给 您 的NT 加 把 锁

---- 据 微 软 公 司 声 称,Windows NT 是 迄 今 为 止 最 安 全 的 网 络 操 作 系 统, 惟 一 能 对NT 造 成 威 胁 的 则 是 非 授 权 用 户 获 得 系 统 管 理 员 的 用 户 名 和 口 令。 因 此, 根 据 微 软 公 司 的 说 法, 您 只 需 保 管 好 系 统 管 理 员 的 账 号, 就 完 全 可 以 高 枕 无 忧。 然 而, 事 实 却 并 非 如 此 简 单。Windows NT 的 确 有 很 多 很 好 的 安 全 特 色, 但 只 有 在 手 工 配 置 启 动 后 才 能 发 挥 其 安 全 方 面 的 功 能 和 优 势, 而 且NT 缺 省 的 安 装 配 置 还 很 不 安 全。 在 设 置NT 时, 您 应 该 时 时 本 着“ 安 全 第 一” 的 原 则 来 构 建 网 络, 下 面 介 绍 的 这 些 方 面 则 应 充 分 引 起 您 的 注 意。

1. 归 档 所 有 的 用 户 名 和 口 令

---- 保 护 所 有 的 管 理 员 和 普 通 用 户 的 账 号, 对 于 网 络 安 全 来 说 是 极 其 重 要 的。 您 首 先 应 该 确 保 每 个 用 户 拥 有 一 个 账 号 及 其 相 应 的 合 法 用 户 名 和 自 定 义 口 令。

---- 上 面 提 到 的 自 定 义 口 令 足 以 让 有 经 验 的 网 络 管 理 员 感 到 头 疼。 因 为 众 所 周 知, 让 用 户 选 择 难 以 被 黑 客 猜 测 到 的 好 的 口 令 并 不 是 一 件 容 易 的 事 情。 如 果 可 能 的 话, 您 可 以 创 建 口 令 帮 助 备 忘 录 或 者 单 独 与 用 户 面 谈 以 帮 助 他 们 选 择 合 适 的 口 令。 在 通 常 情 况 下, 口 令 至 少 应 该 包 含 7 个 字 符, 最 好 是 字 符 和 数 字 混 合 使 用。

---- 使 用 一 句 英 文 的 首 字 母 作 口 令 是 一 种 难 以 被 猜 破 而 且 又 容 易 记 忆 的 方 法。 例 如, 从“Oliver loves to ride his new Ducati” 可 以 得 到oltrhnd 或 者ol2rhnd。 让 口 令 区 分 大 小 写 的 方 式 则 更 有 效。 使 用 这 种 与 使 用 口 令 的 人 关 系 不 大 的 句 子 首 字 母 作 为 口 令 不 失 为 一 种 最 安 全 的 方 法。

---- 但 是 仅 仅 设 置 了 合 适 的 口 令 还 是 不 够 的。 作 为 一 个 系 统 管 理 员, 您 还 需 要 设 置 整 个 系 统 范 围 内 的 安 全 选 项, 包 括 最 大 口 令 有 效 期、 最 小 口 令 有 效 期 和 最 小 口 令 长 度。 口 令 的 惟 一 性 可 以 使 用 口 令 字 典 来 保 证, 该 特 性 可 以 从 第 三 方 安 全 审 计 工 具 或 Web 上 的 安 全 站 点 上 的 白 皮 书 中 找 到。 简 单 来 说, 口 令 字 典 是 口 令 的 列 表, 并 带 有 它 们 被 用 户 选 择 的 机 率 和 它 们 被 攻 破 的 机 率 信 息。

---- 设 置 口 令 有 效 期 是 很 重 要 的, 但 这 一 点 往 往 被 系 统 管 理 员 所 忽 略, 特 别 是 在 小 规 模 的 网 络 中。 这 实 际 上 是 不 应 该 的, 因 为 设 置 了 口 令 有 效 期 可 以 强 制 用 户 定 时 修 改 他 们 的 口 令, 从 而 充 分 保 证 口 令 的 机 密 性。

