，在复制或移动文件时，其权限设置会发生改变，如文件复制到一个目录下，它会继承该目录的权限，而移动文件时，无论移动到哪个目录下，它会保留原来的权限设置。因此需要经常检查文件的权限设置，尤其在文件被复制或移动之后。缺省的权限设置允许所有人改变关键目录的访问权，如NTFS卷的根目录，System32目录等，可以将这些关键目录的权限改为只读。另外可以通过FTP进行无授权的文件访问，要合理配置FTP服务器，确保服务器必须验证所有FTP申请。　　Web服务器安全　　IIS(InternetInformationServer)集成了多种Internet服务如WWW服务，FTP服务，Gopher服务等，利用它和WindowsNTServer密切配合，可以方便地构造Web站点。IIS中存在许多弱点，在缺省情况下，安装IIS会生成InetPub目录，其中又含有四个子目录。其中三个子目录是三种Internet服务器的根目录，用于存放三种服务的所有文件和目录，另外有一个目录用于文本存储，使用CGI，VisualBasic或Perl开发的WEB应用程序可以存储在此目录下。管理员应定时检查IIS的目录结构，并设置适当的许可权限。　　与IIS流行的同时，ASP也成为系统程序员用来作网络管理编程的偏爱。ASP的开发和维护都比较简单，而且具有强大的功能，但存在一些安全方面的漏洞。在IIS3.0的时候就曾发现，在ASP程序后面加某字符串可以看到ASP的源代码。由于ASP的源代码中含有数据库的访问口令等关键数据，因此这直接影响到Web服务器的安全。　　同IIS3.0比较，IIS4.0的安全性已经有很大的改进，例如其FTP帐户不是开在域内，而是在本机上。如果要作FTP服务器，用IIS本身所带的FTP比较好，据统计其安全性要高于其他FTP服务器端软件。另外要注意的是，一定要保证安装了所有可靠的安全补丁。　　NTFS分区安全　　如果在同一台主机上存在多种操作系统如DOS，Windows，Linux，就有可能通过访问其它操作系统，绕开NTFS本身的安全设置。有些工具可以不需要授权即访问Intel系统上的NTFS格式的硬盘驱动器，从而操纵NT的各种安全设置。如DOS/Windows的NTFS文件系统重定向器，LinuxNTFSReader，SAMBA等。在这种情况下就要使用专门的分区，并限制系统管理员组和备份操作员组，同时限制管理员使用的操作程序，禁止此类跨越操作系统的访问。　　总的说来，WindowsNT的安全性有一定的保障，其安全方面的漏洞基本上都被SP补上，同时它不大容易通过远程管理被修改，但需要用户按照程序对缺省配置进行修改，而且系统管理员通过细微而谨慎的工作，才能获得一个安全而稳定的网络操作环境。返回 12:5006-7-16
上一篇: 强力输血！打造功能齐全的超级启动盘
下一篇: 让计算机启动更快的十五招