---- 您 应 该 严 密 监 视 用 户 账 号, 及 时 发 现 非 法 使 用 信 息。 要 做 到 这 一 点, 有 规 律 地 清 点 所 有 的 用 户 账 号、 删 除 无 效 账 户 和 口 令 是 一 个 很 好 的 建 议, 特 别 是 在 那 些 有 多 个 拥 有 添 加 和 删 除 用 户 权 限 的 管 理 员 账 户 的 大 型 网 络 中 是 很 有 必 要 的。

2. 组 织 和 授 权 功 能 组 中 的 用 户 权 限

---- 许 多 网 络 管 理 员 经 常 会 忽 视 用 户 名 的 重 要 性。 实 际 上 用 户 名 对 于 网 络 安 全 和 组 织 网 络 方 面 都 是 很 重 要 的。 因 此, 您 应 该 小 心 地 指 定 用 户 名, 并 对 该 过 程 做 个 记 录。

---- 用 户 名 同 用 户 口 令 一 样 重 要。 在 登 录 的 过 程 中 为 了 验 证 合 法 的 存 储 权 限 和 许 可 权, 必 须 配 合 使 用 正 确 的 用 户 名 和 用 户 口 令。 有 些 网 络 管 理 员 让 用 户 自 己 选 择 用 户 名, 这 不 是 一 个 好 的 策 略, 最 好 还 是 由 网 络 管 理 员 来 统 一 指 定 用 户 名。

---- 首 先, 用 户 名 在 本 NT 域 中 必 须 是 惟 一 的, 并 且 在 整 个 网 络 域 中 也 应 该 惟 一 标 识 该 用 户。 像 选 择 口 令 一 样, 不 要 害 怕 长 的 用 户 名(NT 支 持 长 达20 个 字 符 的 用 户 名)。 在 为 网 络 指 定 好 用 户 和 口 令 之 后, 可 以 将 用 户 编 制 成 组, 指 定 不 同 的 组 有 不 同 的 权 限。 这 样 会 使 组 织 网 络 变 得 更 容 易, 并 且 可 以 让 您 一 次 对 多 个 用 户 进 行 授 权。 您 可 以 通 过 定 义 合 理 的 信 任 关 系 简 单 地 增 加 组 资 源。

3. 改 变 系 统 管 理 员 的 用 户 账 号

---- 任 何 安 装 过 NT Server 的 人 都 知 道, 系 统 缺 省 安 装 了 一 个 名 为 系 统 管 理 员 的 超 级 用 户 账 号, 它 的 口 令 缺 省 为 空。 管 理 员 在 进 行 设 置 时 经 常 会 将 这 一 口 令 保 留 为 空, 这 无 疑 就 为 黑 客 入 侵 打 开 了 方 便 之 门。 对 于 一 个 训 练 有 素 的 管 理 员 来 说 通 常 不 会 出 现 这 个 漏 洞, 但 是 第 一 次 组 网 的 人 却 往 往 会 犯 这 个 错 误。

---- 您 不 仅 可 以 修 改 系 统 管 理 员 的 口 令, 而 且 还 可 以 修 改 此 账 号 的 用 户 名, 这 样 可 以 隐 藏 超 级 用 户 的 身 份, 让 黑 客 无 法 猜 测 哪 一 个 是 系 统 管 理 员 的 账 号。

---- 此 外, 还 有 一 个 与 之 相 关 的 小 技 巧: 修 改 了 系 统 管 理 员 账 号 的 用 户 名 之 后, 您 不 妨 创 建 一 个 名 为Admin 的 新 账 号 以 作 障 眼 法, 选 择 一 个 好 的 口 令, 并 不 允 许 它 访 问 任 何 网 络 资 源。

4. 设 置 锁 定 限 制

---- 用 户 通 常 不 希 望 锁 定 限 制, 但 它 却 可 以 增 加 网 络 的 安 全 性。 锁 定 限 制 是 指 在 若 干 次 口 令 验 证 失 败 的 情 况 下, 使 该 账 号 无 效。 通 常 的 失 败 次 数 是3 次, 但 这 个 选 项 需 要 经 过 系 统 管 理 员 的 启 动 才 有 效。 这 意 味 着 如 果 合 法 用 户 不 小 心 被 锁 定 账 户, 必 须 要 拥 有 启 动 该 账 号 权 限 的 人 在 场 才 能 解 除 锁 定。 系 统 管 理 员 应 该 赋 予 某 些 用 户 这 种 权 限。 账 户 的 锁 定 在24 小 时 之 后 会 自 动 解 除, 这 会 带 来 一 定 的 危 险。 因 为 除 非 您 总 是 在 监 视 黑 客, 否 则 黑 客 可 以 每 天 尝 试3 个 口 令。 因 此, 您 最 好 将 其 设 置 为 只 有 管 理 员 才 能 解 除 锁 定。

---- 为 了 跟 踪 账 号 锁 定 记 录 和 其 他 可 能 的 黑 客 活 动 的 踪 迹, 有 必 要 启 动 账 号 日 志 记 录: 选 择“ 管 理 工 具” 中 的“ 域 用 户 管 理 器”, 选 择“ 规 则” 菜 单 下 的“ 审 核”。 为 了 安 全 起 见, 您 需 要 经 常 检 查 事 件 日 志。

5. 充 分 利 用NTFS

---- 在 NT 环 境 中 的 服 务 器 上, 不 使 用 NTFS 会 给 您 带 来 很 多 麻 烦。 您 可 以 选 择 使 用 FAT 文 件 系 统, 但 是 FAT 不 提 供 对 文 件 的 保 护。NTFS 有 内 置 的 保 护 文 件 的 安 全 选 项。NTFS 支 持 文 件 和 目 录 安 全, 并 且 其 安 全 规 则 对 于 大 盘 卷 也 同 样 有 效。NTFS 支 持 Unicode( 统 一 的 字 符 编 码 标 准), 在 系 统 崩 溃 的 时 候 仍 可 以 保 护 数 据。

---- 对 于 新 的 盘 卷,NTFS 卷 对 所 有 用 户 开 放 文 件 权 限, 所 以 建 议 您 在 格 式 化 新 的NTFS 盘 后 修 改 此 项 缺 省 设 置。

6. 给 物 理 设 备 加 锁

---- 物 理 设 备 的 安 全 性 是 在 考 虑 网 络 安 全 时 容 易 被 忽 略 的 一 个 问 题。 在 中 小 型 网 络 中, 由 于 受 空 间 的 限 制, 将 服 务 器、 集 线 器、 转 换 器、 远 程 拨 号Modem 放 在 未 加 锁 的 房 间 里 是 很 常 见 的 事。 然 而 在 某 些 情 况 下, 很 多 黑 客 并 不 是 仅 仅 通 过 拨 号 或 猜 密 码 的 方 式 进 入 您 的 系 统, 而 是 直 接 攻 击 您 的 办 公 室。 还 有 那 些 对 工 作 不 满 的 职 员、 蓄 意 破 坏 的 维 修 工 人, 甚 至 是 那 些 您 认 为 安 全 的 人, 都 可 能 是 破 坏 您 的 系 统 的 潜 在 因 素。 因 此, 切 断 物 理 上 的 直 接 接 触 对 于 一 个 安 全 的 网 络 来 说 是 完 全 必 需 的。

7. 安 装Service Pack 3

 ---- 您 应 该 在 所 有 的 服 务 器 上 安 装Service Pack 3( 以 下 简 称 为SP3), 并 在 每 次 安 装 了 新 的 软 件 和 硬 件 后 也 应 该 重 新 安 装SP3。SP3 带 来 的 安 全 效 益 是 很 大 的, 包 括Server Message Block(SMB) 签 名、 口 令 过 滤 和 管 理 匿 名 用 户 等 功 能。 它 还 允 许 使 用 系 统 密 钥 加 密 口 令 数 据。

---- SMB( 又 称 为 Common Internet 文 件 系 统) 是 一 种 认 证 协 议, 它 提 供 了 双 方 认 证 的 功 能, 即 在 建 立 有 效 连 接 之 前, 客 户 端 和 服 务 器 端 都 需 要 验 证 彼 此 的 身 份。 同 样, 口 令 过 滤 对 用 户 口 令 的 选 择 加 以 限 制。 更 关 键 的 是 对 匿 名 账 号 的 管 理。Windows NT 在 使 用RAS( 远 程 访 问 服 务) 进 行 通 讯 时 使 用 匿 名 用 户 账 号, 这 里 隐 含 着 危 机。 借 助SP3, 可 以 控 制 对 这 些 账 号 的 存 取。SP3 系 统 密 钥 的 特 点 也 很 有 用。 如 果 没 有 系 统 密 钥, 用 户 将 无 法 登 录 到NT 服 务 器。 而 且 这 些 密 钥 会 通 过 加 密 保 护 存 放 在Security Accounts Manager(SAM) 数 据 库 中 的 口 令 数 据。

8. 不 断 打 新 的 补 丁

---- 尽 管 给 服 务 器 打 补 丁 对 维 护 服 务 器 安 全 是 很 重 要 的, 但 它 们 仍 需 要 及 时 的 升 级。 新 的 补 丁 版 本 不 断 出 现, 而 黑 客 的 侵 入 却 总 是 领 先 一 步, 并 且 总 是 令 人 难 以 预 料。 如 果 您 是 使 用 微 软 操 作 系 统 的 用 户, 就 应 该 时 刻 留 意 微 软 的Web 站 点, 上 面 经 常 会 通 报 一 些 对 付 黑 客 入 侵 的 解 决 办 法。

9. 保 护NT 注 册 表

 ---- Windows NT 的 注 册 表 比Windows 95/98 的 要 安 全 得 多。 您 可 以 为 注 册 表 分 配 密 钥 安 全, 这 样 可 以 阻 止 非 法 存 取, 您 甚 至 还 可 以 给 有 注 册 表 存 取 权 限 的 用 户 分 配 管 理 员 的 权 限。

---- 但 是 即 使 在 您 合 理 地 设 置 了 注 册 表 的 存 取 控 制 以 后, 还 存 在 着 其 他 一 些 问 题。 例 如, 用 户 最 近 就 发 现 了 有 关NT 注 册 表 的 一 个 很 大 的 安 全 漏 洞。 问 题 出 在 安 全 密 钥 上, 使 用 安 全 密 钥 可 以 指 定 特 定 的 程 序 或 服 务 在 服 务 器 登 录 后 自 动 启 动。Windows NT Server 的 缺 省 安 装 允 许 所 有 的 用 户 存 取 这 些 密 钥, 这 样 一 来 黑 客 就 可 以 设 置 在 每 次 登 录 后 运 行 他 们 的 程 序。 您 可 以 向 微 软 公 司 咨 询, 或 查 找www.support.microsoft.com 站 点 找 到 解 决 的 办 法。

10. 执 行 安 全 审 计

---- 请 记 住, 安 全 并 不 是 固 定 资 产。 为 了 避 免 以 后 可 能 出 现 的 问 题, 您 需 要 定 期 进 行 安 全 审 计。 这 是 一 项 费 时 的、 专 业 化 的、 难 度 较 大 的 工 作, 不 过 现 在 已 经 出 现 了 简 化 这 项 工 作 并 使 之 达 到 一 定 自 动 化 程 度 的 应 用 程 序, 如Security Dynamics Technology 的Kane Security Analyst(KSA) for Windows NT 和Internet Security System(ISS) 的RealSecure 2.0 等 等。

---- KSA 将 检 查NTFS 卷 的 权 限 控 制 的 正 确 性、 数 据 完 整 性 和 整 体 安 全 性。 使 用 自 动 审 计 只 需 指 定 在 某 个 时 间 范 围 内 您 需 要KSA 检 查 的 区 域, 系 统 会 定 时 给 出 网 络 安 全 状 况 报 告, 该 报 告 包 括 以 下6 个 部 分: 口 令 强 度、 存 取 控 制、 用 户 账 号 限 制、 系 统 监 视、 数 据 完 整 性、 数 据 保 密 性。KSA 给 出 警 告 的 可 疑 活 动 种 类 是 有 限 的, 所 以 最 终 还 需 要 您 拿 出 时 间 来 认 真 阅 读 报 告, 并 依 据 报 告 信 息 做 出 判 断。

中国计算机世界出版服务公司版权所有